計(jì)算機(jī)網(wǎng)絡(luò)安全模型與體系結(jié)構(gòu)分析綜述目錄TOC\o"1-2"\h\u13043計(jì)算機(jī)網(wǎng)絡(luò)安全模型與體系結(jié)構(gòu)分析綜述 14879一、網(wǎng)絡(luò)安全模型 118513（一）PPDR模型 114650（二）APPDRR模型 116418二、ISO/OSI安全體系結(jié)構(gòu) 215217（一）安全服務(wù) 2666（二）安全機(jī)制 41613（三）安全管理 5一、網(wǎng)絡(luò)安全模型（一）PPDR模型PPDR模型是由美國(guó)國(guó)際Internet安全系統(tǒng)公司提出的一個(gè)可適應(yīng)網(wǎng)絡(luò)動(dòng)態(tài)安全模型。PPDR模型中包括4個(gè)非常重要的環(huán)節(jié)：策略、防護(hù)、檢測(cè)和響應(yīng)。防護(hù)、檢測(cè)和響應(yīng)組成了一個(gè)完整的、動(dòng)態(tài)的安全循環(huán)，在策略的指導(dǎo)下保證網(wǎng)絡(luò)系統(tǒng)的安全。（二）APPDRR模型雖然網(wǎng)絡(luò)安全的動(dòng)態(tài)性在PPDR模型中得到了一定程度的體現(xiàn)，但該模型不能描述網(wǎng)絡(luò)安全的動(dòng)態(tài)螺旋上升過(guò)程。為此，人們對(duì)PPDR模型進(jìn)行了改進(jìn)，在此基礎(chǔ)上提出了APPDRR模型。APPDRR模型認(rèn)為網(wǎng)絡(luò)安全由評(píng)估、策略、防護(hù)、檢測(cè)、響應(yīng)和恢復(fù)6個(gè)部分組成。根據(jù)APPDRR模型，網(wǎng)絡(luò)安全的第一個(gè)重要環(huán)節(jié)是對(duì)網(wǎng)絡(luò)進(jìn)行風(fēng)險(xiǎn)評(píng)估，掌握所面臨的風(fēng)險(xiǎn)信息。策略是APPDRR模型的第二個(gè)重要環(huán)節(jié)，它起著承上啟下的作用：一方面，安全策略應(yīng)當(dāng)隨著風(fēng)險(xiǎn)評(píng)估的結(jié)果和安全需求的變化做相應(yīng)的更新；另一方面，安全策略在整個(gè)網(wǎng)絡(luò)安全工作中處于原則性的指導(dǎo)地位，其后的檢測(cè)、響應(yīng)諸環(huán)節(jié)都應(yīng)在安全策略的基礎(chǔ)上展開(kāi)。防護(hù)是安全模型中的第三個(gè)環(huán)節(jié)，體現(xiàn)了網(wǎng)絡(luò)安全的防護(hù)措施。接下來(lái)是動(dòng)態(tài)檢測(cè)、實(shí)時(shí)響應(yīng)、災(zāi)難恢復(fù)3個(gè)環(huán)節(jié)，體現(xiàn)了安全動(dòng)態(tài)防護(hù)與安全入侵、安全威脅進(jìn)行對(duì)抗的特征。APPDRR模型將網(wǎng)絡(luò)安全視為一個(gè)不斷改進(jìn)的過(guò)程，即通過(guò)風(fēng)險(xiǎn)評(píng)估、安全策略、系統(tǒng)防護(hù)、動(dòng)態(tài)檢測(cè)、實(shí)時(shí)響應(yīng)和災(zāi)難恢復(fù)6個(gè)環(huán)節(jié)，使網(wǎng)絡(luò)安全得以完善和提高。二、ISO/OSI安全體系結(jié)構(gòu)（一）安全服務(wù)OSI安全體系結(jié)構(gòu)將安全服務(wù)定義為通信開(kāi)放系統(tǒng)協(xié)議層提供的服務(wù)，從而保證系統(tǒng)或數(shù)據(jù)傳輸有足夠的安全性。RFC2828將安全服務(wù)定義為：一種由系統(tǒng)提供的對(duì)系統(tǒng)資源進(jìn)行特殊保護(hù)的處理或通信服務(wù)；安全服務(wù)通過(guò)安全機(jī)制來(lái)實(shí)現(xiàn)安全策略。OSI安全體系結(jié)構(gòu)定義了5大類共14個(gè)安全服務(wù)。1.鑒別服務(wù)身份驗(yàn)證服務(wù)通過(guò)在通信中提供對(duì)等實(shí)體和數(shù)據(jù)源的身份驗(yàn)證來(lái)確保通信的真實(shí)性。對(duì)于單個(gè)消息，身份驗(yàn)證服務(wù)的功能是向接收方保證消息來(lái)自聲稱的發(fā)送方，而不是來(lái)自虛假的非法用戶。