计算机网络安全现状

⑴ 计算机网络安全存在的问题有哪些

计算机网络信息安全面临的主要威胁有以下几个：

• 黑客的恶意攻击。

• 网络自身和管理存在欠缺。

• 软件设计的漏洞或“后门”而产生的问题。

• 恶意网站设置的陷阱。

• 用户网络内部工作人员的不良行为引起的安全问题。

• 那就还有人为的误接收病毒文件也是有可能的。

⑵ 计算机网络安全的操作系统存在的安全问题

操作系统是作为一个支撑软件，使得你的程序或别的应用系统在上面正常运行的一个环境。操作系统提供了很多的管理功能，主要是管理系统的软件资源和硬件资源。操作系统软件自身的不安全性，系统开发设计的不周而留下的破绽，都给网络安全留下隐患。
1）操作系统结构体系的缺陷。操作系统本身有内存管理、CPU 管理、外设的管理，每个管理都涉及到一些模块或程序，如果在这些程序里面存在问题，比如内存管理的问题，外部网络的一个连接过来，刚好连接一个有缺陷的模块，可能出现的情况是，计算机系统会因此崩溃。所以，有些黑客往往是针对操作系统的不完善进行攻击，使计算机系统，特别是服务器系统立刻瘫痪。
2）操作系统支持在网络上传送文件、加载或安装程序，包括可执行文件，这些功能也会带来不安全因素。网络很重要的一个功能就是文件传输功能，比如FTP，这些安装程序经常会带一些可执行文件，这些可执行文件都是人为编写的程序，如果某个地方出现漏洞，那么系统可能就会造成崩溃。像这些远程调用、文件传输，如果生产厂家或个人在上面安装间谍程序，那么用户的整个传输过程、使用过程都会被别人监视到，所有的这些传输文件、加载的程序、安装的程序、执行文件，都可能给操作系统带来安全的隐患。所以，建议尽量少使用一些来历不明，或者无法证明它的安全性的软件。
3）操作系统不安全的一个原因在于它可以创建进程，支持进程的远程创建和激活，支持被创建的进程继承创建的权利，这些机制提供了在远端服务器上安装“间谍”软件的条件。若将间谍软件以打补丁的方式“打”在一个合法用户上，特别是“打”在一个特权用户上，黑客或间谍软件就可以使系统进程与作业的监视程序监测不到它的存在。
4）操作系统有些守护进程，它是系统的一些进程，总是在等待某些事件的出现。所谓守护进程，比如说用户有没按键盘或鼠标，或者别的一些处理。一些监控病毒的监控软件也是守护进程，这些进程可能是好的，比如防病毒程序，一有病毒出现就会被扑捉到。但是有些进程是一些病毒，一碰到特定的情况，比如碰到7 月1 日，它就会把用户的硬盘格式化，这些进程就是很危险的守护进程，平时它可能不起作用，可是在某些条件发生，比如7 月1 日，它才发生作用，如果操作系统有些守护进程被人破坏掉就会出现这种不安全的情况。
5）操作系统会提供一些远程调用功能，所谓远程调用就是一台计算机可以调用远程一个大型服务器里面的一些程序，可以提交程序给远程的服务器执行，如telnet。远程调用要经过很多的环节，中间的通讯环节可能会出现被人监控等安全的问题。
6）操作系统的后门和漏洞。后门程序是指那些绕过安全控制而获取对程序或系统访问权的程序方法。在软件开发阶段，程序员利用软件的后门程序得以便利修改程序设计中的不足。一旦后门被黑客利用，或在发布软件前没有删除后门程序，容易被黑客当成漏洞进行攻击，造成信息泄密和丢失。此外，操作系统的无口令的入口，也是信息安全的一大隐患。
7） 尽管操作系统的漏洞可以通过版本的不断升级来克服， 但是系统的某一个安全漏洞就会使得系统的所有安全控制毫无价值。当发现问题到升级这段时间，一个小小的漏洞就足以使你的整个网络瘫痪掉。
2.3 数据库存储的内容存在的安全问题
数据库管理系统大量的信息存储在各种各样的数据库里面，包括我们上网看到的所有信息，数据库主要考虑的是信息方便存储、利用和管理，但在安全方面考虑的比较少。例如：授权用户超出了访问权限进行数据的更改活动；非法用户绕过安全内核，窃取信息。对于数据库的安全而言，就是要保证数据的安全可靠和正确有效，即确保数据的安全性、完整性。数据的安全性是防止数据库被破坏和非法的存取；数据库的完整性是防止数据库中存在不符合语义的数据。

⑶ 中国网络安全现状

2021年7月20日，新浪科技发文称iPhone手机存在安全隐患，Pegasus恶意软件可能会入侵用户的iPhone手机，窃取用户的信息和邮件，甚至可以控制手机的麦克风和摄像头，大数据时代用户或无隐私可言。

实际上，我国对打击大数据泄露安全事件有着强大的决心和执行力，在滴滴事件之后，国家网信办依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规修订了《网络安全审查好办法》，向社会公开征求意见，拟规定掌握超百万用户信息国外上市须审查。

由此可见，在我国互联网高速发展的时代，用户数据的监管变得越来越困难，此次网信办修订《网络安全审查办法》凸显了我国对收集隐私数据行为严厉打击的决心。

网络安全行业主要企业：目前国内网络安全行业的主要企业有深信服(300454)、安恒信息(688023)、绿盟科技(300369)、启明星辰(002439)、北信源(300352)等。

1、iPhone存在漏洞对用户数据安全造成威胁

2021年7月20日，新浪科技发文称iPhone存在漏洞，Pegasus恶意软件在用户不点击链接的情况下也可以入侵用户的手机，窃取信息和邮件，甚至可以操控用户的摄像头，此消息一出，网友大呼大数据时代无隐私可言，网络安全问题堪忧，实际上，在我国对网络安全问题有着强大的决心，滴滴事件之后，国家网信办依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规修订了《网络安全审查好办法》，向社会公开征求意见，拟规定掌握超百万用户信息国外上市须审查。

由此可见，在我国互联网高速发展的时代，用户数据的监管变得越来越困难，此次网信办修订《网络安全审查办法》凸显了我国对收集隐私数据行为严厉打击的决心。

综合来看，滴滴事件对国家数据安全层面敲起了警钟，而iPhone此次网络安全漏洞问题针对个人数据安全问题敲响了警铃，相信未来随着我国网络安全相关法案的不断完善，我国个人网络安全问题将得到有效的保护。

—— 以上数据参考前瞻产业研究院《中国网络安全行业发展前景预测与投资战略规划分析报告》

⑷ 为什么现在还是存在网络安全问题呢

影响网络安全的因素很多，主要是黑客的袭击和计算机病毒的传递。随着我国社会经济的发展，计算机网络也迅速普及，渗透到我们生活的方方面面。然而由于网络自身固有的脆弱和中国的网络信息技术起步比较晚使网络安全存在很多潜在的威胁。在当今这样“数字经济”的时代，网络安全显得尤为重要，也受到人们越来越多的关注。

一般认为，目前网络存在的威胁主要表现在：

1、利用网络传播病毒：通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。

2、非授权访问：没有预先经过同意，就使用网络或计算机资源被看作非授权访问，如有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息。它主要有以下几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。

