網絡時代 不同的人往往從不同的角度將某個時期冠之以“XX時代”,用來強調某些事物或某些人對社會的重要影響。這裡所說的網絡是指以計算機和其他電信設備為用戶終端,以現代綜合電信網為傳輸鏈路,以交換設備和處理設備為結點,以多種多樣的信息為載荷的集合。這種網絡對當代社會的經濟、政治、文化、軍事和人們的生活等方面均產生了重大的影響,所以越來越多的人認為我們的社會已經進入“網絡時代”。 可從以下數據和事例中看出網絡對社會產生的重大影響: 全球的Internet用戶已達5億多戶,中國則達4500多萬戶,而在Internet網之外還有相當數量的專用網用戶。 全球已發現的計算機病毒超過4.5萬種,每年造成的經濟損失超過1.6萬億美元。
中國青年報2002年9月2日有兩篇關於網絡的報道。一篇是說張小姐8月24日在雲南麗江乘坐的旅遊車翻入山谷,張小姐第三腰椎壓縮性骨折,如不及時救治可能終身殘疾,其遠在深圳的朋友上網求援,獲得民航的包機專運,使病人26日就轉至廣州中山附二醫院,27日及時進行了手術,網絡使她贏得了搶救的時間;
另一篇是說7月23日11:15至12:30首都國際機場因為網絡故障而“癱瘓”使60個航班和6000多名旅客的飛行被延誤,還提到7月5日深圳證券交易所因為網絡故障而關停數小時的嚴重事故。 在網絡時代,網絡給社會帶來了前所未有的機遇和挑戰。網絡的正常運行為社會帶來了巨大的進步和財富,而網絡的不安全性也會造成意想不到的災難和損失。網絡正在加速擴大覆蓋範圍、加速滲透到各個領域、加速改變傳統規則,我們只有努力提高網絡的安全性,趨利避害,才能與網絡時代同步前進。 關於網絡安全的主要觀點 網絡安全的目標 保障網絡的物理安全,對網絡施以物理保護,防止遭到破壞。
保障網絡的邏輯安全,即使用邏輯隔離以保證信息的機密性(confidentiality)、完整性(integrity)、可用性(availability)、可控制性(controllability)、真實性(authenticity)和不可抵賴性(non-repudiation)。機密性保證信息不會被未經授權的人所解讀;完整性保證信息不會被增、刪、篡改和破壞;可用性保證信息確實為授權使用者正常運行;可控性保證對網絡和信息可實施安全監控;真實性保證接收到的信息確實是發信方發的而不是假冒的;不可抵賴性保證發信方無法否認他發給收信方的信息,並可通過數字取證、證據保全,使公證方和仲裁方方便介入,用法律管理網絡。
保障網絡的管理安全,首先是要選用可信任的人,其次是管理部門和管理人員要有足夠的安全常識,制訂相應的法律、規章、制度,加強行政管理,預防為主。 安全不是絕對的 安全是一個與風險密切相關的概念,只有在一定風險程度範圍內的安全,而沒有絕對的安全。 網絡共享和網絡威脅是一對公生體,網絡開放、共享的程度越高,網絡面臨的威脅就越高。或者說,網絡的可用性越高,網絡的安全性就越低。網絡存在安全漏洞是難免的,網絡的被攻擊是不可避免的,只是要把被攻破的機率儘可能降低而已。 網絡信息戰已現端倪 網絡信息戰是指在網絡裡為爭奪制信息權而進行的軍事爭鬥,目的是癱瘓敵方的指揮自動化系統。 網絡信息戰的作戰形式包括指揮控制戰、電子戰、情報戰、心理戰、黑客戰等。
1991年海灣戰爭中,美軍第一次將計算機病毒用於實戰並獲得了勝利,網絡信息戰開始應用於戰爭;此後,在南斯拉夫的科索沃戰爭、俄羅斯的車臣戰爭,2001年以中美戰機相撞事件為導火索出現的中美黑客大戰,2001年發生在美國的“9.11”恐怖襲擊中,都有網絡信息戰的影子。 許多軍事專家已在潛心研究網絡信息戰的方方面面,甚至將網絡信息攻擊看作是現代戰爭的殺手鐗。可以設想,在不久的將來,軍隊編制中出現網絡戰分隊甚至網軍都是完全可能的。
