網路安全機制包括接入管理、安全監視和安全恢復三個方面。
接入管理主要處理好身份管理和接入控制,以控制信息資源的使用;安全監視主要功能有安全報警設置以及檢查跟蹤;安全恢復主要是及時恢復因網路故障而丟失的信息。
接入或訪問控制是保證網路安全的重要手段,它通過一組機制控制不同級別的主體對目標資源的不同授權訪問,在對主體認證之後實施網路資源的安全管理使用。
網路安全的類型
(1)系統安全
運行系統安全即保證信息處理和傳輸系統的安全。它側重於保證系統正常運行。避免因為系統的崩潰和損壞而對系統存儲、處理和傳輸的消息造成破壞和損失。避免由於電磁泄翻,產生信息泄露,干擾他人或受他人干擾。
(2)網路信息安全
網路上系統信息的安全。包括用戶口令鑒別,用戶存取許可權控制,數據存取許可權、方式控制,安全審計。安全問題跟踩。計算機病毒防治,數據加密等。
(3)信息傳播安全
網路上信息傳播安全,即信息傳播後果的安全,包括信息過濾等。它側重於防止和控制由非法、有害的信息進行傳播所產生的後果,避免公用網路上自由傳輸的信息失控。
(4)信息內容安全
網路上信息內容的安全。它側重於保護信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏洞進行竊聽、冒充、詐騙等有損於合法用戶的行為。其本質是保護用戶的利益和隱私。
② TCP/IP協議存在哪些安全威脅
TCP/IP協議存在的安全威脅有鏈路層上的攻擊,網路層上的攻擊以及應用層上的攻擊。
一、鏈路層上的攻擊,
在TCP/IP網路中,鏈路層這一層次的復雜程度是最高的。其中最常見的攻擊方式通常是網路嗅探組成的TCP/IP協議的乙太網。當前,我國應用較為廣泛的區域網是乙太網,且其共享信道利用率非常高。
乙太網卡有兩種主要的工作方式,一種是一般工作方式,另一種是較特殊的混雜方式。這一情況下,很可能由於被攻擊的原因而造成信息丟失情況,且攻擊者可以通過數據分析來獲取賬戶、密碼等多方面的關鍵數據信息。
二、網路層上的攻擊,
1、ARP協議沒有狀態,不管有沒有收到請求,主機會將任何受到的ARP相應自動緩存。如果信息中帶有病毒,採用ARP欺騙就會導致網路信息安全泄露。
2、ICMP協議在網路安全當中是十分重要的協議。但由於自身特點的原因,其極易受到入侵,通常而言,目標主機在長期發送大量ICMP數據包的情況下,會造成目標主機佔用大量CPU資源,最終造成系統癱瘓。
三、應用層上的攻擊,
對於網際網路而言,IP地址與域名均是一一對應的,而DNS就是域名解析的伺服器。DNS欺騙指的是攻擊方冒充域名伺服器的行為,使用DNS欺騙能將錯誤DNS信息提供給目標主機。所以說,通過DNS欺騙可誤導用戶進入非法伺服器,讓用戶相信詐騙IP。
(2)鏈路層網路安全擴展閱讀:
TCP/IP協議的分層:
1、物理層,
該層負責比特流在節點之間的傳輸,即負責物理傳輸,這一層的協議既與鏈路有關,也與傳輸的介質有關。通俗來說就是把計算機連接起來的物理手段。
2、數據鏈路層,
控制網路層與物理層之間的通信,主要功能是保證物理線路上進行可靠的數據傳遞。為了保證傳輸,從網路層接收到的數據被分割成特定的可被物理層傳輸的幀。
3、網路層,
決定如何將數據從發送發路由到接收方。網路層通過綜合考慮發送優先權,網路擁塞程度,服務質量以及可選路由的花費等來決定從網路中的A節點到B節點的最佳途徑。即建立主機到主機的通信。
4、傳輸層,
該層為兩台主機上的應用程序提供端到端的通信。傳輸層有兩個傳輸協議:TCP(傳輸控制協議)和 UDP(用戶數據報協議)。其中,TCP是一個可靠的面向連接的協議,udp是不可靠的或者說無連接的協議
參考資料來源:網路-TCP/IP協議
③ 網路環境中的信息系統各個層次中的安全問題主要有哪些
1.TCP/IP物理層的安全性
TCP/IP模型的網路介面層對應著OSI模型的物理層和數據鏈路層。物理層安全問題是指由網路環境及物理特性產生的網路設施和線路安全性,致使網路系統出現安全風險,如設備被盜、意外故障、設備損壞與老化、信息探測與竊聽等。由於乙太網上存在交換設備並採用廣播方式,可能在某個廣播域中偵聽、竊取並分析信息。為此,保護鏈路上的設施安全極為重要,物理層的安全措施相對較少,最好採用「隔離技術」將每兩個網路保證在邏輯上能夠連通,同時從物理上隔斷,並加強實體安全管理與維護。
2. TCP/IP網路層的安全性
