1、1第第9章章 网络安全网络安全 本章要点本章要点网络安全的基本概念网络安全的基本概念网络安全策略网络安全策略加密技术加密技术认证技术认证技术安全技术应用安全技术应用防火墙的概念防火墙的概念2 9.1.1 网络安全的五大原则网络安全的五大原则 一般对信息系统安全的认知与评判方式,包含五项原一般对信息系统安全的认知与评判方式,包含五项原则:私密性、完整性、身份鉴别、授权、不可否认性。这则:私密性、完整性、身份鉴别、授权、不可否认性。这五项原则虽各自独立,在实际维护系统安全时,却又环环五项原则虽各自独立,在实际维护系统安全时,却又环环相扣缺一不可。相扣缺一不可。(1)私密性。当信息可被信息来源人士、
2、收受人之外的第)私密性。当信息可被信息来源人士、收受人之外的第三者,以恶意或非恶意的方式得知时,就丧失了私密性。三者,以恶意或非恶意的方式得知时,就丧失了私密性。某些形式的信息特别强调隐私性,诸如个人身份资料、信某些形式的信息特别强调隐私性,诸如个人身份资料、信用交易记录、医疗保险记录、公司研发资料及产品规格等用交易记录、医疗保险记录、公司研发资料及产品规格等等。等。(2)完整性。当信息被非预期的方式更改时,就丧失了完)完整性。当信息被非预期的方式更改时,就丧失了完整性。如飞航交通、金融交易等应用场合,资料遭受变动整性。如飞航交通、金融交易等应用场合,资料遭受变动后可能会造成重大的生命财产损失
3、,因此须特别重视资料后可能会造成重大的生命财产损失,因此须特别重视资料的完整性。的完整性。9.1 网络安全概述3 9.1.1 网络安全的五大原则网络安全的五大原则 (3)身份鉴别。身份鉴别确保使用者能够提出与宣)身份鉴别。身份鉴别确保使用者能够提出与宣称身份相符的证明。对于信息系统,这项证明可能是称身份相符的证明。对于信息系统,这项证明可能是电子形式,或其他独一无二的方式。电子形式,或其他独一无二的方式。(4)授权。系统必须能够判定用户是否具备足够的权)授权。系统必须能够判定用户是否具备足够的权限,进行特定的活动。因为系统授权给特定用户后,限,进行特定的活动。因为系统授权给特定用户后,用户才具
4、备运行于系统之上的权限,因此用户事先必用户才具备运行于系统之上的权限,因此用户事先必须经由系统身份鉴别,才能取得对应的权限。须经由系统身份鉴别,才能取得对应的权限。(5)不可否认性。用户在系统进行某项运作之后,若)不可否认性。用户在系统进行某项运作之后,若事后能提出证明,而无法加以否认,便具备不可否认事后能提出证明,而无法加以否认,便具备不可否认性。因为在系统运作时必须拥有权限,不可否认性通性。因为在系统运作时必须拥有权限,不可否认性通常是架构在授权机制之上的。常是架构在授权机制之上的。49.1.2 网络安全的内容网络安全的内容 1网络安全涉及的范围网络安全涉及的范围 网络安全应包括如下几个方
5、面的内容:网络安全应包括如下几个方面的内容:(1)网络环境安全:监控用户以及设置他们能在系统中做)网络环境安全:监控用户以及设置他们能在系统中做什么、访问控制、身份识别与授权、监视路由器、使用防什么、访问控制、身份识别与授权、监视路由器、使用防火墙以及其他一些方法。火墙以及其他一些方法。(2)数据加密:即使数据被偷窃也不至于泄密。)数据加密:即使数据被偷窃也不至于泄密。(3)调制解调器安全:使用一些技术阻碍非法的调制解调)调制解调器安全:使用一些技术阻碍非法的调制解调器访问。器访问。(4)网络隔离:使用防火墙等技术以防止通讯威胁,有效)网络隔离:使用防火墙等技术以防止通讯威胁,有效地隔离非法入
6、侵。地隔离非法入侵。(5)建立系统维护和管理计划:从安全的角度建立适当的)建立系统维护和管理计划:从安全的角度建立适当的规章制度,有计划地维护和管理网络,防患于未然。规章制度,有计划地维护和管理网络,防患于未然。(6)灾难和意外应急计划:建立灾难应急计划、备份方案)灾难和意外应急计划:建立灾难应急计划、备份方案和其他方法等,保证及时恢复系统数据。和其他方法等,保证及时恢复系统数据。59.1.2 网络安全的内容网络安全的内容 2安全机制安全机制 为向用户提供安全服务,计算机网络通常为向用户提供安全服务,计算机网络通常采用以下几种安全机制:采用以下几种安全机制:(1)加密机制:网络加密是网络中采用
