前言

随着计算机技术和信息技术的不断发展，互联网、通信网、计算机系统和数字设备以及车载应用、服务和数据等组成的网络空间，正全面改变人们的生产和生活方式。在计算机网络发展面临重大机遇的同时，网络安全形式也日益严峻，国家政治、经济、文化、社会、国防安全及公民在网络空间的合法权益面临着风险和挑战。

网络安全概论

计算机网络安全不仅包括组网的硬件、管理控制网络的软件，也包括共享的资源，快捷的网络服务，所以定义网络安全应考虑涵盖计算机网络所涉及的全部内容。参照ISO给出的计算机安全定义，认为计算机网络安全是指：“保护计算机网络系统中的硬件，软件和数据资源，不因偶然或恶意的原因遭到破坏、更改、泄露，使网络系统连续可靠性地正常运行，网络服务正常有序。”

计算机网络概述

计算机网络产生于20世纪五六十年代。初期，电信网络、有线电视网络和计算机网络相互独立，3种网络分别向用户提供电话通信、电视节目和数据共享服务。随着通信、计算机和网络技术的飞速发展，相互融合，为用户提供移动互联、媒体通信和资源共享等多种服务。计算机网络技术发展速度最快、应用范围最广，已经成为信息技术发展的核心。

计算机网络定义

计算机网络是值地理位置不同的，具有独立功能的多台计算机及外部设备，通过通信线路连接起来，在网络操作系统、网络管理软件及网络通信协议的管理和协调下，实现资源共享和信息传递的计算机系统。

最简单的计算机网络由两台独立软、硬件结合的计算机，他们之间通过链路相互连通，进行数据通信和信息交换。最早的计算机网络也被称为计算机通信网。与电信网络和有线网络不同，计算机网络为用户提供多样性的应用和服务，并实现资源共享，再网络协议基础上相互通信。

现阶段，一个完整的计算机网络结构体系由两部分组成。一部分称为通信子网，由节点计算机、通信线路和通信设备组成，其中节点计算机用于控制和处理通信过程，通信线路进行连接，通信设备进行数据传输和交换，也就是将一个主机输出信息传递给另一个主机；另一部分称为资源子网，由主计算机、终端设备、通信接口设备和软件组成，主计算机只有操作系统和网络接口负责数据处理任务。资源子网负责提供网络资源和服务，用户通过软件和主计算机之间进行数据交换。

计算机网络发展历程

1. 第一代：面向终端的计算机网络

自1046年第一台数字计算机ENIAC问世以来，人类开辟了一个以计算机科学技术为中心的信息化新时代，当时的计算机数量稀少、价格昂贵，而计算机之间相互的资源共享和信息处理尤为重要，由此诞生以单主机互联系统为中心的互联系统，即面向终端的计算机网络，也就是终端-主机系统，终端计算机向主机发送数据运算请求，主机运算后将结果返回给终端计算机，主要负责终端用户的数据处理和存储，由于终端机不满足功能独立性，所有并未形成真正意义上的网络，但是为计算机网络的出现奠定了基础。

2. 第二代：采用分组转发技术的计算机网络

二战后，随着经济复苏和科技进步，计算机网络进入一个新的发展阶段。第二代计算机网络采用分组交换网络。以通信子网为中心，实现数据处理和数据通信两功能分离，保持负载均衡，使单机的响应速度明显提高。

分组交换是将需要发送的报文信息分成若干个比较短的、长度固定的分组(包)，每个分组包含相应的地址信息，利用路由算法选择相对较优的转发的路径，将数据从源地址经过多个路由交换设备发送到目的地址，从而实现在数据转发的过程中动态分配带宽的策略，减少资源浪费，提高转发效率
“网络某部分遭受攻击失去工作能力时，网络的其它部分能够正常的通信工作”。基于这样的指导思想。1969年美国国防部建立第一个名为ARPANet的分组交换网络。采用分组交换机制，通过专门接口信号处理机和通信线路将美国几所大学计算机连接起来，实现资源共享。起初ARPANet是用于军事研究的目的，后来逐渐扩大，后来开始投入开发TCP/IP协议，ARPANet奠定了因特网存在和发展的基础。

3. 第三代：开放式和标准化的计算机网络

ARPANet兴起后，计算机网络加速发展，各大公司开始推出自己开发设计的网络体系结构及相关的软硬件产品，由于各公司标准不同，很难实现彼此之间互联互通。1974年，国际标准化组织发布了开发系统互连参考模型OSI/RM，并在1983年正式批准使用。而与此同时TCP/IP协议也诞生了，OSI体系结构和TCP/IP协议成为国际网络通用体系结构的核心，从而建立起了一个开发式的、标准化的计算机网络。局域网互联的计算机网络如图所示。

4. 第四代：因特网广泛应用和高速网络技术的发展

20世纪80年代末，局域网络已经基本成熟，数字通信开始出现，光纤的接入使得远距离通信技术得到加强，计算机网络开始朝着综合化、高速化全方位发展，文件传输、电子邮件等业务相继开发出来，网络主机群协同能力增强，多媒体和智能网络诞生，以因特网为代表的互联网覆盖全球，网络技术进入飞跃阶段。
21世纪后，网络得到大幅度发展，对各国的政治、文化、经济、军事等方面都产生重要的深远影响。随着技术进步，大数据、云计算、物联网等快速发展，为用户提供更丰富、便利的服务。

