文章目录
- 8.1 信息系统安全概述
- 8.1.1 信息系统的构成和分类
- 8.1.2 信息系统安全
- 1、信息系统中的安全概念
- 2、信息系统安全问题的发展演变
- 3、信息系统的安全结构
- 8.1.3 信息系统的安全保护等级
- 1.TCSEC(可信计算机系统评估准则)
- 2. 我国信息安全标准
- 8.1.4 通信网络安全
- 8.2 电信网络安全
- 8.2.1 电信网络安全概述
- 8.2.2 电信网络安全组成与结构
- 8.2.3 电信网络的典型攻击
- 1、非法利用(可控性)
- 2、秘密侦测(机密性)
- 3、恶意破坏(可用性)
- 8.2.4 电信网络的网络防卫
- 8.3 计算机网络安全
- 8.3.1 计算机网络的安全威胁
- 8.3.2 计算机网络的攻击种类
- 1. 拒绝服务型攻击
- 2. 扫描窥探攻击
- 3. 畸形报文攻击
- 8.3.3 计算机网络的安全策略
- 1. 物理安全策略
- 2. 访问控制策略
- 3. 防火墙控制策略
- 4. 网络加密控制策略
- 5. 网络安全管理策略
8.1 信息系统安全概述
8.1.1 信息系统的构成和分类
信息系统是将用于收集、处理、存储和传播信息的部件组织在一起而成的相关联的整体, 一般是由计算机硬件、网络和通信设备、计算机软件、信息资源和信息用户组成。它是以处理信息流为目的的人机一体化系统。信息系统主要有输入、存储、处理、输出和控制5个基本功能。
1、信息系统的构成
从广义上来说,信息系统是信息获取、信息传递、信息处理和信息应用的设施整体。信息系统由信息基础设施和信息业务系统组成。
(1)信息基础设施
信息基础设施是信息系统的公用设施,由电信网络和计算机系统构成,如图8-2所示。
电信网络功能部分包括传递功能和控制功能;电信参考点(电信网络平台)除了支持计算机功能之外,还能够直接支持信息传递(电信)业务;计算机系统功能部分包括人机接口功能、处理存储功能、基本件功能和中间件功能。应用程序接口(计算机平台)直接支持信息处理(计算 机)业务。
按照功能结构可以把信息基础设施分成以下3类。
第一类信息基础设施:电信网络。电信网络支持信息传递业务,即电信业务。支持电信业务的平台是电信参考点(Telecommunication Reference Point,TRP)。
第二类信息基础设施:计算机网络。计算机网络由电信网络和计算机系统组成,支持信息传递和信息处理业务。支持信息传递和处理业务的平台是应用程序接口(Application Programming Interface,API)。
第三类信息基础设施:计算机系统。计算机系统支持信息处理业务。支持信息处理业务的平台是应用程序接口。
通常习惯上认为信息基础设施是由电信网络和计算机系统组成的。但是,在工程应用中,大量的信息基础设施仅仅是由电信网络或计算机系统组成的。因此,电信网络与信息基础设施属于不同层次的概念。
(2)信息业务系统
信息业务系统是信息系统有关信息业务的设施,实施信息获取和信息应用功能。
2、信息系统的分类
多种多样的信息业务系统与各类信息基础设施组合,可以形成多种多样的信息系统。
(1)电话网
第一类信息基础设施(电信网络)与电话业务系统组成的信息系统,支持电话业务,通常称 为电话网。
(2)广播电视网
由第一类信息基础设施(电信网络)与广播电视业务系统组成的信息系统,支持广播电视业 务,通常称为广播电视网。
(3)特定应用的计算机系统
第三类信息基础设施(计算机系统)与特定的业务系统组成的信息系统,支持特定的业务, 通常称为特定的计算机系统,例如气象分析计算机。
8.1.2 信息系统安全
1、信息系统中的安全概念
安全是指避免危险、恐惧和忧虑的度量和状态。
信息安全通常是指信息在采集、传递、存储和应用等过程中的完整性、机密性、可用性、可控性和不可否认性。所以,为了实现信息安全,需要做到以下几点。
(1)建立信息安全管理机制,制定信息安全策略。
(2)制定信息安全测评标准,评估和划分安全等级。
(3)使用安全管理产品和网络以保障采集、传递、存储和应用时的机密性、完整性、可用性、
可控性及不可否认性。
(4)应用检测机制获悉当前安全状态。
(5)通过故障和灾难恢复机制解决出现的问题。
目前,综合我国的现状,通信网络安全所面临的威胁主要来源归纳起来主要包括以下3个 方面。
(1)天灾:主要是指不可控制的自然灾害,如雷击和地震等。天灾轻则造成正常的业务工作 混乱,重则造成系统中断和无法估量的损失。
(2)人为因素:人为因素可分为有意和无意两种类型。人为的无意失误和各种各样的误操作 都可能造成严重的后果,如文件的误删除、错误输入的数据、操作员安全配置不当、用户的口令 选择不慎,口令保护得不好、用户将其账号随意借给他人或与别人共享等,都可能会对通信网络 带来威胁。“有意”是指人为的恶意攻击,违纪、违法和犯罪,它是通信网络面临的最大威胁。人 为的恶意攻击又可分为两种: 一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整 性;另一种是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取和破译以获得重 要机密信息。
(3)系统本身的原因:主要包括硬件系统、网络设备的故障、软件的漏洞及软件的“后门”。
2、信息系统安全问题的发展演变
信息系统经过多年的发展,目前已形成了比较完备的安全体系。
(1)通信保密年代
