網(wǎng)絡(luò)信息安全

1、網(wǎng)絡(luò)安全技術(shù)之我見楊磊九系三隊20075401591緒論隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個潛在的 巨大問題。網(wǎng)絡(luò)安全性是一個涉及面很廣泛的問題，其中也 會涉及到是否構(gòu)成犯罪行為的問題。在其最簡單的形式中， 它主要關(guān)心的是確保無關(guān)人員不能讀取，更不能修改傳送給 其他接收者的信息。此時，它關(guān)心的對象是那些無權(quán)使用， 但卻試圖獲得遠程服務(wù)的人。安全性也處理合法消息被截獲 和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。大多數(shù)安全性問題的出現(xiàn)都是由于有惡意的人試圖獲得某 種好處或損害某些人而故意引起的?？梢钥闯霰ＷC網(wǎng)絡(luò)安全 不僅僅是使它沒有編程錯誤。它包括要防范那些聰明的，通 常也是狡猾的

2、、專業(yè)的，并且在時間和金錢上是很充足、富 有的人。同時，必須清楚地認識到，能夠制止偶然實施破壞 行為的敵人的方法對那些慣于作案的老手來說，收效甚微。網(wǎng)絡(luò)安全性可以被粗略地分為4個相互交織的部分：保密、 鑒別、反拒認以及完整性控制。保密是保護信息不被未授權(quán) 者訪問，這是人們提到的網(wǎng)絡(luò)安全性時最常想到的內(nèi)容。鑒 別主要指在揭示敏感信息或進行事務(wù)處理之前先確認對方 的身份。反拒認主要與簽名有關(guān)。保密和完整性通過使用注 冊過的郵件和文件鎖來本文主要從網(wǎng)絡(luò)層次考慮，將網(wǎng)絡(luò)系統(tǒng)設(shè)計成一個支持 各級別用戶或用戶群的安全網(wǎng)絡(luò)，該網(wǎng)在保證系統(tǒng)內(nèi)部網(wǎng)絡(luò) 安全的同時，還實現(xiàn)與Internet或國內(nèi)其它網(wǎng)絡(luò)的安全互連

3、。 本方案在保證網(wǎng)絡(luò)安全可以滿足各種用戶的需求，比如：可 以滿足個人的通話保密性，也可以滿足企業(yè)客戶的計算機系 統(tǒng)的安全保障，數(shù)據(jù)庫不被非法訪問和破壞，系統(tǒng)不被病毒 侵犯，同時也可以防止諸如反動淫穢等有害信息在網(wǎng)上傳播 等。需要明確的是，安全技術(shù)并不能杜絕所有的對網(wǎng)絡(luò)的侵擾和 破壞，它的作用僅在于最大限度地防范，以及在受到侵擾的 破壞后將損失盡且降低。具體地說，網(wǎng)絡(luò)安全技術(shù)主要作用 有以下幾點：1 .采用多層防衛(wèi)手段，將受到侵擾和破壞的概率降到最低;提供迅速檢測非法使用和非法初始進入點的手段，核查 跟蹤侵入者的活動；提供恢復(fù)被破壞的數(shù)據(jù)和系統(tǒng)的手段，盡量降低損失；提供查獲侵入者的手段。網(wǎng)絡(luò)安全

4、技術(shù)是實現(xiàn)安全管理的基礎(chǔ)，近年來，網(wǎng)絡(luò)安全技 術(shù)得到了迅猛發(fā)展，已經(jīng)產(chǎn)生了十分豐富的理論和實際內(nèi) 容。通過對網(wǎng)絡(luò)系統(tǒng)的風(fēng)險分析及需要解決的安全問題，我 們需要制定合理的安全策略及安全方案來確保網(wǎng)絡(luò)系統(tǒng)的機密性、完整性、可用性、可控性與可審查性。即，可用性授權(quán)實體有權(quán)訪問數(shù)據(jù)機密性信息不暴露給未授權(quán)實體或進程完整性保證數(shù)據(jù)不被未授權(quán)修改可控性控制授權(quán)范圍內(nèi)的信息流向及操作方式可審查性：對出現(xiàn)的安全問題提供依據(jù)與手段訪問控制：需要由防火墻將內(nèi)部網(wǎng)絡(luò)與外部不可信任的網(wǎng)絡(luò) 隔離，對與外部網(wǎng)絡(luò)交換數(shù)據(jù)的內(nèi)部網(wǎng)絡(luò)及其主機、所交換 的數(shù)據(jù)進行嚴格的訪問控制。同樣，對內(nèi)部網(wǎng)絡(luò)，由于不同 的應(yīng)用業(yè)務(wù)以及不同的安

