自考“信息資源管理”復習提綱(17)

字號:

5.4 計算機網絡安全
    ● 一般,計算機網絡安全具有以下特點:
    (1)計算機網絡的通信線路是一個很明顯的易受攻擊的目標。
    (2)網絡威脅的隱蔽性和潛在性增加了保證安全的難度。
    (3)網絡安全涉及多學科領域,既有社會科學,又有自然科學和技術。
    (4)網絡安全也是相對的,不可能建立一個絕對安全的網絡。另外,安全措施與系統(tǒng)使用靈活性,方便性也相應存在著矛盾。
    (5)網絡由于不安全受到的損害遠遠大于單機系統(tǒng)所受到的損害。
    ● 為了解決計算機網絡的安全問題,應全面地考慮系統(tǒng)的安全性設計,主要從以下幾個環(huán)節(jié)來考慮:影響系統(tǒng)安全的因素;實現網絡安全的措施和技術;安全政策和安全管理。
    一、網絡資源的分布:
    網絡資源包括了各種計算機、數據庫、工作站、終端設備、網絡操作系統(tǒng)以及實現數據通信的分組交換設備(PSE)、網絡控制中心(NCC)、集線器、多路器、分組組裝/拆卸設備(PAD)等。(具體見P193—P195)
    二、影響網絡安全的主要因素:
    (1)自然因素:
    (2)人為因素:
    (3)管理因素:
    (上述因素對信息的保密性均形成威脅)
    (4)政策因素
    (5)通信因素
    (6)計算機上
    三、網絡系統(tǒng)的安全功能:
    1、對象認證
    2、訪問控制
    3、數據保密生
    4、數據可審查性
    5、不可抵賴性
    四、網絡安全技術:
    為了保證網絡的安全,通常采用的方法和措施:
    1、網絡中的數據加密
    加密是網絡安全中的信息保護措施。
    (1)網絡中數據加密方式
    ①鏈路加密
    鏈路是指用于傳輸數據的通信信道。鏈路加密是對網絡中兩個相鄰節(jié)點之間傳輸的數據進行加密保護。
    鏈路加密能夠防止搭線竊聽,但其缺點是中間節(jié)點都暴露了信息的內容。在網絡互聯的情況下,鏈路加密是不能實現通信安全的。鏈路加密一般采用硬件加密。
    ②端——端加密
    端——端加密是在一對用戶之間的數據連續(xù)地提供保護。
    端——端加密易于受到通令量分析的攻擊。
    ● 自己看書比較兩種加密方式
    ③混合加密
    (2)密鑰的管理
    加密技術一般都采用加密算法來實現,而加密算法必須由密鑰來控制。
    評價一個密鑰管理系統(tǒng)性能好壞有以下具體要求:
    密鑰難以被非法竊??;
    在一定條件下,竊取了密鑰也沒有用;
    密鑰的分配和更換過程在用戶看來是透明的,用戶不一定要求親自掌握密鑰。
    在網絡及其數據庫中,系統(tǒng)的安全依賴于的主密鑰。
    ①密鑰的種類及其作用:
    a、數據加密密鑰:
    在一個數據通信網中,一個主體要通過網絡與一個客體通信,為了保證數據的安全性,主體就需要采用一個特定的加密算法和密鑰來對數據進行加密,而客體也必須采用相同的算法和密鑰對已加密的數據進行解密。數據加密密鑰可以由系統(tǒng)實體請求通過硬件或軟件自動產生,也可由用戶自己提供。
    b、基本密鑰:
    也叫二級密鑰,它用以加密保護數據加密密鑰?;久荑€可由密鑰安裝人員請求由系統(tǒng)自動產生,也可以由密鑰安裝人員提供。
    c、主密鑰:
