系統癱瘓發(fā)布者：本站     時(shí)間：2019-09-03 10:09:58

ernet a連入 Internet的各企業(yè)網(wǎng)絡(luò )管理人員來(lái)說(shuō)無(wú)疑是一場(chǎng)惡夢(mèng)。因為大多數公司都有一些
對一家公司來(lái)說(shuō)無(wú)疑是一種致命的危險。在 Internet的安全性討論中，人們把對 Internet構 重要的在線(xiàn)信息，如貿易秘密、產(chǎn)品開(kāi)發(fā)計劃市場(chǎng)策略財政分析資料等，泄露這些經(jīng)濟情報
有意危害 安全的 成的威脅分成兩類(lèi):有意造成的危害和無(wú)意造成的危害。有三種人:故意破壞者 不遵守規則者
 
和刺探秘密者( crackers)。故意破壞者企圖通過(guò)各種手段去破壞網(wǎng)絡(luò )資源與信息，例如涂抹別人的主頁(yè)、修改系統配
 
置，造成系統癱瘓；不遵守規則者企圖訪(fǎng)問(wèn)不允許他訪(fǎng)問(wèn)的系統，他可能僅僅是到網(wǎng)中看看，找
 
 
非法手段侵人他人系統，以竊取商業(yè)秘密與個(gè)人資料。出用ー號 些資料，也可能想盜用別人的計算機資源(如CPU時(shí)間)；刺探秘密者的企圖非常明確，即通過(guò)
一些不健康的圖片、文字，或散布不負責任的消息。一些不遵守網(wǎng)絡(luò )使用規則的用戶(hù)，可能通 除泄露信息對企業(yè)網(wǎng)構成威脅之外，還有一種危險是有害信息的侵入。有人在網(wǎng)上傳播
過(guò)玩一些電子游戲將病毒帶入系統；輕者造成信息出現錯誤，使得一些應用程序不能使用，嚴
重的將會(huì )造成網(wǎng)絡(luò )癱瘓。顯然，要設計一個(gè)成功的網(wǎng)絡(luò )系統，就必須針對網(wǎng)絡(luò )安全構成威脅的
各種因素，研究確保網(wǎng)絡(luò )信息系統安全的機制。網(wǎng)絡(luò )安全機制涉及到網(wǎng)絡(luò )安全策略與數據加
 
 
密、數字簽名、第三方確認、 Internet I防火墻( Firewall)等安全技術(shù) 1.4.2使網(wǎng)給物理上更安全一
 
 
 
物理安全指用以保護網(wǎng)絡(luò )計算機硬件和存儲介質(zhì)的裝置和工作程序。由于計算機和
其它物理物體之間的相似之處，因此網(wǎng)絡(luò )物理安全是網(wǎng)絡(luò )計算機安全的最重要的方面，這是最
 
 
好理解的。
 
像打字機和家具一樣，計算機也是偷竊者的目標，一張軟盤(pán)完全可以裝在口袋里帶走。但
是不同于打字機和家具，計算機偷竊行為所造成的損失可能遠遠超過(guò)計算機本身的價(jià)值，因
必須采取嚴格的防范措施，以確保計算機設備不會(huì )丟失。的內A1D1部國的出
 
 
實(shí)際上目前有許多確保安全的設備。比如在計算機下面安裝將計算機固定在桌子上的安
全托盤(pán)，用高強度電纜在計算機的機箱中穿過(guò)等。還有就是要加強計算機機房的管理，如門(mén)
衛；出人者身份檢查；下班鎖門(mén)以及實(shí)施各種硬件安全手段等預防措施。mr
 
網(wǎng)絡(luò )物理安全還包括防止損害計算機，如不要將咖啡濺在磁盤(pán)上，不要猛力震動(dòng)硬盤(pán)等
備份( Backups)也是保證安全的一項重要措施。mL路(T)數工1
“備份”的意思是指在另一個(gè)地方制作一份拷貝。)這個(gè)持貝或備份將保留在一個(gè)安全的
方，一且失去原件，就能使用備份。應該有規律地備份以便使用戶(hù)避免由于硬件故障導致的
據損失。備份對防衛人為破壞( Human Subverter)也至關(guān)重要。如果計算機被偷，數據的惟
的拷貝還在備份上，這是可以在另一臺計算機上恢復的。如果計算機黑客攻破計算機系統
的存在。?int 并抹掉所有文件，備份將能把它們恢復，假定這個(gè)計算機黑客確實(shí)無(wú)法獲得備份或者知道備
 
