网络安全体系结构.ppt

3．DISSP提供的安全体系结构及其特点DISSP提供的安全体系结构框架可用如图2.3所示的三维空间模型来表示。图中空间的三维分别代表：网络安全特性与部分操作特性、网络与信息系统的组成部分、OSI网络结构层及其扩展层。3．DISSP提供的安全体系结构及其特点与OSI安全体系结构（ISO7498—2）相比，DISSP安全体系结构具有如下特点：（1）从最高层着眼，统筹解决全部国防网络与信息系统的安全问题，不允许任何下属层次各自为政并分别建立自己的安全体系。（2）把网络与信息系统的组成简化归结为4个部分，即端系统、网络、接口和安全管理。这样便于网络与信息系统的管理人员与安全体系设计人员之间的协商与协作，便于安全策略的落实和安全功能的完善。这是该安全体系结构的一大创新。（3）在网络安全特性中增列了“物理、规程和人员安全”特性，第一次将有关安全的法律、法令、规程及人事管理等工作都纳入安全体系结构，使安全问题能够更有效地全面统筹解决。（4）把在网络安全体系受到局部破坏或功能降低情况下，仍能继续工作且受敌危害最小的特性，列为要求的安全特性。（5）从多个角度，特别强调了在确保网络安全性的同时，保证网络具有足够的互操作性。TCP/IP是传输控制协议/网际协议（TransmissionControlProtocol/InternetProtocol）的英文缩写。经过多年的演变发展，今天TCP/IP体系结构已经成为Internet所采用的网络协议，成为全世界应用最广泛的网络体系结构。TCP/IP体系结构虽然不同于OSI体系结构，不是国际标准化组织（ISO）所制定的标准，但已被全世界公认为一种具有很大影响的事实上的标准。所以，研究它的安全体系结构具有重要的现实意义。TCP/IP体系结构OSI体系结构应用层FTP（文件传输协议）Telnet（远程登录协议）SMTP（简单邮件传输协议）SNMP（简单网络管理协议）应用层（AL）表示层（PL）会话层（SL）传送层TCP（传输控制协议）、UDP（用户数据报文协议）传输层（TL）互联网层路由协议IP（网际协议）ICMP（网络互联控制报文协议）网络层（NL）ARP（地址解析协议）、RARP（反向地址解析协议）网络接口层不指定数据链路层（DLL）物理层（PHL）TCP/IP体系结构也是一种分层结构，其中的每一层，都对应于OSI体系结构的某一层或某几层。具体对应关系见表2.4。表2.5基于TCP/IP的网络安全体系结构中安全服务按网络层次的配置安全服务TCP/IP体系结构层次网络接口层互联网层传输层应用层对等实体鉴别√√√访问控制√√√数据保密√√√√数据完整性√√√数据源点鉴别√√√抗抵赖√协议是网络的同一层次实体之间、为了相互配合完成本层次功能而作的约定。所以，协议是网络体系结构的最终体现形式。对于网络安全体系结构而言，它的基本构成成分和最终体现形式就是网络安全协议。3.1网络安全协议与标准的基本概念*在网络中，计算机与计算机之间的通信是机器与机器之间的通信，其不同于人与人之间通信的最大特点是必须对所传递信息的符号格式、传送速率、差错控制、含义理解等，预先作出明确严格的统一规定或约定，成为共同承认和遵守的规则，才能保证信息传递的可靠和有效，并在传递完成后得到相应的正确处理。这些为进行网络中的信息交换而建立的共同规则、标准或约定，称为网络协议（Protocol）在网络的实际应用中，计算机系统与计算机系统之间的互联、互通、互操作过程，一般都不能只依靠一种协议，而需要执行许多种协议才能完成。全部网络协议以层次化的结构形式所构成的集合，就称为网络体系结构。网络安全体系结构大致可分为三类：1第一类是国际标准化组织（ISO）制定的开放2系统互联/考模型（OSI/RM，OpenSystem3Interconnection/ReferenceModel）。4第二类是有关行业成为既成事实的标准，已得5到相当普遍的接受，典型代表如著名的TCP/IP协6议体系结构。7第三类，就是各生产厂商自己制定的协议标8准。9开放系统互联/参考模型（OSI/RM）1．保密性保密性是指确保非授权用户不能获得网络信息资源的性能。为此要求网络具有良好的密码体制、密钥管理、传输加密保护、存储加密保护、防电磁泄漏等功能。2．完整性完整性是指确保网络信息不被非法修改、删除或增添，以保证信息正确、一致的性能。为此要求网络的软件、存储介质