第6章 网络安全技术
【考点一】网络管
(一)网络管理概述
1.网络管理的目标网络管理的目标可能各有不同,但主要的目标有以下几条:
(1)减少停机时间,改进响应时间,提高设备利用率。
(2)减少运行费用,提高效率。
(3)减少或消除网络瓶颈。
(4)适应新技术。
(5)使用络更容易使用。
(6)安全。
2.网络管理员的职责在实现一个计算机网络的过程中,网络管理员提负的责任和要完成的任务有:规划、建设、维护、扩展、优化和故障检修。
3.网络管理模型在网络管理中,一般采用管理者一代理的管理模型,网络管理为控制、协调、监视网络资源提供手段,即在管理者与代理之间利用网络实现管理信息的交换,完成管理功能。管理者从各代理处收集管理信息,进行处理,获取有价值的管理信息,达到管理的目的。
(二)网络管理功能
1.配置管理配置管理的目标是掌握和控制网络和系统的配置信息以及网络内各设备的状态和连接关系。现代网络设备是由硬件和设备驱动程序组成的,适当配置设备参数可以更好地发挥设备的作用,获得优良的整体性能。
配置管理的内容主要包括:网络资源的配置及其活动状态的监视;网络资源之间关系的监视和控制;新资源的加入,旧资源的删除;定义新的管理对象;识别管理对象;管理各个对象之间的关系;改变管理对象的参数等。
2.故障管理故障管理的目标是自动监测网络硬件和软件中的故障并通知用户,以便网络能有效地运行。当网络出现故障时,要进行故障的确认、记录、定位,并尽可能排除这些故障。
3.性能管理性能管理的目标是衡量和呈现网络特性的各个方面,使网络的性能维持在一个可能接受的水平上。性能管理使网络管理人员能够监视网络运行的关键参数。如吞吐率、利用率、错误率、响应时间和网络的一般可用度等,此外,性能管理能够指出网络中哪些性能可以改善以及如何改善。
4.计费管理计费管理的主要作用是:网络管理者能测量和报告基于个人或团体用户的计费信息,分配资源并计算用户通过网络传输数据的费用,然后给用户开出帐单。同时,计费管理增加了网络管理者对用户使用网络资源情况的认识,这有利于创建一个更有效的网络。
网络计费的功能包括:建立和维护计费数据库,能对任意一台机器进行计费;建立和管理相应的计费策略;能够对指定地址进行限量控制,当超过使用限额时,将其封锁;并允许使用单位或个人按时间、地址等信息查询网络的使用情况。
5.安全管理安全管理的目标是按照一定的策略控制对网络资源的访问,以保证网络不被侵害,并保证重要的信息不被未授权的用户访问。
安全管理的功能包括:标识重要的网络资源(包括系统、文件和其他实体);确定重要的网络资源和用户集之间的映射关系;监视对重要网络资源的访问;记录对重要网络资源的非法访问;信息加密管理。
(三)网络管理协议网络管理协议提供了访问任何生产商生产的任何网络设备,并获得一系列标准值的一致性方式。对网络设备的查询包括:设备的名字、设备中软件的版本、设备中的接口数、设备中一个接口的每秒包数等。用于设置网络设备的参数包括、设备的名字、网络接口的地址、网络接口的运行状态、设备的运行状态等。
目前使用的标准网络管理协议包括:简单网络管理协议(SNMP)、公共管理信息服务协议(CMIS/CMIP)和局域网个人管理协议(LMMP)等。
【考点二】信息安全技术概述
(一)信息安全的基本要素信息安全包括5个基本要素:机密性、完整性、可用性、可控性与可审查性。
(1)机密性:确保信息不暴露给未授权的实体或进程。
(2)完整性:只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改。
(3)可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。
(4)可控性:可以控制授权范围内的信息流向及行为方式。
(5)可审查性:对出现的网络安全问题提供调查的依据和手段。因此,一个现代信息系统若不包含有效的信息安全技术措施,就不能认为是完整的和可信的。
(二)计算机系统的安全等级为了帮助计算机用户区分和解决计算机网络安全问题,不同的组织各自制定了一套安全评估准则。一些重要的安全评估准则有:
(1)美国国防部(DOD)和国家标准局(现更名为NIST)的可信计算机系统评估准则(TCSEC)。
(2)欧洲共同体的信息技术安全评测准则(ITSEC)。
(3)ISO/IEC国际标准。
(4)美国联邦标准。
【考点三】网络安全分析与安全策略
(一)网络安全的概念网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不会由于偶然或恶意的原因而遭到破坏、更改、泄露,系统能连续、可靠和正常地运行,网络服务不中断。
网络安全应包括以下几个方面:物理安全、人员安全、符合瞬时电磁脉冲辐射标准(TEMPEST)、信息安全、操作安全、通信安全、计算机安全和工业安全。
(二)安全威胁
1.安全攻击中断是指系统资源遭到破坏或变得不能使用。这是对可用性的攻击。
截取是指未授权的实体得到了资源的访问权。这是对保密性的攻击。未授权实体可能是一个人、一个程序或一台计算机。
修改是指未授权的实体不仅得到了访问权,而且还窜改了资源。这是对完整性的攻击。
捏造是指未授权的实体向系统中插入伪造的对象。这是对真实性的攻击。这些攻击可分为被动攻击和主动攻击两种。
假冒是一个实体假装成另一个实体。假冒攻击通常包括一种其他形式的主动攻击。
重放涉及被动捕获数据单元及其后来的重新传送,以产生未经授权的效果。
修改消息意味着改变了真实消息的部分内容,或将消息延迟或重新排序,导致未授权的操作。
拒绝服务是禁止对通信工具的正常使用或管理。
另外,从网络高层协议的角度,攻击方法可以概括地分为两大类:服务攻击与非服务攻击。
2.基本的威胁网络安全的基本目标是实现信息的机密性、完整性、可用性和合法性。4个基本的安全威胁直接反映了这4个安全目标。一般认为,目前网络存在的威胁主要表现在:
(1)信息泄露或丢失
(2)破坏数据完整性
(3)拒绝服务攻击
(4)非授权访问
3.主要的可实现的威胁这些威胁可以使基本威胁成为可能,因此十分重要。它包括两类:渗入威胁和植入威胁。
(1)主要的渗入威胁有:假冒、旁路控制、授权侵犯。
(2)主要的植入威胁有:特洛伊木马、陷门。
4.潜在的威胁
5.病毒病毒是能够通过修改其他程序而"感染"它们的一种程序,修改后的程序里面包含了病毒程序的一个副本,这样它们就能够继续感染其他程序。
通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。由于在网络环境下,计算机病毒有不可估量的威胁性和破坏力,因此,计算机病毒的防范是网络安全性建设中重要的一环。网络反病毒技术包括预防病毒、检测病毒和清除病毒三种技术。
(三)安全管理
1.安全管理原则网络信息系统的安全管理主要基于3个原则。
(1)多人负责原则
(2)任期有限原则
(3)职责分离原则
2.安全管理的实现信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制订相应的管理制度或采用相应的规范。
【考点四】加密技术
(一)密码学的基本概念密码系统通常从3个独立的方面进行分类:
(1)按将明文转换成密文的操作类型可分为:置换密码和易位密码。
(2)按明文的处理方法可分为:分组密码和序列密码。
(3)按密钥的使用个数可分为:对称密码体制和非对称密码体制。
1.置换密码和易位密码在置换密码(substation cipher)中,每个或每组字母由另一个或另一组伪装字母所替换。
2.分组密码和序列密码分组密码的加密方式是首先将明文序列以固定长度进行分组,每一组明文用相同的密钥和加密函数进行运算。一般为了减少存储量和提高运算速度,密钥的长度有限,因而加密函数的复杂性成为系统安全的关键。
分组密码设计的核心是构造既具有可逆性又有很强的非线性的算法。加密函数重复地使用替换和易位两种基本的加密变换,也就是香农在1949年发现的隐蔽信息的两种技术:打乱和扩散。
3.加密技术概述数据加密技术可以分为3类,即对称型加密、不对称型加密和不可逆加密。
4.密码分析试图发现明文或密钥的过程称为密码分析。密码分析人员使用的策略取决于加密方案的特性和分析人员可用的信息。
