（计算机科学与技术专业论文）信息保障及其支撑技术的研究与实践.pdf

国防科学技术大学研究生院学位论文 摘要 r i 随着网络技术的不断进步，网络应用曰益广泛，与此同时，网络信息的安全性问题更加 突出。不容忽视的是信息系统存在的安全漏洞对网络信息的安全造成了极大的威胁。 安全是相对的，不存在绝对安全的信息系统。但是可以通过信息保障来提高网络的安全 程度。信息保障强调为了保障信息安全，除了要进行信息的安全保护，还应该重视提高系统 的入侵检测能力，系统的事件反应能力和系统遭到入侵引起破坏的快速恢复能力。信息保障 强调信息系统整个生命周期的防御和恢复。y 本文研究了实旖信息保障两项技术措施：纵深防御和安全保健。纵深防御的基本思想是 利用尽可能多的防护手段来保护资源，在影响信息安全的多个操作环节及其支撑技术上实施 保障。安全保健在本文中的含义是通过扫描、监控技术，主动发现系统自身的弱点和漏洞， 并采取响应，从而达到提高安全性的目的。本文基于c o r b a 技术，提出了安全保健体系构 建方案，该方案包括四个子系统：信息采集子系统、安全信息子系统、攻击及防护子系统、 事件管理子系统。 本课题完成了安全保健体系中的安全信息子系统，并在c o r b a 技术在网络安全深度 防御体系中的应用的成果基础上实现了攻击及防护子系统的功能。 关键词：信息保障，纵深防御，安全保健，c o r b a l o 一“7 第1 页 a b s t r a c t a l o n gw i t ht h ed e v e l o p m e n to fn e t w o r kt e c h n o l o g y , n e t w o r ki sa p p l i e dm o r ew i d e l y a tt h e s a m et i m e ，n e t w o r ki n f o r m a t i o n s ss e c u r i t yb e c o m e sm o r ei m p o r t a n tt h a nb e f o r e w h i c hc a nn o t b en e g l e c t e di st h a tt h es e c u r i t yh o l eo fi n f o r m a t i o ns y s t e m st h r e a t e nt h en e t w o r ki n f o r m a t i o n s s e c u r i t y s e c u r i t yi sat e r mt h a to p p o s i t e l y , t h e r ei sn oi n f o r m a t i o ns y s t e m st h a ta r ea b s o l u t e l ys a f e b u t ，w ec a nu s ei n f o r m a t i o na s s u r a n c et oi m p r o v et h en e t w o r k ss e c u r i t y i n f o r m a t i o na s s u r a n c e f o c u so nt h es y s t e m si n t r u s i o nd e t e c t i o na b i l i t y , e v e n tr e a c t i o n a b i l i t ya n d t h eq u i c kr e s t o r ea b i l i t y w h e ns y s t e mh a sb e e ni n t r u d e d i n f o r m a t i o na s s u r a n c e e m p h a s e so nt h ed e l e n s ea n dr e s t o r e b e t w e e nt h ew h o l e l i f e c y c l eo f t h es y s t e m t h i st h e s i sr e s e a r c h e st w ot e c h n o l o g ym e a s u r e so f a p p l i n gi n f o r m a t i o na s s u r a n c e ，t h e ya r e d e f e n s e i n d e p t ha n ds e c u r i t yh e a l t hc a r e d e f e n s e i n - d e p t h sb a s ei d e ai st om a k eu s a g eo fa s m a n ya sp o s s i b l ed e f e n d i n gm e a s u r e st op r o t e c tr e s o u r c e ，a p p l ya s s u r a n c ei nm u l t i p l eo p e r a t i o n t a c h e sa n d s u p p o r tt