作者:彭新光 王峥 主编
出版社:人民邮电出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
信息安全技术与应用(21世纪高等教育计算机规划教材)试读:
前言
随着网络应用的普及和信息化建设的快速推进,网络基础设施与信息系统已经渗透到社会的政治、经济、文化、军事、意识形态和社会生活的各个方面。特别是随着近年来电子商务、电子政务、办公自动化和企事业单位信息化建设的飞速发展,网络攻击、计算机病毒、特洛伊木马、网络窃听、邮件截获、滥用特权等各种恶意行为频繁发生。针对重要信息资源和网络基础设施的蓄意破环、篡改、窃听、假冒、泄露、非法访问等入侵行为对国家安全、经济和社会生活造成了极大的威胁,因此,信息安全已成为当今世界各国共同关注的焦点。我国网络基础设施和信息系统安全保障建设远滞后于信息化发展,尽管安全意识不断增强,但缺乏信息安全防护措施。特别是国家强制实施信息安全等级保护工作以来,越来越多的相关专业技术人员需要学习和掌握信息安全技术与应用技能。
信息安全是一个涉及计算机科学、网络技术、软件工程、通信技术、密码技术、法律、法规、管理、教育等多个领域的复杂系统工程。本书按照信息安全基础理论、工作原理、技术应用和工程实践层次体系结构组织教学内容。对当前信息安全领域的核心技术进行了全面与系统地介绍,内容包括信息安全概述、密码技术、身份认证与访问控制、防火墙工作原理及应用、攻击技术分析、入侵检测系统、病毒防治、安全通信协议、电子邮件系统安全和无线网络安全。在强调基础理论和工作原理的基础上,注重安全解决方案、选择、集成、配置、评估、维护和管理信息安全保障系统的工程实践技能。为方便读者学习、分析、设计和实践信息安全技术,多数应用实例均取自优秀的信息安全开源项目。在撰写风栺上力求做到深入浅出、概念清晰和通俗易懂。
此外,本书配有电子课件,教师可以根据课时需要进行裁减。本书配套的教学课件可从人民邮电出版社教学服务与资源网(www.ptpedu.com.cn)免费下载。
本书由彭新光和王峥任主编,负责全书体系结构、内容范围、撰写风栺的制订以及统稿、编著等组织工作,全书由陈俊杰教授主审。全书共分10章,其中第1章、第6章、第10章由彭新光编写,第2章、第5章、第7章由王峥编写,第3章由郭昊编写,第4章、第8章由张辉编写,第9章由朱晓军编写。
在编写此书的过程中,邀请了多位信息安全企业专家审定教学内容,他们提供了许多建设性意见。陈俊杰教授认真审阅了全书,提出了许多宝贵修改意见。冯秀芳教授和李海芳教授对本书的编写也给予了大力支持和热心帮助,谨向他们表示衷心的感谢。
尽管编著者尽心尽力编写各章内容,但信息安全技术涉及的知识面十分广泛,书中难免存在一些缺点和错误,恳请广大读者批评指正。编著者2012年12月第1章信息安全概述
随着Internet迅猛发展和网络社会化的到来,网络已经无所不在地影响着社会的政治、经济、文化、军事、意识形态和社会生活的各个方面。同时在全球范围内,针对重要信息资源和网络基础设施的入侵行为和企图入侵行为的数量仍在持续不断增加,网络攻击与入侵行为对国家安全、经济和社会生活造成了极大的威胁。因此,信息安全已成为世界各国当今共同关注的焦点。1.1 信息安全基本概念1.1.1 信息安全定义
安全在字典中的定义是为防范间谍活动或蓄意破环、犯罪、攻击而采取的措施,将安全的一般含义限定在网络与信息系统范畴,信息安全就是为防范计算机网络硬件、软件、数据偶然或蓄意破环、篡改、窃听、假冒、泄露、非法访问和保护网络系统持续有效工作的措施总和。
1.信息安全保护范围
信息安全、网络安全与计算机系统安全和密码安全密切相关,但涉及的保护范围不同。信息安全所涉及的保护范围包括所有信息资源,计算机系统安全将保护范围限定在计算机系统硬件、软件、文件和数据范畴,安全措施通过限制使用计算机的物理场所和利用专用软件或操作系统来实现。密码安全是信息安全、网络安全和计算机系统安全的基础与核心,密码安全是身份认证、访问控制、拒绝否认和防止信息窃取的有效手段。信息安全、网络安全、计算机系统安全和密码安全的关系如图1.1所示。图1.1 信息安全保护范围
2.信息安全侧重点
事实上,信息安全也可以看成是计算机网络上的信息安全,凡涉及网络信息的可靠性、保密性、完整性、有效性、可控性和拒绝否认性的理论、技术与管理都属于信息安全的研究范畴,只是不同人员或部门对信息安全关注的侧重点有所不同。信息安全研究人员更关注从理论上采用数学方法精确描述安全属性,通过安全模型来解决信息安全问题。信息安全工程人员从实际应用角度对成熟的信息安全解决方案和新型信息安全产品更感兴趣,他们更关心各种安全防范工具、操作系统防护技术和安全应急处理措施。信息安全评估人员较多关注的是信息安全评价标准、安全等级划分、安全产品测评方法与工具、网络信息采集以及网络攻击技术。网络安全管理或信息安全管理人员通常更关心信息安全管理策略、身份认证、访问控制、入侵检测、网络与系统安全审计、信息安全应急响应、计算机病毒防治等安全技术,因为他们负责配置与维护网络信息系统在保护授权用户方便访问信息资源的同时,必须防范非法访问、病毒感染、黑客攻击、服务中断、垃圾邮件等各种威胁,一旦系统遭到破环、数据或文件丢失后,能够采取相应的信息安全应急响应措施予以补救。对国家安全保密部门来说,必须了解网络信息泄露、窃听和过滤的各种技术手段,避免涉及国家政治、军事、经济等重要机密信息的无意或有意泄露;抑制和过滤威胁国家安全的反动与邪教等意识形态信息传播,以免给国家造成重大经济损失,甚至危害到国家安全。对公共安全部门而言,应当熟悉国家和行业部门颁布的常用信息安全监察法律法规、信息安全取证、信息安全审计、知识产权保护、社会文化安全等技术,一旦发现窃取或破环商业机密信息、软件盗版、电子出版物侵权、色情与暴力信息传播等各种网络违法犯罪行为,能够取得可信的、完整的、准确的、符合国家法律法规的诉讼证据。军事人员则更关心信息对抗、信息加密、安全通信协议、无线网络安全、入侵攻击、网络病毒传播等信息安全综合技术,通过综合利用信息安全技术夺取网络信息优势;扰乱敌方指挥系统;摧毁敌方网络基础设施和信息系统,以便赢得未来信息战争的决胜权。也许最关注信息安全问题的是广泛使用计算机及网络的个人或企业用户,在网络与信息系统为工作、生活和商务活动带来便捷的同时,他们更关心如何保护个人隐私和商业信息不被窃取、篡改、破坏和非法存取,确保网络信息的保密性、完整性、有效性和拒绝否认性。1.1.2 信息安全目标
