网络安全体系结构
网络安全体系结构概述
网络安全体系结构概述引言随着互联网的迅速发展,网络安全成为了当代社会一个不可忽视的问题。
安全的网络体系结构是构建安全网络环境的基础。
本文将对网络安全体系结构进行概述,探讨其基本原则和核心组成部分。
什么是网络安全体系结构?网络安全体系结构是指一种有机的、分层次的网络安全防御系统。
它由一系列相互依存的网络安全技术和措施所组成,旨在保护网络和信息系统不受各种外部和内部威胁的攻击和损害。
网络安全体系结构需要根据实际情况和需求进行定制,以确保系统的完整性、可用性和保密性。
网络安全体系结构的基本原则网络安全体系结构的设计应遵循以下基本原则:1. 分层次原则网络安全体系结构应该由多个分层次的安全措施组成,每一层次负责特定的安全任务。
这种分层次的设计可以保证安全机制之间的相对独立,增加安全性能和可靠性。
2. 综合防御原则综合防御是网络安全体系结构的核心原则。
它包括了信息安全性、网络安全和物理安全等多个方面。
只有综合运用各种强有力的安全措施,才能有效保护系统和数据免受攻击。
3. 保密性、完整性和可用性原则网络安全体系结构应该同时保证系统的保密性、完整性和可用性。
保密性指的是防止未经授权的访问和信息泄露。
完整性要确保数据在传输和存储过程中不被篡改和破坏。
可用性是指系统能够按需进行访问和使用。
4. 及时响应和恢复原则网络安全体系结构需要设计及时响应和恢复机制,以便迅速检测和应对安全事件。
这包括实时监控、事件检测和警报通知等技术手段,以及快速恢复系统功能的备份和恢复措施。
网络安全体系结构的核心组成部分1. 边界防御边界防御是防止外部威胁入侵内部网络的第一道防线。
它包括防火墙、入侵检测和入侵防御系统(IDS/IPS)等技术手段。
防火墙用于限制网络流量,阻止未经授权的访问。
IDS/IPS能够检测和阻止入侵行为,保护系统资源和数据不受攻击。
2. 认证和访问控制认证和访问控制是网络安全体系结构中非常重要的组成部分。
它可以确保只有经过身份验证的用户才能获得系统和数据的访问权限。
网络安全层次体系结构
网络安全层次体系结构网络安全层次体系结构是指通过构建一系列安全措施和技术,保护网络系统的安全性和可靠性。
下面将介绍网络安全层次体系结构的主要内容。
网络安全层次体系结构可以分为以下几层:物理层、网络层、主机层、应用层。
首先是物理层,物理层是网络安全体系的基础。
物理层主要涉及到网络的硬件设备,如交换机、路由器等。
在物理层中,主要的安全措施包括物理访问控制,通过限制物理访问来保护网络设备。
此外,还可以使用物理隔离、加密等技术来保护物理层的安全。
其次是网络层,网络层是建立在物理层之上的,负责数据的传输和路由。
网络层的安全主要包括网络拓扑安全、防火墙和虚拟专用网(VPN)等。
网络拓扑安全通过设计合理的网络拓扑结构来保护网络的安全性。
防火墙是网络的门卫,可以过滤、监控和控制进出网络的数据流量。
虚拟专用网是通过加密和隧道技术来实现安全通信的。
然后是主机层,主机层是建立在网络层之上的,主要指网络中的服务器和终端设备。
在主机层中,主要的安全措施包括身份认证、访问控制和安全配置。
身份认证主要通过用户名和密码等来确认用户的身份。
访问控制是通过权限管理和访问控制列表来限制用户对主机资源的访问。
安全配置主要指对操作系统和应用软件的安全设置和更新。
最后是应用层,应用层是建立在主机层之上的,包括网络中的各种应用软件。
在应用层中,主要的安全措施包括数据加密、安全协议和安全编码等。
数据加密可以保护应用程序中的敏感数据,使其在传输和存储过程中得到保护。
安全协议可以提供安全的通信通道,如HTTPS协议用于安全的网页浏览。
