第三章 网络安全
3.1 网络安全及管理概述
3.1.1 网络安全的概念
网络安全是个涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等的综合性领域。
网络安全包括网络硬件资源和信息资源的安全性。其中,网络硬件资源包括通信线路、通信设备(路由机、交换机等)、主机等,要实现信息快速安全的交换,必须有一个 可靠的物理网络。信息资源包括维持网络服务运行的系统软件和应用软件,以及在网络中存储和传输的用户信息数据等。信息资源的安全也是网络安全的重要组成部分。
3.1.2 网络管理的概念
网络管理是指监督、组织和控制网络通信服务,以及信息处理所必需的各种活动的总称。其目标是确保计算机网络的持续正常运行,使网络中的资源得到更加有效的利用,并在计算机网络运行出现异常时能及时响应和排除故障。从网络管理范畴来分类,可分为对网络设备的管理和对行为的管理。
3.1.3 安全网络的特征
安全网络的特征即为能够通过网络安全与管理技术或手段保障可靠性、可用性、保密性、完整性、可控性、可审查性的网络。
- 可靠性:网络信息系统能够在规定条件下和规定的时间内完成规定功能的特性。可靠性是所有网络信息系统建设和运行的目标。
- 可用性:可用性是指网络信息可被授权实体访问并按需求使用的特性。
- 保密性:保密性是指网络信息不被泄露给非授权的用户、实体或过程,或者供其的特性。
- 完整性:完整性是指网络信息未经授权不能进行改变的特性,即网络信息在存在或传输过程中不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。
- 可控性:可控性是指对信息的传播及内容具有控制能力。
可审查性:可审查性是指出现安全问题时提供的依据与手段。
3.1.4 常见的网络拓扑
网络拓扑是指网络的结构方式,表示连接在地理位置上分散的各个节点的几何方式。- 总线形拓扑结构
总线形拓赴结构是将所有的网络工作站或网络设备连接在同物理介质上,这时每个设备直接连接在通常所说的主干电缆上。由于总线形结构连接简单,增加和删除节点较为灵活。
总线形拓扑结构存在如下安全缺陷:
1)故障诊断困难 2)故障隔离困难 3)终端必须是智能的 星形拓扑结构
星形拓扑结构由中央节点和通过点到点链路连接到中央节点的各站点组成。星形拓扑如同电话网一样,将所有设备连接到一个中心点上,中央节点设备常被称为转接器、集中器或中继器。
星形拓扑结构主要存在如下安全缺陷:
1)对电缆的需求大且安装困难 2)扩展困难 3)对中央节点的依赖性太大 4)容易出现“瓶颈”现象
3.环形拓扑结构
环形拓扑结构的网络由一些中继器和连接中继器的点到点链路组成个团合环。每个中储器与两条链路连接,每个站点都通过一个中继器连接到网络上,数据以分组的形式发送。
环形拓扑结构主要存在如下安全缺陷:
1)节点的故障将会引起全网的故障 2)故障诊断困难 3)不易重新配置网络 4)影响访问协议
4.树形拓扑结构
树形拓扑结构是从总线形拓扑演变而来的,其形状像一棵倒置的树。 树形拓扑通采用同精电缆作为传输介质,且使用宽带传输技术。当节点发送信号时,根节点接收此信号,然后再重新广播发送到全网。树形结构的主要安全缺陷是对根节点的依赖性太大。
3.2 网络安全基础
3.2.1 OSI七层模型及安全体系结构
OSI(开放源代码促进会/开放源码组织)是一个旨在推动开源软件发展的非营利组织。OSI参考模型的全称是开放系统互连参考模型, 它是由国际标准化组织( ISO)和国际电报电话咨询委员会(CCITT)联合制定的。其目的是为异构计算机互连提供共同的基础和标准框架,并为保持相关标准的一致性和兼容性提供共同的参考。这里所说的开放系统,实质上指的是遵循OSI参考模型和相关协议,能够实现互连的具有各种应用目的的计算机系统。它是网络技术的基础,也是分析、评判各种网络技术的依据。
