互聯(lián)網(wǎng)發(fā)展現(xiàn)狀1課件

互聯(lián)網(wǎng)發(fā)展的機遇和對安全的挑戰(zhàn)

Internet/Intranet/Extranet/Innernet

涪陵師范學(xué)院黃世權(quán)flszwlzx@2002年10月Internet（因特網(wǎng)）：無限制的與全球網(wǎng)絡(luò)相連Intranet（內(nèi)聯(lián)網(wǎng)）： 有限制地（防火墻）與外部相連Extranet（外聯(lián)網(wǎng)）： 內(nèi)聯(lián)網(wǎng)之間跨越公網(wǎng)相互連接 （加密隧道跨國共網(wǎng)）Innernet（內(nèi)部網(wǎng)）：與外部物理隔絕主要內(nèi)容互聯(lián)網(wǎng)的產(chǎn)生與發(fā)展互聯(lián)網(wǎng)的應(yīng)用對社會的影響互聯(lián)網(wǎng)安全面臨的嚴(yán)峻挑戰(zhàn)確保網(wǎng)絡(luò)信息安全必須采取的措施（一）

廿世紀(jì)末互聯(lián)網(wǎng)的崛起是IT領(lǐng)域最重大的事件——互聯(lián)網(wǎng)發(fā)展的奇跡——5000用戶（萬）RadioTVCATVPCInternetWWW4

61013

354000300020001000周期（年）電話74年——互聯(lián)網(wǎng)發(fā)展的規(guī)?！?/p>

200多個國家和地區(qū)3億網(wǎng)民1億多臺計算機入網(wǎng)1千多萬個網(wǎng)站10多億個網(wǎng)頁信息流量每6個月翻一番8500家ISP/ICP

因特網(wǎng)在中國的兩個發(fā)展過程

第一階段：萌芽期87-93，各科研部門以電子郵件為主與國外對口機構(gòu)連接第二階段：迅猛發(fā)展94年起采用TCP/IP協(xié)議與Internet連接，進入到大規(guī)模發(fā)展的階段。十大骨干網(wǎng)相繼建成，大量增值業(yè)務(wù)涌現(xiàn)中國已有4500萬網(wǎng)民（2002.6）1610萬臺計算機入網(wǎng)29萬個網(wǎng)站、域名12萬個400萬網(wǎng)頁10個大型ISP具有國際出口10Gbps(IP電話出口500Mbps)2003年網(wǎng)民將大于5000萬Source:—互聯(lián)網(wǎng)(中國)發(fā)展的規(guī)?！狪nternet發(fā)展的技術(shù)要素——使用了一個統(tǒng)一有效的網(wǎng)絡(luò)互聯(lián)協(xié)議集TCP/IP在TCP/IP之上開發(fā)了許多出色的服務(wù)軟件采用主干-地區(qū)-園區(qū)的分層網(wǎng)絡(luò)結(jié)構(gòu)較早利用光纜，保持了信息傳輸通暢NSFnet作為主干網(wǎng)絡(luò)，連接大學(xué)和科研機構(gòu),美國國家科學(xué)基金組建,1986年后取代ARPA成為互聯(lián)網(wǎng)的主干網(wǎng)絡(luò)。

——互聯(lián)網(wǎng)技術(shù)的騰飛——寬帶網(wǎng)絡(luò)技術(shù)：

IP/ATM（異步傳輸模式）、IP/SDH（同步數(shù)字系列）、IP/WDM（光因特網(wǎng)）

HFC(同軸電纜光纖混合網(wǎng)）、XDSL、FTTH（光纖到家庭）、WLL虛擬專網(wǎng)：

IP-VPN、IP-VPDN、IPsec個性化、移動化、智能化Internet2（NGI下一代網(wǎng)絡(luò)）:IPV4、IPV6

寬帶（Gbps）、智能、安全、實時協(xié)同、互操作、150所大學(xué)

（二）

廿一世紀(jì)是網(wǎng)絡(luò)經(jīng)濟

與網(wǎng)絡(luò)社會的時代Internet上的服務(wù)豐富多彩WWW服務(wù)E-mail服務(wù)Telnet服務(wù)FTP服務(wù)GOPHER服務(wù)BBS服務(wù)USENET服務(wù)MUD服務(wù)(MultipleUserDimension)TALK服務(wù)IRC服務(wù)Internet網(wǎng)絡(luò)的發(fā)展和應(yīng)用

