第一章网络安全概述

第一章网络安全概述

1/14/20231网络安全介绍网络安全是信息安全学科的重要组成部分。信息安全是一门交叉学科，广义上，信息安全涉及多方面的理论和应用知识，除了数学、通信、计算机等自然科学外，还涉及法律、心理学等社会科学。狭义上，也就是通常说的信息安全，只是从自然科学的角度介绍信息安全的研究内容。信息安全各部分研究内容及相互关系如图

1/14/20232

第一章网络安全概述1.1网络安全的内涵和属性

1.2网络安全的威胁

1.3网络安全策略、安全服务与安全机制

1.4网络安全体系结构1.5网络信息安全的评价标准1.6我国网络信息安全的相关法规

1.7小结

1/14/20233内容提要本章介绍了网络安全的相关基本概念，使学生理解网络安全的内涵和属性、掌握网络安全的基本安全服务和安全机制，了解网络的各种安全威胁，网络安全的体系结构和评估准则。1/14/202341.1网络安全的内涵和属性1.1.1网络安全的内涵网络安全（NetworkSecurity）涉及计算机科学、通信技术、密码理论、信息论等多个学科，因此迄今为止，学术界对网络安全仍没有一个统一的定义。要了解网络安全的内涵，首先要了解计算机网络的概念。计算机网络是地理上分散的多台自主计算机互联的集合。从该定义中我们可以了解到计算机网络安全涉及的内容：包括计算机主机软硬件系统安全、通信系统安全以及各种网络应用和服务的安全。1/14/202351.1.2网络安全的属性从技术角度上讲，网络安全的主要属性表现在网络信息系统的机密性、完整性、可用性、可控性、不可抵赖性等方面。1/14/20236保密性Confidentiality保密性是指保证信息不能被非授权访问，即使非授权用户得到信息也无法知晓信息内容，因而不能使用。通常通过访问控制阻止非授权用户获得机密信息，通过加密变换阻止非授权用户获知信息内容。1/14/20237完整性Integrity完整性是指维护信息的一致性，即信息在生成、传输、存储和使用过程中不应发生人为或非人为的非授权篡改。一般通过访问控制阻止篡改行为，同时通过消息摘要算法来检验信息是否被篡改。信息的完整性包括两个方面：（1）数据完整性：数据没有被未授权篡改或者损坏；（2）系统完整性：系统未被非法操纵，按既定的目标运行。1/14/20238可用性Availability可用性是指保障信息资源随时可提供服务的能力特性，即授权用户根据需要可以随时访问所需信息。可用性是信息资源服务功能和性能可靠性的度量，涉及到物理、网络、系统、数据、应用和用户等多方面的因素，是对信息网络总体可靠性的要求。1/14/20239除了这三方面的要求，信息还要求真实性，即个体身份的认证，适用于用户、进程、系统等；要求可说明性，即确保个体的活动可被跟踪；要求可靠性，即行为和结果的可靠性、一致性。1/14/2023101.2网络安全的威胁

网络信息安全面临的威胁来自很多方面，并且随着时间的变化而变化。总体说来，这些威胁可以宏观地分为人为威胁和自然威胁（见图1-1）。自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备自然老化等。这些事件有时会直接威胁网络安全，影响信息的存储媒介。本节主要介绍人为威胁（也称为人为攻击）。1/14/202311网络安全的层次体系从层次体系上，可以将网络安全分成四个层次上的安全：1、物理安全；2、逻辑安全；3、操作系统安全；4、联网安全。1/14/202312物理安全物理安全主要包括五个方面：1、防盗；2、防火；3、防静电；4、防雷击；5、防电磁泄漏。1、防盗：

像其他的物体一样，计算机也是偷窃者的目标，例如盗走软盘、主板等。计算机偷窃行为所造成的损失可能远远超过计算机本身的价值，因此必须采取严格的防范措施，以确保计算机设备不会丢失。1/14/202313物理安全2、防火：

