计算机网络信息安全保密技术

(1)

图书在版编目（ＣＩＰ）数据

清华大学出版社

计算机网络信息安全保密技术

(2)

内容简介

本书从实用角度讲述数据加密和身份认证技术 , 简要地介绍操作系统与数据库安全方面的基础知识 , 分析了常见操作系统的安全特性 , 同时对 In ternet 中的安全业务和安全协议进行了介绍。本书在内容选材上从实用出发 , 对理解实用技术的基本原理也有充分的论述。因此 , 只需要读者具有基本的计算机网络知识就可以掌握本书的全部内容。

本书选材新颖 , 内容丰富 , 条理清晰 , 每一章都有具体的应用实例分析 , 便于读者学以致用。

本书可作为高职高专的教材 , 也可供相关专业的科技人员参考。

本书封面贴有清华大学出版社激光防伪标签 , 无标签者不得销售。

图书在版编目 ( CIP)数据

计算机网络信息安全保密技术/ 雷咏梅 , 赵霖编著 .—北京 : 清华大学出版社 , 2003 (高职高专电子商务系列教材 )

ISBN 7－302－07019－9

Ⅰ . 计… 　 Ⅱ . ①雷… ②赵… 　 Ⅲ . 计算机网络 - 安全技术 - 高等学校 : 技术学校 - 教材　

Ⅳ . TP393 .08

中国版本图书馆 CIP 数据核字( 2003) 第 070776 号

出版者 : 清华大学出版社　　　地　　址 : 北京清华大学学研大厦 h tt p : / / www .tup .com .c n 邮　　编 : 100084

社总机 : 010 62770175 客户服务 : 010 62776969 组稿编辑 : 王敏稚

文稿编辑 : 徐跃进封面设计:

印刷者 :

发行者 : 新华书店总店北京发行所

开　本 : 185×260 　印张 : 12 　字数 : 275 千字

版　　次 : 2003 年 8 月第 1 版　 2003 年 8 月第 1 次印刷书　　号 : ISBN 7－302－07019－9/ TP・5165

印　数 : 1～　　 000 定　价 : 　　元

(3)

高职高专电子商务系列教材

丛书编委会

主　编　高　林　　副主编　张俊玲

　　编　委　

( 按姓氏拼音排序 )

高　嵩　雷咏梅　李宇红　王育平　　赵乃真　支芬和　钟　强　周　立

　　

丛书策划编辑　王敏稚

(4)

近代人类社会经历了三次科学技术革命。每一次科技革命的爆发都会带来生产力的一次大的进步 , 促使社会经济形态发生变革 , 产业结构发生重大变化。

最新的一次科技革命始于 20 世纪 40 年代 , 以核技术、电子计算机和空间通信技术的发展成熟为标志 , 产生了原子弹、人造地球卫星等。尤其是计算机的发展不仅可以解决数学计算问题 , 而且作为人的脑力的扩展和肢体的延伸 , 直接进入了生产过程 , 代替了人在生产过程中的检验、调试和控制等 , 而微机的出现与发展又使这种扩展与延伸普及化。20 世纪 80 年代以后 , 第三次科技革命进入第二阶段 , 网络化发展逐步走向普及 , 形成了信息产业和以信息技术为基础的新兴工业群 , 并极大地推动了社会的现代化进程。

进入 21 世纪以来 , 第三次科技革命有可能进入又一个新的阶段 , 这一阶段的一个重要标志之一就是因特网的应用 , 有人说 20 世纪最伟大的发明是计算机 , 计算机最伟大的发展是因特网 , 因特网最伟大的应用是电子商务。电子商务的根本性变革在于把商品流、

资金流、技术流、业务流统统反映在信息流上 , 并由信息流来组织和支配 , 从而导致增值链重组 , 产生革命性的整合 , 使这一商务过程产业化。发展电子商务的关键在于人才 , 电子商务需要各种各样的人才 , 我国的信息技术发展总体上并不落后 , 但技术的推广速度较慢 , 除软、硬件等技术环境的因素外 , 人才的结构性矛盾较为突出 , 表现在缺少善于从事技术推广的职业性人才。本套教材面向高等职业教育 , 旨在培养从事电子商务等方面工作的技术应用性人才。

本套教材共 8 册 , 它们是 : 1．《电子商务概论》;

2．《网络营销》;

3．《电子商务网站建设实例》;

4．《数据库技术及其在网络中的应用》;

5．《计算机网络信息安全保密技术》;

6．《电子商务网络技术基础》;

7．《电子商务网站建设与程序设计》;

8．《网页设计与制作》。

本套教材力求突出高等职业教育的特色 , 反映国内外在电子商务应用领域的最新研究成果 , 引入国外教学和教材编写的先进思想。在理论上有一定的深度 , 更注重实际应用能力的培养 ; 在内容组织上突出从问题出发 , 引出概念 , 增强针对性 ; 在写作上突出案例教学 ; 在内容安排上每本教材都附有大量的实训和习题 , 以增强应用能力的培养。

(5)

本套教材适用于电子商务专业大学专科的高等职业教育学生 , 也适用于非电子商务专业的其经济或管理的大学专科学生。同时还可用作从事电子商务技术工作或经济管理干部的培训教材或参考书。

高　林

2002 年 12 月于北京

(6)

本书全面系统地论述了信息系统安全的基础理论及实用技术。书中围绕保障电子商务活动的安全性展开论述 , 包括信息加密技术、网络安全技术、系统安全技术和电子支付安全技术等保障措施。电子商务要为各参与方提供一个安全可靠的交易环境 , 其中一个重要的技术特征是利用 IT 技术来传输和处理商务信息。电子商务的安全涉及到通信网络的安全、传输信息的安全、电子资金支付的安全等方面。在电子商务中 , 安全是一个至关重要的问题 , 网上交易只有做到安全可靠 , 人们才能接受和使用这种交易方式。

全书分为 4 部分共 7 章。各部分内容简介如下 : 第一部分包括第 1 章和第 2 章 , 概述了计算机信息系统安全保密的重要性及研究内容 , 分析电子商务的安全需求 , 建立电子商务的安全架构 ; 第二部分包括第 3 章 , 介绍了网络安全所需的密码学原理 , 包括加解密算法及其设计原理、网络加密与密钥管理 , 讲述传统密钥体制和公开密钥体制 , 论述密钥管理与加密技术的应用 ; 第三部分包括第 4 章、第 5 章和第 6 章 , 该部分详细讲述了信息系统安全保密的实用技术 , 重点强调网络安全实用技术 , 如防火墙安全措施的应用、虚拟专用网的安全性、数字签名与数字证书等 , 通过对计算机病毒危害及症状的分析 , 论述防止病毒的常用方法 , 详细讲述认证机构与身份鉴别技术、操作系统的安全技术、数据库的安全保密技术等常用技术 , 并且对各种技术的应用进行分析 , 进一步指出各种技术的特征与应用范围、技术的局限性以及解决方案 ; 第四部分包括第 7 章 , 着重论述电子商务中安全电子交易的基本原理 , 讲述保障支付安全所使用的核心安全技术 , 并且对安全电子交换协议 SSL 和 SE T 进行比较分析。

本书在写作和出版过程中 , 得到张泽增教授的支持和帮助 , 他审阅了全书 , 作者在此表示深深的感谢。作者也在此感谢清华大学出版社为本书的顺利出版所付出的辛勤劳动。　　

本书选材新颖、内容丰富、条理清晰 , 运用大量实例生动地描述信息系统中各种安全技术的应用。基于实例和算法的讲解会使广大读者深入理解本书所讲述的内容 , 达到学以致用的目的。

本书可作为高职高专电子商务教材 , 也适合企业各部门管理人员、信息技术人员使用 , 亦可用作电子商务培训班的教材。

作者 2003 年 8 月

(7)

第 1 章　概述……… 1

1 .1 　引论 ……… 1

1 .2 　什么是计算机安全 ……… 2

1 .3 　计算机系统受到的安全威胁 ……… 5

1 .3 .1 　对安全的攻击……… 5

1 .3 .2 　计算机系统受到的安全威胁……… 8

1 .3 .3 　计算机系统的脆弱性……… 9

1 .4 　保密性模型和完整性模型 ……… 9

1 .4 .1 　数据保密性……… 9

1 .4 .2 　数据的完整性 ……… 10

1 .5 　身份认证与鉴别……… 11

1 .5 .1 　身份认证 ……… 11

1 .5 .2 　数字签名技术 ……… 12

1 .6 　国内外网络安全标准与政策现状……… 13

1 .6 .1 　国外网络安全标准 ……… 13

1 .6 .2 　国内安全标准和实施情况 ……… 14

1 .7 　本章小结……… 15

习题 ……… 15

第 2 章　电子商务中的安全问题 ……… 17

2 .1 　电子商务安全的整体架构……… 17

2 .1 .1 　电子商务的基本概念 ……… 17

2 .1 .2 　电子商务安全的整体架构 ……… 17

2 .1 .3 　安全架构的工作机制 ……… 20

2 .1 .4 　电子商务的安全要素 ……… 21

2 .2 　电子商务的安全技术……… 22

2 .3 　电子商务交易中的安全措施……… 30

2 .3 .1 　电子交易过程中的网络安全措施 ……… 30

2 .3 .2 　电子商务交易中的安全措施 ……… 30

(8)