⑸ 目前计算机网络信息系统面临的主要安全问题是什么

鑫华杰教您网络系统的日常维护及管理

你真正的了解自家的电脑吗？你真的了解网络维护与管理吗？该文让你明白什么是网络维护与管理，让你认识它，让其成为你最亲切的朋友！

网络设备的复杂性使网络管理变得越来越难。网络设备复杂有两个含义，一是功能复杂；二是生产厂商多，产品规格多样化。这种复杂性使得网络管理无法用传统的手工方式完成，必须采用更先进的手段。网络系统的管理包括网络管理系统、网络管理协议、网络管理软件等。

计算机网络管理系统 计算机网络管理系统就是管理网络的软件系统。计算机网络管理就是收集网络中各个组成部分的静态、动态地运行信息，在这些信息的条件下进行分析和做出对应的处理，用来保证网络安全、可靠、高效地运行，从而达到合理分配网络资源、动态配置网络负载，优化网络性能、减少网络维护费用的效果。总结，一个典型的网络管理系统包括四大要素：管理员、管理代理、管理信息数据库、代理服务设备。

计算机网络管理协议 SNMP 是专门设计用在 IP 网络管理网络节点(服务器、工作站、路由器、交换机及 HUBS 等)的一种标准协议，它也是一种应用层协议。 SNMP 让网络管理员能够管理网络效能，并且能迅速解决网络问题以及长期规划网络增长。通过 SNMP 接收随机消息及报告，网络管理系统可得知网络信息出现的问题。SNMP 管理的网络有三个主要组成部分:管理的设备、代理和网络管理系统。管理设备是一个网络节点，包含 SNMP 代理并处在管理网络之中。被管理的设备用于收集并储存管理信息。通过 SNMP ， NMS 能得到这些信息。被管理设备，有时则被称为网络单元。
防火墙技术哪家强？我舅服鑫华杰办公
家里的电脑常中病毒，到底是什么原因呢？你真正的了解防火墙系统吗？认识防火墙技术，让你神速掌控自家电脑！

包过滤型产品
防火墙的初级产品,其技术依据是网络中的分包传输技术.网络上的数据都是以"包"为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址,目标地址,TCP/UDP源端口和目标端口等.防火墙通过读取数据包中的地址信息来判断这些"包"是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外.系统管理员也可以根据实际情况灵活制订判断规则。
网络地址转换——nat
网络地址转换——nat一种用于把IP地址转换成临时的,外部的,注册的IP地址标准.它允许具有私有IP地址的内部网络访问因特网.它还意味着用户不许要为其网络中每一台机器取得注册的IP地址.在内部网络通过安全网卡访问外部网络时,将产生一个映射记录.系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。
代理型防火墙
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展.代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流.从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机.当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。
由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统.代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效.其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
监测型防火墙
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义.监测型防火墙能够对各层的数据进行主动的,实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入.同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用.据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部.因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品。

⑹ 计算机网络技术的现状及发展趋势

这些年来中国信息技术的变革也是全球信息产业变革调整的一个重要的组成部分。20世纪90年代是全球电信和IT产业迅速发展的时期，这一发展过程实际上远远超过了当时国民经济和社会进步的整体速度。结果是中国电信网络的发展非常普及，现在电话的用户数（包括移动电话）超过了5亿户。从全球来讲，美国电信产业从1984年AT＆T分解之后开始产生了巨大的变革，美国的迅速发展导致电信设备的研制、电信网络的建设已经远远超过了当时信息应用的消耗量，使网络设备和网络基础设施大量过剩，直接的结果是导致大量的电信公司陷入了破产或经营不善的境地。

在我国可看到这样几个趋势：一个就是电视、计算机和其他消费家电的融合以及信息技术与通信领域技术的融合，使传统通信领域的游戏规则和竞争格局发生了根本的改变。我们国家已经由原来以中国电信一家独大的状态演变成几家大运营商在网络运营方面共同竞争的状态，在信息服务方面有多家信息服务提供运营商在进行全方位的竞争；产业间融合的趋势正逐步加快，创造了更多的产业发展机会，产业融合使整个消费电子类产品已经成为各个企业争夺非常集中的焦点，如智能手机、数字电视、移动电视和数码产品等。刚才我谈到了美国、英国等一些国家，如沃达丰、BT等，因在电信方面过分的投入，以及后来在管治政策方面出现严重问题，主要是在移动牌照拍卖方面导致企业负担沉重，使得这些电信运营企业不得不低价变卖他们的通信网络。这反过来给了中国、日本、韩国这些后发展起来的IT大国很好的机会。最近中国网通集团收购了环球亚洲电讯的整体网络，中国运营商不仅仅在国内提供电信服务，也在立足于面向未来，逐步开始向全球提供电信服务和网络接入服务，这也是一个很好的趋势。从信息技术来讲，全球的IT制造业逐步向中国转化，一个是由于中国有廉价的劳动力，再一个就是近些年中国工人的水平和整个IT技术水平的迅速提高，使得中国作为全球IT制造业基地的形象正逐步地确立起来。从IT业市场来讲，中国已经成为全球最大的IT产业市场，吸引全世界的设备制造商、终端制造商、技术的研发机构将关注的焦点放到了中国地区。新技术的应用在中国取得了快速的增长，如大家普遍使用的闪存只用了两年时间就迅速应用起来。还有象QQ，QQ实际上是广东电信的一个课题组研究的一个小项目——即时通信，去年已经突破了5个亿的收入，在互联网上产生的巨大的影响。

在面向全球的信息技术产业变革和调整的过程当中，中国信息产业保持比较理性和稳健的步伐，使中国电信运营商在全球动荡的情况下保持了持续的增长。中国互联网信息服务提供商在全球IT产业陷入冰河期的时候仅仅经过一年多的时间就已经开始从谷底走出来，进入一个春天。中国设备制造商在全球IT业不景气的情况下，能够迅速抓住时机，现在在互联网的高、中、低端设备方面拥有了自主知识产权的产品，为我们下一步的发展确立了很好的基础和地位。另外，中国这几年网络设备的快速增长，包括终端市场，在今后一两年内还会保持持续增长，而且这种持续是受前几年增长的带动。在前不久我们有一个分析，在今年年底明年年初，中国网民将近达到一个亿。这第一个一个亿是比较容易实现的，达到二个亿就比较难了。这就需要城市的应用、互联网的应用、IT技术的应用以及网络与大家的工作生活结合起来成为大家必不可少的一部分时才有可能达到。在达到第二个亿之后，要达到第三个或第四个亿就非常费劲。因为从整体上来讲，国民收入、国民经济的整体发展水平必须达到相适应的一个地步，互联网的发展依托于国民经济的整体发展水平，而我们现在实际上是超前于国民经济发展。从未来来看，我们应该很清楚，当网民数量达到第三个亿或第四个亿，当网络运营商建设网络规模时，互联网的发展也会受到国民经济整体发展水平的影响。现在建设的IPv4的网络仅仅是中国电信在国内的带宽总量就超过了2500个G，这是一个非常大的数量，上面可承载的信息内容和可以为公众提供的服务是非常大的。2500个G的概念是如果家庭上网使用专用1兆的带宽，那么它可为2500万用户提供服务。实际上大家使用的都是共享带宽，而且日常家庭上网的基本功用已经基本满足大家的使用。在2005、2006年之后，IPv4网络建设的速度也将放缓。同时大家可以看到，IPv6的建设正在逐步展开，几大运营商，包括教育网、科技网等等都已经参与到IPv6实验网的建设当中去。随着实验的进行，商用实验网将很快推出，按照中国电信、网通、移动这几大运营商习惯来看，推出的速度会非常快。我们初步估计在2010年前后，IPv6将占据国内互联网的主流。同时大家应该看到IPv4不会退出这个市场，在相当长的一个时期内两种制式都会保留。因为在网络设备上，IP v4、IPv6双栈路由器已经非常普遍，高端路由器的开发已经非常成熟，因此使用IPv6不会影响IPv4业务的开展。

