第七章  网络安全

    随着计算机网络技术的发展，网络的安全和可靠成为不同使用层次的用户共同关心的问题。人们都在希望自己的网络能够更加可靠的运行，不受外来入侵者的干扰和破坏。所以解决好网络的安全和可靠性，是保证网络正常运行的前提和保障。下面分别介绍网络的安全与可靠性。

    多用户、网络计算机的性质引入了各种潜在的安全问题。组织内部网络系统的安全问题应是每个网络策划者和管理者所关注的重点。

一、计算机安全基础

    国际标准化组织曾建议计算机安全的定义为：“计算机系统有保护，计算机系统硬件、数据不被偶然或故意地泄露、更改和破坏。”为了帮助计算机用户区分和解决计算机网络安全问题，美国国防部公布了“桔黄皮书”（正式名为“可信计算机系统标准评估准则”），对多用户计算机系统安全级别的划分进行了规定。
    桔黄皮书将计算机安全由低到高分为四类七级： D1、 C1、 C2、 B1、 B2、 B3、 A1。知道这些分类可以了解在一些系统中固有的各种安全风险，并能掌握如何减少或排除这些风险的方法。
    D1级，计算机安全的最低一级。不要求用户进行用户登录和密码保护，任何人都可以使用，整个系统是不可信任的，硬件软件都易被侵袭。 D1级的计算机系统包括： MS一DOS、
MS-windows3.X、windows95、APPLE的SYSTEM7.X。
    C1级，自主安全保护级。要求硬件有一定的安全级（如计算机带锁），用户必须通过登录认证方可使用系统，并建立了访问许可权限机制。但C1级不能控制进入系统的用户的访问级别，用户可以直接访问操作系统的根。常见的C1级的计算机系统包括：早期的UNIX、XENIX、Novell3.X。
    C2级，受控存取保护级。比C1级增加了几个特性：引进了受控访问环境（用户权限级别），进一步限制了用户执行某些系统指令；授权分级使系统管理员给用户分组，授予他们访问某些程序的权限或访问分级目录，数据访问控制为目录级；采用系统审计，跟踪记录所有安全事件及系统管理员的工作。达到C2级的常见计算机系统包括： UNIX、XENIX、Novell3.X以上版本、windowsNT。
    B1级，标记安全保护级。对网络上的每一个对象都实施保护；支持多级安全，对网络、应用程序工作站实施不同的安全策略；对象必须在访问控制之下，不允许拥有者自己改变所属资源的权限。 B1级计算机系统的主要拥有者是政府机构和防御承包商。
    B2级，结构化保护级。对网络和计算机系统中所有对象都加以定义，给一个固定标签。
为工作站、终端、磁盘驱动器等设备分配不同的安全级别：按照最小特权原则取消权力无限大的特权用户，任何个人都不能享有操纵和管理计算机的全部权力。
    B3级，安全域级。要求用户工作站或终端必须通过信任的途径连接到网络系统内部的主机上；采用硬件来保护系统的数据存储区，根据最小特权原则，增加了系统安全员，将系统管理员、系统操作员和系统安全员的职责隔离，将人为因素对计算机安全的威胁减至最小。
    A1级，验证设计级，桔黄皮书中的最高安全级。本级包括了以上各安全级别的所有措施，并附加了一个安全系统的受监视设计。合格的个体必须经过分析并通过这一设计：所有构成系统的部件的来源都必须有安全保证，还规定了将安全计算机系统运送到现场安装所必须遵守的程序。
    综上所述， D1级是不具备最低安全限度的等级， C1和C2级是具备最低安全限度的等级， B1和B2级是具有中等安全保护能力的等级，基本可以满足一·般的重要应用的安全要求，B3和A1属于最高安全等级，其成本增加很多，只有极其重要的应用才需要使用这种安全等级的系统。
    网络规划者应对可能遇到的危险进行评估，在网络设计和运行时考虑相应的安全措施。网络安全控制措施主要应从物理安全、访问控制和传输安全等三个方面来考虑。

