特黄特色三级在线观看免费,看黄色片子免费,色综合久,欧美在线视频看看,高潮胡言乱语对白刺激国产,伊人网成人,中文字幕亚洲一碰就硬老熟妇

學(xué)習(xí)啦>學(xué)習(xí)電腦>電腦安全>網(wǎng)絡(luò)安全知識>

關(guān)于計算機網(wǎng)絡(luò)信息安全介紹

時間: 曉斌668 分享

  有網(wǎng)友最近想知道計算機網(wǎng)絡(luò)信息安全有哪些!所以就問學(xué)習(xí)啦小編能不能分享下~那么下面就是學(xué)習(xí)啦小編為大家整理到的相關(guān)知識點~希望大家喜歡!!!

  計算機網(wǎng)絡(luò)信息安全一:

  網(wǎng)絡(luò)信息安全是一個關(guān)系國家安全和主權(quán)、社會穩(wěn)定、民族文化繼承和發(fā)揚的重要問題。其重要性,正隨著全球信息化步伐的加快越來越重要。網(wǎng)絡(luò)信息安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。它主要是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運行,網(wǎng)絡(luò)服務(wù)不中斷。

  特征:

  網(wǎng)絡(luò)信息安全特征 保證信息安全,最根本的就是保證信息安全的基本特征發(fā)揮作用。因此,下面先介紹信息安全的5 大特征。

  1. 完整性

  指信息在傳輸、交換、存儲和處理過程保持非修改、非破壞和非丟失的特性,即保持信息原樣性,使信息能正確生成、存儲、傳輸,這是最基本的安全特征。

  2. 保密性

  指信息按給定要求不泄漏給非授權(quán)的個人、實體或過程,或提供其利用的特性,即杜絕有用信息泄漏給非授權(quán)個人或?qū)嶓w,強調(diào)有用信息只被授權(quán)對象使用的特征。

  3. 可用性

  指網(wǎng)絡(luò)信息可被授權(quán)實體正確訪問,并按要求能正常使用或在非正常情況下能恢復(fù)使用的特征,即在系統(tǒng)運行時能正確存取所需信息,當(dāng)系統(tǒng)遭受攻擊或破壞時,能迅速恢復(fù)并能投入使用??捎眯允呛饬烤W(wǎng)絡(luò)信息系統(tǒng)面向用戶的一種安全性能。

  4. 不可否認性

  指通信雙方在信息交互過程中,確信參與者本身,以及參與者所提供的信息的真實同一性,即所有參與者都不可能否認或抵賴本人的真實身份,以及提供信息的原樣性和完成的操作與承諾。

  5. 可控性

  指對流通在網(wǎng)絡(luò)系統(tǒng)中的信息傳播及具體內(nèi)容能夠?qū)崿F(xiàn)有效控制的特性,即網(wǎng)絡(luò)系統(tǒng)中的任何信息要在一定傳輸范圍和存放空間內(nèi)可控。除了采用常規(guī)的傳播站點和傳播內(nèi)容監(jiān)控這種形式外,最典型的如密碼的托管政策,當(dāng)加密算法交由第三方管理時,必須嚴格按規(guī)定可控執(zhí)行。

  信息安全主要包括以下五方面的內(nèi)容,即需保證信息的保密性、真實性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全性。信息安全本身包括的范圍很大,其中包括如何防范商業(yè)企業(yè)機密泄露、防范青少年對不良信息的瀏覽、個人信息的泄露等。網(wǎng)絡(luò)環(huán)境下的信息安全體系是保證信息安全的關(guān)鍵,包括計算機安全操作系統(tǒng)、各種安全協(xié)議、安全機制(數(shù)字簽名、消息認證、數(shù)據(jù)加密等),直至安全系統(tǒng),如UniNAC、DLP等,只要存在安全漏洞便可以威脅全局安全。信息安全是指信息系統(tǒng)(包括硬件、軟件、數(shù)據(jù)、人、物理環(huán)境及其基礎(chǔ)設(shè)施)受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運行,信息服務(wù)不中斷,最終實現(xiàn)業(yè)務(wù)連續(xù)性。

