從歷年的考試情況來看，在信息安全方面的分?jǐn)?shù)比較多，所考查的知識(shí)點(diǎn)也比較雜。

    1. 安全系統(tǒng)體系結(jié)構(gòu)

    ISO7498-2從體系結(jié)構(gòu)的觀點(diǎn)描述了5種可選的安全服務(wù)、8項(xiàng)特定的安全機(jī)制以及5種普遍性的安全機(jī)制，它們可以在OSI/RM模型的適當(dāng)層次上實(shí)施。

    安全服務(wù)是指計(jì)算機(jī)網(wǎng)絡(luò)提供的安全防護(hù)措施，包括認(rèn)證服務(wù)、訪問控制、數(shù)據(jù)機(jī)密性服務(wù)、數(shù)據(jù)完整性服務(wù)、不可否認(rèn)服務(wù)。

    安全機(jī)制是用來實(shí)施安全服務(wù)的機(jī)制。安全機(jī)制既可以是具體的、特定的，也可以是通用的。安全機(jī)制包括加密機(jī)制、數(shù)字簽名機(jī)制、訪問控制機(jī)制、數(shù)據(jù)完整性機(jī)制、認(rèn)證交換機(jī)制、流量填充機(jī)制、路由控制機(jī)制、公證機(jī)制。

    普遍性安全機(jī)制不是為任何特定的服務(wù)而特設(shè)的，因此在任一特定的層上，對(duì)它們都不作明確的說明。某些普遍性安全機(jī)制可認(rèn)為屬于安全管理方面。普遍性安全機(jī)制可分為以可信功能度、安全標(biāo)記、事件檢測(cè)、安全審計(jì)跟蹤、安全恢復(fù)。

    2. 安全保護(hù)等級(jí)

    標(biāo)準(zhǔn)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859-1999）規(guī)定了計(jì)算機(jī)系統(tǒng)安全保護(hù)能力的五個(gè)等級(jí)，即用戶自主保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)、訪問驗(yàn)證保護(hù)級(jí)。計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力隨著安全保護(hù)等級(jí)的增高，逐漸增強(qiáng)。

    （1）用戶自主保護(hù)級(jí)。本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算機(jī)通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護(hù)的能力。它具有多種形式的控制能力，對(duì)用戶實(shí)施訪問控制，即為用戶提供可行的手段，保護(hù)用戶和用戶組信息，避免其他用戶對(duì)數(shù)據(jù)的非法讀寫與破壞。第一級(jí)適用于普通內(nèi)聯(lián)網(wǎng)用戶。

    （2）系統(tǒng)審計(jì)保護(hù)級(jí)。與用戶自主保

    護(hù)級(jí)相比，本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算機(jī)實(shí)施了粒度更細(xì)的自主訪問控制，它通過登錄規(guī)程、審計(jì)安全性相關(guān)事件和隔離資源，使用戶對(duì)自己的行為負(fù)責(zé)。第二級(jí)適用于通過內(nèi)聯(lián)網(wǎng)或國(guó)際網(wǎng)進(jìn)行商務(wù)活動(dòng)，需要保密的非重要單位。

    （3）安全標(biāo)記保護(hù)級(jí)。本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算機(jī)具有系統(tǒng)審計(jì)保護(hù)級(jí)的所有功能。此外，還提供有關(guān)安全策略模型、數(shù)據(jù)標(biāo)記，以及主體對(duì)客體強(qiáng)制訪問控制的非形式化描述；具有準(zhǔn)確地標(biāo)記輸出信息的能力；消除通過測(cè)試發(fā)現(xiàn)的任何錯(cuò)誤。第三級(jí)適用于地方各級(jí)機(jī)關(guān)、金融機(jī)構(gòu)、郵電通信、能源與水源供給部門、交通運(yùn)輸、大型工商與信息技術(shù)企業(yè)、重點(diǎn)工程建設(shè)等單位。

