-
1 7.1 网...
-
2 7.2 网...
-
3 7.3 网...
-
4 7.4 网...
-
5 7.5 网...
-
6 7.6 防...
-
7 7.7 网...
-
8 小结和习题
-
9 习题答案
第7章 网络安全与管理
随着网络应用的发展,网络在各种信息系统中的作用变得越来越重要,网络安全问题变得越来越突出,人们已经意识到网络管理与安全的重要性。本章在讨论网络安全重要性的基础上,系统地介绍了网络管理技术、网络管理协议以及网络防病毒技术、网络安全技术。
7.1 网络安全与管理及相关的法律法规
7.1.1 网络安全的内容
计算机网络的应用已经对经济、文化教育与科学的发展产生了重要的影响,同时也不可避免地带来了一些新的社会、道德、政治与法律问题。大量的商业活动与大笔资金正在通过计算机网络在世界各地快速地流通,这已经对世界经济的发展产生了重要、积极的影响,同时也面临着严峻的挑战。
网络为科学研究人员、学生、公司职员提供了很多宝贵的信息,使得人们可以不受地理位置与时间的限制,相互交换信息、合作研究、学习新的知识,了解各国科学和文化发展。由于网络将以往彼此独立的计算机系统连接在一起,网络所起的作用越来越大,但与此同时,一旦出现安全问题,所产生的副作用也越来越大,这些安全问题包括主观和客观两个方面,必须引起足够的重视。
网络安全涉及的内容主要包括以下几个方面:
1.外部环境安全
外部环境安全是整个网络系统安全的前提,可能发生的问题主要有:
①地震、水灾、火灾等环境事故。
②电源故障。
③人为操作失误或错误。
④设备被盗、被毁。
⑤电磁干扰。
⑥线路被截获。
⑦机房环境及报警系统的设计缺陷引起的损害。
2.网络连接安全
网络连接安全涉及网络拓扑结构、网络由状况等的安全。
(1)与Internet连接面临的威胁。基于Internet的开放性及网络服务的复杂性,使得内部网络系统经常面临一些无法预测的风险。如果内部网络中一台机器的安全受损(如被侵人),就可能同时影响在同一网络上的许多其他机器,甚至可能涉及军事、金融等安全敏感领域。因此,网络管理人员对Internet安全事故做出有效反应变得十分重要,有必要将公开服务器同外网及内部网络进行必要的隔离,避免网络结构信息外泄;同时还要对外网的服务请求加以过滤、只允许正常通信的数据包到达相应主机,其他的请求服务在到达主机之前就应该遭到拒绝。
(2)整个网络结构和路由状况。安全系统的建设往往是建立在网络系统之上的,网络系统的成熟与否直接影响安全系统的建设。整个网络的动态路由是否安全、系统的冗余状况等将直接影响即将建成的安全系统。因此,在进行网络系统设计时,要注意对整个网络结构和路由进行优化。
3.操作系统安全
目前,无论是Microsoft的Windows NT或者其他任何商用UNIX操作系统,都不能被认为是绝对安全的操作系统。
虽然没有绝对安全的操作系统,但是,系统的安全程度与系统的应用范围和严格管理有很大关系,一个工作组的打印服务器和一个机要部门的数据库服务器的选择标准显然是不能相同的,因此要正确评估自己的网络风险并根据自己的网络风险大小制订相应的安全解决方案。
不但要选用尽可能可靠的操作系统和硬件平台,而且必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。
4.应用系统安全
应用系统的安全跟具体的应用有关,它涉及很多方面。应用系统的安全是动态的、不断变化的。例如,以目前 Internet 上应用最为广泛的 E-mail系统来说,其解决方案有NetscapeMessagingServer、LotusNotes、ExchangeServer等数十种,其安全手段多种多样,但其系统内部的错误和漏洞是很少有人能够发现的,并且,随着版本的不断更新,安全漏洞也是不断增加且隐藏越来越深,总会有人不断发现这些漏洞并加以利用,对网络安全造成威胁。因此,保证应用系统的安全是一个随网络发展不断完善的过程。
