互联网发展现状1课件

互联网发展的机遇和对安全的挑战

Internet/Intranet/Extranet/Innernet

涪陵师范学院黄世权flszwlzx@2002年10月Internet（因特网）：无限制的与全球网络相连Intranet（内联网）： 有限制地（防火墙）与外部相连Extranet（外联网）： 内联网之间跨越公网相互连接 （加密隧道跨国共网）Innernet（内部网）：与外部物理隔绝主要内容互联网的产生与发展互联网的应用对社会的影响互联网安全面临的严峻挑战确保网络信息安全必须采取的措施（一）

廿世纪末互联网的崛起是IT领域最重大的事件——互联网发展的奇迹——5000用户（万）RadioTVCATVPCInternetWWW4

61013

354000300020001000周期（年）电话74年——互联网发展的规模——

200多个国家和地区3亿网民1亿多台计算机入网1千多万个网站10多亿个网页信息流量每6个月翻一番8500家ISP/ICP

因特网在中国的两个发展过程

第一阶段：萌芽期87-93，各科研部门以电子邮件为主与国外对口机构连接第二阶段：迅猛发展94年起采用TCP/IP协议与Internet连接，进入到大规模发展的阶段。十大骨干网相继建成，大量增值业务涌现中国已有4500万网民（2002.6）1610万台计算机入网29万个网站、域名12万个400万网页10个大型ISP具有国际出口10Gbps(IP电话出口500Mbps)2003年网民将大于5000万Source:—互联网(中国)发展的规模———Internet发展的技术要素——使用了一个统一有效的网络互联协议集TCP/IP在TCP/IP之上开发了许多出色的服务软件采用主干-地区-园区的分层网络结构较早利用光缆，保持了信息传输通畅NSFnet作为主干网络，连接大学和科研机构,美国国家科学基金组建,1986年后取代ARPA成为互联网的主干网络。

——互联网技术的腾飞——宽带网络技术：

IP/ATM（异步传输模式）、IP/SDH（同步数字系列）、IP/WDM（光因特网）

HFC(同轴电缆光纤混合网）、XDSL、FTTH（光纤到家庭）、WLL虚拟专网：

IP-VPN、IP-VPDN、IPsec个性化、移动化、智能化Internet2（NGI下一代网络）:IPV4、IPV6

宽带（Gbps）、智能、安全、实时协同、互操作、150所大学

（二）

廿一世纪是网络经济

与网络社会的时代Internet上的服务丰富多彩WWW服务E-mail服务Telnet服务FTP服务GOPHER服务BBS服务USENET服务MUD服务(MultipleUserDimension)TALK服务IRC服务Internet网络的发展和应用

正在对社会的政治、经济、文化、军事和外交产生广泛深远的影响政府、企业、个人办事：收集信息、处理分析、决策、行动（OODA）—企业信息基础设施的建设—企业网络的转型：

Innernet、Intranet、Extranet、Internet发达国家90%建立企业信息基础设施

ERP企业资源管理计划、CRM客户关系管理、SCM供应链管理系统提高企业IT应用的效费比增强企业市场应变和竞争能力企业再造：提升产业素质、优化产业结构—电子商务是未来商贸运作的主流—10万家企业、2000家银行、100家股商第一家网络银行95年诞生(SFNB):

30%来自NB世界上最大的网上书店：Amazon美国网上股市额占20%：上60家证券商网美国32%网民参与网上交易：3000万人2001年EC交易额$10000亿

——网络媒体具有强大的生命力——网络报刊、网络电台、网络电视台、网络出版网络媒体12000家中国已由600家媒体上网CNN（美国有线新闻网）:2200种新闻类、1000万页/日、1000万访问/日克林顿绯闻：445页斯塔尔报告、2400万人访问美国有13%的人因而退掉报纸美国14%的人喜欢听网上广播——网络媒体的前景展望——全球可达性：204国家和地区时效性：不受时空限制、随时插播、直播交互性：受众参与和交流多媒体融合：文本、声音、摄象个性化服务：个人报页、家庭影院、个人信园智能化服务：智能代理、智能搜索、内容标识分级大众化服务：信息接入的家电话和移动化新媒体：媒体的一场革命（AOL兼并时代—华纳）—数字化应用业务层出不穷—远程教育展现出巨大魅力

#终身教育与素质教育#几千种课件上网，网上大学，网上研究生网上休闲娱乐成为新的时尚#VOD（视频点播），游戏，旅游，博览，虚拟社区#内容服务是互联网业务最快的增长点IP网络电话和传真发展很快

