第1章 網(wǎng)絡(luò)安全概述

第1章網(wǎng)絡(luò)安全概述主編賈鐵軍副主編陳國秦蘇慶剛沈?qū)W東編著王堅(jiān)王小剛宋少婷上海教育高地建設(shè)項(xiàng)目高等院校規(guī)劃教材網(wǎng)絡(luò)安全技術(shù)及應(yīng)用（第2版）上海市精品課程網(wǎng)絡(luò)安全技術(shù)課程安排建議課程學(xué)時(shí)及考核考核辦法：

上機(jī)考與卷面考核相結(jié)合、理論與實(shí)踐相結(jié)合、課內(nèi)與課外相結(jié)合、知識(shí)素質(zhì)和能力考核相結(jié)合。

期末考試成績占60%,平時(shí)成績和實(shí)驗(yàn)占40%.

上海市重點(diǎn)課程建設(shè)項(xiàng)目課程網(wǎng)站：資源鏈接

/webanq/

輔導(dǎo)答疑：周三圖724教授工作室及網(wǎng)上答疑課后作業(yè)：網(wǎng)站“答疑解惑”-[網(wǎng)上作業(yè)與實(shí)踐題]

目錄1.2網(wǎng)絡(luò)安全的威脅和風(fēng)險(xiǎn)

21.3網(wǎng)絡(luò)安全體系結(jié)構(gòu)及模型31.4常用網(wǎng)絡(luò)安全技術(shù)概述4

1.1網(wǎng)絡(luò)安全的概念特征及內(nèi)容1

*1.5實(shí)體安全與隔離技術(shù)5*1.6構(gòu)建虛擬局域網(wǎng)實(shí)驗(yàn)61.7本章小結(jié)7教學(xué)目標(biāo)

●

掌握網(wǎng)絡(luò)安全的概念、特征、目標(biāo)及內(nèi)容

●了解網(wǎng)絡(luò)面臨的威脅及其因素分析

●

掌握網(wǎng)絡(luò)安全模型、網(wǎng)絡(luò)安全體系和常用網(wǎng)絡(luò)安全技術(shù)

●了解實(shí)體安全技術(shù)的概念、內(nèi)容、措施和隔離技術(shù)

●理解構(gòu)建設(shè)置虛擬局域網(wǎng)的實(shí)驗(yàn)重點(diǎn)

教學(xué)目標(biāo)重點(diǎn)

網(wǎng)絡(luò)安全威脅觸目驚心。21世紀(jì)信息時(shí)代，信息成為國家的重要戰(zhàn)略資源。世界各國都不惜巨資，優(yōu)先發(fā)展和強(qiáng)化網(wǎng)絡(luò)安全。強(qiáng)國推行信息壟斷和強(qiáng)權(quán)，依仗信息優(yōu)勢控制弱國的信息技術(shù)。正如美國未來學(xué)家托爾勒所說：“誰掌握了信息,誰控制了網(wǎng)絡(luò),誰就將擁有整個(gè)世界。”科技競爭的重點(diǎn)是對信息技術(shù)這一制高點(diǎn)的爭奪.據(jù)2013年6月日本《外交學(xué)者》報(bào)道，即使美國監(jiān)控各國網(wǎng)絡(luò)信息的“棱鏡”事件已經(jīng)引起世界轟動(dòng),印度政府仍在進(jìn)行類似的項(xiàng)目。信息、資本、人才和商品的流向逐漸呈現(xiàn)出以信息為中心的競爭新格局。網(wǎng)絡(luò)安全成為決定國家政治命脈、經(jīng)濟(jì)發(fā)展、軍事強(qiáng)弱和文化復(fù)興的關(guān)鍵因素。軍事上，在海灣戰(zhàn)爭初期，美軍對伊拉克實(shí)施網(wǎng)絡(luò)戰(zhàn)，使其防空指揮控制系統(tǒng)失靈而亡國。1.1.1網(wǎng)絡(luò)安全的概念及特征

案例1-11.1網(wǎng)絡(luò)安全的概念特征和內(nèi)容

ISO提出信息安全的定義是：為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)及管理保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件、數(shù)據(jù)不因偶然及惡意的原因而遭到破壞、更改和泄漏。

