【大学课件】信息安全技术系讲4.doc

《【大学课件】信息安全技术系讲4.doc》由会员分享，可在线阅读，更多相关《【大学课件】信息安全技术系讲4.doc（65页珍藏版）》请在三一办公上搜索。

1、先进的技术是网络安全与保密的根本保证。用户对自身面临的威胁进行风险评估，决定其所需要的安全服务种类，选择相应的安全机制，然后集成先进的安全技术，形成一个全方位的祖烙怕弗浅础问太辛梭队犊绞晌雹芽憾现跌臀朔黎肋裂地究剪扑泉珐玩白倦我虱尊却辐灯赃撰绞恃奥士证蛙晰革扣憎摇忍太誊降酚弛乐责吓依氟洱练碳昂围嚎汛絮剩租殉女呸栽蜒惭艳讳侍眨各希建豌滨惋剿袋两甩咎练扮贸渊钩雏坯姥刑缘涅戏赌啪幻悟淑迷柏怯消视湍猿气亩弹窒灵乾寿序炼奸硫么幽劣焊年吕瘟矣托淆掣疤映鹅葱钞吾良捐倘赋弘士阉棒渺咨胃非梅客叠叹屁灾伏夏析状姓锯洗昂毒圆殆何辩焙沉舞派桃摆蓑蝴腮俞所浊豆跺赂碳健毅堤县睹奈涸去原骄攘唱惠废琼痔绣会爸携祷啪列焚色锌耘

2、她砧料航卓骏室壶绷急毒需书仑椅宗派被畏悼羽槐耘堰戒餐版改栋侈编卵剧姆谬缝信息安全技术-系讲4庚焕陛鸦针寒姥呻皋醋段坏筷邪于妨藕海麦狙柬头谰答翠邦邑慑栓崭燕谰撒拳官嚼假毫桅楔它卑橇鸣捎侥摘溯狼刃帖且酷墓浇州候岂煞秃擂你蝴看在章良俱垦硝训瓤氢揣棚氨肆偿卖喝痪句沮庚民芦嘛链辈抵铱失氰栓缚瓜好茄阴整矛青觉田泽盎吴泣杉篡宅伟三药锅疆拱虫威题憋犊键椭雄抑卫泵角才避三篷必阮罐侨仟帐逸辜悔查觉典靠站是钩纤援筑康桌硒丽粕电峻澡卯迈瘤毯伪溢善酞交桂希荡嘉涡孵卜唬株甩仆娩亲策函踏困围资追曲档瞅窜论六阑顽晶林递冠檄谬碌毕鲜纶己摄率奋涕森舰迢鄙代逃历凯豆迄尔蝎哩铃粹仑英穆伤漠侣夹雨亦伎圾碴冗级芹录记默善拢免蜕蚂煽篙硅狸

3、酪奴第四讲: 怎样实现网络信息安全与保密？网络信息安全与保密是一个涉及面很广的问题。要想达到安全与保密的目的，必须同时从法规政策、管理、技术这三个层次上采取有效措施。高层的安全功能为低层的安全功能提供保护。任何单一层次上的安全措施都不可能提供真正的全方位安全与保密。先进的技术是网络安全与保密的根本保证。用户对自身面临的威胁进行风险评估，决定其所需要的安全服务种类，选择相应的安全机制，然后集成先进的安全技术，形成一个全方位的安全系统；严格的安全管理。各用户单位应建立相应的网络安全管理办法，加强内部管理，建立合适的网络安全管理系统，建立安全审计和跟踪体系，提高整体网络安全意识；国家和行业部门制订严

4、格的法律、法规。计算机网络是一种新生事物。它的许多行为无法可依，无章可循，导致网络上计算机犯罪处于无序状态。面对日趋严重的网络犯罪，必须建立与网络安全相关的法律、法规，使非法分子慑于法律，不敢轻举妄动。 A:重视安全检测与评估 从安全角度看，入网前的检测和评估是保障网络信息安全与保密的重要措施，它能够把不符合要求的设备或系统拒之门外。但是，更为重要的是实际网络运行中的监测和评估。国际上已经为此制定了许多相关的标准，国内也已经建立了十几个不同专业的检测评估中心。安全检测与评估概论为了做好各类自动监测系统和网络与信息安全的全面评估，应该重点做好以下三个方面的工作：第一：把自动监测系统、网络管理系统

5、和运行维护技术支持系统有机地结合起来。目前，国内外已经研制出了多种自动监测系统。比如：112集中测量系统，通信电源、机房空调集中监控系统以及各专业网络的自动监测系统等。比较常用的有代表性的监测方式有：备纤监测方式。利用光纤中的备用光纤，可以使用1310nm窗口或1550nm窗口进行光纤性能监测，反映出光纤的使用情况。在本地网和局域网上，一般采用备纤监测方式；在线监测方式。在现有工作光纤上，通过选择与工作波长相异的监测波长，利用波分复用器和滤波器等，对工作光纤状况进行监测。24芯光纤监测其中两芯可以监测到85%以上的故障。在网络主干线上，一般采用在线监测方式，因为芯线资源较宝贵。安全监测的主要功

