10.2　网络安全的基本概念 10.2.1　网络安全的重要性计算机网络的广泛应用对社会经济、科学研究、文化的发展产生了重大的影响，同时也不可避免地会带来了一些新的社会、道德、政治与法律问题。Internet技术的发展促进了电子商务技术的成熟与广泛的应用。目前，大量的商业信息与大笔资金正在通过计算机网络在世界各地流通，这已经对世界经济的发展产生了重要和积极的影响。政府上网工程的实施，使得各级政府与各个部门之间越来越多地利用网络进行信息交互，实现办公自动化。所有这一切都说明：网络的应用正在改变着人们的工作方式、生活方式与思维方式，对提高人们的生活质

　量产生了重要的影响。在看到计算机网络的广泛应用对社会发展正面作用的同时，也必须注意到它的负面影响。网络可以使经济、文化、社会、科学、教育等领域信息的获取、传输、处理与利用更加迅速和有效。那么，也必然会使个别坏人可能比较"方便"地利用网络非法获取重要的经济、政治、军事、科技情报，或进行信息欺诈、破坏与网络攻击等犯罪活动。同时，也会出现利用网络发表不负责或损害他人利益的消息，涉及个人隐私法律与道德问题。计算机犯罪正在引起社会的普遍关注，而计算机网络是犯罪分子攻击的重点。计算机犯罪是一种高技术型犯罪，由于其犯罪的隐蔽性，因此会对网络安全构成了很大的威胁。

Internet可以为科学研究人员、学生、公司职员提供很多宝贵的信息，使得人们可以不受地理位置与时间的限制，相互交换信息，合作研究，学习新的知识，了解各国科学、文化的发展情况。同时，人们对Internet上一些不健康的、违背道德规范的信息表示了极大的担忧。一些不道德的Internet用户利用网络发表不负责或损害他人利益的消息，窃取商业情报与科研机密。我们必须意识到，对于大到整个的Internet，小到各个公司的企业内部网与各个大学的校园网，都存在着来自网络内部与外部的威胁。要使网络有序、安全地运行，必须加强网络使用方法、网络安全技术与道德教育，完善网络管理，研究与不断开发新的网络安全技术与产品，同时也要重视"网络社会"中的"道德"与"法律"教育。

同时，我们还应该看到一个问题，那就是存储在计算机中的信息，以及与在网络中传输的信息是电子信息。当有人非法窃取信息时，他并一定需要从计算机中将大量的信息从文件中移出，而只需要执行一个简单的拷贝命令就可以非法获取信息。这就增大了我们对信息被窃取事实的发现、识别、认定的难度，也使网络环境中信息安全问题变得更加复杂。要保证这样一个庞大的信息系统的安全性与可靠性，必然要涉及到人、计算机、网络、管理、法律与法规等一系列问题。网络安全涉及一个系统的概念，它包括了技术、管理与法制环境等多个方面。只有不断地健全有关网络与信息安全的相关法律法规，提高网络管理人员的素质、法律意识与技术水平，

　提高网络用户自觉遵守网络使用规则的自觉性，提高网络与信息系统安全防护技术水平，才有可能不断改善网络与信息系统的安全状况。
10.2.2　网络安全的基本问题组建计算机网络的目的是为处理各类信息的计算机系统提供一个良好的运行平台。网络可以为计算机信息的获取、传输、处理、利用与共享提供了一个高效、快捷、安全的通信环境与传输通道。网络安全技术从根本上来说，就是通过解决网络安全存在的问题，来达到保护在网络环境中存储、处理与传输的信息安全的目的。

研究网络安全技术，首先要研究构成对网络安全威胁的主要因素。我们可以将对网络安全构成威胁的因素、类型，大致可以归纳为以下6个方面的问题。
1. 网络防攻击问题网络安全技术研究的第一个问题是网络防攻击技术。要保证运行在网络环境中的信息系统的安全，首要问题是保证网络自身能够正常工作。也就是说首先要解决如何防止网络被攻击；或者网络虽然被攻击了，但是由于预先采取了攻击防范措施，仍然能够保持正常工作状态。如果一个网络一旦被攻击，就会出现网络瘫痪或严重问题，那么这个网络中信息的安全也就无从说起。

在Internet中，对网络的攻击可以分为两种基本的类型，即服务攻击与非服务攻击。服务攻击是指对网络提供某种服务的服务器发起攻击，造成该网络的"拒绝服务"，网络工作不正常。例如，攻击者可能针对一个网站的WWW服务，他会设法使该网站的WWW服务器瘫痪，或修改它的主页，使得该网站的WWW服务失效或不能正常工作。在非服务攻击的情况下，攻击者可能使用各种方法对网络通信设备（如路由器、交换机）发起攻击，使得网络通信设备工作严重阻塞或瘫痪，那么小则一个局域网，大到一个或几个子网不能正常工作或完全不能工作。长期从事网络安全工作的技术人员都懂得："知道自己被攻击就赢了一半"。网络安全防护的关键是

