ernet a連入 Internet的各企業網絡管理人員來說無疑是一場惡夢。因為大多數公司都有一些
對一家公司來說無疑是一種致命的危險。在 Internet的安全性討論中,人們把對 Internet構 重要的在線信息,如貿易秘密、產品開發計劃市場策略財政分析資料等,泄露這些經濟情報
有意危害 安全的 成的威脅分成兩類:有意造成的危害和無意造成的危害。有三種人:故意破壞者 不遵守規則者
和刺探秘密者( crackers)。故意破壞者企圖通過各種手段去破壞網絡資源與信息,例如涂抹別人的主頁、修改系統配
置,造成系統癱瘓;不遵守規則者企圖訪問不允許他訪問的系統,他可能僅僅是到網中看看,找
非法手段侵人他人系統,以竊取商業秘密與個人資料。出用ー號 些資料,也可能想盜用別人的計算機資源(如CPU時間);刺探秘密者的企圖非常明確,即通過
一些不健康的圖片、文字,或散布不負責任的消息。一些不遵守網絡使用規則的用戶,可能通 除泄露信息對企業網構成威脅之外,還有一種危險是有害信息的侵入。有人在網上傳播
過玩一些電子游戲將病毒帶入系統;輕者造成信息出現錯誤,使得一些應用程序不能使用,嚴
重的將會造成網絡癱瘓。顯然,要設計一個成功的網絡系統,就必須針對網絡安全構成威脅的
各種因素,研究確保網絡信息系統安全的機制。網絡安全機制涉及到網絡安全策略與數據加
密、數字簽名、第三方確認、 Internet I防火墻( Firewall)等安全技術 1.4.2使網給物理上更安全一
物理安全指用以保護網絡計算機硬件和存儲介質的裝置和工作程序。由于計算機和
其它物理物體之間的相似之處,因此網絡物理安全是網絡計算機安全的最重要的方面,這是最
好理解的。
像打字機和家具一樣,計算機也是偷竊者的目標,一張軟盤完全可以裝在口袋里帶走。但
是不同于打字機和家具,計算機偷竊行為所造成的損失可能遠遠超過計算機本身的價值,因
必須采取嚴格的防范措施,以確保計算機設備不會丟失。的內A1D1部國的出
實際上目前有許多確保安全的設備。比如在計算機下面安裝將計算機固定在桌子上的安
全托盤,用高強度電纜在計算機的機箱中穿過等。還有就是要加強計算機機房的管理,如門
衛;出人者身份檢查;下班鎖門以及實施各種硬件安全手段等預防措施。mr
網絡物理安全還包括防止損害計算機,如不要將咖啡濺在磁盤上,不要猛力震動硬盤等
備份( Backups)也是保證安全的一項重要措施。mL路(T)數工1
“備份”的意思是指在另一個地方制作一份拷貝。)這個持貝或備份將保留在一個安全的
方,一且失去原件,就能使用備份。應該有規律地備份以便使用戶避免由于硬件故障導致的
據損失。備份對防衛人為破壞( Human Subverter)也至關重要。如果計算機被偷,數據的惟
的拷貝還在備份上,這是可以在另一臺計算機上恢復的。如果計算機黑客攻破計算機系統
的存在。?int 并抹掉所有文件,備份將能把它們恢復,假定這個計算機黑客確實無法獲得備份或者知道備
但是,備份也是在安全間題。間把它當成的目標,因為備份含有秘密信息的精 全要(2 opsh aoi noine:UA
拷貝。確實,備份給計算機系統提供更大安全性,因為偷竊含有工作數據的介質比偷竊備倒
引人注。廳動是因為命帶被份的損失比由于設備放障失去數據的損失更大。由于備存在安全洞,一些計算機系統允許用戶的持別文件不進行系統備份。這樣的
143制作安全的路層
動程序也不知道它的存在,更別說應用程序了。的、每層加是碼保護最透明的形式。事實上,它常常通過外部加密盒實現,因此,
顧名思義,這種形式的加密是為了保護一個單獨的鏈路。它既有優點也有弱點。優點是
抗流量分析,一種能明智地識別出誰與誰在通信的攻擊。在一定環境 ビ非常強有力,因為(對一定類型的硬件)整個數據包是加密的,包括源地址和目的地址。這能
密,甚至流量的存在性都可以偽裝。
候,仍然會暴露。即使它們也被加器保護起來,報文在交換節點仍容易受到傷害。關鍵看敵 然而,鏈路加密有一個嚴重的弱點:它一次只能保護一個鏈路。報文在通過其他鏈路的時
人是誰,這可能成為一個嚴重的缺陷。如果希望嚴密保護本地通信(即在共享的同軸電纜上)或保護少量極脆弱的線路,應選擇
鏈路加密。
