任何危及网络系统信息安全的活动都属于安全攻击。
网络信息安全的基本日标就是保护网络系统的硬件、软件及其系统中的数据,使其不被未经授权地访问(机密性),不因偶然的或者恶意的原因而遭到破坏、更改(完整性),保证系统连续、正常运行,网络服务不中断(可用性)。
因此,网络信息安全的任务包括:保障各种网络资源稳定、可靠地运行,保障各种网络资源受控、合法地使用。为了保证网络中的信息安全和网络信息安全任务的实现,人们]通常基于某些安全机制,向用户提供一定的安全服务,且安全服务的实现要依赖于一定的安全技术(如密码学和隐写术)。
所谓安全机制,是指用来保护系统免受侦听,阻止安全攻击及恢复系统的机制。具体可分为以下两类。
1.特定的安全机制
它在特定的协议层实现,以提供一些OSI安全服务,具体内容如下。
(1)加密
运用一定的数学算法将数据转换成不可直接识读的形式,提供机密性。数据的转换和恢复依赖于算法和密钥。
(2)数字签名
基于被签名数据内容的一种密码变换,它能使发送方以电子的方式签名数据,使接收方以电子的方式证实数据来源的真实性,防止伪造和否认。数字签名的实现依赖于公钥密码体制中公钥和私钥的配合使用。
(3)访问控制
对系统资源进行访问控制的各种机制。访问控制机制运用多种方法来证实用户对系统的数据或资源拥有访问权限,最典型的访问控制机制就是“身份+口令”模式。
(4)数据完整性
用于保证数据或数据流不被非授权篡改、伪造等引起完整性破坏的各种机制。数据完整性机制通常要求基于特定的过程生成数据的校验值并将其附在原始数据之后,接收方收到该数据及其校验值之后,可以按发送方相同的方法生成该数据的校验值,并与收到的校验值进行比较,如果二者一致,则数据的完整性得到保证。
(5)认证交换
通过信息交换来确认实体身份的各种机制,即通信双方交换一些信息以相互证实自己的身份。
(6)流量填充
为了阻止流量分析而在数据流中插入若干位数据的操作。
(7)路由控制
能够为某些特殊数据选择物理上安全路线的方法。路由控制意味着在发送方和接收方之间选择并不断地变换不同的可用路由以阻止攻击者窃听某个特定的路由。
(8)公证
利用可信的第三方来保证数据交换的某些性质,如真实性、完整性、不可否认性等。如为了防止源方否认,接收方能够引入一个可信的第三方存储发送方的请求以阻止发送方事后否认他曾发出如此请求。
2.通用的安全机制
通用的安全机制不属于任何OSI协议层或安全服务,包括以下几个方面。
(1)可信功能
根据安全策略等所建立的标准被认定是可信的。
(2)安全标签
资源的标志,用于指明该资源的安全属性。
(3)事件检测
检测与安全相关的事件。
(4)安全审计跟踪
是指对系统记录和行为的独立回顾和检查。
(5)安全恢复
根据安全机制的要求,对受到攻击后的系统采取恢复行为。
