计算机网络安全教材

1、物理安全威胁、操作系统的安全缺陷、物理安全威胁、操作系统的安全缺陷、网络协议的安全缺陷、应用软件的实现缺网络协议的安全缺陷、应用软件的实现缺陷、用户使用的缺陷和恶意程序等陷、用户使用的缺陷和恶意程序等6个方面个方面的安全威胁。的安全威胁。 信息安全首先要保障信息的物理安全。物信息安全首先要保障信息的物理安全。物理安全是指在物理介质层次上对存储和传输的理安全是指在物理介质层次上对存储和传输的信息的安全保护。物理安全是信息安全的最基信息的安全保护。物理安全是信息安全的最基本保障，是不可缺少和忽视的组成部分。本保障，是不可缺少和忽视的组成部分。 物理安全威胁，即直接威胁网络设备。目前主要的物理安全威

2、胁，即直接威胁网络设备。目前主要的物理安全威胁包括以下物理安全威胁包括以下3大类。大类。 自然灾害。特点是突发性、自然因素性、非针自然灾害。特点是突发性、自然因素性、非针对性。这种安全威胁只破坏信息的完整性和可用性，无对性。这种安全威胁只破坏信息的完整性和可用性，无损信息的秘密性。损信息的秘密性。 电磁辐射。这种安全威胁只破坏信息的秘密性电磁辐射。这种安全威胁只破坏信息的秘密性，无损信息的完整性和可用性。，无损信息的完整性和可用性。 操作失误和意外疏忽（例如，系统掉电、操作操作失误和意外疏忽（例如，系统掉电、操作系统死机等系统崩溃）。特点是人为实施的无意性和非系统死机等系统崩溃）。特点是人为实

3、施的无意性和非针对性。这种安全威胁只破坏信息的完整性和可用性，针对性。这种安全威胁只破坏信息的完整性和可用性，无损信息的秘密性。无损信息的秘密性。 操作系统是用户和硬件设备的中间层，操作系统是用户和硬件设备的中间层，是任何计算机在使用前都必须安装的。是任何计算机在使用前都必须安装的。 目前，人们使用的操作系统分为两大类目前，人们使用的操作系统分为两大类：UNIX/Linux系列和系列和Windows系列。下面系列。下面分别举例说明这两大类操作系统中存在的分别举例说明这两大类操作系统中存在的安全缺陷。安全缺陷。 大多数信息安全工具都包含一个信息安全缺陷大多数信息安全工具都包含一个信息安全缺陷的数

4、据库，但是，这些数据库对信息安全缺陷的描的数据库，但是，这些数据库对信息安全缺陷的描述格式各不相同。述格式各不相同。 CVE是信息安全确认的一个列表或者词典。它是信息安全确认的一个列表或者词典。它对不同信息安全缺陷的数据库之间提供一种公共的对不同信息安全缺陷的数据库之间提供一种公共的索引，是信息共享的关键。有了索引，是信息共享的关键。有了CVE检索之后，一检索之后，一个缺陷就有了一个公共的名字，从而可以通过个缺陷就有了一个公共的名字，从而可以通过CVE的条款检索到包含该缺陷的所有数据库。的条款检索到包含该缺陷的所有数据库。CVE有如下几个特点：有如下几个特点： 每一种缺陷都有惟一的命名；每一种

5、缺陷都有惟一的命名； 每一种缺陷都有惟一的标准描述；每一种缺陷都有惟一的标准描述； CVE不是一个数据库而是一种检索词典；不是一个数据库而是一种检索词典； CVE为多个不同的数据库提供一种交流的为多个不同的数据库提供一种交流的共同语言；共同语言； CVE是评价信息安全数据库的一个基础；是评价信息安全数据库的一个基础； CVE可以通过因特网阅读和下载；可以通过因特网阅读和下载； CVE的会员可以给的会员可以给CVE提供自己数据库的提供自己数据库的索引信息及其修改信息。索引信息及其修改信息。 远程过程调用允许一台机器上的程序执远程过程调用允许一台机器上的程序执行另一台机器上的程序。它们被广泛地用于