衛星線路是一個典型的例子,因為跨洋電纜線路隨時可以切換為基于衛星的備用線路。
1.4.4網絡層安全很重要 日全支
對 Internet層的安全協議進行標準化的想法早就有了。在過去十年里,已經提出了一些
方案。例如,“安全協議3號(SP3)”就是美國國家安全局以及標準技術協會作為“安全數據網
絡系統(SDNS)"的一部分而制定的。“網絡層安全協議(NLSP)"是由國際標準化組織為“無連
所提出的包括P和CLNP在內的統一安全機制。 Swipe是另一個 Internet,層的安全協議,由 接網絡協議(CLNP)"制定的安全協議標準。“集成化NLSP(IーNLSP)”是美國國家科技研究
Toannidis和 Blaze提出并實現原型。所有這些提案的共同點多于不同點。事實上,他們用的
都是IP封裝技術。其本質是,純文本的包被加密,封裝在外層的IP報頭里,用來對加密的
到收報地 包進行 Internet上的路由選擇。到達另一端時,外層的IP報頭被拆開,報文被解密,然后送
(IPSP)和對應的 Internet密鑰管理協議(IKMP)進行標準化工作。IPSP的主要目的是使需要 Internet工程特組(IETF)已經特許 Internet s安全協議( IPSEC)工作組對1P安全協議
安全措施的用戶能夠使用相應的加密安全體制。該體制不僅能在目前通行的IP(IPv4)下工
作,也能在IP的新版本(IPng或IPv6)下工作。該體制應該是與算法無關的,即使加密算法
替換了,也不對其它部分的實現產生影響。此外,該體制必須能實行多種安全政策,但要避
免給不使用該體制的人造成不利影響。按照這些要求, IPSEC工作組制訂了一個規范:認證
盲之,AH提供IP包的真實性和完整性,ESP提供機要內容。引人注。廳動是因為命帶被份的損失比由于設備放障失去數據的損失更大。由于備存在安全洞,一些計算機系統允許用戶的持別文件不進行系統備份。這樣的
143制作安全的路層
動程序也不知道它的存在,更別說應用程序了。的、每層加是碼保護最透明的形式。事實上,它常常通過外部加密盒實現,因此,
顧名思義,這種形式的加密是為了保護一個單獨的鏈路。它既有優點也有弱點。優點是
抗流量分析,一種能明智地識別出誰與誰在通信的攻擊。在一定環境 ビ非常強有力,因為(對一定類型的硬件)整個數據包是加密的,包括源地址和目的地址。這能
密,甚至流量的存在性都可以偽裝。
候,仍然會暴露。即使它們也被加器保護起來,報文在交換節點仍容易受到傷害。關鍵看敵 然而,鏈路加密有一個嚴重的弱點:它一次只能保護一個鏈路。報文在通過其他鏈路的時
人是誰,這可能成為一個嚴重的缺陷。如果希望嚴密保護本地通信(即在共享的同軸電纜上)或保護少量極脆弱的線路,應選擇
鏈路加密。
衛星線路是一個典型的例子,因為跨洋電纜線路隨時可以切換為基于衛星的備用線路。
1.4.4網絡層安全很重要 日全支
對 Internet層的安全協議進行標準化的想法早就有了。在過去十年里,已經提出了一些
方案。例如,“安全協議3號(SP3)”就是美國國家安全局以及標準技術協會作為“安全數據網
絡系統(SDNS)"的一部分而制定的。“網絡層安全協議(NLSP)"是由國際標準化組織為“無連
所提出的包括P和CLNP在內的統一安全機制。 Swipe是另一個 Internet,層的安全協議,由 接網絡協議(CLNP)"制定的安全協議標準。“集成化NLSP(IーNLSP)”是美國國家科技研究
Toannidis和 Blaze提出并實現原型。所有這些提案的共同點多于不同點。事實上,他們用的
都是IP封裝技術。其本質是,純文本的包被加密,封裝在外層的IP報頭里,用來對加密的
到收報地 包進行 Internet上的路由選擇。到達另一端時,外層的IP報頭被拆開,報文被解密,然后送
(IPSP)和對應的 Internet密鑰管理協議(IKMP)進行標準化工作。IPSP的主要目的是使需要 Internet工程特組(IETF)已經特許 Internet s安全協議( IPSEC)工作組對1P安全協議
安全措施的用戶能夠使用相應的加密安全體制。該體制不僅能在目前通行的IP(IPv4)下工