二、物理安全

    物理安全可以分为两个方面，一是人为对网络的损害，另一个是网络对使用者的危害。最常见的是施工人员由于不了解在地下电缆的位置，因而弄断网络电缆，可以通过立标牌标明电缆位置的措施加以防范。
    未采用结构化布线的网络经常会出现使用者对电缆的损坏，如无意中碰断或碰坏电缆，从而造成网络通讯故障，因此，尽量采用结构化布线来安装网络。
    另外，人为的偷窃、故意破坏、小动物（鼠类、虫类等）的破坏，自然灾害（洪水、火灾
等）的影响，都会对网络造成威胁，在规划一个网络时都要加以考虑。
    网络对使用者的危害在于电缆的电击、高频信号的辐射等。所以，网络的绝缘、接地和屏蔽工作都要做好。
    物理控制的原则如下：
  （1）所有的网络节点（包括交换机、集线器、主机、网络打印机等）都要设有物理保护，不能随意让人接触。
  （2）重要的主机和网络设备配备电源保护和备份电源。
  （3）室外的网络电缆要深埋，并加以标识；室内采用结构化布线，尽量减少外露的电缆和接头。
  （4）机房要设有火灾、烟雾自动报警装置，常备灭火器等设施。
  （5）机房的保护地安装要符合有关标准。
  （6）所有的入网主机和设备都要编有统一编号。
  （7）所有的系统备份磁带都要保存在主机房以外的安全地方。
  （8）主服务器要加带口令的屏幕保护及键盘锁。
  （9）对网络操作人员定期进行安全教育和培训，出问题要严格追究有关人员责任。

三、访问控制

    访问控制识别并验证用户，并将用户限制于己授权的活动和资源。网络的访问控制可以从以下几个方面来考虑规划。

    1、口令

    网络安全系统的最外层防线就是网络用户的登录，在注册过程中，系统会检查用户的登录名和口令的合法性，只有合法的用户（登录名和口令都输入正确）才能进入系统，不合法的用户将被拒绝，因此，只要知道系统的登录名和口令后，任何人都可以进入一个系统。
    用户的登录名一般都是不保密的，所以，口令的安全非常重要，下面主要介绍有关口令的安全技术。

（1）．口令受到攻击的途径
（a）在输入口令时被人偷窃
    实际上这是最常见的安全问题，如果在输入口令时附近有不良企图的人，他就可以偷看或偷听（一些特殊键的声音，如空格是可以听出来的）到口令。
（b）被口令破解程序破解
    一般情况下，系统会将口令以密文的形式存放在一个磁盘文件里，从原理上讲，是不可能从口令的密文而计算出口令的明文的。但是，口令加密的算法是公开的，破解口令者拥有一些算法和工具，再加上一台中等性能的计算机，就可以破解一些易受攻击的口令（如字典上的常用字，使用者姓名，生日等）。
    目前甚至有这样的共享程序，如专门破解UNIX口令的CRACKER（从ftp.cert.org可以得到），使用它自带的字典就可以破解很多粗心用户的口令。当然，系统管理员也可用这种工具来检查系统的安全性。另外，还有一种纯用蛮力攻击的方法，即使用穷举策略猜测系统的口令，这种的方法的代价就是时间和耐心了。
（c）被网络分析仪或其它工具窃听
    安装在适当位置上的网络分析仪可以截取到网络上传输的数据，对这些数据加以分析计算后，得到系统口令也不是一件很困难的事了。所以，重要的口令不能以明文传送。另外，对网络的管理也很重要，不明身份和用意的网络分析仪及嗅探器是应严格禁止的。
（d）误入LOGIN的特洛伊木马陷阱使口令被窈取
    这种古老的手段至今在发挥作用，无论是一小段简单的SHELL程序，还是一个高明的服务器程序所设计的特洛伊木马陷阱，都能窃取系统口令。虽然这种手段看起来并不怎么高明，但对于毫无戒心的人来说，确实行之有效。系统管理员和用户都要提高警惕性，这是最重要的。
(2)．口令安全的基本守则
（a) 采用不易猜测，无规律的口令，字符数不能少于6个。
（b）不同的系统采用不同的口令。
（c）定期更换口令，最长不超过半年。
（d）采用加密的方式保存和传输口令。
（e）对每次的登录失败作记录并认真查找原因。
（f）系统管理员经常检查系统的登录文件及登录日志。
（g）系统中不能存在无口令的用户。
（h）不能在别人面前输入重要的口令。
（i）保持与系统厂商的联系，经常对系统进行升级，堵住安全漏洞。