6、行另一台机器上的程序。它们被广泛地用于提供网络服务，如提供网络服务，如NFS文件共享和文件共享和NIS。很。很多多UNIX操作系统的操作系统的RPC软件包中包含具有软件包中包含具有缓冲区溢出缺陷的程序。以下的程序具有缓缓冲区溢出缺陷的程序。以下的程序具有缓冲区溢出的缺陷。冲区溢出的缺陷。 rpc.yppasswdd： rpc.espd： rpc.cmsd： rpc.ttdbserver： rpc.bind： 如果系统运行上述程序之一，那么系统就很可如果系统运行上述程序之一，那么系统就很可能受到能受到RPC服务缓冲区溢出的攻击。值得注意的是，服务缓冲区溢出的攻击。值得注意的是，UNIX的绝大部分

7、版本都具有这个缺陷。解决这个的绝大部分版本都具有这个缺陷。解决这个问题的最好方案是全部删除这些服务。在必须运行问题的最好方案是全部删除这些服务。在必须运行该服务的地方，安装最新的补丁。该服务的地方，安装最新的补丁。 Sendmail是在是在UNIX和和Linux操作系统中操作系统中用得最多的发送、接收和转发电子邮件的程用得最多的发送、接收和转发电子邮件的程序。序。 Sendmail在因特网上的广泛应用使它在因特网上的广泛应用使它成为攻击者的主要目标，过去的几年里曾发成为攻击者的主要目标，过去的几年里曾发现了若干个缺陷。现了若干个缺陷。 Sendmail有很多易受攻击的弱点，必须有很多易受攻击的

8、弱点，必须定期地更新和打补丁。定期地更新和打补丁。 Unicode是是ISO发布的统一全球文字符号的国发布的统一全球文字符号的国际标准编码。它是一种双字节的编码。际标准编码。它是一种双字节的编码。 通过向通过向IIS（Internet Information Server）服）服务器发出一个包括非法务器发出一个包括非法Unicode UTF-8序列的序列的URL，攻击者可以迫使服务器逐字，攻击者可以迫使服务器逐字“进入或退出进入或退出”目录目录并执行任意脚本，这种攻击称为目录转换（并执行任意脚本，这种攻击称为目录转换（Directory Traversal）攻击。）攻击。 Microsoft

9、IIS（Internet Information Server）是在大多数是在大多数Microsoft Windows NT和和Windows 2000服务器上使用的服务器软件。在安装服务器上使用的服务器软件。在安装IIS的时候，多的时候，多个个ISAPI（Internet Services Application Programming Interface）被自动安装。）被自动安装。ISAPI允许开允许开发人员使用多种动态链接库发人员使用多种动态链接库DLLs来扩展来扩展IIS服务器的服务器的性能。一些动态链接库，例如性能。一些动态链接库，例如idq.dll，有编程错误，有编程错误，使得它们

10、进行不正确的边界检查。特别是，它们不使得它们进行不正确的边界检查。特别是，它们不阻塞超长字符串。攻击者可以利用这一点向阻塞超长字符串。攻击者可以利用这一点向DLL发发送数据，造成缓冲区溢出，进而控制送数据，造成缓冲区溢出，进而控制IIS服务器。服务器。 解决上述问题的方案是如果发现系统具解决上述问题的方案是如果发现系统具有这种缺陷，则安装最新的有这种缺陷，则安装最新的Microsoft补丁。补丁。同时，应检查并取消所有不需要的同时，应检查并取消所有不需要的ISAPI扩扩展。经常检查这些扩展是否被恢复。还要记展。经常检查这些扩展是否被恢复。还要记住最小权限规则，系统应运行系统正常工作住最小权限规

11、则，系统应运行系统正常工作所需的最少服务所需的最少服务。 TCP/IP是目前是目前Internet使用的协议。使用的协议。 TCP/IP也存在着一系列的安全缺陷。也存在着一系列的安全缺陷。有的缺陷是由于源地址的认证问题造成的，有的缺陷是由于源地址的认证问题造成的，有的缺陷则来自网络控制机制和路由协议有的缺陷则来自网络控制机制和路由协议等。这些缺陷，是所有使用等。这些缺陷，是所有使用TCP/IP的系统的系统所共有的，以下将讨论这些安全隐患。所共有的，以下将讨论这些安全隐患。 TCP/IP是一组是一组Internet协议，不但包括协议，不但包括TCP和和IP两个关键协议，还包括其他协议，如两个关键

