【正文】 計算機(jī)安全與網(wǎng)絡(luò)安全 計算機(jī)網(wǎng)絡(luò)面臨的安全問題 系統(tǒng)安全策略 第 1章 計算機(jī)網(wǎng)絡(luò)安全概述 計算機(jī)安全及網(wǎng)絡(luò)安全主要的研究內(nèi)容如下： l 計算機(jī)環(huán)境安全技術(shù)； l 計算機(jī)硬件安全技術(shù)； l 計算機(jī)軟件安全技術(shù)； l 數(shù)據(jù)備份與信息安全技術(shù)； l 網(wǎng)絡(luò)平臺安全技術(shù)； l 網(wǎng)絡(luò)通信安全技術(shù)； l 網(wǎng)絡(luò)操作系統(tǒng)安全技術(shù)； l 防火墻技術(shù)； l 入侵檢測與端口掃描技術(shù)； l 計算機(jī)病毒與黑客的防范技術(shù) 。 本節(jié)內(nèi)容 信息安全 計算機(jī)安全 網(wǎng)絡(luò)安全 信息安全與計算機(jī)安全 計算機(jī)安全與網(wǎng)絡(luò)安全 信息安全 信息安全 的 定義： 國際標(biāo)準(zhǔn)化組織 (ISO)對信息安全的定義為：為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和顯露。 我國安全保護(hù)條例對信息安全的定義為：計算機(jī)信息系統(tǒng)的安全保護(hù)，應(yīng)當(dāng)保障計算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）的安全，運(yùn)行環(huán)境的安全，保障信息的安全，保障計算機(jī)功能的正常發(fā)揮，以維護(hù)計算機(jī)信息系統(tǒng)的安全運(yùn)行。 信息安全主要涉及到信息傳輸?shù)陌踩?、 信息存儲的安全以及對網(wǎng)絡(luò)傳輸信息內(nèi)容的審計三方面 。 （ 1） 信息傳輸安全系統(tǒng) 信息傳輸加密技術(shù)：目的是對傳輸中的數(shù)據(jù)流加密 ， 以防止通信線路上的竊聽 、 泄漏 、 篡改和破壞 。 如果以加密實現(xiàn)的通信層次來區(qū)分 ， 加密可以在通信的三個不同層次來實現(xiàn) ， 即鏈路加密 （ 位于 OSI網(wǎng)絡(luò)層以下的加密 ） 、 結(jié)點加密和端到端加密 （ 傳輸前對文件加密 ， 位于 OSI網(wǎng)絡(luò)層以上的加密 ） 。 數(shù)據(jù)完整性鑒別技術(shù)：目前 ， 對于動態(tài)傳輸?shù)男畔?， 許多協(xié)議確保信息完整性的方法大多是收錯重傳 、 丟棄后續(xù)包的辦法 ， 但黑客的攻擊可以改變信息包內(nèi)部的內(nèi)容 ， 所以應(yīng)采取有效的措施來進(jìn)行完整性檢驗控制 。 報文鑒別：與數(shù)據(jù)鏈路層的 CRC（ Cyclic Redundancy Check：循環(huán)冗余校驗 ） 控制類似 ， 將報文名字段 （ 或域 ） 使用一定的操作組成一個約束值 ， 稱為該報文的完整性檢測向量 ICV（ Integrated Check Vector） 。 然后將它與數(shù)據(jù)封裝在一起進(jìn)行加密 ， 傳輸過程中由于侵入者不能對報文解密 ， 所以也就不能同時修改數(shù)據(jù)并計算新的 ICV， 這樣 ， 接收方收到數(shù)據(jù)后解密并計算 ICV， 若與明文中的ICV不同 ， 則認(rèn)為此報文無效 。 校驗和：一個最簡單易行的完整性控制方法是使用校驗和 ， 計算出該文件的校驗和值并與上次計算出的值比較 。 若相等 ， 說明文件沒有改變；若不等 ， 則說明文件可能被未察覺的行為改變了 。 校驗和方式可以查錯 ， 但不能保護(hù)數(shù)據(jù) 。 加密校驗和：將文件分成小快 ， 對每一塊計算 CRC校驗值 ， 然后再將這些 CRC值加起來作為校驗和 。 只要運(yùn)用恰當(dāng)?shù)乃惴?， 這種完整性控制機(jī)制幾乎無法破解 。 但這種機(jī)制運(yùn)算量大 ， 并且昂貴 ，只適用于那些完整性要求保護(hù)極高的情況 。 消息完整性編碼 MIC（ Message Integrity Code） ：使用簡單單向散列函數(shù)計算消息的摘要 ， 連同信息發(fā)送給接收方 ， 接收方重新計算摘要 ， 并進(jìn)行比較驗證信息在傳輸過程中的完整性 。 這種散列函數(shù)的特點是任何兩個不同的輸入不可能產(chǎn)生兩個相同的輸出 。因此 ， 一個被修改的文件不可能有同樣的散列值 。 單向散列函數(shù)能夠在不同的系統(tǒng)中高效實現(xiàn) 。 防抵賴技術(shù)：它包括對源和目的地雙方的證明 ， 常用方法是數(shù)字簽名 ， 數(shù)字簽名采用一定的數(shù)據(jù)交換協(xié)議 ， 使得通信雙方能夠滿足兩個條件：接收方能夠鑒別發(fā)送方所宣稱的身份 ， 發(fā)送方事后不能否認(rèn)他發(fā)送過數(shù)據(jù)這一事實 。 