1997年国会听证会
情报和安全

关于作者

Geoff Mulligan一直在设计和建立网络安全产品，包括Sun Microsystem的首映防火墙产品防晒和DEC印章，在过去的七年里，在过去的17年里，在互联网的发展中一直有助于开发。杰夫在五角大楼工作的空军上花了11年的计算机和网络安全，在空军学院教授计算机科学。他是Sun Microsystems的安全产品集团的高级员工，以及互联网商务集团的创始成员。他正在研究新兴网络技术和网络/系统安全产品，如Java，远程办公工具，防火墙和加密。杰夫收到了他的M.S.1988年，来自丹佛大学和B.S.1979年，来自美国空军学院。

1.安全控制

1.1介绍

网络安全是一种矛盾修辞吗?网络的设计和建设是为了方便数据和信息的共享和分发，而安全的目标是限制和控制信息的分发。理想情况下，构建网络是为了增加使用的便利性，而安全性降低了这种便利性——密码很难记住，某些系统不允许交换信息。我们为了增加安全性而牺牲了一些易用性，为了增加数据和信息的共享而放弃了一些安全性。同时提供连接性和安全性的一种方法是使用包含。

1.2遏制什么？

遏制是一种方法，通过访问点控制对信息、文件、系统或网络的访问。就像银行保险库只有一个受到良好控制的带有各种安全过程和保护的入口和出口一样，安全容器也有被称为连接点的受控入口和出口，尽管在使用安全容器时，可能有多个连接点。其中的每一个都可以处理特定类型的服务，例如电子邮件或文件传输。它们还可以控制到其他系统或网络的连接，例如从内部网到全球Internet或从应用程序到本地系统上的文件。容器具有定义良好的安全策略，并具有安全保护机制来防止攻击。

1.2.1安全策略

如果没有定义良好的安全策略，即使是最好的容器也会像筛子一样泄漏。这些策略概述了用于将信息传递或移出容器的过程。一些连接安全策略的例子可能是:

*公司以外的任何用户或系统都不能进入金融网络。

*员工只能在工作时间上网。

*从互联网上下载的文件不能在公司系统上运行。

*任何访问执行网络的尝试都将被记录。

*当敏感文件被访问时将生成警报。

一旦定义了策略，就可以使用安全包含来实现和实施这些策略。

1.2.2安全攻击分类

有三种主要的安全攻击:入侵、信息拦截和拒绝服务。

1.2.2.1入侵

侵入是未经授权的人访问内部网络，系统或文件。它们可能只能读取数据，或者它们可能会获得完全访问读取和修改信息。在第二种情况下，如果他们可以修改安全日志文件以隐藏入侵，则可以未检测到未检测到。他们还可以在没有他的知识的情况下造成用户造成的行动，例如通过修改适当的文件启动资金转移或设备购买。侵入通常通过使用IP欺骗或利用操作系统错误来实现密码或开裂密码来完成。

1.2.2.2信息拦截

信息拦截并不要求入侵者真正渗透到内部网络或系统中，而只是对进出系统的数据进行窃听。他可以捕捉电子邮件信息、对话、分页信息甚至是你打字时的按键。拦截最常用于收集信用卡或其他敏感信息，如密码。入侵者使用简单的包嗅探器监视每个包，查找用户名和密码，并将它们存储起来供以后使用。然后在入侵攻击中使用这些信息访问内部系统。

1.2.2.3拒绝服务

最后一种攻击是拒绝服务攻击。虽然攻击者无法读取数据或监听对话，但他们可以阻止您这样做。干扰，正如军方所使用的，是一种拒绝服务的攻击，如果适当地启动，可能会对目标群造成毁灭性的打击。使用无效请求使系统超载，从而使有效用户无法访问系统或导致系统或网络崩溃都是拒绝服务攻击的例子。可能没有必要通过访问它的系统来伤害一家公司。如果干扰或干扰银行的电话线，导致金融交易的延迟或丢失，就会造成无法弥补的经济损失。