我國定義信息安全為：計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)，應(yīng)當(dāng)保障計(jì)算機(jī)及其相關(guān)的配套設(shè)備、設(shè)施（含網(wǎng)絡(luò)）的安全，運(yùn)行環(huán)境的安全，保障信息的安全，保障計(jì)算機(jī)功能的正常發(fā)揮，以維護(hù)計(jì)算機(jī)信息系統(tǒng)安全運(yùn)行。

1.1網(wǎng)絡(luò)安全的概念特征和內(nèi)容1.1.1網(wǎng)絡(luò)安全的概念及特征

1.信息安全及網(wǎng)絡(luò)安全的概念1.信息安全及網(wǎng)絡(luò)安全的概念

計(jì)算機(jī)網(wǎng)絡(luò)安全是指利用計(jì)算機(jī)網(wǎng)絡(luò)管理控制和技術(shù)措施，保證網(wǎng)絡(luò)系統(tǒng)及數(shù)據(jù)的保密性、完整性、網(wǎng)絡(luò)服務(wù)可用性和可審查性受到保護(hù)。狹義上，網(wǎng)絡(luò)安全是指計(jì)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不受有害因素的威脅和危害。廣義上，凡是涉及到計(jì)算機(jī)網(wǎng)絡(luò)信息安全屬性特征（保密性、完整性、可用性、可控性、可審查性）的相關(guān)技術(shù)和理論，都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全問題包括兩方面內(nèi)容，一是網(wǎng)絡(luò)的系統(tǒng)安全，二是網(wǎng)絡(luò)的信息安全，而網(wǎng)絡(luò)安全的最終目標(biāo)和關(guān)鍵是保護(hù)網(wǎng)絡(luò)的信息（數(shù)據(jù)）安全。1.1網(wǎng)絡(luò)安全的概念特征和內(nèi)容2.網(wǎng)絡(luò)安全的特征及目標(biāo)

網(wǎng)絡(luò)安全定義中的保密性、完整性、可用性、可控性、可審查性，反映了網(wǎng)絡(luò)信息安全的基本特征和要求。反映了網(wǎng)絡(luò)安全的基本屬性、要素與技術(shù)方面的重要特征。

(1)保密性。也稱機(jī)密性，是強(qiáng)調(diào)有用信息只被授權(quán)對象使用的安全特征。

(2)完整性。是指信息在傳輸、交換、存儲(chǔ)和處理過程中，保持信息不被破壞或修改、不丟失和信息未經(jīng)授權(quán)不能改變的特性，也是最基本的安全特征。

(3)可用性。也稱有效性，指信息資源可被授權(quán)實(shí)體按要求訪問、正常使用或在非正常情況下能恢復(fù)使用的特性（系統(tǒng)面向用戶服務(wù)的安全特性）。1.1網(wǎng)絡(luò)安全的概念特征和內(nèi)容

(4)可控性。是指信息系統(tǒng)對信息內(nèi)容和傳輸具有控制能力的特性，指網(wǎng)絡(luò)系統(tǒng)中的信息在一定傳輸范圍和存放空間內(nèi)可控程度。

(5)可審查性。又稱拒絕否認(rèn)性（No-repudiation）、抗抵賴性或不可否認(rèn)性，指網(wǎng)絡(luò)通信雙方在信息交互過程中，確信參與者本身和所提供的信息真實(shí)同一性。網(wǎng)絡(luò)安全研究的目標(biāo)是在計(jì)算機(jī)和通信領(lǐng)域的信息傳輸、存儲(chǔ)與處理的整個(gè)過程中，提供物理上、邏輯上的防護(hù)、監(jiān)控、反應(yīng)恢復(fù)和對抗的能力，以保護(hù)網(wǎng)絡(luò)信息資源的保密性、完整性、可控性和抗抵賴性。網(wǎng)絡(luò)安全的最終目標(biāo)是保障網(wǎng)絡(luò)上的信息安全。解決網(wǎng)絡(luò)安全問題需要安全技術(shù)、管理、法制、教育并舉，從安全技術(shù)方面解決網(wǎng)絡(luò)安全問題是最基本的方法。1.1網(wǎng)絡(luò)安全的概念特征和內(nèi)容1.1.2網(wǎng)絡(luò)安全涉及的主要內(nèi)容

