新编计算机网络教程——第10章.ppt

1 新编计算机网络教程新编计算机网络教程计算机精品教程2 Contents 第10章 计算机网络安全网络安全的重要性10.1网络安全技术研究的基本问题10.2网络安全策略的设计与实现10.3访问控制与设备安全10.4目录Contents防火墙技术10.5网络攻击与防卫10.6网络文件的备份与恢复10.7网络防病毒技术10.83 10.1 网络安全的重要性 计算机网络应用对经济、文化、教育、科学等领域有重要影响，同时也不可避免带来一些新的社会、道德与法律问题。Internet技术的发展促进电子商务技术的成熟，大量的商业信息与资金通过计算机网络在世界各地流通，这已经对世界经济发展产生了重要的影响。政府上网工程的实施使各级政府、部门之间利用网络进行课堂学习、查阅资料与提交作业。网络正在改变着人们的工作、生活与思维方式，对提高人们的生活质量产生重要的影响。发展网络技术已成为国民经济现代化建设的重要基础。计算机网络应用对社会发展有着正面作用，同时还必须注意到它所带来的负面影响。用户可以通过计算机网络快速地获取、传输与处理各种信息，涉及政治、经济、教育、科学与文化等领域。但是，计算机网络在给广大用户带来方便的同时，也必然会给个别不法分子带来可乘之机，通过网络非法获取重要的经济、政治、军事、科技情报，或是进行信息欺炸、破坏与网络攻击等犯罪活动。另外，也会出现涉及个人隐私的法律与道德问题，如利用网络发表不负责任或损害他人利益的信息等。计算机犯罪正在引起整个社会的普遍关注，而计算机网络是犯罪分子攻击的重点。计算机犯罪是一种高技术型犯罪，其隐蔽性对网络安全构成了很大的威胁。根据有关统计资料表明，计算机犯罪案件以每年超过100%的速度增长，网络被攻击的事件以每年10倍的速度增长。从1986年发现首例计算机病毒以来，20年间病毒数量正以几何级数增长，目前已经发现了超过10万种病毒。网络攻击者在世界各地寻找袭击网络的机会，他们的活动几乎到了无孔不入的地步，国防与金融网络成为计算机犯罪的主攻目标。目前，美国金融界由计算机犯罪造成的损失金额每年超过百亿美元。4 10.1 网络安全的重要性 黑客（Hacker）的出现是信息社会不容忽视的现象。黑客一般被认为是计算机狂热者的代名词，他们一般是对计算机有狂热爱好的学生。当麻省理工学院购买第一台计算机供学生使用时，这些学生通宵达旦地写程序与其他同学共享。后来，人们对黑客有了进一步的认识：黑客中的大部分人不伤害别人，但是也会做一些不应该做的事情；部分黑客不顾法律与道德的约束，由于寻求刺激、被非法组织收买或对某个企业、组织报复心理，而肆意攻击与破坏一些企业、组织的计算机网络，这部分黑客对网络安全有很大的危害。研究黑客行为与防止攻击是网络安全研究的一个重要内容。Internet的广泛应用开始影响企业内部网的开发模式，用户希望在任何地方都可以方便地访问企业内部网中的任何计算机。在个人计算机中漫游Internet世界给普通用户带来无穷的乐趣，但是将信息系统连入Internet对企业是一场噩梦。由于大多数企业都有一些重要的资料，如市场策略、客户名单、财务资料、产品开发计划等，泄漏这些经济情报对企业来说是致命的危险。如果某个企业内部网中的计算机遭到攻击，轻者会造成信息丢失或错误，重者会造成信息系统瘫痪，将会给企业造成严重的经济损失。电子商务的兴起对网站的安全性要求越来越高。2001年初，在美国的著名网站被袭事件中，Yahoo、Amazon、eBay、CNN等重要网站接连遭到黑客攻击，这些网站被迫中断服务达数小时，据估算造成的损失高达12亿美元。网站被袭事件使人们对网络安全的信心受到重创。以瘫痪网络为目标的袭击破坏性大、造成危害速度快、影响范围广，而且更难于防范与追查。袭击者本身所冒的风险却非常小，甚至在袭击开始前就消失得无影无踪，使被袭击者没有实施追踪的可能。目前，个人、企业或政府的计算机网络都受到黑客威胁，大至国家机密、商业秘密，小到个人隐私，都随时可能被黑客发现、利用与泄露。5 10.1 网络安全的重要性 计算机网络安全涉及一个系统的概念，它包括技术、管理与法制环境等多方面。只有不断健全有关网络与信息安全的法律、法规，提高网络管理人员的素质、法律意识与技术水平，提高用户自觉遵守网络使用规则的自觉性，提高网络与信息系统安全防护的技术水平，才可能不断改善网络与信息系统的安全状况。人类社会靠道德与法律来维系。