[系统运维]计算机网络安全 第一章绪论

一，计算机网络面临的主要威胁

1，典型的网络安全威胁

2，计算机网络威胁的潜在对手和动机

• 对计算机网络进行恶意破坏的目的主要是为了获取商业，军事或个人情报，影响计算机系统正常运行。
• 从事这些行为的人被称为黑客。黑客刺探特定目标的通常动机是：
  • 获取机密或敏感数据的访问权。
  • 跟踪或监视目标系统的运行（跟踪分析）。
  • 扰乱目标系统的正常运行。
  • 窃取钱物或服务。
  • 免费使用资源。
  • 向安全机制进行技术挑战。
• 动机具有的三个基本目标：
  • 访问信息。
  • 修改或破坏信息或系统。
  • 使系统拒绝服务。
• 攻击信息处理系统时，面临着一定风险，这些风险包括以下四种：
  • 暴露进行其攻击能力。
  • 打草惊蛇，使对手有所防范，从而增加未来进一步成功攻击的难度。
  • 遭受惩罚（如罚款或入狱等）
  • 危及生命安全。

二，计算机网络不安全因素

1，不安全的主要因素

• 三方面：

  • 偶发因素
    • 如电源故障，设备异常及软件开发过程中留下的漏洞等。
  • 自然灾害
  • 人为因素

• 人为因素对计算机网络的破坏，称为人对计算机网络的攻击，分为：被动攻击，主动攻击，邻近攻击，内部人员攻击，分发攻击。

  • 被动攻击

    • 主要是监视公共媒体（如无线电，卫星，微波和公共交换网）上传送的信息。

      攻击	描述
      监视明文	监视网络，获取未加密的信息
      解密通信数据	通过密码分析，破解网络中传输的加密数据
      口令嗅探	使用协议分析工具，捕获用于各类系统访问的口令
      通信量分析	不对加密数据进行解密，而是通过对外部通信模式的观察，获取关键信息

  • 主动攻击

    • 主要是避开或突破安全防护，引入恶意代码（如计算机病毒），破坏数据和系统的完整性。

      攻击	描述
      修改传输中的数据	截获并修改网络中传输的数据，如修改电子交易数据，从而改变交易的数量或将交易转移到别的账户
      重放	将旧的消息重新反复发送，造成网络效率降低
      会话拦截	未授权使用一个已经建立的会话
      伪装成授权的用户或服务器	这类攻击者将自己伪装成他人，从而未授权访问资源和信息。一般过程是，先利用嗅探或其他手段获得用户/管理员信息，然后作为一个授权用户登录。这类攻击也包括用于获取敏感数据的欺骗服务器，通过与未产生怀疑的用户建立信任服务关系来实施攻击
      利用系统软件的漏洞	攻击者探求以系统权限运行的软件中存在的脆弱性
      利用主机或网络信任	攻击者通过操纵文件，使虚拟/远方主机提供服务，从而获得信任。典型的攻击有rhost和rlogin
      利用恶意代码	攻击者通过系统的脆弱性进入用户系统，并向系统内植入恶意代码；或者将恶意代码植入看起来无害的供下载的软件或电子邮件中，致使用户执行恶意代码
      利用协议或基础设施的系统缺陷	攻击者利用协议中的缺陷来欺骗用户或重定向通信量。这类攻击包括：哄骗域名服务器以进行未授权远程登录；使用ICMP炸弹使某个机器离线；源路由伪装成信任主机源；TCP序列号猜测获得访问权；为截获合法连接而进行TCP组合等。
      拒绝服务	攻击者有很多实施拒绝服务的攻击方法，包括：有效地将一个路由器从网络中脱离的ICMP炸弹；在网络中扩散垃圾包；向邮件中心发送垃圾邮件等

  • 邻近攻击

    • 指未授权者可物理上接近网络，系统或设备，从而可以修改，收集信息，或使系统拒绝访问。

      攻击	描述
      修改数据或收集信息	攻击者获取系统管理权，从而修改或窃取信息，如IP地址，登录的用户名或口令等
      系统干涉	攻击者获取系统访问权，从而干涉系统的正常运行
      物理破坏	攻击者获取系统物理设备访问权，从而对设备进行物理破坏

  • 内部人员攻击

    • 内部人员攻击分为恶意和非恶意两种。

    

