下载文档第一篇:《网络信息安全》期末复习总结
《网络信息安全》期末复习要点
信息安全的任务是保障信息存储、传输、处理等过程中的安全,具体的有: 机密性;完整性;不可抵赖性;可用性。
网络信息安全系统的三要素:安全服务(安全任务)、安全机制和安全应用域。
网络安全防范体系层次:根据网络的应用现状和网络的结构,安全防范体系的层次可划分为:物理层安全、系统层安全、网络层安全、应用层安全、安全管理。
网络信息安全的技术:密码技术,身份认证,数字签名,防火墙,入侵检测,漏洞扫描。
数字签名就是附加在数据单元的一些数据,或是对数据单元所作的密码变换。这种数据或变换云允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性,并保护数据,防止被人进行伪造。
基本要求:签名是可信的;签名不可伪造;签名不可重用,签名是文件的一部分,不能移到别的文件上去;简明的文件事不可改变的,在文件上签名就不能改变;签名是不可抵赖的。
目前使用最多的数字签名有两类:一类是 使用对称密码系统和需要仲裁者的签名方案;还有一类是基于公开秘钥体制的数字签名。
签名的过程:1发送者产生文件的单向散列值;2发送者用私人密钥对散列加密,以实现对文件的签名;3发送者将文件盒散列签名发送给接受者;4接受者根据发送者发送的文件产生文件的单向散列值,然后用数字签名算法对散列值运算,同时用发送者的公开密钥对签名的散列解密,签名的散列值语气产生的散列值匹配,则签名有效。
公钥基础设施PKI 主要的功能组件包括认证机构,证书库,证书撤销,密钥备份和恢复,自动密钥更新,秘钥历史档案,交叉认证,支持不可否认,时间戳,客户端软件等。
PKI从根本上来说,只提供三种主要的核心服务,即认证,完整性,机密性。认证:指向一个实体确认另一份实体确实就是用户自己;完整性:指向一个实体确保数据没有被有意或则无意的修改。机密性:指向一个实体确保除了接受者,无人能够读懂数据的关键部分。
PKI信任模型:因经CA与CA之间需要相互交流和信任,这就是PKI交互,即PKI信任模型。
PKI信任模型主要有4种模型,即严格层次结构、分布式信任结构、WEB模型、以用户为中心的信任。
PKI严密层次结构:严格层次结构的CA之间存在严格的上下级关系,下级完全听从并执行上级的规定。在这种结构中,信任关系是单向的。只允许上
一级CA给下一级CA或则终端用户颁发证书。
优点:1,具备良好的扩展性;2,很容易找到证书路径 ;3,证书路径处理相对较短;4,根据CA位置,隐性地知道使用限制。
缺点:根节点一旦泄密遗失,PKI崩溃 损失巨大。扩展结构时,部分或所有需要根据情况调整信任点。
IPSec保护IP数据报的安全
IPsec包含三个重要的协议AH、ESP、IKE。
IEK协议负责秘钥管理。
AH为IP数据包提供3种服务(AH只认证不加密),无连接的数据完整性验证(哈希函数产生的校验)、数据源身份认证(添加共享密钥)、防重放攻击(AH报头中的序列号)。
ESP(基本功能是加密)提供AH的三种服务,还包括数据包加密、数据流加密。
解释域(DOI)为使用IKE进行协商的SA的协议统一分配标识符。IPSec的两种运行模式:传输模式(保护的只是IP的有效负载),隧道模式(保护整个IP数据包)SSL提供Internet通信的安全协议,用于web浏览器与服务器之间的身份认证和加密数据传输。
SSL由多个协议组成并采用两层体系结构:上层有SSL握手协议、SSL修改密码规格协议和SSL告警协议;往下有SSL记录协议、TCP,UDP.SSL连接:连接时提供恰当类型服务的传输。
SSL回话:SSL会话是客户与服务器之间的关联,会话通过握手协议来创建。
