隨著計算機的發展,人們越來越意識到網絡的重要性。通過網絡,分散在各處的計算機被網絡連接起來。作為網絡的壹部分,許多計算機連接在壹起形成局域網,在局域網中,程序、文件和其他資源可以在它們之間共享;還可以通過網絡讓多臺電腦共享同壹硬件,如打印機、調制解調器等;同時,我們也可以通過網絡用電腦收發傳真,方便、快捷、經濟。
21世紀,世界各地的計算機將通過互聯網連接起來,信息安全的內涵將發生根本改變。不僅從壹般的防禦變成了非常普通的防禦,也從專門的領域變成了無處不在。當人類在21世紀步入信息社會和網絡社會時,中國將建立壹個完整的網絡安全體系,特別是在政策和法律上具有中國特色的網絡安全體系。
壹個國家的信息安全體系其實包括國家的法規政策,以及技術和市場的發展平臺。在構建信息防禦系統時,中國應專註於開發自己獨特的安全產品。中國真正解決網絡安全問題的最終途徑是發展民族安全產業,促進中國網絡安全技術的整體提升。
網絡安全產品有以下特點:第壹,網絡安全來源於安全策略和技術的多樣化,采用統壹的技術和策略並不安全;第二,網絡的安全機制和技術應該是不斷變化的;再次,隨著網絡在社會方面的延伸,進入網絡的手段越來越多。因此,網絡安全技術是壹項非常復雜的系統工程。因此,建立具有中國特色的網絡安全體系需要國家政策法規的支持和集團的共同研發。安全和反安全就像是矛盾的兩個方面,總是在向上上升,所以未來安全行業也會隨著新技術的發展而發展。
信息安全是國家發展面臨的重要問題。對於這個問題,我們還沒有從系統規劃上考慮,從技術、產業、政策上發展。政府不僅要看到發展信息安全是我國高科技產業的壹部分,還要看到發展安全產業的政策是信息安全體系的重要組成部分,甚至要看到它對我國未來電子信息技術的發展將起到非常重要的作用。第二章網絡安全現狀
2.網絡安全面臨的挑戰
網絡安全可能面臨的挑戰
垃圾郵件的數量將會增加。
電子郵件安全服務提供商Message Labs最近的壹份報告預測,2003年全球垃圾郵件的增長速度將超過正常電子郵件,每封垃圾郵件的平均容量將遠大於正常電子郵件。這無疑增加了成功攻擊垃圾郵件的工作量和難度。目前還沒有安裝任何反垃圾郵件軟件的公司,可能要早做防範了,否則以後他們的員工就要天天按鍵盤上的“刪除鍵”了。此外,反垃圾郵件軟件也要不斷升級,因為目前垃圾郵件制造者已經在實施“打壹槍換壹個地方”的遊擊戰術。
即時通訊工具仍然容易受到垃圾郵件的攻擊。
以前即時通訊工具受垃圾信息的幹擾比較少,現在情況有了很大的改變。垃圾郵件發送者會通過各種手段清理收集大量網絡地址,然後向處於即時通訊中的用戶發送消息,誘導其訪問壹些非法收費網站。更麻煩的是,壹些賣合法產品的廠家也在用這種無聊的手段讓網友上鉤。目前市面上還沒有防止即時通訊幹擾信息的軟件,這對於軟件公司來說無疑是壹個商機。
內置保護軟件的硬件進退兩難。
現在人們比以前更加關註網絡安全。這種意識的表現之壹就是很多硬件設備在出廠前就已經內置了防護軟件。雖然這種做法在幾年前就已經出現,但預計在未來幾年將成為壹種趨勢。然而,這種具有自我保護功能的硬件產品正在遭遇壹種尷尬,即在有人歡迎這種產品的同時,也有人反對。從好的方面來說,這種硬件產品更容易安裝,整體價格相對較低。但它也有自己的缺點:如果企業用戶需要更專業化的軟件服務,這種產品不會有很大的彈性範圍。
重新定義企業用戶網絡安全維護的範圍。
