系統(tǒng)癱瘓發(fā)布者：本站     時(shí)間：2019-09-03 10:09:58

ernet a連入 Internet的各企業(yè)網(wǎng)絡(luò)管理人員來說無疑是一場(chǎng)惡夢(mèng)。因?yàn)榇蠖鄶?shù)公司都有一些
對(duì)一家公司來說無疑是一種致命的危險(xiǎn)。在 Internet的安全性討論中，人們把對(duì) Internet構(gòu) 重要的在線信息，如貿(mào)易秘密、產(chǎn)品開發(fā)計(jì)劃市場(chǎng)策略財(cái)政分析資料等，泄露這些經(jīng)濟(jì)情報(bào)
有意危害 安全的 成的威脅分成兩類:有意造成的危害和無意造成的危害。有三種人:故意破壞者 不遵守規(guī)則者
 
和刺探秘密者( crackers)。故意破壞者企圖通過各種手段去破壞網(wǎng)絡(luò)資源與信息，例如涂抹別人的主頁、修改系統(tǒng)配
 
置，造成系統(tǒng)癱瘓；不遵守規(guī)則者企圖訪問不允許他訪問的系統(tǒng)，他可能僅僅是到網(wǎng)中看看，找
 
 
非法手段侵人他人系統(tǒng)，以竊取商業(yè)秘密與個(gè)人資料。出用ー號(hào) 些資料，也可能想盜用別人的計(jì)算機(jī)資源(如CPU時(shí)間)；刺探秘密者的企圖非常明確，即通過
一些不健康的圖片、文字，或散布不負(fù)責(zé)任的消息。一些不遵守網(wǎng)絡(luò)使用規(guī)則的用戶，可能通 除泄露信息對(duì)企業(yè)網(wǎng)構(gòu)成威脅之外，還有一種危險(xiǎn)是有害信息的侵入。有人在網(wǎng)上傳播
過玩一些電子游戲?qū)⒉《編胂到y(tǒng)；輕者造成信息出現(xiàn)錯(cuò)誤，使得一些應(yīng)用程序不能使用，嚴(yán)
重的將會(huì)造成網(wǎng)絡(luò)癱瘓。顯然，要設(shè)計(jì)一個(gè)成功的網(wǎng)絡(luò)系統(tǒng)，就必須針對(duì)網(wǎng)絡(luò)安全構(gòu)成威脅的
各種因素，研究確保網(wǎng)絡(luò)信息系統(tǒng)安全的機(jī)制。網(wǎng)絡(luò)安全機(jī)制涉及到網(wǎng)絡(luò)安全策略與數(shù)據(jù)加
 
 
密、數(shù)字簽名、第三方確認(rèn)、 Internet I防火墻( Firewall)等安全技術(shù) 1.4.2使網(wǎng)給物理上更安全一
 
 
 
物理安全指用以保護(hù)網(wǎng)絡(luò)計(jì)算機(jī)硬件和存儲(chǔ)介質(zhì)的裝置和工作程序。由于計(jì)算機(jī)和
其它物理物體之間的相似之處，因此網(wǎng)絡(luò)物理安全是網(wǎng)絡(luò)計(jì)算機(jī)安全的最重要的方面，這是最
 
 
好理解的。
 
像打字機(jī)和家具一樣，計(jì)算機(jī)也是偷竊者的目標(biāo)，一張軟盤完全可以裝在口袋里帶走。但
是不同于打字機(jī)和家具，計(jì)算機(jī)偷竊行為所造成的損失可能遠(yuǎn)遠(yuǎn)超過計(jì)算機(jī)本身的價(jià)值，因
必須采取嚴(yán)格的防范措施，以確保計(jì)算機(jī)設(shè)備不會(huì)丟失。的內(nèi)A1D1部國的出
 
 
實(shí)際上目前有許多確保安全的設(shè)備。比如在計(jì)算機(jī)下面安裝將計(jì)算機(jī)固定在桌子上的安
全托盤，用高強(qiáng)度電纜在計(jì)算機(jī)的機(jī)箱中穿過等。還有就是要加強(qiáng)計(jì)算機(jī)機(jī)房的管理，如門
衛(wèi)；出人者身份檢查；下班鎖門以及實(shí)施各種硬件安全手段等預(yù)防措施。mr
 
