计算机网络安全漏洞及防范报告
随着计算机的发展,人们越来越意识到网络的重要性。通过网络,分散在各处的计算机被网络连接起来。作为网络的一部分,许多计算机连接在一起形成局域网,在局域网中,程序、文件和其他资源可以在它们之间共享;还可以通过网络让多台电脑共享同一硬件,如打印机、调制解调器等;同时,我们也可以通过网络用电脑收发传真,方便、快捷、经济。
21世纪,世界各地的计算机将通过互联网连接起来,信息安全的内涵将发生根本改变。不仅从一般的防御变成了非常普通的防御,也从专门的领域变成了无处不在。当人类在21世纪步入信息社会和网络社会时,中国将建立一个完整的网络安全体系,特别是在政策和法律上具有中国特色的网络安全体系。
一个国家的信息安全体系其实包括国家的法规政策,以及技术和市场的发展平台。在构建信息防御系统时,中国应专注于开发自己独特的安全产品。中国真正解决网络安全问题的最终途径是发展民族安全产业,促进中国网络安全技术的整体提升。
网络安全产品有以下特点:第一,网络安全来源于安全策略和技术的多样化,采用统一的技术和策略并不安全;第二,网络的安全机制和技术应该是不断变化的;再次,随着网络在社会方面的延伸,进入网络的手段越来越多。因此,网络安全技术是一项非常复杂的系统工程。因此,建立具有中国特色的网络安全体系需要国家政策法规的支持和集团的共同研发。安全和反安全就像是矛盾的两个方面,总是在向上上升,所以未来安全行业也会随着新技术的发展而发展。
信息安全是国家发展面临的重要问题。对于这个问题,我们还没有从系统规划上考虑,从技术、产业、政策上发展。政府不仅要看到发展信息安全是我国高科技产业的一部分,还要看到发展安全产业的政策是信息安全体系的重要组成部分,甚至要看到它对我国未来电子信息技术的发展将起到非常重要的作用。第二章网络安全现状
2.网络安全面临的挑战
网络安全可能面临的挑战
垃圾邮件的数量将会增加。
电子邮件安全服务提供商Message Labs最近的一份报告预测,2003年全球垃圾邮件的增长速度将超过正常电子邮件,每封垃圾邮件的平均容量将远大于正常电子邮件。这无疑增加了成功攻击垃圾邮件的工作量和难度。目前还没有安装任何反垃圾邮件软件的公司,可能要早做防范了,否则以后他们的员工就要天天按键盘上的“删除键”了。此外,反垃圾邮件软件也要不断升级,因为目前垃圾邮件制造者已经在实施“打一枪换一个地方”的游击战术。
即时通讯工具仍然容易受到垃圾邮件的攻击。
以前即时通讯工具受垃圾信息的干扰比较少,现在情况有了很大的改变。垃圾邮件发送者会通过各种手段清理收集大量网络地址,然后向处于即时通讯中的用户发送消息,诱导其访问一些非法收费网站。更麻烦的是,一些卖合法产品的厂家也在用这种无聊的手段让网友上钩。目前市面上还没有防止即时通讯干扰信息的软件,这对于软件公司来说无疑是一个商机。
内置保护软件的硬件进退两难。
现在人们比以前更加关注网络安全。这种意识的表现之一就是很多硬件设备在出厂前就已经内置了防护软件。虽然这种做法在几年前就已经出现,但预计在未来几年将成为一种趋势。然而,这种具有自我保护功能的硬件产品正在遭遇一种尴尬,即在有人欢迎这种产品的同时,也有人反对。从好的方面来说,这种硬件产品更容易安装,整体价格相对较低。但它也有自己的缺点:如果企业用户需要更专业化的软件服务,这种产品不会有很大的弹性范围。
重新定义企业用户网络安全维护的范围。
目前,各大企业的员工在家中通过宽带接入登录自己公司的网络系统已经非常普遍。这种新的工作方式的出现也给网络安全带来了新的问题,即企业用户的网络安全维护范围需要重新界定。因为都是远程日志者,不在传统企业网络安全维护的“势力范围”之内。此外,由于来自网络的攻击日益严重,许多企业用户不得不在自己网络系统中的每台PC上安装防火墙、防入侵系统、防病毒软件等一系列网络安全软件。这也改变了以往企业用户对网络安全维护范围的观念。
个人信用信息。
个人信用信息在公众的日常生活中占据重要地位。过去,网络犯罪分子只是通过网络盗取个人用户的信用卡账户,但随着网上盗取个人信用信息手段的提高,预计这种犯罪会发展到2003年盗取美国公众个人信用信息的程度。比如,网络犯罪分子可以看一眼你的银行存款账号、社会保险账号,以及你最近的行踪。如果这种犯罪趋势不能得到有效遏制,无疑会给美国公众的日常生活带来极大的负面影响。
