網(wǎng)絡(luò)信息安全概述

網(wǎng)絡(luò)信息平安概述網(wǎng)絡(luò)平安隱患與對策網(wǎng)絡(luò)平安所面臨的威脅：〔1〕網(wǎng)絡(luò)中信息的威脅〔2〕對網(wǎng)絡(luò)中設(shè)備的威脅造成網(wǎng)絡(luò)威脅的來源：〔1〕人為的無意失誤〔2〕人為的惡意攻擊積極攻擊和消極攻擊〔3〕系統(tǒng)以及網(wǎng)絡(luò)軟件的漏洞和“后門〞網(wǎng)絡(luò)平安策略

〔1〕物理平安策略確保通信設(shè)備實(shí)體和通信鏈路不受破壞；良好的電磁兼容工作環(huán)境，采用電磁屏蔽技術(shù)和干擾技術(shù)；完備的平安管理制度；〔2〕訪問控制策略保證網(wǎng)絡(luò)資源不被非法使用和非常訪問入網(wǎng)訪問控制，網(wǎng)絡(luò)登陸的控制，通過增加網(wǎng)絡(luò)口令的復(fù)雜性和加密網(wǎng)絡(luò)權(quán)限的控制對網(wǎng)絡(luò)資源分級，不同級別的用戶對不同的網(wǎng)絡(luò)資源有不同的訪問權(quán)限。目錄平安控制對目錄和文件的屬性進(jìn)行控制，以使不同用戶對相同的目錄和文件具有不同的讀、修改、刪除、寫的權(quán)限。屬性平安控制網(wǎng)絡(luò)資源中的文件、目錄應(yīng)設(shè)置適宜的屬性。網(wǎng)絡(luò)效勞器的平安控制設(shè)置對網(wǎng)絡(luò)效勞器的使用，包括接入口令、訪問時間等網(wǎng)絡(luò)監(jiān)測和鎖定控制記錄對網(wǎng)絡(luò)資源、網(wǎng)絡(luò)效勞器的訪問記錄。網(wǎng)絡(luò)端口和結(jié)點(diǎn)的平安控制對網(wǎng)絡(luò)端口和結(jié)點(diǎn)的接入、操作信息的傳輸采用加密和平安認(rèn)證措施。防火墻控制采用防火墻技術(shù)隔離內(nèi)網(wǎng)和外網(wǎng)。〔3〕信息加密策略對網(wǎng)內(nèi)存儲和傳輸?shù)臄?shù)據(jù)、口令、控制信息進(jìn)行加密。加密方式包括鏈路加密、結(jié)點(diǎn)加密和端到端加密?！?〕非技術(shù)性平安管理策略通過規(guī)章制度、行政手段、職業(yè)操守教育等措施，降低非技術(shù)原因?qū)е碌钠桨搽[患。病毒與防范病毒的傳播伴隨著信息資源的共享。10.3數(shù)據(jù)加密算法數(shù)據(jù)加密是計算機(jī)平安的重要局部。口令加密是防止文件中的密碼被人偷看。文件加密主要應(yīng)用于因特網(wǎng)上的文件傳輸，防止文件被看到或劫持。 電子郵件給人們提供了一種快捷廉價的通信方式，但電子郵件是不平安的，很容易被別人偷看或偽造。為了保證電子郵件的平安，人們采用了數(shù)字簽名這樣的加密技術(shù)，并提供了基于加密的身份認(rèn)證技術(shù)，這樣就可以保證發(fā)信人就是信上聲稱的人。數(shù)據(jù)加密也使因特網(wǎng)上的電子商務(wù)成為可能。 數(shù)據(jù)加密的一般原理數(shù)據(jù)加密的根本過程包括對稱為明文的可讀信息進(jìn)行處理，形成稱為密文或密碼的代碼形式。該過程的逆過程稱為解密，即將該編碼信息轉(zhuǎn)化為其原來的形式的過程。數(shù)據(jù)加密的根本概念：明文，加密密鑰，加密算法，密文，解密密鑰，解密算法〔1〕對稱密鑰加密 在保密密鑰中，加密者和解密者使用相同的密鑰，也被稱為對稱密鑰加密。這種加密算法的問題是，用戶必須讓接收人知道自己所使用的密鑰，這個密鑰需要雙方共同保密，任何一方的失誤都會導(dǎo)致機(jī)密的泄露，而且在告訴收件人密鑰過程中，還需要防止任何人發(fā)現(xiàn)或偷聽密鑰，這個過程被稱為密鑰發(fā)布。對稱密鑰算法：DES及各種變種、IDEA等〔2〕公開密鑰加密公用／私有密鑰，與單獨(dú)的密鑰不同，它使用相互關(guān)聯(lián)的一對密鑰，一個是公用密鑰，任何人都可以知道，另一個是私有密鑰，只有擁有該對密鑰的人知道。