{安全生产管理}网络安全管理基础.docxVIP

{安全生产管理}网络安全管理基础  图1-1 1.2网络体系结构的参考模型 网络体系结构的参考模型主要有两种：OSI模型和TCP/IP模型。 1.2.1OSI参考模型 现代计算机网络的设计，是按高度结构化方式进行的。为减少协议设计的复杂性，大多数网络都按层或级的方式来组织，每一层都建立在它的下层之上。不同的网络，其层的数量，各层的名字、内容和功能都不尽相同。然而，在所有的网络中，每一层的目的都是向它的上一层提供服务的，而把这种服务是如何实现的细节对上层加以屏蔽。 最著名的网络体系结构是国际标准化组织ISO的开放系统互连（OpenSystemInterconnection，OSI）参考模型，即通常所提的OSI模型。OSI模型有7层，其分层原则如下： 根据功能的需要分层。 每一层应当实现一个定义明确的功能。 每一层功能的选择应当有利于制定国际标准化协议。 各层界面的选择应当尽量减少通过接口的信息量。 层数应足够多，以避免不同的功能混杂在同一层中。但也不能过多，否则体系结构会过于庞大。 OSI参考模型由低到高依次是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层，其体系结构如图1-2所示。 图1-2 1.2.2TCP/IP协议结构体系 OSI参考模型的建立是计算机网络技术发展的一个里程碑，它为网络的标准化提供了一致的框架和前景。但由于OSI参考模型的庞大，因此在建立网络时，并没有完全依赖OSI参考模型。事实上，基于TCP/IP协议的Internet网络有着自己的网络体系结构——TCP/IP网络体系结构。这种体系结构，目前已经成为事实上的网络标准。 TCP/IP协议体系结构与OSI参考模型类似，也为分层体系结构，但比OSI参考模型的层数要少，一般为4层结构，从低到高依次为网络接口层、网络层、传输层和应用层，如图1-3所示。 图1-3 1．网络接口层 网络接口层在TCP/IP协议结构的最底层。该层中的协议提供了一种数据传送的方法，使得系统可以通过直接的物理连接的网络，将数据传送到其他设备，并定义了如何利用网络来传送IP数据报。TCP/IP网络接口层一般包括OSI参考模型的物理层和数据链路层的全部功能，因此这一层的协议很多，包括各种局域网、广域网的各种物理网络的标准。 2．网络层 网络层在网络接口的上一层。网络层协议IP是TCP/IP的核心协议，也是网络层中最重要的协议。IP可提供基本的分组传输服务，这是构造TCP/IP的基础。网络层上、下层中的所有协议都使用IP协议传送数据；所有的TCP/IP数据，无论是进来的还是出去的，都流经IP，并与它的最终目的地无关。另外，网络层还有地址转换协议（ARP）和网间控制报文协议（ICMP）两个协议，其中ICMP协议具有测试网络链路和检测网络故障的功能，是IP协议不可分割的一部分。 3．传输层 传输层在网络层的上一层，又称主机到主机传输层。传输层有传输控制协议（TCP）和用户数据报协议（UDP）两个重要的协议，用以提供端到端的数据传输服务，即从一个应用程序到另一个应用程序之间的信息传递。TCP利用端到端的错误检测与纠正功能，提供可靠的数据传输服务。而UDP则提供低开销、无链接的数据报传输服务。 4．应用层 TCP/IP协议体系结构的顶层是协议最多的一层。应用层的协议大多数都为用户提供直接的服务，而且还在不断地增加新的服务。 常见的应用层协议有： Telnet网络终端协议。 FTP文件传输协议。 SMTP简单邮件传输协议。 POP邮件接收协议。 HTTP超文本传输协议。 DNS域名服务等。 1.3系统安全结构 网络系统的安全涉及平台的各个方面。按照网络OSI的7层模型，网络安全贯穿于整个7层模型。针对网络系统实际运行的TCP/IP协议，网络安全贯穿于信息系统的4个层次。网络的安全体系层次模型如表1-1所示。 表1-1网络的安全体系层次模型 应用系统 应用系统安全 应用系统 应用系统安全 应用平台 应用平台安全 链路层 链路安全 会话层 会话安全 物理层 物理层安全 网络层 安全路由/访问机制 1．物理层 物理层信息安全，主要防止物理通路的损坏、物理通路的窃听及对物理通路的攻击（干扰等）。 2．数据链路层 数据链路层的网络安全需要保证通过网络链路传送的数据不被窃听，主要采用划分VLAN（局域网）、加密通信（远程网）等手段。 3．网络层 网络层的安全需要保证网络只给授权的客户使用授权的服务，保证网络路由正确，避免被拦截或监听。 4．操作系统 操作系统安全要求保证客户资料、操作系统访问控制的安全，同时能够对该操作系统上的应用进行审计。 5．应用平台 应用平台指建立在网络系统之上的应用软件服务，如数据库服务器、电子邮件服务器和Web服务器等。由于应用平台的系统非常复杂，通常采用多种技术（如SS