7、的最)加密机制:网络加密是网络中采用的最基本的安全技术。网络中的数据加密,除了选基本的安全技术。网络中的数据加密,除了选择加密算法和密钥外,主要问题是加密方式及择加密算法和密钥外,主要问题是加密方式及实现加密的网络协议层和密钥的分配及管理。实现加密的网络协议层和密钥的分配及管理。除了对话层外,加密机制应在其他各层设置,除了对话层外,加密机制应在其他各层设置,以确保信息、数据不泄密。以确保信息、数据不泄密。69.1.2 网络安全的内容网络安全的内容(2)数字签名机制:数字签名是一个密文收)数字签名机制:数字签名是一个密文收发双方签字和确认的过程。所用的签署信息是发双方签字和确认的过程。所用的签署
8、信息是签名者所专有的、秘密和惟一的,而对接收方签名者所专有的、秘密和惟一的,而对接收方检验该签署所用的信息和程序则是公用的。签检验该签署所用的信息和程序则是公用的。签名只能由签名者的专用信息来产生。名只能由签名者的专用信息来产生。79.1.2 网络安全的内容网络安全的内容(3)访问控制机制:访问控制是在由鉴别)访问控制机制:访问控制是在由鉴别机制提供的信息基础上,来限制任何非授机制提供的信息基础上,来限制任何非授权的资源存取。对于文件和数据库设置安权的资源存取。对于文件和数据库设置安全属性,对其共享的程度予以划分,通过全属性,对其共享的程度予以划分,通过存取矩阵来限制用户使用方式。当一个用存取
9、矩阵来限制用户使用方式。当一个用户非法使用未经授权的资源时,该机制将户非法使用未经授权的资源时,该机制将拒绝非法企图,并向审计跟踪系统报告。拒绝非法企图,并向审计跟踪系统报告。89.1.2 网络安全的内容网络安全的内容(4)数据完整性机制:该机制为保证数据完整)数据完整性机制:该机制为保证数据完整性而设置,发送实体在数据单元上加一标记,性而设置,发送实体在数据单元上加一标记,这个标记是数据本身的函数或密码校验函数,这个标记是数据本身的函数或密码校验函数,并予以加密,接收实体产生一个对应的标记,并予以加密,接收实体产生一个对应的标记,并将接收实体所产生的标记与接收的标记相比并将接收实体所产生的标
10、记与接收的标记相比较,确定在传输过程中数据是否被修改或是否较,确定在传输过程中数据是否被修改或是否丢失、遗漏等。丢失、遗漏等。99.1.2 网络安全的内容网络安全的内容(5)交换鉴别机制:鉴别是为每一个通信方查明另一)交换鉴别机制:鉴别是为每一个通信方查明另一个实体身份和特权的过程。它是在对等实体间交换认个实体身份和特权的过程。它是在对等实体间交换认证信息,以便检验和确认对等实体的合法性。鉴别机证信息,以便检验和确认对等实体的合法性。鉴别机制中采用报文鉴别,也可以采用数字签名或终端识别制中采用报文鉴别,也可以采用数字签名或终端识别等多种方式。报文鉴别是在通信双方建立通信联系之等多种方式。报文鉴
11、别是在通信双方建立通信联系之后,每个通信者对收到的信息进行验证,以保证所收后,每个通信者对收到的信息进行验证,以保证所收到的信息的真实性的过程,也就是验证报文完整性。到的信息的真实性的过程,也就是验证报文完整性。一旦这种鉴别信息被得知,并且它的准确性和完整性一旦这种鉴别信息被得知,并且它的准确性和完整性有保证,那么本地用户或系统就可做出适当的判断:有保证,那么本地用户或系统就可做出适当的判断:什么样的数据可以发送到对方。什么样的数据可以发送到对方。109.1.2 网络安全的内容网络安全的内容(6)流量填充机制:对抗非法者在线路上监听数据,)流量填充机制:对抗非法者在线路上监听数据,并对其进行流
12、量和流向分析,一般采用由保密装置在并对其进行流量和流向分析,一般采用由保密装置在无信号传输时,连续发出伪随机序列的方法使非法访无信号传输时,连续发出伪随机序列的方法使非法访问者无法判断和辨别有用信息和无用信息。问者无法判断和辨别有用信息和无用信息。(7)路由选择机制:路由选择机制实际上就是流向控)路由选择机制:路由选择机制实际上就是流向控制。在一个大型网络系统中,选择安全通路是一个重制。在一个大型网络系统中,选择安全通路是一个重要问题。这种选择可以由用户提出申请,在自己的程要问题。这种选择可以由用户提出申请,在自己的程序和数据前打上路由标志;也可以在网络安全控制机序和数据前打上路由标志;也可以
13、在网络安全控制机构检测出不安全路由后,通过动态调整路由表限制某构检测出不安全路由后,通过动态调整路由表限制某些不安全通路信息。些不安全通路信息。119.1.2 网络安全的内容网络安全的内容(8)公证机制:通信双方开展数据通信必须)公证机制:通信双方开展数据通信必须经过公证机制进行交换,以确保公证机构得到经过公证机制进行交换,以确保公证机构得到必要的信息,以供仲裁。必要的信息,以供仲裁。3网络安全检查的内容网络安全检查的内容 (1)网络服务器:建立访问控制、服务器设备)网络服务器:建立访问控制、服务器设备隔离、计算机网络防毒措施、控制和监督高级隔离、计算机网络防毒措施、控制和监督高级别权限的用户
