ch01 網(wǎng)絡(luò)安全與保密綜述2

第1部分網(wǎng)絡(luò)安全與保密綜述劉祖根(ZugenLiu),AssociateProfessor沈陽師范大學(xué)軟件學(xué)院212室Email:jzlzg@163.com教材和參考資料教材《網(wǎng)絡(luò)安全與保密》，胡建偉、馬建峰編著，西安電子科技大學(xué)出版社2003年11月出版，定價(jià)24.0元參考資料《網(wǎng)絡(luò)安全》，胡道元、閔京華編著，清華大學(xué)出版社2004年出版，定價(jià)39元《網(wǎng)絡(luò)安全原理與技術(shù)》，馮登國(guó)編著，科學(xué)出版社2003年出版，定價(jià)38元課程涉及的內(nèi)容第一部分網(wǎng)絡(luò)安全與保密綜述（第1章）第二部分密碼學(xué)基礎(chǔ)（第2章~第4章）第三部分網(wǎng)絡(luò)安全應(yīng)用（第5章~第7章）第四部分系統(tǒng)安全機(jī)制（第8章~第11章）第五部分代碼安全（第12章~第14章）第六部分其它安全主題（第16章~第17章）學(xué)習(xí)目的、方法和重點(diǎn)難點(diǎn)學(xué)習(xí)目的：了解網(wǎng)絡(luò)安全相關(guān)知識(shí)、擴(kuò)展知識(shí)面，為進(jìn)一步學(xué)習(xí)、工作和深造打下基礎(chǔ)學(xué)習(xí)方法：理解概念，從多種渠道（如網(wǎng)絡(luò)）學(xué)習(xí)和參與實(shí)踐重點(diǎn)難點(diǎn)：網(wǎng)絡(luò)安全相關(guān)的概念和基本原理“安全”的含義“安全”一詞在字典中被定義為“遠(yuǎn)離危險(xiǎn)的狀態(tài)或特性”和“為防范間諜活動(dòng)或蓄意破壞、犯罪、攻擊或逃跑而采取的措施”。信息安全：防止任何對(duì)數(shù)據(jù)進(jìn)行未授權(quán)訪問的措施，或者防止造成信息有意無意泄漏、破壞、丟失等問題的發(fā)生，讓數(shù)據(jù)處于遠(yuǎn)離危險(xiǎn)、免于威脅的狀態(tài)或特性。在電信行業(yè)中，網(wǎng)絡(luò)安全的含義包括：關(guān)鍵設(shè)備的可靠性；網(wǎng)絡(luò)結(jié)構(gòu)、路由的安全性；具有網(wǎng)絡(luò)監(jiān)控、分析和自動(dòng)響應(yīng)的功能；確保網(wǎng)絡(luò)安全相關(guān)的參數(shù)正常；能夠保護(hù)電信網(wǎng)絡(luò)的公開服務(wù)器（如撥號(hào)接入服務(wù)器等）以及網(wǎng)絡(luò)數(shù)據(jù)的安全性等各個(gè)方面。通俗地說,安全就是信息安全四個(gè)現(xiàn)代化，那一化也離不開信息化?！瓭擅裾l掌握了信息，控制了網(wǎng)絡(luò)，誰將擁有整個(gè)世界。——美國(guó)著名未來學(xué)家阿爾溫托爾勒今后的時(shí)代，控制世界的國(guó)家將不是靠軍事，而是信息能力走在前面的國(guó)家?！绹?guó)總統(tǒng)克林頓信息時(shí)代的出現(xiàn)，將從根本上改變戰(zhàn)爭(zhēng)的進(jìn)行方式?！绹?guó)前陸軍參謀長(zhǎng)沙利文上將這是怎樣一門課程？邊緣交叉學(xué)科——網(wǎng)絡(luò)安全課程體系網(wǎng)絡(luò)安全體系結(jié)構(gòu)：介紹網(wǎng)絡(luò)安全的研究體系、研究網(wǎng)絡(luò)安全的意義、評(píng)價(jià)網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)，以及網(wǎng)絡(luò)安全協(xié)議、技術(shù)等。網(wǎng)絡(luò)安全技術(shù)：根據(jù)應(yīng)用需求和安全策略，綜合運(yùn)用各種網(wǎng)絡(luò)安全技術(shù)，防火墻、VPN、IPsec、黑客技術(shù)、漏洞掃描、電子郵件的安全、Web的安全、入侵檢測(cè)等。網(wǎng)絡(luò)安全工程：用系統(tǒng)工程的方法貫穿網(wǎng)絡(luò)安全設(shè)計(jì)、開發(fā)、部署、運(yùn)行、管理和評(píng)估網(wǎng)絡(luò)安全的攻防體系網(wǎng)絡(luò)安全攻擊防御體系攻擊技術(shù)網(wǎng)絡(luò)掃描網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)入侵網(wǎng)絡(luò)后門與網(wǎng)絡(luò)隱身防御技術(shù)操作系統(tǒng)安全配置技術(shù)加密技術(shù)防火墻技術(shù)入侵檢測(cè)技術(shù)

網(wǎng)絡(luò)安全的實(shí)施工具軟件:Sniffer/X-Scan/防火墻軟件/入侵檢測(cè)軟件/加密軟件等等編程語言：C/C++/Perl

網(wǎng)絡(luò)安全物理基礎(chǔ)操作系統(tǒng)：Unix/Linux/Windows網(wǎng)絡(luò)協(xié)議：TCP/IP/UDP/SMTP/POP/FTP/HTTP攻擊技術(shù)