  信息安全學(xué)科可分為狹義安全與廣義安全兩個層次,狹義的安全是建立在以密碼論為基礎(chǔ)的計算機安全領(lǐng)域,早期中國信息安全專業(yè)通常以此為基準,輔以計算機技術(shù)、通信網(wǎng)絡(luò)技術(shù)與編程等方面的內(nèi)容;廣義的信息安全是一門綜合性學(xué)科,從傳統(tǒng)的計算機安全到信息安全,不但是名稱的變更也是對安全發(fā)展的延伸,安全不在是單純的技術(shù)問題,而是將管理、技術(shù)、法律等問題相結(jié)合的產(chǎn)物。本專業(yè)培養(yǎng)能夠從事計算機、通信、電子商務(wù)、電子政務(wù)、電子金融等領(lǐng)域的信息安全高級專門人才。

  計算機網(wǎng)絡(luò)信息安全二:

  什么是信息安全

  信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運行,信息服務(wù)不中斷。

  信息安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。

  從廣義來說,凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。

  信息安全的實現(xiàn)目標

  ◆ 真實性:對信息的來源進行判斷,能對偽造來源的信息予以鑒別。

  ◆ 保密性:保證機密信息不被竊聽,或竊聽者不能了解信息的真實含義。

  ◆ 完整性:保證數(shù)據(jù)的一致性,防止數(shù)據(jù)被非法用戶篡改。

  ◆ 可用性:保證合法用戶對信息和資源的使用不會被不正當(dāng)?shù)鼐芙^。

  ◆ 不可抵賴性:建立有效的責(zé)任機制,防止用戶否認其行為,這一點在電子商務(wù)中是極其重要的。

  ◆ 可控制性:對信息的傳播及內(nèi)容具有控制能力。

  ◆ 可審查性:對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段

  主要的信息安全威脅

  ◆ 竊取:非法用戶通過數(shù)據(jù)竊聽的手段獲得敏感信息。

  ◆ 截?。悍欠ㄓ脩羰紫全@得信息,再將此信息發(fā)送給真實接收者。

  ◆ 偽造:將偽造的信息發(fā)送給接收者。

  ◆ 篡改:非法用戶對合法用戶之間的通訊信息進行修改,再發(fā)送給接收者。

  ◆ 拒絕服務(wù)攻擊:攻擊服務(wù)系統(tǒng),造成系統(tǒng)癱瘓,阻止合法用戶獲得服務(wù)。

  ◆ 行為否認:合法用戶否認已經(jīng)發(fā)生的行為。

  ◆ 非授權(quán)訪問:未經(jīng)系統(tǒng)授權(quán)而使用網(wǎng)絡(luò)或計算機資源。

  ◆ 傳播病毒:通過網(wǎng)絡(luò)傳播計算機病毒,其破壞性非常高,而且用戶很難防范。

  信息安全威脅的主要來源

  ◆ 自然災(zāi)害、意外事故;

  ◆ 計算機犯罪;

  ◆ 人為錯誤,比如使用不當(dāng),安全意識差等;

  ◆ "黑客" 行為;

  ◆ 內(nèi)部泄密;

  ◆ 外部泄密;

  ◆ 信息丟失;

  ◆ 電子諜報,比如信息流量分析、信息竊取等;

  ◆ 信息戰(zhàn);

  ◆ 網(wǎng)絡(luò)協(xié)議自身缺陷缺陷,例如TCP/IP協(xié)議的安全問題等等。

  信息安全策略

  信息安全策略是指為保證提供一定級別的安全保護所必須遵守的規(guī)則。實現(xiàn)信息安全,不但靠先進的技術(shù),而且也得靠嚴格的安全管理,法律約束和安全教育

  ◆ 先進的信息安全技術(shù)是網(wǎng)絡(luò)安全的根本保證。用戶對自身面臨的威脅進行風(fēng)險評估,決定其所需要的安全服務(wù)種類,選擇相應(yīng)的安全機制,然后集成先進的安全技術(shù),形成一個全方位的安全系統(tǒng);

  ◆ 嚴格的安全管理。各計算機網(wǎng)絡(luò)使用機構(gòu),企業(yè)和單位應(yīng)建立相應(yīng)的網(wǎng)絡(luò)安全管理辦法,加強內(nèi)部管理,建立合適的網(wǎng)絡(luò)安全管理系統(tǒng),加強用戶管理和授權(quán)管理,建立安全審計和跟蹤體系,提高整體網(wǎng)絡(luò)安全意識;

