《計算機網(wǎng)絡(luò)安全基礎(chǔ)與技能訓(xùn)練》課件第1章

第1章網(wǎng)絡(luò)安全基礎(chǔ)1.1網(wǎng)絡(luò)安全概述1.2實現(xiàn)網(wǎng)絡(luò)安全的策略1.3網(wǎng)絡(luò)安全標(biāo)準(zhǔn)1.4網(wǎng)絡(luò)安全基本模型1.5網(wǎng)絡(luò)安全體系結(jié)構(gòu)1.6網(wǎng)絡(luò)安全機制與技術(shù)1.7網(wǎng)絡(luò)安全立法1.1網(wǎng)絡(luò)安全概述1.1.1計算機網(wǎng)絡(luò)系統(tǒng)的脆弱性分析

1.國內(nèi)外典型的安全事件

2000年3月，英國出現(xiàn)了歷史上最為嚴(yán)重的公司計算機系統(tǒng)入侵案。在英國的一伙駭客侵入了至少12家跨國公司的系統(tǒng)，盜走了機密文件，事后索要1000萬英鎊的贖金。

2005年4月，深圳市某人才交流服務(wù)網(wǎng)站因受到來歷不明的DDoS(即分布式拒絕服務(wù)，這是一種目前黑客經(jīng)常采用而難以防范的攻擊手段)攻擊，導(dǎo)致該網(wǎng)站無法正常訪問，損失嚴(yán)重。

2006年5月9日，廣州市物價局官方網(wǎng)站被鏈接到某成人網(wǎng)站。

2006年1月份，熊貓燒香(武漢男生，Worm.WhBoy)病毒以近乎完美的傳播方式引發(fā)病毒狂潮。該病毒通過多種方式進行傳播，并將感染的所有程序文件改成熊貓舉著三根香的模樣，同時該病毒還具有盜取用戶游戲賬號、QQ賬號等功能。該病毒傳播速度快，危害范圍廣，短時間內(nèi)已有上百萬個人用戶、網(wǎng)吧及企業(yè)局域網(wǎng)用戶遭受感染和破壞，引起社會各界高度關(guān)注。熊貓燒香病毒利用的傳播方式囊括了漏洞攻擊、感染文件、移動存儲介質(zhì)、局域網(wǎng)傳播、網(wǎng)頁瀏覽、社會工程學(xué)欺騙等種種可能的手法。

2.當(dāng)前網(wǎng)絡(luò)安全事件的特點

(1)入侵者難以追蹤。

(2)拒絕服務(wù)攻擊頻繁發(fā)生。

(3)攻擊者需要的技術(shù)水平逐漸降低，但危害逐漸增大。

(4)攻擊手段更加靈活，聯(lián)合攻擊急劇增多。

(5)系統(tǒng)漏洞發(fā)現(xiàn)加快，攻擊爆發(fā)時間變短。

(6)垃圾郵件問題嚴(yán)重。

(7)間諜軟件、惡意軟件威脅安全。

(8)無線網(wǎng)絡(luò)、移動手機漸成安全重災(zāi)區(qū)。

3.網(wǎng)絡(luò)容易襲擊的原因

(1)網(wǎng)絡(luò)使用者過分“信任”網(wǎng)絡(luò)。如最初設(shè)計網(wǎng)絡(luò)時，只考慮防御從網(wǎng)絡(luò)設(shè)施以外來的攻擊力量(如攻擊網(wǎng)絡(luò)的有形線路或計算機)，而沒考慮來自于網(wǎng)絡(luò)內(nèi)部的攻擊(使用網(wǎng)絡(luò)的人對網(wǎng)絡(luò)進行的攻擊)。

(2)破壞程序簡單易行。

(3)追蹤作案者困難，襲擊者本身風(fēng)險很小。襲擊者運用“IP偽裝”技術(shù)偽造其身份及網(wǎng)絡(luò)位置。另外，襲擊者可跨越多個地理和法律區(qū)域，這也為追捕和審理工作增添了額外的司法困難。1.1.2網(wǎng)絡(luò)安全的概念網(wǎng)絡(luò)安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性科學(xué)。網(wǎng)絡(luò)安全是一個系統(tǒng)性概念，不僅包括網(wǎng)絡(luò)信息的存儲安全，還涉及信息的產(chǎn)生、傳輸和使用過程中的安全，應(yīng)該說網(wǎng)絡(luò)節(jié)點處的安全和通信鏈路上的安全共同構(gòu)成了網(wǎng)絡(luò)系統(tǒng)的安全體系。國際標(biāo)準(zhǔn)化組織(ISO)在ISO7498-2文獻(xiàn)中指出：“安全就是最大程度地減少數(shù)據(jù)和資源被攻擊的可能性?！蹦敲?，什么是網(wǎng)絡(luò)安全？從狹義的角度來看，計算機網(wǎng)絡(luò)安全是指計算機及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害，確保計算機和計算機網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)不因偶然的或者惡意的原因而遭到破壞、更改、泄露，保證系統(tǒng)能連續(xù)、可靠、正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。計算機網(wǎng)絡(luò)安全從其本質(zhì)上來講就是系統(tǒng)的信息安全。從廣義的角度來講，凡是涉及到計算機網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是計算機網(wǎng)絡(luò)安全的研究領(lǐng)域。所以，廣義的計算機網(wǎng)絡(luò)安全還包括信息設(shè)備的物理安全性，如場地環(huán)境保護、防火措施、靜電防護、防水防潮措施、電源保護、空調(diào)設(shè)備、計算機輻射等。1.1.3網(wǎng)絡(luò)安全面臨的主要威脅網(wǎng)絡(luò)系統(tǒng)的安全威脅主要表現(xiàn)在主機可能會受到非法入侵者的攻擊，網(wǎng)絡(luò)中的敏感數(shù)據(jù)有可能泄露或被修改，從內(nèi)部網(wǎng)向公共網(wǎng)傳送的信息可能被他人竊聽、篡改等。表1-1列出了典型的網(wǎng)絡(luò)安全威脅類型。表1-1典型的網(wǎng)絡(luò)安全威脅歸結(jié)起來，網(wǎng)絡(luò)安全面臨的威脅主要有以下4個方面。

1.網(wǎng)絡(luò)硬件設(shè)備和線路的安全問題

Internet的脆弱性，系統(tǒng)的易欺騙性和易被監(jiān)控性，加上薄弱的認(rèn)證環(huán)節(jié)以及局域網(wǎng)服務(wù)的缺陷和系統(tǒng)主機的復(fù)雜設(shè)置與控制，使得計算機網(wǎng)絡(luò)容易遭受到威脅和攻擊。

(1)電磁泄露。

(2)搭線竊聽。

(3)非法終端。

(4)非法入侵。

(5)注入非法信息。

(6)線路干擾。

(7)意外原因。

(8)病毒入侵。

(9)黑客攻擊。

2.網(wǎng)絡(luò)系統(tǒng)和軟件的安全問題

(1)網(wǎng)絡(luò)軟件的漏洞及缺陷被人利用，使網(wǎng)絡(luò)遭到入侵和破壞。

(2)網(wǎng)絡(luò)軟件功能不健全或被安裝了“特洛伊木馬”軟件。

(3)應(yīng)加安全措施的軟件可能未給予標(biāo)識和保護；要害的程序可能沒有安全措施，使軟件非法使用，破壞或產(chǎn)生錯誤結(jié)果。

(4)未對用戶進行分類和標(biāo)識，使數(shù)據(jù)的存取未受限制和控制，因而被非法用戶竊取數(shù)據(jù)或非法處理用戶數(shù)據(jù)。

(5)錯誤地進行路由選擇，為一個用戶與另一個用戶之間的通信選擇了不合適的路徑。

(6)拒絕服務(wù)，中斷或妨礙通信，延誤對時間要求較高的操作。

(7)信息重播，即把信息收錄下來過一段時間再重播。

(8)對軟件更改的要求沒有充分理解，導(dǎo)致軟件缺陷。

(9)沒有正確的安全策略和安全機制，缺乏先進的安全工具和手段。

(10)不妥當(dāng)?shù)貥?biāo)定，導(dǎo)致所修改的程序出現(xiàn)版本錯。如程序員沒有保存程序變更的記錄，沒有做拷貝，未建立保存業(yè)務(wù)的記錄等。

3.網(wǎng)絡(luò)管理人員的安全意識問題

(1)保密觀念不強或不懂保密規(guī)則，隨便泄露機密。例如，打印、復(fù)制機密文件，隨便打印出系統(tǒng)保密字或向無關(guān)人員泄露有關(guān)機密信息。

