为使读者对信息安全有更深入的了解,本栏目特设置读者反馈版块。读者可就信息安全领域的问题及本栏目文章中的不明之处,来信来电,本报特请美国网络联盟(NAI)公司北京办事处技术经理郭春平先生解答问题。
安全体系结构
今天,网络对于我们任何一个人来说,都已不陌生。小到公司的内部网络,甚至家庭网络,大到遍及全球的Internet,再如致力于公众服务的邮电网络和金融网络。据统计,目前我国公共Internet用户的数量已经超过了210万,而这一数字在一年前还不足100万。如果再加上通过公司内部网络间接访问Internet的人数,这一数字还将进一步提高。而假如将金融系统和邮政系统的用户也视为间接网络用户的话,那么就可以说每一个人都在直接或间接、有意或无意识地在使用着网络。
可以想象,一旦所有这些网络在顷刻之间全部瘫痪,那么我们将在瞬间回到石器时代。即便是其中的一小部分出现问题,我们的损失也不可估量。例如在1989年,三名德国黑客因涉嫌向前苏联出售军事机密而被捕,他们曾在两年多的时间里,侵入了北约及美国的计算机网络,从中窃取了诸多高度机密的信息。1996年,美国中央情报局主页上的名称被改为了“中央笨蛋局(Cnetral Stupidity Agency)”,而美国司法部(Department of Justice)则被改为了“非法部(Department of Injustice)”。所以,如果说网络安全问题在昨天还是一个可以回避的话题的话,那么今天我们则必须认真面对这一问题。
无论是已建立了自己的网络和站点的用户,还是正在考虑筹建网络的用户,都面临着这样一个问题:什么样的网络才是一个安全的网络?或者说,怎样才能建立一个真正安全的网络?
依据普通人的经验来看,一般的网络会涉及以下几个方面:首先是网络硬件,即网络的实体;第二则是网络操作系统,即对于网络硬件的操作与控制;第三就是网络中的应用程序。有了这三个部分,一般认为便可构成一个网络整体。而若要实现网络的整体安全,考虑上述三方面的安全问题也就足够了。但事实上,这种分析和归纳是不完整和不全面的。在应用程序的背后,还隐藏着大量的数据作为对前者的支持,而这些数据的安全性问题也应被考虑在内。同时,还有最重要的一点,即无论是网络本身还是操作系统与应用程序,它们最终都是要由人来操作和使用的,所以还有一个重要的安全问题就是用户的安全性。
所以,在经过系统和科学的分析之后,国际著名的网络安全研究公司Hurwitz Group得出以下结论:在考虑网络安全问题的过程中,应该主要考虑以下五个方面的问题:网络是否安全?操作系统是否安全?用户是否安全?应用程序是否安全?以及数据是否安全?
目前,这个五层次的网络系统安全体系理论已得到了国际网络安全界的广泛承认和支持,均已将这一安全体系理论应用在其产品之中。下面我们就将逐一对每一层的安全问题做出简单的阐述和分析。
●网络层的安全性(Network Integrity)
网络层的安全性问题核心在于网络是否得到控制,即:是不是任何一个IP地址来源的用户都能够进入网络?如果将整个网络比作一幢办公大楼的话,对于网络层的安全考虑就如同为大楼设置守门人一样。守门人会仔细察看每一位来访者,一旦发现危险的来访者,便会将其拒之门外。
通过网络通道对网络系统进行访问的时候,每一个用户都会拥有一个独立的IP地址,这一IP地址能够大致表明用户的来源所在地和来源系统。目标网站通过对来源IP进行分析,便能够初步判断来自这一IP的数据是否安全,是否会对本网络系统造成危害,以及来自这一IP的用户是否有权使用本网络的数据。一旦发现某些数据来自于不可信任的IP地址,系统便会自动将这些数据阻挡在系统之外。并且大多数系统能够自动记录那些曾经造成过危害的IP地址,使得它们的数据将无法第二次造成危害。
用于解决网络层安全性问题的产品主要有防火墙产品和VPN———虚拟专用网。防火墙的主要目的在于判断来源IP,将危险或未经授权的IP数据拒之于系统之外,而只让安全的IP数据通过。一般来说,公司的内部网络若要与公众Internet相连,则应该在二者之间配置防火墙产品,以防止公司内部数据的外泄。VPN主要解决的是数据传输的安全问题,如果公司各部在地域上跨度较大,使用专网、专线过于昂贵,则可以考虑使用VPN。其目的在于保证公司内部的敏感关键数据能够安全地借助公共网络进行频繁地交换。
