网络信息安全指引

　北京启明星辰信息技术有限公司

　电子政务是一国的各级政府机关或有关机构借助电子信息技术而进行的政务活动， 其实质是通过应用信息技术转变政府传统的集中管理、 分层结构运行模式， 以适应数字化社会的需要。

　随着 2002 年我国电子政务建设的框架和范畴基本确定之后， 2003 年电子政务相关政策相继出台， 电子政务进入规模化建设、 实质性推进阶段。

　当前的电子政务应用， 正从内部办公网与公众信息网彼此分离、 功能单一向“综合政务网” 转变， 它的职能大大丰富。

　电子政务主要由政府部门内部的数字化办公、 政府部门之间通过计算机网络而进行的信息共享和实时通信、 政府部门通过网络与公众进行的双向信息交流三部分组成。

　由于电子政务是依赖于计算机和网络技术而存在的， 并通过存在着重大安全隐患的因特网为企业和个人用户 提供优质高效的服务， 这就意味着电子政务系统不可避免面临着安全问题。

　去年上半年电子政务网络安全方面暴露问题比较突出 的有五个方面：

　 计算机病毒泛滥；

　 木马程序带来安全保密方面的隐患；

　 黑客攻击特别是洪流攻击；

　 垃圾邮件阻塞网络；

　 网络安全的威胁开始蔓延到应用的环节， 其中 windows70%，unix30%。

　电子政务本身的特点（ 开放性、 虚拟性、 网络化）

　决定了 电子政务系统行使政府职能的同时， 必然会存在着来自 外部或内部的各种攻击, 而同时电子政务的这些特点又对电子政务系统的安全性提出了 严格的要求。

　如果敌意国家有计划地对我国政务信息系统进行监听和破坏， 如果涉密信息被窃取或篡改， 那么后果将会不堪设想。

　网络安全作为确保电子政务有效实施的重要一环， 显得日 益重要。

　以电子政务的网络安全建设为例， 2002 年在全国电子政务建设投资中， 网络安全占到了 20％ 以上， 由于安全建设的特殊性， 该比例现在稳中有升。可见网络安全是电子政务安全建设的重要组成部分，

　对推动电子政务的发展具有重要意义。

　一、 安全的定义 安全的定义是：

　远离危险的状态或特性， 为防范间谍活动或蓄意破坏、 犯罪、 攻击或逃跑而采取的措施。

　在涉及到“安全” 词汇时，通常会与网络、 计算机、 信息和数据相联系， 而且具有不同的侧重和含义。

　二、

　计算机网络安全 国际标准化组织（ ISO）

　将“计算机安全” 定义为：

　“为数据处理系统建立和采取的技术和管理的安全保护， 保护计算机硬件、 软件数据不因偶然和恶意的原因而遭到破坏、 更改和泄露。

　” 此概念偏重取的措施。

　于静态信息保护。

　也有人将“计算机安全” 定义为：

　“计算机的硬件、 软件和数据受到保护， 不因偶然和恶意的原因而遭到破坏、更改和泄露， 系统连续正常运行。

　” 该定义着重于动态意义描述。

　从静态的观点看， 计算机安全主要是解决特定计算机设备的安全

　问题。

　如果今天输入到计算机中的数据， 任何一段时间之后仍保留在那里， 完好如初并没有被非法读取， 那么一般地称这台计算机具有一定的安全性。

　如果存放的程序软件运行的效果和用户 所期望的一样，我们就可以判定这台计算机是可信任的， 或者说它是安全的。

　安全问题是一个动态的过程， 不能用僵硬和静止的观点去看待， 不仅仅是计算机硬件存在形式的安全`， 还在于计算机软件特殊形式的安全特性。因为自 然灾难和有运行故障的软件同非法存取数据一样对计算机的安全性构成威胁。

　人为的有意或无意的操作、 某种计算机病毒的发作、不可预知的系统故障和运行错误， 都可能造成计算机中数据的丢失。

　因此， 计算机安全的内容应包括两方面， 即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护， 免于破坏、 丢失等。逻辑安全包括信息完整性、 保密性和可用性：

　完整性指信息不会被非授权修改及信息保持一致性等； 保密性是指在授权情况下高级别信息可以流向 低级别的客体与 主体； 可用 性指合法用 户 的正常请求能及时、 正确、 安全地得到服务或回应。

　网络安全的根本目 的就是防止通过计算机网络传输的信息被非法使用。

　如果国家信息网络上的数据遭到窃取、 更改或破坏， 那么它必将关系到国家的主权和声誉、 社会的繁荣和稳定、 民族文化的继承和发扬等一系列重要问题。

　为避免机要信息的泄露对社会产生的危害和对国家造成的极大损失， 任何网络中国家机密信息的过滤、 防堵与保护将是网络运行管理中极其重要的内容。

　有时网络信息安全的不利影响甚至超过信息共享所带来的巨大效益。

　从企业和个人的用户 角度来看， 涉及个人隐私或商业利益的信息在网络上传输时， 其保密性、完整性和真实性也应受到应有的关注， 避免其他人或商业对手利用窃听、 冒充、 篡改、 抵赖等手段侵犯用户 的利益和隐私， 造成用户 资料

　的非授权访问和破坏。

　网络安全的具体含义涉及到社会生活的方方面面， 从使用 防火墙、 防病毒、 信息加密、 身份确认与授权等技术， 到企业的规章制度、网络安全教育和国家的法律政策， 直至采用必要的实时监控手段、 应用检查安全漏洞的仿真系统和制定灵活有效的安全策略应变措施， 加强网络安全的审计与管理。

　网络安全较全面地对计算机和计算机之间相连接的传输线路这个全过程进行管理， 特别是对网络的组成方式、 拓扑结构和网络应用的重点研究。

　它包括了 各种类型的局域网、 通信与计算机相结合的广域网， 以及更为广泛的计算机互联网络。

　因此保护网络系统中的硬件、软件及其数据不受偶然或者恶意原因而遭到破坏、 更改、 泄露， 系统连续可靠地正常运行， 网络服务不中断， 成为网络安全的主要内容。例如， 电子邮件系统不能因为安全原因使用户 的数据丢失， 等等。

