网络安全的层次结构

㈠ 计算机网络一般采用什么五个层次网络系统安全体系结构

1) 物理层
2）数据链路层
3）网络层
4）传输层
5）应用层

㈡ 网络安全防范体系的层次

物理环境的安全性
该层次的安全包括通信线路的安全，物理设备的安全，机房的安全等。物理层的安全主要体现在通信线路的可靠性（线路备份、网管软件、传输介质），软硬件设备安全性（替换设备、拆卸设备、增加设备），设备的备份，防灾害能力、防干扰能力，设备的运行环境（温度、湿度、烟尘），不间断电源保障，等等。 操作系统的安全性
该层次的安全问题来自网络内使用的操作系统的安全，如Windows NT，Windows 2000等。主要表现在三方面，一是操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制、系统漏洞等。二是对操作系统的安全配置问题。三是病毒对操作系统的威胁。 网络的安全性
该层次的安全问题主要体现在网络方面的安全性，包括网络层身份认证，网络资源的访问控制，数据传输的保密与完整性，远程接入的安全，域名系统的安全，路由系统的安全，入侵检测的手段，网络设施防病毒等。 应用的安全性
该层次的安全问题主要由提供服务所采用的应用软件和数据的安全性产生，包括Web服务、电子邮件系统、DNS等。此外，还包括病毒对系统的威胁。 管理的安全性
安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化极大程度地影响着整个网络的安全，严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其它层次的安全漏洞。

㈢ 从层次上，网络安全可以分成哪几层，每层有什么特点

从层次体系上，可以将网络安全分成四个层次上的安全：
1、物理安全；
2、逻辑安全；
3、操作系统安全；
4、联网安全。

㈣ 网络安全是什么

网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。其重要性，正随着全球信息化步伐的加快而变到越来越重要。“家门就是国门”，安全问题刻不容缓。

网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。

网络安全的具体含义会随着“角度”的变化而变化。比如：从用户（个人、企业等）的角度来说，他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护，避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐，? 问和破坏。

从网络运行和管理者角度说，他们希望对本地网络信息的访问、读写等操作受到保护和控制，避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁，制止和防御网络黑客的攻击。

对安全保密部门来说，他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵，避免机要信息泄露，避免对社会产生危害，对国家造成巨大损失。

从社会教育和意识形态角度来讲，网络上不健康的内容，会对社会的稳定和人类的发展造成阻碍，必须对其进行控制。

2、增强网络安全意识刻不容缓

随着计算机技术的飞速发展，信息网络已经成为社会发展的重要保证。信息网络涉及到国家的政府、军事、文教等诸多领域。其中存贮、传输和处理的信息有许多是重要的政府宏观调控决策、商业经济信息、银行资金转帐、股票证券、能源资源数据、科研数据等重要信息。有很多是敏感信息，甚至是国家机密。所以难免会吸引来自世界各地的各种人为攻击（例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等）。同时，网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面的考验。

近年来，计算机犯罪案件也急剧上升，计算机犯罪已经成为普遍的国际性问题。据美国联邦调查局的报告，计算机犯罪是商业犯罪中最大的犯罪类型之一，每笔犯罪的平均金额为45000美元，每年计算机犯罪造成的经济损失高达50亿美元。

计算机犯罪大都具有瞬时性、广域性、专业性、时空分离性等特点。通常计算机罪犯很难留下犯罪证据，这大大刺激了计算机高技术犯罪案件的发生。

计算机犯罪案率的迅速增加，使各国的计算机系统特别是网络系统面临着很大的威胁，并成为严重的社会问题之一。

3、网络安全案例

96年初，据美国旧金山的计算机安全协会与联邦调查局的一次联合调查统计，有53％的企业受到过计算机病毒的侵害，42％的企业的计算机系统在过去的12个月被非法使用过。而五角大楼的一个研究小组称美国一年中遭受的攻击就达25万次之多。

94年末，俄罗斯黑客弗拉基米尔?利文与其伙伴从圣彼得堡的一家小软件公司的联网计算机上，向美国CITYBANK银行发动了一连串攻击，通过电子转帐方式，从CITYBANK银行在纽约的计算机主机里窃取1100万美元。

96年8月17日，美国司法部的网络服务器遭到黑客入侵，并将“ 美国司法部” 的主页改为“ 美国不公正部” ，将司法部部长的照片换成了阿道夫?希特勒，将司法部徽章换成了纳粹党徽，并加上一幅色情女郎的图片作为所谓司法部部长的助手。此外还留下了很多攻击美国司法政策的文字。