SSL握手协议两个阶段:第一阶段用于建立私密性通信信道;第二阶段用于客户认证。
SSL安全电子交易协议)协议目标:SET交易流程:SET中采用了双重签名技术
常用的入侵方法:口令入侵、特洛伊木马术、监听法、Email技术、利用系统漏洞
堆栈、攻击代码、函数调用传递的参数、函数返回地址、函数的局部变量、缓冲区
在函数返回地址位置重复若干次返回地址,在溢出数据中添加前面增加个NOP指令
缓冲溢出原理:借着在程序缓冲区编写超出其长度的代码,造成溢出,从而破坏其堆栈,使程序执行攻击者在程序地址空间中早已安排好的代码,以达到其目的。
避免的方法:
1、强制写正确的代码的方法。
2、通过操作系统使得缓冲区不可执行,从而阻止攻击者殖入攻击代码。
3、利用编译器的边界检查来实现缓冲区的保护。
4、在程序指针失效前进行完整性检查
常用的反病毒技术:特征码技术、实时监听技术、虚拟机技术
防火墙技术只关心端口 源地址 目标地址 数据包头标志位,不关心内容 防火墙一般采用两种技术:数据报过滤和代理服务。IP层,目的地址,端口号,数据的对话协议,数据包头中的标志位
静态包过滤型防火墙(IP层):依据事先设定的过滤规则,检查数据流的每个数据包,确定是否允许该数据报通过。
优点是:实现逻辑比较简单、对网络性能影响较小、有较强的透明性、与应用层无关、是最快的防火墙。
弱点是:配置时需要对IP、UDP、TCP等各种协议比较了解、容易被地址欺骗、不能提供应用层用户的鉴别服务、允许外部用户直接与内部主机相连。
几种防火墙的对比:
静态包过滤防火墙: 不检查数据区,包过滤防火墙不建立连接状态表,前后报文无关,应用层控制很弱。
动态包过滤型(状态检测)防火墙:不检查数据区,建立连接状态表,前后报文相关,应用层控制很弱。
应用代理(应用网关)防火墙:不检查IP、TCP报头,不建立连接状态表,网络层保护比较弱。
复合型防火墙:可以检查整个数据包内容,根据需要建立连接状态表,网络层保护强,应用层控制细,会话控制较弱。
IDS(入侵检测系统)技术:通过对计算机网络或则计算机系统的若干关键点搜集信息并对器进行分析,从中发网络或系统是否违反安全策略的行为和被攻击的迹象。
IDS分类:基于网络的IDS和基于主机的IDS
异常检查是通过计算审计数据与一个期望的正常行为描述的模型之间的偏差来判断入侵与否滥用检查(特征匹配检测)是通过扫描审计数据看是否与已知攻击特征来判断入侵与否。
IDS检测引擎的常用技术:统计方法、专家系统、神经网络、状态转移分析、Petri网、计算机免疫、Agent技术、其他检测技术。
蜜罐的特点与分类产品型、研究型、低交互型、高交互型
优点: 收集数据保真度高,能收集到新的攻击技术,不需要强大的资源支持,比较简单,不是单一系统而是一个网络缺点: 投入精力和时间,视图有限,不能使用旁路监听等技术对整个网络监控,不能直接防护有漏洞的系统,带来一定的安全风险
蜜罐的主要技术:网络欺骗、端口重定向、报警、数据控制、数据捕获 s-http和https :S-HTTP协议处于应用层,它是HTTP协议的扩展,它仅适用于HTTP联结上,S-HTTP可提供通信保密、身份识 别、可信赖的信息传输服务及数字签名等。https简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL。
第二篇:网络信息安全复习
网络信息安全
第一章
1、网络安全定义:广义上网络安全包括网络硬件资源及信息资源的安全性。通用定义:网
络安全是指保护网络系统中的软件、硬件及信息资源,使之免受偶然或恶意的破坏、篡改和泄露,保证网络系统正常运行、网络服务不中断。
2、网络安全的属性:可用性、机密性、完整性、可靠性和不可抵赖性。
