在应用层,包头含有需要被传送的数据.但构成下一层(传输层)的包时,传输控制协议(TCP)或用户数据协议(UDP)从应用层将数据全部取来,然后再加装上本层的包头。当构筑再下一层(网间网层)的包时,IP协议将上层的包头与包体全部当作本层的包体,然后再加装上本层的包头。在构筑最后一层(网络接口层)的包时,以太网或其他网络协议将IP层的整个包作为包体,再加上本层的包头。
在数据包过滤系统看来,包的最重要信息是各层依次加上的包头。
2.数据包过滤的工作过程
大多数包过滤系统判断是否传送包时都不关心包的具体内容。作为防火墙,包过滤系统只能进行类似以下情况的操作:不允许任何用户从外部网用Internet登录;允许任何用户往SMPT内部网发电子邮件;只允许某台机器通过NNTP往内部网发新闻。但包过滤不允许进行如下操作:允许某个用户从外部网用Telnet登录而不允许其他用户进行这种操作;允许用户传送一些文件而不允许用户传送其他文件。数据包过滤系统不能识别数据包中的用户信息,同样数据包过滤系统也不能识别数据包中的文件信息。包过滤系统的主要特点是让用户在一台机器上提供对整个网络的保护。以Telnet为例,假定不让客户使用Telnet而将网络中现有机器上的Telnet服务关闭,作为系统管理员在现有的条件下可以做到,但是不能保证在网络中新增机器时,新机器的Telnet服务也被关闭或其他用户就永远不再重新安装Telnet服务。如果有了包过滤系统,由于只要在包过滤中对此进行设置,也就无所谓机器中的Telnet服务是否存在问题了。
路由器是所有用户进出网络的数据流的枢纽。而对有关的保护职能,由网络中的特定位置的过滤路由器来提供。入侵者中使用这种包把他们伪装成来自于内部网。要用包过滤路由器来实现设计的安全规则,唯一的方法是通过参数网络上的包过滤路由器。只有处在这种位置上的包过滤路由器才能通过查看包的源地址,从而辨认出这个包到底是来自于内部网还是来自于外部网。
3.包过滤的优缺点
1)包过滤的优点
包过滤方式有许多优点,其主要优点之一是:仅用一个放置在战略要塞上的包过滤路由器就可保护整个网络。如果站点与因特网间只有一台路由器,那么不管站点规模有多大,只要在这台路由器上设定合适的包过滤,站点就可以获得很好的网络安全保护。包过滤不需要用户软件的支撑,也不要求对用户机进行特别的设置,也没有必要对用户进行任何培训。当包过滤路由器允许包通过时,它看起来与普通的路由器没有任何区别。此时,用户甚至感觉不到包过滤功能的存在,只有在有些报文被禁入和禁出时,用户才认识到它与普通路由器不同。包过滤工作对用户来讲是透明的。这种透明就是可在不要求用户做任何操作的前提下完成包过滤。
2)包过滤的缺点
尽管包过滤系统有许多优点,但它仍有缺点和局限性:在机器中配置包过滤规则比较困难;对包过滤规则的测试也很麻烦;许多产品的包过滤功能有这样或那样的局限性,要找一个比较完整的包过滤产品很难。包过滤系统本身就存在某些缺陷,这些缺陷对系统的安全性的影响要大大超过代理服务对系统安全性的影响。因为代理服务的缺陷仅仅会使数据无法传送,而包过滤的缺陷会使得一些平常应该拒绝的包也能进出网络,这对系统的安全性是一个巨大的威胁。
目前,国内自主开发的网络安全产品刚刚起步,产品品种较少,但是根据中国的有关法律,涉及密码的产品只能使用国家密码管理委员会批准的密码产品。属于计算机信息系统安全专用产品的销售和使用,将遵照公安部于1997年12月发布的《计算机信息系统安全专用产品检测和销售许可证管理办法》执行。《管理办法》明确规定中华人民共和国境内的安全专用产品进入市场销售,实行销售许可证制度。这将使信息安全产品的销售和使用更加规范化、法制化,以确保国家的安全。
7.4信息发布的安全控制
在信息时代,信息安全问题越来越重要。有人预言,信息安全保密将是21世纪世界十大热门课题之一。
