基于内容的应用安全技术-13

第13章基于内容的应用安全技术本章学习目标：了解信息内容的概念和重要性掌握PGP电子邮件加密技术掌握邮件内容过滤和反垃圾邮件技术掌握网页防篡改掌握内容过滤技术13.1信息内容安全概述13.1.1信息内容的定义

“信息内容”涉及动画、游戏、影视、数字出版、数字创作、数字馆藏、数字广告、互联网、信息服务、咨询、移动内容、数字化教育、内容软件等，主要可分为政务型、公益型、商业型三种类型。信息内容的定义来源于数字内容产业。一般来说，“信息内容产业”指的是基于数字化、网络化，利用信息资源创意、制作、开发、分销、交易的产品和服务的产业。

随着互联网的普及，信息内容的种类与数量急剧膨胀，其中鱼目混杂，反动言论、盗版、淫秽与暴力等不良内容充斥其间。由于信息内容安全涉及国家利益、社会稳定和民心导向，因此，受到各方的普遍关注。

13.1信息内容安全概述13.1.2信息内容安全的宗旨信息内容安全的严峻挑战：

1）超大流量的内容向现有信息内容安全技术提出了挑战。

2）由于缺乏信息内容分级标准和内容过滤产品，使得保护青少年健康成长问题日渐突出。

3）政务型信息内容的泄密带来严重的后果。对信息资产的安全等级评定、标记、监控技术提出了更高的要求。

4）信息内容的监管越来越突出。

5）大量耗费网络带宽的恶意数据充斥网络空间，如病毒、网络蠕虫、分布式拒绝服务攻击（DDoS）攻击、垃圾邮件等。13.1信息内容安全概述13.1.2信息内容安全的宗旨

信息内容安全的宗旨在于防止非授权的信息内容进出网络。具体表现在：

1）政治性。防止来自国内外反动势力的攻击、诬陷与西方的和平演变图谋。

2）健康性。剔除色情、淫秽和暴力内容等。

3）保密性。防止国家和企业机密被窃取、泄露和流失。

4）隐私性。防止个人隐私被盗取、倒卖、滥用和扩散。5）产权性。防止知识产权被剽窃、盗用等。

6）防护性。防止病毒、垃圾邮件、网络蠕虫等恶意信息耗费网络资源。13.1信息内容安全概述13.1.3信息内容安全领域的主要技术

信息内容安全的技术和产品重点研究：信息内容分级标准的制定及相应的过滤产品与技术信息资产的安全等级评定技术及产品大流量网络信息的实时监控技术与产品移动终端的防病毒与防泄漏技术与产品IPv6的信息内容安全技术与产品骨干网内容过滤技术与产品基于图像内容监管技术与产品基于音频的内容监管技术与产品国家级分布式网络内容监管体系信息内容的渗透与反渗透技术与产品网关型网络蠕虫及病毒的查杀技术与产品13.1信息内容安全概述13.1.3信息内容安全领域的主要技术

信息内容安全的核心技术：1．信息获取技术

分为主动获取技术和被动获取技术。

主动获取技术通过向网络注入数据包后的反馈来获取信息，特点是接入方式简单，能够获取更广泛的信息内容，但会对网络造成额外的负担。

被动获取技术则在网络出入口上通过镜像或旁路侦听方式获取网络信息，特点是接入需要网络管理者的协作，获取的内容仅限于进出本地网络的数据流，但不会对网络造成额外流量。13.1信息内容安全概述13.1.3信息内容安全领域的主要技术

信息内容安全的核心技术：2．信息内容识别技术

信息内容识别是指对获取的网络信息内容进行识别、判断、分类，确定其是否为所需要的目标内容，识别的准确度和速度是其中的重要指标。主要分为文字、音频、图像、图形识别。目前文字识别技术已得到广泛应用，音频识别也在一定范围内使用，但图像识别的准确性还有待进一步提高离实际应用尚有一定的距离。13.1信息内容安全概述13.1.3信息内容安全领域的主要技术

