跳轉到內容

智慧財產權與網際網路/網際網路安全

Add links
來自華夏公益教科書,開放的書籍,開放的世界

網際網路安全是計算機安全[1]的一個分支,專門與網際網路相關。其目標是制定規則和措施來抵禦網際網路上的攻擊。[2]網際網路代表著交換資訊的不安全渠道,導致入侵或欺詐風險很高,例如網路釣魚。[3]已使用不同的方法來保護資料傳輸,包括加密。

安全型別

[編輯 | 編輯原始碼]

網路層安全

[編輯 | 編輯原始碼]

TCP/IP可以在為網際網路安全通訊而開發的加密方法和協議的幫助下變得安全。這些協議包括用於網路流量的SSL和TLS、用於電子郵件的PGP以及用於網路層安全的IPsec。

IPsec協議

[編輯 | 編輯原始碼]

該協議旨在使用TCP/IP以安全的方式保護通訊。它是由IETF開發的一組安全擴充套件,它透過使用密碼學在IP層提供安全性和身份驗證。為了保護內容,資料使用加密技術進行轉換。有兩個主要型別的轉換構成了IPsec的基礎:身份驗證頭(AH)和封裝安全有效負載(ESP)。這兩個協議提供資料完整性、資料來源身份驗證和防重放服務。這些協議可以單獨使用或組合使用,以提供網際網路協議 (IP) 層所需的安全性服務集。

IPsec安全體系結構的基本元件在以下功能方面進行了描述

  • AH和ESP的安全協議
  • 用於策略管理和流量處理的安全關聯
  • 用於網際網路金鑰交換 (IKE) 的手動和自動金鑰管理
  • 用於身份驗證和加密的演算法

在IP層提供的安全性服務集包括訪問控制、資料來源完整性、防重放保護和機密性。該演算法允許這些集合獨立工作,而不影響實現的其他部分。IPsec實現是在主機或安全閘道器環境中執行的,為IP流量提供保護。

電子郵件安全(電子郵件)

[編輯 | 編輯原始碼]

背景

[編輯 | 編輯原始碼]

電子郵件訊息的編寫、傳遞和儲存是一個多步驟過程,從訊息的編寫開始。當用戶完成郵件的編寫併發送時,郵件會轉換為標準格式:RFC 2822 格式的郵件。之後,郵件可以傳輸。使用網路連線,郵件客戶端,稱為郵件使用者代理 (MUA),連線到郵件伺服器上執行的郵件傳輸代理 (MTA)。然後,郵件客戶端向伺服器提供傳送者的身份。接下來,使用郵件伺服器命令,客戶端將收件人列表傳送到郵件伺服器。然後,客戶端提供郵件。一旦郵件伺服器接收到並處理郵件,就會發生多個事件:收件人伺服器識別、連線建立和郵件傳輸。使用域名系統 (DNS) 服務,傳送者的郵件伺服器確定收件人的郵件伺服器(s)。然後,伺服器開啟與收件人郵件伺服器的連線(s)併發送郵件,使用類似於源客戶端使用的過程,將郵件傳遞給收件人(s)。

優良隱私(PGP)

[編輯 | 編輯原始碼]

PGP 透過使用諸如 3DES 或 CAST-128 之類的加密演算法對要傳輸的郵件或要儲存的資料檔案進行加密來提供機密性。電子郵件可以透過多種方式使用密碼學來保護,例如:

  • 簽署電子郵件以確保其完整性並確認其傳送者的身份。
  • 加密電子郵件主體以確保其機密性。
  • 加密郵件伺服器之間的通訊以保護郵件主體和郵件頭的機密性。

前兩種方法,即郵件簽名和郵件主體加密,通常一起使用;但是,加密郵件伺服器之間的傳輸通常僅在兩個組織希望定期保護彼此之間傳送的郵件時使用。例如,組織可以建立虛擬專用網路 (VPN) 來加密其郵件伺服器之間的網際網路通訊。[4]與只能加密郵件主體的方法不同,VPN 可以加密整個郵件,包括郵件頭資訊,例如傳送者、收件人和主題。在某些情況下,組織可能需要保護頭資訊。但是,僅 VPN 解決方案不能提供郵件簽名機制,也不能為郵件從傳送者到收件人的整個路徑提供保護。

