信息安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
数据安全数据安全包含两方面的定义
1.数据本身的安全,主要是指采用现代密码算法对数据进行主动保护,如数据保密、数据完整性、双向强身份认证等,
2.数据防护的安全,主要是采用现代信息存储手段对数据进行主动防护,如通过磁盘阵列、数据备份、异地容灾等手段保证数据的安全,数据安全是一种主动的包含措施,数据本身的安全必须基于可靠的加密算法与安全体系
加密
加密就是指对数据进行编码变换,使其看起来毫无意义,但同时却仍可以保持其可恢复的形式的过程。被变换的数据称为明文,变换后的数据称为密文。加密机制有助于护信息的机密性和完整性,有助于识别信息的来源,它可能是最广泛使用的安全机制。
加密算法
加密算法分为私钥加密算法(对称加密)和公钥加密算法(非对称加密)
私钥加密算法
1)DES算法(Data Encryption Standard,数据加密标准)
DES是最著名的私钥或对称加密算法,使用56位密钥对64位的数据块进行加密,并对64位的数据块进行16轮编码,在每轮编码时都使用不同的子密钥,子密钥的长度均为48位,由56位的完整密钥得出。
2)三重DES
用两个密钥对明文进行三次加密。假设两个密钥是K1和K2,其算法步骤如下:
用密钥K1进行DES加密。
用K2对步骤1的结果进行DES解密。
对步骤2的结果再使用密钥K1进行DES加密。
3.IDEA(International Data Encryption Algorithm,国际数据加密算法)
在DES算法的基础上发展出来的,类似于三重DES。发展IDEA也是因为感到DES具有密钥太短等缺点,IDEA的密钥为128位。
公钥加密算法
1)RSA(Rivest-Shamir-Adleman)
通常是由密钥管理中心生成一对RSA 密钥,其中之一称为私钥,由用户保存;另一个称为公钥,可对外公开,甚至可在网络服务器中注册。在传送信息时,常采用私钥加密方法与公钥加密方法相结合的方式,即信息采用改进的DES或IDEA对对话密钥加密,然后使用RSA密钥加密对话密钥和信息摘要。对方收到信息后,用不同的密钥解密并可核对信息摘要。
2)Elgamal算法
Taher Elgamal开发了Elgamal算法,这种算法既能用于数据加密,也能用于数字签名,其安全性依赖于计算有限域上离散对数的难度。
3)数字签名算法
数字签名算法(DSA)由美国政府开发,可以作为数字签名的标准算法。这种算法基于Elgamal算法,但是只允许认证,不能提供机密性。
4)椭圆曲线加密
将椭圆曲线作为加密算法提出是在1985年,相比于RSA算法,这种算法最大的好处是密钥更小,因而同样安全级别的计算速度更快。
认证
通过数据认证、信息加密和基于公开密钥体制的RSA、数字签名等身份认证技术,可以有效地阻止安全漏洞的产生,提高网络的安全性。
数字签名
数字签名是一种可以提供认证的加密形式,可以解决否认、伪造、篡改及冒充等问题。
数字签名的具体要求是:发送者事后不能否认发送的报文签名,接收者能够核实发送者发送的报文签名;接收者不能伪造发送者的报文签名;接收者不能对发送者的报文进行部分篡改;网络中的某一用户不能冒充另一用户作为发送者或接收者。
数字签名常用算法:Hash签名、DSS签名和RSA签名
用户认证机制
计算机及网络系统中常用的身份认证方式如下:
(1)用户名/密码方式
(2)智能卡认领
(3)数字证书
(4)基于USB Ley认证
(5)动态口令
(6)生物识别技术
非法入侵以及病毒防护
防火墙
防火墙是指建立在内外网络边界上的过滤封锁机制,可以是硬件、软件、软硬件的结合。处于被保护网络和其它网络的边界,接收进出于被保护网络的数据流,并根据所配置的访问控制策略进行过滤或其他操作。
防火墙系统不仅能够保护网络资源不受外部的侵入,而且还能够拦截从被保护网络向外传送有价值的信息。它可以用于内部网络与Internet之间的隔离,也可用于内部网络不同网段的隔离,后者通常称为Intranet防火墙。
防火墙类型
防火墙技术可分为IP包过滤、线路过滤和应用层代理等3大类型
防火系统经常由过滤路由器和代理服务器组成,过滤路由器是一种多端口的IP路由器,它通过对每一个到来的IP包依据一组规则进行检查来判断是否对其进行转发。过滤路由器根据从包头取得的信息,例如协议号、收发报文的IP地址和端口号、连接标志,以及另外一些IP选项,对IP包进行过滤。
1)IP过滤技术
IP过滤的主要功能是接收被保护网络和外部网络之间的IP数据包,检测数据流中每个数据包头部,并根据数据包的源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包头中的各种标志位等因素,依据所设置的防火墙访问控制策略对数据包进行过滤,只准许经过授权的数据包通行。
每条包过滤的准则包括两个部分:选择准则和执行动作。选择准则包括数据包的源地址和目的地址、源端口和目的端口、协议和传输方向等;执行动作包括拒绝和准许,分别表示拒绝或者允许数据包通行。
2)线路过滤技术
线路过滤防火墙又称为电路级网关,它工作在会话层,在两个主机首次建立TCP连接时创立一个电子屏障。它作为服务器接收外来请求,转发请求,与被保护的主机连接时则充当客户机角色、起代理服务的作用。不能检查应用层的的数据包。
3)应用层代理
应用层代理位于TCP/IP协议的应用层,实现对用户身份的验证,接收被保护网络和外部之间的数据流并对其进行检查。通过代理服务器访问Internet网络服务的内部网络用户,在访问Internet之前首先应登录到代理服务器,代理服务器对该用户进行身份验证检查,决定是否允许其访问Internet,如果验证通过,用户就可以登录到Internet上的远程服务器。
优点:安全,工作在最高层,可以对网络中任何一层数据通信进行筛选保护。
缺点:速度相对较慢
入侵检测
入侵检测是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析,从中发现网络或系统中是否存在违反安全策略的行为和遭到袭击的迹象的一种机制。
侵检测分为两类:一种基于特征(signature-based),另一种基于异常情况(anomaly-based)。
(1)特征检测(signature-based detection)
对于基于标识的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。
(2)异常情况(anomaly-based detection)
而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。
安全协议
IPSec协议:在IP层提供数据源验证、数据完整性和数据保密性。
SSL安全协议:主要用于提高应用程序之间数据的安全系数。SSL协议的整个概念可以被总结为:一个保证任何安装了安全套接层的客户和服务器间事务安全的协议。它涉及所有TCP/IP应用程序。
ETS(电子商务传输安全)协议:为电子商务提供了一个可信的、开放的、基于策略的环境.
PGP协议:一个基于RSA公钥加密体系的邮件加密软件
S-HTTP(安全超文本传输协议):是在应用层运行的 HTTP 安全性扩展,它是在HTTP的基础上发展而来的。
TLS:基于SSL并与其相似,它的主要目标是在两个正在通信的应用程序之间提供保密性和数据完整性。