信息安全的最终目标就是通过各种技术与管理手段实现网络信息系统的可靠性、保密性、完整性、有效性、可控性和拒绝否认性。可靠性(reliability)是所有信息系统正常运行的基本前提,通常指信息系统能够在规定的条件与时间内完成规定功能的特性。可控性(controllability)是指信息系统对信息内容和传输具有控制能力的特性。拒绝否认性(no-repudiation)也称为不可抵赖性或不可否认性,是指通信双方不能抵赖或否认已完成的操作和承诺,利用数字签名能够防止通信双方否认曾经发送和接收信息的事实。在多数情况下,信息安全更侧重强调网络信息的保密性、完整性和有效性。
1.保密性
保密性(confidentiality)是指信息系统防止信息非法泄露的特性,信息只限于授权用户使用。保密性主要通过信息加密、身份认证、访问控制、安全通信协议等技术实现,信息加密是防止信息非法泄露的最基本手段。口令加密可以防止密码被盗,保护密码是防止信息泄露的关键。如果密码以明文形式传输,在网络上窃取密码是一件十分简单的事情。事实上,大多数信息安全防护系统都采用了基于密码的技术,密码一旦泄露,就意味着整个安全防护系统的全面崩溃。机密文件和重要电子邮件在 Internet 上传输也需要加密,加密后的文件和邮件即使被劫持,尽管多数加密算法是公开的,但由于没有正确密钥进行解密,劫持的密文仍然是不可读的。此外,机密文件即使不在网络上传输,也应该进行加密;否则,窃取密码就可以获得机密文件。对机密文件加密可以提供双重保护。
2.完整性
完整性(integrity)是指信息未经授权不能改变的特性,完整性与保密性强调的侧重点不同。保密性强调信息不能非法泄露,而完整性强调信息在存储和传输过程中不能被偶然或蓄意修改、删除、伪造、添加、破坏或丢失,信息在存储和传输过程中必须保持原样。信息完整性表明了信息的可靠性、正确性、有效性和一致性,只有完整的信息才是可信任的信息。影响信息完整性的因素主要有硬件故障、软件故障、网络故障、灾害事件、入侵攻击、计算机病毒等,保障信息完整性的技术主要有安全通信协议、密码校验、数字签名等。实际上,数据备份是防范信息完整性受到破坏时的最有效恢复手段。
3.有效性
有效性(availability)是指信息资源容许授权用户按需访问的特性,有效性是信息系统面向用户服务的安全特性。信息系统只有持续有效,授权用户才能随时、随地根据自己的需要访问信息系统提供的服务。有效性在强调面向用户服务的同时,还必须进行身份认证与访问控制,只有合法用户才能访问限定权限的信息资源。一般而言,如果网络信息系统能够满足保密性、完整性和有效性3个安全目标,信息系统在通常意义下就可认为是安全的。1.1.3 信息安全模型
为了实现信息安全目标,安全研究人员希望通过构造信息安全理论模型获得完整的信息安全解决方案。早期的信息安全模型主要从安全操作系统、信息加密、身份认证、访问控制、服务安全访问等方面来保障网络信息系统的安全性,但信息安全解决方案是一个涉及法律、法规、管理、技术和教育等多个因素的复杂系统工程,单凭几个安全技术不可能保障网络信息系统的安全性。事实上,安全只具有相对意义,绝对的安全只是一个理念,任何安全模型都不可能将所有可能的安全隐患都考虑周全。因此,理想的信息安全模型永远不会存在。
由Internet安全系统公司(Internet security systems,ISS)提出的著名PPDR(policy protectionDetection response)信息安全模型在国际上公认为具有一定的可操作性,ISS 公司最早提出的是PDR(protectionDetection response)模型,PPDR模型是PDR模型的改进版。许多信息安全公司出于商业策略考虑,也分别提出了各自的信息安全模型,但本质内容仍然来自PPDR模型。包括ISS 公司也将 PPDR 模型改版为 PADIMEE 模型,PADIMEE 分别表示策略(policy)、评估(assessment)、设计(design)、履行(implementation)、管理(management)、应急响应(emergency response)和教育(education)。
PPDR信息安全模型如图1.2所示,包括安全策略、保护、检测和响应四个部分。安全策略是PPDR 模型的核心,是围绕安全目标、依据信息系统具体应用、针对信息安全等级在信息安全管理过程中必须遵守的原则。安全策略的制定与实施依赖于安全技术、安全管理和法律法规,先进的信息安全技术为信息安全防范提供了技术保障;严格的信息安全管理为实施安全策略提供了基础;完善的法律法规为制定信息安全策略提供了坚强后盾。图1.2 PPDR信息安全模型
安全保护是网络安全的第一道防线,包括安全细则、安全配置和各种安全防御措施,能够阻止决大多数网络入侵和危害行为。安全细则是在安全策略基础上根据不同网络应用制定的规章制度,安全配置主要是在安全策略指导下确保服务安全与合理分配用户权限,安全防御措施主要包括信息加密、身份认证、访问控制、防火墙、病毒防治、风险评估、虚拟专用网(virtual private network, VPN)等安全防范组件。入侵检测是网络信息安全的第二道防线,目的是采用主动出击方式实时检测合法用户滥用特权、第一道防线遗漏的攻击、未知攻击和各种威胁信息安全的异常行为,通过安全监控中心掌握整个网络与信息系统的运行状态,采用与安全防御措施联动方式尽可能降低威胁网络与信息系统安全的风险。发现恶意攻击或威胁信息安全的异常行为以后,应急响应能够在信息系统受到危害之前,采用用户定义或自动响应方式及时阻断进一步的破坏活动。通过详细记录入侵过程为入侵跟踪和计算机取证奠定基础,应急响应通常还包括数据和系统恢复措施,最大程度地减小破坏造成的损失。1.1.4 信息安全策略