计算机网络与Internet的安全也需要保证，必须加强网络使用方法、网络安全与道德教育，研究与开发各种网络安全技术与产品，同样要重视“网络社会”中的“道德”与“法律”，这对于人类来说是一个新的研究课题。目前，网络安全问题已成为信息化社会的焦点问题。每个国家只能立足于本国，研究自己的网络安全技术，培养自己的专门人才，发展自己的网络安全产业，才能构筑本国的网络与信息安全防范体系。因此，我国的网络与信息安全技术的自主研究与产业发展，是关系到国计民生与国家安全的关键问题。研究网络安全技术与学习网络安全知识，也是计算机网络课程的一项重要内容。6 Contents 第10章 计算机网络安全网络安全的重要性10.1网络安全技术研究的基本问题10.2网络安全策略的设计与实现10.3访问控制与设备安全10.4目录Contents防火墙技术10.5网络攻击与防卫10.6网络文件的备份与恢复10.7网络防病毒技术10.87 10.2 网络安全技术研究的基本问题 网络中的各个环节所暴露出的脆弱点导致了网络安全受到极大的威胁，这些脆弱点可能包括以下的内容：l通信设备：大多数网络通信设备都有可能存在安全隐患，例如各种设备的损坏，包括信号设备，网络设备和服务器等，从而造成网络不能正常工作。l网络传输介质：用于连接网络的双绞线、同轴电缆、电线或其他通信介质很容易受到毁坏、破坏和攻击。l网络连接：远程访问系统的好处在于网络管理员可以方便地从远端控制设备，但也正是由于远程访问系统，使得网络安全遭受巨大的威胁，而调制解调器和拨号连接方式可能就是最大的脆弱点。l网络操作系统：网络操作系统通过访问控制、授权和选择性控制特性帮助维护系统安全，但网络操作系统设计上的漏洞也是网络安全的脆弱点。l病毒攻击：病毒是影响网络系统最重要的因素之一，由于网络系统中的各种设备都是相互连接的，如果某一个设备（如服务器）受到了病毒的攻击，它就可能影响到整个网络。l物理安全：网络中包括了各种复杂的硬件、软件和专用的通信设备，而对于物理上的安全问题而言，有时候，即便是很小的问题都有可能导致灾难性的后果。因此，保护计算机系统各种设备的物理安全也是极其重要的。二.计算机网络的形成10.2.1 网络安全的脆弱点8 10.2 网络安全技术研究的基本问题 计算机网络是为了将单独的计算机互连起来，提供一个可以将资源或信息共享的通信环境。网络安全技术就是通过解决网络安全存在的问题，以保护信息在网络环境中存储、处理与传输的安全。网络安全技术首先要研究威胁网络安全的主要因素，大致可以归纳为以下6个方面的问题。二.计算机网络的形成10.2.2 威胁网络安全的主要因素1网络防攻击问题 为保证运行在网络环境中的信息系统安全，首要问题就是保证网络自身能正常工作。首先要解决的问题是如何防止网络被攻击。Internet中的网络攻击可以分为两种类型：服务攻击与非服务攻击。服务攻击是指对网络中提供某种服务的服务器发起攻击，造成该网络的拒绝服务与网络工作不正常。例如，攻击者可能针对一个网站的WWW服务，他会设法使该网站的WWW服务器瘫痪或修改主页，使得该网站的WWW服务失效或不能正常工作。非服务攻击是指对网络通信设备（如路由器、交换机）发起攻击，使得网络通信设备的工作严重阻塞或瘫痪，这样就会造成小到一个局域网，大到一个或几个子网不能正常工作。网络安全研究人员都懂得：知道自己被攻击就赢了一半。网络安全防护的关键是如何检测到网络被攻击，检测到网络被攻击后采取怎样的处理办法，将网络被攻击产生的损失控制到最小。因此，研究网络可能遭到哪些人的攻击，攻击类型与手段可能有哪些，如何及时检测并报告网络被攻击，以及相应的网络安全策略与防护体系。这些问题既是网络安全技术研究的主要内容，也是当前网络安全技术研究的热点问题。9 10.2 网络安全技术研究的基本问题2网络安全漏洞与对策问题 计算机网络系统的运行一定会涉及到：计算机硬件与操作系统、网络硬件与软件、数据库管理系统、应用软件，以及网络通信协议等。各种计算机硬件与操作系统、应用软件都会存在一定的安全问题，它们不可能是百分之百无缺陷或无漏洞的。UNIX是Internet中应用最广泛的网络操作系统，但是在不同版本的UNIX操作系统中，或多或少都会找到能被攻击者利用的漏洞。TCP/IP协议是Internet使用的基本协议，该协议中也会找到被攻击者利用的漏洞。用户开发的各种应用软件可能会出现更多能被攻击者利用的漏洞。这些问题的存在是不足为奇的，因为很多软件与硬件中的问题，在研制与产品测试中大部分会被发现与解决，但是总会遗留下一些问题。