当前位置:文档之家 › 安全体系结构

安全体系结构

  • 格式:ppt
  • 大小:129.50 KB
  • 文档页数:25

下载文档原格式

  / 25

合集下载

第1讲 概论-(2)OSI安全体系结构

第1讲 概论-(2)OSI安全体系结构
Attack
An assault on system security that derives from an intelligent threat. That is, an intelligent act that is a deliberate attempt (especially in the sense of a method or technique) to evade security services and violate the security policy of a system.
网络备份系 统
网络反病毒
内外网隔离 及访问控制
系统
加强网 络安全 的措施
网络安全检 测
审计与监控
内部网不同 网络安全域 的隔离及访
问控制
网络与信息安全
13
网络与信息安全
14
网络与信息安全
4
NIS的另一种层次结构
安全服务
安全控制
物理安全
网络与信息安全
5
物理安全
• 指在物理介质层次上对存储和传输的网络信息的 安全保护。物理安全是网络信息安全的最基本保 障。
• 该层次上常见的不安全因素包括三大类:
(1) 自然灾害
(2) 电磁辐射
(3) 操作失误
网络与信息安全
6
安全控制
指在网络信息系统中对存储和传输信息的操作和进程进行控制和管理, 重点是在网络信息处理层次上对信息进行初步的安全保护。
安全控制可以分为以下三个层次:
(1) 操作系统的安全控制。包括对用户的合法身份进行核实(比如,开机时要求键入 口令)和对文件的读/写存取的控制( 比如,文件属性控制机制)等。
2

第5章安全体系结构

第5章安全体系结构

图5-1安全机制设置的位置第 5章 安全体系结构5.1 系统安全体系结构5.1.1 可信系统体系结构概述图5-1 安全机制设置的位置图5-2 安全机制复杂性和安全保障的关系5.1.2定义主体和客体的子集5.1.3可信计算基5.1.4安全边界图5-3 可信部件和非可信部件间通信的接口控制5.1.5 基准监控器和安全内核5.1.6 安全域图5-4 可信级和安全域的关系5.1.7资源隔离5.1.8安全策略5.1.9最小特权5.1.10分层、数据隐蔽和抽象5.2网络安全体系结构5.2.1 不同层次的安全5.2.2网络体系结构的观点图5-5 网络体系结构不同层次的安全防护5.3OSI 安全体系结构5.3.1OSI 安全体系结构的 5 类安全服务 1. 鉴别2. 访问控制3. 数据机密性4. 数据完整性5. 抗否认5.3.2OSI 安全体系结构的安全机制1. 特定的安全机制2. 普遍性安全机制5.3.3 三维信息系统安全体系结构框架 图 5-6 信息系统安全体系结构框架5.4 I SO/IEC 网络安全体系结构5.4.1ISO/IEC 安全体系结构参考模型 1. 安全维2.安全层图5-7 安全维应用到安全层3.安全面图5-8 反映不同网络活动类型的安全面5.4.2 安全体系结构参考模型的应用表5・3应用安全维到基础设施安全层、最终用户安全面模块1:基础设施安全层、管理安全面表5・2应用安全维到基础设施安全层.控制安全面模块2:基础设施安全层、控制安全面续表表5・4应用安全维到服务安全层、管理安全面模块4:服务安全层、管理安全面表5・3应用安全维到基础设施安全层、最终用户安全面模块4:服务安全层、管理安全面表5・5应用安全维到服务安全层.控制安全面表5・6应用安全维到服务安全层、最终用户安全面表5・7应用安全维到应用安全层、管理安全面模块7:应用安全层、符理安全面续表表5・8应用安全维到应用安全层.控制安全面5.5本章小结习题1. 下面是几种对TCB 的描述,正确的是()A.来自橘皮书,和固件有关B.来自橘皮书,由操作系统实施的安全机制C.来自橘皮书,是系统的保护机制D.在安全环境中系统描述安全机制的级别2.下面()的存储提供最高安全。

