網(wǎng)絡(luò)安全概論

網(wǎng)絡(luò)安全第一頁(yè)，共五十七頁(yè)。課件制作人聲明本課件共10個(gè)Powerpoint文件。教師可根據(jù)教學(xué)要求自由修改此課件（增加或刪減內(nèi)容），但不能自行出版銷售。對(duì)于課件中出現(xiàn)的缺點(diǎn)和錯(cuò)誤，歡迎讀者提出寶貴意見(jiàn)，以便及時(shí)修訂。課件制作人2009年12月第二頁(yè)，共五十七頁(yè)。課程目標(biāo)深入了解網(wǎng)絡(luò)安全基本原理和實(shí)用技術(shù)理解密碼學(xué)基礎(chǔ)知識(shí)及其應(yīng)用掌握當(dāng)前流行的網(wǎng)絡(luò)安全技術(shù)的核心思想完善作為一個(gè)“IT人”應(yīng)該具有的知識(shí)體系結(jié)構(gòu)第三頁(yè)，共五十七頁(yè)。課程內(nèi)容網(wǎng)絡(luò)安全簡(jiǎn)介網(wǎng)絡(luò)安全的重要性網(wǎng)絡(luò)安全的基本概念網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全的屬性網(wǎng)絡(luò)安全層次結(jié)構(gòu)網(wǎng)絡(luò)安全模型網(wǎng)絡(luò)安全體系結(jié)構(gòu)安全攻擊安全服務(wù)安全機(jī)制網(wǎng)絡(luò)安全防護(hù)體系網(wǎng)絡(luò)安全策略網(wǎng)絡(luò)安全體系第四頁(yè)，共五十七頁(yè)。課程內(nèi)容安全的基礎(chǔ)--密碼技術(shù)密碼技術(shù)基本概念加密算法密鑰管理通信的安全消息鑒別、身份認(rèn)證安全協(xié)議虛擬專用網(wǎng)VPN第五頁(yè)，共五十七頁(yè)。課程內(nèi)容計(jì)算機(jī)系統(tǒng)的安全防病毒技術(shù)防火墻技術(shù)入侵檢測(cè)技術(shù)……應(yīng)用系統(tǒng)安全EmailWeb電子商務(wù)……第六頁(yè)，共五十七頁(yè)。課程內(nèi)容預(yù)備知識(shí)計(jì)算機(jī)操作系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)TCP/IP協(xié)議……參考書(shū)目WilliamStallings,“CryptographyandNetworkSecurity:PrinciplesandPractice”.中譯本：《密碼編碼學(xué)與網(wǎng)絡(luò)安全：原理與實(shí)踐》第七頁(yè)，共五十七頁(yè)?？己朔绞阶鳂I(yè)（一至兩次） 30%要求獨(dú)立完成實(shí)驗(yàn) 20%5次期末考查 50%第八頁(yè)，共五十七頁(yè)。第一章網(wǎng)絡(luò)安全簡(jiǎn)介1.1網(wǎng)絡(luò)安全的重要性1.2網(wǎng)絡(luò)安全的基本概念網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全的屬性網(wǎng)絡(luò)安全層次結(jié)構(gòu)網(wǎng)絡(luò)安全模型1.3網(wǎng)絡(luò)安全體系結(jié)構(gòu)安全攻擊安全服務(wù)安全機(jī)制1.4網(wǎng)絡(luò)安全防護(hù)體系網(wǎng)絡(luò)安全策略網(wǎng)絡(luò)安全體系第九頁(yè)，共五十七頁(yè)。