安全编码主要是指在应用程序的开发过程中采用安全的编程技术,避免常见的安全漏洞。
在网络安全层次体系结构中,不同层次之间各有各的功能和任务,相互协作,共同保护网络的安全。
同时,也需要进行全面的安全测试和风险评估,及时发现和修复可能存在的漏洞和安全隐患。
只有在每个层次中都采取相应的安全措施,才能够构建一个安全可靠的网络系统。
网络安全体系结构
8.公证机制
• 公证机制就是在网络中设立一个公证机构,来中转各方交换的 信息,并从中提取相关证据,以便对可能发生的纠纷作出仲裁。
1.3 网络安全的策略
• 一般来说,安全策略包括两个部分:一个总体 的策略和具体的规则。
• 总体的策略用于阐明安全政策的总体思想 • 具体的规则用于说明什么活动是被允许的,什么活
3.访问控制机制
• 访问控制机制可以控制哪些用户可以访问哪些资源,对这些资 源可以访问到什么程度。
4.数据完整性机制
• 数据完整性机制保护网络系统中存储和传输的软件(程序)和 数据不被非法改变,例如被添加、删除和修改等。
5.鉴别交换机制
• 鉴别交换机制主要是通过相互交换信息来确定彼此的身份,在 计算机网络中,鉴别主要有站点鉴别、报文鉴别、用户和进程 的认证等,通常采用口令、密码技术、实体的特征或所有权等 手段进行鉴别。
网络安全与管理
1.1 网络安全模型
• 最常见的网络安全模型就是 PDRR模型。PDRR模型是 protection(防护)、 detection(检测)、 response(响应)、recovery (恢复)的首字母组合。这 四个部分构成了一个动态的 信息安全周期,如图1-3所示。
防护(P)
恢复(R)
• 在PDRR模型中,防护和检测具有互补关系。如果防护系统过硬,绝大部 分入侵事件被阻止,那么检测系统的任务就会减少。
3.响应
• PDRR模型中的第三个环节就是响应。响应就是已知一个 攻击(入侵)事件发生之后,进行处理。在一个大规模 的网络中,响应这个工作都是由一个特殊部门负责,那 就是计算机响应小组。
6.信息流填充机制
• 攻击者对传输信息的长度、频率等特征进行统计,然后进行信 息流量分析,即可从中得到有用的信息。
网络安全体系结构
网络安全体系结构网络安全体系结构是指在数字化信息时代中,为了保护网络系统和信息资产免受各种网络威胁和攻击,设置的一系列安全控制措施和安全管理措施。
网络安全体系结构的目标是实现信息系统的保密性、完整性和可用性,确保网络的安全运行。
物理层是网络安全体系结构的第一层,主要涉及网络通信设备、传输介质以及网络设备的物理安全控制措施。
在物理层中,可以采取措施如防火墙、入侵检测系统和网络访问控制等,以保护物理网络设备免受未经授权的访问和攻击。
此外,物理层还涉及数据线路和传输介质的安全措施,比如采用加密技术对数据进行加密传输,确保数据在传输过程中不被窃取和篡改。
网络层是网络安全体系结构的第二层,主要涉及网络协议和路由器的安全控制措施。
在网络层中,可以采取网络防火墙、网络入侵检测系统和虚拟专用网络等措施,保护网络通信过程中的数据安全,防止未经授权的访问和攻击。
此外,网络层还可以使用虚拟专用网络技术,使得网络通信过程中的数据只能在授权的用户之间传递,提高网络的安全性。
主机层是网络安全体系结构的第三层,主要涉及主机操作系统和主机应用程序的安全控制措施。
在主机层中,可以采取措施如强密码策略、安全补丁更新和权限管理等,以保护主机系统的安全性。
此外,主机层还可以使用主机入侵检测系统和主机安全审计等技术,及时发现主机系统中的安全漏洞和攻击行为,保证主机系统的安全运行。
应用层是网络安全体系结构的第四层,主要涉及应用程序的安全控制措施。
在应用层中,可以采取措施如安全访问控制、数据加密和应用层防火墙等,以保护应用程序的安全性。
