1、第1章 计算机网络安全概论,重点和难点 网络安全的基本概念、内容和方法 网络安全体系结构 网络安全评估 掌握 网络安全的基本概念、内容、目标和要求; 网络安全体系结构及基本思想方法; 网络安全评估的的基本概念及其主要过程;了解 根据安全区域划分的四种类型的网络及其安全问题; 网络安全问题的根源、分类和常见的安全威胁; 网络安全等级标准的概念;,1.1 计算机网络安全的基本概念,1.1.1 什么是网络安全计算机网络信息系统的安全,就是要保证整个计算机网络信息系统的正确运行和不受威胁。网络安全既要保证网络系统的物理硬件与基础设施的安全,又要保证软件系统与数据信息的存储、传输和信息处理的全部过程的安
2、全。,1计算机网络安全的目标和要求计算机网络安全的目标就是保护网络上的信息与资源、保护网络通信和数据处理服务、以及保护网络设备和设施。在网络环境下,信息安全包括存储安全和传输安全两个方面。信息的存储安全是一种静态安全。对于一些十分机密的信息应采取严密的隔离措施加以保护,一般情况下,通过设置访问权限、身份识别、局部隔离等措施进行保护。使用访问控制技术是解决静态信息安全的有效途径。,信息的传输安全是一种动态安全,为了确保信息的传输安全和确保接收到的是真实信息,必须防止下列网络现象发生:冒充 、重演 、篡改 、截获 、中断 、抵赖 。2计算机网络安全的主要内容在理论上,计算机网络安全包括理论研究和应
3、用实践两个方面。理论研究主要包括安全协议、算法、安全机制、政策法规、标准等;应用实践主要包括安全体系、安全策略、安全管理、安全服务、安全评价、安全软硬件产品开发等。在技术上,网络安全包括物理安全、运行安全、信息安全和安全保证四个方面。,3计算机网络安全的主要措施1)预防。是一种积极主动的安全措施,它可以排除各种预先能想到威胁。2)检测。也是一种积极主动的安全措施,它可预防那些较为隐蔽的威胁。3)恢复。是一种消极的安全措施,它是在受到威胁后采取的补救措施。,1.1.2 几种类型的网络及其安全问题,1网络的类型描述(1)单机节点单机节点是指由计算机系统及其配套的基础设施组成的独立系统。其中,计算机
4、系统可以是网络中的任何具有信息处理和交换能力的主机设备,如服务器、工作站、共享打印机等。而基础设施是指支持计算机系统工作的各类辅助设备和设施,包括网络适配器、线路、工作环境、纸张、移动介质等。,(2)单一网络在单一安全策略管理下,将若干单机节点用通信网络连接起来的系统称为单一网络。其中,安全策略规定了单一网络的安全范围和目标,明确在安全范围内哪些操作是允许的,哪些是不允许的。单一网络主要用于某个部门内部的信息处理业务,共享其内部资源、满足其内部分布式业务处理的各种需求。组建单一网络的基本要求:事先建立统一的安全策略和管理制度;建立统一的组网策略、网络结构和全方位的安全连接;使用标准网络技术、安
5、全技术、认证技术和通用操作界面,并与原有网络和应用相结合。,(3)互联网络在一个信息安全(IA,Information Assurance)机制的统一控制管理和服务基础上,将若干单机节点、单一网络通过网络和基础设施互联起来的系统称为互联网络。其中,网络和基础设施主要指在单一网络间提供连接的设备和设施,包括在LAN、MAN、WAN、以及网络节点间(如路由器和交换机)传递信息的传输部件(如卫星、微波、光纤等)和其他重要的网络基础设施组件(如网络管理组件、域名服务器及目录服务组件等)。,组建互联网络的基本要求是:事先建立统一的信息安全机制(IA)保证各单一网络间及整个网络系统的安全性;满足易用、易扩
6、展和互操作性能要求,真正扩充原有网络的应用功能;建立和健全安全管理和法律保障措施,消除潜在的影响。组建互联网络的基本方法主要是采用异步传输模式ATM、帧中继方式和VPN技术。,图1.1一个互联网络模型,(4)开放互联网络所谓开放互联网络就是指具有全球性质的互联网络,它没有归属权,但需要有一个全球统一的安全策略和保障机制,这套机制是每个互联网络中的IA机制都能接受并遵守的。2网络的安全性及其隐患一台独立的计算机系统具有较高的信息处理能力,它为人们的工作和生活带来便利,但其功能是受限的,当将其连接到一个网络中,实现资源共享,构成较大的分布式信息处理系统时,就可以发挥更大的作用。同时,信息处理系统的
