计算机网络安全1章

第1章计算机网络安全概述第1章计算机网络安全概述1.1计算机网络安全简介1.2计算机网络所面临的威胁

1.3计算机网络安全的主要研究内容

1.4计算机网络安全技术和策略

1.5计算机网络安全评价准则、管理标准和法律法规

1.1计算机网络安全简介网络的开放性、自由性和全球性使我们在最大限度拥有信息的同时，也为如何确保网络系统的安全以及其上的信息自身的安全，提出了新的课题。1996年初，美国旧金山的计算机安全协会与联邦调查局在一次联合调查统计中称：有53%的企业受到过计算机病毒的侵害，42%的企业的计算机系统在过去的12个月被非法使用过。而五角大楼的一个研究小组称美国一年中遭受的攻击就达25万次之多。1.1计算机网络安全简介1996年8月17日，美国司法部的网络服务器遭黑客入侵，并将其主页上的“美国司法部”改为“美国不公正部”，将司法部部长的照片换成了阿道夫·希特勒，将司法部徽章换成了纳粹党徽。1997年初，北京某ISP被黑客成功侵入，并在清华大学“水木清华”BBS站的“黑客与解密”讨论区张贴有关如何免费通过该ISP进入Internet的文章。1.1计算机网络安全简介2001年，我国有73%的计算机曾感染病毒，到了2002年上升到近84%，2003年上半年又增加到85%。而微软的官方统计数据称，2002年因网络安全问题给全球经济造成的直接损失高达130亿美元。2003年8月12日，一种叫做“冲击波”的计算机病毒开始袭击计算机用户，有数字统计表明，至少有数十万台计算机受到袭击。

………1.1计算机网络安全简介信息系统安全的6大基本要素保密性完整性可用性可控性可靠性可审查性1.1计算机网络安全简介网络安全的定义计算机安全国际标准化组织曾建议将计算机安全定义为：“计算机系统受到保护，计算机系统的硬件、软件、数据不被偶然或故意地泄露、更改和破坏。”计算机系统安全可以分为实体安全、运行安全和信息安全3个方面。1.1计算机网络安全简介计算机网络安全计算机网络安全（简称网络安全）是指网络系统的硬件、软件及其系统中的数据受到保护，不被偶然或者恶意地破坏、更改、泄露，系统连续可靠地正常运行，网络服务不中断。在1989年提出的ISO7498—2标准中，ISO提出了层次型的安全体系模型结构，成为网络安全的经典模型。安全OSI或ODP（开放分布式处理）系统安全应用程序安全服务安全机制图1.1ISO安全体系的层次模型1.1计算机网络安全简介计算机网络安全的发展过程20世纪

50年代60年代70年代80年代90年代20世纪50年代，计算机尚未普及，安全问题并未受到重视。1.1计算机网络安全简介计算机网络安全的发展过程20世纪

50年代60年代70年代80年代90年代20世纪70年代，计算机得到广泛应用。人们开始意识到安全的重要性，研究并制订了一系列的计算机安全法律、法规和防护手段。1976年，美国学者提出公开密钥密码体制。

1.1计算机网络安全简介计算机网络安全的发展过程20世纪

50年代60年代70年代80年代90年代20世纪80年代，美国国防部制订了《可信计算机系统安全评价准则》（TCSEC）。1.1计算机网络安全简介计算机网络安全的发展过程20世纪

50年代60年代70年代80年代90年代20世纪90年代以来，英、法、德、荷4国提出了包括保密性、完整性、可用性概念在内的“信息技术安全评价准则”（TISFC）。1.1计算机网络安全简介计算机网络安全的发展过程20世纪

