第1章 计算机网络安全概述

第1章 计算机网络安全概述

本章简要介绍了网络安全领域中的问题,讲解了网络系统安全的重要性及网络系统脆弱性的原因。同时,本章给出了网络安全的定义,介绍了信息系统安全的发展历程。本章的重点是培养读者的兴趣,使读者的学习有一个良好的开端。

图像说明文字 职业能力要求

  • 掌握网络安全行业的基本情况,了解网络安全行业的新技术;培养良好的职业道德。
  • 具有认真负责、严谨细致的工作态度和工作作风,具备良好的团队协作和沟通交流能力。
  • 具有良好的自学能力,对新技术有学习、研究精神,具有较强的动手操作能力。

图像说明文字 学习目标

  • 了解网络安全的重要性。
  • 掌握网络安全的定义。
  • 了解网络安全的发展历程。

 网络安全简介

1.1.1 网络安全的重要性

随着信息科技的迅速发展及计算机网络的普及,计算机网络深入到国家的政府、军事、

文教、金融、商业等诸多领域,可以说网络无处不在。资源共享和计算机网络安全一直作为一对矛盾体而存在着,计算机网络资源共享进一步加强,信息安全问题日益突出。

据中国互联网络信息中心(China Internet Network information Center,CINIC)最新发布的中国互联网络发展状况统计报告显示,截至2015年12月底,中国网民规模达到6.88亿,互联网普及率为50.3%。中国手机网民规模达6.20亿,占比由2014年的85.8%提升至90.1%,如图1-1所示。

Snap1

图1-1 中国网民数量统计

网民基数大,受到的威胁数量就不容小觑。单从病毒这一威胁来看,腾讯公司的互联网报告中统计出的2015年新增病毒样本就接近1.5亿个,图1-2所示为2012年到2015年新增病毒数量的统计图。病毒的总数量还是非常庞大的。各种计算机病毒和网上黑客对Internet的攻击越来越猛烈,网站遭受破坏的事例不胜枚举。

1-2

图1-2 新增加病毒统计(2012~2015年)

互联网在我国政治、经济、文化及社会生活中发挥着越来越重要的作用。作为国家关键基础设施和新的生产、生活工具,互联网的发展极大地促进了信息流通和共享,提高了社会生产效率和人民生活水平,促进了经济社会的发展。随着互联网的影响日益扩大、地位日益提升,维护网络安全工作的重要性日益突出。

网络系统出现故障会影响国计民生。1992年,美国联邦航空管理局的一条光缆被无意间挖断,所属的4个主要空中交通管制中心关闭35小时,成百上千航班被延误或取消。2008年3月,英国伦敦希斯罗机场第五航站楼的电子网络系统在启用当天就发生故障,致使五号航站楼陷入混乱。

2015年信息泄露是信息安全中影响最大的因素,其中数量最大的4起事件分别为:美国人事管理局2 700万政府雇员及申请人信息泄露;美国第二大医疗保险公司Anthem 8 000万客户及员工信息泄露;婚外恋网站Ashley Madison 3 700万用户信息泄露;意大利间谍软件公司Hacking Team被黑,包含多个零日漏洞、入侵工具和大量工作邮件及客户名单的400G数据被传到网上任意下载。这4起信息泄露事件的影响面各有不同:美国人事管理局(The Office of Personal Mangement,OPM)把这次事件上升到国与国之间网络战争的政治影响;Anthem主要事关客户个人保险号和病历;Ashley Madison 则主要为隐私和道德问题。这些信息的泄露涉及许多个人的信息安全。

除了民生,信息安全与国家安全息息相关,涉及国家政治和军事命脉,影响国家的安全和主权。一些发达国家,如英国、美国、日本、俄罗斯等,把国家网络安全纳入了国家安全体系。