有一些工具和机制可以用来传播大多数此类攻击，但最难防御的是拒绝服务攻击。攻击者可以将注意力集中在单个故障点或连接中最薄弱的链接上，从而使其崩溃或过载。这些攻击经常被用来攻击安全系统，试图绕过程序或停止所有连接。

1.3网络/连接控制

安全包含的一个级别位于系统的网络或连接层。在美国，我们通过警卫和边境巡逻来控制我们的安全，同时允许在州与州之间不受限制地流动。公司通过在入口处设置接待员或警卫来控制大楼的入口，并再次允许人们自由进入大楼内的办公室。利用网络遏制，我们在网络的边缘设置“守卫”和“巡逻”，在那里它与全球互联网、电话系统或客户连接。事实上，只要与网络或系统的连接不受相同安全策略的控制，就应该安装一个“栅栏”。这种类型的安全遏制称为周边防御。

外围防御的好处是易于使用和实现。把控制放在网络的边缘或周长允许信息在网络内自由流动。这被称为“吉百利鸡蛋”(Cadbury Egg)安全模型，其中有一个坚硬的外壳和一个柔软的中间。如果攻击者突破了坚硬的外壳，他们就可以无限制地访问内部的所有系统。因此，有必要确保周边得到良好的维护和守卫。

周界防御的另一个好处是易于实现。很多时候，遗留系统无法得到保护，例如MS-DOS和Windows系统。这些机器，如果连接到一个网络，很容易被破坏。此外，由于机器和网络的绝对数量，完全保护每一个系统可能是不可能的。在这些情况下，连接容器提供了防御攻击的最佳机制。

1.3.1防火墙/代理

当前最流行的连接容器实现是防火墙。这些系统位于您的内部网络和外部Internet之间。它们检查每一个试图通过防火墙的信息(包)，但不会干扰网络内部的数据传输，就像接待员只检查进出的访客一样。

防火墙在保护和限制进出网络的信息流动方面非常有效。它们可以很好地阻止或阻止各种类型的入侵攻击，如IP欺骗、密码猜测/破解和其他操作系统服务级别攻击或操作系统安全缺陷。此外，它们可以提供一些措施来防止拒绝服务攻击，但防火墙本身可能容易受到这些攻击，关闭通过防火墙的信息流同样具有破坏性。

防火墙不能防止“内部工作”。如果攻击者获得访问网络内部或“软中间”的权限，防火墙提供的保护非常少。它可能能够跟踪和记录攻击者的活动，这可以在未来用来了解做了什么，以及如何更好地保护网络。

防火墙也不能防止内容级别的攻击。这意味着他们不能完全过滤或控制通过电子邮件信息或下载的程序所携带的内容。有一些工具可以提供最基本的过滤，试图捕捉病毒、蠕虫和电子邮件炸弹，但仅凭一个连接容器是不可能完全防止这些攻击的。这最好通过使用稍后讨论的软件/应用程序容器来实现。

1.3.2加密与认证

通过将加密和身份验证技术与连接包容(防火墙)相结合，就有可能消除信息拦截。窃听者将只看到加密的数据，因此不能捕获用户名和密码，从而也防止了这种类型的入侵攻击。还可以通过使用数字令牌或一次性密码进行身份验证来阻止密码窃听。这个方法使用一个挑战/响应场景，用户被要求通过回答一个只有他们知道的“秘密”来证明他们是谁。这通常是通过向用户发送一些数据并要求他们加密或使用他们的数字签名“签名”来实现的。通过对用户系统发送的所有数据进行加密，并在目的地对其进行解密，可以创建最强大的保护级别。这就是所谓的“端到端”加密，使得在两个系统之间的任何地方拦截数据几乎是不可能的。

加密还可以保护用户不受入侵者更改正在发送的信息的影响。例如，如果用户正在向邮购公司发送支付信息，入侵者可以修改数据，将资金转移到他们的账户，而不是最初指定的账户。如果大规模实施，就有可能将巨额资金转移到袭击者的账户上。

