计算机网络管理与安全技术
李 艇
02w123
网络安全学习内容
一,网络安全理论基础
u 安全服务及安全机制
u 网络安全体系及评估标准
u 密码学基本原理
u 网络加密与密钥管理
u 安全威胁
学习内容
二,网络安全技术
l 协议层安全
l 认证机制
l 加密技术
l 防火墙技术
l 网络防病毒技术
三, 网络安全工具
? 防火墙
? 加密软件
? 入侵检测
? 杀毒软件
? 安全审计软件
? 操作系统工具
学习内容
参考文献
1,<信息网络安全 >张红旗 著 清华大学出版社,24元
2,<网络安全从入门到精通 >.Chris Brenton(译),第
二版,电子工业出版社,45元,
3,http://www.webmaster.com.cn
4., 网络安全技术教程, 黄鑫等编著,中国电力出版
社,33元,
5,http://www1,siteview.com
6,http://www,talentit.com.cn
7,http://www.checkpoint.com.cn
第 5章 网络安全基础
1,为什么要学习网络安全
2,网络安全涉及的领域
3,安全问题的实质
4,安全问题现状
5,网络安全的概念
6,网络系统面临的威胁
7,计算机网络系统的脆弱性
8,网络安全技术的研究内容和发展过程
9,计算机网络安全的三个层次
10,网络安全的设计和基本原则
11,安全技术评价标准
5.1网络安全概述
1 为什么要学习网络安全:
? 信息共享与信息安全总是互相矛盾的 。
? 计算机犯罪的日益增多对网络的安全运行和进一
步发展提出了挑战 。
? 要保证网络的安全以及保证网络上数据的完整性
? Internet的发展使人们不再把信息安全局限于局
部范围, 而是扩展到网络互连的世界范围 。
? 安全技术得到新的发展, 内容极为丰富 。
? 通信网络的安全
? 信息的安全
? 系统平台的安全
? 数据库系统的安全
? 网络站点的安全
? 电子商务平台的安全
2 网络安全涉及的领域
系统安全,保证系统正常运行;
信息安全,保证系统数据的保密性、完整
性和可用性 ;
3 安全问题的实质
信息安全要解决的三个问题
? 保密性:
防止信息泄漏或提供给非授权实体使用,信息只能由授
权实体使用;
? 完整性:
系统的数据不被偶然或蓄意的删除、修改、伪造、乱序
、重放、插入或破坏。数据只能由授权实体修改;
? 可用性:
数据和通信服务在需要时允许授权个人或实体使用,网
络资源在需要时即可使用。
3 安全问题的实质
1,几个案例
? 1999年 3月,外电报道,昆明两家商业银行,因内外勾结进
行计算机犯罪,损失 3.7亿;
? 1999年 7月,几大部委联合发出紧急通知:重要网络必须
从物理上与 Internet断开;
? 2003/08:, Sobig”蠕虫病毒的变种 冲击波蠕虫 快速传播
,蠕虫的副本复制速度在半天内快速增加到了每小时
14000个。 8天内导致全球电脑用户损失高达 20亿美元之多
.
?
4 安全问题现状
2.全球网络安全问题
用户方面:
? 旧的安全管理体制不能满足网络发展的需要;
? 网络安全技术远远落后于网络应用;
? 在网络建设的同时,往往忽视网络安全建设。
4 安全问题现状
攻击者方面
? 攻击者层次不断提高
黑客专业化,往往掌握了深层次网络技术和协议
? 攻击点越来越多
诸多网络、通信协议缺乏有效的安全机制
? 攻击代价越来越小
一人一机、安座家中便能发起攻击;
? 攻击手段越来越先进
计算机性能大幅提升,为破译密码、口令提供了
先进手段
4 安全问题现状
3.我国网络面临的安全威胁
? 多数信息系统被国外产品垄断!
? 美国军方拒绝使用 Cisco路由器;
? 美国严禁出口 56位密钥以上的 DES(数据加密标准)加密技
术和产品到中国;
? 我国提出军队骨干交换机全部国产化;
? 我国现有信息安全专业人才只有 3000人左右 (本 2100/专 1400)
? 与 2000年相比,信息安全人才的薪资在 2003上涨了 16%,而且
这种趋势仍在继续。
?,首席信息安全官”、“首席黑客”、“首席隐私保护官”之
类的职务在 2003年出现新的工作。
4 安全问题现状
4.网络入侵者
Phreaking(飞客 )
电话网入侵者
Hacker(黑客 )
操作系统原理研究
善意入侵
Cracker(骇客 )
恶意入侵
拒绝服务
信息盗窃
4 安全问题现状
5 网络安全的概念
1.计算机网络安全的定义
? 从狭义的保护角度来看,计算机网络安
全是指计算机及其网络系统资源和信息资
源不受自然和人为有害因素的威胁和危害,
? 从广义来说,凡是涉及到计算机网络上信
息的保密性、完整性、可用性、真实性和
可控性的相关技术和理论都是计算机网络
安全的研究领域。
? 计算机网络的安全性定义:
保障网络信息的保密性、完整性、网
络服务可用性和可审查性。即要求网
络保证其信息系统资源的完整、准确
和具有一定的传播范围,并能及时提
供所有用户所选择地网络服务。
5 网络安全的概念
2.计算机网络安全的重要性
1) 成为敌对势力, 不法分子的攻击目标 。
2) 存取控制, 逻辑连接数量不断增加, 软
件规模空前膨胀, 任何隐含的缺陷, 失误
都能造成巨大损失 。
3) 计算机系统使用的场所正在转向工业,
农业, 野外, 天空, 海上, 宇宙空间, 核
辐射环境, ……, 这些环境都比机房恶劣,
出错率和故障的增多必将导致可靠性和安
全性的降低 。
4) 随着计算机系统的广泛应用, 操作人员,
编程人员和系统分析人员的失误或缺乏
经验都会造成系统的安全功能不足 。
5) 计算机网络安全问题涉及许多学科领域,
是一个非常复杂的综合问题, 随着系统
应用环境的变化而不断变化 。
6) 从认识论的高度看, 人们往往首先关注
对系统的需要, 功能, 然后才被动地从
现象注意系统应用的安全问题 。
6 网络系统面临的威胁
? 1 计算网络系统面临的威胁
? 2 安全威胁的来源
? 3 威胁的具体表现形式
返回本章首页
1计算机网络系统面临的威胁
1,对硬件实体的威胁和攻击
2,对信息的威胁和攻击
3,同时攻击软, 硬件系统
4,计算机犯罪
返回本节
2安全威胁的来源
1,天灾
2,人祸
3,系统本身的原因
返回本节
3 威胁的具体表现形式
1)伪装
2)非法连接
3)非授权访问
4)拒绝服务
5)抵赖
6)信息泄露
3 威胁的具体表现形式 ---伪装
使用 SMTP命令发送伪装邮件
3 威胁的具体表现形式 ---伪装
使用 SMTP命令发送伪装邮件
3 威胁的具体表现形式 ---伪装
使用 SMTP命令发送伪装邮件
3 威胁的具体表现形式 ---伪装
使用 SMTP命令发送伪装邮件
盘符 ----Inetpub---mailroot---Drop
3 威胁的具体表现形式 ---伪装
盘符 ----Inetpub---mailroot---Drop---outlook
7)业务流分析
8)改动信息流
9)篡改或破坏数据
10)推断或演绎信息
11)非法篡改程序
威胁的具体表现形式
网络攻击基本原理
漏洞
系统漏洞
人为因素
后门
系统后门
特洛伊木马
系统服务
不完善
社会工程
网络攻击手段
被动攻击
这类攻击一般在信息系统的外部进行,对信息网络
本身一般不造成损坏,系统仍可正常运行,但有用
的信息可能被盗窃并被用于非法目的。
主动攻击
这类攻击直接进入信息系统内部,往往会影响系统
的运行、造成巨大的损失,并给信息网络带来灾难
性的后果。
被动攻击
被动攻击一般是主动攻击的准备和前奏
信息窃取
密码破译
信息流量分析
被动攻击 --信息窃取
内外攻击者从传输信道、存储介质等处窃取信息。如无
线传输信号侦收、搭线窃听、盗窃文件等。
被动攻击 --密码破译
对截获的已加密信息进行密码破译,从中获取有价值的
信息;
A8
F W
4
Z
被动攻击 --信息流量分析
对网络中的信息流量和信息流向进行分析,然后
得出有价值的情报
主动攻击
主动攻击将对信息系统本身造成致命的打击
?入侵
?假冒
?篡 改
?插入
?重放
?阻塞
?抵赖
?病毒
返回本节
主动攻击 --入侵
通过系统或网络的漏洞、远程访问、盗取口令、
借系统管理之便等方法进入系统,非法查阅文件
资料、更改数据、拷贝数据、甚至破坏系统、使
系统瘫痪等,如系统管理员、内部操作员都较容
易进入系统进行攻击,熟悉计算机系统的“黑客
”也能轻易进入网络发起攻击。
假冒合法用户身份、执行与合法用户同样的操作;
主动攻击 --假冒
主动攻击 --篡 改
篡改数据、文件、资料;
主动攻击 --插入
在正常的数据流中插入伪造的信息或数据
主动攻击 --重放
录制合法、正常的交互信息、然后在适当的时机重放;
使用投放巨量垃圾电子邮件、无休止访问资源或数据库
等手段造成网络的阻塞,影响正常运行;
主动攻击 --阻塞
主动攻击 --抵赖
实施某种行为后进行抵赖,如否认发送过或接受过文件
主动攻击 --病毒
向系统注入病毒,病毒运行后
可能损坏文件、使系统瘫痪,
造成各种难以预料的后果。
网络攻击例子
-- IP Spoofing攻击
前提:
T和 X之间具有相互信任关系;
T和 X采用 TCP/IP协议并接入 Internet;
攻击目标:冒充 T与 X通信
Internet
T
X
第一步:网络刺探
采用某方式获取 T和 X的信息 (被动攻击 ---窃听 )
T
X
Internet
The IP address is….
