【正文】 文化、社會生活的各個方面，使國家處于信息戰(zhàn)和高度經(jīng)濟金融風險的威脅之中。試想一下你們公司的保密文件在您的競爭對手中人手一 份，我想對你的企業(yè)是一個很大的打擊。新刑法中關(guān)于計算機網(wǎng)絡犯罪的條款也沒有解決法律上的問題。對于企業(yè)來說，尤其是大的 ISP，等待國家去研究發(fā)布相應的標準是不恰當?shù)摹? 企業(yè)的安全策略是企業(yè)在 網(wǎng)絡安全工作中的法律。如果說網(wǎng)絡安全的目標是一座大廈的話，那么相應的安全策略就是施工的藍圖。但是，它并沒有得到足夠的重視。網(wǎng)絡安全策略應該對企業(yè)的各種網(wǎng)絡服務的安全、檔次、地位和用戶的權(quán)限、分類、安全故障處理、網(wǎng)絡拓撲結(jié)構(gòu)、管理員的職責、入侵和攻擊的防御和檢測、備份和災難恢復計劃等內(nèi)容。 二、 是對網(wǎng)絡設(shè)備的威脅 。 總結(jié)起來，大致有下面幾種主要威脅： (1) 非人為、自然力造成的數(shù)據(jù)丟失、設(shè)備失效、線路阻斷 (2) 人為但屬于操作人員無意的失誤造成的數(shù)據(jù)丟失 (3) 來自外部和內(nèi)部人員的惡意攻擊和入侵 前面兩種的預防基本相同， 可以加強企業(yè)內(nèi)部的管理，可以規(guī)范操作來減少這種不必要的損失 。 網(wǎng)絡攻擊的定義 對網(wǎng)絡安全管理員來說，可能導致一個網(wǎng)絡受到破壞、網(wǎng)絡服務受到影響的所有行為都應稱為攻擊，也可以說攻擊是指謀取超越目標網(wǎng)絡安全策略所限定的服務（入侵）或者使目標網(wǎng)絡服務受到影響甚至停止（攻擊）的所有行為。 攻擊的動機 招致網(wǎng)絡攻擊的原因有方方面面。目前國內(nèi)多數(shù)網(wǎng)絡系統(tǒng)管理人員和工程施工人員對網(wǎng)絡安全問題重視不夠，意識淡漠，建設(shè)中或建設(shè)后在沒有采取足夠的安全防護措施的情況下 ， 將網(wǎng)絡接入因特網(wǎng)上， 給企業(yè)造成不必要的損失。某集成商的演示系統(tǒng)在開標前夕突然失去服務，而該系統(tǒng)之前從未出現(xiàn)類似問題。從前言的敘述中，我們也看到了網(wǎng)絡攻擊 和入侵對于獲取其它目標國家或機構(gòu)的機密信息是一種非常重要的手段。應用在網(wǎng)絡安全領(lǐng)域就是：網(wǎng)絡安全系統(tǒng)的強度取決于其中最為薄弱的一環(huán)。相對于攻擊來說，防守的任務更為艱巨，任何一個節(jié)點、某一個軟件、其中的某個服務、某個用戶的脆弱口令等等都可能造成整個防御系統(tǒng)的失效。但防守者也有自己很大的優(yōu)勢，那就是擁有對設(shè)備的物理控制權(quán)。但是，據(jù)統(tǒng)計約 90%的網(wǎng)站都遭受過網(wǎng)絡攻擊?，F(xiàn)在的制造技術(shù)水平下，可以在 CPU 芯片中植入無線發(fā)射接收功能；在操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)或應用程序中能夠預先安置從事情報收集、受控激發(fā)破壞的程序。最近揭發(fā)出來的 PIII 芯片序列號和 MS Office 文檔中隱藏 MAC 地址等內(nèi)幕已經(jīng)告訴了我們許多東西。 這些 后門 對網(wǎng)絡安全造成了非常嚴重的威脅，但對于普通網(wǎng)絡運行者來說，基本上不能控制。