搜索
1.网络安全的概念及其现状1.1网络安全的概念国际标准化组织(ISO)将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。1.2网络安全的现状目前欧州各国的小型企业每年因计算机病毒导致的经济损失高达220亿欧元,而这些病毒主要是通过电子邮件进行传播的。据反病毒厂商趋势公司称,像SOBIG、Slammer等网络病毒和蠕虫造成的网络大塞车,2005年就给企业造成了550亿美元的损失。国外网站消息报道,1998及1999年,DOD(美国国防部)两次向外界透露其电脑系统遭到过攻击。在2001年一年里共遭到14,500次黑客攻击,只有70次攻击成功。在这70次当中,有3次造成过危害。黑客及病毒的成功入侵,不是因为黑客及病毒编写者变得如何厉害,而是相对低水平的系统管理员没有成功堵塞系统中存在的漏洞。他说:“网络安全问题主要在于人们不会及时打补丁,以及系统管理员没有做他们应当做的工作。”单单“爱虫”病毒就给美国军事及民用计算机网络造成80亿美元的损失。然而,长期与曾经威胁过他们的恶意黑客作斗争而进行的服务工作,造成的损失就更大。从身份窃贼到间谍在内的其他网络危险造成的损失则很难量化,网络安全问题带来的损失由此可见一斑。1.3网络安全的发展分析2007年,网络安全界风起云涌,从技术更加精湛的网络注入到隐蔽性更强的钓鱼式攻击,从频频被利用的系统漏洞到悄然运行的木马工具,网络攻击者的手段也更加高明。网络攻击的发展趋势综合分析2007年网络攻击技术发展情况,其攻击趋势可以归纳如下:如今安全漏洞越来越快,覆盖面越来越广新发现的安全漏洞每年都要增加一倍之多,管理人员要不断用最新的补丁修补这些漏洞,而且每年都会发现安全漏洞的许多新类型。入侵者经常能够在厂商修补这些漏洞前发现攻击目标。攻击工具越来越复杂攻击工具开发者正在利用更先进的技术武装攻击工具。与以前相比,攻击工具的特征更难发现,更难利用特征进行检测。攻击工具具有以下特点:◆反侦破和动态行为攻击者采用隐蔽攻击工具特性的技术,这使安全专家分析新攻击工具和了解新攻击行为所耗费的时间增多;早期的攻击工具是以单一确定的顺序执行攻击步骤,今天的自动攻击工具可以根据随机选择、预先定义的决策路径或通过入侵者直接管理,来变化它们的模式和行为。◆攻击工具的成熟性与早期的攻击工具不同,目前攻击工具可以通过升级或更换工具的一部分迅速变化,发动迅速变化的攻击,且在每一次攻击中会出现多种不同形态的攻击工具。此外,攻击工具越来越普遍地被开发为可在多种操作系统平台上执行。攻击自动化程度和攻击速度提高,杀伤力逐步提高扫描可能的受害者、损害脆弱的系统。目前,扫描工具利用更先进的扫描模式来改善扫描效果和提高扫描速度。以前,安全漏洞只在广泛的扫描完成后才被加以利用。而现在攻击工具利用这些安全漏洞作为扫描活动的一部分,从而加快了攻击的传播速度。传播攻击。在2000年之前,攻击工具需要人来发动新一轮攻击。目前,攻击工具可以自己发动新一轮攻击。像红色代码和尼姆达这类工具能够自我传播,在不到18个小时内就达到全球饱和点。越来越不对称的威胁Internet上的安全是相互依赖的。每个Internet系统遭受攻击的可能性取决于连接到全球Internet上其他系统的安全状态。由于攻击技术的进步,一个攻击者可以比较容易地利用分布式系统,对一个受害者连续发动破坏性的攻击。随着部署自动化程度和攻击工具管理技巧的提高,威胁的不对称性将继续增加。越来越高的防火墙渗透率防火墙是人们用来防范入侵者的主要保护措施。但是越来越多的攻击技术可以绕过防火墙,例如,Internet打印协议和WebDAV(基于Web的分布式创作与翻译)都可以被攻击者利用来绕过防火墙。对基础设施将形成越来越大的威胁基础设施攻击是大面积影响Internet关键组成部分的攻击。