信息安全策略是保障机构信息安全的指导文件,一般而言,信息安全策略包括总体安全策略和具体安全管理实施细则。总体安全策略用于构建机构信息安全框架和战略指导方针,包括分析安全需求、分析安全威胁、定义安全目标、确定安全保护范围、分配部门责任、配备人力物力、确认违反策略的行为和相应的制裁措施。总体安全策略只是一个安全指导思想,还不能具体实施,在总体安全策略框架下针对特定应用制定的安全管理细则才规定了具体的实施方法和内容。
1.安全策略总则
无论是制定总体安全策略,还是制定安全管理实施细则,都应当根据信息安全特点遵守均衡性、时效性和最小限度共性原则。(1)均衡性原则
由于软件漏洞、协议漏洞、管理漏洞和网络威胁永远不可能消除,信息安全必定是计算机网络的永恒主题。无论制定多么完善的信息安全策略,还是使用多么先进的信息安全技术,信息安全也只是一个相对概念,因为世上没有绝对的安全系统。此外,信息系统易用性和效能与安全强度是一对天生的矛盾。夸大信息安全漏洞和威胁不仅会浪费大量投资,而且会降低信息系统易用性和效能,甚至有可能引入新的不稳定因素和安全隐患。忽视信息安全比夸大信息安全更加严重,有可能造成机构或国家重大经济损失,甚至威胁到国家安全。因此,信息安全策略需要在安全需求、易用性、效能和安全成本之间保持相对平衡,科学制定均衡的信息安全策略是提高投资回报和充分发挥网络及信息系统效能的关键。(2)时效性原则
由于影响信息安全的因素随时间有所变化,导致信息安全问题具有显著的时效性。例如,信息系统用户增加、信任关系发生变化、网络规模扩大、新安全漏洞和攻击方法不断暴露都是影响信息安全的重要因素。因此,信息安全策略必须考虑环境随时间的变化。(3)最小化原则
网络系统提供的服务越多,安全漏洞和威胁也就越多。因此,应当关闭信息安全策略中没有规定的网络服务;以最小限度原则配置满足安全策略定义的用户权限;及时删除无用账号和主机信任关系,将威胁信息安全的风险降至最低。
2.安全策略内容
一般而言,大多数网络都是由网络硬件、网络连接、操作系统、网络服务和数据组成,网络安全管理员或信息安全管理员负责安全策略的实施,网络用户则应当严格按照安全策略的规定使用网络提供的服务。因此,在考虑网络与信息系统整体安全问题时应主要从网络硬件、网络连接、操作系统、网络服务、数据、安全管理责任和网络用户几方面着手。(1)硬件物理安全
核心网络设备和服务器应当设置防盗、防火、防水、防毁等物理安全设施以及温度、湿度、洁净、供电等环境安全设施,位于雷电活动频繁地区的网络基础设施必须配备良好的防雷与接地装置,每年因雷电击毁网络设施的事例层出不穷。在规划物理安全设施时可参考《GB/T 21052—2007信息系统物理安全要求》、《GB/T 22239—2008信息系统安全等级保护基本要求》等国家技术标准。
核心网络设备和服务器最好集中放置在中心机房,其优点是便于管理与维护,也容易保障设备的物理安全,更重要的是能够防止直接通过端口窃取重要资料。防止信息空间扩散也是规划物理安全的重要内容,除光纤之外的各种通信介质、显示器以及设备电缆接口都不同程度地存在电磁辐射现象,利用高性能电磁监测和协议分析仪有可能在几百米范围内将信息复原,对于涉及国家机密的信息必须考虑电磁泄露防护技术。例如,铺设电缆采用金属导管屏蔽,计算机和显示器最好使用符合美国瞬态电磁脉冲辐射标准(transient electromagnetic pulse emanation standard, TEMPEST)的产品,尽可能减小因电磁辐射导致失密的危险,TEMPEST是美国国家安全部制定的计算机信息泄漏安全防护标准。我国也先后颁布了国家公共安全保密标准《GGBB1—1999 信息设备电磁泄漏发射限值》、《GGBB2—1999 计算机信息系统设备电磁泄漏发射测试方法》和国家保密标准《BMB5—2000涉密信息设备使用现场的电磁泄漏发射防护要求》。(2)网络连接安全
网络连接安全主要考虑网络边界的安全,如内部网(intranet)与外部网(extranet)、Internet公用网络有连接需求,使用防火墙和入侵检测技术双层安全机制来保障网络边界的安全。内部网安全主要通过操作系统安全和数据安全策略来保障,由于网络地址转换(network address translator,NAT)技术能够对Internet屏蔽内部网地址,必要时也可以考虑使用NAT保护内部网私有IP地址。
对信息安全有特殊要求的内部网最好使用物理隔离技术保障网络边界的安全,根据安全需求,可以采用固定公用主机、双主机或一机两用等不同物理隔离方案。固定公用主机与内部网无连接,专用于访问Internet,虽然使用不够方便,但能够确保内部主机信息的保密性。双主机在一个机箱中配备了两块主板、两块网卡和两个硬盘,双主机在启动时由用户选择内部网或 Internet 连接,较好地解决了安全性与方便性的矛盾。一机两用隔离方案由用户选择接入内部网或Internet,但不能同时接入两个网络。虽然成本低廉、使用方便,但仍然存在泄密的可能性。(3)操作系统安全
操作系统安全应重点考虑计算机病毒、特洛伊木马(Trojan horse)和入侵攻击威胁。计算机病毒是隐藏在计算机系统中的程序,具有自我繁殖、相互感染、激活再生、隐藏寄生、迅速传播特点,以降低计算机系统性能、破环系统内部信息或破环计算机系统运行为目的。截至目前,已发现有两万多种不同类型的病毒。病毒传播途径已经从移动存储介质转向Internet,病毒在网络中以指数增长规律迅速扩散,诸如邮件病毒、Java病毒和ActiveX病毒给网络病毒防治带来新的挑战。
特洛伊木马与计算机病毒不同,特洛伊木马是一种未经用户同意私自驻留在正常程序内部,以窃取用户资料为目的的间谍程序。目前,并没有特别有效的计算机病毒和特洛伊木马程序防治手段,主要还是通过提高病毒防范意义,严格安全管理,安装优秀防病毒、杀病毒、特洛伊木马专杀软件来尽可能减少病毒与木马入侵机会。操作系统漏洞为入侵攻击提供了条件,因此,经常升级操作系统、防病毒软件和木马专杀软件是提高操作系统安全性的最有效、最简便方法。(4)网络服务安全
