【培训课件】网络工程师—第10章网络安全技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2.逻辑备份
逻辑备份顺序地读取每个文件的物理块,并连续地将 文件写在备份介质上,实现每个文件的恢复,因此,逻辑 备份也被称为“基于文件的备份”。
10.2.2 冷备份与热备分
1.冷备份
冷备份是指“不在线”的备份,当进行冷备份操作时, 将不允许来自用户与应用对数据的更新。
2.热备份
热备份是指“在线”的备份,即下载备份的数据还在整 个计算机系统和网络中,只不过传到令一个非工作的分区或 是另一个非实时处理的业务系统中存放。
2.非服务攻击
利用协议或操作系统实现协议时的漏洞来达到攻击的目 的,它不针对于某具体的应用服务,因此非服务攻击是一种 更有效的攻击手段。
10.1.3 网络安全的基本要素
(1)机密性 (2)完整性 (3)可用性 (4)可鉴别性 (5)不可抵赖性
10.1.4 计算机系统安全等级
1.D类
D类的安全级别最低,保护措施最少且没有安全功能。
图10-7 防火墙的安装位置
10.4.2 防火墙的基本类型
1.包过滤路由器
图10-8 包过滤路由器的工作原理
2.应用网关
图10-9 应用网关的工作原理
3.应用代理
图10-10 应用代理的工作原理
4.状态检测
状态检测能通过状态检测技术,动态地维护各 个连接的协议状态。
10.4.3 防火墙的结构
10.2.3 数据备分的设备
1.磁盘阵列 2.磁带机 3.磁带库 4.光盘塔 5.光盘库 6.光盘镜像服务器
10.2.4 数据备份的策略
1.完全备份
完全备份即是将用户指定的数据甚至是整个系统的数据进 行完全的备份。
2.增量备份
增量备份是针对完全备份,在进行增量备份,只有那些在 上次完全或者增量备份后被修改了的文件才会被备份。
10.4 防火墙
10.4.1 防火墙的基本概念 10.4.2 防火墙的基本类型 10.4.3 防火墙的结构 10.4.4 防火墙的安装与配置
10.4.1 防火墙的基本概念
(1)所有的从外部到内部的通信都必须经过它。 (2)只有有内部访问策略授权的通信才能被允许通过。 (3)系统本身具有很强的高可靠性。
1.包过滤型结构
包过滤型结构是通过专用的包过滤路由器或是安装了包 过滤功能的普通路器来实现的。包过滤型结构对进出内部网 络的所有信息进行分析,按照一定的安全策略对这些信息进 行分析与限制。
2.双宿网关结构
连接了两个网络的多宿主机称为双宿主机。多宿主机是 具有多个网络接口卡的主机,每个接口都可以和一个网络连 接,因为它能在不同的网络之间进行数据交换换,因此也称 为网关。双宿网关结构即是一台装有两块网卡的主机作为防 火墙,将外部网络与同部网络实现物理上的隔开。
10.3.1 加密与解密 10.3.2 对称密钥技术 10.3.3 非对称密钥技术
10.3.1 加密与解密
1.基本流程
A发送消息“Password is welcome”这样的报文给B,但 不希望有第三个人知道这个报文的内容,因此他使用一定的 加密算法,将该报文转换为别人无法识别的密文,这个密文 即使在传输的过程中被截获,一般人也无法解密。当B收到 该密文后,使用共同协商的解密算法与密钥,则将该密文转 化为原来的报文内容。
恢复和信息恢复,响应系统在检测出入侵时,开始事件处 理的工作。
图10-3 P2DR模型
10.2 数据备份
10.2.1 数据备份模型 10.2.2 冷备份与热备分 10.2.3 数据备分的设备 10.2.4 数据备分的策略
10.2.1 数据备份模型
1.物理备份
物理备份是将磁盘块的数据从拷贝到备份介质上的备 份过程,它忽略了文件和结构,它也被称为“基于块的备 份”和“基于设备的备份”。
A类是可验证的保护级。它只有一个等级即A1级。A1 级的功能与B3几乎是相同的,但是A1级的特点在于它的 系统拥有正式的分析和数学方法,它可以完全证明一个系 统的安全策略和安全规格的完整性与一致性。同时,A1级 还规定了将完全计算机系统运送到现场安装所遵守的程序。
