《互联网体系架构与信息安全》由会员分享,可在线阅读,更多相关《互联网体系架构与信息安全(11页珍藏版)》请在金锄头文库上搜索。
1、网络安全班 级:信息安全2015年【1】班所属小组:【组长姓名】 木合塔尔指导教师:【教师姓名】谌麓2015年5月23日学习小组情况简介姓名角色区队学号联系方式承担任务木合塔尔组长2013级本科大队3中队5区队218主讲赵泽华组员2013级本科大队1中队2区队056PPT赵欣组员2013级本科大队1中队2区队065案例赵海组员2013级本科大队4中队7区队310资料杨靖怡组员2013级本科大队1中队2区队095Word。互联网架构体系与信息安全 摘 要: 现代社会计算机网络有了很大的发展,同时也加快了社会化和现代化的进程,但在发展的同时,许多安全问题也随之出现。因此,我们在使用网络的过程中,安
2、全保密工作的落实是十分关键的。文章主要从互联网架构体系中的安全问题了分析,并研究网络安全及其技术。关健词;网络体系结构 网络组织 网络层 硬软件 网线 交换机 路由器 加密技术构建和管理一个通信网络提供一个构架和技术基础的蓝图。网络构架定义了数据网络通信系统的每个方面,包括但不限于用户使用的接口类型、使用的网络协议和可能使用的网络布线的类型。网络架构典型地有一个分层结构。分层是一种现代的网络设计原理,它将通信任务划分成很多更小的部分,每个部分完成一个特定的子任务和用小数量良好定义的方式与其它部分相结合。系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系
3、统连续可靠正常地运行,网络服务不中断。然而我们要做的就是能够对于网络安全所产生警惕性,防范一系列对于信息安全的隐患。一、现有互联网体系架构存在的问题1、安全性方面:在TCP/IP网络中由于端到端透明性和网络的扁平化,用户可以访问、攻击网络中的任意网元,网络安全性较差。TCP/IP防议在安全方面存在缺陷,需要对体系结构进行调整才有可能根本解决。2、移动性方面:用户需要提供无时不在、无处不在、无所不有的综合服务。在原有的TCP/IP协议中,IP地址被赋予既表示位置又表示身份的双重功能,这种功能耦合导致无法支持主机和IP地址的动态绑定,无法很好地解决主机的移动问题。3、网络性能和服务质量方面:传统电
4、信网络是基于信令和面向连接的,通过网络资源的独占来保障服务质量,但是降低了网络的使用效率。互联网提供的“尽力而为”的无连接的服务,支持网络资源的复用,但不提供严格的服务质量保证。 4、可管可控性方面:互联网对于数据是进行无记忆传送,在网络中尽量不保存状态信息,虽然保证了简单和高效但使得网元中缺少用于管理的必要信息,管理员无法高效地对网络进行管理和控制。 5、可信性方面:目前的互联网用户成分复杂;路由设备对传输数据包的来源不做验证;大量的网络用户使用私有地址通过地址转换(NAT)方式接人互联网;缺乏能够广泛使用的端到端的身份认证机制,这导致了地址假冒、垃圾信息泛滥,大量的入侵和攻击行为无法跟踪。
5、二、未来网络特性需求为了支持未来的通信业务,对未来网络体系架构存在下述基本需求。1、安全性方面:未来网络需要建立安全性框架。在各种网络组件中架构安全平台,保证设备的完整性和高可靠性,进行故障恢复。此外,还需在防泌层面中保护数据传输通道以及信息内容。未来的网络必须提供攻击发生前的安全预防,攻击发生时的报警响应以及攻击发生之后的审计追踪,达到三位一体的综合的安全。2、移动性方面:未来的网络需要支持通信终端的无缝快速移动,支持丰富多样的终端接入技术,支持大规模的分布式泛在服务,使网络就在用户身边。网络性能及服务质量保障方面:未来网络需要支持多样化的服务,支持用户业务类型划分、优先级处理和服务质量保障
