国防部网络安全计划

1. 网络安全体系结构的设计目标是什么

一、 需求与安全
信息——信息是资源，信息是财富。信息化的程度已经成为衡量一个国家，一个单位综合技术水平，综合能力的主要标志。从全球范围来看，发展信息技术和发展信息产业也是当今竞争的一个制高点。
计算机信息技术的焦点集中在网络技术，开放系统，小型化，多媒体这四大技术上。
安全——internet的发展将会对社会、经济、文化和科技带来巨大推动和冲击。但同时，internet在全世界迅速发展也引起了一系列问题。由于internet强调它的开放性和共享性，其采用的tcp/ip、snmp等技术的安全性很弱，本身并不为用户提供高度的安全保护，internet自身是一个开放系统，因此是一个不设防的网络空间。随着internet网上用户的日益增加，网上的犯罪行为也越来越引起人们的重视。
对信息安全的威胁主要包括：
内部泄密
内部工作人员将内部保密信息通过e－mail发送出去或用ftp的方式送出去。
“黑客”入侵
“黑客”入侵是指黑客通过非法连接、非授权访问、非法得到服务、病毒等方式直接攻入内部网，对其进行侵扰。这可直接破坏重要系统、文件、数据，造成系统崩溃、瘫痪，重要文件与数据被窃取或丢失等严重后果。
电子谍报
外部人员通过业务流分析、窃取，获得内部重要情报。这种攻击方式主要是通过一些日常社会交往获取有用信息，从而利用这些有用信息进行攻击。如通过窃听别人的谈话，通过看被攻击对象的公报等获取一些完整或不完整的有用信息，再进行攻击。
途中侵扰
外部人员在外部线路上进行信息篡改、销毁、欺骗、假冒。
差错、误操作与疏漏及自然灾害等。
信息战——信息系统面临的威胁大部分来源于上述原因。对于某些组织，其威胁可能有所变化。全球范围 内的竞争兴起，将我们带入了信息战时代。
现代文明越来越依赖于信息系统，但也更易遭受信息战。信息战是对以下方面数据的蓄意攻击：
�机密性和占有性
�完整性和真实性
�可用性与占用性
信息战将危及个体、团体；政府部门和机构；国家和国家联盟组织。信息战是延伸进和经过cyberspace进行的战争新形式。
如果有必要的话，也要考虑到信息战对网络安全的威胁。一些外国政府和有组织的恐怖分子、间谍可能利用“信息战”技术来破坏指挥和控制系统、公用交换网和其它国防部依靠的系统和网络以达到破坏军事行动的目的。造成灾难性损失的可能性极大。从防御角度出发，不仅要考虑把安全策略制定好，而且也要考虑到信息基础设施应有必要的保护和恢复机制。
经费——是否投资和投资力度
信息系统是指社会赖以对信息进行管理、控制及应用的计算机与网络。其信息受损或丢失的后果将影响到社会各个方面。
在管理中常常视安全为一种保障措施，它是必要的，但又令人讨厌。保障措施被认为是一种开支而非一种投资。相反地，基于这样一个前提，即系统安全可以防止灾难。因此它应是一种投资，而不仅仅是为恢复所付出的代价。

二、 风险评估
建网定位的原则：国家利益，企业利益，个人利益。
信息安全的级别：
1.最高级为安全不用
2.秘密级：绝密，机密，秘密
3.内部
4.公开
建网的安全策略，应以建网定位的原则和信息安全级别选择的基础上制定。
网络安全策略是网络安全计划的说明，是设计和构造网络的安全性，以防御来自内部和外部入侵者的行动 计划及阻止网上泄密的行动计划。
保险是对费用和风险的一种均衡。首先，要清楚了解你的系统对你的价值有多大，信息值须从两方面考虑：它有多关键，它有多敏感。其次，你还须测定或者经常的猜测面临威胁的概率，才有可能合理地制定安全策略和进程。
风险分析法可分为两类：定量风险分析和定性风险分析。定量风险分析是建立在事件的测量和统计的基础上，形成概率模型。定量风险分析最难的部分是评估概率。我们不知道事件何时发生，我们不知道这些攻击的代价有多大或存在多少攻击；我们不知道外部人员造成的人为威胁的比重为多少。最近，利用适当的概率分布，应用monte carlo(蒙特卡罗)仿真技术进行模块风险分析。但实用性不强，较多的使用定性风险。
风险分析关心的是信息受到威胁、信息对外的暴露程度、信息的重要性及敏感度等因素，根据这些因素进行综合评价。
一般可将风险分析列成一个矩阵：
将以上权重组合，即：
得分 = ( 威胁 × 透明 ) ＋ ( 重要性 × 敏感度 )
= ( 3 × 3 ) ＋ ( 5 × 3) = 24
根据风险分析矩阵可得出风险等级为中风险。
网络安全策略开发必须从详尽分析敏感性和关键性上开始。风险分析，在信息战时代，人为因素也使风险分析变得更难了。

三、体系结构
应用系统工程的观点、方法来分析网络的安全，根据制定的安全策略，确定合理的网络安全体系结构。
网络划分：
1、公用网
2、专用网：
（1）保密网
（2）内部网
建网的原则：
从原则上考虑：例如选取国家利益。
从安全级别上：1，最高级为安全不用，无论如何都是不可取的。2，3，4 全部要考虑。
因此按保密网、内部网和公用网或按专用网和公用网来建设，采用在物理上绝对分开，各自独立的体系结构。