OSI安全体系结构

OSI安全体系结构
对付主动攻击的主要方法是检测攻击,然后设法从攻 击造成的破坏中恢复。
1.2 安全服务
鉴别:证实通信过程涉及的另一方确实具有他们所声称的 身份,确保通信是可信的。
对等实体鉴别:在连接建立及数据传输阶段对对等实体的身份进 行证实。 数据起源鉴别:在通信实体之间没有预先交互的应用中提供对消 息起源的证实。
安全服务(续)
数据完整性:令接收方确信收到的消息与最初发出的消息 是完全一样的。
有恢复机制的连接完整性:提供对一个连接上所有用户数据的完 整性保护,并试图从数据完整性被破坏的状态中恢复。 无恢复机制的连接完整性:提供对一个连接上所有用户数据的完 整性保护,没有恢复措施。 选择域连接完整性:提供对一个连接上用户数据中某些域的完整 性保护。 无连接完整性:提供对一个无连接数据块的完整性保护。 选择域无连接完整性:提供对一个无连接数据块中某些域的完整 性保护。
安全服务和安全机制之间的关系
攻攻
攻攻 攻攻
攻攻 攻攻
攻攻 攻攻 攻攻 攻攻 攻攻攻 攻攻
攻攻 攻攻
攻攻 攻攻
攻攻
攻攻攻攻攻攻
√√

攻攻攻攻攻攻
√√
攻攻攻攻

攻攻攻


攻攻攻攻攻攻攻 √
√√
攻攻攻攻攻
√√

攻攻攻攻攻



攻攻攻
√√
安全机制(续)
普遍安全机制,不限于特定的安全服务或协议层 次:
可信功能性:根据某个安全标准被认为是正确的功能。 安全标签:与资源绑定、用于指定该资源安全属性的一 个标记。 事件检测:安全相关事件的检测。 安全审计:对系统记录和行为进行独立回顾和检查。 安全恢复:处理来自安全机制的请求,并采取恢复行动。

安全体系结构与模型

安全体系结构与模型

04
安全体系结构的重要性
满足法律法规和行业标准的要求
保护信息系统免受攻击和破坏
确保数据的完整性、机密性和可用性
05
提高组织的竞争力和信誉度
06
保障业务连续性和可持续发展
降低安全风险和损失
安全体系结构的设计原则
完整性:确保系统数据的完整性和可靠性
1
机密性:保护系统数据的机密性和隐私性
2
可用性:确保系统在需要时能够正常使用
演讲人
安全体系结构与模型
目录
01
安全体系结构的概念
02
安全模型的分类
03
安全模型的设计方法
04
安全模型的应用案例
安全体系结构的概念
安全体系结构的定义
安全体系结构是一种系统的、整体的安全设计方法
01
旨在保护信息系统免受各种威胁和攻击
02
包括物理安全、网络安全、系统安全、应用安全等多个方面
03
安全体系结构需要根据具体的业务需求和安全目标进行设计和实施
应用安全:保护应用程序和系统免受恶意软件和漏洞的威胁
云安全:保护云计算环境和数据免受攻击和泄露
物联网安全:保护物联网设备和系统免受攻击和破坏
移动安全:保护移动设备和应用程序免受攻击和泄露
工业控制系统安全:保护工业控制系统和设备免受攻击和破坏
安全合规:确保组织遵守相关法规和标准,降低法律风险
安全审计:评估和改进组织的安全状况,降低安全风险
设计安全策略:制定相应的安全策略和措施
实施安全措施:按照安全策略实施相应的安全措施
测试和评估:对安全模型进行测试和评估,确保其有效性和可靠性
维护和更新:定期对安全模型进行维护和更新,以适应不断变化的安全形势

信息安全体系结构概述

信息安全体系结构概述

信息安全体系结构概述信息安全体系结构通常包括以下几个关键组成部分:1. 策略和规程:包括制定和执行信息安全政策、安全规程、控制措施和程序,以确保组织内部对信息安全的重视和执行。

