540 likes | 647 Views
网络安全纵横谈. 卿 斯 漢 中國科學院軟體研究所 2003 年 11 月. 大綱. 引言 資訊安全民間研究概況 密碼學及相關研究 安全作業系統研究 資訊系統安全研究 小結. 黑客攻擊. 陷門、隱蔽通道. 特洛伊木馬. 電腦病毒. 網路. 資訊丟失、篡改、銷毀. 拒絕服務攻擊. 蠕蟲程式. 內部、外部洩密. 電腦網路安全面臨威脅. 電腦網路安全面臨威脅. 如果 20 分鐘產生一種新病毒,通過因特 網傳播( 30 萬公里 / 秒)。聯網電腦 每 20 分鐘感染一次,每天開機聯網 2 小 時。 結論
E N D
网络安全纵横谈 卿 斯 漢 中國科學院軟體研究所 2003年11月
大綱 • 引言 • 資訊安全民間研究概況 • 密碼學及相關研究 • 安全作業系統研究 • 資訊系統安全研究 • 小結
黑客攻擊 陷門、隱蔽通道 特洛伊木馬 電腦病毒 網路 資訊丟失、篡改、銷毀 拒絕服務攻擊 蠕蟲程式 內部、外部洩密 電腦網路安全面臨威脅
電腦網路安全面臨威脅 • 如果20分鐘產生一種新病毒,通過因特 網傳播(30萬公里/秒)。聯網電腦 每20分鐘感染一次,每天開機聯網2小 時。 • 結論 • 一年以內一台聯網的電腦可能會被最新 病毒感染2190次。
共性網路安全問題 • 網路安全的基本問題-共性網路安全問題。 • 網路安全目標:建成可信、可靠、可控、可用的網路工作環境。 • 網路安全基本需求:機密性;完整性;不可抵賴性;抗攻擊性。
共性網路安全問題 • 網路安全防衛的基本要素:安全模型;安全策略;安全機制;安全產品;安全平臺;安全協議;安全通信 • 密碼是核心;安全協議是橋樑;安全體系結構是基礎;安全作業系統是關鍵;監控管理是保障;系統攻擊評測是考驗
三類基本安全模型 • 網路安全基本需求:機密性;完整性;可用性。 • 機密性模型- 認識深刻,技術成熟 • 完整性模型-正在發展,技術相對不成熟 • 拒絕服務型模型-無成型的安全模型
安全作業系統是基礎 • 安全模型通過安全作業系統實現 • 安全作業系統為其他安全產品構成堅固的底座 • Linux為安全作業系統的研製和發展提供了機遇
民間社團 • 中國密碼學會 • 中國電腦學會電腦安全專委會 • 中國電腦學會資訊保密專委會 • 中國資訊協會資訊安全專委會 • 中國電子學會 • 中國通信學會 • …………
相關技術組織 • 全國資訊安全標準化技術委員會 • 公安部電腦資訊系統安全產品質量監督檢驗中心 • 國家資訊安全產品測評認證中心 • 網上銀行發展與監管專家組 • 金卡工程專家組,金財工程專家組…… • 國家電腦病毒應急處理中心 • …………
標準、法律、法規 • 【電子簽名法】的立法準備已經啟動。 • 隱私權保護、資訊公開等法律法規,也在醞釀之中。 • 強制性國標 GB17859—1999《電腦資訊系統安全保護等級劃分準則》 • 推薦性國標 GB/T 18336-2001《資訊技術 安全技術 資訊技術安全性評估準則》,等同採用CC • …………
著作 • 【密碼學與電腦網路安全】,卿斯漢著,清華大學出版社,2001年。 • 【作業系統安全導論】,卿斯漢,劉文清,劉海峰著,科學出版社,2003年。 • 【資訊系統的安全】,卿斯漢,馮登國編著,科學出版社,2003年。 • 【網路攻防的技術原理與實戰】,卿斯漢,蔣建春編著,科學出版社,即將出版。 • 【安全模型與隱蔽通道分析】,卿斯漢等著,國防工業出版社,2004年出版。 • 【安全協議】,卿斯漢著,清華大學出版社,2004年
主編論文集 • Springer LNCS1334 • Springer LNCS2229 • Springer LNCS2513 • Springer LNCS2836 • IFIP/Sec2000 Proceedings, Kluwer
國際資訊與通信安全會議 ICICS ICICS’97, 北京, Springer LNCS1334 ICICS’99, 悉尼, Springer LNCS1726 ICICS’2001, 西安, Springer LNCS2229 ICICS’2002, 新加坡, Springer LNCS2513 ICICS’2003, 呼和浩特, Springer LNCS2836 ICICS’2004, 西班牙, Springer LNCS
網路安全的核心-密碼 • 密碼 - 分組密碼, 流密碼, 公開鑰密碼 • 我們分析美國NIST提出的15個AES候選演算法。由此可以看出二十一世紀分組密碼的發展趨勢。
