网络安全终极版

《网络安全终极版》由会员分享，可在线阅读，更多相关《网络安全终极版（12页珍藏版）》请在金锄头文库上搜索。

1、广泛应用数据处理设备前，信息安全保障主要方法：1 物理：带有组合所得档案柜2 管理：聘用过程中的人事屏幕步骤。 “数据”：信息的一种特定的物理表示形式，通常是一个具有特定含义的符号序列，特 别是能在计算机上处理或生成的信息的表示形式。“信息”：能被表示为各种不同形式数据的食物和方法。NIST 计算机安全手册关于计算机安全的定义：对某个自动化信息系统的保护措施，其 目的在于实现信息系统资源的完整性、可用性以及机密性（包括硬件、软件、固件、信息/ 数据、电讯）。该定义的三个关键目标组成了计算机安全的核心内容：1 机密性： 数据机密性：保证隐私或机密的信息不会被泄露给未经授权的个体。 隐私性：保证个

2、人可以控制和影响与之相关的信息，这些信息有可能被收集、存储并且 被某人泄露给某人。2 完整性： 数据完整性：保证只能有某种特定、授权的方式来更改信息和代码。 系统完整性：保证系统及时运转，其服务不会拒绝经授权的用户。三个信息和信息系统的安全目标：1 机密性：维持施加在数据访问和释放上的授权限制，包括保护个人隐私和 私人信息的措施，机密性损失指非授权的信息泄露。2 完整性：防范异常的信息修改和破坏，包括保证信息的授权与认证。完整 性损失指未经授权的信息修改和破坏。3 可用性：系统访问或使用的中断。 安全领域有必要再加入额外的概念： 真实性：可以被验证和信任的属性，或对于传输、信息、信息发送者的信

3、任。这意 味着验证使用者的身份以及系统每个输入信号是否来自可靠的信息源。责任性：该安全目标要求某个实体的行为可以被唯一地追踪到该实体。它支持认证、 威慑、错误隔离、入侵检测和防范、恢复和合法行为。安全违规：机密性损失、完整性损失、可用性损失。 计算机和网络安全令人着迷却复杂多变的原因：1 安全问题并不像初学者所见的那样简单： confidentiality 机密性、 authentication 认证性、nonrepudiation 不可抵赖性、integrity 完整性。2 在开发一种特定安全机制或算法时，必须时常考虑对这些安全特性的潜在 攻击。成功的攻击往往是通过一种完全不同的方式来观察问

4、题的。利用了机制中 不可预见的弱点。3 用来提供特定服务的程序通常是违反直觉的：不能单纯的通过特定服务的 要求来判定某种精心设计的方法是否可用。只有当考虑过各种威胁后，所涉及的 这些安全机制才有意义。4 对已经设计出的多种安全机制，决定这些机制的使用场合是非常必要的。 其物理位置和逻辑位置（协议栈层次）都很重要。5 安全机制通常包括不止一种特定算法或者协议。存在对通信协议的信任问 题。6 计算机和网络安全本质上来说是企图发现漏洞的作恶者和设计者或者管 理者之间的一场智力较量。攻击者只要发现一个弱点即可，设计者必须发现和堵塞所有弱点：木桶原理。7 用户和管理者中有一种自然的倾向：知道灾难发生前他

5、们总觉得在安全方 面的投入是无利可图的。8 安全要求常规性，甚至经常性和监测性。这对今天的短期性和超负荷环境 而言是困难的。9 安全仍然很普遍的是一种事后考虑，即在设计结束之后才被引入到一个系 统中，而不是作为设计中的一部分在设计该过程中就加以考虑。10 很多用户（甚至安全管理员）认为，强的安全对一个信息系统或信息的使 用而言在有效性和易操作性方面总是一种障碍：往往越安全越麻烦。OSI 安全模型关注安全攻击、机制和服务：1 安全攻击：任何可能危及机构的信息安全的行为。2 安全机制：一种用来增强机构的数据处理系统安全性和信息传递安全性的 服务。这种服务是用来防范安全攻击的，它们利用了一种或多种安

