1.2 计算机网络安全体系结构
1.2.1 一般安全模型
一般安全模型是基于安全策略建立起来的,它的基本结构如图1-6所示。所谓安全策略是指为达到预期安全目标而制定的一套安全服务准则。目前,多数网络安全策略都是建立在认证、授权、数据加密和访问控制等概念之上的,互联网络上常见的有直接风险控制策略、自适应网络安全策略和智能网络系统安全策略。
图1-6 一般安全模型
这里的“授权”意指“授予权力”。根据授权特性可将安全策略分为基于身份的安全策略和基于规则的安全策略两种。基于身份的安全策略是通过对访问者进行身份验证来决定能否对指定数据或资源进行访问的一种策略;基于规则的安全策略是通过对访问者所配发的安全标记与要访问的数据或资源的安全标记进行对比来决定其能否访问的一种策略。
在图1-6中,主机安全的内容主要包括:如何认证用户身份;如何有效控制对系统资源的访问;如何安全存储、处理系统中的数据;如何进行审计跟踪;系统漏洞检测、信息恢复等。
网络安全的主要内容包括:如何有效进行接入控制;如何保证数据传输的安全性;如何达到安全策略的系统特性(安全服务和安全机制问题);网络安全检测和安全恢复等。
组织安全的主要内容包括:建立健全安全的管理规范,因为最安全的环节是人为实现的,最薄弱的环节也是人为造成的,如何加强对人的管理是网络安全中的大问题。
法律安全的主要内容包括:隐私权、知识产权、数据签名、不可抵赖性服务。
美国国际互联网安全系统公司(ISS,Internet Security Systems Inc.)提出了一个可适应网络安全模型(Adaptive Network Security Model)——PPDR模型,即策略(Policy)、保护(Protection)、检测(Detection)和响应(Response)。如图1-7所示,PPDR强调依据安全策略,通过检测、响应和保护等环节的循环配合过程达到网络安全的目的。PPDR模型包括风险分析、执行策略、系统实施、漏洞检测和实时响应等几个主要环节。安全策略是PPDR模型的核心,它明确了安全管理的方向和技术支持手段。
图1-7 PPDR网络安全模型
为了实现PPDR模型,提高整个网络的安全性能,1997年ISS公司推出了基于PPDR的网络安全解决方案,并开发了SAFEsuite套件。该方案包括Internet扫描组件、系统扫描组件、数据库扫描组件、实时监控制组件和套件决策软件等内容,可用于网络安全的策略、保护、检测、响应等各个环节。
1.2.2 ISO/OSI安全体系
ISO/OSI安全体系包括安全服务、安全机制、安全管理和安全层次四部分内容。其中,安全机制是ISO/OSI安全体系的核心内容之一,通过安全机制实现了ISO/OSI安全体系中的安全服务和安全管理,而安全层次描述了安全服务的位置。
1.安全服务
ISO/OSI安全体系中提供了五种安全服务,分别是认证服务、数据机密性服务、数据完整性服务、访问控制服务和不可否认性服务。
2.安全机制
ISO/OSI安全体系中的安全机制分为特殊安全机制和通用安全机制两大类。
特殊安全机制包括加密机制、数字签名、访问控制、数据完整性、鉴别交换、业务流量填充、路由控制和公证机制。
通用安全机制包括可信任功能、安全标签、事件检测、安全审计跟踪和安全恢复。
3.安全管理
ISO/OSI安全体系中的安全管理可分为系统安全管理、安全服务管理和安全机制管理三个部分。
系统安全管理包括安全策略管理、事件处理管理、安全审计管理、安全恢复管理等。
安全服务管理包括为服务决定与指派目标安全保护、指定与维护选择规则、用以选取为提供所需的安全服务而使用的特定的安全机制、对那些需要事先取得管理同意的可用安全机制进行协商(本地的和远程的)、通过适当的安全机制管理功能调用特定的安全机制,例如,用来提供行政管理而强加的安全服务等。
安全机制管理包括密钥管理、加密管理、数字签名管理、访问控制管理、数据完整性管理、鉴别管理、通信业务填充管理、路由选择控制管理和公证管理等。
4.安全层次
