信息安全風(fēng)險(xiǎn)管理畢業(yè)論文

1、<p><b>　　學(xué)號(hào)： </b></p><p><b>　　XX大學(xué)</b></p><p><b>　　學(xué)士學(xué)位論文</b></p><p>　　題 目 信息安全風(fēng)險(xiǎn)管理理論</p><p><b>　　在IP城域網(wǎng)的應(yīng)用</b>

2、;</p><p><b>　　學(xué) 生 </b></p><p><b>　　指導(dǎo)教師 </b></p><p><b>　　年 級(jí) </b></p><p><b>　　專 業(yè) </b></p><p&g

3、t;<b>　　系 別 </b></p><p>　　學(xué) 士 學(xué) 位 論 文</p><p>　　題 目 信息安全風(fēng)險(xiǎn)管理理論</p><p><b>　　在IP城域網(wǎng)的應(yīng)用</b></p><p><b>　　學(xué) 生 </b></p>

4、<p><b>　　指導(dǎo)教師 </b></p><p><b>　　年 級(jí) </b></p><p><b>　　專 業(yè) </b></p><p><b>　　系 別 </b></p><p><b&g

5、t;　　學(xué) 院 </b></p><p>　　摘要：隨著寬帶網(wǎng)絡(luò)和用戶規(guī)模的不斷增長(zhǎng)，用戶對(duì)寬帶接入業(yè)務(wù)的高可用性要求不斷增強(qiáng)，對(duì)電信運(yùn)營(yíng)商在IP城域、接入網(wǎng)絡(luò)和支撐系統(tǒng)提出了更高的安全性要求。本文從信息安全治理的理念、方法學(xué)和相關(guān)技術(shù)入手，結(jié)合電信IP城域網(wǎng)，提出電信IP城域網(wǎng)安全治理、風(fēng)險(xiǎn)評(píng)估和加固的實(shí)踐方法建議。</p><p>　　關(guān)鍵詞：安全治理、風(fēng)險(xiǎn)、弱點(diǎn)、

6、評(píng)估、城域網(wǎng)、IP、AAA、DNS</p><p><b>　　目 錄</b></p><p>　　第一章 網(wǎng)絡(luò)安全的概述</p><p>　　1.1 信息安全的概念 ………………………………………………………………….. …1</p><p>　　1.1.1 網(wǎng)絡(luò)安全的屬性…………………………………………………………

7、……………3</p><p>　　1.1.2 網(wǎng)絡(luò)安全的層次結(jié)構(gòu)…………………………………………………………………4</p><p>　　1.1.3 網(wǎng)絡(luò)安全模型…………………………………………………………………………5</p><p>　　1.1.4 網(wǎng)絡(luò)安全模型…………………………………………………………………………6</p><p>　

8、　1.2 安全的歷史回顧………………………………………………………………………7</p><p>　　1.2.1 通信安全………………………………………………………………………………7</p><p>　　1.2.2 計(jì)算機(jī)安全……………………………………………………………………………8</p><p>　　1.2.3 網(wǎng)絡(luò)安全………………………………………………

9、………………………………8</p><p>　　1.3 網(wǎng)絡(luò)安全處理…………………………………………………………………………9</p><p>　　1.3.1 網(wǎng)絡(luò)安全綜合處理……………………………………………………………………9</p><p>　　1.3.2 網(wǎng)絡(luò)安全處理過(guò)程……………………………………………………………………10</p><

10、;p>　　1.4 密碼學(xué)…………………………………………………………………………………11</p><p>　　1.4.1 密碼學(xué)的基本原理……………………………………………………………………11</p><p>　　1.4.2 對(duì)稱密鑰密碼技術(shù)……………………………………………………………………12</p><p>　　1.4.3 公鑰密碼技術(shù)………………

11、…………………………………………………………12</p><p>　　1.5 本章內(nèi)容總結(jié)…………………………………………………………………………13</p><p>　　第二章 安全管理理論</p><p>　　2.1 安全管理理論概述…………………………………………………………………….13</p><p>　　2.1.1 安全管理理

12、論的概念…………………………………………………………………14</p><p>　　2.1.2 安全管理的重要性……………………………………………………………………14</p><p>　　2.1.3 安全管理模型…………………………………………………………………………15</p><p>　　2.2 信息安全管理策略……………………………………………………………

13、………15</p><p>　　2.3 信息安全管理標(biāo)準(zhǔn)……………………………………………………………………17</p><p>　　2.3.1 標(biāo)準(zhǔn)的組成與結(jié)構(gòu)……………………………………………………………………17</p><p>　　2.3.2 信息安全管理體系要求………………………………………………………………18</p><p>

14、　　2.3.3 控制細(xì)則………………………………………………………………………………20</p><p>　　2.4 本章內(nèi)容總結(jié)…………………………………………………………………………21</p><p>　　第三章 安全認(rèn)證和評(píng)估</p><p>　　3.1 風(fēng)險(xiǎn)管理………………………………………………………………………………21</p>&l

15、t;p>　　3.2 安全成熟度模型………………………………………………………………………21</p><p>　　3.3 威脅……………………………………………………………………………………22</p><p>　　3.3.1 威脅源…………………………………………………………………………………23</p><p>　　3.3.2 威脅情況和對(duì)策……………

16、…………………………………………………………21</p><p>　　3.4 安全評(píng)估方法…………………………………………………………………………26</p><p>　　3.4.1 安全評(píng)估過(guò)程…………………………………………………………………………27</p><p>　　3.4.2 網(wǎng)絡(luò)安全評(píng)估…………………………………………………………………………27&l

17、t;/p><p>　　3.4.3 平臺(tái)安全估計(jì)…………………………………………………………………………28</p><p>　　3.4.4 應(yīng)用安全評(píng)估………………………………………………………………………29</p><p>　　3.5 安全評(píng)估準(zhǔn)則………………………………………………………………………29</p><p>　　3.5.1 可

18、信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則…………………………………………………………30</p><p>　　3.5.2 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則…………………………………………30</p><p>　　3.5.3 通用安全評(píng)估準(zhǔn)則…………………………………………………………………30</p><p>　　3.6 本章內(nèi)容總結(jié)………………………………………………………………

19、………31</p><p>　　在IP城域網(wǎng)中應(yīng)用信息安全風(fēng)險(xiǎn)管理理論</p><p>　　4.1 信息安全風(fēng)險(xiǎn)管理概述……………………………………………………………36</p><p>　　4.2 建立信息安全管理體系的主要步驟………………………………………………37</p><p>　　4.3 IP寬帶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理主要實(shí)踐步驟…

20、………………………………………38</p><p>　　4.3.1 項(xiàng)目準(zhǔn)備階段………………………………………………………………………38</p><p>　　4.3.2 項(xiàng)目執(zhí)行階段………………………………………………………………………38</p><p>　　4.3.3 項(xiàng)目總結(jié)階段………………………………………………………………………39</p>

21、<p>　　4.4 IP寬帶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理實(shí)踐要點(diǎn)分析…………………………………………39</p><p>　　4.4.1 安全目標(biāo)……………………………………………………………………………39</p><p>　　4.4.2 項(xiàng)目范疇……………………………………………………………………………39</p><p>　　4.4.3 項(xiàng)目成員………………

22、……………………………………………………………39</p><p>　　4.4.4 背景信息收集………………………………………………………………………39</p><p>　　4.4.5 資產(chǎn)鑒別……………………………………………………………………………40</p><p>　　4.4.6 威脅分析……………………………………………………………………………40<

23、;/p><p>　　4.4.7 威脅影響分析………………………………………………………………………40</p><p>　　4.4.8 威脅可能性分析……………………………………………………………………40</p><p>　　4.4.9 風(fēng)險(xiǎn)處置……………………………………………………………………………41</p><p>　　參考文獻(xiàn)…………

24、………………………………………………………………………41</p><p>　　外文摘要…………………………………………………………………………………42</p><p>　　近年來(lái)，隨著寬帶網(wǎng)絡(luò)和用戶規(guī)模的不斷增長(zhǎng)，用戶對(duì)寬帶接入業(yè)務(wù)的高可用性要求不斷增強(qiáng)，對(duì)電信運(yùn)營(yíng)商在IP城域、接入網(wǎng)絡(luò)和支撐系統(tǒng)提出了更高的安全性要求。普遍意義上，對(duì)信息安全的定義是“保護(hù)信息系統(tǒng)和信息，防止其因?yàn)榕既?/p>

25、或惡意侵犯而導(dǎo)致信息的破壞、更改和泄漏，保證信息系統(tǒng)能夠連續(xù)、可靠、正常的運(yùn)行”。所以說(shuō)信息安全應(yīng)該理解為一個(gè)動(dòng)態(tài)的管理過(guò)程，通過(guò)一系列的安全管理活動(dòng)來(lái)保證信息和信息系統(tǒng)的安全需求得到持續(xù)滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實(shí)性”等。 信息安全管理的本質(zhì)，可以看作是動(dòng)態(tài)地對(duì)信息安全風(fēng)險(xiǎn)的管理，即要實(shí)現(xiàn)對(duì)信息和信息系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行有效管理和控制。</p><p>

