计算机网络的一种实体安全体系结构
- 格式:pdf
- 大小:182.11 KB
- 文档页数:7
下载文档原格式
合集下载
《信息网络安全》试题
(D) 身份认证的单因素法
3.下列是利用身份认证的双因素法的是_______。
(A) 电话卡
(B) 交通卡
(C) 校园饭卡
(D) 银行卡
4. 下列环节中无法实现信息加密的是_______。
(A) 链路加密
(B) 上传加密
(C) 节点加密
(D) 端到端加密
5.基于私有密钥体制的信息认证方法采用的算法是_______。
9.目前运用的数据恢复技术主要是_______。
(A) 瞬时复制技术
(B) 远程磁盘镜像技术
(C) 数据库恢复技术
(D) 系统还原技术
10.属于电子商务的立法目的考虑的方面是_______。
(A)为电子商务的健康、快速发展创造一个良好的法律环境
(B)鼓励利用现代信息技术促进交易活动
(C)弥补现有法律的缺陷和不足
二、
1、A B C E,2、A C D E,3、B C D E,4、 B C D E,5、A B C E,
6、A B C E,7、A C E,8、A B C D,9、A B C D E,10、C D
三、
1、 正确,2、错误,3、正确,4、正确,5、错误,
6、错误,7、错误,8、正确,9、错误,10、错误
3、突破网络系统的第一步是( )。
A、口令破解 B、利用TCP/IP协议的攻击
C、源路由选择欺骗 D、各种形式的信息收集
4、计算机病毒的核心是( )。
A、引导模块 B、传染模块
C、表现模块 D、发作模块
5、用一种病毒体含有的特定字符串对被检测对象进行扫描的病毒检查方法是( )。
A、比较法 B、搜索法
D、鉴别攻击 E、TCP序列号轰炸攻击
4、文件型病毒根据附着类型可分为( )。
3.下列是利用身份认证的双因素法的是_______。
(A) 电话卡
(B) 交通卡
(C) 校园饭卡
(D) 银行卡
4. 下列环节中无法实现信息加密的是_______。
(A) 链路加密
(B) 上传加密
(C) 节点加密
(D) 端到端加密
5.基于私有密钥体制的信息认证方法采用的算法是_______。
9.目前运用的数据恢复技术主要是_______。
(A) 瞬时复制技术
(B) 远程磁盘镜像技术
(C) 数据库恢复技术
(D) 系统还原技术
10.属于电子商务的立法目的考虑的方面是_______。
(A)为电子商务的健康、快速发展创造一个良好的法律环境
(B)鼓励利用现代信息技术促进交易活动
(C)弥补现有法律的缺陷和不足
二、
1、A B C E,2、A C D E,3、B C D E,4、 B C D E,5、A B C E,
6、A B C E,7、A C E,8、A B C D,9、A B C D E,10、C D
三、
1、 正确,2、错误,3、正确,4、正确,5、错误,
6、错误,7、错误,8、正确,9、错误,10、错误
3、突破网络系统的第一步是( )。
A、口令破解 B、利用TCP/IP协议的攻击
C、源路由选择欺骗 D、各种形式的信息收集
4、计算机病毒的核心是( )。
A、引导模块 B、传染模块
C、表现模块 D、发作模块
5、用一种病毒体含有的特定字符串对被检测对象进行扫描的病毒检查方法是( )。
A、比较法 B、搜索法
D、鉴别攻击 E、TCP序列号轰炸攻击
4、文件型病毒根据附着类型可分为( )。
计算机网络填空题练习(含答案)
计算机网络填空题练习1、世界最早投入运行的计算机网络是_____ 。
【答案】ARPANET2、计算机网络的体系结构是一种 _____结构【答案】分层3、OSI参考模型采用了_____层的体系结构【答案】74、串行数据通信的方向性结构有三种,即_____ 、 _____和 _____ 。
【答案】单工、半双工、全双工5、因特网提供服务所采用的模式是_____。
【答案】客户/服务器6、按照实际的数据传送技术,交换网络又可分为电路交换网、_____和_____。
【答案】报文交换网分组交换网7、两种最常使用的多路复用技术是:_____和_____。
【答案】频分多路复用、时分多路复用8、当数据报在物理网络中进行传输时,IP地址被转换成_____地址。
【答案】物理9、用电路交换技术完成的数据传输要经历_____、_____和_____ 过程。
【答案】电路建立、数据传输、电路拆除10、局域网中所使用的双绞线分成两类,即_____和_____ 。
【答案】屏蔽双绞线、非屏蔽双绞线11、计算机网络中常用的三种有线媒体是____ 、 _____和_____。
【答案】同轴电缆、双绞线、光纤12、在IEEE802局域网体系结构中,数据链路层被细化成_____和_____ 两层。
【答案】LLC逻辑链路子层、MAC介质访问控制子层13、T1系统的传输速率为_____ ,E1系统的数据传输速率为 _____ 。
