當你打開電腦時,你可能感覺不到任何危險。但是,在全球化的電腦網路上,資訊傳遞的速度是以毫秒計的——一條資訊從美國傳到中國,也不過600毫秒。作為專門對付駭客的網路安全專家,許榕生對對手瞭如指掌。他坦言,駭客運用的軟體工具已超過1000種,而且出現了比一般駭客更可怕的“專業駭客”。科索沃戰爭爆發前,美國的“專業駭客”就潛入了南聯盟空軍的電腦網路系統,使南軍把大量的假目標當成了北約的真飛機。
回顧網際網路絡在全球的發展歷史,歷經了三個主要階段:60-70年代基於軍事需求的發明階段;70-80年代科研領域的應用與完善;90年代後的商業化發展。由於早期網路用戶以科研人員為主的特點,網路的設計主要以共用與開放為宗旨,採用的網路協議只具備最少的安全性選項,這些選項還通常被路由器所忽略,因而造成網路安全系數不足。這個網路協議(IPv4)應用至今,並被簡單地移植到企業與政府的上網中去。然而,由於網路的用戶對象變了,網路上的資訊內容也發生巨大的不同,使網際網路的安全問題立即突出出來。
目前網際網路正與電話網、電視網、無線網、衛星網相結合,網際網路在商業運作的驅動下,更加迅猛地發展。但是現存的網際網路的確不是一個安全的網路,存在著致命的弱點和缺陷,許多網路在建設初期較少或者根本就沒有考慮諸如安全防範的相應措施,因而留下了許多安全隱患,給駭客入侵造成了可乘之機。加上缺乏必要的防範技術人才和解決手段,駭客入侵事件應急處理工作目前尚處於自發、無序的狀態,這種局面不足以對付當前可能發生的各種病毒與駭客攻擊的突發事件。
新應用帶來新問題
五年後,電腦的發展速度將會繼續突飛猛進。那時,2GHz微處理器、1G記憶體和50G硬碟的電腦,可接上千兆乙太網或百兆無線網路;在家中可用一兆以上速度的電話或電視網路上網。憑藉如此卓越的微處理器、記憶體、硬碟和頻寬,許多今天不可能的事情將突然變得可能,更多今天只能演示的技術將成為主流。
電腦將更普及,但更大的增長將來自所謂的智慧家電。將來的電視、電話、“電子書”(e-Book)和“個人數據助理”(PDA),都會配置微處理器和軟體,都會擁有電腦的功能。新一代Internet協議IPv6讓每一個設備都能成為網路的一個節點,不論大小,移動或是固定,都能不間斷地進行數據傳輸。
那時,Internet將無所不在。眾多的用戶、浩瀚的網頁、充裕的頻寬、豐富的智慧家電,將形成一個良性迴圈。更多的資訊被渴求,更多的資訊將上網。文本、圖像、語音、視頻以及許多今天不存在的資訊都將可以隨時隨地從網上搜索到。網上將第一次擁有整個人類現代史的真實寫照。人們的一切生活都將和網路密不可分,特別是寬頻網的接入。
美好的未來值得人們去憧憬,但是美好的未來也預示著新的問題與挑戰:隨著資訊時代的到來,我們對網路的依賴日益地加深。在享受到網路帶來種種便利的同時,人們不禁擔心自己的數據資訊是否安全,網路技術快速發展,也給網路安全帶來許多新的疑問。
新一代的網路安全産品--當前防範駭客的主要工具,主要在局域網下設計的防火牆、網路掃描、系統掃描、 Web安全保護、入侵檢測系統等。這些早期的網路安全産品在一定程度上保護了局域網的安全,不足之處包括各産品之間的關聯,以及産品自身的保護等。因此,下一代的安全産品應該增添防火牆與IDS的互動、強化安全産品的隱蔽性和自身保護;同時應有用於災難恢復與評估以及取證等系列産品。
高頻寬帶來的問題——雖然頻寬的迅速增加將能解決我們今天所面臨的許多困擾(如等候網頁的下載等),但是,隨著網路資訊的快速增長和存儲資訊的無限擴大,對於駭客的行事則更為方便。怎樣對網路進行監控,將面臨相當大的困難。雖然我們擁有更為高性能的電腦,但這遠遠趕不上所要分析的網路數據的要求。同時如何實時地分析和處理網路資訊,將是我們所面臨的一大挑戰。
更新Internet協議的問題——幾年後,整個Internet會以一個嶄新的面貌出現,IPv6提供給我們更廣大的地址空間和安全特性。IPv6提供的IPSec解決了數據的加密及身份認證問題,它可以有效地保證數據在不安全的網路上進行安全傳輸,如目前廣泛使用的VPN技術,就是IPSec的一個典型應用。但是,IPSec也有缺陷,如無法有效防止針對協議本身的攻擊等。同時IPv6的可靠性是否如最初所設想的那樣,也有待時間的考驗!另外,由於各安全産品之間傳輸的數據都經過了加密,且加密所使用的演算法也不盡相同,這將使它們之間難以溝通的現狀更加惡化,況且加密技術在流通上還有這樣那樣的限制。
