計算機網路安全現狀

⑴ 計算機網路安全存在的問題有哪些

計算機網路信息安全面臨的主要威脅有以下幾個：

• 黑客的惡意攻擊。

• 網路自身和管理存在欠缺。

• 軟體設計的漏洞或「後門」而產生的問題。

• 惡意網站設置的陷阱。

• 用戶網路內部工作人員的不良行為引起的安全問題。

• 那就還有人為的誤接收病毒文件也是有可能的。

⑵ 計算機網路安全的操作系統存在的安全問題

操作系統是作為一個支撐軟體，使得你的程序或別的應用系統在上面正常運行的一個環境。操作系統提供了很多的管理功能，主要是管理系統的軟體資源和硬體資源。操作系統軟體自身的不安全性，系統開發設計的不周而留下的破綻，都給網路安全留下隱患。
1）操作系統結構體系的缺陷。操作系統本身有內存管理、CPU 管理、外設的管理，每個管理都涉及到一些模塊或程序，如果在這些程序裡面存在問題，比如內存管理的問題，外部網路的一個連接過來，剛好連接一個有缺陷的模塊，可能出現的情況是，計算機系統會因此崩潰。所以，有些黑客往往是針對操作系統的不完善進行攻擊，使計算機系統，特別是伺服器系統立刻癱瘓。
2）操作系統支持在網路上傳送文件、載入或安裝程序，包括可執行文件，這些功能也會帶來不安全因素。網路很重要的一個功能就是文件傳輸功能，比如FTP，這些安裝程序經常會帶一些可執行文件，這些可執行文件都是人為編寫的程序，如果某個地方出現漏洞，那麼系統可能就會造成崩潰。像這些遠程調用、文件傳輸，如果生產廠家或個人在上面安裝間諜程序，那麼用戶的整個傳輸過程、使用過程都會被別人監視到，所有的這些傳輸文件、載入的程序、安裝的程序、執行文件，都可能給操作系統帶來安全的隱患。所以，建議盡量少使用一些來歷不明，或者無法證明它的安全性的軟體。
3）操作系統不安全的一個原因在於它可以創建進程，支持進程的遠程創建和激活，支持被創建的進程繼承創建的權利，這些機制提供了在遠端伺服器上安裝「間諜」軟體的條件。若將間諜軟體以打補丁的方式「打」在一個合法用戶上，特別是「打」在一個特權用戶上，黑客或間諜軟體就可以使系統進程與作業的監視程序監測不到它的存在。
4）操作系統有些守護進程，它是系統的一些進程，總是在等待某些事件的出現。所謂守護進程，比如說用戶有沒按鍵盤或滑鼠，或者別的一些處理。一些監控病毒的監控軟體也是守護進程，這些進程可能是好的，比如防病毒程序，一有病毒出現就會被撲捉到。但是有些進程是一些病毒，一碰到特定的情況，比如碰到7 月1 日，它就會把用戶的硬碟格式化，這些進程就是很危險的守護進程，平時它可能不起作用，可是在某些條件發生，比如7 月1 日，它才發生作用，如果操作系統有些守護進程被人破壞掉就會出現這種不安全的情況。
5）操作系統會提供一些遠程調用功能，所謂遠程調用就是一台計算機可以調用遠程一個大型伺服器裡面的一些程序，可以提交程序給遠程的伺服器執行，如telnet。遠程調用要經過很多的環節，中間的通訊環節可能會出現被人監控等安全的問題。
6）操作系統的後門和漏洞。後門程序是指那些繞過安全控制而獲取對程序或系統訪問權的程序方法。在軟體開發階段，程序員利用軟體的後門程序得以便利修改程序設計中的不足。一旦後門被黑客利用，或在發布軟體前沒有刪除後門程序，容易被黑客當成漏洞進行攻擊，造成信息泄密和丟失。此外，操作系統的無口令的入口，也是信息安全的一大隱患。
7） 盡管操作系統的漏洞可以通過版本的不斷升級來克服， 但是系統的某一個安全漏洞就會使得系統的所有安全控制毫無價值。當發現問題到升級這段時間，一個小小的漏洞就足以使你的整個網路癱瘓掉。
2.3 資料庫存儲的內容存在的安全問題
資料庫管理系統大量的信息存儲在各種各樣的資料庫裡面，包括我們上網看到的所有信息，資料庫主要考慮的是信息方便存儲、利用和管理，但在安全方面考慮的比較少。例如：授權用戶超出了訪問許可權進行數據的更改活動；非法用戶繞過安全內核，竊取信息。對於資料庫的安全而言，就是要保證數據的安全可靠和正確有效，即確保數據的安全性、完整性。數據的安全性是防止資料庫被破壞和非法的存取；資料庫的完整性是防止資料庫中存在不符合語義的數據。

⑶ 中國網路安全現狀

2021年7月20日，新浪科技發文稱iPhone手機存在安全隱患，Pegasus惡意軟體可能會入侵用戶的iPhone手機，竊取用戶的信息和郵件，甚至可以控制手機的麥克風和攝像頭，大數據時代用戶或無隱私可言。

實際上，我國對打擊大數據泄露安全事件有著強大的決心和執行力，在滴滴事件之後，國家網信辦依據《中華人民共和國國家安全法》《中華人民共和國網路安全法》《中華人民共和國數據安全法》等法律法規修訂了《網路安全審查好辦法》，向社會公開徵求意見，擬規定掌握超百萬用戶信息國外上市須審查。

由此可見，在我國互聯網高速發展的時代，用戶數據的監管變得越來越困難，此次網信辦修訂《網路安全審查辦法》凸顯了我國對收集隱私數據行為嚴厲打擊的決心。

網路安全行業主要企業：目前國內網路安全行業的主要企業有深信服(300454)、安恆信息(688023)、綠盟科技(300369)、啟明星辰(002439)、北信源(300352)等。

1、iPhone存在漏洞對用戶數據安全造成威脅

2021年7月20日，新浪科技發文稱iPhone存在漏洞，Pegasus惡意軟體在用戶不點擊鏈接的情況下也可以入侵用戶的手機，竊取信息和郵件，甚至可以操控用戶的攝像頭，此消息一出，網友大呼大數據時代無隱私可言，網路安全問題堪憂，實際上，在我國對網路安全問題有著強大的決心，滴滴事件之後，國家網信辦依據《中華人民共和國國家安全法》《中華人民共和國網路安全法》《中華人民共和國數據安全法》等法律法規修訂了《網路安全審查好辦法》，向社會公開徵求意見，擬規定掌握超百萬用戶信息國外上市須審查。

由此可見，在我國互聯網高速發展的時代，用戶數據的監管變得越來越困難，此次網信辦修訂《網路安全審查辦法》凸顯了我國對收集隱私數據行為嚴厲打擊的決心。

綜合來看，滴滴事件對國家數據安全層面敲起了警鍾，而iPhone此次網路安全漏洞問題針對個人數據安全問題敲響了警鈴，相信未來隨著我國網路安全相關法案的不斷完善，我國個人網路安全問題將得到有效的保護。

—— 以上數據參考前瞻產業研究院《中國網路安全行業發展前景預測與投資戰略規劃分析報告》

⑷ 為什麼現在還是存在網路安全問題呢

影響網路安全的因素很多，主要是黑客的襲擊和計算機病毒的傳遞。隨著我國社會經濟的發展，計算機網路也迅速普及，滲透到我們生活的方方面面。然而由於網路自身固有的脆弱和中國的網路信息技術起步比較晚使網路安全存在很多潛在的威脅。在當今這樣「數字經濟」的時代，網路安全顯得尤為重要，也受到人們越來越多的關注。

