2011软件水平考试网络工程师全面复习笔记(30)

 　四. 网络入侵检测技术

　　网络入侵检测技术也叫网络实时监控技术，它通过硬件或软件对网络上的数据流进行实时检查，并与系统中的入侵特征数据库进行比较，一旦发现有被攻击的迹象，立刻根据用户所定义的动作做出反应，如切断网络连接，或通知防火墙系统对访问控制策略进行调整，将入侵的数据包过滤掉等。

　　网络入侵检测技术的特点是利用网络监控软件或者硬件对网络流量进行监控并分析，及时发现网络攻击的迹象并做出反应。入侵检测部件可以直接部署于受监控网络的广播网段，或者直接接收受监控网络旁路过来的数据流。为了更有效地发现网络受攻击的迹象，网络入侵检测部件应能够分析网络上使用的各种网络协议，识别各种网络攻击行为。网络入侵检测部件对网络攻击行为的识别通常是通过网络入侵特征库来实现的，这种方法有利于在出现了新的网络攻击手段时方便地对入侵特征库加以更新，提高入侵检测部件对网络攻击行为的识别能力。

　　利用网络入侵检测技术可以实现网络安全检测和实时攻击识别，但它只能作为网络安全的一个重要的安全组件，网络系统的实际安全实现应该结合使用防火墙等技术来组成一个完整的网络安全解决方案，其原因在于网络入侵检测技术虽然也能对网络攻击进行识别并做出反应，但其侧重点还是在于发现，而不能代替防火墙系统执行整个网络的访问控制策略。防火墙系统能够将一些预期的网络攻击阻挡于网络外面，而网络入侵检测技术除了减小网络系统的安全风险之外，还能对一些非预期的攻击进行识别并做出反应，切断攻击连接或通知防火墙系统修改控制准则，将下一次的类似攻击阻挡于网络外部。因此通过网络安全检测技术和防火墙系统结合，可以实现了一个完整的网络安全解决方案。

　　附:

　　一.CA中心的安全应用--数字证书颁发

　　CA (Certificate Authority)

　　CA技术是安全认证技术的一种它基于公开密钥体系通过安全证书来实现 安全证书采用国际标准的X.509证书格式主要包括 证书的版本号 发证CA的身份信息 持证用户的身份信息 持证用户的公钥

　　CA中心所发放的数字安全证书可以应用于公众网络上的商务活动和行政作业活动，包括支付型和非支付型电子商务活动，其应用范围涉及需要身份认证及数据安全的各个行业，包括传统的商业、制造业、流通业的网上交易，以及公共事业、金融服务业、工商税务海关、政府行政办公、教育科研单位、保险、医疗等网上作业系统。它主要应用于网上购物、企业与企业的电子贸易、安全电子邮件、网上证券交易、网上银行等方面。

　　二. 密钥的管理内容

　　1.一个好的密钥管理系统应该做到

　　(1)密钥难以被窃取;

　　(2)在一定条件下窃取了密钥也没有用，密钥有使用范围和时间的限制;

　　(3)密钥的分配和更换过程对用户透明，用户不一定要亲自掌管密钥.

　　a. 管理方式

　　层次化的密钥管理方式，用于数据加密的工作密钥需要动态产生;工作密钥由上层的加密密钥进行保护，最上层的密钥称为主密钥，是整个密钥管理系统的核心;多层密钥体制大大加强了密码系统的可靠性，因为用得最多的工作密钥常常更换，而高层密钥用的较少，使得破译者的难度增大。

　　b. 密钥的生成

　　密钥的生成与所使用的算法有关。如果生成的密钥强度不一致，则称该算法构成的是非线性密钥空间，否则称为是线性密钥空间。

　　c. 分配、传递

　　密钥的分配是指产生并使使用者获得一个密钥的过程;密钥的传递分集中传送和分散传送两类。集中传送是指将密钥整体传送，这时需要使用主密钥来保护会话密钥的传递，并通过安全渠道传递主密钥。分散传送是指将密钥分解成多个部分，用秘密分享的方法传递，只要有部分到达就可以恢复，这种方法适用于在不安全的信道中传输。

　　d. 密钥的保存

　　密钥既可以作为一个整体保存，也可以分散保存。整体保存的方法有人工记忆、外部记忆装置、密钥恢复、系统内部保存;分散保存的目的是尽量降低由于某个保管人或保管装置的问题而导致密钥的泄漏。

　　e. 备份、销毁

　　密钥的备份可以采用和密钥的分散保存一样的方式，以免知道密钥的人太多;密钥的销毁要有管理和仲裁机制，否则密钥会被有意无意的丢失，从而造成对使用行为的否认。