1.1網(wǎng)絡(luò)安全性挑戰(zhàn)第十頁(yè)，共五十七頁(yè)。Internet的發(fā)展現(xiàn)狀國(guó)際互聯(lián)網(wǎng)的發(fā)展起源于1969（APPANET）最初用于軍事目的1993年開(kāi)始了商業(yè)應(yīng)用大量的用戶和大量的上網(wǎng)計(jì)算機(jī)我國(guó)互聯(lián)網(wǎng)的現(xiàn)狀（截至2008.12）各類上網(wǎng)用戶2.98億，網(wǎng)民規(guī)模全球第一國(guó)際出口帶寬640,286.67Mbps網(wǎng)站數(shù)量2,878,000域名總量達(dá)到16,826,198個(gè)第十一頁(yè)，共五十七頁(yè)。全球信息數(shù)字化第十二頁(yè)，共五十七頁(yè)。Internet發(fā)展中的問(wèn)題Internet成功的技術(shù)要素統(tǒng)一而高效的協(xié)議體系（TCP/IP）層次化的網(wǎng)絡(luò)結(jié)構(gòu)開(kāi)放性，使得大量基于TCP/IP的應(yīng)用軟件不斷涌現(xiàn)但是互聯(lián)網(wǎng)發(fā)展中，自身存在的問(wèn)題愈來(lái)愈突出服務(wù)質(zhì)量問(wèn)題管理問(wèn)題安全問(wèn)題（尤為突出）……第十三頁(yè)，共五十七頁(yè)。網(wǎng)絡(luò)安全事件頻發(fā)名稱日期影響莫里斯（Morris）蠕蟲(chóng)1988年與Internet連接的10%的計(jì)算機(jī)當(dāng)機(jī)梅麗莎（Melissa）1999年5月一周內(nèi)感染超過(guò)100000臺(tái)計(jì)算機(jī)，造成損失約15億美元愛(ài)蟲(chóng)（ILoveYou）病毒2000年5月約87億美元的經(jīng)濟(jì)影響紅色代碼（RedCode）蠕蟲(chóng)2001年7月14小時(shí)內(nèi)感染超過(guò)359000臺(tái)計(jì)算機(jī)被感染尼姆達(dá)（Nimda）蠕蟲(chóng)2001年9月高峰時(shí)160000臺(tái)計(jì)算機(jī)被感染，超過(guò)15億美元的經(jīng)濟(jì)影響求職信（Klez）2002年7.5億美元的經(jīng)濟(jì)影響沖擊波（Blaster）2003年約8億美元的經(jīng)濟(jì)影響震蕩波（Sasser）2004年5月破壞能力和影響超過(guò)沖擊波極速波（Zobot）蠕蟲(chóng)2005年8月具有像“沖擊波”和“震蕩波”一樣的傳播能力的惡意蠕蟲(chóng)，而且對(duì)反病毒廠商提出了公開(kāi)挑戰(zhàn)熊貓燒香2006年約80億人民幣的經(jīng)濟(jì)損失灰鴿子20072005~2007年國(guó)內(nèi)后門的集大成者，連續(xù)三次位列年度十大病毒，俄格網(wǎng)絡(luò)戰(zhàn)爭(zhēng)2008年俄羅斯與格魯吉亞的沖突中，雙方利用互聯(lián)網(wǎng)進(jìn)行攻擊。開(kāi)啟了信息戰(zhàn)爭(zhēng)的先河。Conficker蠕蟲(chóng)2009年感染了超過(guò)千萬(wàn)的計(jì)算機(jī)第十四頁(yè)，共五十七頁(yè)。