ernet a連入 Internet的各企業(yè)網(wǎng)絡(luò)管理人員來(lái)說(shuō)無(wú)疑是一場(chǎng)惡夢(mèng)。因?yàn)榇蠖鄶?shù)公司都有一些
對(duì)一家公司來(lái)說(shuō)無(wú)疑是一種致命的危險(xiǎn)。在 Internet的安全性討論中,人們把對(duì) Internet構(gòu) 重要的在線信息,如貿(mào)易秘密、產(chǎn)品開(kāi)發(fā)計(jì)劃市場(chǎng)策略財(cái)政分析資料等,泄露這些經(jīng)濟(jì)情報(bào)
有意危害 安全的 成的威脅分成兩類:有意造成的危害和無(wú)意造成的危害。有三種人:故意破壞者 不遵守規(guī)則者
和刺探秘密者( crackers)。故意破壞者企圖通過(guò)各種手段去破壞網(wǎng)絡(luò)資源與信息,例如涂抹別人的主頁(yè)、修改系統(tǒng)配
置,造成系統(tǒng)癱瘓;不遵守規(guī)則者企圖訪問(wèn)不允許他訪問(wèn)的系統(tǒng),他可能僅僅是到網(wǎng)中看看,找
非法手段侵人他人系統(tǒng),以竊取商業(yè)秘密與個(gè)人資料。出用ー號(hào) 些資料,也可能想盜用別人的計(jì)算機(jī)資源(如CPU時(shí)間);刺探秘密者的企圖非常明確,即通過(guò)
一些不健康的圖片、文字,或散布不負(fù)責(zé)任的消息。一些不遵守網(wǎng)絡(luò)使用規(guī)則的用戶,可能通 除泄露信息對(duì)企業(yè)網(wǎng)構(gòu)成威脅之外,還有一種危險(xiǎn)是有害信息的侵入。有人在網(wǎng)上傳播
過(guò)玩一些電子游戲?qū)⒉《編胂到y(tǒng);輕者造成信息出現(xiàn)錯(cuò)誤,使得一些應(yīng)用程序不能使用,嚴(yán)
重的將會(huì)造成網(wǎng)絡(luò)癱瘓。顯然,要設(shè)計(jì)一個(gè)成功的網(wǎng)絡(luò)系統(tǒng),就必須針對(duì)網(wǎng)絡(luò)安全構(gòu)成威脅的
各種因素,研究確保網(wǎng)絡(luò)信息系統(tǒng)安全的機(jī)制。網(wǎng)絡(luò)安全機(jī)制涉及到網(wǎng)絡(luò)安全策略與數(shù)據(jù)加
密、數(shù)字簽名、第三方確認(rèn)、 Internet I防火墻( Firewall)等安全技術(shù) 1.4.2使網(wǎng)給物理上更安全一
物理安全指用以保護(hù)網(wǎng)絡(luò)計(jì)算機(jī)硬件和存儲(chǔ)介質(zhì)的裝置和工作程序。由于計(jì)算機(jī)和
其它物理物體之間的相似之處,因此網(wǎng)絡(luò)物理安全是網(wǎng)絡(luò)計(jì)算機(jī)安全的最重要的方面,這是最
好理解的。
像打字機(jī)和家具一樣,計(jì)算機(jī)也是偷竊者的目標(biāo),一張軟盤完全可以裝在口袋里帶走。但
是不同于打字機(jī)和家具,計(jì)算機(jī)偷竊行為所造成的損失可能遠(yuǎn)遠(yuǎn)超過(guò)計(jì)算機(jī)本身的價(jià)值,因
必須采取嚴(yán)格的防范措施,以確保計(jì)算機(jī)設(shè)備不會(huì)丟失。的內(nèi)A1D1部國(guó)的出
實(shí)際上目前有許多確保安全的設(shè)備。比如在計(jì)算機(jī)下面安裝將計(jì)算機(jī)固定在桌子上的安
全托盤,用高強(qiáng)度電纜在計(jì)算機(jī)的機(jī)箱中穿過(guò)等。還有就是要加強(qiáng)計(jì)算機(jī)機(jī)房的管理,如門
衛(wèi);出人者身份檢查;下班鎖門以及實(shí)施各種硬件安全手段等預(yù)防措施。mr
網(wǎng)絡(luò)物理安全還包括防止損害計(jì)算機(jī),如不要將咖啡濺在磁盤上,不要猛力震動(dòng)硬盤等