一般認為，目前網路存在的威脅主要表現在：

1、利用網路傳播病毒：通過網路傳播計算機病毒，其破壞性大大高於單機系統，而且用戶很難防範。

2、非授權訪問：沒有預先經過同意，就使用網路或計算機資源被看作非授權訪問，如有意避開系統訪問控制機制，對網路設備及資源進行非正常使用，或擅自擴大許可權，越權訪問信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網路系統進行違法操作、合法用戶以未授權方式進行操作等。

⑸ 目前計算機網路信息系統面臨的主要安全問題是什麼

鑫華傑教您網路系統的日常維護及管理

你真正的了解自家的電腦嗎？你真的了解網路維護與管理嗎？該文讓你明白什麼是網路維護與管理，讓你認識它，讓其成為你最親切的朋友！

網路設備的復雜性使網路管理變得越來越難。網路設備復雜有兩個含義，一是功能復雜；二是生產廠商多，產品規格多樣化。這種復雜性使得網路管理無法用傳統的手工方式完成，必須採用更先進的手段。網路系統的管理包括網路管理系統、網路管理協議、網路管理軟體等。

計算機網路管理系統 計算機網路管理系統就是管理網路的軟體系統。計算機網路管理就是收集網路中各個組成部分的靜態、動態地運行信息，在這些信息的條件下進行分析和做出對應的處理，用來保證網路安全、可靠、高效地運行，從而達到合理分配網路資源、動態配置網路負載，優化網路性能、減少網路維護費用的效果。總結，一個典型的網路管理系統包括四大要素：管理員、管理代理、管理信息資料庫、代理服務設備。

計算機網路管理協議 SNMP 是專門設計用在 IP 網路管理網路節點(伺服器、工作站、路由器、交換機及 HUBS 等)的一種標准協議，它也是一種應用層協議。 SNMP 讓網路管理員能夠管理網路效能，並且能迅速解決網路問題以及長期規劃網路增長。通過 SNMP 接收隨機消息及報告，網路管理系統可得知網路信息出現的問題。SNMP 管理的網路有三個主要組成部分:管理的設備、代理和網路管理系統。管理設備是一個網路節點，包含 SNMP 代理並處在管理網路之中。被管理的設備用於收集並儲存管理信息。通過 SNMP ， NMS 能得到這些信息。被管理設備，有時則被稱為網路單元。
防火牆技術哪家強？我舅服鑫華傑辦公
家裡的電腦常中病毒，到底是什麼原因呢？你真正的了解防火牆系統嗎？認識防火牆技術，讓你神速掌控自家電腦！

包過濾型產品
防火牆的初級產品,其技術依據是網路中的分包傳輸技術.網路上的數據都是以"包"為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址,目標地址,TCP/UDP源埠和目標埠等.防火牆通過讀取數據包中的地址信息來判斷這些"包"是否來自可信任的安全站點 ,一旦發現來自危險站點的數據包,防火牆便會將這些數據拒之門外.系統管理員也可以根據實際情況靈活制訂判斷規則。
網路地址轉換——nat
網路地址轉換——nat一種用於把IP地址轉換成臨時的,外部的,注冊的IP地址標准.它允許具有私有IP地址的內部網路訪問網際網路.它還意味著用戶不許要為其網路中每一台機器取得注冊的IP地址.在內部網路通過安全網卡訪問外部網路時,將產生一個映射記錄.系統將外出的源地址和源埠映射為一個偽裝的地址和埠,讓這個偽裝的地址和埠通過非安全網卡與外部網路連接,這樣對外就隱藏了真實的內部網路地址。
代理型防火牆
代理型防火牆也可以被稱為代理伺服器,它的安全性要高於包過濾型產品,並已經開始向應用層發展.代理伺服器位於客戶機與伺服器之間,完全阻擋了二者間的數據交流.從客戶機來看,代理伺服器相當於一台真正的伺服器;而從伺服器來看,代理伺服器又是一台真正的客戶機.當客戶機需要使用伺服器上的數據時,首先將數據請求發給代理伺服器,代理伺服器再根據這一請求向伺服器索取數據,然後再由代理伺服器將數據傳輸給客戶機。
由於外部系統與內部伺服器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網路系統.代理型防火牆的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基於應用層的侵入和病毒都十分有效.其缺點是對系統的整體性能有較大的影響,而且代理伺服器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。
監測型防火牆
監測型防火牆是新一代的產品,這一技術實際已經超越了最初的防火牆定義.監測型防火牆能夠對各層的數據進行主動的,實時的監測,在對這些數據加以分析的基礎上,監測型防火牆能夠有效地判斷出各層中的非法侵入.同時,這種檢測型防火牆產品一般還帶有分布式探測器,這些探測器安置在各種應用伺服器和其他網路的節點之中,不僅能夠檢測來自網路外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用.據權威機構統計,在針對網路系統的攻擊中,有相當比例的攻擊來自網路內部.因此,監測型防火牆不僅超越了傳統防火牆的定義,而且在安全性上也超越了前兩代產品。

⑹ 計算機網路技術的現狀及發展趨勢

這些年來中國信息技術的變革也是全球信息產業變革調整的一個重要的組成部分。20世紀90年代是全球電信和IT產業迅速發展的時期，這一發展過程實際上遠遠超過了當時國民經濟和社會進步的整體速度。結果是中國電信網路的發展非常普及，現在電話的用戶數（包括行動電話）超過了5億戶。從全球來講，美國電信產業從1984年AT＆T分解之後開始產生了巨大的變革，美國的迅速發展導致電信設備的研製、電信網路的建設已經遠遠超過了當時信息應用的消耗量，使網路設備和網路基礎設施大量過剩，直接的結果是導致大量的電信公司陷入了破產或經營不善的境地。

在我國可看到這樣幾個趨勢：一個就是電視、計算機和其他消費家電的融合以及信息技術與通信領域技術的融合，使傳統通信領域的游戲規則和競爭格局發生了根本的改變。我們國家已經由原來以中國電信一家獨大的狀態演變成幾家大運營商在網路運營方面共同競爭的狀態，在信息服務方面有多家信息服務提供運營商在進行全方位的競爭；產業間融合的趨勢正逐步加快，創造了更多的產業發展機會，產業融合使整個消費電子類產品已經成為各個企業爭奪非常集中的焦點，如智能手機、數字電視、移動電視和數碼產品等。剛才我談到了美國、英國等一些國家，如沃達豐、BT等，因在電信方面過分的投入，以及後來在管治政策方面出現嚴重問題，主要是在移動牌照拍賣方面導致企業負擔沉重，使得這些電信運營企業不得不低價變賣他們的通信網路。這反過來給了中國、日本、韓國這些後發展起來的IT大國很好的機會。最近中國網通集團收購了環球亞洲電訊的整體網路，中國運營商不僅僅在國內提供電信服務，也在立足於面向未來，逐步開始向全球提供電信服務和網路接入服務，這也是一個很好的趨勢。從信息技術來講，全球的IT製造業逐步向中國轉化，一個是由於中國有廉價的勞動力，再一個就是近些年中國工人的水平和整個IT技術水平的迅速提高，使得中國作為全球IT製造業基地的形象正逐步地確立起來。從IT業市場來講，中國已經成為全球最大的IT產業市場，吸引全世界的設備製造商、終端製造商、技術的研發機構將關注的焦點放到了中國地區。新技術的應用在中國取得了快速的增長，如大家普遍使用的快閃記憶體只用了兩年時間就迅速應用起來。還有象QQ，QQ實際上是廣東電信的一個課題組研究的一個小項目——即時通信，去年已經突破了5個億的收入，在互聯網上產生的巨大的影響。

