第一篇：淺談金融部門網(wǎng)絡(luò)應(yīng)用層安全問題探析

論文關(guān)鍵詞:金融信息化 網(wǎng)絡(luò)應(yīng)用層 信息系統(tǒng) 保障體系 安全

論文摘要:金融機(jī)構(gòu)網(wǎng)上業(yè)務(wù)的飛速發(fā)展，一方面使人們充分享受到網(wǎng)上金融服務(wù)帶來的便利性，另一方面，網(wǎng)絡(luò)應(yīng)用層安全問題也日益受到人們的關(guān)注，成為金融機(jī)構(gòu)亞待解決的問題。本文主要探討了金融部門網(wǎng)絡(luò)應(yīng)用層安全現(xiàn)狀和存在的問題，并提出了防范網(wǎng)絡(luò)應(yīng)用層安全問題的對(duì)策。

如今，金融部門越來越多的關(guān)鍵業(yè)務(wù)必須通過網(wǎng)絡(luò)進(jìn)行，尤其是網(wǎng)上銀行、網(wǎng)上證券等新興業(yè)務(wù)對(duì)網(wǎng)絡(luò)的依賴性更強(qiáng)。然而，面對(duì)日益猖撅的黑客攻擊，如計(jì)算機(jī)病毒、垃圾郵件、網(wǎng)頁篡改、釣魚網(wǎng)站等，網(wǎng)絡(luò)應(yīng)用層安全問題已經(jīng)成為金融部門的頭等大事，也是必須要解決的問題。本文主要探討金融部門網(wǎng)絡(luò)應(yīng)用層安全現(xiàn)狀和存在的問題，以及建設(shè)應(yīng)用層安全防范體系的技術(shù)要求與管理要求。

一、金融部門網(wǎng)絡(luò)應(yīng)用層安全現(xiàn)狀

網(wǎng)絡(luò)信息安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不會(huì)遭到偶爾的或者惡意的破壞、更改、泄露，系統(tǒng)能夠連續(xù)、可靠、正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)信息安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的邊緣性綜合學(xué)科。根據(jù)美國信息保障技術(shù)框架(IATF給出的信息安全分層模型，信息安全體系結(jié)構(gòu)如圖1所示。近年來，隨著新設(shè)備的應(yīng)用、新技術(shù)的發(fā)展和各種標(biāo)準(zhǔn)建設(shè)的開展，金融部門在物理安全、系統(tǒng)安全、網(wǎng)絡(luò)安全防范等方面取得了長足的進(jìn)步。但是，由于網(wǎng)絡(luò)采用TCP/IP開放協(xié)議，協(xié)議本身的漏洞和網(wǎng)絡(luò)技術(shù)的開放性，給信息安全帶來了巨大的隱患。此外，隨著金融部門網(wǎng)上增值業(yè)務(wù)的開展，特別是與網(wǎng)絡(luò)相關(guān)的各種網(wǎng)絡(luò)增值服務(wù)的不斷增加，金融部門信息安全日益受到質(zhì)疑和挑戰(zhàn)。

二、金融部門網(wǎng)絡(luò)應(yīng)用層存在的安全問題

當(dāng)前，金融部門網(wǎng)上信息系統(tǒng)受到來自公共互聯(lián)網(wǎng)絡(luò)的各類攻擊和病毒人侵，對(duì)金融信息系統(tǒng)應(yīng)用安全帶來了威脅和挑戰(zhàn)，如圖2所示。

(一)計(jì)算機(jī)病毒互聯(lián)網(wǎng)化、深度化、產(chǎn)業(yè)化帶來的威脅

根據(jù)瑞星公司《2008年度中國大陸地區(qū)電腦病毒疫情&互聯(lián)網(wǎng)安全報(bào)告》,2008年的病毒數(shù)量呈現(xiàn)出幾何級(jí)數(shù)的增長，比2007年增長12倍以上，其中木馬病毒5 903 695個(gè)，后門病毒1 863 722個(gè)，兩者之和超過776萬，占總體病毒的83.40}0。這些病毒都以竊取用戶網(wǎng)銀、網(wǎng)游賬號(hào)等虛擬財(cái)產(chǎn)為主，帶有明顯的經(jīng)濟(jì)利益特征。2008年11月，中國金融認(rèn)證中心對(duì)外發(fā)布《2008中國網(wǎng)上銀行調(diào)查報(bào)告》，報(bào)告顯示，2008年全國個(gè)人網(wǎng)銀用戶比例為19.9%，企業(yè)網(wǎng)銀用戶的比例達(dá)到42.8%，企業(yè)規(guī)模越大，使用網(wǎng)銀的比例就越高。但是，安全性仍然是用戶選擇網(wǎng)銀時(shí)最看重的因素。

(二)黑客人侵攻擊

當(dāng)前，金融部門主要采用傳統(tǒng)的被動(dòng)防御技術(shù)阻止黑客的人侵，通過采用防火墻、入侵檢測(cè)、防病毒網(wǎng)關(guān)、漏洞掃描、災(zāi)難恢復(fù)等手段

對(duì)重要金融信息系統(tǒng)進(jìn)行防護(hù)。但隨著網(wǎng)絡(luò)攻擊的自動(dòng)化、智能化、手段多樣化，這種靜態(tài)的、被動(dòng)的基于特征庫的技術(shù)防御架構(gòu)已經(jīng)遠(yuǎn)遠(yuǎn)落后于網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展，難以從根本上解決網(wǎng)絡(luò)安全問題。

(三)網(wǎng)頁篡改技術(shù)攻擊

近年來，由于黑客技術(shù)日益泛濫，越來越多的網(wǎng)頁篡改技術(shù)可以輕易穿透防火墻，繞過人侵檢測(cè)等安全設(shè)施。當(dāng)前網(wǎng)頁篡改技術(shù)主要包括以下幾個(gè)方面。

1.利用各種漏洞進(jìn)行木馬植人，然后利用木馬程序進(jìn)行文件篡改。2利用竊聽或者暴力破解的方法獲取網(wǎng)站合法管理員的用戶名、口令，然后以網(wǎng)站管理員的身份進(jìn)行網(wǎng)頁篡改活動(dòng)。

3.利用病毒進(jìn)行攻擊。

4.網(wǎng)站管理員沒有對(duì)網(wǎng)站進(jìn)行有效的管理和配置，特別是用戶名、密碼資源管理混亂，攻擊者往往利用這些漏洞進(jìn)行網(wǎng)站攻擊，獲取權(quán)限，篡改網(wǎng)站。

網(wǎng)上拓展業(yè)務(wù)網(wǎng)頁被篡改將影響業(yè)務(wù)的正常運(yùn)行，嚴(yán)重影響企業(yè)的聲譽(yù)。

(四)網(wǎng)絡(luò)釣魚技術(shù)攻擊

網(wǎng)絡(luò)釣魚者通過建立域名和網(wǎng)頁內(nèi)容都與真正網(wǎng)上銀行系統(tǒng)、網(wǎng)上證券交易平臺(tái)極為相似的網(wǎng)站，引誘用戶輸人賬號(hào)和密碼信息，然后通過真正的網(wǎng)上銀行、網(wǎng)上證券系統(tǒng)或者偽造銀行儲(chǔ)蓄卡、證券交易卡盜竊資金，從而引起嚴(yán)重的社會(huì)問題。

三、金融部門網(wǎng)絡(luò)應(yīng)用層安全問題的防范對(duì)策

針對(duì)上述金融部門網(wǎng)絡(luò)應(yīng)用層存在的安全問題，在推廣金融信息系統(tǒng)安全等級(jí)保護(hù)的過程中，需要對(duì)各種安全風(fēng)險(xiǎn)進(jìn)行合規(guī)性檢查和風(fēng)險(xiǎn)評(píng)估，尋找防范各種應(yīng)用風(fēng)險(xiǎn)的技術(shù)要求和管理要求。

(一)金融信息系統(tǒng)保障體系的技術(shù)要求

在經(jīng)歷了網(wǎng)絡(luò)建設(shè)、數(shù)據(jù)大集中、網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施等階段后，為了能夠進(jìn)一步滿足金融信息系統(tǒng)應(yīng)用層安全的需要，構(gòu)建起更加有效的整體防護(hù)體系。在技術(shù)方面，應(yīng)該將更多的前沿技術(shù)融入到產(chǎn)品中，研發(fā)出效率更高、更加智能的反病毒引擎。同時(shí)，把防病毒、防垃圾郵件、防網(wǎng)頁篡改、防釣魚網(wǎng)站欺騙、防黑客攻擊、防火墻等功能進(jìn)行有效集成，從而增強(qiáng)金融信息系統(tǒng)防范各種風(fēng)險(xiǎn)的能力。

1.反病毒技術(shù)

伴隨著網(wǎng)站掛馬傳播病毒、應(yīng)用軟件漏洞、釣魚攻擊、Rootkit病毒、僵尸網(wǎng)絡(luò)等安全隱患的持續(xù)增長，反病毒軟件處理互聯(lián)網(wǎng)問題的能力也持續(xù)得到增強(qiáng)。計(jì)算機(jī)病毒自動(dòng)掃描技術(shù)從傳統(tǒng)的、被動(dòng)的特征代碼技術(shù)，校驗(yàn)和技術(shù)朝智能型、主動(dòng)型的啟發(fā)式掃描技術(shù)，行為監(jiān)測(cè)技術(shù)，虛擬機(jī)技術(shù)的方向發(fā)展。但面對(duì)“病毒產(chǎn)業(yè)”的互聯(lián)網(wǎng)化，僅靠一種防計(jì)算機(jī)病毒技術(shù)已經(jīng)不能對(duì)金融系統(tǒng)信息網(wǎng)絡(luò)起到很好的保護(hù)作用。因此，金融部門網(wǎng)上銀行、網(wǎng)上證券等網(wǎng)上拓展業(yè)務(wù)必須采用立體式安全防護(hù)體系，通過網(wǎng)絡(luò)網(wǎng)關(guān)、互聯(lián)網(wǎng)防護(hù)、服務(wù)器防護(hù)和客戶端防護(hù)，綜合利用各種前沿技術(shù)，建立金融信息系統(tǒng)反病毒工作的“深層防護(hù)安全模型”，在計(jì)算機(jī)病毒進(jìn)人金融信息系統(tǒng)之前就將其屏蔽，從而確保金融信息系統(tǒng)網(wǎng)絡(luò)安全。

2.主動(dòng)防御技術(shù)