　如何检测到网络被攻击，检测到网络被攻击之后采取哪些处理办法，将网络被攻击后产生的损失控制到最小程度。因此，研究网络可能遭到哪些人的攻击，攻击类型与手段可能有哪些，如何及时检测并报告网络被攻击，以及建立相应的网络安全策略与防护体系；是网络防攻击技术要解决的主要问题。 2. 网络安全漏洞与对策问题网络安全技术研究的第二个问题是网络安全漏洞与对策的研究。网络信息系统的运行一定要涉及到：计算机硬件与操作系统、网络硬件与网络软件、数据库管理系统、应用软件，以及网络通信协议等。各种计算机的硬件与操作系统、应用软件都会存在一定的安全问题，它们不可能百分之百没有缺陷或

　漏洞。UNIX是Internet中应用最广泛的网络操作系统，但是在不同版本的UNIX操作系统中，或多或少都会找到能被攻击者利用的漏洞。TCP/IP协议是Internet使用的最基本的通信协议，同样TCP/IP协议中也可以找到能被攻击者利用的漏洞。用户开发的各种应用软件可能会出现更多能被攻击者利用的漏洞。这些问题的存在是不足为奇的，因为很多软件与硬件中的问题，在研制与产品测试中大部分会被发现和解决，但是总会遗留下一些问题。这些问题只能在使用过程中不断被发现。不过需要注意的是：网络攻击者在研究这些安全漏洞，并且把这些安全漏洞作为攻击网络的首选目标。这就要求网络安全研究人员与网络管理人员也必须

　主动地了解计算机硬件与操作系统、网络硬件与网络软件、数据库管理系统、应用软件，以及网络通信协议可能存在的安全问题，利用各种软件与测试工具主动地检测网络可能存在的各种安全漏洞，并及时提出解决对策与措施。
3. 网络中的信息安全保密问题网络安全技术研究的第三个问题是如何保证网络系统中的信息安全问题，即网络信息的安全保密问题。网络中的信息安全保密主要包括两个方面：信息存储安全与信息传输安全。信息存储安全是指如何保证静态存储在连网计算机中的信息不会被未授权的网络用户非法使用的问题。网络中的非法用户可以通过猜测用户口令或窃取口

　令的办法，或者是设法绕过网络安全认证系统，冒充合法用户，非法查看、下载、修改、删除未授权访问的信息，使用未授权的网络服务。信息存储安全一般是由计算机操作系统、数据库管理系统、应用软件与网络操作系统、防火墙来共同完成。通常采用的是用户访问权限设置、用户口令加密、用户身份认证、数据加密与结点地址过滤等方法。信息传输的安全是指如何保证信息在网络传输的过程中不被泄露与不被攻击的问题。图10.2（a）给出了网络中，信息从信息源结点正常传输到信息目的结点的过程，而其他4张图给出了4种可能的攻击类型。图10.2（b）给出了信息被截获的攻击过程。在这种情况下，信息从信息源结点传输出来，中途

被攻击者非法截获，信息目的结点没有接收到应该接收的信息，因而造成了信息的中途丢失。图10
　被攻击者非法截获，信息目的结点没有接收到应该接收的信息，因而造成了信息的中途丢失。图10.2（c）给出了信息被窃听的攻击过程。在这种情况下，信息从信息源结点传输到信息目的结点，但中途被攻击者非法窃听。尽管信息目的结点接收到了信息，信息并没有丢失，但如果被窃听到的是重要的政治、军事、经济信息，那么也有可能造成严重的问题。图10.2（d）给出了信息被篡改的攻击过程。在这种情况下，信息从信息源结点传输到信息目的结点的中途被攻击者非法截获，攻击者在截获的信息中进行修改或插入欺骗性的信息，然后将篡改后的错误信息发送给信息目的结点。尽管信息目的结点也会接收到信息，好像信息没有丢失，但是接收的信息却是错误的。图10.2（e）给出了信息被伪造

　的攻击过程。在这种情况下，信息源结点并没有信息要传送到信息目的结点。攻击者冒充信息源结点用户，将伪造的信息发送给了信息目的结点，信息目的结点接收到的是伪造的信息。如果信息目的结点没有办法发现伪造的信息，那么就可能出现严重的问题。

图 10.2

保证网络系统中的信息安全的主要技术是数据加密与解密算法。数据加密与解密算法是密码学研究的主要问题。在密码学中，将源信息称之为明文。为了保护明文，可以将明文通过某种算法进行变换，使之成为无法识别的密文。对于需要保护的重要信息，可以在存储或传输过程中用密文表示。将明文变换成密文的过程称为加密；将密文经过逆变换恢复成明文的过程称为解密。数据加密与解密的过程如图10.3所示。密码学就是研究数据加密与解密算法的学科。它是介于通信技术、计算机技术与应用数学之间的交叉学科。传统的密码学已经有很悠久的历史了。自从1976年公开密钥密码体系诞生，使得密码学得到了快速发展，并在网络中获得了广泛应用。目前，人们通过加密与解密算法、身份确