20世纪40年代,在军用通信系统之中出现了窃密问题。于是,从通信技术队伍中分离出一 部分专家,专门从事信息自身安全的工作,即加密、解密和破译密码研究。此时,信息系统的安 全构件只有机密性。满足机密性的核心技术是传统的密码技术。后人把这个历史时期称为“信息 系统的通信保密年代”。在此期间,中心任务是把“信息”保护起来。通信保密与通信系统没有直 接关系,只是把通过通信系统的信号加密。
(2)计算机系统安全年代
20世纪70年代,出现了敌人窃取、篡改和伪造计算机系统信息的问题。于是,在信息安全 专家队伍中,逐渐形成了以计算机专家为主的计算机系统安全专业队伍。此时,信息系统的安全 构件扩展到机密性、完整性、可用性、可控性和可追溯性。后人把这个历史时期称为“信息系统的计算机系统安全年代”。在此期间,中心任务是把“计算机系统”保护起来。计算机系统安全与
通信系统没有直接关系,只是利用诸如防火墙这类设施把计算机系统与通信系统隔离开来。
(3)计算机网络安全年代
20世纪90年代,出现了计算机网络病毒和黑客攻击问题。于是,从信息安全技术专家和 计算机系统安全技术专家中,分离出部分专家,专门从事计算机网络的安全防卫工作。他们早 期的主要任务是计算机网络的防卫,近期任务重点逐渐转为与计算机网络支持的信息业务系统 的对抗。这时,信息系统的安全构件扩展到保护、探测、响应、控制和报告。后人把这个历史 时期称为“信息系统的计算机网络安全年代”。在此期间,中心任务是把“计算机网络”保护起 来。计算机网络安全与通信系统没有直接关系,只是利用诸如防火墙这类设施把计算机局域网 与通信系统隔离开来。
(4)向网络世界安全过渡年代
在通信保密年代初期,保密曾经是通信的组成部分,但信息安全与通信各自形成了单独的技 术领域,信息安全技术和电信网络技术分别按自身的内在规律发展着。后来,计算机系统安全逐 渐融入计算机网络安全。计算机网络是由计算机系统和电信网络组成的信息基础设施,计算机网 络安全包括计算机系统安全和电信网络安全。计算机网络安全所采用的3类主流技术是防火墙、 入侵检测和漏洞扫描,其中:①防火墙技术主要防止来自电信网络的对于计算机系统的攻击,从 而保护计算机系统;②入侵检测技术的“入侵”,主要是对抗来自电信网络的对于计算机系统的攻 击;③漏洞扫描技术是扫描计算机系统的漏洞,以消除对于计算机系统的潜在威胁。可见,这些 技术都是用于保护计算机系统的,并不关注电信网络。
计算机网络安全的概念,后来逐渐简化演变成为“网络安全”概念,但“网络安全”并不包 括“电信网络安全”,这就是美国2005年提出“网络空间(Cyber) 安全”概念的原因。提出“网 络空间安全”概念标志着信息系统安全进入网络空间安全年代。
(5)网络空间安全概念
美国提出的网络空间概念等同于国际电信联盟提出的“信息基础设施”概念。提出网络空间 安全概念说明:追求信息基础设施安全(或计算机网络安全),只考虑计算机系统安全不可能达到 目的,必须同时考虑计算机系统安全和电信网络安全两个方面。
近年计算机网络安全对抗经历着深刻的变化,面对新的攻防斗争形势,寻求全新的概念、理 论和方法,电信网络的安全问题严重影响着计算机网络安全,提出网络空间安全概念是一个重要 的里程碑标志。
3、信息系统的安全结构
根据上述内容,可以归纳出比较简明的信息系统安全结构。信息系统安全包括信息安全和信息基础设施安全。其中,信息安全包括信息应用安全和信息自身安全;信息基础设施安全包括计算机系统安全和电信网络安全。此处,信息基础设施是采用国际电信联盟的定义, 美国称之为网络空间。本章关注的内容是信息基础设施安全,具体来说就是计算机系统安全和电网络安全。
8.1.3 信息系统的安全保护等级
目前,国际上的安全评估标准主要有可信计算机系统评估准则(Trusted Computer System Evaluation Criteria,TCSEC)、信息技术安全评估准则(Information Technology Security Evaluation Criteria,ITSEC)、可信计算机产品评估准则(Canadian Trusted Computer Product Evaluation Criteria, CTCPEC)、联邦信息技术安全准则(Federal Criteria,FC)、信息技术安全性评估通用准则(Common Criteria,CC) 、BS7799 标准 (British Standards) 及我国有关网络信息安全的相关标准。下面仅介 绍TCSEC 标准和我国有关网络信息安全的相关标准。
1.TCSEC(可信计算机系统评估准则)
《可信计算机系统评估准则》(TCSEC,Trusted Computer System Evaluation Criteria)是美国国防部于1985年开发的计算机安全标准,即网络安全橙皮书,被用来评估一 种计算机系统的安全性,即计算机安全级别,多年以来一直是评估多用户主机和小型操作系统的 主要方法。其他子系统(如数据库和网络)也一直用橙皮书解释评估。橙皮书把安全的级别从低 到高分成4个类别:D 类 、C 类 、B 类和A 类。每类又分几个级别,如表8-1所示。
(1)D 级
D类级别是最低的安全级别,拥有这个级别的操作系统是完全不可信任的。任何用户都可以 自由进出,没有系统访问限制和数据访问限制,任何人不需任何账户都可以进入系统,在硬件方 面也没有任何保护措施,操作系统不受任何限制可以访问他人的数据文件,信息系统的安全极容 易受到损害。属于这个级别的操作系统有DOS 和 Windows98 等。
(2)C级
C 级中有两个级别C1和 C2。