  ◆ 制訂嚴格的法律、法規(guī)。計算機網(wǎng)絡(luò)是一種新生事物。它的許多行為無法可依,無章可循,導(dǎo)致網(wǎng)絡(luò)上計算機犯罪處于無序狀態(tài)。面對日趨嚴重的網(wǎng)絡(luò)上犯罪,必須建立與網(wǎng)絡(luò)安全相關(guān)的法律、法規(guī),使非法分子懾于法律,不敢輕舉妄動。

  信息安全涉及的主要問題

  ◆ 網(wǎng)絡(luò)攻擊與攻擊檢測、防范問題

  ◆ 安全漏洞與安全對策問題

  ◆ 信息安全保密問題

  ◆ 系統(tǒng)內(nèi)部安全防范問題

  ◆ 防病毒問題

  ◆ 數(shù)據(jù)備份與恢復(fù)問題、災(zāi)難恢復(fù)問題

  信息安全技術(shù)簡介

  目前,在市場上比較流行,而又能夠代表未來發(fā)展方向的安全產(chǎn)品大致有以下幾類:

  ◆ 防火墻:防火墻在某種意義上可以說是一種訪問控制產(chǎn)品。它在內(nèi)部網(wǎng)絡(luò)與不安全的外部網(wǎng)絡(luò)之間設(shè)置障礙,阻止外界對內(nèi)部資源的非法訪問,防止內(nèi)部對外部的不安全訪問。主要技術(shù)有:包過濾技術(shù),應(yīng)用網(wǎng)關(guān)技術(shù),代理服務(wù)技術(shù)。防火墻能夠較為有效地防止黑客利用不安全的服務(wù)對內(nèi)部網(wǎng)絡(luò)的攻擊,并且能夠?qū)崿F(xiàn)數(shù)據(jù)流的監(jiān)控、過濾、記錄和報告功能,較好地隔斷內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接。但它其本身可能存在安全問題,也可能會是一個潛在的瓶頸。

  ◆ 安全路由器:由于WAN連接需要專用的路由器設(shè)備,因而可通過路由器來控制網(wǎng)絡(luò)傳輸。通常采用訪問控制列表技術(shù)來控制網(wǎng)絡(luò)信息流。

  ◆ 虛擬專用網(wǎng)():虛擬專用網(wǎng)()是在公共數(shù)據(jù)網(wǎng)絡(luò)上,通過采用數(shù)據(jù)加密技術(shù)和訪問控制技術(shù),實現(xiàn)兩個或多個可信內(nèi)部網(wǎng)之間的互聯(lián)。的構(gòu)筑通常都要求采用具有加密功能的路由器或防火墻,以實現(xiàn)數(shù)據(jù)在公共信道上的可信傳遞。

  ◆ 安全服務(wù)器:安全服務(wù)器主要針對一個局域網(wǎng)內(nèi)部信息存儲、傳輸?shù)陌踩C軉栴},其實現(xiàn)功能包括對局域網(wǎng)資源的管理和控制,對局域網(wǎng)內(nèi)用戶的管理,以及局域網(wǎng)中所有安全相關(guān)事件的審計和跟蹤。

  ◆ 電子簽證機構(gòu)--CA和PKI產(chǎn)品:電子簽證機構(gòu)(CA)作為通信的第三方,為各種服務(wù)提供可信任的認證服務(wù)。CA可向用戶發(fā)行電子簽證證書,為用戶提供成員身份驗證和密鑰管理等功能。PKI產(chǎn)品可以提供更多的功能和更好的服務(wù),將成為所有應(yīng)用的計算基礎(chǔ)結(jié)構(gòu)的核心部件。

  ◆ 用戶認證產(chǎn)品:由于IC卡技術(shù)的日益成熟和完善,IC卡被更為廣泛地用于用戶認證產(chǎn)品中,用來存儲用戶的個人私鑰,并與其它技術(shù)如動態(tài)口令相結(jié)合,對用戶身份進行有效的識別。同時,還可利用IC卡上的個人私鑰與數(shù)字簽名技術(shù)結(jié)合,實現(xiàn)數(shù)字簽名機制。隨著模式識別技術(shù)的發(fā)展,諸如指紋、視網(wǎng)膜、臉部特征等高級的身份識別技術(shù)也將投入應(yīng)用,并與數(shù)字簽名等現(xiàn)有技術(shù)結(jié)合,必將使得對于用戶身份的認證和識別更趨完善。