应用系统的安全还涉及信息、数据的安全性,机密信息泄露、未经授权的访问、破坏信息完整性、假冒及破坏系统的可用性等。信息、数据如果遭到破坏或攻击,将产生一定的经济、社会和政治影响。
因此,对于重要信息的通信必须授权,传输必须加密。必须采用多层次的访问控制与权限控制手段,实现对数据的安全保护,同时采用加密技术,保证网上传输的信息(包括管理员口令与账户、上传 WWW信息等)的机密性与完整性。
5.管理制度安全
管理制度建设是网络安全中最重要的部分。各网络使用机构、企业和单位应建立相应的信息安全管理办法,加强内部管理,建立审计和跟踪体系,提高整体信息安全意识。
6.人为因素影响
(1)黑客攻击。黑客们的攻击行动是无时无刻不在进行的,而且会利用网络系统和管理上一切可能利用的漏洞,对网络安全和用户信息都会造成很大的威胁。
(2)恶意代码。恶意代码不限于病毒,还包括蠕虫、特洛伊木马、逻辑作弹、其他未经同意的软件等,应该加强对恶意代码的检测。
7.1.2 网络管理的功能
随着网络在社会生活中的广泛应用,特别是在金融、商务、政府机关、军事、信息处理等方面的应用,支持各种信息系统的网络的地位也就变得越来越重要了。随着网络规模的不断扩大,网络结构也变得越来越复杂,用户对网络应用的需求不断提高,企业和用户对计算机网络的依赖程度也越来越高。在这种情况下,企业的管理者和用户对网络性能、运行状况以及安全性也越来越重视,因此网络管理已成为现代网络技术中最重要的问题之一。
一个有效而且实用的网络离不开网络管理。这里更多地从技术方面讨论网络管理。如果在网络系统设计中没有很好地考虑与解决网络管理问题,那么这个设计方案是有严重缺陷的,按这样的设计组建的网络应用系统是十分危险的。一旦因网络性能下降,甚至因故障而造成网络瘫痪,这对企业将会造成严重的损失,这种损失有可能远远大于在网络组建时,用于网络软、硬件与系统的投资,因此,必须十分重视网络管理技术的研究与应用。
1.网络管理
所谓网络管理,是指用软件手段对网络上的通信设备及传输系统进行有效的监视、控制、诊断和测试所采用的技术和方法。网络管理涉及以下三个方面:
(1)网络服务提供:是指向用户提供新的服务类型、增加网络设备、提高网络性能。
(2)网络维护:是指网络性能监控、故障报警、故障诊断、故障隔离与恢复。
(3)网络处理:是指网络线路及设备利用率,数据的采集、分析,以及提高网络利用率的各种控制。
2.网络管理系统
一个网络管理系统从逻辑上可以分为以下三个部分:
(1)管理对象:是经过抽象的网络元素,对应于网络中具体可以操作的数据,例如,记录网络设备工作状态的状态变量、网络设备内部的工作参数、网络性能的统计参数。被管理的网络设备包括交换机、网关、路由器、网桥、通信线路、网卡、服务器以及工作站等。
(2)管理进程:是负责对网络设备进行全面的管理与控制的软件。它根据网络中各个管理对象状态的变化,来决定对不同的管理对象应该采取什么样的操作,例如,调整网络设备的工作参数、控制网络设备的工作状态等。管理信息库是管理进程的一个部分,用于记录网络中被管理对象的状态参数值。
(3)管理协议:负责在管理系统与被管理对象之间传递操作命令,负责解释管理操作命令。管理协议保证了管理信息库中的数据与具体网络设备中实际状态、工作参数的一致性。
3. OSI管理功能域
网络管理标准化是要满足不同网络管理系统之间互操作的需求。为了支持各种网络的互联管理的要求,网络管理需要有一个国际性的标准。OSI网络管理标准将开放系统的网络管理功能划分成5个功能域,这5个功能域分别用来完成不同的网络管理功能。
(1)配置管理:网络配置是指网络中每个设备的功能、相互间的连接关系和工作参数,它反映了网络的状态。网络是经常变化的,经常需要调整网络的配置。对网络配置的改变可能是临时性的,也可能是永久性的,网络管理系统必须有足够的手段来支持这些改变,配置管理就是用来识别、定义、初始化、控制与检测通信网中的管理对象。
网络中的配置管理功能域需要监视与控制的主要内容有:网络资源及其活动状态;网络资源之间的关系;新资源的引入与旧资源的删除。