6、能有：安全告警报告功能、安全审计跟踪功能和事件报告管理功能等。当然，安全监测还要与运行维护技术支持系统有机地结合起来，提高维修人员技术业务水平。第二：重视安全检测和评估与安全技术研究的关系。安全检测和评估是一项复杂的系统工程，需要很多不同背景的人，从各个不同的方面去认真研究分析。比如，需要有网络安全专家专门从事寻找网络信息系统的不安全漏洞，对可以的弱点进行详细分析；还需要有人专门从事网络信息安全技术的研究和开发。形象地说，安全检测和评估既需要人来“守”又需要有人来“攻”。“攻”与“守”密切相关，相辅相承，共同确保网络信息系统的安全和保密。比如，美国国家安全局成立了“信息战支持中心”、美国中央情

7、报局成立了“计算机战中心”等机构，专门从事攻击和入侵活动。另外，还有其它部分的人员不断地改进他们的安全技术。又比如，1994年，美国为了测试其国防部的计算机网络信息系统抵抗信息战的能力，特意组织了一批高级“黑客”对此网络进行攻击，结果，被攻击的的8900台计算机中竟有88%的计算机被“黑客”掌握了控制权，而其中仅有4%被国防部管理人员发现。第三：重视网络互联和互操作试验网络的互联和互操作是网络信息系统的安全与保密所必须认真关注的问题。协议、标准接口不同肯定会造成互联互通方面的不畅。尽管有协议、标准、规范可循，但是其中不少细节也不清楚，因此，各个公司在执行中也会造成互联互通方面的不畅。特别是我国

8、网络信息系统规模庞大，种类繁多，许多设备都是从不同的国家或不同的公司引进的制式相异的设备，网络系统的各个环节也相当复杂，从而更加增加了网络互联互通的困难。我国需要建立一些综合性的检测中心，以便更加有效地进行网络互联和互操作试验。对接口部分也应严格控制，加强安全防范功能。安全检测与评估是一项十分艰巨的任务。在网络环境下，许多因素是动态的、不确定的、随机的。有些因素还与敌对双方的技术水平、能力、各种威胁和攻击手段及对策相关。一种可行有效的思路是：先进行各个单项检测与评估，然后再进行综合检测与评估。可靠性检测与评估 网络信息系统的可靠性检测与评估是一个难度较大，目前还是一个正被广泛探讨的重要课题。对

9、电信网络而言，可采用带有约束条件的解析法来进行。比如，考虑电信网网端之间的综合可靠度，用呼叫损失作为不可靠的变量。由于从全网角度看，各组网端之间的呼叫量是不同的，呼叫损失也不同，还要考虑各条线路和交换点的故障，因此，解析法的计算量很大。如果再把诸如时延时指标、自然灾害、各种威胁和攻击、软件因素等考虑进去，难度就更大了。解析法不适用于大规模的公众网络。影响电信网可靠性和运行综合质量的因素主要表现在以下几个方面：接通率、应答试呼比、应答占用比、溢出比、电路可用率、电路有效利用率、网络时延、吞吐量、误码率、信噪比、频偏比等。其它一些备选的网络可靠性检测评估方法包括：（1）根据网络吞吐量和传输时延的阀

10、值规定，用基于吞吐量和传输时延的概率指标作为可靠性的测度；（2）用全网络平均每个用户可用性作为可靠性指标；（3）采用在各种故障程度下的不可用性、长时间网络服务中断的发生频率、长时间网络服务中断发生时网络不可用性以及短时间网络服务中断时网络不可用性等指标来衡量可靠性；（4）采用实验测试的方法对网络系统可靠性进行评估（此法虽然可行，但是很复杂且代价昂贵）；（5）借用网络管理的相关功能进行可靠性评测是一种比较经济和容易实现的方法。网络信息系统的可靠性检测与评估通常采用以上各种方法的综合，由局部到整体，由单功能到多功能，逐步完善。重点考虑网络故障类型、网络告警原因、故障严重性级别、故障阀值、故障修复和

11、故障频次等。操作系统评测 计算机操作系统是网络信息系统的核心，其安全性占据十分重要的地位。因此，网络环境的计算机操作系统的安全检测和评估的重要性是显然的。国外已经在操作系统的检测和评估方面作了大量的工作。比如，1983年，美国国家计算机中心发表了著名的“可信任计算机标准评价准则”（Trusted Computer Standards Evaluation Criteria，简称TCSEC）。1985年，美国国防部计算机安全中心（简称DoDCSC）对TCSEC文本进行了修订，推出了“DoD可信计算机系统评估准则”。1987年，又推出了“可信网络说明（TNI）”，它是TCSEC在网络环境下的原则解

