因特网的安全问题及对策

　

因特网的安全问题及对策

张泽忠

——因特网在世界各国都呈现飞速发展的态势，截止到今年六月底，我国网络的基本用户已超过400万。今年年初的政府上网工程和电子商务，更使得因特网的发展在国内如火如荼。网络正在带动一场信息革命，加快了信息在世界各地的传播，促进了经济的发展和信息的交流，给信息产业带来前所未有的商机。同时，我们应清醒的认识到信息在网络上存储、处理和传输虽然实现了信息共享，但也大大地增加了被盗用的危险；另外，由于网络本身存在的脆弱性以及可能遭受来自各方面的威胁和攻击，使得信息的安全保密在网络环境下具有特别重要的意义。网络安全已成为世界各国十分关注的热点问题。我国在建设和发展因特网的同时，要未雨绸缪，全面规划和实施网络的安全。

——一、网络面临的安全问题

——网络的安全事件是外部威胁和攻击作用于网络脆弱环节的结果，也是各项安全管理和法律保障不健全造成的恶果。

——1.网络本身的脆弱性是造成安全事件的内因

——网络本身的脆弱性表现在物理和信息两个方面。物理方面的脆弱性，历来受到人们的重视，如网络易受到工作场地、环境因素的影响；易受到各种自然灾害的影响；易受到电磁干扰和辐射的影响以及元器件本身的老化失效等因素的影响等。但是，对于信息方面的脆弱性人们往往忽视。实际上，物理安全较为具体实在，便于人们采取措施强化，而信息安全比较复杂，人们难以控制。信息方面的脆弱性主要包括：

——.广泛开放带来的脆弱性

——基于Internet技术的最显著优点是开放性，可以实现异构（Heterogeneous）网络。它涵盖世界上成千上万台计算机和几千万用户，成为全球性的复杂交错的互联网络。Internet是完全连接的，千百万个用户中的任何一个都可以给特定用户发送电子邮件，和FTP文件服务器交换文件或介入系统。这种广泛的开放性，从安全性上看，反而成了易受攻击的弱点。

——首先，任何运行TCP/IP的机器都可以利用这些协议进入网络。Internet协议（IP）是以客户/服务器模式为基础的。因此，入侵者的目标是明确的，即侵入服务的心脏——服务器。在UNIX、WindowsNT、Novell NetWare等系统中都具有访问控制权限或访问控制特性。一般情况下，公共进程和程序在软件装载时就已经进行了缺省配置。此外，系统管理还要根据实际需要，确定一些特权和限制。如访问人类、访问权限（读、写、执行等）。危险在于，用户非法获得预期之外的特权，特别是获得系统管理员级的最高访问特权；或者入侵者发现程序缺陷，并有效利用这些最高特权。这些都会严重威胁服务器的安全。

——其次，IP是为一台计算机向另一台计算机发送信息包而设计的，即利用信息包通信。然而，IP不是为提供安全性设计的，也不是了用户在网络上进行保密通信而设计的。它可以绕过事故点选择通信的路由。因此，它可能招致某些用户的隐蔽攻击，如拦截和读取信息包。所以，TCP/IP协议的现行版本IPv4自身缺乏安全性。

——第三，Internet允许一定数量的匿名通信。如利用重邮器（remailer）进行匿名通信，将报文头部和发送地址从报文中删除，插入重邮器地址。对商业、经济和政治信息可能造成严重的威胁，同时削弱了抵御攻击和惩治犯罪的能力。

——因此，这种开放性，一方面带来了信息技术的一场革命，促进了信息社会的实现，给社会经济带来了极大的好处。但是，另一方面它也存在许多安全隐患、增加了安全管理的难度和复杂性。问题的关键在于兴利除弊。

——.引进的新技术、新软件和新设备带来的脆弱性

——在引进新技术、新软件和新设备时，往往对其中的安全缺陷不甚了解，同时限于知识产权问题，得不到完整的图纸资料和源程序；安全检测困难，不易发现安全隐患；甚至难以发现故意埋下的攻击性信息或计算机病毒；利用软件版本升级或更换软件内容之机，潜入破坏性的信息或窃取密信息等都会危害网络的安全。

