基于內容的應用安全技術-13

第13章基于內容的應用安全技術本章學習目標：了解信息內容的概念和重要性掌握PGP電子郵件加密技術掌握郵件內容過濾和反垃圾郵件技術掌握網頁防篡改掌握內容過濾技術13.1信息內容安全概述13.1.1信息內容的定義

“信息內容”涉及動畫、游戲、影視、數(shù)字出版、數(shù)字創(chuàng)作、數(shù)字館藏、數(shù)字廣告、互聯(lián)網、信息服務、咨詢、移動內容、數(shù)字化教育、內容軟件等，主要可分為政務型、公益型、商業(yè)型三種類型。信息內容的定義來源于數(shù)字內容產業(yè)。一般來說，“信息內容產業(yè)”指的是基于數(shù)字化、網絡化，利用信息資源創(chuàng)意、制作、開發(fā)、分銷、交易的產品和服務的產業(yè)。

隨著互聯(lián)網的普及，信息內容的種類與數(shù)量急劇膨脹，其中魚目混雜，反動言論、盜版、淫穢與暴力等不良內容充斥其間。由于信息內容安全涉及國家利益、社會穩(wěn)定和民心導向，因此，受到各方的普遍關注。

13.1信息內容安全概述13.1.2信息內容安全的宗旨信息內容安全的嚴峻挑戰(zhàn)：

1）超大流量的內容向現(xiàn)有信息內容安全技術提出了挑戰(zhàn)。

2）由于缺乏信息內容分級標準和內容過濾產品，使得保護青少年健康成長問題日漸突出。

3）政務型信息內容的泄密帶來嚴重的后果。對信息資產的安全等級評定、標記、監(jiān)控技術提出了更高的要求。

4）信息內容的監(jiān)管越來越突出。

5）大量耗費網絡帶寬的惡意數(shù)據(jù)充斥網絡空間，如病毒、網絡蠕蟲、分布式拒絕服務攻擊（DDoS）攻擊、垃圾郵件等。13.1信息內容安全概述13.1.2信息內容安全的宗旨

信息內容安全的宗旨在于防止非授權的信息內容進出網絡。具體表現(xiàn)在：

1）政治性。防止來自國內外反動勢力的攻擊、誣陷與西方的和平演變圖謀。

2）健康性。剔除色情、淫穢和暴力內容等。

3）保密性。防止國家和企業(yè)機密被竊取、泄露和流失。

4）隱私性。防止個人隱私被盜取、倒賣、濫用和擴散。5）產權性。防止知識產權被剽竊、盜用等。

6）防護性。防止病毒、垃圾郵件、網絡蠕蟲等惡意信息耗費網絡資源。13.1信息內容安全概述13.1.3信息內容安全領域的主要技術

信息內容安全的技術和產品重點研究：信息內容分級標準的制定及相應的過濾產品與技術信息資產的安全等級評定技術及產品大流量網絡信息的實時監(jiān)控技術與產品移動終端的防病毒與防泄漏技術與產品IPv6的信息內容安全技術與產品骨干網內容過濾技術與產品基于圖像內容監(jiān)管技術與產品基于音頻的內容監(jiān)管技術與產品國家級分布式網絡內容監(jiān)管體系信息內容的滲透與反滲透技術與產品網關型網絡蠕蟲及病毒的查殺技術與產品13.1信息內容安全概述13.1.3信息內容安全領域的主要技術

信息內容安全的核心技術：1．信息獲取技術

分為主動獲取技術和被動獲取技術。

主動獲取技術通過向網絡注入數(shù)據(jù)包后的反饋來獲取信息，特點是接入方式簡單，能夠獲取更廣泛的信息內容，但會對網絡造成額外的負擔。

被動獲取技術則在網絡出入口上通過鏡像或旁路偵聽方式獲取網絡信息，特點是接入需要網絡管理者的協(xié)作，獲取的內容僅限于進出本地網絡的數(shù)據(jù)流，但不會對網絡造成額外流量。13.1信息內容安全概述13.1.3信息內容安全領域的主要技術

信息內容安全的核心技術：2．信息內容識別技術

信息內容識別是指對獲取的網絡信息內容進行識別、判斷、分類，確定其是否為所需要的目標內容，識別的準確度和速度是其中的重要指標。主要分為文字、音頻、圖像、圖形識別。目前文字識別技術已得到廣泛應用，音頻識別也在一定范圍內使用，但圖像識別的準確性還有待進一步提高離實際應用尚有一定的距離。13.1信息內容安全概述13.1.3信息內容安全領域的主要技術

