欢迎来到天天文库
浏览记录
ID:44352599
大小:4.69 MB
页数:505页
时间:2019-10-21
《计算机网络安全技术(第二版)》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、普通高等教育“十一五”国家级规划教材21世纪高职高专新概念教材计算机网络安全技术(第二版)蔡立军主编中国水利水电出版社第一篇安全技术基础第1章计算机网络安全技术概论本章学习目标计算机网络安全系统的脆弱性P2DR安全模型和PDRR网络安全模型Internet网络体系层次结构、网络安全体系结构框架5种安全服务和8种安全机制计算机网络安全的三个层次可信计算机系统评估标准定义从狭义的保护角度来看,计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害,即是指计算机、网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,确保
2、系统能连续可靠正常地运行,使网络服务不中断。从广义来说,凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。所以,广义的计算机网络安全还包括信息设备的物理安全性,诸如场地环境保护、防火措施、防水措施、静电防护、电源保护、空调设备、计算机辐射和计算机病毒等。1.1计算机网络安全系统的脆弱性操作系统的安全脆弱性网络系统的安全脆弱性网络安全的脆弱性计算机硬件系统的故障软件本身的“后门”软件的漏洞数据库管理系统的安全脆弱性防火墙的局限性天灾人祸有意无意其他方面的原因总之,系统自身的脆弱和不足,是造成计算机网络安全问题的内部根源。但系
3、统本身的脆弱性、社会对系统应用的依赖性这一矛盾又将促进计算机网络安全技术发展和进步1.2安全模型计算机网络系统安全是一个系统工程,必须保证网络设备和各个组件的整体安全性。安全的概念是相对的,任何一个系统都具有潜在的危险,没有绝对的安全。在一个特定的时期内,在一定的安全策略下,系统可能是安全的。但是,随着攻击技术的进步、新漏洞的暴露,系统可能会变得不安全了。因此,安全具有动态性,需要适应变化的环境并能做出相应的调整以确保计算机网络系统的安全。1.2.1P2DR安全模型美国国际互联网安全系统公司(ISS)提出的P2DR安全模型是指:策略(Policy)、防护(Protection)、检测
4、(Detection)和响应(Response)。如图所示。P2DR安全模型描述策略当设计所涉及的那个系统在进行操作时,必须明确在安全领域的范围内,什么操作是明确允许的,什么操作是一般默认允许的,什么操作是明确不允许的,什么操作是默认不允许的。安全策略一般不作出具体的措施规定,也不确切说明通过何种方式能才够够达到预期的结果,但是应该向系统安全实施者们指出在当前的前提下,什么因素和风险才是最重要的。防护系统安全防护网络安全防护信息安全防护检测检测是动态响应和加强防护的依据,是强制落实安全策略的工具,通过不断地检测和监控网络及系统,来发现新的威胁和弱点,通过循环反馈来及时做出有效的响应响
5、应响应就是在检测到安全漏洞或一个攻击(入侵)事件之后,及时采取有效的处理措施,避免危害进一步扩大,目的是把系统调整到安全状态,或使系统提供正常的服务。通过建立响应机制和紧急响应方案,能够提高快速响应的能力。1.2.2PDRR网络安全模型网络安全的整个环节可以用一个最常用的安全模型——PDRR模型来描述。如图所示。PDRR就是防护(Protection)、检测(Detection)、响应(Response)、恢复(Recovery)4个英文单词的头一个字符PDRR安全模型中安全策略的前三个环节与P2DR安全模型中后三个环节的内涵基本相同,不再赘述。最后一个环节“恢复”,是指在系统被入侵
6、之后,把系统恢复到原来的状态,或者比原来更安全的状态。系统的恢复过程通常需要解决两个问题:一是对入侵所造成的影响进行评估和系统的重建,二是采取恰当的技术措施。系统的恢复主要有重建系统、通过软件和程序恢复系统等方法。详见本书4.3节。1.3网络安全体系结构计算机网络安全体系结构是网络安全最高层的抽象描述,在大规模的网络工程建设和管理,以及基于网络的安全系统的设计与开发过程中,需要从全局的体系结构角度考虑安全问题的整体解决方案,才能保证网络安全功能的完备性与一致性,降低安全的代价和管理的开销。这样一个安全体系结构对于网络安全的理解、设计、实现与管理都有重要的意义。1.3.1开放式系统互联
7、参考模型(OSI/RM)(1)层次名称主要功能功能概述应用样例7应用层做什么提供(OSI)用户服务,如文件传输、电子邮件、网络管理等Telnet、HTTP6表示层对方看起来像什么实现不同格式和编码之间的交换ASCII、JPEG、EBCDIC5会话层对方是谁在两个应用进程之间建立和管理不同形式的通信对话。其数据流方向控制模式有三种,即单工、半双工、双工操作系统/应用访问规划4传输层对方在何处提供传送方式,进行多路利用,实现端点到端点间的数据交换,为会话层实
此文档下载收益归作者所有