详情
本书基于国家大力发展自主可控的安全战略需求,结合我国龙芯CPU自主计算技术和TCM国产可信计算技术,主要介绍自主可信计算的研究背景、相关技术和具体应用。
本书的龙芯自主可信计算及其应用在需要自主可信安全要求高的应用场合(如电子政务、航天航空、国防军事等)具有广阔的市场和应用前景。
龙芯中科
LOONGSON TECHNOLOGY
中国自主产权
芯片技术与应用丛书
龙芯自主可信计算及应用
龙芯中科技术有限公司 审校
人民邮电出版社
北京
图书在版编目(CIP)数据
龙芯自主可信计算及应用/乐德广著.--北京:人民邮电出版社,2018.12
(中国自主产权芯片技术与应用丛书)
ISBN 978-7-115-48216-7
Ⅰ.①龙… Ⅱ.①乐… Ⅲ.①微处理器—系统设计 Ⅳ.①TP332
中国版本图书馆CIP数据核字(2018)第058368号
◆著 乐德广
审校 龙芯中科技术有限公司
责任编辑 李永涛
责任印制 马振武
◆人民邮电出版社出版发行 北京市丰台区成寿寺路11号
邮编 100164 电子邮件 315@ptpress.com.cn
网址 http://www.ptpress.com.cn
固安县铭成印刷有限公司印刷
◆开本:787×1092 1/16
印张:15.25
字数:302千字 2018年12月第1版
印数:1-2000册 2018年12月河北第1次印刷
定价:69.00元
读者服务热线:(010)81055410 印装质量热线:(010)81055316
反盗版热线:(010)81055315
广告经营许可证:京东工商广登字20170147号
本书主要介绍龙芯自主可信计算的研究背景、相关技术和具体应用。其中,第1章从信息安全的基础出发分析可信计算与信息安全的关系。第2章针对可信计算的密码支撑技术,介绍在可信计算中用到的相关密码算法。第3章到第5章分别介绍可信计算的体系结构及可信度量和信任链关键技术。第6章从国家安全的角度,重点介绍基于龙芯CPU处理器的自主可控计算平台的设计,包含硬件系统和配套的软件系统。第7章重点介绍基于龙芯国产CPU处理器和TCM可信密码模块的多层次自主可信计算体系结构。第8章重点介绍基于龙芯自主可信计算平台的文件可信存储和软件可信运行的安全应用,包括文件数据的可信加密和可信度量,以及软件的安全漏洞可信检测,从而确保软件的可信运行。
本书介绍的龙芯自主可信计算及其应用,在需要自主可信安全要求高的应用场合(如电子政务、航天航空、国防军事等)具有广阔的市场和应用前景。本书适合从事相关专业的科研和工程技术人员阅读,也可作为计算机、通信、信息安全、密码学等专业的教学参考书。
INTRODUCTION
计算机网络信息系统在我国的政治、经济、军事、文化等领域得到了广泛和深度的应用。没有信息化就没有现代化,信息已成为个人、企业乃至国家最为重要的资源,成为国家实力的象征。与此同时,其安全问题也日益突出和重要。防范高强度计算机网络信息系统的攻击,对世界各国都是一个难题。没有网络安全就没有国家安全,因此自主可信的计算机网络信息安全事关国家安全和社会稳定。本书从国家大力发展自主可信的安全战略需求出发,结合我国龙芯CPU自主计算技术和TCM国产可信计算技术,介绍具有完全自主知识产权的龙芯自主可信计算平台及其应用,从可信的物理安全、数据安全和软件安全3方面提升信息安全,对我国信息系统的自主可信安全建设具有重要的参考价值。
本书主要介绍龙芯自主可信计算的研究背景、相关理论技术和具体应用,分为8章,大致内容介绍如下。
• 第1章:从信息安全的基础出发说明可信计算与信息安全的关系。
• 第2章:针对可信计算的密码支撑技术,分别从对称密码体制、非对称密码体制和哈希密码体制3方面介绍密码学的研究现状和发展趋势,并介绍在可信计算中用到的相关密码算法。
• 第3章:介绍可信计算的研究现状,包括可信计算的体系结构和主要技术,以及可信计算的相关组织。
• 第4章:重点介绍可信度量技术,包括可信度量的模型,可信度量机制,IMA、PRIMA和DynIMA可信度量技术。
• 第5章:重点介绍信任链技术,包括基于无干扰理论和组合安全理论的信任链传递模型、TCG信任链技术和TPCM信任链技术。
• 第6章:从国家安全的角度说明了自主可控计算的发展现状,重点介绍基于龙芯国产CPU处理器的自主可控计算平台的设计,包含硬件系统和配套的软件系统。
• 第7章:重点介绍基于龙芯国产CPU处理器和TCM可信密码模块的多层次自主可信计算体系结构,该自主可信计算体系结构具有积极防御和主动免疫的功能,可以从根本上对信息系统实施可信安全保护。
• 第8章:重点介绍基于龙芯自主可信计算平台的文件可信存储和软件可信运行的安全应用,包括文件数据的可信加密和可信度量,以及软件的安全漏洞可信检测,从而确保软件的可信运行。
本书将自主可信安全基础、理论技术和应用相结合,深入浅出地介绍我国的自主可信安全现阶段的发展成果,可供从事相关专业的科研和工程技术人员阅读,也可作为计算机、通信、信息安全、密码学等专业的教学参考书。此外,本书也是一本我国自主可信安全知识的普及读物。
本书的编写工作得到了常熟理工学院学科建设项目和江苏省产学研前瞻性联合研究项目(项目编号:BY2016050-01)的资助,也得到了龚声蓉、陈华才、孙海勇、王叔君、成聪、陈卓等很多学者和同事的帮助和支持,在此对他们表示衷心的感谢。
最后,感谢康梅芳、张春娣等家人和朋友对我工作的支持和生活的照顾,没有你们的努力和付出,我就无法顺利完成本书的编写。
自主安全和可信计算技术的发展日新月异,新的需求和应用不断出现,作者水平有限,书中难免会有不妥、疏漏和错误之处,恳请读者理解和批评指正。
乐德广
2018年1月于常熟
随着社会的发展,人们对信息的需求和依赖日益增强。信息已成为个人、企业,乃至国家最为重要的经济、政治和军事战略资源。信息的获取、处理和安全保障能力成为一个国家综合实力的象征。目前,信息系统中存在信息泄漏、信息篡改、非法信息渗透和假冒等许多不安全因素,给个人、企业和组织造成巨大的经济损失,甚至危害社会稳定和国家安全。因此,信息系统的安全性显得越发重要, 必须采取措施确保我国的信息安全。近年来,信息安全领域的发展十分迅速,取得了许多新的重要成果。信息安全理论与技术的内容十分广泛,这里主要介绍可信计算方面的研究和发展。本章首先从信息安全的定义、内容、缺陷、威胁和技术等方面进行概述;其次,基于OSI的ISO/IEC 7498-2标准,从安全服务和安全机制两方面介绍信息系统的安全体系结构;然后,对信息安全的保障、模型、层次模式、评估等方面进行研究;接着,介绍信息安全的相关标准和组织;最后,分析信息安全与可信计算的关系。
本章目标
了解信息安全的研究背景;明确信息安全的概念;了解信息安全所面临的威胁和攻击;了解信息安全的基本需求、目标和服务;掌握信息安全的解决方法。
信息安全是一门涉及计算机技术、网络技术、通信技术、密码技术、软件技术、应用数学、数论、信息论等多种科学的综合性学科。本节从信息安全的定义、包含的内容、存在的缺陷、面临的威胁及发展的技术5方面对信息安全进行概述。
随着计算机技术和网络通信技术应用的日益广泛,信息的数字化生存方式、空间、时间不断开拓,信息成为当今社会中不可或缺的基本要素。与此同时,信息所带来的安全问题日益突出,所面临的安全威胁日益严重,信息安全的内涵需要不断地延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为防御、检测、响应、恢复、控制、管理、评估等多方面的基础理论和实施技术。定义信息安全应考虑涵盖信息所涉及的全部内容,参照ISO国际标准化组织给出的计算机网络安全定义,认为信息安全是指为信息系统建立和采取的技术及管理的安全保护,即保护信息系统中的硬件、软件和数据信息资源,不因偶然或恶意的原因遭到破坏、更改、泄露,使信息系统连续可靠地正常运行,信息交换和共享服务正常有序不被中断。其中,信息系统是指由计算机及其相关和配套的设备、设施(包含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机交互系统。例如,互联网就是世界上最大的信息系统。典型的信息系统由硬件(包括计算机硬件和网络硬件)、系统软件(包括计算机系统软件和网络系统软件)和应用软件(包括由其处理、存储和传输的信息)3部分组成。信息安全的定义从信息的安全内容、安全缺陷和安全威胁等方面进行了高度概括。下面将对这些方面进行具体说明。
在信息系统中,信息既有存储于计算节点(包括个人计算机、服务器、交换机、路由器和网关等设备)上的信息资源,即静态信息,又有在计算节点中运行或在计算节点间传播的信息,即动态信息。从静态的观点看,信息安全主要是解决特定计算机设备的数据存储安全问题。如果今天输入到计算机中的数据,任何一段时间之后仍保留在那里,完好如初并没有被非法读取,那么一般称这台计算机具有一定的数据存储安全性。从动态的观点看,如果处理信息的软件运行的效果和用户所期望的一样,那么该软件具有一定的运行安全性,我们就可以判定这台计算机是可信任的,或者说它是安全的。安全问题是一个动态的过程,不能用僵硬和静止的观点去看待,不仅仅是计算机硬件存在形式的安全,还在于计算机软件特殊形式的安全特性。因为自然灾害和有运行故障或安全漏洞的软件同非法存取数据一样对计算机的安全性构成威胁。人为的有意或无意的操作、某种计算机病毒的发作和软件漏洞利用攻击、不可预知的系统故障和运行错误,都可能造成计算机中数据的泄漏或丢失。因此,信息安全的内容应包括物理安全、软件安全和数据安全3方面内容,如图1-1所示。
一、物理安全
物理安全又称为硬件安全,是针对物理介质中产生的损坏、破坏和丢失等安全问题,实施安全保护方案以确保物理介质自身的安全性,以及物理介质中存储和传输的信息安全性,包括设备质量保证和备份等。其中,物理安全问题包括自然环境变化(如温度、湿度等环境变化)和自然灾害(如水灾、火灾、雷电、地震等环境事故)、物理损坏(如硬盘损坏、设备使用寿命到期、人为破坏等)、设备故障(如停电、断电等)、设备缺陷(如噪音和电磁干扰、电磁泄漏等)。面对各种物理安全问题,一方面要提高物理硬件系统的可靠性和防护措施;另一方面要通过安全意识的提高,安全制度的完善和安全操作的提倡等方式使用户和管理维护人员在物理层中实现对信息的保护。例如,针对自然环境变化,加强对物理系统所在环境的安全保护,在温度、湿度、空气洁净度、腐蚀度、虫害、振动和冲击等方面要有具体的要求和严格的标准。位置环境的选择,要注意其外部环境安全性、地质可靠性、场地抗电磁干扰性,避开强振动源和强噪声源,并避免设在建筑物高层和用水设备的下层或隔壁。针对自然灾难,构建分布式冗余存储和路由进行区域保护。针对物理损坏,可采用RAID磁盘阵列备份。针对电磁干扰和泄露,采用辐射防护。针对停电断电,采用UPS应急恢复等。物理安全是信息安全的最基本保障,是整个信息安全系统不可缺少和忽视的组成部分。
二、软件安全
