网络信息安全的八大机制

1、数据加密机制

密码技术是保障信息安全的核心技术。消息被称为明文。用某种方法伪装消息以隐藏它的内容的过程称为加密。加了密的消息称为密，而把密文转变为明文的过程称为解密。信息加密是保障信息安全的最基本、最核心的技术措施和理论基础。信息加密也是现代密码学主要组成部分。

2、访问控制机制

访问控制的目的是防止对信息资源的非授权访问和非授权使用信息资源。它允许用户对其常用的信息库进行适当权限的访问，限制他随意删除、修改或拷贝信息文件。访问控制技术还可以使系统管理员跟踪用户在网络中的活动，及时发现并拒绝“黑客”的入侵。访问控制采用最小特权原则：即在给用户分配权限时，根据每个用户的任务特点使其获得完成自身任务的最低权限，不给用户赋予其工作范围之外的任何权力。自主访问控制（DAC）、强制访问控制（MAC）和基于角色的访问控制（RBAC）。

3、数据完整性机制

数据完整性机制是保护数据，以免未授权的数据乱序、丢失、重放、插入和纂改。数据完整性机制的两个方面：单个数据单元或字段的完整性（不能防止单个数据单元的重放）；数据单元串或字段串的完整性。

4、数字签名机制

传统签名的基本特点:能与被签的文件在物理上不可分割；签名者不能否认自己的签名；签名不能被伪造；容易被验证。

数字签名是传统签名的数字化，基本要求:能与所签文件“绑定”；签名者不能否认自己的签名；签名不能被伪造；容易被自动验证。

5、实体认证机制

用于认证交换的技术：1.认证信息，如口令；2.密码技术；3.被认证实体的特征。为防止重放攻击，常与以下技术结合使用：1.时间戳；2.两次或三次握手；3.数字签名。

6、业务填充机制

所谓的业务填充即使在业务闲时发送无用的随机数据，增加攻击者通过通信流量获得信息的困难，是一种制造假的通信、产生欺骗性数据单元或在数据单元中产生数据的安全机制。该机制可用于提供对各种等级的保护，用来防止对业务进行分析，同时也增加了密码通讯的破译难度。发送的随机数据应具有良好的模拟性能，能够以假乱真。该机制只有在业务填充受到保密性服务时才有效。可利用该机制不断地在网络中发送伪随机序列, 使非法者无法区分有用信息和无用信息。

7、路由控制机制

路由控制机制可使信息发送者选择特殊的路由，以保证连接、传输的安全。其基本功能为：

路由选择：路由可以动态选择，也可以预定义，以便只用物理上安全的子网、中继或链路进行连接和/或传输。

路由连接：在监测到持续的操作攻击时，端系统可能通知网络服务提供者另选路由，建立连接。

安全策略：携带某些安全标签的数据可能被安全策略禁止通过某些子网、中继或路。连接的发起者可以提出有关路由选择的警告，要求回避某些特定的子网、中继或链路进行连接和/或传输。

8、公证机制

有关在两个或多个实体之间通信的数据的性质,如完整性、原发、时间和目的地等能够借助公证机制而得到确保。这种保证是由第三方公证人提供的。公证人为通信实体所信任, 并掌握必要信息以一种可证实方式提供所需的保证。每个通信实例可使用数字签名、加密和完整性机制以适应公证人提供的服务。当这种公证机制被用到时, 数据便在参与通信的实体之间经由受保护的通信和公证方进行通信。