#VoIP/FoIP抢占16%的传统市场#我国5大NSP启动IP电话业务—网络经济的巨大生命力—互联网正在成为重要的社会基础设施网络经济是当前新经济的集中表现网络产业是经济发展的强大引擎网络应用是构建虚拟应用的催化剂

（三）互联网安全面临严峻挑战——安全是什么？——在网络环境里的安全指的是一种能够识别和消除不安全因素的能力。安全的一般性定义必须解决保护公司财产的需要，包括信息和物理设备（如计算机本身）。安全的想法也涉及到适宜性和从属性概念。负责安全的任何一个人都必须决定谁在具体的设备上进行合适的操作，以及什么时候。Internet的安全问题的产生Internet起于研究项目,安全不是主要的考虑少量的用户，多是研究人员，可信的用户群体可靠性(可用性)、计费、性能、配置、安全“Securityissuesarenotdiscussedinthismemo”网络协议的开放性与系统的通用性目标可访问性，行为可知性攻击工具易用性Internet没有集中的管理权威和统一的政策安全政策、计费政策、路由政策—互联网存在的六大问题—无主管的自由王国：有害信息、非法联络、违规行为不设防的网络空间：

国家安全、企业利益、个人隐私法律约束脆弱：

黑客犯罪、知识侵权、避税跨国协调困难

过境信息控制、跨国黑客打击、关税民族化和国际化的冲突

文化传统、价值观、语言文字网络资源紧缺

IP地址、域名、带宽两个实验SanDiego超级计算中心RedhatLinux5.2,nopatch8小时：sunrpcprobe21天：20次pop,imap,rpc,mountd使用Redhat6.X的尝试失败40天：利用pop服务缺陷或的控制权系统日志被删除安装了rootkit、sniffer清华大学校园网RedhatLinux6.2,只开设telnet,www服务；

所有用户申请均可获得账号7天后358个用户两个用户利用dump获得root控制权——有害信息污染——黄色信息：涉及1%网站、10亿美元营业额邪教信息：法轮功80个反宣传网站虚假新闻：美校园炸弹恐吓事件、网上股市欺诈宣扬暴力：政治攻击：政治演变论

—网络病毒的蔓延和破坏—10年内以几何级数增长活体计算机病毒达14000种（4万种、10/天）网络病毒有更大的破坏性（占52%）1988年莫里斯事件（UNIX/Email):

6000台、$9000万1998年的CIH病毒（系统程序和硬盘数据）

2000万台计算机1999年梅利莎案件（Window/Email):

$8000万2000年的爱虫病毒、2001尼母达病毒

1500万台、$几十亿—机要信息流失与信息间谍潜入—国家机密信息、企业关键信息、个人隐私Web发布、电子邮件、文件传送的泄漏预谋性窃取政治和经济情报CIA统计入侵美国要害系统的案件

年增长率为30%14%部门出现过网上失密我国信息网络发展必然成为其攻击重要目标

——网络自身的脆弱性——网络系统的安全脆弱点

Solaris:34漏洞/99年、W2000有上万个Bug(统计图）网络的扩展与业务负荷澎涨：

信息量半年长一倍、网民年增长30%网络带宽瓶颈和信息拥挤社会与经济对网络的巨大依赖性：

US：20%股市、25%产品、30%金融、40%人口灾难恢复的脆弱性

“AOL”96年10小时系统故障影响700万用户2000年2.7事件8大网站瘫痪24-72小时操作系统漏洞增长趋势——信息战的阴影不可忽视——有组织、大规模的网络攻击预谋行为：

国家级、地区级无硝烟的战争：

跨国界、隐蔽性、低花费、跨领域高技术性、情报不确定性美国的“信息战执行委员会”：

网络防护中心（1999年）信息作战中心（2000年）网络攻击演练（2000年）要害目标：金融支付中心、证券交易中心空中交管中心、铁道调度中心电信网管中心、军事指挥中心（四）网络信息安全必须采取果断措施什么是信息安全信息安全：保护信息及信息系统在信息存储、处理、传输过程中不被非法访问或修改，而且对合法用户不发生拒绝服务。信息安全还包括：检测（探测）、记录、对抗此类威胁所必要的措施。强调：信息的载体不安全，就不会有信息安全Safety/Security信息保障（IA）通过信息和信息系统的可用性、完整性、认证、保密性和非否认性，保护信息和信息系统的行动，它包括通过在信息系统中引入保护（Protection)、检测(Detection)和反应(Reaction)能力而使之能进行恢复(Restore)。PDRR模型保护检测反应恢复信息保障网络信息安全的发展三个阶段：通信保密阶段：以密码学研究为主计算机系统安全阶段；以单机操作系统安全研究为主网络信息系统安全阶段：开始进行信息安全体系研究信息安全的基本特征相对性只有相对的安全，没有绝对的安全系统从NIS集成的角度看，使用COTS可能比完全自主开发的软件安全性更好，因此一个实际的NIS不可能排除COTS产品安全性在系统的不同部件间可以转移（如在内部网络和外部网络之间使用堡垒主机），这样可以使用非可信部件组成部件组成可信系统信息安全的基本特征（续）时效性（动态性、配置相关）新的漏洞与攻击方法不断发现（NT4.0已从SP1发展到SP6)日常管理中的不同配置会引入新的问题(安全测评只证明特定环境与特定配置下的安全)新的系统部件会引入新的问题(WORD等有漏洞)因此需要自动的配置检查工具和实时的入侵检测系统.•攻击的不确定性一攻击发起的时间、攻击者、攻击目标和攻击发起的地点都具有不确定性•复杂性一信息安全是一项系统工程，需要技术的和非技术的手段，涉及到安全管理、教育、培训、立法、国际合作与互不侵犯协定、应急反应等。