3.病毒的现状
随着互联网的日益普及,我们的日常生活不断网络化,但与此同时,网络病毒不断肆虐,威胁泛滥。这半年来,互联网安全受到威胁,黑客蠕虫入侵问题越来越严重,有泛滥之势。
2003年8月,冲击波蠕虫在Windows安全漏洞暴露后仅26天就喷涌而出,在8天内给全球计算机用户造成了高达20亿美元的损失,无论是企业系统还是家庭计算机用户。
根据最新的赛门铁克互联网安全威胁报告,在2003年上半年,发现了超过994种新的Win32病毒和蠕虫,比2002年同期的445种增加了一倍多。目前Win32病毒总数约为4000种。而2001同期,仅发现新的Win32病毒就有308种。
这份报告是赛门铁克在今年6月65438+10月1至6月31期间提出的最完整、最全面的威胁趋势分析。受访者来自全球500家安全管理服务的用户,数据由20,000个DeepSight威胁管理系统检测器检测。
赛门铁克高级区域总监Roland Wilschen在新闻简报会上表示,虽然微软拥有巨大的用户市场份额,但它也有大量的漏洞,预计它将成为病毒目标。
他指出,Linux等开源代码之所以没有受到太多病毒和蠕虫的攻击,完全是因为用户太少,以至于病毒制造者根本没有重视。他举例说,劫匪当然知道以有大量现金的银行为目标,所以他相信随着使用Linux平台的用户增加,慢慢会有针对Linux的病毒和蠕虫出现。
然而,他不同意开源社区的合作精神将能够有效地抵御任何威胁。他说,只要暴露源代码,就有可能找出它的安全漏洞,而且世界上并不都是好人,有恶意的人很多。
即时消息病毒翻了两番
赛门铁克的互联网安全威胁报告指出,2003年上半年,利用即时通讯、ICQ等IM软件(IM)和点对点网络(P2P)传播的病毒和蠕虫数量比2002年增长了400%。在排名前50的病毒和蠕虫中,有65,438+09个恶意代码是利用即时消息和P2P传播的。据了解,IM和P2P都是由于网络安全防护措施不足造成的,但这不是主要原因,主要原因在于它们的普及和用户的无知。
报告显示,该公司今年上半年共发现1432个安全漏洞,与去年同期的1276个安全漏洞相比,增长了12%。其中80%是可以远程控制的,所以严重的攻击可以通过网络进行,所以赛门铁克将这类可远程控制的漏洞列为中到高严重风险。此外,今年上半年,新增中度严重漏洞增加21%,高度严重漏洞增加6%,但低度严重漏洞减少11%。
至于整数错误的漏洞,也有增加的趋势。今年19例比去年同期3例增加16例。今年上半年,微软的互联网浏览器有12个漏洞,微软的互联网信息服务器也有很多漏洞。赛门铁克认为它将成为更多攻击的目标。尼姆达代码红队之前攻击过。
报告显示,64%的攻击是针对新的软件安全漏洞(少于1年的发现期),这说明病毒制造者对漏洞的响应越来越快。以Blaster冲击波为例,它出现在Windows安全漏洞被发现后仅仅26天。
知名病毒和蠕虫的威胁速度和频率也增加了不少。今年上半年,知名威胁数量比去年同期增长20%,恶意代码中有60%是知名病毒。今年6月5438+10月短短几个小时造成全球瘫痪的Slammer蠕虫,针对的是2002年7月发现的安全漏洞。此外,针对机密信息的攻击也比去年上半年增加了50%。Bugbear.b是专门锁银行的蠕虫。
黑客病毒特征
赛门铁克的互联网安全威胁报告也显示了有趣的数据,比如周末攻击减少的趋势,与去年同期持平。
即便如此,周末两天加起来也就20%左右,这可能是因为攻击者会认为周末没人上班,准备不足而乘虚而入。赛门铁克表示,这意味着网络安全监控不能因为周末休息而放松。
该报告还比较了周末期间蠕虫攻击和非蠕虫攻击的不同趋势。非蠕虫攻击在周末趋于下降,而蠕虫攻击保持在通常水平。无论是哪一天的蠕虫,都有很多因素可以影响它的传播速度。比如周末很少有人开电脑,确实对蠕虫的传播有一些影响。
报告还显示,互联网上病毒攻击的高峰期在格林威治时间下午1点至下午10点之间。即便如此,各国的时差和不同国家的攻击高峰时间也会略有不同。例如,华盛顿的攻击高峰时间是早上8点和下午5点,而日本是早上10和晚上7点。
