網絡安全與保密（第二版）課件：網絡安全綜述

網絡安全綜述1.1安全的概念和術語1.2網絡安全威脅1.3網絡攻擊1.4X.800安全體系結構1.5X.805安全體系框架1.6網絡安全模型1.7安全評估與風險管理本章小結參考文獻思考題

1.1安全的概念和術語

安全的最大問題是如何確定安全的度。拿一間私人住宅來說，我們可以設想出一系列安全性逐步遞增的措施：(1)掛一窗簾以免讓人從外面窺視到房子里的一舉一動。(2)門上加鎖，以免讓小偷入內。(3)養(yǎng)一只大狼狗，將不受歡迎之人拒之門外。(4)警報系統(tǒng)，檢測入侵的不速之客。(5)帶電圍墻、籬笆并增派門衛(wèi)。

顯然，我們可以有更多的安全措施。但是一般我們是基于以下三個因素來選擇一個合適的安全目標：

(1)安全威脅(如你的鄰居是誰？)。

(2)被保護物品的價值(如你有多少梵高的畫？)。

(3)安全措施所要達到的目標(objective)。

最后一個因素同另外兩個相比較雖然不是很明顯，但同等重要。同樣是上面那個例子：如果我們的目標是保密性，那么最合適的安全措施應當是掛窗簾。

安全措施的目標主要有以下幾類：

(1)訪問控制(AccessControl)：確保會話對方(人或計算機)有權做他所聲稱的事情。

(2)認證(Authentication)：確保會話對方的資源(人或計算機)同他聲稱的相一致。

(3)完整性(Integrity)：確保接收到的信息同發(fā)送的一致。

(4)審計(Accountability)：確保任何發(fā)生的交易在事后可以被證實。收發(fā)雙方都認為交換發(fā)生過。即所謂的不可否認性(Non-repudiation)。

(5)保密(Privacy)：確保敏感信息不被竊聽，通常方法是加密。

所有這些目標同你所要傳輸?shù)男畔⑹敲芮邢嚓P的。

網絡安全還必須考慮網絡環(huán)境。網絡環(huán)境包括在計算設備上運行的軟件、在這些設備上存儲以及傳送的信息或這些設備生成的信息。容納這些設備的設施和建筑也是網絡環(huán)境的一部分。網絡安全必須將這些因素考慮在內。

1.2網絡安全威脅

網絡話題分散而復雜。網絡的不安全因素，一方面是來自于其內在的特性—先天不足?；ヂ?lián)網連接著成千上萬的區(qū)域網絡和商業(yè)服務供應商的網絡。網絡規(guī)模增大，通信鏈路增長，網絡的脆弱性(Vulnerability)和安全問題也隨之增加。而且互聯(lián)網在設計之初是以提供廣泛的互連、互操作、信息資源共享為目的的，因此其側重點并非在安全上。這在當初把互聯(lián)網作為科學研究用途是可行的，但是在當今電子商務炙手可熱之時，網絡安全問題已經成為一種阻礙。

另一方面是缺乏系統(tǒng)的安全標準。眾所周知IETF(InternetEngineeringTaskForce因特網工程任務組)負責開發(fā)和發(fā)布互聯(lián)網使用標準。隨著互聯(lián)網商業(yè)味道越來越濃，IETF的地位變得越來越模糊不清。相反各個制造商為了各自的經濟利益采用自己的標準，而不是遵循IETF的標準化進程。

1.2.1脆弱性、威脅和風險

安全脆弱性是指系統(tǒng)設計、實現(xiàn)或運行中的、可被利用來破壞系統(tǒng)安全性的瑕疵或弱點(RFC2828)。安全脆弱性不是風險、威脅或攻擊。

弱點有四種類型。威脅型弱點來源于預測未來威脅(例如7號信令系統(tǒng))的困難；設計和規(guī)范型弱點來源于協(xié)議設計中的錯誤或疏忽使其天生的不安全(例如IEEE802.11b中的WEP協(xié)議)；實現(xiàn)型弱點是協(xié)議實現(xiàn)中的錯誤產生的弱點；運行和配置型弱點來源于實現(xiàn)時選項的錯誤使用或不恰當?shù)牟际鹫?例如在網絡中沒有強制使用加密)。

根據(jù)ITU-TX.800，安全威脅是對安全潛在的侵害，是危及信息系統(tǒng)環(huán)境安全的行為或事件。威脅有三個要素：

(1)目標：可能受到攻擊的一個安全方面。

(2)作用者：進行威脅的人或機構。

(3)事件：構成威脅的行為類型，是威脅的作用者可能對機構造成損害的方式。

威脅既可能是主動性的(當系統(tǒng)狀態(tài)可被改變時)，又可能是被動性的(不改變系統(tǒng)狀態(tài)但非法泄露信息)。偽裝成合法主體和拒絕服務是主動性威脅的例子，竊聽獲取口令是被動性威脅的例子。威脅方可能是黑客、恐怖分子、破壞分子、有組織犯罪或政府發(fā)起的，但相當數(shù)量的威脅來自組織內部人員。

安全風險來源于安全脆弱性與安全威脅的結合。例如，操作系統(tǒng)應用的溢出漏洞(即脆弱性)加上黑客的知識、合適的工具和訪問(即威脅)可產生萬維網服務器攻擊的風險。安全風險的后果是數(shù)據(jù)丟失、數(shù)據(jù)損壞、隱私失竊、詐騙、宕機及失去公共信任。

1.2.2網絡威脅的類型

威脅定義為對脆弱性的潛在利用，這些脆弱性可能導致非授權訪問、信息泄露、資源耗盡、資源被盜或者被破壞。網絡安全與保密所面臨的威脅可以來自很多方面，并且是隨著時間的變化而變化。網絡安全的威脅可以是來自內部網或者外部網，根據(jù)不同的研究結果表明，大約有80%～95%的安全事故來自內部網。顯然只有少數(shù)網絡攻擊是來自互聯(lián)網。一般而言，主要的威脅種類有：

(1)竊聽或者嗅探：在廣播式網絡信息系統(tǒng)中，每個節(jié)點都能讀取網上傳輸?shù)臄?shù)據(jù)。對廣播網絡的基帶同軸電纜或雙絞線進行搭線竊聽是很容易的，安裝通信監(jiān)視器和讀取網上的信息也很容易。網絡體系結構允許監(jiān)視器接收網上傳輸?shù)乃袛?shù)據(jù)幀而不考慮幀的傳輸目的地址，這種特性使得偷聽網上的數(shù)據(jù)或非授權訪問很容易且不易被發(fā)現(xiàn)。