C1级又称为有选择的安全保护或称酌情的安全保护系统,它要求系统硬件有一定的安全保护 (如硬件有带锁装置,需要钥匙才能使用计算机),用户在使用前必须登记到系统。另外,作为 C1 级保护的一部分,允许系统管理员为一些程序或数据设立访问许可权限等。C1 级保护的不足 之处在于用户可以直接访问操作系统的根目录。C1级不能控制进入系统的用户的访问级别,所以 用户可以任意将系统中的数据移走。用户还可以控制系统配置,获取比系统管理员所允许的更高 的权限,如改变和控制用户名。
C2 级又称为访问控制保护,它针对 C1 级的不足之处增加了几个特性。C2 级引进了访问控 制环境(用户权限级别)的增加特性。该环境具有进一步限制用户执行某些命令或访问某些文件 的权限,而且还加入了身份验证级别。另外,系统对发生的事件加以审计,并写入日志当中,如什么时候开机,以及哪个用户在什么时候从哪里登录等。这样通过查看日志,就可以发现入侵的 痕迹,如对于多次失败的登录行为,可以大致推测出可能有人想强行闯入系统。审计可以记录系 统管理员执行的活动,审计还加有身份验证,这样就可以知道谁在执行这些命令。审计的缺点在 于它需要额外的处理器时间和磁盘资源。能够达到C2 级的常见操作系统有 UNIX、XENIX、Novell
3.x或更高版本、Windows NT 和Windows 2000。
(3)B 级
B级中有3个级别B1 、B2和 B3。
B1 级即标号安全保护,是支持多级安全(如秘密和绝密)的第一个级别,这个级别说明一 个处于强制性访问控制之下的对象,系统不允许文件的拥有者改变其许可权限。在这一级别上, 对象(如盘区和文件服务器目录)必须在访问控制之下,不允许拥有者更改它们的权限。B1 级 安全措施的计算机系统随操作系统而定。政府机构和系统安全承包商是B1 级计算机系统的主要 拥有者。
B2 级又称为结构保护级别,它要求计算机系统中所有的对象都加标签,而且给设备(磁盘、 磁带和终端)分配单个或多个安全级别。它提出了较高安全级别的对象与另一个较低安全级别的 对象通信的第一个级别。
B3 级又称为安全域级别,它使用安装硬件的方式加强域。例如,内存管理硬件用于保护安 全域免遭无授权访问或其他安全域对象的修改。该级别也要求用户通过一条可信任途径连接到 系统上。
(4)A 级
A 级也称为验证保护或验证设计级别,是当前的最高级别,它包括一个严格的设计、控制和 验证过程。A 级包含较低级别的所有特性。
2. 我国信息安全标准
我国是国际标准化组织的成员国,通信网络安全及信息安全标准化工作在各方面的努力下 正在积极开展之中。从20世纪80年代中期开始,我国自主制定和采用了一批相应的信息安全 标准。其中,最主要的标准是1999年9月经过国家质量技术监督局批准发布的《计算机信息系 统安全保护等级划分准则》,该标准主要对通信网络的信息安全进行了规范,将信息安全保护划分为5个级别。
第1级为用户自主保护级 (GB1 安全级):其安全保护机制是使用户具备自主安全保护的能 力,保护用户的信息免受非法的读写破坏。
第2级为系统审计保护级(GB2 安全级):除具备第一级所有的安全保护功能外,要求创建 和维护访问的审计跟踪记录,使所有的用户对其行为的合法性负责。
第3级为安全标记保护级(GB3 安全级):除继承前一个级别的安全保护功能外,还要求以 访问对象标记的安全级别限制访问者的访问权限,实现对访问对象的强制保护。
第4级为结构化保护级(GB4 安全级):在继承前面安全级别安全保护功能的基础上,将安 全保护机制划分为关键部分和非关键部分,对关键部分直接控制访问者对访问对象的存取,从而 加强系统的抗渗透能力。
第5级为访问验证保护级(GB5 安全级):这一个级别特别增加了访问验证功能,负责仲裁 访问者对访问对象所有的访问活动。
为了加强对通信网络安全的管理,提高通信网络安全防护能力,保障通信网络安全畅通,2009 年12月,中华人民共和国工业和信息化部第8次部务会议审议通过了《通信网络安全防护管理办 法》(以下简称《办法》),并于2010年3月1日起施行。该办法重点监管通信基础网络安全,根据《办法》的规定,通信行业首先要对通信网络单元进行等级划分,然后根据分级实行相应的安 全保护。《办法》规定通信网络运行单位对已正式投入运行的通信网络进行单元划分,并按照各通 信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序和公众利益造成的危害程度,由低 到高分别划分为5级。如果通信网络单元遭到破坏后只影响企业自身经营等问题,它的安全等级 就是1级或2级;如对于公众的利益造成了很大的影响,那么它的安全等级可能是3级;如影响 社会秩序和国家利益,那么它的安全等级可能就是4级甚至5级。《办法》还制定了通信网络单元 的划分与定级相关的备案制度、安全防护措施的符合性评测制度、通信网络安全风险评估制度和 通信网络安全防护检查制度。这四大制度共同构成了通信行业网络安全工作的基本制度架构,并 对通信行业网络安全工作的方法、措施和标准给出了具体的规定。
8.1.4 通信网络安全
通信网络安全通常包括承载网与业务网安全、网络服务安全及信息传递安全 3个部分。因此, 根据信息安全的5个特性,通信网络安全同样具有以下5个特点。
(1)可靠性:网络在规定的条件下和规定的时间内完成特定功能的能力,或者网络在质量允许的范围内正常工作的能力。
(2)可用性:信息和通信服务在需要时允许授权个人和实体使用,或者网络资源在需要时即 可使用的能力。
(3)保密性:防止信息泄露或者提供给非授权个人和实体使用的特性,或者信息只为授权用 户使用。
(4)完整性:信息不被偶然或者蓄意地删除、修改、伪造、乱序、重放和插入等。
(5)不可抵赖性:在通信交换中,确认参与者双方真实的同一性,双方都不能否认或者抵赖 曾发生的通信联系和通信内容。