網路層的主要功能主要用於數據包的網路傳輸,其中IP協議是整個TCP/IP協議體系結構的重要基礎,TCP/IP中所有協議的數據都以IP數據報形式進行傳輸。
TCP/IP協議族常用的兩種IP版本是IPv4和IPv6。IPv4在設計之初根本沒有考慮到網路安全問題,IP包本身不具有任何安全特性,從而導致在網路上傳輸的數據包很容易泄漏或受到攻擊,IP欺騙和ICMP攻擊都是針對IP層的攻擊手段。如偽造IP包地址、攔截、竊取、篡改、重播等。因此,通信雙方無法保證收到IP數據報的真實性。IPv6簡化了IPv4中的IP頭結構,並增加了對安全性的設計。
3.TCP/IP傳輸層的安全性
網路傳輸層的安全問題主要有傳輸與控制安全、數據交換與認證安全、數據保密性與完整性等安全風險。主要包括傳輸控制協議TCP和用戶數據報協議UDP,其安全措施主要取決於具體的協議。TCP是一個面向連接的協議,用於多數的互聯網服務,如HTTP、FTP和SMTP。為了保證傳輸層的安全Netscape通信公司設計了安全套接層協議SSL(SecureSocketLayer),現更名為傳輸層協議TLS(TransportLayer Security),包括SSL握手協議和SSL記錄協議。
4.TCP/IP應用層的安全性
應用層中利用TCP/IP協議運行和管理的程序較多。網路安全問題主要出現在需要重點解決的常用應用系統,包括HTTP、FTP、SMTP、DNS、Telnet等。
具體參考:上海精品課程教材 網路安全技術及應用2版 賈鐵軍
④ ~~~~網路安全技術 ,都包括什麼 ,除了這些。說一項也行。
網路安全技術
網路系統的安全涉及到平台的各個方面。按照網路OSI的七層模型,網路安全貫穿於網路的各個層次。
物理層:物理層信息安全主要包括防止物理通路的損壞、通過物理通路竊聽、對物理通路的攻擊(干擾)等;
鏈路層:鏈路層的網路安全需要保證通過網路鏈路傳送的數據不被竊聽,主要採用劃分VLAN(區域網)、加密通信(遠程網)等手段;
網路層:網路層的安全需要保證網路只給授權的客戶提供授權的服務,保證網路路由正確,避免被攔截或監聽,設置防火牆;
操作系統:操作系統安全指保證客戶資料、操作系統訪問控制的安全,同時能夠對該操作系統上的應用進行審計;
應用平台:應用平台指建立在網路系統之上的應用軟體服務,如資料庫伺服器、電子郵件伺服器、Web伺服器等,由於應用平台的系統非常復雜,通常採用多種技術(如SSL等)來增強應用平台的安全性;
應用系統:應用系統完成網路系統的最終目的——為用戶服務。應用系統的安全與系統設計和實現關系密切。應用系統通過應用平台提供的安全服務來保證基本安全,如通信內容安全、通信雙方的認證、審計等。
http://course.cug.e.cn/netinfo/Chapter09/9.2.htm
⑤ 鏈路層被劫持,怎麼解決
一、什麼是鏈路層劫持
鏈路層劫持是指第三方(可能是運營商、黑客)通過在用戶至伺服器之間,植入惡意設備或者控制網路設備的手段,偵聽或篡改用戶和伺服器之間的數據,達到竊取用戶重要數據(包括用戶密碼,用戶身份數據等等)的目的。鏈路層劫持最明顯的危害就是帳號、密碼被竊取。
二、鏈路層劫持的防禦
從鏈路層劫持的原理來看,我們發現核心的問題是:客戶端沒有辦法識別返回的應答是否真的是伺服器返回的,還是第三方返回的,所以簡單的信任了第三方的應答,丟棄了真正的應答。所以只要對伺服器本身進行身份驗證,就可以防止「誤接受」惡意應答。HTTPS技術就是為此種場景而生,通過一個權威機構,派發證明伺服器合法身份的證書,用戶的電腦通過檢查證書的合法性,來辨別伺服器的真假(因為第三方客不可能偽造證書)。因此,HTTPS網站能有效防禦鏈路層劫持。騰訊統一安全登錄就是用採用了HTTPS技術,來防止鏈路層劫持。
我也建議用戶咨詢當前的網路服務提供商(如通訊網路運營商、網吧管理員、公司網管等)解決此類問題。
⑥ 信息安全和網路安全有什麼區別嗎
網路安全
網路安全(Cyber Security)是指網路系統的硬體、軟體及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。
信息安全
信息安全,ISO(國際標准化組織)的定義為:為數據處理系統建立和採用的技術、管理上的安全保護,為的是保護計算機硬體、軟體、數據不因偶然和惡意的原因而遭到破壞、更改和泄露。
網路安全和信息安全的區別是什麼?
