网络管理与网络安全.ppt

资源描述

网络安全 2019 12 29 中山大学计算机科学系网络安全信息安全技术概述网络安全问题与安全策略加密技术认证技术安全技术应用入侵检测技术与防火墙计算机病毒问题与防护 1信息安全技术概述 1 1信息安全的概念指信息网络的硬件软件以及其系统中的数据受到保护不因偶然的或者恶意的原因而遭到破坏更改泄露系统连续可靠正常地运行信息服务不中断要实现的目标真实性保密性完整性可用性不可抵赖性可控制性可审查性 1 2信息安全策略信息安全策略是指为保证提供一定级别的安全保护所必须遵守的规则信息安全的实现要靠先进的技术严格的安全管理法律约束与安全教育 1 3信息技术的安全性等级网络安全性标准 DoD5200 28 STD 即可信任计算机标准评估准则该标准将网络安全性等级划分为A B C D共四类其中A类安全等级最高 D类安全等级最低这4类安全等级还可以细化为7个级别这些级别的安全性从低到高的顺序是D1 C1 C2 B1 B2 B3和A1 1 3信息技术的安全性等级续在我国以计算机信息系统安全保护等级划分原则 GB17859 1999 为指导将信息和信息系统的安全保护分为5个等级自主保护级指导保护级监督保护级强制保护级专控保护级 2网络安全问题与安全策略 2 1网络安全的基本概念保护网络程序数据或设备使其免受非授权使用或访问保护内容包括保护信息和资源保护客户机和用户保证私有性目标是确保网络系统的信息安全主要包括信息的存储安全和信息的传输安全信息的存储安全一般通过设置访问权限身份识别局部隔离等措施来保证信息的传输安全主要是指信息在动态传输过程中的安全主要涉及到对网络上信息的监听对用户身份的假冒对网上信息的篡改对信息进行重放等问题网络安全措施社会的法律政策企业的规章制度以及网络安全教育技术方面的措施审计与管理措施 2 2OSI安全框架 OSI安全框架是由国际电信联盟推荐的X 800方案它主要关注3部分安全攻击在X 800中将安全攻击分为被动攻击和主动攻击两类从网络高层的角度划分攻击方法可以分为服务攻击和非服务攻击两大类安全机制X 800将安全机制分为特定安全机制和普遍的安全机制两大类安全服务X 800将安全服务定义为通信开放系统协议层提供的服务从而保证系统或数据传输有足够的安全性被动攻击和主动攻击被动攻击对信息的保密性进行攻击即通过窃听网络上传输的信息并加以分析从而获得有价值的情报但它并不修改信息的内容目标是获得正在传送的信息其特点是偷听或监视信息的传递被动攻击主要手段信息内容泄露信息在通信过程中因被监视窃听而泄露或者信息从电子或机电设备所发出的无线电磁波中被提取出来而泄露通信量分析通过确定通信位置和通信主机的身份观察交换消息的频度和长度并利用这些信息来猜测正在进行的通信特性被动攻击和主动攻击主动攻击攻击信息来源的真实性信息传输的完整性和系统服务的可用性有意对信息进行修改插入和删除主动攻击主要手段假冒一个实体假装成另一个实体假冒攻击通常包括一种其他形式的主动攻击重放涉及被动捕获数据单元及其后来的重新传送以产生未经授权的效果修改消息改变了真实消息的部分内容或将消息延迟或重新排序导致未授权的操作拒绝服务禁止通信实体的正常使用或管理服务攻击和非服务攻击服务攻击针对某种特定网络服务的攻击例如针对E mail服务 Telnet FTP HTTP等服务的专门攻击原因 TCP IP协议缺乏认证保密措施非服务攻击不针对某项具体应用服务而是基于网络层等低层协议而进行原因 TCP IP协议尤其是IPv4 自身的安全机制不足 2 3网络安全模型网络安全模型1 网络安全模型2 3加密技术 3 