主動(dòng)防御技術(shù)作為一種新的對(duì)抗網(wǎng)絡(luò)攻擊的技術(shù)，采用了完全不同于傳統(tǒng)防御手段的防御思想和技術(shù)，克服了傳統(tǒng)被動(dòng)防御的不足。在主動(dòng)防御技術(shù)體系中，由防護(hù)技術(shù)(邊界控制、身份認(rèn)證、病毒網(wǎng)關(guān)、漏洞掃描)、檢測(cè)技術(shù)、預(yù)測(cè)技術(shù)、響應(yīng)技術(shù)(人侵追蹤、攻擊吸收與轉(zhuǎn)移、蜜罐、取證、自動(dòng)反擊)等組成，其優(yōu)勢(shì)體現(xiàn)在以下幾個(gè)方面:一是主動(dòng)防御可以預(yù)測(cè)未來的攻擊形勢(shì)，檢測(cè)未知的攻擊，從根本上改變了以往防御落后于攻擊的不利局面;二是具有自學(xué)習(xí)的功能，可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全防御系統(tǒng)進(jìn)行動(dòng)態(tài)的加固;三是主動(dòng)防御系統(tǒng)能夠?qū)W(wǎng)絡(luò)進(jìn)行監(jiān)控，對(duì)檢測(cè)到的網(wǎng)絡(luò)攻擊進(jìn)行實(shí)時(shí)的響應(yīng)。

隨著網(wǎng)上金融的深入發(fā)展，金融系統(tǒng)防御體系必須由被動(dòng)的防御體系轉(zhuǎn)人主動(dòng)防御體系，將神經(jīng)網(wǎng)絡(luò)技術(shù)、遺傳算法、免疫算法、基于貝葉斯概率的內(nèi)容過濾技術(shù)等新概念引人主動(dòng)防御體系中，增強(qiáng)金融信息系統(tǒng)防御網(wǎng)絡(luò)攻擊的自適應(yīng)、自學(xué)習(xí)能力。

3.網(wǎng)頁防篡改技術(shù)

為了防止重要網(wǎng)上金融信息系統(tǒng)被篡改，金融部門除了需要對(duì)操作系統(tǒng)和應(yīng)用程序進(jìn)行合理配置外，還需要采用必要的技術(shù)手段對(duì)網(wǎng)頁進(jìn)行監(jiān)視，以便及時(shí)發(fā)現(xiàn)篡改現(xiàn)象并進(jìn)行恢復(fù)和其他處理。一是盡可能堵塞所有操作系統(tǒng)漏洞、限制管理員的權(quán)限、防止黑客利用惡意的HTTP請(qǐng)求人侵系統(tǒng)，例如對(duì)網(wǎng)頁請(qǐng)求參數(shù)進(jìn)行驗(yàn)證，防止非法參數(shù)傳人、SQL注人攻擊，從而阻止黑客的侵人;二是利用成熟的輪詢檢測(cè)技術(shù)、事件觸發(fā)技術(shù)、核心內(nèi)嵌技術(shù)等，以實(shí)現(xiàn)阻止黑客侵人后篡改的目的。但要想徹底地解決網(wǎng)頁篡改問題，僅僅利用上面的一種或者兩種技術(shù)是不夠的，應(yīng)該綜合考慮和應(yīng)用多種技術(shù)，才能夠有效地解決問題。

(二)金融信息系統(tǒng)保障體系的管理要求

金融部門網(wǎng)上拓展亞務(wù)必須要有一套完善的管理制度相配合，金融部門要建立完整的應(yīng)用層安全管理體系、運(yùn)行維護(hù)體系，明確崗位職責(zé)，并且按照規(guī)護(hù)百的運(yùn)維流程進(jìn)行操作，從而更好地促進(jìn)金融部門網(wǎng)上業(yè)務(wù)的安全可靠運(yùn)行。但是，目前金融部門信息系統(tǒng)保障體系建設(shè)往往忽略安全設(shè)計(jì)，重技術(shù)，輕安全，人的安全意識(shí)不足。以計(jì)算機(jī)病毒為例，目前的病毒產(chǎn)業(yè)鏈條由4個(gè)部分組成:挖掘安全漏洞、制造網(wǎng)頁木馬、制造盜號(hào)木馬、制造木馬下載器，這些環(huán)節(jié)形成了分工明確、效率快捷的工業(yè)化‘生產(chǎn)線”。但挖掘安全漏洞是病毒傳播的基礎(chǔ)，只要我們能夠做好日常補(bǔ)丁更新工作，常見的病毒是很難侵人的，由此可見日常標(biāo)準(zhǔn)化、流程化管理的重要性。

四、小結(jié)

金融信息系統(tǒng)應(yīng)用層安全保障體系建設(shè)是一個(gè)復(fù)雜的系統(tǒng)工程，涉及技術(shù)和管理等多個(gè)層面，隨著網(wǎng)絡(luò)和計(jì)算機(jī)技術(shù)的飛速發(fā)展，新的安全問題不斷產(chǎn)生和變化。因此，應(yīng)用層的安全問題必須依靠不斷創(chuàng)新的技術(shù)進(jìn)步與應(yīng)用、自身管理制度的不斷完善和加強(qiáng)、網(wǎng)絡(luò)工作人員素質(zhì)的不斷提高等措施來保障。同時(shí)要加快網(wǎng)絡(luò)信息安全技術(shù)手段的應(yīng)用和創(chuàng)新，從而為金融部門網(wǎng)上拓展業(yè)務(wù)的發(fā)展提供安全可靠的信息網(wǎng)絡(luò)應(yīng)用層安全環(huán)境。

第二篇：應(yīng)用層常用協(xié)議

應(yīng)用層常用協(xié)議DNS：域名系統(tǒng)DNS是因特網(wǎng)使用的命名系統(tǒng)，用來把便于人們使用的機(jī)器名字轉(zhuǎn)換為IP地址。

現(xiàn)在頂級(jí)域名TLD分為三在類：國家頂級(jí)域名nTLD；通用頂級(jí)域名gTLD;基礎(chǔ)結(jié)構(gòu)域名 域名服務(wù)器分為四種類型：根域名服務(wù)器；頂級(jí)域名服務(wù)器；本地域名服務(wù)器；權(quán)限域名服務(wù)器。FTP：文件傳輸協(xié)議FTP是因特網(wǎng)上使用得最廣泛的文件傳送協(xié)議。FTP提供交互式的訪問，允許客戶指明文件類型與格式，并允許文件具有存取權(quán)限。FTP其于TCP。telnet遠(yuǎn)程終端協(xié)議：telnet是一個(gè)簡單的遠(yuǎn)程終端協(xié)議，它也是因特網(wǎng)的正式標(biāo)準(zhǔn)。又稱為終端仿真協(xié)議。HTTP：超文本傳送協(xié)議，是面向事務(wù)的應(yīng)用層協(xié)議，它是萬維網(wǎng)上能夠可靠地交換文件的重要基礎(chǔ)。http使用面向連接的TCP作為運(yùn)輸層協(xié)議，保證了數(shù)據(jù)的可靠傳輸。電子郵件協(xié)議SMTP：即簡單郵件傳送協(xié)議。SMTP規(guī)定了在兩個(gè)相互通信的SMTP進(jìn)程之間應(yīng)如何交換信息。SMTP通信的三個(gè)階段：建立連接、郵件傳送、連接釋放。POP3：郵件讀取協(xié)議，POP3(Post Office Protocol 3)協(xié)議通常被用來接收電子郵件。

SNMP：簡單網(wǎng)絡(luò)管理協(xié)議。由三部分組成：SNMP本身、管理信息結(jié)構(gòu)SMI和管理信息MIB。SNMP定義了管理站和代理之間所交換的分組格式。SMI定義了命名對(duì)象類型的通用規(guī)則，以及把對(duì)象和對(duì)象的值進(jìn)行編碼。MIB在被管理的實(shí)體中創(chuàng)建了命名對(duì)象，并規(guī)定類型。

二、結(jié)合五層模型，注意分析各層的封裝，使用哪些協(xié)議。哪些協(xié)議是可靠傳輸，面向連接，哪些協(xié)議是不可靠傳輸，非面向連接？

應(yīng)用層 文件傳輸，電子郵件，文件服務(wù)，虛擬終 端TFTP，HTTP，SNMP，F(xiàn)TP，SMTP，DNS，Telnet

傳輸層：提供端對(duì)端的接口TCP，UDP

網(wǎng)絡(luò)層：為數(shù)據(jù)包選擇路由IP，ICMP，RIP，OSPF，BGP，IGMP

數(shù)據(jù)鏈路層：傳輸有地址的幀以及錯(cuò)誤檢測(cè)功能SLIP，CSLIP，PPP，ARP，RARP，MTU 物理層：以二進(jìn)制數(shù)據(jù)形式在物理媒體上傳輸數(shù)據(jù)ISO2110，IEEE802，IEEE802.2

TCP提供IP下的數(shù)據(jù)可靠傳輸，它提供的服務(wù)包括數(shù)據(jù)流傳送、可靠性、有效流控、全雙工操作和多路復(fù)用。通過面向連接、端到端和可靠的數(shù)據(jù)包發(fā)送。

而UDP則不為IP提供可靠性、流控或差錯(cuò)恢復(fù)功能，是非面向連接，不可靠的傳輸。TCP支持的應(yīng)用協(xié)議主要有：Telnet、FTP、SMTP等。

UDP支持的應(yīng)用層協(xié)議主要有：NFS（網(wǎng)絡(luò)文件系統(tǒng)）、SNMP（簡單網(wǎng)絡(luò)管理協(xié)議）、DNS（主域名稱系統(tǒng)）、TFTP（通用文件傳輸協(xié)議）等.

第三篇：網(wǎng)絡(luò)安全問題總結(jié)

計(jì)算機(jī)網(wǎng)絡(luò)安全內(nèi)容：

1、網(wǎng)絡(luò)實(shí)體的安全

2、網(wǎng)絡(luò)系統(tǒng)的安全

計(jì)算機(jī)網(wǎng)絡(luò)安全的目標(biāo)

1、完整性

2、可用性

3、機(jī)密性

4、可控性

5、不可抵賴性

計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅

網(wǎng)絡(luò)實(shí)體威脅：

1、自然因素的威脅

2、電磁泄漏產(chǎn)生信息泄漏、受電磁干擾和痕跡泄漏等威脅

3、操作失誤和意外事故的威脅

4、計(jì)算機(jī)網(wǎng)絡(luò)機(jī)房的環(huán)境威脅 網(wǎng)絡(luò)系統(tǒng)威脅：網(wǎng)絡(luò)存儲(chǔ)威脅

網(wǎng)絡(luò)傳輸威脅：截獲、中斷、篡改、偽造

惡意程序威脅：計(jì)算機(jī)病毒、計(jì)算機(jī)蠕蟲、特洛伊木馬、邏輯炸彈 網(wǎng)絡(luò)的其他威脅

影響網(wǎng)絡(luò)安全的因素

1、自然因素：自然災(zāi)害的影相、環(huán)境的影響、輔助保障系統(tǒng)的影響

2、技術(shù)因素：網(wǎng)絡(luò)硬件存在安全方面的缺陷、網(wǎng)絡(luò)軟件存在的安全漏洞、系統(tǒng)配置不當(dāng)造成的其他安全漏洞

3、人為因素：人為無意失誤、人為惡意攻擊

P2DR模型

策略Policy：是核心，所有的防護(hù)、檢測(cè)和相應(yīng)都是依據(jù)安全策略進(jìn)行實(shí)施 防護(hù) Protection：系統(tǒng)安全防護(hù)、網(wǎng)絡(luò)安全防護(hù)、信息安全防護(hù)