信息內容安全的核心技術：3．控制/阻斷技術

對于識別出的非法信息內容，阻止或中斷用戶對其訪問，成功率和實時性是兩個重要指標。

從阻斷依據(jù)上分為基于IP地址阻斷、基于內容的阻斷；從實現(xiàn)方式上分為軟件阻斷和硬件阻斷；

從阻斷方法上分為數(shù)據(jù)包重定向和數(shù)據(jù)包丟棄。

具體地，在垃圾郵件剔除、涉密內容過濾、著作權盜用的取證、有害及色情內容的阻斷和警告等方面已經投入使用。13.1信息內容安全概述13.1.3信息內容安全領域的主要技術

信息內容安全的核心技術：4．信息內容分級

網絡“無時差、零距離”的特點使得不良內容以前所未有的速度在全球擴散，網絡不良內容甚至還會造成青少年生理上的傷害。應該建立自己的網上內容分級標準，讓父母保護他們的孩子遠離互聯(lián)網上有潛在危害的內容。13.1信息內容安全概述13.1.3信息內容安全領域的主要技術

信息內容安全的核心技術：5．圖像過濾

一些不良網絡信息的提供者采取了回避某些敏感詞匯，將文本嵌入到圖像文件中，或直接以圖像文件的形式出現(xiàn)等方法，從而可以輕易地通過網絡過濾和監(jiān)測系統(tǒng)。為此，需要對網頁中的圖像進行分析和理解實現(xiàn)網絡過濾。目前這一技術還沒有達到實用系統(tǒng)的要求。13.1信息內容安全概述13.1.3信息內容安全領域的主要技術

信息內容安全的核心技術：6．信息內容審計

信息內容審計的目標就是真實全面地將發(fā)生在網絡上的所有事件記錄下來，為事后的追查提供完整準確的資料。通過對網絡信息進行審計，政府部門可以實時監(jiān)控本區(qū)域內Internet的使用情況，為信息安全的執(zhí)法提供依據(jù)。雖然審計措施相對網上的攻擊和竊密行為是有些被動，它對追查網上發(fā)生的犯罪行為起到十分重要的作用，也對內部人員犯罪起到了威懾作用。

采用的主要技術是以旁路方式捕獲受控網段內的數(shù)據(jù)流，通過協(xié)議分析、模式匹配等技術手段對網絡數(shù)據(jù)流進行審計，并對非法流量進行監(jiān)控和取證。13.1信息內容安全概述13.1.3信息內容安全領域的主要技術

信息內容安全的核心技術：6．信息內容審計(續(xù))

審計技術的發(fā)展趨勢可歸納為以下幾個主要方面：

1）包捕獲技術。通過采用零拷貝技術，盡可能減少內存拷貝開銷。

2）模式匹配技術，提高多關鍵字條件下的模式匹配效率以及中文信息模糊匹配精度和效率。

3）協(xié)議分析與還原技術。解決對數(shù)據(jù)包分片的分析與還原技術、抵御DDoS攻擊對探測引擎的影響，拓展對網絡應用協(xié)議分析的范圍。

4）對各種復雜條件下的信息源精確定位技術。

5）數(shù)據(jù)檢索與智能化統(tǒng)計分析技術。13.1信息內容安全概述13.1.4信息內容安全領域的產品

信息內容安全產品主要分為防病毒產品、郵件掃描產品和網頁過濾產品三類，涉及的應用主要分為HTTP、SMTP、POP3、BBS、Telnet、FTP、MSN、ICQ、FREENET、手機短信。

根據(jù)產品性能，分為千兆監(jiān)控產品、百兆監(jiān)控(家庭/網吧)產品。

根據(jù)監(jiān)控對象，分為內容審計產品、影視監(jiān)播產品產品、影視反盜版產品、網吧監(jiān)控產品、網絡追查產品、員工上網審計產品，反垃圾郵件產品、防病毒產品等。

根據(jù)監(jiān)控的協(xié)議，分為網頁監(jiān)控（HTTP）,郵件監(jiān)控（SMTP,POP3）,聊天室監(jiān)控（BBS,Telnet,FTP）,即時消息監(jiān)控（MSN,ICQ）,P2P網絡監(jiān)控（FREENET等）,手機短信監(jiān)控等。13.2電子郵件加密技術

隨著互聯(lián)網的迅速發(fā)展和普及，電子郵件已經成為網絡中最為廣泛、最受歡迎的應用之一。電子郵件系統(tǒng)以其方便、快捷而成為了人們進行信息交流的重要工具，并被越來越多地應用于日常生活和工作，特別是有關日常信息交流、企業(yè)商務信息交流和政府網上公務流轉等商務活動和管理決策的信息溝通，為提高社會經濟運行效率起到了巨大的帶動作用，已經成為企業(yè)信息化和電子政務的基礎。