網(wǎng)絡(luò)物理安全還包括防止損害計(jì)算機(jī)，如不要將咖啡濺在磁盤上，不要猛力震動(dòng)硬盤等
備份( Backups)也是保證安全的一項(xiàng)重要措施。mL路(T)數(shù)工1
“備份”的意思是指在另一個(gè)地方制作一份拷貝。)這個(gè)持貝或備份將保留在一個(gè)安全的
方，一且失去原件，就能使用備份。應(yīng)該有規(guī)律地備份以便使用戶避免由于硬件故障導(dǎo)致的
據(jù)損失。備份對(duì)防衛(wèi)人為破壞( Human Subverter)也至關(guān)重要。如果計(jì)算機(jī)被偷，數(shù)據(jù)的惟
的拷貝還在備份上，這是可以在另一臺(tái)計(jì)算機(jī)上恢復(fù)的。如果計(jì)算機(jī)黑客攻破計(jì)算機(jī)系統(tǒng)
的存在。?int 并抹掉所有文件，備份將能把它們恢復(fù)，假定這個(gè)計(jì)算機(jī)黑客確實(shí)無法獲得備份或者知道備
 
但是，備份也是在安全間題。間把它當(dāng)成的目標(biāo)，因?yàn)閭浞莺忻孛苄畔⒌木?全要(2 opsh aoi noine:UA
拷貝。確實(shí)，備份給計(jì)算機(jī)系統(tǒng)提供更大安全性，因?yàn)橥蹈`含有工作數(shù)據(jù)的介質(zhì)比偷竊備倒

引人注。廳動(dòng)是因?yàn)槊鼛П环莸膿p失比由于設(shè)備放障失去數(shù)據(jù)的損失更大。由于備存在安全洞，一些計(jì)算機(jī)系統(tǒng)允許用戶的持別文件不進(jìn)行系統(tǒng)備份。這樣的
 
 
 
143制作安全的路層
 
動(dòng)程序也不知道它的存在，更別說應(yīng)用程序了。的、每層加是碼保護(hù)最透明的形式。事實(shí)上，它常常通過外部加密盒實(shí)現(xiàn)，因此，
 
顧名思義，這種形式的加密是為了保護(hù)一個(gè)單獨(dú)的鏈路。它既有優(yōu)點(diǎn)也有弱點(diǎn)。優(yōu)點(diǎn)是
抗流量分析，一種能明智地識(shí)別出誰與誰在通信的攻擊。在一定環(huán)境 ビ非常強(qiáng)有力，因?yàn)?對(duì)一定類型的硬件)整個(gè)數(shù)據(jù)包是加密的，包括源地址和目的地址。這能
 
 
密，甚至流量的存在性都可以偽裝。
 
候，仍然會(huì)暴露。即使它們也被加器保護(hù)起來，報(bào)文在交換節(jié)點(diǎn)仍容易受到傷害。關(guān)鍵看敵 然而，鏈路加密有一個(gè)嚴(yán)重的弱點(diǎn):它一次只能保護(hù)一個(gè)鏈路。報(bào)文在通過其他鏈路的時(shí)
人是誰，這可能成為一個(gè)嚴(yán)重的缺陷。如果希望嚴(yán)密保護(hù)本地通信(即在共享的同軸電纜上)或保護(hù)少量極脆弱的線路，應(yīng)選擇
鏈路加密。
 
衛(wèi)星線路是一個(gè)典型的例子，因?yàn)榭缪箅娎|線路隨時(shí)可以切換為基于衛(wèi)星的備用線路。
 
 
1.4.4網(wǎng)絡(luò)層安全很重要 日全支
 
 
對(duì) Internet層的安全協(xié)議進(jìn)行標(biāo)準(zhǔn)化的想法早就有了。在過去十年里，已經(jīng)提出了一些
方案。例如，“安全協(xié)議3號(hào)(SP3)”就是美國國家安全局以及標(biāo)準(zhǔn)技術(shù)協(xié)會(huì)作為“安全數(shù)據(jù)網(wǎng)
 
