迪士尼美国官网:评论：网络安全要点综述111

　　客观地说，没有任何一个网络能够免受安全的困扰，
依据Financial Times曾做过的统计，平均每2 0秒钟就有
一个网络遭到入侵。但同时，安全又是电子商务发展的根
本。企业与消费者对电子交易安全的担忧严重阻碍了电子
商务的发展，如何改进电子商务的现状，让用户不必为安
全担心，是推动安全技术不断发展的动力。另一方面，互
联网应用不仅仅是网上购物、网上拍卖、网上服务等，还
应包括电子政务，如电子邮件、网上信息发布、在线办公
等。信息安全产业固有的敏感性及特殊性，直接影响着国
家的安全利益和经济利益，所以国家对信息安全产品实行
研制，生产，销售，使用及进出口实行严格及有效的管理
控制。所有这些因素都呼唤国内的信息安全产业早日发展
并成熟起来。

　　网络安全的目标

　　网络安全的目标应当满足：

　　身份真实性：能对通讯实体身份的真实性进行鉴别；
信息机密性：保证机密信息不会泄露给非授权的人或实体
；信息完整性：保证数据的一致性，能够防止数据被非授
权用户或实体建立、修改和破坏；服务可用性：保证合法
用户对信息和资源的使用不会被不正当地拒绝；不可否认
性：建立有效的责任机制，防止实体否认其行为；系统可
控性：能够控制使用资源的人或实体的使用方式；系统易
用性：在满足安全要求的条件下，系统应当操作简单、维
护方便；可审查性：对出现的网络安全问题提供调查的依
据和手段。

　　网络面临的安全威胁

　　网络中的主机可能会受到非法入侵者的攻击，网络中
的敏感数据有可能泄露和或被修改，从内部网向共网传送
的信息可能被他人窃听或篡改等等，造成网络安全的威胁
的原因可能是多方面的，有来自外部，也有可能来自企业
网络内部。攻击者主要是利用了TCP/IP协议的安全漏洞和
操作系统的安全漏洞。归纳起来，系统的安全威胁常表现
为以下特征：

　　窃听：攻击者通过监视网络数据获得敏感信息；重传
：攻击者事先获得部分或全部信息，以后将此信息发送给
接收者；伪造：攻击者将伪造的信息发送给接收者；篡改
：攻击者对合法用户之间的通讯信息进行修改、删除、插
入，再发送给接收者；拒绝服务攻击：攻击者通过某种方
法使系统响应减慢甚至瘫痪，阻止合法用户获得服务；行
为否认：通讯实体否认已经发生的行为；非授权访问：没
有预先经过同意，就使用网络或计算机资源被看作非授权
访问。它主要有以下几种形式：假冒、身份攻击、非法用
户进入网络系统进行违法操作、合法用户以未授权方式进
行操作等；传播病毒：通过网络传播计算机病毒，其破坏
性非常高，而且用户很难防范。如众所周知的CIH病毒，最
近出现的“爱虫”病毒都具有极大的破坏性。

　　网络安全技术与安全机制

　　网络安全技术涉及的内容是非常广泛的。从广义上讲
，网络安全技术主要包括以下几个方面：

　　主机安全技术、身份认证技术、访问控制技术、密码
技术、防火墙技术、安全审计技术、安全管理技术、系统
漏洞检测技术、黑客跟踪技术

　　为了实现网络安全，采用的安全机制主要包括：

　　加密机制。加密是确保数据保密性；数字签名机制。
数字签名用来确保数据真实性和进行身份验证；访问控制
机制。访问控制按照事先确定的规则决定主体对客体的访
问是否合法；数据完整性机制。数据完整性是保证数据不
被修改；认证机制。计算机网络中认证主要有站点认证，
报文认证，用户和进程的认证；信息流填充机制。信息流
填充使攻击者不知道哪些是有用信息，哪些是无用信息，
从而挫败信息流分析攻击；路由控制机制。路由控制机制
可根据信息发送者的申请选择安全路径，以确保数据安全
；公正机制。主要是在发生纠纷时进行公正仲裁用。

