網路資訊保安的重要性
一、資訊保安技術概論
1.網路安全的重要作用
在網際網路普及的初期,人們更關注單純的連線性,以不受任何限制地建立網際網路為最終目的。正如事情都具有兩面性,網際網路的便捷性給人們帶來了負面問題,計算機病毒的侵害、資訊洩露、網路欺詐等利用網際網路的犯罪行為日益增多。
2.資訊保安的內涵
網路出現前:主要面向資料的安全,對資訊的機密性、完整性和可用性的保護,即CIA三元組;網路出現後,還涵蓋了面向使用者的安全,即鑑別,授權,訪問控制,抗否認性和可服務性,以及對於內容的個人隱私、智慧財產權等的保護。
基本特徵
- 保密性:資訊不洩露給非授權的個人、實體和過程
- 完整性:資訊未經授權不能被破壞,插入,亂序或丟失
- 可用性:合法使用者在需要時可以訪問到資訊及相關資產
- 可控性:授權機構對資訊的內容及傳播具有控制能力
- 可審查性:在資訊交流過程結束後,通訊雙方不能抵賴曾經做出的行為
3.網路參考模型和安全體系結構
安全體系結構
(1)安全服務
認證、訪問控制、資料保密性、資料完整性。
(2)安全機制
加密機制、數字簽名機制、訪問控制機制、資料完整性機制、鑑別交換機制、業務填充機制、路由控制機制、公證機制。
(3)安全管理
系統安全管理、安全機制管理、安全服務管理。
4.資訊保安保障體系的建設
(1)資訊保障的三要素:人、技術、操作,資訊保障源於人員執行技術支援的操作,因此,要滿足資訊保障的目的,就要達到人、技術和操作三者之間的平衡。
(2)資訊保障技術框架
一箇中心、三重防禦:安全管理中心,安全計算環境,安全區域邊界,安全通訊網路。
(3)P2DR安全模型
策略、防護、檢測、防禦。
(4)縱深防禦的基本思路
多處設防、多層保衛。
二、密碼技術
1、密碼技術概述
(1)密碼學包括密碼編碼學和密碼分析學
(2)密碼體制的組成
- 全體明文集合M
- 全體密文集合C
- 全體金鑰集合K
- 加密演算法E
- 解密演算法D
以上描述的五元組稱為一個密碼體制,夏農1949年奠定了密碼學的理論基礎。
(3)密碼技術的作用
基本作用
保密性:使非法使用者無法知道資訊的真實內容
其他作用
鑑別:資訊接受者能夠確認資訊的真實來源
完整性:資訊的接受者能夠驗證資訊在傳輸過程中沒有發生改變
不可否認:資訊的傳送方不能否認已經發送過的資訊
(4)計算複雜性理論
密碼技術的安全性
可證明安全性:理論證明破解某個密碼系統的代價不低於求解某個已知的數學難題。
計算安全性:用已知的最好演算法和利用現有的最大計算資源,仍然不能在合理的時間內完成破譯該系統所需要的計算。
可證明安全性和計算安全性統稱為實際安全性。
2、對稱密碼技術
優點:實現速度快,密文緊湊,演算法公開,應用廣泛,固化成本低。
缺點:金鑰的分發與管理非常複雜,代價高,不能實現數字簽名。
典型技術:DES AES IDEA
3、非對稱密碼技術
優點:
- 金鑰分發簡單
- 需要金鑰儲存的金鑰量少
- 互不相識的人之間也能進行保密對話
- 可以進行數字簽名
缺點:
- 執行效率低,比同等強度的對稱密碼技術要慢10倍到100倍
- 密文不緊湊,密文長度大於最初的明文長度
主要技術:RSA,離散對數和ECC
4、金鑰分配和管理技術
金鑰分配:
對稱金鑰分配:
(1)集中式金鑰分配方案
由金鑰分配中心KDC或者一組節點組成的層次結構負責金鑰的分配給通訊雙方
優點:使用者不需要儲存大量的會話金鑰,只需要儲存同KDC通訊的加密金鑰
缺點:通訊量大,要求具有較好的鑑別功能以鑑別KDC和通訊方式。
(2)分散式金鑰分配
各個通訊方具有相同的地位,它們之間的金鑰分配取決於它們之間的寫上
缺點:需要n(n-1)/2個主金鑰。
不適合規模較大的網路應用。
非對稱金鑰分配
(1)公鑰的分配。
【1】公開發布,缺點:偽造公鑰,冒充他人。
【2】公用目錄,由一個可信任的系統或組織簡歷和管理維護公用目錄,缺點:公用目錄自身的安全性(一旦得到其私鑰,就可以偽造公鑰進行欺騙)。
【3】公鑰機構,由公鑰管理結構來為各個使用者簡歷、維護和控制動態的公用目錄。
