【文章內(nèi)容簡介】 如表 31 所示：表 31 網(wǎng)絡安全等級及安全級別的性能要求下 面 對 下 各 個 安 全 級 別 進 行 介 紹 ：(1)D 類 安 全 等 級 ： D 類 安 全 等 級 只 包 括 D1 一 個 級 別 。 D1 的 安 全 等 級 最 低 。 D1系 統(tǒng) 只 為 文 件 和 用 戶 提 供 安 全 保 護 。 D1 系 統(tǒng) 最 普 通 的 形 式 是 本 地 操 作 系 統(tǒng) ， 或 者是 一 個 完 全 沒 有 保 護 的 網(wǎng) 絡 。(2)C 類 安 全 等 級 ： 該 類 安 全 等 級 能 夠 提 供 審 慎 的 保 護 ， 并 為 用 戶 的 行 動 和 責 任提 供 審 計 能 力 。 C 類 安 全 等 級 可 劃 分 為 C1 和 C2 兩 類 。 C1 系 統(tǒng) 的 可 信 任 運 算 基 礎體 制 （ Trusted Computing Base， TCB） 通 過 將 用 戶 和 數(shù) 據(jù) 分 開 來 達 到 安 全 的 目 的 。在 C1 系 統(tǒng) 中 ， 所 有 的 用 戶 以 同 樣 的 靈 敏 度 來 處 理 數(shù) 據(jù) ， 即 用 戶 認 為 C1 系 統(tǒng) 中 的安全級別 名 稱 說明D1 酌情安全保護 對硬件和操作系統(tǒng)幾乎無保護，對信息的訪問無控制C1 自選安全保護 由用戶注冊名和口令的組合來確定用戶對信息的訪問權限B1 被標簽的安全性保護 為強制性訪問控制，不允許文件的擁有者改變其許可權限B2 結(jié)構化保護 要求對計算機中所有信息加以標簽，并且對設備分配單個或多個安全級別B3 安全域保護 使用安全硬件的方法來加強域的管理終端與系統(tǒng)的連接途徑可信任A 核實保護 系統(tǒng)不同來源必須有安全措施必須在銷售過程中實施第 2 章 網(wǎng)絡安全概述10所 有 文 檔 都 具 有 相 同 的 機 密 性 。 C2 系 統(tǒng) 比 C1 系 統(tǒng) 加 強 了 可 調(diào) 的 審 慎 控 制 。 在 連 接事 件 和 資 源 隔 離 來 增 強 這 種 控 制 。 C2 系 統(tǒng) 具 有 C1 系 統(tǒng) 中 所 有 的 安 全 性 特 征 。理工學院畢業(yè)設計（論文）11(3)B 類 安 全 等 級 ： B 類 安 全 等 級 可 分 為 B B2 和 B3 三 類 。 B 類 系 統(tǒng) 具 有 強 制性 保 護 功 能 。 強 制 性 保 護 意 味 著 如 果 用 戶 沒 有 與 安 全 等 級 相 連 ， 系 統(tǒng) 就 不 會 讓 用 戶存 取 對 象 。 B1 系 統(tǒng) 滿 足 下 列 要 求 ： 系 統(tǒng) 對 網(wǎng) 絡 控 制 下 的 每 個 對 象 都 進 行 靈 敏 度 標 記 ；系 統(tǒng) 使 用 靈 敏 度 標 記 作 為 所 有 強 迫 訪 問 控 制 的 基 礎 ； 系 統(tǒng) 在 把 導 入 的 、 非 標 記 的 對象 放 入 系 統(tǒng) 前 標 記 它 們 ； 靈 敏 度 標 記 必 須 準 確 地 表 示 其 所 聯(lián) 系 的 對 象 的 安 全 級 別 ；當 系 統(tǒng) 管 理 員 創(chuàng) 建 系 統(tǒng) 或 者 增 加 新 的 通 信 通 道 或 I/O 設 備 時 ， 管 理 員 必 須 指 定 每個 通 信 通 道 和 I/O 設 備 是 單 級 還 是 多 級 ， 并 且 管 理 員 只 能 手 工 改 變 指 定 ； 單 級 設備 并 不 保 持 傳 輸 信 息 的 靈 敏 度 級 別 ； 所 有 直 接 面 向 用 戶 位 置 的 輸 出 （ 無 論 是 虛 擬 的還 是 物 理 的 ） 都 必 須 產(chǎn) 生 標 記 來 指 示 關 于 輸 出 對 象 的 靈 敏 度 ； 系 統(tǒng) 必 須 使 用 用 戶的 口 令 或 證 明 來 決 定 用 戶 的 安 全 訪 問 級 別 ； 系 統(tǒng) 必 須 通 過 審 計 來 記 錄 未 授 權 訪 問的 企 圖 。 