2、网络资源属主、属性和访问权限

    网络资源主要包括共享文件、共享打印机、网络通信设备等网络用户都可以使用的资源。资源的属主体现了不同用户对资源的从属关系，如建立者、修改者、同组成员等，资源的属性表示了资源本身的存取特性，如可被谁读、写或执行等。访问权限主要体现在用户对网络资源的可用程度上。利用指定网络资源的属主。属性和访问权限可以有效地在应用级控制网络系统的安全性。
（1）．资源属主
    一般由资源的创建者或系统管理员来指定，通常分为几类，各类分别具有不同的权限。如UNIX中，资源的属主有三种： owner、group、other：在Notes中则有管理员、设计者、编辑者、作者、读者。委托人等多种属主。
（2）．资源属性
    资源的属性一般由资源的属主来设定，它反应了在不同情况下所采取的不同访问控制，常见的有文件与目录属性，如只读、读写、可执行、隐含等， NetWare有两种目录属性和七种文件属性，可称是最丰富的。
（3）．资源的访问权限
    访问权限是一个通用概念，主要指对资源的存取动作，如读写、删除、执行。
（4）．对资源访问的控制
    一个用户访问一个网络资源的能力主要由上述的资源属主、资源属性来决定。所以，控制对资源的访问，可以通过改变资源的属主及资源的属性来实现。如：为防止某一类用户破坏文件，将文件设为该类用户只读，为防止某一类用户看见文件，将文件设为该类用户不可见：为授予某一类用户修改和使用文件的权力，将文件设为该类用户可读写与可执行。

3、网络安全监视

    网络监视通称为“网管”，它的作用主要是对整个网络的运行情况进行动态地监视并及时处理各种事件。一般网络监视都采用专用的软件系统，目前己制定了关于网络监视的标准并产生了很成熟的通用产品，如HP的OpenView， IBM的NetView等。
    通过网络监视可以简单明了地找出并解决网络上的安全问题，如定位网络故障点、捉
住IP盗用者、控制网络访问范围等。唯一的不足是需要投资购买网络监视硬件与软件，它们通常都价格不菲。

4、审计和跟踪

    网络的审计和跟踪包括对网络资源的使用、网络故障，系统记帐等方面的记录和分析。这对网络的安全来说是至关重要的，回为系统管理员不可能每时每刻都坐在网络监视器前并捕捉到每一次网络事件。
    审计和跟踪一般由两部分组成，一是记录事件，即将各类事件统统记录到文件中；另一个即对记录的分析和统计，从而找出问题所在。
    通常需要审计和跟踪的网络事件有：系统的启动与停止；系统的异常中断与停机；用户的登录与注销，用户的错误登录：对各种网络共享资源的访问者与访问动作；改变口令的动作，改变不同资源属主、属性与访问权限的动作；当前活动的系统用户与系统进程。

四、传输安全

    传输安全要求保护网络上被传输的信息，以防止被动的（未加修改）和主动的（加以修改）侵犯。良好的物理安全控制是保证传输安全的前提，但还远远不够。下面介绍一些对数据传输保护的方法。