檢測(cè) Detection：檢查系統(tǒng)本身存在的脆弱性；檢查、測(cè)試信息是否發(fā)生泄漏、系統(tǒng)是否遭到入侵，并找出泄漏的原因和攻擊的來源。響應(yīng) Response：解決潛在安全問題 PDRR模型

Protection、Detection、Response、Recovery

網(wǎng)絡(luò)安全體系結(jié)構(gòu)

層次結(jié)構(gòu)：物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層、應(yīng)用層 TCP/IP協(xié)議：物理網(wǎng)絡(luò)接口層、網(wǎng)際層、傳輸層、應(yīng)用層 安全服務(wù)：

1、鑒別服務(wù)

2、訪問控制服務(wù)

3、數(shù)據(jù)保密性服務(wù)：連接的保密性、無連接的保密性、選擇字段的保密性、流量保密性

4、數(shù)據(jù)完整性服務(wù)：有恢復(fù)功能的連接完整性、無恢復(fù)功能的連接完整性、選擇字段的完整

性、無連接完整性、選擇字段無連接完整性

5、抗抵賴服務(wù)：數(shù)據(jù)源發(fā)證明的抗抵賴、數(shù)據(jù)交付證明的抗抵賴 安全機(jī)制

1、加密機(jī)制

2、數(shù)字簽名機(jī)制：（保證三點(diǎn)）報(bào)文鑒別、報(bào)文的完整性、不可抵賴

3、訪問控制機(jī)制：確定訪問權(quán)、建立訪問控制機(jī)制的手段

4、數(shù)據(jù)完整性機(jī)制

5、鑒別交換機(jī)制

6、業(yè)務(wù)流填充機(jī)制、7、路由控制：路由選擇、路由連接、安全策略

8、公證機(jī)制

安全管理

系統(tǒng)安全管理（活動(dòng)）：總體安全策略的管理、與其他OSI管理功能的相互作用、與安全服務(wù)管理和安全機(jī)制的交互作用、事件處理管理、安全審計(jì)管理、安全恢復(fù)管理 安全服務(wù)管理（活動(dòng)）：為安全服務(wù)指派安全保護(hù)的目標(biāo)、制定與維護(hù)選擇規(guī)則，選取安全服務(wù)所需的特定安全機(jī)制、協(xié)商需要取得管理員取得同意的可用安全機(jī)制、通過適當(dāng)?shù)陌踩珯C(jī)制管理功能調(diào)用特定的安全機(jī)制、與其他安全服務(wù)管理功能和安全機(jī)制管理進(jìn)行交互 安全機(jī)制管理：密鑰管理、加密管理、數(shù)字簽名管理、訪問控制管理、數(shù)據(jù)完整性管理、鑒別管理、通信業(yè)務(wù)流填充管理、路由控制管理、公證管理

網(wǎng)絡(luò)安全協(xié)議

一、數(shù)據(jù)鏈路層安全通信協(xié)議 在數(shù)據(jù)鏈路層提供安全機(jī)制

優(yōu)點(diǎn)：無需對(duì)其他任何上層進(jìn)行改變就能對(duì)所有數(shù)據(jù)加密，提供鏈路安全；能夠有硬件在數(shù)據(jù)傳輸和接收時(shí)輕易實(shí)現(xiàn)，對(duì)性能的影響很小能達(dá)到速率最高；能夠和數(shù)據(jù)壓縮很好的結(jié)合起來；對(duì)流分析能提供最高的保護(hù)性；對(duì)隱通道能提供最高的保護(hù)性；基于網(wǎng)絡(luò)攻擊的途徑最少。

缺點(diǎn)：只能應(yīng)用在兩個(gè)直連的設(shè)備上，而數(shù)據(jù)在網(wǎng)絡(luò)上傳輸時(shí)重要的是端到端的安全，在單獨(dú)的鏈路上加密并不能保證整個(gè)路徑的安全性；局域網(wǎng)并不能提供鏈路層安全；最高的通信成本；新節(jié)點(diǎn)加入時(shí)需要電信公司重新配置網(wǎng)絡(luò)。

PPP協(xié)議

部件：HDLC部件、可擴(kuò)展的LCP部件、NCP部件

建鏈過程：鏈路層協(xié)商階段、認(rèn)證階段、網(wǎng)絡(luò)層協(xié)商階段 PPTP協(xié)議（點(diǎn)到點(diǎn)隧道協(xié)議）

工作流程：讓遠(yuǎn)程用戶撥號(hào)連接到本地ISP，通過因特網(wǎng)安全遠(yuǎn)程訪問公司網(wǎng)絡(luò)資源。PPTP對(duì)PPP協(xié)議本身并沒有做任何修改，只是使用PPP撥號(hào)連接然后獲取這些PPP包并把它們封裝進(jìn)GRE頭中。

L2TP協(xié)議（第二層隧道協(xié)議 Layer 2 Tunneling Protocol）

好處：不必讓第二層連接在NAS（Network Access Server，網(wǎng)絡(luò)接入服務(wù)）而是在電路匯集處終止。

特點(diǎn)：差錯(cuò)控制、地址分配、身份認(rèn)證、安全性能。

網(wǎng)絡(luò)層

主要負(fù)責(zé)網(wǎng)絡(luò)地址分配和網(wǎng)絡(luò)上數(shù)據(jù)包的路由選擇。常見的安全認(rèn)證、數(shù)據(jù)加密、訪問控制、完整性鑒別等，都可以在網(wǎng)絡(luò)層實(shí)現(xiàn)。該層協(xié)議有IPSec等。

網(wǎng)絡(luò)層的優(yōu)點(diǎn)是：在網(wǎng)絡(luò)層提供安全服務(wù)具有透明性，即網(wǎng)絡(luò)層上不同安全服務(wù)的提供不需要應(yīng)用程序、其它通信層次和網(wǎng)絡(luò)部件做任何修改；密鑰協(xié)商的開銷相對(duì)來說很小；對(duì)于任何傳輸層協(xié)議都能為其“無縫”地提供安全保障；可以以此為基礎(chǔ)構(gòu)建虛擬專用網(wǎng)VPN和企業(yè)內(nèi)部網(wǎng)Intranet。

缺點(diǎn)：在于很難解決如數(shù)據(jù)的不可抵賴之類的問題。

二、傳輸層安全通信協(xié)議 在數(shù)據(jù)鏈路層提供安全機(jī)制：

優(yōu)點(diǎn)：不需要強(qiáng)制為每個(gè)應(yīng)用作安全方面的改進(jìn)，傳輸層能夠?yàn)椴煌耐ㄐ艖?yīng)用配置不同的安全策略和密鑰

缺點(diǎn)：傳輸層不可能提供類似于“隧道”和“防火墻”這樣的服務(wù)

三、應(yīng)用層安全通信協(xié)議 在應(yīng)用層提供安全機(jī)制：

優(yōu)點(diǎn)：以用戶為背景執(zhí)行，更容易訪問用戶憑據(jù)；對(duì)用戶想保護(hù)的數(shù)據(jù)具有完整的訪問權(quán)，簡化了提供某些特殊服務(wù)的工作；應(yīng)用可自由擴(kuò)展，不必依賴操作系統(tǒng)來提供

缺點(diǎn)：針對(duì)每個(gè)應(yīng)用，都要單獨(dú)設(shè)計(jì)一套安全機(jī)制

PGP加密解密過程：

1、根據(jù)一些隨機(jī)的環(huán)境數(shù)據(jù)產(chǎn)生一個(gè)密鑰

2、發(fā)送者采用加密算法，使用會(huì)話密鑰報(bào)文進(jìn)行加密

3、發(fā)送者采用非加密算法，使用接受者的公開密鑰對(duì)會(huì)話密鑰進(jìn)行加密，并與加密報(bào)文結(jié)合

PGP的簽名驗(yàn)證過程：

1、PGP根據(jù)報(bào)文內(nèi)容，利用單向hash函數(shù)計(jì)算出定長的報(bào)文摘要

2、發(fā)送者用自己的私鑰對(duì)報(bào)文摘要進(jìn)行加密得到數(shù)字簽名

3、發(fā)送者把報(bào)文和數(shù)字簽名一起打包傳送給接收者

4、接收者用相同的hash函數(shù)計(jì)算接收到的報(bào)文的摘要

5、接收者用發(fā)送者的公鑰解密接收到的數(shù)字簽名

6、接收者比較4、5步計(jì)算的結(jié)果是否相同，相同的則表示驗(yàn)證通過，否則拒絕 PGP加密簽名過程：

1、PGP根據(jù)報(bào)文內(nèi)容，利用單向hash函數(shù)計(jì)算出定長的報(bào)文摘要

2、發(fā)送者用自己的私鑰對(duì)報(bào)文摘要進(jìn)行加密得到數(shù)字簽名

3、發(fā)送者把報(bào)文和數(shù)字簽名合并然后用IDEA對(duì)稱加密算法加密

4、發(fā)生者采用RSA算法，使用接收者的公開密鑰對(duì)IDEA回話密鑰進(jìn)行加密

5、將3、4步的計(jì)算結(jié)果一起發(fā)送給接收者

6、接收者首先用自己的私鑰解密出會(huì)話密鑰

7、接收者用會(huì)話密鑰解密出郵件明文（M）和發(fā)送者的數(shù)字簽名（S1）

8、接收者用相同的單位hash函數(shù)計(jì)算M的摘要

9、接收者用發(fā)送者的公鑰解密接收到的數(shù)字簽名S1

10、接收者比較8、9的計(jì)算結(jié)果是否相同，相同的則表示驗(yàn)證通過，否則不通過

SET協(xié)議雙簽名過程：

1、產(chǎn)生訂購信息OI和支付指令PI

2、構(gòu)造雙簽名DoubleSig

3、產(chǎn)生會(huì)話密鑰：SessionKey1和SessionKey2

4、構(gòu)造通過商家發(fā)給支付網(wǎng)關(guān)的持卡人的支付授權(quán)信息CH_PG_PayAuth

5、DoubleSig構(gòu)造持卡人的支付授權(quán)信息

6、用SessionKey1加密CH_PayAuth，生成持卡人給支付網(wǎng)關(guān)的數(shù)字信封

7、構(gòu)造CH_PG_PayAuth，以及持卡人發(fā)給購物商家的購物請(qǐng)求CH_M_PurchaseReq

8、用用SessionKey2加密后，生成持卡人給商家的數(shù)字信封，向商家發(fā)送CH_M_PurchaseReq

密碼體制分類：對(duì)稱密碼體制、公鑰密碼體制、混合密碼體制 信息加密方式：鏈路加密、節(jié)點(diǎn)加密、端到端加密

消息認(rèn)證技術(shù)：消息內(nèi)容認(rèn)證、源和宿認(rèn)證、消息序號(hào)和操作時(shí)間的認(rèn)證

Web站點(diǎn)安全措施：完整性、機(jī)密性、加密、認(rèn)證、授權(quán)、責(zé)任、可用性、審計(jì) 安全策略：認(rèn)證策略、訪問控制策略、隱私策略 一般攻擊方法：對(duì)用戶的攻擊、對(duì)系統(tǒng)的攻擊

