idc网络安全指标 网络安全ids是什么意思

1、 简述IPS和IDS的异同点；

   入侵检测系统（IDS）

　　IDS（Intrusion Detection Systems，入侵检测系统），专业上讲就是依照一定的安全策略，对网络、系统、运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

入侵防御系统（IPS）

　　IPS（Intrusion Prevention System，入侵防御系统）。随着网络攻击技术的不断提高和网络安全漏洞的不断发现，传统防火墙技术加传统IDS的技术，已经无法应对一些安全威胁。在这种情况下，IPS技术应运而生，IPS技术可以深度感知并检测流经的数据流量，对恶意报文进行丢弃以阻断攻击，对滥用报文进行限流以保护网络带宽资源。

1） 概念不同。IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是按照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或攻击结果，以保证网络系统资源的机密性、完整性和可用性。IPS入侵防御系统（Intrusion-prevention system）是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或具有伤害性的网络资料传输行为。

2） 系统类型划分不同。IDS按入侵检测的技术基础可分为两类，一种基于标志的入侵检测（signation-based），另一种是基于异常情况的入侵检测（anomaly-based）。IPS按其用途划分为单机入侵系统（HIPS）和网络入侵预防系统（NIPS）两种类型。

3） 防御技术不完全相同。IDS实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复，IPS入侵预防系统知道正常数据以及数据之间关系的通常的样子，可以对照识别异常。有些入侵防御系统结合协议异常、传输异常和特征侦察，对通过网关或防火墙进入网路内部的有害代码实行有效组织。

2、 常用加密算法有哪些？并简述其特点。

密码的三要素：保密性、完整性、可用性。

常用的密码有古典密码、现代密码、序列密码、分组密码、公钥密码以及HASH密码等。

一） 古典密码

1） 置换密码

分为周期置换和列置换。

Scytale 是一个 锥形指挥棒，周围环绕张羊皮纸， 将要保密的信息写在羊皮纸上。

2） 代换密码

就是明文中每一个字符被替换成密文中的另外一个字符，代替后的各字母保持原来位置。对密文进行逆替换就可恢复出明文。有四种类型的代替密码:

(1) 单表代替密码

(2) 同音代替密码

(3) 多字母组代替密码

(4) 多表代替密码

特点：代换密码的解密非常简单，只要将加密的替换表进行反向操作。

代换密码主要是要建立起一套明文与密文之间的加密对应的替换关系，只要有这套密码替换表，加、解密就变得很容易。

二） 现代密码

1） 对称密码体制

常见的对称密码算法包括DES、3DES、 IDEA、AES等。

2） 非对称密码体制

非对称密码体制又称公钥密码体制，其加密密钥和解密密钥不同，从一个很难推出另一个。其中，一个可以公开的密钥称为公开密钥(Public Key)，简称公钥;另-个必须保密的密钥称为私有密钥(Private Key),简称私钥。

典型的公钥密码算法有RSA、ECC、ElGamal 等。

三） 序列密码

特点：序列密码具有实现简单、便于硬件实施、加解密处理速度快、没有或只有有限的错误传播等特点，因此在实际应用中，特别是专用或机密机构中保持着优势，典型的应用领域包括无线通信、外交通信。 如果序列密码所使用的是真正随机方式的、与消息流长度相同的 密钥流，则此时的序列密码就是一次一密的密码体制。

四） 分组密码

1） 典型的分组密码---DES

优点：1、加密方式简单有利于加密计算；2、单步加密错误误差不会被传送；

缺点：1、可以对明文进行主动攻击，明文数据不易隐藏。

2） 其他分组密码

(1)    AES算法

特点：运算速度快，安全性高，资源消耗少

(2) Camellia 算法

(3) IDEA国际数据加密算法

(4) RC系列密码算法

(5) SMI、SM4算法

序列密码与分组密码的对比

分组密码以一定大小作为每次处理的基本单元，而序列密码则是以一个元素（一个字母或一个比特）作为基本的处理单元。

序列密码是一个随时间变化的加密变换，具有转换速度快、低错误传播的优点，硬件实现电路更简单；其缺点是：低扩散（意味着混乱不够）、插入及修改的不敏感性。

分组密码使用的是一个不随时间变化的固定变换，具有扩散性好、插入敏感等优点；其缺点是：加解密处理速度慢、存在错误传播。

序列密码涉及到大量的理论知识，提出了众多的设计原理，也得到了广泛的分析，但许多研究成果并没有完全公开，这也许是因为序列密码目前主要应用于军事和外交等机密部门的缘故。目前，公开的序列 密码算法主要有RC4、SEAL等。

