网络安全体系结构
网络安全体系结构概述
网络安全体系结构概述引言随着互联网的迅速发展,网络安全成为了当代社会一个不可忽视的问题。
安全的网络体系结构是构建安全网络环境的基础。
本文将对网络安全体系结构进行概述,探讨其基本原则和核心组成部分。
什么是网络安全体系结构?网络安全体系结构是指一种有机的、分层次的网络安全防御系统。
它由一系列相互依存的网络安全技术和措施所组成,旨在保护网络和信息系统不受各种外部和内部威胁的攻击和损害。
网络安全体系结构需要根据实际情况和需求进行定制,以确保系统的完整性、可用性和保密性。
网络安全体系结构的基本原则网络安全体系结构的设计应遵循以下基本原则:1. 分层次原则网络安全体系结构应该由多个分层次的安全措施组成,每一层次负责特定的安全任务。
这种分层次的设计可以保证安全机制之间的相对独立,增加安全性能和可靠性。
2. 综合防御原则综合防御是网络安全体系结构的核心原则。
它包括了信息安全性、网络安全和物理安全等多个方面。
只有综合运用各种强有力的安全措施,才能有效保护系统和数据免受攻击。
3. 保密性、完整性和可用性原则网络安全体系结构应该同时保证系统的保密性、完整性和可用性。
保密性指的是防止未经授权的访问和信息泄露。
完整性要确保数据在传输和存储过程中不被篡改和破坏。
可用性是指系统能够按需进行访问和使用。
4. 及时响应和恢复原则网络安全体系结构需要设计及时响应和恢复机制,以便迅速检测和应对安全事件。
这包括实时监控、事件检测和警报通知等技术手段,以及快速恢复系统功能的备份和恢复措施。
网络安全体系结构的核心组成部分1. 边界防御边界防御是防止外部威胁入侵内部网络的第一道防线。
它包括防火墙、入侵检测和入侵防御系统(IDS/IPS)等技术手段。
防火墙用于限制网络流量,阻止未经授权的访问。
IDS/IPS能够检测和阻止入侵行为,保护系统资源和数据不受攻击。
2. 认证和访问控制认证和访问控制是网络安全体系结构中非常重要的组成部分。
它可以确保只有经过身份验证的用户才能获得系统和数据的访问权限。
网络安全层次体系结构
网络安全层次体系结构网络安全层次体系结构是指通过构建一系列安全措施和技术,保护网络系统的安全性和可靠性。
下面将介绍网络安全层次体系结构的主要内容。
网络安全层次体系结构可以分为以下几层:物理层、网络层、主机层、应用层。
首先是物理层,物理层是网络安全体系的基础。
物理层主要涉及到网络的硬件设备,如交换机、路由器等。
在物理层中,主要的安全措施包括物理访问控制,通过限制物理访问来保护网络设备。
此外,还可以使用物理隔离、加密等技术来保护物理层的安全。
其次是网络层,网络层是建立在物理层之上的,负责数据的传输和路由。
网络层的安全主要包括网络拓扑安全、防火墙和虚拟专用网(VPN)等。
网络拓扑安全通过设计合理的网络拓扑结构来保护网络的安全性。
防火墙是网络的门卫,可以过滤、监控和控制进出网络的数据流量。
虚拟专用网是通过加密和隧道技术来实现安全通信的。
然后是主机层,主机层是建立在网络层之上的,主要指网络中的服务器和终端设备。
在主机层中,主要的安全措施包括身份认证、访问控制和安全配置。
身份认证主要通过用户名和密码等来确认用户的身份。
访问控制是通过权限管理和访问控制列表来限制用户对主机资源的访问。
安全配置主要指对操作系统和应用软件的安全设置和更新。
最后是应用层,应用层是建立在主机层之上的,包括网络中的各种应用软件。
在应用层中,主要的安全措施包括数据加密、安全协议和安全编码等。
数据加密可以保护应用程序中的敏感数据,使其在传输和存储过程中得到保护。
安全协议可以提供安全的通信通道,如HTTPS协议用于安全的网页浏览。
安全编码主要是指在应用程序的开发过程中采用安全的编程技术,避免常见的安全漏洞。