四、公用网
举例说明（仅供参考），建网初期的原则：
1、任何内部及涉密信息不准上网。
2、以外用为主，获取最新相关的科技资料，跟踪前沿科技。
3、只开发e－mail，ftp，www功能，而telnet，bbs不开发，telnet特殊需要的经批准给予临时支持。说明一下，建网时，www功能还没有正常使用。
4、拨号上网严格控制，除领导，院士，专家外，一般不批准。原因是，拨号上网的随意性和方便性使得网络安全较难控制。
5、网络用户严格经领导、保密办及网络部三个部门审批上网。
6、单位上网机器与办公机器截然分开，定期检查。
7、签定上网保证书，确定是否非政治，非保密，非黄毒信息的上网，是否侵犯知识产权，是否严格守法。
8、对上网信息的内容进行审查、审批手续。
为了使更多的科技人员及其他需要的人员上网，采用逐步分阶段实施，在安全设施配齐后，再全面开放。

五、公用网络安全设施的考虑
1. 信息稽查：从国家利益考虑，对信息内容进行审查、审批手续。
信息截获，稽查后，再传输是最好的办法。由于机器速度慢，决定了不可能实时地进行信息交流，因而难于实时稽查。
信息复制再分析是可行的办法。把信件及文件复制下来，再按涉密等关键词组检索进行检查，防止无意识泄密时有据可查。起到威慑作用和取证作用。
2. 防火墙：常规的安全设施。
3. 网络安全漏洞检查：各种设备、操作系统、应用软件都存在安全漏洞，起到堵和防的两种作用。
4. 信息代理：
（1）主要从保密上考虑。如果一站点的某一重要信息，被某一单位多人次的访问，按概率分析，是有必然的联系，因此是否暴露自己所从事的事业。
（2）可以提高信息的交换速度。
（3）可以解决ip地址不足的问题。
5. 入侵网络的安全检查设施，应该有。但是，由于事件和手法的多样性、随机性，难度很大，目前还不具备，只能使用常规办法，加上人员的分析。

六、 专用网络及单机安全设施的考虑，重点是保密网
1，专用屏蔽机房；
2，低信息辐射泄露网络；
3，低信息辐射泄露单机。

七、安全设备的选择原则
不能让外国人给我们守大门
1、按先进国家的经验，考虑不安全因素，网络接口设备选用本国的，不使用外国货。
2、网络安全设施使用国产品。
3、自行开发。
网络的拓扑结构：重要的是确定信息安全边界
1、一般结构：外部区、公共服务区、内部区。
2、考虑国家利益的结构：外部区、公共服务区、内部区及稽查系统和代理服务器定位。
3、重点考虑拨号上网的安全问题：远程访问服务器，放置在什么位置上，能满足安全的需求。

八、 技术和管理同时并举
为了从技术上保证网络的安全性，除对自身面临的威胁进行风险评估外，还应决定所需要的安全服务种类，并选择相应的安全机制，集成先进的安全技术。
归纳起来，考虑网络安全策略时，大致有以下步骤：
� 明确安全问题：明确目前和近期、远期的网络应用和需求；
� 进行风险分析，形成风险评估报告，决定投资力度；
� 制定网络安全策略；
� 主管安全部门审核；
� 制定网络安全方案，选择适当的网络安全设备，确定网络安全体系结构；
� 按实际使用情况，检查和完善网络安全方案。

2. 计算机网络安全体系结构包括什么

计算机网络安全体系结构是由硬件网络、通信软件以及操作系统构成的。

对于一个系统而言，首先要以硬件电路等物理设备为载体，然后才能运 行载体上的功能程序。通过使用路由器、集线器、交换机、网线等网络设备，用户可以搭建自己所需要的通信网络，对于小范围的无线局域网而言，人们可以使用这 些设备搭建用户需要的通信网络，最简单的防护方式是对无线路由器设置相应的指令来防止非法用户的入侵，这种防护措施可以作为一种通信协议保护。

计算机网络安全广泛采用WPA2加密协议实现协议加密，用户只有通过使用密匙才能对路由器进行访问，通常可以讲驱动程序看作为操作系统的一部分，经过注册表注册后，相应的网络 通信驱动接口才能被通信应用程序所调用。网络安全通常是指网络系统中的硬件、软件要受到保护，不能被更改、泄露和破坏，能够使整个网络得到可持续的稳定运 行，信息能够完整的传送，并得到很好的保密。因此计算机网络安全设计到网络硬件、通信协议、加密技术等领域。

(2)国防部网络安全计划扩展阅读

计算机安全的启示：

1、按先进国家的经验，考虑不安全因素，网络接口设备选用本国的，不使用外国货。

2、网络安全设施使用国产品。

3、自行开发。

网络的拓扑结构：重要的是确定信息安全边界

1、一般结构：外部区、公共服务区、内部区。

2、考虑国家利益的结构：外部区、公共服务区、内部区及稽查系统和代理服务器定位。

3、重点考虑拨号上网的安全问题：远程访问服务器，放置在什么位置上，能满足安全的需求。

3. 美国创纪录的七千亿国防授权案都有啥

美国总统特朗普12月12日签署总额约7000亿美元的2018财年国防授权案，创下近年来的新高。新华社报道称，这是阿富汗和伊拉克战争以来，美国国会通过的金额最高的国防授权案。