但是，備份也是在安全間題。間把它當成的目標，因為備份含有秘密信息的精 全要(2 opsh aoi noine:UA
拷貝。確實(shí)，備份給計算機系統提供更大安全性，因為偷竊含有工作數據的介質(zhì)比偷竊備倒

引人注。廳動(dòng)是因為命帶被份的損失比由于設備放障失去數據的損失更大。由于備存在安全洞，一些計算機系統允許用戶(hù)的持別文件不進(jìn)行系統備份。這樣的
 
 
 
143制作安全的路層
 
動(dòng)程序也不知道它的存在，更別說(shuō)應用程序了。的、每層加是碼保護最透明的形式。事實(shí)上，它常常通過(guò)外部加密盒實(shí)現，因此，
 
顧名思義，這種形式的加密是為了保護一個(gè)單獨的鏈路。它既有優(yōu)點(diǎn)也有弱點(diǎn)。優(yōu)點(diǎn)是
抗流量分析，一種能明智地識別出誰(shuí)與誰(shuí)在通信的攻擊。在一定環(huán)境 ビ非常強有力，因為(對一定類(lèi)型的硬件)整個(gè)數據包是加密的，包括源地址和目的地址。這能
 
 
密，甚至流量的存在性都可以偽裝。
 
候，仍然會(huì )暴露。即使它們也被加器保護起來(lái)，報文在交換節點(diǎn)仍容易受到傷害。關(guān)鍵看敵 然而，鏈路加密有一個(gè)嚴重的弱點(diǎn):它一次只能保護一個(gè)鏈路。報文在通過(guò)其他鏈路的時(shí)
人是誰(shuí)，這可能成為一個(gè)嚴重的缺陷。如果希望嚴密保護本地通信(即在共享的同軸電纜上)或保護少量極脆弱的線(xiàn)路，應選擇
鏈路加密。
 
衛星線(xiàn)路是一個(gè)典型的例子，因為跨洋電纜線(xiàn)路隨時(shí)可以切換為基于衛星的備用線(xiàn)路。
 
 
1.4.4網(wǎng)絡(luò )層安全很重要 日全支
 
 
對 Internet層的安全協(xié)議進(jìn)行標準化的想法早就有了。在過(guò)去十年里，已經(jīng)提出了一些
方案。例如，“安全協(xié)議3號(SP3)”就是美國國家安全局以及標準技術(shù)協(xié)會(huì )作為“安全數據網(wǎng)
 
 
絡(luò )系統(SDNS)"的一部分而制定的?！熬W(wǎng)絡(luò )層安全協(xié)議(NLSP)"是由國際標準化組織為“無(wú)連
所提出的包括P和CLNP在內的統一安全機制。 Swipe是另一個(gè) Internet，層的安全協(xié)議，由 接網(wǎng)絡(luò )協(xié)議(CLNP)"制定的安全協(xié)議標準?！凹苫疦LSP(IーNLSP)”是美國國家科技研究
Toannidis和 Blaze提出并實(shí)現原型。所有這些提案的共同點(diǎn)多于不同點(diǎn)。事實(shí)上，他們用的
都是IP封裝技術(shù)。其本質(zhì)是，純文本的包被加密，封裝在外層的IP報頭里，用來(lái)對加密的
到收報地 包進(jìn)行 Internet上的路由選擇。到達另一端時(shí)，外層的IP報頭被拆開(kāi)，報文被解密，然后送
 
(IPSP)和對應的 Internet密鑰管理協(xié)議(IKMP)進(jìn)行標準化工作。IPSP的主要目的是使需要 Internet工程特組(IETF)已經(jīng)特許 Internet s安全協(xié)議( IPSEC)工作組對1P安全協(xié)議
安全措施的用戶(hù)能夠使用相應的加密安全體制。該體制不僅能在目前通行的IP(IPv4)下工
作，也能在IP的新版本(IPng或IPv6)下工作。該體制應該是與算法無(wú)關(guān)的，即使加密算法
替換了，也不對其它部分的實(shí)現產(chǎn)生影響。此外，該體制必須能實(shí)行多種安全政策，但要避
免給不使用該體制的人造成不利影響。按照這些要求， IPSEC工作組制訂了一個(gè)規范:認證
盲之，AH提供IP包的真實(shí)性和完整性，ESP提供機要內容。引人注。廳動(dòng)是因為命帶被份的損失比由于設備放障失去數據的損失更大。由于備存在安全洞，一些計算機系統允許用戶(hù)的持別文件不進(jìn)行系統備份。這樣的
 
