网络安全论述研究.pdfVIP

网络安全论述 孙春来 (北京图形研究所，北京100029) 摘要 本文分析了网络安全技术的不同层面，详细介绍了每一层的特点，有针对性地介绍了 R．U．N．S．A．EE．七种网络安全防护措旌，重点描述了拒绝运行陌生代码、做好系统管理等方法。 关键词网络安全信息安全RUNSAFE 计算机网络涉及以下几个方面：首先是网络硬件，即网络的实体；第二则是网络操作 系统，即对于网络硬件的操作与控制；第三就是网络中的应用程序。若要实现网络的整体 安全，考虑上述三方面的安全问题也就足够了。但事实上，这种分析和归纳是不完整和不 全面的。在应用程序的背后，还隐藏着大量的数据作为对前者的支持，而这些数据的安全 性问题也应被考虑在内。同时，还有最重要的一点，即无论是网络本身还是操作系统与应 用程序，它们最终都是要由人来操作和使用的，所以还有一个重要的安全问题就是用户的 安全性。所以，经过系统和科学的分析，可以得出以下结论：在考虑网络安全问题的过程 中，应该主要考虑以下五个方面的问题： ●网络是否安全? ●操作系统是否安全? ·用户是否安全? ·应用程序是否安全? ●数据是否安全? 目前，这个五层次的网络系统安全体系理论己得到了国际网络安全界的广泛承认和支 持，并将这一安全体系理论应用到具体的产品中。下面逐一对每一层的安全问题做出简单 的阐述和分析。 1)网络层的安全性(Network Integrity)。网络层的安全性问题核心在于网络是否得 到控制，即：是不是任何一个m地址来源的用户都能够进入网络?通过网络通道对网络系 统进行访问的时候，每一个用户都会拥有一个独立的口地址，这一IP地址能够大致表明 用户的来源所在地和来源系统。目标网站通过对来源IP进行分析，便能够初步判断来自这 一礤的数据是否安全，是否会对本网络系统造成危害，以及来自这一IP的用户是否有权 使用本网络的数据。一旦发现某些数据来自于不可信任的P地址，系统便会自动将这些数 据阻挡在系统之外。大多数系统能够自动记录那些曾经造成过危害的IP地址，使得它们的 数据无法第二次造成危害。用于解决网络层安全性问题的产品主要有防火墙产品和VPN (虚拟专用网)。防火墙的主要目的在于判断来源IP，将危险或未经授权的IP数据拒之于 系统之外，而只让安全的舻数据通过。VPN主要解决的是数据传输的安全问题。 2)系统的安全性(SystemIntegrity)。在系统安全性问题中，主要考虑的问题有两 个：一是病毒对于网络的威胁；二是黑客对于网络的破坏和侵入。病毒的主要传播途径已 由过去的软盘、光盘等存储介质变成了网络，多数病毒不仅能够直接感染网络上的计算 机，也能够将自身在网络上进行复制。同时，电子邮件、文件传输(FrP)以及网络页面 中的恶意Java小稃序和ActiveX控件，甚至文档文件都能够携带对网络和系统有破坏作用 的病毒。这些病毒在网络上进行传播和破坏的多种途径军¨手段，使得网络环境中的防病毒+1： 62 l】c]9络安全论述 作变得更加复杂，网络防病毒。l：具必须能够针对网络中各个可能的病毒入口米进行防护。 对于^网络黑客而言，他们的主要目的在于窃取数据和非法修改系统，其手段之一是窃取合 法用户的口令，在合法身份的掩护下进行非法操作；其手段之二便是利用网络操作系统的 某些合法但不为系统管理员和合法用户所熟知的操作指令。 3)用户的安全性(User Integrity)。对于用户的安全性问题，所要考虑的问题是： 是否只有那些真正被授权的用户才能够使用系统中的资源和数据?首先要做的是应该对用 户进行分组管理，并且这种分组管理应该是针对安全性问题而考虑的分组。也就是说，应 该根据不同的安全级别将用户分为若干等级，每一等级的用户只能访问与其等级相对应的 系统资源和数据。其次应该考虑的是强有力的身份认证，其目的是确保用户的密码不会被 他人所猜测到。 4)应用程序的安全性(ApplicationIntegrity)。在这一层中的问题是：是否只有合法 的用户才能够对特定的数据进行合法的操作?这其中涉及两个方面的问题：一是应用程序 对数据