搜索
电子政务安全技术案例国外2004年专门针对美国政府网站的非法入侵事件就发生了5.4万件,2005年升至7.9万件。被入侵的政府网站包括国防部、国务院、能源部、国土安全部等重要政府职能部门,其中以国防部最为严重,在2004年达到1300多次,而2005年平均每天要受到计算机黑客7次攻击。面对越来越严峻的网络安全形势,美国军界和政界对黑客采取了长期的招安策略,设立专门机构纳入作战序列,聘请他们为政府和军方工作,并通过演习和训练来进行网络防御以及对付国外势力的网上渗透活动,甚至在必要的情况下执行进攻和摧毁敌方系统的重任。案例国内2005年3月,四川省公安厅网监处查获一起攻击政府机关网站、在网站主页张贴色情图片的案件;2005年4月9日,陕西省公安厅网站首页被修改,内容全是反日的激进言论,在内容页中,黑客甚至胆大到留下自己的QQ号码;2005年11月1日,山西省清徐县政府网站被黑客攻击,自称“圣贤居士”的黑客,在篡改了网站头条新闻和网站公告后,发布声明称:本站存在严重安全漏洞,且密码过于简单,希望网站与他联系……2006年11月6日,国家公务员报考确认期间,河南省人事厅网站的网上确认程序突然中断,省人事厅考试中心发出紧急通知:由于网络出现异常,网上确认改为现场确认。无独有偶,仅几日之后,郑州市司法局网站被“黑”。时间再退到两个多月前,省卫生厅网站也遭遇“黑”手。中国政府网站被黑国外Ashiyane组织全名叫数字化的网络安全://www3.glit.edu.cn/ix.htm://mail.nbjgc.gov.cn/ash.htm://dy.jndj.gov.cn/ash.htm://lfda.lda.gov.cn/ashi.htm://www.jjnyw.gov.cn/ash.htm://hc.xmepb.gov.cn/ash.htm://shwj.bjdch.gov.cn/ash.htm://www.jjzx.gov.cn/ash.htm://www.cjw.gov.cn/ash.htm电子政务安全的基本要求术语定义保密性认证性完整性可访问性防御性不可否认性合法性保持个人的、专用的和高度敏感数据的机密确认通信双方的合法身份保证所有存储和管理的信息不被篡改保证系统、数据和服务能由合法的人员访问能够阻挡不希望的信息或黑客防止通信双方对已进行业务的否认保证各方的业务符合可适用的法律和法规技术对策防火墙技术信息加密技术安全认证技术防火墙技术防火墙概述实现防火墙的主要技术防火墙(Firewall)的定义:——防火墙是用来限制被保护的网络与互联网络之间,或者与其他网络之间相互进行信息存取、传递操作的部件或部件集。防火墙——隔离内部网和Internet的有效安全机制防火墙应具备的条件:内部和外部之间的所有网络数据流必须经过防火墙只有符合安全策略的数据流才能通过防火墙构筑防火墙之前,需要制定一套有效的安全策略防火墙的策略防火墙设计策略一切未被允许的就是禁止的——安全性好,但是用户所能使用的服务范围受到严格限制。一切未被禁止的都是允许的——可以为用户提供更多的服务,但是在日益增多的网络服务面前,很难为用户提供可靠的安全防护。第一种的特点是安全但不好用,第二种是好用但不安全,而多数防火墙都在两者之间采取折衷。包过滤型(PacketFilter)代理服务器型(ProxyService)实现防火墙的主要技术网络层链路层外部网络内部网络包过滤技术是在网络层中对数据包实施有选择的通过7应用层6表示层5会话层4传输层3网络层2数据链路层1物理层基本思想对于每个进来的包适用一组规则,然后决定转发或丢弃该包包过滤技术判断依据:数据包协议类型:TCP、UDP、ICMP等源IP、目的IP地址源端口、目的端口:FTP、TELNET、HTTP等IP选项:源路由、记录路由等TCP选项:SYN、ACK、FIN、RST等数据包流向:in或out数据包流经网络接口:eth0、eth1包过滤技术应用实例规则方向源地址目的地址动作A出内部网络202.110.8.0拒绝B入202.110.8.0内部网络拒绝按地址按服务规则方向源地址源端口目的地址目的端口动作注释A入外部*E-MAIL25拒绝不信任B出****允许允许包过滤技术的特点优点:逻辑简单,速度快;与应用层无关,无须改动任何客户机和主机上的应用程序,易于安装和使用。缺点:配置基于包过滤方式的防火墙,需要对IP、TCP、UDP、ICMP等各种协议有深入的了解;允许外部客户和内部主机的直接连接;不提供用户的鉴别机制。基本思想代理服务器是运行在防火墙主机上的一些特定的应用程序或者服务器程序。这些程序将用户对互联网络的服务请求依据已制定的安全规则向外提交,代理服务替代了用户与互联网络的直接连接。代理服务器也称为应用层网关。代理服务器技术代理服务器作用在应用层,当内部计算机与外部主机连结时,将由代理服务器(ProxyServer)担任内部计算机与外部主机的连结中继者。应用层运输层外部网络内部网络链路层网络层HTTPFTPTelnetSmtp代理服务器的特点优点:易于配置,界面友好透明性——“直接”访问Internet的假象不允许内外网主机的直接连接可以实现基于用户的认证可以提供比包过滤更详细的日志记录可以隐藏内部IP地址可以与认证、授权等安全手段方便的集成缺点:代理速度比包过滤慢新的服务不能及时地被代理每个被代理的服务要求专门的代理软件有些服务要求建立直接连接,无法使用代理密码安全——通信安全的最核心部分信息加密技术信息加密技术的基本概念。