正在對社會的政治、經(jīng)濟、文化、軍事和外交產(chǎn)生廣泛深遠(yuǎn)的影響政府、企業(yè)、個人辦事：收集信息、處理分析、決策、行動（OODA）—企業(yè)信息基礎(chǔ)設(shè)施的建設(shè)—企業(yè)網(wǎng)絡(luò)的轉(zhuǎn)型：

Innernet、Intranet、Extranet、Internet發(fā)達(dá)國家90%建立企業(yè)信息基礎(chǔ)設(shè)施

ERP企業(yè)資源管理計劃、CRM客戶關(guān)系管理、SCM供應(yīng)鏈管理系統(tǒng)提高企業(yè)IT應(yīng)用的效費比增強企業(yè)市場應(yīng)變和競爭能力企業(yè)再造：提升產(chǎn)業(yè)素質(zhì)、優(yōu)化產(chǎn)業(yè)結(jié)構(gòu)—電子商務(wù)是未來商貿(mào)運作的主流—10萬家企業(yè)、2000家銀行、100家股商第一家網(wǎng)絡(luò)銀行95年誕生(SFNB):

30%來自NB世界上最大的網(wǎng)上書店：Amazon美國網(wǎng)上股市額占20%：上60家證券商網(wǎng)美國32%網(wǎng)民參與網(wǎng)上交易：3000萬人2001年EC交易額$10000億

——網(wǎng)絡(luò)媒體具有強大的生命力——網(wǎng)絡(luò)報刊、網(wǎng)絡(luò)電臺、網(wǎng)絡(luò)電視臺、網(wǎng)絡(luò)出版網(wǎng)絡(luò)媒體12000家中國已由600家媒體上網(wǎng)CNN（美國有線新聞網(wǎng)）:2200種新聞類、1000萬頁/日、1000萬訪問/日克林頓緋聞：445頁斯塔爾報告、2400萬人訪問美國有13%的人因而退掉報紙美國14%的人喜歡聽網(wǎng)上廣播——網(wǎng)絡(luò)媒體的前景展望——全球可達(dá)性：204國家和地區(qū)時效性：不受時空限制、隨時插播、直播交互性：受眾參與和交流多媒體融合：文本、聲音、攝象個性化服務(wù)：個人報頁、家庭影院、個人信園智能化服務(wù)：智能代理、智能搜索、內(nèi)容標(biāo)識分級大眾化服務(wù)：信息接入的家電話和移動化新媒體：媒體的一場革命（AOL兼并時代—華納）—數(shù)字化應(yīng)用業(yè)務(wù)層出不窮—遠(yuǎn)程教育展現(xiàn)出巨大魅力

#終身教育與素質(zhì)教育#幾千種課件上網(wǎng)，網(wǎng)上大學(xué)，網(wǎng)上研究生網(wǎng)上休閑娛樂成為新的時尚#VOD（視頻點播），游戲，旅游，博覽，虛擬社區(qū)#內(nèi)容服務(wù)是互聯(lián)網(wǎng)業(yè)務(wù)最快的增長點IP網(wǎng)絡(luò)電話和傳真發(fā)展很快

#VoIP/FoIP搶占16%的傳統(tǒng)市場#我國5大NSP啟動IP電話業(yè)務(wù)—網(wǎng)絡(luò)經(jīng)濟的巨大生命力—互聯(lián)網(wǎng)正在成為重要的社會基礎(chǔ)設(shè)施網(wǎng)絡(luò)經(jīng)濟是當(dāng)前新經(jīng)濟的集中表現(xiàn)網(wǎng)絡(luò)產(chǎn)業(yè)是經(jīng)濟發(fā)展的強大引擎網(wǎng)絡(luò)應(yīng)用是構(gòu)建虛擬應(yīng)用的催化劑

（三）互聯(lián)網(wǎng)安全面臨嚴(yán)峻挑戰(zhàn)——安全是什么？——在網(wǎng)絡(luò)環(huán)境里的安全指的是一種能夠識別和消除不安全因素的能力。安全的一般性定義必須解決保護公司財產(chǎn)的需要，包括信息和物理設(shè)備（如計算機本身）。安全的想法也涉及到適宜性和從屬性概念。負(fù)責(zé)安全的任何一個人都必須決定誰在具體的設(shè)備上進行合適的操作，以及什么時候。Internet的安全問題的產(chǎn)生Internet起于研究項目,安全不是主要的考慮少量的用戶，多是研究人員，可信的用戶群體可靠性(可用性)、計費、性能、配置、安全“Securityissuesarenotdiscussedinthismemo”網(wǎng)絡(luò)協(xié)議的開放性與系統(tǒng)的通用性目標(biāo)可訪問性，行為可知性攻擊工具易用性Internet沒有集中的管理權(quán)威和統(tǒng)一的政策安全政策、計費政策、路由政策—互聯(lián)網(wǎng)存在的六大問題—無主管的自由王國：有害信息、非法聯(lián)絡(luò)、違規(guī)行為不設(shè)防的網(wǎng)絡(luò)空間：

