1. 【網路安全基礎】網路參考模型分為哪幾層
網路參考模型分為7層,分別是物理層,數據鏈路層,網路層,傳輸層,會話層,表示層和應用層。
2. .OSI模型中,各個層次存在那些安全威脅和攻擊
1.物理環境的安全性(物理層安全)
該層次的安全包括通信線路的安全,物理設備的安全,機房的安全等。物理層的安全主要體現在通信線路的可靠性(線路備份、網管軟體、傳輸介質),軟硬體設備安全性(替換設備、拆卸設備、增加設備),設備的備份,防災害能力、防干擾能力,設備的運行環境(溫度、濕度、煙塵),不間斷電源保障,等等。
2.操作系統的安全性(系統層安全)
該層次的安全問題來自網路內使用的操作系統的安全,如Windows NT,Windows 2000等。主要表現在三方面,一是操作系統本身的缺陷帶來的不安全因素,主要包括身份認證、訪問控制、系統漏洞等。二是對操作系統的安全配置問題。三是病毒對操作系統的威脅。
3.網路的安全性(網路層安全)
該層次的安全問題主要體現在網路方面的安全性,包括網路層身份認證,網路資源的訪問控制,數據傳輸的保密與完整性,遠程接入的安全,域名系統的安全,路由系統的安全,入侵檢測的手段,網路設施防病毒等。
4.應用的安全性(應用層安全)
該層次的安全問題主要由提供服務所採用的應用軟體和數據的安全性產生,包括Web服務、電子郵件系統、DNS等。此外,還包括病毒對系統的威脅。
5.管理的安全性(管理層安全)
安全管理包括安全技術和設備的管理、安全管理制度、部門與人員的組織規則等。管理的制度化極大程度地影響著整個網路的安全,嚴格的安全管理制度、明確的部門安全職責劃分、合理的人員角色配置都可以在很大程度上降低其它層次的安全漏洞。
3. 什麼是網路層安全
支持網路層訪問控制
應能支持URL級別訪問控制
支持IP級別黑、白名單
4. 網路ISO七層模型中,每層中可使用的怎樣的安全技術
物理層:設置連接密碼,設置櫥窗。 數據鏈路層:設置ppp驗證、設置交換機埠優先順序、mac地址安全、bp守衛、快速埠等等。 網路層:可以設置路由協議驗證、設置擴展訪問列表、設置防火牆等。 傳輸層:設置ftp密碼,傳輸密鑰等等。 會話層&表示層:公鑰密碼、私鑰密碼應該在這兩層進行設置。 應用層:設置NBAR,設置應用層防火牆等等。 網路協議設計者不應當設計一個單一、巨大的協議來為所有形式的通信規定完整的細節,而應升鋒把通信問題劃分成多個小問題,然後為每一個小問題設計一個單獨的協議。這樣做使得每個協議的設計、分析、時限和測試比較容易。協議劃分的一個主要原則是確保目標系統有效且效率高。為了提高效率,每個協議只應該注意沒有被其他協議處理過的那部分通信問題;為了主協議的實現更加有效,協議之間應該能夠共享特定的數據結構;同時這些協議的組合應該能處理所有可能的硬體錯誤以及其它異常情況。為了保證這些協議工作的協同性,應當將協議設計和開發成完整的、協作的協議系列(即協議族),而不是孤立地開發每個協議。 在網路歷史的早期,國際標准化組織(ISO)和國際電報電話咨詢委員會(CCITT)共同出版了開放系統互聯的七層參考模型。一台計算機操作系統中的網路過程包括從應用請求(在協議棧的頂部)到網路介質(底部) ,OSI參考模型把功能分成七個分立的層次。圖2.1表示了OSI分層模型。 ┌—————┐ │ 應用層 │←第七層 ├—————┤ │ 表示層 │ ├—————┤ │ 會話層 │ ├—————┤ │ 傳輸層 │ ├—————┤ │ 網路層 │ ├—————┤ │數據鏈路層│ ├—————┤ │ 物理層 │←第一層 └—————┘ 圖2.1 OSI七層參考模型 OSI模型的七層分別進行以下的操作:第一層 物理層 第一層負責最後將信息編碼成電流脈沖或其它信號用於網上傳輸。它由計算機和網路介質之間的實際界面組成,可定義電氣信號、符號、線的狀態和時鍾要求、數據編碼和數據傳輸用的連接器。如最常用的RS-232規范、10BASE-T的曼徹斯特編碼以及RJ-45就屬於第一層。所有比物理層高的層都通過事先定義好的介面而與它通話。如乙太網的附屬單元介面(AUI),一個DB-15連接器可被用來連接層一和層二。 第二層 數據鏈路層 數據鏈路層通過物理網路鏈路提供可靠的數據傳輸。不同的數據鏈路層定義了不同的網路和協議特徵,其中包括物理編址、網路拓撲結構、錯誤校驗、幀序列以及流控。物理編址(相對應的是網路編址)定義了設備在數據鏈路層的編址方式;網路拓撲結構定義了設備的物理連接方式,如匯流排拓撲結構和環拓撲結構;錯誤校驗向發生傳輸錯誤的上層協議告警;數據幀序列重新整理並傳輸除序列以外的幀;流控可能延緩數據的傳輸,以使接收設備不會因為在某一時刻接收到超過其處理能力的信息流而崩潰。數據鏈路層實際上由兩個獨立的哪笑悶部分組成,介質存取控制(Media Access Control,MAC)和邏輯鏈路控制層(Logical Link Control,LLC)。MAC描述在共享介質環境中如何進行站的調度、發生和接收數據。MAC確保信息跨鏈路的可靠傳輸,對數據傳輸進行同步,識別錯誤和控制數據的流向。一般地講,MAC只在共享介質環境中才是重要的,只有在共享介質環境中多個節點才能連接到同一傳輸介質上。IEEE MAC規則定義了地址,以標識數據鏈路層中的多個設備。邏輯鏈路控制子層管理單一網路鏈路上的設備間的通信,IEEE 802.2標準定義了LLC。LLC支持無連接服務和面向連接的服務。在數據鏈路層的信息幀中定義了許多域。這些域使得多種高層協議可以共享一個物理數據鏈路。 第三層 網路層 網路層負責在源和終點之間建立連接。它一般包括網路尋徑,還可能包括流量控制、錯誤檢查等。相同MAC標準的不同網段之間的數據傳輸一般只涉及到數據鏈路層,而不同的MAC標准之間的數據傳輸都涉及到網路層。例如IP路由器工作在網路層,因而可以實現多種網路間的互聯。 第四層李彎 傳輸層 傳輸層向高層提供可靠的端到端的網路數據流服務。傳輸層的功能一般包括流控、多路傳輸、虛電路管理及差錯校驗和恢復。流控管理設備之間的數據傳輸,確保傳輸設備不發送比接收設備處理能力大的數據;多路傳輸使得多個應用程序的數據可以傳輸到一個物理鏈路上;虛電路由傳輸層建立、維護和終止;差錯校驗包括為檢測傳輸錯誤而建立的各種不同結構;而差錯恢復包括所採取的行動(如請求數據重發),以便解決發生的任何錯誤。傳輸控制協議(TCP)是提供可靠數據傳輸的TCP/IP協議族中的傳輸層協議。 第五層 會話層 會話層建立、管理和終止表示層與實體之間的通信會話。通信會話包括發生在不同網路應用層之間的服務請求和服務應答,這些請求與應答通過會話層的協議實現。它還包括創建檢查點,使通信發生中斷的時候可以返回到以前的一個狀態。 第六層 表示層 表示層提供多種功能用於應用層數據編碼和轉化,以確保以一個系統應用層發送的信息可以被另一個系統應用層識別。表示層的編碼和轉化模式包括公用數據表示格式、性能轉化表示格式、公用數據壓縮模式和公用數據加密模式。 公用數據表示格式就是標準的圖像、聲音和視頻格式。