【答案】1.544Mbps、2.048Mbps14、曼彻斯特编码是一种同步方式为_____ 的编码方案。
【答案】自同步15、在计算机的通信子网中,其操作方式有两种,它们是面向连接的_____ 和无连接的_____ 。
【答案】虚电路、数据报16、运输层的运输服务有两大类:_____的服务和_____的服务。
【答案】面向连接、无连接17、TCP在IP的基础上,提供端到端的_____的可靠传输。
【答案】面向连接18、子网掩码的作用是_____。
计算机网络技术考试题库带答案(2)
计算机网络技术考试题库带答案(后面有答案)第1章计算机网络的基本概念一、选择题:1、计算机网络是计算机技术和通信技术相结合的产物,这种结合开始于( )。
A.20世纪50年代B.20世纪60年代初期C.20世纪60年代中期D.20世纪70年代2、第二代计算机网络的主要特点是( )。
A.计算机-计算机网络B.以单机为中心的联机系统C.国际网络体系结构标准化D.各计算机制造厂商网络结构标准化3、计算机网络中可以共享的资源包括( )。
A.硬件、软件、数据B.主机、外设、软件C.硬件、程序、数据D.主机、程序、数据4、计算机网络在逻辑上可以分为( )。
A.通信子网与共享子网B.通信子网与资源子网C.主从网络与对等网络D.数据网络与多媒体网络5、一座大楼内的一个计算机网络系统,属于( )。
A. PANNC.MAND. WAN6、下列网络中,传输速度最慢的是( )。
A.局域网B.城域网C.广域网D.三者速率差不多9、局域网具有的几种典型的拓扑结构中,一般不含( )。
A. 星型B. 环型C.总线型D.全连接网型10、若网络形状是由站点和连接站点的链路组成的一个闭合环,则称这种拓扑结构为( )。
A.星形拓扑B.总线拓扑C.环形拓扑D.树形拓扑11、在计算机网络中,所有的计算机均连接到一条通信传输线路上,在线路两端连有防止信号反射的装置。
这种连接结构被称为( )。
A.总线结构B.环型结构C.星型结构D.网状结构12、在下列网络拓扑结构中,中心节点的故障可能造成全网瘫痪的是( )。
A.星型拓扑结构B.环型拓扑结构C.树型拓扑结构D.网状拓扑结构13、下列属于星型拓扑的优点的是( )。
A.易于扩展B.电缆长度短C.不需接线盒D.容错性高二、填空题:2、计算机网络的功能有数据通信、()、实现分布式的信息处理和提高计算机系统的可靠性和可用性。
3、计算机网络是由负责信息处理并向全网提供可用资源的()和负责信息传输的通信子网组成。
计算机安全IOSI安全体系结构
安全服务由相应的安全机制来提供。ISO 7498-2 包含与 OSI 模型相关的八种安全机制。这八种安全 机制可以设置在适当的层次中,以提供相应的安全服务。 1)加密。加密既能为数据提供保密性,也能为通信业务流提供保密性,并且还能为其它机制提供补 充。加密机制可配置在多个协议层次中,选择加密层的原则是根据应用的需求来确定 2)数字签名机制。可以完成对数据单元的签名工作,也可实现对已有签名的验证工作。当然数字签 名必须具有不可伪造和不可抵赖的特点。 3)访问控制机制。按实体所拥有的访问权限对指定资源进行访问,对非授权或不正当的访问应有一 定的报警或审计跟踪方法。 4)数据完整性机制。针对数据单元,一般通过发送端产生一个与数据单元相关的附加码,接收端通 过对数据单元与附加码的相关验证控制数据的完整性。 5)鉴别交换机制。可以使用密码技术,由发送方提供,而由接收方验证来实现鉴别。通过特定的"握 手"协议防止鉴别"重放"。 6)通信业务填充机制。业务分析,特别是基于流量的业务分析是攻击通信系统的主要方法之一。通 过通信业务填充来提供各种不同级别的保护。 7)路由选择控制机制。针对数据单元的安全性要求,可以提供安全的路由选择方法。 8)公证机制。通过第三方机构,实现对通信数据的完整性、原发性、时间和目的地等内容的公证。 一般通过数字签名、加密等机制来适应公证机构提供的公证服务。 八大安全机制与五大安全服务的关系见表 1-2。 表 1-2 OSI 的安全服务与安全机制的关系 安全机制 安全服务 加 密 对等实体鉴别 数据源鉴别 访问控制服务 连接保密性 无连接保密性 选择字段保密性 流量保密性 有恢复功能的连接完 整性 无恢复功能的连接完 整性 选择字段连接完整性 无连接完整性 选择字段非连接完整 性 √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ 数字签 名 访问控 制 数据完整 性 √ 鉴别交 换 业务填 充 路由控 制 公 证
计算机网络安全1-绪论
1.1.3 计算机病毒的威胁
➢ 1988年11月发生了互联网络蠕虫(worm)事件, 也称莫里斯蠕虫案。
➢ 1999年4月26日,CIH病毒爆发,俄罗斯十多万台 电脑瘫痪,韩国二十四万多台电脑受影响,马来西亚 十二个股票交易所受侵害。
➢ 计算机病毒可以严重破坏程序和数据、使网络的效 率和作用大大降低、使许多功能无法正常使用、导致 计算机系统的瘫痪。
