注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

u.s.navy的网易博客

莫斯科不相信眼泪

 
 
 

日志

 
 
 
 

关健网络系统的安全与防护  

2007-04-19 10:15:35|  分类: 装备科技E |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

2006年2月6~10日,美国进行了一场历史上规模最大的“网络风暴”(Cyber Storm)网络战演习。演习由美国国土安全部指挥,美国国家安全委员会。国务院,国防部、司法部、财政部、国家安全局、联邦调查局。中央情报局等115家政府部门参与,微软、思科、赛门铁克等著名电脑公司是演习的重要设计者。美国还在2005年5月进行过“平静地平线”网络战演习,其他国家和地区也有一些类似演习。看来,网络战的威胁并非空穴来风,对网络尤其是关键网络的安全问题应该予以高度重视。

当前,网络信息系统面临计算机病毒、网络犯罪和网络攻击等主要安全问题,特别是一些关键网络应用(包括军用和民用重要网络系统),受到来自各方面专门攻击的严峻挑战。本文以美国国防信息系统为例,介绍一些关键网络系统的安全连接方法,并提出本地计算环境的技术安全对策。笔者强调,关键网络系统的安全环境建设与管理,必须构建可信计算平台、控制信息泄漏源头,从边界防护、通信保密、内部管理和终端可信等多方面人手,构成综合的信息安全技术保障体系。

网络信息系统面临的安全挑战

全球计算机网络安全问题突出

近期在我国天津召开了第八届国际反病毒大会,来自中、美、俄、法、日、韩等国家的专家报告,目前计算机病毒仍然是网络信息安全最突出的问题之一,其危害在全球范围呈上升趋势。到2005年,计算机网络病毒已接近10万种,仅网络蠕虫就已达5376种,年增长率超过20%。我国计算机用户感染病毒的比例高达80%,半数以上造成了实际损失。

同时,利用计算机间谍软件等网络移动恶意代码,并与手机等现代通信技术相结合的网络犯罪问题也极为突出。主要表现,一是网上传统犯罪,如网上诈骗、网上盗窃,约占网络犯罪总数的80%,二是网络专业犯罪,如有作案动机的网络系统入侵。目前网络犯罪与传统犯罪已经彼此交融,网络入侵技术常常被用来实施传统犯罪。一些人联合利用网络蠕虫、病毒等技术,钻网络计算机系统的漏洞,使数以万计的用户计算机不知不觉地充当了“僵尸主机”,被用来窃取信息或对他人同时发起集中攻击。有些不法之徒通过“网络钓鱼”、“木马程序”等手段,偷盗网上银行的账户信息,欺骗盗窃大量金钱。这些犯罪行为对网络应用的安全造成了巨大破坏。

关键网络系统面临严峻挑战

针对一些关键网络信息系统的攻击和破坏,则隐含了更高层次的安全问题,恐怕与近来全球新军事革命的深入以及对信息战探索的大背景密切相关。军事分析家认为,在未来的信息化战场上,作战的双方将以计算机网络系统为中心,把各作战单元联结为一个有机整体,在保护己方系统不受敌方影响和破坏的同时,运用各种信息化作战手段,包括计算机病毒、网络蠕虫、恶意逻辑代码以及黑客工具等,对敌方的关键信息系统实施信息攻击,影响、破坏敌方的认知系统和决策过程,使其削弱甚至丧失作战能力。在这种以争夺信息优势为主要目标的信息对抗中,计算机网络攻防可能成为一种重要的作战样式。

网络攻防对抗也可称网络战,它在近年发生的几次局部战争中,人们看到了这种作战样式的雏形。国外有许多报道披露,在海湾战争中首次出现了网络战,在科索沃战争中则贯穿了全过程并对战争进程产生了影响,在阿富汗战争和伊拉克战争中,计算机病毒、捣鬼芯片、网络嗅探器、黑客手段等也得到了局部应用。

另一方面,网络战还具有强大的威慑作用,是一种能够让敌方产生极大心理压力的战略手段。一个国家的信息化程度越高,其信息系统的脆弱性就越是如影随形地转嫁到社会机制中。如对于电力、能源、金融、交通、通信等计算机控制系统的破坏,将可能造成社会的极度混乱。对信息社会机制广泛脆弱性的攻击,实施容易、时效性强、威力大、国际负面影响小,理论上可以做到“不战而胜”。有外军专家称,网络战提供了不具名的、非致命的战争选择,这种战争以光速进行,升级为直接冲突的风险相对较低,是弱势方对强势方进行不对称对抗的一种方法。因此,防御网络攻击的问题已经超出了技术和学术的范畴,成为了关系国家安全的战略问题。

