2014年8月,美国国土安全部(以下简称“DHS”)首席信息安全官办公室发布了DHS4300A-Q1(敏感系统手册)文件。文件仅针对敏感无线系统的安全问题,不涉及机密无线系统的使用。DHS敏感系统政策指令(PD)4300A要求,无线通信技术和应用程序必须是经授权官员(AO)特别批准的,否则在DHS中禁止使用。(NIST的出版物(SP)800-37,授权官员取代了指定的认证机构(DAA))。授权官员还必须批准在认证和认证(C&A)过程中特定风险级别的无线系统的实现和使用,并确保在安全计划中包含适当、有效的安全措施。
图1DHS4300A敏感系统手册
文件中覆盖的无线网络包括无线局域网络(WLAN)、无线宽区域网络(WWAN)、无线个人区域网络(WPAN)、对等无线网络(即特别的无线网络),以及利用商业无线服务的无线基础设施。无线系统包括传输介质、固定集成设备、设备固件、支持服务和通信协议。DHS4300A建立了该部门的无线系统政策和所有无线通信技术的通用指南。需要指出的是,智能手机等无线设备的安全政策和指导方针将在一个独立的文档中提出,起因于该领域的复杂性和技术的快速发展。
对于所有的无线系统,DHS4300A-Q1提出了如下几项安全措施:
基于风险的方法
无线系统安全的一种基于风险的方法是一种系统工程方法,用于识别、评估和优先考虑与无线系统相关的风险,并确定这些风险的可能性和潜在影响。然后,采取缓和策略和资源来抵御最严重的威胁,防止过度风险的发生。例如,在DHS内部网络中,有时会出现未经授权的访问点或设备,它们对国土安全部DHS的信息安全构成巨大威胁。因为内部网络被认为是受信任的,并且在防御范围内。针对这种威胁的一个缓解策略是部署有效的检测和预防工具来识别这些威胁,并在检测到时阻止它们的访问。
一种基于风险的方法可用于降低与无线系统相关的风险。在最高级别,可以使用两种安全分类来帮助识别和评估与给定的无线系统相关的风险,包含人员、信息资源、数据系统和网络,它们都服从于共享的安全策略(一组管理访问数据和服务的规则)。DHS建立认证边界并可以直接控制所需的安全控制或对安全控制有效性的评估,认证边界内的视为受信任的无线系统,而超出认证边界的则视为不受信任的无线系统。例如,商业或官方无线网络应该被认为是不可信的,因为它们不在DHS的控制范围之外。DHS内部的无线网络被认为是值得信赖的,因为其可以对这些网络应用严格的安全政策和控制。通过考虑无线系统的独特开放特性和无线技术的快速发展,可以从技术、过程和人员的角度来确定风险。下一节将详细描述各种无线系统的威胁和相应的对策。
无线系统威胁和对策
由于无线技术的开放性,无线系统有其固有的弱点,因而安全威胁是普遍存在的。无线通信容易受到干扰、窃听、射频干扰,以及有线网络的典型威胁。
表1无线系统的威胁
无线系统安全措施包括处理数据保密性和完整性、身份验证和访问控制、入侵检测和预防、日志记录和监视,以及系统可用性和性能。无线系统安全的目标可以更好地实现,通过遵循联邦授权的标准和行业的信息安全最佳实践来减轻威胁。
表2OSI安全注意事项
认证
身份验证方法包括IEEE802.1X基于门户的网络访问控制、可扩展身份验证协议(EAP)-传输层安全性(EAP-TLS)认证,以及利用企业远程(RADIUS)服务器为用户设备和系统提供相互身份验证,同时提供动态密钥管理。应该注意的是,EAP-TLS需要现有的公共密钥基础设施(PKI)。如果不能使用完全的PKI,则可以使用其他身份验证协议,比如保护性可扩展身份验证协议(EAP-PEAP)。数字证书可以从第三方认证机构购买,或者从组织的内部证书颁发机构颁发。额外的网络控制访问,例如双因素身份验证,需要对用户和设备进行身份验证,以确保它们不会引入安全漏洞和风险。
保密
DHSPD4300A要求:组件只使用联邦信息处理标准(FIPS)197(高级加密标准AES-256)的加密模块,并在符合其预期用途的级别上收到FIPS140-2验证。
诚信
无线通信的完整性是确保数据在传输或休息时没有被修改的必要条件,它还可以防止其他威胁,比如攻击。如果有一种机制允许对消息完整性进行加密验证,那么系统节点必须丢弃所有无法验证的消息。
管理控制
