1、计算机网络安全,计算机学院网络与信息安全系 崔 鸿,参考资料,1信息安全原理与应用,美Charles P. Pfleeger著,李毅超等译,电子工业出版社出版,2004年 2信息系统安全导论,方勇等编著,电子工业出版社出版,2003年 3应用密码学协议、算法与C源程序,美Bruce Schneier著,吴世雄等译,机械工业出版社出版,2000年 4IPSec新一代因特网安全标准,美Naganand Doraswamy等著,京京工作室译,机械工业出版社出版,2000年 5公开密钥基础设施概念、标准和实施,美Carlisle Adams等著,冯登国等译,人民邮电出版社出版,2001年 6安全电子交
2、易,美LarryLoeb著,杨义先等译,人民邮电出版社出版,2001年 7公钥基础设施PKI与认证机构CA,关振胜编著,电子工业出版社出版,2002年,考试平时成绩15闭卷考试85期末成绩,本课程概要,常规加密的经典技术 常规加密的现代技术 数论入门 公钥加密 鉴别和散到函数 数字签名与鉴别协议 鉴别应用程序 电子邮件的安全性 IP安全性 Web的安全性 入侵者、病毒与蠕虫 防火墙,网络信息安全与保密的内涵,网络信息安全与保密是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。 网络信息安全与保密是一个涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论
3、、信息论等多种学科的边缘性综合学科。,计算机网络安全概述,“安全”意味着什么? 保护有价值的资源 计算机内有价值的资源是什么? 信息 信息的价值是什么? 机密性, 完整性, 可审查性,可用性,抗否认性,计算机网络安全概述,信息所处的环境 网络环境 信息安全的定义 1、机密性、完整性、可用性的 2、机密性, 完整性, 可审查性,可用性,抗否认性,计算机网络安全概述,计算机安全的思维方式 逆向思维,从可能有哪些攻击方法来确定需要的安全措施。 攻击 威胁 脆弱点 威胁脆弱点风险 控制 控制是一些动作、装置、程序或技术,它能消除或减少脆弱点。,网络信息安全与保密的技术特征,可靠性 可用性 保密性 完整
4、性 不可抵赖性 可控性,网络信息安全与保密的技术特征,1. 可靠性 RMTBF/(MTBF+MTTR) R:可靠性 MTBF:平均故障间隔时间 MTTR:平均故障修复时间 可靠性测度 抗毁性 生存性 有效性 可靠性主要表现 硬件可靠性 软件可靠性 人员可靠性 环境可靠性,网络信息安全与保密的技术特征,2. 可用性 可用性是网络信息系统面向用户的安全性能。 可用性测度 可用性一般用系统正常使用时间和整个工作时间之比来度量。 对可用性的其他要求 身份识别与确认 访问控制(包括自主访问控制和强制访问控制) 业务流控制(防止业务流量过度集中而引起网络阻塞) 路由选择控制(选择那些稳定可靠的子网,中继线
5、或链路等) 审计跟踪,网络信息安全与保密的技术特征,3. 保密性 网络信息不被泄露给非授权的用户、实体或过程,或供其利用 。 是在可靠性和可用性基础之上,保障网络信息安全的重要手段。 常用的保密技术 防侦收 防辐射 信息加密 物理保密,网络信息安全与保密的技术特征,4. 完整性 保持信息的原样,即信息的正确生成、正确存储和传输。 完整性与保密性的区别 保密性要求信息不被泄露给未授权的人 完整性要求信息不致受到各种原因的破坏 实现方法 协议 纠错编码方法 密码校验和方法 数字签名 公证,网络信息安全与保密的技术特征,5. 不可抵赖性 所有参与者都不可能否认或抵赖曾经完成的操作和承诺。总结:确保在
6、开放互联的计算机网络系统中的信息内容,在传输、交换和存储各个环节,处于动态和静态过程中的机密性、完整性、可用性、可审查性和不可抵赖性。,威胁,攻击模式 中断 截获 篡改 伪造 攻击分类 被动攻击(偷听或监视 ) 析出消息 通信量分析 主动攻击 伪装 重放 篡改消息 拒绝服务,威胁恶意攻击,代表性的恶意攻击 信息战 商业间谍 窃听 流量分析 破坏完整性 重发 假冒 拒绝服务 资源的非授权使用 干扰 病毒,威胁-恶意攻击,人为威胁 通过攻击系统暴露的要害或弱点,使得网络信息的保密性、完整性、可靠性、可控性、可用性等受到伤害,造成不可估量的经济和政治上损失。 无意威胁 有意威胁(恶意攻击),威胁-恶