OSI七层模型及其主要功能:
应用层:访问网络服务的接口,例如为操作系统或网络应用程序提供访问网络服务的接口。常见的应用层协议有Telnet、 FTP、HTTP、SNMP、DNS等。
表示层:提供数据格式转换服务,如加密与解密、图片解码和编码、数据的压缩和解压缩常见应用: URL加密、口令加密、图片编解码
会话层:建立端连接并提供访问验证和会话管理。
传输层:提供应用进程之间的逻辑通信。常见应用: TCP、UDP、进程、端口。
网络层:为数据在节点之间传输创建逻辑链路,并分组转发数据。例如,对子网间的数据包进行路由选择常见应用:路由器、多层交换机、防火墙、IP、IPX等。
数据链路层:在通信的实体间建立逻辑链路通信。例如,将数据分帧,并处理流控制、物理地址寻址等常见应用设备:网卡、网桥、二层交换机等。
物理层:为数据端设备提供原始比特流传输的通路。例如,网络通信的传输介质常见应用设备:网线、中继器、光纤等。
OSI协议的运行原理:
每一层都在上层数据的基础上加入本层的数据头,然后再传递给下一层处理。这个过程时数据逐层向下的封装过程,俗称“打包”过程。
与数据的操作与上述过程相反,数据单元在每一层被去掉头部,根据需要传送给上一层来处理,直到应用层解析被用户看到内容。这是一个低层到高层的解封装过程,俗称“拆包”过程。
OSI安全体系结构:
七层模型主要是为了解决异构网络互联时所遇到的兼容性问题。它最大的优点是将服务、接口和协议这三个概念明确地区分开来。
在OSI安全体系结构中,定义了五类相关的安全服务,包括认证服务、访问控制服务、数据保密性服务、数据完整性服务和抗否认性服务。
3.2.2 TCP/IP协议及安全
TCP/IP是Internet的基本协议,由OSI七层模型中的网络层IP协议和传输层TCP协议组成。TCP/IP定义了电子设备如何连入因特网,以及数据如何在它们之间传输的标准。
- 网络层协议
(1)IP协议
IP协议是TCP/IP的核心,也是网络层中的重要协议。从前面的介绍可知,IP层封装来自更低层(网络接口层,如以太网设备驱动程序)发来的数据包,并把该数据包应用到更高层——TCP或UDP层:同样,IP层也会把来自更高的TCP或UDP层接收来的数据包传送到更低层。IP数据包是不可靠的,因为IP并没有任何手段来确认数据包是按顺序发送的或者没有被破坏。IP数据包中含有发送它的主机的地址(源地址)和接收它的主机的地址(目的地址)。
以常用的IPv4协议为例,高一层(传输层)的TCP和UDP服务在接收数据包时,一般假设包中的源地址是有效的。所以,IP地址形成了许多服务的认证基础,这些服务相信数据包是从一个有效的主机发送来的。在IP确认信息中包含选项IP source routing,可以用来指定一条源地址和目的地址之间的直接路径。对于一些应用到TCP和UDP的服务来说,使用了该选项的IP包是从路径上的最后一个系统终端传递过来的,而不是来自于它的真实地点。这就使得许多依靠IP源地址做确认的服务被攻击,比如常见的IP地址欺骗攻击。
(2)ARP
ARP协议用于将计算机的网络地址转化为物理地址。,要执行命令ping192.168.1。250,该过程需要经过下面的步骤:
1 )应用程序构造数据包,该示例是产生ICMP包,被提交给内核(网络驱动程序)。
2)内核检查是否能够将该IP地址转化为MAC地址,也就是在本地的ARP缓存中查看IP-MAC对应表。
3)如果存在该IPMAC对应关系,则回复;如果不存在该IP-MAC对应关系,那么继续下面的步骤。