26、　　第一章 網(wǎng)絡(luò)安全概述</p><p>　　1.1 網(wǎng)絡(luò)安全的概念</p><p>　　1.1.1 信息安全的概念</p><p>　　首先從信息安全的一般性定義來(lái)闡述。Merriam Webster在線詞典（www.mw.com）對(duì)信息這個(gè)詞作了廣泛而精確的闡述：信息是從調(diào)查、研究和教育獲得的知識(shí)，是情報(bào)、新聞、事實(shí)、數(shù)據(jù)，是代表數(shù)據(jù)的信號(hào)或字符，是代表物質(zhì)的

27、或精神的經(jīng)驗(yàn)的消息、經(jīng)驗(yàn)數(shù)據(jù)、圖片。在線詞典對(duì)安全這個(gè)詞的闡述是：安全是避免危險(xiǎn)、恐懼、憂慮的度量和狀態(tài)。</p><p>　　將上述信息和安全兩個(gè)詞的定義合并起來(lái)，可給出信息安全的一般性義：信安全是防止對(duì)知識(shí)、事實(shí)、數(shù)據(jù)或能力非授權(quán)使用、誤用、篡改或拒絕使用所采取的措施（量度）。</p><p>　　從信息安全的一般性定義，進(jìn)一步引出主題——網(wǎng)絡(luò)安全的定義。為此先給出計(jì)算機(jī)網(wǎng)絡(luò)的定義。計(jì)

28、算機(jī)網(wǎng)絡(luò)是地理上分散的多臺(tái)自主計(jì)算機(jī)互聯(lián)的集合。自主計(jì)算機(jī)這一概念排除了網(wǎng)絡(luò)系統(tǒng)中主從關(guān)系的可能性。互聯(lián)必須遵循約定的通信協(xié)議，由通信設(shè)備、通信鏈路及網(wǎng)絡(luò)軟件實(shí)現(xiàn)。計(jì)算機(jī)網(wǎng)絡(luò)可實(shí)現(xiàn)信息交互、資源共享、協(xié)同工作及在線處理等功能。</p><p>　　為了保證安全，需要自主計(jì)算機(jī)的安全；互聯(lián)的安全，即用以實(shí)現(xiàn)互聯(lián)的通信設(shè)備、通信鏈路、網(wǎng)絡(luò)軟件、網(wǎng)絡(luò)協(xié)議的安全；各種網(wǎng)絡(luò)應(yīng)用和服務(wù)的安全?？傊覀儚?qiáng)調(diào)的是在分布網(wǎng)絡(luò)環(huán)境

29、下的安全。</p><p>　　計(jì)算機(jī)網(wǎng)絡(luò)的通信采用分組交換方式，分組從源站出發(fā)通過(guò)路由器在網(wǎng)絡(luò)中傳送，最終到達(dá)目的站接收。目前廣泛采用TCP/IP協(xié)議，所用的地址即IP地址。不難看出，這種基于IP的Internet有很多不安全的問(wèn)題。下面分別予以闡述。</p><p><b>　　1. IP安全</b></p><p>　　在Internet

30、中，當(dāng)信息分組在路由器間傳遞時(shí)，對(duì)任何人都是開(kāi)放的，路由器僅僅搜集信息分組中的目的地址，但不能防止其內(nèi)容被窺視。當(dāng)黑客企圖攻擊網(wǎng)絡(luò)前，他必須設(shè)法登錄到接入網(wǎng)上的某些計(jì)算機(jī)，觀察流動(dòng)的數(shù)據(jù)分組，找到他感興趣的內(nèi)容。如果他接近并進(jìn)入到某公司的一臺(tái)外圍計(jì)算機(jī)，他就極有可能監(jiān)視進(jìn)出這一系統(tǒng)的所有數(shù)據(jù)。</p><p>　　黑客最感興趣的是包含口令的數(shù)據(jù)分組?？诹罡`聽(tīng)十分容易，而且是Internet最常見(jiàn)的攻擊。黑客要安裝

31、一個(gè)用于竊取用戶名和口令的分組竊聽(tīng)程序，這些程序可幫助黑客竊取每次登錄會(huì)話信息中的頭幾十個(gè)字節(jié)，并保存起來(lái)。這些字節(jié)包括用戶名和口令，口令通常是加密的，需要對(duì)日?？诹钸M(jìn)行破解，用破解的口令登錄其他計(jì)算機(jī)。</p><p>　　除了網(wǎng)絡(luò)竊聽(tīng)外，另一種攻擊稱為網(wǎng)絡(luò)主動(dòng)攻擊，即在通信系統(tǒng)中主動(dòng)插入和刪除信息分組。因?yàn)榫W(wǎng)絡(luò)通信是基于分組的，分組的傳輸經(jīng)過(guò)不同的路徑最后在目的地組裝，黑客利用現(xiàn)有的通信通道，任意地插入信息分

32、組。這叫做IP欺騙，實(shí)現(xiàn)起來(lái)很容易，信息分組中包括源地址和目的地址，但黑客可對(duì)其進(jìn)行修改。黑客創(chuàng)建一個(gè)看似發(fā)自某一站點(diǎn)的信息分組，當(dāng)Internet上的計(jì)算機(jī)看到一個(gè)分組來(lái)自于它所信任的計(jì)算機(jī)時(shí)，它就會(huì)認(rèn)為對(duì)方發(fā)出的信息分組也是可信的。黑客就是利用這些信任關(guān)系攻入某臺(tái)計(jì)算機(jī)，發(fā)送一個(gè)來(lái)自被信任計(jì)算機(jī)的偽造信息分組，以使目的計(jì)算機(jī)信任并接收。</p><p>　　另一種主動(dòng)攻擊稱為路由攻擊，這時(shí)攻擊者告訴網(wǎng)上的兩個(gè)

33、結(jié)點(diǎn)，它們之間最近的傳輸線路就是經(jīng)過(guò)他這臺(tái)計(jì)算機(jī)的路徑，這就使該臺(tái)計(jì)算機(jī)的偵聽(tīng)變得更容易。</p><p>　　要解決這些問(wèn)題，在理論上顯得較容易，但實(shí)現(xiàn)起來(lái)卻不盡然。如果把信息分組加密，傳輸過(guò)程中就不易解讀；如果對(duì)數(shù)據(jù)分組進(jìn)行驗(yàn)證，就可發(fā)覺(jué)插入了偽造信息分組或刪除了某個(gè)信息分組。對(duì)Internet上信息分組的加密有多種方法，例如，能對(duì)一臺(tái)計(jì)算機(jī)的用戶經(jīng)網(wǎng)絡(luò)登錄另一臺(tái)計(jì)算機(jī)的連接進(jìn)行加密并驗(yàn)證的方法，可以加密驗(yàn)證

34、Internet上的Web數(shù)據(jù)流的方法，能加密驗(yàn)證IP通道上所有信息的方法等。</p><p><b>　　2. DNS安全</b></p><p>　　Internet對(duì)每臺(tái)計(jì)算機(jī)的命名方案稱為域名系統(tǒng)（DNS）。域名和IP地址是一一對(duì)應(yīng)的，域名易于記憶，用得更普遍。當(dāng)用戶要和Internet上某臺(tái)計(jì)算機(jī)交換信息時(shí)，只需使用域名，網(wǎng)絡(luò)會(huì)自動(dòng)轉(zhuǎn)換成IP地址，找到該臺(tái)計(jì)

35、算機(jī)。同時(shí)域名也用于建立URL地址和E-mail地址。</p><p>　　DNS有兩個(gè)概念上獨(dú)立的要點(diǎn)：一個(gè)是抽象的，即指明名字語(yǔ)法和名字的授權(quán)管理規(guī)則；另一個(gè)是具體的，即指明一個(gè)分布計(jì)算系統(tǒng)的實(shí)現(xiàn)，它能高效地將名字映射到地址。</p><p>　　域名方案應(yīng)包括一個(gè)高效、可靠、通用的分布系統(tǒng)，實(shí)現(xiàn)名字對(duì)地址的映射。分布的系統(tǒng)是指由分布在多個(gè)網(wǎng)點(diǎn)的一組服務(wù)器協(xié)同操作解決映射問(wèn)題。高效的系

36、統(tǒng)是指大多數(shù)名字映射在本地操作，只有少數(shù)名字映射需要在Internet上通信。通用的系統(tǒng)是指它不僅使用機(jī)器名?？煽康南到y(tǒng)是指單臺(tái)計(jì)算機(jī)的故障不會(huì)影響系統(tǒng)的正常運(yùn)行。</p><p>　　DNS系統(tǒng)并不總是安全的。當(dāng)一臺(tái)計(jì)算機(jī)向DNS服務(wù)器發(fā)出查詢請(qǐng)求，并收到回應(yīng)時(shí)，它認(rèn)為這一回應(yīng)是正確的，DNS服務(wù)器也是真實(shí)的。其實(shí)DNS服務(wù)器并非總是真實(shí)的，也有可能存在欺騙。計(jì)算機(jī)收到的DNS服務(wù)器的應(yīng)答可能并不是來(lái)自DNS服

