隨著計算機的發展,人們越來越意識到網絡的重要性,通過網絡,分散在各處的計算機被網絡聯系在壹起。做為網絡的組成部分,把眾多的計算機聯系在壹起,組成壹個局域網,在這個局域網中,可以在它們之間***享程序、文檔等各種資源;還可以通過網絡使多臺計算機***享同壹硬件,如打印機、調制解調器等;同時我們也可以通過網絡使用計算機發送和接收傳真,方便快捷而且經濟。
21世紀全世界的計算機都將通過Internet聯到壹起,信息安全的內涵也就發生了根本的變化。它不僅從壹般性的防衛變成了壹種非常普通的防範,而且還從壹種專門的領域變成了無處不在。當人類步入21世紀這壹信息社會、網絡社會的時候,我國將建立起壹套完整的網絡安全體系,特別是從政策上和法律上建立起有中國自己特色的網絡安全體系。
壹個國家的信息安全體系實際上包括國家的法規和政策,以及技術與市場的發展平臺。我國在構建信息防衛系統時,應著力發展自己獨特的安全產品,我國要想真正解決網絡安全問題,最終的辦法就是通過發展民族的安全產業,帶動我國網絡安全技術的整體提高。
網絡安全產品有以下幾大特點:第壹,網絡安全來源於安全策略與技術的多樣化,如果采用壹種統壹的技術和策略也就不安全了;第二,網絡的安全機制與技術要不斷地變化;第三,隨著網絡在社會個方面的延伸,進入網絡的手段也越來越多,因此,網絡安全技術是壹個十分復雜的系統工程。為此建立有中國特色的網絡安全體系,需要國家政策和法規的支持及集團聯合研究開發。安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以安全產業將來也是壹個隨著新技術發展而不斷發展的產業。
信息安全是國家發展所面臨的壹個重要問題。對於這個問題,我們還沒有從系統的規劃上去考慮它,從技術上、產業上、政策上來發展它。政府不僅應該看見信息安全的發展是我國高科技產業的壹部分,而且應該看到,發展安全產業的政策是信息安全保障系統的壹個重要組成部分,甚至應該看到它對我國未來電子化、信息化的發展將起到非常重要的作用。第二章網絡安全現狀
2.網絡安全面臨的挑戰
網絡安全可能面臨的挑戰
垃圾郵件數量將變本加厲。
根據電子郵件安全服務提供商Message Labs公司最近的壹份報告,預計2003年全球垃圾郵件數量的增長率將超過正常電子郵件的增長率,而且就每封垃圾郵件的平均容量來說,也將比正常的電子郵件要大得多。這無疑將會加大成功狙擊垃圾郵件的工作量和難度。目前還沒有安裝任何反垃圾郵件軟件的企業公司恐怕得早做未雨綢繆的工作,否則就得讓自己的員工們在今後每天不停地在鍵盤上按動“刪除鍵”了。另外,反垃圾郵件軟件也得不停升級,因為目前垃圾郵件傳播者已經在實行“打壹槍換壹個地方”的遊擊戰術了。
即時通訊工具照樣難逃垃圾信息之劫。
即時通訊工具以前是不大受垃圾信息所幹擾的,但現在情況已經發生了很大的變化。垃圾郵件傳播者會通過種種手段清理搜集到大量的網絡地址,然後再給正處於即時通訊狀態的用戶們發去信息,誘導他們去訪問壹些非法收費網站。更令人頭疼的是,目前壹些推銷合法產品的廠家也在使用這種讓人厭煩的手段來讓網民們上鉤。目前市面上還沒有任何壹種反即時通訊幹擾信息的軟件,這對軟件公司來說無疑也是壹個商機。
內置防護軟件型硬件左右為難。
現在人們對網絡安全問題受重視的程度也比以前大為提高。這種意識提高的表現之壹就是許多硬件設備在出廠前就內置了防護型的軟件。這種做法雖然前幾年就已經出現,預計在今後的幾年中將會成為壹種潮流。但這種具有自護功能的硬件產品卻正遭遇著壹種尷尬,即在有人歡迎這種產品的同時,也有人反對這樣的產品。往好處講,這種硬件產品更容易安裝,整體價格也相對低廉壹些。但它也有自身的弊端:如果企業用戶需要更為專業化的軟件服務時,這種產品就不會有很大的彈性區間。