2013年的“斯诺登”事件对全世界产生的影响是巨大的。爱德华·斯诺登曾是美国中情局(Central Intelligence Agency,CIA)职员,其通过英国《卫报》和美国《华盛顿邮报》披露了棱镜计划。棱镜计划(PRISM)是一项由美国国家安全局(National SecurityAgency,NSA)自2007年开始实施的绝密电子监听计划。许可的监听对象包括任何在美国以外地区使用参与计划公司服务的客户,或是任何与国外人士通信的美国公民。国家安全局在PRISM计划中可以获得的数据包括电子邮件、视频和语音交谈、影片、照片、VoIP交谈内容、档案传输、登入通知,以及社交网络细节。监听对象还包括其他国家政要,监听范围之广,令人震惊。NSA直接进入美国网际网络公司的中心服务器里挖掘数据、收集情报,包括微软、雅虎、谷歌、苹果等在内的9家国际网络巨头都参与其中,为他们挖掘各大技术公司的数据提供便利。

NSA曾与加密技术公司RSA达成了1000万美元的协议,要求在移动终端广泛使用的加密技术中放置后门。RSA此次曝出的丑闻影响非常巨大,作为信息安全行业的基础性企业,RSA的加密算法如果被安置后门,将影响到非常多的领域。

RSA客户遍及各行各业,包括电子商贸、银行、政府机构、电信、宇航业、大学等。超过7000家企业,逾800万用户(包括财富500强中的90%)均使用RSA SecurID认证产品保护企业资料,而超过500家公司在逾1000种应用软件安装有RSA BSafe软件。据第三方调查机构显示,RSA在全球的市场份额达到70%。

斯诺登揭露的可能是美国对外信息安全战略中的冰山一角,但是足够引起其他国家的重视,引发其他国家开始思索:如何摆脱对美国软件、硬件的依赖,发展自主知识产权的安全产品。

信息安全空间将成为传统的国界、领海、领空的三大国防和基于太空的第四国防之外的第五国防空间,称为Cyber-Space,是国际战略在军事领域的演进。这对我国网络安全提出了严峻的挑战。我们国家对信息安全的建设也非常重视,加快建设我国网络安全保障体系。

2016年我国在第十三个五年规划纲里列出了未来5年中国计划实施的100个重大工程及项目,其中明确与信息安全相关的项目有:量子通信与量子计算机、国家网络空间安全和构建国家网络安全和保密技术保障体系。

1.1.2 网络脆弱性的原因

1.开放性的网络环境

正如一句非常经典的语句所说:“Internet的美妙之处在于你和每个人都能互相联接,Internet的可怕之处在于每个人都能和你互相联接。”

网络空间之所以易受攻击,是因为网络系统具有开放、快速、分散、互联、虚拟、脆弱等特点。网络用户可以自由访问任何网站,几乎不受时间和空间的限制。信息传输速度极快,因此,病毒等有害信息可在网上迅速扩散和放大。网络基础设施和终端设备数量众多,分布地域广阔,各种信息系统互联互通,用户身份和位置真假难辨,构成了一个庞大而复杂的虚拟环境。此外,网络软件和协议存在许多技术漏洞,让攻击者有了可乘之机。这些特点都给网络空间的安全管理造成了巨大的困难。

Internet是跨国界的,这意味着网络的攻击不仅仅来自本地网络的用户,也可以来自Internet上的任何一台机器。Internet是一个虚拟的世界,所以无法得知联机的另一端是谁。图1-3所示为网上非常出名的一幅图片,图片阐述的含义是虚拟环境中不知对方是谁。在这个虚拟的世界里,已经超越了国界,某些法律也受到了挑战,因此网络安全面临的是一个国际化的挑战。

图像说明文字

图1-3 网上图片

网络建立初期只考虑方便性、开放性,并没有考虑总体安全构想,因此,任何一个人、团体都可以接入,网络所面临的破坏和攻击可能是多方面的。例如,可能是对物理传输线路的攻击,也可能是对网络通信协议及应用的攻击;可能是对软件的攻击,也可能是对硬件的攻击。

