網(wǎng)絡(luò)工程師論文發(fā)表研究當(dāng)前網(wǎng)絡(luò)空間技術(shù)的新應(yīng)用改革模式發(fā)展
發(fā)布時(shí)間:2015-03-06所屬分類:科技論文瀏覽:1次
摘 要: 摘要:一個(gè)經(jīng)典的網(wǎng)絡(luò)安全威脅模型,在圖4中我們概括了幾種可能的攻擊和攻擊點(diǎn)����,攻擊能夠成功��,協(xié)議或應(yīng)用必定是脆弱的�。關(guān)于計(jì)算機(jī)和網(wǎng)絡(luò)安全我們必須了解這幾個(gè)點(diǎn)��,在協(xié)議和應(yīng)用的設(shè)計(jì)和實(shí)現(xiàn)中的漏洞和缺陷����,正是攻擊者可以利用的����,試探就是利用漏洞的一種
摘要:一個(gè)經(jīng)典的網(wǎng)絡(luò)安全威脅模型����,在圖4中我們概括了幾種可能的攻擊和攻擊點(diǎn)��,攻擊能夠成功,協(xié)議或應(yīng)用必定是脆弱的。關(guān)于計(jì)算機(jī)和網(wǎng)絡(luò)安全我們必須了解這幾個(gè)點(diǎn)�,在協(xié)議和應(yīng)用的設(shè)計(jì)和實(shí)現(xiàn)中的漏洞和缺陷��,正是攻擊者可以利用的,試探就是利用漏洞的一種方法,攻擊者正是利用有漏洞的協(xié)議和應(yīng)用進(jìn)行試探。
關(guān)鍵詞:網(wǎng)絡(luò)安全,網(wǎng)絡(luò)空間,虛擬服務(wù),網(wǎng)絡(luò)論文發(fā)表
幾個(gè)攻擊和攻擊點(diǎn)的出現(xiàn)正是利用了分層處理原則��,利用TCP/IP協(xié)議中的各層自負(fù)責(zé)的缺陷����,而沒有對(duì)邊界安全進(jìn)行防護(hù),圖4中的安全防護(hù)涉及到的中間防護(hù)過程,對(duì)應(yīng)到TCP/IP協(xié)議模型中,我們可以看出攻擊點(diǎn)1和攻擊點(diǎn)3主要為基于頭部和協(xié)議漏洞的攻擊��,攻擊點(diǎn)2主要為基于流量漏洞的攻擊����,攻擊點(diǎn)4主要為基于驗(yàn)證和流量漏洞的攻擊。
而TCP/IP在各層包含的協(xié)議用于完成各自給定的功能,現(xiàn)行的經(jīng)典協(xié)議在各自偏重的方面有各自的優(yōu)勢(shì),沒有一種協(xié)議框架能夠包含所有已知的攻擊。因此�,漏洞存在于各個(gè)協(xié)議之間的兼容上��,如現(xiàn)行的網(wǎng)絡(luò)層安全通信標(biāo)準(zhǔn)IPSec協(xié)議框架— IPSec協(xié)議簇,它主要包括認(rèn)證頭AH協(xié)議、安全封裝載荷ESP協(xié)議和互聯(lián)網(wǎng)密鑰交換IKE協(xié)議�,能夠提供數(shù)據(jù)加密��、身份認(rèn)證、完整性保護(hù)等安全服務(wù)。但其只能在存在于網(wǎng)絡(luò)層�,而不能對(duì)全部層級(jí)結(jié)構(gòu)提供安全防護(hù)��。如圖5所示各層網(wǎng)絡(luò)中運(yùn)行的通信協(xié)議。
影子的存在使一些問題在解決有了更為之有效的方法,現(xiàn)實(shí)生活的由于影子的存在使得棘手問題能夠在很短的時(shí)間解決�,同樣還能達(dá)到出其不意的效果�。在網(wǎng)絡(luò)系統(tǒng)中正是由于虛擬主機(jī)的出現(xiàn)��,在一定程度上保護(hù)了主機(jī)的安全����。虛擬主機(jī)����,使用特殊的軟硬件技術(shù)����,把一臺(tái)真實(shí)的物理電腦主機(jī)分割成多個(gè)邏輯存儲(chǔ)單元,每個(gè)單元都沒有物理實(shí)體��,但是每一個(gè)邏輯存儲(chǔ)單元都能像真實(shí)的物理主機(jī)一樣在網(wǎng)絡(luò)上工作����,具有獨(dú)立的域名、IP地址(或共享IP地址)以及完整的Internet服務(wù)器功能��。而虛擬主機(jī)技術(shù)是互聯(lián)網(wǎng)服務(wù)器采用的節(jié)省服務(wù)器硬件成本的技術(shù)�,虛擬主機(jī)技術(shù)主要應(yīng)用于HTTP服務(wù),將一臺(tái)服務(wù)器的某項(xiàng)或全部服務(wù)內(nèi)容邏輯劃分為多個(gè)服務(wù)單元��,對(duì)外表現(xiàn)為多個(gè)服務(wù)器��,從而充分利用服務(wù)器硬件資源��。如果劃分是系統(tǒng)級(jí)別的,則稱為虛擬服務(wù)器��。
