网络信息安全概述

网络信息平安概述网络平安隐患与对策网络平安所面临的威胁：〔1〕网络中信息的威胁〔2〕对网络中设备的威胁造成网络威胁的来源：〔1〕人为的无意失误〔2〕人为的恶意攻击积极攻击和消极攻击〔3〕系统以及网络软件的漏洞和“后门〞网络平安策略

〔1〕物理平安策略确保通信设备实体和通信链路不受破坏；良好的电磁兼容工作环境，采用电磁屏蔽技术和干扰技术；完备的平安管理制度；〔2〕访问控制策略保证网络资源不被非法使用和非常访问入网访问控制，网络登陆的控制，通过增加网络口令的复杂性和加密网络权限的控制对网络资源分级，不同级别的用户对不同的网络资源有不同的访问权限。目录平安控制对目录和文件的属性进行控制，以使不同用户对相同的目录和文件具有不同的读、修改、删除、写的权限。属性平安控制网络资源中的文件、目录应设置适宜的属性。网络效劳器的平安控制设置对网络效劳器的使用，包括接入口令、访问时间等网络监测和锁定控制记录对网络资源、网络效劳器的访问记录。网络端口和结点的平安控制对网络端口和结点的接入、操作信息的传输采用加密和平安认证措施。防火墙控制采用防火墙技术隔离内网和外网。〔3〕信息加密策略对网内存储和传输的数据、口令、控制信息进行加密。加密方式包括链路加密、结点加密和端到端加密。〔4〕非技术性平安管理策略通过规章制度、行政手段、职业操守教育等措施，降低非技术原因导致的平安隐患。病毒与防范病毒的传播伴随着信息资源的共享。10.3数据加密算法数据加密是计算机平安的重要局部。口令加密是防止文件中的密码被人偷看。文件加密主要应用于因特网上的文件传输，防止文件被看到或劫持。 电子邮件给人们提供了一种快捷廉价的通信方式，但电子邮件是不平安的，很容易被别人偷看或伪造。为了保证电子邮件的平安，人们采用了数字签名这样的加密技术，并提供了基于加密的身份认证技术，这样就可以保证发信人就是信上声称的人。数据加密也使因特网上的电子商务成为可能。 数据加密的一般原理数据加密的根本过程包括对称为明文的可读信息进行处理，形成称为密文或密码的代码形式。该过程的逆过程称为解密，即将该编码信息转化为其原来的形式的过程。数据加密的根本概念：明文，加密密钥，加密算法，密文，解密密钥，解密算法〔1〕对称密钥加密 在保密密钥中，加密者和解密者使用相同的密钥，也被称为对称密钥加密。这种加密算法的问题是，用户必须让接收人知道自己所使用的密钥，这个密钥需要双方共同保密，任何一方的失误都会导致机密的泄露，而且在告诉收件人密钥过程中，还需要防止任何人发现或偷听密钥，这个过程被称为密钥发布。对称密钥算法：DES及各种变种、IDEA等〔2〕公开密钥加密公用／私有密钥，与单独的密钥不同，它使用相互关联的一对密钥，一个是公用密钥，任何人都可以知道，另一个是私有密钥，只有拥有该对密钥的人知道。如果有人发信给这个人，他就用收信人的公用密钥对信件进行过加密，当收件人收到信后，他就可以用他的私有密钥进行解密，而且只有他持有的私有密钥可以解密。这种加密方式的好处显而易见。密钥只有一个人持有，也就更加容易进行保密，因为不需在网络上传送私人密钥，也就不用担忧别人在认证会话初期截获密钥。 ①公用密钥和私有密钥有两个相互关联的密钥； ②公用密钥加密的文件只有私有密钥能解开； ③私有密钥加密的文件只有公用密钥能解开。公开密钥算法：RSA等。密文的传输〔1〕链路加密在一条链路上传输的信息均被加密，包括报头和路由信息。链路加密采用逐段加密，在链路节点上明文会短暂存在。