3、主动攻击和被动攻击:主动攻击时攻击者通过网络将虚假信息或计算机病毒传入信息系
统内部,破坏信息的完整性及可用性,即造成通信中断、通信内容破坏甚至系统无法正常运行等较严重后果的攻击行为;被动攻击时攻击者截获、窃取通信信息,损害信息的机密性。
两者之间的区别:主动攻击:更改信息和拒绝用户使用资源的攻击。被动攻击:截获信息的攻击,攻击者只是观察和分析而不干扰信息流。
4、通信中的四种攻击方式:中断(主动威胁)、截获(被动威胁)、篡改(主动攻击)和伪
造(主动攻击)。
5、P2DR:包括4个主要部分:策略、保护、检测和响应。基本思想:一个系统的安全应该
在一个统一的安全策略的控制盒知道些,综合运用各种安全技术对系统进行保护,同时利用检测工具来监视和评估系统的安全状态,并通过适当的响应机制来将系统调整到相对“最安全”和“风险最低”的状态。
6、PDRR:包括4个部分:防护、检测、响应和恢复。基本思想:
第三章
1、第四章
1、数字签名的目的:消息认证、不可伪造、不可重用和不可抵赖。
2、数字签名的实现方法:使用对称加密和仲裁者实现数字签名、使用公开密钥体制进行数字签名、使用公开密钥体制与单向散列函数进行数字签名、加入时间标记的签名、多重签名和盲签名。
第五章
1、防火墙:指隔离在内部网络与外部网络之间的一道防御系统,它能挡住来自外部网络的攻击和入侵,保障内部网络的安全。
2、防火墙的两个基本安全策略:除非明确允许,否则就禁止;除非明确禁止,否则就允许。
3、防火墙的功能:可以限制未授权用户进入内部网络,过滤掉不安全服务和非法用户;防止入侵者接近内部网络的防御设施,对网络攻击进行检测和警告;限制内部用户访问特殊站点;记录通过防火墙的信息内容和活动,为监视Internet安全提供方便。
4、包过滤防火墙的工作原理:读取包头信息,与信息过滤规则比较,顺序检查规则表中每一条规则,直至发现包中的信息与某条规则相符。
第三篇:信息安全测评期末总结
信息安全工程与测评实践报告
(总结报告)
姓 名 班 级 学 号 完成日期
一、实验目的
1. 使用各种工具对目标网页进行漏洞扫描和渗透测试。
2. 了解扫描原来,熟悉扫描操作,掌握各种工具的特点和不足。3. 学会在不同场合使用最适合的工具。
二、实验工具
本学期的实验中,我使用了多种不同风格扫描工具,其中包括了Nmap、PortScan、X-Scan、SuperScan等端口扫描工具,Wireshark等抓包软件以及百度杀毒这种针对本机的保护软件。
三、实验内容
实验中,我更倾向于扫描目标网站的端口信息,其中,我最为喜欢的是Nmap扫描工具,它的功能应当是我所使用的扫描工具中最为强大的,可以使用不同的命令使用不同的扫描方式以得到自己所需要的扫描结果。它的主界面如下所示:
在该图片中,我已经使用了 –sS –sU –T4 –top-ports 61.135.169.125 命令对IP地址61.135.169.125进行端口扫描,也得出了该IP的2个开放端口80和443,以及它们所提供的服务即它们的作用。同时,这个命令中,-sS表示使用TCP SYN方式扫描TCP端口,-sU表示扫描UDP端口。-T4指定扫描过程使用的时序,可以使用的时序共有6个级别即0-5,级别越高,扫描速度越快,但是也容易被防火墙或IDS检测到并屏蔽掉。另外,61.135.169.125即百度。
而在我使用的扫描工具中,有一款老而弥坚的,那就是PortScan,在使用它同样对百度网站进行扫描的过程中,它的操作比Nmap简单了很多。
这是它的主界面:
很明显,这款工具还有其他一些功能,但我们在这里只要使用它的端口扫描功能,也就是Scan Ports标签下的内容。很明显的看出来,只需要输入目标IP就能对其进行扫描。另外提一句,PortScan的默认扫描端口是从1到65535。扫描结果是这样的:
同样可以扫描出2个开放的端口即80和443。然而在实际使用中,我也明显的发现了它的不足,它的扫描速度相对于Nmap而言差距是十分明显的,而且扫描结果的惊喜程度上是远逊于Nmap的。
在实验使用的所有端口扫描工具中,Nmap的表现无疑是十分突出的,但是还有一款扫描工具也是十分的强大,那就是X-Scan。
X-Scan是国内最著名的综合扫描器之一,它完全免费,是不需要安装的绿色软件、界面支持中文和英文两种语言、包括图形界面和命令行方式。主要由国内著名的民间黑客组织“安全焦点”完成,从202_年的内部测试版X-Scan V0.2到目前的最新版本X-Scan 3.3-cn都凝聚了国内众多黑客的心血。最值得一提的是,X-Scan把扫描报告和安全焦点网站相连接,对扫描到的每个漏洞进行“风险等级”评估,并提供漏洞描述、漏洞溢出程序,方便网管测试、修补漏洞。
在实际使用中,它给出的风险评估等级报告是最震撼我的,它把扫描的结果直接进行了分析,并给出了结果,令人一眼就能看懂,下面是我对我自己的电脑进行扫描获得的扫描报告:
而这只是详尽的报告中的一部分,因而我认为,X-Scan是一款十分值得推荐的工具,它强大的性能、多种多样的功能以及详尽的报告分析都决定了它将成为收人欢迎的扫描工具,也更适合网络安全管理员使用。
另外,SuperScan也是一款性能强大的扫描工具,但是它的主界面的确是有点复杂了:
幸好在执行简单的扫描任务时,所需要使用到的模块并不太多,只要IP、Scan type模块就可以了,在无视其他模块的情况下,它的操作还是毕竟简单的。就同样对百度进行扫描而言,在IP模块输入IP地址后,再在Scan type模块下改变扫描模式到All list ports from 1 65535。最后单击Start也就可以开始扫描了,当然了,这只是这款软件的简单使用,在今后若有需要也应当对它进行更深入的了解和学习。
总而言之,SuperScan功能强大,但是,在扫描的时候,一定要考虑到网络的承受能力和对目标计算机的影响。
最后在这里介绍下对百度杀毒的使用感觉,总而言之就是傻瓜式操作,它只会告诉你存在什么危险,并提供选择是否解决这个问题。虽然这十分的方便,也非常适合电脑小白的使用,也能完成它应当完成的任务,但是对于我们这些从事或者正在学习这方面的人而言,是不适合的,我们应当去了解而非傻瓜式的解决。
这也就说明上面这些扫描工具的强大性,毕竟它们还能对本机进行扫描,能加深对自己电脑的了解,并及时了解存在的安全隐患并通过自己的努力去解决这些安全隐患,也能完善自己在这方面的技巧。
四、实验总结
在使用过这么多的扫描软件完成作业之后,我也用他们对自己的电脑进行了扫描,主要是使用X-Scan,通过它给出的风险评估报告上看到的结果真的是吓了我一跳,平常使用360安全卫士等进行扫描时给出的结果总是不存在风险,但是通过专业扫描软件的所扫描出来的危险因素真是多到吓人。这也展现了这些扫描软件的强大之处,然而我们应当使用它们进行安全测试,防范于未然,而非将它们当作一种工具手段。也就是正确的使用它们。
第四篇:信息安全复习总结内容
复习总结
第一章 信息安全概述
1.信息安全、网络安全的概念对信息的安全属性的理解;常见的安全威胁有哪些?信息安全保障(IA)发展历史信息保障(IA)的定义
第二章 我国信息安全法律法规和管理体制(了解)
第三章 密码学基础
1.按照密钥的特点对密码算法的分类
对称密码算法的优缺点;非对称密码算法的优缺点;
2.基于公钥密码的加密过程;基于公钥密码的鉴别过程
3.密钥管理中的主要阶段
4.哈希函数和消息认证码;消息认证方案
5.数字签名、数字信封的原理
第四章 密码学应用(PKI和VPN)