37、務(wù)器，而是來(lái)自其他地方的虛假回應(yīng)。如果黑客改動(dòng)了DNS表，即改動(dòng)了從域名到IP地址（或反之）的轉(zhuǎn)換數(shù)據(jù)，計(jì)算機(jī)也會(huì)默認(rèn)接受。</p><p>　　這種黑客攻擊的結(jié)果，是使一臺(tái)計(jì)算機(jī)相信他的請(qǐng)求回應(yīng)來(lái)自另一臺(tái)可置信計(jì)算機(jī)，因?yàn)橥ㄟ^(guò)改變DNS表，使黑客計(jì)算機(jī)的IP地址成為可信任的IP地址。網(wǎng)絡(luò)攻擊者會(huì)劫持并改變一個(gè)網(wǎng)絡(luò)連接，攻擊者可能做各種類似的操作。DNS服務(wù)器會(huì)執(zhí)行修改過(guò)程，如果一臺(tái)DNS服務(wù)器的記錄發(fā)生了變化，

38、它就會(huì)通知另一臺(tái)DNS服務(wù)器，以致這種改動(dòng)將在整個(gè)Internet上繁殖。這與闖入某Web站點(diǎn)建立主頁(yè)頁(yè)面的性質(zhì)不同，黑客通過(guò)操縱DNS記錄合法訪問(wèn)系統(tǒng)，并導(dǎo)向他們制作的假主頁(yè)。他們并未攻擊DNS服務(wù)器，而是攻擊DNS服務(wù)器上的信息流。</p><p>　　DNS安全問(wèn)題看來(lái)很嚴(yán)重，且難以解決。密碼學(xué)和鑒別方法可能是較好的解決途徑，因?yàn)橛?jì)算機(jī)不會(huì)貿(mào)然相信那些a聲稱是來(lái)自DNS服務(wù)器的信息。人們正在研究DNS系統(tǒng)的

39、安全版本，但尚需時(shí)日。</p><p>　　3. 拒絕服務(wù)（DOS）攻擊</p><p>　　（1） 發(fā)送SYN信息分組</p><p>　　第一例引起公眾關(guān)注的襲擊Internet主機(jī)的拒絕服務(wù)攻擊發(fā)生于296年9月，一名黑客攻擊了紐約一家ISP（公共訪問(wèn)網(wǎng)絡(luò)）公司Panix的一臺(tái)計(jì)算機(jī)。攻擊的方式是由一臺(tái)遠(yuǎn)程計(jì)算機(jī)向Panix發(fā)問(wèn)候語(yǔ)，Panix計(jì)算機(jī)接收并響應(yīng)

40、，之后遠(yuǎn)程計(jì)算機(jī)繼續(xù)與之對(duì)話。攻擊者操縱遠(yuǎn)程計(jì)算機(jī)的返回地址，并以每秒50個(gè)SYN信息分組向Panix大量發(fā)送，Panix難以負(fù)擔(dān)如此大量的信息，結(jié)果引起系統(tǒng)崩潰。拒絕服務(wù)攻擊對(duì)通信系統(tǒng)的破壞作用尤為嚴(yán)重，因?yàn)橥ㄐ畔到y(tǒng)是專門用于通信的，對(duì)網(wǎng)絡(luò)上一臺(tái)計(jì)算機(jī)提出大量的通信請(qǐng)求，最易使該臺(tái)計(jì)算機(jī)崩潰，且難以跟蹤攻擊源。</p><p><b>　?。?） 郵件炸彈</b></p>&

41、lt;p>　　郵件炸彈是另一種非常有效的拒絕服務(wù)攻擊。給某人發(fā)送過(guò)量的電子郵件可使他的系統(tǒng)滿載直至崩潰，這種攻擊最簡(jiǎn)單的辦法就是向受害者發(fā)送成千上萬(wàn)的電子郵件，這樣做會(huì)耗盡受害者的硬盤空間，使網(wǎng)絡(luò)連接被迫中斷，或者使計(jì)算機(jī)系統(tǒng)崩潰，且難以找到攻擊者。</p><p>　　拒絕服務(wù)攻擊的對(duì)象不同，可以是郵件服務(wù)器、路由器或Web服務(wù)器等。其基本思路大致相同，即向目標(biāo)發(fā)送大量信息使其崩潰。有效的應(yīng)對(duì)方式是在IS

42、P端進(jìn)行大規(guī)模的過(guò)濾，如果網(wǎng)絡(luò)能阻止拒絕服務(wù)攻擊，那么這種攻擊就不會(huì)傷及目標(biāo)計(jì)算機(jī)。但I(xiàn)SP過(guò)濾不僅需做大量的工作，而且會(huì)使網(wǎng)絡(luò)帶寬明顯下降。有些攻擊還利用了系統(tǒng)的某些脆弱性進(jìn)行大流量攻擊。有人提議將讓客戶端在連接網(wǎng)絡(luò)時(shí)進(jìn)行稍復(fù)雜的計(jì)算作為一種防范措施。如果客戶機(jī)需花費(fèi)一定時(shí)間才能完成一個(gè)網(wǎng)絡(luò)連接，那么它就不能與目標(biāo)機(jī)進(jìn)行大量的連接。但這對(duì)于分布式拒絕服務(wù)攻擊卻無(wú)效。</p><p>　　4.分布式拒絕服務(wù)（DD

43、OS）攻擊</p><p>　　分布式拒絕服務(wù)攻擊是拒絕服務(wù)群起進(jìn)攻的方式。這種攻擊與傳統(tǒng)的拒絕服務(wù)攻擊一樣，只不過(guò)進(jìn)攻源不只一個(gè)。黑客首先進(jìn)入成百上千沒(méi)有安全防護(hù)系統(tǒng)的計(jì)算機(jī)，入侵者在計(jì)算機(jī)內(nèi)安裝一個(gè)攻擊程序，之后他控制這些計(jì)算機(jī)同時(shí)向目標(biāo)發(fā)起進(jìn)攻。目標(biāo)機(jī)即刻受到來(lái)自多個(gè)地方的攻擊，傳統(tǒng)的防范措施失去作用，最終發(fā)生死機(jī)。</p><p>　　在傳統(tǒng)方式的拒絕服務(wù)攻擊中，作為受害者的計(jì)算機(jī)

44、可能會(huì)察覺(jué)攻擊源，并關(guān)閉這些連接。但在分布式拒絕服務(wù)攻擊中，進(jìn)攻源不只一個(gè)，計(jì)算機(jī)應(yīng)關(guān)閉除它信任的連接之外的所有連接，但這在公共Internet站點(diǎn)上根本無(wú)法實(shí)現(xiàn)。迄今為止，對(duì)分布式拒絕服務(wù)攻擊還沒(méi)有通用的防護(hù)手段。只有不斷監(jiān)視網(wǎng)絡(luò)連接，及時(shí)切換備份服務(wù)器和路由器。有時(shí)一些特殊的被攻擊行為利用的漏洞可以修復(fù)，但很多卻不能。</p><p>　　上面列舉的一些網(wǎng)絡(luò)安全問(wèn)題，充分說(shuō)明與計(jì)算機(jī)信息系統(tǒng)安全相比，在分布網(wǎng)

45、絡(luò)環(huán)境下，出現(xiàn)了很多新的安全問(wèn)題，而且有些老的安全問(wèn)題也以不同的形式出現(xiàn)。根據(jù)這些特點(diǎn)，給出以下的網(wǎng)絡(luò)安全定義：</p><p>　　網(wǎng)絡(luò)安全是在分布網(wǎng)絡(luò)環(huán)境中，對(duì)信息載體（處理載體、存儲(chǔ)載體、傳輸載體）和信息的處理、傳輸、存儲(chǔ)、訪問(wèn)提供安全保護(hù)，以防止數(shù)據(jù)、信息內(nèi)容或能力拒絕服務(wù)或被非授權(quán)使用和篡改。</p><p>　　維護(hù)信息載體的安全就要抵抗對(duì)網(wǎng)絡(luò)和系統(tǒng)的安全威脅。這些安全威脅包括

46、物理侵犯（如機(jī)房侵入、設(shè)備偷竊、廢物搜尋、電子干擾等）、系統(tǒng)漏洞（如旁路控制、程序缺陷等）、網(wǎng)絡(luò)入侵（如竊聽(tīng)、截獲、堵塞等）、惡意軟件（如病毒、蠕蟲、特洛伊木馬、信息炸彈等）、存儲(chǔ)損壞（如老化、破損等）等。為抵抗對(duì)網(wǎng)絡(luò)和系統(tǒng)的安全威脅，通常采取的安全措施包括門控系統(tǒng)、防火墻、防病毒、入侵檢測(cè)、漏洞掃描、存儲(chǔ)備份、日志審計(jì)、應(yīng)急響應(yīng)、災(zāi)難恢復(fù)等。</p><p>　　維護(hù)信息自身的安全就要抵抗對(duì)信息的安全威脅。這些

47、安全威脅包括身份假冒、非法訪問(wèn)、信息泄露、數(shù)據(jù)受損、事后否認(rèn)等。為抵抗對(duì)信息的安全威脅，通常采取的安全措施包括身份鑒別、訪問(wèn)控制、數(shù)據(jù)加密、數(shù)據(jù)驗(yàn)證、數(shù)字簽名、內(nèi)容過(guò)濾、日志審計(jì)、應(yīng)急響應(yīng)、災(zāi)難恢復(fù)等。</p><p>　　1.1.2 網(wǎng)絡(luò)安全的屬性</p><p>　　網(wǎng)絡(luò)安全具有三個(gè)基本屬性。</p><p><b>　　1. 機(jī)密性</b&g