1密码学基本术语明文原始的消息密文加密后的消息加密从明文到密文的变换过程解密从密文到明文的变换过程密码编辑学研究各种加密方案的学科密码分析学研究破译密码获得消息的学科密码学密码编码学和密码分析学统称为密码学密码编码学密码编码学系统具有以下3个独立特征转换明文为密文的运算类型所有的加密算法都基于代换和置换两个原理所用的密钥数如果发送法和接收方使用相同的密钥这种密码就称为对称密码单密钥密码或传统密码如果收发双方使用不同的密钥这种密码就称为非对称密码双钥密码或公钥密码处理明文的方法加密算法可以分为分组密码和流密码分组密码每次处理一个输入分组相应地输出一个输出分组而流密码则是连续地处理输入元素每次输出一个元素密码分析学密码分析学依赖于算法的性质和明文的一般特征或某些明密文对穷举攻击需要对一条密文尝试所有可能的密钥直到把它转化为可读的有意义的明文基于密码分析者知道的信息类型密码攻击的类型主要有惟密文攻击已知明文攻击选择明文攻击选择密文攻击和选择文本攻击加密算法的安全性若一个加密算法能满足以下两个条件之一就认为该算法是在计算上是安全的一是破译的代价超出加密信息本身的价值二是破译的时间超出了信息的有效期代换与置换技术代换法是将明文字母替换成其他字符数字或符号的方法典型的算法包括Caesar密码单表代换密码 playfair密码 Hill密码多表代换密码以及一次一密等置换密码的加密方法是通过置换而形成新的排列如栅栏技术按照对角线的顺序写入明文而按行的顺序读出作为密文 3 2对称加密技术对称加密的模型对称加密模型由5个组成部分明文加密算法密钥密文和解密算法数据加密标准数据加密标准DESDES 数据加密标准DES是一种分组密码在加密前先对整个明文进行分组每一个组长为64位然后对每个64位二进制数据进行加密处理产生一组64位密文数据使用的密钥为64位实际密钥长度为56位有8位用于奇偶校验 DES加密的过程为 64位的明文经过初始置换而被重新排列进行16轮的相同函数的作用每轮的作用中都有置换和代换最后一轮迭代的输出有64位将其左半部分和右半部分互换产生预输出预输出再被与初始置换互逆的逆初始置换作用产生64位的密文其他常用的对称加密算法目前经常使用的对称加密算法还有三重DES 高级加密标准 AES Blowfish算法和RC5算法三重DES 使用多个密钥对DES进行三次加密克服了DES不能抵御穷举攻击的弱点但该算法用软件实现起来速度比较慢高级加密标准 AES 2001年NIST将Rijndael作为AES算法它的密钥长度为128 192或256位分组长度为128位 AES性能不低于3DES 同时具有良好的执行性能 Blowfish算法该算法由BruceSchneier设计的是一个可变密钥长度的分组密码算法分组长度为64位算法由密钥扩展和数据加密两部分组成密钥扩展把长度可达448位的密钥转变成总共4168字节的几个子密钥数据加密由一个简单函数迭代16轮每一轮由密钥相关的置换密钥相关和数据相关的代换组成 RC5RC5的分组长度和密钥长度都是可变的可以在速度和安全性之间进行折中 3 3公钥加密公钥密码体制公钥算法依赖于一个加密密钥和一个与之相关的解密密钥公钥加密体制有6个组成部分明文加密算法公钥私钥密文和解密算法 3 3公钥加密续公钥加密的步骤如下每个用户都生成一对加密和解密时使用的密钥每个用户都把他的公钥放在一个公共地方私钥自己妥善保管发送用户要向接收用户发送机密消息就用接收用户的公钥加密消息当接收用户收到消息时可以用自己的私钥进行解密公钥密码体制的应用公钥密码体制的应用可分为以下3种加密解密数字签名发送方利用其私钥对消息签名密钥交换 RSA算法 RSA算法是1978年由Rivest Shamir和Adleman三个人提出的被认为是迄今为止理论上最为成熟完善的一种公钥密码体制该体制的构造基于Euler定理它利用了如下的基本事实寻找大素数是相对容易的而分解两个大素数的积在计算上是不可行的 RSA算法的安全性建立在难以对大数提取因子的基础上与DES相比缺点是加密解密的速度太慢 RSA是一种分组密码其明文和密文均是0至n 1之间的整数 n的大小为1024位二进制数或309位十进制数明文以分组为单位进行加密每个分组的二进制值均小于n 