|
網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來(lái)的新技術(shù)�����,它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體���,實(shí)現(xiàn)資源的全面共享和有機(jī)協(xié)作���,使人們能夠透明地使用資源的整體能力并按需獲取信息��。資源包括高性能計(jì)算機(jī)����、存儲(chǔ)資源���、數(shù)據(jù)資源���、信息資源、知識(shí)資源�、專家資源、大型數(shù)據(jù)庫(kù)�����、網(wǎng)絡(luò)�、傳感器等����。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享�,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段�。 數(shù)據(jù)簽名
如RSA等公開密鑰算法。信息的接收者利用信息發(fā)送者的公開密鑰對(duì)簽名做解密運(yùn)算�����,以驗(yàn)證發(fā)送方的身份��,排除非法冒充者�。當(dāng)收、發(fā)雙方就某條消息來(lái)源發(fā)生糾紛時(shí)��,根據(jù)簽名還可裁定消息源是否為發(fā)方������?狗裾J(rèn)機(jī)制在許多系統(tǒng)中(如證券交易、商業(yè)談判等)經(jīng)常采用���。為了提高網(wǎng)絡(luò)運(yùn)行的效率����,在實(shí)際的信息傳輸時(shí)�����,可連續(xù)傳送多“包”數(shù)據(jù)后,再通過(guò)一個(gè)IP“包”進(jìn)行一次簽名驗(yàn)證����。
保護(hù)數(shù)據(jù)完整性
雖然Internet網(wǎng)上的低層通信協(xié)議在數(shù)據(jù)傳輸過(guò)程中,通過(guò)使用序號(hào)��、控制“包”����、校驗(yàn)碼等差錯(cuò)控制機(jī)制,能夠有效地防止傳輸過(guò)程中的突發(fā)錯(cuò)誤����,但對(duì)網(wǎng)上“黑客”們的主動(dòng)攻擊(如對(duì)信息的惡意增刪、修改)則顯得無(wú)能為力�。通過(guò)加入一些驗(yàn)證碼等冗余信息,用驗(yàn)證函數(shù)進(jìn)行處理�����,以發(fā)現(xiàn)信息是否被非法修改��,避免用戶或主機(jī)被偽造信息所欺騙��。保護(hù)數(shù)據(jù)完整是對(duì)抗網(wǎng)上主動(dòng)攻擊者必不可少的一項(xiàng)功能���。
密鑰管理
雖然以密文的形式可以在相對(duì)安全的信道上傳遞信息����,但萬(wàn)一密鑰泄露或網(wǎng)上攻擊者通過(guò) 積累大量密文而增加密文的破譯機(jī)會(huì)���,都會(huì)對(duì)安全通信造成威脅��。因此��,為了對(duì)密鑰的產(chǎn)生����、存儲(chǔ)��、傳遞和定期更換進(jìn)行有效的控制而引入密鑰管理機(jī)制�����,對(duì)增加網(wǎng)絡(luò)的安全性也是至關(guān)重要的����。已有的密鑰管理方案很多�����,不僅與所采用的密碼體制和算法有關(guān)���,而且在強(qiáng)度、安全性�、密鑰更換的頻度、效率等方面也各有利弊�。例如,如果網(wǎng)上兩端的用戶或主機(jī)都高度信任�����,則擁有共同的密鑰即可對(duì)付敵方的攻擊�����,但若互不信任或有一方被懷疑為假冒���,則不能擁有相同的密鑰�,而需要采用更復(fù)雜的密鑰分配和管理策略���。
跟蹤審計(jì)和包過(guò)濾
不斷地收集和積累有關(guān)的安全事件記錄��,并有選擇地對(duì)其中的某些進(jìn)行跟蹤審計(jì)�,以便對(duì)可能的破壞性行為提供有力的證據(jù)�,根據(jù)這些消息,采取相應(yīng)的安全策略和機(jī)制���。例如�����,通過(guò)信息過(guò)濾機(jī)制�����,拒絕接收一切來(lái)自黑名單上的IP地址的信息���,以杜絕網(wǎng)上的特定結(jié)點(diǎn)所產(chǎn)生的信息垃圾(如過(guò)時(shí)消息、廣告�����、淫穢圖片等)對(duì)正常用戶的信息干擾和信息轟炸�����。
