我所理解的網(wǎng)絡(luò)安全架構(gòu)
???? 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件�����、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)�����,不因偶然的或者惡意的原因而遭受到破壞、更改��、泄露���,系統(tǒng)連續(xù)可靠正常地運(yùn)行��,網(wǎng)絡(luò)服務(wù)不中斷�。 網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全�����。從廣義來說��,凡是涉及到網(wǎng)絡(luò)上信息的保密性��、完整性�����、可用性��、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域�。
??????? (一)?網(wǎng)絡(luò)安全應(yīng)具有以下五個(gè)方面的特征
??????? 保密性:信息不泄露給非授權(quán)用戶���、實(shí)體或過程,或供其利用的特性��。
??????? 完整性:數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性��。即信息在存儲或傳輸過程中保持不被修改��、不被破壞和丟失的特性���。
??????? 可用性:可被授權(quán)實(shí)體訪問并按需求使用的特性。即當(dāng)需要時(shí)能否存取所需的信息���。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)��、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對可用性的攻擊��;
??????? 可控性:對信息的傳播及內(nèi)容具有控制能力�。
??????? 可審查性:出現(xiàn)的安全問題時(shí)提供依據(jù)與手段
??????? (二)?影響網(wǎng)絡(luò)安全性的因素
??????? 網(wǎng)絡(luò)結(jié)構(gòu)因素:網(wǎng)絡(luò)基本拓?fù)浣Y(jié)構(gòu)有3種:星型���、總線型和環(huán)型�。一個(gè)單位在建立自己的內(nèi)部網(wǎng)之前�,各部門可能已建 造了自己的局域網(wǎng)�����,所采用的拓?fù)浣Y(jié)構(gòu)也可能完全不同���。在建造內(nèi)部網(wǎng)時(shí),為了實(shí)現(xiàn)異構(gòu)網(wǎng)絡(luò)間信息的通信��,往往要犧牲一些安全機(jī)制的設(shè)置和實(shí)現(xiàn)�,從而提出更高的網(wǎng)絡(luò)開放性要求。
??????? 網(wǎng)絡(luò)協(xié)議因素:在建造內(nèi)部網(wǎng)時(shí)���,用戶為了節(jié)省開支��,必然會保護(hù)原有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施��。另外�����,網(wǎng)絡(luò)公司為生存的需要��,對網(wǎng)絡(luò)協(xié)議的兼容性要求越來越高�����,使眾多廠商的協(xié)議能互聯(lián)�����、兼容和相互通信�����。這在給用戶和廠商帶來利益的同時(shí)�,也帶來了安全隱患。如在一種協(xié)議下傳送的有害程序能很快傳遍整個(gè)網(wǎng)絡(luò)�。
??????? 地域因素:由于內(nèi)部網(wǎng)Intranet既可以是LAN也可能是WAN(內(nèi)部網(wǎng)指的是它不是一個(gè)公用網(wǎng)絡(luò)�,而是一個(gè)專用網(wǎng)絡(luò)),網(wǎng)絡(luò)往往跨越城際�����,甚至國際��。地理位置復(fù)雜��,通信線路質(zhì)量難以保證�,這會造成信息在傳輸過程中的損壞和丟失,也給一些”黑客”造成可乘之機(jī)���。
??????? 用戶因素:企業(yè)建造自己的內(nèi)部網(wǎng)是為了加快信息交流�,更好地適應(yīng)市場需求。建立之后�,用戶的范圍必將從企業(yè)員工擴(kuò)大到客戶和想了解企業(yè)情況的人。用戶的增加���,也給網(wǎng)絡(luò)的安全性帶來了威脅�,因?yàn)檫@里可能就有商業(yè)間諜或“黑客”
??????? 主機(jī)因素:建立內(nèi)部網(wǎng)時(shí)�,使原來的各局域網(wǎng)、單機(jī)互聯(lián)�����,增加了主機(jī)的種類�,如工作站、服務(wù)器��,甚至小型機(jī)�、大中型機(jī)。由于它們所使用的操作系統(tǒng)和網(wǎng)絡(luò)操作系統(tǒng)不盡相同��,某個(gè)操作系統(tǒng)出現(xiàn)漏洞(如某些系統(tǒng)有一個(gè)或幾個(gè)沒有口令的賬戶)���,就可能造成整個(gè)網(wǎng)絡(luò)的大隱患�。
??????? 單位安全政策:實(shí)踐證明,80%的安全問題是由網(wǎng)絡(luò)內(nèi)部引起的�����,因此�����,單位對自己內(nèi)部網(wǎng)的安全性要有高度的重視�����,必須制訂出一套安全管理的規(guī)章制度���。
??????? 人員因素:人的因素是安全問題的薄弱環(huán)節(jié)�����。要對用戶進(jìn)行必要的安全教育,選擇有較高職業(yè)道德修養(yǎng)的人做網(wǎng)絡(luò)管理員�,制訂出具體措施,提高安全意識�����。
??????? (三)?如何劃分架構(gòu)(按照攻擊方式、協(xié)議層次���、網(wǎng)絡(luò)層次等)
??????? 1.?網(wǎng)絡(luò)攻擊主要分為以下幾類
??????????? “攻擊”是指任何的非授權(quán)行為�。供給的范圍從簡單的使服務(wù)器無法提供正常工作到完全破壞或控制服務(wù)器���。在網(wǎng)絡(luò)上成功實(shí)施的攻擊級別依賴于用戶采取的安全措施.