计算机机房发生火灾一般是由于电气原因、人为事故或外部火灾蔓延引起的。电气设备和线路因为短路、过载、接触不良、绝缘层破坏或静电等原因引起电打火而导致火灾。

人为事故是指由于操作人员不慎，吸烟、乱扔烟头等，使存在易燃物质（如纸片、磁带、胶片等）的机房起火，当然也不排除人为故意放火。外部火灾蔓延是因外部房间或其他建筑物起火而蔓延到机房而引起火灾。1/14/202314物理安全3、防静电：静电是由物体间的相互摩擦、接触而产生的，计算机显示器也会产生很强的静电。静电产生后，由于未能释放而保留在物体内，会有很高的电位（能量不大），从而产生静电放电火花，造成火灾。还可能使大规模集成电器损坏，这种损坏可能是不知不觉造成的。1/14/202315物理安全4、防雷击利用引雷机理的传统避雷针防雷，不但增加雷击概率，而且产生感应雷，而感应雷是电子信息设备被损坏的主要杀手，也是易燃易爆品被引燃起爆的主要原因。雷击防范的主要措施是，根据电气、微电子设备的不同功能及不同受保护程序和所属保护层确定防护要点作分类保护；根据雷电和操作瞬间过电压危害的可能通道从电源线到数据通信线路都应做多层保护。1/14/202316物理安全5、防电磁泄漏电子计算机和其他电子设备一样，工作时要产生电磁发射。(电磁发射包括辐射发射和传导发射。)这两种电磁发射可被高灵敏度的接收设备接收并进行分析、还原，造成计算机的信息泄露。屏蔽是防电磁泄漏的有效措施，屏蔽主要有电屏蔽、磁屏蔽和电磁屏蔽三种类型。1/14/202317逻辑安全计算机的逻辑安全需要用口令、文件许可等方法来实现。可以限制登录的次数或对试探操作加上时间限制；可以用软件来保护存储在计算机文件中的信息；限制存取的另一种方式是通过硬件完成，在接收到存取要求后，先询问并校核口令，然后访问列于目录中的授权用户标志号。此外，有一些安全软件包也可以跟踪可疑的、未授权的存取企图，例如，多次登录或请求别人的文件。1/14/202318操作系统安全

操作系统是计算机中最基本、最重要的软件。同一计算机可以安装几种不同的操作系统。如果计算机系统可提供给许多人使用，操作系统必须能区分用户，以便于防止相互干扰。一些安全性较高、功能较强的操作系统可以为计算机的每一位用户分配账户。通常，一个用户一个账户。操作系统不允许一个用户修改由另一个账户产生的数据。1/14/202319联网安全联网的安全性通过两方面的安全服务来达到：1、访问控制服务：用来保护计算机和联网资源不被非授权使用。2、通信安全服务：用来认证数据机要性与完整性，以及各通信的可信赖性。1/14/202320研究网络安全的必要性网络需要与外界联系，受到许多方面的威胁物理威胁系统漏洞造成的威胁身份鉴别威胁线缆连接威胁有害程序等方面威胁。1/14/202321物理威胁

物理威胁包括四个方面：偷窃、废物搜寻、间谍行为和身份识别错误。1、偷窃网络安全中的偷窃包括偷窃设备、偷窃信息和偷窃服务等内容。如果他们想偷的信息在计算机里，那他们一方面可以将整台计算机偷走，另一方面通过监视器读取计算机中的信息。1/14/202322物理威胁

2、废物搜寻就是在废物（如一些打印出来的材料或废弃的软盘）中搜寻所需要的信息。在微机上，废物搜寻可能包括从未抹掉有用东西的软盘或硬盘上获得有用资料。3、间谍行为是一种为了省钱或获取有价值的机密、采用不道德的手段获取信息。1/14/202323物理威胁

