网络安全理论与技术（第七讲）.pptVIP

安全机制 加密机制 数字签名机制 访问控制机制 数据完整性机制 交换鉴别机制 业务流量填充机制 路由控制机制 公证机制 加密机制 加密是提供数据机密的最常用方法。 按密钥类型划分，加密算法可分为对称密钥加密算法和非 对称密钥两种； 按密码体制分，可分为序列密码和分组密码算法两种。 用加密的方法与其他技术相结合，可以提供数据的机密性 和完整性。例如hash函数，还能提供信息的完整性。 除了对话层不提供加密保护外，加密可在其他各层上 进行。与加密机制伴随而来的是密钥管理机制。 （1） 加密 对数据进行密码变换以产生密文。 ① 加密既能为数据提供机密性，也能为通信业 务流信息提供机密性，并且是其他安全机制 中的一部分或对安全机制起补充作用。 5.5 审计 审计是信息安全处理过程的最后一 步。它包含三个不同的功能： 1、策略遵从审计 2、周期的和新的项目评估 3、入侵测试 5.1 5.4 第五章 网络安全处理 5.2 5.3 5.5 5.6 评估 策略制定 实施 安全培训 审计 网络安全实施流程 5.6 网络安全实施流程 网络安全实施是一项复杂的系统工程，其流程如 下图所示，具体包括以下几步。 1.确定安全需求与安全策略 根据用户单位的性质、目标、任务以及存 在的安全威胁确定安全需求与安全策略。 安全策略是针对安全需求而制定的网络系 统安全策略。除了通用的安全策略外，各用户 单位还要规定适合自己情况的完整的安全需求 和安全策略。 下面列举一些重要的安全需求 （1） 支持多种信息安全策略 （2） 使用开放系统 （3） 支持不同安全保护级别 （4） 使用公共通信系统 2.确定安全服务与安全机制 根据制定的安全策略与安全需求确定安全服 务与安全机制。参照国际标准化组织ISO-7498， 可以确定以下主要的安全服务。 身份鉴别：用于确认所声明的身份的有效性； 访问控制：防止非授权使用资源或以非授权方式使用资源； 数据保密：数据存储和传输时加密，防止数据窃取、窃听； 数据完整：防止数据篡改； 防止否认：防止发送者否认曾经发送过数据或其内容，防止接 收者对所收到数据或内容的否认。 为提供上述安全服务，要确立可信 功能、安全标记、事件检测、安全审计 跟踪和安全恢复等基本安全保护机制。 此外，还要体现加密机制、数字签 名机制、访问控制机制、数据完整性机 制、鉴别机制、通信业务填充机制、路 由控制机制和公证机制等特定安全保护 机制。 3.建立安全体系结构框架 确定了安全服务和安全机制后，根据网 络信息系统组成和开放系统互连参考模型， 建立安全体系结构框架。 网络信息系统安全体系结构框架将反映 网络信息系统安全需求和体系结构的共性， 其构成要素是安全特性、系统单元及开放系 统互连参考模型结构层次，如下图所示。 网络信息系统安全体系结构框架 41 4.安全技术、安全产品选择和安全系统实施 在安全体系结构框架下，遵循有 关的信息技术和信息安全标准，折中 考虑安全强度和安全代价，选择相应 的安全保护等级的技术和产品，并进 行安全系统实施。 第二篇 网络安全体系结构 43 6.2 6.1 6.4 第六章 开放系统互连安全体系结构 6.3 6.5 6.6 网络体系结构及协议 OSI安全体系结构的5类安全服务 OSI安全体系结构的安全机制 OSI安全服务与安全机制的关系 在OSI层中的安全服务配置 OSI安全体系的安全管理 OSI七层参考模型 应用层 表示层 会话层 传输层 网络层 链路层 物理层 内部接口 应用层 表示层 会话层 传输层 网络层 链路层 物理层 外部接口 内部网络 IP HDR DATA 外部网络 OSI 参考模型 很少有产品是完全的OSI模式，然而OSI参 考模型为网络的结构提供了可行的机制。 OSI模型将通信会话需要的各种进程划分成 7个相对独立的层次。 OSI参考模型的特性： 它是一种将异构系统互连的分层结构； 它提供了控制互连系统交互规则的标准骨架； 它定义了一种抽象结构，而并非具体实现的描述； 不同系统上的相同层的实体为同等层实体； 同等层实体之间的通信由该层的协议管理； 相邻层间的接口定义了原语操作的低层向上层提供的服务； 它所提供的公共服务是面向连接的或无连接的数据服务； 直接的数据传送仅在最低层实现； 每层完成所定义的功能，修改本层的功能并不影响其他层。 OSI/ISO7498-2网络安全体系结构 （OSI开放系统互连基本安全参考模型） OSI/ISO7498-2网络安全体系结构 OSI安全体系结构的研究始于1982年，于1988 年完成，其成果标志是ISO发布了ISO7498-2标准， 作为OS