要實現信息化,就必須重視信息網絡安全。信息網絡安全絕不僅是IT行業的問題,而是一個社會問題,是一個包括多學科的系統安全工程問題,并直接關系到國家安全。因此,知名安全專家沈昌祥院士呼吁,要像重視兩彈一星那樣去重視信息安全。通信網絡作為信息傳遞的一種主要載體,其安全性是信息安全中關鍵問題之一。
通信網絡安全含義與分層
為明確通信網絡安全含義,必須首先定義信息安全。信息安全定義如下:信息安全通常是指信息在采集、傳遞、存儲和應用等過程中的完整性、機密性、可用性、可控性和不可否認性。
為實現上述信息安全,需要:
·建立信息安全管理機制,制定信息安全策略;
·制定信息安全測評標準來評估和劃分安全等級;
·使用安全管理、產品和網絡來保障采集、傳遞、存儲和應用時的機密性、完整性、可用性、可控行以及不可否認性;
·應用檢測機制來獲悉當前安全狀態;
·通過故障和災難恢復機制來解決出現的問題。
一般認為,信息網絡安全是指信息在利用網絡提供的服務進行傳遞的過程中,通信網絡自身(即承載網和業務網)的可靠性、生存性;網絡服務的可用性、可控性;信息傳遞過程中信息的完整性、機密性和不可否認性。(本文中所指通信網絡安全不涉及通信內容是否違反中華人民共和國電信條例第五十七條所規定的內容。)
通信網絡安全通常包括承載網與業務網安全,網絡服務安全以及信息傳遞安全。通信網絡安全不涉及意識形態安全。
·承載網與業務網安全包括網絡可靠性與生存性。網絡可靠性與生存性依靠環境安全、物理安全、節點安全、鏈路安全、拓撲安全、系統安全等方面來保障。這里承載網與業務網是擁有自己節點、鏈路、拓撲和控制的網絡,例如傳輸網、互聯網、ATM網、幀中繼網、DDN網、X.25網、電話網、移動通信網、支撐網等電信網絡。
·網絡服務安全包括服務可用性與服務可控性。服務可用性與承載網和業務網可靠性及維護能力等相關。服務可控性依靠服務接入安全,以及服務防否認、服務防攻擊等方面來保障。服務可以是網絡提供的DDN專線、ATM專線、話音業務、VPN業務、INterNet業務等。
·信息傳遞安全包括信息完整性、機密性和不可否認性。信息完整性可以依靠報文鑒別機制(例如哈希算法等)來保障;信息機密性可以依靠加密機制以及密鑰分發等來保障;信息不可否認性可以依靠數字簽名等技術保障。
·意識形態安全是指傳遞的信息不包含中華人民共和國電信條例第五十七條所規定內容。第五十七條規定不得利用電信網制作、復制、發布、傳播含有違反國家憲法、危害國家安全、泄露國家機密、顛覆國家政權、破壞國家統一、損害國家榮譽和利益、煽動民族仇恨和民族歧視、破壞安定團結等內容。
通信網絡安全關鍵技術
1.安全性分析評估
當前通信網絡功能越來越強大,相應的設備軟硬件越來越復雜。網絡自身的安全性依賴設備安全性及網絡管理。目前網絡上運行著大量國外引進設備,即使是國產設備也裝載大量進口芯片及軟件,無法得知是否存在安全隱患。由于軟件產品的特殊性,軟件產品的安全性很難定量衡量。雖然我國已制定《計算機信息系統安全保護等級劃分準則》,但是對網絡產品以及網絡本身的安全性分析評估仍沒有依據。因此安全性分析與評估已成為通信網絡安全急需解決的關鍵技術。
2.網絡拓撲設計
網絡的拓撲設計是通過節點和鏈路的冗余與備份手段來提高通信網絡系統的可用性與生存性。