  ◆ 安全管理中心:由于網(wǎng)上的安全產(chǎn)品較多,且分布在不同的位置,這就需要建立一套集中管理的機制和設(shè)備,即安全管理中心。它用來給各網(wǎng)絡(luò)安全設(shè)備分發(fā)密鑰,監(jiān)控網(wǎng)絡(luò)安全設(shè)備的運行狀態(tài),負責(zé)收集網(wǎng)絡(luò)安全設(shè)備的審計信息等。

  ◆ 入侵檢測系統(tǒng)(IDS):入侵檢測,作為傳統(tǒng)保護機制(比如訪問控制,身份識別等)的有效補充,形成了信息系統(tǒng)中不可或缺的反饋鏈。

  ◆ 安全數(shù)據(jù)庫:由于大量的信息存儲在計算機數(shù)據(jù)庫內(nèi),有些信息是有價值的,也是敏感的,需要保護。安全數(shù)據(jù)庫可以確保數(shù)據(jù)庫的完整性、可靠性、有效性、機密性、可審計性及存取控制與用戶身份識別等。

  ◆ 安全操作系統(tǒng):給系統(tǒng)中的關(guān)鍵服務(wù)器提供安全運行平臺,構(gòu)成安全WWW服務(wù),安全FTP服務(wù),安全SMTP服務(wù)等,并作為各類網(wǎng)絡(luò)安全產(chǎn)品的堅實底座,確保這些安全產(chǎn)品的自身安全。

  參考資料:http://www.csu.com.cn/safemate/renshi.htm

  http://baike.baidu.com/view/17249.htm

  通過以上你搞懂了信息安全,接下來告訴你網(wǎng)路與信心安全,它是個學(xué)科的專業(yè),我的一個朋友的專業(yè)就是網(wǎng)絡(luò)與信息安全,(你區(qū)別以下就行了 )我估計網(wǎng)絡(luò)與信息安全是信息安全的一個分支。

  網(wǎng)路信息安全的關(guān)鍵技術(shù)(轉(zhuǎn))

  ---- 近幾年來,Internet技術(shù)日趨成熟,已經(jīng)開始了從以提供和保證網(wǎng)絡(luò)聯(lián)通性為主要目標的第一代Internet技術(shù)向以提供網(wǎng)絡(luò)數(shù)據(jù)信息服務(wù)為特征的第二代Internet技術(shù)的過渡。與此同時,數(shù)以萬計的商業(yè)公司、政府機構(gòu)在多年的猶豫、觀望之后,意識到采用Internet技術(shù)并使企業(yè)數(shù)據(jù)通信網(wǎng)絡(luò)成為Internet的延伸已成為發(fā)展趨勢。這使得企業(yè)數(shù)據(jù)網(wǎng)絡(luò)正迅速地從以封閉型的專線、專網(wǎng)為特征的第二代技術(shù)轉(zhuǎn)向以Internet互聯(lián)技術(shù)為基礎(chǔ)的第三代企業(yè)信息網(wǎng)絡(luò)。所有這些,都促使了計算機網(wǎng)絡(luò)互聯(lián)技術(shù)迅速的大規(guī)模使用。

  ----眾所周知,作為全球使用范圍最大的信息網(wǎng),Internet自身協(xié)議的開放性極大地方便了各種計算機連網(wǎng),拓寬了共享資源。但是,由于在早期網(wǎng)絡(luò)協(xié)議設(shè)計上對安全問題的忽視,以及在使用和管理上的無政府狀態(tài),逐漸使Internet自身的安全受到嚴重威脅,與它有關(guān)的安全事故屢有發(fā)生。對網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在:非授權(quán)訪問、冒充合法用戶、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運行、利用網(wǎng)絡(luò)傳播病毒、線路竊聽等方面。這就要求我們對與Internet互連所帶來的安全性問題予以足夠重視。

  防火墻

  ----“防火墻”是近年發(fā)展起來的一種重要安全技術(shù),其特征是通過在網(wǎng)絡(luò)邊界上建立相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng),達到保障網(wǎng)絡(luò)安全的目的。防火墻型安全保障技術(shù)假設(shè)被保護網(wǎng)絡(luò)具有明確定義的邊界和服務(wù),并且網(wǎng)絡(luò)安全的威脅僅來自外部網(wǎng)絡(luò),進而通過監(jiān)測、限制、更改跨越“火墻”的數(shù)據(jù)流,通過盡可能地對外部網(wǎng)絡(luò)屏蔽有關(guān)被保護網(wǎng)絡(luò)的信息、結(jié)構(gòu),實現(xiàn)對網(wǎng)絡(luò)的安全保護。

