第1章计算机网络安全概述课件.ppt

1．3 计算机网络安全体系结构 1.3.2 OSI网络安全体系 2．网络安全服务 (1) 鉴别服务 (2) 访问控制服务 (3) 数据完整性服务 (4) 数据必威体育官网网址性服务 (5) 非否认服务 (6) 信息量填充机制 (7) 路由控制机制 (8) 公证机制 表1.1 与网络各层相关的OSI安全服务 安全服务 OSI层次 1 2 3 4 5 6 7 鉴别服务 同等实体鉴别 Y Y Y 数据源鉴别 Y Y Y 访问控制 访问控制服务 Y Y Y 数据完整性 带恢复功能的连接完整性 Y Y Y 不带恢复功能的连接完整性 Y Y Y 选择字段连接完整性 N N Y 选择字段无连接完整性 Y Y Y 无连接完整性 Y 数据必威体育官网网址性 连接必威体育官网网址性 Y Y Y Y Y Y 无连接必威体育官网网址性 Y Y Y Y Y 信息流必威体育官网网址性 Y Y Y 非否认服务 发送非否认 Y 接受非否认 Y 注：“Y”表示提供安全服务，“空白”表示不提供安全服务 1．3 计算机网络安全体系结构 表1.2 OSI安全服务与安全机制的关系 安全服务 安全机制 加密 数字 签名 访问 控制 数据 完整性 鉴别交换 信息 流填充 路由控制 公证 鉴别 服务 同等实体鉴别 Y Y Y 数据源鉴别 Y Y 访问 控制 访问控制服务 Y 数据 完整性 带恢复功能连接完整性 Y Y 不带恢复功能的连接完整性 Y Y 选择字段连接完整性 Y Y 选择字段无连接完整性 Y Y Y 无连接完整性 Y Y Y 数据 必威体育官网网址性 连接必威体育官网网址性 Y Y 无连接必威体育官网网址性 Y Y 信息流必威体育官网网址性 Y Y Y 非否 认服务 发送非否认 Y Y Y 接受非否认 Y Y Y 注：“Y”表示提供安全服务，“空白”表示不提供安全服务 1．3 计算机网络安全体系结构 1．3 计算机网络安全体系结构 1.3.3 P2DR模型 一个常用的网络安全模型是P2DR模型包含四个主要部分：Policy（安全策略）、Protection（防护）、Detection（检测）和Response （响应）。防护、检测和响应组成了一个所谓的“完整、 动态”的安全循环。 1．3 计算机网络安全体系结构 1.3.3 P2DR模型 1．Policy(安全策略) 我们在考虑建立网络安全系统时，在了解了网络信息安全系统等级划分和评估网络安全风险后，一个重要的任务就是要制订一个网络安全策略。一个策略体系的建立包括：安全策略的制订、安全策略的评估、安全策略的执行等。网络安全策略一般包括两部分：总体的安全策略和具体的安全规则。 1．3 计算机网络安全体系结构 1.3.3 P2DR模型 2．Protection（防护） 防护就是根据系统可能出现的安全问题采取一些预防措施，是通过一些传统的静态安全技术及方法来实现的。通常采用的主动防护技术有：数据加密，身份验证，访问控制，授权和虚拟网络(VPN)技术；被动防护技术有：防火墙技术，安全扫描，入侵检测，路由过滤，数据备份和归档，物理安全，安全管理等。 1．3 计算机网络安全体系结构 1.3.3 P2DR模型 3．Detection（检测） 攻击者如果穿过防护系统，检测系统就会将其检测出来。如检测入侵者的身份，包括攻击源、系统损失等。防护系统可以阻止大多数的入侵事件，但不能阻止所有的入侵事件，特别是那些利用新的系统缺陷、新攻击手段的入侵。如果入侵事件发生，就要启动检测系统进行检测 1．3 计算机网络安全体系结构 1.3.3 P2DR模型 4．Response（响应） 系统一旦检测出入侵，响应系统则开始响应，进行事件处理。P2DR中的响应就是在已知入侵事件发生后，进行的紧急响应(事件处理)。响应工作可由特殊部门----计算机紧急响应小组负责。世界上第一个计算机紧急响应小组简称CERT (Computer Emergency Response Team)，我国的第一个计算机紧急响应小组是中国教育与科研计算机网络建立的，简称“CCERT”。不同机构也有相应的计算机紧急响应小组。 1．4 计算机网络安全措施 1.4.1 安全立法 1．国外的计算机信息安全立法 2．我国的计算机信息安全立法 1.4.2 安全管理 1．安全管理机构 2．安全行政人事管理 3．系统安全管理 1.4.3 实体安全技术 1.4.4 访问控制技术 1.4.5 数据必威体育官网网址技术 1．5 计算机网络的安全级别 1.5.1 可信计算机标准评价准则 1983年美国国防部发表的《可信计算机标准评价准则》（简称为TCSEC）把计算机安全等级分为4类7级。根据安全性从低到高的级别，依次为D、C1、C2、B1、B2、B3、A级，每级包括它下级的所有特性，见表。 级别 名 称 特 征