本章学习要点
- 掌握网络安全的概念及安全模型
- 掌握安全服务及安全标准
- 了解我国计算机网络安全等级标准
- 掌握常见的安全威胁和攻击
- 了解网络安全的现状与发展趋势
1.1 引言
在社会日益信息化的今天,信息已成为一种重要的战略资源,信息的应用也从原来的军事、科技、文化和商业渗透到当今社会的各个领域,它在社会生产、生活中的作用日益显著。传播、共享和增值是信息的固有属性,与此同时,又要求信息的传播是可控的,共享是授权的,增值是确认的,因此信息的安全和可靠在任何状况下都是必须要保证的。
计算机网络是信息社会的基础,已经进入社会的各个角落。经济、文化、军事和社会生活越来越多地依赖计算机网络。然而,网络本身的开放性在给人们带来巨大便利的同时,也带来了一些不容忽视的问题,计算机网络的安全性成为信息化建设的一个核心问题。
许多在计算机网络中存储、传输和处理的信息是政府宏观调控决策、商业经济信息、银行资金转账、股票证券、科研数据等重要信息,其中很多是敏感信息,甚至是国家机密。由于网络安全的漏洞,导致敏感信息泄露、信息篡改、数据破坏、恶意信息发布、计算机病毒发作等,由此造成的经济损失和社会不良影响难以估计。全世界计算机犯罪正以每年大于100%的速度增长,网络的黑客攻击事件也以每年10倍的速度递增。首例计算机病毒自1988年发现以来,计算机病毒种类的数量正在呈几何级数的速度增长。利用计算机实施金融犯罪已经渗透到了我国金融行业的各项业务。近几年已经掌握和破获了100多起金融犯罪,涉及金额几亿元。据有关部门统计,国内90%以上的电子商务网站存在着严重的安全漏洞,网络的安全问题正面临着日益严重的威胁。
1.2 网络安全概念
国际标准化组织(ISO)7498-2安全体系结构文献定义,安全就是最小化资产和资源的漏洞。资产可以指任何事物。漏洞是指任何可以造成破坏系统或信息的弱点。
网络安全(Network Security)是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学。下面给出网络安全的一个通用定义。
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
从内容上看,网络安全大致包括以下4个方面的内容。
- 网络实体安全:如计算机硬件、附属设备及网络传输线路的安装及配置。
- 软件安全:如保护网络系统不被非法侵入,软件不被非法篡改,不受病毒侵害等。
- 数据安全:保护数据不被非法存取,确保其完整性、一致性、机密性等。
- 安全管理:运行时突发事件的安全处理等,包括采取计算机安全技术、建立安全制度、进行风险分析等。
从特征上看,网络安全包括5个基本要素。
- 机密性:确保信息不泄露给非授权的用户、实体。
- 完整性:信息在存储或传输过程中保持不被修改、不被破坏和不会丢失的特性。
- 可用性:得到授权的实体可获得服务,攻击者不能占用所有的资源而阻碍授权者的工作。
- 可控性:对信息的传播及内容具有控制能力。
- 可审查性:对出现的安全问题提供调查的依据和手段。
1.2.1 安全模型
通信双方想要传递某个信息,需建立一个逻辑上的信息通道。通信主体可以采取适当的安全机制,包括以下两个部分。
- 对被传送的信息进行与安全相关的转换,包括对消息的加密和认证。
- 两个通信主体共享不希望对手知道的秘密信息,如密钥等。
图1.1所示为网络安全的基本模型。
为了获得消息的安全传输,还需要一个可信的第三方,其作用是负责向通信双方分发秘密消息或者在通信双方有争议时进行仲裁。
并非所有的同安全相关的情形都可以用上述安全模型来描述,如目前万维网(WWW)的安全模型就应当另当别论。由于其通信方式大都采用客户/服务器方式来实现,由客户端向服务器发送信息请求,然后服务器对客户端进行身份认证,根据客户端的相应权限来为客户端提供特定的服务,因此,其安全模型可以采用如图1.2所示的安全模型来描述。其侧重点在于如何有效地保护客户端对服务器的安全访问,以及如何有效地保护服务器的安全性。