这一创纪录的7000亿美元是如何组成的呢？

扩大导弹防御系统部署

另据报道，这份国防授权案还包括扩大导弹防御系统部署、保留多余军事基地、在阿拉斯加州格里利堡额外部署14枚陆基拦截弹等。

此外，美国国会参众两院在各自版本的国防授权案中都纳入了加强网络安全的措施，但内容不同，较突出的区别是众议院版主张创建新军种——太空部队，参议院版未支持这一主张，而是要求新设国防部“首席信息战争官”一职，作为国防部长首席网络顾问和国防部首席太空顾问。

“加快了完全恢复美国军事力量的进程”

特朗普当天在白宫罗斯福会议室签署该授权案时还说，2018财年国防授权案签署后，“我们加快了完全恢复美国军事力量的进程。”

今年9月报道，奥巴马曾在任内大幅压缩国防和军事开支，两党内部对此都积压了一定的反对力量。早在2016年9月，特朗普在费城专门就国防政策发表演讲，完整而详细地提出了军队重建方案，并表示“只要入主白宫，就会要求国会全面取消防务自动减支机制，并且提交一份新的预算以重塑军队”。上任后，特朗普更是明确了“重振美国军事力量”的目标。另外，在众议院中占有多数席位的共和党传统上更加重视强化军事力量。

今年7月，众议院以压倒性票数通过了2018财年国防授权案。9月，参议院也通过了这份金额高企的国防授权案。参众两院协商修订各自通过的议案以形成最终版本，送交总统特朗普签署后，使之成为正式法律。

不过，12日也指出，国防授权案比《预算控制法》所规定的预算上限还多了800多亿美元，美国国会需先解除并修改《预算控制法》规定的预算上限，该授权案才能正式生效。

但就是否解除预算上限以及解除预算上限的具体额度，国会目前仍然继续陷入争执。上周，国会通过了决议，再追加2周的时间用于协商讨论，决议将在12月22日到期。预计到期以后，国会还将再次通过延期决议，以便在国会内部达成一致。

其他各项预算开支受到挤压

新华社此前报道称，达成一致并不容易。美国国内舆论认为，国防预算大幅上升的代价，是美国国内其他各项预算开支受到挤压。环保、医保、能源研究、农业、国务院等支出通通受到影响，包括削减补充营养协助计划，大幅削减联邦雇员退休福利、削减残疾人帮扶项目等。美国国家卫生总署、国务院的海外援助预算也遭大幅删减。

而这些领域，多是民主党反对意见集中之处，料将遭到民主党议员的继续反对。

福克斯新闻网评论认为，美国国会需先解除《预算控制法》规定的预算上限将是一项艰巨的任务，必须获得参议院民主党人60票的支持才能提高预算上限。

4. 信息保障的在实践中不断发展

美军的信息保障能力建设曾一度处于无序状态，各军种、各部门独立实施，无法集成，效率低下。早在1992年，美国防部就曾在“21世纪构想——国防信息系统安全计划”中，对从国防部层面加强信息安全建设的问题进行过探讨。随着信息安全角势日趋严峻，1997年11月，负责C31的助理国防部长在“国防部信息保障项目的管理流程”分析报告中指出，鉴于国防部网络体系复杂性不断增加，信息管理的难度越来越大，当前的信息保障工作只有很少一部分是有效的，必须尽快确定信息保障的优先发展方案，以解决国防部信息系统和网络面临的安全威胁。至此，美国防部开始在整个国防领域统一规划信息保障能力建设。1998年1月30日，当时的C31助理国防部长正式签发了“国防领域信息保障项目计划”(DIAP)，并于1999年2月制定了具体的实施计划，确定了重点建设任务。随着美军转型的不断推进，美军关于信息保障的法规体系也逐步建立健全。2002年10月发布“信息保障”指令(8500.1)、2003年2月发布“信息保障”指示c8500.2)后，美国防部便把信息保障相关指令全部归并为8500系列指令，作为指导信息保障能力建设的顶层文件。至此，美军的信息保障开始朝着更规范和更一致的方向发展。
高度重视，层层落实
在实施军事转型的过程中，美军高度重视以信息保障为主体的信息安全体系建设。2003年4月，美国防部公布《转型计划指南》，把确保信息和信息系统安全确定为六大关键作战目标之一。2004年，美《国防部信息保障战略规划》中也明确指出，美军信息保障建设的战略任务，是要“全面、深入、动态地保护国防部的信息和信息系统，使其能够持续、可靠地支持国防部的转型……”。陆海空三军也在其转型路线图中把信息保障确定为发展转型能力的重要因素，并在其转型的各个领域加以实施，用以支撑其顺利达成预期目标。2006年，美国防部颁布新版《四年一度防务评审》，再次明确强调：要把旨在提高信息和网络安全防御能力的“信息保障”与转型能力建设紧密结合起来。

