A. 網路安全的基石(下)— 完整性與身份認證
網路安全篇,面對復雜多變的網路環境,我們需要掌握哪些關於網路安全的相關知識,聊一聊與網路安全相關的:HTTPS、SSL、TLS 等。
在上一篇文章中,我們介紹了通過非對稱加密協商出一個用於對稱加密的秘鑰,這樣便可以保證秘鑰不會被竊取,從而實現了機密性。
但僅有機密性,距離安全還差的很遠 ...
因為雖然會話密鑰無法被竊取,但是惡意者可以嘗試修改、重組相關信息返回給網站,因為沒有完整性的保證,伺服器也只能「照單全收」。
另外,惡意者也可以偽造公鑰,如果我們拿到的是「假的公鑰」,此時的混合加密就完全失效了。可能我們以為的目標,實際上對方卻是偽冒者。
所以,今天我們就來聊一聊,在機密性這一基礎之上的完整性和身份認證等特性。
缺乏完整性的機密,可能會被黑客替換或篡改。接下來我們先來看看如何給機密增加上完整這一特性。
如果說保證機密這一特性的是加密演算法,那實現完整性的手段主要是 摘要演算法 ,也就是常說的散列函數、哈希函數(Hash Function)。
我們可以把摘要演算法近似的理解成一種特殊的壓縮演算法,它能夠將任意長度的數據「壓縮」成固定長度,而且是獨一無二的「摘要字元串」,就好像是給信息生成了一個數字「指紋」。因此好的摘要演算法必須能夠「抵抗沖突」(兩份不同的原文對應相同的摘要),讓這種可能性盡量地小。因為摘要演算法對輸入具有單向性和 雪崩效應 。
1. 單向性
所有的散列函數都有一個基本特性:如果散列值是不相同的(同一個函數),那麼這兩個散列值的原始輸入也是不相同的。具有這種性質的散列函數稱為 單向散列函數 ,即 對於給定的散列值 , 不能夠逆推出原文 。
2. 雪崩效應
雪崩效應是指當輸入發生最微小的改變時,也會導致輸出的不可區分性改變。合格的摘要演算法,無論是密鑰或明文的任何細微變化都必須引起散列值的不可區分性改變。所以摘要演算法也被 TLS 用來生成偽隨機數(PRF,pseudo random function)。
相信每個開發者在工作中都或多或少的聽過或用過 SHA-1 (Secure Hash Algorithm 1)和 MD5 (Message-Digest 5),它們就是最常用的兩個摘要演算法,能夠生成 20 位元組和 16 位元組長度的數字摘要。遺憾的是它們先後分別在 2005 年和 2009 年被破解,在 TLS 里已經被禁止使用了。
目前 TLS 推薦使用的是 SHA-1 的後繼者 SHA-2,區別於前者,它屬於 密碼散列函數
演算法標准,由美國國家安全局研發。總共有 6 種 ,常用的有 SHA224、SHA256 及 SHA384,它們分別能夠生成 28 位元組、32 位元組及 48 位元組的摘要。
摘要演算法能夠保證「數字摘要」和原文是完全等價的,所以,我們只要在原文後附上它的摘要,就能夠保證數據的完整性。
該怎麼理解呢?客戶端將消息和消息摘要(SHA-2)發送給服務端之後,服務端拿到後也計算下消息的摘要,對這兩份「指紋」做個對比,如果一致,就說明消息是完整可信的,沒有被修改。因為即使是對消息的很小變動(例如一個標點符號,這就是雪崩效應),摘要也會完全不同,服務端計算對比就會發現消息被篡改,是不可信的。
不過,大家這時候肯定也看出了問題,摘要演算法不具有機密性,如果明文傳輸,那麼黑客可以修改消息後,把摘要也一起修改。
所以,真正的完整性必須建立在機密性之上,就是在上期講解的《 網路安全的基石(上)— 加密 》:在混合加密系統里用會話密鑰加密消息和摘要,這樣黑客無法得知明文,也就沒有辦法「動手腳了」。
加密和摘要實現了通信過程的機密性和完整性,我們的通信過程可以說是比較安全了。但這里還有漏洞,那就是通信的兩端。
