信息安全的防御:知己知彼 百戰(zhàn)不殆

責任編輯:editor001

2013-01-22 10:24:19

摘自:中國電子商務研究中心

自從計算機網(wǎng)絡(luò)誕生以來,網(wǎng)絡(luò)安全是一個受到人們普遍關(guān)注的課題。網(wǎng)絡(luò)安全極其重要,網(wǎng)絡(luò)只有安才可以保證網(wǎng)絡(luò)生活能夠有序進行、網(wǎng)絡(luò)系統(tǒng)不遭破壞、信息不被竊取。。。

自從計算機網(wǎng)絡(luò)誕生以來,網(wǎng)絡(luò)安全是一個受到人們普遍關(guān)注的課題。網(wǎng)絡(luò)安全極其重要,網(wǎng)絡(luò)只有安才可以保證網(wǎng)絡(luò)生活能夠有序進行、網(wǎng)絡(luò)系統(tǒng)不遭破壞、信息不被竊取、網(wǎng)絡(luò)服務不被非法中斷等。隨著人們對計算機網(wǎng)絡(luò)依賴程度的提高,信息系統(tǒng)的安全性顯得愈加重要,如何保證網(wǎng)絡(luò)通信的安全性成為人們必須面對的問題。因此,有必要制定并實施計算機通信網(wǎng)絡(luò)安全防護策略,以維護計算機通信網(wǎng)絡(luò)正常工作秩序,防范計算機犯罪,預防計算機安全事故,有效保證計算機通信網(wǎng)絡(luò)的安全。

1、計算機通信網(wǎng)絡(luò)安全威脅

在計算機通信網(wǎng)絡(luò)環(huán)境中,可能經(jīng)常存在以下幾種攻擊:1)泄密:將消息內(nèi)容泄漏給沒有合法權(quán)利的其他人或程序;2)傳輸分析:通過分析通信雙方的通信模式,確定連接的頻率和持續(xù)時間,或者是確定通信的消息數(shù)量和長度;3)偽裝:攻擊者產(chǎn)生一條消息并聲稱該消息來自某一合法實體,或者攻擊者發(fā)送有關(guān)收到或未收到消息的欺詐應答;4)內(nèi)容修改:對消息的內(nèi)容進行修改,包括插入、刪除、轉(zhuǎn)換和替代等;5)發(fā)送方否認:發(fā)送方否認未發(fā)送某條消息;6)接收方否認:接收方否認收到某條消息。

2、安全認證技術(shù)

信息的安全傳輸是由加密技術(shù)來保證的,而對通信雙方實體身份的確認是通過認證技術(shù)來實現(xiàn)的。安全認證是最重要的安全服務之一,因為所有其他的安全服務都依賴于該服務。認證技術(shù)可以抵抗假冒攻擊的危險,也可用來確保身份,它是用來獲得對誰或?qū)κ裁词虑樾湃蔚囊环N方法。一個身份的合法擁有者被稱作一個實體。各種物理形式的主體也需要認證,例如人、設(shè)備或計算機系統(tǒng)中運行的應用等。對密碼系統(tǒng)的攻擊有兩種:一種是被動攻擊,攻擊者只是對截獲的密文進行分析而已。另一種是主動攻擊,攻擊者通過采取刪除、增添、重放、偽造等手段主動向系統(tǒng)注入假消息。為了保證信息的可認證性,抵抗主動攻擊,一個安全的認證體制至少應該滿足以下幾個要求:1)假定的接受者能夠檢驗和證實消息的合法性、真實性和完整性。2)消息的發(fā)送者對所發(fā)的消息不能抵賴,有時也要求消息的接受者不能否認所收到的消息。3)除了合法的消息發(fā)送者外,其他人不能偽造合法的消息。認證體制中通常存在一個可信中心或可信第三方,用于仲裁、頒發(fā)證書或管理某些信息。

3、防火墻技術(shù)

防火墻技術(shù)是現(xiàn)在市場上應用范圍最廣、最容易被用戶接受的網(wǎng)絡(luò)安全產(chǎn)品之一。防火墻將內(nèi)部可信區(qū)域與外部威脅區(qū)域有效隔離,將網(wǎng)絡(luò)的安全策略制定和信息流集中管理控制,為網(wǎng)絡(luò)邊界提供保護。使用防火墻,可以防止非法用戶對網(wǎng)絡(luò)資源的訪問。防火墻是使用過濾器來阻斷一定類型的通信傳輸。網(wǎng)關(guān)是一臺機器或一組機器,它提供中繼服務,以補償過濾器的影響。一般情況下,兩個網(wǎng)關(guān)通過內(nèi)部過濾器到內(nèi)部的連接比外部網(wǎng)關(guān)到其他內(nèi)部主機的連接更為開放。就網(wǎng)絡(luò)通信而言,兩個過濾器或網(wǎng)關(guān)本身,都是可以省去的,具體情況隨防火墻的變化而變化。防火墻按照事先規(guī)定好的配置和規(guī)則,監(jiān)測并過濾所有通向外部網(wǎng)和從外部網(wǎng)傳來的信息,只允許授權(quán)的數(shù)據(jù)通過。防火墻還應該能夠記錄有關(guān)的連接來源、服務器提供的通信量以及試圖闖入者的任何企圖,以方便系統(tǒng)管理員的監(jiān)測和跟蹤,并且防火墻本身也必須能夠免于滲透。

