项目一任务35网络管理和网络安全.ppt

2 网络安全概述 2.4 计算机系统安全技术标准 国际上对计算机安全问题是非常重视的，有专门的公司在研制有关产品，也制定了许多标准，下面介绍几种计算机系统安全技术标准。 （1）国际标准化组织对安全体系结构的论述。国际标准化组织ISO7498-2中描述的OSI参考模型安全体系结构的5种安全服务项目如下： ① 鉴别（authentication）； ② 访问控制（access control）； ③ 数据保密（data confidentiality）； ④ 数据完整性（data integrity）； ⑤ 抗否认（non-reputation）。 2 网络安全概述 为了实现以上服务，制定了8种安全机制，分别是： ① 加密机制（encryption mechanisms）； ② 数字签名机制（digital signature mechanisms）； ③ 访问控制机制（access control mechanisms）； ④ 数据完整性机制（data integrity mechanisms）； ⑤ 鉴别交换机制（authentication mechanisms）； ⑥ 通信业务填充机制（traffic padding mechanisms）； ⑦ 路由控制机制（routing control mechanisms）； ⑧ 公证机制（notarization mechanisms）。 2 网络安全概述 （2）美国国家计算机安全中心的TCSEC提出的《可信计算机系统评测标准》（Trusted Computer System Evaluation Criteria，TCSEC），将计算机系统的安全分为A、B、C、D四类7级。 不同计算机信息系统可根据需要选用不同安全保密强度的不同标准，如军事、国防为A、B类，金融、财贸为BI、C2级或更高级的计算机系统。可信系统评价准则见下表。 2 网络安全概述 2 网络安全概述 2.5 我国计算机信息系统安全保护等级的划分 国家质量技术监督局于1999年9月13日发布，2001年1月l日起实施，标准规定了计算机信息系统安全保护能力的五个等级 ① 第一级，用户自主保护级； ② 第二级，系统审计保护级； ③ 第三级，安全标记保护级； ④ 第四级，结构化保护级； ⑤ 第五级，访问验证保护级。 2 网络安全概述 该标准适用于计算机信息系统安全保护技术能力等级的划分。计算机信息系统安全保护能力随着安全保护等级的增加，逐渐增强。等级划分准则具体内容如下。 （1）第一级，用户自主保护级 本级别包括以下内容。 ① 自主访问控制。 ② 身份鉴别。 ③ 数据完整性。 （2）第二级，系统审计保护级 本级别包括以下内容。 ① 自主访问控制，控制访问权限扩散。 ② 身份鉴别。 ③ 客体重用。 ④ 审计。 ⑤ 数据完整性。 2 网络安全概述 （3）第三级，安全标记保护级。 本级别包括以下内容。 ① 自主访问控制，控制访问权限扩散。 ② 强制访问控制。 ③ 标记。 ④ 身份鉴别。 ⑤ 客体重用。 ⑥ 审计。 ⑦ 数据完整性。 2 网络安全概述 （4）第四级，结构化保护级。 本级别包括以下内容。 ① 自主访问控制。同安全标记保护级。 ② 强制访问控制。 ③ 标记。 ④ 身份鉴别。 ⑤ 客体重用。 ⑥ 审计。 ⑦ 数据完整性。 ⑧ 隐蔽信道分析。 ⑨ 可信路径。 2 网络安全概述 （5）第五级，访问验证保护级。 本级别包括以下内容。 ① 自主访问控制。 ② 强制访问控制。 ③ 标记。 ④ 身份鉴别。 ⑤ 客体重用。 ⑥ 审计。 ⑦ 数据完整性。 ⑧ 隐蔽信息分析。 ⑨ 可信路径。 ⑩ 可信恢复。 3 网络数据加密与认证技术 3.1 加密的基本概念 “加密”是一种限制对网络上传输数据的访问权的技术。原始数据也称为明文，（plaintext）被加密设备（硬件或软件）和密钥加密而产生的经过编码的数据称为密文（ciphertext） 1. 加密的基本功能包括如下几方面： （1）防止不速之客查看机密的数据文件； （2）防止机密数据被泄露或篡改； （3）防止特权用户（如系统管理员）查看私人数据文件； 3 网络数据加密与认证技术 2.数据加密可在网络OSI参考模型七层协议的多层上实现，所以从加密技术应用的逻辑位置看，有如下三种方式。 （1）链路加密：通常把网络层以下的加密叫链路加密，主要用于保护通信节点间传输的数据，加解密由置于线路上的密码设备实现。根据传递的数据的同步方式又可分为同步通信加密和异步通信加密两种，同步通信加密又包含字节同步通信加密和