软件安全是针对软件本身可能存在的安全问题,实施安全保护方案以确保软件自身的安全性。软件安全是信息安全的关键。信息系统中的软件包括操作系统、应用软件和网络通信协议,因此软件安全问题主要归结为操作系统的安全问题、应用软件的安全问题和网络通信协议的安全问题。现在的主流操作系统,如Windows、UNIX、Linux和Android等都存在很多安全漏洞。操作系统的安全漏洞也是信息不安全的主要原因。操作系统的安全漏洞根本是由操作系统体系结构的缺陷所引起,操作系统的程序可以进行动态连接,驱动程序和系统服务也都可以用打补丁的方式进行动态升级。这种通过补丁改进与升级的操作系统很难从根本上杜绝安全漏洞。此外,操作系统长期运行的许多守护进程也通常成为攻击者利用的手段。
应用软件和操作系统一样由于安全漏洞的存在,运行时会出现非预期的行为,这种预期之外的程序行为轻则会损害程序的预期功能,重则会导致程序崩溃,使其不能正常运行。更为严重的情况下,与安全相关的软件安全漏洞可以被攻击者利用,使程序主机遭受入侵,以至于造成如用户账号密码等私密数据信息的泄露。
TCP/IP是使用最为广泛的网络通信协议,由于TCP/IP自身的开放性特点,在最初的设计中,没有针对信息在网络通信过程引起的安全问题进行详细分析,从而产生许多在安全方面的设计缺陷。而TCP/IP协议的设计缺陷又引起了许多安全问题,如在FTP文件传输中没有对数据进行加密通信,导致信息的泄露。IP地址盗用和欺骗导致信息的伪造。ICMP、TCP SYN Flood等DoS攻击导致信息的中断。
因此,软件的安全性是指信息系统随时可用,信息系统运行过程中不出现故障,如果遇意外故障能够尽早恢复并尽量减少损失,保证信息的可靠性。其次,信息系统的管理者对信息系统有足够的控制和管理能力保证信息的可控性。另外,操作系统、网络通信协议和应用程序能够互相连接,协调运行,保证信息的互操作性。最后,检测信息系统运行中的安全漏洞,保证信息的可信性。
三、数据安全
数据安全是指信息自身的二进制数据安全性,包括信息的来源、去向,内容的真实无误确保信息的鉴别性,信息不被非法篡改和伪造确保信息的完整性,信息不会被非法泄露和扩散确保信息的保密性。此外,信息的发送者和接收者无法否认自己所做过的操作行为而保证信息的不可否认性。
安全性是信息的一个基本属性。影响信息安全的因素很多。本小节从信息系统的本质缺陷、内在缺陷及外在缺陷3方面说明出现信息不安全的主要原因。
一、本质缺陷
基于TCP/IP协议的互联网是世界上最大的信息系统。TCP/IP协议的标准化和开放性,使得互联网允许各种形式的通信网络和终端加入到互联网成为互联网的一个分子,并相互之间自由交换和共享信息。这种开放性大大降低了互联网的可控性和可信性,使它面临着各种安全威胁。此外,随着开放对象的多种多样,互联网规模的日益庞大,使整个互联网的软硬件系统都变得非常复杂。面对复杂的网络环境,其软硬件的设计也不可能尽善尽美,导致各种硬件缺陷、软件漏洞、协议设计缺陷的出现,这些也给信息安全带来了威胁。因此,开放性是互联网的最大特色和优点,同时也是信息安全的本质缺陷。如图1-2所示,如何既要保持互联网的开放性和灵活性,又要保证其信息的安全性是网络信息安全的重要目标。
二、内在缺陷
互联网信息系统自身主要由硬件系统、软件系统和通信协议3个基础部件构成,这些部件自身存在着内在的缺陷。这些缺陷也给互联网信息系统带来了安全方面的威胁和问题。
(1)硬件缺陷。
互联网的网络硬件系统自身存在物理属性缺陷和人的设计缺陷。例如,各种网络设备、通信终端和通信介质受到温度、湿度、静电、电磁场、闪电等自然因素及器件的物理老化的影响可能造成物理器件的失效、损坏或信息的泄漏。在无线通信系统中,数据信息在无线介质中以电磁波的形式在空中进行传播,存在电磁波泄露,并容易被截获的内在缺陷。此外,在硬件的设计和制造过程中,由于电路高度复杂,人的设计缺陷在所难免。例如,电路板焊点过密,造成电路短路,接插部件过多,容易出现接触不良故障等。
(2)软件缺陷。
互联网的软件系统包括操作系统和应用软件,它们同样具有不可避免的安全缺陷。软件系统的缺陷来源于设计和软件工程实现中的问题。例如,在软件设计中的疏忽可能造成软件系统内部逻辑错误或留下安全漏洞。软件工程实现中缺乏规范化和模块化要求,将导致软件的安全等级达不到所声称的安全级别。此外,随着硬件能力的越来越强,操作系统和应用软件的规模越来越大,软件系统中的漏洞也不可避免的存在,如微软的Windows操作系统也存在各种各样的安全漏洞和后门,这也是信息安全的主要威胁之一。
(3)TCP/IP缺陷。
TCP/IP作为互联网的标准通信协议,它最初的设计主要是考虑数据交换和资源共享,其架构设计并未考虑安全问题,缺乏相应的安全监督机制,因此存在严重的安全缺陷。首先,TCP/IP缺乏保密性。TCP/IP的设计原则就是保持简单,唯一的功能就是负责互连,尽可能把复杂的工作交给上层应用或终端去处理,所以设计TCP/IP时没有考虑数据传输过程中的数据加密,数据流的传输都是明文的,包括用户账号和口令等重要信息。因此,恶意用户可以截获含有账号和口令的数据分组从而进行攻击,这种明文传输方式无法保障信息的保密性和完整性。其次,TCP/IP协议使用IP地址作为网络节点的惟一标志,IP地址是一种分级结构地址,其包含了主机所在的网络拓扑信息,因此使用标准IP地址的网络拓扑对互联网来说是暴露的。当IP分组在网络节点间传递时,对任何人都是开放的,即其IP分组的源地址很容易被发现,因此攻击者根据IP地址信息可以构造出目标网络的轮廓。接着,TCP/IP协议缺乏用户身份鉴别机制。例如,TCP/IP协议缺乏对IP包中的源地址真实性的鉴定机制,因此,互联网上任何通信节点都可以产生一个带任意IP地址的IP包,从而假冒另一个通信节点的IP地址进行欺骗,所以IP地址很容易被伪造和更改。然后,TCP/IP缺乏路由协议鉴别认证机制,即在网络层上缺乏对路由协议的安全认证机制,对路由信息缺乏鉴别与保护。因此,可以通过互联网利用路由信息修改网络传输路径,误导网络分组传输。再次,TCP/IP层次结构的脆弱性。由于TCP/IP应用层协议位于TCP/IP体系结构的最顶部,因此下层的安全缺陷必然导致应用层的安全出现漏洞甚至崩溃,而各种应用层协议(如DNS、FTP、SMTP等)本身也存在安全隐患。最后,TCP/IP协议存在安全漏洞。例如,TCP协议建立一个完整的TCP连接,需要经历3次握手过程,通过这个握手过程,双方需要协商一些参数,包括双方的初始发送顺序号、分配发送和接收缓冲区等。在客户/服务器模式的3次握手过程中,假如客户的IP地址是虚假的,就不可能到达,那么TCP就不可能完成该次连接的3次握手,使TCP连接处于半开状态。攻击者利用这一漏洞可以实现如TCP SYN Flooding的DoS拒绝服务攻击。TCP提供可靠连接是通过初始序列号的鉴别机制来实现的。在具体的协议实现中,初始序列号一般由随机发生器产生,但是很多操作系统(如UNIX)所产生的序列号不是真正随机的,而是一个具有一定规律、可猜测或计算的数字。对攻击者来说,猜出了初始序列号并掌握了目标IP地址后,就可以对目标实施IP Spoofing的欺骗攻击。UDP是一个无连接协议,极易受IP源路由和拒绝服务攻击。因此TCP/IP通信协议的不完善和漏洞,给各种不安全因素的入侵留下了隐患。
三、外在缺陷
互联网为人所服务,因此离不开人的参与交互。这必然会引起由于人的参与所带来的安全问题,称为外在缺陷。主要包括人为误操作和人为攻击。
(1)人为误操作。
互联网作为一个客体,要使它能工作和发挥功能,必须要有人的操作和管理。在人的操作和管理中,由于误操作和管理的欠缺也将引起信息安全威胁和问题。首先是安全管理方面的原因,管理者缺乏对信息安全的警惕性或对信息安全技术的了解,没有制定切实可行的信息安全策略和措施。例如,很多接入互联网的企业缺乏对信息安全的认识,管理上存在很多漏洞。很多企业只提供了接入互联网的通道,对网络上的不法行为缺乏基本的应对措施,这是造成信息安全问题的原因之一。其次,网络用户存在误操作,如数据的误删除等。对于来自用户的误操作,常规的信息安全产品基本无能为力,这类误操作行为需要网络信息审计、IDS等主要针对内部信息安全的安全产品来抵御。
(2)人为攻击。
网络最终是为人服务的。当互联网为人们提供各种有价值的信息时,或者当网络中传输的信息具有价值的时候,不可避免地导致有人会非法获得这些信息资源(包括截取、修改甚至破坏这些信息等)的恶意行为,从而出现各种网络信息安全攻击。网络信息安全攻击的出现,给人们的社会、经济生活产生了破坏性影响,真正给信息的安全带来了巨大的威胁。
信息安全攻击是指损害信息系统及数据安全的任何行为,即攻击者(包括黑客和内部人员等)利用目前信息系统的安全缺陷通过使用各种攻击方法非法进入本地或远程用户信息系统,非法获得、修改、删除系统的信息,以及在系统上添加、伪造信息等一系列过程的总称。信息安全攻击对信息安全造成极大的危害,并导致机密信息的泄漏。人为的恶意入侵和攻击是信息安全所面临的最大威胁。因此,下面将介绍信息安全攻击手段的种类,并列举常见的典型攻击方法。
根据攻击行为的不同,信息安全攻击分为被动攻击和主动攻击。其中,被动攻击是在不影响信息系统正常工作的情况下,进行截获、窃取、破解以获得重要机密信息。在被动攻击中,攻击者的目的只是获取信息,因此攻击者不会篡改信息或危害信息系统,信息系统可以不中断其正常运行。然而,攻击可能会危害信息的发送者或接收者,因此在信息发送者或接收者发现机密信息已经泄露之前,要发现这种攻击非常困难。主动攻击以各种方式有选择地破坏信息的有效性和完整性。主动攻击可能改变信息或危害信息系统。主动攻击通常易于探测但却难于防范,因为攻击者可以通过多种方法发起攻击。根据攻击方式、方法和手段的不同,信息安全攻击包括恶意程序和木马攻击、缓冲区溢出攻击、拒绝服务攻击、欺骗攻击、中间人攻击、重放攻击和扫描监听攻击等。
• 恶意程序和木马攻击。
恶意程序攻击是攻击者在信息系统中插入一组指令或程序代码破坏信息系统功能或破坏信息数据,影响信息系统使用。恶意程序能够通过文件复制、文件传送、文件执行等方式传播给其他计算机和整个互联网信息系统。图1-3显示了CNCERT/CC近年来捕获及通过厂商交换获得的移动互联网恶意程序样本数量统计。
从图1-3可以看出,大量涌现的恶意程序在移动互联网上极快地传播,对移动互联网安全带来了巨大灾难和安全问题,影响系统效率、破坏数据和阻塞网络等。木马和恶意程序一样也是一种蓄意设计的特殊程序,其一般分为客户端(Client)程序和服务器端(Server)程序。客户端是本地使用的各种命令的控制台程序,服务器端则是要给别人运行的程序,只有运行过服务器端的计算机才能够完全受控。木马不会像恶意程序那样去感染文件,但是木马具有远程控制管理用户计算机系统的能力,包括阅览、复制、修改、注入信息等,甚至实时记录各种动态信息,如键盘输入信息等。此外,和恶意程序一样,木马的隐藏性好,不易被发现,甚至具有不被防火墙所拦截的能力。
• 拒绝服务攻击。
