信息安全與保密技術網絡信息安全所面臨的威脅計算機網絡信息安全所存在的缺陷怎樣實現網絡信息安全與保密密碼技術防火墻簡介網絡信息安全所面臨的威脅人為的威脅。惡意的攻擊或稱為黑客攻擊。自然的威脅。惡劣的環境、電磁干擾、設備老化、各種自然災害等。惡意攻擊特征智能性：具有專業技術和操作技能，精心策劃。嚴重性：造成巨額的經濟損失，或軍政的失密。隱蔽性：不留犯罪現場，不易引起懷疑、作案的技術難度大，也難以破案。多樣性：攻擊的領域多，在同一領域內攻擊的手段多，例如在電子商務和電子金融領域，包括偷稅、漏稅、洗錢等。網絡犯罪集團化與國際化。主動攻擊和被動攻擊主動攻擊是以各種方式有選擇地破壞信息，如：修改、刪除、偽造、添加、重放、亂序、冒充、制造病毒等。被動攻擊是指在不干擾網絡信息系統正常工作的情況下，進行偵收、截獲、竊取、破譯、業務流量統計分析及電磁泄露，非法瀏覽等。具有代表性的惡意攻擊信息戰。這是一種以獲得控制信息權為目標的戰爭。商業間諜。利有Internet收集別國或別公司的商業情報。竊聽。搭線竊聽易實現，但不易被發現。流量分析。對網上信息流的觀察與分析，獲得信息的傳輸數量、方向、頻率等信息。破壞完整性。對數據進行增、刪、改等攻擊。重發。重發報文或報文分組是取得授權的一種手段。假冒。當一個實體假扮成另一個實體時，就發生了假冒。拒絕服務。當一個被授權的合法實體不能獲得網絡資源的時候，或當一個緊急操作被推遲時，就發生了拒絕服務。資源的非法授權使用。干擾。由一個站點產生干擾數據擾亂其他站點所提供的服務。頻繁的電子郵件信息就是一例。病毒。全世界已發現上萬種計算機病毒，構成了對計算機網絡的嚴重威脅。誹謗。利用網絡信息系統的互連性和匿名性，發布誹謗信息。計算機網絡信息安全所存在的缺陷數據通信中的缺陷計算機硬件資源中的缺陷計算機軟件資源中的缺陷數據資源中的缺陷(1)數據通信中的缺陷非法用戶通過搭線竊聽，侵入網內獲得信息，甚至插入、刪除信息；對于無線信道，所受到的被動攻擊幾乎是不可避免的。計算機及其外圍設備在進行數據的處理和傳輸時會產生電磁泄漏，即電磁輻射，從而導致了信息泄漏。在有線信道中，由于信道間寄生參數的交叉耦合，產生了串音。串音不但造成誤碼率增加，而且也會引起信息泄漏。采用光纖信道可避免這種情況。(2)計算機硬件資源的缺陷在我國集成電路芯片基本依賴進口，還引進了一些網絡設備，如交換機、路由器、服務器、甚至防火墻等。這些芯片或設備中可能隱藏一些信息安全隱患，有些是惡意的。(3)軟件漏洞-1陷門。所謂陷門是一個程序模塊的秘密、未記入文檔的入口。一般陷門是在程序開發的時候插入的一小段程序，或者是為了將來發生故障后，為程序員提供方便等合法用途。常見的陷門實例有：邏輯炸彈 在網絡軟件可以預留隱蔽的對日期敏感的定時炸彈。在一般情況下，網絡處于正常狀態，一旦到某個預訂的日期，程序便會自動跳轉到死循環中，造成死機甚至是網絡癱瘓事件的發生。遙控旁路 某國向我國出口一種傳真機，其軟件可以通過遙控將加密接口旁路，從而失去加密功能，造成信息泄密。遠程維護 某些通信設備具有一種遠程維護功能，可以通過遠程終端，由公開預留的接口進入系統完成維護檢修功能，甚至可以實現國外廠家維護人員在其本部終端上對國內進口設備進行遠程維護。這種功能在帶來明顯的維護管理便利的同時，當然也帶來了一定的潛在威脅。非法通信 某些程控交換機具有單向監聽功能，即就是特許用戶，利用自身的話機撥號，可以監聽任意通話方的話音而不會被發現。貪婪程序 一般程序都有一定的執行時限，如程序被有意或者錯誤更改為貪婪程序和循環程序，或者被植入某些病毒，那此程序則會長期占用計算機使用時間，造成以外阻塞使得合法用戶被排擠在外不能得到服務。(3)軟件漏洞-2操作系統的安全漏洞輸入/輸出非法訪問 在進行訪問的時候，輸入輸出的非法訪問環節，會導致操作系統中的公共緩沖區被其他用戶利用，將用戶的認證數據和口令進行盜取。