據(jù)最新的互聯(lián)網(wǎng)安全威脅報(bào)告顯示,混合式網(wǎng)絡(luò)威脅日益增多。目前全球每20秒就發(fā)生一次計(jì)算機(jī)入侵事件,Windows系統(tǒng)和組件的漏洞增多以及嚴(yán)重信息系統(tǒng)漏洞的不斷涌現(xiàn),使得網(wǎng)絡(luò)安全 成為亟待解決的問題。如何保護(hù)企業(yè)的機(jī)密信息不受黑客和工業(yè)間諜的入侵,已成為政府機(jī)構(gòu)、電信運(yùn)營商 、企事業(yè)單位信息化健康發(fā)展需首要考慮的問題。
由于層出不窮的病毒攻擊著網(wǎng)絡(luò)系統(tǒng) 中的各級(jí)設(shè)備,而各種病毒、CIH、沖擊波等更是侵犯著網(wǎng)絡(luò)中的基礎(chǔ)設(shè)施,這些情況迫使安全問題 解決策略不能再局限于某一節(jié)點(diǎn)、某一設(shè)備上,而是要從系統(tǒng)的高度出發(fā),全面考慮全網(wǎng)的設(shè)施,全新認(rèn)識(shí)安全防護(hù) 。對(duì)于電信運(yùn)營商而言,不僅要從物理層保證傳輸安全,而且還要站在網(wǎng)絡(luò)層次的高度,重新看待和分析網(wǎng)絡(luò)安全,在全網(wǎng)架構(gòu)中確定重點(diǎn)的防范區(qū)域,分層次、分階段的布設(shè)安全措施。
一、傳統(tǒng)電信網(wǎng)的安全
傳統(tǒng)電信網(wǎng)是基于連接的物理通信網(wǎng)絡(luò),且是封閉的網(wǎng)絡(luò)。同時(shí),傳統(tǒng)用戶終端也是模擬終端,如電話機(jī)、傳真機(jī)等是不帶智能的,這就使得相應(yīng)業(yè)務(wù)完全由運(yùn)營商控制,即控制和承載不分離,網(wǎng)絡(luò)面臨的安全的復(fù)雜性也就大大低于現(xiàn)有網(wǎng)絡(luò)。
傳統(tǒng)電信網(wǎng)解決通信安全的主要目的是在物理傳輸上防止竊聽及數(shù)據(jù)傳輸問題,對(duì)數(shù)據(jù)傳輸其主要的安全保護(hù)措施是密碼技術(shù),不涉及OSI或TCP/IP 的上層協(xié)議 。
二、現(xiàn)有網(wǎng)絡(luò)的安全
近年來由于互聯(lián)網(wǎng)的快速發(fā)展,電信網(wǎng)的分組數(shù)據(jù)業(yè)務(wù)呈爆炸性增長,基于TDM的PSTN話音網(wǎng)和分組交換數(shù)據(jù)網(wǎng)呈現(xiàn)融合趨勢(shì),即電信網(wǎng)與互聯(lián)網(wǎng)的融合,形成可以傳遞話音和數(shù)據(jù)等綜合業(yè)務(wù)的新一代網(wǎng)絡(luò)。
由于互聯(lián)網(wǎng)是一個(gè)IP網(wǎng)絡(luò),它是開放且無連接性的,具有邊界和路徑不確定性:從用戶源主機(jī)到另一個(gè)目的主機(jī)可能存在多條路徑,一個(gè)主機(jī)可能是兩個(gè)不同網(wǎng)絡(luò)中的一個(gè)中轉(zhuǎn)點(diǎn)。因此,一個(gè)網(wǎng)絡(luò)中的資源可由另一網(wǎng)中的用戶訪問。這樣,一些未經(jīng)授權(quán)的非法用戶可能就會(huì)給網(wǎng)絡(luò)安全構(gòu)成嚴(yán)重的威脅。
網(wǎng)絡(luò)安全已經(jīng)成為互聯(lián)網(wǎng)發(fā)展過程中不容忽視的問題。尤其是為了減緩IP地址 匱乏,引進(jìn)了NAT 技術(shù),現(xiàn)在大部分諸如企業(yè)網(wǎng)、校園網(wǎng) 等的局域網(wǎng) 都采用了這種NAT技術(shù),這種技術(shù)破壞了端到端的基本原則,在很大程度上破壞了互聯(lián)網(wǎng)的授權(quán)和鑒定機(jī)制。
