网络安全概论(12页).doc

第一部分 计算机网络安全基础第一章 网络安全概论1.1 什么是网络安全1、网络安全概述随着计算机技术的迅速发展，在计算机上处理的业务也由基于单机的数学运算、文件处理，基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网（Intranet）、企业外部网（Extranet）、全球互连网（Internet）的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时，系统的连接能力也在不断的提高。但在连接能力、流通能力提高的同时，基于网络连接的安全问题也日益突出，整体的网络安全主要表现在以下几个方面：网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。因此计算机安全问题，应该象每家每户的防火防盗问题一样，做到防范于未然。甚至不会想到你自己也会成为目标的时候，威胁就已经出现了，一旦发生，常常措手不及，造成极大的损失。2、物理安全分析网络的物理安全是整个网络系统安全的前提。在校园网工程建设中，由于网络系统属于弱电工程，耐压值很低。因此，在网络工程的设计和施工中，必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害；考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离；考虑布线系统和绝缘线、裸体线以及接地与焊接的安全；必须建设防雷系统，防雷系统不仅考虑建筑物防雷，还必须考虑计算机及其他弱电耐压设备的防雷。总体来说物理安全的风险主要有，地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获；高可用性的硬件；双机多冗余的设计；机房环境及报警系统、安全意识等，因此要尽量避免网络的物理安全风险。3、网络结构的安全分析网络拓扑结构设计也直接影响到网络系统的安全性。假如在外部和内部网络进行通信时，内部网络的机器安全就会受到威胁，同时也影响在同一网络上的许多其他系统。透过网络传播，还会影响到连上Internet/Intranet的其他的网络；影响所及，还可能涉及法律、金融等安全敏感领域。因此，我们在设计时有必要将公开服务器（WEB、DNS、EMAIL等）和外网及内部其它业务网络进行必要的隔离，避免网络结构信息外泄；同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其它的请求服务在到达主机之前就应该遭到拒绝。4、系统的安全分析所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。目前恐怕没有绝对安全的操作系统可以选择，无论是Microsoft 的Windows NT/2000 server/server 2003或者其它任何商用UNIX操作系统，其开发厂商必然有其Back-Door。因此，我们可以得出如下结论：没有完全安全的操作系统。不同的用户应从不同的方面对其网络作详尽的分析，选择安全性尽可能高的操作系统。因此不但要选用尽可能可靠的操作系统和硬件平台，并对操作系统进行安全配置。而且，必须加强登录过程的认证（特别是在到达服务器主机之前的认证），确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。 5、应用系统的安全分析应用系统的安全跟具体的应用有关，它涉及面广。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性，它包括很多方面。（1） 应用系统的安全是动态的、不断变化的。应用的安全涉及方面很多，以目前Internet上应用最为广泛的E-mail系统来说，其解决方案有send mail、Netscape Messaging Server、Software.Com Post.Office、Lotus Notes、Exchange Server、SUN CIMS等不下二十多种。其安全手段涉及LDAP、DES、RSA等各种方式。