網絡工程師論文發表研究當前網絡空間技術的新應用改革模式發展
發布時間:2015-03-06所屬分類:科技論文瀏覽:1次
摘 要: 摘要:一個經典的網絡安全威脅模型����,在圖4中我們概括了幾種可能的攻擊和攻擊點,攻擊能夠成功��,協議或應用必定是脆弱的�。關于計算機和網絡安全我們必須了解這幾個點,在協議和應用的設計和實現中的漏洞和缺陷�����,正是攻擊者可以利用的���,試探就是利用漏洞的一種
摘要:一個經典的網絡安全威脅模型�����,在圖4中我們概括了幾種可能的攻擊和攻擊點���,攻擊能夠成功�����,協議或應用必定是脆弱的���。關于計算機和網絡安全我們必須了解這幾個點,在協議和應用的設計和實現中的漏洞和缺陷���,正是攻擊者可以利用的�����,試探就是利用漏洞的一種方法�����,攻擊者正是利用有漏洞的協議和應用進行試探。
關鍵詞:網絡安全,網絡空間,虛擬服務,網絡論文發表
幾個攻擊和攻擊點的出現正是利用了分層處理原則���,利用TCP/IP協議中的各層自負責的缺陷�,而沒有對邊界安全進行防護��,圖4中的安全防護涉及到的中間防護過程�,對應到TCP/IP協議模型中,我們可以看出攻擊點1和攻擊點3主要為基于頭部和協議漏洞的攻擊���,攻擊點2主要為基于流量漏洞的攻擊����,攻擊點4主要為基于驗證和流量漏洞的攻擊��。
而TCP/IP在各層包含的協議用于完成各自給定的功能���,現行的經典協議在各自偏重的方面有各自的優勢,沒有一種協議框架能夠包含所有已知的攻擊��。因此��,漏洞存在于各個協議之間的兼容上��,如現行的網絡層安全通信標準IPSec協議框架— IPSec協議簇,它主要包括認證頭AH協議�、安全封裝載荷ESP協議和互聯網密鑰交換IKE協議,能夠提供數據加密��、身份認證��、完整性保護等安全服務���。但其只能在存在于網絡層�����,而不能對全部層級結構提供安全防護���。如圖5所示各層網絡中運行的通信協議。
影子的存在使一些問題在解決有了更為之有效的方法�,現實生活的由于影子的存在使得棘手問題能夠在很短的時間解決,同樣還能達到出其不意的效果�����。在網絡系統中正是由于虛擬主機的出現���,在一定程度上保護了主機的安全���。虛擬主機���,使用特殊的軟硬件技術,把一臺真實的物理電腦主機分割成多個邏輯存儲單元����,每個單元都沒有物理實體,但是每一個邏輯存儲單元都能像真實的物理主機一樣在網絡上工作�����,具有獨立的域名��、IP地址(或共享IP地址)以及完整的Internet服務器功能�����。而虛擬主機技術是互聯網服務器采用的節省服務器硬件成本的技術�,虛擬主機技術主要應用于HTTP服務��,將一臺服務器的某項或全部服務內容邏輯劃分為多個服務單元��,對外表現為多個服務器�����,從而充分利用服務器硬件資源。如果劃分是系統級別的���,則稱為虛擬服務器�����。
采用虛擬主機和虛擬服務器的方法可以保證從主機到第一路由器的安全�����,即使出現攻擊也能夠保證主機數據不被破壞���,在數據恢復和重新進入網絡鏈接上可以節約時間,尤其在網絡戰爭中可能成為一種主要使用的手段����。
網絡空間安全沒有戰時和平時之分,在任何時刻任何地點通過任何方式進入互聯網絡的設備都受到威脅����,自以計算機技術為核心的網絡化時代以來,這場沒有硝煙的網絡戰爭就已經拉開了帷幕���。在可以預見的未來����,以網絡攻擊為前奏的網絡戰爭將是主宰戰爭的主體,網絡空間安全威脅的將是網絡戰爭形態發生變化主要推動力��,各國將在網絡安全技術和防范水平的提升上展開激烈競爭���。在未來誰占據制信息權誰將在戰爭中占據主動地位�。
1 相關概念
網絡空間:是一個在物理層基于有線或無線傳輸網絡����,信息層基于信息流動、發送�、接收、處理��、使用的完整性���、可用性、可靠性����、有效性�����、私密性��,認知層基于信息語義分析、態勢感知的一致性�����、真實性�����、正確性����、共享性,群集層基于族群價值觀���、地緣結構���、政治架構��、文化同源��、人生觀�、世界觀等貼近度形成的集團意識組構而成的多維度���、多層次���、一體化的復合空間。網絡空間可以理解為一個由物理而生理而心理而社會的大空間概念��,是美國等發達國家Cyherwar的作用域��,也是我國輿論戰�����、法律戰���、心理戰主要研究�����、運用和作用的對象�。