通過使用這些標准格式,不同類型的計算機系統可以相互交換數據;轉化模式通過使用不同的文本和數據表示,在系統間交換信息,例如ASCII(American Standard Code for Information Interchange,美國標准信息交換碼);標准數據壓縮模式確保原始設備上被壓縮的數據可以在目標設備上正確的解壓;加密模式確保原始設備上加密的數據可以在目標設備上正確地解密。 表示層協議一般不與特殊的協議棧關聯,如QuickTime是Applet計算機的視頻和音頻的標准,MPEG是ISO的視頻壓縮與編碼標准。常見的圖形圖像格式PCX、GIF、JPEG是不同的靜態圖像壓縮和編碼標准。 第七層 應用層 應用層是最接近終端用戶的OSI層,這就意味著OSI應用層與用戶之間是通過應用軟體直接相互作用的。注意,應用層並非由計算機上運行的實際應用軟體組成,而是由向應用程序提供訪問網路資源的API(Application Program Interface,應用程序介面)組成,這類應用軟體程序超出了OSI模型的范疇。應用層的功能一般包括標識通信夥伴、定義資源的可用性和同步通信。因為可能丟失通信夥伴,應用層必須為傳輸數據的應用子程序定義通信夥伴的標識和可用性。定義資源可用性時,應用層為了請求通信而必須判定是否有足夠的網路資源。在同步通信中,所有應用程序之間的通信都需要應用層的協同操作。
5. 在osi層次基礎上 可以將網路安全體系分為四個級別 分別是
四個級別:網路級安全、系統級安全、應用級安全及企業級的安全。
網路安全需求應該是全方位的、整體的。在0SI七個層次的基礎上,將安全體系劃分為四個級別:網路級安全、系統級安全、應用級安全及企業級的安全管理。針對網路系統受到的威脅,安全體系結構提出了以下幾類安全服務:
1、身份認證:這種服務是在兩個開放系統同等層中的實體建立連接和數據傳送期間,為提供連接實體身份的鑒別而規定的一種服務。這種服務防止冒充或重傳以前的連接。這種鑒別服務可以是單向的,也可以是雙向的。
2、訪問控制:訪問控制服務可以防止未經授權的用戶非法使用系統資源。這種服務不僅可以提供給單個用戶,也可以提供給封閉的用戶組中的所有用戶。
3、數據保密:數據保密服務的目的是保護網路中各系統之間交換的數據,防止因數據被截獲而造成的泄密。
4、數據完整性:這種服務用來防止非法實體對用戶的主動攻擊(對正在交換數據進行修改、插入、使數據延時以及丟失數據等),以保證數據接受方收到的信息與發送方發送的信息完全一致。
(5)網路安全層次模型擴展閱讀
信息的安全性涉及到機密信息泄露、未經授權的訪問、破壞信息完整性、假冒、破壞系統的可用性等。在某些網路系統中,涉及到很多機密信息,如果一些重要信息遭到竊取或破壞,它的經濟、社會影響和政治影響將是很嚴重的。
因此,對用戶使用計算機必須進行身份認證,對於重要信息的通訊必須授權,傳輸必須加密。採用多層次的訪問控制與許可權控制手段,實現對數據的安全保護;採用加密技術,保證網上傳輸的信息(包括管理員口令與賬戶、上傳信息等)的機密性與完整性。
6. 關於網路安全層次模型說法,正確是( )。
【答案】:D
網路安全主要工作有查拿磨找並消除病毒、管理區域網外祥敏舉部許可權和連接、管理用戶注冊和訪問許可權、防止竊取等。這些工作可以分布在OSI各個層次來實現。因謹碧此可以說網路安全性應該放在OSI各個層次來實現,並且要綜合在一起來實現。
7. 網路信息安全層次結構是什麼.
