任務1信息安全概述

項目一網(wǎng)絡安全概述課程說明1課程內容及使用的教材2網(wǎng)絡與信息安全的嚴峻形勢3網(wǎng)絡與信息系統(tǒng)的安全體系4開放系統(tǒng)互連(OSI)安全體系結構5Internet安全體系6網(wǎng)絡與信息安全產品介紹課程內容網(wǎng)絡與信息安全概述黑客攻擊與風險分析身份認證及Kerberos協(xié)議Ipsec安全協(xié)議SSL安全協(xié)議防火墻技術VPN技術入侵檢測技術SNMP網(wǎng)絡安全管理網(wǎng)絡安全評估與管理可信計算信息安全法律法規(guī)參考教材《網(wǎng)絡安全》作

者:

胡道元出版社:

清華大學出版社出版時間:2004.7《網(wǎng)絡安全完全手冊》出版社:

電子工業(yè)出版社出版時間:2005.10任務1信息安全概述1.1信息安全背景2006年6月13日，據(jù)微軟公布的安全報告顯示，在2005年1月至2006年3月期間，60％左右的WindowsPC機都感染過惡意代碼。據(jù)稱，美國正在進行的CPU“陷阱”設計，可使美國通過互聯(lián)網(wǎng)發(fā)布指令讓敵方電腦的CPU停止工作。1998年，為了獲得在洛杉磯地區(qū)kiss-fm電臺第102個呼入者的獎勵——保時捷跑車，KevinPoulsen控制了整個地區(qū)的電話系統(tǒng)，以確保他是第102個呼入者。最終，他如愿以償獲得跑車并為此入獄三年。2000年1月，日本政府11個省、廳受到黑客攻擊。總務廳的統(tǒng)計信息全部被刪除；外務省主頁3分鐘受攻擊1000余次；日本最高法院主頁2天內受攻擊3000余次。日本政府成立反黑特別委員會，撥款24億日元研究入侵檢測技術、追蹤技術、病毒技術和密碼技術。2000年2月，美國近十家著名的互聯(lián)網(wǎng)站遭受黑客攻擊，在短短的幾天內，使互聯(lián)網(wǎng)的效率降低20％，據(jù)估算，攻擊造成的損失達到12億美元以上，引起股市動蕩。

2001年2月8日，新浪網(wǎng)遭受大規(guī)模網(wǎng)絡攻擊，電子郵件服務器癱瘓了18個小時。造成了幾百萬的用戶無法正常使用新浪網(wǎng)。2006年9月13日，百度承認遭受“大規(guī)模的不明身份黑客攻擊”，導致百度搜索服務在全國各地出現(xiàn)了近30分鐘的故障，并認為這是有人精心組織策劃的行動，并已經向公安機關報案。熊貓病毒”是2006年中國十大病毒之首。它通過多種方式進行傳播，并將感染的所有程序文件改成熊貓舉著三根香的模樣，同時該病毒還具有盜取用戶游戲賬號、QQ賬號等功能.熊貓燒香”是一種蠕蟲病毒的變種，而且是經過多次變種而來的,原名為尼姆亞變種W(Worm.Nimaya.w)。外交部駁斥我軍方攻擊美國防部網(wǎng)絡傳言外交部發(fā)言人姜瑜在北京表示，最近有關中國軍方對美國國防部實施網(wǎng)絡攻擊的指責是毫無根據(jù)的?！爸袊回瀳詻Q反對和依法嚴厲打擊包括黑客行為在內的任何破壞網(wǎng)絡的犯罪行為。在中美致力于發(fā)展建設性合作關系，中美兩軍關系呈現(xiàn)出良好發(fā)展勢頭的大背景下，有人對中國進行無端指責，妄稱中國軍方對美國國防部實施網(wǎng)絡攻擊，這是毫無根據(jù)的，也是冷戰(zhàn)思維的體現(xiàn)?！苯ぴ诶杏浾邥洗鹩浾邌枴！拔覀冋J為黑客是一個國際性的問題，中方也經常遭到黑客的襲擊。中方愿與其他國家一道，采取措施共同打擊網(wǎng)絡犯罪。在這方面，我們愿意加強國際合作?！盜BM研究稱黑客攻擊速度加快據(jù)IBM最新發(fā)表的一份報告稱，越來越多的攻擊在缺陷披露24小時內就出現(xiàn)在了互聯(lián)網(wǎng)上，這意味著，許多用戶還沒有來得及了解相關問題前就可能已經受到了攻擊。

