01 郑州市 2015 网络安全员培训考试资料 技术 第一章54.doc

第一章 基础安全与物理安全技术 一、信息安全技术概述 （一）体系结构 依据信息系统的自然组织方式，信息安全技术体系结构划分如下： 1. 物理安全技术 用来达到物理安全目标所采用的具体措施、过程和方法等，它对于各种信息网络应该是普遍适用的。物理安全技术按照需要保护的对象可以分为：环境安全技术和设备安全技术。 2. 系统安全技术 系统安全是相对于各种软件系统而言的，最基本、最重要的、也可以说是最大的软件系统就是操作系统。我们将对于系统的保护称为系统安全，那么实现系统安全的各种方法、措施和过程就被称为系统安全技术。 3. 网络安全技术 网络安全技术是指保护信息网络依存的网络环境的安全保障技术，通过这些技术的部署和实施，确保经过网络传输和交换的数据不会被增加、修改、丢失和泄露等。最常用的网络安全技术包括防火墙、入侵检测、漏洞扫描、抗拒绝服务攻击等。 4. 应用安全技术 任何信息网络存在的目的都是为某些对象提供服务，我们常常把它们称为应用，如电子邮件、FTP、HTTP 等。应用安全技术，是指以保护特定应用为目的的安全技术，如反垃圾邮件技术、网页防篡改技术、内容过滤技术等。 5.基础安全技术 有些技术并不能简单地归入上述的任何一个层次，而是所有这些层次都会用到的、依赖的技术，如：加密技术和PKI技术。 （二）安全服务 1.认证： 认证提供了关于某个实体（如人、机器、程序、进程等）身份的保证，为通信中的对等实体和数据来源提供证明。当某个实体声称具有一个特定的身份时，认证服务提供某种方法来证明这一声明是正确的。认证是最重要的安全服务，其他安全服务在某种程度上需要依赖于它。 2.访问控制： 访问控制的作用是防止任何实体以任何形式对任何资源（如计算机、网络、数据库等）进行非授权的访问。非授权的访问包括未经授权的使用、泄漏、修改、破坏以及发布等。访问控制的另一个作用是保护敏感信息不经过有风险的环境传送。 3.数据机密性： 数据机密性就是保护信息不泄漏或者不暴露给那些未经授权的实体。在信息网络中，我们还常常区分两种类型的机密性服务：数据的机密性服务和业务流机密性服务。前者使攻击者从获得的数据中无法获得有用的敏感信息；后者使攻击者通过观察网络中的业务流也无法获得有用的敏感信息。 4.数据完整性： 数据完整性，是指保证数据在传输过程中没有被修改、插入或者删除。数据完整性服务就是通过技术手段保证数据的完整性可验证、可发现。 5.非否认： 非否认服务的目的是在一定程度上杜绝通信各方之间存在着相互欺骗行为，通过提供证据来防止这样的行为：发送者的确发送过某一数据，接收者也的确接到过某一数据，但是事后发送者否认自己发送过该数据。 （三）安全机制 1.加密：加密能够实现数据机密性服务，同时也能提供对业务流的保密，并且还能作为其他机制的补充； 2.数字签名：可以实现对数据的签名和签名验证功能，由此提供非否认性服务； 3.访问控制： 依据实体所拥有的权限实现对资源访问的控制，对非授权的访问提供报警或者审计跟踪功能，由此提供访问控制服务； 4.数据完整性： 面向数据单元，在数据发送端制作以数据单元为参数的附加码，在数据接收单元通过验证数据单元和附加码的相关性确认数据是否完整，提供数据完整性服务； 5.认证交换： 利用密码技术，由发送方提供由接收方来实 现认证，由此可以实现认证服务； 6.业务流填充： 通过业务流分析可以获得通信信息的相关信 息，业务流填充机制使得业务流的外部特征统一 化，使得攻击者无法通过观察业务流获得敏感信 息，由此可以实现业务流机密性服务； 7.路由控制： 针对数据的安全性要求提供相应的路由选择，由此可以实现部分机密性服务； 8.公证： 利用第三方机构，实现对数据的完整性、时间、目的地、发起者等内容的公证，通常需要借助数字签名和加密等机制。 二、密码技术 密码学是一门研究加密与破译的科学，它是信息安全的基础学科之一。密码学的核心是密码加密技术，原理是利用一定的加密算法，将明文转换成无意义的密文，阻止非法用户理解原始数据，从而确保数据加密性。 密码技术是结合数学、计算机科学、电子与通信等诸多学科于一身的交叉学科，是保护信息安全的主要技术手段之一。用户在计算机网络信道上相互通信，其主要危险是被非法窃听。例如采用搭线窃听，对线路上传输的信息进行截获，采用电磁窃听，对用无线电传输的信息进行截获等。因此，对网络传输的报文进行数据加密，是一种很有效的反窃听手段。 密码技术不仅可以保证信息的机密性，而且可以保证信息的完整性，