计算机网络安全技术-中国科学技术大学

网络信息安全,中国科学技术大学 肖 明 军 xiaomjustc.edu.cn http:/staff.ustc.edu.cn/xiaomj,2,第一章 计算机网络安全概述,教学目的： 掌握计算机网络安全的基本概念、网络面临的各种安全威胁、产生安全威胁的原因，以及网络的安全机制。 重点与难点： 网络安全基本概念、产生安全威胁的原因,3,1.3.2 网络出现安全威胁的原因,1薄弱的认证环节 网络上的认证通常是使用口令来实现的，但口令有公认的薄弱性。网上口令可以通过许多方法破译，其中最常用的两种方法是把加密的口令解密和通过信道窃取口令。,4,1.3.2 网络出现安全威胁的原因,2.系统的易被监视性 用户使用Telnet或FTP连接他在远程主机上的账户，在网上传的口令是没有加密的。入侵者可以通过监视携带用户名和口令的IP包获取它们，然后使用这些用户名和口令通过正常渠道登录到系统。如果被截获的是管理员的口令，那么获取特权级访问就变得更容易了。成千上万的系统就是被这种方式侵入的。,5,1.3.2 网络出现安全威胁的原因,3.易欺骗性 TCP或UDP服务相信主机的地址。如果使用“IP Source Routing”，那么攻击者的主机就可以冒充一个被信任的主机或客户。具体步骤： 第一，攻击者要使用那个被信任的客户的IP地址取代自己的地址； 第二，攻击者构造一条要攻击的服务器和其主机间的直接路径，把被信任的客户作为通向服务器的路径的最后节点； 第三，攻击者用这条路径向服务器发出客户申请； 第四，服务器接受客户申请，就好象是从可信任客户直接发出的一样，然后给可信任客户返回响应； 第五，可信任客户使用这条路径将包向前传送给攻击者的主机。,6,1.3.2 网络出现安全威胁的原因,4.有缺陷的局域网服务和相互信任的主机 主机的安全管理既困难又费时。为了降低管理要求并增强局域网，一些站点使用了诸如NIS(Network Information Service)和NFS(Network File System)之类的服务。这些服务通过允许一些数据库（如口令文件）以分布式方式管理以及允许系统共享文件和数据，在很大程度上减轻了过多的管理工作量。但这些服务带来了不安全因素，可以被有经验闯入者利用以获得访问权。 一些系统（如rlogin）出于方便用户并加强系统和设备共享的目的，允许主机们相互“信任”。如果一个系统被侵入或欺骗，那么闯入者来说，获取那些信任其他系统的访问权就很简单了。,7,1.3.2 网络出现安全威胁的原因,5.复杂的设置和控制 主机系统的访问控制配置复杂且难于验证。因此偶然的配置错误会使闯入者获取访问权。许多网上的安全事故原因是由于入侵者发现的弱点造成。 6.无法估计主机的安全性 主机系统的安全性无法很好的估计：随着一个站点的主机数量的增加，确保每台主机的安全性都处在高水平的能力却在下降。只用管理一台系统的能力来管理如此多的系统就容易犯错误。另一因素是系统管理的作用经常变换并行动迟缓。这导致一些系统的安全性比另一些要低。这些系统将成为薄弱环节，最终将破坏这个安全链。,8,1.3.3 网络安全面临的困难,网络安全是一个“永恒的”问题，没有一劳永逸的解决方案。 网络攻击与网络防守的不对称性 攻击行动是主动行为，相关工具易于获取，攻击行为往往精心准备，且难以被追踪，风险较低。 网络安全的动态性 网络操作系统、软硬件、网络协议不断更新，即使旧的问题解决了，但总会出现新的安全问题。 网络安全的成本问题 网络安全的本质 人性的弱点：缺乏安全意识，缺少安全管理。