计算机网络安全技术概论

1、计计 算算 机机 网网 络络 安安 全全 技技 术术第一篇第一篇 安全技术基础安全技术基础第第1 1章章 计算机网络安全技术概论计算机网络安全技术概论计计 算算 机机 网网 络络 安安 全全 技技 术术本章学习目标l计算机网络安全系统的脆弱性计算机网络安全系统的脆弱性lP P2 2DRDR安全模型和安全模型和PDRRPDRR网络安全模型网络安全模型lInternetInternet网络体系层次结构、网络安网络体系层次结构、网络安全体系结构框架全体系结构框架l5 5种安全服务和种安全服务和8 8种安全机制种安全机制l计算机网络安全的三个层次计算机网络安全的三个层次l可信计算机系统评估标准可信计算

2、机系统评估标准 计计 算算 机机 网网 络络 安安 全全 技技 术术定义定义l从狭义的保护角度来看，从狭义的保护角度来看，计算机网络安全是指计计算机网络安全是指计算机及其网络系统资源算机及其网络系统资源和信息资源不受自然和和信息资源不受自然和人为有害因素的威胁和人为有害因素的威胁和危害，即是指计算机、危害，即是指计算机、网络系统的硬件、软件网络系统的硬件、软件及其系统中的数据受到及其系统中的数据受到保护，不因偶然的或者保护，不因偶然的或者恶意的原因而遭到破坏、恶意的原因而遭到破坏、更改、泄露，确保系统更改、泄露，确保系统能连续可靠正常地运行，能连续可靠正常地运行，使网络服务不中断。使网络服务不

3、中断。l从广义来说，凡是涉及从广义来说，凡是涉及到计算机网络上信息的到计算机网络上信息的保密性、完整性、可用保密性、完整性、可用性、真实性和可控性的性、真实性和可控性的相关技术和理论都是计相关技术和理论都是计算机网络安全的研究领算机网络安全的研究领域。所以，广义的计算域。所以，广义的计算机网络安全还包括信息机网络安全还包括信息设备的物理安全性，诸设备的物理安全性，诸如场地环境保护、防火如场地环境保护、防火措施、防水措施、静电措施、防水措施、静电防护、电源保护、空调防护、电源保护、空调设备、计算机辐射和计设备、计算机辐射和计算机病毒等。算机病毒等。计计 算算 机机 网网 络络 安安 全全 技技

4、术术1.1计算机网络安全系统的脆弱性l操作系统的安全脆弱性操作系统的安全脆弱性 l网络系统的安全脆弱性网络系统的安全脆弱性l网络安全的脆弱性网络安全的脆弱性l计算机硬件系统的故障计算机硬件系统的故障 l软件本身的软件本身的“后门后门” ” l软件的漏洞软件的漏洞 l数据库管理系统的数据库管理系统的安全脆弱性安全脆弱性 l防火墙的局限性防火墙的局限性 l天灾人祸天灾人祸 l有意有意 l无意无意 l其他方面的原因其他方面的原因总之，系统自身的脆弱和不足，是造成计算机网络安全问总之，系统自身的脆弱和不足，是造成计算机网络安全问题的内部根源。但系统本身的脆弱性、社会对系统应用的题的内部根源。但系统本身

5、的脆弱性、社会对系统应用的依赖性这一矛盾又将促进计算机网络安全技术发展和进步依赖性这一矛盾又将促进计算机网络安全技术发展和进步计计 算算 机机 网网 络络 安安 全全 技技 术术1.2 安全模型l计算机网络系统安全是一个系统工程，计算机网络系统安全是一个系统工程，必须保证网络设备和各个组件的整体必须保证网络设备和各个组件的整体安全性。安全的概念是相对的，任何安全性。安全的概念是相对的，任何一个系统都具有潜在的危险，没有绝一个系统都具有潜在的危险，没有绝对的安全。在一个特定的时期内，在对的安全。在一个特定的时期内，在一定的安全策略下，系统可能是安全一定的安全策略下，系统可能是安全的。但是，随着攻

6、击技术的进步、新的。但是，随着攻击技术的进步、新漏洞的暴露，系统可能会变得不安全漏洞的暴露，系统可能会变得不安全了。因此，安全具有动态性，需要适了。因此，安全具有动态性，需要适应变化的环境并能做出相应的调整以应变化的环境并能做出相应的调整以确保计算机网络系统的安全。确保计算机网络系统的安全。计计 算算 机机 网网 络络 安安 全全 技技 术术1.2.1 P2DR安全模型l美国国际互联网安全美国国际互联网安全系统公司（系统公司（ISSISS）提）提出的出的P2DRP2DR安全模型安全模型是指：策略是指：策略（PolicyPolicy）、防护）、防护（ProtectionProtection）、）

7、、检测（检测（DetectionDetection）和响应和响应（ResponseResponse）。如）。如图所示。图所示。计计 算算 机机 网网 络络 安安 全全 技技 术术P P2 2DRDR安全模型描述安全模型描述 l策略策略l当设计所涉及的那个系统在当设计所涉及的那个系统在进行操作时，必须明确在安进行操作时，必须明确在安全领域的范围内，什么操作全领域的范围内，什么操作是明确允许的，什么操作是是明确允许的，什么操作是一般默认允许的，什么操作一般默认允许的，什么操作是明确不允许的，什么操作是明确不允许的，什么操作是默认不允许的。安全策略是默认不允许的。安全策略一般不作出具体的措施规定，一

