信息安全風(fēng)險管理畢業(yè)論文

1、<p><b>　　學(xué)號： </b></p><p><b>　　XX大學(xué)</b></p><p><b>　　學(xué)士學(xué)位論文</b></p><p>　　題 目 信息安全風(fēng)險管理理論</p><p><b>　　在IP城域網(wǎng)的應(yīng)用</b>

2、;</p><p><b>　　學(xué) 生 </b></p><p><b>　　指導(dǎo)教師 </b></p><p><b>　　年 級 </b></p><p><b>　　專 業(yè) </b></p><p&g

3、t;<b>　　系 別 </b></p><p>　　學(xué) 士 學(xué) 位 論 文</p><p>　　題 目 信息安全風(fēng)險管理理論</p><p><b>　　在IP城域網(wǎng)的應(yīng)用</b></p><p><b>　　學(xué) 生 </b></p>

4、<p><b>　　指導(dǎo)教師 </b></p><p><b>　　年 級 </b></p><p><b>　　專 業(yè) </b></p><p><b>　　系 別 </b></p><p><b&g

5、t;　　學(xué) 院 </b></p><p>　　摘要：隨著寬帶網(wǎng)絡(luò)和用戶規(guī)模的不斷增長，用戶對寬帶接入業(yè)務(wù)的高可用性要求不斷增強，對電信運營商在IP城域、接入網(wǎng)絡(luò)和支撐系統(tǒng)提出了更高的安全性要求。本文從信息安全治理的理念、方法學(xué)和相關(guān)技術(shù)入手，結(jié)合電信IP城域網(wǎng)，提出電信IP城域網(wǎng)安全治理、風(fēng)險評估和加固的實踐方法建議。</p><p>　　關(guān)鍵詞：安全治理、風(fēng)險、弱點、

6、評估、城域網(wǎng)、IP、AAA、DNS</p><p><b>　　目 錄</b></p><p>　　第一章 網(wǎng)絡(luò)安全的概述</p><p>　　1.1 信息安全的概念 ………………………………………………………………….. …1</p><p>　　1.1.1 網(wǎng)絡(luò)安全的屬性…………………………………………………………

7、……………3</p><p>　　1.1.2 網(wǎng)絡(luò)安全的層次結(jié)構(gòu)…………………………………………………………………4</p><p>　　1.1.3 網(wǎng)絡(luò)安全模型…………………………………………………………………………5</p><p>　　1.1.4 網(wǎng)絡(luò)安全模型…………………………………………………………………………6</p><p>　

8、　1.2 安全的歷史回顧………………………………………………………………………7</p><p>　　1.2.1 通信安全………………………………………………………………………………7</p><p>　　1.2.2 計算機安全……………………………………………………………………………8</p><p>　　1.2.3 網(wǎng)絡(luò)安全………………………………………………

9、………………………………8</p><p>　　1.3 網(wǎng)絡(luò)安全處理…………………………………………………………………………9</p><p>　　1.3.1 網(wǎng)絡(luò)安全綜合處理……………………………………………………………………9</p><p>　　1.3.2 網(wǎng)絡(luò)安全處理過程……………………………………………………………………10</p><

10、;p>　　1.4 密碼學(xué)…………………………………………………………………………………11</p><p>　　1.4.1 密碼學(xué)的基本原理……………………………………………………………………11</p><p>　　1.4.2 對稱密鑰密碼技術(shù)……………………………………………………………………12</p><p>　　1.4.3 公鑰密碼技術(shù)………………

11、…………………………………………………………12</p><p>　　1.5 本章內(nèi)容總結(jié)…………………………………………………………………………13</p><p>　　第二章 安全管理理論</p><p>　　2.1 安全管理理論概述…………………………………………………………………….13</p><p>　　2.1.1 安全管理理

12、論的概念…………………………………………………………………14</p><p>　　2.1.2 安全管理的重要性……………………………………………………………………14</p><p>　　2.1.3 安全管理模型…………………………………………………………………………15</p><p>　　2.2 信息安全管理策略……………………………………………………………

13、………15</p><p>　　2.3 信息安全管理標(biāo)準(zhǔn)……………………………………………………………………17</p><p>　　2.3.1 標(biāo)準(zhǔn)的組成與結(jié)構(gòu)……………………………………………………………………17</p><p>　　2.3.2 信息安全管理體系要求………………………………………………………………18</p><p>

14、　　2.3.3 控制細(xì)則………………………………………………………………………………20</p><p>　　2.4 本章內(nèi)容總結(jié)…………………………………………………………………………21</p><p>　　第三章 安全認(rèn)證和評估</p><p>　　3.1 風(fēng)險管理………………………………………………………………………………21</p>&l

15、t;p>　　3.2 安全成熟度模型………………………………………………………………………21</p><p>　　3.3 威脅……………………………………………………………………………………22</p><p>　　3.3.1 威脅源…………………………………………………………………………………23</p><p>　　3.3.2 威脅情況和對策……………

16、…………………………………………………………21</p><p>　　3.4 安全評估方法…………………………………………………………………………26</p><p>　　3.4.1 安全評估過程…………………………………………………………………………27</p><p>　　3.4.2 網(wǎng)絡(luò)安全評估…………………………………………………………………………27&l

17、t;/p><p>　　3.4.3 平臺安全估計…………………………………………………………………………28</p><p>　　3.4.4 應(yīng)用安全評估………………………………………………………………………29</p><p>　　3.5 安全評估準(zhǔn)則………………………………………………………………………29</p><p>　　3.5.1 可

18、信計算機系統(tǒng)評估準(zhǔn)則…………………………………………………………30</p><p>　　3.5.2 計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則…………………………………………30</p><p>　　3.5.3 通用安全評估準(zhǔn)則…………………………………………………………………30</p><p>　　3.6 本章內(nèi)容總結(jié)………………………………………………………………

19、………31</p><p>　　在IP城域網(wǎng)中應(yīng)用信息安全風(fēng)險管理理論</p><p>　　4.1 信息安全風(fēng)險管理概述……………………………………………………………36</p><p>　　4.2 建立信息安全管理體系的主要步驟………………………………………………37</p><p>　　4.3 IP寬帶網(wǎng)絡(luò)安全風(fēng)險管理主要實踐步驟…

20、………………………………………38</p><p>　　4.3.1 項目準(zhǔn)備階段………………………………………………………………………38</p><p>　　4.3.2 項目執(zhí)行階段………………………………………………………………………38</p><p>　　4.3.3 項目總結(jié)階段………………………………………………………………………39</p>

21、<p>　　4.4 IP寬帶網(wǎng)絡(luò)安全風(fēng)險管理實踐要點分析…………………………………………39</p><p>　　4.4.1 安全目標(biāo)……………………………………………………………………………39</p><p>　　4.4.2 項目范疇……………………………………………………………………………39</p><p>　　4.4.3 項目成員………………

22、……………………………………………………………39</p><p>　　4.4.4 背景信息收集………………………………………………………………………39</p><p>　　4.4.5 資產(chǎn)鑒別……………………………………………………………………………40</p><p>　　4.4.6 威脅分析……………………………………………………………………………40<

23、;/p><p>　　4.4.7 威脅影響分析………………………………………………………………………40</p><p>　　4.4.8 威脅可能性分析……………………………………………………………………40</p><p>　　4.4.9 風(fēng)險處置……………………………………………………………………………41</p><p>　　參考文獻…………

24、………………………………………………………………………41</p><p>　　外文摘要…………………………………………………………………………………42</p><p>　　近年來，隨著寬帶網(wǎng)絡(luò)和用戶規(guī)模的不斷增長，用戶對寬帶接入業(yè)務(wù)的高可用性要求不斷增強，對電信運營商在IP城域、接入網(wǎng)絡(luò)和支撐系統(tǒng)提出了更高的安全性要求。普遍意義上，對信息安全的定義是“保護信息系統(tǒng)和信息，防止其因為偶然