三、網(wǎng)絡(luò)安全體系結(jié)構(gòu)
這里針對(duì)互聯(lián)網(wǎng)絡(luò)系統(tǒng)實(shí)際運(yùn)行TCP/IP協(xié)議模型來分析。TCP/IP 協(xié)議模型網(wǎng)絡(luò)安全貫穿于信息系統(tǒng)的四個(gè)層次,即網(wǎng)絡(luò)接口 層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層。為此基于TCP/IP分層模型的網(wǎng)絡(luò)安全服務(wù)也是分層的,相應(yīng)的不同層次的網(wǎng)絡(luò)服務(wù)也是不同的,需要分層進(jìn)行配置 。下表是TCP/IP分層模型中提供的的網(wǎng)絡(luò)安全服務(wù) (Y表示服務(wù)選項(xiàng)并入該層的標(biāo)準(zhǔn)之中,空格表示不提供)。
點(diǎn)擊查看大圖
1.網(wǎng)絡(luò)接口層安全
網(wǎng)絡(luò)接口層是TCP/IP的最低層,包括OSI的物理層、數(shù)據(jù)鏈路層 。網(wǎng)絡(luò)接口層有兩種類型:第一種是設(shè)備驅(qū)動(dòng)程序(如局域網(wǎng)的網(wǎng)絡(luò)接口);第二種是含自身數(shù)據(jù)鏈路協(xié)議的復(fù)雜子系統(tǒng)(如X.25中的網(wǎng)絡(luò)接口)。為保證通過網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽,主要采用劃分VLAN 、加密通信(遠(yuǎn)程網(wǎng))等手段進(jìn)行加密。
對(duì)于通過使用VPN 業(yè)務(wù)連接多個(gè)私有地點(diǎn)的組織應(yīng)該使用NAT、防火墻 和數(shù)據(jù)加密 技術(shù)。在VPN拓?fù)浣Y(jié)構(gòu)中,私有數(shù)據(jù)在公共網(wǎng)絡(luò)上傳送,因此加密是必須的。第2層隧道協(xié)議(L2TP)就是互聯(lián)網(wǎng)工程任務(wù)組(IETF)針對(duì)在公共網(wǎng)絡(luò)上用隧道傳送私有數(shù)據(jù)而制定的標(biāo)準(zhǔn)。作為VPN業(yè)務(wù)中的一種,光虛擬專用網(wǎng) (OVPN)是下一代光傳送網(wǎng)-智能光網(wǎng)絡(luò)最有潛力的增值業(yè)務(wù)。OVPN的關(guān)鍵技術(shù)包括:安全隧道與信息加密技術(shù) ,即使用加密與封裝相結(jié)合的技術(shù)對(duì)用戶數(shù)據(jù)進(jìn)行安全保護(hù);在VPN用戶訪問網(wǎng)絡(luò)資源 及管理員對(duì)VPN系統(tǒng)進(jìn)行管理之前,采用用戶認(rèn)證技術(shù)進(jìn)行身份認(rèn)證 ;訪問控制 技術(shù)提供細(xì)粒度的訪問控制功能以實(shí)現(xiàn)對(duì)用戶信息資源的保護(hù)。
使用光虛擬專用網(wǎng)不僅具有共享的經(jīng)濟(jì)性、靈活性、可靠性和可擴(kuò)展性等特點(diǎn),更重要的是它在光層的安全性受到電信運(yùn)營商的重視,這對(duì)于客戶來說支出更少,而對(duì)于運(yùn)營商來說則有更多的收入、更安全的網(wǎng)絡(luò)。可以說,OVPN服務(wù)對(duì)于用戶和運(yùn)營商來說是一種雙贏的選擇方案,在將來的智能光網(wǎng)絡(luò)領(lǐng)域有著廣泛的應(yīng)用前景。
2.網(wǎng)絡(luò)層安全