 
絡(luò)系統(tǒng)(SDNS)"的一部分而制定的?！熬W(wǎng)絡(luò)層安全協(xié)議(NLSP)"是由國際標(biāo)準(zhǔn)化組織為“無連
所提出的包括P和CLNP在內(nèi)的統(tǒng)一安全機(jī)制。 Swipe是另一個(gè) Internet，層的安全協(xié)議，由 接網(wǎng)絡(luò)協(xié)議(CLNP)"制定的安全協(xié)議標(biāo)準(zhǔn)。“集成化NLSP(IーNLSP)”是美國國家科技研究
Toannidis和 Blaze提出并實(shí)現(xiàn)原型。所有這些提案的共同點(diǎn)多于不同點(diǎn)。事實(shí)上，他們用的
都是IP封裝技術(shù)。其本質(zhì)是，純文本的包被加密，封裝在外層的IP報(bào)頭里，用來對(duì)加密的
到收?qǐng)?bào)地 包進(jìn)行 Internet上的路由選擇。到達(dá)另一端時(shí)，外層的IP報(bào)頭被拆開，報(bào)文被解密，然后送
 
(IPSP)和對(duì)應(yīng)的 Internet密鑰管理協(xié)議(IKMP)進(jìn)行標(biāo)準(zhǔn)化工作。IPSP的主要目的是使需要 Internet工程特組(IETF)已經(jīng)特許 Internet s安全協(xié)議( IPSEC)工作組對(duì)1P安全協(xié)議
安全措施的用戶能夠使用相應(yīng)的加密安全體制。該體制不僅能在目前通行的IP(IPv4)下工
作，也能在IP的新版本(IPng或IPv6)下工作。該體制應(yīng)該是與算法無關(guān)的，即使加密算法
替換了，也不對(duì)其它部分的實(shí)現(xiàn)產(chǎn)生影響。此外，該體制必須能實(shí)行多種安全政策，但要避
免給不使用該體制的人造成不利影響。按照這些要求， IPSEC工作組制訂了一個(gè)規(guī)范:認(rèn)證
盲之，AH提供IP包的真實(shí)性和完整性，ESP提供機(jī)要內(nèi)容。引人注。廳動(dòng)是因?yàn)槊鼛П环莸膿p失比由于設(shè)備放障失去數(shù)據(jù)的損失更大。由于備存在安全洞，一些計(jì)算機(jī)系統(tǒng)允許用戶的持別文件不進(jìn)行系統(tǒng)備份。這樣的
 
 
 
143制作安全的路層
 
動(dòng)程序也不知道它的存在，更別說應(yīng)用程序了。的、每層加是碼保護(hù)最透明的形式。事實(shí)上，它常常通過外部加密盒實(shí)現(xiàn)，因此，
 
顧名思義，這種形式的加密是為了保護(hù)一個(gè)單獨(dú)的鏈路。它既有優(yōu)點(diǎn)也有弱點(diǎn)。優(yōu)點(diǎn)是
抗流量分析，一種能明智地識(shí)別出誰與誰在通信的攻擊。在一定環(huán)境 ビ非常強(qiáng)有力，因?yàn)?對(duì)一定類型的硬件)整個(gè)數(shù)據(jù)包是加密的，包括源地址和目的地址。這能
 
 
密，甚至流量的存在性都可以偽裝。
 
候，仍然會(huì)暴露。即使它們也被加器保護(hù)起來，報(bào)文在交換節(jié)點(diǎn)仍容易受到傷害。關(guān)鍵看敵 然而，鏈路加密有一個(gè)嚴(yán)重的弱點(diǎn):它一次只能保護(hù)一個(gè)鏈路。報(bào)文在通過其他鏈路的時(shí)
人是誰，這可能成為一個(gè)嚴(yán)重的缺陷。如果希望嚴(yán)密保護(hù)本地通信(即在共享的同軸電纜上)或保護(hù)少量極脆弱的線路，應(yīng)選擇
鏈路加密。
 