——如Microsoft的Active X技术，它包含了超文本标记语言（HTML），是描述Web页面的新方法，它与Microsoft的Internet Explorer接口。这种专用技术难以进行安全检查，当Los Alamos国家实验室的安全部门仔细验证后，发现Active X存在下载程序，可以帮助程序员做诸如重新格式化被控计算机的硬盘或关闭计算机工俄功能，甚至发送恶意代码等安全问题，特别是近来，针对Microsoft的Win98和Intel的PentiumIII安全隐患问题，已经引起国家安全部门的关注。如今，在Internet上流行的各种各样的新型专用程序，很少经过真正的安全测试，因此，盲目引进，对其安全性很少了解，势必埋下安全隐患。

——.操作系统和数据库管理系统的安全级别不高

——操作系统是信息设备的重要平台，是能信系统的核心控制软件，所以操作系统的安全是深层次的安全。目前，网络上的操作系统有以下两个突出问题都会严重影响网络的安全：

————操作系统多为引进，尤其是美国垄断计算机的操作系统；

————操作系统的安全级别不高，C2级难以保证信息系统的安全。

——此外，数据库管理系统的安全问题也是如此。

——操作系统的安全和数据库管理系统的安全关系到信息系统的整体安全，没有自主产权的安全操作系统和数据库管理系统，一直依赖国外厂商，我们将无法实现真正意义上的信息系统安全。尽管，国内正在讨论利用LINUX操作系统源代码的开放性来建立我国的操作系统，其安全性有待进一步商榷。

——.某些设备的安全性阻止攻击的能力薄弱

——在网络上使用的防火墙设备是两个网络之间执行控制策略的系统。本质上，它遵从的是一种允许或阻止业务往来的网络安全机制。防火墙可以是软件或硬件模块，并能集成于网桥、网关、路由器、代理服务器等设备中。

——但是，防火墙只能增强网络安全，不能保证其安全。一则，防火墙不是对付攻击的铜墙铁壁，防火墙技术上的漏洞和薄弱环节会导致内部网络与外部网络不能有效的隔离。二则，如果没有仔细地设计和维护路由器的合理配置，就可能引入附加的脆弱性。因此，有些安全路由器具有防火墙功能。三则，在有些情况下，最大的危险并不一定来自外部的攻击，而往往来自内部用户的威胁。防火墙是防外不防内。因此，防墙的安全性，除了采用合理的网络配置之外，更重要的是管理人员所具备的安全知识、安全意识、所执行的安全规程和为保护安全所采取的安全措施。

——.安全协议和安全标准没有形成合理的体系

——目前，Internet上的安全标准和协议仍处于发展完善阶段。如基本的TCP/IP协议自身缺乏安全性。为此，Inrernet的技术管理机构IETE（Internet工程任务组研究采用新版本IP协议，称为IPv6（目前是IPv4）。新的IP协议，除地址长度由现在的32bit扩展为128bit外，重要的是增加了安全保密机制，有重从鉴别和保密两方面制订了一系列标准。

——此外，如EIT公司的安全超文本传输协议（SHTTP）、Netscape公司的安全套接协（SSL）、Visa和Master Card等合作开发的安全电子交易协议（SET）以及早期开发的安全电子支付协议（SEPP）、Internet密钥控制支付协议（IKP）。为统一安全标准和协议，尤其是协调电子商务实用化的发展，国际上大约30家主要软件和硬件供应商共同组成一个组织——Rosett Net着手制定统一的电子商务标准和协议。

——.网络设备和线路的电磁泄漏和电磁干扰

——任何电气设备中的信息会通过电磁波泄漏出去，同时会由于受到各种电磁干扰或强电干扰而受损，特别是在非常时期或信息战攻击的情况下，网络受攻击的可能性最大。

——如“每周电脑服”报导，一种称之“商能量无线频率武器”（也叫HERF枪）能发射12兆瓦电磁波，可以轻易地让数字电路过载，可以使没有安装电磁波防护的计算机瘫痪，而勿须通过网络发动攻击。

