信息安全與保密技術-計算機系主頁

信息安全與保密技術網絡信息安全所面臨的威脅計算機網絡信息安全所存在的缺陷怎樣實現網絡信息安全與保密密碼技術防火墻簡介虛擬專用網技術簡介網絡信息安全所面臨的威脅人為的威脅。惡意的攻擊或稱為黑客攻擊。自然的威脅。惡劣的環(huán)境、電磁干擾、設備老化、各種自然災害等。惡意攻擊特征智能性：具有專業(yè)技術和操作技能，精心策劃。嚴重性：造成巨額的經濟損失，或軍政的失密。隱蔽性：不留犯罪現場，不易引起懷疑、作案的技術難度大，也難以破案。多樣性：攻擊的領域多，在同一領域內攻擊的手段多，例如在電子商務和電子金融領域，包括偷稅、漏稅、洗錢等。網絡犯罪集團化與國際化。主動攻擊和被動攻擊主動攻擊是以各種方式有選擇地破壞信息，如：修改、刪除、偽造、添加、重放、亂序、冒充、制造病毒等。被動攻擊是指在不干擾網絡信息系統(tǒng)正常工作的情況下，進行偵收、截獲、竊取、破譯、業(yè)務流量統(tǒng)計分析及電磁泄露，非法瀏覽等。具有代表性的惡意攻擊信息戰(zhàn)。這是一種以獲得控制信息權為目標的戰(zhàn)爭。以美國為首的北約集團對南斯拉夫進行野蠻轟炸之前就先進行了一場信息戰(zhàn)。商業(yè)間諜。利有Internet收集別國或別公司的商業(yè)情報。竊聽。搭線竊聽易實現，但不易被發(fā)現。流量分析。對網上信息流的觀察與分析，獲得信息的傳輸數量、方向、頻率等信息。破壞完整性。對數據進行增、刪、改等攻擊。重發(fā)。重發(fā)報文或報文分組是取得授權的一種手段。假冒。當一個實體假扮成另一個實體時，就發(fā)生了假冒。拒絕服務。當一個被授權的合法實體不能獲得網絡資源的時候，或當一個緊急操作被推遲時，就發(fā)生了拒絕服務。資源的非法授權使用。干擾。由一個站點產生干擾數據擾亂其他站點所提供的服務。頻繁的電子郵件信息就是一例。病毒。全世界已發(fā)現上萬種計算機病毒，構成了對計算機網絡的嚴重威脅。誹謗。利用網絡信息系統(tǒng)的互連性和匿名性，發(fā)布誹謗信息。計算機網絡信息安全所存在的缺陷數據通信中的缺陷計算機硬件資源中的缺陷計算機軟件資源中的缺陷數據資源中的缺陷(1)數據通信中的缺陷非法用戶通過搭線竊聽，侵入網內獲得信息，甚至插入、刪除信息；對于無線信道，所受到的被動攻擊幾乎是不可避免的。計算機及其外圍設備在進行數據的處理和傳輸時會產生電磁泄漏，即電磁輻射，從而導致了信息泄漏。在有線信道中，由于信道間寄生參數的交叉耦合，產生了串音。串音不但造成誤碼率增加，而且也會引起信息泄漏。采用光纖信道可避免這種情況。(2)計算機硬件資源的缺陷在我國集成電路芯片基本依賴進口，還引進了一些網絡設備，如交換機、路由器、服務器、甚至防火墻等。這些芯片或設備中可能隱藏一些信息安全隱患，有些是惡意的。(3)軟件漏洞陷門。所謂陷門是一個程序模塊的秘密未記入文檔的入口。常見的陷門實例有：邏輯炸彈遙控旁路遠程維護非法通信貪婪程序操作系統(tǒng)的安全漏洞輸入/輸出非法訪問訪問控制的混亂不完全的中介操作系統(tǒng)陷門數據庫的安全漏洞(4)TCP/IP協議的安全漏洞脆弱的認證機制容易被竊聽或監(jiān)視易受欺騙有缺陷的服務復雜的設置與控制無保密性的IP地址(5)網絡軟件與網絡服務的漏洞Finger的漏洞匿名FTPTFTPTelnetE-mail(6)口令設置的漏洞口令是網絡信息系統(tǒng)中最常用的安全與保密措施之一。由于用戶謹慎設置與使用口令的不多，這就帶來了信息安全隱患。對口令的選擇有以下幾種不適當之處：用“姓名+數字”作口令，或用生日作口令用單個單詞或操作系統(tǒng)的命令作口令多個主機用同一個口令只使用小寫英文字母作口令網絡信息安全與保密的措施重視安全檢測與評估安全檢測與評估可靠性檢測與評估操作系統(tǒng)評測保密性的檢測與評估建立完善的安全體系結構OSI的安全服務OSI的安全機制確定網絡信息安全系統(tǒng)的設計原則網絡信息安全系統(tǒng)的設計與實現制定嚴格的安全管理措施強化安全標準與制定國家信息安全法密碼技術密碼技術密碼技術通過信息的變換與編碼，將機密的信息變換成黑客難以讀懂的亂碼型文字，以此達到兩個目的：使不知解密的黑客不能從截獲的的亂碼中得到意義明確的信息；使黑客不能偽造亂碼型信息。