(2)假冒：當一個實體假扮成另一個實體時，就發(fā)生了假冒。一個非授權節(jié)點，或一個不被信任的、有危險的授權節(jié)點都能冒充一個授權節(jié)點，而且不會有多大困難。很多網絡適配器都允許網絡數(shù)據(jù)幀的源地址由節(jié)點自己來選取或改變，這就使冒充變得較為容易。

(3)重放：重放是重復一份報文或報文的一部分，以便產生一個被授權的效果。當節(jié)點拷貝發(fā)到其它節(jié)點的報文并在其后重發(fā)時，如果接收節(jié)點無法檢測該數(shù)據(jù)包是重發(fā)的，那么接收將依據(jù)此報文的內容接受某些操作，例如報文的內容是關閉網絡的命令，則將會出現(xiàn)嚴重的后果。

(4)流量分析：它能通過對網上信息流的觀察和分析推斷出網上的數(shù)據(jù)信息，比如有無傳輸、傳輸?shù)臄?shù)量、方向、頻率等。因為網絡信息系統(tǒng)的所有節(jié)點都能訪問全網，所以流量的分析易于完成。由于報頭信息不能被加密，所以即使對數(shù)據(jù)進行了加密處理，也可以進行有效地流量分析。

(5)破壞完整性：有意或無意地修改或破壞信息系統(tǒng)，或者在非授權和不能監(jiān)測的方式下對數(shù)據(jù)進行修改。

(6)拒絕服務：當一個授權實體不能獲得應有的對網絡資源的訪問或當執(zhí)行緊急操作被延遲時，就發(fā)生了拒絕服務。拒絕服務可能由網絡部件的物理損壞而引起，也可能由使用不正確的網絡協(xié)議而引起(如傳輸了錯誤的信號或在不適當?shù)臅r候發(fā)出了信號)，也可能由超載而引起，或者由某些特定的網絡攻擊引起。

(7)資源的非授權使用：即與所定義的安全策略不一致的使用。因常規(guī)技術不能限制節(jié)點收發(fā)信息，也不能限制節(jié)點偵聽數(shù)據(jù)，一個合法節(jié)點能訪問網絡上的所有數(shù)據(jù)和資源。

(8)陷阱門/特洛伊木馬：非授權進程隱藏在一個合法程序里從而達到其特定目的。這可以通過替換系統(tǒng)合法程序，或者在合法程序里插入惡意代碼來實現(xiàn)。

(9)病毒：目前，全世界已經發(fā)現(xiàn)了上萬種計算機病毒，而且新型病毒還在不斷出現(xiàn)。比如，保加利亞計算機專家邁克·埃文杰制造出了一種計算機病毒“變換器”，它可以設計出新的更難發(fā)現(xiàn)的“多變形”病毒。該病毒具有類似神經網絡細胞式的自我變異功能，在一定的條件下，病毒程序可以無限制的衍生出各種各樣的變種病毒。隨著計算機技術的不斷發(fā)展和人們對計算機系統(tǒng)和網絡依賴程度的增加，計算機病毒已經構成了對計算機系統(tǒng)和網絡的嚴重威脅。

(10)誹謗：利用網絡信息系統(tǒng)的廣泛互聯(lián)性和匿名性，散布錯誤的消息以達到詆毀某人或某公司形象和知名度的目的。

1.3網絡攻擊

1.3.1網絡攻擊的定義“攻擊”是指任何的非授權行為。攻擊的范圍從簡單的使服務器無法提供正常的服務到完全破壞、控制服務器。在網絡上成功實施的攻擊級別依賴于用戶采用的安全措施。攻擊的法律定義是：攻擊僅僅發(fā)生在入侵行為完全完成而且入侵者已經在目標網絡內。但專家的觀點是：可能使一個網絡受到破壞的所有行為都被認定為攻擊。．

網絡攻擊可以被分成以下兩類：

1．被動攻擊(PassiveAttacks)

在被動攻擊中，入侵者簡單地監(jiān)視所有信息流以獲得某些秘密。這種攻擊可以是基于網絡(跟蹤通信鏈路)或基于系統(tǒng)(用秘密抓取數(shù)據(jù)的特洛伊木馬代替系統(tǒng)部件)的。被動攻擊是最難被檢測到的，如圖1-1所示。圖1-1被動攻擊威脅所傳輸信息的保密性

根據(jù)入侵者能夠截獲和提取的信息的不同，被動攻擊可以分為被動搭線竊聽(PassiveWiretapping)和通信流量分析(TrafficAnalysis)兩種攻擊。

(1)在被動搭線竊聽攻擊當中，入侵者可以截獲并提取網絡傳輸?shù)木幋a數(shù)據(jù)。例如，截獲明文傳輸?shù)挠脩裘涂诹钚畔τ诖祟惞魜碚f簡直易如反掌。

(2)通信流量分析攻擊通常無法截獲和提取網絡傳輸?shù)男畔?，它更多的是關注通信流的外部特征。例如，攻擊者發(fā)現(xiàn)一個大公司和一個小公司之間的網絡流量非常大，那么很可能他們之間正在進行重組談判。這類攻擊在軍事通信對抗中非常常見。

2．主動攻擊(ActiveAttacks)

攻擊者試圖突破安全防線，如圖1-2所示。這種攻擊涉及到數(shù)據(jù)流的修改或創(chuàng)建錯誤流，主要攻擊形式有假冒、重放、欺騙、消息篡改、拒絕服務等等。例如，系統(tǒng)訪問嘗試(攻擊者利用系統(tǒng)的安全漏洞獲得客戶或服務器系統(tǒng)的訪問權)。圖1-2主動攻擊威脅所傳輸信息的完整性和可用性

1.3.2攻擊的一般過程

遠程攻擊(RemoteAttack)是指向遠程機器發(fā)動的攻擊。

遠程機器是可以通過因特網或者其它網絡連接到的任意一臺機器(不是攻擊者正在使用的機器)。其攻擊對象是攻擊者還無法控制的計算機；也可以說，遠程攻擊攻擊的是除攻擊者自己計算機以外的計算機，無論被攻擊的計算機和攻擊者位于同一子網還是有千里之遙。