AES 的目標 • 適用於二十一世紀,用於保護敏感的政府資訊 • 演算法用於美國政府。其他人自願採用。 • AES的總目標-- 二十一世紀的密碼演算法
AES的基本要求 • 對稱分組密碼 • 分組長度128比特 • 支持128, 192,和256比特密鑰長度 • 提供C和Java編程的根源程式 • 速度與安全性優於三重DES
AES 第 2 輪入圍演算法 • MARS by IBM • RC6 by RSA • RIJNDAEL by Daemen & Rijmen • SERPENT by Anderson, Biham & Knudsen • TWOFISH by Schneier, Kelsey, Whiting, Wagner, Hall & Ferguson
Rijndael 最後脫穎而出 Rijndael 是比利時的Joan Daemen 和 Vincent Rijmen設計的一個候選演算法。該演算法的原形是Square演算法,它的設計策略是寬軌跡策略(Wide Trail Strategy)
我們的估計是正確的 • References • Wenling Wu, Sihan Qing, etc. Brief Commentary on the 15 AES Candidate Algorithms Issued by NIST of USA, Journal of Software, 1999,10(3) : 225-230
我們的估計是正確的 • Wenling Wu, Sihan Qing, etc. Cryptanalysis of Some AES Candidate Algorithms, Proceedings of Second International Conference on Information and Communications Security (ICICS’99), in LNCS 1726, Springer-Verlag, 1999.
NESSIE -- 歐洲密碼大計畫 • 17個演算法來自7個國家,其中美國、瑞士和法國各2個,巴西和俄羅斯各1個,比利時4個(均和COSIC研究小組有關),日本提交5個演算法,是提交最多的國家
安 全 協 議 • 認證協定 • 非否認協定 • 電子商務協定 • 實用協議 -SSL -IPSEC
安全協議的分析方法 • BAN類邏輯分析方法 • Kailar邏輯分析方法 • Strand Space 分析方法 • CSP分析方法 • Model Checker 分析方法 • 其他分析方法
安全作業系統的基本元素 安全模型 安全策略 安全機制 安全內核 安全體系結構 安全評測 安全應用
安全模型分類 • 狀態機模型(State machine model) • 資訊流模型(Information Flow model) • 非干擾模型(Noninterference model) • 不可推斷模型(Nondeducibility model) • 完整性模型(Integrity model) • ...........
安勝安全作業系統 達到國家標準GB17859—1999《電腦資訊系統安全保護等級劃分準則》第三級《安全標記保護級》,並參考TCSEC的B1級安全功能需求和《電腦資訊系統安全管理條例》的要求設計 基於Linux,自主版權安全內核
安勝安全作業系統 2000年11月18日,公安部電腦資訊系統安全產品質量監督檢驗中心發佈公告:“國內首家安全作業系統通過檢測”。公告說,安勝安全作業系統V1.0,已於2000年11月17日,首家通過根據國家標準《電腦資訊系統安全保護等級劃分準則》(GB17859-1999)的檢測。實現了國標第三級的全部安全功能要求,並具有第四級的部分安全功能。 2001年2月20日,國內首家通過國家資訊安全測評認證中心的檢測和認證。
安全作業系統品牌 • IDC認定,安勝安全作業系統是中國兩大安全作業系統品牌之一。
《結構化保護級》安全作業系統 在美國,從橘皮書的B1到B2的升級,被認為是安全作業系統設計開發中,單級增強最為困難的一個階段。 第四級安全作業系統設計,可以從一個方面反映一個國家安全作業系統的開發水平。
