下载掌阅APP,畅读海量书库
立即打开
实际上,在二战之前,人们就已经认识到了通信网络安全的重要性,当时为了进行战争,交战的双方都强化了通信的保密措施。特别是无线通信,由于信道的开放性,双方都在通信的密码上下足了功夫。
这个阶段可以称为通信保密阶段。当时的保密主要着眼于两个方面,一是通信信道的隐藏,二是通信内容的保密。这个阶段大概可以从有了电通信手段之后算起,一直到20世纪80年代。人们当时的认识基本停留在通信保密上。
这个时期人们认识到了 信息的保密性(或称机密性)要求 ,所做的对抗基本停留在加密和破密的对抗上。为了破密,各国采用了直接破译甚至盗窃等各类社工手段。
我国在密码工作上成果斐然,周恩来总理亲自编制的“豪密”是安全性极高的密码。同样,我国在电讯破密方面的能力也是超强的。
20世纪80年代初,随着计算机软件技术的发展,计算机程序完全可以独立于计算机硬件之外而存在,并且形成了独立的体系。再加上由于计算机开始联网,计算机的安全问题开始显露出来。
蠕虫病毒的感染给人们敲响了第一次警钟。1983年,计算机软件专家弗雷德里克·科恩在实验室中设计了一段程序,它在UNIX操作系统下运行,能够“自我复制”并开始传染联网的其他计算机,30分钟后就能使计算机瘫痪。第二年,科恩发表了论文《计算机病毒:理论和实践》,所以科恩也被称为“计算机病毒之父”。
此后,病毒作为主要的恶意代码在计算机网络上泛滥。它每年造成的损失都是巨大的。实际上早在1949年,冯·诺依曼在他所发表的论文《复杂自动装置的理论及组织的进行》中就描绘了病毒程序。十年之后,在美国电话电报公司(AT&T)的贝尔(Bell)实验室中,一种叫作“磁芯大战”(core war)的电子游戏开始在一群年轻的计算机专家中流行。
磁芯大战的玩法如下:双方各写一套程序,输入同一部计算机中,这两套程序在计算机的记忆系统(相当于今天计算机中的内存)内互相追杀,当程序被困时,可以将自己复制一次以逃离险境。当时计算机的内存往往是用磁芯做成的,而这两个程序要在内存中“搏杀”,因此得到了磁芯大战之名。
关于第一个计算机病毒,还有其他的一些说法。如1971年的Creeper程序也是自我复制的,还有1982年的Elk Cloner。但是,这些只是有自我复制功能的程序,并没有破坏作用。真正在计算机上实现故意破坏作用的病毒出现在1987年,为了防盗版,巴基斯坦的两兄弟制作了一种病毒,导致很多的计算机功能被破坏。
此时,人们开始认识到计算机病毒并没有偷取计算机上的数据(当时还被称为信息),但是却导致了这些数据的毁坏和系统的不可用,实际上数据被破坏之后,这个数据也就不可用了。
人们开始认识到,对于信息(数据)的安全, 不仅要考虑机密性的问题,还要考虑信息(数据)的完整性和可用性。
可以认为计算机安全阶段是从20世纪80年代开始的,大约持续了十几年的时间。这个时期人们已经对信息(数据)的安全属性有了明确的认识。
对于这一阶段,很难确定一个标志性的时间,一般认为该阶段从20世纪90年代末期开始。该阶段主要的标志是美国国家安全局制定的信息保障技术框架,其中首次提出了信息保障所依赖的三要素:人、技术和操作。由这三要素共同实现组织职能/业务运作的思想,对技术/信息基础设施的管理也离不开这三个要素。美国国防部提出了信息保障模型PDRR:
●P(Protect,保护);
●D(Detect,检测);
●R(Response,响应);
●R(Recovery,恢复)。
这是一个从事件管理的角度提出的保障模型,包括事前保护、事前/事中检测、事中响应和事后恢复。后来这一模型又被各个专家进行了改造,提出如PPDR(策略、保护、检测、响应)模型、IPPDRR模型等其他模型。
直到今天,这个阶段也并未完结,人们还在继续探索中。而技术的飞跃式进步和各类基础设施的数字化改造,也必然使被保障的对象和目标、被保障的内容和项目等在进一步的演进之中。在这一阶段中,必须要考虑的保护对象是:
●计算机信息系统安全;
●基础信息网络安全。
而对它们的保护目标是数据安全和应用服务安全。
1.计算机信息系统安全