48、t;</p><p>　　機(jī)密性是指保證信息與信息系統(tǒng)不被非授權(quán)者所獲取與使用，主要防范措施是密碼技術(shù)。</p><p>　　在網(wǎng)絡(luò)系統(tǒng)的各個(gè)層次上有不同的機(jī)密性及相應(yīng)的防范措施。在物理層，要保證系統(tǒng)實(shí)體不以電磁的方式（電磁輻射、電磁泄漏）向外泄漏信息，主要的防范措施是電磁屏蔽技術(shù)、加密干擾技術(shù)等。在運(yùn)行層面，要保障系統(tǒng)依據(jù)授權(quán)提供服務(wù)，使系統(tǒng)任何時(shí)候不被非授權(quán)人所使用，對(duì)黑客入侵、口令攻

49、擊、用戶權(quán)限非法提升、資源非法使用等采取漏洞掃描、隔離、防火墻、訪問(wèn)控制、入侵檢測(cè)、審計(jì)取證等防范措施，這類屬性有時(shí)也稱為可控性。在數(shù)據(jù)處理、傳輸層面，要保證數(shù)據(jù)在傳輸、存儲(chǔ)過(guò)程中不被非法獲取、解析，主要防范措施是數(shù)據(jù)加密技術(shù)。</p><p><b>　　2. 完整性</b></p><p>　　完整性是指信息是真實(shí)可信的，其發(fā)布者不被冒充，來(lái)源不被偽造，內(nèi)容不被篡

50、改，主要防范措施是校驗(yàn)與認(rèn)證技術(shù)。</p><p>　　在運(yùn)行層面，要保證數(shù)據(jù)在傳輸、存儲(chǔ)等過(guò)程中不被非法修改，防范措施是對(duì)數(shù)據(jù)的截獲、篡改與再送采取完整性標(biāo)識(shí)的生成與檢驗(yàn)技術(shù)。要保證數(shù)據(jù)的發(fā)送源頭不被偽造，對(duì)冒充信息發(fā)布者的身份、虛假信息發(fā)布來(lái)源采取身份認(rèn)證技術(shù)、路由認(rèn)證技術(shù)，這類屬性也可稱為真實(shí)性。</p><p><b>　　3. 可用性</b></p&g

51、t;<p>　　可用性是指保證信息與信息系統(tǒng)可被授權(quán)人正常使用，主要防范措施是確保信息與信息系統(tǒng)處于一個(gè)可靠的運(yùn)行狀態(tài)之下。</p><p>　　在物理層，要保證信息系統(tǒng)在惡劣的工作環(huán)境下能正常運(yùn)行，主要防范措施是對(duì)電磁炸彈、信號(hào)插入采取抗干擾技術(shù)、加固技術(shù)等。在運(yùn)行層面，要保證系統(tǒng)時(shí)刻能為授權(quán)人提供服務(wù)，對(duì)網(wǎng)絡(luò)被阻塞、系統(tǒng)資源超負(fù)荷消耗、病毒、黑客等導(dǎo)致系統(tǒng)崩潰或宕機(jī)等情況采取過(guò)載保護(hù)、防范拒絕服

52、務(wù)攻擊、生存技術(shù)等防范措施。保證系統(tǒng)的可用性，使得發(fā)布者無(wú)法否認(rèn)所發(fā)布的信息內(nèi)容，接收者無(wú)法否認(rèn)所接收的信息內(nèi)容，對(duì)數(shù)據(jù)抵賴采取數(shù)字簽名防范措施，這類屬性也稱為抗否認(rèn)性。</p><p>　　從上面的分析可以看出，維護(hù)信息載體的安全與維護(hù)信息自身的安全兩個(gè)方面都含有機(jī)密性、完整性、可用性這些重要屬性。</p><p>　　1.1.3 網(wǎng)絡(luò)安全層次結(jié)構(gòu)</p><p&g

53、t;　　國(guó)際標(biāo)準(zhǔn)化組織在開(kāi)放系統(tǒng)互連標(biāo)準(zhǔn)中定義了７個(gè)層次的網(wǎng)絡(luò)參考模型，它們分別是物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層和應(yīng)用層。不同的網(wǎng)絡(luò)層次之間的功能雖然有一定的交叉，但是基本上是不同的。例如，數(shù)據(jù)鏈路層負(fù)責(zé)建立點(diǎn)到點(diǎn)通信，網(wǎng)絡(luò)層負(fù)責(zé)尋徑，傳輸層負(fù)責(zé)建立端到端的通信信道。從安全角度來(lái)看，各層能提供一定的安全手段，針對(duì)不同層的安全措施是不同的。</p><p>　　要對(duì)網(wǎng)絡(luò)安全服務(wù)所屬的協(xié)議層次進(jìn)行

54、分析，一個(gè)單獨(dú)的層次無(wú)法提供全部的網(wǎng)絡(luò)安全服務(wù)，每個(gè)層次都能做出自己的貢獻(xiàn)。</p><p>　　在物理層，可以在通信線路上采用某些技術(shù)使得搭線偷聽(tīng)變得不可能或者容易被檢測(cè)出。</p><p>　　在數(shù)據(jù)鏈路層，點(diǎn)對(duì)點(diǎn)的鏈路可能采用通信保密機(jī)進(jìn)行加密和解密，當(dāng)信息離開(kāi)一臺(tái)機(jī)器時(shí)進(jìn)行加密，而進(jìn)入另外一臺(tái)機(jī)器時(shí)進(jìn)行解密。所有的細(xì)節(jié)可以全部由底層硬件實(shí)現(xiàn)，高層根本無(wú)法察覺(jué)。但是這種方案無(wú)法適應(yīng)需

55、要經(jīng)過(guò)多個(gè)路由器的通信信道，因?yàn)樵诿總€(gè)路由器上都需要進(jìn)行加密和解密，在這些路由器上會(huì)出現(xiàn)潛在的安全隱患，在開(kāi)放網(wǎng)絡(luò)環(huán)境中并不能確定每個(gè)路由器都是安全的。當(dāng)然，鏈路加密無(wú)論在什么時(shí)候都是很容易而且有效的，也被經(jīng)常使用，但是在Internet環(huán)境中并不完全適用。</p><p>　　在網(wǎng)絡(luò)層，使用防火墻技術(shù)處理信息在內(nèi)外網(wǎng)絡(luò)邊界的流動(dòng)，確定來(lái)自哪些地址的信息可能或者禁止訪問(wèn)哪些目的地址的主機(jī)。</p>

56、<p>　　在傳輸層，這個(gè)連接可能被端到端的加密，也就是進(jìn)程到進(jìn)程間的加密。雖然這些解決方案都有一定的作用，并且有很多人正在試圖提高這些技術(shù)，但是他們都不能提出一種充分通用的辦法來(lái)解決身份認(rèn)證和不可否認(rèn)問(wèn)題。這些問(wèn)題必須要在應(yīng)用層解決。</p><p>　　應(yīng)用層的安全主要是指針對(duì)用戶身份進(jìn)行認(rèn)證并且建立起安全的通信信道。有很多針對(duì)具體應(yīng)用的安全方案，它們能夠有效地解決諸如電子郵件、HTTP等特定應(yīng)用的

57、安全問(wèn)題，能夠提供包括身份認(rèn)證、不可否認(rèn)、數(shù)據(jù)保密、數(shù)據(jù)完整性檢查乃至訪問(wèn)控制等功能。但是在應(yīng)用層并沒(méi)有一個(gè)統(tǒng)一的安全方案，通用安全服務(wù)GSSAPI的出現(xiàn)試圖將安全服務(wù)進(jìn)行抽象，為上層應(yīng)用提供通用接口。在GSSAPI接口下可以采用各種不同的安全機(jī)制來(lái)實(shí)現(xiàn)這些服務(wù)。</p><p>　　總結(jié)前面的討論，可以用圖1.1來(lái)表示網(wǎng)絡(luò)安全層次。</p><p>　　圖1.1 網(wǎng)絡(luò)安全層次圖&l

58、t;/p><p>　　1.1.4 網(wǎng)絡(luò)安全模型</p><p>　　圖1.2給出了網(wǎng)絡(luò)安全模型，報(bào)文從源站經(jīng)網(wǎng)絡(luò)（Internet）送至目的站，源站和目的站是處理的兩個(gè)主體，它們必須協(xié)同處理這個(gè)交換。建立邏輯信息通道的目的是確定從源站經(jīng)Internet到目的站的路由以及兩個(gè)主體協(xié)同使用諸如TCP/IP的通道協(xié)議。</p><p>　　圖1.2 網(wǎng)絡(luò)安全模型</

59、p><p>　　為了在開(kāi)放網(wǎng)絡(luò)環(huán)境中保護(hù)信息的傳輸，需要提供安全機(jī)制和安全服務(wù)，主要包含兩個(gè)部分：一部分是對(duì)發(fā)送的信息進(jìn)行與安全相關(guān)的轉(zhuǎn)換。例如，報(bào)文的加密，使開(kāi)放網(wǎng)絡(luò)對(duì)加密的報(bào)文不可讀；又如附加一些基于報(bào)文內(nèi)容的碼，用來(lái)驗(yàn)證發(fā)送者的身份。另一部分是由兩個(gè)主體共享的秘密信息，而對(duì)開(kāi)放網(wǎng)絡(luò)是保密的。例如，用以加密轉(zhuǎn)換的密鑰，用于發(fā)送前的加密和接收前的解密。</p><p>　　為了完成安全的處理