網絡冗余通常用于出現故障時隔離故障,以避免全網失效。網絡出現的故障可能是鏈路中斷、節點失效等。網絡冗余有多種實現方式。例如在傳輸網上通常采用環形結構,當出現節點失效或者鏈路中斷時,SDH設備會在50 ms之內倒換,繞開失效節點或者中斷的鏈路,保障通信服務的可用性。在互聯網上,通常采用網絡設備雙歸屬連接,出現節點失效或者鏈路失效時,動態路由協議會重新計算路由,在幾十秒時間內恢復網絡連通性。電話網在鏈路層依賴傳輸網的故障恢復,當節點出現故障時同樣采用多路由機制繞開故障點。
網絡備份通常用于網絡的防毀抗災以及應急通信。當出現災難或者重大事故時可以迅速啟用備份設備、鏈路、網管中心乃至備份網絡。網絡備份通常代價較高,出于性價比考慮一般情況下運營商很難承受。通常在移動通信網中實現較多,如利用應急通信車架設臨時基站,再使用微波等手段將臨時基站連接到移動電話網。在911事件發生以后,美國空前重視網絡防毀抗災。紛紛考慮建設備份數據中心以及備份網管中心。備份網絡的架構、備份中心的數據同步、組織以及切換仍有待研究。
3.網絡故障檢測、保護倒換與故障恢復
(1)故障檢測
故障檢測是指網絡出現故障時,網絡運營者應當能通過故障檢測機制及時獲悉。傳統電信網(如傳輸網)定義了比較豐富的開銷字節,來及時獲悉網絡問題,例如誤碼或鏈路中斷。因此傳輸網能夠做到50 ms內將中斷的鏈路倒換到備份鏈路。ATM網絡中同樣設計了操作、管理和維護(OAM)信元,能夠及時獲悉發送鏈路或接收鏈路中斷的情況。IP網絡故障檢測機制比較缺乏。例如以太網只能通過物理層信號得知接收鏈路連通性,或者由高層(例如IP層)通過因特網控制消息協議(ICMP)來檢查網絡層連通性。因此IP網以及互聯網的故障檢測機制是繼續研究的關鍵技術。
(2)保護倒換
保護倒換源自傳輸網,功能是當傳輸網節點或者鏈路出現故障時,故障路徑上的流量能夠切換到事先指定的備用路徑上,從而不影響業務運行。傳輸網絡有成熟的保護倒換機制,能夠在50 ms內完成保護倒換。IP網上的保護倒換機制一般通過路由協議重新計算路徑完成,需要較長時間,通常是10 s量級。當然通過鏈路層負荷分擔或者IP層多路徑也可以做到不影響業務。當前多協議標記交換(MPLS)的快速重路由以及彈性分組環(RPR)的保護倒換機制也正向50 ms指標靠近。
(3)故障恢復
故障恢復是指節點或者鏈路發生故障后經過一定時間或采取一定措施后恢復提供服務。通常故障恢復需要人工干預。例如接口板卡的更換、電纜的重新連接、設備的重新啟動、軟件重新運行等。也有少量故障會因時間或者隨引發故障原因的消除而消除。例如當擁塞引起設備癱瘓時,如果限制接入業務,性能較好的設備可能能夠恢復正常工作。
(1)信息加密
信息的機密性可以用傳統的加密方式完成。最早的加密標準是美國的DES(Data ENcryptIoN StaNDarD),但DES最初設計的56位密鑰長度對于現在的運算能力來說已不難攻破,后來出現了三重DES算法加強了加密的強度。DES算法是對稱加密算法,加密密鑰也同時是解密密鑰。與之相對有一些不對稱的加密與解密算法,這些算法中加密與解密采用了不同的密鑰,一個密鑰專門用于加密,這個密鑰可以讓別人得到并用它對數據進行加密,而只有解密密鑰持有者可以用解密密鑰解開密文,并把它恢復成明文,這個加密體系稱為公開密鑰法。這個加密體系加密算法中最常用的是RSA算法與橢圓曲線密碼算法,除此之外還有背包算法、RabIN密碼算法、ElGamal密碼算法、McElIece密碼算法、LUC密碼算法。
對稱加密算法與公開密鑰算法是不同的兩種密碼體制,分別適于解決不同的問題。對稱密碼算法適合加密數據,它加密與解密速度極快并且對選擇密文攻擊不敏感。公開密鑰密碼可以做對稱密碼所不能做的事情,最擅長密鑰分配和身份認證等對用戶、密鑰進行管理的工作。這部分內容將在后文中涉及到。