如果不知道如何攻擊，再好的防守也是經(jīng)不住考驗(yàn)的，攻擊技術(shù)主要包括五個(gè)方面：1、網(wǎng)絡(luò)監(jiān)聽：自己不主動(dòng)去攻擊別人，在計(jì)算機(jī)上設(shè)置一個(gè)程序去監(jiān)聽目標(biāo)計(jì)算機(jī)與其他計(jì)算機(jī)通信的數(shù)據(jù)。2、網(wǎng)絡(luò)掃描：利用程序去掃描目標(biāo)計(jì)算機(jī)開放的端口等，目的是發(fā)現(xiàn)漏洞，為入侵該計(jì)算機(jī)做準(zhǔn)備。3、網(wǎng)絡(luò)入侵：當(dāng)探測(cè)發(fā)現(xiàn)對(duì)方存在漏洞以后，入侵到目標(biāo)計(jì)算機(jī)獲取信息。4、網(wǎng)絡(luò)后門：成功入侵目標(biāo)計(jì)算機(jī)后，為了對(duì)“戰(zhàn)利品”的長(zhǎng)期控制，在目標(biāo)計(jì)算機(jī)中種植木馬等后門。5、網(wǎng)絡(luò)隱身：入侵完畢退出目標(biāo)計(jì)算機(jī)后，將自己入侵的痕跡清除，從而防止被對(duì)方管理員發(fā)現(xiàn)。防御技術(shù)防御技術(shù)包括四大方面：1、操作系統(tǒng)的安全配置：操作系統(tǒng)的安全是整個(gè)網(wǎng)絡(luò)安全的關(guān)鍵。2、加密技術(shù)：為了防止被監(jiān)聽和盜取數(shù)據(jù)，將所有的數(shù)據(jù)進(jìn)行加密。3防火墻技術(shù)：利用防火墻，對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行限制、，從而防止被入侵。4、入侵檢測(cè)：如果網(wǎng)絡(luò)防線最終被攻破了，需要及時(shí)發(fā)出被入侵的警報(bào)。信息數(shù)據(jù)面臨的威脅第一部分網(wǎng)絡(luò)安全與保密綜述1.

網(wǎng)絡(luò)的發(fā)展和變化2.網(wǎng)絡(luò)安全現(xiàn)狀3.網(wǎng)絡(luò)安全層次結(jié)構(gòu)4.網(wǎng)絡(luò)安全服務(wù)5.安全標(biāo)準(zhǔn)和組織6.安全保障計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展歷程1960年代1970年代1980年代1990年代2000年代主要應(yīng)用科學(xué)計(jì)算部門內(nèi)部企業(yè)之間商家之間商家與消費(fèi)者之間服務(wù)為本用戶規(guī)模小小中大全球無所不在成熟期10年7年5年4年3年美國(guó)中國(guó)德國(guó)英國(guó)日本法國(guó)加拿大澳大利亞意大利瑞典荷蘭1998708.842.52002155613323.3232313.212.3107.65.8708.842.5Internet商業(yè)應(yīng)用快速增長(zhǎng)1996199820002002商家-顧客56080220商家-商家625012303270總計(jì)1131013103490世界網(wǎng)絡(luò)安全產(chǎn)品市場(chǎng)年份增長(zhǎng)率市場(chǎng)規(guī)模|億美元國(guó)內(nèi)安全產(chǎn)品需求國(guó)內(nèi)安全產(chǎn)品使用中國(guó)網(wǎng)絡(luò)安全產(chǎn)品市場(chǎng)年份增長(zhǎng)率市場(chǎng)規(guī)模|萬美元Internet發(fā)展的主要?jiǎng)恿τ?jì)算機(jī)、通信、網(wǎng)絡(luò)技術(shù)推動(dòng)了Internet的發(fā)展。TCP/IP協(xié)議為計(jì)算機(jī)間互連互通，及各種通信奠定了公共標(biāo)準(zhǔn)。桌面計(jì)算機(jī)、便攜計(jì)算機(jī)、手持計(jì)算機(jī)、WWW、瀏覽器、高速網(wǎng)絡(luò)、無線網(wǎng)絡(luò)等，使得Internet獲得了進(jìn)一步的發(fā)展。分散式管理和商業(yè)化是Internet快速發(fā)展的最重要原因。第一部分網(wǎng)絡(luò)安全與保密綜述1.

