自考“信息資源管理”復習提綱(17)

字號:

5.4 計算機網(wǎng)絡(luò)安全
    ● 一般,計算機網(wǎng)絡(luò)安全具有以下特點:
    (1)計算機網(wǎng)絡(luò)的通信線路是一個很明顯的易受攻擊的目標。
    (2)網(wǎng)絡(luò)威脅的隱蔽性和潛在性增加了保證安全的難度。
    (3)網(wǎng)絡(luò)安全涉及多學科領(lǐng)域,既有社會科學,又有自然科學和技術(shù)。
    (4)網(wǎng)絡(luò)安全也是相對的,不可能建立一個絕對安全的網(wǎng)絡(luò)。另外,安全措施與系統(tǒng)使用靈活性,方便性也相應存在著矛盾。
    (5)網(wǎng)絡(luò)由于不安全受到的損害遠遠大于單機系統(tǒng)所受到的損害。
    ● 為了解決計算機網(wǎng)絡(luò)的安全問題,應全面地考慮系統(tǒng)的安全性設(shè)計,主要從以下幾個環(huán)節(jié)來考慮:影響系統(tǒng)安全的因素;實現(xiàn)網(wǎng)絡(luò)安全的措施和技術(shù);安全政策和安全管理。
    一、網(wǎng)絡(luò)資源的分布:
    網(wǎng)絡(luò)資源包括了各種計算機、數(shù)據(jù)庫、工作站、終端設(shè)備、網(wǎng)絡(luò)操作系統(tǒng)以及實現(xiàn)數(shù)據(jù)通信的分組交換設(shè)備(PSE)、網(wǎng)絡(luò)控制中心(NCC)、集線器、多路器、分組組裝/拆卸設(shè)備(PAD)等。(具體見P193—P195)
    二、影響網(wǎng)絡(luò)安全的主要因素:
    (1)自然因素:
    (2)人為因素:
    (3)管理因素:
    (上述因素對信息的保密性均形成威脅)
    (4)政策因素
    (5)通信因素
    (6)計算機上
    三、網(wǎng)絡(luò)系統(tǒng)的安全功能:
    1、對象認證
    2、訪問控制
    3、數(shù)據(jù)保密生
    4、數(shù)據(jù)可審查性
    5、不可抵賴性
    四、網(wǎng)絡(luò)安全技術(shù):
    為了保證網(wǎng)絡(luò)的安全,通常采用的方法和措施:
    1、網(wǎng)絡(luò)中的數(shù)據(jù)加密
    加密是網(wǎng)絡(luò)安全中的信息保護措施。
    (1)網(wǎng)絡(luò)中數(shù)據(jù)加密方式
    ①鏈路加密
    鏈路是指用于傳輸數(shù)據(jù)的通信信道。鏈路加密是對網(wǎng)絡(luò)中兩個相鄰節(jié)點之間傳輸?shù)臄?shù)據(jù)進行加密保護。
    鏈路加密能夠防止搭線竊聽,但其缺點是中間節(jié)點都暴露了信息的內(nèi)容。在網(wǎng)絡(luò)互聯(lián)的情況下,鏈路加密是不能實現(xiàn)通信安全的。鏈路加密一般采用硬件加密。
    ②端——端加密
    端——端加密是在一對用戶之間的數(shù)據(jù)連續(xù)地提供保護。
    端——端加密易于受到通令量分析的攻擊。
    ● 自己看書比較兩種加密方式
    ③混合加密
    (2)密鑰的管理
    加密技術(shù)一般都采用加密算法來實現(xiàn),而加密算法必須由密鑰來控制。
    評價一個密鑰管理系統(tǒng)性能好壞有以下具體要求:
    密鑰難以被非法竊?。?BR>    在一定條件下,竊取了密鑰也沒有用;
    密鑰的分配和更換過程在用戶看來是透明的,用戶不一定要求親自掌握密鑰。
    在網(wǎng)絡(luò)及其數(shù)據(jù)庫中,系統(tǒng)的安全依賴于的主密鑰。
    ①密鑰的種類及其作用:
    a、數(shù)據(jù)加密密鑰:
    在一個數(shù)據(jù)通信網(wǎng)中,一個主體要通過網(wǎng)絡(luò)與一個客體通信,為了保證數(shù)據(jù)的安全性,主體就需要采用一個特定的加密算法和密鑰來對數(shù)據(jù)進行加密,而客體也必須采用相同的算法和密鑰對已加密的數(shù)據(jù)進行解密。數(shù)據(jù)加密密鑰可以由系統(tǒng)實體請求通過硬件或軟件自動產(chǎn)生,也可由用戶自己提供。
    b、基本密鑰:
    也叫二級密鑰,它用以加密保護數(shù)據(jù)加密密鑰。基本密鑰可由密鑰安裝人員請求由系統(tǒng)自動產(chǎn)生,也可以由密鑰安裝人員提供。