2. 风险管理:包括风险评估、威胁分析和安全漏洞管理,以识别和减轻潜在的安全风险。

3. 身份和访问管理:包括身份认证、授权和审计,确保只有授权的用户才能访问和操作组织的信息系统。

4. 安全基础设施:包括网络安全、终端安全、数据加密和恶意软件防护,以提供全方位的信息安全保护。

5. 安全监控和响应:包括实时监控、安全事件管理和安全事件响应,以保持对信息安全事件的感知和及时响应。

信息安全体系结构的设计和实施需要根据组织的特定需求和风险状况进行定制,以确保信息安全控制措施的有效性和适用性。

同时,信息安全体系结构也需要不断地进行评估和改进,以适应不断变化的安全威胁和技术环境。

通过建立健全的信息安全体系结构,组织可以有效地保护其信息资产,确保业务的连续性和稳定性。

信息安全体系结构是一个综合性的框架,涵盖了组织内部的信息安全管理、技术实施和持续改进,以保护组织的信息资产不受到未经授权的访问、使用、泄露、干扰或破坏。

下面我们将深入探讨信息安全体系结构的各个关键组成部分。

首先是策略和规程。

信息安全体系结构的基础是明确的信息安全政策和安全规程。

具体来说,信息安全政策应当包括对信息安全意识的要求、信息安全的目标和范围、信息安全管理的组织结构和沟通机制、信息安全责任和权限的分配、信息安全培训和监督制度,以及信息安全政策的制定、执行、检查、改进和审查的一系列管理程序。

涉及敏感信息资产的操作程序和应急响应机制,应当被明确规定。

其次是风险管理。

风险是信息系统安全的关键问题之一。

风险管理主要包括风险评估、威胁分析和安全漏洞管理。

通过对信息系统进行风险评估和威胁分析,可以评估信息系统的脆弱性,找出哪些方面具有较大的风险,并将重点放在这些方面,进行防护措施。

计算机网络安全体系结构

计算机网络安全体系结构

计算机网络安全体系结构计算机网络安全体系结构是指通过一系列的技术和措施来保护计算机网络系统及其相关资源的安全性。

它由多个层次和组件组成,包括网络边界防御、入侵检测与防御、身份认证与访问控制、安全监控与响应等。

首先,网络边界防御是计算机网络安全体系结构的第一层防线。

它通过防火墙、入侵检测与防御系统、反病毒软件等技术来监测和过滤网络入口和出口的数据流量,以防止未经授权的访问和恶意攻击。

它可以识别并封锁来自外部的恶意攻击,比如DDoS攻击、端口扫描等,以保护网络的可用性和完整性。

其次,入侵检测与防御是计算机网络安全体系结构的关键组成部分。

它通过实时监视网络通信和系统行为,检测并阻止潜在的入侵者。

入侵检测系统(IDS)通过分析网络数据包和系统日志,识别和报警可能的攻击行为。

入侵防御系统(IPS)则可以实施主动的防御措施,比如阻断攻击者的IP地址、更新规则,以及强化系统的安全设置等。

身份认证与访问控制是计算机网络安全体系结构的基础。

它确保只有经过授权的用户可以访问网络和敏感信息。

这包括用户身份验证、访问控制列表(ACL)、加密和数字签名等技术。

通过使用强密码、多因素身份验证和访问权限管理,可以最大程度地减少未经授权的访问,确保网络的机密性和可靠性。

最后,安全监控与响应是计算机网络安全体系结构的关键环节。

它包括网络日志记录、安全事件管理、安全漏洞管理等。

通过实时监控网络活动和异常行为,及时发现并应对潜在的威胁。

安全事件响应系统则负责及时处置和恢复网络系统的安全性,保护网络和系统免受损害。

总结起来,计算机网络安全体系结构是一个多层次、多组件的系统,通过网络边界防御、入侵检测与防御、身份认证与访问控制以及安全监控与响应等技术和措施,保护计算机网络系统及其相关资源的安全性。

