網(wǎng)絡(luò)與信息安全 網(wǎng)絡(luò)與信息安全概述黑客攻擊與風(fēng)險分析身份認(rèn)證及Kerberos協(xié)議Ipsec安全協(xié)議SSL安全協(xié)議防火墻技術(shù)VPN技術(shù)入侵檢測技術(shù)SNMP網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)安全評估與管理可信計算信息安全法律法規(guī) 信息安全的嚴(yán)峻形勢 2006年6月13日 據(jù)微軟公布的安全報告顯示 在2005年1月至2006年3月期間 60 左右的WindowsPC機(jī)都感染過惡意代碼 據(jù)稱 美國正在進(jìn)行的CPU 陷阱 設(shè)計 可使美國通過互聯(lián)網(wǎng)發(fā)布指令讓敵方電腦的CPU停止工作 1998年 為了獲得在洛杉磯地區(qū)kiss fm電臺第102個呼入者的獎勵 保時捷跑車 KevinPoulsen控制了整個地區(qū)的電話系統(tǒng) 以確保他是第102個呼入者 最終 他如愿以償獲得跑車并為此入獄三年 2000年1月 日本政府11個省 廳受到黑客攻擊 總務(wù)廳的統(tǒng)計信息全部被刪除 外務(wù)省主頁3分鐘受攻擊1000余次 日本最高法院主頁2天內(nèi)受攻擊3000余次 日本政府成立反黑特別委員會 撥款24億日元研究入侵檢測技術(shù) 追蹤技術(shù) 病毒技術(shù)和密碼技術(shù) 2000年2月 美國近十家著名的互聯(lián)網(wǎng)站遭受黑客攻擊 在短短的幾天內(nèi) 使互聯(lián)網(wǎng)的效率降低20 據(jù)估算 攻擊造成的損失達(dá)到12億美元以上 引起股市動蕩 2001年2月8日 新浪網(wǎng)遭受大規(guī)模網(wǎng)絡(luò)攻擊 電子郵件服務(wù)器癱瘓了18個小時 造成了幾百萬的用戶無法正常使用新浪網(wǎng) 2006年9月13日 百度承認(rèn)遭受 大規(guī)模的不明身份黑客攻擊 導(dǎo)致百度搜索服務(wù)在全國各地出現(xiàn)了近30分鐘的故障 并認(rèn)為這是有人精心組織策劃的行動 并已經(jīng)向公安機(jī)關(guān)報案 熊貓病毒 是2006年中國十大病毒之首 它通過多種方式進(jìn)行傳播 并將感染的所有程序文件改成熊貓舉著三根香的模樣 同時該病毒還具有盜取用戶游戲賬號 QQ賬號等功能 熊貓燒香 是一種蠕蟲病毒的變種 而且是經(jīng)過多次變種而來的 原名為尼姆亞變種W Worm Nimaya w 外交部駁斥我軍方攻擊美國防部網(wǎng)絡(luò)傳言 外交部發(fā)言人姜瑜在北京表示 最近有關(guān)中國軍方對美國國防部實施網(wǎng)絡(luò)攻擊的指責(zé)是毫無根據(jù)的 中國政府一貫堅決反對和依法嚴(yán)厲打擊包括黑客行為在內(nèi)的任何破壞網(wǎng)絡(luò)的犯罪行為 在中美致力于發(fā)展建設(shè)性合作關(guān)系 中美兩軍關(guān)系呈現(xiàn)出良好發(fā)展勢頭的大背景下 有人對中國進(jìn)行無端指責(zé) 妄稱中國軍方對美國國防部實施網(wǎng)絡(luò)攻擊 這是毫無根據(jù)的 也是冷戰(zhàn)思維的體現(xiàn) 姜瑜在例行記者會上答記者問 我們認(rèn)為黑客是一個國際性的問題 中方也經(jīng)常遭到黑客的襲擊 中方愿與其他國家一道 采取措施共同打擊網(wǎng)絡(luò)犯罪 在這方面 我們愿意加強(qiáng)國際合作 IBM研究稱黑客攻擊速度加快 據(jù)IBM最新發(fā)表的一份報告稱 越來越多的攻擊在缺陷披露24小時內(nèi)就出現(xiàn)在了互聯(lián)網(wǎng)上 這意味著 許多用戶還沒有來得及了解相關(guān)問題前就可能已經(jīng)受到了攻擊 IBM在報告中談到了互聯(lián)網(wǎng)威脅方面兩個日益明顯的趨勢 