    c、主密鑰:
    在一網(wǎng)絡(luò)系統(tǒng)中可能有上千個節(jié)點或終端用戶,若要實現(xiàn)互聯(lián),每個節(jié)點就要有與其它節(jié)點或終端用戶通信的基本密鑰。這些基本密鑰要形成一張表,保存在節(jié)點(或端節(jié)點)的保密裝置內(nèi)。為了保證它的安全,通常還需要有一個密鑰對基本密鑰表進行加密保護。這個密鑰稱為主密鑰,它是密鑰管理方案中級別的密鑰,用于對存儲在主機系統(tǒng)中的數(shù)據(jù)加密密鑰和基本密鑰提供保護。
    d、其它密鑰
    在一個網(wǎng)絡(luò)系統(tǒng)中,有主機和終端等多種需要使用密鑰的實休,不同的實體對不同的密鑰要采取不同的保護。
    終端密鑰:第一個終端配置惟一的一個二級通信密鑰,并由密鑰安裝人員裝入終端的密碼裝置中。
    主機密鑰:主機要進行各種不同的密碼操作,因此在主機中同時配置主密鑰和基本密鑰。主機還要產(chǎn)生和存儲數(shù)據(jù)加密密鑰和基本密鑰。
    ②密鑰的保護
    a、密鑰的分配:
    密鑰分配是密鑰管理系統(tǒng)最為復雜的問題,可以采用人工分配,或利用計算機網(wǎng)絡(luò)的數(shù)據(jù)處理和數(shù)據(jù)傳輸能力實現(xiàn)密鑰分配自動化。
    網(wǎng)絡(luò)中密鑰的分配方法有:
    只用會話密鑰:在一個規(guī)模較小的網(wǎng)絡(luò)中,只使用一個會話密鑰。
    采用地話和基本密鑰:為了提高保密性,可使用會話密鑰和基本密鑰。
    采用公開密鑰密碼體制的密鑰分配:
    b、密鑰的注入:
    通常采用人工方式。
    C、密鑰的存儲
    d、密鑰的更換
    e、保密裝置
    2、網(wǎng)絡(luò)中的存取控制
    存取控制主要通過口令控制、報文鑒別、數(shù)字簽名和終端識別等方式來實現(xiàn)。
    (1)鑒別技術(shù)。
    又稱為確認或認證。它是證實某人或某事是否名副其實或是否有效的一個過程,用以確保數(shù)據(jù)的真實性,阻止對手的主動攻擊,如篡改或冒充等。驗證一個主體涉及兩個因素:一個是該主體獨自具有、難以偽造的信息;另一個是可靠地交換信息的方式。
    鑒別往往是許多應用系統(tǒng)中安全保護的第二道防線,利用它可以驗證對方的真實性的報文的真實性。
    鑒別的基本思想,是通過驗證人或事的一個或多個參數(shù)的真實性和有效性來達到驗主人或事是否名副其實的目的。鑒別系統(tǒng)的常用參數(shù)有口令、標識符、密鑰、信物、指紋、視網(wǎng)紋等。
    目前廣泛應用的是基于密碼的鑒別技術(shù)。
    ①用戶身份的鑒別。
    輸入口令字:最簡單、投資最少、最容易實現(xiàn)的一種。
    身份卡
    ②站點鑒別。
    ③報文鑒別
    報文內(nèi)容的鑒別。
    報文源的鑒別。
    報文宿的鑒別。
    報文時間性的鑒別。
    (2)數(shù)字簽名
    當通信雙方發(fā)生下列情況時,必須解決以下安全問題:
    否認,發(fā)送方不承認自己發(fā)送過某一文件。
    偽造,接收方偽造一份文件,聲稱它來自發(fā)送方。
    冒充,網(wǎng)絡(luò)上的某個用戶冒充另一個用戶接收或發(fā)送信息。
    篡改,接收方對收到的信息進行篡改。
    為了解決上述問題,需要數(shù)字簽名。
    數(shù)字簽名:在信息系統(tǒng)中,采用電子形式的簽名,就是數(shù)字簽名。
    數(shù)字簽名有利于用密碼技術(shù)進行,其安全性取決于密碼體制的安全程度,比書面簽名有更高的安全性。
    ①利用單密鑰體制進行數(shù)字簽名
    ②利用雙密鑰體制進行數(shù)字簽名
    ③仲裁簽名
    3、安全性檢測
    4、有效性檢測
    5、防火墻技術(shù):通過數(shù)據(jù)濾、應用級網(wǎng)關(guān)和代理服務(wù)器等方式來實現(xiàn)其功能。
    6、網(wǎng)絡(luò)中的通信流分析控制
    7、安全管理
    安全管理有兩層含義:
    (1)保護網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)資源為被非法使用;
    (2)確保網(wǎng)絡(luò)管理系統(tǒng)本身不被未經(jīng)授權(quán)地訪問。
    8、端口管理