備份( Backups)也是保證安全的一項(xiàng)重要措施。mL路(T)數(shù)工1
“備份”的意思是指在另一個(gè)地方制作一份拷貝。)這個(gè)持貝或備份將保留在一個(gè)安全的
方,一且失去原件,就能使用備份。應(yīng)該有規(guī)律地備份以便使用戶避免由于硬件故障導(dǎo)致的
據(jù)損失。備份對(duì)防衛(wèi)人為破壞( Human Subverter)也至關(guān)重要。如果計(jì)算機(jī)被偷,數(shù)據(jù)的惟
的拷貝還在備份上,這是可以在另一臺(tái)計(jì)算機(jī)上恢復(fù)的。如果計(jì)算機(jī)黑客攻破計(jì)算機(jī)系統(tǒng)
的存在。?int 并抹掉所有文件,備份將能把它們恢復(fù),假定這個(gè)計(jì)算機(jī)黑客確實(shí)無(wú)法獲得備份或者知道備
但是,備份也是在安全間題。間把它當(dāng)成的目標(biāo),因?yàn)閭浞莺忻孛苄畔⒌木?全要(2 opsh aoi noine:UA
拷貝。確實(shí),備份給計(jì)算機(jī)系統(tǒng)提供更大安全性,因?yàn)橥蹈`含有工作數(shù)據(jù)的介質(zhì)比偷竊備倒
引人注。廳動(dòng)是因?yàn)槊鼛П环莸膿p失比由于設(shè)備放障失去數(shù)據(jù)的損失更大。由于備存在安全洞,一些計(jì)算機(jī)系統(tǒng)允許用戶的持別文件不進(jìn)行系統(tǒng)備份。這樣的
143制作安全的路層
動(dòng)程序也不知道它的存在,更別說(shuō)應(yīng)用程序了。的、每層加是碼保護(hù)最透明的形式。事實(shí)上,它常常通過(guò)外部加密盒實(shí)現(xiàn),因此,
顧名思義,這種形式的加密是為了保護(hù)一個(gè)單獨(dú)的鏈路。它既有優(yōu)點(diǎn)也有弱點(diǎn)。優(yōu)點(diǎn)是
抗流量分析,一種能明智地識(shí)別出誰(shuí)與誰(shuí)在通信的攻擊。在一定環(huán)境 ビ非常強(qiáng)有力,因?yàn)?對(duì)一定類型的硬件)整個(gè)數(shù)據(jù)包是加密的,包括源地址和目的地址。這能
密,甚至流量的存在性都可以偽裝。
候,仍然會(huì)暴露。即使它們也被加器保護(hù)起來(lái),報(bào)文在交換節(jié)點(diǎn)仍容易受到傷害。關(guān)鍵看敵 然而,鏈路加密有一個(gè)嚴(yán)重的弱點(diǎn):它一次只能保護(hù)一個(gè)鏈路。報(bào)文在通過(guò)其他鏈路的時(shí)
人是誰(shuí),這可能成為一個(gè)嚴(yán)重的缺陷。如果希望嚴(yán)密保護(hù)本地通信(即在共享的同軸電纜上)或保護(hù)少量極脆弱的線路,應(yīng)選擇
鏈路加密。
衛(wèi)星線路是一個(gè)典型的例子,因?yàn)榭缪箅娎|線路隨時(shí)可以切換為基于衛(wèi)星的備用線路。
1.4.4網(wǎng)絡(luò)層安全很重要 日全支
對(duì) Internet層的安全協(xié)議進(jìn)行標(biāo)準(zhǔn)化的想法早就有了。在過(guò)去十年里,已經(jīng)提出了一些
方案。例如,“安全協(xié)議3號(hào)(SP3)”就是美國(guó)國(guó)家安全局以及標(biāo)準(zhǔn)技術(shù)協(xié)會(huì)作為“安全數(shù)據(jù)網(wǎng)
絡(luò)系統(tǒng)(SDNS)"的一部分而制定的。“網(wǎng)絡(luò)層安全協(xié)議(NLSP)"是由國(guó)際標(biāo)準(zhǔn)化組織為“無(wú)連
