《计算机网络与信息安全技术》电子课件CH内容安全技术

内容安全技术第5章基本内容内容安全是网络信息安全的最终目标。上一章介绍的加密技术、各种网络安全技术以及前面介绍的资源访问控制方法等都是为数据内容的安全服务的。本章从网络传输及应用的角度，介绍信息内容安全的概念和最常见的几种内容安全技术的应用。5.1信息内容安全概述5.1.1信息内容的定义

“信息内容”涉及动画、游戏、影视、数字出版、数字创作、数字馆藏、数字广告、互联网、信息服务、咨询、移动内容、数字化教育、内容软件等，主要可分为政务型、公益型、商业型三种类型。信息内容的定义来源于数字内容产业。一般来说，“信息内容产业”指的是基于数字化、网络化，利用信息资源创意、制作、开发、分销、交易的产品和服务的产业。

随着互联网的普及，信息内容的种类与数量急剧膨胀，其中鱼目混杂，反动言论、盗版、淫秽与暴力等不良内容充斥其间。由于信息内容安全涉及国家利益、社会稳定和民心导向，因此，受到各方的普遍关注。

5.1信息内容安全概述5.1.2信息内容安全的宗旨信息内容安全的严峻挑战：

1）超大流量的内容向现有信息内容安全技术提出了挑战。

2）由于缺乏信息内容分级标准和内容过滤产品，使得保护青少年健康成长问题日渐突出。

3）政务型信息内容的泄密带来严重的后果。对信息资产的安全等级评定、标记、监控技术提出了更高的要求。

4）信息内容的监管越来越突出。

5）大量耗费网络带宽的恶意数据充斥网络空间，如病毒、网络蠕虫、分布式拒绝服务攻击（DDoS）攻击、垃圾邮件等。5.1信息内容安全概述5.1.2信息内容安全的宗旨

信息内容安全的宗旨在于防止非授权的信息内容进出网络。具体表现在：

1）政治性。防止来自国内外反动势力的攻击、诬陷与西方的和平演变图谋。

2）健康性。剔除色情、淫秽和暴力内容等。

3）保密性。防止国家和企业机密被窃取、泄露和流失。

4）隐私性。防止个人隐私被盗取、倒卖、滥用和扩散。5）产权性。防止知识产权被剽窃、盗用等。

6）防护性。防止病毒、垃圾邮件、网络蠕虫等恶意信息耗费网络资源。5.1信息内容安全概述5.1.3信息内容安全领域的主要技术

信息内容安全的技术和产品重点研究：信息内容分级标准的制定及相应的过滤产品与技术信息资产的安全等级评定技术及产品大流量网络信息的实时监控技术与产品移动终端的防病毒与防泄漏技术与产品IPv6的信息内容安全技术与产品骨干网内容过滤技术与产品基于图像内容监管技术与产品基于音频的内容监管技术与产品国家级分布式网络内容监管体系信息内容的渗透与反渗透技术与产品网关型网络蠕虫及病毒的查杀技术与产品5.1信息内容安全概述5.1.3信息内容安全领域的主要技术

信息内容安全的核心技术：1．信息获取技术

分为主动获取技术和被动获取技术。

主动获取技术通过向网络注入数据包后的反馈来获取信息，特点是接入方式简单，能够获取更广泛的信息内容，但会对网络造成额外的负担。

被动获取技术则在网络出入口上通过镜像或旁路侦听方式获取网络信息，特点是接入需要网络管理者的协作，获取的内容仅限于进出本地网络的数据流，但不会对网络造成额外流量。5.1信息内容安全概述5.1.3信息内容安全领域的主要技术

信息内容安全的核心技术：2．信息内容识别技术

信息内容识别是指对获取的网络信息内容进行识别、判断、分类，确定其是否为所需要的目标内容，识别的准确度和速度是其中的重要指标。主要分为文字、音频、图像、图形识别。目前文字识别技术已得到广泛应用，音频识别也在一定范围内使用，但图像识别的准确性还有待进一步提高离实际应用尚有一定的距离。5.1信息内容安全概述5.1.3信息内容安全领域的主要技术