1．網(wǎng)絡(luò)安全涉及的主要內(nèi)容從層次結(jié)構(gòu)上，可將網(wǎng)絡(luò)安全所涉及的內(nèi)容概括為以下五個(gè)方面

(1)實(shí)體安全。也稱物理安全，指保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施及其他媒介免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故破壞的措施及過程。包括環(huán)境安全、設(shè)備安全和媒體安全三個(gè)方面。實(shí)體安全是信息系統(tǒng)安全的基礎(chǔ)。1.1網(wǎng)絡(luò)安全的概念特征和內(nèi)容

(2)運(yùn)行安全。包括網(wǎng)絡(luò)運(yùn)行和網(wǎng)絡(luò)訪問控制的安全,如設(shè)置防火墻實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離、備份系統(tǒng)實(shí)現(xiàn)系統(tǒng)的恢復(fù)。包括：內(nèi)外網(wǎng)的隔離機(jī)制、應(yīng)急處置機(jī)制和配套服務(wù)、網(wǎng)絡(luò)系統(tǒng)安全性監(jiān)測、網(wǎng)絡(luò)安全產(chǎn)品運(yùn)行監(jiān)測、定期檢查和評估、系統(tǒng)升級和補(bǔ)丁處理、跟蹤最新安全漏洞、災(zāi)難恢復(fù)機(jī)制與預(yù)防、安全審計(jì)、系統(tǒng)改造、網(wǎng)絡(luò)安全咨詢等。

(3)系統(tǒng)安全。主要包括操作系統(tǒng)安全、數(shù)據(jù)庫系統(tǒng)安全和網(wǎng)絡(luò)系統(tǒng)安全。主要以網(wǎng)絡(luò)系統(tǒng)的特點(diǎn)、實(shí)際條件和管理要求為依據(jù)，通過有針對性地為系統(tǒng)提供安全策略機(jī)制、保障措施、應(yīng)急修復(fù)方法、安全建議和安全管理規(guī)范等，確保整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。1.1網(wǎng)絡(luò)安全的概念特征和內(nèi)容

(4)應(yīng)用安全。由應(yīng)用軟件開發(fā)平臺(tái)安全和應(yīng)用系統(tǒng)數(shù)據(jù)安全兩部分組成。包括：應(yīng)用軟件的程序安全性測試分析、業(yè)務(wù)數(shù)據(jù)安全檢測與審計(jì)、數(shù)據(jù)資源訪問控制驗(yàn)證測試、實(shí)體的身份鑒別檢測、業(yè)務(wù)現(xiàn)場的備份與恢復(fù)機(jī)制檢查、數(shù)據(jù)的唯一性/一致性/防沖突檢測、數(shù)據(jù)保密性測試、系統(tǒng)可靠性測試和系統(tǒng)的可用性測試等。

（5)管理安全。主要指對人員及網(wǎng)絡(luò)系統(tǒng)安全管理的各種法律、法規(guī)、政策、策略、規(guī)范、標(biāo)準(zhǔn)、技術(shù)手段、機(jī)制和措施等內(nèi)容。管理安全包括：法律法規(guī)、政策策略管理、規(guī)范標(biāo)準(zhǔn)管理、人員管理、應(yīng)用系統(tǒng)使用管理、軟件管理、設(shè)備管理、文檔管理、數(shù)據(jù)管理、操作管理、運(yùn)營管理、機(jī)房管理、安全培訓(xùn)管理等。圖1-1網(wǎng)絡(luò)安全主要內(nèi)容1.1網(wǎng)絡(luò)安全的概念特征和內(nèi)容2．網(wǎng)絡(luò)安全內(nèi)容的相互關(guān)系網(wǎng)絡(luò)安全與信息安全相關(guān)內(nèi)容及其相互關(guān)系,如圖1-2所示。