Ⅶ

2 .4 　电子商务与加密技术……… 31

2 .4 .1 　计算机网络安全的基础———密码技术 ……… 31

2 .4 .2 　软加密技术 ……… 32

2 .4 .3 　硬加密技术 ……… 33

2 .5 　网上支付安全解决方案举例……… 34

2 .5 .1 　网上交易流程 ……… 34

2 .5 .2 　网上支付举例 ……… 35

2 .6 　本章小结……… 36

习题 ……… 37

上机练习 ……… 37

第 3 章　数据加密原理 ……… 38

3 .1 　概述……… 38

3 .1 .1 　加密历史简介 ……… 38

3 .1 .2 　什么是数据加密 ……… 39

3 .1 .3 　基本概念 ……… 40

3 .1 .4 　密码的分类 ……… 41

3 .2 　对称密钥体制……… 42

3 .2 .1 　数据加密的基本方式 ……… 43

3 .2 .2 　数据加密标准 ……… 46

3 .2 .3 　国际数据加密算法及应用 ……… 47

3 .3 　公开密钥密码体制———非对称密钥体制……… 49

3 .3 .1 　公开密钥密码简介 ……… 49

3 .3 .2 　公开密钥密码系统 ……… 52

3 .3 .3 　公开密钥密码应用 ……… 53

3 .3 .4 　加密技术中的摘要函数 ……… 53

3 .4 　基于背包问题的密码设计……… 54

3 .4 .1 　背包密码设计 ……… 54

3 .4 .2 　密码体制的数学描述 ……… 55

3 .5 　 R SA 系统 ……… 57

3 .5 .1 　 RSA 算法的描述 ……… 57

3 .5 .2 　 RSA 的硬件与软件实现 ……… 58

3 .6 　密钥的管理……… 59

3 .6 .1 　密钥的使用要注意时效和次数 ……… 59

3 .6 .2 　多密钥的管理 ……… 59

3 .7 　加密技术的应用……… 60

3 .7 .1 　在电子商务方面的应用 ……… 60

3 .7 .2 　加密技术在 V PN 中的应用 ……… 61

(9)

3 .8 　文件加密……… 62

3． 8． 1 　文件加密 ……… 62

3． 8． 2 　公钥和私钥的获取 ……… 63

3 .9 　本章小结……… 66

习题 ……… 67

上机练习 ……… 67

第 4 章　计算机网络安全 ……… 68

4 .1 　 Inte rnet 安全 ……… 68

4 .1 .1 　 In tern et 主要服务与安全威胁 ……… 69

4 .1 .2 　调制解调器安全 ……… 72

4 .1 .3 　 TC P/ IP 协议的安全缺陷 ……… 72

4 .1 .4 　开放互联网络的安全服务 ……… 73

4 .2 　网络通信安全……… 74

4 .2 .1 　网络模型与协议 ……… 74

4 .2 .2 　网络通信中的一般加密方法 ……… 77

4 .2 .3 　局域网通信安全措施 ……… 77

4 .2 .4 　对网络安全的威胁和策略 ……… 79

4 .3 　 Inte rnet 安全对策与秘密邮件 ……… 80

4 .3 .1 　 In tern et 安全对策 ……… 80

4 .3 .2 　紧急响应组织 ……… 81

4 .3 .3 　增强型加密邮件 ……… 81

4 .4 　计算机病毒……… 83

4 .4 .1 　病毒定义和分类 ……… 84

4 .4 .2 　病毒发作的现象和应采取的措施 ……… 86

4 .4 .3 　病毒的预防 ……… 88

4 .4 .4 　几种典型病毒的特征及其预防 ……… 91

4 .5 　防火墙技术……… 95

4 .5 .1 　防火墙是什么 ……… 95

4 .5 .2 　防火墙的基本技术 ……… 99

4 .5 .3 　防火墙的安全技术分析……… 102

4 .6 　本章小结 ……… 104

习题……… 105

上机练习……… 105

第 5 章　数字签名与身份认证技术……… 106

5 .1 　数字签名技术 ……… 106

5 .1 .1 　数字签名的概念……… 106

(10)

Ⅸ

5 .1 .2 　带加密的数字签名……… 107

5 .1 .3 　 RSA 公钥签名技术 ……… 110

5 .1 .4 　数字签名的应用……… 110

5 .2 　电子商务安全交易的关键环节———身份认证 ……… 111

5 .2 .1 　 CA 的定义 ……… 111

5 .2 .2 　 CA 的作用 ……… 113

5 .3 　数字证书 ……… 114

5 .3 .1 　什么是数字证书……… 114

5 .3 .2 　数字证书的标准……… 116

5 .3 .3 　数字证书的使用……… 117

5 .4 　电子商务认证中心安全方案 ……… 120

5 .5 　 Ou tlook Expr ess 下的操作实例……… 122

5 .6 　本章小结 ……… 126

习题……… 126

实践训练题……… 127

第 6 章　操作系统与数据库安全……… 128

6 .1 　安全操作系统的设计 ……… 128

6 .2 　访问控制 ……… 129

6 .2 .1 　访问控制的基本任务 ……… 130

6 .2 .2 　自主访问控制……… 130

6 .2 .3 　口令……… 132

6 .3 　基于 Windows 操作系统的安全技术……… 133

6 .3 .1 　 Windows 操作系统安全 ……… 133

6 .3 .2 　 Windows N T 操作系统的安全技术 ……… 135

6 .4 　 U NIX 安全技术 ……… 138

6 .5 　数据库的安全策略及安全模型 ……… 139

6 .5 .1 　安全数据库基本要求……… 140

6 .5 .2 　数据库基本安全架构……… 142

6 .5 .3 　数据库的安全模型……… 143

6 .6 　数据库加密 ……… 145

6 .6 .1 　数据库密码系统的基本流程……… 145

6 .6 .2 　加密机制……… 146

6 .6 .3 　数据库加密的范围……… 146

6 .6 .4 　数据库加密对数据库管理系统原有功能的影响……… 147

6 .7 　数据库安全新策略 ……… 147

6 .7 .1 　现有数据库文件安全技术……… 147

6 .7 .2 　现有数据库文件安全技术的局限性……… 148

(11)

6 .7 .3 　实例———Access 97/ 2000 数据库的安全问题……… 148

6 .7 .4 　数据库安全新策略……… 149

6 .8 　通用智能题库安全保密系统的实现 ……… 150

6 .9 　本章小结 ……… 151

习题……… 152

上机练习……… 152

第 7 章　安全电子交易……… 153

7 .1 　电子交易的基本流程 ……… 153

7 .2 　电子交易的安全标准 ……… 155

7 .2 .1 　常用数据交换协议……… 155

7 .2 .2 　 SSL 协议 ……… 156

7 .3 　安全电子交换协议 SE T 简述……… 158

7 .3 .1 　 SE T 的基本概念 ……… 159

7 .3 .2 　 SE T 基本原理 ……… 164

7 .4 　 SE T 的安全需求与特征 ……… 166

7 .4 .1 　 SE T 的安全需求 ……… 166

7 .4 .2 　 SE T 的关键特征 ……… 167

7 .4 .3 　 SE T 的购物流程 ……… 169

7 .4 .4 　 SE T 的双向签名 ……… 171

7 .5 　 SE T 中的支付处理 ……… 172

7 .5 .1 　交易过程……… 172

7 .5 .2 　支付认可……… 174

7 .5 .3 　支付获取……… 175

7 .6 　 SE T 存在的问题 ……… 176

7 .7 　本章小结 ……… 177

习题……… 177

上机练习……… 178

参考文献……… 179

(12)

(13)