　三、 信息安全 信息和数据安全的范围要比网络安全和计算机安全更为广泛。

　它包括了 信息系统中从信息的产生直至信息的应用这一全部过程。

　我们日 常生活中接触的数据比比皆是， 考试的分数、 银行的存款、 人员 的年龄、 商品的库存量等等， 按照某种需要或一定的规则进行收集， 经过不同的分类、 运算和加工整理， 形成对管理决策有指导价值和倾向性说明的信息。

　随着信息化社会的不断发展， 信息的商品属性也慢慢显露出来， 信息商品的存储和传输的安全也日 益受到广泛的关注。

　如果非法用户 获取系统的访问控制权， 从存储介质或设备上得到机密数据或专利软件， 或根据某种目 的修改了 原始数据， 那么网络信息的保密性、 完整性、 可用性、 真实性和可控性将遭到破坏。

　如果信息在通信传输过程中， 受到不同程度的非法窃取， 或被虚假的信息和计算机

　病毒以冒充等手段充斥最终的信息系统， 使得系统无法正常运行， 造成真正信息的丢失和泄露， 会给使用者带来经济或者政治上的巨大损失。

　信息安全研究所涉及的领域相当广泛。

　从信息的层次来看， 包括信息的来源、 去向， 内容的真实无误及保证信息的完整性， 信息不会被非法泄露扩散保证信息的保密性。

　信息的发送和接收者无法否认自己所做过的操作行为而保证信息的不可否认性。

　从网络层次来看， 网络和信息系统随时可用， 运行过程中不出现故障， 若遇意外打击能够尽量减少损失并尽早恢复， 正常保证信息的可靠性。

　系统的管理者对网络和信息系统有足够的控制和管理能力保证信息的可控性。

　网络协议、 操作系统和应用系统能够互相连接， 协调运行， 保证信息的互操作性。

　准确跟踪实体运行达到审计和识别的目 的， 保证信息可计算性。从设备层次来看， 包括质量保证、 设备备份、 物理安全等。

　从经营管理层次来看， 包括人员 可靠性、 规章制度完整性等。

　由此可见， 信息安全实际上是一门涉及计算机科学、 网络技术、 通信技术、 密码技术、信息安全技术、 应用数学、 数论、 信息论等多种学科的综合性学科。

　三、

　网络信息安全的基本要求 计算机系统要防止资源和数据被独占， 防止数据和程序被非法修改、 删除及泄露， 在一定程度上， 封闭性有利于保证信息的安全性。

　如何在保持网络开放灵活性的同时保证安全性。

　成为研究的热点。

　目 前使用 TCP/IP 技术构成的网络上的安全措施及其相应的网络安全产品主要有两大类：

　开放型（ 如数据加密）

　及被动防卫型（ 如防火墙）。

　他们主要是根据以下四个方面的安全需求而设计和应用的：

　（ 一）

　数据的保密性 数据的保密性是数据不泄露给非授权用户 、 实体或过程， 或供其利用的特性。

　由于系统无法确认是否有未经授权的用户 截取网络上的数据， 这就需要使用一种手段对数据进行保密处理。

　数据加密就是用来实现这一目 标的， 使得加密后的数据能够保证在传输、 使用和转换过程中不被第三方非法获取。

　网络和系统管理员 根据不同的应用需求和等级职责， 把数据进行分类， 配置不同的访问模式， 控制数据的非法流向。

　（ 二）

　数据的完整性 数据的完整性是数据未经授权不能进行改变的特性， 即只有得到允许的人才能修改数据， 并且能够判别出数据是否已被篡改。

　存储器中或是经过网络传输后的数据， 必须和它被输人时或最后一次被修改， 或者传输前的内容与形式一模一样。

　其目 的就是保证信息系统上的数据处于一种完整和未受损的状态， 数据不会因为存储和传输的过程， 而被有意或无意的事件所改变、 破坏和丢失。

　在应用数据加密技术的基础上， 综合运用故障应急方案和多种预防性技术， 诸如归档、备份、 校验。

　崩溃转储和故障前兆分析等手段实现这一目 标。

　（ 三）

　数据的可用 性 数据的可用性是指可被授权实体访问并按需求使用的特性， 即攻击者不能占用所有的资源而阻碍授权者的工作。

　由于互联网络是开放的网络， 需要时就可以得到所需要的数据是网络设计和发展的基本目标， 因此数据的可用 性要求系 统当 用 户 需要时能够存取所需要的数据， 或是说应用系统提供的服务， 能够免于遭受恶劣影响， 甚至被完全破坏而不可使用的情形。

　（ 四）

　数据的可控性

　数据的可控性是指可以控制授权范围内的信息的流向 及行为方式， 如对数据的访问。

　传播及内容具有控制能力。

　首先， 系统需要能够控制谁能够访问系统或网络上的数据， 以及如何访问， 即是否可以修改数据还是只能读取数据。

　这首先要通过采用访问控制表等授权方法得以实现； 其次， 即使拥有合法的授权， 系统仍需要对网络上的用户 进行验证， 以确保他确实是他所声称的那个人， 通过握手协议和数据加密进行身份验证； 最后， 系统还要将用户 的所有网络活动记录在案， 包括网络中机器的使用时间、 敏感操作和违纪操作等， 为系统进行事故原因查询、 定位、 事故发生前的预测、 报警以及为事故发生后的实时处理提供详细可靠的依据或支持。

　四、 网络信息安全的现状 我国的 Internet 网（ 国际互联网）

　从科技网、 教育网起步， 现已发展到商业网、 政务网， 这标志着我国已跨入 Internet 网的新时代。

　我国的信息安全保密技术， 在 20 多年中经历了 两次大的变革（ 70 年代完成了 手工到电子的变革， 80 年代完成了 电子到计算机作业的变革 ）， 目 前正酝酿着第三次变革， 迎接着互联网时代的到来。