2.协议本身的脆弱性

网络传输离不开通信协议,而这些协议也有不同层次、不同方面的漏洞,针对TCP/IP等协议的攻击非常多,在以下几个方面都有攻击的案例。

(1)网络应用层服务的安全隐患。例如,攻击者可以利用FTP、Login、Finger、Whois、WWW等服务来获取信息或取得权限。

(2)IP层通信的易欺骗性。由于TCP/IP本身的缺陷,IP层数据包是不需要认证的,攻击者可以假冒其他用户进行通信,此过程即IP欺骗。

(3)针对ARP的欺骗性。ARP是网络通信中非常重要的协议。基于ARP的工作原理,攻击者可以假冒网关,阻止用户上网,此过程即ARP欺骗。近一年来ARP攻击更与病毒结合在一起,破坏网络的连通性。

(4)局域网中,以太网协议的数据传输机制是广播发送,使系统和网络具有易被监视性。在网络上,黑客能用嗅探软件监听到口令和其他敏感信息。

3.操作系统的漏洞

网络离不开操作系统,操作系统的安全性对网络安全同样有非常重要的影响,有很多网络攻击方法都是从寻找操作系统的缺陷入手的。操作系统的缺陷有以下几个方面。

(1)系统模型本身的缺陷。这是系统设计初期就存在的,无法通过修改操作系统程序的源代码来弥补。

(2)操作系统程序的源代码存在Bug(漏洞)。操作系统也是一个计算机程序,任何程序都会有Bug,操作系统也不会例外。例如,冲击波病毒针对的就是Windows操作系统的RPC缓冲区溢出漏洞。那些公布了源代码的操作系统所受到的威胁更大,黑客会分析其源代码,找到漏洞进行攻击。

(3)操作系统程序的配置不正确。许多操作系统的默认配置安全性很差,进行安全配置比较复杂,并且需要一定的安全知识,许多用户并没有这方面的能力,如果没有正确地配置这些功能,也会造成一些系统的安全缺陷。

Microsoft公司在2010年发布了106个安全公告,修补了247个操作系统的漏洞,比2009年多57个。漏洞的大量出现和不断快速增加补丁是网络安全总体形势趋于严峻的重要原因之一。不仅仅操作系统存在这样的问题,其他应用系统也一样。例如,微软公司在2010年12月推出17款补丁,用于修复Windows操作系统、IE浏览器、Office软件等存在的40个安全漏洞。在我们实际的应用软件中,可能存在的安全漏洞更多。

4.人为因素

许多公司和用户的网络安全意识薄弱、思想麻痹,这些管理上的人为因素也影响了安全。

1.1.3 网络安全的定义

国际标准化组织(International Organization for Standardization,ISO)引用ISO 74982文献中对安全的定义:安全就是最大程度地减少数据和资源被攻击的可能性。

《计算机信息系统安全保护条例》的第三条规范了包括计算机网络系统在内的计算机信息系统安全的概念:“计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。”

从本质上讲,网络安全是指网络系统的硬件、软件和系统中的数据受到保护,不因偶然的或者恶意的攻击而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。广义上讲,凡是涉及网络上信息的保密性、完整性、可用性、可控性和不可否认性的相关技术和理论都是网络安全所要研究的领域。

欧共体(欧洲共同体为欧盟前身)对信息安全给出如下定义:“网络与信息安全可被理解为在既定的密级条件下,网络与信息系统抵御意外事件或恶意行为的能力。这些事件和行为将危及所存储或传输的数据,以及经由这些网络和系统所提供的服务的可用性、真实性、完整性和秘密性。”

网络安全的具体含义会随着重视“角度”的变化而变化。例如,从用户(个人、企业等)的角度来说,希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。从网络运行和管理者的角度来说,希望对本地网络信息的访问、读、写等操作受到保护和控制,避免出现后门、病毒、非法存取、拒绝服务、网络资源非法占用和非法控制等威胁,从而制止和防御网络黑客的攻击。从安全保密部门的角度来说,希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵,避免机要信息泄露,避免对社会产生危害、对国家造成巨大损失。从社会教育和意识形态的角度来说,网络上不健康的内容会对社会的稳定和人类的发展造成阻碍,必须对其进行控制。

