信息安全與保密技術(shù)網(wǎng)絡(luò)信息安全所面臨的威脅計算機網(wǎng)絡(luò)信息安全所存在的缺陷怎樣實現(xiàn)網(wǎng)絡(luò)信息安全與保密密碼技術(shù)防火墻簡介虛擬專用網(wǎng)技術(shù)簡介網(wǎng)絡(luò)信息安全所面臨的威脅人為的威脅。惡意的攻擊或稱為黑客攻擊。自然的威脅。惡劣的環(huán)境、電磁干擾、設(shè)備老化、各種自然災(zāi)害等。惡意攻擊特征智能性：具有專業(yè)技術(shù)和操作技能，精心策劃。嚴重性：造成巨額的經(jīng)濟損失，或軍政的失密。隱蔽性：不留犯罪現(xiàn)場，不易引起懷疑、作案的技術(shù)難度大，也難以破案。多樣性：攻擊的領(lǐng)域多，在同一領(lǐng)域內(nèi)攻擊的手段多，例如在電子商務(wù)和電子金融領(lǐng)域，包括偷稅、漏稅、洗錢等。網(wǎng)絡(luò)犯罪集團化與國際化。主動攻擊和被動攻擊主動攻擊是以各種方式有選擇地破壞信息，如：修改、刪除、偽造、添加、重放、亂序、冒充、制造病毒等。被動攻擊是指在不干擾網(wǎng)絡(luò)信息系統(tǒng)正常工作的情況下，進行偵收、截獲、竊取、破譯、業(yè)務(wù)流量統(tǒng)計分析及電磁泄露，非法瀏覽等。具有代表性的惡意攻擊信息戰(zhàn)。這是一種以獲得控制信息權(quán)為目標的戰(zhàn)爭。以美國為首的北約集團對南斯拉夫進行野蠻轟炸之前就先進行了一場信息戰(zhàn)。商業(yè)間諜。利有Internet收集別國或別公司的商業(yè)情報。竊聽。搭線竊聽易實現(xiàn)，但不易被發(fā)現(xiàn)。流量分析。對網(wǎng)上信息流的觀察與分析，獲得信息的傳輸數(shù)量、方向、頻率等信息。破壞完整性。對數(shù)據(jù)進行增、刪、改等攻擊。重發(fā)。重發(fā)報文或報文分組是取得授權(quán)的一種手段。假冒。當一個實體假扮成另一個實體時，就發(fā)生了假冒。拒絕服務(wù)。當一個被授權(quán)的合法實體不能獲得網(wǎng)絡(luò)資源的時候，或當一個緊急操作被推遲時，就發(fā)生了拒絕服務(wù)。資源的非法授權(quán)使用。干擾。由一個站點產(chǎn)生干擾數(shù)據(jù)擾亂其他站點所提供的服務(wù)。頻繁的電子郵件信息就是一例。病毒。全世界已發(fā)現(xiàn)上萬種計算機病毒，構(gòu)成了對計算機網(wǎng)絡(luò)的嚴重威脅。誹謗。利用網(wǎng)絡(luò)信息系統(tǒng)的互連性和匿名性，發(fā)布誹謗信息。計算機網(wǎng)絡(luò)信息安全所存在的缺陷數(shù)據(jù)通信中的缺陷計算機硬件資源中的缺陷計算機軟件資源中的缺陷數(shù)據(jù)資源中的缺陷(1)數(shù)據(jù)通信中的缺陷非法用戶通過搭線竊聽，侵入網(wǎng)內(nèi)獲得信息，甚至插入、刪除信息；對于無線信道，所受到的被動攻擊幾乎是不可避免的。計算機及其外圍設(shè)備在進行數(shù)據(jù)的處理和傳輸時會產(chǎn)生電磁泄漏，即電磁輻射，從而導(dǎo)致了信息泄漏。在有線信道中，由于信道間寄生參數(shù)的交叉耦合，產(chǎn)生了串音。串音不但造成誤碼率增加，而且也會引起信息泄漏。采用光纖信道可避免這種情況。(2)計算機硬件資源的缺陷在我國集成電路芯片基本依賴進口，還引進了一些網(wǎng)絡(luò)設(shè)備，如交換機、路由器、服務(wù)器、甚至防火墻等。這些芯片或設(shè)備中可能隱藏一些信息安全隱患，有些是惡意的。(3)軟件漏洞陷門。所謂陷門是一個程序模塊的秘密未記入文檔的入口。