目录

• 第五章.系统安全分析与设计
• • 第一节.信息系统安全属性
  • 第二节.对称加密技术与非对称加密技术
  • • 对称加密技术
    • 非对称加密技术
  • 第三节.信息摘要与数字签名
  • • 信息摘要
    • 数字签名
  • 第四节.数字信封与PGP
  • • 数字信封的原理
    • PGP
    • 练习题——设计邮件加密系统
  • 第六节. 络安全
  • • 各个 络层次的安全保障
    • 络威胁与攻击
    • 防火墙
    • DOS攻击

第五章.系统安全分析与设计

第一节.信息系统安全属性

了解这些属性的基本含义，保障这些属性需要采用什么基本策略。

• 保密性：最小授权原则（指每个程序和系统用户都应该具有完成任务所必需的最小权限集合。）、防暴露（就是将目标隐藏起来以提高安全性。如在命名时可以将名称和扩展名分别设置为乱码和其它扩展名）、信息加密（防止信息在传输时被截获并被破解出）、物理保密（采用相应的物理设备，在发送之前加密，接受后解密）
• 完整性（为了保证数据在传输过程中不受损耗）：安全协议、校验码（如MD5加密，比方说下载文件后 站给你一个MD5码，你可以通过MD5码验证下载过程中是否被破坏）、密码校验、数字签名、公证
• 可用性（只允许合法用户使用这些资源） : 综合保障 (IP过滤、业务流控制、路由选择控制、审计跟踪 )。如果说一台服务器不能够给合法用户提供相应的功能，这就是可用性遭到了破坏。
• 不可抵赖性：数字签名（因为签名能够识别发送者的身份，一旦通过能够通过资料识别发送者，那么这个时候发送者是不能够抵赖他发送过这个信息。）

第二节.对称加密技术与非对称加密技术

这两种加密技术是属于最为基础最为核心的部分。
所谓对称加密技术就是在加密和解密的过程中所使用的密钥相同。即我用什么样的密钥加密就是用什么样的密钥解密。
所谓非对称加密技术就是加密和解密的过程中所使用的密钥不同。即用公钥加密就要使用相应的私钥解密。

接下来，我们考虑一下平常我们使用的ara、rar的压缩包可以加密吗平常的excel、word、pdf也可以加密吗r> 这种机制肯定是涉及到加密解密的问题。它们是属于对称的加密技术还是非对称的呢r> 它们应该属于是对称加密技术。为什么是对称加密技术呢你加密的密钥和解密的密钥是一样的。这就是典型的对称加密技术。

对称加密技术

但是问题又来了，什么问题呢r> 我们会发现非对称加密过程中，密钥的长度是非常之长的，而目前的密钥一般是使用1024位的密钥。
1024位密钥是要比56位密钥长接近20倍，那么56位密钥加密所消耗的时间远远低于1024位加密的时间，这里面的差距可以达到数千倍，所以对于内容比较庞大的数据来说，用非对称加密是完全行不通的，因为效率太低而没办法走向应用，相反对称方式就很高效快捷。
故在实际的应用过程中，其实对称和非对称是互为补充使用的。我们往往使用对称的方式加密大内容的传输，用非对称的方式加密对称加密的密钥，这样子密钥分发的问题就得以解决了。

第三节.信息摘要与数字签名

信息摘要

信息摘要其实就是一段信息的特征值。
这些特征值有什么特点呢r> 特点就是原始信息发生变化，特征值就跟着变。如：就好比我把一段话的标点符 改变，底下的摘要就会发生很大的变化。
那么这种特点能够给我们什么启发，在哪里能够用到这种特性呢r> 举一个简单的例子，甲发送一个消息给乙，告诉他要给乙支付10万的合同款，这个信息是明文传送的，这个时候这个消息被丙截获了，并且在这个信息中加入了一个0传给了乙。这时信息的安全就存在问题，因为丙的篡改就导致公司损失90万，这种情况就是信息的完整性遭到了破坏。
故我们需要想办法保证信息的完整性，让信息发送时的内容和接收时的内容是一致的，要想验证信息发送和接收后的情况是否一致，所以提出了完整性要求。
那么我们通过信息摘要的特点来解决这个问题。把信息的明文和明文产生的摘要传送给乙，然后乙用接收到的明文产生一个摘要，然后让生成的摘要与收到的摘要进行对比，如果两者一致，这就代表信息被篡改，所以信息摘要适用于这样的场景。
解决一个问题就会出现其它的一些问题。就是如果发送的明文和摘要都被篡改了，并且篡改后的明文生成的摘要与被篡改的摘要相同，这种情况是有可能发生的，所以后面讲到数字签名技术，将信息摘要和数字签名结合起来，这个问题就迎刃而解了。

$$单向散列函数（单向Hash函数）、固定长度的散列值。$$
信息摘要中的单向散列函数就是 将正文通过消息摘要算法计算出摘要的结果。但是反过来就不能够把摘要还原成明文。意思就是单向的走，不能够返回。

