【文章內(nèi)容簡(jiǎn)介】 密 軟件安全性能溯試 數(shù)據(jù)安全 數(shù)據(jù)加密 數(shù)據(jù)存儲(chǔ)安全 數(shù)據(jù)備份 運(yùn)行安全 訪(fǎng)問(wèn)控制 審計(jì)跟蹤 入侵告警與系統(tǒng)恢復(fù)等 立法安全 有關(guān)信息安全的政策、法令、法規(guī) 認(rèn)知安全 辦學(xué)、辦班 獎(jiǎng)懲與揚(yáng)抑 信息安全宣傳與普及教育 對(duì)待計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題的態(tài)度 一般對(duì)待計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題通常有兩種不同的態(tài)度 。 第一種是 保守的態(tài)度 。 這種態(tài)度認(rèn)為將安全問(wèn)題隱藏起來(lái)才是最好的解決辦法 。 表面上看 ，隱藏就可以避免網(wǎng)絡(luò)安全問(wèn)題 ， 但是不能證明不會(huì)被人發(fā)現(xiàn)安全漏洞 ， 也不能阻止掌握了這種漏洞的人去利用這些網(wǎng)絡(luò)安全問(wèn)題 。 目前有些軟件采用了這種態(tài)度 ， 事實(shí)上這些安全性比較低的軟件在攻擊者或網(wǎng)絡(luò)安全專(zhuān)家面前 ， 漏洞就很容易被發(fā)現(xiàn) 。 對(duì)待計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題的態(tài)度 第二種是 比較積極的態(tài)度 。 這種態(tài)度認(rèn)為網(wǎng)絡(luò)安全問(wèn)題不應(yīng)該隱藏 ， 只有不斷地去發(fā)現(xiàn)和解決這些安全問(wèn)題 ， 才能讓計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)變得更安全 。這種態(tài)度可以 讓用戶(hù)知道哪些是安全的 ， 哪些是存在問(wèn)題的 。 對(duì)于存在安全問(wèn)題的事務(wù)應(yīng)該及時(shí)發(fā)現(xiàn) ，并及時(shí)進(jìn)行修補(bǔ) 。 如果一個(gè)系統(tǒng)經(jīng)受住眾多使用者的考驗(yàn) ， 那么開(kāi)發(fā)者和使用者就不用擔(dān)心嚴(yán)重的安全問(wèn)題了 。 對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題，應(yīng)該采用比較積極的態(tài)度，不斷地學(xué)習(xí)與研究，及時(shí)獲取網(wǎng)絡(luò)安全的新技術(shù)，修補(bǔ)網(wǎng)絡(luò)安全上的漏洞，保障網(wǎng)絡(luò)的安全。事實(shí)上，很多網(wǎng)絡(luò)安全問(wèn)題是因?yàn)榫W(wǎng)絡(luò)管理員沒(méi)有及時(shí)地彌補(bǔ)安全漏洞而導(dǎo)致的。 網(wǎng)絡(luò)信息安全問(wèn)題的根源 ? 1． 網(wǎng)絡(luò)安全事故發(fā)生的幾個(gè)原因 ? 現(xiàn)有網(wǎng)絡(luò)系統(tǒng)和協(xié)議還是不健全、不完善、不安全的； ? 思想麻痹，沒(méi)有清醒地意識(shí)到黑客入侵所會(huì)導(dǎo)致的嚴(yán)重后果，舍不得投入必要的人力、財(cái)力和物力來(lái)加強(qiáng)網(wǎng)絡(luò)的安全性； ? 沒(méi)有采用正確的安全策略和安全機(jī)制； ? 缺乏先進(jìn)的網(wǎng)絡(luò)安全技術(shù)、工具、手段和產(chǎn)品； ? 缺乏先進(jìn)的災(zāi)難恢復(fù)措施和備份意識(shí)。 ? 2． 