下载掌阅APP,畅读海量书库
立即打开
研究计算机网络安全的体系结构,就是研究如何从管理和技术上保证网络的安全得以完整、准确的实现,网络安全需求得以全面准确的满足。
网络安全的基本模型如图1-1所示。通信双方在网络上传输信息时,首先需要在收、发方之间建立一条逻辑通道。为此,就要先确定从发送方到接收方的路由,并选择该路由上使用的通信协议,如TCP/IP等。
图1-1 网络安全的基本模型
为了在开放式的网络环境中安全地传输信息,需要为信息提供安全机制和安全服务。信息的安全传输包含两个方面的内容:一是对发送的信息进行安全转换,如进行加密,以实现信息的保密性,或附加一些特征码,以实现对发送方身份的验证等;二是收、发方共享的某些秘密信息,如加密密钥等,除了对可信任的第三方外,对其他用户都是保密的。
为了使信息安全地进行传输,通常需要一个可信任的第三方,其作用是负责向通信双方分发秘密信息,以及在双方发生争执时进行仲裁。
一个安全的网络通信方案必须考虑以下内容。
●实现与安全相关的信息转换的规则或算法。
●用于信息转换的秘密信息(如密钥)。
●秘密信息的分发和共享。
●利用信息转换算法和秘密信息获取安全服务所需的协议。
OSI安全体系结构的研究始于1982年,当时OSI基本参考模型刚刚确立。这项工作由ISO/IEC JTCl/SC21完成,于1988年结束,其成果标志是ISO发布了ISO 7498—2标准,作为OSI基本参考模型的新补充。1990年,ITU决定采用ISO7498—2作为它的X.800推荐标准,我国的国标GB/T 9387.2—1995《信息处理系统 开放系统互连 基本参考模型 第2部分:安全体系结构》等同于ISO/IEC 7498—2。
OSI安全体系结构不是能实现的标准,而是如何设计标准的标准。因此,具体产品不应声称自己遵从这一标准。OSI安全体系结构定义了许多术语和概念,还建立了一些重要的结构性准则。它们中有一部分已经过时,仍然有用的部分主要是术语、安全服务和安全机制的定义。
OSI安全体系结构给出了标准族中的部分术语的正式定义,其所定义的术语只限于OSI体系结构,在其他标准中对某些术语采用了更广的定义。
OSI安全体系结构中定义了五大类安全服务,也称为安全防护措施。
● 鉴别服务: 提供对通信中对等实体和数据来源的鉴别。对等实体鉴别提供对实体本身的身份进行鉴别;数据源鉴别提供对数据项是否来自某个特定实体进行鉴别。
● 访问控制服务 :对资源提供保护,以对抗非授权使用和操纵。
● 数据机密性服务: 保护信息不被泄露或暴露给未授权的实体。机密性服务又分为数据机密性服务和业务流机密性服务。数据机密性服务包括:连接机密性服务,对某个连接上传输的所有数据进行加密;无连接机密性服务,对构成一个无连接数据单元的所有数据进行加密;选择字段机密性服务,仅对某个数据单元中所指定的字段进行加密。业务流机密性服务使攻击者很难通过网络的业务流来获得敏感信息。
● 数据完整性服务: 对数据提供保护,以对抗未授权的改变、删除或替代。完整性服务有3种类型:连接完整性服务,对连接上传输的所有数据进行完整性保护,确保收到的数据没有被插入、篡改、重排序或延迟;无连接完整性服务,对无连接数据单元的数据进行完整性保护;选择字段完整性服务,对数据单元中所指定的字段进行完整性保护。
完整性服务还分为具有恢复功能和不具有恢复功能两种类型。仅能检测和报告信息的完整性是否被破坏,而不采取进一步措施的服务为不具有恢复功能的完整性服务;能检测到信息的完整性是否被破坏,并能将信息正确恢复的服务为具有恢复功能的完整性服务。
● 抗抵赖性服务: 防止参与通信的任何一方事后否认本次通信或通信内容。抗抵赖性服务可分为两种形式:数据原发证明的抗抵赖,使发送者不承认曾经发送过这些数据或否认其内容的企图不能得逞;交付证明的抗抵赖,使接收者不承认曾收到这些数据或否认其内容的企图不能得逞。