我们返回来看，10年来中国互联网的发展成绩巨大、辉煌。互联网给中国的老百姓提供了一个了解世界的信息平台，在这个信息平台上，由中国的网民、中国的老百姓自己去选择了解什么东西。在传统上，我们所接受的信息从报纸、广播、电视到互相交流所得到信息都是单向式的。从几千年的传统观念来讲，大家接受信息的模式是大家很关注、很相信、很接受自上而下的信息传递方式。但互联网的出现使人们具有一个平等的平面的获取信息的渠道，获取信息又使人们认识到什么是信息，哪些信息是自己所需要的。同时人们获取信息时会发现在发布信息、获取信息过程当中自己应该拥有的权力，进而人们发现了自己在社会当中应该拥有的权力。我觉得这是互联网对中国社会和普通老百姓在思维、意识和创新的观念上带来的巨大改变。现在大家以平常心态看待网上出现的QQ、ICQ或网上社区，而在10年前我们看待这些新鲜事务的时候首先要看这些是不是政府认可的或者是不是大家的公共观念可以接受的。现在，我们对于创新的想法，对于创新的意识和观念与以往具有本质的不同。网络给予大家一种在网上平等交流、平等沟通、平等获取信息的权力，而这种权力是以往任何一种媒体不具备的，也不能够给予中国老百姓的。它从根本上改变了中国人几千年根深蒂固的封建意识带给大家的思维定势。互联网的发展真正能够使中国13亿人的智慧为中国的未来发展创造出无穷的力量。这种平等的平台为大家提供了实现的机会。

同时我们应该看到互联网的迅速发展带来许多问题。我们在网络资源方面非常紧张，只有5000万的资源，却有将近1个亿的用户。通过向APNIC、Verisign申请，我们已经与Verisign公司达成协议，将Verisign的一个服务器移至中国境内，这对于我们国内互联网的互通具有十分重要的意义。

在互联网的资源、互联网市场经营模式、管理方面、业务规范、上网行为规范等方面都存在一些问题。我们国内的从业者在互联网的发展过程中在不断地探索如何找到适合自己的经营模式，如何找到适合自己发展的生存方式。在前不久的互联网大会上，各方面的专家和业界的精英与领袖们都在这方面进行针锋相对的探索，在网上也有热烈的反映。另一方面，政府制订信息网络化发展的政策也是一个逐步探索逐步成熟的过程。我们很早就明确了“积极发展、加强管理、趋利避害、为我所用”这样一个方针，但在具体执行过程中，网上的许多业务仍然存在主管部门的职能交叉、分工不清的问题，也导致网络发展和管理当中出现了一些问题，这也是政府从国家整体战略上对互联网管理和互联网发展逐步思索、探索得越来越清楚的过程。在制定政策、法规、行为规范方面会有更加成熟、宽松和适合网络发展的政策和措施出台。

网络安全方面的问题应该是非常严重的，黑客攻击行为、网上盗窃、网上欺诈、网络病毒这些问题非常多。网络运营商的经营已经形成了大家比较固定的观念，比较有保障。但信息服务提供商盈利模式相对来说比较单调，这会影响他们长期的发展和服务的提供。网上的垃圾信息和有害信息还比较多。今年6月10日，我们开通了中国互联网协会的新闻信息服务工作委员会，开通了违法和不良信息的举报中心网站。网站开通之后，全社会产生了积极的响应，我们及时向相关政府主管部门汇报了情况，十几个部委联合采取了对于网上不良信息尤其色情网站色情信息的治理。这适应了社会公众和网民的需要，也是社会共同的呼声。协会对反垃圾邮件也开展了工作，包括推动政府立法、组织技术交流、加强国际合作。在7月初我们有一个统计，全球垃圾邮件的头号输出国是美国，它的垃圾邮件数量占73%到74%；全球垃圾邮件服务器头号大国是中国，因为用户收到垃圾邮件当中74%是从中国的邮件服务器传递给他们的。我昨天刚刚得到一个统计数字，经过政府、企业和行业组织的治理，垃圾邮件服务器头号大国已经不是中国而是韩国了，韩国已经占到全球垃圾邮件服务器的47%，中国已从73%、74%下降到31%。这是政府、业内、行业组织采取了大量的行动之后取得了一定的成果，尤其是省及市、县级的相关部门对服务器和IDC机房进行检查之后取得了成效。

现在中文信息资源还存在很大不足。前两年曾有一个口号，是某家公司做过广告——“到2007年中文将成为网上第一大语言”，而现在网上中文信息资源只占全球3%，即使每年翻倍，到2007年也达不到目标。我们希望国内信息服务提供商、信息资源的开发者加快信息资源开发，不论是从网上信息阵地的占领、为下一代青少年服务、提供网络业务等诸多角度来讲，我们现在必须加快信息资源的开发与利用，尤其是网络科普联盟组织的青少年健康网络行活动中介绍的网上博物馆、网上图书馆等这类网上应用。将来要加大投入，加大在这方面的开发，一方面要通过违法不良信息举报制止有害信息对青少年成长中的侵蚀，另一方面也要向他们提供有益的健康的信息，让他们在成长过程中获得有益的知识，这样互联网才能得到健康的发展。

网上行为也要逐步地进行规范。美国这种网上自由、无管理、无法律的观念还是深入人心的，深入全球的，大家曾认为互联网上的任何行为就不应该受到任何规范，不应该有管理。现在出现的问题使大家越来越多地意识到确实需要对网上行为进行规范和管理。网上行为同样应该遵守现实生活中的道德规范，同样应该受现实社会规则的约束，网上出现的网络滥用行为是利用了网上的优良特质，从业者、行业组织、政府还需要采取进一步的行动。我们在9月2日公布了中国互联网协会的互联网公共电子邮件服务规范，可以说这是国内乃至全世界第一个在互联网应用方面提出的从业规范。我们与国际上也进行了多次沟通，电子邮件虽然是最普及的应用，但解决垃圾邮件问题非常复杂，涉及到网络的管理、技术、规范。美国在今年1月1日公布了反垃圾邮件法案之后，垃圾邮件反而以每月2%的比率持续上涨，这说明没有同业的积极参与和各个方面的积极支持配合，仅靠法律是不能解决这些问题的。所以我们公布的电子邮件规范力图在互联网的应用服务领域立下第一个规矩，供应商清楚电子邮件服务应有质量和保证；用户在享受电子邮件服务时，不论是收费的还是免费的，了解自己的义务和权力，使大家能够在这方面建立起规范的意识。现已有14家企业书面明确表示他们自愿参与和遵守服务规范，这些企业提供服务的用户数已经占到了国内电子邮件注册用户数的80%以上，这件事情还要持续深入地推进下去。电子邮件服务规范是一个起步，我们还会在互联网上的其它各个方面逐步规范服务，让互联网用户相信网上提供的服务是可以信赖的，使互联网不再是家长的敌人。在网络变得可信和让人放心之后，家长和老师才能放心让孩子自由地在网上冲浪。