这一阶段有相对的开始时间,但并没有结束时间,可以认为该阶段一直延续到现在。这一时期,计算机联网已经普遍存在,即便是不联网的计算机系统,也是多用户的主机系统。不过,此时的联网还主要是在局部上,与像今天这样几乎所有的计算机和其他终端都连接到Internet上的情况不一样,网络的规模小到几台终端,多的也只有几百台终端,上千台终端的网络是非常少见的。这类网络往往都有明确的应用目的,这样就有了信息系统。可以认为信息系统是有明确独立应用的局部网络。
在这种多人共用一台计算机(多个终端连接到一台/几台服务器或核心主机上)的情况下,信息(数据)资源的授权操作就变成了突出的问题。
1983年,美国国防部(DoD)发布了第一个安全标准——《可信计算机系统安全评测准则》,由于它的封面是桔皮颜色,俗称桔皮书。后来,由于技术的进步、网络的应用等,DoD又发布了多个标准,包括数据库安全、网络安全等,由于使用了不同的封面颜色,因此大家就把这些标准叫作彩虹系列。
2.基础信息网络
基础信息网络是规模比较大的网络,可以延伸到全国甚至是全球范围,如Internet。基础信息网络本身并没有确切的应用目标,但是这个网络可以承载各类应用,为各类应用提供基础的网络通信和资源共享功能,如石油系统、交通系统、电力系统的全国性网络等,还有面向其他行业的运营商网络。在这些网络中,应用最为广泛的肯定是Internet。
对于Internet之外的基础信息网络,网络畅通是这个网络最关键、最核心也是最基础的安全目标,当然也有其他的安全目标,如网络上恶意代码的监控和清除、各种恶意行为的监测等。
对于Internet来说,网络畅通也是其最核心的安全目标,但是Internet网络协议以及网络本身的历史沿革,导致Internet的安全更为复杂和敏感。
对于其他的基础信息网络,其网络的核心控制权完全可以被掌握在网络建设者的手中,而Internet的控制权则掌握在美国人的手中。
3.对网络应用的保护
利用Internet,人们可以开发多种多样的应用,几乎包揽现实生活中的各个领域,即时通信、网上交易、网上办公、媒体功能等不胜枚举。在使用这些应用的过程中,每个人都应该对自己的行为承担相应的责任,不应该抵赖自己的行为。可恰恰总会有一些人对自己的行为进行抵赖,特别是干了坏事的人。所以,我们除了要保护数据机密性、完整性和可用性之外,还要考虑对人们的网上行为的确认,即不可抵赖问题。有人干脆就把它叫作不可抵赖性或可确认性,并也称其为信息(数据)的安全属性。必须说明,不可抵赖是对主体行为而言的,并不是信息(数据)自身的安全属性。
4.对数据的保护
对数据的保护现在是一个越来越突出的问题,在信息系统环境下,数据一般为结构化数据,即能用二维表格表示的数据,如人口数据(姓名、性别、年龄、职业等)都可以在一个二维表格中进行所谓的结构化。而对于更大量的视频数据、图片数据、文字、超文本数据等,是无法用二维表格表示的。这类数据被称为非结构化数据和半结构化数据。这类数据往往体量比较大,一项数据就可能有几个G,甚至更大,所以往往要碎片化存储和处理这类数据,需要由多台计算机共同进行存储和管理。这就带来了一系列新的安全风险。
在这类数据中,一个不能忽视的风险是数据的真实性问题。数据的真实性确实是数据的属性,但是算不算安全属性是需要讨论的。其他三个安全属性都要用“保护”手段进行保护,而真实性则无法用“保护”手段进行保护。
5.Internet的安全分析
Internet现在普遍被人们称为“互联网”,原来这一称呼只是在非官方、非学术的领域中流行,在官方文件和法律、法规中并没有出现过。当时公安部、信息产业部所发的部门规章中都称之为“计算机网络国际联网”,直到2005年公安部颁布了《互联网安全保护技术措施规定》,“互联网”才第一次在法律文件中出现。
对于Internet是否等同于“互联网”,学术界是有争议的,相对多数的学者认同这一说法,并且自己也这样说。而以吕述望教授为代表的一些网络安全专家不同意这种说法,他们认为中国现在使用的Internet是全国的整个网络接入了美国的网络中,他们的理由是域名解析的控制权完全掌握在美国人的手中。