7、安全性和隐患也随之增加了。,当今社会的发展,对计算机系统特别是对计算机网络的依赖程度越来越高,安全问题越来越突出、涉及范围越来越广、解决安全问题的方法越来越复杂。针对计算机网络,需要安全保护的重点内容是:信息与数据,包括各种软件资源和与安全措施有关的参数(如:口令、密码等);数据通信过程和各种数据处理服务;各种网络设备和设施。,3单机节点的安全问题单机节点中的安全问题可用图1.2进行描述。图中的双线圆代表单机节点系统,双竖线代表单机节点环境与接入的网络环境的边界(它是单机节点与网络的接入点,如网卡等),空心箭头代表威胁。,边界,威胁,威胁,图1.2 单机节点受威胁,从图1.2中可以看出,对单机
8、节点的威胁来自外部威胁和内部威胁两个方面。(1)外部威胁外部威胁主要是通过网络非法访问单机节点来窃取和破坏单机节点上的信息资源。这种非法访问目的可能的原因是:展示个人技术,仅仅满足于通过网络突破和进入一个计算机系统;对现实不满或进行犯罪活动,为报负或经济利益而寻求破坏和使用系统资源;查找计算机系统存在的弱点及其所处的逻辑位置,变非法用户为合法用户,为截获和篡改数据做准备;利用系统缺陷,禁止合法用户使用系统资源。,(2)内部威胁1)由单机节点自身产生的威胁大多数系统软件和应用软件都存在各种各样的问题,很容易受到攻击和破坏,同时,也威胁着自身的安全。某些硬件系统也存在着不足。例如,单机节点很可能出
9、现电磁泄露现象,某些国外的间谍机构还将特定的微型收发系统置入CPU内部来窃取情报,其危险性可想而知。2)由单机节点环境产生的威胁单机节点环境构成的威胁主要是破坏物理设备和非法访问系统。,综上所述,单机节点的安全问题可归纳如下:偷窃和破坏网络设备和基础设施;通过网络或搭线连接等方式来截获、篡改、干扰和监听单机节点内部的信息及其与网络进行交换的各种信息;通过网络、移动介质或其它方式导致有害程序或病毒的入侵;非法访问单机节点及其相关资源;在单机节点上安装的操作系统、数据库、应用软件等自身存在的缺陷和漏洞;单机节点上的安全配置不完善;恶意操作或误操作。,4单一网络的安全问题单一网络的安全问题可用图1.
10、3进行描述。对单一网络的威胁同样来自内部和外部两个方面。除对单机节点的威胁外,单一网络内部受到威胁的对象还有通信网络。对通信网络的威胁主要有:破坏网络通信设备和设施;截获、篡改、干扰和监听网络传递的数据信息;向通信网络发送大量垃圾数据,造成网络通信服务中断;讹用和删除网络信息、更改网络配置参数等,致使网络服务异常;通信网络自身缺陷和漏洞。为了保护单一网络内部的安全,可以在边界上采用防火墙、门卫系统、VPN、标识和鉴别、访问控制等多种控制措施对进出信息加以控制,并采用基于网络的入侵检测系统(IDS,Intrusion Detection System)、网络病毒检测器等各种监督措施对网络上的流动
11、信息进行检测。,通信网络,边界,边界,边界,单一网络内部环境,单一网络外部环境,其他网络,通信网络,其他网络,图1.3 单一网络受威胁图,5互联网络的安全问题大多数互联网都是建立在公共网络之上的,它的安全问题不仅要考虑单机节点和单一网络,还要考虑公网的安全问题。图1.4描述了一个建立在公网之上的互联网络安全问题的例子。从图1.4中可以看出,单一网络是对外开放的,互联网络内的任何一个节点都可以通过某种方式访问网络内任何一个单一网络,这给网络安全带来隐患是避免不了的。另一方面,互联网中的用户数量增多,网络基础设施规模庞大,都会给整个网络增加安全隐患。,图1.4 一个基于公网的互联网络受威胁图,在网
12、络环境下,加强对网络边界的访问控制和检测更为重要。在图1.5中,A、B和C三个单一网络是采用不同设计方案互联在一起的,为了提高安全性,采用VPN技术在公网中划分了一个专用数据网络。在这个互联网中,网络B的安全隐患明显增加,网络C次之,网络A的安全性能最好,所需费用也最高。,单一网络 A,Internet,单一网络 B,单一网络 C,路由器,路由器,路由器,防火墙,防火墙,认证代理,VPN,防火墙,图1-5 建立在Internet上的互联网实例,6Internet网络的安全问题Internet网络是一个全开放的国际互联网络平台,它包容了各种类型的网络。在网络和基础设施得到安全保障的前提下,数据通