12、协议，还包括其他协议，如UDP、ARP、ICMP、Telnet和和FTP等。等。TCP/IP的设计目标是使不的设计目标是使不同的网络互相连接，即实现互联网。同的网络互相连接，即实现互联网。 图图1.1 TCP/IP基本逻辑结构基本逻辑结构 IPv4的地址是的地址是32bit，目前正在推出，目前正在推出IPv6，其地址为其地址为128bit。以太网。以太网MAC地址是地址是48bit。TCP/IP层次结构有两个重要原则：在同层次结构有两个重要原则：在同一端点，每一层只和邻接层打交道，例如，应用一端点，每一层只和邻接层打交道，例如，应用程序根本不关心网络层是怎么转发包以及数据在程序根本不关心网络层

13、是怎么转发包以及数据在哪些网络上传输；不同端点之间的同一层有对哪些网络上传输；不同端点之间的同一层有对等关系，对等层之间可以进行通信，如应用程序等关系，对等层之间可以进行通信，如应用程序之间的通信，之间的通信，TCP模块之间的通信等。模块之间的通信等。 通信模型是通信模型是TCP/IP最基本的模型之一，它描最基本的模型之一，它描述了端和端之间怎样传输数据。如在图述了端和端之间怎样传输数据。如在图1.1中，各中，各层模块之间的连接表示数据流的路线。层模块之间的连接表示数据流的路线。 TCP/IP提供两个主要的传输协议：提供两个主要的传输协议：TCP和和UDP。TCP是一个面向连接的协议，它通过发

14、送是一个面向连接的协议，它通过发送和确认机制，保证数据无错误传输。和确认机制，保证数据无错误传输。UDP是无连是无连接的，它只管发送和接收所有的包，不保证数据接的，它只管发送和接收所有的包，不保证数据是否到达。是否到达。 TCP/IP的另一个主要功能是实现不同的另一个主要功能是实现不同网络之间的互连。网络互连功能在网络层网络之间的互连。网络互连功能在网络层实现，即一个实现，即一个IP模块连接到两个不同的物模块连接到两个不同的物理链路层可以实现这两个网络之间的互连，理链路层可以实现这两个网络之间的互连，如图如图1.2所示。所示。图图1.2 一个一个IP模块连接两个网络模块连接两个网络 TCP序列

15、号预计由莫里斯首先提出，是网络安序列号预计由莫里斯首先提出，是网络安全领域中最有名的缺陷之一。这种攻击的实质，是全领域中最有名的缺陷之一。这种攻击的实质，是在不能接到目的主机应答确认时，通过预计序列号在不能接到目的主机应答确认时，通过预计序列号来建立连接。这样，入侵者可以伪装成信任主机与来建立连接。这样，入侵者可以伪装成信任主机与目的主机通话。目的主机通话。 正常的正常的TCP连接建立过程是一个三次握手的过连接建立过程是一个三次握手的过程，客户方取一初始序列号程，客户方取一初始序列号ISNc并发出第一个并发出第一个SYN包，服务方确认这一包并设自己一方的初始序列号包，服务方确认这一包并设自己一

16、方的初始序列号为为ISNs，客户方确认后这一连接即建立。一旦连接，客户方确认后这一连接即建立。一旦连接建立成功，客户方和服务方之间即可以开始传输数建立成功，客户方和服务方之间即可以开始传输数据。连接建立过程可以被描述如下：据。连接建立过程可以被描述如下： 在在IP包头中的源路由选项用于该包头中的源路由选项用于该IP包的路由包的路由选择，这样，一个选择，这样，一个IP包可以按照预告指定的路由包可以按照预告指定的路由到达目的主机。到达目的主机。 但这样也给入侵者创造了良机，当预先知道某但这样也给入侵者创造了良机，当预先知道某一主机有一个信任主机时，即可利用源路由选项伪一主机有一个信任主机时，即可利

17、用源路由选项伪装成受信任主机，从而攻击系统，这相当于使主机装成受信任主机，从而攻击系统，这相当于使主机可能遭到来自所有其他主机的攻击。可能遭到来自所有其他主机的攻击。 伪造伪造ARP包是一种很复杂的技术，涉及到包是一种很复杂的技术，涉及到TCP/IP及以太网特性的很多方面，在此归入及以太网特性的很多方面，在此归入ARP的安全问题的安全问题不是很合适。伪造不是很合适。伪造ARP包的主要过程是，以目的主机包的主要过程是，以目的主机的的IP地址和以太网地址为源地址发一地址和以太网地址为源地址发一ARP包，这样即包，这样即可造成另一种可造成另一种IP spoof。 这种攻击主要见于交换式以太网中，在这