  • 分发攻击

    • 指在软件或硬件开发出来后和安装之前，当它从一个地方送到另一个地方时，攻击者恶意地修改软硬件。

2，不安全的主要原因

• 网络建设中，网络特性决定了不可能无条件，无限制地提高其安全性能。要使网络方便快捷，又要保证网络安全，这是一个非常棘手的“两难选择”，而网络安全只能在“两难选择”所允许的范围中寻找平衡点。可以说任何一个计算机网络都不是绝对安全的。

1，互联网具有不安全性

• 主要表现在三个方面：
  • 开放性的网络
    • 网络开放性导致网络技术全开放，使得网络所面临的破坏和攻击来自多方面。
  • 国际性的网络
    • 网络攻击不仅仅来自本地网络的用户，而且可以来自互联网上的任何一台计算机。
  • 自由性的网络
    • 网络最初对用户恶的使用并没有提供任何的技术约束，用户可以自由地访问网络。

2，操作系统存在安全问题

• 操作系统体系结构造成不安全的隐患是计算机系统不安全的根本原因之一。操作系统的程序是可以动态连接的。
• 操作系统不安全的另一个原因在于它可以创建进程，支持进程的远程创建和激活，支持被创建的进程继承创建进程的权力，这些机制提供了在远端服务器上安装“间谍”软件的条件。
• 操作系统的无口令入口及隐藏通道（原是为系统开发人员提供的便捷入口），也都成为黑客入侵的通道。

3，数据的安全问题

• 对于数据库的安全而言，要保证数据的安全可靠和正确有效，即确保数据的安全性，完整性和并发控制。
  • 数据库的安全性就是防止数据库被故意破坏和非法存取。
  • 数据的完整性是防止数据库中存在不符合语义的数据，以及防止由于错误信息的输入，输出而造成的无效操作和错误结果。
  • 并发控制就是在多个用户程序并行地存取数据库时，保证数据库的一致性。

4，传输线路安全问题

• 从安全的角度讲，没有绝对安全的通信线路。

5，网络安全管理问题

• 网络系统缺少安全管理人员，缺少安全管理的技术规范，缺少定期的安全测试与检查，缺少安全监控，是网络最大的安全问题之一。

3，计算机网络安全基本概念

1，计算机网络安全的定义

• 计算机网络安全是指利用管理控制和技术措施，保证在一个网络环境里，信息数据的机密性，完整性及可用性受到保护。
• 网络安全问题实际上包括两方面的内容
  • 一是网络的系统安全。
  • 二是网络的信息安全，而保护网络的信息安全是最终目的。
• 从广义角度，凡是涉及网络上信息的保密性，完整性，可用性，不可否认性和可控性的相关技术和理论都是网络安全的研究领域。

2，计算机网络安全的目标

1，保密性

• 网络中的保密信息只能供经过允许的人员，以经过允许的方式使用，信息不泄露给非授权用户，实体或过程，或供其使用。提供保密性安全服务取决于若干因素。
  • 需保护数据的位置：数据可能存放在个人计算机或服务器，局域网的线路上，或其他流通介质（U盘，光盘等）上。
  • 需保护数据的类型：数据元素可以是本地文件和网络协议所携带的数据和网络协议的信息交换。
  • 需保护数据的数量或部分：保护整个数据元素，部分数据单元和协议数据单元。
  • 需保护数据的价值：被保护数据的敏感性，以及数据对用户的价值。
• 保密性的要素如下
  • 数据保护：防止信息内容被泄露。
  • 数据隔离：提供隔离路径或采用过程隔离。
  • 通信流保护：数据的特征，包括频率，数量，通信流的目的地等，通信流保护是指对通信的特征信息及推断信息进行保护。

2，完整性

• 网络中的信息安全，精确与有效，不因种种不安全因素而改变信息原有的内容，形式与流向。确保信息在存储或传输过程中不被修改，不被破坏和丢失。
• 破坏完整性的因素分为人为和非人为。
  • 非人为因素是指通信传输中的干扰噪声，系统硬件或软件的差错等。
  • 人为因素有意和无意两种。
    • 有意是非法分子对计算机的侵入，合法用户越权对数据进行操作等。
    • 无意是指操作失误或使用不当。

3，可用性

• 网络资源在需要时即可使用，不因系统故障或误操作等使资源丢失或妨碍对资源的使用，是被授权实体按需求访问的特征。在网络环境下，拒绝服务，破坏网络和系统的正常运行都属于对可用性的攻击。
• 影响网络可用性的因素包括人为与非人为两种。
• 保证可用性的最有效的方法是提供一个具有普适安全服务的安全网络环境。通过使用访问控制阻止未授权资源访问，利用完整性和保密性服务来防止可用性攻击。访问控制，完整性和保密性成为协助支持可用性安全服务的机制。

