信息安全与保密技术-计算机系主页_第1页
信息安全与保密技术-计算机系主页_第2页
信息安全与保密技术-计算机系主页_第3页
信息安全与保密技术-计算机系主页_第4页
信息安全与保密技术-计算机系主页_第5页
已阅读5页,还剩43页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

信息安全与保密技术网络信息安全所面临的威胁计算机网络信息安全所存在的缺陷怎样实现网络信息安全与保密密码技术防火墙简介虚拟专用网技术简介网络信息安全所面临的威胁人为的威胁。恶意的攻击或称为黑客攻击。自然的威胁。恶劣的环境、电磁干扰、设备老化、各种自然灾害等。恶意攻击特征智能性:具有专业技术和操作技能,精心策划。严重性:造成巨额的经济损失,或军政的失密。隐蔽性:不留犯罪现场,不易引起怀疑、作案的技术难度大,也难以破案。多样性:攻击的领域多,在同一领域内攻击的手段多,例如在电子商务和电子金融领域,包括偷税、漏税、洗钱等。网络犯罪集团化与国际化。主动攻击和被动攻击主动攻击是以各种方式有选择地破坏信息,如:修改、删除、伪造、添加、重放、乱序、冒充、制造病毒等。被动攻击是指在不干扰网络信息系统正常工作的情况下,进行侦收、截获、窃取、破译、业务流量统计分析及电磁泄露,非法浏览等。具有代表性的恶意攻击信息战。这是一种以获得控制信息权为目标的战争。以美国为首的北约集团对南斯拉夫进行野蛮轰炸之前就先进行了一场信息战。商业间谍。利有Internet收集别国或别公司的商业情报。窃听。搭线窃听易实现,但不易被发现。流量分析。对网上信息流的观察与分析,获得信息的传输数量、方向、频率等信息。破坏完整性。对数据进行增、删、改等攻击。重发。重发报文或报文分组是取得授权的一种手段。假冒。当一个实体假扮成另一个实体时,就发生了假冒。拒绝服务。当一个被授权的合法实体不能获得网络资源的时候,或当一个紧急操作被推迟时,就发生了拒绝服务。资源的非法授权使用。干扰。由一个站点产生干扰数据扰乱其他站点所提供的服务。频繁的电子邮件信息就是一例。病毒。全世界已发现上万种计算机病毒,构成了对计算机网络的严重威胁。诽谤。利用网络信息系统的互连性和匿名性,发布诽谤信息。计算机网络信息安全所存在的缺陷数据通信中的缺陷计算机硬件资源中的缺陷计算机软件资源中的缺陷数据资源中的缺陷(1)数据通信中的缺陷非法用户通过搭线窃听,侵入网内获得信息,甚至插入、删除信息;对于无线信道,所受到的被动攻击几乎是不可避免的。计算机及其外围设备在进行数据的处理和传输时会产生电磁泄漏,即电磁辐射,从而导致了信息泄漏。在有线信道中,由于信道间寄生参数的交叉耦合,产生了串音。串音不但造成误码率增加,而且也会引起信息泄漏。采用光纤信道可避免这种情况。(2)计算机硬件资源的缺陷在我国集成电路芯片基本依赖进口,还引进了一些网络设备,如交换机、路由器、服务器、甚至防火墙等。这些芯片或设备中可能隐藏一些信息安全隐患,有些是恶意的。(3)软件漏洞陷门。所谓陷门是一个程序模块的秘密未记入文档的入口。常见的陷门实例有:逻辑炸弹遥控旁路远程维护非法通信贪婪程序操作系统的安全漏洞输入/输出非法访问访问控制的混乱不完全的中介操作系统陷门数据库的安全漏洞(4)TCP/IP协议的安全漏洞脆弱的认证机制容易被窃听或监视易受欺骗有缺陷的服务复杂的设置与控制无保密性的IP地址(5)网络软件与网络服务的漏洞Finger的漏洞匿名FTPTFTPTelnetE-mail(6)口令设置的漏洞口令是网络信息系统中最常用的安全与保密措施之一。由于用户谨慎设置与使用口令的不多,这就带来了信息安全隐患。