网络滥用行为已经是全球化的一个趋势。现在已形成国际垃圾邮件发送者组织，由垃圾邮件的制造者、订单采集者、他的合伙人一起通过这种方式将垃圾邮件发送给世界各地，规避各国已经制订的反垃圾邮件法律。例如，他们从美国接受全球订单，搜集整理电子邮件地址，再发到加拿大中介人那里，由中介人分配订单并制订结算办法，中介人再把订单发到中国或韩国，由他的合作者或代理人通过在国内注册的大量域名和虚拟主机转发垃圾邮件回美国。转发回美国的目的就是为了规避美国国内已经制订的法律。垃圾邮件仅仅是其中的一个问题，网上的滥用行为使互联网上全球化和国际性的犯罪组织正逐步形成。所以在这个阶段我们要在反对网上滥用行为的立法、管理和政策等一系列方面加快采取措施。随着垃圾邮件的出现，又出现了一些反垃圾邮件组织，他们公布黑名单，试图把垃圾邮件挡在自己的邮箱用户之外，但由于公布黑名单在全球没有形成一个统一的规范和基本规则，所以公布的黑名单在很多情况下是公布了大量的IP地址段。中国互联网协会也在公布黑名单，是哪一个地址发了垃圾邮件就公布哪一个地址。而Spamhaus和Spamcop这些组织公布的黑名单是一段一段的地址段，这些地址段中有可能包括128个、256个甚至几万个中国的IP地址，他认为在这些IP地址段中有一些相连的地址发出了垃圾邮件，所以整个地址段都被当作是垃圾邮件的发送源。全世界几十万个邮件服务商就会根据他公布的IP地址把中国这个地址段的信息全部屏蔽掉。在这个网段上我们确实有个别用户，比如几个或十几个用户发送了垃圾邮件，其结果是导致这个网段上几十万甚至上百万用户正常的邮件通信被中断。所以我们既要制定反垃圾邮件的政策，又要向国际呼吁和反复沟通，反对公布地址段的办法。因为在地址资源分配时对中国就不公平，我们有大量的动态IP地址在使用，这不仅仅是对中国，对发展中国家都是不公平的。七月份我们参与ITU会议时，赞比亚代表站起来就说反对垃圾邮件的行为我们支持，但是现在出现发达国家向发展中国家转嫁垃圾邮件的问题。赞比亚全国的IP地址已经全部被列入黑名单，它所有的对外通信已经全部被阻断了。发达国家有很充足的IP地址，它并不担心某一地址段有问题，而且它很少使用动态IP。只有IP地址不充足的国家才面临这些问题，这不公平也不公正。互联网上尽管有很多好的东西，但是有许多东西是大家平常不会遇到的，背后是国与国之间经济利益、各个方面利益的冲突。

未来比较明显的趋势是宽带业务和各种移动终端的普及，如可照相手机越来越多，实际上这对网络带宽和频谱产生了巨大的需求。整个宽带的建设和应用将进一步推动网络的整体发展。IPv6和网格等下一代互联网技术的研发和建设将在今后取得比较明显的进展。另一方面，从去年我们组织“中国互联网发展报告”的过程中看到，中国互联网的制造业在网络设备方面的研发已经取得了很多突破，包括现在在高、中、低端路同器产品方面都已经有具有自主知识产权的产品出现。我们现在有许多邮件服务商、技术提供商在网络标准方面进行积极的研究和开发。这个方面是我们在国际方面要加强的内容。另一方面是互联网和传统产业更加紧密地结合起来，这种结合随着电子政务的普及、随着相关法律措施的完善，象前一段时间通过的电子签名法，逐步使得电子商务真正能够在建立了社会信用机制的基础之上开展起来。大量电子社区的出现也使互联网的应用也越来越广泛。互联网经营和生存的模式也将更加丰富。互联网产业的从业者以今后的发展具有坚定的信息。从以往看，大家在网上更多的是浏览信息、使用电子邮件、玩网络游戏，把互联网更多地当作自己的一个高级的信息技术玩具，随着互联网的发展，玩具能够变成工具，成为人们日常生活、工作离不开的工具。电子政务的推进会推动这样一个进程。网络服务会逐步规范化，这个规范是一个长期的过程，不是一两天就能实现的，也不是政府下达文件指令或行业组织号召一下就能实现的，它需要从业者的认识，当大家都意识到，当大家都规范起来并能够在这个产业里很好地生存时，这个规范才有实际的价值。网络的应用也更加开放，这个开放指的是各个方面，包括社会事务方面，有许多政府网站已经将其事务到网站上去，如征求意见、地方基层选举等，这些使网络的应用更加开放和多样化。尽管对网络安全技术的研究越来越深入，但是网络自身的特点，即它的简单性、便宜性，使得它的安全问题仍然很突出。尤其是IPv6出现以后，它的安全性、服务质量会有更大提高，在将来一段时间针对IPv6的网络安全问题也会出现。我们希望网络信息要人为本，尤其是今年互联网大会的一个主题是构建一个繁荣诚信的互联网，互联网做为一个信息平台它的用户主流50%以上是30岁以下青少年，那么为青少年建设的网络应该是一个可信、健康的网络，它应该成为青少年成长过程中的朋友和助手。科普网站和提供精神食粮信息资源开发的单位在这方面还要做大量的工作。希望学校老师、家长成为应用互联网的行家里手，不应该害怕使用互联网。现在孩子对互联网的使用要比家长熟练，这也是家长不让孩子上网的一个重要原因。我们希望将来家长了解哪些网站对孩子是有益的，能够指导他们浏览什么样的网站。这样，学校老师和家长对互联网学习将成为热潮。PFP业务将来对网络结构和网络安全会产生重大影响，这是互联网技术开发和政策管制部门所关心的。网络教育将是下一个互联网业务的热点问题，网络搜索，大容量电子邮件，电子商务平台，移动互联网，无线局域网，网络资源信息开发等业务都将成为互联网业务的热点问题。功能比较强大的个人终端以及共享信息资源这些将来会出现。
参考资料：http://www.kepu629.cn/showthread.asp?id=49&thistype=%D1%A7%CA%F5%BD%BB%C1%F7

⑺ 为什么网络安全问题越来越严重

一、 影响我国计算机网络安全的主要原因
“计算机安全”被计算机网络安全国际标准化组织（ISO）将定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。影响我国计算机网络安全的原因，可以分为两个方面来看，网络自身的原因导致的计算机网络安全问题，主要有以下的因素。
（1）系统的安全存在漏洞所谓系统漏洞，用专业术语可以这样解释，是指应用软件或操作系统软件在逻辑设计上的缺陷或在编写时产生的错误，这个缺陷或错误一旦被不法者或者电脑黑客利用，通过植入木马、病毒等方式可以达到攻击或控制整个电脑，从而窃取您电脑中的数据，信息资料，甚至破坏您的系统。而每一个系统都并不是完美无缺的，没有任何一个系统可以避免系统漏洞的存在，事实上，要修补系统漏洞也是十分困难的事情。漏洞会影响到的范围很大，他会影响到包括系统本身及其支撑软件，网络客户和服务器软件，网络路由器和安全防火墙等。也就是说在这些不同的软硬件设备中都会存在不同的安全漏洞。
（2）来自内部网用户的安全威胁内网就是局域网，它是以NAT（网络地址转换）协议，通过一个公共的网关访问Internet。如果将内部网和外部网相比较，来自内部网用户的威胁要远远大于外部网用户的威胁，这是由于内部网用户在使用中缺乏安全意识，例如移动存储介质的无序管理、使用盗版软件等，都是内网所存在的网络安全的隐患。