4，不可否认性

• 不可否认是保证信息行为人不能否认其信息行为。不可否认性安全服务提供了向第三方证明该实体确实参与了通信的能力。
  • 数据的接收者提供数据发送者身份及原始发送时间的证据。
  • 数据的发送者提供数据已交付接收者（某些情况下，包括接受时间）的证据。
  • 审计服务提供信息交换中各涉及方的可审计性，这种可审计性记录了可用来跟踪某些人的相关事件，这些人应对其行为负责。

5，可控性

• 对信息的传播和内容具有控制能力。

3，计算机网络安全的层次

• 根据网络安全措施作用位置的不同，将网络安全划分为4个层次，分别为物理安全，逻辑安全，操作系统安全和联网安全。

1，物理安全

• 主要包括防盗，防火，防静电，防雷击，防电磁泄露和防物理隔离等方面。

2，逻辑安全

• 逻辑安全主要通过口令密码，权限控制等方法来实现。

3，操作系统安全

• 是计算机中最基本，最重要的软件，是计算机系统安全的基础。操作系统安全主要包括用户权限控制和安全漏洞修复等。

4，联网安全

• 主要通过访问控制和通信安全来实现。
  • 访问控制：用来保护计算机和网络资源不被非授权使用。
  • 通信安全：用来保护数据的保密性和完整性，以及各通信方的可信赖性。

4，计算机网络安全所涉及的内容

• 主要包括以下几个方面
  • 网络安全体系结构。
  • 网络攻击手段与预防措施。
  • 网络安全设计。
  • 网络安全标准，安全评测及认证。
  • 网络安全检测技术。
  • 网络安全设备。
  • 网络安全管理，安全审计。
  • 网络犯罪侦察。
  • 网络安全理论与政策。
  • 网络安全教育。
  • 网络安全法律。

4，计算机网络安全体系结构

1，网络安全模型

• 通信双方在网络上传输信息时，首先需要在收，发方之间建立一条逻辑通道。为此，就要先确定从发送方到接收方的路由，并选择该路由上使用的通信协议。
• 为了安全的传输信息，需要为信息提供安全机制和安全服务。信息安全传输包含两个方面的内容：
  • 一是对发送的信息进行安全转换，如进行加密，以实现信息的保密性。
  • 二是收，发方共享的某些秘密信息，如加密密钥等。
• 为使信息安全地进行传输，通常需要一个可信任的第三方，其作用是负责向通信双方分发秘密信息，以及在双方发生争执时进行仲裁。
• 一个安全的网络通信方案必须考虑以下内容。
  • 实现与安全相关的信息转换的规则或算法。
  • 用于信息转换的秘密信息（如密钥）。
  • 秘密信息的分发和共享。
  • 利用信息转换算法和秘密信息获取安全服务所需的协议。

2，OSI安全体系结构

• OSI安全体系结构不是能实现的标准，而是关于如何设计标准的标准。因此，具体产品不应声称自己遵从这一标准。它们中有一部分已经过时，仍然有用的部分主要是术语，安全服务和安全机制的定义。

1，术语

• 所定义的术语只限于OSI体系结构。

2，安全服务

• OSI安全体系结构中定义了五大类安全服务，也称为安全防护措施。
  • 鉴别服务：提供对通信中对等实体和数据来源的鉴别。对等实体鉴别提供对实体本身的身份进行鉴别；数据源鉴别提供数据项是否来自于某个特定实体进行鉴别。
  • 访问控制服务：对资源提供保护，以对抗非授权使用和操纵。
  • 数据机密性服务：保护信息不被泄露或暴漏给未授权的实体。机密性服务分为：
    • 数据机密性服务：数据机密性服务包括：
      • 连接机密性服务，对某个连接上传输的所有数据进行加密。
      • 无连接机密性服务，对构成一个无连接数据单元的所有数据进行加密。
      • 选择字段机密性服务，仅对某个数据单元中所指定的字段进行加密。
    • 业务流机密性服务
      • 业务流机密性服务使攻击者很难通过网络的业务流来获得敏感信息。
  • 数据完整性服务：对数据提供保护，以对抗未授权的改变，删除或替代。完整性服务有三种类型：
    • 连接完整性服务：对连接上传输的所有数据进行完整性保护，确保收到的数据没有被插入，篡改，重排序或延迟。
    • 无连接完整性服务：对无连接数据单元的数据进行完整性保护。
    • 选择字段完整性服务：对数据单元中指定的字段进行完整性保护。
  • 抗抵赖性服务：防止参加通信的任何一方事后否认本次通信或通信内容。分为两种不同的形式：
    • 数据原发证明的抗抵赖：使发送者不承认曾经发送过这些数据或否认其内容的企图不能得逞。
    • 交付证明的抗抵赖：使接收者不承认曾收到这些数据或否认其内容的企图不能得逞。