60、，常常需要可信的第三方。例如，第三方可負(fù)責(zé)為兩個(gè)主體分發(fā)秘密信息，而對(duì)開(kāi)放網(wǎng)絡(luò)是保密的；又如，需要第三方來(lái)仲裁兩個(gè)主體在報(bào)文傳輸?shù)纳矸菡J(rèn)證的爭(zhēng)執(zhí)。</p><p>　　歸納起來(lái)，在設(shè)計(jì)網(wǎng)絡(luò)安全系統(tǒng)時(shí)，該網(wǎng)絡(luò)安全模型應(yīng)完成4個(gè)基本任務(wù)：</p><p>　　（1） 設(shè)計(jì)一個(gè)算法以實(shí)現(xiàn)和安全有關(guān)的轉(zhuǎn)換。</p><p>　?。?） 產(chǎn)生一個(gè)秘密信息用于設(shè)計(jì)的算法。<

61、;/p><p>　?。?） 開(kāi)發(fā)一個(gè)分發(fā)和共享秘密信息的方法。</p><p>　?。?） 確定兩個(gè)主體使用的協(xié)議，用于使用秘密算法與秘密信息以得到特定的安全服務(wù)。</p><p>　　圖1.2的網(wǎng)絡(luò)安全模型雖是一個(gè)通用的模型，但它并不能涵蓋所有情況。圖1.3給出了一個(gè)網(wǎng)絡(luò)訪問(wèn)安全模型，該模型考慮了黑客攻擊、病毒與蠕蟲等的非授權(quán)訪問(wèn)。黑客攻擊可以形成兩類威脅：一類是信息

62、訪問(wèn)威脅，即非授權(quán)用戶截獲或修改數(shù)據(jù)；另一類是服務(wù)威脅，即服務(wù)流激增以禁止合法用戶使用。病毒和蠕蟲是軟件攻擊的兩個(gè)實(shí)例，這類攻擊通常是通過(guò)移動(dòng)存儲(chǔ)介質(zhì)引入系統(tǒng)，并隱藏在有用軟件中；也可通過(guò)網(wǎng)絡(luò)接入系統(tǒng)。</p><p>　　圖1.3 網(wǎng)絡(luò)訪問(wèn)安全模型</p><p>　　在圖1.3中，對(duì)非授權(quán)訪問(wèn)的安全機(jī)制可分為兩類：第一類是網(wǎng)閘功能，包括基于口令的登錄過(guò)程以拒絕所有非授權(quán)訪問(wèn)以及屏蔽邏

63、輯以檢測(cè)、拒絕病毒、蠕蟲和其他類似攻擊；第二類是內(nèi)部的安全控制，一旦非授權(quán)用戶或軟件攻擊得到訪問(wèn)權(quán)，第二道防線將對(duì)其進(jìn)行防御，包括各種內(nèi)部控制的監(jiān)控和分析，以檢測(cè)入侵者。</p><p>　　1.2 安全的歷史回顧</p><p>　　隨著社會(huì)和技術(shù)的進(jìn)步，信息安全也有一個(gè)發(fā)展的過(guò)程，了解信息安全的發(fā)展歷史，可使人們更全面地解決當(dāng)前遇到的各種信息安全問(wèn)題。粗略地，可把信息安全分成3個(gè)階段

64、，即通信安（comsec）、計(jì)算機(jī)安全（compusec）和網(wǎng)絡(luò)安全（netsec）。</p><p>　　1.2.1 通信安全</p><p>　　早期，所有的資產(chǎn)都是物理的，重要的信息也是物理的，如古代刻在石頭上，到后來(lái)寫在紙上。為了保護(hù)這些資產(chǎn)，只需要用墻、護(hù)城河、警衛(wèi)等物理安全措施。信息傳遞通常由信使完成，需要時(shí)可帶有警衛(wèi)。除非用物理的掠奪，否則就無(wú)法得到信息。</p>

65、;<p>　　但是，物理安全存在缺陷，如果報(bào)文在傳遞中被截獲，則報(bào)文的信息就會(huì)被敵人知悉。因此就產(chǎn)生了通信安全的問(wèn)題。早在公元前600年Julius Caesar生成了Caesar密碼，以使報(bào)文即使被截獲也無(wú)法讀出。</p><p>　　這個(gè)概念一直延續(xù)到第二次世界大戰(zhàn)，德國(guó)人使用一種稱為Enigma的機(jī)器來(lái)加密報(bào)文，用于軍隊(duì)，當(dāng)時(shí)他們認(rèn)為Enigma是不可破譯的。確實(shí)是這樣，如果使用恰當(dāng)，要破譯它

66、非常困難。但經(jīng)過(guò)一段時(shí)間發(fā)現(xiàn)，由于某些操作員的使用差錯(cuò)，Enigma被破譯了。</p><p>　　軍事通信也使用編碼技術(shù)，將每個(gè)字編碼后放入報(bào)文傳輸。在戰(zhàn)爭(zhēng)期間，日本人曾用編碼后的字通信，即使美國(guó)人截獲了這些編碼也難以識(shí)別該報(bào)文。在準(zhǔn)備Midway之戰(zhàn)時(shí)，日本人曾傳送編碼后的報(bào)文，使日美之間在編碼和破譯方面展開(kāi)了一場(chǎng)有關(guān)通信安全的對(duì)抗。</p><p>　　為了防止敵人竊聽(tīng)語(yǔ)音報(bào)文，美國(guó)

67、軍隊(duì)曾使用一種Navaho碼的步話機(jī)，Navaho用本土語(yǔ)言傳送報(bào)文，敵人即使收聽(tīng)到無(wú)線電通信，也無(wú)法懂得報(bào)文的意思。</p><p>　　第二次世界大戰(zhàn)后，蘇聯(lián)間諜曾經(jīng)使用一次填充來(lái)保護(hù)傳遞的信息。一次填充的方法是在每一頁(yè)上用帶有隨機(jī)數(shù)的文字填充，每一頁(yè)只用一個(gè)報(bào)文。這個(gè)加密方案如果使用正確則難以破譯。但是由于他們的使用方法不正確（重用一次填充），結(jié)果某些報(bào)文被破譯出來(lái)。</p><p>

68、;　　從上面這些事例可知，通信安全的主要目的是解決數(shù)據(jù)傳輸?shù)陌踩珕?wèn)題，主要的措施是密碼技術(shù)。</p><p>　　除非不正確的使用密碼系統(tǒng)，一般來(lái)說(shuō)，好的密碼難以破譯。因此人們企圖尋找別的方法來(lái)截獲加密傳輸?shù)男畔?。?世紀(jì)50年代發(fā)現(xiàn)了尋找在電話線上的信號(hào)來(lái)達(dá)到獲取報(bào)文的目的。如圖1.4所示。所有的電子系統(tǒng)都會(huì)釋放電子輻射，包括電傳機(jī)和正在使用發(fā)送加密報(bào)文的密碼機(jī)。密碼機(jī)將報(bào)文加密，并且通過(guò)電話線發(fā)送出去?？墒前l(fā)

69、現(xiàn)代表原始信號(hào)的電信號(hào)也能在電話線上發(fā)現(xiàn)，這意味著可用某種好的設(shè)備來(lái)恢復(fù)原始信號(hào)。這個(gè)問(wèn)題導(dǎo)致美國(guó)開(kāi)發(fā)一個(gè)稱為TEMPEST的計(jì)劃，它制定了用于十分敏感環(huán)境的計(jì)算機(jī)系統(tǒng)電子輻射標(biāo)準(zhǔn)。其目的是降低輻射以免信號(hào)被截獲。</p><p>　　圖1.4 旁路密碼的電子信號(hào)</p><p>　　1.2.2 計(jì)算機(jī)安全</p><p>　　隨著計(jì)算機(jī)技術(shù)及其應(yīng)用的發(fā)展，各個(gè)

70、單位的大部分信息資產(chǎn)以電子形式移植到計(jì)算機(jī)上。計(jì)算機(jī)的使用愈來(lái)愈方便，更多的人用交互會(huì)話的方式訪問(wèn)信息。計(jì)算機(jī)系統(tǒng)上的信息對(duì)任何訪問(wèn)系統(tǒng)的人都是可訪問(wèn)的。</p><p>　　在3世紀(jì)70年代，David Bell和Leonard La Padula開(kāi)發(fā)了一個(gè)安全計(jì)算機(jī)的操作模型。該模型是基于政府概念的各種級(jí)別分類信息（一般、秘密、機(jī)密、絕密）和各種許可級(jí)別。如果主體的許可級(jí)別高于文件（客體）的分類級(jí)別，則主體能

71、訪問(wèn)客體。如果主體的許可級(jí)別低于文件（客體）的分類級(jí)別，則主體不能訪問(wèn)客體。</p><p>　　這個(gè)模型的概念進(jìn)一步發(fā)展，于283年導(dǎo)出了美國(guó)國(guó)防部標(biāo)準(zhǔn)530.28——可信計(jì)算系統(tǒng)評(píng)估準(zhǔn)則（the Trusted Computing System Evaluation Criteria， TCSEC），即桔皮書。TCSEC共分為如下4類7級(jí)：</p><p>　?。?） D級(jí)，安全保護(hù)欠

