1. 網路安全策略
安全策略是指在某個安全區域內(通常是指屬於某個組織的一系列處理和通信資源),用於所有與安全相關活動的一套規則。這些規則是由此安全區域中所設立的一個安全權力機構建立的,並由安全控制機構來描述、實施或實現的。安全策略通常建立在授權的基礎之上,未經適當授權的實體,信息資源不可以給予、不允許訪問、不得使用。安全策略基於身份、規則、角色進行分類。
機房組建應按計算機運行特點及設備具體要求確定。機房一般宜由主機房區、基本工作區、輔助機房區等功能區域組成。
主機房區包括伺服器機房區、網路通信區、前置機房區和介質庫等。
基本工作區包括緩沖區、監控區和軟體測試區等。
輔助機房區包括配電區、配線區、UPS 區、消防氣瓶間和精密空調區等。
設備標識和鑒別:應對機房中設備的具體位置進行標識,以方便查找和明確責任。機房內關鍵設備部件應在其上設置標簽,以防止隨意更換或取走。
設備可靠性:應將主要設備放置在機房內,將設備或主要部件進行固定,並設置明顯的不易除去的標記。應對關鍵的設備關鍵部件冗餘配置,例如電源、主控板、網路介面等。
防靜電:機房內設備上線前必須進行正常的接地、放電等操作,對來自靜電放電的電磁干擾應有一定的抗擾度能力。機房的活動地板應有穩定的抗靜電性能和承載能力,同時耐油、耐腐蝕、柔光、不起塵等。
電磁騷擾:機房內應對設備和部件產生的電磁輻射騷擾、電磁傳導騷擾進行防護。
電磁抗擾:機房內設備對來自電磁輻射的電磁干擾和電源埠的感應傳導的電磁干擾應有一定的抗擾度。
浪涌抗擾:機房內設備應對來自電源埠的浪涌(沖擊)的電磁干擾應有一定的抗擾度。
電源適應能力:機房供電線路上設置穩壓器和過電壓防護設備。對於直流供電的系統設備,應能在直流電壓標稱值變化10%的條件下正常工作。
泄漏電流:機房內設備工作時對保護接地端的泄漏電流值不應超過5mA。
電源線:機房內設備應設置交流電源地線,應使用三芯電源線,其中地線應於設備的保護接地端連接牢固。
線纜:機房通信線纜應鋪設在隱蔽處,可鋪設在地下或管道中。
絕緣電阻:機房內設備的電源插頭或電源引入端與設備外殼裸露金屬部件之間的絕緣電阻應不小於5MΩ。
場地選擇:機房場地選擇應避開火災危險程度高的區域,還應避開有害氣體來源以及存放腐蝕、易燃、易爆物品的地方。機房場地應避開強振動源、強雜訊源和強電場干擾的地方。機房不應該選擇在樓層的最高層或者最低層地方。
防火:機房應設置火災自動報警系統,包括火災自動探測器、區域報警器、集中報警器和控制器等,能對火災發生的部位以聲、光或電的形式發出報警信號,並啟動自動滅火設備,切斷電源、關閉空調設備等。機房採取區域隔離防火措施,布局要將脆弱區和危險區進行隔離,防止外部火災進入機房,特別是重要設備地區,安裝防火門、使用阻燃材料裝修。機房及相關的工作房間和輔助房應採用具有耐火等級的建築材料。
電磁輻射防護:電源線和通信線纜應隔離鋪設,避免互相干擾。應對關鍵設備和磁介質實施電磁屏蔽。通信線採取屏蔽措施,防止外部電磁場對機房內計算機及設備的干擾,同時也抑制電磁信息的泄漏。應採用屏蔽效能良好屏蔽電纜作為機房的引入線。機房的信號電纜線(輸入/輸出)埠和電源線的進、出埠應適當加裝濾波器。電纜連接處應採取屏蔽措施,抑制電磁雜訊干擾與電磁信息泄漏。
供電系統:應設置冗餘或並行的電力電纜線路為計算機系統供電。應建立備用供電系統。機房供電電源設備的容量應具有一定的餘量。機房供電系統應將信息系統設備供電線路與其它供電線路分開,應配備應急照明裝置。機房應配置電源保護裝置,加裝浪涌保護器。機房電源系統的所有接點均應鍍錫處理,並且冷壓連接。
靜電防護:主機房內絕緣體的靜電電位不應大於1kV。主機房內的導體應與大地作可靠的連接,不應有對地絕緣的孤立導體。
防雷電:機房系統中所有的設備和部件應安裝在有防雷保護的范圍內。不得在建築物屋頂上敷設電源或信號線路。必須敷設時,應穿金屬管進行屏蔽防護,金屬管應進行等電位連接。機房系統電源及系統輸入/輸出信號線,應分不同層次,採用多級雷電防護措施。
機房接地:對直流工作接地有特殊要求需單獨設置接地裝置的系統,接地電阻值及其它接地體之間的距離,應按照機房系統及有關規范的要求確定。
溫濕度控制:機房應有較完備的空調系統,保證機房溫度的變化在計算機設備運行所允許的范圍。當機房採用專用空調設備並與其它系統共享時,應保證空調效果和採取防火措施。機房空氣調節控制裝置應滿足計算機系統對溫度、濕度以及防塵的要求。空調系統應支持網路監控管理,通過統一監控,反映系統工作狀況。
機房防水:機房水管安裝不得穿過屋頂和活動地板,穿過牆壁和樓板的水管應使用套管,並採取可靠的密封措施。機房應有有效的防止給水、排水、雨水通過屋頂和牆壁漫溢和滲漏的措施,應採取措施防止機房內水蒸氣結露和地下積水的轉移與滲透。機房應安裝漏水檢測系統,並有報警裝置。
入網訪問控制是網路訪問的第1層安全機制。它控制哪些用戶能夠登錄到伺服器並獲准使用網路資源,控制准許用戶入網的時間和位置。用戶的入網訪問控制通常分為三步執行:用戶名的識別與驗證;用戶口令的識別與驗證;用戶賬戶的默認許可權檢查。三道控制關卡中只要任何一關未過,該用戶便不能進入網路。
對網路用戶的用戶名和口令進行驗證是防止非法訪問的第一道關卡。用戶登錄時首先輸入用戶名和口令,伺服器將驗證所輸入的用戶名是否合法。用戶的口令是用戶入網的關鍵所在。口令最好是數字、字母和其他字元的組合,長度應不少於6個字元,必須經過加密。口令加密的方法很多,最常見的方法有基於單向函數的口令加密、基於測試模式的口令加密、基於公鑰加密方案的口令加密、基於平方剩餘的口令加密、基於多項式共享的口令加密、基於數字簽名方案的口令加密等。經過各種方法加密的口令,即使是網路管理員也不能夠得到。系統還可採用一次性用戶口令,或使用如智能卡等攜帶型驗證設施來驗證用戶的身份。
網路管理員應該可對用戶賬戶的使用、用戶訪問網路的時間和方式進行控制和限制。用戶名或用戶賬戶是所有計算機系統中最基本的安全形式。用戶賬戶應只有網路管理員才能建立。用戶口令是用戶訪問網路所必須提交的准入證。用戶應該可以修改自己的口令,網路管理員對口令的控制功能包括限制口令的最小長度、強制用戶修改口令的時間間隔、口令的惟一性、口令過期失效後允許入網的寬限次數。針對用戶登錄時多次輸入口令不正確的情況,系統應按照非法用戶入侵對待並給出報警信息,同時應該能夠對允許用戶輸入口令的次數給予限制。
用戶名和口令通過驗證之後,系統需要進一步對用戶賬戶的默認許可權進行檢查。網路應能控制用戶登錄入網的位置、限制用戶登錄入網的時間、限制用戶入網的主機數量。當交費網路的用戶登錄時,如果系統發現「資費」用盡,還應能對用戶的操作進行限制。
操作許可權控制是針對可能出現的網路非法操作而採取安全保護措施。用戶和用戶組被賦予一定的操作許可權。網路管理員能夠通過設置,指定用戶和用戶組可以訪問網路中的哪些伺服器和計算機,可以在伺服器或計算機上操控哪些程序,訪問哪些目錄、子目錄、文件和其他資源。網路管理員還應該可以根據訪問許可權將用戶分為特殊用戶、普通用戶和審計用戶,可以設定用戶對可以訪問的文件、目錄、設備能夠執行何種操作。特殊用戶是指包括網路管理員的對網路、系統和應用軟體服務有特權操作許可的用戶;普通用戶是指那些由網路管理員根據實際需要為其分配操作許可權的用戶;審計用戶負責網路的安全控制與資源使用情況的審計。系統通常將操作許可權控制策略,通過訪問控製表來描述用戶對網路資源的操作許可權。
訪問控制策略應該允許網路管理員控制用戶對目錄、文件、設備的操作。目錄安全允許用戶在目錄一級的操作對目錄中的所有文件和子目錄都有效。用戶還可進一步自行設置對目錄下的子控制目錄和文件的許可權。對目錄和文件的常規操作有:讀取(Read)、寫入(Write)、創建(Create)、刪除(Delete)、修改(Modify)等。網路管理員應當為用戶設置適當的操作許可權,操作許可權的有效組合可以讓用戶有效地完成工作,同時又能有效地控制用戶對網路資源的訪問。
