【网络信息安全】网络安全基础

主要内容

• 1.1 网络安全的概念
• 1.2 主要的网络安全威胁
• 1.3 TCP/IP 协议簇的安全问题
• 1.4 OSI 安全体系结构
• 1.5 网络安全服务及其实现层次
• 1.6 TCP/IP 协议簇的安全架构
• 1.7 PPDR 安全模型
• 1.8 可信计算机系统评价准则 TCSEC
• 1.9 信息系统安全保护等级划分准则

1.1 网络安全的概念

1. 信息是重要的战略资源
2. 危害信息安全的事件不断出现

信息系统安全（信息安全）四个层面

1. 硬件安全：信息系统安全的首要问题，包括硬件的稳定性、可靠性和可用性。
2. 软件安全：如保护信息系统不被非法侵入，系统软件和应用软件不被非法复制、篡改，不受恶意软件侵害等。
3. 数据安全（传统的信息安全）：采取措施确保数据免受未授权的泄露、篡改和毁坏。
4. 安全管理：运行时突发事件的安全处理等，包括建立安全管理制度，开展安全审计和风险分析等。

信息安全四个层面的关系：

• 系统硬件和操作系统的安全 —> 信息安全 基础
• 密码学、网络安全 —> 信息安全的 核心和关键
• 信息系统安全 —> 信息安全的 目标

确保信息安全是一项系统工程，必须从整体上采取措施，确保信息在获取、存储、传输和处理各个环节中的安全。

信息安全的概念和所涉及学科

信息安全是 研究信息获取、存储、传输以及处理领域的信息安全保障问题的一门新兴学科，是防止信息被非授权使用、误用、篡改和拒绝使用而采取的措施。

信息安全是 综合数学（的多个分支）、物理、生物、量子力学、电子、通信、计算机、系统工程、语言学、统计学、心理学（蜜罐）、法律、管理、教育等学科演绎而成的交叉学科。

研究网络安全的重要性

网络安全：网络系统的硬件、软件及系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、篡改、泄露，系统连续可靠正常地运行，网络服务不被中断。

1. 计算机自身的安全
2. 互联的安全（含通信设备、通信链路、网络协议）
3. 各种网络应用和服务的安全

1.2 主要的网络安全威胁

1. 伪装或假冒
2. 否认或抵赖
3. 破坏完整性
4. 破坏机密性
5. 信息量分析
6. 重放
7. 重定向
8. 拒绝服务
9. 恶意软件
10. 社会工程（Social Engineering）

1.3 TCP/IP 协议簇的安全问题

• 互联网没有中心管理机构，任何一台主机或各种局域网遵从 TCP/IP 协议和 IP地址分配规则，就能连入互联网。
• TCP/IP 最初在可信任环境中开发，基本未考虑安全性。
• 因为先天不足和向后兼容原因，后来的改进仍未彻底解决安全问题。

TCP/IP 协议簇的架构和协议相关性

1.3.1 链路层协议的安全隐患

ARP 协议的安全隐患：

• ARP 缓存可能被毒害 —— ARP 欺骗

以太网协议 CSMA/CD 的安全隐患：

• 共享方式传送数据 —— 网卡混杂模式嗅探

1.3.2 网络层协议的安全隐患

IP 协议的安全隐患：

1. 不能为数据提供完整性、机密性
2. 路由和分片机制 —— 数据包内容易被篡改
3. 对 源IP地址 不进行认证 —— IP欺骗攻击
4. 可以设置 “源路由” 选项 —— 源路由欺骗攻击
5. “IP分片包” 的威胁 —— 分片扫描和拒绝服务攻击

ICMP 协议的安全隐患：

• ICMP echo 广播响应包 —— 拒绝服务攻击
• 利用隧道技术封装成 ICMP 包来建立隐藏通道/穿越防火墙

1.3.3 传输层协议的安全隐患

TCP 协议的安全隐患：

1. 三次握手中 源IP地址 可以虚假 —— 拒绝服务攻击
2. TCP 中的序列号并不真正随机 —— IP欺骗攻击
3. 可以定制所发送 TCP 包的标志位 —— 隐蔽扫描

UDP 协议的安全隐患：

• 无连接、不可靠的协议 —— 拒绝服务攻击

1.3.4 应用层协议的安全隐患

DNS 协议的安全隐患：

• DNS缓存可能被毒害 —— DNS欺骗、区域传输

路由协议的安全隐患：

• 路由信息可以被篡改 —— 修改网络数据传输路径

Web 协议的安全隐患

其他协议的安全隐患

1.4 OSI 安全体系结构

1.4.1 安全服务

1. 认证
   用于认证实体身份：对等实体认证和数据源认证。

2. 访问控制
   防止系统资源被非法使用的措施。

3. 数据机密性
   防止信息泄露的措施：连接机密性、无连接机密性、选择字段机密性、通信业务流机密性。

4. 数据完整性
   防止非法篡改和破坏信息：带恢复的连接完整性、无恢复的连接完整性、选择字段的连接完整性、无连接完整性、选择字段无连接完整性。

5. 抗否认
   针对对方否认的防范措施，用来证实发生过的操作：对发送方的抗否认和对接收方的抗否认。（5）认证交换机制：用来实现对等实体的认证，如进行口令交换的一次性口令机制；

