网络安全的实现和管理

0我所理解的网络安全架构《网络安全的实现和管理》班级：学号：姓名：教师：成绩：1目录：我所理解的网络安全架构..............................................................................................................2(一)网络安全应具有以下五个方面的特征..................................................................2(二)影响网络安全性的因素..........................................................................................2(三)如何划分架构（按照攻击方式、协议层次、网络层次等）...............................31.网络攻击主要分为以下几类..............................................................................32.协议层次..............................................................................................................43.网络层次..............................................................................................................4(四)网络安全架构的组成技术和应用场景..................................................................51.数据加密与数字签名..........................................................................................52.CA数字证书.........................................................................................................63.防火墙技术..........................................................................................................64.入侵检测技术......................................................................................................65.VPN技术...............................................................................................................66.NAT技术...............................................................................................................77.IPSEC技术...........................................................................................................7(五)以一个拓扑图来说明网络技术实施的层次和目标...............................................71.拓扑图..................................................................................................................72.实现的层次及目标..............................................................................................72我所理解的网络安全架构网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。(一)网络安全应具有以下五个方面的特征保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性。完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击；可控性：对信息的传播及内容具有控制能力。可审查性：出现的安全问题时提供依据与手段(二)影响网络安全性的因素网络结构因素：网络基本拓扑结构有3种：星型、总线型和环型。一个单位在建立自己的内部网之前，各部门可能已建造了自己的局域网，所采用的拓扑结构也可能完全不同。在建造内部网时，为了实现异构网络间信息的通信，往往要牺牲一些安全机制的设置和实现，从而提出更高的网络开放性要求。网络协议因素：在建造内部网时，用户为了节省开支，必然会保护原有的网络基础设施。另外，网络公司为生存的需要，对网络协议的兼容性要求越来越高，使众多厂商的协议能互联、兼容和相互通信。这在给用户和厂商带来利益的同时，也带来了安全隐患。