網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻的原因中國(guó)互聯(lián)網(wǎng)持續(xù)快速發(fā)展，而我國(guó)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)跟不上互聯(lián)網(wǎng)發(fā)展的步伐，民眾的網(wǎng)絡(luò)安全意識(shí)薄弱技術(shù)的不斷提高，攻擊工具日益專業(yè)化、易用化，攻擊方法也越來(lái)越復(fù)雜、隱蔽，防護(hù)難度較大電子商務(wù)領(lǐng)域不斷擴(kuò)展，與現(xiàn)實(shí)中的金融體系日益融合，為網(wǎng)絡(luò)世界的虛擬要素附加了實(shí)際價(jià)值，這些信息系統(tǒng)成為黑客攻擊牟利的目標(biāo)第十五頁(yè)，共五十七頁(yè)。造成Internet安全問(wèn)題的主要原因信息交換和共享日益依賴于Internet基于TCP/IP協(xié)議，自身缺乏安全策略信息傳輸未加密開(kāi)放性：協(xié)議的體系和實(shí)現(xiàn)是公開(kāi)的大量設(shè)計(jì)缺陷和安全漏洞IP協(xié)議棧各層都有安全問(wèn)題外來(lái)攻擊者第十六頁(yè)，共五十七頁(yè)。信息安全的重要性（1）社會(huì)信息化提升了信息的地位在國(guó)民經(jīng)濟(jì)和社會(huì)各個(gè)領(lǐng)域，不斷推廣和應(yīng)用計(jì)算機(jī)、通信、網(wǎng)絡(luò)等信息技術(shù)。信息產(chǎn)業(yè)在國(guó)民經(jīng)濟(jì)中所占比例上升，工業(yè)化與信息化的結(jié)合日益密切，信息資源成為重要的生產(chǎn)要素社會(huì)對(duì)信息技術(shù)的依賴性增強(qiáng)信息技術(shù)突飛猛進(jìn)，成為新技術(shù)革命的領(lǐng)頭羊信息產(chǎn)業(yè)高速發(fā)展，成為經(jīng)濟(jì)發(fā)展的強(qiáng)大推動(dòng)力信息網(wǎng)絡(luò)迅速崛起，成為社會(huì)和經(jīng)濟(jì)活動(dòng)的重要依托。第十七頁(yè)，共五十七頁(yè)。信息安全的重要性（2）虛擬的網(wǎng)絡(luò)財(cái)富日益增長(zhǎng)網(wǎng)絡(luò)的普及，使得財(cái)產(chǎn)的概念除金錢、實(shí)物外，又增加了的網(wǎng)絡(luò)財(cái)富：網(wǎng)絡(luò)帳號(hào)、各種銀行卡、電子貨幣等。網(wǎng)絡(luò)信息安全直接關(guān)系到這些財(cái)產(chǎn)的安全。網(wǎng)絡(luò)與信息安全已成為社會(huì)的焦點(diǎn)問(wèn)題信息比例的加大使得社會(huì)對(duì)信息的真實(shí)程度、保密程度的要求不斷提高，而網(wǎng)絡(luò)化又使因虛假、泄密引起的信息危害程度呈指數(shù)增大。信息安全不僅僅涉及到國(guó)家的經(jīng)濟(jì)、金融和社會(huì)安全，也涉及到國(guó)防、政治和文化的安全?？梢哉f(shuō)，信息安全就是國(guó)家安全。第十八頁(yè)，共五十七頁(yè)。1.2網(wǎng)絡(luò)安全的基本概念第十九頁(yè)，共五十七頁(yè)。安全的含義信息通過(guò)計(jì)算機(jī)、網(wǎng)絡(luò)進(jìn)行存儲(chǔ)、傳輸和處理的數(shù)字化信息信息安全確保在計(jì)算機(jī)、網(wǎng)絡(luò)環(huán)境運(yùn)行的信息系統(tǒng)的安全運(yùn)行，以及信息系統(tǒng)中所存儲(chǔ)、傳輸和處理的信息的安全保護(hù)。