當前，電子郵件系統(tǒng)的發(fā)展面臨著機密泄漏、信息欺騙、病毒侵擾、垃圾郵件等諸多安全問題的困擾。

保護郵件安全最常用的方法就是加密。本節(jié)介紹PGP軟件的使用。13.2電子郵件加密技術

PGP的全稱是PrettyGoodPrivacy，它是Internet上一個著名的共享加密軟件，與具體的應用無關，可獨立提供數(shù)據(jù)加密、數(shù)字簽名、密鑰管理等功能，適用于電子郵件內容的加密和文件內容的加密；也可作為安全工具嵌入到應用系統(tǒng)之中。目前使用PGP進行電子信息加密已經是事實上的應用標準，IETF在安全領域有一個專門的工作組負責進行PGP的標準化工作，許多大的公司、機構，包括很多安全部門在內，都擁有自己的PGP密碼。

PGP的傳播和使用處于一種無政府狀態(tài)，完全由使用者自行控制掌握，它通過數(shù)字簽名所形成的信任鏈將彼此信任的用戶關聯(lián)起來。13.2電子郵件加密技術13.2.1PGP的工作方式

PGP使用了以下一些算法：RSA、AES、CAST、IDEA、TripleDES、Twofish、MD5、ZIP、PEM等。PGP使用RSA算法對IDEA密鑰進行加密，然后使用IDEA算法對信息本身進行加密。在PGP中使用的信息摘要算法是MD5。

PGP至少為每個用戶定義兩個密鑰文件，稱為Keyring，分別存放自己的私鑰(可以不止一個)和自己及其他用戶的公鑰。

以PGP8.1版為例，下載安裝文件執(zhí)行安裝，軟件需要重啟計算機才能正常工作。重啟后PGP以向導的方式一步步指引用戶產生自己的公鑰/私鑰對（若已有，則也可直接指定公鑰/私鑰文件所在的文件夾導入使用），生成時要求用戶輸入通行碼（Passphrase）,如圖13-1所示。13.2電子郵件加密技術13.2.1PGP的工作方式(續(xù))

13.2電子郵件加密技術13.2.1PGP的工作方式(續(xù))

PGP運行后在系統(tǒng)提示區(qū)的圖標為“

”。PGP的主要功能圖示見圖13-2所示。13.2電子郵件加密技術13.2.1PGP的工作方式(續(xù))

1．PGP的主要功能

(1)密鑰管理（PGPkeys）管理界面如圖13-3所示?？尚陆?、導入、導出密鑰，建立相互間信任鏈。13.2電子郵件加密技術13.2.1PGP的工作方式(續(xù))

1．PGP的主要功能

(2)剪切板信息加解密（Clipboard）

可實現(xiàn)剪切板信息的加密、認證、加密并認證、解密等操作。

(3)當前窗口信息加解密（CurrentWindow）

可實現(xiàn)當前窗口信息的加密、認證、加密并認證、解密等操作。加密后的信息示例如圖13-4所示。

13.2電子郵件加密技術13.2.1PGP的工作方式(續(xù))

1．PGP的主要功能

(4)文件的加解密與安全刪除（PGPmail）

可對文件獨立進行加/解密。PGPmail提示條如圖13-5所示。

(5)PGP加密磁盤（PGPdisk）

可在物理硬盤中劃出一塊區(qū)域，由PGP虛擬作為一個磁盤管理。使用時打開（mountdisk），使用完畢加密關閉（Unmountdisk）。13.2電子郵件加密技術13.2.1PGP的工作方式(續(xù))

2．用Outlook發(fā)送加密文件

若要發(fā)送加密的電子郵件，由寫郵件時必須按下“EncrptMessage(PGP)”。注意千萬不要錯選為Ooutlook自身的“EncrptMessage”，否則將產生“沒有數(shù)字標識”錯誤，如圖13-6所示。13.2電子郵件加密技術13.2.1PGP的工作方式(續(xù))

2．用Outlook發(fā)送加密文件

點擊“發(fā)送”后將提示選擇加密用的公鑰，若本地無指定公鑰，則將自動搜索PGP的公鑰發(fā)布中心。

用戶接收到加密的電子郵件后，通過點擊Outlook的菜單“DecryptMessage（PGP）”進行解密。解密時要求提供通行碼。

可以通過附件發(fā)送加密后的文件，文件一般用PGPmail實現(xiàn)加密/解密。13.2電子郵件加密技術13.2.2PGP的簽名、密鑰管理和信任傳遞

1．PGP的簽名

在PGP中所使用的是基于非對稱密鑰體制的簽名方法：

1）對簽名信息生成摘要(MD5)。

2）使用秘密密鑰對要摘進行加密，得到簽名。

簽名的鑒別方法是：

1）對被簽名的信息生成摘要。

2）使用簽名者的公開密鑰對簽名進行解密，得到的摘要如果和剛才生成的摘要相同，則說明信息是簽名者所簽的。

使用這樣的簽名方式，使得每一個簽名和具體的信息以及簽名者的秘密信息(秘密密鑰)相關聯(lián)，于是冒充者無法利用已有的簽名附加在其他信息上，簽名者也無法否認其對信息的證實。13.2電子郵件加密技術13.2.2PGP的簽名、密鑰管理和信任傳遞

