第三节 网络安全策略与技术
什么是安全的网络?虽然安全网络的概念一直在吸引着广大用户,但不能简单地说网络是安全的或者不安全的。因为“安全”这个术语的含义是相对的,每个单位都可以定义出允许或者拒绝的访问服务等级。由于安全网络没有绝对的定义,因此为了实现安全系统,一个单位首先要制定安全策略,然后采取相应的安全技术与措施,以保障网络安全。
学习目标
了解制定网络安全策略的侧重点;
熟悉用于执行网络安全策略的主要技术。
关键知识点
合理的网络安全策略需要把一个单位的网络、计算机安全与使用者的行为、信息价值的评估有机联系起来。
安全策略
网络安全风险永远不可能完全消除,必须加强防护与管理。因此,网络安全策略对一个网络拥有机构来说是非常重要的。什么是安全策略呢?安全策略是指在一个特定网络环境中为保证提供一定级别的安全保护所必须遵守的一系列规则。这些规则主要用于如何配置、管理和控制系统,约束用户在正常的环境下应如何使用网络资源,以及当网络环境发生不正常行为时应如何响应与恢复。
网络安全策略等级
随着网络技术的不断发展,全球信息化已成为人类发展的必然趋势。但由于网络具有连接形式多样性、终端分布不均匀性以及网络的开放性、互连性等特点,致使网络易受黑客、骇客、恶意软件和其他不轨手段的攻击,所以网络信息的安全和保密是一个至关重要的问题。对于军用的自动化指挥网络、金融、银行等传输敏感数据的网络系统而言,其网络信息的安全和保密更为重要。因此,网络必须有足够强的安全措施,否则它就是无用的,甚至还会危及社会安全。无论是局域网还是广域网,都存在着自然和人为等诸多因素的脆弱性和潜在威胁。因此,安全策略应能全方位、有层次地针对各种不同的威胁和脆弱性,采取不同的安全保护措施,只有这样才能确保网络信息的机密性、完整性和可用性。
网络安全策略的关键是如何保护企业内部网络及其信息,通常包括总体策略和具体规则两部分内容。总体策略用于阐述安全策略的总体思想;而具体规则用于说明什么是允许的,什么是禁止的。通常将安全策略划分为如下4个等级:
一切都是禁止的。这种策略等级是最高保护策略,其实现方法是切断内部网络与外部网络的连接。采用这种策略虽能有效防止内部网络遭受外部攻击,但也隔绝了内部网络与外界的连接。通常情况下,这是一种不可取的策略。
一切未被允许的都是禁止的。这种策略开放(允许)有限的资源,对于未明确允许的资源禁止访问。
一切未被禁止的都是允许的。这种策略只禁止对部分资源的访问,对于未明确禁止的资源都允许访问。
一切都是允许的。这是没有任何保护的策略,即把内部网络的全部资源完全对外开放,不加任何保护。通常情况下,这种策略也是不可取的。
网络安全策略的主要内容
网络安全策略涉及的内容比较多,一般将其分为三大类:逻辑上的策略、物理上的策略和政策上的策略。面对种种安全威胁,仅仅依靠物理上和政策(法律)上的手段来防止网络犯罪显得十分有限和困难,因此必须研究使用逻辑上的安全策略,如安全协议、密码技术、数字签名、防火墙、安全审计等。显然,网络安全策略不仅包括对各种网络服务的安全层次、用户权限进行分类,确定管理员的安全职责,还包括如何实施安全故障处理,规划设计网络拓扑结构,入侵和攻击的防御与检测,数据备份和灾难恢复等。在此主要介绍网络系统的一些实用性安全策略,如物理安全策略、安全访问控制策略、网络加密策略和安全管理策略。
1.物理安全策略
网络的物理安全是网络安全的基础,是在物理层次上的安全保护。物理安全策略主要涉及网络连接的规则、运行环境的保护机制,其主要目的是:①保护计算机系统、网络服务器、路由器、交换机等硬件实体和通信链路免受自然灾害、人为破坏、操作失误和搭线攻击;②确保计算机系统有一个良好的电磁兼容工作环境;③建立完备的安全管理制度,防止各种偷窃、破坏活动的发生。
2.安全访问控制策略
安全访问控制是网络安全防御和保护的主要策略,其主要任务是保证网络资源不被非法使用和非授权访问,这也是维护网络系统安全、保护网络资源的重要手段。虽然各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略,它包括操作系统的安全控制、网络互连设备的安全控制、网络的安全防护等策略。
3.网络加密策略
