下载掌阅APP,畅读海量书库
立即打开
理解信息安全的概念是解决信息安全问题的基础,只有理清了概念,才能找到解决问题的钥匙。
在英文中,与信息安全相关度最高的两个词汇是Information Security和Cyber Security。从词意本身来讲,Information Security的含义较广,包括一切与信息的产生、传递、储存、应用、内容等有关的安全问题;Cyber Security则更加明确,是指在网络空间中的安全,这是由于互联网在社会中的作用越来越重要,且信息安全事件通常都与互联网有着直接或间接的关系。因而,近年来在新闻报道、官方文件、学术论文和专著中,Cyber Security的使用频率更高。本书研究的也是网络空间(Cyberspace)中的信息安全。
由于信息、网络、安全这几个概念的内涵与外延一直呈现不断扩大和变化的趋势,对于信息安全,目前还没有一个统一的定义。为此,本节将从对信息安全的感性认识、安全事件的发生机理、安全的几大需求以及信息安全防护的发展等多个角度,带领读者认识信息安全。
迄今还没有严格的针对信息安全的定义。因此,当你发现以下这些问题的答案时就会对此有感性认识了。
●如果我们计算机的操作系统打过补丁(Patch),是不是就可以说这台机器是安全的?
●如果我们的邮箱账户使用了强口令(Password),是不是就可以说邮箱是安全的?
●如果我们的计算机与互联网完全断开,是不是就可以确保我们的计算机安全?
从某种程度上来讲,上面3个问题的答案都是“No”,因为:
●即使操作系统及时打过补丁,但是系统中一定还有未发现的漏洞,0 day漏洞就是指在系统商不知晓或是尚未发布相关补丁前就被掌握或者公开的漏洞信息。
●即使使用强口令,但是用户对于口令保管不善,例如遭受欺骗而泄露,或是被偷窥;另一方面,由于网站服务商管理不善,明文保存并泄露用户口令,均会造成强口令失效。
●即使我们的计算机完全与互联网断开,机器的硬件仍有被窃或是遭受自然灾害等被破坏的风险,计算机中的数据仍有通过移动存储设备被泄露的威胁。
基于以上的分析,很难对什么是安全给出一个完整的定义,但是我们可以从反面罗列一些什么是不安全的情况。例如:
●系统不及时打补丁。
●使用弱口令,例如使用“1234”甚至是“password”作为账户的口令。
●随意地从网络下载应用程序。
●打开不熟悉用户发来的电子邮件的附件。
●使用不加密的无线网络。
读者还可以针对特定的应用列举更多的不安全因素,例如针对一个电子文档分析它所面临的不安全因素,针对我们使用的QQ、微博等社交工具分析所面临的不安全因素。
下面我们从信息安全事件发生的原因,来阐述什么是信息安全。可以说一个安全事件(Security Event)的发生是由外在的威胁(Threat)和内部的脆弱点(Vulnerability)所决定的。这里,将安全事件发生的可能性称作风险(Risk)。
本书在讨论信息安全的概念时,没有直接提及攻击(Attack),因为相对于表象具体的攻击,安全事件更具有一般性。本章案例中的棱镜计划的泄露算不上是斯诺登发起的一次网络攻击,但这次机密信息的泄露的确算得上是一个安全事件。
发生信息安全事件的根源,是因为信息是经过加工的数据,是有价值的数据,人们对信息的依赖或是关注,引发了对信息的外在威胁。另一方面,信息在产生、存储、传播的过程中具有固有的脆弱性,互联网在组建时没有从基础上考虑安全性,它在设计之初的公开性与对用户善意的假设也是今天危机的根源。
对信息系统的威胁是指潜在的、对信息系统造成危害的因素。对信息系统安全的威胁是多方面的,目前还没有统一的方法对各种威胁加以区别,并进行准确的分类,因为不同威胁的存在及其重要性是随环境的变化而变化的。
本书将网络中的信息安全威胁分为3个层面:针对国家层面的国家行为的网络霸权威胁、非国家行为体的网络恐怖主义、网络谣言和网络社会动员;针对组织和个人的网络攻击威胁;针对个人的网络欺凌等威胁。
(1)网络霸权
作为世界上的唯一超级大国,美国要维护自己的霸权地位,自然不会放过网络空间这一新兴的“控制域”。美国在网络空间的霸权,体现在一套完备的网络空间战略上。这一战略包括争夺制网权战略、通过网络赋能提高武器打击效果的“网络中心战”战略、网络空间安全战略以及利用网络空间对他国进行政治和思想渗透的战略。
当前,连接计算机和海量传感器的网络是已经融为一体的世界的神经,而掌握住制网权、制电磁权就等于控制了这个世界的神经系统,其意义甚至大大超过19世纪的制海权、20世纪的制空权。为了牢牢把握制网络电磁空间权,美国政府多管齐下,应用了各种方法和手段。本章案例中斯诺登披露的针对全球的大规模网络监视就是网络霸权的突出体现,除此以外,网络霸权还体现在以下几个方面。
1)美国坚决把持全球互联网的域名解析权。互联网的域名是对应互联网数字地址的层次结构式网络字符标志,是网络世界的门牌号,具有唯一性和排他性的特点。由于域名与企业名称、商品标识或商标紧密相联,美国可以从中谋取重大的经济与战略利益。为控制域名解析权,美国早在1998年9月就成立互联网域名与地址管理公司(Internet Corporation for Asigned Names and Numbers,ICANN)。ICANN的董事会成员来自美国、巴西、保加利亚、德国、日本等国家,但美国商务部拥有最终否决权。