其一 互聯(lián)網(wǎng)犯罪分子依賴軟件工具 幫助他們利用公開披露的缺陷自動發(fā)動攻擊 過去 犯罪分子自己發(fā)現(xiàn)安全缺陷需要更長的時間 IBM一名高管克里斯 蘭姆 KrisLamb 在接受采訪時說 積極地尋找軟件中缺陷的并非是犯罪分子本人 犯罪分子充分利用了安全研究社區(qū)的成果 他們所需要做的就是利用所獲得的信息發(fā)動攻擊 其二 安全研究人員就應(yīng)當(dāng)在多大程度上公開披露安全缺陷資料的爭論愈演愈烈了 大多數(shù)情況下安全研究人員會等待相關(guān)廠商發(fā)布補(bǔ)丁軟件后才會公開披露安全缺陷的詳細(xì)資料 但有時安全研究人員在公開安全缺陷詳細(xì)資料的同時也會發(fā)布所謂的 概念驗證 代碼 以證明安全缺陷確實是存在的 這就可能向犯罪分子提供他們所需要的幫助 縮短他們發(fā)動攻擊所需要的時間 根據(jù)國外一安全軟件廠商公布的一項調(diào)查結(jié)果顯示 計算機(jī)犯罪分子開始傾向于通過合法的網(wǎng)站來傳播病毒和惡意軟件 這些網(wǎng)站既包括社交網(wǎng)站 也包括人們通常使用的搜索引擎網(wǎng)站 根據(jù)Websense公司的一項調(diào)查顯示 在2008年上半年大約有75 的網(wǎng)站包含有惡意內(nèi)容 這些網(wǎng)站一般都擁有良好的信譽(yù)度 而在此之前的6個月中 感染惡意代碼的網(wǎng)站只有50 在全球100強(qiáng)網(wǎng)站中大約有60 或者頁面含有病毒 或者將用戶引導(dǎo)向惡意網(wǎng)站 Websense表示 計算機(jī)犯罪分子正在將目標(biāo)瞄向一些流行的大眾網(wǎng)站 而不是自己建立一個網(wǎng)站 因為前者具有大量的訪問用戶作為其攻擊對象 一旦用戶訪問了被感染的網(wǎng)頁 黑客們就有機(jī)會訪問他們的個人信息或者利用他們的計算機(jī)作為 僵尸 來進(jìn)行更廣范圍的攻擊 黑客們還可以在被攻擊者的計算機(jī)上安裝間諜軟件 從而跟蹤用戶的每一個操作 Websense的安全研究還發(fā)現(xiàn) 在過去6個月以來 76 5 以上的郵件都包含惡意網(wǎng)站的鏈接或垃圾郵件發(fā)送網(wǎng)站等 該數(shù)據(jù)上升了18 Websense安全實驗室通過ThreatSeeker技術(shù)來發(fā)現(xiàn) 分類并監(jiān)測全球范圍內(nèi)的互聯(lián)網(wǎng)威脅狀況和發(fā)展動態(tài) 安全研究人員利用該系統(tǒng)的互聯(lián)網(wǎng)安全智能技術(shù)來發(fā)布安全形勢 同時保障用戶的安全 該技術(shù)包含5000萬個實時數(shù)據(jù)收集系統(tǒng) 每天可對10億條內(nèi)容進(jìn)行深入分析 黑客襲擊一市商務(wù)局網(wǎng)站局長變成 三點 女郎 從荊州市荊州區(qū)法院獲悉 荊州市商務(wù)局網(wǎng)站 被黑 案一審判決 襲擊荊州市商務(wù)局網(wǎng)站 將局長照片換成 三點式 女郎 將 局長致辭 改為 慶賀女友生日 的張志東被判處有期徒刑1年半 法院審理查明 2008年12月4日 張志東下載了黑客軟件 在掃描到荊州市商務(wù)局網(wǎng)站存在漏洞后 獲取了該網(wǎng)站的管理員賬號和密碼 他登入管理員后臺 將 局長致辭 修改為 為女友祝賀生日 將 局長照片 換成一張 三點式 女郎圖片 截至案發(fā)時 這兩條信息的點擊量分別達(dá)4036次和5617次 該網(wǎng)站一時間流量大增 服務(wù)器被迫關(guān)閉 此事影響了荊州市商務(wù)局的形象 并造成了一定的損失 法院審理認(rèn)為 張志東的行為已構(gòu)成破壞計算機(jī)信息系統(tǒng)罪 但是他能夠投案自首 認(rèn)罪態(tài)度較好 且系初犯 可酌情從輕處罰 遂一審作出上述判決 威脅計算機(jī)系統(tǒng)安全的幾種形式 