对称密钥加密算法非对称密钥加密算法。信息加密技术的基本概念信息加密的术语:加密(Encryption):用某种方法伪装消息以隐藏它的内容的过程明文(plaintext):作为加密输入的原始信息密文(ciphertext):明文变换结果加密算法:变换函数(是加密和解密的计算方法);密钥(key):参与变换的参数加解密过程示意图11:16:5623信息加密的例子:例:原信息为:Howareyou加密后为:LSAEVICSY原文密文在实际加密过程中,算法是不变的,但密钥是变化的----加密技术的关键是密钥?若密钥4换成7,结果会怎么样呢?abcd..………wxyzEFGH……….ABCD将上述两组字母分别对应,即差4个字母,这条规则就是加密算法,其中的4为密钥。Alice加密机解密机Bob安全信道密钥源Oscarxyxk信息加密的目的:Alice和Bob两个人在不安全的信道上进行通信,而破译者Oscar不能理解他们通信的内容。Bob能够验证接收到的信息是Alice发出的,且没被篡改过。(认证)密码学的起源隐写术(steganography)英文含义为——Coveredwriting通过隐藏消息的存在来保护消息,通常将秘密消息隐藏于其它消息中。语言隐写术藏头诗、字符格式的变化技术隐写术隐形墨水、牛奶、图象、程序等有趣的密码技术Phaistos圆盘,一种直径约为160mm的Cretan-Mnoan粘土圆盘,始于公元前17世纪。表面有明显字间空格的字母,至今还没有破解。有趣的密码技术公元前5世纪——SpartanScytale斯巴达人用于加解密的一种军事设备发送者把一条羊皮螺旋形地缠在一个圆柱形棒上,再写上传递给他人的信息;而信息的接收者只需要有根同等尺径的棍子,收到皮革后再将皮革裹到棍子上就可以读出原始信息。思想:置换(permutation)有趣的密码技术(续)希腊密码二维字母编码查表公元前2世纪例:NantongUniversity3311334443332254332451154243244454有趣的密码技术(续)恺撒密码:将字母循环前移k位明文:NantongUniversity密文:sfsyutmZsnajwxnyd例如k=5时对应关系如下:常用对称密钥加密算法DES、IDEA、AES算法等对称密钥加密技术对称密钥算法(symmetriccipher):加密密钥和解密密钥相同。又称秘密密钥算法。信息加密算法对称密钥加密算法——DES算法DES(DataEncryptionStandard)——数据加密标准,是一种分组密码算法,是最通用的计算机加密算法。分组密码体制DES的产生1972年,美国国家标准局(NBS)征集满足下列条件的标准加密算法:1974年8月27日,IBM提交了算法LUCIFER,该算法由IBM的工程师在1971~1972年改进1975年3月17日,NBS公开了全部细节1976年,NBS指派了两个小组进行评价1976年11月23日,采纳为联邦标准,批准用于非军事场合的各种政府机构1977年1月15日,正式确定为美国的统一数据加密标准DES输入64位明文数据初始置换IP在密钥控制下16轮迭代初始逆置换IP-1输出64比特密文数据DES算法框图交换左右32位DES加密的数据流程明文分组:64位密钥长度:64位,其中8位为奇偶校验位,真正起密钥作用的是56位初始置换IP和初始逆置换IP—1关于DES的讨论DES的强度除了用穷举搜索法对DES算法进行攻击外,还没有发现更有效的办法。密钥长度的争论关于DES算法的另一个最有争议的问题就是担心实际56比特的密钥长度不足以抵御穷举式攻击,因为密钥量只有个。1756102关于DES的评价1997年1月28日,美国的RSA数据安全公司公布了一项“秘密密钥挑战”竞赛,其中包括悬赏1万美元破译密钥长度为56比特的DES。美国克罗拉多洲的程序员Verser从1997年2月18日起,用了96天时间,在Internet上数万名志愿者的协同工作下成功破译。1998年7月,电子前沿基金会(EFF)使用一台25万美元的电脑在56小时内破译了56比特密钥的DES。1999年1月,RSA数据安全会议期间,电子前沿基金会用22小时15分钟就宣告破解了一个DES的密钥。公开密钥加密技术对称密钥算法:加密密钥和解密密钥一样公开密钥算法:加密和解密使用的是两个不同的密钥,也称为非对称密钥算法。公开密钥(publickey),简称公钥,是公开的,可以公布在网上,也可以公开传递给需要的人;私人密钥(privatekey),简称私钥,是保密的,只有本人知道。公钥加密体制的基本概念公钥技术是二十世纪最伟大的思想之一改变了密钥分发的方式。公钥加密的基本思想:利用求解某些数学难题的困难性。单向函数:单项函数计算起来相对容易,但求逆却非常困难。RSA算法1977年由Rivest、Shamir和Adleman在麻省理工学院发明,1978年公布。应用最广泛的公钥密码算法RSA算法的理论基础:大数分解:两个大素数相乘在计算上是容易实现的,但将该乘积分解为两个大素数因子的计算量却相当巨大。素数检测:素数检测就是判定一个给定的正整数是否为素数。RSA算法Euler定理(欧拉定理):a、r是两个互素的正整数,则az1(modr),其中z为与r互素且不大于r的正整数的个数(即Euler数,(r))