〔2〕节点加密在链路上传输的数据是加密的，但报头和路由信息不加密。〔3〕端到端加密对传输的分组逐个加密，加密的分组在网络中不进行解密。报头和路由信息不加密。DES数据加密标准〔DataEncryptionStandard，DES〕是美国国家标准局开始研究除国防部以外的其它部门的计算机系统的数据加密标准。 DES是一个分组加密算法，它以64位为分组对数据加密。64位一组的明文从算法的一端输入，64位的密文从另一端输出。DES是一个对称算法：加密和解密用的是同一算法。密钥的长度为56位。〔密钥通常表示为64位的数，但每个第8位都用作奇偶校验，可以忽略。〕密钥可以是任意的56位的数，且可在任意的时候改变。其中极少量的数被认为是弱密钥，但能容易地避开它们。所有的保密性依赖于密钥。IDEA国际数据加密算法〔InternationalDataEncryptionAlgorithm〕IDEA与DES一样，也是一种使用一个密钥对64位数据块进行加密的常规共享密钥加密算法。同样的密钥用于将64位的密文数据块恢复成原始的64位明文数据块。IDEA使用128位〔16字节〕密钥进行操作。RSA RSA要求每一个用户拥有自己的一种密钥：〔1〕公开的加密密钥，用以加密明文；〔2〕保密的解密密钥，用于解密密文。 在RSA密钥体制的运行中，当A用户发文件给B用户时，A用户用B用户公开的密钥加密明文，B用户那么用解密密钥解读密文，其特点是：〔1〕密钥配发十分方便，用户的公用密钥可以像本那样公开，使用方便，每个用户只需持有一对密钥即可实现与网络中任何一个用户的保密通信。〔2〕RSA加密原理基于单向函数，非法接收者利用公用密钥不可能在有限时间内推算出秘密密钥。〔3〕RSA在用户确认和实现数字签名方面优于现有的其他加密机制。10.4常用网络平安1、身份鉴定〔1〕利用密码、口令。〔2〕利用智能加密解密设备产生的密码。〔3〕生物特征，比方指纹、声音、虹膜等。2、数字签名数字签名完成原始印章或亲笔签名的功能。一种基于密码的身份鉴别技术。利用数字签名的功用：〔1〕接收者能够核实发送者对报文的签名。〔2〕发送者事后不能够抵赖对报文的签名。〔3〕接收者不能伪造对报文的签名。利用公共密钥算法进行数字签名在利用公共密钥算法进行数字签名的系统中，利用散列函数〔HashFunction〕来产生数字签名。数字签名过程如下：〔1〕利用散列函数根据原始信息产生数字签名；〔2〕数字签名由发送者的专用密钥加密；〔3〕原始信息和加密数字签名发送到目的地；〔4〕目的地接收信息，并使用与原始信息相同的散列函数函数对信息产生其自己的数字签名；〔5〕目的地还对所收到的数字签名进行解密；〔6〕目的地将产生的数字签名同附有信息的数字签名进行比照，如果相吻合，目的地就知道信息的文本与用户发送的信息文本是相同的，如果二者不吻合，那么目的地知道原始信息已经被修改正。3、数字证书数字证书是网络通信中标识通信各方身份信息的一系列数据，即为用户网络身份证。通常由国家或国际间认可的权威机构制作、发放和管理，成为CA〔CertifacateAuthority〕中心。数字证书的格式通常遵循ITUX.509国际标准。X.509数字证书的内容包括：证书的版本信息证书序列号证书所使用的签名算法证书的发行机构证书的有效期证书所有人名称证书所有人的公开密钥证书发行者对证书的签名4、防火墙1．防火墙的根本知识防火墙是在两个网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，目的是保护网络不被他人侵扰。