訪問(wèn)控制
安全系統(tǒng)對(duì)所有的被保護(hù)資源(主機(jī)、通道設(shè)備�����、服務(wù)程序等)結(jié)合所采用的密鑰管理機(jī)制���,預(yù)先規(guī)定各級(jí)訪問(wèn)權(quán)限���、能力表及密鑰等級(jí),每一個(gè)經(jīng)安全系統(tǒng)驗(yàn)證后的合法用戶或主機(jī)����,只能使用與其訪問(wèn)權(quán)限或密鑰等級(jí)相匹配的系統(tǒng)資源。安全系統(tǒng)還利用跟蹤審計(jì)功能對(duì)任何企圖越權(quán)訪問(wèn)的行為進(jìn)行監(jiān)視�、記錄、提出警告或產(chǎn)生報(bào)警�,以杜絕對(duì)所保護(hù)的資源的非法使用。 但過(guò)多地采用訪問(wèn)控制機(jī)制����,勢(shì)必降低了網(wǎng)上一些資源的共享程度和用戶對(duì)其訪問(wèn)的自由度。因此���,需要在安全性���、共享性和方便性之間進(jìn)行平衡����。
信息流控制
只有在網(wǎng)絡(luò)負(fù)荷�����、控制復(fù)雜度都允許的條件下���,才能使用信息流控制機(jī)制。它通過(guò)填充報(bào)文長(zhǎng)度��、增發(fā)偽報(bào)文等方式�����,擾亂網(wǎng)上攻擊者對(duì)信息流量的分析�,進(jìn)一步增加線路竊聽的難度。
綜合計(jì)算機(jī)網(wǎng)絡(luò)的開放性��、共享性和高效性來(lái)構(gòu)造一個(gè)絕對(duì)安全的網(wǎng)絡(luò)環(huán)境是很難的�����,必須從整體和系統(tǒng)的角度對(duì)諸多因素進(jìn)行折中。
Internet網(wǎng)自身的復(fù)雜性也導(dǎo)致了其安全問(wèn)題的復(fù)雜性�,而安全問(wèn)題產(chǎn)生的根本原因是由于其網(wǎng)絡(luò)協(xié)議的開放性和信息傳輸?shù)膹V域性所引起的,我們應(yīng)使用多項(xiàng)安全技術(shù)以對(duì)抗Internet上所潛在的各種威脅�����。
[page_break] 數(shù)據(jù)簽名
如RSA等公開密鑰算法�����。信息的接收者利用信息發(fā)送者的公開密鑰對(duì)簽名做解密運(yùn)算,以驗(yàn)證發(fā)送方的身份�����,排除非法冒充者�����。當(dāng)收、發(fā)雙方就某條消息來(lái)源發(fā)生糾紛時(shí)�����,根據(jù)簽名還可裁定消息源是否為發(fā)方����。抗否認(rèn)機(jī)制在許多系統(tǒng)中(如證券交易��、商業(yè)談判等)經(jīng)常采用���。為了提高網(wǎng)絡(luò)運(yùn)行的效率���,在實(shí)際的信息傳輸時(shí),可連續(xù)傳送多“包”數(shù)據(jù)后,再通過(guò)一個(gè)IP“包”進(jìn)行一次簽名驗(yàn)證����。
保護(hù)數(shù)據(jù)完整性
雖然Internet網(wǎng)上的低層通信協(xié)議在數(shù)據(jù)傳輸過(guò)程中����,通過(guò)使用序號(hào)、控制“包”���、校驗(yàn)碼等差錯(cuò)控制機(jī)制�����,能夠有效地防止傳輸過(guò)程中的突發(fā)錯(cuò)誤�����,但對(duì)網(wǎng)上“黑客”們的主動(dòng)攻擊(如對(duì)信息的惡意增刪、修改)則顯得無(wú)能為力���。通過(guò)加入一些驗(yàn)證碼等冗余信息����,用驗(yàn)證函數(shù)進(jìn)行處理����,以發(fā)現(xiàn)信息是否被非法修改,避免用戶或主機(jī)被偽造信息所欺騙�。保護(hù)數(shù)據(jù)完整是對(duì)抗網(wǎng)上主動(dòng)攻擊者必不可少的一項(xiàng)功能��。
密鑰管理