《結構化保護級》安全作業系統 僅靠“打補丁”加固式的安全性增強,很難達到第四級《結構化保護級》的要求。 應當系統研究高安全級別安全作業系統設計的理論、方法以及技術難點。 重點是:安全模型的設計、證明與形式化驗證;安全體系結構;半形式化設計的理論和技術;隱蔽通道系統分析與處理;高級別安全作業系統評測等。
《結構化保護級》安全作業系統 國標第四級和第三級之間的一個明顯區別在於,需要建立形式化的安全模型。 安全模型是對其安全策略所表達的安全需求的簡單、抽象和無歧義的描述。 目的在於明確地表達系統的安全需求,為設計開發安全作業系統提供方針,並保證當設計和安全模型一致時,實現的系統是安全的。
《結構化保護級》安全作業系統 高安全等級作業系統的設計趨勢是:安全體系支持多安全策略。 真實的安全環境有兩個特徵,其一,安全威脅的多樣性,它們可能威脅資訊的機密性、完整性、可用性等,因此要求系統要支援安全策略的多樣性,滿足多種安全目標。其二,安全環境的變化性,一種是週期性變化;一種是環境的突然變化。
《結構化保護級》安全作業系統 從接近真實環境的程度來看,系統對安全策略的支援研究可以分為四個階段: 支持單一安全策略→支持多安全策略→支援動態安全策略→適應環境變化 1993年,DoD在TAFIM (Technical Architecture for Information Management)計畫中推出新的安全體系結構DGSA,強調對多種安全策略的支援,為安全作業系統的研究提出了新的挑戰。
《結構化保護級》安全作業系統 在支援多策略的安全體系結構中,一些本質的問題還沒有得到解決。 (1)合成策略的安全性問題。例如,一般的安全性(如:Goguen及Meseguer的互不干涉性)往往不是一個可合成的性質。因此,兩個安全策略合成後的安全性需要證明。 (2)現有的多策略的安全體系對動態授權的支援還不是很清楚。
多安全策略支持框架 • 存取控制廣義框架(GFAC)-提供表達和支援多安全策略(構件)的框架 • FAM框架-基於策略描述語言的多安全策略支援框架 • 配置RBAC模型支援多策略 • FLASK框架-側重動態安全策略支援
《結構化保護級》安全作業系統 GB17859第四級及以上的系統,提出了分析與處理隱蔽通道(Covert Channel)的硬性要求。 美國TCSEC、歐洲ISO/IEC 15408也把隱蔽通道作為評估高等級安全資訊系統的關鍵指標。 國際標準CC和我國GB/T18336也在安全保證部分對隱蔽通道分析做了明確規定
《結構化保護級》安全作業系統 其他相關問題: 存取控制和密碼服務的有機結合 將系統中安全相關的功能與安全無關的功 能分離,以利於驗證和說明 強制存取控制與網路安全有機融合 機密性與完整性的融合 可信通路問題
以安全作業系統為核心的安全應用 防火牆 安全閘道 入侵檢測 安全網管系統 安全WEB 安全評測
網路安全的第一道屏障-防火牆 IP 包過濾 代理伺服器
受保護網 外部網 堡壘主機 堡壘主機(雙穴主機閘道) 堡壘主機中有兩塊網卡
遮罩路由器 受保護網 外部網 堡壘主機 被遮罩主機閘道
遮罩路由器 遮罩路由器 受保護網 被遮罩子網 堡壘主機 被遮罩子網 外部網
防火牆的綜合評價 主要優點是: 提供一個集中的安全檢查點,並具有審計功能 主要缺點是: (1)有可能繞過防火牆 (2)對於內部用戶無能為力。亦即只防外不防內
高保障防火牆 高保障防火牆 滿足以下條件: (1)無法繞過防火牆 (2)防火牆具有防止內部敏感資訊洩漏的機制(既防外又防內) (3)具有傳統防火牆的全部功能 (4)支援主流平臺 ??
安勝高保障防火牆 支援B級安全作業系統,包括DG公司B2級作業系統、HP公司B1級作業系統、安勝安全作業系統等 底座堅固,且防火牆與作業系統無縫連接,因而難以繞過防火牆 支援主流平臺 應用國產密碼演算法
安勝高保障防火牆 實現了類似B級作業系統的機制,如標記, MAC, 強實體認證等。入關具有入關證,出關具有出關證。建立了防止內部敏感資訊洩漏的機制,達到既防外又防內的目標 實現了傳統防火牆的全部功能: 包過濾, 代理, NAT, VPN,日誌,審計,強身份認證等
國家級推廣專案 • 【安勝】防火牆被列為科技部【九五】國家級科技成果重點推廣項目。編號:99030226A • 【安勝】防火牆在全國31個省均有應用。
其他安全措施 入侵檢測系統 不良資訊防範系統 安全WEB伺服器 網路安全管理系統 網際網路安全監視器 網路化病毒防護系統
資訊安全保障 PDRR原則 Protect - 保護 Detect - 檢測 React - 反應 Recovery - 恢復