网络安全基础

《网络安全基础》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

第1章网络安全基础网络安全基础目前，计算机网络的普及度越来越大，不仅是人们工作、学习和生活的便捷工具，同时也为人们提供了各种各样的资源。但是，不得不注意到，网络虽然功能强大，但它有脆弱、易受到攻击的一面。据美国联绑调查局（FBI）统计，美国每年因网络安全问题所造成的经济损失高达75亿美元。而全球平均每20秒钟就发生一起Internet计算机侵入事件。在我国，每年因黑客入侵、计算机病毒对网络的破坏也造成了巨大的经济损失。因此，无论何时网络安全问题不容忽视。本章从网络安全定义、网络安全概念、常见的安全威胁与攻击、网络安全的现状和发展趋势等方面进行学习，使读者对网络安全有清晰的认识。本章学习要点：Ø了解网络安全的定义、安全模型及其研究的主要内容Ø熟悉安全的攻防体系结构和层次体系结构Ø了解网络安全评价标准及网络安全自身的脆弱性Ø掌握对网络安全提出的防范建议以及网络所面临的安全威胁种类Ø熟悉网络安全策略设计原则1.1网络安全基本概念随着网络威胁的增加，人们逐渐建立了网络安全研究的相关技术和理论，提出了网络安全的模型、体系结构和目标等。本节从各个方面详细介绍有关网络安全的基础知识。1.1.1网络安全概述网络安全从其本质上来讲就是网络上的信息安全，涉及的领域相当广泛，这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。凡是涉及网络上的信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论，都是网络安全所要研究的领域。严格地说，网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断，这包括如下含义。网络运行系统安全，即保证信息处理和传输系统的安全。网络上系统信息的安全。21 第1章网络安全基础网络上信息传播的安全，即信息传播后果的安全。网络上信息内容的安全，即狭义的“信息安全”。计算机网络安全的主要内容不仅包括硬件设备、管理控制网络的软件方面，同时也包括共享的资源，快捷的网络服务等方面。具体来讲包括如下内容。网络实体安全计算机机房的物理条件、物理环境及设施的安全，计算机硬件、附属设备及网络传输线路的安装及配置等。软件安全保护网络系统不被非法入侵，系统软件与应用软件不被非法复制、篡改、不受病毒的侵害等。数据安全保护数据不被非法存取，确保其完整性、一致性、机密性等。安全管理在运行期间对突发事件的安全处理，包括采取计算机安全技术，建立安全管理制度，开展安全审计，进行风险分析等内容。数据保密性信息不泄露给非授权的用户、实体或过程，或供其利用的特性。在网络系统的各个层次上有不同的机密性及相应的防范措施。例如，在物理层，要保证系统实体不以电磁的方式（电磁辐射、电磁泄露等）向外泄露信息，在数据处理、传输层面，要保证数据在传输、存储过程中不被非法获取、解析，主要的防范措施是采用密码技术。数据完整性数据完整性指数据在未经授权时不能改变其特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性，完整性要求信息的原样，即信息的正确生成、正确存储和正确传输。影响网络信息完整性的主要因素包括设备故障、传输、处理或存储过程中产生的误码、网络攻击、计算机病毒等，其主要防范措施是校验与认证技术。可用性网络信息系统最基本的功能是向用户提供服务，而用户所要求的服务是多层次的、随机的，可用性是指可被授权实体访问，并按需求使用的特性，即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。可控性可控性指对信息的传播及内容具有控制能力，保障系统依据授权提供服务，使系统任何时候不被非授权用户使用，对黑客入侵、口令攻击、用户权限非法提升、资源非法使用等采取防范措施。可审查性提供历史事件的记录，对出现的网络安全问题提供调查的依据和手段。提示完整性与保密性不同，保密性要求信息不被泄露给未授权用户，而完整性则是要求信息不受各种原因的破坏。21 第1章网络安全基础1.1.2安全模型随着信息化社会的网络化，各国的政治、外交、国防等领域越来越依赖于计算机网络，因此，计算机网络安全的地位日趋重要。从宏观上讲，目前国家、政府部门正在不断制定和完善网络安全的法律、网络安全标准等；而从具体角度讲，针对企业、集团、高校等网络用户而言，拥有经济合理的网络安全设备是保障网络安全的硬件技术，能够协调进行有效的安全管理工作是能够保障网络长期安全、相对稳定运作的动力。而两者所围绕的核心问题是针对预防的主要网络攻击手段及当前运作实体的经济技术能力建立一个可实施的、合理的、长期有效的网络安全模型。围绕安全模型设计与实施，将相关的网络安全技术与安全机制方面的工作有机结合起来，才能够有效地保证网络安全。所以，建立合理有效的网络安全模型，无论是对硬件设备的选择，还是对后期网络安全管理工作的开展，都是一个关键技术问题。从而也决定了它在实现网络安全方面不可忽视的重要性。网络安全能否有效地担任职责，这对网络技术的发展，网络时代信息秩序的维护以及企业和单位用户的网络正常运行都奠定了坚实的基础。目前，在网络安全领域存在较多的网络安全模型。这些安全模型都较好地描述了网络安全的部分特征，又都有各自的侧重点，在各自不同的专业和领域都有着一定程度的应用。