美國網路安全框架

⑴ ips和防火牆有哪些區別

ips和防火牆區別一：
1、基礎防火牆類，主要是可實現基本包過濾策略的防火牆，這類是有硬體處理、軟體處理等，其主要功能實現是限制對IP:port的訪問。基本上的實現都是默認情況下關閉所有的通過型訪問，只開放允許訪問的策略。
2、IDS類，此類產品基本上以旁路為主，特點是不阻斷任何網路訪問，主要以提供報告和事後監督為主，少量的類似產品還提供TCP阻斷等功能，但少有使用。
3、IPS類，解決了IDS無法阻斷的問題，基本上以在線模式為主，系統提供多個埠，以透明模式工作。在一些傳統防火牆的新產品中也提供了類似功能，其特點是可以分析到數據包的內容，解決傳統防火牆只能工作在4層以下的問題。和IDS一樣，IPS也要像防病毒系統定義N種已知的攻擊模式，並主要通過模式匹配去阻斷非法訪問。
4、主動安全類，和前面的產品均不同，主動安全產品的特點是協議針對性非常強，比如WAF就是專門負責HTTP協議的安全處理，DAF就是專門負責資料庫Sql 查詢類的安全處理。在主動安全產品中通常會處理到應用級的訪問流程。對於不認識的業務訪問全部隔離。
在這幾類產品中，就可以分辨出什麼是主動安全，什麼是被動安全。從安全的最基本概念來說，首先是關閉所有的通路，然後再開放允許的訪問。因此，傳統防火牆可以說是主動安全的概念，因為默認情況下是關閉所有的訪問，然後再通過定製策略去開放允許開放的訪問。但由於其設計結構和特點，不能檢測到數據包的內容級別，因此，當攻擊手段到達應用層面的時候，傳統的防火牆都是無能為力的。IDS就不講了，不能阻斷只能是一個事後監督機制，因此在其後出現的IPS，基本上所有的IPS系統都號稱能檢查到數據包的內容，但犯了一個致命的錯誤，就是把安全的原則反過來了，變成默認開放所有的訪問，只有自己認識的訪問，才進行阻斷。從另外一個方面，由於在線式造成的性能問題，也不能像殺毒軟體一樣進行全面而細致的安全審計。因此大多數的IPS在實際運行環境中都形同虛設，通常只是當作一個防DDOS的設備存在。IPS尤其對於未知的，不再其安全庫內的攻擊手段，基本上都是無能為力的。
在主動安全的體系中，徹底改變了IPS 的致命安全錯誤。其工作在協議層上，通過對協議的徹底分析和Proxy代理工作模式，同時，結合對應用的訪問流程進行分析，只通過自己認識的訪問，而對於不認識的訪問，則全部進行阻斷。比如在頁面上的一個留言板，正常人登錄都是填入一些留言，提問等，但黑客則完全可能填入一段代碼，如果伺服器端的頁面存在漏洞，則當另外一個用戶查看留言板的時候，則會在用戶完全不知道的情況下執行這段代碼，標准叫法，這叫做跨站攻擊。當這段代碼被執行後，用戶的本地任何信息都有可能被發送到黑客的指定地址上。如果採用防火牆或者IPS，對此類攻擊根本沒有任何處理辦法，因為攻擊的手段、代碼每次都在變化，沒有特徵而言。而在採用主動安全的系統中，則可以嚴格的限制在留言板中輸入的內容，由此來防範此類跨站攻擊。又如常見的認證漏洞，可能造成某些頁面在沒有進行用戶登錄的情況下可以直接訪問，這些內容在防火牆或者IPS系統中更加無法處理了。因為他們的請求和正常的請求完全一樣，只是沒有經過登錄流程而已，因此不能進行防護，在主動安全體系裡，可以對用戶的訪問進行流程限定，比如訪問一些內容必須是在先通過了安全認證之後才能訪問，並且必須按照一定的順序才能執行。因此，工作在流程和代理層面的主動安全設備可以進一步實現應用系統的真正安全。
ips和防火牆區別二：

