网络安全论文资料.docx
《网络安全论文资料.docx》由会员分享,可在线阅读,更多相关《网络安全论文资料.docx(40页珍藏版)》请在冰豆网上搜索。
网络安全论文资料
网络安全论文资料
网络安全论文资料
1.网络安全的概念及其现状
1.1网络安全的概念
国际标准化组织(ISO)将“计算机安全”定义为:
“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。
上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。
1.2网络安全的现状
目前欧州各国的小型企业每年因计算机病毒导致的经济损失高达220亿欧元,而这些病毒主要是通过电子邮件进行传播的。
据反病毒厂商趋势公司称,像SOBIG、Slammer等网络病毒和蠕虫造成的网络大塞车,2005年就给企业造成了550亿美元的损失。
国外网站消息报道,1998及1999年,DOD(美国国防部)两次向外界透露其电脑系统遭到过攻击。
在2001年一年里共遭到14,500次黑客攻击,只有70次攻击成功。
在这70次当中,有3次造成过危害。
黑客及病毒的成功入侵,不是因为黑客及病毒编写者变得如何厉害,而是相对低水平的系统管理员没有成功堵塞系统中存在的漏洞。
他说:
“网络安全问题主要在于人们不会及时打补丁,以及系统管理员没有做他们应当做的工作。
”单单“爱虫”病毒就给美国军事及民用计算机网络造成80亿美元的损失。
然而,长期与曾经威胁过他们的恶意黑客作斗争而进行的服务工作,造成的损失就更大。
从身份窃贼到间谍在内的其他网络危险造成的损失则很难量化,网络安全问题带来的损失由此可见一斑。
1.3网络安全的发展分析
2007年,网络安全界风起云涌,从技术更加精湛的网络注入到隐蔽性更强的钓鱼式攻击,从频频被利用的系统漏洞到悄然运行的木马工具,网络攻击者的手段也更加高明。
网络攻击的发展趋势
综合分析2007年网络攻击技术发展情况,其攻击趋势可以归纳如下:
如今安全漏洞越来越快,覆盖面越来越广
新发现的安全漏洞每年都要增加一倍之多,管理人员要不断用最新的补丁修补这些漏洞,而且每年都会发现安全漏洞的许多新类型。
入侵者经常能够在厂商修补这些漏洞前发现攻击目标。
攻击工具越来越复杂
攻击工具开发者正在利用更先进的技术武装攻击工具。
与以前相比,攻击工具的特征更难发现,更难利用特征进行检测。
攻击工具具有以下特点:
◆反侦破和动态行为
攻击者采用隐蔽攻击工具特性的技术,这使安全专家分析新攻击工具和了解新攻击行为所耗费的时间增多;早期的攻击工具是以单一确定的顺序执行攻击步骤,今天的自动攻击工具可以根据随机选择、预先定义的决策路径或通过入侵者直接管理,来变化它们的模式和行为。
◆攻击工具的成熟性
与早期的攻击工具不同,目前攻击工具可以通过升级或更换工具的一部分迅速变化,发动迅速变化的攻击,且在每一次攻击中会出现多种不同形态的攻击工具。
此外,攻击工具越来越普遍地被开发为可在多种操作系统平台上执行。
攻击自动化程度和攻击速度提高,杀伤力逐步提高
扫描可能的受害者、损害脆弱的系统。
目前,扫描工具利用更先进的扫描模式来改善扫描效果和提高扫描速度。
以前,安全漏洞只在广泛的扫描完成后才被加以利用。
而现在攻击工具利用这些安全漏洞作为扫描活动的一部分,从而加快了攻击的传播速度。
传播攻击。
在2000年之前,攻击工具需要人来发动新一轮攻击。
目前,攻击工具可以自己发动新一轮攻击。
像红色代码和尼姆达这类工具能够自我传播,在不到18个小时内就达到全球饱和点。
越来越不对称的威胁
Internet上的安全是相互依赖的。
每个Internet系统遭受攻击的可能性取决于连接到全球Internet上其他系统的安全状态。
由于攻击技术的进步,一个攻击者可以比较容易地利用分布式系统,对一个受害者连续发动破坏性的攻击。