美国十分重视计算机网络安全

当前美国社会对计算机网络的依赖程度已经很高,因此对防御计算机网络攻击也尤为重视。正如美军FM100-6号野战条令《信息作战》指出的,美国“信息基础设施面临的威胁是现实的,它们源于全球范围、在技术上表现出多面性,而且这种威胁正在增长”。对此前景,美国人半是自信、半是忧虑地说“给我10个精选出来的黑客,90天内我就能‘关掉’美国”。这也许正是网络空间所面临安全挑战的真实写照。

①网络和基础设施防护,考虑骨干网络的可用性、无线网络安全框架、系统高层互连和虚拟专有网保密通信,②系统边界的防护,包括网络边界保卫、远程访问认证、多级安全控制,③计算环境防护,指终端用户环境安全、系统应用安全和系统数据安全:④基础设施支撑,主要包括密钥管理基础设施/公共密钥基础设施(KMI/PKI)、入侵检测与响应等方面。

美国在“信息保障技术框架”(IATF)中提出了深度防御战略,将关键网络信息系统定义为一些具有不同边界保护能力的飞地(Enclave),同一飞地包括了可能需要跨地域分布的广域网。在规定的技术保护框架下,不同类别的飞地之间通过安全保密通信实现可靠连接,在总体上构成“三纵三横和两个中心”。“三纵”是指

公共区域、专用敏感区域、涉密区域三类本地计算环境;“三横”是指应用环境、应用区域边界、网络保密通信三种区域内部应用,及其横向扩展的共享连接,“两个中心”是指检测响应中心和访问授权管理中心。

在每个本地计算环境的内部,是一些常见的局域网安全应用环境及其下属网络环境,一般包括局域网管理、证书服务、入侵检测、脆弱性扫描、病毒防护,以及标准的和受保护的应用服务等。“信息保障技术框架”指出:物理隔离是用于维持保密数据的机密性和完整性的主要手段,然而,当需要穿过本地计算环境的边界与其他飞地连接时,也允许采用可靠的边界防护措施(包括防火墙、保卫设施、虚拟专有网络通信及其对远程用户的身份认证和访问控制等),分别通过专线连接到对应的公共电信网络、专用网络或涉密网络,再与其他公共区域、专用区域或涉密区域等三类本地计算环境之一实现可靠连接。被连接的网络系统的保密级别将不能高于该飞地原保密级别。某一飞地的远程用户访问飞地区域时,均需要成功通过身份认证并采取保密通信措施。飞地边界的防护环境全貌参见图1。

 

下面以美国国防信息基础设施(DII)为例,进一步说明飞地之间的安全连接方法。DII是美国政府最大、最复杂的信息基础设施之一,它支持超过200万个主要用户(并可另外扩展200万个),包括200个指挥中心和16个大型数据中心与国防元数据中心。基本用户环境是以物理保护设施和混合装置为边界的飞地,合并组成了超过20000个本地网络(其中4000个连接到骨干网络),支持超过30万个内部安全用户。DII实现了一些全球虚拟专用网络,如涉及机密的全球联合情报通信系统(JWICS)和因特网协议路由器安全网络(SIPRNet),以支持后勤、情报等任务使用的全球性广域网连接。

在过去,这种信息基础设施是在专门网络和定制信息系统的基础上运作的,而现在,国防部几乎完全依靠全国范围的国家信息架构,以及更大范围的全球信息基础设施的商业服务支持。这里最关键的技术问题,是解决不同网络、不同地区用户之间的安全连接和通信保密问题。图2显示了DII不同保密程度的国防计算环境之间的安全连接方法。

从图2可以看出,远程(包括移动)用户可通过当地的电信服务商接入相应安全保密等级的飞地网络,在完成用户身份认证和访问授权验证后,再通过全球联合情报通信系统的绝密网络(Top Secret)、或SIPRNET安全网络、或NIPRNET非密内部网络、或因特网公开网络,与其他飞地网络实现连接。请注意到,在国防部的NIPRNET与因特网之间设有安全网关,在各网络边界的保护设有防火墙和其他保卫设施,如实行物理隔离,或通过软硬件甚至人工实现的各种数据过滤、完整性检查和阻断功能,在远程访问时必须通过通信服务器及加密设施。