    在一網絡系統(tǒng)中可能有上千個節(jié)點或終端用戶,若要實現互聯,每個節(jié)點就要有與其它節(jié)點或終端用戶通信的基本密鑰。這些基本密鑰要形成一張表,保存在節(jié)點(或端節(jié)點)的保密裝置內。為了保證它的安全,通常還需要有一個密鑰對基本密鑰表進行加密保護。這個密鑰稱為主密鑰,它是密鑰管理方案中級別的密鑰,用于對存儲在主機系統(tǒng)中的數據加密密鑰和基本密鑰提供保護。
    d、其它密鑰
    在一個網絡系統(tǒng)中,有主機和終端等多種需要使用密鑰的實休,不同的實體對不同的密鑰要采取不同的保護。
    終端密鑰:第一個終端配置惟一的一個二級通信密鑰,并由密鑰安裝人員裝入終端的密碼裝置中。
    主機密鑰:主機要進行各種不同的密碼操作,因此在主機中同時配置主密鑰和基本密鑰。主機還要產生和存儲數據加密密鑰和基本密鑰。
    ②密鑰的保護
    a、密鑰的分配:
    密鑰分配是密鑰管理系統(tǒng)最為復雜的問題,可以采用人工分配,或利用計算機網絡的數據處理和數據傳輸能力實現密鑰分配自動化。
    網絡中密鑰的分配方法有:
    只用會話密鑰:在一個規(guī)模較小的網絡中,只使用一個會話密鑰。
    采用地話和基本密鑰:為了提高保密性,可使用會話密鑰和基本密鑰。
    采用公開密鑰密碼體制的密鑰分配:
    b、密鑰的注入:
    通常采用人工方式。
    C、密鑰的存儲
    d、密鑰的更換
    e、保密裝置
    2、網絡中的存取控制
    存取控制主要通過口令控制、報文鑒別、數字簽名和終端識別等方式來實現。
    (1)鑒別技術。
    又稱為確認或認證。它是證實某人或某事是否名副其實或是否有效的一個過程,用以確保數據的真實性,阻止對手的主動攻擊,如篡改或冒充等。驗證一個主體涉及兩個因素:一個是該主體獨自具有、難以偽造的信息;另一個是可靠地交換信息的方式。
    鑒別往往是許多應用系統(tǒng)中安全保護的第二道防線,利用它可以驗證對方的真實性的報文的真實性。
    鑒別的基本思想,是通過驗證人或事的一個或多個參數的真實性和有效性來達到驗主人或事是否名副其實的目的。鑒別系統(tǒng)的常用參數有口令、標識符、密鑰、信物、指紋、視網紋等。
    目前廣泛應用的是基于密碼的鑒別技術。
    ①用戶身份的鑒別。
    輸入口令字:最簡單、投資最少、最容易實現的一種。
    身份卡
    ②站點鑒別。
    ③報文鑒別
    報文內容的鑒別。
    報文源的鑒別。
    報文宿的鑒別。
    報文時間性的鑒別。
    (2)數字簽名
    當通信雙方發(fā)生下列情況時,必須解決以下安全問題:
    否認,發(fā)送方不承認自己發(fā)送過某一文件。
    偽造,接收方偽造一份文件,聲稱它來自發(fā)送方。
    冒充,網絡上的某個用戶冒充另一個用戶接收或發(fā)送信息。
    篡改,接收方對收到的信息進行篡改。
    為了解決上述問題,需要數字簽名。
    數字簽名:在信息系統(tǒng)中,采用電子形式的簽名,就是數字簽名。
    數字簽名有利于用密碼技術進行,其安全性取決于密碼體制的安全程度,比書面簽名有更高的安全性。
    ①利用單密鑰體制進行數字簽名
    ②利用雙密鑰體制進行數字簽名
    ③仲裁簽名
    3、安全性檢測
    4、有效性檢測
    5、防火墻技術:通過數據濾、應用級網關和代理服務器等方式來實現其功能。
    6、網絡中的通信流分析控制
    7、安全管理
    安全管理有兩層含義:
    (1)保護網絡用戶和網絡資源為被非法使用;
    (2)確保網絡管理系統(tǒng)本身不被未經授權地訪問。
    8、端口管理