由于用户越来越多地依赖Internet完成日常业务,基础设施攻击引起人们越来越大的担心。基础设施面临分布式拒绝服务攻击、蠕虫病毒、对Internet域名系统(DNS)的攻击和对路由器攻击或利用路由器的攻击。攻击工具的自动化程度使得一个攻击者可以安装他们的工具并控制几万个受损害的系统发动攻击。入侵者经常搜索已知包含大量具有高速连接的易受攻击系统的地址块,电缆调制解调器、DSL和大学地址块越来越成为计划安装攻击工具的入侵者的目标。我们可以从攻击者的角度出发,将攻击的步骤可分为探测(Probe)、攻击(Exploit)和隐藏(Conceal)。同时,攻击技术据此可分为探测技术、攻击技术和隐藏技术三大类,并在每类中对各种不同的攻击技术进行细分。IP协议及网络安全问题的整体战略思考一、引言NGN,3G,3G演进及NGBW(下一代宽带无线)是目前通信业界非常关注并在不断探讨的热点话题。人们希望,通过NGN及NGBW来解决目前各类网络中的许多问题,如网络安全问题,QoS问题、智能网管问题,网络的移动性及汇聚与融合问题、前后向兼容平滑演进问题等。2003年下半年至2004年年中,ITU-TSG13研究组进行的标准化工作取得了不少进展,在新研究期中将集中精力,专注NGN的研究。2004年6月的ITU-T第13研究组会议上专门组建了一个新的NGN专题组FGNGN(FocusGrouponNGN),以应对NGN发展的紧迫需要,加强和推进NGN方面的研究工作。目前,已成立七个工作组,分别在业务需求、功能体系架构和移动性,IP-QoS,控制和信令能力、网络安全、网络演进及IP承载能力要求等七个领域进行工作,以满足国际上对全球通用的NGN标准的迫切需求。至今已完成诸多标准建议草案,对NGN的研究方向、通用参考模型、框架体系、业务需求、网络功能、网络安全及IP承载能力要求、互联互通、服务质量、移动性管理、可管理的IP网络、异构网络性能和NGN网络演进融合方式等各个方面提出了总体要求,为世界各国的通信运营商和设备制造商提供了网络发展和产品研发的思路和依据。但客观地说,NGN依然存在不少问题和困惑,特别是NGN在分阶段务实发展的同时,如何从战略高度确立其目标框架及目标定义及其与分阶段实施的关系至关重要。同时,所谓全IP发展NGN的策略是否稳妥,依然有不少怀疑与争议。本文拟根据IP协议的背景、内涵、作用与外延等一系列问题,重点就进一步发展IP及NGN的理性战略思维问题谈一些个人看法,供分析参考。二、IP协议及NGN的产生背景与必然性众所周知,IP或TCP/IP协议是互联网Internet发展的基础。尽管对NGN的概念、定义、结构,NGN的发展是否应以IP为基础,是否采用所谓全IP等这些最基本的问题尚未获得全球性的统一见解,甚至还存在一些较尖锐的分歧,但NGN的背景与必然性,以及IP协议普及应用的基本作用与外延等一系列问题是明显的。(1)20世纪末期,对无缝隙覆盖全球个人多媒体通信的需求推动了GII建设的热潮。基于TCP/IP协议的Internet技术由E-mail和VoIP应用切入,使Internet/Intranet和飞速发展,在全球快速普及,广受欢迎,人们普遍认为这可能是未来GII的一个发展方向。(2)随着数字传输技术、数字信号处理技术及高级软件技术的进展,对一向处于低效率运作状态的三网分立的局面,人们普遍感到不满意,期望IP协议能成为三网融合的基础,再借助一系列新技术逐步实现三网的融合。IP协议有可能成为固定与移动通信融合的粘接剂,这对未来全球个人通信及GII的实施至关重要。(3)以TCP/IP协议为基础的Internet设计的初衷主要是考虑军事应用及提高抗干扰能力,它是以牺牲网络带宽为代价的。其网络结构及协议也存在一系列问题,是一种非面向连接及尽力而为(BE,BestEfforts)的方式,未顾及移动漫游个性化要求,是一种主要由科研团体和/或政府研究机构松散管理下的一种非商业应用网络。