第6章計算機網(wǎng)絡安全技術

計算機網(wǎng)絡工程王曉燕網(wǎng)絡安全概述網(wǎng)絡安全是Internet必須面對的一個實際問題網(wǎng)絡安全是一個綜合性的技術網(wǎng)絡安全具有兩層含義：保證內(nèi)部局域網(wǎng)的安全（不被非法侵入）保護和外部進行數(shù)據(jù)交換的安全常常從如下幾個方面綜合考慮整個網(wǎng)絡的安全保護網(wǎng)絡物理線路不會輕易遭受攻擊有效識別合法的和非法的用戶實現(xiàn)有效的訪問控制保證內(nèi)部網(wǎng)絡的隱蔽性有效的防偽手段，重要的數(shù)據(jù)重點保護對網(wǎng)絡設備、網(wǎng)絡拓撲的安全管理病毒防范提高安全防范意識網(wǎng)絡安全關注的范圍網(wǎng)絡安全學習內(nèi)容了解網(wǎng)絡安全一些基本概念掌握AAA技術掌握防火墻技術掌握VPN技術第6章計算機網(wǎng)絡安全技術（1）網(wǎng)絡安全威脅：包括竊聽、破壞、重發(fā)、假冒、拒絕服務、網(wǎng)絡病毒（2）網(wǎng)絡安全技術分類：包括身份驗證技術、網(wǎng)絡數(shù)據(jù)完整性技術、網(wǎng)絡活動審計技術、信息偽裝技術（3）數(shù)據(jù)加密技術：包括私密密鑰加密、公開密鑰加密、信息摘要算法（4）身份驗證技術：包括身份認證、數(shù)字簽名、哈希函數(shù)（5）跟蹤審計技術：包括侵檢測技術、WindowsNT系統(tǒng)入侵檢測（6）防火墻技術：包括防火墻的含義、種類、結構（7）網(wǎng)絡安全風險評估：包括風險評估對象、風險評估方法（8）網(wǎng)絡安全技術新發(fā)展：包括結構標準化、應用綜合化、自我完善趨勢6.1網(wǎng)絡安全威脅網(wǎng)絡安全：用一組規(guī)則約束所有的網(wǎng)絡活動，只有被允許的活動才能正常進行，所有不允許的活動都被禁止。對網(wǎng)絡造成威脅的活動：網(wǎng)絡竊聽、完整性破壞、數(shù)據(jù)修改、重發(fā)（重放）、假冒、服務否認（拒絕服務）、計算機（網(wǎng)絡）病毒6.1網(wǎng)絡安全威脅（1）網(wǎng)絡竊聽在廣域網(wǎng)上，每個節(jié)點都能讀取網(wǎng)上的數(shù)據(jù)?；ヂ?lián)網(wǎng)體系結構允許監(jiān)視器接收網(wǎng)上傳輸?shù)乃袛?shù)據(jù)幀而不考慮幀的傳輸目的地址。這個特性使得竊取網(wǎng)上的數(shù)據(jù)以及非授權訪問很容易發(fā)生且不易被發(fā)現(xiàn)。（2）完整性破壞當信息系統(tǒng)被有意或者無意修改和破壞時，就會發(fā)生數(shù)據(jù)完整性破壞。6.1網(wǎng)絡安全威脅（3）數(shù)據(jù)修改數(shù)據(jù)修改是在非授權和不能監(jiān)測的方式下對數(shù)據(jù)的改變。當節(jié)點修改進入網(wǎng)中的幀并傳送修改的版本時就發(fā)生了數(shù)據(jù)修改。（4）重發(fā)重復一份報文或報文的一部分，以便產(chǎn)生一個被授權的效果。當節(jié)點拷貝發(fā)送到其他節(jié)點的報文并在其后重新發(fā)送他們，如果不能監(jiān)測重發(fā)，節(jié)點依據(jù)此報文的內(nèi)容接受某些操作，如關閉網(wǎng)絡，則將會出現(xiàn)嚴重的后果。6.1網(wǎng)絡安全威脅（5）假冒當一個實體假扮成另一個實體時，就發(fā)生了假冒。很多網(wǎng)絡適配器都允許網(wǎng)幀的源地址由節(jié)點自己來選取或改變，這就使假冒變得容易。（6）拒絕服務當一個授權實體不能獲得對網(wǎng)絡資源的訪問或當緊急操作被推遲時，就發(fā)生了服務否認。