我所理解的網(wǎng)絡(luò)安全架構(gòu)
評(píng)論: 更新日期:2015年02月01日
???? 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)���,不因偶然的或者惡意的原因而遭受到破壞�����、更改���、泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行�,網(wǎng)絡(luò)服務(wù)不中斷。 網(wǎng)絡(luò)安全從其本質(zhì)上來(lái)講就是網(wǎng)絡(luò)上的信息安全�。從廣義來(lái)說(shuō),凡是涉及到網(wǎng)絡(luò)上信息的保密性���、完整性���、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域��。
??????? (一)?網(wǎng)絡(luò)安全應(yīng)具有以下五個(gè)方面的特征
??????? 保密性:信息不泄露給非授權(quán)用戶(hù)���、實(shí)體或過(guò)程��,或供其利用的特性�����。
??????? 完整性:數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性�。即信息在存儲(chǔ)或傳輸過(guò)程中保持不被修改���、不被破壞和丟失的特性�。
??????? 可用性:可被授權(quán)實(shí)體訪問(wèn)并按需求使用的特性�。即當(dāng)需要時(shí)能否存取所需的信息。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)����、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對(duì)可用性的攻擊;
??????? 可控性:對(duì)信息的傳播及內(nèi)容具有控制能力����。
??????? 可審查性:出現(xiàn)的安全問(wèn)題時(shí)提供依據(jù)與手段
??????? (二)?影響網(wǎng)絡(luò)安全性的因素
??????? 網(wǎng)絡(luò)結(jié)構(gòu)因素:網(wǎng)絡(luò)基本拓?fù)浣Y(jié)構(gòu)有3種:星型、總線型和環(huán)型。一個(gè)單位在建立自己的內(nèi)部網(wǎng)之前��,各部門(mén)可能已建 造了自己的局域網(wǎng)�,所采用的拓?fù)浣Y(jié)構(gòu)也可能完全不同。在建造內(nèi)部網(wǎng)時(shí)�,為了實(shí)現(xiàn)異構(gòu)網(wǎng)絡(luò)間信息的通信,往往要犧牲一些安全機(jī)制的設(shè)置和實(shí)現(xiàn)�,從而提出更高的網(wǎng)絡(luò)開(kāi)放性要求。
??????? 網(wǎng)絡(luò)協(xié)議因素:在建造內(nèi)部網(wǎng)時(shí)�,用戶(hù)為了節(jié)省開(kāi)支,必然會(huì)保護(hù)原有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施�。另外,網(wǎng)絡(luò)公司為生存的需要�,對(duì)網(wǎng)絡(luò)協(xié)議的兼容性要求越來(lái)越高,使眾多廠商的協(xié)議能互聯(lián)����、兼容和相互通信。這在給用戶(hù)和廠商帶來(lái)利益的同時(shí)����,也帶來(lái)了安全隱患。如在一種協(xié)議下傳送的有害程序能很快傳遍整個(gè)網(wǎng)絡(luò)���。
??????? 地域因素:由于內(nèi)部網(wǎng)Intranet既可以是LAN也可能是WAN(內(nèi)部網(wǎng)指的是它不是一個(gè)公用網(wǎng)絡(luò)�����,而是一個(gè)專(zhuān)用網(wǎng)絡(luò))���,網(wǎng)絡(luò)往往跨越城際,甚至國(guó)際���。地理位置復(fù)雜��,通信線路質(zhì)量難以保證���,這會(huì)造成信息在傳輸過(guò)程中的損壞和丟失,也給一些”黑客”造成可乘之機(jī)�。