    （4）結(jié)構(gòu)化保護(hù)級(jí)。本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算機(jī)建立于一個(gè)明確定義的形式化安全策略模型之上，它要求將第三級(jí)系統(tǒng)中的自主和強(qiáng)制訪問控制擴(kuò)展到所有主體與客體。此外，還要考慮隱蔽通道。本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算機(jī)必須結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素。計(jì)算機(jī)信息系統(tǒng)可信計(jì)算機(jī)的接口也必須明確定義，使其設(shè)計(jì)與實(shí)現(xiàn)能經(jīng)受更充分的測(cè)試和更完整的復(fù)審。加強(qiáng)了鑒別機(jī)制，支持系統(tǒng)管理員和操作員的職能，提供可信設(shè)施管理，增強(qiáng)了配置管理控制。系統(tǒng)具有相當(dāng)?shù)目節(jié)B透能力。第四級(jí)適用于中央級(jí)機(jī)關(guān)、廣播電視部門、重要物資儲(chǔ)備單位、社會(huì)應(yīng)急服務(wù)部門、尖端科技企業(yè)集團(tuán)、重點(diǎn)科研機(jī)構(gòu)和國(guó)防建設(shè)等部門。

    （5）訪問驗(yàn)證保護(hù)級(jí)。本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算機(jī)滿足訪問監(jiān)控器需求。訪問監(jiān)控器仲裁主體對(duì)客體的全部訪問。訪問監(jiān)控器本身是抗篡改的，而且必須足夠小，能夠分析和測(cè)試。為了滿足訪問監(jiān)控器需求，計(jì)算機(jī)信息系統(tǒng)可信計(jì)算機(jī)在其構(gòu)造時(shí)，排除了那些對(duì)實(shí)施安全策略來說并非必要的代碼；在設(shè)計(jì)和實(shí)現(xiàn)時(shí)，從系統(tǒng)工程角度將其復(fù)雜性降低到最小程度。支持安全管理員職能；擴(kuò)充審計(jì)機(jī)制，當(dāng)發(fā)生與安全相關(guān)的事件時(shí)發(fā)出信號(hào)；提供系統(tǒng)恢復(fù)機(jī)制。系統(tǒng)具有很高的抗?jié)B透能力。第五級(jí)適用于國(guó)防關(guān)鍵部門和依法需要對(duì)計(jì)算機(jī)信息系統(tǒng)實(shí)施特殊隔離的單位。

    3. 可信計(jì)算機(jī)系統(tǒng)

    TCSEC（TrustedComputerSystemEvaluationCriteria，可信計(jì)算機(jī)系統(tǒng)準(zhǔn)則）標(biāo)準(zhǔn)是計(jì)算機(jī)系統(tǒng)安全評(píng)估的第一個(gè)正式標(biāo)準(zhǔn)，它將計(jì)算機(jī)系統(tǒng)的安全劃分為4個(gè)等級(jí)、7個(gè)級(jí)別。

    （1）D類安全等級(jí)：D類安全等級(jí)只包括D1一個(gè)級(jí)別。D1的安全等級(jí)最低。D1系統(tǒng)只為文件和用戶提供安全保護(hù)。D1系統(tǒng)最普通的形式是本地操作系統(tǒng)，或者是一個(gè)完全沒有保護(hù)的網(wǎng)絡(luò)。

    （2）C類安全等級(jí)：該類安全等級(jí)能夠提供審慎的保護(hù)，并為用戶的行動(dòng)和責(zé)任提供審計(jì)能力。C類安全等級(jí)可劃分為C1和C2兩類。C1系統(tǒng)的可信任運(yùn)算基礎(chǔ)體制通過將用戶和數(shù)據(jù)分開來達(dá)到安全的目的。在C1系統(tǒng)中，所有的用戶以同樣的靈敏度來處理數(shù)據(jù)，即用戶認(rèn)為C1系統(tǒng)中的所有文檔都具有相同的機(jī)密性。C2系統(tǒng)比C1系統(tǒng)加強(qiáng)了可調(diào)的審慎控制。在連接到網(wǎng)絡(luò)上時(shí)，C2系統(tǒng)的用戶分別對(duì)各自的行為負(fù)責(zé)。C2系統(tǒng)通過登錄過程、安全事件和資源隔離來增強(qiáng)這種控制。C2系統(tǒng)具有C1系統(tǒng)中所有的安全性特征。

