《网络安全体系》

网络平安体系结构与案例编辑ppt内容提要

1计算机网络体系结构2网络平安系统案例编辑ppt计算机网络体系结构主要内容网络体系结构的根本概念开放系统互连参考模型TCP/IP体系结构计算机局域网协议编辑ppt网络体系结构的根本概念1网络的层次结构计算机网络是一个复杂的系统。为了降低系统设计和实现的难度，把计算机网络要实现的功能进行结构化和模块化的设计，将整体功能分为几个相对独立的子功能层次，各个功能层次间进行有机的连接，下层为其上一层提供必要的功能效劳。这种层次结构的设计称为网络层次结构模型。网络层次结构模型的好处是：各层之间相互独立，各层实现技术的改变不影响其他层，易于实现和维护，有利于促进标准化，为计算机网络协议的设计和实现提供了很大方便。编辑ppt网络体系结构的根本概念2网络协议网络中的两个实体要实现通信，它们必须具有相同的语言，交流什么、怎样交流及何时交流等，必须遵守有关实体间某些相互都能接受的一些规那么，这些规那么的集合称为协议。为进行网络中的数据交换而建立的规那么、标准或约定即为网络协议。网络协议一般由语法、语义和时序三要素组成。编辑ppt网络体系结构的根本概念3网络体系结构计算机网络的层次及各层协议的集合，即是网络体系结构〔Architecture〕。具体地说，网络体系结构是关于计算机网络应设置哪几层，每个层次又应提供哪些功能的精确定义。编辑ppt开放系统互连参考模型1开放系统互连参考模型的形成为了使不同体系结构的计算机网络都能互连，国际标准化组织ISO于1977年提出了一个试图使各种计算机在世界范围内互连成网的标准框架，即著名的开放系统互连参考模型〔OSI/RM，OpenSystemInterconnection/ReferenceModel〕，简称为OSI。“开放〞是指：只要遵循OSI标准，一个系统就可以和位于世界上任何地方的、也遵循这同一标准的其他任何系统进行通信。编辑ppt开放系统互连参考模型2OSI参考模型层次划分的原那么网络中所有节点都划分为相同的层次结构，每个相同的层次都有相同的功能同一节点内各相邻层次之间通过接口协议进行通信每一层使用下一层提供的效劳，并向它的上层提供效劳不同节点的同等层按照协议实现同等层之间的通信编辑ppt开放系统互连参考模型3OSI参考模型的七层结构编辑ppt开放系统互连参考模型4OSI参考模型的信息流动编辑ppt开放系统互连参考模型5OSI参考模型各层功能物理层〔PhysicalLayer〕物理层是OSI参考模型的最低层，它建立在传输介质上，利用物理传输介质为数据链路层提供物理连接。物理层的主要功能是在物理介质上传输二进制数据比特流；提供为建立、维护和撤除物理连接所需的机械、电气和规程方面的特性。编辑ppt开放系统互连参考模型5OSI参考模型各层功能数据链路层〔DataLinkLayer〕在物理层传送的比特流的根底上，数据链路层负责建立相邻节点之间的数据链路，提供节点之间的可靠的数据传输。这一层将接收到的二进制数据流封装成帧〔包含目的地址、源地址、数据段以及其他控制信息〕，然后按顺序传输帧，并负责处理接收端发回确实认帧的信息。另外，数据链路层还具有流量控制和检错功能。编辑ppt开放系统互连参考模型5OSI参考模型各层功能网络层〔NetworkLayer〕数据在网络层被转换为数据分组，然后通过路径选择、流量、过失、顺序、进/出路由等控制，将数据从物理连接的一端传送到另一端，并负责点到点之间通信联系的建立、维护和结束。它通过执行路由算法，为分组通过通信子网选择最适当的路径，还要执行拥塞控制与网络互连等功能，是OSI参考模型中最复杂的一层。编辑ppt开放系统互连参考模型5OSI参考模型各层功能传输层〔TransportLayer〕传输层是面向应用的高层和与网络有关的低层协议之间的接口，其下三层与数据传输有关，其上三层与应用有关。传输层提供在不同系统间数据传输效劳，在网内两实体间建立端到端通信信道，提供两端点之间的可靠、透明数据传输；执行端到端过失检测和恢复，顺序控制和流量控制功能，并管理多路复用。编辑ppt开放系统互连参考模型5OSI参考模型各层功能会话层〔SessionLayer〕会话层负责控制每一网络节点究竟什么时间可以传送与接收数据，为不同用户提供建立会话关系，并对会话进行有效管理。例如，当许多用户同时收发信息时，该层主要控制、决定何时发送或接收信息，才不会有“碰撞〞发生。编辑ppt2.2开放系统互连参考模型5OSI参考模型各层功能表示层〔PresentationLayer〕表示层是为了在不同系统之间的不同信息表示能够相互理解对方数据的含义以便进行通信而设置的，它负责将数据转换为发送方和接收方都能识别的格式。另外，表示层还负责诸如数据压缩和恢复、加密和解密等效劳。编辑ppt2.2开放系统互连参考模型5OSI参考模型各层功能应用层〔ApplicationLayer〕应用层是OSI参考模型的最高层，它与用户直接联系，负责网络中应用程序与网络操作系统之间的联系。监督并且管理相互连接起来的应用系统以及所使用的应用资源。例如为用户提供各种效劳，包括文件传输、远程登录、电子邮件及网络管理等。编辑ppt6、实例：