计算机网络分类

1. 按网络传输介质分类

按传输介质的不同，可以分为有线网络和无线网络。

有线网络是使用有线传输介质连接各端口设备的网络，其传输介质主要有双绞线、同轴电缆和光纤。双绞线是两根相互绝缘的金属导线绞合而成，这种介质安装方便、经济实用，但光纤传输距离短，抗干扰能力弱，适合小型局域网络；同轴电缆的抗干扰性强，传输效率高，主要用于有线网络；光纤传输距离长，抗干扰性强，但价格昂贵。有限网络主要用于构建企业、校园网等内部网络。
无线网络通过无线电波在自由空间内传播实现通信，其传输效率高、距离长，有无线电、蓝牙等多种传播形式。随着发展也应用于无线电话、无线电视等各个领域。无线网络广泛用于城市之间的大型移动通信网。
现代化计算机网络综合化也有有限、无限混合网络，优势互补，为用户提供更流畅的服务。

2. 按网络范围分类

可划分为局域网、城域网、广域网三种。

局域网是将一个小区域内的计算机或移动设备通过通信线路连接一起的通信网络，覆盖范围几十米到几千米，实现短距离资源共享与信息交换。近年来，无线局域网广受欢迎，许多公共场合都有覆盖。
城域网覆盖面相对较大，可覆盖一个城市的范围，城域网可以将一个城市之内的多个局域网(医院网、学校网等)连接起来。其范围较广，对通信设备和网络设备的功能要求比较高。
广域网覆盖面积最广，可用于城市或国家之间的局域网或城域网互联，由于带宽有限，所以需要租专线进行连接，因特网就是一种广域网，覆盖全球的计算机网络。

3. 按网络传输方式分类

网络采用的传输方式决定了网络的主要技术特点。可分为点到点式网络和广播式网络。

点到点式网络是指每两个节点之间的计算机或交换机设备都存在一条路径相连的网络系统。一台节点设备沿某条链路发送的数据只有另一端的唯一节点设备能够收到，如果两个节点之间没有直接连接的线路，那么源节点发送的数据信息就要通过节点（路由设备）的接收、存储和转发直至目标节点。这种网络线路结构十分复杂，从源节点到目标节点存在多条路由线路，因此需要一定的路由选择算法来决定分组数据的传播路径。

信道是通信的路径，是信息传输必须经过的媒介。两个节点之间的线路就是一条信道。
广播式网络是指所有联网的计算机都共享同一个公共信道的网络系统。在这种网络中，当一台节点计算机发出广播的分组信息，其他所有节点都能接收到这个分组信息。从源节点发出的信息中带有目的地址与源地址，其他主机收到时会检查是否与本节点地址相同，如果相同则接收，否则丢弃。
广播式网络传输方式有单播、组播和广播3种。单播指的是源节点计算机发出分组信息给某一台计算机，即一对一发送；组播也称多播，是源节点计算机发出分组信息给某一组计算机，即一对多发送；广播是源节点计算机发出的分组信息给所有计算机，即一对所有发送。

4. 按网络拓扑结构分类

网络的拓扑结构是指网络中计算机相互连接的方式。多台计算机之间相互连接，主要有总线型、环形、星型、树型、网型等多种拓扑结构。
总线型拓扑结构属于共享信道的广播式网络，所有主机都连接在一条公共总线上。共享信道的特性使得这种拓扑结构难以进行单机隔离和故障诊断。

环形拓扑结构是由多台主机首尾相连形成的一个环结构。当源节点计算机发出一个数据后，数据会沿着环结构顺次流动，每个收到信息的计算机都会向下一台计算机转发这个信息，传输一圈，最终由源节点计算机回收该数据信息。所有收到信息的计算机会确认目的地址是否接收或丢弃该数据信息。

星型拓扑结构以一台计算机为中心，把其他外围计算机与中心计算机用线路呈辐射状连接起来。中心计算机负责实施对全网络的控制，与其他计算机均多带带链路相连接。这种结构容易检测和隔离故障，并且配置方便，中心计算机一旦出现问题，整个网络都有瘫痪的可能。

树型拓扑结构由多层次的星型结构纵向连接，像一颗倒置的树，顶端是树根，树根以下带分支，每个分支可以再带分支，一般来说，越靠近树的根部，节点设备的性能就越好，但是由于对根节点依赖太大，如果根节点发生故障，对整个网络影响较大。

网状拓扑结构如一张巨大的网，其所有计算机彼此相连，任意一台计算机到其他计算机之间都有两条以上的路径。这种结构需要大量的传输线路，代价相对较高，但可靠性也非常高，适合搭建大型网络。

5. 按网络使用范围分类

根据网络组建部门、管理单位以及适用范围不同，可以将计算机分为公用网和专用网。
公用网由电信部门或其他提供服务的经营部门进行组建、管理和控制，网络内的各种传输和转发装置可以提供任何单位和个人使用。公用网支持用户的远程通信，常用于大范围广域网络的构造。如我国电信网络、广电网和联通网等。
专用网是由用户部门自行组建、经营的网络，不允许其他用户和部门使用。专用网常用于局域网或其他通过租借电信部门的线路而组建的广域网络构造，如校园网、企业组建的企业网等。

