【文章內(nèi)容簡介】 統(tǒng)論，控制論和信息論等理論，融合各種技術手段，加強自主創(chuàng)新和頂層設計，協(xié)同解決網(wǎng)絡安全問題。保證網(wǎng)絡安全還需嚴格的手段，未來網(wǎng)絡安全領域可能發(fā)生三件事，其一是向更高 級別的認證轉(zhuǎn)移；其二，目前存儲在用戶計算機上的復雜數(shù)據(jù)將“向上移動”，由與銀行相似的機構確保它們的安全；第三，是在全世界的國家和地區(qū)建立與駕照相似的制度，它們在計算機銷售時限制計算機的運算能力，或要求用戶演示在自己的計算機受到攻擊時抵御攻擊的能力。 第 3章 網(wǎng)絡安全問題解決對策 計算機安全級別的劃分 TCSEC 簡介 1999年9 月13日國家質(zhì)量技術監(jiān)督局公布了我國第一部關于計算機信息系統(tǒng)安全等級劃分的標準“計算機信息系統(tǒng)安全保護等級劃分準則” （GB178591999）。而國外同標準的是美國國防部在1985年12月公布的可信計算機系統(tǒng)評價標準TCSEC(又稱桔皮書)。在TCSEC劃分了7個安全等級：D級、C1 級、C2級、B1級、B2級、B3級和A1級。其中D級是沒有安全機制的級別，A1級是難以達到的安全級別， GB17859劃分的特點(1)D 類安全等級：D 類安全等級只包括 D1 一個級別。D1 的安全等級最低。D1 系統(tǒng)只為文件和用戶提供安全保護。D1系統(tǒng)最普通的形式是本地操作系統(tǒng)，或者是一個完全沒有保護的網(wǎng)絡。 (2)C 類安全等級：該類安全等級能夠提供審慎的保護，并為用戶的行動和責任提供審計能力。C 類安全等級可劃分為 C1 和 C2 兩類。C1 系統(tǒng)的可信任運算基礎體制（Trusted Computing Base，TCB）通過將用戶和數(shù)據(jù)分開來達到安全的目的。在 C1 系統(tǒng)中，所有的用戶以同樣的靈敏度來處理數(shù)據(jù)，即用戶認為 C1 系統(tǒng)中的所有文檔都具有相同的機密性。C2 系統(tǒng)比 C1 系統(tǒng)加強了可調(diào)的審慎控制。在連接事件和資源隔離來增強這種控制。C2 系統(tǒng)具有 C1 系統(tǒng)中所有的安全性特征。(3)B 類安全等級：B 類安全等級可分為 BB2 和 B3 三類。B 類系統(tǒng)具有強制性保護功能。強制性保護意味著如果用戶沒有與安全等級相連，系統(tǒng)就不會讓用戶存取對象。B1系統(tǒng)滿足下列要求：系統(tǒng)對網(wǎng)絡控制下的每個對象都進行靈敏度標記；系統(tǒng)使用靈敏度標記作為所有強迫訪問控制的基礎；系統(tǒng)在把導入的、非標記的對象放入系統(tǒng)前標記它們；靈敏度標記必須準確地表示其所聯(lián)系的對象的安全級別；當系統(tǒng)管理員創(chuàng)建系統(tǒng)或者增加新的通信通道或 I/O 設備時，管理員必須指定每個通信通道和 I/O 設備是單級還是多級，并且管理員只能手工改變指 定；單級設備并不保持傳輸信息的靈敏度級別；所有直接面向用戶位置的輸出（無論是虛擬的還是物理的）都必須產(chǎn)生標記來指示關于輸出對象的靈敏度；系統(tǒng)必須使用用戶的口令或證明來決定用戶的安全訪問級別；系統(tǒng)必須通過審計來記錄未授權訪問的企圖。B2系統(tǒng)必須滿足B1系統(tǒng)的所有要求。另外，B2 系統(tǒng)的管理員必須使用一個明確的、文檔化的安全策略模式作為系統(tǒng)的可信任運算基礎體制。 B2 系統(tǒng)必須滿足下列要求：系統(tǒng)必須立即通知系統(tǒng)中的每一個用戶所有與之相關的網(wǎng)絡連接的改變；只有用戶能夠在可信任通信路徑中進行初始化通信；可信任 運算基礎體制能夠支持獨立的操作者和管理員。 B3 系統(tǒng)必須符合B2系統(tǒng)的所有安 全需求。B3 系統(tǒng)具有很強的監(jiān)視委托管理訪問能力和抗干擾能力。