第一章 计算机网络安全绪论

TCP/IP的成功应用把全世界的计算机和网络连接到一起，形成了一个开放性的全球网络系统——互联网。自1988年起，互联网的规模就保持着每年翻一番的增长速度。

但互联网的安全状况却并不乐观。随着商业、政务、金融等不同领域在互联网上业务的开展，越来越多不同背景和不同动机的参与者加入到互联网环境中，现实社会中的各种违法犯罪行为在互联网中也不断出现，互联网不再是当初以教育和科研为主要目的的校园式互信开放环境，它已成为最主要的网络攻击目标，其安全漏洞的出现速度实际上已经超过了互联网规模的增长速度。

便捷的网络环境，拉近了攻防双方的距离。1988年11月Robert T. Morris的“Internet蠕虫”事件，导致数以千计的联网主机遭受攻击，引起了全社会对安全问题的关注。随着互联网的快速发展，各种网络攻击，如IP欺骗、TCP连接劫持、拒绝服务、网络窃听等明显增多，而伴随动态Web而出现的各种新技术，为网络攻击提供了更多的可能性。

信息安全的研究是伴随着计算机的普及和发展而兴起的，网络环境下复杂的安全状况更推动了信息安全领域研究的发展和深入。防火墙、入侵检测系统和密码学等领域的研究蓬勃发展，各国计算机应急事件反应小组相继成立，信息安全问题已经成为各国家、各部门、各行业乃至每个计算机用户极为关注的重要问题。

第一节 信息安全概述

一、信息安全的定义

信息安全并没有统一的定义。按照美国电信和信息系统安全委员会（NSTISSC）的说法，信息安全是对信息、系统以及使用、存储和传输信息的硬件的保护。从广义来理解，这种保护手段应该不仅包括技术，还应包括策略、法规和教育等。

二、信息安全的特征

信息的安全性有自己的特征。这些特征体现了信息的价值，但对于不同的用户来说，同样的特征却可能具有不同的价值。

（一）保密性：防止信息有意或无意地被非授权泄露。

（二）完整性：防止信息被非授权修改、保持信息的内外部一致。

（三）可用性：保证信息可以被授权者及时、可靠地访问。

（四）可控性：对信息的保密性进行控制的能力。

（五）不可抵赖性：信息源对信息无法否认或抵赖的特性。

信息安全的主要任务就是保证信息的这些特征。

三、信息安全的研究内容

随着信息技术的发展与应用，信息安全的内涵在不断的延伸，从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性，进而又发展为“攻（攻击）、防（防范）、测（检测）、控（控制）、管（管理）、评（评估）”等多方面的基础理论和实施技术。

就理论研究而言，一些关键的基础理论需要保密，因为从基础理论研究到实际应用的距离很短。现代信息系统中的信息安全其核心问题是密码理论及其应用，其基础是可信信息系统的构建与评估。总的来说，目前在信息安全领域人们所关注的焦点主要有以下几方面： 

密码理论与技术； 

安全协议理论与技术； 

安全体系结构理论与技术； 

信息对抗理论与技术； 

网络安全与安全产品。 

第二节 网络体系结构

一、 ISO模型

计算机网络是由多个的计算机通过通信线路和通信设备互连起来的系统，以实现彼此交换信息和共享资源的目的。

计算机网络具有以下功能：

数据通信：网络系统中各相连的计算机能够相互传送数据信息，使相距很远的用户之间能够直接交换数据。

资源共享：网络中的软件，硬件资源如外部设备、文件系统和数据等可为多个用户所共享。

并行和分布式处理：在计算机网络中用户可根据问题的性质和要求选择网内最合适的资源来处理。对于综合性的大问题，可以采用合适的算法，将任务分散到不同的计算机上进行分布和并行处理。

提高可靠性：由于控制、数据、软件和硬件的分散性（不存在集中环节），资源冗余以及结构上可动态重组提高了可靠性。

好的可扩充性：随着用户需求的增长，包括性能方面和功能方面的增长，只需增加新节点数，而不必替换整个系统。

计算机网络要完成数据处理和数据通信两大功能。相应地，网络结构可以分成两大部分：负责数据处理的计算机和终端；负责数据通信的通信控制处理机CPP(Communication Control Processor)、通信线路。计算机网络从逻辑功能上可以分为两个子网：资源子网和通信子网，其结构如图1－1。

图1－1 资源子网和通信子网

计算机网络由若干个相互连接的节点组成，在这些节点之间要不断地进行数据交换。要进行正确的数据传输，每个节点就必须遵守一些事先约定好的规则，这些规则就是网络协议。

    为了减少网络设计的复杂性，大多数网络在设计上都是分成不同功能的多个层次的。图1-2是国际标准化组织ISO-OSI网络参考模型，图1-3是以报文传输的形式演示了图1-2中的通信过程。