IBM在報告中談到了互聯(lián)網(wǎng)威脅方面兩個日益明顯的趨勢。其一，互聯(lián)網(wǎng)犯罪分子依賴軟件工具，幫助他們利用公開披露的缺陷自動發(fā)動攻擊。過去，犯罪分子自己發(fā)現(xiàn)安全缺陷需要更長的時間。IBM一名高管克里斯·蘭姆（KrisLamb）在接受采訪時說，積極地尋找軟件中缺陷的并非是犯罪分子本人，犯罪分子充分利用了安全研究社區(qū)的成果，他們所需要做的就是利用所獲得的信息發(fā)動攻擊。其二，安全研究人員就應當在多大程度上公開披露安全缺陷資料的爭論愈演愈烈了。大多數(shù)情況下安全研究人員會等待相關廠商發(fā)布補丁軟件后才會公開披露安全缺陷的詳細資料。但有時安全研究人員在公開安全缺陷詳細資料的同時也會發(fā)布所謂的“概念驗證”代碼，以證明安全缺陷確實是存在的。這就可能向犯罪分子提供他們所需要的幫助，縮短他們發(fā)動攻擊所需要的時間。根據(jù)國外一安全軟件廠商公布的一項調查結果顯示，計算機犯罪分子開始傾向于通過合法的網(wǎng)站來傳播病毒和惡意軟件，這些網(wǎng)站既包括社交網(wǎng)站，也包括人們通常使用的搜索引擎網(wǎng)站。

根據(jù)Websense公司的一項調查顯示，在2008年上半年大約有75%的網(wǎng)站包含有惡意內容，這些網(wǎng)站一般都擁有良好的信譽度，而在此之前的6個月中，感染惡意代碼的網(wǎng)站只有50%.在全球100強網(wǎng)站中大約有60%或者頁面含有病毒，或者將用戶引導向惡意網(wǎng)站。

Websense表示，計算機犯罪分子正在將目標瞄向一些流行的大眾網(wǎng)站，而不是自己建立一個網(wǎng)站，因為前者具有大量的訪問用戶作為其攻擊對象。一旦用戶訪問了被感染的網(wǎng)頁，黑客們就有機會訪問他們的個人信息或者利用他們的計算機作為“僵尸”來進行更廣范圍的攻擊。

黑客們還可以在被攻擊者的計算機上安裝間諜軟件，從而跟蹤用戶的每一個操作。

Websense的安全研究還發(fā)現(xiàn)，在過去6個月以來，76.5%以上的郵件都包含惡意網(wǎng)站的鏈接或垃圾郵件發(fā)送網(wǎng)站等，該數(shù)據(jù)上升了18%.

Websense

安全實驗室通過ThreatSeeker技術來發(fā)現(xiàn)、分類并監(jiān)測全球范圍內的互聯(lián)網(wǎng)威脅狀況和發(fā)展動態(tài)。安全研究人員利用該系統(tǒng)的互聯(lián)網(wǎng)安全智能技術來發(fā)布安全形勢，同時保障用戶的安全，該技術包含5000萬個實時數(shù)據(jù)收集系統(tǒng)，每天可對10億條內容進行深入分析。

黑客襲擊一市商務局網(wǎng)站局長變成"三點"女郎

從荊州市荊州區(qū)法院獲悉：荊州市商務局網(wǎng)站“被黑”案一審判決：襲擊荊州市商務局網(wǎng)站，將局長照片換成“三點式”女郎、將“局長致辭”改為“慶賀女友生日”的張志東被判處有期徒刑1年半。

法院審理查明，2008年12月4日，張志東下載了黑客軟件，在掃描到荊州市商務局網(wǎng)站存在漏洞后，獲取了該網(wǎng)站的管理員賬號和密碼。

他登入管理員后臺，將“局長致辭”修改為“為女友祝賀生日”，將“局長照片”換成一張“三點式”女郎圖片。

截至案發(fā)時，這兩條信息的點擊量分別達4036次和5617次，該網(wǎng)站一時間流量大增，服務器被迫關閉。此事影響了荊州市商務局的形象，并造成了一定的損失。

法院審理認為，張志東的行為已構成破壞計算機信息系統(tǒng)罪，但是他能夠投案自首，認罪態(tài)度較好，且系初犯，可酌情從輕處罰，遂一審作出上述判決。1.2信息安全現(xiàn)象1.3信息安全威脅計算機系統(tǒng)安全的幾種形式攻擊復雜程度與入侵技術進步示意圖

