《计算机网络安全基础与技能训练》课件第1章

第1章网络安全基础1.1网络安全概述1.2实现网络安全的策略1.3网络安全标准1.4网络安全基本模型1.5网络安全体系结构1.6网络安全机制与技术1.7网络安全立法1.1网络安全概述1.1.1计算机网络系统的脆弱性分析

1.国内外典型的安全事件

2000年3月，英国出现了历史上最为严重的公司计算机系统入侵案。在英国的一伙骇客侵入了至少12家跨国公司的系统，盗走了机密文件，事后索要1000万英镑的赎金。

2005年4月，深圳市某人才交流服务网站因受到来历不明的DDoS(即分布式拒绝服务，这是一种目前黑客经常采用而难以防范的攻击手段)攻击，导致该网站无法正常访问，损失严重。

2006年5月9日，广州市物价局官方网站被链接到某成人网站。

2006年1月份，熊猫烧香(武汉男生，Worm.WhBoy)病毒以近乎完美的传播方式引发病毒狂潮。该病毒通过多种方式进行传播，并将感染的所有程序文件改成熊猫举着三根香的模样，同时该病毒还具有盗取用户游戏账号、QQ账号等功能。该病毒传播速度快，危害范围广，短时间内已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏，引起社会各界高度关注。熊猫烧香病毒利用的传播方式囊括了漏洞攻击、感染文件、移动存储介质、局域网传播、网页浏览、社会工程学欺骗等种种可能的手法。

2.当前网络安全事件的特点

(1)入侵者难以追踪。

(2)拒绝服务攻击频繁发生。

(3)攻击者需要的技术水平逐渐降低，但危害逐渐增大。

(4)攻击手段更加灵活，联合攻击急剧增多。

(5)系统漏洞发现加快，攻击爆发时间变短。

(6)垃圾邮件问题严重。

(7)间谍软件、恶意软件威胁安全。

(8)无线网络、移动手机渐成安全重灾区。

3.网络容易袭击的原因

(1)网络使用者过分“信任”网络。如最初设计网络时，只考虑防御从网络设施以外来的攻击力量(如攻击网络的有形线路或计算机)，而没考虑来自于网络内部的攻击(使用网络的人对网络进行的攻击)。

(2)破坏程序简单易行。

(3)追踪作案者困难，袭击者本身风险很小。袭击者运用“IP伪装”技术伪造其身份及网络位置。另外，袭击者可跨越多个地理和法律区域，这也为追捕和审理工作增添了额外的司法困难。1.1.2网络安全的概念网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学。网络安全是一个系统性概念，不仅包括网络信息的存储安全，还涉及信息的产生、传输和使用过程中的安全，应该说网络节点处的安全和通信链路上的安全共同构成了网络系统的安全体系。国际标准化组织(ISO)在ISO7498-2文献中指出：“安全就是最大程度地减少数据和资源被攻击的可能性。”那么，什么是网络安全？从狭义的角度来看，计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害，确保计算机和计算机网络系统的硬件、软件及其系统中的数据不因偶然的或者恶意的原因而遭到破坏、更改、泄露，保证系统能连续、可靠、正常地运行，网络服务不中断。计算机网络安全从其本质上来讲就是系统的信息安全。从广义的角度来讲，凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。所以，广义的计算机网络安全还包括信息设备的物理安全性，如场地环境保护、防火措施、静电防护、防水防潮措施、电源保护、空调设备、计算机辐射等。1.1.3网络安全面临的主要威胁网络系统的安全威胁主要表现在主机可能会受到非法入侵者的攻击，网络中的敏感数据有可能泄露或被修改，从内部网向公共网传送的信息可能被他人窃听、篡改等。表1-1列出了典型的网络安全威胁类型。表1-1典型的网络安全威胁归结起来，网络安全面临的威胁主要有以下4个方面。

