5 ä¹, 2006

网络安全å¨èƒå’Œå®‰å…¨æœåŠ¡

作者 adrianyang 12:11 | Permalink é™æ€é“¾æŽ¥ç½‘å€ | Comments æœ€æ–°å›žå¤ (0) | Trackback 引用 (0) | 技术类

所谓安全å¨èƒæ˜¯æŒ‡æŸä¸ªäººã€ç‰©ã€äº‹ä»¶æˆ–概念对æŸä¸€èµ„æºçš„机密性ã€å®Œæ•´æ€§ã€å¯ç”¨æ€§æˆ–åˆæ³•ä½¿ç”¨æ‰€é€ æˆçš„å±å®³ã€‚从计算机信æ¯ç³»ç»Ÿçš„角度æ¥è®²ï¼Œä¸»è¦é¢ä¸´å¦‚下4个基本的安全å¨èƒã€‚
(1) ä¿¡æ¯æ³„露: ä¿¡æ¯è¢«æ³„露或é€éœ²ç»™æŸä¸ªæœªæŽˆæƒçš„实体。
(2) 完整性破å: æ•°æ®çš„一致性通过未授æƒçš„创建ã€ä¿®æ”¹æˆ–ç ´å而å—到æŸå。
(3) æ‹’ç»æœåŠ¡: 对信æ¯æˆ–其他资æºçš„åˆæ³•è®¿é—®è¢«æ— æ¡ä»¶çš„阻止。

(4) éžæ³•ä½¿ç”¨: æŸä¸€èµ„æºè¢«æŸä¸ªæœªæŽˆæƒçš„人或以æŸä¸€ç§æœªæŽˆæƒçš„æ–¹å¼ä½¿ç”¨ã€‚
网络系统的概念涵盖了与计算机系统互连相关的软硬件等一切设施。我们将所有通过网络系统实施的,或针对网络系统本身的安全å¨èƒç§°ä¸ºç½‘络安全å¨èƒã€‚网络安全å¨èƒåŒ…å«çš„范围很广,因为许多针对计算机系统内部的安全å¨èƒä¹Ÿè¶Šæ¥è¶Šå¤šåœ°æ˜¯é€šè¿‡ç½‘络系统å‘起的,人们一说到安全å¨èƒï¼Œå¤§å¤šæŒ‡çš„就是网络安全å¨èƒã€‚网络安全å¨èƒå¯ä»¥ä»Žå¦‚下角度划分æˆ3大类。
◠针对数æ®ä¼ è¾“çš„å¨èƒ: 会导致基本å¨èƒ(1) å’Œ(2) ,例如数æ®ä¿¡æ¯çš„窃å¬ã€æ•°æ®ä¿¡æ¯çš„篡改ã€æ•°æ®ä¼ è¾“的抵赖ã€ä¸­é—´äººæ”»å‡»ï¼Œç­‰ç­‰ã€‚
◠针对网络å议栈本身设计æ¼æ´žçš„å¨èƒ: 会导致基本å¨èƒ(3) ,例如地å€æ¬ºéª—攻击ã€Ping攻击ã€SYN攻击,等等。
◠以网络系统为通é“的计算机系统内部å¨èƒ: ä¸ç ´å网络系统,仅仅是借助网络系统æ¥å¯¹è®¡ç®—机内部系统进行éžæ³•çš„æ•°æ®èŽ·å–或修改,会导致基本å¨èƒ(1) ã€(2) å’Œ(4) ,例如æ—路控制ã€ç‰¹æ´›ä¼Šæœ¨é©¬ã€æŽˆæƒä¾µçŠ¯ï¼Œç­‰ç­‰ã€‚
é¢å¯¹å¦‚此众多的网络安全å¨èƒï¼Œä»»ä½•ä¿¡æ¯ç³»ç»Ÿéƒ½éœ€è¦é‡‡å–å¿…è¦çš„安全防护措施,甚至应该包括必è¦çš„安全检测和å“应措施,我们把这些主è¦çš„网络安全措施称作网络安全æœåŠ¡ã€‚以下是几ç§é€šç”¨çš„网络安全æœåŠ¡ã€‚
◠认è¯æœåŠ¡: æä¾›æŸä¸ªå®žä½“的身份ä¿è¯ã€‚
◠访问控制æœåŠ¡: ä¿æŠ¤èµ„æºä»¥å…对其进行éžæ³•ä½¿ç”¨å’Œæ“纵。
â— æ•°æ®æœºå¯†æ€§æœåŠ¡: ä¿æŠ¤ä¿¡æ¯ä¸è¢«æ³„露或暴露给未授æƒçš„实体。
â— æ•°æ®å®Œæ•´æ€§æœåŠ¡: ä¿æŠ¤æ•°æ®ä»¥é˜²æ­¢æœªæŽˆæƒçš„改å˜ã€åˆ é™¤æˆ–替代。
â— éžå¦è®¤æœåŠ¡: 防止å‚与æŸæ¬¡é€šä¿¡äº¤æ¢çš„一方事åŽå¦è®¤æœ¬æ¬¡äº¤æ¢æ›¾ç»å‘生过。
◠网络安全检测æœåŠ¡: 对系统的è¿è¡ŒçŠ¶æ€è¿›è¡Œç›‘视,å‘现å„ç§æ”»å‡»ä¼å›¾ã€æ”»å‡»è¡Œä¸ºæˆ–者攻击结果。
◠审计æœåŠ¡: 对系统记录和过程的检查和审查,å助攻击的分æžï¼Œæ”¶é›†è¯æ®ä»¥ç”¨äºŽèµ·è¯‰æ”»å‡»è€…。
◠攻击监控和报警å“应æœåŠ¡: 对攻击事件的监视与控制,æ供对攻击事件的报警与å“应。
å„ç§å®‰å…¨æœåŠ¡æ˜¯æœ‰ä¸€å®šçš„针对性的,例如认è¯æœåŠ¡ç”¨æ¥é˜²æ­¢å‡å†’攻击,数æ®æœºå¯†æ€§æœåŠ¡ç”¨æ¥é˜²æ­¢æ•°æ®ä¿¡æ¯æ³„露。åŒæ—¶å„ç§å®‰å…¨æœåŠ¡ä¹‹é—´å­˜åœ¨ç€ååŒå…³ç³»ï¼Œå•ç‹¬ä¸€ç§å®‰å…¨æœåŠ¡å¹¶ä¸ä¸€å®šèƒ½å¤Ÿé˜²æ­¢æŸäº›å®‰å…¨å¨èƒçš„å‘生,例如访问控制æœåŠ¡éœ€è¦è®¤è¯æœåŠ¡çš„é…åˆï¼Œæœ‰æ—¶ä¹Ÿéœ€è¦æ•°æ®æœºå¯†æ€§å’Œå®Œæ•´æ€§æœåŠ¡çš„支æŒã€‚在安全防护æœåŠ¡æœªèƒ½é˜»æ­¢å¯¹ç³»ç»Ÿçš„入侵攻击时,还需è¦æœ‰å®‰å…¨æ£€æµ‹ã€å®¡è®¡å’ŒæŠ¥è­¦æœåŠ¡æ¥è¿›è¡ŒåŽç»­å¤„ç†ã€‚因此对系统æ供全é¢å®‰å…¨ä¿æŠ¤ï¼Œé˜²æ­¢å½¢å½¢è‰²è‰²ä¸”ä¸æ–­å¢žé•¿çš„安全å¨èƒçš„å‘生,是系统中多ç§å®‰å…¨æœåŠ¡ç»¼åˆä½œç”¨çš„结果。
网络体系结构的分层特性使得安全æœåŠ¡çš„é…置较为å¤æ‚。å议分层导致了数æ®é¡¹åµŒåœ¨äº†æ•°æ®é¡¹ä¸­ï¼Œè¿žæŽ¥ä¹‹ä¸­æœ‰è¿žæŽ¥ï¼Œæ½œåœ¨åœ°å½¢æˆå¤šé‡åµŒå¥—。严格地说,å议栈中的æ¯ä¸€å±‚和它的对等å议层构æˆäº†ä¸€ä¸ªç›¸å¯¹ç‹¬ç«‹çš„ä¿¡æ¯å­ç³»ç»Ÿï¼Œæ¯ä¸ªä¿¡æ¯å­ç³»ç»Ÿéƒ½æœ‰è‡ªå·±çš„主体和客体,应该通过æä¾›æŸäº›å®‰å…¨æœåŠ¡æ¥å®žçŽ°è‡ªèº«çš„安全性。但是如果在æ¯ä¸€å±‚都æ供相åŒçš„安全æœåŠ¡ï¼Œå°±ä¼šé€ æˆåŠŸèƒ½çš„é‡å¤ä¸Žæµªè´¹ã€‚一个åˆç†çš„æ€è·¯æ˜¯ï¼ŒæŒ‰ç…§ä¸åŒçš„安全需求,在ä¸åŒçš„å议层中设置相应的安全æœåŠ¡ï¼Œä½¿å¾—å„层之间的安全æœåŠ¡èƒ½å¤ŸååŒå·¥ä½œï¼Œä»Žè€Œè¾¾åˆ°ç½‘络系统的整体安全性。
基于实际网络中的安全实现,我们一般å¯ä»¥å°†OSIçš„7层模型划分æˆæ›´åŠ ç®€å•å’Œæ›´åŠ å®žç”¨çš„4个基本的安全结构级,它们是应用级ã€ç«¯ç³»ç»Ÿçº§ã€å­ç½‘络级和直接链路级。