弱點傳播及其利用變化圖多維角度網(wǎng)絡攻擊分類1.4信息安全的定義網(wǎng)絡安全從其本質上來講就是網(wǎng)絡上的信息安全。它涉及的領域相當廣泛。這是因為在目前的公用通信網(wǎng)絡中存在著各種各樣的安全漏洞和威脅。網(wǎng)絡安全的一個通用定義： 網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。美國國防部授權美國航天司令部負責美軍計算機網(wǎng)絡攻防計劃，成立網(wǎng)絡防護“聯(lián)合特遣部隊”，規(guī)劃“國防部信息對抗環(huán)境(InfoCon)，監(jiān)視有組織和無組織的網(wǎng)絡安全威脅，創(chuàng)建整個國防部實施網(wǎng)絡攻防戰(zhàn)的標準模型，訓練計算機操作人員。2002年1月15日，Bill.Gates在致微軟全體員工的一封信中稱，公司未來的工作重點將從致力于產品的功能和特性轉移為側重解決安全問題，并進而提出了微軟公司的新“可信計算”(Trustworthycomputing)戰(zhàn)略.據(jù)美國《華盛頓觀察》周刊報道，曾經被政府追捕的黑客們，一時間在美國成了就業(yè)場上炙手可熱的人才。美軍戰(zhàn)略司令部司令——凱文·希爾頓將軍(Gen.KevinP.Chilton)近日公開承認，戰(zhàn)略司令部正在征召2000-4000名“士兵”，組建一支“特種部隊”。這支特種部隊不僅要承擔網(wǎng)絡防御的任務，還將對它國的電腦網(wǎng)絡和電子系統(tǒng)進行秘密攻擊。

目前，兩個不同的網(wǎng)絡戰(zhàn)中心在美軍戰(zhàn)略司令部管轄下運行。一個是全球網(wǎng)絡聯(lián)合部隊(JointTaskForce-GlobalNetworkOperations)，主要負責保護五角大樓在美國本土和全球范圍內的網(wǎng)絡系統(tǒng)，應對每天數(shù)十萬起試圖攻入美軍網(wǎng)絡的攻擊。另一個名為“網(wǎng)絡戰(zhàn)聯(lián)合功能構成司令部”(JointFunctionalComponentCommandNetworkWarfare)，主要職責是對敵人發(fā)動網(wǎng)絡攻擊。例如，在戰(zhàn)時快速侵入敵方電腦網(wǎng)絡系統(tǒng)，癱瘓敵軍的指揮網(wǎng)絡和依靠電腦運行的武器系統(tǒng)。

雖然美軍從未公布過網(wǎng)站部隊人數(shù)，但根據(jù)對美軍黑客項目跟蹤了13年的防務專家喬爾·哈丁(JoelHarding)的評估，目前美軍共有3000-5000名信息戰(zhàn)專家，5-7萬名士兵涉足網(wǎng)絡戰(zhàn)。如果加上原有的電子戰(zhàn)人員，美軍的網(wǎng)戰(zhàn)部隊人數(shù)應該在88700人左右。這意味著美軍網(wǎng)戰(zhàn)部隊人數(shù)已經相當于七個101空降師。俄羅斯2000年6月批準實施的《國家信息安全學說》把“信息戰(zhàn)”問題放在突出地位。俄羅斯為此專門成立了新的國家信息安全與信息對抗領導機構，建立了信息戰(zhàn)特種部隊，將重點開發(fā)高性能計算技術、智能化技術、信息攻擊與防護技術等關鍵技術。日本防衛(wèi)廳計劃在2001至2005年實施的《中期防衛(wèi)力量配備計劃》中進行電腦作戰(zhàn)研究，通過電腦作戰(zhàn)破壞敵方的指揮通訊系統(tǒng)，加強自衛(wèi)隊的信息防御和反擊能力。據(jù)美國防部官員稱，日本的東芝公司已有能力制造“固化病毒”這種新式的計算機武器。我國在《國民經濟和社會發(fā)展第十一個五年規(guī)劃綱要》中明確提出要強化信息安全保障工作，要積極防御、綜合防范，提高信息安全保障能力。強化安全監(jiān)控、應急響應、密鑰管理、網(wǎng)絡信任等信息安全基礎設施建設，發(fā)展咨詢、測評、災備等專業(yè)化信息安全服務。信息安全是信息化可持續(xù)發(fā)展的保障網(wǎng)絡信息安全已成為急待解決、影響國家大局和長遠利益的重大關鍵問題，信息安全保障能力是21世紀綜合國力、經濟競爭實力和生存能力的重要組成部分。網(wǎng)絡信息安全問題如果解決不好將全方位地危及我國的政治、軍事、經濟、文化、社會生活的各個方面,使國家處于信息戰(zhàn)和高度經濟金融風險的威脅之中。

---沈昌祥院士信息安全專家1.5信息系統(tǒng)的安全體系信息安全的原始意義是指計算機通信中的數(shù)據(jù)、圖像、語音等信息的保密性、完整性、可用性不受損害。信息安全的概念不斷拓寬。從廣度上，信息安全外延到計算機通信基礎設施的安全運行和信息內容的健康合法。從深度上，信息安全又向信息保護與防御的方向發(fā)展。信息安全的基本需求保密性(confidentiality)：信息不被泄露給非授權的用戶、實體或過程，或供其利用的特性完整性(integrity)：信息未經授權不能進行改變的特性可用性(availability)：信息可被授權實體訪問并按需求使用的特性