1.4.2 安全机制

1. 加密机制
   借助各种加密算法对数据进行加密，是各种安全服务的基础；

2. 数字签名
   发送方用自己私钥签名，接收方用发送方公钥验证签名——数字签名鉴别发送方；

3. 访问控制机制
   根据访问者的身份和有关信息，决定实体的访问权限；

4. 数据完整性机制
   判断信息在传输过程中是否被篡改过；

5. 认证交换机制
   用来实现对等实体的认证，如进行口令交换的一次性口令机制；

6. 通信业务填充机制
   通过填充冗余的业务流量来防止攻击者进行“流量分析” ；对通信方式的研究，分析对象不是报文内容本身，而是它们的特点 —— 通信形式和通信内容同等重要。

7. 路由选择控制机制
   防止不利的信息通过，如使用网络层防火墙；

8. 公证机制
   由第三方使用数字签名为通信方签发数字证书来实现。

1.5 网络安全服务及其实现层次

1.5.1 机密性

阻止未经授权的用户非法获取保密信息：

1. 存储的机密性：数据在系统中存储的过程中不被攻击者获得其内容；
2. 传输的机密性：数据在网络中传输的过程中不被第三方获得其内容。

主要方法：物理保密、防窃听、防辐射、信息加密、通信业务填充机制等。

1.5.2 完整性

在未经许可的情况下，保证数据不会被他人删除或修改（至少能发现被修改过）。

分为 存储的完整性 和 传输的完整性：数据在存储和传输过程中不被偶然或故意地插入、删除、修改、伪造、乱序和重放。

主要方法：数据校验和、数字指纹、消息校验码、防重放机制等。

1.5.3 身份认证

用户要向系统证明他就是他所声称的那个人，目的是为了防止非法用户访问系统和网络资源。
它是确保合法用户使用系统的第一道关卡。

主要方法：口令、数字证书、基于生物特征以及通过可信第三方进行认证等。

1.5.4 访问控制

限制主体对访问客体的访问权限，从而使计算机系统在合法范围内使用。

建立在身份认证基础上，通过限制对关键资源的访问，防止非法用户的侵入或因为合法用户的不慎操作而造成的破坏。

主要方法：

• 宏观上：自主访问控制和强制访问控制等；
• 具体实现上：访问控制矩阵和访问控制表等。

1.5.5 不可否认

发送方/接收方不能否认它曾经在某时发送/接收过的数据。即通信方必须对自己行为负责，而不能也无法事后否认，其他人也无法假冒通信方成功。

1. 发送方的不可否认
2. 接收方的不可否认
3. 时间上不可否认

主要方法：数字签名、数字签名收条和时间戳等。

1.5.6 可用性

我们要求计算机或网络能够在我们期望它以我们所期望的方式运行的时候运行。

1. 物理上的可用性
2. 防止拒绝服务来实现可用性。

主要方法：
3. 保证设备的正常使用不受断电、地震、火灾、水灾等影响；
4. 对网络阻塞、网络蠕虫、黑客攻击等导致系统崩溃或带宽过度损耗的情况采取措施。

1.6 TCP/IP 协议簇的安全架构

（1）链路层安全协议

负责提供通过通信链路连接的主机或路由器之间的安全保证。

优点：效率高和容易实施，也被经常使用。

缺点：不通用，扩展性不强，在 Internet 环境中并不完全适用。

（2）网络层安全协议

主要解决网络层通信的安全问题，IPSec 是目前最主要的网络层安全协议。

优点：对上层应用透明性好，即安全服务的提供不需要应用程序做任何改动，并与物理网络无关。

缺点：很难实现不可否认性，不能对来自同一主机但不同进程的数据包分别施加安全保证，可能造成系统性能下降。

（3）传输层安全协议

主要实现传输层的安全通信，只可实现端到端（进程到进程）的加密。

优点：提供基于进程到进程的安全服务，并可利用公钥加密机制实现通信的端实体间的相互认证。

缺点：修改应用程序才能增加相应的安全性，无法根本上解决身份认证和不可否认问题。基于UDP的通信很难在传输层实现安全性。

（4）应用层安全协议

应用层的安全措施必须在端系统及主机上实施。

优点：可以给不同应用提供针对性更强的安全功能，能最灵活地处理单个文件安全性：身份认证、访问控制、不可否认、机密性、完整性。

缺点：需要对操作系统内核做较大调整，而且针对每个应用要单独设计，没有统一的解决方案。

不同层次安全协议的比较

1. 单独一个层次无法提供全部的网络安全服务，从而形成由各层安全协议构成的TCP/IP的安全架构。
2. 安全协议实现的层次越低越具有通用性，能够提供整个数据包安全，且该协议运行性能就越好，对用户的影响就越小。
3. 高层的安全协议能针对用户和应用提供不同级别更灵活的安全功能。