第二步:阻塞 T
向 T发送大量不可达信息
Internet
T
X
Why so much
requirement?!!!
第三步:假冒 T
Internet
T
X
I am T,give me the Root
Hahaha...
I am down!
OK
第四步:设置后门
Internet
T
X
I have set Back door,
bye! I just have a dream,what happened?
7 计算机网络系统的脆弱性
? 1 操作系统安全的脆弱性
? 2 网络安全的脆弱性
? 3 数据库管理系统安全的脆弱性
? 4 防火墙的局限性
? 5 其他方面的原因
返回本章首页
1 操作系统安全的脆弱性
1)操作系统结构体制本身的缺陷。
2)在网络上传输文件,加载与安装程序。
3)有的进程可在网络的节点上进行远程的
创建和激活。
4)操作系统中一些守护进程,实际上是一
些系统进程,它们总是在等待一些条件的
出现。
使用 LophtCrack破解 Windows NT/2000密码
SAM(安全帐号管理器)
使用 LophtCrack破解 Windows NT/2000密码
Lc3--选择 Import--Import From PWDUMP File
---l.txt文件
5)操作系统都提供远程过程调用( RPC)服务,
而提供的安全验证功能却很有限。
6)操作系统安排的无口令入口,是为系统开
发人员提供的边界入口,但这些入口也可能
被黑客利用。
操作系统安全的脆弱性
7)尽管操作系统的缺陷可以通过版本的
不断升级来克服,但系统的某一个安全漏
洞就会使系统的所有安全控制毫无价值。
(备注)
返回本节
操作系统安全的脆弱性
使用 RedButton破解 Windows NT/2000密码
2 网络安全的脆弱性
? 使用 TCP/IP协议的网络所提供的 FTP,E-Mail等
都包含许多不安全的因素, 存在着许多漏洞 。
?网络的普及, 信息的共享使信息被暴露的机会大
大增多 。 特别是 Internet网络就是一个不设防的开
放大系统 。
?数据处理的可访问性和资源共享的目的性之间是
一对矛盾 。 造成了计算机系统保密性的难度 。
返回本节
3 数据库管理系统安全的脆弱性
? 大量的信息存储在各种各样的数据库中,
而这些数据库系统在安全方面的考虑却
很少 。
? 数据库管理系统安全必须与操作系统的
安全相配套 。 例如, DBMS的安全级别是
B2级, 那么操作系统的安全级别也应该
是 B2级, 但实践中往往不是这样做的 。
返回本节
4 防火墙的局限性
? 尽管利用防火墙可以保护安全网免受外部
黑客的攻击,但它只是能够 提高 网络的安
全性,不可能保证网络 绝对 安全。
? 事实上仍然存在着一些防火墙不能防范的
安全威胁,如防火墙不能防范不经过防火
墙的攻击。另外,防火墙很难防范来自于
网络内部的攻击以及病毒的威胁。
返回本节
5 其他方面的原因
1)计算机领域中重大技术进步都对安全性构成
新的威胁。
2)安全性的地位总是列在计算机网络系统总体
设计规划的最后面,勿略了网络系统的安全。
3)易受环境和灾害的影响。
4)电子技术基础薄弱,抵抗外部环境较弱。
5)剩磁效应和电磁泄漏的不可避免。
返回本节
8网络安全技术的研究内容和发展过程
1 研究内容
2 发展过程
返回本章首页
1 研究内容
( 1) 实体硬件安全
( 2) 软件系统安全
( 3) 网络安全防护
( 4) 数据信息安全
( 5) 病毒防治技术
( 6) 网络站点安全
返回本节
2 发展过程
? 50年代,计算机应用范围很小,安全问题并
不突出。
? 70年代以来,推动了密码学的应用和发展。
? 80年代规定了操作系统的安全要求。
? 进入 90年代以来,出现了防火墙和适应网络
通信的加密技术。有效地提高了网站的整
体安全防护水平。
? 近年来,随着信息高速公路的兴起,全球信息
化建设步伐不断加快,网络的安全保密研
究将会得到更进一步的发展。
返回本节
9 计算机网络安全的三个层次
1 安全立法
2 安全管理
3 安全技术措施
返回本章首页
1 安全立法
1,社会规范
2,国外的主要计算机安全立法机构
NIST-美国国家标准与技术协会
NSA-美国国家安全局
ARPA-美国国防部
ITSEC-欧洲信息安全评估标准
3,我国计算机信息系统安全法规 (p27)
4,计算机软件知识产权的保护问题
91.5计算机软件保护条例
92.4计算机软件著作权登记办法
5,技术规范 返回本节
2 安全管理
? 安全管理是安全的三个层次中的第二个层
次。
? 从人事资源管理到资产物业管理,从教育
培训、资格认证到人事考核鉴定制度,从
动态运行机制到日常工作规范、岗位责任
制度,方方面面的规章制度是一切技术措
施得以贯彻实施的重要保证。
返回本节
3 安全技术措施
? 安全技术措施是计算机网络安全的重要保
证,是方法、工具、设备、手段乃至需求、
环境的综合,也是整个系统安全的物质技
术基础。
? 贯彻落实在系统开发的各个阶段,从系统
规划、系统分析、系统设计、系统实施、
系统评价到系统的运行、维护及管理。
返回本节
10 网络安全的设计和基本原则
1 安全需求
2 网络安全设计应考虑的问题
3 网络安全系统设计的基本原则
4 网络安全设计的 关键
返回本章首页
1 安全需求
1,保密性
2,安全性
3,完整性
4,服务可用性
5,可控性
6,信息流保护
返回本节
2 网络安全设计应考虑的问题
( 1) 分析安全需求
保护哪些资源?