,9,1.4 网络安全组织机构,IETF（www.ietf.org） 因特网工程任务组（Internet Engineering Task Force）：提出安全协议，如IPSec、TLS、SSH等 CERT/CC（www.cert.org） 计算机安全应急响应/协同中心：响应网络安全事件、提出解决方案、研究入侵趋势、分析漏洞、提供安全评估和培训等服务 NSA（www.nsa.gov）和NIST（www.nist.org） 美国国家安全局：网络安全产品、服务、方案、项目 美国国家标准局：制定标准，安全测试,10,1.4 网络安全组织机构,ISO/ITU（www.ietf.org） 国际化标准组织（International Standard Organization，ISO）：制定安全标准 国际电信联盟（International Telecommunication Union，ITU）：在安全体系结构、模型、目录服务等方面制定标准 中国红客联盟（http:/ www.honkerunion.com） 中国黑客联盟（http:/www.chinahacker.com）,11,1.5 安全体系框架,网络系统安全的总需求是物理安全、网络安全、信息内容安全、应用系统安全的总和，安全的最终目标是确保信息的机密性、完整性、可用性、可控性和抗抵赖性，以及信息系统主体(包括用户、团体、社会和国家)对信息资源的控制。 完整的信息系统安全体系框架由技术体系、组织机构体系和管理体系共同构建。,12,信息安全体系框架图,13,技术体系,1）物理安全技术。信息系统的建筑物、机房条件及硬件设备条件满足信息系统的机械防护安全；通过对电力供应设备以及信息系统组件的抗电磁干扰和电磁泄露性能的选择性措施达到相应的安全目的。物理安全技术运用于物理保障环境(含系统组件的物理环境)。 2）系统安全技术。通过对信息系统与安全相关组件的操作系统的安全性选择措施或自主控制，使信息系统安全组件的软件工作平台达到相应的安全等级，一方面避免操作平台自身的脆弱性和漏洞引发的风险，另一方面阻塞任何形式的非授权行为对信息系统安全组件的入侵或接管系统管理权。,14,组织机构体系,组织机构体系是信息系统安全的组织保障系统，由机构、岗位和人事三个模块构成一个体系。 机构的设置分为三个层次：决策层、管理层和执行层 岗位是信息系统安全管理机关根据系统安全需要设定的负责某一个或某几个安全事务的职位 人事机构是根据管理机构设定的岗位，对岗位上在职、待职和离职的雇员进行素质教育、业绩考核和安全监管的机构。,15,管理是信息系统安全的灵魂。信息系统安全的管理体系由法律管理、制度管理和培训管理三个部分组成。,三分技术，七分管理,1）法律管理是根据相关的国家法律、法规对信息系统主体及其与外界关联行为的规范和约束。 2）制度管理是信息系统内部依据系统必要的国家、团体的安全需求制定的一系列内部规章制度。 3）培训管理是确保信息系统安全的前提。,管理体系,16,1.6 OSI安全体系结构,ISO于1989年正式公布的国际标准ISO 7498-2是阐述OSI（Open System Interconnection）参考模型安全体系结构的权威性文献。它为网络安全共同体提供一组公共的概念和术语，包括安全性要求、安全策略、安全服务、安全机制、安全管理等方面的内容，主要用来描述和讨论安全问题和解决方案。 OSI安全体系结构主要包括：安全服务、安全机制和安全管理。,17,1.6.1 OSI安全服务,认证服务 访问控制服务 数据保密服务 数据完整服务 抗否认服务,18,1.6.1 OSI安全服务,认证（authentication）服务 对等实体鉴别：该服务在数据交换连接建立时提供，用来识别参与数据交换的对等实体，防止假冒。 数据源点鉴别：该服务向接收方保证所接收到的数据单元来自所要求的源点。它不能防止重播或修改数据单元。,19,1.6.1 OSI安全服务,访问控制（access control）服务 该服务防止非授权使用资源。这些资源包括OSI资源和通过OSI协议可以访问到的非OSI资源。该服务可应用于对资源的各种访问类型(如通信资源的使用； 信息资源的读、写和删除； 进程资源的执行)或对资源的所有访问。