據最新的互聯網安全威脅報告顯示,混合式網絡威脅日益增多。目前全球每20秒就發生一次計算機入侵事件,Windows系統和組件的漏洞增多以及嚴重信息系統漏洞的不斷涌現,使得網絡安全 成為亟待解決的問題。如何保護企業的機密信息不受黑客和工業間諜的入侵,已成為政府機構、電信運營商 、企事業單位信息化健康發展需首要考慮的問題。
由于層出不窮的病毒攻擊著網絡系統 中的各級設備,而各種病毒、CIH、沖擊波等更是侵犯著網絡中的基礎設施,這些情況迫使安全問題 解決策略不能再局限于某一節點、某一設備上,而是要從系統的高度出發,全面考慮全網的設施,全新認識安全防護 。對于電信運營商而言,不僅要從物理層保證傳輸安全,而且還要站在網絡層次的高度,重新看待和分析網絡安全,在全網架構中確定重點的防范區域,分層次、分階段的布設安全措施。
一、傳統電信網的安全
傳統電信網是基于連接的物理通信網絡,且是封閉的網絡。同時,傳統用戶終端也是模擬終端,如電話機、傳真機等是不帶智能的,這就使得相應業務完全由運營商控制,即控制和承載不分離,網絡面臨的安全的復雜性也就大大低于現有網絡。
傳統電信網解決通信安全的主要目的是在物理傳輸上防止竊聽及數據傳輸問題,對數據傳輸其主要的安全保護措施是密碼技術,不涉及OSI或TCP/IP 的上層協議 。
二、現有網絡的安全
近年來由于互聯網的快速發展,電信網的分組數據業務呈爆炸性增長,基于TDM的PSTN話音網和分組交換數據網呈現融合趨勢,即電信網與互聯網的融合,形成可以傳遞話音和數據等綜合業務的新一代網絡。
由于互聯網是一個IP網絡,它是開放且無連接性的,具有邊界和路徑不確定性:從用戶源主機到另一個目的主機可能存在多條路徑,一個主機可能是兩個不同網絡中的一個中轉點。因此,一個網絡中的資源可由另一網中的用戶訪問。這樣,一些未經授權的非法用戶可能就會給網絡安全構成嚴重的威脅。
網絡安全已經成為互聯網發展過程中不容忽視的問題。尤其是為了減緩IP地址 匱乏,引進了NAT 技術,現在大部分諸如企業網、校園網 等的局域網 都采用了這種NAT技術,這種技術破壞了端到端的基本原則,在很大程度上破壞了互聯網的授權和鑒定機制。
三、網絡安全體系結構
這里針對互聯網絡系統實際運行TCP/IP協議模型來分析。TCP/IP 協議模型網絡安全貫穿于信息系統的四個層次,即網絡接口 層、網絡層、傳輸層、應用層。為此基于TCP/IP分層模型的網絡安全服務也是分層的,相應的不同層次的網絡服務也是不同的,需要分層進行配置 。下表是TCP/IP分層模型中提供的的網絡安全服務 (Y表示服務選項并入該層的標準之中,空格表示不提供)。
點擊查看大圖
1.網絡接口層安全
網絡接口層是TCP/IP的最低層,包括OSI的物理層、數據鏈路層 。網絡接口層有兩種類型:第一種是設備驅動程序(如局域網的網絡接口);第二種是含自身數據鏈路協議的復雜子系統(如X.25中的網絡接口)。為保證通過網絡鏈路傳送的數據不被竊聽,主要采用劃分VLAN 、加密通信(遠程網)等手段進行加密。
對于通過使用VPN 業務連接多個私有地點的組織應該使用NAT、防火墻 和數據加密 技術。在VPN拓撲結構中,私有數據在公共網絡上傳送,因此加密是必須的。第2層隧道協議(L2TP)就是互聯網工程任務組(IETF)針對在公共網絡上用隧道傳送私有數據而制定的標準。作為VPN業務中的一種,光虛擬專用網 (OVPN)是下一代光傳送網-智能光網絡最有潛力的增值業務。OVPN的關鍵技術包括:安全隧道與信息加密技術 ,即使用加密與封裝相結合的技術對用戶數據進行安全保護;在VPN用戶訪問網絡資源 及管理員對VPN系統進行管理之前,采用用戶認證技術進行身份認證 ;訪問控制 技術提供細粒度的訪問控制功能以實現對用戶信息資源的保護。