此外,应用层还可以使用反病毒软件和安全策略管理等技术,提供全面的应用层安全保护,防止恶意代码和攻击行为对应用程序造成破坏。
不仅如此,网络安全体系结构还需要支持和运行在上述四个层次之上的安全管理措施。
安全管理措施主要包括安全策略、安全培训和安全审计等,以确保网络安全体系结构的有效运行和管理。
总之,网络安全体系结构是网络安全的基础和支撑,通过物理层、网络层、主机层和应用层的安全控制措施,保护网络系统和信息资产的安全。
网络安全体系结构
网络安全体系结构网络安全体系结构1-引言网络安全体系结构是指一个组织或企业为了保护其计算机网络免受未经授权的访问、数据泄露、恶意软件和其他网络威胁而采取的措施和技术。
一个完善的网络安全体系结构应该涵盖以下几个主要方面:网络边界保护、身份验证和访问控制、安全监控和事件响应、数据保护和备份恢复、以及员工培训和意识。
2-网络边界保护网络边界保护是指在网络和外部网络之间建立安全防线以阻止未经授权的访问。
以下是一些常用的网络边界保护措施:2-1 防火墙:设置网络防火墙来监控进出网络的流量,并根据特定的规则允许或拒绝访问。
2-2 入侵检测和防御系统(IDS / IPS):使用IDS和IPS来监测和防御可能的入侵行为,包括检测和阻止恶意网络流量。
2-3 虚拟专用网络(VPN):通过建立加密通道来提供远程访问安全,使外部用户能够安全地连接到组织的网络。
3-身份验证和访问控制身份验证和访问控制是确保只有授权用户能够访问网络资源的重要措施。
以下是一些常用的身份验证和访问控制方法:3-1 用户名和密码:要求用户输入正确的用户名和密码才能登录到网络系统。
3-2 双因素认证:要求用户在输入用户名和密码之外,还使用其他身份验证方法,如指纹识别或令牌。
3-3 访问权限:根据用户的角色和职责,授予不同级别的访问权限,以限制他们对敏感数据的访问。
4-安全监控和事件响应安全监控和事件响应是指对网络流量和系统活动进行实时监控,并对任何异常事件做出及时响应。
以下是一些常用的安全监控和事件响应措施:4-1 安全信息和事件管理(SIEM):使用SIEM工具来收集、分析和报告与安全相关的日志和事件,帮助识别潜在的安全威胁。
4-2 实时警报和通知:设置实时警报系统,以及相关人员的通知机制,以在发生安全事件时能够及时做出反应。
4-3 漏洞管理:定期进行系统和应用程序的漏洞扫描,并及时修补或应用相应的安全补丁。
5-数据保护和备份恢复数据保护和备份恢复是确保组织的关键数据在灾难事件发生时能够安全地存储和恢复的重要措施。
网络安全层次体系结构
网络安全层次体系结构
网络安全层次体系结构是一个组织网络安全措施的框架,旨在保护计算机网络系统免受各种威胁和攻击。
这个体系结构可以分为以下几个层次:
1. 物理层:物理层是网络安全的基础,包括网络设备的安全措施和网络基础设施的物理安全保护。
例如,保护服务器房间和网络设备免受未经授权访问和物理破坏。
2. 网络层:网络层主要关注数据包的传输,包括路由器和防火墙等设备的安全配置和管理。
这一层次的安全重点在于保护网络免受入侵者的攻击和未经授权访问。
3. 主机层:主机层次是指在网络中扮演主机角色的计算机,包括服务器和个人电脑等。
在这一层次上,安全措施包括操作系统和应用程序的安全配置,防止恶意软件和病毒的入侵,并加强用户身份验证和访问控制。
4. 应用层:应用层是用户与网络交互的最高层次,主要涉及各种网络应用程序的安全性。
这些应用程序可能包括电子邮件、网上银行、电子商务等。
在应用层次上,安全措施包括数据加密、安全传输协议和访问控制等。
5. 数据层:数据层次是指存储和处理网络数据的层次。