25、或惡意侵犯而導(dǎo)致信息的破壞、更改和泄漏，保證信息系統(tǒng)能夠連續(xù)、可靠、正常的運行”。所以說信息安全應(yīng)該理解為一個動態(tài)的管理過程，通過一系列的安全管理活動來保證信息和信息系統(tǒng)的安全需求得到持續(xù)滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實性”等。 信息安全管理的本質(zhì)，可以看作是動態(tài)地對信息安全風(fēng)險的管理，即要實現(xiàn)對信息和信息系統(tǒng)的風(fēng)險進行有效管理和控制。</p><p>

26、　　第一章 網(wǎng)絡(luò)安全概述</p><p>　　1.1 網(wǎng)絡(luò)安全的概念</p><p>　　1.1.1 信息安全的概念</p><p>　　首先從信息安全的一般性定義來闡述。Merriam Webster在線詞典（www.mw.com）對信息這個詞作了廣泛而精確的闡述：信息是從調(diào)查、研究和教育獲得的知識，是情報、新聞、事實、數(shù)據(jù)，是代表數(shù)據(jù)的信號或字符，是代表物質(zhì)的

27、或精神的經(jīng)驗的消息、經(jīng)驗數(shù)據(jù)、圖片。在線詞典對安全這個詞的闡述是：安全是避免危險、恐懼、憂慮的度量和狀態(tài)。</p><p>　　將上述信息和安全兩個詞的定義合并起來，可給出信息安全的一般性義：信安全是防止對知識、事實、數(shù)據(jù)或能力非授權(quán)使用、誤用、篡改或拒絕使用所采取的措施（量度）。</p><p>　　從信息安全的一般性定義，進一步引出主題——網(wǎng)絡(luò)安全的定義。為此先給出計算機網(wǎng)絡(luò)的定義。計

28、算機網(wǎng)絡(luò)是地理上分散的多臺自主計算機互聯(lián)的集合。自主計算機這一概念排除了網(wǎng)絡(luò)系統(tǒng)中主從關(guān)系的可能性?；ヂ?lián)必須遵循約定的通信協(xié)議，由通信設(shè)備、通信鏈路及網(wǎng)絡(luò)軟件實現(xiàn)。計算機網(wǎng)絡(luò)可實現(xiàn)信息交互、資源共享、協(xié)同工作及在線處理等功能。</p><p>　　為了保證安全，需要自主計算機的安全；互聯(lián)的安全，即用以實現(xiàn)互聯(lián)的通信設(shè)備、通信鏈路、網(wǎng)絡(luò)軟件、網(wǎng)絡(luò)協(xié)議的安全；各種網(wǎng)絡(luò)應(yīng)用和服務(wù)的安全。總之，我們強調(diào)的是在分布網(wǎng)絡(luò)環(huán)境

29、下的安全。</p><p>　　計算機網(wǎng)絡(luò)的通信采用分組交換方式，分組從源站出發(fā)通過路由器在網(wǎng)絡(luò)中傳送，最終到達(dá)目的站接收。目前廣泛采用TCP/IP協(xié)議，所用的地址即IP地址。不難看出，這種基于IP的Internet有很多不安全的問題。下面分別予以闡述。</p><p><b>　　1. IP安全</b></p><p>　　在Internet

30、中，當(dāng)信息分組在路由器間傳遞時，對任何人都是開放的，路由器僅僅搜集信息分組中的目的地址，但不能防止其內(nèi)容被窺視。當(dāng)黑客企圖攻擊網(wǎng)絡(luò)前，他必須設(shè)法登錄到接入網(wǎng)上的某些計算機，觀察流動的數(shù)據(jù)分組，找到他感興趣的內(nèi)容。如果他接近并進入到某公司的一臺外圍計算機，他就極有可能監(jiān)視進出這一系統(tǒng)的所有數(shù)據(jù)。</p><p>　　黑客最感興趣的是包含口令的數(shù)據(jù)分組?？诹罡`聽十分容易，而且是Internet最常見的攻擊。黑客要安裝

31、一個用于竊取用戶名和口令的分組竊聽程序，這些程序可幫助黑客竊取每次登錄會話信息中的頭幾十個字節(jié)，并保存起來。這些字節(jié)包括用戶名和口令，口令通常是加密的，需要對日常口令進行破解，用破解的口令登錄其他計算機。</p><p>　　除了網(wǎng)絡(luò)竊聽外，另一種攻擊稱為網(wǎng)絡(luò)主動攻擊，即在通信系統(tǒng)中主動插入和刪除信息分組。因為網(wǎng)絡(luò)通信是基于分組的，分組的傳輸經(jīng)過不同的路徑最后在目的地組裝，黑客利用現(xiàn)有的通信通道，任意地插入信息分

32、組。這叫做IP欺騙，實現(xiàn)起來很容易，信息分組中包括源地址和目的地址，但黑客可對其進行修改。黑客創(chuàng)建一個看似發(fā)自某一站點的信息分組，當(dāng)Internet上的計算機看到一個分組來自于它所信任的計算機時，它就會認(rèn)為對方發(fā)出的信息分組也是可信的。黑客就是利用這些信任關(guān)系攻入某臺計算機，發(fā)送一個來自被信任計算機的偽造信息分組，以使目的計算機信任并接收。</p><p>　　另一種主動攻擊稱為路由攻擊，這時攻擊者告訴網(wǎng)上的兩個

33、結(jié)點，它們之間最近的傳輸線路就是經(jīng)過他這臺計算機的路徑，這就使該臺計算機的偵聽變得更容易。</p><p>　　要解決這些問題，在理論上顯得較容易，但實現(xiàn)起來卻不盡然。如果把信息分組加密，傳輸過程中就不易解讀；如果對數(shù)據(jù)分組進行驗證，就可發(fā)覺插入了偽造信息分組或刪除了某個信息分組。對Internet上信息分組的加密有多種方法，例如，能對一臺計算機的用戶經(jīng)網(wǎng)絡(luò)登錄另一臺計算機的連接進行加密并驗證的方法，可以加密驗證

34、Internet上的Web數(shù)據(jù)流的方法，能加密驗證IP通道上所有信息的方法等。</p><p><b>　　2. DNS安全</b></p><p>　　Internet對每臺計算機的命名方案稱為域名系統(tǒng)（DNS）。域名和IP地址是一一對應(yīng)的，域名易于記憶，用得更普遍。當(dāng)用戶要和Internet上某臺計算機交換信息時，只需使用域名，網(wǎng)絡(luò)會自動轉(zhuǎn)換成IP地址，找到該臺計

35、算機。同時域名也用于建立URL地址和E-mail地址。</p><p>　　DNS有兩個概念上獨立的要點：一個是抽象的，即指明名字語法和名字的授權(quán)管理規(guī)則；另一個是具體的，即指明一個分布計算系統(tǒng)的實現(xiàn)，它能高效地將名字映射到地址。</p><p>　　域名方案應(yīng)包括一個高效、可靠、通用的分布系統(tǒng)，實現(xiàn)名字對地址的映射。分布的系統(tǒng)是指由分布在多個網(wǎng)點的一組服務(wù)器協(xié)同操作解決映射問題。高效的系

36、統(tǒng)是指大多數(shù)名字映射在本地操作，只有少數(shù)名字映射需要在Internet上通信。通用的系統(tǒng)是指它不僅使用機器名。可靠的系統(tǒng)是指單臺計算機的故障不會影響系統(tǒng)的正常運行。</p><p>　　DNS系統(tǒng)并不總是安全的。當(dāng)一臺計算機向DNS服務(wù)器發(fā)出查詢請求，并收到回應(yīng)時，它認(rèn)為這一回應(yīng)是正確的，DNS服務(wù)器也是真實的。其實DNS服務(wù)器并非總是真實的，也有可能存在欺騙。計算機收到的DNS服務(wù)器的應(yīng)答可能并不是來自DNS服