1.1.4 网络安全的基本要素

网络安全的目的如图1-4所示:保障网络中的信息安全,防止非授权用户的进入,以及事后的安全审记。

绘图1-3要素

图1-4 网络安全的目的

上述目的也就是网络安全的5个基本要素,即保密性、完整性、可用性、可控性与不可否认性。

1.保密性(Confidentiality)

保密性是指保证信息不能被非授权访问,即非授权用户得到信息也无法知晓信息内容,因而不能使用。通常通过访问控制来阻止非授权用户获得机密信息,还通过加密阻止非授权用户获知信息内容,确保信息不暴露给未授权的实体或者进程。

2.完整性(Integrity)

完整性是指只有得到允许的人才能修改实体或者进程,并且能够判断实体或者进程是否已被修改。一般通过访问控制阻止篡改行为,同时通过消息摘要算法来检验信息是否被篡改。

3.可用性(Availability)

可用性是信息资源服务功能和性能可靠性的度量,涉及物理、网络、系统、数据、应用和用户等多方面的因素,是对信息网络总体可靠性的要求。授权用户根据需要,可以随时访问所需信息,攻击者不能占用所有的资源而阻碍授权者的工作。使用访问控制机制阻止非授权用户进入网络,使静态信息可见,动态信息可操作。

4.可控性(Controllability)

可控性主要是指对危害国家信息(包括利用加密的非法通信活动)的监视审计,控制授权范围内的信息的流向及行为方式。使用授权机制,控制信息传播的范围、内容,必要时能恢复密钥,实现对网络资源及信息的可控性。

5.不可否认性(Non-Repudiation)

不可否认性是对出现的安全问题提供调查的依据和手段。使用审计、监控、防抵赖等安全机制,使攻击者、破坏者、抵赖者“逃不脱”,并进一步对网络出现的安全问题提供调查依据和手段,实现信息安全的可审查性,一般通过数字签名等技术来实现不可否认性。

1.1.5 2015年典型的网络安全事件

网络安全事件不计其数,我们看一看2015年典型的网络安全事件,如表1-1所示。

表1-1 2015年典型安全事件

事件名称

描述

Hacking Team 400G数据泄露

Hacking Team是一家专业向政府及执法机构贩售入侵与监视工具的意大利黑客公司。该公司遭遇黑吃黑,415G资料在网上泄露传播,泄露的数据包括客户端文件、合同、财务等内部文件、源代码及电子邮件