1．基本模型在网络信息传输中，为了保证信息传输的安全性，一般需要一个值得信任的第三方负责在源节点和目的节点间进行秘密信息分发，同时当双方发生争执时，起到仲裁的作用。在基本模型中，通信的双方在进行信息传输前，首先建立起一条逻辑通道，并提供安全的机制和服务来实现在开放网络环境中信息的安全传输，图1-1为基本安全模型的示意图。图1-1基本安全模型示意图信息的安全传输主要包括以下两点。从源节点发出的信息，使用信息加密等加密技术对其进行安全的转发，从而实现该信息的保密性，同时也可以在该信息中附加一些特征信息，作为源节点的身份验证。源节点与目的节点应该共享如加密密钥这样的保密信息，这些信息除了发送双方和可信任的第三方之外，对其他用户都是保密的。21 第1章网络安全基础2．P2DR模型P2DR模型是由美国国际互联网安全系统公司（ISS）提出的动态网络安全理论或称为可适应网络安全理论的主要模型。该模型是美国可信计算机系统评价准则（TCSEC）的发展，也是目前被普遍采用的模型，主要由安全策略（Policy）、防护（Protection）、检测（Detection）和响应（Response）4部分构成。其中，防护、检测和响应构成了一个所谓完整的、动态的安全循环，在安全策略的整体指导下保证信息系统的安全，图1-2为其构成示意图。图1-2P2DR模型结构示意图对于该模型的各组成部分有如下说明。安全策略安全策略是模型的核心，所有的防护、检测和响应都是依据安全策略实施的。网络安全策略一般包括总体安全策略和具体安全策略两个部分。防护防护是根据系统可能出现的安全问题而采取的预防措施，这些措施通过传统的静态安全技术实现。采用的防护技术通常包括数据加密、身份认证、访问控制、授权和虚拟专用网（VPN）技术、防火墙、安全扫描和数据备份等。检测当攻击者穿透防护系统时，检测功能就会发挥作用，与防护系统形成互补。检测是动态响应的依据。响应当系统检测到危及安全的事件、行为、过程时，响应系统就开始工作及对发生事件进行处理，杜绝危害的进一步蔓延扩大，力求系统尚能提供正常服务。响应包括紧急响应和恢复处理两部分，而恢复处理又包括系统恢复和信息恢复。总之，P2DR模型是在整体的安全策略的控制和指导下，在综合运用防护工具（如防火墙、操作系统身份认证、加密等）的同时，利用检测工具（如漏洞评估、入侵检测等）了解和评估系统的安全状态，通过适当的反应将系统调整到“最安全”和“风险最低”的状态。防护、检测和响应组成了一个完整的、动态的安全循环，在安全策略的指导下保证信息系统的安全。1.1.3网络安全攻防技术“道高一尺，魔高一丈”，这是网络安全攻击与防御最好的写照。有矛就有盾，也是相互对立的两个方面。而在网络安全中，“攻”和“防”与“矛”和“盾”非常相似。网络安全的攻防体系结构由网络安全物理基础、网络安全的实施及工具和防御技术三大方面构成，图1-3为其结构示意图。对于用户来讲，如果不知道如何攻击，那么再好的防守也是经不住考验的，目前，常用的攻击技术主要包括5个方面。网络监听21 第1章网络安全基础自己不主动去攻击别人，在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。图1-3网络安全攻防体系结构网络扫描利用程序去扫描目标计算机开放的端口等，目的是发现漏洞，为入侵该计算机作准备。网络入侵当探测发现对方计算机存在漏洞以后，入侵到目标计算机以获取信息。网络后门成功入侵目标计算机后，为了对“战利品”进行长期控制，在目标计算机中种植木马等。网络隐身入侵完毕退出目标计算机后，将自己入侵该计算机的痕迹清除掉，从而防止被对方管理员发现。对于防御技术通常包括以下4个方面。操作系统的安全配置操作系统的安全是整个网络安全的关键。加密技术为了防止被他人（非法分子）监听和盗取数据，通过加密技术将所有的数据进行加密。防火墙技术利用防火墙，对传输的数据进行限制，从而防止系统被入侵或者是减小被入侵的成功率。入侵检测如果网络防线最终被攻破了，需要及时发出被入侵的警报。另外，为了保证网络的安全，用户在软件方面可以选择在技术上已经成熟的安全辅助工具，如抓数据包软件Sniffer，网络扫描工具X-Scan等。另外，如果用户具有较高的编程能力，还可以选择自己编写程序。目前，有关网络安全编程常用的计算机语言有C、C++或者Perl等。1.1.4层次体系结构从层次体系结构上，通常将网络安全划分成物理安全、逻辑安全、操作系统安全和联网安全4个层次。21 第1章网络安全基础1．物理安全物理是指计算机硬件、网络硬件设备等。而物理安全是指整个计算机硬件、网络设备和传输介质等一些实物的安全。通常物理安全包括如下5个方面。防盗与其他的物体一样，物理设备（如计算机）也是偷窃者的目标之一，如盗走硬盘、主板等。计算机偷窃行为所造成的损失可能远远超过计算机本身的价值，因此必须采取严格的防范措施以确保计算机设备不会丢失。防火计算机机房发生火灾一般是由于电气原因、人为事故或外部火灾蔓延引起的。电气设备和线路因为短路、过载、接触不良、绝缘层破坏或静电等原因引起电打火而导致火灾。提示人为事故是指由于操作人员不慎如吸烟、乱扔烟头等，使存在易燃物质（如纸片、磁带、胶片等）的机房起火，当然也不排除人为故意放火。外部火灾蔓延是因外部房间或其他建筑物起火蔓延到机房而引起火灾。防静电静电是由物体间的相互摩擦、接触而产生的，计算机显示器也会产生很强的静电。