第1章計算機網絡安全概述CONTENTSCONTENTS01網絡安全簡介02網絡安全的發(fā)展階段03網絡體系結構與協議04開放系統互連參考模型05TCP/IP參考模型06網絡安全模型與體系結構第1章計算機網絡安全概述1.1網絡安全簡介1.1.1網絡安全的定義1.1.2網絡安全的重要性1.1.3網絡安全脆弱性的原因1.1.4網絡安全的基本要素1.1.5網絡安全面臨的威脅第1章計算機網絡安全概述網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，確保系統能連續(xù)、可靠、正常第運行，網絡服務不中斷。網絡安全從其本質上來講就是網絡上的信息安全。從廣義來說，凡是涉及網絡上的信息的保密性、完整性、可用性、可控性的相關技術和理論都是網絡安全的研究領域。1.1.1網絡安全的定義第1章計算機網絡安全概述1.1.2網絡安全的重要性網絡信息安全是一個關系國家安全和主權、社會穩(wěn)定、民族文化繼承和發(fā)揚的重要問題。其重要性，正隨著全球信息化步伐的加快越來越重要。網絡信息安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科第1章計算機網絡安全概述1.1.3網絡安全脆弱性的原因從整體上看，網絡系統在設計、實現、應用和控制過程中存在的一切可能被攻擊者利用從而造成安全危害的缺陷都是脆弱性。網絡系統遭受損失最根本的原因在于其本身存在的脆弱性，網絡系統的脆弱性主要來源于以下幾個方面。1．開放性的網絡環(huán)境2．操作系統的缺陷3．應用軟件的漏洞4．人為因素第1章計算機網絡安全概述1.1.4網絡安全的基本要素由于網絡安全受到威脅的多樣性、復雜性及網絡信息、數據的重要性，在設計網絡系統的安全時，應該努力達到安全目標。一個安全的網絡具有下面五個特征：保密性、完整性、可靠性、可用性和不可抵賴性。1．保密性2．完整性3．可靠性4．可用性5．不可抵賴性第1章計算機網絡安全概述1.1.5網絡安全面臨的威脅計算機網絡所面臨的威脅包括對網絡中信息的威脅和對網絡中設備的威脅。影響計算機網絡的因素很多，有些因素可能是有意的，也可能是無意的；可能是人為的，也可能是非人為的；還有可能是外來黑客對網絡系統資源的非法使用等，目前網絡安全存在的主要威脅，如圖1.4所示。1．網絡內部威脅2．網絡外部威脅第1章計算機網絡安全概述1.1.6網絡安全發(fā)展趨勢隨著信息技術和信息產業(yè)的發(fā)展，網絡和信息安全問題及其對經濟發(fā)展、國家安全和社會穩(wěn)定的重大影響，正日益突出的顯示出來，主要表現在以下幾個方面。（1）信息與網絡安全的防護能力弱，信心安全意識低。（2）基礎信息產業(yè)薄弱，核心技術嚴重依賴國外，缺乏自主知識產權產品。（3）信息犯罪在我國有快速發(fā)展蔓延的趨勢。（4）我國信息安全人才培養(yǎng)還遠遠不能滿足要求。第1章計算機網絡安全概述1.2網絡安全的發(fā)展階段1.2.1通信安全階段1.2.2計算機安全階段1.2.3信息技術安全階段1.2.4信息保障階段第1章計算機網絡安全概述1.2.1通信安全階段20世紀40年代~70年代，通信技術還不發(fā)達，電腦只是零散地位于不同的地點，信息系統的安全局限于保證電腦的物理安全以及面對電話、電報、傳真等信息交換過程中存在的安全問題。把電腦安置在相對安全的地點，不容許生人接近，就可以保證數據的安全性。但是，信息是必須要交流的，如果這臺電腦的數據需要讓別人讀取，而需要數據的人在異地，那么只能將數據復制到介質上，派專人秘密送到目的地，復制到電腦再讀取數據。即使是這樣，也不是完美無缺的，誰來保證信息傳遞員的安全？因此這個階段人強調的信息系統安全性更多的是信息的保密性，重點是通過密碼技術解決通信保密問題，主要是保證數據的保密性與完整性，對于安全理論和技術的研究也只側重于密碼學，這一階段的信息安全可以簡單地稱為通信安全。