網(wǎng)絡(luò )信息安全的八大機制

1、數據加密機制

密碼技術(shù)是保障信息安全的核心技術(shù)。消息被稱(chēng)為明文。用某種方法偽裝消息以隱藏它的內容的過(guò)程稱(chēng)為加密。加了密的消息稱(chēng)為密，而把密文轉變?yōu)槊魑牡倪^(guò)程稱(chēng)為解密。信息加密是保障信息安全的最基本、最核心的技術(shù)措施和理論基礎。信息加密也是現代密碼學(xué)主要組成部分。

2、訪(fǎng)問(wèn)控制機制

訪(fǎng)問(wèn)控制的目的是防止對信息資源的非授權訪(fǎng)問(wèn)和非授權使用信息資源。它允許用戶(hù)對其常用的信息庫進(jìn)行適當權限的訪(fǎng)問(wèn)，限制他隨意刪除、修改或拷貝信息文件。訪(fǎng)問(wèn)控制技術(shù)還可以使系統管理員跟蹤用戶(hù)在網(wǎng)絡(luò )中的活動(dòng)，及時(shí)發(fā)現并拒絕“黑客”的入侵。訪(fǎng)問(wèn)控制采用最小特權原則：即在給用戶(hù)分配權限時(shí)，根據每個(gè)用戶(hù)的任務(wù)特點(diǎn)使其獲得完成自身任務(wù)的最低權限，不給用戶(hù)賦予其工作范圍之外的任何權力。自主訪(fǎng)問(wèn)控制（DAC）、強制訪(fǎng)問(wèn)控制（MAC）和基于角色的訪(fǎng)問(wèn)控制（RBAC）。

3、數據完整性機制

數據完整性機制是保護數據，以免未授權的數據亂序、丟失、重放、插入和纂改。數據完整性機制的兩個(gè)方面：?jiǎn)蝹€(gè)數據單元或字段的完整性（不能防止單個(gè)數據單元的重放）；數據單元串或字段串的完整性。

4、數字簽名機制

傳統簽名的基本特點(diǎn):能與被簽的文件在物理上不可分割；簽名者不能否認自己的簽名；簽名不能被偽造；容易被驗證。

數字簽名是傳統簽名的數字化，基本要求:能與所簽文件“綁定”；簽名者不能否認自己的簽名；簽名不能被偽造；容易被自動(dòng)驗證。

5、實(shí)體認證機制

用于認證交換的技術(shù)：1.認證信息，如口令；2.密碼技術(shù)；3.被認證實(shí)體的特征。為防止重放攻擊，常與以下技術(shù)結合使用：1.時(shí)間戳；2.兩次或三次握手；3.數字簽名。

6、業(yè)務(wù)填充機制

所謂的業(yè)務(wù)填充即使在業(yè)務(wù)閑時(shí)發(fā)送無(wú)用的隨機數據，增加攻擊者通過(guò)通信流量獲得信息的困難，是一種制造假的通信、產(chǎn)生欺騙性數據單元或在數據單元中產(chǎn)生數據的安全機制。該機制可用于提供對各種等級的保護，用來(lái)防止對業(yè)務(wù)進(jìn)行分析，同時(shí)也增加了密碼通訊的破譯難度。發(fā)送的隨機數據應具有良好的模擬性能，能夠以假亂真。該機制只有在業(yè)務(wù)填充受到保密性服務(wù)時(shí)才有效?？衫迷摍C制不斷地在網(wǎng)絡(luò )中發(fā)送偽隨機序列, 使非法者無(wú)法區分有用信息和無(wú)用信息。

7、路由控制機制

路由控制機制可使信息發(fā)送者選擇特殊的路由，以保證連接、傳輸的安全。其基本功能為：

路由選擇：路由可以動(dòng)態(tài)選擇，也可以預定義，以便只用物理上安全的子網(wǎng)、中繼或鏈路進(jìn)行連接和/或傳輸。

路由連接：在監測到持續的操作攻擊時(shí)，端系統可能通知網(wǎng)絡(luò )服務(wù)提供者另選路由，建立連接。

安全策略：攜帶某些安全標簽的數據可能被安全策略禁止通過(guò)某些子網(wǎng)、中繼或路。連接的發(fā)起者可以提出有關(guān)路由選擇的警告，要求回避某些特定的子網(wǎng)、中繼或鏈路進(jìn)行連接和/或傳輸。

8、公證機制

有關(guān)在兩個(gè)或多個(gè)實(shí)體之間通信的數據的性質(zhì),如完整性、原發(fā)、時(shí)間和目的地等能夠借助公證機制而得到確保。這種保證是由第三方公證人提供的。公證人為通信實(shí)體所信任, 并掌握必要信息以一種可證實(shí)方式提供所需的保證。每個(gè)通信實(shí)例可使用數字簽名、加密和完整性機制以適應公證人提供的服務(wù)。當這種公證機制被用到時(shí), 數據便在參與通信的實(shí)體之間經(jīng)由受保護的通信和公證方進(jìn)行通信。