國家安全、企業(yè)利益、個人隱私法律約束脆弱：

黑客犯罪、知識侵權(quán)、避稅跨國協(xié)調(diào)困難

過境信息控制、跨國黑客打擊、關(guān)稅民族化和國際化的沖突

文化傳統(tǒng)、價值觀、語言文字網(wǎng)絡(luò)資源緊缺

IP地址、域名、帶寬兩個實驗SanDiego超級計算中心RedhatLinux5.2,nopatch8小時：sunrpcprobe21天：20次pop,imap,rpc,mountd使用Redhat6.X的嘗試失敗40天：利用pop服務(wù)缺陷或的控制權(quán)系統(tǒng)日志被刪除安裝了rootkit、sniffer清華大學(xué)校園網(wǎng)RedhatLinux6.2,只開設(shè)telnet,www服務(wù)；

所有用戶申請均可獲得賬號7天后358個用戶兩個用戶利用dump獲得root控制權(quán)——有害信息污染——黃色信息：涉及1%網(wǎng)站、10億美元營業(yè)額邪教信息：法輪功80個反宣傳網(wǎng)站虛假新聞：美校園炸彈恐嚇事件、網(wǎng)上股市欺詐宣揚暴力：政治攻擊：政治演變論

—網(wǎng)絡(luò)病毒的蔓延和破壞—10年內(nèi)以幾何級數(shù)增長活體計算機病毒達(dá)14000種（4萬種、10/天）網(wǎng)絡(luò)病毒有更大的破壞性（占52%）1988年莫里斯事件（UNIX/Email):

6000臺、$9000萬1998年的CIH病毒（系統(tǒng)程序和硬盤數(shù)據(jù)）

2000萬臺計算機1999年梅利莎案件（Window/Email):

$8000萬2000年的愛蟲病毒、2001尼母達(dá)病毒

1500萬臺、$幾十億—機要信息流失與信息間諜潛入—國家機密信息、企業(yè)關(guān)鍵信息、個人隱私Web發(fā)布、電子郵件、文件傳送的泄漏預(yù)謀性竊取政治和經(jīng)濟情報CIA統(tǒng)計入侵美國要害系統(tǒng)的案件

年增長率為30%14%部門出現(xiàn)過網(wǎng)上失密我國信息網(wǎng)絡(luò)發(fā)展必然成為其攻擊重要目標(biāo)

——網(wǎng)絡(luò)自身的脆弱性——網(wǎng)絡(luò)系統(tǒng)的安全脆弱點

Solaris:34漏洞/99年、W2000有上萬個Bug(統(tǒng)計圖）網(wǎng)絡(luò)的擴展與業(yè)務(wù)負(fù)荷澎漲：

信息量半年長一倍、網(wǎng)民年增長30%網(wǎng)絡(luò)帶寬瓶頸和信息擁擠社會與經(jīng)濟對網(wǎng)絡(luò)的巨大依賴性：

US：20%股市、25%產(chǎn)品、30%金融、40%人口災(zāi)難恢復(fù)的脆弱性

“AOL”96年10小時系統(tǒng)故障影響700萬用戶2000年2.7事件8大網(wǎng)站癱瘓24-72小時操作系統(tǒng)漏洞增長趨勢——信息戰(zhàn)的陰影不可忽視——有組織、大規(guī)模的網(wǎng)絡(luò)攻擊預(yù)謀行為：