研究密碼技術的學科稱為密碼學。密碼學密碼學的兩個方向密碼編碼學：對信息進行編碼，實現信息隱蔽；密碼分析學：研究分析破譯密碼方法。幾個概念明文：未被隱蔽的信息；密文：將明文變換成一種隱蔽形式的文件；加密：由明文到密文的變換；解密：由合法接收者從密文恢復出明文；破譯：非法接收者試圖從密文分析出明文的過程；加密算法：對明文進行加密時采用的一組規(guī)則；解密算法：對密文解密時采用的一組規(guī)則；密鑰：加密算法和解密算法是在一組僅有合法用戶知道的秘密信息下進行的，這組秘密信息稱為密鑰；加密密鑰：加密過程中所使用的密鑰；解密密鑰：解密過程所使用的密鑰；對稱密鑰：加密密鑰和解密密鑰為一個密鑰；非對稱密鑰：加密密鑰和解密密鑰分別為兩個不同級密鑰；公開密鑰：兩個密鑰中有一個密鑰是公開的。密碼攻擊窮舉法分析法窮舉法又稱為強力法或完全試湊法。它對收到的密文依次用各種可解的密鑰試譯，直至得到明文；或在不變密鑰下，對所有可能的明文加密直至得到與截獲的密文一樣為止。只要有足夠的計算時間和存儲容量，原則上窮舉法總是可以成功的。分析破譯法包括確定性分析破譯和統(tǒng)計分析破譯兩類。確定性分析法利用一個或幾個已知量(如已知密文或明文-密文對)，用數學關系式表示出所求未知量(如密鑰)。統(tǒng)計分析法是利用明文的已知統(tǒng)計規(guī)律進行破譯的方法。密碼破譯者對多次截獲的密文進行破譯，統(tǒng)計與分析，總結出了其中的規(guī)律性，并與明文的統(tǒng)計規(guī)律進行對照比較，從中提出明文和密文之間的對應或變換信息。網絡加密方式鏈路加密方式不但對數據報的正文加密，而且對路由信息、檢驗和以及所有控制信息全都加密。結點對結點加密方式為了解決在結點中數據是明文的缺點，在中間結點裝有用于加密與解密的保護裝置。端對端加密方式加密與解密只在源結點與目的結點上進行，由發(fā)送方加密的數據在沒有到達目的結點之前不被解密。軟件加密與硬件加密軟件加密一般是用戶在發(fā)送數據之前，先調用信息安全模塊對信息進行加密，然后發(fā)送，到達接收方后，由用戶解密軟件進行解密，得到明文。優(yōu)點：已有標準的信息安全應用程序模塊產品(API)，實現方便，兼容性好。缺點：密鑰的管理很復雜，目前密鑰的分配協議有缺陷；軟件加密是在用戶計算機內進行的，容易給攻擊者采用程序跟蹤以及編譯等手段進行攻擊的機會；相對于硬件加密速度慢。硬件加密的密鑰管理方便，加密速度快，不易受攻擊，而且大規(guī)模集成電路的發(fā)展，為采用硬件加密提供了保障。幾種著名的加密算法數據加密標準(DES:DataEncryptionStandard)IDEA密碼算法(InternationalDataEncryptionAlgorithm)RSA算法數據加密標準DES由IBM公司于1975年推薦給美國國家標準局的，1977年7月被正式作為美國數據加密標準。DES采有用了對稱密鑰?；舅枷耄簩⒈忍匦蛄械拿魑姆殖擅?4比特一組，用長為64比特的密鑰對其進行16次迭代和換位加密，最后形成密文。算法是公開的，密鑰是保密的。優(yōu)點：除了密鑰輸入順序之外，其加密和解密的步驟相同，使得在制作DES芯片時，容易做到標準化和通用化，因此在國際上得到廣泛應用。缺點：利用窮舉法可攻破。密碼算法IDEA該算法的前身由來學嘉與JamesMessey完成于1990年，稱為PES算法。次年，由Biham和Shamir強化了PES，得到一個新算法，稱為IPES。1992年IPES更名為IDEA，即國際數據加密算法。IDEA被認為現今最好的安全分組密碼算法之一。IDEA是以64比特的明文塊進行分組，經過8次迭代和一次變換，得到64比特密文，密鑰長128比特。