静电产生后，由于未能释放而保留在物体内，会有很高的电位（能量不大），从而产生静电放电火花，造成火灾。还可能使大规模集成电器损坏，这种损坏可能是不知不觉造成的。防雷击利用传统的避雷针防雷，不但增加雷击概率，还会产生感应雷，而感应雷是电子信息设备被损坏的主要原因之一，也是易燃易爆品被引燃引爆的主要原因。目前，对于雷击的主要防范措施是根据电气、微电子设备的不同功能及不同受保护程序和所属保护层来确定防护要点作分类保护；根据雷电和操作瞬间过电压危害的可能通道从电源线到数据通信线路都应作多层保护。防电磁泄露与其他电子设备一样，计算机在工作时也要产生电磁发射。电磁发射包括辐射发射和传导发射两种类型。而这两种电磁发射可被高灵敏度的接收设备接收并进行分析、还原，从而会造成计算机中信息的泄露。目前，屏蔽是防电磁泄露的有效措施，屏蔽方式主要包括电屏蔽、磁屏蔽和电磁屏蔽3种类型。2．逻辑安全计算机的逻辑安全需要用口令、文件许可等方法来实现。例如，可以限制用户登录的次数或对试探操作加上时间限制；可以用软件来保护存储在计算机文件中的信息。限制存取的另一种方式是通过硬件完成的，在接收到存取要求后，先询问并校核口令，然后访问位于目录中的授权用户标志号。21 第1章网络安全基础另外，有一些安全软件包也可以跟踪可疑的、未授权的存取企图，例如，多次登录或请求别人的文件。3．操作系统安全操作系统是计算机中最基本、最重要的软件。而且在同一台计算机中，可以安装几种不同的操作系统。例如，一台计算机中可以安装Windows7和WindowsXP两种系统，从而构成双系统。如果计算机系统可提供给许多人使用，操作系统必须能区分用户，以避免用户间相互干扰。一些安全性较高、功能较强的操作系统（如WindowsServer2008）可以为计算机的每一位用户分配账户。通常，一个用户一个账户。操作系统不允许一个用户修改由另一个账户创建的数据。4．联网安全联网安全是指用户使用计算机与其他计算机通信的安全，通常由以下两个方面的安全服务来达到。访问控制服务用来保护计算机和联网资源不被非授权使用。通信安全服务用来认证数据机要性与完整性，以及各通信的可信赖性。1.1.5安全管理随着网络技术的快速发展，与其相关的领域也发生了巨大变化，一方面，硬件平台、操作系统、应用软件变得越来越复杂和难以实行统一管理；另一方面，现代社会生活对网络的依赖程度逐渐加大。因此，如何合理地管理网络变得至关重要。网络管理包括监督、组织和控制网络通信服务，及信息处理所必须的各种技术手段和措施。网络管理是为了确保计算机网络系统的正常运行，并在其出现故障时能及时响应和处理。一般来讲，网络管理的功能包括配置管理、性能管理、安全管理和故障管理4个方面。由于网络安全对整个网络的性能及管理有着很大的影响，因此已经逐渐成为网络管理技术中的一个重要组成部分。网络管理主要偏向于对网络设备的运行状况、网络拓扑、信元（Cell）等的管理，而网络安全管理则主要偏向于网络安全要素的管理。其中，网络安全管理主要包括安全配置、安全策略、安全事件和安全事故4个要素内容。1．安全配置安全配置是指对网络系统各种安全设备、系统的各种安全规则、选项和策略的配置。它不仅包括防火墙系统、入侵检测系统、虚拟专用网（VPN）等安全设备方面的安全规则、选项和配置，而且也包括各种操作系统、数据库系统等系统配置的安全设置和优化措施。安全配置能否很好地实现将直接关系到安全系统发挥作用的能力。若配置得好，就能够充分发挥安全系统和设备的安全作用，实现安全策略的具体要求；若配置得不好，不仅不能发挥安全系统和设备的安全作用，还可能起到副作用，如出现网络阻塞，网络运行速度下降等情况。21 第1章网络安全基础安全配置必须得到严格的管理和控制，不能被他人随意更改。同时，安全配置必须备案存档，必须做到定期更新和复查，以确保其能够反映安全策略的需要。2．安全策略安全策略是由管理员制定的活动策略，基于代码所请求的权限为所有托管代码以编程方式生成授予的权限。对于要求的权限比策略允许的权限还要多的代码，将不允许其运行。前面提到的安全配置正是对安全策略的微观实现，合理的安全策略又能降低安全事件的出现概率。安全策略的设施包括如下3个原则。最小特权原则它是指主体在执行操作时，将按照其所需权利的最小化原则分配权利的方法。最小泄露原则它是指主体执行任务时，按照主体所需要知道的信息最小化的原则分配给主体权利。多级安全策略它是指主体与客体之间的数据流向和权限控制按照安全级别绝密（TS）、秘密（S）、机密（C）、限制（RS）和无级别（U）这5个等级来划分。3．安全事件事件是指那些影响计算机系统和网络安全的不正当行为。它包括在计算机和网络上发生的任何可以观察到的现象以及用户通过网络进入到另一个系统以获取文件、关闭系统等。恶意事件是指攻击者对网络系统的破坏，如在未经授权的情况下使用合法用户的账户登录系统或提高使用权限、恶意篡改文件内容、传播恶意代码、破坏他人数据等。安全事件是指那些遵守安全策略要求的行为。它包括各种安全系统和设备的日志及事件、网络设备的日志和事件、操作系统的日志和事件、数据库系统的日志和事件、应用系统的日志和事件等方面内容。另外，它能够直接反应网络、操作系统、应用系统的安全现状和发展趋势，是对网络系统安全状况的直接体现。提示计算机系统和网络的安全从小的方面说是计算机系统和网络上数据与信息的保密性，完整性以及信息、应用、服务和网络等资源的可用性；从大的方面来说，越来越多的安全事件随着网络的发展而出现，比如电子商务中抵赖、网络扫描、骚扰性行为、敲诈、传播色情内容，有组织的犯罪活动、欺诈、愚弄，所有不在预料之内的对系统和网络的使用和访问均有可能导致违反既定安全策略的安全事件。