電子郵件安全策略：認(rèn)證、訪問控制、日志審計(jì)、郵件過濾、垃圾郵件行為標(biāo)識(shí) 電子郵件攻擊方法：郵件炸彈、郵件欺騙、匿名轉(zhuǎn)發(fā)、郵件病毒的危害、垃圾郵件

FTP工作模式：Port模式、Pasv模式

DNS設(shè)計(jì)缺陷問題：單點(diǎn)故障、無認(rèn)證機(jī)制、超高速緩沖中毒、訪問量和維護(hù)量巨大以及

遠(yuǎn)距離集中式數(shù)據(jù)庫

DNS安全隱患：網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)不合理、軟件配置不當(dāng)以及沒有及時(shí)更新升級(jí)

訪問控制方法：訪問控制矩陣、訪問能力表、訪問控制表、授權(quán)關(guān)系表、Bell-LaPadula模型：微信安全系數(shù)高于QQ，原因：在BLP模型中的訪問控制原則是“只能

向下讀、向上寫”，從消息保密性方面來看，由于在QQ和微信兩者中，只能是微信可以訪問QQ的信息資源，QQ可以向微信寫入數(shù)據(jù)。

Biba模型：QQ高于微信，原因：在Biba模型中，用戶只能向比自己安全級(jí)別低的課題寫

入信息，從消息完整性方面來看，由于在QQ和微信兩者中，只能是QQ可以向微信寫入信息、微信可以向QQ讀取信息

防火墻的特性：內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻 只有符合安全策略的數(shù)據(jù)流才能通過防火墻 防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力 防火墻體系結(jié)構(gòu)： 雙重宿主主機(jī)體系結(jié)構(gòu)：Interest---網(wǎng)卡—主機(jī)---網(wǎng)卡---用戶 屏蔽主機(jī)體系結(jié)構(gòu)：Interest---屏蔽路由—主機(jī)---用戶

屏蔽子網(wǎng)體系結(jié)構(gòu)：Interest---屏蔽路由—主機(jī)---屏蔽路由---用戶.防火墻技術(shù)：數(shù)據(jù)包過濾、應(yīng)用網(wǎng)關(guān)、代理服務(wù)

入侵檢測(cè)系統(tǒng)結(jié)構(gòu)：事件發(fā)生器、事件分析器、相應(yīng)單元、事件數(shù)據(jù)庫

入侵檢測(cè)系統(tǒng)分類：基于主機(jī)的入侵檢測(cè)、基于網(wǎng)絡(luò)的入侵檢測(cè)(檢測(cè)的數(shù)據(jù)來源)入侵檢測(cè)模型：通用入侵檢測(cè)模型、層次化入侵檢測(cè)模型、智能化入侵檢測(cè)模型 入侵檢測(cè)技術(shù)

1、異常檢測(cè)：量化分析、統(tǒng)計(jì)法、預(yù)測(cè)模型生成法、神經(jīng)網(wǎng)絡(luò)、基于免疫學(xué)方法 誤用檢測(cè)：模式匹配、專家系統(tǒng)、完整性分析、協(xié)議分析、狀態(tài)轉(zhuǎn)移分析

2、分布式入侵檢測(cè)系統(tǒng)類型：層次式、協(xié)作式、對(duì)等式

入侵檢測(cè)系統(tǒng)評(píng)估標(biāo)準(zhǔn)：準(zhǔn)確性、完備性、及時(shí)性、容錯(cuò)性

第四篇：電信網(wǎng)絡(luò)網(wǎng)絡(luò)安全問題

電信網(wǎng)絡(luò)網(wǎng)絡(luò)安全問題

近年來，我國政府、電信運(yùn)營企業(yè)高度重視電信網(wǎng)的安全保障，開展了大量工作，通過建立日常安全管理工作機(jī)制、制定相關(guān)標(biāo)準(zhǔn)、部署安全產(chǎn)品等有效地提高了電信網(wǎng)的安全水平。總體來說，我國電信網(wǎng)在規(guī)劃、建設(shè)、運(yùn)維過程中對(duì)安全建設(shè)方面的考慮和投入不足，電信網(wǎng)在IP 化、移動(dòng)化、融合化發(fā)展過程中自身存在的脆弱性日益顯現(xiàn)。隨著國內(nèi)外形勢(shì)復(fù)雜多變和金融危機(jī)影響的加劇，電信網(wǎng)面臨的安全威脅日益嚴(yán)峻。同時(shí)，國民經(jīng)濟(jì)和社會(huì)發(fā)展對(duì)電信網(wǎng)的依賴性與日俱增，對(duì)電信網(wǎng)的安全也提出了更高的要求。保障電信網(wǎng)的安全至關(guān)重要，一旦電信網(wǎng)被破壞，將可能影響社會(huì)公眾利益，以及政府、銀行、稅務(wù)等重要信息系統(tǒng)的正常運(yùn)行，甚至可能影響國家安全和社會(huì)穩(wěn)定。為提高電信網(wǎng)的安全防護(hù)水平，需要對(duì)電信網(wǎng)的安全情況進(jìn)行評(píng)估，深入分析電信網(wǎng)存在的安全漏洞、面臨的安全威脅、現(xiàn)有的安全措施是否有效、殘余風(fēng)險(xiǎn)是否在可接受水平等。當(dāng)前電信網(wǎng)面臨的問題

從總體上來看, 我國已基本形成包括技術(shù)、政策、法規(guī)等多種手段組成的一套較為完備的電信網(wǎng)絡(luò)安全保障體系, 基本滿足了電信網(wǎng)絡(luò)安全的保障需求。如采取了重要通信樞紐的備份, 光纜、衛(wèi)星、微波等多種傳輸手段的備份, 重要城市之間的多條光纜路由備份等安全措施。制定并頒布了電信網(wǎng)絡(luò)的應(yīng)急預(yù)案?！吨腥A人民共和國電信條例》、《全國人民代表大會(huì)常務(wù)委員會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》等法規(guī)以及中辦27號(hào)文件等中央文件和一系列行業(yè)政策的出臺(tái), 進(jìn)一步強(qiáng)化了電信網(wǎng)絡(luò)的安全保障工作。我國以往電信網(wǎng)安全保障措施的重點(diǎn)是防設(shè)備的技術(shù)故障、自然災(zāi)害以及人為的物理破壞等。但進(jìn)人21世紀(jì)以來, 電信領(lǐng)域的新技術(shù)、新業(yè)務(wù)、新情況不斷出現(xiàn), 電信網(wǎng)與互聯(lián)網(wǎng)的融合趨勢(shì)日益明顯, 電信體制改革不斷推進(jìn),形成由多運(yùn)營商組成的競(jìng)爭(zhēng)格局。這些情況的出現(xiàn), 使原有的電信網(wǎng)絡(luò)安全保障體系面臨新的挑戰(zhàn)。

1.1互聯(lián)網(wǎng)與電信網(wǎng)的觸合, 給電信網(wǎng)帶來新的安全威脅

傳統(tǒng)電信網(wǎng)的業(yè)務(wù)網(wǎng)和支撐網(wǎng)是分離的。用戶信息僅在業(yè)務(wù)網(wǎng)中傳送, 信令網(wǎng)、網(wǎng)管網(wǎng)等支撐網(wǎng)與業(yè)務(wù)網(wǎng)隔離, 完全由運(yùn)營商控制, 電信用戶無法進(jìn)人。此外, 每個(gè)用戶都有一個(gè)唯一的號(hào)碼, 用戶的身份是明確的。這種機(jī)制有效地避免了電信用戶非法進(jìn)人網(wǎng)絡(luò)控制系統(tǒng), 保障了網(wǎng)絡(luò)安全。

IP電話的用戶信息和控制信息都在IP包中傳送。IP電話引人后, 需要與傳統(tǒng)電信網(wǎng)互聯(lián)互通, 電信用戶的信息不再與控制信息隔離, 電信網(wǎng)的信令網(wǎng)不再獨(dú)立于業(yè)務(wù)網(wǎng)。IP電話的實(shí)現(xiàn)建立在TCP IP協(xié)議基礎(chǔ)上，因此TCP IP協(xié)議面臨的所有安全問題都有可能引入傳統(tǒng)電信網(wǎng), 如病毒、黑客攻擊、非法入侵等, 由此可能帶來電信網(wǎng)絡(luò)中斷甚至癱瘓、拒絕服務(wù)攻擊、非法存取信息、話費(fèi)詐欺或竊聽等一系列新問題。IP電話的主叫用戶號(hào)碼不在包中傳送, 因此一旦出現(xiàn)不法行為, 無論是運(yùn)營商還是執(zhí)法機(jī)關(guān), 確認(rèn)這些用戶的身份需要費(fèi)一番周折, 加大了打擊難度。

1.2新業(yè)務(wù)的引入, 給電信網(wǎng)的安全保障帶來不確定因索

近年來, 電信新技術(shù)不斷涌現(xiàn), 新業(yè)務(wù)層出不窮。NGN的引人, 徹底打破了電信網(wǎng)根據(jù)不同業(yè)務(wù)網(wǎng), 分別建設(shè)、分別管理的傳統(tǒng)思路。NGN的引人給運(yùn)營商帶來的好處是顯而易見的, 如提高了網(wǎng)絡(luò)的利用效率, 增加了網(wǎng)絡(luò)的靈活性, 降低了網(wǎng)絡(luò)的建設(shè)和運(yùn)維成本等。但從網(wǎng)絡(luò)安全方面看, 如果采取的措施不當(dāng), NGN的引入可能會(huì)增加網(wǎng)絡(luò)的復(fù)雜性和不可控性。此外,3G，WiMAX,IPTV等新技術(shù)、新業(yè)務(wù)的引人, 都有可能給電信網(wǎng)的安全帶來不確定因素。尤其需要指出的是, 隨著寬帶接人的普及, 用戶向網(wǎng)絡(luò)側(cè)發(fā)送信息的能力大大增強(qiáng), 導(dǎo)致每一個(gè)用戶都有能力對(duì)網(wǎng)絡(luò)發(fā)起威力較大的拒絕服務(wù)等攻擊。如果這些寬帶被非法控制, 組成僵尸網(wǎng)絡(luò)群, 其拒絕服務(wù)攻擊的破壞力將可能十分巨大

1.3運(yùn)營商之間網(wǎng)絡(luò)規(guī)劃、建設(shè)缺乏協(xié)調(diào)配合，網(wǎng)絡(luò)一旦出現(xiàn)重大事故時(shí)難以迅速恢復(fù)