在这一层次上,安全措施包括对数据的加密和身份验证,以防止数据泄露和未经授权访问。
6. 人员层:人员层次是指网络安全的最后一道防线,涉及网络管理员和用户的安全意识和行为。
在这一层次上,安全措施包括培训和教育,以提高用户对网络安全的认识和注意事项。
通过这样的层次体系结构,网络安全可以从不同的角度来保护网络系统的完整性、可用性和机密性,从而减少潜在的威胁和攻击。
网络安全层次体系结构
网络安全层次体系结构网络安全层次体系结构是一种分层的网络安全防护体系结构,用于保护计算机网络系统免受各种网络安全威胁的侵害。
它由多个不同层次的安全措施组成,每个层次负责不同的安全功能,共同构成一个全面的网络安全防护体系。
网络安全层次体系结构一般可划分为以下几个层次:1. 网络接入层:网络接入层是指保护网络入口处的安全措施,包括防火墙、网络入侵检测和防御系统等。
它可以监控和过滤进出网络的数据流量,阻挡恶意攻击和未经授权的访问。
网络接入层也可以实施应用层检测和防御,保护网络应用免受各种应用层攻击。
2. 网络通信层:网络通信层负责保障网络通信链路和数据传输的安全。
它通过使用加密通信协议和技术,保护网络通信的机密性、完整性和可用性。
网络通信层也可以采用虚拟专用网络(VPN)技术,建立安全的隧道连接,保护远程用户和分支机构的数据传输。
3. 主机安全层:主机安全层是指保护主机设备和操作系统的安全措施。
它包括使用强密码进行身份验证、安装和更新安全补丁、配置防病毒软件和防火墙、以及监控主机日志等。
主机安全层可以识别和阻止恶意软件、僵尸网络和其他主机级威胁。
4. 应用层安全:应用层安全是指保护网络应用程序和数据的安全措施。
它包括使用访问控制和身份验证机制,确保只有授权用户可以使用应用程序。
应用层安全还可以实施数据加密和数据备份机制,保护敏感数据免受泄漏和损坏。
5. 数据安全层:数据安全层是指保护网络传输和存储数据的安全措施。
它包括使用加密算法对敏感数据进行加密,防止数据被未经授权的访问者窃取。
数据安全层还可以实施访问控制和数据备份机制,确保数据只能被授权用户访问,并能恢复到原始状态。
6. 物理安全层:物理安全层是指保护网络硬件设备和物理环境的安全措施。
它包括使用物理访问控制措施,限制只有授权人员可以进入机房和服务器房间。
物理安全层还可以使用视频监控、入侵报警和灭火设备,保护设备免受物理攻击和灾难性事件的影响。
网络安全层次体系结构的每个层次都提供了特定的安全解决方案,共同构成了一个全面的网络安全防护体系。
网络安全体系结构
网络安全体系结构在如今信息化、网络化的时代,网络安全威胁不容忽视。
为了保护网络系统的安全,建立一个强大的网络安全体系结构势在必行。
网络安全体系结构是指通过多种技术手段和管理措施,确保网络系统的安全,包括网络设备、网络传输、网络应用等方面。
网络安全体系结构的基本框架可以分为以下几个层次:物理层、网络层、传输层、应用层和管理层。
首先是物理层,它是网络安全的基础。
在这一层,我们需要确保网络设备的安全和可靠,包括硬件设备和设施设备。
保护硬件设备可以采取物理访问控制、视频监控、入侵报警等措施。
保护设施设备可以加强门禁管理、防火墙、电子沙盘等手段。
其次是网络层,它是网络安全的核心。
在这一层,我们需要保护网络传输的安全和稳定。
常见的网络攻击手段包括ARP欺骗、IP地址伪造、DDoS攻击等,因此需要使用防火墙、入侵检测系统、VPN等技术来防范和监测这些威胁。
再次是传输层,它是网络安全的保障。
在这一层,我们需要保证数据的传输安全和完整性。
可以使用加密技术来保护数据的机密性,如SSL、IPSec等。
同时,也需要使用防止数据篡改的技术,如数字签名、数据完整性校验等。
然后是应用层,它是网络安全的应用保障。