拒绝服务攻击(Denial of Service,DoS)是指攻击者为阻止合法用户进行正常网络通信和使用网络资源而采取的行为。根据攻击原理不同DoS攻击可分为基于漏洞的攻击和基于流量的攻击。其中,基于漏洞的攻击就是利用软件中存在的漏洞(如操作系统、Web服务器中存在的缓冲区溢出漏洞等),当存在漏洞的系统收到特定类型的数据包时,会立即崩溃或性能急剧下降。例如,Ping of Death攻击利用一些系统不能处理超长IP包的漏洞,攻击者发送一个长度超过65535的Echo Request数据包,目标主机在重组分片的时候会造成事先分配的65535字节缓冲区溢出,导致TCP/IP协议栈的崩溃。基于流量的攻击是指攻击者在短时间内利用合理的服务请求向目标系统发送大量数据,来占用过多的服务资源,消耗目标系统资源或网络带宽,使目标系统的处理能力短时间内达到饱和,从而使合法用户得不到应有的服务资源,停止对合法用户提供正常的网络服务。例如,TCP SYN Flood洪泛攻击、Smurf攻击、UDP淹没攻击、Land攻击和电子邮件炸弹等。其中,TCP SYN Flood洪泛攻击是当前网络上最为常见的DoS攻击,也是最为经典的拒绝服务攻击。它利用了TCP协议实现上的一个缺陷,通过向网络服务所在端口发送大量的伪造源地址的攻击报文,就可能造成目标服务器中的半开连接队列被占满,从而阻止其他合法用户进行访问。Smurf攻击通过使用将回复地址设置成目标网络的广播地址的ICMP应答请求数据包,来淹没目标网络中的主机,最终导致该网络的所有主机都对此ICMP应答请求做出答复,导致网络阻塞;另外,将源地址改为第三方的受害者,最终导致第三方崩溃。UDP淹没攻击是指攻击者随机地向目标主机的端口发送UDP数据包,当目标主机接收到一个UDP数据包的时候,它会确定目的端口正在等待中的应用程序。当它发现该端口中并不存在正在等待的应用程序,就会产生一个目的地址无法连接的ICMP数据包发送给该伪造的源地址。如果向受害者计算机端口发送了足够多的UDP数据包的时候,整个系统就会瘫痪。基于流量的DoS攻击又可分为单攻击源拒绝服务攻击和分布式拒绝服务攻击。
传统的DoS攻击从一个攻击源攻击目标,可以很容易地通过流量分析来发现攻击者。此外,当攻击目标CPU处理器的运算速度低、内存小或网络带宽小等各项性能指标不高时,传统的DoS攻击效果明显。随着计算机与网络技术的发展,计算机的处理能力迅速增强,内存大大增加,同时也出现了千兆级别的网络,这使得传统DoS攻击困难加大。因此,近年来DoS攻击已经演变为同时从多个攻击源攻击一个目标的形式,称为分布式拒绝服务攻击(Distributed Deny of Service,DDoS)。DDoS攻击采用资源耗尽型的攻击方式,它借助于客户/服务器等网络通信技术,将多个主机联合起来作为攻击平台,对目标主机同时发起DoS攻击,从而大大提高DoS攻击威力。DDoS攻击是通过控制多台傀儡主机,利用它们的带宽资源集中向攻击目标发动总攻,从而耗尽其带宽或系统资源的攻击形式。图1-4所示显示了DDoS攻击的体系结构。
从图1-4可以看出,DDoS攻击体系一般分为攻击者、DDoS主控系统、DDoS代理系统和目标系统4大部分。其中,第2部分的DDoS主控系统和第3部分的代理系统分别用作控制和实际发起攻击。因此,对第4部分的目标系统来说,DDoS的实际攻击包是从第3部分代理系统中的攻击傀儡机上发出的,第2部分的DDoS主控系统只发布命令而不参与实际的攻击。第1部分的攻击者对第2和第3部分有控制权或是部分控制权,它把相应的DDoS程序上传到这些平台上,这些程序与正常的程序一样运行并等待来自攻击者的指令,通常它还会利用各种手段隐藏自己不被别人发现。在平时,代理系统上的这些傀儡机并没有什么异常,只是一旦攻击者连接到它们进行控制,并发出指令的时候,主控系统与大量代理程序通信,并激活成百上千个代理程序的运行,攻击傀儡机就成为害人者对目标发起攻击。目前著名的DDoS攻击系统包括Billgates bot、TFN(Tribe Flood Network)、TFN2K、Trinoo、WinTrinoo和Stacheldraht等。
• 欺骗攻击。
网络欺骗是指攻击者通过向攻击目标发送冒充其信任主机的网络数据包,达到获取访问权或执行命令的攻击方法。欺骗攻击利用了以下两种漏洞:一类是TCP/IP协议本身的漏洞,另一类是操作系统和应用软件的漏洞,所以在对系统采取各种安全防范措施之前,必须首先应用各种安全扫描技术对系统进行完整、全面的分析检测,根据扫描结果采取相应措施。具体的有IP欺骗(IP Spoofing)、ARP欺骗(ARP Spoofing)、DNS欺骗(DNS Spoofing)、Web欺骗(Web Spoofi ng)、会话劫持(Session Hijack)和RIP(路由信息协议)路由欺骗等。其中,IP欺骗是攻击者将其发送的网络数据包的源IP地址篡改为攻击目标所信任主机的IP地址,从而骗取攻击目标信任的一种网络欺骗攻击方法。它通过利用主机之间的正常信任关系和TCP/IP协议及通信本身存在的一些缺陷(如IP地址与通信终端或地理位置不绑定、缺少源路由检测等)对目标主机进行攻击。此外,在IP欺骗中,攻击者伪造的IP地址是不可达或根本不存在。这种形式的IP欺骗主要用于迷惑目标主机上的入侵检测系统。
ARP欺骗是指攻击主机发送假冒MAC地址的ARP应答给目标主机发起的ARP查询。APR欺骗攻击可让攻击者取得目标主机上的分组数据。攻击者根据篡改MAC地址及对截获分组数据处理方式的不同而形成不同的攻击结果,并产生中断、窃取和篡改威胁。如果攻击者将MAC地址篡改为网络中不存在的MAC地址或将截获的数据包直接丢弃,那么将使目标主机无法正常连接通信,导致拒绝服务攻击。如果攻击者对截获的数据信息进行重新路由转发或修改后再转发,将形成中间人攻击。
DNS欺骗攻击是指攻击者提前向目标主机(DNS客户端)发送ID标识匹配,且包含欺骗IP地址的DNS应答数据包,那么当该欺骗应答数据包在合法DNS服务器发送的应答数据包之前到达客户端时,目标主机的DNS缓存里域名所对应的IP地址就是攻击者提供的欺骗IP地址。这时,目标主机将与具有欺骗IP地址的攻击主机建立连接通信,从而给目标主机造成安全威胁,如转移连接到点击即付的支付网站或伪造的银行网站中,使其银行账户/密码等信息被攻击者获取。
RIP欺骗攻击是指攻击者向目标路由器宣称其攻击路由器R拥有最短的连接网络N外部的路径,所有需要从网络N发出的数据包都会经攻击路由器R转发。当目标路由器将数据包路由到攻击路由器R中时,这些数据包受到攻击路由器检查、篡改、删除、丢弃的威胁。
Web欺骗攻击是指攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动。例如,网络钓鱼攻击。攻击者将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌网站,在所有接触诈骗信息的用户中,有5%以上的人会对这些骗局做出响应。受骗者往往会泄露自己的隐私数据,如信用卡号、账户用户名、口令和社保编号等内容。
会话劫持攻击是指攻击者冒充网络正常会话中的某一方,从而欺骗另一方执行其所要的操作。如TCP会话劫持,它通过监听和猜测TCP会话双方的ACK,插入包含期待ACK的数据包,能够冒充会话一方达到在远程主机上执行命令的目的。
• 中间人攻击。
当攻击者通过各种技术手段使自己处于目标主机之间时,称之为中间人。中间人在目标主机不知情的情况下监听、截取、篡改或重新路由目标主机之间通信的行为,称为中间人攻击(Man-in-the-middle Attack,MITM),图1-5所示为中间人攻击模型。
在中间人攻击中,攻击者(图1-5中的A)可以在一个目标主机(图1-5中的H1)将通信内容发送到另一个目标主机(图1-5中的H2)之前监控和读取通信内容,然后将自己模拟成目标主机与另一个目标主机进行通信,使之能够与真正会话中的目标主机建立活动连接并读取或篡改传递的信息,真正通信的目标主机(即原始计算机用户)却认为它们是在与合法的另一主机进行通信。这样,进行通信的目标主机(H1和H2)就会在不知情的情况下向攻击者发送通信内容,并且当它们接收来自攻击者(A)的通信内容时,还以为自己只是在与预期的另一目标主机(H1或H2)进行通信。上述攻击在实际中出现的情况,攻击者对Active Directory 域服务进行修改以将其服务器添加为受信任的服务器,或对域名系统(DNS)进行修改以使客户端通过攻击者连接到服务器。攻击者可以利用SSL、SSH等网络安全协议的漏洞进行中间人攻击。中间人攻击使用户受到信息被窃取、篡改、删除、会话劫持的威胁。如今,在黑客越来越多地运用技术获取经济利益时,MITM攻击成为对网银、网游、网上交易等最有威胁并且最具破坏性的一种攻击方式。
• 窃听攻击。
窃听是指在未经授权的情况下访问或拦截信息。例如,在网络上传输的文件可能含有机密信息,未经授权的实体就有可能拦截该传输并利用其内容用以谋利。传统的网络通信协议,如FTP、POP和Telnet在传输机制和实现原理上是没有考虑安全机制的,其本质是不安全的。因为它们在网络上用明文来传送文件、用户账号和口令。攻击者通过窃听、数据拦截等网络攻击手段非常容易地就可以截获这些文件、用户账号和口令。网络窃听可以在网络上的任何一个位置,如局域网中的一台主机、网关上,路由设备或交换设备上等。为避免被窃听,通过加密技术可以使传输的信息成为对窃听者不可理解的信息。
• 重放攻击。
重放攻击是指攻击者重现以前合法用户向服务器所发送的数据以获取访问权或其他分配给该用户的权限。加密可以有效防止窃听攻击,但是却防止不了重放攻击。例如,在进行身份认证时,客户端对用户密码先进行哈希运算,再密码的哈希值将发送给服务器。如果密码的哈希值被攻击者获得,那么攻击者即使不需要进行暴力攻击来获得实际的密码,仍然可以通过重复攻击将哈希密码发送给服务器,并通过服务器的认证。
• 探测攻击。
探测攻击又称为扫描攻击,是指利用网络扫描技术发现攻击目标,并对攻击目标可能存在的已知安全漏洞进行逐项检查。探测攻击主要是为了获取目标主机的一些系统信息,一般不具备破坏性。通过扫描可以获取目的主机操作系统的类型、开放的服务和端口、系统上的共享资源等。探测得到的信息为下一步的攻击入侵创造条件。
• 口令攻击。
口令攻击是指攻击者以口令为攻击目标,破解合法用户的口令,或避开口令验证过程,然后冒充合法用户入侵目标网络系统,夺取目标系统控制权的过程。口令是信息系统的第一道防线。当前的信息系统,如系统登录、数据库访问、电子邮件收发等,都是通过口令来验证用户身份、实施访问控制的。因此,攻击者攻击目标时常常把破译用户的口令作为攻击的开始。如果口令攻击成功,攻击者进入了目标信息系统,他就能够随心所欲地窃取、破坏和篡改被侵入方的信息,直至完全控制被侵入方。口令攻击通过多种不同方法实现,包括猜测攻击、字典攻击、暴力攻击(Brute Force Attack)、彩虹攻击、直接破解系统口令文件、嗅探、木马程序和社会工程学(Social Engineering)等。其中,猜测攻击是指使用口令猜测程序进行攻击。口令猜测程序往往根据用户设置密码的习惯猜测用户密码,如名字缩写、生日、宠物名和部门名等。在详细了解用户的社会背景之后,攻击者可以列举出几百种可能的口令,并在很短的时间内就可以完成猜测攻击。如果猜测攻击不成功,攻击者会采用字典攻击继续扩大攻击范围。字典攻击是指攻击者使用一个包含大多数词典单词的文件,并对文件中的所有英文单词进行尝试,程序将按序取出一个又一个的单词,进行一次又一次尝试,直到成功。由于多数人使用普通词典中的单词作为口令,发起词典攻击通常是较好的开端。如果用户的口令不太长或是单词、短语,那么很快就会被破译出来。例如,对于一个有8万个英文单词的集合来说,攻击者不到一分半钟就可试完。如果字典攻击仍然不能够成功,攻击者会采取穷举攻击。穷举攻击是指攻击者根据猜测的口令长度及口令字符集确定所有可能的口令空间,然后对口令空间中的每个口令逐一进行测试,直到出现正确口令。一般从口令长度为1的口令开始,按长度递增进行尝试攻击。由于人们往往偏爱简单易记的口令,穷举攻击的成功率很高。避免以上口令攻击的对策是加强口令策略。当以上口令攻击都不能够奏效时,攻击者会寻找目标主机的安全漏洞和薄弱环节,伺机窃取存放系统口令的文件,然后破译其加密的口令,称为直接破解系统口令文件。嗅探口令攻击是指通过嗅探器在网络中嗅探明文传输的口令字符串。避免此类攻击的对策是网络传输采用加密传输的方式进行。木马程序口令攻击是指在目标系统中安装键盘记录后门,通过记录用户输入的口令字符串获取用户的口令信息。社会工程学口令攻击是指通过人际交往这一非技术手段以欺骗、套取的方式来获得口令。避免此类攻击的对策是加强防范意识。
