互联网体系架构与信息安全剖析

网络安全性类别级别：信息安全类别1 2015下属小组：穆克塔组长姓名讲师：陈路2015年5月23日学习小组简介名字作用地区团队学生身份证联系信息承担任务Mukhtar领导者2013级本科大队第三中队和第五区队218扬声器赵团队成员2013年本科旅1中队2区队056ppt赵欣团队成员2013年本科旅1中队2区队065情况赵海团队成员2013大学生旅第四中队7区队310数据杨静怡团队成员2013年本科旅1中队2区队095消息。互联网架构与信息安全摘要：现代社会的计算机网络有了很大的发展，同时也加速了社会化和现代化的进程。然而，随着发展，也出现了许多安全问题。因此，在使用网络的过程中，安全工作的实施非常关键。本文主要分析了互联网架构系统中的安全问题，并对网络安全及其技术进行了研究。关键词；网络架构网络组织网络层软硬件网络线路交换路由器加密技术构建和管理通信网络提供了架构蓝图和技术基础。网络体系结构定义了数据网络通信系统的每个方面，包括但不限于用户使用的接口类型、使用的网络协议以及可能使用的网络电缆类型。网络体系结构通常具有分层结构。分层是一种现代网络设计原则，它将通信任务分成许多更小的部分。每个部分完成一个特定的子任务，并以少量明确定义的方式与其他部分结合。系统的硬件和软件以及系统中的数据受到保护，不会因意外或恶意原因而被损坏、更改或泄露。该系统连续、可靠、正常运行，不会中断网络服务。然而，我们需要做的是警惕网络安全，防范一系列信息安全隐患。一、现有互联网架构存在的问题1.安全性：由于TCP/IP网络中端到端的透明性和网络扁平化，用户可以访问和攻击网络中的任何网络元素，导致网络安全性差。TCP/IP协议存在安全缺陷，需要调整才能从根本上解决。2.移动性：用户需要提供无所不在、无所不在、无所不在的综合服务。在最初的TCP/IP协议中，IP地址被赋予了表示位置和身份的双重功能。这种功能耦合使得无法支持主机和IP地址之间的动态绑定，也不能很好地解决主机移动的问题。3.网络性能和服务质量：传统的电信网络是基于信令和面向连接的，通过垄断网络资源来保证服务质量，但是降低了网络的使用效率。互联网提供的“尽力”无连接服务支持网络资源的重用，但不提供严格的服务质量保证。4.可管理性和可控性：互联网执行无记忆的数据传输，并且不会在网络中存储尽可能多的状态信息。虽然它确保了简单性和高效率，但是它使得网络元件缺乏必要的管理信息，并且管理员不能有效地管理和控制网络。5.可信度：目前互联网用户的构成很复杂；路由设备不验证传输数据包的来源；大量网络用户使用私有地址通过地址转换(NAT)连接到互联网。缺乏可广泛使用的端到端身份验证机制会导致电子欺骗、垃圾邮件泛滥以及大量无法跟踪的入侵和攻击。二，未来对网络特性的需求为了支持未来的通信服务，未来的网络架构存在以下基本要求。1.安全性：未来的网络需要建立一个安全框架。在各种网络组件中构建安全平台，以确保设备的完整性和高可靠性，并进行故障恢复。此外，数据传输通道和信息内容也应在防渗漏级别得到保护。未来的网络必须在攻击发生前提供安全防护，在攻击发生时提供警报响应，在攻击发生后提供审计跟踪2.移动性：未来网络需要支持通信终端的无缝快速移动，支持丰富多样的终端接入技术，支持大规模的分布式泛在服务，使网络贴近用户。网络性能和服务质量保证：未来网络需要支持多样化的服务，支持用户服务类型划分、优先级处理和服务质量保证机制、网络资源分配和使用管理机制，并提供满足服务水平协议(SLA)的用户服务，从而帮助运营商建立更合理的业务模式，方便用户享受网络。3.可管理性和可控性：未来的网络管理需要简单高效的网络系统，具有大规模和复杂的结构，可用于整个网络的自动管理和控制。支持大规模分布式网络和用户监控，支持错误预警和快速发现定位；服务质量可以随时监控。4.可信度：未来网络需要提供用户身份认证机制；有能力防止不可信的行为，如地址欺骗；有必要建立一个跨域的全球认证体系，信用度和模型。