2．PGP的密鑰管理

PGP采用非對稱密鑰體制來解決密鑰分發(fā)與管理問題。公鑰可以公開，不存在監(jiān)聽問題。但公鑰的發(fā)布仍有一定的安全風險，主要是公鑰可能被篡改的問題。一般為了防止篡改和假冒，都直接從接收方得到他的公鑰。

秘密密鑰必須保存在本地機器中。一般應設置得比較復雜，但復雜又使用戶很難記憶，所以通常要存放在磁盤上。如果PGP把秘密密鑰簡單地以文件的形式存放在磁盤中，任何可以訪問該磁盤的人都可以獲得這個用戶的密鑰，從而閱讀他的保密信息。為此，PGP采用加密的方式存放用戶的秘密密鑰，同時加密秘密密鑰所需的密鑰從用戶的口令中導出，從而減輕了用戶的記憶負擔。

13.2電子郵件加密技術13.2.3PGP的安全性討論

正如大多數(shù)的加密方法，PGP也是可以被破解的。但是如果采用窮盡法的話，大約需要3*1011MIPS年才能破解一個1024bit的PGP密碼，這個運算能力不是一個普通用戶可以承受的，就算是擁有強大運算能力的政府機構可能也要花費幾十年。當然，如果采用比較短的PGP密碼，比如512位或256位，那么強行攻破所需要的時間會短得多。

公開密鑰體制，最大的問題就是公開密鑰的真實性確認。

公鑰發(fā)布地址:13.3反垃圾郵件技術13.3.1引言

簡單郵件傳輸協(xié)議（SMTP）是在因特網幾乎完全由學術界使用時開發(fā)的，它假定你就是說你自己是某人的真實身份。

SMTP做出這種假定是因為系統(tǒng)并不懷疑你發(fā)送了特洛伊木馬病毒，也不懷疑你以下臺非洲獨裁者的名義進行金錢欺詐，或是懷疑你非法利用別人電腦發(fā)送億萬封偉哥的廣告。

反垃圾郵件技術人員與垃圾郵件制造者進行了多年的對抗，但垃圾郵件絲毫沒有減少，反面與日俱增。

美國在線時代華納公司在線部門的美國在線，前不久介紹說，公司一天就屏蔽了24億封垃圾電郵。盡管戰(zhàn)績不錯，許多垃圾信息還是發(fā)到了美國在線3400萬用戶的郵箱。一些人估計，垃圾電郵已經占到電郵總量的大約50%。13.3反垃圾郵件技術13.3.1引言

1．什么是垃圾郵件？

中國互聯(lián)網協(xié)會2003年3月25日通過的反垃圾郵件規(guī)范對垃圾郵件的定義是：

①收件人事先沒有提出要求或者同意接收的廣告、電子刊物、各種形式的宣傳品等宣傳性的電子郵件；

②收件人無法拒收的電子郵件；

③隱藏發(fā)件人身份、地址、標題等信息的電子郵件；

④含有虛假的信息源、發(fā)件人、路由等信息的電子郵件。

垃圾郵件是僅次于病毒的互聯(lián)網公害。13.3反垃圾郵件技術13.3.1引言

2．垃圾郵件的危害性

垃圾郵件的危害性具體體現(xiàn)在以下幾個方面：

1）用了大量網絡帶寬，使得郵件服務器的CPU時間大量消耗在接收垃圾郵件方面，甚至還有可能造成郵件服務器擁塞，因此大大降低了整個網絡的運行效率。同時由于垃圾郵件的大量傳播，人們對其所產生的信息麻木，也影響了正常網絡營銷的進行，對網絡空間的發(fā)展有很大的危害性。

2）垃圾信息導致電子郵件使用率大降。

3）濫發(fā)的垃圾郵件不僅侵犯了收件人的隱私權和寶貴的信箱空間，同時還耗費了收件人的時間、精力和金錢在刪除垃圾郵件方面。而且還有些垃圾郵件盜用他人的電子郵件地址作為發(fā)信地址，這樣就嚴重損害了他人的信譽。13.3反垃圾郵件技術13.3.1引言

2．垃圾郵件的危害性(續(xù))

4）成為病毒、木馬程序的載體，影響計算機的正常使用。

5）被黑客利用進行網絡攻擊。

6）嚴重影響公司的服務形象。

7）垃圾郵件宣傳的多半是各種廣告以及色情、反動非法言論，等。這類垃圾郵件已經對現(xiàn)實社會造成了極大的危害。歸納起來主要指：