但进入大规模商用后暴露出来的安全性,QoS,网络智能管理、赢利商业模式等多方面问题,使Internet的NGN2/GNI的发展面临严峻挑战。目前尚无法找到一种更好的可进行大规模普及操作的网络结构,因此现实的做法理应是集思广益,博采众长,吸收各种新概念、新思路及新技术,使之尽可能全面改进,以尽快满足市场需求,并创造新的增值效益。从某种意义上讲,这亦是一种不得已而为之的因势利导的现实主义作法。(4)在“.COM泡沫”的破灭、对“宽带泡沫”的质疑、对3G发展的迷茫及传统电信业务盈利下滑等多种因素的作用下,促使传统运营商与制造商急需寻找出一种能平滑演进、适应市场需求的新一代网络结构与多业务增长途径。20世纪80年代,PC机控制软件与计算硬件分离,形成充分开放的多厂商竞争环境,最终推动整个计算机业的繁荣与发展,促使人们认真思考未来网络的发展是否应走这条道路。(5)随着软交换技术及软件无线电技术的诞生与改进,无论是有线网还是无线网,均可采用分层、分面及全开放模式,基于独立的模块化结构,实施业务驱动,使业务、呼叫控制及承载完全分离,从而以优良的性能价格比、前后向兼容的过渡方式,平滑地向新的以IP为基础的网络演进。这些技术可望成为较现实的新一代网络,即所谓NGN的核心支撑技术。尽快统一全球标准,与原先提出的GII这一目标进行协调与融合,已成为相关组织(如ITU-T/R,ETSI,IETF,3GPP,3GPP2,ISC/IPCC,TINA/TIMNA,MSF,OMA等)的共同愿望。尽管在IP协议及NGN问题上,人们在概念、定义和结构等方面均明显存在含混不清及不同理解之处,依然成为全球各大标准组织、运营商、制造商、研究开发及政府相关部门共同关注的热点,并在加紧探索各种务实发展途径。这无论对固定或移动,对公网/共网及专网,对地面或空间,均是如此。三、IP化是大势所趋目前,IP化已是大势所趋,故NGN应以IP为主要考虑前提。1.NGN发展的目标战略NGN应是能提供各种多媒体业务的综合网络,支持固定和移动的融合及传统电信业务和广播业务的融合,是有线/无线网络元素、计算机系统、家庭外围设备、智能工具等组成的综合融合环境。NGN必须能折衷满足不同业务质量及物理接口的要求,在业务管理、网络管理、智能化、个性化服务等方面均可提供完备的机制。纵观全球,尽管尚未对NGN给出一个统一清晰的定义,但在一些基本点上已达成共识,即NGN是基于分组交换的网络,分组交换一般是基于IP协议;以市场与业务驱动为导向,将呼叫控制与网络传送层及业务层完全分离;网络结构分层,各层间有开放的标准接口;业务承载网与业务网应能有效地彼此分离;核心传送网为高带宽光传送网;网络具有满意的服务质量保证和合理的安全保证;网络是可维护、可运营的,并且是可赢利的多业务网络;网络应支持包括终端移动性和用户移动性在内的广泛移动性。从广义角度看,应该说,NGN是一种目标网络,而不是下一代Internet网,亦不是下一代PSTN电话网及下一代电信网与下一代有线电视网及广播电视网,而是由新的分组交换传送及以IP协议为基础的融语音、视象、数据于一体的一种全新的网络。它将真正使网络设施不受时间、空间和带宽的限制,充分实现网络的个性化与个体化,使基于网络的虚拟世界与现实世界完美地融合起来,具有所谓接近于零的网络时延与优良的网络端到端QoS性能,令人满意的网络与系统的可靠性与可用性,以及足以信赖的网络安全性。网络管理可达到全局智能化,既有利于可赢利商业模式运作的集中智能网管,又可将网络智能分布化,保持与发扬Internet终端智能化的长处,摒弃其整体网管弱智与缺乏可赢利商业模式运作的严重缺憾。网络接入可达到普遍灵活、多样化、个性化的5W(5A)方式的无缝隙宽带接入,有跨协议、跨标准国际漫游能力,以市场与业务驱动为导向,将呼叫控制与