網(wǎng)絡(luò)安全

百科解釋

目錄·1.網(wǎng)絡(luò)安全概述
·2.網(wǎng)絡(luò)安全分析
·3.網(wǎng)絡(luò)安全措施
·4.網(wǎng)絡(luò)安全案例
·5.網(wǎng)絡(luò)安全類型
·6.網(wǎng)絡(luò)安全特征
·7.威脅網(wǎng)絡(luò)安全因素
·8.網(wǎng)絡(luò)安全的結(jié)構(gòu)層次
·9.網(wǎng)絡(luò)加密方式
·10.TCP/IP協(xié)議的安全問題
·11.網(wǎng)絡(luò)安全工具
·12.黑客常用的信息收集工具
·13. Internet 防火墻

1.網(wǎng)絡(luò)安全概述

　　網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。

　　網(wǎng)絡(luò)安全的具體含義會(huì)隨著“角度”的變化而變化。比如：從用戶（個(gè)人、企業(yè)等）的角度來說，他們希望涉及個(gè)人隱私或商業(yè)利益的信息在網(wǎng)絡(luò)上傳輸時(shí)受到機(jī)密性、完整性和真實(shí)性的保護(hù)，避免其他人或?qū)κ掷酶`聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私。

網(wǎng)絡(luò)安全應(yīng)具有以下四個(gè)方面的特征：
保密性：信息不泄露給非授權(quán)用戶、實(shí)體或過程，或供其利用的特性。
完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。即信息在存儲(chǔ)或傳輸過程中保持不被修改、不被破壞和丟失的特性。
可用性：可被授權(quán)實(shí)體訪問并按需求使用的特性。即當(dāng)需要時(shí)能否存取所需的信息。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對(duì)可用性的攻擊；
可控性：對(duì)信息的傳播及內(nèi)容具有控制能力。

　　從網(wǎng)絡(luò)運(yùn)行和管理者角度說，他們希望對(duì)本地網(wǎng)絡(luò)信息的訪問、讀寫等操作受到保護(hù)和控制，避免出現(xiàn)“陷門”、病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用和非法控制等威脅，制止和防御網(wǎng)絡(luò)黑客的攻擊。對(duì)安全保密部門來說，他們希望對(duì)非法的、有害的或涉及國(guó)家機(jī)密的信息進(jìn)行過濾和防堵，避免機(jī)要信息泄露，避免對(duì)社會(huì)產(chǎn)生危害，對(duì)國(guó)家造成巨大損失。從社會(huì)教育和意識(shí)形態(tài)角度來講，網(wǎng)絡(luò)上不健康的內(nèi)容，會(huì)對(duì)社會(huì)的穩(wěn)定和人類的發(fā)展造成阻礙，必須對(duì)其進(jìn)行控制。

　　隨著計(jì)算機(jī)技術(shù)的迅速發(fā)展，在計(jì)算機(jī)上處理的業(yè)務(wù)也由基于單機(jī)的數(shù)學(xué)運(yùn)算、文件處理，基于簡(jiǎn)單連接的內(nèi)部網(wǎng)絡(luò)的內(nèi)部業(yè)務(wù)處理、辦公自動(dòng)化等發(fā)展到基于復(fù)雜的內(nèi)部網(wǎng)（Intranet）、企業(yè)外部網(wǎng)（Extranet）、全球互連網(wǎng)（Internet）的企業(yè)級(jí)計(jì)算機(jī)處理系統(tǒng)和世界范圍內(nèi)的信息共享和業(yè)務(wù)處理。在系統(tǒng)處理能力提高的同時(shí)，系統(tǒng)的連接能力也在不斷的提高。但在連接能力信息、流通能力提高的同時(shí)，基于網(wǎng)絡(luò)連接的安全問題也日益突出，整體的網(wǎng)絡(luò)安全主要表現(xiàn)在以下幾個(gè)方面：網(wǎng)絡(luò)的物理安全、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全、網(wǎng)絡(luò)系統(tǒng)安全、應(yīng)用系統(tǒng)安全和網(wǎng)絡(luò)管理的安全等。

　　因此計(jì)算機(jī)安全問題，應(yīng)該象每家每戶的防火防盜問題一樣，做到防范于未然。甚至不會(huì)想到你自己也會(huì)成為目標(biāo)的時(shí)候，威脅就已經(jīng)出現(xiàn)了，一旦發(fā)生，常常措手不及，造成極大的損失。