第 1 章　概　　述

在电子计算机、通信和网络等技术迅猛发展的推动下 , 信息技术、信息产业和信息网络在社会经济的各个领域所发挥的作用日益突出 , 并逐渐主导国民经济和社会发展的过程。信息产业高速发展 , 成为经济发展的强大推动力 ; 信息网络迅速崛起 , 成为社会经济活动的重要依托。随着全球信息化的飞速发展 , 我国大量建设的各种信息化系统已经成为国家的关键基础设施 , 其中许多业务必须与国际接轨 , 诸如电信、电子商务、金融网络等。　　

信息化在我国国民经济和社会发展中所起的作用也越来越大。随着信息化、网络化的迅速推进 , 非常需要保护那些存储在计算机中的文件和其他信息。对于通过数据网络进行访问的系统 , 这种需求更为迫切。网络信息安全问题已成为亟待解决、影响国家大局和长远利益的重大关键问题 , 信息安全是发挥信息革命带来的高效率、高效益的有利保证。　　

本章介绍关于计算机安全的一般概念 , 信息系统所受到的安全威胁 , 以及国内外的研究现状和发展趋势。

1 .1 　引　　论

从古到今 , 人们对土地、财产和钱财进行行之有效的保护 , 以防止由于入侵者、窃贼或其他原因造成损失 , 如用城堡来保护土地 , 用保险箱来保护钱财。在现代社会 , 计算机已经深入到每个角落 , 人们用计算机进行通信、存储数据、处理数据 , 人们的工作、生活深深依赖于计算机。试想 , 如果计算机系统被破坏 , 将会出现不能存取钱 , 不能和远方的朋友通话 , 公司陷入财务混乱、人员混乱 , 这些损失将是不可估计的。

发展信息化 , 必须重视网络安全和信息安全 , 正确处理信息化与国家安全的关系。一方面要扩大信息交流 ; 另一方面 , 必须树立高度的安全意识 , 采取一切措施 , 防范可能来自不同方面对网络和信息源的攻击和破坏 , 确保信息安全和国家安全。

目前 , 互联网已遍及全球 180 多个国家 , 为 1 亿多用户提供多样化的网络与信息服务。互联网是 20 世纪人类最伟大的发明之一 , 它已经在人类社会的诸多方面造成了影响。随着网络的深入发展 , 人们也逐渐意识到网络安全的重要性。现今 , 网络攻击活动非常频繁 , 从美国微软、雅虎、亚马逊到中国的新浪 , 黑客的攻击无处不在。据统计 , 全球每 20 秒发生一次黑客攻击 , 每日出现 5～10 种新病毒 , 病毒总数目前已达 40 000 种 , 黑客攻击手段多达 1500 种。20 世纪 80 年代 , 美国在互联网上的损失每年达 50 亿美元 ; 20 世纪 90 年代每年损失已达到 70 亿美元 , 甚至更多 ; 到 2000 年 , 仅 2 月 7 日至 10 日 3 天就损失了 12 亿美元……

美国安全服务商 Rip tech 发表的关于 2002 年 1 月至 6 月计算机攻击状况的调查结

(14)

计算机网络信息安全保密技术

l 2　

果显示 , 全球计算机攻击事件正在以每年 64 % 的速度增加。

这项以 30 多个国家的 400 多家企业为对象的调查 , 不仅分析了计算机攻击给特定业界、个别企业带来影响 , 而且对整体因特网业界计算机攻击的新动向进行了分析。

因此 , 必须充分意识到网络安全的重要性。应该了解互联网世界中有关安全的基本情况 , 知道互联网上的个人数据和通信记录随时都有可能被公布于众或被滥用 , 我们必须防患于未然。

1 .2 　什么是计算机安全

由于计算机信息有共享和易于扩散等特性 , 它在处理、存储、传输和使用上有着严重的脆弱性 , 很容易被干扰、滥用、遗漏和丢失 , 甚至被泄露、窃取、篡改、冒充和破坏 , 还有可能受到计算机病毒的感染。

信息安全涉及信息的秘密性 ( confidentialit y) 、完整性 ( in tegrity ) 、可用性 ( availabili－

t y) 、可控性 ( con trollability) 。综合起来说 , 就是要保障电子信息的有效性。保密性就是对抗对手的被动攻击 , 保证信息不泄露给未经授权的人 ; 完整性就是对抗对手主动攻击 , 防止信息被未经授权的篡改 ; 可用性就是保证信息及信息系统确实为授权使用者所用 ; 可控性就是对信息及信息系统实施安全监控。

计算机安全的内容应包括两方面 : 即物理安全和逻辑安全。物理安全指系统设备及相关设备受到物理保护 , 免于破坏、丢失等。逻辑安全包括信息完整性、保密性和可用性 :

保密性指高级别信息仅在授权情况下流向低级别的客体与主体 ; 完整性指信息不会被非授权修改及信息保持一致性等 ;

可用性指合法用户的正常请求能及时、正确、安全地得到服务或回应。

一个系统存在的安全问题可能主要来源于两方面 : 或者是安全控制机构有故障 ; 或者是系统安全定义有缺陷。前者是一个软件可靠性问题 , 可以用优秀的软件设计技术配合特殊的安全方针加以克服 ; 而后者则需要精确描述安全系统。

目前有关计算机信息系统安全的定义不一 , 国际标准化组织 ( ISO ) 的定义如下 :

“所谓计算机安全 , 是指为数据处理系统建立和采取的技术和管理的安全保护 , 保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。此概念偏重于静态信息保护。

也有人将“计算机安全”定义为 :“计算机的硬件、软件和数据受到保护 , 不因偶然和恶意的原因而遭到破坏、更改和泄露 , 系统连续正常运行。”该定义着重于动态意义描述。

由于现代的数据处理系统都是建立在计算机网络基础上的 , 计算机网络安全也就是信息系统的安全 , 即利用网络管理控制和技术措施 , 保证在一个网络环境里 , 信息数据的机密性、完整性和可使用性受到保障。

从计算机信息系统形态和运行过程出发 , 可把安全内容分为 : 实体安全、运行安全、

信息安全和管理安全 4 个方面。

实体安全是指保护计算机设备、设施 ( 含网络 ) 以及其他媒体免遭地震、水灾、有害气体和其他环境事故 ( 如电磁污染等 ) 破坏的措施、过程。保护计算机系统的全部硬件及计

(15)

第 1 章　概　　述

算机辅助设备的安全 , 包括计算机房地理环境的选择、建筑结构、布局各种防火、防盗措施及手段。

运行安全是指为保障系统功能的安全实现 , 提供一套安全措施 ( 如安全评估、审计跟踪、备份与恢复、应急措施等 ) 来保证信息处理过程的安全。

信息安全是指防止信息资源被故意的或偶然的非授权泄露、更改、破坏 , 或使信息被非法系统辨识、控制和否认。即确保信息的完整性、秘密性、可用性、可控性和不可否认性。　　

信息安全包括软件安全和数据安全。软件安全是指软件的防复制、防篡改、防非法执行等。数据安全是指计算机中的数据不被非法读出更改、删除等。它是计算机安全的关键。　　

几乎所有的计算机犯罪 , 都是对数据进行非法操作。要想保持长久平安就必须防患于未然 , 问题是现在以及将来可以做什么以保护自己的数据。

网络信息既有存储于网络节点上的信息资源 , 即静态信息 , 又有传播于网络节点间的信息 , 即动态信息。而这些静态信息和动态信息中有些是开放的 , 如广告、公共信息等 ; 有些是保密的 , 如私人间的通信、政府及军事部门的机密、商业机密等。网络信息安全一般是指网络信息的秘密性、完整性、可用性及真实性。网络信息的秘密性是指网络信息的内容不会被未授权的第三方所知。网络信息的完整性是指信息在存储或传输时不被修改、破坏 , 不出现信息包的丢失、乱序等 , 即不能为未授权的第三方修改。信息的完整性是信息安全的基本要求 , 破坏信息的完整性是影响信息安全的常用手段。当前 , 运行于互联网上的协议 ( 如 TCP/ IP 等 ) , 能够确保信息在数据包级别的完整性 , 即做到了传输过程中不丢信息包 , 不重复接收信息包 , 但却无法制止未授权第三方对信息包内部的修改。网络信息的可用性包括对静态信息的可得到和可操作性 , 以及对动态信息内容的可见性。网络信息的真实性是指信息的可信度 , 主要是指对信息所有者或发送者的身份的确认。

前不久 , 美国计算机安全专家又提出了一种新的安全框架 , 包括秘密性、完整性、可用性、真实性、实用性、占有性 , 即在原来的基础上增加了实用性、占有性 , 认为这样才能解释各种网络安全问题。网络信息的实用性是指信息加密密钥不可丢失 ( 不是泄密 ) , 丢失了密钥的信息也就丢失了信息的实用性 , 成为垃圾。网络信息的占有性是指存储信息的节点、磁盘等信息载体被盗用 , 导致对信息的占用权的丧失。保护信息占有性的方法有使用版权、专利、商业秘密性 , 提供物理和逻辑的存取限制方法 , 维护和检查有关盗窃文件的审查记录、使用标签等。