　互联网也是计算机网， 从这个意义上讲， 它具有与计算机网相同的特点。

　但互联网是开放网， 不提供保密服务， 这一点使互联网具有与计算机网不同的新特点。

　（ 一）

　互联网是无中心网， 再生能力很强。

　一个局部的破坏， 不影响整个系统的运行。

　因此， 互联网特别能适应战争环境。

　这也许是美国军方重新重视互联网的原因之一。

　（ 二）

　互联网可实现移动通信、 多 媒体通信等多 种服务。

　互联网提供电子邮件 （ E-mail）、 文件传输 （ FTP）、 全球浏览 （ WWW），以及多媒体、 移动通信等服务， 正在实现一次通信（ 信息）

　革命， 在

　社会生活中起着非常重要的作用。

　尽管国际互联网存在一些问题， 但仍受到各国政府的高度重视， 发展异常迅猛。

　（ 三）

　互联网一般分为外部网和内 部网。

　从安全保密的角度来看， 互联网的安全主要指内部网 （ Intranet）的安全， 因此其安全保密系统要靠内部网的安全保密技术来实现， 并在内部网与外部网的联接处用防火墙（ firewall）

　技术隔离， 以确保内部网的安全。

　（ 四）

　互联网的用 户 主体是个人。

　个人化通信是通信技术发展的方向 ， 推动着信息高速公路的发展。

　但从我国目 前的情况看， 在今后相当长的时间里， 计算机局域网和互联网会并存发展， 在保留大量端间（ terminal or work-station）通信的计算机网 的特点 的同 时， 会不断加大个人化 personal or individual 通信的互联网的特点。

　（ 五）

　互联网将成为信息战的战略目 标。

　互联网作为开放的信息系 统， 越来越成为各国信息战的战略目标。

　窃密和反窃密、 破坏和反破坏的斗争将是全方位的， 不只是个人、集团的行为， 而且是国家级的行为。

　在这样的斗争中， 要立于不败之地、 掌握主动权， 就必须对作为信息系统最核心的芯片和操作系统有足够的了 解， 构造出自 己的安全内核。

　五、

　网络安全的意识与教育 随着计算机技术的飞速发展， 信息网络已经成为社会发展的重要保证。

　信息网络已涉及到国家的政府、 军事、 科技、 文教等各个领域。其中存储、 传输和加工处理的信息有许多涉及政府宏观调控决策、 商业经济信息、 银行资金转账、 股票证券、 能源资源数据、 科研数据等重要内容， 难免会受到来自 世界各地的各种人为的信息攻击。

　同时，

　网络实体还要经受诸如水灾、 火灾、 地震、 电磁辐射等自 然灾难的考验。

　近年来， 计算机犯罪案件急剧上升， 各国的计算机系统特别是网络系统面临着很大的威胁， 并成为严重的社会问题之一。

　据美国联邦调查局的报告， 计算机犯罪是商业犯罪中最大的犯罪类型之一， 每笔犯罪的平均金额为 45000 美元， 每年计算机犯罪造成的经济损失高达50 亿美元。

　加之国际互联网络的广域性和可扩展性， 计算机犯罪也已成为具有普遍性的国际问题。

　网络安全教育实际上关系到两个方面的问题。

　一是如何看待目 前国际互联网络中各式各样的安全漏洞。

　经过各种媒体对网络安全案例及其影响的报道和宣传后， 是否就片面地认为网络是极不安全的， 安全意识的增强仅仅是利用人们对网络的恐惧， 而限制了 人们对网络的理解以及限制了 网络的进一步应用和发展。

　二是如何看待网络安全的公开性讨论。

　从某种意义上说， 安全更多的是对网络和系统知识的深入理解和对其技巧的大胆应用， 与不安全因素的斗争实际上是多种技巧的较量。

　然而， 只有很少的网络和系统管理人员 关注网络上发布的安全警告消息。

　对系统中漏洞感兴趣的网民多是些发誓要当黑客或大大小小的黑客们， 他们最先看到最新发布的各种系统的最新问题， 尽管有时不是新问题， 而是很早很老的漏洞。

　从社会教育和意识形态角度来讲， 网络上不健康的内容， 会对社会的稳定和人类的发展造成阻碍， 必须对其进行控制。

　计算机犯罪大都具有瞬时性、 广域性、 专业性、 时空分离性等特点。

　通常计算机罪犯很难留下犯罪证据， 这大大刺激了 计算机高技术犯罪案件的发生。安全教育的目 的不仅是提高防范意识， 同时还要自 觉抵制利用计算机进行各类犯罪活动的诱惑。

　重视信息化的安全教育， 还在于尽快培养出一批信息化安全的专门人才是网络安全之本。

　提高全民的信息化的

　安全意识， 使网络安全建立在法律约束之下的自 律行为是实现网络安全的重要因素。

　安全的问题归根结底是人的问题， 安全的最终解决也在于提高人的道德素质。

　虽然防火墙是一种好的防范措施， 但只是一种整体安全防范政策的一部分。

　这种安全政策必须包括公开的用户 知道自 身责任的安全准则、 职员 培训计划以及与网络访问、 当地和远程用户 认证、拨出拨入呼叫 、 磁盘和数据加密以及病毒防护的有关政策。

　网络易受攻击的各个点必须以相同程度的安全防护措施加以保护。

　计算机及其网络系统的安全管理是计算机安全的重要组成部分，安全管理贯穿于网络系统设计和运行的各个阶段。

　它既包括了 行政手段， 也含有技术措施。

　在系统设计阶段， 在硬、 软件设计的同时， 应规划出系统安全策略； 在工程设计中， 应按安全策略的要求确定系统的安全机制； 在系统运行中， 应强制执行安全机制所要求的各项安全措施和安全管理原则， 并经风险分析和安全审计来检查、 评估， 不断补充、 改进、 完善安全措施。