企業用戶網絡安全維護範圍的重新界定。
目前各大企業公司的員工們在家裏通過寬帶接入而登錄自己公司的網絡系統已經是壹件很尋常的事情了。這種工作新方式的出現同樣也為網絡安全帶來了新問題,即企業用戶網絡安全維護範圍需要重新界定。因為他們都是遠程登錄者,並沒有納入傳統的企業網絡安全維護的“勢力範圍”之內。另外,由於來自網絡的攻擊越來越嚴重,許多企業用戶不得不將自己網絡系統內的每壹臺PC機都裝上防火墻、反侵入系統以及反病毒軟件等壹系列的網絡安全軟件。這同樣也改變了以往企業用戶網絡安全維護範圍的概念。
個人的信用資料。
個人信用資料在公眾的日常生活中占據著重要的地位。以前的網絡犯罪者只是通過網絡竊取個人用戶的信用卡賬號,但隨著網上竊取個人信用資料的手段的提高,預計2003年這種犯罪現象將會發展到全面竊取美國公眾的個人信用資料的程度。如網絡犯罪者可以對妳的銀行存款賬號、社會保險賬號以及妳最近的行蹤都能做到壹覽無余。如果不能有效地遏制這種犯罪趨勢,無疑將會給美國公眾的日常人生活帶來極大的負面影響。
3.病毒現狀
互聯網的日漸普及使得我們的日常生活不斷網絡化,但與此同時網絡病毒也在繼續肆虐威脅泛濫。在過去的六個月內,互聯網安全飽受威脅,黑客蠕蟲入侵問題越來越嚴重,已成泛濫成災的趨勢。
2003年8月,沖擊波蠕蟲在視窗暴露安全漏洞短短26天之後噴湧而出,8天內導致全球電腦用戶損失高達20億美元之多,無論是企業系統或家庭電腦用戶無壹幸免。
據最新出爐的賽門鐵克互聯網安全威脅報告書(Symantec Internet Security Threat Report)顯示,在2003年上半年,有超過994種新的Win32病毒和蠕蟲被發現,這比2002年同時期的445種多出壹倍有余。而目前Win32病毒的總數大約是4千個。在2001年的同期,只有308種新Win32病毒被發現。
這份報告是賽門鐵克在今年1月1日至6月31日之間,針對全球性的網絡安全現狀,提出的最為完整全面的威脅趨勢分析。受訪者來自世界各地500名安全保護管理服務用戶,以及2萬個DeepSight威脅管理系統偵察器所探測的數據。
賽門鐵克高級區域董事羅爾威爾申在記者通氣會上表示,微軟雖然擁有龐大的用戶市占率,但是它的漏洞也非常的多,成為病毒目標是意料中事。
他指出,開放源碼如Linux等之所以沒有受到太多病毒蠕蟲的襲擊,完全是因為使用者太少,以致於病毒制造者根本沒有把它不放在眼裏。他舉例說,劫匪當然知道要把目標鎖定在擁有大量現金的銀行,所以他相信隨著使用Linux平臺的用戶數量的增加,慢慢地將會有針對Linux的病毒和蠕蟲出現。
不過,他不同意開放源碼社群的合作精神將能有效地對抗任何威脅的襲擊。他說,只要是將源碼暴露在外,就有可能找出其安全漏洞,而且世上不是全是好人,不懷好意的人多的是。
即時通訊病毒4倍增長
賽門鐵克互聯網安全威脅報告書指出,在2003年上半年使用諸如ICQ之類即時通訊軟件(Instant Messaging,IM)和對等聯網(P2P)來傳播的病毒和蠕蟲比2002年增加了400%,在50大病毒和蠕蟲排行榜中,使用IM和P2P來傳播的惡意代碼***有19個。據了解,IM和P2P是網絡安全保護措施不足導致但這並不是主因,主因在於它們的流行廣度和使用者的無知。
該報告顯示,該公司在今年上半年發現了1千432個安全漏洞,比去年同時期的1千276個安全漏洞,增加了12%。其中80%是可以被人遙控的,因此嚴重型的襲擊可以通過網絡來進行,所以賽門鐵克將這類可遙控的漏洞列為中度至高度的嚴重危險。另外,今年上半年的新中度嚴重漏洞增加了21%、高度嚴重漏洞則增加了6%,但是低度嚴重漏洞則減少了11%。