这些问题只能在使用过程中不断被发现。这是非常自然的事，否则技术就无法进步。不过需要注意的是：网络攻击者在寻找这些安全漏洞，并将这些漏洞作为攻击网络的首选目标。这就要求网络安全研究人员与网络管理人员也必须主动地了解计算机硬件与操作系统、网络硬件与软件、数据库管理系统、应用软件，以及网络通信协议可能存在的安全问题，利用各种软件与测试工具检测网络可能存在的各种安全漏洞，并及时提出解决方案与对策。10 10.2 网络安全技术研究的基本问题Internet分组非法结点（a）截获信息Internet分组（b）窃听信息非法结点Internet分组分组非法结点（c）篡改信息Internet分组非法结点（d）伪造信息图10-1 信息在网络传输中被攻击的类型3网络中信息的安全保密问题 网络中的信息安全保密主要包括两个方面：信息存储安全与信息传输安全。信息存储安全是指保证存储在联网计算机中的信息不被未授权的网络用户非法访问。信息存储安全一般由网络操作系统、数据库管理系统、应用软件与防火墙共同完成，通常有用户口令、用户访问权限、身份认证、数据加密与结点地址过滤等方法。信息传输安全是指保证信息在网络传输过程中不被泄露或攻击。信息在网络传输中被攻击可以分为4种类型：截获信息、窃听信息、篡改信息与伪造信息。图10-1给出了信息在网络传输中被攻击的类型。其中，截获信息是指信息从源结点发出后被攻击者非法截获，而目的结点没有接收到该信息的情况；窃听信息是指信息从源结点发出后被攻击者非法窃听，同时目的结点接收到该信息的情况；篡改信息是指信息从源结点发出后被攻击者非法截获，并将经过修改的信息发送给目的结点的情况；伪造信息是指源结点并没有信息发送给目的结点，攻击者冒充源结点将信息发送给目的结点的情况。网络信息安全的主要技术是数据加密与解密算法。数据加密与解密算法是密码学研究的主要问题。11 10.2 网络安全技术研究的基本问题4网络内部安全防范问题 除了上述可能对网络安全构成威胁的因素，还有一些威胁主要是来自网络内部。首先，如何防止源结点用户发送信息后不承认，或是目的结点接收信息后不承认，即出现抵赖问题。“防抵赖”是网络对信息传输安全保障的重要内容之一。如何防抵赖也是电子商务应用必须解决的重要问题。网络安全技术需要通过身份认证、数字签名、第三方认证等方法，来确保信息传输的合法性与防止出现抵赖现象。其次，如何防止合法用户有意或无意做出对网络、信息安全有害的行为，这些行为主要包括：有意或无意泄露网络管理员或用户口令；违反网络安全规定，绕过防火墙私自与外部网络连接，造成系统安全漏洞；超越权限查看、修改与删除系统文件、应用程序与数据；超越权限修改网络系统配置，造成网络工作不正常；私自将带有病毒的磁盘等拿到企业网络中使用。这类问题经常出现并且危害性极大。解决网络内部的不安全因素必须从技术与管理两方面入手：通过网络管理软件随时监控网络与用户工作状态；对重要资源（如主机、数据库、磁盘等）的使用状态进行记录与审计。同时，制定和不断完善网络使用和管理制度，加强用户培训和管理。12 10.2 网络安全技术研究的基本问题5网络防病毒问题 病毒对计算机系统和网络安全造成了极大的威胁，通常病毒在发作时会破坏数据，使软件的工作不正常或瘫痪，有些病毒的破坏性更大，它们甚至能破坏硬件系统。随着网络的使用，病毒传播的速度更快，范围更广，造成的损失也更加严重。据统计，目前70%的病毒发生在网络中。联网计算机的病毒传播速度是单机的20倍，网络服务器杀毒花费的时间是单机的40倍。有些网络病毒甚至会破坏系统硬件。有些网络设计人员在目录结构、用户组织、数据安全性、备份与恢复方法，以及系统容错技术上采取严格的措施，但是没有重视网络防病毒问题。也许有一天，某个用户从家里带来一个已染上病毒的移动磁盘，没有遵守网络使用制度在办公室的计算机中打开磁盘，网络很可能会在这以后的某个时刻瘫痪。网络防病毒需要从防病毒技术与用户管理者两方面着手解决。13 10.2 网络安全技术研究的基本问题6网络数据备份与恢复问题 在实际的网络运行环境中，数据备份与恢复功能是非常重要的。网络安全可以从预防、检查、反应等方面着手，以便减少网络信息系统的不安全因素，但要完全保证不出现网络安全问题是不可能的。如果出现网络故障造成数据丢失，数据能不能恢复是个很重要的问题。网络系统的硬件与软件都可以用钱买来。数据是多年积累的结果并且可能价值连城，因此它可以说是一个企业的生命。