计算机网络安全管理设计规范

第10章网络安全技术设计10.1网络中存在的安全问题

10.2网络安全设计

小结习题与思考

计算机网络安全管理设计规范全文共154页，当前为第1页。10.1网络中存在的安全问题

10.1.1网络安全的主要问题计算机网络对人类经济和生活的冲击是其他信息载体所无法比拟的，它的高速发展和全方位渗透，推动了整个社会的信息化进程。特别是风靡全球的Internet(国际互联网，因特网)，更令人叹为观止。计算机网络具备分布广域性、体系结构开放性、资源共享性和信道共用性的特点，因此增加了网络的实用性，同时也不可避免地带来了系统的脆弱性，使其面临严重的安全问题。

计算机网络安全管理设计规范全文共154页，当前为第2页。在广域网中，包括多种机型，任何一个节点受到侵害，都将对整个网络造成危害；在互联网中，体系结构的开放性给系统互连带来了方便，同时由于开放性是透明的，从而给有意攻击网络系统安全的人也增加了更多机会；系统实现共享是网络的一大优点，但共享恰恰与安全保密相对立，非法用户很容易利用共享的特点获得信息，或有意破坏共享资源以及使整个网络遭受损害；等等。总之，计算机网络技术的普及和随之而来的网络安全问题将使得计算机网络安全保护变得越来越重要。

计算机网络安全管理设计规范全文共154页，当前为第3页。对计算机网络来说，计算机系统本身的脆弱性和通信设施的脆弱性，共同构成了对计算机网络潜在的威胁，主要有以下几个方面。

1)自然因素

u

自然灾害：包括地震、雷电、水灾、风灾等不以人们意志为转移的自然灾害。

u

自然环境：温度、湿度、灰尘度和电磁场等。计算机网络安全管理设计规范全文共154页，当前为第4页。

2)意外事故

停电、火灾等不可预见的意外事故。

3)人为的物理破坏

u

非故意：误操作、失误、失职等人为疏忽而造成的事故。

u

故意：未经系统授权，非法地对计算机网络系统的资源进行窃取、复制、修改和毁坏。计算机网络安全管理设计规范全文共154页，当前为第5页。

4)计算机病毒网络技术的发展，使得计算机病毒可通过国际互联网传播，从而大大加速了电脑病毒的传播速度和扩大了传播范围。计算机病毒不仅会发生在Windows或DOS系统，而且也会发生在UNIX等系统上，震惊整个计算机界的“蠕虫”病毒即发生在UNIX系统上。计算机病毒技术也正朝着智能化、网络化发展。病毒由许多不同功能的组件构成，它不仅可分布在同一台计算机上，也可分布在网络系统的其他计算机上；病毒既可分布在局域网上，也可分布在广域网上。因此，我们要对网络化电脑病毒传播和威胁引起足够的重视。

计算机网络安全管理设计规范全文共154页，当前为第6页。

5)网络协议分析软件网络协议分析软件可以用来排除各种网络故障，监视网络系统，防止黑客的侵入，同时它也可以被黑客用来截获并分析网络通信中的所有数据，从而对网络的安全造成极大威胁。好的网络协议分析软件可用于分析OSI网络七层模型的每一层的数据包，它既可用于分析广域网如DDN、帧中继、的数据包，也可用来分析局域网如以太网、令牌环网、FDDI等的数据包；它既可用于分析TCP/IP协议，也可用来分析IBM

SNA、NETBIOS等协议；它既可用于分析FTP、TELNET、RLOGIN等应用层的协议，也可用来分析RIP、OSPF等路由协议。虽然这些网络协议分析软件的功能异常强大，但并不要求使用者对计算机或网络通信协议有深入的了解。即对于普通的电脑用户，也可通过网络协议分析软件来截取网络上的各种数据，这无疑对网络系统的安全问题提出了更高的要求。

计算机网络安全管理设计规范全文共154页，当前为第7页。

6)电脑黑客及其攻击现在，黑客在国际互联网上的攻击活动十分频繁，他们利用Internet的内在缺陷和管理上的一些漏洞非法进入网络系统，修改或毁坏网络系统中的重要数据等。网络的开放性决定了它的复杂性和多样性，随着技术的不断进步，各种各样高明的黑客还会不断出现，同时，他们使用的手段也会越来越先进。

计算机网络安全管理设计规范全文共154页，当前为第8页。10.1.2网络系统安全采用的主要技术

1.网络安全等级各种不安全因素的存在，说明一个绝对安全的计算机和网络是不存在的。1985年底，美国国防部发表的《可信计算机系统评估准则》(TCSEC，即众所周知的桔皮书)中指出：任何人都不能简单地说一台计算机是安全还是不安全的。它依据处理的信息等级和采取相应对策划分每一个安全等级。安全等级分为4类7级，依照各类级安全要求从低到高，依次为D、C1、C2、B1、B2、B3、A1级。字母A到D分别代表了4种不同的安全级别，每一个安全级别中，可用一个数字来进一步细分这一级别。

计算机网络安全管理设计规范全文共154页，当前为第9页。

D级为安全性最低一级，DOS是一个具有代表性的D1级操作系统，DOS根本没有安全性保证，任何坐在计算机前的人都可以存取系统中的任何文件。DOS无“所有权”和“许可权”的概念，所有的文件都被当前用户所拥有。

C1级操作系统比D级具有更多的安全性，并具有一种提供安全性的方法。在标准UNIX中，只有“登录”、“口令”和“文件所有权”这些概念代表C1级别安全。

计算机网络安全管理设计规范全文共154页，当前为第10页。

C2级别比C1级别安全性略高。许多UNIX系统，如著名的SCOUNIX就允许这些附加的功能，因此完全被授予C2级。DEC公司的VAX/VMS操作系统被确认为C2级，微软的Windows服务器版本的安全级别也是C2级。

B级属于强制式保护(MandatoryProtection)。该等级的安全特点在于由系统强制的安全保护，在强制式保护模式中，每个系统对象(如文件、目录等资源)及主题(如系统管理员、用户、应用程序)都有自己的安全标签(SecurityLabel)，系统即依据用户的安全等级赋予他对各对象的访问权限。计算机网络安全管理设计规范全文共154页，当前为第11页。

A级也叫可验证之保护(VerifiedProtection)，是定义的最高等级。这一级包括了它下面各级的所有特性。A级还附加一个安全系统受监视的设计要求，合格的安全个体必须分析并通过这一设计。另外，必须采用严格的形式化方法来证明该系统的安全性。而且在A级，所有构成系统的部件的来源必须有安全保证，这些安全措施还必须担保在销售过程中这些部件不受损害。例如，在A级设置中，一个磁带驱动器从生产厂房直至计算机房都被严密跟踪。

计算机网络安全管理设计规范全文共154页，当前为第12页。

2.网络安全策略面对网络的种种威胁，为最大限度地保护网络中的敏感信息，各行业应采取有效的安全对策来确保网络系统的安全运行，不论采用安全管理、安全机制，还是从开发网络体系结构的高度进行规划，均应考虑如下一些原则：