信息内容安全的核心技术：3．控制/阻断技术

对于识别出的非法信息内容，阻止或中断用户对其访问，成功率和实时性是两个重要指标。

从阻断依据上分为基于IP地址阻断、基于内容的阻断；从实现方式上分为软件阻断和硬件阻断；

从阻断方法上分为数据包重定向和数据包丢弃。

具体地，在垃圾邮件剔除、涉密内容过滤、著作权盗用的取证、有害及色情内容的阻断和警告等方面已经投入使用。13.1信息内容安全概述13.1.3信息内容安全领域的主要技术

信息内容安全的核心技术：4．信息内容分级

网络“无时差、零距离”的特点使得不良内容以前所未有的速度在全球扩散，网络不良内容甚至还会造成青少年生理上的伤害。应该建立自己的网上内容分级标准，让父母保护他们的孩子远离互联网上有潜在危害的内容。13.1信息内容安全概述13.1.3信息内容安全领域的主要技术

信息内容安全的核心技术：5．图像过滤

一些不良网络信息的提供者采取了回避某些敏感词汇，将文本嵌入到图像文件中，或直接以图像文件的形式出现等方法，从而可以轻易地通过网络过滤和监测系统。为此，需要对网页中的图像进行分析和理解实现网络过滤。目前这一技术还没有达到实用系统的要求。13.1信息内容安全概述13.1.3信息内容安全领域的主要技术

信息内容安全的核心技术：6．信息内容审计

信息内容审计的目标就是真实全面地将发生在网络上的所有事件记录下来，为事后的追查提供完整准确的资料。通过对网络信息进行审计，政府部门可以实时监控本区域内Internet的使用情况，为信息安全的执法提供依据。虽然审计措施相对网上的攻击和窃密行为是有些被动，它对追查网上发生的犯罪行为起到十分重要的作用，也对内部人员犯罪起到了威慑作用。

采用的主要技术是以旁路方式捕获受控网段内的数据流，通过协议分析、模式匹配等技术手段对网络数据流进行审计，并对非法流量进行监控和取证。13.1信息内容安全概述13.1.3信息内容安全领域的主要技术

信息内容安全的核心技术：6．信息内容审计(续)

审计技术的发展趋势可归纳为以下几个主要方面：

1）包捕获技术。通过采用零拷贝技术，尽可能减少内存拷贝开销。

2）模式匹配技术，提高多关键字条件下的模式匹配效率以及中文信息模糊匹配精度和效率。

3）协议分析与还原技术。解决对数据包分片的分析与还原技术、抵御DDoS攻击对探测引擎的影响，拓展对网络应用协议分析的范围。

4）对各种复杂条件下的信息源精确定位技术。

5）数据检索与智能化统计分析技术。13.1信息内容安全概述13.1.4信息内容安全领域的产品

信息内容安全产品主要分为防病毒产品、邮件扫描产品和网页过滤产品三类，涉及的应用主要分为HTTP、SMTP、POP3、BBS、Telnet、FTP、MSN、ICQ、FREENET、手机短信。

根据产品性能，分为千兆监控产品、百兆监控(家庭/网吧)产品。

根据监控对象，分为内容审计产品、影视监播产品产品、影视反盗版产品、网吧监控产品、网络追查产品、员工上网审计产品，反垃圾邮件产品、防病毒产品等。

根据监控的协议，分为网页监控（HTTP）,邮件监控（SMTP,POP3）,聊天室监控（BBS,Telnet,FTP）,即时消息监控（MSN,ICQ）,P2P网络监控（FREENET等）,手机短信监控等。13.2电子邮件加密技术

随着互联网的迅速发展和普及，电子邮件已经成为网络中最为广泛、最受欢迎的应用之一。电子邮件系统以其方便、快捷而成为了人们进行信息交流的重要工具，并被越来越多地应用于日常生活和工作，特别是有关日常信息交流、企业商务信息交流和政府网上公务流转等商务活动和管理决策的信息沟通，为提高社会经济运行效率起到了巨大的带动作用，已经成为企业信息化和电子政务的基础。

