网络信息安全基础知识.pptVIP

（4）数据完整性机制 ① 数据完整性机制的两个方面： 单个的数据单元或字段的完整性 数据单元串或字段串的完整性 ② 确定单个数据单元的完整性：确定单个数据单元的完整性涉及到两个处理：一个在发送实体中进行，而另一个在接收实体中进行。 ③ 编序形式：对于连接方式的数据传输，保护数据单元序列的完整性(即防止扰乱、丢失、重放、插入或篡改数据)还需要某种明显的编序形式，如序号、时标式密码链等。 ④ 保护形式：对于无连接的数据传输，时标可用于提供一种有限的保护形式，以防止单个数据单元的重放。 第六十二页，共一百零七页。 （4）数据完整性机制 对数据完整性的五个最常见的威胁： 第六十三页，共一百零七页。 （4）数据完整性机制 人本身对数据完整性的威胁： 第六十四页，共一百零七页。 （4）数据完整性机制 硬件故障对数据完整性的威胁： 第六十五页，共一百零七页。 （4）数据完整性机制 网络故障对数据完整性的威胁： 第六十六页，共一百零七页。 （4）数据完整性机制 软件故障对数据完整性的威胁： 第六十七页，共一百零七页。 （4）数据完整性机制 灾难对数据完整性的威胁： 第六十八页，共一百零七页。 （5）鉴别交换机制 这种安全机制是通过信息交换以确保实体身份的一种机制。 ① 可用于鉴别交换的一些技术 （a）利用鉴别信息（如通信字） （b）密码技术 （c）利用实体的特征或占有物。 ② 对等实体鉴别：如果在鉴别实体时得到的是否定结果，那么将会导致拒绝连接或终止连接，而且还会在安全审计线索中增加一个记录，或向安全管理中心进行报告。 ③ 确保安全：在利用密码技术时，可以同“握手”协议相结合，以防止重放(即确保有效期)。 ④ 应用环境：选择鉴别交换技术取决于它们应用的环境。在许多场合下，需要同下列各项结合起来使用：（a）时标和同步时钟；（b）双向和三向握手(分别用于单方和双方鉴别)；（c）由数字签名或公证机制实现的不可否认服务。 第六十九页，共一百零七页。 （6）业务填充机制 这是一种防止造假的通信实例、产生欺骗性数据单元或在数据单元中产生假数据的安全机制。该机制可用于提供对各种等级的保护，以防止业务分析。该机制只有在业务填充受到保密性服务保护时才有效。 第七十页，共一百零七页。 （7）路由控制机制 ① 路由选择：路由既可以动态选择，也可以事先安排好，以便只利用物理上安全的子网、中继站或链路。 ② 路由连接：当检测到持续操作攻击时，端系统可望指示网络服务提供者通过不同的路由以建立连接。 ③ 安全策略：携带某些安全标签的数据可能被安全策略禁止通过某些子网、中继站或链路。连接的发起者（或无连接数据单元的发送者）可以指定路由说明，以请求回避特定的子网的中继站或链路。 第七十一页，共一百零七页。 （8）公证机制 关于在两个或多个实体间进行通信的数据的性能，比如它的完整性、来源、时间和目的地等，可由公证机制来保证。保证由第三方公证人提供，公证人能够得到通信实体的信任，而且可以掌握按照某种可证实方式提供所需保证的必要的信息。每个通信场合都可以利用数字签名、加密和完整性机制以适应公证人所提供的服务。在用到这样一个公证机制时，数据便经由受保护的通信场合和公证人在通信实体之间进行传送。 第七十二页，共一百零七页。 安全管理 OSI安全体系结构的第三个主要部分就是安全管理。它的主要内容是实施一系列的安全政策，对系统和网络上的操作进行管理。它包括三部分内容： 系统安全管理 安全服务管理 安全机制管理 OSI安全管理涉及到OSI管理系统本身的安全，包括OSI管理协议的安全和OSI管理信息交换的安全等。 第七十三页，共一百零七页。 （1）系统安全管理 涉及整体OSI安全环境的管理。包括： 总体安全策略的管理 OSI安全环境之间的安全信息交换 安全服务管理和安全机制管理的交互作用 安全事件的管理 安全审计管理 安全恢复管理 第七十四页，共一百零七页。 （2）安全服务管理 涉及特定安全服务的管理，其中包括： 对某种安全服务定义其安全目标; 指定安全服务可使用的安全机制; 通过适当的安全机制管理及调动需要的安全机制; 系统安全管理以及安全机制管理相互作用。 第七十五页，共一百零七页。 （3）安全机制管理 涉及特定的安全机制的管理。其中包括： 密钥管理 加密管理 数字签名管理 访问控制管理 数据完整性管理 鉴别管理 业务流填充管理 公证管理 第七十六页，共一百零七页。 网络信息安全问题的根源 2) 代码炸弹 代码炸弹是一种具有杀伤力的代码，其原理是在到达设定的时间，通过网络向被攻击者发送特