37、務(wù)器，而是來自其他地方的虛假回應(yīng)。如果黑客改動了DNS表，即改動了從域名到IP地址（或反之）的轉(zhuǎn)換數(shù)據(jù)，計算機也會默認(rèn)接受。</p><p>　　這種黑客攻擊的結(jié)果，是使一臺計算機相信他的請求回應(yīng)來自另一臺可置信計算機，因為通過改變DNS表，使黑客計算機的IP地址成為可信任的IP地址。網(wǎng)絡(luò)攻擊者會劫持并改變一個網(wǎng)絡(luò)連接，攻擊者可能做各種類似的操作。DNS服務(wù)器會執(zhí)行修改過程，如果一臺DNS服務(wù)器的記錄發(fā)生了變化，

38、它就會通知另一臺DNS服務(wù)器，以致這種改動將在整個Internet上繁殖。這與闖入某Web站點建立主頁頁面的性質(zhì)不同，黑客通過操縱DNS記錄合法訪問系統(tǒng)，并導(dǎo)向他們制作的假主頁。他們并未攻擊DNS服務(wù)器，而是攻擊DNS服務(wù)器上的信息流。</p><p>　　DNS安全問題看來很嚴(yán)重，且難以解決。密碼學(xué)和鑒別方法可能是較好的解決途徑，因為計算機不會貿(mào)然相信那些a聲稱是來自DNS服務(wù)器的信息。人們正在研究DNS系統(tǒng)的

39、安全版本，但尚需時日。</p><p>　　3. 拒絕服務(wù)（DOS）攻擊</p><p>　　（1） 發(fā)送SYN信息分組</p><p>　　第一例引起公眾關(guān)注的襲擊Internet主機的拒絕服務(wù)攻擊發(fā)生于296年9月，一名黑客攻擊了紐約一家ISP（公共訪問網(wǎng)絡(luò)）公司Panix的一臺計算機。攻擊的方式是由一臺遠(yuǎn)程計算機向Panix發(fā)問候語，Panix計算機接收并響應(yīng)

40、，之后遠(yuǎn)程計算機繼續(xù)與之對話。攻擊者操縱遠(yuǎn)程計算機的返回地址，并以每秒50個SYN信息分組向Panix大量發(fā)送，Panix難以負(fù)擔(dān)如此大量的信息，結(jié)果引起系統(tǒng)崩潰。拒絕服務(wù)攻擊對通信系統(tǒng)的破壞作用尤為嚴(yán)重，因為通信系統(tǒng)是專門用于通信的，對網(wǎng)絡(luò)上一臺計算機提出大量的通信請求，最易使該臺計算機崩潰，且難以跟蹤攻擊源。</p><p><b>　?。?） 郵件炸彈</b></p>&

41、lt;p>　　郵件炸彈是另一種非常有效的拒絕服務(wù)攻擊。給某人發(fā)送過量的電子郵件可使他的系統(tǒng)滿載直至崩潰，這種攻擊最簡單的辦法就是向受害者發(fā)送成千上萬的電子郵件，這樣做會耗盡受害者的硬盤空間，使網(wǎng)絡(luò)連接被迫中斷，或者使計算機系統(tǒng)崩潰，且難以找到攻擊者。</p><p>　　拒絕服務(wù)攻擊的對象不同，可以是郵件服務(wù)器、路由器或Web服務(wù)器等。其基本思路大致相同，即向目標(biāo)發(fā)送大量信息使其崩潰。有效的應(yīng)對方式是在IS

42、P端進行大規(guī)模的過濾，如果網(wǎng)絡(luò)能阻止拒絕服務(wù)攻擊，那么這種攻擊就不會傷及目標(biāo)計算機。但ISP過濾不僅需做大量的工作，而且會使網(wǎng)絡(luò)帶寬明顯下降。有些攻擊還利用了系統(tǒng)的某些脆弱性進行大流量攻擊。有人提議將讓客戶端在連接網(wǎng)絡(luò)時進行稍復(fù)雜的計算作為一種防范措施。如果客戶機需花費一定時間才能完成一個網(wǎng)絡(luò)連接，那么它就不能與目標(biāo)機進行大量的連接。但這對于分布式拒絕服務(wù)攻擊卻無效。</p><p>　　4.分布式拒絕服務(wù)（DD

43、OS）攻擊</p><p>　　分布式拒絕服務(wù)攻擊是拒絕服務(wù)群起進攻的方式。這種攻擊與傳統(tǒng)的拒絕服務(wù)攻擊一樣，只不過進攻源不只一個。黑客首先進入成百上千沒有安全防護系統(tǒng)的計算機，入侵者在計算機內(nèi)安裝一個攻擊程序，之后他控制這些計算機同時向目標(biāo)發(fā)起進攻。目標(biāo)機即刻受到來自多個地方的攻擊，傳統(tǒng)的防范措施失去作用，最終發(fā)生死機。</p><p>　　在傳統(tǒng)方式的拒絕服務(wù)攻擊中，作為受害者的計算機

44、可能會察覺攻擊源，并關(guān)閉這些連接。但在分布式拒絕服務(wù)攻擊中，進攻源不只一個，計算機應(yīng)關(guān)閉除它信任的連接之外的所有連接，但這在公共Internet站點上根本無法實現(xiàn)。迄今為止，對分布式拒絕服務(wù)攻擊還沒有通用的防護手段。只有不斷監(jiān)視網(wǎng)絡(luò)連接，及時切換備份服務(wù)器和路由器。有時一些特殊的被攻擊行為利用的漏洞可以修復(fù)，但很多卻不能。</p><p>　　上面列舉的一些網(wǎng)絡(luò)安全問題，充分說明與計算機信息系統(tǒng)安全相比，在分布網(wǎng)

45、絡(luò)環(huán)境下，出現(xiàn)了很多新的安全問題，而且有些老的安全問題也以不同的形式出現(xiàn)。根據(jù)這些特點，給出以下的網(wǎng)絡(luò)安全定義：</p><p>　　網(wǎng)絡(luò)安全是在分布網(wǎng)絡(luò)環(huán)境中，對信息載體（處理載體、存儲載體、傳輸載體）和信息的處理、傳輸、存儲、訪問提供安全保護，以防止數(shù)據(jù)、信息內(nèi)容或能力拒絕服務(wù)或被非授權(quán)使用和篡改。</p><p>　　維護信息載體的安全就要抵抗對網(wǎng)絡(luò)和系統(tǒng)的安全威脅。這些安全威脅包括

46、物理侵犯（如機房侵入、設(shè)備偷竊、廢物搜尋、電子干擾等）、系統(tǒng)漏洞（如旁路控制、程序缺陷等）、網(wǎng)絡(luò)入侵（如竊聽、截獲、堵塞等）、惡意軟件（如病毒、蠕蟲、特洛伊木馬、信息炸彈等）、存儲損壞（如老化、破損等）等。為抵抗對網(wǎng)絡(luò)和系統(tǒng)的安全威脅，通常采取的安全措施包括門控系統(tǒng)、防火墻、防病毒、入侵檢測、漏洞掃描、存儲備份、日志審計、應(yīng)急響應(yīng)、災(zāi)難恢復(fù)等。</p><p>　　維護信息自身的安全就要抵抗對信息的安全威脅。這些

47、安全威脅包括身份假冒、非法訪問、信息泄露、數(shù)據(jù)受損、事后否認(rèn)等。為抵抗對信息的安全威脅，通常采取的安全措施包括身份鑒別、訪問控制、數(shù)據(jù)加密、數(shù)據(jù)驗證、數(shù)字簽名、內(nèi)容過濾、日志審計、應(yīng)急響應(yīng)、災(zāi)難恢復(fù)等。</p><p>　　1.1.2 網(wǎng)絡(luò)安全的屬性</p><p>　　網(wǎng)絡(luò)安全具有三個基本屬性。</p><p><b>　　1. 機密性</b&g