2)美国控制互联网根服务器。由于域名解析系统的管理模式呈根状分布,因此根服务器在域名管理中起着决定性作用,哪个国家控制根服务器,这个国家就会在互联网领域拥有巨大权力。目前全球共有1个主根服务器和12个副根服务器。放置在美国弗吉尼亚州杜勒斯市的主根服务器由美国的VeriSign公司负责管理。12个副根服务器中,有9个放置在美国,美国军方使用2个,美国国家航空航天局使用1个;另外3个副根服务器放置在英国、瑞典、日本等美国盟友手里。换句话说,美国拥有对根服务器的直接和间接控制权。只要美国愿意,只需将根服务器与二级域名服务器断开,美国便可瘫痪某个与之敌对的国家的互联网系统。2009年,应美国政府要求,微软公司曾切断古巴、叙利亚、伊朗、苏丹和朝鲜等5国的MSN服务,导致这5个国家的MSN用户无法登录该即时通信系统。
3)美国拥有世界上最大的和最主要的软件、硬件及互联网服务商。据相关机构的统计数据,全世界18个互联网软件公司中,有10个是美国公司,其中,微软(Microsoft)是世界最大的软件公司,该公司生产的操作系统广泛应用于个人电脑和服务器上;思科公司(Cisco Systems)是网络硬件生产领域的龙头,该公司生产的路由器、交换机、中继器等在国际市场上占有重要地位;瞻博网络(Juniper Networks)和博科通信系统(Brocade Commu-nications Systems)是世界著名的网络设备制造商,其路由器技术和存储交换机技术领先全球。先进的网络软、硬件制造技术和强大的生产能力是美国争夺网络电磁空间霸权的王牌之一,必要时可以威胁停止或实际终止向对手提供商品,陷对方于困境。此外,美国的主要软件商与美国政府均有着密切关系。在政府的授意下,美国软件商往往在它们制造的软件上嵌有后门,以便在必要时服务于美国的政治、经济和国家安全。
4)美国掌握着全球IP地址的分配权。在网络世界,IP地址的多寡犹如现实世界中一个国家地理版图的大小。由于美国控制了IP地址的分配,它将绝大多数的IP地址留给本国及其盟国的公司和民众使用,其他国家只能分得一点残羹冷炙。例如中国虽是网络大国,但IPv4/IPv6的地址和域名是从美国租借来的,严重受制于人。
5)美国积极研制网络空间武器,强化在网络空间领域的霸主地位。在军事领域,美国国防部将网络电磁空间视作与陆、海、空、天同类的第5个领域,并认为掌握制网权对维持其在其他4个领域内的霸权具有决定性意义。2009年,美国国防部部长盖茨宣布正式成立网络电磁空间战司令部。网络空间武器的研制成为主导网络空间的重要手段,如美国空军正在推进“赛博飞机”(Cybercraft)项目,旨在研制出一种能在第一时间保证作战指挥员对大到整个网络电磁空间,小到任意一台计算机进行瞬间感知与控制的武器。本章案例1-2中涉及的震网病毒也被认为是美国针对敌对国的一次网络战。
6)美国将互联网当作对他国进行意识形态渗透的重要工具。网络传播本质上不仅仅是信息的流动,而且包含网络参与者对信息的共享、协商、妥协和对抗,其中包括行动背后的观念、意志、情绪等深层次的活动。Web 2.0以个人为中心,网民既是信息的阅读者,同时也是信息的发布者、传播者、修改者。换句话说,由少数资源控制者集中控制主导的互联网体系开始转变为自下而上的由广大用户集体智慧和力量主导的互联网体系,开启了互联网的草根化时代。为此,美国充分利用网络空间的这些特性,同时倚重它在互联网技术方面拥有的国际霸权地位,将互联网当作对他国进行意识形态渗透的重要工具。始于突尼斯的“阿拉伯之春”就是美国利用具有“点对点”和“互动”特点的互联网,“自下而上”地推行其民主扩展战略的结果。
(2)网络恐怖主义
随着网络的扩张和发展,国家以外能够独立地参与国际事务的实体——非国家行为体开始出现,并不断发展壮大。非国家行为体可以通过网络联系处于不同地理位置的各地、各国人员,进行信息交流,并以网络为阵地宣传自己的主张,这就使得非国家行为体的活动范围扩大到国家社会的各个领域,其作用和影响力也空前提高,甚至在一些国际事务中取得了一定的话语权。
非国家行为体中对全球政治和经济造成的最大影响就是网络恐怖主义(Cyberterrorism),如著名的恐怖组织“基地组织”以及近期活跃的极端恐怖组织ISIS,就非常善于利用网络,通过散布激进言论、谣言、血腥视频,攻击和破坏网络系统等方式造成社会轰动效应,增加对方(通常是国家)民众的恐惧心理,以达到破坏其社会稳定,甚至颠覆国家政权的目的。
网络恐怖主义是传统恐怖主义在网络上的延伸,与传统恐怖主义相比,网络恐怖主义实施成本更低、恐怖来源分散、恐怖分子更加隐蔽、恐怖袭击的目标更大和更多、影响范围更广、防范难度更大。
(3)网络谣言和网络政治动员
互联网是匿名的,在虚拟的网名背后,真实世界中人物的背景和动机很难在网络上体现出来,这就给一些怀有特定目的的网络用户有了可乘之机,网络谣言和网络政治动员就是两种最常见的表现。
网络谣言是指通过网络介质(例如邮箱、聊天软件、社交网站、网络论坛等)传播的没有事实依据的言论,主要涉及突发事件、公共领域、名人要员、颠覆传统、离经叛道等内容。谣言传播具有突发性且流动速度极快,因此极易对正常的社会秩序造成不良影响。