72、缺級(jí)。</p><p>　?。?） C1級(jí)，自主安全保護(hù)級(jí)。</p><p>　?。?） C2級(jí)，受控存取保護(hù)級(jí)。</p><p>　　（4） B1級(jí)，標(biāo)記安全保護(hù)級(jí)。</p><p>　?。?） B2級(jí)，結(jié)構(gòu)化保護(hù)級(jí)。</p><p>　　（6） B3級(jí)，安全域保護(hù)級(jí)。</p><p>　?。?/p>

73、7） A1級(jí)，驗(yàn)證設(shè)計(jì)級(jí)。</p><p>　　桔皮書對(duì)每一級(jí)都定義了功能要求和保證要求，也就是說(shuō)要符合某一安全級(jí)要求，必須既滿足功能要求，又滿足保證要求。為了使計(jì)算機(jī)系統(tǒng)達(dá)到相應(yīng)的安全要求，計(jì)算機(jī)廠商要花費(fèi)很長(zhǎng)時(shí)間和很多資金。有時(shí)當(dāng)某產(chǎn)品通過(guò)級(jí)別論證時(shí)，該產(chǎn)品已經(jīng)過(guò)時(shí)了。計(jì)算機(jī)技術(shù)發(fā)展得如此之迅速，當(dāng)老的系統(tǒng)取得安全認(rèn)證之前新版的操作系統(tǒng)和硬件已經(jīng)出現(xiàn)。</p><p>　　歐洲四國(guó)（荷

74、蘭、法國(guó)、英國(guó)、德國(guó)）在吸收了TCSEC的成功經(jīng)驗(yàn)基礎(chǔ)上，于289年聯(lián)合提出了信息技術(shù)安全評(píng)估準(zhǔn)則（Information Technology Security Evaluation Criteria，ITSEC），俗稱白皮書，其中首次提出了信息安全的機(jī)密性、完整性、可用性的概念，把可信計(jì)算機(jī)的概念提高到可信信息技術(shù)的高度。</p><p>　　之后，由美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所（NIST）、國(guó)家安全局（NSA）、

75、歐洲四國(guó)以及加拿大等6國(guó)7方聯(lián)合提出了通用安全評(píng)估準(zhǔn)則（Command Criteria for IT Security Evaluation, CC）,并于291年宣布，295年發(fā)布正式文件。它的基礎(chǔ)是歐洲的白皮書ITSEC、美國(guó)的（包括桔皮書TCSEC在內(nèi)的）新的聯(lián)邦評(píng)估準(zhǔn)則、加拿大的CTCPEC以及國(guó)際標(biāo)準(zhǔn)化組織的ISO/SCITWGS的安全評(píng)估標(biāo)準(zhǔn)。</p><p>　　我國(guó)國(guó)家質(zhì)量技術(shù)監(jiān)督局也于299年

76、發(fā)布了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（Classified Criteria for Security Protection of Computer Information System）的國(guó)家標(biāo)準(zhǔn)，序號(hào)為GB17859-299，評(píng)估準(zhǔn)則的制定為我們?cè)u(píng)估、開(kāi)發(fā)、研究計(jì)算機(jī)系統(tǒng)的安全提供了指導(dǎo)準(zhǔn)則。</p><p>　　計(jì)算機(jī)安全的主要目的是解決計(jì)算機(jī)信息載體及其運(yùn)行的安全問(wèn)題，主要措施是根據(jù)主、客體的安全級(jí)別

77、，正確實(shí)施主體對(duì)客體的訪問(wèn)控制。</p><p>　　1.2.3 網(wǎng)絡(luò)安全</p><p>　　當(dāng)計(jì)算機(jī)聯(lián)成網(wǎng)絡(luò)以后，新的安全問(wèn)題出現(xiàn)了，老的安全問(wèn)題也以不同的形式出現(xiàn)。例如，各種局域網(wǎng)、城域網(wǎng)的安全不同于以往的遠(yuǎn)距離點(diǎn)到點(diǎn)的通信安全；又如，高速網(wǎng)絡(luò)以及由很多連接器連到一個(gè)公共的通信介質(zhì)，原有的專用密碼機(jī)已經(jīng)完全不能解決問(wèn)題；再如，有很多用戶從不同的系統(tǒng)經(jīng)過(guò)網(wǎng)絡(luò)訪問(wèn)，而沒(méi)有單個(gè)計(jì)算機(jī)的集

78、中控制。</p><p>　　隨著Internet的發(fā)展及其普及應(yīng)用，如何解決在開(kāi)放網(wǎng)絡(luò)環(huán)境下的安全問(wèn)題更成為迫切需要解決的問(wèn)題。如上面所述的IP安全、DNS安全、拒絕服務(wù)與分布拒絕服務(wù)攻擊等。</p><p>　　桔皮書并不解決聯(lián)網(wǎng)計(jì)算機(jī)的問(wèn)題，事實(shí)上，網(wǎng)絡(luò)的訪問(wèn)在桔皮書的認(rèn)證中是無(wú)效的。為此，美國(guó)國(guó)防部于287年制定了TCSEC的可信網(wǎng)絡(luò)解釋TNI，又稱紅皮書。除了滿足桔皮書的要求外，

79、紅皮書還企圖解決計(jì)算機(jī)的聯(lián)網(wǎng)環(huán)境的安全問(wèn)題。紅皮書主要說(shuō)明聯(lián)網(wǎng)環(huán)境的安全功能要求，較少闡明保證要求。</p><p>　　網(wǎng)絡(luò)安全的主要目的是解決在分布網(wǎng)絡(luò)環(huán)境中對(duì)信息載體及其運(yùn)行提供的安全保護(hù)問(wèn)題，主要措施是提供完整的信息安全保障體系，包括防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)。</p><p>　　1.3 網(wǎng)絡(luò)安全處理1.3.1 網(wǎng)絡(luò)安全綜合處理</p><p>　　顯而

80、易見(jiàn)，單一的網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品無(wú)法解決網(wǎng)絡(luò)安全的全部問(wèn)題。網(wǎng)絡(luò)安全需要，從體系結(jié)構(gòu)的角度，用系統(tǒng)工程的方法，根據(jù)聯(lián)網(wǎng)環(huán)境及其應(yīng)用的實(shí)際需求提出綜合處理的安全解決方案。下面簡(jiǎn)要地分析常見(jiàn)的一些安全技術(shù)、安全產(chǎn)品各自解決的問(wèn)題。</p><p><b>　　1. 防病毒軟件</b></p><p>　　防病毒軟件對(duì)好的安全程序是必需的部分。如果恰當(dāng)?shù)嘏渲煤蛨?zhí)行，能

81、減少一個(gè)組織對(duì)惡意程序的暴露。然而，防病毒軟件并不能對(duì)所有惡意程序的防護(hù)都有效。它既不能防止入侵者借用合法程序得到系統(tǒng)的訪問(wèn)，也不能防止合法用戶企圖得到超出其權(quán)限的訪問(wèn)。</p><p><b>　　2. 訪問(wèn)控制</b></p><p>　　組織內(nèi)的每一個(gè)計(jì)算機(jī)系統(tǒng)具有基于用戶身份的訪問(wèn)權(quán)限的控制。假如系統(tǒng)配置正確，文件的訪問(wèn)許可權(quán)配置合理，文件訪問(wèn)控制能限制合法用

82、戶進(jìn)行超出其權(quán)限的訪問(wèn)。但是文件訪問(wèn)控制不能阻止一些人利用系統(tǒng)的漏洞，得到管理員一樣的權(quán)限來(lái)訪問(wèn)系統(tǒng)及讀系統(tǒng)的文件。訪問(wèn)控制系統(tǒng)甚至允許跨組織進(jìn)行系統(tǒng)訪問(wèn)控制的配置，對(duì)訪問(wèn)控制系統(tǒng)而言，這樣的攻擊看起來(lái)好像一個(gè)合法的管理員試圖訪問(wèn)賬戶允許訪問(wèn)的文件。</p><p><b>　　3. 防火墻</b></p><p>　　防火墻是用于網(wǎng)絡(luò)的訪問(wèn)控制設(shè)備，有助于幫助保護(hù)組

83、織內(nèi)部的網(wǎng)絡(luò)，以防外部攻擊。本質(zhì)上講防火墻是邊界安全產(chǎn)品，存在于內(nèi)部網(wǎng)和外部網(wǎng)的邊界。因此，只要配置合理，防火墻是必需的安全設(shè)備。然而，防火墻不能防止攻擊者使用合理的連接來(lái)攻擊系統(tǒng)。例如，一個(gè)Web服務(wù)器允許來(lái)自外部的訪問(wèn)，攻擊者可以利用Web服務(wù)器軟件的漏洞，這時(shí)防火墻將允許這個(gè)攻擊進(jìn)入，因?yàn)閃eb服務(wù)器應(yīng)該接收這個(gè)Web連接。防火墻對(duì)內(nèi)部用戶也沒(méi)有防備作用，因?yàn)閮?nèi)部用戶已經(jīng)在內(nèi)部網(wǎng)中。</p><p><