信息内容安全的核心技术：3．控制/阻断技术

对于识别出的非法信息内容，阻止或中断用户对其访问，成功率和实时性是两个重要指标。

从阻断依据上分为基于IP地址阻断、基于内容的阻断；从实现方式上分为软件阻断和硬件阻断；

从阻断方法上分为数据包重定向和数据包丢弃。

具体地，在垃圾邮件剔除、涉密内容过滤、著作权盗用的取证、有害及色情内容的阻断和警告等方面已经投入使用。5.1信息内容安全概述5.1.3信息内容安全领域的主要技术

信息内容安全的核心技术：4．信息内容分级

网络“无时差、零距离”的特点使得不良内容以前所未有的速度在全球扩散，网络不良内容甚至还会造成青少年生理上的伤害。应该建立自己的网上内容分级标准，让父母保护他们的孩子远离互联网上有潜在危害的内容。5.1信信息息内容安安全概述述信信息内内容安全全领域的的主要技技术信息内容容安全的的核心技技术：5．图像像过滤一些不良良网络信信息的提提供者采采取了回回避某些些敏感词词汇，将将文本嵌嵌入到图图像文件件中，或或直接以以图像文文件的形形式出现现等方法法，从而而可以轻轻易地通通过网络络过滤和和监测系系统。为为此，需需要对网网页中的的图像进进行分析析和理解解实现网网络过滤滤。目前前这一技技术还没没有达到到实用系系统的要要求。5.1信信息息内容安安全概述述信信息内内容安全全领域的的主要技技术信息内容容安全的的核心技技术：6．信息息内容审审计信息内容容审计的的目标就就是真实实全面地地将发生生在网络络上的所所有事件件记录下下来，为为事后的的追查提提供完整整准确的的资料。。通过对对网络信信息进行行审计，，政府部部门可以以实时监监控本区区域内Internet的使使用情况况，为信信息安全全的执法法提供依依据。虽虽然审计计措施相相对网上上的攻击击和窃密密行为是是有些被被动，它它对追查查网上发发生的犯犯罪行为为起到十十分重要要的作用用，也对对内部人人员犯罪罪起到了了威慑作作用。采用的主主要技术术是以旁旁路方式式捕获受受控网段段内的数数据流，，通过协协议分析析、模式式匹配等等技术手手段对网网络数据据流进行行审计，，并对非非法流量量进行监监控和取取证。5.1信信息息内容安安全概述述信信息内内容安全全领域的的主要技技术信息内容容安全的的核心技技术：6．信息息内容审审计(续)审计技术术的发展展趋势可可归纳为为以下几几个主要要方面：：1）包捕捕获技术术。通过过采用零零拷贝技技术，尽尽可能减减少内存存拷贝开开销。2）模式式匹配技技术，提高多关关键字条条件下的的模式匹匹配效率率以及中中文信息息模糊匹匹配精度度和效率率。3）协议议分析与与还原技技术。解解决对数数据包分分片的分分析与还还原技术术、抵御御DDoS攻击击对探测测引擎的的影响，，拓展对对网络应应用协议议分析的的范围。。4）对各各种复杂杂条件下下的信息息源精确确定位技技术。5）数据检索索与智能化统统计分析技术术。5.1信信息内容安全全概述信信息内容容安全领域的的产品信息内容安全全产品主要分分为防病毒产产品、邮件扫扫描产品和网网页过滤产品品三类，涉及及的应用主要要分为HTTP、SMTP、POP3、BBS、Telnet、FTP、MSN、ICQ、FREENET、、手机短信。。根据产品性能能，分为千兆监监控产品、百百兆监控(家家庭/网吧)产品。根据监控对象象，分为内容审审计产品、影影视监播产品品产品、影视视反盗版产品品、网吧监控控产品、网络络追查产品、、员工上网审审计产品，反反垃圾邮件产产品、防病毒毒产品等。根据监控的协协议，分为网页监监控（HTTP）,邮件件监控（SMTP,POP3）,聊聊天室监控控（BBS,Telnet,FTP）,即时消消息监控（MSN,ICQ）,P2P网络监控控（FREENET等））,手机短信信监控等。5.2PGP加密传传输软件加密是为了安安全，隐私权权是一种基本本人权。在现现代社会里，，电子邮件和和网络上的文文件传输已经经成为生活的的一部分，传传输安全问题题日益突出。电子邮件系统统以其方便、、快捷而成为为了人们进行行信息交流的的重要工具，，并被越来越越多地应用于于日常生活和和工作，特别别是有关日常常信息交流、、企业商务信信息交流和政政府网上公务务流转等商务务活动和管理理决策的信息息沟通，为提提高社会经济济运行效率起起到了巨大的的带动作用，，已经成为企企业信息化和和电子政务的的基础。当前，电子邮邮件系统的发发展面临着机机密泄漏、信信息欺骗、病病毒侵扰、垃垃圾邮件等诸诸多安全问题题的困扰。概概述PGP的全称称是PrettyGoodPrivacy，它是Internet上一个著著名的共享加加密软件，与与具体的应用用无关，可独独立提供数据据加密、数字字签名、密钥钥管理等功能能，适用于电电子邮件内容容的加密和文文件内容的加加密；也可作作为安全工具具嵌入到应用用系统之中。。