这个体系结构能够提供全面的保护,确保网络的可用性、完整性和机密性,防止非法入侵和数据泄露,维护网络的安全和稳定运行。

企业网络安全体系结构

企业网络安全体系结构
1 企业网络安全体系结构
企业网络安全体系结构是由网络架构、安全技术、安全策略等三
要素构成的,是企业网络安全的基础。

主要功能是提供企业网络系统
的安全保障,有效控制网络安全风险,减少安全威胁,保障企业知识
资产的安全。

1.1 网络架构
网络架构是网络安全体系结构的基础,也是网络安全保护的重要
一环。

网络架构的主要作用是将网络系统的资源划分为不同的网段,
提高了安全性。

同时能够将网络架构与安全技术、安全策略结合起来,实现网络安全和访问控制。

1.2 安全技术
安全技术是网络安全体系结构中制约网络安全的重要要素。

主要
功能是实现网络安全,企业可以采用防火墙、反恶意软件、VPN等安全技术,保障网络安全。

此外,还可以采用数据安全技术,在传输和储
存数据时也要进行安全保护。

1.3 安全策略
安全策略是实现网络安全的重要组成部分,它是一套系统的非技
术性原则,旨在保护企业网络安全环境。

明确了网络安全策略后,可
以明确企业收发信息责任、网络安全相关责任分工等,确保网络安全
政策的执行。

另外,还可以采用安全认证、数据安全、设备安全等策略,实现网络安全。

以上是企业网络安全体系结构的主要内容,由网络架构、安全技术、安全策略三要素构成的相互协作的安全实现策略,为企业提供持续、安全的网络环境。

因此,企业要把握好网络安全体系结构,针对各部位加强安全管理,保证企业网络安全。

安全体系结构与模型


验证安全模型:对安全模型进行测 0 5 试和验证,确保其有效性和可靠性
实施安全模型:将安全模型应用于 0 6 实际环境中,确保安全目标的实现
安全模型的设计要素
安全目标:明确安全模型的设计目 标,如保护数据、系统、网络等
安全策略:制定安全策略,如访问 控制、加密、身份认证等
安全机制:选择合适的安全机制,如 防火墙、入侵检测系统、加密算法等
谢谢
01 案例一:某企业采用
安全模型进行网络安 全防护,成功抵御了 黑客攻击。
03 案例三:某金融机构
采用安全模型进行风 险管理,成功降低了 风险敞口。
02 案例二:某政府机构
采用安全模型进行数 据保护,成功防止了 数据泄露。
04 案例四:某互联网公
司采用安全模型进行 用户隐私保护,成功 保障了用户隐私。
04
基于信任的访问控制 模型(TBAC):根据 用户信任关系分配权 限
06
基于身份的访问控制 模型(IBAC):根据 用户身份分配权限
安全模型的应用场景
01
防火墙模型:用于保护内部 网络免受外部攻击
03
访问控制模型:用于控制和 限制对资源的访问
05
安全协议模型:用于保障通 信的安全性和可靠性
02
入侵检测系统模型:用于检 测和响应网络攻击
03 提高安全投资效益:安全体系结构能够提高安 全投资的效益,降低安全成本。
04 满足合规要求:安全体系结构能够满足各种合规 要求,如ISO27001等,降低企业的法律风险。
安全体系结构的设计原则
1
完整性:确保系统的完整性,防止未
经授权的修改和破坏。
2
可靠性:确保系统的可靠性,防止系
统故障和数据丢失。

安全架构体系

安全架构体系随着信息技术的迅猛发展和互联网的广泛应用,信息安全问题日益凸显,成为企业、政府和个人必须面对的重大挑战。

安全架构体系作为信息安全的核心组成部分,其设计和实施对于保障信息系统的机密性、完整性和可用性至关重要。

本文将对安全架构体系进行深入探讨,旨在为读者提供一套全面、系统的信息安全解决方案。

一、安全架构体系概述安全架构体系是指为了保障信息系统的安全而设计的一套完整的框架和结构,包括安全策略、安全技术、安全管理等多个方面。

它通过对信息系统的各个层面进行细致的分析和规划,构建出一套科学、合理的安全防护体系,确保信息系统在遭受各种攻击时能够迅速响应、有效抵御。

二、安全架构体系的设计原则1. 全面性原则:安全架构体系应覆盖信息系统的所有层面,包括物理层、网络层、系统层、应用层和数据层等,确保各个层面都得到有效的保护。

2. 分层防御原则:通过在不同层面部署多种安全机制和措施,形成多层次的防御体系,提高系统的整体安全防护能力。

3. 动态适应原则:安全架构体系应具备动态适应的能力,能够根据安全威胁的变化及时调整防御策略,确保系统的持续安全。

4. 最小权限原则:为每个用户和系统组件分配最小必要的权限,减少潜在的安全风险。

5. 深度防御原则:通过部署多种安全机制和措施,实现对信息系统的深度防御,提高系统的抗攻击能力。

三、安全架构体系的组成要素1. 物理安全:物理安全是信息安全的基础,主要包括机房安全、设备安全、线路安全等方面。

通过采用物理访问控制、视频监控、环境监控等手段,确保信息系统的物理环境安全。

2. 网络安全:网络安全是信息安全的重要组成部分,主要包括网络拓扑结构设计、访问控制、入侵检测与防御、网络隔离等方面。

通过部署防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)等设备,实现对网络的安全防护。

3. 系统安全:系统安全主要关注操作系统、数据库等系统软件的安全。

通过采用安全加固、漏洞扫描、补丁管理等手段,提高系统的安全性和稳定性。

计算机网络安全体系结构

计算机网络安全体系结构计算机网络安全体系结构是指在计算机网络中,为了保护网络系统和信息不受未经授权的访问、破坏和篡改等威胁而采取的一系列安全措施和安全机制的整体架构。