在面向全球的信息技術產業變革和調整的過程當中，中國信息產業保持比較理性和穩健的步伐，使中國電信運營商在全球動盪的情況下保持了持續的增長。中國互聯網信息服務提供商在全球IT產業陷入冰河期的時候僅僅經過一年多的時間就已經開始從谷底走出來，進入一個春天。中國設備製造商在全球IT業不景氣的情況下，能夠迅速抓住時機，現在在互聯網的高、中、低端設備方面擁有了自主知識產權的產品，為我們下一步的發展確立了很好的基礎和地位。另外，中國這幾年網路設備的快速增長，包括終端市場，在今後一兩年內還會保持持續增長，而且這種持續是受前幾年增長的帶動。在前不久我們有一個分析，在今年年底明年年初，中國網民將近達到一個億。這第一個一個億是比較容易實現的，達到二個億就比較難了。這就需要城市的應用、互聯網的應用、IT技術的應用以及網路與大家的工作生活結合起來成為大家必不可少的一部分時才有可能達到。在達到第二個億之後，要達到第三個或第四個億就非常費勁。因為從整體上來講，國民收入、國民經濟的整體發展水平必須達到相適應的一個地步，互聯網的發展依託於國民經濟的整體發展水平，而我們現在實際上是超前於國民經濟發展。從未來來看，我們應該很清楚，當網民數量達到第三個億或第四個億，當網路運營商建設網路規模時，互聯網的發展也會受到國民經濟整體發展水平的影響。現在建設的IPv4的網路僅僅是中國電信在國內的帶寬總量就超過了2500個G，這是一個非常大的數量，上面可承載的信息內容和可以為公眾提供的服務是非常大的。2500個G的概念是如果家庭上網使用專用1兆的帶寬，那麼它可為2500萬用戶提供服務。實際上大家使用的都是共享帶寬，而且日常家庭上網的基本功用已經基本滿足大家的使用。在2005、2006年之後，IPv4網路建設的速度也將放緩。同時大家可以看到，IPv6的建設正在逐步展開，幾大運營商，包括教育網、科技網等等都已經參與到IPv6實驗網的建設當中去。隨著實驗的進行，商用實驗網將很快推出，按照中國電信、網通、移動這幾大運營商習慣來看，推出的速度會非常快。我們初步估計在2010年前後，IPv6將占據國內互聯網的主流。同時大家應該看到IPv4不會退出這個市場，在相當長的一個時期內兩種制式都會保留。因為在網路設備上，IP v4、IPv6雙棧路由器已經非常普遍，高端路由器的開發已經非常成熟，因此使用IPv6不會影響IPv4業務的開展。

我們返回來看，10年來中國互聯網的發展成績巨大、輝煌。互聯網給中國的老百姓提供了一個了解世界的信息平台，在這個信息平台上，由中國的網民、中國的老百姓自己去選擇了解什麼東西。在傳統上，我們所接受的信息從報紙、廣播、電視到互相交流所得到信息都是單向式的。從幾千年的傳統觀念來講，大家接受信息的模式是大家很關注、很相信、很接受自上而下的信息傳遞方式。但互聯網的出現使人們具有一個平等的平面的獲取信息的渠道，獲取信息又使人們認識到什麼是信息，哪些信息是自己所需要的。同時人們獲取信息時會發現在發布信息、獲取信息過程當中自己應該擁有的權力，進而人們發現了自己在社會當中應該擁有的權力。我覺得這是互聯網對中國社會和普通老百姓在思維、意識和創新的觀念上帶來的巨大改變。現在大家以平常心態看待網上出現的QQ、ICQ或網上社區，而在10年前我們看待這些新鮮事務的時候首先要看這些是不是政府認可的或者是不是大家的公共觀念可以接受的。現在，我們對於創新的想法，對於創新的意識和觀念與以往具有本質的不同。網路給予大家一種在網上平等交流、平等溝通、平等獲取信息的權力，而這種權力是以往任何一種媒體不具備的，也不能夠給予中國老百姓的。它從根本上改變了中國人幾千年根深蒂固的封建意識帶給大家的思維定勢。互聯網的發展真正能夠使中國13億人的智慧為中國的未來發展創造出無窮的力量。這種平等的平台為大家提供了實現的機會。

同時我們應該看到互聯網的迅速發展帶來許多問題。我們在網路資源方面非常緊張，只有5000萬的資源，卻有將近1個億的用戶。通過向APNIC、Verisign申請，我們已經與Verisign公司達成協議，將Verisign的一個伺服器移至中國境內，這對於我們國內互聯網的互通具有十分重要的意義。

在互聯網的資源、互聯網市場經營模式、管理方面、業務規范、上網行為規范等方面都存在一些問題。我們國內的從業者在互聯網的發展過程中在不斷地探索如何找到適合自己的經營模式，如何找到適合自己發展的生存方式。在前不久的互聯網大會上，各方面的專家和業界的精英與領袖們都在這方面進行針鋒相對的探索，在網上也有熱烈的反映。另一方面，政府制訂信息網路化發展的政策也是一個逐步探索逐步成熟的過程。我們很早就明確了「積極發展、加強管理、趨利避害、為我所用」這樣一個方針，但在具體執行過程中，網上的許多業務仍然存在主管部門的職能交叉、分工不清的問題，也導致網路發展和管理當中出現了一些問題，這也是政府從國家整體戰略上對互聯網管理和互聯網發展逐步思索、探索得越來越清楚的過程。在制定政策、法規、行為規范方面會有更加成熟、寬松和適合網路發展的政策和措施出台。

網路安全方面的問題應該是非常嚴重的，黑客攻擊行為、網上盜竊、網上欺詐、網路病毒這些問題非常多。網路運營商的經營已經形成了大家比較固定的觀念，比較有保障。但信息服務提供商盈利模式相對來說比較單調，這會影響他們長期的發展和服務的提供。網上的垃圾信息和有害信息還比較多。今年6月10日，我們開通了中國互聯網協會的新聞信息服務工作委員會，開通了違法和不良信息的舉報中心網站。網站開通之後，全社會產生了積極的響應，我們及時向相關政府主管部門匯報了情況，十幾個部委聯合採取了對於網上不良信息尤其色情網站色情信息的治理。這適應了社會公眾和網民的需要，也是社會共同的呼聲。協會對反垃圾郵件也開展了工作，包括推動政府立法、組織技術交流、加強國際合作。在7月初我們有一個統計，全球垃圾郵件的頭號輸出國是美國，它的垃圾郵件數量佔73%到74%；全球垃圾郵件伺服器頭號大國是中國，因為用戶收到垃圾郵件當中74%是從中國的郵件伺服器傳遞給他們的。我昨天剛剛得到一個統計數字，經過政府、企業和行業組織的治理，垃圾郵件伺服器頭號大國已經不是中國而是韓國了，韓國已經佔到全球垃圾郵件伺服器的47%，中國已從73%、74%下降到31%。這是政府、業內、行業組織採取了大量的行動之後取得了一定的成果，尤其是省及市、縣級的相關部門對伺服器和IDC機房進行檢查之後取得了成效。

現在中文信息資源還存在很大不足。前兩年曾有一個口號，是某家公司做過廣告——「到2007年中文將成為網上第一大語言」，而現在網上中文信息資源只佔全球3%，即使每年翻倍，到2007年也達不到目標。我們希望國內信息服務提供商、信息資源的開發者加快信息資源開發，不論是從網上信息陣地的佔領、為下一代青少年服務、提供網路業務等諸多角度來講，我們現在必須加快信息資源的開發與利用，尤其是網路科普聯盟組織的青少年健康網路行活動中介紹的網上博物館、網上圖書館等這類網上應用。將來要加大投入，加大在這方面的開發，一方面要通過違法不良信息舉報制止有害信息對青少年成長中的侵蝕，另一方面也要向他們提供有益的健康的信息，讓他們在成長過程中獲得有益的知識，這樣互聯網才能得到健康的發展。