如何保护?
( 2) 确定安全方针
凡是没有明确表示允许的就要被禁止;
凡是没有明确表示禁止的就要被允许 。
( 3) 选择安全功能
加密, 认证, 防病毒 …
( 4) 选择安全措施
物理隔离, 口令保护
( 5) 完善安全管理
用户责任与管理员责任的定义 返回本节
3 网络安全系统设计的基本原则
1,需求, 风险, 代价平衡分析的原则
2,综合性, 整体性, 等级性原则
3,方便用户原则
4,适应性及灵活性原则
5,一致性原则
6,木桶原则
7,有效性与实用性原则
8,安全性评价原则
9,动态化原则
10,具体的设计原则
信息的操作和管理
安全恢复机制
安全监测机制
安全防护机制
信息
信息安全的整体性原则
返回本节
4 网络安全设计的 关键
( 1) 网络的安全结构模型
( 2) 形式化的表达工具
( 3) 安全控制的技术方法和产品
返回本节
11 安全技术评价标准
1,OSI安全体系结构的安全技术标准
2,美国国家计算机安全中心 ( NCSC) 的安
全技术标准
3,其他重要的安全技术标准
可信计算机系统评价准则及等级
5.2.1安全服务( security services)
安全服务是指开放某一层所提供的服务, 用以保证系统
或数据传输有足够的安全性 。
1,认证 ( Authentication)
? 认证安全服务是防止主动攻击的重要措施 。
? 认证就是识别和证实, 即识别一个实体的身份和证实该
实体身份的真实性 。
? 身份认证是授权控制的基础 。 其必须是无二义性地将对
方识别出来, 同时还应提供双向认证 。
5.2 安全服务及安全机制
5,2.1安全服务( security services)
? 对于单机状态下的身份认证一般有用户口令, 一次性
密码和生理特征等方法 。
? 网络环境下的身份认证要采用高强度的密码技术, 一般
为对称密钥加密或公开密钥加密的方法
2,访问控制 (Access Control)
? 访问控制是确定不同用户对信息资源的访问权限 。 也是
针对越权使用资源的防御措施 。
3,数据保密性 ( Data Confidentiality)
? 数据保密性的安全服务是针对信息泄漏的防御措施 。
? 使系统只对授权的用户提供信息, 对于未被授权的使用
者, 这些信息是不可获得或不可理解的 。
4,数据完整性 (Data Integrity)
是针对非法地篡改信息, 文件和业务流而
设置的防范措施, 以保证资源可获得性 。
5,不可否认性 ( Non-reputation)
? 是针对对方进行抵赖的防范措施, 可用于
证实发生过的操作 。
? 一般有发送防抵赖, 对递交防抵赖和公证 。
5.2.2安全机制( security mechanisms)
安全机制分为实现安全服务和对安全系统的管理两
种类型 。 ISO7498-2建议的安全机制有:
1,加密机制 ( Enciphermant)
? 加密机制用于加密数据或流通中的信息 。
? 可单独使用, 也可同其它机制结合使用 。
? 加密手段, 一般有软件加密和硬件加密 。
? 软件加密成本低且实用灵活, 更换方便;
? 硬件加密效率高且本身安全性高 。
2,数字签名机制 ( Digital signature mechanisms)
数字签名机制是由对信息进行签字和对已签字的
信息进行证实这样两个过程组成 。 其必须保证签
字只能由签字者的私有信息产生 。
3,访问控制机制 ( Access control mechanisms)
访问控制机制是根据实体的身份及其有关信息来
决定该实体的访问权限。一般采用访问控制信息
库、认证信息(口令等)和安全标签等技术
4.数据完整性机制 (Data integrity mechanisms)
? 发送方根据要发送的信息产生一条额外的信
息 ( 如校验码 ), 并将其加密后随信息本体
一同发出;
? 收方接收到信息本体以后, 产生相应的额外
信息, 并与接收到的额外信息进行比较, 以
判断在通信过程中信息本体是否被篡改过 。
5,认证机制 ( Authentication mechanisms)
认证机制可通过认证信息 ( 如口令, 指纹等 )
实现同级之间的认证 。
5.2.2安全机制( security mechanisms)
6,通信业务填充机制( Traffic padding mechanism)
通过填充冗余的业务流来防止攻击者进行业务流量分析,
填充过的信息要加密保护方可有效 。
7,路由控制机制 ( Routing control mechanisms)
预先安排网络中的路由或对其动态地进行选择, 以使用安
全的子网和链路 。
8,公证机制 ( Notarization mechanism)
? 公证机制是由第三方参与的签名机制 。 是基于通信双
方对第三方的绝对信任, 让公证方备有适用的数字签名,
加密或完整性机制等 。
? 公证方可以利用公证机制对实体间的通信进行实时的或
非实时的公证 。 可防止伪造签字和抵赖等 。
5.3 网络安全体系及评估标准
?一个网络由网络硬件, 网络操作系统和应用程序构成 。
要实现网络的整体安全, 还需要考虑数据的安全性用户的
安全性问题 。
?安全体系是指:网络安全, 操作系统安全, 用户安全,
应用程序, 数据安全
?1983年美国国家计算机安全中心 ( NCSC) 发布的, 桔
皮书,, 即, 可信计算机系统评估标准, TSEC( Trusted
Computer System Evaluation Criteria),规定了安全计算
机系统的基本准则和评估标准 。
5,3.1 网络安全五层体系
网络层(路由器)
数据链路层安全
操作系统层安全
应用层安全
合法用户
非法用户
源
网络层(路由器)
数据链路层安全
操作系统层安全
应用层安全
合法用户
非法用户
目的
图网络系统安全体系
5.3.1 网络安全五层体系
1,用户层安全
? 主要考虑的是使用系统中资源和数据的用户是否
是真正被授权的用户。
? 一般是对用户进行分组管理,即根据不同的安全
级别将用户分为若干等级。如 Windows网络操作
系统中的用户( user)、组 (groups)和管理员
( administrator)。
? 用户层安全包括保护合法用户安全权限及限制非
法用户的不安全进入途径。其主要涉及对用户的
识别、认证和数字签名等问题。
5.3.1 网络安全五层体系
2,应用层安全
? 应用层安全是指合法的用户对特定数据进
行合法的操作。
? 应用层安全与应用系统直接相关。
5.3.1 网络安全五层体系
3.操作系统层安全
? 操作系统的安全问题主要是用户口令的设置与保护以及
同一 LAN或 VLAN内的共享文件和数据库的访问控制权限
的设置等 。
? 无论是服务器还是客户机, 目前常用的操作系统主要是
UNIX系列和 Windows系列 。
? 由于用户的应用系统都在操作系统上运行, 大部分的安
全工具或软件也都在操作系统上运行 。 因此, 操作系统的
安全性直接影响网络安全 。
5.3.1 网络安全五层体系
? 为了安全级别的标准化,DOD技术标准将操
作系统的安全等级由低到高分成了 D,C1,C2、
B1,B2,B3,A1四类七个级别。
? 这些标准发表在一系列的书上,因为每本书
的封面颜色不同,人们通常称之为“彩虹系列”。
其中最重要的是桔皮书,它定义了上述一系列标
准。
5.3.1 网络安全五层体系
目前主要操作系统的安全等级都是 C2级, 其
特征为:
l 系统识别用户必须通过用户注册名和口令 。
l 系统可以根据用户注册名决定用户访问资源
的权限 。
l 系统可以对其发生的每一事件进行审核并记
录 。
l 可以创建其他具有系统管理权限的用户 。