在网络安全层次体系结构中,不同层次之间各有各的功能和任务,相互协作,共同保护网络的安全。
同时,也需要进行全面的安全测试和风险评估,及时发现和修复可能存在的漏洞和安全隐患。
只有在每个层次中都采取相应的安全措施,才能够构建一个安全可靠的网络系统。
网络安全体系结构
8.公证机制
• 公证机制就是在网络中设立一个公证机构,来中转各方交换的 信息,并从中提取相关证据,以便对可能发生的纠纷作出仲裁。
1.3 网络安全的策略
• 一般来说,安全策略包括两个部分:一个总体 的策略和具体的规则。
• 总体的策略用于阐明安全政策的总体思想 • 具体的规则用于说明什么活动是被允许的,什么活
3.访问控制机制
• 访问控制机制可以控制哪些用户可以访问哪些资源,对这些资 源可以访问到什么程度。
4.数据完整性机制
• 数据完整性机制保护网络系统中存储和传输的软件(程序)和 数据不被非法改变,例如被添加、删除和修改等。
5.鉴别交换机制
• 鉴别交换机制主要是通过相互交换信息来确定彼此的身份,在 计算机网络中,鉴别主要有站点鉴别、报文鉴别、用户和进程 的认证等,通常采用口令、密码技术、实体的特征或所有权等 手段进行鉴别。
网络安全与管理
1.1 网络安全模型
• 最常见的网络安全模型就是 PDRR模型。PDRR模型是 protection(防护)、 detection(检测)、 response(响应)、recovery (恢复)的首字母组合。这 四个部分构成了一个动态的 信息安全周期,如图1-3所示。
防护(P)
恢复(R)
• 在PDRR模型中,防护和检测具有互补关系。如果防护系统过硬,绝大部 分入侵事件被阻止,那么检测系统的任务就会减少。
3.响应
• PDRR模型中的第三个环节就是响应。响应就是已知一个 攻击(入侵)事件发生之后,进行处理。在一个大规模 的网络中,响应这个工作都是由一个特殊部门负责,那 就是计算机响应小组。
6.信息流填充机制
• 攻击者对传输信息的长度、频率等特征进行统计,然后进行信 息流量分析,即可从中得到有用的信息。
网络安全体系结构
网络安全体系结构网络安全体系结构是指在数字化信息时代中,为了保护网络系统和信息资产免受各种网络威胁和攻击,设置的一系列安全控制措施和安全管理措施。
网络安全体系结构的目标是实现信息系统的保密性、完整性和可用性,确保网络的安全运行。
物理层是网络安全体系结构的第一层,主要涉及网络通信设备、传输介质以及网络设备的物理安全控制措施。
在物理层中,可以采取措施如防火墙、入侵检测系统和网络访问控制等,以保护物理网络设备免受未经授权的访问和攻击。
此外,物理层还涉及数据线路和传输介质的安全措施,比如采用加密技术对数据进行加密传输,确保数据在传输过程中不被窃取和篡改。
网络层是网络安全体系结构的第二层,主要涉及网络协议和路由器的安全控制措施。
在网络层中,可以采取网络防火墙、网络入侵检测系统和虚拟专用网络等措施,保护网络通信过程中的数据安全,防止未经授权的访问和攻击。
此外,网络层还可以使用虚拟专用网络技术,使得网络通信过程中的数据只能在授权的用户之间传递,提高网络的安全性。
主机层是网络安全体系结构的第三层,主要涉及主机操作系统和主机应用程序的安全控制措施。
在主机层中,可以采取措施如强密码策略、安全补丁更新和权限管理等,以保护主机系统的安全性。
此外,主机层还可以使用主机入侵检测系统和主机安全审计等技术,及时发现主机系统中的安全漏洞和攻击行为,保证主机系统的安全运行。
应用层是网络安全体系结构的第四层,主要涉及应用程序的安全控制措施。
在应用层中,可以采取措施如安全访问控制、数据加密和应用层防火墙等,以保护应用程序的安全性。
此外,应用层还可以使用反病毒软件和安全策略管理等技术,提供全面的应用层安全保护,防止恶意代码和攻击行为对应用程序造成破坏。