網絡空間安全:網絡空間物理結構��、信息結構��、認知結構����、價值結構、核心主體利益結構的完整和不受侵害性�����。網絡空間安全是一個多層次��、多主體��、多維度��、多指標��、體系化的評估測度空間�����。其指標體系結構與值度量空間尺度,評測空間安全的整體性態���。
2 網絡空間安全威脅的特點
美國國防部長羅伯特·蓋茨在2009年6月正式下令成立新的軍用網絡司令部���,是將美空軍于2007年9月I8日成立的臨時網絡司令部轉為正式編制。美軍組建網絡司令部真正目的是為打造世界上最強大的“黑客部隊”����。美軍戰略司令部前司令、空軍少將約翰·布雷德利直言不諱地說:“我們現在花在網絡攻擊上的時間遠超過花在網絡安保研究上的時間�����,因為非常高層的人對網絡攻擊感興趣�����。”
從美軍對網絡安全重視的程度上我們可以看出:首先�����,網絡空間的進攻與防御隱蔽性強�����,難以覺察,一旦發現����,常常為時已晚。其次�����,網絡空間的進攻無疆無界��、無始無終�����,防御難度大�����,很難做到“御敵于國門之外”���。再次,網絡空間的進攻����,樣式多����、渠道廣��、手段新��、技術性強��,緝查“兇手”難度大���,反擊力度和對象不好把握��,易于“五行不定”��,一旦對抗失當���,很可能“輸得干干凈凈”。最后�����,網絡空間的進攻具有預設目標�、領域、等級����、后果的特點����,可精準運用網絡軍團的規模��、技術途徑��、入侵方法�����、突破口���,其防御需采用“威懾、控制�、反制、反擊”的戰法破擊���。
從網絡安全威脅概圖可看出繼海�����、陸���、空��、天之后的一個全新的作戰環境����,網絡戰場安全威脅模式不能再用簡單的三維模型描述�����,如圖1所示��。圖中列出的只是一個概略的描述���,其中各個方面的威脅還可再進行分類��。
3 網絡空間安全威脅
3.1網絡空間四要素
1) 通信線路(有無線����、光網路)和通信設備�。網絡空間存在的第一要素,是網絡環境賴以生存基礎��。
2) 有獨立處理功能的媒體機(臺式、筆記本���、手機等)����。作為人機交換的媒介�,擔負著將人的思想轉換為機器能夠識別的語言,在機器環境中能夠進行交互傳輸的原動力提供者����。
3) 網絡軟件支持。具有特定功能的能夠為機器識別的具有自動進行選路���、迂回等功能和識別各種設備能力的軟件。
4) 實現數據通信和資源共享��。網絡空間發展的終極目標�����,同時也是信息安全防護的最高境界���。
造成網絡空間安全威脅的方面有多種多樣�,我們從網絡空間的四個要素入手���,采取分類歸納的方式����,對構成網絡安全威脅的因素進行分析建立模型。
3.2事例
如現在網絡上隨處可以下載到的控制一臺計算機開機的軟件��,其界面如圖2所示����,通過這個小軟件我們可以在局域網上獲取所在同一個網絡上的IP地址和本機的MAC地址,從而可以輕松的控制一臺計算機的開機�,需要做的只是點擊喚醒即可。被喚醒的計算機雖然處于關機狀態����,但是其內部網卡控制芯片通過專用連線所送來的電流,仍然可以接收和處理網絡上的數據包��。
通過這個軟件我們可以看到隨著現代通信技術的發展����,網絡在網絡上可以說已經沒有秘密可言,保密的措施不論做的多強多大����,還是不能杜絕網上泄密的發生��,有時候我們是無意的��,但是對于攻擊者來說不這樣認為�,他們要求的是達到自己的目的�����。
3.3主要安全威脅
主要的安全威脅包括信息泄露����、完整性破壞、服務拒絕�����、未授權訪問���、假冒、網絡可用性的破壞�����、重放、后門��、特洛伊木馬��、抵賴���、通信量分析���。
參考文獻[5]中國家網絡信息安全技術研究所所長CNCERT/CC副總工杜躍進博士對下一代信息技術下網絡安全威脅的特點概括為融合、泛在����、智能和不對稱。安全威脅的演變向著更多“智能系統”�,更多網絡和系統互聯,更多有價值目標��,更多不同動機的攻擊者幾個方向變化�����。從蠕蟲研究���,到木馬研究(隱蔽�����、穿透)���,到僵尸網絡研究�����,再到路由攻擊�、數字大炮����、蜂群戰術,攻擊手段和技術正在不斷地進步���。而新一代信息技術發展起來之后�,意味著有更多的想法����,更多的機會,更多能力����,更多資源,也意味著攻擊會造成更大的破壞�����。