5.3.1 网络安全五层体系
4,数据链路层安全
数据链路层的安全主要涉及到传输过程中的数据
加密及数据完整性问题 。 此外, 还涉及到物理地
址盗用的问题 。 解决的方法有:
l 加强内部管理人员的法律意识
l 采用防火墙技术
l 对数据和 IP地址进行加密后传输
l 使用用户认证和数据签名技术
5.3.1 网络安全五层体系
5,网络层安全
网络层安全问题的核心是网络是否能得到
控制 。 这也是 Internet网络安全中最重要
的部分 。 其涉及三个方面:
l IP协议本身的安全性
l 网络管理协议的安全性
l 交换设备的安全性
5.3.2网络安全评估标准
对于不同的生产商, 组织, 国家政府彼此具有不同的安全
措施与标准体系 。
1,欧洲信息技术安全评估标准 (ITSEC) 文献 BS 7799
其列出了网络威胁的种类以及各种可以降低攻击的危害的方
法 。 www.itsec.gov.uk。 BS 7799 档案于 1999年重写, 增加
了以下内容:
l 审计过程
l 对文件系统审计
l 评估风险
l 保持对病毒的控制
正确处理日常事务及安全保护的 IT信息
5.3.2网络安全评估标准
2,可信计算机系统评估标准 (TCSEC)
NCSC创立了 Trusted Computer Systems
Evaluation Criteria (TCSEC),Department of
Defense (DOD) Standard 5200.28 用于建立信
任级别。这一标准用于标明一个系统的安全
特性和安全防护能力。
5.3.2 网络安全评估标准
系统安全程度分为四类, 如 A1,B1,B2,B3、
C1,C2,D,D级系统的安全程度最低, 通
常为无密码保护的个人计算机系统 。 A级别
最高, 用于军队计算机 。
5.3.2 网络安全评估标准
l D级为安全保护欠缺级 。 凡经检测安全性能达不到
C1级的均划分为 D级 。
l C1级为自主安全保护级 。 实施机制充许命名用户和
用户组的身份规定并控制资源共享, 防止非授权用
户读取敏感信息 。 提供基本的访问控制 。
? C2级为受控存取保护级 。 与 C1级相比, 计算机处理
系统安全保护策略的机制实施了粒度更细的自主访
问控制 。
? 系统级的保护主要在资源, 数据, 文件和操作上 。
通过登录规程, 系统不仅要识别用户还要考虑其唯
一性 。 并通过审计安全性相关事件以及隔离资源,
使用户能对自己的行为负责 。 Windows NT属于 C2级
的系统 。
5.3.2 网络安全评估标准
? L B1级为标记安全保护级 。 除具有 C2级的所有功能外,
系统还提供更多的保护措施 。 UNIX 的 MLS及 IBM的
MVS/ESA属于 B1级系统 。
? l B2级为结构化保护级 。 支持硬件保护, 加强了鉴别
机制, 并增强了配置管理控制 。 系统具有相当的抗渗透能
力 。 Honeywell MULTICS和 XENIX属于 B2级系统 。
? l B3级为安全域级 。 提出数据隐藏和分层, 扩充审计
机制, 提供系统恢复机制 。 系统具有很高的抗渗透能力 。
Honeywell XTS-200属于 B3级系统 。
? l A1级为验证设计级 。 其安全功能与 B3相同, 同时可
以严格而准确的证明系统安全功能的正确性 。 Honeywell
SCOMP属于 A1级系统 。
5.4 密码学基本原理
5.4.1 密码学基本概念
密码学是以研究数据保密为目的,对存储或传输的信息采取秘
密的交换以防止第三者对信息的窃取。
l 明文 ( Plaintext),被变换的信息, 其可以是一段有意义的
文 字或数据 。
l 密文 ( Ciphertext),信息变换后的一串杂乱排列的数据,
从字面上无任何含义 。
l 加密 ( Encryption),从明文到密文的变换过程为加密 。
l Ek(P):以加密密钥 k为参数的函数 。
l 解密 ( Decryption),将密文 C还原为明文 P的变换过程 。
l Dk’(C):以解密密钥 k’为参数的函数 。
5.4.1密码学基本概念
加密函数 Ek()
明文 P
密文 C=E k(P)
解密函数 Dk’()
明文 P=Dk’( C)
截取, 更改消息
主动攻击
监听消息
被动攻击
加密密钥 k 解密密钥 k’
密钥信道
密码学加密解密模型
5.4.1密码学基本概念
为了信息的保密性, 抗击密码分析, 保密系统应
当满足以下要求:
l 系统在实际上为不可破的 。 即从截获的密文中确定
密钥或任意明文在计算上是不可行的 。
l 系统的保密性不依赖于对加密体制或算法的保密,
而是依赖于密钥 。
l 加密和解密算法适用于所有密钥空间中的元素 。
l 系统便于实现和使用 。
5.4.2密码体制分类
密码体制从原理上可分为单钥体制和双钥体制两大类 。
1,单钥体制
? 单钥体制的加密密钥和解密密钥相同, 所以也称
为对称密钥密码系统 。
? 系统的保密性主要取决于密钥的安全性而与算法
的安全性无关 。 需要保密的仅仅是密钥,
5.4.2密码体制分类
单钥体制对明文消息的加密有两种方式:
l 流密码:明文消息按字符逐位加密 。
l 分组密码:将明文消息分组 ( 含多个字符 ) 逐
组地进行加密 。
基于单钥密码体制的这种特性:
? 单钥加解密算法可通过低费用的芯片来实现 。
? 密钥可由发方产生后经一个安全可靠的途径送至
收方, 或由第三方产生后安全可靠地分配给通信
双方 。
? 密钥的产生, 分配, 存储和销毁等问题是影响系
统安全的关键因素 。 密钥管理问题处理不好会很
难保证系统的安全保密 。
5.4.2密码体制分类
2,双钥体制
? 双钥体制是由 Diffie和 Hellman于 1976年首先提出的 。
采用双钥体制的每个用户都有一对选定的密钥,
其中一个公开另一个保密 。 因此又称为公钥体制
或公开密钥密码系统 。
? 双钥密码体制的主要特点是将加密和解密能力分
开以便可以实现多个用户加密的消息只能由一个
用户解读, 或由一个用户加密的消息而多个用户
可以解读 。 前者可用于公共网络中实现保密通信,
而后者可用于实现对用户的认证 。
5.4.2密码体制分类
3,密码攻击概述
密码研究包含两部分内容:
? 一是加密算法的设计和研究
? 二是密码分析或密码破译技术 。
如:在密码学模型中 图 假设进行密码分析
的攻击者能够对密码通信进行攻击, 若能
够被动地监听通信信道上所有信息为被动
攻击;若能够对通信信道上传输的消息进
行截取, 修改甚至主动发送信息为主动攻
击 。
? 攻击者与报文接收方的区别在于其不知道
解密密钥, 无法轻易将密文还原为明文 。
5.4.2密码体制分类
? 在现代密码学研究中对于加密和解密算法一般
都是公开的, 对于攻击者来说只要知道解密密钥
就能够破译密文 。
? 因此密钥的设计和保护成为防止攻击的核心和重
点问题 。
? 对于密钥分析来说对密钥进行穷举猜测攻击是任
何密码系统都无法避免的, 但是当密钥长度足够
大时穷举猜测将不再现实了 。
5.4.2密码体制分类
例如, 密钥长度为 256位的加密算法, 密钥空间为
2256。
如果一台计算机每秒可以对密钥空间进行一亿次
搜索, 则全部搜索一遍的事件所需 1062年 。
(216+ 216+ 216=3* 1014 –1ms---1万年; 520 =214 )
如果密钥空间小或分布具有一定的可预见性, 则
攻击者就可能利用相关知识大大缩小搜索空间,
从而破译密文 。
加密算法只要满足以下两条准则之一就可称之为
计算上是安全的 。
l 破译密文的代价超过被加密信息的价值 。
l 破译密文所花的时间超过信息的有用期 。
习题 5 5-3/4
1 你认为网络安全与哪些因素有关?