e c h n o l o g i e st h a t a f f e c ti n f o r m a t i o ns e c u r i t y s e c u r i t yh e a l t hc a r em e a n s d i s c o v e r ss y s t e m s v u l n e r a b i l i t ya n dh o l eb ys c a n ，m o n i t o ra n dc o n t r o li n i t i a t i v l y t h e nt a k e s r e s p o n s et oa c h i e v et h eg o a lo f r a i s i n gs y s t e m ss e c u r i t y b a s i n go nc o r b at e c h n o l o g y , t h et h e s i s p u t sf o r w a r das e c u r i t yh e a l t hc a r es y s t e m sc o n s t r u c ts c h e m e t h i ss c h e m ei sm a d eu po ff o u r s u b s y s t e m s ，t h e ya r ei n f o r m a t i o nc o l l e c ts u b s y s t e m s ，s e c u r i t yi n f o r m a t i o ns u b s y s t e m s ，a t t a c k i n g a n d d e f e n d i n gs u b s y s t e m sa n d e v e n tm a n a g e s u b s y s t e m s t h et a s ki st oi m p l e m e n tt i l es e c u r i t yi n f o r m a t i o n s u b s y s t e m so fs e c u r i t yh e a l t hc a r es y s t e m b e s i d e s ，b a s i n go n “t h ei m p l e m e n to f c o r b a t e c h n o l o g yi nd e p t hn e t w o r ks e c u r i t ys y s t e m ”， w e p a r t l yi m p l e m e n t e d t h ef u n c t i o no f a t t a c k i n ga n dd e f e n d i n gs u b s y s t e m s k e y w o r d s ：i n f o r m a t i o n a s s u r e n c e ，d e f e n s e i n - d e p t h ，s e c u r i t yh e a l t hc a r e ，c o r b a 第1 i 页 国防科学技术大学研究生院学位论文 第1 章绪论 1 1 信息安全概念的发展过程 从历史的发展角度来看，信息安全概念的演化经历了如下几个历史阶段： 1 1 1 通信保密阶段 直n - 次世界大战，人们关心的只是通信安全，而且主要关心对象是军方和政府。 需要解决的问题是在远程通信中拒绝非授权用户的信息以及确保通信的真实性，包括：加 密、传输保密、发射保密以及计算机的物理安全，重点是通过密码( 主要是序列密码) 解 决通信保密问题。当时涉及的安全性有：保密性( c o n f i d c n f i a l 畸) ，保证信息不泄露给未 经授权的人或设备；可靠性( r e l i a b i l i t y ) ，确保信道、消息源、发信人的真实性以及核对 信息获取者的合法性，在此阶段的主要安全威胁是搭线窃听。 其时代标志是1 9 4 9 年s h a n n o n 发表的保密通信的信息理论，将密码学的研究纳入 了科学的轨道，移位寄存器给数学家提供了基于代数编码理论运用智慧的空间。 1 1 2 计算机安全阶段 2 0 世纪7 0 年代到8 0 年代，随着计算机技术的普及应用，尤其是军队和政府对计算技 术的需求量增大，人们发现计算机安全成了当务之急。需要解决的问题是确保信息系统中 硬件、软件及正在处理、存储、传输信息的保密性、完整性和可用性。技术发展的重点转 移到分组密码和可信计算机系统评价技术。涉及的安全性有：完整性( i n t ( ：g r i t y ) ，包括操 作系统的正确性和可靠性，硬件和软件的逻辑完整性，数据结构和当前值的致性，即防 止信息被未经授权的篡改，保证真实的信息从真实的信源无失真地到达真实的信宿：可用 性( a v a i l a b i l i t y ) ，保证信息及信息系统确实为授权使用者所用，防止由于计算机病毒或其 他人为因素造成的系统拒绝服务，或为敌手所用，却拒绝授权者使用。此时，对计算机安 全的威胁扩展到恶意代码( 病毒) 、非法访问、脆弱口令、黑客等。 