1. 简介% v2 c4 P% Y4 u0 P9 }( x
随着Internet及网络的迅猛发展,众多用户可以借助网络共享和交流信息,极大地提高了工作效率;但另一方面,网络(尤其是Internet)本身的开放性也必然存在着极大的安全隐患,伴随网络接踵而来的黑客大肆攻击网站事件、蠕虫病毒导致严重网络瘫痪事件,已经不断向人们敲响了网络安全的警钟。毫不夸张地说,在缺乏保护的情况下,用户在网络上存储和传输的任何信息,都存在着被泄露和篡改的可能性。因此,在网络化、信息化进程不可逆转的形势下,如何最大限度地减少或避免因信息泄漏、破坏所造成的经济损失,是摆在我们面前亟需解决的一项重大课题。
! T( o: l/ P2 M+ \& S$ G网络信息安全是一个涉及计算机技术、网络通信技术、密码技术、信息安全技术等多种技术的边缘性综合学科。有效的安全策略或方案的制定,是网络信息安全的首要目标。网络信息安全技术通常从防止信息窃密和防止信息破坏两个方面加以考虑。防止信息窃密的技术通常采用防火墙技术、密钥管理、通信保密、文件保密、数字签名等。防止信息破坏的技术有防止计算机病毒、入侵检测、接入控制等。 X; s- h! X% |% F$ O3 J
2. 网络信息安全技术的分类
/ p/ f. j( `4 z/ ~ 本文从另一个角度综述了网络信息安全技术,主要基于以下两个特性对目前使用的网络信息安全技术进行了分类:: ]+ f3 k0 G, W2 ^0 k) U0 f
(1)技术与数据的交互时间:即主动的或者被动的。/ `0 ~5 w% R; \' _# h1 L. W
(2)技术是在网络层、主机层还是在应用层上实现的。 * P$ M* z! e) Y; z
主动意味着:特定的信息安全技术采用主动的措施,试图在出现安全破坏之前保护数据或者资源。被动意味着:一旦检测到安全破坏,特定的信息安全技术才会采取保护措施,试图保护数据或者资源。主动和被动的信息安全技术都可以应用于应用层、主机层或者网络层。应用层上的信息安全技术试图保护“明确与主机上的单个计算机程序有关”的数据或者资源。主机层上的信息安全技术试图保护单个计算机上的数据或者资源。网络层上的信息安全技术试图保护正在计算机系统(通过电话线或者其他方式互连以共享信息)上传输的数据或者资源。" {8 W Q, X9 j" |5 ^8 Q1 \
2.1 被动的信息安全技术4 L; |# f/ d* a3 H5 e# w0 }
2.1.1 防火墙3 v4 r7 D3 c2 L/ K( d% C; d
防火墙是抵御入侵者的第一道防线,它的目的是阻止未授权的通信进入或者流出被保护的机构内部网络或者主机,最大限度地防止网络中的黑客更改、拷贝、毁坏敏感信息。Internet防火墙是安装在特殊配置计算机上的软件工具,作为机构内部或者信任网络和不信任网络或者Internet之间的安全屏障、过滤器或者瓶颈。
7 z( M. H" Z. s% O( f L. n个人防火墙是面向个人用户的防火墙软件,可以根据用户的要求隔断或连通用户计算机与Internet之间的连接。用户可以通过设定规则来决定哪些情况下防火墙应该隔断计算机与Internet间的数据传输,哪些情况下允许两者间的数据传输。与网络防火墙不同的是个人防火墙通常直接切入用户的个人操作系统,并接管用户操作系统对网络的控制,使得运行在系统上的网络应用软件在访问网络的时候,都必须经过防火墙的确认,从而达到控制用户计算机和Internet之间连接的目的。
: Z, L9 o" T0 H+ H& I防火墙是被动的信息安全技术,因为一旦出现特定的安全事件,才会使用防火墙抵御它们。在以下各个层次上实现防火墙:
1 a" g1 l4 u6 F4 m2 k(l)在主机层:可以将个人防火墙安装在主机上,试图只阻止或者只允许特定数据流进入或者流出那个特定的主机。4 |6 A$ o( f% u$ Q9 q _
(2)在网络层:可以将网络防火墙安装在充当专用网络网关的主机上。网络防火墙试图阻止或者允许特定数据流进入或者流出位于网络防火墙后面的所有主机. D6 ~! @# @, {/ z5 M
2.1.2 接入控制5 R3 F; J% v: L( ]
接入控制的目的是确保主体有足够的权利对系统执行特定的动作。主体可以是一个用户、一群用户、服务或者应用程序。主体对系统中的特定对象有不同的接入级别。对象可以是文件、目录、打印机或者进程.