——电磁泄漏有两种途径：一是通过地线、电源线、信号线等传播出去（传导方式）；另一种是通过空间传播出去（辐射方式）。这种电磁泄漏容易被对手侦收，给信息安全造成危害。防电磁泄漏发射（TEMPEST）是一项极为重要的信息安全技术。TEMPEST专指保密设备电磁发射中与明文相关的电磁泄漏，而电磁发射（EME）是泛指所有电子设备规定频段范围内任何形式的电磁泄漏。

——2.网络所受威胁和攻击是造成安全事件的外因

——网络所受威胁和攻击来自多方面，甚至是无孔不入的。它大致可以分为三类：

——.第一类是各种自然因素（包括自然灾害）、事故和人为错误的威胁，这类威胁主要包括自然因素和人为因素两种。

——自然因素主要有：

————各种自然灾害：如水、火、雷、电、风暴、烟尘、虫害、鼠害、海啸和地震等。

————网络的环境和场地条件，如温度、湿度、电源、地线和其他防护设施不良造成的威胁。

————电磁辐射和电磁干扰的威胁。

————网络硬件设备自然老化，可靠性下降的威胁等。

——人为因素主要有：

————操作失误：操作不当、误用媒体、设置错误

————意外损失：电力线搭接、电火花干扰

————编程缺陷：经验不足、检查漏项、不兼容文件

————意外丢失：被盗、被非法复制、丢失媒体

————管理不善：维护不利、管理松驰

————无意破坏：无意损坏、意外删除等。

——这类威胁是无目的事件，甚至是突发事件，有时难以预测。尽管，这类威胁的影响是局部性的，但也会通过网络波及其地区，引起其他地区的延迟、阻塞，甚至大面积网络瘫痪。

——对付这类威胁的一般对策是：

——我们可以利用统计资料和种种防灾抗灾措施，尽量避免和减少危害；通过安全和可靠性设计来降低事故；通过冗余、备份、应急恢复和安全调度等减轻事故的影响；用有效的安全管理和训练来提高人员素质，预防人为错误等。

——.第二类是国外敌对势力对安全的威胁

——它主要分为工业间谍和信息战两种形式。工业间谍的出现可能非常高，这主要是由于国际环境决定的。他们将利用我们对网络的依赖和技术上的优势，寻求在政治、经济、军事、外交等广泛领域内的利益。

——网络是一个丰富的容易接入的信息源。情报收集一般都是抽取所需的信息而不向信息拥有者说明。国外情报部门和商业部门利用网络收集情报，改变已存在的文件或插入错误文件的可能性是很大的。

——而信息战在冲突时期出现的可能性是高的，在和平时期信息战的威胁是存在的。在国际间利益冲突和较量中，和平时期的工作是为非常时期做准备的。许多隐患都是在和平时期埋下的种子。如“逻辑炸弹”会导致网络瘫痪；预留隐蔽通道、陷门、远端维修、病毒等都是潜在的隐患。特别是病毒，由于潜在巨大破坏性，正演变成一种进攻性武器，成为网络的隐蔽杀手，必须对此有高度的重视。

——.第三类是各种计算机犯罪的威胁

——在这类威胁中，以“黑客”和偷窃的威胁可能性最大，此外还有恐怖活动、欺骗、敲诈、诽谤、骚扰、拒绝服务和破坏信息等。这些威胁主要来自内部人员作案或内外勾结共同作案以及形形色色的计算机犯罪分子的攻击，在网络中都必须认真防范。

——网络中包含国家各方面的重要信息，自然成为对手攻击的主要目标，同时他们又把网络提供的便利作为实施攻击的手段。在网络中存贮、传送和处理有关政治、经济、科技、金融、商贸、文化、教育、医疗等各方面浩瀚的信息。除了一般性的信息资源外，这些信息包含了大量国家机密、商业秘密和个人隐私，对于国家、企业和个人来说都是宝贵的财富。由于人为的恶意攻击具有明显的企图，与一般犯罪有着不同的特点，因此危害性相当大。这些特点主要是：