Xcode Ghost挂马事件

Xcode Ghost是一种针对苹果应用开发工具Xcode的病毒,其在iPhone/iPad上弹出钓鱼网站页面,可能骗取iCloud账号密码,或者其他关键信息

网易邮箱泄密事件

2015年10月19日,“乌云”宣布发现新漏洞,此漏洞将导致网易163/126邮箱过亿数据泄露,涉及邮箱账号/密码/用户密保等信息

英国Ashley Madison网站信息泄露

Ashley Madison是一家婚外恋网站,专门为已婚人士提供交友平台,用户人数达3 700万,该网站2015年宣布被黑客攻击,部分用户信息被盗

美国8000万医疗用户信息泄露

美国第二大的医疗保险服务商Anthem公司信息系统被黑客攻破,近8 000万员工和客户资料被盗

美国OPM遭入侵事件

美国人事管理局计算机网络遭入侵,遭窃的数据包括2 150万人的社会安全号码和其他敏感信息

卡巴斯基APT攻击

全世界领先的安全公司卡巴斯基遭高级持续性威胁(Advanced Persistent Threat,APT),攻击长达数月未察觉

国际黑客组织“匿名者”对中国发动网络攻击

国际黑客组织“匿名者”代号为OpChina(即“中国行动”)的对中国网络攻击行动,主要分布在美国,欧洲、非洲、南美、亚洲等地都有其成员

德国联邦议院遭遇黑客入侵

2015年1月,德国联邦议院和联邦总理府的网络遭到黑客攻击

VTech数据泄露事件

VTech(伟易达)是全球最大的婴幼儿及学前电子学习产品企业,被曝480万家长及儿童信息泄露

通过上述事件,可以看出2015年影响比较大的是信息泄露事件。随着互联网应用的普及和人们对互联网的依赖,互联网的安全问题也日益凸显。恶意程序、各类钓鱼和欺诈继续保持高速增长,同时黑客攻击和大规模的个人信息泄露事件频发,与各种网络攻击大幅增长相伴的是大量网民个人信息的泄露与财产损失的不断增加。

信息泄露的途经很多,包括:人为因素,即掌握了信息的公司、机构员工主动倒卖信息;电脑感染了病毒木马等恶意软件,造成个人信息泄露;攻击者利用网站漏洞,入侵了保存信息的数据库。

电子商务、海外分公司等企业正在利用信息化技术来打破地域之间的阻碍,同时还会产生大量如客户资料、营销方案、财务报表、研发数据等关乎企业核心竞争力的机密资料。不仅是个人和企业,信息泄露威胁已经上升至国家安全层面。信息防泄露成为企业越来越关注的焦点,相关的技术随之诞生。信息防泄露以文档加密技术 为核心,以数据库加密 为基础,结合安全审计 机制、严格管控机制掌握、控制内部文档操作,有效防止任何状态(使用、传输、存储)的内部资料和信息资产泄露。

 信息安全的发展历程

随着科学技术的发展,信息安全技术也进入了高速发展的时期。人们对信息安全的需求也从单一的通信保密发展到各种各样的信息安全产品、技术手段等多方面。总体来说,信息安全技术在发展过程中经历了以下4个阶段。

1.2.1 通信保密阶段

20世纪40年代~20世纪70年代,通信技术还不发达,面对电话、电报、传真等信息交换过程中存在的安全问题,重点是通过密码技术解决通信保密问题,保证数据的保密性与完整性,对安全理论和技术的研究也只侧重于密码学,这一阶段的信息安全可以简单地称为通信安全,即COMSEC(Communication Security)。

这个阶段的标志性事件是:1949年 Shannon发表的《保密通信的信息理论》将密码学纳入了科学的轨道;1976年Diffie与Hellman在《New Directions in Cryptography》一文中提出了公钥密码体制;美国国家标准协会在1977年公布了《国家数据加密标准》(Data Encryption Standard,DES)。这时人们关心的只是通信安全,重点是通过密码技术解决通信保密问题,而且主要的关心对象是军方和政府。

当时,美国政府和一些大公司已经认识到了计算机系统的脆弱性。但是,当时计算机使用范围不广,再加上美国政府将其当作敏感问题而施加控制。因此,有关计算机安全的研究一直局限在比较小的范围。

1.2.2 计算机安全阶段

20世纪80年代后,计算机的性能迅速提高,应用范围不断扩大,计算机和网络技术的应用进入了实用化和规模化阶段,人们利用通信网络把孤立的计算机系统连接起来并共享资源,信息安全问题也逐渐受到重视。人们对安全的关注已经逐渐扩展为以保密性、完整性和可用性为目标的计算机安全阶段,即COMPSEC(Computer Security)。

这一时期的标志是美国国防部在1983年出版的《可信计算机系统评价准则》(Trusted Computer System Evaluation Criteria,TCSEC),为计算机安全产品的评测提供了测试方法,指导信息安全产品的制造和应用。美国国防部1985年再版的《可信计算机系统评价准则》(又称橙皮书)使计算机系统的安全性评估有了一个权威性的标准。