8、般不作出具体的措施规定，也不确切说明通过何种方式也不确切说明通过何种方式能才够够达到预期的结果，能才够够达到预期的结果，但是应该向系统安全实施者但是应该向系统安全实施者们指出在当前的前提下，什们指出在当前的前提下，什么因素和风险才是最重要的。么因素和风险才是最重要的。 l防护防护 l系统安全防护系统安全防护l网络安全防护网络安全防护l信息安全防护信息安全防护 l检测检测 l检测是动态响应和加强防护检测是动态响应和加强防护的依据，是强制落实安全策的依据，是强制落实安全策略的工具，通过不断地检测略的工具，通过不断地检测和监控网络及系统，来发现和监控网络及系统，来发现新的威胁和弱点，通过循环新的威胁

9、和弱点，通过循环反馈来及时做出有效的响应反馈来及时做出有效的响应 l响应响应 l响应就是在检测到安全漏洞响应就是在检测到安全漏洞或一个攻击（入侵）事件之或一个攻击（入侵）事件之后，及时采取有效的处理措后，及时采取有效的处理措施，避免危害进一步扩大，施，避免危害进一步扩大，目的是把系统调整到安全状目的是把系统调整到安全状态，或使系统提供正常的服态，或使系统提供正常的服务。通过建立响应机制和紧务。通过建立响应机制和紧急响应方案，能够提高快速急响应方案，能够提高快速响应的能力。响应的能力。计计 算算 机机 网网 络络 安安 全全 技技 术术1.2.2 PDRR网络安全模型l网络安全的整个环节可以用一

10、个最常用网络安全的整个环节可以用一个最常用的安全模型的安全模型PDRRPDRR模型来描述。如图模型来描述。如图所示。所示。PDRRPDRR就是防护（就是防护（ProtectionProtection）、）、检测（检测（DetectionDetection）、响应（）、响应（ResponseResponse）、）、恢复（恢复（RecoveryRecovery）4 4个英文单词的头一个个英文单词的头一个字符字符计计 算算 机机 网网 络络 安安 全全 技技 术术lPDRRPDRR安全模型中安全策略的前三个环安全模型中安全策略的前三个环节与节与P P2 2DRDR安全模型中后三个环节的内安全模型中后

11、三个环节的内涵基本相同，不再赘述。最后一个环涵基本相同，不再赘述。最后一个环节节“恢复恢复”，是指在系统被入侵之后，是指在系统被入侵之后，把系统恢复到原来的状态，或者比原把系统恢复到原来的状态，或者比原来更安全的状态。系统的恢复过程通来更安全的状态。系统的恢复过程通常需要解决两个问题：一是对入侵所常需要解决两个问题：一是对入侵所造成的影响进行评估和系统的重建，造成的影响进行评估和系统的重建，二是采取恰当的技术措施。系统的恢二是采取恰当的技术措施。系统的恢复主要有重建系统、通过软件和程序复主要有重建系统、通过软件和程序恢复系统等方法。详见本书恢复系统等方法。详见本书4.34.3节。节。计计 算算

12、 机机 网网 络络 安安 全全 技技 术术1.3 网络安全体系结构l计算机网络安全体系结构是网络安全计算机网络安全体系结构是网络安全最高层的抽象描述，在大规模的网络最高层的抽象描述，在大规模的网络工程建设和管理，以及基于网络的安工程建设和管理，以及基于网络的安全系统的设计与开发过程中，需要从全系统的设计与开发过程中，需要从全局的体系结构角度考虑安全问题的全局的体系结构角度考虑安全问题的整体解决方案，才能保证网络安全功整体解决方案，才能保证网络安全功能的完备性与一致性，降低安全的代能的完备性与一致性，降低安全的代价和管理的开销。这样一个安全体系价和管理的开销。这样一个安全体系结构对于网络安全的理

13、解、设计、实结构对于网络安全的理解、设计、实现与管理都有重要的意义。现与管理都有重要的意义。计计 算算 机机 网网 络络 安安 全全 技技 术术1.3.1 开放式系统互联参考模型（OSI/RM）（1）层次名 称主 要 功 能功 能 概 述应用样例7应用层 做什么提供（OSI）用户服务，如文件传输、电子邮件、网络管理等Telnet、HTTP6表示层对方看起来像什么实现不同格式和编码之间的交换ASCII、JPEG、EBCDIC5会话层 对方是谁在两个应用进程之间建立和管理不同形式的通信对话。其数据流方向控制模式有三种，即单工、半双工、双工操作系统/应用访问规划4传输层 对方在何处提供传送方式，进行

14、多路利用，实现端点到端点间的数据交换，为会话层实体提供透明的、可靠的数据传输服务TCP、UDP、SPX计计 算算 机机 网网 络络 安安 全全 技技 术术1.3.1 开放式系统互联参考模型（OSI/RM）（2）层次名 称主 要 功 能功 能 概 述应用样例3网络层走哪条路可以到达通过分组交换和路由选择为传输层实体提供端到端的交换网络数据，传送功能使得传输层摆脱路由选择、交换方式、拥挤控制等网络传输细节，实现数据传输IP、IPX2数据链路层每一步应该怎样走进行二进制数据块传送，并进行差错检测和数据流控制。它分为两个子层，即介质访问控制协议（MAC）和逻辑链路控制协议（LLC）。802.3/802

15、.2、HDLC1物理层对上一层的每一步怎样利用物理传输介质通过机械和电气的互联方式把实体连接起来，让数据流通过EIS/TIA-232 V.35 10BASE5、10BASE2和10BASET计计 算算 机机 网网 络络 安安 全全 技技 术术1.3.2 Internet1.3.2 Internet网络体系层次结构网络体系层次结构（1 1）l现在现在InternetInternet使用的协议是使用的协议是TCP/IPTCP/IP协议。协议。TCP/IPTCP/IP协议协议是一个四层结构的网络通信协议组，这四层协议分别是一个四层结构的网络通信协议组，这四层协议分别是：物理网络接口层协议、网际层协议