不仅如此,网络安全体系结构还需要支持和运行在上述四个层次之上的安全管理措施。
安全管理措施主要包括安全策略、安全培训和安全审计等,以确保网络安全体系结构的有效运行和管理。
总之,网络安全体系结构是网络安全的基础和支撑,通过物理层、网络层、主机层和应用层的安全控制措施,保护网络系统和信息资产的安全。
网络安全体系结构
网络安全体系结构网络安全体系结构1-引言网络安全体系结构是指一个组织或企业为了保护其计算机网络免受未经授权的访问、数据泄露、恶意软件和其他网络威胁而采取的措施和技术。
一个完善的网络安全体系结构应该涵盖以下几个主要方面:网络边界保护、身份验证和访问控制、安全监控和事件响应、数据保护和备份恢复、以及员工培训和意识。
2-网络边界保护网络边界保护是指在网络和外部网络之间建立安全防线以阻止未经授权的访问。
以下是一些常用的网络边界保护措施:2-1 防火墙:设置网络防火墙来监控进出网络的流量,并根据特定的规则允许或拒绝访问。
2-2 入侵检测和防御系统(IDS / IPS):使用IDS和IPS来监测和防御可能的入侵行为,包括检测和阻止恶意网络流量。
2-3 虚拟专用网络(VPN):通过建立加密通道来提供远程访问安全,使外部用户能够安全地连接到组织的网络。
3-身份验证和访问控制身份验证和访问控制是确保只有授权用户能够访问网络资源的重要措施。
以下是一些常用的身份验证和访问控制方法:3-1 用户名和密码:要求用户输入正确的用户名和密码才能登录到网络系统。
3-2 双因素认证:要求用户在输入用户名和密码之外,还使用其他身份验证方法,如指纹识别或令牌。
3-3 访问权限:根据用户的角色和职责,授予不同级别的访问权限,以限制他们对敏感数据的访问。
4-安全监控和事件响应安全监控和事件响应是指对网络流量和系统活动进行实时监控,并对任何异常事件做出及时响应。
以下是一些常用的安全监控和事件响应措施:4-1 安全信息和事件管理(SIEM):使用SIEM工具来收集、分析和报告与安全相关的日志和事件,帮助识别潜在的安全威胁。
4-2 实时警报和通知:设置实时警报系统,以及相关人员的通知机制,以在发生安全事件时能够及时做出反应。
4-3 漏洞管理:定期进行系统和应用程序的漏洞扫描,并及时修补或应用相应的安全补丁。
5-数据保护和备份恢复数据保护和备份恢复是确保组织的关键数据在灾难事件发生时能够安全地存储和恢复的重要措施。
网络安全层次体系结构
网络安全层次体系结构
网络安全层次体系结构是一个组织网络安全措施的框架,旨在保护计算机网络系统免受各种威胁和攻击。
这个体系结构可以分为以下几个层次:
1. 物理层:物理层是网络安全的基础,包括网络设备的安全措施和网络基础设施的物理安全保护。
例如,保护服务器房间和网络设备免受未经授权访问和物理破坏。
2. 网络层:网络层主要关注数据包的传输,包括路由器和防火墙等设备的安全配置和管理。
这一层次的安全重点在于保护网络免受入侵者的攻击和未经授权访问。
3. 主机层:主机层次是指在网络中扮演主机角色的计算机,包括服务器和个人电脑等。
在这一层次上,安全措施包括操作系统和应用程序的安全配置,防止恶意软件和病毒的入侵,并加强用户身份验证和访问控制。
4. 应用层:应用层是用户与网络交互的最高层次,主要涉及各种网络应用程序的安全性。
这些应用程序可能包括电子邮件、网上银行、电子商务等。
在应用层次上,安全措施包括数据加密、安全传输协议和访问控制等。
5. 数据层:数据层次是指存储和处理网络数据的层次。
在这一层次上,安全措施包括对数据的加密和身份验证,以防止数据泄露和未经授权访问。
6. 人员层:人员层次是指网络安全的最后一道防线,涉及网络管理员和用户的安全意识和行为。
在这一层次上,安全措施包括培训和教育,以提高用户对网络安全的认识和注意事项。