4)内核进行ARP广播,目的地的MAC地址是FF ARP命令类型为REQUEST (1),其中包含自己的MAC地址。
5)当192.168.1.250主机接收到该ARP请求后,就发送一个ARP的REPLY(2)命令,其中包含自己的MAC地址。
6)本地获得192.168.1.250主机的IP-MAC地址对应关系,并保存到ARP缓存中。
在这个过程中,请求方是靠广播的方式发送的,应答方是单播回复。 - 传输层协议
(1)TCP
TCP协议使用三次握手机制来建立一条连接: 握手的第一个报文为SYN包; 第二个报文为SYN/ACK包,表明它应答第一个SYN包,同时继续握手的过程;第三个报文仅仅是一个应答,表示为ACK包。
倘若A为连接方,B为响应方,其间可能的威胁如下所示:
1)攻击者监听B方发出的SYN/ACK报文。
2)攻击者向B方发送RST包,接着发送SYN包,假冒A方发起新的连接。
3) B方响应新连接,并发送连接响应报文SYN/ACK。
4)攻击者再假冒A方对B方发送ACK包。
(2)UDP
UDP报文由于没有可靠性保证、顺序保证和流量控制字段等,因此可靠性较差。当然,正因为UDP协议的控制选项较少,使其具有数据传输过程中延迟小、数据传输效率高的优点,所以适用于对可靠性要求不高的应用程序,或者可以保障可靠性的应用程序,如DNS、TFTP、SNMP等。 - 应用层协议
- 安全封装协议
(1)IPSec
IPSec是为IPv4和IPv6的协议提供基于加密安全的协议、它使用AH(认证头)和ESP (封装安全载荷)协议来实现其安全,用ISAKMP/Oakley及SKIP进行密钥交换、管理及安全协商。
IPSe安全协议工作在网络层、运行在它上面的所有网络通道都是加密的。ISC安全服务包括访问控制、数据源认证、 无连接数据完整性、抗重播、数据机密性和有限的通信流量机密性。
IPSec使用消息鉴别机制来实现数据源验证服务,即发送方在发送数据包前,要用消息鉴别算法HMAC计算MAC, HMAC将消息的一部分和密钥作为输人,以MAC作为输出;目的地收到IP包后,使用相同的验证算法和密钥计算验证数据,如果计算出的MAC与数据包中的MAC完全相同,则认为数据包通过了验证。无连接数据完整性服务是对单个数据包是否被篡改进行检查,而对数据包的到达顺序不作要求,IPSc使用数据源验证机制实现无连接完整性服务。IPSec的抗重播(也叫抗重放)服务是指防止攻击者截取和复制IP包.然后发送到目的地。通信流机密性服务是指防止泄露通信的外部属性,从而使攻击者对网络流量进行分析,推导其中的传输频率、通信者身份、数据包大小、数据流标识符等信息。IPSec使用ESP隧道模式,对IP包进行封装,可达到一定程度的机密性,即有限的通信流机密性。
(2) SSL协议
安全套接层协议是用来保护网络传输信息的,它工作在传输层之上、应用层之下,其底层是基于传输层可靠的流传输协议。
该标准刚开始制定时是面向Web应用的安全解决方案,随着SSL部署的简易性和较高的安全性逐渐为人所知。
SSL采用TCP作为传输协议保证数据的可靠传送和接收。SSL工作在Socket层上,因此独立于更高层应用,可为更高层协议(如Telnet、FTP和HTTP)提供安全服务。
SSL协议分为记录层协议和高层协议。记录层协议为高层协议服务,限定了所有发送和接收数据的打包。
SSL的工作分为两个阶段:握手阶段和数据传输阶段。
(3)S-HTTP
安全超文本传输协议(S-HTTP)处于应用层,可提供通信保密、身份识别、可信赖的信息传输服务及数字签名等。S-HTTP提供了完整且灵活的加密算法及相关参数。
S-HTTP支持端对端安全传输。在语法上,S-HTTP报文与HTTP相同,均由请求或状态行组成,后面是信头和主体。显然信头各不相同并且主体密码设置更为精密。