局域網(wǎng)（站點(diǎn)）安全事故發(fā)生的幾個(gè)原因 ? （ 1）網(wǎng)絡(luò)系統(tǒng)的流量； ? （ 2）網(wǎng)絡(luò)提供的和使用的服務(wù)； ? （ 3）網(wǎng)絡(luò)與 Inter的連接方式； ? （ 4）網(wǎng)絡(luò)的知名度； ? （ 5）網(wǎng)絡(luò)對(duì)安全事故的準(zhǔn)備情況。 網(wǎng)絡(luò)信息安全策略 ? （ 1）威嚴(yán)的法律：安全的基石是社會(huì)法律、法規(guī)和手段，即通過(guò)建立與信息安全相關(guān)的法律、法規(guī)，使非法分子懾于法律，不敢輕舉妄動(dòng)。 ? （ 2）先進(jìn)的技術(shù)：先進(jìn)的技術(shù)是信息安全的根本保障，用戶(hù)對(duì)自身面臨的威脅進(jìn)行風(fēng)險(xiǎn)評(píng)估，決定其需要的安全服務(wù)種類(lèi)。選擇相應(yīng)的安全機(jī)制，然后集成先進(jìn)的安全技術(shù)。 ? （ 3）嚴(yán)格的管理：各網(wǎng)絡(luò)使用機(jī)構(gòu)、企業(yè)和單位應(yīng)建立相應(yīng)的信息安全管理辦法，加強(qiáng)內(nèi)部管理，建立審計(jì)和跟蹤體系，提高整體信息安全意識(shí)。 ? 物理安全策略 ? 物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件設(shè)備和通信鏈路免受自然災(zāi)害、人為破壞和搭線(xiàn)攻擊；驗(yàn)證用戶(hù)的身份和使用權(quán)限，防止用戶(hù)越權(quán)操作；確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進(jìn)入計(jì)算機(jī)控制室和各種盜劫、破壞活動(dòng)的發(fā)生。 ? 訪(fǎng)問(wèn)控制策略 ? （ 1）入網(wǎng)訪(fǎng)問(wèn)控制； ? （ 2）網(wǎng)絡(luò)的權(quán)限控制； ? （ 3）目錄級(jí)安全控制； ? （ 4）屬性安全控制； ? （ 5）網(wǎng)絡(luò)服務(wù)器安全控制； ? （ 6）網(wǎng)絡(luò)檢測(cè)和鎖定控制； ? （ 7）網(wǎng)絡(luò)端口和結(jié)點(diǎn)的安全控制。 ? 防火墻控制 ? 它是控制進(jìn)出兩個(gè)方向通信的門(mén)檻。在網(wǎng)絡(luò)邊界上通過(guò)建立起來(lái)的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來(lái)隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻擋外部網(wǎng)絡(luò)的侵入。 ? 信息加密策略 ? 信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。 ? 常用的方法有 鏈路加密、端到端加密和節(jié)點(diǎn)加密 三種。 ? 鏈路加密的目的是保護(hù)網(wǎng)絡(luò)結(jié)點(diǎn)之間的鏈路信息安全； ? 端到端加密的目的是對(duì)源端用戶(hù)到目的端用戶(hù)的數(shù)據(jù)提供保護(hù)； ? 節(jié)點(diǎn)加密的目的是對(duì)源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供保護(hù)。 ? 網(wǎng)絡(luò)安全管理策略 ? 在網(wǎng)絡(luò)安全中，除了采用上述措施之外，加強(qiáng)網(wǎng)絡(luò)的安全管理，制定有關(guān)規(guī)章制度，對(duì)于確保網(wǎng)絡(luò)的安全、可靠地運(yùn)行，將起到十分有效的作用。 ? 