7、意攻击,1. 获得对信息的未授权的访问(即违反秘密性)。 2 假冒其他用户或转移职责(即责任),或使用他人的许可证来实现以下目的: a 发出欺骗性信息; b 篡改合法信息; c 使用欺骗性标识来获取未授权访问; d 欺骗性授权事务或背面签名。 3 对欺诈者发出的信息抵赖职责或责任。 4 声称已经从某些其他用户收到欺诈者产生的信息(即职责或责任的欺骗性归因)。 5 声称已经发送给一个接收者(在特定的时间)尚没有发送的信息(或在不同的时间发送了该信息)。 6 对事实上已经接收到的信息进行抵赖,或宣称一个虚假的接收时间。 7 扩大欺诈者的合法许可证的范围(对访问、来源、分布等)。 8 (未经授权)篡
8、改他人的许可证(欺骗性地登记其他人的名字、限制或扩大现有许可证的范围等)。 9 在其他信息(公开的通信)中隐藏某些信息(隐蔽的通信)的存在。 10将自身插入其他用户间的通信链路,作为一个活跃的(检测不到的)中继点。 11知道谁访问哪些信息(源、文件等)以及何时进行访问,即使该信息本身保持隐蔽(例如,从通信信道到数据库、软件等的一种一般性通信量分析)。 12通过泄露信息(欺诈者利用协议的一些条款)使人们怀疑一个信息完整性协议。 13使软件功能反常,典型的是增加一个转换功能。 14通过引入不正确的信息使得其他人违反协议。 15通过在系统中引入明显的故障来破坏对协议的信任。 16妨碍其他用户间的通信
9、,特别是暗中干涉,使授权的通信被认为是未授权的而被拒绝。,威胁-恶意攻击,特性 智能性 从事恶意攻击的人员大都具有相当高的专业技术和熟练的操作技能。 严重性 涉及到金融资产的网络信息系统恶意攻击,往往会由于资金损失巨大,而使金融机构和企业蒙受重大损失,甚至使其破产。 隐蔽性 人为恶意攻击的隐蔽性很强,不易引起怀疑,作案的技术难度大。 多样性 随着计算机互连网的迅速发展,网络信息系统中的恶意攻击也随之发展变化。,脆弱点安全缺陷,普遍存在的安全缺陷 网络的规模 电磁辐射和电磁泄漏 搭线 串音 中国特色的安全缺陷 技术被动性引起的安全缺陷 人员素质问题引起的安全缺陷 缺乏系统的安全标准所引起的安全缺
10、陷,脆弱点-软件漏洞,陷门与防范陷门是一个程序模块的秘密未记入文档的人口。 逻辑炸弹 遥控旁路 远程维护 非法通信 贪婪程序,脆弱点-软件漏洞,操作系统的安全漏洞与防范 输入/输出(I/0)非法访问 访问控制的混乱 不完全的中介 操作系统陷门 数据库的安全漏洞与防范 TCP/IP协议的安全漏洞与防范 网络软件与网络服务的漏洞 Finger的漏洞 匿名FTP 远程登录 电子邮件 口令设置的漏洞,脆弱点-结构隐患,网络拓扑结构的安全缺陷 网络硬件的安全缺陷 网桥的安全隐患 路由器的安全隐患,网络安全模型,提供安全性的安全技术 对将被发送的信息进行安全性相关的变换,包括消息的加密,通过加密搅乱了该消
11、息,使对手不可读;增加基于该消息内容的代码,使之能够用于证实发送者的身份。 由两个责任者共享的某些秘密信息,希望不为对手所知。 为保证安全传输,可能需要一个可信的第三方。,网络安全模型,安全性设计的基本任务 设计一个算法来执行安全性相关的转换,该算法应当使对手不能破坏该算法的目的。 生成用于该算法的秘密信息。 研制秘密信息的分布和共享的方法。 指定由两个责任者使用的协议,该协议利用安全算法和秘密信息以取得一种特殊的安全服务。,网络信息安全与保密的层次结构,物理安全 自然灾害、物理损坏、设备故障等; 电磁辐射、乘机而入、痕迹泄露等; 操作失误、意外疏漏等。 安全控制 操作系统的安全控制 网络接口
12、模块的安全控制 网络互连设备的安全控制 安全服务 安全机制 安全连接 安全协议 安全策略,控制建立完善的安全体系结构,OSI安全服务 对等实体鉴别服务 访问控制服务 数据保密服务 连接保密 无连接保密 选择字段保密 信息流安全 数据完整性服务 可恢复的连接完整性 无恢复的连接完整性 选择字段的连接完整性 无连接完整性 选择字段无连接完整性,数据源鉴别服务 禁止否认服务 不得否认发送 不得否认接收,控制建立完善的安全体系结构,OSI安全机制 加密机制 数字签名机制 否认 伪造 冒充 篡改 访问控制机制 数据完整性机制 数据单元的完整性 发送实体 接收实体 数据单元序列的完整性 防止假冒、丢失、重
13、发、插入或修改数据。,交换鉴别机制 口令 密码技术 时间标记和同步时钟 双方或三方“握手” 数字签名和公证机构 业务流量填充机制 路由控制机制 公证机制,网络信息安全的实现,措施 先进的技术是网络安全与保密的根本保证 严格的安全管理 国家和行业部门制定严格的法律、法规 方法 重视安全检测与评估 建立完善的安全体系结构 制定严格的安全管理措施 强化安全标准,建立完善的安全体系结构,网络信息安全系统的设计和实现 安全体制 安全算法库:私钥算法库、公钥算法库、Hash函数库、密钥生成程序、随机数生成程序等安全处理算法; 安全信息库:用户口令和密钥、安全管理参数及权限、系统当前运行状态等安全信息; 用
