3.1.2 GB17859划分的特点
GB17859把计算机信息安全保护能力划分为5个等级,它们是:系统自我保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。这5个级别的安全强度从低到高排列让高一级包括低一级的安全能力,如表3-2所示。
表3-2 GB17859的划分标准
安全能力 自主访问控制 强制访问控制 标记 身份鉴别 客体重用 审计 数据完整 隐蔽信道分析 可信路径 可信恢复 一级 √ √ 二级 ∈ 三级 ≡ √ √ 四级 ≡ ∈ ∈ ≡ ≡ ∈ ≡ √ √ 五级 ≡ ≡ ≡ ≡ ≡ ∈ ≡ ≡ ≡ √ ∈ √ √ ∈ ≡ ∈ ∈ √ ≡ 注: “√”:新增功能;“∈”:比上一级功能又所扩展;“≡”:与上一级功能相同。 3.1.3安全等级标准模型
计算机信息系统的安全模型主要又访问监控器模型、军用安全模仿和信息流模型等
三类模型,它们是定义计算机信息系统安全等级划分标准的依据。
(1)访问监控模型:是按TCB要求设计的,受保护的客体要么允许访问,要么不允许访问。
(2)常用安全模型:是一种多级安全模型,即它所控制的信息分为绝密、机密、秘密和无密4种敏感级。
(3)信息流模型:是计算机中系统中系统中信息流动路径,它反映了用户在计算机系统中的访问意图。信息流分直接的和间接的两种。
10
3.2 防火墙技术
随着网络安全问题日益严重,网络安全技术和产品也被人们逐渐重视起来,防火墙作为最早出现的网络安全技术和使用量最大的网络安全产品,受到用户和研发机构的亲睐。
3.2.1防火墙的基本概念与作用
防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合,它执行预先制定的访问控制策略,决定了网络外部与网络内部的访问方式。
在网络中,防火墙实际是一种隔离技术,它所执行的隔离措施有: (1)拒绝未经授权的用户访问内部网和存取敏感数据。 (2)允许合法用户不受妨碍地访问网络资源。
而它的核心思想是在不安全的因特网环境中构造一个相对安全的子网环境,其目的是保护一个网络不受另一个网络的攻击,所以防火墙又有以下作用:
(1)作为网络安全的屏障。一个防火墙作为阻塞节点和控制节点能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险,只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。
(2)可以强化网络安全策略。通过以防火墙为中心的安全方案配置,能将所有的安全软件配置在防火墙上,体现集中安全管理更经济。
(3)对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据,当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。 (4)防止内部信息的外泄。通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。 (5)支持具有因特网服务性的企业内部网络技术体系VPN。
3.2.2 防火墙的工作原理
从防火墙的作用可以看出,防火墙必须具备两个要求:保障内部网安全和保障内部网和外部网的联通。因此在逻辑上防火墙是一个分离器、限制器、分析器
[12]
。有效地
监控了内部网和外部网的任何活动,保证了内部网络的安全,其一般逻辑位置如图3-1所示。
11
图3-1 防火墙的逻辑示意图
防火墙根据功能实现在TCP/IP网络模型中的层次,其实现原理可以分为三类:在网络层实现防火墙功能为分组过滤技术;在应用层实现防火墙功能为代理服务技术;在网络层,IP层,应用层三层实现防火墙为状态检测技术。 (1)分组过滤技术
实际上是基于路由器技术,它通常由分组过滤路由器对IP分组进行分组选择,允许或拒绝特定的IP数据包,工作于IP层。如表3-3 所示。
表3-3 分组过滤技术工作特点
5、应用层 4、TCP层 3、IP层 输入数据流 2、数据链路层 1、物理层 输出数据流 过滤一般基于一个IP分组的以下各域:第一、源/目的IP地址;第二、TCP/UDP源/目的端口。前者的过滤,即根据制定的安全规则,过滤掉具有特定IP地址的数据分组,从而保护内部网络;后者则是为分组过滤提供了更大的灵活性。 (2)代理服务技术
以一个高层的应用网关作为代理服务器,接受外来的应用连接请求,在代理服务器上进行安全检查后,再与被保护的应用服务器连接,使外部用户可以在受控制的前提下使用内部网络的服务,如图3-2所示。
12
发送请求 客 户 转发请求 转发请求 请求响应
图 3-2 代理服务器原理示意
代理服务技术工作在应用层,其工作情况如表3-3所示。
表3-3 代理服务技术工作特点
输入数据流 5、应用层 4、TCP层 3、IP层 2、数据链路层 1、物理层 输出数据流
由于代理服务作用于应用层,它能解释应用层上的协议,能够作复杂和更细粒度的访问控制;同时,由于所有进出服务器的客户请求必须通过代理网关的检查,可以作出精细的注册和审计记录,并且可以与认证、授权等安全手段方便地集成,为客户和服务提供更高层次的安全保护。 (3)状态检测技术
此技术工作在IP/TCP/应用层,它结合了分组过滤和代理服务技术的特点,它同分组过滤一样,在应用层上检查数据包的内容,分析高层的协议数据,查看内容是否符合网络安全策略。如表3-4所示。
13
表3-4状态检测技术工作情况
5、应用层 输入数据流 4、TCP层 3、IP层 2、数据链路层 1、物理层 输出数据流 3.3 入侵检测技术
仅仅依赖防火墙并不能保证足够的安全,为了解决非法入侵所造成的各种安全问题,安全厂商提出了建立入侵检测系统的解决方法。入侵检测技术是防火墙技术的有效补充,通过对计算机或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络中或系统中潜在的违反安全策略的行为和被攻击的迹象。
3.3.1 入侵检测系统
入侵检测系统功能构成,包括事件提取、入侵分析、入侵响应和远程管理四部分如
图3-3所示。
图3-3 入侵检测系统组成
入侵检测所利用的信息一般来自以下四个方面:系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。常用的分析方法有模式匹配、统计分析、完整性分析。模式匹配是将收集到的信息与已知的网络入侵和系统
14