1、包含和被包含的關系:信息安全包含網路安全,信息安全還包括操作系統安全、資料庫安全、硬體設備和設施安全、物理安全、人員安全、軟體開發、應用安全等。
2、針對的設備不同:網路安全側重於研究網路環境下的計算機安全,信息安全側重於計算機數據和信息的安全。
3、側重點不同:網路安全更注重在網路層面,比如通過部署防火牆、入侵檢測等硬體設備來實現鏈路層面的安全防護,而信息安全的層面要比網路安全的覆蓋面大的多,信息安全是從數據的角度來看安全防護。
通常採用的手段包括:防火牆、入侵檢測、審計、滲透測試、風險評估等,安全防護不僅僅是在網路層面,更加關注的應用層面,可以說信息安全更貼近於用戶的實際需求及想法。
⑦ 【網路安全基礎】網路參考模型分為哪幾層
網路參考模型分為7層,分別是物理層,數據鏈路層,網路層,傳輸層,會話層,表示層和應用層。
⑧ 網路安全的防範措施主要有哪些
在當今網路化的世界中,計算機信息和資源很容易遭到各方面的攻擊。一方面,來源於Internet,Internet給企業網帶來成熟的應用技術的同時,也把固有的安全問題帶給了企業網;另一方面,來源於企業內部,因為是企業內部的網路,主要針對企業內部的人員和企業內部的信息資源,因此,企業網同時又面臨自身所特有的安全問題。網路的開放性和共享性在方便了人們使用的同時,也使得網路很容易遭受到攻擊,而攻擊的後果是嚴重的,諸如數據被人竊取、伺服器不能提供服務等等。隨著信息技術的高速發展,網路安全技術也越來越受到重視,由此推動了防火牆、人侵檢測、虛擬專用網、訪問控制等各種網路安全技術的蓬勃發展。
企業網路安全是系統結構本身的安全,所以必須利用結構化的觀點和方法來看待企業網安全系統。企業網安全保障體系分為4個層次,從高到低分別是企業安全策略層、企業用戶層、企業網路與信息資源層、安全服務層。按這些層次建立一套多層次的安全技術防範系統,常見的企業網安全技術有如下一些。
VLAN(虛擬區域網)技術
選擇VLAN技術可較好地從鏈路層實施網路安全保障。VLAN指通過交換設備在網路的物理拓撲結構基礎上建立一個邏輯網路,它依*用戶的邏輯設定將原來物理上互連的一個區域網劃分為多個虛擬子網,劃分的依據可以是設備所連埠、用戶節點的MAC地址等。該技術能有效地控制網路流量、防止廣播風暴,還可利用MAC層的數據包過濾技術,對安全性要求高的VLAN埠實施MAC幀過濾。而且,即使黑客攻破某一虛擬子網,也無法得到整個網路的信息。
網路分段
企業網大多採用以廣播為基礎的乙太網,任何兩個節點之間的通信數據包,可以被處在同一乙太網上的任何一個節點的網卡所截取。因此,黑客只要接人乙太網上的任一節點進行偵聽,就可以捕獲發生在這個乙太網上的所有數據包,對其進行解包分析,從而竊取關鍵信息。網路分段就是將非法用戶與網路資源相互隔離,從而達到限制用戶非法訪問的目的。
硬體防火牆技術
任何企業安全策略的一個主要部分都是實現和維護防火牆,因此防火牆在網路安全的實現當中扮演著重要的角色。防火牆通常位於企業網路的邊緣,這使得內部網路與Internet之間或者與其他外部網路互相隔離,並限制網路互訪從而保護企業內部網路。設置防火牆的目的都是為了在內部網與外部網之間設立唯一的通道,簡化網路的安全管理。
入侵檢測技術
入侵檢測方法較多,如基於專家系統入侵檢測方法、基於神經網路的入侵檢測方法等。目前一些入侵檢測系統在應用層入侵檢測中已有實現。
⑨ 網路安全技術機制主要有哪些
