网络安全管理基础.docx

网络安全管理基础.docx

《网络安全管理基础.docx》由会员分享，可在线阅读，更多相关《网络安全管理基础.docx（23页珍藏版）》请在冰豆网上搜索。

网络安全管理基础

网络安全管理基础

在信息时代，信息安全问题越来越重要。

现在，大部分信息都是通过网络进行传播的，网络安全成为21世纪世界十大热门课题之一。

网络安全在IT业内可分为网络安全硬件、网络安全软件和网络安全服务。

其中，网络硬件包括防火墙和VPN、独立的VPN、入侵检测系统、认证令牌环卡、生物识别系统、加密机和芯片。

网络安全软件包括安全内容管理、防火墙和VPN、入侵检测系统、安全3A、加密等。

其中安全内容管理还包括防病毒、网络控制和扫描，安全3A包括授权、认证和管理。

网络安全服务包括顾问咨询、设计实施、支持维护、教育培训和安全管理。

随着因特网的日益普及，网络安全正在成为一个受人关注的焦点。

而要保证网络安全就必须对网络进行安全管理。

下面先了解一下网络体系结构的相关知识，以及在相应模型中的安全问题，再对网络安全进行详细的分析及讨论解决网络安全管理问题的关键技术。

1.1网络体系结构概述

众所周知，一个计算机网络有许多互相连接的节点，在这些节点之间要不断地进行数据交换。

要做到有序地交换数据，每个节点就必须遵守一些事先约定好的规则，这些规则明确规定了所交换数据的格式及相关的同步问题。

这些为进行网络数据交换而建立的规则、标准或约定就称为网络协议。

一个网络协议主要由以下三个要素组成。

∙语法：

数据与控制信息的结构或格式。

∙语义：

需要发出何种控制信息、完成何种协议及做出何种应答。

∙同步：

事件实现顺序的详细说明。

由此可见，网络协议是计算机网络不可缺少的部分。

很多经验和实践表明，对于非常复杂的计算机网络协议，为了减少网络设计的复杂性，大多数网络都按层（layer）或级（level）的方式来进行组织。

不同的网络，其层的数量、名字、内容和功能都不尽相同。

这样分层的好处在于：

每一层都实现相对的独立功能，因此就能将一个难以处理的复杂问题分解为若干个较容易处理的问题。

计算机网络的各层及协议的集合称为网络的体系结构（networkarchitecture）。

换言之，计算机网络的体系结构是使这个计算机网络及其部件所应该完成的功能的精确定义。

需要强调的是，这些功能究竟由何种硬件或软件完成，则是一个遵循这种体系结构的实现的问题。

可见，体系结构是抽象的，是存在于纸上的，而对它的实现是具体的，是运行在计算机软件和硬件之上的。

常见的网络层次结构如图1-1所示。

图1-1

1.2网络体系结构的参考模型

网络体系结构的参考模型主要有两种：

OSI模型和TCP/IP模型。

1.2.1OSI参考模型

现代计算机网络的设计，是按高度结构化方式进行的。

为减少协议设计的复杂性，大多数网络都按层或级的方式来组织，每一层都建立在它的下层之上。

不同的网络，其层的数量，各层的名字、内容和功能都不尽相同。

然而，在所有的网络中，每一层的目的都是向它的上一层提供服务的，而把这种服务是如何实现的细节对上层加以屏蔽。

最著名的网络体系结构是国际标准化组织ISO的开放系统互连（OpenSystemInterconnection，OSI）参考模型，即通常所提的OSI模型。

OSI模型有7层，其分层原则如下：

∙根据功能的需要分层。

∙每一层应当实现一个定义明确的功能。

∙每一层功能的选择应当有利于制定国际标准化协议。

∙各层界面的选择应当尽量减少通过接口的信息量。

∙层数应足够多，以避免不同的功能混杂在同一层中。

但也不能过多，否则体系结构会过于庞大。

OSI参考模型由低到高依次是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层，其体系结构如图1-2所示。

