|
下一代網絡安全縱橫談 |
信息產業的迅猛發展,已經使信息技術逐漸成為主導國民經濟和社會發展的重要因素。當今世界各國都在積極應對信息化的挑戰和機遇。信息化、網絡化、數字化正在全球范圍內形成一場新的技術、產業和社會革命。要發展信息化,就必須高度重視信息安全問題,它絕不僅僅是IT行業問題,更多的是一個社會問題以及包括多學科系統安全工程的問題,它直接關系到國家安全。因此,有人呼吁我國要像重視兩彈一星那樣去重視信息安全問題。
Internet的高速發展推動了整個社會進入信息時代的進程,掀起了一場網絡熱潮,人們的生活方式也因此而改變。但是,作為第一代互聯網,Internet在設計之初沒能充分考慮信息安全問題,從而導致現在全世界不得不成天忙于“打補丁”來應對與日俱增的安全問題。
肆虐網絡的病毒、無孔不入的間諜軟件、居心叵測的木馬、以及囂張猖獗的黑客攻擊,已經成為困擾第一代互聯網用戶的嚴重問題。由于安全問題給用戶帶來的不可靠感,基于第一代互聯網的電子商務的發展也受到了阻礙。
如今,由于IP地址資源的緊張和信息安全問題等,人們終于下決心開始研制并推廣下一代網絡(NGN),并以NGN作為未來信息傳遞的主要載體。從信息安全角度看,NGN既是機會又是挑戰,我們絕不能再犯忽視安全問題的錯誤了,必須將信息安全作為NGN的一個有機整體,而不是一個附屬品來對待。
信息安全必須作為NGN研究中最重要的課題之一。
下一代網絡是什么?
下一代網絡(Next Generation Network,簡稱NGN),是在當今電信網絡基礎上演變、融合而來的。理想中的NGN可以實現各種網絡的互通,用戶可以在任何時間、任何地點、以多種方式,享受網絡提供的各種服務。NGN是一個集數據、語音、視頻等各種多媒體功能于一體的網絡。試想一下,在不久的將來,用戶可以在電話機上和朋友“面對面”地視頻聊天;可以在手機上與遠方的好友分享好聽的音樂;可以和異國他鄉的親友盡情交談,卻只需不多的話費。這無疑是令人憧憬的生活方式。但事務總是具有兩面性,NGN為我們帶來便利的同時,也帶來了更加嚴峻的安全隱患。
NGN的安全隱患在哪里?
網絡是一個復雜的系統,無論是網絡硬件開發、協議設計、還是網絡應用軟件開發,都是復雜的工程。這就不可避免地會有設計不完善的地方,人們無法在設計階段就考慮到所有情況,打造一個十全十美的網絡。隱患是必然存在的,NGN也不會例外,它的主要安全隱患表現在以下幾個方面。
1、 物理設備的隱患
■設備故障
網絡上的設備一般都是常年不間斷地運行,難免會出現硬件故障,這些故障可以造成數據的丟失,通信的中斷,從而對用戶服務造成損害。如果是某些核心的設備出現故障,則有可能導致整個網絡的癱瘓。
■電磁輻射
電子設備都具有電磁輻射,一方面電磁的泄露讓竊聽者在一定距離內使用先進的接收設備,可以盜取到正在傳送的信息和數據,從而嚴重威脅用戶的隱私;另一方面電磁輻射可以破壞另外一些設備中的通信數據。
■線路竊聽
在無線通訊中,信號是在空中傳播,無法采用物理的方式保護,這就使得有些攻擊者可以使用一些設備對通訊數據進行竊聽,甚至更改。在有線通訊中,攻擊者甚至可以通過物理直接搭線的方式竊聽相關信息。
■火災、水災與盜竊
這些問題是由于人為的不注意或者其他原因造成的,一旦發生,一般都是毀滅性的。
2、軟件系統的隱患
如果說物理設備是網絡的“軀體”的話,那么軟件系統就是網絡的“靈魂”。但是軟件系統不可避免地會有許多設計缺陷,而這些缺陷在設計階段是難以發現的。一旦攻擊者掌握了這些缺陷,就可以利用它們進行非法的攻擊行為。
■操作系統的隱患