6.1網(wǎng)絡安全威脅造成服務否認原因A、網(wǎng)絡部件的物理損壞B、使用不正確的網(wǎng)絡協(xié)議C、超載（7）計算機（網(wǎng)絡）病毒人為編制的隱藏在計算機中很難被發(fā)現(xiàn)且具有特定破壞能力的程序或代碼。計算機網(wǎng)絡安全的另一種分類方法：截取：攻擊者從網(wǎng)絡上竊聽他人的通信內(nèi)容中斷：攻擊者有意中斷在網(wǎng)絡上的通信篡改：攻擊者故意篡改網(wǎng)絡上的通信內(nèi)容偽造：攻擊者偽造信息在網(wǎng)絡上傳輸這四類威脅可劃分兩大類：即被動攻擊和主動攻擊。源站目的站截獲源站目的站中斷源站目的站篡改源站目的站偽造被動攻擊主動攻擊在被動攻擊中，攻擊者只是觀察和分析某一個協(xié)議數(shù)據(jù)單元PDU，而不干擾信息流。這種被動攻擊又稱為通信量分析。主動攻擊是指攻擊者對某個連接中通過的PDU進行各種處理。如：有選擇的更改、刪除、延遲這些PDU。從類型上看，主動攻擊又可分為三種：更改報文流、拒絕報文服務、偽造連接初始化。

對于主動攻擊，可以采取適當?shù)拇胧┘右詸z測。但對于被動攻擊，通常卻是檢測不出來的。對付被動攻擊可采取數(shù)據(jù)加密技術，而對于主動攻擊則需將加密技術與適當?shù)蔫b別技術相結合。還有一種特殊的主動攻擊就是惡意程序的攻擊，主要有：計算機病毒、計算機蠕蟲、特洛伊木馬、邏輯炸彈。根據(jù)這些特點，可得出計算機網(wǎng)絡通信安全的五個目標：1、防止分析出報文內(nèi)容。2、防止通信量分析。3、檢測更改報文流。4、檢測拒絕報文服務。5、檢測偽造初始化連接。6.2網(wǎng)絡安全技術分類網(wǎng)絡安全技術可以分為四大類（1）身份驗證技術（2）網(wǎng)絡數(shù)據(jù)完整性技術（3）網(wǎng)絡活動審計技術（4）信息偽裝技術

6.2.1身份驗證技術含義身份驗證包括身份識別和身份認證。身份識別是用戶向系統(tǒng)出示自己的身份證明過程。身份認證是系統(tǒng)查核用戶的身份證明過程。二者合稱為身份驗證，是判明和確認通信雙方真實身份的兩個重要環(huán)節(jié)。常用的身份驗證方法有：用戶名＼口令、一次性口令、數(shù)字簽名、數(shù)字證書、PAP認證(PasswordAuthenticationProtocol)CHAP認證以及集中式安全服務器等。6.2.2數(shù)據(jù)完整性技術含義保持網(wǎng)絡的物理完整性，維護數(shù)據(jù)的機密性，提供安全視圖，保障安全通信。方法：訪問控制列表，網(wǎng)絡地址翻譯NAT技術，防火墻和加密技術。數(shù)據(jù)加密技術是網(wǎng)絡安全技術的基石。數(shù)據(jù)加密是指將一個信息（明文）經(jīng)過加密密鑰和加密函數(shù)轉換，變成無意義的另一個信息（密文），而接收方則將此密文經(jīng)過解密函數(shù)、解密密鑰還原成明文。訪問控制1.含義是指網(wǎng)絡系統(tǒng)對訪問它的用戶所實施的控制。2.組成元素（1）可訪問對象（2）訪問用戶（3）訪問類型OIDUIDTYPEa5Write3.訪問控制列表ACL（AccessControlList）6.2.2數(shù)據(jù)完整性技術防火墻技術防火墻是一個或一組網(wǎng)絡設備，用來在兩個或多個網(wǎng)絡之間加強訪問控制。其目的是保護一個網(wǎng)絡不受來自另外一個網(wǎng)絡的攻擊。圖6-1防火墻網(wǎng)絡6.2.3跟蹤審計技術跟蹤審計技術：可以驗證網(wǎng)絡安全策略是否得當；確認安全策略是否貫徹執(zhí)行，并及時報告各種情況；記錄遭到的攻擊；檢測是否有配置錯誤而導致的安全漏洞；統(tǒng)計是否有濫用網(wǎng)絡以及其他異常現(xiàn)象等.方法：記帳/日志、網(wǎng)絡監(jiān)控、入侵檢測與防止、可疑活動的實時報警等。