(2)業(yè)務(wù)不熟練，因操作失誤使文件出錯或誤發(fā)，或因未遵守操作規(guī)程而造成泄密。

(3)因規(guī)章制度不健全造成人為泄密事故。如網(wǎng)絡(luò)上的規(guī)章制度不嚴(yán)，對機密文件管理不善，各種文件存放混亂。

(4)素質(zhì)差，缺乏責(zé)任心，沒有良好的工作態(tài)度，明知故犯或有意破壞網(wǎng)絡(luò)系統(tǒng)和設(shè)備。

(5)熟悉系統(tǒng)的工作人員故意改動軟件或用非法手段訪問系統(tǒng)或通過竊取他人的口令字和用戶標(biāo)識碼來非法獲取信息。

(6)身份被竊取，一個或多個參與通信的用戶身份被別人竊取后非法使用。

(7)否認(rèn)或冒充，否認(rèn)參加過某一次通信，或冒充別的用戶獲得信息或額外的權(quán)力。

(8)擔(dān)任系統(tǒng)操作的人員以超越權(quán)限的非法行為來獲取和篡改信息。

(9)利用硬件的故障部位和軟件的錯誤非法訪問系統(tǒng)或?qū)ο到y(tǒng)進行破壞。

(10)利用竊取系統(tǒng)的磁盤、磁帶或紙帶等記錄載體或利用廢棄的打印紙、復(fù)寫紙來竊取系統(tǒng)或用戶的信息。

4.環(huán)境的安全因素除了上述因素之外，還有環(huán)境因素威脅著網(wǎng)絡(luò)的安全，如地震、火災(zāi)、水災(zāi)、風(fēng)災(zāi)、雷擊等自然災(zāi)害或掉電、停電、偷盜等事故。自然災(zāi)害對網(wǎng)絡(luò)影響巨大，通常是毀滅性的，而偷盜行為也會嚴(yán)重影響計算機網(wǎng)絡(luò)的安全。1.1.4網(wǎng)絡(luò)出現(xiàn)安全威脅的原因引起網(wǎng)絡(luò)出現(xiàn)安全問題的原因主要有以下幾種。

1.薄弱的認(rèn)證環(huán)節(jié)網(wǎng)上的認(rèn)證通常是采用口令來實現(xiàn)的。但口令比較薄弱，有多種方法可以破解，其中最常用的兩種方法是對加密的口令進行破解和通過信道竊取口令。例如，UNIX操作系統(tǒng)通常把加密的口令保存在某一個文件中，而該文件普通用戶也可讀取。一旦口令文件被入侵者通過簡單拷貝的方式得到，就可以對口令進行解密，然后用它來獲取對系統(tǒng)的訪問權(quán)。

2.易被監(jiān)視的系統(tǒng)用戶使用Telnet或FTP連接他在遠(yuǎn)程主機上的賬戶時，在網(wǎng)上傳輸?shù)目诹钍菦]有加密的。入侵者可以通過監(jiān)視攜帶用戶名和密碼的IP包獲取，然后使用這些用戶名和密碼登錄到系統(tǒng)。假如被截獲的是管理員的用戶名和密碼，那么，獲取該系統(tǒng)的超級用戶訪問權(quán)就輕而易舉了。

3.有欺騙性的主機地址

TCP或UDP服務(wù)相信主機的地址。如果使用“IPSourceRouting”，那么攻擊者的主機就可以冒充一個被信任的主機或客戶。以下具體步驟展示了怎樣冒充被信任的客戶：

(1)攻擊者使用那個被信任的客戶的IP地址取代自己的地址；

(2)攻擊者構(gòu)造一條要攻擊的服務(wù)器和其主機間的直接路徑，把被信任的客戶作為通向服務(wù)器的路徑的最后節(jié)點；

(3)攻擊者用這條路徑向服務(wù)器發(fā)出客戶申請；

(4)服務(wù)器接受客戶申請，就好像是從可信任客戶直接發(fā)出的一樣，然后給可信任客戶返回響應(yīng)；

(5)可信任客戶使用這條路徑將包向前傳送給攻擊者的主機。

4.有缺陷的局域網(wǎng)服務(wù)和相互信任的主機主機的安全管理既困難又費時。為了降低管理要求并增強局域網(wǎng)性能，一些站點使用了諸如NIS(NetworkInformationServices，網(wǎng)絡(luò)信息服務(wù))和NFS(NetworkFilesSystem，網(wǎng)絡(luò)文件系統(tǒng))之類的服務(wù)。這些服務(wù)通過允許一些數(shù)據(jù)庫(如口令文件)以分布式方式管理以及允許系統(tǒng)共享文件和數(shù)據(jù)的方式，在很大程度上減輕了過多的管理工作量。但這些服務(wù)帶來了不安全因素，可以被有經(jīng)驗闖入者利用而獲得訪問權(quán)。一些系統(tǒng)(如rlogin)處于方便用戶并加強系統(tǒng)和設(shè)備共享的目的，允許主機們相互“信任”。即一個在多個系統(tǒng)上擁有賬戶的用戶，可以將這些賬戶設(shè)置成相互信任的。這樣就不需要在連入每個系統(tǒng)時都輸入口令。當(dāng)用戶使用rlogin命令連接主機時，目標(biāo)系統(tǒng)將不再詢問口令或賬戶，而且將接受這個連接。這樣做的好處是用戶口令和賬戶不需要在網(wǎng)絡(luò)上傳輸，所以不會被監(jiān)視和竊聽，弊端在于一旦用戶的賬戶被侵入，那么闖入者就可以輕易地使用rlogin命令侵入其他賬戶。

5.復(fù)雜的設(shè)置和控制主機系統(tǒng)的訪問控制配置復(fù)雜且難于驗證，因此偶然的配置錯誤會使闖入者獲取訪問權(quán)。一些主要的UNIX經(jīng)銷商仍然把UNIX配置成具有最大訪問權(quán)的系統(tǒng)，這將導(dǎo)致未經(jīng)許可的訪問。許多網(wǎng)上的安全事故是由于入侵者發(fā)現(xiàn)了設(shè)置中的弱點而造成的。

6.無法估計主機的安全性對主機系統(tǒng)的安全性無法很好地估計，這是因為隨著站點主機數(shù)量的增加，確保每臺主機安全性都處在高水平的能力下降。只用管理一臺系統(tǒng)的能力來管理如此多的系統(tǒng)就容易犯錯誤。另一因素是某些系統(tǒng)管理的作用經(jīng)常變換并行動遲緩，這導(dǎo)致這些系統(tǒng)的安全性比另一些要低，這些系統(tǒng)將成為網(wǎng)絡(luò)中的薄弱環(huán)節(jié)，最終將破壞整個安全鏈。1.1.5網(wǎng)絡(luò)安全技術(shù)的研究和發(fā)展網(wǎng)絡(luò)黑客對計算機網(wǎng)絡(luò)系統(tǒng)的破壞和攻擊方式層出不窮。根據(jù)有關(guān)資料統(tǒng)計，目前已報道過的網(wǎng)絡(luò)黑客攻擊方式就高達(dá)數(shù)千種。網(wǎng)絡(luò)黑客攻擊方式的不斷增加，也就意味著對計算機網(wǎng)絡(luò)系統(tǒng)安全的威脅也不斷增加。從技術(shù)層面來看，目前網(wǎng)絡(luò)安全產(chǎn)品在發(fā)展過程中面臨的主要問題是：以往人們主要關(guān)心系統(tǒng)與網(wǎng)絡(luò)基礎(chǔ)層面的防護問題，而現(xiàn)在更加關(guān)注應(yīng)用層面的安全防護問題，安全防護已經(jīng)從底層或簡單數(shù)據(jù)層面上升到了應(yīng)用層面。這種應(yīng)用防護問題已經(jīng)深入到業(yè)務(wù)行為的相關(guān)性和信息內(nèi)容的語義范疇，越來越多的安全技術(shù)已經(jīng)與應(yīng)用相結(jié)合。

1.現(xiàn)階段網(wǎng)絡(luò)安全技術(shù)的局限性

(1)從用戶角度來看，防火墻不能防范蠕蟲泛濫、垃圾郵件、病毒傳播以及拒絕服務(wù)的侵?jǐn)_。

(2)未經(jīng)大規(guī)模部署的入侵檢測單個產(chǎn)品在提前預(yù)警方面存在先天的不足，且在精確定位和全局管理方面還有很大的空間。

(3)內(nèi)網(wǎng)的安全不僅僅是防病毒的問題，還包括安全策略的執(zhí)行、外來非法侵入、補丁管理及內(nèi)部人員的規(guī)范意識等方面。另外，這三大技術(shù)基本上是針對數(shù)據(jù)、單個系統(tǒng)、軟硬件以及程序本身安全的保障，而應(yīng)用層面的安全，需要將側(cè)重點集中在信息語義范疇的“內(nèi)容”和網(wǎng)絡(luò)虛擬世界的“行為”上。

2.技術(shù)發(fā)展趨勢分析

1)防火墻技術(shù)的發(fā)展趨勢隨著攻擊方式種類的增多，單一功能的防火墻遠(yuǎn)不能滿足業(yè)務(wù)的需要，而具備多種安全功能，基于應(yīng)用協(xié)議層防御、低誤報率檢測、高可靠性能平臺和統(tǒng)一組件化管理的技術(shù)，其優(yōu)勢將得到越來越多的體現(xiàn)，UTM(UnifiedThreatManagement，統(tǒng)一威脅管理)技術(shù)應(yīng)運而生。UTM的功能見圖1-1。圖1-1UTM功能示意圖

