搜索
信息安全与保密技术网络信息安全所面临的威胁计算机网络信息安全所存在的缺陷怎样实现网络信息安全与保密密码技术防火墙简介网络信息安全所面临的威胁人为的威胁。恶意的攻击或称为黑客攻击。自然的威胁。恶劣的环境、电磁干扰、设备老化、各种自然灾害等。恶意攻击特征智能性:具有专业技术和操作技能,精心策划。严重性:造成巨额的经济损失,或军政的失密。隐蔽性:不留犯罪现场,不易引起怀疑、作案的技术难度大,也难以破案。多样性:攻击的领域多,在同一领域内攻击的手段多,例如在电子商务和电子金融领域,包括偷税、漏税、洗钱等。网络犯罪集团化与国际化。主动攻击和被动攻击主动攻击是以各种方式有选择地破坏信息,如:修改、删除、伪造、添加、重放、乱序、冒充、制造病毒等。被动攻击是指在不干扰网络信息系统正常工作的情况下,进行侦收、截获、窃取、破译、业务流量统计分析及电磁泄露,非法浏览等。具有代表性的恶意攻击信息战。这是一种以获得控制信息权为目标的战争。商业间谍。利有Internet收集别国或别公司的商业情报。窃听。搭线窃听易实现,但不易被发现。流量分析。对网上信息流的观察与分析,获得信息的传输数量、方向、频率等信息。破坏完整性。对数据进行增、删、改等攻击。重发。重发报文或报文分组是取得授权的一种手段。假冒。当一个实体假扮成另一个实体时,就发生了假冒。拒绝服务。当一个被授权的合法实体不能获得网络资源的时候,或当一个紧急操作被推迟时,就发生了拒绝服务。资源的非法授权使用。干扰。由一个站点产生干扰数据扰乱其他站点所提供的服务。频繁的电子邮件信息就是一例。病毒。全世界已发现上万种计算机病毒,构成了对计算机网络的严重威胁。诽谤。利用网络信息系统的互连性和匿名性,发布诽谤信息。计算机网络信息安全所存在的缺陷数据通信中的缺陷计算机硬件资源中的缺陷计算机软件资源中的缺陷数据资源中的缺陷(1)数据通信中的缺陷非法用户通过搭线窃听,侵入网内获得信息,甚至插入、删除信息;对于无线信道,所受到的被动攻击几乎是不可避免的。计算机及其外围设备在进行数据的处理和传输时会产生电磁泄漏,即电磁辐射,从而导致了信息泄漏。在有线信道中,由于信道间寄生参数的交叉耦合,产生了串音。串音不但造成误码率增加,而且也会引起信息泄漏。采用光纤信道可避免这种情况。(2)计算机硬件资源的缺陷在我国集成电路芯片基本依赖进口,还引进了一些网络设备,如交换机、路由器、服务器、甚至防火墙等。这些芯片或设备中可能隐藏一些信息安全隐患,有些是恶意的。(3)软件漏洞-1陷门。所谓陷门是一个程序模块的秘密、未记入文档的入口。一般陷门是在程序开发的时候插入的一小段程序,或者是为了将来发生故障后,为程序员提供方便等合法用途。常见的陷门实例有:逻辑炸弹在网络软件可以预留隐蔽的对日期敏感的定时炸弹。在一般情况下,网络处于正常状态,一旦到某个预订的日期,程序便会自动跳转到死循环中,造成死机甚至是网络瘫痪事件的发生。遥控旁路某国向我国出口一种传真机,其软件可以通过遥控将加密接口旁路,从而失去加密功能,造成信息泄密。远程维护某些通信设备具有一种远程维护功能,可以通过远程终端,由公开预留的接口进入系统完成维护检修功能,甚至可以实现国外厂家维护人员在其本部终端上对国内进口设备进行远程维护。这种功能在带来明显的维护管理便利的同时,当然也带来了一定的潜在威胁。非法通信某些程控交换机具有单向监听功能,即就是特许用户,利用自身的话机拨号,可以监听任意通话方的话音而不会被发现。贪婪程序一般程序都有一定的执行时限,如程序被有意或者错误更改为贪婪程序和循环程序,或者被植入某些病毒,那此程序则会长期占用计算机使用时间,造成以外阻塞使得合法用户被排挤在外不能得到服务。(3)软件漏洞-2操作系统的安全漏洞输入/输出非法访问在进行访问的时候,输入输出的非法访问环节,会导致操作系统中的公共缓冲区被其他用户利用,将用户的认证数据和口令进行盗取。