網(wǎng)絡(luò)的發(fā)展和變化2.網(wǎng)絡(luò)安全現(xiàn)狀3.網(wǎng)絡(luò)安全層次結(jié)構(gòu)4.網(wǎng)絡(luò)安全服務(wù)5.安全標(biāo)準(zhǔn)和組織6.安全保障Internet變得越來越重要時(shí)間網(wǎng)絡(luò)安全問題日益突出網(wǎng)絡(luò)安全漏洞大量存在1995-2004年網(wǎng)絡(luò)安全漏洞發(fā)現(xiàn)情況統(tǒng)計(jì)（CERT/CC）4500數(shù)據(jù)來源CERT/CC網(wǎng)站1995199619971998199920002001200220032004（Q1-Q3）報(bào)告數(shù)17134531126241710902437412937842683越來越多的威脅變成利益驅(qū)動(dòng)某ICP受到DDoS攻擊威脅2005年11月1日英國(guó)人DevidLevi因?yàn)椤熬W(wǎng)絡(luò)釣魚”被判刑4年利用ebay騙取$355,000間諜軟件/廣告軟件背后大量的利益空間利益驅(qū)動(dòng)技術(shù)驅(qū)動(dòng)為什么網(wǎng)絡(luò)安全變得非常重要?進(jìn)行網(wǎng)絡(luò)攻擊變得越來越簡(jiǎn)單越來越多的個(gè)人或公司連入Internet并不是所有的用戶都具有基本的安全知識(shí)理解Internet領(lǐng)域Internet為什么不安全?Internet的設(shè)計(jì)思想專用主義技術(shù)泄密Internet從建立開始就缺乏安全的總體構(gòu)想和設(shè)計(jì),TCP/IP協(xié)議是在可信環(huán)境下，為網(wǎng)絡(luò)互聯(lián)專門設(shè)計(jì)的，缺乏安全措施的考慮。理解Internet領(lǐng)域Internet的設(shè)計(jì)思想開放式、流動(dòng)的和可訪問異構(gòu)的網(wǎng)絡(luò)多數(shù)應(yīng)用是客戶機(jī)/服務(wù)器模式網(wǎng)絡(luò)允許部分匿名用戶理解Internet領(lǐng)域?qū)Ｓ弥髁xActiveX應(yīng)該進(jìn)行安全檢查的語言：JavaScriptVBScriptActiveX理解Internet領(lǐng)域技術(shù)泄密普通用戶可以得到各種攻擊工具對(duì)攻擊行為比較感興趣，喜歡嘗試和冒險(xiǎn)從攻擊行為中牟利以攻擊行為為職業(yè)Internet安全性研究的開始1988年11月3日，第一個(gè)“蠕蟲”被放到Internet上。在幾小時(shí)之內(nèi)，數(shù)千臺(tái)機(jī)器被傳染，Internet陷入癱瘓?！叭湎x”的作者RobertMorrisJ.r被判有罪，接受三年監(jiān)護(hù)并被罰款?！癕orris蠕蟲”的出現(xiàn)改變了許多人對(duì)Internet安全性的看法。一個(gè)單純的程序有效地摧毀了數(shù)百臺(tái)（或數(shù)千臺(tái)）機(jī)器，那一天標(biāo)志著Internet安全性研究的開始。莫里斯蠕蟲（MorrisWorm）時(shí)間1988年（時(shí)年22歲）肇事者RobertT.Morris,美國(guó)康奈爾大學(xué)學(xué)生，其父是美國(guó)國(guó)家安全局安全專家機(jī)理利用sendmail,finger等服務(wù)的漏洞，消耗CPU資源，拒絕服務(wù)影響Internet上大約6000臺(tái)計(jì)算機(jī)感染，占當(dāng)時(shí)Internet聯(lián)網(wǎng)主機(jī)總數(shù)的10%，造成9600萬美元的損失CERT/CC的誕生DARPA成立CERT（Computer

EmergencyResponseTeam），以應(yīng)付類似“蠕蟲（MorrisWorm）”事件/~rtm/從小就對(duì)計(jì)算機(jī)有著狂熱愛好的電腦神童莫里斯，目前正在麻省理工學(xué)院任教，是一位受人尊敬的計(jì)算機(jī)科學(xué)副教授。國(guó)內(nèi)網(wǎng)站遭攻擊的分布我國(guó)遭到蠕蟲攻擊的情況CNCERT/CC通過安全事件在各地區(qū)的分布抽樣監(jiān)測(cè)發(fā)現(xiàn)，僅2004年上半年，我國(guó)遭到Mydoom蠕蟲、利用RPC漏洞和LSASS漏洞的幾類主要蠕蟲攻擊的主機(jī)數(shù)目接近200萬臺(tái)。黑客和入侵者2001年南海撞機(jī)事件引發(fā)中美黑客大戰(zhàn)。國(guó)內(nèi)黑客組織更改的網(wǎng)站頁面美國(guó)某大型商業(yè)網(wǎng)站美國(guó)某政府網(wǎng)站美國(guó)勞工部網(wǎng)站美國(guó)某節(jié)點(diǎn)網(wǎng)站被黑的美國(guó)軍方站點(diǎn)臺(tái)灣被黑的主頁中國(guó)黑客攻擊日本網(wǎng)站黑客和入侵者“黑客”（Hacker）指對(duì)于任何計(jì)算機(jī)操作系統(tǒng)奧秘都有強(qiáng)烈興趣的人?！昂诳汀贝蠖际浅绦騿T，他們具有操作系統(tǒng)和編程語言方面的高級(jí)知識(shí)，知道系統(tǒng)中的漏洞及其原因所在；他們不斷追求更深的知識(shí)，并公開他們的發(fā)現(xiàn)，與其他人分享；并且從來沒有破壞數(shù)據(jù)的企圖。黑客喜歡破解

“紅客”(Honker)中國(guó)的一些黑客自稱“紅客”Honker。中國(guó)「紅客聯(lián)盟」：全國(guó)最早最大、世界排名第5；中國(guó)「黑客聯(lián)盟」：/index.asp

美國(guó)警方：把所有涉及到"利用"、"借助"、"通過"或"阻撓"計(jì)算機(jī)的犯罪行為都定為hacking。黑客和入侵者“入侵者”（Cracker）是指懷著不良企圖，闖入甚至破壞遠(yuǎn)程機(jī)器系統(tǒng)完整性的人?！叭肭终摺崩毛@得的非法訪問權(quán)，破壞重要數(shù)據(jù)，拒絕合法用戶服務(wù)請(qǐng)求，或?yàn)榱俗约旱哪康闹圃炻闊??！叭肭终摺焙苋菀鬃R(shí)別，因?yàn)樗麄兊哪康氖菒阂獾摹Ｈ肭终呦矚g破壞！“黑客”RichardStallmanGNU計(jì)劃的創(chuàng)始人DennisRichie、KenThompsonand

