论文部分内容阅读
网络安全没有万灵的解决方案,安全防护是一个动态的过程。随着攻击手段的升级,防护手段也应该随之发展。网络安全防护技术正在成为一个工程领域,采用工程化的方法解决安全问题是一个明显的技术趋势。美国国家安全局NSA的信息保障技术框架IATF对此有比较完整的阐述,本文则以该技术框架为背景,着重探讨几种新兴的防御技术和现有安全防护系统中存在的一些突出的问题。发展这些技术、解决有关问题对于信息安全防护具有重要的意义。
一、网络容忍入侵技术
容忍入侵(简称容侵)是将容错机制应用到安全领域的一种安全增强机制。容侵系统的基本目标是在入侵存在的情况下确保系统的安全性和可用性。目前,网络信息系统安全保密研究发展至第三代。即至假定某些攻击仍能突破入侵防护和入侵检测两层安全机制,需要使用容侵机制来确保信息系统的安全性和可用性。容侵系统中需要研究的一个重要问题是故障检测和诊断。与入侵检测不同,容侵服务中的入侵检测主要针对入侵检测无法检测的入侵或无法消除的入侵,这些入侵可能导致服务结点的拜占庭(Byzantine)故障,进而影响系统服务的可用性和安全性。为此,容侵系统必须从故障屏蔽和故障诊断两个方面来加强容侵服务的安全性和可用性。
二、系统配置安全性的形式化验证技术
为了确保安全配置本身的正确性,我们必须首先为RC, AUTH等访问控制机制建立严格的数学模型,然后,再根据这些模型对配置的正确性进行讨论。国际上已经开始这方面的努力。例如,Amon Ott 在《The Role Compatibility Security Model》一文中为RC给出了一个形式化的定义,为 RC 配置正确性的讨论奠定了基础。目前的主要问题是RC模型本身比较复杂,用手工推演的方式对该模型进行讨论的工作量很大,对于所获得的结果本身,很难保证其中没有隐藏错误。一个可能的方法是采用机器辅助定理证明来解决这一问题。具体的方法是在交互式定理证明器(如 Isabelle )中建立RC的形式模型,然后,在Isabelle的辅助之下,对RC的性质进行讨论。尽管所有具有创造性的步骤都是在人的指导下完成的,Isabelle所提供的"证明搜索"功能可以在很大程度上减轻人力耗费。更为重要的是,Isabelle的"证明检查"功能可以排除所有由于人为疏忽而引入的细节错误。和手工方法的形式化验证相比,采用机器辅助证明方法可以大大提高证明的精确程度。对于复杂的证明尤其如此。
三、现有系统的若干问题
(一)公钥基础设施(PKI)的兼容性和应用集成
公钥基础设施是IATF采用的纵深信息保障体系中划分的四个安全领域之一。对于信息安全来说,PKI是一个大有前途的技术,然而目前还存在一些问题,其中包括兼容性的问题。在实际使用的许多场合各个系统之间需要相互认证,到目前为止还没有一个解决方案。PKI的另外一个问题是经济规模效益尚未发挥出来。
(二)私钥的存放
公开密钥加密体系中唯一需要保密的就是各个用户自己的私钥。目前存储私钥和证书的一种方法是以RSA PKCS#12证书容器格式存放到磁盘文件中。对该信息的访问受到口令的保护。因为用户选择口令,选择得不好的口令就会危害存储的证书的安全。虽然有这样的缺点,这种格式目前还是得到了广泛使用,原因是现在还没有找到可以替代KCS#12的广泛可行的方法。
(三)代替口令的生物特征识别技术