攻擊復(fù)雜程度與入侵技術(shù)進(jìn)步示意圖 弱點傳播及其利用變化圖 多維角度網(wǎng)絡(luò)攻擊分類 美國國防部授權(quán)美國航天司令部負(fù)責(zé)美軍計算機(jī)網(wǎng)絡(luò)攻防計劃 成立網(wǎng)絡(luò)防護(hù) 聯(lián)合特遣部隊 規(guī)劃 國防部信息對抗環(huán)境 InfoCon 監(jiān)視有組織和無組織的網(wǎng)絡(luò)安全威脅 創(chuàng)建整個國防部實施網(wǎng)絡(luò)攻防戰(zhàn)的標(biāo)準(zhǔn)模型 訓(xùn)練計算機(jī)操作人員 2002年1月15日 Bill Gates在致微軟全體員工的一封信中稱 公司未來的工作重點將從致力于產(chǎn)品的功能和特性轉(zhuǎn)移為側(cè)重解決安全問題 并進(jìn)而提出了微軟公司的新 可信計算 Trustworthycomputing 戰(zhàn)略 據(jù)美國 華盛頓觀察 周刊報道 曾經(jīng)被政府追捕的黑客們 一時間在美國成了就業(yè)場上炙手可熱的人才 美軍戰(zhàn)略司令部司令 凱文 希爾頓將軍 Gen KevinP Chilton 近日公開承認(rèn) 戰(zhàn)略司令部正在征召2000 4000名 士兵 組建一支 特種部隊 這支特種部隊不僅要承擔(dān)網(wǎng)絡(luò)防御的任務(wù) 還將對它國的電腦網(wǎng)絡(luò)和電子系統(tǒng)進(jìn)行秘密攻擊 目前 兩個不同的網(wǎng)絡(luò)戰(zhàn)中心在美軍戰(zhàn)略司令部管轄下運行 一個是全球網(wǎng)絡(luò)聯(lián)合部隊 JointTaskForce GlobalNetworkOperations 主要負(fù)責(zé)保護(hù)五角大樓在美國本土和全球范圍內(nèi)的網(wǎng)絡(luò)系統(tǒng) 應(yīng)對每天數(shù)十萬起試圖攻入美軍網(wǎng)絡(luò)的攻擊 另一個名為 網(wǎng)絡(luò)戰(zhàn)聯(lián)合功能構(gòu)成司令部 JointFunctionalComponentCommandNetworkWarfare 主要職責(zé)是對敵人發(fā)動網(wǎng)絡(luò)攻擊 例如 在戰(zhàn)時快速侵入敵方電腦網(wǎng)絡(luò)系統(tǒng) 癱瘓敵軍的指揮網(wǎng)絡(luò)和依靠電腦運行的武器系統(tǒng) 雖然美軍從未公布過網(wǎng)站部隊人數(shù) 但根據(jù)對美軍黑客項目跟蹤了13年的防務(wù)專家喬爾 哈丁 JoelHarding 的評估 目前美軍共有3000 5000名信息戰(zhàn)專家 5 7萬名士兵涉足網(wǎng)絡(luò)戰(zhàn) 如果加上原有的電子戰(zhàn)人員 美軍的網(wǎng)戰(zhàn)部隊人數(shù)應(yīng)該在88700人左右 這意味著美軍網(wǎng)戰(zhàn)部隊人數(shù)已經(jīng)相當(dāng)于七個101空降師 俄羅斯2000年6月批準(zhǔn)實施的 國家信息安全學(xué)說 把 信息戰(zhàn) 問題放在突出地位 俄羅斯為此專門成立了新的國家信息安全與信息對抗領(lǐng)導(dǎo)機(jī)構(gòu) 建立了信息戰(zhàn)特種部隊 將重點開發(fā)高性能計算技術(shù) 智能化技術(shù) 信息攻擊與防護(hù)技術(shù)等關(guān)鍵技術(shù) 日本防衛(wèi)廳計劃在2001至2005年實施的 中期防衛(wèi)力量配備計劃 中進(jìn)行電腦作戰(zhàn)研究 通過電腦作戰(zhàn)破壞敵方的指揮通訊系統(tǒng) 加強(qiáng)自衛(wèi)隊的信息防御和反擊能力 據(jù)美國防部官員稱 日本的東芝公司已有能力制造 固化病毒 這種新式的計算機(jī)武器 我國在 