2网络安全系统体系结构及影响网络安全系统地因素.docVIP

实用标准文案 精彩文档 2 网 络 安 全 体 系 结 构 及 影 响 网 络 安 全 的 因 素 2.1网络安全体系结构模型 2.1.1安全体系结构框架 表2-1 管理安全 物理安全 网络安全 信息安全 2.1.2物理安全构架 表2-2 物理安全 环境安全 《电子计算机机房规范》 《计算机场地技术条件》 《计算机场地安全要求》 设备安全 电源保护 防盗、防毁、抗电磁干扰 防电磁信息辐射泄漏、防止线路截获 媒体安全 媒体数据安全 媒体本身安全 从OSL参考模型(如图2一1所示)的观点出发,组建安全的网络系统则可以先考虑物理层的安全,如对物理链路进行加固、对计算机等硬件设备的物理安全进行保护;然后再考虑数据链层的安全,如利用链路加密等手段,对OSL的各层逐层考虑其安全,消除每层中可能存在的不安全因素,最终实现整个网络系统的安全。 图2-1 OSL分层模型 在这种模型中,应用较多的是基于IP层的加密、传输层的安全加密、及应用层的安全。下面分别对这三层的安全性分别加以说明。 IP层的传输安全性。对IP层的安全协议进行标准化的想法早就有了。在过去十年里,已经提出了一些方案。然而,所有这些提案的共同点多于不同点,用的都是IP封装技术。纯文本的包被加密封装在外层的IP报头里,用来对加密的包进行Internet上的路山选择。到达另一端时,外层的IP报头被拆开,报头被解密,然后送到收报地点。Internet工程特遣组(IETF)已经特许Internet协议安全协议(IPSEC)工作组对IP安全协议(IPSP)不[l对应的Internet密钥管理协议(IKMP)进行标准化工作。 传输层的传输安全性。在Interne中,提供安全服务的具体做法包括双端实体认证、数据加密密钥的交换等。Netscape公司遵循了这个思路,制订了建立在可靠的传输服务(如TCP/IP所提供)荃础_L的安全套接层协议(SSL)。SSL版本3(SSLV3)于1995年12月制订。它是在传输层上实现的协议,采用了对称密码技术与公开密码技术相结合的密码方案。1997年,IETF基于SSL3.0协议发布了TLsl.0传输层安全协议的草案。1999年,正式发布了RFC2246。应用层安全性。一般来说,在应用层提供安全服务主要是根据应用的特别 需要对每个应用或应用协议分别进行修改。一些重要的TCP/IP应用已经这样做了。在RFC1421至1424中,IETF规定了使用私用强化邮件(PEM)来为基于SMTP的电子邮件系统提供安全服务;另外,在一些金融机构或大型企业内部使用的网络应用程序里,就有许多特殊的应用程序相互之间通过加密来保证数据传输安全的例子。 2.1.3网络安全架构 表2-3 网络安全 系统安全 （主机、服务器） 反病毒 系统安全监测 入侵检测 审计与分析 网络运行安全 备份与恢复 应急、灾难恢复 局域网、子网安全 访问控制 （防火墙） 网络安全监测 从网络系统组成的角度： 一般的网络会涉及以下几个方而:首先是网络硬件,即网络的实体;第二则是网络操作系统,即对于网络硬件的操作与控制;第三就是网络中的应用程序。有了这三个部分,一般认为便可构成一个网络整体。而若要实现网络的整体安全,考虑上述三方面的安全问题也就足够了。但事实上,这种分析和归纳是不完整和不全面的。在应用程序的背后,还隐藏着大量的数据作为对前者的支持,而这些数据的安全性问题也应被考虑在内。同时,还有最重要的一点,即无论是网络本身还是操作系统与应用程序,它们最终都是要由人来操作和使用的,所以还有一个重要的安全问题就是用户的安全性。 图2-2 五层次的网络系统安全体系结构 目前,如图2-2的五层次网络系统安全体系结构己得到了国际网络安全界的广泛承认和支持,并已将这一安全体系理沦应用在许多安全产品之中。 2.1.4信息安全架构 表2-4 信息安全 信息传输安全 （动态安全） 数据加密 数据完整性的鉴别 信息存储安全 （静态安全） 数据库安全 终端安全 信息的防止泄密 信息内容审计 用户 鉴别 授权 我们认为信息系统网络的安全是一项复杂的系统工程,它的实现不仅是纯粹的技术方面问题,而且需要法律、管理、社会因素等的配合。在研究已有安全体系结构的基础上,结合新的信息系统安全特点,提出了如下一种实用的信息系统安全体系结构。 图2-3 从信息系统总体安全模型中可看出各层之间相互依赖,下层向上层提供支持,上层依赖下层的完善,最终综合起来,实现一个总体的信息系统的安全模型。在第一层主要是考虑了法律因素的作用,而从第二层到第四层,则主要是考虑了管理因素的作用,当然,这里管理的含义是广义的。在最后的三层中,即从第五层到第七层,不再考虑各种物理或管理的安全因素,而只考虑纯技术的因素在网络安全中的作用。