網(wǎng)絡(luò)的安全管理策略包括： ? 確定安全管理的等級(jí)和安全管理的范圍； ? 制定有關(guān)網(wǎng)絡(luò)使用規(guī)程和人員出入機(jī)房管理制度； ? 制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等。 網(wǎng)絡(luò)信息安全 體系結(jié)構(gòu)與模型 ISO/OSI安全體系結(jié)構(gòu) ? 1982年，開(kāi)放系統(tǒng)互聯(lián)（ OSI）基本模型建立之初，就開(kāi)始進(jìn)行 OSI安全體系結(jié)構(gòu)的研究。 1989年 12月 ISO頒布了計(jì)算機(jī)信息系統(tǒng)互聯(lián)標(biāo)準(zhǔn)的第二部分，即 ISO74982標(biāo)準(zhǔn)，并首次確定了開(kāi)放系統(tǒng)互聯(lián)（ OSI）參考模型的安全體系結(jié)構(gòu)。我國(guó)將其稱(chēng)為 GB／ T93872標(biāo)準(zhǔn)，并予以執(zhí)行。 ISO安全體系結(jié)構(gòu)包括了三部分內(nèi)容：安全服務(wù)、安全機(jī)制和安全管理。 ? 安全服務(wù) ISO安全體系結(jié)構(gòu)確定了五大類(lèi)安全服務(wù)： ? 認(rèn)證 ? 2 、訪(fǎng)問(wèn)控制 ? 數(shù)據(jù)保密性 ? 數(shù)據(jù)完整性 ? 不可否認(rèn)（抗抵賴(lài)）性 （ 1） 認(rèn)證服務(wù) ? 這種安全服務(wù)提供某個(gè)實(shí)體的身份保證。該服務(wù)有兩種類(lèi)型： ? 對(duì)等實(shí)體認(rèn)證 ? 這種安全服務(wù)由 (N)層提供時(shí)， (N+1)層實(shí)體可確信對(duì)等實(shí)體是它所需要的 (N+1)層實(shí)體。 ? 數(shù)據(jù)源認(rèn)證 ? 在通信的某個(gè)環(huán)節(jié)中，需要確認(rèn)某個(gè)數(shù)據(jù)是由某個(gè)發(fā)送者發(fā)送的。當(dāng)這種安全服務(wù)由 (N)層提供時(shí)，可向 (N+1)層實(shí)體證實(shí)數(shù)據(jù)源正是它所需要的對(duì)等(N+1)層實(shí)體。 （ 2）訪(fǎng)問(wèn)控制服務(wù) ? 這種安全服務(wù)提供的保護(hù)，就是對(duì)某一些確知身份限制對(duì)某些資源（這些資源可能是通過(guò) OSI協(xié)議可訪(fǎng)問(wèn)的 OSI資源或非 OSI資源）的訪(fǎng)問(wèn)。這種安全服務(wù)可用于對(duì)某個(gè)資源的各類(lèi)訪(fǎng)問(wèn)（如通信資源的利用，信息資源的閱讀、書(shū)寫(xiě)或刪除，處理資源的執(zhí)行等）或用于對(duì)某些資源的所有訪(fǎng)問(wèn)。 （ 3） 數(shù)據(jù)保密性服務(wù) ? 這種安全服務(wù)能夠提供保護(hù)，使得信息不泄漏、不暴露給那些未授權(quán)就想掌握該信息的實(shí)體。 ? 連接保密性：這種安全服務(wù)向某個(gè) (N)連接的所有 (N)用戶(hù)數(shù)據(jù)提供保密性。 ? 無(wú)連接保密性：這種安全服務(wù)向單個(gè)無(wú)連接 (N)安全數(shù)據(jù)單元 (SDU)中的所有 (N)用戶(hù)數(shù)據(jù)提供保密性。 ? 選擇字段保密性：這種安全服務(wù)向 (N)連接上的 (N)用戶(hù)數(shù)據(jù)內(nèi)或單個(gè)無(wú)連接 (N)SDU中的被選字段提供保密性。 ? 業(yè)務(wù)流保密性：這種安全服務(wù)防止通過(guò)觀(guān)察業(yè)務(wù)流以得到有用的保密信息。 （ 4） 數(shù)據(jù)完整性服務(wù) ? 