• 流量分析攻击。
通过加密可使文件变为对攻击者不可解的信息,但是攻击者还可以通过在线监测流量获得一些其他形式的信息,称为流量分析(Traffi c Analysis)。攻击者能够根据数据交换的出现、消失、数量或频率而提取出有用信息。数据交换量的突然改变也可能泄露有用信息。例如,当公司开始出售它在股票市场上的份额时,在消息公开以前的准备阶段中,公司可能与银行有大量通信。因此,对购买该股票感兴趣的人就可以密切关注公司与银行之间的数据流量以了解是否可以购买或卖出。
信息系统的安全缺陷和出现的信息安全攻击,使信息系统主要面临着信息被窃取、篡改、伪造和删除的威胁,以及信息的正常运行也面临中断威胁。图1-6所示为互联网信息系统面临的安全威胁类型。
图1-6中的①表示互联网信息系统的正常通信模型。从图1-6中的②可以看出,窃取威胁是指非授权用户通过某种手段获得对信息资源的访问,如通过侦听通信链路从网络上截获他人的通信内容,或者非法登录他人的用户终端获取其存储介质上的数据信息等,它是以破坏数据信息的保密性作为攻击目标。图1-6③中的篡改威胁是指非授权用户不仅获得访问而且对数据进行修改,它是以破坏数据信息的完整性作为攻击目标。攻击者可以修改信息使其对自己有利。例如,某客户为一笔交易给银行发送信息,攻击者即可拦截信息并将其改变为对自己有利的交易形式。或者学生篡改教务系统中的学生成绩。图1-6④中的伪造威胁是指非授权用户将伪造的数据插入到正常传输的数据中,它是以破坏数据信息的鉴别性作为攻击目标,如攻击者伪装或假扮成发送方,在网络上发布/传输虚假或欺骗的信息(如诈骗邮件、QQ诈骗等)。有时攻击者也可能伪装为接收方。例如,当用户设法联系某银行的时候,另外一个地址伪装为银行(如钓鱼网站等),从用户那里得到某些相关的信息。图1-6⑤中的删除威胁是指非授权用户直接删除其他用户的数据信息。图1-6⑥中的中断威胁是以可用性作为攻击目标,它通过破坏网络设备、通信链路或通信终端等系统资源,使网络不可用,最终导致信息通信的中断。
针对信息安全的不同缺陷,所面临的各种攻击,以及存在的各种威胁,需要用以下不同的信息安全技术来弥补其缺陷,抵御其攻击和消除其威胁。
一、密码技术
密码技术是研究密码学的相关算法,并利用其提供信息的保密性、完整性、鉴别性和不可否认性等安全服务的方法。密码技术包括对称密码算法、公钥密码算法和哈希密码算法。其中,对称密码算法可以对明文信息进行加密。公钥密码算法不仅可以对明文信息进行加密,还能通过数字签名对通信实体进行身份认证。此外,公钥密码算法还能提供密钥的安全管理。哈希密码算法通过哈希摘要值的校验,防止信息的伪造或篡改。
二、身份认证技术
身份认证技术是在信息安全中确认操作者身份过程的方法,提供信息安全的鉴别性和访问控制服务。在信息系统中,包括用户身份的所有信息都是用一组特定的数据来表示,信息系统只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。因此,身份认证技术就是为了解决如何保证以数字身份进行操作的操作者就是这个数字身份的合法拥有者,也就是说保证操作者的物理身份与数字身份相对应。作为信息资产的第一道防护关口,身份认证有着举足轻重的作用。
三、防火墙技术
防火墙技术指根据安全策略和规则,对进出信息系统的数据进行检查、匹配、变换、代理和过滤、隔离等操作,或对信息系统进行信息探测的非法行为进行屏蔽或拒绝的方法,实现对信息的保密性和访问控制服务。防火墙技术包括包过滤防火墙、状态检测防火墙、电路网关防火墙、应用代理防火墙和网络地址转换防火墙。
四、虚拟专用网络技术
虚拟专用网络(Virtual Private Network,VPN)技术指在公共互联网上建立私有的安全通信信道的方法,实现对信息的保密性、鉴别性和访问控制服务。根据VPN工作的协议层次不同,包含有工作在链路层的PPTP、L2F和L2TP VPN,工作在网络层的IPsec VPN,以及工作在传输层的SSL VPN。
五、安全扫描技术
安全扫描是一种基于互联网远程目标检测或信息系统脆弱性检测的技术。根据扫描的信息不同,安全扫描包含主机扫描、端口扫描和漏洞扫描。通过对信息系统的安全扫描,网络管理员能够发现信息系统的各种网络TCP/IP端口的分配、开放的服务、服务软件版本和这些服务及应用软件暴露在互联网上的安全漏洞,并采取相应的防范措施,从而降低信息系统的安全风险。
六、入侵检测技术
入侵检测是一种能够及时发现并报告信息系统中未授权或异常现象,或者违反安全策略行为的技术。它通过收集和分析信息系统行为、安全日志、审计数据来检查信息系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动的安全检测技术,提供了对内部攻击、外部攻击和误操作的实时保护,在信息系统受到危害之前拦截和响应入侵。
七、可信计算技术
可信计算技术是指在信息系统的硬件架构上添加可信计算安全芯片模块及相应可信软件,以构建一个操作系统体系之外的可信计算安全平台。中国工程院沈昌祥院士表示,以防外与封堵为特征的传统信息安全系统,难以应对目前主要源自内部的安全威胁,而可信计算技术在硬件平台引入安全芯片架构,能从根本上实现对各种不安全因素的主动防御。
国际标准化组织(ISO)在开放系统互联参考模型(OSI/RM)的基础上,于1989年制定了在OSI环境下解决信息安全的规则ISO/IEC 7498-2:信息处理系统.开放系统互连.基本参考模型.第2部分:安全体系结构(Information Processing Systems; Open Systems Interconnection;Basis Reference Model; Part 2: Security Architecture)。1990年,国际电信联盟(International Telecommunication Union,ITU)采用ISO/IEC 7498-2作为它的X.800推荐标准,我国的国家标准GB/T 9387.2-1995《信息处理系统 开放系统互连 基本参考模型 第2部分:安全体系结构》等同于ISO/IEC 7498-2。ISO/IEC 7498-2扩充了基本参考模型,加入了安全问题的各个方面,为开放系统的安全通信提供了一种概念性、功能性及一致性的途径。在ISO/IEC 7498-2中描述了开放系统互联安全的体系结构,提出设计安全的信息系统的基础架构中应该包含5种安全服务,能够对这5种安全服务提供支持的8类安全机制和普遍安全机制。其中5种安全服务为保密性、完整性、鉴别服务、抗抵赖性和访问控制。8类安全机制为加密、数字签名、访问控制、数据完整性、交换鉴别、业务流量填充、路由控制和公证。
安全服务(Security Service)是指采用一种或多种安全机制以抵御安全攻击、提高信息系统的信息处理安全和信息传输安全的服务。面对各种信息安全威胁,要实现安全的信息通信,需要提供的信息安全服务包括保密性、完整性、鉴别性、抗抵赖性和访问控制。
一、保密性服务
保密性又称机密性(Confidentiality),是指不向非授权用户、实体或过程泄露信息系统资源(如数据信息、系统和硬件设备等),或保护信息系统资源免于被暴露和窃取攻击,例如,信息免于被进行流量分析,即它可以保护信息免于窃听和流量分析,它是针对资源泄露和窃取等威胁的安全服务。机密性服务的内容包括信息系统中静态存储的信息和动态传输的信息,以及物理资源。
二、完整性服务
完整性(Integrity)是指信息在存储和传输过程中保持不被非授权用户、实体或过程偶然或故意添加、篡改、删除的特性,它是针对信息删除、篡改、伪造等威胁的安全服务。破坏完整性的因素包括传输链路误码、设备故障、人为误操作及人为恶意攻击。此外,像网络使用高峰期的系统中断、传输链路误码和设备故障等,也可能会对信息造成不应有的改变。完整性服务要求网络信息不受各种原因破坏。完整性是一种面向网络信息的安全性,它可以保护网络信息的整体和部分。实现完整性服务的方法、机制和技术包括冗余校验、单向散列等。
三、鉴别性服务
鉴别性又称身份认证,是指在信息系统中对数据来源的证实以及对通信实体的识别,因此它包括信源认证(数据源身份认证,Data Origin Authentication)和实体认证(对等实体身份认证,Peer Entity Authentication)。在鉴别性服务中,对数据来源的鉴别(即信源认证)就是要保证数据接收方接收的数据信息确实是从它声明的来源发出的。另外,鉴别性服务还可以提供远在另一端的通信实体的身份认证,也就是提供发送方或接收方的身份认证(即实体认证)。例如,在信息系统中有通信连接的时候,在建立连接时认证发送方和接收方的身份;在没有通信连接的时候,认证信息的来源。鉴别性服务是针对网络欺骗、伪造等安全威胁的安全服务。实现鉴别性服务的方法、机制、技术包括账户/密码、数字证书、基于生物特征(如指纹、视网膜、脸型等)的认证等。
四、抗抵赖性服务
抗抵赖性(Non-repudiation)是指通信实体无法抵赖自己的网络行为的特性。例如,在网络通信中,通信的数据发送方无法否认发送过数据的行为,同样,数据接收方无法否认接收到数据的行为,因此又称不可否认性。在抗抵赖性服务中,带有源证据时,如果通信数据的发送方否认自己发出过数据,数据的接收方过后可以检验其身份,并通过其源证据证实数据确实是从声明的发送方发出。同样,带有交接证据时,通信数据的发送者过后可以检验发送给预定接收方的通信数据,并通过交接证据证明通信数据确实是由预定接收方所接收。抗抵赖性服务是针对网络欺骗、抵赖等安全威胁的安全服务。实现抗抵赖性服务的方法、机制和技术包括数字签名、电子取证和安全审计等。
五、访问控制服务
访问控制(Access Control)是指对用户访问信息系统资源的权限进行严格的认证和控制。在信息系统中,访问包含对程序的读、写、修改和执行等;另外,也指可以控制授权范围内的信息流向及行为方式。此外,访问控制服务在于信息和数据被合法使用时,保证可以控制授权用户或过程的使用方法和权限,即保护信息免于被未经授权的实体访问,它是针对网络入侵等威胁的安全服务。实现访问控制服务的方法、机制、技术包括进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限等。