6.2.4信息偽裝技術是90年代興起的密碼技術信息偽裝技術就是將需要保密的信息，隱藏于一個非機密信息的內(nèi)容之中，使得它在外觀形式上僅僅是一個含有普通內(nèi)容的信息。在我們所使用的媒體中，可以用來隱藏信息的形式很多，只要是數(shù)字化信息中的任何一種數(shù)字媒體都可以，涉及文本、音頻、視頻等信息的偽裝，主要有數(shù)字水印、隱像技術、隱聲技術等6.3數(shù)據(jù)加密技術6.3.1傳統(tǒng)加密算法代換密碼法、數(shù)字密碼法、置換密碼法6.3.2私密密鑰加密算法秘密密鑰加密算法是一種對稱密鑰體制，明文P的加密過程Ek和解密過程Dk使用同一個秘密密鑰K，并具有Dk（Ek(P)）=P的特性。這類算法又稱為共享密鑰加密算法。雖然它與傳統(tǒng)加密算法在理論上沒有區(qū)別，但由于是采用計算技術來實現(xiàn)，結構做得非常復雜，并有較長的密鑰，不但速度快而且難破譯，所以使用非常普及。這類算法的典型代表是DES算法。DES(DataEncriptionStandard）算法是在56位二進制密鑰控制下對64位二進制數(shù)據(jù)塊進行初始置換、逆置換和16次復雜的乘積迭代變換，最后獲得64位密文。6.3.3公開密鑰加密算法特點：加密密鑰（即公開密鑰）PK是公開信息，加密算法E和解密算法D也是公開的，而解密密鑰（即秘密密鑰）SK是保密的。雖然SK是由PK決定的，但是不能根據(jù)PK計算出SK（1）用PK對明文X加密后，在用SK解密即得明文X，即DSK（EPK（X））＝X。且加密和解密得運算可以對調(diào)，即EPK（DSK（X））＝X（2）加密密鑰不能用來解密，即DPK（EPK（X））<>X（3）在計算機上可以容易得產(chǎn)生PK和SK，但從PK不可能推導出SK6.3.3公開密鑰加密算法RSA算法原理：尋求兩個大素數(shù)容易，而將他們的乘積分解開則極其困難。加密密鑰PK=（e，N）PK公開解密密鑰SK=（d，N）d保密N為兩個大素數(shù)p和q的乘積（p,q一般未100位以上的十進制素數(shù)）X表示明文，Y表示密文，則加、解密算法加密：Y=XemodN解密：X=YdmodNRSA系統(tǒng)非常適用于制作數(shù)字特征和加密應用，并常用于制作公開保密密鑰，用于公開密鑰加密系統(tǒng)。Diffie-Hellman算法原理：計算有限域上對數(shù)的整數(shù)解要比其上的指數(shù)解困難的多應用：能方便的通過網(wǎng)絡產(chǎn)生只能由源節(jié)點和目的節(jié)點使用的獨特密碼例子：一種基于IP的簡單的密鑰管理方案圖6-2不安全網(wǎng)絡上的SKIP例子源結點使用自己的專用部分和目的結點D的公用部分計算密鑰(Kd)s=(gdmodp)s＝gdsmodp目的結點使用自己的專用部分和源結點S的公用部分計算密鑰(Ks)d=(gsmodp)d＝gsdmodp缺點實現(xiàn)比較困難，速度慢（比秘密密鑰慢10-100倍）改進圖6-3組合密鑰系統(tǒng)6.3.4信息摘要算法又稱安全Hash算法，包括SHA（SecureHashAlgorithm）或MD5（StandardsforMessageDigest）。信息摘要算法由RonRivest設計。采用單向散列函數(shù)將需要加密的任意長度的信息P，摘要成一串固定長度(如128位)的密文MD(P)。6.3.4信息摘要算法信息摘要算法具有如下特征：（1）給定P，很容易計算MD（P），但給定MD（P），卻很難找到P。（2）不同的信息的摘要總是不同的，而同樣的明文的“摘要”必定是一致的。這樣，這串摘要便可以成為驗證明文是否是“真身”的指紋了。如圖6-4所示。