(1)需求、风险、代价平衡分析。任何网络的安全都是相对的，没有一个网络系统是绝对安全的，威胁本身所要付出的代价、威胁可能带来的风险以及对抗威胁所花费的成本是安全系统设计折衷的三个方面，通常采用的策略是风险最大可容忍原则。一个不付出任何代价的安全策略是不存在的。

计算机网络安全管理设计规范全文共154页，当前为第13页。

(2)综合性和整体性。这是从系统综合的整体角度看待和分析网络系统的安全性，从而采取有效可行的防范措施。

(3)安全措施公开。保密是基于一系列易于保护的密钥和通行字，这样攻击者即使获得一个密码设施，由于没有密钥也是毫无办法，因此建议安全设施的设计与操作公开化。

(4)特权分散。网络系统中每个应用程序、系统程序及管理人员只具有操作完成某项任务所必需的最小特权设施，这样一旦出现问题可将损失减少，以寻求用户对其最小依赖。

(5)易操作性。降低操作的复杂性，减少对系统安全所造成的人为危害也是重要的一个方面。

计算机网络安全管理设计规范全文共154页，当前为第14页。

3.网络安全措施

(1)安全管理。安全管理包括法律制度的健全以及管理制度和道德规范的约束。1994年我国颁布的《中华人民共和国计算机信息系统安全保护条例》标志着我国整个计算机安全工作已走上规范化、法制化的道路。

(2)防火墙技术。Internet的防火墙技术目前已比较成熟，简单的防火墙技术可在路由器上直接实现，而专用防火墙可提供更加可靠的网络安全控制方法。

计算机网络安全管理设计规范全文共154页，当前为第15页。

(3)数据加密技术。信息保密是网络安全中关键的一环，数据被发送到网络之前，数据的加密和解密是不可忽视的安全问题，密码技术广泛用于防止传输中的信息和记录存储的信息不被窃取、修改和伪造，还可以识别双方的真实性，许多实用程序也可使数据加密。

(4)利用子网。在网络设计时，把庞大的网络划分成若干个部分，每部分配一个系统管理员，每个管理员对有限个本地用户和主机负责。而作为一个整体来观察网络时，可令外人不知所措，安全性即体现在这上面。同时，当这个网络被分成若干可管理的部分时，每一个任务就更小并更便于控制。

计算机网络安全管理设计规范全文共154页，当前为第16页。

(5)更换口令。在系统内使用口令进行身份验证时，应采取恰当的保密措施防止口令字的泄露，同时不能总使用相同的口令。修改越频繁，就越频繁地阻止了那些试图猜测口令而成为入侵者的人。口令的设计可采用大小写敏感、字母数字特殊、字符混合编排等等。

计算机网络安全管理设计规范全文共154页，当前为第17页。

4.安全审计安全审计是对网上用户的行为监督管理，对计算机的工作过程进行详尽的跟踪，记录用户活动，记录系统管理，监控和捕捉各种安全文件，维护管理审计记录和审计日志。如多次使用错误的口令试图进入系统，试图越权对某些程序或文件进行操作，审计跟踪可对这些操作时间、终端号及其他有关信息进行定位，以便发现和解决系统中出现的安全问题。

计算机网络安全管理设计规范全文共154页，当前为第18页。10.2网络安全设计

10.2.1访问控制技术

1.访问控制概念

1)访问控制原理访问控制涉及到限制合法用户的行为。这种控制是通过一个参考监视器来进行的。每一次用户对系统内目标进行访问时，都由它来进行调节。用户对系统进行访问时，参考监视器便于查看授权数据库，以确定准备进行操作的用户是否确实得到了可进行此项操作的许可。而数据库的授权则是由一个安全管理器负责管理和维护，管理器以组织的安全策略为基准来设置这些授权。用户还能够修改该授权数据库的一部分，例如，为他们个人的文件设置授权，审计对系统中的相关行为进行管理并做下记录。

计算机网络安全管理设计规范全文共154页，当前为第19页。严格区分鉴别和访问控制是很重要的。正确建立用户的身份是鉴别服务的责任；而访问控制则假定在通过参考监视器实施访问控制前，用户的身份就已经得到了验证。因此，访问控制的有效性取决于对用户的正确识别，同时也取决于参考监视器正确的授权管理。计算机网络安全管理设计规范全文共154页，当前为第20页。但是访问控制并不能完全解决系统的安全问题，它还必须与审计结合起来。审计控制是指对系统中所有的用户需求和行为进行后验分析。它要求所有的用户需求和行为都必须登记(存入)，以便以后对它进行分析。审计控制既是一种强有力的威慑力量(用户如果知道它们的行为正被监视，那么就会收敛违法行为)，也可作为一种有效的手段，分析用户的行为、发现可能进行或已经实施的违法行为。而且，审计对于确定安全系统中可能存在的缺陷也很重要。除此之外，它还能确保被授权的用户不滥用其特权。

计算机网络安全管理设计规范全文共154页，当前为第21页。在访问控制系统中，策略与机制有着一定的区别。策略是高层次的，它决定着如何对访问进行控制；而机制则具体到完成一个策略的低层软件和硬件功能。安全研究人员开发了访问控制机制，它基本上独立于使用的策略。这使得机制可以在安全保密服务中重复使用。通常，可在实现机密性、完整性或可用性上使用同一机制。而安全策略则五花八门、多种多样，令系统实施者不知何去何从。

计算机网络安全管理设计规范全文共154页，当前为第22页。但并不是所有的系统都有着同样的受保护的要求，适合这个系统的策略并不一定适合其他的系统。例如极严格的访问控制策略，它对某些系统可能至关重要，但对于用户更大更灵活的环境也许就不适合了。对访问控制的选择取决于保护环境的独有特性。

计算机网络安全管理设计规范全文共154页，当前为第23页。

2)访问矩阵安全专业人员近年来在访问控制方面已形成了一系列观念，其中最基本的一点就是认识到了所有由计算机系统控制的资源都可以表示为数据而存储在客体(如文件)中。因此，对客体的保护就是最关键的要求，它可简化对计算机系统控制的其他资源的保护(当然，这些资源还应得到物理保护)。

计算机网络安全管理设计规范全文共154页，当前为第24页。系统中的行为是由称为主体的实体进行的，主体一般是用户或以用户名义执行的程序。而用户可以作为不同的主体，在什么情况下向系统登记，则取决于用户在特定会话中希望使用什么样的特权。例如，一个执行两种方案的用户可以以任何一个方案的名义登记。这样，与此用户对应的主体就有两个，它取决于用户正在执行哪一个方案。主体自身也可以成为客体，主体还可创造许多“子主体”来完成任务。“子主体”可以在网络中的不同计算机上执行，而“母主体”则用来中止或结束其“子主体”。某一操作的始发者可以成为另一操作的目标这种现象，正符合主体可以成为客体的事实(在网络说法中，主体有时叫始发者，而客体有时叫目标)。

