第12讲 计算机网络安全知识

计算机网络安全知识

第12讲 计算机网络安全知识

计算机网络安全知识

信息安全的概念

信息安全的一般性定义：信息安全是防止对知 识、事实、数据或能力非授权使用、误用、篡 改或拒绝使用所采取的措施(量度)。

计算机网络安全知识

一、 网络安全的属性网络安全具有三个基本属性。 1. 机密性 机密性是指保证信息与信息系统不被非授权者所获 取与使用，主要防范措施是密码技术。

计算机网络安全知识

2. 完整性 完整性是指信息是真实可信的，其发布者不被冒 充，来源不被伪造，内容不被篡改，主要防范 措施是校验与认证技术。

计算机网络安全知识

3. 可用性 可用性是指保证信息与信息系统可被授权人正常 使用，主要防范措施是确保信息与信息系统处 于一个可靠的运行状态之下。

计算机网络安全知识

二、计算机安全

随着计算机技术及其应用的发展，各个单位的大部分信息资产以 电子形式移植到计算机上。计算机的使用愈来愈方便，更多的人 用交互会话的方式访问信息。计算机系统上的信息对任何访问系 统的人都是可访问的。 在20世纪70年代，David Bell和Leonard La Padula开发了一个安 全计算机的操作模型。该模型是基于政府概念的各种级别分类信 息(一般、秘密、机密、绝密)和各种许可级别。如果主体的许 可级别高于文件(客体)的分类级别，则主体能访问客体。如果 主体的许可级别低于文件(客体)的分类级别，则主体不能访问 客体。

计算机网络安全知识

这个模型的概念进一步发展，于1983年导出了美国国防部标 准5200.28——可信计算系统评估准则(the Trusted Computing System Evaluation Criteria, TCSEC),即桔皮 书。TCSEC共分为如下4类7级： (1) D级，安全保护欠缺级。 (2) C1级，自主安全保护级。 (3) C2级，受控存取保护级。 (4) B1级，标记安全保护级。 (5) B2级，结构化保护级。 (6) B3级，安全域保护级。 (7) A1级，验证设计级。

计算机网络安全知识

桔皮书对每一级都定义了功能要求和保证要求，也就 是说要符合某一安全级要求，必须既满足功能要求， 又满足保证要求。为了使计算机系统达到相应的安全 要求，计算机厂商要花费很长时间和很多资金。有时 当某产品通过级别论证时，该产品已经过时了。计算 机技术发展得如此之迅速，当老的系统取得安全认证 之前新版的操作系统和硬件已经出现。

计算机网络安全知识

三、网络安全当计算机联成网络以后，新的安全问题出现了，老的安全问题也以不 同的形式出现。例如，各种局域网、城域网的安全不同于以往的 远距离点到点的通信安全；又如，高速网络以及由很多连接器连 到一个公共的通信介质，原有的专用密码机已经完全不能解决问 题；再如，有很多用户从不同的系统经过网络访问

,而没有单个 计算机的集中控制。 随着Internet的发展及其普及应用，如何解决在开放网络环境下的安 全问题更成为迫切需要解决的问题。如上面所述的IP安全、DNS 安全、拒绝服务与分布拒绝服务攻击等。

计算机网络安全知识

桔皮书并不解决联网计算机的问题，事实上，网络的 访问在桔皮书的认证中是无效的。为此，美国国防部 于1987年制定了TCSEC的可信网络解释TNI,又称红 皮书。除了满足桔皮书的要求外，红皮书还企图解决 计算机的联网环境的安全问题。红皮书主要说明联网 环境的安全功能要求，较少阐明保证要求。 网络安全的主要目的是解决在分布网络环境中对信息 载体及其运行提供的安全保护问题，主要措施是提供 完整的信息安全保障体系，包括防护、检测、响应、 恢复。

计算机网络安全知识

四、 网络安全综合处理显而易见，单一的网络安全技术和网络安全产品 无法解决网络安全的全部问题。网络安全需要， 从体系结构的角度，用系统工程的方法，根据 联网环境及其应用的实际需求提出综合处理的 安全解决方案。下面简要地分析常见的一些安 全技术、安全产品各自解决的问题。