（3）缺乏有效的手段监视网络安全评估系统所谓网络安全评估系统，用比较通俗易懂的话来说，就是对网络进行检查，看是否有会被黑客利用的漏洞。因此如果不经常运用安全评估系统，对其进行相应的检查和作出修补，就会造成数据信息资料的外泄。
（4）安全工具更新过慢安全工具指的是保护系统正常运行，并且有效防止数据、资料信息外泄的工具。由于技术在不断的进步，黑客的技术也在不断的提升，如果安全工具更新过慢，黑客就会利用新的技术，对其系统存在的漏洞导致一些未知的安全隐患。
由于中国的计算机星期并且广泛的被使用是近20多年的事情，因而在这么快速的不可遏制的发展趋势下，还没有来得及形成一整套比较完整的法律法规。这就为许多的不法分子对于信息的盗取提供了可趁之机，也就留下了许多的隐患。
二、 网络安全问题
（1）网络系统运行的安全问题
随着 1995 年以来多个上网工程的全面启动，我国各级政府、企事业单位、网络公司、银行系统等陆续设立自己的网站，电子商务也正以前所未有的速度迅速发展，但相应的网络安全的投入与建设明显滞后，许多应用系统安全防护能力低或处于不设防状态，存在着极大的信息安全风险和隐患。 此外，目前绝大部分的互联网访问流量都来自互联网数据中心（Internet data center，简称IDC），因此加强数据中心的安全就显得特别的重要。从以前出现的网络安全案例来看，这方面是国内网络安全的关键问题之一。
（2）互联网信息发布和管理中存在的问题
在2000年12 月28日全国人大通过的《关于维护互联网安全的决定》中，对于网络安全作出了详细的规定，而在日常工作中，有些单位和个人并没有严格按照规定来执行，把一些不应该在网上公布的信息在网上公布了，实际工作中缺少详细的操作规程和管理规章。

从近期我国发生的安全攻击事件来看，有很多是因为内部人员的疏忽大意。因此，不管是在互联网上发布信息的单位，还是提供互联网信息服务的机构，很有必要加强内部的安全体系，尤其是对于系统管理和维护的人员，提高技术水平和安全意识就尤为重要了。
（3）基础信息产业严重依靠国外带来的安全问题
我国的信息化建设还基本上依靠国外技术设备。当外国网络安全公司大举推销安全产品时，我们是在相对缺乏知识和经验的情况下引进的，难免出现了花钱买淘汰技术和不成熟技术的现象。
在计算机软硬件的生产领域，我们在关键部位和环节上受制于人，计算机硬件中许多核心部件（特别是CPU）都是外国厂商制造的；计算机软件也面临市场垄断和价格歧视的威胁，国外厂商几乎垄断了我国计算机软件市场。
从信息安全的角度来讲，对国外技术的过于依赖存在安全方面的隐患，如果不摆脱这方面的困境，是不能从根本上解决我们的信息和网络安全问题的。
（4）全社会的信息安全意识淡薄
有些人对于我国目前网络安全的现状没有客观清醒的认识，少数人认为我国信息化程度不高，互联网用户的数量也不多，信息安全的问题现在还不严重，这种错误的认识已经成为我国网络安全的严重隐患。 另外，我国的信息安全领域在研究开发、产业发展、人才培养、队伍建设等方面和迅速发展的 IT 业形势极不适应，目前这方面还仅仅作为信息化的研究分支立项，投入很少，这种状况下，国内和国外差距正在越来越大。
对于互联网用户而言，应该对目前互联网用户系统存在的安全隐患有明确的认识，在安装操作系统和应用软件时及时对安全漏洞进行扫描并加以修补。
以上的问题已经明摆在我们面前，并且影响和威胁着互联网的正常发展，如果不能得到及时解决，在激烈的信息争夺和网络信息大战中我们就会处于被动和弱势。
三、 保证我国计算机网络安全的对策
（1）建立安全管理机构。计算机网络安全系统其自身是脆弱并且存在漏洞的，但是要避免其数据资料的外泄，也并不是无计可施，比如建立安全管理机构，就可以有效的防止由于系统漏洞所带来的不良后果。使黑客没有下手的可能。
（2）安装必要的安全软件，并及时更新。安装必要的杀毒软件，可以保证在遇到黑客攻击或者是有不良病毒入侵的时候，及时的隔离或者提醒用户，防止恶意不法分子对重要信息的窃取和访问，或者因此而带来的关于电脑的瘫痪。
（3）网络系统备份和恢复。网络系统备份是指对于重要的资料和核心数据进行备份，以保证当计算机遭遇了黑客攻击，还可以通过系统快速的恢复相关资料。这是使用计算机应该养成的一个良好的习惯。
（4）完善相应的法律规章制度。在技术上做到防止其信息安全可能发生的同时，也应该在管理上做出相应的对策，对其建立完整，行之有效的一个制度，以保证能够在技术和管理上相得益彰的保证网络信息的安全。2.5加强职业道德教育不管是建立安全管理机构还是安装安全软件或者资料备份，这些并不是解决网络安全的根本方法。而只有加强计算机从业者进行道德教育，培训，增强他们的安全意识，并且对于青年人进行必要的网络安全知识的素质教育，才能做到比较切实的防患。
四、 总结
近年来，我国计算机的运用普及，以及在数字经济时代所作出的推动作用，网络安全也受到大家的关注。本文简单分析了我国计算机网络安全问题并提出了相应的对策。总之网络安全并不是一个简单的技术问题，还涉及到管理的方面。在日益发展的技术时代，网络安全技术也会不断的进步和发展。

⑻ 计算机安全发展现状

随着网络技术的迅速发展和网络应用的广泛普及,网络安全问题日益突出。如何对网络
上的非法行为进行主动防御和有效抑制,是当今亟待解决的重要问题。本期专题就计算机网
络安全研究的现状、发展动态以及相关的理论进行了论述,并介绍了几种计算机安全模型及
开发方法。

1.开放式互联网络的安全问题研究 本文介绍了计算机安全研究的现状和发展动态,并对
公钥密码体制和OSI的安全体系结构进行了详细的分析。

2.计算机安全模型介绍 存取控制模型和信息流模型是计算机安全模型的两大主流,作者
在文章中对此分别做了介绍。

3.计算机安全策略模型的开发方法 本文涉及两类安全模型的开发方法,即函数型方法和
关系型方法,文中详细叙述了这两类开发方法中的状态机模型与边界流方法开发的具体步骤
。

4.Internet上防火墙的实现 目前,防火墙已成为实现网络安全策略最有效的工具之一。
防火墙的体系结构是什么?防火墙有几种类型?作者将在文章中做介绍。开放式互联网络的安
全问题研究
上海交通大学金桥网络工程中心 余巍 唐冶文 白英彩