網(wǎng)絡(luò)安全網(wǎng)絡(luò)及計(jì)算機(jī)中的信息安全信息安全和網(wǎng)絡(luò)安全實(shí)際上是殊途同歸的關(guān)系第二十頁(yè)，共五十七頁(yè)。網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全指網(wǎng)絡(luò)系統(tǒng)的軟件、硬件以及系統(tǒng)中存儲(chǔ)和傳輸?shù)臄?shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，網(wǎng)絡(luò)系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。第二十一頁(yè)，共五十七頁(yè)。網(wǎng)絡(luò)安全的多角度解讀從一般用戶（個(gè)人、企業(yè)等）的角度來(lái)說(shuō)，他們希望涉及個(gè)人隱私或商業(yè)利益的信息在網(wǎng)絡(luò)上傳輸時(shí)能夠保持機(jī)密性、完整性和真實(shí)性，避免其他人或?qū)κ掷酶`聽(tīng)、冒充、篡改、抵賴等手段侵犯自身的利益。從網(wǎng)絡(luò)運(yùn)行者和管理者角度說(shuō)，他們希望對(duì)網(wǎng)絡(luò)信息的訪問(wèn)受到保護(hù)和控制，避免出現(xiàn)非法使用、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用和非法控制等威脅，制止和防御網(wǎng)絡(luò)黑客的攻擊。對(duì)安全保密部門來(lái)說(shuō)，他們希望對(duì)非法的、有害的或涉及國(guó)家機(jī)密的信息進(jìn)行過(guò)濾和防堵，避免機(jī)要信息泄露，避免對(duì)社會(huì)產(chǎn)生危害，對(duì)國(guó)家造成巨大損失。從社會(huì)教育和意識(shí)形態(tài)角度來(lái)講，網(wǎng)絡(luò)上不健康的內(nèi)容，會(huì)對(duì)社會(huì)的穩(wěn)定和人類的發(fā)展造成阻礙，必須對(duì)其進(jìn)行控制。第二十二頁(yè)，共五十七頁(yè)。安全的發(fā)展歷史計(jì)算機(jī)出現(xiàn)之前：文檔管理保險(xiǎn)柜、交通員、密碼電報(bào)20世紀(jì)40、50年代：通信保密加密、訪問(wèn)控制20世紀(jì)70年代：計(jì)算機(jī)安全計(jì)算機(jī)系統(tǒng)不被他人所非授權(quán)使用20世紀(jì)90年代：網(wǎng)絡(luò)安全防止通過(guò)網(wǎng)絡(luò)對(duì)聯(lián)網(wǎng)計(jì)算機(jī)進(jìn)行攻擊21世紀(jì)：信息保障保障信息及信息系統(tǒng)的正常運(yùn)行第二十三頁(yè)，共五十七頁(yè)。威脅網(wǎng)絡(luò)安全的主要因素網(wǎng)絡(luò)和系統(tǒng)自身的安全漏洞技術(shù)因素系統(tǒng)和協(xié)議的開(kāi)放性系統(tǒng)自身的缺陷配置失誤通信協(xié)議的漏洞……非技術(shù)因素人員素質(zhì)安全管理制度不健全維護(hù)使用人員安全意識(shí)薄弱……第二十四頁(yè)，共五十七頁(yè)。威脅網(wǎng)絡(luò)安全的主要因素外部的安全威脅系統(tǒng)物理上的安全性：高溫、濕度、偷盜等病毒、蠕蟲(chóng)Hacker攻擊破壞系統(tǒng)竊取信息竊取財(cái)富第二十五頁(yè)，共五十七頁(yè)。