13、信安全和网络服务安全是Internet网络中较为突出的两个问题,而网络安全服务又是建立在数据通信安全基础之上的。在数据通信安全方面,Internet网络可能会遇到四种类型的安全问题:数据通信被中断(失去可用性);通信数据内容被篡改(失去完整性);通信数据被窃取(失去保密性);传递以别人名义伪造的数据(失去真实性)。,Internet网络可能遇到的安全问题主要表现在:认证环节溥弱、脆弱性的口令设置和认证的对象范围宽范不具体;易被监视,远程登录、FTP均使用明文传输口令,极易被窃取,电子邮件、文件传输的流向易被监视分析等;易被欺骗性,由于Internet不能有效判断出数据包的源IP地址,因此,经常
14、受到数据包被截获而重放的攻击;由于局域网服务存在缺陷,以及主机间的相互信任关系,所以很容易导致管理放松和麻痹大意;复杂的设备和配置很容易产生配置错误,进而使恶意者趁虚而入。,1.1.3 安全问题的根源,安全问题最终是人的问题,根据人的行为可将网络安全问题分为偶发性和故意性两类。为了能够不断改进和完善自己所设计的系统软件和应用软件的功能,在设计期间,开设了“后门”,这个后门只有设计者知道,通过“后门”可以随意更新和修改软件内容。网络管理人员在使用网络系统时,由于操作失误,也会给网络带来灾难性后果。,1.1.4 常见的安全威胁,常见的网络安全威胁有以下几种:1)窃取机密信息。2)非法访问。3)恶意
15、攻击。4)各种不同目的的黑客攻击;5)计算机病毒。6)散布和传播有害社会、有害个人、有害集体、有害国家的不良信息资源。7)信息战需要8)利用各种手段偷窃和破坏网络上的物理设备和基础设施。,1.1.5 网络安全问题分类,从宏观上,可将网络安全问题分为内部问题和外部问题两类。除自然灾害外,根据网络安全问题的来源可将网络安全问题归纳成以下五类:1)物理安全问题。2)方案设计缺陷。3)操作系统和应用软件存在漏洞和后门。4)协议体系中存在的缺陷。5)人为因素。,1由计算机网络内部因素引起的问题网络系统本身的脆弱性是导致网络安全问题产生的内部原因。网络系统的脆弱性表现在:1)大部分网络和基础设施处于暴露状
16、态;2)网络系统的安全策略和安全管理的不完善;3)网络设计方案存在的缺陷;4)软件系统包括操作系统、数据库、应用软件和服务软件等存在大量漏洞和后门;5)网络协议体系的缺陷。,2由计算机网络外部因素引起的问题与网络安全问题相关的外部因素主要包括以下五种:1)法律保障机制的不健全;2)网络管理和安全策略上的疏漏;3)设计方案中存在的缺陷;4)误操作、恶意攻击、干扰和破坏等;5)不可抗拒的因素。由外部因素引发的安全问题主要有以下三个方面:1)网络和基础设施遭受破坏,造成网络系统瘫痪;2)通过技术手段影响网络系统正常工作;3)使用先进技术入侵网络系统进行窃取、监听、篡改网络信息,植入有害程序长期威胁网
17、络系统。,1.2 计算机网络安全体系结构,一般安全模型是基于安全策略建立起来的,它的基本结构如图1.6所示。所谓安全策略是指为达到预期安全目标而制定的一套安全服务准则。目前,多数网络安全策略都是建立在认证、授权、数据加密和访问控制等概念之上的,互联网络上常见的有直接风险控制策略、自适应网络安全策略和智能网络系统安全策略。,1.2.1 一般安全模型,在图1.6中,主机安全的内容主要包括:认证用户身份;有效控制对系统资源的访问;安全存储、处理系统中的数据;审计跟踪;系统漏洞检测、信息恢复等。,图1.6 一般安全模型,组织管理的主要内容包括:建立健全安全管理规范,因为最安全的环节是人为实现的,最溥弱
18、的环节也是人为造成的,如何加强对人的管理是网络安全中的大问题。法律保障的主要内容包括:隐私权、知识产权、数据签名、不可抵赖性服务。,为了实现PPDR模型,提高整个网络的安全性能,1997年ISS公司推出了基于PPDR的网络安全解决方案。该方案包括Internet扫描组件、系统扫描组件、数据库扫描组件、实时监控制组件和套件决策软件等内容,可用于网络安全的策略、保护、检测、响应等各个环节。,图1-7 PPDR网络安全模型,1.2.2 ISO/OSI安全体系,ISO/OSI安全体系包括安全服务、安全机制、安全管理和安全层次四部分内容。其中,安全机制是ISO/OSI安全体系的核心内容之一。1安全服务I