如果有人發(fā)信給這個人，他就用收信人的公用密鑰對信件進(jìn)行過加密，當(dāng)收件人收到信后，他就可以用他的私有密鑰進(jìn)行解密，而且只有他持有的私有密鑰可以解密。這種加密方式的好處顯而易見。密鑰只有一個人持有，也就更加容易進(jìn)行保密，因?yàn)椴恍柙诰W(wǎng)絡(luò)上傳送私人密鑰，也就不用擔(dān)憂別人在認(rèn)證會話初期截獲密鑰。 ①公用密鑰和私有密鑰有兩個相互關(guān)聯(lián)的密鑰； ②公用密鑰加密的文件只有私有密鑰能解開； ③私有密鑰加密的文件只有公用密鑰能解開。公開密鑰算法：RSA等。密文的傳輸〔1〕鏈路加密在一條鏈路上傳輸?shù)男畔⒕患用?，包括報頭和路由信息。鏈路加密采用逐段加密，在鏈路節(jié)點(diǎn)上明文會短暫存在。〔2〕節(jié)點(diǎn)加密在鏈路上傳輸?shù)臄?shù)據(jù)是加密的，但報頭和路由信息不加密。〔3〕端到端加密對傳輸?shù)姆纸M逐個加密，加密的分組在網(wǎng)絡(luò)中不進(jìn)行解密。報頭和路由信息不加密。DES數(shù)據(jù)加密標(biāo)準(zhǔn)〔DataEncryptionStandard，DES〕是美國國家標(biāo)準(zhǔn)局開始研究除國防部以外的其它部門的計算機(jī)系統(tǒng)的數(shù)據(jù)加密標(biāo)準(zhǔn)。 DES是一個分組加密算法，它以64位為分組對數(shù)據(jù)加密。64位一組的明文從算法的一端輸入，64位的密文從另一端輸出。DES是一個對稱算法：加密和解密用的是同一算法。密鑰的長度為56位?！裁荑€通常表示為64位的數(shù)，但每個第8位都用作奇偶校驗(yàn)，可以忽略?！趁荑€可以是任意的56位的數(shù)，且可在任意的時候改變。其中極少量的數(shù)被認(rèn)為是弱密鑰，但能容易地避開它們。所有的保密性依賴于密鑰。IDEA國際數(shù)據(jù)加密算法〔InternationalDataEncryptionAlgorithm〕IDEA與DES一樣，也是一種使用一個密鑰對64位數(shù)據(jù)塊進(jìn)行加密的常規(guī)共享密鑰加密算法。同樣的密鑰用于將64位的密文數(shù)據(jù)塊恢復(fù)成原始的64位明文數(shù)據(jù)塊。IDEA使用128位〔16字節(jié)〕密鑰進(jìn)行操作。RSA RSA要求每一個用戶擁有自己的一種密鑰：〔1〕公開的加密密鑰，用以加密明文；〔2〕保密的解密密鑰，用于解密密文。 在RSA密鑰體制的運(yùn)行中，當(dāng)A用戶發(fā)文件給B用戶時，A用戶用B用戶公開的密鑰加密明文，B用戶那么用解密密鑰解讀密文，其特點(diǎn)是：〔1〕密鑰配發(fā)十分方便，用戶的公用密鑰可以像本那樣公開，使用方便，每個用戶只需持有一對密鑰即可實(shí)現(xiàn)與網(wǎng)絡(luò)中任何一個用戶的保密通信?！?〕RSA加密原理基于單向函數(shù)，非法接收者利用公用密鑰不可能在有限時間內(nèi)推算出秘密密鑰。〔3〕RSA在用戶確認(rèn)和實(shí)現(xiàn)數(shù)字簽名方面優(yōu)于現(xiàn)有的其他加密機(jī)制。10.4常用網(wǎng)絡(luò)平安1、身份鑒定〔1〕利用密碼、口令?！?〕利用智能加密解密設(shè)備產(chǎn)生的密碼。〔3〕生物特征，比方指紋、聲音、虹膜等。2、數(shù)字簽名數(shù)字簽名完成原始印章或親筆簽名的功能。一種基于密碼的身份鑒別技術(shù)。利用數(shù)字簽名的功用：〔1〕接收者能夠核實(shí)發(fā)送者對報文的簽名?！?〕發(fā)送者事后不能夠抵賴對報文的簽名?！?〕接收者不能偽造對報文的簽名。利用公共密鑰算法進(jìn)行數(shù)字簽名在利用公共密鑰算法進(jìn)行數(shù)字簽名的系統(tǒng)中，利用散列函數(shù)〔HashFunction〕來產(chǎn)生數(shù)字簽名。