要实现信息化,就必须重视信息网络安全。信息网络安全绝不仅是IT行业的问题,而是一个社会问题,是一个包括多学科的系统安全工程问题,并直接关系到国家安全。因此,知名安全专家沈昌祥院士呼吁,要像重视两弹一星那样去重视信息安全。通信网络作为信息传递的一种主要载体,其安全性是信息安全中关键问题之一。
通信网络安全含义与分层
为明确通信网络安全含义,必须首先定义信息安全。信息安全定义如下:信息安全通常是指信息在采集、传递、存储和应用等过程中的完整性、机密性、可用性、可控性和不可否认性。
为实现上述信息安全,需要:
·建立信息安全管理机制,制定信息安全策略;
·制定信息安全测评标准来评估和划分安全等级;
·使用安全管理、产品和网络来保障采集、传递、存储和应用时的机密性、完整性、可用性、可控行以及不可否认性;
·应用检测机制来获悉当前安全状态;
·通过故障和灾难恢复机制来解决出现的问题。
一般认为,信息网络安全是指信息在利用网络提供的服务进行传递的过程中,通信网络自身(即承载网和业务网)的可靠性、生存性;网络服务的可用性、可控性;信息传递过程中信息的完整性、机密性和不可否认性。(本文中所指通信网络安全不涉及通信内容是否违反中华人民共和国电信条例第五十七条所规定的内容。)
通信网络安全通常包括承载网与业务网安全,网络服务安全以及信息传递安全。通信网络安全不涉及意识形态安全。
·承载网与业务网安全包括网络可靠性与生存性。网络可靠性与生存性依靠环境安全、物理安全、节点安全、链路安全、拓扑安全、系统安全等方面来保障。这里承载网与业务网是拥有自己节点、链路、拓扑和控制的网络,例如传输网、互联网、ATM网、帧中继网、DDN网、X.25网、电话网、移动通信网、支撑网等电信网络。
·网络服务安全包括服务可用性与服务可控性。服务可用性与承载网和业务网可靠性及维护能力等相关。服务可控性依靠服务接入安全,以及服务防否认、服务防攻击等方面来保障。服务可以是网络提供的DDN专线、ATM专线、话音业务、VPN业务、INterNet业务等。
·信息传递安全包括信息完整性、机密性和不可否认性。信息完整性可以依靠报文鉴别机制(例如哈希算法等)来保障;信息机密性可以依靠加密机制以及密钥分发等来保障;信息不可否认性可以依靠数字签名等技术保障。
·意识形态安全是指传递的信息不包含中华人民共和国电信条例第五十七条所规定内容。第五十七条规定不得利用电信网制作、复制、发布、传播含有违反国家宪法、危害国家安全、泄露国家机密、颠覆国家政权、破坏国家统一、损害国家荣誉和利益、煽动民族仇恨和民族歧视、破坏安定团结等内容。
1.安全性分析评估
当前通信网络功能越来越强大,相应的设备软硬件越来越复杂。网络自身的安全性依赖设备安全性及网络管理。目前网络上运行着大量国外引进设备,即使是国产设备也装载大量进口芯片及软件,无法得知是否存在安全隐患。由于软件产品的特殊性,软件产品的安全性很难定量衡量。虽然我国已制定《计算机信息系统安全保护等级划分准则》,但是对网络产品以及网络本身的安全性分析评估仍没有依据。因此安全性分析与评估已成为通信网络安全急需解决的关键技术。
2.网络拓扑设计
网络的拓扑设计是通过节点和链路的冗余与备份手段来提高通信网络系统的可用性与生存性。
网络冗余通常用于出现故障时隔离故障,以避免全网失效。网络出现的故障可能是链路中断、节点失效等。网络冗余有多种实现方式。例如在传输网上通常采用环形结构,当出现节点失效或者链路中断时,SDH设备会在50ms之内倒换,绕开失效节点或者中断的链路,保障通信服务的可用性。在互联网上,通常采用网络设备双归属连接,出现节点失效或者链路失效时,动态路由协议会重新计算路由,在几十秒时间内恢复网络连通性。电话网在链路层依赖传输网的故障恢复,当节点出现故障时同样采用多路由机制绕开故障点。
网络备份通常用于网络的防毁抗灾以及应急通信。当出现灾难或者重大事故时可以迅速启用备份设备、链路、网管中心乃至备份网络。网络备份通常代价较高,出于性价比考虑一般情况下运营商很难承受。通常在移动通信网中实现较多,如利用应急通信车架设临时基站,再使用微波等手段将临时基站连接到移动电话网。在911事件发生以后,美国空前重视网络防毁抗灾。纷纷考虑建设备份数据中心以及备份网管中心。备份网络的架构、备份中心的数据同步、组织以及切换仍有待研究。