BrianKernighanUnix和C語言的開發(fā)者LinusTorvaldsLinuxKernel開發(fā)者關(guān)于RichardStallman稱為"最后一名真正黑客"的自由軟件之父理查德·斯托爾曼（RichardStallman）在RichardStallman的理論下，用戶彼此拷貝軟件不但不是“盜版”，而是體現(xiàn)了人類天性的互助美德。對(duì)RichardStallman來說，自由是根本，用戶可自由共享軟件成果，隨便拷貝和修改代碼。他說:“想想看，如果有人同你說:‘只要你保證不拷貝給其他人用的話，我就把這些寶貝拷貝給你?！谧杂绍浖睦顺毕?，軟件業(yè)的商業(yè)模式將脫胎換骨，從賣程序代碼為中心，轉(zhuǎn)化為以服務(wù)為中心。RichardStallman的形象對(duì)RichardStallman的評(píng)價(jià)RichardStallman作為麻省理工人工智能實(shí)驗(yàn)室的領(lǐng)袖人物，繼承的黑客的光榮傳統(tǒng)，堅(jiān)決反對(duì)實(shí)驗(yàn)室的研究成果商業(yè)化。他接著創(chuàng)辦了自由軟件基金會(huì)（FreeSoftwareFoundation），全力投入寫出高品質(zhì)的自由軟件。他的一個(gè)宏偉目標(biāo)就是創(chuàng)建出完全自由使用的軟件，不是利用軟件來賺錢，而是讓軟件成為人類的共同財(cái)富，他所倡導(dǎo)的GNU軟件為我們貢獻(xiàn)了很多有價(jià)值的財(cái)富，比如說開發(fā)32位DOS程序的DJGPP就是GNU軟件。Stallman作為黑客精神的代表，至今還在世界各地進(jìn)行布道，對(duì)于一個(gè)商業(yè)利益占據(jù)統(tǒng)治地位的現(xiàn)代社會(huì)來說，Stallman似乎有一點(diǎn)不合時(shí)宜，但是如果我們不希望微軟控制我們的一切的話，還是對(duì)Stallman，這為“最后的真正黑客”說一句“保重”，畢竟，一個(gè)有著矛盾和沖突，有著競(jìng)爭(zhēng)和合作的社會(huì)比一個(gè)單一的、壟斷的世界要好得多。關(guān)于Linus

Torvalds當(dāng)今世界最著名的電腦程序員、黑客，Linux內(nèi)核的發(fā)明人及該計(jì)劃的合作者。他利用個(gè)人時(shí)間及器材創(chuàng)造出了這套當(dāng)今全球最流行的操作系統(tǒng)內(nèi)核之一。他畢業(yè)于赫爾辛基大學(xué)計(jì)算機(jī)系，目前在美國(guó)加州硅谷任職于全美達(dá)公司(TransmetaCorporation)。與妻子托芙(Tove，芬蘭前女子空手道冠軍)育有兩名孩子。與很多其他黑客不同，托瓦茲行事低調(diào)，一般很少評(píng)論商業(yè)競(jìng)爭(zhēng)對(duì)手（例如微軟）產(chǎn)品的好壞，但堅(jiān)持開放源代碼信念，并對(duì)微軟等的戰(zhàn)略大為不滿。在一封回應(yīng)微軟資深副總裁CraigMundie有關(guān)開放源代碼運(yùn)動(dòng)的評(píng)論（Mundie批評(píng)開放源代碼運(yùn)動(dòng)破壞了知識(shí)產(chǎn)權(quán)）中說“我不知道Mundie是否聽說過艾薩克·牛頓(IsaacNewton)爵士？他不僅因?yàn)閯?chuàng)立了經(jīng)典物理學(xué)（以及他和蘋果的故事）而出名，也還因?yàn)檎f過這樣一句話而聞名于世：我之所以能夠看得更遠(yuǎn)，是因?yàn)槲艺驹诰奕思绨蛏系脑??！盠inus

Torvalds的形象對(duì)Linus

Torvalds的評(píng)價(jià)21歲的芬蘭大學(xué)生，在學(xué)生宿舍里寫了一個(gè)操作系統(tǒng)的內(nèi)核--Linux，然后公布于眾，吸引了成千上萬的程序員為之增補(bǔ)、修改和傳播，短短幾年就擁有了1000多萬的用戶，成為地球上成長(zhǎng)最快的軟件。內(nèi)向，靦腆。網(wǎng)絡(luò)安全的背景

經(jīng)常有網(wǎng)站遭受黑客攻擊“入侵者”KevinMitink從電話耗子開始，入侵過軍事、金融、軟件公司和其他技術(shù)公司。已經(jīng)獲釋。JustinTannerPeterson在試圖獲得6位數(shù)的欺騙性電匯時(shí)被捕。究竟誰會(huì)被入侵“被入侵”的含義：“被入侵”指的是網(wǎng)絡(luò)遭受非法闖入的情況。入侵者只獲得訪問權(quán)入侵者獲得訪問權(quán)，并毀壞、侵蝕或改變數(shù)據(jù)。入侵者獲得訪問權(quán)，并捕獲系統(tǒng)一部分或整個(gè)系統(tǒng)的控制權(quán)，拒絕擁有特權(quán)的用戶的訪問。入侵者沒有獲得訪問權(quán)，而是用不良的程序，引起網(wǎng)絡(luò)持久性或暫時(shí)性的運(yùn)行失敗、重新啟動(dòng)、掛起或者其他無法操作的狀態(tài)。究竟誰會(huì)被入侵政府公司公眾究竟誰會(huì)被入侵KevinMitinkMitink曾經(jīng)侵入的一些目標(biāo)：PacificBell一個(gè)加利福尼亞的電話公司TheCaliforniaDepartmentofMotorVehices一個(gè)Pentagon系統(tǒng)TheSantaCruzOperation一個(gè)軟件銷售商DigitalEquipmentCorporationTRW究竟誰會(huì)被侵入1994年12月25日，Mitink侵入了Tsutomu

Shimomura，一位SanDiego超級(jí)計(jì)算中心的安全專家的計(jì)算機(jī)網(wǎng)絡(luò)，接著是持續(xù)數(shù)月的網(wǎng)絡(luò)癱瘓。侵入的目標(biāo)是一位安全專家，他編寫的特殊安全工具對(duì)公眾是保密的。闖入使用的方法及其復(fù)雜，引起了安全界的轟動(dòng)。Mitink被Shimomura和FBI逮捕。常見的黑客攻擊方法及入侵技術(shù)的發(fā)展入侵者水平攻擊手法高