網(wǎng)絡(luò)層安全即IP層安全性,它的主要優(yōu)點(diǎn)是其透明性,也就是說,安全服務(wù)的提供不需要應(yīng)用程序,也不需要對(duì)其他通信層次和網(wǎng)絡(luò)部件做任何改動(dòng)。最主要缺點(diǎn)的是IP層一般對(duì)屬于不同進(jìn)程 的包不作區(qū)別。對(duì)所有去往同一地址的包,它將按照同樣的加密密鑰和訪問控制策略來處理,這將使得網(wǎng)絡(luò)安全性能下降。針對(duì)面向主機(jī)密鑰分配的這些問題,RFCl825推薦使用面向用戶的密鑰分配,其中,不同的連接會(huì)得到不同的加密密鑰。但是,面向用戶的密鑰分配需要對(duì)相應(yīng)的操作系統(tǒng) 內(nèi)核作比較大的改動(dòng)。
IP層非常適合提供基于主機(jī)的安全服務(wù),相應(yīng)的安全協(xié)議可以用來在互聯(lián)網(wǎng)上建立安全的IP通道和虛擬專網(wǎng) 。例如,利用它對(duì)IP包的加密和解密功能,可以簡捷地強(qiáng)化防火墻系統(tǒng)的防衛(wèi)能力。
網(wǎng)絡(luò)層的安全性問題核心在于網(wǎng)絡(luò)是否能得到控制,目標(biāo)網(wǎng)站通過對(duì)來源IP進(jìn)行分析,便能夠初步判斷來自這一IP的數(shù)據(jù)是否安全,是否會(huì)對(duì)本網(wǎng)絡(luò)系統(tǒng)造成危害,來自這一IP的用戶是否有權(quán)使用本網(wǎng)絡(luò)的數(shù)據(jù)。一旦發(fā)現(xiàn)某些數(shù)據(jù)來自不可信任的IP地址,系統(tǒng)便會(huì)自動(dòng)將這些數(shù)據(jù)阻擋在系統(tǒng)之外,并且大多數(shù)系統(tǒng)能夠自動(dòng)記錄那些曾經(jīng)造成過危害的IP地址,使它們的數(shù)據(jù)無法造成第二次危害。網(wǎng)絡(luò)層主要的安全技術(shù) 包括:
(1)防火墻
防火墻是建立在內(nèi)外網(wǎng)絡(luò)邊界上的過濾封鎖機(jī)制。內(nèi)部網(wǎng)絡(luò)被認(rèn)為是安全和可信賴的,而外部網(wǎng)絡(luò)(通常是互聯(lián)網(wǎng))被認(rèn)為是不安全和不可信賴的。防火墻的作用是防止不希望的、未經(jīng)授權(quán)的通信進(jìn)入被保護(hù)的內(nèi)部網(wǎng)絡(luò),通過邊界控制強(qiáng)化內(nèi)部網(wǎng)絡(luò)的安全策略 。
防火墻對(duì)于解決一些機(jī)構(gòu)網(wǎng)絡(luò)邊界安全問題起到了比較好的效果,應(yīng)用很廣泛,但它只能是網(wǎng)絡(luò)安全措施的一個(gè)組成部分,而不能解決所有的網(wǎng)絡(luò)安全問題。
(2)IP安全協(xié)議(IPSec)
IP安全協(xié)議(IPSec)是一組提供數(shù)據(jù)保密性、數(shù)據(jù)完整性和對(duì)IP層的參與各方進(jìn)行身份驗(yàn)證 的公開標(biāo)準(zhǔn)。IPSec已經(jīng)獲得行業(yè)的認(rèn)可,客戶也要求所購買的互聯(lián)網(wǎng)產(chǎn)品中包含對(duì)它的支持。IPSec使用認(rèn)證頭部(AH)和安全內(nèi)容封裝(ESP)兩種機(jī)制,前者提供認(rèn)證和數(shù)據(jù)完整性,后者實(shí)現(xiàn)通信保密。
IPSec使得一個(gè)系統(tǒng)能夠選擇安全協(xié)議和算法,并且建立密鑰。互聯(lián)網(wǎng)密鑰交換(IKE)協(xié)議提供了對(duì)IPSec同等各方的身份驗(yàn)證。使用IKE還可以對(duì)IPSec密鑰和其他安全性相關(guān)措施進(jìn)行協(xié)商。IKE主要使用以下技術(shù):