IDS技術
根據採集數據源的不同，IDS可分為主機型IDS(Host-based IDS，HIDS)和網路型IDS(Network-based IDS，NIDS)。
HIDS和NIDS都能發現對方無法檢測到的一些入侵行為，可互為補充。完美的IDS產品應該將兩者結合起來。目前主流IDS產品都採用HIDS和NIDS有機結合的混合型IDS架構。
傳統的入侵檢測技術有：
ips和防火牆區別1、模式匹配
模式匹配就是將收集到的信息與已知的網路入侵和系統誤用模式資料庫進行比較，來發現違背安全策略的入侵行為。一種進攻模式可以利用一個過程或一個輸出來表示。這種檢測方法只需收集相關的數據集合就能進行判斷，能減少系統佔用，並且技術已相當成熟，檢測准確率和效率也相當高。但是，該技術需要不斷進行升級以對付不斷出現的攻擊手法，並且不能檢測未知攻擊手段。
ips和防火牆區別2、異常檢測
異常檢測首先給系統對象(用戶、文件、目錄和設備等)創建一個統計描述，包括統計正常使用時的測量屬性，如訪問次數、操作失敗次數和延時等。測量屬性的平均值被用來與網路、系統的行為進行比較，當觀察值在正常值范圍之外時，IDS就會判斷有入侵發生。異常檢測的優點是可以檢測到未知入侵和復雜的入侵，缺點是誤報、漏報率高。
ips和防火牆區別3、完整性分析
完整性分析關注文件或對象是否被篡改，主要根據文件和目錄的內容及屬性進行判斷，這種檢測方法在發現被更改和被植入特洛伊木馬的應用程序方面特別有效。完整性分析利用消息摘要函數的加密機制，能夠識別微小變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵，只要攻擊導致文件或對象發生了改變，完整性分析都能夠發現。完整性分析一般是以批處理方式實現，不用於實時響應。入侵檢測面臨的問題
1、誤報和漏報
IDS系統經常發出許多假警報。誤警和漏警產生的原因主要有以下幾點：
● 當前IDS使用的主要檢測技術仍然是模式匹配，模式庫的組織簡單、不及時、不完整，而且缺乏對未知攻擊的檢測能力;
● 隨著網路規模的擴大以及異構平台和不同技術的採用，尤其是網路帶寬的迅速增長，IDS的分析處理速度越來越難跟上網路流量，從而造成數據包丟失;
● 網路攻擊方法越來越多，攻擊技術及其技巧性日趨復雜，也加重了IDS的誤報、漏報現象。
2、拒絕服務攻擊
IDS是失效開放(Fail Open)的機制，當IDS遭受拒絕服務攻擊時，這種失效開放的特性使得黑客可以實施攻擊而不被發現。
3、插入和規避
插入攻擊和規避攻擊是兩種逃避IDS檢測的攻擊形式。其中插入攻擊可通過定製一些錯誤的數據包到數據流中，使IDS誤以為是攻擊。規避攻擊則相反，可使攻擊躲過IDS的檢測到達目的主機。插入攻擊的意圖是使IDS頻繁告警(誤警)，但實際上並沒有攻擊，起到迷惑管理員的作用。規避攻擊的意圖則是真正要逃脫IDS的檢測，對目標主機發起攻擊。黑客經常改變攻擊特徵來欺騙基於模式匹配的IDS。
IDS發展趨勢
在安全漏洞被發現與被攻擊之間的時間差不斷縮小的情況下，基於特徵檢測匹配技術的IDS已經力不從心。IDS出現了銷售停滯，但IDS不會立刻消失，而是將IDS將成為安全信息管理(SIM)框架的組成部分。在SIM框架中，IDS的作用可以通過檢測和報告技術得到加強。分析人士指出，IDS的作用正轉變為調查取證和安全分析。大約5年後，一致性安全管理以及內核級的安全技術將共同結束基於特徵檢測的IDS技術的使命。
美國網路世界實驗室聯盟成員Joel Snyder認為，未來將是混合技術的天下，在網路邊緣和核心層進行檢測，遍布在網路上的感測設備和糾正控制台通力協作將是安全應用的主流。
一些廠商通過將IDS報警與安全漏洞信息進行關聯分析，著手解決IDS的缺陷。SIM廠商在實現安全信息分析的方式上開始採取更加模塊化的方法，將安全漏洞管理、異常檢測、網路評估、蜜罐模塊與IDS模塊搭配在一起，以更好地確定和響應安全事件。IPS主動防護
盡管IDS是一種受到企業歡迎的解決方案，它還是不足以阻斷當今互聯網中不斷發展的攻擊。入侵檢測系統的一個主要問題是它不會主動在攻擊發生前阻斷它們。同時，許多入侵檢測系統基於簽名，所以它們不能檢測到新的攻擊或老式攻擊的變形，它們也不能對加密流量中的攻擊進行檢測。
而入侵防護系統(Intrution Protection System，IPS)則傾向於提供主動性的防護，其設計旨在預先對入侵活動和攻擊性網路流量進行攔截，避免其造成任何損失，而不是簡單地在惡意流量傳送時或傳送後才發出警報。IPS 是通過直接嵌入到網路流量中而實現這一功能的，即通過一個網路埠接收來自外部系統的流量，經過檢查確認其中不包含異常活動或可疑內容後，再通過另外一個埠將它傳送到內部系統中。這樣一來，有問題的數據包，以及所有來自同一數據流的後續數據包，都能夠在IPS設備中被清除掉。
簡單地理解，IPS等於防火牆加上入侵檢測系統，但並不是說IPS可以代替防火牆或入侵檢測系統。防火牆是粒度比較粗的訪問控制產品，它在基於TCP/IP協議的過濾方面表現出色，而且在大多數情況下，可以提供網路地址轉換、服務代理、流量統計等功能。
和防火牆比較起來，IPS的功能比較單一，它只能串聯在網路上，對防火牆所不能過濾的攻擊進行過濾。一般來說，企業用戶關注的是自己的網路能否避免被攻擊，對於能檢測到多少攻擊並不是很熱衷。但這並不是說入侵檢測系統就沒有用處，在一些專業的機構，或對網路安全要求比較高的地方，入侵檢測系統和其他審計跟蹤產品結合，可以提供針對企業信息資源的全面審計資料，這些資料對於攻擊還原、入侵取證、異常事件識別、網路故障排除等等都有很重要的作用。