2)入侵檢測技術(shù)的發(fā)展趨勢入侵檢測技術(shù)將從簡單的事件報警逐步向趨勢預(yù)測和深入的行為分析方向過渡。IMS(IntrusionManagementSystem，入侵管理系統(tǒng))具有大規(guī)模部署、入侵預(yù)警、精確定位以及監(jiān)管結(jié)合四大典型特征，將逐步成為安全檢測技術(shù)的發(fā)展方向。

IMS體系的一個核心技術(shù)就是對漏洞生命周期和機理的研究，這將是決定IMS能否實現(xiàn)大規(guī)模應(yīng)用的一個前提條件。從理論上說，在配合安全域良好劃分和規(guī)?；渴鸬臈l件下，IMS將可以實現(xiàn)快速的入侵檢測和預(yù)警，進行精確定位和快速響應(yīng)，從而建立起完整的安全監(jiān)管體系，實現(xiàn)更快、更準(zhǔn)、更全面的安全檢測和事件預(yù)防。

3)防病毒技術(shù)發(fā)展趨勢內(nèi)網(wǎng)安全未來的趨勢是SCM(SecurityComplianceManagement，安全合規(guī)性管理)。從被動響應(yīng)到主動合規(guī)、從日志協(xié)議到業(yè)務(wù)行為審計、從單一系統(tǒng)到異構(gòu)平臺、從各自為政到整體運維是SCM的四大特點，精細(xì)化的內(nèi)網(wǎng)管理可以使現(xiàn)有的內(nèi)網(wǎng)安全達(dá)到真正的“可信”。

3.計算機網(wǎng)絡(luò)系統(tǒng)安全性問題的發(fā)展方向

1)網(wǎng)絡(luò)規(guī)范化方面

Internet和全球衛(wèi)星通信系統(tǒng)的應(yīng)用將結(jié)束國家間的數(shù)據(jù)界限，各國政府將放棄規(guī)范化網(wǎng)絡(luò)內(nèi)容的努力。

2)網(wǎng)絡(luò)系統(tǒng)管理和安全管理方面隨著計算機網(wǎng)絡(luò)系統(tǒng)在規(guī)模和重要性方面的不斷增長，系統(tǒng)和網(wǎng)絡(luò)管理技術(shù)的發(fā)展將繼續(xù)深入。由于現(xiàn)行的很多網(wǎng)絡(luò)管理工具缺乏最基本的安全性，使整個網(wǎng)絡(luò)系統(tǒng)將可能被網(wǎng)絡(luò)黑客攻擊和完全破壞。網(wǎng)絡(luò)系統(tǒng)管理和安全管理是同一事物的不同方面，兩者密不可分、相互關(guān)聯(lián)。

3)銀行、金融系統(tǒng)方面由于銀行、金融系統(tǒng)貨幣在形式上越來越電子化，流動越來越快，這導(dǎo)致貨幣在使用方便的同時也更容易被盜竊。隨著大多數(shù)至關(guān)重要的財經(jīng)信息涌上網(wǎng)絡(luò)系統(tǒng)，來自于內(nèi)部的對于系統(tǒng)安全性的威脅將會變得越來越大?，F(xiàn)在銀行、金融系統(tǒng)如果發(fā)生一次計算機網(wǎng)絡(luò)系統(tǒng)安全崩潰事故，將至少會有數(shù)千萬，甚至數(shù)億的金融系統(tǒng)遭到破壞。在銀行、金融系統(tǒng)內(nèi)部，有些缺乏職業(yè)道德的職員利用工作之便，非法進入網(wǎng)絡(luò)系統(tǒng)，進行盜竊和破壞，使得投資者和存款人不得不讓政府來提供保護。這種盜竊和破壞行為必將增加金融、財經(jīng)領(lǐng)域中的計算機網(wǎng)絡(luò)系統(tǒng)現(xiàn)行安全制度的壓力。這種安全制度應(yīng)由政府或由銀行、金融系統(tǒng)的審計員來制定。

4)計算機網(wǎng)絡(luò)系統(tǒng)法律、法規(guī)方面目前，雖然有關(guān)計算機網(wǎng)絡(luò)信息系統(tǒng)的法律、法規(guī)還不是很健全，但已逐步重視打擊利用計算機網(wǎng)絡(luò)信息系統(tǒng)的犯罪活動，逐步建立和制定計算機網(wǎng)絡(luò)信息系統(tǒng)的法律、法規(guī)。對計算機犯罪活動量刑、定罪產(chǎn)生的威懾力可使有犯罪企圖的人產(chǎn)生畏懼心理，從而減少網(wǎng)絡(luò)犯罪的發(fā)生，保持社會的安定。另外，還需要加強倫理道德方面的教育，教育全體計算機工作者進行合法的計算機信息實踐活動。

5)計算機網(wǎng)絡(luò)軟件系統(tǒng)方面世界各國一些開發(fā)計算機網(wǎng)絡(luò)系統(tǒng)軟件的公司將由于產(chǎn)品質(zhì)量或連帶責(zé)任的訴訟而遭受巨大的經(jīng)濟損失。隨著計算機網(wǎng)絡(luò)信息系統(tǒng)法律法規(guī)越來越健全，計算機軟件和網(wǎng)絡(luò)安全現(xiàn)權(quán)法的時代也將到來。計算機軟件生產(chǎn)廠商也應(yīng)對自己生產(chǎn)出的由于安全方面存在漏洞而使其使用者蒙受財產(chǎn)損失的軟件產(chǎn)品負(fù)責(zé)。計算機軟件將主要以Java或ActiveX這樣可供下載的可執(zhí)行程序的方式運作。計算機網(wǎng)絡(luò)安全管理系統(tǒng)的建造者們需要找到如何控制和維護可下載式程序的方法，同時他們也要編制一些必要的工具軟件以防止某些可下載式有害程序的蔓延。這樣的程序主要是病毒和網(wǎng)絡(luò)黑客程序以及其他目前為止仍無法想象出的一些惡意有害程序。一些網(wǎng)絡(luò)黑客利用網(wǎng)絡(luò)軟件開發(fā)人員工作時在某些流行的網(wǎng)絡(luò)化軟件中留下的特洛伊木馬程序，使他們?nèi)蘸笥心芰艉推茐某汕先f的網(wǎng)絡(luò)系統(tǒng)，這樣給計算機網(wǎng)絡(luò)系統(tǒng)的安全構(gòu)成嚴(yán)重的危害。這種現(xiàn)象已經(jīng)發(fā)生過多次，只是我們還沒有給予足夠的重視而已。超文本傳輸協(xié)議HTTP文件格式將被越來越多的信息服務(wù)機構(gòu)作為傳遞消息的方式。Pointcast現(xiàn)在就是按照HTTP格式的反饋要求來分渠道傳送信息的，可以預(yù)見，其他的信息機構(gòu)也將相繼效仿這種方法。計算機網(wǎng)絡(luò)系統(tǒng)防火墻對于將網(wǎng)絡(luò)安全策略應(yīng)用于數(shù)據(jù)流的作用將減低并會逐漸失去其效力。虛擬網(wǎng)絡(luò)系統(tǒng)將與安全性相融合，并很有希望與網(wǎng)絡(luò)管理系統(tǒng)結(jié)合起來。計算機系統(tǒng)軟件和硬件將協(xié)同工作以便將帶有不同類型的目的和特性的網(wǎng)絡(luò)彼此隔離，由此產(chǎn)生的隔離體仍將被稱作“計算機網(wǎng)絡(luò)防火墻”。

6)計算機網(wǎng)絡(luò)系統(tǒng)密碼技術(shù)方面在計算機網(wǎng)絡(luò)系統(tǒng)中，使用密碼技術(shù)不僅可以保證信息的機密性，而且可以保證信息的完整性和確認(rèn)性，防止信息被篡改、偽造或假冒。隨著越來越多的計算機網(wǎng)絡(luò)系統(tǒng)利用密碼技術(shù)，智能卡和數(shù)字認(rèn)證將會變得越來越盛行，最終用戶需要將密碼和驗證碼存放在不至于丟失的地方。所以他們要用智能卡來備份數(shù)據(jù)以防硬盤損壞無法使用，而智能卡將廣泛內(nèi)置于個人數(shù)字助手(PDA)中。1.2實現(xiàn)網(wǎng)絡(luò)安全的策略分析1.2.1計算機網(wǎng)絡(luò)系統(tǒng)安全策略的目標(biāo)計算機網(wǎng)絡(luò)系統(tǒng)是給廣大網(wǎng)絡(luò)用戶提供服務(wù)和收集信息的，網(wǎng)絡(luò)安全策略的目標(biāo)是保護這些資源不被有意或無意地誤用，以及抵御網(wǎng)絡(luò)黑客的威脅和各種計算機網(wǎng)絡(luò)病毒的攻擊。計算機網(wǎng)絡(luò)系統(tǒng)安全策略要考慮以下幾個方面：

(1)可使用性：當(dāng)網(wǎng)絡(luò)用戶需要時，計算機網(wǎng)絡(luò)系統(tǒng)和它所擁有的最重要的信息必須可用。

(2)實用性：計算機網(wǎng)絡(luò)系統(tǒng)和它所保持的信息是服務(wù)于特定目標(biāo)的，它們不僅要可用，而且要具有實用性，實現(xiàn)服務(wù)目標(biāo)時可用。