在0SI网络管理标准中,配置管理部分可以说是最基本的内容。配置管理是网络中对管理对象的变化进行动态管理的核心。当配置管理软件接到网管操作员或其他管理功能设施配置变更请求时,配置管理服务首先确定管理对象的当前状态并给出变更合法的确认,然后对管理对象进行变更操作,最后要验证变更确实已经完成。
(2)故障管理:故障管理是用来维持网络的正常运行的。故障管理包括及时发现网络中发生的故障,找出网络故障产生的原因,必要时启动控制功能来排除故障。控制活动包括诊断测试活动、故障修复或恢复活动、启动备用设备等。故障管理的目的是保证网络能够提供连续、可靠的服务。
(3)性能管理:性能管理功能是持续地评测网络运行中的主要性能指标,以检验网络服务是否达到了预定的水平,找出已经发生或潜在的瓶颈,报告网络性能的变化趋势,为网络管理决策提供依据。典型的网络性能管理可以分为两部分:性能监测和网络控制。性能监测指网络工作状态信息的收集和整理:网络控制则是为改善网络设备的性能而采取的动作和措施。
(4)安全管理:安全管理功能用来保护网络资源的安全。安全管理活动能够利用各种层次的安全防卫机制,使非法入侵事件尽可能少发生;能够快速检测未授权的资源使用,并查出侵入点,对非法活动进行审查与追踪;能够使网络管理人员恢复部分受损的文件。
安全管理中一般要设置一些权限,制订判断非法人侵的条件以及检查非法操作规则。非法人侵活动包括无特权的用户企图修改其他用户定义的文件,修改硬件或软件配置,修改访问优先权,关闭正在工作的用户,企图访问敏感数据等。收集有关数据并生成报告,由网络管理中心的安全事务处理进程进行分析、记录、存档,并根据情况采取相应的措施,例如,给人侵用户以警告信息、取消其使用网络的权利等。无论是积极或消极行动,均要将非法人侵事件记录在安全日志中。
(5)记账管理:对于公用分组交换网与各种信息服务系统来说,用户必须为使用网络的服务而交费,网络管理系统则需要对用户使用网络资源的情况进行记录并核算费用。
在大多数企业内部网中,内部用户使用网络资源并不需要交费,但是记账功能可以用来记录用户网络的使用时间、统计网络的利用率与资源使用等内容,因此,记账管理功能在企业内部网中也是非常有用的。
7.1.3 与网络安全与管理相关的法律法规
近年来,随着计算机的应用和互联网的普及和发展,计算机和网络系统出现的事故和违法犯罪行为逐渐增加,其中包括系统建设过程中的违法、运行管理过程中的违法、使用者的违法等。例如,涉及网络诈骗的案件越来越多,与传统诈骗犯罪不同的是,互联网上的诈骗行为具有更大的危害性,受害人范围更广,对此类案件的查处也比传统案件复杂和困难得多。网上诈骗的手法是多种多样的,例如,网上假拍卖,利用网络服务契约和信用卡诈骗,以提供免费网页、进行多层直销、提供上学机会和投资及买保健产品为名义诈取钱财,骗取长途电话费等。
为保证计算机和网络系统的安全,保证人民财产和国家利益不受损害,我国制定了一系列法律、法规。
《中华人民共和国电子签名法》由中华人民共和国第十届全国人民代表大会常务委员会第十一次会议于2004年8月28日通过,自2005年4月1日起施行。当前版本为2015年4 月24日第十二届全国人民代表大会常务委员会第十四次会议修正。
2012年12月28日,十一届全国人大常委会第三十次会议表决通过了《关于加强网络信息保护的决定》,它是对公民隐私权等权利进行保护的法律,它的核心内容和立法宗旨昌建立公民个人电子信息保护制度。全文共十二条,用简明扼要的语言界定了公民个人电子信息的范围、公民个人电子信息保护的义务主体、网络服务提供者和其他企事业单位在业务活动中收集、使用、保存公民个人电子信息应当遵循的原则;提出禁止未经接受者同意或请求,向其固定电话、移动电话或个人电子邮箱发送商业性电子信息;规定了公民个人可以采取的救济手段以及违反规定的法律后果。