这种安全模型同现实中的黑客入侵相吻合,客户端本身就可以是对手或者敌人,他可以利用大量的网络攻击技术来对服务器系统构成安全威胁,这些攻击可以利用网络服务的安全缺陷、通信协议的安全缺陷、应用程序或者网络设备本身的安全漏洞来实施。
为了有效地保护模型中信息系统的各种资源以及对付各种网络攻击,在模型中加入了守卫(Guard)功能。守卫可以有效地利用安全技术对信息流进行控制,如对客户端进行身份认证、对客户端对服务器的请求信息进行过滤、对服务器的资源进行监视审计等,从而可以抵御大部分的安全攻击。
下面介绍几种常见的网络安全模型。
(1)P2DR安全模型
美国国际互联网安全系统公司(ISS)提出的P2DR安全模型是指策略(Policy)、防护(Protection)、检测(Detection)和响应(Response),如图1.3所示。
P2DR安全模型可以描述为
安全=风险分析+执行策略+系统实施+漏洞监视+实时响应
P2DR安全模型认为没有一种技术可以完全消除网络中的安全漏洞,必须在整体安全策略的控制、指导下,在综合运行防护工具的同时,利用检测工具了解和评估系统的安全状态,通过适当的反馈将系统调整到相对安全和风险最低的状态,才能达到所需的安全要求。P2DR依据不同等级的系统安全要求来完善系统的安全功能、安全机制,是整体的、动态的安全模型,也称为可适应安全模型(Adaptive Network Security Model,ANSM)。
① 策略。安全策略具有一般性和普遍性。一个恰当的安全策略总会把关注的核心集中到最高决策层认为必须值得注意的那些方面。概括地说,当设计所涉及的那个系统在进行操作时,必须明确在安全领域的范围内,什么操作是明确允许的,什么操作是一般默认允许的,什么操作是明确不允许的,什么操作是默认不允许的。建立安全策略是实现安全的最首要的工作,也是实现安全技术管理与规范的第一步。目前,如何能使安全策略与用户的具体应用紧密结合是计算机网络安全系统面临的最关键问题。因此,安全策略的制定实际上是一个按照安全需求,依照应用实例不断精确细化的求解过程。
安全策略是P2DR安全模型的核心,所有的防护、检测、响应都是依据安全策略实施的,安全策略为安全管理提供管理方向和支持手段。策略体系的建立包括安全策略的制定、评估、执行等。只有对计算机网络系统进行了充分的了解,才能制定出可行的安全策略。
② 防护。防护就是采用一切手段保护计算机网络系统的保密性、完整性、可用性、可控性和不可否认性,预先阻止攻击可以发生的条件产生,让攻击者无法顺利地入侵。因此,防护是网络安全策略中最重要的环节。
防护可以分为三大类:系统安全防护、网络安全防护和信息安全防护。
- 系统安全防护是指操作系统的安全防护,即各个操作系统的安全配置、使用和打补丁等。
- 网络安全防护指的是网络管理的安全,以及网络传输的安全。
- 信息安全防护指的是数据本身的保密性、完整性和可用性。
③ 检测。安全策略的第二个安全屏障是检测。检测是动态响应和加强防护的依据,是强制落实安全策略的工具,通过不断地检测和监控网络及系统来发现新的威胁和弱点,通过循环反馈来及时作出有效的响应。
网络的安全风险是实时存在的,检测的对象主要针对系统自身的脆弱性及外部威胁,主要包括检查系统本身存在的脆弱性;在计算机系统运行过程中,检查、测试信息是否发生泄露、系统是否遭到入侵,并找出泄漏的原因和攻击的来源。
在安全模型中,防护(P)和检测(D)之间有互补关系。如果防护部分做得很好,绝大多数攻击事件都被阻止,那么检测部分的任务就很少了;反过来,如果防护部分做得不好,检测部分的任务就很多。
④ 响应。响应就是在检测到安全漏洞或一个攻击(入侵)事件之后,及时采取有效的处理措施,避免危害进一步扩大,目的是把系统调整到安全状态,或使系统提供正常的服务。通过建立响应机制和紧急响应方案,能够提高快速响应的能力。
(2)PDRR安全模型