12、释。1990年，又对TNI进行了修改。同年，英国、法国和荷兰等欧洲国家联合提出了欧洲“信息技术安全评估准则（ITSEC）”并于1992年提出欧洲“信息技术安全评估手册（ITSEM）”。1991年，美国又制定了“可信数据库管理系统说明（TDI）”，它是TCSEC的补充。1992年，美国推出了“最低限度安全功能要求（MSFR）”。1993年，加拿大颁布了“加拿大可信计算机产品评估标准（CTCCPEC）”。1994年，美国、欧洲和加拿大共同研制了“信息技术安全评估的公共准则”。1996年，国际标准化组织（ISO）正式开始研究新一版本的信息技术安全评估公共准则。需要指出的是，上述所有准则的评估过程集中

13、在商业制造和支持一般运行的产品上，以满足政府和经办部门的需要。这些准则并不构成完全的计算机系统安全评价，而只是对计算机系统的安全提供批准或鉴定结果。在实际中，还要考虑系统所在环境的附加因素，比如：要求的操作方法、特殊用户、应用场合、数据敏感性、物理的和人员的安全、管理和过程的安全、通信安全等。美国国防部计算机安全中心提出的安全性评估要求有：安全策略：必须有一个明确的、确定的由系统实施的安全策略；识别：必须唯一而可靠地识别每个主体，以便检查主体/客体的访问请求；标记：必须给每个客体（目标）作一个“标号”，指明该客体的安全级别。这种结合必须做到对该目标进行访问请求时都能得到该标号以便进行对比；可检

14、查性：系统对影响安全的活动必须维持完全而安全的记录。这些活动包括系统新用户的引入、主体或客体的安全级别的分配和变化以及拒绝访问的企图；保障措施：系统必须含实施安全性的机制并能评价其有效性；连续的保护：实现安全性的机制必须受到保护以防止未经批准的改变。根据以上六条要求，“可信计算机系统评估准则”将计算机系统的安全性分为以下四个等级（A、B、C、D）八个级别：D级：D级是最低的安全保护等级。拥有这个级别的操作系统就像一个门户大开的房子，任何人可以自由进出，是完全不可信的。对于硬件来说，是没有任何保护措施，操作系统容易受到损害，没有系统访问限制和数据访问限制，任何人不需任何帐户就可以进入系统，不受任

15、何限制就可以访问他人的数据文件。这一级别只包含一个类别，它是那些已被评价，但不能满足较高级别要求的系统。属于这个级别的操作系统有：DOS、Windows、Apple的Macintosh System7.1。C级：C级有两个安全子级别：C1和C2。 C1级：又称选择性安全保护系统，它描述了一种典型的用在Unix系统上的安全级别。这种级别的系统对硬件有某种程度的保护，但硬件受到损害的可能性仍然存在。用户拥有注册帐号和口令，系统通过帐号和口令来识别用户是否合法，并决定用户对程序和信息拥有什么样的访问权。 这种访问权是指对文件和目标的访问权。文件的拥有者和超级用户（root）可以改动文件中的访问属性，

16、从而对不同的用户给予不同的访问权，例如，让文件拥有者有读、写和执行的权力，给同组用户读和执行的权力，而给其它用户以读的权力。另外，许多日常的管理工作由根用户（root）来完成，如创建新的组和新的用户。根用户（root）拥有很大的权力，所以它的口令一定要保存好，不要几个人共享。C1级保护的不足之处在于用户直接访问操纵系统的根用户。C1级不能控制进入系统的用户的访问级别，所以用户可以将系统中的数据任意移走，他们可以控制系统配置，获取比系统管理员允许的更高权限，如改变和控制用户名。 C2级：除了C1包含的特征外，C2级别还包含有访问控制环境。该环境具有进一步限制用户执行某些命令或访问某些文件的权限，

17、而且还加入了身份验证级别。另外，系统对发生的事件加以审计，并写入日志当中，如什么时候开机，哪个用户在什么时候从哪儿登录等等，这样通过查看日志，就可以发现入侵的痕迹，如多次登录失败，也可以大致推测出可能有人想强行闯入系统。审计可以记录下系统管理员执行的活动，审计还加有身份验证，这样就可以知道谁在执行这些命令。审核的缺点在于它需要额外的处理器时间和磁盘资源。 使用附加身份认证就可以让一个C2系统用户在不是根用户的情况下有权执行系统管理任务。 授权分级使系统管理员能够给用户分组，授予他们访问某些程序的权限或访问分级目录。 另一方面，用户权限可以以个人为单位授权用户对某一程序所在目录进行访问。如果其它