5. 美军是怎样培养网络人才的

美军是世界上信息化程度最高的军队，也是对网络空间依赖程度最高的军队。近年来，美军成立网络司令部，先后颁布一系列网络空间战略与作战条令，并为此加大了网络人才培养力度。
首先，拓宽网络人才选拔范围。一是将提升网络空间能力的核心要素由技术转向人，强调人才是保障网络安全的关键；二是将衡量网络人才的标准由文凭转向能力，注重选拔人才的专业素质，而不与其学历或毕业院校挂钩。
基于上述理念，2011年，美军制订了《网络安全教育战略计划》，将军队网络人才界定为信息技术安全系统设计人员，网络技术支持、管理和保障人员，识别、分析和处理网络威胁事件人员,网络情报收集人员等7个类型。依据这一标准，美军将遴选网络人才对象扩展至具有法学、心理学、教育学、情报学、政治学等学科背景的求职者。此外，美国防部还推出网络快速追踪计划，以签订商业合同的方式，让网络攻防技能出色的小企业和个人参与其短期项目，从而将民间网络黑客力量也纳入其网络人才队伍。
第二，完善人才培养体系。2009年之前，美军主要依托国防部信息安全保障奖学金计划，将全国50所军地高校纳入“高水平信息安全教育中心”培训项目，资助信息安全专业的本科生与研究生，并在其毕业后安排至国防部门工作。这一培养模式虽取得一定成效，但培养规模仍受到限制。从2001年到2008年，仅1001名学生受到信息安全奖学金资助，其中93%最终到网络安全部门就职。有限的资助规模难以满足美军对网络人才日益迫切的需求。
为此，美国防部一方面扩大奖学金资助范围，另一方面，又从2012年4月起联合国家安全局和国土安全部成立“卓越学术研究中心”，将全国145所高校纳入资助培养计划，大幅提升网络人才培养规模。值得注意的是，美军最近提出网络安全“生态系统”概念，认为网络人才培养不能局限于以“常春藤”联盟为核心的高等院校，还应积极向中小学拓展。以得克萨斯州的阿拉莫学院培训项目为例，2012年就招收了220名高二学生和168名高三学生参加了信息网络安全学位计划。参加该项目的学生还有机会参观洛克希德·马丁、波音、美国电话电报等公司的一些国防项目。这一举措提升了中学生对于网络安全的认知，为美军选拔网络人才打下了坚实基础。
第三，营造竞争与对抗氛围。近年来，军方联合地方部门举办了众多网络攻防竞赛与对抗演习，通过实战化竞争来甄选、培养、锻炼未来的网络安全精英。这些网络对抗主要有3种方式：一是国防部直接组织的网络公开赛。如美国防部网络犯罪中心举办的数字取证挑战赛，这一全球性的网络安全赛事吸引了来自世界各地的参赛队伍。二是军工企业出资赞助的高校网络联赛。如由波音等军工企业赞助的高校网络防御竞赛。三是美军直接组织的网络演习。如美国防部和国土安全部组织的“网络风暴”演习、太平洋司令部举办的“网络勇气”对抗演习及空军组织的“侵略者”网络空间一体化对抗演习等。
通过举办不同层面的对抗演习，美军既锻炼了现有网络人才队伍，又可在全球范围内发掘网络精英作为人才储备，还检验了自身网络安全的实战效能，可谓“一举三得”。

6. 信息保障的美军信息保障发展特点

近20年来，以信息技术为核心的高新技术以惊人的速度发展，在军事领域引发了一系列深刻的变革，战争形态从机械化向信息化转变，军队的作战方式和作战手段也呈现出崭新的面貌。1997年5月，美军首次在官方文件中正式确立了“转型”这一建军思想，提出要“为未来而转型美国部队”，开始了打造一支“灵活的、以网络为中心的、基于知识”的军队的历程。信息保障作为这种转型的一个主要支柱，在发挥其效力的同时体现出了以下3个显着特点。
采用了“深度防御”策略
1995年，美国防部发现其计算机网络系统遭受725万余次的外来袭击。当时国防部认为，其计算机系统防御能力相当低下，对袭击的发现概率仅为12%，能做出反应的还不到1%，这种紧迫形势引起了美军方高度重视。1996年11月，美国防科学委员会的一份关于信息战防御能力的评估报告再次指出，国防部网络、信息系统存在很多漏洞和薄弱环节，而且未来还会面临更加严峻挑战，要求“国防部必须采取特别行动来提高国防部应对现有和不断出现的威胁的能力”。为此，1996年，美军在《联合设想2010》中，正式把“信息保障”确定为信息优势能力的重要组成。在此指导之下，美国防部提出“信息保障战略计划”，旨在构建一种动态、可持续、全方位的信息保障机制。之后，美国防部在综合考虑技术可行性、成本效益和组织机制等各方面问题的基础上，提出了“深度防御”(DefenseinDeplh)策略。“深度防御”的基本思想就是要对攻击者和目标之间的信息环境进行分层，然后在每一层都“搭建”由技术手段和管理等综合措施构成的一道道“屏障”，形成连续的、层次化的多重防御机制，保障用户信息及信息系统的安全，消除给攻击网络的企图提供的“缺口”。
“深度防御”策略包括3个范畴，即人、技术和操作。其中，人指管理人员、操作人员和用户，美国防部要求对他们进行培训教育，培养信息保障意识，并确保对其进行有效的管理：技术是指技术框架以及具体的技术手段和标准，还包括对技术的认证与评估；操作是指对信息和信息系统的监督、评估、探测、警告和恢复等行为。在“深度防御”策略中，网络基础设施、计算环境、飞地边界、支撑性设施是美军确定的4个重点防护层面。其中，飞地(encalve)指采用单一安全机制控制下的物理环境，包括用户设备、服务器、路由器等以及由其构成的局域网，边界是通过局域网相互连接、采用单一安全策略并且不考虑物理位置的局域计算设备。