網(wǎng)絡(luò)安全的屬性機(jī)密性保證信息與信息系統(tǒng)不被非授權(quán)的用戶、實(shí)體或過(guò)程所獲取與使用。完整性信息在存貯或傳輸時(shí)不被修改、破壞，或不發(fā)生信息包丟失、亂序等?？捎眯孕畔⑴c信息系統(tǒng)可被授權(quán)實(shí)體正常訪問(wèn)的特性，即授權(quán)實(shí)體當(dāng)需要時(shí)能夠存取所需信息?？煽匦詫?duì)信息的存儲(chǔ)于傳播具有完全的控制能力，可以控制信息的流向和行為方式。真實(shí)性也就是可靠性，指信息的可用度，包括信息的完整性、準(zhǔn)確性和發(fā)送人的身份證實(shí)等方面，它也是信息安全性的基本要素。其中，機(jī)密性、完整性和可用性通常被認(rèn)為是網(wǎng)絡(luò)安全的三個(gè)基本屬性。第二十六頁(yè)，共五十七頁(yè)。網(wǎng)絡(luò)安全層次結(jié)構(gòu)從網(wǎng)絡(luò)安全角度，網(wǎng)絡(luò)參考模型的各層都能夠采取一定的安全手段和措施，提供不同的安全服務(wù)。但是，單獨(dú)一個(gè)層次無(wú)法提供全部的網(wǎng)絡(luò)安全特性，每個(gè)層次都必須提供自己的安全服務(wù)，共同維護(hù)網(wǎng)絡(luò)系統(tǒng)中信息的安全。第二十七頁(yè)，共五十七頁(yè)。第二十八頁(yè)，共五十七頁(yè)。物理層，可以在通信線路上采取電磁屏蔽、電磁干擾等技術(shù)防止通信系統(tǒng)以電磁（電磁輻射、電磁泄露）的方式向外界泄露信息。數(shù)據(jù)鏈路層，對(duì)點(diǎn)對(duì)點(diǎn)的鏈路可以采用通信保密機(jī)進(jìn)行加密，信息在離開(kāi)一臺(tái)機(jī)器進(jìn)入點(diǎn)對(duì)點(diǎn)的鏈路傳輸之前可以進(jìn)行加密，在進(jìn)入另外一臺(tái)機(jī)器時(shí)解密。在網(wǎng)絡(luò)層，使用防火墻技術(shù)處理經(jīng)過(guò)網(wǎng)絡(luò)邊界的信息，確定來(lái)自哪些地址的信息可能活著禁止訪問(wèn)哪些目的地址的主機(jī)，以保護(hù)內(nèi)部網(wǎng)免受非法用戶的訪問(wèn)。在傳輸層，可以采用端到端的加密，即進(jìn)程到進(jìn)程的加密，以提供信息流動(dòng)過(guò)程的安全性。在應(yīng)用層，主要是針對(duì)用戶身份進(jìn)行認(rèn)證，并且可以建立安全的通信信道。第二十九頁(yè)，共五十七頁(yè)。網(wǎng)絡(luò)安全模型網(wǎng)絡(luò)安全通用模型第三十頁(yè)，共五十七頁(yè)。網(wǎng)絡(luò)訪問(wèn)安全模型第三十一頁(yè)，共五十七頁(yè)。1.3安全體系結(jié)構(gòu)

第三十二頁(yè)，共五十七頁(yè)。安全體系結(jié)構(gòu)的概念安全的管理員需要以某種系統(tǒng)的方法來(lái)定義對(duì)安全的要求并刻畫滿足這些要求的措施ISO于1989年以國(guó)際標(biāo)準(zhǔn)正式公布了ISO7498-2：“信息處理系統(tǒng)-開(kāi)放系統(tǒng)互連-基本參考模型-第2部分：安全體系結(jié)構(gòu)”，定義了開(kāi)放系統(tǒng)通信的環(huán)境中與安全性有關(guān)的通用體系結(jié)構(gòu)元素，作為OSI基本參考模型的補(bǔ)充。第三十三頁(yè)，共五十七頁(yè)。