使用光虛擬專用網不僅具有共享的經濟性、靈活性、可靠性和可擴展性等特點,更重要的是它在光層的安全性受到電信運營商的重視,這對于客戶來說支出更少,而對于運營商來說則有更多的收入、更安全的網絡。可以說,OVPN服務對于用戶和運營商來說是一種雙贏的選擇方案,在將來的智能光網絡領域有著廣泛的應用前景。
2.網絡層安全
網絡層安全即IP層安全性,它的主要優點是其透明性,也就是說,安全服務的提供不需要應用程序,也不需要對其他通信層次和網絡部件做任何改動。最主要缺點的是IP層一般對屬于不同進程 的包不作區別。對所有去往同一地址的包,它將按照同樣的加密密鑰和訪問控制策略來處理,這將使得網絡安全性能下降。針對面向主機密鑰分配的這些問題,RFCl825推薦使用面向用戶的密鑰分配,其中,不同的連接會得到不同的加密密鑰。但是,面向用戶的密鑰分配需要對相應的操作系統 內核作比較大的改動。
IP層非常適合提供基于主機的安全服務,相應的安全協議可以用來在互聯網上建立安全的IP通道和虛擬專網 。例如,利用它對IP包的加密和解密功能,可以簡捷地強化防火墻系統的防衛能力。
網絡層的安全性問題核心在于網絡是否能得到控制,目標網站通過對來源IP進行分析,便能夠初步判斷來自這一IP的數據是否安全,是否會對本網絡系統造成危害,來自這一IP的用戶是否有權使用本網絡的數據。一旦發現某些數據來自不可信任的IP地址,系統便會自動將這些數據阻擋在系統之外,并且大多數系統能夠自動記錄那些曾經造成過危害的IP地址,使它們的數據無法造成第二次危害。網絡層主要的安全技術 包括:
(1)防火墻
防火墻是建立在內外網絡邊界上的過濾封鎖機制。內部網絡被認為是安全和可信賴的,而外部網絡(通常是互聯網)被認為是不安全和不可信賴的。防火墻的作用是防止不希望的、未經授權的通信進入被保護的內部網絡,通過邊界控制強化內部網絡的安全策略 。
防火墻對于解決一些機構網絡邊界安全問題起到了比較好的效果,應用很廣泛,但它只能是網絡安全措施的一個組成部分,而不能解決所有的網絡安全問題。
(2)IP安全協議(IPSec)
IP安全協議(IPSec)是一組提供數據保密性、數據完整性和對IP層的參與各方進行身份驗證 的公開標準。IPSec已經獲得行業的認可,客戶也要求所購買的互聯網產品中包含對它的支持。IPSec使用認證頭部(AH)和安全內容封裝(ESP)兩種機制,前者提供認證和數據完整性,后者實現通信保密。
IPSec使得一個系統能夠選擇安全協議和算法,并且建立密鑰。互聯網密鑰交換(IKE)協議提供了對IPSec同等各方的身份驗證。使用IKE還可以對IPSec密鑰和其他安全性相關措施進行協商。IKE主要使用以下技術:
① DES——用來對數據包數據進行加密;
② Diffie-Hellman——用來建立一個共享的、保密的會話密鑰;
③ Message Digest 5(MD5)——一個對數據包數據進行身份驗證的哈希算法;
④ Secure Hash Algorithm(SHA) ——一個對數據包數據進行身份驗證的哈希算法;
⑤ RSA encryptednonces——提供否認功能;
⑥RSA簽名——提供認可功能。
(3) 入侵檢測 技術
ICSA(入侵檢測系統論壇)對入侵檢測技術的定義是:通過從計算機網絡 或計算機系統中的若干關鍵點收集信息并對其進行分析,從中發現網絡或系統中是否有違反安全策略的行為和遭到襲擊跡象的一種安全技術。
入侵檢測技術是動態安全技術中最為核心的技術之一。傳統的操作系統加固技術和防火墻隔離技術等都是靜態安全防御技術,對網絡環境下日新月異的攻擊手段缺乏主動的反應。入侵檢測作為一種積極主動的安全防護技術,從網絡安全立體縱深、多層次防御的角度出發,在不影響網絡性能 的情況下能對網絡進行監測,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵。
