第一章 计算机网络安全绪论

第一章绪论

TCP/IP的成功应用把全世界的计算机和网络连接到一起，形成了一个开放性的全球网络系统——互联网。自1988年起，互联网的规模就保持着每年翻一番的增长速度。

但互联网的安全状况却并不乐观。随着商业、政务、金融等不同领域在互联网上业务的开展，越来越多不同背景和不同动机的参与者加入到互联网环境中，现实社会中的各种违法犯罪行为在互联网中也不断出现，互联网不再是当初以教育和科研为主要目的的校园式互信开放环境，它已成为最主要的网络攻击目标，其安全漏洞的出现速度实际上已经超过了互联网规模的增长速度。

便捷的网络环境，拉近了攻防双方的距离。1988年11月Robert T. Morris 的“Internet蠕虫”事件，导致数以千计的联网主机遭受攻击，引起了全社会对安全问题的关注。随着互联网的快速发展，各种网络攻击，如IP欺骗、TCP 连接劫持、拒绝服务、网络窃听等明显增多，而伴随动态Web而出现的各种新技术，为网络攻击提供了更多的可能性。

信息安全的研究是伴随着计算机的普及和发展而兴起的，网络环境下复杂的安全状况更推动了信息安全领域研究的发展和深入。防火墙、入侵检测系统和密码学等领域的研究蓬勃发展，各国计算机应急事件反应小组相继成立，信息安全问题已经成为各国家、各部门、各行业乃至每个计算机用户极为关注的重要问题。

第一节信息安全概述

一、信息安全的定义

信息安全并没有统一的定义。按照美国国家安全电信和信息系统安全委员会（NSTISSC）的说法，信息安全是对信息、系统以及使用、存储和传输信息的硬件的保护。从广义来理解，这种保护手段应该不仅包括技术，还应包括策略、法规和教育等。

二、信息安全的特征

信息的安全性有自己的特征。这些特征体现了信息的价值，但对于不同的用户来说，同样的特征却可能具有不同的价值。

（一）保密性：防止信息有意或无意地被非授权泄露。

（二）完整性：防止信息被非授权修改、保持信息的内外部一致。

（三）可用性：保证信息可以被授权者及时、可靠地访问。

（四）可控性：对信息的保密性进行控制的能力。

（五）不可抵赖性：信息源对信息无法否认或抵赖的特性。

信息安全的主要任务就是保证信息的这些特征。

三、信息安全的研究内容

随着信息技术的发展与应用，信息安全的内涵在不断的延伸，从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性，进而又发展为“攻（攻击）、防（防范）、测（检测）、控（控制）、管（管理）、评（评估）”等多方面的基础理论和实施技术。

就理论研究而言，一些关键的基础理论需要保密，因为从基础理论研究到实际应用的距离很短。现代信息系统中的信息安全其核心问题是密码理论及其应用，其基础是可信信息系统的构建与评估。总的来说，目前在信息安全领域人们所关注的焦点主要有以下几方面：

密码理论与技术；

安全协议理论与技术；

安全体系结构理论与技术；

信息对抗理论与技术；

网络安全与安全产品。

第二节 网络体系结构

一、 ISO 模型

计算机网络是由多个独立的计算机通过通信线路和通信设备互连起来的系统，以实现彼此交换信息和共享资源的目的。

计算机网络具有以下功能：

数据通信：网络系统中各相连的计算机能够相互传送数据信息，使相距很远的用户之间能够直接交换数据。

资源共享：网络中的软件，硬件资源如外部设备、文件系统和数据等可为多个用户所共享。

并行和分布式处理：在计算机网络中用户可根据问题的性质和要求选择网内最合适的资源来处理。对于综合性的大问题，可以采用合适的算法，将任务分散到不同的计算机上进行分布和并行处理。

提高可靠性：由于控制、数据、软件和硬件的分散性（不存在集中环节），资源冗余以及结构上可动态重组提高了可靠性。

好的可扩充性：随着用户需求的增长，包括性能方面和功能方面的增长，只需增加新节点数，而不必替换整个系统。

计算机网络要完成数据处理和数据通信两大功能。相应地，网络结构可以分成两大部分：负责数据处理的计算机和终端；负责数据通信的通信控制处理机CPP(Communication Control Processor)、通信线路。计算机网络从逻辑功能上可以分为两个子网：资源子网和通信子网，其结构如图1－1。

图1－1 资源子网和通信子网

ͨÐ

ųÓÍø

³ÊÔ´³ÓÍø

计算机网络由若干个相互连接的节点组成，在这些节点之间要不断地进行数据交换。要进行正确的数据传输，每个节点就必须遵守一些事先约定好的规则，这些规则就是网络协议。

为了减少网络设计的复杂性，大多数网络在设计上都是分成不同功能的多个层次的。图1-2是国际标准化组织ISO-OSI 网络参考模型，图1-3是以报文传输的形式演示了图1-2中的通信过程。 二、协议功能

各层协议是通信双方在通信过程中的约定，规定有关部件在通信过程中的操作以保证正确地进行通信。各层的主要功能如下：

（一）物理层：该层负责建立、保持和拆除物理链路；规定如何在此链路上传送原始比特流，在物理层数据的传送单位是比特(bit)。

（二）数据链路层：它把相邻两个节点间不可靠的物理链路变成可靠的无差错的逻辑链路，包括把原始比特流分帧、排序、设置检错、确认、重发、流控等功能；数据链路层传输信息的单位是帧(frame)；

（三）网络层：网络层的主要任务是要选择合适的路由和交换节点，透明地向目的站交付发送站所发的分组或包，传送的信息单位是分组或包(packet)；

上述三层组成了所谓的通信子网，用户计算机连接到此子网上。通信子网负责把一个地方的数据可靠地传送到另一个地方，但并未实现两个地方主机上进程之间的通信。

（四）传输层：传输层向上一层提供一个可靠的端—端的服务，使上一层看不见下面几层的通信细节；对于传输层的功能，主要在主机内实现，而对于物理层、数据链路层以及网络层的功能均在报文接口机中实现，对于传输层以上的各个层次的功能通常在主机中实现；传输层传送的信息单位是报文(message)；

（五）对话层：又称会话层，它允许两个计算机上的用户进程建立对话连接，双方相互确认身份，协商对话连接的细节；

以上两层为两个计算机上的用户进程或程序之间提供了正确传送数据的手段。

（六）表示层：主要解决用户信息的语法表示问题。表示层将数据从适合于某一系统的语法转变为适合于OSI 系统内部使用的语法；另外，数据加密、解密、信息压缩等都是本层的典型功能；

（七）应用层：处理用户的数据和信息，由用户程序（应用程序）组成，完成用户所希望的实际任务。

Ó¦ÓòãÓ¦Óòã±íʾ²ã¶Ô»°²ã

¶Ô»°²ã

±íʾ²ãÓ¦ÓòãЭÒé±íʾ²ãЭÒé¶Ô»°²ãЭÒé