數(shù)字簽名過程如下：〔1〕利用散列函數(shù)根據(jù)原始信息產(chǎn)生數(shù)字簽名；〔2〕數(shù)字簽名由發(fā)送者的專用密鑰加密；〔3〕原始信息和加密數(shù)字簽名發(fā)送到目的地；〔4〕目的地接收信息，并使用與原始信息相同的散列函數(shù)函數(shù)對信息產(chǎn)生其自己的數(shù)字簽名；〔5〕目的地還對所收到的數(shù)字簽名進(jìn)行解密；〔6〕目的地將產(chǎn)生的數(shù)字簽名同附有信息的數(shù)字簽名進(jìn)行比照，如果相吻合，目的地就知道信息的文本與用戶發(fā)送的信息文本是相同的，如果二者不吻合，那么目的地知道原始信息已經(jīng)被修改正。3、數(shù)字證書數(shù)字證書是網(wǎng)絡(luò)通信中標(biāo)識通信各方身份信息的一系列數(shù)據(jù)，即為用戶網(wǎng)絡(luò)身份證。通常由國家或國際間認(rèn)可的權(quán)威機(jī)構(gòu)制作、發(fā)放和管理，成為CA〔CertifacateAuthority〕中心。數(shù)字證書的格式通常遵循ITUX.509國際標(biāo)準(zhǔn)。X.509數(shù)字證書的內(nèi)容包括：證書的版本信息證書序列號證書所使用的簽名算法證書的發(fā)行機(jī)構(gòu)證書的有效期證書所有人名稱證書所有人的公開密鑰證書發(fā)行者對證書的簽名4、防火墻1．防火墻的根本知識防火墻是在兩個網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一個或一組系統(tǒng)，包括硬件和軟件，目的是保護(hù)網(wǎng)絡(luò)不被他人侵?jǐn)_。本質(zhì)上，它遵循的是一種允許或阻止業(yè)務(wù)來往的網(wǎng)絡(luò)通信平安機(jī)制，也就是提供可控的過濾網(wǎng)絡(luò)通信，只允許授權(quán)的通信。 通常，防火墻就是位于內(nèi)部網(wǎng)或Web站點(diǎn)與因特網(wǎng)之間的一個路由器或一臺計算機(jī)，又稱為堡壘主機(jī)。其目的如同一個平安門，為門內(nèi)的部門提供平安，控制那些可被允許出入該受保護(hù)環(huán)境的人或物。就像工作在前門的平安衛(wèi)士，控制并檢查站點(diǎn)的訪問者。 防火墻在因特網(wǎng)與內(nèi)部網(wǎng)中的位置 從邏輯上講，防火墻是別離器、限制器和分析器。從物理角度看，各站點(diǎn)防火墻物理實(shí)現(xiàn)的方式有所不同。通常防火墻是一組硬件設(shè)備，即路由器、主計算機(jī)或者是路由器、計算機(jī)和配有適當(dāng)軟件的網(wǎng)絡(luò)的多種組合。防火墻是由管理員為保護(hù)自己的網(wǎng)絡(luò)免遭外界非授權(quán)訪問但又允許與因特網(wǎng)聯(lián)接而開展起來的。從網(wǎng)際角度，防火墻可以看成是安裝在兩個網(wǎng)絡(luò)之間的一道柵欄，根據(jù)平安方案和平安策略中的定義來保護(hù)其后面的網(wǎng)絡(luò)。由軟件和硬件組成的防火墻應(yīng)該具有以下功能?！?〕所有進(jìn)出網(wǎng)絡(luò)的通信流都應(yīng)該通過防火墻。〔2〕所有穿過防火墻的通信流都必須有平安策略和方案確實(shí)認(rèn)和授權(quán)?！?〕理論上說，防火墻是穿不透的2．防火墻的根本功能〔1〕防火墻能夠強(qiáng)化平安策略〔2〕防火墻能有效地記錄因特網(wǎng)上的活動〔3〕防火墻限制暴露用戶點(diǎn)〔4〕防火墻是一個平安策略的檢查站3．防火墻的缺乏之處〔1〕不能防范惡意的知情者〔2〕防火墻不能防范不通過它的連接〔3〕防火墻不能防范全部的威脅〔4〕防火墻不能防范病毒 防火墻通常是一個具備包過濾功能的簡單路由器，支持因特網(wǎng)平安。 