认、数字签名等方法，来实现信息存储与传输的安全等问题。
　认、数字签名等方法，来实现信息存储与传输的安全等问题。图 10.3

4. 网络内部安全防范问题网络安全技术研究的第四个问题是如何从网络系统内部来保证信息安全的问题。除了以上列出的几种可能对网络安全构成威胁的因素外，还可以举出其他一些情况，这些威胁可能主要来自网络内部。一个问题是如何防止信息源结点用户对所发送的信息事后不承认，或者是信息目的结点接收到信息之后不认账，即出现抵赖问题。"防抵赖"是网络对信息传输安全保障的重要内容之一。如何防抵赖也是在电子商务应用中必须解决的一个重要问题。电子商务会涉及到商业洽谈、签订商业合同，以及大量资金在网上划拨等重大问题。因此，网络安全技术研究还需要通过数字签名、身份确认、第三方确认

　等方法，确保网络信息传输的合法性问题，防止出现"抵赖"等现象产生。
另一个问题是如何防止内部具有合法身份的用户有意或无意地做出对网络与信息安全有害的行为。对网络与信息安全有害的行为包括：有意或无意地泄露网络用户或网络管理员口令；违反网络安全规定，绕过防火墙，私自和外部网络连接，造成系统安全漏洞；违反网络使用规定，越权查看、修改、删除系统文件、应用程序及数据；违反网络使用规定，越权修改网络系统配置，造成网络工作不正常；违反网络使用规定，私自将带有病毒的个人磁盘或游戏盘拿到公司的网络中使用。这类问题经常会出现，并且危害性极大。

解决来自网络内部的不安全因素必须从技术与管理两个方面入手。一是通过网络管理软件随时监控网络运行状态与用户工作状态；对重要资源（如主机、数据库、磁盘等）使用状态进行记录与审计。同时，制定和不断完善网络使用和管理制度，加强用户培训和管理。 5. 网络防病毒问题网络安全技术研究的第五个问题是网络防病毒问题。网络病毒的危害是人们不可忽视的现实。据统计，目前70%的病毒发生在网络上。联网微型机病毒的传播速度是单机的20倍，而网络服务器消除病毒处理所花的时间是单机的40倍。电子邮件炸弹可以轻易地使用户的计算机瘫痪。有些网络病毒甚至会破

　坏系统硬件。我们经常会发现，有些网络设计人员可能已经在文件目录结构、用户组织、数据安全性、备份与恢复方法上，以及系统容错技术上采取了严格的措施，但是没有重视网络防病毒问题。也许有一天，某个用户从家里带来一张已经染上病毒的软盘，他没有遵守网络使用制度，在办公室的工作站上运行了染上病毒的软盘，那么网络很可能就会在这之后的某一时刻瘫痪。因此网络防病毒是保护网络与信息安全的重要问题之一，它需要从工作站与服务器两个方面的防病毒技术与用户管理技术来着手解决。 6. 网络数据备份与恢复、灾难恢复问题网络安全技术研究的第六个问题是网络数据备份与

　恢复、灾难恢复策略与实现方法。在实际的网络运行环境中，数据备份与恢复功能是非常重要的。因为网络安全问题我们可以从预防、检查、反应等方面着手，去减少网络信息系统的不安全因素，但是要完全保证系统不出现安全事件，这是任何人都不可能做到的。如果出现网络故障造成数据丢失，数据能不能被恢复？如果出现网络因某种原因被损坏，重新购买设备的资金可以提供，但是原有系统的数据能不能恢复？这些问题在网络信息系统安全设计中都必须回答。我们知道：网络信息系统的硬件与系统软件都是可以用钱买到的，而数据是多年积累的成果，并且可能价值连城，是一家公司、企业的"生命"，它

　是用钱买不来的。如果数据一旦丢失，并且不能恢复，那么就可能会给公司和客户造成不可挽回的损失。在国外已经出现过在某个公司网络系统遭到损坏时，因网络管理员没有保存足够的备份数据，而无法恢复该公司的信息系统，从而造成了无可挽回的损失，导致了公司破产。因此，一个实用的网络信息系统的设计中必须有网络数据备份、恢复手段和灾难恢复策略与实现方法的内容，这也是网络安全研究的一个重要内容。 10.2.3　网络安全服务的主要内容完整的考虑网络安全应该包括三个方面的内容，即安全攻击（security attack）、安全机制（security

　mechanism）与安全服务（security service）。
安全攻击是指所有有损于网络信息安全的操作。安全机制是指用于检测、预防攻击，以及在受到攻击之后进行恢复的机制。安全服务则是指提高数据处理安全系统中信息传输安全性的服务。网络安全服务应该提供以下这些基本的服务功能： 1. 保密性（confidentiality）保密性服务是为了防止被攻击而对网络传输的信息进行保护。对于所传送的信息的安全要求不同，选择不同的保密级别。最广泛的服务是保护两个用户之间在一段时间内传送的所有用户数据。同时也可以对某个信息中的特定域进行保护。