长期以来,人们把信息安全理解为对信息的机密性、完整性和可获性的保护,因此它是面向单机、面向数据的。八十年代进入了微机和局域网时代,计算机已从专用机房内延伸到分散的办公桌面乃至家庭,由于它的用户/网络结构比较简单、对称,所以既要依靠技术保护,还要制定人人必须遵守的规定。因此,这个时代的信息安全是面向网络管理的。九十年代进入了互联网时代,每个用户都可以连接、使用乃至控制散布在世界上各个角落的上网计算机,因此Internet的信息安全内容更多,更为强调面向连接、面向用户。因为在这个崭新的世界里,人与计算机的关系发生了质的变化。人、网、环境相结合,形成了一个复杂的大系统。通过网上交流,人的智能和计算机快速运行的能力汇集并融合起来,创造了新的社会生产力,丰富着大量应用(电子商务,网上购物等等)和满足着人们的各种社会需要(交流、学习、医疗、消费、娱乐、安全感、安全环境等等)。
在这个复杂巨系统中,“人”以资源使用者的身份出现,是系统的主体,处于主导地位,而系统的资源(包括硬软件、通讯网、数据、信息内容等)则是客体,它是为主体即“人”服务的,与此相适应,信息安全的主体也是“人”(包括用户、团体、社会和国家),其目的主要是保证主体对信息资源的控制。可以这样说,面向数据的安全概念主要是保密性、完整性和可获性,而面向使用者的安全概念则是鉴别、授权、访问控制、抗否认性和可服务性以及在于内容的个人隐私、知识产权等的保护。这两者结合就是信息安全体系结构中的安全服务功能,而这些安全问题又要依靠密码、数字签名、身份验证技术、防火墙、安全审计、灾难恢复、防病毒、防“黑客”入侵等安全机制(措施)加以解决。
其中密码技术和管理是信息安全的核心,安全标准和系统评估是信息安全的基础。总之从历史的、人网大系统的概念出发,现代的信息安全涉及到个人权益、企业生存、金融风险防范、社会稳定和国家的安全等各方面。它是物理安全、网络安全、数据安全、信息内容安全、信息基础设施安全与公共、国家信息安全的总和。信息安全的完整内涵是和信息安全的方法论相匹配的。信息安全系统是一个多维、多因素、多层次、多目标的系统。因此,有必要从方法论的角度去理解现有的信息安全模式。
1.分析与综合的辩证思维方法
要在分析过程中从整体上把握好分析要素的内部矛盾,例如,在威胁分析中的环境灾害与人员失误、无意疏忽与有意破坏、外部人员与内部职员、窃密篡改与拒绝服务、个人行为与有组织的信息战威胁等关系。
在脆弱性分析中的软件、协议缺陷与嵌入后门、网络层、系统层、应用层薄弱环节的关联等。在攻击分析中的利用技术漏洞与社会工程、行为模式与隐蔽方式等关系。在综合方法上则应该面向过程,着眼发展:风险管理的综合方法:立足于尽量减少风险,实行资产评估、风险估算、重点选择、综合平衡、政策制定、系统实施、审计监管等的全过程和全面质量管理。
安全评估的综合方法:面向设计过程,强调系统总体评价。在评估标准上掌握好传统与现实、国际通用互认和中国特点的关系。在保护框架内掌握好安全功能和保障的关系。
2.解决安全问题的解决
信息安全是过程、政策、标准、管理、指导、监控、法规、培训和工具技术的有机总和。这需要在不同层面上面向目标,用定性与定量相结合、技术措施与专家经验相结合的综合集成方法加以解决。对信息内容的管理则要从源头、传递、网关、服务网站和用户层面进行综合治理。以创新精神跟上网络和安全技术的新发展。我们处在网络调整发展和科技突飞猛进的时代,信息安全技术是具有对抗性的敏感技术,面对日益迫切的需要,唯一的出路就是密切跟踪国际信息安全技术的新进展。
3.信息安全系统的构建、模式、评估
风险管理技术已由传统的相对固定的模式向灵活的不断反馈、不断演进的弹性模式转化,强调可测量的方法体系,形成所谓“有适应能力的风险管理模式”。
十年前,信息安全系统构建理念是“自上而下”即顶层设计。从Internet的历史特点和发展现实出发,然后在网络的确定范围内从全局上规划,构成安全体系。系统安全不能做到一劳永逸,需要动态的构建模型。