目前网络提供的电子邮件、文件传输、Usenet 新闻组、远程登录、域名查询、网络打印和WWW(worlDwide web)服务都存在大量的安全隐患,虽然用户并不直接使用域名查询服务,但域名查询通过将主机名转换成主机IP地址为其他网络服务奠定了基础。由于不同网络服务的安全隐患和安全措施不相同,应当在分析网络服务风险的基础上,为每一种网络服务分别制定相应的安全策略细则。(5)数据安全
根据数据机密性和重要性的不同,一般将数据分为关键数据、重要数据、有用数据和非重要数据,以便对不同类型数据采取不同的保护措施。关键数据是指直接影响信息系统正常运行或无法再次得到的数据,如操作系统和关键应用程序等。重要数据是指具有很高机密性或高使用价值的数据,如国防或国家安全部门涉及国家机密的数据;金融部门涉及用户的账目数据等。有用数据一般指信息系统经常使用但可以从其他地方复制的数据,非重要数据则是很少使用而且很容易得到的数据。由于任何安全措施都不可能保证网络信息系统绝对安全或不发生故障,在信息安全策略中除考虑重要数据加密之外,还必须考虑关键数据和重要数据的备份。
目前,数据备份使用的介质主要是磁带、硬盘和光盘,因磁带具有容量大、技术成熟、成本低廉等优点,大容量数据备份多选用磁带存储介质。随着硬盘价格不断下降,网络服务器都使用硬盘作为存储介质,目前流行的硬盘数据备份技术主要有磁盘镜像和冗余磁盘阵列(redundant arrays of inexpensiveDisks,RAID)。磁盘镜像技术能够将数据同时写入型号与格式相同的主磁盘和辅助磁盘,RAID是专用服务器广泛使用的磁盘冗错技术。大型网络常采用光盘库、光盘阵列和光盘塔作为存储设备,但光盘特别容易被划伤,导致数据读出错误,数据备份使用更多的还是磁带和硬盘存储介质。(6)安全管理责任
由于人是制定和执行信息安全策略的主体,所以在制定信息安全策略时,必须明确信息安全管理责任人。小型网络与信息系统可由网络管理员兼任信息安全管理职责,但大型网络、电子政务、电子商务、电子银行或其他要害部门的网络信息系统应配备专职信息安全管理责任人。信息安全管理采用技术与行政相结合的手段主要对授权、用户和资源进行管理,其中授权是信息安全管理的重点。安全管理责任包括行政职责、网络设备、网络监控、系统软件、应用软件、系统维护、数据备份、操作规程、安全审计、病毒防治、入侵跟踪、恢复措施、内部人员、网络用户等与网络安全相关的各种功能。(7)网络用户安全责任
信息安全不仅仅是信息安全管理员的事,网络用户对信息安全也负有不可推卸的责任。网络用户应特别注意不能私自将调制解调器(modem)接入 Internet;不要下载未经安全认证的软件和插件;确保本机没有安装文件和打印机共享服务;不要使用脆弱性口令;经常更换口令等。1.2 信息安全漏洞与威胁1.2.1 软件漏洞
软件漏洞(flaw)是指在设计与编制软件时没有考虑对非正常输入进行处理或错误代码而造成的安全隐患,软件漏洞也称为软件脆弱性(vulnerability)或软件隐错(bug)。软件漏洞产生的主要原因是软件设计人员不可能将所有输入都考虑周全,因此,软件漏洞是任何软件存在的客观事实。软件产品通常在正式发布之前,一般都要相继发布α版本、β版本和γ版本供反复测试使用,目的就是为了尽可能减少软件漏洞。
根据卡内基梅隆大学软件工程研究所计算机应急响应协作中心(CERT coordination center)截止到2008年的软件漏洞和攻击事件统计报告,1995年仅有171起软件漏洞报告,2006年则上升到8064起软件漏洞报告。随着软件设计技术水平的提高和人们对信息安全事件的重视,2008年软件漏洞报告下降到6058件,并逐步趋于稳定。针对软件漏洞的攻击,1998年仅发生了6起, 2003年就发生了 137 529 起攻击事件。由于各种自动攻击工具在网络上随处可见,CERT 认为统计攻击事件已经没有太多意义,从2004年开始转向电子犯罪统计。软件漏洞和攻击事件统计趋势分别如图1.3和图1.4所示。图1.3 软件漏洞趋势图图1.4 攻击事件趋势图
缓冲区溢出、特殊字符组合和操作系统多任务竞争是最常见的软件漏洞,除非正常输入和错误代码造成的软件漏洞之外,通常将软件配置不当造成的安全隐患也归类到软件漏洞范畴,如操作系统缺省配置、脆弱性口令、系统后门等都是攻击首选的安全漏洞。不同软件、同一软件的不同版本或不同运行环境其软件漏洞各自都不相同,因此,脱离具体软件和运行环境讨论软件漏洞毫无意义。此外,软件漏洞具有时效性特点,随着软件的广泛使用,软件漏洞将不断暴露出来。软件商通常会发布软件补丁修补已发现的软件漏洞,或在新版本中予以纠正。新版本软件在纠正旧版本软件的同时,有可能引入新的软件漏洞。随着软件使用时间的推移,已暴露的软件漏洞会不断消亡,新的软件漏洞将不断出现。1.2.2 网络协议漏洞
网络协议漏洞类似于软件漏洞,是指网络通信协议不完善而导致的安全隐患。截止到目前, Internet上广泛使用的TCP/IP协议族几乎所有协议都发现存在安全隐患,包括数据链路层(data link layer)的地址解析协议(address resolution protocol,ARP)、逆向地址解析协议(reverse address resolution protocol,RARP);网络层(network layer)的网际协议(internet protocol,IP)、Internet控制报文协议(internet control messages protocol,ICMP)、Internet 组管理协议(internet group management protocol,IGMP);传输层(transport layer)的传输控制协议(transfer control protocol, TCP)、用户数据报协议(userDatagram protocol,UDP)、可靠数据协议(reliableData protocol, RDP);应用层(application layer)的域名系统(domain name systems,DNS)、文件传输协议(file transfer protocol,FTP)、超文本传输协议(hyper text transfer protocol,HTTP)、简单邮件传输协议(simple message transfer protocol,SMTP)、远程登录协议(Telnet)等。
