信息安全与保密技术

信息安全与保密技术网络信息安全所面临的威胁计算机网络信息安全所存在的缺陷怎样实现网络信息安全与保密密码技术防火墙简介虚拟专用网技术简介网络信息安全所面临的威胁人为的威胁。恶意的攻击或称为黑客攻击。自然的威胁。恶劣的环境、电磁干扰、设备老化、各种自然灾害等。恶意攻击特征智能性：具有专业技术和操作技能，精心策划。严重性：造成巨额的经济损失，或军政的失密。隐蔽性：不留犯罪现场，不易引起怀疑、作案的技术难度大，也难以破案。多样性：攻击的领域多，在同一领域内攻击的手段多，例如在电子商务和电子金融领域，包括偷税、漏税、洗钱等。网络犯罪集团化与国际化。主动攻击和被动攻击主动攻击是以各种方式有选择地破坏信息，如：修改、删除、伪造、添加、重放、乱序、冒充、制造病毒等。被动攻击是指在不干扰网络信息系统正常工作的情况下，进行侦收、截获、窃取、破译、业务流量统计分析及电磁泄露，非法浏览等。具有代表性的恶意攻击信息战。这是一种以获得控制信息权为目标的战争。以美国为首的北约集团对南斯拉夫进行野蛮轰炸之前就先进行了一场信息战。商业间谍。利有Internet收集别国或别公司的商业情报。窃听。搭线窃听易实现，但不易被发现。流量分析。对网上信息流的观察与分析，获得信息的传输数量、方向、频率等信息。破坏完整性。对数据进行增、删、改等攻击。重发。重发报文或报文分组是取得授权的一种手段。假冒。当一个实体假扮成另一个实体时，就发生了假冒。拒绝服务。当一个被授权的合法实体不能获得网络资源的时候，或当一个紧急操作被推迟时，就发生了拒绝服务。资源的非法授权使用。干扰。由一个站点产生干扰数据扰乱其他站点所提供的服务。频繁的电子邮件信息就是一例。病毒。全世界已发现上万种计算机病毒，构成了对计算机网络的严重威胁。诽谤。利用网络信息系统的互连性和匿名性，发布诽谤信息。计算机网络信息安全所存在的缺陷数据通信中的缺陷计算机硬件资源中的缺陷计算机软件资源中的缺陷数据资源中的缺陷(1)数据通信中的缺陷非法用户通过搭线窃听，侵入网内获得信息，甚至插入、删除信息；对于无线信道，所受到的被动攻击几乎是不可避免的。计算机及其外围设备在进行数据的处理和传输时会产生电磁泄漏，即电磁辐射，从而导致了信息泄漏。在有线信道中，由于信道间寄生参数的交叉耦合，产生了串音。串音不但造成误码率增加，而且也会引起信息泄漏。采用光纤信道可避免这种情况。(2)计算机硬件资源的缺陷在我国集成电路芯片基本依赖进口，还引进了一些网络设备，如交换机、路由器、服务器、甚至防火墙等。这些芯片或设备中可能隐藏一些信息安全隐患，有些是恶意的。(3)软件漏洞陷门。所谓陷门是一个程序模块的秘密未记入文档的入口。常见的陷门实例有：逻辑炸弹遥控旁路远程维护非法通信贪婪程序操作系统的安全漏洞输入/输出非法访问访问控制的混乱不完全的中介操作系统陷门数据库的安全漏洞(4)TCP/IP协议的安全漏洞脆弱的认证机制容易被窃听或监视易受欺骗有缺陷的服务复杂的设置与控制无保密性的IP地址(5)网络软件与网络服务的漏洞Finger的漏洞匿名FTPTFTPTelnetE-mail(6)口令设置的漏洞口令是网络信息系统中最常用的安全与保密措施之一。由于用户谨慎设置与使用口令的不多，这就带来了信息安全隐患。对口令的选择有以下几种不适当之处：用“姓名+数字”作口令，或用生日作口令用单个单词或操作系统的命令作口令多个主机用同一个口令只使用小写英文字母作口令网络信息安全与保密的措施重视安全检测与评估安全检测与评估可靠性检测与评估操作系统评测保密性的检测与评估建立完善的安全体系结构OSI的安全服务OSI的安全机制确定网络信息安全系统的设计原则网络信息安全系统的设计与实现制定严格的安全管理措施强化安全标准与制定国家信息安全法密码技术密码技术密码技术通过信息的变换与编码，将机密的信息变换成黑客难以读懂的乱码型文字，以此达到两个目的：使不知解密的黑客不能从截获的的乱码中得到意义明确的信息；使黑客不能伪造乱码型信息。