表1-8给出了对付典型网络威胁的安全服务,表1-9给出了网络各层提供的安全服务。
表1-8 对付典型网络威胁的安全服务
表1-9 网络各层提供的安全服务
OSI安全体系结构没有详细说明安全服务应该如何来实现。作为指南,它给出了一系列可用来实现这些安全服务的安全机制,基本的机制如图1-2所示,包括加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、通信业务流填充机制、路由控制和公证机制(把数据向可信第三方注册,以便使人相信数据的内容、来源、时间和传递过程)。
图1-2 计算机网络安全体系结构三维图
安全服务与安全机制的关系如表1-10所示。
表1-10 安全服务与安全机制的关系
P2DR模型是一种常用的网络安全模型,如图1-3所示。P2DR模型包含4个主要部分:Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应)。防护、检测和响应组成了一个完整的、动态的安全循环。在整体安全策略的控制和指导下,在综合运用防护工具(如防火墙、身份认证和加密等手段)的同时,利用检测工具(如网络安全评估、入侵检测等系统)掌握系统的安全状态,然后通过适当的响应将网络系统调整到“最安全”或“风险最低”的状态。该模型认为:安全技术措施是围绕安全策略的具体需求而有序地组织在一起,构成一个动态的安全防范体系。
图1-3 P2DR模型示意图
●Protection:防护通常是通过采用一些传统的静态安全技术及方法来实现的,主要有防火墙、加密和认证等方法。
●Detection:在P2DR模型,检测是非常重要的一个环节,检测是动态响应和加强防护的依据,也是强制落实安全策略的有力工具,通过不断地检测和监控网络和系统,来发现新的威胁和弱点,通过循环反馈来及时做出有效的响应。
●Response:响应在安全系统中占有最重要的地位,是解决潜在安全问题的最有效办法。从某种意义上讲,安全问题就是要解决响应和异常处理问题。要解决好响应问题,就要制定好响应的方案,做好响应方案中的一切准备工作。
●Policy:安全策略是整个网络安全的依据。不同的网络需要不同的策略,在制定策略以前,需要全面考虑局域网中如何在网络层实现安全性,如何控制远程用户访问的安全性,在广域网上的数据传输实现安全加密传输和用户的认证等问题。对这些问题做出详细回答,并确定相应的防护手段和实施办法,就是针对网络系统的一份完整的安全策略。策略一旦制定,就应当作为整个网络系统安全行为的准则。
P2DR模型有一套完整的理论体系,以数学模型作为其论述基础——基于时间的安全理论(Time Based Security)。该理论的基本思想是认为与信息安全有关的所有活动,包括攻击行为、防护行为、检测行为和响应行为等都要消耗时间,可以用时间来衡量一个体系的安全性和安全能力。
作为一个防护体系,当入侵者要发起攻击时,每一步都需要花费时间。攻击成功花费的时间就是安全体系提供的防护时间Pt。在入侵发生的同时,检测系统也在发挥作用,检测到入侵行为所要花费的时间就是检测时间Dt;在检测到入侵后,系统会做出应有的响应动作,该过程所要花费的时间就是响应时间Rt。
P2DR模型通过一些典型的数学公式来表达安全的要求。
Pt:系统为了保护安全目标设置各种保护后的防护时间;或者理解为在这样的保护方式下,黑客(入侵者)攻击安全目标所花费的时间。
Dt:从入侵者开始发动入侵开始,系统能够检测到入侵行为所花费的时间。
Rt:从发现入侵行为开始,系统能够做出足够的响应,将系统调整到正常状态的时间。
那么,针对需要保护的安全目标,如果上述数学公式满足,即防护时间大于检测时间加上响应时间,则在入侵者危害安全目标之前就能够检测到并及时处理。
如果Pt=0,公式的前提是假设防护时间为0。这种假设对Web Server这样的系统可以成立。
