相關知識(二)
網絡數據的安全性
眾所周知,在當今信息社會,信息是推動社會向前發展的重要資源。而計算機網絡的作用就是使廣大用戶能夠共享網上的資源,但是,伴隨着網絡的發展(尤其是工internet國際互聯網)所帶來的計算機資源共享的巨大利益,信息安全也成為日益受到社會和公眾關注的重要問題。網絡的開放性與共享性、系統的複雜性、邊界不確定性以及路徑不確定性導致了網絡的安全性問題,使得網絡很容易受到外界的攻擊和破壞,數據信息的安全保密性受到嚴重影響。當前計算機犯罪現象十分猖撅,計算機犯罪所使用的技術手段越來越高明和巧妙。以黑客(指非法入俊計算機網絡系統)、計算機欺詐、計算機破壞、計算機間諜、計算機病毒、信用卡犯罪等為代表的計算機犯罪對社會造成了巨大損失。據美國聯邦調查局統計,美國全年因計算機犯罪所造成的損失高達75億美元。1995年,‘計算機安全‘雜誌在全世界範圍內抽樣調查了300家典型的公司,其中69%的公司報告上一財政年度遇到過計算機網絡的安全問題;59%的公司報告,上述安全問題所造成的經濟損失超過1萬美元。據1995年統計,以白領犯罪為特徵的信息安全事件,例如通過計算機網絡入侵盜竊工商業機密、信用卡偽造與犯罪、修改系統關鍵數據、植入計算機病毒、獨佔系統資源與服務等,共給全球造成經濟損失高達150億美元之巨。1996年4月16日,美國’金融時報’報道,入網工internet的計算機之中,平均每20秒鐘被黑客成功入侵一次。Internet安全的重要意義己逐漸成為人們的共識。人們希望網絡能為用戶提供眾多的服務,同時又能提供相應的安全保密措施,而且這些措施不應影響用戶使用網絡的方便性。因此,無論是使用專用網,還是Internet等公用網,都要注意保護自己本單位、本部門與本公司內部的信息資源不會受到外來因紊的侵害,杜絕非法用戶訪問。鑒於此,研究網絡數據的安全技術具有十分重要的意義,也是十分必要的。
網絡安全問題自有網絡那天起就存在了,只是當時人們並沒有充分重視,隨着對計算機網絡的依賴越來越大,網絡安全間題也日益明顯。1988年11月1日,康奈爾大學的研究生RobertMorris在互聯網上投放了一種惡意的電腦程式一‘蠕蟲’,這個蠕蟲被釋放到互聯網后,便進行自我複製,在很短的時間內便使互聯網上10%的主機無法工作,損失慘重。然而這一事件卻終於使人們意識到網絡的安全問題。比如,美國國防部遠景研究規劃局很快便組建起計算機應急小組,專門對付,蠕蟲,病毒作祟期間所引發的各種事故。網絡安全問題也百此提到日程之上口許多國家都在關注信息安全的問題包括法國、德國、英國、加拿大等政府,都提出要注重信息安全,對工internet傳輸的信息要進行一些控制,並紛紛採取了一些技術上的措施,遵循所謂‘SBS“原則,即‘安全勝過於後悔’(SafeBetterthanSorry),寧願在信息安全方面多一點投入,而不冒因安全漏洞而泄露國家和軍事機密的危險。我們國家由於起步較晚,在這方面的研究還處於落後狀態。網絡數據安全的關鍵技術SNM(簡單網絡管理協議)
為了能夠保障工internet上的網絡數據的安全,就需要對網絡中的各種元素進行管理。因此,Internet事務委員會(TAB)建議所有的IP和TCP的實現都應該是網絡可管理的,這就意味着必須要建立一個統一的標準來進行這種管理.SNMP(SimpleNetworkManagementProtocol)簡單網絡管理協議就是這樣誕生的,同時還定義了網上可管理對象的管理信息結構(**I)以及相應的管理信息庫(MIB),這樣SNMP就能夠對這些對象進行有效地管理。根據IAB的建議,所有的IP和TCP實現中都應該包括SNMP,**工和MIB.這一原則不僅僅只適用於工internet,所有採用TCP/IP結構的網絡(如工intranet,即企業內部網)都可以包括SNMP協議。現在幾乎所有的路由器產品中都封裝了這一協議。當然,這只是一個短期的標準,最終的目標還是要實現OSI網絡管理框架。
防火牆.所謂防火牆,其實是一種形象的說法,它是一種計算機硬件和軟件的組合,即在內部網(Internet)與外部網(Internet)之間的界面上構造一個保護層,並強制所有的連接都必須經過此保護層,在此進行檢查和連接。只有被授權的通信才能通過此保護層,從而保護內部網資源免遭非法入侵,並防止內部網絡的用戶向外泄密。防火牆已成為實現網絡安全策略的最有效的工具之一,在全球接入Internet網的計算機中,有1/3是處於防火牆的保護之下。
目前,防火牆技術主要有分組過濾和代理服務兩種類型:
分組過濾:這是一種基於路由器的防火牆。它是在網間的路由器中按網絡安全策略設置一張訪問表或黑名單。即藉助數據分組中的IP位址確定什麼類型的信息允許通過防火牆,什麼類型的信息不允許通過。防火牆的職責就是根據訪問表(或黑名單)對進出路由器的分組進行檢查和過濾,凡符合要求的放行,不符合的拒之門外。這種防火牆簡單易行,但不能完全有效地防範非法攻擊。目前,80%的防火牆都是採用這種技術。
代理服務:是一種基於代理服務的防火牆,它的安全性高,增加了身份認證與審計跟蹤功能,但速度較慢。所謂審計跟蹤是對網絡系統資源的使用情況提供一個完備的記錄,以便對網絡進行完全監督和控制。通過不斷收集與積累有關出入網絡的安全事件記錄,並有選擇地對其中的某些進行審計跟蹤,發現可能的非法行為並提供有力的證據,然後以秘密的方式向網上的防火墒發出有關信息(如黑名單等)。
從實現的角度上來說,能夠完成防火牆工作的可以是簡單的隱蔽路由器,這種防火培如果是一台普通的路由器則僅能起到一種隔離作用。隱蔽路由器也可以在互聯網協議端口級上阻止網間或主機間通信,這便起到一定的過濾作用。由於隱蔽路由器僅僅是對路由器的參數做些修改,因而也有人不把它歸入防火牆一級的措施。
真正意義下的防火牆有兩類,一類被稱為標準防火牆,一類叫雙家網關。標準防火牆系統包括一個Unix工作站,該工作站的兩端各接一個路由器進行緩衝。其中一個路由器的接口是外部世界,即公用網;而另一個則聯接內部網。標準防火牆使用專門的軟件,並要求較高的管理水平,而且在信息傳輸上有一定的延遲。而雙家網關則是對標準防火牆的擴充,雙家網關又稱堡疊主機或應用層網關,它是一個單個的系統,但卻能同時完成標準防火牆的所有功能。其優點是能運行更複雜的應用,同時防止在互聯網和內部系統之間建立任何直接的連接,可以確保數據包不能直接從外部網絡到達內部網絡,反之亦然。
隨着防火牆技術的進步,在雙家網關的基礎上又演化出兩種防火牆配置,一種是隱蔽主機網關,另一種是隱蔽智能網關(隱蔽子網)。隱蔽主機網關當前也許是一種常見的防火牆配置。顧名思義,這種配置一方面將路由器進行隱蔽,另一方面在互聯網和內部網之間安裝堡壘主機。堡壘主機裝在內部網上,通過路由器的配置,使該堡壘主機成為內部網與互聯網進行通信的唯一系統。目前技術最為複雜而且安全級別最高的防火牆當屬隱蔽智能網關。所謂隱蔽智能網關是將網關隱藏在公共系統之後,它是互聯網用戶唯一能見到的系統。所有互聯網功能則是經過這個隱藏在公共系統之上的保護軟件來進行的。一般來說,這種防火牆是最不容易被破壞的。
但是,在Internet和Intranet之間安裝防火牆井不能一勞永逸。第一,防火牆設立的訪問控制機制限制了用戶的服務,因此須在安全性和易用性之間進行折衷;第二,工intranet中可能存在各種捷徑,防火牆並不能完全阻止信息的’短路’:第三,設立防火牆的初衷是保護工intranet安全,防止來自網外的攻擊,因此防火牆對防範來自內部的攻擊是脆弱的。綜上所述,工internet的安全必須結合工internet的安全一攬子解決,必須結合防火牆和其它一切可能的信息安全工具和技術,如密碼技術、智能卡技術、代理伺服器(Proxyserver)、安全路由器等。1995年8月21日,美國華爾街日報報道,儘管金融界巨子—一花旗銀行裝備了防火牆,並擁有其它高技術的防範措施,但還是被前蘇聯克格勃人員通過計算機網絡轉移了1160萬美元的巨額資金.