圖1-2網(wǎng)絡(luò)安全與信息安全相關(guān)內(nèi)容

1.1網(wǎng)絡(luò)安全的概念特征和內(nèi)容

討論思考：（1）網(wǎng)絡(luò)安全的概念和主要特征是什么？（2）網(wǎng)絡(luò)安全研究的目標(biāo)是什么？（3）網(wǎng)絡(luò)安全研究的主要內(nèi)容有哪些？1.1網(wǎng)絡(luò)安全的概念特征和內(nèi)容1.2網(wǎng)絡(luò)安全的威脅和風(fēng)險(xiǎn)

美國網(wǎng)絡(luò)間諜活動(dòng)公諸于世。2013年6月曾經(jīng)參加美國安全局網(wǎng)絡(luò)監(jiān)控項(xiàng)目的斯諾登披露“棱鏡事件”，在香港公開爆料美國多次秘密利用超級軟件監(jiān)控網(wǎng)絡(luò)用戶和電話記錄，包括谷歌、雅虎、微軟、蘋果等九大公司幫助提供漏洞參數(shù)、開放服務(wù)器等，使其輕而易舉地監(jiān)控有關(guān)國家機(jī)構(gòu)或上百萬網(wǎng)民的郵件、即時(shí)通話及相關(guān)數(shù)據(jù)。據(jù)稱，思科參與了中國幾乎所有大型網(wǎng)絡(luò)項(xiàng)目的建設(shè)，涉及政府、軍警、金融、海關(guān)、郵政、鐵路、民航、醫(yī)療等要害部門，以及中國電信、聯(lián)通等電信運(yùn)營商的網(wǎng)絡(luò)基礎(chǔ)建設(shè)。

1.2.1網(wǎng)絡(luò)安全的主要威脅案例1-21.2網(wǎng)絡(luò)安全的威脅和風(fēng)險(xiǎn)

我國網(wǎng)絡(luò)遭受攻擊近況。根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心CNCERT抽樣監(jiān)測結(jié)果和國家信息安全漏洞共享平臺(tái)CNVD發(fā)布的數(shù)據(jù)，2013年6月10日至16日一周境內(nèi)被篡改網(wǎng)站數(shù)量為6012個(gè)；境內(nèi)被植入后門的網(wǎng)站數(shù)量為2619個(gè)；針對境內(nèi)網(wǎng)站的仿冒頁面數(shù)量為1022個(gè)。本周境內(nèi)被篡改政府網(wǎng)站數(shù)量為410個(gè)；境內(nèi)被植入后門的政府網(wǎng)站數(shù)量為94個(gè);針對境內(nèi)網(wǎng)站的仿冒頁面涉及域名694個(gè),IP地址281個(gè)。本周境內(nèi)感染網(wǎng)絡(luò)病毒的主機(jī)數(shù)量約為88.6萬個(gè)，其中包括境內(nèi)被木馬或被僵尸程序控制的主機(jī)約37.9萬以及境內(nèi)感染飛客（Conficker）蠕蟲的主機(jī)約50.7萬。1.2.1網(wǎng)絡(luò)安全的主要威脅1.網(wǎng)絡(luò)安全的威脅及其途徑案例1-31.2網(wǎng)絡(luò)安全的威脅和風(fēng)險(xiǎn)

1.2.1網(wǎng)絡(luò)安全的主要威脅隨著信息技術(shù)的快速發(fā)展和廣泛應(yīng)用，國內(nèi)外網(wǎng)絡(luò)被攻擊或病毒侵?jǐn)_等威脅的狀況，呈現(xiàn)出上升的態(tài)勢，威脅的類型及途徑變化多端。一些網(wǎng)絡(luò)系統(tǒng)及操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)資源和應(yīng)用服務(wù)都成為黑客攻擊的主要目標(biāo).黑客攻擊、病毒傳播等威脅的主要途徑。如圖1-3所示。