從形式上分為外部威脅和內部威脅����。外部威脅包括病毒、黑客攻擊等形式���,其中拒絕服務�、非法入侵�����、釣魚式攻擊�����、數據竊取和間諜軟件竊密的方式��,來自外部的威脅主要是網絡中的核心設備和硬件不能國產化���,以及部分核心人員的防范意識不強���,都會成為威脅網絡安全的因素��。
從途徑上分為有線和無線威脅�。有線主要指鏈接網絡的各種實際存在的線路�����,如雙絞線��、同軸電纜�、野戰被復線等,其中光纖是有線線路�,但光纖的保密性能優于其它幾種線路,且光纖其特殊的傳輸屬性��,在當前的技術手段想要竊取光纖信息難度最大�����。無線傳輸方式是當前使用最為廣泛的方式�����,由于其方便快捷�����,無需架設太多設備����,成為今后發展的主要方向,但其暴露的傳輸電脈沖信號的特性���,成為竊取最為之方便的手段�����,只要具有相同的頻點�����,就能獲取傳輸的信息���,而破解傳輸信號的手段和方法只是時間上的問題,因此無線技術的廣泛使用已成為未來發展的方向���,其安全威脅的也成為研究的重點�。
從方式上分為接觸性獲取和非接觸性獲取��。接觸性獲取主要指在網絡空間中通過物理手段從而獲取傳輸的信息,而非接觸性獲取主要指通過傳輸介質讀取相關信息����,如U盤的使用、利用電磁輻射特性��、利用電網傳輸等技術獲取信息��。
從威脅目標上分為有意識威脅和無意識威脅�����。有意識威脅是指在認為的利用某種軟件收集帶有敏感信息的通信或者進入未被授權訪問的隔離網絡竊取與某一方有利的信息�����,或者為了達成個人的某種目的而采用的手段��。無意識威脅多發生在操作過程中或者可能的漏洞沒有發現而造成的對己方不利的威脅�。
從攻擊方式上分為主動攻擊和被動攻擊。被動攻擊不干擾網絡的正常運行�����,只是試圖獲取敏感信息。這種攻擊形式最為簡單�����,卻能夠對多種網絡環境(如以太網���、無線網絡等廣播型網絡)下的信息保密性造成嚴重危害。在主動攻擊中���,攻擊者不僅能夠偵聽信道����,更能夠主動竄改或阻塞網絡流量��,從而破壞信息完整性���、可用性���,因此,主動攻擊必定會干擾網絡的正常運行�����。
這些威脅的一個總的目的是獲取網絡傳輸過程中的對己方有利的信息。因此網絡威脅自信息產生時就已經存在�����,并在信息傳輸��、處理���、存儲���、銷毀的整個過程中都威脅著信息的安全,在信息的使用和處理過程中����,不可避免的使信息外泄導致威脅網絡的安全,而處理和存儲信息的機器不可避免的與其他的交換設備進行信息的傳遞����,這就建立了信息傳輸的通道,同時也為信息泄露搭建了平臺��,隨著技術發展���,威脅的方式和種類在不斷地發生著變化�����。從信息加密開始�����,攻防之間不停地進行著較量���,隨著加密算法的不斷創新對信息的完整性有了更好的保護����,但所需要的處理時間卻在不斷增加�����,其時效性得不到保證�,這已經成為制約信息安全的一個重要因素���。緊隨其后的是實現遠距離的傳輸��,由于傳輸媒介的制約�,中間交換路由的選擇�,信息在傳輸過程中需要經過的路徑越多,其被竊聽的可能性越大,而且一旦傳輸途中一點遭到攻擊��,受到影響的不僅僅是傳輸這條路徑的線路�����,更甚者整個網絡都會暴露在攻擊者的面前��。
隨著加密技術與傳輸技術的結合��,加密的方式和手段發生變化���,由之前的對單個信息加密發展到現在的對一個數據流的加密���,并且加密的速度隨之提高,竊取和偽造的難度更大�,再發展到現在,數字簽名技術和認證技術使雙方能及時確認和不斷更新自己的密鑰���,從而保證了信息傳輸過程的安全���。
從信息的發送、傳輸�、接收的全過程采用多種方式進行信息處理�����,確保單個環節出現信息泄露不會影響到全局安全的體系能夠建立起來��。
3.4主要的攻擊方式
這里所指的攻擊方式是人為的主動攻擊��,帶有一定的目的性���。我們可以將攻擊方式分為基于技術的攻擊和基于實體的攻擊。
基于技術攻擊主要為軟件驅動攻擊:包括與之對應的攻擊方法有基于頭部攻擊��、基于協議攻擊�、基于驗證攻擊、基于流量攻擊等���。
基于實體攻擊主要通過物理手段搭載攻擊:包括搭線攻擊、獲取無線電信號脈沖攻擊����、強干擾壓制攻擊等,其攻擊難度隨著技術的發展呈現出倒三角態勢�,越靠近物理層攻擊的手段局限性越多,而越靠近應用層攻擊成功的可能性越大���,手段越多�,安防措施和手段越難以掌控和實現。
