1.1 保护网络安全及安全原理

古往今来，信息的价值不言而喻。纵观量子网络问世以前的人类历史，只要出现一种传播信息的渠道，就会立刻产生无数针对这种渠道的攻击方式。究其目的，要么是为了窃取其中传递的信息，以便从中渔利，要么是为了破坏这条信息传播的渠道，让信息无法正常传输。计算机网络如今已经承载了太多的信息，对于那些渴望通过破坏信息安全来获取利益的人来说，对网络安全进行破坏也拥有了无穷的吸引力。

如果把美国国家科学基金网（NSFNet）的问世视为互联网诞生的元年，那么网络攻击也几乎是在同一时期成为一项有利可图的产业。在过去30余年的时间里，IT领域的大量成果在造福人类的同时，也大量转化为攻击者手中的利器。世界经济论坛（World Economic Forum）在2018年的报告中提到：“发起网络攻击的能力，比应对这些攻击的能力发展得更快。”

在本书中，“网络安全”和“信息安全”这两个概念都会出现。因此，有必要在先对这两个概念进行一下解释：网络安全和信息安全并不是完全相同的概念。网络安全可以视为是信息安全的一个子集。比如，在一台离线的PC机（没有连接网络）上安装防病毒软件，来防止恶意代码删除或者修改这台PC机上的文件或系统，这就不是网络安全的范畴，但仍然属于信息安全。因为信息安全涉及的风险并不止于网络风险，还包括系统风险、应用风险、管理风险等。

1.1.1 网络/信息安全原则

既然网络安全属于信息安全这一门类，因此也符合信息安全的普遍原则。

在各类针对信息安全总结的原则中，最知名的当数信息安全CIA三元组（CIA triad）。CIA三元组最早作为一种国际标准被提出，可以追溯到ISO/IEC 27000:2009，该标准的标题即为“信息科技——安全手段——信息安全管理系统——概述与术语”（Information technology Security techniques-Information security management systems-Overview and vocabulary）。这三元组分别为机密性（Confidentiality，也称保密性）、完整性（Integrity）和可用性（Availability），如图1-1所示。

1. 机密性

机密性可以和私密性（Privacy）替换使用，指数据无法由未经授权方进行浏览或使用的属性。 保障信息机密性强调的是，在信息不可避免地会被未经授权方获取到的情况下，获取到信息的任何一方必须拥有授权才能浏览和使用信息。因此，在网络安全领域，保障机密性的手段通常为加密，如图1-2所示。

在图1-2中，由PC发送的数据经过路由器加密之后，未经授权人员虽然截获了该数据，但仍然无法浏览或者使用。因此，如果能够保证只有授权方才能拥有解密密钥，而未授权方无法通过数学手段在符合逻辑的时间长度内通过运算获得解密密钥或者对加密数据进行解密，那么信息的机密性也就得到了保证。

2. 完整性

完整性是指信息或者数据的准确性和完备性。 保障完整性强调的是，信息不会被未经授权方（中途）篡改，如图1-3所示。

在图1-3中，未经授权的人员通过修改，让接收方接收到了误导的信息，破坏了信息的完整性。在计算机网络领域，保障信息完整性的手段包括对信息执行校验，也就是发送方在发送信息之前对信息执行校验运算，把运算结果封装在信息中发送给接收方。接收方按照相同的校验函数再次对数据执行运算，并且把校验结果与接收到的校验数据进行比较，判断自己接收到的数据与发送前是否相同。

当然，如果信息的机密性无法得到保证，那么这样的校验手段只能检测出因为通信媒介问题所带来的完整性破坏，而无法判断数据是否遭到了篡改。

3. 可用性

可用性是指数据能够由授权方按需进行访问或使用的属性。 如果信息的可用性遭到破坏，则意味着合法用户也无法正常访问或者使用该信息，如图1-4所示。

在图1-4中，一名攻击者入侵了大量主机，并且针对一个网络发起了分布式拒绝服务（DDoS）攻击，让被攻击网络被大量流量淹没，无法正常响应外部合法用户发起的访问。

在实际的网络环境中，破坏网络可用性的方法有很多，因此保护网络可用性的方法也有不少，后面的内容会提到其中的一些。

这三项信息安全原则的重要性毋庸置疑，但针对CIA三元组，一直以来都有一种质疑得到了很多从业者的支持，那就是CIA仍然不足以概括所有的信息安全原则。另外一些被人们认为同样重要的信息安全原则还包括下面这些。