常見的陷門實例有：邏輯炸彈遙控旁路遠程維護非法通信貪婪程序操作系統(tǒng)的安全漏洞輸入/輸出非法訪問訪問控制的混亂不完全的中介操作系統(tǒng)陷門數(shù)據(jù)庫的安全漏洞(4)TCP/IP協(xié)議的安全漏洞脆弱的認證機制容易被竊聽或監(jiān)視易受欺騙有缺陷的服務(wù)復(fù)雜的設(shè)置與控制無保密性的IP地址(5)網(wǎng)絡(luò)軟件與網(wǎng)絡(luò)服務(wù)的漏洞Finger的漏洞匿名FTPTFTPTelnetE-mail(6)口令設(shè)置的漏洞口令是網(wǎng)絡(luò)信息系統(tǒng)中最常用的安全與保密措施之一。由于用戶謹慎設(shè)置與使用口令的不多，這就帶來了信息安全隱患。對口令的選擇有以下幾種不適當之處：用“姓名+數(shù)字”作口令，或用生日作口令用單個單詞或操作系統(tǒng)的命令作口令多個主機用同一個口令只使用小寫英文字母作口令網(wǎng)絡(luò)信息安全與保密的措施重視安全檢測與評估安全檢測與評估可靠性檢測與評估操作系統(tǒng)評測保密性的檢測與評估建立完善的安全體系結(jié)構(gòu)OSI的安全服務(wù)OSI的安全機制確定網(wǎng)絡(luò)信息安全系統(tǒng)的設(shè)計原則網(wǎng)絡(luò)信息安全系統(tǒng)的設(shè)計與實現(xiàn)制定嚴格的安全管理措施強化安全標準與制定國家信息安全法密碼技術(shù)密碼技術(shù)密碼技術(shù)通過信息的變換與編碼，將機密的信息變換成黑客難以讀懂的亂碼型文字，以此達到兩個目的：使不知解密的黑客不能從截獲的的亂碼中得到意義明確的信息；使黑客不能偽造亂碼型信息。研究密碼技術(shù)的學科稱為密碼學。密碼學密碼學的兩個方向密碼編碼學：對信息進行編碼，實現(xiàn)信息隱蔽；密碼分析學：研究分析破譯密碼方法。幾個概念明文：未被隱蔽的信息；密文：將明文變換成一種隱蔽形式的文件；加密：由明文到密文的變換；解密：由合法接收者從密文恢復(fù)出明文；破譯：非法接收者試圖從密文分析出明文的過程；加密算法：對明文進行加密時采用的一組規(guī)則；解密算法：對密文解密時采用的一組規(guī)則；密鑰：加密算法和解密算法是在一組僅有合法用戶知道的秘密信息下進行的，這組秘密信息稱為密鑰；加密密鑰：加密過程中所使用的密鑰；解密密鑰：解密過程所使用的密鑰；對稱密鑰：加密密鑰和解密密鑰為一個密鑰；非對稱密鑰：加密密鑰和解密密鑰分別為兩個不同級密鑰；公開密鑰：兩個密鑰中有一個密鑰是公開的。密碼攻擊窮舉法分析法窮舉法又稱為強力法或完全試湊法。它對收到的密文依次用各種可解的密鑰試譯，直至得到明文；或在不變密鑰下，對所有可能的明文加密直至得到與截獲的密文一樣為止。只要有足夠的計算時間和存儲容量，原則上窮舉法總是可以成功的。分析破譯法包括確定性分析破譯和統(tǒng)計分析破譯兩類。確定性分析法利用一個或幾個已知量(如已知密文或明文-密文對)，用數(shù)學關(guān)系式表示出所求未知量(如密鑰)。統(tǒng)計分析法是利用明文的已知統(tǒng)計規(guī)律進行破譯的方法。密碼破譯者對多次截獲的密文進行破譯，統(tǒng)計與分析，總結(jié)出了其中的規(guī)律性，并與明文的統(tǒng)計規(guī)律進行對照比較，從中提出明文和密文之間的對應(yīng)或變換信息。網(wǎng)絡(luò)加密方式鏈路加密方式不但對數(shù)據(jù)報的正文加密，而且對路由信息、檢驗和以及所有控制信息全都加密。結(jié)點對結(jié)點加密方式為了解決在結(jié)點中數(shù)據(jù)是明文的缺點，在中間結(jié)點裝有用于加密與解密的保護裝置。端對端加密方式加密與解密只在源結(jié)點與目的結(jié)點上進行，由發(fā)送方加密的數(shù)據(jù)在沒有到達目的結(jié)點之前不被解密。軟件加密與硬件加密軟件加密一般是用戶在發(fā)送數(shù)據(jù)之前，先調(diào)用信息安全模塊對信息進行加密，然后發(fā)送，到達接收方后，由用戶解密軟件進行解密，得到明文。優(yōu)點：已有標準的信息安全應(yīng)用程序模塊產(chǎn)品(API)，實現(xiàn)方便，兼容性好。