图1-2

1.2.2TCP/IP协议结构体系

OSI参考模型的建立是计算机网络技术发展的一个里程碑，它为网络的标准化提供了一致的框架和前景。

但由于OSI参考模型的庞大，因此在建立网络时，并没有完全依赖OSI参考模型。

事实上，基于TCP/IP协议的Internet网络有着自己的网络体系结构——TCP/IP网络体系结构。

这种体系结构，目前已经成为事实上的网络标准。

TCP/IP协议体系结构与OSI参考模型类似，也为分层体系结构，但比OSI参考模型的层数要少，一般为4层结构，从低到高依次为网络接口层、网络层、传输层和应用层，如图1-3所示。

图1-3

1．网络接口层

网络接口层在TCP/IP协议结构的最底层。

该层中的协议提供了一种数据传送的方法，使得系统可以通过直接的物理连接的网络，将数据传送到其他设备，并定义了如何利用网络来传送IP数据报。

TCP/IP网络接口层一般包括OSI参考模型的物理层和数据链路层的全部功能，因此这一层的协议很多，包括各种局域网、广域网的各种物理网络的标准。

2．网络层

网络层在网络接口的上一层。

网络层协议IP是TCP/IP的核心协议，也是网络层中最重要的协议。

IP可提供基本的分组传输服务，这是构造TCP/IP的基础。

网络层上、下层中的所有协议都使用IP协议传送数据；所有的TCP/IP数据，无论是进来的还是出去的，都流经IP，并与它的最终目的地无关。

另外，网络层还有地址转换协议（ARP）和网间控制报文协议（ICMP）两个协议，其中ICMP协议具有测试网络链路和检测网络故障的功能，是IP协议不可分割的一部分。

3．传输层

传输层在网络层的上一层，又称主机到主机传输层。

传输层有传输控制协议（TCP）和用户数据报协议（UDP）两个重要的协议，用以提供端到端的数据传输服务，即从一个应用程序到另一个应用程序之间的信息传递。

TCP利用端到端的错误检测与纠正功能，提供可靠的数据传输服务。

而UDP则提供低开销、无的数据报传输服务。

4．应用层

TCP/IP协议体系结构的顶层是协议最多的一层。

应用层的协议大多数都为用户提供直接的服务，而且还在不断地增加新的服务。

常见的应用层协议有：

∙Telnet网络终端协议。

∙FTP文件传输协议。

∙SMTP简单传输协议。

∙POP接收协议。

∙HTTP超文本传输协议。

∙DNS域名服务等。

1.3系统安全结构

网络系统的安全涉及平台的各个方面。

按照网络OSI的7层模型，网络安全贯穿于整个7层模型。

针对网络系统实际运行的TCP/IP协议，网络安全贯穿于信息系统的4个层次。

网络的安全体系层次模型如表1-1所示。

表1-1网络的安全体系层次模型

应用系统

应用系统安全

应用系统

应用系统安全

应用平台

应用平台安全

链路层

链路安全

会话层

会话安全

物理层

物理层安全

网络层

安全路由/访问机制

1．物理层

物理层信息安全，主要防止物理通路的损坏、物理通路的窃听及对物理通路的攻击（干扰等）。

2．数据链路层

数据链路层的网络安全需要保证通过网络链路传送的数据不被窃听，主要采用划分VLAN（局域网）、加密通信（远程网）等手段。

3．网络层

网络层的安全需要保证网络只给授权的客户使用授权的服务，保证网络路由正确，避免被拦截或监听。

4．操作系统

操作系统安全要求保证客户资料、操作系统访问控制的安全，同时能够对该操作系统上的应用进行审计。

5．应用平台

应用平台指建立在网络系统之上的应用软件服务，如数据库服务器、电子服务器和Web服务器等。

由于应用平台的系统非常复杂，通常采用多种技术（如SSL等）来增强应用平台的安全性。

6．应用系统

应用系统完成网络系统的最终目的——为用户服务。

应用系统的安全与系统设计和实现关系密切，应用系统使用应用平台提供的安全服务来保证基本安全，如通信内容安全，通信双方的认证、审计等手段。

1.4TCP/IP层次安全

TCP/IP的层次不同，提供的安全性也不同，例如，在网络层提供虚拟私用网络，在传输层提供安全套接字服务。

下面将分别介绍TCP/IP不同层次的安全性和提高各层安全性的方法。

1.4.1网络层的安全性

国际上正在对网络层（Internet层）的安全协议进行标准化。

如“安全协议3号（SP3）”、“网络层安全协议（NLSP）”、“集成化NLSP（I-NLSP）”、SwIPe和IPSP等安全协议，这些安全协议用的都是IP封装技术。