10.1.4 网络安全模型
1.基本模型
图10-4 加密与解密的流程
2.密钥
加密与解密的操作过程都是在一组密钥的控下进行的, 这个密钥可以作为加密算法中可变参数,它的改变可以改 变明文与密文之间的数学函数关系。
表10-2 密钥位数与尝试密钥的个数
密钥位数 40 56 64
尝试个数 240 109951162776 256 7.2057594037931016 264 1.8446744073711019
图10-12 包过滤路由器的数据包转发过程
图10-13 屏蔽子网结构示意图
10.4.4 防火墙的安装与配置
1.防火墙的网络接口
(1)内网 内网一般包括企业的内部网络或是内部网络的一部分。 (2)外网
外网指的是非企业内部的网络或是Internet,内网与 外网之间进行通信,要通过防火墙来实现访问限制。
2.常用对称密钥技术
常用的对称密钥算法有DES算法与IDES算法。 (1)DES算法
DES算法是一种迭代的分组密码,它的输入与输出都 是64,包括一个56位的密钥和附加的8位奇偶校验位。
(2)IDEA算法 IDEA算法的明文与密文都是64位的,密钥的长度为
128位,它是比DEA算法更有效的算法。
10.3.3 非对称密钥技术
➢ 配置Ethernet的参数。 ➢ 配置内外网卡的IP地址、指定外部地址范围和要进行
转换的内部地址。
➢ 设置指向内网与外肉的缺省路由。
➢ 配置静态IP地址映射。 ➢ 设置需要控制的地址、所作用的端口和连接协议等控
制选项并设置允许telnet远程登录防火墙的IP地址。 ➢ 保存配置。
3.防火墙的访问模式
(2)源结点与目的结点应该共享如加密密钥这样的 保密信息,这些信息除了发送双方和可信任的第三方以 外,对其他用户都是保密的。
图10-2 网络安全基本模型
2.P2DR模型
(1)安全策略(Policy) 安全策略是模型中的防护、检测和响应等部分实施的
依据,一个安全策略体系的建立包括策略的制定、评估与 执行。
3.差异备份
差异备份是将最近一次完全备份后产生的所有数据更新进 行备份。差异备份将完全恢复时所涉及到的备份文件数量限 制为2 个。
表10-1 三种备份策略的比较
完全备份 增量备份 差异备份
空间使用
最多 最少 少于完全备份
备份速度
最慢 最快 快于完全备份
恢复速度
最快 最慢 快于增量备份
10.3 加密技术
图10-11 双宿网关结构
3.屏蔽主机结构
屏蔽主机结构将所有的外部主机强制与一个堡垒主机 相连,从而不允许它们直接与内部网络的主机相连,因此 屏撇主机结构是由包过滤路由器和堡垒主机组成的。
4.屏蔽子网结构
屏蔽子网结构使用了两个屏蔽路由器和两个堡垒主机。 在该系统中,从外部包过滤由器开始的部分是由网络系统 所属的单位组建的,属于内部网络,也称为“DMZ网络”。 外部包过滤路由器与外部堡垒主机构成了防火墙的过滤子 网;内部包过滤路由器和内部堡垒主机则用于对内部网络 进行进一步的保护。
略模型,同时对系统内的所有主体和客体,都实现强制访 问和自主访问控制。
(源自文库)B3级
B3级是安全级,它能够实现访问监控器的要求,访问 监控器是指监控器的主体和客体之间授权访问关系的部件。 该级还支持安全管理员职能、扩充审计机制、当发生与安 全相关的事件时将发出信号、同时可以提供系统恢复过程。
4.A类
性相关事件来隔离资源。
3.B类
B类是强制式安全保护类,它的特点在于由系统强制 实现安全保护,因此用户不能分配权限,只能通过管理员 对用户进行权限的分配。
(1)B1级 B1级是标记安全保护级。该级对系统数据进行标记,
并对标记的主客体实行强制存取控制。
(2)B2级 B2级是结构化安全保护级。该级建立形式化的安全策
2.C类
C类是自定义保护级,该级的安全特点是系统的对象可 自主定义访问权限。C类分为两个级别:C1级与C2级。
(1)C1级 C1级是自主安全保护级,它能够实现用户与数据的分离。 数据的保护是以用户组为单位的,并实现对数据进行自主存 取控实现制。
(2)C2级 C2级是受控访问级,该级可以通过登录规程、审计安全