与HTTP报文类似,S-HTTP报文由客户机到服务器的请求和从服务器到客户机的响应组成。
S-HTTP响应中的状态并不表示开展的HTTP请求为成功或失败。
(4)S/MIME
S/MIME的全称是安全多用途网际邮件扩充协议。Intenet电子邮件由一个邮件头部和一个可选的邮件主体组成,其中邮件头部含有邮件的发送方和接收方的有关信息。MIME中的数据类型一般是复合型的,也称为复合数据。 S/MIME对安全方面的功能也进行了扩展,可以把MIME的实体(比如加密信息和数字签名等)封装成安全对象。它定义了增强的安全服务。SMIME增加了新的MIME数据类型,用于提供数据保密、完整性保护、认证和鉴定服务等。
MIME消息可以包含文本、图像、声音、视频及其他应用程序的特定数据,采用单向散列算法和公钥机制的加密体系。S/MIME的证书采用X-509标准格式。S/MIME的认证机制依相于层次结构的证书认证机构。
3.2.3 无线网络安全
无线局域网是相当便利的数据传输系统,它利用电磁波作为传输介质,在一定范围内取代物理线缆所构成的网络。
- 无线局域网的安全问题
无线网络是一个共享的媒介,不受限于建筑物实体,心怀不轨者要入侵网络十分容易,因此保障WLAN的安全是非常重要的。 - 无线局域网安全协议
( 1) WEP (有线等效保密)
有线等效保密是美国电气和电子工程师协会制定的IEEE802.11标准的一 部分。它使用共享密钥串流加密技术进行加密,并使用循环校验以确保文件的正确性。
密钥长度不是影响WEP安全性的主要因素,破解较长的密钥需要拦截较多的包。WEP还有其他的弱点,包括安全数据雷同的可能性和改造的封包,这些风险无法用长一点的密钥来避免。
(2) WPA (Wi-Fi网络安全接人)
由于WEP是用IV+WEP密码的方式来保护明文的,属于弱加密方式,不能全面保证无线网络数据传输的安全。
新的安全机制WPA是从密码强度和用户认证两方面入手来强化无线网络安全的。它采用两种认证方式:共享密钥认证和IEEE 802.1x认证。共享密钥认证适用于小的企业网、家庭网络以及一些公共热点地区,没有认证服务器( RADIUS (远程用户拨号认证系统)服务器),也叫做PSK ( Pre-Shared Key,预先共享密钥)模式;而802.1x认证适用于大型网络,其中设置了专门的认证服务器。WPA采用IEEE802.1x和密钥完整性协议实现无线局域网的访问控制、密钥管理和数据加密。WPA是继承了WEP基本原理而又解决了WEP缺点的一种新技术。它加强了生成加密密钥的算法,使得窃密攻击者即使收集到包信息并对其进行解析也几乎无法计算出通用密钥,使数据在无线网络中传播的安全性得到一定的保证。然而,WPA所使用的RC4算法还是存在一定的安全隐患,有可能被破解。 同时,802.1x 本身也存在不足。它对于合法的EAPOL_Start 报文AP (无线接入点)都会进行处理。类似前面小节讲到的TCP连接时三次握手阶段的SYN请求,攻击者只要发送大量EAPOL_Start报文就可以消耗AP的资源,这属于DoS攻击。
(3)WPA2
AES(高级加密标准)是美国国家标准技术研究所取代DES的新一代的加密标准。
(4)WAPI
无线局域网鉴别和保密基础结构是中国针对IEEE802.11协议中的安全问题而提出的拥有自主知识产权的WLAN安全解决方案。
WAPI由无线局域网鉴别基础结构和无线局域网保密基础结构组成。
WPI的封装过程为:利用完整性校验密钥与数据分组序号(PN),通过校验算法对完整性校验数据进行计算,得到完整性校验码( MIC);再利用加密密钥和数据分组序号(PN), 通过工作在OFB模式的加密算法对MSDU数据及MIC进行加密,得到MSDU数据以及MIC密文;然后封装后组成帧发送。