14、(如系统管理员)。别权限的用户(如系统管理员)。(2)工作站或客户机:对最终会访问服务器工)工作站或客户机:对最终会访问服务器工作站的安全措施,如是否启用了访问控制。作站的安全措施,如是否启用了访问控制。129.1.2 网络安全的内容网络安全的内容 (3)互联设备:参数设置是否适当,局部网络分隔,)互联设备:参数设置是否适当,局部网络分隔,授权使用的措施等等。授权使用的措施等等。(4)网络操作系统及相关软件:检查操作系统、各种)网络操作系统及相关软件:检查操作系统、各种管理和监控软件的安全控制参数设置及运行状况。管理和监控软件的安全控制参数设置及运行状况。(5)网络上运行的应用软件:对运行的程
15、序和数据的)网络上运行的应用软件:对运行的程序和数据的访问进行保护或限制的措施和办法。访问进行保护或限制的措施和办法。(6)线缆和通讯媒介:通过通讯媒介传输数据,建立)线缆和通讯媒介:通过通讯媒介传输数据,建立必要保护以防被拦截、损坏或其他形式破坏的办法与必要保护以防被拦截、损坏或其他形式破坏的办法与措施,定期检查线缆的安排和落实。措施,定期检查线缆的安排和落实。139.1.2 网络安全的内容网络安全的内容 (7)网络上使用的和传输的信息:主要是保密措施。)网络上使用的和传输的信息:主要是保密措施。(8)调制解调器:检查调制解调器和当前提供的外部)调制解调器:检查调制解调器和当前提供的外部访问
16、尚存的安全弱点或需处理的问题。访问尚存的安全弱点或需处理的问题。(9)访问人员:不同的职员访问权限、已解雇人员或)访问人员:不同的职员访问权限、已解雇人员或外来顾客访问等区别接待规则的制定及落实。外来顾客访问等区别接待规则的制定及落实。(10)文本:有关本网络的信息被记录、公开、发布)文本:有关本网络的信息被记录、公开、发布等情况。等情况。149.2 安全策略安全策略 9.2.1 安全威胁安全威胁安全威胁是指某个人、物、事件或概念对某安全威胁是指某个人、物、事件或概念对某一资源的机密性、完整性、可用性或合法性所一资源的机密性、完整性、可用性或合法性所造成的危害。造成的危害。159.2 安全策略
17、安全策略 1基本威胁基本威胁 网络安全的基本目标是实现信息的机密性、完整性、可网络安全的基本目标是实现信息的机密性、完整性、可用性和合法性。四个基本的安全威胁直接反映了这四个安全用性和合法性。四个基本的安全威胁直接反映了这四个安全目标。一般认为,目前网络存在的威胁主要表现在:目标。一般认为,目前网络存在的威胁主要表现在:1)信息泄漏或丢失)信息泄漏或丢失这是针对信息机密性的威胁,它指敏感数据在有意或无这是针对信息机密性的威胁,它指敏感数据在有意或无意中被泄漏出去或丢失。意中被泄漏出去或丢失。2)破坏数据完整性)破坏数据完整性以非法手段窃得对数据的使用权,删除、修改、插入或以非法手段窃得对数据的
18、使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加重发某些重要信息,以取得有益于攻击者的响应;恶意添加、修改数据,以干扰用户的正常使用。、修改数据,以干扰用户的正常使用。169.2 安全策略安全策略 3)拒绝服务)拒绝服务 它不断对网络服务系统进行干扰,改变其正常的作它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。算机网络系统或不能得到相应的服务。
19、4)非授权访问)非授权访问 没有预先经过同意就使用网络或计算机资源被看作没有预先经过同意就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问备及资源进行非正常使用,或擅自扩大权限,越权访问信息。信息。179.2 安全策略安全策略l2渗入威胁和植入威胁渗入威胁和植入威胁 在基本威胁中,目前常见的可以实现的威胁主要包括两在基本威胁中,目前常见的可以实现的威胁主要包括两类:渗入威胁和植入威胁。渗入威胁主要有:假冒、旁路控类:渗入威胁和植入威胁。渗入威胁主要有:假冒、旁路控制、授权侵