1998年以來, 我國出臺(tái)了一系列針對(duì)電信行業(yè)的重大改革措施, 如政企分離、企業(yè)拆分等。目前, 我國有中國電信、中國移動(dòng)、中國聯(lián)通、中國網(wǎng)通以及中國鐵通和中國衛(wèi)通等6家基礎(chǔ)電信運(yùn)營企業(yè)。應(yīng)該說, 這些改革措施極大加快了我國電信行業(yè)的發(fā)展, 目前我國電信領(lǐng)域基本形成了有效的競(jìng)爭(zhēng)格局。但由于改革的配套措施還不盡完備, 電信市場(chǎng)多運(yùn)營商條件下的監(jiān)管措施還不配套, 給電信網(wǎng)絡(luò)安全帶來新的威脅。如在網(wǎng)絡(luò)規(guī)劃建設(shè)方面, 原來由行業(yè)主管部門對(duì)電信網(wǎng)絡(luò)進(jìn)行統(tǒng)一規(guī)劃、統(tǒng)一建設(shè), 現(xiàn)在由各個(gè)運(yùn)營企業(yè)承擔(dān)各自網(wǎng)絡(luò)的規(guī)劃、建設(shè), 行業(yè)主管部門在這方面的監(jiān)管力度明顯弱化。一旦出現(xiàn)大面積的網(wǎng)絡(luò)癱瘓問題, 不同運(yùn)營商之間的網(wǎng)絡(luò)能否互相支援配合就存在問題。此外, 軍隊(duì)與地方之間的網(wǎng)絡(luò)銜接配合問題也需要協(xié)調(diào)落實(shí)。

1.4相關(guān)法規(guī)尚不完善, 落實(shí)保降措施缺乏力度

隨著電信網(wǎng)基礎(chǔ)性地位的日益顯現(xiàn), 應(yīng)該通過立法來明確其安全保障工作, 這樣才能保證對(duì)攻擊、破壞電信網(wǎng)行為有足夠的懲罰力度。當(dāng)前我國《電信法》還沒有出臺(tái),《信息安全法》還處于研究過程中?，F(xiàn)有的與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)還不完備, 且缺乏操作性, 導(dǎo)致有關(guān)部門在具體工作中沒有足夠的法律依據(jù)對(duì)破壞網(wǎng)絡(luò)安全的行為進(jìn)行制裁。此外, 在規(guī)范電信運(yùn)營企業(yè)安全保障建設(shè)方面, 也缺乏法律依據(jù)。運(yùn)營企業(yè)為了在競(jìng)爭(zhēng)中占據(jù)有利地位, 更多地關(guān)注網(wǎng)絡(luò)建設(shè)、業(yè)務(wù)開發(fā)、市場(chǎng)份額和投資回報(bào), 把經(jīng)濟(jì)效益放在首位, 網(wǎng)絡(luò)安全相關(guān)的建設(shè)、運(yùn)行維護(hù)管理等相對(duì)滯后。有關(guān)對(duì)策建議

2.1從國家層面考慮電信網(wǎng)絡(luò)規(guī)劃的安全問題

行業(yè)主管部門要加強(qiáng)對(duì)運(yùn)營商網(wǎng)絡(luò)規(guī)劃的指導(dǎo), 對(duì)運(yùn)營商的網(wǎng)絡(luò)規(guī)劃進(jìn)行宏觀調(diào)控, 控制安全風(fēng)險(xiǎn)。如不同運(yùn)營商電信網(wǎng)的樞紐機(jī)房要相對(duì)分散, 光纜的物理路由也應(yīng)該相對(duì)分開等。行業(yè)主管部門還應(yīng)組織制定不同運(yùn)營商之間、軍隊(duì)與地方網(wǎng)絡(luò)之間的應(yīng)急配合接口標(biāo)準(zhǔn)和應(yīng)急配合流程, 做到一旦有事時(shí)可以相互迅速調(diào)用資源, 保障多運(yùn)營商環(huán)境下網(wǎng)絡(luò)的安全可靠。行業(yè)主管部門要強(qiáng)化對(duì)電信運(yùn)營商的安全監(jiān)管, 要求運(yùn)營商做到電信網(wǎng)絡(luò)建設(shè)與安全保障建設(shè)同步規(guī)劃, 同步建設(shè), 同步運(yùn)行、同步發(fā)展。

2.2 加快相關(guān)立法過程，完善法律法規(guī)標(biāo)準(zhǔn)體系, 加大執(zhí)法力度

在電信網(wǎng)的安全建設(shè)方面, 運(yùn)營商往往從公司的經(jīng)營效益來決定安全投入的多少, 一般不會(huì)考慮安全建設(shè)的社會(huì)效益。作為一個(gè)企業(yè), 在沒有法律明確要求的前提下, 這樣的做法是普遍行為。當(dāng)前要加快《電信法》、《信息安全法等法律的立法進(jìn)程, 通過立法明確政府、運(yùn)營商、用戶在保障電信網(wǎng)安全中的權(quán)利和義務(wù)。在做好立法工作的同時(shí), 還需要進(jìn)一步完善相關(guān)部門規(guī)章和配套的技術(shù)法規(guī),這樣才能從技術(shù)上和行政上做到依法管理, 真正建立起我國電信網(wǎng)絡(luò)的安全保障體系。同時(shí), 還應(yīng)加大執(zhí)法力度, 對(duì)破壞電信網(wǎng)安全的行為進(jìn)行嚴(yán)厲懲罰, 真正做到“ 執(zhí)法必嚴(yán)、違法必究”。2.3 在設(shè)備入網(wǎng)時(shí)增加安全性檢測(cè)項(xiàng)目

行業(yè)主管部門在電信設(shè)備人網(wǎng)管理要求中, 應(yīng)增加設(shè)備的安全性要求。尤其是路由器、交換機(jī)、傳輸設(shè)備、終端、服務(wù)器等入網(wǎng)時(shí), 應(yīng)重點(diǎn)測(cè)試設(shè)備的安全性。除測(cè)試設(shè)備自身的安全性能外, 還要評(píng)估該設(shè)備對(duì)網(wǎng)絡(luò)可能帶來的影響。

此外, 還要加快電信設(shè)備安全標(biāo)準(zhǔn)和相應(yīng)測(cè)試、評(píng)估規(guī)范的制定, 使測(cè)試和評(píng)估工作有據(jù)可依。

3.3 開展對(duì)電信業(yè)務(wù)、新技術(shù)的安全風(fēng)險(xiǎn)評(píng)估工作

運(yùn)營商在引入新業(yè)務(wù)時(shí), 行業(yè)主管部門除進(jìn)行正常的業(yè)務(wù)審批管理外, 還應(yīng)增加安全性評(píng)估項(xiàng)目。也就是委托

專業(yè)的第三方機(jī)構(gòu), 評(píng)估該業(yè)務(wù)可能會(huì)給網(wǎng)絡(luò)安全帶來哪些風(fēng)險(xiǎn), 以及網(wǎng)絡(luò)能否接受這些風(fēng)險(xiǎn)。如果評(píng)估結(jié)果認(rèn)為這項(xiàng)新業(yè)務(wù)可能會(huì)給網(wǎng)絡(luò)帶來不能接受的風(fēng)險(xiǎn), 且運(yùn)營企業(yè)無控制和降低風(fēng)險(xiǎn)的措施, 那么行業(yè)主管部門應(yīng)不同意運(yùn)營商開展這項(xiàng)業(yè)務(wù)。運(yùn)營企業(yè)在引人新技術(shù)時(shí), 也應(yīng)該進(jìn)行風(fēng)險(xiǎn)評(píng)估工作。

電信網(wǎng)的發(fā)展趨勢(shì) 我國電信網(wǎng)的現(xiàn)狀及存在問題

近年來，我國電信業(yè)持續(xù)快速發(fā)展!實(shí)現(xiàn)了歷史性的跨越，電信與信息服務(wù)業(yè)成為發(fā)展最快的行業(yè)之一。按照較保守的預(yù)測(cè)，在未來3年內(nèi)，我國固定電話用戶預(yù)計(jì)將達(dá)到2.5億，本地交換機(jī)容量將達(dá)到2.8億門；IP用戶將超過1億，其中寬帶用戶可能超過2000萬，移動(dòng)電話用戶將達(dá)到2.9億，移動(dòng)交換機(jī)容量將達(dá)到3.6億門。顯然，我國現(xiàn)有網(wǎng)絡(luò)從規(guī)模、技術(shù)層次、結(jié)構(gòu)和服務(wù)質(zhì)量上都無法支撐這樣的業(yè)務(wù)需求，發(fā)展和建設(shè)一個(gè)具有巨大容量的、高可靠的、靈活的、可持續(xù)發(fā)展的下一代電信網(wǎng)將是我國電信界的一項(xiàng)長期而艱巨的歷史性任務(wù)。電信業(yè)務(wù)市場(chǎng)的根本性變化

展望未來，預(yù)計(jì)在未來5至10年，從業(yè)務(wù)需求和市場(chǎng)應(yīng)用的角度看，電信業(yè)最大和最深刻的變化將是從話音業(yè)務(wù)向數(shù)據(jù)業(yè)務(wù)的戰(zhàn)略性轉(zhuǎn)變。根據(jù)最新預(yù)測(cè)!美國和歐洲的數(shù)據(jù)加專線業(yè)務(wù)量占總業(yè)務(wù)量的比例將分別從2000年的61%和74% 增加到2005年的93%和97%，而相應(yīng)話音業(yè)務(wù)量的比例將分別從2000年的39%和26%降至2005年的7%和3%。從業(yè)務(wù)收入角度看，全球數(shù)據(jù)業(yè)務(wù)的收入比例將從2001年的14%增加到2005年的30%，年均增長率達(dá)24.4%，而話音業(yè)務(wù)收入比例將從2001年的86%降至2005年的70%，年平均增長率僅5.3%。此外，一個(gè)目前還難以預(yù)計(jì)的具有更大沖擊力的業(yè)務(wù)是視頻業(yè)務(wù)，這種業(yè)務(wù)不僅帶寬要求很高（幾Mbit/s至十幾Mbit/s），而且對(duì)延時(shí)和抖動(dòng)性能要求也很嚴(yán)格，因此對(duì)網(wǎng)絡(luò)的容量、結(jié)構(gòu)和性能將有新的更高的要求。

從我國情況看，盡管數(shù)據(jù)業(yè)務(wù)發(fā)展水平還不高，但僅僅中國電信在2002年上半年的全國IP通話時(shí)長就比去年同比增長213%而數(shù)據(jù)帶寬占有比例在一級(jí)干線中已達(dá)到話音的五倍，顯而易見，從全世界范圍看，估計(jì)在近5年內(nèi)，包括中國在內(nèi)的世界主要網(wǎng)絡(luò)的數(shù)據(jù)業(yè)務(wù)量都將先后超過話音業(yè)務(wù)量。最終，電信網(wǎng)的業(yè)務(wù)將主要由數(shù)據(jù)構(gòu)成，多年來的電信網(wǎng)絡(luò)業(yè)務(wù)構(gòu)成將發(fā)生根本性的變化。電信網(wǎng)絡(luò)技術(shù)的發(fā)展趨勢(shì)

