《网络安全体系结构ppt课件》由会员分享,可在线阅读,更多相关《网络安全体系结构ppt课件(42页珍藏版)》请在金锄头文库上搜索。
1、 在网络中,计算机与计算机之间的通讯是机器与机器之间的通讯,其不同于人与人之间通讯的最大特点是必需对所传送信息的符号格式、传送速率、过失控制、含义了解等,预先作出明确严厉的一致规定或商定,成为共同成认和遵守的规那么,才干保证信息传送的可靠和有效,并在传送完成后得到相应的正确处置。这些为进展网络中的信息交换而建立的共同规那么、规范或商定,称为网络协议Protocol 在网络的实践运用中,计算机系统与计算机系统之间的互联、互通、互操作过程,普通都不能只依托一种协议,而需求执行许多种协议才干完成。全部网络协议以层次化的构造方式所构成的集合,就称为网络体系构造。网络平安体系构造大致可分为三类: 第一类
2、是国际规范化组织ISO制定的开放系统互联/考模型OSI/RM,Open SystemInterconnection/Reference Model。 第二类是有关行业成为既成现实的规范,已得到相当普遍的接受,典型代表如著名的TCP/IP协议体系构造。 第三类,就是各消费厂商本人制定的协议标准。 开放系统互联/参考模型OSI/RM 1严密性 严密性是指确保非授权用户不能获得网络信息资源的性能。为此要求网络具有良好的密码体制、密钥管理、传输加密维护、存储加密维护、防电磁走漏等功能。2完好性 完好性是指确保网络信息不被非法修正、删除或增添,以保证信息正确、一致的性能。为此要求网络的软件、存储介质,以
3、及信息传送与交换过程中都具有相应的功能。3可用性 可用性是指确保网络合法用户可以按所获授权访问网络资源,同时防止对网络非授权访问的性能。为此要求网络具有身份识别、访问控制,以及对访问活动过程进展审计的功能。4可控性 可控性是指确保合法机构按所获授权可以对网络及其中的信息流动与行为进展监控的性能。为此要求网络具有相应的多方面的功能。5抗抵赖性 抗抵赖性又称不可否认性,是指确保接纳到的信息不是冒充的,而发信方无法否认所发信息的性能。为此要求网络具有数字取证、证据保全等功能。 基于上述对网络平安体系构造的需求,作为普通手段的网络平安体系构造,其义务并不是为任何详细的网络提供详细的网络平安方案,而是提
4、供有关构成网络平安方案的方法和假设干必需遵照的思绪、原那么和规范。它给出关于网络平安效力和网络平安机制的普通描画方式,以及各种平安效力与网络体系构造层次的对应关系 。 OSI平安体系构造的中心内容是:以实现完备的网络平安功能为目的,描画了6类平安效力,以及提供这些效力的8类平安机制和相应的OSI平安管理,并且尽能够地将上述平安效力配置于开放系统互联/参考模OSI/RM7层构造的相应层。 OSI平安体系构造的三维空间表示 序号序号平安效劳平安效劳 作用作用1对等实体鉴对等实体鉴别别确保网络同一层次连接两端的对等实体身份真确保网络同一层次连接两端的对等实体身份真实、合法实、合法 2访问控制访问控制
5、防止未经答应的用户访问防止未经答应的用户访问OSI网络的资源网络的资源 3数据保密数据保密防止未经答应暴露网络中数据的内容防止未经答应暴露网络中数据的内容 4数据完好性数据完好性确保接收端收到的信息与发送端发出的信息完确保接收端收到的信息与发送端发出的信息完全一致,防止在网络中传输的数据因网络效劳全一致,防止在网络中传输的数据因网络效劳质量不良而造成错误或丧失,并防止其受到非质量不良而造成错误或丧失,并防止其受到非法实体进展的篡改、删除、插入等攻击法实体进展的篡改、删除、插入等攻击 5数据源点鉴数据源点鉴别别由由OSI体系构造的第体系构造的第N层向其上一层即第层向其上一层即第N+1层提供关于数
6、据来源为一对等层提供关于数据来源为一对等N+1层实体的鉴别层实体的鉴别 6抗抵赖,又抗抵赖,又称不容否认称不容否认 防止数据的发送者否认曾经发送过该数据或数防止数据的发送者否认曾经发送过该数据或数据中的内容,防止数据的接收者否认曾经收到据中的内容,防止数据的接收者否认曾经收到过该数据或数据中的内容过该数据或数据中的内容 平安效平安效劳劳网络层次网络层次物理物理层层数据链数据链路层路层网络层网络层传输层传输层会话层会话层表示层表示层应用层应用层对等实对等实体鉴别体鉴别 访问控访问控制制 数据保数据保密密数据完数据完好性好性数据源数据源点鉴别点鉴别抗抵赖抗抵赖 按照OSI平安体系构造,为了提供上述
