1.4 計算機網絡安全體系結構

研究計算機網絡安全的體系結構，就是研究如何從管理和技術上保證網絡的安全得以完整、準確的實現，網絡安全需求得以全面準確的滿足。

1.4.1 網絡安全模型

網絡安全的基本模型如圖1-1所示。通信雙方在網絡上傳輸信息時，首先需要在收、發方之間建立一條邏輯通道。為此，就要先確定從發送方到接收方的路由，并選擇該路由上使用的通信協議，如TCP/IP等。

為了在開放式的網絡環境中安全地傳輸信息，需要為信息提供安全機制和安全服務。信息的安全傳輸包含兩個方面的內容：一是對發送的信息進行安全轉換，如進行加密，以實現信息的保密性，或附加一些特征碼，以實現對發送方身份的驗證等；二是收、發方共享的某些秘密信息，如加密密鑰等，除了對可信任的第三方外，對其他用戶都是保密的。

為了使信息安全地進行傳輸，通常需要一個可信任的第三方，其作用是負責向通信雙方分發秘密信息，以及在雙方發生爭執時進行仲裁。

一個安全的網絡通信方案必須考慮以下內容。

●實現與安全相關的信息轉換的規則或算法。

●用于信息轉換的秘密信息（如密鑰）。

●秘密信息的分發和共享。

●利用信息轉換算法和秘密信息獲取安全服務所需的協議。

1.4.2 OSI安全體系結構

OSI安全體系結構的研究始于1982年，當時OSI基本參考模型剛剛確立。這項工作由ISO/IEC JTCl/SC21完成，于1988年結束，其成果標志是ISO發布了ISO 7498—2標準，作為OSI基本參考模型的新補充。1990年，ITU決定采用ISO7498—2作為它的X.800推薦標準，我國的國標GB/T 9387.2—1995《信息處理系統 開放系統互連 基本參考模型 第2部分：安全體系結構》等同于ISO/IEC 7498—2。

OSI安全體系結構不是能實現的標準，而是如何設計標準的標準。因此，具體產品不應聲稱自己遵從這一標準。OSI安全體系結構定義了許多術語和概念，還建立了一些重要的結構性準則。它們中有一部分已經過時，仍然有用的部分主要是術語、安全服務和安全機制的定義。

1.術語

OSI安全體系結構給出了標準族中的部分術語的正式定義，其所定義的術語只限于OSI體系結構，在其他標準中對某些術語采用了更廣的定義。

2.安全服務

OSI安全體系結構中定義了五大類安全服務，也稱為安全防護措施。

●鑒別服務：提供對通信中對等實體和數據來源的鑒別。對等實體鑒別提供對實體本身的身份進行鑒別；數據源鑒別提供對數據項是否來自某個特定實體進行鑒別。

●訪問控制服務：對資源提供保護，以對抗非授權使用和操縱。

●數據機密性服務：保護信息不被泄露或暴露給未授權的實體。機密性服務又分為數據機密性服務和業務流機密性服務。數據機密性服務包括：連接機密性服務，對某個連接上傳輸的所有數據進行加密；無連接機密性服務，對構成一個無連接數據單元的所有數據進行加密；選擇字段機密性服務，僅對某個數據單元中所指定的字段進行加密。業務流機密性服務使攻擊者很難通過網絡的業務流來獲得敏感信息。

●數據完整性服務：對數據提供保護，以對抗未授權的改變、刪除或替代。完整性服務有3種類型：連接完整性服務，對連接上傳輸的所有數據進行完整性保護，確保收到的數據沒有被插入、篡改、重排序或延遲；無連接完整性服務，對無連接數據單元的數據進行完整性保護；選擇字段完整性服務，對數據單元中所指定的字段進行完整性保護。

完整性服務還分為具有恢復功能和不具有恢復功能兩種類型。僅能檢測和報告信息的完整性是否被破壞，而不采取進一步措施的服務為不具有恢復功能的完整性服務；能檢測到信息的完整性是否被破壞，并能將信息正確恢復的服務為具有恢復功能的完整性服務。

●抗抵賴性服務：防止參與通信的任何一方事后否認本次通信或通信內容。抗抵賴性服務可分為兩種形式：數據原發證明的抗抵賴，使發送者不承認曾經發送過這些數據或否認其內容的企圖不能得逞；交付證明的抗抵賴，使接收者不承認曾收到這些數據或否認其內容的企圖不能得逞。

