---- 近几年来,Internet技术日趋成熟,已经开始了从以提供和保证网络联通性为主要目标的第一代Internet技术向以提供网络数据信息服务为特征的第二代Internet技术的过渡。与此同时,数以万计的商业公司、政府机构在多年的犹豫、观望之后,意识到采用Internet技术并使企业数据通信网络成为Internet的延伸已成为发展趋势。这使得企业数据网络正迅速地从以封闭型的专线、专网为特征的第二代技术转向以Internet互联技术为基础的第三代企业信息网络。所有这些,都促使了计算机网络互联技术迅速的大规模使用。
----众所周知,作为全球使用范围最大的信息网,Internet自身协议的开放性极大地方便了各种计算机连网,拓宽了共享资源。但是,由于在早期网络协议设计上对安全问题的忽视,以及在使用和管理上的无政府状态,逐渐使Internet自身的安全受到严重威胁,与它有关的安全事故屡有发生。对网络安全的威胁主要表现在:非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等方面。这就要求我们对与Internet互连所带来的安全性问题予以足够重视。
防火墙
----“防火墙”是近年发展起来的一种重要安全技术,其特征是通过在网络边界上建立相应的网络通信监控系统,达到保障网络安全的目的。防火墙型安全保障技术假设被保护网络具有明确定义的边界和服务,并且网络安全的威胁仅来自外部网络,进而通过监测、限制、更改跨越“火墙”的数据流,通过尽可能地对外部网络屏蔽有关被保护网络的信息、结构,实现对网络的安全保护。
----“防火墙”技术是通过对网络作拓扑结构和服务类型上的隔离来加强网络安全的一种手段。它所保护的对象是网络中有明确闭合边界的一个网块。它的防范对象是来自被保护网块外部的对网络安全的威胁。所谓“防火墙”则是综合采用适当技术在被保护网络周边建立的分隔被保护网络与外部网络的系统。可见,防火墙技术最适合于在企业专网中使用,特别是在企业专网与公共网络互连时使用。
----建立“防火墙”是在对网络的服务功能和拓扑结构仔细分析的基础上,在被保护网络周边通过专用软件、硬件及管理措施的综合,对跨越网络边界和信息提供监测、控制甚至修改的手段。实现防火墙所用的主要技术有数据包过滤、应用网关(Application Gateway)和代理服务器(Proxy Server)等。在此基础上合理的网络拓扑结构及有关技术(在位置和配置上)的适度使用也是保证防火墙有效使用的重要因素。
加密型网络安全技术
----通常网络系统安全保障的实现方法可以分为两大类:以防火墙技术为代表的被动防卫型和建立在数据加密、用户授权确认机制上的开放型网络安全保障系统。
----以数据加密和用户确认为基础的开放型安全保障技术是普遍适用的,是对网络服务影响较小的一种途径,并可望成为网络安全问题的最终的一体化解决途径。这一类技术的特征是利用现代的数据加密技术来保护网络系统中包括用户数据在内的所有数据流。只有指定的用户或网络设备才能够解译加密数据,从而在不对网络环境作特殊要求的前提下从根本上解决网络安全的两大要求(网络服务的可用性和信息的完整性)。这类技术一般不需要特殊的网络拓扑结构的支持,因而实施代价主要体现在软件的开发和系统运行维护等方面。这类方法在数据传输过程中不对所经过的网络路径的安全程度作要求(因而不会受之影响),从而真正实现网络通信过程的端到端的安全保障。目前已经有了相当数量的以不同方法实施的这一类安全保障系统。但是由于大部分数据加密算法源于美国,并且受到美国出口管制法的限制而无法在以国际化为特征的 Internet网络上大规模使用,因而目前以这一途径实现的系统大多局限在应用软件层次。在网络层次上应用和实现的网络一般相对规模较小,限制了以此作为基础的全面的网络安全解决方案的产生。但预计在未来3~5年内,这一类型的网络安全保障系统有希望成为网络安全的主要实现方式。
----1. 分类
----数据加密技术可以分为三类,即对称型加密、不对称型加密和不可逆加密。
----对称型加密使用单个密钥对数据进行加密或解密,其特点是计算量小、加密效率高。但是此类算法在分布式系统上使用较为困难,主要是密钥管理困难,使用成本较高,保安性能也不易保证。这类算法的代表是在计算机专网系统中广泛使用的DES(Digital Encryption Standard)算法。
----不对称型加密算法也称公用密钥算法,其特点是有二个密钥(即公用密钥和私有密钥),只有二者搭配使用才能完成加密和解密的全过程。由于不对称算法拥有两个密钥,它特别适用于分布式系统中的数据加密,在Internet中得到了广泛应用。其中公用密钥在网上公布,为数据源对数据加密使用,而用于解密的相应私有密钥则由数据的收信方妥善保管。