可靠性是通信网络安全最基本的要求,是通信网络安全的基础。任何安全措施都必须建立在 通信网络可靠性的基础上才能实施。如果通信网络不可靠,通信网络的安全无从保障。当通信网 络能可靠工作,但通信网络却不能为用户提供有效的信息和信息服务,或者是机要的敏感信息被 泄露,或者提供的信息被修改和破坏,或者通信双方中任意一方否认和抵赖曾经发生的通信联系 和通信内容,通信网络仍然被认为是不安全的。
通信网络主要的功能是提供有效的通信信息和信息服务,通信网络容纳了社会各行各业大量 的信息,而信息本身就是财富,其中还有包括涉及国家安全和利益的敏感信息,因此保障信息的 安全是通信网络安全的核心。建立通信网络的最终目的是获取安全可靠的信息,所以要确保通信 网络安全,首先必须保证通信网络的信息安全。但是在保证信息安全的基础上,还需要对信息安 全提供保护,在安全政策和安全法规的保护下建立相应的安全检测和安全管理机制,通过安全检 测和安全管理机制充分确保通信网络的物理安全,从而为通信网络的信息安全最大限度地提供了 外层保护。通信网络安全的层次结构图如图8-7所示,其中,外层的安全功能对内层的安全功能 提供保护作用。
在通信网络中,信息大致可以分为两类:用户信息和网络信息。用户信息主要是指面向用户的语音、数字、图像、文字和各种媒体库的信息,主要分为以下4种类型。
(1)个人隐私信息:主要指一般的用户信息。
(2)公共信息服务:主要包括公用多媒体信息服务、公用声讯信息服务及公用信息库的信息。
(3)商业信息:主要包括商务信息、知识产权信息和金融税务信息等。
(4)敏感信息:主要包括涉及国家机密的信息。
网络信息是面向网络运作的信息,包括网络通信软件、支撑软件、各种通信协议、信令、数字 同步信息和通信管理信息等,主要分为通信程序、信令信息、通信设备中的操作系统、数字同步信 息、通信设备中的数据库、通信管理信息及通信协议7种信息。在一般情况下,通信网络的安全主 要是保障用户信息和网络信息的安全,所以通信网络安全面临的威胁除了对通信网络硬件系统的安 全攻击以外,还包括陷门、逻辑炸弹、非法通信、遥控旁路和病毒等软件方面的安全隐患。
8.2 电信网络安全
8.2.1 电信网络安全概述
电信网络是一个国家的信息基础设施的关键组成部分,承担着大范围的公众通信业务,随着 信息社会人们对信息的依赖程度越来越高,电信网络与国民经济各个领域的发展日益紧密。电信网络的安全对整个国家的信息安全起着举足轻重的作用。
1、电信网络的网络安全概念
广义电信网络的网络安全概念是:保证电信网络,在规定环境下,完成规定功能和性能;在 环境劣化时,保持最低需求的功能和性能;在环境恢复时,能够迅速恢复规定功能和性能的网络 设施、相关程序及人员行为的集合。广义电信网络的网络安全概念适合于自然环境和对抗环境中的网络安全。
狭义电信网络的网络安全概念是:对抗敌人利用、侦测、破坏电信网络资源的对策。狭义电 信网络的网络安全概念只适合于对抗环境中的网络安全。
2、电信网络的可信概念
可信概念最早出现在计算机领域。早期的可信概念体现在 TCSEC 中,其中定义了可信计算 基 (Trusted Computing Base,TCB)的概念。这种可信概念实际上是一种授权概念,即“授权可信”。在保密性、完整性和可用性定义中,破坏这些安全属性称为“非授权”获得、篡改等行为。 这种可信观念只看身份和权限,而不看表现。
现代的可信概念应当是“既看身份与权限,又看行为表现”,最终落实在行为可信概念上。行 为可信是建立在多行为或历史行为的考察(监管、认证和控制)基础之上。
(1)行为可信
行为可信是指行为预期性的满足程度。这种预期性满足程度概念,用于从行为的性质、行为输入输出、行为过程、行为的属性等方面,在符合必须遵守的要求、约定、规定、规则、法律条 件下,对行为可信进行认识与评价。 一个实体如果其行为总是以期望的方式和意图发生的,那么 这个实体就是可信的。
可信性是对行为预期性的满足程度的评价。可以看出,主体行为的可信性是指,行为历史记 录反映主体行为是否违约、违规、违法、超越权限以及超范围。可信概念适用于信息化的一切领 域,例如计算机设备与系统、通信设备与系统、其他电子设备与系统等,这些设备与系统包括硬 件、软件和固件各种产品形态。
(2)电信网络的安全与可信的关系
电信网络的安全是指,在电信网络中,采取某种电信网络安全技术措施,使得电信网络具有 某种可以客观度量的安全功能和安全防卫能力。通常,人们认为有了这些安全能力,信息网络就 安全了。至于提供的这些安全功能和服务能力是否真的发挥作用,电信网络的安全问题是否真正 得到解决,用户并不能感知和对之建立信心。
网络安全概念是面向客体,可以采用安全技术标准来客观评价;可信概念是面向主体的,是 主体认为可信,而不仅仅是因为客观存在某种能力。不同的主体对于可信概念的理解与认识是有 差别的, 一个主体认为是可信的,而另一个主体却可能认为是不可信的。
(3)可信电信网络
一个可信的网络必须具有可信网络设备、可信网络结构、可信网络协议和可信网络服务。现在看来这种概念实际上是网络安全概念,即一个安全的网络可以认为包括安全的网络设备、安全 的网络结构、安全的网络协议和安全的网络服务。这种概念实际上是考虑网络提供的安全功能和 安全服务能力,而未提供让网络用户和管理者建立可信概念的能力,没有为网络的使用主体建立 可信认识提供服务和支持。要做到可信,就要求既提供安全功能和安全服务能力,又提供让用户 和管理者建立可信概念的服务和能力。
中国信息产业商会信息安全产业分会给出的可信电信网络的定义是: 一个电信网络是可信的, 该网络必须具有可信的结构、可信信道、可信传输、交换与路由、可信协议、可信应用、可信接 入、可信管理和可信监管,使得网络设施与网络行为的认证(主体、客体、行为与内容)与定位 (空间与时间)和信息在传输中的踪迹总是可确定的,网络的应用行为和管理行为及其行为结果总 是可预期的,网络的安全状态总是可控制的。那么该网络是可信的。
