5 ä¹, 2006
所谓安全威胁是指某个人、物、事件或概念对某一资源的机密性、完整性、可用性或合法使用所造成的危害。从计算机信息系统的角度来讲,主要面临如下4个基本的安全威胁。
(1) 信息泄露: 信息被泄露或透露给某个未授权的实体。
(2) 完整性破坏: 数据的一致性通过未授权的创建、修改或破坏而受到损坏。
(3) 拒绝服务: 对信息或其他资源的合法访问被无条件的阻止。
(4) 非法使用: 某一资源被某个未授权的人或以某一种未授权的方式使用。
网络系统的概念涵盖了与计算机系统互连相关的软硬件等一切设施。我们将所有通过网络系统实施的,或针对网络系统本身的安全威胁称为网络安全威胁。网络安全威胁包含的范围很广,因为许多针对计算机系统内部的安全威胁也越来越多地是通过网络系统发起的,人们一说到安全威胁,大多指的就是网络安全威胁。网络安全威胁可以从如下角度划分成3大类。
● 针对数据传输的威胁: 会导致基本威胁(1) 和(2) ,例如数据信息的窃听、数据信息的篡改、数据传输的抵赖、中间人攻击,等等。
● 针对网络协议栈本身设计漏洞的威胁: 会导致基本威胁(3) ,例如地址欺骗攻击、Ping攻击、SYN攻击,等等。
● 以网络系统为通道的计算机系统内部威胁: 不破坏网络系统,仅仅是借助网络系统来对计算机内部系统进行非法的数据获取或修改,会导致基本威胁(1) 、(2) 和(4) ,例如旁路控制、特洛伊木马、授权侵犯,等等。
面对如此众多的网络安全威胁,任何信息系统都需要采取必要的安全防护措施,甚至应该包括必要的安全检测和响应措施,我们把这些主要的网络安全措施称作网络安全服务。以下是几种通用的网络安全服务。
● 认证服务: 提供某个实体的身份保证。
● 访问控制服务: 保护资源以免对其进行非法使用和操纵。
● 数据机密性服务: 保护信息不被泄露或暴露给未授权的实体。
● 数据完整性服务: 保护数据以防止未授权的改变、删除或替代。
● 非否认服务: 防止参与某次通信交换的一方事后否认本次交换曾经发生过。
● 网络安全检测服务: 对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果。
● 审计服务: 对系统记录和过程的检查和审查,协助攻击的分析,收集证据以用于起诉攻击者。
● 攻击监控和报警响应服务: 对攻击事件的监视与控制,提供对攻击事件的报警与响应。
各种安全服务是有一定的针对性的,例如认证服务用来防止假冒攻击,数据机密性服务用来防止数据信息泄露。同时各种安全服务之间存在着协同关系,单独一种安全服务并不一定能够防止某些安全威胁的发生,例如访问控制服务需要认证服务的配合,有时也需要数据机密性和完整性服务的支持。在安全防护服务未能阻止对系统的入侵攻击时,还需要有安全检测、审计和报警服务来进行后续处理。因此对系统提供全面安全保护,防止形形色色且不断增长的安全威胁的发生,是系统中多种安全服务综合作用的结果。
网络体系结构的分层特性使得安全服务的配置较为复杂。协议分层导致了数据项嵌在了数据项中,连接之中有连接,潜在地形成多重嵌套。严格地说,协议栈中的每一层和它的对等协议层构成了一个相对独立的信息子系统,每个信息子系统都有自己的主体和客体,应该通过提供某些安全服务来实现自身的安全性。但是如果在每一层都提供相同的安全服务,就会造成功能的重复与浪费。一个合理的思路是,按照不同的安全需求,在不同的协议层中设置相应的安全服务,使得各层之间的安全服务能够协同工作,从而达到网络系统的整体安全性。
基于实际网络中的安全实现,我们一般可以将OSI的7层模型划分成更加简单和更加实用的4个基本的安全结构级,它们是应用级、端系统级、子网络级和直接链路级。
实施网络安全服务的机制称为网络安全机制。网络安全机制种类很多,例如加密、数字签名、访问控制、数据完整性、认证交换、业务流填充、路由控制、公证,等等。一种安全服务有时要用到多种安全机制,一种安全机制也可能在多个安全服务的实现中被使用。在这些安全机制中,有两种被使用的安全技术最为关键。一种是密码技术,它是实现所有安全服务的重要基础。一种是访问控制技术,它是维护系统内部合法操作行为的基础。