计算机网络安全管理设计规范全文共154页，当前为第25页。主客体的区别是访问控制的基本问题。主体产生对客体的行为或操作。这些行为根据系统中的授权而得到允许或拒绝。这种许可是以访问权或访问方式的形式表示的。访问权的含义取决于上述客体。对文件来说，典型的访问就是读、写、执行和所有。而所有权则是指谁能改变文件的访问权。客体，如银行账目，可根据对账目的基本操作拥有相应的访问权，如询问、信贷和记账等。这些操作应由应用程序来执行。但对于文件来说，这些操作一般由操作系统来执行。

计算机网络安全管理设计规范全文共154页，当前为第26页。访问矩阵是规定主体对客体应拥有何种权利的概念性模型。每一个主体一行，客体一列。矩阵中每一单元规定了每一行的主体对这一列的客体可进行的访问。访问控制的主旨就是保证只有访问矩阵允许的操作才能进行。这是通过参考监视器来完成的。访问矩阵模型对鉴别和授权的问题进行了严格的区分。账目的访问权说明了如何在应用程序实施的抽象中控制访问。“询问”类似于读的过程，在这个过程中它可以检索信息但无法改变信息。信贷和记账操作都要读以前的账目差额，做适当校对后再重新写入。进行这些操作就要求对账目数据的读写访问。但不允许用户直接读写账目客体，因此他们只能通过执行信贷和记账操作的应用程序间接地控制账目客体。

计算机网络安全管理设计规范全文共154页，当前为第27页。

2.访问控制的实施

1)访问控制单实现访问矩阵最广泛使用的一种方法就是访问控制单(ACL，AccessControlTable，亦称访问控制表)。每个客体都与一个ACL联系，这个表说明了系统中每个主体都可以对客体进行的访问。这种方法表示将矩阵以列的方式存储。通过ACL，我们可以显而易见地看出访问主体可以对客体进行的访问方式。而要取消对客体的访问权也很容易，只需用空白的ACL代替现有的ACL。但另一方面，在ACL中要确定一个主体的全部访问权就比较困难。必须检验系统中每个客体的ACL，主体才能访问。同样，如果主体要撤消所有访问，那么也要逐一审查ACL。

计算机网络安全管理设计规范全文共154页，当前为第28页。许多系统允许集团的名称出现在ACL中。比如(ISSE，R)就可以允许所有ISSE集团的成员读某个文件。几个常用的操作系统，如UNIX和VMS，对ACL进行了简化，使其中只有少数的，一般只有一个或两个集团的名称，而个人主体的名称是不允许的。这样，ACL的规模就很小，用几个比特就可以将其存储起来。另一个极端就是有许多访问控制组，允许ACL中有复杂的规则来限制何时、如何进行访问。这些规则适用于个别用户或者符合某一格式的所有用户，这种格式是以用户名称或其他用户标志来定义的。

计算机网络安全管理设计规范全文共154页，当前为第29页。

2)性能表性能表是与ACL相对的另一种方法。每个主体都与一个表格(性能表)相联系，此表说明了主体可以对哪个客体进行访问。这种方法表示以行来存储访问矩阵。在性能表方法中，通过某个主体进行访问相当方便，只要查看主体的性能表就行了。但是，要确定访问某客体的所有主体则需要察看每个主体的性能单。20世纪70年代开发了许多使用性能单的计算机系统，但经济收效甚微，而现代操作系统通常采用ACL。

计算机网络安全管理设计规范全文共154页，当前为第30页。将ACL与性能表结合起来也是可能的。一个主体只需一个性能表就足以获得所有的授权访问。在一个分散系统中，这种方式的优越性是不要求对主体进行重复鉴别。也就是允许对主体鉴别一次，就可以获得性能表，然后用这些性能表从系统中不同的服务器上获得服务。接着，服务器再用ACL来提供更细致的访问控制。

计算机网络安全管理设计规范全文共154页，当前为第31页。

3)授权关系

ACL和性能表在进行访问审阅时有着各自的优缺点。而有些访问矩阵的表示则不偏向于任何一种方法。如果用主体分类，就可得到性能表；若用客体分类，则可得到ACL。有联系的数据管理系统通常使用这种表示法。

计算机网络安全管理设计规范全文共154页，当前为第32页。

3.访问控制策略

1)自由访问控制策略自由访问控制策略控制了用户对信息的访问。其依据是用户的身份和授权(或规则)，并为系统中每位用户(或用户组)和客体规定了用户允许对客体进行访问的方式(如读、写或执行)。每个用户对客体进行访问的要求都要经过规定授权的检验。如果授权中允许用户以这种方式访问客体，则访问就可以得到许可；否则就不予许可。自由访问控制策略的弹性使它们适合于多种系统及应用。因此它们被广泛使用，尤其是在商业和工业环境中。

计算机网络安全管理设计规范全文共154页，当前为第33页。然而，自由访问控制也有不足之处：不能真正提供对系统中信息流的保护。因为要绕过授权中的访问限制是轻而易举的。例如，一位能读的用户就可在不被数据所有者察觉的情况下将它传送给未授权的其他用户。主要原因是该策略在用户接收信息时并不对信息的使用施加任何限制，即信息传播不受限制。相反，在强制性系统中就会限制信息传播。

计算机网络安全管理设计规范全文共154页，当前为第34页。建立在明确规定的授权之上的自由访问控制策略称为是“关闭”的，其中参考监视器做出的违约判断是否定的。另一种“开放”策略与之相似，也规定“否决”而非“允许”。在这种情况下，对系统中的每个用户和客体，都规定了用户禁止采用的访问方式。用户提出的访问要求都必须经过规定授权的检验，只有在没有否决访问授权时，这个要求才被许可。肯定和否定授权的使用还可以结合起来，既规定用户许可的访问，也规定用户不能进行的访问。

计算机网络安全管理设计规范全文共154页，当前为第35页。

2)强制性策略强制性策略是在将系统中的主体和客体分类的基础上进行控制访问。系统中的每位用户和客体都属于某一安全级别。客体的安全级别反映了其中信息的敏感性，即对信息未经许可的泄露将导致的损害。用户的安全级别还反映了用户的可靠性，凭借这种可靠性该用户不会把敏感信息泄露给不允许获得该信息的用户。简而言之，安全级别就是等级组中的一个元素。在军队、民间以及政府中，这个等级组一般包括绝密(TS)、机密(C)、秘密(S)和非保密(U)，每一个保密级别都控制本级及其以下的级别。

计算机网络安全管理设计规范全文共154页，当前为第36页。主体对客体的访问只有在其所处的安全级别符合某种关系时才被允许。特别是要满足以下两个原则：

u

向下取读——主体的安全级别必须高于所读客体的安全级别；

u

向上写入——主体的安全级别必须低于所写客体的安全级别。满足了这两个原则，才能防止高级客体中的信息流入低层客体。在这样的系统中，信息只能向上或在同等安全级中流动。

计算机网络安全管理设计规范全文共154页，当前为第37页。了解用户和主体的关系相当重要。假设用户Jane的安全级别为S，并假设她一直作为S主体在系统登记。Jane的主体根据向下取读规则就不能读TS和C客体。而向上写入规则初看起来似乎有两个地方也与常规相背。首先，Jane的主体可以写TS和C客体(尽管不能读)。特别是它们能改写现有的TS和C数据从而进行毁坏。因此，许多采用强制性访问控制的系统都不允许向上写入，并限制同级写入。同时，向上写入允许Jane的S主体向TS或C主体发送E-mail并获得收益。