一个典型应用是美国国防部的全球情报系统,它通过这种连接方式以“绝密-敏感封装信息”(TS-SCI)来进行情报交换,传送重要级别的通信信息。在同一个TS-SCI飞地内部,客户还可以通过涉密的和非密的系统,实现与非情报团体用户之间不特别紧密的连接。为了到达一个混合的用户团体,所发送的信息可能分别流经非密、秘密和TS-SCI三类系统。显然,在这些飞地系统之间移动信息必须完全遵从相应的安全政策,因此是极其复杂的。

本地计算环境的技术安全对策

为了保护关键网络信息系统的内部安全,首先需要防护好网络边界,监视出入的数据流,以有效控制与外部的连接,在网络边界上需要设置防火墙等保卫设施,对远程虚拟专有用户实现身份认证和访问控制:在内部需要部署多级安全系统,设置基于网络的入侵检测系统、脆弱性扫描和病毒/恶意代码检测系统,并要求每个局域网与对应关键系统提供的防护政策相一致。此外还应该采用技术机制对付内部的恶意行为,包括使部容易利用内部后门和隐蔽通道的行为,必须提供对遵从边界安全政策的核查能力,柔性地实现安全策略,以实现在安全的网络之间、网络与外部用户之间的通信安全。

反思当前的网络信息安全系统,我们发现,目前普遍应用的防火墙、入侵检测等安全系统往往只在网络层(IP层)捕捉外部攻击和病毒入侵的行为特征,而且所获取的通信数据也是滞后信息。因此,国内一些专家认为:只在外围封堵而对用户终端系统不加以控制,不能从根本上解决问题,将使得操作系统不安全因素导致的应用系统漏洞层出不穷。另一方面,恶意攻击者的手段变化多端,防护者却只能将防火墙越砌越高、入侵检测系统越做越复杂、恶意代码库越积越大,使监控系统的虚报、漏报率居高不下。其结果是,信息系统的使用效率大大降低、安全维护与管理更加复杂和困难,尤其是对新出现的攻击手段的防御能力很弱。

例如,随着网络攻击技术的发展,国内外已经出现几种比较成熟的半自动网络攻击与响应技术。其中,有些是对一组攻击手段集成后的套件,有些本身就是具有综合性、自动化特点的专门技术,典型例子是对“僵尸网络”、网络蠕虫和分布式攻击技术的联合利用。“僵尸网络”的一个重要特点是能够主动向外建立连接,而不是像传统“特洛伊木马”程序那样在特定的端口处“守株待兔”,等待控制端的连接。利用“僵尸网络”的这个特点,攻击者一方面使防火墙无法根据端口发现和阻拦其活动,另一方面则通过“蠕虫”等各种手段,大量入侵网络中的计算机,并进行“僵尸回收”、控制它们集中发起分布式攻击。

分析产生以上安全问题的技术原因,有许多因素是与用户终端相关的:①用户终端软硬件系统结构存在问题,使得系统资源可被任意控制,如可修改内存和程序代码,②病毒程序利用计算机操作系统对执行代码不检查一致性的弱点,将病毒代码嵌入到执行代码程序,实现病毒传播:③攻击者利用被攻击系统的漏洞窃取超级用户权限,肆意进行破坏,④对合法用户不进行严格的访问控制,越权访问造成不安全事故。

①确保用户角色、权限和工作空间的完整性、可用性,②确保存储、处理、传输信息的机密性、完整性,③确保硬件环境配置、操作系统内核、服务及应用程序的完整性,④确保密钥操作和存储的安全,⑤确保系统具有免疫能力,从根本上防止病毒和黑客攻击。

可信终端奠定了系统安全的基础。它保证用户身份的合法性和资源操作的一致性,使用户只能按照规定的权限和访问规则进行操作。只要信息系统的控制规则是合理的,那么资源访问的过程便是安全的。当然,安全操作系统是可信计算终端平台的核心和基础。没有安全的操作系统,就没有安全的应用,可信平台模块也无法发挥应有的作用。

综上所述,安全的网络边界保护、可信的终端应用操作平台、合理的资源共享服务规范和全程安全保密的网络通信,构成了关键网络信息系统的信息安全技术保障框架。当前,国内外各类网络信息系统和终端用户面临的计算机病毒侵扰、网络恶意代码盗窃破坏、计算机网络犯罪和网络黑客攻击等问题十分突出,特别是关键网络可能受到来自各方面的专门攻击。本文介绍的关键网络系统的技术防护框架,可供关键网络系统建立安全的外部连接和本地计算环境时的参考。

  评论这张
 
阅读(507)| 评论(1)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017