網上行為也要逐步地進行規范。美國這種網上自由、無管理、無法律的觀念還是深入人心的，深入全球的，大家曾認為互聯網上的任何行為就不應該受到任何規范，不應該有管理。現在出現的問題使大家越來越多地意識到確實需要對網上行為進行規范和管理。網上行為同樣應該遵守現實生活中的道德規范，同樣應該受現實社會規則的約束，網上出現的網路濫用行為是利用了網上的優良特質，從業者、行業組織、政府還需要採取進一步的行動。我們在9月2日公布了中國互聯網協會的互聯網公共電子郵件服務規范，可以說這是國內乃至全世界第一個在互聯網應用方面提出的從業規范。我們與國際上也進行了多次溝通，電子郵件雖然是最普及的應用，但解決垃圾郵件問題非常復雜，涉及到網路的管理、技術、規范。美國在今年1月1日公布了反垃圾郵件法案之後，垃圾郵件反而以每月2%的比率持續上漲，這說明沒有同業的積極參與和各個方面的積極支持配合，僅靠法律是不能解決這些問題的。所以我們公布的電子郵件規范力圖在互聯網的應用服務領域立下第一個規矩，供應商清楚電子郵件服務應有質量和保證；用戶在享受電子郵件服務時，不論是收費的還是免費的，了解自己的義務和權力，使大家能夠在這方面建立起規范的意識。現已有14家企業書面明確表示他們自願參與和遵守服務規范，這些企業提供服務的用戶數已經佔到了國內電子郵件注冊用戶數的80%以上，這件事情還要持續深入地推進下去。電子郵件服務規范是一個起步，我們還會在互聯網上的其它各個方面逐步規范服務，讓互聯網用戶相信網上提供的服務是可以信賴的，使互聯網不再是家長的敵人。在網路變得可信和讓人放心之後，家長和老師才能放心讓孩子自由地在網上沖浪。

網路濫用行為已經是全球化的一個趨勢。現在已形成國際垃圾郵件發送者組織，由垃圾郵件的製造者、訂單採集者、他的合夥人一起通過這種方式將垃圾郵件發送給世界各地，規避各國已經制訂的反垃圾郵件法律。例如，他們從美國接受全球訂單，搜集整理電子郵件地址，再發到加拿大中介人那裡，由中介人分配訂單並制訂結算辦法，中介人再把訂單發到中國或韓國，由他的合作者或代理人通過在國內注冊的大量域名和虛擬主機轉發垃圾郵件回美國。轉發回美國的目的就是為了規避美國國內已經制訂的法律。垃圾郵件僅僅是其中的一個問題，網上的濫用行為使互聯網上全球化和國際性的犯罪組織正逐步形成。所以在這個階段我們要在反對網上濫用行為的立法、管理和政策等一系列方面加快採取措施。隨著垃圾郵件的出現，又出現了一些反垃圾郵件組織，他們公布黑名單，試圖把垃圾郵件擋在自己的郵箱用戶之外，但由於公布黑名單在全球沒有形成一個統一的規范和基本規則，所以公布的黑名單在很多情況下是公布了大量的IP地址段。中國互聯網協會也在公布黑名單，是哪一個地址發了垃圾郵件就公布哪一個地址。而Spamhaus和Spamcop這些組織公布的黑名單是一段一段的地址段，這些地址段中有可能包括128個、256個甚至幾萬個中國的IP地址，他認為在這些IP地址段中有一些相連的地址發出了垃圾郵件，所以整個地址段都被當作是垃圾郵件的發送源。全世界幾十萬個郵件服務商就會根據他公布的IP地址把中國這個地址段的信息全部屏蔽掉。在這個網段上我們確實有個別用戶，比如幾個或十幾個用戶發送了垃圾郵件，其結果是導致這個網段上幾十萬甚至上百萬用戶正常的郵件通信被中斷。所以我們既要制定反垃圾郵件的政策，又要向國際呼籲和反復溝通，反對公布地址段的辦法。因為在地址資源分配時對中國就不公平，我們有大量的動態IP地址在使用，這不僅僅是對中國，對發展中國家都是不公平的。七月份我們參與ITU會議時，尚比亞代表站起來就說反對垃圾郵件的行為我們支持，但是現在出現發達國家向發展中國家轉嫁垃圾郵件的問題。尚比亞全國的IP地址已經全部被列入黑名單，它所有的對外通信已經全部被阻斷了。發達國家有很充足的IP地址，它並不擔心某一地址段有問題，而且它很少使用動態IP。只有IP地址不充足的國家才面臨這些問題，這不公平也不公正。互聯網上盡管有很多好的東西，但是有許多東西是大家平常不會遇到的，背後是國與國之間經濟利益、各個方面利益的沖突。

未來比較明顯的趨勢是寬頻業務和各種移動終端的普及，如可照相手機越來越多，實際上這對網路帶寬和頻譜產生了巨大的需求。整個寬頻的建設和應用將進一步推動網路的整體發展。IPv6和網格等下一代互聯網技術的研發和建設將在今後取得比較明顯的進展。另一方面，從去年我們組織「中國互聯網發展報告」的過程中看到，中國互聯網的製造業在網路設備方面的研發已經取得了很多突破，包括現在在高、中、低端路同器產品方面都已經有具有自主知識產權的產品出現。我們現在有許多郵件服務商、技術提供商在網路標准方面進行積極的研究和開發。這個方面是我們在國際方面要加強的內容。另一方面是互聯網和傳統產業更加緊密地結合起來，這種結合隨著電子政務的普及、隨著相關法律措施的完善，象前一段時間通過的電子簽名法，逐步使得電子商務真正能夠在建立了社會信用機制的基礎之上開展起來。大量電子社區的出現也使互聯網的應用也越來越廣泛。互聯網經營和生存的模式也將更加豐富。互聯網產業的從業者以今後的發展具有堅定的信息。從以往看，大家在網上更多的是瀏覽信息、使用電子郵件、玩網路游戲，把互聯網更多地當作自己的一個高級的信息技術玩具，隨著互聯網的發展，玩具能夠變成工具，成為人們日常生活、工作離不開的工具。電子政務的推進會推動這樣一個進程。網路服務會逐步規范化，這個規范是一個長期的過程，不是一兩天就能實現的，也不是政府下達文件指令或行業組織號召一下就能實現的，它需要從業者的認識，當大家都意識到，當大家都規范起來並能夠在這個產業里很好地生存時，這個規范才有實際的價值。網路的應用也更加開放，這個開放指的是各個方面，包括社會事務方面，有許多政府網站已經將其事務到網站上去，如徵求意見、地方基層選舉等，這些使網路的應用更加開放和多樣化。盡管對網路安全技術的研究越來越深入，但是網路自身的特點，即它的簡單性、便宜性，使得它的安全問題仍然很突出。尤其是IPv6出現以後，它的安全性、服務質量會有更大提高，在將來一段時間針對IPv6的網路安全問題也會出現。我們希望網路信息要人為本，尤其是今年互聯網大會的一個主題是構建一個繁榮誠信的互聯網，互聯網做為一個信息平台它的用戶主流50%以上是30歲以下青少年，那麼為青少年建設的網路應該是一個可信、健康的網路，它應該成為青少年成長過程中的朋友和助手。科普網站和提供精神食糧信息資源開發的單位在這方面還要做大量的工作。希望學校老師、家長成為應用互聯網的行家裡手，不應該害怕使用互聯網。現在孩子對互聯網的使用要比家長熟練，這也是家長不讓孩子上網的一個重要原因。我們希望將來家長了解哪些網站對孩子是有益的，能夠指導他們瀏覽什麼樣的網站。這樣，學校老師和家長對互聯網學習將成為熱潮。PFP業務將來對網路結構和網路安全會產生重大影響，這是互聯網技術開發和政策管制部門所關心的。網路教育將是下一個互聯網業務的熱點問題，網路搜索，大容量電子郵件，電子商務平台，移動互聯網，無線區域網，網路資源信息開發等業務都將成為互聯網業務的熱點問題。功能比較強大的個人終端以及共享信息資源這些將來會出現。
參考資料：http://www.kepu629.cn/showthread.asp?id=49&thistype=%D1%A7%CA%F5%BD%BB%C1%F7