 

五） HASH密码

特点：压缩、单向性、抗碰撞性（弱抗碰撞性、强抗碰撞性）、易于计算，高灵敏性（雪崩效应）

常见的hash函数：

1)      MD5算法

压缩性：针对不同长度待加密的数据、字符串等等，其都可以返回一个固定长度的MD5加密字符串。（通常32位的16进制字符串）；

加密不可逆：其加密过程几乎不可逆，除非维护一个庞大的Key-Value数据库来进行碰撞破解，否则几乎无法解开。

容易计算：从原数据计算出MD5值很容易。

抗修改：对于一个固定的字符串。数字等等，MD5加密后的字符串是固定的，也就是说不管MD5加密多少次，都是同样的结果。而如果修改其中一个字节，得到的MD5值都很有很大变化。

强抗碰撞：已知原数据和其MD5值，想找到一个具有相同MD5值的数据（即伪造数据）是非常困难的。

2)      SHA算法

特点：：不可以从消息摘要中复原信息；两个不同的消息不会产生同样的消息摘要。

3)SM3算法

六） 公钥密码

特点：一个可以公开的密钥称为公开密钥(Public Key)，简称公钥;另-个必须保密的密钥称为私有密钥(Private Key),简称私钥。

典型的公钥密码算法有RSA、ECC、ElGamal 等

1） RSA

特点：

RSA算法的安全性依赖于大数的因子分解，但并没有从理论上证明破译RSA算法的难年与大数分解难度等价。即RSA算法的重大缺陷是无法从理论上把握它的保密性能如何，而密码学界多数人士倾向于因子分解不是NPC问题。
RSA算法的缺点主要有:①产生密钥很麻烦，受到素数产生技术的限制，因而难以做到 次一密。 ②分组长度太大，为保证安全性，n至少也要在 600bit以上，使运算代价很高， 开其是速度较慢，比对称密码算法慢几个数量级:且随着大数分解技术的发展， 这个长限还 在增加，不利于数据格式的标准化。目前，SET (Secure Eecrire Tasct协议中旁 在用2048bi长的密钥，其他实体使用102421 的密钥。③RSA算法密钥长度随着保密级别的提高增加很快。

2） ElGamal

特点：

ElGamal签名的安全性依赖于乘法群(IFp) *上的离散对数计算。素数p必须足够 且p-1至少包含一个大素数因子以抵抗Pohlig & Hellman 算法的攻击。M一般都应采用的Hash值(如SHA算法)。ElGamal的安全性主要依赖于p和g，若选取不当则签被伪造，应保证g对于p-1的大素数因子不可约。

        3)ECC

           特点：与RSA算法相比，椭圆曲线加密算法安全性更言算量小，处理速度快，存储空间占用少，带宽要求低。它在许多计算资源受限的环境，动通信、无线设备等领域，得到广泛应用。ECC算法的这些特点使其有可能在某些手机、平板电脑、智能卡)取代RSA算法，并成为通用的公钥加密算法。

七） 数字签名

DSA算法：

特点：1) DSA算法只能用于签名，不能用于加密，也不能用于密钥分配。

2)DSA算法是ElGamal签名方案的一个变形，有关EIGamal签名方案的一些攻击方游也可能对DSA算法有效。

3) DSA算法的密钥长度最初设置为512bit, 难以提供较好的安全性。NIST 后来将客站 长度调整为在512~ 1024bit之间可变，提高了算法的安全性。