96年9月18日，黑客又光顾美国中央情报局的网络服务器，将其主页由“中央情报局” 改为“ 中央愚蠢局” 。

96年12月29日，黑客侵入美国空军的全球网网址并将其主页肆意改动，其中有关空军介绍、新闻发布等内容被替换成一段简短的黄色录象，且声称美国政府所说的一切都是谎言。迫使美国国防部一度关闭了其他80多个军方网址。

4、我国计算机互连网出现的安全问题案例

96年2月，刚开通不久的Chinanet受到攻击，且攻击得逞。

97年初，北京某ISP被黑客成功侵入，并在清华大学“ 水木清华” BBS站的“ 黑客与解密” 讨论区张贴有关如何免费通过该ISP进入Internet的文章。

97年4月23日，美国德克萨斯州内乍得逊地区西南贝尔互联网络公司的某个PPP用户侵入中国互联网络信息中心的服务器，破译该系统的shutdown帐户，把中国互联网信息中心的主页换成了一个笑嘻嘻的骷髅头。

96年初CHINANET受到某高校的一个研究生的攻击；96年秋，北京某ISP和它的用户发生了一些矛盾，此用户便攻击该ISP的服务器，致使服务中断了数小时。

5、不同环境和应用中的网络安全

运行系统安全，即保证信息处理和传输系统的安全。它侧重于保证系统正常运行，避免因为系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失，避免由于电磁泄漏，产生信息泄露，干扰他人，受他人干扰。

网络上系统信息的安全。包括用户口令鉴别，用户存取权限控制，数据存取权限、方式控制，安全审计，安全问题跟踪，计算机病毒防治，数据加密。

网络上信息传播安全，即信息传播后果的安全。包括信息过滤等。它侧重于防止和控制非法、有害的信息进行传播后的后果。避免公用网络上大量自由传输的信息失控。

网络上信息内容的安全。它侧重于保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。本质上是保护用户的利益和隐私。

6、网络安全的特征

网络安全应具有以下四个方面的特征：

保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性。

完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。

可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击；

可控性：对信息的传播及内容具有控制能力。

7、主要的网络安全威胁

自然灾害、意外事故；

计算机犯罪；

人为行为，比如使用不当，安全意识差等；

“黑客” 行为：由于黑客的入侵或侵扰，比如非法访问、拒绝服务计算机病毒、非法连接等；

内部泄密；

外部泄密；

信息丢失；

电子谍报，比如信息流量分析、信息窃取等；

信息战；

网络协议中的缺陷，例如TCP/IP协议的安全问题等等。

8、网络安全的结构层次

8.1 物理安全

自然灾害（如雷电、地震、火灾等），物理损坏（如硬盘损坏、设备使用寿命到期等），设备故障（如停电、电磁干扰等），意外事故。解决方案是：防护措施，安全制度，数据备份等。

电磁泄漏，信息泄漏，干扰他人，受他人干扰，乘机而入（如进入安全进程后半途离开），痕迹泄露（如口令密钥等保管不善）。解决方案是：辐射防护，屏幕口令，隐藏销毁等。

操作失误（如删除文件，格式化硬盘，线路拆除等），意外疏漏。解决方案是：状态检测，报警确认，应急恢复等。

计算机系统机房环境的安全。特点是：可控性强，损失也大。解决方案：加强机房管理，运行管理，安全组织和人事管理。

8.2 安全控制

微机操作系统的安全控制。如用户开机键入的口令（某些微机主板有“ 万能口令” ），对文件的读写存取的控制（如Unix系统的文件属性控制机制）。主要用于保护存贮在硬盘上的信息和数据。

