網(wǎng)絡(luò)安全的目標(biāo)：4+2+1

發(fā)布時間：2023-10-05

4：機密性、完整性、不可否認(rèn)性和可用性。最普遍接受的。理解的關(guān)鍵在于將抽象的名次與具體的行為聯(lián)系起來，將什么樣的行為會威脅這樣的目標(biāo)的實現(xiàn)，什么樣的措施可以保證目標(biāo)的實現(xiàn)。
如機密性，就是要保密，不該看到的人不能夠看到，即使獲得了副本也看不懂。對機密性的威脅就是不該看到的人看到了，如安裝了竊聽器，監(jiān)控鏡頭，就網(wǎng)絡(luò)通信來說，就是偷偷的復(fù)制了消息。保證措施只要能夠?qū)崿F(xiàn)讓未授權(quán)用戶即使獲得了副本也不能夠理解即可，所以消息加密就可以保證。
再如可用性，就是要保證有權(quán)利使用資源的人想用就能用。
2：認(rèn)證與訪問控制。潛在的目標(biāo)，潛在的意思是可能沒有明確提出來。如各目標(biāo)說的都是授權(quán)用戶能夠干什么，未授權(quán)用戶不能夠干什么，但是，怎么區(qū)分授權(quán)用戶和非授權(quán)用戶呢？這就是認(rèn)證和訪問控制干的事情。認(rèn)證就是證明用戶身份，證明那條消息真的就是那個用戶發(fā)出的。訪問控制是在認(rèn)證成功后，對用戶進行授權(quán)。如，如一個客戶進程向一個文件服務(wù)器發(fā)出請求：“我是張三的進程，我想要打開工資表?！睆奈募?wù)器的觀點來看，在回答前必須首先解決3個問題：
（1）這是否確實是張三的進程？（身份認(rèn)證）
（2）張三是否真的想打開工資表，而不是其他的表？（消息認(rèn)證）
（3）張三有權(quán)利打開工資表嗎？（訪問控制）
1：可審計性。擴展目標(biāo)，也就是操作行為可跟蹤，可以事后檢查、分析，找出問題來源，解決，下次避免。這是為了更好的實現(xiàn)安全而提出的。之所以叫“審計”，就是類似于國家審計署干的工作，他們檢查各單位的賬本，從中發(fā)現(xiàn)是否有經(jīng)濟問題，賬本其實就是單位經(jīng)濟活動的記錄。可審計性的目標(biāo)就是要保證“有帳可查”，查的是網(wǎng)絡(luò)行為的記錄，也就是日志?？蓪徲?，簡單的說就是要記錄日志，確保個體的網(wǎng)絡(luò)活動可以被跟蹤，以進行控制。這也是需要認(rèn)證的實現(xiàn)的。
4種攻擊，首先要知道正常的信息流是怎么樣的，然后如果受到了攻擊，信息流動發(fā)生了什么變化，對什么樣的安全目標(biāo)的實現(xiàn)產(chǎn)生了威脅。學(xué)習(xí)的關(guān)鍵在于將抽象的類型實例化。
如，截獲，一個實例就是搭線竊聽，這樣本來只有收發(fā)雙方知道的消息被第三方知道了。不該看得看到了就威脅了機密性。凡是竊聽，都是“竊”的，也就是偷偷的，不能被收發(fā)雙方發(fā)現(xiàn)，不能影響信息的正常流動，所以是被動的。
　又如中斷，就像斷電、停水一樣，本來正常的工作被強迫性停止了。一個實例就是地震導(dǎo)致海底電纜斷裂，從而影響了網(wǎng)絡(luò)通信，這是非人為的。也可能是人為的破壞，如很常見的一種攻擊叫做拒絕服務(wù)dos，以及其擴展ddos，drdos等，攻擊者故意制造出很多訪問請求，超出服務(wù)器工作能力，服務(wù)器全力以赴來處理這些惡意的訪問請求，就沒有辦法向正常向其他用戶提供服務(wù)，就出現(xiàn)了請求超時，用戶看起來就是服務(wù)器拒絕提供服務(wù)。中斷導(dǎo)致合法用戶不能夠正常使用資源，所以是對可用性的威脅。
　再如篡改，這是人們最普遍能夠認(rèn)識、理解的一種攻擊方式。比如，經(jīng)理告訴會計：“給張三漲50塊錢的工資”，這條消息被張三截獲了，阻止消息的正常流動，改為“給張三漲500塊錢的工資”，然后再發(fā)送給會計。這就是一個篡改供給工作的過程。首先截獲一條消息，與截獲不同的是它還中斷信息的正常流動，然后再將原始信息惡意修改后發(fā)送給原來的接受者。這樣接受者接收到消息就和原來不一致了，因此威脅了完整性。
　最后一種是偽造，就像偽造鈔票、簽名一樣，就是作假。一個生活中的例子就是小孩子在考試卷子上假冒家長簽名，偽造成功的需要有兩個條件：（1）仿得像，（2）老師和家長沒有聯(lián)系。在通信過程中，偽造其實進行了兩個工作：偽造內(nèi)容、偽造身份。偽造內(nèi)容是偽造一條本不存在的虛假消息（篡改修改的是已經(jīng)存在的消息），偽造身份是將這條假的消息偽裝成某個授權(quán)用戶發(fā)送出去。如張三對工資不滿意，偽造了一條消息“給張三漲50塊錢的工資”，然后偽裝成經(jīng)理發(fā)給會計。這威脅了2個目標(biāo)，消息偽造威脅了完整性，身份偽造威脅了認(rèn)證。