互联网体系架构与信息安全

1、网络安全班 级：信息安全2015年【1】班所属小组：【组长姓名】 木合塔尔指导教师：【教师姓名】谌麓2015年5月23日学习小组情况简介姓名角色区队学号联系方式承担任务木合塔尔组长2013级本科大队3中队5区队2013110305021818599210149主讲赵泽华组员2013级本科大队1中队2区队2013110102005615026041861PPT赵欣组员2013级本科大队1中队2区队2013110102006515199453603案例赵海组员2013级本科大队4中队7区队2013110407031013659955203资料杨靖怡组员2013级本科大队1中队2区队20131101

2、02009518290822772Word。互联网架构体系与信息安全 摘 要： 现代社会计算机网络有了很大的发展，同时也加快了社会化和现代化的进程，但在发展的同时，许多安全问题也随之出现。因此，我们在使用网络的过程中，安全保密工作的落实是十分关键的。文章主要从互联网架构体系中的安全问题了分析，并研究网络安全及其技术。关健词；网络体系结构 网络组织 网络层 硬软件 网线 交换机 路由器 加密技术构建和管理一个通信网络提供一个构架和技术基础的蓝图。网络构架定义了数据网络通信系统的每个方面，包括但不限于用户使用的接口类型、使用的网络协议和可能使用的网络布线的类型。网络架构典型地有一个分层结构。分层是

3、一种现代的网络设计原理，它将通信任务划分成很多更小的部分，每个部分完成一个特定的子任务和用小数量良好定义的方式与其它部分相结合。系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。然而我们要做的就是能够对于网络安全所产生警惕性，防范一系列对于信息安全的隐患。一、现有互联网体系架构存在的问题1、安全性方面：在TCP/IP网络中由于端到端透明性和网络的扁平化，用户可以访问、攻击网络中的任意网元，网络安全性较差。TCP/IP防议在安全方面存在缺陷，需要对体系结构进行调整才有可能根本解决。2、移动性方面：用户需要提供无时不在

4、、无处不在、无所不有的综合服务。在原有的TCP/IP协议中，IP地址被赋予既表示位置又表示身份的双重功能，这种功能耦合导致无法支持主机和IP地址的动态绑定，无法很好地解决主机的移动问题。3、网络性能和服务质量方面：传统电信网络是基于信令和面向连接的，通过网络资源的独占来保障服务质量，但是降低了网络的使用效率。互联网提供的“尽力而为”的无连接的服务，支持网络资源的复用，但不提供严格的服务质量保证。 4、可管可控性方面：互联网对于数据是进行无记忆传送，在网络中尽量不保存状态信息，虽然保证了简单和高效但使得网元中缺少用于管理的必要信息，管理员无法高效地对网络进行管理和控制。 5、可信性方面：目前的互

5、联网用户成分复杂；路由设备对传输数据包的来源不做验证；大量的网络用户使用私有地址通过地址转换(NAT)方式接人互联网；缺乏能够广泛使用的端到端的身份认证机制，这导致了地址假冒、垃圾信息泛滥，大量的入侵和攻击行为无法跟踪。二、未来网络特性需求为了支持未来的通信业务，对未来网络体系架构存在下述基本需求。1、安全性方面：未来网络需要建立安全性框架。在各种网络组件中架构安全平台，保证设备的完整性和高可靠性，进行故障恢复。此外，还需在防泌层面中保护数据传输通道以及信息内容。未来的网络必须提供攻击发生前的安全预防，攻击发生时的报警响应以及攻击发生之后的审计追踪，达到三位一体的综合的安全。2、移动性方面：未

6、来的网络需要支持通信终端的无缝快速移动，支持丰富多样的终端接入技术，支持大规模的分布式泛在服务，使网络就在用户身边。网络性能及服务质量保障方面：未来网络需要支持多样化的服务，支持用户业务类型划分、优先级处理和服务质量保障机制，网络资源的分配和使用管理机制，提供满足服务水平协泌(SLA)的用户服务，从而有利于运商构建更合理的商业模式，出利于用户享用网络的方便性。3、可管可控性方面：未来的网络管理需要简单高效、适应规模庞大结构复杂的网络系统，可捉供对整个网络的自动化管理和控制；支持大规模分布式的网络及用户监控，支持错误预警和快速发现及定位；可随时进行服务质量监测。4、可信性方面：未来的网络需要提供

