網(wǎng)絡(luò)和Internet安全領(lǐng)域涉及，阻止，防止，檢測和糾正信息傳輸過程中的安全違規(guī)行為的措施。

1、計(jì)算機(jī)安全

計(jì)算機(jī)安全：對于一個(gè)自動化的信息系統(tǒng)，采取保護(hù)措施確保信息系統(tǒng)（包括硬件，軟件，固件，信息和通信）資源的完整性，可用性和保密性。

計(jì)算機(jī)安全的最核心三個(gè)關(guān)鍵目標(biāo)為：保密性Confidentiality，完整性Integrity，可用性Availability ，三者成為CIA三元組

（1）保密性：數(shù)據(jù)保密性：確保隱私或是秘密信息不向非授權(quán)者泄漏，也不被非授權(quán)者使用（獲取到明文）。隱私性：確保個(gè)人能夠控制或確定與其自身相關(guān)的那些信息可以被收集的，被保存的，這些信息可以由誰來公開或是向誰公開。對信息的訪問和公開進(jìn)行授權(quán)限制，保密性確實(shí)的定義是信息的非授權(quán)泄漏

（2）完整性：數(shù)據(jù)完整性：確保信息和程序能夠以特定和授權(quán)的方式改變。系統(tǒng)完整性：確保系統(tǒng)只能通過被授權(quán)來執(zhí)行預(yù)定的功能，免于有意或是無意的非授權(quán)操縱。防止對信息的不合法的修改或破壞，完整性缺失的定義是對信息的非授權(quán)修改和破壞。

（3）可用性：確保系統(tǒng)能夠工作迅速，對授權(quán)用戶不能拒絕服務(wù)。確保即使和可靠的訪問與使用信息，可用性的缺失是對信息和信息系統(tǒng)訪問和使用的中斷。

這三元組體現(xiàn)了數(shù)據(jù)，信息和計(jì)算服務(wù)的基本安全目標(biāo)。

在某些安全領(lǐng)域還有另外兩個(gè)概念：

? 真實(shí)性：一個(gè)實(shí)體是真實(shí)性的，可被驗(yàn)證的和可被信任的特性。對于傳輸信息來說，信息和信息的來源都是正確的。也就是說能夠驗(yàn)證那個(gè)用戶是否是他聲稱的那個(gè)人，以及系統(tǒng)的每個(gè)輸入是否均來自可信任的信源

? 可追溯性：要求實(shí)體的行為可以唯一的追溯到該實(shí)體，這一屬性支持不可否認(rèn)性，阻止，故障隔離，入侵檢測和預(yù)防，事后恢復(fù)，以及法律訴訟。因?yàn)闊o法得到真正安全的系統(tǒng)，我們必須能夠追查到對安全泄漏負(fù)有責(zé)任的一方。系統(tǒng)必須能保留他們的活動記錄，以及允許時(shí)候?qū)徲?jì)分析，進(jìn)而跟蹤安全事件或解決爭執(zhí)。

2、OSI安全架構(gòu)

ITU-T推薦X.800，即OSI安全框架，提供安全的一種組織方法。

主要關(guān)注：安全攻擊，安全機(jī)制和安全服務(wù)：

? 安全攻擊：任何危機(jī)信息安全的行為

? 安全機(jī)制：用來檢測，阻止攻擊或從供給狀態(tài)恢復(fù)到正常狀態(tài)的過程

? 安全服務(wù)：加強(qiáng)數(shù)據(jù)處理系統(tǒng)和信息傳輸?shù)陌踩缘囊环N處理過程或通信服務(wù)，目的在于利用一種或多種安全機(jī)制進(jìn)行反攻擊

威脅：破壞安全的潛在可能，在環(huán)境，能力，行為或事件允許的情況下，它們會破壞，造成安全，也就是說威脅是脆弱被利用而帶來的危險(xiǎn)。

攻擊：對系統(tǒng)安全的攻擊，它來源于一種具有智能的威脅，級又以違反安全服務(wù)和侵犯系統(tǒng)安全策略（方法或是技術(shù)方面）的智能行為。

2.1 安全攻擊

安全攻擊分為被動攻擊和主動攻擊。被動攻擊試圖獲取或利用系統(tǒng)的信息，但不影響系統(tǒng)資源。主動攻擊則試圖改變系統(tǒng)資源或影響系統(tǒng)運(yùn)行。