訪問控制策略還應該允許網路管理員在系統一級對文件、目錄等指定訪問屬性。屬性安全控制策略允許將設定的訪問屬性與網路伺服器的文件、目錄和網路設備聯系起來。屬性安全策略在操作許可權安全策略的基礎上,提供更進一步的網路安全保障。網路上的資源都應預先標出一組安全屬性,用戶對網路資源的操作許可權對應一張訪問控製表,屬性安全控制級別高於用戶操作許可權設置級別。屬性設置經常控制的許可權包括:向文件或目錄寫入、文件復制、目錄或文件刪除、查看目錄或文件、執行文件、隱含文件、共享文件或目錄等。允許網路管理員在系統一級控制文件或目錄等的訪問屬性,可以保護網路系統中重要的目錄和文件,維持系統對普通用戶的控制權,防止用戶對目錄和文件的誤刪除等操作。
網路系統允許在伺服器控制台上執行一系列操作。用戶通過控制台可以載入和卸載系統模塊,可以安裝和刪除軟體。網路伺服器的安全控制包括可以設置口令鎖定伺服器控制台,以防止非法用戶修改系統、刪除重要信息或破壞數據。系統應該提供伺服器登錄限制、非法訪問者檢測等功能。
網路管理員應能夠對網路實施監控。網路伺服器應對用戶訪問網路資源的情況進行記錄。對於非法的網路訪問,伺服器應以圖形、文字或聲音等形式報警,引起網路管理員的注意。對於不法分子試圖進入網路的活動,網路伺服器應能夠自動記錄這種活動的次數,當次數達到設定數值,該用戶賬戶將被自動鎖定。
防火牆是一種保護計算機網路安全的技術性措施,是用來阻止網路黑客進入企業內部網的屏障。防火牆分為專門設備構成的硬體防火牆和運行在伺服器或計算機上的軟體防火牆。無論哪一種,防火牆通常都安置在網路邊界上,通過網路通信監控系統隔離內部網路和外部網路,以阻檔來自外部網路的入侵。
域間安全策略用於控制域間流量的轉發(此時稱為轉發策略),適用於介面加入不同安全區域的場景。域間安全策略按IP地址、時間段和服務(埠或協議類型)、用戶等多種方式匹配流量,並對符合條件的流量進行包過濾控制(permit/deny)或高級的UTM應用層檢測。域間安全策略也用於控制外界與設備本身的互訪(此時稱為本地策略),按IP地址、時間段和服務(埠或協議類型)等多種方式匹配流量,並對符合條件的流量進行包過濾控制(permit/deny),允許或拒絕與設備本身的互訪。
預設情況下域內數據流動不受限制,如果需要進行安全檢查可以應用域內安全策略。與域間安全策略一樣可以按IP地址、時間段和服務(埠或協議類型)、用戶等多種方式匹配流量,然後對流量進行安全檢查。例如:市場部和財務部都屬於內網所在的安全區域Trust,可以正常互訪。但是財務部是企業重要數據所在的部門,需要防止內部員工對伺服器、PC等的惡意攻擊。所以在域內應用安全策略進行IPS檢測,阻斷惡意員工的非法訪問。
當介面未加入安全區域的情況下,通過介麵包過濾控制介面接收和發送的IP報文,可以按IP地址、時間段和服務(埠或協議類型)等多種方式匹配流量並執行相應動作(permit/deny)。基於MAC地址的包過濾用來控制介面可以接收哪些乙太網幀,可以按MAC地址、幀的協議類型和幀的優先順序匹配流量並執行相應動作(permit/deny)。硬體包過濾是在特定的二層硬體介面卡上實現的,用來控制介面卡上的介面可以接收哪些流量。硬體包過濾直接通過硬體實現,所以過濾速度更快。
信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。網路加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網路節點之間的鏈路信息安全;端-端加密的目的是對源端用戶到目的端用戶的數據提供保護;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。用戶可根據網路情況酌情選擇上述加密方式。
信息加密過程是由形形色色的加密演算法來具體實施,它以很小的代價提供很大的安全保護。在多數情況下,信息加密是保證信息機密性的唯一方法。據不完全統計,到目前為止,已經公開發表的各種加密演算法多達數百種。如果按照收發雙方密鑰是否相同來分類,可以將這些加密演算法分為常規密碼演算法和公鑰密碼演算法。
在常規密碼中,收信方和發信方使用相同的密鑰,即加密密鑰和解密密鑰是相同或等價的。比較著名的常規密碼演算法有:美國的DES及其各種變形,比如Triple DES、GDES、New DES和DES的前身Lucifer; 歐洲的IDEA;日本的FEAL-N、LOKI-91、Skipjack、RC4、RC5以及以代換密碼和轉輪密碼為代表的古典密碼等。在眾多的常規密碼中影響最大的是DES密碼。
常規密碼的優點是有很強的保密強度,且經受住時間的檢驗和攻擊,但其密鑰必須通過安全的途徑傳送。因此,其密鑰管理成為系統安全的重要因素。
在公鑰密碼中,收信方和發信方使用的密鑰互不相同,而且幾乎不可能從加密密鑰推導出解密密鑰。比較著名的公鑰密碼演算法有:RSA、背包密碼、McEliece密碼、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知識證明的演算法、橢園曲線、EIGamal演算法等等。最有影響的公鑰密碼演算法是RSA,它能抵抗到目前為止已知的所有密碼攻擊。
公鑰密碼的優點是可以適應網路的開放性要求,且密鑰管理問題也較為簡單,尤其可方便的實現數字簽名和驗證。但其演算法復雜。加密數據的速率較低。盡管如此,隨著現代電子技術和密碼技術的發展,公鑰密碼演算法將是一種很有前途的網路安全加密體制。
當然在實際應用中人們通常將常規密碼和公鑰密碼結合在一起使用,比如:利用DES或者IDEA來加密信息,而採用RSA來傳遞會話密鑰。如果按照每次加密所處理的比特來分類,可以將加密演算法分為序列密碼和分組密碼。前者每次只加密一個比特而後者則先將信息序列分組,每次處理一個組。
密碼技術是網路安全最有效的技術之一。一個加密網路,不但可以防止非授權用戶的搭線竊聽和入網,而且也是對付惡意軟體的有效方法之一。
應制定相應的機房管理制度,規范機房與各種設備的使用和管理,保障機房安全及設備的正常運行,至少包括日常管理、出入管理、設備管理、巡檢(環境、設備狀態、指示燈等進行檢查並記錄)等。重要區域應配置電子門禁系統,控制、鑒別和記錄進入的人員。對機房內的各種介質應進行分類標識,重要介質存儲在介質庫或檔案室中。
加強網路的安全管理,制定有關規章制度,對於確保系統的安全、可靠地運行,將起到十分有效的作用。網路的安全管理策略包括:確定安全管理等級和安全管理范圍;制訂有關網路操作使用規程和訪問主機的管理制度;制訂網路系統的維護制度和應急措施等。
2. 什麼叫網路加密演算法其分為哪幾類分別舉例。
很負責告訴你,拷貝過來的,關鍵看你能不能看明白了
由於網路所帶來的諸多不安全因素使得網路使用者不得不採取相應的網路安全對策。為了堵塞安全漏洞和提供安全的通信服務,必須運用一定的技術來對網路進行安全建設,這已為廣大網路開發商和網路用戶所共識。
現今主要的網路安全技術有以下幾種:
一、加密路由器(Encrypting Router)技術
加密路由器把通過路由器的內容進行加密和壓縮,然後讓它們通過不安全的網路進行傳輸,並在目的端進行解壓和解密。
二、安全內核(Secured Kernel)技術
人們開始在操作系統的層次上考慮安全性,嘗試把系統內核中可能引起安全性問題的部分從內核中剔除出去,從而使系統更安全。如S olaris操作系統把靜態的口令放在一個隱含文件中, 使系統的安全性增強。
三、網路地址轉換器(Network Address Translater)
網路地址轉換器也稱為地址共享器(Address Sharer)或地址映射器,初衷是為了解決IP 地址不足,現多用於網路安全。內部主機向外部主機連接時,使用同一個IP地址;相反地,外部主機要向內部主機連接時,必須通過網關映射到內部主機上。它使外部網路看不到內部網路, 從而隱藏內部網路,達到保密作用。
數據加密(Data Encryption)技術