6、全机制来提供 服务。划分安全攻击的方法：1 被动攻击：企图了解或利用系统信息但是不侵袭系统资源 。2 主动攻击：试图改变系统资源或侵袭系统操作。被动攻击的本质是窃听或监视数据传输。攻击者的目标是获取传输的数据信息。 有两种形式：1 消息内容泄露攻击：电话交谈、电邮消息和传输文件中都有可能包含敏感 或机密信息。2 流量分析（traffic analysis）攻击：加密时常用的遮盖内容的方法。但攻击 者任然有可能观察到这些消息的模式，可以推测出通信双方的位置和身份并且观 察到交换信息的频率和长度。对付被动攻击的重点是防范而不是检测：被动攻击不改变数据，所以非常难以检测。 但是，仍然可以防范：通常使

7、用加密的方法来实现。主动激动包含数据流的改写和错误数据流的添加，可以划分为4 类：假冒 一个实体假冒成另一个不同实体。通常包含其他主动攻击形式中的一种，例如： 攻击者首先捕获若干认证序列，并在发生一个有效的认证序列之后重放这些捕获的序列，这 样就可以使用一个具有较少特权的经过认证的实体通过模仿一个具有其他特权的实体而得 到这些额外的特权。重放 涉及被动获取数据单元并按照它之前的顺序重新传输，以此来产生一个非授权 的效应。改写消息 指合法消息的某些部分被篡改，或者消息被延迟、被重排，从而产生非授 权效应。拒绝服务 可以阻止或禁止对通信设备的正常使用或管理，该种攻击可能有一个特殊 的目标：比如一个

8、实体可能禁止把所有消息发到一个特定的目的地（例如，安全审计服务）。 另一种DoS的形式是对整个网络的破坏，使网络瘫痪或消息过载从而丧失网络性能。主动攻击表现出来的特征与被动攻击相反。被动攻击虽然难以检测，却有方法去防范它。 而防范主动攻击却非常困难，因为这样做需要一直对所有通信设备和路径进行物理保护。相 反，检测主动攻击并恢复主动攻击造成的损坏和延迟却是可行的，由于检测本身具有威慑作 用，它同样可以对防范作出贡献。安全服务X800 定义：由通信开放系统的协议层提供的，并能确保系统或数据传输足够安全的服 务。RFC4949 定义：由系统提供的对系统资源进行特定保护的处理或通信服务，安全服务实 现

9、了安全策略，而安全机制实现了安全服务。X.800将这些服务分为5类和14中特定的服务（表1.2）认证 数据完整性01 对等实体认证08 带有恢复的连续完整性02 数据源认证09 无恢复的链接完整性03访问控制10选择域连接的完整性数据机密性11 无连接的完整性04 连接机密性12 选择域无连接的完整性05 无连接机密性不可抵赖性06 选择域机密性13 不可抵赖性，源07流量机密性14不可抵赖性，目的地认证服务与确保通信可信是密切相关的，就单条消息（例如警告信号）来说，认证服务 的功能就是向接受者保证消息是来自它所要求的源，如果是一次正在进行的交互，例如终端 与主机之间的连接，则需要双方参与。首

10、先，连接初始化的时候，认证服务确保了两个实体 都是可信的，也就是说，每个实体都是对方所要求连接的一方。其次，认证服务必须要确保 连接不会受非法第三方的干扰，这样的第三方为了收发非授权信息而假冒成合法的任意一方 实体。在标准中定义了如下两种特定的认证服务： 对等实体认证：在联系中确认对等实体的身份，对等实体是在不同系统中应用同样 协议的两个实体。这种认证用在连接的建立阶段或者数据传输阶段中，它提及对实体的确认 以保证该实体没有假冒或者重放上次连接的非授权数据。数据源认证：提供对数据单元来源的确认。但不提供对数据单元复制或改写的保护， 支持电邮这样在通信双方之间事先未进行交互的应用程序。访问控制在

11、网络安全的环境中，访问控制指通信链路来访问主机系统和应用程序的能力，为 达到这个目的，每个试图获取访问权限的实体必须先要被识别或认证，这样才能把访问权限 赋予这些实体。数据机密性机密性保护被传输的数据不会遭受被动攻击。就传输数据的内容来说，保护可以分 为几个层次。最广义的服务保护在一定时期内两个用户之间传输的所有数据。狭义的服务形 式包含对单个消息甚至是消息内特定字段的保护，这些限制不如广义方法有效，而且实现起 来可能更加复杂和昂贵。机密性的另一个方面是防止流量数据遭受窃听分析，这就要求攻击者不能探测到数 据源、数据目的地、频率、长度或者其他在通信设施上传输数据的特征。数据完整性正如机密性一样