计算机网络体系结构

1. 计算机网络协议与分层体系

在计算机网络中要做到高效、有序地交换数据，就必须遵守规定好的规则，这些规则称为网络协议。协议明确规定了数据格式以及有关同步问题，是计算机网络不可缺少的组成部分。

要想在两个主机之间通过一个通信网络传送文件，要做很多准备，首先保证两台主机都具有网络接入功能，使得两台主机之间能够有条件实现通信服务并完成可靠通信任务；其次，发送主机要完成与接受主机的通信服务，保证文件和文件的传送命令可靠的在两个系统之间交换；最后，发送端的文件传送程序应当确定接收端的文件管理程序已经做好接收和存储文件的准备，并完成文件格式的转换，以实现文件传输操作。

这三类工作之间即可相互独立，又具有一定的关联，因此可以将整个文件传输的工作自底向上分为3个模块：网络接入模糊、通信服务模块和文件传输模块。3个模块各自实现网络连接、通信服务和文件传送的功能，相邻的模块之间又存在对应的接口以实现数据的交换，并向上层提供服务。

由此看来，对于非常复杂的工作过程，分层可以带来很多好处。一个复杂的计算机网络协议，其结构应该是层次式的，这样可以是网络各层之间相对独立，使每一层都可以采用最合适的技术实现，保证整体的灵活性；同时可以使得实现和调试一个庞大而复杂的系统变得易于处理，并标准化工作。当然，分层也有缺点，如部分功能会在不同的层次中重复出现，产生额外开销。

在进行分层时，应注意使每一层的功能相对明确。若层数太少，就会导致每一次要实现的协议和规则过于复杂；若层次数
太多，就会导致在描述和综合各层功能的系统工程任务时遇到较多困难。一个计算机网络层次所要完成 功能主要有差错控制、流量控制、分段和重装、复用和分用、连接建立和释放等。

计算机网络的各层及其协议的集合，被称为网络的体系结构。计算机网络的体系结构就是这个计算机网络及其构建所完成的功能的精确定义。目前比较广泛的网络体系结构是TCP/IP四层体系机构

2. OSI七层模型

在计算机网络产生之初，每个计算机厂商都拥有自己的一套网络体系结构，这些体系结构之间互不相容，为信息的传输增添了许多不便，为了解决这个问题，国际标准化组织(ISO)和国际电报电话咨询委员会(CCITT)在1979年联合制定了OSI参考模型，为实现开发系统互联提供共同的基础和标准框架。OSI参考模型全称是开放系统互连参考模型(OSI/RM)。它定义了连接异构计算机的标准框架，并为保持相关标准的一致性和兼容性提供共同的参考。

OSI参考模型自底向上分为七层，分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。
（1）物理层
物理层是OSI结构的第一层，是整个开放系统互连的基础。物理层为设备之间的数据通信提供传输介质通路及互连设备，以及连接的机械的、电气的、功能的和过程特性，为数据传输提供可靠的环境。数据在物理层上以原始比特(bit)流的形式进行传输。

（2）数据链路层
数据链路层为网络层提供数据传输服务，负责将网络层传下来的数据可靠地传输到相邻节点的目标网络层。数据链路层具备将数据组合成数据块以进行传输的功能，这些数据块被称为帧(frame)，是数据链路层的基本传送单位。每一帧包括一定数量的数据和一些必要的控制信息，以实现传输过程的差错控制。在传送数据时，如果接收点检测到所传数据中有差错，就要通知发送方重发这一帧，以保证传输的可靠性，所以数据链路层可以提供透明的和可靠的数据传送服务。

（3）网络层
网络层为分组交换网上的不同主机提供通信服务。在网络中进行通信的两台计算机之间可能会经过很多个中间节点，网络层的任务就是通过寻址和路由选择功能，选择合适的网间路由和交换节点，将数据设法从源端点经过若干个中间节点传送到目的端点，以实现两个端系统之间的数据透明传送。网络层将数据包(packet)进行分组转发，能够向上层提供简单灵活的、无连接的、尽最大努力交付的数据包服务。数据包的头部封装有转发数据的逻辑地址信息，如源端点和目的端点的网络地址。

（4）传输层
传输层负责向两个主机之间的通信提供通用的数据传输服务，即根据通信子网的特性最佳地利用网络资源，并以可靠和经济的方式，为两个端系统（源端点和目的端点）的会话层之间提供建立、维护和取消传输连接的功能，实现应用进程之间的逻辑通信，可靠地传输数据。

（5）会话层
会话层不参与具体的传输，它提供包括访问验证和会话管理在内的建立和维护应用之间通信的机制（如服务器验证用户登录的过程）。会话层、表示层和应用层构成开放系统的高三层，面向应用进程提供分布处理、对话管理和信息表示等服务。

（6）表示层

表示层提供数据格式的转换服务，主要功能是把应用层提供的信息变换为能够共同理解的形式，提供字符代码、数据格式、控制信息、加密解密等的统一表示。

（7）应用层
应用层是OSI参考模型的最高层。其功能是实现应用进程之间的信息交换，为操作系统或网络应用程序提供访问网络服务的接口，通过应用程序之间的交互来完成特定的网络应用。

在OSI七层模型中，每一层都为其上一层提供服务，并为其上一层提供接口供其访问和调用。不同主机之间的相同层次称为对等层(如下图：两边物理层为对等层)。对等层之间互相通信需要遵守一定的规则，这套规则称为协议。