2.1.1 被動攻擊

被動攻擊的特性是對傳輸進(jìn)行竊聽和檢測。攻擊者的目標(biāo)是獲取傳輸?shù)男畔?。信息?nèi)容的泄漏和流量分析都屬于被動攻擊。

流量分析：當(dāng)我們對信息進(jìn)行加密，那么即使竊聽到數(shù)據(jù)，也無法獲取明文，但是仍然可以對這些數(shù)據(jù)進(jìn)行分析，獲得傳輸消息的頻率和長度，以及通信主機(jī)的身份和位置，從而判斷通信的某些性質(zhì)。

被動攻擊不涉及對數(shù)據(jù)的修改，因此很難察覺。通常采用加密的方式來阻止被動攻擊。對于被動攻擊重點(diǎn)是預(yù)防而非檢測（很難檢測出來）

2.1.2 主動攻擊

主動攻擊包括對數(shù)據(jù)流的修改或偽造數(shù)據(jù)流分為：偽裝，重放，消息修改和拒絕服務(wù)。

（1）偽裝：指某實(shí)體假裝為其他實(shí)體。偽裝攻擊還包含其他形式的主動攻擊。例如，截獲認(rèn)證信息，在認(rèn)證信息完成合法驗(yàn)證以后進(jìn)行重放。無權(quán)限的實(shí)體就可以通過冒充有權(quán)限的實(shí)體獲得額外的權(quán)限

（2）重放：指攻擊者未經(jīng)授權(quán)將截獲的信息再次重放。

（3）消息修改：未經(jīng)授權(quán)地修改合法消息的一部分，或延時(shí)消息的傳輸（沒修改內(nèi)容），或改變消息的順序。

（4）拒絕服務(wù)：阻止或禁止對通信設(shè)備的正常使用或是管理。針對具體的目標(biāo)。拒絕服務(wù)的另一種形式是破壞整個(gè)網(wǎng)絡(luò)，是網(wǎng)絡(luò)是小，或是網(wǎng)絡(luò)過載以降低其性能。

主動攻擊難以絕對預(yù)防，所以主動攻擊重點(diǎn)在于：檢測，并從攻擊造成的破壞或延遲中恢復(fù)過來。

2.2 安全服務(wù)

X.800 將安全服務(wù)定義為：在通信開放的系統(tǒng)中，為系統(tǒng)或數(shù)據(jù)傳輸提供足夠安全的協(xié)議層服務(wù)。

RFC4949定義為：安全服務(wù)是一種有系統(tǒng)提供的對系統(tǒng)資源進(jìn)行特殊保護(hù)的處理或是通信服務(wù)。

安全服務(wù)通過安全機(jī)制來實(shí)現(xiàn)安全策略。

安全服務(wù)分為5大類，14個(gè)具體的特定服務(wù)：

2.2.1 認(rèn)證

保證通信的實(shí)體是它所聲稱的實(shí)體

認(rèn)證服務(wù)用于保證通信的完整性。在單條消息中，認(rèn)證服務(wù)能夠向接收方保證確實(shí)來自其所聲稱的發(fā)送方。對于正在進(jìn)行的通信，會涉及發(fā)送方和接收方兩個(gè)主體。

? 首先，在連接的初始化階段，認(rèn)證服務(wù)保證兩個(gè)實(shí)體是可信的，也就是說，每個(gè)實(shí)體都是他們所聲稱的實(shí)體

? 其次，認(rèn)證服務(wù)必須保證該鏈接不受第三方的干涉（干涉：指的是第三方能夠偽裝成兩個(gè)合法主體中的一個(gè)進(jìn)行非授權(quán)傳輸或接受）

兩個(gè)特殊的認(rèn)證服務(wù)

? 對等實(shí)體認(rèn)證：為連接中的對等實(shí)體提供身份確認(rèn)。期望做到：一個(gè)實(shí)體沒有試圖進(jìn)行偽裝或?qū)σ郧暗倪B接進(jìn)行非授權(quán)重放

? 數(shù)據(jù)源認(rèn)證：為數(shù)據(jù)的來源提供確認(rèn)，并不對數(shù)據(jù)的復(fù)制或修改提供保護(hù)。

2.2.2 訪問控制

阻止對資源的非授權(quán)使用，限制和控制通過通信連接對主機(jī)資源進(jìn)行訪問的一種能力。因此每個(gè)試圖獲得訪問控制的實(shí)體必須被識別和認(rèn)證后，才能獲取相應(yīng)的權(quán)限。這項(xiàng)服務(wù)控制誰能訪問資源，在什么條件下訪問，訪問這些資源用于做什么