4.篡改
信息在传输过程中被截获,攻击者修改其截获的特定 数据包,从而破坏了数据的数据的完整性,然后再将篡改 后的数据包发送到目的结点。在目的结点的接收者看来, 数据似乎是完整没有丢失的,但其实已经被恶意篡改过。
图10-1 信息安全威胁
10.1.2 网络攻击
1.服务攻击
服务攻击即指对网络中的某些服务器进行攻击,使其 “拒绝服务”而造成网络无法正常工作。
密钥位数 112 128
尝试个数 2112 5.1922968585351033 2128 3.402823669209 1038
10.3.2 对称密钥技术
1.工作原理
对称密钥技术即是指加密技术的加密密钥与解密密钥是 相同的,或者是有些不同,但同其中一个可以很容易地推导 出另一个。
图10-5 对称密钥技术
1.工作原理
不可能从任何一个密钥推导出另一个密钥。同时加密 密钥为公钥是可以公开的,而解密密钥为私钥是保密的。 在此,非对称密钥技术也被称为公钥加密加技术。
图10-6 非对称密钥技术
2.常用非对称密钥技术
常用的非对称密钥算法包括RSA算法、DSA算法、 PKCS算法与PGP算法。其中最常见的技术即为RSA算法, 它的理论基础是数论中大素数分解,它的保密性随着密钥 的长度的增加而增强。但是,现在使用这种算法来加密大 量的数据,其实现的速度太慢了,因此该算法现在广泛应 用于密钥的分发。
(1)非特权模式 (2)特权模式 (3)配置模式 (4)监视模式
10.5 防病毒
10.5.1 计算机病毒 10.5.2 网络病毒 10.5.3 网络版防病毒系统
10.5.1 计算机病毒
1.计算机病毒的概念
计算机病毒是指计算机程序中的一段可执行程序代理, 它可以破坏计算机的功能甚至破坏数据从而影响计算机的能 力。计算机病毒通过对其他程序的修改,可以感染这些程序, 使其成为病毒程序的复制,使之很快蔓延开来,很难根除。
第10章 网络安全技术
本章要点: ❖ 10.1 基本概念 ❖ 10.2 数据备份 ❖ 10.3 加密技术 ❖ 10.4 防火墙 ❖ 10.5 防病毒 ❖ 10.6 入侵检测
10.1 基本概念
10.1.1 信息安全威胁303 10.1.2 网络攻击304 10.1.3 网络安全的基本要素304 10.1.4 计算机系统安全等级305 10.1.5 安全模型305
(2)防护(Protection) 防护技术包括:防火墙、操作系统身份认证、数据加
密、访问控制、授权、虚拟专用网技术和数据备份等,它 对系统可能出现的安全问题采取预防措施。
(3)检测(Detection) 检测功能使用漏洞评估、入侵检测等系统检测技术,
当攻击者穿透防护系统时,发挥功用。
(4)响应(Response) 响应包括紧急响应和恢复处理,而恢复又包括系统
(3)DMZ (非军事化区) DMZ是一个隔离的网络,可以在这个网络中放置Web
服务器或是E-mail服务器等,外网的用户可以访问DMZ。
2.防火墙的安装与初始配置
➢ 给防火墙加电令它启动。
➢ 将防火墙的Console口连接到计算机的串口上,并通过 Windows操作系统的超级终端,进入防火墙的特权模 式。
在网络信息传输中,为了保证信息传输的安全性,一 般需要一个值得信任的第三方,负责向源结点和目的结点 进行秘密信息分发,同时在双方发生争执时,也要起到仲 裁的作用。在基本的安全模型中,通信的双方在进行信息 传输前,先建立起一条逻辑通道,并提供安全的机制和服 务,来实现在开放网络环境中信息的安全传输。
(1)从源结点发出的信息,使用如信息加密等加密技 术对其进行安全的转,从而实现该信息的保密性,同时也 可以在该信息中附加一些特征的信息,作为源结点的身份 验证。
10.1.1 信息安全威胁
1.窃听
信息在传输过程中被直接或是间接地窃听网络上的特 定数据包,通过对其的分析得到所需的重要信息。数据包 仍然能够到到目的结点,其数据并没有丢失。
2.截获
信息在传输过程中被非法截获,并且目的结点并没有 收到该信息,即信息在中途丢失了。
3.伪造