1.网络硬件设备和线路的安全问题

Internet的脆弱性，系统的易欺骗性和易被监控性，加上薄弱的认证环节以及局域网服务的缺陷和系统主机的复杂设置与控制，使得计算机网络容易遭受到威胁和攻击。

(1)电磁泄露。

(2)搭线窃听。

(3)非法终端。

(4)非法入侵。

(5)注入非法信息。

(6)线路干扰。

(7)意外原因。

(8)病毒入侵。

(9)黑客攻击。

2.网络系统和软件的安全问题

(1)网络软件的漏洞及缺陷被人利用，使网络遭到入侵和破坏。

(2)网络软件功能不健全或被安装了“特洛伊木马”软件。

(3)应加安全措施的软件可能未给予标识和保护；要害的程序可能没有安全措施，使软件非法使用，破坏或产生错误结果。

(4)未对用户进行分类和标识，使数据的存取未受限制和控制，因而被非法用户窃取数据或非法处理用户数据。

(5)错误地进行路由选择，为一个用户与另一个用户之间的通信选择了不合适的路径。

(6)拒绝服务，中断或妨碍通信，延误对时间要求较高的操作。

(7)信息重播，即把信息收录下来过一段时间再重播。

(8)对软件更改的要求没有充分理解，导致软件缺陷。

(9)没有正确的安全策略和安全机制，缺乏先进的安全工具和手段。

(10)不妥当地标定，导致所修改的程序出现版本错。如程序员没有保存程序变更的记录，没有做拷贝，未建立保存业务的记录等。

3.网络管理人员的安全意识问题

(1)保密观念不强或不懂保密规则，随便泄露机密。例如，打印、复制机密文件，随便打印出系统保密字或向无关人员泄露有关机密信息。

(2)业务不熟练，因操作失误使文件出错或误发，或因未遵守操作规程而造成泄密。

(3)因规章制度不健全造成人为泄密事故。如网络上的规章制度不严，对机密文件管理不善，各种文件存放混乱。

(4)素质差，缺乏责任心，没有良好的工作态度，明知故犯或有意破坏网络系统和设备。

(5)熟悉系统的工作人员故意改动软件或用非法手段访问系统或通过窃取他人的口令字和用户标识码来非法获取信息。

(6)身份被窃取，一个或多个参与通信的用户身份被别人窃取后非法使用。

(7)否认或冒充，否认参加过某一次通信，或冒充别的用户获得信息或额外的权力。

(8)担任系统操作的人员以超越权限的非法行为来获取和篡改信息。

(9)利用硬件的故障部位和软件的错误非法访问系统或对系统进行破坏。

(10)利用窃取系统的磁盘、磁带或纸带等记录载体或利用废弃的打印纸、复写纸来窃取系统或用户的信息。

4.环境的安全因素除了上述因素之外，还有环境因素威胁着网络的安全，如地震、火灾、水灾、风灾、雷击等自然灾害或掉电、停电、偷盗等事故。自然灾害对网络影响巨大，通常是毁灭性的，而偷盗行为也会严重影响计算机网络的安全。1.1.4网络出现安全威胁的原因引起网络出现安全问题的原因主要有以下几种。

1.薄弱的认证环节网上的认证通常是采用口令来实现的。但口令比较薄弱，有多种方法可以破解，其中最常用的两种方法是对加密的口令进行破解和通过信道窃取口令。例如，UNIX操作系统通常把加密的口令保存在某一个文件中，而该文件普通用户也可读取。一旦口令文件被入侵者通过简单拷贝的方式得到，就可以对口令进行解密，然后用它来获取对系统的访问权。

2.易被监视的系统用户使用Telnet或FTP连接他在远程主机上的账户时，在网上传输的口令是没有加密的。入侵者可以通过监视携带用户名和密码的IP包获取，然后使用这些用户名和密码登录到系统。假如被截获的是管理员的用户名和密码，那么，获取该系统的超级用户访问权就轻而易举了。

3.有欺骗性的主机地址

TCP或UDP服务相信主机的地址。如果使用“IPSourceRouting”，那么攻击者的主机就可以冒充一个被信任的主机或客户。以下具体步骤展示了怎样冒充被信任的客户：

(1)攻击者使用那个被信任的客户的IP地址取代自己的地址；

(2)攻击者构造一条要攻击的服务器和其主机间的直接路径，把被信任的客户作为通向服务器的路径的最后节点；

(3)攻击者用这条路径向服务器发出客户申请；

(4)服务器接受客户申请，就好像是从可信任客户直接发出的一样，然后给可信任客户返回响应；

(5)可信任客户使用这条路径将包向前传送给攻击者的主机。

4.有缺陷的局域网服务和相互信任的主机主机的安全管理既困难又费时。为了降低管理要求并增强局域网性能，一些站点使用了诸如NIS(NetworkInformationServices，网络信息服务)和NFS(NetworkFilesSystem，网络文件系统)之类的服务。这些服务通过允许一些数据库(如口令文件)以分布式方式管理以及允许系统共享文件和数据的方式，在很大程度上减轻了过多的管理工作量。但这些服务带来了不安全因素，可以被有经验闯入者利用而获得访问权。一些系统(如rlogin)处于方便用户并加强系统和设备共享的目的，允许主机们相互“信任”。即一个在多个系统上拥有账户的用户，可以将这些账户设置成相互信任的。这样就不需要在连入每个系统时都输入口令。当用户使用rlogin命令连接主机时，目标系统将不再询问口令或账户，而且将接受这个连接。这样做的好处是用户口令和账户不需要在网络上传输，所以不会被监视和窃听，弊端在于一旦用户的账户被侵入，那么闯入者就可以轻易地使用rlogin命令侵入其他账户。

5.复杂的设置和控制主机系统的访问控制配置复杂且难于验证，因此偶然的配置错误会使闯入者获取访问权。一些主要的UNIX经销商仍然把UNIX配置成具有最大访问权的系统，这将导致未经许可的访问。许多网上的安全事故是由于入侵者发现了设置中的弱点而造成的。

6.无法估计主机的安全性对主机系统的安全性无法很好地估计，这是因为随着站点主机数量的增加，确保每台主机安全性都处在高水平的能力下降。只用管理一台系统的能力来管理如此多的系统就容易犯错误。另一因素是某些系统管理的作用经常变换并行动迟缓，这导致这些系统的安全性比另一些要低，这些系统将成为网络中的薄弱环节，最终将破坏整个安全链。1.1.5网络安全技术的研究和发展网络黑客对计算机网络系统的破坏和攻击方式层出不穷。根据有关资料统计，目前已报道过的网络黑客攻击方式就高达数千种。网络黑客攻击方式的不断增加，也就意味着对计算机网络系统安全的威胁也不断增加。从技术层面来看，目前网络安全产品在发展过程中面临的主要问题是：以往人们主要关心系统与网络基础层面的防护问题，而现在更加关注应用层面的安全防护问题，安全防护已经从底层或简单数据层面上升到了应用层面。这种应用防护问题已经深入到业务行为的相关性和信息内容的语义范畴，越来越多的安全技术已经与应用相结合。

1.现阶段网络安全技术的局限性

(1)从用户角度来看，防火墙不能防范蠕虫泛滥、垃圾邮件、病毒传播以及拒绝服务的侵扰。

(2)未经大规模部署的入侵检测单个产品在提前预警方面存在先天的不足，且在精确定位和全局管理方面还有很大的空间。

(3)内网的安全不仅仅是防病毒的问题，还包括安全策略的执行、外来非法侵入、补丁管理及内部人员的规范意识等方面。另外，这三大技术基本上是针对数据、单个系统、软硬件以及程序本身安全的保障，而应用层面的安全，需要将侧重点集中在信息语义范畴的“内容”和网络虚拟世界的“行为”上。