這種安全服務(wù)保護(hù)數(shù)據(jù)在存儲(chǔ)和傳輸中的完整性。 ? ① 帶恢復(fù)的連接完整性：這種安全服務(wù)向某個(gè) (N)連接上的所有 (N)用戶(hù)數(shù)據(jù)保證其完整性。它檢測(cè)對(duì)某個(gè)完整的 SDU序列內(nèi)任何一個(gè)數(shù)據(jù)遭到的任何篡改、插入、刪除或重放，同時(shí)還可以補(bǔ)救恢復(fù)。 ? ② 不帶恢復(fù)的連接完整性：與帶恢復(fù)的連接完整性服務(wù)相同，但不能補(bǔ)救恢復(fù)。 ? ③ 選擇字段連接完整性：這種安全服務(wù)向在某個(gè)連接中傳輸?shù)哪硞€(gè) (N)SDU的 (N)用戶(hù)數(shù)據(jù)內(nèi)的被選字段提供完整性保護(hù)，并能確定這些字段是否經(jīng)過(guò)篡改、插入、刪除或重放。 ? ④ 無(wú)連接完整性：這種安全服務(wù)由（ N）層提供，向提出請(qǐng)求的（ N+1）層實(shí)體提供無(wú)連接中的數(shù)據(jù)完整性保證。并能確定收到的 SDU是否經(jīng)過(guò)篡改；另外，還可以對(duì)重放情況進(jìn)行一定程度的檢測(cè)。 ? ⑤ 選擇字段無(wú)連接完整性：這種安全服務(wù)對(duì)單個(gè)無(wú)連接 SDU中的被選字段的保證其完整性，并能確定被選字段是否經(jīng)過(guò)篡改、插入、刪除或重放。 （ 5）不可否認(rèn)服務(wù)（抗抵賴(lài)） ? 它主要保護(hù)通信系統(tǒng)不會(huì)遭到自系統(tǒng)中其它合法用戶(hù)的威脅，而不是來(lái)自未知攻擊者的威脅。 ? ① 數(shù)據(jù)源的抗抵賴(lài)：向數(shù)據(jù)接收者提供數(shù)據(jù)來(lái)源的證據(jù)，以防止發(fā)送者否認(rèn)發(fā)送該數(shù)據(jù)或其內(nèi)容的任何企圖。 ? ② 傳遞過(guò)程的抗抵賴(lài)：向數(shù)據(jù)發(fā)送者提供數(shù)據(jù)已到目的地的證據(jù)，以防止收信者否認(rèn)接收該數(shù)據(jù)或其內(nèi)容的任何事后的企圖。 ? 安全機(jī)制 ? ISO安全體系結(jié)構(gòu)定義了八大類(lèi)安全機(jī)制，即： ? 加密 ? 2 、數(shù)據(jù)簽名機(jī)制 ? 3 、訪(fǎng)問(wèn)控制機(jī)制 ? 4 、數(shù)據(jù)完整性機(jī)制 ? 5 、鑒別交換機(jī)制 ? 6 、業(yè)務(wù)填充機(jī)制 ? 7 、路由控制機(jī)制 ? 8 、公證機(jī)制 （ 1）加密機(jī)制 加密可向數(shù)據(jù)或業(yè)務(wù)流信息提供保密性，并能對(duì)其他安全機(jī)制起作用或?qū)λ鼈冞M(jìn)行補(bǔ)充。加密算法可以是可逆或不可逆的，可逆加密算法有以下兩大類(lèi)： ? ① 對(duì)稱(chēng) (單鑰 )加密體制：對(duì)于這種加密體制，加密與解密用同一個(gè)密鑰； ? ② 非對(duì)稱(chēng) (公鑰 )加密體制：對(duì)于這種加密體制，加密與解密用不同的密鑰，這種加密系統(tǒng)的兩個(gè)密鑰有時(shí)被稱(chēng)為“公鑰”和“私鑰”。 （ 2）數(shù)字簽名機(jī)制 這種安全機(jī)制由兩個(gè)過(guò)程構(gòu)成： ? 對(duì)數(shù)據(jù)單元簽名過(guò)程 ? 這個(gè)過(guò)程可以利用簽名者私有的（即獨(dú)有和保密的）信息 。 ? 驗(yàn)證簽名的數(shù)據(jù)單元過(guò)程 ? 這個(gè)過(guò)程則要利用公之于眾的規(guī)程和信息，通過(guò)它們并不能推出簽名者的私有信息。 （ 3）訪(fǎng)問(wèn)控制機(jī)制 ? ①