 
 
143制作安全的路層
 
動(dòng)程序也不知道它的存在，更別說(shuō)應用程序了。的、每層加是碼保護最透明的形式。事實(shí)上，它常常通過(guò)外部加密盒實(shí)現，因此，
 
顧名思義，這種形式的加密是為了保護一個(gè)單獨的鏈路。它既有優(yōu)點(diǎn)也有弱點(diǎn)。優(yōu)點(diǎn)是
抗流量分析，一種能明智地識別出誰(shuí)與誰(shuí)在通信的攻擊。在一定環(huán)境 ビ非常強有力，因為(對一定類(lèi)型的硬件)整個(gè)數據包是加密的，包括源地址和目的地址。這能
 
 
密，甚至流量的存在性都可以偽裝。
 
候，仍然會(huì )暴露。即使它們也被加器保護起來(lái)，報文在交換節點(diǎn)仍容易受到傷害。關(guān)鍵看敵 然而，鏈路加密有一個(gè)嚴重的弱點(diǎn):它一次只能保護一個(gè)鏈路。報文在通過(guò)其他鏈路的時(shí)
人是誰(shuí)，這可能成為一個(gè)嚴重的缺陷。如果希望嚴密保護本地通信(即在共享的同軸電纜上)或保護少量極脆弱的線(xiàn)路，應選擇
鏈路加密。
 
衛星線(xiàn)路是一個(gè)典型的例子，因為跨洋電纜線(xiàn)路隨時(shí)可以切換為基于衛星的備用線(xiàn)路。
 
 
1.4.4網(wǎng)絡(luò )層安全很重要 日全支
 
 
對 Internet層的安全協(xié)議進(jìn)行標準化的想法早就有了。在過(guò)去十年里，已經(jīng)提出了一些
方案。例如，“安全協(xié)議3號(SP3)”就是美國國家安全局以及標準技術(shù)協(xié)會(huì )作為“安全數據網(wǎng)
 
 
絡(luò )系統(SDNS)"的一部分而制定的?！熬W(wǎng)絡(luò )層安全協(xié)議(NLSP)"是由國際標準化組織為“無(wú)連
所提出的包括P和CLNP在內的統一安全機制。 Swipe是另一個(gè) Internet，層的安全協(xié)議，由 接網(wǎng)絡(luò )協(xié)議(CLNP)"制定的安全協(xié)議標準?！凹苫疦LSP(IーNLSP)”是美國國家科技研究
Toannidis和 Blaze提出并實(shí)現原型。所有這些提案的共同點(diǎn)多于不同點(diǎn)。事實(shí)上，他們用的
都是IP封裝技術(shù)。其本質(zhì)是，純文本的包被加密，封裝在外層的IP報頭里，用來(lái)對加密的
到收報地 包進(jìn)行 Internet上的路由選擇。到達另一端時(shí)，外層的IP報頭被拆開(kāi)，報文被解密，然后送
 
(IPSP)和對應的 Internet密鑰管理協(xié)議(IKMP)進(jìn)行標準化工作。IPSP的主要目的是使需要 Internet工程特組(IETF)已經(jīng)特許 Internet s安全協(xié)議( IPSEC)工作組對1P安全協(xié)議
安全措施的用戶(hù)能夠使用相應的加密安全體制。該體制不僅能在目前通行的IP(IPv4)下工
作，也能在IP的新版本(IPng或IPv6)下工作。該體制應該是與算法無(wú)關(guān)的，即使加密算法
替換了，也不對其它部分的實(shí)現產(chǎn)生影響。此外，該體制必須能實(shí)行多種安全政策，但要避
免給不使用該體制的人造成不利影響。按照這些要求， IPSEC工作組制訂了一個(gè)規范:認證
盲之，AH提供IP包的真實(shí)性和完整性，ESP提供機要內容。頭AH( Authentication Header)和封裝安全有效負荷ESP( Encapsulating Security Payload)。簡(jiǎn)
 