5、全級別，也需要使用防火墻將不同 的LAN或網(wǎng)段進行隔離，并實現(xiàn)相互的訪問控制。數(shù)據(jù)加密：數(shù)據(jù)加密是在數(shù)據(jù)傳輸、存儲過程中防止非法竊 取、篡改信息的有效手段。安全審計：是識別與防止網(wǎng)絡(luò)攻擊行為、追查網(wǎng)絡(luò)泄密行 為的重要措施之一。具體包括兩方面的內(nèi)容，一是采用網(wǎng)絡(luò) 監(jiān)控與入侵防范系統(tǒng)，識別網(wǎng)絡(luò)各種違規(guī)操作與攻擊行為， 即時響應(yīng)（如報警）并進行阻斷；二是對信息內(nèi)容的審計, 可以防止內(nèi)部機密或敏感信息的非法泄漏網(wǎng)絡(luò)安全是網(wǎng)絡(luò)正常運行的前提。網(wǎng)絡(luò)安全不單是單 點的安全，而是整個信息網(wǎng)的安全，需要從物理、網(wǎng)絡(luò)、系 統(tǒng)、應(yīng)用和管理方面進行立體的防護。要知道如何防護，首 先需要了解安全風(fēng)險來自于何處。網(wǎng)絡(luò)安全

6、系統(tǒng)必須包括技 術(shù)和管理兩方面，涵蓋物理層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層和 管理層各個層面上的諸多風(fēng)險類。無論哪個層面上的安全措 施不到位，都會存在很大的安全隱患，都有可能造成網(wǎng)絡(luò)的 中斷。根據(jù)國內(nèi)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用情況，應(yīng)當(dāng)從網(wǎng) 絡(luò)安全、系統(tǒng)安全、應(yīng)用安全及管理安全等方面進行全面地 分析。風(fēng)險分析是網(wǎng)絡(luò)安全技術(shù)需要提供的一個重要功能。它要連 續(xù)不斷地對網(wǎng)絡(luò)中的消息和事件進行檢測，對系統(tǒng)受到侵擾 和破壞的風(fēng)險進行分析。風(fēng)險分析必須包括網(wǎng)絡(luò)中所有有關(guān) 的成分。解決方案設(shè)計原則針對網(wǎng)絡(luò)系統(tǒng)實際情況，解決網(wǎng)絡(luò)的安全保密問題是 當(dāng)務(wù)之急，考慮技術(shù)難度及經(jīng)費等因素，設(shè)計時應(yīng)遵循如下 思想：1 .大幅度地

7、提高系統(tǒng)的安全性和保密性；保持網(wǎng)絡(luò)原有的性能特點，即對網(wǎng)絡(luò)的協(xié)議和傳輸具有 很好的透明性；易于操作、維護，并便于自動化管理，而不增加或少增 加附加操作；4盡量不影響原網(wǎng)絡(luò)拓撲結(jié)構(gòu)，同時便于系統(tǒng)及系統(tǒng)功能 的擴展；安全保密系統(tǒng)具有較好的性能價格比，一次性投資，可 以長期使用；安全與密碼產(chǎn)品具有合法性，及經(jīng)過國家有關(guān)管理部門的認可或認證；分步實施原則：分級管理分步實施。安全策略針對上述分析，我們采取以下安全策略：1 .采用漏洞掃描技術(shù)，對重要網(wǎng)絡(luò)設(shè)備進行風(fēng)險評估，保 證信息系統(tǒng)盡量在最優(yōu)的狀況下運行。采用各種安全技術(shù)，構(gòu)筑防御系統(tǒng)，主要有：防火墻技術(shù)：在網(wǎng)絡(luò)的對外接口，采用防火墻技術(shù)，在網(wǎng)絡(luò)層進行

8、訪問控制。NAT技術(shù)：隱藏內(nèi)部網(wǎng)絡(luò)信息。VPN :虛擬專用網(wǎng)(VPN)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上 的延伸，通過一個私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個安全的 私有連接。它通過安全的數(shù)據(jù)通道將遠程用戶、公司分支機 構(gòu)、公司業(yè)務(wù)伙伴等與公司的企業(yè)網(wǎng)連接起來，構(gòu)成一個擴 展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機將不會覺察到公共網(wǎng)絡(luò)的 存在，仿佛所有的機器都處于一個網(wǎng)絡(luò)之中。公共網(wǎng)絡(luò)似乎 只由本網(wǎng)絡(luò)在獨占使用，而事實上并非如此。(4 )網(wǎng)絡(luò)加密技術(shù)(Ipsec):采用網(wǎng)絡(luò)加密技術(shù)，對公網(wǎng)中 傳輸?shù)腎P包進行加密和封裝，實現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄?、?整性。它可解決網(wǎng)絡(luò)在公網(wǎng)的數(shù)據(jù)傳輸安全性問題，也可解 決遠程用戶訪問內(nèi)網(wǎng)