IPS目前主要包含以下幾種類型：1、基於主機的入侵防護(HIPS)，它能夠保護伺服器的安全弱點不被不法分子所利用;2、基於網路的入侵防護(NIPS)，它可通過檢測流經的網路流量，提供對網路系統的安全保護，一旦辨識出入侵行為，NIPS就可以去除整個網路會話，而不僅僅是復位會話;3、應用入侵防護，它把基於主機的入侵防護擴展成為位於應用伺服器之前的網路設備。IPS面臨的挑戰
IPS 技術需要面對很多挑戰，其中主要有三點。
1、單點故障。設計要求IPS必須以嵌入模式工作在網路中，而這就可能造成瓶頸問題或單點故障。如果IDS出現故障，最壞的情況也就是造成某些攻擊無法被檢測到，而嵌入式的IPS設備出現問題，就會嚴重影響網路的正常運轉。如果IPS出現故障而關閉，用戶就會面對一個由IPS造成的拒絕服務問題，所有客戶都將無法訪問企業網路提供的應用。
2、性能瓶頸。即使 IPS設備不出現故障，它仍然是一個潛在的網路瓶頸，不僅會增加滯後時間，而且會降低網路的效率，IPS必須與數千兆或者更大容量的網路流量保持同步，尤其是當載入了數量龐大的檢測特徵庫時，設計不夠完善的 IPS 嵌入設備無法支持這種響應速度。絕大多數高端 IPS產品供應商都通過使用自定義硬體(FPGA、網路處理器和ASIC晶元)來提高IPS的運行效率。
3、誤報和漏報。誤報率和漏報率也需要IPS認真面對。在繁忙的網路當中，如果以每秒需要處理十條警報信息來計算，IPS每小時至少需要處理36000條警報，一天就是864000條。一旦生成了警報，最基本的要求就是IPS能夠對警報進行有效處理。如果入侵特徵編寫得不是十分完善，那麼「誤報」就有了可乘之機，導致合法流量也有可能被意外攔截。對於實時在線的IPS來說，一旦攔截了「攻擊性」數據包，就會對來自可疑攻擊者的所有數據流進行攔截。如果觸發了誤報警報的流量恰好是某個客戶訂單的一部分，其結果可想而知，這個客戶整個會話就會被關閉，而且此後該客戶所有重新連接到企業網路的合法訪問都會被「盡職盡責」的IPS攔截。
IDS和IPS將共存
雖然IPS具有很大的優勢，然而美國網路世界實驗室聯盟成員Rodney Thayer認為，在報告、分析等相關技術完善得足以防止虛假報警之前，IPS不可能取代IDS設備。IPS可能將取代外圍防線的檢測系統，而網路中的一些位置仍然需要檢測功能，以加強不能提供很多事件信息的IPS。現在市場上的主流網路安全產品可以分為以下幾個大類：
1、基礎防火牆類，主要是可實現基本包過濾策略的防火牆，這類是有硬體處理、軟體處理等，其主要功能實現是限制對IP:port的訪問。基本上的實現都是默認情況下關閉所有的通過型訪問，只開放允許訪問的策略。
2、IDS類，此類產品基本上以旁路為主，特點是不阻斷任何網路訪問，主要以提供報告和事後監督為主，少量的類似產品還提供TCP阻斷等功能，但少有使用。
3、IPS類，解決了IDS無法阻斷的問題，基本上以在線模式為主，系統提供多個埠，以透明模式工作。在一些傳統防火牆的新產品中也提供了類似功能，其特點是可以分析到數據包的內容，解決傳統防火牆只能工作在4層以下的問題。和IDS一樣，IPS也要像防病毒系統定義N種已知的攻擊模式，並主要通過模式匹配去阻斷非法訪問。
4、主動安全類，和前面的產品均不同，主動安全產品的特點是協議針對性非常強，比如WAF就是專門負責HTTP協議的安全處理，DAF就是專門負責資料庫Sql 查詢類的安全處理。在主動安全產品中通常會處理到應用級的訪問流程。對於不認識的業務訪問全部隔離。
在這幾類產品中，就可以分辨出什麼是主動安全，什麼是被動安全。從安全的最基本概念來說，首先是關閉所有的通路，然後再開放允許的訪問。因此，傳統防火牆可以說是主動安全的概念，因為默認情況下是關閉所有的訪問，然後再通過定製策略去開放允許開放的訪問。但由於其設計結構和特點，不能檢測到數據包的內容級別，因此，當攻擊手段到達應用層面的時候，傳統的防火牆都是無能為力的。IDS就不講了，不能阻斷只能是一個事後監督機制，因此在其後出現的IPS，基本上所有的IPS系統都號稱能檢查到數據包的內容，但犯了一個致命的錯誤，就是把安全的原則反過來了，變成默認開放所有的訪問，只有自己認識的訪問，才進行阻斷。從另外一個方面，由於在線式造成的性能問題，也不能像殺毒軟體一樣進行全面而細致的安全審計。因此大多數的IPS在實際運行環境中都形同虛設，通常只是當作一個防DDOS的設備存在。IPS尤其對於未知的，不再其安全庫內的攻擊手段，基本上都是無能為力的。
在主動安全的體系中，徹底改變了IPS 的致命安全錯誤。其工作在協議層上，通過對協議的徹底分析和Proxy代理工作模式，同時，結合對應用的訪問流程進行分析，只通過自己認識的訪問，而對於不認識的訪問，則全部進行阻斷。比如在頁面上的一個留言板，正常人登錄都是填入一些留言，提問等，但黑客則完全可能填入一段代碼，如果伺服器端的頁面存在漏洞，則當另外一個用戶查看留言板的時候，則會在用戶完全不知道的情況下執行這段代碼，標准叫法，這叫做跨站攻擊。當這段代碼被執行後，用戶的本地任何信息都有可能被發送到黑客的指定地址上。如果採用防火牆或者IPS，對此類攻擊根本沒有任何處理辦法，因為攻擊的手段、代碼每次都在變化，沒有特徵而言。而在採用主動安全的系統中，則可以嚴格的限制在留言板中輸入的內容，由此來防範此類跨站攻擊。又如常見的認證漏洞，可能造成某些頁面在沒有進行用戶登錄的情況下可以直接訪問，這些內容在防火牆或者IPS系統中更加無法處理了。因為他們的請求和正常的請求完全一樣，只是沒有經過登錄流程而已，因此不能進行防護，在主動安全體系裡，可以對用戶的訪問進行流程限定，比如訪問一些內容必須是在先通過了安全認證之後才能訪問，並且必須按照一定的順序才能執行。因此，工作在流程和代理層面的主動安全設備可以進一步實現應用系統的真正安全。
另外，在通常情況下，安全訪問都採用SSL進行通道連接，傳統的IPS根本無法看到用戶的訪問，從而造成形同虛設的安全網關

