企事业网络安全技术诊断与解决方案.doc

此文档收集于网络，如有侵权，请联系网站删除序：-屈明杰美国著名未来学家托尔勒说过：“谁掌握了信息、控制了网络，谁将拥有整个世界”。美国前总统克林顿也说：“今后的时代，控制世界的国家将不是靠军事，而是信息能力走在前面的国家。”美国前陆军参谋长沙尔文上将更是一语道破：“信息时代的出现，将从根本上改变战争的进行方式”1995年，美国国防部组建信息战执行委员会，10月组建世界上第一支信息战分队。之后，美国陆、海、空三军相继成立信息战中心。1990年海湾战争，被称为“世界上首次全面的信息站”，充分显示了现代高技术条件下“制信息权”的关键作用。“知己知彼方能百战不殆”，掌握对方信息，把握自己的信息是制胜的唯一方法。所以信息存在着攻击和防攻击、窃取和防窃取的斗争。江苏天益网络信息有限公司是一家专业从事信息安全技术研究和应用开发的高新技术企业。作为一个专业从事安全的公司和长期从事网络和信息安全推广的工作人员，对我国政府和企业淡薄的网络安全意识十分担心。许多事实表明，如果没有充分的安全意识，仅仅靠国家相关政府部门的强制推行安全措施，是没有太大价值的。我们清醒的认识到网络的脆弱性以及加强网络安全意识的重要性。一个企业，可能由于网络安全的问题，泄露企业机密，造成无可挽回的经济损失。一个政府，可能由于网络安全问题，泄露国家机密，直接导致国家的安全危机。这绝对不是危言耸听的事情！天益公司以保护我国企业和政府的信息为己任，在大力宣传网络安全方面做了大量的工作。我们不断的宣传安全意识、提供安全方案和安全咨询，不遗余力的帮助企业和政府提供安全解决方案。同时在技术和产品上不断创新，力求为我国的网络安全事业略尽微力。在与大量的企业和政府接触后，我们明显的感觉到他们缺少网络安全方面的基本理论知识，为了有效普及网络安全知识，我司组织工程技术人员编写了该书。希望能为读者了解和初步掌握网络安全的基本知识提供一点帮助。由于时间原因，我们不可能把所有的网络安全方面的知识全面的介绍给大家，所以在让大家初步了解网络安全基本知识的基础上，重点介绍了信息安全方面的技术和理论基础。敬请谅解！精品文档目录1计算机系统安全隐患61.1从计算机系统的发展看安全问题61.2从计算机系统的特点看安全问题72常见的安全威胁和攻击手段82.1窃取机密攻击：92.2非法访问102.3恶意攻击102.4社交工程（Social Engineering）122.5计算机病毒122.6不良信息资源132.7信息战133安全问题的根源133.1物理安全问题133.2方案设计的缺陷133.3系统的安全漏洞143.4TCP/IP协议的安全问题143.5人的因素153.6管理上的因素164网络信息安全的内涵164.1网络信息安全的要素164.2网络安全的实质185安全体系结构与模型195.1ISO/OSI安全体系结构195.1.1安全服务195.1.2安全机制205.1.3安全管理205.2动态的自适应网络安全模型215.3五层网络安全体系225.3.1网络层的安全性225.3.2系统的安全性235.3.3用户的安全性235.3.4应用程序的安全性245.3.5数据的安全性245.4天益七层体系安全模型：245.5天益五大管理解决七大安全问题：256信息泄露分析267网络安全产品简介277.1防火墙类产品：277.2网闸287.3物理隔离卡287.4杀毒软件287.5漏洞扫描类设备297.6信息安全类产品297.7安全审计类产品297.8网络警察297.9入侵检测类产品298信息安全技术概述：308.1政务系统安全性需求的一般分析：308.2信息安全解决的问题：308.3网络应用中的信息安全问题：318.3.1电子商务应用：318.3.2政府或企业的电子办公和管理328.4信息安全的基本技术：328.4.1密码算法338.4.2文件的加密方法：338.4.3数字签名方法：348.5数字证书348.6什么是PKI技术358.7什么是PMI技术398.8信息化概述418.8.1我国信息化现状：418.8.2信息化的特点：-四大要素，三大管理4四大要素：4三大管理包括：428.9天益信息安全新理念-认证+授权+控制+管理+加密428.10建立信息安全体系所涉及的产品429JX-KEY电子钥匙449.1USB KEY -Jx-Key电子钥匙（客户端工具）449.1.1结构449.1.2功能459.1.3特点459.1.4Jx-Key优点459.1.5Jx-Key用途4内部网络安全4电子商务4电子政务4710JX-KEY桌面安全系统4810.1计算机使用控制4810.2私有文件的加密存放4810.3文件的安全授权分发4810.4用户名和口令的存储与调用4910.5桌面安全系统的精彩应用4911TYSecPKI信息安全平台5011.1概述:5011.2产品功能模块：5011.3产品特点：5211.4产品应用：5411.4.1网络结构5411.4.2与用户名+口令方式登陆的比较：5612为什么要建立PKI的安全体系5713问题解答：571 计算机系统安全隐患每年我们都要在计算机系统上花费上百万美元建立与管理信息，这些信息用于商业决策、客户服务和保持竞争力。