综合安全技术

1、综合安全技术万 洋2007.1.4 国内外信息安全现状 信息安全技术介绍信息安全方案体系设计课程安排国内外信息安全现状9.11事件对信息安全的反思现代的信息网络，经常会成为“不对称攻击”的目标，恐 怖主义手段与黑客手段逐步融合；恐怖主义分子以少量的投入在网络上能够实施效果显著 的攻击行为，是弱势群体对强势群体的有效反抗手段；信息网络的基础设施的脆弱性依然存在，且很严重；解决信息安全需要付出巨大代价国内外信息安全现状美国的反应美国发布总统行政令，改组安全管理机构， 设立总统网络安全顾问，完善信息安全技术法规； 出台国土安全国家战略 出台网络安全国家战略同时采取一系列的安全技术 机场安检技术、路闸

2、、关口、监控中心等； 太空信息安全技术，GPS，侦察卫星，天基雷达 网络防御技术：信息战攻防技术群、网络攻防产品研发、 网络执法技术、安全理论研究等；国内外信息安全现状欧洲的反应强化信息安全教育，提高意识；企业BS7799的加强；加强各国应急响应的协调工作；加强CC-ISO-15408标准的工作；政府之间加强身份认证系统的建设；通过关于对信息系统攻击的框架协议、计算机犯罪法规国内外信息安全现状日本的反应把原制订的标准实施修改，对通信加强监听制订电子政务实施过程中的信息安全行动方案加紧建立与信安全相关的政策和法律法规，发布了信息通信网络安全可靠性基准和IT安全政策指南。成立了信息安全措施促进办公

3、室国内外信息安全现状中国的形势电子政务为信息安全注入强大推动力政府对信息安全给了高度的重视安全产业难以适应需求，理论研究也需要加强各主管部门相继出台相关的政策，各部门布置工作，开始实施开展专项整治工作，如互联网内容、网吧、卫星等国内外信息安全现状2004年全国信息安全状况调查有58的被调查单位发生过网络安全事件，其中79的网络安全事件 是计算机病毒、蠕虫和木马程序，发生拒绝服务、端口扫描和篡改网页等网络攻击情况也比较突出，占43， 垃圾邮件也是困扰网络用户的一个突出问题。 造成网络安全事件的主要原因是安全管理制度不落实和安全防范意识薄弱，如未修补、防范软件漏洞，口令过于简单等国内外信息安全现状

4、黑客攻击技术和形态的发展多种攻击技术的融合攻击工具体系化攻击速度提升很快黑客大规模的协作攻击技术更新换代快国家信息安全相关政策2003年7月22日，国家信息化领导小组第三次会议中共中央政治局常委、国务院总理、国家信息化领导小组组长温家宝主持关于加强信息安全保障工作的意见（中办、国办发 2003年27号文）对下一时期的信息安全保障工作提出了 九项要求国家信息安全相关政策2004年1月9日，黄菊同志在关于“全面加强信息安全保障工作，促进信息化健康发展”的讲话中，提出了 “抓紧研究制定基础信息网络和重要信息系统风险评估的管理规范，并组织力量提供技术支持”。国家信息安全相关政策国家保密局 国家保密局发

5、布的计算机信息系统国际联网保密管理规定中规定 ：涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网相联接。信息安全技术 授课内容加密技术身份认证技术防火墙技术物理隔离技术病毒防治技术入侵检测技术VPN技术安全方案设计安全领域面临的挑战 系统太脆弱容易受攻击；攻击时很难及时发现和制止 有组织有计划的入侵无论在数量上还是在质量上都呈现快速增长趋势 在规模和复杂程度上不断扩展网络而很少考虑其安全状况的变化情况 因信息系统安全导致的巨大损失并没有得到充分重视，而有组织的犯罪、 情报和恐怖组织却深谙这种破坏的威力。 企业有投入，有人员，但投入不够，人员不固定。遇有冲突，立刻舍弃