3. 数据完整性（data integrity）
　保密性的另一个方面是防止信息在传输中，数据流被截获与分析。这就要求采取必要的措施，使攻击者无法检测到在网络中传输信息的源地址、目的地址、长度及其他特征。 2. 认证（authentication）认证服务是用来确定网络中信息传送的源结点用户与目的结点用户的身份是真实的，不出现假冒、伪装等现象，保证信息的真实性。在网络中两个用户开始通信时，要确认对方是合法用户，还应保证不会有第三方在通信过程中干扰与攻击信息交换的过程，以保证网络中信息传输的安全性。 3. 数据完整性（data integrity）数据完整性服务可以保证信息流、单个信息或信息中指定的字段，保证接收方所接收的信息与发送方所

　发送的信息是一致的。在传送过程中没有出现复制、插入、删除等对信息进行破坏的行为。
数据完整性服务又可以分为有恢复与无恢复服务两类。因为数据完整性服务与信息受到主动攻击相关，因此数据完整性服务与预防攻击相比更注重信息一致性的检测。如果安全系统检测到数据完整性遭到破坏，可以只报告攻击事件发生，也可以通过软件或人工干预的方式进行恢复。 4. 防抵赖（nonrepudiation）防抵赖服务是用来保证收发双方不能对已发送或已接收的信息予以否认。一旦出现发送方对发送信息的过程予以否认，或接收方对已接收的信息进行否认时，防抵赖服务可以提供记录，说明否认方是错

　误的。防抵赖服务对多目的地址的通信机制与电子商务活动是非常有用的。
5. 访问控制（access control）访问控制服务是控制与限定网络用户对主机、应用与网络服务的访问。攻击者要网络首先要欺骗或绕过网络访问控制机制。常用的访问控制服务是通过对用户的身份确认与访问权限设置来确定用户身份的合法性，以及对主机、应用或服务访问类型的合法性。更高安全级别的访问控制服务，可以通过用户口令的加密存储与传输，以及使用一次性口令、智能卡、个人特殊性标识（例如指纹、视网膜、声音）等方法提高身份认证的可靠性。

10.2.4　网络安全标准 1. 主要的网络安全标准网络安全单凭技术来解决是远远不够的，还必须依靠政府与立法机构，制定与不断完善法律与法规来进行制约。目前，我国与世界各国都非常重视计算机、网络与信息安全的立法问题。从1987年开始，我国政府就相继制定与颁布了一系列行政法规，它们主要包括：《电子计算机系统安全规范》（1987年10月）、《计算机软件保护条例》（1991年5月）、《计算机软件著作权登记办法》（1992年4月）、《中华人民共和国计算机信息与系统安全保护条例》（1994年2月）、《计算机信息系统保密管理暂行规定》（1998年2月）、全国人民代表大

　会常务委员会通过的《关于维护互联网安全决定》（2000年10月）等。
国外关于网络与信息安全技术与法规的研究起步较早，比较重要的组织有美国国家标准与技术协会（NIST）、美国国家安全局（NSA）、美国国防部（ARPA），以及很多国家与国际性的组织（例如IEEECS安全与政策工作组、故障处理与安全论坛等）。它们的工作重点各有侧重，主要集中在计算机、网络与信息系统的安全政策、标准、安全工具、防火墙、网络防攻击技术研究，以及计算机与网络紧急情况处理与援助等方面。用于评估计算机、网络与信息系统安全性的标准已有多个，但是最先颁布，并且比较有影响的是美国

　国防部的黄皮书（可信计算机系统TC-SEC-NCSC）评估准则。相应的欧洲信息安全评估标准（ITSEC）最初是用来协调法国、德国、英国、荷兰等国的指导标准，目前已经被欧洲各国所接受。
2. 安全级别的分类可信计算机系统评估准则TCSECNCSC是1983年公布的，1985年公布了可信网络说明（TNI）。可信计算机系统评估准则将计算机系统安全等级分为4类7个等级，即D、C 1、C 2、B 1、B 2、B 3与A 1。 D类系统的安全要求最低，属于非安全保护类，它不能用于多用户环境下的重要信息处理。D类只有一个级别。