这个阶段的重点是确保计算机系统中的软、硬件及信息在处理、存储、传输中的保密性、完整性和可用性。安全威胁已经扩展到非法访问、恶意代码、口令攻击等。

1.2.3 信息技术安全阶段

20世纪90年代,主要安全威胁发展到网络入侵、病毒破坏、信息对抗的攻击等,网络安全的重点放在确保信息在存储、处理、传输过程中及信息系统不被破坏,确保合法用户的服务和限制非授权用户的服务,以及必要的防御攻击的措施。强调信息的保密性、完整性、可控性、可用性的信息安全阶段,即ITSEC(Information Technology Security)。

这个阶段的主要保护措施包括防火墙、防病毒软件、漏洞扫描、入侵检测、PKI、VPN等措施。

这一时期的主要标志是在1993年至1996年美国国防部在TCSEC的基础上提出了新的安全评估准则《信息技术安全通用评估准则》,简称CC标准。1996年12月,ISO采纳CC,并作为国际标准ISO/IEC 15408发布。2001年,我国将ISO/IEC 15408等同转化为国家标准-GB/T 18336-2001《信息技术安全性评估准则》。

1.2.4 信息保障阶段

20世纪90年代后期,随着电子商务等的发展,网络安全衍生出了诸如可控性、抗抵赖性、真实性等其他原则和目标。此时对安全性有了新的需求:可控性,即对信息及信息系统实施安全监控管理;不可否认性,即保证行为人不能否认自己的行为。信息安全也转化为从整体角度考虑其体系建设的信息保障(Information Assurance)阶段,也称为网络信息系统安全阶段。

这一时期,在密码学方面,公开密钥密码技术得到了长足的发展,著名的RSA公开密钥密码算法获得了广泛的应用,用于完整性校验的散列函数的研究也越来越多。此时主要的保护措施包括防火墙、防病毒软件、漏洞扫描、入侵检测系统、PKI、VPN等。

此阶段中,信息安全受到空前的重视,各个国家分别提出自己的信息安全保障体系。1998年,美国国家安全局制定了《信息保障技术框架》(Information Assurance Technical Framework,IATF),提出了“深度防御策略”,确定了包括网络与基础设施防御、区域边界防御、计算环境防御和支撑性基础设施的深度防御目标。

面对日益严峻的国际网络空间形势,我们也立足国情,创新驱动,解决受制于人的问题。坚持纵深防御,构建牢固的网络安全保障体系。我们国家在“十三五”规划中明确提出将开始构建国家网络安全和保密技术保障体系。

 网络安全所涉及的内容

在Internet中,网络安全的概念和日常生活中的安全一样常被提及,而“网络安全”到底包括什么,具体又涉及哪些技术,大家未必清楚,可能会认为“网络安全”只是防范黑客和病毒。其实,网络安全是一门交叉学科,涉及多方面的理论和应用知识。除了数学、通信、计算机等自然科学外,还涉及法律、心理学等社会科学,是一个多领域的复杂系统,如图1-5所示。

图像说明文字

图1-5 网络安全所涉及的知识领域

网络安全涉及上述多种学科的知识,而且随着网络应用的范围越来越广,以后涉及的学科领域有可能会更加广泛。一般地,把网络安全涉及的内容分为5个方面,如图1-6所示。

图像说明文字

图1-6 网络安全所涉及的内容

1.3.1 物理安全

保证计算机信息系统各种设备的物理安全,是整个计算机信息系统安全的前提。物理安全是保护计算机网络设备、设施及其他媒体,免遭地震、水灾、火灾等环境事故,以及人为操作失误、错误或者各种计算机犯罪行为导致的破坏。物理安全主要包括以下3个方面。