50年代60年代70年代80年代90年代近年来，6国7方（美国国家安全局和国家技术标准研究所、加、英、法、德、荷）共同提出了《信息技术安全评价通用准则》（TheCommonCriteriaforInformationTechnologySecurityEvaluation，简称CC）。1.2计算机网络所面临的威胁1.2.1人为威胁人为的无意失误安全配置不当造成的安全漏洞无意的信息泄露操作失误人为的恶意攻击此类攻击又可以分为两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性，是纯粹的信息破坏。1.2计算机网络所面临的威胁另一种是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息，这类攻击者称为消极攻击者。人为恶意攻击具体可表现在以下几个方面:非授权访问信息泄露或丢失破坏数据完整性拒绝服务攻击利用网络传播病毒1.2计算机网络所面临的威胁威胁的来源（对手）黑客恶意的内部人员商业间谍新闻机构军事情报部门1.2计算机网络所面临的威胁1.2.2非人为威胁天灾系统本身的脆弱性操作系统的脆弱性网络系统的脆弱性数据库管理系统的脆弱性防火墙的脆弱性其他方面的脆弱性1.3计算机网络安全的主要研究内容它所研究的主要内容不仅涉及信息的安全性，更涉及系统的安全性，包括软件系统、硬件系统、网络系统及运行环境等诸多方面。1.3.1安全措施的研究实体安全性研究实体安全性研究是指为了确保计算机网络设备、设施及其他媒体免遭地震、水灾、火灾等环境事故，人为操作失误或错误，以及各种计算机犯罪行为破坏而进行的研究。1.3计算机网络安全的主要研究内容实体安全性研究内容主要包括3个方面：环境安全设备安全媒体安全软件系统安全性研究运行安全性研究数据信息安全性研究网络防护和反病毒技术的研究1.3计算机网络安全的主要研究内容1.3.2主要网络安全产品介绍扫毒/侦毒软件邮件过滤入侵检测防火墙VPN——虚拟专用网PKI——公钥相关软件及服务其他1.3计算机网络安全的主要研究内容1.3.3安全管理的研究安全管理原则的制订多人负责原则每一项与安全有关的活动，都必须有两人或多人在场。任期有限原则不要长期担任与安全有关的职务，以免使他认为这个职务是专有的或永久性的。职责分离原则在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情，除非系统主管领导批准。1.3计算机网络安全的主要研究内容研究安全管理实施方法确定该系统的安全等级确定安全管理的范围制订相应的机房出入管理制度制订严格的操作规程制订完备的系统维护制度制订应急措施1.4计算机网络安全技术和策略1.4.1安全技术防火墙技术它是一种计算机硬件和软件的组合，是在互联网和内部网之间设置的一个安全网关(SecurityGateway)，并根据网络安全管理人员所确定的安全策略。

数据加密技术数据加密技术是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破译所采用的主要技术手段之一。1.4计算机网络安全技术和策略加密技术的用途加密信息信息数字签名加密技术的分类数据加密技术按作用可分为数据传输加密、数据存储加密、数据完整性鉴别及密钥管理技术4种。1.4计算机网络安全技术和策略智能卡技术智能卡就是密钥介质，像信用卡一样，由授权用户持有并由该用户赋予它一个口令或密码。网络安全扫描技术利用安全扫描技术，系统管理员能够及时了解网络系统中存在的安全漏洞。身份验证身份验证（或身份鉴别），是判明和确认通信双方真实身份的重要环节。1.4计算机网络安全技术和策略访问控制访问控制规定了何种主体对何种客体具有何种操作权力。数据完整性在数据传输过程中，验证收到的数据和原来数据之间保持完全一致的证明手段。网络地址转换技术（NAT）它使外部网络看不到内部网络，从而隐藏内部网络，达到保密作用。1.4计算机网络安全技术和策略操作系统安全内核技术将操作系统内核中可能引起安全性问题的部分从内核中剔除掉，从而使系统更安全。网络入侵检测技术它通过硬件或软件对网络上的数据流进行实时检查，并与系统中的入侵特征数据库进行比较，并采取对应的措施。

黑客诱骗技术通过一个由网络安全专家精心设置的特殊系统来引诱黑客，并对黑客进行跟踪和记录。1.4计算机网络安全技术和策略网络防病毒技术网络防病毒技术包括预防病毒、检测病毒和消除病毒等3种技术。安全协议安全协议的建立和完善是安全保密系统走上规范化、标准化道路的基本保证。网络安全技术的综合利用根据系统的安全需求，配合使用各种安全技术来实现一个完整的网络安全解决方案。1.4计算机网络安全技术和策略1.4.2安全策略安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则。 安全法律和法规安全技术严格的管理 1.5计算机网络安全评价准则、管理标准和法律法规1.5.1信息技术安全评价准则概述美国国防部（DOD）于1985年，发布了《可信计算机系统评估准则（TCSEC）》橘皮书。20世纪90年代初，英、法、德、荷西欧4国针对TCSEC准则的局限性，提出了《信息技术安全评价准则》（ITSEC）。加拿大于1988年开始制订《加拿大可信计算机产品评价标准》（CTCPEC）。1.5计算机网络安全评价准则、管理标准和法律法规