OSI安全體系結(jié)構(gòu)的組成安全性攻擊任何危及企業(yè)信息系統(tǒng)安全的活動(dòng)。安全機(jī)制用來(lái)檢測(cè)、阻止攻擊或者從攻擊狀態(tài)恢復(fù)到正常狀態(tài)的過(guò)程，或?qū)崿F(xiàn)該過(guò)程的設(shè)備。安全服務(wù)加強(qiáng)數(shù)據(jù)處理系統(tǒng)和信息傳輸?shù)陌踩缘囊环N處理過(guò)程或通信服務(wù)。其目的在于利用一種或多種安全機(jī)制進(jìn)行反攻擊。第三十四頁(yè)，共五十七頁(yè)。安全攻擊網(wǎng)絡(luò)攻擊是指降級(jí)、瓦解、拒絕、摧毀計(jì)算機(jī)或計(jì)算機(jī)網(wǎng)絡(luò)中的信息資源，或者降級(jí)、瓦解、拒絕、摧毀計(jì)算機(jī)或計(jì)算機(jī)網(wǎng)絡(luò)本身的行為。在最高層次上，ISO7498-2將安全攻擊分成兩類，即被動(dòng)攻擊和主動(dòng)攻擊。第三十五頁(yè)，共五十七頁(yè)。被動(dòng)攻擊被動(dòng)攻擊試圖收集、利用系統(tǒng)的信息但不影響系統(tǒng)的正常訪問(wèn)，數(shù)據(jù)的合法用戶對(duì)這種活動(dòng)一般不會(huì)覺(jué)察到。被動(dòng)攻擊采取的方法是對(duì)傳輸中的信息進(jìn)行竊聽(tīng)和監(jiān)測(cè)，主要目標(biāo)是獲得傳輸?shù)男畔ⅰＳ袃煞N主要的被動(dòng)攻擊方式：信息收集和流量分析。第三十六頁(yè)，共五十七頁(yè)。被動(dòng)攻擊-信息收集第三十七頁(yè)，共五十七頁(yè)。被動(dòng)攻擊-流量分析第三十八頁(yè)，共五十七頁(yè)。主動(dòng)攻擊主動(dòng)攻擊則是攻擊者訪問(wèn)他所需信息的故意行為，一般會(huì)改變系統(tǒng)資源或影響系統(tǒng)運(yùn)作。主動(dòng)攻擊包括對(duì)數(shù)據(jù)流進(jìn)行篡改或偽造數(shù)據(jù)流，可分為四類：偽裝、重放、消息篡改和拒絕服務(wù)。第三十九頁(yè)，共五十七頁(yè)。主動(dòng)攻擊的方式偽裝是指某實(shí)體假裝成別的實(shí)體。典型的比如：攻擊者捕獲認(rèn)證信息，并在其后利用認(rèn)證信息進(jìn)行重放，這樣它就可能獲得其他實(shí)體所擁有的權(quán)限。重放是指將攻擊者將獲得的信息再次發(fā)送，從而導(dǎo)致非授權(quán)效應(yīng)。消息修改是指攻擊者修改合法消息的部分或全部，或者延遲消息的傳輸以獲得非授權(quán)作用。拒絕服務(wù)指攻擊者設(shè)法讓目標(biāo)系統(tǒng)停止提供服務(wù)或資源訪問(wèn)，從而阻止授權(quán)實(shí)體對(duì)系統(tǒng)的正常使用或管理。典型的形式有查禁所有發(fā)向某目的地的消息，以及破壞整個(gè)網(wǎng)絡(luò)，即或者使網(wǎng)絡(luò)失效，或者是使其過(guò)載以降低其性能。第四十頁(yè)，共五十七頁(yè)。安全服務(wù)OSI安全體系結(jié)構(gòu)將安全服務(wù)定義為通信開(kāi)放系統(tǒng)協(xié)議層提供的服務(wù)，從而保證系統(tǒng)或數(shù)據(jù)傳輸有足夠的安全性。OSI安全體系結(jié)構(gòu)定義了5大類共14個(gè)安全服務(wù)第四十一頁(yè)，共五十七頁(yè)。OSI安全服務(wù)