16、、传输层协议是：物理网络接口层协议、网际层协议、传输层协议和应用层协议。和应用层协议。TCP/IPTCP/IP模型及所包含的协议、基于模型及所包含的协议、基于TCP/IPTCP/IP协议的协议的InternetInternet与与OSIOSI参考模型的体系结构对比参考模型的体系结构对比如图所示。如图所示。计计 算算 机机 网网 络络 安安 全全 技技 术术1.3.2 Internet1.3.2 Internet网络体系层次结构网络体系层次结构（2 2）l网络接口层网络接口层l网络接口层定义了网络接口层定义了InternetInternet与与各种物理网络之间的网络接口。各种物理网络之间的网络接

17、口。该协议层接收上层（该协议层接收上层（IPIP层）的层）的数据并把它封装成对应的、特数据并把它封装成对应的、特定的帧，或者从下层物理网接定的帧，或者从下层物理网接收数据帧并从帧中提取数据报收数据帧并从帧中提取数据报文，然后提交给文，然后提交给IPIP层。层。l网际层网际层l网际层是网络互联层，负责相网际层是网络互联层，负责相邻计算机之间的通信，提供端邻计算机之间的通信，提供端到端的分组传送、数据分段与到端的分组传送、数据分段与组装、路由选择等功能。该层组装、路由选择等功能。该层使用的协议有使用的协议有IPIP、ICMPICMP等。其等。其功能包括三个方面：处理来自功能包括三个方面：处理来自传

18、输层的分组发送请求；处理传输层的分组发送请求；处理输入数据报文；处理输入数据报文；处理ICMPICMP报文、报文、路由、流控、阻塞等问题路由、流控、阻塞等问题 l传输层传输层l为应用层的应用进程或应用程序为应用层的应用进程或应用程序提供端到端的有效、可靠的连接提供端到端的有效、可靠的连接以及通信和事务处理，该层使用以及通信和事务处理，该层使用的协议有的协议有TCPTCP与与UDPUDP。l应用层应用层l位于位于TCP/IPTCP/IP协议的最上层，向用协议的最上层，向用户提供一组应用程序和各种网络户提供一组应用程序和各种网络服务，比如文件传输、电子邮件服务，比如文件传输、电子邮件等。该层使用的

19、协议很多，主要等。该层使用的协议很多，主要包括：包括：TelnetTelnet、FTPFTP、SMTPSMTP、DNSDNS、NFSNFS（实现主机间文件系统（实现主机间文件系统的共享）、的共享）、BOOTPBOOTP（用于无盘主（用于无盘主机的启动）、机的启动）、RPCRPC（实现远程主（实现远程主机的程序运行）、机的程序运行）、SNMPSNMP（实现网（实现网络管理的协议）等。络管理的协议）等。计计 算算 机机 网网 络络 安安 全全 技技 术术1.3.3 网络安全体系结构框架l对于整个网络安全体系，从不同得层面来对于整个网络安全体系，从不同得层面来看，包含的内容和安全要求不尽相同。看，包

20、含的内容和安全要求不尽相同。l从消息的层次来看，主要包括：完整性、保从消息的层次来看，主要包括：完整性、保密性、不可否认性密性、不可否认性l从网络层次来看，主要包括：可靠性、可控从网络层次来看，主要包括：可靠性、可控性、可操作性。保证协议和系统能够互相连性、可操作性。保证协议和系统能够互相连接、可计算性。接、可计算性。l从技术层次上讲，主要包括：数据加密技术、从技术层次上讲，主要包括：数据加密技术、防火墙技术、攻击检测技术、数据恢复技术防火墙技术、攻击检测技术、数据恢复技术等。等。l从设备层次来看，主要包括：质量保证、设从设备层次来看，主要包括：质量保证、设备冗余备份、物理安全等。备冗余备份、

21、物理安全等。计计 算算 机机 网网 络络 安安 全全 技技 术术 计算机网络系统的安全空间 l一般把计算机网络一般把计算机网络安全看成一个由多安全看成一个由多个安全单元组成的个安全单元组成的集合。其中，每一集合。其中，每一个安全单元都是一个安全单元都是一个整体，包含了多个整体，包含了多个特性。可以从安个特性。可以从安全特性的安全问题、全特性的安全问题、系统单元的安全问系统单元的安全问题以及开放系统互题以及开放系统互连（连（ISO/OSIISO/OSI）参）参考模型结构层次的考模型结构层次的安全问题等三个主安全问题等三个主要特性去理解一个要特性去理解一个安全单元。所以安安全单元。所以安全单元集合

22、可以用全单元集合可以用一个三维的安全空一个三维的安全空间去描述它，如图间去描述它，如图所示。所示。 计计 算算 机机 网网 络络 安安 全全 技技 术术l1 1、安全特性的安全问题：安全特性指、安全特性的安全问题：安全特性指的是该安全单元能解决什么安全威胁。的是该安全单元能解决什么安全威胁。一般来说，计算机网络的安全威胁主一般来说，计算机网络的安全威胁主要关心人的恶意行为可能导致的资源要关心人的恶意行为可能导致的资源（包括信息资源、计算资源、通信资（包括信息资源、计算资源、通信资源）被破坏、信息泄漏、篡改、滥用源）被破坏、信息泄漏、篡改、滥用和拒绝服务。和拒绝服务。l2 2、OSIOSI参考模