ISO/OSI安全体系是通过在不同的网络层上分布不同的安全机制实现的,这些安全机制是为了满足相应的安全服务所必须选择的,其在不同网络层上的分布情况如图1-8所示。
图1-8 网络安全层次模型及各层主要安全机制分布
ISO/OSI安全体系中的安全服务与安全机制间的相互关系参见表1-1。在表1-1中,对于每一种安全服务都标明了哪些安全机制被认为是适宜的,或单独提供一种机制,或多种机制联合提供。
表1-1 ISO/OSI安全体系中的安全服务与安全机制间的相互关系
说明:Y——表示这种机制被认为是适宜的,或单独使用,或与其他的机制联合使用。
.——表示这种机制被认为是不适宜的。
表1-1中所列出的对应关系仅是一个参照配置,不是一成不变的。其中,关于安全服务和安全机制的内容详见本书第2章或相关技术文档。
1.2.3 信息安全保证技术框架
信息安全保证技术框架将信息安全分成四个主要环节,即保护(Protect)、检测(Detect)、响应(React)和恢复(Restore),如图1-9所示,简称为PDRR模型。
PDRR模型是美国近年提出的概念(参见本书第11.4节),其重要思想包括:
图1-9 信息安全保证技术框架
1)信息安全的三大要素是人、政策和技术。政策包括法律、法规、制度和管理等。其中,人是最关键的要素。
2)信息安全的内涵包括鉴别性、保密性、完整性、可用性、不可抵赖性、责任可检查性和可恢复性等几个目标。
3)信息安全的重要领域包括网络和基础设施安全、支撑基础设施安全、信息安全,以及电子商务安全等。
4)信息安全的核心是密码理论和技术的应用,安全协议是纽带,安全体系结构是基础,监控管理是保障,设计和使用安全芯片是关键。
5)网络安全的四个主要环节包括保护、检测、响应和恢复。
网络安全与四个主要环节的处理时间直接相关。在PDRR模型中,网络安全的含义与被攻破保护的时间(Pt)、检测到攻击的时间(Dt)、响应并反攻击的时间(Rt)和系统被暴露的时间(Et)直接联系在一起。
其中,Pt指从入侵开始到成功侵入系统的时间;Dt指从安全检测(或监控)开始到发现安全隐患和潜在攻击的时间;Rt指从发现攻击到系统启动响应措施的时间;Et指从发现破坏系统行为到将系统恢复正常状态的时间。
根据这些时间的描述,可将网络安全划分为两个阶段,一是检测-保护阶段;二是检测-恢复阶段。在第一阶段,网络安全的含义就是及时检测和立即响应,用数学形式描述如下:
当Pt > Dt + Rt时,说明网络处于安全状态;
当Pt < Dt + Rt时,说明网络已受到危害,处于不安全状态;
当Pt = Dt + Rt时,网络安全处于临界状态。
从数学角度分析,Pt的值越大说明系统的保护能力越强,安全性越高,反之,安全性能就低。Dt和Rt的值越大说明系统安全性能越差,保护能力降低,反之,保护能力增强。
在第二阶段,网络安全的含义是及时检测和立即恢复。
1.单机节点的基本结构
网络中的单机节点是进行网络信息交互处理的主要设备。在单机节点上,既包含着动态信息,又包含着静态信息,信息的处理是由安装在其上的系统软件、数据库系统和应用软件实现的。单机节点是网络安全的重要环节,也是涉及安全问题较多的部位。实际上,网络安全除了保护网络设备及通信外,就是保护单机节点及其所拥有的各种软件资源。
网络上的单机节点可分为网络服务器和客户机两类。网络服务器是实现整个网络服务功能的特殊节点,它能够对网络进行管理和为网络提供所需的服务,如安全审计、数据库、目录服务、授权服务等,对这类节点需要重点保护。客户机是网络上可被控制和管理的用户节点,它可以利用网络服务器访问网上资源,并与其他客户机协同工作和相互通信。
单机节点的基本结构如图1-10所示。
图1-10 单机节点的基本结构
由单一网络定义的一个网络范围称为区域,将区域与外部网络发生信息交换的部分称为区域边界,即计算机网络边界,简称边界。边界是网络中的一个特殊部分,可以将其理解为一个实现特殊功能的网络。