(1)环境安全:对系统所在环境的安全保护,如区域保护和灾难保护。

(2)设备安全:主要包括设备的防盗、防毁、防电磁信息辐射泄露、防止线路截获、抗电磁干扰及电源保护等。

(3)媒体安全:包括媒体数据的安全及媒体本身的安全。

1.3.2 网络安全

网络安全主要包括网络运行和网络访问控制的安全,如表1-2所示。下面对其中的重要组成部分予以说明。

在网络安全中,在内部网与外部网之间,设置防火墙实现内外网的隔离和访问控制,是保护内部网安全的最主要措施,同时也是最有效、最经济的措施之一。网络安全检测工具通常是一个网络安全性的评估分析软件或者硬件,用此类工具可以检测出系统的漏洞或潜在的威胁,以达到增强网络安全性的目的。

表1-2 网络安全的组成

网 络 安 全 局域网、子网安全 访问控制(防火墙)
网络安全检测 (网络入侵检测系统)
网络中数据传输安全 数据加密(VPN等)
网络运行安全 备份与恢复
应急
网络协议安全 TCP/IP
其他协议

备份系统为一个目的而存在,即尽可能快地全面恢复运行计算机系统所需的数据和系统信息。备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用,同时也是系统灾难恢复的前提之一。

1.3.3 系统安全

一般人们对网络和操作系统的安全很重视,对数据库的安全不重视,其实数据库系统也是一款系统软件,与其他软件一样需要保护。系统安全的组成如表1-3所示。

表1-3 系统安全的组成

系 统 安 全 操作系统安全 反病毒
系统安全检测
入侵检测(监控)
审计分析
数据库系统安全 数据库安全
数据库管理系统安全

1.3.4 应用安全

应用安全的组成如表1-4所示。应用安全建立在系统平台之上,人们普遍会重视系统安全,而忽视应用安全,主要原因包括两个方面:第一,对应用安全缺乏认识;第二,应用系统过于灵活,需要较高的安全技术。网络安全、系统安全和数据安全的技术实现有很多固定的规则,应用安全则不同,客户的应用往往都是独一无二的,必须投入相对更多的人力物力,而且没有现成的工具,只能根据经验来手动完成。

表1-4 应用安全的组成

应 用 安 全 应用软件开发平台安全 各种编程语言平台安全
程序本身的安全
应用系统安全 应用软件系统安全

1.3.5 管理安全

安全是一个整体,完整的安全解决方案不仅包括物理安全、网络安全、系统安全和应用安全等技术手段,还需要以人为核心的策略和管理支持。网络安全至关重要的往往不是技术手段,而是对人的管理。

这里需要谈到安全遵循的“木桶原理”,即一个木桶的容积决定于最短的一块木板,一个系统的安全强度等于最薄弱环节的安全强度。无论采用了多么先进的技术设备,只要安全管理上有漏洞,那么这个系统的安全一样没有保障。在网络安全管理中,专家们一致认为是“30%的技术,70%的管理”。

同时,网络安全不是一个目标,而是一个过程,且是一个动态的过程。这是因为制约安全的因素都是动态变化的,必须通过一个动态的过程来保证安全。例如,Windows操作系统经常公布安全漏洞,在没有发现系统漏洞前,大家可能认为自己的网络是安全的,实际上,系统已经处于威胁之中了,所以要及时地更新补丁。从Windows安全漏洞被利用的周期变化中可以看出:随着时间的发展,公布系统补丁到出现黑客攻击工具的速度越来越快,如表1-5所示。

表1-5 Windows漏洞被利用的周期

病名称毒

发现日期

利用的漏洞

漏洞公布日期

时间差(天)

Nimda(尼姆达)

2001.9.18

MS00-078:IIS

2000.10.17

330

Klez(求职信)

2001.11.9

MS01-020:MIME

2001.3.29

220

Slammer(蠕虫王)

2003.1.24

MS02-039:SQL缓冲区溢出

2002.7.24

182

MS-Blaster(冲击波)

2003.8.11

MS03-026:RPC缓冲区溢出

2003.7.16

25

Witty(维迪)