為了適應(yīng)上述電信業(yè)務(wù)和市場(chǎng)層面的根本性變化，作為基礎(chǔ)的網(wǎng)絡(luò)技術(shù)也隨之發(fā)生重大變革，電信網(wǎng)將在下述四個(gè)主要方向上實(shí)現(xiàn)轉(zhuǎn)型： 3.1 從電路交換向分組交換的轉(zhuǎn)變

交換技術(shù)是電信網(wǎng)的靈魂，盡管傳統(tǒng)的電路交換技術(shù)在可以預(yù)見的未來仍將是提供實(shí)時(shí)電話業(yè)務(wù)的基本技術(shù)手段，但其設(shè)計(jì)思想是以基本恒定的對(duì)稱話務(wù)量為中心的，無論從業(yè)務(wù)量設(shè)計(jì)、容量、組網(wǎng)方式，還是從交換方式上來講都已無法適應(yīng)突發(fā)性的數(shù)據(jù)業(yè)務(wù)發(fā)展的需要，隨著電信業(yè)務(wù)從話音為主向數(shù)據(jù)為主的轉(zhuǎn)移，從傳統(tǒng)的電路交換技術(shù)逐步轉(zhuǎn)向分組交換技術(shù)特別是無連接IP 技術(shù)為基礎(chǔ)的整個(gè)電信新框架將是歷史的必然。

可以作為未來分組化核心網(wǎng)用的節(jié)點(diǎn)有ATM 交換機(jī)和IP路由器。前者硬件投資高!速率難以作高!節(jié)點(diǎn)容量擴(kuò)展性受限。而IP 路由器正成為最有希望的分組節(jié)點(diǎn)。然而目前這一代高性能路由器的容量和性能仍不能滿足未來網(wǎng)絡(luò)擴(kuò)展的要求，需要進(jìn)一步探究可以經(jīng)濟(jì)持續(xù)擴(kuò)容的有效途徑。方法之一是通過互聯(lián)多個(gè)較小的交換單元來制造大型的可擴(kuò)展的交換矩陣。方法之二是將端口速率進(jìn)一步升級(jí)為40Gb/s。方法之三是采用創(chuàng)新的設(shè)計(jì)思想，例如采用分布式交換矩陣和多維光互聯(lián)背板就有可能提供巨大的交換容量、線路容量、端口密度和線速轉(zhuǎn)發(fā)分組能力?？偟目?，作為核心業(yè)務(wù)節(jié)點(diǎn)應(yīng)用的實(shí)用化高性能路由器的容量和性能還有待突破性進(jìn)展。

需要指出，從傳統(tǒng)的電路交換網(wǎng)到分組化網(wǎng)將是一個(gè)長期的漸進(jìn)過渡過程，采用具有開放式體系架構(gòu)和標(biāo)準(zhǔn)接口，實(shí)現(xiàn)呼叫控制與媒體層和業(yè)務(wù)層分離的軟交換將是完成這一平滑過渡任務(wù)的關(guān)鍵。從網(wǎng)絡(luò)角度看，通過軟交換結(jié)合媒體網(wǎng)關(guān)和信令網(wǎng)關(guān)跨接和互聯(lián)電路交換網(wǎng)和分組化網(wǎng)后，盡管兩個(gè)網(wǎng)仍基本獨(dú)立，但業(yè)務(wù)層已實(shí)現(xiàn)基本融合?？山y(tǒng)一提供管理和快速擴(kuò)展部署業(yè)務(wù)。當(dāng)然，軟交換還處于發(fā)展完善過程之中，技術(shù)尚不成熟，缺乏大規(guī)?，F(xiàn)場(chǎng)應(yīng)用的經(jīng)驗(yàn)，特別是多廠家互操作問題，實(shí)時(shí)業(yè)務(wù)的QoS 保障問題，網(wǎng)絡(luò)的統(tǒng)一有效管理問題以及業(yè)務(wù)生成和業(yè)務(wù)應(yīng)用收入能力等問題都有待妥善解決，但作為發(fā)展方向已經(jīng)獲得業(yè)界的認(rèn)同。因此，向以軟交換為核心的下一代業(yè)務(wù)網(wǎng)演變，將是實(shí)現(xiàn)上述交換網(wǎng)轉(zhuǎn)型的最現(xiàn)實(shí)的技術(shù)路線。

3.2 窄帶接入業(yè)務(wù)從銅線接入向移動(dòng)接入轉(zhuǎn)變 近幾年來，隨著蜂窩移動(dòng)通信系統(tǒng)和固定無線接入系統(tǒng)的出現(xiàn)和飛速發(fā)展，無線業(yè)務(wù)在公用電信網(wǎng)中的地位正在發(fā)生根本性的變化。據(jù)各種研究報(bào)告的綜合分析結(jié)果表明，全球蜂窩移動(dòng)用戶預(yù)計(jì)在2004年左右將可能達(dá)到13億，超過有線用戶，從數(shù)量上成為窄帶接入的主要手段，并將于2010 年達(dá)到17 億用戶，遠(yuǎn)遠(yuǎn)超過固定電話用戶數(shù)。在我國一些發(fā)達(dá)省份，移動(dòng)電話業(yè)務(wù)量已超過固話業(yè)務(wù)量，業(yè)務(wù)收入更是大幅度超過固話業(yè)務(wù)收入，當(dāng)然，有線接入技術(shù)也不會(huì)消亡，但其角色將發(fā)生根本性變化，即主要轉(zhuǎn)向支持寬帶數(shù)據(jù)應(yīng)用。

在無線接入技術(shù)中，同屬于3G 技術(shù)的CDMA 2000 1X已經(jīng)有超過1000 萬的用戶，作為3G 主導(dǎo)技術(shù)的WCDMA 也

即將在全球范圍內(nèi)逐步進(jìn)入實(shí)施階段，并向全I(xiàn)P 方向發(fā)展。同時(shí)具有更高速率、更高頻譜效率、更好覆蓋和更強(qiáng)業(yè)務(wù)支撐能力的超3G 技術(shù)也開始進(jìn)入活躍研究階段。此外，無線以太網(wǎng)或無線局域網(wǎng)也是一種發(fā)展前景良好的寬帶接入技術(shù)，這是一種能支持較高接入速率（2 到11Mb/s

乃至54Mb/s），采用微蜂窩或微微蜂窩的自我管理的局域網(wǎng)技術(shù)，最適合于用戶流動(dòng)性較大且有較大數(shù)據(jù)業(yè)務(wù)需求的公共區(qū)域（如機(jī)場(chǎng)、大型會(huì)展中心、高級(jí)賓館等），以及需要臨時(shí)快速建網(wǎng)的場(chǎng)合。

3.3 傳送技術(shù)從點(diǎn)到點(diǎn)通信向光聯(lián)網(wǎng)轉(zhuǎn)變

傳送網(wǎng)是電信網(wǎng)的基礎(chǔ)設(shè)施，一個(gè)強(qiáng)大、靈活且成本低廉的傳送網(wǎng)是全球幾代人所為之奮斗的目標(biāo)。近幾年來波分復(fù)用（WDM）技術(shù)的出現(xiàn)和發(fā)展為上述目標(biāo)的實(shí)現(xiàn)邁出了關(guān)鍵的一步，有力地支撐了上層業(yè)務(wù)和應(yīng)用的發(fā)展。然而，盡管靠WDM 技術(shù)已基本實(shí)現(xiàn)了傳輸容量的突破，但是普通點(diǎn)到點(diǎn)WDM 系統(tǒng)只提供了原始的傳輸帶寬，為了將這些巨大原始帶寬轉(zhuǎn)化為實(shí)際組網(wǎng)可以靈活應(yīng)用的帶寬，需要在傳輸節(jié)點(diǎn)

處引入靈活光節(jié)點(diǎn)設(shè)備實(shí)現(xiàn)光聯(lián)網(wǎng)，徹底解決傳輸節(jié)點(diǎn)的容量擴(kuò)展問題。

光聯(lián)網(wǎng)的一個(gè)最新發(fā)展趨勢(shì)是引入自動(dòng)波長配置功能，由靜態(tài)交叉連接型光聯(lián)網(wǎng)升級(jí)為動(dòng)態(tài)交換型智能光交換機(jī)。隨著IP 業(yè)務(wù)的爆炸性增長，對(duì)網(wǎng)絡(luò)帶寬的需求不僅變得越來越大，而且由于IP 業(yè)務(wù)量本身的不確定性和不可預(yù)見性，對(duì)網(wǎng)絡(luò)帶寬的動(dòng)態(tài)分配要求也越來越迫切，一種能夠自動(dòng)完成網(wǎng)絡(luò)連接的新型網(wǎng)絡(luò)概念-自動(dòng)交換光網(wǎng)絡(luò)（ASON）應(yīng)運(yùn)而生。屆時(shí)網(wǎng)絡(luò)運(yùn)營者可以在光層面上實(shí)現(xiàn)今天在電層面上的主要功能，構(gòu)筑一個(gè)高度靈活可靠?？梢詫?shí)時(shí)調(diào)度配置帶寬的超大容量智能光網(wǎng)絡(luò)。隨著全網(wǎng)業(yè)務(wù)的數(shù)據(jù)化，特別是寬帶IP 業(yè)務(wù)的快速發(fā)展，大容量智能光網(wǎng)絡(luò)將不僅可以提供巨大的網(wǎng)絡(luò)容量，而且可以提供可持續(xù)發(fā)展的動(dòng)態(tài)網(wǎng)絡(luò)結(jié)構(gòu)，成為

支持下一代電信網(wǎng)的最靈活有效的基礎(chǔ)設(shè)施。

3.4 有線無線接入都將完成從窄帶向?qū)拵У霓D(zhuǎn)變

預(yù)計(jì)在未來幾年內(nèi)，電信運(yùn)營將會(huì)首先大力發(fā)展成熟的可以充分利用現(xiàn)有雙絞線資源的非對(duì)稱數(shù)字用戶線（ADSL）技術(shù)，傳輸速率可高達(dá)512Kbit/s 至2Mbit/s 甚至8Mbit/s足以滿足中近期帶寬的需求。據(jù)報(bào)導(dǎo)，目前全球已經(jīng)敷設(shè)3500 萬線的ADSL，其中韓國和加拿大是發(fā)展最快的國家。我國僅中國電信就已發(fā)展用戶400 萬，勢(shì)頭很好。相信隨著技術(shù)的進(jìn)步、IP 業(yè)務(wù)的發(fā)展、新業(yè)務(wù)新應(yīng)用的不斷涌現(xiàn)以及本地環(huán)境的放開，ADSL在未來幾年內(nèi)將成為我國中近期的主導(dǎo)寬帶接入技術(shù)。