信息安全主要涉及到信息傳輸的安全、信息存儲的安全以及對網路傳輸信息內容的審計三方面。
鑒別
鑒別是對網路中的主體進行驗證的過程,通常有三種方法驗證主體身份。一是只有該主體了解的秘密,如口令、密鑰;二是主體攜帶的物品,如智能卡和令牌卡;三是只有該主體具有的獨一無二的特徵或能力,如指紋、聲音、視網膜或簽字等。
口令機制:口令是相互約定的代碼,假設只有用戶和系統知道。口令有時由用戶選擇,有時由系統分配。通常情況下,用戶先輸入某種標志信息,比如用戶名和ID號,然後系統詢問用戶口令,若口令與用戶文件中的相匹配,用戶即可進入訪問。口令有多種,如一次性口令,系統生成一次性口令的清單,第一次時必須使用X,第二次時必須使用Y,第三次時用Z,這樣一直下去;還有基於時間的口令,即訪問使用的正確口令隨時間變化,變化基於時間和一個秘密的用戶鑰匙。這樣口令每分鍾都在改變,使其更加難以猜測。
智能卡:訪問不但需要口令,也需要使用物理智能卡。在允許其進入系統之前檢查是否允許其接觸系統。智能卡大小形如信用卡,一般由微處理器、存儲器及輸入、輸出設施構成。微處理器可計算該卡的一個唯一數(ID)和其它數據的加密形式。ID保證卡的真實性,持卡人就可訪問系統。為防止智能卡遺失或被竊,許多系統需要卡和身份識別碼(PIN)同時使用。若僅有卡而不知PIN碼,則不能進入系統。智能卡比傳統的口令方法進行鑒別更好,但其攜帶不方便,且開戶費用較高。
主體特徵鑒別:利用個人特徵進行鑒別的方式具有很高的安全性。目前已有的設備包括:視網膜掃描儀、聲音驗證設備、手型識別器。
數據傳輸安全系統
數據傳輸加密技術 目的是對傳輸中的數據流加密,以防止通信線路上的竊聽、泄漏、篡改和破壞。如果以加密實現的通信層次來區分,加密可以在通信的三個不同層次來實現,即鏈路加密(位於OSI網路層以下的加密),節點加密,端到端加密(傳輸前對文件加密,位於OSI網路層以上的加密)。
一般常用的是鏈路加密和端到端加密這兩種方式。鏈路加密側重與在通信鏈路上而不考慮信源和信宿,是對保密信息通過各鏈路採用不同的加密密鑰提供安全保護。鏈路加密是面向節點的,對於網路高層主體是透明的,它對高層的協議信息(地址、檢錯、幀頭幀尾)都加密,因此數據在傳輸中是密文的,但在中央節點必須解密得到路由信息。端到端加密則指信息由發送端自動加密,並進入TCP/IP數據包回封,然後作為不可閱讀和不可識別的數據穿過互聯網,當這些信息一旦到達目的地,將自動重組、解密,成為可讀數據。端到端加密是面向網路高層主體的,它不對下層協議進行信息加密,協議信息以明文形式傳輸,用戶數據在中央節點不需解密。
數據完整性鑒別技術 目前,對於動態傳輸的信息,許多協議確保信息完整性的方法大多是收錯重傳、丟棄後續包的辦法,但黑客的攻擊可以改變信息包內部的內容,所以應採取有效的措施來進行完整性控制。
報文鑒別:與數據鏈路層的CRC控制類似,將報文名欄位(或域)使用一定的操作組成一個約束值,稱為該報文的完整性檢測向量ICV(Integrated Check Vector)。然後將它與數據封裝在一起進行加密,傳輸過程中由於侵入者不能對報文解密,所以也就不能同時修改數據並計算新的ICV,這樣,接收方收到數據後解密並計算ICV,若與明文中的ICV不同,則認為此報文無效。