管理安全是指通过采用有关的法律法令、规章制度以及安全管理手段 , 确保系统安全运营。管理手段是对安全服务和安全机制进行管理 , 把管理信息分配到有关的安全服务和安全机制中去 , 并收集与它们的操作有关的信息。

计算机安全是一个非常重大的问题 , 这是一个值得计算机专家、管理人员、甚至用户研究的领域。学习的目的是了解计算机中的安全问题是什么 , 以及采用什么方法来处理这些问题。

随着计算机的发展 , 计算机硬件、软件技术的进步 , 计算机应用技术的广泛使用 , 如信息高速公路 , Inte rnet、信息战等 , 影响安全的一个主要原因是分布式系统的引入以及网络

(16)

l 4　

和通信设施的使用。这些网络和通信设施用来在终端用户与计算机之间以及计算机与计算机之间传输数据。在数据传输过程中需要用网络安全措施来保护数据。例如 , 对于信息系统最为引人注目的攻击形式之一是计算机病毒。某病毒可能通过一张软盘被引入一个系统 , 进而加载于一台计算机 , 也可能通过互联网进入计算机。无论在哪种情况下 , 一旦该病毒驻留于一个计算机系统 , 就需要使用内部计算机安全工具来监测和清除病毒。

虽然采用了防火墙技术 , 但是网络病毒很猖獗 , 如 CI H 病毒、美丽沙病毒、求职者病毒等都造成了很大危害和损失。因此 , 非常需要用自动化的工具来保护那些存储在计算机中的文件和其他信息 , 这对一个共享系统 ( 如分时系统 ) 则更为必要。对于那些能够通过公用电话或数据网络进行访问的系统 , 这种需求尤为迫切。计算机安全同时也包括了设计用来保护数据、阻挡黑客的工具集合。

计算机安全的主要目标是保护计算机资源免受毁坏、替换、盗窃和丢失 , 这些计算机资源包括计算机设备、存储介质、软件和计算机数据等。计算机安全包括广泛的策略和解决方案 , 具体内容如下所示。

1 . 访问控制

对人们访问计算机系统进行控制 , 只允许合法用户使用计算机系统 , 而把非法用户拒之门外 , 这就像守在大楼门口的门卫一样 , 对进入大楼的人进行安全检查。

2 . 选择性访问控制

对不同的合法用户授予不同的权力 , 使他们具有不同的系统资源访问权力 , 如一个非正式用户就不能访问敏感性数据 , 而系统的管理者———系统管理员对系统具有全面的控制。还有 , 如果用户 A 想对他的目录下的数据进行保密 , 则用户 A 可以控制其目录 , 不让其他用户访问他的目录。

3 . 防御计算机病毒

病毒对计算机系统具有很大程度的破坏性 , 这是计算机安全长期要面对的问题。

4 . 加密

加密就是把数据转换成不可读的形式 , 并在必要时再转换回来 , 这可以保证只有被授权的人才能阅读该信息。

5 . 系统计划和管理

计划、组织和管理计算机设备 , 并根据用户的要求制定安全策略并实施。它就像企业管理的其他部分一样 , 具有十分重要的意义。

6 . 物理安全

保证计算机装置和设备的安全 , 防止非法人员进入机房对计算机设备进行破坏 , 或直接窃取机密信息。

7 . 生物统计学

用生物惟一性特征来识别用户 , 如指纹、视网膜和声音等。

8 . 网络和通信安全

这是计算机安全中很重要的一部分 , 网络入侵、窃听都属于这个范畴。

计算机安全在现代企业中有着极其重要的地位, 但它常常被人们忽略 , 并在灾难发生后令人追悔莫及。例如 , 网站被黑客入侵, 并受损破坏, 导致了网站服务的关闭。这种危害似

(17)

乎并不严重 , 但是经常被黑客破坏的站点 , 怎么能吸引到众多稳定的访问者呢 ? 这种损失不但是经济上的, 也是商业名誉上的。再如 , 某公司的投标计划被竞争对手劫获 , 该公司就可能失去一次绝好的商业机会。一个企业的计算机系统遭受水灾或火灾 , 公司财务数据全部被损害, 如果该企业对数据没有很好地保护和备份措施, 公司可能就此不能开业了。

总之 , 计算机安全就是一个组织机构本身的安全。

为了有效评估一个机构的安全需求以及评价和选择各种安全产品的策略 , 负责安全需求的管理员需要采用某些系统方法来定义安全需求和表达满足这些需求的方法。常用的一种方法是考虑信息安全性的 3 个方面。

安全攻击 : 危及由某个机构拥有的信息安全的任何行为。

安全机制 : 设计用于检测、防止安全攻击的一种机制。

安全服务 : 加强一个组织的数据处理系统和信息传送安全性的一种服务。该服务的目的是对抗安全攻击 , 它们利用一种或多种安全机制来提供该服务。

1 .3 　计算机系统受到的安全威胁

1 .3 .1 　对安全的攻击

　　任何一个信息网络系统都存在有限的边界 , 并且由具体的硬件设备、系统软件、服务功能、数据资源和网络用户等几个基本元素所构成。分析网络安全风险必然要从以上的基本构成元素入手。

从广泛的意义上讲 , 网络安全风险可以划分为自然灾害威胁、电子系统故障、人工操作失误和人为蓄意破坏 4 个方面。应用单纯的技术手段可以对前 3 个方面的风险实施有效的防御和控制 ; 而对于人为蓄意破坏 , 必须像对待社会上的违法犯罪活动一样 , 采取多种技术和行政手段 , 进行预防和制止。本章将对安全风险进行深入分析 , 提出切实的安全对策。

对互联网络的攻击包括对静态数据的攻击和对动态数据的攻击。对静态数据的攻击主要有 :

图 1 1 　信息的正常流动

口令猜测 , 通过穷举方式搜索口令空间 , 逐一测试 , 得到口令 , 进而非法入侵系统 ; I P 地址欺骗 , 攻击者伪装成源自一台内部主机的一个外部地点传送信息包 , 这些信息包中包含有内部系统的源 IP 地址 , 冒名他人 , 窃取信息 ;

指定路由 , 发送方指定一信息包到达目的站点的路由 , 而这条路由是经过精心设计的、绕过设有安全控制的路由。

根据对动态信息的攻击形式不同 , 可以将攻击分为主动攻击和被动攻击两种。

对一个计算机系统或网络安全的攻击 , 最好通过观察正在提供信息的计算机系统的功能来表述。一般而言 , 一个信息流从一个源 ( 例

如 , 另一个文件或主存储器的一个区域 ) 流到一个目的地 ( 例如 , 另一个文件或主存储器的一个区域 ) , 正常流动如图 1 1 所示。

(18)

l 6　

信息的流动过程中会受到各种类型的攻击 , 图 1 2 中显示了 4 种一般类型的攻击。

图 1 2 　计算机系统受到的攻击

中断 : 该系统的资源被破坏或变得不可利用。

例如硬件 ( 如一个硬盘 ) 的毁坏、一条通信线路的切断或某文件管理系统的失效。

截获 : 一个未授权方获取了对某个资产的访问 , 这是对机密性攻击。该未授权方可以是一个人、一个程序或一台计算机。例如在网络上搭线窃听以获取数据 , 违法复制文件或程序。

篡改 : 未授权方不仅获得了访问而且篡改了某些资源 , 这是对完整性的攻击。例如改变数据文件的值 , 改变程序使得它的执行结果不同 , 篡改在网络中传输的消息内容 , 等等。

伪造 : 未授权方将伪造的对象插入系统 , 这是对真实性的攻击。例如在网络中插入伪造的信息或为文件增加记录。

这些攻击可根据被动攻击和主动攻击进行分类。

被动攻击主要是指攻击者监听网络上传递的信息流 , 从而获取信息的内容 ; 或希望得到信息流的长度、传输频率等数据 , 进行攻击 , 称为流量分析 ( tr affic a nalysis ) 。被动攻击和窃听示意图如图 1 3 所示。

被动攻击是对网络信息保密性的严重挑战。

从严格的意义上讲 , 被动攻击不会破坏信息系统的完整性和可用性。攻击者采用侦听和分析工具截取在网络中传输的信息数据 , 破解信息内容 ; 或者非法访问信息系统的资源 , 非法调用信息系统的特殊服务功能。