7. 如何构建安全网络环境

微型计算机和局域网的广泛应用,基于client/server体系结构的分布式系统的出现,I
SDN,宽带ISDN的兴起,ATM技术的实施,卫星通信及全球信息网的建设,根本改变了以往主机
-终端型的网络应用模式;传统的、基于Mainframe的安全系统结构已不能适用于新的网络环
境,主要原因是:
(1)微型机及LAN的引入,使得网络结构成多样化,网络拓扑复杂化;
(2)远地工作站及远地LAN对Mainframe的多种形式的访问,使得网络的地理分布扩散化
;
(3)多种通讯协议的各通讯网互连起来,使得网络通信和管理异质化。
构作Micro-LAN-Mainframe网络环境安全体系结构的目标同其它应用环境中信息安全的
目标一致,即:
(1)存储并处理于计算机和通信系统中的信息的保密性；
(2)存储并处理于计算机和通信系统中的信息的完整性；
(3)存储并处理于计算机和通信系统中的信息的可用性；
(4)对信息保密性、完整性、拒绝服务侵害的监查和控制。
对这些安全目标的实现不是绝对的,在安全系统构作中,可因地制宜,进行适合于自身条
件的安全投入,实现相应的安全机制。但有一点是应该明确的,信息安全是国民经济信息化
必不可少的一环,只有安全的信息才是财富。
对于潜在的财产损失,保险公司通常是按以下公式衡量的:
潜在的财产损失=风险因素×可能的损失
这里打一个比方,将信息系统的安全威胁比作可能的财产损失,将系统固有的脆弱程度
比作潜在的财产损失,于是有:
系统的脆弱程度=处于威胁中的系统构件×安全威胁
此公式虽不能将系统安全性定量化,但可以作为分析信息安全机制的适用性和有效性的
出发点。
对计算机犯罪的统计表明,绝大多数是内部人员所为。由于在大多数Micro-LAN-Mainf
rame系统中,用户登录信息、用户身份证件及其它数据是以明文形式传输的,任何人通过连
接到主机的微型机都可秘密地窃取上述信息。图1给出了我们在这篇文章中进行安全性分析
的网络模型,其安全性攻击点多达20个。本文以下各部分将详细讨论对此模型的安全威胁及
安全对策。
@@14219700.GIF;图1.Micro-LAN-Mainframe网络模型@@
二、开放式系统安全概述
1.OSI安全体系结构
1989年2月15日,ISO7498-2标准的颁布,确立了OSI参考模型的信息安全体系结构,它对
构建具体网络环境的信息安全构架有重要的指导意义。其核心内容包括五大类安全服务以
及提供这些服务所需要的八类安全机制。图2所示的三维安全空间解释了这一体系结构。
@@14219701.GIF;ISO安全体系结构@@
其中,一种安全服务可以通过某种安全机制单独提供,也可以通过多种安全机制联合提
供;一种安全机制可用于提供一种或多种安全服务。
2.美军的国防信息系统安全计划DISSP
DISSP是美军迄今为止最庞大的信息系统安全计划。它将为美国防部所有的网络(话音
、数据、图形和视频图象、战略和战术)提供一个统一的、完全综合的多级安全策略和结构
,并负责管理该策略和结构的实现。图3所示的DISSP安全框架三维模型,全面描述了信息系
统的安全需求和结构。第一维由九类主要的安全特性外加两类操作特性组成,第二维是系统
组成部件,它涉及与安全需求有关的信息系统部件,并提供一种把安全特性映射到系统部件
的简化手段;第三维是OSI协议层外加扩展的两层,OSI模型是面向通信的,增加两层是为了适
应信息处理。
@@14219702.GIF;DISSP安全框架雏形@@
3.通信系统的安全策略
1节和2节较全面地描述了信息系统的安全需求和结构,具有相当的操作指导意义。但仅
有这些,对于构作一个应用于某组织的、具体的网络应用环境的安全框架或安全系统还是不
够的。
目前,计算机厂商在开发适用于企业范围信息安全的有效策略方面并没有走在前面,这
就意味着用户必须利用现有的控制技术开发并维护一个具有足够安全级别的分布式安全系
统。一个安全系统的构作涉及的因素很多,是一个庞大的系统工程。一个明晰的安全策略必
不可少,它的指导原则如下:
·对安全暴露点实施访问控制；
·保证非法操作对网络的数据完整性和可用性无法侵害；
·提供适当等级的、对传送数据的身份鉴别和完整性维护；
·确保硬件和线路的联接点的物理安全；
·对网络设备实施访问控制；
·控制对网络的配置；
·保持对网络设施的控制权；
·提供有准备的业务恢复。
一个通信系统的安全策略应主要包括以下几个方面的内容:
总纲；
适用领域界定；
安全威胁分析；
企业敏感信息界定；
安全管理、责任落实、职责分明；
安全控制基线；
网络操作系统；
信息安全:包括用户身份识别和认证、文件服务器控制、审计跟踪和安全侵害报告、数