目前,利用最新的可適應網絡安全技術 和 P2DR(PolicyProtectionDetectionResvonse)安全模型,已經可以深入地研究入侵事件、入侵手段本身及被入侵目標的漏洞等。入侵檢測技術通過對入侵行為的過程與特征的研究,使安全系統對入侵事件和入侵過程能做出實時響應。入侵檢測技術的一個發展趨勢是將它集成到路由器或三層交換機 中,在實現網絡安全的過程中入侵檢測技術執行的任務包括:監視、分析用戶及系統活動;系統構造和弱點的審計;識別、反映已知進攻的活動模式并向相關人士報警;異常行為模式的統計分析;評估重要系統和數據文件的完整性;操作系統的審計跟蹤管理,并識別用戶違反安全策略的行為。
3.傳輸層安全
傳輸層的脆弱性已經成為網絡協議 攻擊的主要突破口之一,其漏洞如下:
① TCP連接 的建立與終止。TCP連接的建立與斷開機制保證了傳輸的可靠性與速度,但是在連接建立過程完成之后,服務器端 不再驗證連接的另一方是不是合法的用戶,這種脆弱性的直接后果是連接可能被竊取。
② TCP連接請求對隊列的處理方法看起來很適用于連接的實際情況,但是很容易出現以下現象:如果某一用戶不斷地向服務器某一端口發送申請TCP連接的SYN 請求包,但不對服務器的SYN包發回ACK確認信息,則無法完成連接。當未完成的連接填滿傳輸層的隊列時,它不再接受任何連接請求,包括合法的連接請求,這樣就可能使服務器端口服務掛起。
③TCP連接的堅持。TCP連接仍舊能保持的特性會造成當TCP連接上很長時間內無數據被傳送時TCP連接資源的浪費。畢竟服務器某個端口可以存在的最大連接數有限,保持著大量不傳輸數據 的連接將極大地降低服務器性能,而且在服務器的兩次探測之間,可能導致TCP連接被竊取,使得原來與服務器連接的機器死機或重啟。
由于TCP/IP協議本身非常簡單,沒有加密、身份認證等安全特性,因此要向上層應用提供安全通信的機制就必須在TCP之上建立一個安全通信層次。傳輸層網關就是在兩個通信節點之間代為傳遞TCP連接并進行控制,這個層次一般稱作傳輸層安全。最常見的傳輸層安全技術有SSL (安全套接層協議)、SOCKS和安全RPC等。同網絡層安全機制相比,傳輸層安全機制的主要優點是它提供基于進程對進程(而不是主機對主機)的安全服務和加密傳輸信道,利用公鑰體系進行身份認證、安全強度高、支持用戶選擇的加密算法。這一成就如果再加上應用級的安全服務,就可以提供更加安全可靠的安全性能。
4.應用層安全
應用層的缺陷主要集中在R系列命令中(rcp、rsh、rlogin等),這些命令是基于可信任主機之間的關系而設置的方便用戶登錄的一種方法,可信任主機不需要口令也可以通過R系列命令登錄進入目標系統。
一般說來,在應用層提供安全服務有下面幾種可能的做法。首先是對每個應用(及應用協議)分別進行修改和擴展,加入新的安全功能。一些重要的TCP/IP應用已經這樣做了。例如,在RFCl421~1424中,IETF規定了私用強化郵件(PEM)來為基于SMTP的電子郵件 系統提供安全服務,應用層對防止系統遭病毒侵入和黑客攻擊 都有極其重要的作用。另外,應用層還可以使用應用平臺提供的安全服務,如采用通信內容安全保護、通信雙方的認證、審計等手段來保證基本安全。
四、結束語
在安全性設計中包含的任務與網絡總體設計所包含的任務是一致的:分析網絡安全需求 和目標,對其復雜性作出折中,因為任何網絡都不會有絕對的安全,安全的保護和策略越復雜,則投入的網絡運營成本越高。因此,找到兩者的平衡點,制定出一種合適的安全策略是非常必要的。