加密技術、智能卡技術及身份認證.與防火牆配合使用的安全技術還有數據加密技術。數據加密技術是為提高信息系統及數據的安全性和保密性,防止秘密數據被外部破析所採用的主要技術手段之一。隨着信息技術的發展,網絡安全與信息保密日益引起人們的關注。目前各國除了從法律上、管理上加強數據的安全保護外,還從技術上分別在軟件和硬件兩方面採取措施,推動着數據加密技術和物理防範技術的不斷發展。按作用不同,數據加密技術主要分為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術這四種。它主要是通過一些加密算法來實現,包括傳統密碼體制DES算法和公開鑰密碼體制RSA算法。
與數據加密技術緊密相關的另一項技術則是智能卡技術。所謂智能卡就是密鑰的一種媒體,一般就像信用卡一樣,由授權用戶所持有井由該用戶賦予它一個口令或密碼。該這些網絡安全和數據保護的防範措施都有一定的限度,並不是越安全就越可靠。因而,在看一個內部網是否安全時不僅要考慮其手段,而更重要的是根據該網絡所採取的各種措施,其中不光是物理防範,而且還有人員素質等其他‘軟”因素,進行綜合評估,從而得出是否安全的結論。僅僅採用一兩項安全技術是不足以全面對抗網絡上所潛在的各種威脅的。正如國際網絡組織把,安全‘解釋為‘一種使資產和資源遭受攻擊的可能性減少到最小的方法,一樣,網絡的安全是相對的,並沒有絕對安全的網絡實體。
網絡數據安全的實現
目前我們學院己經採用工nternet技術建成了自己的工ntranet網一校園網。為了有效地實現網絡數據的安全性,我們綜合上述各種技術的特點,採取了下述技術方案:
安全性第一的原則。由於安全性和網絡的性能(使用的靈活性、方便性、傳輸效率等)是一對矛盾,兩者不能兼得,強調了安全性,網絡的性能受到影響,強調網絡的性能,安全性可能減弱。本課題研究擬採用犧牲網絡的性能來換取安全性的增強的方法,且採取的措施對用戶來說是透明的,即用戶在使用網絡時感覺不到受到影響。
多重保護的原則(全局防禦的原則)。各重保護相互補充,當一重保護被攻破時,其密碼與內部網絡伺服器上註冊的密碼一致。當口令與身份特徵共同使用時,智能卡的保密性能還是相當高的。
身份認證又稱為身份鑒別或確認,它用來證實被認證對象(人與事)是否名符其實或是否有效的一種過程。即用來確保數據的真實性,防止入侵者主動攻擊,如假冒、篡改等。用戶身份認證是網絡作業系統安全保密的第一道設防。如果非法入侵者攻孩了這一道防線,則許多其它保護措施將被瓦解。目前,多數網絡作業系統對用戶的身份認證採用口令方式,然而許多口令系統是不安全的。採用單向函數和數據簽名技術可以提高口令系統的安全性,但仍然不夠保險。完善的身份認證應該是用戶身份和系統身份的對等相互認證。這涉及到身份的產生、分發、傳輸、獲取及驗證等多方面的內容。基於用戶生理特徵的身份認證是安全性極高的認證方法。然而由於技術複雜、成本高而不能普遍應用。一種安全性和成本都較適合的身份認證是基於智能卡的身份認證,它可實現一種基於零知
識證明的人機交互認證。
多層次的原則。如在鏈路層和網絡層實施包過濾,包過濾規則以IP包信息為基礎,對IP源地址、IP目標地址、封裝協議、端Q號等進行篩選,並對有效的數據進行加密:在表示層實施加密傳送;在應用層設置專用程序代碼、運行應用層審計軟件:在應用層之上啟動代理服務等。
多個安全單元的原則。把整個網絡的安全性賦予多個安全單元,如路由器、屏蔽子網、網關及防火牆,形成了多道安全防線。
網絡分段的原則。把網絡分成若干IP子網,各子網通過路由器連接,並在路由器上建立可訪問表,來控制各子網間的訪問。
新軍事革命和信息戰
一、新軍事革命可能產生若干個新的作戰領域,信息戰只是其中之一
軍事革命是戰爭形態發生重大變化的過程與結果。它是由根本上改變了軍事行動特徵和實施方法的新技術的創造性應用,並同軍事作戰條令、概**和組織編製發生巨大變化相結合而形成的。歷史上已發生了多次由於新技術和新武器系統的出現,引發了作戰方式的歷史性突變。蘇聯人把這種突變稱為“軍事技術革命”:美國人則把它稱作軍事革命。名詞術語上的變化表明,美國人不僅注意到了技術因素的變化,而且突出了軍事組織編製和作戰條令等非技術因素的變革。
當前的軍事革命就象在兩次世界大戰時期的軍事變革一樣,將出現若干個新的作戰領域,而最有可能形成的新的作戰領域是精確打擊、信息戰、控制性機動和空間戰。
1、精確打擊
精確打擊可能是正在進行的軍事革命中最能得到充分理解的新的作戰領域。因為自七十年代以來,美國就己研製和部署了精確打擊系統,並在冷戰的後期階段,拉開了一個影響深遠的精確打擊領域的序幕。
精確打擊的定義是,能定位高價值的、時效性強的固定的和機動的目標,並能在戰略或戰役的重要時間段內、以高的置信度將其摧毀,同時還能準確地評估打擊效果,而間接損失、友方傷亡和敵人反擊的可能都最小。到2020年,精確打擊技術將有可能在洲際距離上取得戰略性效果。
據統計,在第二次世界大戰中,消滅一個目標,需要出動B-17飛機4500架,投9000枚炸彈;在越南戰爭中,消滅同樣的目標需要出動F-105飛機95架,投19。枚炸彈;在海灣戰爭中,消滅同樣的目標只需出動一架F-117飛機,投一枚精確制導導彈。
分析還表明,精確制導武器採購數量增加一倍,可使作戰飛機的損失減少60;而多買20架B-2轟炸機,作戰飛機損失只減少8%。由於巡航導彈精度的提高,可採購不那麼額貴的飛機,並調整巡航導彈與飛機和航空母艦的比例。現在遠程精確打擊武器都已裝備GPS導航設備,其精度將不受距離的影響,1000公里射程的精度也可以在10米以內,能夠擊中單座樓房,充分顯示了精確打擊的威力。
精確打擊更加具有決定性的意義。它可以直接打擊組成敵人戰略重心的目標,並有可能達到與核武器相同的打擊效果,但又不會產生難以忍受的附加毀傷。精確打擊不僅對武器裝備的發展提出了重大的挑戰,而且對軍隊的組織編製也提出了重大挑戰。只有把精確打擊系統集中在戰爭的戰役級或戰略級上時,這些系統才有決定性的影響。
2、信息戰
信息戰是新軍事革命的另一個新的作戰領域。它與信息系統、信息系統的能力和它對軍事組織與作戰的影響有關。信息戰是兩個或多個對手為控制信息戰鬥空間而開展的鬥爭。
3、控制性機動
控制性機動比上述兩個新的作戰領域認識得要晚一些。軍事革命有可能提供在全球範圍內、在一個更加緊追的時間框架內和部隊規模大大縮小的情況下實施機動的能力。根據這一趨勢,提出了控制性機動的概**,並將其定義為:通過將精確打擊、空間戰和信息戰等能力集成,在整個戰鬥空間的寬度、高度和縱深內,為空中、陸上、海上以及空間的部隊提供有條理的技術行動,贏得戰場主動,控制作戰節奏,奪取決定性的勝利。從以上定義可見,控制性機動與通常所說的機動不同。
4、空間戰
未來第四個重要的作戰領域是空間戰,其定義為:利用空間環境實施全頻譜、近實時、全球的軍事行動。雖然空間戰包括其它三個作戰領域的某些內容,但它有可能成為一個獨立的作戰領域。
未來的軍事行動增加了對空基系統的依賴,尤其是在衝突期間更突出了空間系統的重要性。衛星使近實時的、世界範圍的通信、探測、定時和導航成為可能。空間戰能力有可能支配對戰鬥空間的了解和對全球精確打擊體系結構的協同,提供了以大大縮短的時間框架實施世界範圍的軍事行動的可能性。
5、幾點結論
總括以上分析可以得出以下三條結論:
一是,新軍事革命是客觀現實,“不以人的主觀意志為轉移。我們要吸取我們的前人在掌握了火藥技術而沒有及時將其用于軍事,導致後來的長期被動挨打的教訓。同時,也不要因我們現在技術還不先進,不能主導軍事革命而對其不關心,等着或看着別人進行軍事革命。如果採取這種態度,被動落後的局面仍不會很快改變。我們必須採取積極的態度,認真研究軍事革命的走向和影響,並用其推動我軍作戰能力的革新。
二是,在新軍事革命中,將可能產生多種新的作戰領域。目前認為最可能形成的是四種新的作戰領域,而不是只出現信息戰一種新的作戰領域。在四種新作戰領域中,精確打擊概**發展的最成熟,但即使如此也還有很多的分析工作要做。對信息戰雖然己經做了許多分析研究工作,但現在對概**還沒有很好地理解。對控制性機動和空間戰的分析還只是剛剛開始。
三是,四種新的作戰領域將分別對各個領域的武器裝備的發展提出挑戰,並帶動它們的發展,絕不會是只由信息戰一種作戰領域帶動所有領域武器裝備的發展。我們現在強調發展信息戰武器裝備並不排除其它武器裝備的發展。相反,仍需要重視遠程精確打擊、隱身等武器的發展。從海灣戰爭之後的一系列戰爭的經驗看,只有將精確打擊、隱身和信息技術結合,才能形成力量優勢,而不能只靠信息戰一種技術。對此,我們必須有全面的客觀的和正確的認識。
二、新軍事革命的最終結果是形成信息化戰爭
信息化戰爭是一種新的戰爭類型。我們認為,信息化戰爭的定義是,以大量應用電子信息技術而形成的信息化武器裝備為基礎,以奪取信息優勢為戰略指導,以一體化指揮自動化系統為統一指揮協同的紐帶,以電子戰、信息戰、空襲與反空襲、導彈攻防、遠程精確打擊和空間戰等為主要作戰樣式,以編製體制發生變革的諸軍兵種聯合進行的高技術戰爭。
因此,信息化戰爭有以下五個特點。第一個特點是,以信息化武器裝備為基礎。所謂信息化武器裝備是指大量應用電子信息技術的武器裝備。它的顯著特點是,電子信息技術已成為該項武器裝備成本的重要組成部分之一。例如,在現代飛機中電子成本已達50%,而在B-2飛機中,電子成本已高達60%。在現代化的艦艇中,電子成本已達25-30%。在火炮和坦克中,電子成本己達30%。在空間武器中,電子成本已達65-70%;其效能的提高已主要依靠電子信息技術對目標的識別和精確制導,而不再完全依賴戰鬥部威力的增大。計算表明,爆炸威力提高一倍,殺傷力提高40%,但是命中率提高一倍,殺傷力提高400%;作戰使用必須依靠電子信息系統提供的信息和指揮控制。
信息化戰爭的第二個特點是以奪取信息優勢為戰略指導,以制信息權為制高點。信息優勢是將情報、監視、偵察(ISR)能力與指揮、控制、通信、計算機和情報(C‘I)能力和信息戰能力相結合,形成對戰場態勢了解、有效運用部隊和可靠的網絡服務三種主要能力,以獲取和選擇有效運用己方部隊來支配和壓制敵方部隊所需的信息。最終實現在信息領域內有支配權,達到在沒有有效抵抗的條件下進行作戰。
信息化戰爭的第三個特點是仍有多種作戰樣式。戰爭樣式是按戰爭內容而做的分類。信息化戰爭的主要作戰樣式有電子戰、信息戰、空襲與反空襲、導彈攻防、遠程精確打擊和空間戰等,信息戰只是信息化戰爭中的一種作戰樣式。
信息化戰爭的第四個特點是諸軍兵種聯合作戰。未來戰爭不論其規模大小、地域差異、條件的不同,戰爭的形態和作戰形式都將是現代技術與高技術條件下由諸軍兵種共同參加的聯合作戰行動。聯合作戰已成為當今高技術局部戰爭的主要形式,主宰戰場,單靠一個軍種難於完成作戰任務。
信息化戰爭的第五個特點是必須用綜合電子信息系統實施統一協調指揮。聯合作戰要求反應時間縮短,自動化程度更高,從探測器至射擊武器的信息系統要一體化,要做到一旦發現了目標就能將其摧毀。聯合作戰還要求提供戰場空間的精確的、多探測器融為一體的圖象,以便進行縱向與橫向協調。有序地執行現代戰爭空間中的聯合作戰任務。所有這些要求只有綜合電子信息系統能夠完成,任何其他系統都無能為力。因此,沒有綜合電子信息系統就很難打贏信息化戰爭。
三、信息戰的一些基本概**
1.信息戰的定義