这一时代的标志是1 9 7 7 年美国国家标准局( n b s ) 公布的国家数据加密标准( d e s ) 和1 9 8 3 美国国防部公布的可信计算机系统评价准则( t r u s t e dc o m p u t e rs y s t e me v a l u a t i o n c r i t e r i a ，t c s e c ，俗称橘皮书，1 9 8 5 年再版) ，意味着解决计算机信息系统保密性问题的 研究和应用迈上了历史的新台阶。 1 1 3 信息安全阶段 2 0 世纪9 0 年代以来，通信和计算机技术相互依存，数字化技术促进了计算机网络发 展成为全天候、通全球、个人化、智能化的信息高速公路，l u t e r n e t 成了寻常百姓可及的家 用技术平台，信息安全的概念随之产生，安全的需求不断地向社会的各个领域扩展。人们 需要保护信息在存储、处理或传输过程中不被非法访问或更改，以及确保对合法用户的服 务和限制非授权用户的服务，包括必要的检测、记录和抵御攻击的措施。此时对安全性有 了新的需求：可控性( c o n t r o l l a b i l i t y ) ，对信息及信息系统实施安全监控管理；不可否认性 第1 页 国防科学技术大学彤 究生院学位论文 ( n o n - - r e p u d i a t i o n ) ，保证行为人不能否认自己的行为。 这一时期，在密码学方面，公开密钥密码得到了长足的发展，著名的r s a 公开密钥密 码算法获得了日益广泛的应用，用于完整性校验的h a s h 函数的研究应用也越来越多。为 了奠定2 1 世纪的分组密码算法基础，美国国家技术标准研究所( n i s t ) 推行了高级加密 标准( a e s ) 的项目，1 9 9 8 年7 月选出了1 5 种分组密码算法作为候选算法。目前，经过 广泛评价，已经进一步从中选出了5 个较好的算法，并将在本世纪末选出惟一的a e s 算法。 而更强、更快的公开密钥密码算法研究和应用，则把希望寄托在椭圆曲线公开密钥密码算 法上。目前安全威胁已发展到黑客的网络入侵、病毒破坏、计算机犯罪事件等。 1 1 4 信息保障阶段 时至今日，对于信息系统的攻击日趋频繁，安全的概念已经不局限于信息的保护，人 们需要的是对整个信息和信息系统的保护和防御，以确保它们的安全性，包括了对信息的 保护、检测、反应和恢复能力( p d r r ) 。这就是信息安全保障的概念：为了保障信息安全， 除了要进行信息的安全保护，还应该重视提高系统的入侵检测能力，系统的事件反应能力 和系统遭到入侵引起破坏的快速恢复能力。区别于传统的加密、身份认证、访问控制、防 火墙、安全路由等技术，信息保障强调信息系统整个生命周期的防御和恢复l l j 。 1 2 信息保障的内涵 美国国家安全局在1 9 9 8 年1 0 月编写了i a t f ( 1 n f o r m a t i o na s s u a r e n c et e e h n i e o l f r a m e w o r k ，信息保障技术框架) 的11 版本，其后又在1 9 9 9 年9 月修改完成了i a t f 20 版本，在2 0 0 0 年9 月经过比较大的修改后，i a t f 3 ，0 版本正式出台 2 】。 一个组织的任务业务运作中异常关键的信息是由信息基础设施负责处理、存储和传输 的。信息基础设施对这些信息的保护需要通过信息保障来完成。信息保障提出了目前信息 基础设施的整套安全要求。信息保障依赖人、操作和技术来实现组织的任务业务运作。稳 健的信息保障状态意味着信息保障的政策、步骤、技术和机制在整个组织的信息基础设施 的所有层面上均得以实施。 i a t f 将信息系统的信息保障技术层面分为如下四个部分( 如图1 1 所示) ： 本地计算环境； 区域边界( 本地计算环境的外缘) 网络和基础设施 支持性基础设施 本地计算环境包括服务器、客户以及其上所安装的应用程序。这些应用程序能够提供 包括调度、打印、字处理或者目录在内的一些服务。 “区域”指的是通过局域网相互连接、采用单一安全策略并且不考虑物理位置的本地 计算设备的集合。区域边界是信息进入或离开区域或机构的点。 网络和基础设施提供区域互连。它们包括操作域网、城市域网、校园域网和局域网， 涉及广泛的社会团体与本地用户。 信息技术环境也包括作为网络、区域和计算环境中信息保障机制运行基础的支持型基 础设施。这些信息保障机制以安全地管理系统和提供安全有效服务为目的。 第2 页 国防科学技术大学研究生院学位论文 f 譬矗啊呻月瞄拦薅 图1 1 信息保障技术框架 1 3 安全是相对的 1 3 1 安全问题的由来 网络安全问题并不是一个新问题，它的产生可以追溯到计算机技术发展的各个阶段。 我们可以从多个角度来认识网络安全问题的历史由来。 从操作系统发展的角度看，多用户操作系统其主要目标是为用户提供基于主机的多用 户分时管理、计费、资源共享，系统安全技术特别是安全内核技术并没有得到充分的考虑。 网络则在基于团体间相互信任原则的基础上进行互联，重点在于资源共享的快速灵活，安 全问题几乎没有考虑，这种模式延续至今。