4、身份识别错误非法建立文件或记录，企图把他们作为有效的、正式生产的文件或记录，如对具有身份鉴别特征物品如护照、执照、出生证明或加密的安全卡进行伪造，属于身份识别发生错误的范畴。这种行为对网络数据构成了巨大的威胁。1/14/202324系统漏洞威胁系统漏洞造成的威胁包括三个方面：乘虚而入、不安全服务和配置及初始化错误。1、乘虚而入例如，用户A停止了与某个系统的通信，但由于某种原因仍使该系统上的一个端口处于激活状态，这时，用户B通过这个端口开始与这个系统通信，这样就不必通过任何申请使用端口的安全检查了。1/14/202325系统漏洞威胁2、不安全服务有时操作系统的一些服务程序可以绕过机器的安全系统，互联网蠕虫就利用了UNIX系统中三个可绕过的机制。3、配置及初始化错误如果不得不关掉一台服务器以维修它的某个子系统，几天后当重启动服务器时，可能会招致用户的抱怨，说他们的文件丢失了或被篡改了，这就有可能是在系统重新初始化时，安全系统没有正确的初始化，从而留下了安全漏洞让人利用，类似的问题在木马程序修改了系统的安全配置文件时也会发生。1/14/202326身份鉴别威胁身份鉴别造成威胁包括四个面：口令圈套、口令破解、算法考虑不周和编辑口令。1、口令圈套口令圈套是网络安全的一种诡计，与冒名顶替有关。常用的口令圈套通过一个编译代码模块实现，它运行起来和登录屏幕一模一样，被插入到正常有登录过程之前，最终用户看到的只是先后两个登录屏幕，第一次登录失败了，所以用户被要求再输入用户名和口令。实际上，第一次登录并没有失败，它将登录数据，如用户名和口令写入到这个数据文件中，留待使用。1/14/202327身份鉴别威胁2、口令破解破解口令就像是猜测自行车密码锁的数字组合一样，在该领域中已形成许多能提高成功率的技巧。3、算法考虑不周口令输入过程必须在满足一定条件下才能正常地工作，这个过程通过某些算法实现。在一些攻击入侵案例中，入侵者采用超长的字符串破坏了口令算法，成功地进入了系统。4、编辑口令编辑口令需要依靠操作系统漏洞，如果公司内部的人建立了一个虚设的账户或修改了一个隐含账户的口令，这样，任何知道那个账户的用户名和口令的人便可以访问该机器了。1/14/202328线缆连接威胁线缆连接造成的威胁包括三个方面：窃听、拨号进入和冒名顶替。1、窃听对通信过程进行窃听可达到收集信息的目的，这种电子窃听不一定需要窃听设备一定安装在电缆上，可以通过检测从连线上发射出来的电磁辐射就能拾取所要的信号，为了使机构内部的通信有一定的保密性，可以使用加密手段来防止信息被解密。1/14/202329线缆连接威胁2、拨号进入拥有一个调制解调器和一个电话号码，每个人都可以试图通过远程拨号访问网络，尤其是拥有所期望攻击的网络的用户账户时，就会对网络造成很大的威胁。3、冒名顶替通过使用别人的密码和账号时，获得对网络及其数据、程序的使用能力。这种办法实现起来并不容易，而且一般需要有机构内部的、了解网络和操作过程的人参与。1/14/202330有害程序威胁有害程序造成的威胁包括三个方面：病毒、代码炸弹和特洛伊木马。1、病毒