在OSI参考模型中，当一台主机向用户传输数据时，数据首先用过源主机的应用层接口进入应用层。应用层给数据加上这一层相关信息作为报头(HA)，打包形成应用层协议数据单元，然后被递交到下一层-表示层。表示层把数据包进行封装，加上表示层的相关信息作为报头(PH)，然后递交到下一层-会话层。会话层(SH)、传输层(TH)、网络层(NH)、数据链路层(DH)、也依次分别给上层递交下来的数据加上自己的报头，数据链路层还要给网络层递交的数据加上数据链路层报尾，形成数据帧，在物理层以比特流传输到目标主机的物理层。
当数据通过比特流传输到目标主机的物理层时，该主机的物理层把它递交到上一层-数据链路层。数据链路层负责去掉数据帧的头部和尾部，同时进行数据校验，如果没有出错，依次递交到网络层、传输层、会话层、表示层、应用层分别剥除相应的报头信息。最终，原始数据被递交到目标主机的具体应用程序中。

3. TCP/IP参考模型及相关协议

OSI参考模型过于庞大和复杂，使用起来并不方便，事实上并没有在业界流行起来，尽管在理论上有很强的示范性。TCP/IP模型是美国国防部高级研究计划局计算机网(ARPNet)和其后继因特网使用的参考模型。分为四个层次：网络接口层、网络层、传输层和应用层。
（1）网络接口层
这一层也被称为主机-网络层，与OSI参考模型中的物理层和数据链路层相对应。负责监视数据在主机和网络之间的交换，并提供给其上层(网络层)一个访问接口，以便在其上传递IP分组。TCP/IP本身并未明确定义这一层的协议，其具体的实现方法将随网络类型不同而不同。地址解析协议(ARP)工作在此层。

（2）网络层
也被称为网际互联层，对应OSI参考模型的网络层。主要解决主机到主机的通信问题，其功能是把数据包分组发往目标网络或主机。网络层赋予主机一个IP地址来完成对主机的寻址，并为了能够尽快地发送分组，可能需要沿不同的路径同时进行分组传递。该层有3个主要协议：网际协议(IP)、互联网组管理协议(IGMP)、互联网控制报文协议(ICMP)。

（3）传输层
对应OSI参考模型的传输层。主要是使源端主机和目的端主机上的对等实体可以进行会话，为应用层实体提供端到端的通信功能，并保证数据包的顺序传送及数据的完整性。在传输层定义了两种服务质量不同的协议：传输控制协议(TCP)、用户数据报协议(UDP)。
TCP协议提供可靠的面向连接服务，它将一台主机发送的字节流无差错的发往互联网上的其他主机。在发送端，负责把上层传送下来的字节流分成报文段传递给下层；在接收端，负责把收到的报文段重组递交给上层。其数据传输单位是报文段。
UDP协议提供无连接的、无可靠保证的服务，由于控制选项较少，所以数据传输过程中延迟小，数据传输效率高的优点，
适用于可靠性要求不高的数据传输。具有数据传输的单位是用户数据报。

（4）应用层
对应OSI参考模型的会话层、表示层、应用层三层。为用户提供所需要的各种服务。数据信息在这一层以报文(message)为单位进行传输。定义在应用层的协议：基于TCP协议的：文件传输协议(FTP)、虚拟终端协议(Telnet)、超文本传输协议(HTTP)等，也有基于UDP协议的：简单网络管理协议(SNMP)、网络时间协议(NTP)等。

4. IP地址和域名系统

IP协议是网络层中的重要协议，是TCP/IP的核心。网络中的每一台主机都拥有一个独一无二的网络地址，而任意两台主机之间相互通信，实际上就是将要发送的数据信息通过打包、寻址，从源主机传到目的主机，而IP协议在其中起着非常重要的作用。IP协议将多个包交换的网络相连接，在源IP地址和目的IP地址之间以传送数据包的形式相互通信。

（1） IP地址及表示方法

如果把整个因特网当成一个单一的、抽象的网络，IP地址就是给因特网上的每一个主机(或路由器(的每一个接口分配一个在全世界范围内唯一的32位标识符。一个IP地址在整个因特网范围内是唯一的。IP地址的结构使用户在因特网上能够很方便地进行寻址。
IP地址最基本的编址方法是通过分类的IP地址实现的，即将IP地址划分为若干个固定类，每一类地址都由以下两个固定长度的字段组成：
网络号(net-id)：它标识该主机(或路由器)所连接到的网络。一个网络号在整个因特网范围内必须是唯一的。
主机号(host-id)：它标识该主机(或路由器)。一个主机号在它前面的网络号所指明的网络范围内必须是唯一的。
一个主机的两级IP地址可以记为：

IP地址::={<网络号>,<主机号>}

对于主机或路由器来说，IP都是32位的二进制代码。为了提高可读性，人们采用“点分十进制记法”来读写IP地址。即假定在32位的IP地址的每8位中插入一个空格，将其分成4个字段，再将每个字段中的8位二进制代码用等效的十进制数字表示，并在这些数字之间加个点。一串32位的二进制IP地址就可以由4个由点隔开的十进制数字表示，使用起来更加方便易懂。