密碼技術是網絡信息安全最核心最基本的技術 密碼的主要作用是將信息的密級屬性改變成公開屬性,使那些帶密級的信息可以在公共網絡中存放、傳輸和交換。 密碼技術可用於信息加密、信息認證、數字簽名、授權控制、加密隧道和密鑰管理等方面,使截獲信息的人無法憑藉現階段可獲得的計算資源進行破譯。 祕密全部寓於密鑰之中,這是編密者的基本信條,截獲者可以截取密文,但只要拿不到密鑰,就應無法破譯。 編密有嚴格的程序和數學算法,而破譯則要靠豐富的經驗、廣泛的聯想和恰當的技巧了。世界上沒有不可破譯的密碼,而往往要受物力、財力、時間、條件的制約,“兩軍相逢”只有智者勝了。 簡單的加密只能麻痺自己,方便敵人,還不如不加密。
網絡安全不能一勞永逸 網絡安全和網絡威脅是一對矛盾,此消彼長,並在動態中發展,在鬥爭中前進。 網絡安全措施不是萬能的,但是沒有網絡安全措施是萬萬不能的。 網絡安全的重點在於提高網絡的頑存性,允許某些非法入侵,允許部分組件受損、允許某些部件的不可靠,但網絡仍能在結構上合理配置資源和資源重組,仍可完成主要任務。 網絡安全要在定期的測評中運用最新技術成果不斷改進,不能一勞永逸。 網絡安全的投資 網絡安全產業包括安全設備和安全服務兩部分。安全設備包括防火牆、殺毒軟件、密碼機、訪問控制、安全認證、加密隧道的構築等;安全服務包括安全諮詢、安全風險評估、項目實施、整體解決方案、安全培訓、售後技術支援、產品更新換代等。
國際上網絡安全產業的投資大約佔網絡產業的10%—15%,其中安全設備和安全服務的投資比例接近於1:1,而且隨著時間的推移安全服務的投資比例還會增大。專家們預計不久的將來就會出現“網上110”、“網上警察”和“網上急救隊”了。 做網絡安全的理性用戶 理性用戶應該遵紀守法,貫徹執行相關的網絡安全技術標準、規範;聽取專家諮詢建議,制訂與網絡發展協調的安全方案;精挑細選,掌握產品的真實性能指標;關注最新技術,動態調整安全方案,備好安全應急措施。 網絡安全的基本對策 建立網絡安全的體系結構 網絡安全的體系結構是一個理論基礎,可以使網絡安全建設綱舉目張、有條不紊、全面周到、相對完善。
國外的一些政府部門、研究機構和公司已經就網絡安全體系結構提出了一些模型,趙戰先生在其基礎上提出了適合中國國情的模型,即WPDRRC(預警、保護、檢測、反應、恢復和反擊)。預警是指預測網絡可能受到的攻擊,評估面臨的風險,為安全決策提供依據;保護是指依據不同等級的安全要求,採用不同的保護等級;檢測是指動態、實時地查明網絡所受到的威脅性質和程度;反應是指對於危及安全的事件及時做出相應的處理,把危害減至最低限度;恢復是指採用容錯、冗餘、替換、修復和一致性保證等技術使網絡迅速恢復正常工作;反擊是指具有犯罪取證能力和打擊手段。 專網與互聯網的隔離 2002年8月5日國家信息化辦公室發文要求、“電子政務網絡由政務內網和政外網構成,兩網之間有機隔離,政務外網與互聯網之間邏輯隔離。”其他部門和單位也有與此類似的要求。
物理隔離,就是兩個網絡之間不存在數據流,也不存在可以共享的存儲和信道。物理隔離的實施方案有:支持雙主機、單終端的終端切換方案;雙硬盤、雙網卡的物理隔離方案;具有雙網隔離功能的隔離網卡方案;外部網使用單獨硬盤,內部網使用服務器端統一存儲的隔離方案;後來又出現了雙主板、單CPU、通過硬件體系結構實現隔離的方案。用戶可以靈活設計自己的物理隔離方案,但它仍然無法抵禦來自內部的無意疏忽和有意攻擊。