20、犯。植入威胁主要有:特洛伊木马、后门。制、授权侵犯。植入威胁主要有:特洛伊木马、后门。1)渗入威胁)渗入威胁 假冒:这是大多数黑客采用的攻击方法。某个未授权实假冒:这是大多数黑客采用的攻击方法。某个未授权实体使守卫者相信它是一个合法的实体,从而攫取该合法用户体使守卫者相信它是一个合法的实体,从而攫取该合法用户的特权。的特权。旁路控制:攻击者通过各种手段发现本应保密却又暴露旁路控制:攻击者通过各种手段发现本应保密却又暴露出来的一些系统出来的一些系统“特征特征”,利用这些,利用这些“特征特征”,攻击者绕过,攻击者绕过防线守卫者渗入系统内部。防线守卫者渗入系统内部。授权侵犯:也称为授权侵犯:也称为“
21、内部威胁内部威胁”,授权用户将其权限用,授权用户将其权限用于其他未授权的目的。于其他未授权的目的。189.2 安全策略安全策略 2)植入威胁)植入威胁 特洛伊木马特洛伊木马:攻击者在正常的软件中隐藏一段用于其他目:攻击者在正常的软件中隐藏一段用于其他目的的程序,这段隐藏的程序段以安全攻击作为其最终目标。的的程序,这段隐藏的程序段以安全攻击作为其最终目标。后门后门:后门程序的存在是为了便于测试、更改和增强模块:后门程序的存在是为了便于测试、更改和增强模块的功能。当一个训练有素的程序员设计一个功能较复杂的软件的功能。当一个训练有素的程序员设计一个功能较复杂的软件时,都习惯于先将整个软件分割为若干模
22、块,然后再对各模块时,都习惯于先将整个软件分割为若干模块,然后再对各模块单独设计、调试,而后门则是一个模块的秘密入口。按照正常单独设计、调试,而后门则是一个模块的秘密入口。按照正常操作程序,在软件交付用户之前,程序员应该去掉软件模块中操作程序,在软件交付用户之前,程序员应该去掉软件模块中的后门,但是,由于程序员的疏忽,或者故意将其留在程序中的后门,但是,由于程序员的疏忽,或者故意将其留在程序中以便日后可以对此程序进行隐蔽的访问,方便测试或维护已完以便日后可以对此程序进行隐蔽的访问,方便测试或维护已完成的程序等原因,实际上并未将后门程序去掉。这样,后门就成的程序等原因,实际上并未将后门程序去掉。
23、这样,后门就可能被程序的开发者所使用,也可能被其他人用穷举搜索法发可能被程序的开发者所使用,也可能被其他人用穷举搜索法发现并利用。现并利用。199.2 安全策略安全策略 3潜在威胁潜在威胁对各种类型的安全威胁进行分析,可以发现某些特定的对各种类型的安全威胁进行分析,可以发现某些特定的潜在威胁,而任意一种潜在威胁都可能导致发生一些更基本潜在威胁,而任意一种潜在威胁都可能导致发生一些更基本的威胁。下图给出了一些典型的威胁以及它们之间的相互关的威胁。下图给出了一些典型的威胁以及它们之间的相互关系。系。209.2 安全策略安全策略 4电脑病毒电脑病毒电脑病毒是一种特殊的电脑程序,具有破坏电脑功能或电脑
24、病毒是一种特殊的电脑程序,具有破坏电脑功能或数据,影响电脑使用并且能够自我复制的功能。电脑病毒通数据,影响电脑使用并且能够自我复制的功能。电脑病毒通常寄生在系统启动区、设备驱动程序或者操作系统的可执行常寄生在系统启动区、设备驱动程序或者操作系统的可执行文件内,甚至可以嵌入到任何应用程序中,并能利用系统资文件内,甚至可以嵌入到任何应用程序中,并能利用系统资源进行自我复制,破坏电脑系统。源进行自我复制,破坏电脑系统。219.2.2 安全攻击安全攻击安全攻击就是安全威胁的具体实现。当信息从安全攻击就是安全威胁的具体实现。当信息从信源向信宿流动时,可能会受到各种类型的攻击,信源向信宿流动时,可能会受到
25、各种类型的攻击,如下图所示。如下图所示。229.2.2 安全攻击安全攻击 中断是指系统资源遭到破坏或变得不能使用。这是对可用性的攻中断是指系统资源遭到破坏或变得不能使用。这是对可用性的攻击。击。截取是指未授权的实体得到了资源的访问权。这是对机密性的攻截取是指未授权的实体得到了资源的访问权。这是对机密性的攻击。未授权实体可能是一个人、一个程序或一台计算机。击。未授权实体可能是一个人、一个程序或一台计算机。修改是指未授权的实体不仅得到了访问权,而且还篡改了资源。修改是指未授权的实体不仅得到了访问权,而且还篡改了资源。这是对完整性的攻击。这是对完整性的攻击。捏造是指未授权的实体向系统中插入伪造的对象