23、型的安全问题：参考模型的安全问题：OSIOSI参考参考模型的每一层都有不同的安全问题。模型的每一层都有不同的安全问题。计计 算算 机机 网网 络络 安安 全全 技技 术术3 3、系统单元的安全问题、系统单元的安全问题 l系统单元的安全问题指的是该安全单元解决什么系统系统单元的安全问题指的是该安全单元解决什么系统环境的安全问题。对于环境的安全问题。对于InternetInternet，可以从四个不同的，可以从四个不同的环境来分析其安全问题。环境来分析其安全问题。l物理环境的安全问题：物理环境是指硬件设备、网络设备等。它包含物理环境的安全问题：物理环境是指硬件设备、网络设备等。它包含该特性的安全单

24、元解决物理环境的安全问题。该特性的安全单元解决物理环境的安全问题。l网络系统本身的安全问题：网络系统中的网络系统本身的安全问题：网络系统中的“网络网络”指的是网络传输，指的是网络传输，它包含该特性的安全单元解决网络协议所造成的安全问题，一般是指它包含该特性的安全单元解决网络协议所造成的安全问题，一般是指数据在网络上传输的安全威胁。例如加密技术可以解决数据在网络传数据在网络上传输的安全威胁。例如加密技术可以解决数据在网络传输的时候的安全问题。输的时候的安全问题。“系统系统”指的是操作系统。它包含该特性的安指的是操作系统。它包含该特性的安全单元解决端系统或者中间系统（网桥、路由器等）的操作系统包含

25、全单元解决端系统或者中间系统（网桥、路由器等）的操作系统包含的安全问题。一般是指数据和资源在存储时的安全威胁。的安全问题。一般是指数据和资源在存储时的安全威胁。l应用系统的安全问题：应用系统指的是应用程序在操作系统上的开发、应用系统的安全问题：应用系统指的是应用程序在操作系统上的开发、安装和运行。它包含该特性的安全单元解决应用程序所包含的安全问安装和运行。它包含该特性的安全单元解决应用程序所包含的安全问题。一般是指数据在操作及资源使用时遇到的安全威胁。题。一般是指数据在操作及资源使用时遇到的安全威胁。l网络管理的安全问题：网络管理的安全问题：ISO 7498-2ISO 7498-2制定了有关安

26、全管理的机制，包括制定了有关安全管理的机制，包括安全域的设置和管理、安全管理信息库、安全管理信息的通信、安全安全域的设置和管理、安全管理信息库、安全管理信息的通信、安全管理应用程序协议及安全机制与服务管理。管理应用程序协议及安全机制与服务管理。计计 算算 机机 网网 络络 安安 全全 技技 术术1.4安全服务与安全机制 .1安全服务的基本类型安全服务的基本类型l设计和使用一个安全系统的最终目的，就是设设计和使用一个安全系统的最终目的，就是设法消除系统中的部分或全部威胁。探明了系统法消除系统中的部分或全部威胁。探明了系统中的威胁，就要根据安全需求和规定的保护级中的威胁，就要根据安

27、全需求和规定的保护级别，选用适当的安全服务来实现安全保护。别，选用适当的安全服务来实现安全保护。ISOISO对对OSIOSI规定了五种级别的安全服务：即对象规定了五种级别的安全服务：即对象认证、访问控制、数据保密性、数据完整性、认证、访问控制、数据保密性、数据完整性、防抵赖。有些安全服务几乎可以在防抵赖。有些安全服务几乎可以在OSIOSI所有层所有层中提供。中提供。l认证安全服务认证安全服务 l访问控制安全服务访问控制安全服务l数据保密性安全服务数据保密性安全服务 l数据完整性安全服务数据完整性安全服务 l防抵赖安全服务防抵赖安全服务计计 算算 机机 网网 络络 安安 全全 技技 术术1认证安

28、全服务l认证安全服务是防止主动攻击的重要措施，这种认证安全服务是防止主动攻击的重要措施，这种安全服务提供对通信中的对等实体和数据来源的安全服务提供对通信中的对等实体和数据来源的鉴别，它对于开放系统环境中的各种信息安全有鉴别，它对于开放系统环境中的各种信息安全有重要的作用。认证就是识别和证实。识别是辨别重要的作用。认证就是识别和证实。识别是辨别一个对象的身份，证实是证明该对象的身份就是一个对象的身份，证实是证明该对象的身份就是其声明的身份。其声明的身份。OSIOSI环境可提供对等实体认证的环境可提供对等实体认证的安全服务和信源认证的安全服务。安全服务和信源认证的安全服务。l对等实体鉴别：这种服务

29、当由（对等实体鉴别：这种服务当由（N N）层提供时，将使（）层提供时，将使（N+1N+1）实体）实体确信与之打交道的对等实体正是它所需要的（确信与之打交道的对等实体正是它所需要的（N+1N+1）实体。这种）实体。这种服务在连接建立或在数据传送阶段的某些时刻提供使用，用以证服务在连接建立或在数据传送阶段的某些时刻提供使用，用以证实一个或多个实体的身份。实一个或多个实体的身份。l数据源发鉴别：这种服务当由（数据源发鉴别：这种服务当由（N N）层提供时，将使（）层提供时，将使（N+1N+1）实体）实体确信数据来源正是所要求的对等（确信数据来源正是所要求的对等（N+1N+1）实体。数据源发鉴别服）实体

30、。数据源发鉴别服务对数据单元的来源提供确认。这种服务对数据单元的重复篡改务对数据单元的来源提供确认。这种服务对数据单元的重复篡改不提供保护。不提供保护。计计 算算 机机 网网 络络 安安 全全 技技 术术2访问控制安全服务l访问控制安全服务是针对越权使用资访问控制安全服务是针对越权使用资源和非法访问的防御措施。访问控制源和非法访问的防御措施。访问控制大体可分为自主访问控制和强制访问大体可分为自主访问控制和强制访问控制两类。其实现机制可以是基于访控制两类。其实现机制可以是基于访问控制属性的访问控制表（或访问控问控制属性的访问控制表（或访问控制路），或基于制路），或基于“安全标签安全标签”、用户、