B3 系統(tǒng)必須設 有安全管理員。B3 系統(tǒng)應滿足以下要求: (a)B3 必須產(chǎn)生一個可讀的安全列表，每個被命名的對象提供對該對象沒有訪問權的用戶列表說明；(b)B3 系統(tǒng)在進行任何操作前，要求用戶進行身份驗證；(c)B3 系統(tǒng)驗證每個用戶，同時還會發(fā)送一個取消訪問的審計跟蹤消息；設計者必須正確區(qū)分可信任的通信路徑和其他路徑；可信任的通信基礎體制為每一個 被命名的對象建立安全審計跟蹤；可信任的運算基礎體制支持獨立的安全管理。 (4)A 類安全等級：A系統(tǒng)的安全級別最高。目前，A類安全等級只包含 A1 一個安全類別。A1 類與 B3 類相似，對系統(tǒng)的結(jié)構和策略不作特別要求。A1系統(tǒng)的顯著特征是，系統(tǒng)的設計者必須按照一個正式的設計規(guī)范來分析系統(tǒng)。對系統(tǒng)分析后，設計者必須運用核對技術來確保系統(tǒng)符合設計規(guī)范。A1 系統(tǒng)必須滿足下列要求：系統(tǒng)管理員必須從開發(fā)者那里接收到一個安全策略的正式模型。所有的安裝操作都必須由系統(tǒng)管理員進行；系統(tǒng)管理員進行的每一步安裝操作都必須有正式文檔。 計算機信息系統(tǒng)的安全模型主要又訪問監(jiān)控器模型、軍用安全模仿和信息流模型等三類模型，它們是定義計算機信息系統(tǒng)安全等級劃分標準的依據(jù)。 （1）訪問監(jiān)控模型：是按 TCB 要求設計的，受保護的客體要么允許訪問，要么不允許訪問。 （2）常用安全模型：是一種多級安全模型，即它所控制的信息分為絕密、機密、秘密和無密四種敏感級。 （3）信息流模型：是計算機中系統(tǒng)信息流動路徑，它反映了用戶在計算機系統(tǒng)中的訪問意圖。信息流分直接的和間接的兩種。 防火墻技術 隨著網(wǎng)絡安全問題日益嚴重，網(wǎng)絡安全技術和產(chǎn)品也被人們逐漸重視起來，防火墻 作為最早出現(xiàn)的網(wǎng)絡安全技術和使用量最大的網(wǎng)絡安全產(chǎn)品，受到用戶和研發(fā)機構的親睞。 根據(jù)防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡地址轉(zhuǎn)換—NAT、代理型和監(jiān)測型。１．包過濾防火墻 包過濾防火墻的優(yōu)點：對于一個小型的、不太復雜的站點，包過濾比較容易實現(xiàn)；因為過濾路由器工作在IP層和TCP層，所以處理包的速度比代理服務器快；過濾路由器為用戶提供了一種透明的服務，用戶不需要改變客戶端的任何應用程序，也不需要用戶學習任何新的東西。因為過濾路由器工作在IP層和TCP層，而IP層和TCP層與應用層的問題毫不相關。所以過濾路由器有時也被稱為“包過濾網(wǎng)關”或“透明網(wǎng)關”，之所以被稱為網(wǎng)關，是因為包過濾路由器和傳統(tǒng)路由器不同，它涉及到了傳輸層；過濾路由器在價格上一般比代理服務器便宜。包過濾防火墻的缺點：一些包過濾網(wǎng)關不支持有效的用戶認證；規(guī)則表很快會變得很大而且復雜，規(guī)則很難測試。隨著表的增大和復雜性的增加，規(guī)則結(jié)構出現(xiàn)漏洞的可能性也會增加；這種防火墻最大的缺陷是它依賴一個單一的部件來保護系統(tǒng)。如果這個部件出現(xiàn)了問題，會使得網(wǎng)絡大門敞開，而用戶甚至可能還不知道；在一般情況下，如果外部用戶被允許訪問內(nèi)部主機，則它就可以訪問內(nèi)部網(wǎng)上的任何主機；包過濾防火墻只能阻止一種類型的IP欺騙，即外部主機偽裝內(nèi)部主機的IP，對于外部主機偽裝外部主機的IP欺騙卻不可能阻止，而且它不能防止DNS欺騙。２．狀態(tài)/動態(tài)檢測防火墻 狀態(tài)/動態(tài)檢測防火墻的優(yōu)點有檢查IP包的每個字段的能力，并遵從基于包中信息的過濾規(guī)則；識別帶有欺騙性源IP地址包的能力；包過濾防火墻是兩個網(wǎng)絡之間訪問的唯一來源。