《中华人民共和国网络安全法》是为保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展制定。由全国人民代表大会常务委员会于2016年11月7日发布,自2017年6月1日起施行。《中华人民共和国网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑,是依法治网、化解网络风险的法律重器,是让互联网在法治轨道上健康运行的重要保障。《中华人民共和国网络安全法》确立了网络空间主权原则、网络安全与信息化发展并重原则和网络安全共同治理原则。网络空间主权是一国国家主权在网络空间中的自然延伸和表现,《中华人民共和国网络安全法》明确规定要维护我国网络空间主权。国家坚持网络安全与信息化并重,遵循积极利用、科学发展、依法管理、确保安全的方针,既要推进网络基础设施建设,鼓励网络技术创新和应用,又要建立健全网络安全保障体系,提高网络安全保护能力。网络空间安全需要政府、企业、社会组织、技术社群和公民等网络利益相关者的共同参与,据各自的角色参与网络安全治理工作。《中华人民共和国网络安全法》对网络运营者等主体的法律义务和责任做了全面规定,包括守法义务,遵守社会公德、商业道德义务,诚实信用义务,网络安全保护义务,接受监督义务,承担社会责任等,并在"网络运行安全"、"网络信息安全"、"监测预警与应急处置"等章节中进一步明确、细化。在“法律责任”中则提高了违法行为的处罚标准,加大了处罚力度。
“《中华人民共和国密码法》由中华人民共和国第十三届全国人民代表大会常务委员会第十四次会议于2019年10月26日通过,自2020年1月1日起施行。《中华人民共和国密码法》旨在通过立法提升密码管理科学化、规范化、法治化水平,促进我国密码事业的稳步健康发展。
《中华人民共和国数据安全法》由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议于2021年6月10日通过,自2021年9月1日起施行。《中华人民共和国数据安全法》核心内容包括:确立数据分级分类管理以及风险评估,检测预警和应急处置等数据安全管理各项基本制度;明确开展数据活动的组织、个人的数据安全保护义务,落实数据安全保护责任;坚持安全与发展并重,锁定支持促进数据安全与发展的措施;建立保障政务数据安全和推动政务数据开放的制度措施。”
国务院也先后发布了一系列法规,主要包括:
国务院1994年2月18日发布、2011年1月8日修订的《中华人民共和国计算机信息系统安全保护条例》。
1996年2月1日发布、1997年5月20日修订的《中华人民共和国计算机信息网络国际联网管理暂行规定》。
1997年12月11日国务院批准、1997年12月30日公安部发布、2011年1月8日修订的《计算机信息网络国际联网安全保护管理办法》。
国务院2000年9月25日发布、2016年2月6日第二次修订的《中华人民共和国电信条例》。
国务院2000年9月25日发布、2011年1月8日修订的《互联网信息服务管理办法》。
国务院2001年12月20日发布、2013年1月30日第二次修订的《计算机软件保护条例》。
国务院2002年9月29日发布、2016年2月6日第二次修订的《互联网上网服务营业场所管理条例》。
国务院2006年5月18日发布、2013年1月30日修订的《信息网络传播权保护条例》。
国务院各主管部门也公布了一系列规章和规范,规章文件主要包括《互联网域名管理办法》、《互联网新闻信息服务管理规定》、《电信和互联网用户个人信息保护规定》、《规范互联网信息服务市场秩序若干规定》、《互联网文化管理暂行规定》、《互联网视听节目服务管理规定》、《互联网等信息网络传播视听节目管理办法》等,规范性文件包括《微博客信息服务管理规定》、《互联网新闻信息服务单位内容管理从业人员管理办法》、《互联网新闻信息服务新技术新应用安全评估管理规定》、《互联网群组信息服务管理规定》、《互联网用户公众账号信息服务管理规定》、《互联网跟帖评论服务管理规定》、《互联网论坛社区服务管理规定》、《互联网直播服务管理规定》、《移动互联网应用程序信息服务管理规定》、《互联网用户账号名称管理规定》、《互联网信息搜索服务管理规定》、《即时通信工具公众信息服务发展管理暂行规定》等。