如果数据丢失并且不能恢复，就可能会给企业与客户造成不可挽回的损失。国外已出现过企业网络系统遭到破坏时，由于网络管理员没有保存足够的备份数据而无法恢复，造成无可挽回的损失并导致企业破产。因此，一个实用的网络信息系统设计中必须考虑数据备份与恢复手段，这也是网络安全研究的一个重要内容。14 10.2 网络安全技术研究的基本问题 网络安全包括3个方面的内容：安全攻击（Security Attack）、安全机制（Security Mechanism）与安全服务（Security Service）。其中，安全攻击是指有损于网络信息安全的操作；安全机制是指用于检测、预防或从安全攻击中恢复的机制；安全服务是指提高网络系统中的信息传输安全性的服务。网络安全服务应提供以下几种基本服务功能：二.计算机网络的形成10.2.3 网络安全服务的主要内容1保密性（Confidentiality）保密性是计算机网络安全的一个重要方面，它在于防止用户非法获取关键的敏感信息，避免机密信息的泄露。目前，政府和军事部门纷纷上网，电子商务得到日益广泛的应用，人们越来越多地通过网络传输数据来完成网络操作，因此，网络上传输的数据的机密性和敏感性也变得越来越强，如果非法用户盗取或篡改数据，将造成不可估量的损失。因此，必须保证重要数据的机密性，以避免被非法地访问。加密是保护数据的一种重要方法，也是保护存储在系统中的数据的一种有效手段，人们通常采用加密来保证数据的保密性。15 10.2 网络安全技术研究的基本问题2认证（Authentication）认证服务是指对网络中信息的源结点与目的结点的身份进行确认，以防止出现假冒、伪装成合法用户的现象。网络中的两个用户开始通信时，首先要确认对方是否合法用户，还要保证不会有第三方在通信过程中干扰与攻击信息交换的过程，以保证网络中信息传输的安全性。3数据完整性（Data Integrity）完整性技术是保护计算机系统内软件和数据不被非法删改的一种技术手段，它包括软件完整性和数据完整性。（1）软件完整性 软件是计算机系统的重要组成部分，它能完成各种不同复杂程度的系统功能，软件的优点是编程人员在开发或应用过程中可以随时对它进行更改，以使系统具有新的功能，但这种优点给系统的可靠性带来了严重的威胁。在开发应用环境下，对软件的无意或恶意修改已经成为对计算机系统安全的一种严重威胁。虽然目前人们把对计算机系统的讨论与研究都集中在信息的非法泄露上，但是在许多应用中，软件设计或源代码的泄露使系统面临着更大的威胁。非法的程序员可以对软件进行修改，有时候这种修改是无法检测到的，例如，攻击者将特洛伊木马程序引入系统软件，在系统软件中为自己设置一个后门，导致机密信息的非法泄露；另外，非法的程序员还可以将一段病毒程序附加到软件中，一旦病毒感染系统，将会给系统带来严重的损失，甚至会对系统造成恶意的破坏，导致系统完全瘫痪，比如臭名昭著的CIH病毒。因此，软件产品的完整性问题对计算机系统安全的影响越来越重要。通常，人们应该选择值得信任的系统或软件设计者，同时还要有相应的软件测试工具来检查软件的完整性，以保证软件的可靠性。16 10.2 网络安全技术研究的基本问题5访问控制（Access Control）访问控制服务是指控制与限定网络用户对主机、应用与服务的访问。如果攻击者要攻击某个网络，首先要欺骗或绕过网络访问控制机制。常用的访问控制服务是通过身份认证与访问权限来确定用户身份的合法性，以及对主机、应用或服务类型的合法性。更高安全级别的访问控制服务可以通过一次性口令、智能卡，以及个人特殊性标志（如指纹、视网膜或声音）等方法提高身份认证的可靠性。4防抵赖（Nonrepudiation）防抵赖服务是指保证源结点与目的结点不能否认自己收/发过信息。如果出现源结点对发送信息的过程予以否认，或目的结点对已接收的信息予以否认的情况，防抵赖服务可以提供记录说明否认方的问题。防抵赖服务对电子商务活动有重要的意义。（2）数据完整性 数据完整性是指存储在计算机系统中的或在系统之间传输的数据不受非法删改或意外事件的破坏，以保持数据整体的完整。通常，可能造成数据完整性被破坏的原因有：系统的误操作、应用程序的错误、存储介质的损坏和人为的破坏等。17 10.2 网络安全技术研究的基本问题二.计算机网络的形成10.2.4 网络安全标准1我国主要的网络安全标准 保证网络安全只依靠技术是远远不够的，还必须依靠政府、立法机构制定与完善法律、法规来制约。