网络安全技术基础知识

网络安全基础知识网络信息安全的内涵和内容网络的安全性问题实际上包括两方面的内容：一是网络的系统安全，二是网络的信息安全。国际标准化组织(ISO)对计算机系统安全的定义是：为数据处理系统建立和采取的技术和管理的安全保护，使计算机硬件、软件、数据不因偶然和恶意的原因而遭破坏、更改和显露。这个定义偏重于静态信息保护。从动态意义描述计算机系统安全的定义为：计算机硬件、软件、数据不因偶然和恶意等原因而破坏、更改和显露，系统能连续正常运行。计算机网络最重要的资源是它向用户提供的服务及所拥有的信息。网络安全在不同的环境和应用中有不同的解释：(1)运行系统安全，即保证信息处理和传输系统的安全，涉及计算机系统安全、物理上的安全等。侧重于保证系统的正常运行。(2)网络上系统信息的安全，包括用户识别、访问控制、安全审计跟踪、病毒防治、加密等。(3)网络上信息传播的安全，即信息传播后果的安全，包括信息过滤等，侧重于防止和控制非法有害信息传播的后果。(4)网络上信息内容的安全，即我们讨论的狭义的“信息安全”，侧重于保护信息的保密性、完整性、真实性，以及防止假冒等。本质上是保护用户的利益和隐私。计算机网络安全的含义是通过各种密码技术和信息安全技术，保护在通信网络中传输、交换和存储信息的机密性、完整性和真实性，并对信息的传播及内容有控制能力。网络安全的结构层次包括物理安全、安全控制和安全服务。从技术角度看，网络安全的内容大致包括4个方面：网络实体安全。如机房的物理条件、物理环境及设施的安全标准，计算机硬件、附属设备及网络传输线路的安装及配置等。软件安全。如保护网络系统不被非法侵入，系统软件与应用软件不被非法复制、篡改，不受病毒的侵害等。网络中的数据安全。如保护网络信息的数据安全不被非法存取，保护其完整一致等。网络安全管理。如运行时突发事件的安全处理等包括采取计算机安全技术，建立安全管理制度，开展安全审计，进行风险分析等内容。网络的安全策略•网络安全政策的两个方面–总体策略：安全政策的总体思想–具体规则：哪些是允许的，哪些是被禁止的•实施安全策略应注意避免的问题–全局政策过于烦琐，而不是一个决定或方针–安全政策没有被真正执行，只是一纸空文–策略的实施成了仅仅是管理者的事，用户不积极参与网络安全性策略应包含的内容–网络用户的安全责任：该策略可以要求用户每隔一段时间改变其口令；使用符合一定准则的口令；执行某些检查，以了解其账户是否被别人访问过等。重要的是，凡是要求用户做到的，都应明确地定义。–系统管理员的安全责任：该策略可以要求在每台主机上使用专门的安全措施、登录标题报文、监测和记录过程等，还可列出在连接网络的所有主机中不能运行的应用程序。–正确利用网络资源：规定谁可以使用网络资源，他们可以做什么，他们不应该做什么等。如果用户的单位认为电子邮件文件和计算机活动的历史记录都应受到安全监视，就应该非常明确地告诉用户，这是其政策。理解安全理念•安全（security）的定义是“防范潜在的危机”。•保险（safety）则稍有不同，它更侧重于可得性和连续的操作。•而真正的安全是关于网络的每一个部分的。网络安全的关键技术•网络安全性问题关系到未来网络应用的深入发展，它涉及安全策略、移动代码、指令保护、密码学、操作系统、软件工程和网络安全管理等内容。一般专用的内部网与公用的互联网的隔离主要使用“防火墙”技术。•“防火墙”是一种形象的说法，其实它是一种计算机硬件和软件的组合，使互联网与内部网之间建立起一个安全网关，从而保护内部网免受非法用户的侵入。•能够完成“防火墙”工作的可以是简单的隐蔽路由器，这种“防火墙”如果是一台普通的路由器则仅能起到一种隔离作用。隐蔽路由器也可以在互联网协议端口级上阻止网间或主机间通信，起到一定的过滤作用。