《网络安全体系》 - 副本

1、整理课件网络安全体系结构与案例网络安全体系结构与案例整理课件内容提要内容提要 1 1 计算机网络体系结构 2 2 网络安全网络安全系统案例系统案例 整理课件计算机网络体系结构 主要内容 网络体系结构的基本概念 开放系统互连参考模型 TCP/IP体系结构 计算机局域网协议 整理课件网络体系结构的基本概念 1 网络的层次结构 q计算机网络是一个复杂的系统。为了降低系统设计和实现的难度，把计算机网络要实现的功能进行结构化和模块化的设计，将整体功能分为几个相对独立的子功能层次，各个功能层次间进行有机的连接，下层为其上一层提供必要的功能服务。这种层次结构的设计称为网络层次结构模型。q网络层次结构模型的好

2、处是：各层之间相互独立，各层实现技术的改变不影响其他层，易于实现和维护，有利于促进标准化，为计算机网络协议的设计和实现提供了很大方便。 整理课件网络体系结构的基本概念2 网络协议 q网络中的两个实体要实现通信，它们必须具有相同的语言，交流什么、怎样交流及何时交流等，必须遵守有关实体间某些相互都能接受的一些规则，这些规则的集合称为协议。q为进行网络中的数据交换而建立的规则、标为进行网络中的数据交换而建立的规则、标准或约定准或约定即为网络协议网络协议。q网络协议一般由语法、语义和时序三要素组成。 整理课件网络体系结构的基本概念3 网络体系结构 计算机网络的层次及各层协议的集合，即是网络体系结构（A

3、rchitecture）。具体地说，网络体系结构是关于计算机网络应设置哪几层，每个层次又应提供哪些功能的精确定义。 整理课件开放系统互连参考模型 1 开放系统互连参考模型的形成 为了使不同体系结构的计算机网络都能互连，国际标准化组织ISO于1977年提出了一个试图使各种计算机在世界范围内互连成网的标准框架，即著名的开放系统互连开放系统互连参考模型参考模型（OSI/RM，Open System Interconnection/Reference Model），简称为OSI。“开放”是指：只要遵循OSI标准，一个系统就可以和位于世界上任何地方的、也遵循这同一标准的其他任何系统进行通信。整理课件开放

4、系统互连参考模型2 OSI参考模型层次划分的原则 网络中所有节点都划分为相同的层次结构，每个相同的层次都有相同的功能 同一节点内各相邻层次之间通过接口协议进行通信 每一层使用下一层提供的服务，并向它的上层提供服务 不同节点的同等层按照协议实现同等层之间的通信 整理课件开放系统互连参考模型3 OSI参考模型的七层结构 整理课件开放系统互连参考模型4 OSI参考模型的信息流动 整理课件开放系统互连参考模型5 OSI参考模型各层功能 物理层（Physical Layer） 物理层是OSI参考模型的最低层，它建立在传输介质上，利用物理传输介质为数据链路层提供物理连接。 物理层的主要功能是在物理介质上传

5、输二进制数据比特流；提供为建立、维护和拆除物理连接所需的机械、电气和规程方面的特性。 整理课件开放系统互连参考模型5 OSI参考模型各层功能 数据链路层（Data Link Layer） 在物理层传送的比特流的基础上，数据链路层负责建立相邻节点之间的数据链路，提供节点之间的可靠的数据传输。这一层将接收到的二进制数据流封装成帧（包含目的地址、源地址、数据段以及其他控制信息），然后按顺序传输帧，并负责处理接收端发回的确认帧的信息。 另外，数据链路层还具有流量控制和检错功能 。 整理课件开放系统互连参考模型5 OSI参考模型各层功能 网络层（Network Layer） 数据在网络层被转换为数据分组