例：二进制IP地址“10000000000111100010000100000001”以点分十进制记法就可记作“128.30.33.1”。

（2）域名系统DNS

由于IP地址太长，用户很难记住长达32位的二进制主机地址，即便是十进制记法也不太容易记忆。但应用层为了方便用户记忆各种网络应用，更多的是使用主机名字。

早在ARPANet时代，服务器上使用一个名为hosts的文件，列出所有主机名字和相对于的IP地址，只有用户输入一个主机名字，计算机很快就可以把这个主机名转换成机器能识别的二进制IP地址。随着因特网规模的扩大，这种方式使得服务器无法正常工作，导致整个因特网瘫痪。1983年因特网开始采用层次树状结构的命名方法，并使用分布式的域名系统DNS来解决这个问题。

任何一个连接在因特网上的主机或路由器都有一个唯一的层次结构的名字，即域名。域是名字空间中一个可以被管理的划分，可以被递归地划分为更小的子域结构，形成顶级域、二级域、三级域等。

从语法上讲，每一个域名都是由标号序列组成，各标号之间用点隔开。如图所示的域名，由3个标号组成，其中标号com是顶级域名，标号cctv是二级域名，标号mail是三级域名。

DNS规定每一级域名中的标号都由英文字母和数字组成，每一个标号不超过63个字符，不区分大小写。级别最低的域名卸载左边，级别最高的顶级域名写在最右边，由多个标号组成的网站域名总共不超过255个字符。各级域名由其上一级的域名管理机构管理，而最高级的顶级域名由互联网名称与数字地址分配机构管理，这样可使每个域名在因特网范围内是唯一的。
顶级域名共分为国家顶级域名、通用顶级域名、基础结构域名3大类。
国家顶级域名：如cn（中国）us（美国）、uk（英国）等。
通用顶级域名：如com（公司企业），net（网络服务机构），org（非营利性组织），int（国际组织），edu（美国教育机构），gov（美国政府部门），mil（美国军事部门）等。
基础结构域名：如arpa（用于反向域名解析，又称反向域名）。

在国家顶级域名下注册的二级域名由各国自行确定。我国把二级域名划分为类别域名和行政域名2大类。
类别域名：如ac（科研机构），com（工、商、金融等企业），edu（中国教育机构），gov（中国政府机构），mil（中国国防机构），net（提供互联网络服务的机构），org（非营利性的组织）等
行政区域名：共34个，适用于我国的各省、自治区、直辖市，如bj（北京市），js（江苏省），sn（陕西省），sx（山西省）等。

因特网的域名系统可以用域名树来表示其结构，它实际上是一棵倒过来的树，在最上面的是根，根下一级结点就是顶级域名，顶级域名可往下划分二级域名，再往下划分就是三级域名、四级域名。

域名到IP地址的解析是由分布在因特网上的许多域名服务器共同完成的。当某一个应用进程需要把主机名解析为IP地址时，该应用进程就调用解析程序，并将待解析的域名放在DNS请求报文中，以DUP用户数据报的方式发送给本地域名服务器，本地域名服务器再找到域名后，将对应的IP地址放在回答报文中返回，应用进程获得目的主机的IP地址后即可进行通信。

网络安全基本概念

进入信息时代后，计算机网络技术发展迅速，互联网逐渐融入人们的日常生活，人与计算机之间建立起了一种相互依存的关系，大量的个人信息、商业资源以及军事数据被存储在因特网上以供使用。网络为人类服务的同时，也为越来越多的用户带来了不同的道德标准的影响。随着网络规模的扩大和复杂度提升，其脆弱性和安全问题也就逐渐增加，基于互联网发生的各种侵害隐私以及违法犯罪事件层出不穷，特别是“棱镜门”等事件的发生，给我国的网络安全敲了一记警钟，网络安全成为一个不容忽视的重要问题。

什么是网络安全

网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多领域的综合性学科。从广义上讲，凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论，都是网络安全相关的研究领域。网络空间已经成为继海、陆、空、太空之外的“第五空间”，受到各国高度关注。

网络空间安全问题是一个覆盖范围十分宽泛的领域，基于不同的环境和应用可以分为物理安全、网络安全、系统安全和数据安全等多个方面。

1. 物理安全

物理安全是指保护计算机网络的硬件设备和其他媒体设施，避免其遭受因自然灾害事故（如地震、水灾、火灾等）造成的环境污染或者人为操作的错误、失误以及各种计算机犯罪行为所导致的破坏（例如，因电磁干扰或硬件损伤而产生的数据泄露）。物理安全主要研究针对各类硬件的恶意攻击和防御技术，以及硬件设备在网络空间中的安全接入技术，除此之外还包括容灾技术、电子防护技术、干扰屏蔽技术等。网络的物理安全是保证整个计算机信息系统安全的前提。
物理安全分为环境安全、设备安全和介质安全3个方面。

2. 网络安全

网络安全指网络上信息系统的安全。主要的研究目标是保证连接网络实体的中间网络自身的安全，确保网络资源不被非授权使用，同时确保各种网络资源的完整性、可控性以及服务的可用性等。涉及各类无线通信网络、计算机网络和物联网等网络的安全协议、网络对抗攻击、安全管理、取证与追踪等。

网络层存在的安全问题主要是网络层数据在建立连接、数据传输等方面的隐患防治包括网络层的身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入的安全、域名系统的安全、路由系统的安全、入侵检测的手段、网络设施防病毒等主要安全问题的解决。可以使用杀毒软件、防火墙、入侵检测系统等进行检测和防护。

防火墙可以将内部网络和外部网络进行隔离，通过访问控制策略对出入的数据包放行或阻断，从而对内部网络进行保护。入侵检测系统可以提供实时的检测并采取相应的防护手段进行阻断和报警，以防止攻击事件的发送，阻止攻击者的入侵。