可控性(controllability)：可以控制授權范圍內的信息流向及行為方式

不可否認性(non-repudiation)：信息的行為人要對自己的信息行為負責，不能抵賴曾有過的信息行為信息保護及防御IA（InformationAssurance）保證信息與信息系統(tǒng)的可用性、完整性、真實性、機密性和不可抵賴性的保護與防御手段。它通過保護、檢測、恢復、反應技術的采用使信息系統(tǒng)具有恢復能力。保護Protect檢測Detect恢復Restore反應ReactIA信息防護的PDRR模型P2DR安全模型以安全策略為核心(ISS（InternetSecuritySystemsInC.)提出)策略：是模型的核心，具體的實施過程中，策略意味著網(wǎng)絡安全要達到的目標。防護：安全規(guī)章、安全配置、安全措施檢測：異常監(jiān)視、模式發(fā)現(xiàn)響應：報告、記錄、反應、恢復信息安全的互動模型網(wǎng)絡安全運行管理平臺—SOC(securityoperationcenter)

安全策略管理模塊作為SOC的中心,它根據(jù)組織的安全目標制定和維護組織的各種安全策略以及配置信息.資產是整個SOC體系的保護對象,SOC是以安全數(shù)據(jù)庫的建立為基礎,安全數(shù)據(jù)庫包括資產庫,漏洞庫威脅庫,病毒信息庫,風險庫等.資產風險管理模塊應基于上述安全數(shù)據(jù)庫對資產的脆弱性,漏洞以及資產面臨的威脅進行收集和管理.網(wǎng)絡安全就像一個無計劃擴張的城區(qū)一樣，因為各種不同的系統(tǒng)和設備以不同的方式相互溝通：如固定的局域網(wǎng)、無線和移動蜂窩網(wǎng)絡、專用廣域網(wǎng)、固定電話網(wǎng)絡和互聯(lián)網(wǎng)等不同的通訊方式。在這個星云狀的網(wǎng)絡領域考慮安全的唯一有效的方法是“分層次”的保護。趨勢科技歐洲、中東和非洲地區(qū)安全總經理SimonYoung稱，安全專業(yè)人員，已經基本上接受了采取多層次的防御措施防御各種攻擊和威脅的觀點。一種產品或者技術不能防御一切可能的威脅。一種分層次的方法能夠讓企業(yè)建立多條防線。在最基本的層面上，網(wǎng)絡安全包括：使用熟悉的用戶名/口令相結合的方法識別用戶身份;使用卡、USB密鑰或者生物計量(如指紋和視網(wǎng)膜掃描等)等物理形式進行身份識別;或者使用某些方法結合在一起的方式進行身份識別(這對于訪問網(wǎng)絡中更敏感的部分是必要的)。下一層是防火墻。防火墻管理識別用戶身份的服務和允許訪問的應用程序。防火墻可以防止網(wǎng)絡邊緣的PC或者服務器上，或者安裝在路由器和交換機等物理網(wǎng)絡硬件上。除了防火墻之外，入侵防御和檢測系統(tǒng)接下來監(jiān)視網(wǎng)絡的狀況、惡意軟件或者可疑的行為，阻止違反網(wǎng)絡管理員定義的規(guī)則和政策的活動。但是，必須強調的是，沒有任何一種方法是絕對安全的。區(qū)別合法的和不合法的行為的難度還需要人類某種程度的干預。1.6.1國際標準為了保障計算機系統(tǒng)的信息安全，1985年，美國國防部發(fā)表了《可信計算機系統(tǒng)評估準則》，它依據(jù)處理的信息等級采取相應的對策，劃分了四類七個安全等級。依照各類、級的安全要求從低到高，依次是D、C1、C2、B1、B2、B3和A1級。NetworkandInformationSecurity第1章網(wǎng)絡與信息安全綜述1.6網(wǎng)絡安全的評價標準●D級——最低安全保護(MinimalProtection)。沒有任何安全性防護，如DOS和Windows95/98等操作系統(tǒng)。●C1級——自主安全保護(DiscretionarySecurityProtection)。這一級的系統(tǒng)必須對所有的用戶進行分組；每個用戶必須注冊后才能使用；系統(tǒng)必須記錄每個用戶的注冊活動；系統(tǒng)對可能破壞自身的操作將發(fā)出警告。用戶可保護自己的文件不被別人訪問，如典型的多用戶系統(tǒng)。NetworkandInformationSecurity第1章網(wǎng)絡與信息安全綜述●C2級——可控訪問保護(ControledAccessProtection)。在C1級基礎上，增加了以下要求：所有的客體都只有一個主體；所有者？對于每個試圖訪問客體的操作，都必須檢驗權限；僅有主體和主體指定的用戶才可以更改權限；管理員可以取得客體的所有權，但不能再歸還；系統(tǒng)必須保證自身不能被管理員以外的用戶改變；系統(tǒng)必須有能力對所有的操作進行記錄，并且只有管理員和由管理員指定的用戶可以訪問該記錄。具備審計功能，不允許訪問其他用戶的內存內容和恢復其他用戶已刪除的文件。SCOUNIX和WindowsNT屬于C2級。NetworkandInformationSecurity第1章網(wǎng)絡與信息安全綜述●B1級——標識的安全保護(LabeledSecurityProtection)。增加以下幾條要求：不同組的成員不能訪問對方創(chuàng)建的客體，但管理員許可的除外；管理員不能取得客體的所有權。允許帶級別的訪問控制，如一般、秘密、機密、絕密等。WindowsNT的定制版本可以達到B1級?！馚2級——結構化保護(StructuredProtection)。增加以下幾條要求：所有的用戶都被授予一個安全等級；安全等級較低的用戶不能訪問高等級用戶創(chuàng)建的客體。銀行的金融系統(tǒng)通常達到B2級。提供結構化的保護措施，對信息實現(xiàn)分類保護。NetworkandInformationSecurity第1章網(wǎng)絡與信息安全綜述●B3級——安全域保護(SecurityDomain)。增加以下要求：系統(tǒng)有自己的執(zhí)行域，不受外界干擾或篡改。系統(tǒng)進程運行在不同的地址空間從而實現(xiàn)隔離。具有高度的抗入侵能力，可防篡改，進行安全審計事件的監(jiān)視，具備故障恢復能力?！馎1級——可驗證設計(VerifiedDesign)。增加以下要求：系統(tǒng)的整體安全策略一經建立便不能修改。計算機的軟、硬件設計均基于正式的安全策略模型，可通過理論分析進行驗證，生產過程和銷售過程也絕對可靠，但目前尚無滿足此條件的計算機產品。NetworkandInformationSecurity第1章網(wǎng)絡與信息安全綜述其中，C類稱為酌情保護，B類稱為強制保護，A類稱為核實保護。這個標準過分強調了保密性，而對系統(tǒng)的可用性和完整性重視不夠，因此實用性較低。為此，美國NIST和國家安全局于1993年為那些需要十分重視計算機安全的部門制定了一個“多用戶操作系統(tǒng)最低限度安全要求”，其中為系統(tǒng)安全定義了八種特性：