???????? B X�c�W4~�f%c0被動攻擊:攻擊者通過監(jiān)視所有的信息流以獲得某些秘密���。這種攻擊可以是基于網(wǎng)絡(luò)(跟蹤通信鏈路)或基于系統(tǒng)(用秘密抓取數(shù)據(jù)的特洛伊木馬代替系統(tǒng)部件)的。被動攻擊是最難被檢測到的��,故對付這種攻擊的重點(diǎn)是預(yù)防���,主要手段如數(shù)據(jù)加密等�。
??????? %p%~!T;q.m+R.f0主動攻擊:攻擊者試圖突破網(wǎng)絡(luò)的安全防線�。這種攻擊涉及到修改數(shù)據(jù)流或創(chuàng)建錯(cuò)誤流,主要攻擊形式有假冒�、重放、欺騙�、消息篡改、拒絕服務(wù)等�����。這種攻擊無法防御,但卻易于檢測�,故對付的重點(diǎn)是檢測,主要手段如防火墻�����、入侵檢測技術(shù)等�。
??????? �O�y9fn7u?N n�\0物理臨近攻擊:在物理臨近攻擊中,未授權(quán)者可物理上接近網(wǎng)絡(luò)�、系統(tǒng)或設(shè)備,目的是修改��、收集或拒絕訪問信息�����。
??????? �P6v�[ p-e6[&l3B�I0內(nèi)部人員攻擊:內(nèi)部人員攻擊的實(shí)施人要么被授權(quán)在信息安全處理系統(tǒng)的物理范圍內(nèi)�����,要么對信息安全處理系統(tǒng)具有直接訪問權(quán)�。內(nèi)部人員攻擊包括惡意的和非惡意的(不小心或無知的用戶)兩種��。
??????? 6D�h p+a4L�\$q0分發(fā)攻擊:指在軟件和硬件開發(fā)出來之后和安裝之前這段時(shí)間,或當(dāng)它從一個(gè)地方傳到另一個(gè)地方時(shí)��,攻擊者惡意修改軟���、硬件�。Space of NAU�W4q-X#r#A�}�S5K�B
??????? 2.?協(xié)議層次
??????? 協(xié)議是通信雙方為了實(shí)現(xiàn)通信而設(shè)計(jì)的約定或?qū)υ捯?guī)則���。
??????? 網(wǎng)絡(luò)層協(xié)議:包括:IP協(xié)議���、ICMP協(xié)議、ARP協(xié)議�����、RARP協(xié)議�。
??????? 傳輸層協(xié)議:TCP協(xié)議、UDP協(xié)議�����。
??????? 應(yīng)用層協(xié)議:FTP���、Telnet��、SMTP��、HTTP��、RIP���、NFS��、DNS���。
??????? 3.?網(wǎng)絡(luò)層次
??????? 物理層
??????? 利用物理傳輸介質(zhì)為數(shù)據(jù)鏈路層提供物理連接,負(fù)責(zé)處理數(shù)據(jù)傳輸率并監(jiān)控?cái)?shù)據(jù)出錯(cuò)率�,以便透明地傳送比特率。它定義了激活�、維護(hù)和關(guān)閉終端用戶之間的電氣、機(jī)械的��、過程的和功能的特性�。物理層的特性包括電壓、頻率�、數(shù)據(jù)傳輸率、最大傳輸距離��、物理連接器及相關(guān)的屬性�����。
??????? 數(shù)據(jù)鏈路層
??????? 在物理層提供比特率傳輸服務(wù)的基礎(chǔ)上�����,數(shù)據(jù)鏈路層通過在通信的實(shí)體之間建立數(shù)據(jù)鏈路連接�����,傳送以“幀”為單位的數(shù)據(jù)��,使有差錯(cuò)的物理線路變成無差錯(cuò)的數(shù)據(jù)鏈路�,保證點(diǎn)到點(diǎn)可靠的數(shù)據(jù)傳輸,因此�����,數(shù)據(jù)鏈路層關(guān)心的主要問題包括物理地址�����、網(wǎng)絡(luò)拓?fù)?����、線路規(guī)則、錯(cuò)誤通告�����、數(shù)據(jù)幀的有序傳輸和流量控制�。
??????? 網(wǎng)絡(luò)層
??????? 網(wǎng)絡(luò)層的主要功能為處在不同的網(wǎng)絡(luò)系統(tǒng)中的兩個(gè)節(jié)點(diǎn)設(shè)備通信提供一條邏輯網(wǎng)道。其基本任務(wù)包括路由選擇�、擁塞控制與網(wǎng)絡(luò)互聯(lián)等功能。
??????? 傳輸層
??????? 傳輸層主要任務(wù)是向用戶提供可靠地端到端服務(wù)�����,透明地傳送報(bào)文�。它向高層屏蔽了下層數(shù)據(jù)通信的細(xì)節(jié),因而是計(jì)算機(jī)通信體系結(jié)構(gòu)中的最關(guān)鍵的一層�����。該層關(guān)心的主要問題包括建立��、維護(hù)和中斷虛電路�����、傳輸差錯(cuò)校驗(yàn)和恢復(fù)以及信息流量控制。
??????? 會話層
??????? 會話層建立��、管理和終止應(yīng)用程序進(jìn)程之間的會話和數(shù)據(jù)的交換�。這種會話關(guān)系是由兩個(gè)或多個(gè)表示層實(shí)體之間的對話構(gòu)成的。
??????? 表示層
??????? 表示層保證一個(gè)系統(tǒng)應(yīng)用層發(fā)出的信息能被另一個(gè)系統(tǒng)的應(yīng)用層讀出�����。如有必要,表示層以一種通用的數(shù)據(jù)表示格式在多種數(shù)據(jù)表示格式之間的轉(zhuǎn)換,它包括數(shù)據(jù)格式變換�、數(shù)據(jù)加密與解密、數(shù)據(jù)壓縮與恢復(fù)等功能��。