网络加密的目的是保护网络内部的数据、文件、口令和控制信息以及网络上传输的数据。常用的网络加密方法有链路加密、节点对节点加密和端到端加密。链路加密的目的是保护网络节点之间的链路信息安全;节点对节点加密的目的是对源节点到目的节点之间的传输链路提供加密保护;端到端加密的目的是对源端点用户到目的端点用户的数据提供加密保护。用户可根据网络情况酌情选择这几种加密方式,一般不采用节点对节点加密方式。
安全策略还应明确保护敏感信息所要采用的加密/解密算法,而且并不限于一种算法,目的是以较小的代价提供较强的安全保护。除此之外,安全策略还应说明密钥管理的方法。
4.网络安全管理策略
为了抵御网络攻击,保障网络安全,目前几乎所有的网络系统都装备了各式各样的网络安全设施,如加密设备、防火墙、入侵检测系统、漏洞扫描、防杀病毒软件、VPN、认证系统、审计系统等。安全管理策略是网络安全的生命;加强网络的安全管理,制定有关规章制度,对于确保网络安全和可靠运行将起到十分重要的作用。
网络的安全管理策略包括:确定安全管理等级和安全管理范围;制定有关网络操作使用规程和人员出入机房制度;制定网络系统的维护制度以及应急响应、灾难恢复与备份措施等。
总而言之,网络安全最终将是一个折中的方案,需要在危害和降低威胁的代价之间做出权衡。获得一个安全强度和安全代价的折中方案,需要考虑的主要因素包括:①用户的方便程度;②管理的复杂性;③对现有系统的影响;④对不同平台的支持。
安全策略的制定
由于网络安全是相对的,这就使得对安全的定义就显得比较复杂。例如,某公司为了保护有价值的商业信息,拒绝外部人员访问其计算机;一个拥有可用信息网站的单位,则可以将网络安全定义为可任意访问数据但禁止外部人员修改数据;也有一些单位注重通信的机密性,需要将安全网络定义为除了发送者或者真正的接收者之外都不能截取和阅读报文。因此,为了实现安全的网络系统,必须制定网络安全策略。所谓安全策略,并不是规定如何实现保护,而是清楚地、无二义性地阐明所要保护的各个条目。
制定网络安全策略是一项非常复杂的工作,因为要涉及网络设施、计算机以及人的行为等多方面的因素。例如,无线网络信号在单位建筑物以外被接收,把移动存储器(如 U 盘)带出单位的来访人员,或者在家办公的员工等。同时,单位还要正确认识自身信息的价值,因为在很多情况下,信息的价值是很难评估的。例如,一个包含员工档案、工作时间和薪资等级的数据库系统,假如竞争对手获得这些数据,他们可能会依此引诱公司员工跳槽,或者做意想不到的事情。因此,在制定网络安全策略时需要考虑清楚保护的侧重点,而且要在安全性和易用性之间进行权衡。一般来说,制定网络安全策略时需要考虑以下方面:
数据完整性—— 防止数据被篡改,即到达接收方的数据是否与发送出来的数据完全相同。
数据可用性—— 防止服务受到破坏,即对于合法的使用是否能够保持数据的可访问性。
数据机密性—— 防止未授权的数据访问(如窃听、数据拦截、密钥破解等),即数据是否能够防止非授权访问。
数据私密性—— 发送者保持其匿名身份的能力,即发送者的身份是否会被泄露出去。
安全责任与控制
一个单位要实现安全的网络,还必须考虑如何正确规定、如何分派或控制对数据信息的安全责任。对信息的安全责任通常包含以下两方面:
审计责任—— 指如何保留审计踪迹,即哪个部门对哪项数据负有责任,以及如何保留各个部门对数据进行访问和修改的记录。
授权—— 指对每个信息项的责任以及如何把这样的责任委派给他人,即由谁来负责决定将信息存储在哪里,以及负责人如何审批访问和修改权限。
审计责任和授权的关键是控制。一个单位必须对信息的服务进行控制,控制的关键又是认证,即怎样确定身份。例如,假定一个单位详细制定了一套给予员工比普通来访者使用更高权限的授权策略,那么除非该单位具有一套区分本单位和普通来访者的认证机制,否则其授权策略是没有意义的。认证对象除了人之外,还应扩展到计算机、设备和应用软件。
网络安全关键技术
网络安全技术是指致力于解决如何有效地进行介入控制以及如何保证数据传输的安全性等的技术手段,主要包括物理安全技术、网络结构安全技术、系统安全技术和管理安全技术,以及一些安全服务和安全机制策略。