鑒別保證通信的實(shí)體是它所聲稱的實(shí)體。同等實(shí)體鑒別用于邏輯連接時(shí)為連接的實(shí)體的身份提供可信性數(shù)據(jù)源鑒別在無(wú)連接傳輸時(shí)保證收到的信息來(lái)源是聲稱的來(lái)源

訪問(wèn)控制阻止對(duì)資源的非授權(quán)使用（即這項(xiàng)服務(wù)控制誰(shuí)能存取資源，在什么條件下可以存取，這些存取的資源可用做什么)

數(shù)據(jù)保密性保護(hù)數(shù)據(jù)免于非授權(quán)泄漏連接保密性保護(hù)一次連接中所有的用戶數(shù)據(jù)無(wú)連接保密性保護(hù)單個(gè)數(shù)據(jù)塊里的所有用戶數(shù)據(jù).選擇城保密性對(duì)一次連接或單個(gè)數(shù)據(jù)塊里選定的數(shù)據(jù)部分提供保密性流量保密性保護(hù)那些可以通過(guò)觀察流量而獲得的信息

數(shù)據(jù)完整性保證收到的數(shù)據(jù)確是授權(quán)實(shí)體所發(fā)出的數(shù)據(jù)(即沒(méi)有修改、插入、刪除或重放)具有恢復(fù)功能的連接完整性提供一次連接中所有用戶數(shù)據(jù)的完整性、檢測(cè)整個(gè)數(shù)據(jù)序列內(nèi)存在的修改、插人、刪除或重放，且試圖恢復(fù)之。無(wú)恢復(fù)的連接完整性同上，但僅提供檢測(cè)，無(wú)恢復(fù)選擇域連接完整性提供一次連接中傳榆的單個(gè)數(shù)據(jù)塊用戶數(shù)據(jù)中選定部分的數(shù)據(jù)完整性，并判斷選定域是否有修改插入、刪除或重放無(wú)連接完整性為單個(gè)無(wú)連接數(shù)據(jù)塊提供完整性保護(hù)，并檢測(cè)是否有數(shù)據(jù)修改。另外，提供有限的重放檢測(cè)迭擇域無(wú)連接完整性為單個(gè)無(wú)連接數(shù)據(jù)塊內(nèi)選定域提供完整性保護(hù);判斷選定域是否被修改‘

不可否認(rèn)性防止整個(gè)或部分通信過(guò)程中，任一通信實(shí)體進(jìn)行否認(rèn)的行為源不可否認(rèn)證明消息是由特定方發(fā)出的宿不可否認(rèn)性證明消息被特定方收到-第四十二頁(yè)，共五十七頁(yè)。鑒別服務(wù)鑒別服務(wù)與保證通信的真實(shí)性有關(guān)，提供對(duì)通信中對(duì)等實(shí)體和數(shù)據(jù)來(lái)源的鑒別。對(duì)等實(shí)體鑒別：該服務(wù)在數(shù)據(jù)交換連接建立時(shí)提供，識(shí)別一個(gè)或多個(gè)連接實(shí)體的身份，證實(shí)參與數(shù)據(jù)交換的對(duì)等實(shí)體確實(shí)是所需的實(shí)體，防止假冒。數(shù)據(jù)源鑒別：該服務(wù)對(duì)數(shù)據(jù)單元的來(lái)源提供確認(rèn)，向接收方保證所接收到的數(shù)據(jù)單元來(lái)自所要求的源點(diǎn)。它不能防止重播或修改數(shù)據(jù)單元。第四十三頁(yè)，共五十七頁(yè)。訪問(wèn)控制服務(wù)用于防治未授權(quán)用戶非法使用系統(tǒng)資源。該服務(wù)可應(yīng)用于對(duì)資源的各種訪問(wèn)類型(如通信資源的使用，信息資源的讀、寫和刪除，進(jìn)程資源的執(zhí)行)或?qū)Y源的所有訪問(wèn)。第四十四頁(yè)，共五十七頁(yè)。