因為所有的通信必須通過防火墻，繞過是困難的；基于應用程序信息驗證一個包的狀態(tài)的能力，例如基于一個已經(jīng)建立的FTP連接，允許返回的FTP包通過；基于應用程序信息驗證一個包狀態(tài)的能力，例如允許一個先前認證過的連接繼續(xù)與被授予的服務通信；記錄有關通過的每個包的詳細信息的能力。基本上防火墻用來確定包狀態(tài)的所有信息都可以被記錄，包括應用程序?qū)Π恼埱?，連接的持續(xù)時間，內(nèi)部和外部系統(tǒng)所做的連接請求等。狀態(tài)/動態(tài)檢測防火墻的缺點：狀態(tài)/動態(tài)檢測防火墻唯一的缺點就是所有這些記錄、測試和分析工作可能會造成網(wǎng)絡連接的某種遲滯，特別是在同時有許多連接激活的時候，或者是有大量的過濾網(wǎng)絡通信的規(guī)則存在時。可是硬件速度越快，這個問題就越不易察覺，而且防火墻的制造商一直致力于提高他們產(chǎn)品的速度。３．應用程序代理防火墻 應用程序代理防火墻的優(yōu)點：指定對連接的控制，例如允許或拒絕基于服務器IP地址的訪問，或者是允許或拒絕基于用戶所請求連接的IP地址的訪問；通過限制某些協(xié)議的傳出請求，來減少網(wǎng)絡中不必要的服務；大多數(shù)代理防火墻能夠記錄所有的連接，包括地址和持續(xù)時間。這些信息對追蹤攻擊和發(fā)生的未授權訪問的事件事很有用的。 應用程序代理防火墻的缺點有：必須在一定范圍內(nèi)定制用戶的系統(tǒng)，這取決于所用的應用程序；一些應用程序可能根本不支持代理連接。 4．個人防火墻 個人防火墻的優(yōu)點：增加了保護級別，不需要額外的硬件資源；個人防火墻除了可以抵擋外來攻擊的同時，還可以抵擋內(nèi)部的攻擊；個人防火墻是對公共網(wǎng)絡中的單個系統(tǒng)提供了保護。例如一個家庭用戶使用的是Modem或ISDN/ADSL上網(wǎng)，可能一個硬件防火墻對于他來說實在是太昂貴了，或者說是太麻煩了。而個人防火墻已經(jīng)能夠為用戶隱蔽暴露在網(wǎng)絡上的信息，比如IP地址之類的信息等。 個人防火墻的缺點：個人防火墻主要的缺點就是對公共網(wǎng)絡只有一個物理接口。真正的防火墻應當監(jiān)視并控制兩個或更多的網(wǎng)絡接口之間的通信。這樣一來的話，個人防火墻本身可能會容易受到威脅，或者說是具有這樣一個弱點，網(wǎng)絡通信可以繞過防火墻的規(guī)則。 防火墻的基本概念與作用 圖31防火墻（圖31）是指設置在不同網(wǎng)絡或網(wǎng)絡安全域之間的一系列部件的組合，它執(zhí)行預先制定的訪問控制策略，決定了網(wǎng)絡外部與網(wǎng)絡內(nèi)部的訪問方式。在網(wǎng)絡中，防火墻實際是一種隔離技術，它所執(zhí)行的隔離措施有： （1）拒絕未經(jīng)授權的用戶訪問內(nèi)部網(wǎng)和存取敏感數(shù)據(jù)。 （2）允許合法用戶不受妨礙地訪問網(wǎng)絡資源。 而它的核心思想是在不安全的因特網(wǎng)環(huán)境中構造一個相對安全的子網(wǎng)環(huán)境，其目的是保護一個網(wǎng)絡不受另一個網(wǎng)絡的攻擊，所以防火墻又有以下作用： （1）作為網(wǎng)絡安全的屏障。一個防火墻作為阻塞節(jié)點和控制節(jié)點能極大地提高一個內(nèi)部網(wǎng)絡的安全性，并通過過濾不安全的服務而降低風險，只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻，所以網(wǎng)絡環(huán)境變得更安全。（2）可以強化網(wǎng)絡安全策略。通過以防火墻為中心的安全方案配置，能將所有的安全軟件配置在防火墻上，體現(xiàn)集中安全管理更經(jīng)濟。 （3）對網(wǎng)絡存取和訪問進行監(jiān)控審計。如果所有的訪問都經(jīng)過防火墻，那么，防火墻