多元操作環境的問題——隨著智慧家電的普及和無線網的發展,資訊將無所不在。但是,每一個客戶端的速度不同、網的頻寬、穩定性、應用環境、作業系統也不同。因此,網路上數據傳送方式不能是單一的,必須能夠自動地轉換和適應不同的環境。面對眾多的操作平臺和環境,怎樣為它們提供一個和桌面電腦一樣的安全環境,就是我們要解決的一個問題。
多種網路安全平臺的整合問題——下一代電腦和網路,將有能力遠遠提升網路的技術。理論上,我們希望新一代安全系統能夠結合多種技術的優點,做得像三維遊戲一樣互動,像數據庫一樣有序和像人一樣會思考和總結。但今天,各種網路設備造價過高,設置和操作仍是被動式的,相互之間不能互通資訊,用戶操作十分不便。因此這些技術及其合成必須有所創新、有所突破。否則整合的將不是它們的優點,而是它們的缺點。
架構新一代網路入侵防範平臺
新一代寬頻網路入侵防範體系研究的目標是,開創新的技術,讓入侵防範系統能適應高頻寬和高負荷的網路環境,支援最新的Internet網路協議,並有自我學習的能力。從而形成新一代寬頻網路入侵探測技術、新一代網路安全體系結構模型和新一代的網路安全控制平臺。
首先,IPv6下的安全産品設計問題——由於IPv6相對IPv4在數據報頭上有了很大的變動,所以原來的防火牆産品在IPv6網路上不能直接使用,必須有一些變動。針對IPv6的Socket套介面函數已經在RFC2133(Basic Socket Interface Extensions for IPv6)中定義,以前的應用程式都必須參考該新的API做相應的改動。
防火牆的設計:IPv4下的防火牆過濾的依據是IP地址和TCP/UDP端口號。IPv4下,IP頭部和TCP頭部是緊接在一起的,而且其長度是固定的,所以防火牆很容易找到頭部,並使用相應的策略。然而在IPv6下TCP/UDP報頭的位置有了根本的變化,它們不再是緊接在一起的,通常中間還隔有其他的擴展頭部,如路由選項頭部,AH/ESP頭部等。防火牆必須讀懂整個數據包才能進行過濾,這對防火牆的處理性能會有很大的影響。
IDS(入侵檢測系統)的設計:在IPv6下也使我們不得不放棄以往的網路監控技術,投身一個全新的研究領域。首先,IDS産品同防火牆一樣,其程式在IPv6下不能直接運作,還要做相應的修改。其次,IDS的工作原理實際上是一個監聽器,接收網段上的所有數據包,並對其進行分析,從而發現攻擊,並實施相應的報警措施。但是,如果使用傳輸模式進行端到端的加密,則IDS無法工作,因為其接收的是加密的數據包,無法理解。當然,解決方案之一是讓IDS能對這些數據包進行解密,但這樣勢必會帶來新的安全問題。同時IPv6的可靠性是否如最初所設想的那樣,也有待時間的考驗!
其次,面臨日益發達的寬頻網,我們將研究“高速網路數據採集技術”。無疑,新一代的入侵探測技術依然以數據採集為其中心,而這個技術本身最大的問題就是,計算能力遠遠跟不上網路頻寬增長。針對這個問題,我們將進行最新的網路採集和協議分析的研究,希望能將網路探測器變得更加快速、經濟和容易部署。首先,我們將進行採集器硬體和軟體的結合方案的研究,以求將探測器的探測頻寬達到最大的速率。另外,我們將研究如何在不穩定的IP的環境上(無論是有線網或無線網)可靠地監控數據。這方面的研究將促成多種新一代的網路探測器,包括:高品質的主幹網路探測器、無線網路探測器 、ATM 網路探測器。
第三,研究如何在最新Internet協議下,在多種不同平臺進行入侵探測,得出一個新的解決方案。由於IPv6中引入網路層的加密技術,我們認為,未來網路上的數據通訊的保密性將會越來越強,這使網路入侵探測系統和主機入侵探測引擎也面臨多種不同平臺部署的問題。我們應研究IDS(入侵檢測系統)新的部署方式,再下一步,研究如何才能在任何網路狀況、任何伺服器、任何客戶端、任何應用環境,經過適當的自轉換和自適應。
第四,可以將諸如數據挖掘,專家系統和神經網路技術融入入侵探測技術中,以建立先進的入侵探測演算法的數學模型。今天的網路入侵探測技術,唯一能實現的演算法是模式匹配。但是,如果新的演算法研究成功,我們不但可以保留模式匹配演算法的高性能,而且可以使它更聰明,並且大大降低了誤報率。這項研究將在未來幾年內應用於最新的IDS軟體中。
總之,今後的入侵防範研究將圍繞Internet本身、網路安全和通訊協議之間,把無序的數據演變成有序的數據,從人控制網路安全軟體演變成電腦自我學習,從以技術為本的用戶界面演變成以人為本的智慧用戶界面。
中國電腦報 2001年03月22日