3. 系统安全

系统安全主要指网络内各终端和服务器使用的操作系统的安全。包括系统软件安全、应用软件安全、体系结构安全等多层的研究内容。接入互联网的个人设备可以分为主机和移动终端，主机所安装的典型操作系统有Windows XP、Windows 7、Windows 10等，移动终端所安装的操作系统有iOS、Android等。
操作系统的安全目标主要包括：

• 对用户进行身份鉴别
• 对用户操作进行存取控制
• 监督系统运行
• 保证系统自身的安全性和完整性。

系统不安全性主要表现在3个方面，一是操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问漏洞、系统漏洞等；二是操作系统的安全配置问题；三是病毒和木马对操作系统造成的威胁。
当前，系统安全的研究热点包括系统安全体系结构设计、系统脆肉性分析、软件的安全性分析、智能终端的用户认证技术等。

4. 数据安全

数据安全研究的主要目的是保证数据的保密性、完整性、不可否认性等特性。数据安全有两方面的含义：一是数据本身的安全，主要指的是采用现代密码算法对数据进行主动的保护，增强数据安全性，所采用的方式有公钥加密、采用双向的身份认证过程等；二是数据防护的安全，主要采用现代的信息存储手段对数据进行主动防护，如通过数据备份、磁盘阵列、异地容灾等方式，保证数据的安全。
数据安全的研究热点已经渗透到社会计算、电子取证、多媒体计算、云存储等多领域。具体内容包括数据隐私保护和匿名发布、网络环境下媒体内容安全、信息的聚集和传播分析、数据的访问控制等。

网络安全的属性与目标

1. 网络面临的主要威胁

网络中存储着大量的个人、企业或政府机关的相关信息，必然会成为攻击者攻击的目标。安全威胁是一种潜在的破坏安全的行为，比如未经授权泄露信息，未经授权毁坏或修改数据、设备或其他资源，信息或其他资源被盗窃、移动或损失，服务的中断或拒绝以及假冒或顶替得到授权的实体，等等。网络面临的威胁主要分为网络外部的威胁和网络系统自身的脆弱性。

常见的外部威胁包括以下几类：

（1）恶意程序通过网络传播

网络将各种各样的主机、服务器联通起来，使大量信息可以通过其互相传播，在方便了资源共享的同时，也滋生了许多安全隐患。网络用户在浏览恶意网站，或从不安全的站点或邮件中下载文件、程序时，往往会将一些恶意程序（如病毒、木马、蠕虫、流氓软件）一并带入自己的计算机，而用户本人对此毫不知情。直到有恶意广告不断弹出或带有不良信息的网站画面自动出现时，用户才有可能发觉计算机已经被攻陷，在恶意程序未被发现的这段时间，用户的所有敏感资料都有可能被盗走，比如账户信息、密码、重要文件等。

（2）黑客攻击

在网络的使用者眼中，计算机网络的头号安全莫过于黑客群体的大量增长。黑客是精通程序设计的人员和专家，他们会凭着对计算机系统各种漏洞的熟悉和了解，通过网络非法入侵他人的计算机系统，留下后门，窃取各种敏感数据，并且对用户在网上信息的传输过程中用各种手段，破坏信息传输的完整性，造成严重的后果。黑客攻击常常使用的方式有：嗅探、窃听、重放、假冒、流量分析、拒绝服务攻击等。

（3）电信诈骗和内部渗透

不法分子可以通过伪装成特定公务人员，通过电话、网络短信的方式，编造虚假信息，设置骗局，对用户进行远程、非接触式的诈骗，以获取敏感信息或钱财，这种方式称为电信诈骗，其采用的方式不断发展，形成了“社会工程学”。除此之外，内部用户的误操作、资源滥用和恶意行为也有可能对网络安全造成巨大的威胁。网络上的很多信息关系到国家、政府、军事、科学研究、经济以及金融，所以各行业、各单位都建设了局域网来进行非公开的数据交换，如果单位管理制度不严，不能严格遵守行业内部关于信息安全的相关规定，很容易引起安全问题，造成敏感信息泄露。

影响网络安全的不止前述的外部威胁，还包括网络自身的脆弱性。脆弱性指的是计算机或网络系统在硬件、软件、协议设计和安全策略等方面存在的缺陷，这些缺陷存在的直接后果是使非法用户、非授权用户获取访问权限，从而破坏网络系统。网络自身的脆弱性主要来自以下两个方面：主机系统的脆弱性、网络系统的脆弱性。

网络自身的脆弱性主要来自以下几个方面：

（1）主机系统的脆弱性

网络上各主机上的操作系统都正常工作时，用户才能够顺利使用网络提供的服务。计算机系统的硬件和软件发生故障都会影响整个网络的运行。
系统的硬件故障有电源故障、芯片主板故障、驱动器故障等，网络端口、传输线路和各种处理器因为电磁辐射也可能造成相关信息泄露。
系统的软件故障包括操作系统故障、应用软件故障和驱动程序故障等。

（2）网络系统的脆弱性

网络系统的脆弱性主要包括身份认证环节薄弱、网络协议自身存在的漏洞、安全配置不当等问题。攻击者可以利用TCP/IP协议、邮件协议等安全机制的漏洞，对网络进行嗅探等操作，获取用户的用户名和密码，登录到服务器端的管理系统，如果该系统未配置防火墙软件和检测软件，攻击者就可以入侵系统，修改数据库的相关参数和配置，破坏服务的安全性。
除此之外，管理员的安全意识淡薄造成管理不当，造成文件的误删除、输入错误、密码选择不慎、随意转借账号等问题，也会使网络系统面临威胁。