9、的安全問題。認證：提供基于身份的認證，并在各種認證機制中可選 擇使用。多層次多級別的企業(yè)級的防病毒系統(tǒng)：采用多層次多級 別的企業(yè)級的防病毒系統(tǒng)，對病毒實現(xiàn)全面的防護。(7 )網(wǎng)絡(luò)的實時監(jiān)測：采用入侵檢測系統(tǒng)，對主機和網(wǎng)絡(luò)進 行監(jiān)測和預(yù)警，進一步提高網(wǎng)絡(luò)防御外來攻擊的能力。實時響應(yīng)與恢復(fù)：制定和完善安全管理制度，提高對網(wǎng) 絡(luò)攻擊等實時響應(yīng)與恢復(fù)能力。建立分層管理和各級安全管理中心。物理安全物理安全是保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免 遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及 各種計算機犯罪行為導(dǎo)致的破壞過程。為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全，還要防止系統(tǒng)信息在空間 的擴散。通常是在物

10、理上采取一定的防護措施，來減少或干 擾擴散出去的空間信號。這是政府、軍隊、金融機構(gòu)在興建 信息中心時首要的設(shè)置的條件。為保證網(wǎng)絡(luò)的正常運行，在物理安全方面應(yīng)采取如下措施：1 .產(chǎn)品保障方面：主要指產(chǎn)品采購、運輸、安裝等方面的 安全措施。2.運行安全方面：網(wǎng)絡(luò)中的設(shè)備，特別是安全類產(chǎn)品在使 用過程中，必須能夠從生成廠家或供貨單位得到迅速的技術(shù) 支持服務(wù)。對一些關(guān)鍵設(shè)備和系統(tǒng)，應(yīng)設(shè)置備份系統(tǒng)。3防電磁輻射方面：所有重要涉密的設(shè)備都需安裝防電磁 輻射產(chǎn)品，如輻射干擾機。保安方面：主要是防盜、防火等，還包括網(wǎng)絡(luò)系統(tǒng)所有 網(wǎng)絡(luò)設(shè)備、計算機、安全設(shè)備的安全防護。防火墻技術(shù)防火墻是一種網(wǎng)絡(luò)安全保障手段,是網(wǎng)

11、絡(luò)通信時執(zhí)行的一種訪問控制尺度，其主要目標(biāo)就是通過控制入、出一個網(wǎng)絡(luò) 的權(quán)限，并迫使所有的連接都經(jīng)過這樣的檢查，防止一個需要 保護的網(wǎng)絡(luò)遭外界因素的干擾和破壞。在邏輯上，防火墻是 一個分離器，一個限制器，也是一個分析器，有效地監(jiān)視了 內(nèi)部網(wǎng)絡(luò)和Internet之間地任何活動，保證了內(nèi)部網(wǎng)絡(luò)地安 全；在物理實現(xiàn)上，防火墻是位于網(wǎng)絡(luò)特殊位置地以組硬件 設(shè)備一路由器、計算機或其他特制地硬件設(shè)備。防火墻可以 是獨立地系統(tǒng)，也可以在一個進行網(wǎng)絡(luò)互連地路由器上實現(xiàn) 防火墻。用防火墻來實現(xiàn)網(wǎng)絡(luò)安全必須考慮防火墻的網(wǎng)絡(luò)拓 撲結(jié)構(gòu)：（1）屏蔽路由器：又稱包過濾防火墻。（2）雙穴主機：雙穴主機是包過濾網(wǎng)關(guān)的一種替

12、代。（3）主機過濾結(jié)構(gòu)：這種結(jié)構(gòu)實際上是包過濾和代理的結(jié) 合。（4）屏蔽子網(wǎng)結(jié)構(gòu)：這種防火墻是雙穴主機和被屏蔽主機 的變形。根據(jù)防火墻所采用的技術(shù)不同，我們可以將它分為四種 基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換一NAT、代理型和監(jiān)測型。包過濾型包過濾型產(chǎn)品是防火墻的初級產(chǎn)品，其技術(shù)依據(jù)是網(wǎng)絡(luò) 中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進行傳 輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個數(shù)據(jù)包中都 會包含一些特定信息，如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP 源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息 來判斷這些“包”是否來自可信任的安全站點，一且發(fā)現(xiàn)來自 危險站點的數(shù)據(jù)包,防火墻便