3，安全机制

• 基本的机制有：加密机制，数字签名机制，访问控制机制，数据完整性机制，鉴别交换机制，通信业务流填充机制，路由控制和公证机制。

3，PPDR模型

• PPDR模型包含四个主要部分：Policy（安全策略），Protection（防护），Detection（检测）和Response（响应）。
  • Policy：安全策略是整个网络安全的依据，不同的网络需要不同的策略。策略一旦制定，应当作为整个网络系统安全行为的准则。
  • Protection：保护通常是通过采用一些传统的静态安全技术及方法来实现的，主要有防火墙，加密和认证等方法。
  • Detection：检测是动态响应和加强防护的依据，通过不断地检测和监控网络和系统，来发现新的威胁和弱点，通过循环反馈来及时作出有效地响应。
  • Response：响应在安全系统中占有最重要的地位，是解决潜在安全问题地最有效办法。
• 该模型认为，安全技术措施是围绕安全策略的具体需求而有序地组织在一起，构成一个动态的安全防护措施。
• PPDR模型有一套完整的理论体系——基于时间的安全理论（Time Based Security）该理论的基本思想是认为与信息安全有关的所有活动，包括攻击行为，防护行为，检测行为和响应行为等都要消耗时间，可以用时间衡量一个体系的安全性和安全能力。
• 防护系统从入侵者发动攻击时，每一步都需要时间。
  • 攻击成功花费的时间是安全体系提供的防护时间$$P_t$$。
  • 检测到入侵行为所要花费时间是检测时间$$D_t$$。
  • 检测到入侵后，系统做出应用的响应动作，该过程花费的时间是响应时间$$R_t$$。
• PPDR模型通过数学公式来表达安全的要求。
  • $$P_t>D_t+R_t$$
    • $$P_t$$：系统为了保护安全目标设置各种保护后的防护时间。
    • $$D_t$$：从入侵者开发发动入侵开始，系统能够检测到入侵行为所花费的时间。
    • $$R_t$$：从发现入侵行为开始，系统能够做出足够的响应，将系统调整到正常状态的时间。
    • 针对需要保护的安全目标，如果上述公式满足，即在入侵者危害安全目标之前就能够被检测到并及时处理。
  • $$E_t=D_t+R_t$$，如果$$P_t=0$$
    • 公式的前提是假设防护时间为0。这种假设对Web Server这样的系统成立。
    • $$D_t$$：从入侵者破坏安全目标系统开始，系统能够检测到破坏行为所花费的时间。
    • $$R_t$$：从发现遭到破坏开始，系统能够做出足够的响应，将系统调整到正常状态的时间。
• 网络安全发展趋势
  • 高度灵活和自动化的网络安全管理辅助工具将成为企业信息安全主管的首选。
  • 网络安全管理将与已经成熟的网络管理集成，在统一的平台上实现网络管理和安全管理。
  • 检测技术将更加细化，针对各种新的应用程序的漏洞评估和入侵监控技术将会产生，还将有攻击追踪技术应用到网络安全管理的环节中。

4，网络安全技术

1，物理安全措施

• 物理安全是保护计算机网络设备，设施及其他媒体免遭地震，水灾，或火灾等环境因素，人为操作失误及各种计算机犯罪行为导致的破坏过程，主要包括3个方面：
  • 环境安全：对系统所在环境的安全防护措施，如区域保护和灾难保护。
  • 设备安全：设备的防盗，防毁，防电磁信息辐射泄漏，防止线路截获，抗电磁干扰及电源保护技术和措施等。
  • 媒体安全：媒体数据的安全及媒体本身的安全技术和措施。
• 计算机网络辐射的电磁信号可在几百甚至几千千米远处被截获，重要的政府，军队和金融机构等都要考虑电磁信息泄露。

2，数据传输安全技术

• 保障数据传输的安全，通常采用的是数据传输加密技术，数据完整性鉴别技术及防抵赖性技术。

3，内外网隔离技术

• 采用防火墙技术可以将内部网络与外部网络进行隔离，从而对内部网络进行保护。
• 防火墙技术是实现内外网的隔离与访问控制，保护内部网安全的最主要，也是最有效，最经济的措施。