随着部署自动化程度和攻击工具管理技巧的提高,威胁的不对称性将继续增加。
越来越高的防火墙渗透率
防火墙是人们用来防范入侵者的主要保护措施。
但是越来越多的攻击技术可以绕过防火墙,例如,Internet打印协议和WebDAV(基于Web的分布式创作与翻译)都可以被攻击者利用来绕过防火墙。
对基础设施将形成越来越大的威胁
基础设施攻击是大面积影响Internet关键组成部分的攻击。
由于用户越来越多地依赖Internet完成日常业务,基础设施攻击引起人们越来越大的担心。
基础设施面临分布式拒绝服务攻击、蠕虫病毒、对Internet域名系统(DNS)的攻击和对路由器攻击或利用路由器的攻击。
攻击工具的自动化程度使得一个攻击者可以安装他们的工具并控制几万个受损害的系统发动攻击。
入侵者经常搜索已知包含大量具有高速连接的易受攻击系统的地址块,电缆调制解调器、DSL和大学地址块越来越成为计划安装攻击工具的入侵者的目标。
我们可以从攻击者的角度出发,将攻击的步骤可分为探测(Probe)、攻击(Exploit)和隐藏(Conceal)。
同时,攻击技术据此可分为探测技术、攻击技术和隐藏技术三大类,并在每类中对各种不同的攻击技术进行细分。
IP协议及网络安全问题的整体战略思考
一、引言
NGN,3G,3G演进及NGBW(下一代宽带无线)是目前通信业界非常关注并在不断探讨的热点话题。
人们希望,通过NGN及NGBW来解决目前各类网络中的许多问题,如网络安全问题,QoS问题、智能网管问题,网络的移动性及汇聚与融合问题、前后向兼容平滑演进问题等。
2003年下半年至2004年年中,ITU-TSG13研究组进行的标准化工作取得了不少进展,在新研究期中将集中精力,专注NGN的研究。
2004年6月的ITU-T第13研究组会议上专门组建了一个新的NGN专题组FGNGN(FocusGrouponNGN),以应对NGN发展的紧迫需要,加强和推进NGN方面的研究工作。
目前,已成立七个工作组,分别在业务需求、功能体系架构和移动性,IP-QoS,控制和信令能力、网络安全、网络演进及IP承载能力要求等七个领域进行工作,以满足国际上对全球通用的NGN标准的迫切需求。
至今已完成诸多标准建议草案,对NGN的研究方向、通用参考模型、框架体系、业务需求、网络功能、网络安全及IP承载能力要求、互联互通、服务质量、移动性管理、可管理的IP网络、异构网络性能和NGN网络演进融合方式等各个方面提出了总体要求,为世界各国的通信运营商和设备制造商提供了网络发展和产品研发的思路和依据。
但客观地说,NGN依然存在不少问题和困惑,特别是NGN在分阶段务实发展的同时,如何从战略高度确立其目标框架及目标定义及其与分阶段实施的关系至关重要。
同时,所谓全IP发展NGN的策略是否稳妥,依然有不少怀疑与争议。
本文拟根据IP协议的背景、内涵、作用与外延等一系列问题,重点就进一步发展IP及NGN的理性战略思维问题谈一些个人看法,供分析参考。
二、IP协议及NGN的产生背景与必然性
众所周知,IP或TCP/IP协议是互联网Internet发展的基础。
尽管对NGN的概念、定义、结构,NGN的发展是否应以IP为基础,是否采用所谓全IP等这些最基本的问题尚未获得全球性的统一见解,甚至还存在一些较尖锐的分歧,但NGN的背景与必然性,以及IP协议普及应用的基本作用与外延等一系列问题是明显的。
(1)20世纪末期,对无缝隙覆盖全球个人多媒体通信的需求推动了GII建设的热潮。
基于TCP/IP协议的Internet技术由E-mail和VoIP应用切入,使Internet/Intranet和WWW飞速发展,在全球快速普及,广受欢迎,人们普遍认为这可能是未来GII的一个发展方向。
(2)随着数字传输技术、数字信号处理技术及高级软件技术的进展,对一向处于低效率运作状态的三网分立的局面,人们普遍感到不满意,期望IP协议能成为三网融合的基础,再借助一系列新技术逐步实现三网的融合。
