???? 網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網絡服務不中斷。 網絡安全從其本質上來講就是網絡上的信息安全。從廣義來說,凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。
??????? (一)?網絡安全應具有以下五個方面的特征
??????? 保密性:信息不泄露給非授權用戶、實體或過程,或供其利用的特性。
??????? 完整性:數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。
??????? 可用性:可被授權實體訪問并按需求使用的特性。即當需要時能否存取所需的信息。例如網絡環境下拒絕服務、破壞網絡和有關系統的正常運行等都屬于對可用性的攻擊;
??????? 可控性:對信息的傳播及內容具有控制能力。
??????? 可審查性:出現的安全問題時提供依據與手段
??????? (二)?影響網絡安全性的因素
??????? 網絡結構因素:網絡基本拓撲結構有3種:星型、總線型和環型。一個單位在建立自己的內部網之前,各部門可能已建 造了自己的局域網,所采用的拓撲結構也可能完全不同。在建造內部網時,為了實現異構網絡間信息的通信,往往要犧牲一些安全機制的設置和實現,從而提出更高的網絡開放性要求。
??????? 網絡協議因素:在建造內部網時,用戶為了節省開支,必然會保護原有的網絡基礎設施。另外,網絡公司為生存的需要,對網絡協議的兼容性要求越來越高,使眾多廠商的協議能互聯、兼容和相互通信。這在給用戶和廠商帶來利益的同時,也帶來了安全隱患。如在一種協議下傳送的有害程序能很快傳遍整個網絡。
??????? 地域因素:由于內部網Intranet既可以是LAN也可能是WAN(內部網指的是它不是一個公用網絡,而是一個專用網絡),網絡往往跨越城際,甚至國際。地理位置復雜,通信線路質量難以保證,這會造成信息在傳輸過程中的損壞和丟失,也給一些”黑客”造成可乘之機。
??????? 用戶因素:企業建造自己的內部網是為了加快信息交流,更好地適應市場需求。建立之后,用戶的范圍必將從企業員工擴大到客戶和想了解企業情況的人。用戶的增加,也給網絡的安全性帶來了威脅,因為這里可能就有商業間諜或“黑客”
??????? 主機因素:建立內部網時,使原來的各局域網、單機互聯,增加了主機的種類,如工作站、服務器,甚至小型機、大中型機。由于它們所使用的操作系統和網絡操作系統不盡相同,某個操作系統出現漏洞(如某些系統有一個或幾個沒有口令的賬戶),就可能造成整個網絡的大隱患。
??????? 單位安全政策:實踐證明,80%的安全問題是由網絡內部引起的,因此,單位對自己內部網的安全性要有高度的重視,必須制訂出一套安全管理的規章制度。
??????? 人員因素:人的因素是安全問題的薄弱環節。要對用戶進行必要的安全教育,選擇有較高職業道德修養的人做網絡管理員,制訂出具體措施,提高安全意識。
??????? (三)?如何劃分架構(按照攻擊方式、協議層次、網絡層次等)
??????? 1.?網絡攻擊主要分為以下幾類
??????????? “攻擊”是指任何的非授權行為。供給的范圍從簡單的使服務器無法提供正常工作到完全破壞或控制服務器。在網絡上成功實施的攻擊級別依賴于用戶采取的安全措施.
???????? B X�c�W4~�f%c0被動攻擊:攻擊者通過監視所有的信息流以獲得某些秘密。這種攻擊可以是基于網絡(跟蹤通信鏈路)或基于系統(用秘密抓取數據的特洛伊木馬代替系統部件)的。被動攻擊是最難被檢測到的,故對付這種攻擊的重點是預防,主要手段如數據加密等。
??????? %p%~!T;q.m+R.f0主動攻擊:攻擊者試圖突破網絡的安全防線。這種攻擊涉及到修改數據流或創建錯誤流,主要攻擊形式有假冒、重放、欺騙、消息篡改、拒絕服務等。這種攻擊無法防御,但卻易于檢測,故對付的重點是檢測,主要手段如防火墻、入侵檢測技術等。
??????? �O�y9fn7u?N n�\0物理臨近攻擊:在物理臨近攻擊中,未授權者可物理上接近網絡、系統或設備,目的是修改、收集或拒絕訪問信息。
??????? �P6v�[ p-e6[&l3B�I0內部人員攻擊:內部人員攻擊的實施人要么被授權在信息安全處理系統的物理范圍內,要么對信息安全處理系統具有直接訪問權。內部人員攻擊包括惡意的和非惡意的(不小心或無知的用戶)兩種。
??????? 6D�h p+a4L�\$q0分發攻擊:指在軟件和硬件開發出來之后和安裝之前這段時間,或當它從一個地方傳到另一個地方時,攻擊者惡意修改軟、硬件。Space of NAU�W4q-X#r#A�}�S5K�B
??????? 2.?協議層次
??????? 協議是通信雙方為了實現通信而設計的約定或對話規則。
??????? 網絡層協議:包括:IP協議、ICMP協議、ARP協議、RARP協議。
??????? 傳輸層協議:TCP協議、UDP協議。
??????? 應用層協議:FTP、Telnet、SMTP、HTTP、RIP、NFS、DNS。
??????? 3.?網絡層次
??????? 物理層
??????? 利用物理傳輸介質為數據鏈路層提供物理連接,負責處理數據傳輸率并監控數據出錯率,以便透明地傳送比特率。它定義了激活、維護和關閉終端用戶之間的電氣、機械的、過程的和功能的特性。物理層的特性包括電壓、頻率、數據傳輸率、最大傳輸距離、物理連接器及相關的屬性。
??????? 數據鏈路層
??????? 在物理層提供比特率傳輸服務的基礎上,數據鏈路層通過在通信的實體之間建立數據鏈路連接,傳送以“幀”為單位的數據,使有差錯的物理線路變成無差錯的數據鏈路,保證點到點可靠的數據傳輸,因此,數據鏈路層關心的主要問題包括物理地址、網絡拓撲、線路規則、錯誤通告、數據幀的有序傳輸和流量控制。
??????? 網絡層
??????? 網絡層的主要功能為處在不同的網絡系統中的兩個節點設備通信提供一條邏輯網道。其基本任務包括路由選擇、擁塞控制與網絡互聯等功能。
??????? 傳輸層
??????? 傳輸層主要任務是向用戶提供可靠地端到端服務,透明地傳送報文。它向高層屏蔽了下層數據通信的細節,因而是計算機通信體系結構中的最關鍵的一層。該層關心的主要問題包括建立、維護和中斷虛電路、傳輸差錯校驗和恢復以及信息流量控制。
??????? 會話層
??????? 會話層建立、管理和終止應用程序進程之間的會話和數據的交換。這種會話關系是由兩個或多個表示層實體之間的對話構成的。
??????? 表示層
??????? 表示層保證一個系統應用層發出的信息能被另一個系統的應用層讀出。如有必要,表示層以一種通用的數據表示格式在多種數據表示格式之間的轉換,它包括數據格式變換、數據加密與解密、數據壓縮與恢復等功能。