病毒是一种把自己的拷贝附着于机器中的另一程序上的一段代码。通过这种方式病毒可以进行自我复制，并随着它所附着的程序在机器之间传播。1/14/202331有害程序威胁2、代码炸弹代码炸弹是一种具有杀伤力的代码，其原理是一旦到达设定的日期或钟点，或在机器中发生了某种操作，代码炸弹就被触发并开始产生破坏性操作。代码炸弹不必像病毒那样四处传播，程序员将代码炸弹写入软件中，使其产生了一个不能轻易地找到的安全漏洞，一旦该代码炸弹被触发后，这个程序员便会被请回来修正这个错误，并赚一笔钱，这种高技术的敲诈的受害者甚至不知道他们被敲诈了，即便他们有疑心也无法证实自己的猜测。1/14/202332有害程序威胁3、特洛伊木马特洛伊木马程序一旦被安装到机器上，便可按编制者的意图行事。特洛伊木马能够摧毁数据，有时伪装成系统上已有的程序，有时创建新的用户名和口令。1/14/202333信息时代面临的问题DNA杂志及印度全国软件合服务企业协会(Nasscom)与孟买警方开展互联网安全周活动时，回顾了历史上的著名黑客事件即使被认为固若金汤的系统在黑客攻击面前也显得不堪一击信息安全恐怖事件并非危言耸听1/14/202334著名黑客事件1990’早期，KevinMitnick，世界范围内的举重若轻的黑客。世界上最强大的科技和电信公司：Nokia，Fujitsu，Motorola等的电脑系统都被其侵入。1995年被FBI逮捕，2000年获得假释2002年11月，伦敦人GaryMcKinnon在英国被指控非法侵入美国军方90多个电脑系统1/14/202335著名黑客事件1995年，俄罗斯VladimirLevin在互联网上“偷天换日”。侵入美国花旗银行并盗走1000万美圆。是历史上第一个通过入侵银行电脑系统来获利的黑客。1995年在英国被国际刑警逮捕1/14/202336著名黑客事件1990年，为了获得洛杉矶地区某电台第102个呼入者的奖励—保时捷944S2跑车，KevinPoulsen控制了整个地区的电话系统，以确保他是第102个呼入者。最终，如愿以偿获得跑车，并为此入狱3年1983年，KevinPoulsen还是学生，利用ARPANET的漏洞，成功入侵ARPANET，能够暂时控制美国地区的ARPANET1/14/202337著名黑客事件1996年，美国黑客TimothyLloyd将一个6行代码的恶意软件放在了雇主—Omega工程公司(美国航天局和美国海军最大的供应商)的网络上。该恶意软件删除了Omega公司所有负责生产的软件。导致Omega公司损失1000万美圆1/14/202338著名黑客事件Melissa病毒是世界上首个具有全球破坏力的病毒。1999年，30岁的DavidSmith编写了此病毒。Melissa病毒使世界上300多家公司的电脑系统崩溃，病毒造成的损失接近4亿美圆。DavidSmith被判处5年徒刑2000年，15岁的MafiaBoy(化名)在2000年2月6日~14日，成功侵入eBay,Amazon和Yahoo等大型网络服务器，成功组织了某服务器向用户提供服务。2000年被捕1/14/202339著名黑客事件1988年，23岁的Cornell大学学生RobertMorris在Internet上释放了世界上首个“蠕虫”程序。仅仅是把这个99行的程序放在互联网上进行实验，结果使得自己的机器被感染并迅速在互联网上蔓延开，美国等地接入互联网的电脑受到影响。1990年被判入狱1993年，一个自称为骗局大师(MOD)的组织，将目标锁定在美国电话系统上。该组织成功入侵了美国国家安全局(NSA)，AT&T和美利坚银行。建立了一个可以绕过长途电话呼叫系统而侵入专线的系统1/14/202340信息安全恐怖事件蠕虫王：互联网的“911”2003年1月25日，互联网遭到全球性的病毒攻击病毒名：wind32.SQLExp.Worm病毒体及其短小，具有极强的传播力利用MicrosoftSQLServer的漏洞进行传播，导致全球范围内互联网瘫痪中国80%网民由此不能上网；美国、泰国、日本、韩国、马来西亚、菲律宾和印度等国的互联网也受到严重感染26日“蠕虫王”才得到控制是继红色代码、尼姆达和求职信病毒后又一起极速传播的案例全球经济损失12亿美圆1/14/202341信息安全恐怖事件2003年3月19日晚，伊拉克战争爆发。20日，美伊战争引发美国历史上最大的黑客恐怖袭击抗议者和拥护美英的黑客在互联网上，互相篡改对方公司与政府网站的内容三类黑客：以美国为基地的爱国主义黑客、伊斯兰极端主义组织和反战的和平主义战士破坏信息：军用网站、商用网站1/14/202342信息安全恐怖事件全球黑客大会2003年6月13日~14日，每年一届的黑客大会在美国的匹兹堡召开，200名代表参加1995年以来，每年一次（当中缺过一年）2002年人数多达2000人组织者2003年目标是说服公众，黑客有黑帽和白帽之分内容从黑客入侵技术到有关安全的现行法律，以及金盆洗手后的就业问题1/14/202343信息安全恐怖事件冲击波病毒肆虐全球:2003年8月11日，冲击波(WORM_MSBlast.A)的新型蠕虫病毒开始在国内互联网和部分专用信息网络上传播病毒传播速度快，涉及范围广，对计算机正常使用和网络运行造成严重影响病毒运行时会扫描网络，寻找操作系统为Win2000/XP的计算机，通过RPC漏洞进行感染，并且操作135，4444和69端口，危害系统受到感染的的计算机中，Word,Excel,PowerPoint等文件无法正常运行，弹出找不到链接文件的对话框，“粘贴”等功能无法正常使用，计算机出现反复重启现象1/14/202344信息安全恐怖事件针对即时通信的攻击即时通信工具也成为了黑客攻击的对象一些蠕虫病毒成功地感染了部分即时通信传送应用客户端Aplore，通过AOLInstantMessenger(AIM)传播；Goner，利用ICQ漏洞进行传播；CoolNow，利用MessagefromJerry传播；Choke，通过MSNMessenger传播1/14/202345信息安全恐怖事件邮件蠕虫病毒泛滥2003年邮件病毒一个个地爆发求职信恶邮差大无极小邮差感染几十万台计算机，甚至百万用户受害1/14/202346信息安全恐怖事件垃圾邮件数量变本加厉全球垃圾邮件数量的增长率已经超过正常电子邮件的增长率，每封垃圾邮件的平均容量，也比正常电子邮件大得多1/14/202347相关安全事件2006年6月13日，微软公布的安全报告显示：2005年1月~3月，60%以上的windowsPC机都感染了恶意代码2006年7月外电报道：28岁得科隆成功利用互联网提供得免费软件侵入了美国联邦调查局(FBI)的机密电脑系统，成功获取了3.8万名雇员的密码，其中包括联邦调查局局长罗伯特.米勒的密码。FBI被迫关闭网络1/14/202348相关安全事件2006年6月27日，上海市黄埔区人民法院对一起网络黑客案做出一审判决，两名大学生“黑客”被判刑2006年年底，“熊猫烧香”病毒的泛滥在中国造成了巨大的损失1/14/202349与时俱进，全面保护从安全保护的角度考察信息资产，不能只停留在静态的一个点或者一个层面上信息是有生命周期的。包括：创建、使用，存储、传递，销毁等各个环节1/14/202350