(3)完整性：計算機網(wǎng)絡(luò)系統(tǒng)和它所保持的信息必須保持完整和可靠。

(4)可靠性：必須有一種方法保證計算機網(wǎng)絡(luò)系統(tǒng)讓所有的網(wǎng)絡(luò)用戶都能可靠地訪問到各種網(wǎng)絡(luò)資源。

(5)保密性：有些網(wǎng)絡(luò)信息可能被認(rèn)為是私有的或保密的，網(wǎng)絡(luò)安全機制必須對這些信息進行恰當(dāng)?shù)匾?guī)定并對它們的訪問進行控制。

(6)所有權(quán)：計算機網(wǎng)絡(luò)系統(tǒng)的所有者必須能控制系統(tǒng)的使用和日常操作。如果系統(tǒng)管理員將網(wǎng)絡(luò)系統(tǒng)的控制權(quán)丟給黑客，所有的網(wǎng)絡(luò)用戶都會受到影響。1.2.2計算機網(wǎng)絡(luò)系統(tǒng)安全策略計算機網(wǎng)絡(luò)系統(tǒng)的安全管理主要是配合行政手段，制定有關(guān)網(wǎng)絡(luò)安全管理的規(guī)章制度，在技術(shù)上實現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全管理，確保網(wǎng)絡(luò)系統(tǒng)安全、可靠地運行。該策略主要涉及以下四個方面。

1.網(wǎng)絡(luò)物理安全策略計算機網(wǎng)絡(luò)系統(tǒng)物理安全策略的目的是保護計算機系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、網(wǎng)絡(luò)用戶終端機、打印機等硬件實體和通信鏈路免受自然災(zāi)害以及人為破壞和攻擊的影響；驗證用戶的身份和使用權(quán)限，防止用戶越權(quán)操作；確保計算機網(wǎng)絡(luò)系統(tǒng)有一個良好的工作環(huán)境；建立完備的安全管理制度，防止非法進入計算機網(wǎng)絡(luò)系統(tǒng)控制室和網(wǎng)絡(luò)黑客的各種破壞活動。

2.網(wǎng)絡(luò)訪問控制策略訪問控制策略是計算機網(wǎng)絡(luò)系統(tǒng)安全防范和保護的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常規(guī)訪問。它也是維護網(wǎng)絡(luò)系統(tǒng)安全、保護網(wǎng)絡(luò)資源的重要手段。各種網(wǎng)絡(luò)安全策略必須相互配合才能真正起到保護作用，所以網(wǎng)絡(luò)訪問控制策略是保證網(wǎng)絡(luò)安全最重要的核心策略之一。網(wǎng)絡(luò)訪問控制策略主要包括入網(wǎng)訪問控制、網(wǎng)絡(luò)的權(quán)限控制、目錄級安全控制、屬性安全控制、網(wǎng)絡(luò)服務(wù)器安全控制、網(wǎng)絡(luò)監(jiān)測和鎖定控制、網(wǎng)絡(luò)端口和節(jié)點的安全控制及網(wǎng)絡(luò)防火墻控制等。

3.網(wǎng)絡(luò)信息加密策略信息加密策略主要是保護計算機網(wǎng)絡(luò)系統(tǒng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息等網(wǎng)絡(luò)資源的安全。信息加密策略通常采用以下三種方法：

(1)網(wǎng)絡(luò)鏈路加密方法：鏈路加密的目的是保護網(wǎng)絡(luò)系統(tǒng)節(jié)點之間的鏈路信息安全。

(2)網(wǎng)絡(luò)端點加密方法：端點加密的目的是保護網(wǎng)絡(luò)源端用戶到目的用戶的數(shù)據(jù)安全。

(3)網(wǎng)絡(luò)節(jié)點加密方法：節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護。網(wǎng)絡(luò)用戶可以根據(jù)網(wǎng)絡(luò)系統(tǒng)的具體情況來選擇上述的一種或幾種加密方法實施信息加密策略。

4.網(wǎng)絡(luò)安全管理策略在計算機網(wǎng)絡(luò)系統(tǒng)安全策略中，不僅需要采取網(wǎng)絡(luò)技術(shù)措施保護網(wǎng)絡(luò)安全，還必須加強網(wǎng)絡(luò)的行政安全管理，制定有關(guān)網(wǎng)絡(luò)使用的規(guī)章制度，這對于確保計算機網(wǎng)絡(luò)系統(tǒng)安全、可靠地運行將會起到十分有效的作用。計算機網(wǎng)絡(luò)系統(tǒng)的安全管理策略包括確定網(wǎng)絡(luò)安全管理等級和安全管理范圍，制定有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機房管理制度，制定網(wǎng)絡(luò)系統(tǒng)的管理維護制度和應(yīng)急措施等等。1.3網(wǎng)絡(luò)安全標(biāo)準(zhǔn)1.3.1美國的《可信計算機系統(tǒng)評估準(zhǔn)則》(TCSEC)計算機系統(tǒng)安全等級評估的問題已為許多國家所注意。德國信息安全機構(gòu)于1989年出版了安全準(zhǔn)則的第一版。英國的貿(mào)易和工業(yè)部門頒發(fā)了一個稱為綠皮書的手冊，用于開發(fā)商業(yè)信息技術(shù)安全產(chǎn)品。法國也出版了安全準(zhǔn)則，稱為藍(lán)—白—紅皮書。美國在20世紀(jì)60年代中期就開始提出計算機安全防護的問題。1983年美國國防部計算機安全保密中心發(fā)表了《可信計算機系統(tǒng)評估準(zhǔn)則》(TCSEC，TrustedComputerSystemEvaluationCriteria)，簡稱橙皮書。1985年12月美國國防部正式采用該準(zhǔn)則，修改后作為美國國防部的標(biāo)準(zhǔn)。該準(zhǔn)則的作用在于提供了一套計算機系統(tǒng)硬件、固件、軟件安全技術(shù)標(biāo)準(zhǔn)和有關(guān)的技術(shù)評估方法。橙皮書為計算機系統(tǒng)的安全級別進行了分級，由低到高分為D、C、B、A級。D級暫時不分子級；C級分為C1和C2兩個子級，C2比C1提供更多的保護；B級分為B1、B2和B3三個子級，由低到高；A級暫時不分子級。每級包括它下級的所有特性。各級的名稱及主要特征參見表1-2。表1-2可信計算機系統(tǒng)評估準(zhǔn)則的安全級別

1.?D級

D級是最低的安全級別，整個計算機系統(tǒng)是不可信任的，硬件和操作系統(tǒng)很容易被侵襲。任何人都可以自由地使用該計算機系統(tǒng)而無須進行驗證，系統(tǒng)不要求用戶進行登記(要求用戶提供用戶名)或使用密碼(要求用戶提供唯一的字符串來進行訪問)。DOS、Windows3.x及Windows95(不在工作組方式中)都屬于D級的計算機操作系統(tǒng)。

2.?C級

C級分為C1和C2兩個子級。

1)?C1級

C1級是選擇性安全防護(discretionarysecurityprotection)系統(tǒng)，要求硬件有一定的安全保護(如硬件有帶鎖裝置，需要鑰匙才能使用計算機)。用戶在使用計算機系統(tǒng)前必須先登錄。另外，作為C1級保護的一部分，允許系統(tǒng)管理員為一些程序或數(shù)據(jù)設(shè)立訪問許可權(quán)限。UNIX系統(tǒng)、Novell3.x或更高版本、WindowsNT都屬于C1級兼容計算機操作系統(tǒng)。C1級防護的不足之處在于用戶直接訪問操作系統(tǒng)的根。C1級不能控制進入系統(tǒng)的用戶的訪問級別，所以用戶可以將系統(tǒng)中的數(shù)據(jù)任意移走。他們可以控制系統(tǒng)配置，獲取比系統(tǒng)管理員允許的更高權(quán)限，比如改變和控制用戶名。

2)?C2級

C2級針對上述C1級的不足之處做了補充，引進了受控訪問環(huán)境(用戶權(quán)限級別)的增強特性。該環(huán)境具有進一步限制用戶執(zhí)行某些命令或訪問某些文件的權(quán)限，而且還加入了身份認(rèn)證級別。另外，系統(tǒng)對發(fā)生的事件加以審計(audit)，并寫入日志當(dāng)中，如什么時候開機，哪個用戶在什么時候從哪兒登錄等等，這樣通過查看日志，就可以發(fā)現(xiàn)入侵的痕跡，如多次登錄失敗，也可以大致推測出可能有人想強行闖入系統(tǒng)。審計除了可以記錄下系統(tǒng)管理員執(zhí)行的活動以外，還加入了身份認(rèn)證級別，這樣就可以知道誰在執(zhí)行這些命令。審計的缺點在于它需要額外的處理器時間和磁盤空間。另一方面，用戶權(quán)限可以以個人為單位授權(quán)對某一程序所在目錄進行訪問。如果其它程序和數(shù)據(jù)也在同一目錄下，那么用戶也將自動得到訪問這些信息的權(quán)限。