比如 ， 通信的雙方采用公鑰體制 ，發(fā)送方使用接收方的公鑰和自己的私鑰加密的信息 ， 只有接收方憑借自己的私鑰和發(fā)送方的公鑰解密之后才能讀懂 ， 而對于接收方的回執(zhí)也是同樣道理 。 另外實現(xiàn)防抵賴的途徑還有：通過可信第三方的認(rèn)證 、 使用時間戳 、 采用一個在線的第三方 、 數(shù)字簽名與時戳相結(jié)合等 。 (2)信息存儲安全系統(tǒng) 在計算機(jī)信息系統(tǒng)中存儲的信息主要包括純粹的數(shù)據(jù)信息和各種功能文件信息兩大類 。 對純粹數(shù)據(jù)信息的安全保護(hù) ， 以數(shù)據(jù)庫信息的保護(hù)最為典型 。 而對各種功能文件的保護(hù) ， 終端安全很重要 。 (3)信息內(nèi)容審計系統(tǒng) 實時對進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行審計 ， 以防止或追查可能的泄密行為 。 因此 ， 為了滿足國家保密法的要求 ， 在某些重要或涉密網(wǎng)絡(luò) ，應(yīng)該安裝使用審計系統(tǒng) 。 2. 信息安全的特點 l 相對性：沒有絕對的安全 ， 只有相對的安全 。 其安全程度與面臨的安全風(fēng)險大小 、安全防護(hù)人力 、 物力投入多少相關(guān)； l 綜合性：信息安全并非一個單純的技術(shù)層面的問題 ， 它還涉及到管理 、 意識和國家法律等多個層面 ， 因此 ， 信息安全其實是一個綜合性的問題 ， 各個環(huán)節(jié)緊密銜接在一起； l 產(chǎn)品多樣性：防黑客的產(chǎn)品不能用來防病毒 ， 不同強(qiáng)度控制不同風(fēng)險 ， 我們不能僅指望靠單一的網(wǎng)絡(luò)安全產(chǎn)品來做到一勞永逸； l 動態(tài)性：今天安全不等于明天就安全 ， 在前一段時間看來是較為安全的問題隨著黑客技術(shù)的發(fā)展也會暴露出原來未經(jīng)檢測到的漏洞 ， 所以需要對黑客行為模式的不斷提煉 ，技術(shù)上的及時跟進(jìn)和維護(hù)支持非常重要； l 不易管理性：顯然安全保護(hù)越好 ， 就越不方便 ， 而我們不能限制網(wǎng)絡(luò)帶來的優(yōu)勢 ，因此投資 、 安全和便捷之間需要平衡 ， 通過將不同技術(shù)控制手段和管理的結(jié)合來實現(xiàn) 。 l 黑盒性：信息與網(wǎng)絡(luò)的不安全性是相對透明的 ， 也就是說 ， 信息安全與網(wǎng)絡(luò)安全是具有黑盒性的 。 信息安全與網(wǎng)絡(luò)安全工具和設(shè)備在運(yùn)行時對用戶是不可見的 ， 到底能防多少黑客 、 系統(tǒng)受多少傷害 、 是否帶來新的不安全因素 ， 包括整個安全體系都是很模糊的 ，用戶不知如何管理 ， 我們將提到的網(wǎng)絡(luò)安全資源管理平臺就可以給管理人員一片感性的天地 。 信息安全是要保證信息的完整性、可用性和保密性。當(dāng)前，信息安全可以分為三個層面：網(wǎng)絡(luò)安全、系統(tǒng)安全以及信息數(shù)據(jù)安全。 網(wǎng)絡(luò)層安全問題的核心在于網(wǎng)絡(luò)是否得到控制，一旦危險的訪問者進(jìn)入企業(yè)網(wǎng)絡(luò)，后果是不堪設(shè)想的。這就要求網(wǎng)絡(luò)能夠?qū)λ衼碓L者進(jìn)行分析，判斷來自這一 IP地址的數(shù)據(jù)是否安全，以及是否會對本網(wǎng)絡(luò)造成危害；同時還要求系統(tǒng)能自動將危險來訪拒之門外，并對其進(jìn)行自動記錄，使其無法再次入侵。 系統(tǒng)層面的安全問題，主要是病毒對于網(wǎng)絡(luò)的威脅。病毒的危害已是人盡皆知了，它就像是暗藏在網(wǎng)絡(luò)中的不定時炸彈，系統(tǒng)隨時都有可能遭到破壞而導(dǎo)致嚴(yán)重后果甚至造成系統(tǒng)癱瘓。因此企業(yè)必須做到實時監(jiān)測、隨時查毒、殺毒，不能有絲毫的懈怠與疏忽。 信息數(shù)據(jù)是安全問題的關(guān)鍵，要求保證信息傳輸完整性、保密性等。這一安全問題所涉及的是：使用系統(tǒng)中的資源和數(shù)據(jù)的用戶是否是真正被授權(quán)的用戶，這就要求系統(tǒng)能夠?qū)W(wǎng)絡(luò)中流通的數(shù)據(jù)信息進(jìn)行監(jiān)測、記錄，并對使用該系統(tǒng)信息數(shù)據(jù)的用戶進(jìn)行身份認(rèn)證，以保證信息安全。 計算機(jī)安全 1946年計算機(jī)問世的初期 ， 人 們關(guān)注的是如何提高計算機(jī)的計算處理能力 、 運(yùn)算速度和存儲能力 ， 并沒有過多地考慮到計算機(jī)安全的問題 。 以后 ， 隨著多用戶 、 多進(jìn)程計算機(jī)的出現(xiàn) ， 眾多用戶使用同一臺計算機(jī)運(yùn)行不同的進(jìn)程 ， 由此產(chǎn)生了計算機(jī)賬戶管理和資源分配等需求 ， 因此出現(xiàn)了身份認(rèn)證和訪問控制 ， 開始在操作系統(tǒng)中設(shè)置專門的