6、机制,网络资源的分配和使用管理机制,提供满足服务水平协泌(SLA)的用户服务,从而有利于运商构建更合理的商业模式,出利于用户享用网络的方便性。3、可管可控性方面:未来的网络管理需要简单高效、适应规模庞大结构复杂的网络系统,可捉供对整个网络的自动化管理和控制;支持大规模分布式的网络及用户监控,支持错误预警和快速发现及定位;可随时进行服务质量监测。4、可信性方面:未来的网络需要提供用户身份认证机制;具备防止地址欺骗等不可信行为的能力;需要建立跨域的全局的认证体系、可信度量及模型。三、一种可行的未来网络体系结构这幅图一种分层的包交换网络架构这里的网络采用分层有序化地址结构对应层次化的网络结构;同一层
7、次内设立寻址域,不同寻址域可以采用不同的传送方式;相邻层次间可采用静态路由方式;在网络汇聚层设置用户控制层;网络中设立安全域,不同安全域之间有安全审查和处理;通过不同的编址方式或编址域来实现控制、管理、数据平面严格隔离;网络资源显式配置,资源可知、可控、可管;采用多数据平面结构,数据平面之间资源相互独立。1分层结构 这种严格分层的网络模型借鉴了传统电信网所采用的“树状模型”,而不同之处在于:新型网络结构赋予每一个寻址域最大限度的灵活性,不同寻址域可以采用不同的交换方式及网络结构。严格的网络分层不同于互联网所采用的“云图模型”,避免了网络扁平化所带来的管理控制及路由振荡严重等问题。2层次化编址
8、层次化编址对应的网络地址结构为(tier-1 code; tier-2 code; ,tier-n-code)。网络地址中不同的比特位组对应不同的网络层次。网络地址分配要按照地址的层次结构分级、有序地进行,总体上按照地域(location - based)和运营商(provider - based)相结合的方式来进行。层次化编址和有序化分配区别于现行的IP地址编址和分配机制,地址分配符合网络层次拓扑结构,便于路由的聚合和网络的规划。3分级路由层次化编址和网络的分层可以实现分级路由,在同一寻址域中的寻址和路由需要根据本寻址域的下一级寻址域所剥应的网络地址前缀部分进行寻址和路由匹配(如下图所示)。
9、分级路由可以支持同时基于源地址和基于目的地址的路由方式;分级路由的路由协议只在一个寻址域的内部进行,可以很快收敛,并且便于硬件实现;寻址域内的路由表项相对较少,便于维护和管理;在转发数据包时不是最长匹配,路由效率相列较高;可以减少由个别子网的加入和删除所造成的大范围路由振荡;采用基于分级路由还可以实现对数据包的溯源。4安全域在新型网络体系中要划分安全域不同寻址域之间可以通过某种安全认证方式来建立相互之间的信任关系,这些建立了信任关系的寻址域具有相同的安全属性,构成了一个安全域,寻址域之间信任关系不能传递安全域的存在便于对数据包实现基于源地址的安全审查和过滤。可以根据源地址前缀检查此数据包的来源
10、是否可信,根据安全策略对数据包进行不同方式的处理。引入安全域的概念,便于网络的管理和维护,便于对非法流量和可疑流量的识别和处理,减少了恶意流量和垃圾流量在网络中传播的范围和速度。5用户控制在新型网络体系结构中增加了用户控制层。用户控制层作为用户网络和运营商网络的边界,对用户的网络属性、用户的业务属性进行控制,同时还要负责对业务流量的整型和汇聚。通过用户控制层实现网络和业务的必要结合,从而使网络运营商能够对网络上的业务进行必要的控制和管理避免运营商成为比特传输管道,从而可以从业务收益中收取必要的利润,有利于形成合理的、新型的商业模式。6资源管理由于用户控制层的存在,用户数、业务种类、用户每种业务
