网络信息安全基础

操作系统不安全是计算机网络不安全的根本原因，目前流行的许多操作系统均存在网络安全漏洞。操作系统不安全主要表现为以下七个方面。操作系统结构体制本身的缺陷。操作系统的程序是可以动态连接的。I/O的驱动程序与系统服务都可以用打补丁的方式进行动态连接，有些操作系统的版本升级采用打补丁的方式进行虽然这些操作需要被授予特权，但这种方法厂商可用，黑客也可用。操作系统支持程序动态连接与数据动态交换是现代系统集成和系统扩展的需要，这显然与安全有矛盾。创建进程也存在着不安全因素。进程可以在网络的节点上被远程创建和激活，更为重要的是被创建的进程还可继承创建进程的权利。这样可以在网络上传输可执行程序，再加上远程调用的功能，就可以在远端服务器上安装“间谍”软件。另外，还可以把这种间谍软件以打补丁的方式加在一个合法用户上，尤其是一个特权用户上，以便使系统进程与作业监视程序都看不到间谍软件的存在。操作系统中，通常都有一些守护进程，这种软件实际上是一些系统进程，它们总是在等待一些条件的出现，一旦这些条件出现，程序便继续运行下去，这些软件常常被黑客利用。这些守护进程在UNIX、Windows2000操作系统中具有与其他操作系统核心层软件同等的权限。

操作系统提供的一些功能也会带来一些不安全因素。例如，支持在网络上传输文件、在网络上加载与安装程序，包括可以执行文件的功能；操作系统的debug和wizard功能。许多精通于patch和debug工具的黑客利用这些工具几乎可以做成想做的所有事情。操作系统自身提供的网络服务不安全。如操作系统都提供远程过程调用(RemoteProcessorCal—RPC)服务，而提供的安全验证功能却很有限；操作系统提供网络文件系统(NetworkFilesSystem—NFS)务，NFS系统是一个基于RPC的网络文件系统，如果NFS设置存在重大问题，则几乎等于将系统管理权拱手交出。操作系统安排的无口令入口，是为系统开发人员提供的便捷入口，但这些入口也可能被黑客利用。尽管操作系统的缺陷可以通过版本的不断升级来克服，但系统的某一个安全漏洞就会使系统的所有安全控制毫无价值。随着Internet/Intranet的发展，TCP/IP协议被广泛地应用到各种网络中，但采用的TCP/IP协议族软件本身缺乏安全性，使用TCP/IP协议的网络所提供的FTP、E-mail、RPC和NFS都包含许多不安全的因素，存在着许多漏洞。

网络的普及使信息共享达到了一个新的层次，信息被暴露的机会大大增多。特别是Internet网络是一个开放的系统，通过未受保护的外部环境和线路可能访问系统内部，发生随时搭线窃听、远程监控和攻击破坏等事件。另外，数据处理的可访问性和资源共享的目的性之间是矛盾的，它造成了计算机系统保密性难，拷贝数据信息很容易且不留任何痕迹。如一台远程终端上的用户可以通过Internet连接其他任何一个站点，在一定条件下可以随意进行拷贝、删改乃至破坏该站点的资大量的信息存储在各种各样的数据库中，然而，有些数据库系统在安全方面考虑很少。数据库管理系统的安全必须与操作系统的安全相配套。例如，数据库管理系统的安全级别是B2级，那么操作系统的安全级别也应该是B2级，但实践中往往不是这样做的。利用防火墙可以保护计算机网络免受外部黑客的攻击，但它只是能够提高网络的安全性，不可能保证网络绝对安全。事实上仍然存在着一些防火墙不能防范的安全威胁，甚至防火墙产品自身是否安全，设置是否正确，都需要经过检验。如防火墙不能防范不经过防火墙的攻击，很难防范来自于网络内部的攻击以及病毒的威胁等。计算机领域中一些重大的技术进步会对安全性构成新的威胁。