2.技术发展趋势分析

1)防火墙技术的发展趋势随着攻击方式种类的增多，单一功能的防火墙远不能满足业务的需要，而具备多种安全功能，基于应用协议层防御、低误报率检测、高可靠性能平台和统一组件化管理的技术，其优势将得到越来越多的体现，UTM(UnifiedThreatManagement，统一威胁管理)技术应运而生。UTM的功能见图1-1。图1-1UTM功能示意图

2)入侵检测技术的发展趋势入侵检测技术将从简单的事件报警逐步向趋势预测和深入的行为分析方向过渡。IMS(IntrusionManagementSystem，入侵管理系统)具有大规模部署、入侵预警、精确定位以及监管结合四大典型特征，将逐步成为安全检测技术的发展方向。

IMS体系的一个核心技术就是对漏洞生命周期和机理的研究，这将是决定IMS能否实现大规模应用的一个前提条件。从理论上说，在配合安全域良好划分和规模化部署的条件下，IMS将可以实现快速的入侵检测和预警，进行精确定位和快速响应，从而建立起完整的安全监管体系，实现更快、更准、更全面的安全检测和事件预防。

3)防病毒技术发展趋势内网安全未来的趋势是SCM(SecurityComplianceManagement，安全合规性管理)。从被动响应到主动合规、从日志协议到业务行为审计、从单一系统到异构平台、从各自为政到整体运维是SCM的四大特点，精细化的内网管理可以使现有的内网安全达到真正的“可信”。

3.计算机网络系统安全性问题的发展方向

1)网络规范化方面

Internet和全球卫星通信系统的应用将结束国家间的数据界限，各国政府将放弃规范化网络内容的努力。

2)网络系统管理和安全管理方面随着计算机网络系统在规模和重要性方面的不断增长，系统和网络管理技术的发展将继续深入。由于现行的很多网络管理工具缺乏最基本的安全性，使整个网络系统将可能被网络黑客攻击和完全破坏。网络系统管理和安全管理是同一事物的不同方面，两者密不可分、相互关联。

3)银行、金融系统方面由于银行、金融系统货币在形式上越来越电子化，流动越来越快，这导致货币在使用方便的同时也更容易被盗窃。随着大多数至关重要的财经信息涌上网络系统，来自于内部的对于系统安全性的威胁将会变得越来越大。现在银行、金融系统如果发生一次计算机网络系统安全崩溃事故，将至少会有数千万，甚至数亿的金融系统遭到破坏。在银行、金融系统内部，有些缺乏职业道德的职员利用工作之便，非法进入网络系统，进行盗窃和破坏，使得投资者和存款人不得不让政府来提供保护。这种盗窃和破坏行为必将增加金融、财经领域中的计算机网络系统现行安全制度的压力。这种安全制度应由政府或由银行、金融系统的审计员来制定。

4)计算机网络系统法律、法规方面目前，虽然有关计算机网络信息系统的法律、法规还不是很健全，但已逐步重视打击利用计算机网络信息系统的犯罪活动，逐步建立和制定计算机网络信息系统的法律、法规。对计算机犯罪活动量刑、定罪产生的威慑力可使有犯罪企图的人产生畏惧心理，从而减少网络犯罪的发生，保持社会的安定。另外，还需要加强伦理道德方面的教育，教育全体计算机工作者进行合法的计算机信息实践活动。

5)计算机网络软件系统方面世界各国一些开发计算机网络系统软件的公司将由于产品质量或连带责任的诉讼而遭受巨大的经济损失。随着计算机网络信息系统法律法规越来越健全，计算机软件和网络安全现权法的时代也将到来。计算机软件生产厂商也应对自己生产出的由于安全方面存在漏洞而使其使用者蒙受财产损失的软件产品负责。计算机软件将主要以Java或ActiveX这样可供下载的可执行程序的方式运作。计算机网络安全管理系统的建造者们需要找到如何控制和维护可下载式程序的方法，同时他们也要编制一些必要的工具软件以防止某些可下载式有害程序的蔓延。这样的程序主要是病毒和网络黑客程序以及其他目前为止仍无法想象出的一些恶意有害程序。一些网络黑客利用网络软件开发人员工作时在某些流行的网络化软件中留下的特洛伊木马程序，使他们日后有能力攻击和破坏成千上万的网络系统，这样给计算机网络系统的安全构成严重的危害。这种现象已经发生过多次，只是我们还没有给予足够的重视而已。超文本传输协议HTTP文件格式将被越来越多的信息服务机构作为传递消息的方式。Pointcast现在就是按照HTTP格式的反馈要求来分渠道传送信息的，可以预见，其他的信息机构也将相继效仿这种方法。计算机网络系统防火墙对于将网络安全策略应用于数据流的作用将减低并会逐渐失去其效力。虚拟网络系统将与安全性相融合，并很有希望与网络管理系统结合起来。计算机系统软件和硬件将协同工作以便将带有不同类型的目的和特性的网络彼此隔离，由此产生的隔离体仍将被称作“计算机网络防火墙”。