攻擊者攻擊的目標各不相同，有的黑客注意焦點是美國國防部五角大樓，有的關心的是安全局、銀行或者重要企業(yè)的信息中心，但他們采用的攻擊方式和手段卻有一定的共性。一般黑客的攻擊大體有如下三個步驟：

(1)信息收集。窺視往往是攻擊的第一步，相當于通常的竊賊在遠處張望一家民宅，黑客首先利用一些公開的協(xié)議或網絡工具，收集駐留在網絡系統(tǒng)中的各個主機系統(tǒng)的相關信息，確定這些系統(tǒng)在因特網上的位置和結構，發(fā)現(xiàn)目標系統(tǒng)的外圍安全設備類型和結構，并確定入侵點。

由于攻擊者的攻擊目的和動機各不相同，其選定目標的方式也是多種多樣的。但大致分為兩類：一是從已知的主機列表文件中獲得欲攻擊的主機名稱，攻擊者多是以檢驗自己攻擊技術是否高超為目的；二是在日常生活中獵取某公司或機構的名稱，攻擊者多是帶有明顯的商業(yè)或政治動機。無論怎樣，選定目標后，開始一系列收集該目標所有信息的工作。

(2)對系統(tǒng)的安全弱點探測與分析。在收集到攻擊目標的一批網絡信息之后，黑客會探測網絡上的每臺主機，以尋求該系統(tǒng)的安全漏洞或薄弱環(huán)節(jié)，其弱點主要有兩個方面：一是網絡主機上的服務程序是否存在設計缺陷并有可供入侵之處；二是該網絡主機所使用的通信協(xié)議是否有先天上的安全漏洞。這樣，他們就可以借用某種手段使該網絡主機癱瘓，從而困擾對方主機上的系統(tǒng)管理員或用戶，降低對方工作能力。

最后，是尋找內部落腳點。一旦入侵者獲得了進入網絡的權利，那么下一步便是在外圍設備中為自己尋找一個安全的、不易被發(fā)現(xiàn)的落腳點。通過finger協(xié)議，能夠得到特定主機上用戶的詳細信息，包括注冊名、電話號碼、最后一次注冊的時間等等。一般，入侵者會找到一個能夠獲得Root權限的主機作為落腳點。落腳點確定后，外部入侵者就變成了系統(tǒng)內部人員，這時入侵者會在系統(tǒng)內部尋找可盜竊的財產和可破壞的目標系統(tǒng)。

(3)實施攻擊。攻擊者主要的破壞動作不僅包括偷竊軟件源代碼和財政金融數(shù)據(jù)、訪問機密文件、破壞數(shù)據(jù)或硬件，還包括安置為日后再次侵入做準備的特洛伊木馬(TrojanHorses)。破壞動作完成后，入侵者必須掩蓋自己的蹤跡，以防被發(fā)現(xiàn)。典型的做法是刪除或替換系統(tǒng)的日志文件。

1.3.3攻擊的主要方式

對計算機網絡信息的訪問通常通過遠程登錄，這就給黑客們以可乘之機。假如一名黑客在網絡上盜取或破譯他人的賬號或密碼，便可長驅直入地獲得授權，對他人網絡進行訪問，并竊取相關的信息資源。目前來自網絡系統(tǒng)的攻擊大致有以下6個方面。

1．利用系統(tǒng)缺陷

利用主機系統(tǒng)的一些漏洞可以獲得對系統(tǒng)或某用戶信息的控制權，這些漏洞往往是潛在的黑客對主機進行攻擊的首選手段之一。黑客利用這些漏洞可以繞過正常系統(tǒng)的防護裝置進入系統(tǒng)，在網絡中給自己非法設立一扇門，通過程序替代來盜取網絡資料，修改和破壞網絡主頁等，為自由進出網絡大開方便之門。有時黑客編寫一種看起來像合法的程序，放到商家的主頁，誘導用戶下載。當一個用戶下載軟件時，黑客的這個軟件與用戶的軟件一起下載到用戶的機器上。

在網絡中協(xié)議自身存在著各種缺陷，實踐已證明存在安全漏洞的協(xié)議包括：ICMP、TELNET、SNMPv1&2、動態(tài)主機配置協(xié)議(DHCP)、簡單文件傳輸協(xié)議(TFTP)、路由信息協(xié)議1.0版本(RIPv1)、網絡時間協(xié)議(NTP)、域名系統(tǒng)(DNS)和HTTP。

2．利用用戶淡薄的安全意識

黑客們經常使用誘入法，捕捉一些網絡用戶的口令?？赡苡腥税l(fā)送給某網絡ISP用戶一封電子郵件，聲稱為“確定我們的用戶需要”而進行調查。作為對填寫表格的回報，允許用戶免費使用5h。但是，該程序實際上卻搜集用戶的口令，并把它們發(fā)送給某個黑客。Akuma程序包含一種自動“病毒傳染程序”，該程序發(fā)送的病毒會引起受害者機器的崩潰，但是它含有的文本卻使它成為“披著羊皮的狼”，例如“***你好，這是一張我最得意的照片，是裸體照……只要把它卸載下來，用你的窗口管理器就能瀏覽它。”只要用戶被誘惑，那便掉入黑客的詭計中了。

3．內部用戶的竊密、泄密和破壞

內部人員對數(shù)據(jù)的存儲位置、信息的重要性非常了解，這使得內部攻擊更容易奏效，有統(tǒng)計數(shù)據(jù)表明，70%的攻擊來自內部。因此，防止內部攻擊也就顯得越發(fā)重要了。很多機密文件放在未經加密的或沒有嚴格限制內部人員查閱的地址內，一旦黑客進入網絡便可輕松地訪問這些數(shù)據(jù)，使機密文件泄密。如果對內部人員管理松懈，用戶級別權限劃分不明確或根本無級別限制，就容易導致黑客一經侵入網絡，內部信息暴露無疑。

例如，內部人員可以在被攻擊主機上放置一偽造的可執(zhí)行登錄程序，當用戶或是系統(tǒng)管理員在被攻擊主機上啟動登錄時，該程序顯示一個偽造的登錄界面。用戶在這個偽裝的界面上鍵入登錄信息(用戶名、密碼等)后，該程序將用戶輸入的信息傳送到攻擊者主機，然后關閉界面給出提示信息系統(tǒng)故障，要求用戶重新登錄。此后，才會出現(xiàn)真正的登錄界面，這樣黑客利用了默認的登錄界面，輕易地捕捉到系統(tǒng)口令。