2 请你举出若干有关网络安全产品的名称。
李 艇
02w123
网络安全学习内容
一,网络安全理论基础
u 安全服务及安全机制
u 网络安全体系及评估标准
u 密码学基本原理
u 网络加密与密钥管理
u 安全威胁
学习内容
二,网络安全技术
l 协议层安全
l 认证机制
l 加密技术
l 防火墙技术
l 网络防病毒技术
三, 网络安全工具
? 防火墙
? 加密软件
? 入侵检测
? 杀毒软件
? 安全审计软件
? 操作系统工具
学习内容
参考文献
1,<信息网络安全 >张红旗 著 清华大学出版社,24元
2,<网络安全从入门到精通 >.Chris Brenton(译),第
二版,电子工业出版社,45元,
3,http://www.webmaster.com.cn
4., 网络安全技术教程, 黄鑫等编著,中国电力出版
社,33元,
5,http://www1,siteview.com
6,http://www,talentit.com.cn
7,http://www.checkpoint.com.cn
第 5章 网络安全基础
1,为什么要学习网络安全
2,网络安全涉及的领域
3,安全问题的实质
4,安全问题现状
5,网络安全的概念
6,网络系统面临的威胁
7,计算机网络系统的脆弱性
8,网络安全技术的研究内容和发展过程
9,计算机网络安全的三个层次
10,网络安全的设计和基本原则
11,安全技术评价标准
5.1网络安全概述
1 为什么要学习网络安全:
? 信息共享与信息安全总是互相矛盾的 。
? 计算机犯罪的日益增多对网络的安全运行和进一
步发展提出了挑战 。
? 要保证网络的安全以及保证网络上数据的完整性
? Internet的发展使人们不再把信息安全局限于局
部范围, 而是扩展到网络互连的世界范围 。
? 安全技术得到新的发展, 内容极为丰富 。
? 通信网络的安全
? 信息的安全
? 系统平台的安全
? 数据库系统的安全
? 网络站点的安全
? 电子商务平台的安全
2 网络安全涉及的领域
系统安全,保证系统正常运行;
信息安全,保证系统数据的保密性、完整
性和可用性 ;
3 安全问题的实质
信息安全要解决的三个问题
? 保密性:
防止信息泄漏或提供给非授权实体使用,信息只能由授
权实体使用;
? 完整性:
系统的数据不被偶然或蓄意的删除、修改、伪造、乱序
、重放、插入或破坏。数据只能由授权实体修改;
? 可用性:
数据和通信服务在需要时允许授权个人或实体使用,网
络资源在需要时即可使用。
3 安全问题的实质
1,几个案例
? 1999年 3月,外电报道,昆明两家商业银行,因内外勾结进
行计算机犯罪,损失 3.7亿;
? 1999年 7月,几大部委联合发出紧急通知:重要网络必须
从物理上与 Internet断开;
? 2003/08:, Sobig”蠕虫病毒的变种 冲击波蠕虫 快速传播
,蠕虫的副本复制速度在半天内快速增加到了每小时
14000个。 8天内导致全球电脑用户损失高达 20亿美元之多
.
?
4 安全问题现状
2.全球网络安全问题
用户方面:
? 旧的安全管理体制不能满足网络发展的需要;
? 网络安全技术远远落后于网络应用;
? 在网络建设的同时,往往忽视网络安全建设。
4 安全问题现状
攻击者方面
? 攻击者层次不断提高
黑客专业化,往往掌握了深层次网络技术和协议
? 攻击点越来越多
诸多网络、通信协议缺乏有效的安全机制
? 攻击代价越来越小
一人一机、安座家中便能发起攻击;
? 攻击手段越来越先进
计算机性能大幅提升,为破译密码、口令提供了
先进手段
4 安全问题现状
3.我国网络面临的安全威胁
? 多数信息系统被国外产品垄断!
? 美国军方拒绝使用 Cisco路由器;
? 美国严禁出口 56位密钥以上的 DES(数据加密标准)加密技
术和产品到中国;
? 我国提出军队骨干交换机全部国产化;
? 我国现有信息安全专业人才只有 3000人左右 (本 2100/专 1400)
? 与 2000年相比,信息安全人才的薪资在 2003上涨了 16%,而且
这种趋势仍在继续。
?,首席信息安全官”、“首席黑客”、“首席隐私保护官”之
类的职务在 2003年出现新的工作。
4 安全问题现状
4.网络入侵者
Phreaking(飞客 )
电话网入侵者
Hacker(黑客 )
操作系统原理研究
善意入侵
Cracker(骇客 )
恶意入侵
拒绝服务
信息盗窃
4 安全问题现状
5 网络安全的概念
1.计算机网络安全的定义
? 从狭义的保护角度来看,计算机网络安
全是指计算机及其网络系统资源和信息资
源不受自然和人为有害因素的威胁和危害,
? 从广义来说,凡是涉及到计算机网络上信
息的保密性、完整性、可用性、真实性和
可控性的相关技术和理论都是计算机网络
安全的研究领域。
? 计算机网络的安全性定义:
保障网络信息的保密性、完整性、网
络服务可用性和可审查性。即要求网
络保证其信息系统资源的完整、准确
和具有一定的传播范围,并能及时提
供所有用户所选择地网络服务。
5 网络安全的概念
2.计算机网络安全的重要性
1) 成为敌对势力, 不法分子的攻击目标 。
2) 存取控制, 逻辑连接数量不断增加, 软
件规模空前膨胀, 任何隐含的缺陷, 失误
都能造成巨大损失 。
3) 计算机系统使用的场所正在转向工业,
农业, 野外, 天空, 海上, 宇宙空间, 核
辐射环境, ……, 这些环境都比机房恶劣,
出错率和故障的增多必将导致可靠性和安
全性的降低 。
4) 随着计算机系统的广泛应用, 操作人员,
编程人员和系统分析人员的失误或缺乏
经验都会造成系统的安全功能不足 。
5) 计算机网络安全问题涉及许多学科领域,
是一个非常复杂的综合问题, 随着系统
应用环境的变化而不断变化 。
6) 从认识论的高度看, 人们往往首先关注
对系统的需要, 功能, 然后才被动地从
现象注意系统应用的安全问题 。
6 网络系统面临的威胁
? 1 计算网络系统面临的威胁
? 2 安全威胁的来源
? 3 威胁的具体表现形式
返回本章首页
1计算机网络系统面临的威胁
1,对硬件实体的威胁和攻击
2,对信息的威胁和攻击
3,同时攻击软, 硬件系统
4,计算机犯罪
返回本节
2安全威胁的来源
1,天灾
2,人祸
3,系统本身的原因
返回本节
3 威胁的具体表现形式
1)伪装
2)非法连接
3)非授权访问
4)拒绝服务
5)抵赖
6)信息泄露
3 威胁的具体表现形式 ---伪装
使用 SMTP命令发送伪装邮件
3 威胁的具体表现形式 ---伪装
使用 SMTP命令发送伪装邮件
3 威胁的具体表现形式 ---伪装
使用 SMTP命令发送伪装邮件
3 威胁的具体表现形式 ---伪装
使用 SMTP命令发送伪装邮件
盘符 ----Inetpub---mailroot---Drop
3 威胁的具体表现形式 ---伪装
盘符 ----Inetpub---mailroot---Drop---outlook
7)业务流分析
8)改动信息流
9)篡改或破坏数据
10)推断或演绎信息
11)非法篡改程序
威胁的具体表现形式
网络攻击基本原理
漏洞
系统漏洞
人为因素
后门
系统后门
特洛伊木马
系统服务
不完善
社会工程
网络攻击手段
被动攻击
这类攻击一般在信息系统的外部进行,对信息网络
本身一般不造成损坏,系统仍可正常运行,但有用
的信息可能被盗窃并被用于非法目的。
主动攻击
这类攻击直接进入信息系统内部,往往会影响系统
的运行、造成巨大的损失,并给信息网络带来灾难
性的后果。
被动攻击
被动攻击一般是主动攻击的准备和前奏
信息窃取
密码破译
信息流量分析
被动攻击 --信息窃取
内外攻击者从传输信道、存储介质等处窃取信息。如无
线传输信号侦收、搭线窃听、盗窃文件等。
被动攻击 --密码破译
对截获的已加密信息进行密码破译,从中获取有价值的
信息;
A8
F W
4
Z
被动攻击 --信息流量分析
对网络中的信息流量和信息流向进行分析,然后
得出有价值的情报
主动攻击
主动攻击将对信息系统本身造成致命的打击
?入侵
?假冒
?篡 改
?插入
?重放
?阻塞
?抵赖
?病毒
返回本节
主动攻击 --入侵
通过系统或网络的漏洞、远程访问、盗取口令、
借系统管理之便等方法进入系统,非法查阅文件
资料、更改数据、拷贝数据、甚至破坏系统、使
系统瘫痪等,如系统管理员、内部操作员都较容
易进入系统进行攻击,熟悉计算机系统的“黑客
”也能轻易进入网络发起攻击。
假冒合法用户身份、执行与合法用户同样的操作;
主动攻击 --假冒
主动攻击 --篡 改
篡改数据、文件、资料;
主动攻击 --插入
在正常的数据流中插入伪造的信息或数据
主动攻击 --重放
录制合法、正常的交互信息、然后在适当的时机重放;
使用投放巨量垃圾电子邮件、无休止访问资源或数据库
等手段造成网络的阻塞,影响正常运行;
主动攻击 --阻塞
主动攻击 --抵赖
实施某种行为后进行抵赖,如否认发送过或接受过文件
主动攻击 --病毒
向系统注入病毒,病毒运行后
可能损坏文件、使系统瘫痪,
造成各种难以预料的后果。
网络攻击例子
-- IP Spoofing攻击
前提:
T和 X之间具有相互信任关系;
T和 X采用 TCP/IP协议并接入 Internet;
攻击目标:冒充 T与 X通信
Internet
T
X
第一步:网络刺探
采用某方式获取 T和 X的信息 (被动攻击 ---窃听 )
T
X
Internet
The IP address is….