缺點：密鑰的管理很復(fù)雜，目前密鑰的分配協(xié)議有缺陷；軟件加密是在用戶計算機內(nèi)進行的，容易給攻擊者采用程序跟蹤以及編譯等手段進行攻擊的機會；相對于硬件加密速度慢。硬件加密的密鑰管理方便，加密速度快，不易受攻擊，而且大規(guī)模集成電路的發(fā)展，為采用硬件加密提供了保障。幾種著名的加密算法數(shù)據(jù)加密標準(DES:DataEncryptionStandard)IDEA密碼算法(InternationalDataEncryptionAlgorithm)RSA算法數(shù)據(jù)加密標準DES由IBM公司于1975年推薦給美國國家標準局的，1977年7月被正式作為美國數(shù)據(jù)加密標準。DES采有用了對稱密鑰。基本思想：將比特序列的明文分成每64比特一組，用長為64比特的密鑰對其進行16次迭代和換位加密，最后形成密文。算法是公開的，密鑰是保密的。優(yōu)點：除了密鑰輸入順序之外，其加密和解密的步驟相同，使得在制作DES芯片時，容易做到標準化和通用化，因此在國際上得到廣泛應(yīng)用。缺點：利用窮舉法可攻破。密碼算法IDEA該算法的前身由來學嘉與JamesMessey完成于1990年，稱為PES算法。次年，由Biham和Shamir強化了PES，得到一個新算法，稱為IPES。1992年IPES更名為IDEA，即國際數(shù)據(jù)加密算法。IDEA被認為現(xiàn)今最好的安全分組密碼算法之一。IDEA是以64比特的明文塊進行分組，經(jīng)過8次迭代和一次變換，得到64比特密文，密鑰長128比特。此算法可用于加密和解密，是對稱密鑰法，算法也是公開的，密鑰不公開。IDEA用了混亂和擴散等操作，算法的設(shè)計思想是，在不同的代數(shù)組中采用混合運算，其基本運算主要有異或、模加與模乘三種，容易采用軟件和硬件實現(xiàn)。公開鑰密碼算法RSA1978年美國麻省理工學院三位科學家Rivest,Shamir和Adleman提出了公開密鑰體制RSA。公開密鑰密碼體制是使用不同的加密密鑰與解密密鑰，是一種由已知加密密鑰推導(dǎo)出解密密鑰在計算上是不可行的密碼體制。加密密鑰是公開的，稱為公鑰，解密密鑰需要保密，稱為私鑰，所以是一種非對稱密鑰法。無論是加密算法還是解密算法都是公開的。它的安全性基于數(shù)論，即尋求兩個大素數(shù)比較簡單，但要將兩個大素數(shù)的乘積分解開則極其困難。決定安全性的關(guān)鍵因素是密鑰長度以及攻破密文的計算量。RSA的真正價值在于它解決了數(shù)字簽名及認證系統(tǒng)中的一些關(guān)鍵問題。數(shù)字簽名數(shù)字簽名能夠?qū)崿F(xiàn)用戶對電子形式存放的信息進行認證。接收者能夠核實發(fā)送者對報文的簽名；發(fā)送者事后不能抵賴對報文的簽名；接收者不能偽造對報文的簽名。報文鑒別對付被動攻擊的重要措施是加密，而對付主動攻擊中的篡改與偽造則要用報文鑒別的方法，也可稱為認證(authentication)認證系統(tǒng)的目的信源識別，防止假冒；檢驗收到信息的完整性，驗證在傳送過程中是否被篡改、重放或延遲。MD5報文摘要算法由Rivest提出的MD的第5個版本，于1992年公布。此算法對任意長的報文進行運算，然后得出128比特的MD代碼，大致過程如下：將任意長的報文M按模264計算其余數(shù)(64比特)，追加在報文M的后面。在報文和余數(shù)之間填充，保證填充后的總長度是512的整數(shù)倍。填充比特前位是1，后面都是0。將追加和填充后的報文分割為一個個512比特的數(shù)據(jù)塊，然后進行一個復(fù)雜的處理。處理中用到的散列函數(shù)H十分復(fù)雜，但MD5算法中的散列函數(shù)H中的每一個步驟都是公開的。報文摘要MD的生成報文摘要MD的使用通信雙方共享一個常規(guī)的密鑰KMD的加密使用公開密鑰密碼體制中的秘密密鑰，而在接收端使用公開密鑰將加了密的MD解密。