1.7 PPDR 安全模型

动态的自适应网络安全模型：可量化、可由数学证明、且基于时间特性。

在整体安全策略的指导下，综合运用防护工具的同时，利用检测工具评估系统的安全状态，将系统调整为“最安全”和“风险最低” 。

PPDR 模型的四个环节

1. Policy（安全策略）
   PPDR安全模型的核心，描述系统哪些资源需要保护，如何实现保护。
2. Protection（防护）
   加密机制、数字签名机制、访问控制机制、认证机制、信息隐藏、防火墙技术等。
3. Detection（检测）
   入侵检测、系统脆弱性机制、数据完整性机制、攻击性检测等。
4. Response（响应）
   应急策略、应急机制、应急手段、入侵过程分析、安全状态评估等。

没有一项防护技术完美，检测和响应是最基本的，因此防护不是必须的，检测和响应是必须的。
防护、检测和响应组成了一个完整的、动态的安全循环，在安全策略指导下保证信息系统的安全。

PPDR 模型的时间特性

1. 攻击时间 Pt
   黑客从开始入侵到侵入系统的时间（对系统是保护时间）。高水平入侵和安全薄弱系统使 Pt 缩短。
2. 检测时间 Dt
   黑客发动入侵到系统能够检测到入侵行为所花费的时间。适当的防护措施可以缩短 Dt。
3. 响应时间Rt
   从检测到系统漏洞或监控到非法攻击到系统做出响应（如切换、报警、跟踪、反击等）的时间。
4. 系统暴露时间 E t =Dt + Rt - Pt
   系统处于不安全状态的时间。
   系统的检测时间和响应时间越长，或系统的保护时间越短，则系统暴露时间越长，就越不安全。
   如果 Et 小于等于 0，那么基于 PPDR 模型，认为系统安全。要达到安全的目标需要尽可能增大保护时间，尽量减少检测时间和响应时间。

PPDR 模型也有局限性。

1.8 可信计算机系统评价准则 TCSEC

安全性级别划分的原则

根据安全性相近原则，安全级别分为如下四类：

1. D级
   什么保护要求都没有；
2. C1、C2级
   目前流行的商用操作系统；
3. B1、B2级
   要求对基础模型的安全性给出精确证明，TCB有清楚的技术规范说明；
4. B3 和 A1级
   要求更精确证明 TCB 和形式化设计。

其中 B1 和 B2 的安全强度有明显区别，B2 和 B3 之间也有显著差别。

D级 —— 最低保护

指未加任何实际安全措施，整个系统都不可信任。

1. D系统 只为文件和用户提供安全保护，操作系统很容易受到损害。
2. 任何人不需要任何账户就可进入系统，不受任何限制就可访问他人文件。
3. D系统最普遍形式是本地操作系统，或一个完全没有保护的网络。

C级 —— 被动的自主访问策略（C1、C2）

C1级：具有一定自主访问控制（DAC）机制，通过将用户和数据分开达到安全目的。

1. 它要求系统硬件有一定的安全保护。
2. 用户使用前必须登录系统，允许管理员为一些程序和数据设定访问权限。
3. C1 系统不能控制进入系统的用户访问级别，而且所有文档具有相同的机密性。

C2级：又称为访问控制保护，具有更细分每个用户的 DAC 机制。
4. 引入审计机制，并对审计使用身份认证。
5. 连接到网络上时，C2 系统的用户对各自行为负责。
6. C2 系统进一步限制用户执行某些命令或访问某些文件的权限，而且还对用户分组进行身份认证。

B级 —— 被动的强制访问策略（B1、B2、B3）

B1级：满足C2级的所有要求，对象还必须在强制访问控制之下，不允许拥有者更改它们的权限。

B2级：TCB 基于明确定义的形式化模型，系统中所有主体和客体实施 MAC。要求系统中的所有对象加标签，具有可信通路机制、系统结构化设计、最小特权管理及对隐藏通道的分析处理。

B3级：TCB 要能对系统中所有主体和客体的访问进行控制，不会被非法篡改。

A级 —— 形式化证明的安全

类似于B3级，包括一个严格的设计、控制和验证过程。

1. 设计必须是从数学角度经过验证的。
2. 特色在于形式化的顶层设计规格 FTDS、形式化验证 FTDS 与形式化模型的一致性和由此带来的更高的可信度。

1.9 信息系统安全保护等级划分准则

第一级：用户自主保护级

• 对用户实施自主访问控制，保护用户信息免受破坏。

第二级：系统审计保护级

• 实施更细的自主访问控制，创建访问的审计记录，使用户对自己行为的合法性负责。

第三级：安全标记保护级

• 以访问对象标记的安全级别限制访问者的访问权限。

第四级：结构化保护级

• 安全保护机制分为关键和非关键部分，对关键部分直接控制访问者存取访问对象。将 DAC 和 MAC 扩展到所有主体和客体，且要考虑隐藏通道。

第五级：访问验证保护级

• 增设访问验证功能，TCB 应满足访问监控器需求，访问监控器本身要有抗篡改性，且必须足够小。