我们在2.2.3节介绍过,为了进行网络通信,每台联网的设备都要有一个网络地址。但是在人们的记忆习惯中,对于没有关联的数字的记忆远没有对有关联的文字的记忆容易,如对于圆周率3.1415926535897…,我们记住它约等于3.14就好了,有人为了记住更多位数的圆周率,编出了口诀,“山巅一寺一壶酒,尔乐,苦煞吾,把酒吃……”,编到了小数点后的一百位。我们肯定觉得这个口诀更好记,域名体系也是这样。汉语拼音也好,英文名称也好,总之都比数字好记。我们不知道一个要查找的网站的地址是多少,但是我们只要记住这个网站的域名就可以,如我们要找百度网站,在URL中输入www.baidu.com就能找到,但是要我们记住百度的地址,肯定是相对困难的。记住少数的几个地址还可以,多了就会难记。如同我们很难记住大量电话号码,过去电信部门会制作电话号码簿,我们根据单位的名称,在电话号码簿中查找号码后再打电话,我们现在的手机中也有通信录。
域名好记,但是网络并不认识域名,它只认识地址,这就像电话交换机只认识电话号码,而“不认识”这个相关的单位一样。同时也就需要像电话号码簿或者是通信录那样将域名(单位名称)变换成地址(电话号码),这个变换就是地址解析服务(DNS)。图3-1给出了地址解析服务的原理。
图3-1 域名解析原理与服务系统
在域名解析体系中,1个主根服务器由美国军方控制,其他12个辅根服务器多数也在美国,1个在日本,2个在欧洲。中国1个也没有,只有3个镜像服务器。
当然,域名解析并不一定完全要通过根服务器进行,国内还有二级域名.cn下的域名解析服务。不过根域名在别人手中,被切断的时候是没得商量的,比如2021年当地时间6月22日,多家伊朗媒体网站遭美国政府“查封”(seize),包括伊朗新闻电视台在内的一些伊朗官方媒体网站当天无法正常浏览。一位美国政府人士透露,美国司法部当地时间6月22日查封了30多个网站。
域名解析服务的安全实际上也是一个“保证正确的授权操作”问题,只是授权人是美国,我们无法控制。
对于Internet的安全,还有一个大问题,即海底电缆的安全,一旦电缆被切割,Internet的国际联网也就被断掉了。
物联网的理念早在20世纪七八十年代就已经在国外兴起了,在阿尔温·托夫勒的著作《第三次浪潮》中,就有对于这些的相关描绘。物联网真正的兴起是在近十余年内。所谓物联网,就是将任何物体连接到网上。
1.万物的联网方式
物体是如何连接到网上的?可能一些读者会有这样的疑问。物体的联网有以下几种方式。
一是传感器。这是通过非电测量手段,将一个物体上非电学的物理量转换为电学物理量,比如将温度、流量、压力、声音、加速度等转换为电流或者电压值。这种转换部件被称为传感器。
二是通过标识进行连接,主要是RFID、二维码等。大家对二维码已经司空见惯了,这里不需要多加说明。RFID(Radio Frequency Identification)俗称电子标签,是一种利用无线电波的非接触式识别技术,分为有源和无源两种。所谓有源,就是标签有直流电源的供给;所谓无源,就是没有直流电源的供给。无源电子标签的原理如图3-2所示。
图3-2 无源RFID的原理图
RFID是一种简单的无线电系统,由两个基本的部件构成,一个是询问器,另一个是应答器(标签)。对于无源的无线标签,先由询问器发出一个无线电波,应答器接收到之后,将电波能转换为电流能,供给自身系统进行工作,这样就将相关的标签信息发射出去了,当然接收的是询问器。
按照频段,无线标签可以分为低频、高频、超高频、微波四大类,低频为135kHz以下,高频为13.5MHz段,超高频为860MHz~960MHz,微波为2.4GHz和5.8GHz段。不同频段的电波受到具有天线效应的金属物的几何尺寸的影响较大。最有效的辐射是天线的尺寸等于1/4波长,频率越高,波长越短,天线的几何尺寸就越短。而低频段的波长接近3000m,天线的尺寸要达到750m才能有效地辐射。所以这个频段需要将电子标签贴近询问器,才能接收和辐射出相应的无线信号。这样就可以在一定程度上保证无线标签自身的安全性。我们的二代身份证使用的就是低频段RFID,其目的是保护二代身份证上的信息不被随意地获取和复制。实际上,被复制的风险还是存在的,只要非法的询问器靠得比较近,功率又比较强,依然能够读取到相关信息,复制的风险并不为0。