84、;b>　　4. 智能卡</b></p><p>　　對(duì)身份進(jìn)行鑒別可以根據(jù)你知道什么（如口令）、你有什么（如智能卡）、你是什么（如指紋）或它們的組合來(lái)完成。利用口令來(lái)鑒別身份是傳統(tǒng)采用的鑒別方法，但這不是最好的方法，因?yàn)榭诹羁刹聹y(cè)或留在某個(gè)地方被他人知道，因此人們開(kāi)發(fā)了另外一些鑒別方法。智能卡是一種較安全的鑒別方法，可減少人們猜測(cè)口令的風(fēng)險(xiǎn)。然而如僅僅用它來(lái)鑒別身份，如果智能卡被偷，則小偷可偽裝

85、成網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)的合法用戶。對(duì)有漏洞的系統(tǒng)，智能卡也不能防止攻擊，因?yàn)橹悄芸ǖ恼_鑒別依賴于用戶確實(shí)使用正確的系統(tǒng)進(jìn)入路徑。</p><p><b>　　5. 仿生網(wǎng)絡(luò)安全</b></p><p>　　仿生網(wǎng)絡(luò)安全是屬于你是什么的鑒別機(jī)制，也是一種減少口令猜測(cè)網(wǎng)絡(luò)的機(jī)制。如同其他的鑒別方法，仿生網(wǎng)絡(luò)安全的有效也依賴于用戶通過(guò)正確的進(jìn)入路徑訪問(wèn)系統(tǒng)。如果攻擊者能發(fā)現(xiàn)繞

86、過(guò)仿生網(wǎng)絡(luò)安全系統(tǒng)的通路，則仿生網(wǎng)絡(luò)安全系統(tǒng)也將失效。</p><p><b>　　6. 入侵檢測(cè)</b></p><p>　　入侵檢測(cè)系統(tǒng)曾被宣傳成能完全解決網(wǎng)絡(luò)安全問(wèn)題，有了它就無(wú)須再保護(hù)我們的文件和系統(tǒng)，它可以檢測(cè)出何時(shí)、何人在入侵，并且阻止它的攻擊。事實(shí)上，沒(méi)有一個(gè)入侵檢測(cè)系統(tǒng)是完全安全的，它也不能檢測(cè)合法用戶進(jìn)入超權(quán)限的信息訪問(wèn)。</p>&l

87、t;p><b>　　7. 策略管理</b></p><p>　　安全策略和過(guò)程是一個(gè)好的安全程序的重要組成部分，它對(duì)網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)的策略管理也同樣重要。策略管理系統(tǒng)會(huì)對(duì)任何不符合安全策略的系統(tǒng)給出提醒。然而，策略管理并沒(méi)有考慮系統(tǒng)的漏洞或應(yīng)用軟件的錯(cuò)誤配置，從而對(duì)它們的發(fā)生起不到管理作用。計(jì)算機(jī)系統(tǒng)的策略管理也無(wú)法保證用戶不會(huì)留下口令或?qū)⒖诹罱o非授權(quán)用戶。</p>&l

88、t;p><b>　　8. 漏洞掃描</b></p><p>　　對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行漏洞掃描可幫助組織發(fā)現(xiàn)入侵者潛在的進(jìn)入點(diǎn)。然而，漏洞掃描本身并不能起到保護(hù)計(jì)算機(jī)系統(tǒng)的作用，并對(duì)每個(gè)發(fā)現(xiàn)的漏洞及時(shí)加補(bǔ)丁。漏洞掃描不檢測(cè)合法用戶不合適的訪問(wèn)，也不檢測(cè)已經(jīng)在系統(tǒng)中的入侵者。</p><p><b>　　9. 密碼</b></p>&

89、lt;p>　　密碼是通信安全最重要的機(jī)制，它能保護(hù)傳輸中的信息。如果將加密后的文件進(jìn)行存儲(chǔ)，則可保護(hù)存儲(chǔ)的信息。然而，合法用戶必須訪問(wèn)這些文件，如果他們出示同樣的密碼算法的密鑰，而密碼系統(tǒng)并不區(qū)分合法用戶和非法用戶。因此，密碼本身并不提供安全措施，它們必須由密鑰控制以及將系統(tǒng)作為整體來(lái)管理。</p><p>　　10. 物理安全機(jī)制</p><p>　　有多種物理安全的保護(hù)機(jī)制可以保

90、護(hù)計(jì)算機(jī)系統(tǒng)及信息。物理安全機(jī)制應(yīng)確保用戶方便地訪問(wèn)計(jì)算機(jī)系統(tǒng)和獲得授權(quán)范圍內(nèi)的信息。因此，物理安全無(wú)法保護(hù)利用合法訪問(wèn)的攻擊以及通過(guò)網(wǎng)絡(luò)的旁路攻擊。</p><p>　　上面列舉的網(wǎng)絡(luò)安全技術(shù)與產(chǎn)品都在一定條件下解決了相關(guān)的安全問(wèn)題，但沒(méi)有單一的網(wǎng)絡(luò)安全技術(shù)與產(chǎn)品能解決網(wǎng)絡(luò)安全的全部問(wèn)題。后面的章節(jié)將闡述綜合處理網(wǎng)絡(luò)安全的解決方案。</p><p>　　1.3.2 網(wǎng)絡(luò)安全處理過(guò)程&l

91、t;/p><p>　　網(wǎng)絡(luò)安全處理過(guò)程是一個(gè)周而復(fù)始的連續(xù)過(guò)程，包含5個(gè)關(guān)鍵的階段，如圖1.5所示。</p><p>　　圖1.5 網(wǎng)絡(luò)安全的處理過(guò)程</p><p><b>　　1. 評(píng)估階段</b></p><p>　　網(wǎng)絡(luò)安全處理過(guò)程始于評(píng)估階段。評(píng)估階段要回答以下幾個(gè)基本問(wèn)題：</p><p>

92、;　　（1） 一個(gè)組織的信息資產(chǎn)的價(jià)值。</p><p>　?。?） 對(duì)資產(chǎn)的威脅及網(wǎng)絡(luò)系統(tǒng)的漏洞。</p><p>　　（3） 風(fēng)險(xiǎn)對(duì)該組織的重要性。</p><p>　　（4） 如何將風(fēng)險(xiǎn)降低到可接受的水平。</p><p><b>　　2. 策略制定階段</b></p><p>　　在評(píng)估基

93、礎(chǔ)上要確定安全策略及其過(guò)程。該階段要確定該組織期望的安全狀態(tài)以及實(shí)施期間需要做的工作。沒(méi)有正確的安全策略，就不可能制定有效的設(shè)計(jì)和實(shí)施網(wǎng)絡(luò)安全的計(jì)劃。</p><p><b>　　3. 實(shí)施階段</b></p><p>　　安全策略的實(shí)施包括技術(shù)工具、物理控制，以及安全職員招聘的鑒別和實(shí)施。在實(shí)施階段需要改變系統(tǒng)的配置，因此安全程序的實(shí)施也需介入系統(tǒng)和網(wǎng)絡(luò)管理員。&l

94、t;/p><p><b>　　4. 培訓(xùn)階段</b></p><p>　　為了保護(hù)一個(gè)組織的敏感信息，需要該組織內(nèi)全體員工介入。而培訓(xùn)是為員工提供必需的安全信息和知識(shí)的機(jī)制。培訓(xùn)有多樣形式，如短期授課、新聞報(bào)導(dǎo)以及在公共場(chǎng)所張貼有關(guān)安全信息等。</p><p><b>　　5. 審計(jì)階段</b></p><

95、p>　　審計(jì)是網(wǎng)絡(luò)安全過(guò)程的最后階段。該階段是要保證安全策略規(guī)定的所有安全控制是否得到正確的配置。</p><p>　　1.4 密碼學(xué)1.4.1 密碼學(xué)的基本原理</p><p>　　密碼學(xué)是以研究數(shù)據(jù)保密為目的，對(duì)存儲(chǔ)或者傳輸?shù)男畔⒉扇∶孛艿慕粨Q以防止第三者對(duì)信息的竊取的技術(shù)。被變換的信息稱為明文（plaintext）,它可以是一段有意義的文字或者數(shù)據(jù)；變換過(guò)后的形式稱為密文

96、（ciphertext），密文應(yīng)該是一串雜亂排列的數(shù)據(jù)，從字面上沒(méi)有任何含義。</p><p>　　從明文到密文的變換過(guò)程稱為加密（encryption）,變換本身是一個(gè)以加密密鑰k為參數(shù)的函數(shù)，記作Ek(P)。密文經(jīng)過(guò)通信信道的傳輸?shù)竭_(dá)目的地后需要還原成有意義的明文才能被通信接收方理解，將密文C還原為明文P的變換過(guò)程稱為解密或者脫密（decryption）,該變換是以解密密鑰k′為參數(shù)的函數(shù)，記作Dk′(C)。

97、密碼學(xué)加密解密模型如圖1.6所示。</p><p>　　圖1.6 密碼學(xué)模型</p><p>　　在傳統(tǒng)密碼體制中加密和解密采用的是同一密鑰，即k=k′，并且Dk’(Ek(P))=P，稱為對(duì)稱密鑰密碼系統(tǒng)(Symmetric Key Cryptography)。現(xiàn)代密碼體制中加密和解密采用不同的密鑰，稱為非對(duì)稱密鑰密碼系統(tǒng)(Asymmetric Key Cryptography)，每個(gè)通