计算机网络安全管理设计规范全文共154页，当前为第38页。其次，Jane的S主体不能写U数据。这就意味着，Jane不能向U用户发送E-mail。这与理论正好相反，理论上S用户可以向U用户写入记录。这种看似矛盾的问题实际上也很好解决，只要允许Jane在系统中作为U主体进行登记就行了。当进行会话时，她就能向U主体发送E-mail了。

计算机网络安全管理设计规范全文共154页，当前为第39页。换而言之，用户可以作为其安全级别或该级别以下的任何级别的主体在系统中进行登记。那么，为什么还要制定向上写入规则呢？主要原因是为防止破坏性软件将S中的秘密泄露给下面的U中。用户虽不会泄露这些信息，但不能保证他们执行的程序也不泄露。比如在系统中的某一级登记，在这一级她的主体不能读S主体，因而不能把数据从S泄露到U中。而向上写入规则也使用户不可能无意将信息从高级泄露给低级。除了安全等级，还可将主体和客体目录进行划分。在这种情况下，每个主体和客体的分类标签是由安全级别和一套目录组成的。用户目录反映了用户进行操作的特定领域，而客体目录则反映了客体中的信息所对应的领域。主体只能进行实施其职责的访问。这种做法使条理更清晰。

计算机网络安全管理设计规范全文共154页，当前为第40页。强制性访问控制也适用于信息完整性的保护。例如，完整性级别可以是关键(C)、重要(I)和未定(U)。客体的完整性级别反映了用户插入、修改或删除该级数据和程序的可靠性。以下是与安全级别类似的两个原则：

u

向上取读——主体的完整性级别必须低于被取读客体的完整性级别；

u

向下写入——主体的完整性级别必须高于被写入客体的完整性级别。满足这些原则，就防止了低层客体中的信息(可靠性较低)流入高层客体中，从而保障了其完整性。以这种方式控制信息流通是保证信息完整性的惟一方法。

计算机网络安全管理设计规范全文共154页，当前为第41页。

3)角色策略上述自由访问控制和强制性访问控制策略已被官方标准所认可，特别是被美国国防部桔皮书认可。在安全研究者与实施者中有一种很流行的观念，即这些传统的自由和强制性政策不能满足许多实际的要求。强制性策略产生于纪律严格的环境，如军事环境。而自由策略产生于合作却仍自主的要求，比如学术研究者的要求。但它们都不能满足许多商业企业的需求。桔皮书自由策略也很难有效地控制信息，而桔皮书强制性策略则主要集中在保护信息机密性的政策上了。

计算机网络安全管理设计规范全文共154页，当前为第42页。现已提出了几种代替传统自由和强制策略的方案。这些策略像自由策略一样允许授予用户(或用户组)访问客体的权利，但同时也对分配或使用这些授权做出了一些限制。其中一个引起人们广泛关注的就是角色访问控制。角色访问控制根据用户在系统中的行为规定了他们对信息的访问。角色策略要求确定每一位用户在系统中的角色。所谓角色，就是与一个特定的工作行为有关的一套行动与责任。所以，访问授权就是对各个角色规定，而非对每个用户规定。用户授权选取角色。NIST最近的研究确认了角色对于许多商业和政府组织都是一种行之有效的方法。

计算机网络安全管理设计规范全文共154页，当前为第43页。担任某一角色的用户允许进行授权该角色的所有访问。一般来说，用户可在不同情况下选取不同的角色，也可由不同的用户担任同一角色，甚至是同时的。这种方法有以下几个优越性：授权管理——角色策略将授权规定分为两个部分，从而获得了逻辑上的独立。一部分是将用户分配到各个角色中，而另一部分则是将对客体的访问权分配到角色中。这在很大程度上简化了安全管理。例如，假如某用户的责任因提升而改变，那么用户就不担任现在的角色，而是分配以适合新责任的角色。而如果所有授权都直接在用户和客体中进行，那么就必须取消用户现有的访问权再重新分配新的访问权，这与“角色”法相比既麻烦又费时。

计算机网络安全管理设计规范全文共154页，当前为第44页。

u

分级角色——在许多应用中，都有自然形成的角色级别，是建立在统一化和专门化的一般原则上的。例如硬件工程师和软件工程师就是工程师角色的专门化。一个担任软件(或硬件)工程师的用户，还会接受更大范围的特权与许可。而监督工程师的角色同样也承担了软件与硬件工程师的角色。分级角色更简化了授权管理。

u最少特权——“角色”允许用户登记现有任务要求的最少特权。权力很大的用户只在需要这些特权时才使用它们。这就把因偶然失误或因窃听者冒名顶替合法用户而造成的危险降到了最小。

计算机网络安全管理设计规范全文共154页，当前为第45页。

u职责分离——职责分离的原则是：不能给用户太多的特权，而使他们可以滥用系统。例如，核准薪金支票的人就不能签发支票。职责分离可以固定地(通过定义不能由同一用户执行的角色)或能动地(在访问时强行控制)实施。职责能动分离的一例就是“二人规则”：第一个执行“二人”操作的用户可以作为任意的授权用户；而第二个用户只能在其余的范围内作为任意授权用户。

计算机网络安全管理设计规范全文共154页，当前为第46页。

u客体分类——角色策略根据用户的行为对用户进行了分类。同样，客体也应进行分类。比如，一个职员一般需要对银行账户进行访问，而秘书则要对信件和备忘录进行访问。客体可根据其类型(如信件、手册)及其应用领域(如商业信件、广告信件)进行分类。角色的访问授权就应根据客体类型而不是根据具体的客体来分类。比如，秘书的角色就可以被授权读写所有的信件，而不是为读写每一封信件授权。这种方法的优越性在于：它使授权的行政管理更容易控制。再有，授权对每个客体进行的访问是根据客体的种类自动分类的，而无需给每个客体授权。

计算机网络安全管理设计规范全文共154页，当前为第47页。

4.授权的行政管理管理政策决定了谁有权去修改已被许可的访问。这是访问控制最重要但也是最不受重视的一个方面。在强制性访问控制中，被许可的访问完全取决于主客体的安全级别。而安全级别则是由安全管理员分配的。客体的安全级别取决于建立系统的用户级别。安全管理员一般只有一个，他可以更换主客体的安全级别。因此，行政管理的政策就非常简单。

计算机网络安全管理设计规范全文共154页，当前为第48页。自由访问控制允许大量行政管理政策，其中有：

u

集中——只有一个授权者(或组)允许对用户许可或取消授权；

u

分级——中央授权者将职责分配给其他管理员，他们可对系统中的用户许可或取消授权；

u

合作

特定资源的行政管理不能只由单一的授权者许可，而需几个授权者的合作；

u

所有权——用户是他/她所创造的客体的专有者，所有者也可以许可或取消其他用户对此客体的访问；

u

分散——在分散的行政管理中客体的所有者也可以许可其他用户对此客体的许可特权。计算机网络安全管理设计规范全文共154页，当前为第49页。角色访问控制同样也有许多行政管理政策。在这种情况下，角色也可以用来管理和控制行政管理机制。