网络安全的整个环节可以用一个最常用的安全模型——PDRR模型来表示,如图1.4所示。PDRR是防护(Protection)、检测(Detection)、响应(Response)、恢复(Recovery)4个英文单词的头一个字母。
PDRR安全模型中安全策略的前3个环节与P2DR安全模型的后3个环节的内涵基本相同。最后一个环节“恢复”,是指系统被入侵之后,把系统恢复到原来的状态,或者比原来更安全的状态。系统的恢复过程通常需要解决两个问题:一是对入侵所造成的影响进行评估和系统的重建;二是采取恰当的技术措施。系统的恢复主要有重建系统、通过软件和程序恢复系统等方法。
PDRR安全模型阐述了一个结论:安全的目标实际上就是尽可能地增加保护时间,尽量减少检测时间和响应时间,在系统遭受到破坏后应尽快恢复,以减少系统暴露时间。也就是说,及时的检测和响应就是安全。
(3)MPDRR安全模型
MPDRR安全模型是对PDRR模型的进一步完善,如图1.5所示。MPDRR中的M(Management)是管理。
MPDRR安全模型是对防护、检测、响应、恢复这4个环节进行统一的安全管理和协调,使系统更加安全。
1.2.2 安全体系
ISO(国际标准化组织)1989年制定的ISO/IEC 7498-2,给出了ISO/OSI参考模型的安全体系结构,在OSI参考模型中增设了安全服务、安全机制和安全管理,并给出了OSI网络层次、安全服务和安全机制之间的逻辑关系,定义了5大类安全服务,提供这些服务的8大类安全机制以及相应的与开放系统互连的安全管理。
1.安全体系
一般把计算机网络安全看成一个由多个安全单元组成的集合。其中,每一个安全单元都是一个整体,包含了多个特性。可以从安全机制的安全问题、安全服务的安全问题以及开发系统互连(ISO/OSI)参考模型结构层次的安全问题3个主要特性去理解一个安全单元。所以安全单元集合可以用一个三维的安全空间去描述,如图1.6所示。图中描述了一个三维的计算机网络安全空间,反映了计算机网络安全中OSI模型、安全服务和安全机制之间的关系。
计算机网络系统的安全体系需要综合多方面进行考虑,如图1.7所示。
2.安全服务
针对网络系统受到的威胁,为了确保系统的安全保密性,ISO安全体系结构定义了5种类型的安全服务,并在物理层、网络层、传输层和应用层上配置安全服务。
① 鉴别服务:它的目的在于保证信息的可靠性。实现身份认证的主要方法包括口令、数字证书、基于生物特征(比如指纹、声音等)的认证等。
② 访问控制服务:确定一个用户或服务可能用到什么样的系统资源,是查看还是改变。一旦一个用户通过认证,操作系统上的访问控制服务确定此用户将能做些什么。
③ 数据完整性服务:指网络信息未经授权不能进行改变的特性,它要求保持信息的原样,即信息的正确生成、正确存储和正确传输。完整性与保密性不同,保密性要求信息不被泄露给未授权的人,而完整性则要求信息不受到各种原因的破坏。
④ 数据保密服务:指保护数据只被授权用户使用。根据发布信息的内容不同,可以使用几个不同的保护级别。保密性的另一方面是保护通信流,以防止被分析。数据保密性实现的手段包括物理加密、防窃听、防辐射、信息加密等。
⑤ 抗抵赖性服务:指防止发送方或接收方否认消息的发送或接收。当消息发出时,接收方可以证实消息确实是从声明的发送方发出。与此类似,当接收到消息时,发送方也能证实消息确实由声明的接收方接收了。实现抗抵赖性的主要手段有数字签名等方法。
3.安全机制
安全服务依赖于安全机制的支持。安全机制是一种技术、一些软件或实施一个或更多安全服务的过程。ISO把机制分成特殊的和普遍的。一般的安全机制都列出了同时实施一个或多个安全服务的执行过程。特殊安全机制和一般安全机制不同的另一个要素是一般安全机制不能应用到OSI参考模型的任一层。
一个特殊的安全机制是在同一时间只对一种安全服务实施一种技术或软件。加密就是特殊安全机制的一个例子。尽管可以通过使用加密来保证数据的保密性、数据的完整性和不可否定性,但实施每种服务时都需要不同的加密技术。
ISO安全体系结构提出了8种基本的安全机制,将一个或多个安全机制配置在适当层次上以实现安全服务。