6)计算机网络系统密码技术方面在计算机网络系统中，使用密码技术不仅可以保证信息的机密性，而且可以保证信息的完整性和确认性，防止信息被篡改、伪造或假冒。随着越来越多的计算机网络系统利用密码技术，智能卡和数字认证将会变得越来越盛行，最终用户需要将密码和验证码存放在不至于丢失的地方。所以他们要用智能卡来备份数据以防硬盘损坏无法使用，而智能卡将广泛内置于个人数字助手(PDA)中。1.2实现网络安全的策略分析1.2.1计算机网络系统安全策略的目标计算机网络系统是给广大网络用户提供服务和收集信息的，网络安全策略的目标是保护这些资源不被有意或无意地误用，以及抵御网络黑客的威胁和各种计算机网络病毒的攻击。计算机网络系统安全策略要考虑以下几个方面：

(1)可使用性：当网络用户需要时，计算机网络系统和它所拥有的最重要的信息必须可用。

(2)实用性：计算机网络系统和它所保持的信息是服务于特定目标的，它们不仅要可用，而且要具有实用性，实现服务目标时可用。

(3)完整性：计算机网络系统和它所保持的信息必须保持完整和可靠。

(4)可靠性：必须有一种方法保证计算机网络系统让所有的网络用户都能可靠地访问到各种网络资源。

(5)保密性：有些网络信息可能被认为是私有的或保密的，网络安全机制必须对这些信息进行恰当地规定并对它们的访问进行控制。

(6)所有权：计算机网络系统的所有者必须能控制系统的使用和日常操作。如果系统管理员将网络系统的控制权丢给黑客，所有的网络用户都会受到影响。1.2.2计算机网络系统安全策略计算机网络系统的安全管理主要是配合行政手段，制定有关网络安全管理的规章制度，在技术上实现网络系统的安全管理，确保网络系统安全、可靠地运行。该策略主要涉及以下四个方面。

1.网络物理安全策略计算机网络系统物理安全策略的目的是保护计算机系统、网络服务器、网络用户终端机、打印机等硬件实体和通信链路免受自然灾害以及人为破坏和攻击的影响；验证用户的身份和使用权限，防止用户越权操作；确保计算机网络系统有一个良好的工作环境；建立完备的安全管理制度，防止非法进入计算机网络系统控制室和网络黑客的各种破坏活动。

2.网络访问控制策略访问控制策略是计算机网络系统安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常规访问。它也是维护网络系统安全、保护网络资源的重要手段。各种网络安全策略必须相互配合才能真正起到保护作用，所以网络访问控制策略是保证网络安全最重要的核心策略之一。网络访问控制策略主要包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制及网络防火墙控制等。

3.网络信息加密策略信息加密策略主要是保护计算机网络系统内的数据、文件、口令和控制信息等网络资源的安全。信息加密策略通常采用以下三种方法：

(1)网络链路加密方法：链路加密的目的是保护网络系统节点之间的链路信息安全。

(2)网络端点加密方法：端点加密的目的是保护网络源端用户到目的用户的数据安全。

(3)网络节点加密方法：节点加密的目的是对源节点到目的节点之间的传输链路提供保护。网络用户可以根据网络系统的具体情况来选择上述的一种或几种加密方法实施信息加密策略。

4.网络安全管理策略在计算机网络系统安全策略中，不仅需要采取网络技术措施保护网络安全，还必须加强网络的行政安全管理，制定有关网络使用的规章制度，这对于确保计算机网络系统安全、可靠地运行将会起到十分有效的作用。计算机网络系统的安全管理策略包括确定网络安全管理等级和安全管理范围，制定有关网络操作使用规程和人员出入机房管理制度，制定网络系统的管理维护制度和应急措施等等。1.3网络安全标准1.3.1美国的《可信计算机系统评估准则》(TCSEC)计算机系统安全等级评估的问题已为许多国家所注意。德国信息安全机构于1989年出版了安全准则的第一版。英国的贸易和工业部门颁发了一个称为绿皮书的手册，用于开发商业信息技术安全产品。法国也出版了安全准则，称为蓝—白—红皮书。美国在20世纪60年代中期就开始提出计算机安全防护的问题。1983年美国国防部计算机安全保密中心发表了《可信计算机系统评估准则》(TCSEC，TrustedComputerSystemEvaluationCriteria)，简称橙皮书。1985年12月美国国防部正式采用该准则，修改后作为美国国防部的标准。该准则的作用在于提供了一套计算机系统硬件、固件、软件安全技术标准和有关的技术评估方法。橙皮书为计算机系统的安全级别进行了分级，由低到高分为D、C、B、A级。D级暂时不分子级；C级分为C1和C2两个子级，C2比C1提供更多的保护；B级分为B1、B2和B3三个子级，由低到高；A级暂时不分子级。每级包括它下级的所有特性。各级的名称及主要特征参见表1-2。表1-2可信计算机系统评估准则的安全级别

1. D级

D级是最低的安全级别，整个计算机系统是不可信任的，硬件和操作系统很容易被侵袭。任何人都可以自由地使用该计算机系统而无须进行验证，系统不要求用户进行登记(要求用户提供用户名)或使用密码(要求用户提供唯一的字符串来进行访问)。DOS、Windows3.x及Windows95(不在工作组方式中)都属于D级的计算机操作系统。

2. C级

C级分为C1和C2两个子级。

1) C1级

C1级是选择性安全防护(discretionarysecurityprotection)系统，要求硬件有一定的安全保护(如硬件有带锁装置，需要钥匙才能使用计算机)。用户在使用计算机系统前必须先登录。另外，作为C1级保护的一部分，允许系统管理员为一些程序或数据设立访问许可权限。UNIX系统、Novell3.x或更高版本、WindowsNT都属于C1级兼容计算机操作系统。C1级防护的不足之处在于用户直接访问操作系统的根。C1级不能控制进入系统的用户的访问级别，所以用户可以将系统中的数据任意移走。他们可以控制系统配置，获取比系统管理员允许的更高权限，比如改变和控制用户名。