安全机制(Security Mechanism)是指设计用于预防、检测安全攻击或恢复信息系统的机制。ISO/IEC 7498-2中提出了提供安全服务的加密、数字签名、访问控制、数据完整性、交换鉴别、业务流量填充、路由控制和公证等安全机制。
一、加密机制
加密机制主要用来解决信息的窃取安全威胁,它能提供对信息的机密性、鉴别性、完整性等安全服务支持。首先,加密是提供数据信息保密的最常用和核心方法。此外,加密技术不仅应用于数据的安全存储和安全传输,也应用于程序的安全运行。例如,通过对程序的运行进行加密保护,可以防止软件被非法复制和使用,防止软件的安全机制被破坏,称为软件加密技术。在加密机制中,根据密码体制的不同划分,可分为序列密码和分组密码算法两种。按不同的密钥类型划分,加密算法可分为对称密钥密码和非对称密钥密码两种。加密机制除了提供信息的保密性之外,它和其他技术结合,如哈希函数,还能提供信息的完整性。ISO七层协议模型中,除了会话层不提供加密保护外,加密可在其他各层上进行。在现代加密机制中,加密算法是公开的,而密钥是需要进行保密的,因此与加密机制伴随而来的是密钥安全管理机制。
二、数字签名机制
数字签名是指发送方以电子形式签名一个消息或文件,表示签名人对该消息或文件的内容负有责任。此外,通过发送方的数字签名,信息接收方可以对签名进行电子检验。实现数字签名的过程和方法总和就称为数字签名机制。在数字签名中,发送方使用非对称加密算法中的私钥进行电子签名,接收方使用与发送方的私钥有联系的公钥进行验证,证明信息确实是由声称发送过这个信息的人签名的。数字签名机制主要用来解决信息的窃取否认、篡改、伪造和冒充威胁,它能提供对信息的鉴别性和不可否认性等安全服务支持。此外,数字签名综合使用数字摘要和公钥加密技术,可以在保证数据完整性的同时保证数据的真实性。
三、访问控制机制
访问控制是通过对访问主体的有关信息进行检查,并按确定的规则决定主体对客体的访问是否合法来限制或禁止访问主体使用资源,它分为高层访问控制和低层访问控制。其中,高层访问控制包括身份检查和权限确认,通过对用户口令、用户权限、资源属性的检查和对比来实现。低层访问控制是通过对通信协议中的某些特征信息的识别、判断,来禁止或允许用户访问的措施。如在路由器上设置过滤规则进行数据包过滤,就属于低层访问控制。访问控制机制是实现访问主体对各种网络资源的访问和操作进行限制的策略和方法总和。例如,当一个主体试图非法使用一个未经授权使用的客体时,访问控制机制将拒绝这一企图。此外,访问控制机制还能向审计跟踪系统报告这一事件。审计跟踪系统将产生报警信号或形成部分追踪审计信息。访问控制机制主要用来解决信息系统的非法入侵威胁,它可以防止未经授权的用户非法使用信息系统资源,这种服务不仅可以提供给单个用户,也可以提供给用户组的所有用户。建立访问控制机制的方法包括控制信息库、鉴别信息、权限、安全标记、访问的时间、访问的路由和访问持续的时间等。
四、数据完整性机制
在互联网信息系统中,数据往往通过分组进行传输,所以数据完整性包括数据单元的完整性和数据单元序列的完整性两种形式。其中,数据单元的完整性是指组成一个单元的一段数据不被破坏和增删篡改,它包括发送实体和接收实体两个过程。数据序列的完整性是指发出的数据被分割为按序列号编排的许多单元时,在接收时还能按原来的序列把数据串联起来,而不会发生数据单元的丢失、重复、乱序、假冒等情况。因此,数据完整性机制是防止数据单元或数据单元序列被插入、修改、假冒、重发或丢失的过程和各种方法的总和,该机制提供对信息的完整性和不可否认性等安全服务支持。保证数据完整性的一般方法是发送实体在一个数据单元上加一个标记,这个标记是数据本身的函数变换,如一个分组校验,或密码校验函数,它本身是经过加密的。接收实体是一个对应的标记,并将所产生的标记与接收的标记相比较,以确定在传输过程中数据是否被修改过。例如,把包含有数字签名的文件用单向哈希函数产生一个固定长度的摘要标记,并在传输信息时将它加入文件一同送给接收方。接收者在收到文件后也用相同的单向哈希函数进行变换运算得到另一个标记,然后将自己运算得到的标记与发送过来的标记进行比较,看看产生的标记是否相同就可知道数据是否完整。数据单元序列的完整性是要求数据编号的连续性和时间标记的正确性,以防止假冒、丢失、重发、插入或修改数据。
五、交换鉴别机制
在互联网信息系统中,为了保证信息交换的真实可靠,需要有一种机制来验证通信实体双方的真实身份。在进行身份认证时,两个实体交换信息以相互证明身份。因此,信息系统的交换鉴别机制是以交换信息的方式来确认实体身份的各种方法的总和,该机制提供对信息的鉴别性安全服务支持。例如,一方实体可以证明他知道一个只有他才知道的秘密。在认证机制中,通常采用口令、密码技术和实体的特征或所有权等方式进行认证。其中,口令认证是指由发送实体提供自己的口令,以证明自己的身份,接收实体则根据口令来判断对方的身份。密码技术认证是指发送实体和接收实体各自掌握的密钥是成对的。接收实体在收到已加密的信息时,通过自己掌握的密钥解密,能够确定信息的发送实体是掌握了另一个密钥的那个人。在许多情况下,密码技术还和时间标记、同步时钟、双方或多方握手协议、数字签名、第三方公证等相结合,以提供更加完善的身份鉴别。特征实物认证是指利用实体的特征或所有权,如U盾、IC卡、指纹、脸形和声音等。
六、业务流量填充机制
流量填充是指在数据流中随机嵌入一些虚假信息,从而阻止攻击者企图通过流量分析提取出有用信息。因此,流量填充机制提供针对流量分析的保护。这种机制主要是对抗非法者在线路上监听数据并对其进行流量和流向分析。例如,通过流量填充装置在无信息传输时,连续发出伪随机序列,使得攻击者不知哪些是有用信息,哪些是无用信息。该机制提供对信息的机密性安全服务支持。流量填充机制能够保持流量基本恒定,因此攻击者不能获取任何信息。流量填充的实现方法是随机生成数据并对其进行加密,再通过信息系统进行传输。
七、路由控制机制
在互联网信息系统中,从源节点到目的节点可能有多条路由线路,有些路由线路是安全的,而有些路由线路可能是不安全的。路由控制机制可以使信息发送者指定通过网络发送数据的路径。这样,可以选择那些可信的网络节点,从而确保数据不会暴露在安全攻击之下,该机制提供对信息的机密性安全服务支持。
八、公证机制
公证是指选择一个双方都信赖的第三方控制双方的通信,如此即可避免否认。由于互联网信息系统是一个开放的平台,不是所有的网络实体或用户都是可靠和可信的。此外,也可能由于系统故障等原因使信息丢失、迟到等,这很可能引起责任问题。为了解决这个问题,就需要有一个各方都信任的第三方实体——公证机构,如同一个国家设立的公证机构一样,提供公证服务,仲裁出现的问题。例如,为了避免发送方过后否认其曾经提过这样的请求,接收方可以通过第三方的公正机构来保存发送方的请求。因此,公证机制是指通信双方进行数据通信时必须经过这个机构来中转,公证机构从中转的信息里提取必要的证据,日后一旦发生纠纷,就可以据此做出仲裁。该机制提供对信息的不可否认性安全服务支持。
信息安全机制与安全服务的关系如表1-1所示。它表明对于每一种服务的提供,有哪些机制被认为是适宜的,可以由一种机制单独提供或几种机制联合提供。
互联网是涉及面极广的信息系统,要实现真正意义上的安全,必须同时从法规政策、管理、技术三个层面全方位采取有效措施。
一、完善的法律法规
信息安全需要通过完善的法律法规加以保障,为此不同的国家都针对信息安全制定了相应的法律法规。在美国,1998年5月发布《保护美国关键基础设施》,并围绕信息安全保障成立了多个组织,包括全国信息保障委员会、全国信息保障同盟、关键基础设施保障办公室、首席信息官委员会、联邦计算机事件响应行动组等十多个全国性机构。1998年美国国家安全局(National Security Agency,NSA)制定了《信息保障技术框架(Information Assurance Technical Framework,IATF)》,提出深度防御策略,确定包括网络与基础设施防御、区域边界防御、计算环境防御和支撑性基础设施的深度防御目标。2000年1月发布《保卫美国计算机空间——保护信息系统的国家计划》,分析美国关键基础设施所面临的威胁,确定计划的目标和范围,制定出联邦政府关键基础设施保护计划,以及私营部门、洲和地方政府的关键基础设施保障框架。
俄罗斯在1995年颁布《联邦信息、信息化和信息保护法》,提出保护信息的法律责任,明确界定信息资源开放和保密的范畴,为提供高质量的信息保障创造条件。1997年发布《俄罗斯国家安全构想》,明确提出保障国家安全应把保障经济安全放在第一位,而信息安全又是经济安全的重中之重。2000年发布《国家信息安全学说》,明确了联邦信息安全建设的任务、原则和主要内容,第一次明确俄罗斯在信息领域的利益是什么,受到的威胁是什么,以及为确保信息安全首先要采取的措施等。
日本在2003年发布《信息安全综合战略》,强调信息安全保障是日本综合安全保障体系的核心。2010年发布《保护国民信息安全战略》,进一步加紧完善与信息安全相关的政策和法律法规,并成立信息安全措施促进办公室、综合安全保障阁僚会议、IT安全专家委员会和内阁办公室下的IT安全分局。
我国在信息安全方面也制定了一系列法律法规,包括《中华人民共和国计算机安全保护条例》《中华人民共和国商用密码管理条例》《计算机信息网络国际联网管理暂行办法》《计算机信息网络国际联网安全保护管理办法》和《计算机信息系统安全等级划分标准》等。此外,在我国的《刑法》修订中,也增加了有关计算机犯罪的条款。2016年11月7日发布《中华人民共和国网络安全法》,为保障我国的网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展提供了法律依据和保障。
二、严格的管理
安全管理包括人员可靠性、规章制度完整性等,其按照不同信息系统而不同。在开放信息系统中,根据信息安全监测软件的实际测试,一个没有安全防护措施的信息系统,其安全漏洞通常有1500个左右。其中用户口令的保管对信息系统安全至关重要。实际上,信息系统用户中很谨慎地使用或保管口令的人很少,因此被窃取概率很大。在封闭环境或专用系统特别是涉密信息系统中,各用户单位应建立相应的信息安全管理规则,确定大家共同遵循的规范,以加强内部管理,保证信息安全技术按预定的安全设计无差错运行。同时,依据信息安全评估标准,建立安全审计和安全跟踪体系,建立必要的信息安全管理系统。只有提高全体人员的信息安全意识,才能真正增强整个信息系统的安全性。
三、先进的技术
当前在信息安全中普遍采用的技术包括规模化密钥管理技术、虚拟网技术、防火墙技术、入侵监控技术、安全漏洞扫描技术、防病毒技术、加密技术、可信计算技术、鉴别和数字签名技术等,可以综合应用,构成多层次的信息安全解决方案。
由于信息安全的动态性特点,信息安全防护也在动态变化,同时,信息安全目标也呈现为一个不断改进的、螺旋上升的动态过程。传统的以密码技术为核心的单点技术防护已经无法满足信息安全的需要,人们迫切地需要建立一定的安全指导原则以合理地组织各种信息安全措施,从而达到动态的信息安全目标。为了有效地将单点的安全技术有机融合成信息安全的体系,各种信息安全模型应运而生。所谓信息安全模型,就是动态信息安全过程的抽象描述。为了达到安全目标,需要建立合理的信息安全模型描述,以指导信息安全工作的部署和管理。目前,在信息安全领域存有较多的安全模型。这些信息安全模型都较好地描述了信息安全的部分特征,又都有各自的侧重点,在各自不同的专业和领域都有着一定程度的应用。本节将介绍信息安全领域比较通用的安全模型,通过对安全模型的研究,了解安全动态过程的构成因素,从而构建合理而实用的安全策略体系。
