15、信息安全技术
1、信息安全和信息系统安全
信息安全系统的体系架构
X轴是“安全机制”,为提供某些安全服务,利用各种安全技
术和技巧,所形成的一个较为完善的机构体系。
Y轴是“OSI网络参考模型”。
Z轴是“安全服务”。就是从网络中的各个层次提供给信息应用系统所需要的安全服务支持。
由X、Y、Z三个轴形成的信息安全系统三维空间就是信息系统的“安全空间”。
随着网络逐层扩展,这个空间不仅范围逐步加大,安全的
内涵也就更丰富,达到具有认证、权限、完整、加密和不可否认五大要素,也叫作“安全空间”的五大属性。
信息安全含义及属性:
保护信息的保密性、完整性、可用性,另外也包括其他
属性,如:真实性、可核查性、不可抵赖性和可靠性。
◆保密性:信息不被泄漏给未授权的个人、实体和过程或不被其使用的特性。
包括:(1)最小授权原则(2)防暴露(3)信息加密(4)物理保密
◆完整性:信息未经授权不能改变的特性。影响完整性的主要因素有设备故障、误码、人为攻击和计算机病毒等。
保证完整性的方法包括:
(1)协议:通过安全协议检测出被删除、失效、被修改的字段。
(2)纠错编码方法:利用校验码完成检错和纠错功能。
(3)密码校验和方法。
(4)数字签名:能识别出发送方来源。
(5)公证:请求系统管理或中介机构证明信息的真实性
◆可用性:需要时,授权实体可以访问和使用的特性。一般用系统正常使用时间和整个工作时间之比来度量。
其他属性:
◆真实性:指对信息的来源进行判断,能对伪造来源的信息予以鉴别。
◆可核查性:系统实体的行为可以被独一无二的追溯到该实体的特性,这个特性就是要求该实体对其行为负责,为探测和调查安全违规事件提供了可能性。
不可抵赖性:是指建立有效的责任机制,防止用户否认其行为,这一点在电子商务中是极其重要的。
◆可靠性:系统在规定的时间和给定的条件下,无故障地完成规定功能的概率。
安全需求:
◆可划分为物理线路安全、网络安全、系统安全和应用安全;从各级安全需求字面上也可以理解:
物理线路就是物理设备、物理环境;
网络安全指网络上的攻击、入侵;
系统安全指的是操作系统漏洞、补丁等;
应用安全就是上层的应用软件,包括数据库软件。
2、信息安全技术(了解)
◆加密技术
一个密码系统,通常简称为密码体制(Cryptosystem),由五部
分组成:
(1)明文空间M,它是全体明文的集合
(2)密文空间C,它是全体密文的集合。
(3)密钥空间K,它是全体密钥的集合。其中每一个密钥K均由加密密钥Ke和解密密钥Kd 组成,即K=<Ke,Kd>.
(4)加密算法E,它是一组由M 至C的加密变换,
(5)解密算法D,它是一组由C到M 的解密变换,
◆对于明文空间M 中的每一个明文M,加密算法E在密钥Ke 的控制下将明文M 加密成密文C:C=E(M,Ke)
◆而解密算法D 在密钥Kd的控制下将密文C解密出同一明文M:M=D (C, Kd ) =D (E (M, Ke),Kd)
◆对称加密技术(会考)
数据的加密和解密的密钥(密码)是相同的,属于不公开密钥加密算法。其缺点是加密强度不高(因为密钥位数少)且密钥分发困难(因为密钥还需要传输给接收方,也要考虑保密性等问题)。优点是加密速度快,适合加密大数据
◆常见的对称密钥加密算法如下:
DES:替换+移位、56位密钥、64位数据块、速度快,密钥易产生。
3DES:三重DES,两个56位密钥K1、K2。
加密:K1加密->K2解密->K1加密。
解密:K1解密->K2加密->K1解密
AES:是美国联邦政府采用的一种区块加密标准,这个标准用来替代原先的DES.对其的要求是“至少像3DES一样安全”
RC-5:RSA数据安全公司的很多产品都使用了RC-5。
IDEA:128位密钥,64位数据块,比DES的加密性好,对计算机功能要求相对低。
◆非对称加密技术