这些新的威胁需要新的技术来消除，而技术进步的速度要比克服威胁的技术进步的速度快得多。安全性的地位总是列在计算机网络系统总体设计规划的最后面。一般用户首先考虑的是系统的功能、价格、性能、兼容性、可靠性和用户界面等，而忽略了网络系统的安全。环境和灾害的影响，如温度、湿度、供电、火灾、水灾、静电、灰尘、雷电、强电磁场以及电磁脉冲等均会破坏数据和影响系统的正常工作。计算机系统自身是电子产品，它所处理的对象也是电子信息，但目前的电子技术基础薄弱，其抵抗外部环境影响的能力也比较弱。计算机及网络系统的访问控制配置复杂且难于验证，偶然的配置错误会使闯入者获取访问权。无法估计主机的安全性。随着一个站点的主机数量的增加，确保每台主机的安全性都处在高水平的能力却在下降。只用管理一台系统的能力来管理如此多的系统就容易犯错误。另一个因素是系统管理的作用经常变换并行动迟缓，这导致一些系统的安全性比另一些要低，这些系统将成为薄弱环节，最终将破坏这个安全链。总之，计算机网络系统自身的脆弱和不足，是造成计算机网络安全问题的内部根源。但计算机网络系统本身的脆弱性、社会对计算机网络系统应用的依赖性这一矛盾又将促进计算机网络安全技术的不断发展和进步。

编程系统漏洞网络威胁物理威胁身份认证外部威胁计算机网络安全威胁的来源影响计算机网络安全的因素很多，有些因素可能是有意的，也可能是无意的；可能是天灾，也可能是人为的。计算机网络安全威胁的来源主要有三个。天灾是指不可控制的自然灾害，如雷击、地震等。天灾轻则造成正常的业务工作混乱，重则造成系统中断和无法估量的损失。人为因素可分为有意和无意两种类型。人为的无意失误和各种各样的误操作都可能造成严重的不良后果。如文件的误删除、输入错误的数据、操作员安全配置不当；用户的口令选择不慎，口令保护得不好；用户将自己的账号随意借给他人或与别人共享等都可能会对计算机网络带来威胁。有意因素是指人为的恶意攻击、违纪、违法和犯罪，它是计算机网络面临的最大威胁。人为的恶意攻击又可分为两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一种是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，将导致机密数据的泄露。人为的威胁往往是由于系统资源和管理中的薄弱环节被威胁源(入侵者或其入侵程序)利用而产生的。计算机硬件系统及网络设备的故障由于设计、生产工艺、制造、设备运行环境等原因，计算机硬件系统及网络设备会出现故障。

如电路短路、断路、接触不良、器件老化和电压的波动干扰等引起的网络系统不稳定。软件的漏洞软件不可能百分之百的无缺陷和漏洞，软件系统越庞大，出现漏洞和缺陷的可能性也越大。这些漏洞和缺陷就成了攻击者的首选目标。软件的“后门”软件的“后门”是软件公司的程序设计人员为了方便而在开发时预留设置的。这些“后门”一般不为外人所知，但是一旦“后门洞开”，其造成的后果将不堪设想。威胁的具体表现形式威胁具体表现为物理威胁、系统漏洞造成的威胁、鉴别威胁、线缆连接威胁、有害程序威胁和管理上的威胁等六种形式。偷窃网络安全中的偷窃包括偷窃设备、偷窃信息和偷窃服务等内容。如果偷窃者想偷的信息在 计算机里，那他们一方面可以将整台计算机偷走 ，另一方面可以读取、复制计算机中的信息。 恶劣的运行环境恶劣的运行环境是指计算机网络系统的运 行环境不符合标准，主要包括防火、防水、防雷 击、防静电、电源保护、环境温度、环境湿度和 抗电磁干扰等不符合安全技术要求。恶劣的运行 环境可能加速设备的老化，造成设备的损坏、信 息的错误或丢失。 废物搜寻废物搜寻是指在废物( 如打印出来的材料 或废弃的软盘、光盘) 中搜寻所需要的信息。废 物搜寻可能包括未从安全角度彻底删除信息的软 盘或硬盘上获得有用资料。

间谍行为间谍行为是一种以获取有价值的机密信息 为目的，采用不道德的、不合法的行为盗取信息 的过程。 身份识别错误身份识别错误是指非法建立文件或记录， 企图把它们作为有效的、正式生产的文件或记录。 如对具有身份鉴别特征物品( 如加密的安全卡、 护照、执照等) 进行伪造就属于身份识别发生错 误的范畴。 乘虚而入例如，用户A 停止了与某个系统的通信，但由于某 种原因仍使该系统上的一个端口处于激活状态，这时， 用户B 通过这个端口开始与这个系统通信，这样就不必 通过任何申请使用端口的安全检查了。 不安全服务操作系统的一些服务程序有时可以绕过机器的安全 系统，成为不安全服务。比如，互联网蠕虫就是利用了 一些操作系统中的可绕过机器进行攻击的。 配置和初始化当关掉一台服务器以维修它的某个系统时，在重新 启动服务器后，可能会有些用户说他们的文件丢失了或 被篡改了，这就有可能是在系统重新初始化时，安全系 统没有被正确地初始化，从而留下了安全漏洞让人利用 口令破解这种威胁主要是由于用户口令设置比较简单造成的。破解口令就像是猜测密码锁的数字组合一样 ，在该领域中已形成许多能提高成功率的技巧。比如在 计算密码的程序中使用多线程、密码字典等。