没有任何信息从源信息结点发出,但攻击者伪造出信 息并冒充源信息结点发出信息,目的结点将收到这个伪造 信息。
逻辑备份顺序地读取每个文件的物理块,并连续地将 文件写在备份介质上,实现每个文件的恢复,因此,逻辑 备份也被称为“基于文件的备份”。
10.2.2 冷备份与热备分
1.冷备份
冷备份是指“不在线”的备份,当进行冷备份操作时, 将不允许来自用户与应用对数据的更新。
2.热备份
热备份是指“在线”的备份,即下载备份的数据还在整 个计算机系统和网络中,只不过传到令一个非工作的分区或 是另一个非实时处理的业务系统中存放。
2.非服务攻击
利用协议或操作系统实现协议时的漏洞来达到攻击的目 的,它不针对于某具体的应用服务,因此非服务攻击是一种 更有效的攻击手段。
10.1.3 网络安全的基本要素
(1)机密性 (2)完整性 (3)可用性 (4)可鉴别性 (5)不可抵赖性
10.1.4 计算机系统安全等级
1.D类
D类的安全级别最低,保护措施最少且没有安全功能。
图10-7 防火墙的安装位置
10.4.2 防火墙的基本类型
1.包过滤路由器
图10-8 包过滤路由器的工作原理
2.应用网关
图10-9 应用网关的工作原理
3.应用代理
图10-10 应用代理的工作原理
4.状态检测
状态检测能通过状态检测技术,动态地维护各 个连接的协议状态。
10.4.3 防火墙的结构
10.2.3 数据备分的设备
1.磁盘阵列 2.磁带机 3.磁带库 4.光盘塔 5.光盘库 6.光盘镜像服务器
10.2.4 数据备份的策略
1.完全备份
完全备份即是将用户指定的数据甚至是整个系统的数据进 行完全的备份。
2.增量备份
增量备份是针对完全备份,在进行增量备份,只有那些在 上次完全或者增量备份后被修改了的文件才会被备份。
10.4 防火墙
10.4.1 防火墙的基本概念 10.4.2 防火墙的基本类型 10.4.3 防火墙的结构 10.4.4 防火墙的安装与配置
10.4.1 防火墙的基本概念
(1)所有的从外部到内部的通信都必须经过它。 (2)只有有内部访问策略授权的通信才能被允许通过。 (3)系统本身具有很强的高可靠性。
1.包过滤型结构
包过滤型结构是通过专用的包过滤路由器或是安装了包 过滤功能的普通路器来实现的。包过滤型结构对进出内部网 络的所有信息进行分析,按照一定的安全策略对这些信息进 行分析与限制。
2.双宿网关结构
连接了两个网络的多宿主机称为双宿主机。多宿主机是 具有多个网络接口卡的主机,每个接口都可以和一个网络连 接,因为它能在不同的网络之间进行数据交换换,因此也称 为网关。双宿网关结构即是一台装有两块网卡的主机作为防 火墙,将外部网络与同部网络实现物理上的隔开。
10.3.1 加密与解密 10.3.2 对称密钥技术 10.3.3 非对称密钥技术
10.3.1 加密与解密
1.基本流程
A发送消息“Password is welcome”这样的报文给B,但 不希望有第三个人知道这个报文的内容,因此他使用一定的 加密算法,将该报文转换为别人无法识别的密文,这个密文 即使在传输的过程中被截获,一般人也无法解密。当B收到 该密文后,使用共同协商的解密算法与密钥,则将该密文转 化为原来的报文内容。
恢复和信息恢复,响应系统在检测出入侵时,开始事件处 理的工作。
图10-3 P2DR模型
10.2 数据备份
10.2.1 数据备份模型 10.2.2 冷备份与热备分 10.2.3 数据备分的设备 10.2.4 数据备分的策略
10.2.1 数据备份模型
1.物理备份
物理备份是将磁盘块的数据从拷贝到备份介质上的备 份过程,它忽略了文件和结构,它也被称为“基于块的备 份”和“基于设备的备份”。
A类是可验证的保护级。它只有一个等级即A1级。A1 级的功能与B3几乎是相同的,但是A1级的特点在于它的 系统拥有正式的分析和数学方法,它可以完全证明一个系 统的安全策略和安全规格的完整性与一致性。同时,A1级 还规定了将完全计算机系统运送到现场安装所遵守的程序。
10.1.4 网络安全模型
1.基本模型
图10-4 加密与解密的流程
2.密钥