⑵ 網路安全的關鍵技術有哪些

計算機網路安全技術簡稱網路安全技術，指致力於解決諸如如何有效進行介入控制，以及如何保證數據傳輸的安全性的技術手段，主要包括物理安全分析技術，網路結構安全分析技術，系統安全分析技術，管理安全分析技術，及其它的安全服務和安全機制策略。

技術分類虛擬網技術

虛擬網技術主要基於近年發展的區域網交換技術(ATM和乙太網交換）。交換技術將傳統的基於廣播的區域網技術發展為面向連接的技術。因此，網管系統有能力限制區域網通訊的范圍而無需通過開銷很大的路由器。防火牆技術網路防火牆技術是一種用來加強網路之間訪問控制,防止外部網路用戶以非法手段通過外部網路進入內部網路,訪問內部網路資源,保護內部網路操作環境的特殊網路互聯設備.它對兩個或多個網路之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網路之間的通信是否被允許,並監視網路運行狀態.

防火牆產品主要有堡壘主機,包過濾路由器,應用層網關(代理伺服器)以及電路層網關,屏蔽主機防火牆,雙宿主機等類型.

病毒防護技術

病毒歷來是信息系統安全的主要問題之一。由於網路的廣泛互聯，病毒的傳播途徑和速度大大加快。

將病毒的途徑分為：

(1 ) 通過FTP，電子郵件傳播。

(2) 通過軟盤、光碟、磁帶傳播。

(3) 通過Web游覽傳播，主要是惡意的Java控制項網站。

(4) 通過群件系統傳播。

病毒防護的主要技術如下：

(1) 阻止病毒的傳播。

在防火牆、代理伺服器、SMTP伺服器、網路伺服器、群件伺服器上安裝病毒過濾軟體。在桌面PC安裝病毒監控軟體。

(2) 檢查和清除病毒。

使用防病毒軟體檢查和清除病毒。

(3) 病毒資料庫的升級。

病毒資料庫應不斷更新，並下發到桌面系統。

(4) 在防火牆、代理伺服器及PC上安裝Java及ActiveX控制掃描軟體，禁止未經許可的控制項下載和安裝。入侵檢測技術利用防火牆技術，經過仔細的配置，通常能夠在內外網之間提供安全的網路保護，降低了網路安全風險。但是，僅僅使用防火牆、網路安全還遠遠不夠：

(1) 入侵者可尋找防火牆背後可能敞開的後門。

(2) 入侵者可能就在防火牆內。

(3) 由於性能的限制，防火牆通常不能提供實時的入侵檢測能力。入侵檢測系統是近年出現的新型網路安全技術，目的是提供實時的入侵檢測及採取相應的防護手段，如記錄證據用於跟蹤和恢復、斷開網路連接等。