非 修改数据 恶 物理损坏或破坏 意
由于缺乏知识或粗心大意,修改或破坏数据或系统信息。
由于渎职或违反操作规程,对系统的物理设备造成意外损坏 或破坏。
1.2.2 不安全的主要原因
1.Internet具有不安全性
➢ 开放性的网络,导致网络的技术是全开放的,使得网 络所面临的破坏和攻击来自多方面。
➢ 国际性的网络,意味着网络的攻击不仅仅来自本地网 络的用户,而且,可以来自Internet上的任何一个机器, 也就是说,网络安全面临的是一个国际化的挑战。
攻击举例
描述
修改数据或收集信息 攻击者获取系统管理权,从而修改或窃取信息,如: IP地址、登陆的用户名和口令等。
系统干涉
攻击者获取系统访问权,从而干涉系统的正常运行。
物理破坏
获取系统物理设备访问权,从而对设备进行物理破坏。
对计算机网络的主要攻击
4.内部人员攻击
攻击举例
描述
修 改 数 据 或 安 全 内部人员直接使用网络,具有系统的访问权。因此,内部人
对计算机网络的主要攻击
1.被动攻击
攻击举例 监视明文 解密通信数据
口令嗅探
通信量分析
描述 监视网络,获取未加密的信息。 通过密码分析,破解网络中传输的加 密数据。 使用协议分析工具,捕获用于各类系 统访问的口令。 不对加密数据进行解密,而是通过对 外部通信模式的观察,获取关键信息。
《信息网络安全》试题
《信息网络安全》2004试题一、单选题(1 10=10分,每道题1分,共10道题)1、计算机网络的体系结构是指()。
A、网络数据交换的标准B、网络的协议C、网络层次结构与各层协议的集合D、网络的层次结构2、OSI网络安全体系结构参考模型中增设的内容不包括()。
A、网络威胁B、安全服务C、安全机制D、安全管理3、突破网络系统的第一步是()。
A、口令破解B、利用TCP/IP协议的攻击C、源路由选择欺骗D、各种形式的信息收集4、计算机病毒的核心是()。
A、引导模块B、传染模块C、表现模块D、发作模块5、用一种病毒体含有的特定字符串对被检测对象进行扫描的病毒检查方法是()。
A、比较法B、搜索法C、病毒特征字识别法D、分析法6、不论是网络的安全保密技术,还是站点的安全技术,其核心问题是()。
A、系统的安全评价B、保护数据安全C、是否具有防火墙D、硬件结构的稳定7、数据库安全系统特性中与损坏和丢失相关的数据状态是指()。
A、数据的完整性B、数据的安全性C、数据的独立性D、数据的可用性8、RSA属于()。
A、秘密密钥密码B、公用密钥密码C、保密密钥密码D、对称密钥密码9、保密密钥的分发所采用的机制是()。
A、MD5B、三重DESC、KerberosD、RC-510、防火墙是指()。
A、一个特定软件B、一个特定硬件C、执行访问控制策略的一组系统D、一批硬件的总称二、多选题(2 10=20分,每道题2分,共10道题)1、TCP/IP体系结构参考模型主要包含以下哪几个层次()。
A、应用层B、传输层C、互联网层D、表示层E、网络接口层2、网络安全应具有以下特征()。
A、保密性B、可靠性C、完整性D、可用性E、可控性3、利用TCP/IP协议的攻击手段有()。
A、口令破解B、源地址欺骗攻击C、路由选择信息协议攻击D、鉴别攻击E、TCP序列号轰炸攻击4、文件型病毒根据附着类型可分为()。
A、隐蔽型病毒B、覆盖型病毒C、前附加型病毒D、后附加型病毒E、伴随型病毒5、计算机安全级别包括()。
计算机网络体系结构
计算机网络体系结构
计算机网络体系结构是指在计算机网络系统中,计算机的技术结构和通信协议的安排设计。
它涉及到各层的技术细节,包括数据链路层,网络层,传输层,会话层,表示层,应用层,物理层以及逻辑链路层等层次的技术体系。
计算机网络体系结构定义了计算机网络系统的实体和功能,这些实体和功能可以按照分层的方式进行组织。
从最底层开始,最基本的层是物理层,它定义了物理媒介如电线、光纤等及其制造和运行物理设备,从物理层开始,到网络层,它定义了用于传输数据的协议;再往上,传输层定义用于传输数据的介质和端口;接下来的层是会话层,它定义了网络的连接机制,以及两个终端之间的数据传输;然后是表示层,它定义了在两个终端之间传输复杂数据的一种标准格式;最后是应用层,它定义了各种应用软件如SMTP,POP3,HTTP等的基本标
准协议。
从另一方面来看,计算机网络体系结构不仅定义了各层的技术细节,它的实际应用也很有价值。
它为用户提供了更高效的网络服务,从而辅助用户实现信息化运营。
通过不断改进和发展计算机网络体系结构的技术理论,可以进一步提高网络性能,增强网络服务的安全性,改善网络的用户体验,提升企业的网络品牌形象。
此外,计算机网络体系结构还可以通过科学层次来实现主干网络、地区网络、本地网络的组织,用户可以在不同的网络层次之间定义资源,实现计算机的资源共享,以及用户之间的数据交换。