所谓政治动员,是指在一定的社会环境与政治局势下,动员主体为实现特定的目的,利用互联网在网络虚拟空间有意图地传播针对性的信息,诱发意见倾向,获得人们的支持和认同,号召和鼓动网民在现实社会进行政治行动,从而扩大自身政治资源和政治行动能力的行为和过程。当然,网络政治动员的作用是双面的,如果合理利用,也可以产生良好的正面效果。
(4)网络欺凌
传统的欺凌是指任何故意用肢体和语言去伤害、威胁及孤立他人的行为。校园中常见的欺凌行为包括起绰号、谩骂、羞辱、排斥、动粗,以威逼和恐吓进行强迫、胁迫等。但是随着互联网的发展和普及,网络欺凌逐渐成为一种新的攻击方式。所谓网络欺凌是指个人或群体利用网络的便捷性,通过计算机或手机等电子媒介,以电子邮件、文字、图片、视频等方式对他人所进行的谩骂、嘲讽、侮辱、威胁、骚扰等人身攻击,从而造成受害者精神和心理创伤。
网络欺凌不像传统欺凌那样公开明显,它是一种冷暴力(Cold Violence)。根据网络欺凌实施的方式大致可以分为以下7类:情绪失控、网络骚扰、网络盯梢、网络诋毁、网络伪装、披露隐私和在线孤立。具体表现为:向受害者发送带有嘲笑性或是威胁性的短信;发送恶意邮件;利用博客等信息传播媒介擅自发布他人敏感的或是私密的信息,包括他人的个人资料、照片或视频等;在他人的网页上发表恶意攻击的或过分暧昧的信息;将他人的隐私信息资料上传到网上;冒充他人散播谣言,故意损毁他人形象;将某人排除在某一聊天室或虚拟社区之外,使之孤立,如拉黑等。
随着社交网站的盛行,网络欺凌成为越来越严重的社会问题。这种现象在青少年中间尤为普遍,虚拟网络世界已经取代校园,成为一些孩子欺凌同辈的空间,这是因为青少年普遍缺乏法律和网络道德意识,另外,他们认为在网上互相威吓、羞辱和折磨对方的行为,可以走出教师或家长的视线范围。
网上欺凌的严重性绝对不能低估,网络欺凌所导致的危害主要是因为网络的无国界性导致欺凌行为影响范围更广,表现形式的多样性导致欺凌现象更为严重,网络传播的匿名性使得监控欺凌行为变得困难,被欺者对欺凌事实的隐瞒导致对欺凌行为的干预更为困难。网络欺凌会给受害者造成巨大的心理伤害,对于青少年,会严重影响他们的健康成长,国内外曾发生多宗儿童因在网上受到羞辱而患上抑郁症,甚至自毁生命的事件。
(5)网络攻击与网络犯罪
黑客是计算机的孪生兄弟。1946年,在美国宾夕法尼亚大学诞生了世界上第一台计算机。此后不久,在美国的麻省理工学院和贝尔实验室就出现了黑客。
随着互联网技术及社会的发展,黑客的目的、攻击技术、攻击目标也在不断发展变化中。早期的黑客一般都是高级技术人员,他们热衷于挑战、崇尚自由并主张信息共享,有的还只是出于自我炫耀,通过黑掉一些网站、入侵信息系统来达到展示自己高超计算机技能的目的。随着网络应用的越来越广泛,网络对社会的生产和生活的影响越来越大,越来越多的黑客在政治、经济等因素的驱动下,开始从事以达到政治目的或获取经济利益为目标的非法网络攻击,攻击事件层出不穷。如图1-4所示,全球DDoS(Distributed Denial of Service,分布式拒绝服务)攻击数据可视化的在线站点(Digital Attack Map),实时展示了全球每天都在发生的DDoS攻击数据,包括DDoS数据来源,DDoS数据流量走向及目的地。
图1-4 全球DDoS攻击数据图
由于巨大利益的驱动,黑客攻击从以往的单兵作战逐渐转变为有组织的集群作战,在政治和军事上表现为政府和军队组织下的“网军”;在经济上表现为规模庞大的黑客产业链。2012年,清华大学网络与信息安全实验室和趋势科技联合发布的《中国信息安全地下产业链调查报告》,对我国互联网信息安全地下产业链进行了一次广泛而深入的结构性调查与实证数据分析,报告将地下产业链分为真实资产盗窃、网络虚拟资产盗窃、互联网资源与服务滥用、黑帽技术工具与培训这4大产业链,同时给出了它们之间的相互依赖关系。报告从产业链结构分析、角色与行话分析、各个环节技术手段剖析、典型案例研究等方面对4大地下产业链进行了深入分析和阐述,为我们揭露了让人触目惊心的黑幕。
图1-5 网络虚拟资产地下产业链结构
下面仅以我国互联网上的网络虚拟资产盗窃地下产业链为例,说明涉及的网络攻击形式与危害。如图1-5所示,网络虚拟资产盗窃地下产业链主要包括3个环节:首先是通过网络钓鱼、盗号木马等多种方式窃取网游、娱乐等互联网软件的账号密码;然后通过一个“洗信”环节,利用窃取的账号密码登录到账户中,从中窃取虚拟货币、网游装备等网络虚拟资产,或是对一些靓号账户和高级别账户修改认证密码等信息;最后通过网络营销渠道将窃取到的网络虚拟资产出售给游戏玩家,获得现实的金钱和利益。
在权威机构的统计数据中,2012年网络攻击犯罪让美国损失了207亿美元,710万网民成为受害者,平均每人损失290美元。2013年,中国破获网络犯罪案件17万起,直接经济损失约2300亿元,受害者接近3亿人,平均每分钟就有600余人被侵害。2013年,全球每10人中就有一人成为网络诈骗的受害者,可统计的网络犯罪使全球个人用户蒙受直接损失达1130亿美元,每天有150万人因此被侵害。
正常的信息流向应当是从合法发送端源地址流向合法接收端目的地址,如图1-6所示。
(1)中断威胁
中断(Interruption)威胁使得在用的信息系统毁坏或不能使用,即破坏其可用性,如图1-7所示。