通过这样的层次体系结构,网络安全可以从不同的角度来保护网络系统的完整性、可用性和机密性,从而减少潜在的威胁和攻击。
网络安全层次体系结构
网络安全层次体系结构网络安全层次体系结构是一种分层的网络安全防护体系结构,用于保护计算机网络系统免受各种网络安全威胁的侵害。
它由多个不同层次的安全措施组成,每个层次负责不同的安全功能,共同构成一个全面的网络安全防护体系。
网络安全层次体系结构一般可划分为以下几个层次:1. 网络接入层:网络接入层是指保护网络入口处的安全措施,包括防火墙、网络入侵检测和防御系统等。
它可以监控和过滤进出网络的数据流量,阻挡恶意攻击和未经授权的访问。
网络接入层也可以实施应用层检测和防御,保护网络应用免受各种应用层攻击。
2. 网络通信层:网络通信层负责保障网络通信链路和数据传输的安全。
它通过使用加密通信协议和技术,保护网络通信的机密性、完整性和可用性。
网络通信层也可以采用虚拟专用网络(VPN)技术,建立安全的隧道连接,保护远程用户和分支机构的数据传输。
3. 主机安全层:主机安全层是指保护主机设备和操作系统的安全措施。
它包括使用强密码进行身份验证、安装和更新安全补丁、配置防病毒软件和防火墙、以及监控主机日志等。
主机安全层可以识别和阻止恶意软件、僵尸网络和其他主机级威胁。
4. 应用层安全:应用层安全是指保护网络应用程序和数据的安全措施。
它包括使用访问控制和身份验证机制,确保只有授权用户可以使用应用程序。
应用层安全还可以实施数据加密和数据备份机制,保护敏感数据免受泄漏和损坏。
5. 数据安全层:数据安全层是指保护网络传输和存储数据的安全措施。
它包括使用加密算法对敏感数据进行加密,防止数据被未经授权的访问者窃取。
数据安全层还可以实施访问控制和数据备份机制,确保数据只能被授权用户访问,并能恢复到原始状态。
6. 物理安全层:物理安全层是指保护网络硬件设备和物理环境的安全措施。
它包括使用物理访问控制措施,限制只有授权人员可以进入机房和服务器房间。
物理安全层还可以使用视频监控、入侵报警和灭火设备,保护设备免受物理攻击和灾难性事件的影响。
网络安全层次体系结构的每个层次都提供了特定的安全解决方案,共同构成了一个全面的网络安全防护体系。
网络安全体系结构
网络安全体系结构在如今信息化、网络化的时代,网络安全威胁不容忽视。
为了保护网络系统的安全,建立一个强大的网络安全体系结构势在必行。
网络安全体系结构是指通过多种技术手段和管理措施,确保网络系统的安全,包括网络设备、网络传输、网络应用等方面。
网络安全体系结构的基本框架可以分为以下几个层次:物理层、网络层、传输层、应用层和管理层。
首先是物理层,它是网络安全的基础。
在这一层,我们需要确保网络设备的安全和可靠,包括硬件设备和设施设备。
保护硬件设备可以采取物理访问控制、视频监控、入侵报警等措施。
保护设施设备可以加强门禁管理、防火墙、电子沙盘等手段。
其次是网络层,它是网络安全的核心。
在这一层,我们需要保护网络传输的安全和稳定。
常见的网络攻击手段包括ARP欺骗、IP地址伪造、DDoS攻击等,因此需要使用防火墙、入侵检测系统、VPN等技术来防范和监测这些威胁。
再次是传输层,它是网络安全的保障。
在这一层,我们需要保证数据的传输安全和完整性。
可以使用加密技术来保护数据的机密性,如SSL、IPSec等。
同时,也需要使用防止数据篡改的技术,如数字签名、数据完整性校验等。
然后是应用层,它是网络安全的应用保障。
在这一层,我们需要确保网络应用的安全和可靠。
网络应用层面的安全威胁主要包括非法入侵、恶意程序、数据丢失等,因此需要使用功能完善的防病毒、防木马、反欺诈等软件来保护网络应用的安全。
最后是管理层,它是网络安全体系结构的组织管理和监控。