总而言之,计算机网络体系结构是计算机网络系统中的一个重要组成部分,它定义了计算机网络系统的实体和功能,以及计算机网络中各层的技术细节,提供了更高效的网络服务。
对于我们的生活,它给我们带来了极大的便利,同时也为用户提供了方便快捷的信息交互服务。
计算机网络安全体系结构
计算机网络安全体系结构计算机网络安全体系结构是指通过一系列的技术和措施来保护计算机网络系统及其相关资源的安全性。
它由多个层次和组件组成,包括网络边界防御、入侵检测与防御、身份认证与访问控制、安全监控与响应等。
首先,网络边界防御是计算机网络安全体系结构的第一层防线。
它通过防火墙、入侵检测与防御系统、反病毒软件等技术来监测和过滤网络入口和出口的数据流量,以防止未经授权的访问和恶意攻击。
它可以识别并封锁来自外部的恶意攻击,比如DDoS攻击、端口扫描等,以保护网络的可用性和完整性。
其次,入侵检测与防御是计算机网络安全体系结构的关键组成部分。
它通过实时监视网络通信和系统行为,检测并阻止潜在的入侵者。
入侵检测系统(IDS)通过分析网络数据包和系统日志,识别和报警可能的攻击行为。
入侵防御系统(IPS)则可以实施主动的防御措施,比如阻断攻击者的IP地址、更新规则,以及强化系统的安全设置等。
身份认证与访问控制是计算机网络安全体系结构的基础。
它确保只有经过授权的用户可以访问网络和敏感信息。
这包括用户身份验证、访问控制列表(ACL)、加密和数字签名等技术。
通过使用强密码、多因素身份验证和访问权限管理,可以最大程度地减少未经授权的访问,确保网络的机密性和可靠性。
最后,安全监控与响应是计算机网络安全体系结构的关键环节。
它包括网络日志记录、安全事件管理、安全漏洞管理等。
通过实时监控网络活动和异常行为,及时发现并应对潜在的威胁。
安全事件响应系统则负责及时处置和恢复网络系统的安全性,保护网络和系统免受损害。
总结起来,计算机网络安全体系结构是一个多层次、多组件的系统,通过网络边界防御、入侵检测与防御、身份认证与访问控制以及安全监控与响应等技术和措施,保护计算机网络系统及其相关资源的安全性。
这个体系结构能够提供全面的保护,确保网络的可用性、完整性和机密性,防止非法入侵和数据泄露,维护网络的安全和稳定运行。
计算机网络安全知识点
第一章.绪论1.1.1、计算机网络面临的主要威胁:①计算机网络实体面临威胁(实体为网络中的关键设备)②计算机网络系统面临威胁(典型安全威胁)③恶意程序的威胁(如计算机病毒、网络蠕虫、间谍软件、木马程序)④计算机网络威胁的潜在对手和动机(恶意攻击/非恶意)2、典型的网络安全威胁:①窃听②重传③伪造④篡改⑤非授权访问⑥拒绝服务攻击⑦行为否认⑧旁路控制⑨电磁/射频截获⑩人员疏忽1.2.1计算机网络的不安全主要因素:(1)偶发因素:如电源故障、设备的功能失常及软件开发过程中留下的漏洞或逻辑错误等。
(2)自然灾害:各种自然灾害对计算机系统构成严重的威胁。
(3)人为因素:人为因素对计算机网络的破坏也称为人对计算机网络的攻击。
可分为几个方面:①被动攻击②主动攻击③邻近攻击④内部人员攻击⑤分发攻击1.2.2不安全的主要原因:①互联网具有不安全性②操作系统存在的安全问题③数据的安全问题④传输线路安全问题⑤网络安全管理的问题1.3计算机网络安全的基本概念:计算机网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多学科的综合性学科。
1.3.1计算机网络安全的定义:计算机网络安全是指利用管理控制和技术措施,保证在一个网络环境里,信息数据的机密性、完整性及可使用性受到保护。
网络的安全问题包括两方面内容:一是网络的系统安全;二是网络的信息安全(最终目的)。
1.3.2计算机网络安全的目标:①保密性②完整性③可用性④不可否认性⑤可控性1.3.3计算机网络安全的层次:①物理安全②逻辑安全③操作系统安全④联网安全1.3.4网络安全包括三个重要部分:①先进的技术②严格的管理③威严的法律1.4计算机网络安全体系结构1.4.1网络安全基本模型:(P27图)1.4.2OSI安全体系结构:①术语②安全服务③安全机制五大类安全服务,也称安全防护措施(P29):①鉴别服务②数据机密性服务③访问控制服务④数据完整性服务⑤抗抵赖性服务1.4.3PPDR模型(P30)包含四个主要部分:Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应)。
网络信息安全体系架构
网络信息安全体系架构一、安全保障体系的总体架构网络信息安全涉及立法、技术、管理等许多方面,包括网络信息系统本身的安全问题,以及信息、数据的安全问题。
信息安全也有物理的和逻辑的技术措施,网络信息安全体系就是从实体安全、平台安全、数据安全、通信安全、应用安全、运行安全、管理安全等层面上进行综合的分析和管理。
安全保障体系总体架构如下图所示:安全保障体系架构图二、安全保障体系层次按照计算机网络系统体系结构,我们将安全保障体系分为7个层面:1)实体安全实体安全包含机房安全、设施安全、动力安全、等方面。