2) C2级

C2级针对上述C1级的不足之处做了补充，引进了受控访问环境(用户权限级别)的增强特性。该环境具有进一步限制用户执行某些命令或访问某些文件的权限，而且还加入了身份认证级别。另外，系统对发生的事件加以审计(audit)，并写入日志当中，如什么时候开机，哪个用户在什么时候从哪儿登录等等，这样通过查看日志，就可以发现入侵的痕迹，如多次登录失败，也可以大致推测出可能有人想强行闯入系统。审计除了可以记录下系统管理员执行的活动以外，还加入了身份认证级别，这样就可以知道谁在执行这些命令。审计的缺点在于它需要额外的处理器时间和磁盘空间。另一方面，用户权限可以以个人为单位授权对某一程序所在目录进行访问。如果其它程序和数据也在同一目录下，那么用户也将自动得到访问这些信息的权限。

3. B级

B级分为B1、B2和B3三个子级，由低到高。

1) B1级

B1级指符号安全防护(labelsecurityprotection)，支持多级安全。“符号”指网上的一个对象，该对象在安全防护计划中是可识别且受保护的。“多级”是指这一安全防护安装在不同级别(如网络、应用程序和工作站等)，对敏感信息提供更高级的保护，让每个对象(文件、程序、输出等)都有一个敏感标签，而每个用户都有一个许可级别。任何对用户许可级别和成员分类的更改都受到严格控制。政府机构和防御承包商是B1级计算机系统的主要拥有者。

2) B2级

B2级又称为结构防护(structuredprotection)，要求计算机系统中的所有对象加标签，而且给设备(如工作站、终端和磁盘驱动器)分配安全级别。如允许用户访问一台工作站，但不允许访问含有职员工资资料的磁盘子系统就属于B2级的功能。

3) B3级

B3级又称为安全域(securitydomain)，要求用户工作站或终端通过可信任途径连接网络系统，这一级采用硬件来保护安全系统的存储区。

4. A级

A级是橙皮书中规定的最高安全级，又称为验证设计(veritydesign)，它包括了一个严格的设计、控制和验证过程。与前面所提到的各级别一样，该级别包含了较低级别的所有特性。A级设计必须是从数学角度上经过验证的，而且必须进行秘密通道和可信任分布的分析。可信任分布(trusteddistribution)的含义是硬件和软件在物理传输过程中已经受到保护，以防止破坏安全系统。依据计算机安全的分级，安全漏洞也相应地划分为D、C、B、A四个等级，其对安全的威胁性由小到大。由于每个安全等级的标准不同，所以每个安全等级中出现的漏洞所产生的影响也不同。1.3.2中国国家标准《计算机信息安全保护等级划分准则》从2001年1月1日起，中国实施强制性国家标准《计算机信息安全保护等级划分准则》。该准则是建立安全等级保护制度，实施安全等级管理的重要基础性标准。它将计算机信息系统安全保护等级划分为五个级别，如表1-3所示。表1-3中国计算机信息安全保护等级主要特征

1.用户自主保护级本级的安全保护机制使用户具备自主安全保护能力，保护用户和用户组信息，避免其他用户对数据的非法读写和破坏。

2.系统审计保护级本级的安全保护机制包含用户自主保护级的所有安全保护功能，并创建、维护访问审计跟踪记录，以记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息，使所有用户对自己行为的合法性负责。

3.安全标记保护级本级的安全保护机制包含系统审计保护级的所有功能，并为访问者和访问对象指定安全标记，以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制保护。

4.结构化保护级本级包含安全标记保护的所有安全功能，并将安全保护机制划分成关键部分和非关键部分相结合的结构，其中关键部分直接控制访问者对访问对象的存取。本级具有相当强的抗渗透能力。

5.安全域级保护级本级的安全保护机制包含结构化保护级的所有功能，并特别增设访问验证功能，负责仲裁访问者对访问对象的所有访问活动。本级具有极强的抗渗透能力。1.4网络安全基本模型1.4.1主体—客体访问控制模型主体—客体访问控制模型是网络安全领域早期使用的模型。其时，安全人员尚未对网络安全的动态性有足够的认识，人们提出和采用的是以访问控制技术为核心的简单安全模型。随着人们对安全工作和安全过程认识的不断深入，安全人员意识到：仅仅依靠单点的访问控制安全防护并不能达到有效安全保障的效果。目前，在实际网络安全体系中，访问控制模型常常与其他安全模型相结合，指导安全技术防护措施的选择和实施，以建立有效的网络安全防护体系。1.4.2P2DR模型

1. P2DR模型简介

P2DR模型是最先发展起来的一个动态安全模型。根据P2DR模型，完整的网络安全体系应当包括四个重要环节：Policy(安全策略)、Protection(保护)、Detection(检测)和Response(响应)。保护、检测和响应组成了一个完整的、动态的安全循环，在核心安全策略的指导下保证网络系统的安全，如图1-2所示。图1-2P2DR模型组成环节图

2. P2DR安全模型描述

1)安全策略安全策略是P2DR安全模型的核心，所有的防护、检测、响应都是依据安全策略实施的，安全策略为安全管理提供管理方向和支持手段。策略体系的建立包括安全策略的制订、评估、执行等。制订可行的安全策略取决于对网络信息系统的了解程度。安全策略一般不做出具体的措施规定，也不确切说明通过何种方式才能达到预期的结果，但是应该向系统安全实施者们指出在当前的前提下，什么因素和风险才是最重要的。

2)保护保护就是采用一切手段保护信息系统的保密性、完整性、可用性、可控性和不可否认性。保护通常是通过采用一些传统的静态安全技术及方法来实现的，主要有防火墙、加密、认证等方法。比如，通过防火墙监视和限制进出网络的数据包，以防范外对内及内对外的非法访问，提高了网络的防护能力；也可以利用SecureID这种一次性口令的方法来增加系统的安全性等。保护主要包括系统安全保护、网络安全保护和信息安全保护三个方面。