至於整數錯誤的漏洞也有增加的趨勢,今年的19例比起去年同期的3例,增加了16例。微軟的互聯網瀏覽器漏洞在今年上半年也有12個,而微軟的互聯網資訊服務器的漏洞也是非常的多,賽門鐵克相信它將是更多襲擊的目標;以前襲擊它的有尼姆達(Nimda)和紅色代碼(Code Red)。
該報告顯示了64%的襲擊是針對軟件新的安全漏洞(少過1年的發現期),顯示了病毒制造者對漏洞的反應越來越快了。以Blaster沖擊波為例,就是在Windows安全漏洞被發現短短26天後出現的。
知名病毒和蠕蟲的威脅速度和頻率也增加了不少,今年上半年的知名威脅比去年同期增加了20%,有60%的惡意代碼(Malicious Code)是知名病毒。今年1月在短短數小時內造成全球性的癱瘓的Slammer蠕蟲,正是針對2002年7月所發現的安全漏洞。另外,針對機密信息的襲擊也比去年上半年增加了50%,Bugbear.B就是壹個專鎖定銀行的蠕蟲。
黑客病毒特征
賽門鐵克互聯網安全威脅報告書中也顯現了有趣的數據,比如周末的襲擊有比較少的趨向,這與去年同期的情況壹樣。
雖然如此,周末兩天加上來也有大約20%,這可能是襲擊者會認為周末沒人上班,會比較疏於防備而有機可乘。賽門鐵克表示這意味著網絡安全保護監視並不能因為周末休息而有所放松。
該報告書也比較了蠕蟲類和非蠕蟲類襲擊在周末的不同趨勢,非蠕蟲類襲擊在周末會有下降的趨勢,而蠕蟲類襲擊還是保持平時的水平。蠕蟲雖然不管那是星期幾,但是有很多因素也能影響它傳播的率,比如周末少人開機,確對蠕蟲的傳播帶來壹些影響。
該報告書也得出了在互聯網中病毒襲擊發生的高峰時間,是格林威治時間下午1點至晚上10點之間。雖然如此,各國之間的時差關系,各國遭到襲擊的高峰時間也會有少許不同。比如說,華盛頓襲擊高峰時間是早上8時和下午5時,而日本則是早上10時和晚上7時。
知名病毒和蠕蟲的威脅速度和頻率也增加了不少,今年上半年的知名威脅比去年同期增加了20%,有60%的惡意代碼(Malicious Code)是知名病毒。今年1月在短短數小時內造成全球性的癱瘓的Slammer蠕蟲,正是針對2002年7月所發現的安全漏洞。另外,針對機密信息的襲擊也比去年上半年增加了50%,Bugbear.B就是壹個專鎖定銀行的蠕蟲。管理漏洞---如兩臺服務器同壹用戶/密碼,則入侵了A服務器,B服務器也不能幸免;軟件漏洞---如Sun系統上常用的Netscape EnterPrise Server服務,只需輸入壹個路徑,就可以看到Web目錄下的所有文件清單;又如很多程序只要接受到壹些異常或者超長的數據和參數,就會導致緩沖區溢出;結構漏洞---比如在某個重要網段由於交換機、集線器設置不合理,造成黑客可以監聽網絡通信流的數據;又如防火墻等安全產品部署不合理,有關安全機制不能發揮作用,麻痹技術管理人員而釀成黑客入侵事故;信任漏洞---比如本系統過分信任某個外來合作夥伴的機器,壹旦這臺合作夥伴的機器被黑客入侵,則本系統的安全受嚴重威脅;
綜上所述,壹個黑客要成功入侵系統,必須分析各種和這個目標系統相關的技術因素、管理因素和人員因素。
因此得出以下結論:
a、世界上沒有絕對安全的系統;b、網絡上的威脅和攻擊都是人為的,系統防守和攻擊的較量無非是人的較量;c、特定的系統具備壹定安全條件,在特定環境下,在特定人員的維護下是易守難攻的;d、網絡系統內部軟硬件是隨著應用的需要不斷發展變化的;網絡系統外部的威脅、新的攻擊模式層出不窮,新的漏洞不斷出現,攻擊手段的花樣翻新,網絡系統的外部安全條件也是隨著時間的推移而不斷動態變化的。
壹言以蔽之,網絡安全是相對的,是相對人而言的,是相對系統和應用而言的,是相對時間而言的。 4,安全防禦體系