第1章計算機網絡安全概述1.2.2計算機安全階段20世紀80年代，計算機的應用范圍不斷擴大，計算機和網絡技術的應用進入了實用化和規(guī)模化階段，人們利用通信網絡把獨立的計算機系統連接起來共享資源，信息安全問題也逐漸受到重視。人們對安全的關注已經逐漸擴展為保密性、完整性和可用性為目標的計算機安全階段。第1章計算機網絡安全概述1.2.3信息技術安全階段20世紀90年代，信息的主要安全威脅發(fā)展到網絡入侵、病毒破壞、信息對抗的攻擊等，網絡安全的重點是確保信息在存儲、處理、傳輸過程中及信息系統不被破壞，確保合法用戶的服務和限制非授權用戶的服務，以及必要的防御攻擊的措施，即轉變到了強調信息的保密性、完整性、可控性、可用性的信息安全階段。第1章計算機網絡安全概述1.2.4信息保障階段20世紀90年代后期，隨著電子商務等行業(yè)的發(fā)展，網絡安全衍生出了諸如可控性、不可否認性等其他原則和目標。此時對安全性有了新的需求。可控性是對信息及信息系統實施安全監(jiān)控管理；不可否認性是保證行為人不能否認自己的行為。信息安全也轉化為從整體角度考慮其體系建設的信息保障階段，也稱為網絡信息安全階段。第1章計算機網絡安全概述1.3網絡體系結構與協議1.3.1網絡體系結構的概念1.3.2網絡體系的分層結構1.3.3網絡協議的概念1.3.4網絡層次結構中的相關概念第1章計算機網絡安全概述1.3.1網絡體系結構的概念網絡體系結構是指整個網絡系統的邏輯組成和功能分配，定義和描述了一組用于計算機及其通信設施之間互連的標準和規(guī)范的集合。研究網絡體系結構的目的在于定義計算機網絡各個組成部分的功能，以便在統一的原則指導下進行網絡的設計、使用和發(fā)展。1．層次結構的概念2．層次結構的主要內容3．層次結構劃分原則4．劃分層次結構的優(yōu)越性第1章計算機網絡安全概述1.3.2網絡體系的分層結構網絡體系都是按層的方式來組織的，每一層都能完成一組特定的、有明確含義的功能，每一層的目的都是向上一層提供一定的服務，而上一層不需要知道下一層是如何實現服務的。第1章計算機網絡安全概述1.3.3網絡協議的概念連網的計算機以及網絡設備之間要進行數據與控制信息的成功傳遞就必須共同遵守網絡協議，網絡協議包含了3個方面的內容：語義、語法和時序。語義：規(guī)定通信的雙方準備“講什么”，即需要發(fā)出何種控制信息，完成何種動作以及做出何種應答。語法：規(guī)定了通信雙方“如何講”，即確定用戶數據與控制信息的結構、格式、數據編碼等。時序：又可稱為“同步”，規(guī)定了雙方“何時進行通信”，即事件實現順序的詳細說明。第1章計算機網絡安全概述1.3.4網絡層次結構中的相關概念網絡層次結構中包含實體、接口、服務等相關概念。1．實體2．接口3．服務4．層間通信5．服務訪問點（ServiceAccessPoint）6.協議數據單元（ProtocolDataUnit，PDU）7．接口數據單元（InterfaceDataUnit，IDU）第1章計算機網絡安全概述1.4開放系統互連參考模型1.4.1OSI參考模型1.4.2OSI參考模型各層的功能1.4.3OSI參考模型數據傳輸過程第1章計算機網絡安全概述1.4.1OSI參考模型OSI模型將計算機網絡通信協議分為七層，OSI參考模型的層次是相互獨立的，每一層都有各自獨立的功能，這7層由低至高分別是物理層、數據鏈路層、網絡層、傳輸層、會話層、表示層和應用層，每一層完成通信中的一部分功能，并遵循一定的通信協議，該協議具有如下特點。（1）網絡中每個節(jié)點均有相同的層次。（2）不同節(jié)點的同等層具有相同的功能。（3）同節(jié)點內相鄰層之間通過接口通信。（4）每一層可以使用下層提供的服務，并向其上層提供服務。（5）僅在最低層進行直接數據傳送。第1章計算機網絡安全概述1.4.2OSI參考模型各層的功能OSI參考模型并非指一個現實的網絡，它僅僅規(guī)定了每一層的功能，為網絡的設計規(guī)劃出一張藍圖，各個網絡設備或軟件生產廠商都可以按照這張藍圖來設計和生產自己的網絡設備或軟件，盡管設計和生產出的網絡產品的樣式、外觀各不相同，但它們應該具有相同的功能。