在这一层,我们需要确保网络应用的安全和可靠。
网络应用层面的安全威胁主要包括非法入侵、恶意程序、数据丢失等,因此需要使用功能完善的防病毒、防木马、反欺诈等软件来保护网络应用的安全。
最后是管理层,它是网络安全体系结构的组织管理和监控。
在这一层,我们需要建立完善的安全策略和流程,包括风险评估、安全培训、事件响应等方面。
此外,也需要建立日志审计、安全监控、安全预警等机制,及时发现和应对安全事件。
除了上述层次,网络安全体系结构还有其他一些关键要素,如安全认证、访问控制、安全备份等。
安全认证可以通过用户身份验证、双因素认证等手段来确保用户合法性。
访问控制可以通过访问控制列表、访问策略等方式限制网络资源的访问权限。
安全备份可以通过定期备份数据、建立灾备系统等方式来保障数据安全。
网络安全体系结构概述
网络安全体系结构概述1. 防火墙:防火墙是网络安全的第一道防线,用于监控和筛选进出网络的数据包,防止恶意流量进入网络。
现代防火墙还能进行流量分析和应用层检测,以识别并阻止高级威胁。
2. 入侵检测与防御系统(IDS/IPS):IDS/IPS负责检测和阻止网络中的入侵行为。
IDS用于监视网络流量,发现可能的攻击行为,而IPS则可以主动阻止这些攻击,加强网络安全。
3. 虚拟专用网络(VPN):VPN通过加密技术建立安全的通信通道,使远程用户能够安全地访问内部网络资源,同时保护数据不被窃取。
4. 安全信息与事件管理(SIEM):SIEM系统用于收集、分析和管理网络中的安全日志和事件,帮助管理员及时发现和应对潜在的安全威胁。
5. 终端安全解决方案:包括杀毒软件、反恶意软件、网络安全策略等技术,用于保护终端设备免受恶意软件和网络攻击的影响。
6. 访问控制和身份认证:通过访问控制和身份认证技术,确保只有授权的用户能够访问网络资源,防止非法访问和数据泄霁。
网络安全体系结构应综合运用以上各种技术和设备,根据不同组织的需求和风险状况进行定制配置,以构建一个全面、完善的网络安全防御体系。
不同的组织在建立网络安全体系结构时,还需要考虑到业务需求、预算限制、技术支持等因素,以达到最佳的安全保护效果。
网络安全体系结构在当前日益复杂和多样化的网络环境下显得尤为重要。
随着云计算、大数据、物联网等新兴技术的迅猛发展,网络安全面临的威胁也日益增加。
因此,构建一个多层次、全面的网络安全体系结构是保障组织信息资产安全的关键。
另外,网络安全体系结构还需要考虑企业的业务需求和风险状况。
不同行业和组织存在不同的网络风险,因此网络安全体系结构需要根据具体情况进行定制化的配置。
同时,对于一些关键基础设施行业和重要国家战略领域,网络安全体系结构的安全要求更为严格和复杂。
一个完整的网络安全体系结构应该考虑以下几个方面的内容:1. 威胁情报和风险评估:及时获取全面的威胁情报是建立网络安全体系结构的基础。
计算机网络安全体系结构
计算机网络安全体系结构计算机网络安全体系结构是指在计算机网络中,为了保护网络系统和信息不受未经授权的访问、破坏和篡改等威胁而采取的一系列安全措施和安全机制的整体架构。
计算机网络安全体系结构分为三个层次:网络层、主机层和应用层。
网络层主要负责网络边界的安全,包括网络入口、出口的流量控制和数据包过滤等。
网络层安全的主要机制有防火墙、入侵检测和入侵防御系统等。
防火墙是网络边界的安全防御系统,通过设置访问控制规则,对进出网络的数据进行检查和过滤,可以阻止未经授权的访问和攻击。
入侵检测系统可以监测网络中的异常流量和攻击行为,并及时做出响应。
入侵防御系统则更加主动地进行攻击防御和响应。
主机层主要负责保护计算机主机的安全,包括操作系统和基础软件的安全。