1985年3月,美國首次提出“信息戰”這一術語。1994年掀起研究熱潮。雖然從1997年開始做了低調處理,但重視信息戰的戰略沒有變化。信息戰象電子戰一樣,既是一種作戰環節,又是一種作戰領域。這就是說,未來戰爭是在信息戰威脅的環境下進行的,同時又用信息戰的方式進行作戰。可以宏觀地認為,信息戰是信息領域內的戰爭,而不是其它領域內的武器作戰的戰爭。雖然美國國內對信息戰的定義還有一些爭議,但在己發表的不同的定義中,從未見到將大量應用電子信息技術的防空、導彈攻防和遠程精確打擊等高技術武器之間的交戰看成是信息戰。不同的信息戰定義總是圍繞信息、信息系統和以計算機為基礎的網絡展開的,只是表述的方式方法不同,反應了不同的觀察問題的角度和不同的電子信息技術專家維護本專業的立場。例如,通信專家認為信息戰是通信戰,計算機專家認為信息戰是計算機戰,而網絡專家則認為信息戰是網絡戰。然而,在國內則不同,有少數同志將大量應用電子信息技術的防空、導彈攻防和遠程精確打擊等高技術武器之間的交戰而形成的信息化戰爭看成是信息戰,從而將信息戰的領域擴大了。因此,我們認為,對信息戰下準確的定義既要有中國的特點,但也要與國際定義接軌,二者不可偏廢。為此,建議將信息戰定義為:“為了獲取信息優勢,通過利用、改變和癱瘓敵方的信息、基於信息的過程、信息系統和以計算機為基礎的網絡,同時保護己方的信息、基於信息的過程、信息系統和以計算機為基礎的網絡不被敵方利用、改變和癱瘓,而採取的各種作戰行動。”總之,不管如何定義信息戰,我們都必須限定在信息領域之內,而不能將其擴大到其他領域。
2.信息戰的軍事理論實質
信息戰的軍事理論實質是獲得信息優勢,沒有信息優勢就無法獲得任何其他聯合作戰能力。信息優勢是把作戰空間變得使自己的部隊感到透明,使敵人感到模糊不清,為己方部隊創造一個一清二楚地全面了解戰場空間信息的優勢環境,而使敵方部隊得不到作戰必須的信息。為將信息優勢轉化為作戰優勢,需將戰場態勢了解、有效運用部隊和可靠網絡服務三種能力融合成為一個多系統的體系。
3.對信息戰與電子戰的關係的認識
信息戰概**出現后,對電子戰界確實產生了一些衝擊,擔心電子戰會被信息戰代替。其實,信息戰並不是電子戰的替代物。電子戰是指揮控制戰的支柱之一,也是信息戰的一個組成部分。電子戰包括電子攻擊、電子防護和電子支援三個功能領域。電子戰在電磁頻譜介質內進行,在傳統上它被認為是射頻能量的傳播。電子戰主要集中於末端對抗,比如對抗雷達、導彈傳感器、數據鏈路或通信信道。因此,電子戰從簡單的通信干擾和雷達干擾,發展形成了電子戰的三套馬車一一遠距離通信干擾、對敵防空壓制和遠距離雷達千擾。信息戰(InformationWarfare)以及人們所說的信息作戰(InformationOperations)包括電子戰、欺騙、心理戰、摧毀和作戰保密等五個學科。信息戰在信息領域內進行。信息領域包括電磁頻譜、電腦空間一計算機和連接計算機的傳輸系統、人的思維過程和決策系統。人的思維過程和決策過程是基於信息的過程的主要組成部分。決策系統包括參與決策的機構、人員、裝備和信息庫。信息戰致力於同信息系統和功能的更廣泛的對抗,包括與網絡、思維過程以及傳感器、數據鏈路和其他系統的對抗。電子戰的關鍵是把所有電子變成內在的戰場能力;信息戰關鍵是把所有“比特”融入戰場能力之中。電子戰的基本進攻方式是利用電磁能和定向能千擾和破壞信息系統的信息採集和傳輸過程,從而使信息系統不能採集和傳輸信息,對已經採集到的信息它基本上是無能為力的。如果上述方式無效,電子戰的最終作戰方式也可以借用其它武器而採取硬摧毀的方式,使信息系統徹底崩潰。在信息戰中,除了影響信息的採集和傳輸過程仍用電子戰的方式外,它更加重視影響信息本身和基於信息的過程,甚至侵入敵方的信息系統,以改變敵方己經獲得的信息內容和思想,使敵方按照錯誤的方式行動。如果上述各種方式無效,信息戰的最終作戰方式也可以借用其它武器而採取硬摧毀的方式,使信息和信息系統徹底崩潰。由此可見,電子戰和信息戰既有相同點,又有不同點,各有特點和對抗重點。而電子戰早己為人們所熟悉、接受,已形成了一個獨立的作戰樣式,因此沒有必要用一個剛剛提出又處於分析論證階段的信息戰取代它。而只能是互為補充,以達到最佳的作戰效果。
4.信息戰是一種綜合戰略
信息戰不只是一種工具或功能,也不只是實施戰略的措施,它本身就是一種戰略。根據對手和環境的不同,甚至可以作為一種綜合的獨立戰略。我們可以從五個層面來理解信息戰是一種綜合戰略。
一是從組成上看,它包括電子戰、欺騙、心理戰、摧毀和作戰保密五個學科。每個學科都有自己的專業,甚至在某些情況下又是幾個專業的綜合。對每個組成部分的作用必須預先進行計劃,並按補充和加強其他組成部分的作用的方式予以執行,從而達到總的目的。
二是從功能上看,它包括進攻和防禦兩個部分。每種進攻性信息戰行動都必須考慮到它對防禦措施的潛在影響。反之,每種防禦性信息戰措施也必須考慮對進攻能力的影響。
三是從跨越的時間上看,它跨越了從和平到危機到戰爭再回到和平的整個過程。信息戰在上述整個過程中都發揮作用。不能到危機時才想起信息戰,並期望利用信息戰來解決危機。必須搶在敵人前面對信息戰的方案進行準備、評估,並針對某些情況進行演習。
四是從各軍種和國防部各機構的責任看,信息戰活動涉及到各軍種和國防部的各個組成機構。在美國新修定的政策和指南中,要求各軍種負責信息戰的組織、訓練和裝備部隊,以便進行信息戰。要求國防情報局負責組織數字戰場空間。
五是從涉及的其他機構看,信息戰涉及政府機構、商業機構以及全球信息基礎設施中的國際機構。即使只對有關國防的所有關鍵系統進行防禦,仍然要靠一個複雜的相互交錯的由國防部、聯邦政府、合同商以及商業私人機構、人員與設施等“多部門組成的體系”來支持。確保這些基礎設施可獲得,是完成國防關鍵系統防禦任務的關鍵。
5.信息戰的模型
信息戰模型由防禦性行動、進攻性行動和其他行動等三類行動所組成。防禦性行動包括保護、加固、作戰保密、冗餘和物理安全。“保護”是指保護自己的信息系統的各種措施:“加固’。
信息系統作“冗餘”設計和配置:物理安全是採取一些“物理安全”措施和一些保護措施。進攻性活動包括:摧毀敵方的信息系統:使敵方信息系統飽和,超出其工作能力:利用敵方信息系統中的資源;對其加入錯誤的信息;用信息來震懾、恫嚇敵方;有意向敵方提供一些信息:癱瘓敵方的能力;干擾敵方的傳感器:脅迫敵方服從和用信息影響敵方的各種行動。其他行動是指利用信息對某些對象加以影響。如利用救災和人道主義援助等“和平”行動,改善形象,獲得軍事上影響。
在作戰目標上,“信息戰”能達到戰略和戰術兩個層次上的不同目的。在戰略上,信息戰的最終戰略目標是影響戰略決策者,使其停止那些對己方國家利益構成威脅的那些行動:而在戰術和戰役上,信息戰通過攻擊敵人信息、信息傳輸鏈路、信息收集和處理節點和人與信息系統的接口,同時保護己方的同類系統,取得“信息優勢”。
6.信息戰只是信息化戰爭中的一種作戰樣式
戰爭類型是按戰爭的性質或其某一基本特徵所作的基本分類。如按規模分,有世界大戰、全面戰爭和局部戰爭。信息化是未來高技術戰爭的基本特徵。前不久,錢學森同志站在戰爭的基本特徵的高度,對未來戰爭類型的發展作了科學的論斷。他指出:“未來戰爭是在核威懾下的信息化戰爭。”
戰爭樣式是按戰爭內容而進行的分類,如運動戰、陣地戰、游擊戰和電子戰等。信息戰和電子戰一樣都是戰爭的內容,屬於戰爭樣式,而不是戰爭類型。信息戰只是信息化戰爭中的一種作戰樣式,而不是戰爭類型。信息戰和信息化戰爭是兩種不同的概**,二者不能等同,不能混為一談。
7.對信息戰不能理想化
現在,信息戰通常不能作為一種獨立的作戰樣式,還必須與其它作戰樣式相結合才能獲得最大的效能和效益。完全運用信息戰將不是一件容易的事。主要問題是確定對方的信息系統結構困難。儘管一國能夠規劃對另一國銀行系統的信息戰攻擊,但是,很難確定攻擊行動是否有效,什麼級別的擾亂措施能成功。道格·理查森在其文章中指出:“在可預見的將來,計算機戰仍是科學幻想。”
另外,對資訊時代的戰爭也不能過分理想化。不能把它想像成是遙控的、不流血的、乾淨的和沒有危險的。資訊時代的戰爭仍將充滿不確定性或模糊性,並具有多樣性。資訊時代的戰爭仍是人挑起的,只能通過人參與才能結束戰爭,無法通過純粹的技術方案來結束戰爭。死亡和破壞仍將是戰爭所要付出的代價。不屬於增強信息戰能力的範疇。經過最近的研究和消化美國國防部的有關資料,我們認為發展綜合電子信息系統完全屬於增強信息戰能力的範疇。正如美國國防部出版的《聯合作戰科學技術計劃》所指出的那樣:進攻信息戰與防禦信息戰的交叉之處是高效的綜合電子信息系統,它對進攻信息戰與防禦信息戰都很重要,是信息戰能力的不可缺少的因素和組成部分。
之所以將發展綜合電子信息系統放在增強信息戰能力的範疇是因為以下兩方面的原因:一是信息戰的目標選擇,需要綜合電子信息系統的長期不斷的偵察、分析和判斷,離開綜合電子信息系統的支持信息戰就難以進行。二是綜合電子信息系統是防禦信息戰的宿主。信息戰的防禦目的主要是為己方信息的安全,而信息的安全離不開對信息系統的防護。所有安全措施都應針對己方信息系統的弱點來設計,並將其安裝在信息系統上。離開信息系統的抽象安全實施是沒有什麼用處的。因此,不能把增強信息戰能力和發展綜合電子信息系統分割開來。
四.信息戰的分類及對其認識
從總體上看,信息戰應分為兩大類。一是國家級信息戰,也稱為戰略級信息戰;二是軍事作戰級信息戰,也稱為指揮控制戰。
1.戰略信息戰及對其不同的看法
在國家級,信息戰可以看成是戰略戰的新方式,它的關鍵問題之一是,社會經濟系統的脆弱性和如何攻擊敵人的社會經濟系統,同時又保護自己的社會經濟系統。當不斷把信息能力融入到軍事結構中,並把注意力更多地集中在建立和維持“信息優勢”,作為贏得戰爭的戰略時,它不僅改變了軍隊的易損性,最終也改變了國家的易損性。另外,隨着國際信息基礎設施的增長和複雜化,它的有效範圍超出了任意一個組織或任何一個國家的控制範圍。同時它又存在無數個讓其他人進入系統的訪問點。這就更增加了國家信息基礎設施的脆弱性。
因此有人設想,一個國家可以組織“黑客”通過互聯網和與其直接或間接相連的其他專用網入侵另一個國家的交通、銀行、電力、石油等重要經濟部門或政府辦公系統,造成另一個國家交通癱瘓,金融混亂,電網停電,煉油廠爆炸,政府的計算機系統減速、失去聯繫、崩潰。用這種國家級信息攻擊的形式達到控制另一個國家的目標。實施這種信息戰攻擊超出了軍隊作戰的範疇,也不是組織新軍隊所能解決的。因此,稱為國家級信息戰或戰略信息戰。
當前,對這種攻擊是否能夠完全達到預期的目的存在爭議。以蘭德公司和未來學家托夫勒為代表.積極支持、主張戰略信息戰這種觀點,還多次給國防部官員進行模擬演習。托夫勒在其著作中甚至列舉了一位前高級情報官員說過的一句話:“給我10億美元和20個人,我可以使美國癱瘓,讓聯邦儲備系統和所有的自動提款機停止運轉,使全國的所有計算機不同步。”聯邦調查局計算機犯罪緝查小組負責人吉姆·塞特爾也曾經說過:“給我10個精選出來的“黑客”,90天內我就能讓一個國家繳械投降。”