(1)識別和驗證：惟一的用戶標識

(2)訪問控制：不能對其未授權的信息或資源進行訪問

(3)可查性：具備對用戶的行為進行追查的能力

(4)審計：判斷違反安全的事件，危及了哪些信息或資源

(5)客體再用：確保資源在保持安全的情況下能被再用

(6)準確度：系統(tǒng)具備區(qū)分系統(tǒng)以及不同單個用戶信息的能力

(7)服務的可靠性：確保在被授權的實體請求時，資源能夠被訪問和使用

(8)數(shù)據(jù)交互：系統(tǒng)應能確保在通信信道上傳輸?shù)臄?shù)據(jù)的安全

這八種安全特性比較全面地反映了現(xiàn)代計算機信息系統(tǒng)的安全需求。1.6.2國內標準在我國根據(jù)《計算機信息系統(tǒng)安全保護等級劃分準則》，1999年10月經過國家質量技術監(jiān)督局批準發(fā)布準則將計算機安全保護劃分為以下五個級別：第一級為用戶自主保護級：它的安全保護機制使用戶具備自主安全保護的能力，保護用戶的信息免受非法的讀寫破壞。第二級為系統(tǒng)審計保護級：要求創(chuàng)建和維護訪問的審計跟蹤記錄，使所有的用戶對自己的行為的合法性負責。NetworkandInformationSecurity第1章網(wǎng)絡與信息安全綜述第三級為安全標記保護級：還要求以訪問對象標記的安全級別限制訪問者的訪問權限，實現(xiàn)對訪問對象的強制保護。第四級為結構化保護級：將安全保護機制劃分為關鍵部分和非關鍵部分，對關鍵部分直接控制訪問者對訪問對象的存取，從而加強系統(tǒng)的抗?jié)B透能力。第五級為訪問驗證保護級：這一個級別特別增設了訪問驗證功能，負責仲裁訪問者對訪問對象的所有訪問活動。NetworkandInformationSecurity第1章網(wǎng)絡與信息安全綜述防火墻指的是一個由軟件和硬件設備組合而成、在內部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構造的保護屏障.防火墻的優(yōu)點：