訪問控制的混亂 出現訪問控制混亂的情況主要是和編程人員在進行系統設計時有很大的關系，在進行設計的時候，編程人員要對資源共享和隔離保護進行很好的設置，這樣在使用操作系統的時候才能避免出現安全問題。不完全的中介 不完全中介主要會影響操作系統的安全模型建立，因此，在進行操作系統設計的時候，要將出現的問題都進行很好的控制。操作系統陷門 操作系統的陷門主要是和安裝其他公司軟件有很大的關系的，在進行軟件安裝的時候，要保證軟件要進行嚴密的控制，同時要對認證進行限制。(3)軟件漏洞-3數據庫的安全漏洞 數據庫系統是一種應用程序，在使用的時候，主要的作用就是保證數據不會受到物理性破壞，物理性破壞會導致數據系統受到永久性的破壞。數據庫為了更好的進行利用，在保存方面也是有具體的要求的，要對數據庫進行定期的備份。數據庫系統在安全方面要進行防火墻的設置，同時要對網絡身份進行驗證。數據庫在使用的時候在安全功能方面也是有內在的設置的，可以自行進行數據的加密處理。在使用數據庫的時候，很多的信任用戶輸入了很多的安全問題，這樣就使得數據庫的安全受到了很大的影響。用戶在使用數據庫的時候，會非常容易將計算機病毒進行傳播，這樣就使得數據庫非常容易受到感染。(4)TCP/IP協議的安全漏洞TCP/IP作為一個事實上的工業標準，在其制訂之初，沒有考慮安全因素，因此他本身無安全可言。TCP/IP作為Internet使用的標準協議集，是黑客實施網絡攻擊的重點目標和對象。TCP/IP協議組是目前使用最廣泛的網絡互連協議。但TCP/IP協議組本身存在著一些安全性問題。TCP/IP協議是建立在可信的環境之下，首先考慮網絡互連缺乏對安全方面的考慮。其次，TCP/IP是建立在3次握手協議基礎之上，本身就存在一定不安全的因素，握手協議的過程當中有一定局限性。這種基于地址的協議本身就會泄露口令，而且經常會運行一些無關的程序，這些都是網絡本身的缺陷。互連網技術屏蔽了底層網絡硬件細節，使得異種網絡之間可以互相通信。這就給"黑客"們攻擊網絡以可乘之機。由于大量重要的應用程序都以TCP作為它們的傳輸層協議，因此TCP的安全性問題會給網絡帶來嚴重的后果。網絡的開放性TCP/IP協議完全公開，遠程訪問使許多攻擊者無須到現場就能夠得手，連接的主機基于互相信任的原則等等性質使網絡更加不安全。(6)口令設置的漏洞口令是網絡信息系統中最常用的安全與保密措施之一。由于用戶謹慎設置與使用口令的不多，這就帶來了信息安全隱患。對口令的選擇有以下幾種不適當之處：用“姓名+數字”作口令，或用生日作口令用單個單詞或操作系統的命令作口令多個主機用同一個口令只使用小寫英文字母作口令網絡信息安全與保密的措施重視安全檢測與評估建立完善的安全體系結構制定嚴格的安全管理措施強化安全標準與制定國家信息安全法密碼技術密碼技術密碼技術通過信息的變換與編碼，將機密的信息變換成黑客難以讀懂的亂碼型文字，以此達到兩個目的：使不知解密的黑客不能從截獲的的亂碼中得到意義明確的信息；使黑客不能偽造亂碼型信息。研究密碼技術的學科稱為密碼學。密碼學密碼學的兩個方向密碼編碼學：對信息進行編碼，實現信息隱蔽；密碼分析學：研究分析破譯密碼方法。幾個概念明文：未被隱蔽的信息；密文：將明文變換成一種隱蔽形式的文件；加密：由明文到密文的變換；解密：由合法接收者從密文恢復出明文；破譯：非法接收者試圖從密文分析出明文的過程；加密算法：對明文進行加密時采用的一組規則；解密算法：對密文解密時采用的一組規則；密鑰：加密算法和解密算法是在一組僅有合法用戶知道的秘密信息下進行的，這組秘密信息稱為密鑰；加密密鑰：加密過程中所使用的密鑰；解密密鑰：解密過程所使用的密鑰；對稱密鑰：加密密鑰和解密密鑰為一個密鑰；非對稱密鑰：加密密鑰和解密密鑰分別為兩個不同級密鑰；公開密鑰：兩個密鑰中有一個密鑰是公開的。密碼攻擊窮舉法分析法窮舉法又稱為強力法或完全試湊法。它對收到的密文依次用各種可解的密鑰試譯，直至得到明文；或在不變密鑰下，對所有可能的明文加密直至得到與截獲的密文一樣為止。