⑺ 為什麼網路安全問題越來越嚴重

一、 影響我國計算機網路安全的主要原因
「計算機安全」被計算機網路安全國際標准化組織（ISO）將定義為：「為數據處理系統建立和採取的技術和管理的安全保護，保護計算機硬體、軟體數據不因偶然和惡意的原因而遭到破壞、更改和泄漏」。影響我國計算機網路安全的原因，可以分為兩個方面來看，網路自身的原因導致的計算機網路安全問題，主要有以下的因素。
（1）系統的安全存在漏洞所謂系統漏洞，用專業術語可以這樣解釋，是指應用軟體或操作系統軟體在邏輯設計上的缺陷或在編寫時產生的錯誤，這個缺陷或錯誤一旦被不法者或者電腦黑客利用，通過植入木馬、病毒等方式可以達到攻擊或控制整個電腦，從而竊取您電腦中的數據，信息資料，甚至破壞您的系統。而每一個系統都並不是完美無缺的，沒有任何一個系統可以避免系統漏洞的存在，事實上，要修補系統漏洞也是十分困難的事情。漏洞會影響到的范圍很大，他會影響到包括系統本身及其支撐軟體，網路客戶和伺服器軟體，網路路由器和安全防火牆等。也就是說在這些不同的軟硬體設備中都會存在不同的安全漏洞。
（2）來自內部網用戶的安全威脅內網就是區域網，它是以NAT（網路地址轉換）協議，通過一個公共的網關訪問Internet。如果將內部網和外部網相比較，來自內部網用戶的威脅要遠遠大於外部網用戶的威脅，這是由於內部網用戶在使用中缺乏安全意識，例如移動存儲介質的無序管理、使用盜版軟體等，都是內網所存在的網路安全的隱患。

（3）缺乏有效的手段監視網路安全評估系統所謂網路安全評估系統，用比較通俗易懂的話來說，就是對網路進行檢查，看是否有會被黑客利用的漏洞。因此如果不經常運用安全評估系統，對其進行相應的檢查和作出修補，就會造成數據信息資料的外泄。
（4）安全工具更新過慢安全工具指的是保護系統正常運行，並且有效防止數據、資料信息外泄的工具。由於技術在不斷的進步，黑客的技術也在不斷的提升，如果安全工具更新過慢，黑客就會利用新的技術，對其系統存在的漏洞導致一些未知的安全隱患。
由於中國的計算機星期並且廣泛的被使用是近20多年的事情，因而在這么快速的不可遏制的發展趨勢下，還沒有來得及形成一整套比較完整的法律法規。這就為許多的不法分子對於信息的盜取提供了可趁之機，也就留下了許多的隱患。
二、 網路安全問題
（1）網路系統運行的安全問題
隨著 1995 年以來多個上網工程的全面啟動，我國各級政府、企事業單位、網路公司、銀行系統等陸續設立自己的網站，電子商務也正以前所未有的速度迅速發展，但相應的網路安全的投入與建設明顯滯後，許多應用系統安全防護能力低或處於不設防狀態，存在著極大的信息安全風險和隱患。 此外，目前絕大部分的互聯網訪問流量都來自互聯網數據中心（Internet data center，簡稱IDC），因此加強數據中心的安全就顯得特別的重要。從以前出現的網路安全案例來看，這方面是國內網路安全的關鍵問題之一。
（2）互聯網信息發布和管理中存在的問題
在2000年12 月28日全國人大通過的《關於維護互聯網安全的決定》中，對於網路安全作出了詳細的規定，而在日常工作中，有些單位和個人並沒有嚴格按照規定來執行，把一些不應該在網上公布的信息在網上公布了，實際工作中缺少詳細的操作規程和管理規章。

從近期我國發生的安全攻擊事件來看，有很多是因為內部人員的疏忽大意。因此，不管是在互聯網上發布信息的單位，還是提供互聯網信息服務的機構，很有必要加強內部的安全體系，尤其是對於系統管理和維護的人員，提高技術水平和安全意識就尤為重要了。
（3）基礎信息產業嚴重依靠國外帶來的安全問題
我國的信息化建設還基本上依靠國外技術設備。當外國網路安全公司大舉推銷安全產品時，我們是在相對缺乏知識和經驗的情況下引進的，難免出現了花錢買淘汰技術和不成熟技術的現象。
在計算機軟硬體的生產領域，我們在關鍵部位和環節上受制於人，計算機硬體中許多核心部件（特別是CPU）都是外國廠商製造的；計算機軟體也面臨市場壟斷和價格歧視的威脅，國外廠商幾乎壟斷了我國計算機軟體市場。
從信息安全的角度來講，對國外技術的過於依賴存在安全方面的隱患，如果不擺脫這方面的困境，是不能從根本上解決我們的信息和網路安全問題的。
（4）全社會的信息安全意識淡薄
有些人對於我國目前網路安全的現狀沒有客觀清醒的認識，少數人認為我國信息化程度不高，互聯網用戶的數量也不多，信息安全的問題現在還不嚴重，這種錯誤的認識已經成為我國網路安全的嚴重隱患。 另外，我國的信息安全領域在研究開發、產業發展、人才培養、隊伍建設等方面和迅速發展的 IT 業形勢極不適應，目前這方面還僅僅作為信息化的研究分支立項，投入很少，這種狀況下，國內和國外差距正在越來越大。
對於互聯網用戶而言，應該對目前互聯網用戶系統存在的安全隱患有明確的認識，在安裝操作系統和應用軟體時及時對安全漏洞進行掃描並加以修補。
以上的問題已經明擺在我們面前，並且影響和威脅著互聯網的正常發展，如果不能得到及時解決，在激烈的信息爭奪和網路信息大戰中我們就會處於被動和弱勢。
三、 保證我國計算機網路安全的對策
（1）建立安全管理機構。計算機網路安全系統其自身是脆弱並且存在漏洞的，但是要避免其數據資料的外泄，也並不是無計可施，比如建立安全管理機構，就可以有效的防止由於系統漏洞所帶來的不良後果。使黑客沒有下手的可能。
（2）安裝必要的安全軟體，並及時更新。安裝必要的殺毒軟體，可以保證在遇到黑客攻擊或者是有不良病毒入侵的時候，及時的隔離或者提醒用戶，防止惡意不法分子對重要信息的竊取和訪問，或者因此而帶來的關於電腦的癱瘓。
（3）網路系統備份和恢復。網路系統備份是指對於重要的資料和核心數據進行備份，以保證當計算機遭遇了黑客攻擊，還可以通過系統快速的恢復相關資料。這是使用計算機應該養成的一個良好的習慣。
（4）完善相應的法律規章制度。在技術上做到防止其信息安全可能發生的同時，也應該在管理上做出相應的對策，對其建立完整，行之有效的一個制度，以保證能夠在技術和管理上相得益彰的保證網路信息的安全。2.5加強職業道德教育不管是建立安全管理機構還是安裝安全軟體或者資料備份，這些並不是解決網路安全的根本方法。而只有加強計算機從業者進行道德教育，培訓，增強他們的安全意識，並且對於青年人進行必要的網路安全知識的素質教育，才能做到比較切實的防患。
四、 總結
近年來，我國計算機的運用普及，以及在數字經濟時代所作出的推動作用，網路安全也受到大家的關注。本文簡單分析了我國計算機網路安全問題並提出了相應的對策。總之網路安全並不是一個簡單的技術問題，還涉及到管理的方面。在日益發展的技術時代，網路安全技術也會不斷的進步和發展。

⑻ 計算機安全發展現狀

隨著網路技術的迅速發展和網路應用的廣泛普及,網路安全問題日益突出。如何對網路
上的非法行為進行主動防禦和有效抑制,是當今亟待解決的重要問題。本期專題就計算機網
絡安全研究的現狀、發展動態以及相關的理論進行了論述,並介紹了幾種計算機安全模型及
開發方法。