  ----“防火墻”技術(shù)是通過對網(wǎng)絡(luò)作拓撲結(jié)構(gòu)和服務(wù)類型上的隔離來加強網(wǎng)絡(luò)安全的一種手段。它所保護的對象是網(wǎng)絡(luò)中有明確閉合邊界的一個網(wǎng)塊。它的防范對象是來自被保護網(wǎng)塊外部的對網(wǎng)絡(luò)安全的威脅。所謂“防火墻”則是綜合采用適當(dāng)技術(shù)在被保護網(wǎng)絡(luò)周邊建立的分隔被保護網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的系統(tǒng)。可見,防火墻技術(shù)最適合于在企業(yè)專網(wǎng)中使用,特別是在企業(yè)專網(wǎng)與公共網(wǎng)絡(luò)互連時使用。

  ----建立“防火墻”是在對網(wǎng)絡(luò)的服務(wù)功能和拓撲結(jié)構(gòu)仔細分析的基礎(chǔ)上,在被保護網(wǎng)絡(luò)周邊通過專用軟件、硬件及管理措施的綜合,對跨越網(wǎng)絡(luò)邊界和信息提供監(jiān)測、控制甚至修改的手段。實現(xiàn)防火墻所用的主要技術(shù)有數(shù)據(jù)包過濾、應(yīng)用網(wǎng)關(guān)(Application Gateway)和代理服務(wù)器(Proxy Server)等。在此基礎(chǔ)上合理的網(wǎng)絡(luò)拓撲結(jié)構(gòu)及有關(guān)技術(shù)(在位置和配置上)的適度使用也是保證防火墻有效使用的重要因素。

  加密型網(wǎng)絡(luò)安全技術(shù)

  ----通常網(wǎng)絡(luò)系統(tǒng)安全保障的實現(xiàn)方法可以分為兩大類:以防火墻技術(shù)為代表的被動防衛(wèi)型和建立在數(shù)據(jù)加密、用戶授權(quán)確認機制上的開放型網(wǎng)絡(luò)安全保障系統(tǒng)。

  ----以數(shù)據(jù)加密和用戶確認為基礎(chǔ)的開放型安全保障技術(shù)是普遍適用的,是對網(wǎng)絡(luò)服務(wù)影響較小的一種途徑,并可望成為網(wǎng)絡(luò)安全問題的最終的一體化解決途徑。這一類技術(shù)的特征是利用現(xiàn)代的數(shù)據(jù)加密技術(shù)來保護網(wǎng)絡(luò)系統(tǒng)中包括用戶數(shù)據(jù)在內(nèi)的所有數(shù)據(jù)流。只有指定的用戶或網(wǎng)絡(luò)設(shè)備才能夠解譯加密數(shù)據(jù),從而在不對網(wǎng)絡(luò)環(huán)境作特殊要求的前提下從根本上解決網(wǎng)絡(luò)安全的兩大要求(網(wǎng)絡(luò)服務(wù)的可用性和信息的完整性)。這類技術(shù)一般不需要特殊的網(wǎng)絡(luò)拓撲結(jié)構(gòu)的支持,因而實施代價主要體現(xiàn)在軟件的開發(fā)和系統(tǒng)運行維護等方面。這類方法在數(shù)據(jù)傳輸過程中不對所經(jīng)過的網(wǎng)絡(luò)路徑的安全程度作要求(因而不會受之影響),從而真正實現(xiàn)網(wǎng)絡(luò)通信過程的端到端的安全保障。目前已經(jīng)有了相當(dāng)數(shù)量的以不同方法實施的這一類安全保障系統(tǒng)。但是由于大部分數(shù)據(jù)加密算法源于美國,并且受到美國出口管制法的限制而無法在以國際化為特征的 Internet網(wǎng)絡(luò)上大規(guī)模使用,因而目前以這一途徑實現(xiàn)的系統(tǒng)大多局限在應(yīng)用軟件層次。在網(wǎng)絡(luò)層次上應(yīng)用和實現(xiàn)的網(wǎng)絡(luò)一般相對規(guī)模較小,限制了以此作為基礎(chǔ)的全面的網(wǎng)絡(luò)安全解決方案的產(chǎn)生。但預(yù)計在未來3~5年內(nèi),這一類型的網(wǎng)絡(luò)安全保障系統(tǒng)有希望成為網(wǎng)絡(luò)安全的主要實現(xiàn)方式。