3.1.2
現代信息系統都是以網絡支撐,相互聯接,要使信息系統免受黑客、病毒的攻擊,關鍵要建立起安全防禦體系,從信息的保密性(保證信息不泄漏給未經授權的人),拓展到信息的完整性(防止信息被未經授權的篡改,保證真實的信息從真實的信源無失真地到達真實的信宿)、信息的可用性(保證信息及信息系統確實為授權使用者所用,防止由於計算機病毒或其它人為因素造成的系統拒絕服務,或為敵手可用)、信息的可控性(對信息及信息系統實施安全監控管理)、信息的不可否認性(保證信息行為人不能否認自己的行為)等。
安全防禦體系是壹個系統工程,它包括技術、管理和立法等諸多方面。為了方便,我們把它簡化為用三維框架表示的結構。其構成要素是安全特性、系統單元及開放互連參考模型結構層次。
安全特性維描述了計算機信息系統的安全服務和安全機制,包括身份鑒別、訪問控制、數據保密、數據完整、防止否認、審計管理、可用性和可靠性。采取不同的安全政策或處於不同安全保護等級的計算機信息系統可有不同的安全特性要求。系統單元維包括計算機信息系統各組成部分,還包括使用和管理信息系統的物理和行政環境。開放系統互連參考模型結構層次維描述了等級計算機信息系統的層次結構。
該框架是壹個立體空間,突破了以往單壹功能考慮問題的舊模式,是站在頂層從整體上進行規劃的。它把與安全相關的物理、規章及人員等安全要素都容納其中,涉及系統保安和人員的行政管理等方面的各種法令、法規、條例和制度等均在其考慮之列。
另外,從信息戰出發,消極的防禦是不夠的,應是攻防並重,在防護基礎上檢測漏洞、應急反應和迅速恢復生成是十分必要的。
目前,世界各國都在抓緊加強信息安全防禦體系。美國在2000年1月到2003年5月實行《信息系統保護國家計劃V1.0》,從根本上提高防止信息系統入侵和破壞能力。我國急切需要強化信息安全保障體系,確立我軍的信息安全戰略和防禦體系。這既是時代的需要,也是國家安全戰略和軍隊發展的需要,更是現實鬥爭的需要,是擺在人們面前刻不容緩的歷史任務。 5加密技術
密碼理論與技術主要包括兩部分,即基於數學的密碼理論與技術(包括公鑰密碼、分組密碼、序列密碼、認證碼、數字簽名、Hash函數、身份識別、密鑰管理、PKI技術等)和非數學的密碼理論與技術(包括信息隱形,量子密碼,基於生物特征的識別理論與技術)。
自從1976年公鑰密碼的思想提出以來,國際上已經提出了許多種公鑰密碼體制,但比較流行的主要有兩類:壹類是基於大整數因子分解問題的,其中最典型的代表是RSA;另壹類是基於離散對數問題的,比如ElGamal公鑰密碼和影響比較大的橢圓曲線公鑰密碼。由於分解大整數的能力日益增強,所以對RSA的安全帶來了壹定的威脅。目前768比特模長的RSA已不安全。壹般建議使用1024比特模長,預計要保證20年的安全就要選擇1280比特的模長,增大模長帶來了實現上的難度。而基於離散對數問題的公鑰密碼在目前技術下512比特模長就能夠保證其安全性。特別是橢圓曲線上的離散對數的計算要比有限域上的離散對數的計算更困難,目前技術下只需要160比特模長即可,適合於智能卡的實現,因而受到國內外學者的廣泛關註。國際上制定了橢圓曲線公鑰密碼標準IEEEP1363,RSA等壹些公司聲稱他們已開發出了符合該標準的橢圓曲線公鑰密碼。我國學者也提出了壹些公鑰密碼,另外在公鑰密碼的快速實現方面也做了壹定的工作,比如在RSA的快速實現和橢圓曲線公鑰密碼的快速實現方面都有所突破。公鑰密碼的快速實現是當前公鑰密碼研究中的壹個熱點,包括算法優化和程序優化。另壹個人們所關註的問題是橢圓曲線公鑰密碼的安全性論證問題。