19、SO/OSI安全体系中提供了认证服务、数据机密性服务、数据完整性服务、访问控制服务和不可否认性服务。 2安全机制ISO/OSI安全体系中的安全机制分为特殊安全机制和通用安全机制。特殊安全机制有:加密机制、数字签名、访问控制、数据完整性、鉴别交换、业务流量填充、路由控制和公证机制。通用安全机制包括:可信任功能、安全标签、事件检测、安全审计跟踪和安全恢复。,3安全管理ISO/OSI安全体系中的安全管理可分为系统安全管理、安全服务管理和安全机制管理三个部分。系统安全管理包括:安全策略管理、事件处理管理、安全审计管理、安全恢复管理等。安全服务管理包括:为服务决定与指派目标安全保护、指定与维护选择规则、
20、用以选取为提供所需的安全服务而使用的特定的安全机制、对那些需要事先取得管理同意的可用安全机制进行协商(本地的和远程的)、通过适当的安全机制管理功能调用特定的安全机制。安全机制管理包括:密钥管理、加密管理、数字签名管理、访问控制管理、数据完整性管理、鉴别管理、通信业务填充管理、路由选择控制管理和公证管理等。,4安全层次模型ISO/OSI安全体系是通过在不同的网络层上分布不同的安全机制实现的,这些安全机制是为了满足相应的安全服务所必须选择的,其在不同网络层上的分布情况如图1.8所示。,R,应用层安全,网络接入层安全,TCP层安全/IP层安全,网络接入层安全,R,R,表1.1 ISO/OSI安全体系
21、中的安全服务与安全机制间的关系表,1.2.3 信息安全保证技术框架,信息安全保证技术框架将信息安全分成四个主要环节,即:保护(Protect)、检测(Detect)、响应(React)和恢复(Restore),如图1.9所示,简称为PDRR模型。,图1-9 信息安全保证技术框架,PDRR模型是美国近年提出的概念,其重要思想包括:1)信息安全的三大要素是人、政策和技术。政策包括法律、法规、制度和管理等。2)信息安全的内涵包括:鉴别性、保密性、完整性、可用性、不可抵赖性、责任可检查性和可恢复性等几个目标;3)信息安全的重要领域包括:网络和基础设施安全、支撑基础设施安全、信息安全、以及电子商务安全等
22、;4)信息安全的核心是密码理论和技术的应用,安全协议是纽带,安全体系结构是基础,监控管理是保障,关键是设计和使用安全芯片。5)网络安全的四个主要环节包括保护、检测、响应和恢复。,网络安全与四个主要环节的处理时间直接相关。在PDRR模型中,网络安全的含义与被攻破保护的时间(Pt)、检测到攻击的时间(Dt)、响应并反攻击的时间(Rt)和系统被暴露的时间(Et)直接联系在一起。根据这些时间的描述,可将网络安全划分为两个阶段,一是检测-保护阶段;二是检测-恢复阶段。当Pt Dt + Rt时,说明网络处于安全状态;当Pt Dt + Rt时,说明网络已受到危害,处于不安全状态;当Pt = Dt + Rt时
23、,网络安全处于临界状态。,1单机节点的基本结构单机节点是网络安全的重要环节,也是涉及安全问题较多的部位。网络上的单机节点可分为网络服务器和客户机两类。单机节点的基本结构如图1.10所示。,图1.10 单机节点的基本结构,2网络边界由单一网络定义的一个网络范围称为区域,将区域与外部网络发生信息交换的部分称为区域边界,即计算机网络边界,简称边界。边界的主作用有两个。一是防止来自外部网络的攻击;二是对付来自内部的威胁。在区域边界上,可以严格控制信息进出,确保进入的信息不会影响到区域内资源的安全,而出去的信息是经过合法授权的。,3网络和基础设施网络和基础设施包括了各种用于联网的网络、网络组件及其他重要
24、组件等。4支撑基础设施支撑基础设施是指能使IA机制可用的一个基础平台。完整的网络安全框架如图1.11所示。,图1.11 一个较完整的网络安全框架示意图,1.2.4 WPDRRC安全模型,WPDRRC安全模型是我国863信息安全专家组推出的适合中国国情的信息系统安全保障体系建设模型。WPDRRC模型是在PDRR基础上改进的,它在PDRR前后增加了预警(Warning)和反击(Counterattack)功能。WPDRRC模型则把信息安全保障划分为预警(W)、保护(P)、检测(D)、反应(R)、恢复(R)和反击(C)六个环节。预警能力包括攻击发生前的预测能力和攻击发生后的告警能力两个方面。反击能力