與此相反,也有人持不同的看法。例如,艾倫。坎彭就指出:“倉促採用一種人們不甚了解的、未經檢驗的新戰法是有風險的,信息戰所依據的想定可能靠不住。如果這一想定出了問題,美國就會把一場有益的軍事革命變為對國家安全的賭博。”模擬演習並不能代表實際作戰。美國學者道格·理查森也在“信息戰的黑色藝術”一文中指出:大多數“黑客”對付特定類型的計算機系統是有效的,因為它是針對特定系統安全機構中的已知弱點進行的。一次很成功的“黑客”攻擊可能有很大的短期效應,也許會使電話和銀行服務停業數天,甚至使工業控制系統、電力網和空中交通管制系統陷於混亂。但“黑客”造成的影響可能是有限的,它不會對政治領導人造成多大的影響,它不會成為最終的戰爭勝利者。再如,最近台刊也曾刊登過一篇不同觀點的文章,文中指出:固然,信息化社會的來臨提供了不少以小搏大、以寡勝眾的機會。但是任何人都不應該期望一個技術基礎、高科技工業並不怎麼為人所稱道的小國,可以僅僅利用一群電腦“黑客”就使一個科技、工業大國陷入癱瘓。文章列舉了以下理由:世上電腦系統千千萬萬,多數大型系統的管理工程師即使有充足的信息和工具在手,也無法在一年半載的時間內徹底了解他人所掌管的系統,也不是每一位信息工程師都能將電腦軟、硬件的功能徹底了解;除非網絡入侵者熟悉整個作業程序及關卡,否則即使侵入某個組織的網絡系統,除了破壞一番之外也無力以假指令欺騙對方按照己方戲路翩翩起舞;信息軟、硬件發展速度是任何人都難以準確預估的,軟、硬件改版、升級的程度和方向更是無可預計,因此計劃以信息戰全面奇襲敵國的團體必然會面對眾多無法掌握的變因,等等。另外,英國《經濟學家》雜誌刊登的一篇文章指出:現代計算機網絡的分散化,加上備份數據庫的做法,使得一次打擊便破壞一國經濟能力的可能性很小。因此,現在還不能對戰略信息戰的效能立即作出肯定或是否定的結論,還有待實踐的檢驗。
2.戰爭中的信息戰
在軍事作戰級,信息戰會使作戰方式產生重大變化。因此,關鍵問題之一是,指揮、控制、通信和情報系統的脆弱性和如何攻擊敵人的這些系統,同時又保護自己的系統。25年後採用了信息戰的兵力結構可能與今日的兵力結構完全不同,不止是在武器裝備上,而且在作戰方式上。信息戰並不總是起支撐性的作用,它可能在未來的戰役中起首要的作用。這就使取得有組織的實施不僅更加重要而且更具挑戰性。
美軍參謀長聯席會議認為,指揮控制戰就是在戰場上進行的信息戰。對指揮控制戰已有明確的定義,而且認識一致。指揮控制戰將對作為作戰的不可缺少的第一步一奪取制空權提出挑戰。電視和其他通信媒體將作為指揮控制戰的工具,來提高或瓦解民眾的士氣。它的另一種進攻方式是設法滲入敵方的戰場信息系統和信息操作過程。指揮控制戰是特定作戰環境下的一種信息戰方式。
五.信息戰的作戰能力和技術
研究了信息戰的一些概**后,我們應重點研究一下信息戰如何進行,需要具備什麼能力,用什麼樣的技術,而不能只研究概**。信息戰能力包括進攻與防禦兩種能力。防禦信息戰是將政策、規程、行動、情報、法律和技術在內的多種手段綜合與協調起來,對信息與信息系統實施保護的過程。進攻信息戰是綜合利用各種攻擊手段,對敵方的信息和信息系統實施摧毀、瓦解保護、侵入和切斷信息傳輸的各種行動。這些能力靠信息技術轉化的功能來實現。
1.信息戰的防禦能力
信息戰的防禦包括保護、探測攻擊與恢復三種能力。信息戰的保護能力是為了實現信息安全、作戰安全和信息完整性。信息安全的目標是在多種複雜的安全政策下,利用分佈式開發系統結構和不同的安全屬性,對有意和無意地、未經授權地泄漏、詢問、操作、更改提供保護。作戰安全的目標是,消除由於己方能力的局限性和有關意圖的信息被敵方利用而造成的易損性,或將其降低到可接受的程度。信息完整性的目標是,確保信息完整和不受損害。
探測攻擊能力的目的是,提供潛在攻擊的早期預警,以便鰲示所有防禦機制,採取行動和反措施以及能減少或消除攻擊效果的其他手段。恢復能力的目的是,在受到攻擊時,具備在確定的可接受的水平上繼續運行的能力,以避免系統的災難性破壞,並堅持到攻擊之後,以進行修復和重建。
2.信息戰的攻擊能力
信息戰的攻擊包括控制、欺騙和摧毀三種能力。控制能力包括阻止、破壞、削弱和利用能力。其目的是,通過阻止對信息的訪問和使用,以及對操作能力的破壞,或有選擇地降低服務水平等進攻手段,來控制敵方對信息、信息系統的使用。
欺騙能力的目的是,通過對敵方依賴的信息、信息源進行欺騙攻擊,有選擇地影響敵方對信息、基於信息的過程、信息系統和計算機網絡的使用和可靠性。
摧毀能力的目的是採用進攻武器,破壞敵方信息的使用、傳遞、收集和訪問能力,提供對敵方信息、基於信息的過程、信息系統和計算機網絡進行有選擇性地破壞。
3.實現信息戰防禦的九種功能
(1)信息抗毀功能。用信息抗毀功能提供保護能力,確保信息、信息系統安全和完整性。
(2)訪問控制/安全服務功能。只允許授權的人員訪問信息系統,不允許其他人員訪問信息系統,以確保信息安全與完整。
(3)服務的實用性功能。依靠支持分佈計算的通信,來確保信息系統在需要時可用。
(4)網絡管理和控制功能。運用可重新配置的、抗破壞的協議和和控制算法,實現自我修復和管理在不同種類平台與網絡上的分佈計算。
(5)毀傷評估功能。用其確定攻擊的效果,既可用於防禦信息戰,也可用於進攻信息戰。
(6)響應功能。對威脅、入侵者、網絡與系統受到的干擾,實施隔離、糾正或其他行動,使決策者具備隔離、控制、糾錯和秘密監控等能力。糾正能力還包括恢復、資源的重新配置與重建。
(7)易毀性評估與規劃功能。用其如實評估敵對雙方信息系統與基於信息的過程。對己方系統的評估有利於風險管理和易毀性分析;對敵方系統的評估可為攻擊規劃與作戰實施提供基礎。
(8)事先指示功能。用其為己方信息系統和子系統提供即將發生的信息攻擊預兆和指示。
(9)入侵探測和威脅告警功能。用其探測內部和外部人員的入侵企圖和己成功的入侵。
4實現信息戰進攻的七種功能
(1)破壞敵方信息和信息系統的功能。用其摧毀敵方的信息系統,或在不被探測到的情
況下改變敵方信息。可以在信息進入信息系統之前對信息採取行動,也可在信息進入信息系統之後對其採取行動。
(2)瓦解敵方保護的功能。用其瓦解敵方對信息、軟件和信息系統採取的保護設計和保護硬件。
(3)闖入敵方信息系統的功能。用其提供強行闖入敵方信息系統、網絡和檔案庫並注入符合己方要求的信息的能力。該功能還包括能夠隱瞞闖入行動,或隱瞞闖入行動的目的。
(4)對敵方信息系統實體破壞的功能。用其阻止敵方訪問和使用其信息系統。其手段包括傳統的硬殺傷和引起服務中斷的小的破壞行動。
(5)切斷敵方信息傳輸的功能。用其切斷信息流入某一指定的信息系統,或切斷在信息系統中流動的任何途徑。這種功能不僅限於使用傳統的電子方式。
(6)將假情報和操作人員插入敵方信息系統的功能。用其在敵方的某個信息系統中注入錯誤的情況,或在敵方信息系統中安插己方操作人員。
(7)偽裝攻擊源的功能。用其阻止敵方了解信息進攻源,並阻止了解信息攻擊源本身的行動。偽裝攻擊源可以限制敵方的反應能力,進而推遲糾正或報復行動。
5.信息戰的技術
美國國防部最近公佈的非保密的信息戰研究計劃,並經過一段時間的思考,使我們對信息戰技術的了解加深了。信息戰技術主要由二部分組成。一是由“黑客”形成的和為對付其威脅而發展形成的技術。黑客提出來的技術,包括計算機病毒、瓦解計算機防護措施的技術、侵入計算機和網絡的技術等。對付黑客威脅而形成的技術包括,安全防火牆和保護手段(B3級)、計算資源的動態再分配、自動入侵探測和響應能力、基於現有商業設備的多級安全措施、可靠作業系統、惡意代碼探測工具、安全分析工具、系統安全措施、抗毀的適應性強的自動的依照具體情況的信息分發基礎設施、故障避免和恢復機制、信息戰規劃與決策輔助工具等。二是以改進的常規電子戰技術為基礎而形成的信息戰技術,包括安全的全球定位系統、高功率微波攻擊技術、對數字信息傳輸系統的電子攻擊等。但是,信息戰是一個不斷發展的領域,其理論、政策和分類都會迅速發展,而我們又無法看到美國保密的信息戰技術發展計劃,因此,現在還不能斷言信息戰技術就只有這兩類技術,而沒有其他技術。
6.組成信息戰能力需要一個體系
信息戰能力由支援保障、攻擊和防禦三種裝備組成的體系構成。支援保障裝備由現有的綜合電子信息系統和為信息戰的特殊要求而進一步改進完善的系統組成。它包括各種偵察和監視裝備、數據分析裝備等。進攻性的裝備大致分為以下三種:第一種是破壞政府、軍隊和重要經濟部門的賴以發揮作用的信息基礎設施的武器,這類武器的目標是對手的國防信息基礎設施和國家信息基礎設施。第二種是引起人員強烈心理反應而對其行為加以控制的武器裝備,這種裝備的目標是操作人員。有些病毒,如“666病毒”就能起到這種作用。第三種是無線電鎮壓手段。通過發射或反射電磁波、聲波、紅外信號等,使敵方電子設備、聲納和紅外設備失靈,如定向能、高功率微波攻擊武器等。防禦性裝備是加強己方信息系統安全對抗敵方攻擊所需的技術和裝備。
7.防禦措施的使用已見成效
從美國國防部的經驗看,增加防禦措施主要體現在三個方面。
一是重新修訂政策和條令。如重新修訂了“自動化信息系統的安全要求”條令,對非保密系統的安全加強了保護。再如,修訂了“信息作戰和信息戰”條令,更新現行政策,以反映信息戰的發展,提出了更清晰的定義,又制定了全面的職責。
二是組建了一些機構。在過去幾年中,美**方建立了陸軍的“地面信息戰行動處’,海軍的“艦隊信息戰中心”和空軍的“信息戰中心”,國家安全局同軍方合作正準備建立“國家信息戰技術中心”。國防信息系統局已建立了“全球信息控制中心”,以對國防信息基礎設施進行管理,並對其狀態進行準確評估。
三是繼續研製和使用網絡監控與防護技術。各軍種在其信息系統中,進行了更多的、及時的保護,已啟動了一些防禦系統,包括空軍的自動安全事故測試系統、陸軍的自動入侵監控系統。1996年只有38個節點安裝了自動安全鋇9量系統,到1997年10月己在所有空軍範圍內安裝了這種系統。國家安全局和國防預研計劃局合作正加強商業可獲得技術的安全性。
由於採用了以上諸項措施,信息系統的安全得到提高。在沒有使用監控措施之前,“闖入”信息系統的成功率為46%(23%是完全成功的),報告發現襲擊的只有13%。使用監控措施之後,“闖入”的成功率下降到12%,完全成功的概率只有2%,報告發現襲擊的百分比提高到25%。從時間上看,1994年探測到“闖入”的成功率只有354o,到1995年提高到829/o,到1996年又進一步提高到89%。安裝了做到安全測量系統的節點的事故報告也表明,到1996年三月底為止,入侵率已從1995年的3%降到1996年的2%。這些數據表明,美軍的信息安全工作己初見成效。同時也說明,防範黑客的入侵是有可能的。如震涼美國政府和軍隊的黑客入侵網站事件,經過警察21天在網上網下不斷地偵察,終於在1998年3月18日在以色列將自稱“分析家”的犯罪分子捕獲。
網絡安全威脅與防範技術
一、網絡安全威脅
網絡中的安全威脅主要有以下幾種:
1.病毒
計算機病毒是資訊時代的災難,是計算機系統最直接的安全威脅。儘管人類已與之鬥爭了數年,並已取得了一定的成績,但隨着Internet的發展,計算機病毒的種類急劇增多(如早期的“小球病毒”到引起全球恐慌的“梅麗莎”和CIH病毒等),擴散速度大大加快,對企業及個人用戶的破壞性正在加大。
2.內部威脅和無意破壞
事實上,大多數威脅來自企業內部,來自同事、被解僱的職員、受信任的顧客、諮詢顧問等所有能進入系統的人。此外,一些無意的行為,如丟失口令、琉忽大意、非法操作等都可以對網絡造成極大的破壞。據統計,此類問題在網絡安全問題中的比例高達70%。
3.系統“後門”
軟件的“後門”通常是軟件公司編程人員為了自便而設置的,一般不為外人所知,而一旦“後門”洞開,造成的後果將不堪設想。
4.黑客的入侵
黑客是英文Hacker的譯音,是指對計算機作業系統的奧秘有強烈興趣、具備基本的Internet安全知識、通常具有硬件和軟件的高級知識並通過自己編寫的程序來檢查系統完整性和安全性的人,而不是指那些非法破壞系統安全的人。由於作業系統和網絡軟件不可能100%的無缺陷和漏洞,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標,大部分黑客攻入網絡內部的事件都是因為安全措施不完善所致。