7 w x5 J# R; q4 v 一旦有接入请求,就会使用接入控制技术允许或者拒绝接入系统,所以它是被动的信息安全技术。在各个层次上实现接入控制: + j8 c2 ~3 d" A( g! V3 q8 j
(l)在应用层:使用应用程序中列出的接入控制,针对主体对特定对象的接入请求允许或者拒绝接入。 8 M, s5 f# J1 R- A
(2)在主机层:当用户试图登录到主机时,允许或者拒绝接入该主机。 * Q, C" O* Q4 z Q- r+ o+ l- Y
(3)在网络层:当用户试图通过主机或者进程登录到网络时,允许或者拒绝接入该网络。5 f- D5 _& f! [; z0 W
2.1.3 口令
# R( H) {! B8 z4 n; Q, Z8 Q E口令是某个人必须输入才能获得进入或者接入信息(例如文件、应用程序或者计算机系统)的保密字、短语或者字符序列。& |# U$ k) T- z* X# F. i
口令是被动的信息安全技术,因为一旦有人或者进程想登录到应用程序、主机或者网络,才会使用它们允许或者拒绝接入系统。在各个层次上实现口令: 1 {1 X: O& J) K2 ~2 q. x
(l)在应用层:根据一个人或者进程是否提供正确的口令,允许或者拒绝这个人或者进程接入特定的应用程序。
/ m+ N2 k6 E) w% Z$ H) w(2)在主机层:根据一个人或者进程是否提供正确的口令,允许或者拒绝这个人或者进程接入特定主机。
9 @5 a; J. e5 B/ t6 \(3)在网络层:根据一个人或者进程是否提供正确的口令,允许或者拒绝这个人或者进程接入网络。
F4 i7 e/ r8 C/ X2.1.4 生物特征识别
7 D5 v% S) Z3 b- m 生物特征识别技术是指通过计算机利用人类自身的生理或行为特征进行身份认定的一种技术,包括指纹、虹膜、掌纹、面相、声音、视网膜和DNA等人体的生理特征,以及签名的动作、行走的步态、击打键盘的力度等行为特征。生物特征的特点是人各有异、终生不变(几乎)、随身携带。
- q8 ? e9 G ^/ J 一旦某个人想使用他/她人体的一部分的几何结构登录到应用程序、主机或者网络,就会使用生物特征识别技术允许或者拒绝他/她接入系统,所以该技术是被动的信息安全技术,在各个层次上实现生物特征识别技术:
. B& n( i1 e3 F! @' R(l)在应用层:根据某个人是否提供他/她自己的生物统计特征,允许或者拒绝这个人接入特定的应用程序。 3 P3 a# m. L& s' h7 D* e0 n4 s% |" V
(2)在主机层:根据某个人是否提供他/她自己的生物统计特征,允许或者拒绝这个人接入特定的主机。
) b! o* Y" h; E, C9 N2 M9 D(3)在网络层:根据某个人是否提供他/她自己的生物统计特征,允许或者拒绝这个人接入网络。
! o1 m! `; Q9 Z/ j+ u( x+ l2.1.5 入侵检测系统: L" S0 @$ G( I. j0 a5 h& X* c
入侵检测是监控计算机系统或者网络中发生的事件、并且分析它们的入侵迹象的进程。入侵是试图损害资源的完整性、机密性或者可用性的任何一组动作。入侵检测系统(IDS)是自动实现这个监控和分析进程的软件或者硬件技术。
" x# m. @$ }* ?3 }9 N* m8 [由于IDS用于监控网络上的主机,并且一旦出现入侵,就会对入侵采取行动,所以IDS是被动的信息安全技术。在以下各层次上实现IDS:
: a: W# S' d* t2 e; R: n1 |(l)在主机层:IDS监控特定的主机,从而检测对那个特定主机的入侵。它运行在个人主机上,并且连续检查那个主机的检查日志,查找可能的入侵迹象。) n- @' e) h( [" x' g+ N. D