4．惡意代碼

一些公眾信息網上的所謂“共享軟件”很可能是邏輯炸彈或“黑客程序”，一旦用戶下載，其計算機硬盤極有可能被他人利用并與之一起分享信息資源，有時還會遭黑客的惡意攻擊。

5．口令攻擊和拒絕服務

黑客常以破譯普通用戶口令作為攻擊的開始，通常采用字典窮舉法來破譯口令，進行破壞，因而用戶口令的選擇對系統(tǒng)安全很重要。某些網絡依然在使用由簡短和普通的字典詞話組成的密碼，極易猜測。某些管理員在所有網元上使用的口令可能一成不變，而所有管理員可能共用并了解這一密碼。

拒絕服務攻擊是破壞性極強的攻擊，破壞者常使用“郵件炸彈”(MailBomb)等辦法，發(fā)送大量的信息、大塊的數(shù)據(jù)或者畸形數(shù)據(jù)包給用戶，造成對方服務程序超載，甚至崩潰，正常業(yè)務不能開展，嚴重時會使系統(tǒng)關機，網絡癱瘓。

6．利用Web服務的缺陷

Web服務面臨的主要威脅有：Web頁面的欺詐、CGI安全問題、錯誤與疏漏。

攻擊者也可以使用跨網站腳本技術在加入URL的腳本標簽中插入惡意代碼。當毫無意識的用戶點擊該URL時，惡意代碼得到執(zhí)行。

1.4X.800安全體系結構

1.4.1安全攻擊、安全機制和安全服務針對網絡所面對的各種安全風險和安全攻擊，ITU-TX.800標準以開放系統(tǒng)互連參考模型為基礎，對參考模型不同層次所能提供的安全服務和相關安全機制給出框架性的邏輯定義。ITU-TX.800標準的主要內容包括：

(1)安全攻擊(SecurityAttack)：是指損害機構信息系統(tǒng)安全的任何活動。

(2)安全機制(SecurityMechanism)：是指設計用于檢測、預防安全攻擊或者從攻擊狀態(tài)恢復到系統(tǒng)正常狀態(tài)所需的機制。

(3)安全服務(SecurityService)：是指采用一種或多種安全機制以抵御安全攻擊、提高機構的數(shù)據(jù)處理系統(tǒng)安全和信息傳輸安全的服務。三者之間的關系如表1-1所示。

表1-1安全攻擊、安全服務與安全機制的關系

1.4.2安全服務

ITU-TX.800定義了五種和前述安全目標及攻擊有關的服務，這五種普通服務的分類如圖1-3所示。安全服務一般是根據(jù)前述安全攻擊來設計的，以實現(xiàn)不同的安全目標圖1-3安全服務

1.信息的機密性

數(shù)據(jù)機密性(DataConfidentiality)服務確保只有經過授權的實體才能理解受保護的信息。在信息安全中主要區(qū)分兩種機密性服務：數(shù)據(jù)機密性服務和業(yè)務流機密性服務，數(shù)據(jù)機密性服務主要是采用加密手段使得攻擊者即使竊取了加密的數(shù)據(jù)也很難推出有用的信息；業(yè)務流機密性服務則要使監(jiān)聽者很難從網絡流量的變化上推出敏感信息。

2.信息的完整性

信息的完整性(DataIntegrity)在于保護信息免于被惡意方篡改、插入、刪除和重放。

3.身份認證

身份認證確保某個實體身份的可靠性，可分為兩種類型。一種類型是認證實體本身的身份，確保其真實性，稱為實體認證。實體的身份一旦獲得確認就可以和訪問控制表中的權限關聯(lián)起來，決定是否有權進行訪問?？诹钫J證是實體認證中一種最常見的方式。另一種認證是證明某個信息是否來自于某個特定的實體，這種認證叫做數(shù)據(jù)源認證。數(shù)據(jù)簽名技術就是一例。

4.不可否認性

根據(jù)ISO的標準，不可否認服務要防止對數(shù)據(jù)源以及數(shù)據(jù)提交的否認。它有兩種可能：數(shù)據(jù)發(fā)送的不可否認和數(shù)據(jù)接收的不可否認。這兩種服務需要比較復雜的基礎設施的支持，如數(shù)字簽名技術。

5.訪問控制

訪問控制(AccessControl)的目的在于保護信息免于被未經授權的實體訪問。在這里，訪問的含義是非常寬泛的，包含對程序的讀、寫、修改和執(zhí)行等。

訪問控制的目標是防止對任何資源的非授權訪問，確保只有經過授權的實體才能訪問受保護的資源。

1.4.3安全機制

安全機制是用來實施安全服務的機制。安全機制既可以是特定的，也可以是通用的。主要的安全機制有以下幾種：加密機制、信息完整性機制、數(shù)字簽名機制、身份認證交換機制、流量填充機制、路由控制機制、訪問控制機制、公證機制等，如圖1-4所示。圖1-4安全機制

1.加密

加密機制(Encipherment)用于保護數(shù)據(jù)的機密性。它依賴于現(xiàn)代密碼學理論，一般來說加/解密算法是公開的，加密的安全性主要依賴于密鑰的安全性和強度。有兩種加密機制，一種是對稱的加密機制，一種是非對稱的加密機制。

2.信息的完整性

數(shù)據(jù)完整性機制(DataIntegrity)用于保護數(shù)據(jù)免受未經授權的修改，該機制可以通過使用一種單向的不可逆函數(shù)—散列函數(shù)來計算出消息摘要(MessageDigest)，并對消息摘要進行數(shù)字簽名來實現(xiàn)。

3.數(shù)字簽名

數(shù)字簽名機制(DigitalSignature)是保證數(shù)據(jù)完整性及不可否認性的一種重要手段。數(shù)字簽名在網絡應用中的作用越來越重要，它可以采用特定的數(shù)字簽名機制生成，也可以通過某種加密機制生成。

4.身份認證交換

進行身份認證交換(AuthenticationExchange)時，兩個實體交換信息相互證明身份。例如，一方實體可以證明他知道一個只有他才知道的秘密。

5.流量填充

流量填充機制(TrafficPadding)針對的是對網絡流量進行分析的攻擊。有時攻擊者通過對通信雙方的數(shù)據(jù)流量的變化進行分析，根據(jù)流量的變化來推出一些有用的信息或線索。