　一、

　安全策略 安全策略是指在一个特定的环境里， 为保证提供一定级别的安全保护所必须遵守的规则。

　实现网络安全， 不但靠先进的技术， 而且也得靠严格的安全管理， 法律约束和安全教育。

　计算机及其网络系统大而复杂， 安全问题涉及的领域广泛、 问题多。

　安全策略只是概括说明系统安全方面考虑的问题和安全措施的实现， 它建立在授权行为的概念上。

　在安全策略中， 一般都包含“未经授权的实体， 信息不可给与、

　不被访问、 不允许引 用、 不得修改” 等要求， 这是按授权区分不同的策略。

　按授权性质可分为基于规则 的安全策略和基于身份的安全策略。

　授权服务分为管理强加的和动态选取的两种。

　安全策略将确定哪些安全措施须强制执行， 哪些安全措施可根据用户 需要选择。

　大多数安全策略应该是强制执行的。

　（ 一）

　基于身份的安全策略 基于身份的安全策略目 的是对数据或资源的访问进行筛选。

　即用户 可访问他们的资源的一部分（ 访问控制表）， 或由系统授予用户 特权标记或权力。

　两种情况下， 数据项的多少会有很大变化。

　（ 二）

　基于规则的安全策略 基于规则的安全策略是系统给主体（ 用户 、 进程）

　和客体（ 数据）分别标注相应的安全标记， 制定出访问权限， 此标记作为数据项的一部分。

　两种安全策略都使用 了 标记。

　标记的概念在数据通信中是重要的， 身份鉴别、 管理、 访问控制等都需要对主体和客体做出相应的标记并以此进行控制。

　在通信时， 数据项、 通信的进程与实体、 通信信道和资源都可用它们的属性做出标记。

　安全策略必须指明属性如何被使用， 以提供必要的安全。

　根据系统的实际情况和安全要求， 合理地确定安全策略是复杂而重要的。

　因为安全是相对的， 安全技术也是不断发展的， 安全应有一个合理和明确的要求， 这主要体现在安全策略中。

　网络系统的安全要求主要是完整性、 可用性和机密性。

　其中完整性、 可用性是由网络的开放和共享所决定的。

　按照用户 的要求， 提供相应的服务， 是网络最基本的目 的。

　机密性则对不同的网络有不同的要求， 即网络不一定都是保密网。

　因此， 每个内部网要根据自 身的要求确定安全策略。

　现在

　的问题是硬、 软件大多很先进， 大而全， 而在安全保密方面没有明确的安全策略， 一旦投入使用， 安全漏洞很多。

　而在总体设计时， 按照安全要求制定出网络的安全策略并逐步实施， 则系统的漏洞少、 运行效果好。

　在工程设计中， 按照安全策略构造出 一系 列安全机制和具体措施， 来确保安全第一。

　多重保护的目 的是使各种保护措施相互补充。底层靠安全操作系统本身的安全防护功能， 上层有防火墙、 访问控制表等措施， 防止一层措施攻破后， 安全性受到威胁。

　最少授权原则是指采取制约措施， 限制超级用户 权力并全部使用一次性口 令。

　综合防护要求从物理上、 硬件和软件上、 管理上采取各种措施， 分层防护，确保系统安全。

　二、

　安全机制 安全策略确定后， 需要有不同的安全机制来实施。

　安全机制可单独实施， 也可组合使用， 通常包括三类：

　预防、 检测、 恢复。

　典型的安全机制有以下几种：

　（ 一）

　数据保密变换 数据保密变换， 即密码技术， 是许多安全机制和安全服务的基础。通过加／ 解密来实现身份鉴别、 数据完整性、 不可否认等， 从而保证信息的安全。

　采用密码技术， 可有效地防止：

　1、 信息的未授权观察和修改；

　2、 抵赖；

　3、 仿造；

　4、 通信业务流分析。

　（ 二）

　数字签名机制 数字签名 机制用于实现抗抵赖、 鉴别等特殊安全服务的场合。

　数

　字签名 机制的主要特征是：

　不使用 秘密密钥就不能建立签名 数据单元， 这说明：

　1、 除了 掌握秘密密钥的人以外， 任何人都不能建立签名 数据单元；

　2、 接收者不能建立签名 数据单元；

　3、 发送者不能否认曾经发送过签名 的数据单元。

　（ 三）

　访问控制机制 访问控制机制实施对资源访问加以限制的策略。

　即规定出不同主体对不同客体对应的操作权限， 只允许被授权用户 访问敏感资源， 拒绝未经授权用户 的访问。

　采用的技术有访问控制矩阵、 口 令、 权能等级、 标记等， 它们可说明用户 的访问权。

　权力不可仿造， 而且应由可靠的方式传递。

　（ 四）

　数据完整性机制 数据完整性机制保护单个数据单元和整个数据单元流的完整性。它包括各种信息流错误检测、 校验等技术。

　（ 五）

　鉴别交换机制 鉴别交换机制指信息交换双方（ 如内部网和互连网）

　之间的相互鉴别。

　当交换信息的双方和通信手段均可信任时， 可通过口 令来鉴别；当交换信息双方可信， 而通信手段不可信时， 可由密码技术加以保护；交换信息双方互不信任时， 可使用 数字签名 等技术来实现抗抵赖服务。

　（ 六）

　抗通信流分析机制 该机制通过产生伪通信业务， 将每日 数据单元通信量填充到预定的数量， 来防止通过通信业务流分析获取情报。

　在具体实施时， 应注意加密和伪装， 避免区别出伪通信业务和真正的通信业务。

　（ 七）

　路由选择控制机制 通过路由选择控制保证数据只在物理上安全的路由上传输， 保证机密信息只在具有适当保护措施的路由上传输。

　（ 八）

　公证机制 公证机制需有可信任的第三方， 来确保两个实体间交换信息的性质（ 如来源、 完整性、 发送接收时间等）

　不会变化。

　（ 九）

　物理环境的安全机制 物理环境的安全是保证信息安全的重要措施。

　硬件、 软件和通信安全的第一道屏障就是物理环境的保护， 必须有适应不同策略要求的防护措施。

　（ 十）

　人员 审查与控制机制 种种形式的防护措施均离不开人的掌握和实施， 系统安全最终是由人来控制的。

　因此， 安全离不开人员 的审查、 控制、 培训和管理等，要通过制定、 执行各项管理制度等来实现。

　三、

　安全管理原则 信息安全主要有三条基本的管理原则：

　从不单独、 限制使用期限和责任分散。

　从不单独原则的含义是在人员 条件允许的情况下， 由最高领导人指定两个或更多的、 可靠且能胜任工作的专业人员 ， 共同参与每项与安全有关的活动， 并通过签字、 记录、 注册等方式证明。