IP协议有可能成为固定与移动通信融合的粘接剂,这对未来全球个人通信及GII的实施至关重要。
(3)以TCP/IP协议为基础的Internet设计的初衷主要是考虑军事应用及提高抗干扰能力,它是以牺牲网络带宽为代价的。
其网络结构及协议也存在一系列问题,是一种非面向连接及尽力而为(BE,BestEfforts)的方式,未顾及移动漫游个性化要求,是一种主要由科研团体和/或政府研究机构松散管理下的一种非商业应用网络。
但进入大规模商用后暴露出来的安全性,QoS,网络智能管理、赢利商业模式等多方面问题,使Internet的NGN2/GNI的发展面临严峻挑战。
目前尚无法找到一种更好的可进行大规模普及操作的网络结构,因此现实的做法理应是集思广益,博采众长,吸收各种新概念、新思路及新技术,使之尽可能全面改进,以尽快满足市场需求,并创造新的增值效益。
从某种意义上讲,这亦是一种不得已而为之的因势利导的现实主义作法。
(4)在“.COM泡沫”的破灭、对“宽带泡沫”的质疑、对3G发展的迷茫及传统电信业务盈利下滑等多种因素的作用下,促使传统运营商与制造商急需寻找出一种能平滑演进、适应市场需求的新一代网络结构与多业务增长途径。
20世纪80年代,PC机控制软件与计算硬件分离,形成充分开放的多厂商竞争环境,最终推动整个计算机业的繁荣与发展,促使人们认真思考未来网络的发展是否应走这条道路。
(5)随着软交换技术及软件无线电技术的诞生与改进,无论是有线网还是无线网,均可采用分层、分面及全开放模式,基于独立的模块化结构,实施业务驱动,使业务、呼叫控制及承载完全分离,从而以优良的性能价格比、前后向兼容的过渡方式,平滑地向新的以IP为基础的网络演进。
这些技术可望成为较现实的新一代网络,即所谓NGN的核心支撑技术。
尽快统一全球标准,与原先提出的GII这一目标进行协调与融合,已成为相关组织(如ITU-T/R,ETSI,IETF,3GPP,3GPP2,ISC/IPCC,TINA/TIMNA,MSF,OMA等)的共同愿望。
尽管在IP协议及NGN问题上,人们在概念、定义和结构等方面均明显存在含混不清及不同理解之处,依然成为全球各大标准组织、运营商、制造商、研究开发及政府相关部门共同关注的热点,并在加紧探索各种务实发展途径。
这无论对固定或移动,对公网/共网及专网,对地面或空间,均是如此。
三、IP化是大势所趋
目前,IP化已是大势所趋,故NGN应以IP为主要考虑前提。
1.NGN发展的目标战略
NGN应是能提供各种多媒体业务的综合网络,支持固定和移动的融合及传统电信业务和广播业务的融合,是有线/无线网络元素、计算机系统、家庭外围设备、智能工具等组成的综合融合环境。
NGN必须能折衷满足不同业务质量及物理接口的要求,在业务管理、网络管理、智能化、个性化服务等方面均可提供完备的机制。
纵观全球,尽管尚未对NGN给出一个统一清晰的定义,但在一些基本点上已达成共识,即NGN是基于分组交换的网络,分组交换一般是基于IP协议;以市场与业务驱动为导向,将呼叫控制与网络传送层及业务层完全分离;网络结构分层,各层间有开放的标准接口;业务承载网与业务网应能有效地彼此分离;核心传送网为高带宽光传送网;网络具有满意的服务质量保证和合理的安全保证;网络是可维护、可运营的,并且是可赢利的多业务网络;网络应支持包括终端移动性和用户移动性在内的广泛移动性。
从广义角度看,应该说,NGN是一种目标网络,而不是下一代Internet网,亦不是下一代PSTN电话网及下一代电信网与下一代有线电视网及广播电视网,而是由新的分组交换传送及以IP协议为基础的融语音、视象、数据于一体的一种全新的网络。
它将真正使网络设施不受时间、空间和带宽的限制,充分实现网络的个性化与个体化,使基于网络的虚拟世界与现实世界完美地融合起来,具有所谓接近于零的网络时延与优良的网络端到端QoS性能,令人满意的网络与系统的可靠性与可用性,以及足以信赖的网络安全性。