在这一层,我们需要建立完善的安全策略和流程,包括风险评估、安全培训、事件响应等方面。
此外,也需要建立日志审计、安全监控、安全预警等机制,及时发现和应对安全事件。
除了上述层次,网络安全体系结构还有其他一些关键要素,如安全认证、访问控制、安全备份等。
安全认证可以通过用户身份验证、双因素认证等手段来确保用户合法性。
访问控制可以通过访问控制列表、访问策略等方式限制网络资源的访问权限。
安全备份可以通过定期备份数据、建立灾备系统等方式来保障数据安全。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络安全体系结构信息安全系统是基于OSI网络模型,通过安全机制和安全服务达成信息安全的系统。
安全机制是提供某些安全服务,利用各种安全技术和技巧,形成的一个较为完善的结构体系。
安全服务是从网络中的各个层次提供信息应用系统需要的安全服务支持。
网络模型、安全机制、安全服务应用到一起会产生信息系统需要的安全空间,安全空间包括五大属性:认证、权限、完整、加密、不可否认。
安全机制的主要内容:1.基础设施实体安全。
机房、场地、设施、动力系统、安全预防和恢复等物理上的安全。
2.平台安全。
操作系统漏洞检测和修复、网络基础设施漏洞检测与修复、通用基础应用程序漏洞检测与修复、网络安全产品部署,这些是软件环境平台的安全。
3.数据安全。
涉及数据的物理载体、数据本身权限、数据完整可用、数据监控、数据备份存储。
4.通信安全。
涉及通信线路基础设施、网络加密、通信加密、身份鉴别、安全通道和安全协议漏洞检测等。
5.应用安全。
涉及业务的各项内容,程序安全性测试、业务交互防抵赖测试、访问控制、身份鉴别、备份恢复、数据一致性、数据保密性、数据可靠性、数据可用性等业务级别的安全机制内容。
6.运行安全。
涉及程序应用运行之后的维护安全内容,包括应急处置机制、网络安全监测、网络安全产品运行监测、定期检查评估、系统升级补丁提供、最新安全漏洞和通报、灾难恢复机制、系统改造、网络安全技术咨询等。
7.管理安全。
涉及应用使用到的各种资源,包括人员、培训、应用系统、软件、设备、文档、数据、操作、运行、机房等。
8.授权和审计安全。
授权安全是向用户和应用程序提供权限管理和授权服务,负责向业务应用系统系统授权服务管理、用户身份到应用授权的映射功能。
审计安全是信息安全系统必须支持的功能特性,主要是检查网络内活动用户、侦测潜在威胁、统计日常运行状况、异常事件和突发事件的事后分析、辅助侦查取证。
9.安全防范体系。
企业信息安全资源综合管理,含六项功能:预警、保护、检测、反应、回复、反击。
安全服务的主要内容:1.对等实体认证服务。
交互双方的身份认证2.数据保密服务。
3.数据完整性服务4.数据源点认证服务5.禁止否认服务。
包括不得否认发送、不得否认接收6.犯罪证据提供服务安全技术的主要内容:1.加密技术2.数字签名技术。
独有解决收发双方纠纷的能力3.访问控制技术4.数据完整性技术。
包括数据单元的完整性、数据单元序列的完整性5.认证技术6.数据挖掘技术信息安全保障系统的三种不同系统架构:MIS+S、S-MIS、S2-MIS。
MIS+S是基本信息保障系统,特点如下:1.业务应用系统基本不变2.硬件和软件系统通用3.安全设备基本不带安全密码S-MIS是标准信息安全保证系统,系统建立在公认的PKI/CA标准的信息安全基础设施上,特点如下:1.硬件和系统软件通用2.PKI/CA安全保障系统必须带密码3.业务应用系统必须根本改变4.主要的通用硬件和软件也要通过PKI/CA认证S2-MIS是超安全的信息安全保障系统,不仅系统是建立在公认的PKI/CA标准的信息安全基础设施上,而且硬件和系统软件也是使用“专用的”、“安全的”产品,特点如下:1.硬件和系统软件都是专用2.PKI/CA安全基础设施必须带密码3.业务应用系统必须根本改变4.主要的硬件和系统软件需要PKI/CA认证三种系统价格逐渐攀升,根据需要选择安全系统架构。