Dt:从入侵者破坏了安全目标系统开始,系统能够检测到破坏行为所花费的时间。
Rt:从发现遭到破坏开始,系统能够做出足够的响应,将系统调整到正常状态的时间。比如,对Web Server被破坏的页面进行恢复。
那么,Dt与Rt的和就是该安全目标系统的暴露时间Et。针对需要保护的安全目标,Et越小,系统就越安全。
通过上面两个公式的描述,实际上对安全给出了一个全新的定义:“及时的检测和响应就是安全”和“及时的检测和恢复就是安全”。
而且,这样的定义为安全问题的解决给出了明确的方向:提高系统的防护时间Pt,降低检测时间Dt和响应时间Rt。
P2DR理论给人们提出了新的安全概念,安全不能依靠单纯的静态防护,也不能依靠单纯的技术手段来解决。网络安全理论和技术还将随着网络技术与应用技术的发展而发展。未来的网络安全具有以下趋势。
一方面,高度灵活和自动化的网络安全管理辅助工具将成为企业信息安全主管的首选,它能帮助管理相当庞大的网络,通过对安全数据进行自动的多维分析和汇总,使人从海量的安全数据中解脱出来,根据它提交的决策报告进行安全策略的制定和安全决策。
另一方面,由于网络安全问题的复杂性,网络安全管理将与较成熟的网络管理集成,在统一的平台上实现网络管理和安全管理。
另外,检测技术将更加细化,针对各种新的应用程序的漏洞评估和入侵监控技术将会产生,还将有攻击追踪技术应用到网络安全管理的环节当中。
P2DR安全模型也存在一个明显的弱点,就是忽略了内在的变化因素,如人员的流动、人员素质的差异和安全策略贯彻执行的不完全等。实际上,安全问题牵涉的面非常广,不仅包括防护、检测和响应,还包括系统本身安全能力的增强、系统结构的优化和人员素质的提升等,而这些方面都是P2DR安全模型没有考虑到的。
本节将分析网络安全的典型技术。
物理安全是保护计算机网络设备、设施,以及其他媒体免遭地震、水灾、火灾等环境因素,人为操作失误,以及各种计算机犯罪行为导致的破坏过程。它主要包括3个方面。
● 环境安全: 对系统所在环境的安全保护措施,如区域保护和灾难保护。
● 设备安全: 设备的防盗、防毁、防电磁信息辐射泄露、防止线路截获、抗电磁干扰及电源保护技术和措施等。
● 媒体安全: 媒体数据的安全,以及媒体本身的安全技术和措施。
为保证计算机网络的物理安全,除了网络规划和场地、环境等要求之外,还要防止信息在空间的扩散。因为,计算机网络辐射的电磁信号可在几百甚至上千米以外截获,重要的政府、军队和金融机构在建信息中心时都要考虑电磁信息泄露。
为保障数据传输的安全,通常采用数据传输加密技术、数据完整性鉴别技术及防抵赖技术。数据传输加密技术就是对传输中的数据流进行加密,以防止通信线路上的窃听、泄露、篡改和破坏。如果以加密实现的通信层次来区分,加密可以在通信的3个不同层次来实现,即链路加密(位于OSI网络层以下的加密)、结点加密和端到端加密(传输前对文件加密,位于OSI网络层以上的加密)。一般常用的是链路加密和端到端加密这两种方式。链路加密侧重于在通信链路上而不考虑信源和信宿,对保密信息通过各链路采用不同的加密密钥提供安全保护。链路加密是面向结点的,对于网络高层主体是透明的,对高层的协议信息(地址、检错、帧头帧尾)都加密,数据在传输中是密文,但在中央结点必须解密得到路由信息。端到端加密是指信息由发送端进行加密,打入TCP/IP数据包封装,然后作为不可阅读和不可识别的数据穿过网络,这些信息一旦到达目的地后,将自动重组、解密,成为可读数据。端到端加密是面向网络高层主体,不对下层协议进行信息加密,协议信息以明文形式传输,用户数据在交换结点无须解密。
防抵赖技术包括对数据源和目的地双方的证明,常用的方法是数字签名,数字签名采用一定的数据交换协议,使得通信双方能够满足两个条件:接收方能够鉴别发送方所宣称的身份;发送方不能否认发送过数据的事实。比如,通信的双方采用公钥体制,发送方使用接收方的公钥和自己的私钥加密信息,只有接收方凭借自己的私钥和发送方的公钥解密之后才能读懂,而对于接收方的回执也是同样道理。