6.路由控制

路由控制機制(RoutingControl)可以指定數(shù)據(jù)通過網絡的路徑。這樣就可以選擇一條路徑，使這條路徑上的節(jié)點都是可信任的，確保發(fā)送的信息不會因通過不安全的節(jié)點而受到攻擊。路由控制也可以在發(fā)送方和接收方之間選擇并不斷改變有效路由，以避免對手在特定的路由上進行偷聽。

7.公證

公證機制(Notarization)由通信各方都信任的第三方提供。由第三方來確保數(shù)據(jù)完整性、數(shù)據(jù)源、時間及目的地的正確性。

8.訪問控制

訪問控制機制(AccessControl)與實體認證密切相關。首先，要訪問某個資源的實體應成功通過認證，然后訪問控制機制對該實體的訪問請求進行處理，查看該實體是否具有訪問所請求資源的權限，并做出相應的處理。

1.4.4服務和機制之間的關系

安全服務和安全機制是密切聯(lián)系的，因為安全機制或安全機制組合就是用來提供服務的，且同一種機制可以被應用于一種或更多種類的服務中。安全服務和安全機制的關系如表1-2所示。表中表明三種機制(加密、數(shù)字簽名和身份認證交換)均可被用來提供身份認證，同時也表明加密機制在三種服務(信息機密性、信息完整性和身份認證)中都會被涉及。

1.5X.805安全體系框架

ITU-TX.805為解決端到端的網絡安全問題確定了一種網絡安全框架。該框架適用于關注端到端安全的各類網絡，該框架獨立于網絡支撐技術。

該安全架構可將一套復雜的端到端網絡安全特性劃分為獨立的架構組件。這一劃分為形成系統(tǒng)的端到端的安全方法留出了余地，可用于制定新的安全解決方案和評估現(xiàn)有網絡的安全性。該安全架構定義了三個核心的安全組件：安全維度(SecurityDimensions)、安全層(SecurityLayers)和安全平面(SecurityPlanes)。

ITU-TX.805所定義的安全維度，系一組旨在解決網絡安全某一具體問題的安全措施集。ITU-TX.805提出的防范所有重大安全威脅的八個維度，突破了網絡的局限，可擴展到各類網絡應用和終端用戶信息領域，并適用于服務提供商或向其客戶提供安全服務的企業(yè)。這八個安全維度分別是：

(1)接入控制；(2)不可否認證；

(3)數(shù)據(jù)保密性；(4)數(shù)據(jù)完整性；

(5)認證交換；(6)通信安全；

(7)可用性；(8)認證。

為提供端到端的安全解決方案，ITU-TX.805將安全維度用于分層的網絡設備和設施群組，即所謂安全分層結構。建議書定義以下三個安全層：

(1)基礎設施安全層；

(2)服務安全層；

(3)應用安全層。

安全各層通過順序(SequentialPerspective)網絡安全法，確定了哪些安全問題必須在產品和解決方案中得到解決。例如要首先解決基礎設施層的安全隱患，然后是服務層的隱患，最后解決應用層隱患。圖1-5描述了安全維度用于安全分層以減少各層安全隱患的方式。圖1-5將安全維度用于各安全層

ITU-TX.805介紹的安全平面是受網絡維度保護的某一類網絡活動。ITU-TX.805定義了代表網絡中三類受保護活動的三個平面：

(1)管理平面；

(2)控制平面；

(3)最終用戶平面。

上述安全平面分別解決涉及網絡管理活動、網絡控制或信令活動以及最終用戶活動的具體安全需求。ITU-TX.805提議，網絡的設計應能使各個網絡平面的事件相互隔離。例如，在最終用戶平面由終端用戶發(fā)起的大量DNS查詢請求分組不應將管理平面的OAM&P接口鎖死，從而導致管理員無法對問題采取糾正措施。

圖1-6顯示了包括安全平面的安全架構。每一種網絡活動都有其自身特定的安全需求。而安全平面概念能夠對不同的網絡活動所相關的具體安全問題進行區(qū)別對待，并能夠獨立的解決這些問題。以服務安全層負責解決的VoIP服務為例，保證該服務的安全管理任務應獨立于保證該服務安全控制的任務。同樣，這項任務應獨立于服務所傳輸?shù)淖罱K用戶數(shù)據(jù)(如用戶的語音)的安全保障任務。圖1-6安全平面架構

1.6網絡安全模型

人類最初的信息系統(tǒng)模型出自于通信的需要，是由發(fā)信者S(Sender)和收信者R(Receiver)兩方組成。此模型下研究解決的主要問題是信源編碼、信道編碼、發(fā)送設備、接收設備以及信道特性。由于戰(zhàn)爭與競爭，存在竊密與反竊密的斗爭，信息系統(tǒng)模型中應含第三方—敵人E(Enemy)。三方模型下，人們還要研究運用密碼來保證信息在信道上被竊取后，竊取者不知其意，以保證敏感信息不會泄露至非授權者。

即使面對信息系統(tǒng)及其中的信息，非授權者也看不懂，拿不走，毀不了?，F(xiàn)代信息系統(tǒng)已非政府、軍隊等專用，社會公眾也大量運用其為自己服務。其中可能有販毒集團、恐怖分子或敵對國，他們可能借助市售保密設備的保密能力，干有損于社會的壞事。反過來將政府與管理部門置于敵方E的位置之上。這就需要進而考慮第四方—監(jiān)控管理方B(Boss)。信息系統(tǒng)的模型因而發(fā)展為四方模型(如圖1-7)。

圖1-7信息系統(tǒng)的四方模型

我們即將討論的網絡安全模型就是基于上述的四方模型。在該模型中，通信雙方(主體)通過協(xié)調通信協(xié)議，可以建立邏輯信息通道。在主體之間進行數(shù)據(jù)傳輸過程當中會面臨各種不同的安全威脅和安全攻擊，如通信被中斷、數(shù)據(jù)被截獲、信息被篡改等等。這樣主體必須采取相應的安全措施以防止對手對信息的保密性、可靠性等造成破壞。