一般比较 安全的口令应该在六位以上，包括字母、数字、符号等。 网络上已经出现了针对使用比较简单口令的操作系统进 行口令破解、攻击的网络蠕虫病毒。 算法考虑不周全一般来说，口令输入过程必须在满足一定 条件下才能正常地工作，这个过程通过某些算法 来实现。在一些入侵案例中，入侵者采用超长的 字符串破坏了口令算法，成功地进入了系统。 编辑口令编辑口令一般需要依靠内部漏洞，如某单 位内部的人建立了一个虚设的账户或修改了一个 隐含账户的口令，这样，任何知道那个账户的用 户名和口令的人便可以访问该机器了。 窃听对通信过程进行窃听可达到收集信息的目的，这 种电子窃听可以将窃听设备安装在通信线缆上，也可以 通过检测从连线上发射出来的电磁辐射来拾取所要的信 拨号进入拥有一个调制解调器和一个电话号码，每个人都可 以通过拨号远程访问网络，但当别有用心的人拥有所期 望攻击的网络的用户账户时，就会对网络造成很大的威 冒名顶替冒名顶替是指通过使用别人的密码和账号 ，获得对网络及其数据、程序的使用能力。 计算机病毒计算机病毒是一种把自己的拷贝附着于机 器中的另一程序上的一段代码。通过这种方式， 病毒可以进行自我复制，并随着它所附着的程序 在机器之间传播。

代码炸弹代码炸弹是一种具有杀伤力的代码，其原 理是在到达设定的时间，通过网络向被攻击者发 送特定代码或在机器中发生了某种操作时，代码 炸弹就被触发并开始产生破坏性操作。代码炸弹 不像病毒那样四处传播，一般是程序员有意或无 意造成的软件安全漏洞。 特洛伊木马特洛伊木马程序一旦被安装到机器上，便 可按编制者的意图行事。特洛伊木马有的伪装成 系统上已有的程序，有的创建新的用户名和口令 ，有的窃取用户信息，甚至破坏数据。 更新或下载有些网络系统允许通过网络进行固件和操作系统更 新，于是非法闯入者便可以通过这种更新方法，对系统进 行非法更新。 管理上的威胁主要来自单位的内部，但对网络安全 的威胁非常大，这方面的威胁单靠计算机和网络技术是无 法解决的。 规章制度不健全规章制度不健全会造成人为泄密事故。如网络方面 的规章制度不严，出现网络安全问题不能及时响应、及时 处理，对机密文件管理不善，文件存放混乱和违章操作等。 网络管理员自身问题网络管理员自身问题包括保密观 念不强，不懂保密规则，不遵守规章制度 ，随便泄密；业务不熟练，不能及时发现 并修补网络上的安全漏洞；操作失误造成 信息出错、误发；素质不高，缺乏责任心 ，没有良好的工作态度，明知故犯甚至有 意破坏网络系统和设备等。

LANWAN 入侵的自卫与反击应急的措施组织 应急管理安全 系统管理 人员管理 行政管理安全 密铜管理术的管理 多级安全加密术的管理 多级安全用户鉴别术的管理 技术管理安全 管理安全 纠偏建议 量刑 起诉 犯罪起诉 监控威胁 定位损害 确定入侵 发现违规 监控查验 监察安全 信息安全 信息安全宣传与普及教育奖惩与扬抑 办学、办班 认知安全 有关信息安全的政策、法令、法规 立法安全 入侵告警与系统恢复等 审计跟踪 访问控制 运行安全 数据备份 数据存储安全 数据加密 数据安全 软件安全性能溯试 软件加密 软件的安全复制与升级 软件的安全开发与安装 软件安全 网络与设备安全 建筑安全( 防雷、防水、防鼠等) 环境安全( 温度、湿度、气压等) 实体安全 技术安全 信息安全 对待计算机网络安全问题的态度对待计算机网络安全问题的态度 一般对待计算机网络安全问题通常有 两种不同的态度。 第一种是 。这种态度认为 将安全问题隐藏起来才是最好的解决办法。表面 上看，隐藏就可以避免网络安全问题，但是不能 证明不会被人发现安全漏洞，也不能阻止掌握了 这种漏洞的人去利用这些网络安全问题。目前有 些软件采用了这种态度，事实上这些安全性比较 低的软件在攻击者或网络安全专家面前，漏洞就 很容易被发现。