目前使用PGP进行电电子信息加密密已经是事实实上的应用标标准，IETF在安全领领域有一个专专门的工作组组负责进行PGP的标准准化工作，许许多大的公司司、机构，包包括很多安全全部门在内，，都拥有自己己的PGP密密码。PGP的传播播和使用处于于一种无政府府状态，完全全由使用者自自行控制掌握握，它通过数数字签名所形形成的信任链链将彼此信任任的用户关联联起来。5.2PGP加密传传输软件的的功能PGP最初的的设计主要是是用于邮件加加密，如今已已经发展到了了可以加密整整个硬盘、分分区、文件、、文件夹、集集成进邮件软软件进行邮件件加密，甚至至可以对ICQ的聊天信信息实时加密密！PGP使用了了以下一些算算法：RSA、AES、、CAST、、IDEA、、TripleDES、、Twofish、MD5、ZIP、PEM、、SHA-1、SHA-2等。PGP使用RSA算法对IDEA密钥钥进行加密，，然后使用IDEA算法法对信息本身身进行加密。。在PGP中中使用的信息息摘要算法是是MD5。PGP至少为为每个用户定定义两个密钥钥文件，称为为Keyring，分别别存放自己的的私钥(可以以不止一个)和自己及其其他用户的公公钥。5.2PGP加密传传输软件PGP需要下下载安装文件件执行安装，，重启计算机机后才能正常常工作。重启启后PGP以以向导的方式式一步步指引引用户产生自自己的公钥/私钥对（若若已有，则也也可直接指定定公钥/私钥钥文件所在的的文件夹导入入使用），生生成时要求用用户输入通行行码（Passphrase）,如如图5-1所所示。的的使用5.2PGP加密传传输软件的的使用PGP运行后后在系统提示示区的图标为为“”。PGP的的主要功能和和工作界面如如下所示。5.2PGP加密传传输软件的的使用密钥管理（PGPkeys）管理界面如图图所示。可新新建、导入、、导出密钥，，建立相互间间信任链。5.2PGP加密传传输软件的的使用PGP的主要要功能（1）加/解解密文件在“资源管理理器”中直接接在你需要加加密的文件上上点右键，选选择“PGPDesktop”菜菜单组，进入入该菜单组，，如图5-6所示，可通通过口令（PassPhrase））或密钥（key）加密密文件、生成成PGPZip文件等等。5.2PGP加加密传输软软件5.2.3PGP的使用PGP的主主要功能(2)剪贴贴板信息的的加解密右击系统区区PGP图图标，选择择菜单“Clipboard”，可实实现剪贴板板信息的加加密、认证证、加密并并认证、解解密等操作作。加密的的结果可插插入到文件件或MSN窗口中进进行交换，，由接收方方解密后使使用。(3)当前前窗口信息息的加解密密右击系统区区PGP图图标，选择择菜单（CurrentWindow），可可实现当前前窗口信息息的加密、、认证、加加密并认证证、解密等等操作。加加密后的信信息示例如如图所示。。5.2PGP加加密传输软软件5.2.3PGP的使用PGP的主主要功能(4)PGP虚拟盘盘的建立与与使用虚拟盘（PGPDisk））并不是系系统物理硬硬盘的分区区，而是通通过PGP软件建立立的硬盘中中的一个文文件，只在在PGP软软件运行的的状态下““虚拟”成成一个磁盘盘，使用完完毕又可关关闭该磁盘盘。5.2PGP加加密传输软软件5.2.3PGP的使用PGP的主主要功能(5)PGPZip文件的的建立与使使用对文件进行行加密压缩缩。此功能能可在资源源管理器的的右键菜单单中使用，，也可通过过“PGPDesktop”来使用用或管理。。(6)PGPNetshare通过PGPNetshare可实现现文件夹资资源的网络络共享，共共享时根据据密钥文件件实现许可可验证。此此功能可在在资源管理理器的右键键菜单中使使用，也可可通过“PGPDesktop”来来使用或管管理。(7)安安全全电电子子邮邮件件PGP软软件件已已与与Outlook、、Foxmail、、ICQ等等软软件件有有机机集集成成，，发发送送电电子子邮邮件件时时可可采采用用接接收收方方的的公公钥钥进进行行加加密密，，接接收收时时由由接接收收方方自自动动进进行行解解密密；；也也可可用用自自己己的的私私钥钥进进行行加加密密认认证证，，由由接接收收方方通通过过发发送送方方的的公公钥钥进进行行解解密密。。5.2PGP加加密密传传输输软软件件5.3反反垃垃圾圾邮邮件件技技术术引引言言简单单邮邮件件传传输输协协议议（（SMTP））是是在在因因特特网网几几乎乎完完全全由由学学术术界界使使用用时时开开发发的的，，它它假假定定你你就就是是说说你你自自己己是是某某人人的的真真实实身身份份。。SMTP做做出出这这种种假假定定是是因因为为系系统统并并不不怀怀疑疑你你发发送送了了特特洛洛伊伊木木马马病病毒毒，，也也不不怀怀疑疑你你以以下下台台非非洲洲独独裁裁者者的的名名义义进进