采用防火墙技术可以将内部网络与外部网络进行隔离,对内部网络进行保护。并且,还可以防止影响一个网段的问题在整个网络传播。防火墙技术是实现内外网的隔离与访问控制,保护内部网安全的最主要、最有效、最经济的措施。
利用防火墙技术,通常能够在内外网之间提供安全的网络保护,降低网络的安全风险。但是,仅利用防火墙,网络安全还远远不够,例如,入侵者会寻找防火墙背后可能敞开的后门、入侵者可能就在防火墙内等。
入侵检测的目的就是提供实时的检测及采取相应的防护手段,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为,阻止黑客的入侵。
访问控制是维护计算机网络系统安全、保护计算机资源的重要手段,是保证网络安全最重要的核心策略之一。访问控制就是给用户和用户组赋予一定的权限,控制用户和用户组对目录、子目录、文件与其他资源的访问,以及指定用户对这些文件、目录及设备能够执行的操作。受托者指派和继承权限屏蔽是实现访问控制的两种方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件与设备;继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录那里继承哪些权限。根据访问权限将用户分为以下几类:①特殊用户,即系统管理员;②一般用户,系统管理员根据用户的实际需要为他们分配操作权限;③审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用访问控制表来描述。
审计技术是记录用户使用计算机网络系统进行所有活动的过程,记录系统产生的各类事件。审计技术是提高安全性的重要方法,它不仅能够识别谁访问了系统,还能指出系统正被怎样使用。对系统事件进行记录,能够更迅速和系统地识别系统出现的问题,为事故处理提供重要依据。另外,通过对安全事件的不断收集与积累,并且加以分析,以及有选择地对其中的某些用户进行审计跟踪,可以发现并为证明其破坏性行为提供有力的证据。
网络系统的安全性取决于网络系统中最薄弱的环节。如何及时发现网络系统中最薄弱的环节?如何最大限度地保证网络系统的安全?最有效的方法是定期对网络系统进行安全分析,及时发现并修正存在的弱点和漏洞。
网络安全检测(漏洞检测)是对网络的安全性进行评估分析,通过实践性的方法扫描分析网络系统,检查系统存在的弱点和漏洞,提出补救措施和安全策略的建议,达到增强网络安全性的目的。
在网络环境下,计算机病毒有不可估量的威胁和破坏力,计算机病毒的防范是网络安全建设中重要的一环。网络反病毒技术包括预防病毒、检测病毒和消除病毒3种。
采用备份技术可以尽可能快地全面恢复运行计算机网络所需的数据和系统信息。根据系统安全需求可选择的备份机制有:场地内高速度、大容量自动的数据存储、备份与恢复;场地外的数据存储、备份与恢复。备份不仅能在网络系统硬件故障或人为失误时起到保护作用,而且,在入侵者非授权访问,数据完整性面临破坏时起到保护作用,同时是系统灾难恢复的前提之一。
终端安全技术主要解决终端的安全保护问题,一般的安全功能有:基于口令或(和)密码算法的身份验证,防止非法使用终端;自主和强制存取控制,防止非法访问文件;多级权限管理,防止越权操作;存储设备安全管理,防止非法U盘复制和硬盘启动;数据和程序代码加密存储,防止信息被窃;预防病毒,防止病毒侵袭;严格的审计跟踪,便于追查责任事故。苹果发布了iOS系统安全技术指南,提供一个针对病毒、恶意软件,以及其他一些漏洞的安全防护。Android保留和继承了Linux操作系统的安全机制,而且其系统架构的各个层次都有独特的安全特性。