对待计算机网络安全问题的态度 对待计算机网络安全问题的态度 第二种是比较积极的态度。这种态度认 为网络安全问题不应该隐藏安全计算机，只有不断地去发现和 解决这些安全问题，才能让计算机网络系统变得更 安全。这种态度可以让用户知道哪些是安全的，哪 些是存在问题的。对于存在安全问题的事务应该及 时发现，并及时进行修补。如果一个系统经受住众 多使用者的考验，那么开发者和使用者就不用担心 严重的安全问题了。 对于计算机网络安全问题，应该采用比 较积极的态度，不断地学习与研究，及时获取网络 安全的新技术，修补网络安全上的漏洞，保障网络 的安全。事实上，很多网络安全问题是因为网络管 理员没有及时地弥补安全漏洞而导致的。 思想麻痹，没有清醒地意识到黑客入侵所会导致的严重后果，舍不得投入必要的人力、财力和物 力来加强网络的安全性； 物理安全策略物理安全策略 物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件设备和通信链路免受自然 灾害、人为破坏和搭线攻击；验证用户的身份和使 用权限，防止用户越权操作；确保计算机系统有一 个良好的电磁兼容工作环境；建立完备的安全管理 制度，防止非法进入计算机控制室和各种盗劫、破 坏活动的发生。

ISO/OSIISO/OSI 1982OSI OSI 1989 12 ISO ISO7498-2 OSI GB T9387-2 ISO (N+1)(N+1) (N+1)(N+1) OSIOSI OSI N+1SDU 人自身硬件故障 逻辑问题 网络故障 灾难 对数据完整性的威胁 蓄意报复通信受阻 意外事故 缺乏经验 压力/恐慌 贪得无厌 人本身对数据完整性的 威胁 故障电源故障 存储器故 介质、备份等故障 芯片、主板 故障 硬件故障对数据完 整性的威胁 网络故障对数据完整性的威胁 网络连接 问题 辐射问题 网卡和驱 动问题 软件故障对数据完整性的威胁 软件错误 文件损坏 错误需求 操作系统 错误 数据交换 错误 容量错误 灾难对数据完整性的威胁 工业故障 恐怖主义 自然灾难 OSIOSI OSI OSI 橘皮书(TrustedComputer System Evaluation Criteria—TCSEC) 是计算机系统安全评估 的第一个正式标准，具有划时代的意义。它于1970 年由美国国防科学委员会提出，并于1985 年12 美国国防部公布。TCSEC最初只是军用标准，后来 延至民用领域。

TCSEC 将计算机系统的安全划分为 四个等级、七个安全级别( 从低到高依次为 、C1、C2 、B1 、B2 、B3 级暂时不分子级。每级包括它下级的所有特性，从最简单的系统安全特性直到最高级的计算 机安全模型技术，不同计算机信息系统可以根据需要 和可能选用不同安全保密程度的不同标准。 级是最低的安全形式，整个计算机是不信任的，只为文件和用户提供安全保护。D 级系统最普通的 形式是本地操作系统，或者是一个完全没有保护的网 拥有这个级别的操作系统就像一个门户大开的房子，任何人可以自由进出，是完全不可信的。对于硬 件来说，是没有任何保护措施的，操作系统容易受到 损害，没有系统访问限制和数据限制，任何人不需要 任何账户就可以进入系统，不受任何限制就可以访问 他人的数据文件。 属于这个级别的操作系统有DOS 、Windows 9x 、Apple 公司的Macintosh System 7.1 C1级又称有选择地安全保护或称酌情安全保护 (Discretionny Security Protection) 系统，它要求系统 硬件有一定的安全保护( 如硬件有带锁装置，需要钥 匙才能使用计算机) ，用户在使用前必须登记到系统。

