計算機信息網絡安全基礎知識.ppt

計算機信息網絡安全基礎知識,中國科學技術大學 網絡中心 楊壽保 2001.11.28,網絡安全問題狀況,據調查世界排名前1000的公司幾乎都曾被黑客闖入 美國每年因網絡安全造成的損失高達175億美元 互連網上黑客站點數以萬計： 教唆破譯口令 發(fā)送E-mail漏洞列表 教唆成為黑客 教唆隱藏網絡痕跡,計算機信息系統(tǒng)及安全,計算機信息系統(tǒng)計算機實體、信息和人 計算機信息系統(tǒng) 廣播電視系統(tǒng) 電信系統(tǒng) 計算機信息系統(tǒng)安全 實體安全(物理安全) 運行安全 信息安全,計算機信息系統(tǒng)及安全,計算機信息網絡安全 計算機信息系統(tǒng)和信息網絡安全的演變 靜態(tài)安全和動態(tài)安全 可用性 完整性 保密性 真實性 可靠性 可控性,計算機系統(tǒng)面臨的威脅及脆弱性,計算機信息系統(tǒng)受到的威脅 外部威脅： 自然災害 黒客攻擊 病毒 垃圾郵件與黃毒 商業(yè)經濟間諜 電子商務的安全威脅 信息戰(zhàn)與計算機犯罪,計算機系統(tǒng)面臨的威脅及脆弱性,內部威脅 軟件的問題 存儲的問題 電子數據的非物質性 電磁輻射 網絡環(huán)境和協(xié)議 個人,計算機系統(tǒng)面臨的威脅及脆弱性,信息社會的脆弱性和安全問題 技術的被動性與依賴性導致的問題 國家安全問題 不同民族文化的沖突,計算機信息系統(tǒng)的保護和監(jiān)察,計算機信息系統(tǒng)的安全保護 基本概念 安全法規(guī) 安全管理 組織建設、制度建設和人員意識 安全技術 計算機信息系統(tǒng)安全保護 事前檢查事中保護、監(jiān)測、控制事后取證,計算機信息系統(tǒng)的保護和監(jiān)察,計算機信息系統(tǒng)安全保護的基本策略,信息,人,職業(yè)道德,法律規(guī)范紀律,安全物理環(huán)境,安全硬件,安全軟件,計算機信息系統(tǒng)的保護和監(jiān)察,公共信息網絡安全監(jiān)察 公共信息網絡安全監(jiān)察工作的性質 公共信息網絡安全監(jiān)察工作的一般原則 公共信息網絡安全監(jiān)察的任務,計算機信息網絡安全模型,傳統(tǒng)安全模型的局限性 絕對安全的系統(tǒng)是不存在的： 系統(tǒng)軟件包括操作系統(tǒng)的復雜性 不能完全隔離外部的服務請求 計算機網絡關鍵技術的安全問題,計算機信息網絡安全模型,網絡安全體系結構及安全模型 體系結構,防御,調查,檢測,事后分析,計算機信息網絡安全模型,信息保障的基本內容,保護,反應,恢復,檢測,信息保障,計算機信息網絡安全模型,安全模型 預警 保護 檢測 響應 恢復 反擊,計算機信息網絡安全模型,OSI層的安全模型 OSI網絡體系結構參考模型,應用層 Application Layer 7,表示層 Presentation Layer 6,會話層 Session Layer 5,傳輸層 Transportation Layer 4,網絡層 Network Layer 3,物理層 Physical Layer 1,數據鏈路層 Data link Layer 2,計算機信息網絡安全模型,網絡安全技術的實施層次 網絡安全技術的實現主要在應用層和網絡層 加、解密技術 SSH、SSL、SHTP(https:/)、SNMPv2等 Proxy IP過濾防火墻、IPSec等 基于應用的安全技術(鏈路級的),計算機信息網絡安全模型,計算機信息網絡安全策略 總的策略 你需要保護哪些資源？ 保護這些資源你需要防備哪些人？ 可能存在什么樣的威脅？ 資源的重要性如何？ 你能夠采取哪些措施？ 你是否定期檢查網絡安全策略？你的網絡目標和環(huán)境是否已經改變？ 你是否知道黑客們的最新動向？,計算機信息網絡安全模型,網絡使用和責任 允許誰使用這些資源？ 什么是對資源的正確使用？ 誰被授予有授權訪問和同意使用的權力？ 誰可能擁有系統(tǒng)管理特權？ 用戶的權利和責任是什么？ 系統(tǒng)管理員的權利和責任是什么？ 如何處理敏感信息？ 檢測和監(jiān)視系統(tǒng)運行 檢測和監(jiān)視非授權活動 反應策略,信息網絡安全防御技術綜述,Internet的特點 多個網絡的集合 開放性：以TCP/IP協(xié)議為核心和基礎，不屬于任何國家、組織或個人 信息傳輸是跳躍式的，途徑不確定 用戶不需了解網絡底層結構 可以通過PSTN撥號上網，應用日益普及 豐富的、多樣的網絡資源 網絡文化與網絡人,信息網絡安全防御技術綜述,Internet是不安全的 網絡是開放的 共享信道、廣播方式的信息傳送 各種協(xié)議的漏洞 各種系統(tǒng)的漏洞 因此，網絡發(fā)展為我們帶來歷史機遇的同時，也帶來巨大風險。