图 1 3 　被动攻击示意图

被动攻击一般采用以下方法 : 发送含恶意代码的电子邮件 , 当用户使用具有执行脚本能力的电子邮件客户端软件 , 比如 Ou tlook 打开电子邮件时 , 计算机失去控制 ; 或者发送带有迷惑性描述并以可执行文件作为附件的电子邮件 , 当用户执行附件中的可执行文件时 , 计算机遭到破坏或者攻击 ; 还有 , 在文件服务器或者网站上发布含有后门或者病毒的软件 , 号召大家下载 ; 或者通过含恶意代码的网页脚本 , 对浏览用户进行 DOS 攻击或者误导。

主动攻击如图 1 4 所示的破坏力和杀伤力更为巨大 , 直接威胁信息网络系统的保密性、完整性和可用性。网络黑客成功的主动攻击往往形成爆炸性的社会轰动和恐慌 , 造成难以估量的财产损失。主动攻击常采用的方法是 : 篡改程序及数据、假冒合法用户侵入系统胡作非为、假冒信息服务者骗取用户的保密信息、传播计算机病毒、破坏软件及数据、

(19)

第 1 章　概　　述否认或抵赖、消耗信息系统的服务能力造成拒绝服务等。

图 1 4 　主动攻击示意图

一般来说 , 主动攻击行为主要采用以下步骤实施。

首先 , 针对特定目标主机搜索基本信息 , 包括操作系统类型、开放的服务、网络路径中的关键点 , 比如防火墙路由器信息等。尤其是相应的软硬件版本 , 如果是较老的版本/ 型号 , 即使打过一些补丁 , 也很难补全。当然 , 如果目标主机采用的是最新的软硬件系统 ,

由于新系统总是存在新特性 , 用户熟悉需要一定时间 , 所以这些功能往往采用默认安装或默认配置 , 这样也容易存在安全隐患。总之 , 目标主机及其网络路径上关键设备的基本信息往往会泄露大量对黑客有用的东西。

发现基本信息后 , 利用工具 , 比如 T elnet、F T P、IE/ NC 试探目标是否存在已知的各种漏洞。当然使用最多的还是扫描工具 , 开放源码的有 sain t、nessu s、tw ww 等 , 这些工具都收集了大量攻击方法 , 并能根据返回 , 判断是否成功 , 即是否存在已知漏洞。一般在这一阶段很容易发现突破口。

其次 , 是利用漏洞实施攻击行为。发起 DOS 攻击或者进入系统 , 根据黑客的不同目的采取不同行动 , 见诸报端最多的是网页被更改或者重要数据库遭到破坏。但是 , 窃取重要材料或者植入木马的情况可能更多 , 而当事人往往毫无察觉。一般在达到目的后 , 黑客还需要消除相关日志 , 做到不留痕迹。

被动攻击旨在破坏信息的秘密性 , 主动攻击旨在破坏信息的真实性和完整性。以军用计算机为代表的国家安全领域用于封闭环境 , 为保密而把被动攻击作为主要防范对象 , 这也是传统的安全模式 ; 而以金融系统为代表的商用安全领域用于开放环境 ( 对客户是开放的 , 所使用的公用网络也是开放的 ) , 这种环境下机密并不能完全保得住 , 所以为保证金融信息的真实性与完整性而把主动攻击置于防范的首位。防主动攻击比防被动攻击更难 , 后者不易发觉但易制止 , 前者虽能发觉但难制止。后者靠加密技术和方法能够奏效 , 前者的威胁则来自机、网、库、卡诸多层次 , 这主要靠鉴定技术和方法 , 以及多层次综合保护机制和措施。

例如信用卡安全涉及持卡人、信用卡本身、发卡银行内部、金融终端 ( 如自动柜员机 ) 和通信网络等诸多环节。

实际使用时 , 信用卡授权取决于 P IN ( 个人标识号 ) , 本质上它为卡主的电子签名 , 在金融终端它用于制止丢卡、窃卡或伪卡的使用。为保证卡主的真实性 , PIN 需要绝对保密。为了使 PI N 保密而不被猜得 , 它本身必须具有相当长的数位 , 使拾卡人、窃贼或伪卡主难以用直接猜试法求得 PI N 值。但是 PIN 的数位越长就越难于记忆 , 卡主输入时出错的概率就越大 , 也会延长电子转账交易时间 , 造成许多不便。实践证明 , 一般人难以牢记超过 6 位的十进制数 PI N。当今流行的 PIN 值在 4～6 位之间 , 便是实用性和安全性的折中体现。

金融电子支付系统都有核查 PI N 猜试的检测系统 , 对连续输入有差错的 PI N 值的许

(20)

l 8　

可次数都有限制 , 这也有效防止了 PIN 的非法猜试。这种次数限制可以是累积次数 , 也可以按日计数。采取了上述限制规定后 , 在金融终端内 , 有必要没收失效的信用卡 , 以防止非法卡片再度使用。

IC 卡与磁卡相比的一大优点是 , 卡内信息密封而难伪造 ; IC 卡还能提高信用卡系统其他环节的安全 , 尤其是制止伪卡在受理终端作案 ; IC 卡还具备一卡多用的前景。

金融机构对卡主 PI N 的保密负有首要责任 , 应当杜绝金融机构内部人员非法获取 PI N。在公用通信线路上 PI N 不能以明码传送 , 因为线路易被窃听。在金融中心计算机任何数据库内 , PIN 不能以明码驻留 , 即使是短暂驻留 , 也不允许用明码的形式 , 因为这总会给程序员或操作员以可乘之机。PI N 不能为金融机构内部人员所知 , 也不能给他们有任何接近 PI N 文件的机会 , 即使在向客户发放 PI N 的过程中也要如此。如果要用信使传递 PI N , 则必须始终在严密控制管理之下进行。

1 .3 .2 　计算机系统受到的安全威胁

威胁 , 是指某个人、物、事件或概念对某一资源的保密性、完整性、可用性或合法使用所造成的危险。某种攻击就是某种威胁的具体实现。

基本的安全威胁有如下几种。

(1 ) 信息泄露。信息被泄露或透露给某个非授权的人或实体。这种威胁来自诸如窃听、搭线 , 或其他更加错综复杂的信息探测攻击。

(2 ) 完整性破坏。数据的一致性通过非授权的增删、修改或破坏而受到损坏。

(3 ) 业务拒绝。对信息或其他资源的合法访问被无条件地阻止。这可能是因为攻击者通过对系统进行非法的、根本无法成功的访问尝试而产生过量的负荷 , 从而导致系统的资源在合法用户看来是不可使用的 ; 也可能由于系统在物理上或逻辑上受到破坏而中断业务。

(4 ) 非法使用。某一资源被某个非授权的人 , 或以某一非授权的方式使用。这种威胁的例子是 : 侵入某个计算机系统的攻击者会利用此系统作为盗用电信业务的基点 , 或者作为侵入其他系统的出发点。因为存在安全威胁 , 所以一定要考虑安全问题。安全威胁来自多方面 , 一方面是计算机本身存在一定的脆弱性 ; 另外 , 外部的损坏因素也威胁着计算机的安全。

一般认为 , 目前网络存在的威胁主要表现在以下几方面。

非授权访问 : 没有预先经过同意 , 就使用网络或计算机资源被看作非授权访问。

如有意避开系统访问控制机制 , 对网络设备及资源进行非正常使用 ; 或擅自扩大权限 , 越权访问信息。它主要有以下几种形式 : 假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。

信息泄露或丢失 : 指敏感数据在有意或无意中被泄露出去或丢失。它通常包括 , 信息在传输中丢失或泄露 ( 如“ 黑客”们利用电磁泄露或搭线窃听等方式可截获机密信息 ; 或通过对信息流向、流量、通信频度和长度等参数的分析 , 推出有用信息 , 如用户口令、账号等重要信息。) ; 信息在存储介质中丢失或泄露 ; 通过建立隐蔽隧道等窃取敏感信息等。　　

(21)

破坏数据完整性 : 以非法手段窃得对数据的使用权 , 删除、修改、插入或重发某些重要信息 , 以取得有益于攻击者的响应 ; 恶意添加 , 修改数据 , 以干扰用户的正常使用。

拒绝服务攻击 : 它不断对网络服务系统进行干扰 , 改变其正常的作业流程 , 执行无关程序使系统响应减慢甚至瘫痪 , 影响正常用户的使用 , 甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。