表1-8給出了對付典型網絡威脅的安全服務，表1-9給出了網絡各層提供的安全服務。

3.安全機制

OSI安全體系結構沒有詳細說明安全服務應該如何來實現。作為指南，它給出了一系列可用來實現這些安全服務的安全機制，基本的機制如圖1-2所示，包括加密機制、數字簽名機制、訪問控制機制、數據完整性機制、鑒別交換機制、通信業務流填充機制、路由控制和公證機制（把數據向可信第三方注冊，以便使人相信數據的內容、來源、時間和傳遞過程）。

安全服務與安全機制的關系如表1-10所示。

1.4.3 P2DR模型

P2DR模型是一種常用的網絡安全模型，如圖1-3所示。P2DR模型包含4個主要部分：Policy（安全策略）、Protection（防護）、Detection（檢測）和Response（響應）。防護、檢測和響應組成了一個完整的、動態的安全循環。在整體安全策略的控制和指導下，在綜合運用防護工具（如防火墻、身份認證和加密等手段）的同時，利用檢測工具（如網絡安全評估、入侵檢測等系統）掌握系統的安全狀態，然后通過適當的響應將網絡系統調整到“最安全”或“風險最低”的狀態。該模型認為：安全技術措施是圍繞安全策略的具體需求而有序地組織在一起，構成一個動態的安全防范體系。

●Protection：防護通常是通過采用一些傳統的靜態安全技術及方法來實現的，主要有防火墻、加密和認證等方法。

●Detection：在P2DR模型，檢測是非常重要的一個環節，檢測是動態響應和加強防護的依據，也是強制落實安全策略的有力工具，通過不斷地檢測和監控網絡和系統，來發現新的威脅和弱點，通過循環反饋來及時做出有效的響應。

●Response：響應在安全系統中占有最重要的地位，是解決潛在安全問題的最有效辦法。從某種意義上講，安全問題就是要解決響應和異常處理問題。要解決好響應問題，就要制定好響應的方案，做好響應方案中的一切準備工作。

●Policy：安全策略是整個網絡安全的依據。不同的網絡需要不同的策略，在制定策略以前，需要全面考慮局域網中如何在網絡層實現安全性，如何控制遠程用戶訪問的安全性，在廣域網上的數據傳輸實現安全加密傳輸和用戶的認證等問題。對這些問題做出詳細回答，并確定相應的防護手段和實施辦法，就是針對網絡系統的一份完整的安全策略。策略一旦制定，就應當作為整個網絡系統安全行為的準則。

P2DR模型有一套完整的理論體系，以數學模型作為其論述基礎——基于時間的安全理論（Time Based Security）。該理論的基本思想是認為與信息安全有關的所有活動，包括攻擊行為、防護行為、檢測行為和響應行為等都要消耗時間，可以用時間來衡量一個體系的安全性和安全能力。

作為一個防護體系，當入侵者要發起攻擊時，每一步都需要花費時間。攻擊成功花費的時間就是安全體系提供的防護時間Pt。在入侵發生的同時，檢測系統也在發揮作用，檢測到入侵行為所要花費的時間就是檢測時間Dt；在檢測到入侵后，系統會做出應有的響應動作，該過程所要花費的時間就是響應時間Rt。

P2DR模型通過一些典型的數學公式來表達安全的要求。

Pt：系統為了保護安全目標設置各種保護后的防護時間；或者理解為在這樣的保護方式下，黑客（入侵者）攻擊安全目標所花費的時間。

Dt：從入侵者開始發動入侵開始，系統能夠檢測到入侵行為所花費的時間。

Rt：從發現入侵行為開始，系統能夠做出足夠的響應，將系統調整到正常狀態的時間。

那么，針對需要保護的安全目標，如果上述數學公式滿足，即防護時間大于檢測時間加上響應時間，則在入侵者危害安全目標之前就能夠檢測到并及時處理。

如果Pt=0，公式的前提是假設防護時間為0。這種假設對Web Server這樣的系統可以成立。

Dt：從入侵者破壞了安全目標系統開始，系統能夠檢測到破壞行為所花費的時間。

Rt：從發現遭到破壞開始，系統能夠做出足夠的響應，將系統調整到正常狀態的時間。比如，對Web Server被破壞的頁面進行恢復。

那么，Dt與Rt的和就是該安全目標系統的暴露時間Et。針對需要保護的安全目標，Et越小，系統就越安全。

通過上面兩個公式的描述，實際上對安全給出了一個全新的定義：“及時的檢測和響應就是安全”和“及時的檢測和恢復就是安全”。

而且，這樣的定義為安全問題的解決給出了明確的方向：提高系統的防護時間Pt，降低檢測時間Dt和響應時間Rt。

P2DR理論給人們提出了新的安全概念，安全不能依靠單純的靜態防護，也不能依靠單純的技術手段來解決。網絡安全理論和技術還將隨著網絡技術與應用技術的發展而發展。未來的網絡安全具有以下趨勢。