圖6-4信息摘要用于數(shù)字簽名的過程返回（1）用戶用散列函數(shù)制作原始信息摘要，然后用專用密鑰對摘要加密（2）原始信息和加密的摘要發(fā)送到目的地（3）目的地接收后，使用與發(fā)送地相同的信息摘要函數(shù)對收到的信息制作摘要，同時對收到的信息摘要解密（4）將該兩摘要進行比較，如相等則知文本無錯，否則文本被篡改6.4身份驗證技術身份認證的目的（1）保證信息的完整性（2）鑒別通信對方的真實身份6.4.1身份認證信息驗證信息的驗證是指利用前述秘密密鑰，公開密鑰和信息摘要等加密算法對信息進行加密、解密，都可以實現(xiàn)對信息完整性驗證。目前最常用的信息完整性驗證的算法是信息摘要算法，如MD5用戶鑒別驗證通信對方的真實身份6.4.2用戶鑒別方法1.基于共享秘密密鑰的鑒別基于共享秘密密鑰的用戶鑒別即所謂“口令－響應方式”。A發(fā)送一隨機口令給B，B收到該口令后利用共享秘密密鑰對它進行轉換，并將結果(響應)返回給A。A再將其進行反轉換，并與原口令進行比較，如相同則證明了B的身份，否則拒絕連接。同樣B也可對A進行上述鑒別。2.基于公開密鑰的鑒別A用B的公開密鑰EB加密自己的用戶名和標識IDA后發(fā)送給B，只有B能解密該消息。B再選一密鑰Ks，IDB和IDA用EA加密后送A。A通過IDA列確認B，然后用B給的Ks加密IDB送B，B通過該IDB就可確認A收到自己的消息了。3.基于信息摘要的鑒別如圖6－44.基于密鑰分配中心的鑒別在所有使用密鑰的系統(tǒng)中，必須要有一個密鑰分配中心(KDC)來對系統(tǒng)中的密鑰進行管理。利用它具有系統(tǒng)中每個用戶的共享密鑰的條件與用戶共同實現(xiàn)用戶鑒別。A選擇一會話密鑰Ks，告訴KDC它用Ks與B通信，A用它與KDC的共享秘密密鑰KA加密。KDC解密后將A的身份和Ks用它與B的共享秘密密鑰KB加密后送B，B即獲得了會話對象A和會話密鑰Ks認證中心在迅速發(fā)展起來的電子商務中，需要一個具有權威性和公正性的第三方來提供電子交易的認證服務，簽發(fā)數(shù)字證書、數(shù)字時戳，并能確認用戶身份的服務機構，這就是認證中心(CertificationAuthority，CA)。CA通常是企業(yè)性的服務機構，主要業(yè)務是受理數(shù)字憑證的申請、簽發(fā)及對數(shù)字憑證的管理用戶鑒別方式數(shù)字時戳（DigitalTime-Stamp，DTS）DTS是一經(jīng)加密后形成的憑證文件。它包括需加時戳的文件摘要，DTS收到文件的日期和時間以及DTS的數(shù)字簽名三個部分。用戶鑒別方式2.數(shù)字憑證（DigitalID，DigitalCertificate）(1)含義：數(shù)字憑證又稱數(shù)字證書，是由CA頒發(fā)的一種電子手段，用來證實用戶的身份和對網(wǎng)絡資源的訪問權限。數(shù)字憑證的格式由CCITTx．509標準規(guī)定，主要包含憑證擁有者姓名、憑證擁有的公共密鑰及其有效期、頒發(fā)數(shù)字憑證的單位、數(shù)字憑證序列號、頒發(fā)單位數(shù)字簽名。(2)類型：目前數(shù)字憑證有三種類型：個人憑證、單位憑證和軟件憑證。(3)標椎：隨著電子商務的發(fā)展，近年來推出不少更有效的安全交易標準，如安全超文本傳輸協(xié)議(s-HTTP)、安全套接層協(xié)議(SSL)、安全交易技術協(xié)議(STT)，安全電子交易協(xié)議(SET)等，為連接過程提供鑒別、保密、完整性確認和不可否認性服務。6.4.2數(shù)字簽名數(shù)字簽名（1）發(fā)送者對報文的簽名，接受者能夠核實，而發(fā)送者時候不能抵賴。（2）接受者不能偽造對報文的簽名。簽名：發(fā)送者A用其秘密解密密鑰SKA和解密算法D對報文X進行運算，將結果DSKA(X)傳送給接收者B。B用已知的A的公開加密密鑰PKA和加密算法E得出PEKA(DSKA(X))＝X)。由于A的解密密鑰SKA只有A知道，所以除A外無人能夠產(chǎn)生密文DSKA（X）。這樣，報文就被A簽名了。鑒別：假若A要抵賴曾發(fā)報文X給B，B可將X及DSKA(X)出示給第三者。第三者很容易用PKA去證實A確實發(fā)X給B。