但是你知不知道这些信息是否安全？简单地用一张软盘就可拷贝下你占有商业先机的信息，并且你可能从不会察觉信息已被偷走，直到竞争对手把你的商业计划作为他们自己的来宣布。你如何得知怎么样才是足够安全？不同的公司以它们自己不同的安全观点建立了大型计算机网络，并且经常连接到网络上工作。这样不同的信息安全需求，导致确保一个真正安全的、可审计的系统非常困难。因特网上电子商业的导入，提高了企业加紧保护他们数字资源信息安全的需求。目前，计算机系统和信息安全问题是IT业最为关心和关注的焦点之一。据ICSA统计，有11的安全问题导致网络数据被破坏，14导致数据失密，15的攻击来自系统外部，来自系统内部的安全威胁高达60。由于受到内部心怀不满的职工安放的程序炸弹侵害，Omega Engineering公司蒙受了价值900万美元的销售收入和合同损失，由于受到来自网络的侵袭，Citibank银行被窃了1000万美元，后来他们虽然追回了750万美元损失，但却因此失去了7的重要客户，其声誉受到了沉重打击。这只是人们知道的两个因安全问题造成巨大损失的例子，实际上，更多的安全入侵事件没有报告。据美国联邦调查局估计，仅有7的入侵事件被报告了，而澳大利亚联邦警察局则认为这个数字只有5。因为许多入侵根本没有被检测到，还有一些受到侵袭的企业由于害怕失去客户的信任而没有报告。那么，为什么当今信息系统中存在如此之多的安全隐患，安全问题如此突出呢？这是与计算机系统的发展、当今流行系统的设计思路、当前IT系统的使用状况紧密相关的。下面，我们从以下几个方面简要论述。1.1 从计算机系统的发展看安全问题安全问题如此突出和严重是与IT技术和环境的发展分不开的。早期的业务系统是局限于大型主机上的集中式应用，与外界联系较少，能够接触和使用系统的人员也很少，系统安全隐患尚不明显。现在业务系统大多是基于客户/服务器模式和Internet/Intranet网络计算模式的分布式应用，用户、程序和数据可能分布在世界的各个角落，给系统的安全管理造成了很大困难。早期的网络大多限于企业内部，与外界的物理连接很少，对于外部入侵的防范较为容易，现在，网络已发展到全球一体化的Internet，每个企业的Intranet都会有许多与外部连接的链路，如通过专线连入Internet，提供远程接入服务供业务伙伴和出差员工访问等等。在这样一个分布式应用的环境中，企业的数据库服务器、电子邮件服务器、WWW服务器、文件服务器、应用服务器等等每一个都是一个供人出入的“门户”，只要有一个“门户”没有完全保护好忘了上锁或不很牢固，“黑客”就会通过这道门进入系统，窃取或破坏所有系统资源。随着系统和网络的不断开放，供黑客攻击系统的简单易用的“黑客工具”和“黑客程序（BO程序）”不断出现，一个人不必掌握很高深的计算机技术就可以成为黑客，黑客的平均年龄越来越小，现在是1416岁。1.2 从计算机系统的特点看安全问题在现代典型的计算机系统中，大都采用TCP/IP作为主要的网络通讯协议，主要服务器为UNIX或Windows NT操作系统。众所周知，TCP/IP和UNIX都是以开放性著称的。系统之间易于互联和共享信息的设计思路贯穿与系统的方方面面，对访问控制、用户验证授权、实时和事后审计等安全内容考虑较少，只实现了基本安全控制功能，实现时还存在一些这样那样的漏洞。TCP/IP的结构与基于专用主机(如IBM ES/9000、AS/400)和网络(如SNA网络)的体系结构相比，灵活性、易用性、开发性都很好，但是，在安全性方面却存在很多隐患。TCP/IP的网络结构没有集中的控制，每个节点的地址由自己配置，节点之间的路由可任意改变。服务器很难验证某客户机的真实性。IP协议是一种无连接的通讯协议，无安全控制机制，存在各种各样的攻击手段。实际上，从TCP/IP的网络层，人们很难区分合法信息流和入侵数据，DoS(Denial of Services，拒绝服务)就是其中明显的例子。UNIX操作系统更是以开放性著称的，在安全性方面存在许多缺限。我们知道，在用户认证和授权管理方面，UNIX操作系统对用户登录的管理是靠用户名和口令实现的，一个用户可以没有口令(使用空的口令)，也可以使用非常简单易猜的词如用户名、用户姓名、生日、单位名称等作为口令(实际上，大多数人都是这么用的)；一个人只要拥有了合法的用户名和口令，就可以在任意时间、从任意地点进入系统，同时登录的进程数也没有限制，这些都是安全上的隐患。虽然有的系统对上述内容有一定程度的限制措施，但也需要复杂的配置过程，不同系统上配置方法也很不一致，实际上无法全面有效地实施。在对资源的访问控制管理方面，UNIX只有读、写和执行三种权限，无法对文件进行更为细致的控制。用户可以写某个文件，就能删除它。而在许多应用的环境下，我们是希望某些用户只能Update文件，不能删除它的。如果对文件的控制权限扩展到读、写、增加、删除、创建、执行等多种，就可以防止恶意或无意的破坏发生。UNIX还缺乏完善有效的跟踪审计能力。