----不对称加密的另一用法称为“数字签名(Digital signature)”,即数据源使用其密钥对数据的校验和(Check Sum)或其他与数据内容有关的变量进行加密,而数据接收方则用相应的公用密钥解读“数字签名”,并将解读结果用于对数据完整性的检验。在网络系统中得到应用的不对称加密算法有RSA算法和美国国家标准局提出的DSA算法(Digital Signature Algorithm)。不对称加密法在分布式系统中应用时需注意的问题是如何管理和确认公用密钥的合法性。
----不可逆加密算法的特征是加密过程不需要密钥,并且经过加密的数据无法被解密,只有同样的输入数据经过同样的不可逆加密算法才能得到相同的加密数据。不可逆加密算法不存在密钥保管和分发问题,适合在分布式网络系统上使用,但是其加密计算工作量相当可观,所以通常用于数据量有限的情形下的加密,如计算机系统中的口令就是利用不可逆算法加密的。近来随着计算机系统性能的不断改善,不可逆加密的应用逐渐增加。在计算机网络中应用较多的有RSA公司发明的MD5算法和由美国国家标准局建议的可靠不可逆加密标准(SHS:Secure Hash Standard)。
----2. 应用
----加密技术用在网络安全方面通常有两种形式,即面向网络或面向应用服务。
----前者通常工作在网络层或传输层,使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息,从而保证网络的连通性和可用性不受损害。在网络层上实现的加密技术对于网络应用层的用户通常是透明的。此外,通过适当的密钥管理机制,使用这一方法还可以在公用的互连网络上建立虚拟专用网络,并保障虚拟专用网上信息的安全性。SKIP协议即是近来IETF在这一方面努力的结果。
----面向网络应用服务的加密技术,则是目前较为流行的加密技术的使用方法,例如使用Kerberos服务的Telnet、NFS、Rlogin等,以及用作电子邮件加密的PEM(Privacy Enhanced Mail)和PGP(Pretty Good Privacy)。这一类加密技术的优点在于实现相对较为简单,不需要对电子信息(数据包)所经过的网络的安全性能提出特殊要求,对电子邮件数据实现了端到端的安全保障。
漏洞扫描技术
----漏洞扫描是自动检测远端或本地主机安全脆弱点的技术。它查询TCP/IP端口,并纪录目标的响应,收集关于某些特定项目的有用信息,如正在进行的服务,拥有这些服务的用户,是否支持匿名登录,是否有某些网络服务需要鉴别等。这项技术的具体实现就是安全扫描程序。
----早期的扫描程序是专门为Unix系统编写的,随后情况就发生了变化。现在很多操作系统都支持TCP/IP,因此,几乎每一种平台上都出现了扫描程序。扫描程序对提高Internet安全发挥了很大的作用。
----在任何一个现有的平台上都有几百个熟知的安全脆弱点。人工测试单台主机的这些脆弱点要花几天的时间。在这段时间里,必须不断进行获取、编译或运行代码的工作。这个过程需要重复几百次,既慢又费力且容易出错。而所有这些努力,仅仅是完成了对单台主机的检测。更糟糕的是,在完成一台主机的检测后,留下了一大堆没有统一格式的数据。在人工检测后,又不得不花几天的时间来分析这些变化的数据。而扫描程序可在在很短的时间内就解决这些问题。扫描程序开发者利用可得到的常用攻击方法,并把它们集成到整个扫描中。输出的结果格式统一,容易参考和分析。
----从上述事实可以看出:扫描程序是一个强大的工具,它可以用来为审计收集初步的数据。如同一杆霰弹猎枪,它可以快速而无痛苦地在大范围内发现已知的脆弱点。
----在扫描程序的发展中,已有的扫描程序大约有几十种,有的快捷小巧,能够很好地实现某个单一功能;有的功能完善,界面友好,曾经名噪一时。至今,仍然被广泛使用的扫描程序有NSS、Strobe、SATAN、Ballista、Jakal、 IdentTCPscan、Ogre、WebTrends Security Scanner、CONNECT、FSPScan、XSCAN、 ISS。
入侵检测技术
----人们发现只从防御的角度构造安全系统是不够的。因此,人们开始寻求其他途径来补充保护网络的安全,系统脆弱性评估及入侵检测的研究课题便应运而生。入侵检测可被定义为对计算机和网络资源上的恶意使用行为进行识别和响应的处理过程。它不仅检测来自外部的入侵行为,同时也指内部用户的未授权活动。入侵检测应用了以攻为守的策略,它所提供的数据不仅有可能用来发现合法用户滥用特权,还有可能在一定程度上提供追究入侵者法律责