计算机网络安全体系结构分为三个层次:网络层、主机层和应用层。

网络层主要负责网络边界的安全,包括网络入口、出口的流量控制和数据包过滤等。

网络层安全的主要机制有防火墙、入侵检测和入侵防御系统等。

防火墙是网络边界的安全防御系统,通过设置访问控制规则,对进出网络的数据进行检查和过滤,可以阻止未经授权的访问和攻击。

入侵检测系统可以监测网络中的异常流量和攻击行为,并及时做出响应。

入侵防御系统则更加主动地进行攻击防御和响应。

主机层主要负责保护计算机主机的安全,包括操作系统和基础软件的安全。

主机层安全的主要机制有访问控制、身份认证和安全配置等。

访问控制是限制用户对主机资源的访问权限,通过用户账号和密码来进行认证。

身份认证是确保用户的身份真实可信的过程,可以采用密码、数字证书、生物特征等不同的方式进行认证。

安全配置是对主机的各种安全设置进行调整和优化,包括关闭不必要的服务、增强密码策略、更新操作系统和软件补丁等。

应用层主要负责应用程序和网络服务的安全,包括电子邮件、Web浏览、即时通讯等。

应用层安全的主要机制有加密、身份验证和访问控制等。

加密是将数据转化为密文的过程,通过使用加密算法和密钥来防止数据在传输过程中被窃取和篡改。

身份验证是确保用户的身份真实可信的过程,可以采用用户名和密码、数字证书、多因素认证等方式进行验证。

访问控制是限制用户对网络服务的访问权限,可以通过访问控制列表、访问令牌等方式进行控制。

总体来说,计算机网络安全体系结构是为了保护网络系统和信息不受未经授权的访问、破坏和篡改等威胁而采取的一系列安全措施和安全机制的整体架构。

它包括网络层、主机层和应用层三个层次,通过防火墙、入侵检测和入侵防御系统、访问控制、身份认证、加密等机制来保障网络的安全。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