主机层安全的主要机制有访问控制、身份认证和安全配置等。
访问控制是限制用户对主机资源的访问权限,通过用户账号和密码来进行认证。
身份认证是确保用户的身份真实可信的过程,可以采用密码、数字证书、生物特征等不同的方式进行认证。
安全配置是对主机的各种安全设置进行调整和优化,包括关闭不必要的服务、增强密码策略、更新操作系统和软件补丁等。
应用层主要负责应用程序和网络服务的安全,包括电子邮件、Web浏览、即时通讯等。
应用层安全的主要机制有加密、身份验证和访问控制等。
加密是将数据转化为密文的过程,通过使用加密算法和密钥来防止数据在传输过程中被窃取和篡改。
身份验证是确保用户的身份真实可信的过程,可以采用用户名和密码、数字证书、多因素认证等方式进行验证。
访问控制是限制用户对网络服务的访问权限,可以通过访问控制列表、访问令牌等方式进行控制。
总体来说,计算机网络安全体系结构是为了保护网络系统和信息不受未经授权的访问、破坏和篡改等威胁而采取的一系列安全措施和安全机制的整体架构。
它包括网络层、主机层和应用层三个层次,通过防火墙、入侵检测和入侵防御系统、访问控制、身份认证、加密等机制来保障网络的安全。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
在网络中,计算机与计算机之间的通信是机器与机 器之间的通信,其不同于人与人之间通信的最大特点是 必须对所传递信息的符号格式、传送速率、差错控制、 含义理解等,预先作出明确严格的统一规定或约定,成 为共同承认和遵守的规则,才能保证信息传递的可靠和 有效,并在传递完成后得到相应的正确处理。这些为进 行网络中的信息交换而建立的共同规则、标准或约定, 称为网络协议(Protocol)
4
开放系统互联/参考模型(OSI/RM)
5
1.保密性 保密性是指确保非授权用户不能获得网络信息资源的 性能。为此要求网络具有良好的密码体制、密钥管理、传 输加密保护、存储加密保护、防电磁泄漏等功能。
2.完整性 完整性是指确保网络信息不被非法修改、删除或增 添,以保证信息正确、一致的性能。为此要求网络的软 件、存储介质,以及信息传递与交换过程中都具有相应的 功能。
18
1.DISSP的5个目的
(1)保证国防部对DISSP的利用和管理; (2)将所有的网络和信息系统高度自动化,以便使用; 。 (3)确保网络和信息系统的有效性、安全性、可互操作性; (4)促进国防信息系统的协调、综合开发; (5)建立能使各个国防机构、各军种,以及北约和美国的 盟国的所有网络和信息系统彼此之间具有良好互操作 性的安全结构。
√
√
√
√
√
√
√
√
数据完 整性
数据源 点鉴别 抗抵赖
√
√
√
√ √
√
√
√
16
17
美国国防部为了使其所有信息系统的安全配置具有充 分的一致性、有效性和互操作性,由国防信息系统(DISA) 与国家安全局(NSA)合作开发了国防部目标安全体系结 构(DGSA),并载入了1996年国防信息系统局发布的、 为国防信息基础设施(DII)提供详细发展蓝图的信息管理 技术体系结构框架(TAFIM)3.0版,为其中的第6卷。该 体系结构(DGSA)从发展角度提供了安全结构的全貌, 是一个通用的体系框架,用于开发特定任务网络或信息系 统包含各项安全业务在内的安全体系结构
20
3.DISSP提供的安全体系结构及其特点
DISSP提供的安全体系结构框架可用如图2.3所示的三维空间模型来 表示。图中空间的三维分别代表:网络安全特性与部分操作特性、网络与 信息系统的组成部分、OSI网络结构层及其扩展层。
2
在网络的实际应用中,计算机系统与计 算机系统之间的互联、互通、互操作过程, 一般都不能只依靠一种协议,而需要执行 许多种协议才能完成。全部网络协议以层 次化的结构形式所构成的集合,就称为网 络体系结构。