一、开放系统对安全的需求
当前,我国正处在Internet的应用热潮中,随着国民经济信息化的推进,人们对现代信息
系统的应用投入了更多的关注。人们在享受网络所提供的各种好处的同时,还必须考虑如何
对待网上日益泛滥的信息垃圾和非法行为,必须研究如何解决Internet上的安全问题。
众所周知,利用广泛开放的物理网络环境进行全球通信已成为时代发展的趋势。但是,如
何在一个开放的物理环境中构造一个封闭的逻辑环境来满足集团或个人的实际需要,已成为
必须考虑的现实问题。开放性的系统常常由于节点分散、难于管理等特点而易受到攻击和蒙
受不法操作带来的损失,若没有安全保障,则系统的开放性会带来灾难性的后果。
开放和安全本身是一对矛盾,如何进行协调,已成为我们日益关心的问题。因此,必须对
开放系统的安全性进行深入和自主的研究,理清实现开放系统的安全性所涉及的关键技术环
节,并掌握设计和实现开放系统的安全性的方案和措施。

二、计算机安全概论
在现实社会中会遇到各种威胁,这些威胁来自各方面,有些是由于我们自身的失误而产生
的,有些是各种设施和设备失常而造成的,也有一些是由各种自然灾害引起的。这些危害的一
个共同特点是"被动的",或者说是带有偶然性的,它不属于本文所要研究的范畴。最危险的威
胁是"主动的"。所谓"主动威胁"是指人故意做出的,这些人出于各种各样的目的,他们的目标
就是要使对手蒙受损失,自己获得利益。 计算机安全包括:
·计算机实体的安全 如计算机机房的物理条件及设施的安全标准、计算机硬件的安装
及配置等。
·软件安全 如保护系统软件与应用软件不被非法复制、不受病毒的侵害等 。
·计算机的数据安全 如网络信息的数据安全、数据库系统的安全。
·计算机的运行安全 如运行时突发事件的安全处理等。包括计算机安全技术、计算机
安全管理和计算机安全评价等内容。
对于计算机网络的安全问题,一方面,计算机网络具有资源的共享性,提高了系统的可靠
性,通过分散负荷,提高了工作效率,并具有可扩充性;另一方面,正是由于这些特点,而增加了
网络的脆弱性和复杂性。资源的共享和分布增加了网络受攻击的可能性。现在的网络不仅有
局域网(LAN),还有跨地域采用网桥(Bridge)、网关(Gateway)设备、调制解调器、各种公用
或专用的交换机及各种通信设备,通过网络扩充和异网互联而形成的广域网(WAN)。由于大大
增加了网络的覆盖范围和密度,更难分清网络的界限和预料信息传输的路径,因而增加了网络
安全控制管理的难度。
计算机网络系统的安全性设计和实现包括以下五个因素:
·分析安全需求 分析本网络中可能存在的薄弱环节以及这些环节可能造成的危害和由
此产生的后果。
·确定安全方针 根据上述安全需求分析的结果,确定在网络中应控制哪些危害因素及
控制程度、应保护的资源和保护程度。
·选择安全功能 为了实现安全方针而应具备的功能和规定。
·选择安全措施 实现安全功能的具体技术和方法。
·完善安全管理 为有效地运用安全措施,体现安全功能,而采取的支持性和保证性的技
术措施,包括有关信息报告的传递等。
本文主要讨论网络资源的安全性,尤其是网络在处理、存储、传输信息过程中的安全性
,因此,衡量网络安全性的指标是可用性、完整性和保密性。
·可用性(Availability) 当用户需要时,就可以访问系统资源。
·完整性(Integrity) 决定系统资源怎样运转以及信息不能被未授权的来源替代和破坏
。
·机密性(Confidentiality) 定义哪些信息不能被窥探,哪些系统资源不能被未授权的
用户访问。
任何信息系统的安全性都可以用4A的保密性来衡量,即:
·用户身份验证(Authentication) 保证在用户访问系统之前确定该用户的标识,并得
到验证(如口令方式)。
·授权(Authorization) 指某个用户以什么方式访问系统。
·责任(Accountablity) 如检查跟踪得到的事件记录,这是业务控制的主要领域,因为
它提供证据(Proof)和迹象(Evidence)。
·保证(Assurance) 系统具有什么级别的可靠程度。

三、计算机安全研究的现状与发展动态
60年代以前,西方注意的重点是通信和电子信号的保密。60年代中期,美国官方正式提出
计算机安全问题。1981年美国成立了国防部安全中心(NCSC),1983年正式发布了《桔皮书》
,此书及以后发布的一系列丛书,建立了有关计算机安全的重要概念,影响了一代产品的研制
和生产,至今仍具有权威性。 ISO在提出OSI/RM以后,又提出了ISO/7498-2(安全体系结构)。
另外,从80年代中期开始,CEC(Commission of European Communications)以合作共享成果
的方式进行了一系列工作,探讨和研究了适用于开放式计算机系统的环境和可集成的安全系
统。 随着Internet网上商业应用的发展,发达国家开始了防火墙的研究和应用工作。
近年来,国内外在安全方面的研究主要集中在两个方面:一是以密码学理论为基础的各种
数据加密措施;另一是以计算机网络为背景的孤立的通信安全模型的研究。前者已更多地付
诸于实施,并在实际应用中取得了较好的效果;而后者尚在理论探索阶段,且不健全,特别是缺
乏有机的联系,仅局限于孤立地开展工作。ISO在1989年提出了一个安全体系结构,虽然包括
了开放式系统中应该考虑的安全机制、安全管理以及应提供的安全服务,但只是一个概念模
型,至今仍未能有真正适用于实际的形式化的安全模型。尽管如此,众多的学者和科研机构在
此基础上还是进行了许多有益的探索。
对于分布式安全工程的实施,MIT于1985年开始进行Athena工程,最终形成了一个着名的
安全系统Kerb-deros。这个系统是一个基于对称密码体制DES的安全客户服务系统,每个客户
和密钥中心公用一个密钥。它的特点是中心会记住客户请求的时间,并赋予一个生命周期,用
户可以判断收到的密钥是否过期。它的缺点在于,网上所有客户的时钟必须同步。另外,它忽
略了一个重要的问题———安全审计。在网络环境下,必须考虑多级安全的需要,如美国军用
DDN网的多级安全性研究。此外,还应考虑不同域之间的多级安全问题。由于各个域的安全策
略有可能不同,因此,必须考虑各个域之间的协调机制,如安全逻辑和一致性的访问控制等。