用户通常要使用口令来访问其私钥,如果口令泄露,则PKI的安全性就破坏了。如果PKI与生物特征识别技术结合起来就可以发挥更大的优势。因为PKI单独并不能保证持有证书者的身份,用户使用生物特征来让PKI系统鉴别自己的身份可以提供更高程度的安全保证。生物特征识别技术是利用人体生物特征进行身份认证的一种技术,人们同识别系统交互进行身份认证时,识别系统获取其特征并与数据库中的特征模板进行比对,以确定是否匹配,从而决定接受或拒绝该人。可以用于身份识别的人体生物特征有指纹、虹膜和视网膜等。
(四)物理隔离的实施与检测
物理隔离技术就是指涉密的内部信息网络不和Internet等外部信息网络相连、从物理上断开的技术。这种方法在一定程度上降低了由于网络互通互连所造成的外部攻击或内部泄密的可能。
我国网络安全的一个基本策略是实行秘密网络与公用网络的物理隔離。物理隔离具有不同的实现方式。这些实现方式包括用两台独立的机器接入两个网络、每个网络使用同一台机器但是各自使用独立的相互隔离的硬盘、在单个硬盘上采用两个隔离的分区。最安全的方式当然是每个网络固定使用一套设备,各个网络之间不共享任何设备和部件。但是随着不同安全等级网络的增多,多套设备会构成沉重的经济压力和场地负担。因此对于各种不同实现方式需要进行安全性和经济性分析。另外一个方面,彻底的物理隔离也不利于整个信息系统的互操作和运行效率。
(五)存储加密设施
有了网络安全保护和系统安全保护并不能保证网络的安全,笔记本和其他移动存储媒体的失窃仍然会对网络系统造成安全威胁。目前存储安全还没有得到足够的重视,存储安全保护产品也很少。
以美国为主的先进国家发展的加密技术和产品由于有战略价值和可能危害国家安全等理由,受出口控制不允许自由销售到国际市场,中国被列为第五类严格控制出口的国家;存储安全相关产品由于生产商及国家留有备份密钥而变得不再安全。因此研制和生产自己的存储保护产品是一个重要的安全防护课题。
(六)秘密消解
秘密消解的目标是在回收利用之前把硬盘或其他存储媒体上的涉密信息全部清除,保证秘密数据无法恢复。目前有一些国外公司有这样的产品,另外也有一些免费软件。但是这些产品的安全性尚未得到验证。另外这些软件的操作对秘密信息的消除过程很长。需要研制快速、可靠的秘密消解设备。
一、网络容忍入侵技术
容忍入侵(简称容侵)是将容错机制应用到安全领域的一种安全增强机制。容侵系统的基本目标是在入侵存在的情况下确保系统的安全性和可用性。目前,网络信息系统安全保密研究发展至第三代。即至假定某些攻击仍能突破入侵防护和入侵检测两层安全机制,需要使用容侵机制来确保信息系统的安全性和可用性。容侵系统中需要研究的一个重要问题是故障检测和诊断。与入侵检测不同,容侵服务中的入侵检测主要针对入侵检测无法检测的入侵或无法消除的入侵,这些入侵可能导致服务结点的拜占庭(Byzantine)故障,进而影响系统服务的可用性和安全性。为此,容侵系统必须从故障屏蔽和故障诊断两个方面来加强容侵服务的安全性和可用性。
二、系统配置安全性的形式化验证技术
为了确保安全配置本身的正确性,我们必须首先为RC, AUTH等访问控制机制建立严格的数学模型,然后,再根据这些模型对配置的正确性进行讨论。国际上已经开始这方面的努力。例如,Amon Ott 在《The Role Compatibility Security Model》一文中为RC给出了一个形式化的定义,为 RC 配置正确性的讨论奠定了基础。目前的主要问题是RC模型本身比较复杂,用手工推演的方式对该模型进行讨论的工作量很大,对于所获得的结果本身,很难保证其中没有隐藏错误。一个可能的方法是采用机器辅助定理证明来解决这一问题。具体的方法是在交互式定理证明器(如 Isabelle )中建立RC的形式模型,然后,在Isabelle的辅助之下,对RC的性质进行讨论。尽管所有具有创造性的步骤都是在人的指导下完成的,Isabelle所提供的"证明搜索"功能可以在很大程度上减轻人力耗费。更为重要的是,Isabelle的"证明检查"功能可以排除所有由于人为疏忽而引入的细节错误。和手工方法的形式化验证相比,采用机器辅助证明方法可以大大提高证明的精确程度。对于复杂的证明尤其如此。