七层实例应用层比如HTTP协议ftp、DNS等表示层比如一些文件格式mp3avi会话层应该是窗口程序传输层TCP网络层IP数据链路层802.3以太网标准物理层网卡rj45插头等等编辑pptTCP/IP体系结构OSI参考模型试图到达一种理想境界，即全世界的计算机网络都遵循这统一的标准，所有的计算机都能方便的互连和交换数据，然而由于OSI标准制定周期长、协议实现过分复杂及OSI的层次划分不太合理等原因。当到了20世纪90年代初期，虽然整套的OSI标准都已制定出来，但当时的Internet在全世界的范围形成规模，因此网络体系结构得到广泛应用的并不是国际标准的OSI，而是应用在Internet上的非国际标准的TCP/IP体系结构。编辑pptTCP/IP体系结构1TCP/IP与OSI体系结构的对照关系编辑pptTCP/IP体系结构2TCP/IP参考模型各层功能主机至网络层(网络访问层〕主机至网络层〔网络接口层〕是TCP/IP模型的最低层。它负责网际层与硬件设备间的联系，指出主机必须使用某种协议与网络相连。网际层它是整个体系结构的关键局部，网际层的功能就是把IP分组发送到它应该去的地方，分组路由和防止拥塞是网际层主要解决的问题。网际层使用的主要协议是IP协议。编辑pptTCP/IP体系结构2TCP/IP参考模型各层功能传输层〔主机—主机层〕传输层解决的是“端到端〞的通信问题。它的功能是使源端和目的端主机上的对等实体可以进行会话，和OSI的传输层一样，传输层定义了两个端到端的协议。第一个是传输控制协议TCP，它是一个面向连接的协议，允许从一台机器发出的字节流无过失地发往互联网上的其他机器。第二个协议是用户数据报协议UDP，它是一个不可靠的、无连接协议。编辑pptTCP/IP体系结构2TCP/IP参考模型各层功能应用层应用层提供一组常用的应用程序给用户，应用程序和传输层协议相配合，完成发送或接收数据。每个应用程序都有自己的数据格式，它可以是一系列报文或字节流，但不管采用哪种格式，都要将数据传送给传输层以便交换。应用层包含所有的高层协议，如文件传输协议FTP、电子邮件协议SMTP、超文本传输协议HTTP等。编辑pptTCP/IP体系结构3、IP地址在以TCP/IP为通信协议的网络上，每台主机都有唯一的IP地址，IP地址用来唯一标示一台主机，也隐含着网络间的路径信息。IP地址共占用32个位，一般是以4个十进制数来表示，每个数字称为一个字节，字节与字节之间用点隔开，例如：，因为在TCP/IP网络上是利用IP地址来标示每一台主机，每一台主机都必须拥有唯一的IP地址。编辑ppt类网络号主机号W取值支持网络数每个网络支持主机数AWX.Y.Z1-12612616,777,214BW.XY.Z128-1911638465,534CW.X.YZ192-2232,097,152254D224-239E240-254编辑pptA~55