由于安全事件数量多、分布不均及技术分析较复杂，导致其难以管理。在实际工作中，不同的系统又由不同的管理员进行管理。面对大量的日志和安全事件，系统管理员根本就没有时间和精力对其进行察看和分析，致使安全系统和设备的安装形同虚设，没有发挥其应有的作用。所以，安全事件是网络安全管理的重点和关键。4．安全事故安全事故是指能够造成一定影响和损失的安全事件，它21 第1章网络安全基础是真正的安全事件。一旦出现安全事故，网络安全管理员就必须采取相应的处理措施和行动来阻止和减小事故所带来的影响和损失。在出现安全事故时，管理员必须及时找出发生事故的源头、始作俑者及其动机并准确、迅速地对其进行处理。另外，必须要有信息资产库和强大的知识库来支持，以保证能够准确地了解事故现场系统或设备的状况和处理事故所需的技术、方法和手段。1.1.6安全目标网络信息安全的目标是保护网络信息系统，使其减少危险、不受威胁、不出事故。从技术角度来说，主要表现在系统的可靠性、保密性、完整性、认证、可用性以及不可抵赖性等方面。现在计算机网络安全的目标是：均衡考虑安全和通信方便性。显然，要求计算机系统越安全，则对通信的限制和使用的难度就越大。而现代信息技术的发展又使通信成为不可缺少的内容，它包括跨组织、跨学科、跨地区以及全球的通信。一般来说，公司或其他经营单位的安全措施应包括如下3个主要目标。对数据存取的控制。保持系统及数据的完整性。能够对系统进行恢复和对数据进行备份（在系统发生故障时）。换句话说，一种安全的信息技术系统要对用户的访问权限予以限制，同时避免应用软件或数据的破坏，更重要的是当系统失灵时能够重新启动系统并保存重要数据的备份。计算机安全的重要性是毫无疑问的。但是计算机的安全程度应与所涉及的信息的价值相适应。应当有一个从低、中到高级的多层次的安全系统，分别对不同重要性的信息资料给予不同级的保护。1．维护隐私一个拥有存储个人和财务信息数据库的公司、医院和其他机构都需要维护隐私，这不仅是为了保护他们客户的利益，而且也是为了维护他们自己公司的利益和可信性。要维护存储在一个单位或公司网络上信息的隐私，最重要和最有效的方法之一就是向普通员工讲授安全风险和策略。这种增强自我意识的教育并非他们考虑的一项事项，但它却是一项应当实现的重要任务。毕竟有个别员工很可能会进行检测，甚至由于他们自己粗心的行为而无意中造成安全隐患。他们还能够监控同事的活动，并且可能会了解到一些人在下班后复制文件、一些人在家里使用不安全的连接访问的网络，或者一些其他可疑的活动。2．保持数据的完整性通常入侵者或破坏者会将虚假信息输入Internet或者在使用TCP/IP的网络上传输数据的数据包中。黑客能够使电子邮件看起来就像是来自正在接收它们的人，或者来自于一家受信任的公司。21 第1章网络安全基础当破坏性或伪造的数据包到达网络的外围时，防火墙、杀毒软件和入侵检测系统（IDS）都可以阻挡它们。但是，确保网络安全的一种更加有效的方法是在网络的关键位置就使网络通信免受剽窃或伪造，从而保持通信的完整性。利用在Internet上使用的多种加密方法中的任意一种，都可以保持数据的完整性。目前，最流行的方法之一是使用公钥加密技术，它使用一种称为密钥的长代码块加密通信。网络上的每个用户都可以获得一个或多个密钥，它们是由称为算法的复杂公式生成的。3．验证用户21世纪网络安全最基础和最重要的方面之一就是从防御网络（重点放在防御措施和限制访问的网络）转变到信任网络（允许那些身份通过可靠验证的信任用户访问的网络）。为此，可以设置防火墙，这样就可以迫使用户在访问联网服务器时必须输入用户名和口令。通过匹配用户名和口令或者其他方法来确定授权用户身份的过程称为身份验证。有时可以对代理服务器（为用户提供Web浏览、电子邮件和其他服务的程序，以便对网络之外的用户隐藏他们的身份）进行设置，这样当用户利用Web上网冲浪或使用其他基于Internet的服务之前，代理服务器将要求进行身份验证。4．支持连接性在Internet的早期，网络安全主要强调的是阻止黑客或其他未经授权用户访问公司的内部网络。然而，随着Internet用户的快速增长，通过Internet进行的业务量也越来越多，因此，这些企业（或其他消费用户）经常要进行的许多活动都可能会被黑客或罪犯分子利用，所以现在最需要的是与信任用户和网络的连接性。黑客或其他犯罪分子通常会通过以下手段来进行非法活动。直接访问对方企业的信息系统下订单，而不再通过电话或传真。利用Internet电子银行转账的方式付款。查找员工的记录。为需要访问网络的职员创建口令。为了保证这类业务的安全性，许多企业的传统做法就是建立租用线路。租用线路是由拥有连接线路的电信公司建立的点对点连接或其他连接。这种方式非常安全，因为它们直接将两个企业网络连接起来，其他公司或用户不能使用该电缆或连接。但是租用线路的价格非常昂贵。为了削减成本，许多已经具有与Internet高速连接的企业建立了虚拟专用网络（VPN）。VPN使用加密、身份验证和数据封装，数据封装是将数字信息的数据包装入另一个数据包从而保护前者的过程。这些VPN可以在使用Internet的计算机或者网络之间建立安全的连接。数据通过公众使用的同一个Internet从一个VPN参与者传输到另一个VPN参与者。不过，数据由各种安全措施进行安全保护。