所提出的包括P和CLNP在內(nèi)的統(tǒng)一安全機(jī)制。 Swipe是另一個(gè) Internet,層的安全協(xié)議,由 接網(wǎng)絡(luò)協(xié)議(CLNP)"制定的安全協(xié)議標(biāo)準(zhǔn)。“集成化NLSP(IーNLSP)”是美國(guó)國(guó)家科技研究
Toannidis和 Blaze提出并實(shí)現(xiàn)原型。所有這些提案的共同點(diǎn)多于不同點(diǎn)。事實(shí)上,他們用的
都是IP封裝技術(shù)。其本質(zhì)是,純文本的包被加密,封裝在外層的IP報(bào)頭里,用來(lái)對(duì)加密的
到收?qǐng)?bào)地 包進(jìn)行 Internet上的路由選擇。到達(dá)另一端時(shí),外層的IP報(bào)頭被拆開(kāi),報(bào)文被解密,然后送
(IPSP)和對(duì)應(yīng)的 Internet密鑰管理協(xié)議(IKMP)進(jìn)行標(biāo)準(zhǔn)化工作。IPSP的主要目的是使需要 Internet工程特組(IETF)已經(jīng)特許 Internet s安全協(xié)議( IPSEC)工作組對(duì)1P安全協(xié)議
安全措施的用戶能夠使用相應(yīng)的加密安全體制。該體制不僅能在目前通行的IP(IPv4)下工
作,也能在IP的新版本(IPng或IPv6)下工作。該體制應(yīng)該是與算法無(wú)關(guān)的,即使加密算法
替換了,也不對(duì)其它部分的實(shí)現(xiàn)產(chǎn)生影響。此外,該體制必須能實(shí)行多種安全政策,但要避
免給不使用該體制的人造成不利影響。按照這些要求, IPSEC工作組制訂了一個(gè)規(guī)范:認(rèn)證
盲之,AH提供IP包的真實(shí)性和完整性,ESP提供機(jī)要內(nèi)容。引人注。廳動(dòng)是因?yàn)槊鼛П环莸膿p失比由于設(shè)備放障失去數(shù)據(jù)的損失更大。由于備存在安全洞,一些計(jì)算機(jī)系統(tǒng)允許用戶的持別文件不進(jìn)行系統(tǒng)備份。這樣的
143制作安全的路層
動(dòng)程序也不知道它的存在,更別說(shuō)應(yīng)用程序了。的、每層加是碼保護(hù)最透明的形式。事實(shí)上,它常常通過(guò)外部加密盒實(shí)現(xiàn),因此,
顧名思義,這種形式的加密是為了保護(hù)一個(gè)單獨(dú)的鏈路。它既有優(yōu)點(diǎn)也有弱點(diǎn)。優(yōu)點(diǎn)是
抗流量分析,一種能明智地識(shí)別出誰(shuí)與誰(shuí)在通信的攻擊。在一定環(huán)境 ビ非常強(qiáng)有力,因?yàn)?對(duì)一定類型的硬件)整個(gè)數(shù)據(jù)包是加密的,包括源地址和目的地址。這能
密,甚至流量的存在性都可以偽裝。
候,仍然會(huì)暴露。即使它們也被加器保護(hù)起來(lái),報(bào)文在交換節(jié)點(diǎn)仍容易受到傷害。關(guān)鍵看敵 然而,鏈路加密有一個(gè)嚴(yán)重的弱點(diǎn):它一次只能保護(hù)一個(gè)鏈路。報(bào)文在通過(guò)其他鏈路的時(shí)
人是誰(shuí),這可能成為一個(gè)嚴(yán)重的缺陷。如果希望嚴(yán)密保護(hù)本地通信(即在共享的同軸電纜上)或保護(hù)少量極脆弱的線路,應(yīng)選擇
鏈路加密。
衛(wèi)星線路是一個(gè)典型的例子,因?yàn)榭缪箅娎|線路隨時(shí)可以切換為基于衛(wèi)星的備用線路。
1.4.4網(wǎng)絡(luò)層安全很重要 日全支
對(duì) Internet層的安全協(xié)議進(jìn)行標(biāo)準(zhǔn)化的想法早就有了。在過(guò)去十年里,已經(jīng)提出了一些
方案。例如,“安全協(xié)議3號(hào)(SP3)”就是美國(guó)國(guó)家安全局以及標(biāo)準(zhǔn)技術(shù)協(xié)會(huì)作為“安全數(shù)據(jù)網(wǎng)