目前，我国与世界各国都很重视计算机、网络与信息安全的立法问题。从1987年开始，我国政府就相继制定与颁布了一系列行政法规，它们主要包括：电子计算机系统安全规范（1987年10月）、计算机软件保护条例（1991年5月）、计算机软件著作权登记办法（1992年4月）、中华人民共和国计算机信息与系统安全保护条例（1994年2月）、计算机信息系统保密管理暂行规定（1998年2月）、全国人民代表大会常务委员会通过的关于维护互联网安全决定（2000年12月）等。国外关于网络与信息安全技术与法规的研究起步较早，比较重要的组织有美国国家标准与技术协会（NIST）、美国国家安全局（NSA）、美国国防部（ARPA），以及很多国家与国际性组织（如IEEE-CS安全与政策工作组、故障处理与安全论坛等）。它们的工作重点各有侧重，主要集中在计算机、网络与信息系统的安全政策、标准、安全工具、防火墙、网络防攻击技术，以及计 算机与网络紧急情况处理与援助等方面。用于评估计算机、网络与信息系统安全性的标准已有多个，最先颁布并比较有影响的是美国国防部的黄皮书（可信计算机系统TC-SEC-NCSC）评估准则。欧洲信息安全评估标准（ITSEC）最初是用来协调法国、德国、英国、荷兰等国的指导标准，目前已经被欧洲各国所接受。18 10.2 网络安全技术研究的基本问题2安全级别的分类 TC-SEC-NCSC将计算机系统安全等级分为4类7个等级，即D、C1、C2、B1、B2、B3与A1。其中，D级系统的安全要求最低，A1级系统的安全要求最高。（1）D类系统D类系统的安全要求最低，属于非安全保护类，不能用于多用户环境下的重要信息处理。D类系统只有一个级别。（2）C类系统 C类系统是用户能定义访问控制要求的自主型保护类，它可以分为两个等级：C1与C2级。其中，C1级系统具有一定的自主型访问控制机制，它只要求用户与数据应该分离。C2级系统要求用户定义访问控制，通过注册认证、用户启动系统、打开文件的权限检查，防止非法用户与越权访问信息资源的安全保护。（3）B类系统 B类系统属于强制型安全保护类，用户不能分配权限，只有网络管理员可以为用户分配访问权限。B类系统分为三个级别：B1、B2与B3。B1级系统要求能满足强制型保护类，它要求系统的安全模型符合标准，对保密数据打印需要经过认定，系统管理员的权限要很明确。B2级系统对安全性的要求更高，它属于结构保护（Structure Protection）级。B3级系统又称为安全域（Security Domain）级系统，它要求用户工作站或终端通过可信任途径连接到网络系统，如通过内存管理硬件去限制非授权用户对文件系统的访问。（4）A类系统 A1级系统要求提供的安全服务功能与B3级系统基本一致。A1级系统在安全审计、安全测试、配置管理等方面提出更高的要求。A1级系统在系统安全模型设计与软、硬件实现上要通过认证，要求达到更高的安全可信度。19 Contents 第10章 计算机网络安全网络安全的重要性10.1网络安全技术研究的基本问题10.2网络安全策略的设计与实现10.3访问控制与设备安全10.4目录Contents防火墙技术10.5网络攻击与防卫10.6网络文件的备份与恢复10.7网络防病毒技术10.820 10.3 网络安全策略的设计与实现 网络安全策略应该包括：保护网络中的哪些资源？如何保护这些资源？谁负责执行保护任务？出现问题如何处理？设计网络安全策略需要了解网络结构、资源、用户与管理体制。例如，在将企业内部网通过防火墙接入Internet时，首先需要确定以下几个问题：哪些网络资源与服务可以提供给外部用户访问？内部用户有哪些访问外部网络资源与服务的要求？哪些资源需要重点保护？可以采取什么方法进行保护？发现网络攻击时该如何处理？二.计算机网络的形成10.3.1 网络安全策略的设计1网络安全策略与网络用户的关系 网络安全策略包括技术与制度两个方面，还要制定网络用户应遵守的使用制度与方法。只有将二者结合起来，才能有效保护网络资源不受破坏。如果企业内部网在连入Internet前已开始使用，并且用户已经习惯一种无限制的使用方法。网络安全策略必然要对某些网络访问采取限制，用户在开始时可能很不适应。在制定网络安全策略时要注意限制的范围，首先要保证用户能有效完成各自的任务，而不能造成网络使用价值的下降。同时，也不要引发用户设法绕过网络安全系统，钻网络安全策略空子的现象。网络安全策略应该解决网络使用与网络安全的矛盾，使网络管理员与网络用户都乐于接受与执行。