國民經(jīng)濟(jì)和社會發(fā)展第十一個五年規(guī)劃綱要 中明確提出要強(qiáng)化信息安全保障工作 要積極防御 綜合防范 提高信息安全保障能力 強(qiáng)化安全監(jiān)控 應(yīng)急響應(yīng) 密鑰管理 網(wǎng)絡(luò)信任等信息安全基礎(chǔ)設(shè)施建設(shè) 發(fā)展咨詢 測評 災(zāi)備等專業(yè)化信息安全服務(wù) 信息安全是信息化可持續(xù)發(fā)展的保障 網(wǎng)絡(luò)信息安全已成為急待解決 影響國家大局和長遠(yuǎn)利益的重大關(guān)鍵問題 信息安全保障能力是21世紀(jì)綜合國力 經(jīng)濟(jì)競爭實力和生存能力的重要組成部分 網(wǎng)絡(luò)信息安全問題如果解決不好將全方位地危及我國的政治 軍事 經(jīng)濟(jì) 文化 社會生活的各個方面 使國家處于信息戰(zhàn)和高度經(jīng)濟(jì)金融風(fēng)險的威脅之中 沈昌祥院士信息安全專家 3信息系統(tǒng)的安全體系 信息安全的原始意義是指計算機(jī)通信中的數(shù)據(jù) 圖像 語音等信息的保密性 完整性 可用性不受損害 信息安全的概念不斷拓寬 從廣度上 信息安全外延到計算機(jī)通信基礎(chǔ)設(shè)施的安全運行和信息內(nèi)容的健康合法 從深度上 信息安全又向信息保護(hù)與防御的方向發(fā)展 信息安全的基本需求 保密性 confidentiality 信息不被泄露給非授權(quán)的用戶 實體或過程 或供其利用的特性完整性 integrity 信息未經(jīng)授權(quán)不能進(jìn)行改變的特性可用性 availability 信息可被授權(quán)實體訪問并按需求使用的特性可控性 controllability 可以控制授權(quán)范圍內(nèi)的信息流向及行為方式不可否認(rèn)性 non repudiation 信息的行為人要對自己的信息行為負(fù)責(zé) 不能抵賴曾有過的信息行為 信息保護(hù)及防御IA InformationAssurance 保證信息與信息系統(tǒng)的可用性 完整性 真實性 機(jī)密性和不可抵賴性的保護(hù)與防御手段 它通過保護(hù) 檢測 恢復(fù) 反應(yīng)技術(shù)的采用使信息系統(tǒng)具有恢復(fù)能力 信息防護(hù)的PDRR模型 P2DR安全模型 以安全策略為核心 ISS InternetSecuritySystemsInC 提出 策略 是模型的核心 具體的實施過程中 策略意味著網(wǎng)絡(luò)安全要達(dá)到的目標(biāo) 防護(hù) 安全規(guī)章 安全配置 安全措施檢測 異常監(jiān)視 模式發(fā)現(xiàn)響應(yīng) 報告 記錄 反應(yīng) 恢復(fù) 信息安全的互動模型 網(wǎng)絡(luò)安全運行管理平臺 SOC securityoperationcenter 安全策略管理模塊作為SOC的中心 它根據(jù)組織的安全目標(biāo)制定和維護(hù)組織的各種安全策略以及配置信息 資產(chǎn)是整個SOC體系的保護(hù)對象 SOC是以安全數(shù)據(jù)庫的建立為基礎(chǔ) 安全數(shù)據(jù)庫包括資產(chǎn)庫 漏洞庫威脅庫 病毒信息庫 風(fēng)險庫等 資產(chǎn)風(fēng)險管理模塊應(yīng)基于上述安全數(shù)據(jù)庫對資產(chǎn)的脆弱性 漏洞以及資產(chǎn)面臨的威脅進(jìn)行收集和管理 網(wǎng)絡(luò)安全就像一個無計劃擴(kuò)張的城區(qū)一樣 因為各種不同的系統(tǒng)和設(shè)備以不同的方式相互溝通 如固定的局域網(wǎng) 無線和移動蜂窩網(wǎng)絡(luò) 專用廣域網(wǎng) 固定電話網(wǎng)絡(luò)和互聯(lián)網(wǎng)等不同的通訊方式 