三、可行的未来网络架构这张照片一种分层分组交换网络体系结构这里的网络采用对应于分层网络结构的分层有序地址结构。寻址域设置在同一层，不同的寻址域可以采用不同的传输方式；相邻层之间可以采用静态路由；在网络汇聚层中设置用户控制层；网络中设置安全域，不同安全域之间进行安全检查和处理；通过不同的寻址方式或寻址域实现控制、管理和严格的数据平面隔离；网络资源是明确配置的，资源是已知的、可控的和可管理的。使用多数据平面结构，数据平面之间的资源是相互独立的。1.分级结构这种严格的分层网络模型借鉴了传统电信网络采用的“树模型”，但不同之处在于，新的网络结构给了每个寻址域最大的灵活性，不同的寻址域可以采用不同的交换方法和网络结构。严格的网络分层不同于互联网采用的“云图像模型”，避免了网络扁平化带来的管理控制和严重的路由振荡问题。2.分层寻址对应于分层寻址的网络地址结构是(第1层代码；二级代码；，第n层代码).网络地址中的不同位组对应不同的网络级别。网络地址的分配应该根据地址的分层结构，并且通常根据基于位置和基于提供者的组合，进行分层和有序的分配。分层寻址和有序分配不同于当前的IP地址寻址和分配机制。地址分配符合网络分层拓扑结构，便于路由聚合和网络规划。3.分层路由分层寻址和网络分层可以实现分层路由。同一寻址域中的寻址和路由需要根据该寻址域中下一个寻址域剥离的网络地址前缀部分进行寻址和路由匹配(如下图所示)。分层路由可以支持基于源地址和基于目的地址的路由。分层路由的路由协议只在一个寻址域中执行，收敛速度快，便于硬件实现。寻址域中的路由表条目相对较少，便于维护和管理。转发数据包时，它不是最长的匹配，路由效率相对较高。可以减少因添加和删除单个子网而导致的大规模路由振荡；使用分层路由还可以实现数据包的可追溯性。4.安全域在新的网络系统中，安全域将被划分。不同寻址域之间的信任关系可以通过一些安全认证方法来建立。这些建立信任关系的寻址域具有相同的安全属性，并形成一个安全域。寻址域之间的信任关系不能被转移安全域的存在方便了基于源地址的数据包的安全检查和过滤。源地址前缀可用于检查该数据包的来源是否可信，并且可根据安全策略以不同方式处理该数据包。引入安全域的概念是为了便于网络的管理和维护，便于识别和处理非法流量和可疑流量，减少网络中恶意流量和垃圾流量的传播范围和速度。5.用户控制新的网络体系结构中增加了用户控制层。作为用户网络和运营商网络之间的边界，用户控制层控制用户的网络属性和用户的服务属性，并且还负责形成和聚集服务流量。通过用户控制层实现网络和业务的必要结合，使网络运营商能够对网络上的业务进行必要的控制和管理，避免运营商成为比特传输管道，从而从业务收入中获取必要的利润，有利于形成合理的新的业务模式。6.资源管理由于用户控制层的存在，用户的数量、服务的类型以及用户的每个服务所需的资源是已知的。核心网采用严格的分层结构，业务流向和转发路径相对固定，为预留服务资源提供了基础。因此，在未来的网络架构中，接入网部分将为每个用户的特定服务提供服务质量保证。核心网络提供相互隔离的数据平面，并根据几个服务类别独立规划，不同的数据平面对应不同的网络性能。根据特定类型服务的属性和要求，在它们相应的数据平面中分别执行资源的显式分配和预留。这种基于服务控制和显式配置的资源管理模式具有简单高效的特点，是互联网和电信网网络资源管理模式的结合。案例；3495个漏洞，1088所大学，包括北京大学，清华等顶尖大学。这些漏洞中至少有384个可能导致教师或学生的个人信息泄露。如果全部被恶意使用，至少837万师生的个人信息安全将受到威胁。这是经济参考报记者在补天漏洞响应平台中统计大学网站安全漏洞后的发现。这些安全漏洞的存在给高校的信息安全带来了巨大的风险和隐患。信息披露不仅侵犯了教师和学生的隐私，给日常生活带来麻烦，还可能导致机密科研信息的泄露，威胁国家安全。早在去年10月，教育部就发布了教育行业信息系统安全等级保护定级工作指南（试行），要求下属高校加强教育部门的信息安全工作。