搜索
第七章网络安全与管理7.1计算机网络安全概述•统计表明全球87%的电子邮件被病毒染率、90%以上的网站受过攻击、有着超过六万种不同类型的病毒,并且每天还在产生新的品种。网络犯罪也遵循摩尔定律,每18个月翻一番。面对这样的网络安全环境,我们的计算机,计算机网络如何才能自保?如何才能降低被攻击的风险?本章重点•了解目前计算机安全的概况•了解计算机安全的主动保障技术,如加密、防火墙、授权等•掌握计算机病毒的防治策略与技术•掌握网络管理在计算机安全策略中起到额作用7.1.1网络安全含义•网络安全是指保护网络系统中的软件、硬件及信息资源,使之免受偶然的或者恶意的破坏、篡改、泄露,保证系统能连续、可靠的正常运行,网络服务不中断。•其目的是确保经过网络传输的数据不会发生增加、修改、丢失和泄漏等。网络安全包含四个方面:•运行系统安全,即保证信息处理和传输系统的安全。•网络上系统信息的安全,即系统信息不被泄漏,不被非法利用。•网络上信息传播的安全,即信息传播后果的安全。•网络上信息内容的安全,即我们讨论的狭义的“信息安全”。解决网络安全的主要技术•身份认证技术•访问控制技术•密码技术•防火墙技术•病毒防治技术。7.1.2网络不安全的原因•计算机网络自身的缺陷•开放性•人为的威胁计算机网络自身的缺陷•计算机硬件系统的安全隐患•计算机操作系统的安全隐患•数据库的安全隐患•应用软件的安全隐患•通信传输协议的安全隐患开放性•因特网是开放性的,所提供的服务都是基于公开的协议,毫无保密性可言。同时任何人都可以从任意一台联上网的计算机进入网络,访问另一个国家的计算机,即各种攻击无需到现场就可进行,而且谁也不知道他的真实身份,因此让某些人可以亳无顾及地攻击他人的计算机。人为的威胁•人为的威胁又分为误操作和恶意攻击。–误操作由于用户不会或不小心造成网络系统受损,信息被破坏的操作。•恶意攻击–又分为内部人员和外部人员对网络的攻击。7.1.3网络安全需求•如何才是一个安全的网络?一个完善的安全网络在保证其计算机网络硬件平台和系统软件平台安全的基础上,应该还具备以下安全属性:1.机密性2.完整性3.有效性4.授权性5.审查性机密性•机密性又称保密性,是指信息在产生、传送、处理和存贮过程中不泄露给非授权的个人或组织。机密性一般是通过加密技术对信息进行加密处理来实现的,经过加密处理后的加密信息,即使被非授权者截取,也由于非授权者无法解密而不能了解其内容。完整性•是指信息在传送和存贮过程中保持一致,没有被非授权人员改变。完整性一般可以通过提取信息的数字摘要的方式来实现。有效性•有效性又称可用性,是指授权用户在正常访问信息和资源时不被拒绝,可以及时获取服务,即保证为用户提供稳定的服务。授权性•授权性又称访问控制,控制谁能够访问网络上的信息并且能够进行何种操作,防止非授权使用资源或控制资源,有助于信息的机密性、完整性。审查性•是指对每个经授权的用户的活动和进行的操作内容进行审计、跟踪和记录。有助于信息的机密性、完整性,及时发现非法操作。7.2加密技术•加密的概念•对称密钥加密技术•非对称密钥加密技术•数字摘要技术•数字信封技术7.2.1加密的概念•所谓信息加密技术,就是采用数学方法对原始信息(通常称为“明文”)进行再组织,将明文转换成为无意义的文字(称为“密文”),阻止非法用户了解原始数据,从而确保数据的保密性。信息的接收者收到密文之后,需要用相关的算法重新把密文恢复成明文。信息加密•把明文转变成密文的过程称为加密,所使用的计算方法叫做加密算法;由密文还原为明文的过程称为解密,所使用的计算方法叫做解密算法。7.2.2对称密钥加密技术•对称密钥加密又称常规密钥加密/传统密钥加密/私钥加密/专用密钥加密,即信息的发送方和接收方用同一个密钥去加密和解密数据。•使用对称密钥加密技术进行通信者都必须完全信任且彼此了解,而每一位参与者都保有一把密钥复本。使用对称加密方法简化了加密的处理,每个通信方都不必彼此研究和交换专用的加密算法,而是采用相同的加密算法并只交换共享的专用密钥。