网络接口模块的安全控制。在网络环境下对来自其他机器的网络通信进程进行安全控制。主要包括：身份认证，客户权限设置与判别，审计日志等。

网络互联设备的安全控制。对整个子网内的所有主机的传输信息和运行状态进行安全监测和控制。主要通过网管软件或路由器配置实现。

8.3 安全服务

对等实体认证服务

访问控制服务

数据保密服务

数据完整性服务

数据源点认证服务

禁止否认服务

8.4 安全机制

加密机制

数字签名机制

访问控制机制

数据完整性机制

认证机制

信息流填充机制

路由控制机制

公证机制

9、网络加密方式

链路加密方式

节点对节点加密方式

端对端加密方式

10、TCP/IP协议的安全问题

TCP/IP协议数据流采用明文传输。

源地址欺骗（Source address spoofing）或IP欺骗（IP spoofing）。

源路由选择欺骗（Source Routing spoofing）。

路由选择信息协议攻击（RIP Attacks）。

鉴别攻击（Authentication Attacks）。

TCP序列号欺骗（TCP Sequence number spoofing）。

TCP序列号轰炸攻击（TCP SYN Flooding Attack），简称SYN攻击。

易欺骗性（Ease of spoofing）。

11、一种常用的网络安全工具：扫描器

扫描器：是自动检测远程或本地主机安全性弱点的 程序，一个好的扫描器相当于一千个口令的价值。

如何工作：TCP端口扫描器，选择TCP/IP端口和服务(比如FTP)，并记录目标的回答，可收集关于目标主机的有用信息(是否可匿名登录，是否提供某种服务)。扫描器告诉我们什么：能发现目标主机的内在弱点，这些弱点可能是破坏目标主机的关键因素。系统管理员使用扫描器，将有助于加强系统的安全性。黑客使用它，对网络的安全将不利。

扫描器的属性：1、寻找一台机器或一个网络。2、一旦发现一台机器，可以找出机器上正在运行的服务。3、测试哪些服务具有漏洞。

目前流行的扫描器：1、NSS网络安全扫描器，2、stroke超级优化TCP端口检测程序，可记录指定机器的所有开放端口。3、SATAN安全管理员的网络分析工具。4、JAKAL。5、XSCAN。

12、黑客常用的信息收集工具

信息收集是突破网络系统的第一步。黑客可以使用下面几种工具来收集所需信息：

SNMP协议，用来查阅非安全路由器的路由表，从而了解目标机构网络拓扑的内部细节。

TraceRoute程序，得出到达目标主机所经过的网络数和路由器数。

Whois协议，它是一种信息服务，能够提供有关所有DNS域和负责各个域的系统管理员数据。（不过这些数据常常是过时的）。

DNS服务器，可以访问主机的IP地址表和它们对应的主机名。

Finger协议，能够提供特定主机上用户们的详细信息（注册名、电话号码、最后一次注册的时间等）。

Ping实用程序，可以用来确定一个指定的主机的位置并确定其是否可达。把这个简单的工具用在扫描程序中，可以Ping网络上每个可能的主机地址，从而可以构造出实际驻留在网络上的主机清单。

13、 Internet 防 火 墙

Internet防火墙是这样的系统（或一组系统），它能增强机构内部网络的安全性。

防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的哪些服务，以
及哪些外部服务可以被内部人员访问。要使一个防火墙有效，所有来自和去往Internet的信
息都必须经过防火墙，接受防火墙的检查。防火墙只允许授权的数据通过，并且防火墙本身也
必须能够免于渗透。

13.1 Internet防火墙与安全策略的关系

防火墙不仅仅是路由器、堡垒主机、或任何提供网络安全的设备的组合，防火墙是安全策略的一个部分。

安全策略建立全方位的防御体系，甚至包括：告诉用户应有的责任，公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及雇员培训等。所有可能受到攻击的地方都必须以
同样安全级别加以保护。

仅设立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设。

13.2 防 火 墙 的 好 处

Internet防火墙负责管理Internet和机构内部网络之间的访问。在没有防火墙时，内部网络上的每个节点都暴露给Internet上的其它主机，极易受到攻击。这就意味着内部网络的安全性要由每一个主机的坚固程度来决定，并且安全性等同于其中最弱的系统。

13.3 Internet防火墙的作用

Internet防火墙允许网络管理员定义一个中心“ 扼制点” 来防止非法用户，比如防止黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络，并抗击来自各种路线的攻击。Internet防火墙能够简化安全管理，网络的安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有主机上。

在防火墙上可以很方便的监视网络的安全性，并产生报警。（注意：对一个与Internet相联的内部网络来说，重要的问题并不是网络是否会受到攻击，而是何时受到攻击？谁在攻击？）网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录，防火墙就形同虚设。在这种情况下，网络管理员永远不会知道防火墙是否受到攻击。

Internet防火墙可以作为部署NAT(Network Address Translator，网络地址变换）的逻辑地址。因此防火墙可以用来缓解地址空间短缺的问题，并消除机构在变换ISP时带来的重新编址的麻烦。

Internet防火墙是审计和记录Internet使用量的一个最佳地方。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈的位置，并根据机构的核算模式提供部门级计费。

㈤ 计算机网络安全体系结构包括什么

计算机网络安全体系结构是由硬件网络、通信软件以及操作系统构成的。

对于一个系统而言，首先要以硬件电路等物理设备为载体，然后才能运 行载体上的功能程序。通过使用路由器、集线器、交换机、网线等网络设备，用户可以搭建自己所需要的通信网络，对于小范围的无线局域网而言，人们可以使用这 些设备搭建用户需要的通信网络，最简单的防护方式是对无线路由器设置相应的指令来防止非法用户的入侵，这种防护措施可以作为一种通信协议保护。