對(duì)于正在進(jìn)行的交互，身份驗(yàn)證服務(wù)涉及兩個(gè)方面。首先，在連接的初始化階段，身份驗(yàn)證服務(wù)確保兩個(gè)實(shí)體都是可信的;也就是說(shuō)，每個(gè)人都是他們自稱的樣子，而不是一個(gè)模仿者。其次，身份驗(yàn)證服務(wù)必須確保連接不受第三方的干擾，也就是說(shuō)，第三方不能偽裝成兩個(gè)合法實(shí)體中的一個(gè)進(jìn)行未經(jīng)授權(quán)的傳輸或接收。（1）對(duì)等實(shí)體鑒別該服務(wù)在數(shù)據(jù)交換連接建立時(shí)提供，識(shí)別一個(gè)或多個(gè)連接實(shí)體的身份，證實(shí)參與數(shù)據(jù)交換的對(duì)等實(shí)體確實(shí)是所需的實(shí)體，防止假冒。（2）數(shù)據(jù)源鑒別該服務(wù)對(duì)數(shù)據(jù)單元的來(lái)源提供確認(rèn)，向接收方保證所接收到的數(shù)據(jù)單元來(lái)自所要求的源點(diǎn)。它不能防止重播或修改數(shù)據(jù)單元。2.訪問(wèn)控制服務(wù)訪問(wèn)控制服務(wù)包括身份認(rèn)證和權(quán)限驗(yàn)證，用于防治未授權(quán)用戶非法使用或越權(quán)使用系統(tǒng)資源。該服務(wù)可應(yīng)用于對(duì)資源的各種訪問(wèn)類型（如通信資源的使用，信息資源的讀、寫和刪除，進(jìn)程資源的執(zhí)行）或?qū)Y源的所有訪問(wèn)。3.數(shù)據(jù)保密性服務(wù)數(shù)據(jù)保密服務(wù)提供保密保護(hù)，以防止網(wǎng)絡(luò)系統(tǒng)之間交換的數(shù)據(jù)因非法訪問(wèn)而被攔截或泄露。同時(shí)，防止了通過(guò)觀察信息流可以導(dǎo)出信息的情況。保密的功能是防止傳輸?shù)臄?shù)據(jù)受到被動(dòng)攻擊，可分為以下幾種類型：（1）連接保密性對(duì)一個(gè)連接中所有用戶數(shù)據(jù)提供機(jī)密性保護(hù)。（2）無(wú)連接保密性為單個(gè)無(wú)連接的N-SDU（N層服務(wù)數(shù)據(jù)單元）中所有用戶數(shù)據(jù)提供機(jī)密性保護(hù)。（3）選擇字段保密性為一個(gè)連接上的用戶數(shù)據(jù)或單個(gè)無(wú)連接的N-SDU內(nèi)被選擇的字段提供機(jī)密性保護(hù)。（4）信息流保密性提供對(duì)可根據(jù)觀察信息流而分析出的有關(guān)信息的保護(hù)，從而防止通過(guò)觀察通信業(yè)務(wù)流而推斷出消息的源和宿、頻率、長(zhǎng)度或通信設(shè)施上的其他流量特征等信息。4.數(shù)據(jù)完整性服務(wù)數(shù)據(jù)完整性服務(wù)無(wú)法更改正常數(shù)據(jù)段，例如修改，插入，延遲和刪除，并防止數(shù)據(jù)交換期間的數(shù)據(jù)丟失。數(shù)據(jù)完整性服務(wù)可以分為五種情況，以滿足不同的機(jī)會(huì)和數(shù)據(jù)完整性的不同用戶要求。。（1）帶恢復(fù)的連接完整性為連接上的所有用戶數(shù)據(jù)保證其完整性。檢測(cè)在整個(gè)SDU序列中任何數(shù)據(jù)的任何修改、插入、刪除和重播，并予以恢復(fù)。（2）不帶恢復(fù)的連接完整性與帶恢復(fù)的連接完整性的差別僅在于不提供恢復(fù)功能。（3）選擇字段的連接完整性保證一個(gè)連接上傳輸?shù)挠脩魯?shù)據(jù)內(nèi)選擇字段的完整性，并以某種形式確定該選擇字段是否已被修改、插入、刪除或重播。（4）無(wú)連接完整性提供單個(gè)無(wú)連接的SDU的完整性，并以某種形式確定接收到的SDU是否已被修改。此外，還可以在一定程度上提供對(duì)連接重放的檢測(cè)。（5）選擇字段無(wú)連接完整性提供在單個(gè)無(wú)連接SDU內(nèi)選擇字段的完整性，并以某種形式確定選擇字段是否已被修改。5.不可否認(rèn)服務(wù)不可否認(rèn)服務(wù)用于防止發(fā)送方在發(fā)送數(shù)據(jù)后否認(rèn)自己發(fā)送過(guò)，以及接收方在收到數(shù)據(jù)后否認(rèn)收到或偽造數(shù)據(jù)的行為。