對於通信的兩端,我們還要解決身份認證的問題。簡單來說,就是如何證明對方真實身份。因為黑客可以偽裝成網站來竊取你的信息,反過來,他也可以偽裝成你,向網站發送支付、轉賬等消息,網站沒有辦法確認你的身份,錢可能就這樣被偷走了。
回想下現實生活中,解決身份認證常用的手段有簽名、手印和印章等,只要在紙上寫下簽名加上蓋章,就能證明這份文件確實是由本人而非其他人發出的。
那在 TLS 什麼東西和生活中的手印、印章很像,只能由本人持有呢?只要有了這個東西,就能夠在網路世界裡證明你的身份。回想下前面我們介紹的內容,大家也很容易想到,它就是非對稱加密里的 私鑰 ,使用私鑰再加上摘要演算法,就能夠實現 數字簽名 ,同時實現 身份認證 和 不可否認 。
簽名與驗簽
數字簽名的原理其實也不復雜,就是將公鑰和私鑰的用法反過來,之前是公鑰加密,私鑰解密; 現在是私鑰加密 , 公鑰解密 。
簽名和公鑰一樣完全公開,任何人都可以獲取。但這個簽名只有用私鑰對應的公鑰才能解開,拿到摘要後,再比對原文驗證完整性,就可以簽署文件一樣證明消息確實是你發的。整個過程的兩個行為也有其專用術語,分別叫做 簽名 和 驗簽 。
回顧下安全通信的四大特性我們都已經實現了,整個通信過程是不是已經完美了呢?答案不是的,這里還有一個「公鑰的信任」問題,因為誰都可以發布公鑰,我們還缺少防止黑客偽造公鑰的手段。關於該部分內容你可以參考下篇文章 《公鑰信任問題 — 數字證書與 CA》 。
總結
網路安全涉及了方方面面太多的知識,尤其是網路的基礎知識對我們來說還是非常重要的,關於這部分大家又有什麼要分享的?歡迎你的分享留言或指正。
網路安全系列專題
B. 網路安全未來發展怎麼樣
在信息化的現代,網路安全產業成為保障「新基建」安全的重要基石,我國網路安全行業市場規模一直呈現高速增長態勢。未來,隨著5G網路、人工智慧、大數據等新型網路技術在各個領域的深入開展,其將為網路安全企業的發展提供新的機遇。
隨著科技的進步和社會的發展,網路安全的概念和內涵不斷演進。其發展歷程可分為起源期、萌芽期、成長期和加速期四個時期,分別對應通信加密時代、計算機安全時代、信息安全時代以及網路空間安全時代。
目前網路安全正處於網路空間安全時代的加速期:2014年中央網路安全和信息化領導小組成立後,網路安全法、等保2.0等政策不斷出台,網路安全上升為國家戰略。
與信息安全時代的區別在於網路邊界逐漸模糊或消失,僅憑傳統的邊界安全已不能做到有效防護,防護理念和技術發生深刻改變,主動安全逐漸興起。安全解決方案和安全服務也越來越被重視。
從我國網路安全市場規模來看,2013年開始,隨著國家在科技專項上的支持加大、用戶需求擴大、企業產品逐步成熟和不斷創新,網路安全產業依然處在快速成長階段,近年來,受下游需求及政府政策的推動,我國網路安全企業數量不斷增加,網路安全產業規模也不斷發展。
根據中國網路安全產業聯盟(CCIA)披露數據,2015-2019年,市場規模增速始終保持在17%以上,2019年我國網路安全市場規模達到478億元,CCIA預計2020年我國網路安全市場規模為553億元,同比增長15.69%。
按照產品結構劃分,網路安全可以劃分為安全硬體、安全軟體及安全服務三大類,而每一大類產品包含眾多的細分市場,如安全硬體包括防火牆、VPN、入侵檢測與防禦等,安全軟體包括防病毒軟體、終端安全軟體、郵件安全軟體等,安全服務包括咨詢、集成、培訓、運維等。
IDC表示,2020年,安全硬體在中國整體網路安全支出中將繼續占據絕對主導地位,佔比高達59.1%,安全軟體和安全服務支出比例分別為18.4%和22.5%。
網路安全行業的發展一直是威脅、技術和監管等方面相互博弈的結果,最終達到一個均衡。新的威脅、技術以及新的監管要求,都會帶來市場需求的增長。而對安全企業來說,需要密切關注這些力量的變化,推出適合的產品和服務,這樣才能在市場上處於不敗之地。
