的安全现状

任务一　Internet的安全现状

现在面临的计算机网络安全问题主要有哪些?面对诸多的网络安全问题，我们又能采取哪些措施呢?

1．Internet安全的定义

国际标准化组织(ISO)将“计算机网络安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护，保护网络系统的硬件、软件及其系统中的数据不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠、正常地运行，网络服务不中断。”

上述计算机安全的定义包含物理安全和逻辑安全两方面的内容，其逻辑安全的内容可理解为我们常说的网络上的信息安全，是指对信息的保密性、完整性和可用性的保护。而网络安全性的含义是信息安全的引申，即网络安全是对网络信息保密性、完整性和可用性的保护。从广义来说，凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。

网络安全应具有以下5个方面的特征。

(1)保密性:信息不泄露给非授权用户、实体或过程，或供其利用的特性。

(2)完整性:数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。

(3)可用性:可被授权实体访问并按需求使用的特性，即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。

(4)可控性:对信息的传播及内容具有控制能力。

(5)可审查性:出现安全问题时提供依据与手段。

当然，网络安全的具体含义会随着“角度”的变化而变化。比如:从用户(个人、企业等)角度，他们希望涉及个人隐私或商业利益的信息在网络上传输时受到保密性、完整性和真实性的保护，避免其他人利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私;从网络运行和管理者角度说，他们希望对本地网络信息的访问、读写等操作受到保护和控制，避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁，制止和防御网络黑客的攻击;对安全保密部门来说，他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵，避免机要信息泄露，避免对社会产生危害，对国家造成巨大损失;从社会教育和意识形态角度来讲，网络上不健康的内容，会对社会的稳定和人类的发展造成阻碍，必须对其进行控制。

2．安全现状

近年来随着Internet的飞速发展，计算机网络的资源共享进一步加强，随之而来的信息安全问题日益突出。据美国FBI统计，美国每年网络安全问题所造成的经济损失高达75亿美元。而全球平均每20秒就发生一起Internet计算机侵入事件。在Internet/Intranet的大量应用中，Internet/Intranet安全面临着重大的挑战，事实上，资源共享和安全历来是一对矛盾。在一个开放的网络环境中，大量信息在网上流动，这为不法分子提供了攻击目标;而且计算机网络组成形式的多样性、终端分布广和网络的开放性、互联性等特征更为他们提供了便利。他们利用不同的攻击手段，访问或修改在网中流动的敏感信息，闯入用户或政府部门的计算机系统进行窥视、窃取、篡改数据，不受时间、地点、条件的限制。其“低成本和高收益”又在一定程度上刺激了犯罪的增长，使得针对计算机信息系统的犯罪活动日益增多。

从人为(黑客)角度来看，常见的计算机网络安全威胁主要有:信息泄露、完整性破坏、拒绝服务、网络滥用。

(1)信息泄露:信息泄露破坏了系统的保密性，是指信息被透漏给非授权的实体。常见的、能够导致信息泄露的威胁有:网络监听，业务流分析，电磁、射频截获，人员的有意或无意泄漏，媒体清理，漏洞利用，授权侵犯，物理侵入，病毒，木马，后门，流氓软件，网络钓鱼。

(2)完整性破坏:可以通过漏洞利用、物理侵犯、授权侵犯、病毒、木马、漏洞来等方式实现。

(3)拒绝服务攻击:对信息或资源可以合法访问却被非法地拒绝或者推迟与时间密切相关的操作。

(4)网络滥用:合法的用户滥用网络，引入不必要的安全威胁，包括非法外联、非法内联、移动风险、设备滥用、业务滥用。

常见的计算机网络络安全威胁的表现形式主要有:窃听、重传、伪造、篡改、拒绝服务攻击、行为否认、电子欺骗、非授权访问、传播病毒。

(1)窃听:攻击者通过监视网络数据的手段获得重要的信息，从而导致网络信息的泄密。

(2)重传:攻击者事先获得部分或全部信息，以后将此信息发送给接收者。

(3)篡改:攻击者对合法用户之间的通信信息进行修改、删除、插入，再将伪造的信息发送给接收者。这就是纯粹的信息破坏，这样的网络侵犯者被称为积极侵犯者。积极侵犯者的破坏作用最大。