计算机网络安全广泛采用WPA2加密协议实现协议加密，用户只有通过使用密匙才能对路由器进行访问，通常可以讲驱动程序看作为操作系统的一部分，经过注册表注册后，相应的网络 通信驱动接口才能被通信应用程序所调用。网络安全通常是指网络系统中的硬件、软件要受到保护，不能被更改、泄露和破坏，能够使整个网络得到可持续的稳定运 行，信息能够完整的传送，并得到很好的保密。因此计算机网络安全设计到网络硬件、通信协议、加密技术等领域。

(5)网络安全的层次结构扩展阅读

计算机安全的启示：

1、按先进国家的经验，考虑不安全因素，网络接口设备选用本国的，不使用外国货。

2、网络安全设施使用国产品。

3、自行开发。

网络的拓扑结构：重要的是确定信息安全边界

1、一般结构：外部区、公共服务区、内部区。

2、考虑国家利益的结构：外部区、公共服务区、内部区及稽查系统和代理服务器定位。

3、重点考虑拨号上网的安全问题：远程访问服务器，放置在什么位置上，能满足安全的需求。

㈥ 网络信息安全层次结构是什么.

信息安全主要涉及到信息传输的安全、信息存储的安全以及对网络传输信息内容的审计三方面。
鉴别

鉴别是对网络中的主体进行验证的过程，通常有三种方法验证主体身份。一是只有该主体了解的秘密，如口令、密钥；二是主体携带的物品，如智能卡和令牌卡；三是只有该主体具有的独一无二的特征或能力，如指纹、声音、视网膜或签字等。

口令机制：口令是相互约定的代码，假设只有用户和系统知道。口令有时由用户选择，有时由系统分配。通常情况下，用户先输入某种标志信息，比如用户名和ID号，然后系统询问用户口令，若口令与用户文件中的相匹配，用户即可进入访问。口令有多种，如一次性口令，系统生成一次性口令的清单，第一次时必须使用X，第二次时必须使用Y，第三次时用Z，这样一直下去；还有基于时间的口令，即访问使用的正确口令随时间变化，变化基于时间和一个秘密的用户钥匙。这样口令每分钟都在改变，使其更加难以猜测。

智能卡：访问不但需要口令，也需要使用物理智能卡。在允许其进入系统之前检查是否允许其接触系统。智能卡大小形如信用卡，一般由微处理器、存储器及输入、输出设施构成。微处理器可计算该卡的一个唯一数（ID）和其它数据的加密形式。ID保证卡的真实性，持卡人就可访问系统。为防止智能卡遗失或被窃，许多系统需要卡和身份识别码（PIN）同时使用。若仅有卡而不知PIN码，则不能进入系统。智能卡比传统的口令方法进行鉴别更好，但其携带不方便，且开户费用较高。

主体特征鉴别：利用个人特征进行鉴别的方式具有很高的安全性。目前已有的设备包括：视网膜扫描仪、声音验证设备、手型识别器。
数据传输安全系统

数据传输加密技术 目的是对传输中的数据流加密，以防止通信线路上的窃听、泄漏、篡改和破坏。如果以加密实现的通信层次来区分，加密可以在通信的三个不同层次来实现，即链路加密（位于OSI网络层以下的加密），节点加密，端到端加密（传输前对文件加密，位于OSI网络层以上的加密）。

一般常用的是链路加密和端到端加密这两种方式。链路加密侧重与在通信链路上而不考虑信源和信宿，是对保密信息通过各链路采用不同的加密密钥提供安全保护。链路加密是面向节点的，对于网络高层主体是透明的，它对高层的协议信息（地址、检错、帧头帧尾）都加密，因此数据在传输中是密文的，但在中央节点必须解密得到路由信息。端到端加密则指信息由发送端自动加密，并进入TCP/IP数据包回封，然后作为不可阅读和不可识别的数据穿过互联网，当这些信息一旦到达目的地，将自动重组、解密，成为可读数据。端到端加密是面向网络高层主体的，它不对下层协议进行信息加密，协议信息以明文形式传输，用户数据在中央节点不需解密。

数据完整性鉴别技术 目前，对于动态传输的信息，许多协议确保信息完整性的方法大多是收错重传、丢弃后续包的办法，但黑客的攻击可以改变信息包内部的内容，所以应采取有效的措施来进行完整性控制。