访问控制的混乱出现访问控制混乱的情况主要是和编程人员在进行系统设计时有很大的关系,在进行设计的时候,编程人员要对资源共享和隔离保护进行很好的设置,这样在使用操作系统的时候才能避免出现安全问题。不完全的中介不完全中介主要会影响操作系统的安全模型建立,因此,在进行操作系统设计的时候,要将出现的问题都进行很好的控制。操作系统陷门操作系统的陷门主要是和安装其他公司软件有很大的关系的,在进行软件安装的时候,要保证软件要进行严密的控制,同时要对认证进行限制。(3)软件漏洞-3数据库的安全漏洞数据库系统是一种应用程序,在使用的时候,主要的作用就是保证数据不会受到物理性破坏,物理性破坏会导致数据系统受到永久性的破坏。数据库为了更好的进行利用,在保存方面也是有具体的要求的,要对数据库进行定期的备份。数据库系统在安全方面要进行防火墙的设置,同时要对网络身份进行验证。数据库在使用的时候在安全功能方面也是有内在的设置的,可以自行进行数据的加密处理。在使用数据库的时候,很多的信任用户输入了很多的安全问题,这样就使得数据库的安全受到了很大的影响。用户在使用数据库的时候,会非常容易将计算机病毒进行传播,这样就使得数据库非常容易受到感染。(4)TCP/IP协议的安全漏洞TCP/IP作为一个事实上的工业标准,在其制订之初,没有考虑安全因素,因此他本身无安全可言。TCP/IP作为Internet使用的标准协议集,是黑客实施网络攻击的重点目标和对象。TCP/IP协议组是目前使用最广泛的网络互连协议。但TCP/IP协议组本身存在着一些安全性问题。TCP/IP协议是建立在可信的环境之下,首先考虑网络互连缺乏对安全方面的考虑。其次,TCP/IP是建立在3次握手协议基础之上,本身就存在一定不安全的因素,握手协议的过程当中有一定局限性。这种基于地址的协议本身就会泄露口令,而且经常会运行一些无关的程序,这些都是网络本身的缺陷。互连网技术屏蔽了底层网络硬件细节,使得异种网络之间可以互相通信。这就给黑客们攻击网络以可乘之机。由于大量重要的应用程序都以TCP作为它们的传输层协议,因此TCP的安全性问题会给网络带来严重的后果。网络的开放性TCP/IP协议完全公开,远程访问使许多攻击者无须到现场就能够得手,连接的主机基于互相信任的原则等等性质使网络更加不安全。(6)口令设置的漏洞口令是网络信息系统中最常用的安全与保密措施之一。由于用户谨慎设置与使用口令的不多,这就带来了信息安全隐患。对口令的选择有以下几种不适当之处:用“姓名+数字”作口令,或用生日作口令用单个单词或操作系统的命令作口令多个主机用同一个口令只使用小写英文字母作口令网络信息安全与保密的措施重视安全检测与评估建立完善的安全体系结构制定严格的安全管理措施强化安全标准与制定国家信息安全法密码技术密码技术密码技术通过信息的变换与编码,将机密的信息变换成黑客难以读懂的乱码型文字,以此达到两个目的:使不知解密的黑客不能从截获的的乱码中得到意义明确的信息;使黑客不能伪造乱码型信息。研究密码技术的学科称为密码学。密码学密码学的两个方向密码编码学:对信息进行编码,实现信息隐蔽;密码分析学:研究分析破译密码方法。几个概念明文:未被隐蔽的信息;密文:将明文变换成一种隐蔽形式的文件;加密:由明文到密文的变换;解密:由合法接收者从密文恢复出明文;破译:非法接收者试图从密文分析出明文的过程;加密算法:对明文进行加密时采用的一组规则;解密算法:对密文解密时采用的一组规则;密钥:加密算法和解密算法是在一组仅有合法用户知道的秘密信息下进行的,这组秘密信息称为密钥;加密密钥:加密过程中所使用的密钥;解密密钥:解密过程所使用的密钥;对称密钥:加密密钥和解密密钥为一个密钥;非对称密钥:加密密钥和解密密钥分别为两个不同级密钥;公开密钥:两个密钥中有一个密钥是公开的。密码攻击穷举法分析法穷举法又称为强力法或完全试凑法。