6、，然后通过路径选择、流量、差错、顺序、进/出路由等控制，将数据从物理连接的一端传送到另一端，并负责点到点之间通信联系的建立、维护和结束。它通过执行路由算法，为分组通过通信子网选择最适当的路径，还要执行拥塞控制与网络互连等功能，是OSI参考模型中最复杂的一层。 整理课件开放系统互连参考模型5 OSI参考模型各层功能 传输层（Transport Layer） 传输层是面向应用的高层和与网络有关的低层协议之间的接口，其下三层与数据传输有关，其上三层与应用有关。传输层提供在不同系统间数据传输服务，在网内两实体间建立端到端通信信道，提供两端点之间的可靠、透明数据传输；执行端到端差错检测和恢复，顺序控制和

7、流量控制功能，并管理多路复用。 整理课件开放系统互连参考模型5 OSI参考模型各层功能 会话层（Session Layer） 会话层负责控制每一网络节点究竟什么时间可以传送与接收数据，为不同用户提供建立会话关系，并对会话进行有效管理。例如，当许多用户同时收发信息时，该层主要控制、决定何时发送或接收信息，才不会有“碰撞”发生。 整理课件2.2 开放系统互连参考模型5 OSI参考模型各层功能 表示层（Presentation Layer） 表示层是为了在不同系统之间的不同信息表示能够相互理解对方数据的含义以便进行通信而设置的，它负责将数据转换为发送方和接收方都能识别的格式。 另外，表示层还负责诸如

8、数据压缩和恢复、加密和解密等服务。 整理课件2.2 开放系统互连参考模型5 OSI参考模型各层功能 应用层（Application Layer） 应用层是OSI参考模型的最高层，它与用户直接联系，负责网络中应用程序与网络操作系统之间的联系。监督并且管理相互连接起来的应用系统以及所使用的应用资源。例如为用户提供各种服务，包括文件传输、远程登录、电子邮件及网络管理等。整理课件6 6、实例：、实例： 七层实例应用层比如HTTP协议 ftp、DNS等表示层比如一些文件格式mp3 avi会话层应该是窗口程序传输层TCP网络层IP数据链路层802.3以太网标准物理层网卡 rj45插头等等整理课件TCP/I

9、P体系结构 qOSI参考模型试图达到一种理想境界，即全世界的计算机网络都遵循这统一的标准，所有的计算机都能方便的互连和交换数据，然而由于OSI标准制定周期长、协议实现过分复杂及OSI的层次划分不太合理等原因。当到了20世纪90年代初期，虽然整套的OSI标准都已制定出来，但当时的Internet在全世界的范围形成规模，因此网络体系结构得到广泛应用的并不是国际标准的OSI，而是应用在Internet上的非国际标准的TCP/IP体系结构。 整理课件TCP/IP体系结构 1 TCP/IP与OSI体系结构的对照关系整理课件TCP/IP体系结构2 TCP/IP参考模型各层功能 主机至网络层 (网络访问层）

10、 主机至网络层（网络接口层）是TCP/IP模型的最低层。它负责网际层与硬件设备间的联系，指出主机必须使用某种协议与网络相连。 网际层 它是整个体系结构的关键部分，网际层的功能就是把IP分组发送到它应该去的地方，分组路由和避免拥塞是网际层主要解决的问题。 网际层使用的主要协议是IP协议协议。 整理课件TCP/IP体系结构2 TCP/IP参考模型各层功能 传输层 （主机主机层） 传输层解决的是“端到端”的通信问题。它的功能是使源端和目的端主机上的对等实体可以进行会话，和OSI的传输层一样，传输层定义了两个端到端的协议。第一个是传输控制协议传输控制协议TCP，它是一个面向连接的协议，允许从一台机器发

