get_product_contenthtml
第1章可信计算概述
上篇
可信网络连接技术
第1章可信计算概述
2001年,发生在美国纽约的“9 11”事件震惊了全世界。2002年美国专家爱德 约敦写了一本名为《字节战争》的书,引起了巨大轰动。这主要是因为他对“9 11”事件的深度剖析引发了许多思考。他鲜明地指出IT领域将成为未来的重要战场,阐明如何应对IT领域“9 11”型的难预料性、突发性、灾难性事件。他还进一步指出:如果说次世界大战是化学家发明引起的战争,第二次世界大战是物理学家发明引起的战争,那么未来的世界大战如果发生,就将是IT专家发明引起的战争。
面对“后9 11”时代,爱德 约敦突出强调我们正进入信息时代,正处在一个高技术、快变化、难预测、恶性事件频发的世界。在这个世界里,IT领域面临的威胁比以往更加严重。系统安全、风险管控、应急体制、恢复机制、系统鲁棒性和灾难抢救都应适应这种严峻形势。在新时期,IT系统已然成为国家关键基础设施的重要组成和人们生活必不可缺的部分。网络空间已成为涉及国家安全的新领域。IT系统安全、基础信息设施安全、信息安全,以及个人隐私安全等都显得特别突出、重要。因此,应高度重视IT系统安全问题,寻求解决之道。
面对“后9 11”时代的种种威胁,人们期盼构建可信的信息系统、可信的网络、可信的环境,获得可信的服务。可信计算技术由此得到了快速的发展。
1.1信息安全威胁
随着信息技术的发展,现代社会的方方面面都越来越依赖计算机。特别是近十年来,在互联网技术的推动下,计算机越来越多地被应用到社会、经济、政治、教育、文化和军事等各个领域,计算平台的安全性变得越来越重要。然而,自从计算机问世以来,安全问题就一直伴随着计算机的发展而存在。特别是,计算机软件的人工编程模式和互联网的自由发展方式都使漏洞、病毒及攻击无法避免。近年来,随着软件工具的发展,软件漏洞、病毒的数目急剧增加。移动互联网的快速发展,也使得针对软件的攻击范围不断扩大,造成的安全危害日趋严重[1]。
软件安全漏洞产生的根源在于,软件系统的超级复杂性和程序正确性证明的无法实现。Linux内核2.6.27版本的代码库的代码量就已经超过1000万行。据统计,一个主流UNIX/Linux或Windows系统均有上亿行代码。研究表明,典型的产品级软件每千行代码就有一个与安全相关的漏洞。由此推算,一个主流应用软件就可能隐藏了10万个以上的安全漏洞。常见的软件漏洞威胁主要有缓冲区溢出、恶意文件执行、SQL注入、不安全对象引用、跨站脚本攻击(XSS)、不安全的身份鉴别、多级存储和加解密过渡等。这些漏洞的数目并没有因软件补丁增加而减少,相反呈急剧上升之势。图1-1是国家互联网应急中心(CNCERT)给出的2002~2008年软件漏洞增长情况。根据中国国家信息安全漏洞库(CNNVD)统计,截至2014年7月底,CNNVD漏洞总量已达68165个。目前,中国已是网络攻击的主要受害国。仅2013年11月,境外木马或僵尸程序控制服务器IP数目为3618,控制了境内近90万个主机IP。
图1-1CNCERT报告的软件漏洞统计数据
软件漏洞的泛滥为黑客提供了可乘之机。由于需要进行频繁的补丁更新和版本更新,人们采取事后修正的策略,并没做到预先防御,所以实际上绝大多数系统都存在或多或少的漏洞。与服务器相比,客户端系统更容易受到攻击。据初步统计,当前世界每20秒就有一起黑客侵入事件发生,仅美国每年造成的经济损失就超过100亿美元。
2014年5月15日,中国互联网络信息中心(CNNIC)发布报告称,2013年互联网有组织的网络攻击频发,如“棱镜门”事件中披露的美国国家安全局进行的网络监控项目等。此次CNCERT公布的大量数据显示,中国境内遭受网络攻击的情况也十分严重,CNCERT详细列举了国内机构、企业遭受境外攻击的具体案例。数据显示,仅2013年的前两个月,就有境外5324台主机通过植入后门对中国境内11 421个网站实施远程控制。其中,位于美国的1959台主机控制着中国境内的3579个网站,位于日本的132台主机控制着境内的473个网站。按照所控制的境内网站数量统计,美国位居。此外,针对中国网上银行、支付平台、网上商城等的钓鱼网站有96%位于境外,其中位于美国的619台服务器承载了3673个针对境内网站的钓鱼页面,美国服务器承载钓鱼页面数量占全部钓鱼页面数量的73.1%。
