第8章通信网络安全

原创

已于 2024-09-27 22:25:37 修改 · 1.4k 阅读

13 ·

CC 4.0 BY-SA版权

文章标签：

#通信网络安全

于 2024-01-18 17:04:54 首次发布

文章目录

8.1 信息系统安全概述
8.2 电信网络安全
8.3 计算机网络安全

8.1 信息系统安全概述

8.1.1 信息系统的构成和分类

信息系统是将用于收集、处理、存储和传播信息的部件组织在一起而成的相关联的整体，一般是由计算机硬件、网络和通信设备、计算机软件、信息资源和信息用户组成。它是以处理信息流为目的的人机一体化系统。信息系统主要有输入、存储、处理、输出和控制5个基本功能。
1、信息系统的构成
从广义上来说，信息系统是信息获取、信息传递、信息处理和信息应用的设施整体。信息系统由信息基础设施和信息业务系统组成。
(1)信息基础设施
信息基础设施是信息系统的公用设施，由电信网络和计算机系统构成，如图8-2所示。
在这里插入图片描述
电信网络功能部分包括传递功能和控制功能；电信参考点(电信网络平台)除了支持计算机功能之外，还能够直接支持信息传递(电信)业务；计算机系统功能部分包括人机接口功能、处理存储功能、基本件功能和中间件功能。应用程序接口(计算机平台)直接支持信息处理(计算机)业务。
按照功能结构可以把信息基础设施分成以下3类。
第一类信息基础设施：电信网络。电信网络支持信息传递业务，即电信业务。支持电信业务的平台是电信参考点(Telecommunication Reference Point，TRP)。
第二类信息基础设施：计算机网络。计算机网络由电信网络和计算机系统组成，支持信息传递和信息处理业务。支持信息传递和处理业务的平台是应用程序接口(Application Programming Interface，API)。
第三类信息基础设施：计算机系统。计算机系统支持信息处理业务。支持信息处理业务的平台是应用程序接口。
通常习惯上认为信息基础设施是由电信网络和计算机系统组成的。但是，在工程应用中，大量的信息基础设施仅仅是由电信网络或计算机系统组成的。因此，电信网络与信息基础设施属于不同层次的概念。

(2)信息业务系统
信息业务系统是信息系统有关信息业务的设施，实施信息获取和信息应用功能。

2、信息系统的分类
多种多样的信息业务系统与各类信息基础设施组合，可以形成多种多样的信息系统。
(1)电话网
第一类信息基础设施(电信网络)与电话业务系统组成的信息系统，支持电话业务，通常称为电话网。
(2)广播电视网
由第一类信息基础设施(电信网络)与广播电视业务系统组成的信息系统，支持广播电视业务，通常称为广播电视网。
(3)特定应用的计算机系统
第三类信息基础设施(计算机系统)与特定的业务系统组成的信息系统，支持特定的业务，通常称为特定的计算机系统，例如气象分析计算机。

8.1.2 信息系统安全

1、信息系统中的安全概念

安全是指避免危险、恐惧和忧虑的度量和状态。
信息安全通常是指信息在采集、传递、存储和应用等过程中的完整性、机密性、可用性、可控性和不可否认性。所以，为了实现信息安全，需要做到以下几点。
(1)建立信息安全管理机制，制定信息安全策略。
(2)制定信息安全测评标准，评估和划分安全等级。
(3)使用安全管理产品和网络以保障采集、传递、存储和应用时的机密性、完整性、可用性、
可控性及不可否认性。
(4)应用检测机制获悉当前安全状态。
(5)通过故障和灾难恢复机制解决出现的问题。

目前，综合我国的现状，通信网络安全所面临的威胁主要来源归纳起来主要包括以下3个方面。
(1)天灾：主要是指不可控制的自然灾害，如雷击和地震等。天灾轻则造成正常的业务工作混乱，重则造成系统中断和无法估量的损失。
(2)人为因素：人为因素可分为有意和无意两种类型。人为的无意失误和各种各样的误操作都可能造成严重的后果，如文件的误删除、错误输入的数据、操作员安全配置不当、用户的口令选择不慎，口令保护得不好、用户将其账号随意借给他人或与别人共享等，都可能会对通信网络带来威胁。“有意”是指人为的恶意攻击，违纪、违法和犯罪，它是通信网络面临的最大威胁。人为的恶意攻击又可分为两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一种是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取和破译以获得重要机密信息。
(3)系统本身的原因：主要包括硬件系统、网络设备的故障、软件的漏洞及软件的“后门”。