由于隐蔽路由器仅仅是对路由器的参数做些修改，因而也有人不把它归入“防火墙”一级的措施。防火墙•真正意义的“防火墙”有两类，一类被称为标准“防火墙”；一类叫双家网关。标准”防火墙”系统包括一个Unix工作站，该工作站的两端各有一个路由器进行缓冲。其中一个路由器的接口是外部世界，即公用网；而另一个则联接内部网。标准“防火墙”使用专门的软件，并要求较高的管理水平，而且在信息传输上有一定的延迟。而双家网关则是对标准“防火墙”的扩充。双家网关又称堡垒主机或应用层网关，它是一个单个的系统，但却能同时完成标准“防火墙”的所有功能。其优点是能运行更复杂的应用，同时防止在互联网和内部系统之间建立的任何直接的连接，可以确保数据包不能直接从外部网络到达内部网络，反之亦然。防火墙•随着“防火墙”技术的进步，在双家网关的基础上又演化出两种“防火墙”配置，一种是隐蔽主机网关，另一种是隐蔽智能网关(隐蔽子网)。隐蔽主机网关当前也许是一种常见的“防火墙”配置。顾名思义，这种配置一方面将路由器进行隐藏，另一方面在互联网和内部网之间安装堡垒主机。堡垒主机装在内部网上，通过路由器的配置，使该堡垒主机成为内部网与互联网进行通信的唯一系统。目前技术最为复杂而且安全级别最高的”防火墙”当属隐蔽智能网关。所谓隐蔽智能网关是将网关隐藏在公共系统之后，它是互联网用户唯一能见到的系统。所有互联网功能则是经过这个隐藏在公共系统之后的保护软件来进行的。一般来说，这种“防火墙”是最不容易被破坏的。安全要素完整性(Integrality)是指信息在存储或传输时不被修改、破坏，或信息包的丢失、乱序等。信息的完整性是信息安全的基本要求，破坏信息的完整性是影响信息安全的常用手段。可靠性(Availability)是指信息的可信度，接收者能接收到完整正确的信息，以及发送者能正确地发送信息。可靠性也是信息安全性的基本要素。安全要素机密性(Confidentiality)它主要利用现代密码技术对信息进行加密处理，防止静态信息的非授权访问和动态信息的非法泄漏或被截取。从某种意义上说，加密是实现信息安全的有效而且必不可少的技术手段。可控性可审查性不可否认性通俗的安全•“进不来”使用访问控制机制，阻止非授权用户进入网络，“进不来”•“拿不走”使用授权机制，实现对用户的权限控制，即不该拿走的，“拿不走”；•“看不懂”使用加密机制，确保信息不暴漏给未授权的实体或进程，即“看不懂”；•“改不了”使用数据完整性鉴别机制，保证只有得到允许的人才能修改数据，而其它人“改不了”；•“走不脱”使用审计、监控、防抵赖等安全机制，使得攻击者、破坏者、抵赖者走不脱。网络安全的主要技术密码技术计算机病毒防治技术信息泄露防护技术鉴别，授权和身份认证技术网络安全的主要技术密码技术信息安全的基础信源、信道、信宿•病毒，是指能够破坏计算机系统，影响计算机工作并能实现自我复制的一段程序或指令代码。•信息泄露防治技术：辐射、线路窃听、带宽的增加，威胁逐渐减少•鉴别用来验证系统实体和系统资源(如用户、进程、应用)的身份，例如鉴别想访问数据库的人的身份，确定是谁发送了报文，防止有人假冒。•授权是为完成某项任务而使用资源的权利、特权、许可证的证据，这种授权必须在系统资源的整个操作过程中始终如一地可靠地使用，还可对使用网络服务，访问一些数据的敏感部分，规定特殊的授权要求。网络安全的主要技术应用安全技术•SHTTP(SecurityHTTP)–企业集成技术公司开发;–文件级的安全机制;–对多种单向散列（Hash）函数的支持，如：MD2、MD5和SHA；–对多种单钥体制的支持，如：DES、3DES、RC2、RC4和CDMF；–对数字签名体制的支持，如RSA和DSS。•SSH(SecurityShell)–SSH允许其用户安全地登录到远程主机上，执行命令，传输文件。–它实现了密钥交换协议以及主机及客户端认证协议。