網絡信息安全
第一章
1.1 網絡安全的概念
1.2 主要的網絡安全威脅
1.3 TCP/IP協議簇的安全問題
1.4 OSI安全體系結構
1.5 網絡安全服務及其實現層次
1.6 TCP/IP協議簇的安全架構
1.7 PPDR安全模型
1.8 可信計算機系統評價準則TCSEC
1.9 信息系統安全保護等級劃分準則
1.1 網絡安全的概念
信息是重要的戰略資源
危害信息安全的時間不斷出現
信息安全 <====> 國家安全和社會穩定,必須確保我國的信息安全
信息 <====> 它的載體
信息安全 <====> 信息系統安全
信息系統安全(信息安全)四個層面
- 硬件安全:信息系統安全的首要問題,包括硬件的穩定性、可靠性和可用性
- 軟件安全:如保護信息系統不被非法侵入,系統軟件和應用軟件不被非法複製、篡改,不受惡意軟件侵害等
- 數據安全(傳統的信息安全):採取措施確保數據免受未授權的泄露、篡改,不受惡意軟件侵害等
- 安全管理:運行時突發事件的安全處理等,包括建立安全管理制度,開展安全審計和風險分析等
信息安全四個層面的關係
- 系統硬件和操作系統的安全 <====> 信息安全基礎
- 密碼學、網絡安全 <====> 信息安全的核心和關鍵
- 信息系統安全 <====> 信息安全的目標
確保信息安全是一項系統工程,必須從整體上採取措施,確保信息在獲取、存儲、傳輸和處理各個環節中的安全。
信息安全的概念和所涉及學科
信息安全概念:研究信息獲取、存儲、傳輸以及處理領域的信息安全保障問題的一門新興學科,是防止信息被非授權使用、誤用、篡改和拒絕使用而採取的措施。
信息安全是綜合數學(的多個分支)、物理、生物、量子力學、電子、通信、計算機、系統工程、語言學、統計學、心理學(蜜罐)、法律、管理、教育等學科演繹而成的交叉學科。
研究網絡安全的重要性
- 網絡作爲信息的主要收集、存儲、分配、傳輸和應用的載體,其安全對整個信息安全起着至關重要甚至是決定性的作用。
- 基於TCP/IP協議簇實現的Internet的體系結構和通信協議,有各種各樣的安全漏洞,帶來的安全事件層出不窮。
網絡安全的概念
網絡安全概念:網絡系統的硬件、軟件及系統中的數據受到保護,不因偶然的或者惡意的原因而遭到破壞、篡改、泄露,系統連續可靠正常地運行,網絡服務不被中斷。
- 計算機自身的安全
- 互聯的安全(含通信設備、通信鏈路、網絡協議)
- 各種網絡應用和服務的安全
1.2 主要的網絡安全威脅
- 僞裝或假冒
- 否認或抵賴
- 破壞完整性
- 破壞機密性
- 信息量分析
- 重放
- 重定向
- 拒絕服務
- 惡意軟件
- 社會工程(Social Engineering)
1.3 TCP/IP協議簇的安全問題
- 互聯網沒有中心管理機構,任何一臺主機或各種局域網遵從TCP/IP協議和IP地址分配規則,就能連入互聯網。
- TCP/IP最初在可信任環境中開發,基本未考慮安全性。
- 因爲先天不足和向後兼容原因,後來的改進仍未徹底解決安全問題。
TCP/IP協議簇的架構和協議相關性
1.3.1 鏈路層協議的安全隱患
- ARP協議的安全隱患
ARP緩存可能被毒害——ARP欺騙
- 以太網協議CSMA/CD的安全隱患
共享方式傳送數據——網卡混雜模式嗅探
1.3.2 網絡層協議的安全隱患
IP協議的安全隱患
- 不能爲數據提供完整性、機密性
- 路由和分片機制——數據包內容易被篡改
- 對源IP地址不進行認證——IP欺騙攻擊