第四节.数字信封与PGP

数字信封的原理

1. 发送方将原文用对称密钥加密传输, 而将对称密钥用接收方公钥加密发送给对方。
2. 接收方收到电子信封, 用自己的私钥解密信封, 取出对称密钥解密得原文。

PGP

1. PGP既可用于电子邮件加密, 也可以用于文件存储加密。采用了杂合算法, 包括IDEA、 RSA、MD5、ZIP数据压缩算法。
2. PGP承认两种不同的（数字）证书格式: PGP证书和X.509证书。
3. PGP证书包含PGP版本 、证书持有者的公钥、证书持有者的信息、证书拥有者的 数字签名、证书的有效期、密钥首选的对称加密算法。
4. X.509证书包含证书版本、证书的序列 、签名算法标识、证书有效期、以下数 据: 证书发行商名字、证书主体名、主体公钥信息、发布者的数字签名。

PGP的应用
目前来讲，市面上推出了PGP的软件，所以我们可以用到PGP的软件来对相应的保密数据进行加密操作。像现在很多人都喜欢使用云盘 盘，因为这种方式运用的是云计算的技术，这有什么好处呢你的信息存储到云盘上面，往往是不容易丢失的，因为云盘的背后往往是有专业的团队去做信息的冗余、信息的备份这些工作，相较于本地存储可靠性高一些。但是放在云盘上面又带来了另一个问题，就是有人担心放在云盘上的保密信息会被别人获取到，这是一个安全性问题，这需要结合PGP技术来解决，用PGP的软件先把保密技术加密，再把信息传送到云盘上面。

PGP承认的两个证书存在一定的差异，但是基本的内容是保持一致的。
数字证书是一个什么样的概念呢r> 数字证书是电子凭证，用于断言 络上的个人，计算机和其他实体的在线身份。数字证书的功能类似于护照和驾驶执照等身份证。最常见的是，它们包含公钥和所有者的身份。它们由证书颁发机构（CA）颁发，证书颁发机构必须在颁发证书之前和使用证书时验证证书持有者的身份。常见用途包括需要身份验证，加密和数字签名的业务场景。

证书持有者的公钥、证书持有者的信息等必须要在数字证书中显示，为什么呢在什么环境下提出来的呢提出的一系列安全技术，其实已经能够解决绝大部分问题了，那为什么还要有数字证书这样的体系呢r> 因为在应用过程中，我们发现了一个很大的问题，在非对称体系中，讲到每个人都会有自己的公钥和私钥，你想要传输信息，只需要用对方的公钥加密传送过去即可。讲的轻松，但是实际使用是不好实现的，为什么说甲在跟乙聊天，甲对乙说你把公钥给我，我给你传送消息，他发送过来的公钥是一串数字，你无法判断这一串数字是否为乙的公钥，如果在传输公钥的过程中，被丙截获并把公钥换掉，这整个信息传输过程就不安全了，正是因为这个因素，咱们一定要想一个办法将个人信息与密钥绑定起来就可靠就安全了，所以就有了数字证书。所以数字证书就是这样一个东西，它描述了这是乙的一个证书，乙的公钥就包含在里面。所以我们会发现，**在日常生活中，用到的数字证书安全加密的体制往往都已经跟数字证书结合起来了。**就是因为我们在传输沟通的过程中，需要证明身份的问题，所以这个数字证书类似于我们生活当中的身份证。它有专门的颁发机构称为CA机构。
一旦我们看到这个数字证书是我们信任的CA机构颁发的，我们就可以认为该数字证书是真实有效的，如何去判定该证书是合法的CA机构颁发的呢用到鲜明的机制，因为数字证书上面都有颁发机构的签名，我们可以通过了解颁发机构的签名来判断数字证书是不是伪造出来的。正是因为有了这样一个特点，所以数字证书除了那些信息之外，还会有持有者的公钥信息，持有者的公钥信息必须要有，否则就违背了初衷。

通过这个问题将前面所学到的安全基础相关的一系列知识全部整合起来。

练习题——设计邮件加密系统

题干：要求邮件以加密方式传输, 邮件最大附件内容可达 $500\mathrm{M}\mathrm{B}$ , 发送者不可抵赖, 若邮件被第三方截获, 第三方无法篡改。