,20,1.6.1 OSI安全服务,数据保密性（data confidentiality）服务 提供数据保护，防止数据非授权泄露。 连接保密性 向某个连接的所有用户数据提供保密性。 无连接保密性 向单个无连接安全数据单元中的所有用户数据提供保密性。 选择字段保密性 向连接上的用户数据内或单个无连接SDU（服务数据单元）中的被选字段提供保密性。 业务流保密性 防止通过观察业务流而得到有用的保密信息。,21,1.6.1 OSI安全服务,数据完整性（data integrity）服务 这些服务用以抗击主动攻击。 带恢复的连接完整性 该服务提供存一个(N)连接上所有(N) 数据的完整性。检测在整个SDU序列中任何数据的任何修改、插入、删除和重播， 并予以恢复。 不带恢复的连接完整性 与带恢复连接完整性的差别仅在于不提供恢复。 选择字段的连接完整性 提供在一个连接上，传输一个(N)SDU的(N)用户数据内选择字段的完整性， 并以某种形式确定该选择字段是否已被修改、插入、删除或重播。,22,1.6.1 OSI安全服务,无连接完整性 提供单个无连接的SDU的完整性，并以某种形式确定接收到的SDU是否已被修改。还可确定一种检测重播的限定形式。 选择字段无连接完整性 提供在单个无连接SDU内选择字段的完整性，并以某种形式确定选择字段是否已被修改。,23,1.6.1 OSI安全服务,抗否认（non-repution）服务 具有源点证明的不能否认： 为数据接收者提供数据源证明，防止发送者以后任何企图否认发送数据或它的内容。 具有交付证明的不能否认： 为数据发送者提供数据交付证明，防止接收者以后任何企图否认接收数据或它的内容。,24,1.6.2 OSI安全机制,加密机制 访问控制机制 数据完整性机制 数字签名机制 鉴别交换机制 公证机制 业务流填充机制 路由控制机制,25,1.6.2 OSI安全机制,1.加密机制（encipherment mechanism） 加密是提供信息保密的核心方法。按照密钥的类型不同，加密算法可分为对称密钥算法和非对称密钥算法两种。按照密码体制的不同，又可以分为序列密码算法和分组密码算法两种。加密算法除了提供信息的保密性之外，它和其他技术结合，例如hash函数，还能提供信息的完整性。 加密技术不仅应用于数据通信和存储，也应用于程序的运行，通过对程序的运行实行加密保护，可以防止软件被非法复制，防止软件的安全机制被破坏，这就是软件加密技术。,26,1.6.2 OSI安全机制,2.访问控制机制 访问控制可以防止未经授权的用户非法使用系统资源，这种服务不仅可以提供给单个用户，也可以提供给用户组的所有用户。 访问控制是通过对访问者的有关信息进行检查来限制或禁止访问者使用资源的技术，分为高层访问控制和低层访问控制 高层访问控制包括身份检查和权限确认，是通过对用户口令、用户权限、资源属性的检查和对比来实现的。 低层访问控制是通过对通信协议中的某些特征信息的识别、判断，来禁止或允许用户访问的措施。如在路由器上设置过滤规则进行数据包过滤，就属于低层访问控制。,27,1.6.2 OSI安全机制,3.数据完整性机制 数据完整性包括数据单元的完整性和数据序列的完整性两个方面。 数据单元的完整性是指组成一个单元的一段数据不被破坏和增删篡改，通常是把包括有数字签名的文件用hash函数产生一个标记，接收者在收到文件后也用相同的hash函数处理一遍，看看产生的标记是否相同就可知道数据是否完整。 数据序列的完整性是指发出的数据分割为按序列号编排的许多单元时，在接收时还能按原来的序列把数据串联起来，而不要发生数据单元的丢失、重复、乱序、假冒等情况。,28,1.6.2 OSI安全机制,4.数字签名机制（digital signature mechanism） 数字签名机制主要解决以下安全问题： 1否认：事后发送者不承认文件是他发送的。 2伪造：有人自己伪造了一份文件，却声称是某人发送的。 3冒充：冒充别人的身份在网上发送文件。 4篡改：接收者私自篡改文件的内容。 数