26、。这是对合法性捏造是指未授权的实体向系统中插入伪造的对象。这是对合法性的攻击。的攻击。239.2.2 安全攻击安全攻击 1被动攻击和主动攻击被动攻击和主动攻击安全攻击可分为被动攻击和主动攻击两种,如安全攻击可分为被动攻击和主动攻击两种,如图所示。图所示。被动攻击的特点是偷听或监视传送。其目的是获得被动攻击的特点是偷听或监视传送。其目的是获得正在传送的信息。被动攻击有:泄露信息内容和通正在传送的信息。被动攻击有:泄露信息内容和通信量分析等。信量分析等。主动攻击涉及修改数据流或创建数据流,它包括假主动攻击涉及修改数据流或创建数据流,它包括假冒、重放、修改消息和拒绝服务等。冒、重放、修改消息和拒绝服
27、务等。249.2.2 安全攻击安全攻击 2服务攻击和非服务攻击服务攻击和非服务攻击 从网络高层协议的角度划分,攻击方法可以概从网络高层协议的角度划分,攻击方法可以概括地分为两大类:服务攻击与非服务攻击。服务攻括地分为两大类:服务攻击与非服务攻击。服务攻击是针对某种特定网络服务的攻击,非服务攻击不击是针对某种特定网络服务的攻击,非服务攻击不针对某项具体应用服务,而是基于网络层等低层协针对某项具体应用服务,而是基于网络层等低层协议而进行的。议而进行的。25 9.2.3 安全策略与安全管理安全策略与安全管理面对网络安全的脆弱性,除了在网络设计上增面对网络安全的脆弱性,除了在网络设计上增加安全服务功能
28、,完善系统的安全保密措施外,还加安全服务功能,完善系统的安全保密措施外,还必须花大力气制定完善的安全策略,加强网络的安必须花大力气制定完善的安全策略,加强网络的安全管理。全管理。1安全策略的组成安全策略的组成安全策略是指在一个特定的环境里,为保证提供一安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。安全策略模定级别的安全保护所必须遵守的规则。安全策略模型包括了建立安全环境的三个重要组成部分:威严型包括了建立安全环境的三个重要组成部分:威严的法律,先进的技术,严格的管理。的法律,先进的技术,严格的管理。26 9.2.3 安全策略与安全管理安全策略与安全管理威严的法律
29、:安全的基石是社会法律、法规与手段威严的法律:安全的基石是社会法律、法规与手段,这部分用于建立一套安全管理标准和方法。即通,这部分用于建立一套安全管理标准和方法。即通过建立与信息安全相关的法律、法规,使非法分子过建立与信息安全相关的法律、法规,使非法分子慑于法律,不敢轻举妄动。慑于法律,不敢轻举妄动。先进的技术:先进的安全技术是信息安全的根本保先进的技术:先进的安全技术是信息安全的根本保障,用户对自身面临的威胁进行风险评估,决定其障,用户对自身面临的威胁进行风险评估,决定其需要的安全服务种类,选择相应的安全机制,然后需要的安全服务种类,选择相应的安全机制,然后集成先进的安全技术。集成先进的安全
30、技术。严格的管理:各网络使用机构、企业和单位应建立严格的管理:各网络使用机构、企业和单位应建立相宜的信息安全管理办法,加强内部管理,建立审相宜的信息安全管理办法,加强内部管理,建立审计和跟踪体系,提高整体信息安全意识。计和跟踪体系,提高整体信息安全意识。27 9.2.3 安全策略与安全管理安全策略与安全管理l2安全管理原则安全管理原则 网络信息系统的安全管理主要基于三个原则。网络信息系统的安全管理主要基于三个原则。1)多人负责原则)多人负责原则 每一项与安全有关的活动,都必须有两人或多人在场。这每一项与安全有关的活动,都必须有两人或多人在场。这些人应是系统主管领导指派的,他们忠诚可靠,能胜任此
31、项工些人应是系统主管领导指派的,他们忠诚可靠,能胜任此项工作;他们应该签署工作情况记录以证明安全工作已得到保障。作;他们应该签署工作情况记录以证明安全工作已得到保障。2)任期有限原则)任期有限原则 一般地讲,任何人最好不要长期担任与安全有关的职务,一般地讲,任何人最好不要长期担任与安全有关的职务,以免使他认为这个职务是专有的或永久性的。为遵循任期有限以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则,工作人员应不定期地循环任职,强制实行休假制度,并原则,工作人员应不定期地循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。规定对工作人员进行轮流培训,以使