11、出的字节流无差错地发往互联网上的其他机器。第二个协议是用户数据报协议用户数据报协议UDP，它是一个不可靠的、无连接协议。 整理课件TCP/IP体系结构2 TCP/IP参考模型各层功能 应用层 应用层提供一组常用的应用程序给用户，应用程序和传输层协议相配合，完成发送或接收数据。每个应用程序都有自己的数据格式，它可以是一系列报文或字节流，但不管采用哪种格式，都要将数据传送给传输层以便交换。 应用层包含所有的高层协议，如文件传输协议FTP、电子邮件协议SMTP、超文本传输协议HTTP等 。 整理课件TCP/IP体系结构 3、IP地址 在以TCP/IP为通信协议的网络上，每台主机都有唯一的IP地址，I

12、P地址用来唯一标示一台主机，也隐含着网络间的路径信息。IP地址共占用32个位，一般是以4个十进制数来表示，每个数字称为一个字节，字节与字节之间用点隔开，例如：，因为在TCP/IP网络上是利用IP地址来标示每一台主机，每一台主机都必须拥有唯一的IP地址。整理课件类 网络号主机号W取值支持网络数每个网络支持主机数AWX.Y.Z1-12612616,777,214BW.XY.Z128-1911638465,534C W.X.YZ192-2232,097,152254D224-239E240-254整理课件A 55B 19

13、55C 55D 55E 520 网络地址 主机地址10 网络地址 主机地址110 网络地址 主机地址1110 组播地址11110 保留整理课件计算机局域网协议 从总体上看，局域网协议较为简单，一般仅有二层或三层。物理层与OSI定义的类似，国际标准化组织已经对物理介质、附属设备和层间接口做了定义说明。由于局域网多采用广播通信技术，需要很好地解决信道争用问题，故数据链路层的一些细节问题与OSI定义的不同。OSI的网络层主要解决路径选择问题，而局域

14、网没有路由问题，一个节点发出的信息其他节点都可以收到，所以局域网一般不设该层，OSI网络层的其他功能合并到数据链路层。对于第四到第七层，局域网系统没有明确的定义，故高层仍用OSI的协议标准，多把其他高层作为一层来处理。整理课件计算机局域网协议1 IEEE802标准简介 在ISO/OSI参考模型中，其低三层协议是依赖具体网络的，计算机局域网是一种具体的网络，共享信道是它的特性。遵循ISO/OSI参考模型的原则，IEEE802系列标准协议主要解决局域网低三层的功能，其对应的LAN/RM如下图所示。 网际层LLC子层MAC子层物理层整理课件计算机局域网协议1 IEEE802标准简介 在ISO/OSI

15、参考模型中，数据链路层的功能简单，它只负责把数据从一个节点可靠地传输到相邻的节点。但在局域网中，多个站点共享传输介质，在节点间传输数据之前必须首先解决由哪个设备使用传输介质，因此数据链路层要有介质访问控制功能。由于介质的多样性，所以必须提供多种介质访问控制方法。为此IEEE802标准把数据链路层划分为两个子层：逻辑链路控制（LLC）子层和介质访问控制（MAC）子层。LLC子层负责向网际层提供服务，它提供的主要功能是寻址、差错控制和流量控制等；MAC子层的主要功能是控制对传输介质的访问，不同类型的LAN，需要采用不同的控制法。并且在发送数据时负责把数据组装成带有地址和差错校验段的帧，在接收数据时

16、负责把帧拆封，执行地址识别和差错校验。 整理课件计算机局域网协议2 IEEE802标准系列 对于使用不同传输介质的不同局域网，IEEE局域网标准委员会分别制定了不同的标准，适用于不同的网络环境，这些标准如下表所示。 整理课件计算机局域网协议3 IEEE802标准与OSI参考模型之间的关系整理课件网络安全网络安全系统案例系统案例主要内容 网络体系结构的基本概念 开放系统互连参考模型 TCP/IP体系结构 计算机局域网协议 整理课件概述 1 基础设施的安全基础设施的安全主要指：保障网络系统的计算机设备、系统软件平台、网络环境能够无故障运行、不受外部入侵和破坏。这个层次，主要针对系统的信息基础设施，