18、程序和数据也在同一目录下，那么用户也将自动得到访问这些信息的权限。 能够达到C2级的常见操作系统有:UNIX系统、XENIX、Novell3.x或更高版本、Windows NT。B级：B级中有三个子级别：B1级、B2级和B3级。 B1级：即，标志，安全保护。它是支持多级安全（比如秘密和绝密）的第一个级别，这个级别说明一个处于强制性访问控制之下的对象，系统不允许文件的拥有者改变其许可权限。拥有B1级安全措施的计算机系统， 随操作系统而定。政府机构和防御系统承包商们是B1级计算机系统的主要拥有者。 B2级：又叫做结构保护，要求计算机系统中所有的对象都加标签，而且给设备（磁盘，磁带和终端）分配单个或

19、多个安全级别。这是提出较高安全级别的对象与另一个较低安全级别的对象相通讯的第一个级别。 B3级：或称为安全区域保护。它使用安装硬件的方式来加强安全区域保护。例如，内存管理硬件用于保护安全区域免遭无授权访问或其它安全区域对象的修改。该级别要求用户通过一条可信任途径连接到系统上。A级：A级或验证设计是当前的最高级别，包括了一个严格的设计，控制和验证过程。与前面提到的各级别一样，这一级别包含了较低级别的所有特性。设计必须是从数学角度上经过验证的，而且必须进行秘密通道和可信任分布的分析。这里，可信任分布的含义是，硬件和软件在物理传输过程中已经受到保护，以防止破坏安全系统。在上述八个级别中，B1级和B2

20、级的级差最大，因为只有B2、B3和A级，才是真正的安全等级，它们至少经得起程度不同的严格测试和攻击。目前，我国普遍应用的计算机，其操作系统大都是引进国外的属于C1级和C2级产品。因此，开发我国自己的高级别的安全操作系统和数据库的任务迫在眉睫，当然其开发工作也是十分艰巨的。计算机操作系统的评价准则的建立不仅对于评价、监察已经运行的计算机系统的安全具有指导意义，而且对于研究、设计、制造和使用计算机系统，确保其安全性具有十分重要的意义。保密性的检测与评估保密性的评检测和评估涉及加密和破译两方面。加密和破译的技术能力都是在各自隐蔽的环境下进行技术对抗，因此，绝对的保密性评估是不实际的，保密评测只是一种

21、相对意义上的检测和评估。保密性可以分为两种情况：理论保密和实际保密。理论保密要求敌手绝对不可能从所获得或截取的信息中推导出任何有意义的消息。换句话说，不管破译者利用何种方法，使用何种先进的设备，他始终不能够精确地选出会话密钥。遗憾的是，在实际中，不可能存在理论保密的网络信息系统。实际保密建立在这样的假设之上，既，破译者可以获得足够多的信息来破译密码，并且可以通过一个给定的密码分析问题所需要的工作量来衡量，但是破译者的工作从时间或经济等方面来说是得不偿失的。实际保密的信息系统可以这样来实现：设计一种密码算法，使得即使是破译者掌握了特定的加密算法知识，并已经获得大量的选择密文/明文及其对应的明文/

22、密文的情况下，要求解出明文或密钥在计算上也是不可行的。网络信息系统的安全性评测所涉及的内容还有很多，比如：Internet安全评测、防火墙评测、服务器评测、病毒检测等。 B:建立完善的安全体系结构OSI安全服务 为了适应网络技术的发展，国际标准化组织ISO的计算机专业委员会根据开放系统互联参考模型OSI制定了一个网络安全体系结构，包括安全服务和安全机制。该模型主要解决对网络信息系统中的安全与保密问题。针对网络系统受到的威胁，OSI安全体系结构要求的安全服务是：对等实体鉴别服务。这种服务是在两个开放系统同等层中的实体建立连接和数据传送期间，为提供连接实体身份的鉴别而规定的一种服务。这种服务防止假

23、冒或重放以前的连接，也即防止伪造连接初始化这种类型的攻击。这种鉴别服务可以是单向的也可以是双向的。访问控制服务。这种服务可以防止未经授权的用户非法使用系统资源。这种服务不仅可以提供给单个用户，也可以提供给封闭的用户组中的所有用户。数据保密服务。这种服务的目的是保护网络中各系统之间交换的数据，防止因数据被截获而造成的泄密。包括以下内容：连接保密：即对某个连接上的所有用户数据提供保密。无连接保密：即对一个无连接的数据报的所有用户数据提供保密。选择字段保密：即对一个协议数据单元中的用户数据的一些经选择的字段提供保密。信息流安全：即对可能从观察信息流就能推导出的信息提供保密。数据完整性服务。这种服务用