在這個星云狀的網(wǎng)絡(luò)領(lǐng)域考慮安全的唯一有效的方法是 分層次 的保護(hù) 趨勢科技?xì)W洲 中東和非洲地區(qū)安全總經(jīng)理SimonYoung稱 安全專業(yè)人員 已經(jīng)基本上接受了采取多層次的防御措施防御各種攻擊和威脅的觀點 一種產(chǎn)品或者技術(shù)不能防御一切可能的威脅 一種分層次的方法能夠讓企業(yè)建立多條防線 在最基本的層面上 網(wǎng)絡(luò)安全包括 使用熟悉的用戶名 口令相結(jié)合的方法識別用戶身份 使用卡 USB密鑰或者生物計量 如指紋和視網(wǎng)膜掃描等 等物理形式進(jìn)行身份識別 或者使用某些方法結(jié)合在一起的方式進(jìn)行身份識別 這對于訪問網(wǎng)絡(luò)中更敏感的部分是必要的 下一層是防火墻 防火墻管理識別用戶身份的服務(wù)和允許訪問的應(yīng)用程序 防火墻可以防止網(wǎng)絡(luò)邊緣的PC或者服務(wù)器上 或者安裝在路由器和交換機(jī)等物理網(wǎng)絡(luò)硬件上 除了防火墻之外 入侵防御和檢測系統(tǒng)接下來監(jiān)視網(wǎng)絡(luò)的狀況 惡意軟件或者可疑的行為 阻止違反網(wǎng)絡(luò)管理員定義的規(guī)則和政策的活動 但是 必須強(qiáng)調(diào)的是 沒有任何一種方法是絕對安全的 區(qū)別合法的和不合法的行為的難度還需要人類某種程度的干預(yù) 防火墻指的是一個由軟件和硬件設(shè)備組合而成 在內(nèi)部網(wǎng)和外部網(wǎng)之間 專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障 防火墻的優(yōu)點 1 防火墻能強(qiáng)化安全策略 2 防火墻能有效地記錄Internet上的活動 3 防火墻限制暴露用戶點 對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計 防火墻能夠用來隔開網(wǎng)絡(luò)中一個網(wǎng)段與另一個網(wǎng)段 這樣 能夠防止影響一個網(wǎng)段的問題通過整個網(wǎng)絡(luò)傳播 4 防火墻是一個安全策略的檢查站 所有進(jìn)出的信息都必須通過防火墻 防火墻便成為安全問題的檢查點 使可疑的訪問被拒絕于門外 5 還支持具有Internet服務(wù)特性的VPN VPN的英文全稱是 VirtualPrivateNetwork 翻譯過來就是 虛擬專用網(wǎng)絡(luò) 虛擬專用網(wǎng) VPN 被定義為通過一個公用網(wǎng)絡(luò) 通常是因特網(wǎng) 建立一個臨時的 安全的連接 是一條穿過混亂的公用網(wǎng)絡(luò)的安全 穩(wěn)定的隧道 它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路 就好比是架設(shè)了一條專線一樣 但是它并不需要真正的去鋪設(shè)物理線路 VPN技術(shù)原是路由器具有的重要技術(shù)之一 目前在交換機(jī) 防火墻設(shè)備或Windows2kxp等軟件里也都支持VPN功能 虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展 虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶 公司分支機(jī)構(gòu) 商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接 并保證數(shù)據(jù)的安全傳輸 虛擬專用網(wǎng)可用于實現(xiàn)安全連接 實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路 用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng) 