行政权的委任是一个重要领域，而现有的访问控制系统是远远不够的。在大的分散系统中，访问权的集中管理是不可能的。一些现有的系统允许中央安全管理员向其他安全管理员委任对客体的管理权。例如，管理特别区域中客体的权利可以授权予此地区的安全管理员。这就允许以逐个选择的方式委任行政管理权。

计算机网络安全管理设计规范全文共154页，当前为第50页。总之，要实现保密性、完整性和可用性的目标，就要求进行访问控制。ACL曾是在操作系统中实现访问矩阵模型的一种广为使用的方法。ACL在访问审阅与取消上按每个主体来进行，这就造成了许多缺陷。如果按每个客体来进行就好一些。由于授权表提供了对访问权的高级管理，因此一般只限于数据库管理系统。在分散系统中，将性能表与ACL或授权表结合起来则是非常有效的方法。

计算机网络安全管理设计规范全文共154页，当前为第51页。强制性和自由访问控制策略都很有用，但它们并不能满足许多实际需要。角色访问策略成功地代替了严格的传统强制性控制并提供了自由控制中的一些灵活性。有效的分散式授权行政管理还可以使用改进的一些技术。将计算机和网络安全更紧密地统一起来，发展信息安全是非常必需的。访问控制策略尽管在这方面已取得了很大进步，却还在发展之中。

计算机网络安全管理设计规范全文共154页，当前为第52页。10.2.2防火墙技术我们知道，在因特网上所发送的每一段数据都可以被偷窃和修改。因特网的组织方式是要每个站点都要为自身安全负责。如果黑客占领了一个用于通信的关键地方的站点，那么用户发出的所有通过该站点的数据就完全由黑客随意处置了。黑客可以截获未加密的信用卡、Telnet会话、FTP会话，以及其他任何通过这条线路的信息。所以，发信息时一定要仔细对待发往远程站点的信息。由谁控制目的地系统，这是一个一直在讨论的问题。设计防火墙的目的就是不要让那些来自不受保护的网络，如因特网上的多余的未授权的信息进入专用网络，如LAN或WAN，而仍能允许本地网络上的用户以及其他用户访问因特网服务。

计算机网络安全管理设计规范全文共154页，当前为第53页。图中显示了防火墙的基本功能。

图10.1防火墙基本功能

计算机网络安全管理设计规范全文共154页，当前为第54页。大多数防火墙就是一些路由器，它们根据数据包的源地址、目标地址、更高级的协议，或根据由专用网络安全管理员制定的标准或安全策略，过滤进入网络的数据包。许多复杂的防火墙使用了代理服务器，也称作堡垒主机。堡垒主机可以防止内部用户直接访问因特网服务，其作用就像一个代理，能够过滤掉未授权的要进入因特网的流量。

计算机网络安全管理设计规范全文共154页，当前为第55页。图10.2代理服务器(堡垒主机)防止来自因特网的直接访问

计算机网络安全管理设计规范全文共154页，当前为第56页。防火墙就像一扇安全门，它能够保证门内各组件的安全；此外，它还控制着谁(或什么)可以进入和谁(或什么)可以走出这个受保护的环境。防火墙的建立提供了对网络流量的可控过滤，以限制访问特定的因特网端口号，而其余则被堵塞。为做到这一点，要求它必须是惟一的入口点，这就是用户多次发现防火墙与路由器是一个整体的原因。

计算机网络安全管理设计规范全文共154页，当前为第57页。因此，选择防火墙应该根据装在站点的硬件、本部门专业性的意见和可信任的销售商。通常，配置防火墙是用来阻止未经认证的外部登录。用防火墙保护站点是一种最容易对安全和审计起作用的方法。利用防火墙，用户可以防止站点的任意连接，并且还能建立跟踪工具，它可以根据日志摘要帮助用户，因为日志中记载着连接的起点、服务器提供的服务量，甚至还包含是否有攻击进入等信息。

计算机网络安全管理设计规范全文共154页，当前为第58页。防火墙的一个基本目的是保护站点不被黑客攻击，如前所述，站点暴露于大量的威胁面前，防火墙可为用户提供保护，但对那些绕过它的连接，则无能为力。因此，要警惕“后门”，如调制解调器连到LAN上时，特别是如果用户的远程访问服务(RAS)处于受保护的LAN内时，这就是一个典型的例子。然而，防火墙并不是绝对有效的。它的目的是增强安全性，而不是保证安全。如果有很重要的信息在LAN上，首先服务器就不应该与它连接。必须注意那些允许用户从机构内部进入服务器的群件应用程序。

计算机网络安全管理设计规范全文共154页，当前为第59页。另外，如果在内部LAN上有Web服务器，要警惕内部攻击，对企业服务器也是这样。这是因为防火墙不能对付来自机构内的威胁，例如，一个捣乱的职员可以拔掉企业服务器上的插头，使其暂时停止工作，对此，防火墙则无能为力。

计算机网络安全管理设计规范全文共154页，当前为第60页。包过滤是一个简单有效的用于过滤多余信息包的方法，通过拦截信息包、读信息包和拒绝那些与路由器中规则不匹配的信息包。遗憾的是，包过滤不足以保证站点的安全，因为许多威胁、许多新协议几乎不费劲就可以绕过这些过滤器。例如，包过滤用于FTP协议并没有效，因为它允许用端口20与外部服务器联系以建立连接，从而完成数据的传输。即使在路由器上加一条规则，内部网络机器上的端口20仍能在外界探查到。还有，如前所述，黑客可以很容易地“欺骗”这些路由器。今后，防火墙将会进一步增强这方面的安全策略。

计算机网络安全管理设计规范全文共154页，当前为第61页。防火墙技术已走过了很长的路，包括所谓传统的，或者说是静态的防火墙，今天已经有了动态防火墙技术。动态防火墙同静态防火墙相比，主要区别在于，后者的目的是“许可任何服务，除非遭到明确拒绝”或“拒绝任何服务，除非有明确许可”，前者的主要目的是“许可/拒绝任何服务，只要你需要”。动态防火墙这种适应网络流量和设计结构的能力，提供了比静态包过滤模式更便利的特色。

计算机网络安全管理设计规范全文共154页，当前为第62页。

1.防火墙的组成防火墙可以理解为内部服务配置的方式。防火墙只允许特定的服务被因特网上的用户访问，但必须确保这些已知的服务是能够得到的最新的、最安全的版本。这样，就可以把我们的注意力从加固整个网络转移到仅仅加固几个内部的机器和服务上来。我们需要了解一些关于防火墙的组成部分。