利用网络传播病毒 : 通过网络传播计算机病毒 , 其破坏性大大高于单机系统 , 而且用户很难防范。

单台计算机的威胁相对而言比较简单 , 而且包括在网络系统的威胁中。随着科学技术的飞速发展 , 人们已经生活在信息时代。计算机技术和网络技术深入到社会的各个领域 , 因特网把“ 地球村”的居民紧密地连在一起。因特网的迅速发展 , 给人们的日常生活带来了全新的感受 , 人类社会各种活动对信息网络的依赖程度已经越来越大。

1 .3 .3 　计算机系统的脆弱性

计算机系统的脆弱性主要来自于操作系统的不安全性 , 在网络环境下 , 还来源于通信协议的不安全性。美国对计算机安全规定了级别 , 有关安全级别将在后面详细讨论。有的操作系统属于 D 级 , 这一级别的操作系统根本就没有安全防护措施 , 它就像一个门窗大开的屋子 , 如 DOS、Windows 95 和 Windows 3． 1 等操作系统就属于这一类。它们只能用于一般的桌面计算机 , 而不能用于安全性要求高的服务器。 U NIX 系统和 Windows N T 达到了 C2 级别 , 安全性远远强于 Windows 95 操作系统 , 而且主要用于服务器上。

但这种系统仍然存在着安全漏洞 , 因为这两种系统中都存在超级用户 , 如果入侵者得到了超级用户口令 , 整个系统将完全受控于入侵者。现在 , 人们正在研究一种新型的操作系统 , 在这种操作系统中没有超级用户 , 也就不会有超级用户带来的问题。现在很多系统都使用静态口令来保护系统 , 但口令还是有很大的破解可能性 , 而且不好的口令维护制度会导致口令被人偷去。口令丢失也就意味着安全系统的全面崩溃。

世界上没有能长久运行的计算机 , 计算机可能会因硬件故障或软件攻击停止运转 , 计算机系统被入侵者利用并造成损失。硬盘故障、电源故障和芯片主板故障都是人们应考虑的硬件故障问题。软件漏洞或病毒则可能存在于操作系统中 , 也可能存在于应用软件当中。

1 .4 　保密性模型和完整性模型

1 .4 .1 　数据保密性

　　数据保密性就是保证只有授权用户可以访问数据 , 而限制其他人对数据的访问。数据保密性分为网络传输保密性和数据存储保密性。就像电话可以被窃听一样 , 网络传输也可以被窃听 , 解决这个问题的办法就是对传输数据进行加密处理 , 在本书后面将详细地讲到数据加密及其应用。

数据存储保密性主要是通过访问控制来实现的。管理员把数据分类 , 分成敏感型、机

(22)

l 10　　　

密型、私有型和公用型 , 对这些数据的访问加以不同的访问控制 , 如经理可以访问所有数据 , 一些技术人员除了敏感型数据以外都能进行访问 , 一般职员只能访问私有型数据和公用型数据。这种访问控制是不难实现的 , 许多安全型操作系统都能实现 , 如 UN IX、Win－

dows N T 等操作系统。而人们早期常使用的 Windows 95 和 DOS 操作系统不具有这种功能。

保证数据保密性的另一个且容易被人忽视的环节是人的安全意识。一个有经验的黑客可能会收买一个职员 , 或欺骗一个无知的职员 , 从而获得机密数据。这是一种常见的攻击方式 , 称为社会工程 ( social engineering) 。

数据保密性在商业、军事领域是十分重要的 , 如果一个公司的商业计划和财政机密被竞争者获得 , 那么就会给该公司造成很大损失。

1 .4 .2 　数据的完整性

完整性的一般定义就是“ 一种未受损的状态”和“ 保持完整或未被分割的品质或状态”。数据的完整性的目的就是保证计算机系统上的数据和信息处于一种完整和未受损害的状态 , 也就是说 , 数据不会因有意或无意的事件而被改变或丢失。数据完整性的丧失直接影响到数据的可用性。影响数据完整性的因素很多 , 有人为的蓄意破坏 , 有人为的无意破坏 , 有软、硬件的失效 , 还有自然灾害 , 但不管怎样 , 人们可以通过访问控制、数据备份和冗余设置来实现数据的完整性。

典型的蓄意破坏例子就是被解雇职员入侵到企业的内部网络 , 并肆意删去一些重要的文件。为了破坏一个站点 , 入侵者可能会利用软件安全缺陷或网络病毒对站点实行攻击 , 并删去系统重要文件 , 迫使系统停止工作。这种破坏的目的可能会很多 , 有的是为了显示自己的计算机水平 , 有的是为了报复 , 有的可能只是一个恶作剧。

无意破坏则主要来自于操作失误 , 比如一个对计算机操作不熟练的人可能会无意中删去他人的文件 , 这种错误对一些安全性好的操作系统不会是一个大的问题 , 如 U NIX 和 Windows N T 操作系统 , 在这些系统中对于新手的操作予以严格控制。而在 Windows 95和 DOS 这样的系统中 , 误操作发生的可能性就会增大 , 因为任何一个人都可以访问所有的文件 , 包括别人的文件和系统文件。为了防止这种误操作 , 对于 Windows 95和 DOS 系统 , 用户可以对一些重要数据文件做一个备份 ; 对于 U NIX 和 Windows N T 系统 , 可以为用户划分不同的用户目录 , 并把用户的权限限制在他本人的目录当中 , 如只有对自己的目录才有写的权限 , 对别人的目录则无写的权限。

硬件、软件失效也是造成数据破坏的一个重要原因 , 软盘损坏就是一种典型的硬件失效。软盘是一种极易损坏的存储介质 , 人们经常随身携带软盘 , 这样很容易造成软盘的物理损害 , 再加上软盘质量不好 , 不得不多拷贝几份以防止软盘不能读。硬盘虽然比软盘可靠性高得多 , 但对于十分重要的军事和商业信息 , 硬盘的备份也是十分重要和必要的 , 现在很多服务器的硬盘都提供冗余备份。 1994 年英特尔公司的 Pen tium 芯片被披露存在除法错误 , 一时间在业界引起了轩然大波。软件越大 , 功能越强大 , 缺陷也可能越多。人们经常听到一些软件开发商提供一些补丁程序 , 而且有时一个补丁接一个补丁 , 这正是说明了软件中存在的问题。

(23)

自然灾害谁也无法预测 , 如水灾、火灾 , 破坏了通信线路 , 造成信息在传输中丢失 ; 也可能磁盘设备被大火烧毁 , 以至公司损失了全部的订货、发货信息和员工信息 , 等等 ; 龙卷风可能破坏了公司的整个网络 , 致使数据全部破坏。

对于这些破坏方式 , 人们可以不变应万变 , 最好的方法就是对数据进行备份。对于简单的单机系统 , 重要数据不多 , 采用软盘人工备份 , 因为软盘可靠性差 , 一般需多备份几份。对于一些大型商业网络 , 如银行交易网 , 要安装先进的大型网络自动备份系统。现在专门生产这种系统的公司很多 , 人们可以选择一套适合自己网络需要的备份系统。

保证数据可用 , 首先要保证数据是完整的 , 其次还要保证系统是正常运转的 , 使得在网络上不会出现严重的拥挤 , 以免用户请求数据时 , 数据不能被及时地传过来。“ 拒绝服务”是一种常见的恶作剧式的攻击方式 , 它使服务器忙于处理一些乱七八糟的任务 , 消耗大量的处理时间 , 以至于服务器无暇顾及用户的数据请求。因特网蠕虫的病毒 , 例如求职者病毒就是依靠在网络上大量复制并且传播 , 占用大量 CP U 处理时间 , 导致系统越来越慢 , 直至网络发生崩溃 , 用户的正常数据请求不能得到处理。这是一个典型的“拒绝服务”

攻击。

数据不可用也可能是由于软件的原因 , 例如软件本身的问题导致网络失效 , 使用户不能登录到服务器上。这是因为服务器上的登录软件存在软件漏洞 , 致使它不能处理大量用户同时登录或退出的情况。

1 .5 　身份认证与鉴别

1 .5 .1 　身份认证

　　在需要通过网络进行通信的环境中 , 会遇到以下的攻击 : (1 ) 泄露 ;

(2 ) 通信量分析 ; (3 ) 伪装 ;

(4 ) 内容篡改 ; (5 ) 序号篡改 ; (6 ) 计时篡改 ; (7 ) 抵赖。

解决 (1 ) 、(2 ) 两种攻击的措施是加强报文保密性 , 对付 (3 ) ～ ( 6) 种攻击方法一般称为报文鉴别。处理第 (7 ) 项的机制称为数字签名。一般地 , 数字签名技术也能对付 (3 ) ～ ( 6) 项部分或全部攻击。