只要有足夠的計算時間和存儲容量，原則上窮舉法總是可以成功的。分析破譯法包括確定性分析破譯和統計分析破譯兩類。確定性分析法利用一個或幾個已知量(如已知密文或明文-密文對)，用數學關系式表示出所求未知量(如密鑰)。統計分析法是利用明文的已知統計規律進行破譯的方法。密碼破譯者對多次截獲的密文進行破譯，統計與分析，總結出了其中的規律性，并與明文的統計規律進行對照比較，從中提出明文和密文之間的對應或變換信息。網絡加密方式鏈路加密方式不但對數據報的正文加密，而且對路由信息、檢驗和以及所有控制信息全都加密。結點對結點加密方式為了解決在結點中數據是明文的缺點，在中間結點裝有用于加密與解密的保護裝置。端對端加密方式加密與解密只在源結點與目的結點上進行，由發送方加密的數據在沒有到達目的結點之前不被解密。軟件加密與硬件加密軟件加密一般是用戶在發送數據之前，先調用信息安全模塊對信息進行加密，然后發送，到達接收方后，由用戶解密軟件進行解密，得到明文。優點：已有標準的信息安全應用程序模塊產品(API)，實現方便，兼容性好。缺點：密鑰的管理很復雜，目前密鑰的分配協議有缺陷；軟件加密是在用戶計算機內進行的，容易給攻擊者采用程序跟蹤以及編譯等手段進行攻擊的機會；相對于硬件加密速度慢。硬件加密的密鑰管理方便，加密速度快，不易受攻擊，而且大規模集成電路的發展，為采用硬件加密提供了保障。幾種著名的加密算法數據加密標準(DES:DataEncryptionStandard)——對稱加密算法IDEA密碼算法(InternationalDataEncryptionAlgorithm)——對稱加密算法RSA算法——非對稱加密算法數據加密標準DES由IBM公司于1975年推薦給美國國家標準局的，1977年7月被正式作為美國數據加密標準。DES采有用了對稱密鑰。基本思想：將比特序列的明文分成每64比特一組，用長為64比特的密鑰（實際為56位的密鑰和8位的奇偶校驗）對其進行16次迭代和換位加密，最后形成密文。算法是公開的，密鑰是保密的。優點：除了密鑰輸入順序之外，其加密和解密的步驟相同，使得在制作DES芯片時，容易做到標準化和通用化，因此在國際上得到廣泛應用。缺點：利用窮舉法可攻破。密碼算法IDEA該算法的前身由來學嘉與JamesMessey完成于1990年，稱為PES算法。次年，由Biham和Shamir強化了PES，得到一個新算法，稱為IPES。1992年IPES更名為IDEA，即國際數據加密算法。IDEA被認為現今最好的安全分組密碼算法之一。IDEA是以64比特的明文塊進行分組，經過8次迭代和一次變換，得到64比特密文，密鑰長128比特。此算法可用于加密和解密，是對稱密鑰法，算法也是公開的，密鑰不公開。IDEA用了混亂和擴散等操作，算法的設計思想是，在不同的代數組中采用混合運算，其基本運算主要有異或、模加與模乘三種，容易采用軟件和硬件實現。公開鑰密碼算法RSA1978年美國麻省理工學院三位科學家Rivest,Shamir和Adleman提出了公開密鑰體制RSA。公開密鑰密碼體制是使用不同的加密密鑰與解密密鑰，是一種由已知加密密鑰推導出解密密鑰在計算上是不可行的密碼體制。加密密鑰是公開的，稱為公鑰，解密密鑰需要保密，稱為私鑰，所以是一種非對稱密鑰法。無論是加密算法還是解密算法都是公開的。它的安全性基于數論，即尋求兩個大素數比較簡單，但要將兩個大素數的乘積分解開則極其困難。決定安全性的關鍵因素是密鑰長度以及攻破密文的計算量。數字簽名數字簽名能夠實現用戶對電子形式存放的信息進行認證。接收者能夠核實發送者對報文的簽名；發送者事后不能抵賴對報文的簽名；接收者不能偽造對報文的簽名。報文鑒別對付被動攻擊的重要措施是加密，而對付主動攻擊中的篡改與偽造則要用報文鑒別的方法，也可稱為認證(authentication)認證系統的目的信源識別，防止假冒；檢驗收到信息的完整性，驗證在傳送過程中是否被篡改、重放或延遲。