密码分析的过程通常包括:分析(统计所截获的消息材料)、假设、推断和证实等步骤。
(二)对称加密技术
1.对称加密的模型对称加密又称常规加密,该方案有5个组成部分。
(1)明文:作为算法输入的原始信息。
(2)加密算法:加密算法可以对明文进行多种置换和转换。
(3)共享的密钥:共享的保密密钥也是对算法的输入。算法实际进行的置换和转换由保密密钥决定。
(4)密文:作为输出的混合信息。它由明文和保密密钥决定。对于给定的信息来讲,两种不同的密钥会产生两种不同的密文。
(5)解密算法:这是加密算法的逆向算法。它以密文和同样的保密密钥作为输入,并生成原始明文。
2.对称加密的要求对称加密有两个安全要求:
(1)需要强大的加密算法。
(2)发送方和接收方必须用安全的方式来获得保密密钥的副本,必须保证密钥的安全。如果有人发现了密钥,并知道了算法,则使用此密钥的所有通信便都是可读取的。
(三)公钥加密技术
1.公钥加密体制的模型公钥密钥体制有两种基本的模型,一种是加密模型,另一种是认证模型。
2.一些常用的公钥体制
RSA公钥体制是1978年由Rivest、Shamir和Adleman提出的一个公开密钥密码体制。1985年,Elgamal构造了一种基于离散对数的公钥密码体制,这就是Elgamal公钥体制。
背包公钥体制是1978年由Merkle和Hellman提出的。
目前许多商业产品采用的公钥算法还有:DiffieHellman密钥交换、数据签名标准DSS和椭圆曲线密码术等。
(四)密钥管理
1.密钥的生存周期所谓一个密钥的生存周期是指授权使用该密钥的周期。密钥从产生到终结的整个生存期中,都需要加强保护。所有密钥的完整性也需要保护,因为一个入侵者可能修改或替代密钥,从而危及机密性服务。另外,除了公钥密码系统中的公钥外,所有的密钥都需要保密。
一个密钥的生存周期主要经历以下几个阶段:
(1)密钥的产生,也可能需要登记
(2)密钥分发
(3)启用密钥/停用密钥
(4)替换密钥或更新密钥
(5)撤销密钥
(6)销毁密钥
2.保密密钥的分发在使用对称密码时,为了保证信息交换的安全,双方必须使用样的密钥,而且此密钥还应保护起来,以防他人访问。另外,还应当经常变更密钥,以防止攻击者知道密钥,从而尽可能地降低受损的程度。因此,好的密钥分发技术有助于确保加密系统的安全强度。
密钥分发技术是指将密钥发送到数据交换的两方,而其他人无法看到的方法。
3.公钥的分发
(1)数字证书数字证书是一条数字签名的消息,它通常用于证明某个实体的公钥的有效性。数字证书是一个数据结构,具有一种公共的格式,它将某一成员的识别符和一个公钥值绑定在一起。证书数据结构由某一证书权威机构的成员进行数字签名。
(2)证书权威机构证书权威机构(Certificate Authority,CA)就是用户团体可信任的第三方,如政府部门或金融机构,它保证证书的有效性。CA负责注册证书、分发证书,并当证书包含的信息变得无效之后撤销(收回)证书。
【考点五】认证技术
(一)认证技术概述认证技术主要解决网络通信过程中通信双方的身份认可。认证过程通常涉及到加密和密钥交换。通常,加密可使用对称加密、不对称加密及两种加密方法的混合。认证方式一般有账户名/口令认证、使用摘要算法的认证和基于PKI(Public Key Infrastructure,公钥基础设施)的认证等。
(二)消息认证消息认证就是指定的接收者能够检验收到的消息是否真实的方法。消息认证又称为完整性校验,它在银行业称为消息认证,在OSI安全模型中称为封装。消息认证的内容应包括:
(1)证实消息的信源和信宿。
(2)消息内容是否曾受到偶然或有意地篡改。
(3)消息的序号和时间性。
(三)身份认证身份认证大致可分为3种:一是个人知道的某种事物,如口令、帐号等;二是个人持证(Token,也称令牌),如图章、标志、钥匙和护照等;三是个人特征,如指纹、声纹、手形、视网膜、血型、基因、笔迹和习惯性签字等。
(四)数字签名数字签名(digital signature)与手写签名类似,只不过手写签名是模拟的,因人而异,数字签名是0和1的数字串,因消息而异。数字签名应该满足以下要求:
(1)收方能够确认发方的签名,但不能伪造。
(2)发方发出签名的消息后,就不能再否认他所签发的消息。
(3)收方对已收到的签名消息不能否认,即有收报认证。
(4)第三者可以确认收发双方之间的消息传送,但不能伪造这一过程。
(五)设计认证协议时应注意的问题
1.重放和窃听攻击主动攻击是指一个入侵者为了攻击一个认证机制主动插入一个网络通道,主要包括以下几个方面:
(1)针对同一验证者的重放
(2)针对不同验证者的重放
(3)反射攻击
(4)窃听重放攻击
2.非重复值的使用为了确保能够检测出企图重放一个早期的成功的认证交换,在认证消息中使用重复值。这种值的潜在来源有:
(1)在声称者和验证者之间保持序列号
(2)时间戳
(3)预先从验证者那里发送来的随机值(例如一个询问)
3.互认证协议在通信双方对一个通信会话互相认证时,互认证通常是一个重要的需求。
4.维持认证通过周期地重新认证可以提供一些保护,但可以设计一个智能化的主动攻击以回避所有这种认证,对一个连接来讲,维持认证的惟一办法是同时使用连接完整性服务。
如果用于连接完整性服务的密钥被在线建立,那么事实证明认证和密钥交换功能组合在一个协议中是重要的。
【考点六】防火墙技术
(一)防火墙的基本概念
1.防火墙的定义防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏敝网络内部的信息、结构和运行状况,以此来实现网络的安全保护。
2.使用防火墙的益处引入防火墙的好处有以下几点:
(1)保护脆弱的服务
(2)控制对系统的访问
(3)集中的安全管理
(4)增强的保密性
(5)记录和统计网络利用数据以及非法使用数据的情况
(6)策略执行
3.防火墙的缺点防火墙也有自身的限制,这些缺陷包括:
(1)防火墙无法阻止绕过防火墙的攻击。
(2)防火墙无法阻止来自内部的威胁。
(3)防火墙无法防止病毒感染程序或文件的传输。
4.防火墙的功能下面这些功能都是防火墙能够做到的:
(1)防火墙定义了惟一的一个瓶颈,通过它就可以把未授权用户排除到受保护的网络之外,禁止脆弱的服务进入或离开网络,防止各种IP盗用和路由攻击。使用惟一的瓶颈可以简化管理,因为安全功能都集中在单个系统或一个系统群中。
(2)通过防火墙可以监视与安全有关的事情。在防火墙系统中可以采用监听和警报技术。
(3)防火墙可以为几种与安全无关的Internet服务提供方便的平台。其中包括网络地址翻译程序和网络管理功能部件,前者把本地地址映射成Internet地址,后者用来监听或记录Internet使用情况。
(4)防火墙可以作为诸如IPSec的平台。通过使用隧道模式功能,可以使用防火墙来实现虚拟专用网。
(二)防火墙的设计策略
1.防火墙实现站点安全策略的技术最初防火墙主要用来提供服务控制,但是现在已经扩展为提供如下4种服务了:服务控制、方向控制、用户控制和行为控制。
2.防火墙在大型网络系统中的部署根据网络系统的安全需要,可以在如下位置部署防火墙:
(1)在局域网内的VLAN之间控制信息流向时加入防火墙。
(2)Intranet与Internet之间连接时加入防火墙。
(3)在广域网系统中,由于安全的需要,总部的局域网可以将各分支机构的局域网看成不安全的系统,总部的局域网和各分支机构连接时,一般通过公用网ChinaPac、ChinaDDN和Frame Relay等连接,需要采用防火墙隔离,并利用某些软件提供的功能构成虚拟专网VPN。
(4)总部的局域网和分支机构的局域网是通过Internet连接的,需要各自安装防火墙,并组成虚拟专网。
(5)在远程用户拔号访问时,加入虚拟专网。
(6)利用一些防火墙软件提供的负载平衡功能,ISP可在公共访问服务器和客户端间加入防火墙进行负载分担、存取控制、用户认证、流量控制和日志纪录等功能。
(7)两网对接时,可利用硬件防火墙作为网关设备实现地址转换(NAT)、地址映射(MAP)、网络隔离(DMZ,De-Militarized Zone,非军事区,其名称来源于朝鲜战争的三八线)及存取安全控制,消除传统软件防火墙的瓶颈问题。