在信息系统中,为了保证信息传输的安全性,一般需要一个值得信任的第三方负责在源节点和目的节点间进行秘密信息(如密钥)分发,同时当双方发生争执时,起到仲裁的作用。图1-7所示为传统信息安全模型示意图。
在图1-7所示的基本模型中,通信的双方在进行信息传输前,首先建立一条逻辑通道,并提供安全的机制和服务来实现在开放信息系统环境中信息的安全传输。信息的安全传输主要包括以下几点。
(1)发送方从源节点发出的信息,使用信息加密等密码技术对其进行安全的转换,从而实现该信息的保密性,同时也可以在该信息中附加一些特征信息,作为源节点的身份验证。
(2)源节点与目的节点应该共享如加密密钥这样的保密信息,这些信息除了发送双方和可信任的第三 方之外,对其他用户都是保密的。
(3)接收方从目的节点接收安全信息,并将其转换成接收方能理解的明文信息。
传统的信息安全技术都集中在系统信息自身的加固和防护上。单纯的防护技术容易导致系统的盲目建设。面对不可避免的各种攻击,信息系统安全的重点应放在如何在安全策略的指导下及时发现问题,然后迅速响应,为此美国ISS公司提了一种动态的P2DR(Policy,Protection,Detection,Response)信息安全模型。P2DR是在安全策略的统一控制和指导下,在综合运用防护措施基础上,利用检测措施检测评估信息系统的安全状态,并通过及时的响应措施将信息系统调整到风险最低的安全状态。此外,P2DR对传统安全模型作了很大改进,引进了时间的概念,对实现信息的安全状态给出了可操作性的描述。图1-8所示为P2DR模型示意图。
从图1-8所示的P2DR模型可以看出,完整的信息安全体系应当包括核心安全策略(Policy)、防护(Protection)、检测(Detection)和响应(Response)4个主要部分。其中,安全策略是整个P2DR模型的核心,它是P2DR模型中的防护、检测和响应等部分实施的依据。信息安全策略可以分为总体安全策略与具体安全策略规则。一个安全策略体系的建立包括策略的制定、评估与执行。防护是根据信息系统中可能出现的安全问题而采取的预防措施,这些措施通过传统的静态安全技术实现。采用的防护技术通常包括数据加密、身份认证、访问控制、VPN、防火墙和数据备份等,它对信息系统可能出现的安全问题采取预防措施。防护可以预先阻止可以发生攻击的条件产生,让攻击者无法顺利地入侵。检测是根据入侵事件的特征检测入侵行为。当攻击者穿透防护模块时,检测模块就发挥作用,与防护系统形成互补。检测模块使用漏洞扫描和入侵检测等技术。在P2DR模型中,检测模块是非常重要的一个环节,检测是静态防护转化为动态防护的关键,是动态响应和加强防护的依据,它也是强制落实安全策略的有力工具,通过不断地检测和监控信息系统,发现新的威胁和弱点,通过循环反馈及时做出有效的响应。响应是当安全事件发生时采取的对应措施,并把信息系统恢复到原来的状态或比原来更安全的状态。信息系统一旦检测到入侵,响应系统就开始工作,进行事件处理。响应包括紧急响应和恢复处理,恢复处理又包括系统恢复和信息恢复。防护、检测和响应组成了一个完整的、动态的安全循环,在核心安全策略的指导下保证信息系统的安全。
P2DR模型是基于时间的安全理论。该理论的基本原理就是认为网络安全相关的所有活动,不管是攻击行为、防护行为、检测行为和响应行为等都要消耗时间。因此,可以用时间来衡量一个体系的安全性和安全能力。设Pt为系统保护安全目标所提供的防护时间,它相当于攻击者攻击安全目标所花费的时间。在入侵发生的同时,检测系统也在发挥作用,因此设Dt为从入侵者开始发动入侵开始,到系统能够检测到入侵行为所花费的时间。在检测到入侵后,系统会做出应有的响应动作,设Rt表示从发现入侵行为开始,到系统能够做出足够的响应,将系统调整到正常状态的时间。因此,P2DR 模型就可以用以下数学公式来表达安全的要求:
在公式(1-1)中,针对需要保护的安全目标,如果公式满足防护时间Pt大于检测时间Dt加上响应时间Rt,也就是在入侵者危害安全目标之前就能被检测到并及时处理,目标就是安全的。
当Pt=0,即防护时间为0,则有以下公式:
在公式(1-2)中,Dt与Rt之和为该安全目标系统的暴露时间Et。针对需要保护的安全目标,如果Et越小系统就越安全。P2DR模型阐述了这样一个结论:安全的目标实际上就是尽可能地增大保护时间,尽量减少检测时间和响应时间,在系统遭到破坏后,应尽快恢复,以减少系统暴露时间。
通过上面两个公式的描述,实际上给出了信息安全一个全新的定义:及时的检测和响应就是安全,及时的检测和恢复就是安全。而且,这样的定义为安全问题的解决给出了明确的方向,即提高系统的防护时间Pt,降低检测时间Dt和响应时间Rt。P2DR模型也存在一个明显的弱点,就是忽略了内在的变化因素。如人员的流动、人员的素质和策略执行的不稳定性等。实际上,信息安全问题牵涉面广,除了涉及防护、检测和响应,信息系统本身安全免疫力的增强、系统和整个网络的优化,以及人员这个在系统中作为最重要角色的素质提升,都是P2DR安全模型没有考虑的问题。
近年美国国防部提出了信息安全保障体系(Information Assurance,IA)概念,其重要内容概括了信息安全的整个环节,即包括防护(Protect)、检测(Detect)、响应(React)和恢复(Restore),形成了PDRR安全模型。PDRR模型把信息的安全保护作为基础,将保护视为活动过程,要用检测手段来发现安全漏洞,及时更正,同时采用应急响应措施对付各种入侵。在系统被入侵后,要采取相应的措施将系统恢复到正常状态,使信息的安全得到全方位的保障。该模型强调的是自动故障恢复能力,因此,在PDRR模型中,安全的概念已经从信息安全扩展到了信息保障,信息保障内涵已超出传统的信息安全保密,是防护(Protect)、检测(Detect)、反应(React)和恢复(Restore)的有机结合。图1-9所示为PDRR模型示意图。
从图1-9可以看出,PDRR模型的4个部分是一个顺次发生的过程。首先,采取各种措施对需要保护的对象进行安全防护,即根据系统已知的所有安全问题做出防护的措施,如打补丁、访问控制、数据加密等。然后,利用相应的检测手段对安全保护对象进行安全跟踪和检测以随时了解其安全状态。如果发现安全保护对象的安全状态发生改变,特别是由安全变为不安全,则马上采取应急措施对其进行处理,响应系统开始响应事件处理和其他业务,直至恢复安全保护对象的安全状态。PDRR模型的最后一个环节就是恢复。恢复是安全事件发生后,把信息系统恢复到原来的状态,或者比原来更安全的状态。恢复也可以分为系统恢复和信息恢复两个方面。其中,系统恢复指的是修补该事件所利用的系统缺陷,不让攻击者再次利用这样的缺陷入侵。一般系统恢复包括系统升级、软件升级和打补丁等。系统恢复的另一个重要工作是去除后门。一般来说,攻击者在第一次入侵的时候都是利用系统的缺陷。在第一次入侵成功之后,攻击者就在系统打开一些后门,如安装一个特洛伊木马。所以,尽管系统缺陷已经打补丁,攻击者下一次还可以通过后门进入系统。系统恢复都是根据检测和响应环 节提供有关事件的资料进行的。信息恢复指的是恢复丢失的数据。数据丢失的原因可能是由于攻击者入侵造成,也可以是由于系统故障、自然灾害等原因造成的。信息恢复就是从备份和归档的数据恢复原来数据,因此信息恢复过程跟数据备份过程有很大的关系。数据备份做得是否充分对信息恢复有很大的影响。信息恢复过程的一个特点是有优先级别,直接影响日常生活和工作的信息必须先恢复,这样可以提高信息恢复的效率。在入侵事件发生后,把系统恢复到原来的状态。每次发生入侵事件,防御系统都要更新,保证相同类型的入侵事件不能再发生,所以整个安全策略包括防御、检测、响应和恢复,这4个方面组成了一个动态的信息安全周期。
信息安全一般从信息通道、信息系统门卫、信息系统内部和系统内核4层模式来考虑。
一、通道模式
通道模式是指在信息系统中的不安全信息节点之间建立一条安全的信息传输专用秘密通道,如图1-10所示。它在防范的对象和概念上与传统的专用物理通 道的通信保密相差不多,即在通路两端架设安全设备。但是其形式上或内容上却不大相同,如VPN服务器、加密路由器、加密防火墙等。目的是建立一个专用秘密通道,防止非法入侵,保证通路的安全。
二、门卫模式
门卫模式是指在信息系统的唯一出入口处设置一个安全网关设备(称为门卫)来实现各种信息安全机制。所有出入信息系统的数据(包括从应用层到链路层)都需要经过门卫的安全检查,门卫会根据检查结果对数据采取相应的处理,如通过、拒绝或丢弃等,如图1-11所示。信息系统的出入口是控制信息系统安全非常有效的部位,在这个部位开展的工作非常活跃,含盖面也非常广,包含了从应用层到链路层,从探测设备到安全网关等信息出入控制设备。典型的门卫模式安全网关设备为防火墙。
三、系统内部模式
系统内部模式是指在信息系统内部的应用层实现信息安全机制,如图1-12所示。应用层是人机交流的地方,因此安全机制实现非常灵活,如代理型防火墙、安全扫描和检查、内部网安全保密系统等都建在用户层上。此外,用户层的控制力度可以到用户级或文件级,因此是用户鉴别和数据鉴别的最理想地方。最后,用户层较为独立,不受网络通信协议的影响,可独立构建内部网安全保密协议。
四、内核模式
内核模式是指在操作系统的内核或系统硬件(如CPU等)中实现信息安全机制。例如,CPU序列号可以用来作为敌友识别系统,它能解决源地址跟踪难题。含有全球唯一序列号的CPU处理器的计算机在处理信息或数据时会带来信息安全问题,即这种CPU内含有一个全球唯一的序列号,计算机所产生的文件和数据都会附着此序列号,因而由此序列号可以追查到产生文件和数据的任何机器。此外,安全内核是多用户操作系统必备的内部控制系统,只有在可靠的安全内核的基础上才能实现可靠的多级控制。CPU中的序列号、操作系统中的安全内核是信息系统安全可靠的最基本要素,技术难度很大。
信息安全评估是指评估机构依据信息安全评估标准,采用一定的方法对信息系统的安全性进行评价。信息安全评估的主要目标是发现信息系统中的潜在风险,找出信息安全建设中的薄弱环节,向信息系统的用户提出预警,为信息系统管理者的决策提供可靠、真实的数据和资料,促进信息系统安全保障工作得到有效、持续的改进。
信息安全评估的方式包括价值评估、风险评估、等级保护测评和渗透测试等。
一、价值评估
信息系统是满足用户所需的业务系统,其安全只是整个信息系统中的一环。此外,信息安全是实用技术,不能一味追求理论上的完美。因此,需要从信息系统自身的价值和提供相应安全服务所需花费的额外代价两方面进行价值评估,即对保护信息及其系统的价值进行评估,包括物理价值、软件价值、网络价值、管理价值和人员成本等。其中,物理价值是指计算机、存储设备(磁盘和内存等)和外围设备的硬件费用。软件价值是指操作系统、应用程序和数据所涉及的费用。网络价值是指网络各部件本身的费用。管理价值是指防护管理所需规定、制度、政策的费用。人员费用是指操作员、维修员、用户、管理员的雇佣费和培训费等方面的支出。要达到保护的重点明确和层次清楚,不花很大代价去保护低价值的信息。