　与安全有关的活动主要有：

　（ 1）

　发送或回收访问控制项。

　证书及系统信息媒体（ 磁带、 盘等）；

　（ 2）

　系统的初始化或关闭；

　（ 3）

　处理保密信息；

　（ 4）

　硬件和软件日 常维护；

　（ 5）

　硬件测试、 修改和验收；

　（ 6）

　系统重新配置；

　（ 7）

　设计、 实现和修改数据库；

　（ 8）

　设计、 实现和修改应用程序；

　（ 9）

　设计、 实现和修改操作系统；

　（ 10）

　设计、 实现和修改安全软件；

　（ 11）

　更改重要文档；

　（ 12）

　更改紧急情况和偶然事件处置计划；

　（ 13）

　进入紧急状态；

　（ 14）

　重要的程序或数据删除、 销毁；

　（ 15）

　更改系统操作过程；

　（ 16）

　接收、 发送或传输重要的材料。

　限制使用期限是安全管理的另 一个原则。

　它的含义是， 任何人都不能在一个与安全有关的岗位上工作时间太长。

　为限制使用期限， 工作人员 应经常轮换工作位置。

　这种轮换依赖于全体人员 和他们的诚实， 工作人员 的不诚实会对系统产生威胁。

　责任分散是一个重要的管理原则。

　在工作人员 数量和素质允许的情况下， 不集中于一人实施全部与安全有关的功能。

　为安全起见， 下列系统功能须由不同的人或小组来执行（ 这也称为责任分散）：

　（ 1）

　计算机操作和计算机编程：

　（ 2）

　应用编程和系统编程；

　（ 3）

　应用编程和数据库管理；

　（ 4）

　数据准备和数据处理；

　（ 5）

　数据处理和系统安全控制；

　（ 6）

　计算机操作和系统媒体保护；

　（ 7）

　计算机操作和设计、 实现、 修改各个软件。

　责任分散的实现主要采取两种措施：

　建立物理屏障和制定规则。

　：

　（ 1）

　系统媒体库必须选择安全的位置， 一般应靠近机房但又与计算机房隔开；

　（ 2）数据准备必须在靠近机房但又与机房隔开的安全区域进行；

　（ 3）

　程序员 办公室须与计算机房在物理上分开；

　（ 4）

　安全办公室必须是一个对全体人员 （ 除直接与安全有关的人员 外）

　受限的区域；

　（ 5）

　机房本身必须是对在严格的管理下工作的实际负责的操作者或其它授权人（ 如维修技术员 ）

　受限制的安全区域；

　（ 6）

　等待销毁的敏感材料必须存在计算机房以外的安全区域。

　（ 1）

　编程员 与操作员 工作分离， 编程员 一般不参与日 常操作，操作员 不进行编程；

　（ 2）

　安全特性的运行和维护（ 如修改计算机操作系统， 以提高系统安全性）

　应单独进行， 有不同的责任；

　（ 3）

　质量控制和审计应具有与系统操作不同的功能。

　四、

　机密信息的保护 在具有机密信息需要保护的系统中， 有下述主要的保护原则：

　（ 一）

　网格原则：

　信息的密级由信息本身的密级加上指定各项的密级组成。

　人或进程由人本身的密级加上人所拥有的对各种信息的授权密级组成。

　（ 二）

　简单安全原则：

　任何人或人的进程活动， 不应超越他拥有的密级所对应的信息。

　（ 三）

　“*” 号原则：

　任何人或进程不能向低于它的密级的信息写。该原则可避免高密级信息客体向低密级信息客体泄漏信息。

　（ 四）

　第一完整性原则：

　计算机程序不得从低特权级程序接收信息。

　特权的意思是对计算机系统所做的事授予的权限。

　该原则的目 标是避免操作系统（ 管理程序、 监视程序或主控程序）

　受到恶意用户 的攻击。

　（ 五）

　第二完整性原则：

　不允许计算机程序向高特权级程序写。该原则的目 标是防止用户 程序影响操作系统的运行。

　（ 六）

　标号原则：

　每个信息客体都应用人或机器可识别的形式清楚地标识其密级。

　（ 七）平稳原则：

　任何人或进程不可改变信息客体或主体的密级，除非是已定义的过程。

　（ 八）不可访问原则：

　不存在任何人或进程均可获得的信息客体，除非是已定义的过程。

　（ 九）

　可审计原则：

　所有在信息客体上执行的与安全有关的活动（ 如打开文件、 删除信息、 降低密级等）

　应有不可擦除的记录， 以供审计使用。

　（ 十）

　可信软件原则：

　任何计算机系统都不可完全满足上述全部原则并执行全部工作， 必要时， 允许可信软件超越这些规则。

　计算机信息媒体有磁带、 磁盘、 微缩胶卷、 CD—ROM 等， 信息存储在媒体上， 必要时它们可将信息在屏幕上显示或在纸上打印。

　1． 标 记 2． 保 存 3． 数据备份 4． 销 毁 5.