4) DSA算法的速度比RSA算法慢。二者签名计算时间大致相同，但DSA算法验证路 名的速度是RSA算法的1~ 100倍。

ESP：

  1. ESP是 IPSec 中的一种协议，用于在 IPv4 和 IPv6 网络中提供网络数据包数据/负载的身份验证、完整性和保密性。ESP 在 IPSec 协议套件中提供消息/有效负载加密以及有效负载及其来源的身份验证。 封装安全有效负载主要用于为在 IP 网络中传输的数据或负载提供加密、身份验证和保护服务。

2 . ESP 不保护数据包标头；但是，它保护数据包标头。但是，在隧道模式下，如果整个数据包被封装到另一个数据包中作为有效负载/数据包，它可以加密驻留在另一个数据包中的整个数据包。通常，在 IP 网络数据包中，ESP 标头放在 IP 标头之后。

3 . ESP 标头的组件包括序列号、有效负载数据、填充、下一个标头、完整性检查和序列号。

4 . ESP为IP数据包提供完整性检查、认证和加密，可以看作是“超级 AH”， 因为它提供机密性并可防止篡改。

AH:

           1 . 身份验证标头 （AH） 是一种协议和 Internet 协议安全 （IPsec） 协议套件的一部分，用于验证 IP 数据包 （datagram） 的来源并保证数据的完整性。AH 确认数据包的原始源，并确保其内容（标头和有效负载）自传输以来未发生更改。

2 . AH 可用于隧道或传输模式。在传输模式下，数据报的 IP 标头是最外层的 IP 标头，后跟 AH 标头和数据报。与隧道模式相比，此模式需要减少处理开销，隧道模式   创建新的 IP 标头并在数据报的最外层 IP 标头中使用它们。

3 . AH 使用身份验证代码生成的校验和（类似于 MD5）提供数据完整性。AH 算法中有一个用于数据源身份验证的机密共享密钥。使用 AH 标头内的序列号字段，确保继电器保护。

DES:

优点：1、加密方式简单有利于加密计算；2、单步加密错误误差不会被传送；

缺点：1、可以对明文进行主动攻击，明文数据不易隐藏。

3DES:

相比DES，3DES因密钥长度变长，安全性有所提高，但其处理速度不高。通常认为3DES是DES向AES过渡的加密算法。

AH和ESP的区别:

    AH 只能进行数据摘要，不能实现数据加密；

    ESP 能够进行数据加密和数据摘要。

    AH既可以单独使用，也可在隧道模式下，或和ESP联用。

    ESP可以单独使用或与AH结合使用，以便提供对整个数据包的签名。

    此外，ESP 和 AH 可同时用于隧道和运输模式。

    AH 不提供保密性，因为不使用加密。（与第1点相同）

    ESP 为 IP 负载提供机密性（除了身份验证、完整性和防重放保护）；传输模式下的 ESP 不会对整个数据包进行签名；只有 IP 负载（不是 IP 标头）受到保护。

    AH模式无法与NAT一起运行：AH对包括IP地址在内的整个IP包进行hash运算，而NAT会改变IP地址，从而破坏AH的hash值。

    ESP在NAT模式下：只进行地址映射时，ESP可与它一起工作。 进行端口映射时，需要修改端口，而ESP已经对端口号进行了加密和/或hash，所以将无法进行。ESP与NAT模式下：启用IPSec NAT穿越后，会在ESP头前增加一个UDP头，就可以进行端口映射。

    AH协议定义了认证的应用方法，提供数据源认证和完整性保证；AH只涉及认证，不涉及加密。AH在功能上和ESP有些重复，但AH除了可以对IP的有效负载进行认证外，还可以对IP头部实施认证(主要是处理数据时，可以对IP头部进行认证)。而ESP的认证功能主要是面对IP的有效负载。

    ESP协议定义了加密和可选认证的应用方法，提供了可靠性保证。ESP协议主要用来处理对IP数据包的加密，此外对认证也提供某种程度的支持。ESP是与具体的加密算法相独立的，几乎可以支持各种对称密钥加密算法。