二、风险评估
风险评估是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁及利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。
价值评估和风险评估紧密相关,在价值和损失的风险之间必须做出权衡。风险评估不能笼统做出,而要一项一项具体分析。风险评估主要包含资产分析、威胁分析、脆弱分析和安全措施建议,并考虑业务战略、资产价值、安全需求、安全事件、残余风险等相关属性。其中,资产分析是对资产进行识别,并对资产的价值进行赋值。威胁分析是对威胁进行识别,描述威胁主体、影响对象、出现频率、动机等属性,并对威胁出现的频率赋值。威胁的种类很多,如火灾、水灾和地震等自然灾害威胁,过失损害或恶意损害等人工威胁等。不同信息系统所关心的威胁类型不同,要求的层次也有差别。只有威胁的种类和层次分析清楚才能采取有效的防范措施。脆弱性分析是对脆弱性(包括物理漏洞、硬件漏洞、软件漏洞、网络漏洞、管理漏洞和人员漏洞等)进行识别,并对具体信息系统的脆弱性严重程度赋值。其中,物理漏洞包括不严格的机房进出控制,不可靠的环境控制(如空调和供水等),不可靠的电源和防火措施等。硬件漏洞包括信号辐射等。软件漏洞包括错误的响应,不能备份和不能升级等。网络漏洞包括缺乏对信息窃听的防范措施,缺乏路由冗余等。管理漏洞包括不完善,前后矛盾,不适当的规定,以及制度和政策等。人员漏洞包括贪欲、欺诈和贿赂等。任何信息系统都有各种漏洞或脆弱性,信息安全的任务就是弥补漏洞,克服原有脆弱性。风险评估是根据威胁及利用脆弱性的难易程度判断安全事件发生的可能性,根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失,根据安全事件发生的可能性及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。最后,根据风险值提出相应的防护措施。
三、等级保护测评
信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种方式。信息安全等级保护包括定级、备案、安全建设和整改、信息安全等级保护测评、信息安全检查5个阶段。其中,信息安全等级保护测评是测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。通过等级保护测评,可以了解目前的信息系统安全保护实际情况,明确安全需求,为后续的信息安全建设和整改提供参考和依据,并切实提升信息系统的安全防护能力。在信息安全等级保护测评中,包括测评活动准备、方案编制、现场测评和分析及报告编制。
信息系统安全等级保护测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同,安全等级的信息系统应具有不同的安全保护能力:一方面,通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现;另一方面,分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构及安全控制间、层面间和区域间的相互关联关系密切相关。因此,信息系统安全等级测评在安全控制测评的基础上,还要包括系统整体测评。
四、渗透测试
渗透测试是尽可能完整地模拟攻击者使用的漏洞发现技术和漏洞利用等攻击手段,从攻击者的角度对信息系统中的目标网络、系统、主机应用的安全性作深入的非破坏性的探测,发现系统最脆弱环节的过程。渗透测试通常能以非常明显、直观的结果来反映出信息系统的安全现状,其目的是能够让管理人员直观地知道自己信息系统所面临的安全问题。
在渗透测试中,为了不对测试目标造成破坏、损害或篡改,某些可能会对测试对象造成负面影响的攻击方法和手段,在渗透测试中不予使用,具体包括社会工程学、分布式拒绝服务攻击、恶意代码(包括木马、病毒等),以及对即时通信工具的攻击和网络钓鱼等。
信息安全评估标准是信息安全评估的行动指南,为此,不同国家和组织都提出了不同的信息安全评估标准,如美国国防部制定的可信计算机系统评估准则(Trusted Computer System Evaluation Criteria,TCSEC)。TCSEC准则于1970年由美国国防科学委员会提出,并于1985年12月由美国国防部公布,是计算机系统安全评估的第一个正式标准。该标准认为要使系统免受攻击,对应不同的安全级别,硬件、软件和存储的信息应实施不同的安全保护。安全级别对不同类型的物理安全、用户身份验证、操作系统软件的可信任性和用户应用程序进行了安全描述。
TCSEC标准对多用户计算机系统安全级别的划分进行了规定,并将网络安全性由高到低划分为A、B1、B2、B3、C1、C2、D,共4类7个等级,其中,A类安全等级最高,D类安全等级最低,对用户登录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通道建立、安全检测、生命周期保障、文档写作、用户指南等内容提出了规范性要求,如表1-2所示。
一、D1级
D类安全等级只包括D1一个级别。D1级是可用的最低安全级别,也称酌情安全保护。D1标准几乎是一个完全没有保护的信息系统。对于硬件来说,没有任何保护作用。对于操作系统来说较容易受到损害。对于用户和他们存储在计算机上的信息来说,没有系统访问限制和数据访问限制,没有身份认证,任何人不需要账户都可以进入系统,不受限制就可以访问他人的数据文件。因此,整个系统都是不可信任的,硬件和软件都易被入侵。
二、C1级
C类安全等级能够提供审慎的保护,并为用户的行动和责任提供审计能力。C类有两个安全子级别,分别是C1和C2。其中,C1级称为自主安全保护。对硬件来说,存在某种程度的保护,因为它不再容易受到损害,尽管这种可能性存在。用户必须通过用户注册名和口令系统识别自己,用这种方式来确定每个用户对程序和信息拥有什么样的访问权限。C1级信息系统的可信计算基(Trusted Computing Base,TCB)通过将用户和数据分开来达到安全的目的。在C1级信息系统中,所有的用户以同样的灵敏度来处理数据,即用户认为C1级信息系统中的所有文档都具有相同的机密性。
三、C2级
C2级也称受控存取保护,它除了具有C1级中所有的安全性特征外,还包括其他的创建受控访问环境的安全特性,该环境具有进一步限制用户执行某些命令或访问某些文件的能力。这不仅基于许可权限,而且基于身份验证级别。另外,这种安全级别要求对系统加以审核,审核可用来跟踪记录所有与安全有关的事件,如哪些是由系统管理员执行的活动。最后,C2级通过授权分级使系统管理员给用户分组,授予他们访问某些程序和分级目录的权限。
四、B1级
B类也称被标签的安全性保护,它可分为B1、B2和B3三个级别。B类信息系统具有强制性保护功能。强制性保护意味着如果用户没有与安全等级相连,信息系统就不会让用户存取对象。其中,B1级称为标准安全保护,它是支持多级安全的第一个级别,对信息系统上的每个对象都实施保护,并对信息系统中的网络、应用程序工作站实施不同的安全策略。B1级说明了一个处于强制性访问控制之下的对象,不允许文件的拥有者改变其许可权限。
五、B2级
B2级也称结构保护,要求信息系统中的所有对象都加标签,而且给工作站、终端等设备分配单个或多个安全级别。按最小特权原则取消权力无限大的特权用户。这是提出的较高安全级别的对象与另一个较低安全级别的对象相互通信的第一个级别。
六、B3级
B3级也称安全域,使用安装硬件的办法来加强域,例如,内存管理硬件用来保护安全域免遭无授权访问或其他安全域对象的修改。此外,它要求用户工作站或终端必须通过信任的途径连接到网络系统内部的主机上。根据最小特权原则,增加了系统安全员,将系统管理员、系统操作员和系统安全员的职责分离,将人为因素对计算机安全的威胁减至最小。
七、A1级
A类也称验证设计级,是TCSEC标准中的最高级别。目前,A类安全等级只包含A1一个安全级别。A1级包含了一个严格的设计、控制和验证过程。与前面提到的各级别一样,这一级包含了较低级别的所有特性,并附加了一个安全系统的受监视设计。其设计必须是从数学上经过验证的,而且必须进行对秘密通道和可信任分布的分析。所有构成系统部件的来源都必须有安全保证。此外,A1级还规定了将安全计算机系统运送到现场安装所必须遵守的程序。A1级信息系统必须满足下列要求:系统管理员必须从开发者那里接收到一个安全策略的正式模型;所有的安装操作都必须由系统管理员进行;系统管理员进行的每一步安装操作都必须有正式文档。
除了TCSEC标准,欧洲的英国、法国、德国、荷兰四国提出了评价满足保密性、完整性、可用性要求的信息技术安全评价准则(Information Technology Security Evaluation Criteria,ITSEC)。美国联合英国、法国、德国、荷兰和加拿大,并会同国际标准化组织共同提出信息技术安全评价的通用准则(CC for ITSEC),成为代替TCSEC的评价安全信息系统的标准(ISO/IEC 15408,也称CC标准)。CC标准是第一个信息技术安全评价的国际标准,它的发布对信息安全具有重要意义,是信息技术安全评价标准及信息安全技术发展的一个重要里程碑。该标准定义了评价信息技术产品和系统安全性的基本准则,提出了目前国际上公认的表述信息技术安全性的结构,即把安全要求分为规范产品和系统安全行为的功能要求,以及如何正确有效地实施这些功能的保证要求。我国2001年由中国信息安全产品测评认证中心牵头,将ISO/IEC 15408转化为国家标准,即《信息技术安全性评估准则》(GB/T 18336),并直接应用于我国的信息安全测评认证工作。
信息安全是信息系统实现互联、互用、互操作过程中提出的安全需求,因此迫切需要技术标准来规范系统的设计和实现。信息安全标准是一种多学科、综合性、规范性很强的标准,其目的在于保证信息系统的安全运行。一个完整、统一、科学、先进的信息安全标准体系是十分重要的。没有标准就没有规范,无规范就无法形成规模化信息安全产业,无法生产出满足信息社会广泛需求的产品。没有标准无法规范人们的安全防范行为,无法提高全体人员的信息安全意识和整体水平。
从事信息安全标准化工作的组织有国际标准化组织(International Organization Standardization,ISO)、国际电工委员会(International Electrotechnical Commission,IEC)、国际电信联盟(International Telecommunication Union,ITU)、国际互联网工程任务组(The Internet Engineering Task Force,IETF)、可信计算组织(Trusted Computing Group,TCG)、美国国家标准化协会(American National Standards Institute,ANSI)、美国国家标准技术研究所(National Institute of Standards and Technology,NIST)、美国国防部(United States Department of Defense,DOD)和美国电气电工工程师协会(Institute of Electrical and Electronics Engineers,IEEE),以及我国的全国信息安全标准化技术委员会(National Information Security Standardization Technical Committee,NISSTC)和中国通信标准化协议(China Communications Standards Association,CCSA)等。