4、加密技術(shù)

加密技術(shù)通常分為兩大類:對稱式和非對稱式。對稱式加密就是加密和解密所使用的密鑰是相同的,或者可以從一個密鑰推算出另一個密鑰。非對稱式加密就是加密和解密所使用的不是同一個密鑰,通常有兩個密鑰,稱為公鑰和私鑰,它們兩個必需配對使用,否則不能打開加密文件。這里的公鑰是指可以對外公布的;而“私鑰”則不能,只能由持有人一個人知道。它的優(yōu)越性就在這里,因為對稱式的加密方法如果是在網(wǎng)絡(luò)上傳輸加密文件就很難把密鑰告訴對方,不管用什么方法都有可能被別竊聽到。而非對稱式的加密方法有兩個密鑰,且其中的公鑰是可以公開的,也就不怕別人知道,收件人解密時只能用自己的私鑰解密,這樣就很好地避免了密鑰的傳輸安全性問題。公鑰密碼的提出,開創(chuàng)了現(xiàn)代密碼發(fā)展的新紀元。如果沒有公鑰密碼,那么在大型、開放的電子網(wǎng)絡(luò)環(huán)境中建設(shè)具有普適性的信息安全基礎(chǔ)設(shè)施則是一件不可想象、無法實現(xiàn)的事。

公鑰密碼體制的概念是在解決單鑰密碼體制中最難解決的兩個問題時提出的,這兩個問題分別是密鑰分配和數(shù)字簽名。單鑰密碼體制在進行密鑰分配時,要求通信雙方或者已經(jīng)有一個共享的密鑰,或者可以借助一個密鑰分配中心來分配密鑰。對前者的要求,常常可用人工方式傳送雙方最初共享的密鑰,但是這種方法成本很高,而且還要依賴于通信過程的可靠性,這同樣是一個安全問題的隱患。對于第2個要求則完全依賴于密鑰分配中心的可靠性,同時密鑰分配中心往往需要很大的內(nèi)存容量來處理大量的密鑰。公鑰密碼技術(shù)和對稱密碼技術(shù)的比較可以從算法和密鑰兩個方面來進行。在算法方面,公鑰密碼體制的算法容易用精確的數(shù)學術(shù)語描述,它建立在特定的已知數(shù)學問題上,安全性依賴于這種數(shù)學問題的求解是計算上不可能的。與此相對,傳統(tǒng)密碼體制的算法以復雜紊亂的數(shù)學方程為基礎(chǔ)。雖然求解單個方程并不困難,但由于它被多次迭代和攪亂,以至無法用解析法求解。在密鑰方面,這兩種密碼體制的密鑰產(chǎn)生方式也不同。在對稱密碼體制中,加密密鑰和解密密鑰可以簡單地互相推導,因此它們是以簡單的方法隨機選擇的。在公開密鑰密碼體制中,由公開密鑰不能簡單地推出秘密密鑰。秘密密鑰是按照特定的要求選擇的,而公開密鑰又是由秘密密鑰利用確定的步驟有效地計公鑰密碼體制作為一種加密技術(shù),它也是易受窮舉攻擊的,其解決方法也是使用較長的密鑰。由于公鑰密碼體制使用的是某種可逆的數(shù)學函數(shù),計算函數(shù)值的復雜性可能不是密鑰長度的線性函數(shù),而是比線性函數(shù)增長更快的函數(shù),所以一方面為了抗窮舉攻擊,密鑰長度要足夠長;另一方面為了便于實現(xiàn),解決公鑰密碼加解密速度較慢的問題,要求密鑰長度盡可能短。在實際實現(xiàn)中,一般用公鑰密碼來進行密鑰的管理和數(shù)字簽名。

5、結(jié)束語

尚需說明的是,單一的技術(shù)或產(chǎn)品是無法滿足通信網(wǎng)絡(luò)對安全的要求。只有將技術(shù)和管理有機結(jié)合起來,從控制整個通信網(wǎng)絡(luò)安全建設(shè)、運行和維護的全過程入手,才能提高網(wǎng)絡(luò)的整體安全水平。恰當?shù)墓芾砘顒?、?guī)范的各項組織業(yè)務活動,是通信網(wǎng)絡(luò)有序運行、獲取安全的重要保障。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號