3.?B級

B級分為B1、B2和B3三個子級，由低到高。

1)?B1級

B1級指符號安全防護(labelsecurityprotection)，支持多級安全?！胺枴敝妇W(wǎng)上的一個對象，該對象在安全防護計劃中是可識別且受保護的?！岸嗉墶笔侵高@一安全防護安裝在不同級別(如網(wǎng)絡(luò)、應(yīng)用程序和工作站等)，對敏感信息提供更高級的保護，讓每個對象(文件、程序、輸出等)都有一個敏感標(biāo)簽，而每個用戶都有一個許可級別。任何對用戶許可級別和成員分類的更改都受到嚴(yán)格控制。政府機構(gòu)和防御承包商是B1級計算機系統(tǒng)的主要擁有者。

2)?B2級

B2級又稱為結(jié)構(gòu)防護(structuredprotection)，要求計算機系統(tǒng)中的所有對象加標(biāo)簽，而且給設(shè)備(如工作站、終端和磁盤驅(qū)動器)分配安全級別。如允許用戶訪問一臺工作站，但不允許訪問含有職員工資資料的磁盤子系統(tǒng)就屬于B2級的功能。

3)?B3級

B3級又稱為安全域(securitydomain)，要求用戶工作站或終端通過可信任途徑連接網(wǎng)絡(luò)系統(tǒng)，這一級采用硬件來保護安全系統(tǒng)的存儲區(qū)。

4.?A級

A級是橙皮書中規(guī)定的最高安全級，又稱為驗證設(shè)計(veritydesign)，它包括了一個嚴(yán)格的設(shè)計、控制和驗證過程。與前面所提到的各級別一樣，該級別包含了較低級別的所有特性。A級設(shè)計必須是從數(shù)學(xué)角度上經(jīng)過驗證的，而且必須進行秘密通道和可信任分布的分析。可信任分布(trusteddistribution)的含義是硬件和軟件在物理傳輸過程中已經(jīng)受到保護，以防止破壞安全系統(tǒng)。依據(jù)計算機安全的分級，安全漏洞也相應(yīng)地劃分為D、C、B、A四個等級，其對安全的威脅性由小到大。由于每個安全等級的標(biāo)準(zhǔn)不同，所以每個安全等級中出現(xiàn)的漏洞所產(chǎn)生的影響也不同。1.3.2中國國家標(biāo)準(zhǔn)《計算機信息安全保護等級劃分準(zhǔn)則》從2001年1月1日起，中國實施強制性國家標(biāo)準(zhǔn)《計算機信息安全保護等級劃分準(zhǔn)則》。該準(zhǔn)則是建立安全等級保護制度，實施安全等級管理的重要基礎(chǔ)性標(biāo)準(zhǔn)。它將計算機信息系統(tǒng)安全保護等級劃分為五個級別，如表1-3所示。表1-3中國計算機信息安全保護等級主要特征

1.用戶自主保護級本級的安全保護機制使用戶具備自主安全保護能力，保護用戶和用戶組信息，避免其他用戶對數(shù)據(jù)的非法讀寫和破壞。

2.系統(tǒng)審計保護級本級的安全保護機制包含用戶自主保護級的所有安全保護功能，并創(chuàng)建、維護訪問審計跟蹤記錄，以記錄與系統(tǒng)安全相關(guān)事件發(fā)生的日期、時間、用戶和事件類型等信息，使所有用戶對自己行為的合法性負(fù)責(zé)。

3.安全標(biāo)記保護級本級的安全保護機制包含系統(tǒng)審計保護級的所有功能，并為訪問者和訪問對象指定安全標(biāo)記，以訪問對象標(biāo)記的安全級別限制訪問者的訪問權(quán)限，實現(xiàn)對訪問對象的強制保護。

4.結(jié)構(gòu)化保護級本級包含安全標(biāo)記保護的所有安全功能，并將安全保護機制劃分成關(guān)鍵部分和非關(guān)鍵部分相結(jié)合的結(jié)構(gòu)，其中關(guān)鍵部分直接控制訪問者對訪問對象的存取。本級具有相當(dāng)強的抗?jié)B透能力。

5.安全域級保護級本級的安全保護機制包含結(jié)構(gòu)化保護級的所有功能，并特別增設(shè)訪問驗證功能，負(fù)責(zé)仲裁訪問者對訪問對象的所有訪問活動。本級具有極強的抗?jié)B透能力。1.4網(wǎng)絡(luò)安全基本模型1.4.1主體—客體訪問控制模型主體—客體訪問控制模型是網(wǎng)絡(luò)安全領(lǐng)域早期使用的模型。其時，安全人員尚未對網(wǎng)絡(luò)安全的動態(tài)性有足夠的認(rèn)識，人們提出和采用的是以訪問控制技術(shù)為核心的簡單安全模型。隨著人們對安全工作和安全過程認(rèn)識的不斷深入，安全人員意識到：僅僅依靠單點的訪問控制安全防護并不能達(dá)到有效安全保障的效果。目前，在實際網(wǎng)絡(luò)安全體系中，訪問控制模型常常與其他安全模型相結(jié)合，指導(dǎo)安全技術(shù)防護措施的選擇和實施，以建立有效的網(wǎng)絡(luò)安全防護體系。1.4.2P2DR模型

1.?P2DR模型簡介

P2DR模型是最先發(fā)展起來的一個動態(tài)安全模型。根據(jù)P2DR模型，完整的網(wǎng)絡(luò)安全體系應(yīng)當(dāng)包括四個重要環(huán)節(jié)：Policy(安全策略)、Protection(保護)、Detection(檢測)和Response(響應(yīng))。保護、檢測和響應(yīng)組成了一個完整的、動態(tài)的安全循環(huán)，在核心安全策略的指導(dǎo)下保證網(wǎng)絡(luò)系統(tǒng)的安全，如圖1-2所示。圖1-2P2DR模型組成環(huán)節(jié)圖

2.?P2DR安全模型描述

1)安全策略安全策略是P2DR安全模型的核心，所有的防護、檢測、響應(yīng)都是依據(jù)安全策略實施的，安全策略為安全管理提供管理方向和支持手段。策略體系的建立包括安全策略的制訂、評估、執(zhí)行等。制訂可行的安全策略取決于對網(wǎng)絡(luò)信息系統(tǒng)的了解程度。安全策略一般不做出具體的措施規(guī)定，也不確切說明通過何種方式才能達(dá)到預(yù)期的結(jié)果，但是應(yīng)該向系統(tǒng)安全實施者們指出在當(dāng)前的前提下，什么因素和風(fēng)險才是最重要的。

2)保護保護就是采用一切手段保護信息系統(tǒng)的保密性、完整性、可用性、可控性和不可否認(rèn)性。保護通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術(shù)及方法來實現(xiàn)的，主要有防火墻、加密、認(rèn)證等方法。比如，通過防火墻監(jiān)視和限制進出網(wǎng)絡(luò)的數(shù)據(jù)包，以防范外對內(nèi)及內(nèi)對外的非法訪問，提高了網(wǎng)絡(luò)的防護能力；也可以利用SecureID這種一次性口令的方法來增加系統(tǒng)的安全性等。保護主要包括系統(tǒng)安全保護、網(wǎng)絡(luò)安全保護和信息安全保護三個方面。

3)檢測檢測是動態(tài)響應(yīng)和加強防護的依據(jù)，是強制落實安全策略的工具，通過不斷地檢測和監(jiān)控網(wǎng)絡(luò)及系統(tǒng)，來發(fā)現(xiàn)新的威脅和弱點，通過循環(huán)反饋來及時做出有效的響應(yīng)。網(wǎng)絡(luò)的安全風(fēng)險是實時存在的，檢測的對象主要針對系統(tǒng)自身的脆弱性及外部威脅，利用檢測工具了解和評估系統(tǒng)的安全狀態(tài)。