CNCERT提供的案例显示,中国网站遭受境外攻击十分频繁。主要体现在两个方面:一是网站被境外入侵篡改;二是网站被境外入侵并安插后门。中国遭受来自境外的DDoS攻击也十分频繁。数据显示,2013年2月24日中国西藏网的邮件系统被植入后门。2013年2月22日,中国网英文版企业分站遭到源自美国地址的攻击,页面遭恶意篡改。2013年1月28日人民网IP地址遭受来自境外的DDoS攻击,18:30~20:20出现明显异常流量,峰值流量达100Mbit/s,约为正常流量的12倍,其中UDP流量占95%,约有88%来自境外。CNVD作为中国的漏洞库,也受到来自境外的大量攻击,一些攻击还尝试渗透网站服务器以获取漏洞信息。2012年11月~2013年1月,在对CNVD网站的攻击事件监测中,来自境外国家和地区的攻击次数多的为美国,达5792次。
事实上,中国遭受境外网络攻击的案例远不止于此,包括国家部委、企业、院校在内的一大批组织机构都曾遭到境外网络入侵。2012年9月~2013年2月,某重要政府部门、某财产保险股份有限公司、某科研院武汉病毒所等中国85个重要政府部门、重要信息系统、科研机构等单位网站被境外入侵并植入网站后门,其中有39个单位网站是被源自美国的地址入侵。
2014年7月21日,CNNIC在北京发布第34次《中国互联网络发展状况统计报告》(以下简称《报告》)。《报告》显示,截至2014年6月底,我国网民规模达到6.32亿,其中手机网民规模5.27亿,互联网普及率为46.9%。网民中使用手机上网的人群占比提升至83.4%。3G的普及、无线网络的发展和手机应用的创新促成了我国手机网民数量的快速增加。近年来,电子商务类互联网应用在手机端应用中发展迅速,其中手机在线支付网民规模增幅较大。《报告》显示,2014年上半年,支付应用增长很快,尤其手机支付用户规模半年增长率达63.4%,使用率由2013年年底的25.1%增至38.9%。此外,手机购物、手机团购和手机网上银行用户等也有较大增长。
SIM卡是手机中的关键安全部件。2013年7月31日的洛杉矶Black Hat 安全大会上,德国译解密码者卡斯滕 诺尔(Karsten Nohl)宣布,经过多年研究,已经找到SIM卡的加密漏洞和软件漏洞,涉及数亿SIM卡,从而打开了危险之门,只要发送一个隐藏的SMS短信就可以侵入SIM卡。2013年新增手机病毒样本80万个,与2012年比有数十倍增长。智能手机、平板电脑等移动设备为网络信息传递带来便捷的同时,也面临着许多信息安全风险。一些恶意APP以提供免费下载为诱饵,用户一旦安装,就通过事先设定好的命令,将用户移动设备中的个人隐私信息发送至指定服务器,导致信息泄露。
另外,使用公共WiFi遭遇信息安全风险的情况也不在少数。黑客往往会搭建免费公共WiFi供用户使用,当用户在这个“黑网”内进行网络交易或输入隐私信息时,黑客便可轻易截获相关数据。
涉及政府机构、军事部门、科研院所和金融商业等部门的计算机犯罪已严重干扰了人们的工作和生活,不仅恶意侵犯了公民隐私,还造成了巨大损失,更为严重的是它已直接或间接地危害到国家安全。
1.2计算机信息攻击分析
面对严峻的安全威胁,只有深刻了解各种计算机信息攻击手段,才能采取有针对性的防范措施。这就好像人首先要清楚其身体状况,确定究竟有没有病,而后才能对症下药。因此,有必要对计算机信息攻击手段进行深入分析。计算机信息攻击是指利用对方计算机和网络系统的安全缺陷,为窃取、修改、伪造或破坏信息,以及降低、破坏网络使用效能而采用的各种措施和行动。计算机硬件与软件、网络结构与协议,以及网络管理等方面都不可避免地存在安全漏洞,使得信息攻击成为可能。在不考虑电磁辐射攻击的情况下,网络必然成为各类信息攻击的入口。网络攻击策略往往是首先确定攻击目标,之后寻找薄弱环节,这主要通过网络监听、嗅探和扫描完成,进而完成密码、口令破解和漏洞扫描,以此侵入系统,获取相应权限并完成攻击或病毒注入等,达到攻击目的。网络攻击一般是渐进式的,自底向上逐级突破,如图1-2所示。
图1-2渐进式网络攻击
……