导致各种大型计算机和服务器是以系统管理员 为核心的管理体制，形成了一个巨大的安全隐患，一旦他人窃取到系统管理员身份后，后 果不堪设想。单用户操作系统，在其设计中，重点在于个人事务处理，没有考虑任何安全 性的要求，这在单机单用户时代是可以接受的。又由于其开放性设计，几乎每个人都能知 第3 页 国防科学技术大学研究生院学位论文 道其内部结构和工作原理，极易找到攻击漏洞，没有安全可言。后来由于兼容性设计考虑， 安全性一直没有能完善起来，在网络时代，通过个人计算机在与他人的通信过程中，安全 问题便充分暴露了出来，且日益严峻。 从网络协议设计的角度来看，t c p 狃协议是当今使用最为广泛的网络协议，它的主 要设计目标是互联、互通与互操作为沟通，而不是安全。它的制定有其特定环境的历史局 限性，它是在资源及网络技术均不十分成熟的情况下设计的。该协议中已有许多人所共知 的安全漏洞和隐患。 从软件设计技术的角度来看，由于软件设计理论的发展、软件开发行业特点、软件测 试技术所限，加上商业利益驱动，设计人员在短时间内无法顾全庞大系统的各个环节，因 而出现了一些重要软件厂商频频发布补丁程序应急补漏洞的现象。 1 3 2 安全问题存在的必然性 从理论角度而言，不存在绝对的安全。理由如下： 1 用户安全要求很难准确描述。 2 无有效系统方法确认一个产品达到了用户安全要求。 3 软件日益复杂，几乎无法杜绝软件设计缺陷。 4 “冯氏结构”特点是程序、数据统一处理，但却给“特洛伊木马”和“病毒”的植入开 了方便之门。 5 从时效性、经济性、可用性和正确性等方面考虑，我们的网络信息系统必然要使 用商用产品，无法做到仅仅使用信任的产品。 l3 3 对安全应有的态度 既然安全问题在所难免，那么，我们对安全就应当有一个正确的认识： 1 所有系统都存在着威胁，威胁的数量和种类是难以预测的。随着系统及所处位置 的不同，威胁发生的可能性不同。 2 任何网络都具有一定的安全威胁发生频率。通过防护手段的改变，可以有效降低 威胁发生的频率。 3 随着防护手段的增加，系统易受攻击的弱点减少，脆弱性级别也随着防护手段的 实现而降低。 4 所有防护手段都有弱点，通过防护把脆弱性的级别降低到零是不可能的。 5 利用防护手段可达到个可接受的脆弱性级别。通过防护手段的组合，可使脆弱 性达到任意级别。 6 安全防护是在网络安全的脆弱性与易用性之间的平衡。 1 4 安全问题的解决思路和发展趋势 1 4 1 解决思路 由于传统的计算机安全理论不能适应动态变化的、多维互联的网络环境，于是可适应 网络安全理论体系逐渐形成。可适应网络安全理论( 或称动态信息安全理论) 的主要模型 是p 2 d r 模型( 如图1 2 ) 。p 2 d r 模型给网络安全管理提供了方法。所有的安全问题都可以 第4 页 国防科学技术大学研究生院学位论文 在统一的策略指导下，采取防护、检测、响应等不断循环的动态过程。 图1 2p 2 d r 模型示意图 p 2 d r 模型是在整体的安全策略的控制和指导下，在综合运用防护工具( 如防火墙、 操作系统身份认证、加密等手段) 的同时，利用检测工具( 如漏洞评估、入侵检测等系统) 了解和评估系统的安全状态，将系统调整到“最安全”和“风险最低”的状态。 传统的安全手段中都会考虑类似访问控制、加密、认证等防范措旖，即p 2 d r 模型中 的p r o t e c t i o n ，但为什么这样的网络仍会受到恶意攻击昵? 根据p 2 d r 模型，防护是一个必须的环节，防护中采用的技术也已经被广泛采用。但 仅有基础防护的网络是不安全的，访问控制等静态安全措施只能对网络系统中的某几个环 节起保护作用。网络中有大量安全漏洞存在，攻击者很容易绕过安全防范侵入网络。 所以，尽管静态的安全防护投入很大，如果忽略网络系统中的安全隐患和随时可能发 生的攻击，仍然达不到安全的目的。只有通过检测和响应这两个环节，发现隐藏的漏洞， 才能主动提高网络的抗攻击能力。p 1 1 4 2 发展趋势 安全不能依靠单纯的静态防护，也不能依靠单纯的技术手段来解决。网络安全理论和 技术还将随着网络技术、应用技术的发展而发展。未来的网络安全会有以下趋势： 一方面，高度灵活和自动化的网络安全管理辅助工具将成为企业信息安全主管的首选， 它能帮助管理相当庞大的网络，通过对安全数据进行自动的多维分析和汇总，使人从海量 的安全数据中解脱出来，根据它提交的决策报告进行安全策略的制定和安全决策。 另一方面，由于网络安全问题的复杂性，网络安全管理将与已经较成熟的网络管理集 成，在统一的平台上实现网络管理和安全管理。 另外，检测技术将更加细化，针对各种新的应用程序的漏洞评估和入侵监控技术将会 产生：还将有攻击追踪技术应用到网络安全管理的环节当中。 1 5 课题的研究内容 本文将研究实旋信息保障的两项技术措施：纵深防御和安全保健。纵深防御的基本思 想是利用尽可能多的防护手段来保护资源，在影响信息安全的多个操作环节及其支撑技术 上实旅保障。安全保健在本文中的含义是通过扫描、监控技术，主动发现系统自身的弱点 第5 页 国防科学技术大学研究生院学位论文 和漏洞，并采取响应，从而达到提高安全性的目的。本文将研究安全保健体系构建方案， 建立安全保健原型系统。 1 6 论文的组织 全文共分六章。 