●系统的安全性(System Integrity)
在系统安全性问题中,主要考虑的问题有两个:一是病毒对于网络的威胁;二是黑客对于网络的破坏和侵入。
病毒的主要传播途径已由过去的软盘、光盘等存储介质变成了网络,多数病毒不仅能够直接感染网络上的计算机,也能够将自身在网络上进行复制。同时,电子邮件、文件传输(FTP)以及网络页面中的恶意Java小程序和ActiveX控件,甚至文档文件都能够携带对网络和系统有破坏作用的病毒。这些病毒在网络上进行传播和破坏的多种途径和手段,使得网络环境中的防病毒工作变得更加复杂,网络防病毒工具必须能够针对网络中各个可能的病毒入口来进行防护。
对于网络黑客而言,他们的主要目的在于窃取数据和非法修改系统,其手段之一是窃取合法用户的口令,在合法身份的掩护下进行非法操作;其手段之二便是利用网络操作系统的某些合法但不为系统管理员和合法用户所熟知的操作指令。例如在Unix系统的缺省安装过程中,会自动安装大多数系统指令。据统计,其中大概有约300个指令是大多数合法用户所根本不会使用的,但这些指令往往会被黑客所利用。
要弥补这些漏洞,我们就需要使用专门的系统风险评估工具,来帮助系统管理员找出哪些指令是不应该安装的,哪些指令是应该缩小其用户使用权限的。在完成了这些工作之后,操作系统自身的安全性问题将在一定程度上得到保障。
●用户的安全性(User Integrity)
对于用户的安全性问题,所要考虑的问题是:是否只有那些真正被授权的用户才能够使用系统中的资源和数据?
首先要做的是应该对用户进行分组管理,并且这种分组管理应该是针对安全性问题而考虑的分组。也就是说,应该根据不同的安全级别将用户分为若干等级,每一等级的用户只能访问与其等级相对应的系统资源和数据。
其次应该考虑的是强有力的身份认证,其目的是确保用户的密码不会被他人所猜测到。
在大型的应用系统之中,有时会存在多重的登录体系,用户如需进入最高层的应用,往往需要多次输入多个不同的密码,如果管理不严,多重密码的存在也会造成安全问题上的漏洞。所以在某些先进的登录系统中,用户只需要输入一个密码,系统就能够自动识别用户的安全级别,从而使用户进入不同的应用层次。这种单一登录体系要比多重登录体系能够提供更大的系统安全性。
●应用程序的安全性(Application Integrity)
在这一层中我们需要回答的问题是:是否只有合法的用户才能够对特定的数据进行合法的操作?
这其中涉及两个方面的问题:一是应用程序对数据的合法权限;二是应用程序对用户的合法权限。例如在公司内部,上级部门的应用程序应该能够存取下级部门的数据,而下级部门的应用程序一般不应该允许存取上级部门的数据。同级部门的应用程序的存取权限也应有所限制,例如同一部门不同业务的应用程序也不应该互相访问对方的数据,一方面可以避免数据的意外损坏,另一方面也是安全方面的考虑。
●数据的安全性(Application Confidentiality)
数据的安全性问题所要回答的问题是:机密数据是否还处于机密状态?
在数据的保存过程中,机密的数据即使处于安全的空间,也要对其进行加密处理,以保证万一数据失窃,偷盗者(如网络黑客)也读不懂其中的内容。这是一种比较被动的安全手段,但往往能够收到最好的效果。
上述的五层安全体系并非孤立分散。如果将网络系统比作一幢办公大楼的话,门卫就相当于对网络层的安全性考虑,他负责判断每一位来访者是否能够被允许进入办公大楼,发现具有危险性的来访者则将其拒之门外,而不是让所有人都能够随意出入。操作系统的安全性在这里相当于整个大楼的办公制度,办公流程的每一环节紧密相连,环环相扣,不让外人有可乘之机。如果对整个大楼的安全性有更高的要求的话,还应该在每一楼层中设置警卫,办公人员只能进入相应的楼层,而如果要进入其它楼层,则需要获得相应的权限,这实际是对用户的分组管理,类似于网络系统中对于用户安全问题的考虑。应用程序的安全性在这里相当于部门与部门间的分工,每一部门只做自己的工作,而不会干扰其它部门的工作。数据的安全性则类似于使用保险柜来存放机密文件,即使窃贼进入了办公室,也很难将保险柜打开,取得其中的文件。
上述的这些办公制度其实早已被人们所熟悉,而将其运用在网络系统中,便是我们所看到的五层网络安全体系。