————智能性。一般而言，这些攻击者具有相当高的专业技术和熟练的操作技能，攻击前通过周密的预谋和精心策划。以Internet非法接入后，篡改或伪造他人帐户、存折和信用卡，实施贪污、盗窃、诈骗、破坏等行为，甚至非法侵入国家党政机关、企事业单位，窃取政治、经济和军事机密等。据报道，美国国防部的电脑网络成了高手过招的战场。入侵美国国防部网站，难度最高，但也是全世界黑客永远的最爱。据统计，美国国防部网络每天会遭遇60至80次的黑客攻击事件。

————隐蔽性。信息是无形的电子数据，对于广泛应用的网络可以不受时间、地点限制进行攻击，甚至不留下任何痕迹，不易被察觉。尤其利用远程通信，作案地点和时间分离，这种时空的分离性，使其罪证难以查询，毁灭和转移罪证容易，待查出某些蛛丝马迹，攻击者早已逃之夭夭。在美国计算机犯罪的破案率不到10%，其中定罪的不到3%。

————多样性。随着技术的进步，攻击的手段也日新月异花样翻新，如偷窃机密，调拨资金、金融投机、剽窃软件、偷漏税款、盗码并机、虚假信息、解密入侵等，成其是计算机病毒就有几千种。美国一名13岁中学生通过电话线进入20多家企业的计算机网络，并将异常数据塞入计算机的正常运行程序，使这些企业蒙受巨大损失。

————严重性。计算机犯罪日益成为网络时代面临的严重问题。如美国康奈尔大学的一名研究员曾通过全美最大的计算机网络系统，把自己设计的病毒程序输入五角大楼远景规划网络，导致美国军事基地和国家航天航空局的6000多台电脑全部瘫痪，造成直接经济损失近1亿美元。1999年6月1日据路透社报导，美国白宫、参义院、中央情报局、联邦调查局、司法部等都曾由于黑客攻击短时间关闭过各自的网站。黑客——为了寻找刺激、展示技能、捞取钱财和实施报复，千方百计地打入网络。国际上某些黑社会和恐怖组织，如意大利的“红色恐怖派”、法国的“消灭计算机委员会”、德国的“制造计算机混乱俱乐部”等都以制造计算机病毒为主要任务之一。他们还专门召开以病毒为主题的秘密会议，在会上不仅交换了渗透到世界各地集中式计算机系统的口令和其他敏感信息，还交换了更高级病毒的思想和技术。据预测，21世纪国际恐怖活动采取的五种新武器中，计算机病毒名列第二。

——3.人员的素质和安全意识有待全面的提高

——人是各个安全环节最重要的因素，全面提高人员的技术水平、道德品质、政治觉悟和安全意识是网络安全最重要的保证。许多安全事件都是由内部人员引起的，堡垒往往容易从内部攻破。因此，人员的素质是十分重要的。一方面无论建设和维护运行这样一个高技术现代化的网络，离开掌握有关技术的人员是不可想象的；另一方面由于人的因素（有意、无意、攻击和破坏）造成安全事故的教训实在太多。所以，除采取各项安全技术之外，还必须有完善的安全管理（包括技术的、行政的安全管理）。

——人相当于一个复杂的信息处理系统。在网络中，人通过接收各种信息、在规定的条件下做出决策、指导和控制，使各个环节协调一致，保证网络的正常运行。然而，人不同于机器，人受到自身生理和心理因素的影响，此外还受到技术熟练程度、责任心和品德等素质方面的影响。因此，人员的教育、培养、训练以及合理的人机界面都与网络的安全相关。

——4.网络的安全监控和评估有待加强

——网络涉及全国各地，各行各业，网络的安全监控和评估有待进一步加强。

——从安全角度看，入网前的安全监控和评估是保障网络安全的重要措施之一，把不符合入网要求的设备或系统拒之网络大门之外；然而，更重要的是实际网络运行中的安全监控和评估，它是防止安全事件和进行应急处理的重要手段。

——为了进行安全监控和安全评估，需要首先建立安全监控的标准和安全对策以及安全评估准则，即监控什么、怎样才安全，如何评估安全性、如何防范安全事件等。

——入网前的安全监控和评估，除一般的工作性能指标、可靠性、可用性之外，主要检测硬件和软件的安全漏洞，即保密性、完整性和不可依赖性方面的问题，并对其安全性做出评估，只有合格产品，才发放进网话可证。如近期发现：