对口令的选择有以下几种不适当之处:用“姓名+数字”作口令,或用生日作口令用单个单词或操作系统的命令作口令多个主机用同一个口令只使用小写英文字母作口令网络信息安全与保密的措施重视安全检测与评估安全检测与评估可靠性检测与评估操作系统评测保密性的检测与评估建立完善的安全体系结构OSI的安全服务OSI的安全机制确定网络信息安全系统的设计原则网络信息安全系统的设计与实现制定严格的安全管理措施强化安全标准与制定国家信息安全法密码技术密码技术密码技术通过信息的变换与编码,将机密的信息变换成黑客难以读懂的乱码型文字,以此达到两个目的:使不知解密的黑客不能从截获的的乱码中得到意义明确的信息;使黑客不能伪造乱码型信息。研究密码技术的学科称为密码学。密码学密码学的两个方向密码编码学:对信息进行编码,实现信息隐蔽;密码分析学:研究分析破译密码方法。几个概念明文:未被隐蔽的信息;密文:将明文变换成一种隐蔽形式的文件;加密:由明文到密文的变换;解密:由合法接收者从密文恢复出明文;破译:非法接收者试图从密文分析出明文的过程;加密算法:对明文进行加密时采用的一组规则;解密算法:对密文解密时采用的一组规则;密钥:加密算法和解密算法是在一组仅有合法用户知道的秘密信息下进行的,这组秘密信息称为密钥;加密密钥:加密过程中所使用的密钥;解密密钥:解密过程所使用的密钥;对称密钥:加密密钥和解密密钥为一个密钥;非对称密钥:加密密钥和解密密钥分别为两个不同级密钥;公开密钥:两个密钥中有一个密钥是公开的。密码攻击穷举法分析法穷举法又称为强力法或完全试凑法。它对收到的密文依次用各种可解的密钥试译,直至得到明文;或在不变密钥下,对所有可能的明文加密直至得到与截获的密文一样为止。只要有足够的计算时间和存储容量,原则上穷举法总是可以成功的。分析破译法包括确定性分析破译和统计分析破译两类。确定性分析法利用一个或几个已知量(如已知密文或明文-密文对),用数学关系式表示出所求未知量(如密钥)。统计分析法是利用明文的已知统计规律进行破译的方法。密码破译者对多次截获的密文进行破译,统计与分析,总结出了其中的规律性,并与明文的统计规律进行对照比较,从中提出明文和密文之间的对应或变换信息。网络加密方式链路加密方式不但对数据报的正文加密,而且对路由信息、检验和以及所有控制信息全都加密。结点对结点加密方式为了解决在结点中数据是明文的缺点,在中间结点装有用于加密与解密的保护装置。端对端加密方式加密与解密只在源结点与目的结点上进行,由发送方加密的数据在没有到达目的结点之前不被解密。软件加密与硬件加密软件加密一般是用户在发送数据之前,先调用信息安全模块对信息进行加密,然后发送,到达接收方后,由用户解密软件进行解密,得到明文。优点:已有标准的信息安全应用程序模块产品(API),实现方便,兼容性好。缺点:密钥的管理很复杂,目前密钥的分配协议有缺陷;软件加密是在用户计算机内进行的,容易给攻击者采用程序跟踪以及编译等手段进行攻击的机会;相对于硬件加密速度慢。硬件加密的密钥管理方便,加密速度快,不易受攻击,而且大规模集成电路的发展,为采用硬件加密提供了保障。几种著名的加密算法数据加密标准(DES:DataEncryptionStandard)IDEA密码算法(InternationalDataEncryptionAlgorithm)RSA算法数据加密标准DES由IBM公司于1975年推荐给美国国家标准局的,1977年7月被正式作为美国数据加密标准。DES采有用了对称密钥。基本思想:将比特序列的明文分成每64比特一组,用长为64比特的密钥对其进行16次迭代和换位加密,最后形成密文。算法是公开的,密钥是保密的。优点:除了密钥输入顺序之外,其加密和解密的步骤相同,使得在制作DES芯片时,容易做到标准化和通用化,因此在国际上得到广泛应用。缺点:利用穷举法可攻破。密码算法IDEA该算法的前身由来学嘉与JamesMessey完成于1990年,称为PES算法。次年,由Biham和Shamir强化了PES,得到一个新算法,称为IPES。1992年IPES更名为IDEA,即国际数据加密算法。IDEA被认为现今最好的安全分组密码算法之一。