Internet的基础协议TCP/IP协议集中有一系列缺陷,如匿名服务及广播等,因此,可能会
导致路由攻击、地址欺骗和假冒身份所进行的攻击。为此,提出了大量的RFC文档,表明了TC
P/IP协议和Internet之间密不可分的关系。随着应用的深入,TCP/IP中的各种问题首先在In
ternet上发现,并在实际中得到了解决。有的学者考虑到Unix环境下的远程过程调用中,采用
UDP方式易受到非法监听,以及DES算法密钥传输的困难性,建议采用公钥体制。
有关Internet的安全应用,已有大量的文献报导。如采用一个能提供安全服务并适用于
开放式环境的企业集成网EINET,它根据Internet的服务是采用Client/Server结构的特点,向
用户提供一个"柔性"的安全框架,既能兼顾安全性又能兼顾开放性,使用户不会因为安全机制
的提供而影响对网上数据的正常访问。它以OSI的安全体系为基础,构造了一个三层的安全体
系结构,即安全系统、安全操作和安全管理。最后,将安全系统集成到Internet上的各种应用
中,如FTP、Telnet、WAIS和E-mail等。又如,对Internet上的各种浏览工具Gopher、WAIS和
WWW的安全性提出了建议,像末端用户认证机制、访问控制、数据安全及完整性,等等。考虑
到Client/Server结构的特点,可以运用对象管理组(Object Management Group)实施多级分
布式安全措施,并提出一个基于OSI考虑的通用的安全框架,将安全模块和原有的产品进行集
成。
在有的文献中讨论了公用交换电信网在开放环境下所面临的威胁,并在政策措施方面提
出公司应与政府合作,通过OSI途径,开发实用的工具,进行公用网的安全管理。同时指出了在
分布式多域的环境下,建立一个国际标准的分布式安全管理的重要性,并着重从分布式管理功
能服务的角度进行了阐述。由于网络的开放性和安全性是一对矛盾,所以,必须对在网络通信
中,由于安全保密可能引起的一系列问题进行探讨。现在,网络上采用的安全信关设备只能保
证同一级别上保密的有效性,对于不同级别的用户必须进行协议安全转换,因此而形成网络通
信的瓶颈。因此,采用保密信关设备进行互联只是权宜之计。要解决这个问题,就必须从网络
的安全体系上进行考虑。目前,高速网的安全问题已经逐渐被人们所重视,如ATM和ISDN网络
安全性研究等。主要的研究问题有:高性能快速加密算法的研究、信元丢失对密码系统的影
响等。
在一个安全系统中,除了加密措施外,访问控制也起很重要的作用。但是,一般的访问控
制技术,如基于源、目的地址的网关节点上的滤波技术,由于处于网络层,不能对应用层的地
址信息进行有意义的决策,因而不能对付冒名顶替的非法用户。另外,由于常见的访问控制矩
阵比较稀疏,增加用户项时效率不高,而且不能进行有效的删除操作。因此,应该研究一种有
效的动态访问控制方法。

四、公钥密码体制
计算机网络安全的发展是以密码学的研究为基础的。随着密码学研究的进展,出现了众
多的密码体制,极大地推动了计算机网络安全的研究进程。

1.对称密码体制
一个加密系统,如果加密密钥和解密密钥相同,或者虽不相同,但可以由其中一个推导出
另一个,则是对称密码体制。最常见的有着名的DES算法等。其优点是具有很高的保密强度,
但它的密钥必须按照安全途径进行传递,根据"一切秘密寓于密钥当中"的公理,密钥管理成为
影响系统安全的关键性因素,难于满足开放式计算机网络的需求。
DES是一种数据分组的加密算法,它将数据分成长度为64位的数据块,其中8位作为奇偶校
验,有效的密码长度为56位。首先,将明文数据进行初始置换,得到64位的混乱明文组,再将其
分成两段,每段32位;然后,进行乘积变换,在密钥的控制下,做16次迭代;最后,进行逆初始变
换而得到密文。
对称密码体制存在着以下问题:
·密钥使用一段时间后就要更换,加密方每次启动新密码时,都要经过某种秘密渠道把密
钥传给解密方,而密钥在传递过程中容易泄漏。
·网络通信时,如果网内的所有用户都使用同样的密钥,那就失去了保密的意义。但如果
网内任意两个用户通信时都使用互不相同的密钥,N个人就要使用N(N-1)/2个密钥。因此,密
钥量太大,难以进行管理。
·无法满足互不相识的人进行私人谈话时的保密性要求。
·难以解决数字签名验证的问题。

2.公钥密码体制
如果将一个加密系统的加密密钥和解密密钥分开,加密和解密分别由两个密钥来实现,并
且,由加密密钥推导出解密密钥(或由解密密钥推导出加密密钥)在计算上是不可行的,一般系
统是采用公钥密码体制。采用公钥密码体制的每一个用户都有一对选定的密钥,一个可以公
开,一个由用户秘密保存。公钥密码体制的出现是对现代密码学的一个重大突破,它给计算机
网络的安全带来了新的活力。
公钥密码体制具有以下优点:
·密钥分配简单。由于加密密钥与解密密钥不同,且不能由加密密钥推导出解密密钥,因
此,加密密钥表可以像电话号码本一样,分发给各用户,而解密密钥则由用户自己掌握。
·密钥的保存量少。网络中的每一密码通信成员只需秘密保存自己的解密密钥,N个通信
成员只需产生N对密钥,便于密钥管理。
·可以满足互不相识的人之间进行私人谈话时的保密性要求。
·可以完成数字签名和数字鉴别。发信人使用只有自己知道的密钥进行签名,收信人利
用公开密钥进行检查,即方便又安全。
由于具有以上优点,在短短的几十年中,相继出现了几十种公钥密码体制的实现方案。如
:W·Deffie和M·E·Hellmanbit提出了一种称为W·Deffie和M·E·Hellman协议的公钥交换
体制,它的保密性是基于求解离散对数问题的困难性;Rivest、Shamir和Adleman提出了基于
数论的RSA公钥体制,它的依据是大整数素因子的分解是十分困难的;我国学者陶仁骥、陈世
华提出的有限自动机密码体制,是目前唯一的以一种时序方式工作的公钥体制,它的安全性是
建立在构造非线性弱可逆有限自动机弱逆的困难性和矩阵多项式分解的困难性上的;Merkle
和Herman提出了一种将求解背包的困难性作为基础的公钥体制。此外,在上述基础上还形成
了众多的变形算法。

五、ISO/OSI安全体系结构
安全体系结构、安全框架、安全模型及安全技术这一系列术语被认为是相互关联的。安
全体系结构定义了最一般的关于安全体系结构的概念,如安全服务、安全机制等;安全框架定
义了提供安全服务的最一般方法,如数据源、操作方法以及它们之间的数据流向;安全模型是
表示安全服务和安全框架如何结合的,主要是为了开发人员开发安全协议时采用;而安全技术
被认为是一些最基本的模块,它们构成了安全服务的基础,同时可以相互任意组合,以提供更
强大的安全服务。
国际标准化组织于1989年对OSI开放互联环境的安全性进行了深入的研究,在此基础上提
出了OSI安全体系,定义了安全服务、安全机制、安全管理及有关安全方面的其它问题。此外
,它还定义了各种安全机制以及安全服务在OSI中的层位置。为对付现实中的种种情况,OSI定
义了11种威胁,如伪装、非法连接和非授权访问等。