- 加密机制。
- 数字签名机制。
- 访问控制机制。
- 数据完整性机制。
- 认证(鉴别)机制。
- 通信业务填充机制。
- 路由选择控制机制。
- 公证机制。
我们知道,TCP/IP刚出现时,协议设计者对网络安全方面考虑得较少。随着Internet的快速发展,它的各种安全脆弱性逐步体现出来,但是又不能设计一种全新的协议来取代TCP/IP,因此,相对于ISO/OSI的网络安全体系结构,Internet的安全体系结构有点类似于打补丁,它是在各个层次上加上相应的安全协议来进行处理的,如表1.1所示。
TCP/IP各层与ISO/OSI安全服务的对应关系如表1.2所示。
4.安全服务和安全机制的关系
安全服务与安全机制有着密切的联系,安全服务是由安全机制来实现的,体现了安全系统的功能。一个安全服务可以由一个或几个安全机制来实现;同样,同一个安全机制也可以用于实现不同的安全服务,安全服务和安全机制并不是一一对应的。它们的关系如表1.3所示。
1.2.3 安全标准
安全标准按照制定的组织和实施的国家不同存在多种标准,一般有OSI安全体系技术标准、可信任计算机标准评估准则(TCSEC)和我国的计算机网络安全等级标准。OSI安全体系技术标准属于国际标准,可信任计算机标准评估准则是由美国制定的,为实现对网络安全的定性评价,该标准认为要使系统免受攻击,对应不同的安全级别,硬件、软件和存储的信息应实施不同的安全保护,而安全级别对不同类型的物理安全、用户身份验证、操作系统软件的可信任性和用户应用程序进行了安全描述。
TCSEC将网络安全性等级划分为A、B、C、D这4类共7级,如表1.4所示,其中,A类安全等级最高,D类安全等级最低。
1.D1级
D1级是最低的安全形式,整个计算机是不可信任的。拥有这个级别的操作系统就像一个门户大开的房子,任何人可以自由进出,是完全不可信的。对于硬件来说,是没有任何保护措施的,操作系统容易受到损害,没有系统访问限制和数据限制,任何人不需要任何账户就可以进入系统,不受任何限制就可以访问他人的数据文件。
属于这个级别的操作系统有DOS、Windows、Apple的Macintosh System 7.1。
2.C1级
C级有两个安全子级别:C1和C2。
C1级,又称有选择地安全保护或称酌情安全保护(Discretionary Security Protection)系统,它要求系统硬件有一定的安全保护(如硬件有带锁装置,需要钥匙才能使用计算机),用户在使用前必须登记到系统。另外,作为C1级保护的一部分,允许系统管理员为一些程序或数据设立访问许可权限等。
它描述了一种典型的UNIX系统上的安全级别。用户拥有注册账号和口令,系统通过账号和口令来识别用户是否合法,并决定用户对信息拥有什么样访问权。
C1级保护不足之处在于用户直接访问操作系统的根用户。C1级不能控制进入系统的用户访问级别,所以用户可以将系统中的数据任意移走,他们可以控制系统配置,获取比系统管理员允许的更高权限。
3.C2级
C2级又称访问控制保护,能够实现受控安全保护、个人账户管理、审计和资源隔离。
C2级针对C1级的不足之处增加了几个特征,引进了访问控制环境(用户权限级别)的特征,该环境具有进一步限制用户执行某些命令或访问某些文件的权限,而且还加入了身份验证级别。另外,系统对发生的事情加以审计(Audit),并写入日志当中。审计可以记录下系统管理员执行的活动,同时还附加有身份验证。审计的缺点在于它需要额外的处理器时间和磁盘资源。
使用附加身份认证就可以让一个C2系统用户在不是根用户的情况下有权执行系统管理任务。不要把这些身份验证和应用于程序的SGID和SUID相混淆,身份认证可以用来确定用户是否能够执行特定的命令或访问某些核心表。
授权分级是系统管理员能够给用户分组,授予他们访问某些程序的权限或访问分级目录。
用户权限可以以个人为单位授权用户对某一程序所在的目录进行访问。如果其他程序和数据也在同一目录下,那么用户也将自动得到访问这些信息的权限。