6、企业对整个网络建设缺乏深入细致、具体的安全体系研究，更缺乏建立安 全体系的迫切性 有制度、措施、标准，大部分流于形式，缺乏安全宣传教育 缺乏有效的监督检查措施安全管理技术网络信息安全的关键技术安全集成技术防病毒技术防火墙技术VPN技术入侵检测技术安全评估技术审计分析技术主机安全技术身份认证技术访问控制技术密码技术备份与恢复技术安全产品类型 密钥管理产品高性能加密芯片产品密码加密产品数字 签名产品安全授权认证产品信息保密产品数字证书管理系统用户安全认证卡智能IC卡鉴别与授权服务器安全平台/系统安全操作系统安全数据库系统Web安全平台安全路由器与虚拟专用网络产品网络病毒检查预防和清除产品安全检测与

7、监控产品网络安全隐患扫描检测工具网络安全监控及预警设备网络信息远程监控系统网情分析系统密码学基础密码学(Cryptology): 是研究信息系统安全保密的科学.密码编码学(Cryptography): 主要研究对信息进行编码,实现对信息的隐蔽.密码分析学(Cryptanalytics):主要研究加密消息的破译或消息的伪造.密码从军事走向生活电子邮件 自动提款机电话卡: IP卡、201电话卡银行取钱信用卡购物密码？密码学的起源和发展三个阶段：1949年之前 密码学是一门艺术19491975年 密码学成为科学1976年以后 密码学的新方向公钥密码学密码学的起源隐写术(steganography):

8、 通过隐藏消息的存在来保护消息. 隐形墨水字符格式的变化图象图像 example-i(象形文字的修改)Modified Hieroglyphics, c. 1900 B.C. 密码学的第一个例子是对标准书写符号的修改 例如:古埃及法老坟墓上的文字 思想:代替(substitution) example-iiSpartan Scytale, c. 500 B.C. 斯巴达人用于加解密的一种军事设备 发送者把一条羊皮螺旋形地缠在一个圆柱形棒上思想：置换（permutation)example-iiiPolybius Checkerboard , 205123 B.C. 明文:POLYBIUS密文:

9、3534315412244543 123451ABCDE2FGHIJK3LMNOP4QRSTU5VWXYZExample-ivCaesar Cipher, c. 50 B.C. A B C D E F G X Y Z D E F G H I J A B C 明文:Caesar cipher is a shift substitution 密文:FDHVDU FLSKHU LV D VKLIW VXEVWLWXWLRQExample -VNomenclator 代码本 c.1400字母、符号、单词、短语 代码代码 字母、符号、单词、短语应用：World War II密码算法分类基于密钥的算法，按

10、照密钥的特点分类：对称密码算法（symmetric cipher)：又称传统密码算法（conventional cipher)，就是加密密钥和解密密钥相同，或实质上等同，即从一个易于推出另一个。又称秘密密钥算法或单密钥算法。非对称密钥算法（asymmetric cipher):加密密钥和解密密钥不相同，从一个很难推出另一个。又称公开密钥算法（public-key cipher) 。公开密钥算法用一个密钥进行加密, 而用另一个进行解密.其中的加密密钥可以公开,又称公开密钥（public key)，简称公钥.解密密钥必须保密,又称私人密钥（private key)私钥.简称私钥。加密的优势加密所能

11、提供的四种服务数据的保密性数据的完整性身份认证不可否认性加密的强度决定加密强度的三个重要因素加密算法的强度加密密钥的长度密钥的保密性对称加密对称加密原理%￥#*（#￥%加密解密对称密码原理：加密和解密使用相同密钥加密强度基本由其密钥长度决定目前一般至少为128位主要优缺点：加密速度快管理复杂，风险大对称加密对称加密算法DES数据加密标准Triple DESRSABlowfish非对称加密非对称加密原理%￥#*（#￥%加密解密非对称密码加密技术出现以来最重大的突破原理有两把成对的密钥，称为公钥和私钥，其中公钥可以对外公布用一把密钥加密的数据只有用配对的另一把密钥才能正确解密特点：密钥易于管理，公

