计算机网络安全知识要点

第一章 计算机网络安全概述

网络面临的安全威胁 1、网络安全威胁 是指某个人、物或时间对网络资源的机密性、完整性、可用性和非否认性等所造成的危害

2、网络安全威胁的分类

1） 外部攻击：分为 被动攻击 和 主动攻击

a) 被动攻击：涉及消息的秘密性。通常被动攻击不改变系统中的数据，只读取系统中的数据，从中获利。

被动攻击的目的：从传输中获得信息。 被动攻击的手段：截获、分析。 被动攻击的种类：析出消息内容、通信量分析

析出消息内容：从截获的信息中获得有用的数据。 常用的防止被动攻击的手段是安全可靠的数据加密

通信量分析：通过对消息模式的观察，测定通信主机的标识、通信的源和目的、

交换信息的频率和长度，然后根据这些信息猜测正在发生的通信的性质。

被动攻击的特点：难以检测，但可以预防。

对付被动攻击的重点：防止而不是检测。

b) 主动攻击

主动攻击的位置：可能发生在端到端通信线路上的几乎任何地方

网络安全威胁人为的不可避免的人为因素操作失误设计错误有意攻击内部攻击

蓄意破坏病毒威胁外部攻击主动攻击中断篡改伪装被动攻击析出消息内容

通信量分析非人为的设备失效：软件故障、硬件失效、电源故障、……自然灾害：雷电、地震、火灾、水灾、……

主动攻击的特点：难以预防，但容易检测。

对付主动攻击的方法：检测攻击，并从攻击引起的破坏中恢复。

主动攻击的种类：篡改消息、伪装、拒绝服务。

篡改消息：对消息的完整性的攻击。篡改消息包括改变消息的内容、删除消

息包、插入消息包、改变消息包的顺序。注意，消息重放也是一种篡改，是对

消息发送时间的篡改。重放设计消息的被动获取以及后继的重传，通过重放一

获得一种为授权的效果。

伪装：对消息真实性的攻击。伪装是一个实体假装成另外一个实体以获得非

授权的效果。

拒绝服务：对消息可用性的攻击。拒绝服务攻击中断或干扰通信设施或服务

的正常使用。典型的拒绝服务攻击是通过大量的信息耗尽网络带宽，是用户无

法使用特定的网络服务。另外，拒绝服务攻击还可能抑制消息通往安全审计这

样的特殊服务，从而是服务失效。

网络安全服务及机制

安全服务是由网络安全系统提供的用于保护网络安全的服务。

安全机制保护系统与网络安全所采用的手段称为安全机制。

安全服务主要包括以下内容：

机密性

完整性

真实性（鉴别）访问控制

非否认性

可用性

安全审计

入侵检测

事故响应

1、机密性

机密性服务用于保护信息免受被动攻击，是系统为防止数据被截获或被非法访问所提供的保护

机密性能够应用于一个消息流、单个消息或者一个消息中所选的部分字段。

安全机制包括：

通过加密机制对付消息析出攻击

通过流量填充对付通信量分析

信息隐藏将有效信息隐藏在其他信息中，使攻击者无法发现

2、完整性

完整性用于保护信息免受非法篡改

完整性保护分为以下两种类型：

面向连接的数据完整性

带恢复功能的连接方式数据完整性

不带恢复功能的连接方式数据完整性

选择字段连接方式数据完整性

无连接的数据完整性

无连接的数据完整性服务用于处理短的单个消息，通常只保护消息免受篡

改

无连接的数据完整性分为对单个消息或对一个消息中所选字段的保护完整性服务设计主动攻击，重点是检测而非防止攻击

一旦检测到完整性被破坏，则报告这种破坏，然后根据用户的需要决定是否进行恢

复

恢复可以采用自动恢复机制，也可以通过人工干预实现

3、真实性（鉴别）

鉴别是通信的一方对通信的另一方的身份进行确认的过程

鉴别服务通过在通信双方的对等实体间交换鉴别信息来检验对等实体的真实性与

合法性，一确保一个通信是可信的

鉴别服务涉及两个方面的内容：

在建立连接是确保这两个实体是可信的

在连接的使用过程中确保第三方不能假冒这两个合法实体中的任何一方来达

到为授权传输或接收的目的

鉴别服务通过报文鉴别、身份鉴别等实现。

4、访问控制

访问控制是限制和控制经通信链路对系统资源进行访问的能力

访问控制的前提条件是身份鉴别