在實際應用中,要進行保密通信的雙方,先用公開密鑰法交換彼此的加密密鑰,得到這個加密密鑰后,通信雙方用對稱加密法把信息加密后進行通信。
(2)信息的鑒別與簽名
對數據加密可以保證信息不受到竊聽,使用報文鑒別可以保證數據完整性,為保證數據的不可否認性則可以采用數字簽名。報文鑒別的目的是:接收方保證這個報文沒有被變動過。如果攻擊者修改了報文卻不知如何修改鑒別碼,接收方收到報文后計算的鑒別碼與收到的鑒別碼不同,于是可以判定報文的內容受到破壞。
用來生成鑒別碼的算法很多,實際應用中大多采用的是單向散列函數。單向散列函數接受可變長報文輸入,并產生固定長度的標簽作為輸出。由于單向散列函數的運算過程是不可逆的,好的散列算法輸入不同報文生成相同標簽的概率非常小,這使得篡改過的報文不被發現的可能性微乎其微。目前最常用的單向散列算法有MD5和SHA-1。
單向散列生成固定長度的輸出稱為報文的摘要。報文的摘要就是要進行鑒別的內容,為了保證摘要的內容不可讀取,應將報文的內容進行加密。加密時可采用公開密鑰法。公開密鑰法有兩個優點:它不但可以對摘要進行加密,使報文可以進行鑒別,同時也提供了數字簽名;而且采用公開密鑰法不需要向通信各方用保密的方式傳送密鑰。
公開密鑰法所采用的密鑰長度可到1 024位,所以加密后的密文很難進行破解。公開密鑰法的加密密鑰持有者,用私有密鑰對報文的摘要進行加密,報文的接收者收到報文后自己根據收到的報文計算出報文的摘要,再用公開密鑰把發送者加密的摘要解密,如果兩個結果一致就可以斷定報文沒有被第三方進行了篡改。
在這一過程中,加密者用私有密鑰對摘要進行加密,就是對報文進行數字簽名。從數學上可以證明,私有的加密密鑰只可以被其公開密鑰解密,只要可以通過公開密鑰把加密的內容無誤地恢復成明文,加密者就不可否認他曾對此報文進行簽名。
(3)密鑰的管理
在傳統的對稱加密方法中通信雙方加密解密用一把密鑰,如果通信雙方相隔很遠,密鑰的安全傳送會成為一個很棘手的問題。而公開密鑰法的出現可以很好地解決這個問題,公開密鑰法解密的密鑰是公開的,不需要用任何保密手段進行傳送,通信的一方得到公開密鑰對報文進行加密,報文只有私鑰的持有者可以解開。但公開密鑰算法加密的速度遠比不上對稱加密算法,因此實際應用中,常用公開密鑰法在要進行保密通信雙方間傳遞共享密鑰,然后用對稱加密法進行數據的加密。公開密鑰法另一個用途就是上文中提到的數字簽名。由于公開密鑰法有如此強大的功能,對公開密鑰進行管理就成為現代信息安全的一個重要課題。
公開密鑰的出現,對于信息安全的威脅變成了這樣:當一個人聲稱他是A并提供了他的公開密鑰,那么他真的就是A嗎?目前采用的方法是通過第三方機構即認證中心(CA)對公開密鑰進行認證。
5.互聯網安全技術
(1)網絡管理
網管系統包括配置管理、故障管理、性能管理、安全管理和計費管理這5大部分,是維護網絡可靠性和服務可用性可靠性的重要手段。通過強大的網絡管理,可以有效地增強網絡的健壯性。有這樣一種說法:網絡安全三分技術七分管理,該說法即使過于粗略也足見管理的重要性。傳統的電信網網管能力較強,基本上做到了網元層次和網絡層次的管理。但還沒有實現服務管理(SM:ServIce MaNagemeNt)和商業管理(BM:BusINess MaNagemeNt)。同時傳統電信網結構上采用外置式管理網,實現“以網管網”(以管理網管理運行網)的模式。互聯網基本只能實現網元層的管理。相對來說網管能力較弱。