2.網(wǎng)絡(luò)安全分析

3.網(wǎng)絡(luò)安全措施

　　3 .1.安全技術(shù)手段

　　——物理措施：例如，保護(hù)網(wǎng)絡(luò)關(guān)鍵設(shè)備(如交換機(jī)、大型計(jì)算機(jī)等)，制定嚴(yán)格的網(wǎng)絡(luò)安全規(guī)章制度，采取防輻射、防火以及安裝不間斷電源（UPS）等措施。

　　——訪問控制：對(duì)用戶訪問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和控制。例如，進(jìn)行用戶身份認(rèn)證，對(duì)口令加密、更新和鑒別，設(shè)置用戶訪問目錄和文件的權(quán)限，控制網(wǎng)絡(luò)設(shè)備配置的權(quán)限，等等。

　　——數(shù)據(jù)加密：加密是保護(hù)數(shù)據(jù)安全的重要手段。加密的作用是保障信息被人截獲后不能讀懂其含義。防止計(jì)算機(jī)網(wǎng)絡(luò)病毒，安裝網(wǎng)絡(luò)防病毒系統(tǒng)。

　　——其他措施：其他措施包括信息過濾、容錯(cuò)、數(shù)據(jù)鏡像、數(shù)據(jù)備份和審計(jì)等。近年來，圍繞網(wǎng)絡(luò)安全問題提出了許多解決辦法，例如數(shù)據(jù)加密技術(shù)和防火墻技術(shù)等。數(shù)據(jù)加密是對(duì)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)行加密，到達(dá)目的地后再解密還原為原始數(shù)據(jù)，目的是防止非法用戶截獲后盜用信息。防火墻技術(shù)是通過對(duì)網(wǎng)絡(luò)的隔離和限制訪問等方法來控制網(wǎng)絡(luò)的訪問權(quán)限，從而保護(hù)網(wǎng)絡(luò)資源。其他安全技術(shù)包括密鑰管理、數(shù)字簽名、認(rèn)證技術(shù)、智能卡技術(shù)和訪問控制等等。

　　3 .2.安全防范意識(shí)

　　擁有網(wǎng)絡(luò)安全意識(shí)是保證網(wǎng)絡(luò)安全的重要前提。許多網(wǎng)絡(luò)安全事件的發(fā)生都和缺乏安全防范意識(shí)有關(guān)。

4.網(wǎng)絡(luò)安全案例

　　4 .1.概況

　　隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，信息網(wǎng)絡(luò)已經(jīng)成為社會(huì)發(fā)展的重要保證。信息網(wǎng)絡(luò)涉及到國(guó)家的政府、軍事、文教等諸多領(lǐng)域。其中存貯、傳輸和處理的信息有許多是重要的政府宏觀調(diào)控決策、商業(yè)經(jīng)濟(jì)信息、銀行資金轉(zhuǎn)帳、股票證券、能源資源數(shù)據(jù)、科研數(shù)據(jù)等重要信息。有很多是敏感信息，甚至是國(guó)家機(jī)密。所以難免會(huì)吸引來自世界各地的各種人為攻擊（例如信息泄漏、信息竊取、數(shù)據(jù)篡改、數(shù)據(jù)刪添、計(jì)算機(jī)病毒等）。同時(shí)，網(wǎng)絡(luò)實(shí)體還要經(jīng)受諸如水災(zāi)、火災(zāi)、地震、電磁輻射等方面的考驗(yàn)。

　　近年來，計(jì)算機(jī)犯罪案件也急劇上升，計(jì)算機(jī)犯罪已經(jīng)成為普遍的國(guó)際性問題。據(jù)美國(guó)聯(lián)邦調(diào)查局的報(bào)告，計(jì)算機(jī)犯罪是商業(yè)犯罪中最大的犯罪類型之一，每筆犯罪的平均金額為45000美元，每年計(jì)算機(jī)犯罪造成的經(jīng)濟(jì)損失高達(dá)50億美元。

　　計(jì)算機(jī)犯罪大都具有瞬時(shí)性、廣域性、專業(yè)性、時(shí)空分離性等特點(diǎn)。通常計(jì)算機(jī)罪犯很難留下犯罪證據(jù)，這大大刺激了計(jì)算機(jī)高技術(shù)犯罪案件的發(fā)生。

　　計(jì)算機(jī)犯罪案率的迅速增加，使各國(guó)的計(jì)算機(jī)系統(tǒng)特別是網(wǎng)絡(luò)系統(tǒng)面臨著很大的威脅，并成為嚴(yán)重的社會(huì)問題之一。