图1-6 正常的信息流向
图1-7 中断威胁
攻击者可以从下列几个方面破坏信息系统的可用性:
●使合法用户不能正常访问网络资源。
●使有严格时间要求的服务不能及时得到响应。
●摧毁系统。物理破坏网络系统和设备组件使网络不可用,或者破坏网络结构使之瘫痪等,如硬盘等硬件的毁坏、通信线路的切断、文件管理系统的瘫痪等。
最常见的中断威胁是造成系统的拒绝服务,即信息或信息系统资源的被利用价值或服务能力下降或丧失。
(2)截获威胁
如图1-8所示,截获(Interception)威胁是指一个非授权方介入系统,使得信息在传输中被丢失或泄露的攻击,它破坏了保密性。非授权方可以是一个人、一个程序或一台计算机。
这种攻击主要包括:
●利用电磁泄露或搭线窃听等方式截获机密信息,通过对信息流向、流量、通信频度和长度等参数的分析,推测出有用信息,如用户口令、账号等。
●非法复制程序或数据文件。
(3)篡改威胁
如图1-9所示,篡改(Modification)威胁以非法手段窃得对信息的管理权,通过未授权的创建、修改、删除和重放等操作使信息的完整性受到破坏。
图1-8 截获威胁
图1-9 篡改威胁
这些攻击主要包括:
●改变数据文件,如修改数据库中的某些值等。
●替换某一段程序使之执行另外的功能,设置修改硬件。
(4)伪造威胁
如图1-10所示,在伪造(Fabrication)威胁中,一个非授权方将伪造的客体插入系统,破坏信息的可认证性。例如在网络通信系统中插入伪造的事务处理或者向数据库中添加记录。
图1-10 伪造威胁
信息系统中的脆弱点,有时又被称作脆弱性、弱点(Weak-nesses)、安全漏洞(Holes)。从物理安全、操作系统、应用软件、网络和通信协议以及人的因素等各个方面都存在已知或未知的脆弱点,它们为安全事件的发生提供了条件。
(1)物理脆弱点
计算机系统物理方面的安全问题主要表现在物理可存取、电磁泄露等方面。此外,物理安全问题还包括设备的环境安全、位置安全、限制物理访问、物理环境安全和地域因素等。例如机房安排的设备数量超过了空调的承载能力,移动存储器小巧易携带、即插即用、容量大等特性实际上也是这类设备的脆弱性。本书将在第2章进一步讨论物理脆弱点及对策。
(2)软件系统脆弱点
计算机软件可分为操作系统软件、应用平台软件(如数据库管理系统)和应用业务软件3类,以层次结构构成软件体系。操作系统软件处于基础层,它维系着系统硬件组件协调运行的平台,因此操作系统软件的任何风险都可能直接危及、转移或传递到应用平台软件。
应用平台软件处于中间层次,它是在操作系统支撑下,运行支持和管理应用业务的软件。一方面,应用平台软件可能受到来自操作系统软件风险的影响;另一方面,应用平台软件的任何风险可以直接危及或传递给应用业务软件。
应用业务软件处于顶层,直接与用户或实体打交道。应用业务软件的任何风险,都直接表现为信息系统的风险。
随着软件系统规模的不断扩大,软件组件中的安全漏洞或“后门”也不可避免地存在,这也是信息安全问题的主要根源之一。比如我们常用的操作系统,无论是Windows还是Mac OS(苹果计算机操作系统)几乎都存在或多或少的安全漏洞;众多的服务器软件(典型的如微软的IIS)、浏览器、数据库管理系统等都被发现过存在安全漏洞。可以说,任何一个软件系统都会因为程序员的一个疏忽、开发中的一个不规范等原因而存在漏洞。本书将在第5章和第7章进一步讨论系统软件和应用软件的脆弱点及对策。
(3)网络和通信协议脆弱点
人们在享受因特网技术给全球信息共享带来的方便性和灵活性的同时必须认识到,基于TCP(Transmission Control Protocol,传输控制协议)/IP(Internet Protocol,网络之间互连的协议)协议栈的因特网及其通信协议存在很多的安全问题。TCP/IP协议栈在设计时,只考虑了互联、互通和资源共享的问题,并未考虑也无法同时解决来自网络的大量安全问题。例如SYN Flooding拒绝服务攻击,即是利用传输控制协议3次握手中的脆弱点进行的攻击,用超过系统处理能力的消息来淹没服务器,使之不能提供正常的服务功能。本书将在第6章中进一步讨论网络系统的脆弱点及对策。
(4)人的脆弱点
人是信息活动的主体,人的因素其实是影响信息安全问题的最主要因素,例如下面3种情况。
1)人为的无意失误。如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会给网络安全带来威胁。
2)人为的恶意攻击。人为的恶意攻击也就是黑客攻击,出于炫耀技术,或是对组织、国家、社会发泄不满,黑客可以进行截获、窃取、破译以获得重要机密信息,也可以破坏国家重要基础设施系统的正常运行,还可以通过当前广泛存在的网络系统和终端传播谣言,引起国家经济和社会动荡。
3)管理上的因素。网络系统的严格管理是企业、组织机构及用户免受攻击的重要措施。事实上,很多企业、机构及用户的网站或系统都疏于安全方面的管理。此外,管理的缺陷还可能出现在系统内部,例如人员泄露机密或外部人员通过非法手段截获而导致机密信息的泄漏,从而为一些不法分子制造了可乘之机。
本节通过分析人们对信息安全的几大需求来理解什么是信息的“安全”。
如图1-11所示,CIA是典型的3个安全需求。
图1-11 信息安全的3大需求