C类系统为用户能定义访问控制要求的自主型保护类，它分为两个级别。C 1级系统具有一定的自主型访问控制机制，它只要求用户与数据应该分离。大部分UNIX系统可以满足C 1级标准的要求。
C 2级系统要求用户定义访问控制，通过注册认证、对用户启动系统、打开文件的权限检查，防止非法用户与越权访问信息资源的安全保护。UNIX系统通常能满足C 2标准的大部分要求，有一些厂商的最新版本可以全部满足C 2级系统要求。 B类系统属于强制型安全保护类，即用户不能分配权限，只有网络管理员可以为用户分配访问权限。B类系统分为三个级别。如果将信息保密级定为非保密、保密、秘密与机密四级，则B 1级系统要求

　能够达到"秘密"一级。B 1级系统要求能满足强制型保护类，它要求系统的安全模型符合标准，对保密数据打印需要经过认定，系统管理员的权限要很明确。一些满足C 2级的UNIX系统，可能只满足某些B 1级标准的要求；也有一些软件公司的UNIX系统可以达到B1级标准的要求。 B 2级系统对安全性的要求更高，它属于结构保护（structure protection）级。B2级系统除了满足C 1级系统的要求之外，还需要满足：对所有与信息系统直接或间接连接的计算机与外设均要由系统管理员分配访问权限；用户及信息系统的通信线路与设备都要可靠，并能够防御外界的电磁干扰；系统管理员与操作员的职能与权限明确。除了个别的操作

　系统之外，大部分商用操作系统不能达到B 2级系统的要求。
B 3级系统又称为安全域（security domain）级系统，它要求系统通过硬件的方法去保护某个域的安全，例如通过内存管理的硬件去限制非授权用户对文件系统的访问企图。B3级要求系统在出现故障后能够自动恢复到原状态。现在的操作系统如不重新进行系统结构设计，是很难通过B 3级系统安全要求测试的。 A 1级系统的安全要求最高。A 1级系统要求提供的安全服务功能与B 3级系统基本一致。A 1级系统在安全审计、安全测试、配置管理等方面提出了更高的要求。A 1级系统在系统安全模型设计与软、硬件实现上要通过认证，要求达到更高的安全可信度。

10.3　网络安全策略的设计设计网络安全体系的首要任务是制定网络安全策略。网络安全策略应该包括：应该保护网络中的哪些资源？怎么保护？谁负责执行保护的任务？出现问题如何处理？因此，网络安全策略设计应该在深入了解网络结构、资源、用户与管理体制后，才有可能着手解决的问题。网络安全策略应该包括各个方面的具体内容。例如，如果要设计防火墙，打算将一个企业内部网通过防火墙连入Internet，那么首先需要确定：企业内部网有哪些网络资源与服务需要提供给外部用户访问？企业内部用户有哪些访问外部网络资源与服务的要

　求？可能对网络资源与服务安全性构成威胁的因素有哪些？哪些资源需要重点保护？可以采取什么方法进行保护？发现网络受到攻击之后如何处理？这一系列问题都是在设计时必须要解决的。因此，要设计并建立一个防火墙，第一步是指定相应的网络安全策略。下面将以防火墙为例，讨论网络安全策略设计中应该注意的几个问题。

10.3.1　网络安全策略与网络用户的关系要设计一个有效的、实用的防火墙，首先必须要提出正确的网络安全策略。网络安全策略包括技术与制度两个方面，同时还需要制定网络用户相应要遵守的网络使用制度与方法。只有将二者结合起来，才能有效地保护网络资源不受破坏。如果一个企业内部网在连入Internet之前已经开始使用，并且企业内部网用户已经习惯了一种无限制的使用方法，那么在制定网络安全策略时，必然要对某些网络访问采取一定的限制，用户在一开始可能是很不适应的。因此，在制定网络安全策略时，一定要注意限制的范围。网络安全策略首先要保证用户能有效地完成各自的任务，而不能造成网络使

　用价值的下降。同时，也不要引发用户设法绕过网络安全系统，钻网络安全策略空子的现象。一个好的网络安全策略应能很好地解决网络使用与网络安全的矛盾，应该使网络管理员与网络用户都乐于接受与执行。
10.3.2　制定网络安全策略的思想在制定网络安全策略时有以下两种思想方法：凡是没有明确表示允许的就要被禁止。凡是没有明确表示禁止的就要被允许。按照第一种方法，如果决定某一台机器可以提供匿名FTP服务，那么可以理解为除了匿名FTP服务之

　外的所有服务都是禁止的。按照第二种方法，如果决定某一台机器禁止提供匿名FTP服务，那么可以理解为除了匿名FTP服务之外的所有服务都是允许的。这两种思想方法所导致的结果是不相同的。采用第一种思想方法所表示的策略只规定了允许用户做什么，而第二种思想方法所表示的策略只规定了用户不能做什么。网络服务类型很多，新的网络服务功能将逐渐出现。因此，在一种新的网络应用出现时，对于第一种方法，如允许用户使用，就将明确地在安全策略中表述出来；而按照第二种思想方法，如果不明确表示禁止，就意味着允许用户使用。需要注意的是：在网络安全策略上，一般采用第一