IDEA是以64比特的明文块进行分组,经过8次迭代和一次变换,得到64比特密文,密钥长128比特。此算法可用于加密和解密,是对称密钥法,算法也是公开的,密钥不公开。IDEA用了混乱和扩散等操作,算法的设计思想是,在不同的代数组中采用混合运算,其基本运算主要有异或、模加与模乘三种,容易采用软件和硬件实现。公开钥密码算法RSA1978年美国麻省理工学院三位科学家Rivest,Shamir和Adleman提出了公开密钥体制RSA。公开密钥密码体制是使用不同的加密密钥与解密密钥,是一种由已知加密密钥推导出解密密钥在计算上是不可行的密码体制。加密密钥是公开的,称为公钥,解密密钥需要保密,称为私钥,所以是一种非对称密钥法。无论是加密算法还是解密算法都是公开的。它的安全性基于数论,即寻求两个大素数比较简单,但要将两个大素数的乘积分解开则极其困难。决定安全性的关键因素是密钥长度以及攻破密文的计算量。RSA的真正价值在于它解决了数字签名及认证系统中的一些关键问题。数字签名数字签名能够实现用户对电子形式存放的信息进行认证。接收者能够核实发送者对报文的签名;发送者事后不能抵赖对报文的签名;接收者不能伪造对报文的签名。报文鉴别对付被动攻击的重要措施是加密,而对付主动攻击中的篡改与伪造则要用报文鉴别的方法,也可称为认证(authentication)认证系统的目的信源识别,防止假冒;检验收到信息的完整性,验证在传送过程中是否被篡改、重放或延迟。MD5报文摘要算法由Rivest提出的MD的第5个版本,于1992年公布。此算法对任意长的报文进行运算,然后得出128比特的MD代码,大致过程如下:将任意长的报文M按模264计算其余数(64比特),追加在报文M的后面。在报文和余数之间填充,保证填充后的总长度是512的整数倍。填充比特前位是1,后面都是0。将追加和填充后的报文分割为一个个512比特的数据块,然后进行一个复杂的处理。处理中用到的散列函数H十分复杂,但MD5算法中的散列函数H中的每一个步骤都是公开的。报文摘要MD的生成报文摘要MD的使用通信双方共享一个常规的密钥KMD的加密使用公开密钥密码体制中的秘密密钥,而在接收端使用公开密钥将加了密的MD解密。这样做的好处是省去了密钥分配给网络带来的负担。通信双方共享一小段秘密的数据块,发送端先将它追加在报文M前面,然后再输入到散列函数H,计算出MD,把MD追加在报文M的后面。防火墙技术防火墙防火墙是一台用于信息安全管理与服务的计算机系统。它可以加强网络间的访问控制,防止外部用户非法使用内部网的资源,保护内网的设备工作状态不被破坏,数据不被窃取防火墙的基本功能与特性基本功能过滤进出网络的数据包。管理进出网络的访问。封堵某些禁止的访问。记录通过防火墙的信息内容和活动情况。对攻击进行检测与告警。特性所有通过内网与外网之间传输的数据必须通过防火墙。只有被授的合法数据才可能通过防火墙。防火墙本身不受各种攻击。使用了新的信息安全技术,例如现代密码技术、一次口令、智能卡等技术。人机界面良好。防火墙的发展过程基于路由器的防火墙。路由器本身包含有包过滤等基本功能。用户化的防火墙工具套。属软件实现,模块化的软件包、安全性和处理速度受限。建立在通用操作系统上的防火墙。具有安全操作系统的防火墙。防火墙操作系统具有安全内核,并对内核进行了加固处理,即去掉不必要的系统特性,强化了安全保护。对每个服务器,子系统都作了安全处理,一旦黑客攻破了一个服务器,黑客被隔离在一个服务器内,不会对网络的其他部分构成威胁。比以往的防火墙扩展了功能。其中包括了分组过滤,应用网关、电路级网关、并且有加密与鉴别功能。透明性好,易于使用。防火墙的优点与缺陷利用防火墙保护内网的主要优点简化了网络安全管理;保护了网络中脆弱的服务;防火墙可以方便地监视网络安全并产生报警;内网所有或大部分需要改动的以及附加的安全程序都集中地放在防火墙系统中;增强了保密,强化了私有权。