2. 网络安全的属性

根据网络安全面临的威胁，分析安全的需求，可以将网络安全基本属性概况为CIA三元组，即保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。

保密性是保证网络信息不被未授权者获取，只为授权用户使用的特性。信息只允许经过认证的人员以经过允许的方式使用，而不被泄露给未授权的用户、实体或过程，或供其利用。
完整性是网络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。要求保持数据的一致性，即信息的正确生成、正确存储和传输。
可用性是保证合法用户对信息资源的使用不会被不正当拒绝，网络资源在用户需要时即可被使用。

保密性、完整性和可用性是信息安全的基本属性。在这3个属性的基础上，又衍生出了可控性和不可否认性等多个属性。可控性指用户对信息的传播及内容具有控制能力的特性，信息接收方应能证实所收到的信息内容和顺序都是真实、合法、有效的，应能检验收到的信息是否过时或为重播的信息。信息交换的双方应能对对方的身份进行鉴别，以保证收到的信息是由确认的对方发送过来的，即确认实体身份的真实性；不可否认性是面向双方信息真实统一的安全要求，包括收发方均不可抵赖。通常通过数字签名技术来提供不可否认服务。

3. 网络安全的目标

网络安全的目标是确保网络系统中数据的安全，主要包括数据存储安全和数据传输安全。
数据存储安全是指数据在静态存放状态下的安全，即存储系统硬件，软件及数据不因偶然或恶意的因素而遭到更改、破坏，一般可以通过访问控制、身份认证等措施来保证。
数据传输安全是指数据在网络传输过程中的安全。在网络传输过程中，主要会出现5种攻击类型：
截获:未授权方从网络上窃取他人的通信内容，这是针对保密性的攻击。
篡改:未授权方获取了网络上传输的信息并故意更改其内容，这是针对完整性的攻击。
伪造:未授权方利用虚假的身份在系统中插入伪造信息，并在网络上传送。
中断:系统资源或正常通信被破坏或变得不可用，这是对可用性的攻击。
重放:未授权方截获目的主机已接收过的数据，然后再把这些数据发向目的主机，来达到欺骗系统的目的，主要针对身份认证的欺骗。

网络安全发展趋势

1. 网络安全的发展进程

网络安全的发展主要是伴随信息技术的发展而不断变化和演进的。

（1） 通信保密阶段

19世纪中叶以后，随着电磁技术的发展，产生了电报机和电话机，在通信领域产生了根本性的飞跃，开始了通信新时代。
在信息通信阶段，对数据安全的主要需求是通信保密，比如有线通信容易被搭线窃听，无线通信由于电磁波在空间传递容易被监听。因此信息安全保障的重点是传输内容的保密，主要通过密码技术解决通信保密，保证数据的保密性和完整性。
这一阶段的主要标志是1949年香农发表的《保密系统的通信理论》，将信息论引入到保密通信当中，使得密码技术上升到密码理论层面。

（2）计算机安全保密阶段

20世纪60年代后，半导体和集成电路技术的飞速发展推动了计算机软、硬件的发展，计算机和网络技术的应用进入了实用化和规模化阶段。计算机安全面临的主要威胁来自于非授权用户对计算资源的非法使用、对信息的修改和破坏。
20世纪70年代，美国国家标准局公布《数据加密标准》（DES），标志着由通信保密阶段进入计算机安全阶段。计算机安全的主要目的是确保信息系统资产（包括硬件、软件、固件和通信、存储与处理的信息）的保密性、完整性和可用性。
它的主要标志是1985年美国国防部发布可信计算机系统评估准则（TCSEC），俗称橘皮书，将操作系统安全分级（D、Cl、C2、Bl、B2、B3、Al），标志着解决计算机信息系统安全问题的研究和应用迈上了历史的新台阶。

（3） 网络安全阶段

从20世纪90年代开始，由于网络技术、特别是Internet的飞速发展，计算机之间互连形成覆盖整个组织机构甚至覆盖整个世界的信息系统，由此产生的安全问题跨越了时间和空间。信息系统安全的发展进入网络安全阶段，即通信安全和计算机安全的综合。这一时期的主要标志是信息技术安全性评估准则，将网络安全的三性（保密性、完整性和可用性）作为整个准则的出发点。人们开始广泛使用防火墙、入侵检测、杀毒软件等安全产品。

2. 网络攻击发展现状

Internet已经成为全球信息基础设施的骨干网络，其开放性和共享性使得网络安全问题日益突出。网络攻击方法乙由最初的密码破解、攻击系统漏洞发展为一门完整的科学，包括搜集攻击目标信息、获取攻击目标权限、实施攻击、隐藏攻击等。
（1） 网络攻击手段改变迅速，自动化程度和攻击速度不断提高

网络攻击手段发展非常迅速，出现很多新的扫描技术，如隐藏扫描、高速扫描、智能扫描、指纹识别等。以前依赖于人工发起的攻击现在已经可以由攻击工具自动发起，如“红色代码”和“尼姆达”，同时，分布式工具的出现，使得大规模的分布式拒绝服务攻击更为有效。