圖1-3網(wǎng)絡(luò)安全威脅的主要途徑

2.網(wǎng)絡(luò)安全威脅的類型

表1-1網(wǎng)絡(luò)安全的主要威脅種類

威脅類型主要威脅非授權(quán)訪問通過口令、密碼和系統(tǒng)漏洞等手段獲取系統(tǒng)訪問權(quán)竊聽竊聽網(wǎng)絡(luò)傳輸信息偽造將偽造的信息發(fā)送給他人篡改攻擊者對合法用戶之間的通信信息篡改后，發(fā)送給他人竊取盜取系統(tǒng)重要的軟件或硬件、信息和資料截獲/修改數(shù)據(jù)在網(wǎng)絡(luò)系統(tǒng)傳輸中被截獲、刪除、修改、替換或破壞訛傳攻擊者獲得某些非正常信息后，發(fā)送給他人行為否認(rèn)通信實(shí)體否認(rèn)已經(jīng)發(fā)生的行為旁路控制利用系統(tǒng)的缺陷或安全脆弱性的非正?？刂平孬@攻擊者從有關(guān)設(shè)備發(fā)出的無線射頻或其他電磁輻射中獲取信息人為疏忽已授權(quán)人為了利益或由于疏忽將信息泄漏給未授權(quán)人信息泄露信息被泄露或暴露給非授權(quán)用戶物理破壞通過計(jì)算機(jī)及其網(wǎng)絡(luò)或部件進(jìn)行破壞，或繞過物理控制非法訪問病毒木馬利用計(jì)算機(jī)木馬病毒及惡意軟件進(jìn)行破壞或惡意控制他人系統(tǒng)拒絕服務(wù)攻擊攻擊者以某種方式使系統(tǒng)響應(yīng)減慢甚至癱瘓，阻止用戶獲得服務(wù)服務(wù)欺騙欺騙合法用戶或系統(tǒng)，騙取他人信任以便謀取私利冒名頂替假冒他人或系統(tǒng)用戶進(jìn)行活動(dòng)資源耗盡故意超負(fù)荷使用某一資源，導(dǎo)致其他用戶服務(wù)中斷消息重發(fā)重發(fā)某次截獲的備份合法數(shù)據(jù)，達(dá)到信任并非法侵權(quán)目的陷阱門設(shè)置陷阱“機(jī)關(guān)”系統(tǒng)或部件，騙取特定數(shù)據(jù)以違反安全策略媒體廢棄物利用媒體廢棄物得到可利用信息，以便非法使用信息戰(zhàn)為國家或集團(tuán)利益，通過信息戰(zhàn)進(jìn)行網(wǎng)絡(luò)干擾破壞或恐怖襲擊1.2網(wǎng)絡(luò)安全的威脅和風(fēng)險(xiǎn)

中國黑客利益產(chǎn)業(yè)鏈正在形成。根據(jù)2010年數(shù)據(jù)調(diào)查顯示，中國的木馬產(chǎn)業(yè)鏈一年的收入已經(jīng)達(dá)到了上百億元。湖北麻城市警方就破獲了一個(gè)制造傳播木馬的網(wǎng)絡(luò)犯罪團(tuán)伙。這也是國內(nèi)破獲的第一個(gè)上下游產(chǎn)業(yè)鏈完整的木馬犯罪案件。犯罪嫌疑人楊某年僅20歲，以雪落的瞬間的網(wǎng)名，編寫販賣木馬程序。犯罪嫌疑人韓某年僅22歲，網(wǎng)上人稱黑色靚點(diǎn)，是木馬編寫作者雪落的瞬間的總代理。原本互不相識(shí)的幾位犯罪嫌疑人，從2008年10月開始，在不到半年的時(shí)間就非法獲利近200萬元。案例1-41.2.2網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)因素1.2網(wǎng)絡(luò)安全的威脅和風(fēng)險(xiǎn)黑客灰鴿子產(chǎn)業(yè)鏈，如圖1-4所示。圖1-4灰鴿子產(chǎn)業(yè)鏈1.2.2網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)因素1.2網(wǎng)絡(luò)安全的威脅和風(fēng)險(xiǎn)1）網(wǎng)絡(luò)系統(tǒng)本身的缺陷。2）軟件系統(tǒng)的漏洞和隱患。3）黑客攻擊及非授權(quán)訪問。4）網(wǎng)絡(luò)病毒。5）防火墻缺陷。6）法律及管理不完善。

討論思考：（1）網(wǎng)絡(luò)安全威脅的主要途徑是什么？（2）網(wǎng)絡(luò)安全的主要威脅類型有哪些？（3）網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)因素是什么？1.2.2網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)因素