网络安全威胁的来源

1.外部渗入（penetration） 未被授权使用计算机的人；

2.内部渗入者 被授权使用计算机，但不能访问某些数据、程序或资源，它包括：

-冒名顶替:使用别人的用户名和口令进行操作；

-隐蔽用户:逃避审计和访问控制的用户；

3.滥用职权者:

被授权使用计算机和访问系统资源，但滥用职权者。1/14/202351冒名顶替废物搜寻身份识别错误不安全服务配置初始化乘虚而入代码炸弹病毒更新或下载特洛伊木马间谍行为拨号进入算法考虑不周随意口令口令破解口令圈套窃听偷窃网络安全威胁线缆连接身份鉴别编程系统漏洞物理威胁网络安全威胁的几种类型1/14/202352网络安全面临严峻挑战

网上犯罪形势不容乐观

有害信息污染严重

网络病毒的蔓延和破坏

网上黑客无孔不入

机要信息流失与信息间谍潜入

网络安全产品的自控权

信息战的阴影不可忽视

互联网正以巨大的力度和广度冲击和改造着社会、经济、生活的传统模式。互联网正在成为社会公众强烈依赖的社会重要基础设施互联网安全正在成为普遍关注的焦点。1/14/202353网上犯罪形势不容乐观计算机犯罪以100%的速度增加网上攻击事件每年以10倍速度增涨银行的电子购物账户密码曝光事件增多2000年2月7日攻击美国知名网站案件：损失$12亿，影响百万网民

Yahoo、Amazon、CNN、Buy、eBay、E-Trade、ZDNet

网上勒索、诈骗不断：

用户信用卡被曝光美国网络安全造成损失$170亿/年美国金融界计算机犯罪损失$100亿/年1/14/202354有害信息污染严重

黄色信息：涉及1%网站，10亿美元年营业额邪教信息：法轮功160多个反宣传网站虚假新闻：美校园炸弹恐吓事件、网上股市欺诈宣扬暴力：炸药配方、帮助自杀政治攻击：考克斯报告、政治演变论1/14/202355网络病毒的蔓延和破坏