反之，若B將X偽造成X’，則B不敢在第三者前出示DSKA(X’)。這樣就證明了B偽造了報文。特點：對傳送的報文X本身卻未保密。具有保密性的數(shù)字簽名DEDEXDSKA(X)EPKBDSKA(X)SKA秘密密鑰A簽名PKB公開密鑰B加密SKB秘密密鑰B解密PKA公開密鑰A核實簽名DSKB(X)X返回6.5跟蹤審計技術6.5.1入侵檢測技術入侵檢測的概念入侵檢測就是通過專用的軟件工具檢查網(wǎng)絡系統(tǒng)中存在的會威脅系統(tǒng)安全的脆弱性的過程。入侵監(jiān)測系統(tǒng)處于防火墻之后對網(wǎng)絡活動進行實時檢測。許多情況下，由于可以記錄和禁止網(wǎng)絡活動，所以入侵監(jiān)測系統(tǒng)是防火墻的延續(xù)。它們可以和你的防火墻和路由器配合工作。

入侵檢測的對象(1)存在后門(backdoor，程序員在程序中設置的特殊源代碼，使得用戶可以繞過正常的認證過程而進入系統(tǒng)內(nèi)部)的軟件程序。(2)軟件系統(tǒng)中的配置錯誤(3)不安全的管理性錯誤(4)破壞性惡意程序入侵檢測的工具掃描器掃描器工作原理掃描器分為本地掃描器和遠程掃描器。(1)本地掃描器是運行于目標節(jié)點的進程，它可以查看文件被修改的時間，查看文件的內(nèi)容，從而發(fā)現(xiàn)配置錯誤或黑客所做的更改。本地掃描器還可以檢查補丁程序，從而核實系統(tǒng)所做的補救措施是否被真正落實。(2)遠程掃描器主要用于檢查網(wǎng)絡和系統(tǒng)分布處理所導致的脆弱性，依靠發(fā)送網(wǎng)絡數(shù)據(jù)包來檢測系統(tǒng)。入侵響應與防御（1）防御入侵的準備工作：制定應急計劃、人員分工、必要的物質(zhì)條件（大容量的硬盤）、日志等（2）發(fā)現(xiàn)與檢測：根據(jù)掃描器或其他監(jiān)控系統(tǒng)的雨景功能和日志，發(fā)現(xiàn)入侵者，并記錄其行為特征和惡意操作（3）入侵響應：針對入侵行為迅速估計面臨的形勢，應當首先采取的應急措施，進一步分析入侵原因，制定全面的響應策略，及時向相關人員報警，盡快恢復原位（4）針對入侵監(jiān)測采取新的防范措施6.5.2網(wǎng)絡系統(tǒng)入侵檢測舉例WindowsNT事件查看器的界面如圖6-5所示。圖6-5系統(tǒng)日志系統(tǒng)日志如圖6-6所示。圖6-6系統(tǒng)日志安全日志安全日志如圖6-7所示圖6-7安全日志應用程序日志應用程序日志如圖6-8所示。圖6-8應用程序日志事件日志設置WindowsNT事件日志設置界面如圖6-9所示。圖6-96.6防火墻技術6.6.1防火墻的含義所謂防火墻，就是一個或一組系統(tǒng)，用來在兩個或多個網(wǎng)絡間加強訪問控制。它是一個網(wǎng)絡與其他網(wǎng)絡之間的可控網(wǎng)關，通常置于一個私有的、有確認的網(wǎng)絡和公開的Internet之間。防火墻的作用：（1）限制用戶進入被嚴格控制的點；（2）防止進攻者更接近其他的防御設備；（3）限制用戶離開被嚴格控制的點。6.6.2防火墻的種類一類是基于包過濾，另一類是基于代理服務。二者的區(qū)別：基于包過濾的防火墻直接轉發(fā)報文，他對用戶完全透明，速度快；而基于代理的防火墻則是通過代理服務器來建立連接，他有更強的身份驗證和日志功能。包過濾防火墻又稱篩選路由器，工作在網(wǎng)絡層或者傳輸層上，有選擇的讓數(shù)據(jù)包在內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間進行交換。它按照一定的安全策略－信息過濾規(guī)則，對進出內(nèi)部網(wǎng)絡的信息進行限制，允許授權信息通過，拒絕非授權信息通過。這種系統(tǒng)的功能是路由器的基本功能加以擴展實現(xiàn)的，在路由器上增加安全控制功能，即包過濾功能。