(2)接入控制
網絡服務可控的網絡必須對用戶接入進行控制。傳統電話網終端無智能,網絡只區分接入端口。在互聯網,由于終端具有智能性,IP地址可以在一定范圍內隨意改變。因此互聯網對接入控制應當加以控制。
(3)訪問控制
訪問控制是保證網絡安全的重要措施。訪問控制可以使用防火墻在一定程度上得到實現。互聯網國際出入口、與國內其他運營單位的互聯點和企業網絡的互聯點,以及接入互聯網的企業網絡等網絡邊緣,要設置防火墻作為網絡邊緣的安全屏障,對網絡的訪問進行有效控制,其作用為:
·防止境外非法人員通過互聯網進行惡意攻擊或非法信息流入。
·減少互聯網國際互聯、內部網連接互聯網的出口點。應確保組織內部網通過互聯網與外部進行信息交換時,都必須經過防火墻。內部網對互聯網名字的解析請求,必須送到防火墻的DNS,而不能繞過防火墻。
·提供合理有效的服務。互聯網服務主要分為三大類,即電子郵件、FTP以及WWW。而對于其他TCP/IP服務,則應禁止穿透防火墻與INterNet通信。
·沒有明確允許的信息流必須禁止通過防火墻。在進行需求分析以及防火墻設計時,必須遵循從小到大原則,即需要什么服務方可打開什么服務。然后,根據具體需要,逐步允許指定的信息流通過。
·對接入互聯網的組織內部網的外部用戶進行隔離,防止進入內部網。如果組織建立自己的互聯網站點并允許外部用戶訪問,應將提供給外部用戶訪問的服務器放在防火墻外。絕對禁止外部互聯網用戶穿透防火墻訪問組織內部網。利用防火墻提供的功能屏蔽內部網細節,阻止外部用戶對內部資源的訪問請求。.進行完整的審計和日志,及時發現侵入者。
防火墻是一種被動防衛技術,由于它假設了網絡的邊界和服務,故防火墻對內部的非法訪問難以有效地控制;防火墻最適合于相對獨立的與外部網絡互聯途徑有限、網絡服務種類相對集中的單一網絡。因此,應清醒地認識到防火墻不是萬能的。
(4)物理/邏輯隔離
互聯網是一個全球性的巨大的計算機網絡體系,它把全球數萬個計算機網絡,數千萬臺主機連接起來,包含了難以計數的信息資源,向全世界提供信息服務,是開放范圍極大的網絡。互聯網的開放性使其在任何時間、任何地點都可能遭受入侵。因此,既要保證互聯網數據傳輸交換的暢通,又要求其具有較高的安全性。由于互聯網是一個基于TCP/IP協議簇的國際互聯網絡,使其在安全保密方面具有很大的脆弱性,在互聯網上對TCP/IP的攻擊能夠導致服務性能下降或中斷、數據泄露或篡改。
國家保密局2000年1月1日起頒布實施的《計算機信息系統國際聯網保密管理規定》第二章保密制度第六條規定:“涉及國家秘密的計算機信息系統,不得直接或間接地與國際互聯網或其他公共信息網絡相連接,必須實行物理隔離。”所謂物理隔離是指內部網不直接或間接地連接公共網。物理隔離的目的是保護路由器、工作站、網絡服務器等硬件實體和通信鏈路免受自然災害、人為破壞和搭線竊聽攻擊。只有使內部網和公共網物理隔離,才能真正保證國家重要部門的內部信息網絡不受來自互聯網的黑客攻擊。
對于物理隔離技術而言,要使其真正地發揮優勢,不僅要選擇適合的物理隔離產品,制定相應的安全解決方案,真正做到物理上的隔離以保證信息的機密性和完整性,還要實施完善的安全策略和管理措施,才能保證物理隔離產品和安全解決方案的實施真正發揮作用。
(5)網絡防攻擊
由于互聯網終端具有一定智能,并且提供多樣化服務,所以互聯網比較容易遭受攻擊。互聯網被攻擊主要分幾個層面,通常有控制層面的攻擊、消耗網絡資源的攻擊以及對關鍵應用服務器的攻擊。