12、钥不怕被窃取但速度一般比对称加密算法慢很多非对称加密非对称加密算法RSA-适用于数字签名和密钥交换Ron Rivest、Adi Shamir 和 Leonard AdlemanDSA-仅适用于数字签名Diffie-Hellman-仅适用于密钥交换HASH加密将不同的信息转化成杂乱的128位编码不像另外两种加密，对原始数据没有改动唯一性单向性（One-way Encryption）用于校验数据的完整性用于数字签名HASH算法MD2、MD4及MD5(现广为使用)使用128位的hash值SHA(安全HASH算法)由NIST和NSA开发并用于美国政府使用160位hash值速度与MD5相比要慢25%，但

13、由于信息摘要比MD5长25%，因此更安全一些数字签名在信息通信过程中，接收方能对公正的第三方证明其收到的数据内容是真实的，而且确实是由那个发送方发过来的HASH128位hash值加密发送方的私钥数字签名数字签名的功能接收者能够核实发送方对报文的签名发送方事后不能抵赖对报文的签名任何人不能伪造对报文的签名保证数据的完整性，防止被第三方恶意篡改对数据和信息的来源进行保证，确保发送方的身份数字签名的速度可以满足应用需求使用公钥算法的加密与签名使用公开密钥的签名PKI的理论基础Public Key Infrastructure基础设施PKI是一个用公钥概念和技术来实施和提供安全服务的具有普适性的安全基

14、础设施.PKI的理论基础信任信任类型现实世界网络世界身份认证身份证、护照、信用卡、驾照数字证书、数字签名完 整 性签名、支票、第三方证明数字签名保 密 性保险箱、信封、警卫、密藏加密不可否认性签名、挂号信、公证、邮戳数字签名电子税务安全需求通信安全 身份认证与访问控制 业务安全 解决方案 通信安全 ：SSL身份认证与访问控制 ：数字证书 业务安全：数字签名PKI的应用网上银行安全需求 身份认证 通信安全 访问控制 审记安全实施方案 通过配置PKI来实现 PKI的应用数据机密性保护拨号服务器PSTN Internet 区域Internet边界路由器内部工作子网管理子网一般子网内部WWW重点子网下

15、属机构DDN/FRX.25专线DMZ区域WWW Mail DNS密文传输明文传输明文传输数据完整性保护内部工作子网管理子网一般子网内部WWW重点子网下属机构DDN/FRX.25专线原始数据包对原始数据包进行Hash加密后的数据包摘要Hash摘要对原始数据包进行加密加密后的数据包加密加密后的数据包摘要加密后的数据包摘要摘要解密原始数据包Hash原始数据包与原摘要进行比较，验证数据的完整性数据源身份验证内部工作子网管理子网一般子网内部WWW重点子网下属机构DDN/FRX.25专线原始数据包对原始数据包进行HashHash摘要加密摘要摘要取出DSS原始数据包Hash原始数据包两摘要相比较私钥原始数据

16、包DSSDSS将数字签名附在原始包后面供对方验证签名得到数字签名原始数据包DSS原始数据包DSSDSS解密相等吗？验证通过防火墙技术防火墙：是加载于可信网络与不可信网络之间的安全设备，是网络安全政策的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。防火墙可以是软件、硬件和软硬件结合的发展历经简单包过滤、应用代理、状态检测（状态包过滤）防火墙最新技术是具有数据流过滤功能的防火墙对于一个网络来说，所有通过“内部”和“外部”的网络流量都要经过防火墙防火墙本身必须建立在安全操作系统的基础上防火墙的控制能力服务控制，确定哪些服务可以被访问方向控制，对于特定的服务，可