（1）防火墻能強化安全策略。

（2）防火墻能有效地記錄Internet上的活動。

（3）防火墻限制暴露用戶點,對網(wǎng)絡存取和訪問進行監(jiān)控審計。防火墻能夠用來隔開網(wǎng)絡中一個網(wǎng)段與另一個網(wǎng)段。這樣，能夠防止影響一個網(wǎng)段的問題通過整個網(wǎng)絡傳播。

（4）防火墻是一個安全策略的檢查站。所有進出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點，使可疑的訪問被拒絕于門外。

(5)還支持具有Internet服務特性的VPN。VPN的英文全稱是“VirtualPrivateNetwork”，翻譯過來就是“虛擬專用網(wǎng)絡”。虛擬專用網(wǎng)（VPN）被定義為通過一個公用網(wǎng)絡（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內部網(wǎng)之間建立一條專有的通訊線路，就好比是架設了一條專線一樣，但是它并不需要真正的去鋪設物理線路。VPN技術原是路由器具有的重要技術之一，目前在交換機，防火墻設備或Windows2kxp等軟件里也都支持VPN功能。

虛擬專用網(wǎng)是對企業(yè)內部網(wǎng)的擴展。虛擬專用網(wǎng)可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商同公司的內部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于實現(xiàn)安全連接；實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。常用的虛擬專用網(wǎng)絡協(xié)議有：

IPSec:IPsec(縮寫IPSecurity)是保護IP協(xié)議安全通信的標準，它主要對IP協(xié)議分組進行加密和認證。

IPsec作為一個協(xié)議族（即一系列相互關聯(lián)的協(xié)議）由以下部分組成：(1)保護分組流的協(xié)議；(2)用來建立這些安全分組流的密鑰交換協(xié)議。前者又分成兩個部分：加密分組流的封裝安全載荷（ESP）及較少使用的認證頭（AH），認證頭提供了對分組流的認證并保證其消息完整性，但不提供保密性。目前為止，IKE協(xié)議是唯一已經制定的密鑰交換協(xié)議。

PPTP:PointtoPointTunnelingProtocol--點到點隧道協(xié)議

在因特網(wǎng)上建立IP虛擬專用網(wǎng)（VPN）隧道的協(xié)議，主要內容是在因特網(wǎng)上建立多協(xié)議安全虛擬專用網(wǎng)的通信方式。

L2F:Layer2Forwarding--第二層轉發(fā)協(xié)議

L2TP:Layer2TunnelingProtocol--第二層隧道協(xié)議

GRE：VPN的第三層隧道協(xié)議--通用路由封裝

SSLVPNMPLSVPNSocks5VPNDenning入侵檢測模型信息安全的技術層次視點Systemsecurity物理安全

Systemsecurity運行安全Informationsecurity數(shù)據(jù)安全Informationsecurity內容安全

系統(tǒng)自身的安全“系統(tǒng)安全”InformationSecurity信息利用的安全“信息對抗”信息自身的安全“信息安全”層次結構結構層次三級信息安全框架信息內容對抗國家計算機與網(wǎng)絡安全管理中心主任方濱興院士提出信息系統(tǒng)的安全體系管理體系培訓制度法律組織體系技術體系技術管理技術機制機構崗位人事安全策略與服務密鑰管理審計狀態(tài)檢測入侵監(jiān)控OSI安全技術運行環(huán)境及系統(tǒng)安全技術物理安全系統(tǒng)安全安全服務安全機制OSI安全管理“安全是一個過程，而不是一個產品”，BruceSchneier網(wǎng)絡安全生命周期模型 評估，設計，工程實施、開發(fā)和制造，布署，運行、管理和支持.安全過程與系統(tǒng)安全生命周期模型網(wǎng)絡信息安全設計四步方法論美國國家安全局制定的信息保障技術框架（IATF）