48、t;</p><p>　　機密性是指保證信息與信息系統(tǒng)不被非授權(quán)者所獲取與使用，主要防范措施是密碼技術(shù)。</p><p>　　在網(wǎng)絡(luò)系統(tǒng)的各個層次上有不同的機密性及相應(yīng)的防范措施。在物理層，要保證系統(tǒng)實體不以電磁的方式（電磁輻射、電磁泄漏）向外泄漏信息，主要的防范措施是電磁屏蔽技術(shù)、加密干擾技術(shù)等。在運行層面，要保障系統(tǒng)依據(jù)授權(quán)提供服務(wù)，使系統(tǒng)任何時候不被非授權(quán)人所使用，對黑客入侵、口令攻

49、擊、用戶權(quán)限非法提升、資源非法使用等采取漏洞掃描、隔離、防火墻、訪問控制、入侵檢測、審計取證等防范措施，這類屬性有時也稱為可控性。在數(shù)據(jù)處理、傳輸層面，要保證數(shù)據(jù)在傳輸、存儲過程中不被非法獲取、解析，主要防范措施是數(shù)據(jù)加密技術(shù)。</p><p><b>　　2. 完整性</b></p><p>　　完整性是指信息是真實可信的，其發(fā)布者不被冒充，來源不被偽造，內(nèi)容不被篡

50、改，主要防范措施是校驗與認(rèn)證技術(shù)。</p><p>　　在運行層面，要保證數(shù)據(jù)在傳輸、存儲等過程中不被非法修改，防范措施是對數(shù)據(jù)的截獲、篡改與再送采取完整性標(biāo)識的生成與檢驗技術(shù)。要保證數(shù)據(jù)的發(fā)送源頭不被偽造，對冒充信息發(fā)布者的身份、虛假信息發(fā)布來源采取身份認(rèn)證技術(shù)、路由認(rèn)證技術(shù)，這類屬性也可稱為真實性。</p><p><b>　　3. 可用性</b></p&g

51、t;<p>　　可用性是指保證信息與信息系統(tǒng)可被授權(quán)人正常使用，主要防范措施是確保信息與信息系統(tǒng)處于一個可靠的運行狀態(tài)之下。</p><p>　　在物理層，要保證信息系統(tǒng)在惡劣的工作環(huán)境下能正常運行，主要防范措施是對電磁炸彈、信號插入采取抗干擾技術(shù)、加固技術(shù)等。在運行層面，要保證系統(tǒng)時刻能為授權(quán)人提供服務(wù)，對網(wǎng)絡(luò)被阻塞、系統(tǒng)資源超負(fù)荷消耗、病毒、黑客等導(dǎo)致系統(tǒng)崩潰或宕機等情況采取過載保護、防范拒絕服

52、務(wù)攻擊、生存技術(shù)等防范措施。保證系統(tǒng)的可用性，使得發(fā)布者無法否認(rèn)所發(fā)布的信息內(nèi)容，接收者無法否認(rèn)所接收的信息內(nèi)容，對數(shù)據(jù)抵賴采取數(shù)字簽名防范措施，這類屬性也稱為抗否認(rèn)性。</p><p>　　從上面的分析可以看出，維護信息載體的安全與維護信息自身的安全兩個方面都含有機密性、完整性、可用性這些重要屬性。</p><p>　　1.1.3 網(wǎng)絡(luò)安全層次結(jié)構(gòu)</p><p&g

53、t;　　國際標(biāo)準(zhǔn)化組織在開放系統(tǒng)互連標(biāo)準(zhǔn)中定義了７個層次的網(wǎng)絡(luò)參考模型，它們分別是物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層和應(yīng)用層。不同的網(wǎng)絡(luò)層次之間的功能雖然有一定的交叉，但是基本上是不同的。例如，數(shù)據(jù)鏈路層負(fù)責(zé)建立點到點通信，網(wǎng)絡(luò)層負(fù)責(zé)尋徑，傳輸層負(fù)責(zé)建立端到端的通信信道。從安全角度來看，各層能提供一定的安全手段，針對不同層的安全措施是不同的。</p><p>　　要對網(wǎng)絡(luò)安全服務(wù)所屬的協(xié)議層次進行

54、分析，一個單獨的層次無法提供全部的網(wǎng)絡(luò)安全服務(wù)，每個層次都能做出自己的貢獻。</p><p>　　在物理層，可以在通信線路上采用某些技術(shù)使得搭線偷聽變得不可能或者容易被檢測出。</p><p>　　在數(shù)據(jù)鏈路層，點對點的鏈路可能采用通信保密機進行加密和解密，當(dāng)信息離開一臺機器時進行加密，而進入另外一臺機器時進行解密。所有的細(xì)節(jié)可以全部由底層硬件實現(xiàn)，高層根本無法察覺。但是這種方案無法適應(yīng)需

55、要經(jīng)過多個路由器的通信信道，因為在每個路由器上都需要進行加密和解密，在這些路由器上會出現(xiàn)潛在的安全隱患，在開放網(wǎng)絡(luò)環(huán)境中并不能確定每個路由器都是安全的。當(dāng)然，鏈路加密無論在什么時候都是很容易而且有效的，也被經(jīng)常使用，但是在Internet環(huán)境中并不完全適用。</p><p>　　在網(wǎng)絡(luò)層，使用防火墻技術(shù)處理信息在內(nèi)外網(wǎng)絡(luò)邊界的流動，確定來自哪些地址的信息可能或者禁止訪問哪些目的地址的主機。</p>

56、<p>　　在傳輸層，這個連接可能被端到端的加密，也就是進程到進程間的加密。雖然這些解決方案都有一定的作用，并且有很多人正在試圖提高這些技術(shù)，但是他們都不能提出一種充分通用的辦法來解決身份認(rèn)證和不可否認(rèn)問題。這些問題必須要在應(yīng)用層解決。</p><p>　　應(yīng)用層的安全主要是指針對用戶身份進行認(rèn)證并且建立起安全的通信信道。有很多針對具體應(yīng)用的安全方案，它們能夠有效地解決諸如電子郵件、HTTP等特定應(yīng)用的

57、安全問題，能夠提供包括身份認(rèn)證、不可否認(rèn)、數(shù)據(jù)保密、數(shù)據(jù)完整性檢查乃至訪問控制等功能。但是在應(yīng)用層并沒有一個統(tǒng)一的安全方案，通用安全服務(wù)GSSAPI的出現(xiàn)試圖將安全服務(wù)進行抽象，為上層應(yīng)用提供通用接口。在GSSAPI接口下可以采用各種不同的安全機制來實現(xiàn)這些服務(wù)。</p><p>　　總結(jié)前面的討論，可以用圖1.1來表示網(wǎng)絡(luò)安全層次。</p><p>　　圖1.1 網(wǎng)絡(luò)安全層次圖&l

58、t;/p><p>　　1.1.4 網(wǎng)絡(luò)安全模型</p><p>　　圖1.2給出了網(wǎng)絡(luò)安全模型，報文從源站經(jīng)網(wǎng)絡(luò)（Internet）送至目的站，源站和目的站是處理的兩個主體，它們必須協(xié)同處理這個交換。建立邏輯信息通道的目的是確定從源站經(jīng)Internet到目的站的路由以及兩個主體協(xié)同使用諸如TCP/IP的通道協(xié)議。</p><p>　　圖1.2 網(wǎng)絡(luò)安全模型</