18、种攻击主要见于交换式以太网中，在交换式以太网中，交换集线器在收到每一交换式以太网中，交换集线器在收到每一ARP包时更新包时更新Cache。不停发。不停发spoof ARP包可包可使送往目的主机的包均送到入侵者处，这样，使送往目的主机的包均送到入侵者处，这样，交换式以太网也可被监听。交换式以太网也可被监听。 解决上述问题的方法是：将交换集线器解决上述问题的方法是：将交换集线器设为静态绑定。另一可行的方法是当发现主设为静态绑定。另一可行的方法是当发现主机运行不正常时（网速慢，机运行不正常时（网速慢，IP包丢失率较包丢失率较高），反映给网络管理员。高），反映给网络管理员。 RIP（Routing I

19、nformation Protocol）是用）是用于自治系统（于自治系统（Autonomous System，AS）内部）内部的一种内部路由协议（的一种内部路由协议（Internal Gateway Protocol，IGP）。）。RIP用于在自治系统内部的用于在自治系统内部的路由器之间交换路由信息。路由器之间交换路由信息。RIP使用的路由算使用的路由算法是距离向量算法。该算法的主要思想就是每法是距离向量算法。该算法的主要思想就是每个路由器给相邻路由器宣布可以通过它达到的个路由器给相邻路由器宣布可以通过它达到的路由器及其距离。一个入侵者有可能向目的主路由器及其距离。一个入侵者有可能向目的主机以

20、及沿途的各网关发出伪造的路由信息。机以及沿途的各网关发出伪造的路由信息。 OSPF（Open Shortest Path First）协议是）协议是用于自治域内部的另一种路由协议。用于自治域内部的另一种路由协议。OSPF协议协议使用的路由算法是链路状态（使用的路由算法是链路状态（Link-State）算法）算法。在该算法中，每个路由器给相邻路由器宣布。在该算法中，每个路由器给相邻路由器宣布的信息是一个完整的路由状态，包括可到达的的信息是一个完整的路由状态，包括可到达的路由器，连接类型和其他相关信息。路由器，连接类型和其他相关信息。 LSA（Link State Advertisement）是）

21、是OSPF协议中路由器之间要交换的信息。一个协议中路由器之间要交换的信息。一个LSA头格式如图头格式如图1.3所示。所示。 LS序列号为序列号为32bit，用来指示该，用来指示该LSA的更的更新程度。新程度。LS序列号是一个有符号整数，大小序列号是一个有符号整数，大小介于介于0 x80000001（负值）和（负值）和0 x7fffffff之间。之间。 图图1.3 LSA头格式头格式 以太网（以太网（Ethernet）是网络结构中，链路层和物）是网络结构中，链路层和物理层的主要连网方式。由于以太网的工作方式，网络请理层的主要连网方式。由于以太网的工作方式，网络请求在网上一般以广播的方式传送，这个

22、广播是非验证的求在网上一般以广播的方式传送，这个广播是非验证的，也就是同网段的每个计算机都可以收到，除了目标接，也就是同网段的每个计算机都可以收到，除了目标接受者会应答这个信息外，其他的接受者会忽略这个广播受者会应答这个信息外，其他的接受者会忽略这个广播。如果有一个网络设备专门收集广播而决不应答，那么。如果有一个网络设备专门收集广播而决不应答，那么，它就可以看到本网的任何计算机在网上传输的数据。，它就可以看到本网的任何计算机在网上传输的数据。如果数据没有经过加密，那么它就可以看到所有的内容如果数据没有经过加密，那么它就可以看到所有的内容。Sniffer就是一个在以太网上进行监听的专用软件。就是

