网络安全体系结构是由硬件网络、通信软件以及操作系统构成的,对于一个系统,首先要以硬件电路等物理设备为载体,然后才能运行载体上的功能程序。通过使用路由器、集线器、交换机、网线等网络设备,用户可以搭建自己所需要的通信网络,对于小范围的无线局域网,人们可以使用这些设备搭建用户需要的通信网络,最简单的防护方式是对无线路由器设置相应的指令来防止非法用户的入侵,这种防护措施可以作为一种通信协议保护,广泛采用WPA2加密协议实现协议加密,用户只有通过使用密匙才能对路由器进行访问,通常可以将驱动程序看作操作系统的一部分,经过注册表注册后,相应的网络通信驱动接口才能被通信应用程序所调用。一个安全网络系统主要包括应用数据安全、应用平台安全、操作系统平台安全、网络安全、网络基础结构和物理安全,同时综合网络安全管理、网络安全评估和网络安全策略,这些因素综合工作才能保证网络系统安全。网络安全框架如图1-7所示。
图1-7 网络安全框架
开放式系统互联通信参考模型(Open System Interconnection Reference Model,缩写为OSI),简称OSI模型(OSI Model),是一种概念模型,由国际标准化组织提出,是使各种计算机在世界范围内互连为网络的标准框架,OSI将计算机网络体系结构(Architecture)划分为七层,建立七层模型主要是为解决异构网络互连时所遇到的兼容性问题,它的最大优点是将服务、接口和协议这三个概念明确地区分开来,也使网络的不同功能模块分担起不同的职责。初衷在于解决兼容性,但当网络发展到一定规模的时候,安全性问题就变得突出。所以就必须有一套体系结构来解决安全问题,于是OSI安全体系结构就应运而生。
OSI安全体系结构是根据OSI七层协议模型建立的,也就是说,OSI安全体系结构与OSI七层是相对应的,在不同的层次上都有不同的安全技术,OSI安全体系结构如图1-8所示。为了保证整个网络的安全性,每层都增加了相应的安全技术。
图1-8 OSI安全体系结构
1.数据链路层
数据链路层(Data Link Layer)负责网络寻址、错误侦测和改错,此层的安全技术主要有点到点通道协议(PPTP)和第二层通道协议L2TP。
点到点通道协议,英文全称是Point-to-Point Tunneling Protocol,是一种支持多协议虚拟专用网的新型技术。它可以使远程用户通过Internet安全的访问企业网,也就是平时所用的VPN技术。使用此协议,远程用户可以通过任意一款网络操作系统以拨号方式连接到Internet,再通过公网连接到他们的企业网络。即PPTP在所用的通道上做了一个简单的加密隧道。
L2TP是Cisco的L2F与PPTP相结合的一个协议。L2TP有一部分采用的是PPTP协议,比如同样可以对网络数据流进行加密。不过也有不同之处,比如PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验证,而PPTP不支持。
2.网络层
网络层(Network Layer)决定数据的路径选择和转寄,将网络表头(NH)加至数据包,以形成分组,此层的安全技术主要有IP安全协议(IPSEC)。
IPv4在设计时,只考虑了信息资源的共享,没有过多地考虑安全问题,因此无法从根本上防止网络层攻击。在现有的IPv4上应用IPSEC可以加强其安全性,IPSEC在网络层提供了IP报文的机密性、完整性、IP报文源地址认证以及抗伪地址的攻击能力。IPSEC可以保护在所有支持IP的传输介质上的通信,保护所有运行于网络层上的所有协议在主机间进行安全传输。IPSEC网关可以安装在需要安全保护的任何地方,如路由器、防火墙、应用服务器或客户机等。
3.传输层
传输层(Transport Layer)把传输表头(TH)加至数据以形成数据包,此层的安全技术主要有安全套接字层(SSL)和传输层安全协议TLS。
