???? 網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運行,網(wǎng)絡服務不中斷。 網(wǎng)絡安全從其本質(zhì)上來講就是網(wǎng)絡上的信息安全。從廣義來說,凡是涉及到網(wǎng)絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網(wǎng)絡安全的研究領域。
??????? (一)?網(wǎng)絡安全應具有以下五個方面的特征
??????? 保密性:信息不泄露給非授權用戶、實體或過程,或供其利用的特性。
??????? 完整性:數(shù)據(jù)未經(jīng)授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。
??????? 可用性:可被授權實體訪問并按需求使用的特性。即當需要時能否存取所需的信息。例如網(wǎng)絡環(huán)境下拒絕服務、破壞網(wǎng)絡和有關系統(tǒng)的正常運行等都屬于對可用性的攻擊;
??????? 可控性:對信息的傳播及內(nèi)容具有控制能力。
??????? 可審查性:出現(xiàn)的安全問題時提供依據(jù)與手段
??????? (二)?影響網(wǎng)絡安全性的因素
??????? 網(wǎng)絡結構因素:網(wǎng)絡基本拓撲結構有3種:星型、總線型和環(huán)型。一個單位在建立自己的內(nèi)部網(wǎng)之前,各部門可能已建 造了自己的局域網(wǎng),所采用的拓撲結構也可能完全不同。在建造內(nèi)部網(wǎng)時,為了實現(xiàn)異構網(wǎng)絡間信息的通信,往往要犧牲一些安全機制的設置和實現(xiàn),從而提出更高的網(wǎng)絡開放性要求。
??????? 網(wǎng)絡協(xié)議因素:在建造內(nèi)部網(wǎng)時,用戶為了節(jié)省開支,必然會保護原有的網(wǎng)絡基礎設施。另外,網(wǎng)絡公司為生存的需要,對網(wǎng)絡協(xié)議的兼容性要求越來越高,使眾多廠商的協(xié)議能互聯(lián)、兼容和相互通信。這在給用戶和廠商帶來利益的同時,也帶來了安全隱患。如在一種協(xié)議下傳送的有害程序能很快傳遍整個網(wǎng)絡。
??????? 地域因素:由于內(nèi)部網(wǎng)Intranet既可以是LAN也可能是WAN(內(nèi)部網(wǎng)指的是它不是一個公用網(wǎng)絡,而是一個專用網(wǎng)絡),網(wǎng)絡往往跨越城際,甚至國際。地理位置復雜,通信線路質(zhì)量難以保證,這會造成信息在傳輸過程中的損壞和丟失,也給一些”黑客”造成可乘之機。
??????? 用戶因素:企業(yè)建造自己的內(nèi)部網(wǎng)是為了加快信息交流,更好地適應市場需求。建立之后,用戶的范圍必將從企業(yè)員工擴大到客戶和想了解企業(yè)情況的人。用戶的增加,也給網(wǎng)絡的安全性帶來了威脅,因為這里可能就有商業(yè)間諜或“黑客”
??????? 主機因素:建立內(nèi)部網(wǎng)時,使原來的各局域網(wǎng)、單機互聯(lián),增加了主機的種類,如工作站、服務器,甚至小型機、大中型機。由于它們所使用的操作系統(tǒng)和網(wǎng)絡操作系統(tǒng)不盡相同,某個操作系統(tǒng)出現(xiàn)漏洞(如某些系統(tǒng)有一個或幾個沒有口令的賬戶),就可能造成整個網(wǎng)絡的大隱患。
??????? 單位安全政策:實踐證明,80%的安全問題是由網(wǎng)絡內(nèi)部引起的,因此,單位對自己內(nèi)部網(wǎng)的安全性要有高度的重視,必須制訂出一套安全管理的規(guī)章制度。
??????? 人員因素:人的因素是安全問題的薄弱環(huán)節(jié)。要對用戶進行必要的安全教育,選擇有較高職業(yè)道德修養(yǎng)的人做網(wǎng)絡管理員,制訂出具體措施,提高安全意識。
??????? (三)?如何劃分架構(按照攻擊方式、協(xié)議層次、網(wǎng)絡層次等)
??????? 1.?網(wǎng)絡攻擊主要分為以下幾類
??????????? “攻擊”是指任何的非授權行為。供給的范圍從簡單的使服務器無法提供正常工作到完全破壞或控制服務器。在網(wǎng)絡上成功實施的攻擊級別依賴于用戶采取的安全措施.
