第 1 章 网络安全概述与环境配置
- 网络攻击和防御分别包括哪些内容?
答:
攻击技术主要包括以下几个方面。
(1)网络监听:自己不主动去攻击别人,而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。
(2)网络扫描:利用程序去扫描目标计算机开放的端口等,目的是发现漏洞,为入侵该计算机做准备。
(3)网络入侵:当探测发现对方存在漏洞后,入侵到目标计算机获取信息。
(4)网络后门:成功入侵目标计算机后,为了实现对“战利品”的长期控制,在目标计算机中种植木马等后门。
(5)网络隐身:入侵完毕退出目标计算机后,将自己入侵的痕迹清除,从而防止被对方管理员发现。
防御技术主要包括以下几个方面。
(1)安全操作系统和操作系统的安全配置:操作系统是网络安全的关键。
(2)加密技术:为了防止被监听和数据被盗取,将所有的数据进行加密。
(3)防火墙技术:利用防火墙,对传输的数据进行限制,从而防止被入侵。
(4)入侵检测:如果网络防线最终被攻破,需要及时发出被入侵的警报。
(5)网络安全协议:保证传输的数据不被截获和监听。 - 从层次上,网络安全可以分成哪几层?每层有什么特点?
答:
从层次体系上,可以将网络安全分为 4 个层次上的安全:
(1)物理安全 特点:防火,防盗,防静电,防雷击和防电磁泄露。
(2)逻辑安全 特点:计算机的逻辑安全需要用口令、文件许可等方法实现。
(3)操作系统 特点:操作系统是计算机中最基本、最重要的软件。操作系统的安全是网络安全的基础。
(4)联网安全 特点:联网的安全性通过访问控制和通信安全两方面的服务来保证。 - 为什么要研究网络安全?
答:
(1)网络需要与外界联系,同时也就受到许多方面的威胁:物理威胁、系统漏洞造成的威胁、身份鉴别威胁、线缆连接威胁和有害程序威胁等。
(2)目前研究网络安全已经不只为了信息和数据的安全性。网络安全已经渗透到国家的政治、经济、军事等领域,并影响到社会的稳定。 - 分别举两个例子说明网络安全与政治、经济、社会稳定和军事的联系。
答:
(1)政治:在 1999年 1 月份左右,美国黑客组织“美国地下军团”联合了波兰、英国的黑客组织及其他的黑客组织,有组织地对我国的政府网站进行了攻击。在 1999 年 7 月,台湾李登辉提出两国论的时候,我国一些政府网站遭到攻击。
(2)经济: 1999 年 4月 26 日,台湾人编制的 CIH 病毒的大爆发,据统计,我国受其影响的 PC 机总量达 36 万台之多。有人估计在这次事件中,经济损失高达 12 亿元。 2010 年 3 月 30 日,中国互联网络信息中心( CNNIC )和国家互联网应急中心( CNCERT)对网民用于处理网络安全事件
支出的费用进行统计显示: 2009 年,网民处理安全事件所支出的服务费用共计 153 亿元人民币;在实际产生费用的人群中,费用在 100 元及以下的占比 51.2%;人均费用约 588.9 元;如按国内 3.84 亿网民计算,人均处理网络安全事故费用约为 39.9 元。
(3)社会:1999 年 4 月,河南商都热线的一个 BBS 上,一张说交通银行郑州支行行长携巨款外逃的帖子, 造成了社会的动荡, 三天十万人上街排队,一天提款十多亿。 2001 年 2 月 8 日正是春节,新浪网遭受攻击,电子邮件服务器瘫痪了 18 个小时,造成了几百万用户无法正常联络。
(4)军事:在第二次世界大战中, 美国破译了日本人的密码, 几乎全歼山本五十六的舰队, 重创了日本海军。 2010 年 1 月,日本防卫省决定, 在 2011年度建立一支专门的“网络空间防卫队”,初期人数为 60 人,相关经费达 7000 多万美元,以防备黑客攻击,加强保护机密信息的能力。 - 国内和国际上对于网络安全方面有哪些立法?
答:
(1)国内立法情况:
目前网络安全方面的法规已经写入 《中华人民共和国宪法》 。于 1982 年 8 月 23 日写入《中华人民共和国商标法》 ,于 1984 年 3 月 12 日写入《中华人民共和国专利法》 ,于 1988 年 9 月5日写入《中华人民共和国保守国家秘密法》 ,于 1993 年 9 月 2 日写入《中华人民共和国反不正当竞争法》。于 1991 年 6 月 4 日写入《计算机软件保护条例》 ,于 1994 年 2 月 18 日写入《中华人民共和国计算机信息系统安全保护条例》 ,为了加强对计算机犯罪的打击力度,在 1997 年对《刑法》进行重新修订时,加进了计算机犯罪的条款。 于 1999 年 10 月 7 日写入《商用密码管理条例》 ,于 2000 年 9 月 20 日写入《互联网信息服务管理办法》 ,于 2000 年 9 月 25 日写入《中华人民共和国电信条例》 ,于 2000 年 12 月 29 日写入《全国人大常委会关于网络安全和信息安全的决定》 。
(2)国际立法情况:
美国和日本是计算机网络安全比较完善的国家,一些发展中国家和第三世界国家的计算机网络安全方面的法规还不够完善。
欧洲共同体是一个在欧洲范围内具有较强影响力的政府间组织。为在共同体内正常地进行信息市场运作,该组织在诸多问题上建立了一系列法律,具体包括:竞争(反托拉斯)法,产品责任、商标和广告规定法,知识产权保护法,保护软件、数据和多媒体产品及在线版权法,以及数据保护法、跨境电子贸易法、税收法、司法等。这些法律若与其成员国原有国家法律相矛盾,则必须以共同体的法律为准。 - 网络安全橙皮书是什么?包括哪些内容?