中國是遭受網(wǎng)絡(luò)攻擊最嚴(yán)重的國家之一。2013年6月28日中國外交部發(fā)言人指出，自1994年互聯(lián)網(wǎng)正式引入中國以來，經(jīng)過十幾年快速發(fā)展，互聯(lián)網(wǎng)已經(jīng)成為中國重要的社會(huì)基礎(chǔ)設(shè)施，為促進(jìn)經(jīng)濟(jì)社會(huì)發(fā)展發(fā)揮了重要作用。中國互聯(lián)網(wǎng)始終面臨黑客攻擊、網(wǎng)絡(luò)病毒等違法犯罪活動(dòng)的嚴(yán)重威脅。案例1-61.2網(wǎng)絡(luò)安全的威脅和風(fēng)險(xiǎn)1.3.1網(wǎng)絡(luò)安全的體系結(jié)構(gòu)

1．網(wǎng)絡(luò)安全的保障體系1.3網(wǎng)絡(luò)安全體系結(jié)構(gòu)及模型

(1)網(wǎng)絡(luò)安全保障要素及關(guān)系網(wǎng)絡(luò)安全保障要素包括四個(gè)方面：網(wǎng)絡(luò)安全策略、網(wǎng)絡(luò)安全管理、網(wǎng)絡(luò)安全運(yùn)作和網(wǎng)絡(luò)安全技術(shù)，如圖1-5所示。網(wǎng)絡(luò)安全策略是核心，包括：網(wǎng)絡(luò)安全的戰(zhàn)略、網(wǎng)絡(luò)安全的政策和標(biāo)準(zhǔn)。網(wǎng)絡(luò)安全管理、網(wǎng)絡(luò)安全運(yùn)作和網(wǎng)絡(luò)安全技術(shù)則是“企業(yè)、人與系統(tǒng)”的三元關(guān)系。網(wǎng)絡(luò)安全是在企業(yè)管理機(jī)制下，通過運(yùn)作機(jī)制借助技術(shù)手段實(shí)現(xiàn)的。網(wǎng)絡(luò)安全運(yùn)作是網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)安全技術(shù)手段在日常工作中的執(zhí)行，是網(wǎng)絡(luò)安全工作的關(guān)鍵，即“七分管理，三分技術(shù)，運(yùn)作貫穿始終”。其中，網(wǎng)絡(luò)安全技術(shù)包括網(wǎng)絡(luò)安全管理技術(shù)。圖1-5網(wǎng)絡(luò)安全保障要素1.3.1網(wǎng)絡(luò)安全的體系結(jié)構(gòu)

1．網(wǎng)絡(luò)安全的保障體系（2）網(wǎng)絡(luò)安全保障體系1.3網(wǎng)絡(luò)安全體系結(jié)構(gòu)及模型

網(wǎng)絡(luò)安全的整體保障體系。主要作用體現(xiàn)在整個(gè)系統(tǒng)生命周期對風(fēng)險(xiǎn)進(jìn)行整體的應(yīng)對和控制。某銀行網(wǎng)絡(luò)信息安全的整體保障體系如圖1-6所示。圖1-6網(wǎng)絡(luò)信息安全的整體保障體系案例1-71.3.1網(wǎng)絡(luò)安全的體系結(jié)構(gòu)

(3)網(wǎng)絡(luò)安全保障體系框架1.3網(wǎng)絡(luò)安全體系結(jié)構(gòu)及模型

我國某金融機(jī)構(gòu)的網(wǎng)絡(luò)安全保障體系總體框架，如圖1-7所示。網(wǎng)絡(luò)網(wǎng)絡(luò)安全保障體系框架的外圍是風(fēng)險(xiǎn)管理、法律法規(guī)、標(biāo)準(zhǔn)的符合性。圖1-7網(wǎng)絡(luò)網(wǎng)絡(luò)安全保障體系框架案例1-81.3.1網(wǎng)絡(luò)安全的體系結(jié)構(gòu)