1.安全服务
在对威胁进行分析的基础上,规定了五种标准的安全服务:
·对象认证安全服务 用于识别对象的身份和对身份的证实。OSI环境可提供对等实体认
证和信源认证等安全服务。对等实体认证是用来验证在某一关联的实体中,对等实体的声称
是一致的,它可以确认对等实体没有假冒身份;而数据源点鉴别是用于验证所收到的数据来源
与所声称的来源是否一致,它不提供防止数据中途修改的功能。
·访问控制安全服务 提供对越权使用资源的防御措施。访问控制可分为自主访问控制
和强制型访问控制两类。实现机制可以是基于访问控制属性的访问控制表、基于安全标签或
用户和资源分档的多级访问控制等。
·数据保密性安全服务 它是针对信息泄漏而采取的防御措施。可分为信息保密、选择
段保密和业务流保密。它的基础是数据加密机制的选择。
·数据完整性安全服务 防止非法篡改信息,如修改、复制、插入和删除等。它有五种形
式:可恢复连接完整性、无恢复连接完整性、选择字段连接完整性、无连接完整性和选择字
段无连接完整性。
·访抵赖性安全服务 是针对对方抵赖的防范措施,用来证实发生过的操作。可分为对发
送防抵赖、对递交防抵赖和进行公证。

2.安全机制
一个安全策略和安全服务可以单个使用,也可以组合起来使用,在上述提到的安全服务中
可以借助以下安全机制:
·加密机制 借助各种加密算法对存放的数据和流通中的信息进行加密。DES算法已通过
硬件实现,效率非常高。
·数字签名 采用公钥体制,使用私有密钥进行数字签名,使用公有密钥对签名信息进行
证实。
·访问控制机制 根据访问者的身份和有关信息,决定实体的访问权限。访问控制机制的
实现常常基于一种或几种措施,如访问控制信息库、认证信息(如口令)和安全标签等。
·数据完整性机制 判断信息在传输过程中是否被篡改过,与加密机制有关。
·认证交换机制 用来实现同级之间的认证。
·防业务流量分析机制 通过填充冗余的业务流量来防止攻击者对流量进行分析,填充过
的流量需通过加密进行保护。
·路由控制机制 防止不利的信息通过路由。目前典型的应用为IP层防火墙。
·公证机制 由公证人(第三方)参与数字签名,它基于通信双方对第三者都绝对相信。目
前,Internet上的许多Server服务都向用户提供此机制。

3.安全管理
为了更有效地运用安全服务,需要有其它措施来支持它们的操作,这些措施即为管控。安
全管理是对安全服务和安全机制进行管理,把管理信息分配到有关的安全服务和安全机制中
去,并收集与它们的操作有关的信息。
OSI概念化的安全体系结构是一个多层次的结构,它本身是面向对象的,给用户提供了各
种安全应用,安全应用由安全服务来实现,而安全服务又是由各种安全机制来实现的。如图所
示。
@@05085000.GIF;图1 OSI安全系统层次结构@@
OSI提出了每一类安全服务所需要的各种安全机制,而安全机制如何提供安全服务的细节
可以在安全框架内找到。
一种安全服务可以在OSI的层协议上进行配置。在具体的实现过程中,可以根据具体的安
全需求来确定。OSI规定了两类安全服务的配置情况:即无连接通信方式和有连接通信方式。

4.安全层协议扩展和应用标准
国际标准化组织提出了安全体系结构,并致力于进行安全层协议的扩展和各种应用标准
的工作。
为了把安全功能扩展到层协议上,目前,有两个小组负责这方面的工作。一是ISO/IEC分
委会中的JTC1/SC6,主要负责将安全功能扩展到传输层及网络层的服务和协议上;另一个是J
TC1/SC21,负责把安全功能扩展到表示层和应用层上。目前,在建立会话(相当于应用层连接
)的同时,可以进行经过登记的双向验证交换,这使任何OSI应用在进行会话时均可采用公钥密
码验证机制。此外,保密交换应用服务单元也是OSI/IEC和CCITT正在研究的问题。如果这一
问题解决,将能把保密信息交换(如公钥验证交换)综合到应用层协议中。
在应用方面,OSI大都包含了安全功能,如MHS(文电作业系统)和目录验证应用协议均对安
全性进行了综合的考虑,而且两者都应用了公钥密码体制。
(1)公钥密码技术的安全标准
ISO/IEC分委会下的JTC1/SC27小组负责制定整个信息安全技术领域的标准,其中也包括
OSI。该小组主要以公钥密码技术为基础制定安全标准,其中包括双方、三方、四方的公钥验
证技术。
(2)网络层公钥密码技术
网络层可以提供端到端加密和子网保密。这不仅可以使寻址信息和高层协议信息受到保
护,而且对网络管理人员控制以外的应用也可进行保护。网络安全协议(NLSP)标准由ISO/IE
C的JTC1/SC6小组负责。该协议采用了公钥和对称密码相混合的方式来实现安全任务,采用对
称式密码体制(如DES)来保证机密性,而用公钥系统(如RSA)进行验证。对于在大型网络系统
中建立保密呼叫来说,这一混合体制很有前途。
(3)目录验证框架
OSI目录标准(CCITT X.500)为计算机/通信系统的互联提供了逻辑上完整、物理上分散
的目录系统。目录涉及互联系统复杂的配置关系和数量上众多的用户,因此,在目录环境中的
机密性证书和签名证书的分发,有着极为重要的作用。
目录验证框架包括:
·验证机制的描述;
·目录中用户密钥的获取方法;
·RSA算法描述;
·解释材料。
(4)用于文电作业系统的公钥密码
CCITT 1984年版的MHS(X.400)中未提出安全要求,但1988年版增加了以下安全内容:验证
、完整性、机密性、访问控制和防复制性。这些服务可用混合方式由公钥密码加以保护。

六、存在的问题及解决方法

1.加密的效率及可靠性问题
在网络中引入安全服务和安全管理后,如同等实体鉴别及访问控制等机制,网络的安全性
加强了,但是,网络的通信效率下降,实时性变差。效率下降的主要原因是由于加密算法的复
杂性而引起计算量的增大。因此,应该研究简单、适用且效率高的加密算法。为了提高加密
的速度,还应该对加密算法的硬件实现进行研究。

2.安全保密和网络互通问题
安全保密的特性决定了网络加密会损害网络的互通性。目前,流行的做法是在网络中引
入保密网关设备,即在网关设备上设置安全功能,实现安全协议的转换。但是,这种做法存在
着许多问题,它会造成网络通信的瓶颈,引起通信效率的下降。因此,采用保密网关设备只是
权宜之计,还必须从整个网络的安全体系结构出发,采取措施。现有的OSI安全体系只是针对
网络通信的安全而言,而开放式系统的安全不仅与网络通信有关,还和参与通信的末端系统有
关。目前,这两者只是孤立地进行研究。要实现不同域内的系统中不同级别用户之间的安全
互通,我们应将两者结合起来。

3.网络规模和网络安全问题
由于网络规模扩大了,相应地,网络的薄弱环节和受到攻击的可能性也就增加了,密钥的
分配和安全管理问题也就比较突出。因此,必须对鉴别机制、访问控制机制和密钥的分发机
制进行研究。

4.不同安全域内的多级安全问题
由于不同安全域内的安全政策不同,且每一个安全域的用户不同,其相应的安全级别也不
同。因此,要实现不同域内不同级别的用户之间的安全互通,必须对中间的协调机制进行研究
。应对OSI安全体系结构进行研究,理清安全需求、安全服务和安全机制在OSI各层中的位置
与作用, 并通过对安全管理数据库(SMIB)和安全管理模块的分析, 研究SMIB分配和使用的安
全管理协议及各管理Agent之间的相互协作和通信问题, 从而进一步研究OSI安全设施的集成
。

（计算机世界报 1997年 第5期）