5.入侵者的蓄意破壞
這類入侵者很少自已編寫程序.他們一般下載或盜用他人的軟件工具。在未經他人許可的情形下篡改他人網頁,進行蓄意破壞。他們的犯案動機多半是因為政治原因或僅僅為了炫耀自己的技術。在去年和今年,美國發生過多起類似案件,我國的一些網站也遭到了此類惡意攻擊。
6.拒絕服務
攻擊者沒有獲得訪問權,而是用某些破壞性程序,引起網絡持久性或暫時性的運行失敗、重新啟動、掛起或其他無法操作的狀態,導致系統無法完成應有的網絡服務項目。這就是常見的“拒絕服務”。
二、防範技術
1.防病毒軟件
防病毒解決方案的做法有以下幾種:信息伺服器端、文件伺服器端、客戶端防病毒軟件、防病毒網關以及網站上的在線掃毒軟件。目前,市場上的主要防病毒軟件有KIL、Kv、Av等國有品牌。
2.防火牆
防火牆是一道門檻,控制進出兩個方向的通信。通過限制與網絡或某一特定區域的通信,以達到防止非法用戶侵犯Internet和公用網絡的目的。防火牆是一種被動防衛技術,由於它假設了網絡的邊界和服務,因此對內部的非法訪問難以有效地控制。因此,防火牆最適合於相對獨立的與外部網絡互連途徑有限的、網絡服務種類相對集中的單一網絡。例如常見的企業專用網。
實現防火牆的主要技術有:數據包過濾、應用網關和代理服務等。
(1)包過濾(FacketFilter)技術是在網絡層中對數據包實施有選擇的通過。依據系統內事先設定的過濾邏輯,檢查數據流中每個數據包后。根據數據包的源地址、目的地址、所用的TCP端口與TCP的鏈路狀態等因素來確定是否允許數據包通過。
(2)應用網關(ApplicationGat,ay)技術是建立在網絡應用層上的協議過濾。它針對特別的網絡應用服務協議即數據過濾協議,井且能夠對數據包分析並形成相關的報告。在實際工作中,應用網關一般由專用工作站系統來完成。
(3)代理服務(Proyserver)是設置在工internet防火牆網關的專用應用級代碼。這種代理服務准許網絡管員允許或拒絕特定的應用程式或應用的特定功能。包過濾技術和應用網關是通過特定的邏輯判斷來決定是否允許特定的數據包通過,一旦判斷條件滿足,防火牆內部網絡的結構和運行狀態便“暴露”在外來用戶面前,這就引入了代理服務的概**,即防火牆內外計算機系統應用層的“連結”。由兩個終止於代理服務的“連結”來實現,就成功地實現了防火牆內外計算機系統的隔離。同時,代理服務還可用於實施較強的數據流監控、過濾、記錄和報告等功能。代理服務技術主要通過專用計算機硬件(如工作站)來承擔。
綜合上述幾種防火牆技術的特點,可以產生通用、高效和安全的防火牆。如將應用網關技術和包過濾技術結合起來,將保證應用層安全性、統一支持處理所有協議、審計和預警等,其運轉對於用戶和建立系統都是透明的,便於配置和管理。
3.加密
採用密碼技術對信息加密是最常用的安全保護手段。目前廣泛應用的加密技術主要有兩類:
(1)對稱密鑰密碼技術
對稱(傳統)密碼體制是從傳統的簡單換位,代替密碼發展而來的,自1977年美國頒佈DES密碼算法作為美國數據加密標準以來,對稱密鑰密碼體製得到了迅猛的發展,在世界各國得到了關注和使用。
對稱密鑰密碼技術,其主要特點是加密雙方在加密過程中要使用完全相同的密碼。
對稱算法中最常用的是D巴算法,它是美國政府機關為保護信息處理中的計算機數據而使用的一種加密方式,是一種常規密碼體制的密碼算法。對稱算法的主要問題是由於加解密雙方要使用相同的密碼,在發送接收數據之前,就必須完成密鑰的分發。因此,密鑰的分發成為該加密體系中最薄弱的環節。各種基本手段均很難完成這一過程。同時,這一點也使密碼更新的周期加長.給其他人破譯密碼提供了機會。對稱密鑰密碼體制從加密模式上又分為序列密碼和分組密碼兩大類。
a序列密碼
序列密碼一直是作為軍事和外交場合使用的主要密碼技術之一,它的主要原理是,通過有限狀態機產生性能優良的偽隨機序列,使用該序列加密信息流(逐比特加密)得到密文序列。所以,序列密碼算法的安全強度完全決定於它所產生的偽隨機序列的好壞。衡量一個偽隨機序列好壞的標準有多種,比較通用的有著名的Gol胡b的三個條件,Rueppel的線性複雜度隨機走動條件,線性逼近以及產生該序列的布爾函數滿足的相關免疫條件等。產生好的序列密碼的主要途徑之一是利用移位寄存器產生偽隨機序列。
b.分組密碼
分組密碼的工作方式是將明文分成固定長度的組〔塊),如64比特一組,用同一密鑰和算法對每一塊加密,輸出也是固定長度的密文。例如,D臼密碼算法的輸入為64比特明文,密鑰長度56比特,密文長度64比特.設計分組密碼算法的核心技術是,在相信複雜函數可以通過簡單函數疊代若干圈得到的原則下,利用簡單圈函數及對合等運算,充分利用非線性運算。
(2)非對稱密鑰密碼技術
1976年Diffie和“ell二an以及Merkle分別提出了公開密鑰密碼體制的思想,這不同於傳統的對稱密鑰密碼體制,它要求密鑰成對出現.一個為加密密鑰,另一個為解密密鑰.且不可能從其中一個推導出另一個。
公鑰加密算法也稱非對稱密鑰算法,用兩對密鑰:一個公共密鑰和一個專用密鑰。用戶要保障專用密鑰的安全;公共密鑰則可以發佈出去。公共密鑰與專用密鑰是有緊密關係的,用公共密鑰加密的信息只能用專用密鑰解密,反之亦然。由於公鑰算法不需要聯機密鑰伺服器。密鑰分配協議簡單,所以極大簡化了密鑰管理。除加密功能外,公鑰系統還可以提供數字簽名,對信息發送人的身份驗證與保障數據的完整性方面都有很好的解決方案。
公鑰加密算法中使用最廣的是RSA。RSA使用兩個密鑰,一個公共密鑰,一個專用密鑰。如用其中一個加密,則可用另一個解密,密鑰長度從40到ZO8bit可變,加密時也把明文分成塊,塊的大小可變,但不能超過密鑰的長度,鄧A算法把每一塊明文轉化為與密鑰長度相同的密文塊。密鑰越長,加密效果越好,但加密解密的開銷也大,所以要在安全與性能之間折衷考慮,一般64是較合適的。RSA的一個比較知名的應用是SsL,在美國和加拿大SSL用128位RSA算法,由於出口限制,在其它地區(包括中國)通用的則是40位版本。公用密鑰的優點就在於,也許你並不認識某一實體,但只要你的伺服器認為該實體的CA中心是可靠的,就可以進行安全通信,而這正是份eb商務這樣的業務所要求的。服務方對自己的資源可根據客戶cA的發行機構的可靠程度來授權。目前國內外尚沒有可以被廣泛信賴的以。公共密鑰方案較保密密鑰方案處理速度慢,因此,通常把共公密鑰與專用密鑰技術結合起來實現最佳性能。即用公共密鑰技術在通信雙方之間傳送專用密鑰,而用專用密鑰來對實際傳輸的數據加密解密。另外,公鑰加密也用來對專用密鑰進行加密。RsA算法研製的最初理**與目標是旨在解決利用公開信道傳輸分發私有密鑰的難題。而實際結果不但很好地解決了這一難題,還可利用RSA來完成對電文的數字簽名、以防止對電文的否認與抵賴,同時還可以利用數字簽名來發現攻擊者對電文的非法篡改,以保護數據信息的完整性。由於密碼分析和攻擊手段的進步,已不能滿足安全需要,美國正在確定新的加密標準A此,作為21世紀的加密標準。新的密碼體制如量子密碼,正處於探索階段。
4.虛擬專有網絡(VpN)
相對於專屬於某公司的私有網絡或是租用的專線,VPN是架設於公眾電信網絡之上的私有信息網絡,其保密方式是使用信道協議及相關的安全程序。
目前有許多公司開始考慮在外聯網及廣域的企業內聯網上使用V剛.V剛的使用還牽涉到加密後送出資料,及在另一端收到后解密還原資料等問題,而更高層次的安全包括進一步加密收發兩端的網絡位置。
Microsoft、3Com及其他許多公司更是提出T點對點信道協議標準(Foint一to一PointTunelingProtocol,P盯P),如內建於賈ind眼sNTServer的MicrosoftPFTP等。這些協議的採用有助於提高vPN的安全性。
5.安全檢測
這種方法是採取預先主動的方式,對客戶端和網絡的各層進行全面有效的自動安全檢測,以發現和避免系統遭受攻擊傷害。例如,為了對付電腦黑客最近針對幾大主要網站發起的所謂“拒絕服務”攻擊行動,以公司推出了一種名為ueTrust闖入偵測”的安全解決方案,以確保企業、學術研究機構和其他電子商務客戶免遭電腦空間恐怖活動的侵害。
“eTrust闖入偵測”安全解決方案能夠以三種方式提供安全保護:它可以防止電腦黑客向系統裝載所謂“bie”程序,用於以後發起“拒絕服務”攻擊:它可以對一個已經被電腦黑客滲透並正在使用的環境即時發出苦告;它還可以在網站受到“拒絕服務”和其他類型的攻擊時,對網站管理人員發出警告。
此類安全解決方案還包括諾方公司用以解決跳b主頁信息安全問題的信息水印服務。網站管理員可以利用諾方信息水印時間服務(GrandTi配)和簽發服務(Grandst明P),為需要的主頁加入主頁水印信息,以確保信息的完整性和時間有效性。Grandst胡p將對主頁及其信息水印進行全天候的監視,一旦發現該主頁被篡改,便可發出報警信號,並將它封存歸檔備查,而用戶只要安裝了諾方安全客戶端軟件(isafe),就可以從isafe中獲得主頁水印的驗證信息,從而確定主頁的可信度。同時,諾方公司還即將推出針對動態頁面的安全服務。
網絡安全及網絡安全技術
信息技術的普及與發展已把人類社會推向了網絡化的時代。計算機網絡的發展也對信息的安全保護提出了巨大的挑戰。如果不能有效地解決計算機網絡的安全問題、必然影響對計算機網絡的更深層次的應用。
一、網絡安全問題現狀
隨着國際互聯網(Internet)的發展,網絡資源日益得到廣泛應用,網絡安全的矛盾亦日漸突出。事實上,資源共享和信息安全歷來是一對矛盾。計算機網絡系統的安全威脅主要來自”黑客,(hackers)的攻擊、計算機病毒(virus)以及拒絕服務攻擊(DenialofServiceAttack),此外,網絡系統的脆弱性及人的因素也是不容忽視的兩個方面。
1.黑客攻擊
黑客早在主機終端時代就已經出現,現代黑客慣常通過網絡進行攻擊,其常用手法是通過網絡監聽獲取網上用戶的賬號和密碼。利用UNIX作業系統提供的缺省帳戶,如,Telnetdaemon,FTPdaemon,Remoteexecdaemon等。.利用公開協議或工具,收集駐留在網絡系統中的各個主機系統的相關信息。如,SNKP協議、FINGER協議以及PING,TRACEROUTE等程序;.利用Sendmail,採用debug,wizard,pipe進行攻擊:.利用FTP,採用匿名進行攻擊;.利用NFS進行攻擊。
目前,已知的黑客攻擊手段己多達500餘種,其行為正在不斷地走向系統化和組織化,所以如何保護自己的信息渠道和資源已成為網絡應用中的重要課題。
2、計算機病毒
當今國際互聯網將全球經濟活動緊密聯繫在一起的同時,也為新一代計算機病毒提供了更為便捷的傳染途徑。比如,病毒可以通過電子郵件、軟件下載、文件伺服器、防火牆等侵入網絡內部,傳輸介質可以是光纖、電纜或電話線。人們雖然對於在單機環境中的病毒防治取得了很大成績,但計算機網絡無疑為病毒防治工作提出了新的挑戰。計算機病毒種類繁多,極易傳播,影啊範圍廣。它動輒刪除、修改文_竹,導致程序運行錯誤、死機,甚至於毀壞硬件,己構成對網絡安全的嚴重威脅。
3、拒絕服務攻擊
拒絕服務攻擊是一種破壞性攻擊,最旱的拒絕服務攻擊是’電子郵件炸彈”。它的表現形式是用戶在很短的時間內收到大量垃圾電子郵件,從而影響正常業務的運行。嚴重時會使系統關機、網絡癱瘓。“信息炸彈”的攻擊更具威懾力,信息炸彈一旦爆炸,就會引起網絡系統癱瘓。