???????? B XcW4~f%c0被動攻擊:攻擊者通過監(jiān)視所有的信息流以獲得某些秘密。這種攻擊可以是基于網(wǎng)絡(跟蹤通信鏈路)或基于系統(tǒng)(用秘密抓取數(shù)據(jù)的特洛伊木馬代替系統(tǒng)部件)的。被動攻擊是最難被檢測到的,故對付這種攻擊的重點是預防,主要手段如數(shù)據(jù)加密等。
??????? %p%~!T;q.m+R.f0主動攻擊:攻擊者試圖突破網(wǎng)絡的安全防線。這種攻擊涉及到修改數(shù)據(jù)流或創(chuàng)建錯誤流,主要攻擊形式有假冒、重放、欺騙、消息篡改、拒絕服務等。這種攻擊無法防御,但卻易于檢測,故對付的重點是檢測,主要手段如防火墻、入侵檢測技術等。
??????? Oy9fn7u?N n\0物理臨近攻擊:在物理臨近攻擊中,未授權者可物理上接近網(wǎng)絡、系統(tǒng)或設備,目的是修改、收集或拒絕訪問信息。
??????? P6v[ p-e6[&l3BI0內(nèi)部人員攻擊:內(nèi)部人員攻擊的實施人要么被授權在信息安全處理系統(tǒng)的物理范圍內(nèi),要么對信息安全處理系統(tǒng)具有直接訪問權。內(nèi)部人員攻擊包括惡意的和非惡意的(不小心或無知的用戶)兩種。
??????? 6Dh p+a4L\$q0分發(fā)攻擊:指在軟件和硬件開發(fā)出來之后和安裝之前這段時間,或當它從一個地方傳到另一個地方時,攻擊者惡意修改軟、硬件。Space of NAUW4q-X#r#A}S5KB
??????? 2.?協(xié)議層次
??????? 協(xié)議是通信雙方為了實現(xiàn)通信而設計的約定或?qū)υ捯?guī)則。
??????? 網(wǎng)絡層協(xié)議:包括:IP協(xié)議、ICMP協(xié)議、ARP協(xié)議、RARP協(xié)議。
??????? 傳輸層協(xié)議:TCP協(xié)議、UDP協(xié)議。
??????? 應用層協(xié)議:FTP、Telnet、SMTP、HTTP、RIP、NFS、DNS。
??????? 3.?網(wǎng)絡層次
??????? 物理層
??????? 利用物理傳輸介質(zhì)為數(shù)據(jù)鏈路層提供物理連接,負責處理數(shù)據(jù)傳輸率并監(jiān)控數(shù)據(jù)出錯率,以便透明地傳送比特率。它定義了激活、維護和關閉終端用戶之間的電氣、機械的、過程的和功能的特性。物理層的特性包括電壓、頻率、數(shù)據(jù)傳輸率、最大傳輸距離、物理連接器及相關的屬性。
??????? 數(shù)據(jù)鏈路層
??????? 在物理層提供比特率傳輸服務的基礎上,數(shù)據(jù)鏈路層通過在通信的實體之間建立數(shù)據(jù)鏈路連接,傳送以“幀”為單位的數(shù)據(jù),使有差錯的物理線路變成無差錯的數(shù)據(jù)鏈路,保證點到點可靠的數(shù)據(jù)傳輸,因此,數(shù)據(jù)鏈路層關心的主要問題包括物理地址、網(wǎng)絡拓撲、線路規(guī)則、錯誤通告、數(shù)據(jù)幀的有序傳輸和流量控制。
??????? 網(wǎng)絡層
??????? 網(wǎng)絡層的主要功能為處在不同的網(wǎng)絡系統(tǒng)中的兩個節(jié)點設備通信提供一條邏輯網(wǎng)道。其基本任務包括路由選擇、擁塞控制與網(wǎng)絡互聯(lián)等功能。
??????? 傳輸層
??????? 傳輸層主要任務是向用戶提供可靠地端到端服務,透明地傳送報文。它向高層屏蔽了下層數(shù)據(jù)通信的細節(jié),因而是計算機通信體系結構中的最關鍵的一層。該層關心的主要問題包括建立、維護和中斷虛電路、傳輸差錯校驗和恢復以及信息流量控制。
??????? 會話層
??????? 會話層建立、管理和終止應用程序進程之間的會話和數(shù)據(jù)的交換。這種會話關系是由兩個或多個表示層實體之間的對話構成的。
??????? 表示層
??????? 表示層保證一個系統(tǒng)應用層發(fā)出的信息能被另一個系統(tǒng)的應用層讀出。如有必要,表示層以一種通用的數(shù)據(jù)表示格式在多種數(shù)據(jù)表示格式之間的轉(zhuǎn)換,它包括數(shù)據(jù)格式變換、數(shù)據(jù)加密與解密、數(shù)據(jù)壓縮與恢復等功能。