32、任期有限制度切实可行。28 9.2.3 安全策略与安全管理安全策略与安全管理3)职责分离原则)职责分离原则 在信息处理系统工作的人员不要打听、了解或在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情,除非系参与职责以外的任何与安全有关的事情,除非系统主管领导批准。出于对安全的考虑,下面每组统主管领导批准。出于对安全的考虑,下面每组内的两项信息处理工作应当分开:计算机操作与内的两项信息处理工作应当分开:计算机操作与计算机编程;机密资料的接收和传送;安全管理计算机编程;机密资料的接收和传送;安全管理和系统管理;应用程序和系统程序的编制;访问和系统管理;应用程序和系统程序的编
33、制;访问证件的管理与其他工作;计算机操作与信息处理证件的管理与其他工作;计算机操作与信息处理系统使用媒介的保管等。系统使用媒介的保管等。29 9.2.3 安全策略与安全管理安全策略与安全管理 3安全管理的实现安全管理的实现 信息系统的安全管理部门应根据管理原则和该系统处理信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制订相应的管理制度或采用相应的规范。具数据的保密性,制订相应的管理制度或采用相应的规范。具体工作是:体工作是:(1)根据工作的重要程度,确定该系统的安全等级。)根据工作的重要程度,确定该系统的安全等级。(2)根据确定的安全等级,确定安全管理的范围。)根据确定的安全等
34、级,确定安全管理的范围。(3)制订相应的机房出入管理制度。对于安全等级要求较)制订相应的机房出入管理制度。对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的高的系统,要实行分区控制,限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别登记系统,区域。出入管理可采用证件识别或安装自动识别登记系统,采用磁卡、身份卡等手段,对人员进行识别、登记管理。采用磁卡、身份卡等手段,对人员进行识别、登记管理。30 9.2.3 安全策略与安全管理安全策略与安全管理 (4)制订严格的操作规程。操作规程要根据职责分离和多)制订严格的操作规程。操作规程要根据职责分离和多人负责的原则
35、,各负其责,不能超越自己的管辖范围。人负责的原则,各负其责,不能超越自己的管辖范围。(5)制订完备的系统维护制度。对系统进行维护时,应采)制订完备的系统维护制度。对系统进行维护时,应采取数据保护措施,如数据备份等。维护时要首先经主管部取数据保护措施,如数据备份等。维护时要首先经主管部门批准,并有安全管理人员在场,故障的原因、维护内容门批准,并有安全管理人员在场,故障的原因、维护内容和维护前后的情况要详细记录。和维护前后的情况要详细记录。(6)制订应急措施。需制订系统在紧急情况下,如何尽快)制订应急措施。需制订系统在紧急情况下,如何尽快恢复的应急措施,使损失减至最小。建立人员雇用和解聘恢复的应急
36、措施,使损失减至最小。建立人员雇用和解聘制度,对工作调动和离职人员要及时调整相应的授权。制度,对工作调动和离职人员要及时调整相应的授权。31 9.3.1 密码学的基本概念密码学的基本概念 采用密码技术可以隐藏和保护需要保密的消息,采用密码技术可以隐藏和保护需要保密的消息,使未授权者不能提取信息。需要隐藏的消息称为明使未授权者不能提取信息。需要隐藏的消息称为明文。明文被变换成另一种隐蔽形式就称为密文。这文。明文被变换成另一种隐蔽形式就称为密文。这种变换称为加密。加密的逆过程,即从密文恢复出种变换称为加密。加密的逆过程,即从密文恢复出明文的过程称为解密。对明文进行加密时采用的一明文的过程称为解密。
37、对明文进行加密时采用的一组规则称为加密算法。对密文解密时采用的一组规组规则称为加密算法。对密文解密时采用的一组规则称为解密算法。加密算法和解密算法通常都是在则称为解密算法。加密算法和解密算法通常都是在一组密钥控制下进行的,密钥决定了从明文到密文一组密钥控制下进行的,密钥决定了从明文到密文的映射,加密算法所使用的密钥称为加密密钥,解的映射,加密算法所使用的密钥称为加密密钥,解密算法所使用的密钥称为解密密钥。密算法所使用的密钥称为解密密钥。9.3 9.3 加密技术加密技术32 密码体制通常从三个独立的方面进行分类:密码体制通常从三个独立的方面进行分类:按明文到密文的转换操作可分为:置换密码和按明文
