《信息安全技术----系讲14》由会员分享,可在线阅读,更多相关《信息安全技术----系讲14(25页珍藏版)》请在金锄头文库上搜索。
1、100876, 北京邮电大学信息安全中心, 杨义先. 电话: 010-62282715, Email: 第十四讲: 北京邮电大学网络信息安全与保密成果简介 A: 北京邮电大学信息安全中心简介北京邮电大学信息安全中心(以下简称“中心” )自 1984年成立以 来,一直从事网络信息安全与现代密码学理论的研究、技术开发和产品 研制。此“中心”是我国民间最早从事网络信息安全与现代密码学研究 的群体之一。目前, “中心”拥有国务院学位委员会正式授予的全国仅有 的三个“密码学”博士点之一。“中心”研究实力雄厚,学术梯队的知识和年龄结构合理。上有中国 工程院院士周炯磐教授和全国政协常委、博士导师胡正名教授
2、等老一辈 著名学者掌舵;中有全国政协委员、博士导师、全国首批特聘 教授杨义先博士为学术带头人;下有钮心忻博士、孙伟博士、李中献博 士、詹榜华博士等为代表的一批为年轻的研究骨干。 “中心”还得有幸邀100876, 北京邮电大学信息安全中心, 杨义先. 电话: 010-62282715, Email: 请到中国工程院院士蔡吉人院士和何德权院士作为兼职博士导师。 “中心” 每年保持三十多名博士后、博士生和硕士生作为重要的科研力量。经过多年的努力, “中心”在信息安全和纠错编码等方面获得了国内 外有影响的成果。近 5年来获得了一项国家发明三等奖、二项省部级科 技进步一等奖、三项省部级科技进步二等奖和
3、其它二十余次国家级和省 部级重要科技奖励。 “中心”在国内外重要学术刊物上发表了高水平的论 文 300余篇,其中有些成果已经达到国际先进水平,并发表在国际最权 威的学术刊物 IEEE Trans. On AES, IEEE Trans. On Comm., IEEE Trans. On EMC 和 Discrete Applied Mathematics,数十次地被国际重要 索引刊物 SCI、EI、ISTP 引用收录。 “中心”完成出版了学术专著近十 部,其中包括我国在密码学方面的第一部专著 。 “中心”承担了国家杰 出青年基金、教育部跨世纪优秀人才专项基金、 “863”、国家自然科学基 金重
4、点项目、国家自然科学基金等项目,科研经费充足。 100876, 北京邮电大学信息安全中心, 杨义先. 电话: 010-62282715, Email: “中心”已经开发出具有相当市场前景的高新技术产品近 30项。目 前正在与相关企业合作推广这些高科技成果。 B: 北邮网站卫士简介这是在国瑞数码安全系统有限公司的资助下完成的成果. “网站卫士”是一个基于 WINDOWS 的网络安全软件产品。该软件运 行在 Windows95/98/NT 上,该系统的主要功能是通过网络扫描网站的网 页,监测网页是否被修改,从而实现对 WEB 的站点的网页被修改之后的 报警和修复。 “网站卫士”可以同时并发监测多
5、个站点,该软件还具有网 站页面自动下载的功能。WebGuard 网站卫士功能描述 WebGuard 网站卫士是一个采用最新的信息理论技术和计算机网络技100876, 北京邮电大学信息安全中心, 杨义先. 电话: 010-62282715, Email: 术、实现对 Web 网页的监测、恢复和报警的软件系统,它具有很高的处 理能力和处理速度,系统运行稳定可靠。 当 WebGuard 处于激活状态时,它可以实时地监测网站主页,当网页 被黑客攻击和非法修改时,能及时发出各种警报,并通知网络管理员, 同时自动恢复原来的页面。100876, 北京邮电大学信息安全中心, 杨义先. 电话: 010-622
6、82715, Email: WebGuard 网站卫士结构图WebGuard 系统采用基于 HTTP 协议的监测手段。WebGuard 监测和 扫描 Web 服务器网站上的主页文件,如果发现有页面被更改,则以多种100876, 北京邮电大学信息安全中心, 杨义先. 电话: 010-62282715, Email: 方式进行报警,并迅速恢复被更改的页面。WebGuard 功能上主要有以下几个方面: 一、 保护站点的配置 1 可以配置 WebGuard 保护多个 WEB 站点。 2 对每个站点可以分别设置监测级别,级别可以由用户自己指定。 可以配置网站卫士的循环监测时间。可以指定上载文件时的用
7、户名 和口令。 3 可以指定应该监测的文件类型,WebGuard 所监测的文件主要是静 态页面。CGI 类程序返回的是动态页面,每次请求的页面都可能不 一样,因此主要不考虑动态页面。 4 可以指定不同站点的在本机上的备份路径100876, 北京邮电大学信息安全中心, 杨义先. 电话: 010-62282715, Email: 二、 多种报警方式在 WebGuard 发现监测的网站页面发生更改的时候,可以以多种方 式报警。在 WebGuard 1.0中主要提供信息框方式的报警和声音方式的 报警。 三、 网站页面下载,并提取特征码: 1可以设定网站的 IP 地址或域名,然后下载整个网站的所有指定
8、类 型的静态页面,可以分级设定下载的级数。下载的文件类型包括: html, htm,doc,bmp, gif, jpg, shtml, txt, zip,asp 等文件。 2下载站点个数:可以多个站点同时并行下载,下载的站点个数理论 上可以不受限制。100876, 北京邮电大学信息安全中心, 杨义先. 电话: 010-62282715, Email: 3 可以只下载站点上的指定文件,也可以下载整个站点主要静态文 件。 4 在备份站点上页面的同时,可以显示下载的字节数,下载的时间, 下载的速度,下载的文件个数。 四、 对已经备份的站点的内容,可以显示该文件在站点上的位置, 备份在本机的位置,备