计算机网络安全管理设计规范全文共154页，当前为第63页。停火区(DMZ)用在这样的位置：有少数机器服务于内部网络，且其余机器隔离于一些设备(通常是防火墙)之后。这些机器或者在公开的地方，或者由另外一个防火墙对DMZ进行保护。从安全角度来看，这是一个很好的安排，因为只有接受返回连接的机器才是“牺牲品”。如果机器能省去这些努力，有高风险目标的机构就可以从这个方案获益。经证明，它对保护内部资源的安全是极其有效的。还有一个建议是改变机器的类型和安全软件的出版商，以保护在DMZ内部和外部的安全。例如，在一个性质相同的社区中，采用这种方法是很有帮助的，如果使用两个相同的防火墙，则它们可以被一个违法者同时破坏掉。

计算机网络安全管理设计规范全文共154页，当前为第64页。建立DMZ的惟一缺陷是机器的维护。为了使Web服务器和FTP服务器容易更新，大多数管理员喜欢在本地访问文件系统。若在两者之间加一个防火墙，则使得实现维护有些难度，特别是当不止一人维护服务器时。总之，外部信息的驻留还算稳定，也很少有管理上的烦恼。计算机网络安全管理设计规范全文共154页，当前为第65页。防火墙和过滤路由器的工作越来越趋于合二为一。是否允许连接进入系统，认证允许服务连接是建立在对用户认证的基础上，而不是建立在它们的源地址和目的地址基础上。利用一些软件，用户的认证可以允许到达某些服务和机器，而另外的则只能访问基本系统。在基于用户的服务认证中，防火墙常扮演一个重要的角色，但也可以配置一些服务器去理解这些信息。当前的Web服务器经配置也可用于控制允许哪个用户访问哪棵子树和把用户限制于适当的安全等级。计算机网络安全管理设计规范全文共154页，当前为第66页。认证有多种，其形式有密码令牌、一次性口令及(最常用且安全性也最低的)简单文本口令。由站点管理员决定哪个用户用哪种认证方式，这也是得到公认的。正确的认证可允许国外站点的管理员进入网络改正错误，这类连接是使用密码令牌这种性能强的认证方法的首选对象。今天，整体安全的焦点在周边上。坚固的外表和柔弱的中央是一种普遍存在的现象。坚固外表的实现借助于防火墙、认证设备、强固的拨号堤、虚拟专用通道、虚拟网络以及许多隔离网络的其他方法。而在内部，则只有供人侵占的份了。内部安全没有被恰当地管理，且普遍令人担心，因为如果有人越过了边界，堡垒就失陷了。这是一个众所周知的问题，也是今后要继续努力解决的问题。

计算机网络安全管理设计规范全文共154页，当前为第67页。关于这个问题的解决方案无需多讲。内部安全问题一直是一个敏感的麻烦事，且各方都不情愿投资去寻求解决方案。解决它的惟一途径是通过广泛的宣传和高度的热情使这项工作进行下去。快速或永久解决这个问题是不现实的，而事实上，对周边的信任最终还是靠不住的。有关破坏防火墙的问题也一直在讨论，且认证方法也不是一点用没有。对一个站点物理安全的信赖实在是一个灾难，对外部人员的鉴别水平还是不够的。电话维修员常来检修吗？能让维修员进入一个机构最敏感的区域吗？从安全上讲，周边并不是惟一的底线。

计算机网络安全管理设计规范全文共154页，当前为第68页。

2.防火墙的主要功能

(1)防火墙是网络安全的坚固屏障。防火墙(作为阻塞点、控制点)可以极大地提高一个内部网络的安全性，并通过过滤不安全的服务来降低风险。由于只有经过精心选择的应用协议才能通过防火墙，因此网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

计算机网络安全管理设计规范全文共154页，当前为第69页。

(2)防火墙能强化网络安全策略。以防火墙为中心的安全方案配置，能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密，口令系统和其他的身份认证系统完全不必分散在各个主机上，而集中在防火墙上。

计算机网络安全管理设计规范全文共154页，当前为第70页。

(3)对网络存取和访问进行监控审计。假如所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首要的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

计算机网络安全管理设计规范全文共154页，当前为第71页。

(4)防止内部信息外泄。借助于利用防火墙对内部网络的划分，可以实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger、DNS等服务。Finger显示了主机的所有用户的注册名与真名、最后登录时间和使用的Shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。

计算机网络安全管理设计规范全文共154页，当前为第72页。除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN，将企事业单位在地域上分布在全世界各地的LAN或专用子网有机地联成一个整体，不仅省去了专用通信线路，而且为信息共享提供了技术保障。

计算机网络安全管理设计规范全文共154页，当前为第73页。

3.防火墙的技术分类防火墙技术可以根据防范的方式和侧重点的不同而分为多种类型，但总体来讲可分为数据包过滤型、应用级网关型、代理服务型和复合型等几大类。

1)数据包过滤型防火墙数据包过滤(PacketFiltering)技术是指在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表ACL。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素或它们的组合来确定是否允许该数据包通过。

计算机网络安全管理设计规范全文共154页，当前为第74页。数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。数据包过滤防火墙也有两个缺点：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。

计算机网络安全管理设计规范全文共154页，当前为第75页。分组过滤或包过滤，是一种通用、廉价、有效的安全手段。之所以通用，因为它不针对各个具体的网络服务采取特殊的处理方式；之所以廉价，因为大多数路由器都提供分组过滤功能；之所以有效，因为它能很大程度地满足企业的安全要求。所根据的信息来源于IP、TCP或UDP包头。

计算机网络安全管理设计规范全文共154页，当前为第76页。包过滤的优点在于不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点也是明显的：局限于过滤判别的只有网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大的影响；由于缺少上下文关联信息，不能有效地过滤如UDP、RPC一类的协议；另外，大多数过滤器中缺少审计和报警机制，且管理方式和用户界面较差；对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此，过滤器通常和应用网关配合使用，共同组成防火墙系统。

计算机网络安全管理设计规范全文共154页，当前为第77页。

2)应用级网关型防火墙应用级网关(ApplicationLevelGateways)是指在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。数据包过滤和应用网关防火墙有一个共同的特征，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。

计算机网络安全管理设计规范全文共154页，当前为第78页。

3)代理服务型防火墙代理服务(ProxyService)也可称链路级网关或TCP通道(CircuitLevelGatewayorTCPTunnels)，也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的链接由两个终止代理服务器上的链接来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。

计算机网络安全管理设计规范全文共154页，当前为第79页。此外，代理服务也会对过往的数据包进行分析、注册登记并形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。应用代理型防火墙是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作用，同时也常结合了过滤器的功能。它工作在OSI模型的最高层，掌握着应用系统中可用作安全决策的全部信息。

计算机网络安全管理设计规范全文共154页，当前为第80页。

4)复合型防火墙基于对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法结合起来，形成复合型防火墙产品。这种结合通常包括以下两种方案：屏蔽主机防火墙体系结构。在此结构中，主分组过滤路由器或防火墙与Internet相连，同时将一个堡垒主机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，使堡垒主机成为Internet上其他节点所能到达的惟一节点，这确保了内部网络不受未授权外部用户的攻击。