应用程序在IEEE802.3以太网(ethernet)标准上采用TCP/IP传送数据时,用户数据通过传输层、网络层、数据链路层都要分别添加 TCP、IP 和载波监听多路访问/冲突检测(carrier sense multiple access/collisionDetect,CSMA/CD)首部信息。由于IP 分组封装在CSMA/CD帧内,位于数据链路层的网络接口驱动程序并不清楚有IP地址,而且也不理解IP地址格式。主机在数据链路层采用48 位介质访问控制(medium access control,MAC)硬件地址实现数据通信,因此,在数据通信之前,必须首先获得目标主机的MAC地址,源和目标主机的MAC地址封装在CSMA/CD帧头内,最终才能通过物理层介质达到传送数据的目的。ARP的主要任务就是通过查询本机ARP缓冲表来获取目标IP地址对应的MAC地址,主机传送数据前,首先查询ARP缓冲表,如检索到目标IP地址,则将对应的MAC地址封装在帧头内。否则,在网段内发送一个ARP询问广播包,具有目标IP地址的主机将回送一个包含MAC地址的ARP应答包,源主机提取目标MAC地址并将其保存到ARP缓冲表。正是ARP的应答与地址映射机制导致了安全隐患,ARP应答分组完全可以假冒路由器、文件服务器或数据库服务器IP地址,目标为某台主机的MAC地址。接收ARP 虚假应答分组的主机将路由器、文件服务器或数据库服务器 IP 地址错误地映射成指定主机的 MAC 地址,结果是发往路由器、文件服务器或数据库服务器的分组全部传送到某台指定的主机,这种利用ARP 应答与地址映射机制漏洞实施的攻击称为缓冲中毒攻击(cache poisoning)。
针对TCP 三次握手(three-way handshake)初始连接和应答每个接收报文安全漏洞,TCP 漏洞典型攻击有Land攻击、会话劫持(hijack)攻击、TCP序列号猜测攻击、同步洪流攻击(SYN flood)、TCP 状态转移和定时器拒绝服务攻击等。UDP fraggle 拒绝服务攻击是针对UDP 漏洞的典型攻击之一,将目标IP地址设置成目标网络的广播地址,通过伪造目标网络中某主机UDP广播报文,广播域内所有主机会给目标主机发送错误消息,目标主机将被错误消息所淹没,导致目标主机发生拒绝服务。Smurf攻击利用ICMP回复漏洞和IP地址欺骗能够使广播域内数据流量巨增,从而导致目标主机拒绝为正常请求服务。ICMP 与 IP 都位于网络层,但 ICMP 报文是封装在 IP分组中传输的。Smurf攻击类似于UDP fraggle 拒绝服务攻击,伪造源IP 地址并将目标IP 地址设置成目标网络的广播地址,通过向广播域发送类型为8、代码为0的回应请求(echo)ICMP报文,由于广播域内的所有主机都向伪造的IP地址发送回应消息,大量回应消息不仅充斥广播域,而且将淹没目标主机。
截止到2012年6月,专门从事安全漏洞名称标准化的公共漏洞披露机构(common vulnerability anDexposures,CVE)已发布了53 623 个不同的安全漏洞,新的安全漏洞仍在不断披露。1.2.3 安全管理漏洞
软件漏洞和网络协议漏洞是天生具有的,但由于安全管理疏漏产生的安全漏洞则完全是人为因素造成的。信息安全技术只是保证信息安全的基础,信息安全管理才是发挥信息安全技术的根本保证。因此,信息安全问题并不是一个纯技术问题,从信息安全管理角度看,信息安全首先应当是管理问题。事实上,国际标准化组织(international standardization organization,ISO)将网络管理划分为故障、性能、配置、记账和安全管理五个领域,表明安全管理是网络管理的重要组成部分。
由于计算机网络包含各种网络设施、服务器、工作站、网络终端等设备,每个设备又可能安装了不同操作系统和应用软件,各自都具有不同的安全隐患。因此,计算机网络和信息系统的安全隐患由大量子系统安全隐患聚集而成,导致信息安全隐患数量庞大且十分复杂,提高了信息安全管理的技术难度与成本,容易造成更多的安全管理疏漏。
但许多安全管理漏洞只要提高安全管理意识完全可以避免,如常见的系统缺省配置、脆弱性口令、信任关系转移等。系统缺省配置主要考虑的是用户友好性,但方便使用的同时也就意味着更多的安全隐患。许多系统采用123456作为默认口令,用Administrator或ChangMe作为默认用户名,这些系统缺省配置很容易被猜测。许多用户习惯用用户名或用户名的变形、自己或亲友生日、电话号码、身份证或员工号码、常用单词等作为口令,事实上,这些口令都是典型的脆弱性口令。假设用出生19××(0~99)年××(1~12)月××日(1~31)8位数字作为口令,但可能的组合数只有100×12×31=37200,一般口令破解软件每秒至少可以搜索4万种组合。通常8位以上、字母大小写和数字混用的口令才是安全口令。
信息安全管理是在信息安全策略指导下为保护网络与信息系统不受内外各种威胁而采取的一系列信息安全措施,信息安全策略则是根据信息安全目标和网络应用环境,为提供特定安全级别保护而必须遵守的规则。因此,信息安全策略与网络应用环境密切相关,不同的应用环境需要制定不同的安全策略。如果将信任区的安全策略应用到非信任区,必然会产生众多的安全管理漏洞。如果将非信任区的安全策略应用到信任区,又会造成不必要的资金浪费。由此可见,信息安全是相对的,是建立在信任基础之上的,绝对的信息安全永远不存在。信任区与非信任区,或者安全区与非安全区的边界是基于信任关系划定的,在安全区内应当相信系统管理人员和内部用户不会滥用特权,并且具有良好的职业道德。但是当信任关系发生变化时,安全管理必须进行及时调整,否则会大大降低整个网络的安全性。1.2.4 信息安全威胁来源