密钥的选取过程如下选取两个大质数p和q 计算n pq z p t q 1 选择小于n的整数e 并且和z没有公约数找到数d 满足ed 1被z整除公钥是数对 n e 私钥是数对 n d 其他的公钥加密算法 Elgamal公钥体制基于离散对数的公钥密码体制密文不仅信赖于待加密的明文而且信赖于用户选择的随机参数即使加密相同的明文得到的密文也是不同的加密算法的非确定性背包公钥体制基本原理背包问题 3 4密钥管理密钥的分发密钥分发中心 KDC 是一个独立的可信网络实体是一个服务器它同每个注册用户共享不同的秘密对称密钥 KDC知道每个用户的秘密密钥每个用户可以通过这个秘密密钥同KDC进行安全通信密钥的验证认证中心 CA 用于验证一个公共密钥是否属于一个特殊实体一个个人或者网络实体一旦一个公共密钥被认证了那么它就可以从任何地方发出包括一个公共密钥服务器一个个人网页或者一张磁盘 CA的主要作用有两个方面一是验证实体的身份二是产生一个证书将这个公共密钥和身份进行绑定这个证书由CA进行数字签名证书中包括公共密钥和关于公共密钥所有者的全球唯一的标识信息 4认证技术 4 1消息认证 1 消息认证的概念消息认证就是使意定的接收者能够检验收到的消息是否真实的方法又称为完整性校验它在银行业称为消息认证在OSI安全模型中称为封装消息认证的内容应包括证实消息的信源和信宿消息内容是否曾经受到偶然或有意地篡改消息的序号和时间性是否正确 2 消息认证的方法认证信息的来源认证信息的完整性认证信息的序号和时间 3 消息认证的模式消息认证的模式有单向认证和双向认证在单向认证中由接收者验证发送者的身份和发送消息的完整性在双向认证中接收双方互相确定对方的身份和发送消息的完整性 4 认证函数可用做认证的函数有信息加密函数信息认证码和散列函数3种 4 2数字签名数字签名的需求签名必须依赖于要签名报文的比特模式签名必须使用对发送者来说是唯一的信息以防伪造和抵赖数字签名的产生必须相对简单数字签名的识别和证实必须相对简单伪造数字签名具有很高的计算复杂行保留一个数字签名的备份在存储上现实可行的数字签名的创建利用公钥密码体制数字签名是一个加密的消息摘要附加在消息后面如果A想在发给B的消息中创建一个数字签名操作过程如下 A创建一个公钥私钥对并将公钥给接收方B A把消息作为一个单项散列函数的输入散列函数的输出就是消息摘要 A用私钥加密信息摘要就得到数字签名数字签名的验证在接收方 B需要遵循以下步骤来验证A的数字签名 B把收到的数据分离成消息和数字签名 B使用A的公钥对数字签名解密从而得到消息摘要 B把消息作为A所使用的相同散列函数的输入得到一个消息摘要 B比较这两个信息摘要看它们是否相互匹配 4 3身份认证身份认证又称身份识别它是通信和数据系统中正确识别通信用户或终端身份的重要途径身份认证的常用方法有口令认证持证认证生物识别 1 口令机制口令是由数字字母组成的长为5 8的字符串有时也包括特殊字符和控制字符等常用于操作系统登录 Telnet和rlogin等口令系统最严重的脆弱点是外部泄露和口令猜测另外还有线路窃听威胁验证者和重放等保护口令措施对用户和系统管理者进行教育增强他们的安全意识建立严格的组织管理办法和执行手续确保口令必须被定期地改变保证每个口令只与一个人有关确保口令从来不被再现在终端上使用易记的口令 1 口令机制被猜测措施限制非法认证的次数实时延迟插入到口令验证过程阻止一个计算机自动口令猜测程序的生产串防止太短的口令以及与用户名账户名或用户特征相关的口令确保口令被定期地改变取消安装系统时所用的预设口令使用机器产生的而不是用户选择的口令 2 持证认证持证为个人持有物如磁卡智能卡等磁卡常和个人标识号PIN一起使用智能卡将微处理器芯片嵌在宿卡上来代替无源存储磁条存储信息远远大于磁条的250字节且具有处理功能卡上的处理器有4K字节的小容量EPROM3 