利用IP數(shù)據(jù)報報頭的部分或全部信息來設置包過濾規(guī)則。如IP協(xié)議類型IP源地址IP目的地址TCP源端口號TCP目的端口號TCP確認號圖6-10包過濾防火墻優(yōu)點：對用戶是透明的，即不需要使用用戶名和密碼來登陸，不要求應用程序做任何改動。缺點(1)由于這種技術允許在內(nèi)部和外部系統(tǒng)之間直接交換數(shù)據(jù)部，因此內(nèi)部網(wǎng)中的所有主機和路由器所允許的全部服務都可能成為攻擊目標（2）無法對網(wǎng)絡上流動的信息提供全面的控制(3)消耗的系統(tǒng)資源大，影響系統(tǒng)的性能代理服務防火墻代理服務是運行在防火墻主機上的一些特定的應用程序或服務器程序。代理服務器是一種增加了安全功能的應用層網(wǎng)關，位于Internet和Intranet之間，自動截取內(nèi)部用戶訪問Internet的請求，驗證其有效性，代表用戶建立訪問外部網(wǎng)絡的連接。代理服務器在很大程度上對用戶是透明的，如果內(nèi)外部網(wǎng)絡各站點之間的連接被切斷了，必須通過代理方可相互連通。采用的方法是在應用層網(wǎng)關上安裝代理軟件，每個代理模塊分別針對不同的應用。例如，遠程登陸代理TelnetProxy負責Telnet在防火墻上的轉發(fā)，文件傳輸代理FTPProxy負責FTP等等。代理服務器把內(nèi)部網(wǎng)絡完全屏蔽起來，當代理服務器代表用戶同Internet建立連接時，可以用自己的IP地址代替內(nèi)部網(wǎng)絡的IP地址轉換，這樣，所有Intranet中的網(wǎng)站對外部是不可見的，外部網(wǎng)站對Intranet的訪問要通過代理服務器，并且需IP地址轉換。代理服務器能進行安全控制，但需對每一種服務設計一個代理軟件模塊來進行安全控制。代理服務防火墻如圖6-11所示。圖6-11代理服務器6.6.3防火墻的結構雙宿主機結構主機過濾結構子網(wǎng)過濾結構雙宿主機結構把包過濾和代理服務兩種技術結合起來，可以形成新的防火墻，稱為雙宿主機（Dual-HomedHost)防火墻，所以主機稱為堡壘主機(BastionHost)，由它取代路由器執(zhí)行安全控制功能，負責提供代理服務。注意：在建立雙宿主機時，應該關閉操作系統(tǒng)的路由能力，否則從一塊網(wǎng)卡到另一塊網(wǎng)卡的通信會繞過代理服務器軟件，而使雙宿主機失去“防火”作用特點：IP層的通信是被阻止的，兩個網(wǎng)絡之間的通信通過應用層數(shù)據(jù)共享或代理服務來完成雙宿主主機就是配有兩個網(wǎng)絡接口，并通過這兩個接口分別與內(nèi)部網(wǎng)和外部網(wǎng)相連的一臺計算機。提供服務2種方式：（1）允許內(nèi)部網(wǎng)用戶直接登陸到雙宿主主機上，即在雙宿主主機上為用戶分別開設帳號，每個帳號通常有一個口令。（2）在雙宿主主機上運行代理服務軟件。主機過濾結構在雙宿主機結構中，雙宿主機直接與內(nèi)外部網(wǎng)絡相連；而在主機過濾結構中，堡壘主機僅與內(nèi)部網(wǎng)絡相連，該堡壘主機具有很好的安全控制機制，任何外部系統(tǒng)對內(nèi)部網(wǎng)絡的操作都必須經(jīng)過堡壘主機。另外，堡壘主機又通過一臺路由器與外部網(wǎng)絡相連，過濾路由器過濾規(guī)則規(guī)定，任何外部網(wǎng)絡的主機都只能與網(wǎng)絡的堡壘主機建立連接，也可以設計成不允許直接連接，這可以根據(jù)某些特定的服務來定。實現(xiàn)了網(wǎng)絡層安全（包過濾）和應用層安全（代理服務），它提供的安全性能顯然要比包過濾路由器高。采用這種防火墻，使得入侵者想要破壞內(nèi)部網(wǎng)絡的安全性，就必須突破這兩個不同的安全層次子網(wǎng)過濾結構這種防火墻由兩個包過濾路由器配置而成，它在內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間設置一個安全保護網(wǎng)絡層，稱為“參數(shù)網(wǎng)絡”或“?