圖1-8所示的網絡安全模型是針對非安全通信信道上的信息流的。在此，通信主體可以采取適當?shù)陌踩珯C制，包括以下兩個部分：

(1)對被傳送的信息進行與安全相關的轉換。這可以是消息的加解密，以及以消息內容為基礎的驗證代碼(可以檢驗發(fā)送方的身份)。

(2)兩個通信主體共享不希望對手知道的秘密信息，如密鑰等。圖1-8網絡安全模型

為實現(xiàn)安全數(shù)據(jù)傳輸，可能需要可信任的第三方參與。例如由可信任的第三方負責向兩個主體發(fā)放保密消息，而向其它對手保密；或者在兩個通信主體就信息傳送發(fā)生爭端時進行裁決。

此網絡安全模型指出了要達到特定安全任務所需的四個基本要素：

(1)同安全相關的轉換算法的設計。

(2)生成算法所需的保密信息。

(3)保密信息的安全分發(fā)和管理。

(4)主體之間通信所必需的安全協(xié)議的設計，并且利用上述步驟中的安全算法和保密消息來共同實現(xiàn)特定的安全服務。

然而并非所有的同安全相關的情形都可以用上述安全模型來描述。比如目前萬維網(WWW)的安全模型就應當另加別論。由于其通信方式大都采用客戶服務器方式來實現(xiàn)。由客戶端向服務器發(fā)送信息請求，然后服務器對客戶端進行身份認證，根據(jù)客戶端的相應權限來為客戶端提供特定的服務。因此其安全模型可以采用如圖1-9所示的安全模型來描述。其側重點在于如何有效保護客戶端對服務器的安全訪問以及如何有效保護服務器的安全性上面。圖1-9客戶服務器下的網絡安全訪問模型

圖1-9所示安全模型同現(xiàn)實當中的黑客入侵相吻合。在此客戶端本身就可以是對手或者敵人。他可以利用大量的網絡攻擊技術來對服務器系統(tǒng)構成安全威脅。這些技術可以利用網絡服務的安全缺陷、通信協(xié)議的安全缺陷、應用程序或者網絡設備本身的安全漏洞來實施。

為了有效保護模型中信息系統(tǒng)的各種資源以及對付各種網絡攻擊，在模型中加入了守衛(wèi)(guard)功能。守衛(wèi)可以有效利用安全技術對信息流進行控制，如對客戶端進行身份認證、對客戶端對服務器的請求信息進行過濾、對服務器的資源進行監(jiān)視審計等等，從而可以抵御大部分的安全攻擊。

1.7安全評估與風險管理

信息安全過程是一個連續(xù)的過程，由五個關鍵階段組成，依次為：評估、策略、實現(xiàn)、培訓、審核，如圖1-10所示。信息安全過程是從評估開始的。評估不僅用于確定機構信息資產的價值、威脅的大小及信息的薄弱點，還用來確定整個風險對機構的重要程度。不掌握機構信息資產所面臨風險的當前狀態(tài)，就無法有效地實施正確的安全程序來保護這些資產。圖1-10信息安全過程

信息安全評估的目的包括以下幾點：

(1)確定信息資產的價值。

(2)確定對這些資產的機密性、完整性、可用性和責任性的威脅。

(3)確定機構的當前操作所具有的薄弱點。

(4)找出機構信息資產所面臨的風險。

(5)對于當前操作，提出將風險降低到可接受的級別的建議。

(6)提供建立正確的安全計劃的基礎。

有五種一般類型的評估：

(1)系統(tǒng)級薄弱點評估。檢查計算機系統(tǒng)的已知薄弱點以及策略實施情況。

(2)網絡級風險評估。對機構的整個計算機網絡和信息基礎架構進行風險評估。

(3)機構范圍的風險評估。對整個機構進行評估，以識別出對其資產的直接威脅，識別出機構中所有信息處理系統(tǒng)的薄弱點。應該檢查所有形式的信息，包括電子信息和物理

信息。

(4)審核。檢查特定策略和機構對該策略的實施情況。

(5)侵入檢查。機構對模擬入侵的反應能力。

為保持對網絡和數(shù)據(jù)的完全控制，網絡管理者必須采取某種方法來應對系統(tǒng)所面臨的安全問題，這種方法無疑得從評估開始，通過評估來識別網絡中潛在的風險并對其進行分類。網絡安全評估是任何系統(tǒng)安全生命周期中不可或缺的重要組成部分，評估是任何一個試圖正確管理安全風險的組織所應該進行的第一個步驟。

1.7.1評估方法

安全服務提供商給出了不同側重點的安全評估服務。圖1-11給出了服務商所提供的一些服務及其評估深度與相應的代價。這些服務包括識別系統(tǒng)中是否存在已知安全漏洞的漏洞掃描服務、評估網絡各種脆弱點有效性的網絡安全評估服務、各類web應用程序的安全測試服務、入侵滲透服務測試和在線識別各類網絡信息的在線審計服務。不同的服務類型提供了不同程度的安全保障能力。圖1-11安全測試服務

漏洞掃描使用自動化的工具對系統(tǒng)存在的漏洞進行最小限度的評估和量化。這是一種相對容易實施、代價比較低廉的評估方式，能保證系統(tǒng)不再存在已知的安全漏洞，但這種方式沒有提供能有效提升安全性的清晰思路。

網絡安全評估介于漏洞掃描和充分的滲透測試之間，使用了更為有效地混合測評工具以及訓練有素的安全分析人員對漏洞進行測試和量化。網絡安全評估的報告通常是由評估人員手工完成，報告會包括能夠有效提高系統(tǒng)安全性的專業(yè)建議。

充分的滲透測試使用多種的攻擊方式來入侵目標網絡。

(機構的網絡一般都提供了最容易訪問信息和系統(tǒng)的位置。在檢查網絡時，從檢查網絡連接圖和每一個連接點開始。)

常用的評估方法包括以下四個層次：

(1)通過網絡枚舉相關的IP網絡和主機。利用各類探測技術獲取目標網絡的詳細資料(內部/外部IP地址、服務器結構信息、不同位置的IP網絡之間的關系)。

(2)大規(guī)模網絡掃描和探測識別容易受攻擊的主機。

(3)研究可能存在的漏洞并進一步探測網絡。

(4)對漏洞的滲透和安全防護機制的欺騙。

這類評估方法的應用是和目標網絡的實際情況有關的，比如有時候可能僅僅知道目標網絡的一些極為有限的信息(如DNS域名)，這就需要系統(tǒng)使用不同層次的技術逐步開展評估工作。如果評估開始前就已經知道目標網絡的IP地址范圍，那么就可以直接從網絡掃描和漏洞研究開始。

