网络与信息安全学习(一) 2021-09-05 网络 暂无评论 2435 次阅读 #什么是计算机网络? 是指地理上分散的、相互独立的多台计算机通过通信协议和通信线路连接起来,以实现信息交换和资源共享的计算机系统。 #什么是网络安全? 凡是涉及到网络系统及信息的机密性、完整性、可用性、可控性等的相关技术和理论问题都是网络安全的研究领域。 从本质上讲,网络安全就是网络上的通信、设备与信息安全。 #1.1、网络安全概述 ##1.1.1 网络安全的概念 网络安全包括两个方面:网络系统的运行安全和网络系统中的信息安全。 从技术上讲,网络安全包括多种安全技术,它由安全的操作系统和应用软件、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等安全组件组成。 从用户角度讲,网络安全是保障个人或企业数据在网络中的保密性、完整性、不可否认性,防止网络资源的非授权访问。 ##1.1.2 网络安全的属性与内容 ###1、网络安全的属性 网络系统的可用性 可控性 完整性 机密性 不可抵赖性(如:电子商务) 网络系统只有具备这五个方面的属性,才是安全的。 ###2、网络安全的内容 物理安全、安全控制、安全服务和安全机制。 ##1.1.4 网络安全模型 网络安全是一种系统的安全,需要构建一个理论上的框架,这个框架就是网络安全模型。目前最常用的是P2DR模型:即Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应)。这是一个完整的、动态的安全循环模型,在安全策略的指导下,保证网络系统的安全。 P2DR模型是基于时间的一种安全理论(Time Based Security),认为: 与网络信息安全相关的所有活动,不管是攻击行为、防护行为、检测行为还是响应行为都要消耗时间,因此,用时间衡量一个系统的安全性。 P2DR模型用数学公式表示为: Pt > Dt + Rt 其中:Pt——指系统为了保护安全目标,设置各种保护后的防护时间;或者理解为在这样的保护方式下,黑客(入侵者)攻击安全目标所花费的时间。 Dt——指从入侵者开始发动入侵开始,系统能够检测到入侵行为所花费的时间。 Rt——指从发现入侵行为开始,系统能够做出足够的响应,将系统调整到正常状态的时间。 针对于需要保护的安全目标,当防护时间>检测时间加上响应时间,能被检测到并及时得到处理。假设防护时间Pt=0,则: Dt + Rt= Et 其中:Et ——是该安全目标的暴露时间,显然Et 越小,系统越安全。 “安全”的定义:“及时的检测和响应就是安全”或“及时的检测和恢复就是安全”。安全是相对的!解决安全问题方法:提高系统的防护时间Pt,降低检测时间Dt和响应时间Rt。 #1.2 网络安全体系结构 ##1.2.1 网络分层结构 ###1、计算机网络分层 计算机网络系统是一个复杂系统,将一个复杂的系统分解为若干容易处理的子系统,逐个加以解决,是网络工程设计中常用的结构化设计方法,其中分层是系统分解的最好办法之一。 从功能的角度对系统进行描述,并对所完成功能有精确定义,是层次和协议的一个集合。 协议: 协议是通信双方关于如何通信达成的一致规则,各层协议按层次顺序排列的协议序列称为协议栈。协议包含以下三个要素: 1)语法:以二进制形式表示的命令和相应的结构; 2)语义:由发出的命令请求,完成的动作和回送的响应组成的集合; 3)定时关系:有关事件顺序的说明。 主机1的第n层只能与网络上的主机2的第n层进行通信,通信规则就是第n层协议。 ###1.2.3 网络安全体系结构 网络安全体系结构划分为:物理层安全、系统层安全、网络层安全、应用层安全和安全管理等层次。 1.物理层安全 包括:通信线路的安全、物理设备的安全、机房的安全等。通信线路的可靠性,软硬件设备安全性,设备的备份,防灾害能力,防干扰能力,设备的运行环境,不间断电源保障等。 2.系统层安全 包括:一是操作系统安全,身份认证、访问控制、系统漏洞等;二是操作系统的安全配置;三是病毒对操作系统的攻击。 3.网络层安全 包括:网络层身份认证、网络资源的访问控制、数据传输的保密与完整性、域名的安全、路由的安全、入侵检测的手段、网络防病毒等。 4.应用层安全 包括:由提供服务所采用的应用软件和数据的安全性产生,包括:Web服务、电子邮件系统、DNS服务、QQ等。 5.管理层安全 包括:安全技术和设备的管理、严格的安全管理制度、部门与人员的组织、安全职责划分、人员角色配置等。 ##1.3 、网络安全体系结构实例 ###1.3.1 OSI安全体系结构 国际标准化组织(ISO)于1989年2月给出(OSI)开放系统互联参考安全体系结构文件:ISO 7498—2。 核心是保证异构计算机系统之间远距离交换信息的安全。 1.OSI参考模型及各层的主要功能 开放系统互联参考模型(Open System Interconnection Reference Model)是由国际标准化组织(ISO)制定的,标准化、开放式计算机网络层次结构模型。 OSI采用分层结构,把整个通信网络自下而上划分为七层,依次为:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。 1)物理层 规定通信设备的机械的、电气的、功能的和规程的特性,用以建立、维护和拆除物理链路连接。 2)数据链路层 在物理层提供比特流服务的基础上,建立相邻结点之间的数据链路,通过差错控制提供数据帧在信道上无差错的传输,并进行各电路上的动作系列。 3)网络层 网络层将数据链路层提供的帧组成数据包,包中封装有网络层包头,其中含有源站点和目的站点地址的网络地址等信息。 