安全套接层(Secure Sockets Layer,SSL)是网景公司(Netscape)在推出Web浏览器首版的同时,提出的协议。SSL采用公开密钥技术,保证两个应用间通信的保密性和可靠性,使客户与服务器应用之间的通信不被攻击者窃听。可在服务器和客户机两端同时实现支持,目前已成为互联网上保密通信的工业标准,现行Web浏览器普遍将Http和SSL相结合,从而实现安全通信。SSL协议的优势在于它是与应用层协议独立无关的。高层的应用层协议(例如:Http、FTP、Telnet等)能透明地建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后,应用层协议所传送的数据都会被加密,从而保证通信的私密性。
传输层安全协议(TLS)是确保互联网上通信应用和其用户隐私的协议。当服务器和客户机进行通信,TLS确保没有第三方能窃听或盗取信息。TLS是安全套接字层(SSL)的后继协议。TLS由两层构成:TLS记录协议和TLS握手协议。TLS记录协议使用机密方法,如数据加密标准(DES),来保证连接安全。TLS记录协议也可以不使用加密技术。TLS握手协议使服务器和客户机在数据交换之前进行相互鉴定,并协商加密算法和密钥。TLS利用密钥算法在互联网上提供端点身份认证与通信保密,其基础是公钥基础设施(Public Key Infrastructure,PKI)。在实现的典型例子中,只有网络服务者被可靠身份验证,其客户端则不一定。这是因为公钥基础设施普遍商业运营,电子签名证书相当昂贵,普通大众很难买得起证书。协议的设计在某种程度上能够使主从式架构应用程序通信本身预防窃听、干扰(Tampering)、和消息伪造。
4.会话层
会话层(Session Layer)负责在数据传输中设置和维护计算机网络中两台计算机之间的通信连接,此层的安全技术主要有SOCKS代理技术。
SOCKS是SOCKetS的缩写。当防火墙后的客户端要访问外部服务器时,首先与SOCKS代理服务器建立连接,这个代理服务器控制客户端访问外网的资格,若允许,就将客户端的请求发往外部服务器。这个协议最初由Devid Koblas开发,而后由NEC的Ying-Da Lee将其扩展到版本4。最新协议是版本5,与前一版本相比,增加支持UDP验证和IPv6。根据OSI模型,SOCKS是位于应用层与传输层之间的中间层。
5.应用层
应用层(Application Layer)提供为应用软件而设的接口,以设置与另一应用软件之间的通信,此层的安全技术主要有应用程序代理。
应用程序代理工作在应用层之上,位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统,并对应用层以下的数据透明。应用层代理服务器用于支持代理的应用层协议,例如:HTTP、HTTPS、FTP、TELNET等。由于这些协议支持代理,所以只要在客户端的浏览器或其他应用软件中设置“代理服务器”项,设置好代理服务器的地址,客户端的所有请求将自动转发到代理服务器中,然后由代理服务器处理或转发该请求。
网络安全体系是一项复杂的系统工程,需要把安全组织体系、安全技术体系和安全管理体系等手段进行有机融合,构建一体化的整体安全屏障。针对网络安全防护,美国曾提出多个网络安全体系模型和架构,其中比较经典的是P2DR模型。
20世纪90年代末,美国国际互联网安全系统公司(ISS)提出了基于时间的安全模型——自适应网络安全模型(Adaptive Network Security Model,ANSM),该模型也被称为P2DR(Policy Protection Detection Response)模型。该模型是动态安全模型的雏形,根据风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等。策略是模型的核心,所有的防护、检测和响应都是依据安全策略实施的。网络安全策略一般包括总体安全策略和具体安全策略两个部分。该模型可量化,也可进行数学证明,是基于时间的安全模型,可以表示为:安全=风险分析+执行策略+系统实施+漏洞监测+实时响应。