3)检测检测是动态响应和加强防护的依据，是强制落实安全策略的工具，通过不断地检测和监控网络及系统，来发现新的威胁和弱点，通过循环反馈来及时做出有效的响应。网络的安全风险是实时存在的，检测的对象主要针对系统自身的脆弱性及外部威胁，利用检测工具了解和评估系统的安全状态。

4)响应响应就是在检测到安全漏洞或一个攻击(入侵)事件之后，及时采取有效的处理措施，避免危害进一步扩大，目的是把系统调整到安全状态，或使系统提供正常的服务。通过建立响应机制和紧急响应方案，能够提高快速响应的能力。紧急响应在安全系统中占有最重要的地位，是解决安全潜在性最有效的办法。从某种意义上讲，安全问题就是要解决紧急响应和异常处理问题。要解决好紧急响应问题，就要制订好紧急响应的方案，做好紧急响应方案中的一切准备工作。1.4.3APPDRR模型网络安全的动态特性在P2DR模型中得到了一定程度的体现，其中主要是通过入侵的检测和响应完成网络安全的动态防护。但P2DR模型不能描述网络安全的动态螺旋上升过程。为了使P2DR模型能够贴切地描述网络安全的本质规律，人们对P2DR模型进行了修正和补充，在此基础上提出了APPDRR模型。APPDRR模型认为网络安全由风险评估(Assessment)、安全策略(Policy)、系统防护(Protection)、动态检测(Detection)、实时响应(Reaction)和灾难恢复(Restoration)六部分完成。根据APPDRR模型，网络安全的第一个重要环节是风险评估，通过风险评估，掌握网络安全面临的风险信息，进而采取必要的处置措施，使信息组织的网络安全水平呈现动态螺旋上升的趋势。网络安全策略是APPDRR模型的第二个重要环节，起着承上启下的作用：一方面，安全策略应当随着风险评估的结果和安全需求的变化做相应的更新；另一方面，安全策略在整个网络安全工作中处于原则性的指导地位，其后的检测、响应诸环节都应在安全策略的基础上展开。系统防护是安全模型中的第三个环节，体现了网络安全的静态防护措施。接下来是动态检测、实时响应、灾难恢复三个环节，体现了安全动态防护和安全入侵、安全威胁“短兵相接”的对抗性特征。

APPDRR模型还隐含了网络安全的相对性和动态螺旋上升的过程，即不存在百分之百的静态的网络安全，网络安全表现为一个不断改进的过程。通过风险评估、安全策略、系统防护、动态检测、实时响应和灾难恢复六个环节的循环流动，网络安全逐渐得以完善和提高，从而实现保护网络资源的网络安全目标。1.4.4PADIMEE模型

P2DR安全模型和APPDRR安全模型都是偏重于理论研究的描述型安全模型。在实际应用中，安全人员往往需要的是偏重于安全生命周期和工程实施的工程安全模型，从而能够给予网络安全工作以直接的指导。PADIMEE模型是较为常用的一个工程安全模型，如图1-3所示。图1-3PADIMEE网络安全模型

PADIMEE模型包含以下几个主要部分：Policy(安全策略)、Assessment(安全评估)、Design(设计/方案)、Implementation(实施/实现)、Management/Monitor(管理/监控)、EmergencyResponse(紧急响应)和Education(安全教育)。根据PADIMEE模型，网络安全需求主要在以下几个方面得以体现：

(1)制订网络安全策略反映了组织的总体网络安全需求。

(2)通过网络安全评估，提出网络安全需求，从而更加合理、有效地组织网络安全工作。

(3)在新系统、新项目的设计和实现中，应充分分析可能的网络安全需求，并采取相应措施。

(4)管理/监控也是网络安全实现的重要环节，其中既包括了P2DR安全模型和APPDRR安全模型中的动态检测内容，也涵盖了安全管理的要素。通过管理/监控环节，并辅以必要的静态安全防护措施，可以满足特定的网络安全需求，从而使既定的网络安全目标得以实现。

(5)紧急响应是网络安全的最后一道防线。由于网络安全的相对性，采取的所有安全措施实际上都是将安全工作的收益(以可能导致的损失来计量)和采取安全措施的成本相配比后进行选择、决策的结果。基于这样的考虑，在网络安全工程实现模型中设置一道这样的最后防线有着极为重要的意义。通过合理地选择紧急响应措施，可以做到以最小的代价换取最大的收益，从而减弱乃至消除安全事件的不利影响，有助于实现信息组织的网络安全目标。1.5网络安全体系结构1.5.1网络安全防范体系结构框架为了能够有效了解用户的安全需求，选择合适的安全产品和策略，有必要建立一些系统的方法来进行网络安全防范。网络安全防范体系的科学性、可行性是其可顺利实施的保障。图1-4给出了基于DISSP扩展的一个三维安全防范技术体系框架结构：第一维是安全服务，给出了八种安全属性(ITU-TREC-X.800-199103-I)；第二维是系统单元，给出了信息网络系统的组成；第三维是协议层次，给出并扩展了国际标准化组织ISO的开放系统互联(OSI)模型。图1-4网络安全防范体系结构框架结构中的每一个系统单元都对应于某一个协议层次，需要采取若干种安全服务才能保证该系统单元的安全。网络平台需要有网络节点之间的认证、访问控制，应用平台需要有针对用户的认证、访问控制，需要保证数据传输的完整性、保密性，需要有抗抵赖和审计的功能，需要保证应用系统的可用性和可靠性。针对一个信息网络系统，如果在各个系统单元都有相应的安全措施来满足其安全需求，则可以认为该信息网络是安全的。1.5.2网络安全防范体系层次