可信电信网络包括以下内容。
① 可信网络结构。其本质是电信网络的技术体制的可信性,即电信网络的安全性是可预期的。
② 可信网络传输。其本质是传输信道的可信性,即信道传输的安全性是可预期的。
③ 可信复用和可信寻址。其本质是信号复用和寻址设施的可信性,即复用和寻址的行为与结 果是可预期的。
④ 可信的网络协议。其本质是网络服务的可信性。面向设施的网络协议没有可信的概念,仅 仅具有安全的概念;面向主体的网络协议具有可信的概念。使用者和管理者对各网络协议中安全 问题是可预期的。
⑤ 可信网络应用。其本质是电信网络应用行为与结果总是可预期的;可信应用还包括应用系 统供应商提供的产品与系统是可信的,不存在系统发布的服务以外的其他任何应用服务,尤其是 那些有可能损害用户的应用服务。
⑥ 可信网络接入。可信网络接入是指终端设备接入网络的行为与结果总是可预期的。
⑦ 可信网络管理。可信网络管理是指管理行为与结果总是可预期的。
⑧ 可信监管、控制。这包括对网络行为与网络内容两个方面的监管,表示对系统与应用行为 的预期性和管理行为预期性及其结果进行监管与控制。
8.2.2 电信网络安全组成与结构
1、电信网络的组成
国家公用电信网络包括通常所说的基础电信网络(固定网络)、移动通信网络、公用互联网和卫星通信网络等基础电信网络。
电信网络从其功能的角度来看,应该可以划分为媒体网络、同步网络、信令网络和管理网络。
(1)媒体网络:对应于计算机网络中的通信子网,是传递信号的主体网络,涵盖计算机网络 低3层功能。物理层在节点之间传输信号;数据链路层在节点之间实现信号复用与流量控制等功 能;网络层在用户和节点之间实现信号寻址相交换。媒体网络需要同步网络、信令网络和管理网 络支持才能完成上述功能。
(2)同步网络:向媒体网络和其他网络提供定时的同步信号。
(3)信令网络:对于用户终端和媒体网络进行实时控制,支持媒体网络实现信号寻址与交换 功能。
(4)管理网络:对整体电信网络实施管理与控制,实现故障管理、配置管理、性能管理、计 费管理和安全管理。
在电信网络平台之上建设各类业务系统,直接提供用户服务的系统,包括用户终端和用户驻 地网络,主要有电话业务系统、数据业务系统和图像业务系统。
2、电信网络的安全结构
电信网络的规模日益扩大,通信、计算机和广播电视技术日趋融合,开放系统互连和资源 共享的范围越来越大,电信网络的业务和技术不断延伸,网络业务也互相交叉,使电信网络边 界很难与其他网络明确分开。电信网络的安全还没有专门的定义,但必须满足以下几个方面的 要求。
(1)安全服务
在攻击和威胁不可忽略的大环境中,电信网络安全的一种表现是其抵抗攻击的能力,电信网 络安全的标准是它能够在抵抗攻击的条件下为用户提供安全有效的服务。参照信息网络安全和通 信网络安全的标准,电信网络安全的含义至少包括以下几个方面的内容。
① 可靠性:可靠性是指网络在规定的条件下和规定的时间内完成规定功能的能力,或者网络 在质量允许范围内正常工作的能力。可靠性是电信网络安全最基本的要求之一,任何安全措施都 必须建立在可靠性的基础上才能实施。可靠性是面向网络和设备的安全性能。
② 可控性:可控性是对网络信息的传播及内容具有控制能力的特性。
③ 可用性:可用性是面向用户的安全性能。它是指网络信息服务在需要时,允许授权用 户或实体使用的特性,或者是网络部分受损或需要降级使用时,网络仍能够保障最低限度的 安全,并为授权用户提供有效的信息和通信服务。电信网络的安全必须满足用户的通信要求, 用户若无法通信,则根本谈不上电信网络的安全。从某种意义上讲,可用性是电信网络可靠 性的更高要求,特别是在重要的场合下,特殊用户的可用性显得十分重要。为此,电信网络 需要采用科学合理的网络拓扑结构,必要的冗余、容错和备份措施及网络自愈技术、分散配 置和负荷分担、各种完善的物理安全和应急措施等。此外,还要辅以身份识别与确认、访问 控制、业务流控制、路由选择控制和审计跟踪等安全机制,从用户使用的角度出发,保证电 信网络的安全。
④ 机密性:机密性是面向网络上承载的数据和信息的安全特征,防止信息泄漏或提供给非授权个人或实体,保证信息只允许授权用户使用。机密性是在可靠性和可用性的基础上保障电信网 络中信息安全的重要手段。电信网络不仅要保障用户信息的机密性,网络信息的机密性同样重要。 常用的保密技术包括防侦收、防辐射、信息加密和物理保密等。
电信网络的安全是一项复杂的系统工程,综合了多方面的因素,还要考虑自然环境和场地设 施的安全、设备的物理安全、电磁防护、各种记录媒体的安全、故障和恢复处理、应急处理、安 全管理、安全检测、安全评估、安全审计、安全政策和安全法规等。
(2)安全层次结构
① 物理安全:电信网络安全最根本的保障,对应于网络基础设施和设备的可靠性及网络运营大环境的保护,包括网络拓扑结构等技术因素。
② 系统安全:电信网络基础设施之上的运营系统,如承载网技术和交换技术等,从技术上保障网络安全运营和服务提供的有效性和网络的可控性。
③ 信息安全:面向电信网络的服务对象,保障信息和数据在传输交换和存储过程中的保密性、完整性和不可抵赖性等特性。
④ 内容安全:更高层次的安全要求,由于电信网络在国家基础设施中的重要地位,要求对网 络中信息的传播行为及信息内容可控,防止和控制非法和有害信息的传播,维护社会道德、国家法规和人民利益。
3、网络对抗模型
