资源描述
Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,1,2,在网络中,计算机与计算机之间的通信是机器与机器之间的通信,其不同于人与人之间通信的最大特点是必须对所传递信息的符号格式、传送速率、过失控制、含义理解等,预先作出明确严格的统一规定或约定,成为共同成认和遵守的规那么,才能保证信息传递的可靠和有效,并在传递完成后得到相应的正确处理。这些为进行网络中的信息交换而建立的共同规那么、标准或约定,称为网络协议Protocol,3,在网络的实际应用中,计算机系统与计算机系统之间的互联、互通、互操作过程,一般都不能只依靠一种协议,而需要执行许多种协议才能完成。全部网络协议以层次化的结构形式所构成的集合,就称为网络体系结构。,4,网络平安体系结构大致可分为三类:,第一类是国际标准化组织ISO制定的开放,系统互联/考模型OSI/RM,Open System,Interconnection/Reference Model。,第二类是有关行业成为既成事实的标准,已得,到相当普遍的接受,典型代表如著名的TCP/IP协,议体系结构。,第三类,就是各生产厂商自己制定的协议标,准。,5,开放系统互联/参考模型OSI/RM,6,1,保密性,保密性是指确保非授权用户不能获得网络信息资源的,性能。为此要求网络具有良好的密码体制、密钥管理、传,输加密保护、存储加密保护、防电磁泄漏等功能。,2,完整性,完整性是指确保网络信息不被非法修改、删除或增,添,以保证信息正确、一致的性能。为此要求网络的软,件、存储介质,以及信息传递与交换过程中都具有相应的,功能。,7,3,可用性,可用性是指确保网络合法用户能够按所获授权访问网络资源,同时防止对网络非授权访问的性能。为此要求网络具有身份识别、访问控制,以及对访问活动过程进行审计的功能。,4,可控性,可控性是指确保合法机构按所获授权能够对网络及其中的信息流动与行为进行监控的性能。为此要求网络具有相应的多方面的功能。,5,抗抵赖性,抗抵赖性又称不可否认性,是指确保接收到的信息不是假冒的,而发信方无法否认所发信息的性能。为此要求网络具有数字取证、证据保全等功能。,8,基于上述对网络平安体系结构的需求,作为一般手段的网络平安体系结构,其任务并不是为任何具体的网络提供具体的网络平安方案,而是提供有关形成网络平安方案的方法和假设干必须遵循的思路、原那么和标准。它给出关于网络平安效劳和网络平安机制的一般描述方式,以及各种平安效劳与网络体系结构层次的对应关系。,9,10,11,OSI平安体系结构的核心内容是:以实现完备的网络平安功能为目标,描述了6类平安效劳,以及提供这些效劳的8类平安机制和相应的OSI平安管理,并且尽可能地将上述平安效劳配置于开放系统互联/参考模OSI/RM7层结构的相应层。,12,OSI平安体系结构的三维空间表示,13,表2.1 OSI平安体系结构描述的6类平安效劳及其作用,序号,安全服务,作用,1,对等实体鉴别,确保网络同一层次连接两端的对等实体身份真实、合法,2,访问控制,防止未经许可的用户访问,OSI,网络的资源,3,数据保密,防止未经许可暴露网络中数据的内容,4,数据完整性,确保接收端收到的信息与发送端发出的信息完全一致,防止在网络中传输的数据因网络服务质量不良而造成错误或丢失,并防止其受到非法实体进行的篡改、删除、插入等攻击,5,数据源点鉴别,由,OSI,体系结构的第,N,层向其上一层即第(,N+1,)层提供关于数据来源为一对等(,N+1,)层实体的鉴别,6,抗抵赖,又称不容否认,防止数据的发送者否认曾经发送过该数据或数据中的内容,防止数据的接收者否认曾经收到过该数据或数据中的内容,14,表2.2 OSI平安体系结构中平安效劳按网络层次的配置,安全服务,网络层次,物理层,数据链路层,网络层,传输层,会话层,表示层,应用层,对等实体鉴别,访问控制,数据保密,数据完整性,数据源点鉴别,抗抵赖,15,按照OSI平安体系结构,为了提供上述6类平安效劳,,采用以下8类平安机制来实现:,1加密。,2数据签名,3访问控制,4数据完整性,5交换鉴别,6信息流填充,7路由控制,8公证,16,表2.3 OSI平安体系结构中平安机制与平安效劳的对应关系,安全服务,安全机制,数据加密,数据签名,访问控制,数据完整性,交换鉴别,信息流填充,路由控制,公证,对等实体鉴别,访问控制,数据保密,数据完整性,数据源点鉴别,抗抵赖,17,18,美国国防部为了使其所有信息系统的平安配置具有充,分的一致性、有效性和互操作性,由国防信息系统DISA,与国家平安局NSA合作开发了国防部目标平安体系结,构DGSA,并载入了1996年国防信息系统局发布的、,为国防信息根底设施DII提供详细开展蓝图的信息管理,技术体系结构框架TAFIM3.0版,为其中的第6卷。