每個包有兩個局部：數(shù)據(jù)局部和包頭。包頭中含有源地址和目標(biāo)地址等信息。 包過濾一直是一種簡單而有效的方法。通過攔截數(shù)據(jù)包，讀出并拒絕那些不符合標(biāo)準(zhǔn)的包頭，過濾掉不應(yīng)入站的信息。每個數(shù)據(jù)包都包含有特定信息的一組報頭，其主要信息是：〔1〕IP協(xié)議類型〔TCP、UDP，ICMP等〕；〔2〕IP源地址；〔3〕IP目標(biāo)地址；〔4〕IP選擇域的內(nèi)容；〔5〕TCP或UDP源端口號；〔6〕TCP或UDP目標(biāo)端口號；〔7〕ICMP消息類型。數(shù)據(jù)包過濾1〕包過濾是如何工作的 包過濾技術(shù)可以允許或不允許某些包在網(wǎng)絡(luò)上傳遞，它依據(jù)以下的判據(jù)： 〔1〕將包的目的地址作為判據(jù)； 〔2〕將包的源地址作為判據(jù)； 〔3〕將包的傳送協(xié)議作為判據(jù)。 包過濾系統(tǒng)只能讓我們進(jìn)行類似以下情況的操作： 〔1〕不讓任何用戶從外部網(wǎng)用Telnet登錄； 〔2〕允許任何用戶使用SMTP往內(nèi)部網(wǎng)發(fā)電子郵件； 〔3〕只允許某臺機(jī)器通過NNTP往內(nèi)部網(wǎng)發(fā)新聞。 1．包過濾的優(yōu)點(diǎn) 包過濾方式有許多優(yōu)點(diǎn)，而其主要優(yōu)點(diǎn)之一是僅用一個放置在重要位置上的包過濾路由器就可保護(hù)整個網(wǎng)絡(luò)。如果我們的站點(diǎn)與因特網(wǎng)間只有一臺路由器，那么不管站點(diǎn)規(guī)模有多大，只要在這臺路由器上設(shè)置適宜的包過濾，我們的站點(diǎn)就可獲得很好的網(wǎng)絡(luò)平安保護(hù)。 2．包過濾的缺點(diǎn)〔1〕在機(jī)器中配置包過濾規(guī)那么比較困難； 〔2〕對系統(tǒng)中的包過濾規(guī)那么的配置進(jìn)行測試也較麻煩；〔3〕許多產(chǎn)品的包過濾功能有這樣或那樣的局限性，要找一個比較完整的包過濾產(chǎn)品比較困難。 2〕包過濾路由器的配置 在配置包過濾路由器時，首先要確定哪些效勞允許通過而哪些效勞應(yīng)被拒絕，并將這些規(guī)定翻譯成有關(guān)的包過濾規(guī)那么。 下面給出將有關(guān)效勞翻譯成包過濾規(guī)那么時非常重要的幾個概念?！?〕協(xié)議的雙向性。協(xié)議總是雙向的，協(xié)議包括一方發(fā)送一個請求而另一方返回一個應(yīng)答。在制定包過濾規(guī)那么時，要注意包是從兩個方向來到路由器的?！?〕“往內(nèi)〞與“往外〞的含義。在制定包過濾規(guī)那么時，必須準(zhǔn)確理解“往內(nèi)〞與“往外〞的包和“往內(nèi)〞與“往外〞的效勞這幾個詞的語義。 〔3〕“默認(rèn)允許〞與“默認(rèn)拒絕〞。網(wǎng)絡(luò)的平安策略中的有兩種方法：默認(rèn)拒絕〔沒有明確地被允許就應(yīng)被拒絕〕與默認(rèn)允許〔沒有明確地被拒絕就應(yīng)被允許〕。從平安角度來看，用默認(rèn)拒絕應(yīng)該更適宜。3〕包的根本構(gòu)造 包的構(gòu)造有點(diǎn)像洋蔥一樣，它是由各層連接的協(xié)議組成的。每一層，包都由包頭與包體兩局部組成。在包頭中存放與這一層相關(guān)的協(xié)議信息，在包體中存放包在這一層的數(shù)據(jù)信息。這些數(shù)據(jù)信息也包含了上層的全部信息。在每一層上對包的處理是將從上層獲取的全部信息作為包體，然后依本層的協(xié)議再加上包頭。這種對包的層次性操作〔每一層均加裝一個包頭〕一般稱為封裝。數(shù)據(jù)包的封裝