当前，电子邮件系统的发展面临着机密泄漏、信息欺骗、病毒侵扰、垃圾邮件等诸多安全问题的困扰。

保护邮件安全最常用的方法就是加密。本节介绍PGP软件的使用。13.2电子邮件加密技术

PGP的全称是PrettyGoodPrivacy，它是Internet上一个著名的共享加密软件，与具体的应用无关，可独立提供数据加密、数字签名、密钥管理等功能，适用于电子邮件内容的加密和文件内容的加密；也可作为安全工具嵌入到应用系统之中。目前使用PGP进行电子信息加密已经是事实上的应用标准，IETF在安全领域有一个专门的工作组负责进行PGP的标准化工作，许多大的公司、机构，包括很多安全部门在内，都拥有自己的PGP密码。

PGP的传播和使用处于一种无政府状态，完全由使用者自行控制掌握，它通过数字签名所形成的信任链将彼此信任的用户关联起来。13.2电子邮件加密技术13.2.1PGP的工作方式

PGP使用了以下一些算法：RSA、AES、CAST、IDEA、TripleDES、Twofish、MD5、ZIP、PEM等。PGP使用RSA算法对IDEA密钥进行加密，然后使用IDEA算法对信息本身进行加密。在PGP中使用的信息摘要算法是MD5。

PGP至少为每个用户定义两个密钥文件，称为Keyring，分别存放自己的私钥(可以不止一个)和自己及其他用户的公钥。

以PGP8.1版为例，下载安装文件执行安装，软件需要重启计算机才能正常工作。重启后PGP以向导的方式一步步指引用户产生自己的公钥/私钥对（若已有，则也可直接指定公钥/私钥文件所在的文件夹导入使用），生成时要求用户输入通行码（Passphrase）,如图13-1所示。13.2电子邮件加密技术13.2.1PGP的工作方式(续)

13.2电子邮件加密技术13.2.1PGP的工作方式(续)

PGP运行后在系统提示区的图标为“

”。PGP的主要功能图示见图13-2所示。13.2电子邮件加密技术13.2.1PGP的工作方式(续)

1．PGP的主要功能

(1)密钥管理（PGPkeys）管理界面如图13-3所示。可新建、导入、导出密钥，建立相互间信任链。13.2电子邮件加密技术13.2.1PGP的工作方式(续)

1．PGP的主要功能

(2)剪切板信息加解密（Clipboard）

可实现剪切板信息的加密、认证、加密并认证、解密等操作。

(3)当前窗口信息加解密（CurrentWindow）

可实现当前窗口信息的加密、认证、加密并认证、解密等操作。加密后的信息示例如图13-4所示。

13.2电子邮件加密技术13.2.1PGP的工作方式(续)

1．PGP的主要功能

(4)文件的加解密与安全删除（PGPmail）

可对文件独立进行加/解密。PGPmail提示条如图13-5所示。

(5)PGP加密磁盘（PGPdisk）

可在物理硬盘中划出一块区域，由PGP虚拟作为一个磁盘管理。使用时打开（mountdisk），使用完毕加密关闭（Unmountdisk）。13.2电子邮件加密技术13.2.1PGP的工作方式(续)

2．用Outlook发送加密文件

若要发送加密的电子邮件，由写邮件时必须按下“EncrptMessage(PGP)”。注意千万不要错选为Ooutlook自身的“EncrptMessage”，否则将产生“没有数字标识”错误，如图13-6所示。13.2电子邮件加密技术13.2.1PGP的工作方式(续)

2．用Outlook发送加密文件

点击“发送”后将提示选择加密用的公钥，若本地无指定公钥，则将自动搜索PGP的公钥发布中心。

用户接收到加密的电子邮件后，通过点击Outlook的菜单“DecryptMessage（PGP）”进行解密。解密时要求提供通行码。

可以通过附件发送加密后的文件，文件一般用PGPmail实现加密/解密。13.2电子邮件加密技术13.2.2PGP的签名、密钥管理和信任传递

1．PGP的签名

在PGP中所使用的是基于非对称密钥体制的签名方法：

1）对签名信息生成摘要(MD5)。

2）使用秘密密钥对要摘进行加密，得到签名。

签名的鉴别方法是：

1）对被签名的信息生成摘要。

2）使用签名者的公开密钥对签名进行解密，得到的摘要如果和刚才生成的摘要相同，则说明信息是签名者所签的。

使用这样的签名方式，使得每一个签名和具体的信息以及签名者的秘密信息(秘密密钥)相关联，于是冒充者无法利用已有的签名附加在其他信息上，签名者也无法否认其对信息的证实。13.2电子邮件加密技术13.2.2PGP的签名、密钥管理和信任传递