2.2.3 數(shù)據(jù)保密性

保護(hù)數(shù)據(jù)免于非授權(quán)泄密，主要是被動攻擊。防止傳輸?shù)臄?shù)據(jù)遭到被動攻擊

（1）連接保密性：保護(hù)依次連接中所有用戶數(shù)據(jù)

（2）無連接保密性：保護(hù)單個(gè)數(shù)據(jù)塊中的所有用戶數(shù)據(jù)

（3）選擇與保密性：對一次連接或單個(gè)數(shù)據(jù)塊中指定的數(shù)據(jù)部分提供保密性

（4）流量保密性：保護(hù)那些可以功過觀測流量而獲得的信息

2.2.4 數(shù)據(jù)完整性

保證收到的數(shù)據(jù)確實(shí)是授權(quán)實(shí)體發(fā)出的數(shù)據(jù)（未被修改，插入，刪除，或是重播）

完整性服務(wù)可分為：用于信息流，單條消息或是消息指定部分。

或是分為可恢復(fù)服務(wù)和無恢復(fù)服務(wù)。完整性服務(wù)和主動攻擊有關(guān)，因此關(guān)心檢測和恢復(fù)。

（1）具有恢復(fù)功能的連接完整性：提供一次連接中所有用戶的數(shù)據(jù)完整性。檢測整個(gè)數(shù)據(jù)序列內(nèi)存在的插入，刪除，或重播，并試圖恢復(fù)

（2）無恢復(fù)的連接完整性：同上，但僅僅提供檢測，不提供恢復(fù)

（3）選擇域連接完整性：提供一次傳輸中單個(gè)數(shù)據(jù)塊內(nèi)用戶數(shù)據(jù)的指定部分的完整性，并判斷指定部分是否有修改，插入，刪除或是重播

（4）無連接的完整性：為單個(gè)無連接數(shù)據(jù)塊提供完整性保護(hù)，并檢測是否有數(shù)據(jù)修改。另外禿頂有限的重播檢測

（5）選擇域無連接完整性：為單個(gè)無連接數(shù)據(jù)塊內(nèi)指定域提供完整性保護(hù)，哦判斷制定與是否被修改

2.2.5 不可否認(rèn)性

防止整個(gè)或部分通信過程中，任一通信實(shí)體否認(rèn)的行為。防止發(fā)送方或接收方否認(rèn)傳輸或接受過某條消息。

因此在消息發(fā)出后，接收方能證明消息是由聲稱的發(fā)送方發(fā)出的。同樣，小細(xì)節(jié)售后，發(fā)送方能證明消息確實(shí)由聲稱的接收方收到。

? 源不可否認(rèn)性：證明消息是有特定方發(fā)出的

? 宿不可否認(rèn)性：證明消息被特性方收到

2.2.6 可用性服務(wù)

X.800和RFC4949定義為：根據(jù)系統(tǒng)的性能說明，系統(tǒng)資源可被手段實(shí)體請求訪問或使用。很多攻擊會導(dǎo)致可用性的損失或降級，對于某些攻擊，可以通過一些自動防御措施來防止?；蚴峭ㄟ^物理措施阻止回復(fù)分布式系統(tǒng)中被破壞的可用性的那部分

2.3 安全機(jī)制

安全機(jī)制分為兩類：

? 特定協(xié)議層的實(shí)現(xiàn)

可以并入?yún)f(xié)議層提供一些OSI安全服務(wù)

1. 加密

2. 數(shù)字簽名：防止偽造

3. 訪問控制

4. 數(shù)據(jù)完整性

5. 認(rèn)證交換

6. 流量填充：阻止流量分析

7. 路由控制

8. 公證

? 普通安全機(jī)制

不局限于特定的協(xié)議層

1. 可信功能

2. 安全標(biāo)簽

3. 事件檢測

4. 安全審計(jì)更總

5. 安全恢復(fù)

X.800將加密機(jī)制機(jī)制區(qū)分：

可以加密機(jī)制：數(shù)據(jù)可以加密和解密

不可以加密機(jī)制：用戶數(shù)字簽名和消息認(rèn)證

3、基本安全設(shè)計(jì)準(zhǔn)則

安全設(shè)計(jì)準(zhǔn)則：

（1）機(jī)制的經(jīng)濟(jì)性：指嵌入在硬件和軟件中的安全機(jī)制贏設(shè)計(jì)的盡量簡單，短小。設(shè)計(jì)越復(fù)雜，就弱點(diǎn)就難以被發(fā)現(xiàn)，漏洞也可能越多。也是最難遵循的準(zhǔn)則