三是雷达测量。雷达是利用无线电波的反射对物体进行测量和标识的手段,特别是对于移动物体,雷达可以准确地测量其速度、方向和位置,但是雷达只能大约给出物体的大小,无法准确地描绘物体的形象。
四是视频摄像。视频摄像能够直接反映物体的真实形态,配合相应的软件系统,对移动目标和静态目标都可以实现多参数的测量。
以上这些是将物甚至是人和动物直接连接到网络的主要手段,这些手段都存在各类风险。除了将物体连接到网络之外,对于物联网来说,GIS(地理信息系统)、卫星导航系统都是万物互联所需要的因素,这些都可能存在一定的安全风险。
2.物联网的执行机构
对于物联网来说,将“物”连接到网上并不是目的,而是要对其进行感知,同时也要根据需要对其进行控制。要实现控制就需要有控制机构,可能是一个部件,也可能是一个完整的控制系统。一个闭环的控制系统如图3-3所示。
图3-3 物联网中的控制
这类控制系统有很多,一般采用负反馈控制。例如,如果控制一个物体的温度,感知元件(也可能是器件)感知到温度高出某一规定值,就会通知控制中心,控制中心就让执行器的冷却系统给联网的物体降温,反之就会执行加温操作。
有些控制可能不是闭环的,如正在行驶的车辆,探测路况的感知器件(雷达或者视频信号)发现行进的道路上有障碍物,可能会有紧急制动的动作,这种感知和动作就不是闭环的。
3.物联网的安全风险分析
物联网的引入也带来了相当大的风险,一般情况下,由计算机作为联网终端的网络不至于导致人的生命和其他财产的物理损失。但是在物联网环境下就不好说了,攻击者很可能通过网络对现实目标进行侵害,而导致现实社会中的严重安全事件,甚至会危及人的生命和财产的安全。
(1)传感器的风险
传感器是一类将非电物理量转换为电学物理量的元器件,或者是一个组合。这类元器件本身仅仅实现物理量参数的测量和转换。这种测量是需要表示和度量的,这就要有相应的电学度量和表示模块,这个模块如果被恶意破坏了,带来的后果可能很严重。
传感器往往被安装在室外甚至野外,恶劣的天气可能导致这些传感装置的损坏,人和其他动物还有可能非故意破坏传感器,元器件自身的老化也是风险。人为的故意破坏或者将正常的传感器替换成非法的传感器,其导致的后果可能很严重。
一些传感器还被植入了嵌入式操作系统,并且进行了数字化,给定了相应的网络地址,这样就可能导致通过网络对传感器进行攻击和破坏。
(2)RFID的风险
RFID可以复制,另外RFID自身并没有相应的属性,它的属性是人为定义的,并存储在相应的数据库中,如果数据库中的内容被非授权地修改,就可能导致严重的后果。
(3)雷达的风险
雷达是靠无线电波的反射来确定物体的,无线电波容易被干扰。
(4)视频摄像头的风险
视频摄像头的风险更要大一些,如果这些摄像头连接到网上,就可能导致非授权人的使用,他们可能会窥见一些人的隐私行为;还有可能通过摄像头的网络对特定人进行跟踪;利用摄像头中嵌入式操作系统的漏洞,还可以对其他目标发起攻击,甚至大规模的DDOS攻击;摄像头被控制后,还可能被用来进行反动宣传。
(5)卫星导航定位的风险
卫星导航定位系统通过几颗低轨道卫星发出的无线电信号在地面上的某一点进行计算,就得到了计算点的地理信息(经纬度值),但是由于地面的海拔高度有差异,受地形、地物的影响,由卫星的信号计算出的结果是不准确的,需要在地面上进行校准,这种校准就是地面差分站。地面差分站会发射相应的无线电信号,对某一范围内的卫星定位点进行校准。
反过来说,当然可以利用地面的无线电信号来干扰卫星导航信号,让各个相应的计算点出错。
(6)接入网关的风险
各类传感器也好,RFID的询问器也好,雷达的测量信号也好,一般都会通过相应的网关接入网络,这个网关如果没有进行很好的防范,就会被攻击。
(7)边缘计算的风险
物联感知网络一般都由相应的边缘计算节点进行处理,目前对边缘计算的防范可能相对薄弱一些,这使其成为攻击容易得手的计算环境。