(2)在网络层:可以将IDS节点放置在试图检测由多台主机引起的入侵(例如分布式拒绝服务攻击)并对其起作用的网络中。# @$ A' P6 O7 u. _6 A' `* X/ O
2.1.6 登录日志
" C) U; F& S4 `) Z 登录日志是试图搜集有关发生的特定事件信息的信息安全技术,其目的是提供检查追踪记录(在发生了安全事件之后,可以追踪它)。; y8 o5 i$ U9 M/ D% u3 @
登录日志是被动的信息安全技术,因为是在发生了安全事件之后,才使用它追踪安全事件。在各个层次上执行登录日志:
" J& S/ {* [+ o% j- T7 p; J(l)在应用层:特定的软件应用程序监控其他软件应用程序,并且记录那些软件应用程序引起的事件。
8 G" F! x% g2 Y9 N- r& O(2)在主机层:特定的软件应用程序监控操作系统运行的进程,并且记录那些进程引起的事件。
% L7 j1 E' |' C; O(3)在网络层:特定的硬件或者软件应用程序能够在它经过网络中的特定点上的网络监控器时,监控网络业务。 d7 G3 \2 p" b3 ?6 y
2.1.7 远程接入
' n7 C {/ s8 H( b 远程接入是允许某个人或者进程接入远程服务的信息安全技术。但是,接入远程服务并不总是受控的,有可能匿名接入远程服务,并造成威胁。例如,可能错误地将一些系统配置为默认地允许匿名连接,但是根据机构的安全策略来说,实际上不应该允许匿名连接。- [: W0 c% m1 m8 D
远程接入是被动的信息安全技术,因为它使一个人或者进程能够根据他们的接入权限连接到远程服务。在主机层执行远程接入: ' o/ y! p! ^, X% e& m( Y5 m
(l)在主机层:特定的主机运行服务,使远端的人或者进程能够连接到它,并且根据他们的特定接入权限允许接入。
. t9 S' G1 z) V& M* b8 ~4 v2.2 主动的网络信息安全技术+ J9 `4 Y. Z4 z8 N& |
2.2.1 密码术
* A" ^( t; E8 i+ w( J. h2 z3 O 密码术是将明文变成密文和把密文变成明文的技术或科学,用于保护数据机密性和完整性。密码术包括两个方面:加密是转换或者扰乱明文消息、使其变成密文消息的进程;解密是重新安排密文、将密文消息转换为明文消息的进程。
" B! L: t- B& J1 W4 G9 h由于密码术是通过对数据加密、在潜在威胁可能出现之前保护数据,所以它是主动的网络信息安全技术。在以下层次上执行密码术:
' O1 j/ {# [+ l3 X(l)在应用层:特定的应用程序在入侵者能够截取敏感数据之前执行加密进程。
+ a0 D% |7 e, }- B(2)在网络层:硬件加密(不是软件加密)可以发生在网络层上放置硬件加密模型的任何地方。
8 O$ \7 g" w, a, b" e0 o2.2.2 数字签名$ T! \) [- K7 K; y9 X* U* I
数字签名与手写签名是等效的,它们有相同的目的:将只有某个个体才有的标记与文本正文相关联。与手写签名一样,数字签名必须是不可伪造的,换句话说,应该只有消息的合法发送方才能创建数字签名。数字签名是使用加密算法创建的,使用建立在公开密钥加密技术基础上的“数字签名”技术,可以在电子事务中证明用户的身份,就像兑付支票时要出示有效证件一样。用户也可以使用数字签名来加密邮件以保护个人隐私。5 K, L0 M9 s6 h* l% N; {
数字签名是主动的信息安全技术,因为是在出现任何怀疑“消息的特定发送方不是真正的预期发送方”之前,创建数字签名。因此,创建数字签名预先指出消息的特定发送方是那个消息的惟一创建者。在应用层上执行数字签名: * o) {, f1 d/ x7 s- z
(l)数字签名是在被发送给特定的接收者之前,由特定的应用程序创建的。9 Y7 M- g# t) C' y1 |; V+ X