17、与计算机、网络等系统环境的关系更为密切，与企业的商务活动的联系较少。 2 交易的安全 交易的安全则是指通过一系列的措施保证交易过程的真实可靠、完整、不可否认和机密。与基础设施安全相比，交易安全更侧重于交易过程。 整理课件基础设施的安全 （1）计算机主机系统安全 双机备份、容错系统、集群（cluster）结构以及高性能系统HA（High Availability） （2）数据库及存储设备安全采用灾难恢复技术、SAN、RAID技术等 （3）操作系统安全 （4）网络环境安全 防止网络的非授权访问、减少网络故障 整理课件交易的安全 基础设施的安全是电子交易安全的基础 交易的安全是信息基础设施安全的延伸

18、 在设计系统的安全系统时，应当从基础设施和交易两个层次出发，不能偏废 更多的威胁是来自电子商务企业的内部,考虑相关的安全策略、安全管理问题 整理课件系统的安全要求 1 安全要求 安全问题主要是对方是否是存在的、真实的，购买过程中一些隐私性的数据（例如个人信用卡密码等）是否存在泄漏的风险，企业的服务器是否会受到攻击而瘫痪等等 2 2 系统的安全威胁与防范技术1. 系统的安全威胁 2系统的安全防范技术 整理课件安全要求 1.交易的真实性 2.交易的保密性 3.交易的完整性 4.不可抵赖性 整理课件安全要求InternetWeb SVRCGI、JSP、EJB等应用数据库客户端认证/授权/审查隐私/完

19、整性隐私/完整性认证防抵赖加密、电子信封等电子签字、电子证章等电子认证、加密、电子签字等图9-1：系统的一般安全问题及技术对策整理课件系统的安全威胁与防范技术 系统的安全威胁系统的安全威胁 （1）计算机网络的安全威胁 1）针对计算机系统网络层的攻击和入侵 2）针对计算机系统层的攻击和入侵 3) 针对计算机系统数据库层的攻击和入侵 4) 针对计算机系统应用层的攻击和入侵 （2） 交易的安全威胁1）信息窃取 2）信息篡改 3）身份假冒 4）交易的否认整理课件系统的安全威胁与防范技术 系统的安全防范技术系统的安全防范技术黑客攻击电子商务系统的手段黑客攻击电子商务系统的手段 选择攻击的目标 发现网络与

20、计算机系统的漏洞 入侵系统，获得系统的控制权限 禁用系统审计功能，更改系统的日志，以防止遗留线索 盗取文件，篡改系统的数据或者其他有价值的信息安装系统的后门（Back Gate）、特洛伊木马，以便能够再次入侵而不被发现 返回再次破坏 整理课件系统的安全威胁与防范技术 安全防范技术安全防范技术1、加密技术2、密钥管理技术3、数字签名技术4、入侵检测与防范技术5、风险评估技术6、身份认证技术7、病毒防治技术整理课件ISO的安全体系结构与系统的安全体系的安全体系结构与系统的安全体系 OSI规定了5种标准的安全服务 对象认证安全服务 访问控制服务 数据保密服务 数据完整性服务 防抵赖安全服务 整理课件

21、ISO的安全体系结构与系统的安全体系的安全体系结构与系统的安全体系 OSI的安全机制和安全服务 整理课件安全子系统的设计 安全子系统的框架结构 安全策略 安全管理 整理课件安全子系统的框架结构网络结构安全网络安全物理安全操作系统安全数据库安全应用安全和数据安全安全策略通讯安全用户认证管理安全管理整理课件安全策略 系统的安全策略 安全策略是信息安全的核心，也是整个信息安全建设的依据，安全策略为安全管理提供管理方向和支持手段，建立电子商务系统的策略体系的应包括：安全策略的制订、安全策略的评估、安全策略的执行等方面。 安全策略的主要内容 安全策略的制定方法 整理课件安全策略 安全策略的主要内容 （1