（2）网络攻击工具智能化

攻击工具开发者正在利用更先进的技术武装攻击工具。与以前相比，攻击工具的特征更难发现，更难利用特征进行检测。攻击工具具有3个特点：
反侦察：具有隐蔽特性的攻击工具的使用，需要网络管理人员和网络安全专家耗费更多时间分析和了解新出现的攻击工具及攻击行为。
攻击模式智能化：早期的自动攻击主要通过单一确定的顺序来发起攻击，新的自动攻击工具可以按照预定义的攻击模式、随机选择的攻击模式或由入侵者操作来发起攻击。
攻击工具变异：目前攻击工具可以通过升级或更换工具的一部分迅速变化自身，且多种攻击工具可以进行组合攻击。

（3）安全漏洞的发现和利用速度越来越快

黑客经常能够抢在厂商发布漏洞补丁之前发现这些漏洞并发起攻击。

（4） 有组织的攻击越来越多
（5）攻击的目的和目标在改变

早期以军事敌对为目标转变为民用目标，公司甚至个人计算机都成为攻击目标。

（6）攻击者的数量增加，破坏效果加大
（7） 防火墙渗透率越来越高

越来越多的攻击技术可以绕过防火墙，例如：IPP(打印协议)可以被攻击者利用来绕过防火墙。

（8）越来越不对称的威胁
（9） 对基础设施的威胁越来越大

目前基础设施面临着分布式拒绝服务攻击、蠕虫病毒、对Internet域名系统的攻击、路由器攻击等多种攻击方式。

3. 网络安全未来发展趋势

随着网络规模不断扩大，大量新技术不断涌现，物联网、人工智能、大数据等新型技术不断发展，下一代互联网技术逐渐兴起。但与此同时，更多的安全问题也成为安全研究的一个焦点。
（1）云安全问题
随着“云计算”技术的不断发展，越来越多的用户习惯于把自己的数据、文件存放在“云空间”上，但由于“云计算”的用户数量非常庞大，数据存放分散，很难提供安全保障，这就带来了非常严重的威胁。其一，“云”内所有业务统一的单点登录与权限管理使得海量用户的认证与接入过程非常脆弱，一旦入侵者攻入虚拟化管理平台，就会造成严重的损失。其二，“云计算”缺乏对数据内容的辨识能力，缺少检查和校验机制，会混进一些无效数据和伪造数据，在占用大量计算资源的同时也影响了“云计算”的效果。其三，其运用的虚拟化技术可以在二层网络中任意迁移，很难施行安全防护，容易导致密钥被盗、服务攻击等后果。
（2）物联网安全问题
物联网技术目前发展相对火热，越来越多的设备、产品可以通过网络交换信息。近年来，出现了一些以物联网为推力的网络攻击，如假冒攻击、数据驱动攻击、恶意代码攻击、拒绝服务攻击等方式。随着技术的发展，今后会出现更多的攻击渠道和攻击方式，物联网的业务安全需要得到更多重视。
（3）移动通信安全问题
智能手机的普及和4G无线通信技术的发展，移动网络的使用变得更加便捷，网络终端的数量日益增多，导致安全隐患也越来越多，各种木马和病毒有机会通过局域网侵入和损害用户利益。由于无线网络的控制中心和移动终端没有固定线路的连接，而是由无线信号传输，移动终端的身份验证信息在传输过程中就有可能被不法分子截获并入侵，盗取个人信息，甚至破坏控制中心导致访客的信息泄露，对用户的信息安全造成威胁，影响其工作和生活。

没用网络安全就没有国家安全

网络安全关系国家安全

网络安全问题是事关国家安全和国家发展，事关经济社会稳定运行，事关广大人民群众利益的重大战略问题。网络安全不仅仅是网络本身的安全，而是包括社会安全、基础设施安全、人身安全等在内的“大安全”概念。今日互联网与整个社会融为一体，任何形式的网络攻击都有可能影响到现实生活。网络安全事件的影响力和破坏性正在逐渐加大，需要建立与之相适应的保障体系。
自从计算机网络诞生后，网络安全的发展就与国家和社会、军事、经济等方面发展息息相关。例如比较有名的棱镜计划、“千年虫”事件。

网络安全事关个人安全

互联网给个人用户带来了方便，但用户在上网和通信过程中并不能得到严密的保护，大批黑客利用互联网传播木马病毒、发送垃圾信息和传播其他有害言论，并窃取用户的隐私信息，实施网络犯罪，使用户的财产、设备、隐私等受到损害。
对用户的工作和生活造成了极大的消极影响。因此，构建一个和谐、安全的网络空间对于个人用户的学习、工作、生活等方面都起着至关重要的作用。用户在上网过程中常会受到以下几个方面侵害：

1. 木马病毒

黑客利用网络的开放性将大量木马、病毒在网上传播，导致用户在浏览网页邮件，信息的过程中遭受侵害，造成用户的计算机出现资源占用、文件丢失、运行速度变慢、变卡等异常，甚至出现黑屏、死机等情况，而黑客可以通过这些病毒和木马窃取用户的账户和隐私信息，对用户造成严重危害。比如：熊猫烧香病毒。

2. 网络诈骗

非法份子利用虚构事实或隐瞒真相，对用户实行网络诈骗和网络钓鱼，骗取用户财物。例如，盗取用户QQ号、邮箱账号等，发布虚假信息，对亲朋好友进行诈骗。比如：勒索病毒。