1.開放式互聯網路的安全問題研究 本文介紹了計算機安全研究的現狀和發展動態,並對
公鑰密碼體制和OSI的安全體系結構進行了詳細的分析。

2.計算機安全模型介紹 存取控制模型和信息流模型是計算機安全模型的兩大主流,作者
在文章中對此分別做了介紹。

3.計算機安全策略模型的開發方法 本文涉及兩類安全模型的開發方法,即函數型方法和
關系型方法,文中詳細敘述了這兩類開發方法中的狀態機模型與邊界流方法開發的具體步驟
。

4.Internet上防火牆的實現 目前,防火牆已成為實現網路安全策略最有效的工具之一。
防火牆的體系結構是什麼?防火牆有幾種類型?作者將在文章中做介紹。開放式互聯網路的安
全問題研究
上海交通大學金橋網路工程中心 余巍 唐冶文 白英彩

一、開放系統對安全的需求
當前,我國正處在Internet的應用熱潮中,隨著國民經濟信息化的推進,人們對現代信息
系統的應用投入了更多的關注。人們在享受網路所提供的各種好處的同時,還必須考慮如何
對待網上日益泛濫的信息垃圾和非法行為,必須研究如何解決Internet上的安全問題。
眾所周知,利用廣泛開放的物理網路環境進行全球通信已成為時代發展的趨勢。但是,如
何在一個開放的物理環境中構造一個封閉的邏輯環境來滿足集團或個人的實際需要,已成為
必須考慮的現實問題。開放性的系統常常由於節點分散、難於管理等特點而易受到攻擊和蒙
受不法操作帶來的損失,若沒有安全保障,則系統的開放性會帶來災難性的後果。
開放和安全本身是一對矛盾,如何進行協調,已成為我們日益關心的問題。因此,必須對
開放系統的安全性進行深入和自主的研究,理清實現開放系統的安全性所涉及的關鍵技術環
節,並掌握設計和實現開放系統的安全性的方案和措施。

二、計算機安全概論
在現實社會中會遇到各種威脅,這些威脅來自各方面,有些是由於我們自身的失誤而產生
的,有些是各種設施和設備失常而造成的,也有一些是由各種自然災害引起的。這些危害的一
個共同特點是"被動的",或者說是帶有偶然性的,它不屬於本文所要研究的范疇。最危險的威
脅是"主動的"。所謂"主動威脅"是指人故意做出的,這些人出於各種各樣的目的,他們的目標
就是要使對手蒙受損失,自己獲得利益。 計算機安全包括:
·計算機實體的安全 如計算機機房的物理條件及設施的安全標准、計算機硬體的安裝
及配置等。
·軟體安全 如保護系統軟體與應用軟體不被非法復制、不受病毒的侵害等 。
·計算機的數據安全 如網路信息的數據安全、資料庫系統的安全。
·計算機的運行安全 如運行時突發事件的安全處理等。包括計算機安全技術、計算機
安全管理和計算機安全評價等內容。
對於計算機網路的安全問題,一方面,計算機網路具有資源的共享性,提高了系統的可靠
性,通過分散負荷,提高了工作效率,並具有可擴充性;另一方面,正是由於這些特點,而增加了
網路的脆弱性和復雜性。資源的共享和分布增加了網路受攻擊的可能性。現在的網路不僅有
區域網(LAN),還有跨地域採用網橋(Bridge)、網關(Gateway)設備、數據機、各種公用
或專用的交換機及各種通信設備,通過網路擴充和異網互聯而形成的廣域網(WAN)。由於大大
增加了網路的覆蓋范圍和密度,更難分清網路的界限和預料信息傳輸的路徑,因而增加了網路
安全控制管理的難度。
計算機網路系統的安全性設計和實現包括以下五個因素:
·分析安全需求 分析本網路中可能存在的薄弱環節以及這些環節可能造成的危害和由
此產生的後果。
·確定安全方針 根據上述安全需求分析的結果,確定在網路中應控制哪些危害因素及
控製程度、應保護的資源和保護程度。
·選擇安全功能 為了實現安全方針而應具備的功能和規定。
·選擇安全措施 實現安全功能的具體技術和方法。
·完善安全管理 為有效地運用安全措施,體現安全功能,而採取的支持性和保證性的技
術措施,包括有關信息報告的傳遞等。
本文主要討論網路資源的安全性,尤其是網路在處理、存儲、傳輸信息過程中的安全性
,因此,衡量網路安全性的指標是可用性、完整性和保密性。
·可用性(Availability) 當用戶需要時,就可以訪問系統資源。
·完整性(Integrity) 決定系統資源怎樣運轉以及信息不能被未授權的來源替代和破壞
。
·機密性(Confidentiality) 定義哪些信息不能被窺探,哪些系統資源不能被未授權的
用戶訪問。
任何信息系統的安全性都可以用4A的保密性來衡量,即:
·用戶身份驗證(Authentication) 保證在用戶訪問系統之前確定該用戶的標識,並得
到驗證(如口令方式)。
·授權(Authorization) 指某個用戶以什麼方式訪問系統。
·責任(Accountablity) 如檢查跟蹤得到的事件記錄,這是業務控制的主要領域,因為
它提供證據(Proof)和跡象(Evidence)。
·保證(Assurance) 系統具有什麼級別的可靠程度。

三、計算機安全研究的現狀與發展動態
60年代以前,西方注意的重點是通信和電子信號的保密。60年代中期,美國官方正式提出
計算機安全問題。1981年美國成立了國防部安全中心(NCSC),1983年正式發布了《桔皮書》
,此書及以後發布的一系列叢書,建立了有關計算機安全的重要概念,影響了一代產品的研製
和生產,至今仍具有權威性。 ISO在提出OSI/RM以後,又提出了ISO/7498-2(安全體系結構)。
另外,從80年代中期開始,CEC(Commission of European Communications)以合作共享成果
的方式進行了一系列工作,探討和研究了適用於開放式計算機系統的環境和可集成的安全系
統。 隨著Internet網上商業應用的發展,發達國家開始了防火牆的研究和應用工作。
近年來,國內外在安全方面的研究主要集中在兩個方面:一是以密碼學理論為基礎的各種
數據加密措施;另一是以計算機網路為背景的孤立的通信安全模型的研究。前者已更多地付
諸於實施,並在實際應用中取得了較好的效果;而後者尚在理論探索階段,且不健全,特別是缺
乏有機的聯系,僅局限於孤立地開展工作。ISO在1989年提出了一個安全體系結構,雖然包括
了開放式系統中應該考慮的安全機制、安全管理以及應提供的安全服務,但只是一個概念模
型,至今仍未能有真正適用於實際的形式化的安全模型。盡管如此,眾多的學者和科研機構在
此基礎上還是進行了許多有益的探索。
對於分布式安全工程的實施,MIT於1985年開始進行Athena工程,最終形成了一個著名的
安全系統Kerb-deros。這個系統是一個基於對稱密碼體制DES的安全客戶服務系統,每個客戶
和密鑰中心公用一個密鑰。它的特點是中心會記住客戶請求的時間,並賦予一個生命周期,用
戶可以判斷收到的密鑰是否過期。它的缺點在於,網上所有客戶的時鍾必須同步。另外,它忽
略了一個重要的問題———安全審計。在網路環境下,必須考慮多級安全的需要,如美國軍用
DDN網的多級安全性研究。此外,還應考慮不同域之間的多級安全問題。由於各個域的安全策
略有可能不同,因此,必須考慮各個域之間的協調機制,如安全邏輯和一致性的訪問控制等。