　剩磁处理 6． 机密信息的有效管理 7． 安全数据管理 五、

　风险分析 风险分析是了 解计算机系 统安全状况和辨别系 统脆弱性并提出对策的科学方法。

　在进行风险分析时， 应首先明确分析的对象。

　如对象应是整个系统明确范围和安全敏感区， 确定分析的内容， 找出安全上的脆弱点，并确定重点分析方向。

　接着仔细分析重点保护目 标， 分析风险的原因、影响、 潜在的威胁、 造成的后果等， 应有一定的定量评估数据。

　最后根据分析的结果， 提出有效的安全措施和这些措施可能带来的风险，确认资金投入的合理性。

　例如， 为保护公司财产， 实现网络安全需要一些开支。

　然而， 这些开支应与被保护的财产价值相一致。

　假设有价值为 A 的财产需保护， 而攻破网络， 使财产遭受损失的价值为 P， 则风险为 A／ P。

　对一个具有安全防护功能的网络来说， P 值应大于 A。

　即攻破网络， 偷盗或损失财产的价值比财产本身的价值要高。

　假设实现保护财产的安全策略需开支 N， 在一个安全防护措施较完善的网络上， 投资 N 应与财产本身的价值 A 有关， 比值 K—N/A 称

　为投资因子。

　实现安全策略的开支 N 显然应比财产本身价值低， 即 N＜ A。

　对许多网络来说， 评估投资因子 K 是十分重要的。

　六、

　机构和人员管理 对人员 的控制和管理是安全防护的重要环节。

　除加强法制建设，通过法律制裁形成一种威慑， 并通过伦理道德教育， 提高整体素质外，还应采取科学的管理措施， 减少作案的机会， 减少犯罪， 以获得安全的环境。

　（ 一）

　安全授权 计算机网络必须设立网络安全管理机构， 网络安全管理机构设置网络安全管理员 ， 如需要还可设立分级网络管理机构和相应的网络管理员 。

　此外， 还应建立、 健全岗位责任制， 指定不同的管理员 在岗位上可能处理的最高密级信息， 即安全授权。

　安全授权包括：

　专控信息的授权、 机密信息的授权、 秘密信息的授权和受控信息的授权四类。

　其中专控信息的授权是对网络管理机构的最高领导、 网络安全管理员 及专门指派的人员 的授权， 是处理最高机密的授权。

　除上述四类授权外， 尚有一种临时授权， 即对需要临时接触专控信息的人给与 临时专控信息授权， 但需要对他接触专控信息进行审查， 只有审查合格后才可获得授权。

　（ 二）

　安全审查 在工作人员 获准接触、 保管机密信息前， 必须对他们进行安全审查。

　对新职工按照本人申请表中的个人历史逐一审查， 必要时要亲自会见证明人， 对以前的经历和人品进行确认。

　除新职工外， 对在职人员 也要定期审查。

　当某工作人员 婚姻状况发生变化， 或被怀疑违反了

　安全规则， 或是对其可靠性产生怀疑时， 都要重新审查。

　安全警卫员 应具有所保卫的重要机房最高密级的授权， 应按此标准挑选、 审查。

　对清洁工也要和工作人员 一样进行审查， 未经严格审查的清洁工在处理保密信息的重要机房工作时， 应自 始至终处于工作人员 的监视之下。

　（ 三）

　调离交接 一旦重要机房的工作人员 辞职或调离， 应立即取消他出 入安全区、 接触保密信息的授权。

　应给调离人员 一份书面要求， 告之他有义务对工作期间接触的涉密信息继续保密， 否则 将受到行政或刑事处罚。

　必要时调离人员 应签字， 说明已接受并对今后的行为负责。

　调离人员 办理手续前， 应交回所有的证章、 通行证、 钥匙、 手册、资料等。

　调离人员 走后， 所有他接触过、 使用过的访问控制物品必须更换或处理。

　（ 四）

　安全教育 必须定期对工作人员 进行安全教育， 包括听讲座， 观看影片、 录相资料， 学习信息安全材料带。

　以此提高工作人员 的信息安全防护意识。

　要求工作人员 随时注意计算机网络安全运行情况。

　一旦发现从直接上级处接受到违反网络安全规定的指示或观察到其它工作人员 违反安全规定的可疑行为时， 应立即向安全负责人报告。

　同时要求任何工作人员 不得将网络机房的保密资料带回家中， 确有必要带出， 必须经负责人批准并备案。

　机构和部门的信息安全管理是保障信息安全的重要环节， 为了 实现安全管理应该具备以下” 四有”：

　（ 1）

　有专门的安全管理机构。

　（ 2）

　有专门的安全管理人员 。

　（ 3）

　有逐步完善的安全管理制度。

　（ 4）

　有逐步提高的安全技术设施。

　信息安全管理涉及如下基本方面：

　（ 1）

　人事管理。

　（ 2）

　设备管理。

　（ 3）

　场地管理。

　（ 4）

　存储媒体管理。

　（ 5）

　软件管理。

　（ 6）

　网络管理。

　（ 7）

　密码和密钥管理等。

　信息安全管理要遵循如下基本原则：

　（ 1）

　规范原则。

　（ 2）

　预防原则。

　（ 3）

　立足国内原则。

　（ 4）

　选用成熟技术原则。

　（ 5）

　注重实效原则。

　（ 6）

　系统化原则。

　（ 7）

　均衡防护原则。

　（ 8）

　分权制衡原则。

　（ 9）

　应急原则。

　（ 10）

　灾难恢复原则。

　从技术的角度看， Internet 的不安全因素， 一方面由于它是面向所有用户 的， 所有资源通过网络共享， 另 一方面就是它的技术是开放和标准的。

　因此， 尽管已从过去用于科研和学术目 的的阶段进入了商用阶段， 但是它的技术基础仍是不安全的。

　从一般意义上讲， 我们还可以认为， 网络安全所面临的威胁主要可分为两大类：

　一是对网络中信息的威胁； 二是对网络中设备的威胁。

　从形式上， 自 然灾害、 意外事故、 计算机犯罪、 人为行为、“黑客” 行为、 内部泄露、 外部泄密、 信息丢失、 电子谍报、 信息战、 网络协议中的缺陷等等， 都是威胁网络安全的重要因素。