21 10.3 网络安全策略的设计与实现2制定网络安全策略的两种思想 制定网络安全策略时有两种思想：凡是没有明确表示允许的就要禁止；凡是没有明确表示禁止的就要允许。按照第一种方法制定网络安全策略时，如果决定某台机器可以提供匿名FTP服务，则可以理解为除匿名FTP服务外的所有服务都禁止。按照第二种方法制定网络安全策略，如果决定某台机器可以提供匿名FTP服务，则可以理解为除匿名FTP服务外的所有服务都允许。这两种思想方法所导致的结果是不相同的。网络服务类型很多并且不断有新的服务出现，第一种方法的网络安全策略只规定允许用户做什么；第二种方法的网络安全策略只规定不允许用户做什么。当有一种新的网络服务出现时，如果采用第一种方法制定网络安全策略，允许用户使用就需要在安全策略中明确表述；如果采用第二种方法制定网络安全策略，不明确表示禁止就意味着允许用户使用。需要注意的是：通常采用第一种方法制定网络安全策略，明确地限定用户在网络中的权限与能使用的服务。这符合规定用户在网络访问的“最小权限”的原则，即给予用户完成自己工作所必需的访问权限，这样更便于有效进行网络管理。22 10.3 网络安全策略的设计与实现3网络结构与网络安全策略的关系 初期的网络管理主要是针对比较简单的网络结构而提出的。Intranet的安全问题来自外部与内部两个方面。Intranet内部用户的管理方法与传统企业内部网相同，而外部网络用户的情况变得很复杂。由于多个网点之间存在相互访问的必要，这就带来内部用户与外部用户的管理问题。网点间网络安全策略协调的目的是：既要保护各个网络信息系统自身的资源，又不影响内部用户与外部用户对网络资源的合法使用。因此，在设计网络安全策略时，必须解决网点之间的网络安全策略的协调问题。4网络结构与网络安全策略的关系 网络安全应该从两个方面加以解决：要求网络管理员与用户都严格遵守网络管理规定；从技术（特别是防火墙技术）上对网络资源进行保护。但是，如果网络管理员与用户不能严格遵守网络管理规定，即使有再好的防火墙技术也无济于事。因此，必须正确解决好网络安全教育与网络安全制度之间的关系，切实做好网络管理员与用户的正确管理与使用网络的培训，从正面加强网络安全方面的教育。23 10.3 网络安全策略的设计与实现5网络安全策略的完善与网络安全制度的发布 Intranet中的信息资源、网络结构、网络服务与网络用户都在不断变化，网络安全策略与安全制度也应随情况的变化而变化，因此谁有权修改与发布网络安全策略与安全制度是个重要问题。Intranet网点通常会有一个网管中心，负责对日常的网络管理、网络安全策略与使用制度进行修改与发布。当某个网点的网络安全策略的修改涉及其他网点时，两个网点的网管中心之间应该通过协商解决。网管中心应定期或不定期发布网点的网络安全策略、网络资源、网络服务与使用制度的变化情况。24 10.3 网络安全策略的设计与实现 制定网络安全策略需要研究造成信息丢失、系统损坏的各种可能，并提出对网络资源与系统保护方法的过程。制定网络安全策略实际是要回答以下问题：打算保护哪些网络资源？哪类网络资源可以被哪些用户使用？哪些人可能对网络构成威胁？如何可靠、及时地保护重要资源？谁负责调整网络安全策略？因此，制定网络安全策略首先要完成以下任务：二.计算机网络的形成10.3.2 网络安全策略的制定方法1网络资源的定义 在制定网络安全策略的过程中，首先要从安全性的角度定义所有网络资源存在的风险。RFC1244列出了以下需要定义的网络资源：（1）硬件：处理器、主板、键盘、终端、工作站、个人计算机、打印机、磁盘、通信数据、终端服务器与路由器。（2）软件：操作系统、通信程序、诊断程序、应用程序与网管软件。（3）数据：在线存储的数据、离线文档、执行过程中的数据、网络中传输的数据、备份数据、数据库、用户登录信息。（4）用户：普通网络用户、网络操作员、网络管理员。（5）支持设备：磁带机与磁带、软盘、光驱与光盘。25 10.3 网络安全策略的设计与实现2网络使用与责任的定义 网络安全策略的制定涉及两方面的内容：网络使用与管理制度；网络防火墙的设计原则。在确定谁可以使用网络资源之前，首先需要进行以下两项工作：确定用户类型，如校园网用户分为网络管理员、教师、学生与外部用户；确定哪类用户对哪些资源可以使用及如何使用，如只读、读写、更名、复制、删除与打印等权限。网络使用制度应明确规定用户对某类资源是否允许使用，如果允许使用还要限定可以进行哪类操作。