应用系统是不断发展且应用类型是不断增加的。在应用系统的安全性上，主要考虑尽可能建立安全的系统平台，而且通过专业的安全工具不断发现漏洞，修补漏洞，提高系统的安全性。（2） 应用的安全性涉及到信息、数据的安全性。信息的安全性涉及到机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。在某些网络系统中，涉及到很多机密信息，如果一些重要信息遭到窃取或破坏，它的经济、社会影响和政治影响将是很严重的。因此，对用户使用计算机必须进行身份认证，对于重要信息的通讯必须授权，传输必须加密。采用多层次的访问控制与权限控制手段，实现对数据的安全保护；采用加密技术，保证网上传输的信息（包括管理员口令与账户、上传信息等）的机密性与完整性。6、管理的安全风险分析管理是网络中安全最最重要的部分。责权不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的做法是制定健全的管理制度和严格管理相结合。保障网络的安全运行，使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。一旦上述的安全隐患成为事实，所造成的对整个网络的损失都是难以估计的。因此，网络的安全建设是校园网建设过程中重要的一环。1.2 网络安全威胁呈现新的特点不论国内还是国外,网络安全不断恶化的趋势没有得到有效的遏制，带给全球经济社会发展的负面影响越来越大。 我国发布的2005年网络安全报告显示，2005年网络威胁呈现多样化的特征。除传统的病毒、垃圾邮件外，危害更大的间谍软件、广告软件、网络钓鱼等纷纷加入到互联网安全破坏者的行列，成为威胁计算机网络安全的帮凶。尤其是间谍软件，其危害甚至超越传统病毒，己成为互联网安全最大的威胁。有关反病毒专家预测，在2006年以后，间谍软件对网络安全危害的发展势头将会表现得更为猛烈。 目前安全主要威胁如图1-1所示。网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马计算机病毒后门、隐蔽通道蠕虫信息丢失、篡改、销毁黑客攻击图1-1 网络安全目前存在的威胁 当前网络安全事件的特点可归纳为以下几点： 入侵者难以追踪。有经验的入侵者往往不直接攻击目标，而是利用所掌握的分散在不同网络运营商、不同国家或地区的跳板机发起攻击，使得对真正入侵者的追踪变得十分困难，需要大范围的多方协同配合。 拒绝服务攻击频繁发生。入侵目标主机需要一定的技术和运气，因此很多攻击者选择了使用分布式拒绝服务的攻击方法，严重干扰目标的网络服务。由于这种攻击往往使用虚假的源地址，因此很难定位攻击者的位置。 攻击者需要的技术水平逐渐降低但危害增大。由于在网络上很容易下载到攻击工具，而且一个新的操作系统漏洞被公布后，相应的攻击方法一般在两个月内就会被发布到互联网上。 攻击手段更加灵活，联合攻击急剧增多。网络蠕虫越来越发展成为传统病毒、蠕虫和黑客攻击技术的结合体，不仅具有隐蔽性、传染性和破坏性，还具有不依赖于人为操作的自主攻击能力。新一代网络蠕虫的攻击能力更强，并且和黑客攻击、计算机病毒之间的界限越来越模糊，带来更为严重的多方面的危害。 系统漏洞发现加快，攻击爆发时间变短。近年来，新的计算机系统安全漏洞不断被发现。据统计，2002年新发现漏洞的数目比2001年增加了82%，而且逐年增加。网络攻击者热衷于攻击新发现的漏洞，在所有新攻击方法中，64%的攻击针对一年之内发现的漏洞，最短的大规模攻击距相应漏洞被公布的时间仅仅为28天，以至于很多网络管理员还来不及给系统打补丁。 垃圾邮件问题严重。电子邮件的安全问题层出不穷，垃圾邮件和病毒的勾结更加重了对网络安全的威胁。在垃圾邮件中不仅仅有毫无用处的信息，还有病毒和恶意代码。从传播的范围和速度来说，垃圾邮件是蠕虫病毒的“最佳搭档”。调查显示，蠕虫病毒制造的邮件已经占全球电子邮件通信量的20%至30%，造成了严重的网络拥塞。 间谍软件、恶意软件威胁安全。间谍软件在用户不知情的情况下监控用户的网络连接，收集并发送有关用户访问的网址、IP地址、用户计算机存储的信息。间谍软件一般隐藏在其他的应用软件中，用户在网上下载实用程序、游戏、媒体播放器和计费软件时，这些间谍软件就随之在用户的计算机留驻，收集、监控并发送有关用户计算机的信息。