??????? 用戶(hù)因素:企業(yè)建造自己的內(nèi)部網(wǎng)是為了加快信息交流,更好地適應(yīng)市場(chǎng)需求���。建立之后����,用戶(hù)的范圍必將從企業(yè)員工擴(kuò)大到客戶(hù)和想了解企業(yè)情況的人����。用戶(hù)的增加����,也給網(wǎng)絡(luò)的安全性帶來(lái)了威脅�����,因?yàn)檫@里可能就有商業(yè)間諜或“黑客”
??????? 主機(jī)因素:建立內(nèi)部網(wǎng)時(shí)�����,使原來(lái)的各局域網(wǎng)�、單機(jī)互聯(lián),增加了主機(jī)的種類(lèi)�,如工作站、服務(wù)器����,甚至小型機(jī)、大中型機(jī)����。由于它們所使用的操作系統(tǒng)和網(wǎng)絡(luò)操作系統(tǒng)不盡相同,某個(gè)操作系統(tǒng)出現(xiàn)漏洞(如某些系統(tǒng)有一個(gè)或幾個(gè)沒(méi)有口令的賬戶(hù))���,就可能造成整個(gè)網(wǎng)絡(luò)的大隱患��。
??????? 單位安全政策:實(shí)踐證明�����,80%的安全問(wèn)題是由網(wǎng)絡(luò)內(nèi)部引起的�����,因此�,單位對(duì)自己內(nèi)部網(wǎng)的安全性要有高度的重視�����,必須制訂出一套安全管理的規(guī)章制度�。
??????? 人員因素:人的因素是安全問(wèn)題的薄弱環(huán)節(jié)。要對(duì)用戶(hù)進(jìn)行必要的安全教育�����,選擇有較高職業(yè)道德修養(yǎng)的人做網(wǎng)絡(luò)管理員�����,制訂出具體措施��,提高安全意識(shí)。
??????? (三)?如何劃分架構(gòu)(按照攻擊方式�、協(xié)議層次、網(wǎng)絡(luò)層次等)
??????? 1.?網(wǎng)絡(luò)攻擊主要分為以下幾類(lèi)
??????????? “攻擊”是指任何的非授權(quán)行為�����。供給的范圍從簡(jiǎn)單的使服務(wù)器無(wú)法提供正常工作到完全破壞或控制服務(wù)器�。在網(wǎng)絡(luò)上成功實(shí)施的攻擊級(jí)別依賴(lài)于用戶(hù)采取的安全措施.
???????? B X�c�W4~�f%c0被動(dòng)攻擊:攻擊者通過(guò)監(jiān)視所有的信息流以獲得某些秘密。這種攻擊可以是基于網(wǎng)絡(luò)(跟蹤通信鏈路)或基于系統(tǒng)(用秘密抓取數(shù)據(jù)的特洛伊木馬代替系統(tǒng)部件)的�����。被動(dòng)攻擊是最難被檢測(cè)到的���,故對(duì)付這種攻擊的重點(diǎn)是預(yù)防�����,主要手段如數(shù)據(jù)加密等�����。
??????? %p%~!T;q.m+R.f0主動(dòng)攻擊:攻擊者試圖突破網(wǎng)絡(luò)的安全防線��。這種攻擊涉及到修改數(shù)據(jù)流或創(chuàng)建錯(cuò)誤流�,主要攻擊形式有假冒、重放�����、欺騙���、消息篡改�、拒絕服務(wù)等�。這種攻擊無(wú)法防御,但卻易于檢測(cè)�,故對(duì)付的重點(diǎn)是檢測(cè)�,主要手段如防火墻、入侵檢測(cè)技術(shù)等����。
??????? �O�y9fn7u?N n�\0物理臨近攻擊:在物理臨近攻擊中,未授權(quán)者可物理上接近網(wǎng)絡(luò)����、系統(tǒng)或設(shè)備,目的是修改��、收集或拒絕訪問(wèn)信息����。
??????? �P6v�[ p-e6[&l3B�I0內(nèi)部人員攻擊:內(nèi)部人員攻擊的實(shí)施人要么被授權(quán)在信息安全處理系統(tǒng)的物理范圍內(nèi)�,要么對(duì)信息安全處理系統(tǒng)具有直接訪問(wèn)權(quán)���。內(nèi)部人員攻擊包括惡意的和非惡意的(不小心或無(wú)知的用戶(hù))兩種��。
