一、网络安全概述与现状

(一)网络安全的定义

随着Internet的迅猛发展和网络社会化的到来，网络已经无所不在地影响着社会的政治、经济、文化、军事、意识形态和社会生活的各个方面。同时在全球范围内，针对重要信息资源和网络基础设施的入侵行为及企图入侵行为的数量仍在持续不断地增加，网络攻击与入侵行为对国家安全、经济和社会生活造成了极大的威胁。因此，网络安全已成为当今世界各国共同关注的焦点。

网络安全包括5个特征:机密性、完整性、可用性、可控性和可审查性。机密性指确保信息不暴露给未授权的实体或进程。完整性则意味着只有得到授权的实体才能修改数据，并且能够判别出数据是否已被篡改。可用性表示得到授权的实体在需要时可以访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作。可控性表示可以控制授权范围内的信息流向及行为方式。可审查性指对出现的网络安全问题提供调查的依据和手段。凡是涉及计算机网络上信息的机密性、完整性、可用性、可控性和可审查性的相关技术和理论都是计算机网络安全的研究领域。

(二)网络安全的目标

网络安全的最终目标就是通过各种技术与管理手段实现信息系统的机密性、完整性、可用性、可控性和可审查性。在多数情况下，网络安全更侧重强调网络信息的机密性、完整性和可用性。

(三)网络安全漏洞

1.软件漏洞

软件漏洞是指在设计与编制软件时没有考虑对非正常输入进行处理或错误代码而造成的安全隐患。软件漏洞产生的主要原因是软件设计人员不可能将所有输入都考虑周全，因此，软件漏洞是任何软件存在的客观事实。软件产品在正式发布之前，一般都要相继发布若干个版本产品反复测试使用，目地就是为了减少软件漏洞。

缓冲区溢出、特殊字符组合和操作系统多任务竞争是最常见的软件漏洞，除非正常输入和错误代码造成的软件漏洞之外，通常将软件配置不当造成的安全隐患也归类到软件的漏洞范畴。不同软件、同一软件的不同版本或不同运行环境，其软件的漏洞各不相同，因此，脱离具体软件和环境讨论软件漏洞是毫无意义的。此外，软件漏洞还有实效性，随着软件的广泛应用，软件漏洞将不断暴露出来。软件商通常会发布补丁修改已发现的软件漏洞，或在新版本中给予纠正。更新版本软件在纠正旧版本软件的同时，有可能引入新的软件漏洞。随着软件使用时间的推移，已暴露的软件漏洞会不断消亡，新的软件漏洞会不断出现。

2.网络协议漏洞

网络协议漏洞类似于软件漏洞，是指网络通信协议不完善而导致的安全隐患。截至目前，Internet上广泛应用的TCP/IP协议族中几乎所有协议都存在各种安全隐患，这其中包括数据链路层的地质解析协议ARP(address resolution protocol)、逆向地质解析协议RARP(reverse address resolution protocol);网络层的网际协议IP(Internet protocol)、Internet控制报文协议ICMP(Internet control messages protocol)、Internet组管理协议IGMP(Internet group management protocol);传输层的传输控制协议TCP(transfer control protocol)、用户数据协议UDP(user datagram protocol);应用层的域名系统协议DNS(reliable data protocol)、文件传输协议FTP(file transfer protocol)、超文本传输协议HTTP(hypertext transfer protocol)、简单邮件传输协议SMTP(simple message transfer protocol)、远程登录协议Telnet等。截至2004年9月1日，专门从事安全漏洞名称标准化的公共漏洞披露机构CVE(Common Vulnerability and Exposures)已经发布了7616个不同的安全漏洞，而且新的安全漏洞仍在不断被披露。

3.安全管理漏洞

软件漏洞和网络协议漏洞是天生具有的，但由于安全管理疏漏产生的安全漏洞则完全是人为因素造成的。网络安全技术只是保证网络安全的基础，网络安全管理才是发挥网络安全技术的根本保证。因此，网络安全问题并不是一个纯技术问题，从网络安全管理角度看，网络安全首先应该是管理问题。事实上，国际标准化组织ISO将网络管理划分为故障、性能、配置、记账和安全管理5个领域，表明安全管理是网络管理的重要组成部分。

计算机网络包含各种网络设施、服务器、工作站和网络终端等设备，每个设备有可能安装不同的操作系统和应用软件，各自都具有不同的安全隐患。因此，计算机网络的安全隐患由大量的子系统安全隐患聚集而成，导致网络安全隐患数量庞大且十分复杂，由此提升了网络安全管理的技术难度与成本，容易造成更多的安全管理疏漏。

网络安全管理是在网络安全策略指导下为保护网络不受内外各种威胁而采取的一系列网络安全措施，网络安全策略则是根据网络安全目标和应用环境，为提供特定安全级别保护而必须遵守的规则。因此，网络安全策略与网络应用环境密切相关，不同的应用环境需要指定不同的安全策略。如果将信任区的安全策略应用到非信任区，必然会产生众多的安全管理漏洞。如果将非信任区的安全策略应用到信任区，又会造成不必要的资金浪费。由此可见，网络安全是相对的，是建立在信任基础之上的，绝对的网络安全是永远不存在的。信任区与非信任区，或者安全区与非安全区的边界是基于信任关系划定的，在安全区内应当相信系统管理人员和内部用户不会滥用特权，并且具有良好的职业道德。但是当信任管理发生变化时，安全管理必须及时调整，否则会大大降低整个网络的安全性。