操作系統是網絡應用的軟件基礎,它是網絡設備的“神經中樞”,負責掌控硬件的運行與應用軟件的調度,其重要程度不言而喻。目前網絡上應用比較普遍的有linux、Unix、Windows、以及嵌入式Vxworks等。沒有任何一種操作系統敢宣稱自己是完全安全的,正如Windows操作系統大量安全漏洞的存在造成了目前互聯網嚴峻的安全形式,操作系統的隱患也將使得網絡系統本身存在很大的安全隱患。
操作系統隱患的產生大致有三個原因,具體如下所述:
編程人員的人為因素,在程序編寫過程,為實現不可告人的目的,在程序代碼的隱蔽處保留后門。
受編程人員的能力、經驗和當時安全技術所限,在程序中難免會有不足之處,輕則影響程序效率,重則導致非授權用戶的權限提升。
由于硬件原因,使編程人員無法彌補硬件的缺陷,從而使硬件的問題通過軟件表現。
許多攻擊就是利用操作系統存在的漏洞。現在受攻擊最多的是Windows操作系統,因為它是現在個人用得最多的一種操作系統。其次是Linux, Solaris, OS/2等操作系統。黑客的攻擊手法主要是使用一些現有的黑客工具或自己編制一些程序進行攻擊,比如:
口令攻擊
主要由于用戶設置密碼過于簡單或者容易破解。如FTP服務器密碼、數據庫管理密碼、系統超級用戶密碼等。利用一些智能軟件可以通過簡單的猜測就能破解這些口令,從而使用戶失去安全保障。
操作系統本身的漏洞
這是操作系統在開發過程中形成的缺陷。雖然可以通過廠家的不斷升級來彌補,但是很多時候用戶并沒有及時為自己的電腦操作系統去下載這些補丁,有時是在廠家還沒有發現漏洞時,黑客已經開始利用這些漏洞來發起攻擊了。
■應用軟件的安全隱患
軟件的完整性
應用軟件在使用過程中,往往被用戶有意或無意地刪除,造成不完整。此外,不同應用軟件之間也可能出現相互沖突。有些應用軟件,在安裝時存在文件互相覆蓋或改寫,從而引起一些不安全的因素。
軟件本身漏洞
比如現在的IE瀏覽器,攻擊者可以利用其設計缺陷通過它進入系統;IE可以將用戶的密碼記錄在一個特定的文件夾中,一旦攻擊者訪問到這個文件夾,用戶的信息就會暴露。
■數據庫的安全隱患
數據庫是存放數據的軟件系統,在信息社會中扮演著十分重要的角色,它的安全隱患主要有:
數據的安全
數據庫中存放著大量的數據,這些數據可供擁有一定職責和權利的用戶共享,但是,很難嚴格限制用戶只得到一些他們必需的和他們權利相當的數據,通常用戶可能獲得更多的權限和數據。由于數據庫被多人或多個系統共享,如何保證數據庫的正確性和完整性也是問題。
數據庫系統被非法用戶侵入
數據庫本身存在著潛在的各種漏洞,致使一些非法用戶利用這些漏洞侵入數據庫系統,造成用戶數據泄漏。比如SQL Server數據庫系統加密的口令一直都非常脆弱。
數據加密不安全性
由于現在不存在絕對不可破解的加密技術,各種加密手段均有一定的不安全性。
■協議的安全隱患
協議,簡單的理解,是在網絡上進行通信的規則。比如,如何表達要傳遞的信息,如何傳遞等等,這些動作都是要靠協議來實現。協議可看成是網絡的精髓。
協議的安全隱患體現在網絡中互相通信的協議本身存在的安全方面的不健全,以及協議實現中存在的漏洞問題。協議在本質上也是一種軟件系統,因此在設計上不可避免地會存在一些失誤。比如:Internet的基礎協議TCP/IP的設計就是僅僅建立在研究和試驗的基礎上,沒有考慮安全性。黑客可以通過專用軟件工具對網絡掃描,掌握有用的信息,探測出網絡的缺口,從而進行攻擊。另外,如IP地址可以人為地用軟件設置,這就形成了IP地址假冒和欺騙,無法保證來源的真實性。
在NGN中,包含多種多樣的協議,主要的協議包括H.248、SIP、MGCP、H.323、BICC、SIGtran等,正是這些協議促成了各種網絡的互通。每種協議都存在大量使網絡服務中斷的隱患。
協議的安全隱患是網絡安全問題最重要因素之一。
NGN面對的安全威脅是什么?