衛(wèi)星線路是一個(gè)典型的例子，因?yàn)榭缪箅娎|線路隨時(shí)可以切換為基于衛(wèi)星的備用線路。
 
 
1.4.4網(wǎng)絡(luò)層安全很重要 日全支
 
 
對(duì) Internet層的安全協(xié)議進(jìn)行標(biāo)準(zhǔn)化的想法早就有了。在過去十年里，已經(jīng)提出了一些
方案。例如，“安全協(xié)議3號(hào)(SP3)”就是美國國家安全局以及標(biāo)準(zhǔn)技術(shù)協(xié)會(huì)作為“安全數(shù)據(jù)網(wǎng)
 
 
絡(luò)系統(tǒng)(SDNS)"的一部分而制定的?！熬W(wǎng)絡(luò)層安全協(xié)議(NLSP)"是由國際標(biāo)準(zhǔn)化組織為“無連
所提出的包括P和CLNP在內(nèi)的統(tǒng)一安全機(jī)制。 Swipe是另一個(gè) Internet，層的安全協(xié)議，由 接網(wǎng)絡(luò)協(xié)議(CLNP)"制定的安全協(xié)議標(biāo)準(zhǔn)?！凹苫疦LSP(IーNLSP)”是美國國家科技研究
Toannidis和 Blaze提出并實(shí)現(xiàn)原型。所有這些提案的共同點(diǎn)多于不同點(diǎn)。事實(shí)上，他們用的
都是IP封裝技術(shù)。其本質(zhì)是，純文本的包被加密，封裝在外層的IP報(bào)頭里，用來對(duì)加密的
到收?qǐng)?bào)地 包進(jìn)行 Internet上的路由選擇。到達(dá)另一端時(shí)，外層的IP報(bào)頭被拆開，報(bào)文被解密，然后送
 
(IPSP)和對(duì)應(yīng)的 Internet密鑰管理協(xié)議(IKMP)進(jìn)行標(biāo)準(zhǔn)化工作。IPSP的主要目的是使需要 Internet工程特組(IETF)已經(jīng)特許 Internet s安全協(xié)議( IPSEC)工作組對(duì)1P安全協(xié)議
安全措施的用戶能夠使用相應(yīng)的加密安全體制。該體制不僅能在目前通行的IP(IPv4)下工
作，也能在IP的新版本(IPng或IPv6)下工作。該體制應(yīng)該是與算法無關(guān)的，即使加密算法
替換了，也不對(duì)其它部分的實(shí)現(xiàn)產(chǎn)生影響。此外，該體制必須能實(shí)行多種安全政策，但要避
免給不使用該體制的人造成不利影響。按照這些要求， IPSEC工作組制訂了一個(gè)規(guī)范:認(rèn)證
盲之，AH提供IP包的真實(shí)性和完整性，ESP提供機(jī)要內(nèi)容。頭AH( Authentication Header)和封裝安全有效負(fù)荷ESP( Encapsulating Security Payload)。簡
 
IPAH指一段消息認(rèn)證代碼MAC( Message Authentication Code)，在發(fā)送IP包之前，它引人注。廳動(dòng)是因?yàn)槊鼛П环莸膿p失比由于設(shè)備放障失去數(shù)據(jù)的損失更大。由于備存在安全洞，一些計(jì)算機(jī)系統(tǒng)允許用戶的持別文件不進(jìn)行系統(tǒng)備份。這樣的
 
 
 
143制作安全的路層
 
動(dòng)程序也不知道它的存在，更別說應(yīng)用程序了。的、每層加是碼保護(hù)最透明的形式。事實(shí)上，它常常通過外部加密盒實(shí)現(xiàn)，因此，
 
顧名思義，這種形式的加密是為了保護(hù)一個(gè)單獨(dú)的鏈路。它既有優(yōu)點(diǎn)也有弱點(diǎn)。優(yōu)點(diǎn)是
抗流量分析，一種能明智地識(shí)別出誰與誰在通信的攻擊。在一定環(huán)境 ビ非常強(qiáng)有力，因?yàn)?對(duì)一定類型的硬件)整個(gè)數(shù)據(jù)包是加密的，包括源地址和目的地址。這能
 