傳統(tǒng)以太網(wǎng)技術(shù)不屬于接入網(wǎng)范疇，然而其應(yīng)用領(lǐng)域卻正在向包括接入網(wǎng)在內(nèi)的其他領(lǐng)域擴(kuò)展，無論是5 類線上的有線以太網(wǎng)，還是基于802.11b 標(biāo)準(zhǔn)的無線以太網(wǎng)發(fā)展勢(shì)頭都很猛。從各類以太網(wǎng)看，10M 以太網(wǎng)交換機(jī)已經(jīng)基本退出市場(chǎng)，被10/100Mb自適應(yīng)以太網(wǎng)交換機(jī)所代替，千兆比以太網(wǎng)交換機(jī)的份額迅速上升，目前已經(jīng)占到整個(gè)以太網(wǎng)市場(chǎng)的26%。其應(yīng)用范圍也逐漸從企業(yè)網(wǎng)為主轉(zhuǎn)向服務(wù)提供商為主。一旦萬兆以太網(wǎng)標(biāo)準(zhǔn)最后通過以及技術(shù)穩(wěn)定，萬兆以太網(wǎng)將成為重要的新增長點(diǎn)。從長遠(yuǎn)看，與IP 技術(shù)天然融合的以太網(wǎng)似乎比ADSL更有發(fā)展?jié)摿ΑＨ诤蠈⒊蔀槲磥砭W(wǎng)絡(luò)技術(shù)發(fā)展的主旋律

隨著網(wǎng)絡(luò)應(yīng)用加速向IP 匯聚，網(wǎng)絡(luò)將逐漸向著對(duì)IP 業(yè)務(wù)最佳的分組化網(wǎng)（特別是IP 網(wǎng)）的方向演進(jìn)和融合是歷史的必然，融合將成為未來網(wǎng)絡(luò)技術(shù)發(fā)展的主旋律。

從技術(shù)層面上看，融合將分別體現(xiàn)在話音技術(shù)與數(shù)據(jù)技術(shù)的融合、電路交換與分組交換的融合、傳輸與交換的融合、電與光的融合等。三網(wǎng)融合不僅使話音、數(shù)據(jù)和圖象這三大基本業(yè)務(wù)的界限逐漸消失，也使網(wǎng)絡(luò)層和業(yè)務(wù)層的界限在網(wǎng)絡(luò)邊緣處變的模糊，網(wǎng)絡(luò)邊緣的各種業(yè)務(wù)層和網(wǎng)絡(luò)層正走向功能乃至物理上的融合，整個(gè)網(wǎng)絡(luò)正在向下一代的融合網(wǎng)絡(luò)演進(jìn)，最終則將導(dǎo)致傳統(tǒng)的電信網(wǎng)、計(jì)算機(jī)網(wǎng)和有線電視網(wǎng)在技術(shù)、業(yè)務(wù)、市場(chǎng)、終端、網(wǎng)絡(luò)乃至行業(yè)管制和政策方面的融合。

第五篇：網(wǎng)絡(luò)安全問題研究報(bào)告

網(wǎng)絡(luò)安全問題研究報(bào)告

一、基本概念 網(wǎng)絡(luò)安全的具體含義會(huì)隨著“角度”的變化而變化。比如：從用戶

（個(gè)人、企業(yè)等）的角度來說，他們希望涉及個(gè)人隱私或商業(yè)利益的信息在網(wǎng)絡(luò)上傳輸時(shí)受到機(jī)密性、完整性和真實(shí)性的保護(hù)，避免其他人或?qū)κ掷酶`聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私。

二、主要特性

網(wǎng)絡(luò)安全應(yīng)具有以下五個(gè)方面的特征：

保密性：信息不泄露給非授權(quán)用戶、實(shí)體或過程，或供其利用的特性。

完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。即信息在存儲(chǔ)或傳輸過程中保持不被修改、不被破壞和丟失的特性。

可用性：可被授權(quán)實(shí)體訪問并按需求使用的特性。即當(dāng)需要時(shí)能否存取所需的信息。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對(duì)可用性的攻擊；

可控性：對(duì)信息的傳播及內(nèi)容具有控制能力。

可審查性：出現(xiàn)的安全問題時(shí)提供依據(jù)與手段

從網(wǎng)絡(luò)運(yùn)行和管理者角度說，他們希望對(duì)本地網(wǎng)絡(luò)信息的訪問、讀寫等操作受到保護(hù)和控制，避免出現(xiàn)“陷門”、病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用和非法控制等威脅，制止和防御網(wǎng)絡(luò)黑客的攻擊。對(duì)安全保密部門來說，他們希望對(duì)非法的、有害的或涉及國家機(jī)密的信息進(jìn)行過濾和防堵，避免機(jī)要信息泄露，避免對(duì)社會(huì)產(chǎn)生危害，對(duì)國家造成巨大損失。從社會(huì)教育和意識(shí)形態(tài)角度來講，網(wǎng)絡(luò)上不健康的內(nèi)容，會(huì)對(duì)社會(huì)的穩(wěn)定和人類的發(fā)展造成阻礙，必須對(duì)其進(jìn)行控制。隨著計(jì)算機(jī)技術(shù)的迅速發(fā)展，在計(jì)算機(jī)上處理的業(yè)務(wù)也由基于單機(jī)的數(shù)學(xué)運(yùn)算、文件處理，基于簡單連接的內(nèi)部網(wǎng)絡(luò)的內(nèi)部業(yè)務(wù)處理、辦公自動(dòng)化等發(fā)展到基于復(fù)雜的內(nèi)部網(wǎng)（Intranet）、企業(yè)外部網(wǎng)（Extranet）、全球互聯(lián)網(wǎng)（Internet）的企業(yè)級(jí)計(jì)算機(jī)處理系統(tǒng)和世界范圍內(nèi)的信息共享和業(yè)務(wù)處理。在系統(tǒng)處理能力提高的同時(shí)，系統(tǒng)的連接能力也在不斷的提高。但在連接能力信息、流通能力提高的同時(shí)，基于網(wǎng)絡(luò)連接的安全問題也日益突出，整體的網(wǎng)絡(luò)安全主要表現(xiàn)在以下幾個(gè)方面：網(wǎng)絡(luò)的物理安全、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全、網(wǎng)絡(luò)系統(tǒng)安全、應(yīng)用系統(tǒng)安全和網(wǎng)絡(luò)管理的安全等。

二、因此計(jì)算機(jī)安全問題，應(yīng)該像每家每戶的防火防盜問題一樣，做到防

范于未然。甚至不會(huì)想到你自己也會(huì)成為目標(biāo)的時(shí)候，威脅就已經(jīng)出現(xiàn)了，一旦發(fā)生，常常措手不及，造成極大的損失。

三、網(wǎng)絡(luò)安全分析

1.物理安全分析網(wǎng)絡(luò)的物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。在校園網(wǎng)工程建設(shè)中，由于網(wǎng)絡(luò)系統(tǒng)屬于弱電工程，耐壓值很低。因此，在網(wǎng)絡(luò)工程的設(shè)計(jì)和施工中，必須優(yōu)先考慮保護(hù)人和網(wǎng)絡(luò)設(shè)備不受電、火災(zāi)和雷擊的侵害；考慮布線系統(tǒng)與照明電線、動(dòng)力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離；考慮布線系統(tǒng)和絕緣線、裸體線以及接地與焊接的安全；必須建設(shè)防雷系統(tǒng)，防雷系統(tǒng)不僅考慮建筑物防雷，還必須考慮計(jì)算機(jī)及其他弱電耐壓設(shè)備的防雷?？傮w來說物理安全的風(fēng)險(xiǎn)主要有，地震、水災(zāi)、火災(zāi)等環(huán)境事故；電源故障；人為操作失誤或錯(cuò)誤；設(shè)備被盜、被毀；電磁干擾；線路截獲；高可用性的硬件；雙機(jī)多冗余的設(shè)計(jì)；機(jī)房環(huán)境及報(bào)警系統(tǒng)、安全意識(shí)等，因此要盡量避免網(wǎng)絡(luò)的物理安全風(fēng)險(xiǎn)。

2.網(wǎng)絡(luò)結(jié)構(gòu)的安全分析

網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)也直接影響到網(wǎng)絡(luò)系統(tǒng)的安全性。假如在外部和內(nèi)部網(wǎng)絡(luò)進(jìn)行通信時(shí)，內(nèi)部網(wǎng)絡(luò)的機(jī)器安全就會(huì)受到威脅，同時(shí)也影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。透過網(wǎng)絡(luò)傳播，還會(huì)影響到連上Internet/Intrant的其他的網(wǎng)絡(luò)；影響所及，還可能涉及法律、金融等安全敏感領(lǐng)域。因此，我們?cè)谠O(shè)計(jì)時(shí)有必要將公開服務(wù)器（WEB、DNS、EMAIL等）和外網(wǎng)及內(nèi)部其它業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行必要的隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同時(shí)還要對(duì)外網(wǎng)的服務(wù)請(qǐng)求加以過濾，只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)主機(jī)，其它的請(qǐng)求服務(wù)在到達(dá)主機(jī)之前就應(yīng)該遭到拒絕。

3.系統(tǒng)的安全分析

所謂系統(tǒng)的安全是指整個(gè)網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺(tái)是否可靠且值得信任。目前恐怕沒有絕對(duì)安全的操作系統(tǒng)可以選擇，無論是Microsfot 的Windows NT或者其它任何商用UNIX操作系統(tǒng)，其開發(fā)廠商必然有其Back-Door。因此，我們可以得出如下結(jié)論：沒有完全安全的操作系統(tǒng)。不同的用戶應(yīng)從不同的方面對(duì)其網(wǎng)絡(luò)作詳盡的分析，選擇安全性盡可能高的操作系統(tǒng)。因此不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺(tái)，并對(duì)操作系統(tǒng)進(jìn)行安全配置。而且，必須加強(qiáng)登錄過程的認(rèn)證（特別是在到達(dá)服務(wù)器主機(jī)之前的認(rèn)證），確保用戶的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。

4.應(yīng)用系統(tǒng)的安全分析

應(yīng)用系統(tǒng)的安全跟具體的應(yīng)用有關(guān)，它涉及面廣。應(yīng)用系統(tǒng)的安全是動(dòng)態(tài)的、不斷變化的。應(yīng)用的安全性也涉及到信息的安全性，它包括很多方面。

——應(yīng)用系統(tǒng)的安全是動(dòng)態(tài)的、不斷變化的。

應(yīng)用的安全涉及方面很多，以目前Internet上應(yīng)用最為廣泛的E-mail系統(tǒng)來說，其解決方案有sendmail、Netscape Messaging Server、SoftwareCom Post.Office、Lotus

Notes、Exchange Server、SUN CIMS等不下二十多種。其安全手段涉及LDAP、DES、RSA等各種方式。應(yīng)用系統(tǒng)是不斷發(fā)展且應(yīng)用類型是不斷增加的。在應(yīng)用系統(tǒng)的安全性上，主要考慮盡可能建立安全的系統(tǒng)平臺(tái)，而且通過專業(yè)的安全工具不斷發(fā)現(xiàn)漏洞，修補(bǔ)漏洞，提高系統(tǒng)的安全性。