有三種網路安全機制。 隨著TCP/IP協議群在互聯網上的廣泛採用,信息技術與網路技術得到了飛速發展。隨之而來的是安全風險問題的急劇增加。為了保護國家公眾信息網以及企業內聯網和外聯網信息和數據的安全,要大力發展基於信息網路的安全技術。
信息與網路安全技術的目標:由於互聯網的開放性、連通性和自由性,用戶在享受各類共有信息資源的同事,也存在著自己的秘密信息可能被侵犯或被惡意破壞的危險。信息安全的目標就是保護有可能被侵犯或破壞的機密信息不被外界非法操作者的控制。具體要達到:保密性、完整性、可用性、可控性等目標。
國際標准化組織(ISO)在開放系統互聯參考模型(OSI/RM)的基礎上,於1989年制定了在OSI環境下解決網路安全的規則:安全體系結構。它擴充了基本參考模型,加入了安全問題的各個方面,為開放系統的安全通信提供了一種概念性、功能性及一致性的途徑。OSI安全體系包含七個層次:物理層、數據鏈路層、網路層、傳輸層、會話層、表示層和應用層。
⑩ 計算機網路安全組成
網路有七層,每層都有安全。中間也就是協議的轉換,所以安全也就是通過控制或者監控支持這些協議的的埠。
物理層:
物理層(physical layer)的主要功能是完成相鄰結點之間原始比特流傳輸。物理層協議關心的典型問題是使用什麼樣的物理信號來表示數據0和1。1位持續的時間多長。數據傳輸是否可同時在兩個方向上進行。最初的廉潔如何建立以及完成通信後連接如何終止。物理介面(插頭和插座)有多少針以及各針的作用。物理層的設計主要涉及物理層介面的機械、電氣、功能和過電特性,以及物理層介面連接的傳輸介質等問題。物理層的實際還涉及到通信工程領域內的一些問題。
數據鏈路層:
數據鏈路層(data link layer)的主要功能是如何在不可靠的物理線路上進行數據的可靠傳輸。數據鏈路層完成的是網路中相鄰結點之間可靠的數據通信。為了保證書覺得可靠傳輸,發送出的數據針,並按順序傳送個針。由於物理線路不可靠,因此發送方發出的數據針有可能在線路上出錯或丟失,從而導致接受方無法正確接收數據。為了保證能讓接收方對接收到的數據進行正確的判斷,發送方位每個數據塊計算出CRC(循環冗餘檢驗)並加入到針中,這樣接收方就可以通過重新計算CRC來判斷接收到的數據是否正確。一旦接收方發現接收到的數據有錯誤,則發送方必須重新傳送這一數據。然而,相同的數據多次傳送也可能是接收方收到重復的數據。
數據鏈路層要解決的另一個問題是防止高速發送方的數據把低速接收方「淹沒」。因此需要某種信息流量控制機制使發送方得知接收方當前還有多少緩存空間。為了控制的方便,流量控制常常和差錯處理一同實現。
在廣域網中,數據鏈路層負責主機IMP、IMP-IMP之間數據的可靠傳送。在區域網中,數據鏈路層負責制及之間數據的可靠傳輸。
網路層:
網路層(network layer)的主要功能是完成網路中主機間的報文傳輸,其關鍵問題之一是使用數據鏈路層的服務將每個報文從源端傳輸到目的端。在廣域網中,這包括產生從源端到目的端的路由,並要求這條路徑經過盡可能少的IMP。如果在子網中同時出現過多的報文,子網就可能形成擁塞,因為必須加以避免這種情況的出現。
當報文不得不跨越兩個或多個網路時,又會帶來很多新問題。比
在單個區域網中,網路層是冗餘的,因為報文是直接從一台計算機傳送到另一台計算機的,因此網路層所要做的工作很少。
傳輸層:
傳輸層(transport layer)的主要功能是實現網路中不同主機上的用戶進程之間可靠的數據通信。