Internet的基礎協議TCP/IP協議集中有一系列缺陷,如匿名服務及廣播等,因此,可能會
導致路由攻擊、地址欺騙和假冒身份所進行的攻擊。為此,提出了大量的RFC文檔,表明了TC
P/IP協議和Internet之間密不可分的關系。隨著應用的深入,TCP/IP中的各種問題首先在In
ternet上發現,並在實際中得到了解決。有的學者考慮到Unix環境下的遠程過程調用中,採用
UDP方式易受到非法監聽,以及DES演算法密鑰傳輸的困難性,建議採用公鑰體制。
有關Internet的安全應用,已有大量的文獻報導。如採用一個能提供安全服務並適用於
開放式環境的企業集成網EINET,它根據Internet的服務是採用Client/Server結構的特點,向
用戶提供一個"柔性"的安全框架,既能兼顧安全性又能兼顧開放性,使用戶不會因為安全機制
的提供而影響對網上數據的正常訪問。它以OSI的安全體系為基礎,構造了一個三層的安全體
系結構,即安全系統、安全操作和安全管理。最後,將安全系統集成到Internet上的各種應用
中,如FTP、Telnet、WAIS和E-mail等。又如,對Internet上的各種瀏覽工具Gopher、WAIS和
WWW的安全性提出了建議,像末端用戶認證機制、訪問控制、數據安全及完整性,等等。考慮
到Client/Server結構的特點,可以運用對象管理組(Object Management Group)實施多級分
布式安全措施,並提出一個基於OSI考慮的通用的安全框架,將安全模塊和原有的產品進行集
成。
在有的文獻中討論了公用交換電信網在開放環境下所面臨的威脅,並在政策措施方面提
出公司應與政府合作,通過OSI途徑,開發實用的工具,進行公用網的安全管理。同時指出了在
分布式多域的環境下,建立一個國際標準的分布式安全管理的重要性,並著重從分布式管理功
能服務的角度進行了闡述。由於網路的開放性和安全性是一對矛盾,所以,必須對在網路通信
中,由於安全保密可能引起的一系列問題進行探討。現在,網路上採用的安全信關設備只能保
證同一級別上保密的有效性,對於不同級別的用戶必須進行協議安全轉換,因此而形成網路通
信的瓶頸。因此,採用保密信關設備進行互聯只是權宜之計。要解決這個問題,就必須從網路
的安全體繫上進行考慮。目前,高速網的安全問題已經逐漸被人們所重視,如ATM和ISDN網路
安全性研究等。主要的研究問題有:高性能快速加密演算法的研究、信元丟失對密碼系統的影
響等。
在一個安全系統中,除了加密措施外,訪問控制也起很重要的作用。但是,一般的訪問控
制技術,如基於源、目的地址的網關節點上的濾波技術,由於處於網路層,不能對應用層的地
址信息進行有意義的決策,因而不能對付冒名頂替的非法用戶。另外,由於常見的訪問控制矩
陣比較稀疏,增加用戶項時效率不高,而且不能進行有效的刪除操作。因此,應該研究一種有
效的動態訪問控制方法。

四、公鑰密碼體制
計算機網路安全的發展是以密碼學的研究為基礎的。隨著密碼學研究的進展,出現了眾
多的密碼體制,極大地推動了計算機網路安全的研究進程。

1.對稱密碼體制
一個加密系統,如果加密密鑰和解密密鑰相同,或者雖不相同,但可以由其中一個推導出
另一個,則是對稱密碼體制。最常見的有著名的DES演算法等。其優點是具有很高的保密強度,
但它的密鑰必須按照安全途徑進行傳遞,根據"一切秘密寓於密鑰當中"的公理,密鑰管理成為
影響系統安全的關鍵性因素,難於滿足開放式計算機網路的需求。
DES是一種數據分組的加密演算法,它將數據分成長度為64位的數據塊,其中8位作為奇偶校
驗,有效的密碼長度為56位。首先,將明文數據進行初始置換,得到64位的混亂明文組,再將其
分成兩段,每段32位;然後,進行乘積變換,在密鑰的控制下,做16次迭代;最後,進行逆初始變
換而得到密文。
對稱密碼體制存在著以下問題:
·密鑰使用一段時間後就要更換,加密方每次啟動新密碼時,都要經過某種秘密渠道把密
鑰傳給解密方,而密鑰在傳遞過程中容易泄漏。
·網路通信時,如果網內的所有用戶都使用同樣的密鑰,那就失去了保密的意義。但如果
網內任意兩個用戶通信時都使用互不相同的密鑰,N個人就要使用N(N-1)/2個密鑰。因此,密
鑰量太大,難以進行管理。
·無法滿足互不相識的人進行私人談話時的保密性要求。
·難以解決數字簽名驗證的問題。

2.公鑰密碼體制
如果將一個加密系統的加密密鑰和解密密鑰分開,加密和解密分別由兩個密鑰來實現,並
且,由加密密鑰推導出解密密鑰(或由解密密鑰推導出加密密鑰)在計算上是不可行的,一般系
統是採用公鑰密碼體制。採用公鑰密碼體制的每一個用戶都有一對選定的密鑰,一個可以公
開,一個由用戶秘密保存。公鑰密碼體制的出現是對現代密碼學的一個重大突破,它給計算機
網路的安全帶來了新的活力。
公鑰密碼體制具有以下優點:
·密鑰分配簡單。由於加密密鑰與解密密鑰不同,且不能由加密密鑰推導出解密密鑰,因
此,加密密鑰表可以像電話號碼本一樣,分發給各用戶,而解密密鑰則由用戶自己掌握。
·密鑰的保存量少。網路中的每一密碼通信成員只需秘密保存自己的解密密鑰,N個通信
成員只需產生N對密鑰,便於密鑰管理。
·可以滿足互不相識的人之間進行私人談話時的保密性要求。
·可以完成數字簽名和數字鑒別。發信人使用只有自己知道的密鑰進行簽名,收信人利
用公開密鑰進行檢查,即方便又安全。
由於具有以上優點,在短短的幾十年中,相繼出現了幾十種公鑰密碼體制的實現方案。如
:W·Deffie和M·E·Hellmanbit提出了一種稱為W·Deffie和M·E·Hellman協議的公鑰交換
體制,它的保密性是基於求解離散對數問題的困難性;Rivest、Shamir和Adleman提出了基於
數論的RSA公鑰體制,它的依據是大整數素因子的分解是十分困難的;我國學者陶仁驥、陳世
華提出的有限自動機密碼體制,是目前唯一的以一種時序方式工作的公鑰體制,它的安全性是
建立在構造非線性弱可逆有限自動機弱逆的困難性和矩陣多項式分解的困難性上的;Merkle
和Herman提出了一種將求解背包的困難性作為基礎的公鑰體制。此外,在上述基礎上還形成
了眾多的變形演算法。

五、ISO/OSI安全體系結構
安全體系結構、安全框架、安全模型及安全技術這一系列術語被認為是相互關聯的。安
全體系結構定義了最一般的關於安全體系結構的概念,如安全服務、安全機制等;安全框架定
義了提供安全服務的最一般方法,如數據源、操作方法以及它們之間的數據流向;安全模型是
表示安全服務和安全框架如何結合的,主要是為了開發人員開發安全協議時採用;而安全技術
被認為是一些最基本的模塊,它們構成了安全服務的基礎,同時可以相互任意組合,以提供更
強大的安全服務。
國際標准化組織於1989年對OSI開放互聯環境的安全性進行了深入的研究,在此基礎上提
出了OSI安全體系,定義了安全服務、安全機制、安全管理及有關安全方面的其它問題。此外
,它還定義了各種安全機制以及安全服務在OSI中的層位置。為對付現實中的種種情況,OSI定
義了11種威脅,如偽裝、非法連接和非授權訪問等。