信息安全的基本特征（续2）安全威胁与防护威胁： 对信息资源的保密性、完整性、可用性或合法使用所造成的危险。攻击：某种威胁的具体实现。防护： 保护信息免受威胁的一种物理的控制机制、策略和过程。安全威胁分故意的（如黑客渗透）和偶然的。漏洞方案用户权控制权木马注入清痕迹留后门——值得深思的几个问题——信息安全的全局性战略黑客工具的公开化对策（几万个黑客网站）网络安全的预警体系应急反应队伍的建设

——网络安全策略的演变——由信息保护转为对信息/系统/操作等多项保护由技术安全转为对技术/管理/法律的综合安全由静态防护转为动态防护由消极防御转为积极防御由点防御转为面防御—网络安全系统构建策略—

综合性：管理、法规、技术、基础设施均衡性：脆弱点、基线、安全强度的均衡折衷性：系统开销与风险承受能力的平衡点动态性：防护、检测、反应/恢复（PDRR)

——制订安全法规——93%国家用法律监管70%国家修改现有法律43%国家制订新的专用法规

媒体监管、内容管理知识产权、电子商务网络犯罪、网络运营隐私保护、密码管理数据保护、信息过境我国正在制订相应的安全法规：尚不完善

——快速发展的安全产业——美国有800家安全产品厂商和研发部门全球1600个密码相关产品每年以20%——30%速度扩展市场近几百亿产值我国二百家安全研究部门和企业Internet安全防范

技术与产品Internet网络安全技术安全内核技术安全等级制身份鉴别技术KerberosWeb安全技术SSLSHTTPSOCKS协议网络反病毒技术防火墙技术动态IP过滤技术IP分片过滤技术IP欺骗保护地址转换访问控制保密网关技术面向信息与面向客户综合安全与保密策略实现安全管理标准、

规范与对策网络应用实体结构分类网络应用实体结构分类Internet网络系统开放、面向大众、共享信息资源Intranet网络系统企业内部、基于Internet基本协议、完成企业内部各种管理需要（MIS、OA、TPS、专用事物处理），企业内跨平台操作Extranet网络系统企业完成对合作伙伴的信息服务支持，提供专用的企业应用专用网络系统特定的网络协议、特殊的应用目的计算机系统安全等级保护制度安全等级A级：绝对可信网络安全B级：完全可信网络安全（B1、B2、B3）C级：可信网络安全（C1、C2）D级：不可信网络安全TCP/IP安全层次端口级地址级用户级数据级网络安全建设工作内容网络安全设计与实现安全体系安全需求分析安全模型安全产品安全工程实施安全评估安全管理制度制定与评价执行与监督改进与完善——企业网络安全策略——

进入开放的全球大市场是必然趋势保护企业敏感信息和利益是重要的采取适度的安全策略企业网络安全结构层业务要求网络安全域安全设施一*开放网络环境*全球大市场*EC、EBInternet*完整性保护*可用性保护二*专用的安全隧道*供应链、流动业务*SCMCRMExtranet*VPN*AAA三*关键业务区*敏感信息*ERPIntranet*边界安全*认证授权*动态防护*防病毒防火墙Extranet企业网无缝联接与控制

ACLIntranetVLANVPNInternet保密性真实性完整性抗否认性可用性加密、数字签名、数字证书、

IPSEC、PKI电子钱包、交易服务器、支付网关、认证服务器

Internet、Intranet、Extranet、IP-VPN、CAEC应用层安全服务层安全机制层逻辑实体层基础设施层

电子商务应用

B-C、B-B、B-G

电子商务协同运作与安全控制

B-C、B-B、B-G、NB、NS消费者银行专网