常用的虛擬專用網(wǎng)絡(luò)協(xié)議有 IPSec IPsec 縮寫IPSecurity 是保護(hù)IP協(xié)議安全通信的標(biāo)準(zhǔn) 它主要對IP協(xié)議分組進(jìn)行加密和認(rèn)證 IPsec作為一個協(xié)議族 即一系列相互關(guān)聯(lián)的協(xié)議 由以下部分組成 1 保護(hù)分組流的協(xié)議 2 用來建立這些安全分組流的密鑰交換協(xié)議 前者又分成兩個部分 加密分組流的封裝安全載荷 ESP 及較少使用的認(rèn)證頭 AH 認(rèn)證頭提供了對分組流的認(rèn)證并保證其消息完整性 但不提供保密性 目前為止 IKE協(xié)議是唯一已經(jīng)制定的密鑰交換協(xié)議 PPTP PointtoPointTunnelingProtocol 點到點隧道協(xié)議在因特網(wǎng)上建立IP虛擬專用網(wǎng) VPN 隧道的協(xié)議 主要內(nèi)容是在因特網(wǎng)上建立多協(xié)議安全虛擬專用網(wǎng)的通信方式 L2F Layer2Forwarding 第二層轉(zhuǎn)發(fā)協(xié)議L2TP Layer2TunnelingProtocol 第二層隧道協(xié)議GRE VPN的第三層隧道協(xié)議 通用路由封裝SSLVPNMPLSVPNSocks5VPN Denning入侵檢測模型 信息安全的技術(shù)層次視點 系統(tǒng)自身的安全 系統(tǒng)安全 InformationSecurity 信息利用的安全 信息對抗 信息自身的安全 信息安全 層次結(jié)構(gòu)結(jié)構(gòu)層次 三級信息安全框架 信息內(nèi)容對抗 國家計算機(jī)與網(wǎng)絡(luò)安全管理中心主任方濱興院士提出 信息系統(tǒng)的安全體系 安全是一個過程 而不是一個產(chǎn)品 BruceSchneier網(wǎng)絡(luò)安全生命周期模型評估 設(shè)計 工程實施 開發(fā)和制造 布署 運行 管理和支持 安全過程與系統(tǒng)安全生命周期模型 網(wǎng)絡(luò)信息安全設(shè)計四步方法論 美國國家安全局制定的信息保障技術(shù)框架 IATF 信息安全的層次分析 開放系統(tǒng)互連 OSI 安全體系結(jié)構(gòu) 網(wǎng)絡(luò)體系結(jié)構(gòu)是計算機(jī)之間相互通信的層次 以及各層中的協(xié)議和層次之間接口的集合 國際標(biāo)準(zhǔn)化組織ISO在提出了開放系統(tǒng)互連 OpenSystemInterconnection OSI 模型 這是一個定義連接異種計算機(jī)的標(biāo)準(zhǔn)主體結(jié)構(gòu) OSI采用了分層的結(jié)構(gòu)化技術(shù) 每層的目的都是為上層提供某種服務(wù) OSI參考模型 OSI安全體系結(jié)構(gòu)的研究始于1982年 于1988年完成 其成果標(biāo)志是ISO發(fā)布了ISO7498 2標(biāo)準(zhǔn) 作為OSI基本參考模型的補(bǔ)充 這是基于OSI參考模型的七層協(xié)議之上的信息安全體系結(jié)構(gòu) 它定義了5類安全服務(wù) 8種特定的安全機(jī)制 5種普遍性安全機(jī)制 它確定了安全服務(wù)與安全機(jī)制的關(guān)系以及在OSI七層模型中安全服務(wù)的配置 OSI安全體系結(jié)構(gòu)的5類安全服務(wù) 1 鑒別鑒別服務(wù)提供通信中的對等實體和數(shù)據(jù)來源的鑒別2 訪問控制防止對資源的未授權(quán)使用 防止以未授權(quán)方式使用某一資源3 數(shù)據(jù)機(jī)密性這種服務(wù)對數(shù)據(jù)提供保護(hù) 使之不被非授權(quán)地泄露 4 數(shù)據(jù)完整性例如使用順序號 