23、一个在以太网上进行监听的专用软件。监听这个现象对网络的安全威胁是相当大的，因为它可监听这个现象对网络的安全威胁是相当大的，因为它可以做到以下几点。以做到以下几点。 这是由于以下几点原因。这是由于以下几点原因。 finger没有任何认证机制。任何人都可利用没有任何认证机制。任何人都可利用finger来获得目的主机的有关信息。来获得目的主机的有关信息。 finger所提供的信息包括用户名，用户来自于所提供的信息包括用户名，用户来自于何处等，这些信息可以用于口令的猜测攻击，以何处等，这些信息可以用于口令的猜测攻击，以及信任主机被假冒的攻击，具有很大的潜在危险。及信任主机被假冒的攻击，具有很大的潜在危

24、险。 finger没有认证，这使得无法辨别一个主机是没有认证，这使得无法辨别一个主机是否在基于否在基于“正当的正当的”目的使用目的使用finger，这使得用户，这使得用户即使被攻击，也无法辨明即使被攻击，也无法辨明finger在其中起了多大作在其中起了多大作用。用。解决上述问题的方法是：关掉解决上述问题的方法是：关掉finger服务，服务，如果有充分理由打开如果有充分理由打开finger服务的话，不妨将服务的话，不妨将finger设为：设为：/bin/cat/etc/something FTP本身并无安全问题，但几乎所有的实现都本身并无安全问题，但几乎所有的实现都存在如下问题。存在如下问题。

25、FTP一般用户的口令与登录口令相同，而且采用一般用户的口令与登录口令相同，而且采用明文传输。明文传输。 一些网点上的匿名一些网点上的匿名FTP提供了另一攻击途径。提供了另一攻击途径。 Telnet本身也并没有安全问题。它的安全本身也并没有安全问题。它的安全隐患类似隐患类似FTP的，只不过要更严重一些。的，只不过要更严重一些。由于由于Telnet是用明文传输的，因此不仅是用是用明文传输的，因此不仅是用户口令，而且用户的所有操作及其回答，都户口令，而且用户的所有操作及其回答，都将是透明的。将是透明的。 由于由于POP3的口令与账号的口令相同，的口令与账号的口令相同，在此它存在着类似在此它存在着类似

26、FTP的问题，解决方法的问题，解决方法也是类似的。也是类似的。 tftp允许不经认证就能读主机的那些被允许不经认证就能读主机的那些被设置成所有人可读的文件。这将可能暴露系设置成所有人可读的文件。这将可能暴露系统的账号、工作目录等重要信息。统的账号、工作目录等重要信息。 软件实现缺陷是由于程序员在编程的时软件实现缺陷是由于程序员在编程的时候没有考虑周全而造成的。软件缺陷一般可候没有考虑周全而造成的。软件缺陷一般可以分为以下几种类型：以分为以下几种类型： 输入确认错误；输入确认错误； 访问确认错误；访问确认错误； 特殊条件错误；特殊条件错误； 设计错误；设计错误； 配置错误；配置错误； 竞争条件错

27、误；竞争条件错误； 其他。其他。 在输入确认错误的程序中，由用户输入在输入确认错误的程序中，由用户输入的字符串没有经过适当的检查，使得黑客可的字符串没有经过适当的检查，使得黑客可以通过输入一个特殊的字符串造成程序运行以通过输入一个特殊的字符串造成程序运行错误。错误。 输入确认错误的另一个子集就是边界条输入确认错误的另一个子集就是边界条件溢出。边界条件溢出指的是程序中的一个件溢出。边界条件溢出指的是程序中的一个变量值超过它自己边界条件时的程序运行错变量值超过它自己边界条件时的程序运行错误。误。 访问确认错误指的是系统的访问控制机制访问确认错误指的是系统的访问控制机制出现错误。错误并不在于用户可控

28、制的配置部出现错误。错误并不在于用户可控制的配置部分，而在系统的控制机制本身。所以，这样的分，而在系统的控制机制本身。所以，这样的缺陷有可能使得系统运行不稳定，但是基本上缺陷有可能使得系统运行不稳定，但是基本上不能被利用去攻击系统，因为它的运行错误不不能被利用去攻击系统，因为它的运行错误不受用户的控制。受用户的控制。用户使用的缺陷体现在以下几个方面：用户使用的缺陷体现在以下几个方面： 密码易于被破解；密码易于被破解； 软件使用的错误；软件使用的错误； 系统备份不完整。系统备份不完整。 除了软件自身的缺陷以外，软件的使用错除了软件自身的缺陷以外，软件的使用错误还体现在以下几个方面。误还体现在以下