总之 , 报文鉴别是一个正式收到的报文来自可信的源点且未被篡改的过程。报文鉴别也可证实序列编号和及时性。数字签名是一种包含源点或终点抵赖的鉴别技术。

因此除了提供机密性以外 , 密码学通常还有其他的作用。

鉴别 : 消息的接收者应该能够确认消息的来源 ; 入侵者不可能伪装成他人。

完整性 : 消息的接收者应该能够验证在传送过程中消息没有被修改 ; 入侵者不可

(24)

l 12　　　

能用假消息代替合法消息。

抗抵赖 : 发送者事后不可能虚假地否认他发送的消息。

这些功能是通过计算机进行社会交流至关重要的要求 , 就像面对面交流一样。某人是否就是他说的人 ; 某人的身份证明文件 ( 驾驶执照、学历或者护照 ) 是否有效 ; 声称从某人那里来的文件是否确实从那个人那里来的 , 这些事情都是通过鉴别、完整性和抗抵赖来实现的。

认证业务提供了关于某个人或某个事物身份的保证 , 这意味着当某人 ( 或某事 ) 声称具有一个特别的身份 ( 如某个特定的用户名称 ) 时 , 认证业务将提供某种方法来证实这—

声明是正确的。口令是一种提供认证的熟知方法。

认证是一种最重要的安全业务 , 因为在某种程度上所有其他安全业务均依赖于它。

认证是对付假冒攻击的有效方法 , 此攻击能够直接导致破坏任一基本安全目标。认证用于一个特殊的通信过程 , 即在此过程中需要提交人或物的身份。认证又区分以下两种情况 : 　　

(1 ) 身份是由参与某次通信连接或会话的远端的一方提交的。这种情况下的认证业务称为实体认证。

(2 ) 身份是由声称它是某个数据项的发送者的那个人或物所提交的。此身份连同数据项一起发送给接收者。这种情况下的认证业务称为数据源认证。

注意 , 数据源认证可以用来认证某一数据项的真正起源 , 而不管当前的通信活动是否涉及此数据源。例如 , 一个数据项可能已经经过了许多系统转发 , 而这些系统的身份可用于被认证 , 也有可能尚未得到认证。

在达到基本的安全目标方面 , 两种类型认证业务都具有重要的作用。数据源认证是保证部分完整性目标的直接方法 , 即保证知道某个数据项的真正的起源。而实体认证则采用以下各种不同方式 , 以便达到安全目标。

1 .5 .2 　数字签名技术

1 . 数字签名

　　数字签名技术是公开密钥加密技术和报文分解函数相结合的产物。与加密不同 , 数字签名的目的是为了保证信息的完整性和真实性。数字签名必须保证以下几点 :

(1 ) 签字是可以被确认的 ; (2 ) 签字是无法被伪造的 ; (3 ) 签字是无法重复使用的 ;

(4 ) 文件被签字以后是无法被篡改的 ; (5 ) 签字具有无可否认性。

数字签名技术在原理上 , 首先用报文分解函数 , 把要签署的文件内容提炼为一个很长的数字 , 称为报文分解函数值。签字人用公开密钥加密系统中的私有密钥加密这个报文分解函数值 , 生成所谓的数字签名。收件人在收到数字签名的文件后 , 对此数字签名进行鉴定。用签字人的公开密钥来解开数字签名 , 获得报文分解函数值 ; 然后重新计算文件的报文分解函数值 , 比较其结果。如果完全相符 , 则文件内容的完整性、正确性和签字的

(25)

真实性都得到了保障。因为如果文件被改动 , 或者有人在没有私有密钥的情况下冒充签字 , 都将使数字签名的鉴定过程失败。

2 . 数字签名实现方法

现在被广泛应用的基于公钥密码体制的数字签名技术主要有 :

RSA 体制 , 它是基于求解一个大整数分解为两个大素数问题的困难性 ; ElGa mal 体制 , 它是基于求解有限域上的乘法群的离散对数问题的困难性 ;

椭圆曲线密码体制 , 它是一种基于代数曲线的公钥密码机制。以其良好的安全性 , 曲线选取范围广 , 在同等长度的密钥下具有比 RSA 体制更快的加、解密速度及更高的密码强度而备受青睐。

此外 , 实现数字签名有很多方法 , 如基于 RSA Dat a Securit y 公司的 P KCS ( public key cryp to ( gra phy) s ta ndard ) 、DSA ( digital s ign at ure algorit hm ) 、X .509、PGP ( pr ett y good privacy) 。1994 年美国标准与技术协会公布了数字签名标准 ( DSS ) 而使公钥加密技术广泛应用。同时应用散列算法 ( Hash ) 也是实现数字签名的一种方法。

关于数字签名的详细讨论见后面的章节。

3 . 数字签名发展方向

2000 年 1 月举行的第六届国际密码学会议对应用于公钥密码系统的加密算法 , 推荐了两种 : 基于大整数因子分解难题的 RSA 算法和基于椭圆曲线上离散对数计算难题的 ECC 算法。所以基于 RSA 算法的数字签名还有一定的发展。

对于未来的加密、生成和验证数字签名的工具需要完善。只有用 SSL ( 安全套接层 ) 建立安全链接的 Web 浏览器 , 才会频繁使用数字签名。公司要对其雇员在网络上的行为进行规范 , 就要建立广泛协作机制来支持数字签名。支持数字签名是 Web 发展的目标 , 只有确保数据保密性、数据完整性和不可否认性才能保证在线商业的安全交易。

和数字签名有关的复杂认证能力就如同现在操作、应用环境中的口令保护一样直接进入操作系统环境 , 或做到应用、远程访问产品、信息传递系统及 In ter net 防火墙中 , 像 N et sca pe 支持 X .509 标准的 Communicat or 4 .0 W eb 客户机软件 ; Microsof t 支持X .509 的 In ternet Explorer 4 .0 客户机软件及支持对象签名检查的 Java 虚拟机等。

1 .6 　国内外网络安全标准与政策现状

1 .6 .1 　国外网络安全标准

1 . 美国 TCSEC( 桔皮书 )

　　美国国防部 ( DOD ) 于 1985 年出版了《可信计算机系统的评价准则》( 又称

“桔皮书”) , 使计算机系统的安全性评估有了一个权威性的标准。DOD 的桔皮书中使用了可信计算基础 ( tr usted compu ting base, TCB) 这一概念 , 即计算机硬件与支持不可信应用及不可信用户的操作系统的组合体。桔皮书将计算机系统的可信程度划分为 D、C1、C2、

B1、B2、B3 和 A1 共 7 个层次。在 DOD 的评估准则中 , 从 B 级开始就要求具有强制存取控制和形式化模型技术的应用。桔皮书论述的重点是通用的操作系统 , 为了使它的评判方法用于网络 , 美国国家计算机安全中心于 1987 年出版了《可信网络指南》。该书从网络

(26)

l 14　　　

安全的角度出发 , 解释了准则中的观点。

该标准是美国国防部制定的。它将安全分为 4 个方面 : 安全政策、可说明性、安全保障和文档。在美国国防部虹系列 ( Rai nbow Series ) 标准中有详细的描述。该标准将以上 4 个方面分为 7 个安全级别 , 从低到高依次为 D、C1、C2、B1、B2 、B3 和 A 级。

2 . 欧洲 ITSEC

与 TCSEC 不同 , 它并不把保密措施直接与计算机功能相联系 , 而是只叙述技术安全的要求 , 把保密作为安全增强功能。另外 , TCSEC 把保密作为安全的重点 , 而 IT SEC 则把完整性、可用性与保密性作为同等重要的因素。 IT SEC 定义了从 E0 级 ( 不满足品质 ) 到 E6 级 ( 形式化验证 ) 的 7 个安全等级 , 对于每个系统 , 安全功能可分别定义。 IT SEC 预定义了 10 种功能 , 其中前 5 种与桔皮书中的 C1～B3 级非常相似。

3 . 加拿大 CTCPEC

该标准将安全需求分为 4 个层次 : 机密性、完整性、可靠性和可说明性。

4 . 美国联邦准则 (FC )

该标准参照了 CT CP EC 及 TCSEC , 其目的是提供 TCS EC 的升级版本 , 同时保护已有投资 , 但 FC 有很多缺陷 , 是一个过渡标准 , 后来结合 IT SEC 发展为联合公共准则。

5 . 联合公共准则 ( CC)

CC 的目的是想把已有的安全准则结合成一个统一的标准。该计划从 1993 年开始执行 , 1996 年推出第一版 , 但目前仍未付诸实施。CC 结合了 FC 及 IT SEC 的主要特征 , 它强调将安全的功能与保障分离 , 并将功能需求分为 9 类 63 族 , 将保障分为 7 类 29 族。