多用途網際網路郵件擴充套件(MIME)

[編輯 | 編輯原始碼]

MIME 將傳送方站點上的非 ASCII 資料轉換為網路虛擬終端 (NVT) ASCII 資料,並將其傳遞給客戶端的簡單郵件傳輸協議 (SMTP) 以透過網際網路傳送。[5]接收方側面的伺服器 SMTP 接收 NVT ASCII 資料,並將其傳遞給 MIME 以轉換回原始的非 ASCII 資料。

  • 安全/多用途網際網路郵件擴充套件 (S/MIME)

S/MIME 提供了一種安全傳送和接收 MIME 資料的一致方法。S/MIME 不僅限於電子郵件,還可以與任何攜帶 MIME 資料的傳輸機制一起使用,例如超文字傳輸協議 (HTTP)。[6]

訊息認證碼

[編輯 | 編輯原始碼]

訊息認證碼是一種密碼學方法,它使用金鑰對郵件進行加密。該方法會輸出一個 MAC 值,收件人可以使用傳送方使用的相同金鑰對其進行解密。訊息認證碼既保護訊息的資料完整性,也保護訊息的真實性。[7]

防火牆

[編輯 | 編輯原始碼]

防火牆控制網路之間的訪問。它通常由閘道器和過濾器組成,不同的防火牆之間有所不同。防火牆還會篩選網路流量,並能夠阻止危險的流量。防火牆充當 SMTP 和 HTTP 連線之間的中間伺服器。

防火牆在網際網路安全和網路安全中的作用

[編輯 | 編輯原始碼]

防火牆對進出私有網路的資料包進行限制。所有流量,無論是傳入還是傳出,都必須透過防火牆;只有授權的流量才能透過。防火牆在內部私有網路和公共網際網路之間建立檢查點,也稱為瓶頸。防火牆可以根據 IP 源和 TCP 埠號建立瓶頸。它們還可以用作 IPsec 的平臺。使用隧道模式功能,防火牆可以用來實現 VPN。防火牆還可以透過隱藏內部網路系統和資訊來限制網路暴露。

防火牆型別

[編輯 | 編輯原始碼]

資料包過濾器

[編輯 | 編輯原始碼]

資料包過濾器是幾種不同型別的防火牆之一,它們以逐包的方式處理網路流量。它們的主要工作是過濾來自遠端 IP 主機的流量,因此需要路由器將內部網路連線到網際網路。該路由器稱為遮蔽路由器,它遮蔽進出網路的資料包。

電路級閘道器

[編輯 | 編輯原始碼]

電路級閘道器是一種代理伺服器,它靜態定義允許哪些流量。電路代理總是轉發包含給定埠號的資料包,前提是該埠號被規則集允許。該閘道器在 OSI 模型的網路層執行。代理伺服器的主要優點是它能夠提供網路地址轉換 (NAT),這可以隱藏使用者的 IP 地址,有效地保護所有內部資訊免受網際網路的侵害。

應用程式級閘道器

[編輯 | 編輯原始碼]

應用程式級閘道器是在 TCP/IP 應用程式層執行的代理伺服器。只有在使用已知協議建立連線時才會轉發資料包。應用程式級閘道器的顯著特點是在傳送或接收資料時分析整個訊息,而不是單個數據包。

惡意軟體和防病毒

[編輯 | 編輯原始碼]

惡意軟體

[編輯 | 編輯原始碼]

通常,計算機使用者可能會被欺騙或被迫在計算機上下載具有惡意意圖的軟體。這類程式被稱為惡意軟體,有許多形式,例如病毒、木馬、間諜軟體和蠕蟲。惡意軟體有時用於形成殭屍網路。

病毒

[編輯 | 編輯原始碼]

病毒是能夠透過感染計算機上的其他檔案或結構來複制其結構或效果的程式。病毒的常見用途是接管計算機來竊取資料。

木馬

[編輯 | 編輯原始碼]

木馬(通常稱為特洛伊木馬)是惡意軟體的通用術語,它假裝無害,以便使用者自願將其下載到計算機上。

間諜軟體

[編輯 | 編輯原始碼]

術語間諜軟體是指秘密監控計算機系統活動並將其資訊報告給其他人,而未經使用者同意。

蠕蟲

[編輯 | 編輯原始碼]