攻擊變的越來越簡(jiǎn)單網(wǎng)絡(luò)風(fēng)險(xiǎn)難以消除開放的網(wǎng)絡(luò)外部環(huán)境越來越多的基于網(wǎng)絡(luò)的應(yīng)用企業(yè)的業(yè)務(wù)要求網(wǎng)絡(luò)連接的不間斷性來自內(nèi)部的安全隱患有限的防御措施錯(cuò)誤的實(shí)現(xiàn)、錯(cuò)誤的安全配置糟糕的管理和培訓(xùn)黑客的攻擊以上我們了解到目前計(jì)算機(jī)網(wǎng)絡(luò)普遍使用Internet實(shí)現(xiàn)互連，Internet是以TCP/IP協(xié)議為基礎(chǔ)，以IP地址進(jìn)行訪問。不難看出，這種基于IP的Internet目前存在有很多不安全的問題。下面我們分別予以闡述。Internet中不安全的問題IP安全DNS安全（DNS欺騙、DoS、偷取服務(wù)等）拒絕服務(wù)攻擊（DoSDenialofService)1、發(fā)送SYN信息分組2、郵件炸彈分布式拒絕服務(wù)攻擊（DDoS)網(wǎng)絡(luò)安全定義網(wǎng)絡(luò)安全是在分布網(wǎng)絡(luò)環(huán)境中，對(duì)信息載體（處理載體、存儲(chǔ)載體、傳輸載體）和信息的處理、傳輸、存儲(chǔ)、訪問提供安全保護(hù)，以防止數(shù)據(jù)、信息內(nèi)容或能力拒絕服務(wù)或被非授權(quán)使用和篡改。研究網(wǎng)絡(luò)安全的必要性維護(hù)信息載體的安全就要抵抗對(duì)網(wǎng)絡(luò)和系統(tǒng)的安全威脅。這些安全威脅包括物理侵犯（如機(jī)房侵入、設(shè)備偷竊、廢物搜尋、電子干擾等）、系統(tǒng)漏洞（如旁路控制、程序缺陷等）、網(wǎng)絡(luò)入侵（如竊聽、截獲、堵塞等）、惡意軟件（如病毒、蠕蟲、特洛伊木馬、信息炸彈等）、存儲(chǔ)損壞（如老化、破損等）等。研究網(wǎng)絡(luò)安全的必要性網(wǎng)絡(luò)需要與外界聯(lián)系，受到許多方面的威脅物理威脅系統(tǒng)漏洞造成的威脅身份鑒別威脅線纜連接威脅有害程序等方面威脅。物理侵犯物理侵犯包括四個(gè)方面：偷竊、廢物搜尋、間諜行為和身份識(shí)別錯(cuò)誤等。1、偷竊網(wǎng)絡(luò)安全中的偷竊包括偷竊設(shè)備、偷竊信息和偷竊服務(wù)等內(nèi)容。如果他們想偷的信息在計(jì)算機(jī)里，那他們一方面可以將整臺(tái)計(jì)算機(jī)偷走，另一方面通過監(jiān)視器讀取計(jì)算機(jī)中的信息。2、廢物搜尋就是在廢物（如一些打印出來的材料或廢棄的軟盤）中搜尋所需要的信息。在微機(jī)上，廢物搜尋可能包括從未抹掉有用東西的軟盤或硬盤上獲得有用資料。3、間諜行為是一種為了省錢或獲取有價(jià)值的機(jī)密、采用不道德的手段獲取信息。4、身份識(shí)別錯(cuò)誤非法建立文件或記錄，企圖把他們作為有效的、正式生產(chǎn)的文件或記錄，如對(duì)具有身份鑒別特征物品如護(hù)照、執(zhí)照、出生證明或加密的安全卡進(jìn)行偽造，屬于身份識(shí)別發(fā)生錯(cuò)誤的范疇。這種行為對(duì)網(wǎng)絡(luò)數(shù)據(jù)構(gòu)成了巨大的威脅。系統(tǒng)漏洞

系統(tǒng)漏洞造成的威脅包括三個(gè)方面：乘虛而入、不安全服務(wù)和配置和初始化錯(cuò)誤等。1、乘虛而入例如，用戶A停止了與某個(gè)系統(tǒng)的通信，但由于某種原因仍使該系統(tǒng)上的一個(gè)端口處于激活狀態(tài)，這時(shí)，用戶B通過這個(gè)端口開始與這個(gè)系統(tǒng)通信，這樣就不必通過任何申請(qǐng)使用端口的安全檢查了。2、不安全服務(wù)有時(shí)操作系統(tǒng)的一些服務(wù)程序可以繞過機(jī)器的安全系統(tǒng)，互聯(lián)網(wǎng)蠕蟲就利用了UNIX系統(tǒng)中三個(gè)可繞過的機(jī)制。3、配置和初始化錯(cuò)誤如果不得不關(guān)掉一臺(tái)服務(wù)器以維修它的某個(gè)子系統(tǒng)，幾天后當(dāng)重啟動(dòng)服務(wù)器時(shí)，可能會(huì)招致用戶的抱怨，說他們的文件丟失了或被篡改了，這就有可能是在系統(tǒng)重新初始化時(shí)，安全系統(tǒng)沒有正確的初始化，從而留下了安全漏洞讓人利用，類似的問題在木馬程序修改了系統(tǒng)的安全配置文件時(shí)也會(huì)發(fā)生。網(wǎng)絡(luò)安全漏洞大量存在Windows十大安全隱患Web服務(wù)器和服務(wù)工作站服務(wù)Windows遠(yuǎn)程訪問服務(wù)微軟SQL服務(wù)器Windows認(rèn)證Wb瀏覽器文件共享LSASExposures電子郵件客戶端即時(shí)信息Unix十大安全隱患BIND域名系統(tǒng)Web服務(wù)器認(rèn)證版本控制系統(tǒng)電子郵件Active傳輸服務(wù)簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議開放安全連接通訊層企業(yè)服務(wù)NIS/NFS配置不當(dāng)數(shù)據(jù)庫內(nèi)核來源SANS研究報(bào)告身份鑒別威脅