    （3）B類安全等級(jí)：B類安全等級(jí)可分為B1、B2和B3三類。B類系統(tǒng)具有強(qiáng)制性保護(hù)功能。強(qiáng)制性保護(hù)意味著如果用戶沒有與安全等級(jí)相連，系統(tǒng)就不會(huì)讓用戶存取對(duì)象。B1系統(tǒng)滿足下列要求：系統(tǒng)對(duì)網(wǎng)絡(luò)控制下的每個(gè)對(duì)象都進(jìn)行靈敏度標(biāo)記；系統(tǒng)使用靈敏度標(biāo)記作為所有強(qiáng)迫訪問控制的基礎(chǔ)；系統(tǒng)在把導(dǎo)入的、非標(biāo)記的對(duì)象放入系統(tǒng)前標(biāo)記它們；靈敏度標(biāo)記必須準(zhǔn)確地表示其所聯(lián)系的對(duì)象的安全級(jí)別；當(dāng)系統(tǒng)管理員創(chuàng)建系統(tǒng)或者增加新的通信通道或I/O設(shè)備時(shí)，管理員必須指定每個(gè)通信通道和I/O設(shè)備是單級(jí)還是多級(jí)，并且管理員只能手工改變指定；單級(jí)設(shè)備并不保持傳輸信息的靈敏度級(jí)別；所有直接面向用戶位置的輸出（無論是虛擬的還是物理的）都必須產(chǎn)生標(biāo)記來指示關(guān)于輸出對(duì)象的靈敏度；系統(tǒng)必須使用用戶的口令或證明來決定用戶的安全訪問級(jí)別；系統(tǒng)必須通過審計(jì)來記錄未授權(quán)訪問的企圖。

    B2系統(tǒng)必須滿足B1系統(tǒng)的所有要求。另外，B2系統(tǒng)的管理員必須使用一個(gè)明確的、文檔化的安全策略模式作為系統(tǒng)的可信任運(yùn)算基礎(chǔ)體制。B2系統(tǒng)必須滿足下列要求：系統(tǒng)必須立即通知系統(tǒng)中的每一個(gè)用戶所有與之相關(guān)的網(wǎng)絡(luò)連接的改變；只有用戶能夠在可信任通信路徑中進(jìn)行初始化通信；可信任運(yùn)算基礎(chǔ)體制能夠支持獨(dú)立的操作者和管理員。

    B3系統(tǒng)必須符合B2系統(tǒng)的所有安全需求。B3系統(tǒng)具有很強(qiáng)的監(jiān)視委托管理訪問能力和抗干擾能力。B3系統(tǒng)必須設(shè)有安全管理員。B3系統(tǒng)應(yīng)滿足以下要求:除了控制對(duì)個(gè)別對(duì)象的訪問外，

    B3必須產(chǎn)生一個(gè)可讀的安全列表；每個(gè)被命名的對(duì)象提供對(duì)該對(duì)象沒有訪問權(quán)的用戶列表說明；B3系統(tǒng)在進(jìn)行任何操作前，要求用戶進(jìn)行身份驗(yàn)證；B3系統(tǒng)驗(yàn)證每個(gè)用戶，同時(shí)還會(huì)發(fā)送一個(gè)取消訪問的審計(jì)跟蹤消息；設(shè)計(jì)者必須正確區(qū)分可信任的通信路徑和其他路徑；可信任的通信基礎(chǔ)體制為每一個(gè)被命名的對(duì)象建立安全審計(jì)跟蹤；可信任的運(yùn)算基礎(chǔ)體制支持獨(dú)立的安全管理。

    （4）A類安全等級(jí)：A系統(tǒng)的安全級(jí)別較高。目前，A類安全等級(jí)只包含A1一個(gè)安全類別。A1類與B3類相似，對(duì)系統(tǒng)的結(jié)構(gòu)和策略不作特別要求。A1系統(tǒng)的顯著特征是，系統(tǒng)的設(shè)計(jì)者必須按照一個(gè)正式的設(shè)計(jì)規(guī)范來分析系統(tǒng)。對(duì)系統(tǒng)分析后，設(shè)計(jì)者必須運(yùn)用核對(duì)技術(shù)來確保系統(tǒng)符合設(shè)計(jì)規(guī)范。A1系統(tǒng)必須滿足下列要求：系統(tǒng)管理員必須從開發(fā)者那里接收到一個(gè)安全策略的正式模型；所有的安裝操作都必須由系統(tǒng)管理員進(jìn)行；系統(tǒng)管理員進(jìn)行的每一步安裝操作都必須有正式文檔。

    在歐洲四國(guó)（英、法、德、荷）也提出了評(píng)價(jià)滿足保密性、完整性、可用性要求的信息技術(shù)安全評(píng)價(jià)準(zhǔn)則（InformationTechnologySecurityEvaluationCriteria，ITSEC）后，美國(guó)又聯(lián)合以上諸國(guó)和加拿大，并會(huì)同ISO共同提出了信息技術(shù)安全評(píng)價(jià)的通用準(zhǔn)則（CommonCriteriaforITSEC，CC），CC已經(jīng)被技術(shù)發(fā)達(dá)的承認(rèn)為代替TCSEC的評(píng)價(jià)安全信息系統(tǒng)的標(biāo)準(zhǔn)，且將發(fā)展成為國(guó)際標(biāo)準(zhǔn)。