　从人的因素考虑， 影响网络安全的因素还存在着人为和非人为的两种情况。

　一、

　攻击的分类 被动攻击：

　被动攻击包括分析通信流， 监视未被保护的通讯， 解密弱加密通讯， 获取鉴别信息（ 比如口 令）。

　被动攻击可能造成在没有得到用户 同意或告知用户 的情况下， 将信息或文件泄露给攻击者。这样的例子如泄露个人的敏感信息。

　主动攻击：

　主动攻击包括试图阻断或攻破保护机制、 引 入恶意代码、 偷窃或篡改信息。

　主动进攻可能造成数据资料的泄露和散播， 或导致拒绝服务以及数据的篡改。

　包括大多数的未授权用户 企图以非正常手段和正常手段进入远程系统。

　物理临近攻击：

　是指未被授权的人， 在物理意义上接近网络、 系统或设备， 试图改变、 收集信息或拒绝他人对信息的访问。

　内部人员 攻击：

　内部人员 攻击可以分为恶意或无恶意攻击。

　前者指内部人员 对信息的恶意破坏或不当 使用 ， 或使他人的访问遭到拒绝； 后者指由于粗心、 无知以及其它非恶意的原因而造成的破坏。

　软硬件装配分发攻击：

　指在工厂生产或分销过程中对硬件和软件进行的恶意修改。

　这种攻击可能是在产品里引 入恶意代码， 比如后门。

　二、

　攻击的几个阶段 （ 一）

　隐藏自 己 攻击者一般会采用以下策略来隐藏自 己的真实 IP 地址：

　- 从已经取得控制权的主机上通过 telnet 或 rsh 跳跃；

　- 从 windows 主机上通过 wingates 等服务进行跳跃；

　- 利用配置不当的代理服务器进行跳跃；

　- 一些经验老道的攻击者会利用电话交换技巧来入侵， 他们可能会采用以下技巧；

　- 先通过拨号找寻并连入某台主机， 然后通过这台 主机再联入internet 来跳跃。

　（ 二）

　寻找目 标， 收集信息 攻击者的主要任务是收集有关要攻击目 标的有用的信息。

　这些信息包括目 标计算机的硬件信息， 运行的操作系统信息， 运行的应用程序（ 服务）

　的信息， 目 标计算机所在网络的信息， 目 标计算机的用户信息， 存在的漏洞等等。

　通常是从已攻入的系统中的. rhosts 和. netrc 文件中所列的机器中挑选出来， 从系统的/etc/hosts 文件中可以得到一个很全的主机列表。

　但大多数情况下， 选定一个攻击目 标是一个比较盲目 的过程，除非攻击者有明确的目 的和动机。

　攻击者也可能找到 DNS （ 域名 系统）表， 通过 DNS 可以知道机器名 、 Internet 地址、 机器类型， 甚至还可知道机器的属主和单位。

　（ 三）

　获得初始的访问， 获得特权 就是选用合适的方法入侵。

　主要是两种方法， 通过发现目 标计算

　机的漏洞进入系统， 或者是利用口 令猜测进入系统。

　利用口 令猜测就是试图重复登录， 直到找到一个合法的登录为止。

　往往这种方法会耗大量的时间， 而且， 每次登录， 不管是否成功都会在目 标计算机上留下记录。

　会引 起注意。

　另 一个就是利用和发现目 标计算机的漏洞， 直接顺利进入。

　还有一些入侵的方法是采用想 IP 地址欺骗等手段。

　它的原理就是通过各种欺骗手段， 取得目 标计算机的信任， 从而可以进入目 标计算机。

　（ 四）

　清除痕迹、 留下后门 UNIX 中三个重要的 LOG 文件:

　WTMP - 记录每次登录的信息, 包括登陆/退出的时间, 终端, 登录主机 IP UTMP - 在线用户 记录 LASTLOG - 记录用户 上次是从哪里登录的 例如：

　THC 提供的 cleara. c , clearb. c 是非常好用的清除工具。可以清除 utmp/utmpx, wtmp/wtmpx, 修复 lastlog 让其仍然显示该用户 的上次登录信息) 。

　这些 log 文件缺省在什么地方呢? 这依赖于不同的 Unix 版本.

　UTMP :

　/etc 或 /var/adm 或 /usr/adm 或 /usr/var/adm 或 /var/log WTMP :

　/etc 或 /var/adm 或 /usr/adm 或 /usr/var/adm 或 /var/log LASTLOG :

　/usr/var/adm 或

　/usr/adm 或

　/var/adm 或 /var/log 在一些旧 unix 版本中 lastlog 数据被写到$HOME/. lastlog 清除其它痕迹

　很多 hacker, 他们把自 己从 log 里删除了 . 但他们忘记删掉他们在机器中留下的其他一些东西: 在/tmp 和$HOME 中的文件 Shell 记录：

　一些 shell 会保留一个 history 文件(依赖于环境设置) 记录你执行的命令. 最好的选择就是当你登录以后先启动一个新 shell, 然后在你的$HOME 中查找历史纪录. 启动新的 shell 的这条命令也会在 root所分配的 shell 记录文件里， 这可能是追踪入侵者的一个关键命令，可以直接使用 ls –alt . /. *来查看当前的记录文件情况， 可以使用cat /dev/null >. /. *history 来清空记录文件。

　历史记录文件:

　 sh :

　. sh_history csh :

　. history ksh :

　. sh_history bash:

　. bash_history zsh :

　. history （ 五）

　攻击其他系统 攻击一个系统得手后， 攻击者往往不会就此罢手。

　他会在系统中寻找相关主机的可用信息， 继续进行攻击。

　攻击的方式有多种， 比较通行的是装一个监听程序。

　这样几乎可以掌握整个局域网。

　（ 六）

　安装嗅侦器 攻击者一个十分快速和有效地获得大量内部网络主机的用 户 名机器密码的方法是使用“以太网嗅侦器” (ethernet sniffer) 程序。但由于这些嗅侦器只 有当 攻击者和被攻击者在同一个以太网段内才有效， 所以在充当网桥的外网主机上运行嗅侦器不会有用。

　一个全方位的计算机网络安全体系结构应包含网络的物理安全、访问控制安全、 系统安全、 用户 安全、 信息加密、 安全传输和管理安全等， 每一层次上的安全都要依赖一定的技术。

　文化安全 法律、 法规 信息传输安全（动态安全）

　数据加密 数 据 完 整 性鉴别 防抵赖 信息存储安全（静态安全）

　数据库安全 终端安全 信息的防泄密 信息内容审计 信息安全 用户 鉴别 授权 网络安全 访问控制 网络安全检测 入侵检测 IPSEC 审计分析…… 系统安全 主机安全…… 链路安全 链路加密…… 物理安全 环境安全 设备安全 媒体安全 一、

　身份认证技术 身份认证是对网络中的主体进行验证的过程， 用户 必须提供他是谁的证明， 他是某个雇员 ， 某个组织的代理、 某个软件过程， 如股票交易系统或 Web 订货系统的软件过程。