國家級、地區(qū)級無硝煙的戰(zhàn)爭：

跨國界、隱蔽性、低花費、跨領(lǐng)域高技術(shù)性、情報不確定性美國的“信息戰(zhàn)執(zhí)行委員會”：

網(wǎng)絡(luò)防護中心（1999年）信息作戰(zhàn)中心（2000年）網(wǎng)絡(luò)攻擊演練（2000年）要害目標(biāo)：金融支付中心、證券交易中心空中交管中心、鐵道調(diào)度中心電信網(wǎng)管中心、軍事指揮中心（四）網(wǎng)絡(luò)信息安全必須采取果斷措施什么是信息安全信息安全：保護信息及信息系統(tǒng)在信息存儲、處理、傳輸過程中不被非法訪問或修改，而且對合法用戶不發(fā)生拒絕服務(wù)。信息安全還包括：檢測（探測）、記錄、對抗此類威脅所必要的措施。強調(diào)：信息的載體不安全，就不會有信息安全Safety/Security信息保障（IA）通過信息和信息系統(tǒng)的可用性、完整性、認(rèn)證、保密性和非否認(rèn)性，保護信息和信息系統(tǒng)的行動，它包括通過在信息系統(tǒng)中引入保護（Protection)、檢測(Detection)和反應(yīng)(Reaction)能力而使之能進行恢復(fù)(Restore)。PDRR模型保護檢測反應(yīng)恢復(fù)信息保障網(wǎng)絡(luò)信息安全的發(fā)展三個階段：通信保密階段：以密碼學(xué)研究為主計算機系統(tǒng)安全階段；以單機操作系統(tǒng)安全研究為主網(wǎng)絡(luò)信息系統(tǒng)安全階段：開始進行信息安全體系研究信息安全的基本特征相對性只有相對的安全，沒有絕對的安全系統(tǒng)從NIS集成的角度看，使用COTS可能比完全自主開發(fā)的軟件安全性更好，因此一個實際的NIS不可能排除COTS產(chǎn)品安全性在系統(tǒng)的不同部件間可以轉(zhuǎn)移（如在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間使用堡壘主機），這樣可以使用非可信部件組成部件組成可信系統(tǒng)信息安全的基本特征（續(xù)）時效性（動態(tài)性、配置相關(guān)）新的漏洞與攻擊方法不斷發(fā)現(xiàn)（NT4.0已從SP1發(fā)展到SP6)日常管理中的不同配置會引入新的問題(安全測評只證明特定環(huán)境與特定配置下的安全)新的系統(tǒng)部件會引入新的問題(WORD等有漏洞)因此需要自動的配置檢查工具和實時的入侵檢測系統(tǒng).?攻擊的不確定性一攻擊發(fā)起的時間、攻擊者、攻擊目標(biāo)和攻擊發(fā)起的地點都具有不確定性?復(fù)雜性一信息安全是一項系統(tǒng)工程，需要技術(shù)的和非技術(shù)的手段，涉及到安全管理、教育、培訓(xùn)、立法、國際合作與互不侵犯協(xié)定、應(yīng)急反應(yīng)等。

信息安全的基本特征（續(xù)2）安全威脅與防護威脅： 對信息資源的保密性、完整性、可用性或合法使用所造成的危險。攻擊：某種威脅的具體實現(xiàn)。防護： 保護信息免受威脅的一種物理的控制機制、策略和過程。安全威脅分故意的（如黑客滲透）和偶然的。漏洞方案用戶權(quán)控制權(quán)木馬注入清痕跡留后門——值得深思的幾個問題——信息安全的全局性戰(zhàn)略黑客工具的公開化對策（幾萬個黑客網(wǎng)站）網(wǎng)絡(luò)安全的預(yù)警體系應(yīng)急反應(yīng)隊伍的建設(shè)

——網(wǎng)絡(luò)安全策略的演變——由信息保護轉(zhuǎn)為對信息/系統(tǒng)/操作等多項保護由技術(shù)安全轉(zhuǎn)為對技術(shù)/管理/法律的綜合安全由靜態(tài)防護轉(zhuǎn)為動態(tài)防護由消極防御轉(zhuǎn)為積極防御由點防御轉(zhuǎn)為面防御—網(wǎng)絡(luò)安全系統(tǒng)構(gòu)建策略—

綜合性：管理、法規(guī)、技術(shù)、基礎(chǔ)設(shè)施均衡性：脆弱點、基線、安全強度的均衡折衷性：系統(tǒng)開銷與風(fēng)險承受能力的平衡點動態(tài)性：防護、檢測、反應(yīng)/恢復(fù)（PDRR)

——制訂安全法規(guī)——93%國家用法律監(jiān)管70%國家修改現(xiàn)有法律43%國家制訂新的專用法規(guī)