从严格控制网络安全的角度来看，用户只能享有那些明确规定有权使用的资源，用户不能享有那些不是明确规定有权使用的资源。也就是说，我们应该规定用户能做什么，而不应该规定用户不能做什么。任何超出用户权限与绕过网络安全系统的行为都不允许。因此，网络使用制度在制定中要注意以下几个问题：用户账户是否有可能被破坏？用户密码是否有可能被破译？是否允许用户共享账户？如果授权多个用户都能访问某类资源，实际上用户是否真能获得这种权利？网络服务是否会出现混乱？另外，在定义谁可以使用网络资源的同时，还需要回答以下几个问题：谁可以授权分配用户的访问权限？谁来管理与控制用户的访问权限？采取什么方法去创建与终止用户账户？如果一个网点很大并且各个子网是分散的，则必须为每个子网分别规定用户权限，并且由各个子网的网络管理员来控制。为了协调各个子网之间的相互关系，就需要在网点设立一个更高层的网络管理机构，以分散与集中相结合的方式实现对用户访问网络资源的管理。网络管理员将对网络有特殊的访问权限，而普通网络用户必须限定访问权限。限定用户访问权限的原则是：平衡工作需求与网络安全的矛盾，在能满足用户基本工作要求的前提下，只授予普通用户最小的访问权限。26 10.3 网络安全策略的设计与实现3用户责任的定义 制定网络安全策略的另一项重要内容是：定义用户对网络资源与服务的责任。用户责任保证用户能使用规定的网络资源与网络服务。攻击者入侵网络的第一关要通过用户身份认证系统。所有认证系统的核心是检查用户标识与口令。用户标识通常是指用户名（User Name），它可以是用户名的全称、缩写或其他代码。用户口令（Password）又称为用户密码，它是除用户本人外其他人很难猜测到的代码序列。攻击者入侵网络常用的方法是猜测用户口令，或利用“Password系统”来分析用户口令。因此，保护用户口令对保证网络系统的安全是至关重要的问题。保护用户口令需要注意两个问题：一是选择口令；二是保证口令不被泄露，并且不容易被破译。选择口令时应避免使用容易被猜测的字符或数字序列，如自己与亲人的名字、生日、身份证号码、电话号码等。用户在实际工作中要注意以下几点：不要把口令写出来；不要在别人注视下输入口令；不重复使用一个口令；要经常修改口令；如果怀疑口令泄露，则应立即改变口令；不要告诉任何人口令。一些网络操作系统中规定了用户对口令保护的措施，如用户口令的最小长度、更换的频率、不能重复使用一个口令等。用户责任主要包括以下几个内容：用户使用允许使用的网络资源与服务，不采用不正当手段使用不应使用的网络资源；用户了解不经允许让其他用户使用自己账户后，可能造成的危害与应承担的责任；用户了解告诉他人账户、密码或无意泄漏密码后，可能造成的后果与用户要承担的责任；用户了解为什么需要定期或不定期更换密码；明确是由用户自己负责备份用户数据，还是由网络管理员统一进行用户数据备份；用户必须明白泄露信息可能危及网络系统安全，自觉遵守网络使用方法与应注意的问题。27 10.3 网络安全策略的设计与实现4网络管理员责任的定义 网络管理员对网络安全负有最重要的责任。网络管理员是非常重要与特殊的用户。建立网络后应立即为网络管理员设置口令，由网络管理员规划安全机制并为用户设置口令，并规定网络用户对网络资源与服务的访问权限。大型网络系统的网络管理员应该是专职的，并且要求有两名或两名以上。网络管理员应受过计算机与网络方面专业技术培训，需要对网络结构、网络资源、用户类型与权限，以及网络安全检测方法有很多的知识。网络管理员应对所管网络系统的硬件与软件非常了解，否则将不可能胜任该项工作。网络管理员应该注意以下几个方面的问题：（1）对网络管理员的口令严格保密 网络管理员对网络文件系统、用户管理系统与安全系统的建立有特殊权力。网络管理员可以设置与修改网络硬件与软件系统，可以创建、修改、删除文件系统中的所有文件。因此，网络管理员口令泄露会对网络安全构成极其严重的威胁。（2）对网络系统运行状态随时进行严格监控 网络管理员必须利用各种网络运行状态监测软件与设备，对网络系统运行状态进行监视、记录与处理。网络管理员在完成日常网络系统维护任务的同时，还需要密切注意以下问题：对网络设备、通信线路与电源供电系统状态进行监控；对网络系统软件的运行状态进行监控；对网络服务器与关键设备等的状态运行监测，如CPU利用率、磁盘空间利用率、通信流量变化的监控；对网络文件系统的完整性进行监控；对网络用户、用户组与用户账号的安全情况进行监控；对网络文件备份的执行情况欲备份文件的安全性进行检查。