知名病毒和蠕虫的威胁速度和频率也增加了不少。今年上半年,知名威胁数量比去年同期增长20%,恶意代码中有60%是知名病毒。今年6月5438+10月短短几个小时造成全球瘫痪的Slammer蠕虫,针对的是2002年7月发现的安全漏洞。此外,针对机密信息的攻击也比去年上半年增加了50%。Bugbear.b是专门锁银行的蠕虫。管理漏洞——如果两台服务器有相同的用户/密码,服务器A被入侵,服务器B也不能幸免;软件漏洞——比如Sun系统上常用的Netscape EnterPrise Server服务,输入一个路径就可以看到Web目录下的所有文件;再比如很多程序只要接收到一些异常的或者长的数据和参数,就会导致缓冲区溢出;结构性漏洞——比如在一个重要的网段,由于交换机和集线器的设置不合理,黑客可以监控到网络通信流量的数据;又如防火墙等安全产品部署不合理,相关安全机制无法发挥作用,麻痹技术管理人员,引发黑客攻击事故;信任漏洞——比如这个系统过于信任一个国外合作伙伴的机器。一旦这个合作伙伴的机器被黑客入侵,这个系统的安全性就受到严重威胁;
综上所述,一个黑客要想成功入侵系统,必须分析与这个目标系统相关的各种技术因素、管理因素和人员因素。
因此,得出以下结论:
a、世界上没有绝对安全的系统;b、网络上的威胁和攻击都是人为的,系统防御和攻击的较量无非是人与人之间的较量;c、特定系统具有一定的安全条件,在特定环境下,在特定人员的维护下易守难攻;d、网络系统内部的软硬件是随着应用的需要而不断发展变化的;网络系统的外部威胁和新的攻击方式层出不穷,新的漏洞不断出现,攻击手段花样翻新,网络系统的外部安全条件也随着时间的推移而不断变化。
总之,网络安全是相对的,相对于人,相对于系统和应用,相对于时间。4、安全防御系统
3.1.2
现代信息系统由网络支撑,相互连接。为了保护信息系统免受黑客和病毒的攻击,关键是建立安全防御体系,从信息机密性(确保信息不被未授权的人泄露)到信息完整性(防止信息被未经授权的人篡改并确保真实的信息不失真地到达真实的目的地)和信息可用性(确保信息和信息系统真正被授权的用户使用, 防止系统因计算机病毒或其他人为因素而拒绝服务或被敌手利用)、信息的可控性(实现信息和信息系统的安全监控和管理)、信息的不可否认性(确保信息行动者无法否认自己的行为)。
安全防御体系是一个系统工程,包括技术、管理、立法等多个方面。为了方便起见,我们将其简化为用三维框架表示的结构。其构成要素是安全特性、系统单元和开放互连参考模型的结构层次。
安全特征维度描述了计算机信息系统的安全服务和安全机制,包括身份认证、访问控制、数据机密性、数据完整性、防否认、审计管理、可用性和可靠性。采用不同安全策略或处于不同安全保护级别的计算机信息系统可能具有不同的安全特征。系统单元维度包括计算机信息系统的所有组件,以及使用和管理信息系统的物理和管理环境。开放系统互连结构的层次维度描述了层次化计算机信息系统的层次结构。
框架是一个三维空间,突破了单一功能考虑的旧模式,从顶层整体规划。包含了物理、法规、人员等所有与安全相关的安全要素,兼顾了与系统安全、人员管理相关的各类法律、法规、规章和制度。
另外,从信息战的角度来看,被动防御是不够的,应该攻防并重。在防护的基础上检测漏洞、应急响应、快速恢复是非常必要的。
目前,世界各国都在加大力度加强信息安全防御体系。从2000年6月1到2003年5月,美国实施了《信息系统保护国家计划》(V1.0),从根本上提高了防止入侵和破坏信息系统的能力。中国迫切需要加强信息安全保障体系,建立我军信息安全战略和防御体系。这不仅是时代的需要,也是国家安全战略和军事发展的需要。也是现实斗争的需要,是摆在人们面前的紧迫历史任务。5加密技术
密码学理论与技术主要包括两部分,即基于数学的密码学理论与技术(包括公钥密码、分组密码、序列密码、认证码、数字签名、哈希函数、身份识别、密钥管理、PKI技术等。)和非数学密码学理论与技术(包括信息隐形、量子密码、生物识别理论与技术)。
