1.1 引言

在計算機發明之前，人們主要靠物理手段（如保險柜）和行政手段（如制定相應的規章制度）來保證重要信息的安全。在第二次世界大戰期間，人們發明了各種機械密碼機，以保證軍事通信的安全。雖然這些機械密碼機在今天看來其安全性非常有限，但它們在第二次世界大戰中戰功卓著，其設計的精巧令人驚嘆。第二次世界大戰期間使用的各種機械密碼機如圖1.1所示。

自1946年2月14日世界上第一臺計算機ENIAC在美國賓夕法尼亞大學誕生以來，人們對信息安全的需求經歷了兩次重大的變革。計算機的發明給信息安全帶來了第一次變革。計算機用戶的許多重要文件和信息均存儲于計算機中，因此對這些文件和信息的安全保護成為一個重要的研究課題。人們迫切需要自動的加密工具對這些重要文件和機密數據進行加密，同時需要對這些文件設置訪問控制權限，還需要保證數據免遭非法篡改。這一切均屬于計算機安全的研究范疇。

計算機網絡及分布式系統的出現給信息安全帶來了第二次變革。人們通過各種通信網絡進行數據的傳輸、交換、存儲、共享和分布式計算。網絡的出現給人們的工作和生活帶來了極大的便利，但同時也帶來了極大的安全風險。在信息傳輸和交換時，需要對通信信道上傳輸的機密數據進行加密；在數據存儲和共享時，需要對數據庫進行安全的訪問控制和對訪問者授權；在進行多方計算時，需要保證各方機密信息不被泄露。這些均屬于網絡安全的范疇。

實際上，上述兩種形式的安全并沒有明確的界限。目前，幾乎所有的計算機均與Internet相連，計算機主機的安全會直接影響網絡安全，網絡安全也會直接導致計算機主機的安全問題。例如，對信息系統最常見的攻擊就是計算機病毒，它可能最先感染計算機的磁盤和其他存儲介質，然后加載到計算機系統上，并通過Internet進行傳播。

本書主要討論網絡安全，涉及內容非常廣泛。本書既包括計算機網絡安全的問題，又包括通信網安全的問題。為了便于讀者對本書所討論的內容有比較感性的認識，我們先舉幾個與網絡安全有關的例子。

（1）用戶Alice向用戶Bob傳送一個包含敏感信息（如工資單）的文件。出于安全考慮，Alice將該文件加密。惡意的竊聽者Eve可以利用數據嗅探軟件在網絡上截獲該加密文件，并千方百計地對其解密以求獲得該敏感信息。

（2）網絡管理員Alice向計算機Bob發送一條消息，命令計算機Bob更新權限控制文件以允許新用戶可以訪問計算機。攻擊者Eve截獲并修改該消息，并冒充管理員向計算機Bob發出修改訪問權限的命令，而Bob誤以為是管理員發來的消息并按照Eve的命令更新權限文件。

（3）在網上進行電子交易時，客戶Alice會將訂單發給商家Bob。Bob接到訂單后，會與客戶的開戶行聯系，以確認客戶的賬戶存在并有足夠的支付能力。此后，商家將確認信息發給客戶，并自動將貨款劃撥到商家的賬戶上。如果Bob是不法商家，他在收到貨款后，會拒絕給客戶發貨，或者抵賴，否認客戶曾經下過訂單。

（4）用戶Alice購買了一部移動電話，在使用網絡服務之前，她必須通過注冊獲得一個SIM或UIM卡。當她打開手機時，網絡會對Alice的身份進行認證。如果Alice是一個不法用戶，她可以使用盜取的SIM/UIM卡免費使用網絡提供的服務；當然，如果基站是假冒的，它也會獲取Alice的一些秘密個人信息。

雖然以上例子無法涵蓋網絡中存在的所有安全風險，但是這些例子使我們對網絡安全的重要性有初步的理解。

一般來說，信息安全有以下三個基本目標。

（1）保密性（Confidentiality）：確保信息不被泄露或呈現給非授權的人。

（2）完整性（Integrity）：確保數據的一致性；特別要防止未經授權生成、修改或毀壞數據。

（3）可用性（Availability）：確保合法用戶不會無緣無故地被拒絕訪問信息或資源。

在今天的網絡環境下，還有一個基本的目標是不能被忽視的，它就是合法使用。

（4）合法使用（Legitimate Use）：確保資源不被非授權的人或以非授權的方式使用。

為了支持這些基本的安全目標，網絡管理員需要有一個非常明確的安全策略，并且需要實施一系列安全措施，確保安全策略所描述的安全目標能夠得以實現。安全措施可以分成幾個大類，本書討論的內容屬于網絡安全的范疇，它包括網絡邊界安全、Web安全及電子郵件安全等內容。此外，還有兩大類分別屬于通信安全和計算機安全的范疇。通信安全是對通信過程中所傳輸的信息施加保護，而計算機安全則是對計算機系統中的信息施加保護，它也包含操作系統安全和數據庫安全兩個子類。網絡安全、通信安全和計算機安全措施需要與其他類型的安全措施（如物理安全和人員安全措施）配合使用，才能更有效地發揮其作用。

在本章中，我們主要介紹如下一些基本概念：

● 網絡安全需求；

● 安全威脅與防護措施；

● 網絡安全策略；

● 安全攻擊的分類；

● 網絡攻擊的常見形式；

● 網絡安全服務；

● 網絡安全機制；

● 網絡安全的一般模型。

在后面的章節中，我們將詳細討論網絡安全實踐中常用的理論和技術，并結合一些具體的網絡應用，介紹一些網絡安全產品和網絡安全解決方案。