计算机网络安全知识

1. 防病毒软件 防病毒软件对好的安全程序是必需的部分。如果 恰当地配置和执行，能减少一个组织对恶意程 序的暴露。然而，防病毒软件并不能对所有恶 意程序的防护都有效。它既不能防止入侵者借 用合法程序得到系统的访问，也不能防止合法 用户企图得到超出其权限的访问。

计算机网络安全知识

2. 访问控制 组织内的每一个计算机系统具有基于用户身份的访问 权限的控制。假如系统配置正确，文件的访问许可权 配置合理，文件访问控制能限制合法用户进行超出其 权限的访问。但是文件访问控制不能阻止一些人利用 系统的漏洞，得到管理员一样的权限来访问系统及读 系统的文件。访问控制系统甚至允许跨组织进行系统 访问控制的配置，对访问控制系统而言，这样的攻击 看起来好像一个合法的管理员试图访问账户允许访问 的文件。

计算机网络安全知识

3. 防火墙 防火墙是用于网络的访问控制设备，有助于帮助保护组织内部的 网络，以防外部攻击。本质上讲防火墙是边界安全产品，存在于 内部网和外部网的边界。因此，只要配置合理，防火墙是必需的 安全设备。然而，防火墙不能防止攻击者使用合理的连接来攻击 系统。例如，一个Web服务器允许来自外部的访问，攻击者可以 利用Web服务器软件的漏洞，这时防火墙将允许这个攻击进入， 因为Web服务器应该接收这个Web连接。防火墙对内部用户也没 有防备作用，因为内部用户已经在内部网中。

计算机网络安全知识

4. 智能卡 对身份进行鉴别可以根据你知道什

么(如口令)、你有什么(如智能 卡)、你是什么(如指纹)或它们的组合来完成。利用口令来鉴 别身份是传统采用的鉴别方法，但这不是最好的方法，因为口令 可猜测或留在某个地方被他人知道，因此人们开发了另外一些鉴 别方法。智能卡是一种较安全的鉴别方法，可减少人们猜测口令 的风险。然而如仅仅用它来鉴别身份，如果智能卡被偷，则小偷 可伪装成网络和计算机系统的合法用户。对有漏洞的系统，智能 卡也不能防止攻击，因为智能卡的正确鉴别依赖于用户确实使用 正确的系统进入路径。

计算机网络安全知识

5. 仿生网络安全 仿生网络安全是属于你是什么的鉴别机制，也 是一种减少口令猜测网络的机制。如同其他的 鉴别方法，仿生网络安全的有效也依赖于用户 通过正确的进入路径访问系统。如果攻击者能 发现绕过仿生网络安全系统的通路，则仿生网 络安全系统也将失效。

计算机网络安全知识

6. 入侵检测 入侵检测系统曾被宣传成能完全解决网络安全问 题，有了它就无须再保护我们的文件和系统， 它可以检测出何时、何人在入侵，并且阻止它 的攻击。事实上，没有一个入侵检测系统是完 全安全的，它也不能检测合法用户进入超权限 的信息访问。

计算机网络安全知识

7. 策略管理 安全策略和过程是一个好的安全程序的重要组成部分， 它对网络和计算机系统的策略管理也同样重要。策略 管理系统会对任何不符合安全策略的系统给出提醒。 然而，策略管理并没有考虑系统的漏洞或应用软件的 错误配置，从而对它们的发生起不到管理作用。计算 机系统的策略管理也无法保证用户不会留下口令或将 口令给非授权用户。

计算机网络安全知识

8. 漏洞扫描 对计算机系统进行漏洞扫描可帮助组织发现入 侵者潜在的进入点。然而，漏洞扫描本身并不 能起到保护计算机系统的作用，并对每个发现 的漏洞及时加补丁。漏洞扫描不检测合法用户 不合适的访问，也不检测已经在系统中的入侵 者。

本文来源：https://www.bwwdw.com/article/6iii.html