  ----1. 分類

  ----數(shù)據(jù)加密技術(shù)可以分為三類,即對稱型加密、不對稱型加密和不可逆加密。

  ----對稱型加密使用單個密鑰對數(shù)據(jù)進行加密或解密,其特點是計算量小、加密效率高。但是此類算法在分布式系統(tǒng)上使用較為困難,主要是密鑰管理困難,使用成本較高,保安性能也不易保證。這類算法的代表是在計算機專網(wǎng)系統(tǒng)中廣泛使用的DES(Digital Encryption Standard)算法。

  ----不對稱型加密算法也稱公用密鑰算法,其特點是有二個密鑰(即公用密鑰和私有密鑰),只有二者搭配使用才能完成加密和解密的全過程。由于不對稱算法擁有兩個密鑰,它特別適用于分布式系統(tǒng)中的數(shù)據(jù)加密,在Internet中得到了廣泛應(yīng)用。其中公用密鑰在網(wǎng)上公布,為數(shù)據(jù)源對數(shù)據(jù)加密使用,而用于解密的相應(yīng)私有密鑰則由數(shù)據(jù)的收信方妥善保管。

  ----不對稱加密的另一用法稱為“數(shù)字簽名(Digital signature)”,即數(shù)據(jù)源使用其密鑰對數(shù)據(jù)的校驗和(Check Sum)或其他與數(shù)據(jù)內(nèi)容有關(guān)的變量進行加密,而數(shù)據(jù)接收方則用相應(yīng)的公用密鑰解讀“數(shù)字簽名”,并將解讀結(jié)果用于對數(shù)據(jù)完整性的檢驗。在網(wǎng)絡(luò)系統(tǒng)中得到應(yīng)用的不對稱加密算法有RSA算法和美國國家標準局提出的DSA算法(Digital Signature Algorithm)。不對稱加密法在分布式系統(tǒng)中應(yīng)用時需注意的問題是如何管理和確認公用密鑰的合法性。

  ----不可逆加密算法的特征是加密過程不需要密鑰,并且經(jīng)過加密的數(shù)據(jù)無法被解密,只有同樣的輸入數(shù)據(jù)經(jīng)過同樣的不可逆加密算法才能得到相同的加密數(shù)據(jù)。不可逆加密算法不存在密鑰保管和分發(fā)問題,適合在分布式網(wǎng)絡(luò)系統(tǒng)上使用,但是其加密計算工作量相當(dāng)可觀,所以通常用于數(shù)據(jù)量有限的情形下的加密,如計算機系統(tǒng)中的口令就是利用不可逆算法加密的。近來隨著計算機系統(tǒng)性能的不斷改善,不可逆加密的應(yīng)用逐漸增加。在計算機網(wǎng)絡(luò)中應(yīng)用較多的有RSA公司發(fā)明的MD5算法和由美國國家標準局建議的可靠不可逆加密標準(SHS:Secure Hash Standard)。

  ----2. 應(yīng)用

  ----加密技術(shù)用在網(wǎng)絡(luò)安全方面通常有兩種形式,即面向網(wǎng)絡(luò)或面向應(yīng)用服務(wù)。

  ----前者通常工作在網(wǎng)絡(luò)層或傳輸層,使用經(jīng)過加密的數(shù)據(jù)包傳送、認證網(wǎng)絡(luò)路由及其他網(wǎng)絡(luò)協(xié)議所需的信息,從而保證網(wǎng)絡(luò)的連通性和可用性不受損害。在網(wǎng)絡(luò)層上實現(xiàn)的加密技術(shù)對于網(wǎng)絡(luò)應(yīng)用層的用戶通常是透明的。此外,通過適當(dāng)?shù)拿荑€管理機制,使用這一方法還可以在公用的互連網(wǎng)絡(luò)上建立虛擬專用網(wǎng)絡(luò),并保障虛擬專用網(wǎng)上信息的安全性。SKIP協(xié)議即是近來IETF在這一方面努力的結(jié)果。