1.從Internet上繼承下來的威脅
在NGN中,負責傳輸數據這部分系統稱為“核心傳輸網”。核心傳輸網沿用了在Internet上使用的IP技術。IP即Internet Protocol(因特網協議),是Internet技術體系的主要組成部分。而IP技術本身具有較多的安全缺陷,NGN采用這種技術,自然也繼承了這些安全缺陷。在Internet中適用的攻擊手法,理論上在NGN中都適用。采用IP技術帶來的靈活性、開放性是顯著的,但繼承下來的安全缺陷對NGN來說也是嚴峻的。因此,病毒、木馬、黑客攻擊等這些威脅仍會困擾NGN。
2.網絡融合互通帶來的新問題
除了Internet繼承下來的威脅外,NGN中還存在一些由于網絡融合互通帶來的新的問題。
傳統的電信網絡,如固定電話網或GSM移動電話網,是一個封閉的環境。外部的攻擊者很難進入系統進行攻擊。因此在封閉性不被打破的條件下,傳統電信網是安全的網絡,是可信任的網絡。用戶在使用時有很好的安全感,不會有隨時隨地受到安全威脅的感覺。在長期的使用實踐中,除了內部人員作案之外,傳統電信網的確也幾乎沒有出現安全上的問題,用戶可以放心使用。但隨著網絡向NGN的過渡和演進,這些封閉的環境將慢慢變得開放了。一方面,這種開放性使得外部的攻擊者有了可乘之機;另一方面,由于傳統電信網的封閉性,一些設計上的缺陷被封閉的環境掩蓋起來,而這些缺陷在相對開放的環境下就極有可能顯現出來。目前,經過研究已經證實了傳統的固定電話網采用的七號信令系統確實存在安全缺陷,難以在完全開放的環境中承受黑客的各種攻擊。可以預見,隨著網絡的融合,傳統電信網絡的安全缺陷會逐步顯現出來。
3.可能遭受的攻擊方式
■用戶的賬戶被盜
在傳統的電信網中,用戶不用考慮賬戶被盜的問題,除非用戶的電話被人盜用或者手機失竊。在NGN中,由于網絡支持用戶的普遍移動性和接入多樣性,也就是說,用戶可以在不同的地方,不同的設備上使用自己的賬戶享受服務。這種機制類似于登陸電子郵箱的“賬戶名”和“密碼”。這些賬戶信息需要在網絡終端和網絡上傳遞,如果黑客利用某種手段得到這些信息,將帶給用戶巨大的損失。黑客可以利用偷竊的賬戶進行“免費通話”,而受害用戶將承擔話費。
■偽裝欺騙
黑客可以冒充成合法的用戶進入網絡進行攻擊,甚至可以冒充成網絡中的設備來欺騙用戶,為用戶提供“網絡服務”從而得到用戶的賬戶信息或者其他的隱私信息。這些攻擊在傳統的電信網中都是無法實現的,但在NGN中,由于IP技術的采用,都具有實現的可能性。
■業務擾亂
黑客有可能直接利用智能的NGN終端就對網絡發出攻擊,一旦攻擊成功,就會使得某一區域的用戶受到影響。黑客還有可能發動大規模的騷擾電話,嚴重影響用戶的日常生活。
以上僅列舉幾種NGN中可能存在的典型的攻擊方式。隨著網絡的發展,技術的進步,黑客的手段也必定會層出不窮。NGN的互通性、開放性在為用戶帶來前所未有的使用體驗的同時,也為黑客提供了一個很好的“舞臺”。
保護NGN安全有哪些措施?