反垃圾邮件技术人员与垃圾邮件制造者进行了多年的对抗，但垃圾邮件丝毫没有减少，反面与日俱增。

美国在线时代华纳公司在线部门的美国在线，前不久介绍说，公司一天就屏蔽了24亿封垃圾电邮。尽管战绩不错，许多垃圾信息还是发到了美国在线3400万用户的邮箱。一些人估计，垃圾电邮已经占到电邮总量的大约50%。5.3反反垃垃圾邮件件技术引引言1．什么么是垃圾圾邮件？中国互联联网协会会2003年3月25日通过过的反垃垃圾邮件件规范对对垃圾邮件件的定义义是：①收件人人事先没没有提出出要求或或者同意意接收的的广告、、电子刊刊物、各各种形式式的宣传传品等宣宣传性的的电子邮邮件；②收件人人无法拒拒收的电电子邮件件；③隐藏发发件人身身份、地地址、标标题等信信息的电电子邮件件；④含有虚虚假的信信息源、、发件人人、路由由等信息息的电子子邮件。。垃圾邮件件是仅次次于病毒毒的互联网公害。5.3反反垃垃圾邮件件技术引引言2．垃圾圾邮件的的危害性性垃圾邮件件的危害害性具体体体现在在以下几几个方面面：1）用了了大量网网络带宽宽，使得得邮件服服务器的的CPU时间大大量消耗耗在接收收垃圾邮邮件方面面，甚至至还有可可能造成成邮件服服务器拥拥塞，因因此大大大降低了了整个网网络的运运行效率率。同时时由于垃垃圾邮件件的大量量传播，，人们对对其所产产生的信信息麻木木，也影影响了正正常网络络营销的的进行，，对网络络空间的的发展有有很大的的危害性性。2）垃圾圾信息导导致电子子邮件使使用率大大降。3）滥发发的垃圾圾邮件不不仅侵犯犯了收件件人的隐隐私权和和宝贵的的信箱空空间，同同时还耗耗费了收收件人的的时间、、精力和和金钱在在删除垃垃圾邮件件方面。。而且还还有些垃垃圾邮件件盗用他他人的电电子邮件件地址作作为发信信地址，，这样就就严重损损害了他他人的信信誉。5.3反反垃垃圾邮件件技术引引言2．垃圾圾邮件的的危害性性(续)4）成为为病毒、、木马程程序的载载体，影影响计算算机的正正常使用用。5）被黑黑客利用用进行网网络攻击击。6）严重重影响公公司的服服务形象象。7）垃圾圾邮件宣宣传的多多半是各各种广告告以及色色情、反反动非法法言论，，等。这类垃圾邮件件已经对对现实社社会造成成了极大大的危害害。归纳起来来主要指指：侵犯犯了消费费者的隐隐私权、、通讯自自由权，，由于给给消费者者造成的的损失也也侵犯了了其财产产权；对对ISP来说，，作为受受害者被被侵犯了了财产权权，名誉誉权等，，但如果果给垃圾圾邮件制制造商提提供了邮邮件地址址，有可可能其也也违反合合同的诚诚信原则则；从整整个网络络社会环环境来看看，公共共的安全全被侵犯犯，公共共的利益益也受到到了严重重侵犯。。5.3反反垃垃圾邮件件技术反反垃圾圾邮件技技术反垃圾邮邮件的对对策就是是将垃圾圾邮件从从系统中中分离出出来并且且过滤掉掉，即我我们常说说的电子子邮件过过滤技术术。不同的反反垃圾邮邮件产品品采用的的技术有有所不同同，但总总体来说说，不外外乎以下下几种技技术，其其中，针针对垃圾圾邮件的的核心技技术有贝贝叶斯智智能分析析、垃圾圾邮件评评分、垃垃圾邮件件指纹识识别。1．关键键字7．意图图检测2．IP黑/白白名单8．DNS反向向查找3．贝叶叶斯算法法9．防止止字典攻攻击4．垃圾圾邮件评评分10．垃垃圾邮件件防火墙墙5．指纹纹识别11．邮邮件域名名过滤6．实时时黑名单单列表……5.3反反垃垃圾邮件件技术选选择反反垃圾邮邮件技术术的标准准评估反垃垃圾邮件件解决方方案的主主要标准准是有效性、准确度和易于管理理性。先进的的解决方方案可以以提供综综合性技技术，并并减少管管理员在在部署和和持续维维护等方方面的繁繁琐工作作。