B2 系 統(tǒng) 必 須 滿 足 B1 系 統(tǒng) 的 所 有 要 求 。 另 外 ， B2 系 統(tǒng) 的 管 理 員 必 須 使 用一 個 明 確 的 、 文 檔 化 的 安 全 策 略 模 式 作 為 系 統(tǒng) 的 可 信 任 運 算 基 礎 體 制 。 B2 系 統(tǒng) 必須 滿 足 下 列 要 求 ： 系 統(tǒng) 必 須 立 即 通 知 系 統(tǒng) 中 的 每 一 個 用 戶 所 有 與 之 相 關 的 網(wǎng) 絡 連 接的 改 變 ； 只 有 用 戶 能 夠 在 可 信 任 通 信 路 徑 中 進 行 初 始 化 通 信 ； 可 信 任 運 算 基 礎 體 制能 夠 支 持 獨 立 的 操 作 者 和 管 理 員 。 B3 系 統(tǒng) 必 須 符 合 B2 系 統(tǒng) 的 所 有 安 全 需 求 。 B3系 統(tǒng) 具 有 很 強 的 監(jiān) 視 委 托 管 理 訪 問 能 力 和 抗 干 擾 能 力 。 B3 系 統(tǒng) 必 須 設 有 安 全 管 理員 。 B3 系 統(tǒng) 應 滿 足 以 下 要 求 :(a)B3 必 須 產(chǎn) 生 一 個 可 讀 的 安 全 列 表 ， 每 個 被 命 名 的 對 象 提 供 對 該 對 象 沒 有 訪問 權 的 用 戶 列 表 說 明 ；(b)B3 系 統(tǒng) 在 進 行 任 何 操 作 前 ， 要 求 用 戶 進 行 身 份 驗 證 ；(c)B3 系 統(tǒng) 驗 證 每 個 用 戶 ， 同 時 還 會 發(fā) 送 一 個 取 消 訪 問 的 審 計 跟 蹤 消 息 ； 設 計 者必 須 正 確 區(qū) 分 可 信 任 的 通 信 路 徑 和 其 他 路 徑 ； 可 信 任 的 通 信 基 礎 體 制 為 每 一 個 被 命名 的 對 象 建 立 安 全 審 計 跟 蹤 ； 可 信 任 的 運 算 基 礎 體 制 支 持 獨 立 的 安 全 管 理 。(4)A 類 安 全 等 級 ： A 系 統(tǒng) 的 安 全 級 別 最 高 。 目 前 ， A 類 安 全 等 級 只 包 含 A1 一個 安 全 類 別 。 A1 類 與 B3 類 相 似 ， 對 系 統(tǒng) 的 結(jié) 構 和 策 略 不 作 特 別 要 求 。 A1 系 統(tǒng) 的顯 著 特 征 是 ， 系 統(tǒng) 的 設 計 者 必 須 按 照 一 個 正 式 的 設 計 規(guī) 范 來 分 析 系 統(tǒng) 。 對 系 統(tǒng) 分 析后 ， 設 計 者 必 須 運 用 核 對 技 術 來 確 保 系 統(tǒng) 符 合 設 計 規(guī) 范 。 A1 系 統(tǒng) 必 須 滿 足 下 列 要求 ： 系 統(tǒng) 管 理 員 必 須 從 開 發(fā) 者 那 里 接 收 到 一 個 安 全 策 略 的 正 式 模 型 。所 有 的 安 裝 操作 都 必 須 由 系 統(tǒng) 管 理 員 進 行 ； 系 統(tǒng) 管 理 員 進 行 的 每 一 步 安 裝 操 作 都 必 須 有 正 式 文 檔 。 GB17859劃分的特點第 3 章 網(wǎng)絡安全解決對策12GB17859 把計算機信息安全保護能力劃分為 5 個等級，它們是：系統(tǒng)自我保護級、系統(tǒng)審計保護級、 安全標記保護級、 結(jié)構化保護級和訪問驗證保護級。這 5 個級別的安全強度從低到高排列讓高一級包括低一級的安全能力，如表 32 所示。