4，入侵检测技术

• 入侵检测的目的就是提供实时的检测及采取相应的防护手段，以便对进出各级局域网的常见操作进行实时检查，监控，报警和阻断，从而防止针对网络的攻击与犯罪行为。

5，访问控制技术

• 是维护计算机网络系统安全，保护计算机资源的重要手段，是保证网络安全最重要的核心策略之一。
• 访问控制是给用户和用户组一定的权限，控制用户和用户组对目录和子目录，文件和其他资源的访问，以及指定用户对这些文件，目录和设备能够执行的操作。
• 受托者指派和继承权限屏蔽是实现访问控制的两种方式
  • 受托者指派控制用户和用户组如何使用网络服务器的目录，文件和设备。
  • 继承权限屏蔽可以限制子目录从父目录那里继承哪些权限。根据访问权限将用户分为三类：
    • 特殊用户，即系统管理员。
    • 一般用户，系统管理员根据用户的实际需要为他们分配操作权限。
    • 审计用户，负责网络的安全控制与资源使用情况的审计。

6，审计技术

• 审计技术是记录用户使用计算机网络系统进行所有活动的过程，记录系统产生的各类事件。

7，安全性检测技术

• 网络安全检测是对网络的安全性进行评估分析，通过实践性的方法扫描分析网络系统，检查系统存在的弱点和漏洞，提出补救措施和安全策略的建议，达到增强网络安全性的目的。

8，防病毒技术

• 防病毒技术包括预防病毒，检测病毒和消除病毒三种技术。

9，备份技术

• 根据系统安全需求可选择的备份机制有：
  • 场地内高速度，大容量自动的数据存储，备份与恢复。
  • 场地外的数据存储，备份与恢复。

10，终端安全技术

• 主要解决终端的安全保护问题，一般的安全功能有：
  • 基于口令或密码算法的身份验证，防止非法使用计算机。
  • 自主和强制存取控制，防止非法访问文件。
  • 多级权限管理，防止越权操作。
  • 存储设备安全管理，防止非法软盘复制和硬盘启动。
  • 数据和程序代码加密存储，防止信息被窃。
  • 预防病毒，防止病毒侵扰。
  • 严格的审计跟踪，便于追查责任事故。

5，计算机网络安全管理

• 信息安全大约60%以上的问题是由于管理造成的。

1，网络安全管理的法律法规

• 如《军用计算机安全评估准则》，《军用通信设备及系统安全要求》，《信息处理64bit分组密码算法的工作方式》及《计算站场地技术条件》及《计算机机房用活动地板技术条件》等。

6，计算机网络安全技术发展趋势

1，网络安全威胁发展趋势

• 网络安全威胁和攻击机制的发展具备的特点：
  • 与Internet更加紧密地结合，利用一切可以利用的方式进行传播。
  • 所有的病毒都具有混合型特征，集文件传染，蠕虫，木马和黑客程序的特点于一身，破坏性大大增强。
  • 其扩散极快，而更加注重欺骗性。
  • 利用系统漏洞将成为病毒有力的传播方式。
  • 无线网络技术的发展，使远程网络攻击的可能性增大。
  • 各种境外情报，谍报人员将越来越多地通过信息网络渠道收集情报和窃取资料。
  • 各种病毒，蠕虫和后门技术越来越智能化，并出现整合趋势，形成混合性威胁。
  • 各种攻击技术的隐秘性增强，常规防范手段难以识别。
  • 分布式计算技术用于攻击的趋势增强，威胁高强度密码的安全性。
  • 一些政府部门
  • 的超级计算机资源将成为攻击者利用的跳板。

2，网络安全主要使用技术的发展

1，物理隔离

• 物理隔离的思想是不安全就不连网，要绝对保证安全。

2，逻辑隔离

• 主要采用防火墙。
• 防火墙主要是提高性能，安全性和功能。

3，防御来自网络的攻击

• 主要是抗击DoS等拒绝服务攻击，其技术是识别正常服务的包，将攻击包分离出来。

4，防御网络上的病毒

• 在单位内部的计算机网络和互联网的连接处放置防病毒网关，一旦出现新病毒，更新防病毒网关就可清除每个终端的病毒。

5，身份认证

6，加密通信和虚拟专用网

7，入侵检测和主动防卫

8，网管，审计和取证