59、p><p>　　為了在開放網(wǎng)絡(luò)環(huán)境中保護信息的傳輸，需要提供安全機制和安全服務(wù)，主要包含兩個部分：一部分是對發(fā)送的信息進行與安全相關(guān)的轉(zhuǎn)換。例如，報文的加密，使開放網(wǎng)絡(luò)對加密的報文不可讀；又如附加一些基于報文內(nèi)容的碼，用來驗證發(fā)送者的身份。另一部分是由兩個主體共享的秘密信息，而對開放網(wǎng)絡(luò)是保密的。例如，用以加密轉(zhuǎn)換的密鑰，用于發(fā)送前的加密和接收前的解密。</p><p>　　為了完成安全的處理

60、，常常需要可信的第三方。例如，第三方可負(fù)責(zé)為兩個主體分發(fā)秘密信息，而對開放網(wǎng)絡(luò)是保密的；又如，需要第三方來仲裁兩個主體在報文傳輸?shù)纳矸菡J(rèn)證的爭執(zhí)。</p><p>　　歸納起來，在設(shè)計網(wǎng)絡(luò)安全系統(tǒng)時，該網(wǎng)絡(luò)安全模型應(yīng)完成4個基本任務(wù)：</p><p>　　（1） 設(shè)計一個算法以實現(xiàn)和安全有關(guān)的轉(zhuǎn)換。</p><p>　?。?） 產(chǎn)生一個秘密信息用于設(shè)計的算法。<

61、;/p><p>　?。?） 開發(fā)一個分發(fā)和共享秘密信息的方法。</p><p>　?。?） 確定兩個主體使用的協(xié)議，用于使用秘密算法與秘密信息以得到特定的安全服務(wù)。</p><p>　　圖1.2的網(wǎng)絡(luò)安全模型雖是一個通用的模型，但它并不能涵蓋所有情況。圖1.3給出了一個網(wǎng)絡(luò)訪問安全模型，該模型考慮了黑客攻擊、病毒與蠕蟲等的非授權(quán)訪問。黑客攻擊可以形成兩類威脅：一類是信息

62、訪問威脅，即非授權(quán)用戶截獲或修改數(shù)據(jù)；另一類是服務(wù)威脅，即服務(wù)流激增以禁止合法用戶使用。病毒和蠕蟲是軟件攻擊的兩個實例，這類攻擊通常是通過移動存儲介質(zhì)引入系統(tǒng)，并隱藏在有用軟件中；也可通過網(wǎng)絡(luò)接入系統(tǒng)。</p><p>　　圖1.3 網(wǎng)絡(luò)訪問安全模型</p><p>　　在圖1.3中，對非授權(quán)訪問的安全機制可分為兩類：第一類是網(wǎng)閘功能，包括基于口令的登錄過程以拒絕所有非授權(quán)訪問以及屏蔽邏

63、輯以檢測、拒絕病毒、蠕蟲和其他類似攻擊；第二類是內(nèi)部的安全控制，一旦非授權(quán)用戶或軟件攻擊得到訪問權(quán)，第二道防線將對其進行防御，包括各種內(nèi)部控制的監(jiān)控和分析，以檢測入侵者。</p><p>　　1.2 安全的歷史回顧</p><p>　　隨著社會和技術(shù)的進步，信息安全也有一個發(fā)展的過程，了解信息安全的發(fā)展歷史，可使人們更全面地解決當(dāng)前遇到的各種信息安全問題。粗略地，可把信息安全分成3個階段

64、，即通信安（comsec）、計算機安全（compusec）和網(wǎng)絡(luò)安全（netsec）。</p><p>　　1.2.1 通信安全</p><p>　　早期，所有的資產(chǎn)都是物理的，重要的信息也是物理的，如古代刻在石頭上，到后來寫在紙上。為了保護這些資產(chǎn)，只需要用墻、護城河、警衛(wèi)等物理安全措施。信息傳遞通常由信使完成，需要時可帶有警衛(wèi)。除非用物理的掠奪，否則就無法得到信息。</p>

65、;<p>　　但是，物理安全存在缺陷，如果報文在傳遞中被截獲，則報文的信息就會被敵人知悉。因此就產(chǎn)生了通信安全的問題。早在公元前600年Julius Caesar生成了Caesar密碼，以使報文即使被截獲也無法讀出。</p><p>　　這個概念一直延續(xù)到第二次世界大戰(zhàn)，德國人使用一種稱為Enigma的機器來加密報文，用于軍隊，當(dāng)時他們認(rèn)為Enigma是不可破譯的。確實是這樣，如果使用恰當(dāng)，要破譯它

66、非常困難。但經(jīng)過一段時間發(fā)現(xiàn)，由于某些操作員的使用差錯，Enigma被破譯了。</p><p>　　軍事通信也使用編碼技術(shù)，將每個字編碼后放入報文傳輸。在戰(zhàn)爭期間，日本人曾用編碼后的字通信，即使美國人截獲了這些編碼也難以識別該報文。在準(zhǔn)備Midway之戰(zhàn)時，日本人曾傳送編碼后的報文，使日美之間在編碼和破譯方面展開了一場有關(guān)通信安全的對抗。</p><p>　　為了防止敵人竊聽語音報文，美國

67、軍隊曾使用一種Navaho碼的步話機，Navaho用本土語言傳送報文，敵人即使收聽到無線電通信，也無法懂得報文的意思。</p><p>　　第二次世界大戰(zhàn)后，蘇聯(lián)間諜曾經(jīng)使用一次填充來保護傳遞的信息。一次填充的方法是在每一頁上用帶有隨機數(shù)的文字填充，每一頁只用一個報文。這個加密方案如果使用正確則難以破譯。但是由于他們的使用方法不正確（重用一次填充），結(jié)果某些報文被破譯出來。</p><p>

68、;　　從上面這些事例可知，通信安全的主要目的是解決數(shù)據(jù)傳輸?shù)陌踩珕栴}，主要的措施是密碼技術(shù)。</p><p>　　除非不正確的使用密碼系統(tǒng)，一般來說，好的密碼難以破譯。因此人們企圖尋找別的方法來截獲加密傳輸?shù)男畔ⅰＴ?世紀(jì)50年代發(fā)現(xiàn)了尋找在電話線上的信號來達(dá)到獲取報文的目的。如圖1.4所示。所有的電子系統(tǒng)都會釋放電子輻射，包括電傳機和正在使用發(fā)送加密報文的密碼機。密碼機將報文加密，并且通過電話線發(fā)送出去?？墒前l(fā)

69、現(xiàn)代表原始信號的電信號也能在電話線上發(fā)現(xiàn)，這意味著可用某種好的設(shè)備來恢復(fù)原始信號。這個問題導(dǎo)致美國開發(fā)一個稱為TEMPEST的計劃，它制定了用于十分敏感環(huán)境的計算機系統(tǒng)電子輻射標(biāo)準(zhǔn)。其目的是降低輻射以免信號被截獲。</p><p>　　圖1.4 旁路密碼的電子信號</p><p>　　1.2.2 計算機安全</p><p>　　隨著計算機技術(shù)及其應(yīng)用的發(fā)展，各個

70、單位的大部分信息資產(chǎn)以電子形式移植到計算機上。計算機的使用愈來愈方便，更多的人用交互會話的方式訪問信息。計算機系統(tǒng)上的信息對任何訪問系統(tǒng)的人都是可訪問的。</p><p>　　在3世紀(jì)70年代，David Bell和Leonard La Padula開發(fā)了一個安全計算機的操作模型。該模型是基于政府概念的各種級別分類信息（一般、秘密、機密、絕密）和各種許可級別。如果主體的許可級別高于文件（客體）的分類級別，則主體能

71、訪問客體。如果主體的許可級別低于文件（客體）的分類級別，則主體不能訪問客體。</p><p>　　這個模型的概念進一步發(fā)展，于283年導(dǎo)出了美國國防部標(biāo)準(zhǔn)530.28——可信計算系統(tǒng)評估準(zhǔn)則（the Trusted Computing System Evaluation Criteria， TCSEC），即桔皮書。TCSEC共分為如下4類7級：</p><p>　?。?） D級，安全保護欠