一个成功的信息安全保障系统需要各个方面的通力合作。
信息安全保障系统是一个在网络上,继承各种硬件、软件和密码设备,保障其他业务应用信息系统正常运行的专用信息应用系统,附带系统相关岗位、人员、策略、制度和规程的总和。
网络安全体系结构图中描述的就是一个三维的网络安全空间,它反映了网络安全需求和体系结构的共性。
图中的三维特性分别是安全服务、系统单元和协议层次。
其中在每一个特性上面都为他们提供了安全管理。
安全管理就是连接这三个维度,保证整个体系结构的安全性。
网络体系结构主要包括三部分内容:安全服务、协议层次、系统单元。
针对网络安全存在的各种类型的安全威胁,将会针对这些协议定义一维安全服务。
为支持这些服务,在系统中定义了一些安全机制,同时安全管理由于不是正常的通信业务,主要是为用户的通信通告安全支持和控制。
安全服务指的是该安全单元能解决什么安全威胁。
一般来说,网络安全的威胁主要是在来自于人的恶意行为可能造成的资源被破坏、信息泄露等等。
安全服务主要包括了以下六个方面:认证、访问控制、数据完整性、数据保密性、抗抵赖、审计和可用性。
①认证服务。
认证服务提供某个实体的身份保护,在通信的某一个特定过程中,如果某个实体声称具有特定的身份时,认证服务就提供一种方法来证实这个声称是否正确。
由于在某种程度上,网络安全体系结构的其他安全服务都依赖于认证服务,或者和认证服务紧密地结合,因此认证服务是一个重要的基础安全服务。
通过认证服务在很多情况下就可以杜绝想CSRF(cross-site request forgery,跨站请求伪造)这样的攻击。
同时在保障系统的物理安全时,也会起到一定的作用。
②访问控制服务。
访问控制服务经常和认证服务一起使用。
访问控制服务就是对某些确认身份的实体,限制其对某些资源的访问。
访问控制服务可以防止未授权的实体访问资源,所谓未授权的访问就是未经授权的使用、修改、销毁数据资源以及执行指令代码等。
访问控制服务支持保密性、完整性、可用性和认证安全性,其中对保密性、完整和认证所起到的作用十分明显。
访问控制是实现授权的一种方法。
它涉及到通信和系统的安全问题。
由于必须在网络上传输访问控制信息,所以它对通信协议具有很高的安全要求。
③数据完整性服务主要提供了可恢复的连接完整性、不可恢复的连接完整性,选择字段的连接完整性、无连接完整性、选择字段无法连接完整性等安全服务。
数据完整性服务直接保证数据的完整性。
所有的数据完整性服务都能够对付新增或修改数据的企图。
④数据保密服务,数据保密性服务保护信息不泄露或不暴露给那些未授权想掌握该信息的实体。
这种服务有以下几个方面:连接保密性、无连接保密性、选择字段保密性、业务流程保密性。
⑤抗抵赖性,抗否认服务与其它安全服务有根本不同。
它主要保护通信系统不会遭到系统中其他合法用户的威胁,而不是来自未知攻击者的威胁。
抗抵赖服务的出发点不仅仅由于在通信各方之间存在着相互欺骗的可能性,另外它也反映了一个现实,即没有任何一个系统是完全完备的,而且也可能出现通信双方最终达不成一致协议这样的情况。
抗抵赖服务可采取以下两种形式:数据起源的抗抵赖和传递过程的抗抵赖。
⑥审计服务主要是对系统的数据和业务流程进行安全审计,找出其中可能存在的漏洞或者是薄弱环节。
同时也收集可用于安全审计的数据,一边对系统的记录和活动进行独立地观察和检查。
⑦可用性服务,这是整个网络安全体系结构所提供的最基本的服务。
网络安全首先要保证系统的可用性然后在此基础上保证系统的安全性。
系统单元指的是该安全但愿解决什么系统环境的安全问题。