采用虛擬主機(jī)和虛擬服務(wù)器的方法可以保證從主機(jī)到第一路由器的安全��,即使出現(xiàn)攻擊也能夠保證主機(jī)數(shù)據(jù)不被破壞�,在數(shù)據(jù)恢復(fù)和重新進(jìn)入網(wǎng)絡(luò)鏈接上可以節(jié)約時(shí)間�,尤其在網(wǎng)絡(luò)戰(zhàn)爭(zhēng)中可能成為一種主要使用的手段。
網(wǎng)絡(luò)空間安全沒有戰(zhàn)時(shí)和平時(shí)之分�,在任何時(shí)刻任何地點(diǎn)通過任何方式進(jìn)入互聯(lián)網(wǎng)絡(luò)的設(shè)備都受到威脅��,自以計(jì)算機(jī)技術(shù)為核心的網(wǎng)絡(luò)化時(shí)代以來,這場(chǎng)沒有硝煙的網(wǎng)絡(luò)戰(zhàn)爭(zhēng)就已經(jīng)拉開了帷幕����。在可以預(yù)見的未來����,以網(wǎng)絡(luò)攻擊為前奏的網(wǎng)絡(luò)戰(zhàn)爭(zhēng)將是主宰戰(zhàn)爭(zhēng)的主體�,網(wǎng)絡(luò)空間安全威脅的將是網(wǎng)絡(luò)戰(zhàn)爭(zhēng)形態(tài)發(fā)生變化主要推動(dòng)力��,各國將在網(wǎng)絡(luò)安全技術(shù)和防范水平的提升上展開激烈競(jìng)爭(zhēng)��。在未來誰占據(jù)制信息權(quán)誰將在戰(zhàn)爭(zhēng)中占據(jù)主動(dòng)地位。
1 相關(guān)概念
網(wǎng)絡(luò)空間:是一個(gè)在物理層基于有線或無線傳輸網(wǎng)絡(luò)��,信息層基于信息流動(dòng)��、發(fā)送��、接收��、處理、使用的完整性�、可用性����、可靠性��、有效性��、私密性,認(rèn)知層基于信息語義分析����、態(tài)勢(shì)感知的一致性��、真實(shí)性、正確性��、共享性�,群集層基于族群價(jià)值觀、地緣結(jié)構(gòu)��、政治架構(gòu)�、文化同源、人生觀��、世界觀等貼近度形成的集團(tuán)意識(shí)組構(gòu)而成的多維度����、多層次�、一體化的復(fù)合空間。網(wǎng)絡(luò)空間可以理解為一個(gè)由物理而生理而心理而社會(huì)的大空間概念,是美國等發(fā)達(dá)國家Cyherwar的作用域����,也是我國輿論戰(zhàn)����、法律戰(zhàn)�、心理戰(zhàn)主要研究、運(yùn)用和作用的對(duì)象。
網(wǎng)絡(luò)空間安全:網(wǎng)絡(luò)空間物理結(jié)構(gòu)�、信息結(jié)構(gòu)��、認(rèn)知結(jié)構(gòu)、價(jià)值結(jié)構(gòu)、核心主體利益結(jié)構(gòu)的完整和不受侵害性����。網(wǎng)絡(luò)空間安全是一個(gè)多層次����、多主體����、多維度、多指標(biāo)、體系化的評(píng)估測(cè)度空間�。其指標(biāo)體系結(jié)構(gòu)與值度量空間尺度����,評(píng)測(cè)空間安全的整體性態(tài)����。
2 網(wǎng)絡(luò)空間安全威脅的特點(diǎn)