它对收到的密文依次用各种可解的密钥试译,直至得到明文;或在不变密钥下,对所有可能的明文加密直至得到与截获的密文一样为止。只要有足够的计算时间和存储容量,原则上穷举法总是可以成功的。分析破译法包括确定性分析破译和统计分析破译两类。确定性分析法利用一个或几个已知量(如已知密文或明文-密文对),用数学关系式表示出所求未知量(如密钥)。统计分析法是利用明文的已知统计规律进行破译的方法。密码破译者对多次截获的密文进行破译,统计与分析,总结出了其中的规律性,并与明文的统计规律进行对照比较,从中提出明文和密文之间的对应或变换信息。网络加密方式链路加密方式不但对数据报的正文加密,而且对路由信息、检验和以及所有控制信息全都加密。结点对结点加密方式为了解决在结点中数据是明文的缺点,在中间结点装有用于加密与解密的保护装置。端对端加密方式加密与解密只在源结点与目的结点上进行,由发送方加密的数据在没有到达目的结点之前不被解密。软件加密与硬件加密软件加密一般是用户在发送数据之前,先调用信息安全模块对信息进行加密,然后发送,到达接收方后,由用户解密软件进行解密,得到明文。优点:已有标准的信息安全应用程序模块产品(API),实现方便,兼容性好。缺点:密钥的管理很复杂,目前密钥的分配协议有缺陷;软件加密是在用户计算机内进行的,容易给攻击者采用程序跟踪以及编译等手段进行攻击的机会;相对于硬件加密速度慢。硬件加密的密钥管理方便,加密速度快,不易受攻击,而且大规模集成电路的发展,为采用硬件加密提供了保障。几种著名的加密算法数据加密标准(DES:DataEncryptionStandard)——对称加密算法IDEA密码算法(InternationalDataEncryptionAlgorithm)——对称加密算法RSA算法——非对称加密算法数据加密标准DES由IBM公司于1975年推荐给美国国家标准局的,1977年7月被正式作为美国数据加密标准。DES采有用了对称密钥。基本思想:将比特序列的明文分成每64比特一组,用长为64比特的密钥(实际为56位的密钥和8位的奇偶校验)对其进行16次迭代和换位加密,最后形成密文。算法是公开的,密钥是保密的。优点:除了密钥输入顺序之外,其加密和解密的步骤相同,使得在制作DES芯片时,容易做到标准化和通用化,因此在国际上得到广泛应用。缺点:利用穷举法可攻破。密码算法IDEA该算法的前身由来学嘉与JamesMessey完成于1990年,称为PES算法。次年,由Biham和Shamir强化了PES,得到一个新算法,称为IPES。1992年IPES更名为IDEA,即国际数据加密算法。IDEA被认为现今最好的安全分组密码算法之一。IDEA是以64比特的明文块进行分组,经过8次迭代和一次变换,得到64比特密文,密钥长128比特。此算法可用于加密和解密,是对称密钥法,算法也是公开的,密钥不公开。IDEA用了混乱和扩散等操作,算法的设计思想是,在不同的代数组中采用混合运算,其基本运算主要有异或、模加与模乘三种,容易采用软件和硬件实现。公开钥密码算法RSA1978年美国麻省理工学院三位科学家Rivest,Shamir和Adleman提出了公开密钥体制RSA。公开密钥密码体制是使用不同的加密密钥与解密密钥,是一种由已知加密密钥推导出解密密钥在计算上是不可行的密码体制。加密密钥是公开的,称为公钥,解密密钥需要保密,称为私钥,所以是一种非对称密钥法。无论是加密算法还是解密算法都是公开的。它的安全性基于数论,即寻求两个大素数比较简单,但要将两个大素数的乘积分解开则极其困难。决定安全性的关键因素是密钥长度以及攻破密文的计算量。数字签名数字签名能够实现用户对电子形式存放的信息进行认证。接收者能够核实发送者对报文的签名;发送者事后不能抵赖对报文的签名;接收者不能伪造对报文的签名。报文鉴别对付被动攻击的重要措施是加密,而对付主动攻击中的篡改与伪造则要用报文鉴别