在VPN连接的每一端都可以使用防火墙阻挡未授权的通信。AAA服务器可以对通过VPN拨号进入受保护网络的用户进行身份验证。它们之所以被称为AAA服务器，是由于它们确定拨入的用户是谁（身份验证），确定允许用户在网络上进行什么活动（授权），并且记录用户在连接期间实际进行了什么活动（审计）。21 第1章网络安全基础VPN可以用多种数据加密方法。这些方法包括日益流行的Internet协议的安全（IPSec），可以在计算机、路由器和防火墙之间加密数据，并且使用加密和身份验证使数据沿着VPN安全地传输。数据以传送模式或隧道模式沿着VPN发送，这两种模式都加密TCP/IP（传输控制协议/Internet）数据包的数据有效负载。数据受到高度保护的事实是建立了和虚拟“通道”一样安全的连接，如图1-4所示。图1-4通过VPN提供安全连接1.2网络安全评价标准评价标准中比较流行的是1985年由美国国防部制定的可信计算机系统评价准则（TrustedComputerStandardsEvaluationCriteria，TCSEC），而其他国家也根据各自的国情制定相关的网络安全评价标准。1.2.1国内评价标准在我国根据《计算机信息系统安全保护等级划分准则》，1999年10月经过国家质量技术监督局批准发布的准则将计算机安全保护划分为以下5个级别。第一级用户自主保护级，本级的计算机防护系统能够把用户和数据隔开，使用户具备自主的安全防护的能力。用户可以根据需要采用系统提供的访问控制措施来保护自己的数据，避免其他用户对数据的非法读写与破坏。第二级系统审计保护级，与第一级（用户自主保护级）相比，本级的计算机防护系统访问控制21 第1章网络安全基础更加精细，使得允许或拒绝任何用户访问单个文件成为可能，它通过登录规则、审计安全性相关事件和隔离资源，使所有的用户对自己行为的合法性负责。第三级安全标记保护级，在该级别中，除继承前一个级别（系统审计保护级）的安全功能外，还提供有关安全策略模型、数据标记以及严格访问控制的非形式化描述。系统中的每个对象都有一个敏感性标签，而每个用户都有一个许可级别。许可级别定义了用户可处理的敏感性标签。系统中的每个文件都按内容分类并标有敏感性标签。任何对用户许可级别和成员分类的更改都受到严格控制。第四级结构化保护级，本级计算机防护系统建立在一个明确的形式化安全策略模型上，它要求第三级（安全标记保护级）系统中的自主和强制访问控制扩展到所有的主体（引起信息在客体上流动的人、进程或设备）和客体（信息的载体）。系统的设计和实现要经过彻底的测试和审查。系统应结构化为明确而独立的模块，实施最少特权原则。必须对所有目标和实体实施访问控制政策，要有专职人员负责实施。要进行隐蔽信道分析，系统必须维护一个保护域，保护系统的完整性，防止外部干扰。系统具有相当的抗渗透能力。第五级访问验证保护级，本级的计算机防护系统满足访问监控器的需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的；必须足够小，能够分析和测试。为了满足访问监控器需求，计算机防护系统在其构造时，排除那些对实施安全策略来说并非必要的部件，在设计和实现时，从系统工程角度将其复杂性降到最小程度。支持安全管理员职能；扩充审计机制，当发生与安全相关的事件时发出信号；提供系统恢复机制。系统具有很高的抗渗透能力。我国是国际化标准组织（InternationalStandardizationOrganization，ISO）的成员国，信息安全标准化工作在全国信息技术标准化技术委员会、信息安全技术委员会和社会各界的努力下正在积极开展。从20世纪80年代中期开始，我国就已经自主制定和采用了一批相应的信息安全标准。但是，标准的制定需要较为广泛的应用经验和较为深入的研究背景，相对于国际上其他发达国家信息技术安全评价标准来讲，我国在这方面的研究还存在差距，较为落后，仍需要进一步提高。1.2.2美国评价标准美国计算机安全标准是由美国国防部开发的计算机安全标准——可信计算机系统评价准则，也称为网络安全橙皮书，主要通过一些计算机安全级别来评价一个计算机系统的安全性。在该标准中定义的安全级别描述了计算机不同类型的物理安全、用户身份验证（Authentication）、操作系统软件的可信任度和用户应用程序。同时，也限制了什么类型的系统可以连接到用户的系统。另外，该准则自1985年问世以来，一直就没有改变过，多年来一直是评估多用户主机和小型操作系统的主要标准。其他方面，如数据安全、网络安全也一直是通过该准则来评估的。如可信任网络解释（TrustedNetworkInterpretation）、可信任数据库解释（TrustedDatabaseInterpretation）。TCSEC将安全级别从低到高依次划分为D类、C类、B类和A类4个安全级别，每类又包括几个级别，如表1-1所示。21 第1章网络安全基础表1-1安全级别类别级别名称主要特征DD低级保护没有安全保护CC1自主安全保护自主存储控制C2受控存储介质单独的可查性，安全标识BB1标识的安全防护强制存取控制，安全标识B2结构化保护面向安全的体系结构，较好的抗渗透能力B3安全区域存取监控，高抗渗透能力AA验证设计形式化的最高级描述和验证1．D级D级是该标准中最低的安全级别，该级说明整个系统是不可信的。换句话说，拥有这个级别的操作系统就像一个门户大开的房子，任何人都可以自由进出，是完全不可信任的。