2004.3.22

ISS公司的产品漏洞

2004.3.20

2

到2006年与安全漏洞关系密切的“零日攻击”现象在Internet上显著增多。“零日攻击”是指漏洞公布当天就出现相应的攻击手段。例如,2006年出现的“魔波蠕虫”(利用MS06-040漏洞)及利用Word漏洞(MS06-011漏洞)的木马攻击等。2009年“暴风影音”最新版本出现的“零日漏洞”已被黑客大范围应用。“零日漏洞”于4月30日被首次发现,其存在于暴风影音ActiveX控件中。该控件存在远程缓冲区溢出漏洞,利用该漏洞,黑客可以制作恶意网页,用于完全控制浏览者的计算机或传播恶意软件。

安全是相对的。所谓安全,是指根据客户的实际情况,在实用和安全之间找一个平衡点。

从总体上看,网络安全涉及网络系统的多个层次和多个方面,同时,也是动态变化的过程。网络安全实际上是一项系统工程,既涉及对外部攻击的有效防范,又包括制定完善的内部安全保障制度;既涉及防病毒攻击,又涵盖实时检测、防黑客攻击等内容。因此,网络安全解决方案不应仅仅提供对于某种安全隐患的防范能力,还应涵盖对于各种可能造成网络安全问题隐患的整体防范能力;同时,还应该是一种动态的解决方案,能够随着网络安全需求的增加而不断改进和完善。

图像说明文字练习题

1.选择题

(1)计算机网络的安全是指(  )。

    A.网络中设备设置环境的安全  B.网络使用者的安全

    C.网络中信息的安全  D.网络的财产安全

(2)信息风险主要是指(  )。

    A.信息存储安全  B.信息传输安全  C.信息访问安全  D.以上都正确

(3)以下(  )不是保证网络安全的要素。

    A.信息的保密性  B.发送信息的不可否认性

    C.数据交换的完整性  D.数据存储的唯一性

(4)信息安全就是要防止非法攻击和病毒的传播,保障电子信息的有效性,从具体的意义上来理解,需要保证以下(  )几方面。

    Ⅰ.保密性  Ⅱ.完整性  Ⅲ.可用性  Ⅳ.可控性  Ⅴ.不可否认性

    A.Ⅰ、Ⅱ和Ⅳ  B.Ⅰ、Ⅱ和Ⅲ  C.Ⅱ、Ⅲ和Ⅳ  D.都是

(5)(  )不是信息失真的原因。

    A.信源提供的信息不完全、不准确

    B.信息在编码、译码和传递过程中受到干扰

    C.信宿(信箱)接受信息出现偏差

    D.信息在理解上的偏差

(6)(  )是用来保证硬件和软件本身的安全的。

    A.实体安全  B.运行安全  C.信息安全  D.系统安全

(7)黑客搭线窃听属于(  )风险。

    A.信息存储安全  B.信息传输安全

    C.信息访问安全  D.以上都不正确

(8)(  )策略是防止非法访问的第一道防线。

    A.入网访问控制  B.网络权限控制

    C.目录级安全控制  D.属性安全控制

(9)信息不泄露给非授权的用户、实体或过程,指的是信息(  )特性。

    A.保密性  B.完整性  C.可用性  D.可控性

(10)对企业网络最大的威胁是(  )。

    A.黑客攻击  B.外国政府

    C.竞争对手  D.内部员工的恶意攻击

(11)在网络安全中,中断指攻击者破坏网络系统的资源,使之变成无效的或无用的,这是对(  )。

    A.可用性的攻击  B.保密性的攻击

    C.完整性的攻击  D.可控性的攻击

(12)从系统整体看,“漏洞”包括(  )等几方面。(多选题)

    A.技术因素  B.人的因素  C.规划,策略和执行过程

2.问答题

(1)列举出自己所了解的与网络安全相关的知识。

(2)为什么说网络安全非常重要?

(3)网络本身存在哪些安全缺陷?

(4)信息安全的发展经历了哪几个阶段?

目录

同系列书

人邮微信
本地服务
人邮微信
教师服务
二维码
读者服务
读者服务
返回顶部
返回顶部