三、现有系统的若干问题
(一)公钥基础设施(PKI)的兼容性和应用集成
公钥基础设施是IATF采用的纵深信息保障体系中划分的四个安全领域之一。对于信息安全来说,PKI是一个大有前途的技术,然而目前还存在一些问题,其中包括兼容性的问题。在实际使用的许多场合各个系统之间需要相互认证,到目前为止还没有一个解决方案。PKI的另外一个问题是经济规模效益尚未发挥出来。
(二)私钥的存放
公开密钥加密体系中唯一需要保密的就是各个用户自己的私钥。目前存储私钥和证书的一种方法是以RSA PKCS#12证书容器格式存放到磁盘文件中。对该信息的访问受到口令的保护。因为用户选择口令,选择得不好的口令就会危害存储的证书的安全。虽然有这样的缺点,这种格式目前还是得到了广泛使用,原因是现在还没有找到可以替代KCS#12的广泛可行的方法。
(三)代替口令的生物特征识别技术
用户通常要使用口令来访问其私钥,如果口令泄露,则PKI的安全性就破坏了。如果PKI与生物特征识别技术结合起来就可以发挥更大的优势。因为PKI单独并不能保证持有证书者的身份,用户使用生物特征来让PKI系统鉴别自己的身份可以提供更高程度的安全保证。生物特征识别技术是利用人体生物特征进行身份认证的一种技术,人们同识别系统交互进行身份认证时,识别系统获取其特征并与数据库中的特征模板进行比对,以确定是否匹配,从而决定接受或拒绝该人。可以用于身份识别的人体生物特征有指纹、虹膜和视网膜等。
(四)物理隔离的实施与检测
物理隔离技术就是指涉密的内部信息网络不和Internet等外部信息网络相连、从物理上断开的技术。这种方法在一定程度上降低了由于网络互通互连所造成的外部攻击或内部泄密的可能。
我国网络安全的一个基本策略是实行秘密网络与公用网络的物理隔離。物理隔离具有不同的实现方式。这些实现方式包括用两台独立的机器接入两个网络、每个网络使用同一台机器但是各自使用独立的相互隔离的硬盘、在单个硬盘上采用两个隔离的分区。最安全的方式当然是每个网络固定使用一套设备,各个网络之间不共享任何设备和部件。但是随着不同安全等级网络的增多,多套设备会构成沉重的经济压力和场地负担。因此对于各种不同实现方式需要进行安全性和经济性分析。另外一个方面,彻底的物理隔离也不利于整个信息系统的互操作和运行效率。
(五)存储加密设施
有了网络安全保护和系统安全保护并不能保证网络的安全,笔记本和其他移动存储媒体的失窃仍然会对网络系统造成安全威胁。目前存储安全还没有得到足够的重视,存储安全保护产品也很少。
以美国为主的先进国家发展的加密技术和产品由于有战略价值和可能危害国家安全等理由,受出口控制不允许自由销售到国际市场,中国被列为第五类严格控制出口的国家;存储安全相关产品由于生产商及国家留有备份密钥而变得不再安全。因此研制和生产自己的存储保护产品是一个重要的安全防护课题。
(六)秘密消解
秘密消解的目标是在回收利用之前把硬盘或其他存储媒体上的涉密信息全部清除,保证秘密数据无法恢复。目前有一些国外公司有这样的产品,另外也有一些免费软件。但是这些产品的安全性尚未得到验证。另外这些软件的操作对秘密信息的消除过程很长。需要研制快速、可靠的秘密消解设备。