目前,各大企業的員工在家中通過寬帶接入登錄自己公司的網絡系統已經非常普遍。這種新的工作方式的出現也給網絡安全帶來了新的問題,即企業用戶的網絡安全維護範圍需要重新界定。因為都是遠程日誌者,不在傳統企業網絡安全維護的“勢力範圍”之內。此外,由於來自網絡的攻擊日益嚴重,許多企業用戶不得不在自己網絡系統中的每臺PC上安裝防火墻、防入侵系統、防病毒軟件等壹系列網絡安全軟件。這也改變了以往企業用戶對網絡安全維護範圍的觀念。
個人信用信息。
個人信用信息在公眾的日常生活中占據重要地位。過去,網絡犯罪分子只是通過網絡盜取個人用戶的信用卡賬戶,但隨著網上盜取個人信用信息手段的提高,預計這種犯罪會發展到2003年盜取美國公眾個人信用信息的程度。比如,網絡犯罪分子可以看壹眼妳的銀行存款賬號、社會保險賬號,以及妳最近的行蹤。如果這種犯罪趨勢不能得到有效遏制,無疑會給美國公眾的日常生活帶來極大的負面影響。
3.病毒的現狀
隨著互聯網的日益普及,我們的日常生活不斷網絡化,但與此同時,網絡病毒不斷肆虐,威脅泛濫。這半年來,互聯網安全受到威脅,黑客蠕蟲入侵問題越來越嚴重,有泛濫之勢。
2003年8月,沖擊波蠕蟲在Windows安全漏洞暴露後僅26天就噴湧而出,在8天內給全球計算機用戶造成了高達20億美元的損失,無論是企業系統還是家庭計算機用戶。
根據最新的賽門鐵克互聯網安全威脅報告,在2003年上半年,發現了超過994種新的Win32病毒和蠕蟲,比2002年同期的445種增加了壹倍多。目前Win32病毒總數約為4000種。而2001同期,僅發現新的Win32病毒就有308種。
這份報告是賽門鐵克在今年6月65438+10月1至6月31期間提出的最完整、最全面的威脅趨勢分析。受訪者來自全球500家安全管理服務的用戶,數據由20,000個DeepSight威脅管理系統檢測器檢測。
賽門鐵克高級區域總監Roland Wilschen在新聞簡報會上表示,雖然微軟擁有巨大的用戶市場份額,但它也有大量的漏洞,預計它將成為病毒目標。
他指出,Linux等開源代碼之所以沒有受到太多病毒和蠕蟲的攻擊,完全是因為用戶太少,以至於病毒制造者根本沒有重視。他舉例說,劫匪當然知道以有大量現金的銀行為目標,所以他相信隨著使用Linux平臺的用戶增加,慢慢會有針對Linux的病毒和蠕蟲出現。
然而,他不同意開源社區的合作精神將能夠有效地抵禦任何威脅。他說,只要暴露源代碼,就有可能找出它的安全漏洞,而且世界上並不都是好人,有惡意的人很多。
即時消息病毒翻了兩番
賽門鐵克的互聯網安全威脅報告指出,2003年上半年,利用即時通訊、ICQ等IM軟件(IM)和點對點網絡(P2P)傳播的病毒和蠕蟲數量比2002年增長了400%。在排名前50的病毒和蠕蟲中,有65,438+09個惡意代碼是利用即時消息和P2P傳播的。據了解,IM和P2P都是由於網絡安全防護措施不足造成的,但這不是主要原因,主要原因在於它們的普及和用戶的無知。
報告顯示,該公司今年上半年共發現1432個安全漏洞,與去年同期的1276個安全漏洞相比,增長了12%。其中80%可以遠程控制,因此可以通過網絡實施嚴重攻擊,因此賽門鐵克將這類可遠程控制的漏洞列為中高嚴重風險。此外,今年上半年,新增中度嚴重漏洞增加21%,高度嚴重漏洞增加6%,但低度嚴重漏洞減少11%。
至於整數錯誤的漏洞,也有增加的趨勢。今年19例比去年同期3例增加16例。今年上半年,微軟的互聯網瀏覽器有12個漏洞,微軟的互聯網信息服務器也有很多漏洞。賽門鐵克認為它將成為更多攻擊的目標。尼姆達代碼紅隊之前攻擊過。