① DES——用來對(duì)數(shù)據(jù)包數(shù)據(jù)進(jìn)行加密;
② Diffie-Hellman——用來建立一個(gè)共享的、保密的會(huì)話密鑰;
③ Message Digest 5(MD5)——一個(gè)對(duì)數(shù)據(jù)包數(shù)據(jù)進(jìn)行身份驗(yàn)證的哈希算法;
④ Secure Hash Algorithm(SHA) ——一個(gè)對(duì)數(shù)據(jù)包數(shù)據(jù)進(jìn)行身份驗(yàn)證的哈希算法;
⑤ RSA encryptednonces——提供否認(rèn)功能;
⑥RSA簽名——提供認(rèn)可功能。
(3) 入侵檢測(cè) 技術(shù)
ICSA(入侵檢測(cè)系統(tǒng)論壇)對(duì)入侵檢測(cè)技術(shù)的定義是:通過從計(jì)算機(jī)網(wǎng)絡(luò) 或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊跡象的一種安全技術(shù)。
入侵檢測(cè)技術(shù)是動(dòng)態(tài)安全技術(shù)中最為核心的技術(shù)之一。傳統(tǒng)的操作系統(tǒng)加固技術(shù)和防火墻隔離技術(shù)等都是靜態(tài)安全防御技術(shù),對(duì)網(wǎng)絡(luò)環(huán)境下日新月異的攻擊手段缺乏主動(dòng)的反應(yīng)。入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù),從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā),在不影響網(wǎng)絡(luò)性能 的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè),提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。
目前,利用最新的可適應(yīng)網(wǎng)絡(luò)安全技術(shù) 和 P2DR(PolicyProtectionDetectionResvonse)安全模型,已經(jīng)可以深入地研究入侵事件、入侵手段本身及被入侵目標(biāo)的漏洞等。入侵檢測(cè)技術(shù)通過對(duì)入侵行為的過程與特征的研究,使安全系統(tǒng)對(duì)入侵事件和入侵過程能做出實(shí)時(shí)響應(yīng)。入侵檢測(cè)技術(shù)的一個(gè)發(fā)展趨勢(shì)是將它集成到路由器或三層交換機(jī) 中,在實(shí)現(xiàn)網(wǎng)絡(luò)安全的過程中入侵檢測(cè)技術(shù)執(zhí)行的任務(wù)包括:監(jiān)視、分析用戶及系統(tǒng)活動(dòng);系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì);識(shí)別、反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警;異常行為模式的統(tǒng)計(jì)分析;評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性;操作系統(tǒng)的審計(jì)跟蹤管理,并識(shí)別用戶違反安全策略的行為。
3.傳輸層安全
傳輸層的脆弱性已經(jīng)成為網(wǎng)絡(luò)協(xié)議 攻擊的主要突破口之一,其漏洞如下:
① TCP連接 的建立與終止。TCP連接的建立與斷開機(jī)制保證了傳輸?shù)目煽啃耘c速度,但是在連接建立過程完成之后,服務(wù)器端 不再驗(yàn)證連接的另一方是不是合法的用戶,這種脆弱性的直接后果是連接可能被竊取。