　种方法，即明确地限定用户在网络中访问的权限与能够使用的服务。这符合于规定用户在网络访问的"最小权限"的原则，即给予用户能完成他的任务所"必要"的访问权限与可以使用的服务类型，这样将会便于网络的管理。
10.3.3　网络资源的定义在完成网络安全策略制定的过程中，首先要对所有网络资源从安全性的角度去定义它所存在的风险。RFC 1044 列出了以下需要定义的网络资源： (1) 硬件处理器、主板、键盘、终端、工作站、个人计算机、打印机、磁盘、通信数据、终端服务器与路由器。

(2) 软件　操作系统、通信程序、诊断程序、应用程序与网管软件。
(3) 数据　在线存储的数据、离线文档、执行过程中的数据、在网络中传输的数据、备份数据、数据库、用户登录。 (4) 用户　普通网络用户、网络操作员、网络管理员。 (5) 演示程序　应用软件的演示程序、网络操作系统的演示程序、计算机硬件与网络硬件的演示程序与网络软件的演示程序。 (6) 支持设备　磁带机与磁带、软盘、光驱与光盘。在设计网络安全策略时，第一步要分析在所要管理的网络中有哪些资源，其中哪些资源是重要的，什么人可以使用这些资源，哪些人可能会对资源构成

　威胁，以及如何保护这些资源。设计网络安全策略的第一步工作是研究这些问题，并将研究结果用网络资源调查表的形式记录下来。
要求被保护的网络资源被定义之后，就需要对可能对网络资源构成威胁的因素下定义，以确定可能造成信息丢失和破坏的潜在因素，确定威胁的类型。只有了解了对网络资源安全构成威胁的来源与类型，才能针对这些问题提出保护方法。 10.3.4　网络使用与责任的定义网络安全策略的制定涉及两方面的内容：网络使用与管理制度与网络防火墙的设计原则。如果不能制定正确的网络使用与管理制度，并且网络管理员

　与网络用户不承担对网络正常使用与管理的责任，那么再好的防火墙技术也是没有用的。
要解决网络使用与责任定义之前，我们需要回答以下几个问题：允许哪些用户使用网络资源？允许用户对网络资源进行哪些操作？谁来批准用户的访问权限？谁具有系统用户的访问权限？网络用户与网络管理员的权利、责任是什么？在确定"谁可以使用网络资源"之前，需要做两件事。一是确定用户类型，例如对于校园网来说，用户分为：网络管理人员、应用软件开发人员、教师、学生以及外部用户，对每一类用户应该分别对待。二是确定哪些资源对哪一类用户可以使用及如何使用，例如只读、读写、删除、更名、复制与打印等操作权限。

确定哪一类资源可供哪一类用户使用，并且使用方法上应受到什么限制，这些控制规定属于网络使用制度。网络使用制度应该明确规定用户对某类资源是允许使用，还是不允许使用，如果允许使用，那么是否要限定他进行哪一类操作。实际上，它规定了某类用户对某类资源使用的"权利"。从严格控制网络安全的角度看，只要是明确规定的权利，用户才能享有对某类资源使用的权利；只要不是明确规定的权利，用户一律不应享有对这类资源使用的权利。这就是说，我们应该规定用户"能做什么"，不应该规定用户"不能做什么"。这也就意味着，超出用户账户规定的权限与绕过网络安全系统的行为都是不允许的。因此，网络使用制度在制定中要注意

　以下几个问题：账户是否有可能被破坏？用户密码是否有可能被破译？是否允许用户共享账户？如果授权多个用户都能访问某类资源，实际上用户是否真能获得这种权利？网络服务是否会出现混乱？
如果一个网点很大，各个子网是分散的，那么必须为每个子网分别规定各自的网络用户权限，并且由各个子网的网络管理员控制。为了协调各子网之间的相互关系，就需要在网点设立一个更高层的网络管理机构，以分散与集中相结合的方式实现对用户访问网络资源的控制与管理。网络管理员将对网络有着特殊的访问权限，而对普通网络用户必须限定他们的访问权限。限定网络用户访问权限的原则是：

　平衡需求与安全的矛盾，在能满足网络用户基本工作要求的前提下，授予普通用户最小访问权限。
10.3.5　网络安全受到威胁时的行动方案网络安全与网络使用是一对矛盾，网络安全策略就是要在两者之间寻求一种折衷的方案，网络安全要依靠网络使用和网络安全技术的结合来实现。如果网络使用与管理制度限制不合理，就会损害网络使用价值；如果网络使用与管理制度制定得不严格，就会导致网络安全容易受到威胁。作为网络管理员，要随时监视网络的运行情况与安全状况。一旦发现网络安全受到破坏，首先要做的工作是采取紧急措施，按照网络安全策略设计中制定的行动方案，对