絡(luò)系統(tǒng)(SDNS)"的一部分而制定的。“網(wǎng)絡(luò)層安全協(xié)議(NLSP)"是由國(guó)際標(biāo)準(zhǔn)化組織為“無(wú)連
所提出的包括P和CLNP在內(nèi)的統(tǒng)一安全機(jī)制。 Swipe是另一個(gè) Internet,層的安全協(xié)議,由 接網(wǎng)絡(luò)協(xié)議(CLNP)"制定的安全協(xié)議標(biāo)準(zhǔn)。“集成化NLSP(IーNLSP)”是美國(guó)國(guó)家科技研究
Toannidis和 Blaze提出并實(shí)現(xiàn)原型。所有這些提案的共同點(diǎn)多于不同點(diǎn)。事實(shí)上,他們用的
都是IP封裝技術(shù)。其本質(zhì)是,純文本的包被加密,封裝在外層的IP報(bào)頭里,用來(lái)對(duì)加密的
到收?qǐng)?bào)地 包進(jìn)行 Internet上的路由選擇。到達(dá)另一端時(shí),外層的IP報(bào)頭被拆開(kāi),報(bào)文被解密,然后送
(IPSP)和對(duì)應(yīng)的 Internet密鑰管理協(xié)議(IKMP)進(jìn)行標(biāo)準(zhǔn)化工作。IPSP的主要目的是使需要 Internet工程特組(IETF)已經(jīng)特許 Internet s安全協(xié)議( IPSEC)工作組對(duì)1P安全協(xié)議
安全措施的用戶能夠使用相應(yīng)的加密安全體制。該體制不僅能在目前通行的IP(IPv4)下工
作,也能在IP的新版本(IPng或IPv6)下工作。該體制應(yīng)該是與算法無(wú)關(guān)的,即使加密算法
替換了,也不對(duì)其它部分的實(shí)現(xiàn)產(chǎn)生影響。此外,該體制必須能實(shí)行多種安全政策,但要避
免給不使用該體制的人造成不利影響。按照這些要求, IPSEC工作組制訂了一個(gè)規(guī)范:認(rèn)證
盲之,AH提供IP包的真實(shí)性和完整性,ESP提供機(jī)要內(nèi)容。頭AH( Authentication Header)和封裝安全有效負(fù)荷ESP( Encapsulating Security Payload)。簡(jiǎn)
IPAH指一段消息認(rèn)證代碼MAC( Message Authentication Code),在發(fā)送IP包之前,它引人注。廳動(dòng)是因?yàn)槊鼛П环莸膿p失比由于設(shè)備放障失去數(shù)據(jù)的損失更大。由于備存在安全洞,一些計(jì)算機(jī)系統(tǒng)允許用戶的持別文件不進(jìn)行系統(tǒng)備份。這樣的
143制作安全的路層
動(dòng)程序也不知道它的存在,更別說(shuō)應(yīng)用程序了。的、每層加是碼保護(hù)最透明的形式。事實(shí)上,它常常通過(guò)外部加密盒實(shí)現(xiàn),因此,
顧名思義,這種形式的加密是為了保護(hù)一個(gè)單獨(dú)的鏈路。它既有優(yōu)點(diǎn)也有弱點(diǎn)。優(yōu)點(diǎn)是
抗流量分析,一種能明智地識(shí)別出誰(shuí)與誰(shuí)在通信的攻擊。在一定環(huán)境 ビ非常強(qiáng)有力,因?yàn)?對(duì)一定類型的硬件)整個(gè)數(shù)據(jù)包是加密的,包括源地址和目的地址。這能
密,甚至流量的存在性都可以偽裝。
候,仍然會(huì)暴露。即使它們也被加器保護(hù)起來(lái),報(bào)文在交換節(jié)點(diǎn)仍容易受到傷害。關(guān)鍵看敵 然而,鏈路加密有一個(gè)嚴(yán)重的弱點(diǎn):它一次只能保護(hù)一個(gè)鏈路。報(bào)文在通過(guò)其他鏈路的時(shí)