身份鑒別造成威脅包括四個(gè)面：口令圈套、口令破解、算法考慮不周和編輯口令。1、口令圈套口令圈套是網(wǎng)絡(luò)安全的一種詭計(jì)，與冒名頂替有關(guān)。常用的口令圈套通過一個(gè)編譯代碼模塊實(shí)現(xiàn)，它運(yùn)行起來和登錄屏幕一模一樣，被插入到正常有登錄過程之前，最終用戶看到的只是先后兩個(gè)登錄屏幕，第一次登錄失敗了，所以用戶被要求再輸入用戶名和口令。實(shí)際上，第一次登錄并沒有失敗，它將登錄數(shù)據(jù)，如用戶名和口令寫入到這個(gè)數(shù)據(jù)文件中，留待使用。2、口令破解破解口令就像是猜測(cè)自行車密碼鎖的數(shù)字組合一樣，在該領(lǐng)域中已形成許多能提高成功率的技巧。3、算法考慮不周口令輸入過程必須在滿足一定條件下才能正常地工作，這個(gè)過程通過某些算法實(shí)現(xiàn)。在一些攻擊入侵案例中，入侵者采用超長(zhǎng)的字符串破壞了口令算法，成功地進(jìn)入了系統(tǒng)。4、編輯口令編輯口令需要依靠操作系統(tǒng)漏洞，如果公司內(nèi)部的人建立了一個(gè)虛設(shè)的賬戶或修改了一個(gè)隱含賬戶的口令，這樣，任何知道那個(gè)賬戶的用戶名和口令的人便可以訪問該機(jī)器了。舉例：系統(tǒng)弱密碼入侵口令安全的測(cè)試口令安全可逆與不可逆

通?？诹畹募用芊椒ㄊ遣豢赡娴牟聹y(cè)與窮舉口令破解Unix口令

通常限制在8位以內(nèi)，56位密鑰加密john:Xd3rTCvtDs5/W:9999:13:John

Smith:/home/john:/bin/shNT口令

通常限制在14位以內(nèi)口令破解的時(shí)間Unix口令6位小寫字母窮舉:36小時(shí)8位小寫字母窮舉:3年NT口令8位小寫字母及數(shù)字窮舉，時(shí)間通常不超過30小時(shí)線纜連接威脅

線纜連接造成的威脅包括三個(gè)方面：竊聽、撥號(hào)進(jìn)入和冒名頂替。1、竊聽對(duì)通信過程進(jìn)行竊聽可達(dá)到收集信息的目的，這種電子竊聽不一定需要竊聽設(shè)備一定安裝在電纜上，可以通過檢測(cè)從連線上發(fā)射出來的電磁輻射就能拾取所要的信號(hào)，為了使機(jī)構(gòu)內(nèi)部的通信有一定的保密性，可以使用加密手段來防止信息被解密。2、撥號(hào)進(jìn)入擁有一個(gè)調(diào)制解調(diào)器和一個(gè)電話號(hào)碼，每個(gè)人都可以試圖通過遠(yuǎn)程撥號(hào)訪問網(wǎng)絡(luò)，尤其是擁有所期望攻擊的網(wǎng)絡(luò)的用戶賬戶時(shí)，就會(huì)對(duì)網(wǎng)絡(luò)造成很大的威脅。3、冒名頂替通過使用別人的密碼和賬號(hào)時(shí)，獲得對(duì)網(wǎng)絡(luò)及其數(shù)據(jù)、程序的使用能力。這種辦法實(shí)現(xiàn)起來并不容易，而且一般需要有機(jī)構(gòu)內(nèi)部的、了解網(wǎng)絡(luò)和操作過程的人參與。有害程序威脅有害程序造成的威脅包括三個(gè)方面：病毒、代碼炸彈和特洛伊木馬。1、病毒病毒是一種把自己的拷貝附著于機(jī)器中的另一程序上的一段代碼。通過這種方式病毒可以進(jìn)行自我復(fù)制，并隨著它所附著的程序在機(jī)器之間傳播。2、代碼炸彈代碼炸彈是一種具有殺傷力的代碼，其原理是一旦到達(dá)設(shè)定的日期或鐘點(diǎn)，或在機(jī)器中發(fā)生了某種操作，代碼炸彈就被觸發(fā)并開始產(chǎn)生破壞性操作。代碼炸彈不必像病毒那樣四處傳播，程序員將代碼炸彈寫入軟件中，使其產(chǎn)生了一個(gè)不能輕易地找到的安全漏洞，一旦該代碼炸彈被觸發(fā)后，這個(gè)程序員便會(huì)被請(qǐng)回來修正這個(gè)錯(cuò)誤，并賺一筆錢，這種高技術(shù)的敲詐的受害者甚至不知道他們被敲詐了，即便他們有疑心也無法證實(shí)自己的猜測(cè)。3、特洛伊木馬特洛伊木馬程序一旦被安裝到機(jī)器上，便可按編制者的意圖行事。特洛伊木馬能夠摧毀數(shù)據(jù)，有時(shí)偽裝成系統(tǒng)上已有的程序，有時(shí)創(chuàng)建新的用戶名和口令。研究網(wǎng)絡(luò)安全的必要性

為抵抗對(duì)網(wǎng)絡(luò)和系統(tǒng)的安全威脅，通常采取的安全措施包括門控系統(tǒng)、防火墻、防病毒、入侵檢測(cè)、漏洞掃描、存儲(chǔ)備份、日志審計(jì)、應(yīng)急響應(yīng)、災(zāi)難恢復(fù)等。

