【正文】 計算機安全與網絡安全 計算機網絡面臨的安全問題 系統(tǒng)安全策略 第 1章 計算機網絡安全概述 計算機安全及網絡安全主要的研究內容如下： l 計算機環(huán)境安全技術； l 計算機硬件安全技術； l 計算機軟件安全技術； l 數據備份與信息安全技術； l 網絡平臺安全技術； l 網絡通信安全技術； l 網絡操作系統(tǒng)安全技術； l 防火墻技術； l 入侵檢測與端口掃描技術； l 計算機病毒與黑客的防范技術 。 本節(jié)內容 信息安全 計算機安全 網絡安全 信息安全與計算機安全 計算機安全與網絡安全 信息安全 信息安全 的 定義： 國際標準化組織 (ISO)對信息安全的定義為：為數據處理系統(tǒng)建立和采取的技術和管理的安全保護，保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和顯露。 我國安全保護條例對信息安全的定義為：計算機信息系統(tǒng)的安全保護，應當保障計算機及其相關的和配套的設備、設施（含網絡）的安全，運行環(huán)境的安全，保障信息的安全，保障計算機功能的正常發(fā)揮，以維護計算機信息系統(tǒng)的安全運行。 信息安全主要涉及到信息傳輸的安全 、 信息存儲的安全以及對網絡傳輸信息內容的審計三方面 。 （ 1） 信息傳輸安全系統(tǒng) 信息傳輸加密技術：目的是對傳輸中的數據流加密 ， 以防止通信線路上的竊聽 、 泄漏 、 篡改和破壞 。 如果以加密實現(xiàn)的通信層次來區(qū)分 ， 加密可以在通信的三個不同層次來實現(xiàn) ， 即鏈路加密 （ 位于 OSI網絡層以下的加密 ） 、 結點加密和端到端加密 （ 傳輸前對文件加密 ， 位于 OSI網絡層以上的加密 ） 。 數據完整性鑒別技術：目前 ， 對于動態(tài)傳輸的信息 ， 許多協(xié)議確保信息完整性的方法大多是收錯重傳 、 丟棄后續(xù)包的辦法 ， 但黑客的攻擊可以改變信息包內部的內容 ， 所以應采取有效的措施來進行完整性檢驗控制 。 報文鑒別：與數據鏈路層的 CRC（ Cyclic Redundancy Check：循環(huán)冗余校驗 ） 控制類似 ， 將報文名字段 （ 或域 ） 使用一定的操作組成一個約束值 ， 稱為該報文的完整性檢測向量 ICV（ Integrated Check Vector） 。 然后將它與數據封裝在一起進行加密 ， 傳輸過程中由于侵入者不能對報文解密 ， 所以也就不能同時修改數據并計算新的 ICV， 這樣 ， 接收方收到數據后解密并計算 ICV， 若與明文中的ICV不同 ， 則認為此報文無效 。 校驗和：一個最簡單易行的完整性控制方法是使用校驗和 ， 計算出該文件的校驗和值并與上次計算出的值比較 。 若相等 ， 說明文件沒有改變；若不等 ， 則說明文件可能被未察覺的行為改變了 。 校驗和方式可以查錯 ， 但不能保護數據 。 加密校驗和：將文件分成小快 ， 對每一塊計算 CRC校驗值 ， 然后再將這些 CRC值加起來作為校驗和 。 只要運用恰當的算法 ， 這種完整性控制機制幾乎無法破解 。 但這種機制運算量大 ， 并且昂貴 ，只適用于那些完整性要求保護極高的情況 。 消息完整性編碼 MIC（ Message Integrity Code） ：使用簡單單向散列函數計算消息的摘要 ， 連同信息發(fā)送給接收方 ， 接收方重新計算摘要 ， 并進行比較驗證信息在傳輸過程中的完整性 。 這種散列函數的特點是任何兩個不同的輸入不可能產生兩個相同的輸出 。因此 ， 一個被修改的文件不可能有同樣的散列值 。 單向散列函數能夠在不同的系統(tǒng)中高效實現(xiàn) 。 防抵賴技術：它包括對源和目的地雙方的證明 ， 常用方法是數字簽名 ， 數字簽名采用一定的數據交換協(xié)議 ， 使得通信雙方能夠滿足兩個條件：接收方能夠鑒別發(fā)送方所宣稱的身份 ， 發(fā)送方事后不能否認他發(fā)送過數據這一事實 。 