面臨著諸多的安全問題,需要未雨綢繆,防患于未然。在NGN發展演進的過程中就要積極地制定安全措施和相關標準,研究可行的有效的安全機制。
建立一套安全防御系統,必須考慮以下三個問題:
需要哪些保護,防止哪些威脅;
需要保護的網絡設備的類型;
需要保護的網絡活動的類型。
這三個問題可以歸結為安全尺度、安全層面、安全平臺。在具體制定安全策略時,應綜合考慮這三個方面。
1.NGN中安全機制的基本要求
■NGN安全應該支持協同性,特別是在不同NGN安全機制之間。這就是說,安全機制不能是孤立的,應該是一個相互協同的有機統一的系統。
■主要管理功能必須可用。
■NGN應該提供與其他網絡和用戶建立信任關系的可能。也就是說NGN應該能夠鑒別一個單獨用戶或者另外一個網絡的合法身份,從而可以進行正常的通信。
■鑒權和授權應該在服務層和傳輸層同時使用。即,用戶到網絡、網絡到用戶和網絡到網絡都應該可以完成相互的鑒別,以防止非法的欺騙行為。
■網絡運營商出于安全考慮,會盡量限制用戶了解到網絡的結構和資源,因為這些信息對于攻擊者來說非常重要。NGN的結構設計應該考慮到這些因素。
■NGN應該可以不同的網絡區域有著不同的安全要求級別,而不會相互影響。比如,政府機要部門對網絡安全的要求要比普通民用高,但它們之間不會相互影響和牽制。
■NGN應該提供安全方法來阻礙不必要的信息在網絡上傳送,節省網絡資源。
■NGN網絡管理資源(OSS-Operation Support System、數據庫)的安全應該得到保障。
■NGN應該有能力支持確保通信完整性的服務,即確保通信的內容在傳送過程中不被攻擊者修改。
■NGN應該有能力提供通信保密性的服務,避免用戶通信內容泄漏,侵害用戶隱私。
■NGN應該有能力支持確保來源鑒定的服務,即認清信息來源者的真正身份,防止攻擊者欺騙。
■安全功能應該安裝在網絡之間的交界處,并且可以控制網絡之間的通信。這樣可以實現一些功能,例如根據一定的規則對流通于網絡之間的信息進行過濾。
2.NGN安全防御框架
■端用戶平臺安全
用戶終端安全平臺著重于考慮與用戶訪問和使用網絡服務提供者相關的安全問題。這個平臺也代表實際的用戶的使用。
■控制平臺安全
用于保護網絡中信息的有效傳遞,服務和應用等行為的安全。包括機器間信息的傳遞,從而使得這些設備(路由器、交換機)可以決定在傳輸網絡中最佳的路由或交換信息。
■管理平臺安全
該平臺保護網元、傳輸設備、辦公備份系統和數據中心的操作、管理、維護和配置(OAM&P)功能。管理平臺支持容錯、性能、管理、供應和安全功能(FCAPS)。
信息安全十大原則
雖然任何人都不可能設計出絕對安全的網絡系統,但是,如果在設計之初就遵從一些合理的原則,那么相應網絡系統的安全性就更加有保障。第一代互聯網的教訓已經告訴我們:設計時不全面考慮,消極地將安全措施寄托在事后“打補丁”的思路是相當危險的!從工程技術角度出發,在設計網絡系統時,至少應該遵守以下安全設計原則:
原則1:“木桶原則”,即,對信息均衡、全面地進行保護。
“木桶的最大容積取決于最短的一塊木板”,攻擊者必然在系統中最薄弱的地方進行攻擊。因此,充分、全面、完整地對系統的安全漏洞和安全威脅進行分析、評估和檢測(包括模擬攻擊),是設計信息安全系統的必要前提條件。安全機制和安全服務設計的首要目的是防止最常用的攻擊手段;根本目標是提高整個系統的“安全最低點”的安全性能。
原則2:“整體性原則”,即,安全防護、監測和應急恢復。
沒有百分之百的信息安全,因此要求在網絡被攻擊、破壞事件的情況下,必須盡可能快地恢復網絡的服務,減少損失。所以信息安全系統應該包括三種機制:安全防護機制;安全監測機制;安全恢復機制。安全防護機制是根據具體系統存在的各種安全漏洞和安全威脅采取相應的防護措施,避免非法攻擊的進行;安全監測機制是監測系統的運行情況,及時發現和制止對系統進行的各種攻擊;安全恢復機制是在安全防護機制失效的情況下,進行應急處理和盡量、及時地恢復信息,減少攻擊的破壞程度。
原則3:“有效性與實用性”,即,不能影響系統的正常運行和合法操作。