以上數據及分析請參考於前瞻產業研究院《中國網路安全行業發展前景預測與投資戰略規劃分析報告》。
C. 什麼是網路安全技術的基石計算機病毒最主要的特點是
繁殖性、隱蔽性等。網路安全技術的基石是網路的安全,失去了的信息化建設就如同鏡中之花、水中之月,技術創新也就失去了根基,計算機病毒具有繁殖性、隱蔽性、感染性、潛伏性、可觸發性、破壞性的特點。計算機病毒是一個程序,一段可執行碼,就像生物病毒一樣,具有自我繁殖、互相傳染以及激活再生等生物病毒特徵。
D. 中小企業如何進行網路信息安全建設(1)
網路是企業信息化的基石,而網路信息安全則成為網路運用的障礙。企業對網路的利用率低,不僅僅是網路帶寬的問題,更多的是考慮到網路安全的問題。因為害怕在網路上會出現這樣或那樣的問題,而不願或不敢在網路上運行可以信息化的業務系統,而繼續使用傳統的或手工的方式來完成繁重的業務工作。
對於網路信息安全有兩個普遍的觀點:其一是「三分技術,七分管理」,說的是網路信息安全主要靠管理手段來保障,技術對網路信息安全的貢獻只佔三成;其二是「木桶原理」,說的是網路信息安全由一些基本的安全因素構成,這些安全因素中最脆弱的哪一部分將成為網路信息安全的最大威脅。
中小企業建設網路信息安全的內容
網路信息安全的實質是:保障系統中的人、設備、設施、軟體、數據以及各種供給品等要素避免各種偶然的或人為的破壞或攻擊,使它們能正常發揮作用,保障系統能夠安全可靠地工作。
網路信息安全大體上可以分為:物理安全問題、方案設計的缺陷、系統的安全漏洞、TCP/IP協議的安全和人的因素等幾個方面。
對網路信息常採用的攻擊手段有:竊取機密攻擊、非法訪問、惡意攻擊、社交工程、計算機病毒、不良信息資源和信息戰等幾大類。
針對中小企業網路信息安全建設,主要包括以下幾個內容:
(1)物理安全:主要包括機房和配線間的條件、自然災害、人為破壞、信息入侵等,進一步可以分為如下一些方面:
◆ 機房和配線間的電源、接地、防雷、防潮、防盜、防火、防塵、防鼠、溫度調節、通風條件、強電流干擾等。
◆ 地震、火災、洪水、台風等。
◆ 人為誤操作、有意破壞信息系統或通信線路或設備、恐怖活動、戰爭等。
◆ 線路搭聽、從網路入口處侵入網路等。
(2)計算機硬體和軟體的資產安全:主要包括計算機硬體不被替換或者移走,所使用的計算機軟體是否存在版權問題,是否使用了不允許使用的軟體等。
(3)網路體系結構安全:主要包括如下一些內容:
◆ 相對獨立的區域網的拓撲結構不存在環路。
◆ 通信線路通信性能上不存在瓶頸。
◆ 通信線路某一部分故障影響的范圍盡可能小。
◆ 通信網路設備故障影響的范圍盡可能小。
E. 為保障網路安全,將對《中華人民共和國網路安全法》作出哪些修改
服務國家網路安全戰略和網路強國建設。網路信息化是建設網路強國的必然要求,網路強國宏偉目標的實現離不開堅實有效的制度保障。網路信息跨越國界流動。信息流引領技術流、資金流、人才流。信息資源日益成為生產和社會財富的重要因素。掌握的信息量已經成為一個國家軟實力和競爭力的重要標志。
網路運營者開展經營和服務活動,必須遵守法律、行政法規,尊重社會公德,恪守商業道德,誠實守信,履行網路安全保護義務。接受政府和社會監督,承擔社會責任。建設、運營網路或者通過網路提供服務時,應當按照法律、行政法規的規定和國家標準的強制性要求,採取技術措施和其他必要措施,確保網路安全穩定運行,有效應對網路安全事件,防止網路違規。犯罪活動,維護網路數據的完整性、機密性和可用性。
F. 網路信息安全中,什麼是安全的基石,他是建立安全管理的標准和方法
大多數信息安全的防範都是以一種補漏的方式去做的,系統安全性不高造成泄密,有好的平台和系統的支持才能保障數據的安全穩定,不防可以試試武漢智融科技的金甲數據保密系統,可以全方位透明似加密任何文本信息,不影響正常的辦公和娛樂,嚴防數據丟失