研究密码技术的学科称为密码学。密码学密码学的两个方向密码编码学：对信息进行编码，实现信息隐蔽；密码分析学：研究分析破译密码方法。几个概念明文：未被隐蔽的信息；密文：将明文变换成一种隐蔽形式的文件；加密：由明文到密文的变换；解密：由合法接收者从密文恢复出明文；破译：非法接收者试图从密文分析出明文的过程；加密算法：对明文进行加密时采用的一组规则；解密算法：对密文解密时采用的一组规则；密钥：加密算法和解密算法是在一组仅有合法用户知道的秘密信息下进行的，这组秘密信息称为密钥；加密密钥：加密过程中所使用的密钥；解密密钥：解密过程所使用的密钥；对称密钥：加密密钥和解密密钥为一个密钥；非对称密钥：加密密钥和解密密钥分别为两个不同级密钥；公开密钥：两个密钥中有一个密钥是公开的。密码攻击穷举法分析法穷举法又称为强力法或完全试凑法。它对收到的密文依次用各种可解的密钥试译，直至得到明文；或在不变密钥下，对所有可能的明文加密直至得到与截获的密文一样为止。只要有足够的计算时间和存储容量，原则上穷举法总是可以成功的。分析破译法包括确定性分析破译和统计分析破译两类。确定性分析法利用一个或几个已知量(如已知密文或明文-密文对)，用数学关系式表示出所求未知量(如密钥)。统计分析法是利用明文的已知统计规律进行破译的方法。密码破译者对多次截获的密文进行破译，统计与分析，总结出了其中的规律性，并与明文的统计规律进行对照比较，从中提出明文和密文之间的对应或变换信息。网络加密方式链路加密方式不但对数据报的正文加密，而且对路由信息、检验和以及所有控制信息全都加密。结点对结点加密方式为了解决在结点中数据是明文的缺点，在中间结点装有用于加密与解密的保护装置。端对端加密方式加密与解密只在源结点与目的结点上进行，由发送方加密的数据在没有到达目的结点之前不被解密。软件加密与硬件加密软件加密一般是用户在发送数据之前，先调用信息安全模块对信息进行加密，然后发送，到达接收方后，由用户解密软件进行解密，得到明文。优点：已有标准的信息安全应用程序模块产品(API)，实现方便，兼容性好。缺点：密钥的管理很复杂，目前密钥的分配协议有缺陷；软件加密是在用户计算机内进行的，容易给攻击者采用程序跟踪以及编译等手段进行攻击的机会；相对于硬件加密速度慢。硬件加密的密钥管理方便，加密速度快，不易受攻击，而且大规模集成电路的发展，为采用硬件加密提供了保障。几种著名的加密算法数据加密标准(DES:DataEncryptionStandard)IDEA密码算法(InternationalDataEncryptionAlgorithm)RSA算法数据加密标准DES由IBM公司于1975年推荐给美国国家标准局的，1977年7月被正式作为美国数据加密标准。DES采有用了对称密钥。基本思想：将比特序列的明文分成每64比特一组，用长为64比特的密钥对其进行16次迭代和换位加密，最后形成密文。算法是公开的，密钥是保密的。优点：除了密钥输入顺序之外，其加密和解密的步骤相同，使得在制作DES芯片时，容易做到标准化和通用化，因此在国际上得到广泛应用。缺点：利用穷举法可攻破。密码算法IDEA该算法的前身由来学嘉与JamesMessey完成于1990年，称为PES算法。次年，由Biham和Shamir强化了PES，得到一个新算法，称为IPES。1992年IPES更名为IDEA，即国际数据加密算法。IDEA被认为现今最好的安全分组密码算法之一。IDEA是以64比特的明文块进行分组，经过8次迭代和一次变换，得到64比特密文，密钥长128比特。此算法可用于加密和解密，是对称密钥法，算法也是公开的，密钥不公开。IDEA用了混乱和扩散等操作，算法的设计思想是，在不同的代数组中采用混合运算，其基本运算主要有异或、模加与模乘三种，容易采用软件和硬件实现。