•例如DES算法DES算法的入口参数有三个:Key、Data、Mode•其中Key为8个字节共64位,是DES算法的工作密钥•Data也为8个字节64位,是要被加密或被解密的数据•Mode为DES的工作方式,有两种:加密或解密。•DES算法具有极高安全性,到目前为止,除了用穷举搜索法对DES算法进行攻击外,还没有发现更有效的办法。如果一台计算机的速度是每一秒种检测一百万个密钥,则它搜索完全部密钥就需要将近2285年的时间,可见,这是难以实现的。•随着科学技术的发展,当出现超高速计算机后,我们可考虑把DES密钥的长度再增长一些,以此来达到更高的保密程度。对称密钥加密•优点:加/解密速度快,适合对大量数据进行加密。•问题:1.对称加密技术存在着在通信方之间确保密钥安全交换的问题。在公众网络上通信方之间的密钥分配(密钥产生、传送和储存)很麻烦。2.当某一通信方有n个通信关系,那么他就要维护n个专用密钥(即每把密钥对应一通信方)。对称密钥加密•常用对称密钥加密方法有:–数据加密标准DES–RC5加密过程解密过程密钥明文密文明文图7-2对称密钥加密7.2.3非对称密钥加密技术•非对称密钥加密又称公开密钥加密(PublicKeyEncryption),由美国斯坦福大学赫尔曼教授于1977年提出。它最主要的特点就是加密和解密使用不同的密钥,每个用户保存着一对密钥:公钥和私钥,公钥对外公开,私钥由个人秘密保存;用其中一把密钥来加密,就只能用另一把密钥来解密。•公开密钥加密技术解决了密钥的发布和管理问题,通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。•例如商户可以公开其公钥,而保留其私钥;客户可以用商户的公钥对发送的信息进行加密,安全地传送到商户,然后由商户用自己的私钥进行解密,从而保证了客户的信息机密性。因此,公开密钥体制的建设是开展电子商务的前提。公开密钥算法的特点•加密算法和解密算法都是公开的。•不能根据公钥计算出私钥。•公钥和私钥均可以作为加密密钥,用其中一把密钥来加密,就只能用另一把密钥来解密,具有对应关系。•加密密钥不能用来解密。•在计算机上可以容易地产生成对的公钥和私钥。公开密钥算法•公开密钥加密技术解决了密钥的发布和管理问题,通信双方无须事先交换密钥就可以建立安全通信。•公开密钥加密法加解密计算较费时间,比较适合用来加密摘要数据,或者采用混合加密法提升加解密之速度。•非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。•我们常说数字证书采用512位,1024位等,指的就是公钥的长度。位数越大,计算量越大,解密也更困难。7.2.4数字摘要技术•对信息进行加密可以保证信息的机密性,同样利用加密技术可以保证信息的完整性,即确认信息在传送或存储过程中未被篡改过,这种技术称作数字摘要技术。数字摘要技术•数字摘要又称报文摘要/消息摘要,它对要发送的信息进行某种变换运算,提取信息的特征,得到固定长度的密文,此即摘要,亦称为数字指纹。•实际操作时,先提取发送信息的数字摘要,并在传输信息时将之加入文件一同送给接收方•接收方收到文件后,用相同的方法对接收的信息进行变换运算得到另一个摘要•然后将自己运算得到的摘要与发送过来的摘要进行比较,从而验证数据的完整性。数字摘要技术数字摘要技术•提取数据的特征的算法叫做单向散列函数(HASH函数),单向散列函数还必须具有以下几个性质:•能处理任意大小的信息,生成的消息摘要数据块长度总是具有固定的大小,对同一个源数据反复执行该函数得到的消息摘要相同;•对给定的信息,很容易计算出数字摘要;•给定数字摘要和公开的散列函数算法,要推导出信息是极其困难的;•想要伪造另外一个信息,使它的数字摘要和原信息的数字摘要一样,也是极其困难的。7.2.5数字信封技术•数字信封是为了解决传送、更换密钥问题而产生的技术。如上所述对称加密技术速度快,但存在如何传送密钥的问题,而非对称加密技术不存在传送密钥的问题,但它的加密速度慢。