网络管理可达到全局智能化,既有利于可赢利商业模式运作的集中智能网管,又可将网络智能分布化,保持与发扬Internet终端智能化的长处,摒弃其整体网管弱智与缺乏可赢利商业模式运作的严重缺憾。
网络接入可达到普遍灵活、多样化、个性化的5W(5A)方式的无缝隙宽带接入,有跨协议、跨标准国际漫游能力,以市场与业务驱动为导向,将呼叫控制与网络传送层及业务层完全分离,可进行服务的快速布设与移植,可充分利用平台的分布性、开放性与标准性,积极调动运营商及第三方的创造性。
它是具有快速丰富业务种类与市场应用等特征的一种理想化的网络,可充分满足社会与个人愈来愈高的综合性全球通信要求,具有多业务、高质量、宽带化、分组化、智能化、移动性、分组性、安全性、开放性、分布性、兼容性及可管理性与可赢利性等一系列全业务综合运作的基本特征。
这是目前Internet网、电信网、移动网、广播电视网及专用通信网等均不能全面具备的基本特征,亦是它们按NGN定义与框架目标要求进一步演进、集成、协同、汇聚与融合所期望达到的目标要求的基本特征。
因此,各类在NGN概念导引下前向演进产生的新一代网络均为NGN集合的子集。
显然,按上述框架目标实施的NGN决不可能轻而易举地一步到位,必然是一个积极稳妥、科学务实地分阶段向GII逐步演进发展的漫漫征途。
因此,从定义和实施策略看,制定明确、科学、稳健的长远性及各阶段性的NGN务实发展步骤依然十分必要。
应该说,从现在至今后五到十五年左右,NGN依然处在其初始发展阶段。
在此阶段,应较好地解决启动问题,坚定地迈出成功的第一步。
这一方面需要较满意地完成NGN的确切定义、基本框架目标、阶段实施途径等基本标准化工作,另一方面NGN的三大组成部分,即下一代因特网(GNI)、下一代电信网(NGTN)、下一代移动网(NGMN)均应根据自身发展基础,积极按NGN的基本概念、定义、目标要求等制订与实施务实发展策略,从技术层面、系统结构与市场模式彼此渗透,并一步步汇聚与有机融合。
例如,GNI应以引入IPv6以及网格技术与业务为中心,同时改进TCP/UDP等一系列相关协议,使GNI在未来宽带多媒体、多业务时代首先实现可管理、可赢利。
NGTN以软交换技术为核心,试验探索及启动实施则基于TDM的电路型PSTN语音网络和ATM/IP分组型网络向初级NGN网络的融合演进,使所期望的NGN低建设成本、低运营花费、多业务高创收、有效的前后向兼容平滑演进及充分发挥用户积极性和创造性等优点有所体现。
NGMN以3G及3G演进为中心,并有机融合802.xy,包括终端、业务与应用在内,制订与2.5G有差异化的务实发展策略与商业模式。
作为NGN启动发展的有效步骤,以软交换为中心,或以IPv6及网格技术与业务为中心,务实推进是十分必要的。
与此同时,必须站在目标NGN角度,进行更全面与更长远的规划与思考。
以软交换为例,用软交换机改造现有PSTN网络及其“硬”交换机时,切忌将其理解为只是由“硬”到“软”的设备与技术的更替。
这样,很容易回归到PSTN的封闭性理念与框架的怪圈之中,从而违背NGN目标的初衷。
就NGTN而言,它不仅仅是由TDM技术转化为IP分组技术。
从应用与多业务层面看,更重要的是应按NGN目标框架,将原有僵化的端到端连接型控制机制转变为灵活、丰富、多样化的会话型控制机制,将原有的由个体网元集中控制的管理模式转变为资源自适应均衡调配的分布式网络控制管理模式,将原有缺乏前向扩展能力的单一业务垄断经营模式转变为多业务/综合业务的共赢价值链经营模式,并充分发挥第三方的天才与创造性。
在具体规划和实施各类NGN起步工作时,应时刻牢记、并有效贯彻这些总目标。
2.NGN应以IP为主要考虑前提