3.网络故障检测、保护倒换与故障恢复
(1)故障检测
故障检测是指网络出现故障时,网络运营者应当能通过故障检测机制及时获悉。传统电信网(如传输网)定义了比较丰富的开销字节,来及时获悉网络问题,例如误码或链路中断。因此传输网能够做到50ms内将中断的链路倒换到备份链路。ATM网络中同样设计了操作、管理和维护(OAM)信元,能够及时获悉发送链路或接收链路中断的情况。IP网络故障检测机制比较缺乏。例如以太网只能通过物理层信号得知接收链路连通性,或者由高层(例如IP层)通过因特网控制消息协议(ICMP)来检查网络层连通性。因此IP网以及互联网的故障检测机制是继续研究的关键技术。
(2)保护倒换
保护倒换源自传输网,功能是当传输网节点或者链路出现故障时,故障路径上的流量能够切换到事先指定的备用路径上,从而不影响业务运行。传输网络有成熟的保护倒换机制,能够在50ms内完成保护倒换。IP网上的保护倒换机制一般通过路由协议重新计算路径完成,需要较长时间,通常是10s量级。当然通过链路层负荷分担或者IP层多路径也可以做到不影响业务。当前多协议标记交换(MPLS)的快速重路由以及弹性分组环(RPR)的保护倒换机制也正向50ms指标靠近。
(3)故障恢复
故障恢复是指节点或者链路发生故障后经过一定时间或采取一定措施后恢复提供服务。通常故障恢复需要人工干预。例如接口板卡的更换、电缆的重新连接、设备的重新启动、软件重新运行等。也有少量故障会因时间或者随引发故障原因的消除而消除。例如当拥塞引起设备瘫痪时,如果限制接入业务,性能较好的设备可能能够恢复正常工作。
4.信息传递安全技术
(1)信息加密
信息的机密性可以用传统的加密方式完成。最早的加密标准是美国的DES(DataENcryptIoNStaNDarD),但DES最初设计的56位密钥长度对于现在的运算能力来说已不难攻破,后来出现了三重DES算法加强了加密的强度。DES算法是对称加密算法,加密密钥也同时是解密密钥。与之相对有一些不对称的加密与解密算法,这些算法中加密与解密采用了不同的密钥,一个密钥专门用于加密,这个密钥可以让别人得到并用它对数据进行加密,而只有解密密钥持有者可以用解密密钥解开密文,并把它恢复成明文,这个加密体系称为公开密钥法。这个加密体系加密算法中最常用的是RSA算法与椭圆曲线密码算法,除此之外还有背包算法、RabIN密码算法、ElGamal密码算法、McElIece密码算法、LUC密码算法。
对称加密算法与公开密钥算法是不同的两种密码体制,分别适于解决不同的问题。对称密码算法适合加密数据,它加密与解密速度极快并且对选择密文攻击不敏感。公开密钥密码可以做对称密码所不能做的事情,最擅长密钥分配和身份认证等对用户、密钥进行管理的工作。这部分内容将在后文中涉及到。
在实际应用中,要进行保密通信的双方,先用公开密钥法交换彼此的加密密钥,得到这个加密密钥后,通信双方用对称加密法把信息加密后进行通信。
(2)信息的鉴别与签名
对数据加密可以保证信息不受到窃听,使用报文鉴别可以保证数据完整性,为保证数据的不可否认性则可以采用数字签名。报文鉴别的目的是:接收方保证这个报文没有被变动过。如果攻击者修改了报文却不知如何修改鉴别码,接收方收到报文后计算的鉴别码与收到的鉴别码不同,于是可以判定报文的内容受到破坏。
用来生成鉴别码的算法很多,实际应用中大多采用的是单向散列函数。单向散列函数接受可变长报文输入,并产生固定长度的标签作为输出。由于单向散列函数的运算过程是不可逆的,好的散列算法输入不同报文生成相同标签的概率非常小,这使得篡改过的报文不被发现的可能性微乎其微。目前最常用的单向散列算法有MD5和SHA-1。
单向散列生成固定长度的输出称为报文的摘要。报文的摘要就是要进行鉴别的内容,为了保证摘要的内容不可读取,应将报文的内容进行加密。加密时可采用公开密钥法。公开密钥法有两个优点:它不但可以对摘要进行加密,使报文可以进行鉴别,同时也提供了数字签名;而且采用公开密钥法不需要向通信各方用保密的方式传送密钥。