(一)PKI
1.PKI、CA定义
2.SSL协议的工作流程
3.SSL在网络购物、电子商务、电子政务、网上银行、网上证券等方面的应用
(二)VPN
1.VPN概述
--为什么使用VPN
--什么是VPN
--VPN关键技术(隧道技术、密码技术、QoS技术)
--VPN分类(Access VPN和网关-网关的VPN连接)
2.IPSec 的组成和工作原理
IPSec安全协议(ESP机制、传输模式与隧道模式的特点及优缺点;AH、传输模式与隧道模式的特点)
3.VPN的安全性
第五章 访问控制与审计监控
1.访问控制模型
(1)自主访问控制模型(DAC Model)
-----访问控制的实现机制:访问控制表、访问控制矩阵、访问控制能力列表、访问控制安全标签列表
(2)强制访问控制模型(MAC Model)
-----Bell-LaPadula模型、Biba模型
(3)基于角色的访问控制模型
2.安全审计的内容和意义
3.防火墙的功能、防火墙的局限性
4.防火墙的分类(个人防火墙、软件防火墙、一般硬件防火墙和纯硬件防火墙的特点、典
型应用)防火墙的体系结构
分组过滤路由器、双宿主机、屏蔽主机和屏蔽子网的特点、优缺点防火墙的实现技术
数据包过滤、代理服务和状态检测技术的工作原理/过程、优缺点;
第六章 入侵检测技术
1.IDS基本结构(事件产生器、事件分析器、事件数据库和响应单元)
2.入侵检测技术
(1)异常检测技术的原理和优缺点
(2)误用/滥用检测技术的原理和优缺点)
第七章 病毒防护技术概述(计算机病毒定义、特征、传播途径和分类)
恶意代码:特洛伊木马的攻击步骤、特征和行为、传播途径;计算机蠕虫的主要特点、组成 2 病毒原理
计算机病毒的逻辑结构
传统病毒、引导型和文件型病毒的工作流程
宏病毒及其特点、机制、工作流程
网络病毒的特点、种类、传播方式病毒技术(寄生技术、驻留技术、加密变形技术、隐藏技术)反病毒技术
计算机病毒检测技术、计算机病毒的清除、计算机病毒的免疫、计算机病毒的预防
第八章 网络攻击与防范
1.典型的网络攻击的一般流程
2.常见的网络攻击的手段和攻击原理举例
第九章Windows 操作系统安全和Web安全(做实验)
第十章 补充内容
1.业务连续性计划(了解)
数据备份技术(做实验)
灾难恢复技术
安全应急响应安全管理(了解)
风险评估
人员和机构管理
信息安全管理标准信息系统安全方案设计方法(理解)(写报告:XXXXX信息系统安全方案设计)
1)信息系统基本结构及资源分析,包括:网络结构、资源分析(硬件、软件和数据资源; 服务与应用)
2)安全风险分析(资源分析、脆弱性分析、威胁分析)
3)安全需求分析
方法:(1)按对信息的保护方式进行安全需求分析
(2)按与风险的对抗方式进行安全需求分析
4)系统安全体系
(1)建立安全组织体系: 安全组织建立原则、安全组织结构、安全组织职责
(2)建立安全管理体系: 法律管理、制度管理、培训管理
5)安全解决方案
(1)物理安全和运行安全
(2)网络规划与子网划分(网络拓扑)
(3)网络隔离与访问控制
(4)操作系统安全增强
(5)应用系统安全
(6)重点主机防护
(7)连接与传输安全
(8)安全综合管理与控制
////////////////////////////////////////////////////////////////////////////
报告格式:
XXXXX信息系统安全方案设计
一、XXXXX安全背景与现状
1.某单位组织机构和信息系统简介
包括哪些部门,具有什么职能,需要保护的相关数据有哪些等等,对信息系统的使用情况说明。
2.用户安全需求分析
日常情况下,该单位各部门在使用信息系统时,会有哪些安全隐患?