表 32 GB17859 的劃分標準安全能力 一級 二級 三級 四級 五級自主訪問控制 √ ∈ ≡ ≡ ≡強制訪問控制 √ ∈ ≡標記 √ ∈ ≡身份鑒別 √ ∈ ∈ ≡ ≡客體重用 √ ≡ ≡ ≡審計 √ ∈ ∈ ∈數(shù)據(jù)完整 √ ≡ ∈ ≡ ≡隱蔽信道分析 √ ≡可信路徑 √ ≡可信恢復 √注: “√”:新增功能；“∈”：比上一級功能又所擴展；“≡”：與上一級功能相同。 計算機信息系統(tǒng)的安全模型主要又訪問監(jiān)控器模型、 軍用安全模仿和信息流模型等三類模型，它們是定義計算機信息系統(tǒng)安全等級劃分標準的依據(jù)。（1）訪問監(jiān)控模型：是按 TCB 要求設計的，受保護的客體要么允許訪問，要么不允許訪問。（2）常用安全模型：是一種多級安全模型，即它所控制的信息分為絕密、 機密、 秘密和無密 4 種敏感級。（3）信息流模型：是計算機中系統(tǒng)中系統(tǒng)中信息流動路徑，它反映了用戶在計算機系統(tǒng)中的訪問意圖。信息流分直接的和間接的兩種。 防火墻技術隨著網(wǎng)絡安全問題日益嚴重，網(wǎng)絡安全技術和產(chǎn)品也被人們逐漸重視起來，防火墻作為最早出現(xiàn)的網(wǎng)絡安全技術和使用量最大的網(wǎng)絡安全產(chǎn)品，受到用戶和研發(fā)機構理工學院畢業(yè)設計（論文）13的親睞。防火墻是指設置在不同網(wǎng)絡或網(wǎng)絡安全域之間的一系列部件的組合，它執(zhí)行預先制定的訪問控制策略，決定了網(wǎng)絡外部與網(wǎng)絡內(nèi)部的訪問方式。在網(wǎng)絡中，防火墻實際是一種隔離技術，它所執(zhí)行的隔離措施有：（1）拒絕未經(jīng)授權的用戶訪問內(nèi)部網(wǎng)和存取敏感數(shù)據(jù)。（2）允許合法用戶不受妨礙地訪問網(wǎng)絡資源。而它的核心思想是在不安全的因特網(wǎng)環(huán)境中構造一個相對安全的子網(wǎng)環(huán)境，其目的是保護一個網(wǎng)絡不受另一個網(wǎng)絡的攻擊，所以防火墻又有以下作用：（1）作為網(wǎng)絡安全的屏障。一個防火墻作為阻塞節(jié)點和控制節(jié)點能極大地提高一個內(nèi)部網(wǎng)絡的安全性，并通過過濾不安全的服務而降低風險，只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻，所以網(wǎng)絡環(huán)境變得更安全。（2）可以強化網(wǎng)絡安全策略。通過以防火墻為中心的安全方案配置，能將所有的安全軟件配置在防火墻上，體現(xiàn)集中安全管理更經(jīng)濟。（3）對網(wǎng)絡存取和訪問進行監(jiān)控審計。如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)，當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶?，并提供網(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。（4）防止內(nèi)部信息的外泄。通過利用防火墻對內(nèi)部網(wǎng)絡的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。（5）支持具有因特網(wǎng)服務性的企業(yè)內(nèi)部網(wǎng)絡技術體系 VPN。 防火墻的工作原理從防火墻的作用可以看出，防火墻必須具備兩個要求：保障內(nèi)部網(wǎng)安全和保障內(nèi)部網(wǎng)和外部網(wǎng)的聯(lián)通。因此在邏輯上防火墻是一個分離器、 限制器、 分析器 [12]。有效地監(jiān)控了內(nèi)部網(wǎng)和外部網(wǎng)的任何活動，保證了內(nèi)部網(wǎng)絡的安全，其一般邏輯位置如圖31 所示。第 3 章 網(wǎng)絡安全解決對策14圖 31 防火墻的邏輯示意圖 防火墻根據(jù)功能實現(xiàn)在 TCP/IP 網(wǎng)絡模型中的層次，其實現(xiàn)原理可以分為三類：在網(wǎng)絡層實現(xiàn)防火墻功能為分組過濾技術；在應用層實現(xiàn)防火墻功能為代理服務技術；在網(wǎng)絡層，IP 層，應用層三層實現(xiàn)防火墻為狀態(tài)檢測技術。