美國國防部長(zhǎng)羅伯特·蓋茨在2009年6月正式下令成立新的軍用網(wǎng)絡(luò)司令部,是將美空軍于2007年9月I8日成立的臨時(shí)網(wǎng)絡(luò)司令部轉(zhuǎn)為正式編制。美軍組建網(wǎng)絡(luò)司令部真正目的是為打造世界上最強(qiáng)大的“黑客部隊(duì)”。美軍戰(zhàn)略司令部前司令����、空軍少將約翰·布雷德利直言不諱地說:“我們現(xiàn)在花在網(wǎng)絡(luò)攻擊上的時(shí)間遠(yuǎn)超過花在網(wǎng)絡(luò)安保研究上的時(shí)間,因?yàn)榉浅8邔拥娜藢?duì)網(wǎng)絡(luò)攻擊感興趣��。”
從美軍對(duì)網(wǎng)絡(luò)安全重視的程度上我們可以看出:首先��,網(wǎng)絡(luò)空間的進(jìn)攻與防御隱蔽性強(qiáng)�,難以覺察�,一旦發(fā)現(xiàn),常常為時(shí)已晚����。其次����,網(wǎng)絡(luò)空間的進(jìn)攻無疆無界����、無始無終��,防御難度大,很難做到“御敵于國門之外”。再次,網(wǎng)絡(luò)空間的進(jìn)攻����,樣式多�、渠道廣��、手段新��、技術(shù)性強(qiáng),緝查“兇手”難度大,反擊力度和對(duì)象不好把握��,易于“五行不定”��,一旦對(duì)抗失當(dāng)����,很可能“輸?shù)酶筛蓛魞?rdquo;�。最后,網(wǎng)絡(luò)空間的進(jìn)攻具有預(yù)設(shè)目標(biāo)、領(lǐng)域�、等級(jí)、后果的特點(diǎn)����,可精準(zhǔn)運(yùn)用網(wǎng)絡(luò)軍團(tuán)的規(guī)模����、技術(shù)途徑�、入侵方法、突破口��,其防御需采用“威懾�、控制、反制����、反擊”的戰(zhàn)法破擊��。
從網(wǎng)絡(luò)安全威脅概圖可看出繼海、陸����、空�、天之后的一個(gè)全新的作戰(zhàn)環(huán)境��,網(wǎng)絡(luò)戰(zhàn)場(chǎng)安全威脅模式不能再用簡(jiǎn)單的三維模型描述��,如圖1所示。圖中列出的只是一個(gè)概略的描述��,其中各個(gè)方面的威脅還可再進(jìn)行分類��。
3 網(wǎng)絡(luò)空間安全威脅
3.1網(wǎng)絡(luò)空間四要素
1) 通信線路(有無線�、光網(wǎng)路)和通信設(shè)備����。網(wǎng)絡(luò)空間存在的第一要素,是網(wǎng)絡(luò)環(huán)境賴以生存基礎(chǔ)����。
2) 有獨(dú)立處理功能的媒體機(jī)(臺(tái)式、筆記本、手機(jī)等)����。作為人機(jī)交換的媒介����,擔(dān)負(fù)著將人的思想轉(zhuǎn)換為機(jī)器能夠識(shí)別的語言����,在機(jī)器環(huán)境中能夠進(jìn)行交互傳輸?shù)脑瓌?dòng)力提供者。
3) 網(wǎng)絡(luò)軟件支持����。具有特定功能的能夠?yàn)闄C(jī)器識(shí)別的具有自動(dòng)進(jìn)行選路����、迂回等功能和識(shí)別各種設(shè)備能力的軟件�。
4) 實(shí)現(xiàn)數(shù)據(jù)通信和資源共享。網(wǎng)絡(luò)空間發(fā)展的終極目標(biāo),同時(shí)也是信息安全防護(hù)的最高境界�。
造成網(wǎng)絡(luò)空間安全威脅的方面有多種多樣��,我們從網(wǎng)絡(luò)空間的四個(gè)要素入手��,采取分類歸納的方式,對(duì)構(gòu)成網(wǎng)絡(luò)安全威脅的因素進(jìn)行分析建立模型����。
3.2事例
如現(xiàn)在網(wǎng)絡(luò)上隨處可以下載到的控制一臺(tái)計(jì)算機(jī)開機(jī)的軟件����,其界面如圖2所示����,通過這個(gè)小軟件我們可以在局域網(wǎng)上獲取所在同一個(gè)網(wǎng)絡(luò)上的IP地址和本機(jī)的MAC地址�,從而可以輕松的控制一臺(tái)計(jì)算機(jī)的開機(jī),需要做的只是點(diǎn)擊喚醒即可。被喚醒的計(jì)算機(jī)雖然處于關(guān)機(jī)狀態(tài),但是其內(nèi)部網(wǎng)卡控制芯片通過專用連線所送來的電流����,仍然可以接收和處理網(wǎng)絡(luò)上的數(shù)據(jù)包����。