如上所述,NGN以分组交换传送为基础及多(全)业务网络的分组化在IP,MPLS,ATM和Ethernet方面已获得共识。
很明显,MPLS及Ethernet与IP是完全可以协调发展的,主要分歧仅在于IP与ATM谁更适合。
这依然是一个重要问题,因为它对确定NGN的发展基础与前提至关紧要。
在确立NGN的基本发展策略时,应根据其基本技术特征与长期的市场检验和选择的结果,明确NGN以分组交换为基础,以IP为主要考虑前提,否则将无益于推进以IP为基础的NGN的创新与发展。
当然,并不排斥在NGN的阶段发展过程中充分合理地利用ATM在一定阶段上尚存在的可能作用与价值,以及吸取ATM的某些有益理念,使NGN以IP为基础的QoS控制及VPN的发展获得强有力的支撑。
退一步说,如果ATM果真出现奇迹般的长进,比起更新演进后的IP来,全局含义上更为合适,也可由市场作出最后抉择。
但归根结蒂,在这一点上至今并未发现有任何可能的迹象,因此认定NGN以分组交换为基础,以IP为主要考虑前提,应该是一种明智的现实选择。
事实上,ATM的兴衰亦与数据交换的发展紧密相关。
应该说,ATM是后来者,它比Ethernet及Internet晚了近2O年,比个人电脑亦晚了近15年。
上世纪9O年代初,在语音/数据集成及端到端QoS控制方面,ATM深受青睐,当时人们甚至认为,以太网交换技术仅仅是延长其陈旧技术生命的一种权宜之计而已。
因为从最佳系统设计的负荷平衡理论观点看,以太网速率低,集线器采用共享式的CSMA/CD(载波侦听多址连接/冲突检测)模式运作,当用户上网增多时,就会导致传送瓶颈,更谈不上QoS保证。
因此,千兆比第三层交换机出现之前,ATM被视为更新核心网交换的惟一合适途径。
然而,始料不及的是,市场驱动的魔力使以太网经受住了严峻的挑战,七年内将网络速度提高了两个量级。
而ATM的所谓端到端连接忽视了至关重要的台式机用户,需要在终端用户处附加许多软硬件设备。
从节省成本角度看,快速以太网显然占上风。
而且,ATM/以太网的混合环境使网络分割与重组开销很大,在图像处理等计算密集场合无法容忍,ATM的很多应用便显得缺乏实用性。
ATM的结构严谨,但缺乏灵活性,且价格昂贵。
以太网的GB/1OGB高速交换的进展及由LAN向MAN/WAN的扩展,Internet及IP的爆炸性增长与IPQoS的逐步进展,终于使人们认定,ATM只能退居市场中的过渡地位,逐步走下坡路,这是市场选择的结果。
与此同时,人们对IPQoS的信心与决心日益增加。
由于传输资源的紧缺与昂贵,本来可利用提高节点设备ATM交换机的复杂度和提供QoS控制能力以换取传输资源带宽能力的不足,这是一种有效的互补性选择。
但历史的发展证明,不用说核心层面,甚至接入层面,带宽资源已愈来愈显得不那么稀缺昂贵。
同时,IP技术带来的多业务的增值灵活性、价位的吸引力以及日益完善的IP-QoS技术的安全性,使移动、固定及卫星通信等原本资源最受限的无线传输与接入手段亦均无例外地选择ATM作为一种过渡的权宜之计,而将长远目标均锁定在以IP为基础上。
3G及3G演进的全IPNGWB选择即为其明显示例,且未引起过多的质疑。
因此,围绕ATM与IP选择的争论实际上是没有必要的。
认为NGN以分组交换为基础,以IP为主要考虑前提,应该是一种明智有益且较现实的选择。
3.以用户新业务需求为驱动力IP化已成全球发展现实
如上所述,以IP为基础的Internet的普及商用成功已造就一张覆盖全球的Internet大网。
在此大网上,尽管有大量的麻烦与问题不断产生,但也已有大量IP业务在运行和使用,亦有大量支持IP的业务开发人员、运行维护人员在运作,并正在投入大量人力、物力与财力,针对IP商用暴露出来的弊端对IP技术进行改进,大力开发各类IP新业务与新应用,努力推进IPv6,GNI,100×1OO项目及美国国防网格网,向目标NGN迈进,这已是不争的事实。