(4)拒绝服务攻击:攻击者通过某种方法使系统响应减慢甚至瘫痪，阻止合法用户获得服务。

(5)行为否认:通信实体否认已经发生的行为。

(6)电子欺骗:通过假冒合法用户的身份来进行网络攻击，从而达到掩盖攻击者真实身份、嫁祸他人的目的。

(7)非授权访问:没有预先经过同意就使用网络或计算机资源，被看做非授权访问。

(8)传播病毒:通过网络传播计算机病毒，其破坏性非常高，而且用户很难防范。

当然，除了人为因素，网络安全还在很大部分上由网络内部的原因或者安全机制或者安全工具本身的局限性所决定，主要表现在:每一种安全机制都有一定的应用范围和应用环境;安全工具的使用受到人为因素的影响;系统的后门是传统安全工具难于考虑到的地方;只要是程序，就可能存在BUG。而这一系列的缺陷，更加给想要进行攻击的人以方便。因此，网络安全问题可以说是由人所引起的。

3．Internet安全技术

Internet安全从技术上来说，主要由防病毒、防火墙、入侵检测等多个安全组件组成，一个单独的组件无法确保网络信息的安全性。早期的网络防护技术的出发点是首先划分出明确的网络边界，然后在网络边界处对流经的信息利用各种控制方法进行检查，只有符合规定的信息才可以通过网络边界，从而达到阻止对网络的攻击、入侵的目的。目前广泛运用和比较成熟的网络安全技术主要有防火墙技术、数据加密技术、防病毒技术等。主要的网络防护措施包括以下3种。

1)防火墙

防火墙是一种隔离控制技术，通过预定义的安全策略，对内外网通信强制实施访问控制。常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。包过滤技术是在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤逻辑，检查数据流中的每个数据包，根据数据包的源地址、目标地址以及包所使用的端口确定是否允许该类数据包通过;状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别，与传统包过滤防火墙的静态过滤规则表相比，它具有更好的灵活性和安全性;应用网关技术在应用层实现，它使用一个运行特殊的“通信数据安全检查”软件的工作站来连接被保护网络和其他网络，其目的在于隐蔽被保护网络的具体细节，保护其中的主机及其数据。

2)数据加密与用户授权访问控制技术

与防火墙相比，数据加密与用户授权访问控制技术比较灵活，更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护，需要系统级别的支持，一般在操作系统中实现。数据加密主要用于对动态信息的保护。对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击，虽无法避免，但却可以有效地检测，而对于被动攻击，虽无法检测，但却可以避免，实现这一切的基础就是数据加密。

数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法，这种变换是受“密钥”控制的。在传统的加密算法中，加密密钥与解密密钥是相同的，或者可以由其中一个推知另一个，称为“对称密钥算法”。这样的密钥必须秘密保管，只能为授权用户所知，授权用户既可以用该密钥加密信息，也可以用该密钥解密信息，DES是对称加密算法中最具代表性的算法。如果加密/解密过程各有不相干的密钥，构成加密/解密的密钥对，则称这种加密算法为“非对称加密算法”或称为“公钥加密算法”，相应的加密/解密密钥分别称为“公钥”和“私钥”。在公钥加密算法中，公钥是公开的，任何人可以用公钥加密信息，再将密文发送给私钥拥有者。私钥是保密的，用于解密其接收的被公钥加密过的信息。典型的公钥加密算法如RSA，是目前使用比较广泛的加密算法。

3)安全管理队伍的建设

在计算机网络系统中，绝对的安全是不存在的。制定健全的安全管理体制是计算机网络安全的重要保证，只有通过网络管理人员与使用人员的共同努力，运用一切可以使用的工具和技术，尽一切可能去控制、减小一切非法的行为，尽可能地把不安全的因素降到最低。同时，要不断地加强计算机信息网络的安全规范化管理力度，大力加强安全技术建设，强化使用人员和管理人员的安全防范意识。网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略，为了更好地进行安全管理工作，应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。只有共同努力，才能使计算机网络的安全可靠得到保障，从而使广大网络用户的利益得到保障。

总之，目前Internet网络安全是一个综合性的课题，涉及技术、管理、使用等许多方面，既包括信息系统本身的安全问题，也有物理的和逻辑的技术措施，一种技术只能解决一方面的问题，而不是万能的。目前所打造的网络安全体系，最大的问题是需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面，总是不断地向上攀升，所以安全产业也随着新技术发展而不断发展。