本质上，它遵循的是一种允许或阻止业务来往的网络通信平安机制，也就是提供可控的过滤网络通信，只允许授权的通信。 通常，防火墙就是位于内部网或Web站点与因特网之间的一个路由器或一台计算机，又称为堡垒主机。其目的如同一个平安门，为门内的部门提供平安，控制那些可被允许出入该受保护环境的人或物。就像工作在前门的平安卫士，控制并检查站点的访问者。 防火墙在因特网与内部网中的位置 从逻辑上讲，防火墙是别离器、限制器和分析器。从物理角度看，各站点防火墙物理实现的方式有所不同。通常防火墙是一组硬件设备，即路由器、主计算机或者是路由器、计算机和配有适当软件的网络的多种组合。防火墙是由管理员为保护自己的网络免遭外界非授权访问但又允许与因特网联接而开展起来的。从网际角度，防火墙可以看成是安装在两个网络之间的一道栅栏，根据平安方案和平安策略中的定义来保护其后面的网络。由软件和硬件组成的防火墙应该具有以下功能。〔1〕所有进出网络的通信流都应该通过防火墙。〔2〕所有穿过防火墙的通信流都必须有平安策略和方案确实认和授权。〔3〕理论上说，防火墙是穿不透的2．防火墙的根本功能〔1〕防火墙能够强化平安策略〔2〕防火墙能有效地记录因特网上的活动〔3〕防火墙限制暴露用户点〔4〕防火墙是一个平安策略的检查站3．防火墙的缺乏之处〔1〕不能防范恶意的知情者〔2〕防火墙不能防范不通过它的连接〔3〕防火墙不能防范全部的威胁〔4〕防火墙不能防范病毒 防火墙通常是一个具备包过滤功能的简单路由器，支持因特网平安。 每个包有两个局部：数据局部和包头。包头中含有源地址和目标地址等信息。 包过滤一直是一种简单而有效的方法。通过拦截数据包，读出并拒绝那些不符合标准的包头，过滤掉不应入站的信息。每个数据包都包含有特定信息的一组报头，其主要信息是：〔1〕IP协议类型〔TCP、UDP，ICMP等〕；〔2〕IP源地址；〔3〕IP目标地址；〔4〕IP选择域的内容；〔5〕TCP或UDP源端口号；〔6〕TCP或UDP目标端口号；〔7〕ICMP消息类型。数据包过滤1〕包过滤是如何工作的 包过滤技术可以允许或不允许某些包在网络上传递，它依据以下的判据： 〔1〕将包的目的地址作为判据； 〔2〕将包的源地址作为判据； 〔3〕将包的传送协议作为判据。 包过滤系统只能让我们进行类似以下情况的操作： 〔1〕不让任何用户从外部网用Telnet登录； 〔2〕允许任何用户使用SMTP往内部网发电子邮件； 〔3〕只允许某台机器通过NNTP往内部网发新闻。 1．包过滤的优点 包过滤方式有许多优点，而其主要优点之一是仅用一个放置在重要位置上的包过滤路由器就可保护整个网络。如果我们的站点与因特网间只有一台路由器，那么不管站点规模有多大，只要在这台路由器上设置适宜的包过滤，我们的站点就可获得很好的网络平安保护。 2．包过滤的缺点〔1〕在机器中配置包过滤规那么比较困难； 〔2〕对系统中的包过滤规那么的配置进行测试也较麻烦；〔3〕许多产品的包过滤功能有这样或那样的局限性，要找一个比较完整的包过滤产品比较困难。 2〕包过滤路由器的配置 在配置包过滤路由器时，首先要确定哪些效劳允许通过而哪些效劳应被拒绝，并将这些规定翻译成有关的包过滤规那么。 下面给出将有关效劳翻译成包过滤规那么时非常重要的几个概念。〔1〕协议的双向性。协议总是双向的，协议包括一方发送一个请求而另一方返回一个应答。在制定包过滤规那么时，要注意包是从两个方向来到路由器的。〔2〕“往内〞与“往外〞的含义。