(1)保密性(Confidentiality)
保密性是指确保信息资源仅被合法的实体(如用户、进程等)访问,使信息不被泄露给未授权的实体。这里所指的信息不但包括国家秘密,而且包括各种社会团体、企业组织的工作秘密及商业秘密,个人的秘密和个人隐私(如浏览习惯、购物习惯等)。保密性还包括保护数据的存在性,有时候存在性比数据本身更能暴露信息。特别要说明的是,对计算机的进程、中央处理器、存储、打印设备的使用也必须实施严格的保密措施,以避免产生电磁泄露等安全问题。
实现保密性的方法一般是通过对信息加密,或是对信息划分密级并为访问者分配访问权限,系统根据用户的身份权限控制对不同密级信息的访问。
(2)完整性(Integrity)
完整性是指信息资源只能由授权方或以授权的方式修改,在存储或传输过程中信息不被偶然或蓄意修改、伪造等破坏。完整性的破坏一般来自于未授权、未预期或无意的操作。不仅仅要考虑数据的完整性,还要考虑操作系统的逻辑正确性和可靠性,实现保护机制的硬件和软件的逻辑完备性、数据结构和存储的一致性。
实现完整性的方法一般分为预防和检测两种机制。预防机制通过阻止任何未经授权的方法来改写数据的企图,以确保数据的完整性。检测机制并不试图阻止完整性被破坏,而是通过分析用户、系统的行为,或是数据本身来发现数据的完整性是否遭受破坏。
(3)可用性(Availability)
可用性是指信息资源可被合法用户访问并按要求的特性使用而不遭遇拒绝服务。可用的对象包括信息、服务、IT资源等。例如在网络环境下破坏网络和有关系统的正常运行就属于对可用性的攻击。
为了实现可用性可以采取备份与灾难恢复、应急响应、系统容侵等许多安全措施。
除了以上介绍的一些得到广泛认可的安全属性,一些学者还提出了其他一些安全属性,如不可否认性(Non-Repudiation)、可认证性(Authenticity)、可控性(Controllability)、可审查性(Auditability)、可存活性(Survivability)等。
不可否认性通常又称为不可抵赖性,是指信息的发送者无法否认已发出的信息或信息的部分内容,信息的接收者无法否认已经接收的信息或信息的部分内容。实现不可抵赖性的措施主要有数字签名、可信第三方认证技术等。
可认证性是指保证信息使用者和信息服务者都是真实声称者,防止冒充和重演的攻击。可认证性比鉴别(Authentication)有着更深刻的含义,它包含了对传输、消息和消息源的真实性进行核实。
可控性是指对信息和信息系统的认证授权和监控管理,确保某个实体(用户、进程等)身份的真实性,确保信息内容的安全和合法,确保系统状态可被授权方所控制。管理机构可以通过信息监控、审计、过滤等手段对通信活动、信息的内容及传播进行监管和控制。
可审查性是指使用审计、监控、防抵赖等安全机制,使得使用者(包括合法用户、攻击者、破坏者、抵赖者)的行为有证可查,并能够对网络出现的安全问题提供调查依据和手段。审计是通过对网络上发生的各种访问情况记录日志,并对日志进行统计分析,是对资源使用情况进行事后分析的有效手段,也是发现和追踪事件的常用措施。审计的主要对象为用户、主机和节点,主要内容有访问的主体、客体、时间和成败情况等。
可存活性是指计算机系统在面对各种攻击或错误的情况下继续提供核心服务,而且能够及时恢复全部服务的一种能力。这是一个新的融合计算机安全和业务风险管理的课题,它的焦点不仅是对抗计算机入侵者,还要保证在各种网络攻击的情况下实现业务目标,保持关键的业务功能。
总之,网络空间安全的最终目标就是在安全法律、法规、政策的支持与指导下,通过采用合适的安全技术与安全管理措施,确保信息的上述安全需求。
信息安全的最根本属性是防御性,主要目的是防止己方信息的保密性、完整性与可用性遭到破坏。信息安全防护的概念与技术随着人们的需求,随着计算机、通信与网络等信息技术的发展而不断发展。早期,在计算机网络广泛使用之前,人们主要是开发各种信息保密技术,随着因特网在全世界范围商业化应用之后,信息安全进入网络信息安全阶段,近几年随着网络空间概念的出现,又发展出了网络空间“信息保障”(Information Assurance,IA)的新概念。下面分别介绍各个阶段的情况。
(1)通信保密
20世纪40~70年代,这一阶段面临的安全威胁主要是搭线窃听和密码学分析,因而人们主要关注传输过程中的数据保护。因此,这一阶段通过密码技术解决通信保密,保证数据的保密性和完整性。
这一阶段的标志性工作是:1949年Shannon发表《保密通信的信息理论》;1976年,Diffie和Hellman冲破人们长期以来一直沿用的对称密码体制,提出了一种公钥密码体制的思想,即Diffie-Hellman公钥分配系统(Public Key Distribution System,PKDS);1977年,美国国家标准局(National Bureau of Standard,NBS),即现在的美国国家标准与技术研究院(National Institute of Standard and Technology,NIST)公开征集,并正式公布实施的数据加密标准(Data Encryption Standard,DES)。公开DES加密算法,并广泛应用于商用数据加密,这在安全保密研究史上是第一次,它揭开了密码学的神秘面纱,极大地推动了密码学的应用和发展。本书将在第3.1节中介绍这些内容。
