1. 【网络安全基础】网络参考模型分为哪几层
网络参考模型分为7层,分别是物理层,数据链路层,网络层,传输层,会话层,表示层和应用层。
2. .OSI模型中,各个层次存在那些安全威胁和攻击
1.物理环境的安全性(物理层安全)
该层次的安全包括通信线路的安全,物理设备的安全,机房的安全等。物理层的安全主要体现在通信线路的可靠性(线路备份、网管软件、传输介质),软硬件设备安全性(替换设备、拆卸设备、增加设备),设备的备份,防灾害能力、防干扰能力,设备的运行环境(温度、湿度、烟尘),不间断电源保障,等等。
2.操作系统的安全性(系统层安全)
该层次的安全问题来自网络内使用的操作系统的安全,如Windows NT,Windows 2000等。主要表现在三方面,一是操作系统本身的缺陷带来的不安全因素,主要包括身份认证、访问控制、系统漏洞等。二是对操作系统的安全配置问题。三是病毒对操作系统的威胁。
3.网络的安全性(网络层安全)
该层次的安全问题主要体现在网络方面的安全性,包括网络层身份认证,网络资源的访问控制,数据传输的保密与完整性,远程接入的安全,域名系统的安全,路由系统的安全,入侵检测的手段,网络设施防病毒等。
4.应用的安全性(应用层安全)
该层次的安全问题主要由提供服务所采用的应用软件和数据的安全性产生,包括Web服务、电子邮件系统、DNS等。此外,还包括病毒对系统的威胁。
5.管理的安全性(管理层安全)
安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化极大程度地影响着整个网络的安全,严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其它层次的安全漏洞。
3. 什么是网络层安全
支持网络层访问控制
应能支持URL级别访问控制
支持IP级别黑、白名单
4. 网络ISO七层模型中,每层中可使用的怎样的安全技术
物理层:设置连接密码,设置橱窗。 数据链路层:设置ppp验证、设置交换机端口优先级、mac地址安全、bp守卫、快速端口等等。 网络层:可以设置路由协议验证、设置扩展访问列表、设置防火墙等。 传输层:设置ftp密码,传输密钥等等。 会话层&表示层:公钥密码、私钥密码应该在这两层进行设置。 应用层:设置NBAR,设置应用层防火墙等等。 网络协议设计者不应当设计一个单一、巨大的协议来为所有形式的通信规定完整的细节,而应升锋把通信问题划分成多个小问题,然后为每一个小问题设计一个单独的协议。这样做使得每个协议的设计、分析、时限和测试比较容易。协议划分的一个主要原则是确保目标系统有效且效率高。为了提高效率,每个协议只应该注意没有被其他协议处理过的那部分通信问题;为了主协议的实现更加有效,协议之间应该能够共享特定的数据结构;同时这些协议的组合应该能处理所有可能的硬件错误以及其它异常情况。为了保证这些协议工作的协同性,应当将协议设计和开发成完整的、协作的协议系列(即协议族),而不是孤立地开发每个协议。 在网络历史的早期,国际标准化组织(ISO)和国际电报电话咨询委员会(CCITT)共同出版了开放系统互联的七层参考模型。一台计算机操作系统中的网络过程包括从应用请求(在协议栈的顶部)到网络介质(底部) ,OSI参考模型把功能分成七个分立的层次。图2.1表示了OSI分层模型。 ┌—————┐ │ 应用层 │←第七层 ├—————┤ │ 表示层 │ ├—————┤ │ 会话层 │ ├—————┤ │ 传输层 │ ├—————┤ │ 网络层 │ ├—————┤ │数据链路层│ ├—————┤ │ 物理层 │←第一层 └—————┘ 图2.1 OSI七层参考模型 OSI模型的七层分别进行以下的操作:第一层 物理层 第一层负责最后将信息编码成电流脉冲或其它信号用于网上传输。它由计算机和网络介质之间的实际界面组成,可定义电气信号、符号、线的状态和时钟要求、数据编码和数据传输用的连接器。如最常用的RS-232规范、10BASE-T的曼彻斯特编码以及RJ-45就属于第一层。所有比物理层高的层都通过事先定义好的接口而与它通话。