信息安全威胁是指事件对信息资源的可靠性、保密性、完整性、有效性、可控性和拒绝否认性可能产生的危害,信息安全威胁根据威胁产生的因素可以分为自然和人为两大类。因自然因素产生的信息安全威胁主要有硬件故障、软件故障、电源故障、电磁干扰、电磁辐射和各种不可抗拒的自然灾害,电磁辐射并不影响信息的完整性和有效性,但破坏了信息的保密性,物理故障及自然灾害主要破坏了信息的完整性和有效性。人为因素导致的信息安全威胁又可以根据是否有意分为意外损坏和蓄意攻击两类,意外损坏主要包括偶然删除文件、格式化硬盘、带电拔插、系统断电等各种操作失误,操作失误主要影响了信息的完整性和有效性,对保密性影响不大。蓄意攻击则是有意利用软件漏洞、协议漏洞和管理漏洞试图饶过信息安全策略破环、篡改、窃听、假冒、泄露和非法访问信息资源的各种恶意行为,包括网络攻击、计算机病毒、特洛伊木马、网络窃听、邮件截获、滥用特权等多种类型,信息安全威胁分类及破坏目标如图1.5所示。图1.5 信息安全威胁分类及破坏目标
根据信息安全威胁来自网络边界内部或外部,蓄意攻击还可以分为内部攻击和外部攻击,由于内部人员位于信任范围内,熟悉敏感数据的存放位置、存取方法、网络拓扑结构、安全漏洞及防御措施,而且多数机构的安全保护措施都是防外不防内,因此,决大多数蓄意攻击来自内部而不是外部。因内部人员角色经常变动,内部人员界定比较困难,一般而言,软件开发人员、系统维护人员、授权用户、网络管理员、安全管理员、系统管理员、数据库管理员等属于内部人员,当角色发生变动后,必须及时修改安全策略。
以窃取网络信息为目的的外部攻击一般称为被动攻击,其他外部攻击统称为主动攻击。被动攻击主要破坏信息的保密性,而主动攻击主要破坏信息的完整性和有效性。窃取网络信息有多种技术手段,利用电磁辐射、搭线监听、无线监听、网络窃听、邮件截获、特洛伊木马、计算机病毒都可以实现被动攻击。尽管信息加密能够在一定程度上防止信息非法泄露,但利用网络流量分析技术仍然可以获得有价值信息。例如,某机构的网络流量突然迅速增加,表明该机构近期有可能发生重大事件。
主动攻击主要来自网络黑客(hacker)、敌对势力、网络金融犯罪分子和商业竞争对手,早期黑客一词并无贬义,指独立思考、智力超群、精力充沛、热衷于探索软件奥秘和显示个人才干的计算机迷。但国内多数传播媒介将黑客作为贬义词使用,泛指利用信息安全漏洞蓄意破坏信息资源保密性、完整性和有效性的恶意攻击者。事实上,根据黑客尊崇的不同道德规范,黑客在国际上分为白帽(white hat)、灰帽(gray hat)和黑帽(black hat)三类。白帽黑客发现安全漏洞会首先通知厂商,在厂商修补安全漏洞之前不会披露漏洞消息。白帽黑客协助厂商解决安全问题,为提高软件产品安全性做出了积极贡献,属于正面意义上的黑客。灰帽黑客发现安全漏洞后,在群体内发布的同时也通知厂商。黑帽黑客属于真正意义上的反面黑客,发现安全漏洞后既不通知厂商,也不向社会披露。无视国家法律和法规,针对安全漏洞研究漏洞利用(exploits)攻击机制,并遵守漏洞利用共享规范。随着黑客人数的不断增加,黑客不仅成立了自己的组织机构,还不定期召开黑客国际交流会议。目前,世界上至少有20万个黑客网站,免费提供各种漏洞利用软件,有些网站还提供了详细的黑客教程,给信息安全造成了极大的威胁。1.3 信息安全评价标准
计算机信息系统安全产品种类繁多,功能也各不相同,随着信息安全产品日益增多,为了更好地对信息安全产品的安全性进行客观评价,以满足用户对安全功能和保证措施的多种需求,也便于同类安全产品进行比较,许多国家都分别制定了各自的信息安全评价标准。典型的信息安全评价标准主要有美国国防部颁布的《可信计算机系统评价标准》;德国、法国、英国、荷兰四国联合颁布的《信息技术安全评价标准》;加拿大颁布的《可信计算机产品评价标准》;美国、加拿大、德国、法国、英国、荷兰六国联合颁布的《信息技术安全评价通用标准》;中国国家质量技术监督局颁布的《计算机信息系统安全保护等级划分准则》。1.3.1 信息安全评价标准简介
早在1985年,美国国防部基于军事计算机系统保密工作的需求,在历史上首次颁布了《可信计算机系统评价标准》(trusteDcomputer system evaluation criteria,TCSEC),在1987年对TCSEC进行了修订,增加了可信网络解释(trusteDnetwork interpretation,TNI)和可信数据库解释(trustedDatabase interpretation,TDI)标准文件。随后美国国防部又颁布了包含20 多个文件的安全标准系列,由于每个标准文件采用不同颜色的封面,所以将该安全标准系列称为彩虹系列(rainbow series)。TCSEC文件的封面为桔红色,简称桔皮书。1988年,德国信息安全部(German information security agency,GISA)在参考 TCSEC的基础上,也推出了自己国家的《计算机安全评价标准》,简称GISA绿皮书。由于不同国家颁布的信息安全标准其侧重点和表述方法有很大差异,因此,在某个国家获得安全认证的产品在其他国家不被认可。德国、法国、英国、荷兰四国于1991年联合颁布了欧洲共同体成员国使用的《信息技术安全评价标准》(information technology security evaluation criteria,ITSEC)。加拿大政府于 1993年制定了自己的《可信计算机产品评价标准》(Canadian trusteDcomputer product evaluation criteria,CTCPEC),CTCPEC主要从保密性、完整性、有效性和可计算性规定了产品的安全功能,从安全功能实现安全策略的角度定义了产品的安全信任度。