其中,机房安全涉及到:场地安全、机房环境/温度/湿度/电磁/噪声/防尘/静电/振动、建筑/防火/防雷/围墙/门禁;设施安全如:设备可靠性、通讯线路安全性、辐射控制与防泄露等;动力包括电源、空调等。
这几方面的检测优化实施过程按照国家相关标准和公安部颁发实体安全标准实施。
2)平台安全平台安全包括:操纵系统漏洞检测与修复(Unix系统、Windows系统、网络协议);网络基础设施漏洞检测与修复(路由器、交流机、防火墙);通用基础应用程序漏洞检测与修复(数据库、Web/ftp/mail/DNS/其它各种系统保护进程);网络安全产品部署(防火墙、入侵检测、脆弱性扫描和防病毒产品);团体网络系统平台安全综合测试、模拟入侵与安全优化。
3)数据安全数据安全包括:介质与载体安全保护;数据访问掌握(系统数据访问掌握检查、标识与鉴别);数据完整性;数据可用性;数据监控和审计;数据存储与备份安全。
4)通信安全既通讯及线路安全。
为保障系统之间通讯的安全采取的措施有:通讯线路和网络基础设施安全性测试与优化;装置网络加密设施;设置通讯加密软件;设置身份鉴别机制;设置并测试安全通道;测试各项网络协议运行漏洞等方面。
5)应用安全。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
9: ; 7! $ $ % & ’( )* + *, & ./0 12 * 3 + 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8
! : #
K 网络实体模型
计算机网络的组成结构模型是安全体系结构的 基础 * 本文 把计 算 机 网 络 系 统 中 的 组 成 元 素 统 称 为 包 括 所 有 的 资 源% 用 户% 进程等具体 实体 ( ) $ L H 6 5 6 7 或 抽 象 的 对 象* 每个实体有一定的安全属性 其中包括 = ( ) $ 0 1 2 3 4 5 6 786 6 4 5 M 3 6 1 F 如 用 户 名 %目 录 服 务 中 的 N标识属性( 域名等 ) % & + 5 F 6 5 H I 3 5 F 9 1 GO. J1 P @ 地址 % 认证 属性 口令 密 钥 公 钥% 私 ( % ( ) % N 0 1 2 4 1 6 Q1 7 钥( ) ) & @ 4 5 R . 6 1Q1 7 如 能 力 表% 访 问 控 制 链 表% 安 N访问控制属性( 全级别等 ) & 如 加 密% 解 密 或 计 算% 验 N保密及完整性属性( 证完整性校验码所需的公钥 % 密钥或私钥等 ) * 在 上 下 文 中$ 这些安全属性的值定义了该实体 的安全状态 * 从实体组成的角度 $ 计算机网络由以下 基本实体和复合实体 ( 即系统 ) 构成 * K * S 基本实体定义 基本实 体间 的 关 系 如 图 C所 示 * 网络中的基本 实 体 可 以 分 成 两 类= 非 活 动 实 体 和 活 动 实 体* 用户 和资 源构成 一类非 活 动 实 体 $ 他们不直接参与网络 而是 在活动 实体 代理或 控制下 完成 * 活动 $
体 的 安 全 功 能 分 配7 基于 * 提出了基于政策的安全管理< 的概念C 其 中 包 括 三 层 安 全 政 策 的 定 义> 组织 0 G + /= + 9C 抽象安全政策E 全局自动安全政策E 局部可执行安全政策C 并提出了 0 制定E 实施与验证C 把 G + / 的三个管理环节> 网络作为一个整体来管理 C 实现安全管理的系统 化 和 自 动 化 7 应用实体安全体系结构C 分析了现有网络安全服务的 不足和安全管理中存在的问题 C 指出了实现 * + 9 的进一步研究工作 7 关键词 计算机网络 C 安全体系结构 C 安全政策 C 安全管理 C 基于政策的安全管理
H z \ K R { P K
9a | a } _ } ~! | " : # _ } ~^ # " $ _ } | " } : # |< * + 9= _ !% # 5 % 5 ! | &_ a} $ _ !% ^ % | #’ 5 #" 5 (% : } | #