B~55

C~55

D~55

E~520网络地址主机地址10网络地址主机地址110网络地址主机地址1110组播地址11110保留编辑ppt计算机局域网协议从总体上看，局域网协议较为简单，一般仅有二层或三层。物理层与OSI定义的类似，国际标准化组织已经对物理介质、附属设备和层间接口做了定义说明。由于局域网多采用播送通信技术，需要很好地解决信道争用问题，故数据链路层的一些细节问题与OSI定义的不同。OSI的网络层主要解决路径选择问题，而局域网没有路由问题，一个节点发出的信息其他节点都可以收到，所以局域网一般不设该层，OSI网络层的其他功能合并到数据链路层。对于第四到第七层，局域网系统没有明确的定义，故高层仍用OSI的协议标准，多把其他高层作为一层来处理。编辑ppt计算机局域网协议1IEEE802标准简介在ISO/OSI参考模型中，其低三层协议是依赖具体网络的，计算机局域网是一种具体的网络，共享信道是它的特性。遵循ISO/OSI参考模型的原那么，IEEE802系列标准协议主要解决局域网低三层的功能，其对应的LAN/RM如以下图所示。网际层LLC子层MAC子层物理层编辑ppt计算机局域网协议1IEEE802标准简介在ISO/OSI参考模型中，数据链路层的功能简单，它只负责把数据从一个节点可靠地传输到相邻的节点。但在局域网中，多个站点共享传输介质，在节点间传输数据之前必须首先解决由哪个设备使用传输介质，因此数据链路层要有介质访问控制功能。由于介质的多样性，所以必须提供多种介质访问控制方法。为此IEEE802标准把数据链路层划分为两个子层：逻辑链路控制〔LLC〕子层和介质访问控制〔MAC〕子层。LLC子层负责向网际层提供效劳，它提供的主要功能是寻址、过失控制和流量控制等；MAC子层的主要功能是控制对传输介质的访问，不同类型的LAN，需要采用不同的控制法。并且在发送数据时负责把数据组装成带有地址和过失校验段的帧，在接收数据时负责把帧拆封，执行地址识别和过失校验。编辑ppt计算机局域网协议2IEEE802标准系列对于使用不同传输介质的不同局域网，IEEE局域网标准委员会分别制定了不同的标准，适用于不同的网络环境，这些标准如下表所示。