第二步:阻塞 T
向 T发送大量不可达信息
Internet
T
X
Why so much
requirement?!!!
第三步:假冒 T
Internet
T
X
I am T,give me the Root
Hahaha...
I am down!
OK
第四步:设置后门
Internet
T
X
I have set Back door,
bye! I just have a dream,what happened?
7 计算机网络系统的脆弱性
? 1 操作系统安全的脆弱性
? 2 网络安全的脆弱性
? 3 数据库管理系统安全的脆弱性
? 4 防火墙的局限性
? 5 其他方面的原因
返回本章首页
1 操作系统安全的脆弱性
1)操作系统结构体制本身的缺陷。
2)在网络上传输文件,加载与安装程序。
3)有的进程可在网络的节点上进行远程的
创建和激活。
4)操作系统中一些守护进程,实际上是一
些系统进程,它们总是在等待一些条件的
出现。
使用 LophtCrack破解 Windows NT/2000密码
SAM(安全帐号管理器)
使用 LophtCrack破解 Windows NT/2000密码
Lc3--选择 Import--Import From PWDUMP File
---l.txt文件
5)操作系统都提供远程过程调用( RPC)服务,
而提供的安全验证功能却很有限。
6)操作系统安排的无口令入口,是为系统开
发人员提供的边界入口,但这些入口也可能
被黑客利用。
操作系统安全的脆弱性
7)尽管操作系统的缺陷可以通过版本的
不断升级来克服,但系统的某一个安全漏
洞就会使系统的所有安全控制毫无价值。
(备注)
返回本节
操作系统安全的脆弱性
使用 RedButton破解 Windows NT/2000密码
2 网络安全的脆弱性
? 使用 TCP/IP协议的网络所提供的 FTP,E-Mail等
都包含许多不安全的因素, 存在着许多漏洞 。
?网络的普及, 信息的共享使信息被暴露的机会大
大增多 。 特别是 Internet网络就是一个不设防的开
放大系统 。
?数据处理的可访问性和资源共享的目的性之间是
一对矛盾 。 造成了计算机系统保密性的难度 。
返回本节
3 数据库管理系统安全的脆弱性
? 大量的信息存储在各种各样的数据库中,
而这些数据库系统在安全方面的考虑却
很少 。
? 数据库管理系统安全必须与操作系统的
安全相配套 。 例如, DBMS的安全级别是
B2级, 那么操作系统的安全级别也应该
是 B2级, 但实践中往往不是这样做的 。
返回本节
4 防火墙的局限性
? 尽管利用防火墙可以保护安全网免受外部
黑客的攻击,但它只是能够 提高 网络的安
全性,不可能保证网络 绝对 安全。
? 事实上仍然存在着一些防火墙不能防范的
安全威胁,如防火墙不能防范不经过防火
墙的攻击。另外,防火墙很难防范来自于
网络内部的攻击以及病毒的威胁。
返回本节
5 其他方面的原因
1)计算机领域中重大技术进步都对安全性构成
新的威胁。
2)安全性的地位总是列在计算机网络系统总体
设计规划的最后面,勿略了网络系统的安全。
3)易受环境和灾害的影响。
4)电子技术基础薄弱,抵抗外部环境较弱。
5)剩磁效应和电磁泄漏的不可避免。
返回本节
8网络安全技术的研究内容和发展过程
1 研究内容
2 发展过程
返回本章首页
1 研究内容
( 1) 实体硬件安全
( 2) 软件系统安全
( 3) 网络安全防护
( 4) 数据信息安全
( 5) 病毒防治技术
( 6) 网络站点安全
返回本节
2 发展过程
? 50年代,计算机应用范围很小,安全问题并
不突出。
? 70年代以来,推动了密码学的应用和发展。
? 80年代规定了操作系统的安全要求。
? 进入 90年代以来,出现了防火墙和适应网络
通信的加密技术。有效地提高了网站的整
体安全防护水平。
? 近年来,随着信息高速公路的兴起,全球信息
化建设步伐不断加快,网络的安全保密研
究将会得到更进一步的发展。
返回本节
9 计算机网络安全的三个层次
1 安全立法
2 安全管理
3 安全技术措施
返回本章首页
1 安全立法
1,社会规范
2,国外的主要计算机安全立法机构
NIST-美国国家标准与技术协会
NSA-美国国家安全局
ARPA-美国国防部
ITSEC-欧洲信息安全评估标准
3,我国计算机信息系统安全法规 (p27)
4,计算机软件知识产权的保护问题
91.5计算机软件保护条例
92.4计算机软件著作权登记办法
5,技术规范 返回本节
2 安全管理
? 安全管理是安全的三个层次中的第二个层
次。
? 从人事资源管理到资产物业管理,从教育
培训、资格认证到人事考核鉴定制度,从
动态运行机制到日常工作规范、岗位责任
制度,方方面面的规章制度是一切技术措
施得以贯彻实施的重要保证。
返回本节
3 安全技术措施
? 安全技术措施是计算机网络安全的重要保
证,是方法、工具、设备、手段乃至需求、
环境的综合,也是整个系统安全的物质技
术基础。
? 贯彻落实在系统开发的各个阶段,从系统
规划、系统分析、系统设计、系统实施、
系统评价到系统的运行、维护及管理。
返回本节
10 网络安全的设计和基本原则
1 安全需求
2 网络安全设计应考虑的问题
3 网络安全系统设计的基本原则
4 网络安全设计的 关键
返回本章首页
1 安全需求
1,保密性
2,安全性
3,完整性
4,服务可用性
5,可控性
6,信息流保护
返回本节
2 网络安全设计应考虑的问题
( 1) 分析安全需求
保护哪些资源?