如以太网的附属单元接口(AUI),一个DB-15连接器可被用来连接层一和层二。 第二层 数据链路层 数据链路层通过物理网络链路提供可靠的数据传输。不同的数据链路层定义了不同的网络和协议特征,其中包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。物理编址(相对应的是网络编址)定义了设备在数据链路层的编址方式;网络拓扑结构定义了设备的物理连接方式,如总线拓扑结构和环拓扑结构;错误校验向发生传输错误的上层协议告警;数据帧序列重新整理并传输除序列以外的帧;流控可能延缓数据的传输,以使接收设备不会因为在某一时刻接收到超过其处理能力的信息流而崩溃。数据链路层实际上由两个独立的哪笑闷部分组成,介质存取控制(Media Access Control,MAC)和逻辑链路控制层(Logical Link Control,LLC)。MAC描述在共享介质环境中如何进行站的调度、发生和接收数据。MAC确保信息跨链路的可靠传输,对数据传输进行同步,识别错误和控制数据的流向。一般地讲,MAC只在共享介质环境中才是重要的,只有在共享介质环境中多个节点才能连接到同一传输介质上。IEEE MAC规则定义了地址,以标识数据链路层中的多个设备。逻辑链路控制子层管理单一网络链路上的设备间的通信,IEEE 802.2标准定义了LLC。LLC支持无连接服务和面向连接的服务。在数据链路层的信息帧中定义了许多域。这些域使得多种高层协议可以共享一个物理数据链路。 第三层 网络层 网络层负责在源和终点之间建立连接。它一般包括网络寻径,还可能包括流量控制、错误检查等。相同MAC标准的不同网段之间的数据传输一般只涉及到数据链路层,而不同的MAC标准之间的数据传输都涉及到网络层。例如IP路由器工作在网络层,因而可以实现多种网络间的互联。 第四层李弯 传输层 传输层向高层提供可靠的端到端的网络数据流服务。传输层的功能一般包括流控、多路传输、虚电路管理及差错校验和恢复。流控管理设备之间的数据传输,确保传输设备不发送比接收设备处理能力大的数据;多路传输使得多个应用程序的数据可以传输到一个物理链路上;虚电路由传输层建立、维护和终止;差错校验包括为检测传输错误而建立的各种不同结构;而差错恢复包括所采取的行动(如请求数据重发),以便解决发生的任何错误。传输控制协议(TCP)是提供可靠数据传输的TCP/IP协议族中的传输层协议。 第五层 会话层 会话层建立、管理和终止表示层与实体之间的通信会话。通信会话包括发生在不同网络应用层之间的服务请求和服务应答,这些请求与应答通过会话层的协议实现。它还包括创建检查点,使通信发生中断的时候可以返回到以前的一个状态。 第六层 表示层 表示层提供多种功能用于应用层数据编码和转化,以确保以一个系统应用层发送的信息可以被另一个系统应用层识别。表示层的编码和转化模式包括公用数据表示格式、性能转化表示格式、公用数据压缩模式和公用数据加密模式。 公用数据表示格式就是标准的图像、声音和视频格式。通过使用这些标准格式,不同类型的计算机系统可以相互交换数据;转化模式通过使用不同的文本和数据表示,在系统间交换信息,例如ASCII(American Standard Code for Information Interchange,美国标准信息交换码);标准数据压缩模式确保原始设备上被压缩的数据可以在目标设备上正确的解压;加密模式确保原始设备上加密的数据可以在目标设备上正确地解密。 表示层协议一般不与特殊的协议栈关联,如QuickTime是Applet计算机的视频和音频的标准,MPEG是ISO的视频压缩与编码标准。常见的图形图像格式PCX、GIF、JPEG是不同的静态图像压缩和编码标准。 第七层 应用层 应用层是最接近终端用户的OSI层,这就意味着OSI应用层与用户之间是通过应用软件直接相互作用的。注意,应用层并非由计算机上运行的实际应用软件组成,而是由向应用程序提供访问网络资源的API(Application Program Interface,应用程序接口)组成,这类应用软件程序超出了OSI模型的范畴。应用层的功能一般包括标识通信伙伴、定义资源的可用性和同步通信。因为可能丢失通信伙伴,应用层必须为传输数据的应用子程序定义通信伙伴的标识和可用性。定义资源可用性时,应用层为了请求通信而必须判定是否有足够的网络资源。在同步通信中,所有应用程序之间的通信都需要应用层的协同操作。
