第1章網(wǎng)絡(luò)安全基礎(chǔ)引言

1.1網(wǎng)絡(luò)安全概念

1.2常見(jiàn)的安全威脅與攻擊

1.3網(wǎng)絡(luò)安全的現(xiàn)狀和發(fā)展趨勢(shì)1.4本章學(xué)習(xí)要點(diǎn)掌握網(wǎng)絡(luò)安全的概念及安全模型掌握安全服務(wù)及安全標(biāo)準(zhǔn)了解我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)安全等級(jí)標(biāo)準(zhǔn)掌握常見(jiàn)的安全威脅和攻擊1.1引言在社會(huì)日益信息化的今天，信息已成為一種重要的戰(zhàn)略資源，信息的應(yīng)用也從原來(lái)的軍事、科技、文化和商業(yè)滲透到當(dāng)今社會(huì)的各個(gè)領(lǐng)域，它在社會(huì)生產(chǎn)、生活中的作用日益顯著。傳播、共享和增值是信息的固有屬性，與此同時(shí)，又要求信息的傳播是可控的，共享是授權(quán)的，增值是確認(rèn)的，因此信息的安全和可靠在任何狀況下都是必須要保證的。1.2網(wǎng)絡(luò)安全概念網(wǎng)絡(luò)安全（NetworkSecurity）是一門(mén)涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性科學(xué)。

下面給出網(wǎng)絡(luò)安全的一個(gè)通用定義。網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。從內(nèi)容上看，網(wǎng)絡(luò)安全大致包括以下4個(gè)方面的內(nèi)容。網(wǎng)絡(luò)實(shí)體安全：如計(jì)算機(jī)硬件、附屬設(shè)備及網(wǎng)絡(luò)傳輸線路的安裝及配置。軟件安全：如保護(hù)網(wǎng)絡(luò)系統(tǒng)不被非法侵入，軟件不被非法篡改，不受病毒侵害等。數(shù)據(jù)安全：保護(hù)數(shù)據(jù)不被非法存取，確保其完整性、一致性、機(jī)密性等。安全管理：運(yùn)行時(shí)突發(fā)事件的安全處理等，包括采取計(jì)算機(jī)安全技術(shù)、建立安全制度、進(jìn)行風(fēng)險(xiǎn)分析等。從特征上看，網(wǎng)絡(luò)安全包括5個(gè)基本要素。機(jī)密性：確保信息不泄露給非授權(quán)的用戶、實(shí)體。完整性：信息在存儲(chǔ)或傳輸過(guò)程中保持不被修改、不被破壞和不會(huì)丟失的特性。可用性：得到授權(quán)的實(shí)體可獲得服務(wù)，攻擊者不能占用所有的資源而阻礙授權(quán)者的工作?？煽匦裕簩?duì)信息的傳播及內(nèi)容具有控制能力?？蓪彶樾裕簩?duì)出現(xiàn)的安全問(wèn)題提供調(diào)查的依據(jù)和手段。1.2.1安全模型圖1.1所示為網(wǎng)絡(luò)安全的基本模型。其安全模型可以采用如圖1.2所示的安全模型來(lái)描述。圖1.1網(wǎng)絡(luò)安全的基本模型圖1.2網(wǎng)絡(luò)安全訪問(wèn)模型下面介紹幾種常見(jiàn)的網(wǎng)絡(luò)安全模型。（1）P2DR安全模型P2DR安全模型可以描述為安全=風(fēng)險(xiǎn)分析+執(zhí)行策略+系統(tǒng)實(shí)施+漏洞監(jiān)視+實(shí)時(shí)響應(yīng)圖1.3P2DR安全模型

（2）PDRR安全模型圖1.4PDRR網(wǎng)絡(luò)安全模型

（3）MPDRR安全模型圖1.5MPDRR網(wǎng)絡(luò)安全模型

1.2.2安全體系1．安全體系一般把計(jì)算機(jī)網(wǎng)絡(luò)安全看成一個(gè)由多個(gè)安全單元組成的集合。

其中，每一個(gè)安全單元都是一個(gè)整體，包含了多個(gè)特性?？梢詮陌踩珯C(jī)制的安全問(wèn)題、安全服務(wù)的安全問(wèn)題以及開(kāi)發(fā)系統(tǒng)互連（ISO/OSI）

參考模型結(jié)構(gòu)層次的安全問(wèn)題等3個(gè)主要特

性去理解一個(gè)安全單元。所以安全單元集合可以用一個(gè)三維的安全空間去描述，如圖1.6所示。

圖中描述了一個(gè)三維的計(jì)算機(jī)網(wǎng)絡(luò)安全空間，反應(yīng)了計(jì)算機(jī)網(wǎng)絡(luò)安全中OSI模型、安全服務(wù)和安全機(jī)制之間的關(guān)系。圖1.6計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全空間

計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全體系需要綜合多方面去考慮，如圖1.7所示。圖1.7計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全體系

2．安全服務(wù)①鑒別服務(wù)②訪問(wèn)控制服務(wù)③數(shù)據(jù)完整性服務(wù)④數(shù)據(jù)保密服務(wù)⑤抗抵賴性服務(wù)3．安全機(jī)制安全服務(wù)依賴于安全機(jī)制的支持。

安全機(jī)制是一種技術(shù)，一些軟件或?qū)嵤┮粋€(gè)或更多安全服務(wù)的過(guò)程。ISO把機(jī)制分成特殊的和普遍的。一般的安全機(jī)制都列出了同時(shí)實(shí)施一個(gè)或多個(gè)安全服務(wù)的執(zhí)行過(guò)程。

特殊安全機(jī)制和一般安全機(jī)制不同的另一個(gè)要素是一般安全機(jī)制不能應(yīng)用到OSI參考模型的任一層。我們知道，TCP/IP剛出現(xiàn)時(shí)，協(xié)議設(shè)計(jì)者對(duì)網(wǎng)絡(luò)安全方面考慮得較少。

隨著Internet的快速發(fā)展，它的各種安全脆弱性逐步體現(xiàn)出來(lái)，但是又不能設(shè)計(jì)一種全新的協(xié)議來(lái)取代TCP/IP。因此，相對(duì)于ISO/OSI的網(wǎng)絡(luò)安全體系結(jié)構(gòu)，Internet的安全體系結(jié)構(gòu)有點(diǎn)類似于打補(bǔ)丁，它是在各個(gè)層次上加上相應(yīng)的安全協(xié)議來(lái)進(jìn)行處理的，如表1.1所示。層次安全協(xié)議應(yīng)用層MOSSPEMPGPS/MIMESSHSHTTPKerberos傳輸層TCPSSL網(wǎng)絡(luò)層UDPIPv6IPSecISAKMP表1.1 因特網(wǎng)安全體系結(jié)構(gòu)因特網(wǎng)各層與ISO/OSI安全服務(wù)的對(duì)應(yīng)關(guān)系如表1.2所示。層次安全協(xié)議鑒別訪問(wèn)控制機(jī)密性完整性抗抵賴性網(wǎng)絡(luò)層IPSecY?YY?傳輸層SSLY?YY?應(yīng)用層PEMY?YY?MOSSY?YYYPGPY?YYYS/MIMEY?YYYSHTTPY?YYYSSHY?YY?KerberosYYYYYSNMPY?YY?表1.2 TCP/IP各層與ISO/OSI安全服務(wù)的對(duì)應(yīng)關(guān)系注：Y=提供?=不提供。

4．安全服務(wù)和安全機(jī)制的關(guān)系安全服務(wù)與安全機(jī)制有著密切的聯(lián)系