如一个用户企图多次访问某敏感资源时，系统无法采取强有力的措施处置，管理员也很难发现。这种情况下，如果能及时迅速地通知安全管理员，能把该用户赶出(logout)操作系统，甚至封死该帐户，使其无法继续登录，无疑会大大加强系统的安全性。另外，不同的UNIX及UNIX的不同版本在实现的过程中都会有这样那样的BUG，其中许多BUG是与安全有关的。80年代中期，Internet上流行的著名“蠕虫”病毒事件就是由UNIX系统的安全BUG造成的。厂商在发现并修正BUG后会把PATCH放在其公司站点上供用户下载和安装，但许多用户没有技术能力和精力理解、跟踪这些PATCH并及时安装。有的UNIX操作系统虽然能够达到较高的安全级别，但在缺省安装和配置中一般采用较低的安全控制，需要进行许多配置过程才能达到较高的安全级别。由于水平和精力所限，一般用户环境中很难完成这样精确的安全配置，经常存在错误的配置，导致安全问题。更为严重的是，一台UNIX服务器上经常要安装很多商业应用软件，这些软件大多以root用户运行。而这些软件往往存在一些安全漏洞或错误的安全配置，从而导致root权限被人窃取。所以，我们需要一种系统扫描工具，定期检查系统中与安全有关的软件、资源、PATCH的情况，发现问题及时报告并给出解决建议。才能使系统经常处于安全的状态。2 常见的安全威胁和攻击手段在了解安全问题之前，我们先来研究一下目前网络上存在的一些安全威胁和攻击手段。然后我们再来了解一些出现安全问题的根源，这样我们就可以对安全问题有一个很好的认识。迄今为止，网络上存在上无数的安全威胁和攻击，对于他们也存在着不同的分类方法。我们可以按照攻击的性质、手段、结果等暂且将其分为机密攻击、非法访问、恶意攻击、社交工程、计算机病毒、不良信息资源和信息战几类。2.1 窃取机密攻击：所谓窃取机密攻击是指未经授权的攻击者（黑客）非法访问网络、窃取信息的情况，一般可以通过在不安全的传输通道上截取正在传输的信息或利用协议或网络的弱点来实现的。常见的形式可以有以下几种：1） 网络踩点（Footprinting）攻击者事先汇集目标的信息，通常采用whois、Finger等工具和DNS、LDAP等协议获取目标的一些信息，如域名、IP地址、网络拓扑结构、相关的用户信息等，这往往是黑客入侵之前所做的第一步工作。2） 扫描攻击扫描攻击包括地址扫描和端口扫描等，通常采用ping命令和各种端口扫描工具，可以获得目标计算机的一些有用信息，例如机器上打开了哪些端口，这样就知道开设了哪些服务，从而为进一步的入侵打下基础。3） 协议指纹黑客对目标主机发出探测包，由于不同操作系统厂商的IP协议栈实现之间存在许多细微的差别（也就是说各个厂家在编写自己的TCP/IP协议栈时，通常对特定的RFC指南做出不同的解释），因此各个操作系统都有其独特的响应方法，黑客经常能确定出目标主机所运行的操作系统。常常被利用的一些协议栈指纹包括：TTL值、TCP窗口大小、DF标志、TOS、IP碎片处理、ICMP处理、TCP选项处理等。4） 信息流监视这是一个在共享型局域网环境中最常采用的方法。由于在共享介质的网络上数据包会经过每个网络节点，网卡在一般情况下只会接受发往本机地址或本机所在广播（或多播）地址的数据包，但如果将网卡设置为混杂模式（Promiscuous），网卡就会接受所有经过的数据包。基于这样的原理，黑客使用一个叫sniffer的嗅探器装置，可以是软件，也可以是硬件）就可以对网络的信息流进行监视，从而获得他们感兴趣的内容，例如口令以及其他秘密的信息。5） 会话劫持（session hijacking）利用TCP协议本身的不足，在合法的通信连接建立后攻击者可以通过阻塞或摧毁通信的一方来接管已经过认证建立起来的连接，从而假冒被接管方与对方通信。2.2 非法访问1） 口令破解可以采用字典破解和暴力破解来获得口令。2） IP欺骗攻击者可以通过伪装成被信任的IP地址等方式来获取目标的信任。这主要是针对防火墙的IP包过滤以及LINUX/UNIX下建立的IP地址信任关系的主机实施欺骗。3） DNS欺骗由于DNS服务器相互交换信息的时候并不建立身份验证，这就使得黑客可以使用错误的信息将用户引向错误主机。4） 重放攻击攻击者利用身份认证机制中的漏洞先把别人有用的信息记录下来，过一段时间后再发送出去。5） 非法使用系统资源被某个非法用户以未授权的方式使用6） 特洛伊木马把一个能帮助黑客完成某个特定动作的程序依附在某一合法用户的正常程序中，这时合法用户的程序代码已经被改变，而一旦用户触发该程序，那么依附在内的黑客指令代码同时被激活，这些代码往往能完成黑客早已指定的任务。2.3 恶意攻击恶意攻击，在当今最为特出的就是拒绝服务攻击DoS（Denial of Server）了。拒绝服务攻击通过使计算机功能或性能崩溃来组织提供服务，典型的拒绝服务攻击有如下2种形式：资源耗尽和资源过载。当一个对资源的合理请求大大超过资源的支付能力时，就会造成拒绝服务攻击。