计算机网络安全技术第一章节.pptVIP

10．数据完整性 网络通信协议中一般考虑了传输中的差错控制措施，但不能对付人为的破坏。网络中传输数据完整性控制包括：数据来自正确的发送方，而非假冒；数据送到了正确的接收方，而无丢失或误送；数据接收的内容与发送时一致；数据接收的时序与发送时一致；数据没有重复接收。保护数据完整性的措施是增加敌手所不能控制的冗余信息。 11．端口保护 远程终端和通信线路是安全的薄弱环节，尤其是在利用电话拨号交换的计算机网络中。因此，端口保护成为网络安全的一个重要问题，一种简单的保护方法是在不使用时拔下插头或关掉电源。不过，这种方式对于拨号系统或联机系统是不可行的。因此通常采用的方法是利用各种端口保护设备。 除此之外，还有安全检测、审查和跟踪等措施。 1．4 网络的安全功能及目标 ? 进行网络安全设计时，需要确定网络安全方针，选择网络的安全功能。安全方针是网络安全的目标，安全功能是达到安全目标所需具备的功能和规定。 1． 网络的安全目标 OSI安全体系结构的安全目标是网络的保密性、完整性和可用性的具体化。基本的安全目标包括： ? 防止未授权的修改数据，窃取或篡改、破坏； ? 防止未经发觉的遗漏或重复数据； ? 防止利用隐含通道，窃取机密信息，甚至设置“病毒”，使系统陷入崩溃； ? 防止未授权的泄漏数据； ? 确保数据的发送者正确无误； ? 确保数据的接收者正确无误； ? 根据保密要求与数据来源对数据作标记。数据的发送者、接收者以及交换量仅仅对发送者与接收者是可见的，以确定用户的合法性。 ? 提供可供安全审计的网络通信记录，防止对用户进行欺骗； 可对独立的第三方证明通信过程已经实现； ? 在取得明确的可访问系统的许可（授权）后，才能与该系统通信。 2． 网络的安全服务功能 为了实现系统安全保密，OSI安全体系结构中设置了七种安全服务功能。 1）对等实体认证服务 对等实体认证服务用于两个开放系统同等层中的实体建立连接或数据传输阶段，对对方实体的合法性、真实性进行确认，以防假冒。 2）访问控制服务 访问控制服务用以防止用户非法使用系统资源，它既包括用户身份证，也包括用户权限的确认。 3）数据保密性服务 数据保密性服务是为了防止数据被截获或非法访问而泄密所提供的加密保护。由于开放系统互连参考模型中规定数据传输可采用连接方式和无连接方式，数据保密性服务也提供连接方式和无连接方式两种数据保密。为了方便用户，它也提供可选字段的数据保护及流量填充服务 4）数据完整性服务 数据完整性服务用以防止非法实体对所交换的数据的修改、插入、删除以及在数据交换过程中的数据丢失，数据完整性服务分为带恢复功能的连接方式数据完整性、不带恢复功能的连接方式数据完整性、选择字段连接方式数据完整性、选择字段无连接方式数据完整性和无连接方式数据完整性。数据完整性服务提供多种完整性服务，以适应用户的不同要求。 5）信息流安全服务 信息流安全服务确保信息在从源点到达目的地的整个流通过程中是安全的。它通过路由选择使信息流经过安全路径，通过数据加密使信息流不被泄漏，通过信息流量填充阻止敌方的流量分析和流向分析攻击。 6）数据源点认证服务 数据源点认证服务用以确保数据发自真正的源点，以防假冒。 7）制止否认服务 制止否认服务用以制止发送方在发送数据后否认发送过数据的事实以及发送数据的内容，制止接收方受到数据后否认收到数据的事实以及收到数据的内容，即向独立的第三方提供数据的来源和数据传递的证明。 1．5 网络安全技术的研究内容 ? 一个网络系统是否可行，在很大程度上取决于此系统安全性能的好坏，要看其是否能够实现用户提出的安全要求。然而要确保网络系统的安全可靠，离不开网络安全技术的应用。 1．网络安全模型 网络安全是一个复杂的系统工程，它的实现不仅是纯粹的技术问题，而且更需要法律、管理、社会因素的配合。因此网络安全模型是一个层次结构，如图1.1所示： 1层 法律 规范 道德 纪律 2层 管理细则 保护措施 3层 物理实体安全措施 4层 硬件系统安全措施 5层 通信网络安全措施 6层 软件系统安全措施 7层 数据信息安全 图 1.1网络安全层次密性 从图中可以看出各层之间相互依赖，下层向上层提供支持，上层依赖下层的完善，最终实现网络系统的安全。 （1）?????? 第一层是法律制度与道德规范 日益严重的计算机犯罪，迫使各国尽快制定出严密的法律、政策，从根本上改变知识犯罪无法可依的局面。以全新的概念和要求，规范和制约人们的思想与行为，将网络安全纳入规范化、法制化和科学化的轨道。 （2）?????? 第二层是管理制度的建立与实施 安全管理制度的建立与实施，是实现计算机网络系统的