2、信息系统安全问题的发展演变

信息系统经过多年的发展，目前已形成了比较完备的安全体系。
(1)通信保密年代
20世纪40年代，在军用通信系统之中出现了窃密问题。于是，从通信技术队伍中分离出一部分专家，专门从事信息自身安全的工作，即加密、解密和破译密码研究。此时，信息系统的安全构件只有机密性。满足机密性的核心技术是传统的密码技术。后人把这个历史时期称为“信息系统的通信保密年代”。在此期间，中心任务是把“信息”保护起来。通信保密与通信系统没有直接关系，只是把通过通信系统的信号加密。
(2)计算机系统安全年代
20世纪70年代，出现了敌人窃取、篡改和伪造计算机系统信息的问题。于是，在信息安全专家队伍中，逐渐形成了以计算机专家为主的计算机系统安全专业队伍。此时，信息系统的安全构件扩展到机密性、完整性、可用性、可控性和可追溯性。后人把这个历史时期称为“信息系统的计算机系统安全年代”。在此期间，中心任务是把“计算机系统”保护起来。计算机系统安全与
通信系统没有直接关系，只是利用诸如防火墙这类设施把计算机系统与通信系统隔离开来。
(3)计算机网络安全年代
20世纪90年代，出现了计算机网络病毒和黑客攻击问题。于是，从信息安全技术专家和计算机系统安全技术专家中，分离出部分专家，专门从事计算机网络的安全防卫工作。他们早期的主要任务是计算机网络的防卫，近期任务重点逐渐转为与计算机网络支持的信息业务系统的对抗。这时，信息系统的安全构件扩展到保护、探测、响应、控制和报告。后人把这个历史时期称为“信息系统的计算机网络安全年代”。在此期间，中心任务是把“计算机网络”保护起来。计算机网络安全与通信系统没有直接关系，只是利用诸如防火墙这类设施把计算机局域网与通信系统隔离开来。
(4)向网络世界安全过渡年代
在通信保密年代初期，保密曾经是通信的组成部分，但信息安全与通信各自形成了单独的技术领域，信息安全技术和电信网络技术分别按自身的内在规律发展着。后来，计算机系统安全逐渐融入计算机网络安全。计算机网络是由计算机系统和电信网络组成的信息基础设施，计算机网络安全包括计算机系统安全和电信网络安全。计算机网络安全所采用的3类主流技术是防火墙、入侵检测和漏洞扫描，其中：①防火墙技术主要防止来自电信网络的对于计算机系统的攻击，从而保护计算机系统；②入侵检测技术的“入侵”,主要是对抗来自电信网络的对于计算机系统的攻击；③漏洞扫描技术是扫描计算机系统的漏洞，以消除对于计算机系统的潜在威胁。可见，这些技术都是用于保护计算机系统的，并不关注电信网络。
计算机网络安全的概念，后来逐渐简化演变成为“网络安全”概念，但“网络安全”并不包括“电信网络安全”,这就是美国2005年提出“网络空间(Cyber) 安全”概念的原因。提出“网络空间安全”概念标志着信息系统安全进入网络空间安全年代。
(5)网络空间安全概念
美国提出的网络空间概念等同于国际电信联盟提出的“信息基础设施”概念。提出网络空间安全概念说明：追求信息基础设施安全(或计算机网络安全),只考虑计算机系统安全不可能达到目的，必须同时考虑计算机系统安全和电信网络安全两个方面。
近年计算机网络安全对抗经历着深刻的变化，面对新的攻防斗争形势，寻求全新的概念、理论和方法，电信网络的安全问题严重影响着计算机网络安全，提出网络空间安全概念是一个重要的里程碑标志。

3、信息系统的安全结构

根据上述内容，可以归纳出比较简明的信息系统安全结构。信息系统安全包括信息安全和信息基础设施安全。其中，信息安全包括信息应用安全和信息自身安全；信息基础设施安全包括计算机系统安全和电信网络安全。此处，信息基础设施是采用国际电信联盟的定义，美国称之为网络空间。本章关注的内容是信息基础设施安全，具体来说就是计算机系统安全和电网络安全。

8.1.3 信息系统的安全保护等级

目前，国际上的安全评估标准主要有可信计算机系统评估准则(Trusted Computer System Evaluation Criteria,TCSEC)、信息技术安全评估准则(Information Technology Security Evaluation Criteria,ITSEC)、可信计算机产品评估准则(Canadian Trusted Computer Product Evaluation Criteria, CTCPEC)、联邦信息技术安全准则(Federal Criteria,FC)、信息技术安全性评估通用准则(Common Criteria,CC) 、BS7799 标准 (British Standards) 及我国有关网络信息安全的相关标准。下面仅介绍TCSEC 标准和我国有关网络信息安全的相关标准。