对于硬件来说，没有任何保护作用；对于操作系统来说较容易受到损害；对于用户和他们存储在计算机上的信息来讲，没有系统访问限制和数据访问限制，任何人不需要账户都可以进入系统，不受限制就可以访问他人的数据文件。属于该安全级别的操作系统都是早期的操作系统，如MS-DOS、Windows98和Apple的MacintoshSystem7.X等。这些操作系统不区分用户，并且没有定义一种方法来决定谁来操作，这些操作系统对计算机硬盘上的信息都可以访问，而没有控制。2．C级C级安全级别能够提供审慎的保护功能，并具有对用户的行为和责任进行审计的能力。该安全级别又由C1和C2两个子安全级别共同组成。C1C1安全级别又称为选择性安全保护（DiscretionarySecurityProtection）系统，描述了一个典型的用在UNIX系统上安全级别。该级别对于硬件来说存在某种程度上的保护，因此不那么容易受到损害。如用户拥有注册账号和口令，系统则通过该账号和口令来识别用户是否合法，并决定用户对程序和信息拥有什么样的访问权，但硬件受到损害的可能性仍然存在。用户拥有的访问权是指对文件和目标的访问权。文件的拥有者和超级用户可以改变文件的访问属性，从而对不同的用户授予不同的访问权限。C2C2级除C1级包含的特性外，还具有访问控制环境（ControlledAccessEnvironment）的安全特征。访问控制环境具有进一步限制用户执行某些命令或访问某些文件的能力，这不仅仅是基于许可权限，而且还基于身份验证级别。这种级别要求对系统加以审核，并写入日志中，例如，用户何时开机、哪个用户在何时何地登录系统等。通过查看日志信息，就可以发现入侵的痕迹，如发现多次登录失败的日志信息，那么可大致得出有人想入侵系统。另外，审核用来跟踪记录所有与安全有关的事件，比如系统管理员所执行的操作活动，审核对身份的验证。审核的缺点就是需要额外的处理器和磁盘空间。21 第1章网络安全基础使用附加身份验证就可以让一个C2级系统用户在不是超级用户的情况下有权执行系统管理任务。授权分级使系统管理员能够给用户分组，授予他们访问某些程序的权限或访问特定的目录。能够达到C2级别的常见操作系统有如下几种类别。UNIX系统。Novell3.X或者更高版本。WindowsNT、Windows2000和WindowsServer2003。3．B级B类安全等级可分为B1、B2和B33个子安全级别。B类系统具有强制性保护功能，强制性保护意味着如果用户没有与安全等级相连，系统就不会允许用户存取对象。B1B1级也称为标志安全保护（LabeledSecurityProtection），是支持多级安全（如秘密和绝密）的第一个级别。这一级说明一个处于强制性访问控制之下的对象，不允许文件的拥有者改变其许可权限。提示安全级别存在保密、绝密级别，这种安全级别的计算机系统一般用于政府机构中，比如国防部和国家安全局的计算机系统。B2B2级又称为结构保护（StructuresProtection）级别，要求计算机系统中所有对象都要加注标签，而且还要给设备（如磁盘、磁带等）分配单个或多个安全级别。这样构成了一个由较高安全级别的对象与另一个较低安全级别的对象通信的级别。B3B3级又称为安全域（SecurityDomain）级别，使用安装硬件的方式来加强域的安全。例如，安装内存管理硬件用于保护安全域免遭无授权访问或更改其他安全域的对象。这种级别也要求用户的终端通过一条可信任的途径连接到系统上（如防火墙技术）。4．A级A级又称为验证设计（VerifiedDesign）级别，是当前橙皮书的最高级别，包含一个严格的设计、控制和验证过程。该级别包含了较低级别的所有的安全特性。安全级别设计必须从数学角度上进行验证，而且必须进行秘密通道和可信任分布分析。可信任分布（TrustedDistribution）的含义是：硬件和软件在物理传输过程中受到保护以防止破坏安全系统。另外，橙皮书也存在不足。橙皮书是针对孤立计算机系统，特别是小型机和主机系统。假设有一定的物理保障，该标准适合政府和军队，不适合企业，这个模型是静态的。1.2.3加拿大评价标准在欧洲研究和发展计算机安全评估标准的同时，加拿大也开始了这方面的研究，1988年8月，加拿大系统安全中心（CanadianSystemSecurityCenter，CSSC）成立，主要任务是开放能满足加拿大政府的独特要求的标准和提高加拿大的评估计算机系统安全的能力。21 第1章网络安全基础最早的加拿大标准“加拿大可信任计算机产品评估标准（CanadianTrustedComputerProductEvaluationCriteria，CTCPEC）”于1989年5月公布，1990年12月推出了2.0版本，1991年7月推出了2.1版本，并于1993年推出了3.0版本。CTCPEC3.0版本综合了欧洲ITSEC和美国TCSEC的优点。提示在美国发表TCSEC之后，欧洲各国就开始对信息技术的安全问题进行研究，并且发表了自己的信息技术安全评价标准。1991年，由德国、法国、荷兰和英国共同合作并发表了“信息技术安全评价标准（InformationTechnologySecurityEvaluationCriteria，ITSEC）”的共同标准。美国的TCSEC主要针对的是多用户大型机和小的操作系统。而对于数据库、网络和子系统等都只是进行解释说明，例如，可信数据库解释、可信网络解释。为了避免使用解释条款，加拿大标准针对的目标更加广泛，包括大型机、多处理系统、数据库、嵌入式系统、分布式系统、网络系统和面向对象系统等。