4、網絡系統的脆弱性
國際互聯網從建設伊始就缺乏安全的總體構想,因而充滿了安全隱患和固有的安全缺陷。例如,Internet所依賴的TCP/IP協議本身就很不安全,運行該協議的網絡系統,存在着欺騙攻擊、否認服務、拒絕服務、數據截取和數據纂改五種類型的威脅和攻擊。IP層協議有許多安全缺陷:
.應用層協議Telnet,FTP,SUP等協議缺乏認證和保密措施
.依靠欽件設置IP位址,造成地址假冒和地址欺騙
IP協議支持源路由方式,即源點可以指定信息包傳送到目的節點的中間路由,提供了源路由攻擊的條件。
5、人的因素
在一個安全設計充分的網絡中,人為因素造成的安全漏洞無疑是整個網絡安全性的J*大隱患。網絡管理員或者網絡用戶都擁有相應的權限,利用這些權限破壞網絡安全的隱患也是存在的。如,操作口令被泄露,磁盤上的機密文件被人利用及未將臨時文件刪除導致重要信息被竊取,都可能使網絡安全機制形同虛設,從內部遭受嚴重破壞
二、網絡安全技術
網絡安全技術通常包括防火牆技術和以加密技術為基礎的數字簽名技術等。
1、防火牆技術
防火牆技術是在受保護網和不被信任的網絡之間設立一個屏障,對進出的所有報文進行分析,或對用戶進行認證,從而防止有害信息進入受保護網,以保護內部系統的安全。
防火牆的主耍功能如下:
過濾不全服務和非法用戶,如Finger,NFS等:禁止未授權的用戶訪問受保護網絡。控制對特殊站點的訪問。防火牆可以允許受保護網的一部分主機被外部網訪問,而另一部分被保護起來,防止不必要訪問。如受保護網中的Mail,FTP,WWW伺服器等可被外部網訪問,而其他訪問則被主機禁止。有的防火牆同時充當對外伺服器,而禁止對所有受保護網內主機的訪問。提供監視Internet安全和預警的方便端點
防火牆常常可以有效地防止黑客的攻擊。但是,防火牆難以避免來自內部的攻擊。防火牆只是一種整體安全防範策略的一部分。防火牆的技術發展總體來看,經歷了三個階段,即包過濾技術、代理技術和狀態監視技術。
(1)包過濾技術
包過濾防火牆的安全方式是IP位址檢驗。在互聯網上,所有的信息都是以包的形式傳輸,包括發送者的IP位址和接收者的IP位址。網絡上的路由器會讀取每一個信息包中接收方的工P地址,然後選擇不同的通信線路將這些信息包發送到目的地。所有的信息包抵達目的地后再重新組裝還原。這時位於接收方網絡出口的包過濾式防火牆會檢查所有信息包中發送方的IP位址、接收方的IP位址、TCP端口、TCP鏈路狀態,並按照網管人員預先設定的過濾原則過濾信息包。那些不符合規定的IP位址會被防火牆過濾掉,由此保證網絡系統的安全。這是一種基於網絡層的安全技術,對於應用層上的黑客行為則無能為力。
(2)代理技術
代理技術是比單一的包過濾更為有效的安全保護手段。它通常運行在兩個網絡之間,對於用戶來說像一台真的伺服器,但對於外部網絡接收呼叫的伺服器來說它又是一台客戶機。當代理伺服器接收到用戶請求後會檢查用戶請求合法性。如果合法,代理伺服器會像一台客戶機一樣取回所需要的信息再轉發給客戶。代理伺服器將內部用戶和外界隔離開來,從外面只能看到代理伺服器而看不到任何內部資源。但代理伺服器沒有從根本上解決包過濾技術的缺陷,在應用支持方面也有不足之處,而且速度較慢。
(3)狀態監視技術
這是第三代網絡安全技術。狀態監視器的監測模塊在不影響網絡安全正常工作的前提下,採用抽取相關數據的方法對網絡通信的各層實行監測,並作為安全決策的參考。監測模塊支持多種協議和應用程式,可以方便地實現應用和服務的擴充。另外,狀態監視器還監測RPC和VDP端口信息,而包過濾和代理網關都不支持此類端口。這樣,通過對各層進行監測,狀態監測器從而實現保證網絡安全的目的。
2,數字簽名技術
數字簽名技術是採用加密技術的加、解密算法體制來實現對報文的數字簽名。
數字簽名能夠實現以下功能:
(1)收方能夠證實發方的真實身份
(2)發方事後不能否認所發送過的報文:
(3)收方或非法者不能偽造、篡改報文。
實現數字簽名的方法較多,本文只分析兩種常用的數字簽名技術。
(1)秘密密鑰(secretkey)的數字簽名
秘密密鑰的加密技術是指發方和收方依照事先約定的密鑰對明文進行加密和解密的算法,它的加密密鑰和解密密鑰為同一密鑰,只有發方和收方才知道這一密鑰(如DES體制)。由於雙方都知道同一密鑰,無法杜絕否認和篡改報文的可能性,所以必須引入第三方加以控制。秘密密鑰的加密技術成功地實現了報文的數字簽名,採用這種方法兒乎使危害報文安全的可能性降為零。但是這種數字簽名技術也有其固有的弊端。在全部簽名過程亡“,必須引入第三方中央權威、同時必須保證中央權威的安全性和可靠性,這就為中央權威的管理帶來了很大的困難,這問題可以由下面的公開密鑰的數字簽名技術來解決。
(2)公開密鑰(publickey)的數字簽名
由於秘密密鑰的數字簽名技術需要引入第三方機構,而人們又很難保證中央權威的安全性、可靠性,同時這種機制給網絡管理工作帶來很大困難,所以迫切需要一種只需收、發雙方參與就可實現的數字簽名技術,而公開密鑰的加密體制很好地解決了這一難題。公開密鑰密碼體制出現於1976年。它最主要的特點就是加密和解密使用不同的密鑰,每個用戶保存着一對密鑰—公開密鑰PK和秘密密鑰SK,因此,這種體制又稱為雙鑰或非對稱密鑰密碼體制。這種數字簽名方法必須同時使用收、發雙方的解密密鑰和公開密鑰才能獲得原文,也能夠完成發方的身份認證和收方無法偽造報文的功能。因為只有發方有其解密密i11,所以只要能用其公開密鑰加以還原,發方就無法否認所發送的報文。
三、平衡網絡安全性和可訪問性
當我們重視安全問題時,還必須注意保持網絡安全性與可訪問性之間的平衡。商業的需求要求網絡的某些部分必須易於訪問,這樣才能激勵人們使用它。Internet%F1Intranet被企業廣泛地接受,並作為企業增強競爭力和改善IT服務的渠道,其主要原因就是它們改善了網絡的可訪問性。
但是,開放網絡在提供了更好的可訪問性的同時,也將公司數據暴露在不斷增長的病毒以及未授權訪問的威脅之下。因此,每個公司都必須考慮安全策略、執行安全策略的工具以及承擔因安全缺陷而受到傷害的風險。系統和網絡管理軟件往往成為企業解決安全問題的突破口,因為這是處理開放和異構網絡安全問題的最好地方,通過系統與網絡管理實現安全解決方案,企業網絡系統可以做到對資源和訪問進行中央控制並減少管理負擔。事實七,近年來網絡管理的趨勢己經從對管理通信傳輸系統的低層次的單一控制轉向高水平的和主系統的控制,進而使得用戶在網絡系統管理的過程中,就能夠滿足他們的安全需要。
與其他系統管理功能一樣,安全工具還能夠將安全策略集中到中央控制之下,網絡管理工具開發者可以提升他們的安全工具產品作為一種系統內部的結構,使安全的管理工作更加容易。
四、網絡安全對未來的影響
計算機技術將不斷快速發展,安全性將成為計算機產品所必須的工業標準。
以下有一些是將要出現或變得舉足輕重的網絡安全技術:
隨着越來越多的系統利用密碼技術,智能卡和數字認證將變得盛行。軟件將主要以Java或ActiveX這樣可供下載的可執行程序的方式運作。網絡安全管理系統的建造者們需要找到如何控制和維護可下載式程序的方法,並防止病毒程序蔓延。
HTP文件格式將被越來越多的信息服務機構作為傳遞消息的方法.防火牆對於將安全策略應用於數據流的作用將減低並會逐漸失去其效力。虛擬網絡將與安全性相融合,並很有希望與網絡管理系統結合起來。軟件硬件將協同工作以便將帶有不同類型的目的和特性和網絡彼此隔離,由此產生的隔離體仍將被稱作防火牆。
而從現在起和未來,網絡安全將會成為世界性社會問題的一部分。隨着網絡技術的飛速發展,特別是將成為21世紀網絡應用領頭羊的電子商務逐步走向實用化,網絡安全越來越成為網絡應用中的一個重要課題。更加優秀的安全技術還在不斷地湧現,有關網絡安全的討論也將是一個無休無止的話題。網絡安全重在技術,但更重在應用。通過科學規劃、完善策略,網絡安全將是可以保障的。安全是一個網絡最基本的要素,在網絡的規劃階段就應充分考慮,唯有如此,一個網絡才是完善的。
信息化戰爭的攻/防對抗
信息化戰爭的準備態勢
九十年代,人類已跨人信息化的時代。軍事領域裏正在孕育着一場深刻的革命。信息化可能逐步成為未來戰爭的基本特徵”。自1991年海灣戰爭以來,軍事家們就敏銳地預感到,人類正在進人信息化戰爭時代,以計算機技術為核心的信息化戰爭,信息流是戰爭之魂,誰能佔據信息的主動,控制信息,進而控制敵我雙方“網絡使用權”,那麼誰就能控制、駕駛數碼化戰場,兵不血刃,贏得未來信息戰爭的勝利美國高級軍事將領認為,為r打贏下個世紀的信息化戰爭,將進一步加強與擴大諸如信息處理、網絡通信和電腦技術世界領先的優勢地位,以進一步提高部隊的戰鬥力美國正在把信息化戰爭的思想與相關技術貫徹到部隊各級,並深人到單個士兵;在部隊師以上單位大多成立廠信息戰/網絡戰辦公室,以組織、實施、協調信息戰的事宜。美軍內部已經構成了一個完善的計算機網絡,而且還在繼續迅猛發展、擴展和增強。
美軍數碼化部隊的實驗證明,一旦現代化的裝備與信息化技術相結合,將使部隊的戰鬥力大大提高美陸軍部認為,數碼化師的作戰效能要比普通師提高50%-1997年3月,美軍正式成立了第一個數碼化旅(即第4步兵師第1旅);計劃於2000年,美軍第4步兵師將成為美陸軍第一個數碼化師;計劃於2004年,美陸軍第3軍將成為美陸軍第一個數碼化軍美軍計劃到201。年,運用計算機網絡技術把每個士兵與武器系統,甚至與指揮部連接起來,指揮員隨時可以實施指揮,甚至可對單兵進行直接指揮,以此形成數碼化戰場,實施信息戰/網絡戰。
以計算機為核心技術實施的信息戰主要有①計算機病毒戰;②網絡戰;③黑客戰。
黑客網上攻擊(即黑客戰)
黑客非法闖人系統,進行破壞而實施的攻擊有多年的歷史,而今,黑客攻擊某個系統比以往更加多樣化,更趨老練他們已是一個群體,有組織有計劃、有目的地實施攻擊,可達到快速、準確,因而,造成的危害也就更大,更嚴重。黑客實施攻擊前,一般都要事先搜集有關信息,廣泛地獲取被攻擊系統〔對象)的有關資料、數據。然後,設法獲取訪問權。
2.1黑客攻擊的典型步驟
據美國((FinsncialTime》統計,目前,全球平均每20秒就發生一起黑客入侵網絡系統的事件,嚴重地威脅着用戶的信息安全。
黑客人侵步驟:
①窺視
類似於普通盜賊在作案前的外圍偵察黑客首先利用一些作案的網絡工具,以確定被攻擊系統在Internet網上的位置和結構,以及外圍安全設備類型和結構,並確定入侵點
②外圍刺探
相似於普通盜賊撬門開鎖黑客找到系統安全的薄弱環節,進人網絡的正常服務,如通過Emall系統和主頁系統進人網絡。
③尋找內部落腳點
黑客一曰獲得進人網絡的權利.便在外圍設備中為其尋找一個安全的、不易被發現的落腳點(通常,黑客找一個能獲得Root權限的主機作為落腳點)
④實施侵人目的
黑客一旦找好落腳點,開好“後門”.人侵的黑客就變成系統內部人員r(酷如打人內部的間諜),這時人侵的黑客就可實施預先的目的。例如偷竊軟件原始碼和金融數據、訪問機密文件、破壞數據或硬件、篡改文件,甚至為今後再次人侵方便而安置“特洛伊木馬”程序
⑤掩蓋痕迹,以防發現
人侵黑客在完成既定目標后,必須謹慎地掩蓋白己的蹤跡,以防被發現。典型的做法是刪除或替換系統的日誌文件
2.2黑客攻擊的主要類型
①非法使用資源