13、會將這些數(shù)據(jù)拒之門外。系統(tǒng)管 理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則。 包過濾技術(shù) 的優(yōu)點是簡單實用,實現(xiàn)成本較低，在應(yīng)用環(huán)境比較簡單的情 況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。但 包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于 網(wǎng)絡(luò)層的安全技術(shù)，只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng) 絡(luò)信息進行判斷,無法識別基于應(yīng)用層的惡意侵入，如惡意的 Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗的黑客很容 易偽造IP地址，騙過包過濾型防火墻。網(wǎng)絡(luò)地址轉(zhuǎn)化一NAT網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的、外 部的、注冊的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部 網(wǎng)絡(luò)訪問因特網(wǎng)。它還

14、意味著用戶不許要為其網(wǎng)絡(luò)中每一臺 機器取得注冊的IP地址。在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外 部網(wǎng)絡(luò)時，將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源 端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端 口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對外就隱藏了真實 的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個開放 的IP地址和端口來請求訪問。OLM防火墻根據(jù)預(yù)先定義好 的映射規(guī)則來判斷這個訪問是否安全。當(dāng)符合規(guī)則時，防火 墻認為訪問是安全的，可以接受訪問請求，也可以將連接請 求映射到不同的內(nèi)部計算機中。當(dāng)不符合規(guī)則時，防火墻認 為該訪問是不安全的，不能被

15、接受，防火墻將屏蔽外部的連 接請求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透明的，不需 要用戶進行設(shè)置，用戶只要進行常規(guī)操作即可。代理型代理型防火墻也可以被稱為代理服務(wù)器，它的安全性要 高于包過濾型產(chǎn)品，并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位 于客戶機與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流。從客 戶機來看，代理服務(wù)器相當(dāng)于一臺真正的服務(wù)器;而從服務(wù)器 來看,代理服務(wù)器又是一臺真正的客戶機。當(dāng)客戶機需要使用 服務(wù)器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給代理服務(wù)器,代理服 務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù),然后再由代理服務(wù) 器將數(shù)據(jù)傳輸給客戶機。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也

16、就很難傷害到企業(yè)內(nèi) 應(yīng)用層進行偵測和掃描,對付基于應(yīng)用層的侵入和病毒都十 分有效。其缺點是對系統(tǒng)的整體性能有較大的影響,而且代理 服務(wù)器必須針對客戶機可能產(chǎn)生的所有應(yīng)用類型逐一進行部網(wǎng)絡(luò)系統(tǒng)。代理型防火墻的優(yōu)點是安全性較高，可以針對設(shè)置，大大增加了系統(tǒng)管理的復(fù)雜性。監(jiān)測型監(jiān)測型防火墻是新一代的產(chǎn)品,這一技術(shù)實際已經(jīng)超越 了最初的防火墻定義。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進行 主動的、實時的監(jiān)測，在對這些數(shù)據(jù)加以分析的基礎(chǔ)上，監(jiān)測 型防火墻能夠有效地判斷出各層中的非法侵入。同時，這種檢 測型防火墻產(chǎn)品一般還帶有分布式探測器,這些探測器安置 在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點之中,不僅能夠檢測來 自網(wǎng)

17、絡(luò)外部的攻擊，同時對來自內(nèi)部的惡意破壞也有極強的 防范作用。據(jù)權(quán)威機構(gòu)統(tǒng)計，在針對網(wǎng)絡(luò)系統(tǒng)的攻擊中，有相 當(dāng)比例的攻擊來自網(wǎng)絡(luò)內(nèi)部。因此，監(jiān)測型防火墻不僅超越了 傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品，雖 然監(jiān)測型防火墻安全性上已超越了包過濾型和代理服務(wù)器 型防火墻,但由于監(jiān)測型防火墻技術(shù)的實現(xiàn)成本較高，也不易 管理,所以目前在實用中的防火墻產(chǎn)品仍然以第二代代理型 產(chǎn)品為主，但在某些方面也已經(jīng)開始使用監(jiān)測型防火墻。基于 對系統(tǒng)成本與安全技術(shù)成本的綜合考慮，用戶可以選擇性地 使用某些監(jiān)測型技術(shù)。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需 求，同時也能有效地控制安全系統(tǒng)的總擁有成本。實際上，作