P2DR模型包括四个主要部分:Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应),如图1-9所示。
图1-9 P2DR模型
(1)策略:定义系统的监控周期、确立系统恢复机制、制定网络访问控制策略和明确系统的总体安全规划和原则。
(2)防护:通过修复系统漏洞、正确设计开发和安装系统来预防安全事件的发生;通过定期检查来发现可能存在的系统脆弱性;通过教育等手段,使用户和操作员正确使用系统,防止意外威胁;通过访问控制、监视等手段来防止恶意威胁。采用的防护技术通常包括数据加密、身份认证、访问控制、授权和虚拟专用网(VPN)技术、防火墙、安全扫描和数据备份等。
(3)检测:是动态响应和加强防护的依据,通过不断地检测和监控网络系统,来发现新的威胁和弱点,通过循环反馈来及时做出有效的响应。当攻击者穿透防护系统时,检测功能就发挥作用,与防护系统形成互补。
(4)响应:系统一旦检测到入侵,响应系统就开始工作,进行事件处理。响应包括紧急响应和恢复处理,恢复处理又包括系统恢复和信息恢复。
P2DR模型是在整体安全策略的控制和指导下,在综合运用防护工具(如防火墙、操作系统身份认证、加密等手段)的同时,利用检测工具(如漏洞评估、入侵检测等系统)评估系统的安全状态,通过适当的反应将系统调整到“最安全”和“风险最低”的状态。P2DR模型提出了全新的安全概念,即安全不能依靠单纯的静态防护,也不能依靠单纯的技术手段来实现。P2DR模型以基于时间的安全理论(Time Based Security)这一数学模型作为论述基础。该理论的基本原理:信息安全相关的所有活动,无论是攻击行为、防护行为、检测行为和响应行为等都要消耗时间,因此可以用时间来衡量一个体系的安全性和安全能力。
图1-10 P2DR模型的整体安全策略
该理论的最基本原理认为,信息安全相关的所有活动,不管是攻击行为、防护行为、检测行为和响应行为等都要消耗时间。因此可以用时间来衡量一个体系的安全性和安全能力。作为一个防护体系,当入侵者要发起攻击时,每一步都需要花费时间。当然攻击成功花费的时间就是安全体系提供的防护时间Pt,在入侵发生的同时,检测系统也在发挥作用,检测到入侵行为也要花费时间―检测时间Dt,在检测到入侵后,系统会做出应有的响应动作,这也要花费时间-响应时间Rt。
P2DR模型可以用一些典型的数学公式来表达安全的要求:
公式1:Pt> Dt+Rt。
Pt代表系统为了保护安全目标设置各种保护后的防护时间;或者理解为在这样的保护方式下,黑客(入侵者)攻击安全目标所花费的时间。Dt代表从入侵者开始发动入侵开始,系统能够检测到入侵行为所花费的时间。Rt代表从发现入侵行为开始,系统能够做出足够的响应,将系统调整到正常状态的时间。那么,针对需要保护的安全目标,如果上述数学公式满足防护时间大于检测时间加上响应时间,也就是在入侵者危害安全目标之前就能被检测到并及时处理。
公式2:Et=Dt+Rt,如果Pt=0。
公式的前提是假设防护时间为0。Dt代表从入侵者破坏了安全目标系统开始,系统能够检测到破坏行为所花费的时间。Rt代表从发现遭到破坏开始,系统能够做出足够的响应,将系统调整到正常状态的时间。比如,对Web Server被破坏的页面进行恢复。那么,Dt与Rt的和就是该安全目标系统的暴露时间Et。针对需要保护的安全目标,Et越小系统就越安全。
通过上面两个公式的描述,实际上给出了安全的一个全新定义:“及时的检测和响应就是安全”“及时的检测和恢复就是安全”。这样的定义为安全问题的解决给出了明确的方向:提高系统的防护时间Pt,降低检测时间Dt和响应时间Rt。
P2DR模型也存在一个明显的弱点,就是忽略了内在的变化因素,如人员的流动、人员的素质和策略贯彻的不稳定性。实际上,安全问题牵涉面广,除了涉及防护、检测和响应,系统本身安全的“免疫力”的增强,系统和整个网络的优化,以及人员这个在系统中最重要角色的素质提升,都是该安全系统没有考虑到的问题。