防火墻技術防火墻防火墻是一臺用于信息安全管理與服務的計算機系統。它可以加強網絡間的訪問控制，防止外部用戶非法使用內部網的資源，保護內網的設備工作狀態不被破壞，數據不被竊取。防火墻的基本功能與特性基本功能過濾進出網絡的數據包。管理進出網絡的訪問。封堵某些禁止的訪問。記錄通過防火墻的信息內容和活動情況。對攻擊進行檢測與告警。特性所有通過內網與外網之間傳輸的數據必須通過防火墻。只有被授的合法數據才可能通過防火墻。防火墻本身不受各種攻擊。使用了新的信息安全技術，例如現代密碼技術、一次口令、智能卡等技術。防火墻的優點與缺陷利用防火墻保護內網的主要優點簡化了網絡安全管理；保護了網絡中脆弱的服務；防火墻可以方便地監視網絡安全并產生報警；內網所有或大部分需要改動的以及附加的安全程序都集中地放在防火墻系統中；增強了保密，強化了私有權；防火墻是審計和記錄Internet使用情況的最佳地方；防火墻也可成為向客戶發布信息的地點，作為布置WWW服務器和FTP服務器的地點是非常理想的。還可以對防火墻進行配置，允許Internet用戶訪問上述服務器，而禁止外網對內網中其他系統的訪問。防火墻的優點與缺陷防火墻的優點很多，但也有一些缺陷與不足，主要缺陷如下：限制了網絡服務，特別是限制或關閉了很多有用但存有安全缺陷的網絡服務；無法防止內部網絡用戶的攻擊；無法防范繞過防火墻的攻擊，需要附加認證的代理服務器；不能完全防止感染和傳送病毒。不能期望防火墻對每一個文件掃描，查出潛在的病毒；無法防范數據驅動型的攻擊。數據驅動型的攻擊從表面上看是無害的數據，被拷貝到Internet的主機上，一旦被執行，就發起了攻擊。不能防范新的網絡安全問題。防火墻是一種被動式的防護手段，它只能對現在已知的網絡威脅起作用。防火墻的體系結構包過濾雙宿網關屏蔽主機屏蔽子網包過濾型防火墻-1可以用一臺過濾路由器來實現，對所接收的每個數據包做允許或拒絕的決定。此時，路由器審查每個數據包以便確定其是否與某一條包過濾規則匹配。過濾規則基于可以提供給IP轉發過程的包頭信息。包過濾型防火墻-2包過濾路由器型防火墻的優缺點包過濾路由器型防火墻的優點處理包的速度要比代理服務器快，過濾路由器為用戶提供了一種透明的服務，用戶不用改變客戶端程序或改變自己的行為。實現包過濾幾乎不再需要費用(或極少的費用)，包過濾路由器對用戶和應用來講是透明的，所以不必對用戶進行特殊的培訓和在每臺主機上安裝特定的軟件。包過濾路由器型防火墻的缺點防火墻的維護比較困難；只能阻止一種類型的IP欺騙，即外部主機偽裝內部主機的IP，對于外部主機偽裝其他可信任的外部主機的IP卻不可能阻止；任何直接經過路由器的數據包都有被用作數據驅動式攻擊的潛在危險；一些包過濾網關不支持有效的用戶認證；不可能提供有用的日志，或根本就不提供。隨著過濾器數目的增加，路由器的吞吐量會下降；IP包過濾器可能無法對網絡上流動的信息提供全面的控制。雙宿網關防火墻-1又稱為雙重宿主主機防火墻。雙宿網關是一種擁有兩個連接到不同網絡上的網絡接口的防火墻。這種防火墻的最大特點是IP層的通信是被阻止的，兩個網絡之間的通信可通過應用層數據共享或應用層代理服務來完成。雙重宿主主機是唯一的隔開內部網和外部因特網之間的屏障，如果入侵者得到了雙重宿主主機的訪問權，內部網絡就會被入侵，所以為了保證內部網的安全，雙重宿主主機應具有強大的身份認證系統，才可以阻擋來自外部不可信網絡的非法登錄。雙宿網關防火墻-2屏蔽主機防火墻-1強迫所有的外部主機與一個堡壘主機相連接，而不讓它們直接與內部主機相連。由包過濾路由器和堡壘主機組成。堡壘主機是一臺完全暴露給外網攻擊的主機。它沒有任何防火墻或者包過慮路由器設備保護。堡壘主機執行的任務對于整個網絡安全系統至關重要。實現了網絡層安全(包過濾)和應用層安全(代理服務)。堡壘主機配置在內部網絡上，而包過濾路由器則放置在內部網絡和因特網之間。屏蔽主機防火