——.3Com公司公布了它的某些网络产品的“后门”（Backdoor），并提醒使用该产品的用户关掉这个“后门”。

——.遥控旁路：某国向我国出口一种路由器，其软件可以通过遥控将接口旁路，形成隐蔽通道。

——.在软件中设置病毒、逻辑炸弹等，危及网络安全，如99年最新病毒：破坏性极强的宏病毒DELTREE-C和专门破坏E-mail和新闻组的Happy99蠕虫病毒等。

——美国于1983年8月15日提出“可信计算机系统评估准则”（TCSEC），随之欧洲、加拿大等国相继制订安全评估准则，国际标准化组织（ISO）于1996年4月23日正式纳入CC1.0版本的研究。

——在TCSEC的八个安全等级中，B₁级和B₂级的级差最大，因为只有B₂、B₃和A₁级，才是真正的安全级，它们可以经得起程度不同的严格检测和攻击试验。目前，我国普遍使用的计算机，其操作系统大多是引进国外的属于C₂级产品，少数为B₁级产品。如此状部多国网络安全形势严峻。

——安全监控和评估是一项十分艰巨的工作。我国虽然成立了相关的监控和评估机构，但仍然有许多工作要做。在网络运行环境中，许多因素是动态的、随机的；有些因素还与敌我双方的技术水平、能力、各种威胁和攻击手段及对策有关。因此，必须进一步加强专业技术和管理人员从事网络运行安全监控和评估手段及能力。

——.研制内部弱点的扫描工具，及时发现各种安全隐患。

——.监察和入侵检查的工具，防止各种网络攻击事件。

——.经常密切关注国内外黑客站点的动向。从黑客站点提供的资料来研究黑客。

——.模拟攻击，研究各种防范手段。

——.进行安全风险分析和安全评估，不断改进和完善安全措施。

——.制订各项安全对策和应急措施，维护网络安全等。

——二、网络的安全框架和对策

——1.安全含义

——在美国国家信息基础设施（NII）的最新文献中，明确给出安全的五个属性：可用性、可靠性、完整性、保密性和不可抵赖性。这五个属性适用于国家信息基础设施的教育、娱乐、医疗、运输、国家安全、电力供给及分配、通信等广泛领域。这五个属性定义如下：

——.可用性（Availability）：信息和通信服务在需要时允许授权人或实体使用。

——.可靠性（Reliability）：系统在规定条件下和规定时间内、完成规定功能的概率。

——.完整性（Integrity）：信息不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏的特性。

——.保密性（Confidentiality）：防止信息泄漏给非授权个人或实体，信息只为授权用户使用。

——.不可抵赖性（Non-Repudiation）：也称作不可否认性，在一次通信中，参与者的真实同一性。

——可靠性是网络安全最基本的要求之一。网络不可靠，事故不断，根本谈不上网络的安全。但是，当网络在正常条件下能可靠工作，而在特殊情况下，网络不能为用户提供有效的信息和通信服务（可用性）；或敏感的机要信息在通信过程中被泄漏（保密性）；或提供的信息内容在通信过程中被修改和破坏（完整性）；或通信双方的任何一方否认/抵赖曾发生通信联系，甚至否认/抵赖通信内容（不可抵赖性），网络仍是不安全的。因此，对于网络来说，这五个属性都很重要。

——网络可靠性的测试主要有三种：网络的抗毁性、网络的行存性和网络的有效性。目前，对于网络可靠性的研究基本上偏重于硬件可可靠性方面。研制高可靠性元器件设备，采取合理的冗余备份措施仍是最基本的可靠性对策。然而，有许多故障和事故，则与软件可靠性、人员可靠性和环境可靠性有关。如人员可靠性在通信网络可靠性中起着重要作用。有关资料表明，系统失效中很大一部分是由人的因素造成的。