2.2.3 数字证书
7 V+ _" W6 T [3 z) y/ A 数字证书试图解决Internet上的信任问题。数字证书是由信任的第三方(也称为认证机构,CA)颁发的。CA 是担保Web上的人或者机构身份的商业组织。因此,在Web用户之间建立了信任网络。用简单的术语来说,“信任”或者“担保”的概念可以叙述为是“我信任的某个人――CA――信任这个另外的人,所以我也将信任他”。
2 R/ H# f9 `: f& ~; @, w$ ~7 D" \ 由于证书用于将通信一方的公钥发送给通信的另一方,可以在双方通信之前建立信任,所以数字证书是主动的信息安全技术。在应用层执行数字证书:
: [9 A6 M+ \5 ]+ S: l8 a* c& m(l)特定的应用程序(例如Web浏览器)在通信开始之前验证它可以信任特定的通信方。$ G( j# k7 U _9 b4 H$ u* j
2.2.4 虚拟专用网( n5 X U! }* N* o
虚拟专用网(VPN)能够利用Internet或其它公共互联网络的基础设施为用户创建隧道,并提供与专用网络一样的安全和功能保障。VPN支持企业通过Internet等公共互联网络与分支机构或其它公司建立连接,进行安全的通讯。VPN技术采用了隧道技术:数据包不是公开在网上传输,而是首先进行加密以确保安全,然后由VPN封装成IP包的形式,通过隧道在网上传输,因此该技术与密码术紧密相关。但是,普通加密与VPN之间在功能上是有区别的:只有在公共网络上传输数据时,才对数据加密――不加密在发起主机和VPN主机之间传输的数据。5 ~: R6 P9 @4 ?
VPN是主动的信息安全技术,因为它通过加密数据、在公共网络上传输数据之前保护它,因此只有合法个体才能阅读该信息。而且,VPN运行在网络层:
( i8 `4 K- r* x, r(l)在网络上发送加密数据之前,在位于网络入口上的两个VPN主机之间执行加密进程。
4 C+ E* e' }5 [- o+ x' a; _2.2.5 漏洞扫描
# a( V9 A# J6 k5 k z& y+ U4 ` 漏洞扫描(VS)使用它们可以标识的漏洞的特征。因此,VS其实是入侵检测的特例。因为漏洞扫描定期而不是连续扫描网络上的主机,所以也将其称为定期扫描。由于VS试图在入侵者或者恶意应用可以利用漏洞之前标识漏洞,所以它是主动的信息安全技术。而且,VS运行在主机层:. S4 \' p9 H) c( h
(l)VS在整个主机上扫描漏洞,试图标识特定主机的所有软件应用程序和硬件中的漏洞。
/ p8 m' |8 Y$ f2.2.6 病毒扫描
" |. {7 |2 [0 P' t4 h1 Y 计算机病毒是具有自我复制能力的并具有破坏性的恶意计算机程序,它会影响和破坏正常程序的执行和数据的安全。它不仅侵入到所运行的计算机系统,而且还能不断地把自己的复制品传播到其他的程序中,以此达到破坏作用。当内部客户上网接收邮件、浏览主页或下载文件时,病毒和一些恶意代码(如ActiveX control 和java applet)能感染客户的主机,对企业内部网络进行攻击,使企业蒙受巨大的损失。目前,病毒已成为黑客对系统进行攻击的一个有效的手段。因此,已经开发了防病毒扫描器来抵制计算机病毒。
0 D5 B. |6 k+ g x) J 病毒扫描试图在病毒和函数引起严重的破坏之前扫描它们,和VS非常类似:它们也“知道”特定病毒的具体特征。因此,病毒软件也是主动的信息安全技术。而且,在以下层次上执行病毒扫描: ' B' _9 y* N+ P' x
(l)在应用层:特定的应用程序扫描已知病毒的特征,试图在它们引起严重破坏之前检测到它们。应用层上的病毒往往是“静态的”(例如特洛伊木马)。 3 |; C6 x; R }. N: _- L8 K