媒體監(jiān)管、內(nèi)容管理知識產(chǎn)權(quán)、電子商務(wù)網(wǎng)絡(luò)犯罪、網(wǎng)絡(luò)運營隱私保護、密碼管理數(shù)據(jù)保護、信息過境我國正在制訂相應(yīng)的安全法規(guī)：尚不完善

——快速發(fā)展的安全產(chǎn)業(yè)——美國有800家安全產(chǎn)品廠商和研發(fā)部門全球1600個密碼相關(guān)產(chǎn)品每年以20%——30%速度擴展市場近幾百億產(chǎn)值我國二百家安全研究部門和企業(yè)Internet安全防范

技術(shù)與產(chǎn)品Internet網(wǎng)絡(luò)安全技術(shù)安全內(nèi)核技術(shù)安全等級制身份鑒別技術(shù)KerberosWeb安全技術(shù)SSLSHTTPSOCKS協(xié)議網(wǎng)絡(luò)反病毒技術(shù)防火墻技術(shù)動態(tài)IP過濾技術(shù)IP分片過濾技術(shù)IP欺騙保護地址轉(zhuǎn)換訪問控制保密網(wǎng)關(guān)技術(shù)面向信息與面向客戶綜合安全與保密策略實現(xiàn)安全管理標(biāo)準(zhǔn)、

規(guī)范與對策網(wǎng)絡(luò)應(yīng)用實體結(jié)構(gòu)分類網(wǎng)絡(luò)應(yīng)用實體結(jié)構(gòu)分類Internet網(wǎng)絡(luò)系統(tǒng)開放、面向大眾、共享信息資源Intranet網(wǎng)絡(luò)系統(tǒng)企業(yè)內(nèi)部、基于Internet基本協(xié)議、完成企業(yè)內(nèi)部各種管理需要（MIS、OA、TPS、專用事物處理），企業(yè)內(nèi)跨平臺操作Extranet網(wǎng)絡(luò)系統(tǒng)企業(yè)完成對合作伙伴的信息服務(wù)支持，提供專用的企業(yè)應(yīng)用專用網(wǎng)絡(luò)系統(tǒng)特定的網(wǎng)絡(luò)協(xié)議、特殊的應(yīng)用目的計算機系統(tǒng)安全等級保護制度安全等級A級：絕對可信網(wǎng)絡(luò)安全B級：完全可信網(wǎng)絡(luò)安全（B1、B2、B3）C級：可信網(wǎng)絡(luò)安全（C1、C2）D級：不可信網(wǎng)絡(luò)安全TCP/IP安全層次端口級地址級用戶級數(shù)據(jù)級網(wǎng)絡(luò)安全建設(shè)工作內(nèi)容網(wǎng)絡(luò)安全設(shè)計與實現(xiàn)安全體系安全需求分析安全模型安全產(chǎn)品安全工程實施安全評估安全管理制度制定與評價執(zhí)行與監(jiān)督改進與完善——企業(yè)網(wǎng)絡(luò)安全策略——

進入開放的全球大市場是必然趨勢保護企業(yè)敏感信息和利益是重要的采取適度的安全策略企業(yè)網(wǎng)絡(luò)安全結(jié)構(gòu)層業(yè)務(wù)要求網(wǎng)絡(luò)安全域安全設(shè)施一*開放網(wǎng)絡(luò)環(huán)境*全球大市場*EC、EBInternet*完整性保護*可用性保護二*專用的安全隧道*供應(yīng)鏈、流動業(yè)務(wù)*SCMCRMExtranet*VPN*AAA三*關(guān)鍵業(yè)務(wù)區(qū)*敏感信息*ERPIntranet*邊界安全*認(rèn)證授權(quán)*動態(tài)防護*防病毒防火墻Extranet企業(yè)網(wǎng)無縫聯(lián)接與控制

ACLIntranetVLANVPNInternet保密性真實性完整性抗否認(rèn)性可用性加密、數(shù)字簽名、數(shù)字證書、

IPSEC、PKI電子錢包、交易服務(wù)器、支付網(wǎng)關(guān)、認(rèn)證服務(wù)器

Internet、Intranet、Extranet、IP-VPN、CAEC應(yīng)用層安全服務(wù)層安全機制層邏輯實體層基礎(chǔ)設(shè)施層

電子商務(wù)應(yīng)用

B-C、B-B、B-G

電子商務(wù)協(xié)同運作與安全控制

B-C、B-B、B-G、NB、NS消費者銀行專網(wǎng)