28 10.3 网络安全策略的设计与实现（3）对网络系统安全状况进行严格的监控 网络安全是所有网络管理员都必须高度重视的问题。在执行正常的网络管理任务的同时，网络管理员还要注意以下问题：从实际工作与专业资料中，了解网络系统的系统软件、应用软件、硬件中可能存在的安全漏洞，并及时研究安全防范与补救措施。了解其他网络系统中出现的各种安全事件，研究攻击者可能采取的攻击方法，结合自身系统完善安全防范措施。总结与不断完善本系统的网络安全策略，检查与公布安全策略的执行情况，提高用户的安全防范意识。监视网络关键设备（如服务器、路由器、交换机）、网络文件系统与各种网络服务的工作状态，发现疑点问题与不安全因素立即处理。对网络防病毒系统不断进行版本更新，以保证防病毒机制的有效性。29 10.3 网络安全策略的设计与实现 网络安全策略需要在网络使用与网络安全之间寻求折中方案。网络安全要依靠网络使用与网络安全技术相结合来实现。如果网络管理制度的限制不合理，就导致网络使用价值的降低；如果网络管理制度制定得不严格，就会导致网络安全容易受到威胁。网络管理员要随时监视网络的运行情况与安全状况，发现网络安全受到威胁时要采取紧急措施，按网络安全策略中的行动方案对网络进行保护。二.计算机网络的形成10.3.3 网络安全受威胁时的行动方案1网络安全威胁的类型 在网络安全遇到威胁时采取怎样的反应，主要是取决于这种威胁的性质与类型。网络安全威胁的类型主要有以下几种：由于疏忽而造成的威胁；由于偶然的操作错误而造成的威胁；由于对网络安全制度无知而造成的威胁；由于有人故意破坏而造成的威胁。威胁网络安全的用户可能是内部用户或外部用户。内部用户既可能对本地网络安全造成危害，也可能对外部网络安全造成危害。第一种情况是内部用户违反网络安全制度，而对本地网络安全造成了破坏；第二种情况是内部用户违反外部网络的安全制度，而对外部网络的安全造成了危害。30 10.3 网络安全策略的设计与实现2网络安全受到威胁时的行动方案 网络安全受到威胁时的行动方案主要有以下几种：（1）保护方式 保护方式是指当发现网络安全受到威胁时，网络管理员应立即制止非法入侵活动，恢复网络的正常工作状态，分析这次入侵活动的性质与原因，尽量减少这次入侵活动造成的损害。如果不能马上恢复网络正常运行时，网络管理员应隔离发生故障的网段或关闭系统，以制止非法入侵活动进一步的发展，同时采取措施恢复网络正常工作。由于没有对入侵行为采取跟踪行动，攻击者可能采用同样手段再次入侵。保护方式适合于以下几种情况：入侵者的活动将要造成很大危险；跟踪入侵者活动的代价太大；从技术上跟踪入侵者的活动很难实现。（2）跟踪方式 跟踪方式是指当发现网络安全受到威胁时，网络管理员并不立即制止入侵者的活动，而是采取措施跟踪入侵者的活动，检测入侵者的来源、目的、访问的网络资源，确定处理此类入侵者活动的方法。选择跟踪方式的前提是能确定入侵活动的性质与危害，具有跟踪入侵活动的软件与能力，并且能控制这类入侵活动的进一步发展。跟踪方式适合于以下几种情况：被攻击的网络资源目标明确；已经有多次访问某种网络资源的入侵者；已经找到可以控制入侵者的方法；入侵者的短期活动不至于立即对网络系统造成大的损害。31 10.3 网络安全策略的设计与实现主机1工作站1拨号线路Modem路由器1路由器2局域网1局域网2工作站2工作站3主机2Modem访问点1访问点2图10-2 网络访问点的例子二.计算机网络的形成10.3.4 网络安全问题的鉴别1访问点（Access Points）网络系统与外部用户的每个连接点都是一个访问点，同时也可能是入侵者进入网络系统的入口。图10-2给出了网络访问点的例子。这个网络系统由两个局域网组成，它们之间通过路由器2互连起来。网络系统的最初设计是有2个访问点，局域网1中的路由器1与局域网2中的主机2各是一个访问点。外部用户可以通过这两个访问点接入网络。在设计网络系统的网络安全策略时，会对两个访问点可能引起的问题提出各种对策，规定一系列用户使用方法与对资源访问的限制，并在这个结构基础上考虑防火墙的安装位置。但是，局域网1中的工作站1通过Modem对外提供FTP服务，并且规定工作站1提供只能下载的FTP服务。制定网络安全策略时应明令禁止用户私自与外部网络建立连接。32 10.3 网络安全策略的设计与实现2系统配置（System Configuration）如果入侵者想破坏网络系统并瘫痪网络，攻击的主