    4. 加密體制

    按照加密密鑰和解密密鑰的異同，有兩種密鑰體制，分別是對(duì)稱密碼體制和非對(duì)稱密碼體制。

    對(duì)稱密碼體制又稱為秘密密鑰體制（私鑰密碼體制），加密和解密采用相同的密鑰。因?yàn)槠浼用芩俣瓤?，通常用來加密大批量的?shù)據(jù)。典型的方法有日本NTT公司的快速數(shù)據(jù)加密標(biāo)準(zhǔn)（FastDataEnciphermentAlgorithm，F(xiàn)EAL）、瑞士的國(guó)際數(shù)據(jù)加密算法（InternationalDataEncryptionAlgorithm，IDEA）和美國(guó)的數(shù)據(jù)加密標(biāo)準(zhǔn)（DateEncryptionStandard，DES），IDEA的密鑰長(zhǎng)度為128位，DES的密鑰長(zhǎng)度為56位。

    非對(duì)稱密碼體制（不對(duì)稱密碼體制）又稱為公開密鑰體制（公鑰密碼體制），其加密和解密使用不同的密鑰，其中一個(gè)密鑰是公開的，另一個(gè)密鑰保密的，典型的公開密鑰是保密的。由于加密度較慢，所在往往用在少量數(shù)據(jù)的通信中。公鑰密碼體制根據(jù)其所依據(jù)的難題一般分為三類：大整數(shù)分解問題類、離散對(duì)數(shù)問題類、橢圓曲線類，有時(shí)也把橢圓曲線類歸為離散對(duì)數(shù)類。典型的公開密鑰加密方法有RSA，其密鑰長(zhǎng)度為512位。

    5.PKI與數(shù)字簽名

    PKI是CA安全認(rèn)證體系的基礎(chǔ)，為安全認(rèn)證體系進(jìn)行密鑰管理提供了一個(gè)平臺(tái)，它是一種新的網(wǎng)絡(luò)安全技術(shù)和安全規(guī)范。它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼服務(wù)所必需的密鑰和證書管理。PKI包括由認(rèn)證中心、證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢處理系統(tǒng)及客戶端證書處理系統(tǒng)五大系統(tǒng)組成。

    PKI可以實(shí)現(xiàn)CA和證書的管理；密鑰的備份與恢復(fù)；證書、密鑰對(duì)的自動(dòng)更換；交叉認(rèn)證；加密密鑰和簽名密鑰的分隔；支持對(duì)數(shù)字簽名的不可抵賴性；密鑰歷史的管理等功能。PKI技術(shù)的應(yīng)用可以對(duì)認(rèn)證、機(jī)密性、完整性和抗抵賴性方面發(fā)揮出重要的作用。

    PKI技術(shù)實(shí)現(xiàn)以上這些方面的功能主要是借助數(shù)字簽名技術(shù)。簽名是確認(rèn)文件的一種手段，采用數(shù)字簽名能夠確認(rèn)以下兩點(diǎn)：一是信息是由簽名者發(fā)送的；二是信息自簽發(fā)到接收為止，沒作任何修改。數(shù)字簽名的目的就是在保證真實(shí)的發(fā)送與真實(shí)的接收方之間傳送真實(shí)的信息。因而完善的簽名機(jī)制應(yīng)體現(xiàn)發(fā)送方簽名發(fā)送，接收方簽名送回執(zhí)。

    數(shù)字簽名的算法很多，應(yīng)用最為廣泛的三種是Hash簽名、DSS簽名（DigitalSignatureStandard，數(shù)字簽名標(biāo)準(zhǔn)）、RSA簽名。Hash簽名中很常用的就是散列（Hash）函數(shù)，也稱消息摘要、哈希函數(shù)或雜湊函數(shù)等。單向Hash函數(shù)提供了這樣一種計(jì)算過程：輸入一個(gè)長(zhǎng)度不固定的字符串，返回一串定長(zhǎng)的字符串（128位），又稱Hash值。單向Hash函數(shù)用于產(chǎn)生消息摘要。Hash函數(shù)主要可以解決以下兩個(gè)問題：在某一特定的時(shí)間內(nèi)，無法查找經(jīng)Hash操作后生成特定Hash值的原報(bào)文；也無法查找兩個(gè)經(jīng)Hash操作后生成相同Hash值的不同報(bào)文。這樣在數(shù)字簽名中就可以解決驗(yàn)證簽名和用戶身份驗(yàn)證、不可抵賴性的問題。