17、以确定允许哪个方向能够通过防火墙用户控制，根据用户来控制对服务的访问行为控制，控制一个特定的服务的行为防火墙主要功能过滤进、出网络的数据管理进、出网络的访问行为封堵某些禁止的业务记录通过防火墙的信息内容和活动对网络攻击进行检测和报警内部工作子网与外网的访问控制进行访问规则检查发起访问请求合法请求则允许对外访问将访问记录写进日志文件合法请求则允许对外访问发起访问请求防火墙在此处的功能：1、工作子网与外部子网的物理 隔离2、访问控制3、对工作子网做NAT地址转换4、日志记录 Internet 区域Internet边界路由器DMZ区域WWW Mail DNS内部工作子网管理子网一般子网内部WWW重点

18、子网DMZ区域与外网的访问控制 Internet 区域Internet边界路由器进行访问规则检查发起访问请求合法请求则允许对外访问将访问记录写进日志文件禁止对外发起连结请求发起访问请求防火墙在此处的功能：1、DMZ网段与外部子网的物理隔离2、访问控制3、对DMZ子网做MAP映射4、日志记录DMZ区域WWW Mail DNS内部工作子网管理子网一般子网内部WWW重点子网内部子网与DMZ区的访问控制进行访问规则检查发起访问请求合法请求则允许对外访问将访问记录写进日志文件禁止对工作子网发起连结请求发起访问请求 Internet 区域Internet边界路由器DMZ区域WWW Mail DNS内部工作

19、子网管理子网一般子网内部WWW重点子网拨号用户对内部网的访问控制拨号服务器Cisco 2620移动用户PSTNModemModem进行一次性口令认证认证通过后允许访问 内网将访问记录写进日志文件内部工作子网管理子网一般子网内部WWW重点子网下属机构对总部的访问控制拨号服务器PSTN Internet 区域Internet边界路由器内部工作子网管理子网一般子网内部WWW重点子网下属机构DDN/FRX.25专线DMZ区域WWW Mail DNSFW+VPNFW+VPN进行规则检查将访问记录写进日志文件防火墙在此处的功能：1、将内部子网与连接下属机构的公网隔离开2、控制下属机构子网用户对总部内网的访

20、问3、对下属机构网络与总部子网之间的通讯做日志和审计基于时间的访问控制Host C Host D 在防火墙上制定基于时间的访问控制策略上班时间不允许访问Internet上班时间可以访问公司的网络Internet用户级权限控制Host C Host D Host B Host A 受保护网络Internet PermitPasswordUsername预先可在防火墙上设定用户root123root123Yesadmin883No不管那台电脑都可以用相同的用户名来登陆防火墙只需在防火墙设置该用户的规则即可高层协议控制 应用控制可以对常用的高层应用做更细的控制 如HTTP的GET、POST、HEAD

21、 如FTP的GET、PUT等物理层链路层网络层传输层会话层表示层应用层物理层链路层网络层传输层会话层表示层应用层内部网络外部网络防火墙内部接口外部接口根据策略检查应用层的数据符合策略应用层应用层应用层IP与MAC绑定InternetHost A Host BHost CHost D00-50-04-BB-71-A600-50-04-BB-71-BCBind To 00-50-04-BB-71-A6Bind To 00-50-04-BB-71-BCIP与MAC地址绑定后，不允许Host B假冒Host A的IP地址上网防火墙允许Host A上网流量控制Host C Host D Host B H

22、ost A 受保护网络Host A的流量已达到 10MHost A的流量已达到 极限值30M阻断Host A的连接Internet端口映射Internet 公开服务器可以使用私有地址 隐藏内部网络的结构WWW FTP MAIL DNS ：80：80：21：21：25：25：53：53NAT网关和IP复用Internet4Host A受保护网络Host C Host D 15防火墙Eth2：3Eth0：数据IP报头数据IP报头源地址：1目地址：4源地址：目地址：4 隐藏了内部网络的结构 内部网络可以使用私有IP地址 公开地址不足的网络可以使用这种方式提供IP复用功能透明接入受保护网络Intern