本章首先介绍了信息安全的发展历程和信息保障的概念，然后对安全问题存在的必然 性和安全问题的解决思路做了分析，同时指明了本课题的研究内容。 第2 章对信息系统的脆弱性及其成因做了分析。 第3 章研究了纵深防御，纵深防御是信息保障的一种策略，文中对其概念、目的和体 系结构都做了详细的说明。 第4 章提出了安全保健的概念，对其外延和内涵做了解释。 第5 章根据上述几章的内容，构建了一个安全保健支撑系统。 第6 章对前面完成的工作做了总结，并分析了下一步需做的工作。 第6 页 国防科学技术大学研究生院学位论文 第2 章操作系统脆弱性及其成因 系统安全漏洞的发现和公布并不少见绝大多数操作系统都存在着这样或那样的安全 漏洞。普通用户往往注意不到，但是却很可能成为下一个被黑客利用的攻击手段。 2 1 脆弱性示例 系统漏洞的存在是个比较普遍的问题，操作系统的开发是一个复杂繁琐的过程，它 需要详细精密的设计，同时更离不开开发人员的认真细致。一点考虑上的失误或者开发人 员的疏忽都有可能形成系统漏洞。系统漏洞带来了各种安全隐患。系统漏洞的存在将严重 地影响到操作系统的安全性。 2 1 1w i n d o w s2 0 0 0 登录漏洞 在w i n d o w s2 0 0 0 的登陆界面将光标移至用户名输入框，按键盘上的c u l + s h i r 键，这 时会出现输入法状态条( 如果是用缺省的安装状态安装的w i n d o w s2 0 0 0 ) ，将鼠标移至输 入法状态条，点击鼠标右键，在出现的对话框中选择“帮助”项，再选择操作指南或输入 法入门( 微软的拼音输入法和智能a b c 没有这个选项) ，在出现的操作指南或输入法入门 窗口中会出现几个按钮，其中有一个是“选项”按钮。如果是未安装s e r v i c e p a c k l 或i e 5 5 的w i n d o w s 2 0 0 0 系统，用鼠标左键点击“选项”按钮，在出现的对话框中选择主页，这时 在已出现的帮助窗口的右侧，会出现浏览器界面中的此页不可显示页面，其中有一个检 测网络设置的链接，点击它就会出现网络设置选项，你可以对网络设置甚至控制面板做任 何修改。用鼠标左键点击“选项”按钮，在出现的对话框中选择h t e m e t 选项，你也可以 对主页、连结、安全、高级选项等做任何修改。最为严重的是用鼠标右键点击“选项”按 钮会出现一个对话框，选择“跳至u r l ”，这时会出现一个对话框，其中有一个“跳至该 u r l ”输入框，在其中输入你想看到的路径比如c ：那么这时在已出现的帮助窗口的右侧 会出现资源管理器c 盘的界面显示，你这时就绕过了w i n d o w s 2 0 0 0 的登陆验证机制。已经 具有系统管理员权限了，可以对你看到的数据做任何的操作。 2 1 2i i s4 0 5 0u n i c o d e 解码漏洞 n s f o c u s 安全小组发现h s4 0 和h s5 0 在u n c o d e 字符解码的实现中存在一个安全 漏洞，导致用户可以远程通过h s 执行任意命令。当h s 打开文件时，如果该文件名包含 u n i c o d e 字符，它会对其进行解码，如果用户提供一些特殊的编码，将导致s 错误的打开 或者执行某些w e b 根目录以外的文件。 对于s5 0 4 0 中文版，当h s 收到的u r l 请求的文件名中包含一个特殊的编码例如 ”c 1 h h ”或者”c 0 h h ”，它会首先将其解码变成：0 x c l o x h h ，然后尝试打开这个文件， w i n d o w s 系统认为0 x c l o x h h 可能是u n i c o d e 编码，因此它会首先将其解码，如果0 x 0 0 ，0 x c 0 0 x c 0 ) + o x 4 0 + o x h h 因此，利用这种编码，我们可以构造很多字符，例如： c 1 1 c _ f o x c l 一0 x c 0 ) + o x 4 0 + 0 x l c = 0 x 5 c = ， c 0 2 f 一 ( 0 x c 0 0 x c 0 ) 40 x 4 0 + o x 2 f = 0 x 2 f 2 攻击者可以利用这个漏洞来绕过i i s 的路径检查，去执行或者打开任意的文件。 如果系统包含某个可执行目录，就可能执行任意系统命令。下面的u r l 可能列出当 前目录的内容： h t t p ：w w w v i c t i m c o m s c r i p t s l c 1 1 c w i n n t s y s t e m 3 2 c m d e x e t c + d i r 利用这个漏洞查看系统文件内容也是可能的： h t t p ：w w w v i c t i mc o m a a s p e 1 1 c c l l c 1 w i n n t w i ni n i r a i nf o r e s tp u p p y 嘲w 也t r 母n e t 测试发现对于英文版的i i s4 0 5 0 ，此问题同 样存在，只是编码格式略有不同，变成”c 0 a f 或者”c 1 9 c ” 2 。