98、信方均需要有k、k’兩個(gè)密鑰，在進(jìn)行保密通信時(shí)通常將加密密鑰k公開(kāi)(稱為公鑰Public Key)，而保留解密密鑰k’(稱為私鑰Private Key)，所以也稱為公共密鑰密碼系統(tǒng)(Public Key Cryptography)。</p><p>　　傳統(tǒng)密碼系統(tǒng)中最常見(jiàn)的算法有DES、IDEA等。DES(Data Encryption Standard，數(shù)據(jù)加密標(biāo)準(zhǔn))算法是由IBM開(kāi)發(fā)，并于297年被美國(guó)政府

99、采納為非機(jī)密信息的加密標(biāo)準(zhǔn)，它的原始形式已經(jīng)在295年被攻破，但是修改后的形式仍然是有效的；IDEA(International Data Encryption Algorithm，國(guó)際數(shù)據(jù)加密算法)是由Lai和Massey提出的，目前還沒(méi)有發(fā)現(xiàn)有效的攻擊方法。</p><p>　　密碼學(xué)研究包含兩部分內(nèi)容：一是加密算法的設(shè)計(jì)和研究；一是密碼分析，即密碼破譯技術(shù)。在密碼學(xué)模型中，假設(shè)進(jìn)行密碼分析的攻擊者能夠?qū)γ艽a

100、通信進(jìn)行攻擊，能夠被動(dòng)地監(jiān)聽(tīng)通信信道上的所有信息，稱之為被動(dòng)攻擊；他還能夠?qū)νㄐ判诺郎蟼鬏數(shù)南⑦M(jìn)行截取、修改甚至主動(dòng)發(fā)送信息，稱之為主動(dòng)攻擊。攻擊者與報(bào)文接收方的區(qū)別在于他不知道解密密鑰，因此無(wú)法輕易將密文解密還原為明文。</p><p>　　公共密鑰方案較對(duì)稱密鑰方案處理速度慢，因此，通常把公共密鑰與對(duì)稱密鑰技術(shù)結(jié)合起來(lái)實(shí)現(xiàn)最佳性能，即用公共密鑰技術(shù)在通信雙方之間傳送對(duì)稱密鑰，而用對(duì)稱密鑰來(lái)對(duì)實(shí)際傳輸?shù)臄?shù)據(jù)加

101、密、解密。另外，公鑰加密也用來(lái)對(duì)對(duì)稱密鑰進(jìn)行加密。</p><p>　　在現(xiàn)代密碼學(xué)研究中，對(duì)加密和解密算法一般都是公開(kāi)的，對(duì)于攻擊者來(lái)說(shuō)，只要知道解密密鑰就能夠破譯密文，因此，密鑰設(shè)計(jì)成為核心，密鑰保護(hù)也成為防止攻擊的重點(diǎn)。對(duì)于密鑰分析來(lái)說(shuō)，對(duì)密鑰進(jìn)行窮舉猜測(cè)攻擊是任何密碼系統(tǒng)都無(wú)法避免的，但是，當(dāng)密鑰長(zhǎng)度足夠隨機(jī)時(shí)，應(yīng)使窮舉猜測(cè)實(shí)際上變得不可能。例如，密鑰長(zhǎng)度為256位的加密算法，密鑰空間為2256，對(duì)應(yīng)為1

102、077量級(jí)，如果一臺(tái)計(jì)算機(jī)每秒可以對(duì)密鑰空間進(jìn)行一億次搜索，那么，全部搜索一遍的事件所需的時(shí)間將大于1062年。如果密鑰空間小或者分布具有一定可預(yù)見(jiàn)性，那么，攻擊者就可能利用相關(guān)知識(shí)縮小搜索空間，從而破譯密文。</p><p>　　1.4.2 對(duì)稱密鑰密碼技術(shù)</p><p>　　對(duì)稱密鑰密碼技術(shù)是從傳統(tǒng)的簡(jiǎn)單換位、代替密碼發(fā)展而來(lái)的，自277年美國(guó)頒布DES密碼算法作為美國(guó)數(shù)據(jù)加密標(biāo)準(zhǔn)

103、以來(lái)，對(duì)稱密鑰密碼技術(shù)得到了迅猛發(fā)展，在世界各國(guó)得到廣泛關(guān)注和使用。對(duì)稱密鑰密碼技術(shù)從加密模式上可分為兩類：</p><p><b>　?。?） 序列密碼</b></p><p>　　序列密碼一直是作為軍事和外交場(chǎng)合使用的主要密碼技術(shù)之一，它的主要原理是：通過(guò)有限狀態(tài)機(jī)產(chǎn)生性能優(yōu)良的偽隨機(jī)序列，使用該序列加密信息流，逐位加密得到密文序列，所以，序列密碼算法的安全強(qiáng)度完

104、全取決于它所產(chǎn)生的偽隨機(jī)序列的好壞。</p><p><b>　?。?） 分組密碼</b></p><p>　　分組密碼的工作方式是將明文分成固定長(zhǎng)度的組（塊）（如64位一組），用同一密鑰和算法對(duì)每一塊加密，輸出固定長(zhǎng)度的密文。例如，DES密碼算法的輸入為64位明文，密鑰長(zhǎng)度為56位，密文長(zhǎng)度為64位。</p><p>　　設(shè)計(jì)分組密碼算法的核

105、心技術(shù)是：在相信復(fù)雜函數(shù)可以通過(guò)簡(jiǎn)單函數(shù)迭代若干圈得到的原則下，利用簡(jiǎn)單圈函數(shù)及對(duì)合等運(yùn)算，充分利用非線性運(yùn)算。以DES算法為例，它采用美國(guó)國(guó)家安全局精心設(shè)計(jì)的８?jìng)€(gè)S-Box和P置換，經(jīng)過(guò)16圈迭代，最終產(chǎn)生64位密文，每圈迭代使用的48位子密鑰是由原始的56位大密鑰產(chǎn)生的。</p><p>　　DES算法加密時(shí)把明文以位為單位分成塊，而后密鑰把每一塊明文轉(zhuǎn)化成同樣64位的密文塊。DES可提供7.2×1

106、016個(gè)密鑰，用每微秒可進(jìn)行一次DES加密的機(jī)器來(lái)破譯密碼需300年。采用DES的一個(gè)著名的網(wǎng)絡(luò)安全系統(tǒng)是Kerberos，由MIT開(kāi)發(fā)，是網(wǎng)絡(luò)通信中身份認(rèn)證的工業(yè)上的事實(shí)標(biāo)準(zhǔn)。</p><p>　　因?yàn)閷?duì)稱密碼系統(tǒng)具有加解密速度快、安全強(qiáng)度高等優(yōu)點(diǎn)，在軍事、外交以及商業(yè)應(yīng)用中使用越來(lái)越普遍；由于存在密鑰發(fā)行與管理方面的不足，在提供數(shù)字簽名、身份驗(yàn)證等方面需要與公開(kāi)密鑰密碼系統(tǒng)共同使用，以達(dá)到更好的安全效果。&l

107、t;/p><p>　　1.4.3 公鑰密碼技術(shù)</p><p>　　公鑰技術(shù)是在密碼體制中加密和解密采用兩個(gè)不同的相關(guān)的密鑰的技術(shù)，又稱不對(duì)稱密鑰技術(shù)。公鑰系統(tǒng)的概念是Diffie和Hellman在276年提出的，目前公鑰算法有很多種，共同特點(diǎn)是每個(gè)通信方在進(jìn)行保密通信時(shí)有兩個(gè)相關(guān)的密鑰，一個(gè)公開(kāi)，另一個(gè)保密。公鑰算法比傳統(tǒng)密鑰算法計(jì)算復(fù)雜度高，大量數(shù)據(jù)加密時(shí)傳統(tǒng)加密算法的速度比公鑰加密算法

108、快100~1000倍，因此，公鑰算法常被用來(lái)對(duì)少量關(guān)鍵數(shù)據(jù)（例如傳統(tǒng)加密算法的密鑰）進(jìn)行加密，或者用于數(shù)字簽名。</p><p>　　常用的公鑰算法有Rivest、Shamir和Adleman提出的并以他們的名字首字母命名的RSA算法，它可以實(shí)現(xiàn)加密和數(shù)字簽名功能；E1 Gamal和DSS算法實(shí)現(xiàn)簽名但是沒(méi)有加密；Diffie Hellman算法用于建立共享密鑰，沒(méi)有簽名也沒(méi)有加密，一般與傳統(tǒng)密碼算法共同使用。這

109、些算法復(fù)雜度各不相同，提供的功能也不完全一樣。</p><p>　　使用最廣的公鑰加密算法是RSA。RSA使用兩個(gè)密鑰，一個(gè)為公共密鑰，一個(gè)為專用密鑰。如其中一個(gè)加密，則可用另一個(gè)解密，密鑰長(zhǎng)度從40位到348位可變，加密時(shí)也把明文分成塊，塊的大小可變，但不能超過(guò)密鑰的長(zhǎng)度，RSA算法把每一塊明文轉(zhuǎn)化為與密鑰長(zhǎng)度相同的密文塊。密鑰越長(zhǎng)，加密效果越好，但加密、解密的開(kāi)銷也大，所以要在安全與性能之間折衷考慮，一般64