　认证的标准方法就是弄清楚他是谁， 他具有什么特征， 他知道什么可用于识别他的东西。

　比如说，系统中存储了 他的指纹， 他接入网络时， 就必须在连接到网络的电子指纹机上提供他的指纹， 这就防止他以假的指纹或其他电子信息欺骗

　系统， 只有指纹相符才允许他访问系统。

　更普通的是通过视网膜血管分布图来识别， 原理与指纹识别相同， 声波纹识别也是商业系统采用的一种识别方式。

　通常有下列三种方法验证身份：

　一是只有该主体了 解的秘密， 如口 令、 密钥；

　二是主体携带的物品， 如智能卡和令牌卡；

　三是只有该主体具有的独一无二的特征或能力， 如指纹、 声音、视网膜或签字等。

　网络通过用户 拥有什么东西来识别的方法， 一般是用智能卡或其他特殊形式的标志， 这类标志可以从连接到计算机上的读出 器读出来。

　至于说到” 他知道什么”， 最普通的就是口 令具有共享秘密的属性。

　例如， 要使服务器操作系统识别要人网的用户 ， 那么用户 必须把他的用户 名 和口 令送服务器。

　服务器就将它仍与数据库里的用户 名 和口 令进行比较， 如果相符， 就通过了 认证， 可以上网访问。

　这个口 令就由服务器和用户 共享。

　更保密的认证可以是几种方法组合而成。

　例如用 ATM卡和 PIN 卡。

　在安全方面最薄弱的一环是规程分析仪的窃听，如果口 令以未加密的明码进行传输， 接入到网上的规程分析仪就会在用户 输人账户 和口 令时将它记录下来， 任何人只要获得这些信息就可以上网工作。

　用于身份认证的其他办法：

　● 主体特征认证：

　利用个人特征进行认证的方式具有很高的安全性。

　目 前已有的设备包括：

　视网膜扫描仪、 声音验证设备、 手型识别器。

　这些识别系统能够检测如指印， 签名 ， 声音， 零售图案这样的物理特征。

　但大多数这样的系统极具实验性， 价格昂贵而且不是百分之百的可靠。

　任何一个送数据到远程系统去核实的系统有被搭线窃听的危险， 非法入侵者只须记录下送去系统的校验信息， 以后再重显示这

　些信息， 就能窃密。

　当然这同样也是标记识别系统的一个问题。

　● 口 令机制：

　口 令是相互约定的代码， 假设只有用户 和系统知道。口 令有时由用户 选择， 有时由系统分配。

　通常情况下， 用户 先输入某种标志信息， 比如用户 名 和 ID 号， 然后系统询问用户 口 令， 若口 令与用户 文件中的相匹配， 用户 即可进人访问。

　口 令有多种， 如一次性口 令， 系统生成一次性口 令的清单， 第一次时必须使用 X， 第二次时必须使用 Y， 第三次时用 Z， 这样一直下去； 还有基于时间的口 令，即访问使用的正确口 令随时间变化， 变化基于时间和一个秘密的用户钥匙。

　这样口 令每分钟都在改变， 使其更加难以猜测。

　● 智能卡：

　访问不但需要口 令， 也需要使用物理智能卡。

　在允许其进人系统之前检查是否允许其接触系统。

　智能卡大小形如信用卡，一般由微处理器、 存储器及输入、 输出设施构成。

　微处理器可计算该卡的一个惟一数（ ID）

　和其他数据的加密形式。

　ID 保证卡的真实性，持卡人就可访问系统。

　为防止智能卡遗失或被窃， 许多系统需要卡和身份识别码（ PIN）

　同时使用。

　若仅有卡而不知 PIN 码， 则不能进人系统。

　智能卡比传统的口 令方法进行认证更好， 但其携带不方便， 且开户 费用较高。

　● 拨号回呼（ Call Back Modem）：

　它是维护系统有效用户 表及其相应电话号码的设备。

　当用户 拨号进人系统时， 系统获得用户 的登录账户 后， 挂起， 再根据电话号码表向用户 的设备拨人以验证其合法性。这种方法的优点是， 限制只 有电话号码存于系统的人才是系 统的用户 ， 从而使非法侵人者不能从其家里拨入系统并登录， 这一方法的缺点是限制了 用户 的灵活性， 并仍需要使用口 令， 因为 MODEM 不能仅从用户 固定发号的地方， 惟一地标识用户 。

　● 一次性口 令：

　即“询问一应答系统”。

　一次性口 令系统允许用

　户 每次登录时使用不同的口 令。

　它使用一种称作口 令发生器的设备，设备是手携式的（ 大约为一个袖珍计算器的大小）， 并有一个加密程序和惟一的内部加密密钥。

　系 统在用户 登录时给用 户 提供一个随机数， 用户 将这个随机数送入口 令发生器， 口 令发生器用户 的密钥对随机数加密， 然后用户 再将口 令发生器输出的加密口 令送入系统， 系统将用户 输入的口 令， 与它用相同的加密程序， 密钥和随机数产生的口令比较， 如果二者相同， 允许用户 访系统。

　其优点是：

　用户 可每次敲人不同的口 令， 因此不需要口 令保密， 只有口 令发生器需要安全保护。为了 增加安全性， 有些系统甚至不需联机保存密钥， 实际的密钥可保存在有线连接于系统的一个特殊加密计算机中。

　在用户 登录期间， 加密计算机将为用户 产生随机数和加密口 令。

　这样一种系统的优点是，口 令实际不由用户 输人， 系统中也不保存密钥， 即使是加密格式的密钥也可保存于系统中。

　其不足之处类似于标记识别方法， 每个用户 必须携带口 令发生器， 如果要脱机保存密钥， 还需要有一个特殊硬件。

　装备了 功能强大的便携机， 远程工作的雇员 可以访问到公司的所有东西， 从电子邮件到公司日 常运作的重要服务． 包括销售人员 的自动化工具和专用的客户 和公司记录。

　信息系统（ IS）

　的专业人员 支持远程接人的安全性是至关重要的， 主要是确保远程用户 说谁就是谁。加强远程接人安全性的最简单但效能最低的手段是使用静态口 令：

　可以...

推荐访问： 信息安全 指引 网络