2 造成脆弱性的原因 2 2 1 弱口令 许多系统被攻破是因为它们严重依赖于用户创建的口令，但由于不便于记忆，人们通 常不会选择复杂性很强的口令，当这个口令被用做加密系统的密钥时，比起随机生成的密 钥，它们更容易( 当然也更快) 被破解。为了便于记忆，有些系统的口令不仅仅是一个单 词，还可以是一句话，称为嗵行短语”。但由于语言本身信息的高度冗余性，所以4 0 个字 符的通行短语并不比6 4 位( 8 个字符) 的随机密钥更安全。 2 2 2 系统软件的缺陷 常见的网络应用系统包含了w e b 浏览器、j a v a 虚拟机、w e b 服务器、事务服务器、数 据库系统及c o r b a 机制等等。当然，也包括防火墙。由于其结构十分复杂，任何一个部 分都有可能出错，而任何一个错误都有可能导致安全漏洞或数据失窃、文件被毁或事务被 欺骗提交等。更可怕的是，攻击者知道这些漏洞而当事人却蒙在鼓里。 经过进一步细分，发现这一类问题可能出在以下几个方面。 系统设计问题 安全系统牵涉了各种不同的密码学原理，如加密算法、数字签名算法、单向h a s h 算 法、消息认证码及安全协议等。只要攻破其中的任何一项，就等于攻破了整个系统。即使 系统使用了很强的加密算法和安全协议，仍然可能存在薄弱环节。此外，就如相生相克一 样，两个强安全协议、密钥的联用也可能得到一个不安全的系统。 系统实现问题 在系统实现方面出现问题的原因很多，有的可能缘于对设计的理解，由于理解不透， 所实现的系统并非是想像的系统；有的可能缘于在实现过程中对细节过于疏忽，比如些 系统不能保证在加密之后可清除明文，或在加密过程中，系统崩溃可能导致密钥被转存到 硬盘上等。 然而，在系统实现过程中最大的问题是程序里存在的错误，受时间和测试工具的限制， 第8 页 国防科学技术大学研究生院学位论文 现有的许多系统都是在未经充分测试的情况下投入运行的，难免隐藏一些错误。 故障恢复问题 设计一个安全的系统要求做到当一个系统某一部分被攻破时，其影响范围应该尽量最 小化，避免出更大的问题。 在已经广泛投入使用的系统中，攻击者可以从许多渠道获知各部分可能出现的错误或 已经被确诊的错误，这些渠道可能是地下黑客站点、c e r t 报告或安全新闻组等，通常， 它们还会给出相应的解决方法。 2 2 1 3 未采取正确的安全策略和安全机制 安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规 则。安全策略模型包括了建立安全环境的三个重要组成部分，即： 法律：安全的基石是社会法律、法规、与手段，这部分用于建立一套安全管理标准和 方法。即通过建立与信息安全相关的法律、法规，使非法分子慑于法律，不敢轻举妄动。 技术：先进的安全技术是信息安全的根本保障，用户对自身面临的威胁进行风险评估， 决定其需要的安全服务种类。选择相应的安全机制，然后集成先进的安全技术。 管理：各网络使用机构、企业和单位应建立相宜的信息安全管理办法，加强内部管理， 建立审计和跟踪体系，提高整体信息安全意识。 安全机制包括访阿控制机制、加密机制、认证交换机制、数字签名机制、防业务流分 析机制、路由控制机制。 2 2 4 操作系统自身的漏洞 破坏力极强的红色代码病毒就是利用了微软i i s 存在的漏洞。这样的例子还有很多， 例如s o l a d s 的r p c 漏洞也曾经让许多内部网络惊慌失措过好一阵子，而w i n d o w s2 0 0 0 p r o f e s s i o n a l 中文版的输入法漏洞更是许多人都极力防范的地方。 系统漏洞的存在是一个比较普遍的问题，操作系统的开发是一个复杂繁琐的过程，它 需要详细精密的设计，同时更离不开开发人员的认真细致。一点考虑上的失误或者开发人 员的疏忽都有可能形成系统漏洞。系统漏洞带来了各种安全隐患。系统漏洞的存在将严重 地影响到操作系统的安全性。 2 2 5 错误的信任模型 在使用一个系统时，通常都要做出一些假定。比如当用户收到一封电子邮件时，可能 假定发信者确实是真实的；当用户拿到一个新版的操作系统时，可能会假定厂家在广告中 做的宣传是真实的；当用户通过网络获取一个共享文件时，可能会假定取到的是真正好的 软件。在此，我们不妨看看下面两个例子。 攻击者攻破了某个网络目录服务器，由此将对某些服务器的访问定向到攻击者指定的 机器，该机器可能中断客户和服务器之间来往的数据，使客户和服务器双方都没有意识到 第三方的存在，很多敏感数据就此被窃取。这种方式通常被称为“中间人”攻击。 在内部网中，当各工作站使用共享文件系统( a f s 、n f s 、w i n d o w sn t 9 5 及n e t w a r e 等) 共享可执行文件时，一个内部攻击者可能监听了工作站向文件服务器发出的文件访问请 求，抢先把修改过的文件块传给工作站。由于内部网缺少判断数据包发送地址的能力，工 第9 页 国防科学技术大学研究生院学位论文 作站会接收该数据包，将真正的包当做重复数据丢弃，从而工作站将毫无觉察地使用修改 后的程序。这类错误应该算一个比较严重的问题，当前许多操作系统在这方面没有做很大 的改进，w i n d o w sn t 的s e r v i c e p a c k3 虽然注意到了这个问题，但在同其他系统的互操作 性方面却受到了影响。