5. 在osi层次基础上 可以将网络安全体系分为四个级别 分别是
四个级别:网络级安全、系统级安全、应用级安全及企业级的安全。
网络安全需求应该是全方位的、整体的。在0SI七个层次的基础上,将安全体系划分为四个级别:网络级安全、系统级安全、应用级安全及企业级的安全管理。针对网络系统受到的威胁,安全体系结构提出了以下几类安全服务:
1、身份认证:这种服务是在两个开放系统同等层中的实体建立连接和数据传送期间,为提供连接实体身份的鉴别而规定的一种服务。这种服务防止冒充或重传以前的连接。这种鉴别服务可以是单向的,也可以是双向的。
2、访问控制:访问控制服务可以防止未经授权的用户非法使用系统资源。这种服务不仅可以提供给单个用户,也可以提供给封闭的用户组中的所有用户。
3、数据保密:数据保密服务的目的是保护网络中各系统之间交换的数据,防止因数据被截获而造成的泄密。
4、数据完整性:这种服务用来防止非法实体对用户的主动攻击(对正在交换数据进行修改、插入、使数据延时以及丢失数据等),以保证数据接受方收到的信息与发送方发送的信息完全一致。
(5)网络安全层次模型扩展阅读
信息的安全性涉及到机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。在某些网络系统中,涉及到很多机密信息,如果一些重要信息遭到窃取或破坏,它的经济、社会影响和政治影响将是很严重的。
因此,对用户使用计算机必须进行身份认证,对于重要信息的通讯必须授权,传输必须加密。采用多层次的访问控制与权限控制手段,实现对数据的安全保护;采用加密技术,保证网上传输的信息(包括管理员口令与账户、上传信息等)的机密性与完整性。
6. 关于网络安全层次模型说法,正确是( )。
【答案】:D
网络安全主要工作有查拿磨找并消除病毒、管理局域网外祥敏举部权限和连接、管理用户注册和访问权限、防止窃取等。这些工作可以分布在OSI各个层次来实现。因谨碧此可以说网络安全性应该放在OSI各个层次来实现,并且要综合在一起来实现。
7. 网络信息安全层次结构是什么.
信息安全主要涉及到信息传输的安全、信息存储的安全以及对网络传输信息内容的审计三方面。
鉴别
鉴别是对网络中的主体进行验证的过程,通常有三种方法验证主体身份。一是只有该主体了解的秘密,如口令、密钥;二是主体携带的物品,如智能卡和令牌卡;三是只有该主体具有的独一无二的特征或能力,如指纹、声音、视网膜或签字等。
口令机制:口令是相互约定的代码,假设只有用户和系统知道。口令有时由用户选择,有时由系统分配。通常情况下,用户先输入某种标志信息,比如用户名和ID号,然后系统询问用户口令,若口令与用户文件中的相匹配,用户即可进入访问。口令有多种,如一次性口令,系统生成一次性口令的清单,第一次时必须使用X,第二次时必须使用Y,第三次时用Z,这样一直下去;还有基于时间的口令,即访问使用的正确口令随时间变化,变化基于时间和一个秘密的用户钥匙。这样口令每分钟都在改变,使其更加难以猜测。
智能卡:访问不但需要口令,也需要使用物理智能卡。在允许其进入系统之前检查是否允许其接触系统。智能卡大小形如信用卡,一般由微处理器、存储器及输入、输出设施构成。微处理器可计算该卡的一个唯一数(ID)和其它数据的加密形式。ID保证卡的真实性,持卡人就可访问系统。为防止智能卡遗失或被窃,许多系统需要卡和身份识别码(PIN)同时使用。若仅有卡而不知PIN码,则不能进入系统。智能卡比传统的口令方法进行鉴别更好,但其携带不方便,且开户费用较高。
主体特征鉴别:利用个人特征进行鉴别的方式具有很高的安全性。目前已有的设备包括:视网膜扫描仪、声音验证设备、手型识别器。
数据传输安全系统