4)響應(yīng)響應(yīng)就是在檢測到安全漏洞或一個攻擊(入侵)事件之后，及時采取有效的處理措施，避免危害進一步擴大，目的是把系統(tǒng)調(diào)整到安全狀態(tài)，或使系統(tǒng)提供正常的服務(wù)。通過建立響應(yīng)機制和緊急響應(yīng)方案，能夠提高快速響應(yīng)的能力。緊急響應(yīng)在安全系統(tǒng)中占有最重要的地位，是解決安全潛在性最有效的辦法。從某種意義上講，安全問題就是要解決緊急響應(yīng)和異常處理問題。要解決好緊急響應(yīng)問題，就要制訂好緊急響應(yīng)的方案，做好緊急響應(yīng)方案中的一切準(zhǔn)備工作。1.4.3APPDRR模型網(wǎng)絡(luò)安全的動態(tài)特性在P2DR模型中得到了一定程度的體現(xiàn)，其中主要是通過入侵的檢測和響應(yīng)完成網(wǎng)絡(luò)安全的動態(tài)防護。但P2DR模型不能描述網(wǎng)絡(luò)安全的動態(tài)螺旋上升過程。為了使P2DR模型能夠貼切地描述網(wǎng)絡(luò)安全的本質(zhì)規(guī)律，人們對P2DR模型進行了修正和補充，在此基礎(chǔ)上提出了APPDRR模型。APPDRR模型認(rèn)為網(wǎng)絡(luò)安全由風(fēng)險評估(Assessment)、安全策略(Policy)、系統(tǒng)防護(Protection)、動態(tài)檢測(Detection)、實時響應(yīng)(Reaction)和災(zāi)難恢復(fù)(Restoration)六部分完成。根據(jù)APPDRR模型，網(wǎng)絡(luò)安全的第一個重要環(huán)節(jié)是風(fēng)險評估，通過風(fēng)險評估，掌握網(wǎng)絡(luò)安全面臨的風(fēng)險信息，進而采取必要的處置措施，使信息組織的網(wǎng)絡(luò)安全水平呈現(xiàn)動態(tài)螺旋上升的趨勢。網(wǎng)絡(luò)安全策略是APPDRR模型的第二個重要環(huán)節(jié)，起著承上啟下的作用：一方面，安全策略應(yīng)當(dāng)隨著風(fēng)險評估的結(jié)果和安全需求的變化做相應(yīng)的更新；另一方面，安全策略在整個網(wǎng)絡(luò)安全工作中處于原則性的指導(dǎo)地位，其后的檢測、響應(yīng)諸環(huán)節(jié)都應(yīng)在安全策略的基礎(chǔ)上展開。系統(tǒng)防護是安全模型中的第三個環(huán)節(jié)，體現(xiàn)了網(wǎng)絡(luò)安全的靜態(tài)防護措施。接下來是動態(tài)檢測、實時響應(yīng)、災(zāi)難恢復(fù)三個環(huán)節(jié)，體現(xiàn)了安全動態(tài)防護和安全入侵、安全威脅“短兵相接”的對抗性特征。

APPDRR模型還隱含了網(wǎng)絡(luò)安全的相對性和動態(tài)螺旋上升的過程，即不存在百分之百的靜態(tài)的網(wǎng)絡(luò)安全，網(wǎng)絡(luò)安全表現(xiàn)為一個不斷改進的過程。通過風(fēng)險評估、安全策略、系統(tǒng)防護、動態(tài)檢測、實時響應(yīng)和災(zāi)難恢復(fù)六個環(huán)節(jié)的循環(huán)流動，網(wǎng)絡(luò)安全逐漸得以完善和提高，從而實現(xiàn)保護網(wǎng)絡(luò)資源的網(wǎng)絡(luò)安全目標(biāo)。1.4.4PADIMEE模型

P2DR安全模型和APPDRR安全模型都是偏重于理論研究的描述型安全模型。在實際應(yīng)用中，安全人員往往需要的是偏重于安全生命周期和工程實施的工程安全模型，從而能夠給予網(wǎng)絡(luò)安全工作以直接的指導(dǎo)。PADIMEE模型是較為常用的一個工程安全模型，如圖1-3所示。圖1-3PADIMEE網(wǎng)絡(luò)安全模型

PADIMEE模型包含以下幾個主要部分：Policy(安全策略)、Assessment(安全評估)、Design(設(shè)計/方案)、Implementation(實施/實現(xiàn))、Management/Monitor(管理/監(jiān)控)、EmergencyResponse(緊急響應(yīng))和Education(安全教育)。根據(jù)PADIMEE模型，網(wǎng)絡(luò)安全需求主要在以下幾個方面得以體現(xiàn)：

(1)制訂網(wǎng)絡(luò)安全策略反映了組織的總體網(wǎng)絡(luò)安全需求。

(2)通過網(wǎng)絡(luò)安全評估，提出網(wǎng)絡(luò)安全需求，從而更加合理、有效地組織網(wǎng)絡(luò)安全工作。

(3)在新系統(tǒng)、新項目的設(shè)計和實現(xiàn)中，應(yīng)充分分析可能的網(wǎng)絡(luò)安全需求，并采取相應(yīng)措施。

(4)管理/監(jiān)控也是網(wǎng)絡(luò)安全實現(xiàn)的重要環(huán)節(jié)，其中既包括了P2DR安全模型和APPDRR安全模型中的動態(tài)檢測內(nèi)容，也涵蓋了安全管理的要素。通過管理/監(jiān)控環(huán)節(jié)，并輔以必要的靜態(tài)安全防護措施，可以滿足特定的網(wǎng)絡(luò)安全需求，從而使既定的網(wǎng)絡(luò)安全目標(biāo)得以實現(xiàn)。

(5)緊急響應(yīng)是網(wǎng)絡(luò)安全的最后一道防線。由于網(wǎng)絡(luò)安全的相對性，采取的所有安全措施實際上都是將安全工作的收益(以可能導(dǎo)致的損失來計量)和采取安全措施的成本相配比后進行選擇、決策的結(jié)果?；谶@樣的考慮，在網(wǎng)絡(luò)安全工程實現(xiàn)模型中設(shè)置一道這樣的最后防線有著極為重要的意義。通過合理地選擇緊急響應(yīng)措施，可以做到以最小的代價換取最大的收益，從而減弱乃至消除安全事件的不利影響，有助于實現(xiàn)信息組織的網(wǎng)絡(luò)安全目標(biāo)。1.5網(wǎng)絡(luò)安全體系結(jié)構(gòu)1.5.1網(wǎng)絡(luò)安全防范體系結(jié)構(gòu)框架為了能夠有效了解用戶的安全需求，選擇合適的安全產(chǎn)品和策略，有必要建立一些系統(tǒng)的方法來進行網(wǎng)絡(luò)安全防范。網(wǎng)絡(luò)安全防范體系的科學(xué)性、可行性是其可順利實施的保障。圖1-4給出了基于DISSP擴展的一個三維安全防范技術(shù)體系框架結(jié)構(gòu)：第一維是安全服務(wù)，給出了八種安全屬性(ITU-TREC-X.800-199103-I)；第二維是系統(tǒng)單元，給出了信息網(wǎng)絡(luò)系統(tǒng)的組成；第三維是協(xié)議層次，給出并擴展了國際標(biāo)準(zhǔn)化組織ISO的開放系統(tǒng)互聯(lián)(OSI)模型。圖1-4網(wǎng)絡(luò)安全防范體系結(jié)構(gòu)框架結(jié)構(gòu)中的每一個系統(tǒng)單元都對應(yīng)于某一個協(xié)議層次，需要采取若干種安全服務(wù)才能保證該系統(tǒng)單元的安全。網(wǎng)絡(luò)平臺需要有網(wǎng)絡(luò)節(jié)點之間的認(rèn)證、訪問控制，應(yīng)用平臺需要有針對用戶的認(rèn)證、訪問控制，需要保證數(shù)據(jù)傳輸?shù)耐暾浴⒈Ｃ苄?，需要有抗抵賴和審計的功能，需要保證應(yīng)用系統(tǒng)的可用性和可靠性。針對一個信息網(wǎng)絡(luò)系統(tǒng)，如果在各個系統(tǒng)單元都有相應(yīng)的安全措施來滿足其安全需求，則可以認(rèn)為該信息網(wǎng)絡(luò)是安全的。1.5.2網(wǎng)絡(luò)安全防范體系層次

作為全方位的、整體的網(wǎng)絡(luò)安全防范體系也是分層次的，不同層次反映了不同的安全問題，根據(jù)網(wǎng)絡(luò)的應(yīng)用現(xiàn)狀和網(wǎng)絡(luò)的結(jié)構(gòu)，我們將安全防范體系的層次(見圖1-5)劃分為物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全、應(yīng)用層安全和安全管理。圖1-5網(wǎng)絡(luò)安全防范體系層次

1.物理環(huán)境的安全性(物理層安全)該層次的安全包括通信線路的安全、物理設(shè)備的安全、機房的安全等。物理層的安全主要體現(xiàn)在通信線路的可靠性(線路備份、網(wǎng)管軟件、傳輸介質(zhì))，軟硬件設(shè)備安全性(替換設(shè)備、拆卸設(shè)備、增加設(shè)備)，設(shè)備的備份，防災(zāi)害能力、防干擾能力，設(shè)備的運行環(huán)境(溫度、濕度、煙塵)，不間斷電源保障，等等。

2.操作系統(tǒng)的安全性(系統(tǒng)層安全)該層次的安全問題來自網(wǎng)絡(luò)內(nèi)使用的操作系統(tǒng)的安全，如WindowsNT、Windows2000等，主要表現(xiàn)在以下三方面：

(1)操作系統(tǒng)本身的缺陷帶來的不安全因素，主要包括身份認(rèn)證、訪問控制、系統(tǒng)漏洞等；

(2)操作系統(tǒng)的安全配置問題；

(3)病毒對操作系統(tǒng)的威脅。

3.網(wǎng)絡(luò)的安全性(網(wǎng)絡(luò)層安全)該層次的安全問題主要體現(xiàn)在網(wǎng)絡(luò)方面的安全性，包括網(wǎng)絡(luò)層身份認(rèn)證、網(wǎng)絡(luò)資源的訪問控制、數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性、遠(yuǎn)程接入的安全、域名系統(tǒng)的安全、路由系統(tǒng)的安全、入侵檢測的手段、網(wǎng)絡(luò)設(shè)施防病毒等。