    6. 防火墻

    防火墻是指建立在內(nèi)外網(wǎng)絡(luò)邊界上的過濾封鎖機(jī)制，其作用是防止不希望的、未經(jīng)授權(quán)的通信進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò)，通過邊界控制強(qiáng)化內(nèi)部網(wǎng)絡(luò)的安全政策。由于防火墻是一種被動(dòng)技術(shù)，它假設(shè)了網(wǎng)絡(luò)邊界和服務(wù)，因此，對(duì)內(nèi)部的非法訪問難以有效地控制，防火墻適合于相對(duì)獨(dú)立的網(wǎng)絡(luò)。

    實(shí)現(xiàn)防火墻的產(chǎn)品主要兩大類：一類是網(wǎng)絡(luò)級(jí)防火墻，另一類是應(yīng)用級(jí)防火墻。

    網(wǎng)絡(luò)級(jí)防火墻也稱為過濾型防火墻，事實(shí)上是一種具有特殊功能的路由器，采用報(bào)文動(dòng)態(tài)過濾技術(shù)，能夠動(dòng)態(tài)地檢查流過的TCP/IP報(bào)文或分組頭，根據(jù)企業(yè)所定義的規(guī)則，決定禁止某些報(bào)文通過或者允許某些報(bào)文通過，允許通過的報(bào)文將按照路由表設(shè)定的路徑進(jìn)行信息轉(zhuǎn)發(fā)。相應(yīng)的防火墻軟件工作在傳輸層與網(wǎng)絡(luò)層。

    應(yīng)用級(jí)防火墻也稱為應(yīng)用網(wǎng)關(guān)型防火墻，目前已大多采用代理服務(wù)機(jī)制，即采用一個(gè)網(wǎng)關(guān)來管理應(yīng)用服務(wù)，在其上安裝對(duì)應(yīng)于每種服務(wù)的特殊代碼（代理服務(wù)程序），在此網(wǎng)關(guān)上控制與監(jiān)督各類應(yīng)用層服務(wù)的網(wǎng)絡(luò)連接。例如對(duì)外部用戶（或內(nèi)部用戶）的FTP、TELNET、SMTP等服務(wù)請(qǐng)求，檢查用戶的真實(shí)身份、請(qǐng)求合法性和源與目的地IP地址等，從而由網(wǎng)關(guān)決定接受或拒絕該服務(wù)請(qǐng)求，對(duì)于可接受的服務(wù)請(qǐng)求由代理服務(wù)機(jī)制連接內(nèi)部網(wǎng)與外部網(wǎng)。代理服務(wù)程序的配置由企業(yè)網(wǎng)絡(luò)管理員所控制。目前常用的應(yīng)用級(jí)防火墻大至上有4種類型，分別適合于不同規(guī)模的企業(yè)內(nèi)部網(wǎng)：雙穴主機(jī)網(wǎng)關(guān)、屏蔽主機(jī)網(wǎng)關(guān)、屏蔽子網(wǎng)關(guān)和應(yīng)用代理服務(wù)器。一個(gè)共同點(diǎn)是需要有一臺(tái)主機(jī)（稱之為堡壘主機(jī)）來負(fù)責(zé)通信登記、信息轉(zhuǎn)發(fā)和控制服務(wù)提供等任務(wù)。

    7. 入侵檢測(cè)

    入侵檢測(cè)是用于檢測(cè)任何損害或企圖損害系統(tǒng)的機(jī)密性、完整性或可用性的行為的一種網(wǎng)絡(luò)安全技術(shù)。它通過監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)，采用異常檢測(cè)或誤用檢測(cè)的方式，發(fā)現(xiàn)非授權(quán)的或惡意的系統(tǒng)及網(wǎng)絡(luò)行為，為防范入侵行為提供有效的手段。

    入侵檢測(cè)系統(tǒng)要解決的最基本的兩個(gè)問題是：如何充分并可靠地提取描述行為特征的數(shù)據(jù)，以及如何根據(jù)特征數(shù)據(jù)，高效并準(zhǔn)確地判斷行為的性質(zhì)。由系統(tǒng)的構(gòu)成來說，通常包括數(shù)據(jù)源（原始數(shù)據(jù)）、分析引擎（通過異常檢測(cè)或誤用檢測(cè)進(jìn)行分析）、響應(yīng)（對(duì)分析結(jié)果采用必要和適當(dāng)?shù)拇胧┤齻€(gè)模塊。