数据传输加密技术 目的是对传输中的数据流加密,以防止通信线路上的窃听、泄漏、篡改和破坏。如果以加密实现的通信层次来区分,加密可以在通信的三个不同层次来实现,即链路加密(位于OSI网络层以下的加密),节点加密,端到端加密(传输前对文件加密,位于OSI网络层以上的加密)。
一般常用的是链路加密和端到端加密这两种方式。链路加密侧重与在通信链路上而不考虑信源和信宿,是对保密信息通过各链路采用不同的加密密钥提供安全保护。链路加密是面向节点的,对于网络高层主体是透明的,它对高层的协议信息(地址、检错、帧头帧尾)都加密,因此数据在传输中是密文的,但在中央节点必须解密得到路由信息。端到端加密则指信息由发送端自动加密,并进入TCP/IP数据包回封,然后作为不可阅读和不可识别的数据穿过互联网,当这些信息一旦到达目的地,将自动重组、解密,成为可读数据。端到端加密是面向网络高层主体的,它不对下层协议进行信息加密,协议信息以明文形式传输,用户数据在中央节点不需解密。
数据完整性鉴别技术 目前,对于动态传输的信息,许多协议确保信息完整性的方法大多是收错重传、丢弃后续包的办法,但黑客的攻击可以改变信息包内部的内容,所以应采取有效的措施来进行完整性控制。
报文鉴别:与数据链路层的CRC控制类似,将报文名字段(或域)使用一定的操作组成一个约束值,称为该报文的完整性检测向量ICV(Integrated Check Vector)。然后将它与数据封装在一起进行加密,传输过程中由于侵入者不能对报文解密,所以也就不能同时修改数据并计算新的ICV,这样,接收方收到数据后解密并计算ICV,若与明文中的ICV不同,则认为此报文无效。
校验和:一个最简单易行的完整性控制方法是使用校验和,计算出该文件的校验和值并与上次计算出的值比较。若相等,说明文件没有改变;若不等,则说明文件可能被未察觉的行为改变了。校验和方式可以查错,但不能保护数据。
加密校验和:将文件分成小快,对每一块计算CRC校验值,然后再将这些CRC值加起来作为校验和。只要运用恰当的算法,这种完整性控制机制几乎无法攻破。但这种机制运算量大,并且昂贵,只适用于那些完整性要求保护极高的情况。
消息完整性编码MIC(Message Integrity Code):使用简单单向散列函数计算消息的摘要,连同信息发送给接收方,接收方重新计算摘要,并进行比较验证信息在传输过程中的完整性。这种散列函数的特点是任何两个不同的输入不可能产生两个相同的输出。因此,一个被修改的文件不可能有同样的散列值。单向散列函数能够在不同的系统中高效实现。
防抵赖技术 它包括对源和目的地双方的证明,常用方法是数字签名,数字签名采用一定的数据交换协议,使得通信双方能够满足两个条件:接收方能够鉴别发送方所宣称的身份,发送方以后不能否认他发送过数据这一事实。比如,通信的双方采用公钥体制,发方使用收方的公钥和自己的私钥加密的信息,只有收方凭借自己的私钥和发方的公钥解密之后才能读懂,而对于收方的回执也是同样道理。另外实现防抵赖的途径还有:采用可信第三方的权标、使用时戳、采用一个在线的第三方、数字签名与时戳相结合等。
鉴于为保障数据传输的安全,需采用数据传输加密技术、数据完整性鉴别技术及防抵赖技术。因此为节省投资、简化系统配置、便于管理、使用方便,有必要选取集成的安全保密技术措施及设备。这种设备应能够为大型网络系统的主机或重点服务器提供加密服务,为应用系统提供安全性强的数字签名和自动密钥分发功能,支持多种单向散列函数和校验码算法,以实现对数据完整性的鉴别。
数据存储安全系统
在计算机信息系统中存储的信息主要包括纯粹的数据信息和各种功能文件信息两大类。对纯粹数据信息的安全保护,以数据库信息的保护最为典型。而对各种功能文件的保护,终端安全很重要。
数据库安全:对数据库系统所管理的数据和资源提供安全保护,一般包括以下几点。一,物理完整性,即数据能够免于物理方面破坏的问题,如掉电、火灾等;二,逻辑完整性,能够保持数据库的结构,如对一个字段的修改不至于影响其它字段;三,元素完整性,包括在每个元素中的数据是准确的;四,数据的加密;五,用户鉴别,确保每个用户被正确识别,避免非法用户入侵;六,可获得性,指用户一般可访问数据库和所有授权访问的数据;七,可审计性,能够追踪到谁访问过数据库。