如何保护?
( 2) 确定安全方针
凡是没有明确表示允许的就要被禁止;
凡是没有明确表示禁止的就要被允许 。
( 3) 选择安全功能
加密, 认证, 防病毒 …
( 4) 选择安全措施
物理隔离, 口令保护
( 5) 完善安全管理
用户责任与管理员责任的定义 返回本节
3 网络安全系统设计的基本原则
1,需求, 风险, 代价平衡分析的原则
2,综合性, 整体性, 等级性原则
3,方便用户原则
4,适应性及灵活性原则
5,一致性原则
6,木桶原则
7,有效性与实用性原则
8,安全性评价原则
9,动态化原则
10,具体的设计原则
信息的操作和管理
安全恢复机制
安全监测机制
安全防护机制
信息
信息安全的整体性原则
返回本节
4 网络安全设计的 关键
( 1) 网络的安全结构模型
( 2) 形式化的表达工具
( 3) 安全控制的技术方法和产品
返回本节
11 安全技术评价标准
1,OSI安全体系结构的安全技术标准
2,美国国家计算机安全中心 ( NCSC) 的安
全技术标准
3,其他重要的安全技术标准
可信计算机系统评价准则及等级
5.2.1安全服务( security services)
安全服务是指开放某一层所提供的服务, 用以保证系统
或数据传输有足够的安全性 。
1,认证 ( Authentication)
? 认证安全服务是防止主动攻击的重要措施 。
? 认证就是识别和证实, 即识别一个实体的身份和证实该
实体身份的真实性 。
? 身份认证是授权控制的基础 。 其必须是无二义性地将对
方识别出来, 同时还应提供双向认证 。
5.2 安全服务及安全机制
5,2.1安全服务( security services)
? 对于单机状态下的身份认证一般有用户口令, 一次性
密码和生理特征等方法 。
? 网络环境下的身份认证要采用高强度的密码技术, 一般
为对称密钥加密或公开密钥加密的方法
2,访问控制 (Access Control)
? 访问控制是确定不同用户对信息资源的访问权限 。 也是
针对越权使用资源的防御措施 。
3,数据保密性 ( Data Confidentiality)
? 数据保密性的安全服务是针对信息泄漏的防御措施 。
? 使系统只对授权的用户提供信息, 对于未被授权的使用
者, 这些信息是不可获得或不可理解的 。
4,数据完整性 (Data Integrity)
是针对非法地篡改信息, 文件和业务流而
设置的防范措施, 以保证资源可获得性 。
5,不可否认性 ( Non-reputation)
? 是针对对方进行抵赖的防范措施, 可用于
证实发生过的操作 。
? 一般有发送防抵赖, 对递交防抵赖和公证 。
5.2.2安全机制( security mechanisms)
安全机制分为实现安全服务和对安全系统的管理两
种类型 。 ISO7498-2建议的安全机制有:
1,加密机制 ( Enciphermant)
? 加密机制用于加密数据或流通中的信息 。
? 可单独使用, 也可同其它机制结合使用 。
? 加密手段, 一般有软件加密和硬件加密 。
? 软件加密成本低且实用灵活, 更换方便;
? 硬件加密效率高且本身安全性高 。
2,数字签名机制 ( Digital signature mechanisms)
数字签名机制是由对信息进行签字和对已签字的
信息进行证实这样两个过程组成 。 其必须保证签
字只能由签字者的私有信息产生 。
3,访问控制机制 ( Access control mechanisms)
访问控制机制是根据实体的身份及其有关信息来
决定该实体的访问权限。一般采用访问控制信息
库、认证信息(口令等)和安全标签等技术
4.数据完整性机制 (Data integrity mechanisms)
? 发送方根据要发送的信息产生一条额外的信
息 ( 如校验码 ), 并将其加密后随信息本体
一同发出;
? 收方接收到信息本体以后, 产生相应的额外
信息, 并与接收到的额外信息进行比较, 以
判断在通信过程中信息本体是否被篡改过 。
5,认证机制 ( Authentication mechanisms)
认证机制可通过认证信息 ( 如口令, 指纹等 )
实现同级之间的认证 。
5.2.2安全机制( security mechanisms)
6,通信业务填充机制( Traffic padding mechanism)
通过填充冗余的业务流来防止攻击者进行业务流量分析,
填充过的信息要加密保护方可有效 。
7,路由控制机制 ( Routing control mechanisms)
预先安排网络中的路由或对其动态地进行选择, 以使用安
全的子网和链路 。
8,公证机制 ( Notarization mechanism)
? 公证机制是由第三方参与的签名机制 。 是基于通信双
方对第三方的绝对信任, 让公证方备有适用的数字签名,
加密或完整性机制等 。
? 公证方可以利用公证机制对实体间的通信进行实时的或
非实时的公证 。 可防止伪造签字和抵赖等 。
5.3 网络安全体系及评估标准
?一个网络由网络硬件, 网络操作系统和应用程序构成 。
要实现网络的整体安全, 还需要考虑数据的安全性用户的
安全性问题 。
?安全体系是指:网络安全, 操作系统安全, 用户安全,
应用程序, 数据安全
?1983年美国国家计算机安全中心 ( NCSC) 发布的, 桔
皮书,, 即, 可信计算机系统评估标准, TSEC( Trusted
Computer System Evaluation Criteria),规定了安全计算
机系统的基本准则和评估标准 。
5,3.1 网络安全五层体系
网络层(路由器)
数据链路层安全
操作系统层安全
应用层安全
合法用户
非法用户
源
网络层(路由器)
数据链路层安全
操作系统层安全
应用层安全
合法用户
非法用户
目的
图网络系统安全体系
5.3.1 网络安全五层体系
1,用户层安全
? 主要考虑的是使用系统中资源和数据的用户是否
是真正被授权的用户。
? 一般是对用户进行分组管理,即根据不同的安全
级别将用户分为若干等级。如 Windows网络操作
系统中的用户( user)、组 (groups)和管理员
( administrator)。
? 用户层安全包括保护合法用户安全权限及限制非
法用户的不安全进入途径。其主要涉及对用户的
识别、认证和数字签名等问题。
5.3.1 网络安全五层体系
2,应用层安全
? 应用层安全是指合法的用户对特定数据进
行合法的操作。
? 应用层安全与应用系统直接相关。
5.3.1 网络安全五层体系
3.操作系统层安全
? 操作系统的安全问题主要是用户口令的设置与保护以及
同一 LAN或 VLAN内的共享文件和数据库的访问控制权限
的设置等 。
? 无论是服务器还是客户机, 目前常用的操作系统主要是
UNIX系列和 Windows系列 。
? 由于用户的应用系统都在操作系统上运行, 大部分的安
全工具或软件也都在操作系统上运行 。 因此, 操作系统的
安全性直接影响网络安全 。
5.3.1 网络安全五层体系
? 为了安全级别的标准化,DOD技术标准将操
作系统的安全等级由低到高分成了 D,C1,C2、
B1,B2,B3,A1四类七个级别。
? 这些标准发表在一系列的书上,因为每本书
的封面颜色不同,人们通常称之为“彩虹系列”。
其中最重要的是桔皮书,它定义了上述一系列标
准。
5.3.1 网络安全五层体系
目前主要操作系统的安全等级都是 C2级, 其
特征为:
l 系统识别用户必须通过用户注册名和口令 。
l 系统可以根据用户注册名决定用户访问资源
的权限 。
l 系统可以对其发生的每一事件进行审核并记
录 。
l 可以创建其他具有系统管理权限的用户 。
5.3.1 网络安全五层体系