另外，广告软件、密码窃听、恶意脚本程序等有害软件，在过去的几年里数量增长迅速。这些软件通过不同方式盗取用户的信息，并且威胁用户计算机的安全。 无线网络、移动手机渐成安全重灾区。在无线网络中被传输的信息没有加密或者加密很弱，很容易被窃取、修改和插入，存在较严重的安全漏洞，因此无线网络正在成为黑客的理想目标。而无线网络的安全标准在保护无线网络安全方面的作用如何，还需要经过时间检验。另外，手机病毒利用普通短信、彩信、上网浏览、下载软件与铃声等方式传播，还将攻击范围扩大到移动网关、WAP服务器或其他的网络设备。 网络安全是在攻击和防御的技术和力量此消彼长中的一个动态过程。综上分析，当前的网络安全具有很多新的特点，网络安全的整体状况不容乐观，网络安全需要寻找更好的解决之道。1.3 网络安全攻守防范新导向网络安全包括网络安全威胁和相对应的网络安全技术两个方面内容，分别代表攻和防的含义。网络安全威胁可从不同角度对其进行分析，根据威胁的起因不同，有3种类型的网络安全威胁。一是自然威胁，主要由于各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备的自然老化等。这是不可抗拒的威胁，有时会直接威胁网络的安全。二是过失威胁，产生于人员对于网络安全配置不当而产生的漏洞。三是恶意威胁，这是计算机网络所面临的最大威胁，网络攻击和计算机犯罪就属于这一类，其又分为主动攻击与被动攻击。网络安全防范措施一般会有针对性的解决特定的网络安全威胁，传统网络安全技术种类较多，典型的有以下7种。一是访问控制技术，访问控制的目的是保证网络资源不被未授权地访问和使用。二是数据加密技术，为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破析所采用的主要手段之一。三是认证技术，也是一种网络的访问控制措施，对访问者的身份、数据源的安全性等进行鉴别，从而保证数据的完整性，机密性，不可抵赖性等等。四是防火墙技术，能够加强网络之间的访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的技术。五是VPN技术，虚拟专网是将物理分布在不同地点的网络通过公用骨干网，尤其是 Internet联接而成的虚拟子网，VPN技术采用了鉴别、访问控制、保密性、完整性措施，以防信息被泄露、篡改和复制。六是计算机网络防病毒技术。七是IDS技术，入侵检测技术是一种主动保护自己的网络和系统免遭非法攻击的网络安全技术。物理安全措施，主要是为了保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击。目前主要防护措施有两类:对传导发射的防护和对辐射的防护。随着网络应用的增加，网络安全威胁出现了许多新的表现形式。在网络协议中多要用到认证算法和加密算法，而这些算法本身可能存在安全问题。从安全角度考虑，现有的网络大多都配置有防火墙等高性能的网络安全设备，通过设置访问控制策略来实现对网络的保护;问题在于安全设备本身也是一种设备。其中配置和策略的不合理、系统自身的设计缺陷等都会带来新的安全威胁。对于目前网络所面临的更为复杂的安全威胁来说，针对单点攻击的简单安全防护已经无法满足需求，混合式攻击越来越多，手段越来越复杂和隐蔽。对网络和系统基础设施进行攻击是当前攻击的新特点，这类威胁的影响范围可能会是地区性的。服务器设备和网络设备设置的不足是这类威胁的具体形式。一个网络中都有其核心的网络服务器，服务器本身配置有大容量、高性能的硬件设备，并运行合适的操作系统。操作系统有其自身的安全问题和漏洞，这些可能导致安全威胁。操作系统的安全漏洞，可以通过发布补丁来解决。网络设备和服务器一样，所有这些安全设备都存在不同程度的安全问题。最常见的安全隐患是由于对网络构件的错误实现和配置所导致。不同的网络应用，其界面方式、对资源访问的逻辑关系、所处理信息自身的特性等方面都可能不同。应用的设计、使用过程都可能带来不同特点的安全威胁。通常地，网络管理员会为网络用户提供各种网络服务，如电子邮件，网络打印等，但这些服务都需要进行正确地配置，包括服务器端和客户端，如果疏忽正确配置，有可能导致恶意邮件或者病毒的攻击。