6 . ISO 安全体系结构标准

在安全体系结构方面 , ISO 制定了国际标准 ISO 7498—2—1989《信息处理系统开放系统互连基本参考模型第 2 部分安全体系结构》。该标准为开放系统互连 ( OSI ) 描述了基本参考模型 , 为协调开发现有的与未来的系统互连标准建立起了一个框架。其任务是提供安全服务与有关机制的一般描述 , 确定在参考模型内部可以提供这些服务与机制的位置。

1 .6 .2 　国内安全标准和实施情况

我国公安部主持制定、国家技术标准局发布的中华人民共和国国家标准 GB 17895—

1999《计算机信息系统安全保护等级划分准则》已经正式颁布 , 并于 2001 年 1 月 1 日起实施。该准则将信息系统安全分为 5 个等级 , 分别是 : 自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。主要的安全考核指标有身份认证、自主访问控制、数据完整性、审计、隐蔽信道分析、客体重用、强制访问控制、安全标记、可信路径和可信恢复等 , 这些指标涵盖了不同级别的安全要求。

另外还有《信息处理系统开放系统互连基本参考模型第 2 部分安全体系结构》( GB/

T 9387 . 2 —1995 ) 、《信息处理数据加密实体鉴别机制第 Ⅰ 部分 : 一般模型》

( GB 15834 .1—1995) 、《信息技术设备的安全》( GB 4943—1995) 等。

目前 , 国内自主开发网络安全产品正在迅速发展 , 但是根据中国的有关法律 , 涉及密码的产品只能使用国家密码管理委员会批准的密码产品。属于计算机信息系统安全专用

(27)

产品的销售和使用 , 将遵照公安部于 1997 年 12 月发布的《计算机信息系统安全专用产品检测和销售许可证管理办法》执行。《管理办法》明确规定中华人民共和国境内的安全专用产品进入市场销售 , 实行销售许可证制度。这将使信息安全产品的销售和使用更加规范化、法制化 , 以确保国家的安全。特别要掌握具有我国自主版权的大型网络安全技术 , 开发自己的网络安全产品 ; 在立足自我的基础上 , 充分借鉴国外先进经验、先进技术和先进平台 ; 加强教育 , 建立相应的法规制度 ; 选择合理的网络拓扑结构 ; 自始至终要注重系统的安全总体设计 , 而不是系统建成之后修补 ; 必须做到技术和管理并重 ; 充分利用网络所提供的安全技术 , 同时要结合所有的其他信息安全措施 ; 着力培养网络安全员。

其实人类社会在创造产品的同时也创造了产品的需求。我们将在本书的后续章节中对网络安全的基本原理、网络安全产品 , 包括防火墙、密钥等进行逐一地分析 , 同时对加解密与数字签名的基本算法进行分析。

综上所述 , 我们归纳出用户应树立的安全意识包括以下几点。

(1 ) 统一安全平台。必须站在系统全局的高度考虑安全问题 , 建立统一的用户授权和访问控制机制。

(2 ) 设备、网络、系统的主要安全问题是可用性、保密性。

(3 ) 安全管理不仅仅是一个技术问题 , 也是一个行政管理问题 , 必须双管齐下 , 协同实施。

信息安全的关键是解决系统服务功能、数据资源的安全性问题 , 因为应用软件和数据库系统是整个信息网络系统的最薄弱环节。针对特定的政府信息网络系统必须具体问题具体分析 , 在制定安全解决方案时充分把握全局 , 综合分析 , 均衡实施 , 使系统的安全投入与安全级别的提升相适应。

1 .7 　本章小结

本章首先引出了计算机安全的一般定义 ; 分析了计算机安全应包括的安全策略和解决方案 ; 进一步分析了计算机系统所受到的安全攻击与安全威胁。在此基础上 , 对某些电子商务中的安全问题进行了分析。

本章要点主要包括 :

(1 ) 计算机安全的定义与内涵 ;

(2 ) 计算机系统所受到的安全威胁和攻击 ; (3 ) 数据完整性与保密性的基本概念 ; (4 ) 身份认证与鉴别技术的概念 ; (5 ) 国内外安全标准与实施情况。

习　　题

1．简述计算机安全的定义和内涵。

2．计算机安全包括哪些策略和解决方案 ?

(28)

l 16　　　

3．信息安全的 3 个方面具体包括哪些内容 ? 4．计算机系统经常受到的安全攻击有哪些类型 ?

5．在需要网络进行通信的环境中会受到哪些攻击 ? 并简述可采取哪些技术措施。

6．举例说明电子商务的交易过程中会遇到哪些安全问题。

7．结合电子商务实例说明数据保密性和数据完整性模型的意义。

(29)

第 2 章　电子商务中的安全问题

随着 In ternet 的发展 , 电子商贸和网上交易将会是企业发展的新趋势。互联网为人们提供了方便快捷的交易途径 , 已经逐渐成为人们进行商务活动的新模式。越来越多的人通过 In ternet 进行商务活动 , 同时也为企业创造了高效率和高效益的商务环境。电子商务的发展前景十分诱人 , 可是网上交易仍存在着不少令人困扰的问题。

电子商务的一个重要技术特征是利用 IT 技术来传输和处理商业信息。电子商务要为各参与方提供一个安全可靠的交易环境。这将涉及通信网络的安全、传输信息的安全、

电子资金支付的安全等 , 还将涉及到有关的法律和其他责任问题 , 如有效签名、不可抵赖等。因此 , 在电子商务中 , 安全是一个非常重要的问题。网上交易只有做到安全可靠 , 人们才能接受和使用这种交易方式。

本章从 3 个方面讨论电子商务的安全问题。首先 , 介绍了电子商务中的总体框架结构、模块结构。其次讨论了电子商务交易安全的一些典型技术和协议 , 如防火墙技术、加密技术、认证与识别、防治网络病毒和安全协议。最后 , 从计算机安全角度 , 举例介绍了如何建立计算机网络安全体系 , 特别是如何建立 EDI( 电子数据交换 ) 安全体系 , 以及如何进行网上安全购物。

2 .1 　电子商务安全的整体架构

2 .1 .1 　电子商务的基本概念

　　电子商务改变了交易进行的方式 ( 无实体的信息货物、信息服务及电子钱 ) , 因此与传统市场具有很大的差异。首先简单介绍一下电子商务的一般架构 ( 如图 2 1 所示 ) 。

电子商务交易过程中订单、账单、邮件或其他文件内容可能会被人篡改 ; 买方或卖方可能会否认交易时间 , 甚至反悔 , 因而其安全问题变得越来越突出。如何建立一个安全、

便捷的电子商务应用环境 , 对信息提供足够的保护 , 已经成为影响到电子商务能否健康顺利发展的关键性课题 , 成为企业和用户都非常关心的问题。

一个电子商务系统的概念模型如图 2 2 所示。商务交易安全紧紧围绕传统商务在互联网上应用时产生的各种安全问题 : 在计算机网络安全的基础上 , 如何保障电子商务过程的顺利进行 , 即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。

2 .1 .2 　电子商务安全的整体架构

电子商务安全从整体上可分为两大部分 : 计算机网络安全和商务交易安全。电子商务的交易安全就是对交易中涉及的各种数据的可靠性、完整性和可用性进行保护。当许多传统的商务方式应用在 In ternet 上时 , 便会带来许多源于安全方面的问题 , 如传统的贷

(30)

l 18　　　

图 2 1 　电子商务的一般架构图

图 2 2 　电子贸易系统的各模块概念模型

款和借款卡支付的保证方案及数据保护方法、电子数据交换系统、对日常信息安全的管理等。具体来说 , 在整个信息网络上进行电子商务的安全需要有如下几个方面 :

(1 ) 数据保密　防止非授权用户获得并使用该数据 ;

(2 ) 数据完整性　确保网络上的数据在传输过程中没有被篡改 , 确保数据的完整性和及时性 ;

(3 ) 身份认证　对网络上的另一个用户进行验证 , 证实他就是他所声称的那个人 ; (4 ) 授权　控制谁能够访问网络上的信息并且能够进行何种操作 ;

(5 ) 不可抵赖和不可否认　用户不能抵赖自己曾有过的行为 , 也不能否认曾经接到对方的信息 ;

(6 ) 软件资源免受病毒的侵害。

因此 , 一般电子商务系统包括如图 2 3 所示的模块结构。

计算机网络信息安全保密技术

图书在版编目（ＣＩＰ）数据

清华大学出版社