實時入侵檢測能力之所以重要首先它能夠對付來自內部網路的攻擊，其次它能夠縮短hacker入侵的時間。

入侵檢測系統可分為兩類：基於主機和基於網路的入侵檢測系統。安全掃描技術

網路安全技術中，另一類重要技術為安全掃描技術。安全掃描技術與防火牆、安全監控系統互相配合能夠提供很高安全性的網路。

安全掃描工具通常也分為基於伺服器和基於網路的掃描器。

認證和數字簽名技術

認證技術主要解決網路通訊過程中通訊雙方的身份認可，數字簽名作為身份認證技術中的一種具體技術，同時數字簽名還可用於通信過程中的不可抵賴要求的實現。VPN技術1、企業對VPN 技術的需求

企業總部和各分支機構之間採用internet網路進行連接，由於internet是公用網路，因此，必須保證其安全性。我們將利用公共網路實現的私用網路稱為虛擬私用網(VPN)。

2、數字簽名

數字簽名作為驗證發送者身份和消息完整性的根據。公共密鑰系統(如RSA)基於私有/公共密鑰對，作為驗證發送者身份和消息完整性的根據。CA使用私有密鑰計算其數字簽名，利用CA提供的公共密鑰，任何人均可驗證簽名的真實性。偽造數字簽名從計算能力上是不可行的。

3、IPSEC

IPSec作為在IP v4及IP v6上的加密通訊框架，已為大多數廠商所支持，預計在1998年將確定為IETF標准，是VPN實現的Internet標准。

IPSec主要提供IP網路層上的加密通訊能力。該標准為每個IP包增加了新的包頭格式，Authentication
Header(AH)及encapsualting security
payload(ESP)。IPsec使用ISAKMP/Oakley及SKIP進行密鑰交換、管理及加密通訊協商(Security
Association)。

⑶ 自安全基礎架構是什麼

迪普科技致力於成為下一代安全網路的最佳實踐者，區別於以「互聯互通」為核心的「黑名單」網路建設模型，提出以管控為核心的「白名單」建設思路。

⑷ 網路信息安全的模型框架

通信雙方在網路上傳輸信息，需要先在發收之間建立一條邏輯通道。這就要先確定從發送端到接收端的路由，再選擇該路由上使用的通信協議，如TCP/IP。
為了在開放式的網路環境中安全地傳輸信息，需要對信息提供安全機制和安全服務。信息的安全傳輸包括兩個基本部分：一是對發送的信息進行安全轉換，如信息加密以便達到信息的保密性，附加一些特徵碼以便進行發送者身份驗證等；二是發送雙方共享的某些秘密信息，如加密密鑰，除了對可信任的第三方外，對其他用戶是保密的。
為了使信息安全傳輸，通常需要一個可信任的第三方，其作用是負責向通信雙方分發秘密信息，以及在雙方發生爭議時進行仲裁。
一個安全的網路通信必須考慮以下內容：
·實現與安全相關的信息轉換的規則或演算法
·用於信息轉換演算法的密碼信息（如密鑰）
·秘密信息的分發和共享
·使用信息轉換演算法和秘密信息獲取安全服務所需的協議 網路信息安全可看成是多個安全單元的集合。其中，每個單元都是一個整體，包含了多個特性。一般，人們從三個主要特性——安全特性、安全層次和系統單元去理解網路信息安全。
1）安全特性
安全特性指的是該安全單元可解決什麼安全威脅。信息安全特性包括保密性、完整性、可用性和認證安全性。
保密性安全主要是指保護信息在存儲和傳輸過程中不被未授權的實體識別。比如，網上傳輸的信用卡賬號和密碼不被識破。
完整性安全是指信息在存儲和傳輸過程中不被為授權的實體插入、刪除、篡改和重發等，信息的內容不被改變。比如，用戶發給別人的電子郵件，保證到接收端的內容沒有改變。
可用性安全是指不能由於系統受到攻擊而使用戶無法正常去訪問他本來有權正常訪問的資源。比如，保護郵件伺服器安全不因其遭到DOS攻擊而無法正常工作，是用戶能正常收發電子郵件。
認證安全性就是通過某些驗證措施和技術，防止無權訪問某些資源的實體通過某種特殊手段進入網路而進行訪問。
2）系統單元
系統單元是指該安全單元解決什麼系統環境的安全問題。對於現代網路，系統單元涉及以下五個不同環境。
·物理單元：物理單元是指硬體設備、網路設備等，包含該特性的安全單元解決物理環境安全問題。
·網路單元：網路單元是指網路傳輸，包含該特性的安全單元解決網路協議造成的網路傳輸安全問題。
·系統單元：系統單元是指操作系統，包含該特性的安全單元解決端系統或中間系統的操作系統包含的安全問題。一般是指數據和資源在存儲時的安全問題。
·應用單元：應用單元是指應用程序，包含該特性的安全單元解決應用程序所包含的安全問題。
·管理單元：管理單元是指網路安全管理環境，網路管理系統對網路資源進行安全管理。 網路信息安全往往是根據系統及計算機方面做安全部署，很容易遺忘人才是這個網路信息安全中的脆弱點，而社會工程學攻擊則是這種脆弱點的擊破方法。社會工程學是一種利用人性脆弱點、貪婪等等的心理表現進行攻擊，是防不勝防的。國內外都有在對此種攻擊進行探討，比較出名的如《黑客社會工程學攻擊2》等。