在制定包过滤规那么时，必须准确理解“往内〞与“往外〞的包和“往内〞与“往外〞的效劳这几个词的语义。 〔3〕“默认允许〞与“默认拒绝〞。网络的平安策略中的有两种方法：默认拒绝〔没有明确地被允许就应被拒绝〕与默认允许〔没有明确地被拒绝就应被允许〕。从平安角度来看，用默认拒绝应该更适宜。3〕包的根本构造 包的构造有点像洋葱一样，它是由各层连接的协议组成的。每一层，包都由包头与包体两局部组成。在包头中存放与这一层相关的协议信息，在包体中存放包在这一层的数据信息。这些数据信息也包含了上层的全部信息。在每一层上对包的处理是将从上层获取的全部信息作为包体，然后依本层的协议再加上包头。这种对包的层次性操作〔每一层均加装一个包头〕一般称为封装。数据包的封装

4〕依据地址进行过滤 在包过滤系统中，最简单的方法是依据地址进行过滤。用地址进行过滤可以不管使用什么协议，仅根据源地址/目的地址对流动的包进行过滤。我们可用这种方法只让某些被指定的外部主机与某些被指定的内部主机进行交互。还可以防止黑客用伪包装成来自某台主机，而其实并非来自于那台主机的包对网络进行的侵扰。5〕依据效劳进行过滤 1．往外的Telnet效劳 在往外的Telnet效劳中，一个本地用户与一个远程效劳器交互。我们必须对往外与往内的包都加以处理。 2．往内的Telnet效劳 3．依据源端口来过滤 依据源端口来过滤必须有个前提，提供端口号的机器必须是真实的。如假设入侵者已经通过root完全控制了这台机器，那他就可随意在这台机器上，也就等于在我们包过滤规那么的端口上运行任意的客户程序或效劳器程序。有时我们就根本不能相信由对方机器提供的机器源地址，因为有可能那台机器就是入侵者伪装的。防火墙类型

1、数据包过滤防火墙2、双宿网关防火墙3、屏蔽主机防火墙4、屏蔽子网防火墙网络地址翻译

网络地址翻译〔NAT，NetworkAddressTranslation〕最初的设计目的是增加在专用网络中可使用的IP地址数，但现在那么用于屏蔽内部主机。NAT通过将专用网络中的专用IP地址转换成在Internet上使用的全球唯一的公共IP地址，实现对黑客有效地隐藏所有TCP/IP级的有关内部主机信息的功能，使外部主机无法探测到它们。NAT实质上是一个根本代理：一个主机充当代理，代表内部所有主机发出请求，从而将内部主机的身份从公用网上隐藏起来了。按普及程度和可用性顺序，NAT防火墙最根本的翻译模式包括：静态翻译。在这种模式中，一个指定的内部网络源有一个从改变的固定翻译表。动态翻译。在这种模式中，为了隐藏内部主机的身份或扩展内部网的地址空间，一个大的Internet客户群共享单一一个或一组小的InternetIP地址。负载平衡翻译。在这种模式中，一个IP地址和端口被翻译为同等配置的多个效劳器的一个集中处，这样一个公共地址可以为许多效劳器效劳。网络冗余翻译。在这种模式中，多个Internet连接被附加在一个NAT防火墙上，从而防火墙根据负载和可用性对这些连接进行选择和使用。虚拟专用网VPN采用加密和认证技术，利用公共通信网络设施的一局部来发送专用信息，为相互通信的节点建立起的一个相对封闭的、逻辑上的专用网络。通常用于大型组织跨地域的各个机构之间的联网信息交换，或是流开工作人员与总部之间的通信。只允许特定利益集团内可以建立对等连接，保证在网络中传输的数据的保密性和平安性。目标是在不平安的公共网络上建立一个平安的专用通信网络。虚拟专用网VPN的好处实现了网络平安。简化网络设计和管理。降低本钱