通過這個(gè)軟件我們可以看到隨著現(xiàn)代通信技術(shù)的發(fā)展����,網(wǎng)絡(luò)在網(wǎng)絡(luò)上可以說已經(jīng)沒有秘密可言,保密的措施不論做的多強(qiáng)多大,還是不能杜絕網(wǎng)上泄密的發(fā)生,有時(shí)候我們是無意的�,但是對(duì)于攻擊者來說不這樣認(rèn)為�,他們要求的是達(dá)到自己的目的��。
3.3主要安全威脅
主要的安全威脅包括信息泄露����、完整性破壞�、服務(wù)拒絕、未授權(quán)訪問、假冒�、網(wǎng)絡(luò)可用性的破壞����、重放�、后門、特洛伊木馬、抵賴�、通信量分析�。
參考文獻(xiàn)[5]中國家網(wǎng)絡(luò)信息安全技術(shù)研究所所長(zhǎng)CNCERT/CC副總工杜躍進(jìn)博士對(duì)下一代信息技術(shù)下網(wǎng)絡(luò)安全威脅的特點(diǎn)概括為融合����、泛在、智能和不對(duì)稱。安全威脅的演變向著更多“智能系統(tǒng)”��,更多網(wǎng)絡(luò)和系統(tǒng)互聯(lián)��,更多有價(jià)值目標(biāo)����,更多不同動(dòng)機(jī)的攻擊者幾個(gè)方向變化����。從蠕蟲研究��,到木馬研究(隱蔽��、穿透),到僵尸網(wǎng)絡(luò)研究�,再到路由攻擊��、數(shù)字大炮、蜂群戰(zhàn)術(shù)�,攻擊手段和技術(shù)正在不斷地進(jìn)步��。而新一代信息技術(shù)發(fā)展起來之后,意味著有更多的想法��,更多的機(jī)會(huì)����,更多能力,更多資源��,也意味著攻擊會(huì)造成更大的破壞�。
從形式上分為外部威脅和內(nèi)部威脅。外部威脅包括病毒�、黑客攻擊等形式����,其中拒絕服務(wù)、非法入侵����、釣魚式攻擊����、數(shù)據(jù)竊取和間諜軟件竊密的方式����,來自外部的威脅主要是網(wǎng)絡(luò)中的核心設(shè)備和硬件不能國產(chǎn)化�,以及部分核心人員的防范意識(shí)不強(qiáng),都會(huì)成為威脅網(wǎng)絡(luò)安全的因素�。
從途徑上分為有線和無線威脅�。有線主要指鏈接網(wǎng)絡(luò)的各種實(shí)際存在的線路����,如雙絞線、同軸電纜����、野戰(zhàn)被復(fù)線等��,其中光纖是有線線路,但光纖的保密性能優(yōu)于其它幾種線路��,且光纖其特殊的傳輸屬性����,在當(dāng)前的技術(shù)手段想要竊取光纖信息難度最大。無線傳輸方式是當(dāng)前使用最為廣泛的方式�,由于其方便快捷��,無需架設(shè)太多設(shè)備,成為今后發(fā)展的主要方向��,但其暴露的傳輸電脈沖信號(hào)的特性����,成為竊取最為之方便的手段,只要具有相同的頻點(diǎn)����,就能獲取傳輸?shù)男畔�,而破解傳輸信?hào)的手段和方法只是時(shí)間上的問題����,因此無線技術(shù)的廣泛使用已成為未來發(fā)展的方向�,其安全威脅的也成為研究的重點(diǎn)。
從方式上分為接觸性獲取和非接觸性獲取�。接觸性獲取主要指在網(wǎng)絡(luò)空間中通過物理手段從而獲取傳輸?shù)男畔��,而非接觸性獲取主要指通過傳輸介質(zhì)讀取相關(guān)信息,如U盤的使用����、利用電磁輻射特性�、利用電網(wǎng)傳輸?shù)燃夹g(shù)獲取信息����。
從威脅目標(biāo)上分為有意識(shí)威脅和無意識(shí)威脅。有意識(shí)威脅是指在認(rèn)為的利用某種軟件收集帶有敏感信息的通信或者進(jìn)入未被授權(quán)訪問的隔離網(wǎng)絡(luò)竊取與某一方有利的信息,或者為了達(dá)成個(gè)人的某種目的而采用的手段����。無意識(shí)威脅多發(fā)生在操作過程中或者可能的漏洞沒有發(fā)現(xiàn)而造成的對(duì)己方不利的威脅��。