⑸ 網路及信息系統需要構建什麼樣的網路安全防護體系

網路安全保障體系的構建

網路安全保障體系如圖1所示。其保障功能主要體現在對整個網路系統的風險及隱患進行及時的評估、識別、控制和應急處理等，便於有效地預防、保護、響應和恢復，確保系統安全運行。

圖4 網路安全保障體系框架

網路安全管理的本質是對網路信息安全風險進行動態及有效管理和控制。網路安全風險管理是網路運營管理的核心，其中的風險分為信用風險、市場風險和操作風險，包括網路信息安全風險。實際上，在網路信息安全保障體系框架中，充分體現了風險管理的理念。網路安全保障體系架構包括五個部分：

1) 網路安全策略。屬於整個體系架構的頂層設計，起到總體宏觀上的戰略性和方向性指導作用。以風險管理為核心理念，從長遠發展規劃和戰略角度整體策劃網路安全建設。

2) 網路安全政策和標准。是對網路安全策略的逐層細化和落實，包括管理、運作和技術三個層面，各層面都有相應的安全政策和標准，通過落實標准政策規范管理、運作和技術，保證其統一性和規范性。當三者發生變化時，相應的安全政策和標准也需要調整並相互適應，反之，安全政策和標准也會影響管理、運作和技術。

3) 網路安全運作。基於日常運作模式及其概念性流程（風險評估、安全控制規劃和實施、安全監控及響應恢復）。是網路安全保障體系的核心，貫穿網路安全始終；也是網路安全管理機制和技術機制在日常運作中的實現，涉及運作流程和運作管理。

4) 網路安全管理。對網路安全運作至關重要，從人員、意識、職責等方面保證網路安全運作的順利進行。網路安全通過運作體系實現，而網路安全管理體系是從人員組織的角度保證正常運作，網路安全技術體系是從技術角度保證運作。

5) 網路安全技術。網路安全運作需要的網路安全基礎服務和基礎設施的及時支持。先進完善的網路安全技術可極大提高網路安全運作的有效性，從而達到網路安全保障體系的目標，實現整個生命周期（預防、保護、檢測、響應與恢復）的風險防範和控制。