网络设备之间的通讯经常通过正确的握手机制开始，典型的握手机制就是使用用户名和口令，而用户名与口令信息在网络上的传输是不安全的。如果给路由器配置了一个容易猜到的登录口令，黑客们就可以随心所欲地访问联网设备，并利用不同网络组件存在的脆弱性对网络进行各种攻击。互联网和电信网等网络系统进行的融合是目前网络技术应用和发展的重要方面，其中的VoIP已进入实用阶段。不同基础网络系统的服务方式和安全特性完全不同，融合的结果必然导致一个网络系统中的安全威胁向另一个网络系统中延伸的新问题。由于语音依然占据电信业务的主要地位，当媒体服务器遭受拒绝服务攻击而失去响应时，其影响会远远大于当前互联网遭受的拒绝服务攻击；随着VoIP业务的开展，电信运营商必须关注来自IP网络的来源追查和内容分析；用户对于语音保密方面的担忧和体验，成为是否最终选择使用业务的重要考虑。随着语音邮件业务的迅速发展，运营商必须投入大量精力和资源用以管理控制骚扰、恶意、反动、诈骗等网络活动；由于基础设施层面的PKI/KMI建设不足，可能会造成运营商的网元设备被渗透入侵，导致用户的通话被跟踪、劫持、记录等；此外，互联网的安全威胁可以通过VoIP延伸到电信网，威胁电信传统语音和数据业务，这样的威胁已得到国内相关科研机构的证实。应用为安全防范新导向网络安全威胁层出不穷，防范新的威胁代价往往更高，作为一个组织如何选择适合的安全防范对策富有挑战意义。保证网络应用正常运行，组织的业务有效运转是引导网络安全对策的最好基准。在这种基准的指导下，安全解决方案更多时候表现为一整套安全技术和措施，业务持续性计划和IT灾难恢复计划是其中的常见形式。对于信息化依赖程度高的现代企业，IT灾难恢复是其业务持续计划的重要组成部分。周密的容灾备份计划可以最大程度地减小运行的中断时间，保持业务的稳定性与持续性，从而实现井然有序的灾难恢复。1.4网络安全模型传统的计算机安全模型中，美国国防部NCSC国家计算机安全中心于1985年推出的TCSEC模型是静态计算机安全模型的代表，P2DR模型是可适应网络安全理论或称为动态信息安全理论的主要模型。P2DR模型是TCSEC模型的发展，也是目前被普遍采用的安全模型。P2DR模型包含四个主要部分：Policy（安全策略）、Protection（防护）、Detection（检测）和Response （响应）。防护、检测和响应组成了一个所谓的“完整的、动态”的安全循环，在安全策略的整体指导下保证信息系统的安全。P2DR模型如图1-2所示：图1-2 P2DR模型但P2DR忽略了安全防范体系中安全管理的重要性，而目前业界内外的共识是网络安全3分技术7分管理。最新在业界提出的是一种动态的、多方位的数据中心网络安全防范体系构建方法。首先，网络安全防范体系应该是动态变化的。安全防护是一个动态的过程，新的安全漏洞不断出现，黑客的攻击手法不断翻新，而网络自身的情况也在不断地发展变化，在完成安全防范体系的架设后，必须不断对此体系进行及时的维护和更新，才能保证网络安全防范体系的良性发展，确保它的有效性和先进性。网络安全防范体系构建是以安全策略为核心，以安全技术作为支撑，以安全管理作为落实手段，并通过安全培训加强所有人的安全意识，完善安全体系赖以生存的大环境。安全体系的示意图如图1-3所示。图1-3 安全防范体系示意图下面将逐一描述安全体系的各个组成部分。安全策略：是一个成功的网络安全体系的基础与核心。安全策略描述了网络系统的安全目标（包括近期目标和长期目标），能够承受的安全风险，保护对象的安全优先级等方面的内容。安全技术：常见的安全技术和工具主要包括防火墙、安全漏洞扫描、安全评估分析、入侵检测、网络陷阱、入侵取证、备份恢复和病毒防范等。这些工具和技术手段是网络安全体系中直观的部分，缺少任何一种都会有巨大的危险，因为网络入侵防范是一个整体概念。但由于经费的限制，不可能全部部署，这时就需要我们在安全策略的指导下，分步实施。需要说明的是，虽然是单元安全产品，但在网络安全体系中它们并不是简单地堆砌，而是要合理部署，互联互动，形成一个有机的整体。安全管理：安全管理贯穿整个安全防范体系，是安全防范体系的核心。