3.描述所面临的主要风险(如:页面被篡改、在线业务被攻击、机密数据外泄等)
二、安全需求分析
(1)按对信息的保护方式进行安全需求分析
(2)按与风险的对抗方式进行安全需求分析
三、安全解决方案
(1)物理安全和运行安全
(2)选择和购买安全硬件和软件产品(防火墙、入侵检测系统、防病毒软件、扫描软件)
(3)网络规划与子网划分(画:网络拓扑图)
(4)网络隔离与访问控制(防火墙的正确配置)
(5)操作系统安全增强(操作系统补丁升级)
(6)应用系统安全(漏洞扫描)
(7)重点主机防护
(8)连接与传输安全
(9)安全综合管理与控制
四、安全运维措施(业务连续性计划)
(1)数据备份(选择哪种数据备份技术、安排备份计划、信息备份和设备备份)
(2)日志审计和备份
(3)制定灾难恢复
(3)制定安全应急响应
可供选择的题目:
应用案例一:某市某机关单位
应用案例二:某校园网
应用案例三:国家某部委全国信息网络系统
应用案例四:电子政务安全应用平台
…………………………………………………………………等等
第五篇:网络信息安全
网络信息安全
信息安全是指为建立信息处理系统而采取的技术上和管理上的安全保护,以实现电子信息的保密性、完整性、可用性和可控性。当今信息时代,计算机网络已经成为一种不可缺少的信息交换工具。然而,由于计算机网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性,再加上本身存在的技术弱点和人为的疏忽,致使网络易受计算机病毒、黑客或恶意软件的侵害。面对侵袭网络安全的种种威胁,必须考虑信息的安全这个至关重要的问题。
网络信息安全分为网络安全和信息安全两个层面。网络安全包括系统安全,即硬件平台、操作系统、应用软件;运行服务安全,即保证服务的连续性、高效率。信息安全则主要是指数据安全,包括数据加密、备份、程序等。
1.硬件安全。即网络硬件和存储媒体的安全。要保护这些硬设施不受损害,能够正常工作。
2.软件安全。即计算机及其网络中各种软件不被篡改或破坏,不被非法操作或误操作,功能不会失效,不被非法复制。
3.运行服务安全。即网络中的各个信息系统能够正常运行并能正常地通过网络交流信息。通过对网络系统中的各种设备运行状况的监测,发现不安全因素能及时报警并采取措施改变不安全状态,保障网络系统正常运行。
4.数据安全。即网络中存储及流通数据的女全。要保护网络中的数据不被篡改、非法增删、复制、解密、显示、使用等。它是保障网络安全最根本的目的。
1.防火墙技术。防火墙(Firewall)是近年来发展的最重要的安全技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,并监视网络运行状态。简单防火墙技术可以在路由器上实现,而专用防火墙提供更加可靠的网络安全控制方法。
防火墙的安全策略有两条。一是“凡是未被准许的就是禁止的”。防火墙先是封闭所有信息流,然后审查要求通过的信息,符合条件的就让通过;二是“凡是未被禁止的就是允许的”,防火墙先是转发所有的信息,然后再逐项剔除有害的内容,被禁止的内容越多,防火墙的作用就越大。网络是动态发展的,安全策略的制定不应建立在静态的基础之上。在制定防火墙安全规则时,应符合“可适应性的安全管理”模型的原则,即:安全=风险分析+执行策略+系统实施+漏洞监测+实时响应。防火墙技术主要有以下三类:
●包过滤技术(Packct Filtering)。它一般用在网络层,主要根据防火墙系统所收到的每个数据包的源IP地址、目的IP地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包中的各种标志位来进行判定,根据系统设定的安全策略来决定是否让数据包通过,其核心就是安全策略,即过滤算法的设计。