1 4 1 第1 0 页 国防科学技术大学研究生院学位论文 第3 章纵深防御纵览 近年来，随着网络的发展，网络本身的安全性问题也就显得更为重要。网络安全的一 个主要威胁就是通过网络对信息系统的入侵。相对传统的对信息系统的破坏手段，网络入 侵具有以下特点：( 1 ) 没有地域和时间的限制：( 2 ) 通过网络的攻击往往混杂在大量正常的 网络活动之间，隐蔽性强；( 3 ) 入侵手段更加隐蔽和复杂。由于网络入侵的上述特点，如 何通过计算机对其进行检测，并根据检测结果进行预警与响应，就成为目前众多网络安全 手段中的核心技术。为了保障我国信息系统支持和适应信息战的要求，开展安全操作系统 的研制，以及开展网络入侵检测、预警、应急响应与灾难恢复、防守反击等技术与方法研 究是十分必要的，它对予提高网络系统的应急响应能力、缓解网络攻击所造成的危害、提 高系统的反击能力等均具有十分重要的基础意义。在现代信息战与维护l 国家信息安全中， 它是有效抵御敌方的信息攻击，维护自身网络体系的正常运作，并进行追踪和反击所必不 可少的。 3 1 纵深防御的概念及内涵 纵深防御是一种信息保障策略。该策略的基本原理可以应用于任何机构的信息系统或 者网络之中。 纵深防御策略包括三个主要层面：人员、技术和操作。如表3 1 所示： 表3 1 纵深防御策略涉及的三个层面及其内容 信息基础设施是具有许多脆弱性的复杂系统。纵深防御体系从狭义的角度来理解，就 是在影响信息安全的多个层次操作环节及其支撑技术上实施保障。当攻击者成功破坏了某 个保护机制时，其他保护机制仍然能够提供附加的保护。采用层次化的保护策略并非意味 着需要在网络体系结构的每个可能位置都实现信息保障机制。通过在主要位置实现适当的 保护级别，便能够依据各机构的特殊需要实现有效保护。 从广义的角度来理解纵深防御体系，其概念是从组织结构、人员培训、制度建设、操 作和技术等多个层面考虑信息保障。 3 2 纵深防御的目标 纵深防御的目标是围绕着四个重点技术领域展开的。这四个领域分别是：保护计算环 境、保护区域边界、保护网络和基础设旋以及保护支持性基础设施。 第1 1 页 国防科学技术大学研究生院学位论文 3 2 1 保护计算环境目标 用户需要保护内部系统应用和服务器。包括在系统高端环境中的多种现有和新出现的 应用中充分利用识别与认证、访问控制、保密性、数据完整性和不可否认性等安全服务。 为满足上述要求应当实现如下目标： 确保对客户机、服务器和应用实施充分保护，以此防止拒绝服务攻击、数据未授 权泄漏和数据更改； 无论客户机、服务器或者应用位于某区域之内或之外，都必须确保由其所处理的 数据具有保密性和完整性： 防止未授权使用客户机、服务器或应用的情况； 保障客户机和服务器遵守安全配置指南并安装了所有正确补丁； 对所有的客户机与服务器的配置管理进行维护，跟踪补丁和系统配置更改信息； 对于内部和外部的受信任人员与系统从事违规和攻击活动具有重组的防范能力。 3 2 2 保护区域边界目标 信息基础设施应当被保护，以保证本地计算环境不受入侵。一次成功的入侵可能会导 致可用性、完整性或者保密性遭到损坏。符合该要求的目标是： 确信对物理和逻辑区域进行充分保护； 针对变化性的威胁采用动态抑制服务； 、 确信在被保护区域内的系统与网络保持其可接收的可用性并能够完全防范拒绝服 务攻击： 确信在区域之间或通过远程访问所交换的数据受到保护并且不会被不适宜地泄 漏； 为区域内由于技术或者配置问题无法自行实旌保护的系统提供边界保护； 提供风险管理方法，有选择地允许重要信息跨区域边界流动； 对被保护区域内的系统和数据进行保护，使之免受外部系统或进攻的破坏； 针对用户向区域之外发送或接收区域之外的信息提供强认证和以及经认证的访问 控制。 3 2 3 保护网络与基础设施目标 为维护信息服务，并对公共的、私人的或者保密的信息进行保护，避免无意中泄漏或 更改这些信息，机构必须保护其网络和基础设施。目标如下： 保证整个广域网上交换的数据不会泄漏给任何未获授权的网络访问者； 保证广域网支持关键任务和支持数据任务，防止受到拒绝服务攻击： 保护数据流分析； 保护用户数据流； 网络基础设施控制信息： 确信保护机制不受那些存在于其他授权枢纽或区域网络之间的各种无缝操作的干 扰。 第1 2 页 国防科学技术大学研究生院学位论文 3 2 4 支持性基础设施目标 支持性基础设施是实现纵深防御的另一技术层面。为纵深防御策略提供密钥管理、检 测和响应功能。所需要的能够进行检测和相应的支持性基础设施组建包括：入侵检测系统、 审计、配置系统，以及调查所需信息的收集。目标如下： 提供支持密钥、优先权与证书管理的密码基础设施：并能够积极识别使用网络服 务的个人； 提供能够对入侵和其他违规事件快速进行检测与响应并能够支持操作环境的入侵 检测、报告、分析、评估和响应基础设施； 执行计划并报告持续性与重建方面的要求。【2 】 3 3 纵深防御体系结构 网络安全纵深防御体系的体系结构如图3 1 所示，它是一个可扩展的结构，其工作流 程如图3 2 所示。网络安全纵深防御体系由实时防御、日常防御和基础设施三个大部件组 成，其中实时防御包括网络防火墙、入侵检测、预警、应急响应与恢复以及防守反击等构 成；日常防御由脆弱性分析和预警( 长期部分) 构成，病毒防治是两种防御的共同任务。