網絡安全的目標：4+2+1

發(fā)布時間：2023-10-05

4：機密性、完整性、不可否認性和可用性。最普遍接受的。理解的關鍵在于將抽象的名次與具體的行為聯系起來，將什么樣的行為會威脅這樣的目標的實現，什么樣的措施可以保證目標的實現。
如機密性，就是要保密，不該看到的人不能夠看到，即使獲得了副本也看不懂。對機密性的威脅就是不該看到的人看到了，如安裝了竊聽器，監(jiān)控鏡頭，就網絡通信來說，就是偷偷的復制了消息。保證措施只要能夠實現讓未授權用戶即使獲得了副本也不能夠理解即可，所以消息加密就可以保證。
再如可用性，就是要保證有權利使用資源的人想用就能用。
2：認證與訪問控制。潛在的目標，潛在的意思是可能沒有明確提出來。如各目標說的都是授權用戶能夠干什么，未授權用戶不能夠干什么，但是，怎么區(qū)分授權用戶和非授權用戶呢？這就是認證和訪問控制干的事情。認證就是證明用戶身份，證明那條消息真的就是那個用戶發(fā)出的。訪問控制是在認證成功后，對用戶進行授權。如，如一個客戶進程向一個文件服務器發(fā)出請求：“我是張三的進程，我想要打開工資表。”從文件服務器的觀點來看，在回答前必須首先解決3個問題：
（1）這是否確實是張三的進程？（身份認證）
（2）張三是否真的想打開工資表，而不是其他的表？（消息認證）
（3）張三有權利打開工資表嗎？（訪問控制）
1：可審計性。擴展目標，也就是操作行為可跟蹤，可以事后檢查、分析，找出問題來源，解決，下次避免。這是為了更好的實現安全而提出的。之所以叫“審計”，就是類似于國家審計署干的工作，他們檢查各單位的賬本，從中發(fā)現是否有經濟問題，賬本其實就是單位經濟活動的記錄?？蓪徲嬓缘哪繕司褪且ＷC“有帳可查”，查的是網絡行為的記錄，也就是日志?？蓪徲?，簡單的說就是要記錄日志，確保個體的網絡活動可以被跟蹤，以進行控制。這也是需要認證的實現的。
4種攻擊，首先要知道正常的信息流是怎么樣的，然后如果受到了攻擊，信息流動發(fā)生了什么變化，對什么樣的安全目標的實現產生了威脅。學習的關鍵在于將抽象的類型實例化。
如，截獲，一個實例就是搭線竊聽，這樣本來只有收發(fā)雙方知道的消息被第三方知道了。不該看得看到了就威脅了機密性。凡是竊聽，都是“竊”的，也就是偷偷的，不能被收發(fā)雙方發(fā)現，不能影響信息的正常流動，所以是被動的。
　又如中斷，就像斷電、停水一樣，本來正常的工作被強迫性停止了。一個實例就是地震導致海底電纜斷裂，從而影響了網絡通信，這是非人為的。也可能是人為的破壞，如很常見的一種攻擊叫做拒絕服務dos，以及其擴展ddos，drdos等，攻擊者故意制造出很多訪問請求，超出服務器工作能力，服務器全力以赴來處理這些惡意的訪問請求，就沒有辦法向正常向其他用戶提供服務，就出現了請求超時，用戶看起來就是服務器拒絕提供服務。中斷導致合法用戶不能夠正常使用資源，所以是對可用性的威脅。
　再如篡改，這是人們最普遍能夠認識、理解的一種攻擊方式。比如，經理告訴會計：“給張三漲50塊錢的工資”，這條消息被張三截獲了，阻止消息的正常流動，改為“給張三漲500塊錢的工資”，然后再發(fā)送給會計。這就是一個篡改供給工作的過程。首先截獲一條消息，與截獲不同的是它還中斷信息的正常流動，然后再將原始信息惡意修改后發(fā)送給原來的接受者。這樣接受者接收到消息就和原來不一致了，因此威脅了完整性。
　最后一種是偽造，就像偽造鈔票、簽名一樣，就是作假。一個生活中的例子就是小孩子在考試卷子上假冒家長簽名，偽造成功的需要有兩個條件：（1）仿得像，（2）老師和家長沒有聯系。在通信過程中，偽造其實進行了兩個工作：偽造內容、偽造身份。偽造內容是偽造一條本不存在的虛假消息（篡改修改的是已經存在的消息），偽造身份是將這條假的消息偽裝成某個授權用戶發(fā)送出去。如張三對工資不滿意，偽造了一條消息“給張三漲50塊錢的工資”，然后偽裝成經理發(fā)給會計。這威脅了2個目標，消息偽造威脅了完整性，身份偽造威脅了認證。