    入侵檢測(cè)系統(tǒng)所采用的技術(shù)可分為特征檢測(cè)與異常檢測(cè)兩種。

    （1）特征檢測(cè)。特征檢測(cè)也稱為誤用檢測(cè)，假設(shè)入侵者活動(dòng)可以用一種模式來表示，系統(tǒng)的目標(biāo)是檢測(cè)主體活動(dòng)是否符合這些模式。它可以將已有的入侵方法檢查出來，但對(duì)新的入侵方法無能為力。其難點(diǎn)在于如何設(shè)計(jì)模式既能夠表達(dá)“入侵”現(xiàn)象又不會(huì)將正常的活動(dòng)包含進(jìn)來。

    （2）異常檢測(cè)。假設(shè)是入侵者活動(dòng)異常于正常主體的活動(dòng)。根據(jù)這一理念建立主體正常活動(dòng)的“活動(dòng)簡(jiǎn)檔”，將當(dāng)前主體的活動(dòng)狀況與“活動(dòng)簡(jiǎn)檔”相比較，當(dāng)違反其統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為該活動(dòng)可能是“入侵”行為。異常檢測(cè)的難題在于如何建立“活動(dòng)簡(jiǎn)檔”以及如何設(shè)計(jì)統(tǒng)計(jì)算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。

    8. 虛擬專用網(wǎng)

    虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwork，VPN）提供了一種通過公用網(wǎng)絡(luò)安全地對(duì)企業(yè)內(nèi)部專用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問的連接方式。與普通網(wǎng)絡(luò)連接一樣，VPN也由客戶機(jī)、傳輸介質(zhì)和服務(wù)器三部分組成，不同的是VPN連接使用隧道作為傳輸通道，這個(gè)隧道是建立在公共網(wǎng)絡(luò)或?qū)Ｓ镁W(wǎng)絡(luò)基礎(chǔ)之上的，如Internet或Intranet。

    VPN可以實(shí)現(xiàn)不同網(wǎng)絡(luò)的組件和資源之間的相互連接，利用Internet或其他公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建隧道，并提供與專用網(wǎng)絡(luò)一樣的安全和功能保障。VPN允許遠(yuǎn)程通信方、銷售人員或企業(yè)分支機(jī)構(gòu)使用Internet等公共互聯(lián)網(wǎng)絡(luò)的路由基礎(chǔ)設(shè)施以安全的方式與位于企業(yè)局域網(wǎng)端的企業(yè)服務(wù)器建立連接。VPN對(duì)用戶端透明，用戶好像使用一條專用線路在客戶計(jì)算機(jī)和企業(yè)服務(wù)器之間建立點(diǎn)對(duì)點(diǎn)連接，進(jìn)行數(shù)據(jù)的傳輸。

    實(shí)現(xiàn)VPN的關(guān)鍵技術(shù)：安全隧道技術(shù)（Tunneling）、加解密技術(shù)、密鑰管理技術(shù)、身份認(rèn)證技術(shù)、訪問控制技術(shù)。

    9、安全系統(tǒng)結(jié)構(gòu)主要分為：

    （1）MIS+S系統(tǒng)：應(yīng)用基本不變；硬件和系統(tǒng)軟件通用；安全設(shè)備基本不帶密碼

    （2） S-MIS系統(tǒng)：硬件和系統(tǒng)軟件通用；PKI/CA安全保障系統(tǒng)必須帶密碼；應(yīng)用系統(tǒng)必須根本改變

    （3） S2-MIS系統(tǒng)：硬件和系統(tǒng)軟件都專用；PKI/CA安全保障系統(tǒng)必須帶密碼；應(yīng)用系統(tǒng)必須根本改變；主要的硬件和系統(tǒng)軟件需要PKI/CA認(rèn)證

相關(guān)推薦：

淺談項(xiàng)目進(jìn)度計(jì)劃的編制及進(jìn)度偏差的糾正

信息系統(tǒng)項(xiàng)目怎樣做好成本控制

項(xiàng)目管理知識(shí)體系指南之項(xiàng)目質(zhì)量管理

項(xiàng)目管理的四要素：范圍、時(shí)間、質(zhì)量、成本