1993年，美国对TCSEC做了补充和修改，发表了《信息技术安全性评价联邦准则》（简称FC）。1993年6月，CTCPEC、FC、TCSEC和ITSEC的发起组织开始联合起来，起草了一个通用准则CC并将其推进到国际标准。CC1.0版于1996年1月完成，并于1996年4月被ISO采纳。CC2.0的测试版于1997年10月完成，于1998年5月发布CC2.0版。1.5计算机网络安全评价准则、管理标准和法律法规我国主要采用国际准则。由公安部主持制定、国家质量技术监督局发布的中华人民共和国国家标准GB17895—1999《计算机信息系统安全保护等级划分准则》已正式颁布并实施。1.5计算机网络安全评价准则、管理标准和法律法规可信计算机安全评价标准（TCSEC）美国国防部（DOD）于1970年提出，1985年12月公布的《可信计算机安全评价标准》（TCSEC，TrustedComputerSystemEvaluationCriteria）是计算机系统安全评估的第一个正式标准。它将计算机系统的可信程度由低到高划分为D、C、B和A4类，以及D1、C1、C2、B1、B2、B3、A1和超A1共8个等级，共27条评估准则。1.5计算机网络安全评价准则、管理标准和法律法规D类安全等级D类为无保护级，只包括D1一个级别，安全等级最低。D1级的计算机系统包括：MS-DOS、Windows3.x及不在工作组方式中的Windows95、Apple的System7.x。

C类安全等级该类为自主保护级，具有一定的保护能力。C类安全等级又可划分为C1（自主安全保护级）和C2（控制访问保护级）两个等级。常见的C1、C2级操作系统有：UNIX系统、XENIX、Novell3.x或更高版本、WindowsNT。1.5计算机网络安全评价准则、管理标准和法律法规B类安全等级B类为强制保护级。强制性保护意味着若用户没有与安全等级相连，系统就不会让用户存取对象。B类安全等级可分为B1、B2和B3三个等级。B1级为标记安全保护级B2级为结构化保护（StructuredProtection）级B3级为安全区域保护级A类安全等级A类为验证保护级，系统的安全级别最高。A类安全等级包含A1安全级别和超A1安全级别。A1级为验证设计（VerifiedDesign）保护级超A1级在A1级基础上增加了许多安全措施1.5计算机网络安全评价准则、管理标准和法律法规可信网络解释（TNI）TNI包括两个部分及三个附录（A、B、C）。第一部分第一部分提供了在将网络系统作为一个单一系统进行评估时TCSEC中各个等级（D～A类）的解释。第二部分第二部分以附加安全服务的形式提出了在网络互连时出现的一些附加要求，这些要求主要是针对完整性、可用性和保密性的要求。1.5计算机网络安全评价准则、管理标准和法律法规附录A附录A是第一部分的扩展，主要是关于网络中组件及组件组合的评估。附录B附录B给出根据TCSEC对网络组件进行评估的基本原理。附录C附录C给出几个AIS互联时的认证指南及互联中可能遇到的问题。1.5计算机网络安全评价准则、管理标准和法律法规通用准则CC1998年1月，美国、加拿大、法国、德国及英国签订了历史性的安全评估互认协议：IT安全领域内CC认可协议。CC包括简介和一般模型、安全功能要求、安全保证要求3个部分。计算机信息系统安全保护等级划分准则由公安部组织制定，于1999年9月13日由国家质量技术监督局审查通过并正式批准发布，并于2001年1月1日执行。

《准则》规定计算机系统安全保护能力分为5个等级：用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。1.5计算机网络安全评价准则、管理标准和法律法规