数据的加密和解密的密钥是不同的,分为公钥和私钥。是公开密钥加密算法。
其缺点是加密速度慢。优点是安全性高,不容易破解。
◆非对称技术的原理是:发送者发送数据时,使用接收者的公钥作加密密钥,私钥作解密密钥,这样只有接收者才能解密密文得到明文。安全性更高,因为无需传输密钥。但无法保证完整性。如下:
◆常见的非对称加密算法如下:
RSA:512位(或1024位)密钥,计算机量极大,难破解
Elgamal、ECC(椭圆曲线算法)、背包算法、Rabin、D-H等。
非对称加密技术,公开的是公钥,而秘钥只有接收者、自己有、永不公开。
◆相比较可知,对称加密算法密钥一般只有56位,因此加密过程简单,适合加密大数据,也因此加密强度不高;而非对称加密算法密钥有1024位,相应的解密计算量庞大,难以破解,却不适合加密大数据,一般用来加密对称算法的密
钥,这样,就**将两个技术组合使用了,这也是数字信封的原理:**即用对称加密算法加密数据;用非对称加密算法给对称加密的秘钥 加密。
信息摘要:就是哈希函数
所谓信息摘要,就是一段数据的特征信息,当数据发生了改变,信息摘要也会发生改变,发送方会将数据和信息摘要一起传给接收方,接收方会根据接收到的数据重新生成一个信息摘要,若此摘要和接收到的摘要相同,则说明数据正
确。信息摘要是由哈希函数生成的。
◆信息摘要的特点:不算数据多长,都会产生固定长度的信息摘要;任何不同的输入数据,都会产生不同的信息摘要;单向性,即只能由数据生成信息摘要,不能由信息摘要还原数据。
◆信息摘要算法:MD5(产生128位的输出)、SHA-1(安全散列算法,产生160位的输出,安全性更高)
◆数字签名:唯一标识一个发送方。
发送者发送数据时,使用发送者的私钥进行加密,接收者收到数据后,只能使用发送者的公钥进行解密,这样就能唯一确定发送方,这也是数字签名的过程。
但无法保证机密性。如下:
自己的私钥可以唯一标识一个人。
数字签名可以保证完整性、不可抵赖性,但没有保密性(因为公钥是公开的,都可以解密。)
◆公钥基础设施PK:是以不对称密钥加密技术为基础,以数据机密性、完整性
、身份认证和行为不可抵赖性为安全目的,来实施和提供安全服务的具有普适性的安全基础设施。
(1)数字证书:一个数据结构,是一种由一个可信任的权威机构签署的信息集
合。在不同的应用中有不同的证书。如x.509证书必须包含下列信息:(1)版本
号(2)序列号 (3)签名算法标识符(4)认证机构(5)有效期限(6)主题信息(7)认证机构的数字签名(8)公钥信息
公钥证书主要用于确保公钥及其与用户绑定关系的安全。这个公钥就是证书所标识的那个主体的合法的公钥。任何一个用户只要知道签证机构的公钥,就能检查对证书的签名的合法性。如果检查正确,那么用户就可以相信那个证书所携带的公钥是真实的,而且这个公钥就是证书所标识的那个主体的合法的公钥。
例如驾照。
(2)签证机构CA:负责签发证书、管理和撤销证书。是所有注册用户所信赖的
权威机构,CA在给用户签发证书时要加上自己的数字签名,以保证证书信息的真实性。任何机构可以用CA的公钥来验证该证书的合法性。
类似于驾照:
驾照涉及三方:驾照的持有人、驾照本身、公安局(用于签发驾照)。
只有公安局办法的驾照才是合法的,只有驾照的持有人拿着的是自己的经过公安局颁发的驾照,才是合法的。(持有人拿着假驾照、持有人拿着公安局颁发的其他人的驾照都是不合法的)
驾照的 签证机构 CA 是 公安局。
工商银行 相当于 驾照持有人
数字证书 相当于 驾照,是公开的,是需要别人认证的。数字证书将(用户和公钥绑定了起来,比如工商银行拥有自己的公钥。数字证书证明了该公钥与工商银行是唯一对应的,而签证机构 CA 证明了这种对应的合法有效的)
签证机构 CA 相当于 公安局,公安(签证机构CA)可以唯一确定驾照(数字证书)是否是真的。数字证书是由签证机构颁发的。