代表了安全防范体系中人的因素。安全不是简单的技术问题，不落实到管理，再好的技术、设备也是徒劳的。一个有效的安全防范体系应该是以安全策略为核心，以安全技术为支撑，以安全管理为落实。安全管理不仅包括行政意义上的安全管理，更主要的是对安全技术和安全策略的管理。安全培训：最终用户的安全意识是信息系统是否安全的决定因素，因此对校园数据中心用户的安全培训和安全服务是整个安全体系中重要、不可或缺的一部分。1.5 网络安全系统设计原则随着信息化进程的深入和互联网的快速发展，网络化已经成为企业信息化的发展大趋势，信息资源也得到最大程度的共享。但是，紧随信息化发展而来的网络安全问题日渐凸出，网络安全问题已成为信息时代人类共同面临的挑战，网络信息安全问题成为当务之急，如果不很好地解决这个问题，必将阻碍信息化发展的进程。1.5.1安全攻击、安全机制和安全服务ITU-T X.800标准将我们常说的“网络安全（network security）”进行逻辑上的分别定义，即安全攻击(security attack)是指损害机构所拥有信息的安全的任何行为；安全机制（security mechanism）是指设计用于检测、预防安全攻击或者恢复系统的机制；安全服务（security service）是指采用一种或多种安全机制以抵御安全攻击、提高机构的数据处理系统安全和信息传输安全的服务。1.5.2 网络安全防范体系框架结构 为了能够有效了解用户的安全需求，选择各种安全产品和策略，有必要建立一些系统的方法来进行网络安全防范。网络安全防范体系的科学性、可行性是其可顺利实施的保障。基于DISSP扩展的一个三维安全防范技术体系框架结构，第一维是安全服务，给出了八种安全属性（ITU-T REC-X.800-199103-I）。第二维是系统单元，给出了信息网络系统的组成。第三维是结构层次，给出并扩展了国际标准化组织ISO的开放系统互联（OSI）模型。 框架结构中的每一个系统单元都对应于某一个协议层次，需要采取若干种安全服务才能保证该系统单元的安全。网络平台需要有网络节点之间的认证、访问控制，应用平台需要有针对用户的认证、访问控制，需要保证数据传输的完整性、保密性，需要有抗抵赖和审计的功能，需要保证应用系统的可用性和可靠性。针对一个信息网络系统，如果在各个系统单元都有相应的安全措施来满足其安全需求，则我们认为该信息网络是安全的。1.5.3网络安全防范体系层次 作为全方位的、整体的网络安全防范体系也是分层次的，不同层次反映了不同的安全问题，根据网络的应用现状情况和网络的结构，我们将安全防范体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理。 1物理环境的安全性（物理层安全） 该层次的安全包括通信线路的安全，物理设备的安全，机房的安全等。物理层的安全主要体现在通信线路的可靠性（线路备份、网管软件、传输介质），软硬件设备安全性（替换设备、拆卸设备、增加设备），设备的备份，防灾害能力、防干扰能力，设备的运行环境（温度、湿度、烟尘），不间断电源保障，等等。 2操作系统的安全性（系统层安全） 该层次的安全问题来自网络内使用的操作系统的安全，如Windows NT，Windows 2000等。主要表现在三方面，一是操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制、系统漏洞等。二是对操作系统的安全配置问题。三是病毒对操作系统的威胁。 3网络的安全性（网络层安全） 该层次的安全问题主要体现在网络方面的安全性，包括网络层身份认证，网络资源的访问控制，数据传输的保密与完整性，远程接入的安全，域名系统的安全，路由系统的安全，入侵检测的手段，网络设施防病毒等。 4应用的安全性（应用层安全） 该层次的安全问题主要由提供服务所采用的应用软件和数据的安全性产生，包括Web服务、电子邮件系统、DNS等。此外，还包括病毒对系统的威胁。 5管理的安全性（管理层安全） 安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化极大程度地影响着整个网络的安全，严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其它层次的安全漏洞。