一般来说,好的密码难以破译,除非不正确地使用密码系统。因此人们企图寻找别的方法来截获加密传输的信息。20世纪50年代出现了通过电话线上的信号来获取报文的方法。20世纪80年代,国外发展出了以抑制计算机信息泄漏为主的TEMPEST(Transient Electro-magnetic Pulse Emaration Standard,瞬时电磁辐射标准)计划,它制定了用于十分敏感环境的计算机系统电子辐射标准,其目的是降低辐射以免信号被截获。本书将在第2.2节中介绍相关技术。
(2)计算机系统安全
20世纪70~90年代,人们主要关注于数据处理和存储时的数据保护。因此,研究集中在通过预防、检测,减小计算机系统(包括软件和硬件)用户(授权和未授权用户)执行的未授权活动所造成的后果。
这一阶段的标志性工作是:David Bell和Leonard LaPadula开发了一个安全计算机的操作模型(Bell-LaPadula,BLP模型)。该模型是基于政府概念的各种级别分类信息(一般、秘密、机密、绝密)和各种许可级别。如果主体的许可级别高于文件(客体)的分类级别,则主体能访问客体;如果主体的许可级别低于文件(客体)的分类级别,则主体不能访问客体。本书将在第4.4节中介绍相关安全模型。
BLP模型的概念进一步发展是在20世纪80年代中期,美国国防部计算机安全局公布了《可信计算机系统评估标准》(Trusted Computing System Evaluation Criteria,TCSEC),即桔皮书,主要是规定了操作系统的安全要求。该标准提高了计算机的整体安全防护水平,为研制、生产计算机产品提供了依据,至今仍具权威性。本书将在第9.2节中介绍该标准。
20世纪90年代前后,随着信息的发展和互联网的兴起,人们对于信息安全保护对象、内容、方法有了更进一步的认识。人们意识到,应当保护比数据更富内涵的信息,确保信息在存储、处理和传输过程中免受偶然或恶意地非法泄密、转移或破坏。数字化信息除了有保密性的需求外,还有信息的完整性、信息和信息系统的可用性需求,因此人们明确提出了信息安全就是要保证信息的保密性、完整性和可用性,即第1.2.3节中介绍的CIA模型。随着信息系统的广泛建立和各种不同网络的互联、互通,人们意识到,不能再从安全功能、单个网络等个别方面来考虑安全问题,而必须从系统上、体系结构上全面地考虑安全问题。
国际标准化组织在开放系统互联标准中定义了7个层次的OSI(Open System Intercon-nection,开放式系统互联)网络参考模型,它们分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。TCP/IP是因特网的通信协议,通过它将不同特性的计算机和网络(甚至是不同的操作系统、不同硬件平台的计算机和网络)互相连接起来。TCP/IP协议族包括4个功能层:应用层、传输层、网络层和网络接口层。这4层概括了相对于OSI参考模型中的7层。
从安全角度来看,一个单独的层次无法提供全部的网络安全服务,各层都能提供一定的安全手段,针对不同层的安全措施是不同的。
应用层的安全主要是指针对用户身份进行认证并且建立起安全的通信信道。有很多针对具体应用的安全方案,它们能够有效地解决诸如电子邮件、HTTP等特定应用的安全问题,能够提供包括身份认证、不可否认性、数据保密、数据完整性检查乃至访问控制等功能。本书将在第6.4.1节中介绍这一部分内容。
在传输层,因为IP包本身不具备任何安全特性,很容易被修改、伪造、查看和重播。在传输层设置密码算法(SSL)来保护Web通信安全是很实用的选择。本书将在第6.4.2节中介绍这一部分内容。
在网络层,可以使用防火墙技术控制信息在内外网络边界的流动;可以使用IPSec(In-ternet Protocol Security,因特网协议安全性)对网络层上的数据包进行安全处理。本书将在第6.4.3节中介绍这一部分内容。
在网络接口层,常见攻击方式是嗅探。进行嗅探有可能是网管的需要,但也可能是攻击者用来进行信息窃取的手段,攻击者可能从嗅探的数据中分析出账户、口令等关键数据,同时,嗅探也是其他攻击(如IP欺骗、拒绝服务攻击)的基础。网络接口层的常见安全问题在本书的第6.1节中介绍。常用的防范策略包括利用链路加密机,将所有的数据都视为比特流,不区分任何分组,该方法的缺点是链路加密的计算开销较大,而且接收方必须使用和发送方同样的链路解密机进行解密;另一种方法是采用VLAN(Virtual Local Area Network,虚拟局域网)等技术将网络分为逻辑上独立的子网,以限制可能的嗅探攻击。本书将在第6.3.2节中介绍这一部分内容。
由于上述各层解决方案都有一定的局限性,因此研究者们还在不断改进这些技术。
在网络信息安全阶段中,人们还开发了许多网络加密、认证、数字签名的算法以及信息系统安全评价准则(如CC通用评价准则)。这一阶段的主要特征是对于内部网络采用各种被动的防御措施与技术,目的是防止内部网络受到攻击,保护内部网络的信息安全。