12、，数据完整性同样可以被用于消息流、单个消息或消息内部的所选 字段，同样，最有效和最直接的方法是对整个消息流的保护。处理消息流的面向连接的完整性服务确保消息接受时与发送时一致，未被复制、插 入、改写、重排序或者重放、数据的破坏同样包含在此服务保护当中。因此，面向连接的完 整性服务主要致力于防止消息流改写和拒绝服务。另一方面，处理单个消息而不考虑任何更 大环境的无连接的完整性服务一般只提供针对消息改写的保护措施。完整性服务与主动攻击相关，相对于防范而言我们更关心检测。不可抵赖性不可抵赖性防止发送者或接收者否认一个已传输的消息。因此，当消息发送之后， 接受者能够证明宣称的发送者实际上发送了此条消息，

13、同样，在消息接受之后，发送者也能 证明宣称的接受者实际上接收了此条消息。可能性服务X.800 和 RFC4949 都将可用性定义为系统的性质，或者定义为在接收到授权系统命令时， 系统资源根据系统性能规范所表现出来的可取性和可用性（例如，无论用户何时需要，系统 总能提供服务，那么这个系统就是可用的）。多种攻击可能导致可用性损失或者下降，系统 可以对其中一些攻击采用自动对侧进行修正，例如认证和加密；而其他的攻击则需要物理措 施去防止分布式系统元件的可用性缺失，并对其进行恢复。X.800 认为可用性是一种同各种安全服务相关连的重要属性。可用性服务保护系统以确保 它的可用性。这项服务主要致力于解决 D

14、oS 攻击引起的安全问题，它依赖于适当的管理和 控制系统资源，因此也依赖于访问控制服务和其他安全服务。X.800定义的安全机制划分为：（P12表1.3）特定安全机制：在特定协议层上执行的机制，例如加密、数字签名、访问控制、数据完 整性、认证交换、流量填充、路由控制、公证。普适的安全机制：没有指定特定的协议层或安全服务机制，例如可信功能、安全标签、 事件检测、安全审计跟踪、安全恢复。X.800 区分了： 可逆密码编码机制：指对数据进行加密之后可以进行解密的加密算法。不可逆密码编码机制：包括散列算法和消息认证码，广泛用于数字签名和消息认证应用 中。X.800中安全服务和安全机制之间的关系见P13表

15、1.4。 通用网络安全模型表明设计特定的安全服务时的基本任务有四个：设计用来执行与安全相关的转换的算法，这种算法应该是不会被攻击者击破的。 生成用于该算法的秘密信息。开发分发和共享秘密信息的方法。 指定一种能被两个主体使用的协议，这种协议使用安全算法和秘密信息以便获得特定的 安全服务。所有用于提供安全性的技术都包括以下两个主要部分： 对待发送信息进行与安全相关的转换；消息加密打乱了消息，使得攻击者读不懂该消息； 建立在消息内容上面的附加码，可以用来验证发送者的身份。两个事物的主体共享一些不希望被攻击者所知的秘密信息；加密秘钥在传输之前用于打乱 消息而在接收之后用于恢复消息。为了达到安全传输可能

16、需要可信的第三方；负责分发秘密信息给两个主体，同时对攻击者隐 藏这些消息，或者仲裁两个主体支教引起的关于消息传输认证的纷争。黑客 hacker 可以是没有恶意的人。入侵者也可以是因为不满而想搞破坏的员工或者为了经济利益试图通过访问计算机来获 取经济收入的罪犯。另一种有伤害访问是利用计算机系统逻辑上的弱点，这不仅影响应用程序，而且还能够 影响实用程序，例如编辑器和编译器。程序存在两种形式的威胁：信息访问威胁information access threat本不该访问的某些数据的用户截取或修改的数据。服务威胁 service threat 利用计算机的服务缺陷阻止合法用户的使用，病毒 virus 和蠕虫 worm 是