校驗和:一個最簡單易行的完整性控制方法是使用校驗和,計算出該文件的校驗和值並與上次計算出的值比較。若相等,說明文件沒有改變;若不等,則說明文件可能被未察覺的行為改變了。校驗和方式可以查錯,但不能保護數據。
加密校驗和:將文件分成小快,對每一塊計算CRC校驗值,然後再將這些CRC值加起來作為校驗和。只要運用恰當的演算法,這種完整性控制機制幾乎無法攻破。但這種機制運算量大,並且昂貴,只適用於那些完整性要求保護極高的情況。
消息完整性編碼MIC(Message Integrity Code):使用簡單單向散列函數計算消息的摘要,連同信息發送給接收方,接收方重新計算摘要,並進行比較驗證信息在傳輸過程中的完整性。這種散列函數的特點是任何兩個不同的輸入不可能產生兩個相同的輸出。因此,一個被修改的文件不可能有同樣的散列值。單向散列函數能夠在不同的系統中高效實現。
防抵賴技術 它包括對源和目的地雙方的證明,常用方法是數字簽名,數字簽名採用一定的數據交換協議,使得通信雙方能夠滿足兩個條件:接收方能夠鑒別發送方所宣稱的身份,發送方以後不能否認他發送過數據這一事實。比如,通信的雙方採用公鑰體制,發方使用收方的公鑰和自己的私鑰加密的信息,只有收方憑借自己的私鑰和發方的公鑰解密之後才能讀懂,而對於收方的回執也是同樣道理。另外實現防抵賴的途徑還有:採用可信第三方的權標、使用時戳、採用一個在線的第三方、數字簽名與時戳相結合等。
鑒於為保障數據傳輸的安全,需採用數據傳輸加密技術、數據完整性鑒別技術及防抵賴技術。因此為節省投資、簡化系統配置、便於管理、使用方便,有必要選取集成的安全保密技術措施及設備。這種設備應能夠為大型網路系統的主機或重點伺服器提供加密服務,為應用系統提供安全性強的數字簽名和自動密鑰分發功能,支持多種單向散列函數和校驗碼演算法,以實現對數據完整性的鑒別。
數據存儲安全系統
在計算機信息系統中存儲的信息主要包括純粹的數據信息和各種功能文件信息兩大類。對純粹數據信息的安全保護,以資料庫信息的保護最為典型。而對各種功能文件的保護,終端安全很重要。
資料庫安全:對資料庫系統所管理的數據和資源提供安全保護,一般包括以下幾點。一,物理完整性,即數據能夠免於物理方面破壞的問題,如掉電、火災等;二,邏輯完整性,能夠保持資料庫的結構,如對一個欄位的修改不至於影響其它欄位;三,元素完整性,包括在每個元素中的數據是准確的;四,數據的加密;五,用戶鑒別,確保每個用戶被正確識別,避免非法用戶入侵;六,可獲得性,指用戶一般可訪問資料庫和所有授權訪問的數據;七,可審計性,能夠追蹤到誰訪問過資料庫。
要實現對資料庫的安全保護,一種選擇是安全資料庫系統,即從系統的設計、實現、使用和管理等各個階段都要遵循一套完整的系統安全策略;二是以現有資料庫系統所提供的功能為基礎構作安全模塊,旨在增強現有資料庫系統的安全性。
終端安全:主要解決微機信息的安全保護問題,一般的安全功能如下。基於口令或(和)密碼演算法的身份驗證,防止非法使用機器;自主和強制存取控制,防止非法訪問文件;多級許可權管理,防止越權操作;存儲設備安全管理,防止非法軟盤拷貝和硬碟啟動;數據和程序代碼加密存儲,防止信息被竊;預防病毒,防止病毒侵襲;嚴格的審計跟蹤,便於追查責任事故。
信息內容審計系統