黑客盜用和濫用諸如計算機資源、電話服務網絡連接服務資源等一旦黑客人侵併控制了系統,他就可無限制地盜用這此資源這種非法人侵雖然對系統不作破壞,但他無節制地監用電話服務或在全球的數據通信網中自由漫遊使其昂貴的通信費用都將轉嫁到用戶或服務商的帳戶上.而黑客卻消遙法外
②有目的惡意破壞
一旦黑客人侵得手,對系統或數據文件肆意破壞,這樣惡意毀壞數據和修改頁面內容或連結,或對網絡系統的信息轟炸,以致造成用戶正常服務中斷
③盜竊數據
黑客侵人後,盜用任何有價值的數據,諸如商務信息,軍事機密、金融數據和其它敏感的信息等。據美國FBI估計,每年由於數據被盜而造成的直接經濟損失高達75億美元。
①敲詐勒索
用戶系統一旦被黑客人侵,就將遭受種種破壞,從而直接造成經濟損失,特別是那些金融機構受害更甚。金融機構一FI被黑客人侵,數據被篡改、破壞,但又為了顧全面子,維持安全甚佳的對外聲譽而不敢聲張怕失去客戶信賴,這就中了黑客敲詐之計當黑客進人某某系統並在網絡中安置上“持洛伊木馬”程序后,就向該用戶勒索錢財,若用戶不預理睬,則破壞程序便可自動啟動,實施破壞。因此一些用戶,特別是一些金融機構往往採取息事寧人,破財免災之舉,縱然使黑客服務敲詐頻頻得手
2.3黑客常用的詭計
黑客攻擊系統的手段越來越多,常用的詭計有以下幾種
①即時消息轟炸法
黑客可採用系統程序,利用即時消息功能,應用海量的消息集中轟炸某一用戶,致使法定用戶被“擠出”在線服務。據稱,西方有個自稱為Twix的黑客,他編製的Chocolate某程序,就是干這個壞事的。
此外,一種稱為Pinting技術,它用邀請進人某個閑談室的詭計淹沒用戶,Pinting是黑客的慣用手段,因受害者不容易複製快速掠過屏幕的文本,也就無法把它傳送給IPS伺服器管理機構。
②捕獲法
黑客有許多程序能捕到用戶實時交換文本的功能特性,也就是使用戶實時交換文本的功能特性,發送冒充的但看起來像IPS伺服器工作人員發送的函件,詭稱是某某/IPS公司的會計部的,因工作檢查所需,要與你(用戶)核對你的登記口令,以便確認你是一個合法用戶,並立即修訂我們的記錄凡此種種,若遇到缺乏實際上網經驗的用戶,往往就會卜當受騙,恭手提供了自己的口令
3.查卡法
黑客查卜用的程序是捕獲程序的一部分。例如,黑客冒充某某IPS公司會計函告,由於工作上出現差錯,我們要求把你的全名、信用卡密碼、有效日期以及電話碼告訴我們,等等。或者,黑客應用其它的查卡程序,按照特定的規則生成仿造密碼。這種仿造密碼可通過IPS,伺服器的第一道防線,可讓黑客開立免費帳戶。
④電子郵件轟炸
黑客採用大量的消息堵塞某某的E--mail信箱,這是在線侵擾的一種簡單而奏效的方法。許多黑客程序可方便地進人閑談室,並自動地向每個對話人郵寄炸彈轟炸其電子信箱。
⑤違反業務條款
黑客的這種詭計用於在網上陷害某用戶,使其蒙受違反IPS伺服器成員法規、條款而受到懲罰。因為,某些黑客程序的欺騙活動,達到以假亂真的程度。看起來就像某用戶在向黑客發送一條攻擊性的E-mail消息,這條消息一當傳送給IPS伺服器工作人員尚可區分真假E-mail,但諸如在閑談室講話時仿造一條攻擊性消息,則IPS伺服器管理員也難以分辨真假
⑥特洛伊木馬詭計
這些黑客程序是針對IPS伺服器的,類似於“特洛伊木馬”的病毒程序的變體它表面看起來像一種合法的程序,但是它靜靜地記錄著用戶輸人的每個口令,然後,把這些口令發送給黑客
⑦網上設備假冒站點
在成千上萬的Internet站點中,黑客們精心設計了一些假冒站點(當今,也有黑客們公開的許多站點),以便誘騙用戶上當,從而達到黑客們不可告人目的,美國普林斯頓大學的安全專家已發現一些假冒站點,黑客通過這些假冒站點發送惡意的信息或染上病毒的軟件,誘使用戶下載而上當
2.4黑客的後門技術
黑客採取隱藏措施,即覆蓋他們進人系統時留下的珠絲馬跡,然後安裝“後門”以便他們任何時候都可以訪問系統。-B這些步驟(過程)得逞,建立起橋頭堡,那麼他們就可以由此作基地對其它站點實施目的性攻擊。後門技術是黑客進人系統后要作的關鍵一步.因此黑客們處心積慮地開發了一系列後門技術
①口令猜測器後門
黑客慣用的一種手法,運行口令精測器,對一些用戶的帳號被猜測到而破獲多數情況下黑客會尋找那些長時間不使用的容易猜測的賬號,然後變換C7令字。
②文件系統後門
黑客想在被攻擊系統的伺服器上不易被對方系統管理員發現的地方存儲他們的東西(如數據),典型的是開發系統缺陷的工具箱、後門、包吸取器、拷貝的數據、原始碼等為躲過系統管理員的注意,黑客可以修改文件系統命令如‘`ls‘,‘du”和.Ysck‘,以便隱匿某此文件
③網絡通信後門
黑客不但想隱蔽其在機器上痕迹,而且還要隱蔽他們的網絡通信,這些網絡通信後門有時允許黑客通過防火牆獲得訪問權有許多網絡後門程序允許在機器上建立特定數值的服務端口.因而通過非正常服務獲取訪問權
④forward後門
在Unix機器里,把命令放到Forwad文件同樣可以重新獲得系統的訪問權。
⑤服務後門
大多數服務均被黑客利用過,諸如finger,rsh,rlogin,f如等等當今黑客可以在上百個網絡服務中挑選一個連接到某個TCP端口的shell,再加上一個後門口令就可以獲得訪問權
除上述五種後門技術外還外:
Rhosts後門;進程隱藏後門;
Kernel後門;Cronjob後門;
Telnetd後門;UDPshell後門等不下百來種,而且黑客還在繼續開發新的後門技術為了網絡安全,防止黑客利用後門技術人侵,當前世界L比較有效的方法是採用“人侵檢測系統(IDS)‘,它是一基於實時採樣和網絡通信安全分析的技術,大多數網絡系統的安全後門,用IDS很容易檢測到。最新的IDS技術可以深人DNSUDP包,從而確定是否同”NS協議請求相匹配。一旦DNS端口數據同DNS協議不匹配,就會產生一個警示標記,並對數據進一步加以分析、判斷實際上,許多後門是可通過對程序和配置文件進行日常的審計和完整性檢臉發現的通過比較文件以前和現在的狀態信息,也可以發現大多數注人的後門,從而發現黑客的痕迹
2.5黑客利用軟/硬件及系統上的漏洞實施攻擊
據美國國防部信息安全首席顧問ChristopherKlaus(美國ISS公司董事長)談到網絡系統不同層面的信息安全問題時指出:心通信層,在TCPiIP協議上,路由器及網絡集成器上都存在着漏洞,比如Modern就很容易讓黑客從外界侵人;②作業系統,包括各類版本的Uni、系統\Windows95window.,NT及〕)S等等,都存在着許多漏洞;雖然對漏洞,供貨廠商已作了相應的修補措施,如Ilat山es修補軟件。但用戶往往不去向供貨商索取(據美國統計95%的用戶末向供貨商索要修補軟件),從而使漏洞繼續留着隱患;③應用層,包括各種應用軟件、防火牆、Webserver,Routers軟件等等,也都存在着很多漏洞,
如何防範黑客的攻擊,Klaus先生提出了以下二點建議:①用戶對網管人員要進行多方面的有關信息安全技術、法規的培訓,以便了解信息安全的重要性,以及如何採取防範黑客人侵的應對舉措;②要做好計算機安全的審計工作,審查用戶對制定的行政與技術措施是否被認真地、不折不扣地貫徹執行;③高層次的用戶,對信息系統採取實時監控的方法它能實時地觀察系統目前是否正在被黑客攻擊。據稱,美國ISS公司的技術可以做到這一點,它被稱為可視性安全管理〔它由觀察檢查和解決這二個部分組成)。執行時,觀察、檢查、解決這三個過程不斷地循環以便用戶及時了解白己的系統,此刻處於什麼樣的安全態勢,以便及時採取應對措施
ISS公司的安全檢測產品主要有:
a.InternetScanner測試軟件;
b.Intranetscanner測試軟件;
c.WebSecurityScanner測試軟件;
d.FirewallScanner測試軟件;
e.SystemySecurityscanner測試軟件;
f.FealSecure實時監控軟件。
另外,ISS公司最近又推出RealSecura3.0的新型集成監測系統,它集成了基於網絡和系統的侵擾檢測和反應能力,形成了單一的用戶對來自威脅的管理框架,實施24小時不間斷的端到篩信息檢測。由於在網絡和作業系統中集成了受侵擾檢測能力,因而,RealSecure3.。能在受攻擊(或誤用)剛一啟動(開始)時就敏感地檢測出來,並迅速採取應對措施,制止攻擊(人侵),或在攻擊撤退後跟蹤侵擾的範圍
2.6網絡端口攻擊
端口攻擊是常見的一種攻擊方法,其主要攻擊方式有:
①IP電子欺騙(IPspoofing)
IPspoofing攻擊是通過向主機發送IP包來實施的,過程如下:
攻擊端-SYN(偽造自己的地址)~被攻擊端;
偽造的地址、SYN-ACK~被攻擊端;
被攻擊端等待偽端的回答黑客常用的一種簡單的SYNattack的方法是利用NetsRay的軟件(forWin95andNT),首先,產生一個止常的(以telnet/ftp/gopher/或以別的方式連接到想要攻擊的機器,然後把送出的那相SYNpacket再截取下來),然後再修改那個SYNpacke,找出關於Source工p那個offset,修改任意的IP。繼而找出關於校驗和的地址,把校驗和修改好,再把該包拷貝到NetRay發送包的工具,最後,在一秒鐘內發送幾千個SYNattack到對方,讓對方的機器再也無法接受正常連接請求,使機器陷人癱瘓狀態
①源搜尋攻擊(SouraceRougingAttack)
在IP包的IP選項域中,有LSRR(自由源和記錄路徑)和SSRR(精確源和記錄路徑)兩種類型的“源搜尋”功能項。功能項設計的口的在於方便網絡故障的調測。假如用戶的防火牆允許調測包,那麼,黑客就利用此即可簡單地發送調測包,從外部網送到內部網,從而逃過了防炎牆的監控。
2.7拒絕服務攻擊程序
拒絕服務攻擊程序(DenialofService),簡稱為Teardrop它通過Windows桌面系統或NT4.0工作站及伺服器發送畸形的基於TCPAP的UDP軟件包來毀壞VI標對象。TearDrop利用偽裝的信息滲人PC機和伺服器,致使設備過載或毀壞當今,新TearDrop攻擊程序已能自動運行其毀壞性更大、更重。加之,TearDrop攻擊程序沒有合法返回地址因此,很難追蹤
2.8應用掃描器(Scanner)實施攻擊
Uni、服務順器有一個不上鎖的“後門”,即文件傳輸協議(theso-calledTrivialFileTransfer)該協議允許計算機網絡或;nrerne:上的任何人不需使用任何「I令就可進行文件傳輸網上防禦黑客入侵對付黑客非法入侵除上述已談及ISS公司的快速人侵檢測系統外,還有以下技術與產品。
3.1靜態安全技術
月前市場上常用的產品屬於靜態安全技術,如防火牆和系統外殼等外圍設備它們是針對來自系統外部的攻擊,但一旦過r認證系統、入侵黑客也就變為內部成員.便可通行無阻,防禦設備也就起不到安全把關的作用r。針對此項不足,NAI(美國網絡聯盟公司)為其作了改進,推出了最新防火牆系統GauntletFirewa113.OforWindowNT,其核心技術為‘。自適應代理技術”測試表明,該產品性能比傳統防火牆提高十倍。通過對大多數認證系統的支持使用戶能夠選擇最好的認證技術,充分保證系統的安全特性
3.2動態安全技術
動態安全技術,它能夠主動地檢測網絡的易被攻擊點和信息系統的漏洞,它比人工檢測優越得多。它的主要檢測工具包括:測試網絡、系統和應用程式遭受攻擊點檢測和掃描工其,以及自動通報和告警系統NAI推出的CyberCop產品,它是一種集網絡系統人侵檢測、安全掃描、動態響應和審計分析於一體的完整入侵檢測方案。CyberCop網絡檢測和評估套件有:CyberCopScanner,CyberCopNetwork和CyberCopServer三個產品