所謂加密(Encryption)是指將一個信息(或稱明文--plaintext) 經過加密鑰匙(Encrypt ionkey)及加密函數轉換,變成無意義的密文( ciphertext),而接收方則將此密文經過解密函數、解密鑰匙(Decryti on key)還原成明文。加密技術是網路安全技術的基石。
數據加密技術要求只有在指定的用戶或網路下,才能解除密碼而獲得原來的數據,這就需要給數據發送方和接受方以一些特殊的信息用於加解密,這就是所謂的密鑰。其密鑰的值是從大量的隨機數中選取的。按加密演算法分為專用密鑰和公開密鑰兩種。
專用密鑰,又稱為對稱密鑰或單密鑰,加密時使用同一個密鑰,即同一個演算法。如DES和MIT的Kerberos演算法。單密鑰是最簡單方式,通信雙方必須交換彼此密鑰,當需給對方發信息時,用自己的加密密鑰進行加密,而在接收方收到數據後,用對方所給的密鑰進行解密。這種方式在與多方通信時因為需要保存很多密鑰而變得很復雜,而且密鑰本身的安全就是一個問題。
DES是一種數據分組的加密演算法,它將數據分成長度為6 4位的數據塊,其中8位用作奇偶校驗,剩餘的56位作為密碼的長度。第一步將原文進行置換,得到6 4位的雜亂無章的數據組;第二步將其分成均等兩段 ;第三步用加密函數進行變換,並在給定的密鑰參數條件下,進行多次迭代而得到加密密文。
公開密鑰,又稱非對稱密鑰,加密時使用不同的密鑰,即不同的演算法,有一把公用的加密密鑰,有多把解密密鑰,如RSA演算法。
在計算機網路中,加密可分為"通信加密"(即傳輸過程中的數據加密)和"文件加密"(即存儲數據加密)。通信加密又有節點加密、鏈路加密和端--端加密3種。
①節點加密,從時間坐標來講,它在信息被傳入實際通信連接點 (Physical communication link)之前進行;從OSI 7層參考模型的坐標 (邏輯空間)來講,它在第一層、第二層之間進行; 從實施對象來講,是對相鄰兩節點之間傳輸的數據進行加密,不過它僅對報文加密,而不對報頭加密,以便於傳輸路由的選擇。
②鏈路加密(Link Encryption),它在數據鏈路層進行,是對相鄰節點之間的鏈路上所傳輸的數據進行加密,不僅對數據加密還對報頭加密。
③端--端加密(End-to-End Encryption),它在第六層或第七層進行 ,是為用戶之間傳送數據而提供的連續的保護。在始發節點上實施加密,在中介節點以密文形式傳輸,最後到達目的節點時才進行解密,這對防止拷貝網路軟體和軟體泄漏也很有效。
在OSI參考模型中,除會話層不能實施加密外,其他各層都可以實施一定的加密措施。但通常是在最高層上加密,即應用層上的每個應用都被密碼編碼進行修改,因此能對每個應用起到保密的作用,從而保護在應用層上的投資。假如在下面某一層上實施加密,如TCP層上,就只能對這層起到保護作用。
值得注意的是,能否切實有效地發揮加密機制的作用,關鍵的問題在於密鑰的管理,包括密鑰的生存、分發、安裝、保管、使用以及作廢全過程。
(1)數字簽名
公開密鑰的加密機制雖提供了良好的保密性,但難以鑒別發送者, 即任何得到公開密鑰的人都可以生成和發送報文。數字簽名機制提供了一種鑒別方法,以解決偽造、抵賴、冒充和篡改等問題。
數字簽名一般採用不對稱加密技術(如RSA),通過對整個明文進行某種變換,得到一個值,作為核實簽名。接收者使用發送者的公開密鑰對簽名進行解密運算,如其結果為明文,則簽名有效,證明對方的身份是真實的。當然,簽名也可以採用多種方式,例如,將簽名附在明文之後。數字簽名普遍用於銀行、電子貿易等。
數字簽名不同於手寫簽字:數字簽名隨文本的變化而變化,手寫簽字反映某個人個性特徵, 是不變的;數字簽名與文本信息是不可分割的,而手寫簽字是附加在文本之後的,與文本信息是分離的。
(2)Kerberos系統
Kerberos系統是美國麻省理工學院為Athena工程而設計的,為分布式計算環境提供一種對用戶雙方進行驗證的認證方法。
它的安全機制在於首先對發出請求的用戶進行身份驗證,確認其是否是合法的用戶;如是合法的用戶,再審核該用戶是否有權對他所請求的服務或主機進行訪問。從加密演算法上來講,其驗證是建立在對稱加密的基礎上的。
Kerberos系統在分布式計算環境中得到了廣泛的應用(如在Notes 中),這是因為它具有如下的特點:
①安全性高,Kerberos系統對用戶的口令進行加密後作為用戶的私鑰,從而避免了用戶的口令在網路上顯示傳輸,使得竊聽者難以在網路上取得相應的口令信息;
②透明性高,用戶在使用過程中,僅在登錄時要求輸入口令,與平常的操作完全一樣,Ker beros的存在對於合法用戶來說是透明的;
③可擴展性好,Kerberos為每一個服務提供認證,確保應用的安全。
Kerberos系統和看電影的過程有些相似,不同的是只有事先在Ker beros系統中登錄的客戶才可以申請服務,並且Kerberos要求申請到入場券的客戶就是到TGS(入場券分配伺服器)去要求得到最終服務的客戶。
Kerberos的認證協議過程如圖二所示。
Kerberos有其優點,同時也有其缺點,主要如下:
①、Kerberos伺服器與用戶共享的秘密是用戶的口令字,伺服器在回應時不驗證用戶的真實性,假設只有合法用戶擁有口令字。如攻擊者記錄申請回答報文,就易形成代碼本攻擊。
②、Kerberos伺服器與用戶共享的秘密是用戶的口令字,伺服器在回應時不驗證用戶的真實性,假設只有合法用戶擁有口令字。如攻擊者記錄申請回答報文,就易形成代碼本攻擊。
③、AS和TGS是集中式管理,容易形成瓶頸,系統的性能和安全也嚴重依賴於AS和TGS的性能和安全。在AS和TGS前應該有訪問控制,以增強AS和TGS的安全。
④、隨用戶數增加,密鑰管理較復雜。Kerberos擁有每個用戶的口令字的散列值,AS與TGS 負責戶間通信密鑰的分配。當N個用戶想同時通信時,仍需要N*(N-1)/2個密鑰
( 3 )、PGP演算法
PGP(Pretty Good Privacy)是作者hil Zimmermann提出的方案, 從80年代中期開始編寫的。公開密鑰和分組密鑰在同一個系統中,公開密鑰採用RSA加密演算法,實施對密鑰的管理;分組密鑰採用了IDEA演算法,實施對信息的加密。
PGP應用程序的第一個特點是它的速度快,效率高;另一個顯著特點就是它的可移植性出色,它可以在多種操作平台上運行。PGP主要具有加密文件、發送和接收加密的E-mail、數字簽名等。
(4)、PEM演算法
保密增強郵件(Private Enhanced Mail,PEM),是美國RSA實驗室基於RSA和DES演算法而開發的產品,其目的是為了增強個人的隱私功能, 目前在Internet網上得到了廣泛的應用,專為E-mail用戶提供如下兩類安全服務:
對所有報文都提供諸如:驗證、完整性、防抵 賴等安全服務功能; 提供可選的安全服務功能,如保密性等。
PEM對報文的處理經過如下過程:
第一步,作規范化處理:為了使PEM與MTA(報文傳輸代理)兼容,按S MTP協議對報文進行規范化處理;
第二步,MIC(Message Integrity Code)計算;
第三步,把處理過的報文轉化為適於SMTP系統傳輸的格式。
身份驗證技術
身份識別(Identification)是指定用戶向系統出示自己的身份證明過程。身份認證(Authertication)是系統查核用戶的身份證明的過程。人們常把這兩項工作統稱為身份驗證(或身份鑒別),是判明和確認通信雙方真實身份的兩個重要環節。
Web網上採用的安全技術
在Web網上實現網路安全一般有SHTTP/HTTP和SSL兩種方式。
(一)、SHTTP/HTTP
SHTTP/HTTP可以採用多種方式對信息進行封裝。封裝的內容包括加密、簽名和基於MAC 的認證。並且一個消息可以被反復封裝加密。此外,SHTTP還定義了包頭信息來進行密鑰傳輸、認證傳輸和相似的管理功能。SHTTP可以支持多種加密協議,還為程序員提供了靈活的編程環境。