- 可以設置“源路由”選項——源路由欺騙攻擊
- “IP分片包”的威脅——分片掃描和拒絕服務攻擊
ICMP協議的安全隱患
- ICMP echo廣播響應包——拒絕服務攻擊
- 利用隧道技術封裝成ICMP包來建立隱藏通道/穿越防火牆
1.3.3 傳輸層協議的安全隱患
TCP協議的安全隱患
- 三次握手中源IP地址可以虛假——拒絕服務攻擊
- TCP中的序列號並不真正隨機——IP欺騙攻擊
- 可以定製所發送TCP包的標誌位——隱蔽掃描
UDP協議的安全隱患
- 無連接、不可靠的協議——拒絕服務攻擊
1.3.4 應用層協議的安全隱患
- DNS協議的安全隱患
DNS緩存可能被毒害——DNS欺騙、區域傳輸
- 路由協議的安全隱患
路由信息可以被篡改——修改網絡數據傳輸路徑
- Web協議的安全隱患
- 其他協議的安全隱患
1.4 OSI安全體系結構
1.4.1 安全服務
- 認證
用於認證實體身份:對等實體認證和數據源認證。
- 訪問控制
防止系統資源被非法使用的措施。
- 數據機密性
防止信息泄露的措施:連接機密性、無連接機密性、選擇字段機密性、通信業務流機密性。
- 數據完整性
防止非法篡改和破壞信息:帶恢復的連接完整性、無恢復的連接完整性、選擇字段的連接完整性、無連接完整性、選擇字段無連接完整性。
- 抗否認
針對對方否認的防範措施,用來證實發生過的操作:對發送方的抗否認和對接收方的抗否認。
1.4.2 安全機制
加密機制:藉助各種加密算法對數據進行加密,是各種安全服務的基礎;
數字簽名:發送方用自己私鑰簽名,接收方用發送方公鑰驗證簽名——數字簽名鑑別發送方;
訪問控制機制:根據訪問者的身份和有關信息,決定實體的訪問權限;
數據完整性機制:判斷信息在傳輸過程中是否被篡改過;
認證交換機制:用來實現對等實體的認證,如進行口令交換的一次性口令機制;
通信業務填充機制:通過填充冗餘的業務流量來防止攻擊者進行“流量分析” ;
路由選擇控制機制:防止不利的信息通過,如使用網絡層防火牆;
公證機制:由第三方使用數字簽名爲通信方簽發數字證書來實現。
1.5 網絡安全服務及其實現層次
1.5.1 機密性
阻止未經授權的用戶非法獲取保密信息:
- 存儲的機密性:數據在系統中存儲的過程中不被攻擊者獲得其內容;
- 傳輸的機密性:數據在網絡中傳輸的過程中不被第三方獲得其內容。
主要方法:物理保密、防竊聽、防輻射、信息加密、通信業務填充機制等。
1.5.2 完整性
在未經許可的情況下,保證數據不會被他人刪除或修改(至少能發現被修改過)。
分爲存儲的完整性和傳輸的完整性:數據在存儲和傳輸過程中不被偶然或故意地插入、刪除、修改、僞造、亂序和重放。
主要方法:數據校驗和、數字指紋、消息校驗碼、防重放機制等。
1.5.3 身份認證
用戶要向系統證明他就是他所聲稱的那個人,目的是爲了防止非法用戶訪問系統和網絡資源。
它是確保合法用戶使用系統的第一道關卡。
主要方法:口令、數字證書、基於生物特徵以及通過可信第三方進行認證等。
1.5.4 訪問控制
限制主體對訪問客體的訪問權限,從而使計算機系統在合法範圍內使用。
建立在身份認證基礎上,通過限制對關鍵資源的訪問,防止非法用戶的侵入或因爲合法用戶的不慎操作而造成的破壞。
主要方法:
- 宏觀上:自主訪問控制和強制訪問控制等;
- 具體實現上:訪問控制矩陣和訪問控制表等。
1.5.5 不可否認