20世纪90年代以后,信息安全在原来的概念上增加了信息和系统的可控性、信息行为的不可否认性要求,同时,人们也开始认识到安全的概念已经不局限于信息的保护,人们需要的是对整个信息和信息系统的保护和防御,包括对信息的保护、检测、反应和恢复能力,除了要进行信息的安全保护,还应该重视提高安全预警能力、系统的入侵检测能力、系统的事件反应能力和系统遭到入侵破坏后的快速恢复能力。
(1)信息保障概念的提出
1996年,美国国防部(United States Department of Defense,DoD)在国防部令《DoD Di-rective S-3600.1:Information Operation》中提出了信息保障的概念。其中,对信息保障的定义为:通过确保信息和信息系统的可用性、完整性、保密性、可认证性和不可否认性等方面来保护信息系统的信息作战行动,包括综合利用保护、探测和响应能力以恢复系统的功能。
1998年1月30日美国国防部批准发布了《国防部信息保障纲要》(Defense Information Assurance Program,DIAP),认为信息保障工作是持续不间断的,它贯穿于平时、危机、冲突及战争期间的全时域。信息保障不仅能支持战争时期的国防信息攻防,而且能够满足和平时期国家信息的安全需求。
由美国国家安全局提出的,为保护美国政府和工业界的信息与信息技术设施提供的技术指南《信息保障技术框架》(Information Assurance Technical Framework,IATF),提出了信息基础设施的整套安全技术保障框架,定义了对一个系统进行信息保障的过程以及软硬件部件的安全要求。该框架原名为网络安全框架(Network Security Framework,NSF),于1998年公布,1999年更名为IATF,2002年发布了IATF 3.1版。
IATF从整体、过程的角度看待信息安全问题,其核心思想是“纵深防护战略(Defense-in-Depth)”,它采用层次化、多样性的安全措施来保障用户信息及信息系统的安全,人、技术和操作是3个核心因素,包括了在主机、网络、系统边界和支撑性基础设施等多个网络环节之中,实现保护、检测、响应和恢复4个安全内容。
人、技术、操作是IATF强调的3个核心要素。
人(People):人是信息体系的主体,是信息系统的拥有者、管理者和使用者,是信息保障体系的核心,是第一位的要素,同时也是最脆弱的。正是基于这样的认识,信息安全管理在安全保障体系中就显得尤为重要,可以这么说,信息安全保障体系实质上就是一个安全管理的体系,其中包括意识培养、培训、组织管理、技术管理和操作管理等多个方面。
图1-12 PDRR模型
技术(Technology):技术是实现信息保障的具体措施和手段,信息保障体系所应具备的各项安全服务是通过技术来实现的。当然,这里所说的技术,已经不单是以防护为主的静态技术体系,而是将保护(Protection)、检测(Detection)、响应(Reaction)、恢复(Restore)有机结合的动态技术体系,这就是所谓的PDRR(或称为PDR 2 )模型,如图1-12所示。PDRR模型之后得到了发展,学者们提出了WPDRRC等改进模型。请读者在完成课后习题时,进一步了解相关知识。
操作(Operation):或者叫运行,操作将人和技术紧密地结合在一起,涉及风险评估、安全监控、安全审计、跟踪报警、入侵检测、响应恢复等内容。
IATF定义了对一个系统进行信息保障的过程,以及该系统中硬件和软件的安全需求。遵循这些原则,人们可以对信息基础设施进行纵深多层防护。纵深防护战略的4个技术焦点领域:
●保护网络和基础设施:主干网的可用性;无线网络安全框架;系统互连与虚拟专用网(Virtual Private Network,VPN)。
●保护边界:网络登录保护;远程访问;多级安全。
●保护计算环境:终端用户环境;系统应用程序的安全。
●支撑基础设施:密钥管理基础设施(Key Management Infrastructure,KMI)/公钥基础设施(Public Key Infrastructure,PKI);检测与响应。
信息保障与以前的信息保密、网络信息安全等阶段的概念相比,它的层次更高、涉及面更广、解决的问题更多、提供的安全保障更全面,它通常是一个战略级的信息防护概念。组织可以遵循信息保障的思想建立一种有效的、经济的信息安全防护体系和方法。
(2)网络空间安全和信息保障
信息安全已经进入网络空间安全阶段,网络空间的安全问题得到了世界各国的普遍重视。
2006年4月,美国国家科学和技术委员会发布《联邦网络空间安全及信息保障研究与发展计划》(Federal Plan for Cyber Security and Information Assurance Research and Develop-ment)。文中将网络空间安全和信息保障放在一起,定义为:保护计算机系统、网络和信息,防止未授权访问、使用、泄露、修改及破坏。目的是提供完整性、保密性和可用性。
2008年1月,布什签署发布了《第54号国家安全总统令》和《第23号国土安全总统令》,其中的核心文件《国家网络安全综合计划》(Comprehensive National Cybersecurity Initi-ative,CNCI)是一个涉及美国网络空间防御的综合计划,其目的是打造和构建国家层面的网络空间安全防御体系。其中提出威慑概念,包括爱因斯坦计划、情报对抗、供应链安全、超越未来(Leap-Ahead)技术战略。