9、份时间,文件的特征码,页面的级别。 五、 对已经监测到的被修改的页面,可以显示对该页面的操作结果。 操作结果可以显示“已被修复” ,或“无法修复” ,无法修复可能与 访问权限有关,也可能与被修复的页面处于打开状态有关,只有设 定的用户才能修复被更改的内容。网站卫士在循环监测的过程中将 修复被更改的页面。在检测站点的同时,将动态显示每个站点的监 测状态。100876, 北京邮电大学信息安全中心, 杨义先. 电话: 010-62282715, Email: 六、 可以检查备份到本机的页面及相应的页面的在站点上的 URL 地 址,文件的备份时间,文件的特征码。文件在站点上的级别 七、 软件本身用
10、IC 卡保护,只有合法的用户才能使用该软件。当发 现 IC 卡的信息不正确或 IC 卡被取出的时候,系统将停止下载页面 或监测网站。 WebGuard 技术特点 实时并行监测。WebGuard 系统安装完成后,它可以并发地对多个 WEB 站点同时进行监测。该系统可以灵活配置任意多个 WEB 服务 器的 IP 地址,从而实现对多个 WEB 站点的并发监测机制。 高速监测机制。WebGuard 采用业界最先进的编码和密码技术以及多 线程并行处理技术,处理能力可达数十兆。100876, 北京邮电大学信息安全中心, 杨义先. 电话: 010-62282715, Email: 多级监测功能。通过采用
11、IP 地址过滤技术,WebGuard 不但可以监 测主页,也可以与主页中属于本地 IP 的超链接进行监测,从而在很 大程度上扩展了监测范围。 高度安全性。WebGuard 采用业界最先进的编码和密码技术,页面的 任何一处小的改动,WebGuard 都会迅速发现。 多种告警方式。当发现主页被修改后,可以采用多种告警方式,如 铃声、语音、消息框等。 完善的网页恢复功能。在系统告警的同时,系统自动上载事先备份 的网页到服务器。 支持超大容量网页。只要主机硬盘容量许可,WebGuard 对网页文件 的数量没有任何限制。“网站卫士”的实现方案100876, 北京邮电大学信息安全中心, 杨义先. 电话:
12、010-62282715, Email: “网站卫士”设计的目标是对网站的主页进行扫描和监测,如果发现 页面被更改,可以迅速恢复,并报警。报警可以用来提醒网站的管理人 员迅速采取其它安全措施,对入侵网站的行为进行跟踪分析,以加强访 问控制措施,堵住存在的漏洞。 任何一个网站对外提供的主要是 WWW 服务,客户端通过浏览器用 HTTP 协议访问网站的页面,网站 WEB 服务器将请求的结果返回给浏览 器,浏览器将页面显示出来。 首先,WEB 服务器要支持匿名用户的访问,匿名用户可以从 WEB 服 务器读到文件,但是匿名用户不能向 WEB 服务器写文件。只有设定了特 殊访问权限的用户才能通过 HT
13、TP 协议向 WEB 服务器写文件。 Basic Authentication 是一种广泛使用的工业标准,用来验证用户的身份, 现在已被大多数 WEB 服务器所支持。用户如果需要向站点写文件的话, 可以设立特殊用户写文件到该服务器上,采用 Basic Authentication 的认100876, 北京邮电大学信息安全中心, 杨义先. 电话: 010-62282715, Email: 证方式,同时可以限制该用户只能从某个计算机上访问服务器。这样一 个具有写权限的用户要写文件到 WEB 服务器,需要双重的验证。首先要 进行用户认证,而且在限定的主机上才能写文件到 WEB 站点上。 在 Win
14、dows NT 的 IIS4.0 上,可以设立一个特殊的有写文件权限的用 户。我们可以开放正常的 WWW 服务,即 80端口。还要建立一个新的 WEB 服务,将该服务的端口设定为特殊的端口,比如 8000。新的 WEB 服务需要进行用户认证才能访问,该服务器启动后和缺省的服务器的主 目录和缺省文件都是同一个。可以在 NT 的域用户管理器中删除所有不 必要的用户。保留超级用户和有写权限的用户。 通过 80端口, “网站卫士”可以将站点上所有的页面下载到本机上, 对每个下载的文件,将指定该文件在 WEB 站点的 URL 地址和在本机的 备份目录地址,对每个文件还将生成一个特征码。该特征码根据特殊的
15、 编码算法生成,每个文件都会有唯一的特征码。当文件改变的时候,特100876, 北京邮电大学信息安全中心, 杨义先. 电话: 010-62282715, Email: 征码就会改变。因此系统的原理就是事先将 WEB 站点的页面的原文件备 份下来,每个页面产生一个特征值。 “网站卫士”启动监测功能之后,会不断扫描整个站点的页面,并计 算该页面的特征码,当页面被更改之后,特征码就改变了。因此“网站 卫士”就可以迅速发现被更改的页面。下面的工作就是报警和恢复。当发现页面被更改之后, “网站卫士”就开始报警。同时以具有写权 限的用户身份登录,用原来的备份文件将已被更改的文件更换掉。这样 就达到了修复主页文件的目的。上载文件的时候是通过 8000端口访问的 服务器,只有该服务器才有写权限。 C: 北邮“商用密码平台”简介总体目标:为基于标准应用协议(HTTP、FTP、TELNET、EMAIL 等)的商务应用提供全面的密码安全解决方案,具体包括:100876, 北京邮电大学信息安全中心, 杨义先. 电话: 010-62282715, Email: 通过基于 PKI 技术的认证方法来确认用户身份; 提供基于身份和/或角色的