一、ISO/IEC
ISO和IEC是世界上专门从事标准化工作的国际组织。在信息技术领域,ISO和IEC成立了第1联合技术委员会(Joint Technical Committee1,JTC1)。SC27是JTC1中专门从事信息安全通用方法及技术标准化工作的分技术委员会,负责确定信息技术系统安全服务的一般需求(包括需求的方法学),研究并制定相关的安全技术和机制(包括登记规程和安全部件间的相互关系),研究并制定安全指南(如说明性的文档、风险分析等),研究并制定管理支撑文档和标准(如词汇、安全评估准则等),研究并制定用于完整性、鉴别和抗抵赖性等服务的密码算法标准。同时根据国际认可的策略,研究并制定用于保密性服务的密码算法标准。1989年,ISO对信息系统的安全体系结构制定了OSI基本参考模型ISO/IEC 7498-2,并于2000年年底确定了信息技术安全评估标准ISO/IEC 15408。目前,SC27发布、正在制定及规划的信息安全国际标准超过80项。这些标准主要包括安全技术与机制(如密码算法、散列函数、数字签名机制、实体鉴别机制等)、安全评估准则和安全管理(如安全管理控制措施、安全管理指南等)。这些标准对促进和规范信息安全领域起到了重要的指导作用。
二、ITU
ITU是主管信息通信技术事务的联合国机构,负责分配和管理全球无线电频谱与卫星轨道资源,制定全球电信标准,促进全球电信发展。其中,国际电信联盟电信标准局(ITU-T)所属的第17研究组SG17主要负责研究通信系统安全标准,包括通信安全项目、安全架构和框架、计算安全、管理安全、用于安全的生物测定和安全通信服务。目前,ITU-T正式发布的信息安全标准达74个,包括ITU-T与ISO联合开发的X.400、X.500目录系统和安全框架,安全模型等方面的信息安全标准等。其中,X.509标准是开展电子商务认证的重要基础标准。
三、IETF
IETF是权威的互联网技术标准化组织,主要任务是负责互联网相关技术规范的研发和制定。IETF标准制定的具体工作由各个工作组承担。在信息安全领域,有关的工作组包括IPsec、PKCS、TLS等。形成的标准有SNMP安全管理协议(RFC 1352)、因特网电子邮件保密增强(RFC 1421-1424)、因特网协议安全体系结构(RFC 1825)等。这些事实标准对提高和改善互联网的安全性起到了至关重要的作用。
四、TCG
TCG(Trusted Computing Group),即可信计算组织,是由AMD、惠普、IBM、英特尔和微软组成的一个组织,旨在建立计算机的可信计算概念。该组织于2003年成立,并取代了于1999年成立的可信计算平台联盟(Trusted Computing Platform Alliance,TCPA)。目前,该组织已发展成员190家,覆盖全球各大洲的主力厂商。TCG组织制定了可信计算平台标准规范,即TPM(Trusted Platform Module)标准。
五、ANSI
ANSI于20世纪80年代初开始数据加密标准化工作,制定了多项美国国家标准。ANSI中的国家信息技术标准委员会NCITS负责信息技术,承担着JTC1秘书处的工作,其中,分技术委员会T4专门负责IT安全技术标准化工作,对口JTC1的SC27。ANSI负责制定的数据加密标准,如AES算法等,经国际标准化组织反复讨论后成为国际标准。
六、NIST
NIST主要负责制定美国联邦计算机系统标准和指导文件,所出版的标准和规范被称作联邦信息处理标准(Federal Information Processing Standards,FIPS)。FIPS安全标准也是美国军用信息安全标准的重要来源。FIPS由NIST在广泛搜集政府各部门及私人部门意见的基础上写成。正式发布之前,将FIPS分送给每个政府机构,并在联邦注册上刊印出版。经再次征求意见之后,NIST局长把标准连同NIST的建议一起呈送美国商业部,由商业部长签字同意或反对这个标准。FIPS安全标准的一个著名实例就是数据加密标准DES算法。目前,NIST已制定了33项与信息安全相关的FIPS和66种与信息安全相关的专题出版物,包括NIST SP 800系列和NIST SP 500系列。
七、DOD
美国国防部十分重视信息的安全问题,并发布了一些有关信息安全和自动信息系统安全的指令、指示和标准,并且加强信息安全的管理,特别是DOD 5200.28-STD《可信计算机系统评估准则》,受到各方面广泛的关注,为研究制定信息技术安全性评估准则提供了重要的基础。
八、IEEE
IEEE是美国电子电气工程师协会,从1990年IEEE成立 802.11无线局域网工作组以来,相继成立了802.15无线个人网络工作组、802.16无线宽带网络工作组和802.20移动宽带无线接入工作组等。其在信息安全标准化方面的贡献,主要是提出LAN/WAN 无线通信安全方面的标准。
九、NISSTC
信息安全标准是我国信息安全保障体系的重要组成部分,是政府进行宏观管理的重要依据。从国家意义上来说,信息安全标准关系到国家的安全及经济利益,标准往往成为保护国家利益、促进产业发展的一种重要手段。信息安全标准化是一项艰巨、长期的基础性工作。我国从20世纪80年代开始,全国信息技术标准化技术委员会信息安全分技术委员会积极采用国际标准的原则,转化了一批国际信息安全基础技术标准,为我国信息安全技术的发展做出了一定贡献。同时,公安部、国家安全部、国家保密局、国家密码管理委员会等相继制定、颁布了一批信息安全的行业标准,为推动信息安全技术在各行业的应用和普及发挥了积极的作用。但是,信息安全标准化是一项涉及面广、组织协调任务重的工作,需要各界的支持和协作。因此,国家标准化管理委员会批准成立全国信息安全标准化技术委员会(NISSTC)。
全国信息安全标准化技术委员会简称信息安全标委会(TC260)于2002年4月15日在北京正式成立,是在信息安全技术专业领域内,从事信息安全标准化工作的技术工作组织。NISSTC负责组织开展国内信息安全有关的标准化技术工作,主要工作范围包括安全技术、安全机制、安全服务、安全管理、安全评估等领域。NISSTC的职责是组织制定信息安全国家标准,具体包括统一协调和申报信息安全国家标准项目,组织国家标准的起草、送审、报批、宣贯等工作。
十、CCSA
CCSA成立于2002年,是国内企事业单位自愿联合组织起来开展通信技术领域标准化活动的组织。CCSA下设了有线网络安全、无线网络信息安全、安全管理和安全基础4个工作组,负责制定电话网、互联网、传输网和接入网等有线电信网络相关的安全标准,无线网络中接入、核心网、业务等相关的安全标准及安全管理和安全基础设施相关的安全标准。
十一、我国的信息安全标准
我国信息安全标准化工作从20世纪80年代中期开始,在制定我国的安全标准时,也尽量与国际环境相适应,自主制定和采用了一批相应的信息安全标准。到2016年年底,已经制定、报批和发布了有关信息安全的国家标准170个,被ISO等组织采用的国际标准111个,现在正在制定中的国家标准123个,对我国的信息化信息安全起到了重要的指导作用。此外,我国一些对信息安全要求高的行业和一些信息安全管理负有责任的部门,也制定了一些有关信息安全的行业标准和部门标准。表1-3列出了我国的部分信息安全标准。
在信息安全实践中,许多信息和系统非法破坏、信息非法窃取等安全威胁主要来自于信息系统的内在缺陷和内部攻击,主要表现如下。
(1)计算机硬件结构简化,可任意使用资源,特别是修改执行代码,植入恶意程序。
(2)操作系统对执行代码不检查一致性,病毒程序可利用这一弱点将病毒代码嵌入执行代码中进行扩散。
(3)攻击者可利用被攻击信息系统的漏洞,从而窃取超级用户权限,并植入攻击程序,最后进行肆意破坏,攻击计算机系统。
(4)用户未得到严格控制,从而可越权访问,致使不安全事故的产生。
所有这些攻击都是从个人计算机终端上发起,而产生内在缺陷和内部攻击的根源在于没有从体系架构上建立计算机的恶意代码攻击免疫机制。另一方面,目前传统信息安全系统以防外部入侵攻击为主,与现今信息安全的主要威胁来自内部缺陷的实际不符合。这种采用传统的信息安全措施由于只封堵外围攻击,没有从根本上解决产生不安全的内在问题,最终结果是防不胜防。因此,如何从体系架构上建立恶意代码攻击免疫机制,实现计算系统平台安全、可信赖地运行,已经成为亟待解决的核心问题。可信计算就是在此背景下提出的一种技术理念,它从计算机的芯片、硬件结构和操作系统等方面综合采取措施,采用防内为主、内外兼防的计算模式,通过建立一种特定的可信度量机制,使计算平台运行时具备分辨可信程序代码与不可信程序代码的能力,从而对不可信的程序代码建立有效的防御方法和措施,提高计算节点的内在安全性,确保计算源头的安全。
可信计算与信息安全的关系在学术上是指:可信≈安全+可靠。因此,可信计算系统是能够提供信息系统的可靠性、可用性、信息和行为安全性的计算机系统。可信计算的理念来自于人们所处的社会生活。社会之所以能够和谐运转,就得益于人与人之间建立的信任关系。与社会所不同的是建立信任的途径不同。社会之中的信任是通过亲情、友情、爱情等纽带来建立,但计算机是没有感情的实体,一切的信息都是二进制数据流,所以在计算机世界中就需要建立一种二进制数据流的信任机制。近年来,体现整体安全的可信计算技术越来越受到人们的关注,这正是因为它有别于传统的安全技术,从根本上来解决安全问题。为从计算节点上解决信息系统安全的问题,需要建立信息的可信传递。所以,可信计算的核心就是要建立一种信任机制,用户信任计算机,计算机信任用户,用户在操作计算机时需要证明自己的身份,计算机在为用户服务时也要验证用户的身份。实现人与程序之间、人与机器之间的数据可信传递就能得到保证。此外,在计算机世界中要建立一种二进制数据流的信任机制,这就必须使用密码技术,从而密码技术成为可信计算的支撑技术之一。
随着全球社会信息化的深入发展和持续推进,以及计算技术和网络技术的迅速发展,计算机及网络空间中的数字信息在各个领域所占的比重越来越大。以数字化、网络化、智能化为特征的信息社会,为信息安全带来了新技术、新环境和新形态,信息安全主要体现在计算机与网络安全领域,反映在跨越时空的计算机信息系统和网络空间之中,反映在互联互通之中。本章从信息安全的概念、体系结构、保障、模型、模式和评估等不同维度进行详细说明,对目前的相关标准化机构和组织进行介绍。具体分析了信息安全和可信计算的关系。随着信息与网络空间安全提升为国家安全战略需要,发展自主可信计算成为我国的必经之路。本书的后续章节将进一步介绍可信计算的密码基础和关键技术。在此基础上,学习基于龙芯的自主可信计算平台及其应用。