1.5.4 网络安全防范体系设计准则 根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素，参照SSE-CMM(系统安全工程能力成熟模型)和ISO17799(信息安全管理标准)等国际标准，综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面，网络安全防范体系在整体设计过程中应遵循以下9项原则： 1网络信息安全的木桶原则 网络信息安全的木桶原则是指对信息均衡、全面的进行保护。“木桶的最大容积取决于最短的一块木板”。网络信息系统是一个复杂的计算机系统，它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性，尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”，必然在系统中最薄弱的地方进行攻击。因此，充分、全面、完整地对系统的安全漏洞和安全威胁进行分析，评估和检测（包括模拟攻击）是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段，根本目的是提高整个系统的安全最低点的安全性能。 2网络信息安全的整体性原则 要求在网络发生被攻击、破坏事件的情况下，必须尽可能地快速恢复网络信息中心的服务，减少损失。因此，信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施，避免非法攻击的进行。安全检测机制是检测系统的运行情况，及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下，进行应急处理和尽量、及时地恢复信息，减少供给的破坏程度。 3安全性评价与平衡原则 对任何网络，绝对安全难以达到，也不一定是必要的，所以需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系，做到安全性与可用性相容，做到组织上可执行。评价信息是否安全，没有绝对的评判标准和衡量指标，只能决定于系统的用户需求和具体的应用环境，具体取决于系统的规模和范围，系统的性质和信息的重要程度。 4标准化与一致性原则 系统是一个庞大的系统工程，其安全体系的设计必须遵循一系列的标准，这样才能确保各个分系统的一致性，使整个系统安全地互联互通、信息共享。 5技术与管理相结合原则 安全体系是一个复杂的系统工程，涉及人、技术、操作等要素，单靠技术或单靠管理都不可能实现。因此，必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。 6统筹规划，分步实施原则 由于政策规定、服务需求的不明朗，环境、条件、时间的变化，攻击手段的进步，安全防护不可能一步到位，可在一个比较全面的安全规划下，根据网络的实际需要，先建立基本的安全体系，保证基本的、必须的安全性。随着今后随着网络规模的扩大及应用的增加，网络应用和复杂程度的变化，网络脆弱性也会不断增加，调整或增强安全防护力度，保证整个网络最根本的安全需求。 7等级性原则 等级性原则是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的，包括对信息保密程度分级，对用户操作权限分级，对网络安全程度分级（安全子网和安全区域），对系统实现结构的分级（应用层、网络层、链路层等），从而针对不同级别的安全对象，提供全面、可选的安全算法和安全体制，以满足网络中不同层次的各种实际需求。 8动态发展原则 要根据网络安全的变化不断调整安全措施，适应新的网络环境，满足新的网络安全需求。 9易操作性原则 首先，安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。 由于互联网络的开放性和通信协议的安全缺陷，以及在网络环境中数据信息存储和对其访问与处理的分布性特点，网上传输的数据信息很容易泄露和被破坏，网络受到的安全攻击非常严重，因此建立有效的网络安全防范体系就更为迫切。