72、缺級。</p><p>　?。?） C1級，自主安全保護級。</p><p>　　（3） C2級，受控存取保護級。</p><p>　?。?） B1級，標(biāo)記安全保護級。</p><p>　?。?） B2級，結(jié)構(gòu)化保護級。</p><p>　?。?） B3級，安全域保護級。</p><p>　?。?/p>

73、7） A1級，驗證設(shè)計級。</p><p>　　桔皮書對每一級都定義了功能要求和保證要求，也就是說要符合某一安全級要求，必須既滿足功能要求，又滿足保證要求。為了使計算機系統(tǒng)達(dá)到相應(yīng)的安全要求，計算機廠商要花費很長時間和很多資金。有時當(dāng)某產(chǎn)品通過級別論證時，該產(chǎn)品已經(jīng)過時了。計算機技術(shù)發(fā)展得如此之迅速，當(dāng)老的系統(tǒng)取得安全認(rèn)證之前新版的操作系統(tǒng)和硬件已經(jīng)出現(xiàn)。</p><p>　　歐洲四國（荷

74、蘭、法國、英國、德國）在吸收了TCSEC的成功經(jīng)驗基礎(chǔ)上，于289年聯(lián)合提出了信息技術(shù)安全評估準(zhǔn)則（Information Technology Security Evaluation Criteria，ITSEC），俗稱白皮書，其中首次提出了信息安全的機密性、完整性、可用性的概念，把可信計算機的概念提高到可信信息技術(shù)的高度。</p><p>　　之后，由美國國家標(biāo)準(zhǔn)技術(shù)研究所（NIST）、國家安全局（NSA）、

75、歐洲四國以及加拿大等6國7方聯(lián)合提出了通用安全評估準(zhǔn)則（Command Criteria for IT Security Evaluation, CC）,并于291年宣布，295年發(fā)布正式文件。它的基礎(chǔ)是歐洲的白皮書ITSEC、美國的（包括桔皮書TCSEC在內(nèi)的）新的聯(lián)邦評估準(zhǔn)則、加拿大的CTCPEC以及國際標(biāo)準(zhǔn)化組織的ISO/SCITWGS的安全評估標(biāo)準(zhǔn)。</p><p>　　我國國家質(zhì)量技術(shù)監(jiān)督局也于299年

76、發(fā)布了計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則（Classified Criteria for Security Protection of Computer Information System）的國家標(biāo)準(zhǔn)，序號為GB17859-299，評估準(zhǔn)則的制定為我們評估、開發(fā)、研究計算機系統(tǒng)的安全提供了指導(dǎo)準(zhǔn)則。</p><p>　　計算機安全的主要目的是解決計算機信息載體及其運行的安全問題，主要措施是根據(jù)主、客體的安全級別

77、，正確實施主體對客體的訪問控制。</p><p>　　1.2.3 網(wǎng)絡(luò)安全</p><p>　　當(dāng)計算機聯(lián)成網(wǎng)絡(luò)以后，新的安全問題出現(xiàn)了，老的安全問題也以不同的形式出現(xiàn)。例如，各種局域網(wǎng)、城域網(wǎng)的安全不同于以往的遠(yuǎn)距離點到點的通信安全；又如，高速網(wǎng)絡(luò)以及由很多連接器連到一個公共的通信介質(zhì)，原有的專用密碼機已經(jīng)完全不能解決問題；再如，有很多用戶從不同的系統(tǒng)經(jīng)過網(wǎng)絡(luò)訪問，而沒有單個計算機的集

78、中控制。</p><p>　　隨著Internet的發(fā)展及其普及應(yīng)用，如何解決在開放網(wǎng)絡(luò)環(huán)境下的安全問題更成為迫切需要解決的問題。如上面所述的IP安全、DNS安全、拒絕服務(wù)與分布拒絕服務(wù)攻擊等。</p><p>　　桔皮書并不解決聯(lián)網(wǎng)計算機的問題，事實上，網(wǎng)絡(luò)的訪問在桔皮書的認(rèn)證中是無效的。為此，美國國防部于287年制定了TCSEC的可信網(wǎng)絡(luò)解釋TNI，又稱紅皮書。除了滿足桔皮書的要求外，

79、紅皮書還企圖解決計算機的聯(lián)網(wǎng)環(huán)境的安全問題。紅皮書主要說明聯(lián)網(wǎng)環(huán)境的安全功能要求，較少闡明保證要求。</p><p>　　網(wǎng)絡(luò)安全的主要目的是解決在分布網(wǎng)絡(luò)環(huán)境中對信息載體及其運行提供的安全保護問題，主要措施是提供完整的信息安全保障體系，包括防護、檢測、響應(yīng)、恢復(fù)。</p><p>　　1.3 網(wǎng)絡(luò)安全處理1.3.1 網(wǎng)絡(luò)安全綜合處理</p><p>　　顯而

80、易見，單一的網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品無法解決網(wǎng)絡(luò)安全的全部問題。網(wǎng)絡(luò)安全需要，從體系結(jié)構(gòu)的角度，用系統(tǒng)工程的方法，根據(jù)聯(lián)網(wǎng)環(huán)境及其應(yīng)用的實際需求提出綜合處理的安全解決方案。下面簡要地分析常見的一些安全技術(shù)、安全產(chǎn)品各自解決的問題。</p><p><b>　　1. 防病毒軟件</b></p><p>　　防病毒軟件對好的安全程序是必需的部分。如果恰當(dāng)?shù)嘏渲煤蛨?zhí)行，能

81、減少一個組織對惡意程序的暴露。然而，防病毒軟件并不能對所有惡意程序的防護都有效。它既不能防止入侵者借用合法程序得到系統(tǒng)的訪問，也不能防止合法用戶企圖得到超出其權(quán)限的訪問。</p><p><b>　　2. 訪問控制</b></p><p>　　組織內(nèi)的每一個計算機系統(tǒng)具有基于用戶身份的訪問權(quán)限的控制。假如系統(tǒng)配置正確，文件的訪問許可權(quán)配置合理，文件訪問控制能限制合法用

82、戶進行超出其權(quán)限的訪問。但是文件訪問控制不能阻止一些人利用系統(tǒng)的漏洞，得到管理員一樣的權(quán)限來訪問系統(tǒng)及讀系統(tǒng)的文件。訪問控制系統(tǒng)甚至允許跨組織進行系統(tǒng)訪問控制的配置，對訪問控制系統(tǒng)而言，這樣的攻擊看起來好像一個合法的管理員試圖訪問賬戶允許訪問的文件。</p><p><b>　　3. 防火墻</b></p><p>　　防火墻是用于網(wǎng)絡(luò)的訪問控制設(shè)備，有助于幫助保護組

83、織內(nèi)部的網(wǎng)絡(luò)，以防外部攻擊。本質(zhì)上講防火墻是邊界安全產(chǎn)品，存在于內(nèi)部網(wǎng)和外部網(wǎng)的邊界。因此，只要配置合理，防火墻是必需的安全設(shè)備。然而，防火墻不能防止攻擊者使用合理的連接來攻擊系統(tǒng)。例如，一個Web服務(wù)器允許來自外部的訪問，攻擊者可以利用Web服務(wù)器軟件的漏洞，這時防火墻將允許這個攻擊進入，因為Web服務(wù)器應(yīng)該接收這個Web連接。防火墻對內(nèi)部用戶也沒有防備作用，因為內(nèi)部用戶已經(jīng)在內(nèi)部網(wǎng)中。</p><p><