7、用户身份认证机制；具备防止地址欺骗等不可信行为的能力；需要建立跨域的全局的认证体系、可信度量及模型。三、一种可行的未来网络体系结构这幅图一种分层的包交换网络架构这里的网络采用分层有序化地址结构对应层次化的网络结构；同一层次内设立寻址域，不同寻址域可以采用不同的传送方式；相邻层次间可采用静态路由方式；在网络汇聚层设置用户控制层；网络中设立安全域，不同安全域之间有安全审查和处理；通过不同的编址方式或编址域来实现控制、管理、数据平面严格隔离；网络资源显式配置，资源可知、可控、可管；采用多数据平面结构，数据平面之间资源相互独立。1分层结构 这种严格分层的网络模型借鉴了传统电信网所采用的“树状模型”，而

8、不同之处在于：新型网络结构赋予每一个寻址域最大限度的灵活性，不同寻址域可以采用不同的交换方式及网络结构。严格的网络分层不同于互联网所采用的“云图模型”，避免了网络扁平化所带来的管理控制及路由振荡严重等问题。2层次化编址 层次化编址对应的网络地址结构为(tier-1 code; tier-2 code; ,tier-n-code)。网络地址中不同的比特位组对应不同的网络层次。网络地址分配要按照地址的层次结构分级、有序地进行，总体上按照地域(location - based)和运营商(provider - based)相结合的方式来进行。层次化编址和有序化分配区别于现行的IP地址编址和分配机制，地

9、址分配符合网络层次拓扑结构，便于路由的聚合和网络的规划。3分级路由层次化编址和网络的分层可以实现分级路由，在同一寻址域中的寻址和路由需要根据本寻址域的下一级寻址域所剥应的网络地址前缀部分进行寻址和路由匹配(如下图所示)。分级路由可以支持同时基于源地址和基于目的地址的路由方式；分级路由的路由协议只在一个寻址域的内部进行，可以很快收敛，并且便于硬件实现；寻址域内的路由表项相对较少，便于维护和管理；在转发数据包时不是最长匹配，路由效率相列较高；可以减少由个别子网的加入和删除所造成的大范围路由振荡；采用基于分级路由还可以实现对数据包的溯源。4安全域在新型网络体系中要划分安全域不同寻址域之间可以通过某种

10、安全认证方式来建立相互之间的信任关系，这些建立了信任关系的寻址域具有相同的安全属性，构成了一个安全域，寻址域之间信任关系不能传递安全域的存在便于对数据包实现基于源地址的安全审查和过滤。可以根据源地址前缀检查此数据包的来源是否可信，根据安全策略对数据包进行不同方式的处理。引入安全域的概念，便于网络的管理和维护，便于对非法流量和可疑流量的识别和处理，减少了恶意流量和垃圾流量在网络中传播的范围和速度。5用户控制在新型网络体系结构中增加了用户控制层。用户控制层作为用户网络和运营商网络的边界，对用户的网络属性、用户的业务属性进行控制，同时还要负责对业务流量的整型和汇聚。通过用户控制层实现网络和业务的必要

11、结合，从而使网络运营商能够对网络上的业务进行必要的控制和管理避免运营商成为比特传输管道，从而可以从业务收益中收取必要的利润，有利于形成合理的、新型的商业模式。6资源管理由于用户控制层的存在，用户数、业务种类、用户每种业务所需的资源均可知；核心网络采用严格分层结构，业务流向和转发路径相对嘲定，为业务资源预留提供了基础。因此在未来网络体系架构中，在接入网部分提供针对每个用户的具体业务的服务质量保证；核心网络按几个业务大类来提供相互隔离、资源单独规划的数据平面，不同数据平面对应不同的网络性能。资源的显式配置和预留是按照某类业务的属性和需求在其对应的数据平面内单独进行。这种基于业务控制、显式配置的资源

12、管理方式具有简单、高效的特点，是互联网和电信网网络资源管理方式的综合。案例；3495个漏洞，1088所高校，其中不乏北大、清华等顶级学府。这些漏洞中至少有384个可能会导致教职工或者学生个人信息泄露，如果全部被恶意利用，至少会威胁837万师生的个人信息安全。这是经济参考报记者对补天漏洞响应平台中高校网站安全漏洞统计后的发现。这些安全漏洞的存在，给高校信息安全带来巨大的风险和隐患。信息泄露不仅仅侵犯了师生个人的隐私权，给日常生活带来困扰，还有可能造成科研机密信息的外泄，威胁到国家安全。早在去年10月，教育部曾下发教育行业信息系统安全等级保护定级工作指南（试行），要求部属各高等学校加强教育行业信息