常见的攻击行为主要包括Ping of death、泪滴(Teardrop)、UDP flood、SYN flood、Land 攻击、Smurf攻击、Fraggle 攻击、电子邮件炸弹、畸形信息攻击等1) Ping of death在早期版本中，许多操作系统对网络数据包的最大尺寸有限制，对TCP/IP栈的实现在ICMP包上规定为64KB。在读取包的报头后，要根据该报头中包含的信息来为有效载荷生成缓冲区。当PING请求的数据包声称自己的尺寸超过ICMP上限，也就是加载的尺寸超过64KB时，就会使PING请求接受方出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方死机。2) 泪滴泪滴攻击利用了某些TCP/IP协议栈实现中对IP分段重组时的错误3) UDP flood利用简单的TCP/IP服务建立大流量数据流，如chargen 和Echo来传送无用的满带宽的数据。通过伪造与某一主机的chargen服务之间的一次UDP连接，回复地址指向提供ECHO服务的一台主机，这样就生成了在2台主机之间的足够多的无用数据流，过多的数据流会导致带宽耗尽。4) SYN flood一些TCP/IP协议栈的实现只能等待从有限数量的计算机发来的ACK消息，因为他们只有有限的内存空间用于创建连接，如果这一缓冲区充满了虚假连接的初始信息，该服务器就会对接下来的连接停止响应，直到缓冲区的连接企图超时。在一些创建连接不收限制的系统实现里，SYN洪流具有类似的影响！5) Land攻击在Land攻击中，将一个SYN包的源地址和目标地址均设成同一个服务器地址，导致接受服务器向自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保持直到超时。对LAND攻击反应不同，许多UNIX实现将崩溃，NT则变得极其缓慢。6) Smurf攻击简单的Smurf攻击发送ICMP应答请求包，目的地址设为受害网络的广播地址，最终导致该网络的所有主机都对此ICMP应答请求做出答复，导致网络阻塞。如果将源地址改为第三方的受害者，最终将导致第三方崩溃。7) fraggle攻击该攻击对Smurf攻击做了简单修改，使用的是UDP应答消息而非ICMP。8) 电子邮件炸弹这是最古老的匿名攻击之一，通过设置一台机器不断的向同一地址发送电子邮件，攻击者能耗尽接受者的邮箱9) 畸形信息攻击各类操作系统的许多服务均存在这类问题，由于这些服务在处理消息之前没有进行适当正确的错误校验，受到畸形信息可能会崩溃。10) DdoS攻击DdoS攻击（Distributed Denial of Server,分布式拒绝服务）是一种基于DOS的特殊形式的拒绝服务攻击，是一种分布协作的大规模攻击方式，主要瞄准比较大的站点，像商业公司、搜索引擎和政府部门的站点。他利用一批受控制的机器向一台目标机器发起攻击，这样来势迅猛的攻击令人难以防备，因此具有很大的破坏性。除了以上的这些拒绝服务攻击外，一些常见的恶意攻击还包括缓冲区溢出攻击、硬件设备破坏性攻击以及网页篡改等。11) 缓冲区溢出攻击（buffer overflow）通过往程序的缓冲区写超过其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他指令，以达到攻击的目的。缓冲区溢出是一种非常普遍、非常危险的漏洞，在各种操作系统、应用软件中广泛存在，根据统计：通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上。利用缓冲区溢出攻击可以导致程序运行失败、系统死机、重新启动等后果，更严重的是，可以利用他执行非授权的指令，甚至可以取得系统特权，进而进行各种非法操作。由于他历史悠久、危害巨大，被称为数十年来攻击和防卫的弱点。2.4 社交工程（Social Engineering）采用说服或欺骗的手段，让网络内部的人来提供必要的信息，从而获得对信息系统的访问权限。2.5 计算机病毒病毒是对软件、计算机和网络系统的最大威胁之一。所谓病毒，是指一段可执行的程序代码，通过对其他程序进行修改，可以感染这些程序，使他们成为含有该病毒程序的一个拷贝。2.6 不良信息资源在互联网如此发达的今天，真可谓“林子大了，什么鸟都有”，网络上面充斥了各种各样的信息，其中不乏一些暴力、色情、反动等不良信息。2.7 信息战计算机技术和网络技术的发展，使我们处与信息时代。信息化是目前国际社会发展的趋势，他对于经济、社会的发展都有着重大意义。美国著名未来学家托尔勒说过：“谁掌握了信息、控制了网络，谁将拥有整个世界”。美国前总统克林顿也说：“今后的时代，控制世界的国家将不是靠军事，而是信息能力走在前面的国家。”美国前陆军参谋长沙尔文上将更是一语道破：“信息时代的出现，将从根本上改变战争的进行方式”1995年，美国国防部组建信息战执行委员会，10月组建世界上第一支信息战分队。之后，美国陆、海、空三军相继成立信息站中心。1990年海湾战争，被称为“世界上首次全面的信息站”，充分显示了现代高技术条件下“制信息权”的关键作用。