摘自-拓展：網路安全技術及應用（第3版）賈鐵軍主編，機械工業出版社，2017

⑹ 密碼技術的安全性表現在哪幾方面求大神幫助

這個問題設計面積太廣了！我就弄了些皮毛！希望能幫到你2.1 對稱密碼 對稱密碼技術也叫做單鑰或常規密碼技術，其包括分組密碼技術和流密碼技術這兩個重要的分支。在公鑰密碼技術出現之前，它是惟一的加密類型。2.1.1 基本原理前不久，美國計算機安全專家又提出了一種新的安全框架，除機密性、完整性、可用性、真實性之外，又增加了實用性和佔有性，認為這樣才能解釋各種網路安全問題。實用性是指信息加密密鑰不可丟失（不是泄密），丟失了密鑰的信息也就丟失了信息的實用性，成為垃圾。佔有性是指存儲信息的節點、磁碟等信息載體不被盜用，即對信息的佔用權不能喪失。保護信息佔有性的方法有使用版權、專利、商業秘密性，提供物理和邏輯的存取限制方法；維護和檢查有關盜竊文件的審計記錄、使用標簽等。對於分析者來說，可以得到加密、解密演算法和從不安全的信道上得到密文C，而不能得到的是通過安全信道傳輸的密鑰K。這樣，對稱密碼必須滿足如下要求： ● 演算法要足夠強大。就是說，從截獲的密文或某些已知明文密文對時，計算出密鑰或明文是不可行的。● 不依賴於演算法的保密，而依賴於密鑰。這就是著名的Kerckhoff原則。● 密鑰空間要足夠大，且加密和解密演算法適用於密鑰空間所有的元素。這也是非對稱密碼技術必須滿足的條件。除此之外，在實際運用中，發送方和接收方必須保證用安全的方法獲得密鑰的副本。2.1.2 分組密碼分組密碼(BlockCipher)是一個明文分組被作為一個整體來產生一個等長的密文分組密碼，通常使用的是64bit的分組大小。當前使用的許多分組加密演算法幾乎都基於Feistel分組密碼結構。2.1.2.1 基本原理 擴散(Diffusion)和擾亂(Confusion)是由香農引進描述任意密碼系統的兩個基本組成模塊時提出的兩個術語。這兩種方法是為了挫敗基於統計分析的密碼破譯。擴散，就是把明文的統計結構擴散消失到密文的長程統計特性中。做到這一點的方法是讓明文的每個數字影響許多密文數字的取值，也就是說，每個密文數字被許多明文數字影響。其結果是在密文中各種字母的出現頻率比在明文中更接近平均；雙字母組合的出現頻率也更接近平均。所有分組密碼都包含從明文分組到密文分組的變換，具體如何變換則依賴於密鑰。擴散機制使得明文和密文之間的統計關系盡量復雜，以便挫敗推測密鑰的嘗試。擾亂試圖使得密文的統計特性與加密密鑰取值之間的關系盡量復雜，同樣是為了挫敗發現密鑰的嘗試。這樣一來，即使攻擊者掌握了密文的某些統計特性，由於密鑰產生密文的方式非常復雜，攻擊者也難於從中推測出密鑰。要實現這個目的，可以使用一個復雜的替代演算法，而一個簡單的線性函數就起不到多少作用。2.1.2.2 常見的分組加密演算法本節介紹經典的 「數據加密標准」(DataEncryptionStandard，DES)和拋棄了Feistel網路結構的 「高級加密演算法」(AES)，同時也簡要介紹了其他常見的分組加密演算法。1.數據加密標准DES1973年5月15日，美國國家標准局NBS(NationalBureauOfStandard，現在的美國國家標准與技術局——NIST)在聯邦記錄(Federal Register)上發布了一條通知，徵求密碼演算法，用於在傳輸和存儲期間保護數據。IBM提交了一個候選演算法，它是由IBM內部開發的，名為LUCIFER。在美國國家安全局NSA (NationalSecurityAgency)的協助下完成了演算法評估之後，1977年7月15日，NBS採納了LUCIFER演算法的修正版作為數據加密標准DES。1994年，NIST把聯邦政府使用DES的有效期延長了5年，還建議把DES用於政府或軍事機密信息防護以外的其他應用。DES是一種對二元數據進行加密的演算法，將明文消息分成64bit(8B)一組進行加密。密文分組的長度也是64bit，沒有數據擴展。DES使用「密鑰」進行加密，從符號的角度來看，「密鑰」的長度是8B(或64bit)。但是，由於某些原因，DES演算法中每逢第8bit就被忽略，這造成密鑰的實際大小變成56bit。DES的整個體制是公開的，系統的安全性完全依賴密鑰的保密。DES演算法主要包括：初始置換p，16輪迭代的乘積變換，逆初始置換ip-1以及16個密鑰產生器。在DES加密演算法的一般描述的左邊部分，可以看到明文的處理經過了3個階段：第一個階段，64bit的明文經過一個初始置換Ⅲ後，比特重排產生經過置換的輸出。第二個階段，由同一個函數的16次循環構成，這個函數本身既有置換又有替代功能。最後一個循環(第16個)的輸出由64bit組成，其輸出的左邊和右邊兩個部分經過交換後就得到預輸出。最後，在第三階段，預輸出通過逆初始置換ip-l生成64bit的密文。除了初始置換和逆初始置換之外，DES具有嚴格的Feistel密碼結構。56bit密鑰的使用方式。密鑰首先通過一個置換函數，接著於16個循環的每一個，都通過一個循環左移操作和一個置換操作的組合產生一個子密鑰KI。對於每一個循環來說，置換函數是相同的，但由於密鑰比特的重復移動，產生的子密鑰並不相同。DES的解密和加密使用相同的演算法，只是將子密鑰的使用次序反過來。DES具有雪崩效應：明文或密鑰的lbit的改變引起密文許多Bit的改變。如果密文的變化太小，就可能找到一種方法減小要搜索的明文和密鑰空間。當密鑰不變，明文產生lbit變化，在3次循環後，兩個分組有21bit不同，而整個加密過程結束後，兩個密文有34個位置不同。作為對比，明文不變，密鑰發生lbit變化時，密文中有大約一半的Bit不同。因此，DES具有一種很強的雪崩效應，這是一個非常好的特性。DES的強度依賴於演算法自身和其使用的56bit密鑰。一種攻擊利用DES演算法的特點使分析密碼成為可能。多年來，DES已經經歷了無數次尋找和利用演算法弱點的嘗試，成了當今研究得最多的加密演算法。即使這樣，仍然沒有人公開宣稱成功地發現了DES的致命弱點。然而，密鑰長度是更嚴峻的問題。DES的密鑰空間為256，如假設僅一半的密鑰空間需要搜索，則一台1us完成一次DES加密的機器需要1000年才能破譯DES密鑰。事實卻沒有這么樂觀，早在1977年，Diffie和Hellman就設想有一種技術可以製造出具有100萬個加密設備的並行機，其中的每一個設備都可以在1lls之內完成一次加密。這樣平均搜索時間就減少到lOh。在1977年，這兩位作者估計這種機器在當時約價值2000萬美元。到1998年7月，EFF(Electronic FrontierFoundation)宣布攻破了DES演算法，他們使用的是不到25萬美元的特殊「DES破譯機」，這種攻擊只需要不到3天的時間。在已知密文／明文對時，密鑰搜索攻擊就是簡單地搜索所有可能的密鑰；如果沒有已知的密文／明文對時，攻擊者必須自己識別明文。這是一個有相當難度的工作。如果報文是以普通英語寫成的，可以使用程序自動完成英語的識別。如果明文報文在加密之前做過壓縮，那麼識別工作就更加困難。如果報文是某種更一般的類型，如二進制文件，那麼問題就更加難以自動化。因此，窮舉搜索還需要一些輔助信息，這包括對預期明文的某種程度的了解和自動區分明文與亂碼的某種手段。2.三重DES 三重DES(Triple-DES)是人們在發現DES密鑰過短，易於受到蠻力攻擊而提出的一種替代加密演算法。三重DES最初由Tuchman提出，在1985年的ASNI標准X9.17中第一次針對金融應用進行了標准化。在1999年，三重DES合並入數據加密標准中。 三重DES使用3個密鑰，執行3次DES演算法，如下動畫所示。加密過程為加密一解密一加密(EDE)，可表述為如下的公式：C ＝ EK3（DK2（EK1（M）））解密時按密鑰相反次序進行同樣的操作，表述為：M＝ DK1（EK2（DK3（C））） 其中，C表示密文，M表示明文，EK(X)表示使用密鑰K對X進行加密，DK(X)表示使用密鑰K對X進行解密。 為了避免三重DES使用3個密鑰進行三階段加密帶來的密鑰過長的缺點(56X3=168bit)，Tuchman提出使用兩個密鑰的三重加密方法，這個方法只要求112bit密鑰，即令其K1=K3：C = EK1(DK2(EK1(M))) 三重DES的第二階段的解密並沒有密碼編碼學上的意義。它的惟一優點是可以使用三重DES解密原來的單次DES加密的數據，即：K1=K2=K3。C=EK1(DKl(EKl(M)))=EKl(M)本答案參考於： http://bbs.xml.org.cn/dispbbs.asp?boardID=65&ID=69204