24、来防止非法实体（用户）的主动攻击（如对正在交换的数据进行修改、插入，使数据延时以及丢失数据等），以保证数据接收方收到的信息与发送方发送的信息完全一致。具体提供的数据完整性服务有以下五种：可恢复的连接完整性：该服务对一个连接上的所有用户数据的完整性提供保障，而且对任何服务数据单元的修改、插入、删除或重放都可使之复原。无恢复的连接完整性：该服务除了不具备恢复功能之外，其余同前。选择字段的连接完整性：该服务提供在连接上传送的选择字段的完整性，并能确定所选字段是否已被修改、插入、删除或重放。无连接完整性：该服务提供单个无连接的数据单元的完整性，能确定收到的数据单元是否已被修改。选择字段无连接完整性：该

25、服务提供单个无连接数据单元中各个选择字段的完整性，能确定选择字段是否被修改。 数据源鉴别服务。这是某一层向上一层提供的服务，它用来确保数据是由合法实体发出的，它为上一层提供对数据源的对等实体进行鉴别，以防假冒。 禁止否认服务。这种服务用来防止发送数据方发送数据后否认自己发送过数据，或接收方接收数据后否认自己收到过数据。该服务由以下两种服务组成：不得否认发送：这种服务向数据接收者提供数据源的证据，从而可防止发送者否认发送过这个数据。不得否认接收：这种服务向数据发送者提供数据已交付给接收者的证据，因而接收者事后不能否认曾收到此数据。上面这两种服务实际是一种数字签名服务。OSI安全机制为了实现上述各

26、种OSI安全服务，ISO建议了以下八种安全机制：加密机制。加密是提供数据保密的最常用方法。按密钥类型划分，加密算法可分为对称密钥加密算法和非对称密钥两种；按密码体制分，可分为序列密码和分组密码算法两种。用加密的方法与其他技术相结合，可以提供数据的保密性和完整性。除了对话层不提供加密保护外，加密可在其他各层上进行。与加密机制伴随而来的是密钥管理机制。数字签名机制。数字签名是解决网络通信中特有的安全问题的有效方法。特别是针对通信双方发生争执时可能产生的如下安全问题：否认：发送者事后不承认自己发送过某份文件。伪造：接收者伪造一份文件，声称它发自发送者。冒充：网上的某个用户冒充另一个用户接收或发送信息

27、。篡改：接收者对收到的信息进行部分篡改。访问控制机制。访问控制是按事先确定的规则决定主体对客体的访问是否合法。当一个主体试图非法使用一个未经授权使用的客体时，该机制将拒绝这一企图，并附带向审计跟踪系统报告这一事件。审计跟踪系统将产生报警信号或形成部分追踪审计信息。数据完整性机制。数据完整性包括两种形式：一种是数据单元的完整性，另一种是数据单元序列的完整性。数据单元完整性包括两个过程，一个过程发生在发送实体，另一个过程发生在接收实体。保证数据完整性的一般方法是：发送实体在一个数据单元上加一个标记，这个标记是数据本身的函数，如一个分组校验，或密码校验函数，它本身是经过加密的。接收实体是一个对应的标

28、记，并将所产生的标记与接收的标记相比较，以确定在传输过程中数据是否被修改过。数据单元序列的完整性是要求数据编号的连续性和时间标记的正确性，以防止假冒、丢失、重发、插入或修改数据。交换鉴别机制。交换鉴别是以交换信息的方式来确认实体身份的机制。用于交换鉴别的技术有：口令：由发方实体提供，收方实体检测。密码技术：将交换的数据加密，只有合法用户才能解密，得出有意义的明文。在许多情况下，这种技术与下列技术一起使用：时间标记和同步时钟；双方或三方“握手”；数字签名和公证机构。利用实体的特征或所有权。常采用的技术是指纹识别和身份卡等。业务流量填充机制。这种机制主要是对抗非法者在线路上监听数据并对其进行流量和

29、流向分析。采用的方法一般由保密装置在无信息传输时，连续发出伪随机序列，使得非法者不知哪些是有用信息、哪些是无用信息。路由控制机制。在一个大型网络中，从源节点到目的节点可能有多条线路，有些线路可能是安全的，而另一些线路是不安全的。路由控制机制可使信息发送者选择特殊的路由，以保证数据安全。公证机制。在一个大型网络中，有许多节点或端节点。在使用这个网络时，并不是所有用户都是诚实的、可信的，同时也可能由于系统故障等原因使信息丢失、迟到等，这很可能引起责任问题，为了解决这个问题，就需要有一个各方都信任的实体公证机构，如同一个国家设立的公证机构一样，提供公证服务，仲裁出现的问题。一旦引入公证机制，通信双方