一方面，高度靈活和自動化的網絡安全管理輔助工具將成為企業信息安全主管的首選，它能幫助管理相當龐大的網絡，通過對安全數據進行自動的多維分析和匯總，使人從海量的安全數據中解脫出來，根據它提交的決策報告進行安全策略的制定和安全決策。

另一方面，由于網絡安全問題的復雜性，網絡安全管理將與較成熟的網絡管理集成，在統一的平臺上實現網絡管理和安全管理。

另外，檢測技術將更加細化，針對各種新的應用程序的漏洞評估和入侵監控技術將會產生，還將有攻擊追蹤技術應用到網絡安全管理的環節當中。

P2DR安全模型也存在一個明顯的弱點，就是忽略了內在的變化因素，如人員的流動、人員素質的差異和安全策略貫徹執行的不完全等。實際上，安全問題牽涉的面非常廣，不僅包括防護、檢測和響應，還包括系統本身安全能力的增強、系統結構的優化和人員素質的提升等，而這些方面都是P2DR安全模型沒有考慮到的。

1.4.4 網絡安全技術

本節將分析網絡安全的典型技術。

1.物理安全技術

物理安全是保護計算機網絡設備、設施，以及其他媒體免遭地震、水災、火災等環境因素，人為操作失誤，以及各種計算機犯罪行為導致的破壞過程。它主要包括3個方面。

●環境安全：對系統所在環境的安全保護措施，如區域保護和災難保護。

●設備安全：設備的防盜、防毀、防電磁信息輻射泄露、防止線路截獲、抗電磁干擾及電源保護技術和措施等。

●媒體安全：媒體數據的安全，以及媒體本身的安全技術和措施。

為保證計算機網絡的物理安全，除了網絡規劃和場地、環境等要求之外，還要防止信息在空間的擴散。因為，計算機網絡輻射的電磁信號可在幾百甚至上千米以外截獲，重要的政府、軍隊和金融機構在建信息中心時都要考慮電磁信息泄露。

2.數據傳輸安全技術

為保障數據傳輸的安全，通常采用數據傳輸加密技術、數據完整性鑒別技術及防抵賴技術。數據傳輸加密技術就是對傳輸中的數據流進行加密，以防止通信線路上的竊聽、泄露、篡改和破壞。如果以加密實現的通信層次來區分，加密可以在通信的3個不同層次來實現，即鏈路加密（位于OSI網絡層以下的加密）、結點加密和端到端加密（傳輸前對文件加密，位于OSI網絡層以上的加密）。一般常用的是鏈路加密和端到端加密這兩種方式。鏈路加密側重于在通信鏈路上而不考慮信源和信宿，對保密信息通過各鏈路采用不同的加密密鑰提供安全保護。鏈路加密是面向結點的，對于網絡高層主體是透明的，對高層的協議信息（地址、檢錯、幀頭幀尾）都加密，數據在傳輸中是密文，但在中央結點必須解密得到路由信息。端到端加密是指信息由發送端進行加密，打入TCP/IP數據包封裝，然后作為不可閱讀和不可識別的數據穿過網絡，這些信息一旦到達目的地后，將自動重組、解密，成為可讀數據。端到端加密是面向網絡高層主體，不對下層協議進行信息加密，協議信息以明文形式傳輸，用戶數據在交換結點無須解密。

防抵賴技術包括對數據源和目的地雙方的證明，常用的方法是數字簽名，數字簽名采用一定的數據交換協議，使得通信雙方能夠滿足兩個條件：接收方能夠鑒別發送方所宣稱的身份；發送方不能否認發送過數據的事實。比如，通信的雙方采用公鑰體制，發送方使用接收方的公鑰和自己的私鑰加密信息，只有接收方憑借自己的私鑰和發送方的公鑰解密之后才能讀懂，而對于接收方的回執也是同樣道理。