；饏^(qū)”（DMZ），在?；饏^(qū)內(nèi)可設置應用網(wǎng)關，也可以放置各類服務器(HTTP、FTP、DNS等)。一般情況下，外部網(wǎng)和內(nèi)部網(wǎng)都僅能夠訪問到“?；饏^(qū)”中的有效資源，而通過DMZ直接進行內(nèi)外網(wǎng)信息傳輸是被嚴格禁止的。圖6-14子網(wǎng)過濾結構防火墻子網(wǎng)過濾結構如圖6-14所示。連接到外部網(wǎng)的包過濾路由器主要用于防范來自外部網(wǎng)的攻擊連接到內(nèi)部網(wǎng)的包過濾路由器則提供第二層防御，它只接受源于堡壘主機的數(shù)據(jù)包，負責管理DMZ和內(nèi)部網(wǎng)之間的訪問由于外部路由器只能向外部網(wǎng)通告DMZ網(wǎng)絡的存在，外部網(wǎng)上的系統(tǒng)不需要有路由與內(nèi)部網(wǎng)絡相連內(nèi)部路由器只向內(nèi)部網(wǎng)通告DMZ網(wǎng)絡的存在，內(nèi)部網(wǎng)絡中的系統(tǒng)也不能直接連接到外部網(wǎng)絡6.7網(wǎng)絡安全風險評估6.7.1風險評估步驟（1）風險識別（2）風險分析（3）風險評價6.7.2風險識別方法識別風險的途徑包括核對表基于經(jīng)驗和記錄的判斷、流程圖、集體討論、系統(tǒng)分析、情況分析和系統(tǒng)工程方法。所使用的方法將取決于所評審的活動的性質(zhì)和風險的類型。計算機網(wǎng)絡安全風險評估對象（1）計算機網(wǎng)絡硬件系統(tǒng)（2）計算機網(wǎng)絡軟件系統(tǒng)6.7.3風險分析方法（1）定性分析法（2）定量分析方法（3）綜合方法定性分析法

定性分析方法是被廣泛使用的一種風險分析方法，也是出現(xiàn)在大部分標準中的一種方法。它對風險產(chǎn)生的可能性和風險產(chǎn)生的后果基于“低/中/高”這種表達方式，而不是準確的可能性和損失量。

該方法通常只關注威脅事件所帶來的損失（Loss），而忽略事件發(fā)生的概率（Probability）。多數(shù)定性風險分析方法依據(jù)組織面臨的威脅、脆弱點以及控制措施等元素來決定安全風險等級。在定性評估時并不使用具體的數(shù)據(jù)，而是指定期望值，如設定每種風險的影響值和概率值為“高”、“中”、“低”。有時單純使用期望值，并不能明顯區(qū)別風險值之間的差別?？梢钥紤]為定性數(shù)據(jù)指定數(shù)值。例如，設“高”的值為3，“中”的值為2，“低”的值為1。但是要注意的是，這里考慮的只是風險的相對等級，并不能說明該風險到底有多大。所以，不要賦予相對等級太多的意義，否則將會導致錯誤的決策。定量分析法定量的評估方法是指運用數(shù)量指標來對風險進行評估。一般使用潛伏在事件中的分布狀態(tài)函數(shù)，并將風險定義為分布狀態(tài)函數(shù)的某一函數(shù)。但是這種方法存在一個問題，就是數(shù)據(jù)的不可靠和不精確。對于某些類型的安全威脅，存在可用的信息。例如，可以根據(jù)頻率數(shù)據(jù)估計人們所處區(qū)域的自然災害發(fā)生的可能性（如洪水和地震）。也可以用事件發(fā)生的頻率估計一些系統(tǒng)問題的概率，例如系統(tǒng)崩潰和感染病毒。但是，對于一些其他類型的威脅來說，不存在頻率數(shù)據(jù)，影響和概率很難是精確的。此外，控制和對策措施可以減小威脅事件發(fā)生的可能性，而這些威脅事件之間又是相互關聯(lián)的。這將使定量評估過程非常耗時和困難。