10年内以几何级数增长病毒达55000种（2000.12亚洲计算机反病毒大会）网络病毒有更大的破坏性

1988年莫里斯事件（UNIX/Email）

6000台、$9000万

1998年4月的CIH病毒2000万台计算机

1999年2月的梅利莎案件（Window/Email）

$12亿

2000年5月4日的我爱你病毒$87亿

2001年7、8月红色代码（CodeRed）到目前为止$26亿1/14/202356网上黑客无孔不入

美国网络屡遭扫荡

军事、政治、经济美国五角大楼情报网络、美国海军研究室、空军、美国中央情报局、许多贸易及金融机构都有被黑的历史全球网络危机四伏

非法侵入、破坏系统、窃取机密

中国网络不断被侵入五一中美黑客大战800多网站被黑黑客是一些发自好奇、寻求刺激、富有挑战的家伙是一群以攻击网络，搜寻并破坏信息为了的无赖；是一帮为了扬名，专与政府作对的极端分子；是一些恐怖主义分子或政治、军事、商业和科技间谍。1/14/2023571.2.1网络系统软件漏洞网络信息系统是由硬件和软件组成。由于软件程序的复杂性和编程的多样性，使得网络信息系统的软件中会存在一些不易被发现的安全漏洞，这些漏洞是在软件编制过程中有意或无意留下的。显然这会直接影响到网络信息的安全与保密。这里主要介绍一些有代表性的软件安全漏洞。1/14/2023581.2.1网络系统软件漏洞（续）1、陷门1）逻辑炸弹：在网络软件可以预留隐蔽的对日期敏感的定时炸弹。在一般情况下，网络处于正常工作状态，一旦到了某个预定的日期，程序便自动跳到死循环程序，造成死机甚至网络瘫痪。2）遥控旁路：通过遥控将加密程序接口旁路（即断开），造成加密功能失效。3）贪婪程序：长期占用机时，造成意外阻塞，使合法用户被排挤在外不能得到服务。比如，程序被植入某些病毒。1/14/2023591.2.1网络系统软件漏洞（续）2、操作系统的安全漏洞操作系统的安全漏洞主要包括：1）输入/输出（I/O）非法访问：在操作系统中，一旦I/O操作被检查通过之后，系统就继续执行下去而不再检查，从而造成后续操作的非法访问。2）访问控制界定不清：安全访问强调隔离和保护措施，但是资源共享则要求公开和开放。这是一对矛盾，如果在设计操作系统时没能够处理好这两者之间的关系，那么就可能会出现因为界限不清造成操作系统的安全问题。3）操作系统陷门:某些操作系统为了安装其它公司的软件包而保留了一种特殊的管理程序功能。尽管此管理功能的调用需要以特权方式进行，但是并未受到严密的监控，缺乏必要的认证和访问权的限制，有可能被用于安全访问控制，从而形成操作系统陷门。1/14/2023601.2.1网络系统软件漏洞（续）3、数据库的安全漏洞4、TCP/IP协议的安全漏洞5、网络软件与网络服务的漏洞

1）Finger的漏洞

2）匿名FTP3）远程登录

4）电子邮件

5）口令设置的漏洞1/14/2023611.2.2典型恶意攻击方法1、网络嗅探：利用网络嗅探工具，非法访问或非法窃取信息。2、流量分析：通过对网上信息流的观察和分析推断出网上的数据信息，比如有无传输以及传输的数量、方向、频率等。3、重发：重发是重复发送一份报文或报文的一部分，以产生一个被授权效果。4、假冒：假扮成一个合法实体，以非法获得或使用该实体的资源。6、拒绝服务：使授权实体不能正常获得对网络资源的访问或使系统推迟对该授权实体紧急操作的响应。7、病毒：病毒是指一段可执行代码，通过对其他程序进行修改，“感染”这些病毒，使它们含有该病毒程序的一个拷贝。网络的普及大大加速了病毒的传播，病毒是对计算机软件和网络系统的最大威胁。1/14/2023621.3网络安全策略、安全服务与安全机制

1.3.1网络安全策略网络安全策略通常是根据网络需求确定并建立起的最高一级的安全规范。其表现形式通常为有关管理、保护和发布敏感信息的法律、规定等。通俗地说，安全策略提出了网络安全系统要达到什么样的安全目标，根据该目标，在该系统的安全范围中，什么操作是允许的，什么是不允许的。网络安全策略,包括物理安全策略、访问控制策略、攻击防范策略、加密认证策略和安全管理策略等内容。1/14/2023631.3网络安全策略、安全服务与安全机制（续）1、物理安全策略保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击等。2、访问控制策略保证网络安全最重要的核心策略之一，它的主要任务是保证网络资源不被非法使用和非正常访问。3、攻击防范策略对抗来自外部网络的攻击而进行积极防御的策略。积极防御可采用安全扫描工具来及时查找安全漏洞,也可以采用入侵检测技术，对系统进行实时交互的监测和主动防卫。4、加密及认证策略根据网络信息安全的不同要求，系统可以制定不同的加密策略及认证策略。5、网络安全管理策略网络安全管理策略的内容,包括确定安全管理等级和安全管理范围、制定网络使用维护制度和信息安全保密管理制度、以及采取确保网络与信息系统安全的应急响应等措施。1/14/2023641.3.2网络安全服务

安全服务是由参与通信的开放系统中的某一层所提供的，能够确保该系统或数据传输具有足够的安全性的服务。ISO7498-2确定了五大类安全服务，即鉴别、访问控制、数据保密性、数据完整性和不可否认。1/14/2023651.3.2网络安全服务（续）1、鉴别该服务主要用于确认所声明身份的有效性，它包括对等实体鉴别和数据源鉴别两类。

1）对等实体鉴别确认对方通信实体确实是它所声称的实体身份，包括单向对等实体鉴别和双向对等实体鉴别，防止假冒或重放等攻击。

2）数据源鉴别确认数据单元的来源，确保信息来源的真实性。但该服务不能防止对数据单元的复制或篡改。2、访问控制防止非授权使用资源。该安全服务可用于限制对某种资源的各类访问。1/14/2023661.3.2网络安全服务（续）3、数据保密性