信息自身的安全就要抵抗對(duì)信息的安全威脅。

安全威脅：包括身份假冒、非法訪問、信息泄露、數(shù)據(jù)受損、事后否認(rèn)等。

安全措施：包括身份鑒別、訪問控制、數(shù)據(jù)加密、數(shù)據(jù)驗(yàn)證、數(shù)字簽名、內(nèi)容過濾、日志審計(jì)、應(yīng)急響應(yīng)、災(zāi)難恢復(fù)等。研究網(wǎng)絡(luò)安全的社會(huì)意義目前研究網(wǎng)絡(luò)安全已經(jīng)不只為了信息和數(shù)據(jù)的安全性。網(wǎng)絡(luò)安全已經(jīng)滲透到國(guó)家的經(jīng)濟(jì)、軍事等領(lǐng)域。信息化與國(guó)家安全－信息戰(zhàn)信息戰(zhàn)指雙方為爭(zhēng)奪對(duì)于信息的獲取權(quán)、控制權(quán)和使用權(quán)而展開的斗爭(zhēng)。是以計(jì)算機(jī)網(wǎng)絡(luò)為戰(zhàn)場(chǎng)，計(jì)算機(jī)技術(shù)為核心、為武器，是一場(chǎng)智力的較量，以攻擊敵方的信息系統(tǒng)為主要手段，破壞敵方核心的信息系統(tǒng)，是現(xiàn)代戰(zhàn)爭(zhēng)的“第一個(gè)打擊目標(biāo)”。通常來說它利用的手段有計(jì)算機(jī)病毒、邏輯炸彈、后門（BackDoor）、黑客、電磁炸彈、納米機(jī)器人和芯片細(xì)菌等.美國(guó)國(guó)防部一名官員曾經(jīng)說，給他10億美元外加20個(gè)世界頂級(jí)黑客，他就可以“關(guān)掉”美國(guó)-----就像關(guān)掉一臺(tái)計(jì)算機(jī)一樣。信息戰(zhàn)的特點(diǎn)戰(zhàn)略信息戰(zhàn)是一場(chǎng)沒有前線的戰(zhàn)斗。蘭德公司《戰(zhàn)略信息戰(zhàn)》的報(bào)告綜合了信息戰(zhàn)的特點(diǎn)：信息攻擊花費(fèi)低傳統(tǒng)邊界模糊管理觀念的困難戰(zhàn)略情報(bào)的不可靠性戰(zhàn)術(shù)警報(bào)/攻擊估計(jì)極端困難建立和維持合作關(guān)系變得更為復(fù)雜無安全的戰(zhàn)略后方信息戰(zhàn)重要實(shí)例1990年海灣戰(zhàn)爭(zhēng)，被稱為“世界上首次全面信息戰(zhàn)”，充分顯示了現(xiàn)代高技術(shù)條件下“制信息權(quán)”的關(guān)鍵作用。美軍通過向帶病毒芯片的打印機(jī)設(shè)備發(fā)送指令，致使伊拉克軍隊(duì)系統(tǒng)癱瘓，輕易地摧毀了伊軍的防空系統(tǒng)。多國(guó)部隊(duì)運(yùn)用精湛的信息技術(shù),僅以傷亡百余人的代價(jià)取得了殲敵十多萬的成果.在科索沃戰(zhàn)爭(zhēng)中，美國(guó)的電子專家成功侵入了南聯(lián)盟防空體系的計(jì)算機(jī)系統(tǒng)。當(dāng)南聯(lián)盟軍官在計(jì)算機(jī)屏幕上看到敵機(jī)目標(biāo)的時(shí)候，天空上其實(shí)什么也沒有。通過這種方法，美軍成功迷惑了南聯(lián)盟，使南聯(lián)盟浪費(fèi)了大量的人力物力資源。同樣的方法還應(yīng)用到南聯(lián)盟首領(lǐng)米洛舍維奇的頭上，美軍雇傭黑客闖入瑞士銀行系統(tǒng)，調(diào)查米氏的存款情況并加以刪除，從心理上給予米氏以沉重的打擊。信息時(shí)代的國(guó)際形勢(shì)在信息時(shí)代，世界的格局是：一個(gè)信息霸權(quán)國(guó)家十幾個(gè)信息主權(quán)國(guó)家多數(shù)信息殖民地國(guó)家在這樣的一個(gè)格局中，只有一個(gè)定位：反對(duì)信息霸權(quán)，保衛(wèi)信息主權(quán)。信息安全基本原則國(guó)際“經(jīng)濟(jì)合作與發(fā)展組織”O(jiān)ECD于1992.11.26通過“信息系統(tǒng)安全指南”，制定9項(xiàng)安全原則。負(fù)責(zé)原則

主體明確安全責(zé)任知曉原則

主體了解網(wǎng)絡(luò)安全方面的措施、具體辦法、工作程序道德原則

尊重他人權(quán)利和合法權(quán)益多方原則

全方位考慮（技術(shù)、管理、機(jī)構(gòu)、運(yùn)行、商業(yè)、教育、法律）配比原則

適度安全綜合原則

協(xié)調(diào)一致及時(shí)原則

各機(jī)構(gòu)及時(shí)協(xié)調(diào)重新評(píng)價(jià)原則

定時(shí)對(duì)網(wǎng)絡(luò)安全措施重新進(jìn)行評(píng)價(jià)民主原則

兼顧信息和數(shù)據(jù)的流動(dòng)和合法使用，并相互兼顧網(wǎng)絡(luò)安全機(jī)制基本框架下圖描述了網(wǎng)絡(luò)安全體系中各種安全需求和安全設(shè)備、安全服務(wù)（機(jī)制）的組合方式：網(wǎng)絡(luò)安全的屬性網(wǎng)絡(luò)安全具有三個(gè)基本屬性。1.機(jī)密性2.完整性3.可用性網(wǎng)絡(luò)安全第一部分網(wǎng)絡(luò)安全與保密綜述1.