计算机网络安全管理设计规范全文共154页，当前为第81页。

u

屏蔽子网防火墙体系结构。堡垒主机放于一个子网内，形成非军事化区，两个分组过滤路由器放在该子网的两端，使该子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。

计算机网络安全管理设计规范全文共154页，当前为第82页。

4.新一代防火墙的多重功能先进的防火墙产品通常将网关与安全系统合二为一，具有以下技术与功能：

(1)多级过滤技术。为了保证系统的安全性和防护水平，新一代防火墙采用了三级过滤措施，并辅以鉴别手段。在分组过滤一级，能过滤掉所有的源路由分组和假冒的IP源地址；在应用级网关一级，能利用FTP、SMTP等各种网关，控制和监测Internet提供的所有通用服务；在电路网关一级，能实现内部主机与外部站点的透明连接，并对服务的通行实行严格控制。

计算机网络安全管理设计规范全文共154页，当前为第83页。

(2)双端口或三端口的结构。新一代的防火墙产品具有两个或三个独立的网卡，内外两个网卡可不做IP转化而串接于内部网与外部网之间，另一个网卡可专用于对服务器的安全保护。

(3)透明的访问方式。以前的防火墙在访问方式上要么要求用户做系统登录，要么需要通过SOCKS等库路径修改客户机的应用。新一代防火墙利用了透明的代理系统技术，从而降低了系统登录固有的安全风险和出错概率。计算机网络安全管理设计规范全文共154页，当前为第84页。

(4)灵活的代理系统。代理系统是指一种将信息从防火墙的一侧传送到另一侧的软件模块。新一代防火墙采用了两种代理机制：一种用于代理从内部网络到外部网络的连接；另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转换(NAT)技术来解决，后者采用非保密的用户定制代理或保密的代理系统技术来解决。

计算机网络安全管理设计规范全文共154页，当前为第85页。

(5)网络地址转换技术(NAT)。新一代的防火墙利用NAT技术能透明地对所有内部地址做转换，使外部网络无法了解内部网络的内部结构，同时允许内部网络使用自己定制的IP地址和专用网络，防火墙能详尽记录每一个主机的通信，确保每个分组送往正确的地址。同时使用NAT的网络，与外部网络的连接只能由内部网络发起，极大地提高了内部网络的安全性。NAT的另一个显而易见的用途是解决IP地址匮乏问题。

计算机网络安全管理设计规范全文共154页，当前为第86页。

(6) Internet网关技术。为了能够直接串连在网络之中，新一代防火墙必须支持用户在Internet上互连的所有服务，同时还要防止与Internet服务有关的安全漏洞。因此，它要能以多种安全的应用服务器(包括FTP、Finger、Mail、Ident、News、.等)来实现网关功能。为确保服务器的安全性，对所有的文件和命令均要利用“改变根系统调用(Chroot)”做物理上的隔离。在域名服务这一点上，新一代防火墙采用两种独立的域名服务器，一种是内部DNS服务器，主要处理内部网络的DNS信息，另一种是外部DNS服务器，专门用于处理机构内部向Internet提供的部分DNS信息。

计算机网络安全管理设计规范全文共154页，当前为第87页。在匿名FTP这一点上，服务器只提供对有限的受保护的部分目录的只读访问。在.服务器中，只支持静态的网页，而不允许图形或CGI代码等在防火墙内运行，在Finger服务器中，对外部访问，防火墙只提供可由内部用户配置的基本的文本信息，而不提供任何与攻击有关的系统信息。SMTP与POP邮件服务器要对所有进、出防火墙的邮件做处理，并利用邮件映射与标头剥除的方法删除内部的邮件环境，Ident服务器对用户连接的识别做专门处理，网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。

计算机网络安全管理设计规范全文共154页，当前为第88页。

(7)安全服务器网络(SSN)。为满足越来越多的用户向Internet上提供服务时对服务器保护的需求，新一代防火墙采用分别保护的策略对用户上网的对外服务器实施保护，它利用一张网卡将对外服务器作为一个独立网络处理，对外服务器既是内部网的一部分，又与内部网关完全隔离。这就是安全服务器网络(SSN)技术，对SSN上的主机既可单独管理，也可设置成通过FTP、Telnet等方式从内部网上管理。

计算机网络安全管理设计规范全文共154页，当前为第89页。

SSN的方法所提供的安全性要比传统的隔离区(DMZ)方法好得多，因为SSN与外部网之间有防火墙保护，SSN与内部网之间也有防火墙的保护，而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之，一旦SSN受破坏，内部网络仍会处于防火墙的保护之下，而一旦DMZ受到破坏，内部网络便会暴露于攻击之下。

计算机网络安全管理设计规范全文共154页，当前为第90页。

(8)用户定制服务。为了满足特定用户的特定需求，新一代防火墙在提供众多服务的同时，还为用户定制提供支持，这类选项有通用TCP、出站UDP、FTP、SMTP等，如果某一用户需要建立一个数据库的代理，便可利用这些支持，方便设置。

计算机网络安全管理设计规范全文共154页，当前为第91页。

(9)用户鉴别与加密。为降低防火墙产品在Telnet、FTP等服务和远程管理上的安全风险，鉴别功能必不可少。新一代防火墙采用一次性使用的口令字系统来作为用户的鉴别手段，并实现了对邮件的加密。

计算机网络安全管理设计规范全文共154页，当前为第92页。

(10)审计和告警。新一代防火墙产品的审计和告警功能十分健全，日志文件包括：一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、FTP代理、出站代理、邮件服务器、名服务器等。告警功能会守住每一个TCP或UDP探寻，并能以发出邮件、声响等多种方式报警。此外，新一代防火墙还在网络诊断、数据备份与保全等方面具有特色。

计算机网络安全管理设计规范全文共154页，当前为第93页。10.2.3防病毒技术

1.计算机病毒的特点

“计算机病毒”这种说法起源于美国弗雷德里克·B·科恩(FrederickB.Cohen)博士于1984年9月在美国计算机安全学会上发表的一篇论文(当时他还是美国加利弗尼亚大学研究生院的一名学生)。在这篇论文中，科恩首次把“为了把自身的拷贝传播给其他程序而修改并感染目标程序的程序”定义为“计算机病毒”。这就是计算机病毒的原始含义。

计算机网络安全管理设计规范全文共154页，当前为第94页。计算机病毒是一个程序，一段可执行码。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。

计算机网络安全管理设计规范全文共154页，当前为第95页。计算机病毒一般具有以下特性：

(1)病毒的程序性(可执行性)。计算机病毒与其他合法程序一样，是一段可执行程序，但它不是一个完整的程序，而是寄生在其他可执行程序上，因此它享有一切程序所能得到的权力。在病毒运行时，与合法程序争夺系统的控制权。计算机病毒只有当它在计算机内得以运行时，才具有传染性和破坏性等活性。也就是说计算机CPU的控制权是关键问题。若计算机在正常程序控制下运行，而不运行带病毒的程序，则这台计算机总是可靠的。在这台计算机上可以查看病毒文件的名字，查看计算机病毒的代码，打印病毒的代码，甚至拷贝病毒程序，却都不会感染上病毒。反病毒技术人员整天就是在这样的环境下工作的。