 
密，甚至流量的存在性都可以偽裝。
 
候，仍然會(huì)暴露。即使它們也被加器保護(hù)起來，報(bào)文在交換節(jié)點(diǎn)仍容易受到傷害。關(guān)鍵看敵 然而，鏈路加密有一個(gè)嚴(yán)重的弱點(diǎn):它一次只能保護(hù)一個(gè)鏈路。報(bào)文在通過其他鏈路的時(shí)
人是誰，這可能成為一個(gè)嚴(yán)重的缺陷。如果希望嚴(yán)密保護(hù)本地通信(即在共享的同軸電纜上)或保護(hù)少量極脆弱的線路，應(yīng)選擇
鏈路加密。
 
衛(wèi)星線路是一個(gè)典型的例子，因?yàn)榭缪箅娎|線路隨時(shí)可以切換為基于衛(wèi)星的備用線路。
 
 
1.4.4網(wǎng)絡(luò)層安全很重要 日全支
 
 
對(duì) Internet層的安全協(xié)議進(jìn)行標(biāo)準(zhǔn)化的想法早就有了。在過去十年里，已經(jīng)提出了一些
方案。例如，“安全協(xié)議3號(hào)(SP3)”就是美國國家安全局以及標(biāo)準(zhǔn)技術(shù)協(xié)會(huì)作為“安全數(shù)據(jù)網(wǎng)
 
 
絡(luò)系統(tǒng)(SDNS)"的一部分而制定的?！熬W(wǎng)絡(luò)層安全協(xié)議(NLSP)"是由國際標(biāo)準(zhǔn)化組織為“無連
所提出的包括P和CLNP在內(nèi)的統(tǒng)一安全機(jī)制。 Swipe是另一個(gè) Internet，層的安全協(xié)議，由 接網(wǎng)絡(luò)協(xié)議(CLNP)"制定的安全協(xié)議標(biāo)準(zhǔn)。“集成化NLSP(IーNLSP)”是美國國家科技研究
Toannidis和 Blaze提出并實(shí)現(xiàn)原型。所有這些提案的共同點(diǎn)多于不同點(diǎn)。事實(shí)上，他們用的
都是IP封裝技術(shù)。其本質(zhì)是，純文本的包被加密，封裝在外層的IP報(bào)頭里，用來對(duì)加密的
到收?qǐng)?bào)地 包進(jìn)行 Internet上的路由選擇。到達(dá)另一端時(shí)，外層的IP報(bào)頭被拆開，報(bào)文被解密，然后送
 
(IPSP)和對(duì)應(yīng)的 Internet密鑰管理協(xié)議(IKMP)進(jìn)行標(biāo)準(zhǔn)化工作。IPSP的主要目的是使需要 Internet工程特組(IETF)已經(jīng)特許 Internet s安全協(xié)議( IPSEC)工作組對(duì)1P安全協(xié)議
安全措施的用戶能夠使用相應(yīng)的加密安全體制。該體制不僅能在目前通行的IP(IPv4)下工
作，也能在IP的新版本(IPng或IPv6)下工作。該體制應(yīng)該是與算法無關(guān)的，即使加密算法
替換了，也不對(duì)其它部分的實(shí)現(xiàn)產(chǎn)生影響。此外，該體制必須能實(shí)行多種安全政策，但要避
免給不使用該體制的人造成不利影響。按照這些要求， IPSEC工作組制訂了一個(gè)規(guī)范:認(rèn)證
盲之，AH提供IP包的真實(shí)性和完整性，ESP提供機(jī)要內(nèi)容。頭AH( Authentication Header)和封裝安全有效負(fù)荷ESP( Encapsulating Security Payload)。簡
 
IPAH指一段消息認(rèn)證代碼MAC( Message Authentication Code)，在發(fā)送IP包之前，它頭AH( Authentication Header)和封裝安全有效負(fù)荷ESP( Encapsulating Security Payload)。