能够达到C2级的常见操作系统有UNIX系统、XENIX、Novell 3.x或更高版本、Windows NT。
4.B1级
B级中有3个级别,B1级即标号安全保护(Labeled Security Protection),是支持多级安全(如秘密和绝密)的第一个级别,这个级别说明一个处于强制性访问控制之下的对象,系统不允许文件的拥有者改变其许可权限。
B1级安全措施的计算机系统随操作系统而定。政府机构和系统安全承包商是B1及计算机系统的主要拥有者。
5.B2级
B2级又叫作结构保护(Structured Protection),要求计算机系统中所有的对象都加标签,而且给设备(磁盘、磁带和终端)分配单个或多个安全级别。这里提出了较高安全级别的对象与另一个较低安全级别的对象通信的第一个级别。
6.B3级
B3级又称安全域级别(Security Domain),使用安装硬件的方式来加强域。B3级可以实现以下功能。
① 引用监视器参与所有主体对客体的存取,以保证不存在旁路。
② 审计跟踪能力强,可以提供系统恢复过程。
③ 支持安全管理员角色。
④ 用户终端必须通过可信通道才能实现对系统的访问。
⑤ 防止篡改。
7.A级
A级也称为验证保护级或验证设计(Verity Design),是当前的最高级别,包括一个严格的设计、控制和验证过程。与前面提到的各级别一样,这一级别包含了较低级别的所有特性。设计必须是从数学角度上经过验证的,而且必须进行秘密通道和可信任分析的分布。可信任分布(Trusted Distribution)的含义是硬件和软件在物理传输过程中已经受到保护,以防止破坏安全系统。
由公安部主持制定、国家质量技术监督局发布的中华人民共和国国家标准GB 17895—1999《计算机信息系统安全保护等级划分准则》已经正式颁布,并于2001年1月1日起实施。该准则将信息系统安全分为如下5个等级。
- 自主保护级。
- 系统审计保护级。
- 安全标记保护级。
- 结构化保护级。
- 验证保护级。
主要的安全考核指标有自主访问控制、身份鉴别、数据完整性、客体重用、审计、强制访问控制、安全标记、隐蔽信道分析、可信路径和可信恢复等,这些指标涵盖了不同级别的安全要求。信息系统的5个级别如表1.5所示。
在此标准中,一个重要的概念是可信计算基(TCB)。可信计算基是一个实现安全策略的机制,包括硬件、固件和软件,它们将根据安全策略来处理主体(如系统管理员、安全管理员、用户等)对客体(如进程、文件、记录、设备等)的访问。
(1)自主访问控制
计算机信息系统可信计算基定义和控制系统中命名客体的访问。实施机制运行命名用户和用户组的身份规定,控制客体的共享阻止非授权用户读取敏感信息,并控制权限扩散。自主访问控制机制根据用户指定方式或默认方式,阻止非授权用户访问客体。
(2)身份鉴别
计算机信息系统可信计算基初始执行时,首先要求用户标识自己的身份,并使用保护机制来鉴别用户的身份,阻止非授权用户访问用户身份鉴别数据。通过为用户提供唯一标识,计算机信息系统可信计算基能够使用户对自己的行为负责。
(3)数据完整性
计算机信息系统可信计算基通过自主和强制完整性策略,阻止非授权用户修改或破坏敏感信息。在网络环境中,使用完整性敏感标记来确信信息在传输中未受损。
(4)客体重用
在计算机信息系统可信计算基的空闲存储空间中,对客体初始指定、分配或再分配一个主体之前,撤消该客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问权时,当前主体不能获得原主体活动所产生的任何信息。
(5)审计
计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它的访问或破坏。
计算机信息系统可信计算基能记录下述事件:使用身份鉴别机制将客体引入用户地址空间(如打开文件、程序初始化);删除客体;由操作员、系统管理员或(和)系统安全管理员实施的动作,以及其他与系统安全有关的事件。对于每一事件,其审计记录包括事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件,审计记录包含来源(如终端标识符);对于客体引入用户地址空间的事件及客体删除事件,审计记录包含客体名。