计算机网络安全管理设计规范全文共154页，当前为第96页。他们的计算机虽也存有各种计算机病毒的代码，但已置这些病毒于控制之下，计算机不会运行病毒程序，整个系统是安全的。相反，计算机病毒一经在计算机上运行，在同一台计算机内病毒程序与正常系统程序，或某种病毒与其他病毒程序争夺系统控制权时往往会造成系统崩溃，导致计算机瘫痪。反病毒技术就是要提前取得计算机系统的控制权，识别出计算机病毒的代码和行为，阻止其取得系统控制权。反病毒技术的优劣就是体现在这一点上。一个好的抗病毒系统应该不仅能可靠地识别出已知计算机病毒的代码，阻止其运行或旁路掉其对系统的控制权(实现安全带毒运行被感染程序)，还应该识别出未知计算机病毒在系统内的行为，阻止其传染和破坏系统的行动。

计算机网络安全管理设计规范全文共154页，当前为第97页。

(2)病毒的传染性。传染性是病毒的基本特征。在生物界，病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下，它可得到大量繁殖，并使被感染的生物体表现出病症甚至死亡。同样，计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是，计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行，它就会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。只要一台计算机染毒，如不及时处理，那么病毒会在这台机子上迅速扩散，其中的大量文件(一般是可执行文件)会被感染。而被感染的文件又成了新的传染源，再与其他机器进行数据交换或通过网络接触，病毒会继续进行传染

计算机网络安全管理设计规范全文共154页，当前为第98页。正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道，如软盘、计算机网络去传染其他的计算机。当您在一台机器上发现了病毒时，往往曾在这台计算机上用过的软盘已感染上了病毒，而与这台机器相联网的其他计算机也许也被该病毒染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。病毒程序通过修改磁盘扇区信息或文件内容并把自身嵌入到其中的方法达到病毒的传染和扩散。被嵌入的程序叫做宿主程序。

计算机网络安全管理设计规范全文共154页，当前为第99页。

(3)病毒的潜伏性。一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，可以在几周或者几个月内甚至几年内隐藏在合法文件中，对其他系统进行传染，而不被人发现。病毒的潜伏性愈好，其在系统中的存在时间就会愈长，病毒的传染范围就会愈大。计算机网络安全管理设计规范全文共154页，当前为第100页。潜伏性的第一种表现是指：病毒程序不用专用检测程序是检查不出来的，因此病毒可以静静地躲在磁盘或磁带里呆上几天，甚至几年，一旦时机成熟，得到运行机会，就四处繁殖、扩散，继续为害。潜伏性的第二种表现是指：计算机病毒的内部往往有一种触发机制，不满足触发条件时，计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足，有的在屏幕上显示信息、图形或特殊标识，有的则执行破坏系统的操作，如格式化磁盘、删除磁盘文件、对数据文件加密、封锁键盘以及使系统死锁等。

计算机网络安全管理设计规范全文共154页，当前为第101页。

(4)病毒的可触发性。因某个事件或数值的出现而诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己，病毒必须潜伏，少做动作。如果完全不动，一直潜伏的话，病毒既不能感染也不能进行破坏，便失去了杀伤力。病毒既要隐蔽又要维持杀伤力，它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时，触发机制检查预定条件是否满足，如果满足，就启动感染或破坏动作，使病毒进行感染或攻击；如果不满足，则使病毒继续潜伏。

计算机网络安全管理设计规范全文共154页，当前为第102页。

(5)病毒的破坏性。所有的计算机病毒都是一种可执行程序，而这一可执行程序又必然要运行，所以对系统来讲，所有的计算机病毒都存在一个共同的危害，即降低计算机系统的工作效率，占用系统资源，其具体情况取决于入侵系统的病毒程序。计算机病毒的破坏性主要取决于计算机病毒设计者的目的，如果病毒设计者的目的在于彻底破坏系统的正常运行，那么这种病毒对于计算机系统进行攻击造成的后果是难以设想的，它可以毁掉系统的部分数据，也可以破坏全部数据并使之无法恢复。但并非所有的病毒都会对系统产生极其恶劣的破坏作用。有时几种本没有多大破坏作用的病毒交叉感染，也会导致系统崩溃等重大恶果。

计算机网络安全管理设计规范全文共154页，当前为第103页。

(6)病毒攻击的主动性。病毒对系统的攻击是主动的，不以人的意志为转移。也就是说，从一定的程度上讲，计算机系统无论采取多么严密的保护措施都不可能彻底地排除病毒对系统的攻击，而保护措施充其量是一种预防的手段而已。

(7)病毒的针对性。计算机病毒是针对特定的计算机和特定的操作系统的。例如，有针对IBMPC机及其兼容机的，有针对Apple公司的Macintosh的，还有针对UNIX操作系统的。但目前，大多数病毒主要还是针对PC机系列的。

计算机网络安全管理设计规范全文共154页，当前为第104页。

(8)病毒的非授权性。病毒未经授权而执行。一般正常的程序是由用户调用，再由系统分配资源，完成用户交给的任务。其目的对用户是可见的、透明的。而病毒具有正常程序的一切特性，它隐藏在正常程序中，当用户调用正常程序时窃取到系统的控制权，先于正常程序执行，病毒的动作、目的对用户是未知的，是未经用户允许的。

计算机网络安全管理设计规范全文共154页，当前为第105页。

(9)病毒的隐蔽性。病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现，目的是不让用户发现它的存在。如果不经过代码分析，病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里传染大量程序。而且受到传染后，计算机系统通常仍能正常运行，使用户不会感到任何异常，好像不曾在计算机内发生过什么。试想，如果病毒在传染到计算机上之后，机器马上无法正常运行，那么它本身便无法继续进行传染了。正是由于隐蔽性，计算机病毒得以在用户没有察觉的情况下扩散并游荡于世界上几百万台计算机中。

计算机网络安全管理设计规范全文共154页，当前为第106页。大部分病毒的代码之所以设计得非常短小，也是为了隐藏。病毒一般只有几百字节或1 KB，而PC机对文件的存取速度可达几百KB每秒以上，所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中，使人非常不易察觉。

计算机网络安全管理设计规范全文共154页，当前为第107页。计算机病毒的隐蔽性表现在两个方面：①传染的隐蔽性。大多数病毒在进行传染时速度是极快的，一般不具有外部表现，不易被人发现。让我们设想，如果计算机病毒每当感染一个新的程序时都在屏幕上显示一条信息“我是病毒程序，我要干坏事了”，那么计算机病毒早就被控制住了。确实有些病毒非常“勇于暴露自己”，时不时在屏幕上显示一些图案或信息，或演奏一段乐曲。往往此时那台计算机内已有许多病毒的拷贝了。许多计算机用户对计算机病毒没有任何概念，更不用说心理上的警惕了。他们见到这些新奇的屏幕显示和音响效果，还以为是来自计算机系统，而没有意识到这些病毒正在损害计算机系统，正在制造灾难。

计算机网络安全管