公鑰密碼主要用於數字簽名和密鑰分配。當然,數字簽名和密鑰分配都有自己的研究體系,形成了各自的理論框架。目前數字簽名的研究內容非常豐富,包括普通簽名和特殊簽名。特殊簽名有盲簽名,代理簽名,群簽名,不可否認簽名,公平盲簽名,門限簽名,具有消息恢復功能的簽名等,它與具體應用環境密切相關。顯然,數字簽名的應用涉及到法律問題,美國聯邦政府基於有限域上的離散對數問題制定了自己的數字簽名標準(DSS),部分州已制定了數字簽名法。法國是第壹個制定數字簽名法的國家,其他國家也正在實施之中。在密鑰管理方面,國際上都有壹些大的舉動,比如1993年美國提出的密鑰托管理論和技術、國際標準化組織制定的X.509標準(已經發展到第3版本)以及麻省裏工學院開發的Kerboros協議(已經發展到第5版本)等,這些工作影響很大。密鑰管理中還有壹種很重要的技術就是秘密***享技術,它是壹種分割秘密的技術,目的是阻止秘密過於集中,自從1979年Shamir提出這種思想以來,秘密***享理論和技術達到了空前的發展和應用,特別是其應用至今人們仍十分關註。我國學者在這些方面也做了壹些跟蹤研究,發表了很多論文,按照X.509標準實現了壹些CA。但沒有聽說過哪個部門有制定數字簽名法的意向。目前人們關註的是數字簽名和密鑰分配的具體應用以及潛信道的深入研究。
認證碼是壹個理論性比較強的研究課題,自80年代後期以來,在其構造和界的估計等方面已經取得了長足的發展,我國學者在這方面的研究工作也非常出色,影響較大。目前這方面的理論相對比較成熟,很難有所突破。另外,認證碼的應用非常有限,幾乎停留在理論研究上,已不再是密碼學中的研究熱點。
Hash函數主要用於完整性校驗和提高數字簽名的有效性,目前已經提出了很多方案,各有千秋。美國已經制定了Hash標準-SHA-1,與其數字簽名標準匹配使用。由於技術的原因,美國目前正準備更新其Hash標準,另外,歐洲也正在制定Hash標準,這必然導致Hash函數的研究特別是實用技術的研究將成為熱點。
信息交換加密技術分為兩類:即對稱加密和非對稱加密。
1.對稱加密技術
在對稱加密技術中,對信息的加密和解密都使用相同的鑰,也就是說壹把鑰匙開壹把鎖。這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露,那麽機密性和報文完整性就可以得以保證。對稱加密技術也存在壹些不足,如果交換壹方有N個交換對象,那麽他就要維護N個私有密鑰,對稱加密存在的另壹個問題是雙方***享壹把私有密鑰,交換雙方的任何信息都是通過這把密鑰加密後傳送給對方的。如三重DES是DES(數據加密標準)的壹種變形,這種方法使用兩個獨立的56為密鑰對信息進行3次加密,從而使有效密鑰長度達到112位。
2.非對稱加密/公開密鑰加密
在非對稱加密體系中,密鑰被分解為壹對(即公開密鑰和私有密鑰)。這對密鑰中任何壹把都可以作為公開密鑰(加密密鑰)通過非保密方式向他人公開,而另壹把作為私有密鑰(解密密鑰)加以保存。公開密鑰用於加密,私有密鑰用於解密,私有密鑰只能有生成密鑰的交換方掌握,公開密鑰可廣泛公布,但它只對應於生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應用於身份認證、數字簽名等信息交換領域。非對稱加密體系壹般是建立在某些已知的數學難題之上,是計算機復雜性理論發展的必然結果。最具有代表性是RSA公鑰密碼體制。
3.RSA算法
RSA算法是Rivest、Shamir和Adleman於1977年提出的第壹個完善的公鑰密碼體制,其安全性是基於分解大整數的困難性。在RSA體制中使用了這樣壹個基本事實:到目前為止,無法找到壹個有效的算法來分解兩大素數之積。RSA算法的描述如下:
公開密鑰:n=pq(p、q分別為兩個互異的大素數,p、q必須保密)