3 安全问题的根源前面已经介绍了网络上常见的安全威胁与攻击，下面来看一下这些安全问题的根源所在，大体上有物理安全问题、方案设计的缺陷、系统的安全漏洞、TCP/IP协议的安全和人等几个方面。3.1 物理安全问题除了物理设备本身的问题外，物理安全问题还包括设备的位置安全、限制物理访问、物理环境安全和地域因素等。物理设备的位置极为重要。所有基础网络设施都应该放置在严格限制来访人员的地方，以降低出现未经授权访问的可能性。3.2 方案设计的缺陷有一类安全问题根源在于方案设计时的缺陷。由于在实际中，网络的结构往往比较复杂，为了实现异构网络间信息的通信，往往要牺牲一些安全机制的设置和实现，从而提出更高的网络开放性的要求。开放性和安全性正是一对相生相克的矛盾。由于特定的环境往往会有特定的安全需求，所以不存在可以到处通用的解决方案，往往需要制订不同的方案。如果设计者的安全理论与实践水平不够的话，设计出来的方案经常会出现很多漏洞，这也是安全威胁的根源之一。3.3 系统的安全漏洞随着软件系统规模的不断增大，系统中的安全漏洞或后门也不可避免的存在，比如我们常用的操作系统，无论是WINDOWS还是LINUX几乎都存在或多或少的安全漏洞，众多的各类服务器最典型的如微软的IIS服务器、浏览器、数据库、等都被发现过存在安全隐患。可以说任何一个软件系统都可能因为程序员的一个疏忽、设计中的一个缺陷等原因而存在安全漏洞，这也是网络安全问题的主要根源之一。目前我们发现的安全漏洞数量已经相当庞大，据统计已经接近病毒的数量。以下列举了一些典型的安全漏洞，他们在新发布的系统或已经打过补丁的系统中可能已经不再存在，但是了解他们依然具有非常积极的意义！1） 操作系统类安全漏洞操作系统类安全漏洞包括非法文件访问、远程获得ROOT权限、系统后门、NIS漏洞、FINGER漏洞、RPC漏洞等2） 网络系统类安全漏洞典型例子包括：CISCO IOS的早期版本不能抵抗很多拒绝服务类的攻击（如LAND）等3） 应用系统类安全漏洞各种应用都可能隐含安全缺陷，尤其是较早的一些产品和国内一些公司的产品对安全问题很少考虑，更是如此，如通过TCP/IP协议应用MAIL SERVER、WWW SERVER、FTP SERVER、DNS时出现的安全漏洞等3.4 TCP/IP协议的安全问题因特网最初设计考虑时该网不会因局部故障而影响信息的传输，基本没有考虑安全问题，因此他在安全可靠、服务质量、带宽和方便性等方面存在这严重的不适应性。作为因特网灵魂的TCP/IP协议，更存在着很大的安全隐患，缺乏强健的安全机制，这也是网络不安全的主要因素之一。下面我们可以举TCPIP的主要协议之一IP协议作为例子来说明这个问题。IP协议依据IP头中的目的地址项来发送IP数据包，如果目的地址是本地网络内的地址，该IP包就被直接发送到目的地，如果目的地址不在本地网络内，该IP包就会被发送到网关，再由网关决定将其发送到何处，这是IP协议路由IP包的方法。我们发现IP协议在路由IP包时对IP头中提供的IP源地址不做任何检查，并且认为IP头中的IP源地址即为发送该包的机器的IP地址。当接收到该包的目的主机要与源主机进行通信时，它以接收到的IP包的IP头中IP源地址作为其发送的IP包的目的地址，来与源主机进行数据通信。IP的这种数据通信方式虽然非常简单和高效，但它同时也是IP的一个安全隐患，常常会使TCPIP网络遭受两类攻击，最常见的一类就是服务拒绝攻击DOS，如前面提到过的TCPSYN FLOODING攻击；IP不进行源地址检验常常会使TCPIP网络遭受另一类最常见的攻击是劫持攻击，即攻击者通过攻击被攻击主机获得某些特权，这种攻击只对基于源地址认证的主机奏效，基于源地址认证是指以IP地址作为安全权限分配的依据。3.5 人的因素人是信息活动的主体，人的因素其实是网络安全问题的最主要的因素，体现在下面二占1人为的无意失误如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的账号随意转借他人或与别人共享等都会给网络安全带来威胁。2人为的恶意攻击人为的恶意攻击也就是黑客攻击，这是计算机网络所面临的最大威胁。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。黑客活动几乎覆盖了所有的操作系统，包括UNIX、Windows、Linux等。黑客攻击比病毒破坏更具目的性，因而也更具危害性。更为严峻的是，黑客技术逐渐被越来越多的人掌握和发展。目前，世界上有20多万个黑客网站，这些站点都介绍一些攻击方法和攻击软件的使用以及系统的一些漏洞，因而系统、站点遭受攻击的可能性就变大了。尤其是现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段，使得黑客攻击的隐蔽性好、杀伤力强，成为网络安全的主要威胁之一。3.6 管理上的因素网络系统的严格管理是企业、机构及用户免受攻击的重要措施。事实上，很多企业、机构及用户的网站或系统都疏于安全方面的管理。据IT界企业团体ITAA的调查显示，美国90的IT企业对黑客攻击准备不足。