4.應(yīng)用的安全性(應(yīng)用層安全)該層次的安全問題主要由提供服務(wù)所采用的應(yīng)用軟件和數(shù)據(jù)的安全性產(chǎn)生，包括Web服務(wù)、電子郵件系統(tǒng)、DNS等。此外，還包括病毒對系統(tǒng)的威脅。

5.管理的安全性(管理層安全)安全管理包括安全技術(shù)和設(shè)備的管理、安全管理制度、部門與人員的組織規(guī)則等。管理的制度化極大程度地影響著整個網(wǎng)絡(luò)的安全，嚴(yán)格的安全管理制度、明確的部門安全職責(zé)劃分、合理的人員角色配置可以在很大程度上降低其它層次的安全漏洞。1.5.3網(wǎng)絡(luò)安全防范體系設(shè)計準(zhǔn)則根據(jù)防范安全攻擊的安全需求、需要達(dá)到的安全目標(biāo)、對應(yīng)安全機制所需的安全服務(wù)等因素，參照SSE-CMM(系統(tǒng)安全工程能力成熟模型)和ISO17799(信息安全管理標(biāo)準(zhǔn))等，綜合考慮可實施性、可管理性、可擴展性、綜合完備性、系統(tǒng)均衡性等方面，網(wǎng)絡(luò)安全防范體系在整體設(shè)計過程中應(yīng)遵循以下9項原則：

1.網(wǎng)絡(luò)信息安全的木桶原則網(wǎng)絡(luò)信息安全的木桶原則是指對信息均衡、全面地進行保護，“木桶的最大容積取決于最短的一塊木板”。網(wǎng)絡(luò)信息系統(tǒng)是一個復(fù)雜的計算機系統(tǒng)，它本身在物理上、操作上和管理上的種種漏洞造成了系統(tǒng)安全的脆弱性，尤其是多用戶網(wǎng)絡(luò)系統(tǒng)自身的復(fù)雜性、資源共享性使單純的技術(shù)保護防不勝防。攻擊者使用的“最易滲透原則”，必然在系統(tǒng)中最薄弱的地方進行攻擊。因此，充分、全面、完整地對系統(tǒng)的安全漏洞和安全威脅進行分析、評估和檢測(包括模擬攻擊)，是設(shè)計信息安全系統(tǒng)的必要前提條件。安全機制和安全服務(wù)設(shè)計的首要目的是防止最常用的攻擊手段，根本目的是提高整個系統(tǒng)“安全最低點”的安全性能。

2.網(wǎng)絡(luò)信息安全的整體性原則要求在網(wǎng)絡(luò)發(fā)生被攻擊、破壞事件的情況下，盡可能地快速恢復(fù)網(wǎng)絡(luò)信息中心的服務(wù)，減少損失。因此，信息安全系統(tǒng)應(yīng)該包括安全防護機制、安全檢測機制和安全恢復(fù)機制。安全防護機制是根據(jù)具體系統(tǒng)存在的各種安全威脅采取的相應(yīng)的防護措施，避免非法攻擊的進行；安全檢測機制是檢測系統(tǒng)的運行情況，及時發(fā)現(xiàn)和制止對系統(tǒng)進行的各種攻擊；安全恢復(fù)機制是在安全防護機制失效的情況下，進行應(yīng)急處理和盡量、及時地恢復(fù)信息，減少供給的破壞程度。

3.安全性評價與平衡原則對任何網(wǎng)絡(luò)，絕對安全難以達(dá)到，也不一定是必要的，所以需要建立合理的實用安全性與用戶需求評價與平衡體系。安全體系設(shè)計要正確處理需求、風(fēng)險與代價的關(guān)系，做到安全性與可用性相容，做到組織上可執(zhí)行。評價信息是否安全，沒有絕對的評判標(biāo)準(zhǔn)和衡量指標(biāo)，只能決定于系統(tǒng)的用戶需求和具體的應(yīng)用環(huán)境，具體取決于系統(tǒng)的規(guī)模和范圍，系統(tǒng)的性質(zhì)和信息的重要程度。

4.標(biāo)準(zhǔn)化與一致性原則系統(tǒng)是一個龐大的系統(tǒng)工程，其安全體系的設(shè)計必須遵循一系列的標(biāo)準(zhǔn)，這樣才能確保各個分系統(tǒng)的一致性，使整個系統(tǒng)安全地互聯(lián)互通、信息共享。

5.技術(shù)與管理相結(jié)合原則安全體系是一個復(fù)雜的系統(tǒng)工程，涉及人、技術(shù)、操作等要素，單靠技術(shù)或單靠管理都不可能實現(xiàn)。因此，必須將各種安全技術(shù)與運行管理機制、人員思想教育和技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)等相結(jié)合。

6.統(tǒng)籌規(guī)劃，分步實施原則由于政策規(guī)定、服務(wù)需求的不明朗，環(huán)境、條件、時間的變化，攻擊手段的進步，安全防護不可能一步到位，因此可在一個比較全面的安全規(guī)劃下，根據(jù)網(wǎng)絡(luò)的實際需要，先建立基本的安全體系，保證基本的、必須的安全性。隨著今后網(wǎng)絡(luò)規(guī)模的擴大及應(yīng)用的增加，網(wǎng)絡(luò)應(yīng)用和復(fù)雜程度的變化，網(wǎng)絡(luò)脆弱性也會不斷增加，此時再調(diào)整或增強安全防護力度，保證整個網(wǎng)絡(luò)最根本的安全需求。

7.等級性原則等級性原則是指安全層次和安全級別。良好的信息安全系統(tǒng)必然是分為不同等級的，包括對信息保密程度分級，對用戶操作權(quán)限分級，對網(wǎng)絡(luò)安全程度分級(安全子網(wǎng)和安全區(qū)域)，對系統(tǒng)實現(xiàn)結(jié)構(gòu)的分級(應(yīng)用層、網(wǎng)絡(luò)層、鏈路層等)，從而針對不同級別的安全對象，提供全面、可選的安全算法和安全體制，以滿足網(wǎng)絡(luò)中不同層次的各種實際需求。

8.動態(tài)發(fā)展原則要根據(jù)網(wǎng)絡(luò)安全的變化不斷調(diào)整安全措施，適應(yīng)新的網(wǎng)絡(luò)環(huán)境，滿足新的網(wǎng)絡(luò)安全需求。

9.易操作性原則首先，安全措施需要人為去完成，如果措施過于復(fù)雜，對人的要求過高，本身就降低了安全性。其次，措施的采用不能影響系統(tǒng)的正常運行。1.6網(wǎng)絡(luò)安全機制與技術(shù)1.6.1常用的網(wǎng)絡(luò)安全技術(shù)在計算機網(wǎng)絡(luò)上的通信總的來說面臨以下四種威脅：截獲、中斷、篡改、偽造。這四種威脅可劃分為兩大類：主動攻擊和被動攻擊，其中截獲屬于被動攻擊；而中斷、篡改和偽造屬于主動攻擊。網(wǎng)絡(luò)安全技術(shù)可根據(jù)入侵者對系統(tǒng)網(wǎng)絡(luò)采取主動攻擊和被動攻擊的方式分為主動防御技術(shù)和被動防御技術(shù)。

1.主動防御技術(shù)主動防御技術(shù)一般有數(shù)據(jù)加密、身份驗證、存取控制、授權(quán)和虛擬網(wǎng)絡(luò)等技術(shù)。

(1)數(shù)據(jù)加密：密碼技術(shù)是解決網(wǎng)絡(luò)安全問題的最好途徑。目前對數(shù)據(jù)最為有效的保護手段就是加密。

(2)身份驗證：這是一致性驗證的一種。驗證是建立一致性證明的一種手段。身份驗證包括驗證依據(jù)、驗證系統(tǒng)和安全要求。

(3)存取控制：規(guī)定何種主體對何種客體具有何種操作權(quán)力，是內(nèi)部網(wǎng)絡(luò)安全理論的重要方面，主要包括人員限制、數(shù)據(jù)標(biāo)識、權(quán)限控制、控制類型和風(fēng)險分析等。

(4)授權(quán)：用戶需要控制哪些資源，他們能夠?qū)Y源進行何種操作。

(5)虛擬網(wǎng)絡(luò)技術(shù)：使用VPN(虛擬專用網(wǎng))或VLAN(虛擬局域網(wǎng)絡(luò))技術(shù)。通過物理網(wǎng)絡(luò)的劃分，控制網(wǎng)絡(luò)流量的流向，使其不流向非法用戶，以達(dá)到防范目的。

2.被動防御技術(shù)被動防御技術(shù)目前有防火墻技術(shù)、安全掃描器、密碼檢查器、記賬服務(wù)、路由過濾、物理及管理安全等技術(shù)。

(1)防火墻技術(shù)：防火墻是內(nèi)部網(wǎng)與Internet之間實施安全防范的系統(tǒng)，可被認(rèn)為是一種訪問控制機制，用于確定哪些內(nèi)部服務(wù)允許外部訪問，以及哪些外部服務(wù)允許內(nèi)部訪問。