一旦确定实体的身份，可以根据身份来决定对资源进行访问的方式和范围。

访问控制为系统提供了多层次的精确控制

访问控制通过访问控制策略实现，访问控制策略分为：

自主访问控制策略（基于身份的策略）

自主访问控制是指拥有（或控制）某个客体的主体能够将对该客体的一

种或多种访问权自主的授予其他主体，并可以在随后的任何时刻收回这些

权限。

自主访问控制策略为特定的用户提供访问资源的权限

自主访问控制策略对用户和资源目标的分组有很大的灵活性，其范围可从

单个用户和目标的清晰识别到广阔的组的使用。

强制访问控制策略（基于规则的策略）

强制访问控制策略基于一组能够自动实施的规则，规则在很广阔的用户

和资源目标组上强行付诸实施

强制访问控制系统根据对主体的信任程度和客体所包含信息的机密性或

敏感程度来决定主体对客体的访问权，这种控制往往可以通过给主、客体

赋以安全标记来实现

一个典型的基于规则的策略是多级策略

多级策略将资源目标按其敏感程度分为不同的安全级别，将用户按其

可信任程度也分为不同的安全级别，然后对用户和资源目标实施以下

两个基本规则来实现访问控制：

—只读访问规则（又称简单安全条件），不向上读；

—只写访问规则（又称*_特性），不向下写。

多级策略示例：

5、非否认性

非否认性用于防止发送方和接收方抵赖所传输的信息

非否认性确保发送方在发送信息后无法否认曾发送过信息之一事实以及所发送信

息的内容；接收方在收到信息后也无法否认曾收到过信息这一事实以及所收到的信

息的内容

实现：非否认性主要通过数字签名和通信双方所共同信赖的第三方仲裁来实现。

6、可用性

可用性服务是保障系统能够正常对外提供服务的安全措施

丧失或降低可用性的原因：

拒绝服务攻击、黑客篡改主页等

计算机病毒

各种物理损坏、自然灾害、设备故障以及操作失误等。

为了保证系统的可用性，应注意以下几点：

实施严格完善的访问控制策略，杜绝非授权访问；

采取防病毒措施

资源分布和冗余，防止单点故障带来的危害

进行数据备份，以便故障后能够快速恢复

加强安全管理，实施门禁、容灾和抗毁等措施

7、安全审计

安全审计跟踪是自动记录用于安全审计的相关事件的过程

审计跟踪将系统中所发生的管理者关注的所有的事件记录到一个日子中，攻管理者

进行安全审计

通常安全审计跟踪的事件有：

用户登录系统的时间

对敏感目录和文件的访问

异常行为等

记录内容主要包括三个方面：

用户信息（用户名、网络地址）

行为信息（访问内容访问方式等）

时间信息（登录时间和注销时间，特定行为时间等）

安全审计跟踪不仅记录用户的行为，而且要记录管理员的行为。

安全设计是对安全审计跟踪记录和过程的检查

安全审计的主要目的：

测试系统安全策略是否完美、一致，形成完善的系统安全策略的建议

协助入侵检测系统发现入侵行为

收集入侵证据以用于针对攻击者的法律诉讼

8、入侵检测

入侵检测是通过对实时事件序列和积累的审计跟踪记录的分析，自动向安全管理者

警告可能的安全侵犯或自动地阻止入侵行为

入侵检测的定义：

入侵检测是指监视发生在计算机或网络中的事件，并对这些事件进行分析以识

别出攻击企图或行为，以保证系统或网络资源的机密性、完整性与可用性的过

程

入侵检测系统（IDS）是是入侵检测过程自动化的软件或硬件

入侵检测系统的目标：

检测各种各样的攻击行为

能够及时检测到攻击的发生

对检测结果的分析应该是简单的、易于理解的

具有足够搞的精度

入侵检测系统的分类：

基于检测方法分类

异常检测

异常检测建立系统或网咯的正常行为模式，以网络或系统的行为是否

偏离正常行为模式为依据来检测攻击，是建立在入侵行为与网络或系

统的正常行为不同这一假设基础上的

优点：能够检测到未知类型的攻击；与系统相对无关；通用性较强。

缺点：由于不可能对整个系统内的所有用户行为进行全面的描述，或

者当系统或用户的行为偏离了已知的正常行为模式时，系统的误报率