31、用户分类和资源分档的多级访问控制等。分类和资源分档的多级访问控制等。访问控制安全服务主要位于应用层、访问控制安全服务主要位于应用层、传输层和网络层。它可以放在通信源、传输层和网络层。它可以放在通信源、通信目标或两者之间的某一部分。通信目标或两者之间的某一部分。计计 算算 机机 网网 络络 安安 全全 技技 术术3数据保密性安全服务l数据保密性安全服务是针对信息泄露、窃听等数据保密性安全服务是针对信息泄露、窃听等被动威胁的防御措施。可细分为：被动威胁的防御措施。可细分为：l信息保密：保护通信系统中的信息或网络数信息保密：保护通信系统中的信息或网络数据库数据。而对于通信系统中的信息，又分据库数据。

32、而对于通信系统中的信息，又分为面向连接保密和无连接保密：连接机密性为面向连接保密和无连接保密：连接机密性这种服务为一次（这种服务为一次（N N）连接上的全部（）连接上的全部（N N）用）用户数据保证其机密性。无连接机密服务为单户数据保证其机密性。无连接机密服务为单个无连接的（个无连接的（N N）SDUSDU中的全部（中的全部（N N）用户数）用户数据保证其机密性。据保证其机密性。l数据字段保密：保护信息中被选择的部分数数据字段保密：保护信息中被选择的部分数据段；这些字段或处于（据段；这些字段或处于（N N）连接的（）连接的（N N）用）用户数据中，或为单个无连接的（户数据中，或为单个无连接的（

33、N N）SDUSDU中的中的字段。字段。l业务流保密：防止攻击者通过观察业务流，业务流保密：防止攻击者通过观察业务流，如信源、信宿、转送时间、频率和路由等来如信源、信宿、转送时间、频率和路由等来得到敏感信息得到敏感信息计计 算算 机机 网网 络络 安安 全全 技技 术术4数据完整性安全服务l数据完整性安全服务是针对非法地篡改和破坏数据完整性安全服务是针对非法地篡改和破坏信息、文件和业务流而设置的防范措施，以保信息、文件和业务流而设置的防范措施，以保证资源的可获得性。这组安全服务又细分为：证资源的可获得性。这组安全服务又细分为：l基于连接的数据完整：这种服务为（基于连接的数据完整：这种服务为（N

34、 N）连接上的所有（）连接上的所有（N N）用）用户数据提供完整性，可以检测整个户数据提供完整性，可以检测整个SDUSDU序列中的数据遭到的任序列中的数据遭到的任何篡改、插入、删除或重放。同时根据是否提供恢复成完整数何篡改、插入、删除或重放。同时根据是否提供恢复成完整数据的功能，区分为有恢复的完整性服务和无恢复的完整性服务。据的功能，区分为有恢复的完整性服务和无恢复的完整性服务。l基于数据单元的数据完整性：这种服务当由（基于数据单元的数据完整性：这种服务当由（N N）层提供时，）层提供时，对发出请求的（对发出请求的（N+lN+l）实体提供数据完整性保证。它是对无连）实体提供数据完整性保证。它是

35、对无连接数据单元逐个进行完整性保护。另外，在一定程度上也能提接数据单元逐个进行完整性保护。另外，在一定程度上也能提供对重放数据单元检测。供对重放数据单元检测。l基于字段的数据完整性：这种服务为有连接或无连接通信的数基于字段的数据完整性：这种服务为有连接或无连接通信的数据提供被选字段的完整性服务，通常是确定被选字段是否遭到据提供被选字段的完整性服务，通常是确定被选字段是否遭到了篡改。了篡改。计计 算算 机机 网网 络络 安安 全全 技技 术术5防抵赖安全服务l防抵赖安全服务是针对对方进行抵赖的防抵赖安全服务是针对对方进行抵赖的防范措施，可用来证实已发生过的操作。防范措施，可用来证实已发生过的操作

36、。这组安全服务可细分为：这组安全服务可细分为：l数据源发证明的抗抵赖，它为数据的接收者数据源发证明的抗抵赖，它为数据的接收者提供数据来源的证据，这将使发送者谎称未提供数据来源的证据，这将使发送者谎称未发送过这些数据或否认他的内容的企图不能发送过这些数据或否认他的内容的企图不能得逞。得逞。l交付证明的抗抵赖，它为数据的发送者提供交付证明的抗抵赖，它为数据的发送者提供数据交付证据，这将使得接收者事后谎称未数据交付证据，这将使得接收者事后谎称未收到过这些数据或否认它的内容的企图不能收到过这些数据或否认它的内容的企图不能得逞。得逞。l通信双方互不信任，但对第三方（公证方）通信双方互不信任，但对第三方（

37、公证方）则绝对信任，于是依靠第三方来证实已发生则绝对信任，于是依靠第三方来证实已发生的操作。的操作。计计 算算 机机 网网 络络 安安 全全 技技 术术1.4.2支持安全服务的基本机制l为了实现上述为了实现上述5 5种安全服务，种安全服务，ISO 7408-2ISO 7408-2中制中制定了支持安全服务的定了支持安全服务的8 8种安全机制，它们分别种安全机制，它们分别是：是：l加密机制（加密机制（Enciphrement MechanismsEnciphrement Mechanisms）l数字签名机制（数字签名机制（Digital Signature MechanismsDigital Si

38、gnature Mechanisms）l访问控制机制（访问控制机制（Access Control MechanismsAccess Control Mechanisms）l数据完整性机制（数据完整性机制（Data Integrity MechanismsData Integrity Mechanisms）l鉴别交换机制（鉴别交换机制（Authentication MechanismsAuthentication Mechanisms）l通信业务填充机制（通信业务填充机制（Traffic Padding MechanismsTraffic Padding Mechanisms）l路由控制机制（路