4,数据链路层安全
数据链路层的安全主要涉及到传输过程中的数据
加密及数据完整性问题 。 此外, 还涉及到物理地
址盗用的问题 。 解决的方法有:
l 加强内部管理人员的法律意识
l 采用防火墙技术
l 对数据和 IP地址进行加密后传输
l 使用用户认证和数据签名技术
5.3.1 网络安全五层体系
5,网络层安全
网络层安全问题的核心是网络是否能得到
控制 。 这也是 Internet网络安全中最重要
的部分 。 其涉及三个方面:
l IP协议本身的安全性
l 网络管理协议的安全性
l 交换设备的安全性
5.3.2网络安全评估标准
对于不同的生产商, 组织, 国家政府彼此具有不同的安全
措施与标准体系 。
1,欧洲信息技术安全评估标准 (ITSEC) 文献 BS 7799
其列出了网络威胁的种类以及各种可以降低攻击的危害的方
法 。 www.itsec.gov.uk。 BS 7799 档案于 1999年重写, 增加
了以下内容:
l 审计过程
l 对文件系统审计
l 评估风险
l 保持对病毒的控制
正确处理日常事务及安全保护的 IT信息
5.3.2网络安全评估标准
2,可信计算机系统评估标准 (TCSEC)
NCSC创立了 Trusted Computer Systems
Evaluation Criteria (TCSEC),Department of
Defense (DOD) Standard 5200.28 用于建立信
任级别。这一标准用于标明一个系统的安全
特性和安全防护能力。
5.3.2 网络安全评估标准
系统安全程度分为四类, 如 A1,B1,B2,B3、
C1,C2,D,D级系统的安全程度最低, 通
常为无密码保护的个人计算机系统 。 A级别
最高, 用于军队计算机 。
5.3.2 网络安全评估标准
l D级为安全保护欠缺级 。 凡经检测安全性能达不到
C1级的均划分为 D级 。
l C1级为自主安全保护级 。 实施机制充许命名用户和
用户组的身份规定并控制资源共享, 防止非授权用
户读取敏感信息 。 提供基本的访问控制 。
? C2级为受控存取保护级 。 与 C1级相比, 计算机处理
系统安全保护策略的机制实施了粒度更细的自主访
问控制 。
? 系统级的保护主要在资源, 数据, 文件和操作上 。
通过登录规程, 系统不仅要识别用户还要考虑其唯
一性 。 并通过审计安全性相关事件以及隔离资源,
使用户能对自己的行为负责 。 Windows NT属于 C2级
的系统 。
5.3.2 网络安全评估标准
? L B1级为标记安全保护级 。 除具有 C2级的所有功能外,
系统还提供更多的保护措施 。 UNIX 的 MLS及 IBM的
MVS/ESA属于 B1级系统 。
? l B2级为结构化保护级 。 支持硬件保护, 加强了鉴别
机制, 并增强了配置管理控制 。 系统具有相当的抗渗透能
力 。 Honeywell MULTICS和 XENIX属于 B2级系统 。
? l B3级为安全域级 。 提出数据隐藏和分层, 扩充审计
机制, 提供系统恢复机制 。 系统具有很高的抗渗透能力 。
Honeywell XTS-200属于 B3级系统 。
? l A1级为验证设计级 。 其安全功能与 B3相同, 同时可
以严格而准确的证明系统安全功能的正确性 。 Honeywell
SCOMP属于 A1级系统 。
5.4 密码学基本原理
5.4.1 密码学基本概念
密码学是以研究数据保密为目的,对存储或传输的信息采取秘
密的交换以防止第三者对信息的窃取。
l 明文 ( Plaintext),被变换的信息, 其可以是一段有意义的
文 字或数据 。
l 密文 ( Ciphertext),信息变换后的一串杂乱排列的数据,
从字面上无任何含义 。
l 加密 ( Encryption),从明文到密文的变换过程为加密 。
l Ek(P):以加密密钥 k为参数的函数 。
l 解密 ( Decryption),将密文 C还原为明文 P的变换过程 。
l Dk’(C):以解密密钥 k’为参数的函数 。
5.4.1密码学基本概念
加密函数 Ek()
明文 P
密文 C=E k(P)
解密函数 Dk’()
明文 P=Dk’( C)
截取, 更改消息
主动攻击
监听消息
被动攻击
加密密钥 k 解密密钥 k’
密钥信道
密码学加密解密模型
5.4.1密码学基本概念
为了信息的保密性, 抗击密码分析, 保密系统应
当满足以下要求:
l 系统在实际上为不可破的 。 即从截获的密文中确定
密钥或任意明文在计算上是不可行的 。
l 系统的保密性不依赖于对加密体制或算法的保密,
而是依赖于密钥 。
l 加密和解密算法适用于所有密钥空间中的元素 。
l 系统便于实现和使用 。
5.4.2密码体制分类
密码体制从原理上可分为单钥体制和双钥体制两大类 。
1,单钥体制
? 单钥体制的加密密钥和解密密钥相同, 所以也称
为对称密钥密码系统 。
? 系统的保密性主要取决于密钥的安全性而与算法
的安全性无关 。 需要保密的仅仅是密钥,
5.4.2密码体制分类
单钥体制对明文消息的加密有两种方式:
l 流密码:明文消息按字符逐位加密 。
l 分组密码:将明文消息分组 ( 含多个字符 ) 逐
组地进行加密 。
基于单钥密码体制的这种特性:
? 单钥加解密算法可通过低费用的芯片来实现 。
? 密钥可由发方产生后经一个安全可靠的途径送至
收方, 或由第三方产生后安全可靠地分配给通信
双方 。
? 密钥的产生, 分配, 存储和销毁等问题是影响系
统安全的关键因素 。 密钥管理问题处理不好会很
难保证系统的安全保密 。
5.4.2密码体制分类
2,双钥体制
? 双钥体制是由 Diffie和 Hellman于 1976年首先提出的 。
采用双钥体制的每个用户都有一对选定的密钥,
其中一个公开另一个保密 。 因此又称为公钥体制
或公开密钥密码系统 。
? 双钥密码体制的主要特点是将加密和解密能力分
开以便可以实现多个用户加密的消息只能由一个
用户解读, 或由一个用户加密的消息而多个用户
可以解读 。 前者可用于公共网络中实现保密通信,
而后者可用于实现对用户的认证 。
5.4.2密码体制分类
3,密码攻击概述
密码研究包含两部分内容:
? 一是加密算法的设计和研究
? 二是密码分析或密码破译技术 。
如:在密码学模型中 图 假设进行密码分析
的攻击者能够对密码通信进行攻击, 若能
够被动地监听通信信道上所有信息为被动
攻击;若能够对通信信道上传输的消息进
行截取, 修改甚至主动发送信息为主动攻
击 。
? 攻击者与报文接收方的区别在于其不知道
解密密钥, 无法轻易将密文还原为明文 。
5.4.2密码体制分类
? 在现代密码学研究中对于加密和解密算法一般
都是公开的, 对于攻击者来说只要知道解密密钥
就能够破译密文 。
? 因此密钥的设计和保护成为防止攻击的核心和重
点问题 。
? 对于密钥分析来说对密钥进行穷举猜测攻击是任
何密码系统都无法避免的, 但是当密钥长度足够
大时穷举猜测将不再现实了 。
5.4.2密码体制分类
例如, 密钥长度为 256位的加密算法, 密钥空间为
2256。
如果一台计算机每秒可以对密钥空间进行一亿次
搜索, 则全部搜索一遍的事件所需 1062年 。
(216+ 216+ 216=3* 1014 –1ms---1万年; 520 =214 )
如果密钥空间小或分布具有一定的可预见性, 则
攻击者就可能利用相关知识大大缩小搜索空间,
从而破译密文 。
加密算法只要满足以下两条准则之一就可称之为
计算上是安全的 。
l 破译密文的代价超过被加密信息的价值 。
l 破译密文所花的时间超过信息的有用期 。
习题 5 5-3/4
1 你认为网络安全与哪些因素有关?
2 请你举出若干有关网络安全产品的名称。