二、协议功能

各层协议是通信双方在通信过程中的约定，规定有关部件在通信过程中的操作以保证正确地进行通信。各层的主要功能如下：

（一）物理层：该层负责建立、保持和拆除物理链路；规定如何在此链路上传送原始比特流，在物理层数据的传送单位是比特(bit)。

（二）数据链路层：它把相邻两个节点间不可靠的物理链路变成可靠的无差错的逻辑链路，包括把原始比特流分帧、排序、设置检错、确认、重发、流控等功能；数据链路层传输信息的单位是帧(frame)； 

（三）网络层：网络层的主要任务是要选择合适的路由和交换节点，透明地向目的站交付发送站所发的分组或包，传送的信息单位是分组或包(packet)；

上述三层组成了所谓的通信子网，用户计算机连接到此子网上。通信子网负责把一个地方的数据可靠地传送到另一个地方，但并未实现两个地方主机上进程之间的通信。

（四）传输层：传输层向上一层提供一个可靠的端—端的服务，使上一层看不见下面几层的通信细节；对于传输层的功能，主要在主机内实现，而对于物理层、数据链路层以及网络层的功能均在报文接口机中实现，对于传输层以上的各个层次的功能通常在主机中实现；传输层传送的信息单位是报文(message)；

（五）对话层：又称会话层，它允许两个计算机上的用户进程建立对话连接，双方相互确认身份，协商对话连接的细节； 

以上两层为两个计算机上的用户进程或程序之间提供了正确传送数据的手段。

（六）表示层：主要解决用户信息的语法表示问题。表示层将数据从适合于某一系统的语法转变为适合于OSI系统内部使用的语法；另外，数据加密、解密、信息压缩等都是本层的典型功能；

（七）应用层：处理用户的数据和信息，由用户程序（应用程序）组成，完成用户所希望的实际任务。

图1-2 OSI的参考模型

图1-3 层间通信与对等层间通信

第三节 TCP/IP协议

所有关于Internet网络的正式标准都以RFC（Request for Comment）文档出版。还有大量的RFC文档并不是正式的标准，出版的目的只是为了提供相关的信息。RFC文档的每一项都用一个数字来标识，例如RFC983，数字值越大说明RFC文档的内容越新。

Internet连接了不同国家与地区无数不同类型的电脑，可能是某个校园网的大型主机，也可能是某个办公室的个人电脑。硬件千差万别，使用的操作系统与软件也各不相同，要保证这些电脑之间能够畅通无阻地交换信息，必须有相通的语言，即统一的通信协议。

Internet中这个统一的通信协议就是TCP/IP协议集。TCP/IP (Transmission Control Protocol/Internet Protocol) 是Internet 运行的基础, 是目前应用最广泛的网络通信协议, 现在已经成为企业网络的事实标准。许多网络操作系统 (NOS), 例如Windows NT 4.0 Server, Windows 2000 Server, UNIX 以及 Novell Netware 5.0 等, 都以TCP/IP作为缺省的网络协议。

TCP/IP 是一个可以路由的协议栈, 可运行在许多不同的软件平台上。TCP/IP 包含了许多成员协议从而构成了实际的TCP/IP协议栈。 TCP/IP 的出现早于OSI 模型, 因此TCP/IP协议栈中的各层不会和OSI 模型的各层直接对应起来。TCP/IP由五层构成：物理层、数据链路层、网络层、传输层和应用层。TCP/IP中的应用层可以等同于OSI的会话层、表示层和应用层的结合。

在传输层中，TCP/IP定义了两个协议：TCP和UDP。在网络层，尽管还有其它协议支持数据传输，TCP/IP定义的主要协议是IP。

在数据链路层和物理层，TCP/IP没有定义任何特定的协议。它支持下面将要介绍的各种协议。图1-4 描述了TCP/IP 和OSI 模型的对应关系。

图1-4 TCP/IP和OSI模型

TCP/IP是一个复杂的协议集, 其中有许多协议对用户是透明的。TCP/IP中各层的主要功能如下：

（一）物理层。这一层定义了基本的网络硬件。它的功能和OSI/RM的第一层的功能相对应。

（二）链路层。这一层定义了怎样把数据组织成帧和计算机怎样通过网络传输帧。它的功能和OSI/RM的第二层的功能类似。

（三）网络层或Internet层。这一层规定了包格式以及包怎样从一个计算机上经过一个或多个路由器到达目的计算机。这一层包含了IP（Internet Protocol）协议、ICMP（Internet Control Message Protocol）协议和IGMP（Internet Group Management Protocol）协议。

（四）传输层。这一层大致对应着OSI/RM的传输层。这一层有两个协议，即TCP（Transmission Control Protocol）协议和UDP（User Datagram Protocol）协议。TCP通过应答机制提供可靠的传输。UDP协议提供不可靠的传输，维持可靠性的任务留给高层来完成。但它比TCP要高效，常用于实时应用中，在这种情况下，应用程序要考虑可靠性的问题。

（五）应用层。这一层大致对应于OSI/RM的上三层，它提供的服务包括：Telnet、FTP（File Transfer Protocol）、SMTP（Simple Mail Transfer Protocol）、NSP（Name Server Protocol）和SNMP（Simple Network Management Protocol）等。