C’ 72 C^ a | } )5 # * ! # 5 (} $ |+ _ | )5 ’ _ } !| a } _ } ~" 5 (% 5 a | a } ! $ |" 5 (% 5 ! _ } || a } _ } _ | !^ # |& | ! " # _ , | & !)| 6 6 7G !} $ | _ #^ 6 6 5 " ^ } _ 5 a5 ’ ! | " : # _ } ~’ : a " } _ 5 a’ 5 #| ^ " $* _ a &5 ’ | a } _ } ~ ^ ! | &5 a* + 9C} $ |_ & | ^5 ’ 0 5 6 _ " ~ ^ C_ G ^ ! | &+ | " : # _ } ~ /^ a ^ ; | (| a }< 0 G + / =_ !% # 5 % 5 ! | & a )$ _ " $} $ # | |6 | + | 65 ’! | " : # _ } ~% 5 6 _ " ~_ ! C} C.# C. | ’ _ a | & $ ^ } _ ! ; ^ a _ ^ } _ 5 a ^ 6 9, ! } # ^ " } + | " : # _ } ~0 5 6 _ " ~ 6 5 , ^ 6 9: } 5 (^ } _ "+ | " : # _ } ~0 5 6 _ " ~^ a & & 72 C} C| C^ 5 " ^ 6 * 0 | " : } ^ , 6 |+ | " : # _ } ~0 5 6 _ " ~ $ # | |% $ ^ ! | ! $ |& | ’ _ a _ } _ 5 a^ a &" # | ^ } _ 5 a a ’ 5 # " | (| a } a & / C^ + | # _ ’ _ " ^ } _ 5 a5 ’! | " : # _ } ~% 5 6 _ " ~ # |% # | ! | a } | &} 5^ " $ _ | + |0 G + /7 9% % 6 ~ _ a ;* + 9 } 5" : # # | a } C! a | } )5 # * ! 5 (| & | ’ _ " _ | a " _ | !_ a! | " : # _ } ~! | # + _ " | !% # 5 + _ & | &^ a &! 5 (| % # 5 , 6 | (! _ a! | " : # _ } ~ 71 C! (^ a ^ ; | (| a }^ # |^ a ^ 6 ~ | & _ a ^ 6 6 ~ 5 (|’ : # } $ | ## | ! | ^ # " $)5 # *_ !% 5 _ a } | &5 : })$ _ " $(: ! }, | & | % 6 5 ~ | &} 5_ (% 6 | (| a } * + 97 2O M Z U R 3 \ C! C! C! C " 5 (% : } | #a | } )5 # * ! | " : # _ } ~^ # " $ _ } | " } : # | | " : # _ } ~% 5 6 _ " ~ | " : # _ } ~ (^ a ^ ; | (| a }
C D # 实施性 * 基于政策的管理( 中! 政策是一组 $ @ A B)
形 式 化 的 规 则* 目前对 @ A B 的研究主要集中于服 务质量控制方面 * 本 文 与 上 述 研 究 的 不 同 体 现 在 三 个 方 面= ( C ) 从实 体 结构 $ 而不 是 协 议 分 层 结 构 来 研 究 网 络 安 全 体 系 结 构 &( 从网络管理者而不是最终用户的角 E ) 而不是把网络看成透 度 为 网 络建立实体 安 全 模 型 $ 明信道 &( 强调安全管理以安全政策为中心 $ 并把 " ) 安 全 管理功能落实 到 具 体 实 体 * 第 E节 首 先 从 安 全 角 度 为计算机网络 建 立 了 一 个 实 体 结 构 模 型 & 基于 该 模 型* 第 "节 讨 论 了 端 系 统 % 网络系统的安全功 能分配* 第 :节 提出了基 于政策的安 全 管 理 ( @ , / 5 2 7 的概念及管 $@ A . F 1 G0 1 2 3 4 5 6 7B. H . I 1 J1 H 6 A 0 B) 理框架* 第 ;节给 出 了 应 用 本 文 的 实 体 安 全 体 系 结 构$ 分 析 现 有 计 算 机 网 络 所 得 出 的 一 些 结 论$ 指出 万方数据 了网络安全政策管理需要解决的问题和本文的进 系 统 中 的 主 动 实 体$ 不仅可以是 N 用户( * T)
计 算 机 网 络 的 安 全 体 系 结 构 和 安 全 模 型C 对于 安全概念的理解 E 安全系统的设计 E 实现与验证都是 十 分必要的 7 然而许多所谓网络安全体系结构或安
收 稿 日万方数据 期> 修改稿收到日期> 段海新C 男C 博士研究生C 主要研究方 向 为 计 算 机 网 络 管 理E 计算机网络 % ? ? ? @ % ! @ % " A ! $ $ $ @ % ! @ ! B 7 % ? D !年 生 C 安全体系结构 7 吴建平 C 男C 教授 C 博士生导师 C 主要研究方向为网络协议测试 E 网络管理 E 网络体系结构等 7 % ? F B年生 C
中图法分类号 > 2 B ? B 0
H IJ I K L K MN O P Q R L K MH R P S L K O P K Q R OT U RV U WX Q K O RY O K Z U R [ \
@ @ ] 19) ’^ _ ‘ _ a b1 , _ ^ a 0 _ a ;
