展开来说,从可用性来说,我们首先要保证网络的可用性,采取必要的措施,保证网络处于始终可提供服务的状态,使得授权用户可以随时获得服务。网络应该具备一些可靠性,要保证网络出现故障的概率极小,再一个网络应该具备稳定性,保证网络不出现可被用户感知的问题,网络还应该具备可生存性,保证网络在极端条件下仍然能够提供核心服务,尽管其服务质量在下降。再一个就是具备可维护性,这个指在线维护。
从机密角度来说所关心的是网络的机密性,要保证网络的机密性就是要确保网络传播信息不被非授权者所获知,要保证网络信息的实用性,要采取措施,使得网络加密信息唯一依赖于对应的密钥。再有要保证网络信息不会被捕获,拷贝与扩散,采取屏蔽,隔离措施,防止非授权截获与传播信息。再一个保证网络不能被非法获得,要采取访问控制措施,防止非授权访问信息,再有保证网络信息不被非法认知,采取加密措施。
第四个是可控性,要保证网络的可控性,主要的目标是采取措施,使得网络始终处于授权掌控状态,可控性要包括具备可追溯性,保证网络传播的源头与目的是可追溯的,再有就是具备可记帐性(可确定性),保证网络传播的所有状态均可被记录并保存,再有基础具备可审计性,保证网络传播的所有状态具有相关责任主体。再有一个就是可过滤性,保证网络信息是可被理解的,网络信息传播的源头与目标是可被理解的,指定信息可被过滤的。
关于网络的可鉴别性,主要是要保证网络的可鉴别性,保证与网络传播相关的信息其真实性是可以被鉴别的,网络信息应该具备完整性,保证网络信息的任何篡改都能够被鉴别出来。网络的传输主体与客体的身份应具备真实性,保证网络信息传播的发放方与接收方的身份是可鉴别的,符合预知的身份。
下一个是信息安全应保障的四个目标,我们要保证是安全的网络,保护网络不被致瘫,网络上的攻击可被有效遏制,网络上的用户不被攻击所困扰,要保证是一个可信的网络,确保对网络传输的行为人,被传输的信息可被鉴别,其可信程度可被判定。再一个保证其是可靠的网络,确保能够提供有效的服务,不因随即鼓掌而失效。另外是可控的网络。
我们从前提假定来说,安全是一个恶人的假定,攻击是必须的,可信是一个好人的假定,只要是好人就不会有攻击,可靠是上帝的假定,是随机的,可控是一个监管人的假定,服从约定的形式,攻击是来自缺陷的概念。做一个比喻,安全就像养猛兽,我们把它当做宠物,肯定不会真的跟它一起睡觉,风险太大了,把它用链子拴起来,可信就是好象养宠物狗,可靠就像养一个牲畜,可控就像养孩子。行为类比一下,安全就好象这个人就要闯红灯,可信就是绿灯行,可靠就是有点黄灯行,可控就是红灯停。应用原则安全就好象是监狱的状态,可信就是像在办公室的状态,可靠就是像是猪圈,可控就是像居家。从立足点来看,安全就是事先保护,可信是事后打击,可靠是经济平衡,可控是规则管制。从应用点来看,安全未知身份,可信是已知身份,可靠是随机因素,可控自有系统。从追求目标来看,安全追求的是不受伤害的状态,可信是证明它确是一个好人,可靠是保证尽量不受损失,或者损失不能太大,可控就是掌控一切。从手段来说,安全是以降低风险为目的,可信是依赖历史,可靠是投保机制,可控是监控。从风险来看,安全方面就是资源消耗太大,可信最怕意外变节,可靠是概率损失,可控是失控了。
第四个四就是要四个确保,首先我们从源头做起,做软件确保,下一个是系统确保,再高一层就是服务确保,最后一个就是使命确保,整个的安全确保就是从源头一直到目标,目标为了保护使用者,是这样的一个层次,需要我们考虑。
怎么考虑呢,首先我们来看软件确保,要保证网络协议是符合预期的,要求网络协议的实现在需求,设计,编码,验证等环节都通过证明或检验,再有要保证网络协议不存在可利用的漏洞,要求网络协议具有自保护特性,即便出现安全漏洞也不会被恶意利用,再一个要保证网络协议的实现环节是符合规程的,要设计协议实现规程,保证协议的软件实现是符合规程的。最后就是保证网络协议软件的可信性。
第二个层面就是系统确保,要首先保证网络系统的功能是可预期的,要给出证据系统以证明网络系统的形式化方法起到了极其重要的作用,要提高网络系统没有漏洞的确信程度,要有网络系统的自防护能力,使得无论在系统生命周期的任意时刻,即便漏洞作为系统的一部分有意或无意设计或插入的,也不能能够被利用起来形成攻击。再一个要保证网络系统在装配之后是可信的,可信的软件还需要可信的接口,以保证系统的可信性,要保证网络系统的系统工程。