這些漏洞和缺陷恰恰是黑客進行攻擊的目標。國際上現(xiàn)在有許多的研究組、討論組頻繁地公布各種各樣新發(fā)現(xiàn)的安全漏洞。網(wǎng)絡安全體系隨著黑客發(fā)現(xiàn)新的安全漏洞而變得脆弱，同時也隨著安全管理員首先發(fā)現(xiàn)安全漏洞并及時更改配置彌補而重新變得堅固。這需要網(wǎng)絡運行者投入相當?shù)募夹g(shù)力量研究或者購買相當?shù)木W(wǎng)絡安全服務。 最近報道的若干網(wǎng)絡入侵案件證明了這一點。 網(wǎng)絡安全體系 安全方案的科學性、可行性是其順利實施的保障。安全框架是安全方案設(shè)計和分析的基礎(chǔ)。 協(xié)議 層次安 全 管 理安全管理認證訪問控制數(shù)據(jù)完整性數(shù)據(jù)保密抗抵賴審計可用性安全 服務通 信 平 臺網(wǎng) 絡 平 臺系 統(tǒng) 平 臺應 用 平 臺物 理 環(huán) 境安理管全層用應傳層層層層鏈絡網(wǎng)輸理物路系統(tǒng) 單元 安全體系結(jié)構(gòu) 具體說明如下： 安全體系是一個三維結(jié)構(gòu)： 1. 第一維（ X 軸）是安全服務特性，給出了 7 種安全屬性； 2. 第二維（ Y 軸）是系統(tǒng)單元，給出了信息網(wǎng)絡系統(tǒng)的組成； 更多協(xié)同辦公 OA 系統(tǒng)資料請訪問： 3. 第三維（ Z 軸）是協(xié)議層次，給出了國際標準化組織 ISO 的開放系統(tǒng)互連（ OSI）模型。 協(xié)議層次維 協(xié)議層次維由 ISO/OSI 參考模型的七層構(gòu)成。 系統(tǒng)單元維 系統(tǒng)單元維描述了信息網(wǎng)絡的各個成分。 更多協(xié)同辦公 OA 系統(tǒng)資料請訪問： 貫穿于上述三個方面，各個層次的是安全管理。 二維安全框架 上述安全體系給出了一個科學的信息系統(tǒng)安全解決方案的體系結(jié)構(gòu)。投影的方法是把協(xié)議層平面和功能平面折疊到系統(tǒng)單元平面，如圖 2 所示。 身份 認證用 戶 授權(quán)與訪問控制應 用 層安全通信協(xié)議數(shù) 字 簽名 主 機 和服務的審計記錄分析應 用 系統(tǒng)的容錯容災、服務管理應 用 層代理或網(wǎng)管電 路層 防火墻( 如S O CK s )傳輸 層安全通信協(xié)議包過 濾 防火墻主 機 、路由器等源發(fā)認證主 機 或路由器間I P Se c 等協(xié)議第三方公證流量 分析入侵 檢測相 鄰 節(jié)點間的認證點 到 點之間的鏈路加密網(wǎng) 絡 結(jié)構(gòu)設(shè)計，路由系統(tǒng)安全，基礎(chǔ)服務安全，網(wǎng)絡管理應 用層傳輸 層網(wǎng)絡 層數(shù) 據(jù) 鏈路層與物理層應用系統(tǒng)網(wǎng)絡平臺認證訪問控制數(shù)據(jù)完整性數(shù)據(jù)保密性抗抵賴審計可用性二維安全框架 盡管這一結(jié)構(gòu)反映了信息系統(tǒng)的安全需求，但是沒有反映各種安全服務之間 的邏輯關(guān)系。 更多協(xié)同辦公 OA 系統(tǒng)資料請訪問： 主體標識 / 認證完整 / 保密訪問控制審計 / 抗抵賴授權(quán)數(shù)據(jù)庫資源各種安全服務之間的邏輯關(guān)系 在網(wǎng)絡不同的協(xié)議層次，盡管網(wǎng)絡中的實體不同，但都有主體和資源之分。對主體和資源的識別以服務器或協(xié)議端口為粒度，認證服務主要指服務器地址的認證。