實時對進出內部網路的信息進行內容審計,以防止或追查可能的泄密行為。因此,為了滿足國家保密法的要求,在某些重要或涉密網路,應該安裝使用此系統。
8. 網路信息安全的模型框架
通信雙方在網路上傳輸信息,需要先在發收之間建立一條邏輯通道。這就要先確定從發送端到接收端的路由,再選擇該路由上使用的通信協議,如TCP/IP。
為了在開放式的網路環境中安全地傳輸信息,需要對信息提供安全機制和安全服務。信息的安全傳輸包括兩個基本部分:一是對發送的信息進行安全轉換,如信息加密以便達到信息的保密性,附加一些特徵碼以便進行發送者身份驗證等;二是發送雙方共享的某些秘密信息,如加密密鑰,除了對可信任的第三方外,對其他用戶是保密的。
為了使信息安全傳輸,通常需要一個可信任的第三方,其作用是負責向通信雙方分發秘密信息,以及在雙方發生爭議時進行仲裁。
一個安全的網路通信必須考慮以下內容:
·實現與安全相關的信息轉換的規則或演算法
·用於信息轉換演算法的密碼信息(如密鑰)
·秘密信息的分發和共享
·使用信息轉換演算法和秘密信息獲取安全服務所需的協議 網路信息安全可看成是多個安全單元的集合。其中,每個單元都是一個整體,包含了多個特性。一般,人們從三個主要特性——安全特性、安全層次和系統單元去理解網路信息安全。
1)安全特性
安全特性指的是該安全單元可解決什麼安全威脅。信息安全特性包括保密性、完整性、可用性和認證安全性。
保密性安全主要是指保護信息在存儲和傳輸過程中不被未授權的實體識別。比如,網上傳輸的信用卡賬號和密碼不被識破。
完整性安全是指信息在存儲和傳輸過程中不被為授權的實體插入、刪除、篡改和重發等,信息的內容不被改變。比如,用戶發給別人的電子郵件,保證到接收端的內容沒有改變。
可用性安全是指不能由於系統受到攻擊而使用戶無法正常去訪問他本來有權正常訪問的資源。比如,保護郵件伺服器安全不因其遭到DOS攻擊而無法正常工作,是用戶能正常收發電子郵件。
認證安全性就是通過某些驗證措施和技術,防止無權訪問某些資源的實體通過某種特殊手段進入網路而進行訪問。
2)系統單元
系統單元是指該安全單元解決什麼系統環境的安全問題。對於現代網路,系統單元涉及以下五個不同環境。
·物理單元:物理單元是指硬體設備、網路設備等,包含該特性的安全單元解決物理環境安全問題。
·網路單元:網路單元是指網路傳輸,包含該特性的安全單元解決網路協議造成的網路傳輸安全問題。
·系統單元:系統單元是指操作系統,包含該特性的安全單元解決端系統或中間系統的操作系統包含的安全問題。一般是指數據和資源在存儲時的安全問題。
·應用單元:應用單元是指應用程序,包含該特性的安全單元解決應用程序所包含的安全問題。
·管理單元:管理單元是指網路安全管理環境,網路管理系統對網路資源進行安全管理。 網路信息安全往往是根據系統及計算機方面做安全部署,很容易遺忘人才是這個網路信息安全中的脆弱點,而社會工程學攻擊則是這種脆弱點的擊破方法。社會工程學是一種利用人性脆弱點、貪婪等等的心理表現進行攻擊,是防不勝防的。國內外都有在對此種攻擊進行探討,比較出名的如《黑客社會工程學攻擊2》等。
9. 網路安全分為幾層
4層,應用層,網路協議層,鏈路層,物理層。
10. 5層網路安全模型是那五層呢速求!!!!!!!!!!
網路安全模型的五層分別是:物理層、數據鏈路層、IP層(或稱網路層、互連層)、傳輸層和應用層。