对于所有的网络和信息本身来说,由于总是存在着结构上的薄弱环节,技术上的漏洞和策略 的局限性,使得网络攻击总是可以找到切入口,所以网络上没有绝对的安全,只有相对的安全。 同时,攻击的技术和手段也有其薄弱和局限的一面,因此网络防卫也可以获得成功。在攻击者与 防守者的对抗中,攻击手段和防卫技术的水平都在不断提高和升级,于是形成攻击和防守的并存 之势,才有了网络安全这一学科不断的发展和进步,攻击和防卫是电信网络中永久存在的一组对 抗事件,分布在电信网络的各个组成部分。电信网络本身的安全服务与攻击手段和防卫技术共同 构成了电信网络三维对抗模型,如图8-8 所示。
8.2.3 电信网络的典型攻击
电信网络面临的安全威胁来自很多方面,并且随着时间的变化而不断变化,宏观上可以分为人为威胁和自然威胁,典型的攻击主要来自于人为威胁。
人为威胁又分为两种: 一种是操作失误引发的偶然事故,属于无意攻击,如操作失误、意外损失、编程缺陷、意外丢失和管理不善等,需要加强人员的素质培训和管理机制以尽量减少和避免类似事件;另一种是有明确犯罪动机和目的的恶意攻击,可以分为主动攻击和被动攻击。前者主动发起破坏行为,导致网络的可靠性和可用性遭到破坏;被动攻击则不干扰网络信息系统正常 工作,仅仅侦收、截获、窃取和破译信息,分析业务流和利用电磁泄露等。
电信网络面临的攻击归纳起来主要有以下3种。
1、非法利用(可控性)
非法利用网络资源是指对于可控性的攻击。非法利用攻击主要是攻击者破坏了网络的访 问控制机制,非法用户通过社会工程等方式,假冒合法用户身份进入电信网络以获得服务或 者是合法用户非法访问权限以外的信息以获得权限以外的服务。非法利用虽然不主动破坏网 络,但是攻击者秘密使用网络资源,进行骚扰和非法信息发布,对国家利益和合法用户的危 害很大。
(1)秘密使用网络资源
秘密使用网络资源有两种情况: 一种情况可能是,攻击者没有合法获得电信网接入权限,但 却秘密使用网络资源,如搭线接入电话网,或者利用无线网络的开放性接入无线宽带网络,秘密 利用网络资源;另外一种情况可能是,电信网络的合法用户越权使用网络资源,如普通的有线电 视用户,通过破解机顶盒密码和节目加密信息,不缴费却接收付费电视节目信号,造成运营商大 量收视费的流失。
虽然秘密使用网络资源不骚扰合法用户,不破坏网络资源,但是危害性不可忽视,尤其是在 电子战时代,无论平时还是战时,若国内外敌人利用网络秘密通信,将会严重威胁国家安全。
(2)非法骚扰和插播
非法骚扰和插播是指攻击者通过合法用户接口进入电信网络,利用电信网络资源发布虚假和 有害的信息,骚扰和欺骗合法用户,虽然不破坏网络,但是在不同程度上损害了合法用户的权益, 危害社会安定团结。具体形式主要有电话诈骗、虚假广告、色情宣传、垃圾邮件和商业欺骗广播, 另外还有电话政治骚扰、电话和数据商业骚扰和广播电视敌对政治煽动插播等。
2、秘密侦测(机密性)
秘密侦测是指对于网络资源机密性的攻击。
(1)秘密侦听通信内容
秘密侦听通信内容是指攻击者通过搭线和电磁接收等手段实施被动攻击,在不影响正常用户 通信业务的前提下,秘密侦听电信网络传递的信息内容,具体形式有以下几种。
① 经济信息侦听。
② 政治信息侦听。
③ 军事信息侦听。
(2)秘密侦测网络参数
秘密侦测网络参数是指攻击者在不破坏电信网络资源的条件下,秘密侦测电信网络技术体制 和技术参数。具体形式有以下几种。
① 电信网络基本技术体制和参数侦测。
② 电信网络保密系统技术体制和参数侦测。
③ 电信网络的网络安全系统技术体制和参数侦测。
④ 电信网络中的信息流量分布侦测。
(3)在电信网络中建立侦测环境
在电信网络中建立侦测环境是指攻击者为了进一步实施攻击,选择重要的目标设置后门程序 或者安装木马程序,运行代理程序等,在电信网络中建立秘密访问渠道,增强自动侦测能力。
(4)通过电信网络侦测信息系统
通过电信网络侦测信息系统是指攻击者利用电信网络作为通路,通过电信网络侦测计算机系 统及运行在计算机网络中的各种业务信息系统,还通过电磁波辐射接收侦测信息。
3、恶意破坏(可用性)
恶意破坏网络资源是指对于可用性的攻击。非法利用和秘密侦测都属于被动攻击,不影响用 户通信等业务,危害性相对较小,也较难于发现;恶意破坏则属于主动攻击,危害性更大。
(1)电磁干扰
有线通信方式大多采用光缆,对电磁干扰的抵抗力较强,而无线传输系统通过开放的电磁环境传输信号。攻击者对无线系统的电磁干扰手段如下。
① 施放常规电磁干扰,劣化或阻断电磁信号传输。
② 施放强电磁脉冲干扰,击毁电信网络设备的电子元器件。
电磁干扰不仅破坏了无线通信的正常业务,严重时会影响整个电信网络。
(2)恶意业务量拥塞电信网络
恶意业务量拥塞电信网络是指攻击者借鉴计算机网络的攻击方式,秘密制造虚假的大话务量, 或者释放蠕虫病毒,拥塞电信网络,制造拒绝服务攻击,破坏合法用户的服务请求。
(3)恶意控制和破坏电信网络的支持网络
同步网、信令网和管理网构成电信网络的支持网络,是电信网络的网络安全薄弱环节。恶意 控制和破坏电信网络的支持网络是指攻击者通过在支持网络中设置木马,在必要时启动破坏作用, 对电信网络的支持系统进行恶意控制和软破坏,使电信网络全面瘫痪。
(4)破坏电信网络设施
破坏电信网络设施是指攻击者直接破坏电信网络节点、链路和电源等设施,对网络及其设备 实施破坏,使电信网络的功能永久失效。
8.2.4 电信网络的网络防卫
电信网络的网络防卫主要包括技术机理防卫、实现技术防卫、工程应用防卫和运营管理防卫。
(1)技术机理防卫是指尽可能采用安全属性比较利于防卫的网络形态和传输机制。
(2)实现技术防卫是指尽可能采用网络安全属性比较利于防卫的技术方法,包括尽可能减少电信网络实现技术的安全薄弱环节、安全漏洞和安全局限性,采取必要的对抗技术阻止攻击。实 现技术方法种类繁多,重点围绕机密性、真实性、可靠性和可用性进行防范。