作,也能在IP的新版本(IPng或IPv6)下工作。該體制應該是與算法無關的,即使加密算法
替換了,也不對其它部分的實現產生影響。此外,該體制必須能實行多種安全政策,但要避
免給不使用該體制的人造成不利影響。按照這些要求, IPSEC工作組制訂了一個規范:認證
盲之,AH提供IP包的真實性和完整性,ESP提供機要內容。頭AH( Authentication Header)和封裝安全有效負荷ESP( Encapsulating Security Payload)。簡
IPAH指一段消息認證代碼MAC( Message Authentication Code),在發送IP包之前,它引人注。廳動是因為命帶被份的損失比由于設備放障失去數據的損失更大。由于備存在安全洞,一些計算機系統允許用戶的持別文件不進行系統備份。這樣的
143制作安全的路層
動程序也不知道它的存在,更別說應用程序了。的、每層加是碼保護最透明的形式。事實上,它常常通過外部加密盒實現,因此,
顧名思義,這種形式的加密是為了保護一個單獨的鏈路。它既有優點也有弱點。優點是
抗流量分析,一種能明智地識別出誰與誰在通信的攻擊。在一定環境 ビ非常強有力,因為(對一定類型的硬件)整個數據包是加密的,包括源地址和目的地址。這能
密,甚至流量的存在性都可以偽裝。
候,仍然會暴露。即使它們也被加器保護起來,報文在交換節點仍容易受到傷害。關鍵看敵 然而,鏈路加密有一個嚴重的弱點:它一次只能保護一個鏈路。報文在通過其他鏈路的時
人是誰,這可能成為一個嚴重的缺陷。如果希望嚴密保護本地通信(即在共享的同軸電纜上)或保護少量極脆弱的線路,應選擇
鏈路加密。
衛星線路是一個典型的例子,因為跨洋電纜線路隨時可以切換為基于衛星的備用線路。
1.4.4網絡層安全很重要 日全支
對 Internet層的安全協議進行標準化的想法早就有了。在過去十年里,已經提出了一些
方案。例如,“安全協議3號(SP3)”就是美國國家安全局以及標準技術協會作為“安全數據網
絡系統(SDNS)"的一部分而制定的。“網絡層安全協議(NLSP)"是由國際標準化組織為“無連
所提出的包括P和CLNP在內的統一安全機制。 Swipe是另一個 Internet,層的安全協議,由 接網絡協議(CLNP)"制定的安全協議標準。“集成化NLSP(IーNLSP)”是美國國家科技研究
Toannidis和 Blaze提出并實現原型。所有這些提案的共同點多于不同點。事實上,他們用的
都是IP封裝技術。其本質是,純文本的包被加密,封裝在外層的IP報頭里,用來對加密的
到收報地 包進行 Internet上的路由選擇。到達另一端時,外層的IP報頭被拆開,報文被解密,然后送
(IPSP)和對應的 Internet密鑰管理協議(IKMP)進行標準化工作。IPSP的主要目的是使需要 Internet工程特組(IETF)已經特許 Internet s安全協議( IPSEC)工作組對1P安全協議
安全措施的用戶能夠使用相應的加密安全體制。該體制不僅能在目前通行的IP(IPv4)下工
作,也能在IP的新版本(IPng或IPv6)下工作。該體制應該是與算法無關的,即使加密算法
替換了,也不對其它部分的實現產生影響。此外,該體制必須能實行多種安全政策,但要避
免給不使用該體制的人造成不利影響。按照這些要求, IPSEC工作組制訂了一個規范:認證
盲之,AH提供IP包的真實性和完整性,ESP提供機要內容。頭AH( Authentication Header)和封裝安全有效負荷ESP( Encapsulating Security Payload)。簡
IPAH指一段消息認證代碼MAC( Message Authentication Code),在發送IP包之前,它頭AH( Authentication Header)和封裝安全有效負荷ESP( Encapsulating Security Payload)。簡
IPAH指一段消息認證代碼MAC( Message Authentication Code),網站制作在發送IP包之前,它
本文地址:http://murenxiang.com.cn//article/3701.html