据完整性及计算机病毒；
网络安全:包括通信控制、系统状态控制、拨号呼叫访问控制；
灾难恢复。
三、LAN安全
1.LAN安全威胁
1)LAN环境因素造成的安全威胁
LAN环境因素,主要是指LAN用户缺乏安全操作常识;LAN提供商的安全允诺不能全部兑现
。
2)LAN自身成员面临的安全威胁
LAN的每一组成部件都需要保护,包括服务器、工作站、工作站与LAN的联接部件、LAN
与LAN及外部世界的联接部件、线路及线路接续区等。
3)LAN运行时面临的安全威胁
(1)通信线路上的电磁信号辐射
(2)对通信介质的攻击,包括被动方式攻击(搭线窃听)和主动方式攻击(无线电仿冒)
(3)通过联接上网一个未经授权的工作站而进行的网络攻击。攻击的方式可能有：窃听
网上登录信息和数据;监视LAN上流量及与远程主机的会话,截获合法用户log off指令,继续
与主机会话;冒充一个主机LOC ON,从而窃取其他用户的ID和口令。
(4)在合法工作站上进行非法使用,如窃取其他用户的ID、口令或数据
(5)LAN与其他网络联接时,即使各成员网原能安全运行,联网之后,也可能发生互相侵害
的后果。
(6)网络病毒
4)工作站引发的安全威胁
(1)TSR和通信软件的滥用:在分布式应用中,用户一般在本地微机及主机拥有自己的数
据。将微机作为工作站,LAN或主机系统继承了其不安全性。TSR是用户事先加载,由规定事
件激活的程序。一个截获屏幕的TSR可用于窃取主机上的用户信息。这样的TSR还有许多。
某些通信软件将用户键入字符序列存为一个宏,以利于实现对主机的自动LOGON,这也是很危
险的。
(2)LAN诊断工具的滥用:LAN诊断工具本用于排除LAN故障,通过分析网上数据包来确定
线路噪声。由于LAN不对通信链路加密,故LAN诊断工具可用于窃取用户登录信息。
(3)病毒与微机通信:例如Jerusalem-B病毒可使一个由几千台运行3270仿真程序的微机
组成的网络瘫痪。
2 LAN安全措施
1)通信安全措施
(1)对抗电磁信号侦听:电缆加屏蔽层或用金属管道,使较常规电缆难以搭线窃听;使用
光纤消除电磁辐射;对敏感区域(如电话室、PBX所在地、服务器所在地)进行物理保护。
(2)对抗非法工作站的接入:最有效的方法是使用工作站ID,工作站网卡中存有标识自身
的唯一ID号,LAN操作系统在用户登录时能自动识别并进行认证。
(3)对抗对合法工作站的非法访问:主要通过访问控制机制,这种机制可以逻辑实现或物
理实现。
(4)对通信数据进行加密,包括链路加密和端端加密。
2)LAN安全管理
(1)一般控制原则,如对服务器访问只能通过控制台;工作站间不得自行联接;同一时刻
,一个用户只能登录一台工作站;禁止使用网上流量监视器;工作站自动挂起;会话清除;键盘
封锁;交易跟踪等。
(2)访问控制,如文件应受保护,文件应有多级访问权力;SERVER要求用户识别及认证等
。
(3)口令控制,规定最大长度和最小长度;字符多样化;建立及维护一个软字库,鉴别弱口
令字;经常更换口令等。
(4)数据加密:敏感信息应加密
(5)审计日志:应记录不成功的LOGIN企图,未授权的访问或操作企图,网络挂起,脱离联
接及其他规定的动作。应具备自动审计日志检查功能。审计文件应加密等。
(6)磁盘利用:公用目录应只读,并限制访问。
(7)数据备份:是LAN可用性的保证;
(8)物理安全:如限制通信访问的用户、数据、传输类型、日期和时间;通信线路上的数
据加密等。
四、PC工作站的安全
这里,以荷兰NMB银行的PC安全工作站为例,予以说明。在该系统中,PC机作为IBM SNA主
机系统的工作站。
1.PC机的安全局限
(1)用户易于携带、易于访问、易于更改其设置。
(2)MS-DOS或PC-DOS无访问控制功能
(3)硬件易受侵害;软件也易于携带、拷贝、注入、运行及损害。
2.PC安全工作站的目标
(1)保护硬件以对抗未授权的访问、非法篡改、破坏和窃取；
(2)保护软件和数据以对抗:未授权的访问、非法篡改、破坏和窃取、病毒侵害；
(3)网络通信和主机软硬件也应类似地予以保护；
3.安全型PC工作站的设计
(1)PC硬件的物理安全:一个的可行的方法是限制对PC的物理访问。在PC机的后面加一
个盒子,只有打开这个盒子才能建立所需要的联接。
(2)软件安全:Eracon PC加密卡提供透明的磁盘访问;此卡提供了4K字节的CMOS存储用
于存储密钥资料和进行密钥管理。其中一半的存储区对PC总线是只可写的,只有通过卡上数
据加密处理的密钥输入口才可读出。此卡同时提供了两个通信信道,其中一个支持同步通信
。具体的安全设计细节还有:
A、使用Clipcards提供的访问权授予和KEY存储(为脱机应用而设)、Clipcards读写器
接于加密卡的异步口。
B、对硬盘上全部数据加密,对不同性质的文件区分使用密钥。
C、用户LOGON时,强制进入与主机的安全监控器对话,以对该用户进行身份验证和权力
赋予;磁盘工作密钥从主机传送过来或从Clipcards上读取(OFFLINE);此LOGON外壳控制应用
环境和密钥交换。
D、SNA3270仿真器:利用Eracon加密卡实现与VTAM加解密设备功能一致的对数据帧的加
密。
E、主机安全监控器(SECCON):如果可能,将通过3270仿真器实现与PC安全监控程序的不
间断的会话;监控器之间的一套消息协议用于完成对系统的维护。
五、分布式工作站的安全
分布式系统的工作站较一般意义上的网络工作站功能更加全面,它不仅可以通过与网上
服务器及其他分布式工作站的通信以实现信息共享,而且其自身往往具备较强的数据存储和
处理能力。基于Client/Server体系结构的分布式系统的安全有其特殊性,表现如下:
(1)较主机系统而言,跨局域网和广域网,联接区域不断扩展的工作站环境更易受到侵害
;
(2)由于工作站是分布式的;往往分布于不同建筑、不同地区、甚至不同国家,使安全管
理变得更加复杂;
(3)工作站也是计算机犯罪的有力工具,由于它分布广泛,安全威胁无处不在;
(4)工作站环境往往与Internet及其他半公开的数据网互联,因而易受到更广泛的网络
攻击。
可见,分布式工作站环境的安全依赖于工作站和与之相联的网络的安全。它的安全系统
应不劣于主机系统,即包括用户的身份识别和认证;适当的访问控制;强健的审计机制等。除
此之外,分布式工作站环境还有其自身的特殊安全问题,如对网络服务器的认证,确保通信中
数据的保密性和完整性等。这些问题将在后面讨论。
六、通信中的信息安全
通过以上几部分的讨论,我们已将图1所示的网络组件(包括LAN、网络工作站、分布式
工作站、主机系统)逐一进行了剖析。下面,我们将就它们之间的联接安全进行讨论。
1.加密技术
结合OSI七层协议模型,不难理解加密机制是怎样用于网络的不同层次的。
(1)链路加密:作用于OSI数据模型的数据链路层,信息在每一条物理链路上进行加密和
解密。它的优点是独立于提供商,能保护网上控制信息;缺点是浪费设备,降低传输效率。
(2)端端加密:作用于OSI数据模型的第4到7层。其优点是花费少,效率高;缺点是依赖于
网络协议,安全性不是很高。
(3)应用加密:作用于OSI数据模型的第7层,独立于网络协议;其致命缺点是加密算法和
密钥驻留于应用层,易于失密。
2.拨号呼叫访问的安全
拨号呼叫安全设备主要有两类,open-ended设备和two-ended设备,前者只需要一台设备
,后者要求在线路两端各加一台。
(1)open-ended设备:主要有两类,端口保护设备(PPDs)和安全调制解调器。PPDs是处于
主机端口和拨号线路之间的前端通信处理器。其目的是隐去主机的身份,在将用户请求送至
主机自身的访问控制机制前,对该用户进行预认证。一些PPDs具有回叫功能,大部分PPDs提
供某种形式的攻击示警。安全调制解调器主要是回叫型的,大多数有内嵌口令,用户呼叫调
制解调器并且输入口令,调制解调器验证口令并拆线。调制解调器根据用户口令查到相应电
话号码,然后按此号码回叫用户。
(2)two-ended设备:包括口令令牌、终端认证设备、链路加密设备和消息认证设备。口
令令牌日益受到大家欢迎,因为它在认证线路另一端的用户时不需考虑用户的位置及网络的
联接类型。它比安全调制解调器更加安全,因为它允许用户移动,并且禁止前向呼叫。
口令令牌由两部分组成,运行于主机上与主机操作系统和大多数常用访问控制软件包接
口的软件,及类似于一个接卡箱运算器的硬件设备。此软件和硬件实现相同的密码算法。当
一个用户登录时,主机产生一个随机数给用户,用户将该随机数加密后将结果返回给主机;与
此同时,运行于主机上的软件也作同样的加密运算。主机将这两个结果进行对比,如果一致
,则准予登录。
终端认证设备是指将各个终端唯一编码,以利于主机识别的软件及硬件系统。只有带有
正确的网络接口卡(NIC)标识符的设备才允许登录。
链路加密设备提供用于指导线路的最高程度的安全保障。此类系统中,加密盒置于线路
的两端,这样可确保传送数据的可信性和完整性。唯一的加密密钥可用于终端认证。
消息认证设备用于保证传送消息的完整性。它们通常用于EFT等更加注重消息不被更改
的应用领域。一般采用基于DES的加密算法产生MAC码。
七、安全通信的控制
在第六部分中,我们就通信中采取的具体安全技术进行了较为详细的讨论。但很少涉及
安全通信的控制问题,如网络监控、安全审计、灾难恢复、密钥管理等。这里,我们将详细