(2)安全掃描器：自動檢測遠(yuǎn)程或本地主機安全性弱點的程序，用于觀察網(wǎng)絡(luò)是否在正常工作，收集主機的信息。

(3)密碼檢查器：通過口令驗證程序檢查薄弱的口令。

(4)記賬服務(wù)：在系統(tǒng)中保留一個日志文件，與安全相關(guān)的事件可以記錄在日志文件中，以便事后調(diào)查和分析，追查有關(guān)責(zé)任者，發(fā)現(xiàn)系統(tǒng)安全的弱點和入侵點。

(5)路由過濾：路由器中的過濾器對所接收的每一個數(shù)據(jù)包根據(jù)包過濾規(guī)則做出允許或拒絕的決定。

(6)物理及管理安全：通過制定規(guī)章制度和條例，減少人為因素的影響。1.6.2數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù)是最基本的網(wǎng)絡(luò)安全技術(shù)，被譽為信息安全的核心，最初主要用于保證數(shù)據(jù)在存儲和傳輸過程中的保密性。它通過變換和置換等各種方法將被保護信息置換成密文，然后再進行信息的存儲或傳輸，即使加密信息在存儲或者傳輸過程中為非授權(quán)人員所獲得，也可以保證這些信息不為其認(rèn)知，從而達(dá)到保護信息的目的。該方法的保密性直接取決于所采用的密碼算法和密鑰長度。1.6.3數(shù)字簽名數(shù)字簽名在ISO7498-2標(biāo)準(zhǔn)中定義為：“附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對數(shù)據(jù)單元所作的密碼變換，這種數(shù)據(jù)和變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元來源和數(shù)據(jù)單元的完整性，并保護數(shù)據(jù)，防止被人(例如接收者)進行偽造?！泵绹娮雍灻麡?biāo)準(zhǔn)(DSS，F(xiàn)IPS186-2)對數(shù)字簽名做了如下解釋：“利用一套規(guī)則和一個參數(shù)對數(shù)據(jù)計算所得的結(jié)果，用此結(jié)果能夠確認(rèn)簽名者的身份和數(shù)據(jù)的完整性?！蓖ㄋ椎刂v，數(shù)字簽名就是通過某種密碼運算生成一系列符號及代碼，組成電子密碼進行簽名，來代替書寫簽名或印章，對于這種電子式的簽名還可進行技術(shù)驗證，其驗證的準(zhǔn)確度是一般手工簽名和圖章的驗證無法比擬的。1.6.4訪問控制技術(shù)訪問控制是指對網(wǎng)絡(luò)中的某些資源的訪問要進行控制，只有被授予特權(quán)的用戶，才有資格并有可能去訪問有關(guān)的數(shù)據(jù)或程序。例如，數(shù)據(jù)庫中保存了一些機密資料，只有少數(shù)被授權(quán)的人員掌握其保密級和口令，而且可能要通過幾級口令，才能取出這些資料。為了保護數(shù)據(jù)的安全性，可限定一些數(shù)據(jù)資源的讀寫范圍。例如，有的只能讀不能寫，或規(guī)定只有少數(shù)用戶可對其進行修改或?qū)懭胄碌膬?nèi)容。然而，這些方法對于一些機密程度高的信息和資料仍不是非常安全。實際上，對于資源的訪問控制，迄今為止，仍沒有一個十分有效的保密方法。有些原理上可行，但技術(shù)上難以實現(xiàn)，例如分析指紋或字體。故通常的辦法是經(jīng)常變換口令，以減少泄密的機會，同時在內(nèi)部網(wǎng)絡(luò)與Internet連接之處安裝防火墻。訪問控制業(yè)務(wù)的目標(biāo)是防止對任何資源的非法訪問。所謂非法訪問，是指未經(jīng)授權(quán)的使用、泄露、銷毀以及發(fā)布等。訪問控制是系統(tǒng)保密性、完整性、可用性和合法使用性的基礎(chǔ)。訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。它也是維護網(wǎng)絡(luò)系統(tǒng)安全、保護網(wǎng)絡(luò)資源的重要手段。訪問控制策略主要有以下幾種：

1.入網(wǎng)訪問控制

入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時間和登錄入網(wǎng)的工作站。用戶的入網(wǎng)訪問控制可分為用戶名和口令的識別與驗證以及用戶賬號的默認(rèn)限制檢查。只要其中的任何一個步驟未通過，該用戶便不能進入該網(wǎng)絡(luò)。

(1)對網(wǎng)絡(luò)用戶的用戶名和口令進行驗證。這是防止非法訪問的第一道防線。用戶注冊時首先輸入用戶名和口令，服務(wù)器將驗證所輸入的用戶名是否合法。如果驗證合法，才繼續(xù)驗證用戶輸入的口令，否則，用戶將被拒于網(wǎng)絡(luò)之外。用戶的口令是用戶入網(wǎng)的關(guān)鍵所在，口令的設(shè)置應(yīng)符合復(fù)雜性要求，而且必須經(jīng)過加密，用戶口令應(yīng)是每個用戶訪問網(wǎng)絡(luò)所必須提交的“證件”，用戶可以修改自己的口令，但系統(tǒng)管理員應(yīng)該可以控制口令的以下幾個方面的限制：最小口令長度、強制修改口令的時間間隔、口令的惟一性、口令過期失效后允許入網(wǎng)的寬限次數(shù)等。

(2)用戶名和口令驗證有效之后，再進一步履行用戶賬號的默認(rèn)限制檢查。網(wǎng)絡(luò)應(yīng)能控制用戶登錄入網(wǎng)的站點、限制用戶入網(wǎng)的時間、限制用戶入網(wǎng)的工作站數(shù)量等。當(dāng)用戶對交費網(wǎng)絡(luò)的訪問“資費”用盡時，網(wǎng)絡(luò)還應(yīng)能對用戶的賬號加以限制，用戶此時應(yīng)無法進入網(wǎng)絡(luò)訪問網(wǎng)絡(luò)資源。網(wǎng)絡(luò)應(yīng)對所有用戶的訪問進行審計。如果多次輸入口令不正確，則認(rèn)為是非法用戶的入侵，應(yīng)給出報警信息。

2.網(wǎng)絡(luò)的權(quán)限控制網(wǎng)絡(luò)的權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源?？梢灾付ㄓ脩魧@些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。受托者指派和繼承權(quán)限屏蔽(IRM)可作為網(wǎng)絡(luò)權(quán)限控制的兩種實現(xiàn)方式。受托者指派控制用戶和用戶組如何使用網(wǎng)絡(luò)服務(wù)器的目錄、文件和設(shè)備；繼承權(quán)限屏蔽相當(dāng)于一個過濾器，可以限制子目錄從父目錄那里繼承哪些權(quán)限?？梢愿鶕?jù)訪問權(quán)限將用戶分為以下幾類：

(1)特殊用戶(即系統(tǒng)管理員)；

(2)一般用戶，系統(tǒng)管理員根據(jù)他們的實際需要為他們分配操作權(quán)限；

(3)審計用戶，負(fù)責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計。用戶對網(wǎng)絡(luò)資源的訪問權(quán)限可以用一個訪問控制表來描述。

3.目錄級安全控制網(wǎng)絡(luò)應(yīng)允許控制用戶對目錄、文件、設(shè)備的訪問。用戶在目錄一級指定的權(quán)限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權(quán)限。如在NovellNetware網(wǎng)絡(luò)系統(tǒng)中對目錄和文件的訪問權(quán)限一般有8種：系統(tǒng)管理員權(quán)限(Supervisor)、讀權(quán)限(Read)、寫權(quán)限(Write)、創(chuàng)建權(quán)限(Create)、刪除權(quán)限(Erase)、修改權(quán)限(Modify)、文件查找權(quán)限(FileScan)、存取控制權(quán)限(AccessControl)。用戶對文件或目標(biāo)的有效權(quán)限取決于以下因素：用戶的受托者指派、用戶所在組的受托者指派、繼承權(quán)限屏蔽取消的用戶權(quán)限。一個網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)當(dāng)為用戶指定適當(dāng)?shù)脑L問權(quán)限，這些訪問權(quán)限控制著用戶對服務(wù)器的訪問。8種訪問權(quán)限的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對服務(wù)器資源的訪問，從而加強了網(wǎng)絡(luò)和服務(wù)器的安全性。

4.屬性安全控制當(dāng)用文件、目錄和網(wǎng)絡(luò)設(shè)備時，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來。屬性安全在權(quán)限安全的基礎(chǔ)上提供更進一步的安全性。網(wǎng)絡(luò)上的資源都應(yīng)預(yù)先標(biāo)出一組安全屬性。用戶對網(wǎng)絡(luò)資源的訪問權(quán)限對應(yīng)一張訪問控制表，用以表明用戶對網(wǎng)絡(luò)資源的訪問能力。屬性設(shè)置可以覆蓋已經(jīng)指定的任何受托者指派和有效權(quán)限。屬性往往能控制以下幾個方面的權(quán)限：向某個文件寫數(shù)據(jù)、拷貝一個文件、刪除目錄或文件、查看目錄