较高；入侵者可以通过恶意训练的方式，经过一段时间训练后使检测

模型认为攻击行为也是正常的。

误用检测

误用检测方法将已知的攻击特征存储在特征库中，利用模式匹配的方

式检测攻击

优点：依据特征库进行判断，因此检测精度很高

缺点：检测范围受已知知识的局限，只能检测已知的攻击模式，并且

需要不断的升级，以保证系统的完备性。

基于数据来源分类

主机入侵检测系统

从单个主机上提取系统数据（如审计记录等）作为入侵分析的数据源

优点：对网络流量不敏感；监控粒度更细；检测精度较高。

缺点：与操作系统平台相关、可移植性差；难以检测针对网络的攻击网络入侵检测系统

从网络上提取数据（如网络链路层数据帧）作为入侵分析的数据源

优点：与平台无关；处于被动接收方式、隐蔽性好；能够检测基于网

络协议的攻击类型

缺点：对于加密信道无法实现数据解密；无法获得主机系统的实时状

态信息；对所有的网络报文进行分析，计算成本较高

分布式入侵检测系统将基于主机检测和基于网络检测的入侵检测系统结

合起来。

9、事故响应

对安防事件作出切实可行的响应是企业安防体系的一个组成部分

事故响应使得在预防、检测和应付针对网络资源的攻击行为时有章可循、迅速反应安全模型

根据安全实施的位置，可以将网络安全模型分为：

加密安全模型访问安全模型

1、加密安全模型

网络加密安全模型保障传输数据的机密性、完整性、传输行为的非否认性以及信

息源的真实性等

网络传输安全模型由三部分构成：

参与者信息通道安全机制

参与者

模型中的参与者有发送方、接收方、可信的第三方和攻击者。

发送方和接收方是通信事务的责任人。为了保证信息的安全，发送方在发

送信息之前要对信息进行安全变换，接收方收到信息后也要对信息进行相

应的安全变换。

攻击者对信息通道上传输的信息进行攻击，这种攻击又分为主动攻击和

被动攻击。

可信的第三方被通信事务的责任人所信赖，他可以为通信双方分配秘密信

息，帮助双方更新秘密信息，另外，还可以仲裁通信双方关于传输真实性

的争议，实现非否认性。

安全机制：

模型中的安全机制主要涉及安全变换和秘密信息。

安全变换可以是加密变换和流量填充，也可以是给信息附加鉴别码或数字

签名。

加密变换是攻击者难以析出消息的内容，流量填充可以组织攻击者的通信

量分析。

附加鉴别码或数字签名可以实现信息的完整性、真实性和非否认性。

与安全变换相关的是安全变换算法和算法的参数：秘密信息。如果安全变换采

用的是常规加密算法的话，那么，通信双方必须共享秘密信息，而且该秘密信

息绝对不能被攻击者所知道。

模型中的安全机制设计以下几项任务：

设计一个安全变换算法

生成安全变换算法所需的秘密信息

设计秘密信息发布和共享的方法（秘密信息可以由可信的第三方发布，也

可以由通信双方的任何一方发布）

设计保证通信双方安全机制实现的协议

网络安全模型示意图

2、访问安全模型

访问安全模型保护系统资源免受非授权的访问

模型由四部分构成

攻击者访问信道

资源系统安全机制

攻击者

攻击者可能是人或者软件：

人：可能是以突破系统为乐的黑客，也可能是对企业心怀不轨的雇员，

还可能是试图获取经济利益的罪犯

软件：病毒和特洛伊木马可视为软件攻击者

资源系统

主要包括计算资源、数据资源和软件资源。

攻击者通过访问信道对资源系统实施攻击或入侵

攻击者对信息和服务造成威胁

对信息的威胁包括窃取、篡改以及毁坏

对服务的威胁为破坏和降低系统的可用性，组织合法用户使用资

源

网络访问安全机制由两道防线构成：

第一道防线：外部安全防线，起隔离和过滤的作用。外部安全防线包括基于口

令的用户身份鉴别、根据地址端口和服务进行过滤的防火墙以及进行病毒查杀

和过滤的病毒防火墙等。

第二道防线：系统内部的安全控制。内部安全控制包括内部访问控制、报文鉴

别、安全审计、系统内的病毒查杀、数据完整性保证以及入侵检测网络访问安全模型示意图：

第二章常规加密技术