1）连接保密性为某个连接的所有用户数据提供保密性。

2）无连接保密性为单个无连接的N层服务数据单元(N-SDU)中的所有(N)用户数据提供保密性服务。

3）选择字段保密性为连接上的用户数据内或单个无连接(N)SDU中的被选择的一些字段提供保密性。

4）业务流保密性防止通过观察业务流得到有用的保密信息。1/14/2023671.3.2网络安全服务（续）4、数据完整性

1）带恢复的连接完整性

2）不带恢复的连接完整性

3）选择字段连接完整性

4）无连接完整性

5）选择字段无连接完整性

1/14/2023681.3.2网络安全服务（续）5、不可否认

1）带数据源证明的不可否认向数据接收者提供数据来源的证明，防止发送者否认发送曾经发送过该数据。

2）带递交证明的不可否认向数据发送者提供数据递交的证明，防止接收者否认曾经接收过数据。1/14/2023691.3.3网络安全机制网络安全策略和安全服务要由不同的安全机制来实施的。安全机制是根据安全策略所设定的安全目标，根据安全服务所要完成的安全任务，采用具体的方法、设备和技术来实现。安全机制分为特定安全机制的和普通安全机制两大类。1/14/2023701.3.3网络安全机制（续）特定安全机制有：1、加密机制2、数字签名机制3、访问控制机制4、数据完整性机制5、鉴别交换机制6、通信业务填充机制7、路由控制机制8、公正机制1/14/2023711.4网络安全体系结构在网络安全体系结构的研究中，目前，还没有被广泛认可的国际标准，仅有国际标准化组织（ISO）提出的一个建议性标准文件ISO7498-2（OSI参考模型的第二部分：安全性体系结构）。作为开放系统互连（OSI）标准的一部分，ISO7498-2把安全性体系结构的内容映射到了OSI的七层模型中，该体系结构是国际上一个非常重要的网络安全技术架构基础，为网络系统的安全提供重要的指导作用。1/14/2023721.4网络安全体系结构（续）在考虑网络安全问题的过程中，应该主要充分考虑以下五个方面的问题：网络是否安全、操作系统是否安全、用户是否安全、应用程序是否安全以及数据是否安全。目前，这个五层次的网络系统安全体系已得到了网络安全界的基本认同。明确网络安全体系结构和相关的内容，是构建网络安全体系的第一步，对指导安全系统设计、防止出现安全漏洞十分重要。上述的五层安全体系并非孤守分散，而是一个有机的整体，对其中任何一个方面的疏忽，都会导致整个安全体系的崩溃，造成大量投资的浪费。1/14/2023731.4.1OSI安全体系结构

OSI的网络安全体系结构包含5种安全服务：验证:提供通信对等实体和数据源的验证。访问控制:防止非授权人使用网络系统资源。数据保密服务:保护系统之间交换的数据以防止因数据被截获所造成的信息泄露。数据完整性服务:防止数据交换过程中数据的丢失以及数据被非法修改以保证接收端和发送端信息的安全一致性。不可否认服务:向数据的接收者提供数据来源的证据和向数据的发送者提供数据已交付的证据以防止接收者与发送者之间出现互不承认的现象。

1/14/2023741.4.1OSI安全体系结构

（续）

OSI标准的网络安全体系结构提供8种安全机制：(1)密码机制(2)数据签名机制(3)访问控制机制(4)数据完整性机制(5)业务流填充机制(6)验证交换机制(7)路由控制机制(8)仲裁机制

1/14/2023751.4.2OSI安全服务的分层配置根据不同安全协议要求，在OSI七层参考模型上配置的安全服务主要表现在四层上。如教材：图1-2所示。1、应用级安全2、端系统级安全3、子网络级安全4、直接链路级安全5、人机交互教材表1-1给出了OSI安全服务与OSI各层之间的关系。1/14/202376安全服务的实施位置

1/14/2023771.4.3OSI安全服务与安全机制的关系ISO7498-2标准说明了实现什么样的安全服务应该采用相应的什么样的安全机制，教材：表1-2给出了OSI安全服务、安全机制及应在OSI协议的哪几层实现之间的关系。1/14/2023781.5网络信息安全的评价标准