網(wǎng)絡(luò)的發(fā)展和變化2.網(wǎng)絡(luò)安全現(xiàn)狀3.網(wǎng)絡(luò)安全層次結(jié)構(gòu)4.網(wǎng)絡(luò)安全服務(wù)5.安全標(biāo)準(zhǔn)和組織6.安全保障網(wǎng)絡(luò)安全層次結(jié)構(gòu)國(guó)際標(biāo)準(zhǔn)化組織（ISO）在開放系統(tǒng)互連標(biāo)準(zhǔn)（OSI/RM）中定義了７個(gè)層次的網(wǎng)絡(luò)參考模型，它們分別是物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層和應(yīng)用層。不同的網(wǎng)絡(luò)層次之間的功能雖然有一定的交叉，但是基本上是不同的。例如，數(shù)據(jù)鏈路層負(fù)責(zé)建立點(diǎn)到點(diǎn)通信，網(wǎng)絡(luò)層負(fù)責(zé)尋徑，傳輸層負(fù)責(zé)建立端到端的通信信道。從安全角度來看，各層能提供一定的安全手段，針對(duì)不同層的安全措施是不同的。要對(duì)網(wǎng)絡(luò)安全服務(wù)所屬的協(xié)議層次進(jìn)行分析，一個(gè)單獨(dú)的層次無法提供全部的網(wǎng)絡(luò)安全服務(wù)，每個(gè)層次都能做出自己的貢獻(xiàn)。開放系統(tǒng)互連標(biāo)準(zhǔn)（OSI/RM）在物理層，可以在通信線路上采用某些技術(shù)使得搭線偷聽變得不可能或者容易被檢測(cè)出。在數(shù)據(jù)鏈路層，點(diǎn)對(duì)點(diǎn)的鏈路可能采用通信保密機(jī)制進(jìn)行加密和解密，當(dāng)信息離開一臺(tái)機(jī)器時(shí)進(jìn)行加密，而進(jìn)入另外一臺(tái)機(jī)器時(shí)進(jìn)行解密。所有的細(xì)節(jié)可以全部由底層硬件實(shí)現(xiàn)，高層根本無法察覺。但是這種方案無法適應(yīng)需要經(jīng)過多個(gè)路由器的通信信道，因?yàn)樵诿總€(gè)路由器上都需要進(jìn)行加密和解密，在這些路由器上會(huì)出現(xiàn)潛在的安全隱患，在開放網(wǎng)絡(luò)環(huán)境中并不能確定每個(gè)路由器都是安全的。當(dāng)然，鏈路加密無論在什么時(shí)候都是很容易而且有效的，也被經(jīng)常使用，但是在Internet環(huán)境中并不完全適用。開放系統(tǒng)互連標(biāo)準(zhǔn)（OSI/RM）在網(wǎng)絡(luò)層，使用防火墻技術(shù)處理信息在內(nèi)外網(wǎng)絡(luò)邊界的流動(dòng)，確定來自哪些地址的信息可能或者禁止訪問哪些目的地址的主機(jī)。在傳輸層，這個(gè)連接可能被端到端的加密，也就是進(jìn)程到進(jìn)程間的加密。雖然這些解決方案都有一定的作用，并且有很多人正在試圖提高這些技術(shù)，但是他們都不能提出一種充分通用的辦法來解決身份認(rèn)證和不可否認(rèn)問題。這些問題必須要在應(yīng)用層解決。開放系統(tǒng)互連標(biāo)準(zhǔn)（OSI/RM）應(yīng)用層的安全主要是指針對(duì)用戶身份進(jìn)行認(rèn)證并且建立起安全的通信信道。有很多針對(duì)具體應(yīng)用的安全方案，它們能夠有效地解決諸如電子郵件、HTTP等特定應(yīng)用的安全問題，能夠提供包括身份認(rèn)證、不可否認(rèn)、數(shù)據(jù)保密、數(shù)據(jù)完整性檢查乃至訪問控制等功能。但是在應(yīng)用層并沒有一個(gè)統(tǒng)一的安全方案，通用安全服務(wù)GSSAPI的出現(xiàn)試圖將安全服務(wù)進(jìn)行抽象，為上層應(yīng)用提供通用接口。在GSS

API接口下可以采用各種不同的安全機(jī)制來實(shí)現(xiàn)這些服務(wù)?？偨Y(jié)前述討論，可用下圖表示網(wǎng)絡(luò)安全層次網(wǎng)絡(luò)安全層次圖第一部分網(wǎng)絡(luò)安全與保密綜述1.

網(wǎng)絡(luò)的發(fā)展和變化2.網(wǎng)絡(luò)安全現(xiàn)狀3.網(wǎng)絡(luò)安全層次結(jié)構(gòu)4.網(wǎng)絡(luò)安全服務(wù)5.安全標(biāo)準(zhǔn)和組織6.安全保障網(wǎng)絡(luò)安全服務(wù)安全服務(wù)安全機(jī)制安全模式安全分析安全服務(wù)機(jī)密性鑒別性完整性不可否認(rèn)性安全機(jī)制加密機(jī)制數(shù)字簽名機(jī)制訪問控制機(jī)制數(shù)據(jù)完整性機(jī)制交換鑒別機(jī)制業(yè)務(wù)流量填充機(jī)制路由控制機(jī)制公證機(jī)制安全模式系統(tǒng)安全一般分四層來考慮：信息通道上的考慮系統(tǒng)門衛(wèi)的考慮系統(tǒng)內(nèi)部的考慮

CPU