報告顯示,64%的攻擊是針對新的軟件安全漏洞(少於1年的發現期),這說明病毒制造者對漏洞的響應越來越快。以Blaster沖擊波為例,它出現在Windows安全漏洞被發現後僅僅26天。
知名病毒和蠕蟲的威脅速度和頻率也增加了不少。今年上半年,知名威脅數量比去年同期增長20%,惡意代碼中有60%是知名病毒。今年6月5438+10月短短幾個小時造成全球癱瘓的Slammer蠕蟲,針對的是2002年7月發現的安全漏洞。此外,針對機密信息的攻擊也比去年上半年增加了50%。Bugbear.b是專門鎖銀行的蠕蟲。
黑客病毒特征
賽門鐵克的互聯網安全威脅報告也顯示了有趣的數據,比如周末攻擊減少的趨勢,與去年同期持平。
即便如此,周末兩天加起來也就20%左右,這可能是因為攻擊者會認為周末沒人上班,準備不足而乘虛而入。賽門鐵克表示,這意味著網絡安全監控不能因為周末休息而放松。
該報告還比較了周末期間蠕蟲攻擊和非蠕蟲攻擊的不同趨勢。非蠕蟲攻擊在周末趨於下降,而蠕蟲攻擊保持在通常水平。無論是哪壹天的蠕蟲,都有很多因素可以影響它的傳播速度。比如周末很少有人開電腦,確實對蠕蟲的傳播有壹些影響。
報告還顯示,互聯網上病毒攻擊的高峰期在格林威治時間下午1點至下午10點之間。即便如此,各國的時差和不同國家的攻擊高峰時間也會略有不同。例如,華盛頓的攻擊高峰時間是早上8點和下午5點,而日本是早上10和晚上7點。
知名病毒和蠕蟲的威脅速度和頻率也增加了不少。今年上半年,知名威脅數量比去年同期增長20%,惡意代碼中有60%是知名病毒。今年6月5438+10月短短幾個小時造成全球癱瘓的Slammer蠕蟲,針對的是2002年7月發現的安全漏洞。此外,針對機密信息的攻擊也比去年上半年增加了50%。Bugbear.b是專門鎖銀行的蠕蟲。管理漏洞——如果兩臺服務器有相同的用戶/密碼,服務器A被入侵,服務器B也不能幸免;軟件漏洞——比如Sun系統上常用的Netscape EnterPrise Server服務,輸入壹個路徑就可以看到Web目錄下的所有文件;再比如很多程序只要接收到壹些異常的或者長的數據和參數,就會導致緩沖區溢出;結構性漏洞——比如在壹個重要的網段,由於交換機和集線器的設置不合理,黑客可以監控到網絡通信流量的數據;又如防火墻等安全產品部署不合理,相關安全機制無法發揮作用,麻痹技術管理人員,引發黑客攻擊事故;信任漏洞——比如這個系統過於信任壹個國外合作夥伴的機器。壹旦這個合作夥伴的機器被黑客入侵,這個系統的安全性就受到嚴重威脅;
綜上所述,壹個黑客要想成功入侵系統,必須分析與這個目標系統相關的各種技術因素、管理因素和人員因素。
因此,得出以下結論:
a、世界上沒有絕對安全的系統;b、網絡上的威脅和攻擊都是人為的,系統防禦和攻擊的較量無非是人與人之間的較量;c、特定系統具有壹定的安全條件,在特定環境下,在特定人員的維護下易守難攻;d、網絡系統內部的軟硬件是隨著應用的需要而不斷發展變化的;網絡系統的外部威脅和新的攻擊方式層出不窮,新的漏洞不斷出現,攻擊手段花樣翻新,網絡系統的外部安全條件也隨著時間的推移而不斷變化。
總之,網絡安全是相對的,相對於人,相對於系統和應用,相對於時間。4、安全防禦系統
3.1.2
