网 络 安 全 概 述

韩冰

以Internet为代表的全球性信息化浪潮日益深刻，信息网络技术的应用正日益普及和广泛，应用层次正在深入，应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展，典型的如党政部门信息系统、金融业务系统、企业商务系统等。伴随网络的普及，安全日益成为影响网络效能的重要问题，而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求，这主要表现在：

开放性的网络，导致网络的技术是全开放的，任何一个人、团体都可能获得，因而网络所面临的破坏和攻击可能是多方面的，例如：可能来自物理传输线路的攻击，也可以对网络通信协议和实现实施攻击；可以是对软件实施攻击，也可以对硬件实施攻击。
2 V" c' X. _& f$ o; b: b5 m/ {0 x, M
+ L/ r3 z' ~0 X! r: i国际性的一个网络还意味着网络的攻击不仅仅来自本地网络的用户，它可以来自Internet上的任何一个机器，也就是说，网络安全所面临的是一个国际化的挑战。
. m! ?5 y9 W  B% d自由意味着网络最初对用户的使用并没有提供任何的技术约束，用户可以自由地访问网络，自由地使用和发布各种类型的信息。用户只对自己的行为负责，而没有任何的法律限制。

4 A8 Z, v+ }3 Y8 p, p* {0 ]/ O, S尽管，开放的、自由的、国际化的Internet的发展给政府机构、企事业单位带来了革命性的改革和开放，使得他们能够利用Internet提高办事效率和市场反应能力，以便更具竞争力。通过Internet，他们可以从异地取回重要数据，同时又要面对Internet开放带来的数据安全的新挑战和新危险。如何保护企业的机密信息不受黑客和工业间谍的入侵，已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。
( P  ~5 _  Y& |- `. a2 D* G% \
, c& C/ J" E" I% @1．1 什么是安全？
& O5 {0 P- I2 N# f9 v, M0 h
( J8 P, T1 W6 q9 n5 ^: ]: Y! R安全包括五个基本要素：机密性、完整性、可用性、可控性与可审查性。
机密性：确保信息不暴露给未授权的实体或进程。
完整性：只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改。
( ^: V) v5 ~9 K# J! v可用性：得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作。
( ~) t  d5 ], f; |: m可控性：可以控制授权范围内的信息流向及行为方式。
+ z4 V2 \9 y4 y5 m0 r2 q可审查性：对出现的网络安全问题提供调查的依据和手段。

1．2 安全威胁
+ i7 T2 d: v4 i# O
一般认为，目前网络存在的威胁主要表现在：
; M- x3 B' K: X% i3 p8 M5 I非授权访问：没有预先经过同意，就使用网络或计算机资源被看作非授权访问，如有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息。它主要有以下几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
6 v6 W& p% R- v8 ~" O
! ~2 X" O7 s% _信息泄漏或丢失：指敏感数据在有意或无意中被泄漏出去或丢失，它通常包括，信息在传输中丢失或泄漏（如"黑客"们利用电磁泄漏或搭线窃听等方式可截获机密信息，或通过对信息流向、流量、通信频度和长度等参数的分析，推出有用信息，如用户口令、帐号等重要信息。），信息在存储介质中丢失或泄漏，通过建立隐蔽隧道等窃取敏感信息等。

破坏数据完整性：以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加，修改数据，以干扰用户的正常使用。
$ I2 K2 `) W! a. m
; d: [+ f' b0 Y拒绝服务攻击：它不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。

& s0 {( n! a7 o$ C7 i1 P- u: c利用网络传播病毒：通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。

: N2 n( U3 K% s! b1 t1．3 安全策略
8 a, _+ c8 a' ^
安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则。该安全策略模型包括了建立安全环境的三个重要组成部分，即：
, S+ v# c6 e' z5 Y威严的法律：安全的基石是社会法律、法规、与手段，这部分用于建立一套安全管理标准和方法。即通过建立与信息安全相关的法律、法规，使非法分子慑于法律，不敢轻举妄动.
先进的技术：先进的安全技术是信息安全的根本保障，用户对自身面临的威胁进行风险评估，决定其需要的安全服务种类，选择相应的安全机制，然后集成先进的安全技术。
$ m$ D0 _( D9 H4 E严格的管理：各网络使用机构、企业和单位应建立相宜的信息安全管理办法，加强内部管理，建立审计和跟踪体系，提高整体信息安全意识。

# I" B  N, C3 }, A6 ?$ l- s& l  U% D1．4 安全服务、机制与技术
* D0 d6 T3 m% a/ Z! I% N/ G
7 A4 V3 i( f7 |3 A2 N  }安全服务：服务控制服务、数据机密性服务、数据完整性服务、对象认证服务、防抵赖服务
/ f# k! o% K3 x+ I% r- ~2 ^安全机制：访问控制机制、加密机制、认证交换机制、数字签名机制、防业务流分析机制、路由控制机制
安全技术：防火墙技术、加密技术、鉴别技术、数字签名技术、审计监控技术、病毒防治技术
4 g' h$ U: T* l在安全的开放环境中，用户可以使用各种安全应用。安全应用由一些安全服务来实现；而安全服务又是由各种安全机制或安全技术实现的。应当指出，同一安全机制有时也可以用于实现不同的
* \( |/ H' {) g安全服务。

1．5 安全工作目的

, X" X; K- E5 n安全工作的目的就是为了在安全法律、法规、政策的支持与指导下，通过采用合适的安全技术与安全管理措施，完成以下任务：
使用访问控制机制，阻止非授权用户进入网络，即"进不来"，从而保证网络系统的可用性。
; b: L: q% ~9 H使用授权机制，实现对用户的权限控制，即不该拿走的"拿不走"，同时结合内容审计机制，实现对网络资源及信息的可控性。
$ F% ~; f  x! z6 g6 X( t. v* P使用加密机制，确保信息不暴漏给未授权的实体或进程，即"看不懂"，从而实现信息的保密性。
6 f" ~/ {2 j" C, |0 e$ _2 `使用数据完整性鉴别机制，保证只有得到允许的人才能修改数据，而其它人"改不了"，从而确保信息的完整性。
使用审计、监控、防抵赖等安全机制，使得攻击者、破坏者、抵赖者"走不脱"，并进一步对网络出现的安全问题提供调查依据和手段，实现信息安全的可审查性。