發送方/接收方不能否認它曾經在某時發送/接收過的數據。即通信方必須對自己行爲負責,而不能也無法事後否認,其他人也無法假冒通信方成功。
- 發送方的不可否認
- 接收方的不可否認
- 時間上不可否認
主要方法:數字簽名、數字簽名收條和時間戳等。
1.5.6 可用性
我們要求計算機或網絡能夠在我們期望它以我們所期望的方式運行的時候運行。
- 物理上的可用性
- 防止拒絕服務來實現可用性。
主要方法:
- 保證設備的正常使用不受斷電、地震、火災、水災等影響;
- 對網絡阻塞、網絡蠕蟲、黑客攻擊等導致系統崩潰或帶寬過度損耗的情況採取措施。
1.6 TCP/IP協議簇的安全架構
鏈路層安全協議
負責提供通過通信鏈路連接的主機或路由器之間的安全保證。
優點:效率高和容易實施,也被經常使用。
缺點:不通用,擴展性不強,在Internet環境中並不完全適用。
網絡層安全協議
主要解決網絡層通信的安全問題,IPSec是目前最主要的網絡層安全協議。
優點:對上層應用透明性好,即安全服務的提供不需要應用程序做任何改動,並與物理網絡無關。
缺點:很難實現不可否認性,不能對來自同一主機但不同進程的數據包分別施加安全保證,可能造成系統性能下降。
傳輸層安全協議
主要實現傳輸層的安全通信,只可實現端到端(進程到進程)的加密。
優點:提供基於進程到進程的安全服務,並可利用公鑰加密機制實現通信的端實體間的相互認證。
缺點:修改應用程序才能增加相應的安全性,無法根本上解決身份認證和不可否認問題。基於UDP的通信很難在傳輸層實現安全性。
應用層安全協議
應用層的安全措施必須在端系統及主機上實施。
優點:可以給不同應用提供針對性更強的安全功能,能最靈活地處理單個文件安全性:身份認證、訪問控制、不可否認、機密性、完整性。
缺點:需要對操作系統內核做較大調整,而且針對每個應用要單獨設計,沒有統一的解決方案。
不同層次安全協議的比較
- 單獨一個層次無法提供全部的網絡安全服務,從而形成由各層安全協議構成的TCP/IP的安全架構。
- 安全協議實現的層次越低越具有通用性,能夠提供整個數據包安全,且該協議運行性能就越好,對用戶的影響就越小。
- 高層的安全協議能針對用戶和應用提供不同級別更靈活的安全功能。
1.7 PPDR安全模型
動態的自適應網絡安全模型:可量化、可由數學證明、且基於時間特性。
在整體安全策略的指導下,綜合運用防護工具的同時,利用檢測工具評估系統的安全狀態,將系統調整爲“最安全”和“風險最低” 。
PPDR模型的四個環節
- Policy(安全策略)
PPDR安全模型的核心,描述系統哪些資源需要保護,如何實現保護。
- Protection(防護)
加密機制、數字簽名機制、訪問控制機制、認證機制、信息隱藏、防火牆技術等。
- Detection(檢測)
入侵檢測、系統脆弱性機制、數據完整性機制、攻擊性檢測等。
- Response(響應)
應急策略、應急機制、應急手段、入侵過程分析、安全狀態評估等。
- 沒有一項防護技術完美,檢測和響應是最基本的,因此防護不是必須的,檢測和響應是必須的。
- 防護、檢測和響應組成了一個完整的、動態的安全循環,在安全策略指導下保證信息系統的安全。
PPDR模型的時間特性
- 攻擊時間Pt
黑客從開始入侵到侵入系統的時間(對系統是保護時間)。高水平入侵和安全薄弱系統使Pt縮短。
- 檢測時間Dt
黑客發動入侵到系統能夠檢測到入侵行爲所花費的時間。適當的防護措施可以縮短Dt。
- 響應時間Rt
從檢測到系統漏洞或監控到非法攻擊到系統做出響應(如切換、報警、跟蹤、反擊等)的時間。