11、所需的资源均可知;核心网络采用严格分层结构,业务流向和转发路径相对嘲定,为业务资源预留提供了基础。因此在未来网络体系架构中,在接入网部分提供针对每个用户的具体业务的服务质量保证;核心网络按几个业务大类来提供相互隔离、资源单独规划的数据平面,不同数据平面对应不同的网络性能。资源的显式配置和预留是按照某类业务的属性和需求在其对应的数据平面内单独进行。这种基于业务控制、显式配置的资源管理方式具有简单、高效的特点,是互联网和电信网网络资源管理方式的综合。案例;3495个漏洞,1088所高校,其中不乏北大、清华等顶级学府。这些漏洞中至少有384个可能会导致教职工或者学生个人信息泄露,如果全部被恶意利用,
12、至少会威胁837万师生的个人信息安全。这是经济参考报记者对补天漏洞响应平台中高校网站安全漏洞统计后的发现。这些安全漏洞的存在,给高校信息安全带来巨大的风险和隐患。信息泄露不仅仅侵犯了师生个人的隐私权,给日常生活带来困扰,还有可能造成科研机密信息的外泄,威胁到国家安全。早在去年10月,教育部曾下发教育行业信息系统安全等级保护定级工作指南(试行),要求部属各高等学校加强教育行业信息安全工作,今年教育部又把落实高校信息安全责任制作为一项重要工作推进。然而从规定执行情况来看,大部分高校还未能给予信息安全工作足够的重视,普遍缺乏网络和信息安全责任意识。互联网的发展给经济社会生活的各个方面带来了深刻的变革
13、,另外一方面,它也带来了一系列问题,信息安全无疑就是最突出的一个方面。而高校信息安全问题只是整个社会信息安全失控的一个侧面。我国的互联网发展起步较晚,虽然在近二三十年来,取得了突飞猛进的发展,但是与欧美等国相比,在网络安全方面还存在不小的差距,而且这些差距不断扩大。没有网络安全,中国可能成为一个互联网大国,但是很难成为互联网强国。近年来,高校在数字化校园建设方面阔步前进,数字化校园建设提高了高校管理的效率和现代化水平。但高校的网络信息安全建设远没有赶上数字化、信息化的脚步。这既有客观原因,比如硬件和技术方面的不足,但更重要的原因还是主观上的轻视。按理说,许多高校都开设有网络安全方面的专业,拥有
14、充足的网络安全人才和先进的技术,网络安全意识也应该处于前沿。但是高校并没有充分利用这方面的资源来保障自身的网络信息安全,这反映出一些高校对师生个人信息安全的忽视以及在网络信息安全建设上的不作为。长此以往,信息化的脚步越快,漏洞越多,摔得可能就会越惨。四、信息安全行业中的主流技术 1、病毒检测与清除技术 2、安全防护技术 包含网络防护技术(防火墙、UTM、入侵检测防御等);应用防护技术(如应用程序接口安全技术等);系统防护技术(如防篡改、系统备份与恢复技术等),防止外部网络用户以非法手段进入内部网络,访问内部资源,保护内部网络操作环境的相关技术。 3、安全审计技术 包含日志审计和行为审计,通过日
15、志审计协助管理员在受到攻击后察看网络日志,从而评估网络配置的合理性、安全策略的有效性,追溯分析安全攻击轨迹,并能为实时防御提供手段。通过对员工或用户的网络行为审计,确认行为的合规性,确保信息及网络使用的合规性。 4、安全检测与监控技术 对信息系统中的流量以及应用内容进行二至七层的检测并适度监管和控制,避免网络流量的滥用、垃圾信息和有害信息的传播。 5、解密、加密技术 在信息系统的传输过程或存储过程中进行信息数据的加密和解密。 6、身份认证技术 用来确定访问或介入信息系统用户或者设备身份的合法性的技术,典型的手段有用户名口令、身份识别、PKI 证书和生物认证等。五、安全对策一、保护网络安全网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施:(1)全面规划网络平台的安全策略。(2)制定网络安全的管理措施。(3)使用防火墙。