生物识别生物识别依据人类自身所固有的生理或行为特性特征包括指纹识别虹膜识别脸像识别掌纹识别声音识别签名识别笔迹识别手形识别步态识别以及多种生物特征融合识别等 4 4常用的身份认证协议一个安全的身份识别协议至少应满足以下两个条件识别者A能向验证者B证明他的确是A 在识别者A向验证者提供了证明他的身份信息后验证者B不能取得A的任何有用的信息目前满足上述条件的协议主要有一次一密机制X 509认证协议Kerberos认证协议一次一密机制请求应答机制用户登录时系统随即提示一条信息用户根据信息产生一个口令完成一次登录询问应答方式验证者提出问题由识别者回答然后由验证者验证其真伪 X 509认证协议X 509定义了一种通过X 500目录提供认证服务的框架 X 500是对分布式网络中存储用户信息的数据库所提供的目录检索服务的协议标准而X 509是利用公钥加密技术对X 500的服务所提供认证服务的协议标准 Kerberos认证协议Kerberos基于对称密钥体制一般采用DES 它与网络上的每个实体共享一个不同的密钥通过是否知道秘密密钥来验证身份 5安全技术应用 5 1安全电子邮件 1 PGPPGP是PhilZimmermann在1991年提出的一个安全电子邮件加密方案它已经成为事实上的标准 PGP的操作由5种服务组成鉴别机密性压缩电子邮件的兼容性和分段 PGP利用了4种类型的密钥一次性会话的常规密钥公开密钥私有密钥和基于口令短语的常规密钥当PGP安装之后为用户产生一个公共密钥对这个密钥可以公布在用户的个人网站或者放在公共密钥服务器上私密密钥用密码进行保护每次用户访问这个密钥的时候必须输入密码 5 1安全电子邮件续 2 S MIMES MIME的功能如下加密的数据对于一个或多个接收者而言它是由任意类型的加密内容和加密内容的加密密钥组成的签名的数据通过取得要签名的内容的报文摘要然后使用签名者的私钥对该摘要进行加密形成数字签名透明签名的数据签名的数据形成了内容的数字签名签名并且加密的数据只签名和只加密的实体可以递归使用因此加密的数据可以被签名签名或透明的签名数据可以被加密 5 2网络层安全 IPSec IP安全协议简称为IPSec 是在网络层提供安全的一组协议在IPSec协议族中有两个主要的协议身份认证头 AH 协议和封装安全负载 ESP 协议 AH协议提供了源身份认证和数据完整性但是没有提供秘密性ESP协议提供了数据完整性身份认证和秘密性对于AH和ESP协议源主机在向目的主机发送安全数据报之前源主机和网络主机进行握手并建立网络层逻辑连接这个逻辑连接称为安全协定 SA SA唯一定义为一个三元组包括安全协议标识符单工连接的源IP地址和称为安全参数索引的32位连接标识符 AH协议在发送数据报时 AH头在原有IP数据报数据和IP头之间这样 AH头增加了原有数据字段被封装为标准的IP数据报在IP头的协议字段值51用来表明数据报包含AH头当目的主机接收到带有AH头的IP数据报后它确定数据报的SA 通过处理身份验证数据段来验证数据报的完整性 ESP协议采用ESP协议源主机可以向目的主机发送安全数据报安全数据报是用头部尾部字段来封装原来的IP数据报然后将封装后的数据插入到IP数据报的数据字段对于IP数据报头的协议字段值50用来表示数据报包含ESP头和ESP尾 5 3Web安全 Web所面临的威胁Web服务器安全威胁Web浏览器安全威胁及浏览器与服务器之间的网络通信量安全威胁 Web流量安全性方面 Web流量安全性方法可以分为网络级传输级应用级网络级提供Web安全性的一种方法是使用IPSec协议 IPSec具有过滤功能以便仅用IPSec处理所选的流量传输级提供Web安全性的另一个相对通用的解决方法是在TCP上实现安全性这种方法的例子有安全套接层 SSL 和运输层安全 TLS 的InternetSSL标准应用级与应用有关的安全服务被嵌入到特定的应用程序中这种方法的一个重要的例子是安全的电子交易 SET 6入侵检测技术与防火墙 6 