绿盟安全月刊->第18期->技术专题 ASP（互联网应用服务提供商）安全策略与机制

作者：Dr. Bruce V. Hartley
整理：backend < mailto: backend@nsfocus.com >
主页：http://www.nsfocus.com
日期：2001-02-05

--[ 前言 ]----------------------------

具有深厚IT技术人才的短缺和企业软件产品开发费用的上升造就了新的开发模式
－－Application Service Provider（ASP）的出现。ASP使企业在不需要负担象
传统作坊式开发那样昂贵费用即可开发出大型、复杂的企业级应用。

通过使用ASP，企业可将在系统可用性、性能和可伸缩性方面的负担留给开发商。
然而在对这些方面的要求外，企业还必须考虑与安全性、隐私和敏感或私有数据
等问题。实际上，安全性已迅速成为许多ASP最关切的问题。对于安全性的关注
当然早已不是什么新鲜事。ASP模型的主要不同点在于许多安全控制和机制必须
由ASP提供和完成。


--[ 安全性的需要 ]----------------------------

如果经常阅读关于计算机领域的报道，就会发现经常总是有许多计算机犯罪或安
全事故的文章。自从2000年以来，新病毒或分布式拒绝服务（DDoS）已成为主要
的安全问题。据Yankee Group报道，因Yahoo、eBay、Amazon.com和其它网站受
到DDoS攻击所造成的损失达12亿美金。根据2000 Computer Security Institute
/FBI Computer Crime and Security Study报告，仅在1999年共有273家组织或
公司因计算机犯罪而造成$265,589,940美金的经济损失。

明显地，安全风险总是存在，计算机犯罪也总会发生。因此，为了尽可能降低安
全风险，安全策略和措施必须设计并实施。对于ASP，也起码有不少安全需求应
该关注。


--[ ASP安全策略 ]----------------------------

ASP应该为其应用架构制定如果管理和维护其内部安全状态的安全策略。例如口
令管理、安全审计、拨号访问和互联网访问等应在完整的企业IT安全策略中制定。

通常隐私策略被认为是对安全策略的扩展。大多数ASP将其隐私策略在网站上公
布。基本地，隐私策略应该指出ASP认为哪些数据是机密的，和这些数据如何能
和如何不能被使用。不幸的是，由政府隐私研究组织所属的Electronic Privacy
Information Center (EPIC)最近一份报告表明，虽然许多网站公布其隐私保护
策略，但实际上却极少真正被实施。

在1999年12月，EPIC发布一份题为"Surfer Beware III: Privacy Policies
without Privacy Protection"的报告。根据这份报告，在100家最受欢迎购物网
站中仅有一小部份为客户（例如购买的商品和在线习惯等）提供了足够的隐私保
护。EPIC同时还指出，没有一家网站实施了足够的由联邦贸易委员会（Federal
Trade Commision，FTC）制定的隐私保护条例"Fair Information Practices"。
因此不仅要阅读和了解隐私策略，还要确保ASP在系统中切实实施了策略，这是
非常重要的。


--[ ASP安全机制 ]----------------------------

为了验证ASP的安全策略和隐私策略，需要检查实施安全策略的机制和方法。最
起码，以下安全机制应该予以考虑。


* 标识和认证

一个对于任何ASP都必须要求的是正确标识和认证用户的能力。依赖于所要求的
安全等级，支持这一需求的机制可以有用户ID/口令、个人标识号码（PIN）和数
字证书等。

当评估标识和认证机制时，要考虑机制和实现两个方面。标准的用户标识和口令
模式应该有最少长度（至少6字符）和非字典单词的要求。另外，还应该限制非
授权访问企图，例如当固定次数的失败登录尝试时应该在一段时间内锁住该帐号。
如果该帐号被多次锁住，则应该锁住直到管理员和该帐号所有者取得联系。

PIN号码是另一种常见的用于增强标准用户名/口令安全的机制。在大多数的实现
中，当用户用其用户ID和口令成功登录到ASP时，该用户会被要求输入PIN号码，
这样就能提供另一层访问控制。最常见的是4字符（数字）的PIN号码系统。

对于更高程度的访问控制机制，许多公司正在逐步使用数字证书技术。现在的技
术趋势是不仅在用户认证时依赖数字证书解决方案，当用户被认证后还通过建立
加密的会话来支持事务的机密性。


* 访问控制

访问控制往往被认为是和标识与认证相关的。此观点既可以说对，也可以说不对，
这依赖ASP所提供的服务类型。标准的角色定义可以增强限制或访问控制特权。
例如，当一间公司可能有合作者或客户登录到ASP服务时。基于特定角色的访问
控制机制可以允许访问一组应用程序。


* 机密性保护

机密性通常与诸如SSL或DES等数据加密机制相关，其目的是保护在网络（例如互
联网）上传输的数据。当评估机密性机制时，需要考虑机制的强度和实现两个方
面。

对于机密性保护机制的强度有两个关键要素。第一个是加密密钥的长度。通常，
密钥越长，加密就越强壮。第二个是加密周期，或密钥修改的频度。这个周期可
以是基于固定值或者基于会话协商的值。

而对于机密性保护的实现，有几个要素需要被评估。登录会话是被保护还是用户
名和口令以明文在网络中传输？密钥是静态的还是基于会话的？保存在ASP的数
据是安全或加密格式还是明文格式？这是很重要的问题，因为一旦ASP被入侵了
则机密信息可能会被偷窃并在互联网上传播。如果数据不是以加密格式存放，就
应该研究如何保护和控制这些数据。


* 安全审计和入侵监测

安全审计和入侵监测的重要性在于提供前瞻性的安全监视能力。使用什么工具或
技术监视系统和网络活动以标识可能的来自外部和内部的攻击企图？ASP是否购
买了安全工具来支持这个需求？如果是，这些工具是实时运行还是基于基于事件
或日志分析的？或许ASP还会提供陷阱或对策来对付攻击者。安全审计和入侵监
测的关键是收集和估计安全相关的活动的能力。


* 事故反应能力

当ASP发现安全问题时会采取什么措施？从内部IT基础设施的角度出发，ASP是怎
样确定发生了安全事件？处理这些安全事件（例如系统被入侵或发现病毒）的标
准过程和程序是什么？另外，当发生安全问题或事故时如何通知ASP的客户？在
许多情况下这些事件往往都是内部处理而不会通知客户。而在某些情况下却必需
向客户报警，特别是攻击目标已确定是该客户，或客户数据已被破坏或偷窃。


* 备份能力

备份客户数据是ASP必须负责的另一个安全问题。备份策略是什么？是否有非现
场备份（以应付本地事故，例如火灾）？备份保留多长时间的数据？ASP能够制
定满足特殊行业需求或法定要求的备份策略？

可用性是另一个关键的安全问题。ASP是否有多个网络访问服务提供商以确保客
户在某个网络连接故障时仍能访问ASP？如果访问是通过互联网的，是否采用了
双宿主主机？是否提供拨号接入能力？

类似地，冗余服务器、磁盘阵列和互联网防火墙等是影响ASP提供持续安全服务
和访问的其它因素。网络应用服务的性能如何？ASP能否满足性能需求或服务等
级协议（Service Level Agreements，SLA）？


一定要确保坚固的安全策略得到周期性的当前安全机制有效性和实际系统配置的
评估。现在，许多ASP采用和第三方专业安全顾问合作来实施周期性的安全评估，
包括经ASP授权的渗透测试。这样可向ASP客户提供对ASP安全措施的公正评估。


<< 完 >>