蠕蟲是能夠在整個計算機網路中複製自身的程式,並在整個網路中執行惡意任務。

殭屍網路

[編輯 | 編輯原始碼]

殭屍網路是由“殭屍”計算機組成的網路,這些計算機已被“殭屍”接管,為殭屍網路的建立者執行大規模的惡意行為。

防病毒

[編輯 | 編輯原始碼]

防病毒程式和網際網路安全程式在保護計算機或可程式設計裝置免受惡意軟體的侵害方面很有用。

此類程式用於檢測並通常消除病毒;但是,現在通常會看到包含防火牆、反間諜軟體、盜竊保護等的安全套件,以更徹底地保護使用者。[8]

傳統上,使用者會為防病毒軟體付費;但是,現在計算機使用者可以而且確實從網際網路上下載各種免費的安全應用程式。[9]

拒絕服務攻擊

[編輯 | 編輯原始碼]

拒絕服務攻擊DoS 攻擊)或分散式拒絕服務攻擊DDoS 攻擊)是試圖使計算機資源無法用於其預期使用者。雖然執行 DoS 攻擊的方式、動機和目標可能有所不同,但它通常包括個人或多人為了阻止網際網路站點或服務正常執行或完全無法執行而進行的協同努力,無論是暫時還是永久。

瀏覽器選擇

[編輯 | 編輯原始碼]

網路瀏覽器的統計資料往往會影響瀏覽器被利用的程度。例如,曾經佔據了大部分網路瀏覽器市場份額的 Internet Explorer 6 [10] 被認為非常不安全 [11],因為由於其曾經的流行,漏洞經常被利用。然而,現在瀏覽器選擇更加分散(Internet Explorer 佔 22.9%,Firefox 佔 39.7%,Google Chrome 佔 30.5%,等等);[10] 許多瀏覽器中的漏洞經常被利用。 [12][13][14] 蘋果的網路瀏覽器 Safari 是第四大最受歡迎的網路瀏覽器。雖然它只佔總瀏覽器使用量的 4%,但它也存在許多漏洞。 [15][16]

緩衝區溢位攻擊

[edit | edit source]

緩衝區溢位是一種攻擊,駭客可以透過各種方法利用它來獲得完整的系統訪問許可權,本質上是透過暴力破解來攻擊計算機。大多數安全應用程式和套件都無法對這類攻擊提供足夠的防禦。


參考文獻

[edit | edit source]

電子郵件安全指南

  1. http://www.library.ucsb.edu/istl/02-fall/internet.html
  2. Gralla, Preston (2007). How the Internet Works. Que Pub, Indianapolis. ISBN 0789721325.
  3. Rhee, M. Y. (2003). Internet Security: Cryptographic Principles,Algorithms and Protocols. Chichester: Wiley. ISBN 0470852852.
  4. http://itcd.hq.nasa.gov/networking-vpn.html 虛擬專用網路
  5. http://www.pvv.org/~asgaut/crypto/thesis/node6.html 網路虛擬終端
  6. http://www.w3.org/Protocols/
  7. http://www.wisegeek.com/what-is-a-message-authentication-code.htm
  8. Rebbapragada, Narasu. 一體式安全. Retrieved 19 November 2010.
  9. Larkin, Eric. 構建自己的免費安全套件. Retrieved 19 November 2010.
  10. a b W3Schools.com. 瀏覽器統計. Retrieved 1 August 2011.
  11. Bradly, Tony. "是時候最終放棄 Internet Explorer 6". Retrieved 19 November 2010.
  12. Messmer, Ellen and NetworkWorld. "Google Chrome 榮登‘十二大’易受攻擊應用程式榜首". Retrieved 19 November 2010.
  13. Keizer, Greg. Firefox 3.5 漏洞已確認. Retrieved 19 November 2010.
  14. Skinner, Carrie-Ann. Opera 堵住了“嚴重”的瀏覽器漏洞. Retrieved 19 November 2010.
  15. http://www.pcworld.com/article/221822/hackers_expose_safaris_flaws_in_5_seconds.html
  16. http://www.pcworld.com/article/211168/apple_patches_critical_safari_holes.html
[edit | edit source]
檢索自 "https://wikibook.tw/w/index.php?title=Intellectual_Property_and_the_Internet/Internet_security&oldid=3259667"
華夏公益教科書