加密与解密的操作过程都是在一组密钥的控下进行的, 这个密钥可以作为加密算法中可变参数,它的改变可以改 变明文与密文之间的数学函数关系。
表10-2 密钥位数与尝试密钥的个数
密钥位数 40 56 64
尝试个数 240 109951162776 256 7.2057594037931016 264 1.8446744073711019
图10-12 包过滤路由器的数据包转发过程
图10-13 屏蔽子网结构示意图
10.4.4 防火墙的安装与配置
1.防火墙的网络接口
(1)内网 内网一般包括企业的内部网络或是内部网络的一部分。 (2)外网
外网指的是非企业内部的网络或是Internet,内网与 外网之间进行通信,要通过防火墙来实现访问限制。
2.常用对称密钥技术
常用的对称密钥算法有DES算法与IDES算法。 (1)DES算法
DES算法是一种迭代的分组密码,它的输入与输出都 是64,包括一个56位的密钥和附加的8位奇偶校验位。
(2)IDEA算法 IDEA算法的明文与密文都是64位的,密钥的长度为
128位,它是比DEA算法更有效的算法。
10.3.3 非对称密钥技术
➢ 配置Ethernet的参数。 ➢ 配置内外网卡的IP地址、指定外部地址范围和要进行
转换的内部地址。
➢ 设置指向内网与外肉的缺省路由。
➢ 配置静态IP地址映射。 ➢ 设置需要控制的地址、所作用的端口和连接协议等控
制选项并设置允许telnet远程登录防火墙的IP地址。 ➢ 保存配置。
3.防火墙的访问模式
(2)源结点与目的结点应该共享如加密密钥这样的 保密信息,这些信息除了发送双方和可信任的第三方以 外,对其他用户都是保密的。
图10-2 网络安全基本模型
2.P2DR模型
(1)安全策略(Policy) 安全策略是模型中的防护、检测和响应等部分实施的
依据,一个安全策略体系的建立包括策略的制定、评估与 执行。
3.差异备份
差异备份是将最近一次完全备份后产生的所有数据更新进 行备份。差异备份将完全恢复时所涉及到的备份文件数量限 制为2 个。
表10-1 三种备份策略的比较
完全备份 增量备份 差异备份
空间使用
最多 最少 少于完全备份
备份速度
最慢 最快 快于完全备份
恢复速度
最快 最慢 快于增量备份
10.3 加密技术
图10-11 双宿网关结构
3.屏蔽主机结构
屏蔽主机结构将所有的外部主机强制与一个堡垒主机 相连,从而不允许它们直接与内部网络的主机相连,因此 屏撇主机结构是由包过滤路由器和堡垒主机组成的。
4.屏蔽子网结构
屏蔽子网结构使用了两个屏蔽路由器和两个堡垒主机。 在该系统中,从外部包过滤由器开始的部分是由网络系统 所属的单位组建的,属于内部网络,也称为“DMZ网络”。 外部包过滤路由器与外部堡垒主机构成了防火墙的过滤子 网;内部包过滤路由器和内部堡垒主机则用于对内部网络 进行进一步的保护。
略模型,同时对系统内的所有主体和客体,都实现强制访 问和自主访问控制。
(源自文库)B3级
B3级是安全级,它能够实现访问监控器的要求,访问 监控器是指监控器的主体和客体之间授权访问关系的部件。 该级还支持安全管理员职能、扩充审计机制、当发生与安 全相关的事件时将发出信号、同时可以提供系统恢复过程。
4.A类
性相关事件来隔离资源。
3.B类
B类是强制式安全保护类,它的特点在于由系统强制 实现安全保护,因此用户不能分配权限,只能通过管理员 对用户进行权限的分配。
(1)B1级 B1级是标记安全保护级。该级对系统数据进行标记,
并对标记的主客体实行强制存取控制。
(2)B2级 B2级是结构化安全保护级。该级建立形式化的安全策
2.C类
C类是自定义保护级,该级的安全特点是系统的对象可 自主定义访问权限。C类分为两个级别:C1级与C2级。
(1)C1级 C1级是自主安全保护级,它能够实现用户与数据的分离。 数据的保护是以用户组为单位的,并实现对数据进行自主存 取控实现制。
(2)C2级 C2级是受控访问级,该级可以通过登录规程、审计安全
4.篡改