(3)工程应用防卫是指电信网络的网络安全属性尽可能与工程应用属性匹配。电信服务有其安全服务等级要求,电信业务系统有其安全服务等级要求,以实现安全等级保护体系。正确的工程应用是使两种安全属性适配,这样做就可能取得比较好的工程效果,比较经济地获得合格的安 全服务。
(4)运营管理防卫是指人员管理在网络对抗中的作用。电信网络的网络安全对抗本质上是人与人之间的对抗。电信网络资源及其网络安全属性是物资基础,网络安全对抗的最终结果主要取决于人的行为。
8.3 计算机网络安全
计算机网络是电信网络和计算机系统构成的网络,计算机网络的安全模型如图8-9所示。
计算机网络技术漏洞、薄弱环境和局限性普遍存在,于是出现了大量的、不断升级的计算机 病毒和黑客攻击。计算机病毒和黑客技术漏洞、薄弱环境和局限性同样普遍存在,于是又出现了 计算机网络安全防卫,并形成了攻防对抗螺旋上升的反应态势。目前,计算机网络攻防斗争日趋 激烈,计算机网络技术攻防错综复杂。
8.3.1 计算机网络的安全威胁
计算机网络所面临的威胁大体可分为两种: 一 是对网络中信息的威胁;二是对网络中设备的威胁。影响计算机网络安全的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的;可能是外来黑客对网络系统资源的非法使用。影响计算机网络安全的因素概括起来主要有以下几类。
(1)内部泄密和破坏。
(2)截收。
(3)非法访问。
(4)破坏信息的完整性。攻击者可能从3个方面破坏信息的完整性。
① 篡改:改变信息流的次序、时序和流向,更改信息的内容和形式。
② 删除:删除某个消息或消息的某些部分。
③ 插入:在消息中插入一些信息,让接收方读不懂或接收错误的信息。
(5)冒充。
(6)破坏系统的可用性。
(7)重演。
(8)抵赖。
(9)其他威胁。对计算机通信网络的威胁还包括计算机病毒、电磁泄漏、各种灾害和操作失误等。
计算机通信网络的安全机制是对付威胁和保护信息资源所有措施的总和,它涉及政策、法律和技术等多方面内容。其中,技术措施是最直接的屏障,它们在与威胁的对抗过程中不断发展和 完善。
8.3.2 计算机网络的攻击种类
计算机网络攻击一般是侵入或破坏网上的服务器(主机),盗取服务器的敏感数据或干扰破坏 服务器对外提供的服务;也有直接破坏网络设备的网络攻击,这种破坏影响较大,会导致网络服 务异常,甚至中断。计算机网络攻击的种类主要分为主动攻击和被动攻击,主动攻击是指攻击者 访问他所需信息的故意行为;被动攻击主要是收集信息而不是进行访问,数据的合法用户对这种 活动一点也不会觉察到。被动攻击包括嗅探和信息收集等攻击方法。
计算机网络攻击比较典型的攻击方式分为拒绝服务型攻击、扫描窥探攻击和畸形报文攻击三大类,具体描述如下。
1. 拒绝服务型攻击
拒绝服务型 (Denial of Service,DoS) 攻击是使用大量的数据包攻击系统,使系统无法接收 正常用户的请求,或者主机因挂起而不能支持正常的工作。DoS 攻击有同步洪水攻击(Synchronize Flood,SYN Flood) 和 Fraggle 等。拒绝服务攻击和其他类型的攻击不同之处在于,攻击者并不是 去寻找进入内部网络的入口,而是阻止合法用户访问资源或路由器。
分布式拒绝服务 (Distributed Denial of Service,DDoS)攻击是一种DoS 攻击。这种攻击是使 用攻击者控制的几十台或几百台计算机攻击一台主机,使系统无法接收正常用户的请求,或者因 挂起而不能正常工作。
2. 扫描窥探攻击
扫描窥探攻击是利用Ping扫描(包括ICMP 和TCP) 标识网络上运行的系统,从而准确指出潜在的目标,利用 TCP 和 UDP 端口扫描,就能检测出操作系统和监听者的潜在服务。攻击者 通过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞,为进一步侵入系统做 好准备。
3. 畸形报文攻击
畸形报文攻击是通过向目标系统发送有缺陷的IP 报文,使得目标系统在处理这样的IP 包时 崩溃,给目标系统带来损失。畸形报文攻击主要包括 Ping of Death 和 Teardrop等。
计算机网络安全所面临的攻击主要分为以上三大类,而目前在一般的网络维护中,比较典型的攻击有以下几种。
(1)IP 地址欺骗攻击:为了获得访问权,入侵者生成一个带有伪造源地址的报文。对于使用 基于IP 地址验证的应用来说,此攻击方法可以导致未被授权的用户可以访问目的系统,甚至是以 root 权限来访问。即使响应报文不能到达攻击者,同样也会破坏被攻击者。
(2)Land 攻击:所谓Land 攻击,就是把TCPSYN 包的源地址和目标地址都配置成受害者 的 IP 地址。这将导致受害者向它的地址发送SYN-ACK 消息,结果这个地址又发回确认字符 (Acknowledgement,ACK) 消息并创建一个空连接,每一个这样的连接都将保留直到超时断开。 各种受害者对Land 攻击反应不同,许多UNIX主机将崩溃, Windows NT主机会变得极其缓慢。
(3)Smurf 攻击:简单的 Smurf攻击用于攻击一个网络,方法是发送ICMP 应答请求,该请 求包的目标地址配置为受害网络的广播地址,这样该网络所有的主机都对此ICMP 应答请求做出 答复,导致网络阻塞,这比Ping大包的流量高出一或两个数量级;高级的Smurf 攻击主要用于攻 击目标主机,方法是将上述ICMP 应答请求包的源地址改为受害主机的地址,最终导致受害主机崩溃。攻击报文的发送需要一定的流量和持续时间,才能真正构成攻击。从理论上讲,网络的主 机越多,攻击的效果越明显。
