網路安全到底是個什麼東西？是黑客搞的？

最新 03-31

計算機網路已經成為了信息社會的基礎，圍繞計算機網路的攻擊與防護漏洞也層出不窮。如認識網路安全的內涵，從而保障網路信息系統的安全，這是需要研究的重要課題。

網路安全概述

網路安全(network securty) 是指網路系統的硬體、軟體及其系統中的數據受保護，不因偶然的或者惡意的原因而遭受破壞、更改、泄露，系統連續、可靠、正常地運行，網路服務不中斷。網路安全從其本質上來講就是網路上的信息安全。從廣義來說，凡是涉及網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網路安全的研究領域。網路安全是一門涉及計算機科學、網路技術、通信技術、密碼技術、信息安全技術、應用數學、數論、資訊理論等多種學科的綜合性學科。

網路安全大體上可以分為信息系統安全、網路邊界安全及網路通信安全。信息系統安全主要指計算機安全(智能手機及終端也是一種計算機)，包括操作系統安全和資料庫安全等; 網路邊界安全是指不同網路域之間的安全，包括網路上的訪問控制、流量監控等，以保護內部網路不被外界非法人侵; 網路通信安全是對通信過程中所傳輸的信息加以保護。

網路安全的目標是保護網路系統中信息的保密性、完整性、可用性、不可抵賴性、真實性、可控性和可審查性，其中，保密性、完整性、可用性也稱為信息安全的三要素。

(1)保密性（confidentiality) 也被稱為機密性，是指保證信息不被非授權訪問。它的任務是確保信息不會被未授權的用戶訪問，一般使用訪問控制技術阻止非授權用戶獲得機密信息，通過密碼技術阻止非授權用戶獲知信息內容。

(2)完整性（integrity）是指維護信息的一致性，即信息在生成，傳輸、存儲和使用過程中不發生人為或非人為的非授權算改。一般通過訪問控制阻止篡改行為，同時通過消息摘要演算法來檢驗信息是否被篡改。要保護信息的完整性，需要保證數據及系統的完整性。

1) 數據的完整性: 數據沒有被非授權篡改或者損壞。

2) 系統的完整性: 系統未被非法操縱，按既定的目標運行。

一般而言，如果系統的完整性被破壞，則很難保護其中數據的完整性。

(3) 可用性：可用性（availability）是指保障信息資源隨時可提供服務的能力特性，即授權用戶根據需要可以隨時訪問所需信息。可用性是信息資源服務功能和性能可靠性的度量，涉及物理、網路、系統、數據、應用和用戶等多方面的因素，是對信息網路總體可靠性的要求。

(4 )不可抵賴性:是信息交互過程中，所有參與者不能否認曾經完成的操作或承諾的特性，這種特性體現在兩個方面，一是參與者開始參與信息交互時，必須對其真實性進行鑒別;二是信息交互過程中必須能夠保留下使其無法否認曾經完成的操作或許下的承諾的證據。

(5)真實性:信息的真實性要求信息中所涉及的事務是客觀存在的，信息的各個要素都真實且齊全信息的來源是真實可靠的。

(6) 可控性:信息的可控性是指對信息的傳播及內容具有控制能力，也就是可以控制用戶的信息流向，對信息內容進行審查，對出現的安全問題提供調查和追蹤手段。

(7 )可審查性 :出現安全問題時提供依據與手段，以可控性為基礎。

網路安全是信息安全學科的重要組成部分。網路安會的研究內容相當寬泛，涉及網路、通信和計算機等方面的安全。網路安全、通信安全和計算機安全措施需要與其他類型的安全措施(如物理安全和人員安全措施) 配合使用，才能更有效地發揮其作用。

網路安全體系結構

網路安全體系結構是安全服務、安全機制、安全策略及相關技術的集合。國際標準化組織( ISO) 於1988 年發布了ISO 7498-2 標準，即開放系統互聯(Open System Interconnection,OSI) 安全體系結構標準，該標準等同於中華人民共和國國家標準GB/T 9387.2-1995。1990年，國際電信聯盟( International Telecommunication Union,ITU) 決定採用IS07498-2 作為其X.800推薦標準。因此，X.800 和IS07498-2 標準基本相同。1998 年，RFC 2401給出了Inemet協議的安全結構，定義了IPSe適應系統的基本結構，這一結構的目的是為IP層傳輸

提供多種安全服務。

下面列出一些與安全體系結構相關的術語。

(1)安全服務

X.800對安全服務做出定義: 為了保證系統或數據傳輸有足夠的安全性，開放系統通信協議所提供的服務。

RFC 2828 對安全服務做出了更加明確的定義:安全服務是一種由系統提供的對資源進行特殊保護的進程或通信服務。

(2 )安全機制

安全機制是一種措施或技術，一些軟體或實施一個或更多安全服務的過程。常用的安全機制有認證機制、訪問控制機制、加密機制、數據完整性機制、審計機制等。

(3) 安全策略

所謂安全策略，是指在某個安全域內，施加給所有與安全相關活動的一套規則。所謂安全城，通常是指屬於某個組織機構的一系列處理進程和通信資源。這些規則由該安全域中所設立的安全權威機構制定，並由安全控制機構來描述、實施或實現。

(4) 安全技術

安全技術是與安全服務和安全機制對應的一系列演算法、方法或方案，體現在相應的軟體或管理規範之中。比如密碼技術、數字簽名技術、防火牆技術、人侵檢測技術、防病毒技術和訪問控制技術等。

眾所周知，計算機網路具有分層的體系結構。信息安全技術可以應用到網路體系結構的任何一層，每一層均可以增加安全功能，安全功能相互協調、相互作用，共同保障網路信息系統的安全。正因為網路的每一層次均可施加安全功能，所以可以將網路安全體系結構看作網路協議層次、安全功能和安全技術的集合。對於目前廣泛使用的TCP/IP 協議，其分層的網路安全體系結構如下

1) 應用層: 對各種應用層軟體施加安全功能，如Web安全、電子郵件安全、資料庫安全、電子交易安全等。該層涉及眾多的安全協議及軟體，如HTTPS SSH SET PGP。此外，計算機上的所有軟體都與應用層的安全相關。

2)傳輸層: 提供端到端的安全通信，如安全套接字等。

3)網路層: 保證網路傳輸中的安全，包括安全接人、安全路由、傳輸加密等。IPSec 是最常用的網路層安全協議。

4)網路介面層: 如PPTP、L2TP 及鏈路層加密等技術。

除了各層的安全協議外，還有一些通用的安全技術，如密碼技術、訪問控制技術、數字簽名及身份認證技術等。

網路安全攻防體系

從系統安全的角度，可以把網路安全的研究內容分成兩大體系: 攻擊和防護。

網路攻擊是指採用技術手段，利用目標信息系統的安全缺陷，破壞網路信息系統的保密性、完整性、真實性、可用性、可控性與可審查性等的措族和行為。其目的是竊取、修改、偽造或破壞信息，以及降低、破壞網路使用效能。

網路防護是指為保護已方網路和設備正常工作、信息數據安全而採取的措施和行動。其目的是保證己方網路數據的保密性、完整性、真實性、可用性、可控性與可審查性等