傳輸層要決定會話層用戶(最終對網路用戶)提供什麼樣的服務。最好的傳輸連接是一條無差錯的、按順序傳送數據的管道,即傳輸層連接時真正的點到點。
由於絕大多數的主機都支持多用戶操作,因而機器上有多道程序就意味著將有多條連接進出於這些主機,因此需要以某種方式區別報文屬於哪條連接。識別這些連接的信息可以放入傳輸層的報文頭中除了將幾個報文流多路復用到一條通道上,傳輸層還必須管理跨網連接的建立和取消。這就需要某種命名機制,使機器內的進程能夠講明它希望交談的對象。另外,還需要有一種機制來調節信息流,使高速主機不會過快的向低速主機傳送數據。盡管主機之間的流量控制與IMP之間的流量控制不盡相同。
會話層:
會話層(SESSION LAYER)允許不同機器上的用戶之間建立會話關系。會話層循序進行類似的傳輸層的普通數據的傳送,在某某些場合還提供了一些有用的增強型服務。允許用戶利用一次會話在遠端的分時系統上登陸,或者在兩台機器間傳遞文件。
會話層提供的服務之一是管理對話控制。會話層允許信息同時雙向傳輸,或任一時刻只能單向傳輸。如果屬於後者,類似於物理信道上的半雙工模式,會話層將記錄此時該輪到哪一方。一種與對話控制有關的服務是令牌管理(token management)。有些協議會保證雙方不能同時進行同樣的操作,這一點很重要。為了管理這些活動,會話層提供了令牌,令牌可以在會話雙方之間移動,只有持有令牌的一方可以執行某種關鍵性操作。另一種會話層服務是同步。如果在平均每小時出現一次大故障的網路上,兩台機器簡要進行一次兩小時的文件傳輸,試想會出現什麼樣的情況呢?每一次傳輸中途失敗後,都不得不重新傳送這個文件。當網路再次出現大故障時,可能又會半途而廢。為解決這個問題,會話層提供了一種方法,即在數據中插入同步點。每次網路出現故障後,僅僅重傳最後一個同步點以後的數據(這個其實就是斷點下載的原理)。
表示層:
表示層(presentation layer)用於完成某些特定功能,對這些功能人們常常希望找到普遍的解決辦法,而不必由每個用戶自己來實現。表示層以下各層只關心從源端機到目標機到目標機可靠的傳送比特流,而表示層關心的是所傳送的信息的語法和語義。表示層服務的一個典型例子就是大家一致選定的標准方法對數據進行編碼。大多數用戶程序之間並非交換隨機比特,而是交換諸如人名、日期、貨幣數量和發票之類的信息。這些對象使用字元串、整型數、浮點數的形式,以及由幾種簡單類型組成的數據結構來表示的。
在網路上計算機可能採用不同的數據表示,所以需要在數據傳輸時進行數據格式轉換。為了讓採用不同數據表示法的計算機之間能夠相互通信而且交換數據,就要在通信過程中使用抽象的數據結構來表示所傳送的數據。而在機器內部仍然採用各自的標准編碼。管理這些抽象數據結構,並在發送方將機器的內部編碼轉換為適合網上傳輸的傳送語法以及在接收方做相反的轉換等噢年工作都是由表示層來完成的。
另外,表示層還涉及數據壓縮和解壓、數據加密和解米等工作(winrar的那一套)。
應用層:
連網的目的在於支持運行於不同計算機的進程彼此之間的通信,而這些進程則是為用戶完成不同人物而設計的。可能的應用是多方面的,不受網路結構的限制。應用層(app;ocation layer)包括大量人們普遍需要的協議。雖然,對於需要通信的不同應用來說,應用層的協議都是必須的。例如:http、ftp、TCP/IP。
由於每個應用有不同的要求,應用層的協議集在OSI模型中並沒有定義。但是,有些確定的應用層協議,包括虛擬終端、文件傳輸、電子郵件等都可以作為標准化的候選。