現代信息系統由網絡支撐,相互連接。為了保護信息系統免受黑客和病毒的攻擊,關鍵是建立安全防禦體系,從信息機密性(確保信息不被未授權的人泄露)到信息完整性(防止信息被未經授權的人篡改並確保真實的信息不失真地到達真實的目的地)和信息可用性(確保信息和信息系統真正被授權的用戶使用, 防止系統因計算機病毒或其他人為因素而拒絕服務或被敵手利用)、信息的可控性(實現信息和信息系統的安全監控和管理)、信息的不可否認性(確保信息行動者無法否認自己的行為)。
安全防禦體系是壹個系統工程,包括技術、管理、立法等多個方面。為了方便起見,我們將其簡化為用三維框架表示的結構。其構成要素是安全特性、系統單元和開放互連參考模型的結構層次。
安全特征維度描述了計算機信息系統的安全服務和安全機制,包括身份認證、訪問控制、數據機密性、數據完整性、防否認、審計管理、可用性和可靠性。采用不同安全策略或處於不同安全保護級別的計算機信息系統可能具有不同的安全特征。系統單元維度包括計算機信息系統的所有組件,以及使用和管理信息系統的物理和管理環境。開放系統互連結構的層次維度描述了層次化計算機信息系統的層次結構。
框架是壹個三維空間,突破了單壹功能考慮的舊模式,從頂層整體規劃。包含了物理、法規、人員等所有與安全相關的安全要素,兼顧了與系統安全、人員管理相關的各類法律、法規、規章和制度。
另外,從信息戰的角度來看,被動防禦是不夠的,應該攻防並重。在防護的基礎上檢測漏洞、應急響應、快速恢復是非常必要的。
目前,世界各國都在加大力度加強信息安全防禦體系。從2000年6月1到2003年5月,美國實施了《信息系統保護國家計劃》(V1.0),從根本上提高了防止入侵和破壞信息系統的能力。中國迫切需要加強信息安全保障體系,建立我軍信息安全戰略和防禦體系。這不僅是時代的需要,也是國家安全戰略和軍事發展的需要。也是現實鬥爭的需要,是擺在人們面前的緊迫歷史任務。5加密技術
密碼學理論與技術主要包括兩部分,即基於數學的密碼學理論與技術(包括公鑰密碼、分組密碼、序列密碼、認證碼、數字簽名、哈希函數、身份識別、密鑰管理、PKI技術等。)和非數學密碼學理論與技術(包括信息隱形、量子密碼、生物識別理論與技術)。
自1976提出公鑰密碼思想以來,國際上提出了多種公鑰密碼體制,但目前比較流行的有兩種:壹種是基於大整數因式分解的,最典型的是RSA;另壹類是基於離散對數問題,如影響較大的ElGamal公鑰密碼體制和橢圓曲線公鑰密碼體制。由於分解大整數的能力越來越強,對RSA的安全性造成了壹定的威脅。目前模塊長度為768位的RSA並不安全。壹般情況下,建議使用1024位的模塊長度。預計選用1280位的模塊長度,保證20年的安全性。增加模塊長度會給實施帶來困難。而基於離散對數問題的公鑰密碼體制,在現有技術下,模長為512比特,可以保證其安全性。特別是橢圓曲線上的離散對數的計算比有限域上的更困難。目前只需要160 bit模塊長度,適合智能卡的實現,因此引起了國內外學者的廣泛關註。橢圓曲線公鑰密碼學的國際標準IEEEP 1363已經制定,RSA等壹些公司聲稱已經開發出符合該標準的橢圓曲線公鑰密碼學。我國學者也提出了壹些公鑰密碼,在公鑰密碼的快速實現方面也做了壹些工作,如RSA的快速實現和橢圓曲線公鑰密碼的快速實現。公鑰密碼的快速實現是公鑰密碼研究的壹個熱點,包括算法優化和程序優化。人們關心的另壹個問題是橢圓曲線公鑰密碼的安全性論證。