大規(guī)模的網絡安全評估很難一蹴而就，通常需要循環(huán)往復的過程。圖1-12給出的循環(huán)評估方法從網絡枚舉開始，之后是大規(guī)模的網絡掃描，最終以對特定服務的評估結束。圖1-12網絡安全評估的循環(huán)方法

1.7.2評估標準

信息安全評估標準是信息安全評估的行動指南?？尚诺挠嬎銠C系統(tǒng)安全評估標準(TCSEC，從橘皮書到彩虹系列)是由美國國防部于1985年公布的，是計算機系統(tǒng)信息安全評估的第一個正式標準。它把計算機系統(tǒng)的安全分為四類、七個級別，對用戶登錄、授權管理、訪問控制、審計跟蹤、隱蔽通道分析、可信通道建立、安全檢測、生命周期保障、文檔寫作、用戶指南等內容提出了規(guī)范性要求。

信息技術安全評估標準(ITSEC，歐洲白皮書)是由法、英、荷、德歐洲四國20世紀90年代初聯(lián)合發(fā)布的，它提出了信息安全的機密性、完整性、可用性的安全屬性。ITSEC把可信計算機的概念提高到可信信息技術的高度上來認識，對國際信息安全的研究、實施產生了深刻的影響。

信息技術安全評價的通用標準(CC)是由六個國家(美、加、英、法、德、荷)于1996年聯(lián)合提出的，并逐漸演變成國際標準ISO15408。該標準定義了評價信息技術產品和系統(tǒng)安全性的基本準則，提出了目前國際上公認的表述信息技術安全性的結構，即把安全要求分為規(guī)范產品和系統(tǒng)安全行為的功能要求以及解決如何正確有效地實施這些功能的保證要求。CC標準是第一個信息技術安全評價國際標準，它的發(fā)布對信息安全具有重要意義，是信息技術安全評價標準以及信息安全技術發(fā)展的一個重要里程碑。

ISO13335標準首次給出了關于IT安全的保密性、完整性、可用性、審計性、認證性、可靠性六個方面含義，并提出了以風險為核心的安全模型：企業(yè)的資產面臨很多威脅(包括來自內部的威脅和來自外部的威脅)；威脅利用信息系統(tǒng)存在的各種漏洞(如：物理環(huán)境、網絡服務、主機系統(tǒng)、應用系統(tǒng)、相關人員、安全策略等)，對信息系統(tǒng)進行滲透和攻擊，滲透和攻擊成功，將導致企業(yè)資產的暴露；資產的暴露(如系統(tǒng)高級管理人員由于不小心而導致重要機密信息的泄露)，會對資產的價值產生影響(包括直接和間接的影響)；

風險就是威脅利用漏洞使資產暴露而產生的影響的大小，這可以為資產的重要性和價值所決定；對企業(yè)信息系統(tǒng)安全風險的分析，就得出了系統(tǒng)的防護需求；根據(jù)防護需求的不同制定系統(tǒng)的安全解決方案，選擇適當?shù)姆雷o措施，進而降低安全風險，并抗擊威脅。該模型闡述了信息安全評估的思路，對企業(yè)的信息安全評估工作具有指導意義。

BS7799是應英國的工業(yè)、政府和商業(yè)界共同需求而發(fā)展的一個標準，它分兩部分：第一部分為“信息安全管理事務準則”；第二部分為“信息安全管理系統(tǒng)的規(guī)范”。目前此標準已經被很多國家采用，并已成為國際標準ISO17799。BS7799包含10個控制大項、36個控制目標和127個控制措施。BS7799/ISO17799主要提供了有效地實施信息系統(tǒng)風險管理的建議，并介紹了風險管理的方法和過程。企業(yè)可以參照該標準制定出自己的安全策略和風險評估實施步驟。

AS/NZS4360：1999是澳大利亞和新西蘭聯(lián)合開發(fā)的風險管理標準，第一版于1995年發(fā)布。在AS/NZS4360:1999中，風險管理分為建立環(huán)境、風險識別、風險分析、風險評價、風險處置、風險監(jiān)控與回顧、通信和咨詢七個步驟。AS/NZS4360:1999是風險管理的通用指南，它給出了一整套風險管理的流程，對信息安全風險評估具有指導作用。目前該標準已廣泛應用于新南威爾士洲、澳大利亞政府、英聯(lián)邦衛(wèi)生組織等機構。

OCTAVE(OperationallyCriticalThreat，Asset，andVulnerabilityEvaluation)是可操作的關鍵威脅、資產和弱點評估方法和流程。OCTAVE首先強調的是O—可操作性，其次是C—關鍵系統(tǒng)，也就是說，它最注重可操作性，其次對關鍵性很關注。OCTAVE將信息安全風險評估過程分為三個階段：階段一，建立基于資產的威脅配置文件；階段二，標識基礎結構的弱點；階段三，確定安全策略和計劃。

國內主要是等同采用國際標準。公安部主持制定、國家質量技術監(jiān)督局發(fā)布的中華人民共和國國家標準GB17895—1999《計算機信息系統(tǒng)安全保護等級劃分準則》已正式頒布并實施。該準則將信息系統(tǒng)安全分為五個等級：自主保護級、系統(tǒng)審計保護級、安全標記保護級、結構化保護級和訪問驗證保護級。主要的安全考核指標有身份認證、自主訪問控制、數(shù)據(jù)完整性、審計等，這些指標涵蓋了不同級別的安全要求。GB18336也是等同采用ISO15408標準。

1.7.3評估的作用

信息安全評估具有如下作用：

(1)明確企業(yè)信息系統(tǒng)的安全現(xiàn)狀。進行信息安全評估后，可以讓企業(yè)準確地了解自身的網絡、各種應用系統(tǒng)以及管理制度規(guī)范的安全現(xiàn)狀，從而明晰企業(yè)的安全需求。

(2)確定企業(yè)信息系統(tǒng)的主要安全風險。在對網絡和應用系統(tǒng)進行信息安全評估并進行風險分級后，可以確定企業(yè)信息系統(tǒng)的主要安全風險，并讓企業(yè)選擇避免、降低、接受等風險處置措施。