边界的主要作用有两个。一是防止来自外部网络的攻击;二是对付来自内部的威胁。在区域内,某些恶意的内部人员有可能利用边界环境攻击网络,也可能开放后门或隐蔽通道来为外部攻击提供方便。
在区域边界上,可以严格控制信息进出,确保进入的信息不会影响到区域内资源的安全,而出去的信息是经过合法授权的。
对于安全要求很高的区域,要采取深度保卫策略,使区域边界能够保护内部的单机节点环境,控制外部用户的非授权访问,同时控制内部恶意用户从区域内发起攻击。根据所要保护信息资源的敏感级别及潜在的内外威胁,可将边界分为不同的层次,实行多级保护。
2.网络和基础设施
网络和基础设施包括了各种用于联网的网络、网络组件及其他重要组件等。其主要涉及局域网组件、广域网组件、网络管理组件、网络服务组件和网络安全组件。其中还包括在单机节点间(如路由器、交换机)传递信息的传输部件(如卫星、微波、光纤等),以及其他重要的网络基础设施组件、域名和目录服务组件等。
3.支撑基础设施
支撑基础设施是指能使IA机制可用的一个基础平台。这个IA机制是为整个网络提供安全服务和进行安全管理的,其安全服务的对象主要是终端用户、Web服务、数据库应用、文件、DNS服务和目录服务等。一个完整的网络安全框架如图1-11所示。
图1-11 一个完整的网络安全框架
在信息安全保证技术框架中,提出了两个方面的支撑基础设施。一是KMI/PKI (Key Management Infrastructure/Public Key Infrastructure),它提供了一个公钥证书及传统对称密钥的产生、分发及管理的统一过程;二是检测及响应基础设施,它提供对入侵的快速检测和响应,包括入侵检测、监控软件、CERT等。
1.2.4 WPDRRC安全模型
WPDRRC安全模型是我国863信息安全专家组推出的适合中国国情的信息系统安全保障体系建设模型。WPDRRC模型是在PDRR基础上改进的,它在PDRR前后增加了预警(Warning)和反击(Counterattack)功能。PDRR把信息安全保障分为四个环节,并认为要保障信息安全就必须保护本地计算环境,保护网络边界,保护网络和基础设施,以及保护对外部网络的连接和支撑基础设施,而WPDRRC模型则把信息安全保障划分为预警(W)、保护(P)、检测(D)、响应(R)、恢复(R)和反击(C)六个环节。这六个环节能较好地反映出信息安全保障体系的预警能力、保护能力、检测能力、响应能力、恢复能力和反击能力。
预警能力包括攻击发生前的预测能力和攻击发生后的告警能力两个方面。预测能力是指根据所掌握的系统脆弱性和当前的犯罪趋势来预测未来可能受到何种攻击和危害的能力。告警能力是指当威胁系统的攻击发生时能及时发现并发布警报的能力。
反击能力是指取证和打击攻击者的能力。这种能力要求整个系统能够快速提供被攻击的线索和依据,及时审查和处理攻击事件,及时获取被攻击的证据,并制定有效的反击策略和进行强有力的反击。在数字系统中,取证是比较困难的,要实现快速取证就必须发展相应的技术和开发相应的工具。目前,国际上已开始形成类似法医学的计算机取证学科,该学科不仅涉及取证、证据保全、举证、起诉和反击等技术研究,还涉及媒体修复、媒体恢复、数据检查、完整性分析、系统分析、密码分析破译和追踪等技术工具的研发。
WPDRRC模型中的六个环节具有较强的时序性和动态性,它是一种典型的信息安全保障框架。事实已经表明,信息安全保障不单单是一个技术问题,它是涉及人、政策和技术在内的复杂系统。通常称人、政策和技术为信息安全三要素,这三种要素具有较强的层次性,人是核心,属最低层,技术是最高层,而政策属中间层,但是,技术必须通过人和相应的政策去操纵才能发挥作用。这里所提的技术不是指单一技术,而是指整个支持信息系统安全应用的安全技术体系,该技术体系包括密码技术、安全体系结构、安全协议、安全芯片、监控管理、攻击和评测技术等内容。其中,密码技术理论是整个安全技术体系的核心,安全体系结构是基础,安全协议是纽带,安全芯片是关键,监控管理是保障,攻击和评测的理论与实践是考验。