今年，教育部把高校实施信息安全责任制作为一项重要任务。然而，从法规的实施情况来看，大多数高校对信息安全重视不够，普遍缺乏网络和信息安全责任意识。互联网的发展给经济和社会生活的各个方面带来了深刻的变化。另一方面，它也带来了一系列问题。信息安全无疑是最突出的方面。然而，高校信息安全问题只是整个社会信息安全失控的一个方面。中国的互联网发展起步较晚。虽然在过去的20到30年间取得了快速的进步，但与欧美等国家相比，在网络安全方面仍然存在很大的差距，并且这些差距还在继续扩大。没有网络安全，中国可能成为互联网强国，但很难成为互联网强国。近年来，高校在数字化校园建设方面取得了长足的进步，提高了高校管理的效率和现代化水平。然而，高校网络信息安全建设却远远赶不上w可以说，许多高校都有网络安全专业，有足够的网络安全人才和先进技术，网络安全意识也应该处于前列。然而，高校并没有充分利用资源来保障自身的网络信息安全，这反映出一些高校忽视了师生的个人信息安全，在网络信息安全建设中无所作为。从长远来看，信息化的步伐越快，漏洞就越多，下降的速度就越慢。四、信息安全行业的主流技术1、病毒检测和清除技术2、安全防护技术包括网络保护技术(防火墙、UTM、入侵检测和防御等。)；应用保护技术(如应用程序接口安全技术等。)；系统保护技术(如防篡改、系统备份和恢复技术等。)是防止外部网络用户非法进入内部网络、访问内部资源以及保护内部网络操作环境的相关技术。3.安全审计技术它包括日志审计和行为审计。通过日志审计，可以帮助管理员在受到攻击后查看网络日志，从而评估网络配置的合理性和安全策略的有效性，跟踪和分析安全攻击的轨迹，为实时防御提供手段。通过对员工或用户网络行为的审核，确认行为的合规性，以确保信息和网络使用的合规性。4、安全检查和监控技术信息系统中的流量和应用内容应分两到七个级别进行检测，并进行适当的监督和控制，以避免滥用网络流量、传播垃圾信息和有害信息。5、解密、加密技术信息数据的加密和解密是在信息系统的传输过程或存储过程中进行的。6.身份认证技术用于确定用户或设备访问或干预信息系统的合法性的技术包括用户名和密码、身份识别、公钥基础设施证书和生物认证。五、安全对策一、保护网络安全网络安全是为了保护所有业务方的网络侧系统之间的通信过程的安全。确保机密性、完整性、身份验证和访问控制是网络安全的重要因素。保护网络安全的主要措施：(1)全面规划网络平台的安全策略。(2)制定网络安全管理措施。(3)使用防火墙。(4)尽可能多地记录网络上的所有活动。(5)注意网络设备的物理保护。(6)检查网络平台系统的漏洞。(7)建立可靠的身份识别和认证机制。第二，保护应用程序安全。应用安全保护主要是为特定应用(如网络服务器、网络支付专用软件系统)建立的安全保护措施，它独立于网络的任何其他安全保护措施。虽然一些保护措施可能是网络安全服务的替代或重叠，例如通过网络浏览器和应用层上的网络服务器对网络支付和结算包进行加密，所有这些都是通过IP层加密的，但是许多应用程序都有自己特定的安全要求。由于电子商务中的应用层有最严格、最复杂的安全要求，所以在应用层比在网络层更倾向于采取各种安全措施。虽然网络层的安全性仍然有其特定的地位，但是人们不能依靠它来解决电子商务应用的安全性。应用层的安全服务包括身份验证、访问控制、机密性、数据完整性、不可否认性、网络安全、电子数据交换、网络支付和其他应用安全。第三，保护系统的安全。保护系统安全是指从与网络系统硬件平台、操作系统、各种应用软件等相关联的整个电子商务系统或网络支付系统的角度进行安全保护。涉及网上支付和结算的系统安全包括以下措施：(1)在安装的软件中，如浏览器软件、电子钱包软件、支付网关软件等。检查并确认未知的安全漏洞商业交易安全关注于在互联网上应用传统商业所产生的各种安全问题。在计算机网络安全的基础上，如何保证电子商务过程的顺利进行。各种商业交易安全服务都是通过