⑺ 簡要概述網路安全保障體系的總體框架

網路安全保障體系的總體框架

1．網路安全整體保障體系

計算機網路安全的整體保障作用，主要體現在整個系統生命周期對風險進行整體的管理、應對和控制。網路安全整體保障體系如圖1所示。

圖4 網路安全保障體系框架結構

【拓展閱讀】：風險管理是指在對風險的可能性和不確定性等因素進行收集、分析、評估、預測的基礎上，制定的識別、衡量、積極應對、有效處置風險及妥善處理風險等一整套系統而科學的管理方法，以避免和減少風險損失。網路安全管理的本質是對信息安全風險的動態有效管理和控制。風險管理是企業運營管理的核心，風險分為信用風險、市場風險和操作風險，其中包括信息安全風險。

實際上，在網路信息安全保障體系框架中，充分體現了風險管理的理念。網路安全保障體系架構包括五個部分：

(1)網路安全策略。以風險管理為核心理念，從長遠發展規劃和戰略角度通盤考慮網路建設安全。此項處於整個體系架構的上層，起到總體的戰略性和方向性指導的作用。

(2)網路安全政策和標准。網路安全政策和標準是對網路安全策略的逐層細化和落實，包括管理、運作和技術三個不同層面，在每一層面都有相應的安全政策和標准，通過落實標准政策規范管理、運作和技術，以保證其統一性和規范性。當三者發生變化時，相應的安全政策和標准也需要調整相互適應，反之，安全政策和標准也會影響管理、運作和技術。

(3)網路安全運作。網路安全運作基於風險管理理念的日常運作模式及其概念性流程（風險評估、安全控制規劃和實施、安全監控及響應恢復）。是網路安全保障體系的核心，貫穿網路安全始終；也是網路安全管理機制和技術機制在日常運作中的實現，涉及運作流程和運作管理。

(4)網路安全管理。網路安全管理是體系框架的上層基礎，對網路安全運作至關重要，從人員、意識、職責等方面保證網路安全運作的順利進行。網路安全通過運作體系實現，而網路安全管理體系是從人員組織的角度保證正常運作，網路安全技術體系是從技術角度保證運作。

(5)網路安全技術。網路安全運作需要的網路安全基礎服務和基礎設施的及時支持。先進完善的網路安全技術可以極大提高網路安全運作的有效性，從而達到網路安全保障體系的目標，實現整個生命周期（預防、保護、檢測、響應與恢復）的風險防範和控制。

引自高等教育出版社網路安全技術與實踐賈鐵軍主編2014.9

⑻ 計算機網路的安全框架包括哪幾方面

計算機網路安全是總的框架，應該包括：物理線路與設備體系架構；信息體系架構；防護體系架構；數據備份體系架構；容災體系架構；法律、法規體系架構等方面。

計算機網路安全體系結構是由硬體網路、通信軟體以及操作系統構成的，對於一個系統而言，首先要以硬體電路等物理設備為載體，然後才能運 行載體上的功能程序。通過使用路由器、集線器、交換機、網線等網路設備，用戶可以搭建自己所需要的通信網路。

(8)美國網路安全框架擴展閱讀：

防護措施可以作為一種通信協議保護，廣泛采 用WPA2加密協議實現協議加密，用戶只有通過使用密匙才能對路由器進行訪問，通常可以將驅動程序看作為操作系統的一部分，經過注冊表注冊後，相應的網路通信驅動介面才能被通信應用程序所調用。

網路安全通常是指網路系統中的硬體、軟體要受到保護，不能被更改、泄露和破壞，能夠使整個網路得到可持續的穩定運行，信息能夠完整的傳送，並得到很好的保密。因此計算機網路安全設計到網路硬體、通信協議、加密技術等領域。

⑼ 用於網路安全的AAA框架協議分別表示什麼

Authentication Authorization Accounting