目前，美国7585的网站都抵挡不住黑客的攻击，约有75的企业网上信息失窃，其中25的企业损失在25万美元以上。此外，管理的缺陷还可能出现在系统内部人员泄露机密或外部人员通过非法手段截获而导致机密信息的泄漏，从而为一些不法分子制造了可乘之机。4 网络信息安全的内涵4.1 网络信息安全的要素确保网络系统的信息安全是网络安全的目标，对任何种类的网络系统而言，就是要阻止前面所有威胁的发生。对整个网络信息系统的保护最终是为了信息的安全，即信息的存储安全和信息的传输安全等。从网络信息系统的安全指标的角度来说，就是对信息的可用性、完整性和保密性的保护，更确切地说，是对网络资源的保密性（Confidentiality）、完整性（Integrity）和可用性（Availability）的保护（简称CIA三要素）。保密性指网络中的数据必须按照数据的拥有者的要求保证一定的秘密性，不会被未授权的第三方非法获知。具有敏感性的秘密信息，只有得到拥有者的许可，其他人才能够获得该信息，网络系统必须能够防止信息的非授权访问或泄露。完整性指网络中的信息安全、精确与有效，不因人为的因素而改变信息原有的内容、形式与流向，即不能为未授权的第三方修改。它包含数据完整性的内涵，即保证数据不被非法地改动和销毁，同样还包含系统完整性的内涵，即保证系统以无害的方式按照预定的功能运行，不受有意的或者意外的非法操作所破坏。信息的完整性是信息安全的基本要求，破坏信息的完整性是影响信息安全的常用手段。当前，运行于因特网上的协议（如TCPIP）等，能够确保信息在数据包级别的完整性，即做到了传输过程中不丢信息包，不重复接收信息包，但却无法制止未授权第三方对信息包内部的修改。可用性就是要保障网络资源无论在何时，无论经过何种处理，只要需要即可使用，而不因系统故障或误操作等使资源丢失或妨碍对资源的使用，使得严格时间要求的服务不能得到及时的响应。另外，网络可用性还包括具有在某些不正常条件下继续运行的能力。病毒就常常破坏信息的可用性，使系统不能正常运行，数据文件面目全非。后来，美国计算机安全专家又提出了一种新的安全框架，包括保密性、完整性、可用性、真实性（Authenticity）、实用性（Utility）、占有性（Possession），即在原来的基础上增加了真实性、实用性、占有性，认为这样才能解释各种网络安全问题。网络信息的真实性是指信息的可信度，主要是指信息的完整性、准确性和对信息所有者或发送者的身份的确认，它也是一个信息安全性的基本要素。网络信息的实用性是指信息加密密钥不可丢失（不是泄密），丢失了密钥的信息也就丢失了信息的实用性，成为垃圾。如果存储信息的节点、磁盘等信息载体被盗用，就导致对信息的占用权的丧失。保护信息占有性的方法有使用版权、专利、商业秘密性，提供物理和逻辑的存取限制方法，维护和检查有关盗窃文件的审记记录、使用标签等。近年来，学术界又开始提出一个新的安全概念可存活性（Survivability）。原来的系统并没有保证措施来抵抗各种系统错误和安全伤害，可存活的网络系统就是设计来在面对这些风险的时候仍然能够存活。所以可存活性指的就是网络计算机系统的这样一种能力：它能在面对各种攻击或错误的情况下继续提供核心的服务，而且能够及时地恢复全部的服务。这是一个新的融合计算机安全和商业风险管理的课题，它的焦点不仅是对抗计算机入侵者，还要保证在各种网络攻击的情况下商业目标得以实现，关键的商业功能得以保持。提高对网络攻击的系统可存活性，同时也提高了商业系统在面对一些并非恶意的事故与故障的可存活性。从广义上说，可存活性是一个工程的概念，它提供了一个自然的框架，可以把已有的或正在出现的软件工程概念集成到一个普通目标的服务中。这些已有的与可存活性相关的软件工程领域包括安全、容错、可靠、重用、性能、验证和测试等。目前对可存活性研究比较系统、深入的有美国计算机网络应急处理协调中心（computer Emergency Response Team Coordination Center，CERTCC）与CMU软件工程学院的合作研究。4.2 网络安全的实质从上面的分析可以看出，网络安全的实质就是要保障系统中的人、设备、设施、软件、数据以及各种供给品等要素避免各种偶然的或人为的破坏或攻击，使它们发挥正常，保障系统能安全可靠地工作。因而网络系统的安全应当包含以下内容：（1）要弄清网络系统受到的威胁及脆弱性，以便人们能注意到网络的这些弱点和它存在的特殊性问题。（2）要告诉人们怎样保护网络系统的各种资源，避免或减少自然或人为的破坏。（3）要开发和实施卓有成效的安全策略，尽可能减小网络系统所面临的各种风险。（4）要准备适当的应急计划，使网络系统中的设备、设施、软件和数据在受到破坏和攻击时，能够尽快恢复工作。（5）要制定完备的安全管理措施，定期检查这些安全措施的实施情况和有效性。（6）确保信息的安全，就是要保障信息完整、可用和保密的特性。总之，信息社会的迅速发展离不开网络技术和网络产品的发展，网络的广域化和实用化都对网络系统的安全性提出越来越高的要求。从广义上考虑的网络系统所包含的内容非常丰富，几乎囊括了现代计算机科学和技术的全部成果。