上 述各部分所需的数据库为整个防御体系的基础设施。 图3 1 网络安全纵深防御体系的体系结构 第1 3 页 国防科学技术大学研究生院学位论文 基础设麓 _ _ - 一 图3 2 网络安全纵深防御体系的工作流程 网络安全纵深防御体系的工作流程为： 实时防御部分负责对实时的消息流进行检测和防御：防火墙为第一道关口，负责 控制进入网络的访问控制：入侵检测对通过防火墙的数据流进行进一步检查，以 阻止恶意的攻击行为；若攻击行为避过了入侵检测子系统，并造成一定的损害时， ，则由应急响应与灾难恢复子系统进行处理，若有需要，还可以启动反攻击系统进 行反攻。 一 日常防御部分进行日常的防御工作：预警子系统综合分析各种信息，以防范可能 的未知的攻击模式。 一基础设旖部分包括了攻击特征库、隐患数据库、备份数据库以及威胁评估数据库， 为各部分提供支持。它们需要及时更新和日常维护。 3 。4 各子系统简介 3 4 1 安全操作系统 随着计算机在军事领域的广泛应用，以此为基础建立起来的各种信息系统已成为我军 战斗力的一个重要组成部分，军用信息网络等一系列重大信息工程的实施，在方便了我军 信息获取和信息交流的同时，也使信息安全问题变得日益严峻。作为计算机核心软件的操 作系统，已成为整个信息系统安全的基石。然而，目前的现状是，我军军用计算机所用操 作系统绝大部分是国外产品，其源代码和核心技术牢牢掌握在国外大公司的手中，这些进 口产品源代码不公开，安全级别低( 美国等西方国家禁止高安全级产品向我国出口) ，有些 甚至还故意留有便于信息窃取的“后门”，建立在这种操作系统之上的信息系统犹如建立在 沙滩上的大厦，安全没有保障。一旦发生战争，将会带来灾难性后果。安全操作系统的研 究目的是为信息系统提供一个安全可靠的操作系统。该系统将以l i n u x 操作系统为基础， 对l i n u x 现行结构进行改造，并对已有的安全机制进行扩充和增强，使之达到b 安全级。 为_ ，扩大应用范围，该系统还将提供一个w n d o w sn t 仿真界面，使一些运行在w i n d o w s 第1 4 页 国防科学技术大学研究生院学位论文 n t 下的典型应用可以不加修改地在该系统下运行。 3 4 2 网络防火墙 防火墙是保护网络安全最主要的手段之一，它是设置在被保护网络与外部网络之间的 一道屏障，以防止不可预测的、潜在破坏的非法入侵。它通过监测、限制、修改跨越防火 墙的数据流，尽可能地对外屏蔽网络内部的结构、信息和运行情况，以此来实现内部网络 的安全保护。防火墙是不同网络或网络安全域之间信息的唯一出入口，能根据相应的安全 策略控制( 允许、拒绝、监测) 出入网络的信息流，且本身具有较强的抗攻击能力。它是 提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器， 一个限制器，也是一个分析器，可有效地监控了内部网和外部网之间的活动，保证了内部 网络的安全。研制与开发防火墙子系统的关键技术主要是实现防火墙的安全、高性能与可 扩展。 3 4 3 入侵检测 入侵检测系统( d s ) 可以对系统或网络资源进行实时检测，及时发现闯入系统或网 络的入侵者，也可预防合法用户对资源的误操作。但是，目前现有的入侵检测安全产品大 多存在误报率高、效率低、占用资源多以及可扩展性差等缺点，而且多是分布在入口节点 进行检测，缺乏对内部网的保护、对攻击的追踪和对信息系统的恢复能力。因此开展网络 入侵检测与安全防护的研究不仅是十分必要的，也是现实可行的。本文推荐的体系结构为 基于代理的网络入侵检测结构，即代理是分布于不同主机和网段的攻击检测程序，在检测 到可疑事件或入侵后，立即向中心服务器报告。代理可以是主机型也可以是网络型的。网 络型代理就是分布于各网段的侦听检测程序，通过侦听报文获得应用层以下的审计信息， 并在进行一定的分析前提下，对入侵事件做出相应响应。主机型的代理运行于特定的被保 护的主机上，对主机的审计信息进行分析与检测，并向中心服务器报告可疑事件或入侵。 在图3 3 中给出基于代理的网络入侵检测系统的物理结构简图，虚线表示代理与中心管理 服务器之间的通信。 吕邕 ! ! ! 空! ， i j li ，一督、 j j 堕蜜 笋中心服务嚣 、太 l i ! 旦回 ， 幽 ； 与。固7 交换机 芒! ，bj 路由器 8 叩“1。叫纰， 防火墙， 蠡量 、代理服务区， 内部网 图3 3 基于代理的入侵检测系统在局域网中的分布简图 第1 5 页 国防科学技术大学研究生院学位论文 3 4 4 响应恢复与防守反击 本子系统的目标是要在开放的互联网环境下构造基于生存性的多样化动态漂移网络， 需研制的模块包括用于灾前准备的分布式动态备份模块、用于灾难发生时的灾难鉴别模块、 灾难瞬间的动态漂移和灾后的恢复以及在此之上的防守反击等。系统的工作流程见图3 4 ， 其具体描述为： 1 ) 在作为后备集合的服务器之间建立分布式动态备份数据库，所备份的信息是能够 恢复服务器全部功能的关键信息。 2 ) 根据i d s 等检测软件的检测结果迅速地进行灾难鉴别。 3 ) 根据鉴别的结果分别采用不同的响应对策 a 现场可恢复：