（1）具有源點(diǎn)證明的不可否認(rèn)為數(shù)據(jù)接收者提供數(shù)據(jù)源證明，防止發(fā)送者以后任何企圖否認(rèn)發(fā)送數(shù)據(jù)或數(shù)據(jù)內(nèi)容的行為。（2）具有交付證明的不可否認(rèn)為數(shù)據(jù)發(fā)送者提供數(shù)據(jù)交付證明，防止接收者以后任何企圖否認(rèn)接收數(shù)據(jù)或數(shù)據(jù)內(nèi)容的行為。（二）安全機(jī)制ISO/OSI安全體系結(jié)構(gòu)分為八大類安全機(jī)制，分別包括加密機(jī)制、數(shù)據(jù)簽名機(jī)制、訪問(wèn)控制機(jī)制、數(shù)據(jù)完整性機(jī)制、認(rèn)證機(jī)制、業(yè)務(wù)流填充機(jī)制、路由控制機(jī)制和公正機(jī)制。1.加密機(jī)制是確保數(shù)據(jù)安全性的基本方法，在ISO/OSI安全體系結(jié)構(gòu)中應(yīng)根據(jù)加密所在的層次及加密對(duì)象的不同，而采用不同的加密方法。2.數(shù)字簽名機(jī)制是確保數(shù)據(jù)真實(shí)性的基本方法，利用數(shù)字簽名技術(shù)可進(jìn)行用戶的身份認(rèn)證和消息認(rèn)證，它具有解決收、發(fā)雙方糾紛的能力。3.訪問(wèn)控制機(jī)制保護(hù)信息不受計(jì)算機(jī)系統(tǒng)處理能力的影響。訪問(wèn)控制根據(jù)預(yù)定的規(guī)則確定主體對(duì)客體的訪問(wèn)是否合法。當(dāng)主體試圖非法使用未經(jīng)授權(quán)的對(duì)象時(shí)，訪問(wèn)控制機(jī)制將拒絕該嘗試，發(fā)出警報(bào)并記錄日志文件。4.數(shù)據(jù)完整性機(jī)制破壞數(shù)據(jù)完整性的主要因素有數(shù)據(jù)在信道中傳輸時(shí)受信道干擾影響產(chǎn)生錯(cuò)誤、數(shù)據(jù)在傳輸和存儲(chǔ)過(guò)程中被非法入侵者篡改、計(jì)算機(jī)病毒對(duì)程序和數(shù)據(jù)的傳染等。糾錯(cuò)編碼和差錯(cuò)控制是對(duì)付信道干擾的有效方法。對(duì)付非法入侵者主動(dòng)攻擊的有效方法是保密認(rèn)證，對(duì)付計(jì)算機(jī)病毒有各種病毒檢測(cè)、殺毒和免疫方法。5.認(rèn)證機(jī)制在計(jì)算機(jī)網(wǎng)絡(luò)中認(rèn)證主要有用戶認(rèn)證、消息認(rèn)證、站點(diǎn)認(rèn)證和進(jìn)程認(rèn)證等，可用于認(rèn)證的方法有已知信息、共享密鑰、數(shù)字簽名、生物特征等。6.業(yè)務(wù)流填充機(jī)制攻擊者通過(guò)分析網(wǎng)絡(luò)中某一路徑上的信息流量和流向來(lái)判斷某些事件的發(fā)生，為了對(duì)付這種攻擊，一些關(guān)鍵站點(diǎn)間在無(wú)正常信息傳輸時(shí)，持續(xù)傳輸一些隨機(jī)數(shù)據(jù)，使攻擊者不知道哪些數(shù)據(jù)是有用的，哪些數(shù)據(jù)是無(wú)用的，從而挫敗攻擊者的信息流分析。7.路由控制機(jī)制在大型計(jì)算機(jī)網(wǎng)絡(luò)中，從源點(diǎn)到目的地往往存在多條路徑，其中有些路徑是安全的，有些路徑是不安全的，路由控制機(jī)制可根據(jù)信息發(fā)送者的申請(qǐng)選擇安全路徑，以確保數(shù)據(jù)安全。8.公正機(jī)制在計(jì)算機(jī)網(wǎng)絡(luò)中，并不是所有的用戶都是誠(chéng)實(shí)可信的，同時(shí)也可能由于設(shè)備故障等技術(shù)原因造成信息丟失、延遲等，用戶之間很可能引起責(zé)任糾紛。為了解決這個(gè)問(wèn)題，就需要有一個(gè)各方都信任的第三方提供公證仲裁，仲裁數(shù)字簽名技術(shù)是這種公正機(jī)制的一種技術(shù)支持。（三）安全管理ISO/OSI安全體系結(jié)構(gòu)的安全管理是實(shí)施一系列的安全政策，對(duì)系統(tǒng)和網(wǎng)絡(luò)上的操作進(jìn)行管理。它包括三部分內(nèi)容：系統(tǒng)安全管理、安全服務(wù)管理和安全機(jī)制管理。1.系統(tǒng)安全管理涉及整體OSI安全環(huán)境的管理，包括總體安全策略的管理、OSI安全環(huán)境之間的安全信息交換、安全服務(wù)管理和安全機(jī)制管理的交互作用、安全事件的管理、安全審