信息安全的層次分析*開放系統(tǒng)互連(OSI)安全體系結構網(wǎng)絡體系結構是計算機之間相互通信的層次，以及各層中的協(xié)議和層次之間接口的集合。國際標準化組織ISO在提出了開放系統(tǒng)互連（OpenSystemInterconnection，OSI）模型，這是一個定義連接異種計算機的標準主體結構。OSI采用了分層的結構化技術，每層的目的都是為上層提供某種服務。OSI參考模型OSI安全體系結構的研究始于1982年，于1988年完成，其成果標志是ISO發(fā)布了ISO7498-2標準，作為OSI基本參考模型的補充。這是基于OSI參考模型的七層協(xié)議之上的信息安全體系結構。它定義了5類安全服務、8種特定的安全機制、5種普遍性安全機制。它確定了安全服務與安全機制的關系以及在OSI七層模型中安全服務的配置。OSI安全體系結構的5類安全服務1.鑒別鑒別服務提供通信中的對等實體和數(shù)據(jù)來源的鑒別2.訪問控制防止對資源的未授權使用，防止以未授權方式使用某一資源3.數(shù)據(jù)機密性這種服務對數(shù)據(jù)提供保護，使之不被非授權地泄露4.數(shù)據(jù)完整性例如使用順序號，檢測數(shù)據(jù)重放攻擊5.抗否認這種服務可取如下兩種形式，或兩者之一：（1）有數(shù)據(jù)原發(fā)證明的抗否認（2）有交付證明的抗否認OSI安全體系結構的8種安全機制（1）加密對數(shù)據(jù)進行密碼變換以產生密文。加密既能為數(shù)據(jù)提供機密性，也能為通信業(yè)務流信息提供機密性，并且是其他安全機制中的一部分或對安全機制起補充作用。一般情況，在一個層次上進行加密，但也有可能需要在多個層上提供加密。（2）數(shù)字簽名機制數(shù)字簽名是附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對數(shù)據(jù)單元所作的密碼變換，這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者確認數(shù)據(jù)單元來源和數(shù)據(jù)單元的完整性，并保護數(shù)據(jù)，防止被他人偽造。（3）訪問控制機制為了決定和實施一個實體的訪問權，訪問控制機制可以使用該實體已鑒別的身份，或使用有關該實體的信息。例如：訪問控制信息庫、鑒別信息（如口令）、安全標記（4）數(shù)據(jù)完整性機制數(shù)據(jù)完整性有兩個方面：單個數(shù)據(jù)單元的完整性和數(shù)據(jù)單元序列的完整性。發(fā)送實體給數(shù)據(jù)單元附加一個量，這個量為該數(shù)據(jù)的函數(shù)。保護數(shù)據(jù)單元序列的完整性（即防止亂序、數(shù)據(jù)的丟失、重放、插入或篡改）還需要某種明顯的排序形式，如順序號、時間標記或密碼鏈。（5）鑒別交換機制如果在鑒別實體時，這一機制得到否定的結果，就會導致連接的拒絕或終止（6）通信業(yè)務填充機制能用來提供各種不同級別的保護，對抗通信業(yè)務分析（7）路由選擇控制機制在檢測到持續(xù)的操作攻擊時，端系統(tǒng)可以提示網(wǎng)絡的提供者經不同的路由建立連接（8）公證機制在兩個或多個實體之間通信的數(shù)據(jù)，如它的完整性、時間和目的地等能借助可信第三方的公證機制得到確保OSI的安全服務與安全機制的關系保密性完整性鑒別訪問控制不可否認性加密YYY----數(shù)字簽名--YY--Y訪問控制------Y--數(shù)據(jù)完整性--Y----Y鑒別----Y----業(yè)務填充Y--------路由控制Y--------公證--------YOSI安全管理OSI安全管理包括系統(tǒng)安全管理（OSI環(huán)境安全）、OSI安全服務的管理與安全機制的管理。安全管理信息庫（SMIB）是一個概念上的集合，存儲開放系統(tǒng)所需的與安全有關的全部信息。每個端系統(tǒng)必須包含必需的本地信息，使它能執(zhí)行某個適當?shù)陌踩呗?。SMIB是一個分布式信息庫，在實際中，SMIB的某些部分可以與MIB（管理信息庫）結合成一體，也可以分開。SMIB有多種實現(xiàn)辦法，例如，數(shù)據(jù)表、嵌入開放系統(tǒng)軟件或硬件中的數(shù)據(jù)或規(guī)則。信息安全管理內容

內容：信息安全政策制定、風險評估、控制目標與方式的選擇、制定規(guī)范的操作流程、信息安全培訓等.涉及領域：安全方針策略、組織安全、資產分類與控制、人員安全、物理與環(huán)境安全、通信與運營安全、訪問控制、系統(tǒng)開發(fā)與維護、業(yè)務連續(xù)性、法律符合性等.5Internet安全體系結構Internet不同層的網(wǎng)絡安全技術5.1網(wǎng)絡層安全5.2傳輸層安全5.3應用層安全基于TCP/IP協(xié)議的網(wǎng)絡安全體系基礎框架

5.1網(wǎng)絡層安全--IPSec5.2傳輸層安全--SSL5.3應用層安全—S-HTTP,SET5.1網(wǎng)絡層安全IPSec--一組協(xié)議在IP加密傳輸信道技術方面，IETF已經指定IPSec來制定IP安全協(xié)議（IPSecurityProtocol,IPSP）和對應的Internet密鑰管理協(xié)議（InternetKeyManagementProtocol,IKMP）的標準。