SHTTP並不依賴於特定的密鑰證明系統,它目前支持RSA、帶內和帶外以及Kerberos密鑰交換。
(二)、SSL(安全套層) 安全套接層是一種利用公開密鑰技術的工業標准。SSL廣泛應用於Intranet和Internet 網,其產品包括由Netscape、Microsoft、IBM 、Open Market等公司提供的支持SSL的客戶機和伺服器,以及諸如Apa che-SSL等產品。
SSL提供三種基本的安全服務,它們都使用公開密鑰技術。
①信息私密,通過使用公開密鑰和對稱密鑰技術以達到信息私密。SSL客戶機和SSL伺服器之間的所有業務使用在SSL握手過程中建立的密鑰和演算法進行加密。這樣就防止了某些用戶通過使用IP packet sniffer工具非法竊聽。盡管packet sniffer仍能捕捉到通信的內容, 但卻無法破譯。 ②信息完整性,確保SSL業務全部達到目的。如果Internet成為可行的電子商業平台,應確保伺服器和客戶機之間的信息內容免受破壞。SSL利用機密共享和hash函數組提供信息完整性服務。③相互認證,是客戶機和伺服器相互識別的過程。它們的識別號用公開密鑰編碼,並在SSL握手時交換各自的識別號。為了驗證證明持有者是其合法用戶(而不是冒名用戶),SSL要求證明持有者在握手時對交換數據進行數字式標識。證明持有者對包括證明的所有信息數據進行標識以說明自己是證明的合法擁有者。這樣就防止了其他用戶冒名使用證明。證明本身並不提供認證,只有證明和密鑰一起才起作用。 ④SSL的安全性服務對終端用戶來講做到盡可能透明。一般情況下,用戶只需單擊桌面上的一個按鈕或聯接就可以與SSL的主機相連。與標準的HTTP連接申請不同,一台支持SSL的典型網路主機接受SSL連接的默認埠是443而不是80。
當客戶機連接該埠時,首先初始化握手協議,以建立一個SSL對話時段。握手結束後,將對通信加密,並檢查信息完整性,直到這個對話時段結束為止。每個SSL對話時段只發生一次握手。相比之下,HTTP 的每一次連接都要執行一次握手,導致通信效率降低。一次SSL握手將發生以下事件:
1.客戶機和伺服器交換X.509證明以便雙方相互確認。這個過程中可以交換全部的證明鏈,也可以選擇只交換一些底層的證明。證明的驗證包括:檢驗有效日期和驗證證明的簽名許可權。
2.客戶機隨機地產生一組密鑰,它們用於信息加密和MAC計算。這些密鑰要先通過伺服器的公開密鑰加密再送往伺服器。總共有四個密鑰分別用於伺服器到客戶機以及客戶機到伺服器的通信。
3.信息加密演算法(用於加密)和hash函數(用於確保信息完整性)是綜合在一起使用的。Netscape的SSL實現方案是:客戶機提供自己支持的所有演算法清單,伺服器選擇它認為最有效的密碼。伺服器管理者可以使用或禁止某些特定的密碼。
代理服務
在 Internet 中廣泛採用代理服務工作方式, 如域名系統(DNS), 同時也有許多人把代理服務看成是一種安全性能。
從技術上來講代理服務(Proxy Service)是一種網關功能,但它的邏輯位置是在OSI 7層協議的應用層之上。
代理(Proxy)使用一個客戶程序,與特定的中間結點鏈接,然後中間結點與期望的伺服器進行實際鏈接。與應用網關型防火牆所不同的是,使用這類防火牆時外部網路與內部網路之間不存在直接連接,因此 ,即使防火牆產生了問題,外部網路也無法與被保護的網路連接。
防火牆技術
(1)防火牆的概念
在計算機領域,把一種能使一個網路及其資源不受網路"牆"外"火災"影響的設備稱為"防火牆"。用更專業一點的話來講,防火牆(FireW all)就是一個或一組網路設備(計算機系統或路由器等),用來在兩個或多個網路間加強訪問控制,其目的是保護一個網路不受來自另一個網路的攻擊。可以這樣理解,相當於在網路周圍挖了一條護城河,在唯一的橋上設立了安全哨所,進出的行人都要接受安全檢查。
防火牆的組成可以這樣表示:防火牆=過濾器+安全策略(+網關)。
(2)防火牆的實現方式
①在邊界路由器上實現;
②在一台雙埠主機(al-homed host)上實現;
③在公共子網(該子網的作用相當於一台雙埠主機)上實現,在此子網上可建立含有停火區結構的防火牆。
(3)防火牆的網路結構
網路的拓撲結構和防火牆的合理配置與防火牆系統的性能密切相關,防火牆一般採用如下幾種結構。
①最簡單的防火牆結構
這種網路結構能夠達到使受保護的網路只能看到"橋頭堡主機"( 進出通信必經之主機), 同時,橋頭堡主機不轉發任何TCP/IP通信包, 網路中的所有服務都必須有橋頭堡主機的相應代理服務程序來支持。但它把整個網路的安全性能全部託付於其中的單個安全單元,而單個網路安全單元又是攻擊者首選的攻擊對象,防火牆一旦破壞,橋頭堡主機就變成了一台沒有尋徑功能的路由器,系統的安全性不可靠。
②單網端防火牆結構
其中屏蔽路由器的作用在於保護堡壘主機(應用網關或代理服務) 的安全而建立起一道屏障。在這種結構中可將堡壘主機看作是信息伺服器,它是內部網路對外發布信息的數據中心,但這種網路拓撲結構仍把網路的安全性大部分託付給屏蔽路由器。系統的安全性仍不十分可靠。
③增強型單網段防火牆的結構
為增強網段防火牆安全性,在內部網與子網之間增設一台屏蔽路由器,這樣整個子網與內外部網路的聯系就各受控於一個工作在網路級的路由器,內部網路與外部網路仍不能直接聯系,只能通過相應的路由器與堡壘主機通信。
④含"停火區"的防火牆結構
針對某些安全性特殊需要, 可建立如下的防火牆網路結構。 網路的整個安全特性分擔到多個安全單元, 在外停火區的子網上可聯接公共信息伺服器,作為內外網路進行信息交換的場所。
網路反病毒技術
由於在網路環境下,計算機病毒具有不可估量的威脅性和破壞力, 因此計算機病毒的防範也是網路安全性建設中重要的一環。網路反病毒技術也得到了相應的發展。
網路反病毒技術包括預防病毒、檢測病毒和消毒等3種技術。(1) 預防病毒技術,它通過自身常駐系統內存,優先獲得系統的控制權,監視和判斷系統中是否有病毒存在,進而阻止計算機病毒進入計算機系統和對系統進行破壞。這類技術是:加密可執行程序、引導區保護、系統監控與讀寫控制(如防病毒卡)等。(2)檢測病毒技術,它是通過對計算機病毒的特徵來進行判斷的技術,如自身校驗、關鍵字、文件長度的變化等。(3)消毒技術,它通過對計算機病毒的分析,開發出具有刪除病毒程序並恢復原文件的軟體。
網路反病毒技術的實施對象包括文件型病毒、引導型病毒和網路病毒。
網路反病毒技術的具體實現方法包括對網路伺服器中的文件進行頻繁地掃描和監測;在工作站上採用防病毒晶元和對網路目錄及文件設置訪問許可權等。
隨著網上應用不斷發展,網路技術不斷應用,網路不安全因素將會不斷產生,但互為依存的,網路安全技術也會迅速的發展,新的安全技術將會層出不窮,最終Internet網上的安全問題將不會阻擋我們前進的步伐
3. 密碼分為哪三種
密碼大體上分為三類,涉及的知識點主要是資訊理論和數論
第一類:公開密鑰演算法:RSA
第二類:對稱演算法:AES,DES。Hitag2
第三類:單項序列演算法:MD5
而對稱演算法又可以分為分組加密和序列加密兩種
分組加密:AES,DES
序列加密:Hitag2,Keeloq
序列加密通常是硬體實現,因為每次加密1bit,對於硬體來說用移位寄存器來實現是很容易的,但對於最小存儲單位是1Byte(8bit)的上位機來說,頻繁的位操作並不方便。
加密演算法的理論基礎基本上來自於數論,數論主要是討論整形,基本上就是關於素數的研究,RSA的加密難度依據就是,兩個大素數的因式分解,但目前無法證明是否有方法能快速的因式分解兩個超大素數,所以也無法證明此演算法絕對安全,但同理無法證明它不安全。目前2048位的RSA公認是安全的。
資訊理論在本質上基本和密碼學等價,信息熵也影響一組加密數據其安全性,和其被攻破的難度。所以如何降低冗餘,隱藏明文也是密碼學必須考慮的問題。
4. 網路安全密鑰一般是什麼密碼
一般問給你裝寬頻的人就知道了.