【4】公鑰證書,由授權中心CA頒發的,其中的資料項包括與該使用者的私鑰相匹配的公鑰及使用者的身份和時間戳等,所有資料經過CA用自己的私鑰簽字後形成證書。
基於公鑰證書的金鑰分配方式。
金鑰管理技術:
(1)金鑰生成(隨機數發生器)
(2)金鑰使用(嚴防金鑰洩漏,及時更換金鑰)
(3)金鑰儲存(【1】無介質,【2】記錄介質,【3】物理介質)
(4)金鑰的備份和恢復
(5)金鑰的銷燬
公鑰基礎設施PKI技術
PKI是一個利用公鑰密碼理論和技術,在開放的Internet網路環境中建立起來的提供資料加密以及數字簽名信息安全服務的基礎設施。
PKI的組成:軟體系統+硬體系統+安全策略
PKI系統包括:
【1】權威認證機構CA
【2】數字證書庫
【3】金鑰備份及恢復系統
【4】證書作廢系統
【5】應用介面API
授權管理基礎設施PMI技術
PMI是一個屬性證書、屬性權威、屬性證書庫等部件構成的綜合系統,用來實現許可權和證書的產生、管理、儲存、分發和撤銷等功能。
功能:向用戶和應用程式提供授權管理服務,提供使用者身份到應用授權的對映功能,使用屬性證書,表示和容納許可權資訊。
AC:屬性證書 AA 屬性權威。
5、數字簽名技術
(1)最簡單的數字簽名,直接用私鑰加密。
(2)保密性的資料簽名,採用雙重公私鑰加密機制。
(3)基於數字指紋的解決方案,對指紋進行加密。
數字簽名演算法:RSA DSA。
6、資訊隱藏技術
利用人類感覺器官對數字訊號的感覺冗餘,將一個訊息隱藏在另一個訊息之中,實現隱藏通訊和隱蔽標誌。
資訊隱藏的分類:
【1】隱藏通道,那些既不打算用來傳輸資訊也不是專門設計的通訊通道被成為隱藏通道,比如BMP描述畫素的第四個位元組
【2】隱寫術:一種將要加密的資訊隱藏在大量其他資訊之中的技術
【3】匿名通訊:指通訊時隱蔽通訊資訊的主體(資訊的信源和信宿)
【4】版權標誌:包括防偽標誌和魯棒的版權標誌
數字隱寫術分類:
【1】替換系統,使用祕密資訊隱藏宿主的冗餘資訊部分
【2】變換域技術:在訊號的變換域中嵌入祕密資訊
【3】擴充套件頻譜技術:利用資訊擴頻通訊的原理來實現資訊隱藏
【4】失真技術:通過訊號處理過程中的失真來儲存資訊,在機密時通過測量與原始資訊載體的偏差以恢復祕密資訊
【5】載體生成方法:通過對資訊進行編碼以聲稱用於祕密通訊的偽裝載體,以隱蔽資訊
【6】統計方法:通過改裝偽裝載體的若干統計特性對資訊進行編碼,並在提取過程中使用假設檢驗發來達到恢復祕密資訊。
數字水印:
是永久鑲嵌在其他資料中具有可鑑別性的數字訊號或模式,而且並不影響宿主資料的可用性。
【1】空間域數字水印:通過改變某些畫素的灰度,將需要隱蔽的資訊嵌入其中,將數字水印直接載入到資料上
特點:演算法簡單,速度快,易實現。幾乎可以無損的恢復載體影象和水印資訊,水印容易被移去,魯棒性不強
【2】變換域數字水印:通過改變頻域的一些系統的值,採用類似擴頻影象的技術來隱藏水印資訊,可以嵌入大量資料而不會導致不可察覺的缺陷
特點:有利於保證水印的不可見性;更方便有效地進行水印的編碼;頻域法可以與國際資料壓縮標準相容。
三、訪問控制&防火牆技術
1、訪問控制技術
對系統資源的保護要求每一個訪問請求都在控制下進行,保證只有合法授權的訪問才能發生,這個過程稱之為訪問控制。
訪問控制的作用:機密性和完整性、可用性
(1)兩個基本理論模型
【1】引用監控器
訪問控制依賴引用監控器進行主體對客體訪問的控制,以決定主題是否有權對客體進行操作和進行何種操作。引用監控器查詢授權資料庫,根據系統安全策略進行訪問控制的判斷,同時將相應活動記錄在審計資料庫中。
【2】訪問矩陣
訪問矩陣模型描述了訪問控制策略
三元組(S,O,A) S是主體的集合,O是客體的集合,A是訪問矩陣,矩陣A[S,O]是主體s在o上實施的操作
訪問矩陣的三種方法:訪問控制列表,能力列表,授權表
訪問控制系統由主體、客體以及主客體屬性組成。訪問控制就是通過比較系統內主客體的相關屬性來決策的
(2)訪問控制策略