自1976提出公钥密码思想以来,国际上提出了多种公钥密码体制,但目前比较流行的有两种:一种是基于大整数因式分解的,最典型的是RSA;另一类是基于离散对数问题,如影响较大的ElGamal公钥密码体制和椭圆曲线公钥密码体制。由于分解大整数的能力越来越强,对RSA的安全性造成了一定的威胁。目前模块长度为768位的RSA并不安全。一般情况下,建议使用1024位的模块长度。预计选用1280位的模块长度,保证20年的安全性。增加模块长度会给实施带来困难。而基于离散对数问题的公钥密码体制,在现有技术下,模长为512比特,可以保证其安全性。特别是椭圆曲线上的离散对数的计算比有限域上的更困难。目前只需要160 bit模块长度,适合智能卡的实现,因此引起了国内外学者的广泛关注。椭圆曲线公钥密码学的国际标准IEEEP 1363已经制定,RSA等一些公司声称已经开发出符合该标准的椭圆曲线公钥密码学。我国学者也提出了一些公钥密码,在公钥密码的快速实现方面也做了一些工作,如RSA的快速实现和椭圆曲线公钥密码的快速实现。公钥密码的快速实现是公钥密码研究的一个热点,包括算法优化和程序优化。人们关心的另一个问题是椭圆曲线公钥密码的安全性论证。
公钥密码主要用于数字签名和密钥分发。当然,数字签名和密钥分发都有自己的研究体系,形成了自己的理论框架。目前,数字签名的研究内容非常丰富,包括普通签名和特殊签名。特殊签名包括盲签名、代理签名、群签名、不可否认签名、公平盲签名、门限签名、具有消息恢复功能的签名等。它与具体的应用环境密切相关。显然,数字签名的应用涉及法律问题。美国联邦政府基于有限域上的离散对数问题制定了自己的数字签名标准(DSS ),一些州也制定了数字签名法。法国是第一个颁布数字签名法的国家,其他国家也在实施。在密钥管理方面,国际上有一些大动作,比如美国在1993提出的密钥托管理论和技术,国际标准化组织制定的X.509标准(已经发展到第三版),麻省理工学院制定的Kerboros协议(已经发展到第五版)等。,影响很大。密钥管理中另一个非常重要的技术是秘密共享技术,这是一种划分秘密以防止秘密过于集中的技术。自Shamir在1979中提出这一思想以来,秘密共享的理论和技术得到了前所未有的发展和应用,尤其是它的应用仍然很受关注。我国学者也在这些方面做了一些后续研究,发表了很多论文,并根据X.509标准实现了一些CA。但没听说哪个部门打算制定数字签名法。目前,人们关心的是数字签名和密钥分发的具体应用以及对潜在信道的深入研究。
认证码是一个比较理论化的研究课题。自20世纪80年代后期以来,它的结构和界估计取得了很大进展,中国学者在这一领域的研究工作也很出色,很有影响。目前这方面的理论比较成熟,很难有突破。另外,认证码的应用非常有限,几乎停留在理论研究上,已经不是密码学中的研究热点。
哈希函数主要用于检查数字签名的完整性,提高数字签名的有效性。目前已经提出了很多方案,各有各的优点。美国制定了Hash标准-SHA-1来配合其数字签名标准。由于技术原因,美国目前正在准备更新其Hash标准,欧洲也在制定Hash标准,这必然导致Hash函数的研究,尤其是实用技术成为热点。
信息交换加密技术分为两类:对称加密和非对称加密。
1.对称加密技术
在对称加密技术中,信息加密和解密使用同一把钥匙,也就是说一把钥匙开一把锁。这种加密方式可以简化加密过程,信息交换双方不需要相互研究和交换特殊的加密算法。如果私钥在交换阶段没有被泄露,则可以保证机密性和消息完整性。对称加密技术也有一些缺点。如果一方有n个交换对象,那么他必须维护n个私钥。对称加密的另一个问题是双方共享一个私钥,双方的任何信息都是用这个密钥加密后传输给对方的。例如,triple DES是DES(数据加密标准)的变体。该方法使用两个独立的56密钥对信息进行三次加密,使有效密钥长度达到112位。
2.不对称加密/公钥加密
在非对称加密系统中,密钥被分解成一对(即公钥和私钥)。这对密钥中的任何一个都可以作为公钥(加密密钥)以非保密的方式向其他人公开,而另一个密钥可以保存为私钥(解密密钥)。公钥用于加密,私钥用于解密。私钥只能由生成密钥的交换方掌握。公钥可以广泛发布,但它只对应生成密钥的交换方。非对称加密可以在不预先交换密钥的情况下建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密系统一般基于一些已知的数学问题,这是计算机复杂性理论发展的必然结果。最具代表性的是RSA公钥密码体制。
3.RSA算法
RSA算法是Rivest、Shamir和Adleman在1977年提出的第一个完善的公钥密码体制,其安全性是基于大整数分解的困难性。在RSA系统中,使用了这样一个基本事实:到目前为止,还找不到一个有效的算法来分解两个素数的乘积。RSA算法的描述如下:
公钥:n=pq(p和Q是两个不同的大素数,P和Q必须保密)。