3.內外網隔離技術

采用防火墻技術可以將內部網絡與外部網絡進行隔離，對內部網絡進行保護。并且，還可以防止影響一個網段的問題在整個網絡傳播。防火墻技術是實現內外網的隔離與訪問控制，保護內部網安全的最主要、最有效、最經濟的措施。

4.入侵檢測技術

利用防火墻技術，通常能夠在內外網之間提供安全的網絡保護，降低網絡的安全風險。但是，僅利用防火墻，網絡安全還遠遠不夠，例如，入侵者會尋找防火墻背后可能敞開的后門、入侵者可能就在防火墻內等。

入侵檢測的目的就是提供實時的檢測及采取相應的防護手段，以便對進出各級局域網的常見操作進行實時檢查、監控、報警和阻斷，從而防止針對網絡的攻擊與犯罪行為，阻止黑客的入侵。

5.訪問控制技術

訪問控制是維護計算機網絡系統安全、保護計算機資源的重要手段，是保證網絡安全最重要的核心策略之一。訪問控制就是給用戶和用戶組賦予一定的權限，控制用戶和用戶組對目錄、子目錄、文件與其他資源的訪問，以及指定用戶對這些文件、目錄及設備能夠執行的操作。受托者指派和繼承權限屏蔽是實現訪問控制的兩種方式。受托者指派控制用戶和用戶組如何使用網絡服務器的目錄、文件與設備；繼承權限屏蔽相當于一個過濾器，可以限制子目錄從父目錄那里繼承哪些權限。根據訪問權限將用戶分為以下幾類：①特殊用戶，即系統管理員；②一般用戶，系統管理員根據用戶的實際需要為他們分配操作權限；③審計用戶，負責網絡的安全控制與資源使用情況的審計。用戶對網絡資源的訪問權限可以用訪問控制表來描述。

6.審計技術

審計技術是記錄用戶使用計算機網絡系統進行所有活動的過程，記錄系統產生的各類事件。審計技術是提高安全性的重要方法，它不僅能夠識別誰訪問了系統，還能指出系統正被怎樣使用。對系統事件進行記錄，能夠更迅速和系統地識別系統出現的問題，為事故處理提供重要依據。另外，通過對安全事件的不斷收集與積累，并且加以分析，以及有選擇地對其中的某些用戶進行審計跟蹤，可以發現并為證明其破壞性行為提供有力的證據。

7.安全性檢測技術

網絡系統的安全性取決于網絡系統中最薄弱的環節。如何及時發現網絡系統中最薄弱的環節？如何最大限度地保證網絡系統的安全？最有效的方法是定期對網絡系統進行安全分析，及時發現并修正存在的弱點和漏洞。

網絡安全檢測（漏洞檢測）是對網絡的安全性進行評估分析，通過實踐性的方法掃描分析網絡系統，檢查系統存在的弱點和漏洞，提出補救措施和安全策略的建議，達到增強網絡安全性的目的。

8.防病毒技術

在網絡環境下，計算機病毒有不可估量的威脅和破壞力，計算機病毒的防范是網絡安全建設中重要的一環。網絡反病毒技術包括預防病毒、檢測病毒和消除病毒3種。

9.備份技術

采用備份技術可以盡可能快地全面恢復運行計算機網絡所需的數據和系統信息。根據系統安全需求可選擇的備份機制有：場地內高速度、大容量自動的數據存儲、備份與恢復；場地外的數據存儲、備份與恢復。備份不僅能在網絡系統硬件故障或人為失誤時起到保護作用，而且，在入侵者非授權訪問，數據完整性面臨破壞時起到保護作用，同時是系統災難恢復的前提之一。

10.終端安全技術

終端安全技術主要解決終端的安全保護問題，一般的安全功能有：基于口令或（和）密碼算法的身份驗證，防止非法使用終端；自主和強制存取控制，防止非法訪問文件；多級權限管理，防止越權操作；存儲設備安全管理，防止非法U盤復制和硬盤啟動；數據和程序代碼加密存儲，防止信息被竊；預防病毒，防止病毒侵襲；嚴格的審計跟蹤，便于追查責任事故。蘋果發布了iOS系統安全技術指南，提供一個針對病毒、惡意軟件，以及其他一些漏洞的安全防護。Android保留和繼承了Linux操作系統的安全機制，而且其系統架構的各個層次都有獨特的安全特性。