防火墙是审计和记录Internet使用情况的最佳地方。防火墙也可成为向客户发布信息的地点,作为布置WWW服务器和FTP服务器的地点是非常理想的。还可以对防火墙进行配置,允许Internet用户访问上述服务器,而禁止外网对内网中其他系统的访问。防火墙的优点与缺陷防火墙的优点很多,但也有一些缺陷与不足,主要缺陷如下:限制了网络服务,特别是限制或关闭了很多有用但存有安全缺陷的网络服务;无法防止内部网络用户的攻击;无法防范绕过防火墙的攻击,需要附加认证的代理服务器;不能完全防止感染和传送病毒。不能期望防火墙对每一个文件扫描,查出潜在的病毒;无法防范数据驱动型的攻击。数据驱动型的攻击从表面上看是无害的数据,被拷贝到Internet的主机上,一旦被执行,就发起了攻击。不能防范新的网络安全问题。防火墙是一种被动式的防护手段,它只能对现在已知的网络威胁起作用。防火墙的体系结构包过滤双宿网关屏蔽主机屏蔽子网包过滤型防火墙可以用一台过滤路由器来实现,对所接收的每个数据包做允许或拒绝的决定。此时,路由器审查每个数据包以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP转发过程的包头信息。包过滤路由器型防火墙的优缺点包过滤路由器型防火墙的优点处理包的速度要比代理服务器快,过滤路由器为用户提供了一种透明的服务,用户不用改变客户端程序或改变自己的行为。实现包过滤几乎不再需要费用(或极少的费用),包过滤路由器对用户和应用来讲是透明的,所以不必对用户进行特殊的培训和在每台主机上安装特定的软件。包过滤路由器型防火墙的缺点防火墙的维护比较困难;只能阻止一种类型的IP欺骗,即外部主机伪装内部主机的IP,对于外部主机伪装其他可信任的外部主机的IP却不可能阻止;任何直接经过路由器的数据包都有被用作数据驱动式攻击的潜在危险;一些包过滤网关不支持有效的用户认证;不可能提供有用的日志,或根本就不提供。随着过滤器数目的增加,路由器的吞吐量会下降;IP包过滤器可能无法对网络上流动的信息提供全面的控制。包过滤防火墙一般应用场合机构是非集中化管理;机构没有强大的集中安全策略;网络的主机数非常少。;主要依赖于主机安全来防止入侵;没有使用DHCP这样的动态IP地址分配协议。双宿网关防火墙又称为双重宿主主机防火墙。双宿网关是一种拥有两个连接到不同网络上的网络接口的防火墙。这种防火墙的最大特点是IP层的通信是被阻止的,两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成。双重宿主主机是唯一的隔开内部网和外部因特网之间的屏障,如果入侵者得到了双重宿主主机的访问权,内部网络就会被入侵,所以为了保证内部网的安全,双重宿主主机应具有强大的身份认证系统,才可以阻挡来自外部不可信网络的非法登录。屏蔽主机防火墙强迫所有的外部主机与一个堡垒主机相连接,而不让它们直接与内部主机相连。由包过滤路由器和堡垒主机组成。实现了网络层安全(包过滤)和应用层安全(代理服务)。堡垒主机配置在内部网络上,而包过滤路由器则放置在内部网络和因特网之间。屏蔽子网防火墙采用两个包过滤路由器和一个堡垒主机。堡垒主机、信息服务器以及其他公用服务器放在“非军事区”网络中。“非军事区”网络处于因特网和内部网络之间。内部路由器(阻塞路由器)位于内部网和“非军事区”之间,用于保护内部网不受“非军事区”和因特网的侵害,它执行了大部分的过滤工作。外部路由器的一个主要功能是保护“非军事区”上的主机。这种保护不是很必要,因为主要是通过堡垒主机来进行安全保护的。外部路由器还可以防止部分IP欺骗,因为内部路由器分辨不出一个声称从“非军事区”来的数据包是否真的从“非军事区”来,而外部路由器很容易分辨出真伪。屏蔽子网

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论