IPAH指一段消息認證代碼MAC( Message Authentication Code)，在發(fā)送IP包之前，它引人注。廳動(dòng)是因為命帶被份的損失比由于設備放障失去數據的損失更大。由于備存在安全洞，一些計算機系統允許用戶(hù)的持別文件不進(jìn)行系統備份。這樣的
 
 
 
143制作安全的路層
 
動(dòng)程序也不知道它的存在，更別說(shuō)應用程序了。的、每層加是碼保護最透明的形式。事實(shí)上，它常常通過(guò)外部加密盒實(shí)現，因此，
 
顧名思義，這種形式的加密是為了保護一個(gè)單獨的鏈路。它既有優(yōu)點(diǎn)也有弱點(diǎn)。優(yōu)點(diǎn)是
抗流量分析，一種能明智地識別出誰(shuí)與誰(shuí)在通信的攻擊。在一定環(huán)境 ビ非常強有力，因為(對一定類(lèi)型的硬件)整個(gè)數據包是加密的，包括源地址和目的地址。這能
 
 
密，甚至流量的存在性都可以偽裝。
 
候，仍然會(huì )暴露。即使它們也被加器保護起來(lái)，報文在交換節點(diǎn)仍容易受到傷害。關(guān)鍵看敵 然而，鏈路加密有一個(gè)嚴重的弱點(diǎn):它一次只能保護一個(gè)鏈路。報文在通過(guò)其他鏈路的時(shí)
人是誰(shuí)，這可能成為一個(gè)嚴重的缺陷。如果希望嚴密保護本地通信(即在共享的同軸電纜上)或保護少量極脆弱的線(xiàn)路，應選擇
鏈路加密。
 
衛星線(xiàn)路是一個(gè)典型的例子，因為跨洋電纜線(xiàn)路隨時(shí)可以切換為基于衛星的備用線(xiàn)路。
 
 
1.4.4網(wǎng)絡(luò )層安全很重要 日全支
 
 
對 Internet層的安全協(xié)議進(jìn)行標準化的想法早就有了。在過(guò)去十年里，已經(jīng)提出了一些
方案。例如，“安全協(xié)議3號(SP3)”就是美國國家安全局以及標準技術(shù)協(xié)會(huì )作為“安全數據網(wǎng)
 
 
絡(luò )系統(SDNS)"的一部分而制定的?！熬W(wǎng)絡(luò )層安全協(xié)議(NLSP)"是由國際標準化組織為“無(wú)連
所提出的包括P和CLNP在內的統一安全機制。 Swipe是另一個(gè) Internet，層的安全協(xié)議，由 接網(wǎng)絡(luò )協(xié)議(CLNP)"制定的安全協(xié)議標準?！凹苫疦LSP(IーNLSP)”是美國國家科技研究
Toannidis和 Blaze提出并實(shí)現原型。所有這些提案的共同點(diǎn)多于不同點(diǎn)。事實(shí)上，他們用的
都是IP封裝技術(shù)。其本質(zhì)是，純文本的包被加密，封裝在外層的IP報頭里，用來(lái)對加密的
到收報地 包進(jìn)行 Internet上的路由選擇。到達另一端時(shí)，外層的IP報頭被拆開(kāi)，報文被解密，然后送
 
(IPSP)和對應的 Internet密鑰管理協(xié)議(IKMP)進(jìn)行標準化工作。IPSP的主要目的是使需要 Internet工程特組(IETF)已經(jīng)特許 Internet s安全協(xié)議( IPSEC)工作組對1P安全協(xié)議
安全措施的用戶(hù)能夠使用相應的加密安全體制。該體制不僅能在目前通行的IP(IPv4)下工
作，也能在IP的新版本(IPng或IPv6)下工作。該體制應該是與算法無(wú)關(guān)的，即使加密算法
替換了，也不對其它部分的實(shí)現產(chǎn)生影響。此外，該體制必須能實(shí)行多種安全政策，但要避
免給不使用該體制的人造成不利影響。按照這些要求， IPSEC工作組制訂了一個(gè)規范:認證
盲之，AH提供IP包的真實(shí)性和完整性，ESP提供機要內容。頭AH( Authentication Header)和封裝安全有效負荷ESP( Encapsulating Security Payload)。簡(jiǎn)
 
IPAH指一段消息認證代碼MAC( Message Authentication Code)，在發(fā)送IP包之前，它頭AH( Authentication Header)和封裝安全有效負荷ESP( Encapsulating Security Payload)。