39、由控制机制（Routing Control MechanismsRouting Control Mechanisms）l公证机制（公证机制（Notarization MechanismsNotarization Mechanisms）l安全机制可以分为两类，一类是与安全服务有安全机制可以分为两类，一类是与安全服务有关，它们被用来实现安全服务；另一类与管理关，它们被用来实现安全服务；另一类与管理功能有关，它们被用于加强对安全系统的管理功能有关，它们被用于加强对安全系统的管理计计 算算 机机 网网 络络 安安 全全 技技 术术1.4.3安全服务和安全机制的关系 机制 服务 数据加密数字签名访问控制

40、数据完整性鉴别交换业务流填充路由控制公证机制对等实体鉴别访问控制连接的保密性选择字段的保密性业务流安全数据的完整性数据源点鉴别禁止否认服务计计 算算 机机 网网 络络 安安 全全 技技 术术1.4.4 安全服务与网络层次的关系ISO的开放系统互连参考模型的七个不同层次各自完成不同的功能，相应地，在各层需要提供不同的安全机制和安全服务，为各系统单元提供不同的安全特性。如图所示。计计 算算 机机 网网 络络 安安 全全 技技 术术1安全服务层次认证服务认证服务l物理层不具备认证服务的参数要求；物理层不具备认证服务的参数要求；l链路层不具备认证服务的服务和效益要求；链路层不具备认证服务的服务和效益要

41、求；l网络层上具备进行网络主机和设备级认证的参网络层上具备进行网络主机和设备级认证的参数要求，可以满足数据通信对网关的选择的服数要求，可以满足数据通信对网关的选择的服务要求，同时可以满足网络通信管理信息的来务要求，同时可以满足网络通信管理信息的来源认证要求；源认证要求；l传输层具备网络通信中系统端口级认证的参数传输层具备网络通信中系统端口级认证的参数要求，在一个连接的开始前和持续过程中能够要求，在一个连接的开始前和持续过程中能够提供两个或多个通信实体的进程级认证服务。提供两个或多个通信实体的进程级认证服务。作为作为OSIOSI模型中最低的满足端认证参数要求的模型中最低的满足端认证参数要求的层次

42、，可以为应用层实体提供认证服务；层次，可以为应用层实体提供认证服务；l应用层可以提供和满足应用实体问的特殊或专应用层可以提供和满足应用实体问的特殊或专项认证服务。项认证服务。计计 算算 机机 网网 络络 安安 全全 技技 术术1安全服务层次数据保密服务 l物理层可通过成对插入透明的电气转换设备实现线路信号物理层可通过成对插入透明的电气转换设备实现线路信号的保密，通过线路物理特性可提供电磁辐射控制，物理层的保密，通过线路物理特性可提供电磁辐射控制，物理层保密服务相对简单透明，但只能抵抗线路切入攻击。保密服务相对简单透明，但只能抵抗线路切入攻击。l链路层可以提供相邻的节点问交换数据的保密，从保密作

43、链路层可以提供相邻的节点问交换数据的保密，从保密作用上看，与物理层一致，与物理层保密服务构成冗余的线用上看，与物理层一致，与物理层保密服务构成冗余的线路保密服务。路保密服务。l网络层具备建立网络主机和设备及保密服务条件，在网关网络层具备建立网络主机和设备及保密服务条件，在网关上可以提供中继式保密机制或分段式保密机制。但这种保上可以提供中继式保密机制或分段式保密机制。但这种保密服务精细到主机或网段级，即认为保密服务相关的主机密服务精细到主机或网段级，即认为保密服务相关的主机或网关是可信的，提供的保密服务是一致的。或网关是可信的，提供的保密服务是一致的。l传输层具备建立网络服务端口级的端端交换数据

44、的保密，传输层具备建立网络服务端口级的端端交换数据的保密，因而，可以区分不同端口问数据交换保密需求。同时，传因而，可以区分不同端口问数据交换保密需求。同时，传输层提供的保密是端端的，传输中间的节点不参与这种数输层提供的保密是端端的，传输中间的节点不参与这种数据保密服务。据保密服务。l应用层具备建立应用进程间的交换数据保密服务条件，但应用层具备建立应用进程间的交换数据保密服务条件，但也增加了保密服务参数管理复杂性，相对低层保密服务而也增加了保密服务参数管理复杂性，相对低层保密服务而言，对网络主机的密码算法和密钥管理提出了更高的要求言，对网络主机的密码算法和密钥管理提出了更高的要求计计 算算 机机

45、 网网 络络 安安 全全 技技 术术1安全服务层次数据完整服务 l物理层没有检测或恢复机制，不具备数据完整服务条物理层没有检测或恢复机制，不具备数据完整服务条件件l链路层具备相邻的节点之间的完整服务条件，但对网链路层具备相邻的节点之间的完整服务条件，但对网络上的每个节点增加了系统时空开销，而提供的完整络上的每个节点增加了系统时空开销，而提供的完整性不是最终意义的完整，所以提供这种服务被认为具性不是最终意义的完整，所以提供这种服务被认为具备效益条件。备效益条件。l就数据完整性保障而言，网络层与链路层相似，也被就数据完整性保障而言，网络层与链路层相似，也被认为不具备效益条件。对网络层实体，它们自己