IPSec是隨著IPv6的制定而產生的，鑒于IPv4的應用仍然很廣泛，所以后來在IPSec的制定中也增加了對IPv4的支持。IPSec在IPv6中是必須支持的，而在IPv4中是可選的。IPSP的主要目的是使需要安全服務的用戶能夠使用相應的加密安全體制。該體制應該與算法獨立，可以自己選擇和替換加密算法而不會對應用和上層協(xié)議產生任何影響。此外，該體制必須能支持多種安全政策，并且對其他不使用該體制的用戶完全透明。按照這些要求，IPSec工作組使用認證頭部（AH）和安全內容封裝（ESP）兩種機制，前者提供認證和數(shù)據(jù)完整性，后者實現(xiàn)通信保密。AH（AuthenticationHeader，驗證頭部協(xié)議）ESP（EncapsulatingSecurityPayload，封裝安全載荷）協(xié)議IPSec體系結構

AH為IP數(shù)據(jù)包提供如下3種服務：無連接的數(shù)據(jù)完整性驗證、數(shù)據(jù)源身份認證和防重放攻擊。

ESP除了為IP數(shù)據(jù)包提供AH已有的3種服務外，還提供另外兩種服務：數(shù)據(jù)包加密、數(shù)據(jù)流加密。

IKE協(xié)議負責密鑰管理，定義了通信實體間進行身份認證、協(xié)商加密算法以及生成共享的會話密鑰的方法。對IP包進行的IPSec處理有兩種：AH和ESP。AH提供無連接的數(shù)據(jù)完整性、數(shù)據(jù)來源驗證和抗重放攻擊服務；而ESP除了提供AH的這些功能外，還可以提供對數(shù)據(jù)包加密和數(shù)據(jù)流量加密。

AH和ESP可以單獨使用，也可以嵌套使用。通過這些組合方式，可以在兩臺主機、兩臺安全網(wǎng)關（防火墻和路由器），或者主機與安全網(wǎng)關之間使用。5.2傳輸層安全常見的傳輸層安全技術有SSL-SecuresocketlayerSSL分為兩層，上面是SSL協(xié)商層，雙方通過協(xié)商約定有關加密的算法，進行身份認證等；下面是SSL記錄層，它把上層的數(shù)據(jù)經分段、壓縮后加密，由傳輸層傳送出去。SSL采用公鑰方式進行身份認證，大量數(shù)據(jù)傳輸仍使用對稱密鑰方式進行數(shù)據(jù)加密。通過雙方協(xié)商，SSL可以支持多種身份認證、加密和檢驗算法。SSL結構圖高層協(xié)議SSL協(xié)商層SSL記錄層傳輸層低層協(xié)議SSL協(xié)議協(xié)商層工作過程示意圖通過X.509證書傳輸其擁有者的公開密鑰為了保持Internet上的通用性，目前一般的SSL協(xié)議只要求服務器方向客戶方出示證書以證明自己的身份，而不要求用戶方同樣出示證書，在建立起SSL信道后再加密傳輸用戶的口令實現(xiàn)客戶方的身份認證。5.3應用層安全

IP層的安全協(xié)議能夠為網(wǎng)絡連接建立安全的通信信道，傳輸層安全協(xié)議允許為進程之間的數(shù)據(jù)通道增加安全屬性，但它們都無法根據(jù)所傳送的不同內容的安全要求予以區(qū)別對待。如果確實想要區(qū)分具體文件的不同的安全性要求，就必須在應用層采用安全機制。安全HTTP協(xié)議（S-HTTP）是Web上使用的超文本傳輸協(xié)議（HTTP）的安全增強版本，由企業(yè)集成技術公司設計。它建立在HTTP1.1的基礎上，提供了數(shù)據(jù)加密、身份認證、數(shù)據(jù)完整、防止否認等功能。S-HTTP通過協(xié)商可以選擇不同的密鑰管理方法、安全策略，以及加密算法等。它在對稱密鑰方式下工作時，它不要求客戶方用公鑰Certificate進行身份認證，相對于SSL而言，降低了對公鑰體系的要求。

S-HTTP提供了文件級的安全機制，因此每個文件都可以設置成保密/簽字狀態(tài)。用作加密及簽名的算法可以由參與通信的收發(fā)雙方協(xié)商。S-HTTP提供了對多種單向散列（Hash）函數(shù)的支持，如MD2、MD5及SHA；對多種私鑰體制的支持，如DES、三元DES、RC2、RC4；對數(shù)字簽名體制的支持，如RSA和DSS。HTTPSstandsfor"HypertextTransferProtocoloverSecureSocketLayer".

HTTPSisnotaseparateprotocol,butisacombinationofanormalHTTPconnectionoveranencryp