控制層面的攻擊主要針對互聯網不區分UNI接口和NNI接口,路由信息和數據在相同通道傳輸。為防止惡意用戶試圖發布錯誤路由信息來干擾全網連通性,通常采用路由協議鑒權和認證的手段。
消耗網絡資源的攻擊主要采用病毒感染大量終端,致使大量無用信息在網絡上傳輸,消耗網絡帶寬資源以及CPU資源。可能使設備擁塞、控制信息無法傳遞甚至系統崩潰。消耗資源型的攻擊很難防止,必須采用有效的手段例如防火墻以及接入控制等措施防止消耗資源型的攻擊。
關鍵應用服務器的失效可能影響網絡業務提供。對關鍵應用服務器的防護應納入互聯網防攻擊的范圍,應采用有效手段防止對關鍵應用服務器的攻擊。
(6)網絡防病毒
一般意義上來說,防病毒屬計算機安全防護的范疇。病毒對網絡的影響有下面三方面:
·網絡設備和關鍵應用服務器受病毒感染,影響網絡業務正常開展。
·用戶設備受病毒感染,會濫用網絡資源。
·病毒在網絡上傳播消耗網絡資源。
例如域名服務器被病毒感染可能導致無法使用域名訪問互聯網;門戶網站被感染可能導致大量用戶無法使用網絡。用戶設備被感染可能發送大量垃圾郵件,占用系統資源。當前大量病毒通過網絡傳染,因此防病毒也是網絡安全關鍵技術。
(7)入侵檢測
安全不是一個穩定的狀態,不能一步到位。隨著技術的發展,任何先進的防攻擊手段都會過時,因此入侵檢測是互聯網安全重要組成部分。入侵檢測和網絡故障檢測一樣,需要及時迅速。及時的入侵檢測加上快速的故障恢復,能有效地提高互聯網安全性。
(8)業務控制
互聯網的不安全性很大程度上來源于互聯網業務的可控性較差。由于互聯網業務通常不計費或者費率較低,用戶容易自覺或者不自覺濫用網絡資源。由于大多互聯網業務很難追查來源,濫用服務的行為無法追查。又由于互聯網業務很難確認用戶身份,惡意用戶肆無忌憚,因此要提高互聯網安全性,必須加強業務可控性。
(9)防止垃圾郵件
垃圾郵件實際上是網絡業務被濫用的一種。雖然防止垃圾郵件也是網絡防攻擊和業務控制的一部分,但是由于該問題日益嚴重有必要將其作為網絡安全關鍵技術之一加以研究。
垃圾郵件實際上與騷擾電話沒有本質區別。區別在于打騷擾電話會被收費,而且會被追查到電話所有人;而發送垃圾郵件幾乎沒有費用,而且很難被追蹤,即使被追查到也很難處理。此外,用戶可能感染病毒后大量發送垃圾郵件,惡意發送與感染病毒無辜發送很難區別。
當前防止垃圾郵件沒有非常有效的技術,只能通過各運營商的合作,通過管理手段加以緩解。
雖然本文提出大量通信網絡安全的技術問題,但是網絡的安全問題的核心和瓶頸不是在于技術而是在于管理和投入。通信網絡安全問題不是一朝一夕就能夠完全解決的。目前解決網絡安全問題的大部分技術是存在的,但是如何把這些技術綜合起來,還存在很多問題。解決通信網絡安全問題的難度很大,需要繼續進行理論上的研究和在試驗環境下進行實際測試來驗證,才能在一定程度上解決網絡的安全問題。P> 互聯網是一個全球性的巨大的計算機網絡體系,它把全球數萬個計算機網絡,數千萬臺主機連接起來,包含了難以計數的信息資源,向全世界提供信息服務,是開放范圍極大的網絡。互聯網的開放性使其在任何時間、任何地點都可能遭受入侵。因此,既要保證互聯網數據傳輸交換的暢通,又要求其具有較高的安全性。由于互聯網是一個基于TCP/IP協議簇的國際互聯網絡,使其在安全保密方面具有很大的脆弱性,在互聯網上對TCP/IP的攻擊能夠導致服務性能下降或中斷、數據泄露或篡改。