網路安全密鑰一般是56/64/128位字元串.比如:01110011等.先將信息變成位串,分組,打亂.再跟密鑰按位異或與之類的演算法.
生成的數據不易被破解.
5. 網路加密
信息安全包括 系統安全 和 數據安全 。
系統安全一般採用防火牆、病毒查殺等被動措施;數據安全主要採用現代密碼技術對數據進行主動保護,如數據保密、數據完整性、數據不可否認與抵賴、雙向身份認證等。
密碼技術是保證信息安全的核心技術。
名詞解釋
明文(plaintext):未被加密的消息;
密文(ciphertext):被加密的消息;
密碼演算法:也叫密碼(cipher),適用於加密和解密的數學函數。通常有兩個相關函數:一個用於加密,一個用於解密。
加密系統:由演算法以及所有可能的明文,密文和密鑰組成。
加密(encrypt):通過密碼演算法對數據進行轉化,使之成為沒有正確密鑰的人都無法讀懂的報文。
解密(decrypt):加密的相反過程。
密鑰(key):參與加密與解密演算法的關鍵數據。
一個加密網路不但可以防止非授權用戶的搭線竊聽和入網,保護網內數據、文件、口令和控制信息,也是對付惡意軟體的有效方法之一。
鏈路加密保護網路節點之間的鏈路信息安全,節點加密對源節點到目的節點之間的傳輸鏈路提供加密保護,端點加密是對源端點到目的端點的數據提供加密保護。
鏈路加密 又稱為在線加密,在數據鏈路層對數據進行加密,用於信道或鏈路中可能被截獲的那一部分數據進行保護。鏈路加密把報文中每一比特都加密,還對路由信息、校驗和控制信息加密。所以報文傳輸到某節點時,必須先解密,然後再路徑選擇,差錯控制,最後再次加密,發送到下一節點。
鏈路加密的優點 :實現簡單,在兩個節點線路上安裝一對密碼設備,安裝在數據機之間;用戶透明性。
鏈路加密的缺點 :1.全部報文以明文形式通過各節點;2.每條鏈路都需要一對設備,成本高。
節點加密 除具有鏈路加密的優勢外,還不允許報文在節點內以明文存在,先把收到的報文進行解密,然後採用另一個密鑰進行加密,克服了節點處易受非法存取的缺點。
優點是比鏈路加密成本低,且更安全。缺點是節點加密要求報頭和路由信息以明文傳輸,以便中間節點能得到如何處理消息的信息,對防止攻擊者分析通信業務仍是脆弱的。
端對端加密 又稱脫線加密或包加密、面向協議加密運行數據從源點到終點的傳輸過程中始終以密文形式存在,報文在到達終點前不進行解密。
端對端加密在傳輸層或更高層中實現。若在傳輸層加密,則不必為每個用戶提供單獨的安全保護機制;若在應用層加密,則用戶可根據自己特定要求選用不同加密策略。鏈路是對整個鏈路通信採取加密,端對端則是對整個網路系統採取保護措施。
優點:成本低,可靠性高,易設計、易實現、易維護。
目前已公開發表的各種加密演算法有200多種。
根據對明文的加密方式不同進行分類,加密演算法分為分組加密演算法和序列加密演算法。
如果經過加密所得到的密文僅與給定的密碼演算法和密鑰有關,與被處理的明文數據段在整個明文中所處的位置無關,就稱為分組加密演算法。
如果密文不僅與最初給定的密碼演算法和密鑰有關,同時也是被處理的數據段在明文中所處的位置的函數,就成為序列加密演算法。
按照收發雙方的密鑰是否相同分為對稱加密演算法(私鑰加密演算法)和非對稱加密演算法(公鑰加密演算法)。
一個加密系統的加密和解密密鑰相同,或者雖不同,但是由其中一個可以容易的推導出另一個,則該系統採用的是對稱加密演算法。
1976年美國Diffe和Hallman提出非對稱加密演算法。
主要特點是對數據進行加密和解密時使用不同的密鑰。每個用戶都保存一對密鑰,每個人的公開密鑰都對外開放。加入某用戶與另一用戶通信,可用公開密鑰對數據進行加密,而收信者則用自己的私有密鑰進行解密,加密解密分別使用不同的密鑰實現,且不可能由加密密鑰推導出解密密鑰。
著名的非對稱加密演算法有RSA、背包密碼、McEliece密碼、Diffe-Hellman、Rabin、Ong-FiatShamir、零知識證明的演算法、橢圓曲線、EIGamal密碼演算法等。最有影響力的是RSA,能抵抗目前為止已知的所有密碼攻擊。
6. 觀點 | 談談網路安全等級保護與密碼法
一、「密碼」和「口令」
現實生活中提到的「密碼」一詞,比如人們日常使用的開機「密碼」、微信「密碼」、銀行卡支付「密碼」等,這些「密碼」實際上是口令。口令只是進入個人計算機、手機、電子郵箱或者個人銀行賬戶的「通行證」,它是一種簡單、初級的身份認證手段。這些口令與《密碼法》草案中的「密碼」不同,真正的「密碼」,藏在安全支付腔脊伏設備中、藏在網路系統內,默默守護國家秘密信息安全、守護我們每個人的信息安全。
《密碼法》中的密碼指的是使用特定變換的方法對信息等進行加密保護、安全認證的產品、技術和服務。《密碼法》共五章四十四條,對密碼分為核心密碼、普通密碼和商用密碼進野謹行分類管理。其中,核心密碼、普通密碼用於保護國家秘密信息,核心密碼保護信息的最高密級為絕密級,普通密碼保護信息的最高密級為機密級。核心密碼、普通密碼屬於國家秘密。密碼管理部門依照本法和有關法律、行政法規、國家有關規定對核心密碼、普通密碼實行嚴格統一管理。商用密碼用於保護不屬於國家秘密的信息。公民、法人和其他組織可以依法使用商用密碼保護網路與信息安全。
二、商用密碼
我國自行研發的自主可控商用密碼演算法主要包括:ZUC,SM2,SM3,SM4和SM9等,這些密碼演算法涵蓋了對稱密碼中的序列密碼,分組密碼,非對稱密碼中的橢圓曲線密碼,以及密碼雜湊演算法,把它們組合起來可以為各種需要密碼技術作為支撐的行業應用提供堅實可靠的基礎。
1.對稱密碼演算法
序列密碼ZUC(祖沖之)演算法和分組密碼(SM4)演算法都屬於對稱密碼演算法,也就是說,加密一方和解密一方使用完全相同的密鑰來分別進行加密和解密,從而提供保密性(機密性)保證。
ZUC演算法目前主要用於通信領域。2011年9月,我國以ZUC演算法為核心的加密演算法128-EEA3和完整性保護演算法128-EIA3,與美國AES、歐洲SNOW 3G共同成為了4G移動通信密碼演算法國際標准。
SM4演算法最初作為我國自主無線區域網安全標准WAPI的專用密碼演算法發布,後成為分組密碼演算法國家行業標准。由於SM4演算法最初用於無線區域網晶元WAPI協議中,支持SM4演算法的WAPI無線區域網晶元已超過350多個型號,全球累計出貨量超過70億顆。在金融領域,僅統計支持 SM4 演算法的智能密碼鑰匙出貨量已超過 1.5 億個。