实际上，保障网络安全不但需要参考网络安全的各项标准以形成合理的评估准则，更重要的是必须明确网络安全的框架体系、安全防范的层次结构和系统设计的基本原则，分析网络系统的各个不安全环节，找到安全漏洞，做到有的放矢。1.6 信息安全的评价标准计算机系统安全评价标准是一种技术性法规。在信息安全这一特殊领域，如果没有这一标准，与此相关的立法、执法就会有失偏颇，最终会给国家的信息安全带来严重后果。由于信息安全产品和系统的安全评价事关国家的安全利益，因此许多国家都在充分借鉴国际标准的前提下，积极制订本国的计算机安全评价认证标准。第一个有关信息技术安全评价的标准诞生于八十年代的美国，就是著名的“可信计算机系统评价准则”（tcsec，又称桔皮书）。该准则对计算机操作系统的安全性规定了不同的等级。从九十年代开始，一些国家和国际组织相继提出了新的安全评价准则。1991年，欧共体发布了“信息技术安全评价准则”（itsec）。1993年，加拿大发布了“加拿大可信计算机产品评价准则”（ctcpec），ctcpec综合了tcsec和itsec两个准则的优点。同年，美国在对tcsec进行修改补充并吸收itsec优点的基础上，发布了“信息技术安全评价联邦准则”（fc）。1993年6月，上述国家共同起草了一份通用准则（cc），并将cc推广为国际标准。cc发布的目的是建立一个各国都能接受的通用的安全评价准则，国家与国家之间可以通过签订互认协议来决定相互接受的认可级别，这样能使基础性安全产品在通过cc准则评价并得到许可进入国际市场时，不需要再作评价。此外，国际标准化组织和国际电工委也已经制订了上百项安全标准，其中包括专门针对银行业务制订的信息安全标准。国际电信联盟和欧洲计算机制造商协会也推出了许多安全标准。图1-4 国际安全评测标准的发展及其联系美国可信计算机安全评价标准（tcsec）tcsec标准是计算机系统安全评估的第一个正式标准，具有划时代的意义。该准则于1970年由美国国防科学委员会提出，并于1985年12月由美国国防部公布。tcsec最初只是军用标准，后来延至民用领域。tcsec将计算机系统的安全划分为4个等级、8个级别。d类安全等级：d类安全等级只包括d1一个级别。d1的安全等级最低。d1系统只为文件和用户提供安全保护。d1系统最普通的形式是本地操作系统，或者是一个完全没有保护的网络。c类安全等级：该类安全等级能够提供审慎的保护，并为用户的行动和责任提供审计能力。c类安全等级可划分为c1和c2两类。c1系统的可信任运算基础体制（trusted computing base，tcb）通过将用户和数据分开来达到安全的目的。在c1系统中，所有的用户以同样的灵敏度来处理数据，即用户认为c1系统中的所有文档都具有相同的机密性。c2系统比c1系统加强了可调的审慎控制。在连接到网络上时，c2系统的用户分别对各自的行为负责。c2系统通过登陆过程、安全事件和资源隔离来增强这种控制。c2系统具有c1系统中所有的安全性特征。b类安全等级：b类安全等级可分为b1、b2和b3三类。b类系统具有强制性保护功能。强制性保护意味着如果用户没有与安全等级相连，系统就不会让用户存取对象。b1系统满足下列要求：系统对网络控制下的每个对象都进行灵敏度标记；系统使用灵敏度标记作为所有强迫访问控制的基础；系统在把导入的、非标记的对象放入系统前标记它们；灵敏度标记必须准确地表示其所联系的对象的安全级别;当系统管理员创建系统或者增加新的通信通道或i/o设备时，管理员必须指定每个通信通道和i/o设备是单级还是多级，并且管理员只能手工改变指定;单级设备并不保持传输信息的灵敏度级别;所有直接面向用户位置的输出（无论是虚拟的还是物理的）都必须产生标记来指示关于输出对象的灵敏度;系统必须使用用户的口令或证明来决定用户的安全访问级别;系统必须通过审计来记录未授权访问的企图。b2系统必须满足b1系统的所有要求。另外，b2系统的管理员必须使用一个明确的、文档化的安全策略模式作为系统的可信任运算基础体制。b2系统必须满足下列要求：系统必须立即通知系统中的每一个用户所有与之相关的网络连接的改变；只有用户能够在可信任通信路径中进行初始化通信；可信任运算基础体制能够支持独立的操作者和管理员。b3系统必须符合b2系统