四. 網絡入侵檢測技術

　　網絡入侵檢測技術也叫網絡實時監控技術，它通過硬件或軟件對網絡上的數據流進行實時檢查，并與系統中的入侵特征數據庫進行比較，一旦發現有被攻擊的跡象，立刻根據用戶所定義的動作做出反應，如切斷網絡連接，或通知防火墻系統對訪問控制策略進行調整，將入侵的數據包過濾掉等。

　　網絡入侵檢測技術的特點是利用網絡監控軟件或者硬件對網絡流量進行監控并分析，及時發現網絡攻擊的跡象并做出反應。入侵檢測部件可以直接部署于受監控網絡的廣播網段，或者直接接收受監控網絡旁路過來的數據流。為了更有效地發現網絡受攻擊的跡象，網絡入侵檢測部件應能夠分析網絡上使用的各種網絡協議，識別各種網絡攻擊行為。網絡入侵檢測部件對網絡攻擊行為的識別通常是通過網絡入侵特征庫來實現的，這種方法有利于在出現了新的網絡攻擊手段時方便地對入侵特征庫加以更新，提高入侵檢測部件對網絡攻擊行為的識別能力。

　　利用網絡入侵檢測技術可以實現網絡安全檢測和實時攻擊識別，但它只能作為網絡安全的一個重要的安全組件，網絡系統的實際安全實現應該結合使用防火墻等技術來組成一個完整的網絡安全解決方案，其原因在于網絡入侵檢測技術雖然也能對網絡攻擊進行識別并做出反應，但其側重點還是在于發現，而不能代替防火墻系統執行整個網絡的訪問控制策略。防火墻系統能夠將一些預期的網絡攻擊阻擋于網絡外面，而網絡入侵檢測技術除了減小網絡系統的安全風險之外，還能對一些非預期的攻擊進行識別并做出反應，切斷攻擊連接或通知防火墻系統修改控制準則，將下一次的類似攻擊阻擋于網絡外部。因此通過網絡安全檢測技術和防火墻系統結合，可以實現了一個完整的網絡安全解決方案。

　　附:

　　一.CA中心的安全應用--數字證書頒發

　　CA (Certificate Authority)

　　CA技術是安全認證技術的一種它基于公開密鑰體系通過安全證書來實現 安全證書采用國際標準的X.509證書格式主要包括 證書的版本號 發證CA的身份信息 持證用戶的身份信息 持證用戶的公鑰

　　CA中心所發放的數字安全證書可以應用于公眾網絡上的商務活動和行政作業活動，包括支付型和非支付型電子商務活動，其應用范圍涉及需要身份認證及數據安全的各個行業，包括傳統的商業、制造業、流通業的網上交易，以及公共事業、金融服務業、工商稅務海關、政府行政辦公、教育科研單位、保險、醫療等網上作業系統。它主要應用于網上購物、企業與企業的電子貿易、安全電子郵件、網上證券交易、網上銀行等方面。

　　二. 密鑰的管理內容

　　1.一個好的密鑰管理系統應該做到

　　(1)密鑰難以被竊取;

　　(2)在一定條件下竊取了密鑰也沒有用，密鑰有使用范圍和時間的限制;

　　(3)密鑰的分配和更換過程對用戶透明，用戶不一定要親自掌管密鑰.

　　a. 管理方式

　　層次化的密鑰管理方式，用于數據加密的工作密鑰需要動態產生;工作密鑰由上層的加密密鑰進行保護，最上層的密鑰稱為主密鑰，是整個密鑰管理系統的核心;多層密鑰體制大大加強了密碼系統的可靠性，因為用得最多的工作密鑰常常更換，而高層密鑰用的較少，使得破譯者的難度增大。

　　b. 密鑰的生成

　　密鑰的生成與所使用的算法有關。如果生成的密鑰強度不一致，則稱該算法構成的是非線性密鑰空間，否則稱為是線性密鑰空間。

　　c. 分配、傳遞

　　密鑰的分配是指產生并使使用者獲得一個密鑰的過程;密鑰的傳遞分集中傳送和分散傳送兩類。集中傳送是指將密鑰整體傳送，這時需要使用主密鑰來保護會話密鑰的傳遞，并通過安全渠道傳遞主密鑰。分散傳送是指將密鑰分解成多個部分，用秘密分享的方法傳遞，只要有部分到達就可以恢復，這種方法適用于在不安全的信道中傳輸。

　　d. 密鑰的保存

　　密鑰既可以作為一個整體保存，也可以分散保存。整體保存的方法有人工記憶、外部記憶裝置、密鑰恢復、系統內部保存;分散保存的目的是盡量降低由于某個保管人或保管裝置的問題而導致密鑰的泄漏。

　　e. 備份、銷毀

　　密鑰的備份可以采用和密鑰的分散保存一樣的方式，以免知道密鑰的人太多;密鑰的銷毀要有管理和仲裁機制，否則密鑰會被有意無意的丟失，從而造成對使用行為的否認。　　

　　2011軟考網絡工程師常用英文單詞和縮寫翻譯

　　2011年軟考網絡工程師考前必看復習題總結