比如 ， 通信的雙方采用公鑰體制 ，發(fā)送方使用接收方的公鑰和自己的私鑰加密的信息 ， 只有接收方憑借自己的私鑰和發(fā)送方的公鑰解密之后才能讀懂 ， 而對于接收方的回執(zhí)也是同樣道理 。 另外實現(xiàn)防抵賴的途徑還有：通過可信第三方的認證 、 使用時間戳 、 采用一個在線的第三方 、 數字簽名與時戳相結合等 。 (2)信息存儲安全系統(tǒng) 在計算機信息系統(tǒng)中存儲的信息主要包括純粹的數據信息和各種功能文件信息兩大類 。 對純粹數據信息的安全保護 ， 以數據庫信息的保護最為典型 。 而對各種功能文件的保護 ， 終端安全很重要 。 (3)信息內容審計系統(tǒng) 實時對進出內部網絡的信息進行審計 ， 以防止或追查可能的泄密行為 。 因此 ， 為了滿足國家保密法的要求 ， 在某些重要或涉密網絡 ，應該安裝使用審計系統(tǒng) 。 2. 信息安全的特點 l 相對性：沒有絕對的安全 ， 只有相對的安全 。 其安全程度與面臨的安全風險大小 、安全防護人力 、 物力投入多少相關； l 綜合性：信息安全并非一個單純的技術層面的問題 ， 它還涉及到管理 、 意識和國家法律等多個層面 ， 因此 ， 信息安全其實是一個綜合性的問題 ， 各個環(huán)節(jié)緊密銜接在一起； l 產品多樣性：防黑客的產品不能用來防病毒 ， 不同強度控制不同風險 ， 我們不能僅指望靠單一的網絡安全產品來做到一勞永逸； l 動態(tài)性：今天安全不等于明天就安全 ， 在前一段時間看來是較為安全的問題隨著黑客技術的發(fā)展也會暴露出原來未經檢測到的漏洞 ， 所以需要對黑客行為模式的不斷提煉 ，技術上的及時跟進和維護支持非常重要； l 不易管理性：顯然安全保護越好 ， 就越不方便 ， 而我們不能限制網絡帶來的優(yōu)勢 ，因此投資 、 安全和便捷之間需要平衡 ， 通過將不同技術控制手段和管理的結合來實現(xiàn) 。 l 黑盒性：信息與網絡的不安全性是相對透明的 ， 也就是說 ， 信息安全與網絡安全是具有黑盒性的 。 信息安全與網絡安全工具和設備在運行時對用戶是不可見的 ， 到底能防多少黑客 、 系統(tǒng)受多少傷害 、 是否帶來新的不安全因素 ， 包括整個安全體系都是很模糊的 ，用戶不知如何管理 ， 我們將提到的網絡安全資源管理平臺就可以給管理人員一片感性的天地 。 信息安全是要保證信息的完整性、可用性和保密性。當前，信息安全可以分為三個層面：網絡安全、系統(tǒng)安全以及信息數據安全。 網絡層安全問題的核心在于網絡是否得到控制，一旦危險的訪問者進入企業(yè)網絡，后果是不堪設想的。這就要求網絡能夠對所有來訪者進行分析，判斷來自這一 IP地址的數據是否安全，以及是否會對本網絡造成危害；同時還要求系統(tǒng)能自動將危險來訪拒之門外，并對其進行自動記錄，使其無法再次入侵。 系統(tǒng)層面的安全問題，主要是病毒對于網絡的威脅。病毒的危害已是人盡皆知了，它就像是暗藏在網絡中的不定時炸彈，系統(tǒng)隨時都有可能遭到破壞而導致嚴重后果甚至造成系統(tǒng)癱瘓。因此企業(yè)必須做到實時監(jiān)測、隨時查毒、殺毒，不能有絲毫的懈怠與疏忽。 信息數據是安全問題的關鍵，要求保證信息傳輸完整性、保密性等。這一安全問題所涉及的是：使用系統(tǒng)中的資源和數據的用戶是否是真正被授權的用戶，這就要求系統(tǒng)能夠對網絡中流通的數據信息進行監(jiān)測、記錄，并對使用該系統(tǒng)信息數據的用戶進行身份認證，以保證信息安全。 計算機安全 1946年計算機問世的初期 ， 人 們關注的是如何提高計算機的計算處理能力 、 運算速度和存儲能力 ， 并沒有過多地考慮到計算機安全的問題 。 以后 ， 隨著多用戶 、 多進程計算機的出現(xiàn) ， 眾多用戶使用同一臺計算機運行不同的進程 ， 由此產生了計算機賬戶管理和資源分配等需求 ， 因此出現(xiàn)了身份認證和訪問控制 ， 開始在操作系統(tǒng)中設置專門的