邏輯隔離,就是兩個網絡之間只允許合法的數據交流,而不允許非法的數據流進入專網。邏輯隔離可使用防火牆、網閘等來實現,例如校園網與互聯網通過防火牆來互聯,防火牆可將互聯網上的色情、恐怖、邪教宣傳等信息拒之於校園網之外。但是防火牆是防外不防內的,防火牆的標籤區分能力仍有大量的盲點,防火牆自身往往也存在漏洞使攻擊者有隙而入,防火牆的過濾規則如果定義不恰當也會有“漏網之魚”,防火牆若不能適應新的安全威脅即時升級和更新也將有名無實。 另外需要指出的是,為了安全關閉網絡是因噎廢食;為了安全而與外部網物理隔絕,會使內部網變成“信息孤島”,大大降低使用效能;採用相對完善的安全方案,使內部網與外部網(包括互聯網)安全互聯,使專網用戶也能共享互聯網的豐富資源,這才是網絡的“大禹治水”之道,網絡的發展是硬道理 防火牆技術 防火牆是一種按某種規則對專網和互聯網,或對互聯網的一部分和其餘部分之間的信息交換進行有條件的控制(包括隔離),從而阻斷不希望發生的網絡間通信的系統。 防火牆可以用硬件、也可以用軟件、或用硬軟件共同來實現。
防火牆按應用場合可分為企業防火牆和個人防火牆,按技術原理可分為包過濾型和應用網關型,按工作模式可分為網橋模式和路由模式。 防火牆可以為專網加強訪問控制、提供信息過濾、應用層的專用代理、日誌分析統計報告、對用戶進行“鑰匙口令+防火牆一次性口令”的雙因於認證等功能。 防火牆的介入不應過多影響網絡的效能,正常工作時應能阻擋或捕捉到非法闖入者,特別是一旦防火牆被攻破時應能重新啟動並恢復到正常工作狀態,把對網絡的破壞降至最低限度。 訪問控制技術 訪問控制是一種確定進入網絡的合法用戶對哪些網絡資源(如內存、I/0、CPU、數據庫等)享有何種授權並可進行何種訪問(如讀、寫、運行等)的機制。 訪問控制可分為身份訪問控制、內容訪問控制、規則訪問控制、環境訪問控制、數據標籤等類型。 訪問控制的常用技術有通行字、權限標記、安全標記、訪問控制表和矩陣、訪問持續時間限制等。 訪問控制必須遵從最小特權原則,即用戶在其合法的訪問授權之外而無其他的訪問特權,以保證有效防止網絡因超權限訪問而造成的損失。 值得指出的是,訪問控制的強度並不是很高的,也不會是絕對安全的,例如通行字一般都很短且帶有一些人所共知的特徵,被猜中或攻破的可能性是較大的。 防病毒技術 計算機病毒是一種攻擊性程序,它可以修改其他程序或將自身的拷貝插入其他程序中來感染計算機網絡,病毒通常都具有破壞性作用,並通過網上信息交流而迅速傳播,進一步破壞網上信息的完善性。 計算機病毒的特點是具有非授權的可執行性、隱蔽性好、感染性強、潛伏得深、破壞性廣泛、有條件地觸發而發作、新病毒層出不窮等。 計算機病毒的危害多種多樣。病毒程序會消耗資源使網絡速度變慢;病毒會干擾、改變用戶終端的圖像或聲音,使用戶無法正常工作:有些病毒還會破壞文件、存儲器、軟件和硬件,使部分網絡癱瘓;有些病毒會在硬盤上設置遠程共享區,形成後門,為黑客大開方便之門。 防病毒技術包括四個方面:病毒的檢測(查毒),並可自動報警和攔截;病毒的清除(殺毒),清除力求乾淨徹底、不傷害網絡;網絡的修復,依據相關線索搶救丟失的數據,使網絡恢復正常工作;病毒的預防(免疫),通常利用軟件補丁不斷彌補網絡漏洞,以亡羊補牢,同時要對殺毒軟件及時升級換代,保持其足夠的“殺傷力”。 網絡病毒千奇百怪,分類方法繁多。