●代理(Proxy)服务技术。它用来提供应用层服务的控制,起到外部网络向内部网络申请服务时的中间转接作用。内部网络只接受代理提出的服务请求,拒绝外部网络其它节点的直接请求。运行代理服务的主机被称为应用机关。代理服务还可以用于实施较强的数据流监控、过滤、记录等功能。
●状态监控(Statc Innspection)技术。它是一种新的防火墙技术。在网络层完成所有必要的防火墙功能——包过滤与网络服务代理。目前最有效的实现方法是采用 Check Point)提出的虚拟机方式(Inspect Virtual Machine)。
防火墙技术的优点很多,一是通过过滤不安全的服务,极大地提高网络安全和减少子网中主机的风险;二是可以提供对系统的访问控制;三是可以阻击攻击者获取攻击网络系统的有用信息;四是防火墙还可以记录与统计通过它的网络通信,提供关于网络使用的统计数据,根据统计数据来判断可能的攻击和探测;五是防火墙提供制定与执行网络安全策略的手段,它可以对企业内部网实现集中的安全管理。
防火墙技术的不足有三。一是防火墙不能防止绕过防火墙的攻击;二是防火墙经不起人为因素的攻击。由于防火墙对网络安全实施单点控制,因此可能受到黑客的攻击;三是防火墙不能保证数据的秘密性,不能对数据进行鉴别,也不能保证网络不受病毒的攻击。
2.加密技术。数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据。通过使用不同的密钥,可用同一加密算法,将同一明文加密成不同的密文。当需要时可使用密钥将密文数据还原成明文数据,称为解密。
密钥加密技术分为对称密钥加密和非对称密钥加密两类。对称加密技术是在加密与解密过程中使用相同的密钥加以控制,它的保密度主要取决于对密钥的保密。它的特点是数字运算量小,加密速度快,弱点是密钥管理困难,一旦密钥泄露,将直接影响到信息的安全。非对称密钥加密法是在加密和解密过程中使用不同的密钥加以控制,加密密钥是公开的,解密密钥是保密的。它的保密度依赖于从公开的加密密钥或密文与明文的对照推算解密密钥在计算上的不可能性。算法的核心是运用一种特殊的数学函数——单向陷门函数,即从一个方向求值是容易的,但其逆向计算却很困难,从而在实际上成为不可能。
除了密钥加密技术外,还有数据加密技术。一是链路加密技术。链路加密是对通信线路加密;二是节点加密技术。节点加密是指对存储在节点内的文件和数据库信息进行的加密保护。
3.数字签名技术。数字签名(Digital Signature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。
在书面文件上签名是确认文件的一种手段,其作用有两点,一是因为自己的签名难以否认,从而确认文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。数字签名与书面签名有相同相通之处,也能确认两点,一是信息是由签名者发送的,二是信息自签发后到收到为止未曾做过任何修改。这样,数字签名就可用来防止:电子信息因易于修改而有人作伪;冒用别人名义发送信息;发出(收到)信件后又加以否认。
广泛应用的数字签名方法有RSA签名、DSS签名和 Hash签名三种。RSA的最大方便是没有密钥分配问题。公开密钥加密使用两个不同的密钥,其中一个是公开的,另一个是保密的。公开密钥可以保存在系统目录内、未加密的电子邮件信息中、电话黄页上或公告牌里,网上的任何用户都可获得公开密钥。保密密钥是用户专用的,由用户本身持有,它可以对公开密钥加密的信息解密。DSS数字签名是由美国政府颁布实施的,主要用于跟美国做生意的公司。它只是一个签名系统,而且美国不提倡使用任何削弱政府窃听能力的加密软件。Hash签名是最主要的数字签名方法,跟单独签名的RSA数字签名不同,它是将数字签名和要发送的信息捆在一起,所以更适合电子商务。