25、是指取证和打击攻击者的能力。,1.3 计算机网络安全等级标准,如何增强网络系统的可信度,是广大网络应用者非常关心的问题,进而产生了各种用于评估网络系统的可信度的评估标准。在国际上,先后产生的具有一定影响的评估标准依次为:美国可信任的计算机系统评估准则(1983年公布)、欧洲标准(1991年公布)、国际通用标准(1999年正式标准)。自1999年后,我国也制定了相应的国家标准并开始实施,详见本书第11章。美国在1999年开始使用国际通用标准,同时,停止使用在1983年公布的评估准则。,1.4.1 安全评估的基本概念,网络信息系统的拥有者总是希望以较小的代价来获取较大的安全,为了实现这种目的必须进
26、行安全评估,并通过安全评估来增强安全意识,明确网络系统中的资源状况和系统中存在的漏洞信息,找出网络信息系统可能受到的威胁,制定一套合理的网络安全策略和管理措施。网络安全评估就是正确对待网络安全问题的一个管理过程,这个过程主要涉及安全分析、安全评估、安全决策和安全监测四个环节,如图1.12所示。,1.4 计算机网络安全评估,1.4.2 安全分析,进行安全分析就是要明确诸如:“网络信息系统中有哪些资产?”、“哪些资产可能会出现安全问题?”、“这些可能出现安全问题的特定资产存在什么样的安全漏洞?”、“这些漏洞会引发什么样的攻击行为?”、“这些可能的攻击行为发生的可能性有多大?”和“一旦发生安全事故将
27、会造成多大损失?”等一系列问题。,图1.12 网络安全评估涉及到的四个主要环节及其相互关系,安全分析主要是针对包括网络系统的体系结构、安全策略、人员状况以及各类网络设备在内的各种软硬件资源。安全分析的最终目的是要制定一个投资少见效快的资产保护方案。如果用集合S表示网络信息系统中的所有资产,用集合T表示网络系统中存在的所有可能的威胁,用Pij表示资产Si受到Tj威胁的可能性,Lij表示一旦Tj发生对Si所造成的损失,则安全分析的结果集合R可以定义为:R=|SiS,TjT,Pij0,1,Lij(0,+),1确定网络系统资产2明确资产价值3明确可能的威胁和脆弱性4判断受威胁后可能造成的损失,1.4.
28、3 安全评估,网络安全评估是依据评估准则进行的。目前,网络安全评估的范围主要涉及:网络信息系统的后门检查、信息泄漏检查、端口和服务扫描、操作系统安全检查、应用服务安全检查、以及其它与网络相关的安全检查项目。对于一个较大规模的网络,由于所面临的安全问题增多,安全评估的范围也将扩大,可能会涉及到:网络安全规划是否得当、系统中存在的安全漏洞、网络配置错误、安全产品配置不当、用户口令存在隐患、所用协议的安全性、软件中存在的漏洞、管理制度不完善、工作人员安全意识不高和技术力量薄弱等诸多方面的检查。如果忽略其中任何一个问题,都有可能影响到整个网络信息系统的安全。,1.4.4 安全决策,安全决策将决定网络信
29、息系统需要采取的安全措施,这种安全措施是以重点保护关键资产为主的。在安全决策过程中,根据安全评估的结果可能会有以下的选择策略:逃避策略。针对现有的安全问题,不采取任何安全措施加以防范。这种选择多是因为网络安全问题所造成的损失不大,所以没有必要制定安全措施。,应对策略。针对现有的安全问题,采取一定的安全措施来防止安全问题的发生,尽可能减少因安全问题而造成的各种损失。采取一定的安全措施就意味着需要增加网络安全方面的投入,而在这方面的大量投入并不一定在安全上收到明显的效果,相反,网络性能却有可能因大量的安全投入而明显降低。转移策略。通过诸如买保险的方式把由现有安全问题可能造成的损失转移到别人(如保险公司)头上来确保自身的安全。,1.4.5 安全监测,在网络系统运行期间,系统随时都可能产生新的变化,据此产生的安全决策也就不能够满足新的安全需求。这时,就需要重新进行安全分析、安全评估和安全决策,以适应网络信息系统的新变化。安全监测过程能够实时监视和判断网络系统中的各种资产在系统运行期间的状态,并及时记录和发现系统中出现的新的变化情况。通过安全监测可以获得网络信息系统中的资产、漏洞和缺陷等有助于进行安全分析的重要信息。,