　　4 .2.國(guó)外

　　1996年初，據(jù)美國(guó)舊金山的計(jì)算機(jī)安全協(xié)會(huì)與聯(lián)邦調(diào)查局的一次聯(lián)合調(diào)查統(tǒng)計(jì)，有53％的企業(yè)受到過計(jì)算機(jī)病毒的侵害，42％的企業(yè)的計(jì)算機(jī)系統(tǒng)在過去的12個(gè)月被非法使用過。而五角大樓的一個(gè)研究小組稱美國(guó)一年中遭受的攻擊就達(dá)25萬次之多。

　　1994年末，俄羅斯黑客弗拉基米爾?利文與其伙伴從圣彼得堡的一家小軟件公司的聯(lián)網(wǎng)計(jì)算機(jī)上，向美國(guó)CITYBANK銀行發(fā)動(dòng)了一連串攻擊，通過電子轉(zhuǎn)帳方式，從CITYBANK銀行在紐約的計(jì)算機(jī)主機(jī)里竊取1100萬美元。

　　1996年8月17日，美國(guó)司法部的網(wǎng)絡(luò)服務(wù)器遭到黑客入侵，并將“ 美國(guó)司法部” 的主頁改為“ 美國(guó)不公正部” ，將司法部部長(zhǎng)的照片換成了阿道夫?希特勒，將司法部徽章?lián)Q成了納粹黨徽，并加上一幅色情女郎的圖片作為所謂司法部部長(zhǎng)的助手。此外還留下了很多攻擊美國(guó)司法政策的文字。

　　1996年9月18日，黑客又光顧美國(guó)中央情報(bào)局的網(wǎng)絡(luò)服務(wù)器，將其主頁由“中央情報(bào)局” 改為“ 中央愚蠢局” 。

　　1996年12月29日，黑客侵入美國(guó)空軍的全球網(wǎng)網(wǎng)址并將其主頁肆意改動(dòng)，其中有關(guān)空軍介紹、新聞發(fā)布等內(nèi)容被替換成一段簡(jiǎn)短的黃色錄象，且聲稱美國(guó)政府所說的一切都是謊言。迫使美國(guó)國(guó)防部一度關(guān)閉了其他80多個(gè)軍方網(wǎng)址。

　　4 .3.國(guó)內(nèi)

　　1996年2月，剛開通不久的Chinanet受到攻擊，且攻擊得逞。

　　1997年初，北京某ISP被黑客成功侵入，并在清華大學(xué)“ 水木清華” BBS站的“ 黑客與解密” 討論區(qū)張貼有關(guān)如何免費(fèi)通過該ISP進(jìn)入Internet的文章。

　　1997年4月23日，美國(guó)德克薩斯州內(nèi)查德遜地區(qū)西南貝爾互聯(lián)網(wǎng)絡(luò)公司的某個(gè)PPP用戶侵入中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心的服務(wù)器，破譯該系統(tǒng)的shutdown帳戶，把中國(guó)互聯(lián)網(wǎng)信息中心的主頁換成了一個(gè)笑嘻嘻的骷髏頭。

　　1996年初CHINANET受到某高校的一個(gè)研究生的攻擊；96年秋，北京某ISP和它的用戶發(fā)生了一些矛盾，此用戶便攻擊該ISP的服務(wù)器，致使服務(wù)中斷了數(shù)小時(shí)。

5.網(wǎng)絡(luò)安全類型

　　運(yùn)行系統(tǒng)安全，即保證信息處理和傳輸系統(tǒng)的安全。它側(cè)重于保證系統(tǒng)正常運(yùn)行，避免因?yàn)橄到y(tǒng)的崩潰和損壞而對(duì)系統(tǒng)存貯、處理和傳輸?shù)男畔⒃斐善茐暮蛽p失，避免由于電磁泄漏，產(chǎn)生信息泄露，干擾他人，受他人干擾。

　　網(wǎng)絡(luò)上系統(tǒng)信息的安全。包括用戶口令鑒別，用戶存取權(quán)限控制，數(shù)據(jù)存取權(quán)限、方式控制，安全審計(jì)，安全問題跟蹤，計(jì)算機(jī)病毒防治，數(shù)據(jù)加密。

　　網(wǎng)絡(luò)上信息傳播安全，即信息傳播后果的安全。包括信息過濾等。它側(cè)重于防止和控制非法、有害的信息進(jìn)行傳播后的后果。避免公用網(wǎng)絡(luò)上大量自由傳輸?shù)男畔⑹Э亍?