作为全方位的、整体的网络安全防范体系也是分层次的，不同层次反映了不同的安全问题，根据网络的应用现状和网络的结构，我们将安全防范体系的层次(见图1-5)划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理。图1-5网络安全防范体系层次

1.物理环境的安全性(物理层安全)该层次的安全包括通信线路的安全、物理设备的安全、机房的安全等。物理层的安全主要体现在通信线路的可靠性(线路备份、网管软件、传输介质)，软硬件设备安全性(替换设备、拆卸设备、增加设备)，设备的备份，防灾害能力、防干扰能力，设备的运行环境(温度、湿度、烟尘)，不间断电源保障，等等。

2.操作系统的安全性(系统层安全)该层次的安全问题来自网络内使用的操作系统的安全，如WindowsNT、Windows2000等，主要表现在以下三方面：

(1)操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制、系统漏洞等；

(2)操作系统的安全配置问题；

(3)病毒对操作系统的威胁。

3.网络的安全性(网络层安全)该层次的安全问题主要体现在网络方面的安全性，包括网络层身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入的安全、域名系统的安全、路由系统的安全、入侵检测的手段、网络设施防病毒等。

4.应用的安全性(应用层安全)该层次的安全问题主要由提供服务所采用的应用软件和数据的安全性产生，包括Web服务、电子邮件系统、DNS等。此外，还包括病毒对系统的威胁。

5.管理的安全性(管理层安全)安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化极大程度地影响着整个网络的安全，严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置可以在很大程度上降低其它层次的安全漏洞。1.5.3网络安全防范体系设计准则根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素，参照SSE-CMM(系统安全工程能力成熟模型)和ISO17799(信息安全管理标准)等，综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面，网络安全防范体系在整体设计过程中应遵循以下9项原则：

1.网络信息安全的木桶原则网络信息安全的木桶原则是指对信息均衡、全面地进行保护，“木桶的最大容积取决于最短的一块木板”。网络信息系统是一个复杂的计算机系统，它本身在物理上、操作上和管理上的种种漏洞造成了系统安全的脆弱性，尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”，必然在系统中最薄弱的地方进行攻击。因此，充分、全面、完整地对系统的安全漏洞和安全威胁进行分析、评估和检测(包括模拟攻击)，是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段，根本目的是提高整个系统“安全最低点”的安全性能。

2.网络信息安全的整体性原则要求在网络发生被攻击、破坏事件的情况下，尽可能地快速恢复网络信息中心的服务，减少损失。因此，信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施，避免非法攻击的进行；安全检测机制是检测系统的运行情况，及时发现和制止对系统进行的各种攻击；安全恢复机制是在安全防护机制失效的情况下，进行应急处理和尽量、及时地恢复信息，减少供给的破坏程度。

3.安全性评价与平衡原则对任何网络，绝对安全难以达到，也不一定是必要的，所以需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系，做到安全性与可用性相容，做到组织上可执行。评价信息是否安全，没有绝对的评判标准和衡量指标，只能决定于系统的用户需求和具体的应用环境，具体取决于系统的规模和范围，系统的性质和信息的重要程度。

4.标准化与一致性原则系统是一个庞大的系统工程，其安全体系的设计必须遵循一系列的标准，这样才能确保各个分系统的一致性，使整个系统安全地互联互通、信息共享。

5.技术与管理相结合原则安全体系是一个复杂的系统工程，涉及人、技术、操作等要素，单靠技术或单靠管理都不可能实现。因此，必须将各种安全技术与运行管理机制、人员思想教育和技术培训、安全规章制度建设等相结合。

6.统筹规划，分步实施原则由于政策规定、服务需求的不明朗，环境、条件、时间的变化，攻击手段的进步，安全防护不可能一步到位，因此可在一个比较全面的安全规划下，根据网络的实际需要，先建立基本的安全体系，保证基本的、必须的安全性。随着今后网络规模的扩大及应用的增加，网络应用和复杂程度的变化，网络脆弱性也会不断增加，此时再调整或增强安全防护力度，保证整个网络最根本的安全需求。

7.等级性原则等级性原则是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的，包括对信息保密程度分级，对用户操作权限分级，对网络安全程度分级(安全子网和安全区域)，对系统实现结构的分级(应用层、网络层、链路层等)，从而针对不同级别的安全对象，提供全面、可选的安全算法和安全体制，以满足网络中不同层次的各种实际需求。

8.动态发展原则要根据网络安全的变化不断调整安全措施，适应新的网络环境，满足新的网络安全需求。

9.易操作性原则首先，安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。1.6网络安全机制与技术1.6.1常用的网络安全技术在计算机网络上的通信总的来说面临以下四种威胁：截获、中断、篡改、伪造。这四种威胁可划分为两大类：主动攻击和被动攻击，其中截获属于被动攻击；而中断、篡改和伪造属于主动攻击。网络安全技术可根据入侵者对系统网络采取主动攻击和被动攻击的方式分为主动防御技术和被动防御技术。