23、et如果防火墙支持透明模式，则内部网络主机的配置不用调整Host A Host CHost DHost B同一网段透明模式下，这里不用配置IP地址透明模式下，这里不用配置IP地址Default Gateway=防火墙相当于网桥，原网络结构没有改变信息系统审计与日志Host A Host BHost CHost DInternet安全网域Host G Host H TCP8：302001-02-07TCP9：102001-02-07写入日志写入日志一旦出现安全事故可以查询此日志身份鉴别功能Host C Host D Host B Host A 受保护网络Internet PermitPasswo

24、rdUsername预先可在防火墙上设定用户rootasdasdf验证通过则允许访问root123Yesadmin883No 用户身份认证 根据用户控制访问防火墙的类型包过滤路由器应用层网关电路层网关这仅是一种防火墙分类方法，所着眼的视角不同，得到的类型划分也不一样包过滤防火墙基本的思想很简单对于每个进来的包，适用一组规则，然后决定转发或者丢弃该包往往配置成双向的如何过滤过滤的规则以IP和传输层的头中的域(字段)为基础，包括源和目标IP地址、IP协议域、源和目标端口号过滤器往往建立一组规则，根据IP包是否匹配规则中指定的条件来作出决定包过滤路由器示意图网络层链路层物理层外部网络内部网络包过滤H

25、ost C Host D 数据包数据包数据包数据包数据包查找对应的控制策略拆开数据包进行分析根据策略决定如何处理该数据包数据包控制策略 基于源IP地址 基于目的IP地址 基于源端口 基于目的端口 基于时间基于用户 基于流量基于数据流可以灵活的制定的控制策略包过滤防火墙的优缺点在网络层上进行监测并没有考虑连接状态信息通常在路由器上实现实际上是一种网络的访问控制机制优点实现简单对用户透明效率高缺点正确制定规则并不容易不可能引入认证机制针对包过滤防火墙的攻击IP地址欺骗，例如，假冒内部的IP地址对策：在外部接口上禁止内部地址源路由攻击，即由源指定路由对策：禁止这样的选项小碎片攻击，利用IP分片功能把

26、TCP头部切分到不同的分片中对策：丢弃分片太小的分片利用复杂协议和管理员的配置失误进入防火墙例如，利用ftp协议对内部进行探查应用层网关也称为代理服务器特点所有的连接都通过防火墙，防火墙作为网关在应用层上实现可以监视包的内容可以实现基于用户的认证所有的应用需要单独实现可以提供理想的日志功能非常安全，但是开销比较大应用层网关的优缺点优点允许用户“直接”访问Internet易于记录日志缺点新的服务不能及时地被代理每个被代理的服务都要求专门的代理软件客户软件需要修改，重新编译或者配置有些服务要求建立直接连接，无法使用代理代理服务不能避免协议本身的缺陷或者限制防火墙的配置几个概念堡垒主机(Bastio

27、n Host)：对外部网络暴露，同时也是内部网络用户的主要连接点双宿主主机(dual-homed host)：至少有两个网络接口的通用计算机系统DMZ(Demilitarized Zone，非军事区或者停火区)：在内部网络和外部网络之间增加的一个子网配置方案一：双宿主堡垒主机方案所有的流量都通过堡垒主机优点：简单防火墙设计规则保持设计的简单性计划好防火墙被攻破时的应急响应考虑以下问题双机热备安全的远程管理入侵监测的集成数据保护功能双机热备内部网外网或者不信任域Eth 0Eth 0Eth1Eth1Eth2Eth2心跳线Active FirewallStandby Firewall检测Active

28、 Firewall的状态发现出故障，立即接管其工作 正常情况下由主防火墙工作主防火墙出故障以后，接管它的工作安全远程管理安全网域Host C Host D Internet管理员黑客如何实现安全管理呢采用一次性口令认证来实现安全管理用户名，口令用户名，口令防火墙的不足防火墙并非万能，防火墙不能完成的工作：源于内部的攻击不通过防火墙的连接完全新的攻击手段不能防病毒物理隔离技术的出现背景操作系统的漏洞 功能越多，漏洞越多 应用越新，漏洞越多 用的人越多，找出漏洞的可能性越大 用的越广泛，漏洞曝光的几率就越大TCP/IP的漏洞 防火墙漏洞Bug、漏洞！物理隔离技术物理隔离的作用 物理隔离技术是将内外