(4)WinNuke攻击:WinNuke攻击通常向装有Windows系统的特定目标的NetBIOS端口(139) 发送OOB(Out-Of-Band) 数据包,引起一个NetBIOS 片断重叠,致使目标主机崩溃。还有一种 是IGMP 分片报文, 一般情况下, IGMP 报文是不会分片的,所以,不少系统对IGMP 分片报文 的处理有问题。如果系统收到IGMP 分片报文,则基本可判定它受到了攻击。
(5)SYN Flood攻击:由于资源的限制,TCP/IP 栈的实现只能允许有限个TCP 连接。而 SYN Flood攻击正是利用这一点,它伪造一个SYN 报文,其源地址是伪造的,或者是一个不存在的地 址,向服务器发起连接。服务器在收到报文后用SYN-ACK 应答,而此应答发出去后,不会收到 ACK报文,造成一个半连接。如果攻击者发送大量这样的报文,会在被攻击主机上出现大量的半 连接,消耗尽其资源,使正常的用户无法访问,直到半连接超时。
(6)ICMP Flood攻击:攻击者通过向服务器发送大量的ICMP 消息(如Ping), 占用服务器 的链路带宽,导致服务器负担过重而不能正常向外提供服务。
(7)UDPFlood 攻击:攻击者通过向服务器发送大量的UDP 报文,占用服务器的链路带宽, 导致服务器负担过重而不能正常向外提供服务。
(8)地址扫描与端口扫描攻击:运用扫描工具探测目标地址和端口,对此做出响应的表示其 存在,用来确定哪些目标系统确实存在并且连接在目标网络上,确定这些主机使用哪些端口提供 的服务。
(9)TCP 全连接攻击:TCP 全连接攻击是一种DDoS 攻击手段。攻击者向被攻击服务器发送 大量的请求,使被攻击服务器产生大量连接而不能受理合法用户的请求。
(10)GET Flood攻击:攻击者向被攻击服务器发送大量的get 和post 报文,使被攻击服务器 系统崩溃而不能处理合法报文。
(11)DNS Flood攻击: DNS Flood 攻击是一种DDoS 攻击手段。攻击者在短时间内通过向 DNS 服务器发送大量的查询报文,使得服务器不得不对所有的查询请求进行回应,导致 DNS 服 务器无法为合法用户提供服务。
(12)ARP 攻击:常见的ARP 攻击分为ARP 欺骗攻击和ARP Flood 攻击两种类型。ARP 欺 骗攻击是指攻击者通过发送大量伪造的 ARP 请求和应答报文攻击网络设备,主要有ARP 缓冲区 溢出攻击和ARP 拒绝服务攻击两种。ARPFlood 攻击(ARP 扫描攻击)是指攻击者利用工具扫描 本网段或者跨网段主机时,防火墙在发送回应报文前,会查找 ARP 表项,如果目的 IP 地址的 MAC地址不存在,那么必然会导致防火墙的ARP 模块向上层软件发送ARP Miss 消息,要求上 层软件发送 ARP请求报文以获得目的端的 MAC 地址。大量的扫描报文会导致大量的ARP Miss 消息,导致防火墙的资源浪费在处理 ARP Miss 消息上,影响防火墙对其他业务的处理,从而形 成扫描攻击。
8.3.3 计算机网络的安全策略
1. 物理安全策略
物理安全策略的目的是保护计算机系统、网络服务器及打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限,防止用户越权操作;确保计算机系 统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室,防 止各种偷窃和破坏活动。
抑制和防止电磁泄漏是物理安全策略的一个主要问题。目前,主要防护措施有两类。 一类是对传导发射的防护,主要对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交 叉耦合。另一类是对辐射的防护,这类防护措施又可分为以下两种: 一是采用各种电磁屏蔽措施, 如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和 隔离;二是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统 辐射相关的伪噪声并向空间辐射以掩盖计算机系统的工作频率和信息特征。
2. 访问控制策略
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和 非常访问。它也是维护网络系统安全和保护网络资源的重要手段。各种安全策略必须相互配合才 能真正起到保护的作用。访问控制可以说是保证网络安全最重要的核心策略之一,主要包括入网 访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络检测 和锁定控制及网络端口和节点的安全控制等。
3. 防火墙控制策略
防火墙是控制进出两个方向通信的门槛。防火墙控制策略是指在网络边界上通过建立相应的 网络通信监控系统隔离内部和外部网络,以阻挡外部网络的侵入。
4. 网络加密控制策略
网络加密的目的是保护网内传输的数据、文件、口令和控制信息,保护网上传输的数据。常 用的网络加密方法有链路加密、端到端加密和节点加密3种。
(1)链路加密的目的是保护网络节点之间的链路信息安全。
(2)端到端加密的目的是对源端用户到目的端用户的数据提供保护。
(3)节点加密的目的是对源节点到目的节点之间的转发节点提供保护。
5. 网络安全管理策略
在网络安全中,除了采用上述措施之外,加强网络的安全管理、制定有关的规章制度,对于 确保网络安全可靠地运行都起到十分有效的作用。网络的安全管理策略包括确定安全管理的等级 和安全管理的范围、制定有关网络使用规程和人员出入机房的管理制度、制定网络系统的维护制 度和应急措施等。