实施网络安全æœåŠ¡çš„机制称为网络安全机制。网络安全机制ç§ç±»å¾ˆå¤šï¼Œä¾‹å¦‚加密ã€æ•°å­—ç­¾åã€è®¿é—®æŽ§åˆ¶ã€æ•°æ®å®Œæ•´æ€§ã€è®¤è¯äº¤æ¢ã€ä¸šåŠ¡æµå¡«å……ã€è·¯ç”±æŽ§åˆ¶ã€å…¬è¯ï¼Œç­‰ç­‰ã€‚一ç§å®‰å…¨æœåŠ¡æœ‰æ—¶è¦ç”¨åˆ°å¤šç§å®‰å…¨æœºåˆ¶ï¼Œä¸€ç§å®‰å…¨æœºåˆ¶ä¹Ÿå¯èƒ½åœ¨å¤šä¸ªå®‰å…¨æœåŠ¡çš„实现中被使用。在这些安全机制中,有两ç§è¢«ä½¿ç”¨çš„安全技术最为关键。一ç§æ˜¯å¯†ç æŠ€æœ¯ï¼Œå®ƒæ˜¯å®žçŽ°æ‰€æœ‰å®‰å…¨æœåŠ¡çš„é‡è¦åŸºç¡€ã€‚一ç§æ˜¯è®¿é—®æŽ§åˆ¶æŠ€æœ¯ï¼Œå®ƒæ˜¯ç»´æŠ¤ç³»ç»Ÿå†…部åˆæ³•æ“作行为的基础。