數(shù)據(jù)保密性服務(wù)為防止網(wǎng)絡(luò)各系統(tǒng)之間交換的數(shù)據(jù)被截獲或被非法存取而泄密，提供機(jī)密保護(hù)。保密性是防止傳輸?shù)臄?shù)據(jù)遭到被動(dòng)攻擊。第四十五頁(yè)，共五十七頁(yè)。數(shù)據(jù)完整性服務(wù)用于防止非法實(shí)體對(duì)交換數(shù)據(jù)的修改、插入、刪除以及在數(shù)據(jù)交換過(guò)程中的數(shù)據(jù)丟失。第四十六頁(yè)，共五十七頁(yè)。抗否認(rèn)性服務(wù)用于防止發(fā)送方在發(fā)送數(shù)據(jù)后否認(rèn)發(fā)送和接收方在收到數(shù)據(jù)后否認(rèn)收到或偽造數(shù)據(jù)的行為。具有源點(diǎn)證明的不能否認(rèn)：為數(shù)據(jù)接收者提供數(shù)據(jù)源證明，防止發(fā)送者以后任何企圖否認(rèn)發(fā)送數(shù)據(jù)或它的內(nèi)容。具有交付證明的不能否認(rèn)：為數(shù)據(jù)發(fā)送者提供數(shù)據(jù)交付證明，防止接收者以后任何企圖否認(rèn)接收數(shù)據(jù)或它的內(nèi)容。第四十七頁(yè)，共五十七頁(yè)。安全機(jī)制特定安全機(jī)制可以并人適當(dāng)?shù)膮f(xié)議層以提供一些OSI安全服務(wù)加密運(yùn)用數(shù)學(xué)算法將數(shù)據(jù)轉(zhuǎn)換成不可知的形式。數(shù)據(jù)的變換和復(fù)原依賴于算法和零個(gè)或多個(gè)加密密鑰數(shù)字簽名附加于數(shù)據(jù)元之后的數(shù)據(jù)，是對(duì)數(shù)據(jù)元的密碼變換，以使得(如接收方)可證明數(shù)據(jù)源和完整性，并紡止偽造訪問(wèn)控制對(duì)資源行使存取控制的各種機(jī)制數(shù)據(jù)完整性用于保證數(shù)據(jù)元或數(shù)據(jù)單元流的完整性的各種機(jī)制認(rèn)證交換通過(guò)信息交換來(lái)保證實(shí)體身份的各種機(jī)制流量填充在數(shù)據(jù)流空隙中插人若干位以阻止流量分析路由控制能夠?yàn)槟承?shù)據(jù)選擇特殊的物理上安全的路線并允許路由變化(尤其是在懷疑有侵犯安全的行為時(shí))公證利用可信的第三方來(lái)保證數(shù)據(jù)交換的某些性質(zhì)。普遍的安全機(jī)制不局限于任何OSI安全服務(wù)或協(xié)議層的機(jī)制可信功能據(jù)某些標(biāo)準(zhǔn)被認(rèn)為是正確的(例如，根據(jù)安全策略所建立的標(biāo)準(zhǔn))安全標(biāo)簽資源(可能是數(shù)據(jù)元)的標(biāo)志，指明該資源的安全屬性事件檢側(cè)檢測(cè)與安全相關(guān)的事件安全審計(jì)跟蹤收集可用于安全審計(jì)的數(shù)據(jù)，它是對(duì)系統(tǒng)記錄和行為的獨(dú)立回顧和檢查安全恢復(fù)處理來(lái)自安全機(jī)制的請(qǐng)求，如事件處理、管理功能和采取恢復(fù)行為第四十八頁(yè)，共五十七頁(yè)。安全服務(wù)和安全機(jī)制的關(guān)系加密數(shù)字簽名訪問(wèn)控制教據(jù)完整性認(rèn)證交換流量填充路由控制公證同等實(shí)體認(rèn)證YYY數(shù)據(jù)源認(rèn)證YY訪問(wèn)控制Y保密性YY流量保密性YYY數(shù)據(jù)完整性YYY不可否認(rèn)性YYY可