加拿大的安全标准对开发的产品或评估过程强调功能和保证两个部分。功能（Functionality）功能包括保密性、完整性、可用性和审核4个方面的标准。这4个标准之间可能存在一些相互依赖关系，如果这些标准在不同服务之间存在相互依赖关系，这种关系称为约束。保证（Assurance）保证包含保证标准，是指产品用以实现组织的安全策略的可信度。保证标准评估是对整个产品进行的。如一个被评为T-4保证级别的标准，那么它所提供的每个服务都能达到该标准要求。CTCPEC标准制定的较为细致，它的功能标准中的每个服务都具有不同的级别，表1-2列出了它的不同标准中服务的级别。表1-2加拿大CTCPEC中的标识和级别标准字母符号全称范围保密性（Confidentiality）CC转换通道（ConvertChannels）CC0～CC3CD任意保密性（DiscretionaryConfidentiality）CD0～CD4CM强制保密性（MandatoryConfidentiality）CM0～CM4CR对象重用（ObjectReuse）CR0～CR1完整性（Integrity）IB域完整性（DomainIntegrity）IB0～IB2ID任意完整性（DiscretionaryIntegrity）ID0～ID4IM强制完整性（MandatoryIntegrity）IM0～IM4IP物理完整性（PhysicalIntegrity）IP0～IP4IR回滚（Rollback）IR0～IR2IS责任分离（SeparateOfDuties）IS0～IS3IT自我检测（SelfTesting）IT0～IT3可用性（Availability）AC封装（Containment）AC0～AC3AF容错性（FaultTolerance）AF0～AF3AR健壮度（Robustness）AR0～AR2AY恢复（Recovery）AY0～AY321 第1章网络安全基础续表标准字母符号全称范围可审核度（Accountability）WA审计（Audit）WA0～WA5WI身份认证（IdentificationandAuthentication）WI0～WI3WT信任通道（TrustedPath）WT0～WT3保证度T保证度（Assurance）T0～T71.2.4美国联邦标准1993年，美国国家标准和技术研究所（NationalInstituteofStandardandTechnology，NIST）和国家安全局（NationalSecurityAgency，NSA）联邦标准（FederalCriteria，FC）项目组联合发布了信息技术安全联邦标准（FederalCriteriaforInformationTechnologySecurity）。美国联邦标准综合了欧洲的ITSEC和加拿大的CPCETC的优点，用来代替原来的橙皮书TCSEC，成为新的联邦信息处理标准（FederalInformationProcessingStandard，FIPS）。这个标准引入了保护轮廓（ProtectionProfiles）的概念。保护轮廓是以通用要求为基础创建的一套独特的IT产品安全标准。它是关于IT产品安全方面的抽象描述，但却独立于产品，描述了符合这个安全需求的某一类产品。另外，保护轮廓需要对设计、实现和使用IP产品的要求进行详细说明。通常，保护轮廓由如下5个方面构成。提示IT英文全称为“InformationTechnology，信息技术”，包括硬件、软件和应用3个层次。其中，硬件主要是指数据存储、处理和传输的主机和网络通信设备；软件包括可用来搜集、存储、检索、分析、应用、评估信息的各种软件，既包括企业资源计划（ERP）、CRM客户关系管理（CRM）等商用管理软件，也包括用来加强流程管理的工作流（WF）管理软件、辅助分析的数据仓库和数据挖掘（DW/DM）软件等；应用是指搜集、存储、检索、分析、应用、评估使用的各种信息，1．描述元素描述元素提供明确、分类、记录和交叉引用等描述性信息。描述性的说明要阐述轮廓的特性，以及要解决的问题。2．基本原理基本原理部分提供保护轮廓的基本定位，包括威胁、环境和使用假设。另外，基本原理还进一步说明符合这个要求的一个IT产品要解决的安全问题的详细特征。3．功能要求功能要求部分用来建立IT产品要提供的信息保护范围。在这个范围之内对信息的威胁必须和这个范围之内的保护功能相对应。从理论上讲，威胁越大，保护功能越强。21 第1章网络安全基础4．开发保证要求开发保证要求部分包含IT产品的所有开发阶段，从初始的产品设计到实现。特别是开发保证要求包含开发过程、开发环境和操作支持环境。另外，由于多数的开发保证要求是随时可以测试的，因此必须检查产品开发的证据或者是文档，以表明保证要求已经达到，且这些证据或文档需要保留，供以后评估使用。5．评估保证部分评估保证部分要求详细说明对某一产品要进行怎样的评估，包括评估的类型和强度，通常评估的类型和强度会随着基本原理所描述的预期威胁、预期使用方法和假象环境的不同而不同。1.2.5共同标准由于较多的安全标准都没有得到广泛的承认，国家标准化组织于1990年开始着力于研究一个共同标准。直到1993年，德国、法国、荷兰、英国、加拿大和美国这6个国家的7个部门联合在一起，才将他们的标准组合成一个单一的全球标准，即信息技术安全评估共同标准（CommonCriteriaforInformationTechnologySecurityEvaluation，CCITSE），通常称为共同标准（CommonCriteria，CC）。