3. 安全服务与安全机制的关系
表 3-1 安全服务与安全机制的关系 机制 服务 对等实体认证 数据源认证 存取控制服务 基于连接的保密 基于数据单元的保密 基于数据字段的保密 基于业务流的保密 基于连接的完整性服务 基于数据单元的完整性服务 基于数据字段的完整性服务 拒绝数据源端否认 拒绝数据接收方否认 Y-该机制可以支持对应服务 Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y 加密 机制 Y Y 数字 签名 Y Y Y Y Y 访问 控制 完整 性 交换 鉴别 Y 流量 填充 路由 控制 公证 机制
3.2 计算机网络安全体系结构分层原则
分层原则是基于对安全服务的配置,应遵循下列原则: · 实现一种服务的方法尽可能统一; · 安全服务系统可以跨层组建; · 安全所需的附加功能尽力避免重复OSI的现有功能; · 避免破坏层的独立性; · 安全服务系统中可信功能的总量应尽量少; · 当安全服务系统中的某实体依赖于较低层提供的安全机制时任何中 间层应该按不违反安全的方式构建; · 一个层的附加安全功能尽可能定义在本层内; · 一种特定的安全服务如果被认为在不同层上对总的通信安全的影 响是不同的,便可以在多个层上提供。
3.1.2 网络安全
网络安全即网络通信安全。网络通信安 全就是满足信息在网络中传输时的安全需求, 这种需求是基于信息的安全属性:保密性、 完整性、可用性和可控性等,是系统级安全 策略的重要执行环节。 从网络通信功能看,安全是对通常的网 络通信服务的性能或质量要求。建立网络通 信安全服务就是协助通常网络通信服务,实 现通信安全保障功能。而安全功能的实现是 通过相应的安全机制。
1. 安全服务
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
互连的物理介质
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
身份认证 访问控制 数据保密 数据完整 防止否认 端到端的加密 防火墙,IP加密信道 点到点链路加密 安全物理信道
图3.2 网络安全服务层次模型
2. 安全机制
方案。 系统层 应用层 管理层 通过使用网络防病毒、 漏洞检测, 入侵检测技术对网络安全进行扫描、 监视及相 关系统安全策略制定提供安全解决方案。 通过使用网站监控与恢复技术及相关应用安全策略的制定提供安全解决方案。 通过网络审计、 数据恢复技术、 制定完整管理层面的管理规范和措施提供安全解 决方案。
1.加密机制(Encryption mechanisms) 2.数字签名机制(Digital signature mechanisms) 3.访问控制机制(Access control mechanisms) 4.数据完整性机制(Data integrity mechanisms) 5.认证机制(Authentications mechanisms) 6.通信业务填充(防业务流分析)机制(Traffic padding mechanisms) 7.路由控制机制(Routing control mechanisms) 8.公证机制(Notarization mechanisms)
3.4.3 典型系统访问控制策略
1. 自主访问控制策略 安全系统应定义和控制信息系统中已命名用户对已命名客体(如文件和程序)的访问。 2. 客体重用 在安全系统的未使用存储器体空间中,对客体初始指定、分配或再分配一个主体之前,应废 除客体所含信息的所有授权。 3. 标号 安全系统维护与可被外部主体直接或间接访问的计算机信息系统资源(如主体、存储客体、 ROM)相关的敏感标号。 4. 标号的完整性 敏感标号应能准确地表示特定主体或客体的安全等级,主体和客体应以此发生关联。 5. 主体敏感标号 在终端用户交互对话期内,与该用户有关的安全等级的各种变化安全系统应立即通知该用户。 6. 设备标号 对各种附加物理设备,安全系统应能支持最小和最大安全等级的分配。 7. 强制访问控制 安全系统应对外部主体能够直接或间接访问的所有资源(如主体、I/O设备以及存储器客体) 实施强制访问控制策略。
注 : Y— — 服 务 应 该 作 为 提 供 者 的 一 种 选 项 被 并 进 人 该 层 的 标 准 之 中 。 ×——不适宜提供。
3.4 网络安全制定策略
安全策略是为发布、管理和保护敏感的信息资源而制定的一组法律、法规和 措施的总和,是对信息资源使用、管理规则的正式描述,是企业内所有成员都必 须遵守的规则。 1. 原则 安全策略的制定过程是一个循序渐进、不断完善的过程。 企业级安全策略可以从3个层而来考虑开发制定: (1)抽象安全策略它通常表现为一系列的用自然语言描述的文档 (2)全局自动安全策略它是抽象安全策略的子集和细化,指能够由计算机、路由器 等设备自动实施的安全措施的规则和约束。 (3)局部执行策略它是分布在终端系统、中继系统和应用系统中的全局自动安全策 略的子集,网络中所有实体局部执行策略的总和是全局自动安全策略的具体实施。 2. 安全策略内容 安全策略应该是一个详细的完备的指导方针,包含的内容有: (1)保护的内容和目标 (2)实施保护的方法 (3)明确的责任 (4)事件的处理
