20.3  认证和标准

如果本章的标题有点儿让您感到退缩，别担心。计算机安全是一个复杂和广阔的话题，无数书籍、Web网站和杂志都是这么说它的。幸好人们已经做了大量工作来帮助把获得的资料加以量化和组织。现在有几十种标准和认证，尽职尽责的Linux系统管理员应该认识到它们的指导作用。

在信息安全领域中最基本的思想原则之一被不正式地称为“CIA安全三原则（CIA triad）”。

这个首字母缩写词代表：

—  机密性（Confidentiality）；

—  完整性（Integrity）；

—  可用性（Availability）。

数据机密性关注数据的保密。实质上，应该把对信息的访问限制在获得授权的人手里。身份验证、访问控制和加密是机密性的几个组成部分。如果一个黑客侵入了Linux系统，窃取了包含客户联络信息的数据库，就意味着发生了破坏机密性的事件。

完整性同信息的真实性有关系。数据完整性技术要保证信息合法有效，且不会以未经授权的方式被修改。它也规定了信息来源的可信度。但一个安全的Web网站提供了一个签发的SSL证书，它就向用户证明了，不仅它发送的信息是加密的，而且有一个可信的CA（certificate authority，认证中心），比如VeriSign或者Equifax已经核实了信息源的身份。PGP和Kerberos这样的技术也能保障数据的完整性。

信息必须在授权用户需要的时候才提供给他们，否则持有信息就没什么作用。不是由入侵者造成的中断，比如由管理上的错误或者电力中断造成的中断，都归入可用性问题的一类。遗憾的是，在问题发生之前，可用性总是被忽视。

只要您设计、实现或者维护Linux系统，就要考虑CIA安全三原则。正如安全方面的老话说的那样，“安全是一个过程”。

20.3.1  认证

这个CIA速成仅仅是对更大的信息安全领域的一个简要介绍。大企业经常雇用许多全职员工，他们的工作就是保卫信息安全。为了获得专业领域内的资格认证和掌握最新知识，这些职员会参加培训课程和取得证书。就像我们取得了最流行的几种证书那样，您可以自己准备。

认可范围最广的安全证书之一是CISSP，即信息系统安全认证专家（Certified Information Systems Security Professional）。该认证由(ISC)²（International Information Systems Security Certification Consortium，国际信息系统安全认证协会）主持。CISSP的诱人之处之一就是(ISC)²的“共识”（CBK，common body of knowledge）概念，CBK实质上是信息安全领域内得到业界广泛使用的最佳做法。CBK涵盖法律、密码、身份验证、物理安全等。对于安全人员来说，它是一个参考宝库。

一直以来，对CISSP就存在这样的批评，即它太注重覆盖面的广度，因而缺乏深度。CBK里有那么多的专题，而时间又那么短！为了解决这个问题，(ISC)²推出了CISSP在体系结构、工程和管理领域的专项（concentration）认证。这些专门性的证书给CISSP通用证书增加了深度。

SANS（System Administration，Networking，and Security，系统管理、网络和安全）协会在1999年创立了GIAC（Global Information Assurance Certification，全球信息保障证书）系列认证。30多项独立的考察覆盖了整个信息安全领域，考试分为5类。证书按难度分，有中级的GISF（两次网上考试）、专家级的GSE（23小时的网上考试）。GSE有业界最难认证考试之一的美誉。其中的许多考试都着重技术规范，只要求一点点经验。

最后，CISA（Certified Information Systems Auditor，信息系统认证审计师）资格是一个审计和处理证书。它的重点在业务连续性、规程、监视和其他管理内容。有些人认为CISA是一个中级证书，适用于单位里负责安全工作的领导角色。它最吸引人的方面之一是它只包括一项考试。

虽然这些证书都是发给个人的，但毫无疑问，它们都能应用到公司业务上。现在，越来越多的公司把证书当作专家的标志。许多公司都给予有证书的雇员更多的关注和更高的职位。如果您决定拿一个证书，可以同您的单位密切结合，让单位帮助支付相关的费用。

20.3.2  标准

因为对数据系统的依赖性与日俱增，所以已经颁布了法律和规章制度来规范对敏感、重大信息的管理工作。美国主要的立法项目，如HIPAA、FISMA和SOX（Sarbanes-Oxley Act，萨班斯-奥克斯利法案）都已经包含了有关IT安全的内容。虽然这些法律提出的要求有时候落实起来很花钱，但它们确实让这个一度被忽视的技术方面得到了应有的重视。

遗憾的是，这些规定充满了法律术语，难以解释。大多数都没有具体说明如何达到要求。结果，人们又制定了很多标准，帮助系统管理员达到极高的法律要求。这些标准并不针对法律规定，但是遵守标准的话，就能保证符合法律。一下子面对所有这些不同标准的要求有点儿吓人，但这些计划起到了一种指导作用。

ISO/IEC 17799标准可能是世界上接受面最广的标准。它首先在1995年作为一种英国标准出现，标准长达34页，分为11个部分，涉及从政策到物理安全再到访问控制的各个领域。每个部分的目标规定了特定的要求，在每个目标下的控制方法说明了建议的“最佳实践”方案。

这些要求不涉及技术，任何单位都能以符合自身需要的方式实现要求。但缺点在于，标准里不具体的文字说明让读者有一种灵活性很强的感觉。批评人士指出，不具体的规定让实施标准的单位向攻击敞开了大门。

尽管如此，这个标准仍然是信息安全界最有价值的文件之一。它在管理和工程之间架起一座切实的桥梁，帮助双方将力量集中在把单位风险降至最低上面。

PCI DSS（Payment Card Industry Data Security Standard，支付卡业数据安全标准）是一种完全不同的标准。在银行卡交易爆炸性的发展之后，它唤起了业内需要加强安全的意识。例如，在2005年6月，国际信用卡系统服务公司（Card-Systems Services International）披露“丢失”了4千万个信用卡号。

据美国国土安全部估计，仅2004年一年，因身份盗窃而造成的损失就高达526亿美元。当然，这些损失不都和信用卡被盗直接有关，但是商家不断增加的警惕性肯定起到了正面作用。FBI甚至把信用卡诈骗联系到了恐怖分子的资金来源上。具体的事件包括在巴厘岛和马德里地铁发生的炸弹爆炸案。

尽管PCI DSS标准现在由Visa维护，但它是Visa和Mastercard之间共同努力的结果。和ISO 17799不同，任何人都能免费下载获得它。它完全集中在保护持卡人数据系统上，该标准有12个部分，规定了保护要求。

因为PCI DSS的重点在信用卡处理机构，所以它不适合于不涉及信用卡数据的商业领域。不过，对于那些涉及信用卡数据的领域来说，为避免严厉的罚款和可能的犯罪指控，必须严格遵守标准。您可以在Visa网站上的商品安全部分找到这份文件。

许多站点都编制了自定义的软件，用来满足自己独一无二的需求，但这往往会以安全为代价。容易出现缓冲区溢出、SQL注入和跨站点脚本化攻击，这些都是自编软件常见缺点的几个例子。还好，美国政府颁布了一个规范文件，帮助检验这类应用软件。国防部的“Application Security Checklist（应用软件安全复查表）”是一份全面的指南，它能指导如何检测应用软件，发现其安全弱点。

和本节讨论的其他标准不同，“Application Security Checklist（应用软件安全复查表）”深入具体的技术，有时候还触及为执行某项测试而应该运行的各条命令。该标准的可读性没有这里提到的其他标准那么好，也没有那么正式，但是它对于需要内部开发的站点特别有用。