WPI的解封装过程为:
1)判断数据分组序号(PN)是否有效,若无效,则丢弃该数据。
2)利用解密密钥与数据分组序号(PN), 通过工作在OFB模式的解密算法对分组中的MSDU数据及MIC密文进行解密,恢复出MSDU数据以及MIC明文。
3)利用完整性校验密钥与数据分组序号(PN),通过工作在CBC-MAC模式的校验算法对完整性校验数据进行本地计算,若计算得到的值与分组中的完整性校验码MIC不同,则丢弃该数据。
4)解封装后将MSDU明文进行重组处理并递交至上层。
3.3 识别网络安全风险
3,3,1 威胁
常见的外部威胁包括如下几类:
1)应用系统和软件安全漏洞
2)安全策略
3)后门和木马程序
4)病毒及恶意网站陷阱
5)黑客
6)安全意识淡薄
7)用户网络内部工作人员的不良行为引起的安全问题
3.3.2 脆弱性
- 操作系统的脆弱性
主要来自于其体系结构上的不足,体现在以下几方面:
1)动态链接
2)创建进程
3)空口令和RPC
4)超级用户 - 计算机系统本身的脆弱性
- 电磁泄露
- 数据的可访问性
- 通信系统和通信协议的弱点
- 数据库系统的脆弱性
网络存储介质的脆弱
3.4 应对网络安全风险
3.4.1 从国家战略层面应对
- 出台网络安全战略,完善顶层设计
- 建设网络身份体系,创建可信网络空间
- 提升核心技术自主研发能力,形成自主可控的网络安全产业生态体系
- 加强网络攻防能力,构建攻防兼备的安全防御体系
深化国际合作,逐步提升网络空间国际话语权
3.4.2 从安全技术层面应对
- 身份认证技术
其发展方向归纳以下几方面:
(1)生物认证技术
生物特征指的是人体自带的生理特征和行为特征。
(2)口令认证
(3)令牌认证 - 访问控制技术
访问控制指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段,
(1)访问控制的三要素:主体、客体和控制策略
(2)访问控制的功能及原理
访问控制的主要功能包括:保证合法用户访问受保护的网络资源,防止非法的主体进入受保护的网络资源进行非授权的访问。
访问控制有自主访问控制、强制访问控制、基于角色的访问控制以及综合访问控制策略等类型。
(1)自主访问控制
自主访问控制是由客体的属主对自己的客体进行管理,由属主决定是否将自己的客体访问权或部分访问权授予其他主体。
(2)强制访问控制
强制访问控制是系统强制主体服从的访问控制策略,是由系统对用户所创建的对象,按照规定的规则控制用户权限及操作对象的访问。
(3)基于角色的访问控制
角色是指完成一项任务必须访问的资源及相应操作权限的集合。
基于角色的访问控制是通过对角色的访问所进行的控制。RBAC支持三个著名的安全原则:最小权限原则、责任分离原则和数据抽象原则。
(4)综合性访问控制策略
综合访问控制策略主要包括:
1)入网访问控制 2)网络的权限控制 3)目录级安全控制:是为了控制用户对目录、文件和设备的访问,或指定对目录下的子目录和文件的使用权限。 4)属性安全控制 5)网络服务器安全控制 6)网络监控和锁定控制 7)网络端口和节点的安全控制
(5) 访问控制应用 - 入侵检测技术
入侵检测系统是一种对网络实时监控、检测,发现可疑数据并及时采取主体措施的网络设备。异常检测又称为基于行为的检测。特征检测又称为基于知识的检测和违规检测。入侵检测系统和防火墙是两种完全独立的安全网关设备。 - 监控审计技术
网络安全审计就是在一个特定的网络环境下,为了保障网络和数据不受来自外网和内网用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件,以便集中报警、分析、处理的一种技术手段。