4〕依據(jù)地址進(jìn)行過濾 在包過濾系統(tǒng)中，最簡單的方法是依據(jù)地址進(jìn)行過濾。用地址進(jìn)行過濾可以不管使用什么協(xié)議，僅根據(jù)源地址/目的地址對流動的包進(jìn)行過濾。我們可用這種方法只讓某些被指定的外部主機(jī)與某些被指定的內(nèi)部主機(jī)進(jìn)行交互。還可以防止黑客用偽包裝成來自某臺主機(jī)，而其實(shí)并非來自于那臺主機(jī)的包對網(wǎng)絡(luò)進(jìn)行的侵?jǐn)_。5〕依據(jù)效勞進(jìn)行過濾 1．往外的Telnet效勞 在往外的Telnet效勞中，一個本地用戶與一個遠(yuǎn)程效勞器交互。我們必須對往外與往內(nèi)的包都加以處理。 2．往內(nèi)的Telnet效勞 3．依據(jù)源端口來過濾 依據(jù)源端口來過濾必須有個前提，提供端口號的機(jī)器必須是真實(shí)的。如假設(shè)入侵者已經(jīng)通過root完全控制了這臺機(jī)器，那他就可隨意在這臺機(jī)器上，也就等于在我們包過濾規(guī)那么的端口上運(yùn)行任意的客戶程序或效勞器程序。有時我們就根本不能相信由對方機(jī)器提供的機(jī)器源地址，因?yàn)橛锌赡苣桥_機(jī)器就是入侵者偽裝的。防火墻類型

1、數(shù)據(jù)包過濾防火墻2、雙宿網(wǎng)關(guān)防火墻3、屏蔽主機(jī)防火墻4、屏蔽子網(wǎng)防火墻網(wǎng)絡(luò)地址翻譯

網(wǎng)絡(luò)地址翻譯〔NAT，NetworkAddressTranslation〕最初的設(shè)計目的是增加在專用網(wǎng)絡(luò)中可使用的IP地址數(shù)，但現(xiàn)在那么用于屏蔽內(nèi)部主機(jī)。NAT通過將專用網(wǎng)絡(luò)中的專用IP地址轉(zhuǎn)換成在Internet上使用的全球唯一的公共IP地址，實(shí)現(xiàn)對黑客有效地隱藏所有TCP/IP級的有關(guān)內(nèi)部主機(jī)信息的功能，使外部主機(jī)無法探測到它們。NAT實(shí)質(zhì)上是一個根本代理：一個主機(jī)充當(dāng)代理，代表內(nèi)部所有主機(jī)發(fā)出請求，從而將內(nèi)部主機(jī)的身份從公用網(wǎng)上隱藏起來了。按普及程度和可用性順序，NAT防火墻最根本的翻譯模式包括：靜態(tài)翻譯。在這種模式中，一個指定的內(nèi)部網(wǎng)絡(luò)源有一個從改變的固定翻譯表。動態(tài)翻譯。在這種模式中，為了隱藏內(nèi)部主機(jī)的身份或擴(kuò)展內(nèi)部網(wǎng)的地址空間，一個大的Internet客戶群共享單一一個或一組小的InternetIP地址。負(fù)載平衡翻譯。在這種模式中，一個IP地址和端口被翻譯為同等配置的多個效勞器的一個集中處，這樣一個公共地址可以為許多效勞器效勞。網(wǎng)絡(luò)冗余翻譯。在這種模式中，多個Internet連接被附加在一個NAT防火墻上，從而防火墻根據(jù)負(fù)載和可用性對這些連接進(jìn)行選擇和使用。虛擬專用網(wǎng)VPN采用加密和認(rèn)證技術(shù)，利用公共通信網(wǎng)絡(luò)設(shè)施的一局部來發(fā)送專用信息，為相互通信的節(jié)點(diǎn)建立起的一個相對封閉的、邏輯上的專用網(wǎng)絡(luò)。通常用于大型組織跨地域的各個機(jī)構(gòu)之間的聯(lián)網(wǎng)信息交換，或是流開工作人員與總部之間的通信。只允許特定利益集團(tuán)內(nèi)可以建立對等連接，保證在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)的保密性和平安性。目標(biāo)是在不平安的公共網(wǎng)絡(luò)上建立一個平安的專用通信網(wǎng)絡(luò)。虛擬專用網(wǎng)VPN的好處實(shí)現(xiàn)了網(wǎng)絡(luò)平安。簡化網(wǎng)絡(luò)設(shè)計和管理。降低本錢