为了适应安全技术发展和保持国际领先地位,1993年美国国家标准技术委员会(national institute of standards anDtechnology,NIST)和国家安全局(national security agency,NSA)共同制定了《信息技术安全评价联邦标准草案》(federal criteria for information technology security,FC), FC主要参考了CTCPEC和TCSEC,本质上就是TCSEC修订版的升级版本。由于FC存在较多缺陷,问世不久就停止了对FC草案的修订工作,FC草案最终只是一个过渡标准。美国NIST、美国NSA、加拿大、德国、法国、英国、荷兰六国于1996年1月正式发布了《信息技术安全评价公共标准》(common criteria for information technology security evaluation,CC),1999年9 月,中国国家质量技术监督局正式批准由公安部组织制定的《计算机信息系统安全保护等级划分准则》GB 17859—1999 国家标准,并于2001年1 月1日开始施行。表1.1 所示为信息安全标准名称、颁布国家(或有关机构)和年份。表1.1 信息安全评价标准发展历程1.3.2 美国可信计算机系统评价标准
TCSEC根据计算机系统采用的安全策略、提供的安全功能和安全功能保障的可信度将安全级别划分为D、C、B、A四大类七个等级,其中D类安全级别最低,A类安全级别最高。C类分为2个安全等级C1和C2,B类分为3个安全等级B1、B2和B3,安全级别按D、C1、C2、B1、B2、B3、A依次增高,安全风险依次降低,高安全级别的计算机系统包含了低安全级别的安全属性。TCSEC对每个安全等级的安全策略、身份认证、访问控制、审计跟踪及文档资料等安全属性进行了详细说明,只有符合相应安全等级的所有安全属性,美国国防部所属的权威评测机构国家计算机安全中心(national computer security center,NCSC)才颁发对应安全等级的认证证书。尽管目前提出了一些新的安全评价标准,但由于 TCSEC 影响深远,信息技术厂商和用户依然习惯采用 TCSEC 度量信息产品的安全性,特别是计算机操作系统,甚至数据库和网络设备也一直采用TCSEC标准进行评价解释。
1.无安全保护D类
D类只有一个安全等级,凡经过评价但不满足C、B、A类安全属性的计算机系统全部划归到D类。D类没有任何安全保护功能,包括基本的身份认证和访问控制。早期广泛使用的MS-DOS、MS-Windows 3.x、Windows 95、Windows 98、Macintosh System 7.x 操作系统属于D类,这些操作系统对用户访问系统资源没有任何限制。从系统安全角度看,不适合多用户环境使用。
2.自主安全保护C类
C类具有自主访问控制和审计跟踪安全属性,通过将数据与用户隔离提供了自主安全保护功能(discretionary security protection),有 2 个安全等级C1 和C2,分别称为自主安全保护和控制访问保护。C1安全等级通过账号和口令建立用户对数据的访问权限,能够防止其他用户非法访问,提供了基本的安全保护功能。C2安全等级除具有自主访问控制外,还提供了审计跟踪安全属性,要求记录系统中的每个安全事件。此外,C2 等级还要求提供控制访问环境(controlled-access environment),控制访问环境能够限制用户执行命令和访问文件的权限。因此,C2 比 C1 具有更细的自主安全保护力度。因计算机系统的安全性和易用性之间存在矛盾,多数商用操作系统属于C2安全等级。
3.强制安全保护B类
B类具有强制访问控制安全属性,由操作系统或安全管理员根据强制访问规则确定用户对系统资源的访问权限。B 类不容许用户改变许可权限,提供了强制安全保护功能(mandatory security protection),分 3个安全等级B1、B2、B3。
B1 称为标记安全保护(labeleDsecurity protection)等级,要求给每个主体和访问对象设置标签,标识主体和访问对象的敏感级别,以便引入强制访问控制机制。B2 称为结构安全保护(structureDprotection)等级,强调系统体系结构设计、形式化安全模型、配置管理、可信通路机制、隐蔽通道分析、安全测试和完善的自主访问控制及强制访问控制机制。B3称为安全区域保护(securityDomain)等级,要求使用硬件措施加强保护区域的安全性,防止非法访问和篡改安全区域内的对象。
军用操作系统一般都在B1安全等级以上,美国政府对B1安全等级以上的操作系统有严格的出口限制,对我国出口的操作系统都在B类以下。因此,研制具有自主知识产权、B类安全防护功能的操作系统始终是国内安全操作系统领域中的研究热点,也是国家重点支持的研究方向。
4.验证安全保护A类
A 类是 TCSEC 标准的最高安全等级,也称为验证设计(verifyDesign)等级,主要安全属性与B3安全等级相同。要求提供形式化安全策略模型、模型的数学证明、形式化高层规约、高层规约与模型的一致性证明、高层规约与安全属性的一致性证明等,目的是通过形式化设计和形式化安全验证手段,利用强制访问控制机制确保重要数据的安全性。TCSEC定义的D、C1、C2、B1、B2、B3、A安全等级,在安全功能方面虽然高安全级别覆盖了低安全级别,但更强调安全功能在实现和验证方面的可信程度,TCSEC 标准各安全等级之间的关系如图 1.6所示。图1.6 TCSEC标准各安全等级关系1.3.3 其他国家信息安全评价标准
1.德国计算机安全评价标准
德国信息安全部颁布的《计算机安全评价标准》绿皮书在 TCSEC 的基础上增加了系统有效性和数据完整性要求,共定义了10个安全功能类别和8个实现安全功能的质量保障等级,安全功能类别用F1~F10表示,安全质量保障等级用Q0~Q7表示。其中F1~F5分别对应TCSEC的C1~B3安全等级,F6是针对数据完整性定义的安全功能需求,F8~F10是针对数据通信环境定义的安全需求。Q0~Q7安全保障等级大致对应TCSEC的D~A和超A保障能力,超A是TCSEC为适应安全技术发展预留的评价标准,没有制定详细的评价规范。