因此我们经常是将这两种加密技术结合起来,从而产生了数字信封技术。数字信封技术数字信封技术•数字信封技术结合了秘密密钥加密和公开密钥加密技术的优点,可克服秘密密钥加密中秘密密钥分发困难和公开密钥加密中加密时间长的缺陷。•它在外层使用灵活的公开密钥加密技术,在内层使用秘密密钥加密技术。•数字信封用加密技术来保证只有特定的收信人才能阅读信的内容。7.3访问控制•访问控制是对进入计算机系统的控制,如进入Windows操作系统需输入用户名和密码。它的作用是对需要访问系统及其资源的用户进行识别,检验其合法身份,并对合法用户所能进行的操作进行管理。7.3.1用户标识•用户标识与后面的认证是一种用于防止非授权用户进入系统的常规技术措施。用户只有通过了身份认证,才能操作计算机系统,访问网络资源。因此身份认证是安全系统的第一道关卡。用户标识用于用户向系统声明自己的身份,用户标识应具有唯一性,其最常用形式的为用户ID。系统必须根据安全策略,维护所有用户标识。7.3.2认证•认证用于验证用户向系统声明的身份的有效性,确认访问者是否是用户本人。通常有三种方法:•用户个人所掌握的秘密信息(如口令字、电子签名密钥、个人标识号PIN等);•用户个人所拥有的物品(如磁卡、IC卡等);•用户个人的生理特征(如声音、动态手写输入的特征模式、指纹等)。7.3.3授权•授权是基于系统的安全机制,以确定某人或某个进程对于特定系统资源访问权限。•计算机系统管理员会根据用户的身份来设置用户对资源的访问权限,当用户通过身份认证后,其对系统资源的访问由系统访问监控器按授权数据库中的设置来决定是否允许、其在系统中的操作由审计系统来记录,同时入侵检测系统会检测是否有入侵行为。•身份认证在安全系统中的地位极其重要,是最基本的安全服务,其它的安全服务都要依赖于它,一旦身份认证系统被攻破,那么系统的所有安全措施形同虚设。7.4防火墙技术•防火墙的基本概念•防火墙的类型•防火墙的配置7.4.1防火墙的基本概念•在计算机系统中,防火墙是指隔离被保护网络(通常指内部网)和外界(包括外部网、互联网),防止内部网受到外界的侵犯的软硬件系统,可被认为是一种访问控制机制。防火墙图7-6防火墙的逻辑位置结构示意图7.4.2防火墙的类型•包过滤型•代理型•监测型。包过滤型•包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。•包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。•包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入。代理型•代理型防火墙又称应用层网关级防火墙,也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。•代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。•代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。监测型•监测型防火墙能够对各层的数据进行主动的、实时的监测。并在对这些数据分析的基础上,它能够有效地判断出各层中的非法入侵。•这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,还对来自内部的恶意破坏也有极强的防范作用。7.4.3防火墙的配置•安装防火墙的位置是内部网络与外部网络的接口处,以阻挡来自外部网络的入侵;•如果内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;•通过公网连接的总部与各分支机构之间也应该设置防火墙。防火墙配置结构•屏蔽路由器•双宿主主机结构•屏蔽主机结构•屏蔽子网结构屏蔽路由器•也叫安全路由器,可以由专门的路由器实现,也可以用主机来实现。屏蔽路由器实现包过滤功能,其中一个路由器的接口外部网络;而另一个则