1.5.1可信计算机系统评估准则在信息安全测评方面，美国一直处于领先地位。早在20世纪70年代，美国就开展了信息安全测评认证标准研究工作，并于1985年由美国国防部正式公布了DOD5200.28-STD可信计算机系统评估准则(TrustedComputerSystemEvaluationCriteria)[TCSEC，1985]（俗称桔皮书），该准则是世界公认的第一个计算机信息系统评估标准。1/14/202379国际评价标准根据美国国防部开发的计算机安全标准——可信任计算机标准评价准则（TrustedComputerStandardsEvaluationCriteria：TCSEC），也就是网络安全橙皮书，一些计算机安全级别被用来评价一个计算机系统的安全性。自从1985年橙皮书成为美国国防部的标准以来，就一直没有改变过，多年以来一直是评估多用户主机和小型操作系统的主要方法。其他子系统（如数据库和网络）也一直用橙皮书来解释评估。橙皮书把安全的级别从低到高分成4个类别：D类、C类、B类和A类，每类又分几个级别，1/14/202380安全级别

类别级别名称主要特征DD低级保护没有安全保护CC1自主安全保护自主存储控制C2受控存储控制单独的可查性，安全标识BB1标识的安全保护强制存取控制，安全标识B2结构化保护面向安全的体系结构，较好的抗渗透能力B3安全区域存取监控、高抗渗透能力AA验证设计形式化的最高级描述和验证1/14/202381安全级别（续）D级是最低的安全级别，拥有这个级别的操作系统就像一个门户大开的房子，任何人都可以自由进出，是完全不可信任的。对于硬件来说，是没有任何保护措施的，操作系统容易受到损害，没有系统访问限制和数据访问限制，任何人不需任何账户都可以进入系统，不受任何限制可以访问他人的数据文件。属于这个级别的操作系统有：DOS和Windows98等。1/14/202382安全级别（续）C1是C类的一个安全子级。C1又称选择性安全保护（DiscretionarySecurityProtection）系统，它描述了一个典型的用在Unix系统上安全级别这种级别的系统对硬件又有某种程度的保护，如用户拥有注册账号和口令，系统通过账号和口令来识别用户是否合法，并决定用户对程序和信息拥有什么样的访问权，但硬件受到损害的可能性仍然存在。用户拥有的访问权是指对文件和目标的访问权。文件的拥有者和超级用户可以改变文件的访问属性，从而对不同的用户授予不通的访问权限。1/14/202383安全级别（续）使用附加身份验证就可以让一个C2级系统用户在不是超级用户的情况下有权执行系统管理任务。授权分级使系统管理员能够给用户分组，授予他们访问某些程序的权限或访问特定的目录。能够达到C2级别的常见操作系统有：（1）、Unix系统（2）、Novell3.X或者更高版本（3）、WindowsNT、Windows2000和Windows20031/14/202384安全级别（续）B级中有三个级别，B1级即标志安全保护（LabeledSecurityProtection），是支持多级安全（例如：秘密和绝密）的第一个级别，这个级别说明处于强制性访问控制之下的对象，系统不允许文件的拥有者改变其许可权限。安全级别存在保密、绝密级别，这种安全级别的计算机系统一般在政府机构中，比如国防部和国家安全局的计算机系统。1/14/202385安全级别（续）B2级，又叫结构保护级别（StructuredProtection），它要求计算机系统中所有的对象都要加上标签，而且给设备（磁盘、磁带和终端）分配单个或者多个安全级别。B3级，又叫做安全域级别（SecurityDomain），使用安装硬件的方式来加强域的安全，例如，内存管理硬件用于保护安全域免遭无授权访问或更改其他安全域的对象。该级别也要求用户通过一条可信任途径连接到系统上。1/14/202386安全级别（续）A级，又称验证设计级别（VerifiedDesign），是当前橙皮书的最高级别，它包含了一个严格的设计、控制和验证过程。该级别包含了较低级别的所有的安全特性设计必须从数学角度上进行验证，而且必须进行秘密通道和可信任分布分析。可信任分布（TrustedDistribution）的含义是：硬件和软件在物理传输过程中已经受到保护，以防止破坏安全系统。橙皮书也存在不足。TCSEC是针对孤立计算机系统，特别是小型机和主机系统。假设有一定的物理保障，该标准适合政府和军队，不适合企业，这个模型是静态的。1/14/2023871.5.2信息技术安全性评估准则受美国开发TCSEC的影响和信息技术发展的需要，1985年以后，欧洲国家和加拿大也纷纷开始开发自己的评估准则。1990年，法国、德国、荷兰和英国提出了欧共体的信息技术安全性评估准则(InformationTechnologySecurityEvaluationCriteria)1.0版，1991年提出成型的1.2版本。ITSEC作为多国安全评估标准的综合产物，适用于军队、政府和商业部门。它以超越TCSEC为目的，将安全概念分为“功能”与“评估”两部分。在ITSEC中还首次提出“安全目标”SecurityTa