7、6类平安效力,采用以下8类平安机制来实现:1加密。 2数据签名3访问控制4数据完好性5交换鉴别6信息流填充7路由控制8公证平安平安效劳效劳平安机制平安机制数据加数据加密密数据签数据签名名访问控访问控制制数据完数据完好性好性交换鉴交换鉴别别信息流信息流填充填充路由控路由控制制公证公证对等实对等实体鉴别体鉴别 访问控访问控制制 数据保数据保密密 数据完数据完好性好性 数据源数据源点鉴别点鉴别 抗抵赖抗抵赖 美国国防部为了使其一切信息系统的平安配置具有充分的一致性、有效性和互操作性,由国防信息系统DISA与国家平安局NSA协作开发了国防部目的平安体系结构DGSA,并载入了1996年国防信息系统局发布
8、的、为国防信息根底设备DII提供详细开展蓝图的信息管理技术体系构造框架TAFIM3.0版,为其中的第6卷。该体系构造DGSA从开展角度提供了平安构造的全貌,是一个通用的体系框架,用于开发特定义务网络或信息系统包含各项平安业务在内的平安体系构造 1DISSP的5个目的1保证国防部对DISSP的利用和管理;2将一切的网络和信息系统高度自动化,以便运用;3确保网络和信息系统的有效性、平安性、可互操作性;4促进国防信息系统的协调、综合开发;5建立能使各个国防机构、各军种,以及北约和美国的 盟国的一切网络和信息系统彼此之间具有良好互操作 性的平安构造。2DISSP的8项义务1确定一个一致、协调的网络平安
9、战略;2开发全美国防网络和信息系统平安构造;3开发基于上述平安构造的网络平安规范和协议;4确定一致的网络平安认证规范;5开发先进的网络平安技术;6建立网络和信息系统的开发者、实现者与运用者之间的有效协调;7制定达成预定目的的过渡方案;8将有关信息及时通报供应商。3DISSP提供的平安体系构造及其特点 DISSP提供的平安体系构造框架可用如图2.3所示的三维空间模型来表示。图中空间的三维分别代表:网络平安特性与部分操作特性、网络与信息系统的组成部分、OSI网络构造层及其扩展层。3DISSP提供的平安体系构造及其特点 与OSI平安体系构造ISO 74982相比,DISSP安全体系构造具有如下特点:
10、1从最高层着眼,统筹处理全部国防网络与信息系统的平安问题,不允许任何下属层次各自为政并分别建立本人的平安体系。2把网络与信息系统的组成简化归结为4个部分,即端系统、网络、接口和平安管理。这样便于网络与信息系统的管理人员与平安体系设计人员之间的协商与协作,便于平安战略的落实和平安功能的完善。这是该平安体系构造的一大创新。3在网络平安特性中增列了“物理、规程和人员平安 特性,第一次将有关平安的法律、法令、规程及人事管理等任务都纳入平安体系构造,使平安问题可以更有效地全面统筹处理。4把在网络平安体系遭到部分破坏或功能降低情况下,仍能继续任务且受敌危害最小的特性,列为要求的平安特性。5从多个角度,特别
11、强调了在确保网络平安性的同时,保证网络具有足够的互操作性。 TCP/IP是传输控制协议/网际协议Transmission Control Protocol/Internet Protocol的英文缩写。经过多年的演化开展,今天TCP/IP体系构造曾经成为Internet所采用的网络协议,成为全世界运用最广泛的网络体系构造。TCP/IP体系构造虽然不同于OSI体系构造,不是国际规范化组织ISO所制定的规范,但已被全世界公以为一种具有很大影响的现实上的规范。所以,研讨它的平安体系构造具有重要的现实意义。TCP/IPTCP/IP体系构造体系构造 OSIOSI体系构造体系构造 应用层应用层 FTPFT
12、P文件传输协议文件传输协议TelnetTelnet远程登录协议远程登录协议SMTPSMTP简单邮件传输协议简单邮件传输协议SNMPSNMP简单网络管理协议简单网络管理协议 应用层应用层ALAL 表示层表示层PLPL 会话层会话层SLSL 传送层传送层 TCPTCP传输控制协议、传输控制协议、UDPUDP用用户数据报文协议户数据报文协议传输层传输层TLTL 互联网层互联网层路由路由协议协议IPIP网际网际协议协议ICMPICMP网络网络互联控制报文互联控制报文协议协议 网络层网络层NLNL ARPARP地址解析协议、地址解析协议、RARPRARP反向地址解析协议反向地址解析协议网络接口网络接口层