1．物理層2．數據鏈路3．網絡層4．傳輸層5．會話層6．表示層7．應用層第1章計算機網絡安全概述1.4.3OSI參考模型數據傳輸過程層次結構模型中數據的實際傳輸過程，如圖1.18所示。發(fā)送進程傳輸給接收進程數據，實際上是經過發(fā)送方各層從上到下傳輸到物理傳輸介質，通過物理傳輸介質傳輸到接收方，再經過從下到上各層的傳遞，最后到達接收進程。1．數據解封裝2．網絡通信常見術語第1章計算機網絡安全概述1.5TCP/IP參考模型1.5.1TCP/IP概述1.5.2TCP/IP參考模型各層的功能1.5.3OSI/ISO與TCP/IP參考模型比較1.5.4TCP/IP網際層協議1.5.5TCP/IP傳輸層協議1.5.6TCP/IP應用層協議第1章計算機網絡安全概述1.5.1TCP/IP概述TCP/IP是目前最流行的商業(yè)化網絡協議，盡管它不是某一標準化組織提出的正式標準，但它已經被公認為目前的工業(yè)標準或“事實標準”。因特網之所以能迅速發(fā)展，就是因為TCP/IP能夠適應和滿足世界范圍內數據通信的需求。1．TCP/IP協議的特點2．TCP/IP協議的缺點3．TCP/IP參考模型的層次第1章計算機網絡安全概述1.5.2TCP/IP參考模型各層的功能TCP/IP參考模型各層的功能如下。1．網絡接口層2．網際層3．傳輸層4．應用層第1章計算機網絡安全概述1.5.3OSI/ISO與TCP/IP參考模型比較TCP/IP參考模型與OSI參考模型在設計上都采用了層次結構的思想，不過層次劃分及使用的協議有很大的區(qū)別。無論是OSI參考模型還是TCP/IP參考模型都不是完美的，都存在某些缺陷。1．OSI參考模型的優(yōu)、缺點2．TCP/IP參考模型的優(yōu)、缺點第1章計算機網絡安全概述1.5.4TCP/IP網際層協議在計算機網絡的眾多協議中，TCP/IP是應用最廣泛的，在TCP/IP層次結構包含的4個層次中，只有3個層次包含實際的協議。網際層的協議主要包括：網際協議、地址解析協議、網際控制消息協議和網際主機組管理協議。1．網際協議2．地址解析協議3．網際控制消息協議4．網際主機組管理協議第1章計算機網絡安全概述1.5.5TCP/IP傳輸層協議傳輸層協議主要包括傳輸控制協議和用戶數據報協議。1．傳輸控制協議2．用戶數據報協議第1章計算機網絡安全概述1.5.6TCP/IP應用層協議1．超文本傳輸協議2．文件傳送協議3．遠程登錄協議4．簡單郵件傳送協議5．域名解析協議6．簡單網絡管理協議7．動態(tài)主機配置協議第1章計算機網絡安全概述1.6網絡安全模型與體系結構1.6.1PDRR安全模型1.6.2PPDR安全模型1.6.3網絡安全體系結構第1章計算機網絡安全概述1.6.1PDRR安全模型PDRR即美國國防部提出的常見的“信息安全保障體系”，它概括了網絡安全的整個環(huán)節(jié)，包括防護（Protection）、檢測（Detection）、響應（Response）、恢復（Recovery）。PDRR模型的名稱也由這四個環(huán)節(jié)的英文單詞首字母結合而來的，這四個部分構成了一個動態(tài)的信息安全周期，如圖1.23。1．防護2．檢測3．響應4．恢復

第1章計算機網絡安全概述1.6.2PPDR安全模型保護（Protection）：保護通常是通過采用一些傳統的靜態(tài)安全技術及方法來實現的，主要有防火墻、加密和認證等方法。檢測（Detection）：在PPDR模型中，檢測是非常重要的一個環(huán)節(jié)，檢測是動態(tài)響應和加強防護的依據，它也是強制落實安全策略的有力工具，通過不斷地檢測和監(jiān)控網絡和系統，來發(fā)現新的威脅和弱點，通過循環(huán)反饋來及時作出有效的響應