答:
网络安全橙皮书是根据美国国防部开发的计算机安全标准——可信任计算机标准评价准则( Trusted Computer Standards Evaluation Criteria ,
TCSEC),1985 年橙皮书成为美国国防部的标准,多年以来它一直是评估多用户主机和小型操作系统的主要方法。其他子系统(如数据库和网
络)也一直用橙皮书来解释评估。橙皮书把安全的级别从低到高分成 4 个类别: D 类、C 类、B 类和 A 类,每类又分几个级别,如表 安全级别
类别 | 级别 | 名称 | 主要特征 |
---|---|---|---|
D | D | 低级保护 | 没有安全保护 |
C | C1 | 自主安全保护 | 自主存储控制 |
C2 | 受控存储控制 | 单独的可查性,安全标识 | |
B | B1 | 标识的安全保护 | 强制存取控制,安全标识 |
B2 | 结构化保护 | 面向安全的体系结构,较好的抗渗透能力 | |
B3 | 安全区域 | 存取监控、高抗渗透能力 | |
A | A | 验证设计 | 形式化的最高级描述和验证 |
D 级是最低的安全级别,拥有这个级别的操作系统就像一个门户大开的房子,任何人都可以自由进出,是完全不可信任的。对于硬件来说,没有任何保护措施,操作系统容易受到损害,没有系统访问限制和数据访问限制,任何人不需任何账户都可以进入系统,不受任何限制可以访问他人的数据文件。属于这个级别的操作系统有 DOS 和 Windows 98 等。
C1 是 C 类的一个安全子级。 C1 又称选择性安全保护 (Discretionary Security Protection)系统,它描述了一个典型的用在 UNIX 系统上安全级别。这种级别的系统对硬件又有某种程度的保护,如用户拥有注册账号和口令,系统通过账号和口令来识别用户是否合法,并决定用户对程序和信息拥有什么样的访问权,但硬件受到损害的可能性仍然存在。用户拥有的访问权是指对文件和目标的访问权。文件的拥有者和超级用户可以改变文件的访问属性,从而对不同的用户授予不通的访问权限。
C2 级除了包含 C1 级的特征外,应该具有访问控制环境( Controlled Access Environment)权力。该环境具有进一步限制用户执行某些命令或者访问某些文件的权限,而且还加入了身份认证等级。另外,系统对发生的事情加以审计,并写入日志中,如什么时候开机,哪个用户在什么时候从什么地方登录,等等,这样通过查看日志,就可以发现入侵的痕迹,如多次登录失败,也可以大致推测出可能有人想入侵系统。审计除了可以记录下系统管理员执行的活动以外,还加入了身份认证级别,这样就可以知道谁在执行这些命令。审计的缺点在于它需要额外的处理时间和磁盘空间。
使用附加身份验证就可以让一个 C2 级系统用户在不是超级用户的情况下有权执行系统管理任务。 授权分级使系统管理员能够给用户分组, 授予他们访问某些程序的权限或访问特定的目录。能够达到 C2 级别的常见操作系统有如下几种:
(1)UNIX 系统;
(2)Novell 3.X 或者更高版本;
(3)Windows NT ,Windows 2000 和 Windows 2003。
B 级中有三个级别, B1 级即标志安全保护( Labeled Security Protection),是支持多级安全(例如:秘密和绝密)的第一个级别,这个级别说明处于强制性访问控制之下的对象,系统不允许文件的拥有者改变其许可权限。
安全级别存在秘密和绝密级别,这种安全级别的计算机系统一般在政府机构中,比如国防部和国家安全局的计算机系统。
B2 级,又叫结构保护( Structured Protection)级别,它要求计算机系统中所有的对象都要加上标签,而且给设备(磁盘、磁带和终端)分配单个或者多个安全级别。
B3 级,又叫做安全域( Security Domain)级别,使用安装硬件的方式来加强域的安全,例如,内存管理硬件用于保护安全域免遭无授权访问或更改其他安全域的对象。该级别也要求用户通过一条可信任途径连接到系统上。
A 级,又称验证设计( Verified Design )级别,是当前橙皮书的最高级别,它包含了一个严格的设计、控制和验证过程。该级别包含较低级别的所有的安全特性。