6.7.4風險評價（1）基線評估（2）詳細評估（3）組合評估基線評估采用基線風險評估，組織根據(jù)自己的實際情況（所在行業(yè)、業(yè)務環(huán)境與性質(zhì)等），對信息系統(tǒng)進行安全基線檢查（拿現(xiàn)有的安全措施與安全基線規(guī)定的措施進行比較，找出其中的差距），得出基本的安全需求，通過選擇并實施標準的安全措施來消減和控制風險。所謂的安全基線，是在諸多標準規(guī)范中規(guī)定的一組安全控制措施或者慣例，這些措施和慣例適用于特定環(huán)境下的所有系統(tǒng)，可以滿足基本的安全需求，能使系統(tǒng)達到一定的安全防護水平。優(yōu)缺點：基線評估的優(yōu)點是需要的資源少，周期短，操作簡單，對于環(huán)境相似且安全需求相當?shù)闹T多組織，基線評估顯然是最經(jīng)濟有效的風險評估途徑。當然，基線評估也有其難以避免的缺點，比如基線水平的高低難以設定，如果過高，可能導致資源浪費和限制過度，如果過低，可能難以達到充分的安全，此外，在管理安全相關的變化方面，基線評估比較困難。詳細風險評估

詳細風險評估要求對資產(chǎn)進行詳細識別和評價，對可能引起風險的威脅和弱點水平進行評估，根據(jù)風險評估的結果來識別和選擇安全措施。這種評估途徑集中體現(xiàn)了風險管理的思想，即識別資產(chǎn)的風險并將風險降低到可接受的水平，以此證明管理者所采用的安全控制措施是恰當?shù)摹?/p>

優(yōu)缺點：組織可以通過詳細的風險評估而對信息安全風險有一個精確的認識，并且準確定義出組織目前的安全水平和安全需求；詳細評估的結果可用來管理安全變化。當然，詳細的風險評估可能是非常耗費資源的過程，包括時間、精力和技術，因此，組織應該仔細設定待評估的信息系統(tǒng)范圍，明確商務環(huán)境、操作和信息資產(chǎn)的邊界。組合評估為了決定選擇哪種風險評估途徑，首先對所有的系統(tǒng)進行一次初步的高級風險評估，著眼于信息系統(tǒng)的商務價值和可能面臨的風險，識別出組織內(nèi)具有高風險的或者對其商務運作極為關鍵的信息資產(chǎn)（或系統(tǒng)），這些資產(chǎn)或系統(tǒng)應該劃入詳細風險評估的范圍，而其他系統(tǒng)則可以通過基線風險評估直接選擇安全措施。組合評估組合評估將基線和詳細風險評估的優(yōu)勢結合起來，既節(jié)省了評估所耗費的資源，又能確保獲得一個全面系統(tǒng)的評估結果，而且，組織的資源和資金能夠應用到最能發(fā)揮作用的地方，具有高風險的信息系統(tǒng)能夠被預先關注。當然，組合評估也有缺點：如果初步的高級風險評估不夠準確，某些本來需要詳細評估的系統(tǒng)也許會被忽略，最終導致結果失準

國際評估標準

（1）美國國防部開發(fā)的計算機安全標準——可信任計算機標準評價準則（TrustedComputerStandardsEvaluationCriteria，TCSEC），即網(wǎng)絡安全橙皮書。6.7.5安全性評估標準類別級別名稱主要特征DD低級保護沒有安全保護CC1自主安全保護自主存儲控制C2受控存儲控制單獨的可查性，安全標識BB1標識的安全保護強制存取控制，安全標識B2結構化保護面向安全的體系結構，較好的抗?jié)B透能力B3安全區(qū)域存取監(jiān)控、高抗?jié)B透能力AA驗證設計形式化的最高級描述和驗證我國評價標準1999年10月經(jīng)過國家質(zhì)量技術監(jiān)督局批準發(fā)布的《計算機信息系統(tǒng)安全保護等級劃分準則》將計算機安全保護劃分為以下5個級別。第1級為用戶自主保護級（GB1安全級）：它的安全保護機制使用戶具備自主安全保護的能力，保護用戶的信息免受非法的讀寫破壞。第2級為系統(tǒng)審計保護級（GB2安全級）：除具備第一級所有的安全保護功能外，要求創(chuàng)建和維護訪問的審計跟蹤記錄，使所有的用戶對自己的行為的合法性負責。第3級為安全標記保護級（G