- 系統暴露時間Et=Dt+Rt-Pt
系統處於不安全狀態的時間。
系統的檢測時間和響應時間越長,或系統的保護時間越短,則系統暴露時間越長,就越不安全。
如果Et小於等於0,那麼基於PPDR模型,認爲系統安全。要達到安全的目標需要儘可能增大保護時間,儘量減少檢測時間和響應時間。
補充:PPDR模型的侷限性
1.8 可信計算機系統評價準則TCSEC
安全性級別劃分的原則(重點)
根據安全性相近原則,安全級別分爲如下四類:
- D級,什麼保護要求都沒有;
- C1、C2、B1級,目前流行的商用操作系統;
- B2級,要求對基礎模型的安全性給出精確證明,TCB有清楚的技術規範說明;
- B3和A1級,要求更精確證明TCB和形式化設計。
其中B1和B2的安全強度有明顯區別,B2和B3之間也有顯著差別。
D級——最低保護
指未加任何實際安全措施,整個系統都不可信任。
- D系統只爲文件和用戶提供安全保護,操作系統很容易受到損害。
- 任何人不需要任何賬戶就可進入系統,不受任何限制就可訪問他人文件。
- D系統最普遍形式是本地操作系統,或一個完全沒有保護的網絡。
C級——被動的自主訪問策略
C1級:具有一定自主訪問控制(DAC)機制,通過將用戶和數據分開達到安全目的。
- 它要求系統硬件有一定的安全保護。
- 用戶使用前必須登錄系統,允許管理員爲一些程序和數據設定訪問權限。
- C1系統不能控制進入系統的用戶訪問級別,而且所有文檔具有相同的機密性
C2級:又稱爲訪問控制保護,具有更細分每個用戶的DAC機制。
- 引入審計機制,並對審計使用身份認證。
- 連接到網絡上時,C2系統的用戶對各自行爲負責。
- C2系統進一步限制用戶執行某些命令或訪問某些文件的權限,而且還對用戶分組進行身份認證。
B級——被動的強制訪問策略
B1級:滿足C2級的所有要求,對象還必須在強制訪問控制之下,不允許擁有者更改它們的權限。
B2級:TCB基於明確定義的形式化模型,系統中所有主體和客體實施MAC。要求系統中的所有對象加標籤,具有可信通路機制、系統結構化設計、最小特權管理及對隱藏通道的分析處理。
B3級:TCB要能對系統中所有主體和客體的訪問進行控制,不會被非法篡改
A級——形式化證明的安全
類似於B3級,包括一個嚴格的設計、控制和驗證過程。
- 設計必須是從數學角度經過驗證的。
- 特色在於形式化的頂層設計規格FTDS、形式化驗證FTDS與形式化模型的一致性和由此帶來的更高的可信度。
補充:TCSEC的侷限性、可信計算機網絡安全說明
1.9 信息系統安全保護等級劃分準則
第一級:用戶自主保護級
對用戶實施自主訪問控制,保護用戶信息免受破壞。
第二級:系統審計保護級
實施更細的自主訪問控制,創建訪問的審計記錄,使用戶對自己行爲的合法性負責。
第三級:安全標記保護級
以訪問對象標記的安全級別限制訪問者的訪問權限。
第四級:結構化保護級
安全保護機制分爲關鍵和非關鍵部分,對關鍵部分直接控制訪問者存取訪問對象。將DAC和MAC擴展到所有主體和客體,且要考慮隱藏通道。
第五級:訪問驗證保護級
增設訪問驗證功能,TCB應滿足訪問監控器需求,訪問監控器本身要有抗篡改性,且必須足夠小。
補充
信息安全專業和網絡信息安全課程
信息安全的內涵和研究方向
信息安全研究者的分類、技術的兩面性
網絡信息安全的原則
黑客的分類、特點和舉例
TCP的三次握手相關
轉換和欺騙
數據包發送和接收的過程