1入侵者入侵者通常是指黑客和解密高手入侵者大致分为3类假冒者指未经授权使用计算机的人和穿透系统的存取控制冒用合法账号的人非法者指未经授权访问数据程序和资源的合法用户或者已经获得授权访问但是错误使用权限的合法用户秘密用户夺取系统超级控制并使用这种控制权逃避审计和访问控制或者抑制审计记录的个人 6 2入侵检测技术入侵检测技术可以分为统计异常检测和基于规则的检测统计异常检测收集一段时间内合法用户的行为然后用统计测试来观测其行为判定该行为是否是合法用户的行为基于规则的检测包括尝试定义用于确定给定行为是否是入侵者行为的规则集合审计记录入侵检测的一个基础工具是审计记录用户活动的记录应作为入侵检测系统的输入记录的获得有两种方法原有的审计记录几乎所有的多用户操作系统都有收集用户行为的审计软件通过这种方法获得的审计记录可能没有包含需要的信息专门用于检测的审计记录可以实现一个收集机制来生成只包含入侵检测系统所需信息的审计记录统计异常检测统计异常检测分为两大类阈值检测和基于轮廓的检测阈值检测与在一个时间区间内对专门的事件类型的出现次数有关如果次数超出了被认为是合理的数值那么就假定出现了入侵阈值分析本身效率不高并且阈值和时间区间必须是提前选定的基于轮廓的异常检测集中于刻画单独用户或相关用户组的过去行为特性然后检测出明显的偏差这种方法的基础在于对审计记录的分析入侵检测模型会分析进入的审计记录以确定与平均行为的偏差可用于基于轮廓的入侵检测的度量机制有计数器标准值间隔定时器资源利用利用这些度量机制可以进行不同的检测来确定当前行为是否在可接受的限度之内基于规则的入侵检测基于规则的技术通过观察系统中的事件应用一个决定给定活动模式是否可疑的规则集来检测入侵行为分为异常检测和渗透鉴别两个方面基于规则的异常检测方法是基于对过去行为的观察分析历史的审计记录来识别出使用模式并自动生成描述那些模式的规则然后观察当前的行为每个事务都和规则集相匹配以确定它是否符合任何观察的历史行为模式基于规则的渗透鉴别采用了基于专家系统技术的方法这样的系统的关键特征是要使用规则来鉴别已知的渗透或利用已知弱点的渗透也可以定义鉴别可以行为的规则这样的规则不是通过对审计记录的自动分析生成的而是由专家生成的这种方法的强度依赖于在建立规则时所涉及的人的技能分布式入侵检测分布式入侵检测是要保护局域网内或内部互联网络内所有的主机安全加利福尼亚大学建立的互联网安全监视器是分布式入侵检测系统的一个很好的例子 6 3防火墙的特性防火墙的定义防火墙是指为了增强驻地网的安全性而嵌入到驻地网和Internet之间从而建立受控制的连接并形成外部安全墙或者说是边界用来防止驻地网收到来自Internet的攻击并在安全性将受到影响的地方形成阻塞点防火墙的设计目标所有从内到外和从外到内的通信量都必须经过防火墙只有被授权的通信才能通过防火墙防火墙对于渗透是免疫的 6 4防火墙的分类包过滤防火墙在网络层依据系统的过滤规则对数据包进行选择和过滤这种规则又称为访问控制表 ACLs 通过检查数据流中的每个数据包的源地址目标地址源端口目的端口及协议状态或它们的组合来确定是否允许该数据包通过通常安装在路由器上应用网关也称代理服务器在应用层上建立协议过滤和转发功能针对特定的网络应用服务协议使用指定的数据过滤逻辑并在过滤的同时对数据包进行必要的分析登记和统计形成报告通常安装在专用工作站系统上 4种常用技术防火墙用来控制访问和执行站点安全策略有4种常用技术服务控制确定可以访问Internet服务的类型方向控制决定哪些特定的方向上服务请求可以被发起并通过防火墙用户控制根据哪个用户尝试访问服务来控制对一个服务的访问行为控制控制怎样使用特定的服务防火墙的功能防火墙定义了单个阻塞点通过它就可以把未授权用户隔离到受保护网络之外禁止危及安全的服务进入或离开网络防止各种IP盗用和路由攻击通过防火墙可以监视与安全有关的事件在防火墙系统中可以采用监听和警报技术防火墙可以为几种与安全无关的因特网服务提供方便的平台其中包括网络地址翻译和网络管理功能部件前者把本地地址映射成因特网地址后者用来监听或记录因特网的使用情况防火墙可以用作IPSec平台 