返回
网络协议安全研究

网络协议安全研究

ID:37054007

大小:9.40 MB

页数:61页

时间:2019-05-16

网络协议安全研究_第1页
网络协议安全研究_第2页
网络协议安全研究_第3页
网络协议安全研究_第4页
网络协议安全研究_第5页
资源描述:

《网络协议安全研究》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、网络协议安全研究7.1 ISO/OSI网络安全体系7.1.1ISO7498-2简介ISO于1989年正式公布的国际标准ISO7498-2是阐述OSI参考模型安全体系结构的权威性文献,对研究计算机网络安全性有重要参考价值。ISO7498描述了开放系统互连得基本参考模型,为协调系统互连标准的开发建立框架。OSI参考模型的目的在于允许异构计算机系统互连,使之便于实现应用进程之间的通信。而在很多时候,必须建立安全控制以保护应用进程之间的信息交换。这些控制将使窃取数据所付出的代价大于所得的结果,或者使获取数据时间很长以致该数据已经失效。ISO7498-2确立了与安全体系结构有关的通用体系结

2、构元素,它们能适用于开放系统之间需要通信保护的各种场合。ISO7498-2为安全通信完善了与开放互连相关的现有标准或开发了新标准,在参考模型的框架内建立起一些指导原则与制约条件,从而提供了解决OSI中安全问题的一致性方法。7.1.2ISO/OSI参考模型ISO/OSI参考模型主要从安全策略、安全服务、安全机制和安全管理等方面描述网络安全体系结构。7.1.2.1安全策略安全策略指在一定的环境内,为保证网络提供一定级别的安全保护能力所提出的、系统应该遵守的一系列规则。可以将网络安全策略分为物理安全策略、访问控制策略、信息加密策略以及网络安全管理策略等。1.物理安全策略物理安全策略的目

3、的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。抑制和防止电磁泄漏是物理安全策略的一个重要问题。目前主要防护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合等方法。另一类是对辐射的防护,这类防护措施又可分为采用各种电磁屏蔽和干扰等。2.访问控制策略访问控制是网络安全防范和保护的重要策略,它的主要任务是保证网络资源

4、不被非法使用和非法访问。它也是维护网络系统安全、保护网络资源的重要手段,可以说是保证网络安全最重要的核心策略之一。3.信息加密策略信息加密的目的是保护计算机网络的数据、文件、密码和控制信息,保护网络上传输的数据。网络加密常用的方法有链路加密、端到端(端点)加密和节点加密等。链路加密的目的是保护网络节点之间的链路信息安全;端到端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络系统的安全性需求选择上述加密方式。信息加密过程由加密算法来实施,可以将加密算法分为常规密码算法(对称密码)和公钥密码算法(非对称密码)。

5、在实际应用中,人们通常将常规密码和公钥密码结合在一起使用。4.网络安全管理策略在网络安全中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络安全、可靠地运行,将起到十分有效的作用。安全管理策略从管理角度保障网络安全性,包括:指定信息安全政策、进行安全风险评估、安全控制目标与方式选择、制定安全规范、进行职工安全意识培训等多种措施和方法。BS7799(ISO/IEC17799),即《信息安全管理体系标准》和ISMS(informationsecuritymanagementsystem)针对安全管理进行了详细描述。5.安全策略的实施安全策略是设计一个安全的

6、网络和应用系统的基础,网络和应用系统的建设应该围绕安全策略的制定和实施同时进行,以满足系统的安全性需求。如图7.1所示,一个安全的网络和应用系统的实施过程可简单描述如下。首先,应该对网络及其应用系统进行安全需求分析和现状分析。例如,可以对网络的资产、脆弱性及安全威胁进行分析,进行网络安全风险分析,得出网络面临的安全风险。在风险分析的基础上,结合对网络系统进行的实际安全性需求,制定网络安全策略,即进行安全策略的设计。在策略设计的基础上,结合各种技术手段和安全设施,进行安全策略的实施。最后,对安全策略的实施结果进行评价和反馈,根据新的安全需求和安全风险,重新制定和实施策略,并不断循环

7、。图7.1网络安全策略的设计和实施过程7.1.2.2安全服务安全服务主要涉及如下内容。1.身份认证(或鉴别,authentication):确认用户、主机及数据源的身份。身份认证包括对等实体认证和数据源认证。如图7.2所示,对等实体认证由n层协议提供,n+1层实体可确信其对等实体是其所信赖之实体。对等实体认证应该保证某实体没有企图冒充别的实体,且没有非法重放以前的某个连接。图7.2对等实体认证数据源认证在通信的某个环节,确认数据是由某个特定发送者发送的。它对数据的来源提供认证,但

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。