对于现代的互联网,系统单元可以分为五个不同环境:物理环境、应用平台、系统平台、网络平台、通信平台。
物理环境,如硬件设备、网络设备等,包含该特性的安全单元解决物理环境的安全问题。
例如使用交换机代替集线器可以缓解网络窃听问题。
应用平台主要指的是各种不同的应用程序和中间件。
应用程序是在操作系统上安装和运行的。
包含该特性的安全单元解决应用程序所包含的安全问题。
一般是指数据在操作和资源在使用的时候的安全威胁。
系统平台则指的是操作系统。
包含该特性的安全单元解决段系统或者中间系统(网桥、路由器等)的操作系统包含的安全问题。
一般是指数据和资源在存储时的安全威胁。
网络平台则指的是网络传输的安全威胁。
例如加密技术可以解决数据在网络传输时的安全问题。
一般是指数据在网络上传输的安全威胁。
例如加密技术可以解决数据在网络传输时的安全问题。
通信平台则主要指的是通信线路。
包含该线路的安全单元主要解决的是通信线路所存在的安全问题。
包括系统软硬件、配置及使用不当,物理电磁辐射引起的信息泄露等方面的问题。
协议层次是互联网的TCP/IP协议的基础。
安全单元的这个特性描述了该安全单元在网络互连协议中,解决了什么样的互联问题。
物理层设计在物理通信信道上传输原始比特,处理与物理传输介质有关机制的、电气=器过程的接口。
在物理层上传输的单元是信号。
链路层。
链路层分为介质访问控制和逻辑链路控制两个子层。
在链路层上传输的单元是比特。
网络层。
网络层负责将数据从物理连接的一端传递到另一端,即所谓的点到点通信。
它的主要功能是寻找路径,以及与之相关的流量控制和拥塞控制等。
在网络层上传输的单元是网络数据包。
传输层。
传输层的主要目睹在于密布网络服务与用户需求之间的差距。
传输层通过向上提供了一个标准、通用的界面,使上层与通信子网(下三层)的细节相隔离。
传输层的主要任务是提供进程间通信机制和保证数据传输的可靠性。
应用层。
应用层向用户提供最常用且通用的应用程序,包括电子邮件、文件传输、网页浏览等。
应用成描述了端对端之间的通信。
以上就是网络安全体系结构中不同的三个特性的介绍和说明。
除了这三个特性之外,安全管理是这三个特性的“粘合剂”,保证了这三个特性之间有效的结合。
安全管理的主要作用是实施一系列的安全政策,对系统和网络上的操作进行管理。
安全管理包含三个部分:系统安全管理、安全服务管理、安全机制管理。
系统安全管理主要是涉及到整体的网络安全环境的管理,例如安全事件的管理,包括时间报告、存储和查询等;安全服务管理则涉及特定安全服务的管理,其中包括制定安全服务可使用的安全机制、对可使用的安全机制进行协商;安全机制管理:安全局只管理涉及的是特定安全机制的管理,包括密钥管理、加密管理、数字签名管理、访问控制管理、路由控制管理等。
网络安全设计原则从网络安全角度看,网络安全防护系统的设计与实现应按照以下原则:最小权限原则、纵深防御原则、防御多样性原则、防御整体性原则、安全性与代价平衡原则、网络资源的等级性原则。
最小权限原则:任何对象应该只具有该对象需要完成其指定任务的权限,限定权限使用的范围、控件、时间等,减少资源的供给面,从而减少因侵袭所造成的损失。
纵深防御原则:要求网络安全防护系统是一个多层安全系统,避免成为网络中的“单失效点”,要部署有多重的防御系统,这样就可以在其中一个一同被攻破之后后续还有其他的防御系统来保障系统的安全。
防御多样性原则存在技术和防御方式两个方面。
在技术方面,要保障主机安全,网络安全,同时要注意防范病毒和木马。
而在防御方式上面,则可以部署防火墙,IDS。
蜜罐等手段保护系统安全。
防御多样性是要求在系统中的不同组件中都需要不是一定的安全产品,同时还要结合多种不同的安全产品来共同保证系统的安全。
安全防御性原则的实施就避免了系统的仅仅使用单一的安全措施和服务,以此来保障系统的安全性。