3.3GauntleforUnix4.2防火牆
最近,美國NAI公司推出了新版防火牆軟件GauntleforUnix4.2,它與前版本不同,採用的安全保護方法是“應用網關”。它支持基幹Java的GUI,流行的認證系統和網絡管理功能。它既可以預先安裝在基於奔騰晶片的平台上,也可以用軟件包的形式頂先安裝在BSD/OS,Solaris,HP--UX和其它作業系統平台中GauntleforUnix4.2版防火牆包含在GauntleActiveFirewall(GAF),TotalNetwork、ecuity(TNS)NetToolssecure(NTS和Tettools(NT)套件中該防火牆帶有強大的企業防火牆管理功能為了確保管理員和各個防牆之間的通信免遭欄截或偽造它還免費集成了全部加密和驗證功能,使其性能大大提高
3.4Session一wall一3
Abirnet公司推出的Session-wall-3(2.1版本)產品,它是一種功能全面的產品,功能包括:定義監控,過濾及封鎖網絡通信量規則等當Session-wall-3檢測到人侵攻擊后即向本地控制台發警報、電子函件,並進行事件登錄,同時還備有向系統安全管理點發尋呼的功能
3.5NFR(NeteareFilightrecorder)
Anzen公司推出的NFR系統,提供了一個網絡監控框架,利用這個框架可以有效地執行入侵攻擊的檢測任務OEM公司可以基於NFR定製具備專門用途的人侵攻擊檢測系統
3.6IERS系統
IBM公司的IERS(InternetEmergencyResponseService)系統由兩個部件所組成;NetRanger檢測器和Boulder監控中心NetRanger檢測器負責監聽網絡上的可識別的通信數字簽名,一旦發現異常隋況,即啟動Boulder監控中心的警報器信息戰進攻的功能
4.1破壞敵方信息及其信息系統
敵方信息系統之前(或之後)對信息採取行動
4.2破壞/瓦解敵方信息系統的保護功能
用於破壞/瓦解敵方對信息\軟件和信息系統採取的保護措施。
4.3進(攻)入敵方信息系統
強行闖入敵方信息系統、網絡和檔案數據庫,並注入(標記)符合己方要求的信息。
4.4破壞敵方信息系統實體
採用傳統的硬殺傷手段,以及中斷其系統服務能力,用於防止敵方訪問和使用它的系統功能
4.5切斷敵方信息傳輸流
人侵某一指定的信息系統,切斷系統中任何方向的流動。
4.6注入假情報
在敵方系統中注人虛假的情報,使其真假難關,造成混亂
4.7派員滲透入敵方信息系統
利用傳統手段,把我方網絡高手滲人到敵方陣營的信息系統中,待遇機而動
4.8偽裝攻擊源
防止敵方了解信息進攻源,並阻止了解信息進攻源本身的行動目的。
5信息戰防禦的功能
5·1信息抗毀
為了保護己方的信息安全不受敵方的干擾與破壞,必須有一套強有力的信息抗毀功能系統,以使己方的信息流在任何情況下正常奔流
5·2訪問控制
為確保已方信息系統的安全,必須實行訪問授權制度,即只允許被授權的人員訪問信息系統,不允許未經授權者訪問
5·3網絡管理和控制
一當遇到非常情況,運用可重新配置、抗破壞協議和控制算法,實現自我修復和管理在不同種類平台與網絡上的分佈計算
5.4毀壞評估
此系統用於確定信息戰攻/防實施中的作用效果
5.5伺服器的實用性/可靠性
確保己方信息系統因戰略/戰術行動所需的可用性/可靠性
5.6響應功能
凡在己方受到非法人侵,網絡系統的安全受到嚴重威脅時,可實施隔離、糾正或其它相應對策的功能,並使其具有採取隔離、控制、糾錯和秘密監控等能力
5.7入侵探測和威脅苦報
探測內部人員和外來人員的非法人侵的圖謀,以及業已非法人侵的動機,並迅速報警,以使系統管理人員採取斷然的對策措施
5.8易損(毀)性評估與應對措施
用於如實評估敵我雙方的信息系統以及基於信息系統的信息流程健全與運行此項功能,既可客觀評估已方系統的風險管理程序,又可對敵實施攻擊提供客觀依據。
5.9預示(奮告)
為己方信息系統及其子系統提供即將可能發生的信息攻擊的預兆和提示。關於戰略級信息戰的作用評估攻擊/摧毀敵方信息系統,或在隱蔽不被探測的情況下改變敵方信息(內容),這個舉措可在信息進入戰略級信息戰即是國家級信息戰,是資訊時代的一種新作戰方式,其核心是如何攻擊敵方的社會經濟系統,同時又嚴密地保護自己的社會經濟系統不受侵犯。隨着國際上信息基礎設施的日益增長,其網絡信息系統(如Internet)的作用範圍已超越I國界,它又存在着無數個讓人自由進人的訪問站點這就大大增加了國家信息基礎設施的脆弱性,即易受攻山性
因此,有人曾設想,某個國家組織一批超級“黑客”.通過Internet網侵人另,個國家的金融、交通、電力、石油等國家重要經濟命脈和政府重要機構,致使該國交通癱瘓、金融混亂、電網停電、油廠爆炸,而政府部門的電腦系統因故障而停機互相失去聯繫,以致崩饋以這種戰略級信息攻擊的方式達到控制另個國的日標,即兵不血刃,不戰而勝美國蘭德公司和未來學家托勒夫積極主張、支侍上述戰略級信息戰的觀點口一位前美國情報官員說:“給我1。億美元和20個人(網絡高手),我可使美國癱瘓讓聯邦儲蓄系統和所有的白動取款機停止運行,使全國的所有計算機不同步”。美聯邦調查局計算機犯罪緝查小組負責人吉姆.賽特爾也曾說過:“給我10個精選出來的”黑客“.90天內,我就能讓一個國家繳械投降”也有不同的觀點
a.美國學者道格·理查森曾在《信息戰的黑色藝術矛一文中指出:大多數”黑客“對付特定類v1的計算機系統是有效的、因為它是針對特定系統安全機構中的弱點、漏洞進行攻擊的”黑客“實施次非常成功的攻擊,致使銀行和通信業務停業數天,甚41使工業控制系統、電力網、空中交通管制等陷於棍亂,但這很可能是一種短劊效果總之,‘.黑客”造成的影響可能是有限的,它不會對某國的政治領導少、造成多大影響,也不會達到最終的戰爭勝利。
b.最近,台刊也曾登過一篇不同觀點的文章,文中指出:固然,信息化社會的來臨提供了不少以小搏大,以葬勝多的機會。但是任何人不應期望一個技術基礎、高科技工業並不發達的小國,僅僅利用一群.“黑客”就能使一個科技發達的「業大國陷人癱瘓論述的理由是全球電腦系統千千萬,而且口新月異地發展變化着,即使是大型網絡系統的主管「程師,雖然他可掌握人量的信息和先進的(侵入)工具,但也無法在短時NJ內徹底t解對方網絡系統(弱點與漏洞)另外.由於軟硬件改版、升級極快又難以統計,這就給企圖襲擊某國的計劃造成種種困難
c.英國《經濟學家旁雜誌文章指出:現代i十算機網絡的系統分散化,以及數據庫的備份措施使得一些信息攻擊就能破壞一個國家的經濟能力的可能性很小因此現在尚不能對戰略級信息戰的效能即刻作出肯定或否定的結論,這是戰爭史卜的一個新事物,還有待實踐〔或實戰)的檢驗。
7關於我國信息安全的思考與建議
7.1自力更生開發我軍信息裝備
現代高科技已發展到在設備中預埋“機關”的能力(海灣戰爭中美國就己開始試驗了),因而進口信息化設備可能會留下隱患,形成威脅。所以安全的辦法是引進先進技術,走自主研究開發的道路,生產自主版權/Pf,牌的信息化產品,裝備陸、海、空三軍信息化設施。
7.2庫{主開發產品,需經,.攻擊檢測”
對於我國自行研製開發的信息化產品或系統,在設計與生產過程中應嚴格質量監督和檢測,對於網絡系統還應進行“攻擊檢測”,測試合格方可付諸實用
7.3“敏感數據”不予上網
迄今為止,世界上還沒有那一家的網絡安全算得上是“牢不可破”的。現在網上的安全措施都是相對的。因而,凡屬黨、政、軍敏感的數據,最可靠的還是不要接人互聯網
7.4預先研究、獲取對手系統中的漏洞
在任何計算機系統中,無論是硬件還是軟件部分,總是或多或少地存在一些漏洞敵對雙方都想了解對方計算機軟/硬件中漏洞的實情,以便利用它攻擊對方所以,必須事前了解潛在對手的計算機軟/軟件中存在哪些漏洞,一旦需要,便可立刻出南擊門若事先沒有準備一旦有事變就會貽誤戰機。
7.5進一步加強信息戰攻/防矛盾的研究
無論是傳統戰爭中的武器,還是下個世紀信息戰/網絡戰的武器(包括攻防電腦程式)都是一對矛盾我們既要研究攻擊敵人的矛,又要同時研究防禦敵人的盾,才能萬無一失,固若金湯。這裏有一典型實例:美國Iss公司(Internet安全系統公司)它成立十1994年,公司董事長Klau、現年23歲,他16歲已是一個黑客高手.曾闖人美國防部計算機網後來被政府“招安”,變成美國總統信息安全顧問,把其‘闖人”網絡的攻擊方法總結提煉成一種產品,並取得很好的效果Iss公司.把成員分成二大組,一組研究攻擊,另一組研究防禦。Iss公司與美國現15萬黑客中的大多數黑客有着密切的特殊關係,而Iss公司要要把這一大幫黑客的活動態勢、攻擊方法及時向美國政府報告這樣,美國當局就掌握了黑客的動向
7.6加強對我國青少年黑客的教育與引導
在網絡無處不在,計算機無所不能的網絡時代必將湧現一大批青少年計算機迷、網迷、他們在自由的網絡空間裏衝浪就在這些人中問,或是好奇心的驅使、某種誘惑,抑或是出於每種個人的“報復”心裏當上廣黑客的角色.非法闖人用戶系統,甚至採取某種預謀行動,從而造成破壞或導致經濟損失這似乎是西方發達國家網絡發展過程的普遍規律。在中國,近年來也頻頻出現青少年黑客事件對於青少年網迷中湧現的黑客,他們中多數人的思想、閱歷還不成熟,如果宣傳到位、法規完善、引導得法,這可讓負面影響轉為正面囚素,即化矛為盾〔破壞轉為安全防護)這一點在美國非常普遍,少年時充當黑客.長大點(或接受正面教育,或反思后)就“金盆洗手”轉為信息安全員例如第5條講到過的I,BS公司董事長Ktaus.就是典型一例。據此我國應充分注意西方國家這一現象加強對青少年黑客的宣傳、教育與引導,以便把一股暗藏的巨大潛力引導到正面因素匕來,從而更加有效地保護信息安全,同時也保護挽救了一大批網迷青少年黑客
7.7加強各主管部門之間的合作
當前,我國了昆息產業部的職責之一是協調各部委做好信息安全工作。公安部主管公共網絡安全,國家密碼管理委員會主管密碼算法。目前,當務之急是加強各土管部門之間的協調與合作,進一步加強我國信息安全研究的步伐,使信息安全得以充分保障
7.8加強信息安全的宣傳與教育
各團體、各部門,特別是各媒體,應適時地開展信息安全重要性的宣傳教育,進一步提高全民保護信息安全的意識與素質
7.9網絡安全不能忘記“謹防家賊”
當前全球網絡安全發展的趨勢之一是越來越多的家賊,頻頻浮出水面,‘·家賊”利用大時,地利的有利條件作案,往往會馬到成功據美國聯邦調查局!997年的一次調查統計表明>70%的非法人侵行為是“家賊”所為某些機構總以為系統安置了防火牆可高枕無優了,但防火牆的職能是防止外部攻擊(人侵);某些用戶以為系統上採用了加密軟件就萬無一失,其實加密也只能是相對的僅僅是起到一定的防範作用,而並非“萬無一失”因此,即使用戶系統加固了防火牆.又採用r加密軟件,但防範非法人侵的工作遠沒有完,仍然有潛在的危險因此,必須繼續加強內/外防範的措施,以及適時完善更新系統的安全機制防範內/外的攻擊
7.10進一步完善計算機犯罪的立法規定
鑒於國內計算機犯罪案發率逐年卜升,僅!998年我國重要系統和重要部門的網絡多次遭到黑客攻擊,造成直接經濟損失達數億人民幣之巨亡在1997年3月公佈的新《刑法》中雖已添加了“侵人計算機系統罪”和“破壞計算機系統罪.,,但隨着網絡的迅猛發展與擴大,上網人數急劇增加,由此而帶來許多新的問題,急需及時制定相應的法律與法規,以保護網絡的安個,保護網絡系統用戶的合法權益。