2.欧共体信息技术安全评价标准
欧洲共同体成员国德国、法国、英国、荷兰联合制定的《信息技术安全评价标准》(ITSEC)在吸收TCSEC、英国标准和德国绿皮书经验的基础上,首次提出了信息保密性、完整性和有效性安全目标概念。在保留德国绿皮书10个安全功能F1~F10和英国标准功能描述语言的同时,ITSEC定义了7个安全功能可信等级E0~E6,称为有效性等级,分别对应TCSEC的D~A安全等级。
3.加拿大可信计算机产品评价标准
加拿大制定的《可信计算机产品评价标准》(CTCPEC)也将产品的安全要求分成安全功能和功能保障可依赖性两个方面,安全功能根据系统保密性、完整性、有效性和可计算性定义了6个不同等级0~5。保密性包括隐蔽信道、自主保密和强制保密;完整性包括自主完整性、强制完整性、物理完整性、区域完整性等属性;有效性包括容错、灾难恢复、坚固性等;可计算性包括审计跟踪、身份认证、安全验证等属性。根据系统结构、开发环境、操作环境、说明文档、测试验证等要求,CTCPEC将可依赖性定为8个不同等级T0~T7,其中 T0级别最低,T7级别最高。德国绿皮书标准、欧共体ITSEC标准、加拿大CTCPEC标准与美国TCSEC标准之间的大致对应关系如表1.2所示。表1.2 安全评价标准之间的大致对应关系续表1.3.4 国际通用信息安全评价标准《信息技术安全评价公共标准》(CC)能够对信息技术领域中的各种安全措施进行安全评价,但信息系统和产品的物理安全、行政管理、密码强度等间接安全措施不在评价范围之内,重点考虑人为因素导致的安全威胁。评价的信息系统或技术产品及其相关文档在 CC 中称为评价目标(target of evaluation,TOE),如操作系统、分布式系统、网络设施、应用程序等。
CC标准采用类(class)、族(family)、组件(component)层次结构化方式定义TOE的安全功能。每个功能类表示一个安全主题,由类名、类介绍、一个或多个功能族组成。每个功能族又由族名、族行为、组件层次、管理、一个或多个组件构成,族是在同一个安全主题下侧重面不同的安全功能。功能组件由组件标识、组件依赖关系、一个或多个功能元素组成,功能元素则是不可拆分的最小安全功能要求。CC标准定义的11个安全功能类如表1.3所示,基本覆盖了信息安全技术的所有主题。表1.3 CC标准定义的安全功能类
CC标准定义安全保证(security assurance)同样采用了类、族和组件层次结构,保证类包含保证族,保证族又包含保证组件,保证组件由多个保证元素组成。保证类和保证族主要用于对保证要求进行分类,保证组件用于指明保护轮廓(protection profile,PP)和安全目标(security target, SF)中的保证要求。保护轮廓是满足用户特定需求的TOE安全要求,安全目标则是对TOE进行评价的一组安全规范。保证类结构包括类名、类介绍、一个或多个保证族,保证类名由A(assurance)开头的3个字母构成,CC标准定义的10个安全保证类如表1.4所示。表1.4 CC标准定义的安全保证类
CC标准在安全保证要求中共定义了7 个评价保证等级(evaluation assurance levels,EAL),分别是功能测试EAL1、结构测试EAL2、系统测试与检查EAL3、系统设计和测试及复查EAL4、半形式化设计和测试EAL5、半形式化验证设计和测试EAL6、形式化验证设计和测试EAL7,评价保证等级越大,信息系统或技术产品的安全可信度就越高。CC标准评价保证等级EAL2~EAL7大致对应美国TCSEC标准的C1~A安全等级,保证等级EAL1位于D和C1之间。
ISO 和国际电工委员会(international electrotechnical commission,IEC)于1999年12 月正式采纳 CC 第二版作为国际通用信息安全评价标准 ISO/IEC 15408 发布。世界上已有澳大利亚、加拿大、德国、法国、日本、新西兰、英国、美国、奥地利、芬兰、希腊、以色列、意大利、荷兰、挪威、西班牙、瑞典、匈牙利、土耳其等国家签署了CC 多边认可协议(common criteria recognition arrangement,CCRA),CCRA协议规定:协议签署国家认可其他CCRA成员国完成的CC标准评价结果。1.3.5 国家信息安全评价标准
由于信息安全直接涉及国家政治、军事、经济、意识形态等许多重要领域,各国政府对信息系统或技术产品安全性的测评认证要比其他产品更为重视。尽管许多国家签署了CC多边认可协议CCRA,但很难想象一个国家会绝对信任其他国家对涉及国家安全和经济的产品的测评认证。事实上,各国政府都通过颁布相关法律、法规和技术评价标准对信息安全产品的研制、生产、销售、使用和进出口进行强制管理。
中国国家质量技术监督局1999年颁布的《计算机信息系统安全保护等级划分准则》国家标准GB 17859—1999,在参考美国TCSEC、欧共体ITSEC和加拿大CTCPEC等标准的基础上,将计算机信息系统安全保护能力划分为用户自主保护、系统审计保护、安全标记保护、结构化保护和访问验证保护5个安全等级,分别对应TCSEC标准的C1~B3等级。为了与国际通用安全评价标准接轨,国家质量技术监督局于2001年3月又正式颁布了《信息技术—安全技术—信息技术安全性评估准则》国家推荐标准GB/T 18336—2001,推荐标准完全等同于国际标准ISO/IEC 15408,即《信息技术安全评价公共标准》CC第二版。
推荐标准GB/T 18336—2001 由3 部分组成,第1 部分是《简介和一般模型》GB/T 18336.1,第2 部分是《安全功能要求》GB/T 18336.2,第3 部分是《安全保证要求》GB/T 18336.3,分别对应国际标准化组织和国际电工委员会国际标准ISO/IEC 15408-1、ISO/IEC 15408-2 和ISO/IEC 15408-3。《信息技术安全评价公共标准》
试读结束[说明:试读内容隐藏了图片]