??????? 6D�h p+a4L�\$q0分發(fā)攻擊:指在軟件和硬件開(kāi)發(fā)出來(lái)之后和安裝之前這段時(shí)間��,或當(dāng)它從一個(gè)地方傳到另一個(gè)地方時(shí)��,攻擊者惡意修改軟�、硬件�。Space of NAU�W4q-X#r#A�}�S5K�B
??????? 2.?協(xié)議層次
??????? 協(xié)議是通信雙方為了實(shí)現(xiàn)通信而設(shè)計(jì)的約定或?qū)υ?huà)規(guī)則。
??????? 網(wǎng)絡(luò)層協(xié)議:包括:IP協(xié)議��、ICMP協(xié)議�����、ARP協(xié)議��、RARP協(xié)議�����。
??????? 傳輸層協(xié)議:TCP協(xié)議、UDP協(xié)議��。
??????? 應(yīng)用層協(xié)議:FTP�����、Telnet���、SMTP���、HTTP、RIP�、NFS、DNS����。
??????? 3.?網(wǎng)絡(luò)層次
??????? 物理層
??????? 利用物理傳輸介質(zhì)為數(shù)據(jù)鏈路層提供物理連接�,負(fù)責(zé)處理數(shù)據(jù)傳輸率并監(jiān)控?cái)?shù)據(jù)出錯(cuò)率,以便透明地傳送比特率��。它定義了激活��、維護(hù)和關(guān)閉終端用戶(hù)之間的電氣、機(jī)械的�����、過(guò)程的和功能的特性�。物理層的特性包括電壓、頻率��、數(shù)據(jù)傳輸率�、最大傳輸距離、物理連接器及相關(guān)的屬性���。
??????? 數(shù)據(jù)鏈路層
??????? 在物理層提供比特率傳輸服務(wù)的基礎(chǔ)上����,數(shù)據(jù)鏈路層通過(guò)在通信的實(shí)體之間建立數(shù)據(jù)鏈路連接����,傳送以“幀”為單位的數(shù)據(jù),使有差錯(cuò)的物理線路變成無(wú)差錯(cuò)的數(shù)據(jù)鏈路�,保證點(diǎn)到點(diǎn)可靠的數(shù)據(jù)傳輸,因此�����,數(shù)據(jù)鏈路層關(guān)心的主要問(wèn)題包括物理地址、網(wǎng)絡(luò)拓?fù)?����、線路規(guī)則�����、錯(cuò)誤通告�、數(shù)據(jù)幀的有序傳輸和流量控制。
??????? 網(wǎng)絡(luò)層
??????? 網(wǎng)絡(luò)層的主要功能為處在不同的網(wǎng)絡(luò)系統(tǒng)中的兩個(gè)節(jié)點(diǎn)設(shè)備通信提供一條邏輯網(wǎng)道�����。其基本任務(wù)包括路由選擇����、擁塞控制與網(wǎng)絡(luò)互聯(lián)等功能。
??????? 傳輸層
??????? 傳輸層主要任務(wù)是向用戶(hù)提供可靠地端到端服務(wù)�,透明地傳送報(bào)文。它向高層屏蔽了下層數(shù)據(jù)通信的細(xì)節(jié)��,因而是計(jì)算機(jī)通信體系結(jié)構(gòu)中的最關(guān)鍵的一層��。該層關(guān)心的主要問(wèn)題包括建立��、維護(hù)和中斷虛電路���、傳輸差錯(cuò)校驗(yàn)和恢復(fù)以及信息流量控制�。
??????? 會(huì)話(huà)層
??????? 會(huì)話(huà)層建立���、管理和終止應(yīng)用程序進(jìn)程之間的會(huì)話(huà)和數(shù)據(jù)的交換�����。這種會(huì)話(huà)關(guān)系是由兩個(gè)或多個(gè)表示層實(shí)體之間的對(duì)話(huà)構(gòu)成的����。
??????? 表示層
??????? 表示層保證一個(gè)系統(tǒng)應(yīng)用層發(fā)出的信息能被另一個(gè)系統(tǒng)的應(yīng)用層讀出�����。如有必要��,表示層以一種通用的數(shù)據(jù)表示格式在多種數(shù)據(jù)表示格式之間的轉(zhuǎn)換�����,它包括數(shù)據(jù)格式變換�、數(shù)據(jù)加密與解密�、數(shù)據(jù)壓縮與恢復(fù)等功能�。