另外，作为C1 级保护的一部分，允许系统管理员为 一些程序或数据设立访问许可权限等。 它描述了一种典型的用在UNIX 系统上的安全级 别。这种级别的系统对硬件有某种程度的保护，但硬 件受到损害的可能性仍然存在。用户拥有注册账号和 口令，系统通过账号和口令来识别用户是否合法，并 决定用户对信息拥有什么样的访问权。 这种访问权是指对文件和目标的访 问权。文件的拥有者和根用户(Root) 可以改 动文件中的访问属性，从而对不同的用户给与 不同的访问权。例如，让文件拥有者有读、写 和执行的权力；给同组用户读和执行的权力； 而给其他用户以读的权力。 C1 级保护的不足之处在于用户可以直接 访问操纵系统的根目录。C1 级不能控制进入 系统的用户的访问级别，所以用户可以将系统 中的数据任意移走，他们可以控制系统配置， 获取比系统管理员所允许的更高权限，如改变 和控制用户名。 C2级又称访问控制保护，它针对C1 级的不足 之处增加了几个特性。C2 级引进了访问控制环境 用户权限级别)的增加特性，该环境具有进一步限制 用户执行某些命令或访问某些文件的权限，而且还加 入了身份验证级别。另外，系统对发生的事情加以审 计(Audit) ，并写入日志当中，如什么时候开机，哪个 用户在什么时候从哪里登录等，这样通过查看日志， 就可以发现入侵的痕迹，如多次登录失败，也可以大 致推测出可能有人想强行闯入系统。

审计可以记录下 系统管理员执行的活动，审计还加有身份验证，这样 就可以知道谁在执行这些命令。审计的缺点在于它需 要额外的处理器时间和磁盘资源。 使用附加身份认证就可以让一个C2 系统用户在不是根用户的情况下有权执行系统 管理任务。不要把这些身份认证和应用于程序 的用户ID 许可(SUID) 设置和同组用户ID 可(SGID)设置相混淆，身份认证可以用来确 定用户是否能够执行特定的命令或访问某些核 心表。例如，当用户无权浏览进程表时，它若 执行命令就只能看到它们自己的进程。 授权分级指系统管理员能够给用户分组 ，授予他们访问某些程序的权限或访问分级目 录的权限。 另一方面，用户权限可以以个 人为单位授权用户对某一程序所在目录 进行访问。如果其他程序和数据也在同 一目录下，那么用户也将自动得到访问 这些信息的权限。 能够达到C2 级的常见的操作系统 有UNIX 系统、XENIX 、Novell 3.x 更高版本、WindowsNT 和Windows 2000 级中有三个级别，级中有三个级别， B1 B1 级即标号安全保 级即标号安全保 (LabeledSecurity Protection) (Labeled Security Protection) ，是支持多 ，是支持多 级安全 级安全 如秘密和绝密如秘密和绝密 的第一个级别，这个的第一个级别，这个 级别说明一个处于强制性访问控制之下的对象 级别说明一个处于强制性访问控制之下的对象 ，系统不允许文件的拥有者改变其许可权限。

，系统不允许文件的拥有者改变其许可权限。 即在这一级别上，对象 即在这一级别上，对象 如盘区和文件服务器如盘区和文件服务器 目录 目录 必须在访问控制之下，不允许拥有者更必须在访问控制之下，不允许拥有者更 改它们的权限。 改它们的权限。 B1 B1 级安全措施的计算机系统，随着操作 级安全措施的计算机系统，随着操作 系统而定。政府机构和系统安全承包商是 系统而定。政府机构和系统安全承包商是 B1 B1 级计算机系统的主要拥有者。 级计算机系统的主要拥有者。 B2级又叫做结构保护(Structured Protection) 别，它要求计算机系统中所有的对象都加标签，而且给设备( 磁盘，磁带和终端) 分配单个或多个安全级 别。它提出了较高安全级别的对象与另一个较低安全 级别的对象通信的第一个级别。 B3级又称安全域(Security Domain) 级别，它使 用安装硬件的方式来加强域。例如，内存管理硬件用 于保护安全域免遭无授权访问或其他安全域对象的修 改。该级别也要求用户通过一条可信任途径连接到系 级也称为验证保护或验证设计(VerityDesign) 级别，是当前的最高级别，它包括一个严格的设计、 控制和验证过程。

与前面提到的各级别一样，这一级 别包含了较低级别的所有特性。设计必须是从数学角 度上经过验证的，而且必须进行秘密通道和可信任分 布的分析。可信任分布(Trusted Distribution) 的含义 是硬件和软件在物理传输过程中已经受到保护，以防 止破坏安全系统。 可信计算机安全评价标准主要考虑的安全问题大 体上还局限于信息的保密性，随着计算机和网络技术 的发展，对于目前的网络安全不能完全适用。 NISMS NISMS －7A1 EAL7 E5 －6B3 EAL6 E4 －5B2 EAL5 －2B1 EAI4 E2 C2EAL3 El C1EAL2 EALlITSEC CTEPEC FC TCSEC CC 1997(NIAP) CC NIAP CESGDTI (MOD) CESG OSIIS07498-2 GB/T9387-2 CC

（编辑：武汉站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!