84、;b>　　4. 智能卡</b></p><p>　　對身份進行鑒別可以根據(jù)你知道什么（如口令）、你有什么（如智能卡）、你是什么（如指紋）或它們的組合來完成。利用口令來鑒別身份是傳統(tǒng)采用的鑒別方法，但這不是最好的方法，因為口令可猜測或留在某個地方被他人知道，因此人們開發(fā)了另外一些鑒別方法。智能卡是一種較安全的鑒別方法，可減少人們猜測口令的風(fēng)險。然而如僅僅用它來鑒別身份，如果智能卡被偷，則小偷可偽裝

85、成網(wǎng)絡(luò)和計算機系統(tǒng)的合法用戶。對有漏洞的系統(tǒng)，智能卡也不能防止攻擊，因為智能卡的正確鑒別依賴于用戶確實使用正確的系統(tǒng)進入路徑。</p><p><b>　　5. 仿生網(wǎng)絡(luò)安全</b></p><p>　　仿生網(wǎng)絡(luò)安全是屬于你是什么的鑒別機制，也是一種減少口令猜測網(wǎng)絡(luò)的機制。如同其他的鑒別方法，仿生網(wǎng)絡(luò)安全的有效也依賴于用戶通過正確的進入路徑訪問系統(tǒng)。如果攻擊者能發(fā)現(xiàn)繞

86、過仿生網(wǎng)絡(luò)安全系統(tǒng)的通路，則仿生網(wǎng)絡(luò)安全系統(tǒng)也將失效。</p><p><b>　　6. 入侵檢測</b></p><p>　　入侵檢測系統(tǒng)曾被宣傳成能完全解決網(wǎng)絡(luò)安全問題，有了它就無須再保護我們的文件和系統(tǒng)，它可以檢測出何時、何人在入侵，并且阻止它的攻擊。事實上，沒有一個入侵檢測系統(tǒng)是完全安全的，它也不能檢測合法用戶進入超權(quán)限的信息訪問。</p>&l

87、t;p><b>　　7. 策略管理</b></p><p>　　安全策略和過程是一個好的安全程序的重要組成部分，它對網(wǎng)絡(luò)和計算機系統(tǒng)的策略管理也同樣重要。策略管理系統(tǒng)會對任何不符合安全策略的系統(tǒng)給出提醒。然而，策略管理并沒有考慮系統(tǒng)的漏洞或應(yīng)用軟件的錯誤配置，從而對它們的發(fā)生起不到管理作用。計算機系統(tǒng)的策略管理也無法保證用戶不會留下口令或?qū)⒖诹罱o非授權(quán)用戶。</p>&l

88、t;p><b>　　8. 漏洞掃描</b></p><p>　　對計算機系統(tǒng)進行漏洞掃描可幫助組織發(fā)現(xiàn)入侵者潛在的進入點。然而，漏洞掃描本身并不能起到保護計算機系統(tǒng)的作用，并對每個發(fā)現(xiàn)的漏洞及時加補丁。漏洞掃描不檢測合法用戶不合適的訪問，也不檢測已經(jīng)在系統(tǒng)中的入侵者。</p><p><b>　　9. 密碼</b></p>&

89、lt;p>　　密碼是通信安全最重要的機制，它能保護傳輸中的信息。如果將加密后的文件進行存儲，則可保護存儲的信息。然而，合法用戶必須訪問這些文件，如果他們出示同樣的密碼算法的密鑰，而密碼系統(tǒng)并不區(qū)分合法用戶和非法用戶。因此，密碼本身并不提供安全措施，它們必須由密鑰控制以及將系統(tǒng)作為整體來管理。</p><p>　　10. 物理安全機制</p><p>　　有多種物理安全的保護機制可以保

90、護計算機系統(tǒng)及信息。物理安全機制應(yīng)確保用戶方便地訪問計算機系統(tǒng)和獲得授權(quán)范圍內(nèi)的信息。因此，物理安全無法保護利用合法訪問的攻擊以及通過網(wǎng)絡(luò)的旁路攻擊。</p><p>　　上面列舉的網(wǎng)絡(luò)安全技術(shù)與產(chǎn)品都在一定條件下解決了相關(guān)的安全問題，但沒有單一的網(wǎng)絡(luò)安全技術(shù)與產(chǎn)品能解決網(wǎng)絡(luò)安全的全部問題。后面的章節(jié)將闡述綜合處理網(wǎng)絡(luò)安全的解決方案。</p><p>　　1.3.2 網(wǎng)絡(luò)安全處理過程&l

91、t;/p><p>　　網(wǎng)絡(luò)安全處理過程是一個周而復(fù)始的連續(xù)過程，包含5個關(guān)鍵的階段，如圖1.5所示。</p><p>　　圖1.5 網(wǎng)絡(luò)安全的處理過程</p><p><b>　　1. 評估階段</b></p><p>　　網(wǎng)絡(luò)安全處理過程始于評估階段。評估階段要回答以下幾個基本問題：</p><p>

92、;　?。?） 一個組織的信息資產(chǎn)的價值。</p><p>　?。?） 對資產(chǎn)的威脅及網(wǎng)絡(luò)系統(tǒng)的漏洞。</p><p>　?。?） 風(fēng)險對該組織的重要性。</p><p>　?。?） 如何將風(fēng)險降低到可接受的水平。</p><p><b>　　2. 策略制定階段</b></p><p>　　在評估基

93、礎(chǔ)上要確定安全策略及其過程。該階段要確定該組織期望的安全狀態(tài)以及實施期間需要做的工作。沒有正確的安全策略，就不可能制定有效的設(shè)計和實施網(wǎng)絡(luò)安全的計劃。</p><p><b>　　3. 實施階段</b></p><p>　　安全策略的實施包括技術(shù)工具、物理控制，以及安全職員招聘的鑒別和實施。在實施階段需要改變系統(tǒng)的配置，因此安全程序的實施也需介入系統(tǒng)和網(wǎng)絡(luò)管理員。&l

94、t;/p><p><b>　　4. 培訓(xùn)階段</b></p><p>　　為了保護一個組織的敏感信息，需要該組織內(nèi)全體員工介入。而培訓(xùn)是為員工提供必需的安全信息和知識的機制。培訓(xùn)有多樣形式，如短期授課、新聞報導(dǎo)以及在公共場所張貼有關(guān)安全信息等。</p><p><b>　　5. 審計階段</b></p><

95、p>　　審計是網(wǎng)絡(luò)安全過程的最后階段。該階段是要保證安全策略規(guī)定的所有安全控制是否得到正確的配置。</p><p>　　1.4 密碼學(xué)1.4.1 密碼學(xué)的基本原理</p><p>　　密碼學(xué)是以研究數(shù)據(jù)保密為目的，對存儲或者傳輸?shù)男畔⒉扇∶孛艿慕粨Q以防止第三者對信息的竊取的技術(shù)。被變換的信息稱為明文（plaintext）,它可以是一段有意義的文字或者數(shù)據(jù)；變換過后的形式稱為密文

96、（ciphertext），密文應(yīng)該是一串雜亂排列的數(shù)據(jù)，從字面上沒有任何含義。</p><p>　　從明文到密文的變換過程稱為加密（encryption）,變換本身是一個以加密密鑰k為參數(shù)的函數(shù)，記作Ek(P)。密文經(jīng)過通信信道的傳輸?shù)竭_(dá)目的地后需要還原成有意義的明文才能被通信接收方理解，將密文C還原為明文P的變換過程稱為解密或者脫密（decryption）,該變換是以解密密鑰k′為參數(shù)的函數(shù)，記作Dk′(C)。

97、密碼學(xué)加密解密模型如圖1.6所示。</p><p>　　圖1.6 密碼學(xué)模型</p><p>　　在傳統(tǒng)密碼體制中加密和解密采用的是同一密鑰，即k=k′，并且Dk’(Ek(P))=P，稱為對稱密鑰密碼系統(tǒng)(Symmetric Key Cryptography)。現(xiàn)代密碼體制中加密和解密采用不同的密鑰，稱為非對稱密鑰密碼系統(tǒng)(Asymmetric Key Cryptography)，每個通