（1）分組過濾技術實際上是基于路由器技術，它通常由分組過濾路由器對 IP 分組進行分組選擇，允許或拒絕特定的 IP 數(shù)據(jù)包，工作于 IP 層。如表 33 所示。表 33 分組過濾技術工作特點輸入數(shù)據(jù)流 輸出數(shù)據(jù)流過濾一般基于一個 IP 分組的以下各域：第一、源/目的 IP 地址；第二、TCP/UDP源/目的端口。前者的過濾，即根據(jù)制定的安全規(guī)則，過濾掉具有特定 IP 地址的數(shù)據(jù)分組，從而保護內(nèi)部網(wǎng)絡；后者則是為分組過濾提供了更大的靈活性。（2）代理服務技術 以一個高層的應用網(wǎng)關作為代理服務器，接受外來的應用連接請求，在代理服務器上進行安全檢查后，再與被保護的應用服務器連接，使外部用戶可以在受控制的前提下使用內(nèi)部網(wǎng)絡的服務，如圖 32 所示。應用層TCP 層IP 層數(shù)據(jù)鏈路層物理層理工學院畢業(yè)設計（論文）15 客 戶 網(wǎng) 關 服務器發(fā)送請求轉(zhuǎn)發(fā)請求轉(zhuǎn)發(fā)請求請求響應圖 32 代理服務器原理示意代理服務技術工作在應用層，其工作情況如表 33 所示。表 33 代理服務技術工作特點輸入數(shù)據(jù)流 輸出數(shù)據(jù)流由于代理服務作用于應用層，它能解釋應用層上的協(xié)議，能夠作復雜和更細粒度的訪問控制；同時，由于所有進出服務器的客戶請求必須通過代理網(wǎng)關的檢查，可以作出精細的注冊和審計記錄，并且可以與認證、 授權等安全手段方便地集成，為客戶和服務提供更高層次的安全保護。（3）狀態(tài)檢測技術 此技術工作在 IP/TCP/應用層，它結(jié)合了分組過濾和代理服務技術的特點，它同分組過濾一樣，在應用層上檢查數(shù)據(jù)包的內(nèi)容，分析高層的協(xié)議數(shù)據(jù)，查看內(nèi)容是否符合網(wǎng)絡安全策略。如表 34 所示。 應用層 TCP 層 IP 層 數(shù)據(jù)鏈路層 物理層第 3 章 網(wǎng)絡安全解決對策16表 34 狀態(tài)檢測技術工作情況輸入數(shù)據(jù)流 輸出數(shù)據(jù)流 入侵檢測技術 僅僅依賴防火墻并不能保證足夠的安全，為了解決非法入侵所造成的各種安全問題，安全廠商提出了建立入侵檢測系統(tǒng)的解決方法。入侵檢測技術是防火墻技術的有效補充，通過對計算機或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡中或系統(tǒng)中潛在的違反安全策略的行為和被攻擊的跡象。 入侵檢測系統(tǒng) 入侵檢測系統(tǒng)功能構成，包括事件提取、 入侵分析、 入侵響應和遠程管理四部分如圖 33 所示。圖 33 入侵檢測系統(tǒng)組成 入侵檢測所利用的信息一般來自以下四個方面：系統(tǒng)和網(wǎng)絡日志文件、目錄和文件中的不期望的改變、程序執(zhí)行中的不期望行為、物理形式的入侵信息。常用的分析 應用層 TCP 層 IP 層 數(shù)據(jù)鏈路層 物理層理工學院畢業(yè)設計（論文）17方法有模式匹配、統(tǒng)計分析、完整性分析。模式匹配是將收集到的信息與已知的網(wǎng)絡入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為。統(tǒng)計分析方法首先給系統(tǒng)對象(如用戶、文件、目錄和設備等)創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性。測量屬性的平均值將被用來與網(wǎng)絡、系統(tǒng)的行為進行比較。當觀察值超出正常值范圍時，就有可能發(fā)生入侵行為。 入侵檢測分類