38、到密文的转换操作可分为:置换密码和易位密码。易位密码。按明文的处理方法可分为:分组密码和序列密按明文的处理方法可分为:分组密码和序列密码。码。按密钥的使用个数可分为:对称密码体制和非按密钥的使用个数可分为:对称密码体制和非对称密码体制。对称密码体制。9.3.1 9.3.1 密码学的基本概念密码学的基本概念331置换密码和易位密码置换密码和易位密码 在置换密码中,每个或每组字母由另一个或另一组伪装在置换密码中,每个或每组字母由另一个或另一组伪装字母所替换。最古老的一种置换密码是由字母所替换。最古老的一种置换密码是由Julius Caesar发明的发明的恺撒密码,这种密码算法对于原始消息(明文)中
39、的每一个恺撒密码,这种密码算法对于原始消息(明文)中的每一个字母都用该字母后的第字母都用该字母后的第n个字母来替换,其中个字母来替换,其中n就是密钥。例就是密钥。例如使加密字母向右移如使加密字母向右移1个字母,即,个字母,即,a换成换成B、b换成换成C、c换成换成D、z换成换成A,这样,明文,这样,明文big加密后形成的密文就是加密后形成的密文就是CJH。在此例中,密钥为。在此例中,密钥为1。9.3.1 9.3.1 密码学的基本概念密码学的基本概念34 易位密码只对明文字母重新排序,但不隐藏它们。列易易位密码只对明文字母重新排序,但不隐藏它们。列易位密码是一种常用的易位密码。如图所示。该密码的
40、密钥位密码是一种常用的易位密码。如图所示。该密码的密钥是一个不含任何重复字母的单词或词语。在本例中,密钥是一个不含任何重复字母的单词或词语。在本例中,密钥为为BAG。密钥的目的是对列编号。列序号是按密钥的字母。密钥的目的是对列编号。列序号是按密钥的字母顺序编号的,第顺序编号的,第1列在密钥中最靠近字母表头的那个字母之列在密钥中最靠近字母表头的那个字母之下。本例为下。本例为A,依此类推。明文按行(水平方向)书写。从,依此类推。明文按行(水平方向)书写。从第第1列开始按列生成密文,本例的第列开始按列生成密文,本例的第1列为列为TAB,第,第2列为列为ISA,以此类推。,以此类推。9.3.1 9.3
41、.1 密码学的基本概念密码学的基本概念35 2分组密码和序列密码分组密码和序列密码 分组密码(或称为块密码)一次处理一块输入元素,每分组密码(或称为块密码)一次处理一块输入元素,每个输入块生成一个输出块。序列密码(或称为流密码)对个输入块生成一个输出块。序列密码(或称为流密码)对输入元素进行连续处理,生成输出序列。输入元素进行连续处理,生成输出序列。分组密码的加密方式是首先将明文序列以固定长度进行分组密码的加密方式是首先将明文序列以固定长度进行分组,每一组明文用相同的密钥和加密函数进行运算。一分组,每一组明文用相同的密钥和加密函数进行运算。一般为了减少存储量和提高运算速度,密钥的长度有限,因般
42、为了减少存储量和提高运算速度,密钥的长度有限,因而加密函数的复杂性成为系统安全的关键。而加密函数的复杂性成为系统安全的关键。分组密码的优点是:明文信息良好的扩散性;对插入的分组密码的优点是:明文信息良好的扩散性;对插入的敏感性;不需要密钥同步;具有较强的适用性;适合作为敏感性;不需要密钥同步;具有较强的适用性;适合作为加密标准,大多数现代加密算法使用的都是分组密码。加密标准,大多数现代加密算法使用的都是分组密码。缺点是:加密速度慢,错误会扩散和传播。缺点是:加密速度慢,错误会扩散和传播。9.3.1 9.3.1 密码学的基本概念密码学的基本概念36序列密码每次处理明文的一位,然后立刻输出相应的密
43、序列密码每次处理明文的一位,然后立刻输出相应的密文位。方法是输入的明文序列同密钥序列进行逐位模文位。方法是输入的明文序列同密钥序列进行逐位模2加加(即异或运算),生成密文序列发送给接收者。接收者用(即异或运算),生成密文序列发送给接收者。接收者用相同密钥序列进行逐位解密来恢复明文序列。相同密钥序列进行逐位解密来恢复明文序列。序列密码的安全性主要依赖于密钥序列。密钥序列是由序列密码的安全性主要依赖于密钥序列。密钥序列是由少量的制乱素(密钥)通过密钥序列产生器产生的大量伪少量的制乱素(密钥)通过密钥序列产生器产生的大量伪随机序列。布尔函数是密钥序列产生器的重要组成部分。随机序列。布尔函数是密钥序列
44、产生器的重要组成部分。序列密码的优点是:处理速度快;实时性好;错误传播序列密码的优点是:处理速度快;实时性好;错误传播小;不易被破译;适用于军事、外交等保密信道。小;不易被破译;适用于军事、外交等保密信道。缺点是:明文扩散性差;插入信息的敏感性差;需要密缺点是:明文扩散性差;插入信息的敏感性差;需要密钥同步。钥同步。9.3.1 9.3.1 密码学的基本概念密码学的基本概念37 3对称加密和非对称加密对称加密和非对称加密 如果发送方使用的加密密钥和接收方使用的解密密钥相如果发送方使用的加密密钥和接收方使用的解密密钥相同,或者从其中一个密钥易于得出另一个密钥,这样的系同,或者从其中一个密钥易于得出