1.主动防御技术主动防御技术一般有数据加密、身份验证、存取控制、授权和虚拟网络等技术。

(1)数据加密：密码技术是解决网络安全问题的最好途径。目前对数据最为有效的保护手段就是加密。

(2)身份验证：这是一致性验证的一种。验证是建立一致性证明的一种手段。身份验证包括验证依据、验证系统和安全要求。

(3)存取控制：规定何种主体对何种客体具有何种操作权力，是内部网络安全理论的重要方面，主要包括人员限制、数据标识、权限控制、控制类型和风险分析等。

(4)授权：用户需要控制哪些资源，他们能够对资源进行何种操作。

(5)虚拟网络技术：使用VPN(虚拟专用网)或VLAN(虚拟局域网络)技术。通过物理网络的划分，控制网络流量的流向，使其不流向非法用户，以达到防范目的。

2.被动防御技术被动防御技术目前有防火墙技术、安全扫描器、密码检查器、记账服务、路由过滤、物理及管理安全等技术。

(1)防火墙技术：防火墙是内部网与Internet之间实施安全防范的系统，可被认为是一种访问控制机制，用于确定哪些内部服务允许外部访问，以及哪些外部服务允许内部访问。

(2)安全扫描器：自动检测远程或本地主机安全性弱点的程序，用于观察网络是否在正常工作，收集主机的信息。

(3)密码检查器：通过口令验证程序检查薄弱的口令。

(4)记账服务：在系统中保留一个日志文件，与安全相关的事件可以记录在日志文件中，以便事后调查和分析，追查有关责任者，发现系统安全的弱点和入侵点。

(5)路由过滤：路由器中的过滤器对所接收的每一个数据包根据包过滤规则做出允许或拒绝的决定。

(6)物理及管理安全：通过制定规章制度和条例，减少人为因素的影响。1.6.2数据加密技术数据加密技术是最基本的网络安全技术，被誉为信息安全的核心，最初主要用于保证数据在存储和传输过程中的保密性。它通过变换和置换等各种方法将被保护信息置换成密文，然后再进行信息的存储或传输，即使加密信息在存储或者传输过程中为非授权人员所获得，也可以保证这些信息不为其认知，从而达到保护信息的目的。该方法的保密性直接取决于所采用的密码算法和密钥长度。1.6.3数字签名数字签名在ISO7498-2标准中定义为：“附加在数据单元上的一些数据，或是对数据单元所作的密码变换，这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性，并保护数据，防止被人(例如接收者)进行伪造。”美国电子签名标准(DSS，FIPS186-2)对数字签名做了如下解释：“利用一套规则和一个参数对数据计算所得的结果，用此结果能够确认签名者的身份和数据的完整性。”通俗地讲，数字签名就是通过某种密码运算生成一系列符号及代码，组成电子密码进行签名，来代替书写签名或印章，对于这种电子式的签名还可进行技术验证，其验证的准确度是一般手工签名和图章的验证无法比拟的。1.6.4访问控制技术访问控制是指对网络中的某些资源的访问要进行控制，只有被授予特权的用户，才有资格并有可能去访问有关的数据或程序。例如，数据库中保存了一些机密资料，只有少数被授权的人员掌握其保密级和口令，而且可能要通过几级口令，才能取出这些资料。为了保护数据的安全性，可限定一些数据资源的读写范围。例如，有的只能读不能写，或规定只有少数用户可对其进行修改或写入新的内容。然而，这些方法对于一些机密程度高的信息和资料仍不是非常安全。实际上，对于资源的访问控制，迄今为止，仍没有一个十分有效的保密方法。有些原理上可行，但技术上难以实现，例如分析指纹或字体。故通常的办法是经常变换口令，以减少泄密的机会，同时在内部网络与Internet连接之处安装防火墙。访问控制业务的目标是防止对任何资源的非法访问。所谓非法访问，是指未经授权的使用、泄露、销毁以及发布等。访问控制是系统保密性、完整性、可用性和合法使用性的基础。访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非法访问。它也是维护网络系统安全、保护网络资源的重要手段。访问控制策略主要有以下几种：

1.入网访问控制

入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和登录入网的工作站。用户的入网访问控制可分为用户名和口令的识别与验证以及用户账号的默认限制检查。只要其中的任何一个步骤未通过，该用户便不能进入该网络。

(1)对网络用户的用户名和口令进行验证。这是防止非法访问的第一道防线。用户注册时首先输入用户名和口令，服务器将验证所输入的用户名是否合法。如果验证合法，才继续验证用户输入的口令，否则，用户将被拒于网络之外。用户的口令是用户入网的关键所在，口令的设置应符合复杂性要求，而且必须经过加密，用户口令应是每个用户访问网络所必须提交的“证件”，用户可以修改自己的口令，但系统管理员应该可以控制口令的以下几个方面的限制：最小口令长度、强制修改口令的时间间隔、口令的惟一性、口令过期失效后允许入网的宽限次数等。

(2)用户名和口令验证有效之后，再进一步履行用户账号的默认限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量等。当用户对交费网络的访问“资费”用尽时，网络还应能对用户的账号加以限制，用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确，则认为是非法用户的入侵，应给出报警信息。

2.网络的权限控制网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(IRM)可作为网络权限控制的两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备；继承权限屏蔽相当于一个过滤器，可以限制子目录从父目录那里继承哪些权限。可以根据访问权限将用户分为以下几类：

(1)特殊用户(即系统管理员)；

(2)一般用户，系统管理员根据他们的实际需要为他们分配操作权限；

(3)审计用户，负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。

3.目录级安全控制网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。如在NovellNetware网络系统中对目录和文件的访问权限一般有8种：系统管理员权限(Supervisor)、读权限(Read)、写权限(Write)、创建权限(Create)、删除权限(Erase)、修改权限(Modify)、文件查找权限(FileScan)、存取控制权限(AccessControl)。用户对文件或目标的有效权限取决于以下因素：用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限，这些访问权限控制着用户对服务器的访问。8种访问权限的有效组合可以让用户有效地完成工作，同时又能有效地控制用户对服务器资源的访问，从而加强了网络和服务器的安全性。

4.属性安全控制当用文件、目录和网络设备时，网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表，用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限：向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录