3
网络安全体系结构大致可分为三类: 第一类是国际标准化组织(ISO)制定的开放 系统互联/考模型(OSI/RM,Open System Interconnection/Reference Model)。 第二类是有关行业成为既成事实的标准,已得 到相当普遍的接受,典型代表如著名的TCP/IP协 议体系结构。 第三类,就是各生产厂商自己制定的协议标 准。
19
2.DISSP的8项任务 (1)确定一个统一、协调的网络安全策略; (2)开发全美国防网络和信息系统安全结构; (3)开发基于上述安全结构的网络安全标准和协议; (4)确定统一的网络安全认证标准; (5)开发先进的网络安全技术; (6)建立网络和信息系统的开发者、实现者与使用者之间 的有效协调; (7)制定达成预定目的的过渡计划; (8)将有关信息及时通报供应商。
采用下列8类安全机制来实现: (1)加密。 (2)数据签名 (3)访问控制 (4)数据完整性 (5)交换鉴别 (6)信息流填充 (7)路由控制 (8)公证
15
安全 服务
对等实 体鉴别
访问控 制 数据保 密
安全机制
数据加 数据签 访问控 数据完 交换鉴 信息流 路由控 公证 密 名 制 整性 别 填充 制
6
3.可用性 可用性是指确保网络合法用户能够按所获授权访问网络资 源,同时防止对网络非授权访问的性能。为此要求网络具有 身份识别、访问控制,以及对访问活动过程进行审计的功能。 4.可控性 可控性是指确保合法机构按所获授权能够对网络及其中的 信息流动与行为进行监控的性能。为此要求网络具有相应的 多方面的功能。 5.抗抵赖性 抗抵赖性又称不可否认性,是指确保接收到的信息不是假 冒的,而发信方无法否认所发信息的性能。为此要求网络具 有数字取证、证据保全等功能。
7
基于上述对网络安全体系结构的需求,作为一般 手段的网络安全体系结构,其任务并不是为任何具 体的网络提供具体的网络安全方案,而是提供有关 形成网络安全方案的方法和若干必须遵循的思路、 原则和标准。它给出关于网络安全服务和网络安全 机制的一般描述方式,以及各种安全服务与网络体 系结构层次的对应关系 。
8
910Biblioteka OSI安全体系结构的核心内容是:以实 现完备的网络安全功能为目标,描述了6 类安全服务,以及提供这些服务的8类安 全机制和相应的OSI安全管理,并且尽可 能地将上述安全服务配置于开放系统互联 /参考模(OSI/RM)7层结构的相应层。
11
OSI安全体系结构的三维空间表示
12
序号 1
安全服务 对等实体鉴 别
作用 确保网络同一层次连接两端的对等实体身份真 实、合法
2
3 4
访问控制
数据保密 数据完整性
防止未经许可的用户访问OSI网络的资源
防止未经许可暴露网络中数据的内容 确保接收端收到的信息与发送端发出的信息完 全一致,防止在网络中传输的数据因网络服务 质量不良而造成错误或丢失,并防止其受到非 法实体进行的篡改、删除、插入等攻击 由OSI体系结构的第N层向其上一层即第 (N+1)层提供关于数据来源为一对等 (N+1)层实体的鉴别 防止数据的发送者否认曾经发送过该数据或数 据中的内容,防止数据的接收者否认曾经收到 过该数据或数据中的内容
5
数据源点鉴 别 抗抵赖,又 称不容否认
6
13
安全服 务 对等实 体鉴别 访问控 制 数据保 密
网络层次
物理 层
数据链 路层
网络层
√ √
传输层
√ √ √
会话层
表示层
√ √ √
应用层
√ √
√
√
√
数据完 整性
数据源 点鉴别 抗抵赖
√
√
√
√
√
√ √ √ √
14
按照OSI安全体系结构,为了提供上述6类安全服务,