对不能由计算机信息系统可信计算基独立分辨的审计事件,审计机制提供记录接口,可由授权主体调用。
(6)强制访问控制
计算机信息系统可信计算基对所有主体及其控制的客体(如进程、文件、设备)实施强制访问控制,为这些主体及客体制定敏感标记。计算机信息系统可信计算基支持两种或两种以上成分组成的安全级。计算机信息系统可信计算基控制的所有主体对客体的访问应满足仅当主体安全级中的等级分类高于或等于客体安全级别中的等级分类,且主体安全级中的非等级分类包含了客体安全级中的全部非等级类别,主体才能读客体;仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类,且主体安全级中的非等级分类包含了客体安全级中的非等级分类,主体才能写一个客体。
计算机信息系统可信计算基使用身份和鉴别数据,鉴别用户的身份,并保证用户创建的计算机信息系统可信计算基外部主体的安全级和授权受该用户的安全级和授权的控制。
(7)标记
计算机信息系统可信计算基应维护与主体及其控制的存储客体(如进程、文件、设备)相关的敏感标记。这些标记是实施强制访问控制的基础。为了输入未加安全标记的数据,计算机信息系统可信计算基向授权用户要求并接受这些数据的安全级别,且可由计算机信息系统可信计算基审计。
(8)隐蔽信道分析
系统开发者彻底搜索隐藏存在信道,并根据实际测量或工程估算确定每个被标识信道的最大带宽。
(9)可信路径
当连接用户时(如注册、更改主体安全级),计算机信息系统可信计算基提供它与用户之间的可信通信路径。可信通信路径的通信只能由该用户或计算机信息系统可信计算基激活,且在逻辑上与其他路径上的通信相隔离,并能正确地加以区分。
(10)可信恢复
计算机信息系统可信计算基提供过程和机制,保证计算机信息系统失效或中断后,可以进行不损害任何安全保护性能的恢复。
在该标准中,级别从低到高,每一级都将实现上一级的所有功能,并且有所增加。
1.2.4 安全目标
保障网络安全的基本目标就是要能够具备安全保护能力、隐患发现能力、应急反应能力和信息对抗能力。
- 安全保护能力:采取积极的防御措施,保护网络免受攻击、损害;具有容侵能力,使得网络在即使遭受入侵的情况下也能够提供安全、稳定、可靠的服务。
- 隐患发现能力:能够及时、准确、自动地发现各种安全隐患,特别是系统漏洞,并及时消除安全隐患。
- 应急反应能力:当出现网络崩溃或其他安全问题,能够以最短的时间、最小的代价恢复系统,同时使用户的信息资产得到最大程度的保护。
- 信息对抗能力:信息对抗能力已经不只是科技水平的体现,更是综合国力的体现。未来的战争无疑是始于信息战,以网络作为基础的信息对抗将在一定程度上决定战争的胜负。
1.3 常见的安全威胁与攻击
计算机安全事业始于20世纪60年代。当时,计算机系统的脆弱性已日益为美国政府和相关机构所认识。但是,由于当时计算机的速度和性能比较落后,使用的范围也不广,再加上美国政府把它当作敏感问题而加以控制,因此,有关计算机安全的研究一直局限在比较小的范围内。
进入20世纪80年代后,计算机的性能得到了成百上千倍的提高,应用范围也在不断扩大,计算机已经遍及世界各个角落。并且,人们利用通信网络把独立的单机系统连接起来,相互通信和共享资源。但是,随之而来并日益严峻的问题是计算机信息的安全问题,人们在这方面所做的研究与计算机性能和应用的飞速发展不相适应。
Internet的不安全因素,一方面是来自其内在的特性——先天不足。Internet连接着成千上万的区域网络和商业服务供应商的网络。网络规模越大,通信链路越长,则网络的安全问题也随之增加。而且Internet在设计之初是以提供广泛的互连、互操作、信息资源共享为目的的,因此其侧重点并非在安全上,这在当初把Internet作为科学研究用途时是可行的,但是在当今电子商务炙手可热之时,网络安全问题已经成为一种阻碍。