　网络进行保护。在网络安全遭到破坏时采取什么样的反应，主要取决于破坏的性质与类型。对网络安全造成危害的类型主要有以下四种：由于疏忽而造成的危害、由于偶然的操作错误而造成的危害、由于对网络安全制度无知而造成的危害、由于有人故意破坏而造成的危害。对网络安全造成危害的用户可能是内部用户，也可能是外部用户。内部用户既可能对本地网络安全造成危害，也可能对外部网络安全造成危害。第一种情况是由于内部用户违反网络安全制度，而对本地网络安全造成了破坏；第二种情况是我们所管理的内部用户违反了外部网络的安全制度，对外部网络

　的安全造成了危害。发现网络安全遭到破坏时，所能采取的行动方案有以下两种： 1. 保护方式保护方式的特点是：当网络管理员发现网络安全遭到破坏时，应立即制止非法侵入与闯入者的活动，恢复网络的正常工作状态，并进一步分析这次安全事故性质与原因，尽量减少这次安全事故造成的损害。如果不能马上恢复正常运行，网络管理员应隔离发生故障的网段或关闭系统，以制止非法侵入与闯入者的活动进一步的发展，同时采取措施恢复网络的正常工作。如果不采取跟踪行动，所有闯入者就还有可能采用同样手段再次侵入网内。

　保护方式适合于以下这些情况：闯入者的活动将要造成很大危险。跟踪闯入者活动的代价太大。从技术上跟踪闯入者的活动很难实现。 2. 跟踪方式跟踪方式的特点是：在网络管理员发现网络存在非法侵入与闯入者的活动时，不是立即制止闯入者的活动，而是采取措施跟踪非法侵入与闯入者的活动，检测非法侵入与闯入者的来源、目的、非法访问的网络资源，判断非法侵入与闯入的危害，确定处理此类非法侵入与闯入活动的方法。选择跟踪方式的前提是能确定此类非法侵入与闯入活动的性质与危害，具有跟踪非法侵入与闯入活动的能力与软件，

　并且能控制此类非法侵入与闯入活动的进一步发展，进一步查出非法侵入者与闯入者，以便对非法侵入者与闯入者作出处理。
跟踪方式适合于以下这些情况：被攻击的网络资源目标十分明确。已经存在一个多次入侵某种网络资源的闯入者。已经找到一种可以控制闯入者的方法。闯入者的短期活动不至于立即造成网络资源与系统遭到重大损失。

10.4　网络防火墙技术 10.4.1　防火墙的基本概念计算机网络最本质的活动是不同计算机系统之间的分布式进程通信，而分布式进程通信又是通过相互间交换报文分组的方式来实现的。因此，从网络安全角度看，对网络资源的非法使用与对网络系统的破坏也都必然要以一种"合法"的网络用户身份，通过伪造正常的网络服务请求分组的方式来进行。这样的话，设置网络防火墙实质上就是要在企业内部网与外部网之间检查网络服务请求分组是否合法，网络中传送的数据是否会对网络安全构成威胁。

防火墙的概念起源于中世纪的城堡防卫系统。那时人们为了保护城堡的安全，在城堡的周围挖一条护城河，每一个进入城堡的人都要经过一个吊桥，接受城门守卫的检查。在网络中，人们借鉴了这种思想，设计了一种网络安全防护系统（即网络防火墙）。防火墙用来检查所有通过企业内部网与外部网的分组，典型的防火墙结构如图10.4所示。

图 10.4

10.4.2　防火墙的基本结构一般来说，防火墙可以由以下两部分组成：分组过滤路由器（packet filtering router）与应用网关（application gateway）。防火墙的基本功能是：根据一定的安全规定检查、过滤网络之间传送的报文分组，以确定它们的合法性。这项功能一般是通过具有分组过滤功能的路由器来实现的。通常把这种路由器称为分组过滤路由器，也可以称为筛选路由器（screening router）。分组过滤路由器一般是作为系统的第一级保护，它与普通的路由器在工作机理上有较大的不同。普通的路由器工作在网络层，可以根据网络层分组的IP地址决定分组的路由；而分组过滤路由器要对IP地

　址、TCP或UDP分组头进行检查与过滤。通过分组过滤路由器检查过的报文，还要进一步接受应用网关的检查。因此，从协议层次模型的角度看，防火墙应覆盖网络层、传输层与应用层。
10.4.3　防火墙的作用因此，设计防火墙的目的有两个：一是进出企业内部网的所有通信量都要通过防火墙；二是只有合法的通信量才能通过防火墙。防火墙的结构可以有很多形式，但无论采取什么样的物理结构，从基本工作原理上来说，如果外部网络的用户要访问企业内部网的WWW服务器，那么它首先是由分组过滤路由器来判断外部网用户的IP