为了提高网络安全性，需要从多个层次和环节入手，分别分析应用系统、宿主机、操作系统、数据库管理系统、S络管理系统、子网、分布式计算机系统和全网中的弱点，采取措施加以防范。24 小 结网络安全问题已经随着网络的发展和人们对网络依赖性的增强而日益成为一个严重的问题。网络上面临着各种各样的安全威胁与攻击，包括窃取机密攻击、非法访问、恶意攻击、社交工程、计算机病毒、不良信息资源和信息战等。目前网络上存在的安全问题大体上有物理安全问题、方案设计的缺陷、系统的安全漏洞、TCPIP协议的安全和人的因素等几个方面。最后我们给大家介绍了网络信息安全的传统的几个重要要素，包括保密性、完整性。可用性、真实性、实用性、占有性等。此外，可存活性是一个正在发展中的比较新的安全概念，它引入软件工程的思想，围绕系统的整个生命周期进行完全的防护。网络安全的实质就是要保障系统中的人、设备、设施、软件、数据以及各种供给品等要素避免各种偶然的或人为的破坏或攻击，使它们发挥正常，保障系统能安全可靠地工作。5 安全体系结构与模型安全体系结构定义了安全服务、安全机制、安全管理以及有关安全方面的其他问题。在这里我们主要介绍：ISO/OSI安全体系结构以及动态的自适应网络安全模型。接着介绍在Hurwitz Group提出的五层网络安全体系的基础上，我们提出的5层网络安全体系，以及在该体系之上的整体安全解决方案。5.1 ISO/OSI安全体系结构5.1.1 安全服务在对威胁进行分析的基础上，规定了5种标准的安全服务：（1）对象认证安全服务：用于识别对象的身份和对身份的证实。OSI环境可提供对等实体认证和信源认证等安全服务。对等实体认证是用来验证在某一关联的实体中，对等实体的声称是一致的，它可以确认对等实体没有假冒身份；而信源认证是用于验证所收到的数据来源与所声称的来源是否一致，它不提供防止数据中途被修改的功能。（2）访问控制安全服务：提供对越权使用资源的防御措施。访问控制可分为自主访问控制、强制型访问控制、基于角色的访问控制，。实现机制可以是基于访问控制属性的访问控制表、基于安全标签或用户和资源分档的多级访问控制等。（3）数据保密性安全服务：它是针对信息泄漏而采取的防御措施，可分为信息保密、选择段保密和业务流保密。它的基础是数据加密机制的选择。（4）数据完整性安全服务：防止非法篡改信息，如修改、复制、插入和删除等。它有5种形式：可恢复连接完整性、无恢复连接完整性、选择字段连接完整性、无连接完整性和选择字段无连接完整性。（5）防抵赖性安全服务：是针对对方抵赖的防范措施，用来证实发生过的操作，它可分为对发送防抵赖、对递交防抵赖和进行公证。5.1.2 安全机制一个安全策略和安全服务可以单个使用，也可以组合起来使用，在上述提到的安全服务中可以借助以下安全机制：（1）加密机制：借助各种加密算法对存放的数据和流通中的信息进行加密。DES算法已通过硬件实现，效率非常高。（2）数字签名：采用公钥体制，使用私钥进行数字签名，使用公钥对签名信息进行证实。（3）访问控制机制：根据访问者的身份和有关信息，决定实体的访问权限。（4）数据完整性机制：判断信息在传输过程中是否被篡改过，与加密机制有关。（5）认证交换机制：用来实现同级之间的认证。（6）防业务流量分析机制：通过填充冗余的业务流量来防止攻击者对流量进行分析，填充过的流量需通过加密进行保护。（7）路由控制机制：防止不利的信息通过路由。目前典型的应用为网络层防火墙。（8）公证机制：由公证人（第三方）参与数字签名，它基于通信双方对第三者都绝对相信。目前，因特网上有许多向用户提供此机制的服务。5.1.3 安全管理为了更有效地运用安全服务，需要有其他措施来支持它们的操作，这些措施即为安全管理。安全管理是对安全服务和安全机制进行管理，把管理信息分配到有关的安全服务和安全机制中去，并收集与它们的操作有关的信息。OSI概念化的安全体系结构是一个多层次的结构，它本身是面向对象的，给用户提供了各种安全应用，安全应用由安全服务来实现，而安全服务又是由各种安全机制来实现的。OSI提出了每一类安全服务所需要的各种安全机制，而安全机制如何提供安全服务的细节可以在安全框架内找到。表31表明了安全机制和安全服务的关系。 安全机制安全服务加密数字签名访问控制数据完整性认证交换防业务流量分析路由控制公证对象认证访问控制数据保密性数据完整性防抵赖性5.2 动态的自适应网络安全模型单纯的防护技术容易导致系统的盲目建设，这种盲目包括两方面：一方面是不了解安全威胁的严峻，不了解当前的安全现状；另一方面是安全投入过大而又没有真正抓住安全的关键环节，导致不必要的浪费。举例来说，一个水库的大坝到底应当修多高？大坝有没有漏洞？修好的大坝现在是否处在危险的状态？实际上，我们需要相应的检测机制，比如，利用工程探伤技术检查大坝修建和维护是否保证了大坝的安全；观察当前的水位是否超出了警戒水位。这样的检测机制对保证大坝的安全至关重要。当发现问题之后就需要迅速做出响应，比如立即修补大坝的漏洞并进行加固。如果到达警戒水位，大坝就需要有人24小时监护，还可能需要泄洪。