· 信息存储 · 信息交换 · 信息处理 · 存储与处理之间的调度 · 处理与交换之间的调度
信息网络安全 (2)
这里的两种调度就是信息存 取控制和信息交换控制。对 应的网络设施就是: · 信息交换系统 · 信息处理系统 · 存取控制系统 · 交换控制系统
信息 保密、完整 信息服务 可审计、抗抵赖 信息系统 可靠 图3.3 信息网络安全内涵
习 题
1. 什么是计算机网络安全体系结构?包括哪些 方面?每个方面有哪些内容? 2. 什么是安全服务?什么是安全机制? 3. 网络安全的原则是什么? 4. 安全服务与网络层次有什么样的对应关系? 5. 安全制定策略指什么?为什么要有安全 制定策略?安全策略的内容包括什么?
系统监察控制策略
网络管理员应对网络实施监控,服 务器应记录用户对网络资源的访问。对 非法的网络访问,服务器应以图形、文 字或声音等形式报警,以引起网络管理 员的注意。如果不法之徒试图进人网络, 网络服务器应会自动记录企图尝试进人 网络的次数,如果非法访问的次数达到 设定数值,那么该账户将被自动锁定。
信息安全主要内容
信息安全主要包括信息本身安全、信息系统安全和信息网络安全。 1. 信息本身安全 1)信息生成安全 2)信息存储安全 3)信息内容安全 4)信息传播安全 5)信息使用安全 6)信息修改安全 7)信息销毁安全 2. 信息系统安全 3. 信息网络安全 · 信息采集系统 · 信息存储系统 · 信息交换系统 · 信息处理系统 · 信息应用系统
3.3 网络各层对应的安全服务
一种安全服务是否在OSI模型的某层实现, 主要依据以下3点: · 参数要求:能否直接提供实现服务的机 制所需的参数; · 服务要求:该层协议数据单元是否需要 这种安全服务; · 效益要求:在该层实现这种服务的成本 和效益状况。
安全服务与服务层次的关系
表 3 -2 安 全 服 务 与 网 络 层 次 的 对 应 关 系 服 对等实体认证 数据源认证 访问控制服务 连接保密性 无连接保密性 选择字段保密性 通信业务流保密性 带恢复的连接完整性 不带恢复的连接完整性 选择字段连接完整性 选择字段无连接完整性 无连接完整性 拒绝源端抵赖 拒绝收方抵赖 务 层 应用层 Y Y Y Y Y Y Y Y Y Y Y Y Y Y 传输层 Y Y Y Y Y × × Y Y Y × Y × × 网络层 Y Y Y Y Y × Y × Y × × Y × × 链路层 × × × Y Y × × × × × × × × × 物理层 × × × Y × × Y × × × × × × ×
第3章 计算机网络安全体系结构
知识点: 知识点: 计算机网络安全体系结构 物理安全 网络安全 信息安全 管理安全 安全原则 安全策略
3.1 计算机网络安全体系结构
计算机网络安全的实现要依赖于网络协议。国际标准化组织(ISO) 提出了一个建议性标准(DIS7498—2,OSI参考模型第二部分:安 全性体系结构),ISO把它作为开放系统互联(OSI)标准的一部分。 在安全性方面,它可以提供重要的指导作用。DIS7498—2包括下 述内容: .重要安全性要点清单; .为组织提供安全性任务而给予帮助; .为实施者和购买者提供的指南; .标准化安全性实施的办法。 ISO的这一标准的两个根本目的是 的这一标准的两个根本目的是: ISO的这一标准的两个根本目的是 .为OSI各层提供安全性要点的功能分配,从而指导基于OSI标准的 改进。 .提供一个供应商和消费者都可以进行安全性评估的结构框架。
对于网络安全体系结构的内容,包括 4个层次:物理安全、网络安全、信息 安全和管理安全。
3.1.1 物理安全
物理安全是指用来保护计算机硬件和存储介质的装 置和工作程序 。 1. 防盗 2. 防火 3. 防水 4. 防静电 5.防雷击 6. 防电磁泄漏和电磁干扰 7. 存储媒介安全 8. 传输线路安全
系统访问控制策略
访问控制是网络安全防范和保护的主要策 略,它的主要任务是保证网络资源不被非法 使用。它也是维护网络系统安全、保护网络 资源的重要手段。各种安全策略必须相互配 合才能真正起到保护作用,但访问控制可以 说是保证网络安全最重要的核心策略之一。 访问控制策略包括:入网访问控制策略、 访问控制策略包括 权限控制策略、目录级安全控制策略、属性 安全控制策略。
OSI标准安全性服务和安全性机制
物理层 1 链路层 2 网络层 3 传输层 4 会话层 5
身 访 份 鉴 别 制 控 问
数 据 保 密 整 完 据数 不 可 抵 赖来自审 计 管 性 理 可 用
表示层 6 层 7 理 网 络 安全 物理 理
单 系 统

安 全

3.1
O SI 安 全
网络安全体系结构的内容
3.1.3 信息安全
信息安全的内容包括:能够持续地维护所 控制的信息,保障信息的可用性、可靠性、准 确性、时效性和传播性,防止信息受到无意的 或人为的泄漏和破坏。这种对已控制信息的维 护就是信息的安全管理。安全通常是相对受到 威胁而言的。 信息安全可定义为:持续地维护信息的保密性、 信息安全可定义为 完整性和可用性。