第2章 网络安全综述.pdf

第２章 网络安全综述 • 2.1 网络安全的基本概念和 术语 • 2.2 网络拓扑与安全性 • 2.3 网络安全的层次结构 • 2.4 网络安全威胁 • 2.5 网络攻击 • 2.6 网络安全模型 • 2.7 基本安全技术 1 • 2.1 网络安全的基本概念和术语 安全的最大问题是如何确定安全的度。 拿一间私人住宅来说，我们可以设想出一 系列安全性逐步递增的措施： (1) 挂一窗帘以免让人从外面窥视到房 子里的一举一动。 (2) 门上加锁，以免让小偷入内。 (3) 养一只大狼狗，把不受欢迎的人士 拒之门外。 2 (4) 安装警报系统，检测入侵的不速之客。 (5) 增设带电围墙、篱笆并增派门卫。 显然，我们可以有更多的安全措施。 我们一般基于以下三个因素来选择一个 合适的安全目标： (1) 安全威胁，比如，你的邻居是谁。 (2) 被保护物品的价值，比如，你有多少 凡高的画。 (3) 安全措施所要达到的目标(Objective)。 3 最后一个因素同另外两个相比较虽 然不是很明显，但同等重要。同样是上 面那个例子，如果我们的目标是保密 (Privacy) ，那么最合适的安全措施应当 是挂窗帘。 安全措施的目标主要有以下几类： (1) 访问控制(Access Control) ：确保会话 对方(人或计算机)有权做他所声称的事情。 (2) 认证(Authentication)：确保会话对方的 资源(人或计算机)同他声称的相一致。 4 (3) 完整性(Integrity) ：确保接收到的信息 同发送的一致。 (4) 审计(Accountability)：确保任何发生的 交易在事后可以被证实，发信者和收信 者都认为交换发生过，即所谓的不可抵 赖性(Non-repudiation)。 (5) 保密(Privacy) ：确保敏感信息不被窃 听。 所有这些目标同你所要传输的信息是密切 相关的。 5 技术防护 • 机密性保护数据不泄露给非授权用户。抵御攻击者窃听和 数据分析 • 完整性保证数据不被非授权的修改、删除和代替，或能够 检测这些非授权改变。抵御攻击者对通信或计算机系统中 数据的截获、修改、插入等 • 身份识别提供对某个实体的身份证实，抵御假冒、服务欺 骗和中间人攻击等。 • 访问控制保护信息资源不被非授权使用或控制，抵御攻击 者进行非授权访问、旁路或后门攻击 • 抗抵赖保证实体参与一次通信或访问操作后，不能对自己 的行为否认，提供了数据源发证明和交付证明的非常强的 一种形式。 • 可用性保证授权用户能够对所需的信息或资源的访问，抵 御拒绝服务攻击。 6 2.2 网络拓扑与安全性 拓扑逻辑是构成网络的结构方式，是连接 在地理位置上分散的各个节点的几何逻辑 方式。 拓扑