编辑ppt计算机局域网协议3IEEE802标准与OSI参考模型之间的关系编辑ppt网络平安系统案例主要内容网络体系结构的根本概念开放系统互连参考模型TCP/IP体系结构计算机局域网协议编辑ppt概述1根底设施的平安根底设施的平安主要指：保障网络系统的计算机设备、系统软件平台、网络环境能够无故障运行、不受外部入侵和破坏。这个层次，主要针对系统的信息根底设施，与计算机、网络等系统环境的关系更为密切，与企业的商务活动的联系较少。2交易的平安交易的平安那么是指通过一系列的措施保证交易过程的真实可靠、完整、不可否认和机密。与根底设施平安相比，交易平安更侧重于交易过程。编辑ppt根底设施的平安〔1〕计算机主机系统平安双机备份、容错系统、集群〔cluster〕结构以及高性能系统HA〔HighAvailability〕〔2〕数据库及存储设备平安采用灾难恢复技术、SAN、RAID技术等〔3〕操作系统平安〔4〕网络环境平安防止网络的非授权访问、减少网络故障编辑ppt交易的平安根底设施的平安是电子交易平安的根底交易的平安是信息根底设施平安的延伸在设计系统的平安系统时，应当从根底设施和交易两个层次出发，不能偏废更多的威胁是来自电子商务企业的内部,考虑相关的平安策略、平安管理问题编辑ppt系统的平安要求1平安要求平安问题主要是对方是否是存在的、真实的，购置过程中一些隐私性的数据〔例如个人信用卡密码等〕是否存在泄漏的风险，企业的效劳器是否会受到攻击而瘫痪等等2系统的平安威胁与防范技术1.系统的平安威胁2．系统的平安防范技术编辑ppt平安要求1.交易的真实性2.交易的保密性3.交易的完整性4.不可抵赖性编辑ppt平安要求InternetWebSVRCGI、JSP、EJB等应用数据库客户端认证/授权/审查隐私/完整性隐私/完整性认证防抵赖加密、电子信封等电子签字、电子证章等电子认证、加密、电子签字等图9-1：系统的一般安全问题及技术对策编辑ppt系统的平安威胁与防范技术系统的平安威胁〔1〕计算机网络的平安威胁1〕针对计算机系统网络层的攻击和入侵2〕针对计算机系统层的攻击和入侵3)针对计算机系统数据库层的攻击和入侵4)针对计算机系统应用层的攻击和入侵〔2〕交易的平安威胁1〕信息窃取2〕信息篡改3〕身份假冒4〕交易的否认编辑ppt系统的平安威胁与防范技术系统的平安防范技术黑客攻击电子商务系统的手段选择攻击的目标发现网络与计算机系统的漏洞入侵系统，获得系统的控制权限禁用系统审计功能，更改系统的日志，以防止遗留线索盗取文件，篡改系统的数据或者其他有价值的信息安装系统的后门〔BackGate〕、特洛伊木马，以便能够再次入侵而不被发现返回再次破坏编辑ppt系统的平安威胁与防范技术平安防范技术1、加密技术2、密钥管理技术3、数字签名技术4、入侵检测与防范技术5、风险评估技术6、身份认证技术7、病毒防治技术编辑pptISO的平安体系结构与系统的平安体系OSI规定了5种标准的平安效劳对象认证平安效劳访问控制效劳数据保密效劳数据完整性效劳防抵赖平安效劳编辑pptISO的平安体系结构与系统的平安体系OSI的平安机制和平安效劳编辑ppt平安子系统的设计平安子系统的框架结构平安策略平安管理编辑ppt平安子系统的框架结构网络结构安全网络安全物理安全操作系统安全数据库安全应用安全和数据安全安全策略通讯安全用户认证管理安全管理编辑ppt平安策略系统的平安策略平安策略是信息平安的核心，也是整个信息平安建设的依据，平安策略为平安管理提供管理方向和支持手段，建立电子商务系统的策略体系的应包括：平安策略的制订、平安策略的评估、平安策略的执行等方面。平安策略的主要内容平安策略的制定方法编辑ppt平安策略平安策略的主要内容〔1〕制定有效、全面的平安管理标准以减少操作或效劳中可能的平安威胁；〔2〕预防和防止可能的对计算机网络和商务交易过程的攻击；〔3〕减少计算机网络和商务交易中可能存在的平安威胁；〔4〕加强计算机网络和商务交易本身抗攻击和入侵的能力；〔5〕实时的监测；〔6〕实时的恢复；〔7〕减少可能的入侵影响。编辑ppt4.2平安策略平安策略的制定方法(1)进行平安需求分析(2)对网络系统资源进行评估(3)对可能存在的风险进行分析(4)确定内部信息对外开放的种类及发布方式和访问方式(5)明确网络系统管理人员的责任和义务(6)确定针对潜在风险采取的平安保护措施、管理制度编辑ppt4.2平安策略编辑ppt平安管理平安管理的主要内容平安管理是实现电子商务系统信息平安的落实手段，也是一项技术性强、涉及面广的管理工作。其主要内容包括：人事管理、设备管理、场地管理、存储设施管理、软件管理、网络管理和密码、密钥管理。平安管理的根本原那么平安管理的应急处理编辑ppt平安管理平安管理的根本原那么〔1〕标准原那么〔2〕预防原那么〔3〕选用成熟技术原那么〔4〕系统化原那么〔5〕分权制约原那么〔6〕应急原那么〔7〕灾难恢复原那么编辑ppt平安管理平安管理的应急处理〔1〕分析判断〔2〕入侵或攻击的终止〔3〕记录和备份〔4〕恢复〔5〕定位〔6〕汇报编辑ppt平安技术防火墙与网络平安设计信息加密技术数字签名PKI技术与认证IPSec的平安体系编辑ppt防火墙与网络平安设计防火墙的根本概念防火墙是访问控制技术的一种，其目的是通过控制网络资源的存取权限，保障计算机网络、计算机主机和数据的合法访问。国标GB/T18019-1999指出：“防火墙的目的是在内部、外部两个网络之间建立一个平安控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的效劳和访问的审计和控制〞。防火墙的应用设计编辑ppt防火墙的根本概念防火墙概念防火墙是借用了建筑学上的一个术语，本意是用来防止大火从建筑物的一局部蔓延到另一局部而设立的阻挡设施。防火墙是一种平安防范技术，包括访问控制机制、平安策略和防入侵策略。防火墙的功能防火墙的分类编辑ppt防火墙的根本概念编辑ppt防火墙的根本概念防火墙的功能〔1〕包过滤〔2〕网络地址翻译〔3〕身份认证〔4〕构造虚拟专用网编辑ppt防火墙的根本概念防火墙的分类〔1〕包过滤型防火墙〔2〕应用级代理〔3〕混合型防火墙编辑ppt防火墙的应用设计防火墙的设计过程防火墙的平安要求防火墙的选择编辑ppt防火墙的应用设计防火墙的设计过程〔1〕决定防火墙的类型和拓朴结构〔2〕制定平安策略〔3〕确定包过滤规那么〔4〕设计代理效劳〔5〕严格定义功能模块并使其分布〔6〕制定防火墙维护和管理方案编辑ppt防火墙的应用设计防火墙的平安要求〔1〕防火墙应由多个构件组成〔2〕防火墙应能抵抗网络“黑客〞的攻击〔3〕防火墙一旦失效、重启动或崩溃，那么应完全阻断内、外部网络站点的连接〔4〕防火墙应提供强认证效劳〔5〕防火墙对内部网络应起到屏蔽作用编辑ppt防火墙的应用设计防火墙的选择〔1〕防火墙的管理难易度〔2〕防火墙自身的平安性〔3〕防火墙的软件功能及执行效率〔4〕防火墙的技术支持编辑ppt信息加密技术信息加密技术加密技术就是采用数学方法对原始信息进行再组织，使得加密后的信息内容对于非法接收者来说成为无意