1.安全服務
在對威脅進行分析的基礎上,規定了五種標準的安全服務:
·對象認證安全服務 用於識別對象的身份和對身份的證實。OSI環境可提供對等實體認
證和信源認證等安全服務。對等實體認證是用來驗證在某一關聯的實體中,對等實體的聲稱
是一致的,它可以確認對等實體沒有假冒身份;而數據源點鑒別是用於驗證所收到的數據來源
與所聲稱的來源是否一致,它不提供防止數據中途修改的功能。
·訪問控制安全服務 提供對越權使用資源的防禦措施。訪問控制可分為自主訪問控制
和強制型訪問控制兩類。實現機制可以是基於訪問控制屬性的訪問控製表、基於安全標簽或
用戶和資源分檔的多級訪問控制等。
·數據保密性安全服務 它是針對信息泄漏而採取的防禦措施。可分為信息保密、選擇
段保密和業務流保密。它的基礎是數據加密機制的選擇。
·數據完整性安全服務 防止非法篡改信息,如修改、復制、插入和刪除等。它有五種形
式:可恢復連接完整性、無恢復連接完整性、選擇欄位連接完整性、無連接完整性和選擇字
段無連接完整性。
·訪抵賴性安全服務 是針對對方抵賴的防範措施,用來證實發生過的操作。可分為對發
送防抵賴、對遞交防抵賴和進行公證。

2.安全機制
一個安全策略和安全服務可以單個使用,也可以組合起來使用,在上述提到的安全服務中
可以藉助以下安全機制:
·加密機制 藉助各種加密演算法對存放的數據和流通中的信息進行加密。DES演算法已通過
硬體實現,效率非常高。
·數字簽名 採用公鑰體制,使用私有密鑰進行數字簽名,使用公有密鑰對簽名信息進行
證實。
·訪問控制機制 根據訪問者的身份和有關信息,決定實體的訪問許可權。訪問控制機制的
實現常常基於一種或幾種措施,如訪問控制信息庫、認證信息(如口令)和安全標簽等。
·數據完整性機制 判斷信息在傳輸過程中是否被篡改過,與加密機制有關。
·認證交換機制 用來實現同級之間的認證。
·防業務流量分析機制 通過填充冗餘的業務流量來防止攻擊者對流量進行分析,填充過
的流量需通過加密進行保護。
·路由控制機制 防止不利的信息通過路由。目前典型的應用為IP層防火牆。
·公證機制 由公證人(第三方)參與數字簽名,它基於通信雙方對第三者都絕對相信。目
前,Internet上的許多Server服務都向用戶提供此機制。

3.安全管理
為了更有效地運用安全服務,需要有其它措施來支持它們的操作,這些措施即為管控。安
全管理是對安全服務和安全機制進行管理,把管理信息分配到有關的安全服務和安全機制中
去,並收集與它們的操作有關的信息。
OSI概念化的安全體系結構是一個多層次的結構,它本身是面向對象的,給用戶提供了各
種安全應用,安全應用由安全服務來實現,而安全服務又是由各種安全機制來實現的。如圖所
示。
@@05085000.GIF;圖1 OSI安全系統層次結構@@
OSI提出了每一類安全服務所需要的各種安全機制,而安全機制如何提供安全服務的細節
可以在安全框架內找到。
一種安全服務可以在OSI的層協議上進行配置。在具體的實現過程中,可以根據具體的安
全需求來確定。OSI規定了兩類安全服務的配置情況:即無連接通信方式和有連接通信方式。

4.安全層協議擴展和應用標准
國際標准化組織提出了安全體系結構,並致力於進行安全層協議的擴展和各種應用標准
的工作。
為了把安全功能擴展到層協議上,目前,有兩個小組負責這方面的工作。一是ISO/IEC分
委會中的JTC1/SC6,主要負責將安全功能擴展到傳輸層及網路層的服務和協議上;另一個是J
TC1/SC21,負責把安全功能擴展到表示層和應用層上。目前,在建立會話(相當於應用層連接
)的同時,可以進行經過登記的雙向驗證交換,這使任何OSI應用在進行會話時均可採用公鑰密
碼驗證機制。此外,保密交換應用服務單元也是OSI/IEC和CCITT正在研究的問題。如果這一
問題解決,將能把保密信息交換(如公鑰驗證交換)綜合到應用層協議中。
在應用方面,OSI大都包含了安全功能,如MHS(文電作業系統)和目錄驗證應用協議均對安
全性進行了綜合的考慮,而且兩者都應用了公鑰密碼體制。
(1)公鑰密碼技術的安全標准
ISO/IEC分委會下的JTC1/SC27小組負責制定整個信息安全技術領域的標准,其中也包括
OSI。該小組主要以公鑰密碼技術為基礎制定安全標准,其中包括雙方、三方、四方的公鑰驗
證技術。
(2)網路層公鑰密碼技術
網路層可以提供端到端加密和子網保密。這不僅可以使定址信息和高層協議信息受到保
護,而且對網路管理人員控制以外的應用也可進行保護。網路安全協議(NLSP)標准由ISO/IE
C的JTC1/SC6小組負責。該協議採用了公鑰和對稱密碼相混合的方式來實現安全任務,採用對
稱式密碼體制(如DES)來保證機密性,而用公鑰系統(如RSA)進行驗證。對於在大型網路系統
中建立保密呼叫來說,這一混合體制很有前途。
(3)目錄驗證框架
OSI目錄標准(CCITT X.500)為計算機/通信系統的互聯提供了邏輯上完整、物理上分散
的目錄系統。目錄涉及互聯系統復雜的配置關系和數量上眾多的用戶,因此,在目錄環境中的
機密性證書和簽名證書的分發,有著極為重要的作用。
目錄驗證框架包括:
·驗證機制的描述;
·目錄中用戶密鑰的獲取方法;
·RSA演算法描述;
·解釋材料。
(4)用於文電作業系統的公鑰密碼
CCITT 1984年版的MHS(X.400)中未提出安全要求,但1988年版增加了以下安全內容:驗證
、完整性、機密性、訪問控制和防復制性。這些服務可用混合方式由公鑰密碼加以保護。

六、存在的問題及解決方法

1.加密的效率及可靠性問題
在網路中引入安全服務和安全管理後,如同等實體鑒別及訪問控制等機制,網路的安全性
加強了,但是,網路的通信效率下降,實時性變差。效率下降的主要原因是由於加密演算法的復
雜性而引起計算量的增大。因此,應該研究簡單、適用且效率高的加密演算法。為了提高加密
的速度,還應該對加密演算法的硬體實現進行研究。

2.安全保密和網路互通問題
安全保密的特性決定了網路加密會損害網路的互通性。目前,流行的做法是在網路中引
入保密網關設備,即在網關設備上設置安全功能,實現安全協議的轉換。但是,這種做法存在
著許多問題,它會造成網路通信的瓶頸,引起通信效率的下降。因此,採用保密網關設備只是
權宜之計,還必須從整個網路的安全體系結構出發,採取措施。現有的OSI安全體系只是針對
網路通信的安全而言,而開放式系統的安全不僅與網路通信有關,還和參與通信的末端系統有
關。目前,這兩者只是孤立地進行研究。要實現不同域內的系統中不同級別用戶之間的安全
互通,我們應將兩者結合起來。

3.網路規模和網路安全問題
由於網路規模擴大了,相應地,網路的薄弱環節和受到攻擊的可能性也就增加了,密鑰的
分配和安全管理問題也就比較突出。因此,必須對鑒別機制、訪問控制機制和密鑰的分發機
制進行研究。

4.不同安全域內的多級安全問題
由於不同安全域內的安全政策不同,且每一個安全域的用戶不同,其相應的安全級別也不
同。因此,要實現不同域內不同級別的用戶之間的安全互通,必須對中間的協調機制進行研究
。應對OSI安全體系結構進行研究,理清安全需求、安全服務和安全機制在OSI各層中的位置
與作用, 並通過對安全管理資料庫(SMIB)和安全管理模塊的分析, 研究SMIB分配和使用的安
全管理協議及各管理Agent之間的相互協作和通信問題, 從而進一步研究OSI安全設施的集成
。

（計算機世界報 1997年 第5期）