雖然以密文的形式可以在相對(duì)安全的信道上傳遞信息�����,但萬(wàn)一密鑰泄露或網(wǎng)上攻擊者通過(guò) 積累大量密文而增加密文的破譯機(jī)會(huì),都會(huì)對(duì)安全通信造成威脅。因此,為了對(duì)密鑰的產(chǎn)生、存儲(chǔ)、傳遞和定期更換進(jìn)行有效的控制而引入密鑰管理機(jī)制,對(duì)增加網(wǎng)絡(luò)的安全性也是至關(guān)重要的���。已有的密鑰管理方案很多,不僅與所采用的密碼體制和算法有關(guān)�,而且在強(qiáng)度、安全性���、密鑰更換的頻度、效率等方面也各有利弊�����。例如,如果網(wǎng)上兩端的用戶或主機(jī)都高度信任���,則擁有共同的密鑰即可對(duì)付敵方的攻擊�����,但若互不信任或有一方被懷疑為假冒�,則不能擁有相同的密鑰�����,而需要采用更復(fù)雜的密鑰分配和管理策略�。
跟蹤審計(jì)和包過(guò)濾
不斷地收集和積累有關(guān)的安全事件記錄,并有選擇地對(duì)其中的某些進(jìn)行跟蹤審計(jì)�����,以便對(duì)可能的破壞性行為提供有力的證據(jù)��,根據(jù)這些消息��,采取相應(yīng)的安全策略和機(jī)制��。例如,通過(guò)信息過(guò)濾機(jī)制���,拒絕接收一切來(lái)自黑名單上的IP地址的信息�����,以杜絕網(wǎng)上的特定結(jié)點(diǎn)所產(chǎn)生的信息垃圾(如過(guò)時(shí)消息�����、廣告�����、淫穢圖片等)對(duì)正常用戶的信息干擾和信息轟炸���。
訪問(wèn)控制
安全系統(tǒng)對(duì)所有的被保護(hù)資源(主機(jī)、通道設(shè)備�、服務(wù)程序等)結(jié)合所采用的密鑰管理機(jī)制,預(yù)先規(guī)定各級(jí)訪問(wèn)權(quán)限����、能力表及密鑰等級(jí),每一個(gè)經(jīng)安全系統(tǒng)驗(yàn)證后的合法用戶或主機(jī)����,只能使用與其訪問(wèn)權(quán)限或密鑰等級(jí)相匹配的系統(tǒng)資源。安全系統(tǒng)還利用跟蹤審計(jì)功能對(duì)任何企圖越權(quán)訪問(wèn)的行為進(jìn)行監(jiān)視���、記錄�����、提出警告或產(chǎn)生報(bào)警�,以杜絕對(duì)所保護(hù)的資源的非法使用��。 但過(guò)多地采用訪問(wèn)控制機(jī)制�����,勢(shì)必降低了網(wǎng)上一些資源的共享程度和用戶對(duì)其訪問(wèn)的自由度���。因此���,需要在安全性、共享性和方便性之間進(jìn)行平衡���。
信息流控制
只有在網(wǎng)絡(luò)負(fù)荷�����、控制復(fù)雜度都允許的條件下��,才能使用信息流控制機(jī)制�。它通過(guò)填充報(bào)文長(zhǎng)度、增發(fā)偽報(bào)文等方式����,擾亂網(wǎng)上攻擊者對(duì)信息流量的分析,進(jìn)一步增加線路竊聽的難度���。
綜合計(jì)算機(jī)網(wǎng)絡(luò)的開放性����、共享性和高效性來(lái)構(gòu)造一個(gè)絕對(duì)安全的網(wǎng)絡(luò)環(huán)境是很難的����,必須從整體和系統(tǒng)的角度對(duì)諸多因素進(jìn)行折中。
Internet網(wǎng)自身的復(fù)雜性也導(dǎo)致了其安全問(wèn)題的復(fù)雜性�����,而安全問(wèn)題產(chǎn)生的根本原因是由于其網(wǎng)絡(luò)協(xié)議的開放性和信息傳輸?shù)膹V域性所引起的����,我們應(yīng)使用多項(xiàng)安全技術(shù)以對(duì)抗Internet上所潛在的各種威脅����。
網(wǎng)絡(luò)的神奇作用吸引著越來(lái)越多的用戶加入其中���,正因如此,網(wǎng)絡(luò)的承受能力也面臨著越來(lái)越嚴(yán)峻的考驗(yàn)―從硬件上��、軟件上���、所用標(biāo)準(zhǔn)上......�,各項(xiàng)技術(shù)都需要適時(shí)應(yīng)勢(shì)�,對(duì)應(yīng)發(fā)展,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑��。
|
溫馨提示:喜歡本站的話����,請(qǐng)收藏一下本站!