98、信方均需要有k、k’兩個密鑰，在進行保密通信時通常將加密密鑰k公開(稱為公鑰Public Key)，而保留解密密鑰k’(稱為私鑰Private Key)，所以也稱為公共密鑰密碼系統(tǒng)(Public Key Cryptography)。</p><p>　　傳統(tǒng)密碼系統(tǒng)中最常見的算法有DES、IDEA等。DES(Data Encryption Standard，數(shù)據(jù)加密標(biāo)準(zhǔn))算法是由IBM開發(fā)，并于297年被美國政府

99、采納為非機密信息的加密標(biāo)準(zhǔn)，它的原始形式已經(jīng)在295年被攻破，但是修改后的形式仍然是有效的；IDEA(International Data Encryption Algorithm，國際數(shù)據(jù)加密算法)是由Lai和Massey提出的，目前還沒有發(fā)現(xiàn)有效的攻擊方法。</p><p>　　密碼學(xué)研究包含兩部分內(nèi)容：一是加密算法的設(shè)計和研究；一是密碼分析，即密碼破譯技術(shù)。在密碼學(xué)模型中，假設(shè)進行密碼分析的攻擊者能夠?qū)γ艽a

100、通信進行攻擊，能夠被動地監(jiān)聽通信信道上的所有信息，稱之為被動攻擊；他還能夠?qū)νㄐ判诺郎蟼鬏數(shù)南⑦M行截取、修改甚至主動發(fā)送信息，稱之為主動攻擊。攻擊者與報文接收方的區(qū)別在于他不知道解密密鑰，因此無法輕易將密文解密還原為明文。</p><p>　　公共密鑰方案較對稱密鑰方案處理速度慢，因此，通常把公共密鑰與對稱密鑰技術(shù)結(jié)合起來實現(xiàn)最佳性能，即用公共密鑰技術(shù)在通信雙方之間傳送對稱密鑰，而用對稱密鑰來對實際傳輸?shù)臄?shù)據(jù)加

101、密、解密。另外，公鑰加密也用來對對稱密鑰進行加密。</p><p>　　在現(xiàn)代密碼學(xué)研究中，對加密和解密算法一般都是公開的，對于攻擊者來說，只要知道解密密鑰就能夠破譯密文，因此，密鑰設(shè)計成為核心，密鑰保護也成為防止攻擊的重點。對于密鑰分析來說，對密鑰進行窮舉猜測攻擊是任何密碼系統(tǒng)都無法避免的，但是，當(dāng)密鑰長度足夠隨機時，應(yīng)使窮舉猜測實際上變得不可能。例如，密鑰長度為256位的加密算法，密鑰空間為2256，對應(yīng)為1

102、077量級，如果一臺計算機每秒可以對密鑰空間進行一億次搜索，那么，全部搜索一遍的事件所需的時間將大于1062年。如果密鑰空間小或者分布具有一定可預(yù)見性，那么，攻擊者就可能利用相關(guān)知識縮小搜索空間，從而破譯密文。</p><p>　　1.4.2 對稱密鑰密碼技術(shù)</p><p>　　對稱密鑰密碼技術(shù)是從傳統(tǒng)的簡單換位、代替密碼發(fā)展而來的，自277年美國頒布DES密碼算法作為美國數(shù)據(jù)加密標(biāo)準(zhǔn)

103、以來，對稱密鑰密碼技術(shù)得到了迅猛發(fā)展，在世界各國得到廣泛關(guān)注和使用。對稱密鑰密碼技術(shù)從加密模式上可分為兩類：</p><p><b>　　（1） 序列密碼</b></p><p>　　序列密碼一直是作為軍事和外交場合使用的主要密碼技術(shù)之一，它的主要原理是：通過有限狀態(tài)機產(chǎn)生性能優(yōu)良的偽隨機序列，使用該序列加密信息流，逐位加密得到密文序列，所以，序列密碼算法的安全強度完

104、全取決于它所產(chǎn)生的偽隨機序列的好壞。</p><p><b>　?。?） 分組密碼</b></p><p>　　分組密碼的工作方式是將明文分成固定長度的組（塊）（如64位一組），用同一密鑰和算法對每一塊加密，輸出固定長度的密文。例如，DES密碼算法的輸入為64位明文，密鑰長度為56位，密文長度為64位。</p><p>　　設(shè)計分組密碼算法的核

105、心技術(shù)是：在相信復(fù)雜函數(shù)可以通過簡單函數(shù)迭代若干圈得到的原則下，利用簡單圈函數(shù)及對合等運算，充分利用非線性運算。以DES算法為例，它采用美國國家安全局精心設(shè)計的８個S-Box和P置換，經(jīng)過16圈迭代，最終產(chǎn)生64位密文，每圈迭代使用的48位子密鑰是由原始的56位大密鑰產(chǎn)生的。</p><p>　　DES算法加密時把明文以位為單位分成塊，而后密鑰把每一塊明文轉(zhuǎn)化成同樣64位的密文塊。DES可提供7.2×1

106、016個密鑰，用每微秒可進行一次DES加密的機器來破譯密碼需300年。采用DES的一個著名的網(wǎng)絡(luò)安全系統(tǒng)是Kerberos，由MIT開發(fā)，是網(wǎng)絡(luò)通信中身份認(rèn)證的工業(yè)上的事實標(biāo)準(zhǔn)。</p><p>　　因為對稱密碼系統(tǒng)具有加解密速度快、安全強度高等優(yōu)點，在軍事、外交以及商業(yè)應(yīng)用中使用越來越普遍；由于存在密鑰發(fā)行與管理方面的不足，在提供數(shù)字簽名、身份驗證等方面需要與公開密鑰密碼系統(tǒng)共同使用，以達(dá)到更好的安全效果。&l

107、t;/p><p>　　1.4.3 公鑰密碼技術(shù)</p><p>　　公鑰技術(shù)是在密碼體制中加密和解密采用兩個不同的相關(guān)的密鑰的技術(shù)，又稱不對稱密鑰技術(shù)。公鑰系統(tǒng)的概念是Diffie和Hellman在276年提出的，目前公鑰算法有很多種，共同特點是每個通信方在進行保密通信時有兩個相關(guān)的密鑰，一個公開，另一個保密。公鑰算法比傳統(tǒng)密鑰算法計算復(fù)雜度高，大量數(shù)據(jù)加密時傳統(tǒng)加密算法的速度比公鑰加密算法

108、快100~1000倍，因此，公鑰算法常被用來對少量關(guān)鍵數(shù)據(jù)（例如傳統(tǒng)加密算法的密鑰）進行加密，或者用于數(shù)字簽名。</p><p>　　常用的公鑰算法有Rivest、Shamir和Adleman提出的并以他們的名字首字母命名的RSA算法，它可以實現(xiàn)加密和數(shù)字簽名功能；E1 Gamal和DSS算法實現(xiàn)簽名但是沒有加密；Diffie Hellman算法用于建立共享密鑰，沒有簽名也沒有加密，一般與傳統(tǒng)密碼算法共同使用。這

109、些算法復(fù)雜度各不相同，提供的功能也不完全一樣。</p><p>　　使用最廣的公鑰加密算法是RSA。RSA使用兩個密鑰，一個為公共密鑰，一個為專用密鑰。如其中一個加密，則可用另一個解密，密鑰長度從40位到348位可變，加密時也把明文分成塊，塊的大小可變，但不能超過密鑰的長度，RSA算法把每一塊明文轉(zhuǎn)化為與密鑰長度相同的密文塊。密鑰越長，加密效果越好，但加密、解密的開銷也大，所以要在安全與性能之間折衷考慮，一般64