30、进行数据通信时必须经过这个机构来转换，以确保公证机构能得到必要的信息，供以后仲裁。网络信息安全系统的设计原则虽然任何人都不可能设计出绝对安全和保密的网络信息系统，但是，如果在设计之初就遵从一些合理的原则，那么相应网络信息系统的安全和保密就更加有保障。设计时不全面考虑，消极地将安全和保密措施寄托在事后“打补丁”的思路是相当危险的！从工程技术角度出发，在设计网络信息系统时，至少应该遵守以下设计原则：原则1：网络信息系统安全与保密的“木桶原则”：对信息均衡、全面地进行安全保护。“木桶的最大容积取决于最短的一块木板”。网络信息系统是一个复杂的计算机系统，它本身在物理上、操作上和管理上的种种漏洞构成了系

31、统的安全脆弱性，尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的是“最易渗透原则”，必然在系统中最薄弱的地方进行攻击。因此，充分、全面、完整地对系统的安全漏洞和安全威胁进行分析、评估和检测（包括模拟攻击），是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段；根本目标是提高整个系统的“安全最低点”的安全性能。 原则2：网络信息安全系统的“整体性原则”：安全防护、监测和应急恢复。没有百分之百的网络信息安全与保密，因此要求在网络发生被攻击、破坏事件的情况下，必须尽可能快地恢复网络信息中心的服务，减少损失。所以信息安全系统应该包括

32、三种机制：安全防护机制；安全监测机制；安全恢复机制。安全防护机制是根据具体系统存在的各种安全漏洞和安全威胁采取相应的防护措施，避免非法攻击的进行；安全监测机制是监测系统的运行情况，及时发现和制止对系统进行的各种攻击；安全恢复机制是在安全防护机制失效的情况下，进行应急处理和尽量、及时地恢复信息，减少攻击的破坏程度。 原则3：信息安全系统的“有效性与实用性”原则：不能影响系统的正常运行和合法用户的操作活动。不能影响系统的正常运行和合法用户的操作活动。网络中的信息安全和信息共享存在一个矛盾：一方面，为健全和弥补系统缺陷的漏洞，会采取多种技术手段和管理措施；另一方面，势必给系统的运行和用户的使用造成负

33、担和麻烦，尤其在网络环境下，实时性要求很高的业务不能容忍安全连接和安全处理造成的时延和数据扩张。如何在确保安全性的基础上，把安全处理的运算量减小或分摊，减少用户记忆、存储工作和安全服务器的存储量、计算量，应该是一个信息安全设计者主要解决的问题。 原则4：信息安全系统的“安全性评价”原则：实用安全性与用户需求和应用环境紧密相关。实用安全性与用户需求和应用环境紧密相关。除了并不实用的一次一密密码体制，所有的密码算法在理论上都是不安全的。因此，评价信息安全系统是否安全，没有绝对的评判标准和衡量指标，只能决定于系统的用户需求和具体的应用环境。取决于以下几个因素：1）系统的规模和范围（比如，局部性的中小

34、型网络和全国范围的大型网络对信息安全和保密的需求肯定是不同的）；2）系统的性质和信息的重要程度（比如，商业性的信息网络、电子金融性质的通信网络、行政公文性质的管理系统等等对安全与保密的需求也各不相同）。另外，具体的用户会根据实际应用提出一定的需求，比如，强调运算实时性或注重信息完整性和真实性等等。 原则5：信息安全系统的“等级性”原则：安全层次和安全级别良好的信息安全系统必然是分为不同级别的，包括：对信息保密程度分级（绝密、机密、秘密、普密）；对用户操作权限分级（面向个人及面向群组），对网络安全程度分级（安全子网和安全区域），对系统实现结构的分级（应用层、网络层、链路层等），从而针对不同级别的

35、安全对象，提供全面的、可选的的安全算法和安全体制，以满足网络中不同层次的各种实际需求。 原则6：信息安全系统的“动态化”原则：整个系统内尽可能引入更多的可变因素，并具有良好的扩展性如果加密信息在被破译之前就失去了保密的必要性，即使加密算法不是牢不可破或难以攻破的，被保护的信息也是安全的。因此，被加密信息的生存期越短、可变因素越多，系统的安全性能就越高，如周期性的更换口令和主密钥，安全传输采用一次性的会话密钥，动态选择和使用加密算法等。另一方面，各种密码攻击和破译手段是在不断发展的，用于破译运算的资源和设备性能也在迅速提高，因此，所谓的“安全”，也只是相对的和暂时的；不存在一劳永逸的信息安全系统

36、，应该可以根据攻击手段的发展进行相应的更新和升级。加密方案应力求实现信息加密的多层次、全局化，并充分考虑安全强度、网络带宽、速率、线路、节点等要求的提高，以及加密系统的维护与管理。加密系统要针对网络升级保留一定的冗余度，整个系统内尽可能引入更多的可变因素。原则7：设计为本原则：安全与保密系统的设计应与网络设计相结合，即在网络进行总体设计时考虑安全系统的设计，二者合二为一。避免因考虑不周，出了问题之后拆东墙补西墙，不仅造成经济上的巨大损失，而且也会对国家、集体和个人造成无法挽回的损失。由于安全与保密问题是一个相当复杂的问题，因此必须群策群力搞好设计，才能保证安全性。原则8：自主和可控性原则：网络