人是誰(shuí),這可能成為一個(gè)嚴(yán)重的缺陷。如果希望嚴(yán)密保護(hù)本地通信(即在共享的同軸電纜上)或保護(hù)少量極脆弱的線路,應(yīng)選擇
鏈路加密。
衛(wèi)星線路是一個(gè)典型的例子,因?yàn)榭缪箅娎|線路隨時(shí)可以切換為基于衛(wèi)星的備用線路。
1.4.4網(wǎng)絡(luò)層安全很重要 日全支
對(duì) Internet層的安全協(xié)議進(jìn)行標(biāo)準(zhǔn)化的想法早就有了。在過(guò)去十年里,已經(jīng)提出了一些
方案。例如,“安全協(xié)議3號(hào)(SP3)”就是美國(guó)國(guó)家安全局以及標(biāo)準(zhǔn)技術(shù)協(xié)會(huì)作為“安全數(shù)據(jù)網(wǎng)
絡(luò)系統(tǒng)(SDNS)"的一部分而制定的。“網(wǎng)絡(luò)層安全協(xié)議(NLSP)"是由國(guó)際標(biāo)準(zhǔn)化組織為“無(wú)連
所提出的包括P和CLNP在內(nèi)的統(tǒng)一安全機(jī)制。 Swipe是另一個(gè) Internet,層的安全協(xié)議,由 接網(wǎng)絡(luò)協(xié)議(CLNP)"制定的安全協(xié)議標(biāo)準(zhǔn)。“集成化NLSP(IーNLSP)”是美國(guó)國(guó)家科技研究
Toannidis和 Blaze提出并實(shí)現(xiàn)原型。所有這些提案的共同點(diǎn)多于不同點(diǎn)。事實(shí)上,他們用的
都是IP封裝技術(shù)。其本質(zhì)是,純文本的包被加密,封裝在外層的IP報(bào)頭里,用來(lái)對(duì)加密的
到收?qǐng)?bào)地 包進(jìn)行 Internet上的路由選擇。到達(dá)另一端時(shí),外層的IP報(bào)頭被拆開(kāi),報(bào)文被解密,然后送
(IPSP)和對(duì)應(yīng)的 Internet密鑰管理協(xié)議(IKMP)進(jìn)行標(biāo)準(zhǔn)化工作。IPSP的主要目的是使需要 Internet工程特組(IETF)已經(jīng)特許 Internet s安全協(xié)議( IPSEC)工作組對(duì)1P安全協(xié)議
安全措施的用戶能夠使用相應(yīng)的加密安全體制。該體制不僅能在目前通行的IP(IPv4)下工
作,也能在IP的新版本(IPng或IPv6)下工作。該體制應(yīng)該是與算法無(wú)關(guān)的,即使加密算法
替換了,也不對(duì)其它部分的實(shí)現(xiàn)產(chǎn)生影響。此外,該體制必須能實(shí)行多種安全政策,但要避
免給不使用該體制的人造成不利影響。按照這些要求, IPSEC工作組制訂了一個(gè)規(guī)范:認(rèn)證
盲之,AH提供IP包的真實(shí)性和完整性,ESP提供機(jī)要內(nèi)容。頭AH( Authentication Header)和封裝安全有效負(fù)荷ESP( Encapsulating Security Payload)。簡(jiǎn)
IPAH指一段消息認(rèn)證代碼MAC( Message Authentication Code),在發(fā)送IP包之前,它頭AH( Authentication Header)和封裝安全有效負(fù)荷ESP( Encapsulating Security Payload)。簡(jiǎn)
IPAH指一段消息認(rèn)證代碼MAC( Message Authentication Code),網(wǎng)站制作在發(fā)送IP包之前,它
本文地址:http://blackside-inc.com//article/3701.html