檢測數(shù)據(jù)重放攻擊5 抗否認(rèn)這種服務(wù)可取如下兩種形式 或兩者之一 1 有數(shù)據(jù)原發(fā)證明的抗否認(rèn) 2 有交付證明的抗否認(rèn) OSI安全體系結(jié)構(gòu)的8種安全機(jī)制 1 加密對數(shù)據(jù)進(jìn)行密碼變換以產(chǎn)生密文 加密既能為數(shù)據(jù)提供機(jī)密性 也能為通信業(yè)務(wù)流信息提供機(jī)密性 并且是其他安全機(jī)制中的一部分或?qū)Π踩珯C(jī)制起補(bǔ)充作用 一般情況 在一個層次上進(jìn)行加密 但也有可能需要在多個層上提供加密 2 數(shù)字簽名機(jī)制數(shù)字簽名是附加在數(shù)據(jù)單元上的一些數(shù)據(jù) 或是對數(shù)據(jù)單元所作的密碼變換 這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者確認(rèn)數(shù)據(jù)單元來源和數(shù)據(jù)單元的完整性 并保護(hù)數(shù)據(jù) 防止被他人偽造 3 訪問控制機(jī)制為了決定和實施一個實體的訪問權(quán) 訪問控制機(jī)制可以使用該實體已鑒別的身份 或使用有關(guān)該實體的信息 例如 訪問控制信息庫 鑒別信息 如口令 安全標(biāo)記 4 數(shù)據(jù)完整性機(jī)制數(shù)據(jù)完整性有兩個方面 單個數(shù)據(jù)單元的完整性和數(shù)據(jù)單元序列的完整性 發(fā)送實體給數(shù)據(jù)單元附加一個量 這個量為該數(shù)據(jù)的函數(shù) 保護(hù)數(shù)據(jù)單元序列的完整性 即防止亂序 數(shù)據(jù)的丟失 重放 插入或篡改 還需要某種明顯的排序形式 如順序號 時間標(biāo)記或密碼鏈 5 鑒別交換機(jī)制如果在鑒別實體時 這一機(jī)制得到否定的結(jié)果 就會導(dǎo)致連接的拒絕或終止 6 通信業(yè)務(wù)填充機(jī)制能用來提供各種不同級別的保護(hù) 對抗通信業(yè)務(wù)分析 7 路由選擇控制機(jī)制在檢測到持續(xù)的操作攻擊時 端系統(tǒng)可以提示網(wǎng)絡(luò)的提供者經(jīng)不同的路由建立連接 8 公證機(jī)制在兩個或多個實體之間通信的數(shù)據(jù) 如它的完整性 時間和目的地等能借助可信第三方的公證機(jī)制得到確保 OSI的安全服務(wù)與安全機(jī)制的關(guān)系 OSI安全管理 OSI安全管理包括系統(tǒng)安全管理 OSI環(huán)境安全 OSI安全服務(wù)的管理與安全機(jī)制的管理 安全管理信息庫 SMIB 是一個概念上的集合 存儲開放系統(tǒng)所需的與安全有關(guān)的全部信息 每個端系統(tǒng)必須包含必需的本地信息 使它能執(zhí)行某個適當(dāng)?shù)陌踩呗?SMIB是一個分布式信息庫 在實際中 SMIB的某些部分可以與MIB 管理信息庫 結(jié)合成一體 也可以分開 SMIB有多種實現(xiàn)辦法 例如 數(shù)據(jù)表 嵌入開放系統(tǒng)軟件或硬件中的數(shù)據(jù)或規(guī)則 信息安全管理內(nèi)容 內(nèi)容 信息安全政策制定 風(fēng)險評估 控制目標(biāo)與方式的選擇 制定規(guī)范的操作流程 信息安全培訓(xùn)等 涉及領(lǐng)域 安全方針策略 組織安全 資產(chǎn)分類與控制 人員安全 物理與環(huán)境安全 通信與運營安全 訪問控制 系統(tǒng)開發(fā)與維護(hù) 業(yè)務(wù)連續(xù)性 法律符合性等 Internet安全體系結(jié)構(gòu) Internet不同層的網(wǎng)絡(luò)安全技術(shù)5 1網(wǎng)絡(luò)層安全5 2傳輸層安全5 