1.3.3虚拟专用/安全网络

许多公司现在正在实施远程办公，并在地理上变得分散。为了确保通信安全，这些公司目前必须使用昂贵的租赁线路。防火墙促进了虚拟专用网络(VPN)的创建，并将其与加密技术相结合将创建虚拟安全网络(VSN)。这项技术让身处不同地点的用户可以像直接连接一样进行交流，同时使用便宜得多的公共互联网来传输数据。加密是必需的，这样攻击者就不能拦截和/或改变数据，而且用户的通信仍能获得与租用线路相同的安全级别。

1.4软件/应用程序控制

软件或应用程序包容类似于连接包容，不同的是外围只围绕单个程序或应用程序，而不是整个网络或系统。这个容器通俗地称为沙箱。程序可以在沙箱中做任何它想做的事，但是为了让它访问或使用沙箱之外的任何东西，必须询问“父程序”。只有当请求符合并满足安全策略时，才会授予访问权。在这种情况下，安全策略可能是“不允许通过Internet加载的程序读写本地文件或系统，但从本地磁盘驱动器加载的程序可以访问该磁盘上的文件。”任何违反安全策略的尝试都将导致发出警报，并可能关闭不合适的应用程序。

沙箱方法可以为内容级别攻击提供安全性。如果病毒尝试感染系统，则当病毒尝试修改操作系统文件并且病毒尝试感染时会产生警报。

1.4.1组件

组件是可重用的软件模块和系统，可以从屏幕上的按钮到完整的应用程序(如文字处理器)。每个组件都是一个软件模块，包括一个特定的编程接口和程序逻辑，这些逻辑定义了该模块将如何处理发送给它的数据和用户事件。组件提供的关键技术是重用和动态互连。这两种技术允许程序员通过组合更简单、已经开发和测试良好的模块来构建非常大和复杂的系统。程序员构建银行应用程序可以使用预先编写、测试和验证的资产负债表模块，而不必编写一个很可能包含错误的新程序。这可以节省大量的开发、测试和维护时间和资金。

1.4.2“沙箱”

与防火墙一样，沙箱实现预定义的安全策略。这种安全策略，如果设计良好，将允许安全执行下载的程序和模块，不会危及公司的安全。例如，一些标准的安全策略可能是:

*只有从本地系统加载的程序或模块才能读写本地系统上的文件。

*没有模块可以写入或更改任何操作系统文件。

*不允许执行不带有用户公司数字签名的模块

*禁止与任何系统通信，除非该模块被检索到。

该程序可以自由地对模块中提供的数据做任何需要做的事情，只有当它试图访问数据、系统或安全范围之外的网络时才会受到限制。

3数字签名

数字签名允许消息的接收者使用不可抵赖性来验证是谁发送了原始消息，这意味着发送者不能否认发送了消息，并且消息是未经更改接收的。数字签名利用复杂数学函数的性质，结合取幂和分解非常大的数字来创建两个“密钥”。公钥对每个人都可用，而私钥则严格保密给用户。当用户签署消息、程序或模块时，他使用他的私钥。任何接收到该模块的人都可以验证它的来源，以及在接收之前没有更改。

通过将数字签名与应用程序容纳相结合，可以精细地控制程序和模块的执行。基于模块携带​​的数字签名，用户可以允许或禁止执行该代码的执行。只有由用户信任的作者或公司编写的程序，从而停止病毒和入侵者。

1.5结论

通过遏制、防火墙、“沙箱”和加密部署安全性，可以极大地提高当前和未来系统的可用性和功能。通过安装带有加密和认证的防火墙，可以消除大多数攻击方法，并保护通信不被窃听。此外，还可以为那些本质上不安全的系统提供保护，如MS-DOS和Windows。与Sun Microsystems的JAVA安全模型一样，应用程序包含的使用允许共享预先编写的应用程序，而不会出现恶意程序窃取公司机密或在用户不知情的情况下请求资金转移的安全问题。金博宝正规网址