随着网络技术的发展,网络安全已成为当今网络社会焦点中的焦点,几乎没有人不谈论网络安全问题,病毒、黑客程序、邮件炸弹、远程侦听等都无不让人胆战心惊。病毒、黑客的猖獗使身处当今网络社会的人们谈网色变,无所适从。因此,如何有效地保护重要的数据信息、提高网络系统的安全性,已成为网络系统安全必须解决的重要问题之一。
网络攻击与防护是“矛”和“盾”的关系,网络攻击技术越来越复杂,而且常常超前于网络防护技术。为了应对不断更新的网络攻击手段,网络安全技术经历了从被动防护到主动检测的发展过程。目前已经具有的一些有效的防护技术,大体上可以划分为加密/解密技术、访问控制技术、安全检测技术、安全监控技术、安全审计技术5大类,如图1.2所示。综合运用这些防护技术,可以有效地抵御网络攻击,而这些研究成果也已经成为众多网络安全产品的研发基础。
图1.2 网络安全防护技术
加密/解密技术
密码学以研究数据机密性为目的,对所存储或传输的数据进行秘密交换,以防止第三者窃取。加密/解密技术包含文件加密、口令加密和传输加密及其解密技术等。完成加密和解密的算法称为密码体制。密码体制是指一个加密系统所采用的基本工作方式。若按照加密密钥是否可以公开,可以把密码体制划分为对称密钥密码体制和非对称密钥密码体制两大类,又分别称之为单钥体制和双钥体制。密码学的一项基本原则,是必须假定密码分析员掌握编码技术原理和方法,并且能够获得一定数量的明文密文对。密码的安全性必须把这条准则作为衡量的前提。如果不论信息截获者得到多少密文,都无法通过密文中的信息唯一地确定明文,则称该密码体制是无条件安全的,或称为理论上不可破译的。但是绝对安全的密码是不存在的,当前几乎所有实用的密码体制都是可破译的。因此,人们关心的是在计算上不可破译的密码体制。如果一个密码体制中的密码不能被可以使用的计算机资源所破译,则认为这一密码体制在计算上是安全的。
访问控制技术
访问控制是网络安全防御和保护的核心策略。它规定了主体对客体访问的限制,并在身份识别的基础上,根据身份对提出资源访问的请求加以限制。访问控制技术是对网络信息系统资源进行保护的重要措施,也是计算机系统中最重要和最基础的安全机制。实现访问控制的技术、方法虽然比较多,但主要的还是身份识别和防火墙技术。身份识别是用户接入和访问网络的关键环节。采用用户名(或用户账号)、口令是所有计算机系统进行访问控制的基本形式。防火墙技术是建立在现代网络通信技术和信息安全技术基础上的安全检测、监控技术。一般情况下,计算机网络系统与互联网连接的第一道防线就是防火墙。
安全检测与监控技术
安全检测与监控技术主要包括实时安全监控技术和安全扫描技术。实时安全监控技术通过硬件或软件实时检测网络数据流并将其与系统入侵特征数据库的数据相比较;一旦发现有被攻击的迹象,就立即根据用户所定义的动作做出响应。这些动作可以是切断网络连接,也可以是通知防火墙系统调整访问控制策略,过滤掉入侵的数据包。安全扫描技术(包括网络远程安全扫描、防火墙系统扫描、Web 网站扫描和系统安全扫描等)可以对局域网、Web 站点、主机操作系统及防火墙系统的安全漏洞进行扫描,及时发现漏洞并予以修复,从而降低系统的安全风险。发现系统漏洞的另一种重要技术是蜜罐/蜜网系统,它是一个故意引诱黑客前来攻击的目标。通过分析蜜罐/蜜网系统记录的攻击事件,可以发现攻击者的攻击方法以及系统所存在的漏洞。
安全审计技术
网络安全审计是指在一个特定企事业单位的网络环境下,为了保障网络系统和信息资源不受来自外网和内网用户的入侵和破坏,运用各种技术手段实时收集和监控网络环境中每一个组成部分的安全状态、安全事件,以便集中报警、分析、处理的一种技术手段。网络安全审计作为一个新提出的概念和发展方向,已经表现出强大的生命力。目前,围绕该概念已经研制了许多新产品和解决方案,如上网行为监控、信息过滤和计算机取证等。
练习
1.为什么说定义一个网络安全策略不是一件容易的事情?
2.假如一个公司要实现一种策略——只有人力资源部门才可以查看员工薪资资料,那么实现这种策略需要什么机制?
3.列出几种基本的网络安全技术,并说明各自的用途。
补充练习
许多网络站点和Web资源均对网络安全技术提供技术支持,其中包括USENET新闻组、论坛等。希望读者及时查阅相关资料,以跟踪该领域的最新研究与发展。例如,访问中国信息安全测评中心网站(http://www.itsec.gov.cn)等,了解网络安全技术的最新发展。