2．PGP的密钥管理

PGP采用非对称密钥体制来解决密钥分发与管理问题。公钥可以公开，不存在监听问题。但公钥的发布仍有一定的安全风险，主要是公钥可能被篡改的问题。一般为了防止篡改和假冒，都直接从接收方得到他的公钥。

秘密密钥必须保存在本地机器中。一般应设置得比较复杂，但复杂又使用户很难记忆，所以通常要存放在磁盘上。如果PGP把秘密密钥简单地以文件的形式存放在磁盘中，任何可以访问该磁盘的人都可以获得这个用户的密钥，从而阅读他的保密信息。为此，PGP采用加密的方式存放用户的秘密密钥，同时加密秘密密钥所需的密钥从用户的口令中导出，从而减轻了用户的记忆负担。

13.2电子邮件加密技术13.2.3PGP的安全性讨论

正如大多数的加密方法，PGP也是可以被破解的。但是如果采用穷尽法的话，大约需要3*1011MIPS年才能破解一个1024bit的PGP密码，这个运算能力不是一个普通用户可以承受的，就算是拥有强大运算能力的政府机构可能也要花费几十年。当然，如果采用比较短的PGP密码，比如512位或256位，那么强行攻破所需要的时间会短得多。

公开密钥体制，最大的问题就是公开密钥的真实性确认。

公钥发布地址:13.3反垃圾邮件技术13.3.1引言

简单邮件传输协议（SMTP）是在因特网几乎完全由学术界使用时开发的，它假定你就是说你自己是某人的真实身份。

SMTP做出这种假定是因为系统并不怀疑你发送了特洛伊木马病毒，也不怀疑你以下台非洲独裁者的名义进行金钱欺诈，或是怀疑你非法利用别人电脑发送亿万封伟哥的广告。

反垃圾邮件技术人员与垃圾邮件制造者进行了多年的对抗，但垃圾邮件丝毫没有减少，反面与日俱增。

美国在线时代华纳公司在线部门的美国在线，前不久介绍说，公司一天就屏蔽了24亿封垃圾电邮。尽管战绩不错，许多垃圾信息还是发到了美国在线3400万用户的邮箱。一些人估计，垃圾电邮已经占到电邮总量的大约50%。13.3反垃圾邮件技术13.3.1引言

1．什么是垃圾邮件？

中国互联网协会2003年3月25日通过的反垃圾邮件规范对垃圾邮件的定义是：

①收件人事先没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件；

②收件人无法拒收的电子邮件；

③隐藏发件人身份、地址、标题等信息的电子邮件；

④含有虚假的信息源、发件人、路由等信息的电子邮件。

垃圾邮件是仅次于病毒的互联网公害。13.3反垃圾邮件技术13.3.1引言

2．垃圾邮件的危害性

垃圾邮件的危害性具体体现在以下几个方面：

1）用了大量网络带宽，使得邮件服务器的CPU时间大量消耗在接收垃圾邮件方面，甚至还有可能造成邮件服务器拥塞，因此大大降低了整个网络的运行效率。同时由于垃圾邮件的大量传播，人们对其所产生的信息麻木，也影响了正常网络营销的进行，对网络空间的发展有很大的危害性。

2）垃圾信息导致电子邮件使用率大降。

3）滥发的垃圾邮件不仅侵犯了收件人的隐私权和宝贵的信箱空间，同时还耗费了收件人的时间、精力和金钱在删除垃圾邮件方面。而且还有些垃圾邮件盗用他人的电子邮件地址作为发信地址，这样就严重损害了他人的信誉。13.3反垃圾邮件技术13.3.1引言

2．垃圾邮件的危害性(续)

4）成为病毒、木马程序的载体，影响计算机的正常使用。

5）被黑客利用进行网络攻击。

6）严重影响公司的服务形象。

7）垃圾邮件宣传的多半是各种广告以及色情、反动非法言论，等。这类垃圾邮件已经对现实社会造成了极大的危害。归纳起来主要指：