公开钥密码算法RSA1978年美国麻省理工学院三位科学家Rivest,Shamir和Adleman提出了公开密钥体制RSA。公开密钥密码体制是使用不同的加密密钥与解密密钥，是一种由已知加密密钥推导出解密密钥在计算上是不可行的密码体制。加密密钥是公开的，称为公钥，解密密钥需要保密，称为私钥，所以是一种非对称密钥法。无论是加密算法还是解密算法都是公开的。它的安全性基于数论，即寻求两个大素数比较简单，但要将两个大素数的乘积分解开则极其困难。决定安全性的关键因素是密钥长度以及攻破密文的计算量。RSA的真正价值在于它解决了数字签名及认证系统中的一些关键问题。数字签名数字签名能够实现用户对电子形式存放的信息进行认证。接收者能够核实发送者对报文的签名；发送者事后不能抵赖对报文的签名；接收者不能伪造对报文的签名。DE发送方A发送方BSKPKxDSK(x)x报文鉴别对付被动攻击的重要措施是加密，而对付主动攻击中的篡改与伪造则要用报文鉴别的方法，也可称为认证(authentication)认证系统的目的信源识别，防止假冒；检验收到信息的完整性，验证在传送过程中是否被篡改、重放或延迟。MD5报文摘要算法由Rivest提出的MD的第5个版本，于1992年公布。此算法对任意长的报文进行运算，然后得出128比特的MD代码，大致过程如下：将任意长的报文M按模264计算其余数(64比特)，追加在报文M的后面。在报文和余数之间填充，保证填充后的总长度是512的整数倍。填充比特前位是1，后面都是0。将追加和填充后的报文分割为一个个512比特的数据块，然后进行一个复杂的处理。处理中用到的散列函数H十分复杂，但MD5算法中的散列函数H中的每一个步骤都是公开的。报文摘要MD的生成HH512bit512128512128bitA,B,C,DH512512128H512512128bit填充余数128MD报文摘要MD的使用通信双方共享一个常规的密钥KMD的加密使用公开密钥密码体制中的秘密密钥，而在接收端使用公开密钥将加了密的MD解密。这样做的好处是省去了密钥分配给网络带来的负担。通信双方共享一小段秘密的数据块，发送端先将它追加在报文M前面，然后再输入到散列函数H，计算出MD，把MD追加在报文M的后面。MMDMDMDMM加密k秘密解密k公开发送H比较防火墙技术防火墙防火墙是一台用于信息安全管理与服务的计算机系统。它可以加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内网的设备工作状态不被破坏，数据不被窃取防火墙的基本功能与特性基本功能过滤进出网络的数据包。管理进出网络的访问。封堵某些禁止的访问。记录通过防火墙的信息内容和活动情况。对攻击进行检测与告警。特性所有通过内网与外网之间传输的数据必须通过防火墙。只有被授的合法数据才可能通过防火墙。防火墙本身不受各种攻击。使用了新的信息安全技术，例如现代密码技术、一次口令、智能卡等技术。人机界面良好。防火墙的发展过程基于路由器的防火墙。路由器本身包含有包过滤等基本功能。用户化的防火墙工具套。属软件实现，模块化的软件包、安全性和处理速度受限。建立在通用操作系统上的防火墙。具有安全操作系统的防火墙。防火墙操作系统具有安全内核，并对内核进行了加固处理，即去掉不必要的系统特性，强化了安全保护。对每个服务器，子系统都作了安全处理，一旦黑客攻破了一个服务器，黑客被隔离在一个服务器内，不会对网络的其他部分构成威胁。比以往的防火墙扩展了功能。其中包括了分组过滤，应用网关、电路级网关、并且有加密与鉴别功能。透明性好，易于使用。防火墙的优点与缺陷利用防火墙保护内网的主要优点简化了网络安全管理；保护了网络中脆弱的服务；防火墙可以方便地监视网络安全并产生报警；内网所有或大部分需要改动的以及附加的安全程序都