确定了数字证书是真的,还要确定的当前数字证书和持有该证书的人(工商银行)是否是对应的、合法的。即是不是工商银行的数字证书,而数字证书是绑定了工商银行的公钥的。
而公钥证书则确保公钥及其与用户绑定关系的安全。
任何人用 签证机构 CA 的公钥 来验证 数字证书,如果成功验证,表明证书是经过 CA 签名的、颁发的。
3、网络安全技术
◆防火墙是在内部网络和外部因特网之间增加的一道安全防护措施,分为网络级防火墙和应用级防火墙。
对于计算机的防火墙来说,整个计算机就相当于一个内网;而外网就是外部的因特网。
◆网络级防火墙层次低,但是效率高,因为其使用包过滤和状态监测手段,一般只检验网络包外在(起始地址、状态)属性是否异常,若异常,则过滤掉
不与内网通信,因此对应用和用户是透明的。
◆但是这样的问题是,如果遇到伪装的危险数据包就没办法过滤,此时,就要依靠**应用级防火墙,层次高,效率低,**因为应用级防火墙会将网络包拆开,具体检查里面的数据是否有问题,会消耗大量时间,造成效率低下,但是安全强度高。
防火墙可以鉴别什么样的数据包可以进出组织内部网络。
◆入侵检测系统IDS
**防火墙技术主要是分隔来自外网的威胁,却对来自内网的直接攻击无能为力
此时就要用到入侵检测IDS技术,位于防火墙之后的第二道屏障,**作为防火墙技术的补充。
◆原理:**监控当前系统/用户行为,**使用入侵检测分析引擎进行分析,这里包含
一个知识库系统,囊括了历史行为、特定行为模式等操作,将当前行为和知识库进行匹配,就能检测出当前行为是否是入侵行为,如果是入侵,则记录证据并上报给系统和防火墙,交由它们处理。
◆不同于防火墙,**IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。**因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。因此,IDS在交换式网络中的位置一般选择在:(1)尽可能靠近攻击源(2)尽可能靠近受保护资源
以下三个没有考过,了解即可:
◆入侵防御系统IPS
IDS和防火墙技术都是在入侵行为已经发生后所做的检测和分析,而IPS是能够提前发现入侵行为,在其还没有进入安全网络之前就防御。
在安全网络之前的链路上挂载入侵防御系统IPS,可以实时检测入侵行为,并直接进行阻断,这是与IDS的区别,要注意。
◆杀毒软件
用于检测和解决计算机病毒,与防火墙和IDS要区分,计算机病毒要靠杀毒软件,防火墙是处理网络上的非法攻击。
◆蜜罐系统
**伪造一个蜜罐网络引诱黑客攻击,**蜜罐网络被攻击不影响安全网络,并且可以借此了解黑客攻击的手段和原理,,从而对安全系统进行升级和优化。
防火墙相当于一个大门,
入侵检测系统IDS相当于家里的(门内的)摄像头。这个摄像头应该放在可以监控到的重要的地方比如保险柜(靠近受保护的资源)
入侵防御系统 IPS 相当于 可以触发的机关:比如检测到危险能主动发射毒箭等。
1、网络攻击和威胁
分为被动攻击和主动攻击。
被动攻击可以理解为:我攻击了你,但是你不知道。(比如给窃听数据:给数据加了个监听摄像头,不拦截、也不修改数据,只是窃听、监听等;非法登录:比如窃取了用户名密码,偷偷登录系统获取一些资料等)
主动攻击可以理解为:是破坏性攻击,攻击后你就知道你被攻击了。比如 假冒身份:本来是 A 给 B 发消息,结果 C 假冒了B得到了 A 的消息;抵赖:比如 A 给B发消息,结果A却否认发过消息;
**重放攻击(可能会考):**拦截信息,并利用这些信息重新发送。
假如客户端给服务器发送消息,消息为用户名、密码,比如用户名、密码是加密的了,一般来说需要解密才能知道,但是第三方解惑后不用解密,因为它知道了这是用户名、密码的信息,还用这些加密后的信息伪装成客户,去登录,重发用户名、密码给服务器。此时服务器拿到加密的用户名、密码并不知道这是伪装的,因为用户名、密码都是对的。这就是重放攻击。