另一方面是缺乏系统的安全标准。众所周知,IETF(Internet Engineering Task Force,Internet工程任务组)负责开发和发布Internet使用标准。随着Internet商业味道越来越浓,各个制造商为了各自的经济利益均采用自己的标准,而不是遵循IETF的标准化进程,这使得IETF的地位变得越来越模糊不清。从下面列举的安全通信协议标准之争可见一斑:安全超文本传输协议(Secure Hypertext Transfer Protocol,S-HTTP)、安全套接层(Secure Sockets Layer,SSL)和保密通信技术(Private Communication Technology,PCT)。
1.3.1 网络系统自身的脆弱性
网络安全的内容包括了系统安全和信息安全两个部分。系统安全主要指网络设备的硬件、操作系统和应用软件的安全;信息安全主要指各种信息的存储、传输的安全,主要体现在保密性、完整性及不可抵赖性上。对于系统安全威胁,主要是由于计算机网络系统的自身原因可能存在不同程度的脆弱性,为各种动机的攻击提供了入侵、骚扰或破坏系统的可利用的途径和方法。
1.硬件系统
网络硬件系统的安全隐患主要表现为物理安全方面的问题。计算机或网络设备(主机、显示器、电源、交换机、路由器等),除了难以抗拒的自然灾害外,温度、湿度、静电、电磁场等也可能造成信息的泄露或失效,甚至危害使用者的健康和生命安全。
2.软件系统
软件系统的安全隐患来源于设计和软件工程中的问题。软件设计中的疏忽可能留下安全漏洞,如“冲击波”病毒就是针对操作系统中的漏洞实施攻击。软件系统的安全隐患主要表现在操作系统、数据库系统和应用软件上。
3.网络和通信协议
目前在Internet上普遍使用的标准主要基于TCP/IP架构。TCP/IP在设计时基本上未考虑安全问题,不能提供通信所需的安全性和保密性。虽然TCP/IP经历了多次升级改版,但由于协议本身的先天不足,未能彻底解决其自身的安全问题。概括起来,Internet存在以下严重的安全隐患。
① 缺乏用户身份鉴别机制。TCP/IP使用IP地址作为网络节点的唯一标识,而IP地址很容易被伪造和更改。TCP/IP没有建立对IP包中源地址真实性的鉴别和保密机制,因此,Internet上任何一台主机都可以假冒另一主机进行地址欺骗,使得网上传输数据的真实性无法得到保证。
② 缺乏路由协议鉴别机制。TCP/IP在IP层上缺乏对路由协议的安全认证机制,对路由信息缺乏鉴别和保护。因此,可以通过Internet利用路由信息修改网络传输路径,误导网络分组传输。
③ 缺乏保密性。TCP/IP数据流采用的明文传输方式无法保障信息的保密性和完整性。
④ TCP/UDP的缺陷。TCP/UDP是基于IP上的传输协议,TCP分段和UDP数据包是封装在IP包中传输的,除可能面临IP层所遇到的安全威胁外,还存在TCP/UDP实现中的安全隐患。例如,攻击者可以利用TCP连接建立所需要的“三次握手”,使TCP连接处于“半打开状态”,实现拒绝服务攻击。UDP是个无连接协议,极易受到IP源路由和拒绝服务攻击。
⑤ TCP/IP服务的脆弱性。各种应用层服务协议(如FTP、DNS、HTTP、SMTP等)本身存在安全隐患,涉及身份鉴别、访问控制、完整性和机密性等多个方面。
1.3.2 网络面临的安全威胁
网络上存在着许许多多的安全威胁和攻击,这些威胁一般可分为意外威胁和故意威胁。意外威胁是指无意识行为所引起的安全隐患或破坏;故意威胁是指有意识行为所引起的针对网络的安全攻击和破坏。
具体来说,常见的网络威胁如下。
(1)非授权访问
没有预先经过同意就使用网络或计算机资源,这种现象被看作是非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息等。非授权访问主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