其本质是：

纯文本的包被加密、封装在外层的IP报头里，用来对加密的包进行因特网上的路由选择。

到达另一端时，外层的IP报头被拆开，报文被解密，然后送到收报地点。

网络层安全性的主要优点是它的透明性，即安全服务的提供，不需要应用程序、其他通信层次和网络部件做任何改动。

它的主要缺点是网络层一般对属于不同进程和相应条例的包不加以区别。

对所有发往同一地址的包，它将按照同样的加密密钥和访问控制策略来处理。

这可能导致提供不了所需的功能，也会导致性能下降。

网络层是非常适合提供基于主机对主机的安全服务的。

相应的安全协议可以用来在因特网上建立安全的IP通道和虚拟私有网。

例如，利用它对IP包的加密和解密功能，可以简捷地强化防火墙系统的防卫能力。

1.4.2传输层的安全性

在因特网中提供安全服务的首先想法便是强化它的IPC（InternetProtocolControl）界面，如BSDSockets等，具体做法包括双端实体的认证、数据加密密钥的交换等。

Netscape通信公司遵循了这个思路，制定了建立在可靠的传输服务（如TCP/IP所提供）基础上的安全套接（层）协议（SSL）。

SSL版本3（SSLv3）于1995年12月制定，主要包含以下两个协议。

1．SSL记录协议

该协议涉及应用程序提供的信息的分段、压缩、数据认证和加密。

SSLv3提供对数据认证用的MD5和SHA及数据加密用的R4和DES等的支持，用来对数据进行认证和加密的密钥可以通过SSL的握手协议来协商。

2．SSL握手协议

用来交换版本号、加密算法、（相互）身份认证并交换密钥。

SSLv3提供对Diffie-Hellman密钥交换算法、基于RSA的密钥交换机制和另一种实现在Fortezzachip上的密钥交换机制的支持。

1.4.3应用层的安全性

网络层（或传输层）的安全协议允许为主机（或进程）之间的数据通道增加安全属性。

本质上，这意味着真正的（或许再加上XX的）数据通道还是建立在主机（或进程）之间，但却不可能区分在同一通道上传输的一个具体文件的安全性要求。

例如，如果一个主机与另一个主机之间建立起一条安全的IP通道，那么所有在这条通道上传输的IP包都要自动地被加密。

同样，如果一个进程和另一个进程之间通过传输层安全协议建立起了一条安全的数据通道，那么两个进程间传输的所有消息都要自动地被加密。

如果确实想要区分一个具体文件的不同的安全性要求，那就必须借助于应用层的安全性。

提供应用层的安全服务实际上是最灵活的处理单个文件安全性的手段。

例如一个电子系统可能需要对要发出的信件的个别段落实施数据签名，较低层的协议提供的安全功能一般不会知道任何要发出的信件的段落结构，从而不可能知道应该对哪一部分进行签名。

只有应用层是唯一能够提供这种安全服务的层次。

目前都使用PKI（公钥基础结构）进行认证和密钥分配。

PEMPKI是按层次组织的，由下述三个层次构成：

∙顶层为网络层安全政策登记机构（IPRA）。

∙第二层为安全政策证书颁发机构（PCA）。

∙底层为证书颁发机构（CA）。

1.5TCP/IP的服务安全

对TCP/IP协议的服务很多，人们比较熟悉的有服务、FTP服务和电子服务，不太熟悉的有TFTP服务、NFS服务和Finger服务等。

这些服务都存在不同程度的安全缺陷，当用户用防火墙保护站点时，就需要考虑应该提供哪些服务，要禁止哪些服务，在这里只对一些服务进行介绍。

1.5.1服务

服务相对于其他服务出现比较晚，它基于超文本传输协议（HTTP），是人们最常使用的Internet服务。

随着Netscape公司推出安全套接字层，服务器和浏览器的安全性得到大大的提高，现在人们已经把这种技术应用于电子商务（E-business），例如在许多国家