此算法可用于加密和解密，是對稱密鑰法，算法也是公開的，密鑰不公開。IDEA用了混亂和擴散等操作，算法的設計思想是，在不同的代數組中采用混合運算，其基本運算主要有異或、模加與模乘三種，容易采用軟件和硬件實現。公開鑰密碼算法RSA1978年美國麻省理工學院三位科學家Rivest,Shamir和Adleman提出了公開密鑰體制RSA。公開密鑰密碼體制是使用不同的加密密鑰與解密密鑰，是一種由已知加密密鑰推導出解密密鑰在計算上是不可行的密碼體制。加密密鑰是公開的，稱為公鑰，解密密鑰需要保密，稱為私鑰，所以是一種非對稱密鑰法。無論是加密算法還是解密算法都是公開的。它的安全性基于數論，即尋求兩個大素數比較簡單，但要將兩個大素數的乘積分解開則極其困難。決定安全性的關鍵因素是密鑰長度以及攻破密文的計算量。RSA的真正價值在于它解決了數字簽名及認證系統(tǒng)中的一些關鍵問題。數字簽名數字簽名能夠實現用戶對電子形式存放的信息進行認證。接收者能夠核實發(fā)送者對報文的簽名；發(fā)送者事后不能抵賴對報文的簽名；接收者不能偽造對報文的簽名。報文鑒別對付被動攻擊的重要措施是加密，而對付主動攻擊中的篡改與偽造則要用報文鑒別的方法，也可稱為認證(authentication)認證系統(tǒng)的目的信源識別，防止假冒；檢驗收到信息的完整性，驗證在傳送過程中是否被篡改、重放或延遲。MD5報文摘要算法由Rivest提出的MD的第5個版本，于1992年公布。此算法對任意長的報文進行運算，然后得出128比特的MD代碼，大致過程如下：將任意長的報文M按模264計算其余數(64比特)，追加在報文M的后面。在報文和余數之間填充，保證填充后的總長度是512的整數倍。填充比特前位是1，后面都是0。將追加和填充后的報文分割為一個個512比特的數據塊，然后進行一個復雜的處理。處理中用到的散列函數H十分復雜，但MD5算法中的散列函數H中的每一個步驟都是公開的。報文摘要MD的生成報文摘要MD的使用通信雙方共享一個常規(guī)的密鑰KMD的加密使用公開密鑰密碼體制中的秘密密鑰，而在接收端使用公開密鑰將加了密的MD解密。這樣做的好處是省去了密鑰分配給網絡帶來的負擔。通信雙方共享一小段秘密的數據塊，發(fā)送端先將它追加在報文M前面，然后再輸入到散列函數H，計算出MD，把MD追加在報文M的后面。防火墻技術防火墻防火墻是一臺用于信息安全管理與服務的計算機系統(tǒng)。它可以加強網絡間的訪問控制，防止外部用戶非法使用內部網的資源，保護內網的設備工作狀態(tài)不被破壞，數據不被竊取防火墻的基本功能與特性基本功能過濾進出網絡的數據包。管理進出網絡的訪問。封堵某些禁止的訪問。記錄通過防火墻的信息內容和活動情況。對攻擊進行檢測與告警。特性所有通過內網與外網之間傳輸的數據必須通過防火墻。只有被授的合法數據才可能通過防火墻。防火墻本身不受各種攻擊。使用了新的信息安全技術，例如現代密碼技術、一次口令、智能卡等技術。人機界面良好。防火墻的發(fā)展過程基于路由器的防火墻。路由器本身包含有包過濾等基本功能。用戶化的防火墻工具套。屬軟件實現，模塊化的軟件包、安全性和處理速度受限。建立在通用操作系統(tǒng)上的防火墻。具有安全操作系統(tǒng)的防火墻。防火墻操作系統(tǒng)具有安全內核，并對內核進行了加固處理，即去掉不必要的系統(tǒng)特性，強化了安全保護。對每個服務器，子系統(tǒng)都作了安全處理，一旦黑客攻破了一個服務器，黑客被隔離在一個服務器內，不會對網絡的其他部分構成威脅。比以往的防火墻擴展了功能。其中包括了分組過濾，應用網關、電路級網關、并且有加密與鑒別功能。透明性好，易于使用。防火墻的優(yōu)點與缺陷利用防火墻保護內網的主要優(yōu)點簡化了網絡安全管理；保護了網絡中脆弱的服務；防火墻可以方便地監(jiān)視網絡安全并產生報警；內網所有或大部分需要改動的以及附加的安全程序都集中地放在防火墻系統(tǒng)中；增強了保密，強化了私有權。