1、加密与数字签名

    任何良好的安全系统必须包括加密，这已经成为既定的事实。因为几乎所有的网络都有可能被窃听，借助于各种各样的手段，一个用户可以截获全部网络上传输的数据；但如果传输的数据是己加密的，则在没有解密密钥的情况下，截获的数据没有任何意义。
   （1）．如何实现加密
    原始数据（明文）根据一个密钥，被一加密算法处理而生成一组新的不可识别的数据（密文），这一过程称为加密。利用密钥及解码算法，将上述过程逆转，得到加密前的原始数据，即称为解密。
    传统的加密技术以数据的发送者和接收者知道并使用相同的密钥为基础，发送者用一个密钥将数据加密，接收者则使用同样的密钥将数据解密，这种方法称为对称加密技术。它的主要问题在于密钥传送的安全性，常常由于密钥管理的问题而发生数据的失密。为了解决密钥的管理问题， 1976年发明了公开密钥加密技术，这种技术使用一对密钥，分别称为公开的和私有的，公开密钥被公开，数据在传输之前用接收者的公开密钥进行加密，接收者用自己的私有密钥进行解密，公开密钥技术的主要优点是增加了密钥的安全性，另外还可提供一种数字签名的方法。但这种技术具有一个很大的缺点：它的速度较慢，显著慢于对称加密技术，相同信息量下的加密速度，约为对称加密的千分之一，所以在用公开密钥技术加密大量数据和实时加密时，有很多困难。从其它角度讲，公开密钥技术的安全度有些建立在一些未被完全证明的理论之上，诸如因子分解以及离散对数问题，因此还不能认为它是绝对安全的。
    目前比较实用的系统常将两种加密算法结合起来使用，以取得保密性好和速度相对较快的效果。
    网络上的加密可以分为三层，第一层为数据链路层加密，即将数据在线路传输前后分别对其进行加密不“解密，这样可以减少在传输线路上被窃听的危险，但付出的代价是使网络运行和传输的速度变慢：第二层是传输层的力，密，使数据在网络传输期间保持加密状态。第三层是应用层上的加密，让网络应用程序对数据进行加密和解密。上述三层可以单独使用，但结合在一起使用效果会达到最佳。
（2）．常用的加密算法
    直到现在，DES（数据加密标准）仍然是每一个加密者的标准，它要求至少56 bit的密钥。
由于这种标准自1977年就被IBM提出并开始使用，所以有大量的成熟产品可用，并且它的保密性也得到许多部门（尤其是美国军方不口政府部门）的认可。（1997年由一个美国民间组织利用Internet的力量将DES成功破译。）
    另一个著名的加密算法RSA的名称来自它的三个发明者的名字（Rivem， shain1r，Adleman），这是一种用于加密和验证的公开密钥加密算法。目前nsA也己得到了广泛的应用，在计算机平台、金融和工业部门中最多。（在1994年4月，由600多位专家利用Internet，使用1600多台计算机将RSA破译。）
（3）．数字签名
    数字签名是数据的接收者用来证实数据的发送者确实无误的一种方法，这种签名所起的作用与纸面上的亲笔签名是一致的。它主要通过加密算法和证实协议而实现，主要用于邮件安全。目前通常采用的签名标准是DSS（数字签名标准）。

2、防火墙

    TCP/IP协议群的迅速崛起，导致了Internet的诞生与迅猛发展。就我国来讲， 1995年以前，我国的Internet入网计算机几乎为零，但到了1997年10月为止，我国就己有入网主机29.9万台（直接上网4．9万，拨号上网25万），入网用户62万人，Internet的发展速度可见一斑。按它现在的发展速率预测，到本世纪末，将有超过一百万个计算机网络和超过十亿的用户加入Internet。然而， 由于TCP／IP的先天性特征，Internet上是不安全的，为了使Internet更安全，推出不少技术标准，防火墙（firewall）是Internet上广泛应用的一种安全措施。

3、 SSL协议

    SSL（Secures Socket Layer)是在Internet电子商贸活动中发展起来的技术，由Netscape
公司设计，它是位于TCP/IP之上的安全协议，可以实现Internet中数据的安全传输。
    SSL的目标是提供两个应用软件之间通信的保密性和可靠性，它独立于应用协议，因而上层协议可以叠加于SSL协议上。 SSL的安全协议集中于握手协议上，每个需要提供服务的厂家都要向CA（Certificaie Authority）申请授权，在CA检验申请合法后， CA会在申请上添加一个数字签名，并提供给厂家使用。
   另外，一种基SSL的HTTP安全传输协议SHTTP也是目前常用的www安全传输技术，它定义了信息的封装、加密、密钥传输、 认证传输及信息过滤等功能。 SHTTP支持RSA、 Kerberos等加密协议，还为程序员提供了灵活的编程接口。

4、邮件安全

    据统计，电子邮件是Internet使用最多的服务，每时每刻Internet上都有无数的电子邮件在传送着，其中有不少是相当重要的邮件。一般情况下，邮件的传输都以明文方式进行，一封邮件从发送者到接收者，往往经过多个节点的层层传递，失密的可能性极大。因此，保证邮件的安全是相当现实的一个问题。
    一般情况下，使用加密与数字签名的技术来保证邮件安全，目前最流行的方法是PGP（Pretty Good Privacy）技术， PGP是基于RSA加密技术的邮件加密系统，主要用于防止非授权者对邮件的阅读与修改，同时还能为邮件提供数字签名以保证邮件的真实性。
    PGP不仅可送来传送重要的私人邮件，还可用来发表公开声明，所有收到声明的人都可以用声明人的公钥对其认证。
    Internet上有许多免费的PGP共享软件可供用户使用。在发送邮件前，用PGP软件将其加密，就可以保证邮件安全地到达接收者了。