4)传输层 传输层负责实现端到端的数据报文的传递。传输层提供两端点之间可靠、透明的数据传输、执行端到端的差错控制、流量控制及管理多路复用。 5)会话层 会话层提供包括访问验证和会话管理在内的建立,以及维护应用之间通信的机制。如:服务器验证用户登录由会话层完成。 6)表示层 将准备交换的数据从适合于某一用户的抽象语法,转换为适合于OSI系统内部使用的传送语法。 7)应用层 应用层是用户与网络的接口,它直接为网络用户或应用程序提供各种网络服务。提供的网络服务包括:文件服务、事物管理服务、网络管理服务、数据库服务等。 2.OSI模型的安全服务 ISO定义了:认证服务、访问控制服务、数据机密性服务、数据完整性服务和抗否认服务。 1)认证服务: 鉴别实体身份的真实性,分为:对等实体认证和数据源认证。 2)访问控制服务: 控制只有经过授权的实体才能访问受保护的资源,用于防治未授权用户非法使用系统资源。 3)数据机密性服务: 提供加密保护。 4)数据完整性服务: 应对主动威胁,保障数据从起点到终点的传输过程中,不因机器故障或人为的原因而造成数据的丢失和篡改,接收端能够知道或恢复这些改变,保证接收端的数据真实性。 5)抗否认性服务: 防止发送方在发送数据后否认发送,接收方在收到数据后否认收到或伪造数据的行为。 3.OSI模型的安全机制 在ISO 7498-2“网络安全体系结构”文件中规定:网络安全机制有8种(加密、数字签名、访问控制、数据完整性、鉴别交换、业务流填充、路由控制和公证)。 1)加密机制: 用于数据存储和传输的保密性。 2)数字签名机制: 数字签名用于解决否认、伪造、冒充和篡改问题。 3)访问控制机制: 该机制控制可访问资源的用户,以及可访问的资源,拒绝非法用户访问资源。 4)数据完整性机制:保护存储和传输的数据及软件不被非法篡改。 5)交换鉴别机制: 通过相互交换信息来确定彼此的身份。主要有站点鉴别、报文鉴别、用户和进程的认证等。 6)业务流填充机制: 为防范攻击者分析网络中某一路径上的数据流量,该机制在一些关键站点间无正常数据传送时,持续填充传输一些随机数据(业务流),使攻击者无法分清哪些是真实的数据。 7)路由控制机制:为信息发送选择适当的安全路径,保证数据安全。 8)公正机制: 对传输中信息的丢失或延迟等,采用各方都认可的第三方提供公证仲裁。 ###1.3.2 基于TCP/IP的安全体系结构 1.TCP/IP体系结构的分层 TCP/IP体系结构共分4层,从上往下依次为应用层、传输层、网络层和网络接口层。每一层提供特定功能,层与层之间相对独立。 与OSI七层模型相比,TCP/IP没有表示层和会话层,这两层的功能由应用层提供,OSI的物理层和数据链路层功能由网络接口层完成。 1)应用层 是TCP/IP模型的最高层。负责面向用户的各种应用软件,是用户访问网络的界面。 2)传输层 传输层提供了在应用程序的客户机和服务器之间,传输应用层报文的服务,有TCP和UDP两个传输协议。 3)网络层 网络层负责为数据报传输选择路径,它具有定义IP数据报的功能,主要是IP协议。 4)网络接口层 网络接口层对应OSI的数据链路层和物理层,是TCP/IP模型的最低层。 2.TCP/IP体系结构各层次的安全 1)网络接口层的安全 一般指:设备驱动程序、局域网的网络接口、X.25中的网络接口等。采用划分VLAN或对远程通信加密来保证安全。 2)网络层的安全 网络层安全提供基于主机的安全服务,用安全协议建立安全的IP通道和虚拟专网VPN。 (1)防火墙 (2)IP安全协议(IPSec) (3)入侵检测 3)传输层的安全 可在两个通信节点之间,设置一个传递TCP连接并进行控制的传输层网关,并采用SSL(安全套接层)、SOCKS和安全RPC等协议。 4)应用层的安全 采用S—HTTP协议(HTTP的安全增强版)提供文件级的安全,S—HTTP提供对单钥加密和数字签名的支持。 ##1.4 网络安全服务 ###1.4.1 认证服务 1.非密码认证服务 1)口令机制 2)一次性口令 3)询问-应答机制 4)个人特征机制 2.密码的认证服务 1)基于对称密码的认证 2)基于非对称密码(公钥)的认证 ###1.4.2 访问控制服务 1.访问控制策略 1)基于身份的策略 2)基于规则的策略 3)访问控制技术 自主访问控制(DAC)、强制访问控制(MAC)和基于角色的访问控制(RBAC)。 2.访问控制列表 访问控制列表是实体及其对资源的访问权限列表,该表给出了每个用户对给定目标的访问权限。反映一个目标对应于访问矩阵列中的内容。 ### 1.4.3 机密性服务 机密性服务提供对信息的保密,防止非授权用户对信息的非法访问。 1.提供机密性服务的方法 1)访问控制方法 2)隐藏信息方法 2.机密性服务 1)加密服务 2)数据填充 3)业务流填充 ### 1.4.4 完整性服务 完整性是指数据的完整性,即保护数据不被被未授权的用户修改、删除和替换。 1.保证数据完整性 2.数据完整性服务 1)测试字服务 2)封装和签名服务 3)加密 4)序列完整性 5)复制和恢复 ### 1.4.5 抗否认服务 抗否认性服务又称不可抵赖性服务。当不能防止一个用户否认另一个用户所声称发生某事时,该服务以证据支持纠纷的解决。 1.起源的抗否认性服务 2.传递的抗否认性服务. 转自https://blog.csdn.net/zhouzhuo_CSUFT/article/details/82155436 标签: 信息安全 本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可。