② TCP連接請(qǐng)求對(duì)隊(duì)列的處理方法看起來很適用于連接的實(shí)際情況,但是很容易出現(xiàn)以下現(xiàn)象:如果某一用戶不斷地向服務(wù)器某一端口發(fā)送申請(qǐng)TCP連接的SYN 請(qǐng)求包,但不對(duì)服務(wù)器的SYN包發(fā)回ACK確認(rèn)信息,則無法完成連接。當(dāng)未完成的連接填滿傳輸層的隊(duì)列時(shí),它不再接受任何連接請(qǐng)求,包括合法的連接請(qǐng)求,這樣就可能使服務(wù)器端口服務(wù)掛起。
③TCP連接的堅(jiān)持。TCP連接仍舊能保持的特性會(huì)造成當(dāng)TCP連接上很長時(shí)間內(nèi)無數(shù)據(jù)被傳送時(shí)TCP連接資源的浪費(fèi)。畢竟服務(wù)器某個(gè)端口可以存在的最大連接數(shù)有限,保持著大量不傳輸數(shù)據(jù) 的連接將極大地降低服務(wù)器性能,而且在服務(wù)器的兩次探測(cè)之間,可能導(dǎo)致TCP連接被竊取,使得原來與服務(wù)器連接的機(jī)器死機(jī)或重啟。
由于TCP/IP協(xié)議本身非常簡單,沒有加密、身份認(rèn)證等安全特性,因此要向上層應(yīng)用提供安全通信的機(jī)制就必須在TCP之上建立一個(gè)安全通信層次。傳輸層網(wǎng)關(guān)就是在兩個(gè)通信節(jié)點(diǎn)之間代為傳遞TCP連接并進(jìn)行控制,這個(gè)層次一般稱作傳輸層安全。最常見的傳輸層安全技術(shù)有SSL (安全套接層協(xié)議)、SOCKS和安全RPC等。同網(wǎng)絡(luò)層安全機(jī)制相比,傳輸層安全機(jī)制的主要優(yōu)點(diǎn)是它提供基于進(jìn)程對(duì)進(jìn)程(而不是主機(jī)對(duì)主機(jī))的安全服務(wù)和加密傳輸信道,利用公鑰體系進(jìn)行身份認(rèn)證、安全強(qiáng)度高、支持用戶選擇的加密算法。這一成就如果再加上應(yīng)用級(jí)的安全服務(wù),就可以提供更加安全可靠的安全性能。
4.應(yīng)用層安全
應(yīng)用層的缺陷主要集中在R系列命令中(rcp、rsh、rlogin等),這些命令是基于可信任主機(jī)之間的關(guān)系而設(shè)置的方便用戶登錄的一種方法,可信任主機(jī)不需要口令也可以通過R系列命令登錄進(jìn)入目標(biāo)系統(tǒng)。
一般說來,在應(yīng)用層提供安全服務(wù)有下面幾種可能的做法。首先是對(duì)每個(gè)應(yīng)用(及應(yīng)用協(xié)議)分別進(jìn)行修改和擴(kuò)展,加入新的安全功能。一些重要的TCP/IP應(yīng)用已經(jīng)這樣做了。例如,在RFCl421~1424中,IETF規(guī)定了私用強(qiáng)化郵件(PEM)來為基于SMTP的電子郵件 系統(tǒng)提供安全服務(wù),應(yīng)用層對(duì)防止系統(tǒng)遭病毒侵入和黑客攻擊 都有極其重要的作用。另外,應(yīng)用層還可以使用應(yīng)用平臺(tái)提供的安全服務(wù),如采用通信內(nèi)容安全保護(hù)、通信雙方的認(rèn)證、審計(jì)等手段來保證基本安全。
四、結(jié)束語
在安全性設(shè)計(jì)中包含的任務(wù)與網(wǎng)絡(luò)總體設(shè)計(jì)所包含的任務(wù)是一致的:分析網(wǎng)絡(luò)安全需求 和目標(biāo),對(duì)其復(fù)雜性作出折中,因?yàn)槿魏尉W(wǎng)絡(luò)都不會(huì)有絕對(duì)的安全,安全的保護(hù)和策略越復(fù)雜,則投入的網(wǎng)絡(luò)運(yùn)營成本越高。因此,找到兩者的平衡點(diǎn),制定出一種合適的安全策略是非常必要的。