< Cq Cx $ $ $ # " = cd e fg h ij d k d l h m no d p e d h k r p s n t lup r v d h k r e w d r y r p s%
输系统 ) 角度 $ 分析了信息系统中各组成部件之间的 但是 + 安全功能分配 * 0 8 没有反 映 这 些物 理 实 体 内部逻辑实体的内在关系 $ 另外 $ + 0 8 中安全管理 功 能分散在端系 统 和 中 继 系 统 中 $ 却没有一个明确 的实体来实现这些管理功能 * 安 全 管 理 是 网 络 安 全 体 系 结 构 的 重 要 内 容$ 也 安全政策是一个组 是 网 络管理的五 个 功 能 域 之 一 * 织 进行安全管理 活 动 的 依 据 $ 不同文献对安全政策
! : #
K 网络实体模型
计算机网络的组成结构模型是安全体系结构的 基础 * 本文 把计 算 机 网 络 系 统 中 的 组 成 元 素 统 称 为 包 括 所 有 的 资 源% 用 户% 进程等具体 实体 ( ) $ L H 6 5 6 7 或 抽 象 的 对 象* 每个实体有一定的安全属性 其中包括 = ( ) $ 0 1 2 3 4 5 6 786 6 4 5 M 3 6 1 F 如 用 户 名 %目 录 服 务 中 的 N标识属性( 域名等 ) % & + 5 F 6 5 H I 3 5 F 9 1 GO. J1 P @ 地址 % 认证 属性 口令 密 钥 公 钥% 私 ( % ( ) % N 0 1 2 4 1 6 Q1 7 钥( ) ) & @ 4 5 R . 6 1Q1 7 如 能 力 表% 访 问 控 制 链 表% 安 N访问控制属性( 全级别等 ) & 如 加 密% 解 密 或 计 算% 验 N保密及完整性属性( 证完整性校验码所需的公钥 % 密钥或私钥等 ) * 在 上 下 文 中$ 这些安全属性的值定义了该实体 的安全状态 * 从实体组成的角度 $ 计算机网络由以下 基本实体和复合实体 ( 即系统 ) 构成 * K * S 基本实体定义 基本实 体间 的 关 系 如 图 C所 示 * 网络中的基本 实 体 可 以 分 成 两 类= 非 活 动 实 体 和 活 动 实 体* 用户 和资 源构成 一类非 活 动 实 体 $ 他们不直接参与网络 而是 在活动 实体 代理或 控制下 完成 * 活动 $
体 的 安 全 功 能 分 配7 基于 * 提出了基于政策的安全管理< 的概念C 其 中 包 括 三 层 安 全 政 策 的 定 义> 组织 0 G + /= + 9C 抽象安全政策E 全局自动安全政策E 局部可执行安全政策C 并提出了 0 制定E 实施与验证C 把 G + / 的三个管理环节> 网络作为一个整体来管理 C 实现安全管理的系统 化 和 自 动 化 7 应用实体安全体系结构C 分析了现有网络安全服务的 不足和安全管理中存在的问题 C 指出了实现 * + 9 的进一步研究工作 7 关键词 计算机网络 C 安全体系结构 C 安全政策 C 安全管理 C 基于政策的安全管理
H z \ K R { P K
9a | a } _ } ~! | " : # _ } ~^ # " $ _ } | " } : # |< * + 9= _ !% # 5 % 5 ! | &_ a} $ _ !% ^ % | #’ 5 #" 5 (% : } | #
C’ 72 C^ a | } )5 # * ! # 5 (} $ |+ _ | )5 ’ _ } !| a } _ } ~" 5 (% 5 a | a } ! $ |" 5 (% 5 ! _ } || a } _ } _ | !^ # |& | ! " # _ , | & !)| 6 6 7G !} $ | _ #^ 6 6 5 " ^ } _ 5 a5 ’ ! | " : # _ } ~’ : a " } _ 5 a’ 5 #| ^ " $* _ a &5 ’ | a } _ } ~ ^ ! | &5 a* + 9C} $ |_ & | ^5 ’ 0 5 6 _ " ~ ^ C_ G ^ ! | &+ | " : # _ } ~ /^ a ^ ; | (| a }< 0 G + / =_ !% # 5 % 5 ! | & a )$ _ " $} $ # | |6 | + | 65 ’! | " : # _ } ~% 5 6 _ " ~_ ! C} C.