  ----面向網(wǎng)絡(luò)應(yīng)用服務(wù)的加密技術(shù),則是目前較為流行的加密技術(shù)的使用方法,例如使用Kerberos服務(wù)的Telnet、NFS、Rlogin等,以及用作電子郵件加密的PEM(Privacy Enhanced Mail)和PGP(Pretty Good Privacy)。這一類加密技術(shù)的優(yōu)點在于實現(xiàn)相對較為簡單,不需要對電子信息(數(shù)據(jù)包)所經(jīng)過的網(wǎng)絡(luò)的安全性能提出特殊要求,對電子郵件數(shù)據(jù)實現(xiàn)了端到端的安全保障。

  漏洞掃描技術(shù)

  ----漏洞掃描是自動檢測遠端或本地主機安全脆弱點的技術(shù)。它查詢TCP/IP端口,并紀錄目標的響應(yīng),收集關(guān)于某些特定項目的有用信息,如正在進行的服務(wù),擁有這些服務(wù)的用戶,是否支持匿名登錄,是否有某些網(wǎng)絡(luò)服務(wù)需要鑒別等。這項技術(shù)的具體實現(xiàn)就是安全掃描程序。

  ----早期的掃描程序是專門為Unix系統(tǒng)編寫的,隨后情況就發(fā)生了變化?,F(xiàn)在很多操作系統(tǒng)都支持TCP/IP,因此,幾乎每一種平臺上都出現(xiàn)了掃描程序。掃描程序?qū)μ岣逫nternet安全發(fā)揮了很大的作用。

  ----在任何一個現(xiàn)有的平臺上都有幾百個熟知的安全脆弱點。人工測試單臺主機的這些脆弱點要花幾天的時間。在這段時間里,必須不斷進行獲取、編譯或運行代碼的工作。這個過程需要重復(fù)幾百次,既慢又費力且容易出錯。而所有這些努力,僅僅是完成了對單臺主機的檢測。更糟糕的是,在完成一臺主機的檢測后,留下了一大堆沒有統(tǒng)一格式的數(shù)據(jù)。在人工檢測后,又不得不花幾天的時間來分析這些變化的數(shù)據(jù)。而掃描程序可在在很短的時間內(nèi)就解決這些問題。掃描程序開發(fā)者利用可得到的常用攻擊方法,并把它們集成到整個掃描中。輸出的結(jié)果格式統(tǒng)一,容易參考和分析。

  ----從上述事實可以看出:掃描程序是一個強大的工具,它可以用來為審計收集初步的數(shù)據(jù)。如同一桿霰彈獵槍,它可以快速而無痛苦地在大范圍內(nèi)發(fā)現(xiàn)已知的脆弱點。

  ----在掃描程序的發(fā)展中,已有的掃描程序大約有幾十種,有的快捷小巧,能夠很好地實現(xiàn)某個單一功能;有的功能完善,界面友好,曾經(jīng)名噪一時。至今,仍然被廣泛使用的掃描程序有NSS、Strobe、SATAN、Ballista、Jakal、 IdentTCPscan、Ogre、WebTrends Security Scanner、CONNECT、FSPScan、XSCAN、 ISS。

  入侵檢測技術(shù)

  ----人們發(fā)現(xiàn)只從防御的角度構(gòu)造安全系統(tǒng)是不夠的。因此,人們開始尋求其他途徑來補充保護網(wǎng)絡(luò)的安全,系統(tǒng)脆弱性評估及入侵檢測的研究課題便應(yīng)運而生。入侵檢測可被定義為對計算機和網(wǎng)絡(luò)資源上的惡意使用行為進行識別和響應(yīng)的處理過程。它不僅檢測來自外部的入侵行為,同時也指內(nèi)部用戶的未授權(quán)活動。入侵檢測應(yīng)用了以攻為守的策略,它所提供的數(shù)據(jù)不僅有可能用來發(fā)現(xiàn)合法用戶濫用特權(quán),還有可能在一定程度上提供追究入侵者法律責(zé)任的有效證據(jù)。