如何在確保安全性的基礎上,把安全處理的運算量減小或分攤,減少用戶記憶、存儲工作和安全服務器的存儲量、計算量,應該是一個信息安全設計者主要解決的問題。
原則4:“安全性評價”原則,即,實用安全性與用戶需求和應用環境緊密相關。
評價系統是否安全,沒有絕對的評判標準和衡量指標,只能決定于系統的用戶需求和具體的應用環境,比如,1)系統的規模和范圍(比如,局部性的中小型網絡和全國范圍的大型網絡對信息安全的需求肯定是不同的);2)系統的性質和信息的重要程度(比如,商業性的信息網絡、電子金融性質的通信網絡、行政公文性質的管理系統等對安全的需求也各不相同)。另外,具體的用戶會根據實際應用提出一定的需求,比如,強調運算實時性或注重信息完整性和真實性等等。
原則5:“等級性”,即,安全層次和安全級別。
良好的信息安全系統必然是分為不同級別的,包括:對信息保密程度分級(絕密、機密、秘密、普密);對用戶操作權限分級(面向個人及面向群組),對網絡安全程度分級(安全子網和安全區域),對系統實現結構的分級(應用層、網絡層、鏈路層等),從而針對不同級別的安全對象,提供全面的、可選的安全算法和安全體制,以滿足網絡中不同層次的各種實際需求。
原則6:“動態化”原則,即,整個系統內盡可能引入更多的可變因素,并具有良好的擴展性。
被保護的信息的生存期越短、可變因素越多,系統的安全性能就越高。安全系統要針對網絡升級保留一定的冗余度,整個系統內盡可能引入更多的可變因素。
原則7:設計為本原則,即,安全系統的設計應與網絡設計相結合。
在網絡進行總體設計時考慮安全系統的設計,二者合二為一。避免因考慮不周,出了問題之后拆東墻補西墻,不僅造成經濟上的巨大損失,而且也會對國家、集體和個人造成無法挽回的損失。由于安全問題是一個相當復雜的問題,因此必須群策群力搞好設計,才能保證安全性。
原則8:自主和可控性原則。
安全問題關系著一個國家的主權和安全,所以網絡安全不可能依賴于國外,必須解決網絡安全的自主權和自控權問題。
原則9:權限分割、互相制約、最小化原則。
在很多系統中都有一個系統超級用戶或系統管理員,擁有對系統全部資源的存取和分配權,所以它的安全至關重要,如果不加以限制,有可能由于超級用戶的惡意行為、口令泄密、偶然破壞等對系統造成不可估量的損失和破壞。因此有必要對系統超級用戶的權限加以限制,實現權限最小化原則。管理權限交叉,有幾個管理用戶來動態地控制系統的管理,實現互相制約。而對于非管理用戶,即普通用戶,則實現權限最小原則,不允許其進行非授權以外的操作。
原則10:有的放矢、各取所需原則。
在考慮安全問題解決方案時必須考慮性能價格的平衡,而且不同的網絡系統所要求的安全側重點各不相同。必須有的放矢,具體問題具體分析,把有限的經費花在刀刃上。
總結
社會要進步,技術要發展。縱然NGN面臨諸多的安全問題,但我們不能因噎廢食,畏縮不前;也絕不能掉以輕心,一勞永逸。
信息安全是一門高智商的對抗性學科,作為矛盾主體的“攻”與“守”雙方,始終處于“成功”和“失敗”的輪回變化之中,沒有永遠的勝利者,也不會有永遠的失敗者。“攻”與“守”雙方當前斗爭的暫時動態平衡體系了網絡安全的現狀,而“攻”與“守”雙方的“后勁”則決定了網絡安全今后的走向。“攻”與“守”雙方既相互矛盾又相互統一。他們始終都處于互相促進、循環往復的狀態之中。更具體地說,安全是相對的,不安全才是絕對的。
信息安全是一個涉及面很廣的問題,要想確保安全,必須同時從法規政策、管理、技術這三個層次上采取有效措施。高層的安全功能為低層的安全功能提供保護。任何單一層次上的安全措施都不可能提供真正的全方位安全。
先進的技術是信息安全的根本保證。用戶對自身面臨的威脅進行風險評估,決定其所需要的安全服務種類,選擇相應的安全機制,然后集成先進的安全技術,形成一個全方位的安全系統。
嚴格的安全管理至關重要。各用戶單位應建立相應的網絡安全管理辦法,加強內部管理,建立合適的網絡安全管理系統,建立安全審計和跟蹤體系,提高整體網絡安全意識。
明確的法律和法規是安全的“靠山”。國家和行業部門制訂嚴格的法律、法規,使非法分子懾于法律,不敢輕舉妄動。