# C. | ’ _ a | & $ ^ } _ ! ; ^ a _ ^ } _ 5 a ^ 6 9, ! } # ^ " } + | " : # _ } ~0 5 6 _ " ~ 6 5 , ^ 6 9: } 5 (^ } _ "+ | " : # _ } ~0 5 6 _ " ~^ a & & 72 C} C| C^ 5 " ^ 6 * 0 | " : } ^ , 6 |+ | " : # _ } ~0 5 6 _ " ~ $ # | |% $ ^ ! | ! $ |& | ’ _ a _ } _ 5 a^ a &" # | ^ } _ 5 a a ’ 5 # " | (| a } a & / C^ + | # _ ’ _ " ^ } _ 5 a5 ’! | " : # _ } ~% 5 6 _ " ~ # |% # | ! | a } | &} 5^ " $ _ | + |0 G + /7 9% % 6 ~ _ a ;* + 9 } 5" : # # | a } C! a | } )5 # * ! 5 (| & | ’ _ " _ | a " _ | !_ a! | " : # _ } ~! | # + _ " | !% # 5 + _ & | &^ a &! 5 (| % # 5 , 6 | (! _ a! | " : # _ } ~ 71 C! (^ a ^ ; | (| a }^ # |^ a ^ 6 ~ | & _ a ^ 6 6 ~ 5 (|’ : # } $ | ## | ! | ^ # " $)5 # *_ !% 5 _ a } | &5 : })$ _ " $(: ! }, | & | % 6 5 ~ | &} 5_ (% 6 | (| a } * + 97 2O M Z U R 3 \ C! C! C! C " 5 (% : } | #a | } )5 # * ! | " : # _ } ~^ # " $ _ } | " } : # | | " : # _ } ~% 5 6 _ " ~ | " : # _ } ~ (^ a ^ ; | (| a }
C D # 实施性 * 基于政策的管理( 中! 政策是一组 $ @ A B)
形 式 化 的 规 则* 目前对 @ A B 的研究主要集中于服 务质量控制方面 * 本 文 与 上 述 研 究 的 不 同 体 现 在 三 个 方 面= ( C ) 从实 体 结构 $ 而不 是 协 议 分 层 结 构 来 研 究 网 络 安 全 体 系 结 构 &( 从网络管理者而不是最终用户的角 E ) 而不是把网络看成透 度 为 网 络建立实体 安 全 模 型 $ 明信道 &( 强调安全管理以安全政策为中心 $ 并把 " ) 安 全 管理功能落实 到 具 体 实 体 * 第 E节 首 先 从 安 全 角 度 为计算机网络 建 立 了 一 个 实 体 结 构 模 型 & 基于 该 模 型* 第 "节 讨 论 了 端 系 统 % 网络系统的安全功 能分配* 第 :节 提出了基 于政策的安 全 管 理 ( @ , / 5 2 7 的概念及管 $@ A . F 1 G0 1 2 3 4 5 6 7B. H . I 1 J1 H 6 A 0 B) 理框架* 第 ;节给 出 了 应 用 本 文 的 实 体 安 全 体 系 结 构$ 分 析 现 有 计 算 机 网 络 所 得 出 的 一 些 结 论$ 指出 万方数据 了网络安全政策管理需要解决的问题和本文的进 系 统 中 的 主 动 实 体$ 不仅可以是 N 用户( * T)
计 算 机 网 络 的 安 全 体 系 结 构 和 安 全 模 型C 对于 安全概念的理解 E 安全系统的设计 E 实现与验证都是 十 分必要的 7 然而许多所谓网络安全体系结构或安
收 稿 日万方数据 期> 修改稿收到日期> 段海新C 男C 博士研究生C 主要研究方 向 为 计 算 机 网 络 管 理E 计算机网络 % ? ? ? @ % ! @ % " A ! $ $ $ @ % ! @ ! B 7 % ? D !年 生 C 安全体系结构 7 吴建平 C 男C 教授 C 博士生导师 C 主要研究方向为网络协议测试 E 网络管理 E 网络体系结构等 7 % ? F B年生 C
中图法分类号 > 2 B ? B 0
H IJ I K L K MN O P Q R L K MH R P S L K O P K Q R OT U RV U WX Q K O RY O K Z U R [ \
@ @ ] 19) ’^ _ ‘ _ a b1 , _ ^ a 0 _ a ;
< Cq Cx $ $ $ # " = cd e fg h ij d k d l h m no d p e d h k r p s n t lup r v d h k r e w d r y r p s%
输系统 ) 角度 $ 分析了信息系统中各组成部件之间的 但是 + 安全功能分配 * 0 8 没有反 映 这 些物 理 实 体 内部逻辑实体的内在关系 $ 另外 $ + 0 8 中安全管理 功 能分散在端系 统 和 中 继 系 统 中 $ 却没有一个明确 的实体来实现这些管理功能 * 安 全 管 理 是 网 络 安 全 体 系 结 构 的 重 要 内 容$ 也 安全政策是一个组 是 网 络管理的五 个 功 能 域 之 一 * 织 进行安全管理 活 动 的 依 据 $ 不同文献对安全政策