——可用性是网络面向用户的安全要求。网络最基本的功能是向用户提供所需的信息和通信服务，而用户的通信要求是随机的，多方面的（话音、数据、文字和图像等），有时还要求时效性。网络必须随时满足用户通信的要求。从某种意义上讲，可用性是可靠性的更高要求，特别是在重要场合下，特殊用户的可用性显得十分重要（如紧急时刻的首长通信、各种灾害和非学埋藏的应急通信等）。为此，网络需要采用科学合理的网络拓扑结构、必要的冗余、容错和备份措施以及网络自愈技术、分配配置和负荷分担、各种完善的物理安全和应急措施等，从满足用户需要出发，保证通信网的安全。

——保密性是面向信息的安全要求。它是在可靠性和可用性的基础上，保障网络中信息安全的重要手段。对于敏感的用户信息保密，人们早有认识，也是研究最多的领域；而对于网络信息的保密，自海湾战争以来，已受到了人们越来越大的关注。网络信息会成为“黑客”、计算机犯罪、病毒、甚至信息战攻击的目标。世界上的一些信息大因愈来愈担心他们的重要目标会遭受一场致命的信息攻击。

——完整性也是面向信息的安全要求。它与保密性不同，保密性是防止信息泄漏给非授权的人，而完整性则要求信息的内容和顺序都不受破坏和修改。用户信息和网络信息都要求完整性，如涉及金融的用户信息，会因为用户帐目被修改，伪造或删除带来巨大的经济损失；这样，网络中的网络信息一旦受到破坏，严重的会造成通信网瘫痪。

——不可抵赖性是面向通信双方（人、实体或进程）信息真实同一的安全要求。它包括收发双方均不可抵赖。随着通信业务的不断扩大，电子贸易、电子金融、电子商务和办公自动化等许多信息都含有巨大财富，需要通信双方对信息内容的真实性认同，不可抵赖；否则，将失去通信的意义。为此，应采用数字签名、以证、数据完备、鉴别等措施以实现不可抵赖。

——综上所述，网络的安全不仅是防范窃密活动，把保密性作为重点的安全观念，而是全面的网络安全观念，即是可靠性、可用性、完整性和不可抵赖性作为与保密性同等重要的安全观念。我们应从观念上，政策上作必要的调整，全面规划和实施网络和信息的安全。

——2.安全框架

——安全框架给出了网络安全体系的基本构成，主要包括以下三个层次：安全技术层、安全管理层和政策法规层。政策法规层保护安全管理层和安全技术层，安全管理层保护安全技术层。安全技术层主要包括物理安全、信息加密、数字签名、存取控制、认证鉴别、信息完整、业务填充、路由控制、压缩过滤、防火墙、公证审计、协议标准、电磁防护、媒体保护、故障处理、安全检测、安全评估、应急处理等。

——安全管理层主要包括密钥管理、系统安全管理、安全服务管理、安全机制管理、安全事件处理管理、安全审计管理、安全恢复管理、安全组织管理、安全制度管理、人事安全管理、安全意识教育、道德品质教育、安全规章制度、大众媒体宣传、表扬奖惩制度、安全知识普及等。

——政策法规层主要包括引进、采购和入网政策上的安全性要求、制定各项安全政策和策略、制定安全法规和条例、打击国内外的犯罪分子，依法保障通信网和信息安全等。

——网络安全涉及的三个层次是有机整体，任何环节的失误都有可能带来严重的后果。无疑，安全技术是保障网络安全必备的基础手段，研制和装备高科技的安全设备是保障网络安全的最重要的措施。但是，仅此还不够，还必须有完善的安全管理（包括技术的、行政的管理）和政策法规保障。过去，我们对网络安全的技术层面和要求比较重视，南昌其他二个层面相对较弱。实际上各项安全技术是由人去研制、生产、维护和管理的，若管理松驰，再先进的安全技术也只是虚设。在现实社会生活中，人们总是生活在一定的道德规范和社会秩序中，人的行为无不受到外在的社会法令和内心道德原则的双重制约，没有良好的社会环境，犯罪必然增加。安全政策法规是保障网络和信息安全的重要防线，是对企图破坏者的一种威慑力量，是保障安全的有力武器。对于恶意攻击和破坏，安全技术措施、安全管理固然可以限制和减少危害，但仍不足以根除，还必须依赖法律保障。我国还需要进一步完善和强化这三个层次的安全措施。

