7.1　网络安全概述

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全本质是信息的安全期内保证其在网络上流动时或者静态存放时不被非授权用户非法访问，通过各种计算机、网络、密码技术和信息安全技术，保护在公用通信网络中传输、交换和存储信息的机密性、完整性和真实性。从广义来说，凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。

网络安全包括运行系统安全、网络上系统信息的安全、网络上信息传播安全和网络上信息内容的安全。网络安全脆弱性表现在计算机系统和操作系统的脆弱性（如系统故障、Windows系统的漏洞或bug、存储介质的脆弱性），计算机网络的脆弱性（如电磁泄漏、通信系统和协议的弱点），以及数据库系统的脆弱性。

威胁网络安全的原因主要包括自身缺陷、网络的开放性和黑客的攻击。

（1）网络自身缺陷

网络自身的安全缺陷有很多，包括：

·协议不安全；

·协议本身会泄露口令；

·IP地址很容易被发现、伪造和更改；

·TCP/IP协议缺乏对通信双方真实身份的鉴别机制；

·某些协议经常运行一些无关的程序；

·服务器本身需要读写特权；

·网络服务不安全；

·密码保密措施不强；

·服务内部可能隐藏着一些错误的信息；

·有些服务本身尚未完善，难于区分出错原因；

·有些服务设置复杂，很难完善地设立；

·某些服务使用了CGI，信息很容易被窃取。

（2）网络开放性

网络开放性的问题体现在当前的计算机网络是基于公开的协议体系，一些远程访问技术使得各种攻击无须到现场就能得手，而且连接是基于主机上的社团彼此信任的原则，这就使得任何人都可以接入到网络中的任何地方。

（3）黑客攻击

黑客攻击也是导致网络不安全的一个非常重要的因素，黑客（HACKER）定义为非法入侵者，起源自20世纪60年代，指的是一些基于兴趣或者利益进行非法入侵的人员。其实早期的黑客（HACKER）指的是致力于发现漏洞的计算机高手，来帮助别人完善系统，而骇客（Cracker）才指那些破坏系统安全的人员，但是现在都已经混在一起使用。

对网络安全的威胁包括主动攻击和被动攻击，攻击是指任何的非授权行为和可能使一个网络受到破坏的所有行为。主动攻击危害最大，对通信的威胁包括中断通信、篡改报文、伪造报文；对系统安全的威胁包括恶意程序、病毒、蠕虫、木马、逻辑炸弹等；对传输信息的干扰可以更改信息、拒绝服务和伪造连接初始化等。防止主动攻击的方法是加密和鉴权。被动攻击相对危害性较小，只能对通信过程进行截获报文攻击，采用加密方法即可以防止。

网络安全策略包括：

（1）防护，操作系统安全防护、网络安全防护和信息安全防护；

（2）检测，根据入侵事件的特征发现攻击；

（3）响应，对于检测到的攻击进行处理；

（4）恢复，系统恢复和信息恢复。

当然安全策略的效果是按顺序降低的，能够早期进行防护当然效果最理想，被攻击后即使恢复了，也会遭受较大损失。

网络安全技术涉及范围非常广，在本书中，主要介绍与网络技术结合紧密的防火墙技术、VPN（虚拟专用网）技术和网络病毒等内容。

防火墙是指一种在内部网与公众访问网（如Internet）连接的接口处放置的设备，可以将内部网和公众访问网分开，用于保护内部网不受外来者的入侵，它实际上是一种隔离技术，从物理上隔离内部网与外部网，能增强机构内部网络的安全性。构筑防火墙是目前保护网络安全的最主要手段。防火墙是在两个网络通信时执行的一种访问控制尺度，能够进行双向检测，防止内部信息外泄，也防止外部恶意信息进入，决定了外界的哪些人可以访问内部的哪些服务，以及哪些外部服务可以被内部人员访问。防火墙不仅可以保护企业网不受来自外部的非法用户的入侵，也可以控制企业内部网与Internet间的数据流量。

对于远程用户和网络的安全控制可以采用虚拟专用网（VPN），它是利用接入服务器、路由器以及VPN专用设备在公用的广域网上实现虚拟专用网的技术。VPN是通过一个公用网络（通常是Internet），采用加密和验证等安全机制，建立一个临时的、安全的虚拟数据传输通道，是一条穿过混乱的公用网络的安全、稳定的隧道。使用这条隧道可以帮助远程用户、公司分支机构、商业伙伴及供应商等和公司的内部网建立可信的安全连接，保证私有数据在公共网上传输时不被窃取、篡改，能够安全的传输，从而向分散在网络不同位置的用户提供相当于专用网络的安全服务。VPN技术分为重叠模型VPN和对等模型VPN，重叠模型VPN需要用户自己建立端节点之间的VPN链路，主要包含GRE、L2TP、IPSec和SSL等众多的技术，对等模型VPN由网络运营商在主干网上完成VPN通道的建立，主要包括MPLS VPN技术。

当前许多病毒都利用网络进行传播，所以大多都可以归属在网络病毒中。由于网络通信的便利性，使得网络病毒具有非常强的传播和复制能力，并且能够产生更大的破坏性，覆盖范围也更广。解决网络病毒最好的方式是安装杀毒软件和防火墙，当然对于一些特殊的病毒也需要进行手动清除。当前比较好的杀毒软件有国外的卡巴斯基、诺顿，国内的360、瑞星、江民等，其中大多数的杀毒软件都将防火墙功能集成在其中。