4.数字时间戳技术。在电子商务交易的文件中,时间是十分重要的信息,是证明文件有效性的主要内容。在签名时加上一个时间标记,即有数字时间戳(Digita Timestamp)的数字签名方案:验证签名的人或以确认签名是来自该小组,却不知道是小组中的哪一个人签署的。指定批准人签名的真实性,其他任何人除了得到该指定人或签名者本人的帮助,否则不能验证签名
(二)网络信忽安全的目标
1.保密性。保密性是指信息不泄露给非授权人、实休和过程,或供其使用的特性。
2.完整性。完整性是指信息未经授权不能被修改、不被破坏、不被插人、不迟延、不乱序和不丢失的特性。对网络信息安全进行攻击的最终目的就是破坏信息的完整性。
3.可用性。可用性是指合法用户访问并能按要求顺序使用信息的特性,即保证合法用户在需要时可以访问到信息
4.可控性。可控性是指授权机构对信息的内容及传播具有控制的能力的特性,可以控制授权范围内的信息流向以及方式。
5.可审查性。在信息交流过程结束后,通信双方不能抵赖曾经做出的行为,也不能否认曾经接收到对方的信息。
网络信息安全面临的问题
1.网络协议和软件的安全缺陷
因特网的基石是TCP/IP协议簇,该协议簇在实现上力求效率,而没有考虑安全因素,因为那样无疑增大代码量,从而降低了TCP/IP的运行效率,所以说TCP/IP本身在设计上就是不安全的。很容易被窃听和欺骗:大多数因特网上的流量是没有加密的,电子邮件口令、文件传输很容易被监听和劫持。很多基于TCP/IP的应用服务都在不同程度上存在着安全问题,这很容易被一些对TCP/IP十分了解的人所利用,一些新的处于测试阶级的服务有更多的安全缺陷。缺乏安全策略:许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被内部人员滥用,黑客从一些服务中可以获得有用的信息,而网络维护人员却不知道应该禁止这种服务。配置的复杂性:访问控制的配置一般十分复杂,所以很容易被错误配置,从而给黑客以可乘之机。TCP/IP是被公布于世的,了解它的人越多被人破坏的可能性越大。现在,银行之间在专用网上传输数据所用的协议都是保密的,这样就可以有效地防止入侵。当然,人们不能把TCP/IP和其实现代码保密,这样不利于TCP/IP网络的发展。2.黑客攻击手段多样
进人202_年以来,网络罪犯采用翻新分散式阻断服务(DDOS)攻击的手法,用形同互联网黄页的域名系统服务器来发动攻击,扰乱在线商务。宽带网络条件下,常见的拒绝服务攻击方式主要有两种,一是网络黑客蓄意发动的针对服务和网络设备的DDOS攻击;二是用蠕虫病毒等新的攻击方式,造成网络流量急速提高,导致网络设备崩溃,或者造成网络链路的不堪负重。
调查资料显示,202_年初发现企业的系统承受的攻击规模甚于以往,而且来源不是被绑架的“僵尸”电脑,而是出自于域名系统(DNS)服务器。一旦成为DDOS攻击的目标,目标系统不论是网页服务器、域名服务器,还是电子邮件服务器,都会被网络上四面八方的系统传来的巨量信息给淹没。黑客的用意是借人量垃圾信息妨碍系统正常的信息处理,借以切断攻击目标对外的连线。黑客常用“僵尸”电脑连成网络,把大量的查询要求传至开放的DNS服务器,这些查询信息会假装成被巨量信息攻击的目标所传出的,因此DNS服务器会把回应信息传到那个网址。
美国司法部的一项调查资料显示,1998年3月到202_年2月期间,82%的人侵者掌握授权用户或设备的数据。在传统的用户身份认证环境下,外来攻击者仅凭盗取的相关用户身份凭证就能以任何台设备进人网络,即使最严密的用户认证保护系统也很难保护网络安全。另外,由于企业员工可以通过任何一台未经确认和处理的设备,以有效合法的个人身份凭证进入网络,使间谍软件、广告软件、木马程序及其它恶意程序有机可乘,严重威胁网络系统的安全。
有资料显示,最近拉美国家的网络诈骗活动增多,作案手段先进。犯罪活动已经从“现实生活转入虚拟世界”,网上诈骗活动日益增多。3.计算机病毒