29、网物理分开，用户在同一时刻只能访问一个网。物理隔离是在物理连接上进行隔离，比起防火墙等逻辑隔离手段具有更高的安全性。内网隔离器外网IDS（Intrusion Detection System）就是入侵检测系统，它通过抓取网络上的所有报文，分析处理后，报告异常和重要的数据模式和行为模式，使网络安全管理员清楚地了解网络上发生的事件，并能够采取行动阻止可能的破坏。 入侵检测的概念和作用监控室=控制中心后门保安=防火墙摄像机=探测引擎Card Key形象地说，它就是网络摄象机，能够捕获并记录网络上的所有数据，同时它也是智能摄象机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光摄象机，能够穿

30、透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄象机，还包括保安员的摄象机，能够对入侵行为自动地进行反击：阻断连接、关闭道路（与防火墙联动）。入侵检测系统 FirewallInternetServersDMZIDS AgentIntranet监控中心router攻击者发现攻击发现攻击发现攻击报警报警IDS Agent入侵检测系统的作用实时检测实时地监视、分析网络中所有的数据报文发现并实时处理所捕获的数据报文安全审计对系统记录的网络事件进行统计分析发现异常现象得出系统的安全状态，找出所需要的证据主动响应主动切断连接或与防火墙联动，调用其他程序处理利用RealSecure进行可适应性攻击检测和响

31、应DMZ? E-Mail? File Transfer? HTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继外部攻击警告!记录攻击外部攻击终止连接入侵检测工具举例DMZ? E-Mail? File Transfer? HTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继内部攻击警告!启动事件日志,发送消息利用RealSecure进行可适应性攻击检测和响应入侵检测工具举例利用RealSecure进行可适应性攻击检测和响应DMZ? E-Mail? File Transfer? HTTPIntranet企业网络生产部工程部市场部人事部路由In

32、ternet中继外部攻击商务伙伴警告!记录进攻,发送消息,终止连接外部攻击中止连接重新配置路由或防火墙以便隐藏IP地址入侵检测工具举例安全评估系统的发展历程简单的扫描程序功能较为强大的商业化扫描程序安全评估专家系统 最早出现的是专门为UNIX系统编写的一些只具有简单功能的小程序，多数由黑客在业余时间编写。特点是功能单一，通常只能进行端口或CGI扫描等等；使用复杂，通常只有黑客才能够熟练使用；源代码开放。Nmap即是其代表作品。 99年以前，出现的功能较为强大的商业化产品，特点是测试项数目较多，使用简单。但是通常只是简单的把各个扫描测试项的执行结果罗列出来，直接提供给测试者而不对信息进行任何分析

33、处理。对结果的评估分析、报告功能很弱。这时期的产品，主要功能还是扫描。CyberCop和ISS Scanner是其中的代表。 近两年，主要商业化产品均运行Windows操作系统平台上，充分利用了WINDOWS平台上界面的友好性和开发的简单行。正在进行由安全扫描程序到安全评估专家系统的过渡。不但使用简单方便，能够将对单个主机的扫描结果整理，形成报表，能够并对具体漏洞提出一些解决方法。 但目前产品对网络的状况缺乏一个整体的评估，对网络安全没有系统的解决方案。安全评估系统分类基于网络的安全评估产品对关键网络及设备进行安全评估 基于主机的安全评估产品对关键主机进行安全评估 专用安全评估产品如数据库安全评估产品安全评估系统工作原理远程扫描分析目标设备1、发送带有明显攻击特征的数据包2、等待目的主机或设备的响应3、分析回来的数据包的特征4、判断是否具有该脆弱性或漏洞安全评估主要功能网络安全评估功能 评估分析结果报表 服务检查功能 隔离检查的功能 实用工具 传统联网方式合作伙伴/客户公司总部办事处/SOHO公