  ----從20世紀80年代初開始,國外就有一些研究機構(gòu)及學(xué)校著手有關(guān)系統(tǒng)脆弱性分類的研究,如Information Science Institute、Lawrence Livermore National Laboratories 以及UC Davis Computer Security Lab等。系統(tǒng)脆弱性的研究一方面因為 Internet的迅速膨脹,另一方面因為入侵檢測的興起。對入侵檢測的研究機構(gòu)也有不少,其中有 Stanford Research Institute 的Computer Science Laboratory(SRI/CSL), Purdue University 的 COAST (Computer Operations Audit and Security Technology)研究小組,以及美國國家能源部的Lawrence Livermore National Laboratory等機構(gòu)。系統(tǒng)脆弱性的研究目前仍不很成熟,因為系統(tǒng)脆弱性的涵蓋面很廣,而且還在不斷地增加,對于脆弱性的分類也會因新的漏洞被發(fā)現(xiàn)而相應(yīng)地發(fā)展補充,所以它是一個動態(tài)的過程。另外,針對不同的目的也要求分類方法有所差別。對于入侵檢測的研究,從早期的審計跟蹤數(shù)據(jù)分析,到實時入侵檢測系統(tǒng),到目前應(yīng)用于大型網(wǎng)絡(luò)和分布式系統(tǒng),基本上已發(fā)展成具有一定規(guī)模和相應(yīng)理論的課題。

  ----(1) 從具體的檢測方法上,將檢測系統(tǒng)分為基于行為的和基于知識的兩類。

  ----基于行為的檢測指根據(jù)使用者的行為或資源使用狀況的正常程度來判斷是否發(fā)生入侵,而不依賴于具體行為是否出現(xiàn)來檢測,即建立被檢測系統(tǒng)正常行為的參考庫,并通過與當(dāng)前行為進行比較來尋找偏離參考庫的異常行為。例如一般在白天使用計算機的用戶,如果他突然在午夜注冊登錄,則被認為是異常行為,有可能是某入侵者在使用。基于行為的檢測也被稱為異常檢測(Anomaly Detection)。

  ----基于知識的檢測指運用已知攻擊方法,根據(jù)已定義好的入侵模式,通過判斷這些入侵模式是否出現(xiàn)來判斷。因為很大一部分入侵是利用了系統(tǒng)的脆弱性,通過分析入侵過程的特征、條件、排列以及事件間關(guān)系,具體描述入侵行為的跡象。這些跡象不僅對分析已經(jīng)發(fā)生的入侵行為有幫助,而且對即將發(fā)生的入侵也有警戒作用,因為只要部分滿足這些入侵跡象就意味著可能有入侵發(fā)生。基于知識的檢測也被稱為誤用檢測(Misuse Detection)。

  ----(2) 根據(jù)檢測系統(tǒng)所分析的原始數(shù)據(jù)不同,可入侵檢測分為來自系統(tǒng)日志和網(wǎng)絡(luò)數(shù)據(jù)包兩種。

  ----操作系統(tǒng)的日志文件中包含了詳細的用戶信息和系統(tǒng)調(diào)用數(shù)據(jù),從中可分析系統(tǒng)是否被侵入以及侵入者留下的痕跡等審計信息。隨著Internet的推廣,網(wǎng)絡(luò)數(shù)據(jù)包逐漸成為有效且直接的檢測數(shù)據(jù)源,因為數(shù)據(jù)包中同樣也含有用戶信息。入侵檢測的早期研究主要集中在主機系統(tǒng)的日志文件分析上。因為用戶對象局限于本地用戶,隨著分布式大型網(wǎng)絡(luò)的推廣,用戶可隨機地從不同客戶機上登錄,主機間也經(jīng)常需要交換信息。尤其是Internet的廣泛應(yīng)用,據(jù)統(tǒng)計入侵行為大多數(shù)發(fā)生在網(wǎng)絡(luò)上。這樣就使入侵檢測的對象范圍也擴大至整個網(wǎng)絡(luò)。

  ----在現(xiàn)有的實用系統(tǒng)中,還可根據(jù)系統(tǒng)運行特性分為實時檢測和周期性檢測,以及根據(jù)檢測到入侵行為后是否采取相應(yīng)措施而分為主動型和被動型。對于入侵檢測系統(tǒng)的分類可用下圖表示:

  ----以上僅對網(wǎng)絡(luò)信息安全方面的若干技術(shù)做了一個簡要的介紹。從中我們可以看到,與計算機黑客的斗爭,是一個“道高一尺,魔高一丈”過程。尤其在最近一年里,黑客的行為表現(xiàn)得更為組織化、規(guī)?;浼夹g(shù)水平普遍都有了很大的提高。如果想要在這場此消彼長的斗爭中保持主動,那么就必須保持一支專業(yè)隊伍,不斷跟蹤黑客技術(shù),研究其行為特點,提出自己的反黑客理論及方法,通過深入研究黑客技術(shù),有效地提高系統(tǒng)的管理和應(yīng)用水平。

366215