防火墻是審計和記錄Internet使用情況的最佳地方。防火墻也可成為向客戶發(fā)布信息的地點，作為布置WWW服務器和FTP服務器的地點是非常理想的。還可以對防火墻進行配置，允許Internet用戶訪問上述服務器，而禁止外網對內網中其他系統(tǒng)的訪問。防火墻的優(yōu)點與缺陷防火墻的優(yōu)點很多，但也有一些缺陷與不足，主要缺陷如下：限制了網絡服務，特別是限制或關閉了很多有用但存有安全缺陷的網絡服務；無法防止內部網絡用戶的攻擊；無法防范繞過防火墻的攻擊，需要附加認證的代理服務器；不能完全防止感染和傳送病毒。不能期望防火墻對每一個文件掃描，查出潛在的病毒；無法防范數據驅動型的攻擊。數據驅動型的攻擊從表面上看是無害的數據，被拷貝到Internet的主機上，一旦被執(zhí)行，就發(fā)起了攻擊。不能防范新的網絡安全問題。防火墻是一種被動式的防護手段，它只能對現在已知的網絡威脅起作用。防火墻的體系結構包過濾雙宿網關屏蔽主機屏蔽子網包過濾型防火墻可以用一臺過濾路由器來實現，對所接收的每個數據包做允許或拒絕的決定。此時，路由器審查每個數據包以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于可以提供給IP轉發(fā)過程的包頭信息。包過濾路由器型防火墻的優(yōu)缺點包過濾路由器型防火墻的優(yōu)點處理包的速度要比代理服務器快，過濾路由器為用戶提供了一種透明的服務，用戶不用改變客戶端程序或改變自己的行為。實現包過濾幾乎不再需要費用(或極少的費用)，包過濾路由器對用戶和應用來講是透明的，所以不必對用戶進行特殊的培訓和在每臺主機上安裝特定的軟件。包過濾路由器型防火墻的缺點防火墻的維護比較困難；只能阻止一種類型的IP欺騙，即外部主機偽裝內部主機的IP，對于外部主機偽裝其他可信任的外部主機的IP卻不可能阻止；任何直接經過路由器的數據包都有被用作數據驅動式攻擊的潛在危險；一些包過濾網關不支持有效的用戶認證；不可能提供有用的日志，或根本就不提供。隨著過濾器數目的增加，路由器的吞吐量會下降；IP包過濾器可能無法對網絡上流動的信息提供全面的控制。包過濾防火墻一般應用場合機構是非集中化管理；機構沒有強大的集中安全策略；網絡的主機數非常少。；主要依賴于主機安全來防止入侵；沒有使用DHCP這樣的動態(tài)IP地址分配協議。雙宿網關防火墻又稱為雙重宿主主機防火墻。雙宿網關是一種擁有兩個連接到不同網絡上的網絡接口的防火墻。這種防火墻的最大特點是IP層的通信是被阻止的，兩個網絡之間的通信可通過應用層數據共享或應用層代理服務來完成。雙重宿主主機是唯一的隔開內部網和外部因特網之間的屏障，如果入侵者得到了雙重宿主主機的訪問權，內部網絡就會被入侵，所以為了保證內部網的安全，雙重宿主主機應具有強大的身份認證系統(tǒng)，才可以阻擋來自外部不可信網絡的非法登錄。屏蔽主機防火墻強迫所有的外部主機與一個堡壘主機相連接，而不讓它們直接與內部主機相連。由包過濾路由器和堡壘主機組成。實現了網絡層安全(包過濾)和應用層安全(代理服務)。堡壘主機配置在內部網絡上，而包過濾路由器則放置在內部網絡和因特網之間。屏蔽子網防火墻采用兩個包過濾路由器和一個堡壘主機。堡壘主機、信息服務器以及其他公用服務器放在“非軍事區(qū)”網絡中?！胺擒娛聟^(qū)”網絡處于因特網和內部網絡之間。內部路由器(阻塞路由器)位于內部網和“非軍事區(qū)”之間，用于保護內部網不受“非軍事區(qū)”和因特網的侵害，它執(zhí)行了大部分的過濾工作。外部路由器的一個主要功能是保護“非軍事區(qū)”上的主機。這種保護不是很必要，因為主要是通過堡壘主機來進行安全保護的。外部路由器還可以防止部分IP欺騙，因為內部路由器分辨不出一個聲稱從“非軍事區(qū)”來的數據包是否真的從“非軍事區(qū)”來，而外部路由器很容易分辨出真?zhèn)?。屏蔽子網