6 4防火墙的分类最常用的防火墙有包过滤路由器应用级网关和电路级网关 1 包过滤路由器包过滤路由器依据一套规则对收到的IP包进行处理决定是转发还是丢弃过滤的具体处理方法视数据包所包含的信息而定如源IP地址目的IP地址源和目的传输层地址 IP协议域和接口等包过滤器可以看作一个规则表由规则表和IP报头或TCP数据头内容的匹配情况来执行过滤操作如果有一条规则与数据包的状态匹配就按照这条规则来执行过滤操作如果不匹配就执行默认操作默认的策略有两种默认丢弃策略所有未明确允许转发的数据包都被丢弃默认转发策略所有未明确规定丢弃的数据包都被转发 2 应用级网关应用级网关也称代理服务器其工作的过程大致为用户使用Telnet和FTP之类的TCP IP应用程序时建立一个到网关的连接网关要求用户出示将要访问的异地机器的正确名称若用户给出了一个有效的用户ID和验证信息网关就建立一个到异地机器的应用连接并开始在访问者和被访问者之间传递包含着应用数据的TCP数据段如果网关无法执行某个应用程序的代理码服务就无法执行也不能通过防火墙发送 3 电路级网关电路级网关不允许一个端到端的直接TCP连接它由网关建立两个TCP连接一个连接网关和网络内部的TCP用户一个连接网关和网络外部的TCP用户连接建立之后网关就起着一个中继的作用将数据段从一个连接转发到另一个连接它通过决定哪个连接被允许建立来实现对其安全性的保障 7计算机病毒问题与防护 7 1计算机病毒计算机病毒的定义计算机病毒是一个程序一段可执行代码它对计算机的正常使用进行破坏使得计算机无法正常使用甚至整个操作系统或硬盘损坏计算机病毒不是独立存在的它隐藏在其他可执行的程序之中既有破坏性又有被传染性和潜伏性除了复制能力外某些计算机病毒还有其他一些共同特性一个被感染的病毒能传送病毒载体病毒的生命周期计算机病毒的完整工作过程包括以下4个环节潜伏阶段这一阶段病毒处于休眠状态病毒要通过某个事件来激发繁殖阶段病毒将与自身完全相同的副本放入其他程序或者磁盘上的特定系统区域触发阶段病毒被激活来进行它想要实现的功能执行阶段功能被实现病毒的结构病毒可以附加在可执行程序的头部或尾部或者采用其他方式嵌入它运行的关键在于被感染的程序当被调用时将首先执行病毒代码然后再执行程序原来的代码一旦病毒通过感染一个程序获得了系统的入口当被感染的程序执行时它就处于感染一些或者所有其他可执行文件的位置因此通过第一步防止病毒获得入口就可以完全避免主要的感染病毒的种类对于重要的类型病毒有如下分类方法寄生病毒将自己附加到可执行文件中当执行被感染的程序时通过感染其他可执行文件来重复存储器驻留病毒病毒寄宿在主存中会感染每个执行的程序引导区病毒感染主引导区或者引导记录当系统从包含了病毒的磁盘启动时进行传播隐形病毒能够在反病毒软件时隐藏自己多态病毒每次感染时会改变的病毒不能通过病毒的签名来检测病毒几种常见的病毒宏病毒利用了在word和其他办公软件中发现的特征称为宏自动执行的宏使得创建宏病毒成为可能如打开文件关闭文件和启动应用程序等电子邮件病毒将MicrosoftWord宏嵌入在电子邮件中一旦接收者打开邮件附件该Word宏就会被激活特洛伊木马伪装成一个使用工具或者游戏诱使用户将其安全在PC或服务器上以获得用户的账号和密码等要注意的是木马程序本质上不能算是一种病毒计算机蠕虫通过分布式网络来扩散传播特定信息或错误破坏网络中的信息或造成网络中断的病毒 7 2计算机病毒的防治策略防治计算机病毒威胁的最好方法是不允许病毒进入系统通常的防治方法能够完成检测标识和清除等操作目前可将反病毒软件分为四代第一代简单的扫描程序第二代启发式的扫描程序第三代行为陷阱第四代全方位的保护谢谢各位学员

展开阅读全文

网络管理与网络安全.ppt

最新文档