公开密钥法所采用的密钥长度可到1024位,所以加密后的密文很难进行破解。公开密钥法的加密密钥持有者,用私有密钥对报文的摘要进行加密,报文的接收者收到报文后自己根据收到的报文计算出报文的摘要,再用公开密钥把发送者加密的摘要解密,如果两个结果一致就可以断定报文没有被第三方进行了篡改。
在这一过程中,加密者用私有密钥对摘要进行加密,就是对报文进行数字签名。从数学上可以证明,私有的加密密钥只可以被其公开密钥解密,只要可以通过公开密钥把加密的内容无误地恢复成明文,加密者就不可否认他曾对此报文进行签名。
(3)密钥的管理
在传统的对称加密方法中通信双方加密解密用一把密钥,如果通信双方相隔很远,密钥的安全传送会成为一个很棘手的问题。而公开密钥法的出现可以很好地解决这个问题,公开密钥法解密的密钥是公开的,不需要用任何保密手段进行传送,通信的一方得到公开密钥对报文进行加密,报文只有私钥的持有者可以解开。但公开密钥算法加密的速度远比不上对称加密算法,因此实际应用中,常用公开密钥法在要进行保密通信双方间传递共享密钥,然后用对称加密法进行数据的加密。公开密钥法另一个用途就是上文中提到的数字签名。由于公开密钥法有如此强大的功能,对公开密钥进行管理就成为现代信息安全的一个重要课题。
公开密钥的出现,对于信息安全的威胁变成了这样:当一个人声称他是A并提供了他的公开密钥,那么他真的就是A吗?目前采用的方法是通过第三方机构即认证中心(CA)对公开密钥进行认证。
5.互联网安全技术
(1)网络管理
网管系统包括配置管理、故障管理、性能管理、安全管理和计费管理这5大部分,是维护网络可靠性和服务可用性可靠性的重要手段。通过强大的网络管理,可以有效地增强网络的健壮性。
有这样一种说法:网络安全三分技术七分管理,该说法即使过于粗略也足见管理的重要性。传统的电信网网管能力较强,基本上做到了网元层次和网络层次的管理。但还没有实现服务管理(SM:ServIceMaNagemeNt)和商业管理(BM:BusINessMaNagemeNt)。同时传统电信网结构上采用外置式管理网,实现“以网管网”(以管理网管理运行网)的模式。互联网基本只能实现网元层的管理。相对来说网管能力较弱。
(2)接入控制
网络服务可控的网络必须对用户接入进行控制。传统电话网终端无智能,网络只区分接入端口。在互联网,由于终端具有智能性,IP地址可以在一定范围内随意改变。因此互联网对接入控制应当加以控制。
(3)访问控制
访问控制是保证网络安全的重要措施。访问控制可以使用防火墙在一定程度上得到实现。互联网国际出入口、与国内其他运营单位的互联点和企业网络的互联点,以及接入互联网的企业网络等网络边缘,要设置防火墙作为网络边缘的安全屏障,对网络的访问进行有效控制,其作用为:
·防止境外非法人员通过互联网进行恶意攻击或非法信息流入。
·减少互联网国际互联、内部网连接互联网的出口点。应确保组织内部网通过互联网与外部进行信息交换时,都必须经过防火墙。内部网对互联网名字的解析请求,必须送到防火墙的DNS,而不能绕过防火墙。
·提供合理有效的服务。互联网服务主要分为三大类,即电子邮件、FTP以及WWW。而对于其他TCP/IP服务,则应禁止穿透防火墙与INterNet通信。
·没有明确允许的信息流必须禁止通过防火墙。在进行需求分析以及防火墙设计时,必须遵循从小到大原则,即需要什么服务方可打开什么服务。然后,根据具体需要,逐步允许指定的信息流通过。
·对接入互联网的组织内部网的外部用户进行隔离,防止进入内部网。如果组织建立自己的互联网站点并允许外部用户访问,应将提供给外部用户访问的服务器放在防火墙外。绝对禁止外部互联网用户穿透防火墙访问组织内部网。利用防火墙提供的功能屏蔽内部网细节,阻止外部用户对内部资源的访问请求。.进行完整的审计和日志,及时发现侵入者。
防火墙是一种被动防卫技术,由于它假设了网络的边界和服务,故防火墙对内部的非法访问难以有效地控制;防火墙最适合于相对独立的与外部网络互联途径有限、网络服务种类相对集中的单一网络。因此,应清醒地认识到防火墙不是万能的。
(4)物理/逻辑隔离
互联网是一个全球性的巨大的计算机网络体系,它把全球数万个计算机网络,数千万台主机连接起来,包含了难以计数的信息资源,向全世界提供信息服务,是开放范围极大的网络。互联网的开放性使其在任何时间、任何地点都可能遭受入侵。因此,既要保证互联网数据传输交换的畅通,又要求其具有较高的安全性。由于互联网是一个基于TCP/IP协议簇的国际互联网络,使其在安全保密方面具有很大的脆弱性,在互联网上对TCP/IP的攻击能够导致服务性能下降或中断、数据泄露或篡改。