2.非對稱密碼演算法
非對稱密碼演算法又稱公鑰密碼演算法,公鑰密碼演算法包括公鑰加密和私鑰簽名(即數字簽名,可提供真實性、不可否認性保證)兩種主要用途,打破了對稱密碼演算法加密和解密必須使用相同密鑰的限制。公鑰加密演算法加密和解密使用不同的密鑰。其中加密的密鑰被公開,稱為公鑰;解密的密鑰被保密,稱為私鑰。公鑰、私鑰是密切關聯的,從私鑰可推導出公鑰,但從公鑰推導出私鑰是計算上不可行的。SM2演算法(橢圓曲線公鑰密碼演算法)和SM9演算法(標識密碼演算法)是我國頒布的商用密碼標准演算法中的公鑰密碼演算法,常見的國外公鑰密碼演算法有RSA、ECDSA演算法等。
基於SM2演算法的數字簽名技術已在我國電子認證領域廣泛應用。SM2演算法於2017年被國際標准化組織(ISO)採納,成為國際標准ISO/IEC 14888-3的一部分。SM9演算法將用戶的標識(如郵件地址、手機號碼、QQ號碼等)作為公鑰,不需要數字證書、證書庫或密鑰庫,省略了交換數字證書和公鑰過程,使得安全系統變得易於部署和管理,非常適合端對端離線安全通訊、雲端數據加密、基於屬性加密、基於策略加密的各種場合。同SM2演算法一起,SM9數字簽名演算法也在2017年被ISO採納,成為國際標准ISO/IEC 14888-3的一部分。
3.密碼雜湊演算法
密碼雜湊演算法又稱雜湊函數、哈希(hash)演算法、哈希函數,是把任意長的輸入串轉化成固定長的輸出串的一種函數。我國商用密碼標准中的密碼雜湊演算法是SM3演算法,並於2018年10月成為國際標准。SM3演算法的輸出長度固定為256比特。輸入長度在理論上是無限制的。在實踐中根據填充規范的要求,輸入長度不能超過264比特。只使用SM3演算法不能提供完整性保護,而是需要配合密鑰使用,即帶密鑰的雜湊演算法(HMAC):利用雜湊演算法,將一個密鑰和一個消息作為輸入,生成一個消息作為輸出。HMAC可用作數據完整性檢驗,檢驗數據是否被非授權地改變;也可伍攜用作消息鑒別,保證消息源的合法性等。
SM3 演算法應用非常廣泛。如在智能電網領域,採用SM3演算法的智能電表接近10億用戶,均能安全穩定運行。在金融系統,目前大約有7億多銀行磁條卡更新為密碼晶元卡,動態令牌累計發行7726萬支,這些卡片及令牌均使用了SM3演算法。
三、等級保護中的密碼
我們看到在等級保護中也有許多與密碼相關的要求,GB/T 22239-2019《信息安全技術網路安全等級保護基本要求》中與密碼相關的要求如下:
1.真實性
應在通信前基於密碼技術對通信的雙方進行驗證或認證;
應採用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別,且其中一種鑒別技術至少應使用密碼技術來實現。
2.保密性
應採用密碼技術保證通信過程中數據的保密性。
應採用密碼技術保證重要數據在傳輸過程中的保密性,包括但不限於鑒別數據、重要業務數據和重要個人信息等;
應採用密碼技術保證重要數據在存儲過程中的保密性,包括但不限於鑒別數據、重要業務數據和重要個人信息等。
3.完整性
應採用校驗技術或密碼技術保證通信過程中數據的完整性;
應採用密碼技術保證重要數據在傳輸過程中的完整性,包括但不限於鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等;
應採用密碼技術保證重要數據在存儲過程中的完整性,包括但不限於鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等;
4.不可否認性
在可能涉及法律責任認定的應用中,應採用密碼技術提供數據原發證據和數據接收證據,實現數據原發行為的抗抵賴和數據接收行為的抗抵賴。
5.密碼管理要求
應確保密碼產品與服務的采購和使用符合國家密碼管理主管部門的要求。
應進行上線前的安全性測試,並出具安全測試報告,安全測試報告應包含密碼應用安全性測試相關內容。
密碼管理應遵循密碼相關國家標准和行業標准;
密碼管理應使用國家密碼管理主管部門認證核準的密碼技術和產品。
6.利用密碼技術可以有效解決的問題
可信驗證:可基於可信根對系統引導程序、系統程序、重要配置參數和邊界防護應用程序等進行可信驗證,並在應用程序的所有執行環節進行動態可信驗證,在檢測到其可信性受到破壞後進行報警,並將驗證結果形成審計記錄送至安全管理中心,並進行動態關聯感知;應採用可信驗證機制對接入到網路中的設備進行可信驗證,保證接入網路的設備真實可信
遠程管理:當進行遠程管理時,應採取必要措施防止鑒別信息在網路傳輸過程中被竊聽
集中管理:應能夠建立一條安全的信息傳輸路徑,對網路中的安全設備或者安全組件進行管理。
四、小結
當今密碼技術在保護信息安全方面的應用越來越廣泛,促使雲計算、大數據、人工智慧、區塊鏈、移動互聯網、物聯網等新技術產業蓬勃發展。相信隨著《中華人民共和國密碼法》的頒布與實施、等級保護制度的實施,我國數字經濟將繼續高質量發展。
7. 密碼編碼學與網路安全
對課程期末考試的個人復習總結
定義:把明文分組當作整體,產生一個等長的密文分組,並且可逆
設計思想:擴散(通過置換),混淆(通過代換)
定義:是一項增強密碼演算法或者使演算法適應具體應用的技術。(分組密碼是加密固定長度的分組,而工作模式提供了加密任意數量的明文的方法)
CTR優點:硬體軟體效率高(並行加密);基本加密解密不依靠明文密文,因此可以進行預處理;加密數據塊的隨機訪問;安全;簡單
關於密鑰K的計算本質上和DH協議是一樣的(即C 1 本質上就是Y B ),Elgamal只是補充了對明文M的加密解密(C 2 =KM mod q;M=(C 2 K -1 ) mod q)
這樣還可以讓K作為一次性密鑰,用於加密解密信息(比如將信息分組,然後每個分塊用唯一的K,這樣可以防止攻擊者利用信息的某一分塊計算出其他分塊 ,若M 1 已知,則很容易計算出M 2 )
將 任意長報文 (一般會被填充為固定長度分組的整數倍)映射成一個較短的 定長輸出報文 的函數 h = H(M)(相對易於計算),為文件、報文或其他的分組數據產生 「數字指紋」 (Hash常被用於判斷數據是否被更改過,而 不是加密解密函數 )
可以產生認證符的函數類型:Hash、消息加密、消息認證碼MAC
認證技術:報文認證:消息完整性;實體認證(用戶認證):發送者非冒充
認證定義:防止主動攻擊的重要技術
MAC可以保護信息交換雙方不受第三方攻擊,但不能處理通信雙方自身發生的攻擊
重點協議!!!