面对众多多相互竞竞争的供供应商和和解决方方案，选选择出正正确的反反垃圾邮邮件产品品是相当当艰巨的的。评估估过程应应该从明明确了解解解决方方案的评评判标准准开始。。准确性性、有效效性和低低管理开开销目前前仍是最最重要的的决策因因素。现现场评估估（反垃垃圾邮件件解决方方案在生生产环境境中工作作）时，，应该密密切跟踪踪这些因因素。“治标更更要治本本”。要抓垃圾圾邮件的的源头，，让它根根本发不不出来，，这才是是成本最最低的治治理方法法。5.3反反垃垃圾邮件件技术邮邮件过滤滤系统Mailscanner系统统是上海海基网电电脑技术术有限公公司开发发的一套套服务端端E-mail内容安安全过滤滤系统，，可以对对垃圾邮邮件、病病毒邮件件、mail的的主题、、内容、、附件及及收发件件人进行行安全检检测及内内容过滤滤。适应应企业、、网站、、公安局局、部队队、电信信、政府府对E-mail使用用情况和和内容监监控的不不同需求求，针对对控制与与鉴别内内容和受受限内容容提出的的一整套套解决方方案。部署方案案：5.4网网页页防篡改改技术简简介在随着电电子商务务的全球球推广，，各公司司、学校校及政府府部门都都建立了了自己的的网站，，作为与与公众交交互的窗窗口，网网站因此此需要被被公众访访问而暴暴露于因因特网上上，容易易成为黑黑客的攻攻击目标标。其中中黑客和和不法分分子对网网站的网网页（主主页）内内容的篡篡改是时时常发生生，而这这类事件件对公众众产生的的负面影影响又是是非常严严重的。。据统计计，因特特网中的的各大网网站都受受到过黑黑客的攻攻击，尤尤其在重重大的政政治活动动期间。。网页篡篡改者者利用用操作作系统统的漏漏洞和和网站站管理理的缺缺陷进进行攻攻击，，而目目前大大量的的安全全措施施（如如安装装防火火墙、、入侵侵检测测）集集中在在网络络层上上，它它们无无法有有效阻阻止网网页篡篡改事事件发发生。。5.4网网页页防篡改改技术简简介大多数网网站的内内容安全全的监控控还处于于手工阶阶段，从从而无法法及时有有效的侦侦测到网网站被攻攻击，网网页被篡篡改和BBS和和Chatroom中中的不良良信息，，从而造造成不良良的政治治影响。。另外，，网站内内部人员员一旦疏疏忽发布布了敏感感信息，，各监管管部门又又难以及及时发现现，这样样必将造造成重大大损失。。因此，，对于影影响力强强，浏览览人数众众多的网网站，特特别是权权威的政政府和媒媒体网站站来说，，它们所所发布的的消息都都是与普普通老百百姓的生生活息息息相关的的，要是是网站上上哪一环环节出了了差错，，势必对对公众造造成不良良后果，，这就需需要一款款专门的的网页防防篡改系系统来保保护自己己网站和和网页内内容的安安全。据CNCERT/CC2007年年的统计计，网页页篡改已已成为因因特网最最主要的的攻击事事件之一一。5.4网网页页防篡改改技术网网页防防篡改系系统网页防篡篡改系统统是这样样的一种种网络安安全软件件，它实实时监控控Web站点，，当Web站点点上的文文件受到到破坏时时，能迅迅速恢复复被破坏坏的文件件，并及及时提交交报告给给系统管管理员，，从而保保护Web站点点的数据据安全。。网页防篡篡改系统统的核心心技术有有网站监监控功能能、网站站发布功功能、内内容过滤滤功能及及数字水水印技术术。5.4网网页页防篡改改技术5.5内内容容过滤技技术概概述互联网的的使用极极大地方方便了信信息的传传递与交交流，但但同时为为黄色、、反动等等敏感信信息提供供了传播播渠道；；对于单含：网页内容过滤技术