讨论Micro-LAN-Mainframe网络环境中的用户身份认证、服务器认证及密钥管理技术。这三
个方面是紧密结合在一起的。
1.基于Smartcards的用户认证技术
用户身份认证是网络安全的一个重要方面,传统的基于口令的用户认证是十分脆弱的。
Smartcards是一类一话一密的认证工具,它的实现基于令牌技术。其基本思想是拥有两个一
致的、基于时间的加密算法,且这两个加密算法是同步的。当用户登录时,Smartcards和远
端系统同时对用户键入的某一个系统提示的数进行运算(这个数时刻变化),如果两边运行结
果相同,则证明用户是合法的。
在这一基本的Smartcards之上,还有一些变种,其实现原理是类似的。
2.kerboros用户认证及保密通信方案
对于分布式系统而言,使用Smartcards,就需要为每一个远地系统准备一个Smartcard,
这是十分繁琐的,MIT设计与开发的kerboros用户认证及保密通信方案实现了对用户的透明
,和对用户正在访问的网络类型的免疫。它同时还可用于节点间的保密通信及数据完整性的
校验。kerboros的核心是可信赖的第三方,即认证服务中心,它拥有每一个网络用户的数据
加密密钥,需要用户认证的网络服务经服务中心注册,且每一个此类服务持有与服务中心通
信的密钥。
对一个用户的认证分两步进行,第一步,kerboros认证工作站上的某用户;第二步,当该
用户要访问远地系统服务器时,kerboros起一个中介人的作用。
当用户首次登录时,工作站向服务器发一个请求,使用的密钥依据用户口令产生。服务
中心在验明用户身份后,产生一个ticket,所使用的密钥只适合于该ticket-granting服务。
此ticket包含用户名、用户IP地址、ticket-granting服务、当前时间、一个随机产生的密
钥等;服务中心然后将此ticket、会话密钥用用户密钥加密后传送给用户;用户将ticket解
密后,取出会话密钥。当用户想联接某网络服务器时,它首先向服务中心发一个请求,该请求
由两部分组成,用户先前收到的ticket和用户的身份、IP地址、联接服务器名及一个时间值
,此信息用第一次传回的会话密钥加密。服务中心对ticket解密后,使用其中的会话密钥对
用户请求信息解密。然后,服务中心向该用户提供一个可与它相联接的服务器通信的会话密
钥及一个ticket,该ticket用于与服务器通信。
kerboros方案基于私钥体制,认证服务中心可能成为网络瓶颈,同时认证过程及密钥管
理都十分复杂。
3.基于公钥体制的用户认证及保密通信方案
在ISO11568银行业密钥管理国际标准中,提出了一种基于公钥体制,依托密钥管理中心
而实现的密钥管理方案。该方案中,通信双方的会话密钥的传递由密钥管理中心完成,通信
双方的身份由中心予以公证。这样就造成了密钥管理中心的超负荷运转,使之成为网上瓶颈
,同时也有利于攻击者利用流量分析确定网络所在地。
一个改进的方案是基于公钥体制,依托密钥认证中心而实现的密钥管理方案。该方案中
,通信双方会话密钥的形成由双方通过交换密钥资料而自动完成,无须中心起中介作用,这样
就减轻了中心的负担,提高了效率。由于篇幅所限,这里不再展开讨论。
八、结论
计算机网络技术的迅速发展要求相应的网络安全保障,一个信息系统安全体系结构的确
立有助于安全型信息系统的建设,一个具体的安全系统的建设是一项系统工程,一个明晰的
安全策略对于安全系统的建设至关重要,Micro-LAN-Mainframe网络环境的信息安全是相对
的,但其丰富的安全技术内涵是值得我们学习和借鉴的。

8. ＂通俄门＂会如何扰动中美网络安全合作

自特朗普正式签发网络安全总统行政令后，8月9日将是第一个至关重要的时间节点。在那时，需要完成的任务包括，形成一份全政府范围的网络风险管理报告；提出一份计划，通过“共享服务”的方式实现联邦信息系统的现代化；形成一份国际合作与强化（网络）威慑的战略文件；在保护关键信息基础设施领域落实“市场透明”的途径等。以美国商务部国家技术标准局（NIST）、国土安全部、国防部等为代表的机构正在为达成这些目标积极开展各项工作。较之奥巴马政府，特朗普政府的网络安全战略具有鲜明的特色。根据2017年5月发布的2018财政年度预算案来看，国土安全部、国防部成为了重点与核心。从传承来看，这个举措再度向小布什政府2006-2008年推出的全面国家网络安全倡议（CNCI）回归，受到奥巴马政府偏爱的司法部，特别是联邦调查局则再次遭遇冷落。

从宏观战略层面看，中美网络安全关系的总体方向还是十分稳定的，但在具体议题领域必须做好应对新一轮不确定性的冲击和挑战。