29、几个方面。 系统是否有备份？系统是否有备份？ 备份间隔是可接受的吗？备份间隔是可接受的吗？ 系统是按规定进行备份的吗？系统是按规定进行备份的吗？ 是否确认备份介质正确地保存了数据？是否确认备份介质正确地保存了数据？ 备份介质是否在室内得到了正确的保护？备份介质是否在室内得到了正确的保护？ 是否在另一处还有操作系统和存储设施的备份是否在另一处还有操作系统和存储设施的备份（包括必要的（包括必要的license key）？）？ 存储过程是否被测试及确认？存储过程是否被测试及确认？ 恶意代码是这几年比较新的概念。可以说，恶意代码是这几年比较新的概念。可以说，这些代码是攻击、病毒和特洛伊木马的结合。恶这

30、些代码是攻击、病毒和特洛伊木马的结合。恶意代码不但破坏计算机系统（像计算机病毒），意代码不但破坏计算机系统（像计算机病毒），给黑客留出后门（像特洛伊木马），它还能够主给黑客留出后门（像特洛伊木马），它还能够主动去攻击并感染别的机器。动去攻击并感染别的机器。 计算机病毒是一种计算机程序，它可以计算机病毒是一种计算机程序，它可以寄生在一定的载体上，具有隐蔽性、传染性寄生在一定的载体上，具有隐蔽性、传染性和破坏性。计算机病毒的影响对象就是计算和破坏性。计算机病毒的影响对象就是计算机，也就是这个定义中提到的载体，隐蔽性机，也就是这个定义中提到的载体，隐蔽性、传染性和破坏性都是针对计算机而言。、传染性和

31、破坏性都是针对计算机而言。 网络安全的另一种威胁是特洛伊木马。与网络安全的另一种威胁是特洛伊木马。与计算机病毒一样，特洛伊木马并不是利用系统计算机病毒一样，特洛伊木马并不是利用系统本身留下的缺陷而是设计者故意创造出来的，本身留下的缺陷而是设计者故意创造出来的，用来对系统进行攻击的一种工具。特洛伊木马用来对系统进行攻击的一种工具。特洛伊木马与病毒的不同点在于，病毒的设计目标是破坏与病毒的不同点在于，病毒的设计目标是破坏系统，而特洛伊木马的设计目标是远程控制受系统，而特洛伊木马的设计目标是远程控制受害系统。这样，特洛伊木马可以直接影响信息害系统。这样，特洛伊木马可以直接影响信息的机密性、完整性和可

32、用性。的机密性、完整性和可用性。 恶意代码是一种计算机程序，它既有利恶意代码是一种计算机程序，它既有利用系统缺陷的攻击特性，又有计算机病毒和用系统缺陷的攻击特性，又有计算机病毒和特洛伊木马的特性。下面分别讨论这特洛伊木马的特性。下面分别讨论这3种特种特性。性。 可以把信息安全看成一个由多个安全单可以把信息安全看成一个由多个安全单元组成的集合，其中每一个安全单元都是一元组成的集合，其中每一个安全单元都是一个整体，包含了多个特性。一般来说，人们个整体，包含了多个特性。一般来说，人们都从都从3个主要特性去理解一个安全单元，就个主要特性去理解一个安全单元，就是安全特性、结构层次和系统单元。安全单是安全

33、特性、结构层次和系统单元。安全单元集合可以用一个三维的安全空间去描述它，元集合可以用一个三维的安全空间去描述它，如图如图1.6所示。所示。图图1.6 信息安全空间信息安全空间 OSI安全体系结构主要包括三部分内容，安全体系结构主要包括三部分内容，即安全服务、安全机制和安全管理。即安全服务、安全机制和安全管理。 安全控制是指在微机操作系统和网络通信设备安全控制是指在微机操作系统和网络通信设备上对存储和传输的信息的操作和进程进行控制和管上对存储和传输的信息的操作和进程进行控制和管理，主要是在信息处理层次上对信息进行的初步的理，主要是在信息处理层次上对信息进行的初步的安全保护，可以分为以下安全保护，