(2)信息泄露或丢失
信息泄露或丢失是指敏感数据在有意或无意中被泄露出去或丢失,它通常包括信息在传输中丢失或泄露(如利用电磁泄露或搭线窃听等方式可截获机密信息);通过对信息流向、流量、通信频度和长度等参数的分析,推出有用信息(如用户口令、账号等重要信息)。
(3)破坏数据完整性
破坏数据完整性是指以非法手段窃取对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加、修改数据,以干扰用户的正常使用。
(4)拒绝服务攻击
拒绝服务攻击是指采取不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。
(5)利用网络传播病毒
通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。
1.3.3 威胁和攻击的来源
综上所述的威胁和攻击,归纳起来可能来自以下几个方面。
(1)内部操作不当
信息系统内部人员操作不当,特别是系统管理员或安全管理员出现管理配置的误操作,可能会使设备不能正常运转,损害设备、破坏信息,甚至导致整个网络瘫痪。2000年有一个不完全统计称,造成信息破坏、不能正常提供服务的原因,有55%是误操作造成的。
(2)内部管理漏洞
信息系统内部缺乏健全的管理制度或制度执行不力,给内部人员违规和犯罪留下缝隙。其中以系统管理员和安全管理员的恶意违规和犯罪造成的危害最大。和来自外部的威胁相比,来自内部的攻击和犯罪更难防范,而且是网络安全威胁的主要来源,据统计,大约80%的安全威胁均来自系统内部。
(3)来自外部的威胁和犯罪
它又可以分为以下几类。
① 黑客攻击。它早在主机终端时代就已经出现。随着Internet的发展,现代黑客从以系统为主的攻击转为以网络为主的攻击,攻击手段不断更新,造成的危害也日益扩大。
② 计算机病毒。它是一段附着在其他程序上的可以实现自我繁殖的程序代码,它可以在未经用户许可,甚至在用户不知道的情况下改变计算机的运行方式。
③ 拒绝服务攻击。它是一种破坏性攻击,最早的拒绝服务攻击是“电子邮件炸弹”。它的表现方式是用户在很短的时间内收到大量无用的电子邮件,从而影响正常业务的运行。严重时会使系统死机,网络瘫痪。
1.4 网络安全的现状和发展趋势
随着信息技术和信息产业的发展,网络和信息安全问题及其对经济发展、国家安全和社会稳定的重大影响,正日益突出地显示出来,主要表现在以下几个方面。
- 信息与网络安全的防护能力弱,信息安全意识低。
- 基础信息产业薄弱,核心技术严重依赖国外,缺乏自主知识产权产品。
- 信息犯罪在我国有快速发展蔓延的趋势。
- 我国信息安全人才培养还远远不能满足要求。
当前网络安全发展趋势在于针对系统漏洞问题、黑客攻击与病毒以及窃取数据等威胁采取不同的防护和解决方法。首先是系统漏洞问题,除了Microsoft的漏洞外,Cisco路由器、Oracle数据库、Linux操作系统、移动通信系统以及很多特定的应用系统,均存在大量的漏洞。系统漏洞从出现到被利用之间的时间将会越来越短,直至零时间。2003年8月出现的“冲击波”病毒利用的是仅公布了26天的漏洞。控制系统中的漏洞已成为人们必须考虑的首要问题。
其次是对于集黑客攻击和病毒特征于一体的网络攻击,目前的病毒早已不再是传统的病毒,而是集黑客攻击和病毒特征于一体的网络攻击行为。针对这种混合型的威胁,仅仅靠反病毒产品是无法对付的,必须增加防火墙、IDS以及反病毒等综合防范措施。
最后是针对窃取用户机密数据的威胁,尤其适用于电子商务、电子银行、电子证券、网络商城、网络游戏等一系列依靠网络的新兴工作领域。
针对以上网络和信息安全的问题,需要一个完整的安全方案设计。具体的安全方案设计原则如下:需求、风险、代价平衡分析原则,综合性、总体性原则,一致性原则,易操作性原则,适应性及灵活性原则,多重保护原则和分布实施原则。
京公网安备 11010602100287