從攻擊方式上分為主動(dòng)攻擊和被動(dòng)攻擊。被動(dòng)攻擊不干擾網(wǎng)絡(luò)的正常運(yùn)行,只是試圖獲取敏感信息��。這種攻擊形式最為簡(jiǎn)單����,卻能夠?qū)Χ喾N網(wǎng)絡(luò)環(huán)境(如以太網(wǎng)、無線網(wǎng)絡(luò)等廣播型網(wǎng)絡(luò))下的信息保密性造成嚴(yán)重危害。在主動(dòng)攻擊中����,攻擊者不僅能夠偵聽信道�,更能夠主動(dòng)竄改或阻塞網(wǎng)絡(luò)流量�,從而破壞信息完整性、可用性����,因此����,主動(dòng)攻擊必定會(huì)干擾網(wǎng)絡(luò)的正常運(yùn)行�。
這些威脅的一個(gè)總的目的是獲取網(wǎng)絡(luò)傳輸過程中的對(duì)己方有利的信息。因此網(wǎng)絡(luò)威脅自信息產(chǎn)生時(shí)就已經(jīng)存在,并在信息傳輸����、處理��、存儲(chǔ)、銷毀的整個(gè)過程中都威脅著信息的安全,在信息的使用和處理過程中����,不可避免的使信息外泄導(dǎo)致威脅網(wǎng)絡(luò)的安全�,而處理和存儲(chǔ)信息的機(jī)器不可避免的與其他的交換設(shè)備進(jìn)行信息的傳遞��,這就建立了信息傳輸?shù)耐ǖ��,同時(shí)也為信息泄露搭建了平臺(tái),隨著技術(shù)發(fā)展,威脅的方式和種類在不斷地發(fā)生著變化。從信息加密開始,攻防之間不停地進(jìn)行著較量,隨著加密算法的不斷創(chuàng)新對(duì)信息的完整性有了更好的保護(hù),但所需要的處理時(shí)間卻在不斷增加,其時(shí)效性得不到保證����,這已經(jīng)成為制約信息安全的一個(gè)重要因素��。緊隨其后的是實(shí)現(xiàn)遠(yuǎn)距離的傳輸,由于傳輸媒介的制約,中間交換路由的選擇,信息在傳輸過程中需要經(jīng)過的路徑越多����,其被竊聽的可能性越大��,而且一旦傳輸途中一點(diǎn)遭到攻擊,受到影響的不僅僅是傳輸這條路徑的線路,更甚者整個(gè)網(wǎng)絡(luò)都會(huì)暴露在攻擊者的面前。
隨著加密技術(shù)與傳輸技術(shù)的結(jié)合����,加密的方式和手段發(fā)生變化����,由之前的對(duì)單個(gè)信息加密發(fā)展到現(xiàn)在的對(duì)一個(gè)數(shù)據(jù)流的加密�,并且加密的速度隨之提高,竊取和偽造的難度更大,再發(fā)展到現(xiàn)在����,數(shù)字簽名技術(shù)和認(rèn)證技術(shù)使雙方能及時(shí)確認(rèn)和不斷更新自己的密鑰,從而保證了信息傳輸過程的安全����。
從信息的發(fā)送��、傳輸、接收的全過程采用多種方式進(jìn)行信息處理����,確保單個(gè)環(huán)節(jié)出現(xiàn)信息泄露不會(huì)影響到全局安全的體系能夠建立起來����。
3.4主要的攻擊方式
這里所指的攻擊方式是人為的主動(dòng)攻擊��,帶有一定的目的性�。我們可以將攻擊方式分為基于技術(shù)的攻擊和基于實(shí)體的攻擊��。
基于技術(shù)攻擊主要為軟件驅(qū)動(dòng)攻擊:包括與之對(duì)應(yīng)的攻擊方法有基于頭部攻擊����、基于協(xié)議攻擊��、基于驗(yàn)證攻擊��、基于流量攻擊等。
基于實(shí)體攻擊主要通過物理手段搭載攻擊:包括搭線攻擊�、獲取無線電信號(hào)脈沖攻擊����、強(qiáng)干擾壓制攻擊等�,其攻擊難度隨著技術(shù)的發(fā)展呈現(xiàn)出倒三角態(tài)勢(shì),越靠近物理層攻擊的手段局限性越多��,而越靠近應(yīng)用層攻擊成功的可能性越大����,手段越多�,安防措施和手段越難以掌控和實(shí)現(xiàn)。