——應(yīng)用的安全性涉及到信息、數(shù)據(jù)的安全性。

信息的安全性涉及到機(jī)密信息泄露、未經(jīng)授權(quán)的訪問、破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。在某些網(wǎng)絡(luò)系統(tǒng)中，涉及到很多機(jī)密信息，如果一些重要信息遭到竊取或破壞，它的經(jīng)濟(jì)、社會(huì)影響和政治影響將是很嚴(yán)重的。因此，對(duì)用戶使用計(jì)算機(jī)必須進(jìn)行身份認(rèn)證，對(duì)于重要信息的通訊必須授權(quán)，傳輸必須加密。采用多層次的訪問控制與權(quán)限控制手段，實(shí)現(xiàn)對(duì)數(shù)據(jù)的安全保護(hù)；采用加密技術(shù)，保證網(wǎng)上傳輸?shù)男畔ⅲòü芾韱T口令與帳戶、上傳信息等）的機(jī)密性與完整性。

5.管理的安全風(fēng)險(xiǎn)分析

管理是網(wǎng)絡(luò)中安全最最重要的部分。責(zé)權(quán)不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(shí)（如內(nèi)部人員的違規(guī)操作等），無法進(jìn)行實(shí)時(shí)的檢測(cè)、監(jiān)控、報(bào)告與預(yù)警。同時(shí)，當(dāng)事故發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對(duì)網(wǎng)絡(luò)的可控性與可審查性。這就要求我們必須對(duì)站點(diǎn)的訪問活動(dòng)進(jìn)行多層次的記錄，及時(shí)發(fā)現(xiàn)非法入侵行為。

建立全新網(wǎng)絡(luò)安全機(jī)制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案，因此，最可行的做法是制定健全的管理制度和嚴(yán)格管理相結(jié)合。保障網(wǎng)絡(luò)的安全運(yùn)行，使其成為一個(gè)具有良好的安全性、可擴(kuò)充性和易管理性的信息網(wǎng)絡(luò)便成為了首要任務(wù)。一旦上述的安全隱患成為事實(shí)，所造成的對(duì)整個(gè)網(wǎng)絡(luò)的損失都是難以估計(jì)的。因此，網(wǎng)絡(luò)的安全建設(shè)是校園網(wǎng)建設(shè)過程中重要的一環(huán)。

四、網(wǎng)絡(luò)安全措施

1.安全技術(shù)手段

物理措施：例如，保護(hù)網(wǎng)絡(luò)關(guān)鍵設(shè)備(如交換機(jī)、大型計(jì)算機(jī)等)，制定嚴(yán)格的網(wǎng)絡(luò)安全規(guī)章制度，采取防輻射、防火以及安裝不間斷電源（UPS）等措施。

訪問控制：對(duì)用戶訪問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和控制。例如，進(jìn)行用戶身份認(rèn)證，對(duì)口令加密、更新和鑒別，設(shè)置用戶訪問目錄和文件的權(quán)限，控制網(wǎng)絡(luò)設(shè)備配置的權(quán)限，等等。

數(shù)據(jù)加密：加密是保護(hù)數(shù)據(jù)安全的重要手段。加密的作用是保障信息被人截獲后不能讀懂其含義。防止計(jì)算機(jī)網(wǎng)絡(luò)病毒，安裝網(wǎng)絡(luò)防病毒系統(tǒng)。

網(wǎng)絡(luò)隔離：網(wǎng)絡(luò)隔離有兩種方式，一種是采用隔離卡來實(shí)現(xiàn)的，一種是采用網(wǎng)絡(luò)安全隔離網(wǎng)閘實(shí)現(xiàn)的。

隔離卡主要用于對(duì)單臺(tái)機(jī)器的隔離，網(wǎng)閘主要用于對(duì)于整個(gè)網(wǎng)絡(luò)的隔離。這兩者的區(qū)別可參見參考資料

其他措施：其他措施包括信息過濾、容錯(cuò)、數(shù)據(jù)鏡像、數(shù)據(jù)備份和審計(jì)等。近年來，圍繞網(wǎng)絡(luò)安全問題提出了許多解決辦法，例如數(shù)據(jù)加密技術(shù)和防火墻技術(shù)等。數(shù)據(jù)加密是對(duì)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)行加密，到達(dá)目的地后再解密還原為原始數(shù)據(jù)，目的是防止非法用戶截獲后盜用信息。防火墻技術(shù)是通過對(duì)網(wǎng)絡(luò)的隔離和限制訪問等方法來控制網(wǎng)絡(luò)的訪問權(quán)限。

2.安全防范意識(shí)

擁有網(wǎng)絡(luò)安全意識(shí)是保證網(wǎng)絡(luò)安全的重要前提。許多網(wǎng)絡(luò)安全事件的發(fā)生都和缺乏安全防范意識(shí)有關(guān)。

3.主機(jī)安全檢查 要保證網(wǎng)絡(luò)安全，進(jìn)行網(wǎng)絡(luò)安全建設(shè)，第一步首先要全面了解系統(tǒng)，評(píng)估系統(tǒng)安全性，認(rèn)識(shí)到自己的風(fēng)險(xiǎn)所在，從而迅速、準(zhǔn)確得解決內(nèi)網(wǎng)安全問題。由安天實(shí)驗(yàn)室自主研發(fā)的國內(nèi)首款創(chuàng)新型自動(dòng)主機(jī)安全檢查工具，徹底顛覆傳統(tǒng)系統(tǒng)保密檢查和系統(tǒng)風(fēng)險(xiǎn)評(píng)測(cè)工具操作的繁冗性，一鍵操作即可對(duì)內(nèi)網(wǎng)計(jì)算機(jī)進(jìn)行全面的安全保密檢查及精準(zhǔn)的安全等級(jí)判定，并對(duì)評(píng)測(cè)系統(tǒng)進(jìn)行強(qiáng)有力的分析處置和修復(fù)。

五、威脅網(wǎng)絡(luò)安全因素

自然災(zāi)害、意外事故；計(jì)算機(jī)犯罪； 人為行為，比如使用不當(dāng)，安全意識(shí)差等；黑客” 行為：由于黑客的入侵或侵?jǐn)_，比如非法訪問、拒絕服務(wù)計(jì)算機(jī)病毒、非法連接等；內(nèi)部泄密；外部泄密；信息丟失；電子諜報(bào)，比如信息流量分析、信息竊取等； 信息戰(zhàn)；網(wǎng)絡(luò)協(xié)議中的缺陷，例如TCP/IP協(xié)議的安全問題等等。

網(wǎng)絡(luò)安全威脅主要包括兩類：滲入威脅和植入威脅滲入威脅主要有：假冒、旁路控制、授權(quán)侵犯；

植入威脅主要有：特洛伊木馬、陷門。

陷門：將某一“特征”設(shè)立于某個(gè)系統(tǒng)或系統(tǒng)部件之中，使得在提供特定的輸入數(shù)據(jù)時(shí)，允許安全策略被違反。

六、網(wǎng)絡(luò)安全案例

1概況：隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，信息網(wǎng)絡(luò)已經(jīng)成為社會(huì)發(fā)展的重要保證。有很多是敏感信息，甚至是國家機(jī)密。所以難免會(huì)吸引來自世界各地的各種人為攻擊（例如信息泄漏、信息竊取、數(shù)據(jù)篡改、數(shù)據(jù)刪添、計(jì)算機(jī)病毒等）。同時(shí)，網(wǎng)絡(luò)實(shí)體還要經(jīng)受諸如水災(zāi)、火災(zāi)、地震、電磁輻射等方面的考驗(yàn)。

計(jì)算機(jī)犯罪案件也急劇上升，計(jì)算機(jī)犯罪已經(jīng)成為普遍的國際性問題。據(jù)美國聯(lián)邦調(diào)查局的報(bào)告，計(jì)算機(jī)犯罪是商業(yè)犯罪中最大的犯罪類型之一，每筆犯罪的平均金額為45000美元，每年計(jì)算機(jī)犯罪造成的經(jīng)濟(jì)損失高達(dá)50億美元。

2.國外

1996年初，據(jù)美國舊金山的計(jì)算機(jī)安全協(xié)會(huì)與聯(lián)邦調(diào)查局的一次聯(lián)合調(diào)查統(tǒng)計(jì)，有53％的企業(yè)受到過計(jì)算機(jī)病毒的侵害，42％的企業(yè)的計(jì)算機(jī)系統(tǒng)在過去的12個(gè)月被非法使用過。而五角大樓的一個(gè)研究小組稱美國一年中遭受的攻擊就達(dá)25萬次之多。

1994年末，俄羅斯黑客弗拉基米爾·利維與其伙伴從圣彼得堡的一家小軟件公司的聯(lián)網(wǎng)計(jì)算機(jī)上，向美國CITYBANK銀行發(fā)動(dòng)了一連串攻擊，通過電子轉(zhuǎn)帳方式，從CITYBANK銀行在紐約的計(jì)算機(jī)主機(jī)里竊取1100萬美元。

1996年8月17日，美國司法部的網(wǎng)絡(luò)服務(wù)器遭到黑客入侵，并將“ 美國司法部” 的主頁改為“ 美國不公正部”，將司法部部長的照片換成了阿道夫·希特勒，將司法部徽章?lián)Q成了納粹黨徽，并加上一幅色情女郎的圖片作為所謂司法部部長的助手。此外還留下了很多攻擊美國司法政策的文字。

1996年9月18日，黑客又光顧美國中央情報(bào)局的網(wǎng)絡(luò)服務(wù)器，將其主頁由“中央情報(bào)局” 改為“ 中央愚蠢局”。

1996年12月29日，黑客侵入美國空軍的全球網(wǎng)網(wǎng)址并將其主頁肆意改動(dòng)，其中有關(guān)空軍介紹、新聞發(fā)布等內(nèi)容被替換成一段簡短的黃色錄象，且聲稱美國政府所說的一切都是謊言。迫使美國國防部一度關(guān)閉了其他80多個(gè)軍方網(wǎng)址。

3.國內(nèi)

1996年2月，剛開通不久的Chinanet受到攻擊，且攻擊得逞。

1997年初，北京某ISP被黑客成功侵入，并在清華大學(xué)“ 水木清華” BBS站的“ 黑客與解密” 討論區(qū)張貼有關(guān)如何免費(fèi)通過該ISP進(jìn)入Internet的文章。

1997年4月23日，美國德克薩斯州內(nèi)查德遜地區(qū)西南貝爾互聯(lián)網(wǎng)絡(luò)公司的某個(gè)PPP用戶侵入中國互聯(lián)網(wǎng)絡(luò)信息中心的服務(wù)器，破譯該系統(tǒng)的shutdown帳戶，把中國互聯(lián)網(wǎng)信息中心的主頁換成了一個(gè)笑嘻嘻的骷髏頭。

1996年初CHINANET受到某高校的一個(gè)研究生的攻擊；96年秋，北京某ISP和它的用戶發(fā)生了一些矛盾，此用戶便攻擊該ISP的服務(wù)器，致使服務(wù)中斷了數(shù)小時(shí)。

2010年，Google發(fā)布公告稱講考慮退出中國市場(chǎng)，而公告中稱：造成此決定的重要原因是因?yàn)镚oogle被黑客攻擊。

參考資料：百度百科