如在一种协议下传送的有害程序能很快传遍整个网络。地域因素：由于内部网Intranet既可以是LAN也可能是WAN(内部网指的是它不是一个公用网络，而是一个专用网络)，网络往往跨越城际，甚至国际。地3理位置复杂，通信线路质量难以保证，这会造成信息在传输过程中的损坏和丢失，也给一些”黑客”造成可乘之机。用户因素：企业建造自己的内部网是为了加快信息交流，更好地适应市场需求。建立之后，用户的范围必将从企业员工扩大到客户和想了解企业情况的人。用户的增加，也给网络的安全性带来了威胁，因为这里可能就有商业间谍或“黑客”主机因素：建立内部网时，使原来的各局域网、单机互联，增加了主机的种类，如工作站、服务器，甚至小型机、大中型机。由于它们所使用的操作系统和网络操作系统不尽相同，某个操作系统出现漏洞(如某些系统有一个或几个没有口令的账户)，就可能造成整个网络的大隐患。单位安全政策：实践证明，80％的安全问题是由网络内部引起的，因此，单位对自己内部网的安全性要有高度的重视，必须制订出一套安全管理的规章制度。人员因素：人的因素是安全问题的薄弱环节。要对用户进行必要的安全教育，选择有较高职业道德修养的人做网络管理员，制订出具体措施，提高安全意识。(三)如何划分架构（按照攻击方式、协议层次、网络层次等）1.网络攻击主要分为以下几类“攻击”是指任何的非授权行为。供给的范围从简单的使服务器无法提供正常工作到完全破坏或控制服务器。在网络上成功实施的攻击级别依赖于用户采取的安全措施.被动攻击：攻击者通过监视所有的信息流以获得某些秘密。这种攻击可以是基于网络（跟踪通信链路）或基于系统（用秘密抓取数据的特洛伊木马代替系统部件）的。被动攻击是最难被检测到的，故对付这种攻击的重点是预防，主要手段如数据加密等。主动攻击：攻击者试图突破网络的安全防线。这种攻击涉及到修改数据流或创建错误流，主要攻击形式有假冒、重放、欺骗、消息篡改、拒绝服务等。这种攻击无法防御，但却易于检测，故对付的重点是检测，主要手段如防火墙、入侵检测技术等。物理临近攻击：在物理临近攻击中，未授权者可物理上接近网络、系统或设备，目的是修改、收集或拒绝访问信息。内部人员攻击：内部人员攻击的实施人要么被授权在信息安全处理系统的物理范围4内，要么对信息安全处理系统具有直接访问权。内部人员攻击包括恶意的和非恶意的（不小心或无知的用户）两种。分发攻击：指在软件和硬件开发出来之后和安装之前这段时间，或当它从一个地方传到另一个地方时，攻击者恶意修改软、硬件。2.协议层次协议是通信双方为了实现通信而设计的约定或对话规则。网络层协议：包括：IP协议、ICMP协议、ARP协议、RARP协议。传输层协议：TCP协议、UDP协议。应用层协议：FTP、Telnet、SMTP、HTTP、RIP、NFS、DNS。3.网络层次物理层利用物理传输介质为数据链路层提供物理连接，负责处理数据传输率并监控数据出错率，以便透明地传送比特率。它定义了激活、维护和关闭终端用户之间的电气、机械的、过程的和功能的特性。物理层的特性包括电压、频率、数据传输率、最大传输距离、物理连接器及相关的属性。数据链路层在物理层提供比特率传输服务的基础上，数据链路层通过在通信的实体之间建立数据链路连接，传送以“帧”为单位的数据，使有差错的物理线路变成无差错的数据链路，保证点到点可靠的数据传输，因此，数据链路层关心的主要问题包括物理地址、网络拓扑、线路规则、错误通告、数据帧的有序传输和流量控制。网络层网络层的主要功能为处在不同的网络系统中的两个节点设备通信提供一条逻辑网道。其基本任务包括路由选择、拥塞控制与网络互联等功能。传输层传输层主要任务是向用户提供可靠地端到端服务，透明地传送报文。它向高层屏蔽了下层数据通信的细节，因而是计算机通信体系结构中的最关键的一层。该层关心的主要问题包括建立、维护和中断虚电路、传输差错校验和恢复以及信息流量控制。5会话层会话层建立、管理和终止应用程序进程之间的会话和数据的交换。这种会话关系是由两个或多个表示层实体之间的对话构成的。表示层表示层保证一个系统应用层发出的信息能被另一个系统的应用层读出。如有必要，表示层以一种通用的数据表示格式在多种数据表示格式之间的转换，它包括数据格式变换、数据加密与解密、数据压缩与恢复等功能。应用层应用层是OSI参考模型中最靠近用户的一层，它为用户的应用程序提供网络服务，这些应用程序包括电子数据表格程序、字处理程序和银行终端程序等，应用层识别并证实目的的通信方的可用性，使协同工作的应用程序之间进行同步，建立传输错误纠正和数据完整性控制方面的协定，判断是否为所需的通信过程留有足够的资源。(四)网络安全架构的组成技术和应用场景1.数据加密与数字签名常用的数据加密技术主要有两种：私密密钥加密技术：私密密钥加密技术也称对称密钥加密技术，密钥在加密方和解密方之间传递和分发必须通过安全通道进行，在公共网络上使用明文传递秘密密钥是不合适的。如果密钥没有已安全方式传送，那么黑客就很有可能截获该密钥，并将该密钥用于信息解密。因此，在公共网络上，秘密密钥技术不适合于实现互不相识的通信者之间的信息传递。公开密钥加密技术：公开密钥加密也称为非对称密钥加密公开密钥加密技术其优势在于不需要共享通用的密钥。公钥可以再公共网络上进行传递和分发，公开密钥加密技术的主要缺点是加密算法复杂，加密与解密速度比较慢，被加密的数据块长度不宜过太大。数字签名：数字签名作为验证发送者身份和消息完整性的根据。公共密钥系统(如RSA)基于私有/公共密钥对，作为验证发送者身份和消息完整性的根据。CA使用私有密钥计算其数字签名，利用CA提供的公共密钥，任何人均可验证签名的真实性。伪造数字签名从计算能力上是不可行的62.CA数字证书CA是证书的签发机构,它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策