46、产生认为不具备效益条件。对网络层实体，它们自己产生和管理的网络管理信息的完整服务是必须的，但这种和管理的网络管理信息的完整服务是必须的，但这种服务是网络层内部的需要，不对高层开放。因而不是服务是网络层内部的需要，不对高层开放。因而不是我们所指的数据完整服务，更应该作为网络层内部机我们所指的数据完整服务，更应该作为网络层内部机制处理。制处理。l传输层因为提供了真正的端到端的连接，因而，被认传输层因为提供了真正的端到端的连接，因而，被认为最适宜提供数据完整服务，不过通常传输层提供的为最适宜提供数据完整服务，不过通常传输层提供的数据完整是不具备语义完整服务性能。数据完整是不具备语义完整服务性能。l应

47、用层可以建立应用实体相关的语义级完整服务。应用层可以建立应用实体相关的语义级完整服务。计计 算算 机机 网网 络络 安安 全全 技技 术术1安全服务层次访问控制服务 l物理层和链路层不具备访问控制服务的参数要求，这物理层和链路层不具备访问控制服务的参数要求，这是因为没有可用于这样一种访问控制机制的端设备。是因为没有可用于这样一种访问控制机制的端设备。l网络层可以确立网络层实体的标识，如精细到网络设网络层可以确立网络层实体的标识，如精细到网络设备或主机级访问主体和客体标识，因而，可以驱动基备或主机级访问主体和客体标识，因而，可以驱动基于网络设备、主机、网段或子网的访问控制机制，提于网络设备、主机

48、、网段或子网的访问控制机制，提供网络层实体访问控制服务。这种服务所控制的对象供网络层实体访问控制服务。这种服务所控制的对象的粒度是非常粗糙的，它仅在网络层的实体之间有所的粒度是非常粗糙的，它仅在网络层的实体之间有所不同，但正因为如此，其控制和保护的范围也相对广不同，但正因为如此，其控制和保护的范围也相对广泛。泛。l与网络层道理相同，传输层可提供基于网络服务端口与网络层道理相同，传输层可提供基于网络服务端口的访问控制机制，控制端到端之间数据共享或设备共的访问控制机制，控制端到端之间数据共享或设备共享。享。l应用层能提供应用相关的访问控制服务，将访问控制应用层能提供应用相关的访问控制服务，将访问控

49、制建立在应用层实体，如应用进程或所代表的用户，将建立在应用层实体，如应用进程或所代表的用户，将保护精细到具体应用过程中涉及的共享资源。保护精细到具体应用过程中涉及的共享资源。计计 算算 机机 网网 络络 安安 全全 技技 术术1安全服务层次抗抵赖服务 l抗抵赖服务必须具备完整的证明信息抗抵赖服务必须具备完整的证明信息和公证机制。显然在传输层以下都不和公证机制。显然在传输层以下都不具备完整的证明信息交换条件。具备完整的证明信息交换条件。l抗抵赖服务的证明信息的管理与具体抗抵赖服务的证明信息的管理与具体服务项目密切相关，与公证机制相关，服务项目密切相关，与公证机制相关，因而，传输层本身也难以胜任，

50、通常因而，传输层本身也难以胜任，通常都建立在应用层之上。都建立在应用层之上。计计 算算 机机 网网 络络 安安 全全 技技 术术2网络各层提供的安全服务l通过上述对网络安全服务层次关系的分析得知：通过上述对网络安全服务层次关系的分析得知：某种安全服务只能由某种安全服务只能由ISO/OSIISO/OSI网络网络7 7层中的某一层中的某一（些）特定层有选择的提供，并不是在所有各（些）特定层有选择的提供，并不是在所有各层都能实现。层都能实现。ISOISO的开放系统互连参考模型各的开放系统互连参考模型各层上能够提供的安全服务如表所示。层上能够提供的安全服务如表所示。l下表说明：下表说明：lYY服务应该

51、作为提供者的一种选项被并服务应该作为提供者的一种选项被并进入该层的标准之中。进入该层的标准之中。l不提供。不提供。l#就第就第7 7层而言，应用进程本身可以提供层而言，应用进程本身可以提供安全服务。安全服务。计计 算算 机机 网网 络络 安安 全全 技技 术术服务层1234567#对等实体鉴别YYY数据源发鉴别YYY访问控制服务YYY连接机密性YYYYY无连接机密性YYYY选择字段机密性Y通信业务流机密性YYY带恢复的连接完整性YY不带恢复的连接完整性YYY选择字段连接完整性YY无连接完整性YYY抗抵赖，带数据源发证据抗抵赖，带交付证据计计 算算 机机 网网 络络 安安 全全 技技 术术1.5

52、计算机网络安全的三个层次l措施是方针、政策和对策的体现和落措施是方针、政策和对策的体现和落实。计算机网络安全的实质就是实。计算机网络安全的实质就是安全安全立法、安全技术和安全管理立法、安全技术和安全管理的综合实的综合实施。施。l这三个层次体现了安全策略的限制、这三个层次体现了安全策略的限制、监视和保障职能。所有计算机用户都监视和保障职能。所有计算机用户都要遵循安全对策的一般原则，采取具要遵循安全对策的一般原则，采取具体的组织技术措施。体的组织技术措施。计计 算算 机机 网网 络络 安安 全全 技技 术术1.5.1安全立法l我国从我国从19941994年起制定发布了年起制定发布了中华人中华人民共

53、和国计算机信息系统安全保护条民共和国计算机信息系统安全保护条例例等一系列计算机网络安全方面的等一系列计算机网络安全方面的法规。这些法规主要涉及到五个方面。法规。这些法规主要涉及到五个方面。l计算机网络安全及信息系统安全保护计算机网络安全及信息系统安全保护l国际联网管理国际联网管理l商用密码管理商用密码管理l计算机病毒防治计算机病毒防治l安全产品检测与销售安全产品检测与销售计计 算算 机机 网网 络络 安安 全全 技技 术术1.5.2安全技术l安全技术措施是计算机网络安全的重要保证，是方法、安全技术措施是计算机网络安全的重要保证，是方法、工具、设备、手段乃至需求、环境的综合，也是整个工具、设备、