在安全功能、服务的配置上,过去是先从整体定义入手,但是Internet量大多元化的应用环境,而且日新月异。因此现实的解决办法是“分而治之”。各种应用,各个部门,先在统一的规范下,分层分步实施。这在相当一段时间内,是推动网络发展、激励安全应用的现实途径。
基于个人和基层的信息安全技术:移动通信个人化、计算个人化及家庭办公室是世界潮流,这里实际上就是“网络空间”和“现实空间”的接口和界面,它的信息安全问题日益凸现,提出了以个人认证作为基本逻辑单元的安全思路和设备。目前出现的所谓“个人防火墙”既可以控制接入,还能过滤不良信息。其它如个人特殊密码,基于生物单一特征的鉴别技术都已有很多发展,值得充分重视。
4.Internet安全对未来的影响
计算机技术将不断快速发展,安全性将成为计算机产品所必需的工业标准。
以下是一些将要出现或变得举足轻重的Internet安全技术:
1).随着越来越多的系统利用密码技术,智能卡和数字认证将变得盛行。
2).软件将主要以Java或ActiveX这样可供下载的可执行程序的方式运作。网络安全管理系统的建造者们需要找到如何控制和维护可下载式程序的方法,并防止病毒程序蔓延。
3).TTP文件格式将被越来越多的信息服务机构用作传递消息的方法。
4).防火墙对于将安全策略应用于数据流的作用将减低并会逐渐失去其效力。虚拟网络将与安全性相融合,并很有希望与网络管理系统结合起来。软件、硬件将协同工作,以便将带有不同类型的目的和特性的网络彼此隔离,由此产生的隔离体仍将被称作“防火墙”。从现在起,Internet安全已成为了世界性社会问题的一部分。随着Internet的飞速发展,特别是随着电子商务逐步走向实用化,Internet安全越来越成为网络应用中的一个重要课题。更加优秀的安全技术还在不断地涌现,有关Internet安全的讨论也将是一个无休无止的话题。Internet安全重在应用。通过科学规划、完整策略,网络安全将是可以保障的。
7.4.1关于算法
密码算法是敏感的东西,各国对密码的政策也不同。欧洲对密码的政策较为放松,可以公开讨论、自由买卖,但具体算法不公开。美国对密码严格控制,密码产品的输出需得到美国国防部的批准,而且国内使用的密码不能输出。像日本等亚洲国家对密码产品的控制更严,基本上不进口、也不出口。在我国密码分两类:学术密码和实用密码。学术密码可以自由讨论;实用密码属国家机密,需经国家批准后方可使用,且不准公开讨论。
从商业角度来说,DES是一个很好的密码,但算法公开后带来了很多不必要的麻烦。迫于各方面的压力,美国推出了分级长度为80bit的密码,欧洲进而推出了分组长度为128bit的密码。我国的Internet网从科技网、教育网起步,现已发展到商业网,这标志着我国已跨入Internet网的新时代。我国的信息安全保密技术,在20多年中经历了两次大的变革(70年代完成了手工到电子的变革,80年代完成了电子到计算机作业的变革),目前正酝酿着第三次变革,迎接着互联网时代的到来。
7.4.2目前国内信息保密技术的发展情况
我国国家信息安全立法尚处于起步阶段。目前中国信息产业的法制建设环境不够理想。
1.全社会对加强网络系统安全保护的意识淡薄。虽然国内Internet发展迅猛,但真正建立完整的网络安全系统的却非常少,表现了人们对网络安全的重要性和认知性还欠缺。
2.信息系统基础建设的核心受制于人。关键的计算机硬件设备、基础集成电路芯片、操作系统和支撑软件都依赖于进口,由此构成的信息系统基础设施几乎完全建立在外国的核心技术上,而网络安全产品是在网络系统基础上发展的应用部分,这使得国产网络安全产品的研制开发难度加大、任务艰巨。
3.其它行业的发展走向存在依赖性。由于网络安全市场是网络飞速发展后诞生的产物,所以基础行业的发展会明显地影响网络安全市场的发展。