,What are they doing?,計算機和網絡 安全問題的防范,信息網絡安全防御技術綜述,信息網絡安全的要求 保密性、完整性、可用性、可控性、不可否認性 信息網絡安全的服務技術與機制 加密與隱藏 網絡安全的目標 Secrecy 保密性 Authenticity 真實性 Non-repudiation 不可否認性 Integrity control 完整性 Control Possibility 可控性,信息網絡安全防御技術綜述,對信息傳輸安全的威脅 被動攻擊：竊聽 主動攻擊：攔截、假冒、篡改、丟棄 對計算機中信息安全的威脅 瀏覽、泄露、篡改、破壞、誤刪 計算機安全級別(1985) 美國國防部：可信任計算機標準評估準則(Trusted Computer Standards Evaluation Criteria) 又稱桔黃皮書(Orange Book) D1級：最低安全形式，沒有保護，沒有控制 C1級：存在某種程度的保護，用戶有注冊名和口令 C2級：除對用戶權限進一步限制外，有身份驗證與系統(tǒng) 審計能力,信息網絡安全防御技術綜述,B1級：支持多級安全(如秘密和絕密) B2級：結構保護，所有對象都貼標簽分配級別 B3級：安全域級別，安裝硬件來加強安全 A級：最高安全級別，有嚴格的設計、控制和驗證過程 加密系統(tǒng)模型,加密密鑰KE,加密算法E,解密算法D,解密密鑰KB,明文信息M,明文信息M,密文信息C,被動竊聽,主動攻擊,不安全傳輸信道,信息網絡安全防御技術綜述,私有密鑰加密系統(tǒng)(對稱密鑰系統(tǒng)) 加密密鑰和解密密鑰一樣，或可以互導 DES(Data Encryption Standard) 1977, 美國 用56位長的密鑰加密64位長的數據塊 256=72,057,584,037,927,936 約7.2億億 IDEA(International Data Encryption Algorithm) 用128位長的密鑰加密64位長的數據塊, 1991, 瑞士 特點：運算速度快，不能做數字簽名,信息網絡安全防御技術綜述,公開密鑰加密系統(tǒng)(非對稱密鑰系統(tǒng)) 加密密鑰與解密密鑰不同，不可互導，公開加密密鑰不會危及解密密鑰，可實現數字簽名。 RSA：典型的公鑰加密系統(tǒng)，1978，美國 公開：加密密鑰 e，模數 n (n=pq, p, q為素數) 秘密：解密密鑰 d，p和q 其中，ed mod (n) = 1 加密：C = Me mod n，C 為密文，M為明文 解密：M = Cd mod n = Med mod n = M 特點：安全性高，基于因數分解難度， 可實現數字簽名，運算速度低,信息網絡安全防御技術綜述,認證和身份鑒別機制 認證機制(Authentication) 認證通信雙方：網絡設備、網絡用戶 消息接收者驗證消息的合法性、真實性、完整性 消息發(fā)送者不能否認所發(fā)消息 任何人不能偽造合法消息 數字簽名(Digital Signature) 可使消息接收者能夠驗證消息的確來自合法用戶的一種加密機制 任何人不能偽造簽字人的簽名 簽字人無法否認自己的簽名 可用于身份認證和數據完整性控制,信息網絡安全防御技術綜述,身份鑒別 驗證用戶知道什么(如口令、密鑰等) 驗證用戶擁有什么(如鑰匙、徽標、IC卡等) 驗證用戶的生理特征(如指紋、聲紋等) 驗證用戶的習慣動作(如筆跡等) 審計 完整性保護 保證數據在存儲或傳輸過程中不被非法修改、破壞或丟失 主要手段是報文摘要技術(message digest, MD): 輸入不定長數據，經過雜湊函數(Hash)，通過各種變換，輸出定長的摘要。標準有MD5、SHS等,信息網絡安全防御技術綜述,訪問控制 業(yè)務填充 路由控制 公證 冗余和備份,信息網絡安全防御技術綜述,信息網絡安全技術的產生與發(fā)展 VPN虛擬專用網技術 Virtual Private Network 利用公共網絡基礎設施，構建安全、可靠、可控的屬于自己的專用網絡和安全通道。要求達到： 安全性、流量控制、可操作性與可管理性 PKI公開密鑰基礎設施 認證中心、注冊中心、證書持有者、用戶、證書庫,信息網絡安全防御技術綜述,有效的訪問控制防火墻 什么是防火墻？ 防火墻是建立在兩個網絡的邊界上的實現安全策略和網絡通信監(jiān)控的系統(tǒng)或系統(tǒng)組，強制執(zhí)行對內部網和外部網的訪問控制。通過建立一整套規(guī)則和策略來監(jiān)測、限制、更改跨越防火墻的數據流，實現保護內部網絡的目的。,信息網絡安全防御技術綜述,防火墻的功能 訪問控制 授權認證 內容安全：病毒掃描、URL掃描、HTTP過濾 加密 路由器安全管理 地址翻譯 均衡負載 日志記帳、審計報警,信息網絡安全防御技術綜述,防火墻技術及實現 基于IP包過濾的堡壘主機防火墻 IP過濾路由器 帶雙網絡接口配置的堡壘主機,信息網絡安全防御技術,代理服務器防火墻(Proxy Server) 不允許外部網與內部網的直接通信，內外計算機應用層的連接由終止于Proxy Server上的連接來實現。,信息網絡安全防御技術,應用網關(Application Gateway) 建立在網絡傳輸層上基于主機的協(xié)議過濾、轉發(fā)器，在用戶和應用協(xié)議之間提供訪問控制。 代理服務與應用層網關的特點 易于記錄和控制所有進出通信 對用戶不透明，提供的服務有限,應用程序網關,信息網絡安全防御