這樣做的好處是省去了密鑰分配給網(wǎng)絡(luò)帶來的負擔。通信雙方共享一小段秘密的數(shù)據(jù)塊，發(fā)送端先將它追加在報文M前面，然后再輸入到散列函數(shù)H，計算出MD，把MD追加在報文M的后面。防火墻技術(shù)防火墻防火墻是一臺用于信息安全管理與服務(wù)的計算機系統(tǒng)。它可以加強網(wǎng)絡(luò)間的訪問控制，防止外部用戶非法使用內(nèi)部網(wǎng)的資源，保護內(nèi)網(wǎng)的設(shè)備工作狀態(tài)不被破壞，數(shù)據(jù)不被竊取防火墻的基本功能與特性基本功能過濾進出網(wǎng)絡(luò)的數(shù)據(jù)包。管理進出網(wǎng)絡(luò)的訪問。封堵某些禁止的訪問。記錄通過防火墻的信息內(nèi)容和活動情況。對攻擊進行檢測與告警。特性所有通過內(nèi)網(wǎng)與外網(wǎng)之間傳輸?shù)臄?shù)據(jù)必須通過防火墻。只有被授的合法數(shù)據(jù)才可能通過防火墻。防火墻本身不受各種攻擊。使用了新的信息安全技術(shù)，例如現(xiàn)代密碼技術(shù)、一次口令、智能卡等技術(shù)。人機界面良好。防火墻的發(fā)展過程基于路由器的防火墻。路由器本身包含有包過濾等基本功能。用戶化的防火墻工具套。屬軟件實現(xiàn)，模塊化的軟件包、安全性和處理速度受限。建立在通用操作系統(tǒng)上的防火墻。具有安全操作系統(tǒng)的防火墻。防火墻操作系統(tǒng)具有安全內(nèi)核，并對內(nèi)核進行了加固處理，即去掉不必要的系統(tǒng)特性，強化了安全保護。對每個服務(wù)器，子系統(tǒng)都作了安全處理，一旦黑客攻破了一個服務(wù)器，黑客被隔離在一個服務(wù)器內(nèi)，不會對網(wǎng)絡(luò)的其他部分構(gòu)成威脅。比以往的防火墻擴展了功能。其中包括了分組過濾，應(yīng)用網(wǎng)關(guān)、電路級網(wǎng)關(guān)、并且有加密與鑒別功能。透明性好，易于使用。防火墻的優(yōu)點與缺陷利用防火墻保護內(nèi)網(wǎng)的主要優(yōu)點簡化了網(wǎng)絡(luò)安全管理；保護了網(wǎng)絡(luò)中脆弱的服務(wù)；防火墻可以方便地監(jiān)視網(wǎng)絡(luò)安全并產(chǎn)生報警；內(nèi)網(wǎng)所有或大部分需要改動的以及附加的安全程序都集中地放在防火墻系統(tǒng)中；增強了保密，強化了私有權(quán)。防火墻是審計和記錄Internet使用情況的最佳地方。防火墻也可成為向客戶發(fā)布信息的地點，作為布置WWW服務(wù)器和FTP服務(wù)器的地點是非常理想的。還可以對防火墻進行配置，允許Internet用戶訪問上述服務(wù)器，而禁止外網(wǎng)對內(nèi)網(wǎng)中其他系統(tǒng)的訪問。防火墻的優(yōu)點與缺陷防火墻的優(yōu)點很多，但也有一些缺陷與不足，主要缺陷如下：限制了網(wǎng)絡(luò)服務(wù)，特別是限制或關(guān)閉了很多有用但存有安全缺陷的網(wǎng)絡(luò)服務(wù)；無法防止內(nèi)部網(wǎng)絡(luò)用戶的攻擊；無法防范繞過防火墻的攻擊，需要附加認證的代理服務(wù)器；不能完全防止感染和傳送病毒。不能期望防火墻對每一個文件掃描，查出潛在的病毒；無法防范數(shù)據(jù)驅(qū)動型的攻擊。數(shù)據(jù)驅(qū)動型的攻擊從表面上看是無害的數(shù)據(jù)，被拷貝到Internet的主機上，一旦被執(zhí)行，就發(fā)起了攻擊。不能防范新的網(wǎng)絡(luò)安全問題。防火墻是一種被動式的防護手段，它只能對現(xiàn)在已知的網(wǎng)絡(luò)威脅起作用。防火墻的體系結(jié)構(gòu)包過濾雙宿網(wǎng)關(guān)屏蔽主機屏蔽子網(wǎng)包過濾型防火墻可以用一臺過濾路由器來實現(xiàn)，對所接收的每個數(shù)據(jù)包做允許或拒絕的決定。