实践证明,业务与承载可分离的充分开放的IP平台为业务与应用创新提供了广阔的发展空间,门户网站、搜索引擎,P2P(PeertoPeer)等应用无一不是其开放性的创新硕果。
随着IPQoS的一步步改进,VoIP不仅在专线专网,而且在长途/本地市话方面,包括VoIP的O/P-WLAN运用在内,均已经或正在逐步走向成熟,逐步达到电信级运营要求。
IP平台上的宽带数据业务,包括(准)实时流媒体及视频业务IPTV等均已显露出其芒锋与潜力。
即便对ATM而言,亦未历经大规模、大范围视频业务的传送检验。
如果要投入巨大的人力、财力、物力去尝试E-mail/WWW/FTP/TelNet乃至(准)实时流媒体、双向视频overTDM/ATM等,简直不堪设想。
因此,目前逐步由IPoverEverything转移至EverythingoverIP绝非偶然,这是市场需求导向检验与选择的结果。
虽然在这一进程中并非一切尽善尽美,但以用户新业务需求为驱动力的IP化,确实成了大势所趋,已在全球成为无可否认的现实。
四、IP协议存在的问题与发展的战略思考
1.IP协议的问题所在
如上所述,根据以TCP/IP协议为基础的Internet的发展历程可知,IP协议最可取的内涵与作用在于其充分的开放透明性与灵活有效的多业务增值能力。
然而,在开放透明的同时,也往往更容易“充分暴露”,自然也容易受到攻击。
在Internet商用化后暴露出来的一系列问题中,最棘手、解决难度最大的问题就是安全性问题。
对IP协议的安全性问题,最尖锐的观点来自TINA/TIMNA。
TINA/TIMNA的观点很明确,认为NGN不应该是“全IP化的网络”,而应该是一种以“中间件(Middleware)为基础的网络。
TINA支持ITU-T建议Y.130的ICA(信息通信结构,InformationCommunicationArchitecture),认为Internet及其IP网的三大缺陷是安全失控,QoS无保障及网管弱智。
全IP化即使使用IPv6也不能有本质性的变化,必须从中间件层入手,才能真正取得隔离功能及解决安全问题。
IP协议结构象“明信片”,源/目的地和内容三者关联,全局暴露,是其易受攻击与无法解决好安全性问题的根本所在。
“IP决定一切”违背分层网设计“应用决定一切”的公认理念,造成事实上的本末倒置。
有结构的进化,才能有功能的突破。
“未来网技术IP不是惟一的选择”。
TINA支持以ICA为基础向NGN演进。
应该说,TINA/TIMNA提出的看法是有价值的,尤其是它一针见血地指出了IP协议安全失控的本质所在。
实际上,仔细分析PSTN,ATM及IP网络结构可更充分理解IP网易受攻击的原委。
一般情况下,安全攻击多半在终端发起。
PSTN的终端本质上是傻瓜型,兼之PSTN的收费模式,若想在终端入手发起大规模攻击,成本很高,难以操作。
在PSTN的用户端与网络端,UNI与NNI彼此分离,业务的提供及控制权均在运营商手中。
没有运营商的参与,用户难于在终端玩新花样、播发病毒及发动攻击。
就算客户想做手脚,追查亦较方便。
因为PSTN对所有终端均按E.164码号规则赋予全球惟一的公开编号。
此外,当PSTN提供IP网接入服务时,PSTN仅作为IP网的链路层接入,IP数据只是在PSTN上透传,故无法在PSTN接入IP之际从IP网攻击PSTN。
由此可以看出,PSTN的网络与终端安全性较好,而其丧失的则是灵活有效的宽带多业务增值能力。
ATM虽然同属分组型技术,但ATM并无直接的终端业务与用户。
对用户而言,只是提供一个逻辑“专网”。
用户只能在自己的“专网”中运作,无能力亦无可能发送ATM网络可识别或要识别的信令与业务数据。
同样,ATM的UNI与NNI是分离的,网络只是为用户提供透传功能,其信令、业务数据等对用户而言是不可见的,用户无法产生恶意数据对ATM进行攻击。
相应地,ATM网络与网
升级会员 