54、手段乃至需求、环境的综合，也是整个系统安全的物质技术基础。计算机网络安全技术涉及系统安全的物质技术基础。计算机网络安全技术涉及的内容很多，尤其是在网络技术高速发展的今天，不的内容很多，尤其是在网络技术高速发展的今天，不仅涉及计算机和外部、外围设备，通信和网络系统实仅涉及计算机和外部、外围设备，通信和网络系统实体，还涉及到数据安全、软件安全、网络安全、数据体，还涉及到数据安全、软件安全、网络安全、数据库安全、运行安全、防病毒技术、站点的安全以及系库安全、运行安全、防病毒技术、站点的安全以及系统结构、工艺和保密、压缩技术。安全技术的实施应统结构、工艺和保密、压缩技术。安全技术的实施应贯彻落实在系统

55、开发的各个阶段，从系统规划、系统贯彻落实在系统开发的各个阶段，从系统规划、系统分析、系统设计、系统实施、系统评价到系统的运行、分析、系统设计、系统实施、系统评价到系统的运行、维护及管理。本书涉及的安全技术有如下三篇：维护及管理。本书涉及的安全技术有如下三篇：l物理安全技术物理安全技术l网络安全技术网络安全技术 l信息安全技术信息安全技术 计计 算算 机机 网网 络络 安安 全全 技技 术术1物理安全技术l物理安全的内容包括环境安全、电磁防护、物理安全的内容包括环境安全、电磁防护、物理隔离等三个方面。主要涉及计算机机房物理隔离等三个方面。主要涉及计算机机房的安全技术要求，计算机的实体访问控制，的

56、安全技术要求，计算机的实体访问控制，计算机设备及场地的防火与防水，计算机系计算机设备及场地的防火与防水，计算机系统的静电防护，计算机设备及软件、数据的统的静电防护，计算机设备及软件、数据的防盗防破坏措施，屏蔽、滤波技术、接地等防盗防破坏措施，屏蔽、滤波技术、接地等电磁防护措施，彻底的物理隔离、协议隔离、电磁防护措施，彻底的物理隔离、协议隔离、物理隔离网闸等物理隔离技术。物理隔离网闸等物理隔离技术。l物理安全技术的具体内容详见本书第物理安全技术的具体内容详见本书第2 2章。章。计计 算算 机机 网网 络络 安安 全全 技技 术术2网络安全技术l防火墙技术：详见本书第防火墙技术：详见本书第3 3章

57、。章。l攻击检测与系统恢复技术：见本书攻击检测与系统恢复技术：见本书第第4 4章。章。l访问控制技术：见本书第访问控制技术：见本书第5 5章。章。l网络存储备份技术：见本书第网络存储备份技术：见本书第6 6章。章。l病毒防治技术：见本书第病毒防治技术：见本书第7 7章。章。 计计 算算 机机 网网 络络 安安 全全 技技 术术3信息安全技术l数据库系统安全技术：具体内容见数据库系统安全技术：具体内容见本书第本书第8 8章。章。l密码技术：具体内容见本书第密码技术：具体内容见本书第9 9章。章。l认证技术：见本书第认证技术：见本书第1010章。章。 计计 算算 机机 网网 络络 安安 全全 技技

58、 术术1.5.3安全管理l安全管理作为计算机网络安全的第三个层次，安全管理作为计算机网络安全的第三个层次，包括从人事资源管理到资产物业管理，从教包括从人事资源管理到资产物业管理，从教育培训、资格认证到人事考核鉴定制度，从育培训、资格认证到人事考核鉴定制度，从动态运行机制到日常工作规范、岗位责任制动态运行机制到日常工作规范、岗位责任制度等多个方面。这些规章制度是一切技术措度等多个方面。这些规章制度是一切技术措施得以贯彻实施的重要保证。所谓施得以贯彻实施的重要保证。所谓“三分技三分技术，七分管理术，七分管理”，正体现于此。，正体现于此。l本书并没有将安全管理单列，而是将安全管本书并没有将安全管理单

59、列，而是将安全管理融于安全技术中，安全管理技术的具体内理融于安全技术中，安全管理技术的具体内容详见本书容详见本书2.52.5节。节。计计 算算 机机 网网 络络 安安 全全 技技 术术1.6安全技术评估标准l由于计算机网络安全系统及其产品固有的敏由于计算机网络安全系统及其产品固有的敏感性和特殊性，直接影响着国家的安全利益感性和特殊性，直接影响着国家的安全利益和经济利益。各国政府纷纷采取颁布标准、和经济利益。各国政府纷纷采取颁布标准、实行测评和认证制度等方式，对安全产品的实行测评和认证制度等方式，对安全产品的研制、生产、销售、使用和进出口实行严格、研制、生产、销售、使用和进出口实行严格、有效的测

60、试、评估、认证等控制措施。如何有效的测试、评估、认证等控制措施。如何评价计算机网络系统的安全性，建立一套完评价计算机网络系统的安全性，建立一套完整的、客观的评价准则成了人们关心的热点。整的、客观的评价准则成了人们关心的热点。l本节先叙述国际上最有影响力的两个安全评本节先叙述国际上最有影响力的两个安全评估标准，再介绍国内的安全评估标准。估标准，再介绍国内的安全评估标准。 计计 算算 机机 网网 络络 安安 全全 技技 术术1.6.1 可信计算机系统评估标准l19831983年美国国防部提出了一套年美国国防部提出了一套可信计算机系可信计算机系统评估标准统评估标准（TCSECTCSEC，Truste