1．绪论和总体模型绪论和总体模型为CC的第一部分，该部分是对CC的介绍。它定义了安全评估的总体概念和原则并给出了一个总体的评估模型。另外，第一部分给出描述IT安全目标、选择和定义IT安全要求、给产品和系统书写高级规范的结构。还说明CC的每个部分对哪些人有哪些作用。2．安全功能要求安全功能要求为CC的第二部分，建立了一套功能要求组件，作为表达评估对象功能要求的标准方法。3．安全保证要求安全保证要求为CC的第三部分，建立了一套保证组件，作为表达评估对象保证要求的标准方法。其中，也给出了已经定义好的CC评估保证级别（EvaluationAssuranceLevel，EAL）。CC评估保证级别通常有7个保证级，称为EAL1～EAL7。EAL1保证级EAL 1保证级为最低的保证级别，它对开发人员和用户来说是有意义的。它定义了最小程度的保证，以产品安全性能分析为基础，并以使用功能和接口设计来理解安全行为。EAL2保证级EAL2保证级是在不需要强加给产品开发人员除EAL21 第1章网络安全基础1要求的任务之外的附加任务的情况下，可授予的最高的保证级别。它执行对功能和接口规范的分析以及对产品子系统的高级设计检查。EAL3保证级EAL 3保证级是一种中间的独立确定的安全级别，就是说安全要由外部源来证实。该级别允许设计阶段给予最大的保证，而测试过程中几乎不加修改。最大的保证是指在设计时已经考虑到了安全问题，而不是设计完之后再实现安全性，开发人员必须提供测试数据，包括易受攻击的分析，并有选择地加以验证。EAL4保证级EAL4保证级是改进已有生产线可行的最高保证级别。它向用户提供了最高的安全级别，也是以良好的商业软件开发经验为基础的。除了具有EAL3级的内容外，EAL4还包含对产品的易受攻击性进行独立的搜索。EAL5保证级EAL5保证级对现有的产品来说是不易达到的，该级别使用于那些在严格的开发方法中要求较高保证级别的开发人员和用户。在这一级别上开发人员也必须提出设计规范和如何从功能上实现这些规范。EAL6保证级EAL6保证级包含一个半正式的验证设计和测试主件，并包含EAL5级的所有内容，除此之外还应提出实现的结构化表示。同时，产品要经受高级的设计检查，而且必须保证具有高度的抗攻击性能。EAL7保证级EAL7保证级用于最高级别的安全应用程序。EAL7包含完整的、独立的和正式的设计、测试和验证。1.2.6网管心得——网络安全防范建议网络安全是一个相对的而非绝对的概念，所以用户必须居安思危，时时作好防范准备。网络安全也是一个动态更新的过程，其对安全的威胁因素是不可能根除的，所以不能存在侥幸心理，应时刻保持警惕。为此，用户在使用计算机或网络时应具备一些安全防范意识。1．使用防火墙防火墙（Firewall）是指隔离在信任网络（本地网络）与不可信任网络（外部网络）之间的一道防御系统。它是一种非常有效的网络安全系统，通过它可以隔离风险区域（Internet或其他存在风险的网络）与安全区域（本地网络）的连接，而不会妨碍安全区域对风险区域的访问。但是，在单位或公司的网络中，即使配置了防火墙，也不能保证该网络就是100%安全的，因此不能而掉以轻心。2．主动防御21 第1章网络安全基础由于现在的防病毒软件、防火墙等防御措施都是被动的，它们都是在危险发生时才能发挥其应有的作用，这对于系统来说是很不安全的。主动防御是指在明确病毒或其他危险活动所产生行为的基础上，对网络中数据行为进行分析，查找并终止类似病毒或其他危险活动行为的产生。3．安装系统补丁目前，黑客、病毒、木马等大部分危险因素都是利用系统漏洞，编写相应程序来实现入侵的。因此，及时安装系统补丁封堵系统漏洞也是保护网络安全的有效方法。4．提高用户的安全意识用户的安全意识在一定程度上对网络安全起着决定性的作用，因为大部分黑客对网络进行的攻击都是从用户作为首要目标。用户应该注意以下几个方面。在发送信息时，应该确定接收方的真实身份。使用强密码，不要使用简单的、确实存在的单词或个人生日等信息作为密码，因为攻击者通过口令探测工具很容易将其猜出。不要将密码随意放在易被发现的位置。养成定时更换密码的习惯。不同操作系统或不同用户要使用完全不相同的密码。不能出现诸如admin1、admin2等这样只更改部分字符的密码。对于使用过的文件应该使用文件粉碎机将其彻底粉碎，不能将文件随意丢弃。适时对磁盘进行清理，以防留下曾经删除和改正等使用痕迹。网络安全是一项艰巨的动态工程。它的安全程度会随着时间的推移而发生变化。在信息技术日新月异的今天，网络安全的实现要随着时间和网络环境的变化或技术的发展而不断调整自身的安全防范策略。1.3常见的安全威胁与攻击计算机网络安全受到的威胁不仅包括“黑客”的攻击、计算机病毒和拒绝服务攻击（DenialofServiceAttack），还包括常见的非授权访问、假冒合法用户、数据完整性受破坏和通信线路被窃听。1.3.1网络系统自身的脆弱性21 第1章网络安全基础网络系统自身由于系统主体和客体的原因可能存在不同程度的脆弱性，因此为各种动机的攻击提供了入侵、骚扰或破坏网络系统的途径和方法。网络系统自身的脆弱性是指网络系统的硬件资源、通信资源、软件及信息资源等，因可预见或不可预见甚至恶意的原因而可能导致系统受到破坏、更改、泄露和功能失效，从而使系统处于异常状态，甚至崩溃瘫痪等。21