答 ：通过题目信息可以获取相应的安全技术。“以加密方式传输”需要用到加密解密技术；“最大附件内容可达500MB”确定了加密解密的方式为对称加密技术；“发送者不可抵赖”需要用到数字签名；“第三方无法篡改”需要使用信息摘要技术，因为信息摘要技术保证了信息的完整性。

1. 物理层。提高安全性的基本手段是隔离和屏蔽。
   比如说无线电信 以防止它们泄露出去，你就可以使用屏蔽的方式。
   某科研研究所内部有WIFT信 ，供大家上 方便，那么内部 就会有大量的数据进行交换和传输，最好将这个研究院墙壁上加上屏蔽材料，这样子防止无线电信 散发出去被间谍组织截获到。
   整个国内投入了很多基金来建设互联 基础设备的通讯 络，但是这个通讯 络跟军方的 络还不是公用的，军方会单独地铺设通讯 络，这也就考虑到安全性的问题，就从物理层完全地隔离了，它们就不使用相同的物理通道，安全性是最高的。

2. 数据链路层。从数据链路层开始基本上是走协议的路线来保障信息安全。所谓协议其实就是通信的时候封包的一种规则。PPTP和L2TP是两种隧道协议，这种隧道协议的基本理念是在开放的互联 之上，相当于开放出两条安全的隧道从隧道中传输的数据是安全的，不会遭到破坏和截获，这是通过两种协议的加密机制来保障的，这就类似于通道。数据链路层还可以对相应的链路进行加密。

3. 络层。 络层典型的保障措施之一是防火墙技术，防火墙有软件性质的（就是直接装在本机的），也有硬件软件配合在一起的（硬件就是专是为了防火墙的软件策略这一块支撑提供平台的一个东西，其实就是软件硬件结合在一起，这个硬件设备不做任何职能，就是运行一个防火墙而已），按级别划分，防火墙的级别又可以分为 络级和应用级。IPSec就是针对于IP包加密的一种协议，因为IP包本身是不涉及到加密的问题，它是直接明文传输的，当传输的数据要求保密程度非常高的时候，可以使用IPSec介入，IPSec可以把原有的IP包加密之后在传输，从整体来讲，IPSec拥有两种运作方式，一种就是拥有普通未加密的包，我把这个IP包中的数据拆出来进行加密，再封装包头之类的，然后再发出去；另外一种就是连着这些包头信息之类的一起这个IP包进行整体加密，然后再附加一个包头发出去，两种形式都是可以的。

4. 输入层。传输层有TLS属于标准的传输层安全协议；SET是一个面向与电子商务的协议，在这个协议当中，集成了很多机制，比如通信过程的安全保密，购物过程的一些防抵赖的一些措施，因为它是因电子商务而生的，所以这些方面它都有所考虑。

5. 应用层。在应用层次会有PGP、Https=Http+SSL。
   SSL协议的工作层次跨越了多个层次，从传输层到应用层。

络威胁与攻击

络攻击的分类
络攻击可以分为主动攻击和被动攻击两种。

1. 主动攻击：包含攻击者访问他所需信息的故意行为。比如通过远程登陆到特定机器的邮件端口以找出企业邮件服务器的信息；伪造无效IP地址去连接服务器，使接受到错误IP地址的系统浪费时间去连接哪个非法地址。攻击者是在主动地做一些不利于你或你的公司系统的事情，主动攻击包括：拒绝服务攻击、分布式拒绝服务、信息篡改、资源使用、欺骗、伪装、重放等攻击方式。
2. 被动攻击：主要是收集信息而不是进行访问，数据的合法用户对这种活动一点也察觉不到。被动攻击包括嗅探、信息收集等攻击方式。

常见的 络威胁

DOS攻击

DoS是Denial of Service的简称，即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其期的是使计算机或 络无法提供正常的服务。最常见的DoS攻击有计算机 络带宽攻击和连通性攻击。

作个形象的比喻来理解DoS。街头的餐馆是为大众提供餐饮服务，如果一群地痞流氓要DoS餐馆的话， 手段会很多，比如霸占着餐桌不结账，堵住餐馆的大门不让路,骚扰餐馆的服务员或厨子不能干活，甚至更恶劣…

SYN Flooding攻击便是Dos攻击的典型代表，该攻击以多个随机的源主机地址向目的路由器发送SYN包，而在收到目的路由器的SYN ACK后并不回应,这样，目的路由器就为这些源主机建立了大量的连接队列，且由于没有收到ACK-直维护着这些队列，造成了资源的大量消耗而不能向正常请求提供服务,甚至导致路由器崩溃。服务器要等待超时(Time Out)才能断开已分配的资源。