攻击类型:主动攻击、被动攻击
安全审计与通告:1.最具有价值的安全通告与培训内容是安全策略与安全管理(70%),接下来是访问控制系统(64%),数字凭证是一种规范、验证、和传达身份及简介信息的有效机制,它也包含了验证其可信度的方法。分为活动数字凭证和SPKI证书。遵循传统的X.509证书
网络安全(63%)和密码术(51%)2.最没有价值的培训内容是安全系统架构和调查与法律问题。
安全服务:旨在加强单位中数据处理和信息传送的服务。鉴别、保密性、完整性、抗抵赖性、访问控制、可用性。 被动攻击典型例子就是流量分析攻击,入侵者通过这种攻击来观测通信,了解传输的时间、消息长度和消息结构,还可以获得交换数据的副本,以便提取保密信息。
主动攻击是对数据流的篡改和攻击,或者生成伪造的数据流。拒绝服务攻击能够使对通信设施正常使用、操作和管理无法进行,或使其性能下降。
安全漏洞指的是应用、产品或设备的薄弱环节,攻击者可以用以获取单位系统资源的权限,泄露系统数据,修改系统运行或获取未经授予的信任。
控制分三大类:物理控制、管理控制、技术控制
安全策略:设计用来通知单位内所有员工,当面临待定问题时,员工应到如何行动,单位的行政管理层应当如何行动,单位将采取怎样的特定措施。
SP应当包括:1访问策略,定义了系统用户的权限,以免资源被损害或盗用2职能策略,定义了用户、操作员和管理层的职责3鉴别策略,用以解决不同的鉴别问题,如操作系统密码的使用、鉴别设备的使用和数字证书的使用等4可用性策略,定义了一系列用户对资源可用性的期望5维护策略,描述了维护人员应当如何维护信息系统和网络6违规报告策略。描述了各种必须报告的违规的情况,以及违规报告将如何处理7隐私策略,定义了安全目标和隐私需求之间的屏障8支持信息,为系统用户和经理提供关于各种违规的有用信息。
鲁棒性:健壮、强壮性。指系统在一定参数摄动下持续某些性能的特征。
密钥管理生命周期:密钥生成、分发、发布、操作、归档、销毁。
密钥分发-公共目录的维护和分发由某种受信任第三方(TTP)负责。
实体鉴别可以被定义为实体身份的证明过程,涉及证明方、验证方。消息鉴别测可用以确保消息在传输过程中未被篡改。
鉴别因子的一个例子就是对生物测量技术的使用。
用于消息鉴别的哈希函数称为消息鉴别码(MAC)算法。 数字签名是用于实体和消息鉴别的重要方法 PIK:遵守既定标准的密钥管理平台,能为所有网络应用提供加密和数字签名等密码服务及所需的密钥和证书管理体系,是网络安全与电子商务的基础。PIK使用基于X.509标准的数字证书来发布密钥。
PKIX模型包括4心(CA)和证书库。认证中心是PIK中公钥证书的颁发者。公钥证书由发证CA数字签名。
PIKX必要的管理功能包括注册、初始化、证书生成、证书更新、密钥对管理、证书撤销和交叉认证。
交叉认证就是一个CA向另一个CA颁发证书的行为,目标就是在两个CA间建立信任关系。
PIK架构分为4种配置:。 认证路径处理包括两个阶段:路径构建和路径验证。
信任就是在给定的条件下,一方愿意依靠某人或事物的程度,尽管可能出现消极的后果,依赖方还是感到相对安全。 信任的三个基本维度:信任源、信任关系、信任目标。信任既不是可传递的,也不是对称的。
电子服务开发两种计划:UDDI/SOAP/WSDL计划和ebXML计划。前者基于三个标准构建,即Web服务描述语言(WSDL)、简单对象访问协议(SOAP)和统一描述、发现与集成标准(UDDI)。
中间人业务是服务请求者和提供者之间的中介活动,目的是将客户的需求与提供者的服务进行匹配
电子商务多种安全协议:安全套接层(SSL)协议、传输层安
全(TLS)协议、安全电子交易(SET)协议、3-D安全协议。
SSL和TLS是使用最广泛的协议,向跨因特网的交易提供安全保障。SSL通过对称加密保护交易的保密性、使用服务器证书作为服务器鉴别的基础。
SET中使用的密钥密码术是著名的,金融机构也用DES来加密PIN码,SET使用了双重签名向商家隐藏客户的信用卡信息,向银行隐藏订单信息。
两个网络协议:有线等效保密协议(WEP)、Wi-Fi安全访问协议(WPA)
WEP通过RC4将公开IV和用户密钥转换为一个密钥流。为加强数据加密,WPA使用了暂时密钥集成协议,这就提供了许多加强数据加密的手段,如逐包密钥混合功能、消息完整性检查、带有顺序规则的扩展IV,以及重设密钥方案等。TKIP解决了WEP所有的已知问题。
入侵检测系统-IDS。分为两类:基于网络的IDS和基于主机的IDS。基于网络的IDS监测传输中的网络包,并进行分析;基于主机的IDS监测所有操作系统日志和数据文件,还有基于应用程序的AIDS,它们有不同的监视、探测和响应手段 IDS开发商用到的主要手段于特征的分析、基于流量异常的分析、基于启发式算法的分析和基于协议异常的分析。
虚拟专用网(VPN)是一种通过公共电信基础设施(因特网)连接不同的站点或公司办公的专用网络,它使用加密和隧道协议来保证连接的安全可靠。
VPN硬件要素专用VPN服务器、网络接入服务器(NAS)
VPN分为三类VPN使用的四大协议:点对点隧道协议(PPTP)、第二层隧道协议(L2TP)、IP安全(IPSec)、MPLS(多协议标签交换) 多路协议标签交换(MPLS)协议通常安装在ISP的IP主干网上,这些主干网在网络边界处使用了IP路由器。这种协议的基础方案是在主干网边缘实现第三层路由,在主干网内部实现第二层转发。
简述IPSec:IPSec是一个基于网络层安全协议的开放式标准,可以给IP包增加附加的首部/尾部,将其封装成新的包,然后通过隧道发送。IPSec提供了多种服务,包括在传输层上提供的无连接的完整性、访问控制、抗抵赖、防重放攻击、保密性、有限的流量信息保密性,并且可以保证IP层和更高层协议的安全。IPSec具有三个主要功能:a首先是使用鉴别首部(AH)的功能b其次是使用封装安全载荷(ESP)的加密功能c最后是使用因特网密钥交换(IKE)协议的自动密钥管理功能。提供了用于管理、加密、鉴别、隧道的解决方案。封装安全载荷(ESP)协议负责包加密。IPSec鉴别首部(AH)的数据完整性功能可以防止数据包内容在传输过程中被悄悄篡改,其鉴别功能可以防止地址欺骗和重放攻击,同事允许接收方对应用进行验证,以便据此对流量进行过滤。
![计算机网络安全导论[材料]](/templates/pc/static/images/icon_word.2.png){kind=icon}