2011年5月,美国白宫、国务院、国防部、国土安全部、司法部、商务部6部门联合发布《网络空间国际战略》;紧接着,7月,美国国防部发表《网络空间行动战略》,这是美国有关全球网络安全战略构想的集中体现。
2014年2月,美国国家标准与技术研究院(National Institute of Standard and Technology,NIST)发布了《改进关键基础设施网络安全的框架(V1.0)》(Framework for Improving Criti-cal Infrastructure Cybersecurity),旨在加强电力、运输和电信等关键基础设施部门的网络空间安全。框架分为识别(Identify)、保护(Protect)、检测(Detect)、响应(Respond)和恢复(Recover)5个层面,这可以看作是一种基于生命周期和流程的框架方法。
一系列文档报告不断地理清网络空间的概念,预判网络空间的严峻形势,给出网络空间安全防护的思路与框架。
网络空间不再只包含传统互联网所依托的各类电子设备,还包含了重要的基础设施以及各类应用和数据信息,人也是构成网络空间的一个重要元素。
网络空间面临的严峻形势包括以下几方面。
●能否抵御“蜂群”的狂轰滥炸?2008年,“俄格冲突”期间,格鲁吉亚政府网络遭受“蜂群”式网络拒绝服务攻击,造成长时间瘫痪,开创了国家间网络攻防的先河。对于信息技术发展较为滞后的国家,采用信息产业大国的技术和产品在所难免,但由此带来的安全隐患却十分严重。一旦发生冲突,面对数以万计“蜂群”的狂轰滥炸,能否保持信息基础设施的正常运行,将是网络空间安全防范面临的重大挑战。
●能否抗拒“震网”的强烈震颤?本章案例中,以西门子数据采集与监控系统为攻击目标的“震网”病毒神秘出现,伊朗境内包括布什尔核电站在内的5个工业基础设施遭到攻击,成为运用网络手段攻击国家电力能源等重要关键基础设施的先例。当前,不少国家的金融、能源、交通、电力等关键业务网络已基本实现信息化、网络化,但防护手段还不尽完善,能够“震颤”伊朗核设施的病毒,同样也可以“震颤”这些国家工业系统中的相关控制与采集系统,国家重要的战略网面临着平时被控、战时被瘫的巨大风险。
●能否防范“维基揭秘”的困扰?2010年,传奇人物阿桑奇的“维基揭秘”网站公开了25万份美国外交文件,掀起了网络空间新一轮信息传播和情报泄露的狂潮,美国陷入“外交9·11”的恐怖泥潭。“维基揭秘”又成了中东、北非政局动荡的导火索。据悉,一些大国以本土为中心,依托海外基地和太空卫星等,大力构建全球组网、远程操控的网络空间作战体系,以有关国家的军政主要网络为目标,大肆进行窃密活动,致使网络环境面临越来越严重的安全挑战。
综上所述,当前网络空间信息存在的透明性、传播的裂变性、真伪的混杂性、网控的滞后性,使得网络空间信息安全面临前所未有的挑战。网络战场全球化、网络攻防常态化等突出特点,使得科学高效地管控网络空间,成为亟待解决的重大课题。为此,安全防护可以着重围绕以下几点展开。
●基础设施安全。网络空间的安全不仅包括信息系统自身的安全,更要关注信息系统支撑的关键基础设施以及整个国家的基础设施的安全。从基础做起,自下而上地解决安全问题,构建整个系统范围内使侵袭最小化的端对端的安全。
●从怀疑到信任。互联网的组建没有从基础上考虑安全问题,它的公开性与对用户善意的假定是今天危机的一个根源。同样,信息技术基础设施的软硬件的设计与测试,无论设计和测试人员的安全知识,还是设计与测试的方法都没有安全的保证,这样的基础设施再由对风险缺乏认识的人员操作,必然使网络空间处于危险之中。因此,系统与网络的每一个组成部分都要怀疑其他任何一个组件,访问数据与其他资源必须不断地重新授权。
●改变边界防御的观念。历来的信息安全观念多基于边界防御。在这种观念指导之下,信息系统与网络的“内部”要加以保护,防止“外部”攻击者侵入并对信息与网络资源进行非法的访问与控制活动。而实际的情况是“内部”的威胁不仅与“外部”威胁并存,而且远超过后者。随着无线和嵌入技术及网络连接的增长,以及由系统的系统(System of System)构成的网络的复杂性不断增强,使“内部”与“外部”已难以区分。
●全新的结构与技术。已有的基础设施是在较早的年代,在人们还没有意识到、面临到大量网络空间问题的年代开发出来的,现在需要的是全新的结构与技术,以解决基础设施更大规模下的不安全性问题。例如,如何构建大规模、分布式的系统,使其在敌对或自然干扰条件下仍能够持续可靠地运转;如何构建能认证众多组织与地点的大量用户标识的系统;如何验证从第三方获得的软件并正确地实现其所声称的功能;如何保证个人身份、信息或合法交易,以及人们存储在分布式系统或网络上传输时的隐私等。
在美国的带动下,世界各国信息安全政策、技术和实践等发生了重大变革。2013年11月,中国共产党中央国家安全委员会正式成立,体现了中国最高层全面深化改革、加强顶层设计的意志,信息安全成为构建国家安全体系和国家安全战略的重要组成。2014年2月27日,中央网络安全和信息化领导小组成立,这显示出国家高层保障网络安全、维护国家利益、推动信息化发展的决心。