网络安全体系结构.pptxVIP

在网络中，计算机与计算机之间的通信是机器与机器之间的通信，其不同于人与人之间通信的最大特点是必须对所传递信息的符号格式、传送速率、差错控制、含义理解等，预先作出明确严格的统一规定或约定，成为共同承认和遵守的规则，才能保证信息传递的可靠和有效，并在传递完成后得到相应的正确处理。这些为进行网络中的信息交换而建立的共同规则、标准或约定，称为网络协议（Protocol）

在网络的实际应用中，计算机系统与计算机系统之间的互联、互通、互操作过程，一般都不能只依靠一种协议，而需要执行许多种协议才能完成。全部网络协议以层次化的结构形式所构成的集合，就称为网络体系结构。

网络安全体系结构大致可分为三类：1第一类是国际标准化组织（ISO）制定的开放2系统互联/考模型（OSI/RM，OpenSystem3Interconnection/ReferenceModel）。4第二类是有关行业成为既成事实的标准，已得5到相当普遍的接受，典型代表如著名的TCP/IP协6议体系结构。7第三类，就是各生产厂商自己制定的协议标8准。9

开放系统互联/参考模型（OSI/RM）

1．保密性保密性是指确保非授权用户不能获得网络信息资源的性能。为此要求网络具有良好的密码体制、密钥管理、传输加密保护、存储加密保护、防电磁泄漏等功能。2．完整性完整性是指确保网络信息不被非法修改、删除或增添，以保证信息正确、一致的性能。为此要求网络的软件、存储介质，以及信息传递与交换过程中都具有相应的功能。

3．可用性可用性是指确保网络合法用户能够按所获授权访问网络资源，同时防止对网络非授权访问的性能。为此要求网络具有身份识别、访问控制，以及对访问活动过程进行审计的功能。4．可控性可控性是指确保合法机构按所获授权能够对网络及其中的信息流动与行为进行监控的性能。为此要求网络具有相应的多方面的功能。5．抗抵赖性抗抵赖性又称不可否认性，是指确保接收到的信息不是假冒的，而发信方无法否认所发信息的性能。为此要求网络具有数字取证、证据保全等功能。

基于上述对网络安全体系结构的需求，作为一般手段的网络安全体系结构，其任务并不是为任何具体的网络提供具体的网络安全方案，而是提供有关形成网络安全方案的方法和若干必须遵循的思路、原则和标准。它给出关于网络安全服务和网络安全机制的一般描述方式，以及各种安全服务与网络体系结构层次的对应关系。

OSI安全体系结构的核心内容是：以实现完备的网络安全功能为目标，描述了6类安全服务，以及提供这些服务的8类安全机制和相应的OSI安全管理，并且尽可能地将上述安全服务配置于开放系统互联/参考模（OSI/RM）7层结构的相应层。

OSI安全体系结构的三维空间表示

表2.1OSI安全体系结构描述的6类安全服务及其作用序号安全服务作用1对等实体鉴别确保网络同一层次连接两端的对等实体身份真实、合法2访问控制防止未经许可的用户访问OSI网络的资源3数据保密防止未经许可暴露网络中数据的内容4数据完整性确保接收端收到的信息与发送端发出的信息完全一致，防止在网络中传输的数据因网络服务质量不良而造成错误或丢失，并防止其受到非法实体进行的篡改、删除、插入等攻击5数据源点鉴别由OSI体系结构的第N层向其上一层即第（N+1）层提供关于数据来源为一对等（N+1）层实体的鉴别6抗抵赖，又称不容否认防止数据的发送者否认曾经发送过该数据或数据中的内容，防止数据的接收者否认曾经收到过该数据或数据中的内容

表2.2OSI安全体系结构中安全服务按网络层次的配置安全服务网络层次物理层数据链路层网络层传输层会话层表示层应用层对等实体鉴别√√√访问控制√√√√数据保密√√√√√√数据完整性√√√数据源点鉴别√√√√抗抵赖√√

按照OSI安全体系结构，为了提供上述6类安全服务，采用下列8类安全机制来实现：（1）加密。（2）数据签名（3）访问控制（4）数据完整性（5）交换鉴别（6）信息流填充（7）路由控制（8）公证

表2.3OSI安全体系结构中安全机制与安全服务的对应关系安全服务安全机制数据加密数据签名访问控制数据完整性交换鉴别信息流填充路由控制公证对等实体鉴别√√√√访问控制√数据保密√√√数据完整性√√√数据源点鉴别√√抗抵赖√√√

美国国防部为了使其所有信息系统的安全配置具有充分的一致性、有效性和互操作性，由国防信息系统（DISA）与国家安全局（NSA）合作开发了国防部目标安全体系结构（DGSA），并载入了1996年国防信息系统局发布的、为国防信息基础设施（DII）提供详细发展蓝图的信息管理技术体系结构框架（TAFIM）