13、层 不指定不指定 数据链路层数据链路层DLLDLL 物理层物理层PHLPHL 安安 全全 服服 务务 TCP/IPTCP/IP体系构造层次体系构造层次 网络接口网络接口层层 互联网层互联网层 传输层传输层 应用层应用层 对等实体鉴对等实体鉴别别 访问控制访问控制 数据保密数据保密 数据完好性数据完好性 数据源点鉴数据源点鉴别别 抗抵赖抗抵赖 3.1 网络平安协议与规范的根本概念 协议是网络的同一层次实体之间、为了相互配合完本钱层次功能而作的商定。所以,协议是网络体系构造的最终表达方式。对于网络平安体系构造而言,它的根本构成成分和最终表达方式就是网络平安协议。3.2 网络平安协议与规范举例美军J
14、TA信息系统平安 规范 美军由国防信息系统局牵头,集中各军兵种专家,在信息管理技术体系构造框架TAFIM指点下,开发了名为结合技术体系构造JTA的文件。该体系构造规定了一组全军共用的强迫性信息技术规范和指南,作为美国国防部各种新建、晋级的信息网络C4I系统的 “建立法规。JTA作为一个庞大的规范集,包括5个方面强迫执行的规范,其中之一便是信息系统平安规范。JTA的信息系统平安规范本身又包括4个方面的规范。 3.2 网络平安协议与规范举例美军JTA信息系统平安规范 1信息处置平安规范 2信息传送平安规范 3信息建模与信息平安规范 4人-计算机接口HCI平安规范4.1 美国的“可信计算机系统评价准
15、那么 美国国家计算机平安中心NCSC于1983年构成了DOD 规范“可信计算机系统评价准那么TCSEC,Trusted Computer System Evaluation Criteria并发布施行,1985年进展了修订。因该规范出版时封面为橘红色,通常被称为“橘皮书。 “橘皮书将计算机系统的平安等级分为4个档次8个等级,在平安战略、责任、保证、文档等4个方面共设定了27条评价准那么。不同的计算机信息系统可以此为根据,按系统的实践需求和可能,从中选取具有不同平安严密强度的平安等级规范。现将该规范的4个档次8个平安等级,由低到高依次简述如下。1D档 D档为无维护档级,是平安等级的最低档。其主要
16、特征是没有专门的平安维护,此档只需一个级别,即D级。 D级: 平安维护欠缺级。凡经评价,达不到C1及其以上平安等级的计算机系统均列入此级。这一等级的计算机系统,没有访问控制机制,对于来自任何用户的访问,没有任何身份认证措施与访问权限控制。早期商业领域的计算机系统往往属于这一平安等级。 2档 C档为自主维护档级。此档又分两个平安等级,共同特征是采用了自主访问控制机制。C档的两个平安等级由低到高依次为C1级和C2级。 C1级:自主平安维护级。 C2级:受控访问维护级。 3B档 B档为强迫维护档级。此档又分为3个平安等级,共同特征是采用强迫访问控制机制。B档的3个平安等级由低到高依次为B1级、B2级
17、和B3级。 B1级:有标志的平安维护级。 B2级:构造化维护级。 B3级:平安域维护级。 4A档 A档为验证维护档级。此档又分两个平安等级,由低到高依次为A1级和超A1级。它们共同的特征是,在系统设计阶段就可以对预期的平安功能进行严厉的验证。 A1级:阅历证的设计维护级。 超A1级:验证明现级。 B3级、A1级和超A1级,都属于最高的平安等级,相应地对本钱的要求也高,只需极其重要的运用场所才采用。4.2 我国的“计算机信息系统平安等级维护划分准那么 计算机信息系统平安等级维护划分准那么是我国计算机信息系统平安等级维护系列规范的中心,是实行计算机信息系统平安等级维护制度建立的重要根底。该规范将信
18、息系统划分为5个平安等级,分别为用户自主维护级、系统审计维护级、平安标志维护级、构造化维护级和访问验证维护级,从第1级到第5级平安等级逐级增高 . 4.2 我国的“计算机信息系统平安等级维护划分准那么 1第1级,用户自主维护级 2第2级,系统审计维护级 3第3级,平安标志维护级 4第4级,构造化维护级 5第5级,访问验证维护级 本章讨论了建立计算机网络平安体系构造的必要性,引见了开放系统互联平安体系构造、美国国防部目的平安体系构造和基于TCP/IP的网络安全体系构造三种网络平安体系构造的主要内容,以美军JTA信息系统平安规范为例,对网络平安的协议与规范进展了分析,最后引见了网络平安的评价规范。