解决重放攻击的方法也很简单,就是在信息里加上时间戳,比如真正的发消息的时间是1点,重放攻击的发消息的时间是2点,这个时候服务器就可以验证那个时间点的消息是真实的请求、发送。
拒绝服务(DOS)(重要、可能会考):
网站都是有一个负载的,也就是访问次数。不能无限制的访问的。
因此如果是正常的用户访问,但是是大量的正常用户同时访问,首先访问本身是合法的,但访问被限制了甚至拒绝了服务,这就是拒绝服务(DOS)。
所以拒绝服务(DOS)攻击就是一瞬间或短时间同时用大量(比如上百万)的用户同时访问进行的攻击,导致服务器没有负载了,网站就崩溃了。这个时候真正的用户去访问的时候也无法访问了。
流量分析属于被动攻击。
2、计算机病毒和木马
病毒:编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,
影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
◆木马:是一种后门程序,常被黑客用作控制远程计算机的工具,隐藏在被控制电脑上的一个小程序监控电脑一切操作并盗取信息。
◆代表性病毒实例
蠕虫病毒(感染EXE文件):熊猫烧香,罗密欧与朱丽叶,恶鹰,尼姆达,冲击
波,欢乐时光。
木马:QQ消息尾巴木马,特洛伊木马,x卧底。
宏病毒(感染word、excel等文件中的宏变量):美丽沙,台湾1号。
CIH病毒:史上唯一破坏硬件的病毒。
红色代码:蠕虫病毒+木马。
4、网络安全协议
物理层主要使用物理手段,隔离、屏蔽物理设备等,其它层都是靠协议来保证传输的安全,具体如下图所示:(了解即可)
◆SSL协议:安全套接字协议,被设计为加强Web安全传输(HTTP/HTTPS/)的协议,安全性高,和HTTP结合之后,形成HTTPS安全协议,端口号为443.
◆SSH协议:安全外壳协议,被设计为加强Telnet/FTP安全的传输协议。
◆SET协议:安全电子交易协议主要应用于B2C模式(电子商务)中保障支付信
息的安全性。SET协议本身比较复杂,设计比较严格,安全性高,它能保证信息传输的机密性、真实性、完整性和不可否认性。SET协议是PKI框架下的一个典型实现,同时也在不断升级和完善,如SET2.0将支持借记卡电子交易。
◆Kerberos协议:是一种网络身份认证协议,该协议的基础是基于信任第三方,它提供了在开放型网络中进行身份认证的方法,认证实体可以是用户也可以是用户服务。这种认证不依赖宿主机的操作系统或计算机的IP地址,不需要保证网络上所有计算机的物理安全性,并且假定数据包在传输中可被随机窃取和篡改。
◆PGP协议(安全电子邮件协议):使用RSA公钥证书进行身份认证,使用IDEA(128位密钥)进行数据加密,使用MD5进行数据完整性验证。
发送方A有三个密钥:A的私钥、B的公钥、A生成的一次性对称密钥;
接收方B有两个密钥:B的私钥、A的公钥。
散列就是哈希的意思。
用自己的私钥加密就是数字签名。
数字签名一般是针对数据摘要的,因为它是非对称加密。
对原始数据的加密使用一次性秘钥加密,即对称加密。
数字信封技术,即非对称加密。
数字信封:发送方采用接收方的公钥来加密对称庙后所得的数据。
提供共安全电子偶见服务的时:PGP、S/MIME
第三方认证服务的两种体制分别是 Kerberos 和 KPI
Kerberos 认证服务中保存数字证书的服务器交 KDC
PKI 体制中保存数字证书的服务器叫 CA
网络管理员通过命令方式对路由器进行管理,要确保 ID、口令和会话的保密性,应采取的访问方式是 SSH(SSH 即 Shell)