目前常用的安全审计技术有以下几类:1)日志审计 2)主体审计 3)网络审计 蜜獾技术
蜜獾在整个系统中扮演的是情报采集员的角色,它故意让人攻击,引诱攻击者。当入侵者得逞后,“蜜獾”会对攻击者进行详细分析。
蜜獾技术可分为实系统蜜獾和伪系统蜜獾。3.4.3 网络管理的常用技术
- 日常运维巡检
- 漏洞扫描
- 应用代码审核
- 系统安全加固
- 等级安全测评
- 安全监督检查
- 应急相响应处置
安全配置管理
(1)资产管理 (2)资源管理 (3)服务目录管理 (4)服务请求 (5)监控管理
第七章 大数据背景下的先进计算安全问题
7.3 物联网安全
7.3.1 物联网概述
- 物联网的概念
互联网架构委员会给出的定义:物联网表示大量的嵌入式设备使用互联网协议提供的通信服务所构成的网络。
互联网工程任务组描述是“智能物体”是具有一定限制的典型设备。
国际电信联盟关于物联网的概述,重点讨论了互连互通,全球信息空间的基础设施和智能物体基于现有的和不断发展的互操作性信息和通信技术。
在IEEE通信杂志特别专题中,其描述是:物联网是一个框架,所有的物体都具有一定的功能存在于互联网上。
物联网的目标是帮助我们实现物理世界和网络世界的互连互通。 物联网的层次架构与特征
物联网的价值在于让物体拥有“智慧”,从而实现人与物、物与物之间的沟通,物联网的特征在于感知、互联和智能的叠加。
物联网三大部分:
数据感知部分、网络传输部分、智能处理部分
一般将物联网体系划分为三层结构,即感知层、网络层、应用层
感知层解决的是人类世界和物理世界的数据获取问题。
传输层也被称为网络层,解决的是感知层所获取的数据的长距离传输问题,主要完成接入和传输功能,是进行信息交换、传递的数据通路。
应用层也可称为处理层,解决的是信息处理和人机界面的问题。
物联网应该具备如下3种能力:全面感知、可靠传递、智能处理
从体系架构角度可以将物联网支持的应用分为三类:具备物理世界认知能力的应用、在网络融合基础上的泛在化应用、基于应用目标的综合信息服务应用7.3.2 物联网安全特征与架构
- 物联网安全问题与特征
- 物联网面临的安全挑战
物联网的安全架构
物联网面临的安全攻击:
●针对感知层数据传输的攻击主要有认证攻击、权限攻击、静默方式的完整性攻未
●物理层攻击通常包括占据各节点通信信道以阻碍节点间通信的通信阻塞拒绝服务
攻击,以及提取节点敏感信息实施物理篡改的节点篡改攻击。
●链路层拒绝服务攻击主要包括同时启动多个节点以相同信道频率发送数据的冲突
式攻击,以及重复多次发送大量请求、过度消耗通信传输资源导致通信信道异常中断的耗尽式攻击。
●网络层攻击包括欺骗攻击、虫洞攻击、Hello洪泛攻击以及确认式泛洪攻击。除此之外,还包括由簇头和拥有网络管理权限的节点所实施的归巢攻击以及选择攻击目标节点实现恶意目的的选择转发攻击。
●应用层攻击主要是利用不同协议之间数据转换实施由感知层节点向基站创建巨大信号以阻塞传输线路的拒绝服务攻击。7.3.3 工控系统及其安全
工业控制系统是几种类型控制系统的总称,包括监控和数据采集系统、分布式系统、过程控制系统、可编程逻辑控制器等。
工业系统的架构:
控制器、组态编程软件、数据采集与监视控制组件、人机界面、分布式过程控制系统
工业控制系统所涉及的网络部分包括:企业资源网络、过程控制和监控网络、控制系统网络。
工控系统的安全防护一般分为工控系统基础防护方法和基于主控系统安全基线的防护方法。工控系统基础防护方法主要包括失泄密防护、主机安全管理、数据安全管理等。基于主机系统安全基线的防护方法主要包括基线建立、运行监控、实施防御。