该,体系结构DGSA从开展角度提供了平安结构的全貌,,是一个通用的体系框架,用于开发特定任务网络或信息系,统包含各项平安业务在内的平安体系结构,19,1DISSP的5个目的,1保证国防部对DISSP的利用和管理;,2将所有的网络和信息系统高度自动化,以便使用;,3确保网络和信息系统的有效性、平安性、可互操作性;,4促进国防信息系统的协调、综合开发;,5建立能使各个国防机构、各军种,以及北约和美国的,盟国的所有网络和信息系统彼此之间具有良好互操作,性的平安结构。,。,20,2DISSP的8项任务,1确定一个统一、协调的网络平安策略;,2开发全美国防网络和信息系统平安结构;,3开发基于上述平安结构的网络平安标准和协议;,4确定统一的网络平安认证标准;,5开发先进的网络平安技术;,6建立网络和信息系统的开发者、实现者与使用者之间的有效协调;,7制定达成预定目的的过渡方案;,8将有关信息及时通报供给商。,21,3DISSP提供的平安体系结构及其特点,DISSP提供的平安体系结构框架可用如图2.3所示的三维空间模型来,表示。图中空间的三维分别代表:网络平安特性与局部操作特性、网络与,信息系统的组成局部、OSI网络结构层及其扩展层。,22,3DISSP提供的平安体系结构及其特点,与OSI平安体系结构ISO 74982相比,DISSP安,全体系结构具有如下特点:,1从最高层着眼,统筹解决全部国防网络与信息系统的,平安问题,不允许任何下属层次各自为政并分别建立自己,的平安体系。,2把网络与信息系统的组成简化归结为4个局部,即端,系统、网络、接口和平安管理。这样便于网络与信息系统,的管理人员与平安体系设计人员之间的协商与协作,便于,平安策略的落实和平安功能的完善。这是该平安体系结构,的一大创新。,23,3在网络平安特性中增列了“物理、规程和人员平安,特性,第一次将有关平安的法律、法令、规程及人事管理,等工作都纳入平安体系结构,使平安问题能够更有效地全,面统筹解决。,4把在网络平安体系受到局部破坏或功能降低情况下,,仍能继续工作且受敌危害最小的特性,列为要求的平安特,性。,5从多个角度,特别强调了在确保网络平安性的同时,,保证网络具有足够的互操作性。,24,25,TCP/IP是传输控制协议/网际协议Transmission,Control Protocol/Internet Protocol的英文缩写。经,过多年的演变开展,今天TCP/IP体系结构已经成为,Internet所采用的网络协议,成为全世界应用最广泛的网,络体系结构。TCP/IP体系结构虽然不同于OSI体系结构,,不是国际标准化组织ISO所制定的标准,但已被全世,界公认为一种具有很大影响的事实上的标准。所以,研究,它的平安体系结构具有重要的现实意义。,26,TCP/IP,体系结构,OSI,体系结构,应用层,FTP,(文件传输协议),Telnet,(远程登录协议),SMTP,(简单邮件传输协议),SNMP,(简单网络管理协议),应用层(,AL,),表示层(,PL,),会话层(,SL,),传送层,TCP,(传输控制协议)、,UDP,(用户数据报文协议),传输层(,TL,),互联网层,路由协议,IP,(网际协议),ICMP,(网络互联控制报文协议),网络层(,NL,),ARP,(地址解析协议)、,RARP,(反向地址解析协议),网络接口层,不指定,数据链路层(,DLL,),物理层(,PHL,),TCP/IP,体系结构也是一种分层结构,其中的每一层,都对应于,OSI,体系结构的某一层或某几层。具体对应关系见表,2.4,。,27,表2.5 基于TCP/IP的网络平安体系结构中平安效劳按网络层次的配置,安 全 服 务,TCP/IP,体系结构层次,网络接口层,互联网层,传输层,应用层,对等实体鉴别,访问控制,数据保密,数据完整性,数据源点鉴别,抗抵赖,28,29,3.1 网络平安协议与标准的根本概念,协议是网络的同一层次实体之间、为了相互配合完本钱层次功能而作的约定。所以,协议是网络体系结构的最终表达形式。对于网络平安体系结构而言,它的根本构成成分和最终表达形式就是网络平安协议。,30,3.2 网络平安协议与标准举例美军JTA信息系统平安,标准,美军由国防信息系统局牵头,集中各军兵种专家,在信息管理技术体系结构框架TAFIM指导下,开发了名为联合技术体
展开阅读全文