——3.安全对策

——网络安全必须被作为管理工作中一个优先考虑的问题。从上述分析可知，网络涉及面广、技术复杂，面临严重的威胁和攻击，加上网络本身的脆弱性，使得网络存在严重的安全问题。那么，究竟如何才能保障网络安全呢？

——.根据安全需求制订安全计划

——在2.1节提出的五个属性中，尽管对于网络安全而言都是很重要的，但不同的机构可能有不同的重视程度。这是因为不同的机构各有不同的安全考虑，而且它们将据此来制订各自的安全计划。如通信运营部门，如何保证用户的通信畅通和运营服务，确保网络的可靠性和可用性是最基本的要求。

——在金融系统中，如何保证资金和帐务不被窃取和篡改及低赖，必须保障网络的可靠性、完整性和不可抵赖性是最基本的要求。

——在国家机密情报部门，如何保证信息的机密不被窃取和破坏，确保网络的保密性和完整性是最基本的要求。

——总之，在网络中，应依据各部门的性质和安全需求，确定不同的安全策略和重点。

——.进行风险分析和风险评估

——风险分析是风险管理的基础。它是指用于估计威胁发生的可能性以及由于系统易于受到攻击的脆弱性而引起潜在损失的步骤。风险分析的最终目的是帮助选择安全策略和安全机制，并将风险降低到可以接受的程度。

——为此，风险分析至少要考虑以下三个问题：

————网络的哪些部分将面临风险；

————会发生哪些灾难；

————发生灾难的可能性有多大。

——风险评估是实施网络安全的重要部分。首先依据风险分析确定具体的安全策略和安全机制及安全措施。其次进行费用——效益分析，确定花费多少时间、人力和资金来保护网络安全。为此，需要对防御成本和受损后的恢复成本做出评估，以此确定安全优先次序表。风险评估至少要考虑以下四个问题：

————更换通信设备和系统的实际费用；

————生产运营损失；

————机会损失；

————信誉损失等；

——.根据需要建立安全策略

——就网络而言，安全策略应关注以下几个方面：

————增强网络的可靠性和可用性，保障通信畅通和业务运营，以满足通信的需要是网络安全最基本的要求。平时是这样，非常时期更是如此。

————应当满足网络信息的保密性、完整性和不可抵赖性的基本要求，采取有关的安全机制以保障信息网络安全。对于重要的用户信息，由用户根据不同的安全需求采取相应的安全机制。有关安全服务和安全机制将在第三节中叙述。

————加强网络备份和恢复操作以及应急处理能力，保证网络在突发事件下的安全运行。

————加大安全监控力度和安全审计功能，严格入网安全检测，完善网管功能，增强网络抗拒威胁和攻击的能力。

————重点防范网络关键部位的安全，如接入点、信息中心、认证中心、管理中心、数据库、重点网站等采取相应的安全机制。对于重要的部门，可建立安全保密子网或者安全虚拟专用网（VPN）。在尚未解决安全性以前，党政专网和其他安全性要求高的专网，暂不宜接入，以保障重要通信安全。

————安全技术应随着科技进步和攻防技术的提高而动态发展，必须不断研究和更新安全技术，自主开发国产网络安全产品，“魔高一尺道高一丈”才能确保网络安全。

————强化安全管理人员的安全防范意识、杜绝安全隐患和漏洞。

————协助国家有关部门，完善安全政策和法规，严厉打击不法分子，建立安全的外部环境，保障网络安全。

——三、网络的安全服务和安全机制

——为保证信息安全，网络应具备以下安全服务和安全机制。一项安全服务可以由若干项安全机制来实现。

——1.安全服务

——安全服务大致有以下内容：

——.认证：对每个实体（人、进程或设备等）必须加以认证，也称作信息源认证。每次与协议数据单元（PDU）连接，都必须对实体的身份和授权实体进行处理，其信息级别要求匹配。

——.对等实体鉴别：网络必须保证信息交换在实体间进行，而不与伪装的或重复前一次交换的实体进行信息交换，网络必须保证信息源是所要求的信息源。它能实时确定出会话开始的时间，以发现重复性攻击。