45、另一个密钥,这样的系统就叫做对称的、单密钥或常规密码系统。如果发送方使统就叫做对称的、单密钥或常规密码系统。如果发送方使用的加密密钥和接收方使用的解密密钥不相同,从其中一用的加密密钥和接收方使用的解密密钥不相同,从其中一个密钥难以推出另一个密钥,这样的系统就叫做非对称的个密钥难以推出另一个密钥,这样的系统就叫做非对称的、双密钥或公钥密码系统。、双密钥或公钥密码系统。对称加密使用单个密钥对数据进行加密或解密,其特点对称加密使用单个密钥对数据进行加密或解密,其特点是计算量小、加密效率高。但是此类算法在分布式系统上是计算量小、加密效率高。但是此类算法在分布式系统上使用较为困难,主要是密钥管理困难,从
46、而使用成本较高使用较为困难,主要是密钥管理困难,从而使用成本较高,安全性能也不易保证。这类算法的代表是在计算机网络,安全性能也不易保证。这类算法的代表是在计算机网络系统中广泛使用的系统中广泛使用的DES算法。算法。9.3.1 9.3.1 密码学的基本概念密码学的基本概念38 非对称型加密算法的特点是有两个密钥(即公用密钥和非对称型加密算法的特点是有两个密钥(即公用密钥和私有密钥),只有二者搭配使用才能完成加密和解密的全私有密钥),只有二者搭配使用才能完成加密和解密的全过程。由于非对称算法拥有两个密钥,它特别适用于分布过程。由于非对称算法拥有两个密钥,它特别适用于分布式系统中的数据加密,在因特网
47、中得到广泛应用。其中公式系统中的数据加密,在因特网中得到广泛应用。其中公用密钥在网上公布,供发送方对数据加密时使用,而用于用密钥在网上公布,供发送方对数据加密时使用,而用于解密的相应私有密钥则由数据的接收方妥善保管。非对称解密的相应私有密钥则由数据的接收方妥善保管。非对称加密的另一用法是加密的另一用法是“数字签名数字签名”,用于防止通信一方的抵,用于防止通信一方的抵赖行为。在网络系统中得到应用的非对称加密算法有赖行为。在网络系统中得到应用的非对称加密算法有RSA算法和美国国家技术标准研究所提出的数字签名算法算法和美国国家技术标准研究所提出的数字签名算法DSA。非对称加密在分布式系统中应用时需注
48、意的问题是如何。非对称加密在分布式系统中应用时需注意的问题是如何管理和确认公用密钥的合法性。管理和确认公用密钥的合法性。9.3.1 9.3.1 密码学的基本概念密码学的基本概念394网络中的加密技术网络中的加密技术从通信网络的传输方面,数据加密技术还可分为以下三类从通信网络的传输方面,数据加密技术还可分为以下三类:链路加密方式、节点到节点方式和端到端方式。:链路加密方式、节点到节点方式和端到端方式。链路加密方式是一般通信网络主要采用的方式。链路加密方式是一般通信网络主要采用的方式。节点到节点加密方式是为了解决在节点中数据是明文的缺节点到节点加密方式是为了解决在节点中数据是明文的缺点。在中间节点
49、里装有加、解密的保护装置,由这个装置来点。在中间节点里装有加、解密的保护装置,由这个装置来完成一个密钥向另一个密钥的变换。因而,除了在保护装置完成一个密钥向另一个密钥的变换。因而,除了在保护装置内,即使在节点内也不会出现明文。内,即使在节点内也不会出现明文。在端到端加密方式中,由发送方加密的数据在没有到达最在端到端加密方式中,由发送方加密的数据在没有到达最终目的节点之前是不被解密的。加、解密只在源、宿节点进终目的节点之前是不被解密的。加、解密只在源、宿节点进行。行。9.3.1 9.3.1 密码学的基本概念密码学的基本概念40对称加密也叫作私钥加密,因为加密和解密使对称加密也叫作私钥加密,因为加
50、密和解密使用相同密钥,并且密钥是保密的,不向外公布。下用相同密钥,并且密钥是保密的,不向外公布。下图示意了对称密钥加密的过程。图示意了对称密钥加密的过程。9.3.2 对称加密技术对称加密技术41 DES加密的基本原理是采用加密的基本原理是采用56位密钥对位密钥对64位的位的数据块进行加密。每次加密前,先把整个明文分成数据块进行加密。每次加密前,先把整个明文分成64位的数据块,然后对每一个位的数据块,然后对每一个64位数据块进行位数据块进行16轮轮的替换和变换处理,产生一组的替换和变换处理,产生一组64位密文数据。最后位密文数据。最后将各组密文串联起来,即得到整个密文。对每个长将各组密文串联起来