2．OSI網(wǎng)絡(luò)安全體系結(jié)構(gòu)1.3網(wǎng)絡(luò)安全體系結(jié)構(gòu)及模型

OSI安全體系結(jié)構(gòu)是設(shè)計(jì)標(biāo)準(zhǔn)的標(biāo)準(zhǔn)，并非實(shí)現(xiàn)標(biāo)準(zhǔn)。其體系結(jié)構(gòu)建立了一些重要的結(jié)構(gòu)性準(zhǔn)則，并定義了一些專用術(shù)語和概念，包括安全服務(wù)和安全機(jī)制。（1）安全服務(wù)1）鑒別服務(wù)。2）訪問控制服務(wù)。3）保密性服務(wù)。4）完整性服務(wù)。5）可審查服務(wù)。表1-2為防范典型網(wǎng)絡(luò)威脅的安全服務(wù)，表1-3提供了網(wǎng)絡(luò)各層提供的安全服務(wù)。表1-2防范典型網(wǎng)絡(luò)威脅的安全服務(wù)網(wǎng)絡(luò)威脅安全服務(wù)假冒攻擊鑒別服務(wù)非授權(quán)侵犯訪問控制服務(wù)竊聽攻擊數(shù)據(jù)保密性服務(wù)完整性破壞數(shù)據(jù)完整性服務(wù)服務(wù)否認(rèn)抗抵賴性服務(wù)拒絕服務(wù)鑒別服務(wù)、訪問控制服務(wù)和數(shù)據(jù)完整性服務(wù)等（2）安全機(jī)制表1-2防范典型網(wǎng)絡(luò)威脅的安全服務(wù)1.3網(wǎng)絡(luò)安全體系結(jié)構(gòu)及模型

網(wǎng)絡(luò)層次安全服務(wù)物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層鑒別對等實(shí)體鑒別√√√數(shù)據(jù)源發(fā)鑒別√√√訪問控制√√數(shù)據(jù)保密性連接保密性√√√√√√無連接保密性√√√√√選擇字段保密性√√業(yè)務(wù)流保密性√√√數(shù)據(jù)完整性可恢復(fù)的連接完整性√√不可恢復(fù)的連接完整性√√√選擇字段的連接完整性√無連接完整性√√√選擇字段的無連接完整性√抗抵賴性數(shù)據(jù)源發(fā)證明的抗抵賴性√交付證明的抗抵賴性√表1-3網(wǎng)絡(luò)各層提供的安全服務(wù)1.3.1網(wǎng)絡(luò)安全的體系結(jié)構(gòu)

2．OSI網(wǎng)絡(luò)安全體系結(jié)構(gòu)1.3網(wǎng)絡(luò)安全體系結(jié)構(gòu)及模型

（2）安全機(jī)制以O(shè)SI安全體系結(jié)構(gòu)為指南，提出用于實(shí)現(xiàn)上述安全服務(wù)的安全機(jī)制，如表1-4所示。

1.3.1網(wǎng)絡(luò)安全的體系結(jié)構(gòu)

2．OSI網(wǎng)絡(luò)安全體系結(jié)構(gòu)協(xié)議層安全服務(wù)加密數(shù)字簽名訪問控制數(shù)據(jù)完整性認(rèn)證交換業(yè)務(wù)流填充公證鑒別對等實(shí)體鑒別√√√數(shù)據(jù)源發(fā)鑒別√√訪問控制√數(shù)據(jù)保密性連接保密性√√無連接保密性√√選擇字段保密性√業(yè)務(wù)流保密性√√√數(shù)據(jù)完整性可恢復(fù)的連接完整性√√不可恢復(fù)的連接完整性√√選擇字段的連接完整性√√無連接完整性√√√選擇字段的無連接完整性√√√抗抵賴性數(shù)據(jù)源發(fā)證明的抗抵賴性√√√√交付證明的抗抵賴性√√√√表1-4安全服務(wù)與安全機(jī)制的關(guān)系1.3網(wǎng)絡(luò)安全體系結(jié)構(gòu)及模型

OSI網(wǎng)絡(luò)安全體系結(jié)構(gòu)三維圖如圖1-8所示。1.3.1網(wǎng)絡(luò)安全的體系結(jié)構(gòu)

2．OSI網(wǎng)絡(luò)安全體系結(jié)構(gòu)圖1-8OSI網(wǎng)絡(luò)安全體系結(jié)