13、安全工作，今年教育部又把落实高校信息安全责任制作为一项重要工作推进。然而从规定执行情况来看，大部分高校还未能给予信息安全工作足够的重视，普遍缺乏网络和信息安全责任意识。互联网的发展给经济社会生活的各个方面带来了深刻的变革，另外一方面，它也带来了一系列问题，信息安全无疑就是最突出的一个方面。而高校信息安全问题只是整个社会信息安全失控的一个侧面。我国的互联网发展起步较晚，虽然在近二三十年来，取得了突飞猛进的发展，但是与欧美等国相比，在网络安全方面还存在不小的差距，而且这些差距不断扩大。没有网络安全，中国可能成为一个互联网大国，但是很难成为互联网强国。近年来，高校在数字化校园建设方面阔步前进，数字化

14、校园建设提高了高校管理的效率和现代化水平。但高校的网络信息安全建设远没有赶上数字化、信息化的脚步。这既有客观原因，比如硬件和技术方面的不足，但更重要的原因还是主观上的轻视。按理说，许多高校都开设有网络安全方面的专业，拥有充足的网络安全人才和先进的技术，网络安全意识也应该处于前沿。但是高校并没有充分利用这方面的资源来保障自身的网络信息安全，这反映出一些高校对师生个人信息安全的忽视以及在网络信息安全建设上的不作为。长此以往，信息化的脚步越快，漏洞越多，摔得可能就会越惨。四、信息安全行业中的主流技术 1、病毒检测与清除技术 2、安全防护技术 包含网络防护技术（防火墙、UTM、入侵检测防御等）；应用防

15、护技术（如应用程序接口安全技术等）；系统防护技术（如防篡改、系统备份与恢复技术等），防止外部网络用户以非法手段进入内部网络，访问内部资源，保护内部网络操作环境的相关技术。 3、安全审计技术 包含日志审计和行为审计，通过日志审计协助管理员在受到攻击后察看网络日志，从而评估网络配置的合理性、安全策略的有效性，追溯分析安全攻击轨迹，并能为实时防御提供手段。通过对员工或用户的网络行为审计，确认行为的合规性，确保信息及网络使用的合规性。 4、安全检测与监控技术 对信息系统中的流量以及应用内容进行二至七层的检测并适度监管和控制，避免网络流量的滥用、垃圾信息和有害信息的传播。 5、解密、加密技术 在信息系统

16、的传输过程或存储过程中进行信息数据的加密和解密。 6、身份认证技术 用来确定访问或介入信息系统用户或者设备身份的合法性的技术，典型的手段有用户名口令、身份识别、PKI 证书和生物认证等。五、安全对策一、保护网络安全网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施：（1）全面规划网络平台的安全策略。（2）制定网络安全的管理措施。（3）使用防火墙。（4）尽可能记录网络上的一切活动。（5）注意对网络设备的物理保护。（6）检验网络平台系统的脆弱性。（7）建立可靠的识别和鉴别机制。二、保护应用安全。保护应用安全，主

17、要是针对特定应用（如Web服务器、网络支付专用软件系统）所建立的安全防护措施，它独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠，如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密，都通过IP层加密，但是许多应用还有自己的特定安全要求。由于电子商务中的应用层对安全的要求最严格、最复杂，因此更倾向于在应用层而不是在网络层采取各种安全措施。虽然网络层上的安全仍有其特定地位，但是人们不能完全依靠它来解决电子商务应用的安全性。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。三、保护

18、系统安全。保护系统安全，是指从整体电子商务系统或网络支付系统的角度进行安全防护，它与网络系统硬件平台、操作系统、各种应用软件等互相关联。涉及网络支付结算的系统安全包含下述一些措施：（1）在安装的软件中，如浏览器软件、电子钱包软件、支付网关软件等，检查和确认未知的安全漏洞。（2）技术与管理相结合，使系统具有最小穿透风险性。如通过诸多认证才允许连通，对所有接入数据必须进行审计，对系统用户进行严格安全管理。（3）建立详细的安全审计日志，以便检测并跟踪入侵攻击等。商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行。各种商务交易安全服务都是通过安全技术来实现的，主要包括加密技术、认证技术和电子商务安全协议等。结论；（1） 通过对网络层次以及寻址域的划分，简化了路由和寻址过程，