　　網(wǎng)絡(luò)上信息內(nèi)容的安全。它側(cè)重于保護(hù)信息的保密性、真實(shí)性和完整性。避免攻擊者利用系統(tǒng)的安全漏洞進(jìn)行竊聽、冒充、詐騙等有損于合法用戶的行為。本質(zhì)上是保護(hù)用戶的利益和隱私。

6.網(wǎng)絡(luò)安全特征

　　網(wǎng)絡(luò)安全應(yīng)具有以下四個(gè)方面的特征：

　　保密性：信息不泄露給非授權(quán)用戶、實(shí)體或過程，或供其利用的特性。

　　完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。即信息在存儲(chǔ)或傳輸過程中保持不被修改、不被破壞和丟失的特性。

　　可用性：可被授權(quán)實(shí)體訪問并按需求使用的特性。即當(dāng)需要時(shí)能否存取所需的信息。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對(duì)可用性的攻擊；

　　可控性：對(duì)信息的傳播及內(nèi)容具有控制能力。

7.威脅網(wǎng)絡(luò)安全因素

　　自然災(zāi)害、意外事故；計(jì)算機(jī)犯罪；人為行為，比如使用不當(dāng)，安全意識(shí)差等；黑客” 行為：由于黑客的入侵或侵?jǐn)_，比如非法訪問、拒絕服務(wù)計(jì)算機(jī)病毒、非法連接等；內(nèi)部泄密；外部泄密；信息丟失；電子諜報(bào)，比如信息流量分析、信息竊取等；信息戰(zhàn)；網(wǎng)絡(luò)協(xié)議中的缺陷，例如TCP/IP協(xié)議的安全問題等等。

8.網(wǎng)絡(luò)安全的結(jié)構(gòu)層次

　　8.1 物理安全

　　自然災(zāi)害（如雷電、地震、火災(zāi)等），物理損壞（如硬盤損壞、設(shè)備使用壽命到期等），設(shè)備故障（如停電、電磁干擾等），意外事故。解決方案是：防護(hù)措施，安全制度，數(shù)據(jù)備份等。

　　電磁泄漏，信息泄漏，干擾他人，受他人干擾，乘機(jī)而入（如進(jìn)入安全進(jìn)程后半途離開），痕跡泄露（如口令密鑰等保管不善）。解決方案是：輻射防護(hù)，屏幕口令，隱藏銷毀等。

　　操作失誤（如刪除文件，格式化硬盤，線路拆除等），意外疏漏。解決方案是：狀態(tài)檢測(cè)，報(bào)警確認(rèn)，應(yīng)急恢復(fù)等。

　　計(jì)算機(jī)系統(tǒng)機(jī)房環(huán)境的安全。特點(diǎn)是：可控性強(qiáng)，損失也大。解決方案：加強(qiáng)機(jī)房管理，運(yùn)行管理，安全組織和人事管理。

　　8.2 安全控制

　　微機(jī)操作系統(tǒng)的安全控制。如用戶開機(jī)鍵入的口令（某些微機(jī)主板有“ 萬能口令” ），對(duì)文件的讀寫存取的控制（如Unix系統(tǒng)的文件屬性控制機(jī)制）。主要用于保護(hù)存貯在硬盤上的信息和數(shù)據(jù)。

　　網(wǎng)絡(luò)接口模塊的安全控制。在網(wǎng)絡(luò)環(huán)境下對(duì)來自其他機(jī)器的網(wǎng)絡(luò)通信進(jìn)程進(jìn)行安全控制。主要包括：身份認(rèn)證，客戶權(quán)限設(shè)置與判別，審計(jì)日志等。

　　網(wǎng)絡(luò)互聯(lián)設(shè)備的安全控制。對(duì)整個(gè)子網(wǎng)內(nèi)的所有主機(jī)的傳輸信息和運(yùn)行狀態(tài)進(jìn)行安全監(jiān)測(cè)和控制。主要通過網(wǎng)管軟件或路由器配置實(shí)現(xiàn)。

　　8.3 安全服務(wù)

　　對(duì)等實(shí)體認(rèn)證服務(wù)

　　訪問控制服務(wù)

　　數(shù)據(jù)保密服務(wù)

　　數(shù)據(jù)完整性服務(wù)

　　數(shù)據(jù)源點(diǎn)認(rèn)證服務(wù)

　　禁止否認(rèn)服務(wù)