18、為當(dāng)前防火墻產(chǎn)品的主流趨勢,大多數(shù)代理服務(wù)器（也稱應(yīng)用 網(wǎng)關(guān)）也集成了包過濾技術(shù)，這兩種技術(shù)的混合應(yīng)用顯然比單獨使用具有更大的優(yōu)勢。由于這種產(chǎn)品是基于應(yīng)用的,應(yīng)用網(wǎng) 關(guān)能提供對協(xié)議的過濾。例如，它可以過濾掉FTP連接中的 PUT命令，而且通過代理應(yīng)用，應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄。正是由于應(yīng)用網(wǎng)關(guān)的這些特點,使得應(yīng)用過 程中的矛盾主要集中在對多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和 對網(wǎng)絡(luò)整體性能的影響上。相關(guān)性：畢業(yè)論文,免費畢業(yè)論文，大學(xué)畢業(yè)論文,畢業(yè)論文模 板入侵檢測入侵檢測是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻 擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān) 視、進攻識別和響應(yīng)）

19、，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。 它從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些 信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的 跡象。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況 下能對網(wǎng)絡(luò)進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤 操作的實時保護。這些都通過它執(zhí)行以下任務(wù)來實現(xiàn)：1 .監(jiān)視、分析用戶及系統(tǒng)活動；系統(tǒng)構(gòu)造和弱點的審計；識別反映已知進攻的活動模式并向相關(guān)人士報警;異常行為模式的統(tǒng)計分析；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的 行為。安全服務(wù)網(wǎng)絡(luò)是個動態(tài)的系統(tǒng)，它的變化包括網(wǎng)絡(luò)設(shè)備的調(diào)整，網(wǎng)絡(luò) 配置的變

20、化，各種操作系統(tǒng)、應(yīng)用程序的變化，管理人員的 變化。即使最初制定的安全策略十分可靠，但是隨著網(wǎng)絡(luò)結(jié) 構(gòu)和應(yīng)用的不斷變化，安全策略可能失效，必須及時進行相 應(yīng)的調(diào)整。針對以上問題和網(wǎng)管人員的不足，下面介紹一系 列比較重要的網(wǎng)絡(luò)服務(wù)。包括：1 .通信伙伴認證通信伙伴認證服務(wù)的作用是通信伙伴之間相互確麻身份，防 止他人插入通信過程。認證一般在通信之前進行。但在必要 的時候也可以在通信過程中隨時進行。認證有兩種形式，一 種是檢查一方標(biāo)識的單方認證，一種是通信雙方相互檢查對 方標(biāo)識的相互認證。通信伙伴認證服務(wù)可以通過加密機制，數(shù)字簽名機制以及認 證機制實現(xiàn)。訪問控制訪問控制服務(wù)的作用是保證只有被授權(quán)的用

21、戶才能訪問網(wǎng) 絡(luò)和利用資源。訪問控制的基本原理是檢查用戶標(biāo)識，口令, 根據(jù)授予的權(quán)限限制其對資源的利用范圍和程度。例如是否 有權(quán)利用主機CPU運行程序，是否有權(quán)對數(shù)據(jù)庫進行查詢 和修改等等。訪問控制服務(wù)通過訪問控制機制實現(xiàn)。數(shù)據(jù)保密數(shù)據(jù)保密服務(wù)的作用是防止數(shù)據(jù)被無權(quán)者閱讀。數(shù)據(jù)保密既 包括存儲中的數(shù)據(jù)，也包括傳輸中的數(shù)據(jù)。保密查以對特定 文件，通信鏈路，甚至文件中指定的字段進行。數(shù)據(jù)保密服務(wù)可以通過加密機制和路由控制機制實現(xiàn)。業(yè)務(wù)流分析保護業(yè)務(wù)流分析保護服務(wù)的作用是防止通過分析業(yè)務(wù)流，來獲取 業(yè)務(wù)量特征，信息長度以及信息源和目的地等信息。業(yè)務(wù)流分析保護服務(wù)可以通過加密機制，偽裝業(yè)務(wù)流機制， 路由控制機制實現(xiàn)。數(shù)據(jù)完整性保護數(shù)據(jù)完整性保護服務(wù)的作用是保護存儲和傳輸中的數(shù)據(jù)不被刪除，更改，插入和重復(fù)，必要時該服務(wù)也可以包含一定 的恢復(fù)功能。數(shù)據(jù)完整性保護服務(wù)可以通過加密機制，數(shù)字簽名機制以及數(shù)據(jù)完整性機制實現(xiàn)6 .簽字簽字服務(wù)是用發(fā)送簽字的辦法來對信息的接收進行確認，以 證明和承認信息是由簽字者發(fā)出或接收的。這個服務(wù)的作用 在于避免通信雙方對信息的來源發(fā)生爭議。簽字服務(wù)通過數(shù)字簽名機制及公證機制實現(xiàn)。安全技術(shù)的研究現(xiàn)狀和動