34、可以分为以下3个层次。个层次。 OSI安全体系结构定义了一组安全服务，主要安全体系结构定义了一组安全服务，主要包括认证服务、访问控制服务、数据保密服务、包括认证服务、访问控制服务、数据保密服务、数据完整性服务和抗抵赖服务。数据完整性服务和抗抵赖服务。 认证服务提供某个实体的身份保证。认证服务提供某个实体的身份保证。认证服务有对等实体认证和数据起源认证两种类认证服务有对等实体认证和数据起源认证两种类型，现分述如下。型，现分述如下。 对等实体认证服务就是，在一个实体与实体对等实体认证服务就是，在一个实体与实体的连接中，每一方确认对方的身份。的连接中，每一方确认对方的身份。 数据起源认证服务就是，在

35、通信的某个环节数据起源认证服务就是，在通信的某个环节中，需要确认某个数据是由某个发送者发送的。中，需要确认某个数据是由某个发送者发送的。 访问控制服务就是对某些确知身份限制对某些访问控制服务就是对某些确知身份限制对某些资源的访问。资源的访问。 访问控制服务直接支持保密性、完整性、可用访问控制服务直接支持保密性、完整性、可用性和认证的安全性能，其中对保密性、完整性和认性和认证的安全性能，其中对保密性、完整性和认证所起的作用十分明显。证所起的作用十分明显。 图图1.7 访问控制服务一般模型访问控制服务一般模型 数据保密性服务要保证数据在传输过程中的数据保密性服务要保证数据在传输过程中的保密性。保密

36、性。 无连接保密性服务保证数据在无连接的一次无连接保密性服务保证数据在无连接的一次通信中的保密性。通信中的保密性。业务流保密性服务保证数据不能通过其流量业务流保密性服务保证数据不能通过其流量特征而推断出其中的保密信息。特征而推断出其中的保密信息。数据完整性服务直接保证数据的完整性。数据完整性服务直接保证数据的完整性。 抗抵赖服务与其他安全服务有根本的不同。它抗抵赖服务与其他安全服务有根本的不同。它主要保护通信系统不会遭到来自系统中其他合法用主要保护通信系统不会遭到来自系统中其他合法用户的威胁，而不是来自未知攻击者的威胁。户的威胁，而不是来自未知攻击者的威胁。 抗抵赖服务包括如下两种形式。抗抵赖

37、服务包括如下两种形式。 服务可用性服务可用性是一种可被授权实体访问并按需是一种可被授权实体访问并按需求使用的特性，即当需要时被授权实体能否存取求使用的特性，即当需要时被授权实体能否存取所需的信息。所需的信息。 可控性可控性是一种对信息的传播及内容具有控制是一种对信息的传播及内容具有控制能力的特性。能力的特性。 一个最常见的安全模型就是一个最常见的安全模型就是PDRR模模型。型。PDRR由由4个英文单词的头一个字符组个英文单词的头一个字符组成：成：Protection（防护）、（防护）、Detection（检（检测）、测）、Response（响应）和（响应）和Recovery（恢（恢复）。这复）

38、。这4个部分组成了一个动态的信息安个部分组成了一个动态的信息安全周期，如图全周期，如图1.8所示。所示。 安全策略的每一部分包括一组安全单元安全策略的每一部分包括一组安全单元来实施一定的安全功能。来实施一定的安全功能。 图图1.8 信息安全策略信息安全策略 风险评估属于网络安全防护类型。风险评估就风险评估属于网络安全防护类型。风险评估就是发现并修补系统和网络存在的安全缺陷。是发现并修补系统和网络存在的安全缺陷。 安全缺陷可以分为两种，允许远程攻击的缺陷安全缺陷可以分为两种，允许远程攻击的缺陷和只允许本地攻击的缺陷。和只允许本地攻击的缺陷。 对于允许远程攻击的安全缺陷，可以使用网络对于允许远程攻击的安全缺陷，可以使用网络缺陷扫描工具去发现。缺陷扫描工具去发现。 访问控制技术属于网络安全防护类型。访问控制技术属于网络安全防护类型。数据加密技术是信息安全防护的重要技术。数据加密技术是信息安全防护的重要技术。鉴别技术也是信息安全防护的重要技术。鉴别技术也是信息安全防护的重要技术。PDRR模型的第二个环节是检测（模型的第二个环节是检测（D）。）。 检测和防护有根本性的区别。如果防护和黑客检测和防护有根本性的区别。如果防护和黑客的关系是：的关系是：“防护在明，黑客在暗防护在明，黑客在暗”，那么检测和黑，那么检测和黑客的关系就