数据通信与计算机网络 中国通信学会普通高等教育“十二五”规划教材立项项目 教学课件 作者 张曙光 第7章 网络安全.pptVIP

计算机与Internet技术为信息的获取、传输与处理应用提供了极大的便利，但是，随之出现的网络信息安全问题却成了Internet及其网络服务和应用进一步发展的巨大瓶颈。 由于网络“黑客”与“入侵者”的活动越来越频繁，人们对计算机与网络中信息的安全越来越担心，网络信息安全问题也越来越严峻。 随着Internet应用的不断深入，虚拟财产已经成为网民网络生活中的重要工具。 报告显示，目前46.6%的网民持有虚拟货币、网络游戏装备、点卡等虚拟财产。 2009年，14.6%拥有虚拟财产的网民曾因网络游戏、即时通信聊天工具等账号被盗造成的虚拟财产损失。 Internet已经不再是一个工具，一个 虚拟世界，而已经成为现实社会的一部分，网络信息安全已经涉及法律、管理和技术等各个方面。技术是基础，但使用人员和管理者的网络信息安全意识是核心，甚至比具体技术更加重要。 所谓网络信息安全“三分技术，七分管理”就是基于这一观点的。 据统计，80%以上的网络信息安全事件都是由于使用和管理人员的错误操作和安全意识淡薄引起的。 因此，为了确保网络信息安全，必须在提高使用和管理人员网络安全技术水平的基础上，大力加强他们的安全意识。 7.1 网络安全概述 网络信息安全的一个通用定义是：网络系统的硬件、软件及其系统中的信息受到保护，不因偶然的或者人为恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 网络信息安全包括信息安全和控制安全两部分。 国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”；控制安全则指身份认证、不可否认性、授权和访问控制。 （1）完整性是指信息未经授权不能进行修改的特性。 （2）可用性是指信息可以被授权用户、实体或过程访问，按需求使用的特性。 （3）保密性是指信息不被泄露给非授权的用户、实体或过程，或供其利用的特性。 （4）可靠性是指信息的真实性，是指信息未被篡改和替换，真实地表示原始资源或信息。 （5）身份认证是指可以对网络和信息资源使用者（用户、进程、设备等）进行身份鉴别，确定其授权特性的特性。 （6）不可否认性是指信息行为人不能抵赖其信息行为的特性，包括发出信息、修改信息、使用信息或者接受信息等行为的不可否认。 （7）授权和访问控制是指对流通在网络系统中的信息传播及具体内容能够实现有效控制，给合法使用者指定授权范围，控制其在授权范围内使用。 从信息流角度，网络信息安全可通俗地表述为“挡不住，进不来，看不懂，改不掉，拿不走，跑不了”。 （1）“挡不住”就是合法用户能够正常地使用授权的系统资源和信息资源，攻击者不能破坏、阻止系统和信息的正常通信和处理，系统资源和信息资源就有可用性； （2）“进不来”就是非授权用户不能使用系统资源和信息资源，系统资源和信息资源具有可控性； （3）“看不懂”就是非法用户不能探测系统、浏览信息，系统资源和信息具有秘密性； （4）“改不掉”就是非法用户不能篡改系统资源和信息资源，系统资源和信息具有完整性，真实性； （5）“拿不走”就是非法用户不能获取系统和信息资源，系统和信息资源具有可控性。 （6）“跑不了”是指对系统和信息资源使用的审计功能，合法用户对系统和信息资源使用的不可否认性，非法用户对网络和信息资源侵犯或非法使用的可审计追踪特性。 网络信息安全的概念在不同的应用环境可以有不同的解释，从信息所处层次，简单地可以归结为网络和系统安全、网络和系统上的信息安全、网络上信息传播安全?3?个方面。 （1）网络和系统安全：主要指信息处理和传输系统的安全。 （2）网络和系统上的信息安全：主要指身份验证，存取权限控制，数据存取权限，存储方式控制，安全审计，安全问题跟踪，计算机病毒防治，数据加密等。 （3）网络上信息传播安全：主要指信息过滤。 7.1.1 网络的安全威胁 从威胁的动机上来看，网络信息安全威胁主要包括意外事故、使用不当和恶意攻击3类。 （1）意外事故：主要包括自然灾害、机器故障、系统错误等引起的硬件损毁、消磁、数据破坏等。 （2）使用不当：主要包括使用人员的错误操作，安全意识差，安全水平不足引起的信息灾难、信息泄露等。 （3）恶意攻击：黑客侵犯，计算机犯罪，信息战等人为的系统和数据的破坏和信息窃取等。 按照信息所