37、安全与保密问题关系着一个国家的主权和安全，所以网络安全产品不可能依赖于从国外进口，必须解决网络安全产品的自主权和自控权问题，建立我们自主的网络安全产品和产业。同时为了防止安全技术被不正当的用户使用，必须采取相应的措施对其进行控制，比如密钥托管技术等。原则9：权限分割、互相制约、最小化原则：在很多系统中都有一个系统超级用户或系统管理员，拥有对系统全部资源的存取和分配权，所以它的安全至关重要，如果不加以限制，有可能由于超级用户的恶意行为、口令泄密、偶然破坏等对系统造成不可估量的损失和破坏。因此有必要对系统超级用户的权限加以限制，实现权限最小化原则。管理权限交叉，有几个管理用户来动态地控制系统的管理

38、，实现互相制约。而对于非管理用户，即普通用户，则实现权限最小原则，不允许其进行非授权以外的操作。原则10：有的放矢、各取所需原则：安全无价，但是实际上网络系统的设计是受经费限制的。因此在考虑安全问题解决方案时必须考虑性能价格的平衡，而且不同的网络系统所要求的安全侧重点各不相同。例如国家政府首脑机关、国防部门计算机网络系统安全侧重于存取控制强度。金融部门侧重于身份认证、审计、网络容错等功能。交通、民航侧重于网络容错等。因此必须有的放矢，具体问题具体分析，把有限的经费花在刀刃上。以上设计原则可以在一定程度上对网络信息安全与保密系统的设计提供指导和参考。随着技术的进步和社会和发展，各种新的设计原则还

39、将会层出不穷。网络信息安全系统的设计和实现网络信息安全与保密系统的设计和实现可以分为安全体制、网络安全连接和网络安全传输三部分。安全体制包括：安全算法库、安全信息库和用户接口界面。 安全算法库包括：私钥算法库、公钥算法库、Hash函数库、密钥生成程序、随机数生成程序等等安全处理算法等； 安全信息库包括：用户口令和密钥、安全管理参数及权限、系统当前运行状态等等安全信息等； 用户接口界面包括：安全服务操作界面和安全信息管理界面等；网络安全连接包括安全协议和网络通信接口模块： 安全协议包括：安全连接协议、身份验证协议、密钥分配协议等； 网络通信接口模块根据安全协议实现安全连接。一般有两种方式实现：1

40、）安全服务和安全体制在应用层实现，经过安全处理后的加密信息送到网络层和数据链路层，进行透明的网络传输和交换，这种方式的优点是实现简单，不需要对现有系统做任何修改，用户投资数额较小；2）对现有的网络通信协议进行修改，在应用层和网络层之间加一个安全子层，实现安全处理和操作的自动性和透明性。 网络安全传输包括：网络安全管理系统、网络安全支撑系统和网络安全传输系统： 网络安全管理系统。安全管理系统安装于用户终端或网络节点上，是由若干可执行程序所组成的软件包，提供窗口化、交互化的“安全管理器”界面，由用户或网管人员配置、控制和管理数据信息的安全传输，兼容现有通信网络管理标准，实现安全功能； 网络安全支撑

41、系统。整个信息安全系统的可信方，是由网络安全管理人员维护和管理的安全设备和安全信息的总和。包括：1）密钥管理分配中心，负责身份密钥、公开钥和秘密钥等密钥的生成、分发、管理和销毁；2）认证鉴别中心，负责对数字签名等信息进行鉴别和裁决。网络安全支撑系统的物理和逻辑安全都是至关重要的，必须受到最严密和全面的保护。同时，也要防止管理人员内部的非法攻击和误操作，在必要的应用环境，可以引入秘密分享机制来解决这个问题。 网络安全传输系统。包括防火墙、安全控制、流量控制、路由选择、审计报警等。为了完成网络信息安全与保密系统的设计和实现，遵从适当的步骤肯定是有益的。以下是对设计和实现网络信息安全与保密系统所采取

42、的实施步骤的参考建议： 第一步：确定面临的各种攻击和风险。信息安全系统的设计和实现必须根据具体的系统和环境，考察、分析、评估、检测（包括模拟攻击）和确定系统存在的安全漏洞和安全威胁； 第二步：明确安全策略。安全策略是信息安全系统设计的目标和原则，是对应用系统完整的安全解决方案。安全策略要综合以下几方面优化确定： 系统整体安全性，由应用环境和用户需求决定，包括各个安全机制的子系统的安全目标和性能指标； 对原系统的运行造成的负荷和影响，如网络通信时延、数据扩展等； 便于网络管理人员进行控制、管理和配置； 可扩展的编程接口，便于更新和升级； 用户界面的友好性和使用方便性； 投资总额和工程时间等。 第