（2）故障安全默認(rèn)：指訪問決策基于訪問的條件。在安全機(jī)制的設(shè)計(jì)或?qū)崿F(xiàn)中出現(xiàn)錯誤時(shí)，應(yīng)拒絕訪問許可。以便檢測到錯誤。

（3）完整的監(jiān)察：必須檢查訪問機(jī)制中的每一個(gè)訪問，不能依賴從緩存中檢索得到的訪問決策。也就是說應(yīng)該實(shí)時(shí)的讀取全權(quán)限

（4）開放的設(shè)計(jì)：設(shè)計(jì)應(yīng)該開放

（5）權(quán)限分離：需要多個(gè)權(quán)限屬性來訪問一個(gè)受限資源時(shí)的準(zhǔn)則。適用于任何需要將程序劃分為多個(gè)部分，每個(gè)部分被授予不同的權(quán)限，減輕計(jì)算機(jī)收到攻擊時(shí)的潛在損害

（6）最小權(quán)限：每個(gè)進(jìn)程和用戶應(yīng)該執(zhí)行該任務(wù)所需要的最小權(quán)限集來進(jìn)行操作。

（7）最小共同機(jī)制：把不同用戶共享的功能設(shè)計(jì)的最小，以便提供共同的安全性。

（8）心理接受度：滿足授權(quán)訪問的用戶需求的同時(shí)，不應(yīng)該過度的干預(yù)用戶的工作。

（9）隔離

（10）封裝：基于面型對象的特定形式的隔離。

（11）模塊化：指將安全功能作為獨(dú)立的模塊開發(fā)，機(jī)制設(shè)計(jì)和實(shí)現(xiàn)的模塊化。

（12）分層：使用多個(gè)疊加的保護(hù)方法來保護(hù)信息系統(tǒng)的人員，技術(shù)和操作。任何一層失敗，保護(hù)依然有效。

（13）最小意外：程序或用戶結(jié)構(gòu)對意外事故的處理響應(yīng)最小化。（也就是說，對用戶透明的感覺）

4、攻擊面與攻擊樹

攻擊面是有系統(tǒng)中一些列可訪問且可利用的漏洞組成。

主要分為：

? 網(wǎng)絡(luò)攻擊面：指的是企業(yè)網(wǎng)絡(luò)，廣域網(wǎng)或是互聯(lián)網(wǎng)。包含其中的王闊協(xié)議的漏洞：及拒絕服務(wù)供給，終端通信鏈路等

? 軟件攻擊面：設(shè)計(jì)應(yīng)用程序，工具包或操作系統(tǒng)漏洞。

? 人類攻擊面：主要是系統(tǒng)人員或是外部人員造成的漏洞

攻擊樹是采分支化，層次化表示利用安全漏洞的可能技術(shù)集合的一種數(shù)據(jù)結(jié)構(gòu)。

根節(jié)點(diǎn)：攻擊目的。第二層是攻擊的目標(biāo)，再往下則是攻擊的方式，等。

深度越深則越具體。因此葉節(jié)點(diǎn)是具體的攻擊方式。

5、密碼算法

密碼算法與協(xié)議分為四個(gè)領(lǐng)域：

? 對稱加密：加密任由大小的數(shù)據(jù)塊或是數(shù)據(jù)流的內(nèi)容，包括消息，文件，加密秘鑰和口令

? 非對稱加密：加密曉得數(shù)據(jù)塊，如加密秘鑰或數(shù)字簽名中使用的散列函數(shù)值

? 數(shù)據(jù)完整性算法：保護(hù)數(shù)據(jù)塊的內(nèi)容不被修改（不能保護(hù)，只能是被修改以后可以檢測出來）

? 認(rèn)證協(xié)議：基于密碼算法設(shè)計(jì)的認(rèn)證方案，用來認(rèn)證實(shí)體的身份

6、標(biāo)準(zhǔn)

美國國家標(biāo)準(zhǔn)與技術(shù)研究所NIST：負(fù)責(zé)處理與美國政府使用和促進(jìn)美國私營部門創(chuàng)新有關(guān)的測量科學(xué)，標(biāo)準(zhǔn)和技術(shù)

互聯(lián)網(wǎng)協(xié)會：ISOC：是一個(gè)具有全球阻止和個(gè)人護(hù)院資格的專業(yè)護(hù)院寫回。

ITU-T：國際電信聯(lián)盟是聯(lián)合國系統(tǒng)內(nèi)的一個(gè)國際組織

ISO國際標(biāo)準(zhǔn)化組織：由140多個(gè)國家的國家標(biāo)準(zhǔn)機(jī)構(gòu)組成的全球聯(lián)盟。