信息在传输过程中被截获,攻击者修改其截获的特定 数据包,从而破坏了数据的数据的完整性,然后再将篡改 后的数据包发送到目的结点。在目的结点的接收者看来, 数据似乎是完整没有丢失的,但其实已经被恶意篡改过。
图10-1 信息安全威胁
10.1.2 网络攻击
1.服务攻击
服务攻击即指对网络中的某些服务器进行攻击,使其 “拒绝服务”而造成网络无法正常工作。
密钥位数 112 128
尝试个数 2112 5.1922968585351033 2128 3.402823669209 1038
10.3.2 对称密钥技术
1.工作原理
对称密钥技术即是指加密技术的加密密钥与解密密钥是 相同的,或者是有些不同,但同其中一个可以很容易地推导 出另一个。
图10-5 对称密钥技术
1.工作原理
不可能从任何一个密钥推导出另一个密钥。同时加密 密钥为公钥是可以公开的,而解密密钥为私钥是保密的。 在此,非对称密钥技术也被称为公钥加密加技术。
图10-6 非对称密钥技术
2.常用非对称密钥技术
常用的非对称密钥算法包括RSA算法、DSA算法、 PKCS算法与PGP算法。其中最常见的技术即为RSA算法, 它的理论基础是数论中大素数分解,它的保密性随着密钥 的长度的增加而增强。但是,现在使用这种算法来加密大 量的数据,其实现的速度太慢了,因此该算法现在广泛应 用于密钥的分发。
(1)非特权模式 (2)特权模式 (3)配置模式 (4)监视模式
10.5 防病毒
10.5.1 计算机病毒 10.5.2 网络病毒 10.5.3 网络版防病毒系统
10.5.1 计算机病毒
1.计算机病毒的概念
计算机病毒是指计算机程序中的一段可执行程序代理, 它可以破坏计算机的功能甚至破坏数据从而影响计算机的能 力。计算机病毒通过对其他程序的修改,可以感染这些程序, 使其成为病毒程序的复制,使之很快蔓延开来,很难根除。
第10章 网络安全技术
本章要点: ❖ 10.1 基本概念 ❖ 10.2 数据备份 ❖ 10.3 加密技术 ❖ 10.4 防火墙 ❖ 10.5 防病毒 ❖ 10.6 入侵检测
10.1 基本概念
10.1.1 信息安全威胁303 10.1.2 网络攻击304 10.1.3 网络安全的基本要素304 10.1.4 计算机系统安全等级305 10.1.5 安全模型305
(2)防护(Protection) 防护技术包括:防火墙、操作系统身份认证、数据加
密、访问控制、授权、虚拟专用网技术和数据备份等,它 对系统可能出现的安全问题采取预防措施。
(3)检测(Detection) 检测功能使用漏洞评估、入侵检测等系统检测技术,
当攻击者穿透防护系统时,发挥功用。
(4)响应(Response) 响应包括紧急响应和恢复处理,而恢复又包括系统
(3)DMZ (非军事化区) DMZ是一个隔离的网络,可以在这个网络中放置Web
服务器或是E-mail服务器等,外网的用户可以访问DMZ。
2.防火墙的安装与初始配置
➢ 给防火墙加电令它启动。
➢ 将防火墙的Console口连接到计算机的串口上,并通过 Windows操作系统的超级终端,进入防火墙的特权模 式。
在网络信息传输中,为了保证信息传输的安全性,一 般需要一个值得信任的第三方,负责向源结点和目的结点 进行秘密信息分发,同时在双方发生争执时,也要起到仲 裁的作用。在基本的安全模型中,通信的双方在进行信息 传输前,先建立起一条逻辑通道,并提供安全的机制和服 务,来实现在开放网络环境中信息的安全传输。
(1)从源结点发出的信息,使用如信息加密等加密技 术对其进行安全的转,从而实现该信息的保密性,同时也 可以在该信息中附加一些特征的信息,作为源结点的身份 验证。
10.1.1 信息安全威胁
1.窃听
信息在传输过程中被直接或是间接地窃听网络上的特 定数据包,通过对其的分析得到所需的重要信息。数据包 仍然能够到到目的结点,其数据并没有丢失。
2.截获
信息在传输过程中被非法截获,并且目的结点并没有 收到该信息,即信息在中途丢失了。
3.伪造
没有任何信息从源信息结点发出,但攻击者伪造出信 息并冒充源信息结点发出信息,目的结点将收到这个伪造 信息。