3應(yīng)用層安全 基于TCP IP協(xié)議的網(wǎng)絡(luò)安全體系基礎(chǔ)框架 5 1網(wǎng)絡(luò)層安全 IPSec5 2傳輸層安全 SSL5 3應(yīng)用層安全 S HTTP SET 5 1網(wǎng)絡(luò)層安全 IPSec 一組協(xié)議在IP加密傳輸信道技術(shù)方面 IETF已經(jīng)指定IPSec來制定IP安全協(xié)議 IPSecurityProtocol IPSP 和對應(yīng)的Internet密鑰管理協(xié)議 InternetKeyManagementProtocol IKMP 的標(biāo)準(zhǔn) IPSec是隨著IPv6的制定而產(chǎn)生的 鑒于IPv4的應(yīng)用仍然很廣泛 所以后來在IPSec的制定中也增加了對IPv4的支持 IPSec在IPv6中是必須支持的 而在IPv4中是可選的 IPSP的主要目的是使需要安全服務(wù)的用戶能夠使用相應(yīng)的加密安全體制 該體制應(yīng)該與算法獨立 可以自己選擇和替換加密算法而不會對應(yīng)用和上層協(xié)議產(chǎn)生任何影響 此外 該體制必須能支持多種安全政策 并且對其他不使用該體制的用戶完全透明 按照這些要求 IPSec工作組使用認(rèn)證頭部 AH 和安全內(nèi)容封裝 ESP 兩種機(jī)制 前者提供認(rèn)證和數(shù)據(jù)完整性 后者實現(xiàn)通信保密 AH AuthenticationHeader 驗證頭部協(xié)議 ESP EncapsulatingSecurityPayload 封裝安全載荷 協(xié)議 IPSec體系結(jié)構(gòu) AH為IP數(shù)據(jù)包提供如下3種服務(wù) 無連接的數(shù)據(jù)完整性驗證 數(shù)據(jù)源身份認(rèn)證和防重放攻擊 ESP除了為IP數(shù)據(jù)包提供AH已有的3種服務(wù)外 還提供另外兩種服務(wù) 數(shù)據(jù)包加密 數(shù)據(jù)流加密 IKE協(xié)議負(fù)責(zé)密鑰管理 定義了通信實體間進(jìn)行身份認(rèn)證 協(xié)商加密算法以及生成共享的會話密鑰的方法 對IP包進(jìn)行的IPSec處理有兩種 AH和ESP AH提供無連接的數(shù)據(jù)完整性 數(shù)據(jù)來源驗證和抗重放攻擊服務(wù) 而ESP除了提供AH的這些功能外 還可以提供對數(shù)據(jù)包加密和數(shù)據(jù)流量加密 AH和ESP可以單獨使用 也可以嵌套使用 通過這些組合方式 可以在兩臺主機(jī) 兩臺安全網(wǎng)關(guān) 防火墻和路由器 或者主機(jī)與安全網(wǎng)關(guān)之間使用 傳輸層安全 常見的傳輸層安全技術(shù)有SSL SecuresocketlayerSSL分為兩層 上面是SSL協(xié)商層 雙方通過協(xié)商約定有關(guān)加密的算法 進(jìn)行身份認(rèn)證等 下面是SSL記錄層 它把上層的數(shù)據(jù)經(jīng)分段 壓縮后加密 由傳輸層傳送出去 SSL采用公鑰方式進(jìn)行身份認(rèn)證 大量數(shù)據(jù)傳輸仍使用對稱密鑰方式進(jìn)行數(shù)據(jù)加密 通過雙方協(xié)商 SSL可以支持多種身份認(rèn)證 加密和檢驗算法 SSL結(jié)構(gòu)圖 SSL協(xié)議協(xié)商層工作過程示意圖 通過X 509證書傳輸其擁有者的公開密鑰 為了保持Internet上的通用性 目前一般的SSL協(xié)議只要求服務(wù)器方向客戶方出示證書以證明自己的身份 而不要求用戶方同樣出示證書 在建立起SSL信道后再加密傳輸用戶的口令實現(xiàn)客戶方的身份認(rèn)證 5 3應(yīng)用層安全 IP層的安全協(xié)議能夠為網(wǎng)絡(luò)連接建立安全的通信