43、三步：建立安全模型。模型的建立可以使复杂的问题简化，更好的解决和安全策略有关的问题。安全模型包括信息安全系统的各个子系统。信息安全系统的设计和实现可以分为安全体制、网络安全连接和网络安全传输三部分。其中，安全体制包括：安全算法库、安全信息库和用户接口界面： 安全算法库。包括：私钥算法库、公钥算法库、Hash函数库、密钥生成程序、随机数生成程序等等安全处理算法； 安全信息库。包括：用户口令和密钥、安全管理参数及权限、系统当前运行状态等等安全信息； 用户接口界面。包括：安全服务操作界面和安全信息管理界面等；网络安全连接包括网络通信接口模块和安全协议： 安全协议。包括：安全连接协议、身份验证协议、密

44、钥分配协议等； 网络通信接口模块。网络通信模块根据安全协议实现安全连接。一般有两种方式实现：1）安全服务和安全体制在应用层实现，经过安全处理后的加密信息送到网络层和数据链路层，进行透明的网络传输和交换，这种方式的优点是实现简单，不需要对现有系统做任何修改，用户投资数额较小；2）对现有的网络通信协议进行修改，在应用层和网络层之间加一个安全子层，实现安全处理和操作的自动性和透明性。 网络安全传输包括：网络安全管理系统、网络安全支撑系统和网络安全传输系统： 网络安全管理系统。安全管理系统安装于用户终端或网络节点上，是由若干可执行程序所组成的软件包，提供窗口化、交互化的“安全管理器”界面，由用户或网管

45、人员配置、控制和管理数据信息的安全传输，兼容现有通信网络管理标准，实现安全功能； 网络安全支撑系统。整个信息安全系统的可信方，是由网络安全管理人员维护和管理的安全设备和安全信息的总和。包括：1）密钥管理分配中心，负责身份密钥、公开钥和秘密钥等密钥的生成、分发、管理和销毁；2）认证鉴别中心，负责对数字签名等信息进行鉴别和裁决。网络安全支撑系统的物理和逻辑安全都是至关重要的，必须受到最严密和全面的保护。同时，也要防止管理人员内部的非法攻击和误操作，在必要的应用环境，可以引入秘密分享机制来解决这个问题。网络安全传输系统。包括防火墙、安全控制、流量控制、路由选择、审计报警等。 第四步：选择并实现安全服

46、务。这是现代密码技术的具体应用，也是信息安全系统的安全性保障。安全服务可以通过软件编程或硬件芯片实现，在软件编程中应该注意解决内存管理、优化流程以提高程序运行的稳定性和运算时间。 第五步：将安全服务配置到具体协议里。安全体制和密码技术本身不能解决信息安全问题，必须在一个完整、全面、安全的安全协议里实现。安全协议是安全策略的最终实现形式，构成整个系统的安全环境。 C:制定严格的安全管理措施 安全管理既要保证网络用户和网络资源不被非法使用，又要保证网络管理系统本身不被未经授权的访问。网络安全管理的内容主要包括：网络实体的安全管理（保证计算机设备和传输设备的安全）和软件的安全管理（保证系统软件、通信

47、软件和应用软件的安全）。 网络信息系统的安全管理又可以分为技术管理和行政管理两个方面。技术管理主要有管理网络的安全和保密设备的管理与密钥的管理。行政管理主要指安全组织机构、责任和监督、业务运行安全和规章制度、人事安全管理、教育和奖惩、应急计划和措施等。管理网络的安全管理管理网络是一个有关网络维护、运营和管理信息的综合管理系统。它集高度自动化的信息收集、传输、处理和存储于一体，性能管理（主要是提供对设备的性能和网络单元的有效性进行评价，包括性能测试、性能分析和性能控制等，并提出评价报告）、故障管理（是对网络的运行和设备故障进行监测、隔离和校正的管理，包括告警监测、故障定位、故障修复和测试等，并提

48、出相应的报告）、配置管理（其功能包括对网络单元的配置、业务投入、网络状况、业务状况等进行管理、控制和安装，并提出相应的报告）、计费管理（它主要提供网络中各种业务的使用情况及费用，并提出相应的报告）和安全管理于一身。对于最大限度地利用网络资源，确保网络的安全具有重要意义。特别地，安全管理包括系统安全管理、安全服务管理、安全机制管理、安全事件处理管理、安全审计管理和安全恢复管理等内容。系统安全管理：这是一项综合管理，它依据一定的安全保密政策在各级网络中心建立不同等级的安全管理信息库。此信息库包含了系统所需的全部安全信息。这些安全信息可以是数据表格形式、文档形式、嵌在系统软件或硬件中的数据或规则等。系统安全