公鑰密碼主要用於數字簽名和密鑰分發。當然,數字簽名和密鑰分發都有自己的研究體系,形成了自己的理論框架。目前,數字簽名的研究內容非常豐富,包括普通簽名和特殊簽名。特殊簽名包括盲簽名、代理簽名、群簽名、不可否認簽名、公平盲簽名、門限簽名、具有消息恢復功能的簽名等。它與具體的應用環境密切相關。顯然,數字簽名的應用涉及法律問題。美國聯邦政府基於有限域上的離散對數問題制定了自己的數字簽名標準(DSS ),壹些州也制定了數字簽名法。法國是第壹個頒布數字簽名法的國家,其他國家也在實施。在密鑰管理方面,國際上有壹些大動作,比如美國在1993提出的密鑰托管理論和技術,國際標準化組織制定的X.509標準(已經發展到第三版),麻省理工學院制定的Kerboros協議(已經發展到第五版)等。,影響很大。密鑰管理中另壹個非常重要的技術是秘密共享技術,這是壹種劃分秘密以防止秘密過於集中的技術。自Shamir在1979中提出這壹思想以來,秘密共享的理論和技術得到了前所未有的發展和應用,尤其是它的應用仍然很受關註。我國學者也在這些方面做了壹些後續研究,發表了很多論文,並根據X.509標準實現了壹些CA。但沒聽說哪個部門打算制定數字簽名法。目前,人們關心的是數字簽名和密鑰分發的具體應用以及對潛在信道的深入研究。
認證碼是壹個比較理論化的研究課題。自20世紀80年代後期以來,它的結構和界估計取得了很大進展,中國學者在這壹領域的研究工作也很出色,很有影響。目前這方面的理論比較成熟,很難有突破。另外,認證碼的應用非常有限,幾乎停留在理論研究上,已經不是密碼學中的研究熱點。
哈希函數主要用於檢查數字簽名的完整性,提高數字簽名的有效性。目前已經提出了很多方案,各有各的優點。美國制定了Hash標準-SHA-1來配合其數字簽名標準。由於技術原因,美國目前正在準備更新其Hash標準,歐洲也在制定Hash標準,這必然導致Hash函數的研究,尤其是實用技術成為熱點。
信息交換加密技術分為兩類:對稱加密和非對稱加密。
1.對稱加密技術
在對稱加密技術中,信息加密和解密使用同壹把鑰匙,也就是說壹把鑰匙開壹把鎖。這種加密方式可以簡化加密過程,信息交換雙方不需要相互研究和交換特殊的加密算法。如果私鑰在交換階段沒有被泄露,則可以保證機密性和消息完整性。對稱加密技術也有壹些缺點。如果壹方有n個交換對象,那麽他必須維護n個私鑰。對稱加密的另壹個問題是雙方共享壹個私鑰,雙方的任何信息都是用這個密鑰加密後傳輸給對方的。例如,triple DES是DES(數據加密標準)的變體。該方法使用兩個獨立的56密鑰對信息進行三次加密,使有效密鑰長度達到112位。
2.不對稱加密/公鑰加密
在非對稱加密系統中,密鑰被分解成壹對(即公鑰和私鑰)。這對密鑰中的任何壹個都可以作為公鑰(加密密鑰)以非保密的方式向其他人公開,而另壹個密鑰可以保存為私鑰(解密密鑰)。公鑰用於加密,私鑰用於解密。私鑰只能由生成密鑰的交換方掌握。公鑰可以廣泛發布,但它只對應生成密鑰的交換方。非對稱加密可以在不預先交換密鑰的情況下建立安全通信,廣泛應用於身份認證、數字簽名等信息交換領域。非對稱加密系統壹般基於壹些已知的數學問題,這是計算機復雜性理論發展的必然結果。最具代表性的是RSA公鑰密碼體制。
3.RSA算法
RSA算法是Rivest、Shamir和Adleman在1977年提出的第壹個完善的公鑰密碼體制,其安全性是基於大整數分解的困難性。在RSA系統中,使用了這樣壹個基本事實:到目前為止,還找不到壹個有效的算法來分解兩個素數的乘積。RSA算法的描述如下:
公鑰:n=pq(p和Q是兩個不同的大素數,P和Q必須保密)。