国家保密局2000年1月1日起颁布实施的《计算机信息系统国际联网保密管理规定》第二章保密制度第六条规定:“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相连接,必须实行物理隔离。”所谓物理隔离是指内部网不直接或间接地连接公共网。物理隔离的目的是保护路由器、工作站、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。只有使内部网和公共网物理隔离,才能真正保证国家重要部门的内部信息网络不受来自互联网的黑客攻击。
对于物理隔离技术而言,要使其真正地发挥优势,不仅要选择适合的物理隔离产品,制定相应的安全解决方案,真正做到物理上的隔离以保证信息的机密性和完整性,还要实施完善的安全策略和管理措施,才能保证物理隔离产品和安全解决方案的实施真正发挥作用。
(5)网络防攻击
由于互联网终端具有一定智能,并且提供多样化服务,所以互联网比较容易遭受攻击。互联网被攻击主要分几个层面,通常有控制层面的攻击、消耗网络资源的攻击以及对关键应用服务器的攻击。
控制层面的攻击主要针对互联网不区分UNI接口和NNI接口,路由信息和数据在相同通道传输。为防止恶意用户试图发布错误路由信息来干扰全网连通性,通常采用路由协议鉴权和认证的手段。
消耗网络资源的攻击主要采用病毒感染大量终端,致使大量无用信息在网络上传输,消耗网络带宽资源以及CPU资源。可能使设备拥塞、控制信息无法传递甚至系统崩溃。消耗资源型的攻击很难防止,必须采用有效的手段例如防火墙以及接入控制等措施防止消耗资源型的攻击。
关键应用服务器的失效可能影响网络业务提供。对关键应用服务器的防护应纳入互联网防攻击的范围,应采用有效手段防止对关键应用服务器的攻击。
(6)网络防病毒
一般意义上来说,防病毒属计算机安全防护的范畴。病毒对网络的影响有下面三方面:
·网络设备和关键应用服务器受病毒感染,影响网络业务正常开展。
·用户设备受病毒感染,会滥用网络资源。
例如域名服务器被病毒感染可能导致无法使用域名访问互联网;门户网站被感染可能导致大量用户无法使用网络。用户设备被感染可能发送大量垃圾邮件,占用系统资源。当前大量病毒通过网络传染,因此防病毒也是网络安全关键技术。
(7)入侵检测
安全不是一个稳定的状态,不能一步到位。随着技术的发展,任何先进的防攻击手段都会过时,因此入侵检测是互联网安全重要组成部分。入侵检测和网络故障检测一样,需要及时迅速。及时的入侵检测加上快速的故障恢复,能有效地提高互联网安全性。
(8)业务控制
互联网的不安全性很大程度上来源于互联网业务的可控性较差。由于互联网业务通常不计费或者费率较低,用户容易自觉或者不自觉滥用网络资源。由于大多互联网业务很难追查来源,滥用服务的行为无法追查。又由于互联网业务很难确认用户身份,恶意用户肆无忌惮,因此要提高互联网安全性,必须加强业务可控性。
(9)防止垃圾邮件
垃圾邮件实际上是网络业务被滥用的一种。虽然防止垃圾邮件也是网络防攻击和业务控制的一部分,但是由于该问题日益严重有必要将其作为网络安全关键技术之一加以研究。
垃圾邮件实际上与骚扰电话没有本质区别。区别在于打骚扰电话会被收费,而且会被追查到电话所有人;而发送垃圾邮件几乎没有费用,而且很难被追踪,即使被追查到也很难处理。此外,用户可能感染病毒后大量发送垃圾邮件,恶意发送与感染病毒无辜发送很难区别。
当前防止垃圾邮件没有非常有效的技术,只能通过各运营商的合作,通过管理手段加以缓解。
虽然本文提出大量通信网络安全的技术问题,但是网络的安全问题的核心和瓶颈不是在于技术而是在于管理和投入。通信网络安全问题不是一朝一夕就能够完全解决的。目前解决网络安全问题的大部分技术是存在的,但是如何把这些技术综合起来,还存在很多问题。解决通信网络安全问题的难度很大,需要继续进行理论上的研究和在试验环境下进行实际测试来验证,才能在一定程度上解决网络的安全问题。
作者简介:魏亮信息产业部电信研究院通信标准研究所副总工程师