• 抗抵赖性（Non-repudiation）：网络环境具备能够证明网络中发生的事件或操作，及其（该事件与操作）与相关网络实体之间关系的能力。
• 真实性（Authenticity）：网络实体的身份与其声称身份相符的属性。
• 可审计性（Accountability）：能够记录网络中时间及操作的能力。

上述原则都对应一些常见的攻击与安全措施，这些内容会在后文进行介绍。

1.1.2 网络安全设计指导方针

目前，除了使用量子网络作为传输媒介确实“绝对安全”之外，没有第二种放之四海而皆准的网络设计方案可以解决所有的网络安全隐患。另外，各个网络的领域、经费、规模、人员等因素都存在巨大的区别，因此不存在能够满足一切需求的网络设计方案。但是，要想确保网络的安全性，却有一系列的设计指导方针可供人们在设计网络时围绕着网络的具体需求进行借鉴，以免在设计层面出现重大的问题。

下面简单介绍几种可以用来保护网络安全的设计指导方针。

• 分区原则：在一个具有一定规模的网络中，不同部分经常需要采用不同的安全策略。网络安全区域是指在互联网络环境中实施相同安全策略的网络部分。通过划分区域的方式，可以防止网络在遭到某种攻击时，这种攻击方式能轻易蔓延到整个网络中。另外，借助区域划分的方式，可以在最重要的位置部署格外严格的安全策略，为允许外部访问的位置部署相对开放的安全策略，从而避免了网络安全策略的“一刀切”。严格来说，区域划分现在已经不再是一种网络安全的设计原则，而是部署安全策略时无法回避的做法。后文在介绍IOS防火墙和ASA时，会深入介绍这方面的内容。
• 深度防御：网络威胁可能发生在网络的任何位置，也可能针对任何目标协议、设备进行攻击。因此，防御措施不能依赖于任何一种类型的设备，更不能针对OSI模型的任何一层提供防御。一个可靠的安全网络，应该使用从机房门禁到保护应用软件和应用数据的机制在内的一切措施，来避免恶意攻击。
• 最薄弱链条原则：网络安全符合木桶（短板）原理。最不安全的环节代表了整个网络的安全性水平。比如，一个安全策略配置合理、完善且动用了各类安全防护产品和措施的网络，如果物理层防护不到位，外来人员可以轻易把自己的“流氓”（rogue）设备接入网络，甚至轻易进入机房，那么前面的一切安全措施也就形同虚设。再比如，一个网络如果其他安全措施都很到位，只是没有对员工进行足够的安全意识培训，那么攻击者也就可以轻而易举地通过社会工程学手段入侵到这个网络中。所以，在设计安全策略时，提升网络安全效率最好的做法，是提升当前网络最薄弱的环节。
• 最低权限原则：在任何情况下，应该只给网络用户分配必要程度上的最低权限。这一点不仅对于有设备管理权限的账户来说格外重要，而且也适用于限制网络用户和网络流量利用网络工作原理来发起的能力。

上文中重复出现了安全策略这个概念，下面对安全策略的概念进行解释。

1.1.3 安全策略

在进行技术实施的时候，人们经常会提到“安全策略”。技术实施中的安全策略，多指实施某些特定的技术或者设备特性。但本书介绍的安全策略是指企业的安全策略。

企业安全策略是对一家组织机构中，所有技术与信息资产的合法使用者所必须遵守的操作准则所定义的正式条款。在网络设计之初，就应该根据需求定义好对应的安全策略，并且在之后严格地执行，因为安全策略可以：

• 指导用户、员工和管理层的操作行为；
• 制定安全机制；
• 设定操作基线；
• 对人员和信息形成有效的保护；
• 设定合法的操作行为；
• 授权专业人士对网络进行监测；
• 定义哪些行为违反（violate）了安全策略，以及针对这些行为的处理方式。

安全策略的构成如图1-5所示。

如图1-5所示，安全策略中至少应该包括标准、基线、指导方针和流程4部分。其中标准和基线是概括性设计（High-Level Design），而流程属于细节性设计（Low-Level Design）。概括性设计中的标准用来指定在这个网络环境中应该使用哪些技术；基线指定了安全需求的最低限度应该满足什么要求；指导方针定义了如何实现标准中定义的技术；流程则应该明确写明技术人员在按照指导方针实施或者执行标准时，具体应该如何进行操作。

在对网络安全及与网络安全有关的概念进行了一些解释和澄清后，接下来看一下网络长期面临的一系列安全威胁。 Ehe0NK3qP6aJ42McuP67BQU90DQpCo3y9Ahnv1baWWq0arKNqW4ujfpzwQlElfUp