——.访问控制：必须有一套规则，由网络来确定是否允许给定的实体使用特定的网络资源。这些规定可以是强制的或选定的访问控制方式，以便有效地保护敏感的或保密的信息。网络实体未经许可，不能将保密信息发送给其它网络实体；未经授权不能获取保密信息和网络资源。

——.强制访问控制：根据信息资源的敏感度，限制使用资源。实体获得正式授权后，才可以使用具有这种敏感度的信息。强制性表现在它适用于所有的实体和所有的信息；它具有政策法规效力。

——.选定访问控制：根据实体和/或实体群的身份来限制使用资源。选定性表现在它允许资源的所有者可以改变访问控制；存取的信息允许传送给相应的实体。

——.标记：存取控制标记必须与协议数据单元（PDU）和网络实体相关。为了控制使用网络，发送和/或处理的信息必须能用可靠的说明其保密程度（或级别）的标记，对每个PDU进行标记。

——.信息加密：网络必须对敏感信息提供保密措施，防止主动攻击和被动攻击以及通信业务流量分析。信息保密是防止信息泄漏的重要手段，也是人们关注的主要问题之一。

——.信息的完整性：网络必须保证信息精确地从起点到终点，不受真实性、完整性和顺序性的攻击。网络必须既能对付设备可靠性方面的故障，又能对付人为和未经允许的修改信息的行为。

——.抗拒绝服务：可以将拒绝通信服务看成是信息源被修改的一种极端情况，它使得信息传送不是被阻塞，就是延迟很久。为此，需要网络能有效地确定是否受到这种攻击的协议。

——.业务的有效性：网络必须保证规定的最低的连续性业务能力。具有检测业务降级到最低限度的状态，并自动告警；设备故障时，可以迅速恢复业务，保证业务的连续性。

——.审计：网络必须记载安全事件的发生情况并保护审计资料，以免被修改或破坏，便于审计跟踪和事件的调查。

——.不可抵赖：网络必须提供凭证，防止发送者否认或抵赖已接收到相关的信息。

——2.安全机制

——安全机制主要包括以下内容：

——.加密机制：主要有链路加密、端一端加密、对称加密、非对称加密、密码校验和密钥管理等。

——.数字签名机制：它可以利用对称密钥体制或非对称密钥体制实现直接数字签名机制和仲裁数字签名机制。

——.存取控制机制：主要利用访问控制表、性能表、认证信息、资格凭证、安全标记等表示合法访问权，并限定试探访问时间和路由及访问持续时间等。

——.信息完整性机制：包括单个信息单元或字段的完整性和信息流的完整性。利用数据块校验码或密码校验值防止信息被修改，利用时间标记在有限范围内保护信息免遭重放；利用排序形式，如顺序号、时间标记或密码链等防止信息序号错乱、丢失、重放、串插或修改信息。

——.业务量填充机制：它包括屏蔽协议、实体通信的频率、长度、发端和收端的码型，选定的随机数据率，更新填充信息的参数等，以防止业务量分析，即防止通过观察通信流量获得敏感信息。

——.路由控制机制：路由可通过动态方式或预选方式，使用物理上安全可靠的子网、中继或链路。当发现信息受到连续性的非法处理时，它可以另选安全路由来建立连接；带某种安全标记的信息将受到检验，防止非法信息通过某些子网、中继或链路，并告警。

——.公证机制：在通信过程中，信息的完整性、信源、通信时间和目的地、密钥分配、数字签名等，均可以借助公证机制加以保证。保证是由第三方公证机制提供，它接受通信实体的委托，并掌握可供证明的可信赖的所需信息。公证可以是促裁方式或判决方式的。

——四、结束语

——因特网的安全是一项复杂的长期性的系统工程。随着因特网的发展，其安全问题会越来越成为制约因特网的因素。特别是那些安全需求比较突出的领域，如政治、经济、军事、外交、金融等敏感部门，因特网的安全具有特别重要的意义。其安全对策也不是一成不变，随着科技进步和攻防技术的提高，安全对策也需要不断更新和完善。因特网的安全将会始终伴随着因特网的发展成为人们关注焦点。

张泽忠 信息产业部数据通信科学技术研究所

以上文章转摘自中国电信(http:\\www.chinatelecom.com.cn)

关闭窗口