按病毒的算法分類則有伴隨性病毒(最早出現的一種病毒),“蠕蟲”型病毒(如1998年的莫里斯病毒)、寄生型病毒(新發現的病毒基本上都是此類),如幽靈病毒、裝甲病毒、行騙病毒、慢效病毒、輕微破壞病毒、噬菌體病毒、反反病毒以及綜合性病毒等;而廣大網民容易理解的還是按應用場合分類為互聯網病毒、電子郵件病毒、宏病毒、Windows病毒、DOS病毒、黑客程序以及其它應用性病毒。道高一尺,魔高一丈,病毒功防戰中只能是“勇敢+智慧+堅韌”的一方取勝了。
入侵檢測技術 入侵檢測被認為是繼防火牆、信息加密之後的新一代網絡安全技術。入侵檢測是在指定的網段上(例如在防火牆內)及早發現具有入侵特徵的網絡連接,並予以即時地報警、切斷連接或其它處置。 入侵檢測與防火牆所監視的入侵特徵不同。防火牆監視的是數據流的結構性特徵,如源地址、目的地址和端口號等,這些特徵一定會表示在數據流的特定位置上;而入侵檢測監視的是體現在數據內容中的攻擊特徵,如數據流中出現大量連續的Nop填充碼,往往是利用緩;中區溢出漏洞的攻擊程序所制,它們使數據流的內容發生了改變。但是還有一些入侵不會導致數據流出現攻擊特徵字符串,而是體現為一種異常的群體行為模式,必須靠分佈式入侵檢測系統才能綜合分析而發現。
入侵檢測的難點在於:檢測耗費時間加響應耗費時間之和必須小於攻擊耗費時間,這個時間隨著計算機速度的提高往往在μs級甚至於ns級;攻擊特徵成千上萬,既有已知的還有未知的,入侵檢測的算法也要隨之而改進:網絡寬帶越來越大,網上數據流量已是天量海量,檢測如此巨大的數據流真如“大海撈針”;入侵檢測要對非法入侵發現得及時、抓住特徵、防止銷燬證據並做出反擊,是一場不折不扣的高科技戰爭。 虛擬安全專網(VPN) VPN是指業務提供商利用公眾網(如互聯網)將多個用戶子網連接成一個專用網,VPN是一個邏輯網絡而非物理網絡,它既擁有公眾網的豐富資源而又擁有專用網的安全性和靈活性。 目前的公眾網都是基於IP網間協議的,為了解決IP數據流的安全問題,IETF(因特網工程工作組)制訂了一個Ipsec(IP安全標準)。Ipsec採用兩種安全機制:一個是AH(IP鑑別頭),它對IP數據進行強密碼校驗,進而提供數據完整性鑑別和源鑑別;另一個是ESP(IP數據封裝安全淨荷),它通過加密IP數據來提供數據完整性和保密性,ESP又分為隧道加密方式(即對整個IP數據全加密)和IP數據淨荷加密方式兩類。 Ipsec是一種端到端的安全機制,Ipsec工作於互聯網協議的第三層即網間協議層,因此位於第四層的TCP協議(即傳送控制協議)不用任何改變即可工作在Ipsec之上。 其它網絡安全對策 除了上述幾條外,網絡安全方面還應採用以下一些對策: 適當強度的密碼算法,密碼始終是網絡安全的基石,也是一切安全對策的核心; 採用安全性好的操作系統; 採用電磁防護措施,一方面要防止有用信息的電磁漏瀉發射,另一方面要採用抗電磁干擾傳輸方式; 採用防雷電的保護措施; 採用適當的物理防護措施; 加強行政管理、完善規章制度、嚴格人員選任、法律介入網絡等。 結束語 網絡是我們馳騁的廣闊天地,而網絡出口和IP地址為我們劃定了網絡疆土。網絡天地裡既充滿了各種各樣的有用資源,也暗藏著許多“殺機”,正在進行著一場沒有硝煙的戰爭。“保存自己、消滅敵人”是我們的基本原則,為了實現網絡安全,我們必須不斷學習,與網絡的發展同步前進;聽取和尊重專家的建議,慎重安全決策;綜合運用多種安全對策,確保適度的網絡安全;動態改進安全對策;努力佔據安全的制高點。