要实现对数据库的安全保护,一种选择是安全数据库系统,即从系统的设计、实现、使用和管理等各个阶段都要遵循一套完整的系统安全策略;二是以现有数据库系统所提供的功能为基础构作安全模块,旨在增强现有数据库系统的安全性。
终端安全:主要解决微机信息的安全保护问题,一般的安全功能如下。基于口令或(和)密码算法的身份验证,防止非法使用机器;自主和强制存取控制,防止非法访问文件;多级权限管理,防止越权操作;存储设备安全管理,防止非法软盘拷贝和硬盘启动;数据和程序代码加密存储,防止信息被窃;预防病毒,防止病毒侵袭;严格的审计跟踪,便于追查责任事故。
信息内容审计系统
实时对进出内部网络的信息进行内容审计,以防止或追查可能的泄密行为。因此,为了满足国家保密法的要求,在某些重要或涉密网络,应该安装使用此系统。
8. 网络信息安全的模型框架
通信双方在网络上传输信息,需要先在发收之间建立一条逻辑通道。这就要先确定从发送端到接收端的路由,再选择该路由上使用的通信协议,如TCP/IP。
为了在开放式的网络环境中安全地传输信息,需要对信息提供安全机制和安全服务。信息的安全传输包括两个基本部分:一是对发送的信息进行安全转换,如信息加密以便达到信息的保密性,附加一些特征码以便进行发送者身份验证等;二是发送双方共享的某些秘密信息,如加密密钥,除了对可信任的第三方外,对其他用户是保密的。
为了使信息安全传输,通常需要一个可信任的第三方,其作用是负责向通信双方分发秘密信息,以及在双方发生争议时进行仲裁。
一个安全的网络通信必须考虑以下内容:
·实现与安全相关的信息转换的规则或算法
·用于信息转换算法的密码信息(如密钥)
·秘密信息的分发和共享
·使用信息转换算法和秘密信息获取安全服务所需的协议 网络信息安全可看成是多个安全单元的集合。其中,每个单元都是一个整体,包含了多个特性。一般,人们从三个主要特性——安全特性、安全层次和系统单元去理解网络信息安全。
1)安全特性
安全特性指的是该安全单元可解决什么安全威胁。信息安全特性包括保密性、完整性、可用性和认证安全性。
保密性安全主要是指保护信息在存储和传输过程中不被未授权的实体识别。比如,网上传输的信用卡账号和密码不被识破。
完整性安全是指信息在存储和传输过程中不被为授权的实体插入、删除、篡改和重发等,信息的内容不被改变。比如,用户发给别人的电子邮件,保证到接收端的内容没有改变。
可用性安全是指不能由于系统受到攻击而使用户无法正常去访问他本来有权正常访问的资源。比如,保护邮件服务器安全不因其遭到DOS攻击而无法正常工作,是用户能正常收发电子邮件。
认证安全性就是通过某些验证措施和技术,防止无权访问某些资源的实体通过某种特殊手段进入网络而进行访问。
2)系统单元
系统单元是指该安全单元解决什么系统环境的安全问题。对于现代网络,系统单元涉及以下五个不同环境。
·物理单元:物理单元是指硬件设备、网络设备等,包含该特性的安全单元解决物理环境安全问题。
·网络单元:网络单元是指网络传输,包含该特性的安全单元解决网络协议造成的网络传输安全问题。
·系统单元:系统单元是指操作系统,包含该特性的安全单元解决端系统或中间系统的操作系统包含的安全问题。一般是指数据和资源在存储时的安全问题。
·应用单元:应用单元是指应用程序,包含该特性的安全单元解决应用程序所包含的安全问题。
·管理单元:管理单元是指网络安全管理环境,网络管理系统对网络资源进行安全管理。 网络信息安全往往是根据系统及计算机方面做安全部署,很容易遗忘人才是这个网络信息安全中的脆弱点,而社会工程学攻击则是这种脆弱点的击破方法。社会工程学是一种利用人性脆弱点、贪婪等等的心理表现进行攻击,是防不胜防的。国内外都有在对此种攻击进行探讨,比较出名的如《黑客社会工程学攻击2》等。
9. 网络安全分为几层
4层,应用层,网络协议层,链路层,物理层。
10. 5层网络安全模型是那五层呢速求!!!!!!!!!!
网络安全模型的五层分别是:物理层、数据链路层、IP层(或称网络层、互连层)、传输层和应用层。