在應用層系統(tǒng)中，對主體的認證是指用戶身份認證，訪問控制的粒度可以具體到某種操作，如對數(shù)據(jù)項的追加、修改和刪除。 3 網(wǎng)絡安全元素 物理安全 物理 安全的目的是保護路由器、交換機、工作站、各種網(wǎng)絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線竊聽攻擊；驗證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作；確保網(wǎng)絡設(shè)備有一個良好的電磁兼容工作環(huán)境；建立完備的機房安全管理制度，妥善保管備份磁帶和文檔資料；防止非法人員進入機房進行偷竊和破壞活動。目前主要防護措施有兩類：一類是對傳導發(fā)射的防護，主要 采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合。 在物理安全方面， Inter 網(wǎng)和傳統(tǒng)電信網(wǎng)非常類似?？梢詫崿F(xiàn)更為細化的安全控制體系，將攻擊和入侵造成的威脅分別限制在較小的子網(wǎng)內(nèi)，提高網(wǎng)絡整體的安全水平。前面兩種的配置較為直觀，下面主要分析防火墻技術(shù)。它可以根據(jù)即定的安全策略允許特定的用戶和數(shù)據(jù)包穿過，同時將安全策略不允許的用戶和數(shù)據(jù)包隔斷，達到 保護高安全等級的子網(wǎng)、阻止墻外黑客的攻擊、限制入侵蔓延等目的。外部防火墻將企業(yè)網(wǎng)與外部因特網(wǎng)隔離開來，而內(nèi)部防火墻的任務經(jīng)常是在各個部門子網(wǎng)之間進行通信檢查控制。安全體系在任何情況下都不應該被旁路。它無法防止來自防火墻內(nèi)側(cè)的攻擊，對各種已識別類型的攻擊的防御有賴于正確的配置，對各種最新的攻擊類型的防御取決于防火墻 知識庫更新的速度和相應的配置更新的速度。并且，防火墻可能會導致內(nèi)部網(wǎng)絡安全管理的松懈。它們之間各有所長，具體使用哪一種或是否混合使用，要看具體需要。 網(wǎng)絡加密可以在鏈路級、網(wǎng)絡級、應用級等進行。據(jù)不完全統(tǒng)計，到目前為止，已經(jīng)公開發(fā)表的各種加密算法多達數(shù)百種。 在對稱密碼中，加密和解密使用相同的密鑰，即加密密鑰和解密密鑰是相同或等價的。 對稱密碼的優(yōu)點是有很強的保密強度，且經(jīng)受住時間的檢驗和攻擊，但其密鑰必須通過安全的途徑傳送。 在不對稱密碼中，加密和解密使用的密鑰互不相同，而且?guī)缀醪豢赡軓募用苊荑€推導出解密密鑰。最有影響的公鑰密碼算法是 RSA，它能抵抗到目前為止已知的所有密碼攻擊。但其算法復雜。 盡管如此，隨著現(xiàn)代電子技術(shù)和密碼技術(shù)的發(fā)展，公鑰密碼算法將是一種很有前途的網(wǎng)絡安全加密體制。 加密技術(shù)是網(wǎng)絡安全最有效的技術(shù)之一。用戶注冊時首先輸入用戶名和口令，服務器將驗證所輸入的用戶名是否合法。用戶的口令是用戶入網(wǎng)的關(guān)鍵所在。但是，非常遺憾的是傳統(tǒng)的因 特網(wǎng)上傳輸?shù)氖敲魑模?TELNET、 FTP、 HTTP、 POP3 等應用，這樣網(wǎng)絡竊聽可以非常容易地得到明文的用戶口令。該軟件網(wǎng)絡上可以免費獲得。最典型的應用是加強 HTTP。關(guān)于三種攻擊方法的原理超出了本文的討論范圍。但 CA 證書