(3)指導企業(yè)信息系統(tǒng)安全技術體系與管理體系的建設。對企業(yè)進行信息安全評估后，可以制定企業(yè)網絡和系統(tǒng)的安全策略及安全解決方案，從而指導企業(yè)信息系統(tǒng)安全技術體系(如部署防火墻、入侵檢測與漏洞掃描系統(tǒng)、防病毒系統(tǒng)、數(shù)據(jù)備份系統(tǒng)、建立公鑰基礎設施PKI等)與管理體系(安全組織保證、安全管理制度及安全培訓機制等)的建設。

1.7.4安全風險管理

風險是威脅和薄弱點的結合。沒有薄弱點，威脅不會帶來風險。同樣，沒有威脅的薄弱點也不會帶來風險。對風險的評估是試圖確認有害事件發(fā)生的可能性。圖1-13顯示了評估機構風險的要素。圖1-13機構風險評估要素

風險評估(RiskAssessment)是對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)等安全屬性進行科學、公正的綜合評估的過程。它是對信息資產面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用而帶來風險的可能性的評估。

對信息系統(tǒng)進行風險評估，其目的是為了了解信息系統(tǒng)目前與未來的風險所在，評估這些風險可能帶來的安全威脅與影響程度，為安全策略的確定、信息系統(tǒng)的建立及安全運行提供依據(jù)。

風險評估是風險管理的基礎，是組織確定信息安全需求的一個重要途徑，屬于組織信息安全管理體系策劃的過程。

安全風險管理的基本定義包括概念、模型、抽象，以及用于控制安全風險的方法和技術。一般而言，風險管理是識別出企業(yè)信息系統(tǒng)面臨的風險，選擇適當?shù)陌踩胧?方案，將風險限制在可接受的程度，并持續(xù)監(jiān)控系統(tǒng)，以保持其安全等級，以及探測危害安全的行為。

最早的風險管理方法是由Campbel[5]根據(jù)一系列概念(漏洞分析，威脅分析，狀態(tài)控制等)開發(fā)的一套模塊化風險管理方法。給出的風險管理模型步驟組成：價值分析、威脅識別/分析、薄弱點分析、風險分析、風險評估、管理決策、控制實現(xiàn)和有效性評估。

由卡內基梅隆大學提出的OCTAVE方法(/octave/)則是著眼于組織自身并識別出組織所需保護的對象，明確它為什么存在風險，然后開發(fā)出技術和實踐相結合的解決方案。OCTAVE的核心是自主原則，即由組織內部的人員管理和指導該組織的信息安全風險評估。信息安全是組織內每個人的職責，而不只是IT部門的職責。

OCTAVE操作步驟強調的是O—可操作性，其次是C—關鍵性，也就是說，它最注重可操作性，其次對關鍵性很關注。OCTAVE方法使用一種三階段方法對管理問題和技術問題進行研究，從而使組織人員能夠全面把握組織的信息安全需求。OCTAVE由一系列循序漸進的討論會組成，每個討論會都需要其參與者之間的交流和溝通。

OCTAVE方法分三個階段來進行，如圖1-14所示。圖1-14OCTAVE風險評估

OCTAVE方法的三個階段由八個過程組成：

(1)第一階段，建立基于資產的配置威脅文件。

第一階段著手建立OCTAVE的組織視圖，重點考慮組織中的人員。

在這一階段中，目標是建立組織對信息安全問題的概括認識。要實現(xiàn)這一目標，首先需要采集組織內員工對安全問題的個人觀點，然后對這些個人觀點進行綜合整理，為評估過程中的所有后續(xù)分析活動奠定基礎。通過對組織專業(yè)領域知識的調研可以清楚地表明員工對信息資產、資產面臨的威脅、資產的安全需求、組織現(xiàn)行保護信息資產的措施和組織資產和措施的缺點等有關問題的理解。

本階段主要由四個過程組成：標識高層管理部門的知識；標識業(yè)務區(qū)域管理部門的知識；標識員工的知識；建立威脅配置文件。

(2)第二階段，識別基礎設施的薄弱點。

第二階段也稱為OCTAVE方法的“技術觀點”，因為在這一階段，分析人員的注意力轉移到組織的計算基礎結構上。

在這一階段中，是對當前信息基礎設施的評價，包括數(shù)據(jù)收集和分析活動。通過檢查信息技術基礎結構的核心運行組件，可以發(fā)現(xiàn)能導致非授權行為的漏洞(技術脆弱性)。

本階段主要由兩個過程組成：標識關鍵組件；評估選定的組件。

(3)第三階段，開發(fā)安全策略和計劃。

第三階段旨在理解迄今為止在評估過程中收集到的信息，即分析風險。

在這一階段中，需要開發(fā)出解決組織內部存在的風險和問題的安全策略和計劃。通過分析階段一和階段二中對組織和信息基礎結構評估中得到的信息，可以識別出組織面臨的風險，同時基于這些風險可能給組織帶來的不良影響對其進行評估。此外，還要按照風險的優(yōu)先級順序制定出組織保護策略和風險緩解計劃。

本階段主要由兩個過程組成：執(zhí)行風險分析；開發(fā)保護策略。

信息安全風險管理和評估研究工作一直是歐盟投入的重點。2001年～2003年，歐盟投資，四個歐洲國家(德國、希臘、英國、挪威)的11個機構歷時三年時間，完成了安全關鍵系統(tǒng)的風險分析平臺項目CORAS(/)。該項目使用UML建模技術，開發(fā)了一個面向對象建模技術的風險評估框架，這是一個基于模型的風險評估方法。

CORAS把廣泛采用成熟的技術并用于管理實踐，包括風險文檔、風險管理過程、完整的風險管理和開發(fā)過程以及基于數(shù)據(jù)綜合的工具集平臺，整個風險評估框架魯棒性強，閃現(xiàn)出前歐洲理性思想的光芒，值得我們關注。

CORAS風險管理方法的關鍵過程如圖1-15所示。

圖1-15CORAS風險分析過程

(1)風險識別：確定關鍵性資源以及相關的安全要求。

(2)風險識別：識別關鍵組件的缺陷以及可能危及他們的威脅。CORAS使用四種方法：

①缺陷樹分析(FTA)：自頂向下找出未預期事件的原因。

②故障模式與后果分析(FMECA)：自底向上逐一分析組件的各種故障。

③?CCTA風險分析與管理方法(CRAMM)：通過預定義的調查問卷找出某個資源的威脅或者漏洞。

④目標、手段、任務分析(GMTA)：找出要達成特定安全目標所應完成的任務和所要滿足