无线系统必须能够支持远程设备管理、建立或更改配置以符合安全策略,以及支持软件和固件的更新。无线系统必须能够通过管理接口和工具来管理无线基础设施,这些工具是整个管理基础设施的一部分。管理控制的网络部分应该集成到有线网络中,并且应该从数据网络中分离出来,以确保管理的有效性健安全保护不能降低或妨碍法律保护的关键服务或可用性特性,或已发布的政策(例如,符合美国复兴法第508条)。
集中的无线管理结构提供了一种更有效的方式来管理无线基础设施和信息安全程序。一个集中的结构还可以促进标准化指导的开发和实现,这使得组织能够一致地应用信息安全策略。无线设备和/或软件不能降低或绕过已建立的系统安全控制,任何系统修改都需要适当的安全性审查,并遵循变更管理策略和过程。此外,配置管理和安全基线配置应该在组织的系统安全计划中得到解决。
物理安全
对可疑行为的常规检查和监视将减少未经授权的设备操作和盗窃的可能性。由于无线系统容易受到远程窃听的影响,所以警卫和用户应该向适当的安全人员报告在设施内或周围的可疑人员或活动。
国家信息担保合作伙伴关系共同标准安全验证
国家信息保障伙伴关系(NIAP)是美国政府的一项行动,旨在解决IT消费者和生产者对IT系统和产品的安全测试需求。NIAP是NIST和NSA的合作,在IT产品和网络中增加了信任级别。通用标准定义了一组经过验证的IT需求,可以用于为产品和系统建立安全需求。通用标准还定义了保护概要文件(PP),或者基于特定安全需求的标准化集。PP可以用于无线安全架构内的产品。此外,还可开发安全目标(ST)来度量安全威胁、目标需求和安全功能的摘要规范。
日志
日志作为无线网络监视和管理功能的一部分,用以确保无线网络的持续监控。它们提供了一种可跟踪的机制来记录网络活动并发现网络入侵。应该通过同步所有设备上的时间时钟,远程记录无线活动和事件,以及对日志执行严格的访问控制,以保护日志的完整性。
配置控制
为无线网络和设备建立配置需求和安全的基线配置可以帮助确保它们按照DHS的安全策略部署在安全的方式中。通常,无线系统最初配置的是默认的供应商设置,这是常识。这些设置可以包括:网络信息,如默认通道或调制规范;安全信息,如网络名称、加密方法、传递短语或密钥;系统管理信息,如管理用户名、密码、管理端口号和运行的缺省应用程序服务。
软件和固件更新
NIST的国家脆弱性数据库(NVD)是一个综合的网络安全漏洞数据库,它整合了所有公共可用的美国政府弱点资源,并提供了对行业资源的参考。如果可能的话,更新的固件应该在非生产环境中进行测试,以在产品发布之前验证功能。DHS敏感系统政策指令4300A和DHS敏感系统手册提供了系统审计政策和指导。
无线监控
无线监控功能包括工具和方法:(a)进行现场调查和设置适当的天线位置以减少信号泄漏,(b)检测错误配置的客户端和使用政策驱动的软件或硬件解决方案,确保客户端设备和用户定义符合DHS无线安全策略,(c)检测和阻断可疑的或未经授权的活动或无线电干扰的来源。无线入侵检测系统(WIDS)/入侵预防系统(IPS)可以检测网络异常并监视无线基础设施。异常可能包括但不限于干扰源、异常高或低使用率、多次登录尝试、攻击签名、非小时登录以及其他可疑的系统基线的差异。
内容过滤
内容过滤是监控电子邮件和网页等通信的过程,对可疑内容进行分析,并防止向用户发送可疑内容。专用的服务器可以用来执行内容过滤任务。有线网络内部的无线系统,对已经应用到有线网络的内容过滤并没有特定的要求。外部无线系统的内容过滤,如访客WLAN可能不同于组织内部网络应用。这个网络的流量不受国家网络保护系统(NCPS)的检查,也被称为“爱因斯坦”。因此,组织应该为这个网络拟定隔离的安全控制措施,例如允许通过HTTP、安全HTTP(HTTPS)和域名服务(DNS)访问的普通客户端连接,只访问有限的Internet站点。
此外,还可以利用现有的可信Internet连接(TIC)功能来保护和监视这些外部无线系统。所有的内容过滤产品必须保持最新,以确保它们的检测尽可能准确。内容过滤包的另一个关键特性是对可疑活动的入站和出站数据进行扫描,并采取相应的预防措施。
总结
技术往往都是一把双刃剑,无线技术也不例外。针对敏感无线系统易出现的安全问题,美国国土安全局的《敏感系统手册》从具体的攻击手段出发,在各个方面都给出了指导性的防护意见,为敏感系统中的无线技术的安全使用点亮了明灯。
【本文为51CTO专栏作者“中国保密协会科学技术分会”原创稿件,转载请联系原作者】