　　网络安全解决方案

　　一个完整的网络安全解决方案所考虑的问题应当是非
常全面的。保证网络安全需要靠一些安全技术，但是最重
要的是要有详细的安全策略和良好的内部管理。

　　在确立网络安全的目标和策略之后，还要确定实施网
络安全所应付出的代价，然后选择确实可行的技术方案，
方案实施完成之后最重要的是要加强管理，制定培训计划
和网络安全管理措施。完整的安全解决方案应该覆盖网络
的各个层次，并且与安全管理相结合。

　　物理层的安全防护：在物理层上主要通过制定物理层
面的管理规范和措施来提供安全解决方案。

　　链路层安全保护：主要是链路加密设备对数据加密保
护。它对所有用户数据一起加密，用户数据通过通信线路
送到另一节点后解密。

　　网络层和安全防护：网络层的安全防护是面向IP包的
。网络层主要采用防火墙作为安全防护手段，实现初级的
安全防护。在网络层也可以根据一些安全协议实施加密保
护。在网络层也可实施相应的入侵检测。

　　传输层的安全防护：传输层处于通信子网和资源子网
之间，起着承上启下的作用。传输层也支持多种安全服务
：1) 对等实体认证服务；2)访问控制服务；3)数据保密服
务；4)数据完整性服务；5)数据源点认证服务。

　　应用层的安全防护：原则上讲所有安全服务均可在应
用层提供。在应用层可以实施强大的基于用户的身份认证
。在应用层也是实施数据加密，访问控制的理想位置。在
应用层还可加强数据的备份和恢复措施。应用层可以是对
资源的有效性进行控制，资源包括各种数据和服务。应用
层的安全防护是面向用户和应用程序的，因此可以实施细
粒度的安全控制。

　　要建立一个安全的内部网，一个完整的解决方案必须
从多方面入手。首先要加强主机本身的安全，减少漏洞；
其次要用系统漏洞检测软件定期对网络内部系统进行扫描
分析，找出可能存在的安全隐患；建立完善的访问控制措
施，安装防火墙，加强授权管理和认证；加强数据备份和
恢复措施；对敏感的设备和数据要建立必要的隔离措施；
对在公共网络上传输的敏感数据要加密；加强内部网的整
体防病毒措施；建立详细的安全审计日志等。

　　网络的安全防范建议

　　Internet是一个公共网络，网络中有很多不安全的因
素。一般局域网和广域网应该有以下安全措施：

　　(1)系统要尽量与公网隔离，要有相应的安全连接措施
。

　　(2)不同的工作范围的网络既要采用防火墙、安全路由
器、保密网关等相互隔离，又要在政策循序时保证互通。

　　(3)为了提供网络安全服务，各相应的环节应根据需要
配置可单独评价的加密、数字签名、访问控制、数据完整
性、业务流填充、路由控制、公证、鉴别审计等安全机制
，并有相应的安全管理。

　　(4)远程客户访问重要的应用服务要有鉴别服务器严格
执行鉴别过程和访问控制。

　　(5)网络和网络安全设备要经受住相应的安全测试。

　　(6)在相应的网络层次和级别上设立密钥管理中心、访
问控制中心、安全鉴别服务器、授权服务器等，负责访问
控制以及密钥、证书等安全材料的产生、更换、配置和销
毁等相应的安全管理活动。

　　(7)信息传递系统要具有抗侦听、抗截获能力能对抗传
输信息的纂改、删除、插入、重放、选取明文密码破译等
主动攻击和被动攻击，保护信息的机密性，保证信息和系
统的完整性。

　　(8)涉及保密的信息在传输过程中，在保密装置以外不
以明文形式出现。(选自《互联网周刊》)作者：冯运波博
士