14、户接口界面包括:安全服务操作界面和安全信息管理界面等。 网络安全连接 安全协议:安全连接协议、身份验证协议、密钥分配协议等; 网络通信接口模块根据安全协议实现安全连接。 网络安全传输 网络安全管理系统。 网络安全支撑系统。 网络安全传输系统。,建立完善的安全体系结构,网络信息安全系统的设计原则 原则1:网络信息系统安全与保密的“木桶原则”:对信息均衡、全面地进行安全保护。 原则2:网络信息安全系统的“整体性原则”:安全防护、监测和应急恢复。 原则3:信息安全系统的“有效性与实用性原则”:不能影响系统的正常运行和合法用户的操作活动。 原则4:信息安全系统的“安全性评价原则”:实用安全性与用户需求
15、和应用环境紧密相关。 原则5:信息安全系统的“等级性原则”:安全层次和安全级别。 原则6:信息安全系统的“动态化原则”:整个系统内尽可能引入更多的可变因素,并具有良好的扩展性。 原则7:设计为本原则。 原则8:自主和可控性原则。 原则9:权限分割、互相制约、最小化原则。 原则10:有的放矢、各取所需原则。,制定严格的安全管理措施,管理网络的安全管理 系统安全管理 安全服务管理 安全机制管理 安全事件处理管理 安全审计管理 安全恢复管理 保密设备与密钥的安全管理 遵循原则:对违约者拒绝执行的原则、非密设计和秘密全部寓于密钥的原则、用户满意的原则、完善协调的原则、最少特权的原则、特权分割原则、最少
16、公用设备原则、经济合理原则。 可以建立密钥的层次结构,用密钥来保护密钥。重点保证最高层次密钥的安全,并经常更换各层次的密钥。 为了提高工作效率和安全性,除最高层密钥外,其他各层密钥都可由密钥管理系统实行动态的自动维护。 密钥的管理主要涉及密钥的生成、检验、分配、保存、更换、注入和销毁等。,制定严格的安全管理措施,安全行政管理 安全组织机构 统一规划各级网络系统的安全、制定完善的安全策略和措施、协调各方面的安全事宜等。 安全人事管理 多人负责制原则 任期有限原则 职责分离原则 最小权限原则,信息系统脆弱点,硬件组件 主要表现为物理安全方面的内容 软件组件 操作系统 应用软件平台 应用业务软件,信
17、息系统脆弱点,网络和通信协议 缺乏对用户身份的鉴别 缺乏对路由协议的鉴别认证 TCP/UDP的缺陷 建立需3次握手 序列号作为标志 UDP是无连接控制协议,易受IP源路由和拒绝服务型攻击 下层安全缺陷可导致应用层出现漏洞或崩溃,信息系统的基本威胁,信息泄漏 完整性破坏 服务拒绝 未授权访问,访问控制,控制对资源的访问是安全性的中心话题 系统中所有可控制的资源均可抽象为客体(Object),可以是文件,数据库,计算机,程序,打印机,存储介质 对客体实施操作的称为主体(Subject),可以是用户,进程,文件,计算机等。 访问控制控制着主体对客体的访问。,访问控制,访问控制控制着主体对客体的访问
18、第一 标志 第二 验证 第三 授权,自主访问控制 客体的所有者控制主体对客体的访问。 强制访问控制 主体和客体都有一个固定的安全属性,匹配者才能访问。 访问控制模型 状态机模型 Bell-LaPadula模型 Biba模型,自主访问控制 访问控制列表ACL,权能表CL 强制访问控制 首先,每个主体,客体必须具有一个安全标签。再按照访问控制模型进行访问控制。,Bell-LaPadula模型,安全标签 用集合(A,C)表示。A表示权力集合,C表示类别集合。 “支配”关系 例:权力:普通,秘密,机密,绝密类别:政治,经济,科技文件D(机密;政治,科技)用户U1(绝密;政治,经济,科技)用户U2(绝密
19、;政治,经济)用户U3(普通;政治,经济,科技) 简单安全性 读访问的必要条件是主体支配客体,no read up 制约性 写访问的必要条件是客体支配主体,no write down,TCSEC,1983年美国防部发表可信计算机系统评估准则 由低到高D,C1,C2,B1,B2,B3,A1 自主安全保护C C1 鉴别 C2 鉴别,审计 强制性保护B B1 标签式安全,强制访问控制,实现Bell-LaPadula B2 结构化保护,无隐蔽通道; B3 安全域保护,安全内核,高抗渗透能力 验证设计保护A 形式化的最高级描述和验证。,GB178591999计算机信息系统安全保护等级划分准则,第一级 用户自主保护级 第二级 系统审计保护级 第三级 安全标记保护级 第四级 结构化保护级 第五级 访问验证保护级,