(2)在主机层:病毒(通过使用EMAIL程序,能够复制它们自己)几乎可以在主机的任何地方引起恶意的活动。必须在这类病毒启动它们的恶意活动之前,在整个主机上扫描它们。8 _# \7 {$ U$ @* U/ d' t
2.2.7 安全协议
5 ?+ T# H% v$ B9 U8 N2 { 属于信息安全技术的安全协议包括有IPSec和Kerberos等。这些协议使用了“规范计算机或者应用程序之间的数据传输、从而在入侵者能够截取这类信息之前保护敏感信息”的标准过程。安全协议是主动的信息安全技术,因为它们使用特定的安全协议,试图在入侵者能够截取这类信息之前保护敏感信息。安全协议运行在以下层次上:
) {+ A1 @, a# L9 ~0 O6 A(l)在应用层:安全协议(例如Kerberos)是相互身份验证的协议,在应用层上处理身份验证。
q# z; F4 X1 ^(2)在网络层:安全协议还依赖网络基础结构执行它的安全任务,它是加密数据、还是只是封装分组以达到隐藏分组标识的安全目的。
$ S6 F1 m* V# l9 e$ W+ c. J2.2.8 安全硬件0 t- O) y0 J$ |% ~: {; l9 d! P! B: P
安全硬件指的是用于执行安全任务的物理硬件设备,例如硬件加密模块或者硬件路由器。安全硬件是一个主动的信息安全技术,因为它在潜在威胁可能出现之前保护数据(例如加密数据)。安全硬件是由防止窜改的物理设备组成的,因此阻止了入侵者更换或者修改硬件设备。在以下各个层次上实现安全硬件:
% }- l* ]: R+ M6 ]3 P(l)在主机层:可以将硬件设备附加到特定的主机上,执行它自己的安全功能,例如可以将硬件密钥插到主机的特定端口中,在特定用户能够登录到该主机之前验证用户的身份。
7 C; r/ V$ F& c3 o(2)在网络层:可以将硬件加密模块放在网络上,这提供了防止窜改的解决办法,并且可以在物理上加以保护。4 c" w3 a* ~ n% N3 k" s
2.2.9 安全SDK
) O$ \( z0 F" _3 l& E% y 安全软件开发工具包(SDK)是用于创建安全程序的编程工具。由于可以使用安全SDK开发各种软件安全应用程序,从而在潜在威胁可能出现之前保护数据,所以安全SDK是主动的信息安全技术。安全SDK用于开发各个层次上的安全软件:6 Q8 m6 p3 a8 U m7 ~) W
(l)在应用层:通过对磁盘上的数据加密,可以开发特定的软件应用程序保护数据。 , a, F7 {, J1 C% ?/ O& e3 h
(2)在主机层:可以开发特定的软件应用程序向主机证明用户或者进程是真实的。
) U- v& B! _/ K/ }; M- s(3)在网络层:通过在将数据发送到网络之前对它加密,开发特定的软件应用程序保护数据。
/ q& n6 k: x0 N% n3 y' _* ^" X# D: T! F3. 总结
" N9 O# m* `! U' y 随着Internet的迅速发展,网络信息安全面临着严重威胁,网络和信息的安全问题越来越受到人们的重视,必须采取有效措施才能保证网络信息安全。本文综述并且提出了网络信息安全技术的新分类方法,以利于机构、个人选择可以利用的网络信息安全技术,并且也助于进行新的网络信息安全技术的研究。, f* ~# Y# V* x: o! B
网络信息安全技术还需要不断的完善和发展,例如入侵检测系统仍然不够智能――仍然需要人类的太多交互才能建立和维护入侵检测系统。另外,漏洞扫描器要花费太多的资源和时间才能足够有效。合并各种信息安全技术从而构成更智能的信息安全技术也是今后的一个研究热点。例如,不久的将来,有可能合并防火墙、入侵检测系统和防病毒扫描器技术以构成更加鲁棒的网络信息安全技术。 |
发表于 2012-3-18 16:43:48