这些措施实际上就是一些紧急应对和响应措施。对安全问题的处理方法也是类似的。由于系统的攻击日趋频繁，安全的概念已经不仅仅局限于信息的保护，人们需要的是对整个信息和网络系统的保护和防御，以确保它们的安全性，包括对系统的保护、检测和反应能力等。总的来说，安全模型已经从以前的被动保护转到了现在的主动防御，强调整个生命周期的防御和恢复。PDR模型就是最早提出的体现这样一种思想的安全模型。所谓PDR模型指的就是基于防护（Protection）、检测（Detection）、响应（Reaction）的安全模型。20世纪90年代末，美国国际互联网安全系统公司（ISS）提出了自适应网络安全模型 ANSM（AdaPtive Network Security Model），并联合其他厂商组成ANS联盟，试图在此基础上建立网络安全的标准。该模型即可量化、可由数学证明、基于时间的、以PDR为核心的安全模型，亦称为P2DR模型，这里P2DR是Policy（安全策略）、Protection（防护）、Detection（检测）和ResPonse（响应）的缩写。lPolicy（安全策略）根据风险分析产生的安全策略描述了系统中哪些资源要得到保护，以及如何实现对它们的保护等。安全策略是P2DR安全模型的核心，所有的防护、检测、响应都是依据安全策略实施的，企业安全策略为安全管理提供管理方向和支持手段。2Protection（防护）通过修复系统漏洞、正确设计开发和安装系统来预防安全事件的发生；通过定期检查来发现可能存在的系统脆弱性；通过教育等手段，使用户和操作员正确使用系统，防止意外威胁；通过访问控制、监视等手段来防止恶意威胁。3Detection（检测）在P2DR模型中，检测是非常重要的一个环节，检测是动态响应和加强防护的依据，它也是强制落实安全策略的有力工具，通过不断地检测和监控网络和系统，来发现新的威胁和弱点，通过循环反馈来及时做出有效的响应。4Response（响应）紧急响应在安全系统中占有最重要的地位，是解决安全潜在性问题最有效的办法。从某种意义上讲，安全问题就是要解决紧急响应和异常处理问题。信息系统的安全是基于时间特性的，P2DR安全模型的特点就在于动态性和基于时间的特性。下面我们先定义几个时间值：攻击时间Pt：表示从入侵开始到侵入系统的时间。攻击时间的衡量特性包括两个方面：入侵能力。系统脆弱性。高水平的人侵及安全薄弱的系统都能增强攻击的有效性，使攻击时间Pt缩短。检测时间Dt：系统安全检测包括发现系统的安全隐患和潜在攻击检测，以利于系统的安全评测。改进检测算法和设计可缩短Dt，提高对抗攻击的效率。检测系统按计划完成所有检测的时间为一个检测周期。检测与防护是相互关联的，适当的防护措施可有效缩短检测时间。响应时间Rt：包括检测到系统漏洞或监控到非法攻击到系统启动处理措施的时间。例如一个监控系统的响应可能包括监视、切换、跟踪、报警、反击等内容。而安全事件的后处理（如恢复、总结等）不纳入事件响应的范畴之内。系统暴露时间Et：系统的暴露时间是指系统处于不安全状况的时间，可以定义为Et=DtRt-Pt。我们认为，系统的检测时间与响应时间越长，或对系统的攻击时间越短，则系统的暴露时间越长，系统就越不安全。如果Et0（即DtRtPt，那么可以基于P2DR模型，认为该系统是安全的。所以从P2DR模型我们可以得出这样一个结论：安全的目标实际上就是尽可能地增大保护时间，尽量减少检测时间和响应时间。PPDRR模型是在P2DR模型的基础上新增加了一点Recovery即恢复，这样一旦系统安全事故发生了，也能恢复系统功能和数据，恢复系统的正常运行等。5.3 五层网络安全体系依据普通人的经验来看，一般的网络会涉及以下几个方面：首先是网络硬件，即网络的实体；第二则是网络操作系统，即对于网络硬件的操作与控制；第三就是网络中的应用程序。有了这3个部分，一般认为便可构成一个网络整体。而若要实现网络的整体安全，考虑上述三方面的安全问题也就足够了。但事实上，这种分析和归纳是不完整和不全面的。在应用程序的背后，还隐藏着大量的数据作为对前者的支持，而这些数据的安全性问题也应被考虑在内。同时，还有最重要的一点，即无论是网络本身还是操作系统与应用程序，它们最终都是要由人来操作和使用的，所以还有一个重要的安全问题就是用户的安全性。在经过系统和科学的分析之后，国际著名的网络安全研究公司 Hurwitz Group得出以下结论：在考虑网络安全问题的过程中，应该主要考虑以下5个方面的问题：网络是否安全？操作系统是否安全？用户是否安全？应用程序是否安全？数据是否安全？目前，这个五层次的网络系统安全体系理论已得到了国际网络安全界的广泛承认和支持，并将这一安全体系理论应用在其产品之中。下面我们就将逐一对每一层的安全问题做出简单的阐述和分析。5.3.1 网络层的安全性网络层的安全性问题核心在于网络是否得到控制，即是不是任何一个IP地址来源的用户都能够进入网络？如果将整个网络比作一幢办公大楼的话，对于网络层的安全考虑就如同为大楼设置守门人一样。守门人会仔细察看每一位来访者，一旦发现危险的来访者，便会将其拒