【1】自主訪問控制DAC
【2】強制訪問控制
【3】基於角色的訪問控制
(3)DAC和MAC的區別
策略不同,自主訪問控制策略中的主體一般是指使用者,強制策略中的主體和使用者之間是有區別的
DAC存在的問題:
【1】自主授權給使用者許可權管理帶來隱患
【2】沒有嚴格區分已授權使用者和執行授權的行為主體
【3】授權管理工作量大,對使用者權利的監控難度大
【4】不利於在大規模應用總實施
MAC的特點
【1】相對DAC,更安全
【2】不適合處理訪問控制力度細的應用,適用於作業系統但不適用於資料庫
2、防火牆技術基礎
(1)防火牆的型別
【1】資料包過濾路由器
深入到系統的網路層和資料鏈路層之間,通過檢查模組,防火牆能攔截和檢查所有出站的資料
優點:
關鍵位置設定一個數據包過濾路由器就可以保護整個網路
對網路管理員和應用程式的透明度較高
多數路由器具有包過濾功能,網路管理員可以方便地在路由器中實現包過濾
缺點:
過濾規則比較複雜,缺乏規則的正確性自動檢測工具
過濾規則的增加會導致分析計算量的增加
抗欺騙效能力不強
【2】代理伺服器
讓所有使用者通過一臺單一的裝置訪問外部網路,這臺單一的裝置就是代理伺服器
(2)不同防火牆的對比
【1】工作層面
包過濾:網路層
應用層閘道器:應用層
電路層閘道器:會話層與應用層
包狀態檢查:網路層
【2】對非法包的判斷能力
工作層次越高,對資料包的理解能力越好,對非法報的判斷能力越高
3、防火牆安全設計策略
(1)傳統邊界防火牆技術的不足
【1】網路應用收到結構性限制
【2】內部安全隱患依然存在
【3】效率較低,故障率高,由於邊界式防火牆把檢查機制集中在網路邊界處的單點之上,造成網路的瓶頸和單點失效的隱患
(2)分散式防火牆的優勢
【1】增強了系統安全性
【2】提高了系統性能
【3】提高了系統可擴充套件性
【4】實施主機策略
【5】應用更為廣泛,支援VPN通訊
4、防火牆發展的新方向
5、防火牆選擇原則與常見產品
四、入侵檢測技術
1、入侵檢測的重要性和發展程序
網路入侵是指任何檢視破壞資源完整性、機密性和可用性的行為,包括使用者對系統資源的誤用
2、入侵檢測方法
3、入侵檢測系統
入侵檢測系統是對防火牆的必要補充,作為重要的網路安全工具,它可以對系統或網路資源進行實時監測,及時發現闖入系統或網路的入侵者,也可預防合法使用者對資源的誤操作。
(1)幾種入侵檢測系統的優缺點
【1】集中型入侵檢測系統
優點:可以檢測系統內部發生的攻擊行為和可以活動,可管理性好,簡單,易於實現
缺點:網路負荷重,擴充套件性和魯棒性差
【2】層次化入侵檢測系統
優點:可實現對分散式入侵的檢測,可管理型號,一定程度上提高了系統的可擴充套件性
缺點:網路符合重,魯棒性較差
【3】完全分散式入侵檢測系統
優點:資料在本地處理,降低了網路符合,檢測實時性好,可擴充套件性和魯棒性好
缺點:可管理性差,各個檢測節點間的協作問題複雜,對分散式入侵檢測的實施過程比較複雜
4、入侵檢測技術存在的問題
(1)誤報率、漏報率高
(2)沒有通用的構造方法
(3)執行效率低
(4)自身結構上存在安全隱患,魯棒性和容錯性不強
(5)自我更新能力不強,規則集維護困難,系統缺乏靈活性
(6)缺乏好的測試手段
(7)對入侵的理解能力有限
(8)系統響應能力有限
5、新技術的研究與應用
6、未來研究方向
7、安全審計
(1)CC準則中定義的安全審計
【1】安全審計自動響應
【2】安全審計資料生成
【3】安全審計分析
【4】安全審計瀏覽
【5】安全審計時間儲存
【6】安全審計時間選擇
五、黑客與病毒防範技術
“頭號電腦黑客”–凱文 米特尼克
1、計算機病毒的特徵
【1】人為的特製程式
【2】具有自我複製能力
【3】很強的感染性
【4】一定的潛伏性
【5】特定的觸發性
【6】較強的破壞性
【7】不可預見性
2、如何有效防範黑客和病毒攻擊
【1】安裝自動補丁系統,及時給系統打補丁
【2】安裝防毒軟體,並及時更新
【3】定期掃描系統
【4】良好的網路訪問和系統使用習慣
【5】不要訪問無名和不熟悉的網站