此時，路由器審查每個數(shù)據(jù)包以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于可以提供給IP轉(zhuǎn)發(fā)過程的包頭信息。包過濾路由器型防火墻的優(yōu)缺點包過濾路由器型防火墻的優(yōu)點處理包的速度要比代理服務(wù)器快，過濾路由器為用戶提供了一種透明的服務(wù)，用戶不用改變客戶端程序或改變自己的行為。實現(xiàn)包過濾幾乎不再需要費用(或極少的費用)，包過濾路由器對用戶和應(yīng)用來講是透明的，所以不必對用戶進行特殊的培訓(xùn)和在每臺主機上安裝特定的軟件。包過濾路由器型防火墻的缺點防火墻的維護比較困難；只能阻止一種類型的IP欺騙，即外部主機偽裝內(nèi)部主機的IP，對于外部主機偽裝其他可信任的外部主機的IP卻不可能阻止；任何直接經(jīng)過路由器的數(shù)據(jù)包都有被用作數(shù)據(jù)驅(qū)動式攻擊的潛在危險；一些包過濾網(wǎng)關(guān)不支持有效的用戶認證；不可能提供有用的日志，或根本就不提供。隨著過濾器數(shù)目的增加，路由器的吞吐量會下降；IP包過濾器可能無法對網(wǎng)絡(luò)上流動的信息提供全面的控制。包過濾防火墻一般應(yīng)用場合機構(gòu)是非集中化管理；機構(gòu)沒有強大的集中安全策略；網(wǎng)絡(luò)的主機數(shù)非常少。；主要依賴于主機安全來防止入侵；沒有使用DHCP這樣的動態(tài)IP地址分配協(xié)議。雙宿網(wǎng)關(guān)防火墻又稱為雙重宿主主機防火墻。雙宿網(wǎng)關(guān)是一種擁有兩個連接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口的防火墻。這種防火墻的最大特點是IP層的通信是被阻止的，兩個網(wǎng)絡(luò)之間的通信可通過應(yīng)用層數(shù)據(jù)共享或應(yīng)用層代理服務(wù)來完成。雙重宿主主機是唯一的隔開內(nèi)部網(wǎng)和外部因特網(wǎng)之間的屏障，如果入侵者得到了雙重宿主主機的訪問權(quán)，內(nèi)部網(wǎng)絡(luò)就會被入侵，所以為了保證內(nèi)部網(wǎng)的安全，雙重宿主主機應(yīng)具有強大的身份認證系統(tǒng)，才可以阻擋來自外部不可信網(wǎng)絡(luò)的非法登錄。屏蔽主機防火墻強迫所有的外部主機與一個堡壘主機相連接，而不讓它們直接與內(nèi)部主機相連。由包過濾路由器和堡壘主機組成。實現(xiàn)了網(wǎng)絡(luò)層安全(包過濾)和應(yīng)用層安全(代理服務(wù))。堡壘主機配置在內(nèi)部網(wǎng)絡(luò)上，而包過濾路由器則放置在內(nèi)部網(wǎng)絡(luò)和因特網(wǎng)之間。屏蔽子網(wǎng)防火墻采用兩個包過濾路由器和一個堡壘主機。堡壘主機、信息服務(wù)器以及其他公用服務(wù)器放在“非軍事區(qū)”網(wǎng)絡(luò)中。“非軍事區(qū)”網(wǎng)絡(luò)處于因特網(wǎng)和內(nèi)部網(wǎng)絡(luò)之間。內(nèi)部路由器(阻塞路由器)位于內(nèi)部網(wǎng)和“非軍事區(qū)”之間，用于保護內(nèi)部網(wǎng)不受“非軍事區(qū)”和因特網(wǎng)的侵害，它執(zhí)行了大部分的過濾工作。外部路由器的一個主要功能是保護“非軍事區(qū)”上的主機。這種保護不是很必要，因為主要是通過堡壘主機來進行安全保護的。外部路由器還可以防止部分IP欺騙，因為內(nèi)部路由器分辨不出一個聲稱從“非軍事區(qū)”來的數(shù)據(jù)包是否真的從“非軍事區(qū)”來，而外部路由器很容易分辨出真?zhèn)巍Ｆ帘巫泳W(wǎng)