　　8.4 安全機(jī)制

　　加密機(jī)制

　　數(shù)字簽名機(jī)制

　　訪問控制機(jī)制

　　數(shù)據(jù)完整性機(jī)制

　　認(rèn)證機(jī)制

　　信息流填充機(jī)制

　　路由控制機(jī)制

　　公證機(jī)制

9.網(wǎng)絡(luò)加密方式

　　鏈路加密方式

　　節(jié)點(diǎn)對(duì)節(jié)點(diǎn)加密方式

　　端對(duì)端加密方式

10.TCP/IP協(xié)議的安全問題

　　TCP/IP協(xié)議數(shù)據(jù)流采用明文傳輸。

　　源地址欺騙（Source address spoofing）或IP欺騙（IP spoofing）。

　　源路由選擇欺騙（Source Routing spoofing）。

　　路由選擇信息協(xié)議攻擊（RIP Attacks）。

　　鑒別攻擊（Authentication Attacks）。

　　TCP序列號(hào)欺騙（TCP Sequence number spoofing）。

　　TCP序列號(hào)轟炸攻擊（TCP SYN Flooding Attack），簡(jiǎn)稱SYN攻擊。

　　易欺騙性（Ease of spoofing）。

11.網(wǎng)絡(luò)安全工具

　　掃描器：是自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的程序，一個(gè)好的掃描器相當(dāng)于一千個(gè)口令的價(jià)值。

　　如何工作：TCP端口掃描器，選擇TCP/IP端口和服務(wù)(比如FTP)，并記錄目標(biāo)的回答，可收集關(guān)于目標(biāo)主機(jī)的有用信息(是否可匿名登錄，是否提供某種服務(wù))。掃描器告訴我們什么：能發(fā)現(xiàn)目標(biāo)主機(jī)的內(nèi)在弱點(diǎn)，這些弱點(diǎn)可能是破壞目標(biāo)主機(jī)的關(guān)鍵因素。系統(tǒng)管理員使用掃描器，將有助于加強(qiáng)系統(tǒng)的安全性。黑客使用它，對(duì)網(wǎng)絡(luò)的安全將不利。

　　掃描器的屬性：1、尋找一臺(tái)機(jī)器或一個(gè)網(wǎng)絡(luò)。2、一旦發(fā)現(xiàn)一臺(tái)機(jī)器，可以找出機(jī)器上正在運(yùn)行的服務(wù)。3、測(cè)試哪些服務(wù)具有漏洞。

　　目前流行的掃描器：1、NSS網(wǎng)絡(luò)安全掃描器，2、stroke超級(jí)優(yōu)化TCP端口檢測(cè)程序，可記錄指定機(jī)器的所有開放端口。3、SATAN安全管理員的網(wǎng)絡(luò)分析工具。4、JAKAL。5、XSCAN。

12.黑客常用的信息收集工具

　　信息收集是突破網(wǎng)絡(luò)系統(tǒng)的第一步。黑客可以使用下面幾種工具來收集所需信息：

　　SNMP協(xié)議，用來查閱非安全路由器的路由表，從而了解目標(biāo)機(jī)構(gòu)網(wǎng)絡(luò)拓?fù)涞膬?nèi)部細(xì)節(jié)。

　　TraceRoute程序，得出到達(dá)目標(biāo)主機(jī)所經(jīng)過的網(wǎng)絡(luò)數(shù)和路由器數(shù)。

　　Whois協(xié)議，它是一種信息服務(wù)，能夠提供有關(guān)所有DNS域和負(fù)責(zé)各個(gè)域的系統(tǒng)管理員數(shù)據(jù)。（不過這些數(shù)據(jù)常常是過時(shí)的）。

　　DNS服務(wù)器，可以訪問主機(jī)的IP地址表和它們對(duì)應(yīng)的主機(jī)名。

　　Finger協(xié)議，能夠提供特定主機(jī)上用戶們的詳細(xì)信息（注冊(cè)名、電話號(hào)碼、最后一次注冊(cè)的時(shí)間等）。

　　Ping實(shí)用程序，可以用來確定一個(gè)指定的主機(jī)的位置并確定其是否可達(dá)。把這個(gè)簡(jiǎn)單的工具用在掃描程序中，可以Ping網(wǎng)絡(luò)上每個(gè)可能的主機(jī)地址，從而可以構(gòu)造出實(shí)際駐留在網(wǎng)絡(luò)上的主機(jī)清單。

13. Internet 防火墻

通信詞典解釋