实时信息过滤典典型产品品介绍1．Webfilter系系统上海基网网的Webfilter系统统是一套套Web页面面内容过过滤系统统。本系系统通过过对网络络信息流流中中文文信息内内容进行行过滤和和分析，，实现对对网络用用户浏览览或传送送非法、、黄色、、反动等等敏感信信息进行行监控和和封杀。。同时通通过强大大的用户户管理功功能，实实现对用用户的分分组管理理、分时时管理和和分内容容管理，，只要是是在物理理网络内内的用户户，系统统可以对对其上网网情况和和内容进进行监控控，并可可根据不不同级别别的用户户制定不不同的访访问规则则。5.5内内容容过滤技技术2．MessageFilter系统统上海基网网的MessageFilter系统主主要是控控制局域域网中的的即时短短消息通通信，所所支持的的协议包包括MSN6～MSN9。。后续产产品将支支持更多多的协议议。本产产品采用用类似于于Sniffer的的技术术实现，，系统必必须要能能捕获到到网络上上所有的的IP包，，因此系系统在局局域网中中必须连连接在HUB（广播播式网络络）或主主交换机机的MirrorPort上（交交换网络络）。对对服务器器在局域域网内部部的短消消息系统统的控制制不在本本产品的的功能范范围之内内。典典型产品品介绍5.5内内容容过滤技技术信息隐藏藏是指将将某一信信号（一一般称之之为签字字信号，，SignatureSignal）嵌嵌入（embedding））另一