22、）制定有效、全面的安全管理规范以减少操作或服务中可能的安全威胁；（2）预防和避免可能的对计算机网络和商务交易过程的攻击；（3）减少计算机网络和商务交易中可能存在的安全威胁；（4）加强计算机网络和商务交易本身抗攻击和入侵的能力；（5）实时的监测；（6）实时的恢复；（7）减少可能的入侵影响。 整理课件4.2 安全策略 安全策略的制定方法 (1) 进行安全需求分析 (2) 对网络系统资源进行评估 (3) 对可能存在的风险进行分析 (4) 确定内部信息对外开放的种类及发布方式和访问方式 (5) 明确网络系统管理人员的责任和义务 (6) 确定针对潜在风险采取的安全保护措施 、管理制度 整理课件4.2 安

23、全策略整理课件安全管理安全管理 安全管理的主要内容安全管理是实现电子商务系统信息安全的落实手段，也是一项技术性强、涉及面广的管理工作。其主要内容包括：人事管理、设备管理、场地管理、存储设施管理、软件管理、网络管理和密码、密钥管理。 安全管理的基本原则 安全管理的应急处理 整理课件安全管理安全管理 安全管理的基本原则 （1）规范原则 （2）预防原则 （3）选用成熟技术原则 （4）系统化原则 （5）分权制约原则 （6）应急原则 （7）灾难恢复原则 整理课件安全管理安全管理 安全管理的应急处理（1）分析判断 （2）入侵或攻击的终止 （3）记录和备份 （4）恢复 （5）定位 （6）汇报 整理课件安全技

24、术 防火墙与网络安全设计 信息加密技术 数字签名 PKI技术与认证 IPSec的安全体系整理课件防火墙与网络安全设计 防火墙的基本概念 防火墙是访问控制技术的一种，其目的是通过控制网络资源的存取权限，保障计算机网络、计算机主机和数据的合法访问。国标GB/T 18019-1999 指出：“防火墙的目的是在内部、外部两个网络之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制”。 防火墙的应用设计 整理课件防火墙的基本概念 防火墙概念防火墙是借用了建筑学上的一个术语，本意是用来防止大火从建筑物的一部分蔓延到另一部分而设立的阻挡设施。 防火

25、墙是一种安全防范技术，包括访问控制机制、安全策略和防入侵策略。 防火墙的功能 防火墙的分类 整理课件防火墙的基本概念整理课件防火墙的基本概念 防火墙的功能防火墙的功能（1）包过滤 （2）网络地址翻译 （3）身份认证 （4）构造虚拟专用网 整理课件防火墙的基本概念 防火墙的分类防火墙的分类（1）包过滤型防火墙 （2）应用级代理（3）混合型防火墙 整理课件防火墙的应用设计 防火墙的设计过程 防火墙的安全要求 防火墙的选择 整理课件防火墙的应用设计 防火墙的设计过程防火墙的设计过程 （1）决定防火墙的类型和拓朴结构 （2）制定安全策略 （3）确定包过滤规则（4）设计代理服务（5）严格定义功能模块并使

26、其分布（6）制定防火墙维护和管理方案整理课件防火墙的应用设计 防火墙的安全要求防火墙的安全要求（1）防火墙应由多个构件组成 （2）防火墙应能抵抗网络“黑客”的攻击 （3）防火墙一旦失效、重启动或崩溃，则应完全阻断内、外部网络站点的连接 （4）防火墙应提供强认证服务 （5）防火墙对内部网络应起到屏蔽作用 整理课件防火墙的应用设计 防火墙的选择防火墙的选择 （1）防火墙的管理难易度 （2）防火墙自身的安全性 （3）防火墙的软件功能及执行效率 （4）防火墙的技术支持 整理课件信息加密技术信息加密技术 信息加密技术 加密技术就是采用数学方法对原始信息进行再组织，使得加密后的信息内容对于非法接收者来说成为无意义的文字。而对于合法的接收者，因为其掌握正确的密钥，就可以通过解密过程