8. 密碼編碼學與網路安全 如何將分組密碼轉化為流密碼
Block ciphers 分組密碼
分組密碼轉換成另一種固定大小的數據塊(通常是64位)固定大小的塊(可能是64位長再次)使用由鍵選擇功能。
如果鍵,輸入模塊和輸出模塊都n位,基本上定義了分組密碼排列的n位整數n位的整數,一個從對一的映射。
流密碼
.甲流密碼由一個狀態機,在每個狀態轉換一個比特的信息輸出。 這種輸出位流俗稱運行的關鍵.國家機器只不過是一個偽隨機數發生器更多。 例如,我們可以構建一個分組密碼加密多次通過其自己的輸出之一。 通常情況下,更復雜的結構是用於流加密來獲得高的速度。 .加密可以實現只要完全或門運行的關鍵明文消息。
9. 三級網路筆記第六章網路安全技術
第六章 網路安全技術
網路管理包括五個功能:配置管理,故障管理,性能管理,計費管理和安全管理。
代理位於被管理的設備內部,它把來自管理者的命令或信息請求轉換為本設備特有的指令,完成管理者的指示,或返回它所在設備的信息。
管理者和代理之間的信息交換可以分為兩種:從管理者到代理的管理操作;從代理到管理者的事件通知。
配置管理的目標是掌握和控制網路和系統的配置信息以及網路各設備的狀態和連接管理。現代網路設備由硬體和設備驅動組禪巧成。
配置管理最主要的作用是可以增強網路管理者對網路配置的控制,它是通過對設備的配置數據提供快速的訪問來實現的。
故障就是出現大量或嚴重錯誤需要修復的異常情況。故障管理是對計算機網路中的問題或故障進行定位的過程。
故障管理最主要的作用是通過提供網路管理者快速的檢查問題並啟動恢復過程的工具,使網路的可靠性得到增強。故障標簽就是一個監視網路賀信鍵問題的前端進程。
性能管理的目標是衡量和呈現網路特性的各個方面,使網路的性能維持在一個可以接受的水平上。
性能管理包括監視和調整兩大功能。
記費管理的目標是跟蹤個人和團體用戶對網路資源的使用情況,對其收取合理的費用。
記費管理的主要作用是網路管理者能測量和報告基於個人或團體用戶的記費信息,分配資源並計算用戶通過網路傳輸數據的費用,然後給用戶開出帳單。
安全管理的目標是按照一定的方法控制對網路的訪問,以保證網路不被侵害,並保證重要的信息不被未授權用戶訪問。
安全管理是對網路資源以及重要信息訪問進行約束和控制。
在網路管理模型中,網路管理者和代理之間需要交換大量的管理信息,這一過程必須遵循統一的通信規范,我們把這個通信規范稱為網路管理協議。
網路管理協議是高層網路應用協議,它建立在具體物理網路及其基礎通信協議基礎上,為網路管理平台服務。
目前使用的標准網路管理協議包括:簡單網路管理協議SNMP,公共管理信息服務/協議CMIS/CMIP,和區域網個人管理協議LMMP等。
SNMP採用輪循監控方式。代理/管理站模式。
管理節點一般是面向工程應用的工作站級計算機,擁有很強的處理能力。代理節點可以是網路上任何類型的節點。SNMP是一個應用層協議 ,在TCP/IP網路中,它應用傳輸層和網路層的服務向其對等層傳輸信息。
CMIP的優點是安全性高,功能強大,不僅可用於傳輸管理數據,還可以執行一定的任務。
信息安全包括5個基本要素:機密性,完整性,可用性,可控性與可審查性。
3 D1級。D1級計算機系統標准規定對用戶沒有驗證。例如DOS。WINDOS3。X及WINDOW 95(不在工作組方式中)。Apple的System7。X。
4 C1級提供自主式安全保護,它通過將用戶和數據分離,滿足自主需求。
C1級又稱為選擇安全保護系統,它描述了一種典型的用在Unix系統上的安全級別。
C1級要求硬體有一定的安全級別,用戶在使用前必須登陸到系統。
C1級的防護的不足之處在與用戶直接訪問操作系統的根。
9 C2級提供比C1級系統更細微的自主式訪問控制。為處理敏感信息所需要的最底安全級別。C2級別還包含有受控訪問環境,該環境具有進一步限制用戶執行一些命令或訪問某些文件的許可權,而且還加入了身份驗證級別。例如UNIX系統。XENIX。Novell 3。0或更高版本。WINDOWS NT。
10 B1級稱為標記安全防護,B1級支持多級安全。標記是指網上的一個對象在安全保護計劃中是可識別且受保護的。B1級是第一種需要大量訪問控制支持的級別。安全級別存在保密,級別。
11 B2又稱為坦鉛結構化保護,他要求計算機系統中的所有對象都要加上標簽,而且給設備分配安全級別。B2級系統的關鍵安全硬體/軟體部件必須建立在一個形式的安全方法模式上。
12 B3級又叫安全域,要求用戶工作站或終端通過可信任途徑連接到網路系統。而且這一級採用硬體來保護安全系統的存儲區。
B3級系統的關鍵安全部件必須理解所有客體到主體的訪問,必須是防竄擾的,而且必須足夠小以便分析與測試。
30 A1 安全級別,表明系統提供了面的安全,又叫做驗證設計。所有來自構成系統的部件來源必須有安全保證,以此保證系統的完善和安全,安全措施還必須擔保在銷售過程中,系統部件不受傷害。
網路安全從本質上講就是網路上的信息安全。凡是涉及到網路信息的保密性,完整性,可用性,真實性和可控性的相關技術和理論都是網路安全的研究領域。
安全策約是在一個特定的環境里,為保證提供一定級別的安全保護所必須遵守的規則。安全策約模型包括了建立安全環境的三個重要組成部分:威嚴的法律,先進的技術和嚴格的管理。
網路安全是網路系統的硬體,軟體以及系統中的數據受到保護,不會由於偶然或惡意的原因而遭到破壞,更改,泄露,系統能連續,可靠和正常的運行,網路服務不中斷。
保證安全性的所有機制包括以下兩部分:
1 對被傳送的信息進行與安全相關的轉換。
2 兩個主體共享不希望對手得知的保密信息。
安全威脅是某個人,物,事或概念對某個資源的機密性,完整性,可用性或合法性所造成的危害。某種攻擊就是某種威脅的具體實現。
安全威脅分為故意的和偶然的兩類。故意威脅又可以分為被動和主動兩類。
中斷是系統資源遭到破壞或變的不能使用。這是對可用性的攻擊。
截取是未授權的實體得到了資源的訪問權。這是對保密性的攻擊。
修改是未授權的實體不僅得到了訪問權,而且還篡改了資源。這是對完整性的攻擊。
捏造是未授權的實體向系統中插入偽造的對象。這是對真實性的攻擊。
被動攻擊的特點是偷聽或監視傳送。其目的是獲得正在傳送的信息。被動攻擊有:泄露信息內容和通信量分析等。
主動攻擊涉及修改數據流或創建錯誤的數據流,它包括假冒,重放,修改信息和拒絕服務等。
假冒是一個實體假裝成另一個實體。假冒攻擊通常包括一種其他形式的主動攻擊。 重放涉及被動捕獲數據單元以及後來的重新發送,以產生未經授權的效果。
修改消息意味著改變了真實消息的部分內容,或將消息延遲或重新排序,導致未授權的操作。
拒絕服務的禁止對通信工具的正常使用或管理。這種攻擊擁有特定的目標。另一種拒絕服務的形式是整個網路的中斷,這可以通過使網路失效而實現,或通過消息過載使網路性能降低。
防止主動攻擊的做法是對攻擊進行檢測,並從它引起的中斷或延遲中恢復過來。
從網路高層協議角度看,攻擊方法可以概括為:服務攻擊與非服務攻擊。
服務攻擊是針對某種特定網路服務的攻擊。
非服務攻擊不針對某項具體應用服務,而是基於網路層等低層協議進行的。
非服務攻擊利用協議或操作系統實現協議時的漏洞來達到攻擊的目的,是一種更有效的攻擊手段。
網路安全的基本目標是實現信息的機密性,完整性,可用性和合法性。
主要的可實現威脅:
3 滲入威脅:假冒,旁路控制,授權侵犯。
4 植入威脅:特洛伊木馬,陷門。
病毒是能夠通過修改其他程序而感染它們的一種程序,修改後的程序裡麵包含了病毒程序的一個副本,這樣它們就能繼續感染其他程序。
網路反病毒技術包括預防病毒,檢測病毒和消毒三種技術。
1 預防病毒技術。
它通過自身長駐系統內存,優先獲得系統的控制權,監視和判斷系統中是或有病毒存在,進而阻止計算機病毒進入計算機系統對系統進行破壞。這類技術有:加密可執行程序,引導區保護,系統監控與讀寫控制。