　地址是不是企业内部网所禁止使用的。如果是禁止进入结点的IP地址，那么分组过滤路由器将会丢弃该IP包；如果不是禁止进入结点的IP地址，那么这个IP包不是直接送到企业内部网的WWW服务器，而是被传送到应用网关。由应用网关来判断发出这个IP包的用户是不是合法用户。如果该用户是合法用户，该IP包才能送企业内部网的WWW服务器去处理；如果该用户不是合法用户，则该IP包将会被应用网关丢弃。这样，人们就可以通过设置不同的安全规则的防火墙来实现不同的网络安全策略。最初的防火墙主要用于Internet服务控制，但随着研究工作的深入，已经扩展为提供以下4种基本服务。

1. 服务控制防火墙可以控制外部网络与内部网络用户相互访问的Internet服务类型。防火墙可以根据IP地址与TCP端口号过滤通信量，来确定是否是合法用户，以及能否访问网络服务。 2. 方向控制出于某种安全考虑，我们可以通过防火墙的设置，来限制允许企业内部网的用户访问外部Internet，而不允许外部Internet用户访问企业内部网，反之亦然。 3. 用户控制出于某种安全考虑，我们可以通过防火墙的设置，来确定只允许企业内部网的哪些用户访问外部

　Internet的服务，而其他用户不能访问外部Internet的服务；同样也可以限制外部Internet的特定用户访问企业内部网的服务。
4. 行为控制通过防火墙的设置，可以控制如何使用某种特定的服务。例如，我们可以通过防火墙将电子邮件中的一些垃圾邮件过滤掉，也可以限制外部网的用户，使他们只能访问企业内部网的WWW服务器中的某一部分信息。企业内部网通过将防火墙技术与用户授权、操作系统安全机制、数据加密等多种方法的结合，可以保护网络资源不被非法使用，网络系统不被破坏，从而全面执行网络安全策略，增强系统的安全性。

10.5 本章总结 (1) 网络管理是指对整个网络应用系统的管理。网络管理功能主要包括配置管理、故障管理、性能管理、安全管理与记账管理。
10.5　本章总结 (1) 网络管理是指对整个网络应用系统的管理。网络管理功能主要包括配置管理、故障管理、性能管理、安全管理与记账管理。 (2) 网络安全技术研究的基本问题包括：网络防攻击、网络安全漏洞与对策、网络中的信息安全保密、网络内部安全防范、网络防病毒、网络数据备份与灾难恢复。 (3) 网络安全服务应该提供保密性、认证、数据完整性、防抵赖与访问控制服务。 (4) 要设计一个成功的网络系统，就必须针对可能对网络安全构成威胁的各种因素，研究确保网络信息系统安全的机制。

(5) 防火墙可以由两部分组成：分组过滤路由器与应用网关（application gateway）。防火墙的基本功能是：根据一定的安全规定检查，过滤网络之间传送的报文分组，以确定它们的合法性。
习题 1. 单项选择题 10.1 ( )用来记录网络中被管理对象的状态参数值。 A. 管理对象 B. 管理协议 C. 管理进程 D. 管理信息库

10.2 ( )功能是用来评测网络运行状态的网络管理功能域。
A. 安全管理 B. 性能管理 C. 故障管理 D. 配置管理 10.3 ( )服务用来保证收发双方不能对已发送或接收的信息予以否认。 A. 防抵赖 B. 数据完整性 C. 访问控制 D. 身份认证 10.4 在可信计算机系统评估准则中，计算机系统安全等级要求最低的是( )。 A. C 1级 B. D级 C. B 1级 D. A 1级

10.5 网络安全遭到破坏时通常要采取相应的行动方案，如果发现非法闯入者可能对网络资源造成严重破坏，网络管理员就应该采取( )的措施。
A. 跟踪方式 B. 警告方式 C. 保护方式 D. 预警方式 10.6 是指根据一定的安全检查规则过滤网络间传送的分组合法性的设备。 A. 代理服务器 B. 应用网关 C. 访问服务器 D. 分组过滤路由器

10.9 对网络安全构成威胁的因素与类型，主要可以归纳为哪些方面的内容？ 10.10 网络安全服务应该提供哪些基本的服务功能？
2. 简答题 10.7 根据OSI网络管理标准，网络管理主要包括哪些内容？ 10.8 如果你是一个网络管理员并管理着一个运行NetWare的局域网系统，那么你认为只依靠操作系统内置的网络管理功能够不够？为什么？ 10.9 对网络安全构成威胁的因素与类型，主要可以归纳为哪些方面的内容？网络安全服务应该提供哪些基本的服务功能？在设计网络安全策略时应该注意哪些问题？从网络安全角度来看，网络用户的责任是什么？网络管理员的责任是什么？什么是防火墙？防火墙主要包括哪些类型？

Similar presentations

Similar presentations

About project

反馈

请登录

Auth with social network:

Similar presentations

Similar presentations

About project

反馈