2.檢測病毒技術。
通過對計算機病毒的特徵來進行判斷的技術。如自身效驗,關鍵字,文件長度的變化等。
3.消毒技術。
通過對計算機病毒的分析,開發出具有刪除病毒程序並恢復原元件的軟體。
網路反病毒技術的具體實現方法包括對網路伺服器中的文件進行頻繁地掃描和檢測,在工作站上用防病毒晶元和對網路目錄以及文件設置訪問許可權等。
網路信息系統安全管理三個原則:
1 多人負責原則。
2 任期有限原則。
3 職責分離原則。
保密學是研究密碼系統或通信安全的科學,它包含兩個分支:密碼學和密碼分析學。
需要隱藏的消息叫做明文。明文被變換成另一種隱藏形式被稱為密文。這種變換叫做加密。加密的逆過程叫組解密。對明文進行加密所採用的一組規則稱為加密演算法。對密文解密時採用的一組規則稱為解密演算法。加密演算法和解密演算法通常是在一組密鑰控制下進行的,加密演算法所採用的密鑰成為加密密鑰,解密演算法所使用的密鑰叫做解密密鑰。
密碼系統通常從3個獨立的方面進行分類:
1 按將明文轉化為密文的操作類型分為:置換密碼和易位密碼。
所有加密演算法都是建立在兩個通用原則之上:置換和易位。
2 按明文的處理方法可分為:分組密碼(塊密碼)和序列密碼(流密碼)。
3 按密鑰的使用個數分為:對稱密碼體制和非對稱密碼體制。
如果發送方使用的加密密鑰和接受方使用的解密密鑰相同,或從其中一個密鑰易於的出另一個密鑰,這樣的系統叫做對稱的,但密鑰或常規加密系統。如果發送放使用的加密密鑰和接受方使用的解密密鑰不相同,從其中一個密鑰難以推出另一個密鑰,這樣的系統就叫做不對稱的,雙密鑰或公鑰加密系統。
分組密碼的加密方式是首先將明文序列以固定長度進行分組,每一組明文用相同的密鑰和加密函數進行運算。
分組密碼設計的核心上構造既具有可逆性又有很強的線性的演算法。
序列密碼的加密過程是將報文,話音,圖象,數據等原始信息轉化成明文數據序列,然後將它同密鑰序列進行異或運算。生成密文序列發送給接受者。
數據加密技術可以分為3類:對稱型加密,不對稱型加密和不可逆加密。
對稱加密使用單個密鑰對數據進行加密或解密。
不對稱加密演算法也稱為公開加密演算法,其特點是有兩個密鑰,只有兩者搭配使用才能完成加密和解密的全過程。
不對稱加密的另一用法稱為「數字簽名」,既數據源使用其私有密鑰對數據的效驗和或其他與數據內容有關的變數進行加密,而數據接受方則用相應的公用密鑰解讀「數字簽名」,並將解讀結果用於對數據完整性的檢驗。
不可逆加密演算法的特徵是加密過程不需要密鑰,並且經過加密的數據無法被解密,只有同樣輸入的輸入數據經過同樣的不可逆演算法才能得到同樣的加密數據。
加密技術應用於網路安全通常有兩種形式,既面向網路和面向應用程序服務。
面向網路服務的加密技術通常工作在網路層或傳輸層,使用經過加密的數據包傳送,認證網路路由及其其他網路協議所需的信息,從而保證網路的連通性和可用性不受侵害。
面向網路應用程序服務的加密技術使用則是目前較為流行的加密技術的使用方法。
從通信網路的傳輸方面,數據加密技術可以分為3類:鏈路加密方式,節點到節點方式和端到端方式。
鏈路加密方式是一般網路通信安全主要採用的方式。
節點到節點加密方式是為了解決在節點中數據是明文的缺點,在中間節點里裝有加,解密的保護裝置,由這個裝置來完成一個密鑰向另一個密鑰的變換。
在端到端機密方式中,由發送方加密的數據在沒有到達最終目的節點之前是不被解密的。
試圖發現明文或密鑰的過程叫做密碼分析。
演算法實際進行的置換和轉換由保密密鑰決定。
密文由保密密鑰和明文決定。
對稱加密有兩個安全要求:
1 需要強大的加密演算法。
2 發送方和接受方必須用安全的方式來獲得保密密鑰的副本。
常規機密的安全性取決於密鑰的保密性,而不是演算法的保密性。
IDEA演算法被認為是當今最安全的分組密碼演算法。
公開密鑰加密又叫做非對稱加密。
公鑰密碼體制有兩個基本的模型,一種是加密模型,一種是認證模型。
通常公鑰加密時候使用一個密鑰,在解密時使用不同但相關的密鑰。
常規加密使用的密鑰叫做保密密鑰。公鑰加密使用的密鑰對叫做公鑰或私鑰。
RSA體制被認為是現在理論上最為成熟完善的一種公鑰密碼體制。
密鑰的生存周期是指授權使用該密鑰的周期。
在實際中,存儲密鑰最安全的方法就是將其放在物理上安全的地方。
密鑰登記包括將產生的密鑰與特定的應用綁定在一起。
密鑰管理的重要內容就是解決密鑰的分發問題。
密鑰銷毀包括清除一個密鑰的所有蹤跡。
密鑰分發技術是將密鑰發送到數據交換的兩方,而其他人無法看到的地方。
數字證書是一條數字簽名的消息,它通常用與證明某個實體的公鑰的有效性。數字證書是一個數字結構,具有一種公共的格式,它將某一個成員的識別符和一個公鑰值綁定在一起。人們採用數字證書來分發公鑰。
序列號:由證書頒發者分配的本證書的標示符。
認證是防止主動攻擊的重要技術,它對於開放環境中的各種信息系統的安全有重要作用。
認證是驗證一個最終用戶或設備的聲明身份的過程。
主要目的為:
4 驗證信息的發送者是真正的,而不是冒充的,這稱為信源識別。
5 驗證信息的完整性,保證信息在傳送過程中未被竄改,重放或延遲等。
認證過程通常涉及加密和密鑰交換。
帳戶名和口令認證方式是最常用的一種認證方式。
授權是把訪問權授予某一個用戶,用戶組或指定系統的過程。
訪問控制是限制系統中的信息只能流到網路中的授權個人或系統。
有關認證使用的技術主要有:消息認證,身份認證和數字簽名。
消息認證的內容包括為:
1 證實消息的信源和信宿。
2 消息內容是或曾受到偶然或有意的篡改。
3 消息的序號和時間性。
消息認證的一般方法為:產生一個附件。
身份認證大致分為3類:
1 個人知道的某種事物。
2 個人持證
3 個人特徵。
口令或個人識別碼機制是被廣泛研究和使用的一種身份驗證方法,也是最實用的認證系統所依賴的一種機制。
為了使口令更加安全,可以通過加密口令或修改加密方法來提供更強健的方法,這就是一次性口令方案,常見的有S/KEY和令牌口令認證方案。
持證為個人持有物。
數字簽名的兩種格式:
2 經過密碼變換的被簽名信息整體。
3 附加在被簽消息之後或某個特定位置上的一段簽名圖樣。
對與一個連接來說,維持認證的辦法是同時使用連接完整性服務。
防火牆總體上分為濾,應用級網關和代理服務等幾大類型。
數據濾技術是在網路層對數據包進行選擇。
應用級網關是在網路應用層上建立協議過濾和轉發功能。
代理服務也稱鏈路級網關或TCP通道,也有人將它歸於應用級網關一類。
防火牆是設置在不同網路或網路安全域之間的一系列不見的組合。它可以通過檢測,限制,更改跨越防火牆的數據流,盡可能的對外部屏蔽網路內部的消息,結構和運行情況,以此來實現網路的安全保護。
防火牆的設計目標是:
1 進出內部網的通信量必須通過防火牆。
2 只有那些在內部網安全策約中定義了的合法的通信量才能進出防火牆。
3 防火牆自身應該防止滲透。
防火牆能有效的防止外來的入侵,它在網路系統中的作用是:
1 控制進出網路的信息流向和信息包。
2 提供使用和流量的日誌和審記。
3 隱藏內部IP以及網路結構細節。
4 提供虛擬專用網功能。
通常有兩種設計策約:允許所有服務除非被明確禁止;禁止所有服務除非被明確允許。
防火牆實現站點安全策約的技術:
3 服務控制。確定在圍牆外面和裡面可以訪問的INTERNET服務類型。
4 方向控制。啟動特定的服務請求並允許它通過防火牆,這些操作具有方向性。
5 用戶控制。根據請求訪問的用戶來確定是或提供該服務。
6 行為控制。控制如何使用某種特定的服務。
影響防火牆系統設計,安裝和使用的網路策約可以分為兩級:
高級的網路策約定義允許和禁止的服務以及如何使用服務。
低級的網路策約描述了防火牆如何限制和過濾在高級策約中定義的服務。