报文鉴别：与数据链路层的CRC控制类似，将报文名字段（或域）使用一定的操作组成一个约束值，称为该报文的完整性检测向量ICV（Integrated Check Vector）。然后将它与数据封装在一起进行加密，传输过程中由于侵入者不能对报文解密，所以也就不能同时修改数据并计算新的ICV，这样，接收方收到数据后解密并计算ICV，若与明文中的ICV不同，则认为此报文无效。

校验和：一个最简单易行的完整性控制方法是使用校验和，计算出该文件的校验和值并与上次计算出的值比较。若相等，说明文件没有改变；若不等，则说明文件可能被未察觉的行为改变了。校验和方式可以查错，但不能保护数据。

加密校验和：将文件分成小快，对每一块计算CRC校验值，然后再将这些CRC值加起来作为校验和。只要运用恰当的算法，这种完整性控制机制几乎无法攻破。但这种机制运算量大，并且昂贵，只适用于那些完整性要求保护极高的情况。

消息完整性编码MIC（Message Integrity Code）：使用简单单向散列函数计算消息的摘要，连同信息发送给接收方，接收方重新计算摘要，并进行比较验证信息在传输过程中的完整性。这种散列函数的特点是任何两个不同的输入不可能产生两个相同的输出。因此，一个被修改的文件不可能有同样的散列值。单向散列函数能够在不同的系统中高效实现。

防抵赖技术 它包括对源和目的地双方的证明，常用方法是数字签名，数字签名采用一定的数据交换协议，使得通信双方能够满足两个条件：接收方能够鉴别发送方所宣称的身份，发送方以后不能否认他发送过数据这一事实。比如，通信的双方采用公钥体制，发方使用收方的公钥和自己的私钥加密的信息，只有收方凭借自己的私钥和发方的公钥解密之后才能读懂，而对于收方的回执也是同样道理。另外实现防抵赖的途径还有：采用可信第三方的权标、使用时戳、采用一个在线的第三方、数字签名与时戳相结合等。

鉴于为保障数据传输的安全，需采用数据传输加密技术、数据完整性鉴别技术及防抵赖技术。因此为节省投资、简化系统配置、便于管理、使用方便，有必要选取集成的安全保密技术措施及设备。这种设备应能够为大型网络系统的主机或重点服务器提供加密服务，为应用系统提供安全性强的数字签名和自动密钥分发功能，支持多种单向散列函数和校验码算法，以实现对数据完整性的鉴别。
数据存储安全系统

在计算机信息系统中存储的信息主要包括纯粹的数据信息和各种功能文件信息两大类。对纯粹数据信息的安全保护，以数据库信息的保护最为典型。而对各种功能文件的保护，终端安全很重要。

数据库安全：对数据库系统所管理的数据和资源提供安全保护，一般包括以下几点。一，物理完整性，即数据能够免于物理方面破坏的问题，如掉电、火灾等；二，逻辑完整性，能够保持数据库的结构，如对一个字段的修改不至于影响其它字段；三，元素完整性，包括在每个元素中的数据是准确的；四，数据的加密；五，用户鉴别，确保每个用户被正确识别，避免非法用户入侵；六，可获得性，指用户一般可访问数据库和所有授权访问的数据；七，可审计性，能够追踪到谁访问过数据库。

要实现对数据库的安全保护，一种选择是安全数据库系统，即从系统的设计、实现、使用和管理等各个阶段都要遵循一套完整的系统安全策略；二是以现有数据库系统所提供的功能为基础构作安全模块，旨在增强现有数据库系统的安全性。

终端安全：主要解决微机信息的安全保护问题，一般的安全功能如下。基于口令或（和）密码算法的身份验证，防止非法使用机器；自主和强制存取控制，防止非法访问文件；多级权限管理，防止越权操作；存储设备安全管理，防止非法软盘拷贝和硬盘启动；数据和程序代码加密存储，防止信息被窃；预防病毒，防止病毒侵袭；严格的审计跟踪，便于追查责任事故。

信息内容审计系统
实时对进出内部网络的信息进行内容审计，以防止或追查可能的泄密行为。因此，为了满足国家保密法的要求，在某些重要或涉密网络，应该安装使用此系统。

㈦ 在osi层次基础上 可以将网络安全体系分为四个级别 分别是

四个级别：网络级安全、系统级安全、应用级安全及企业级的安全。

网络安全需求应该是全方位的、整体的。在0SI七个层次的基础上，将安全体系划分为四个级别：网络级安全、系统级安全、应用级安全及企业级的安全管理。针对网络系统受到的威胁，安全体系结构提出了以下几类安全服务：

1、身份认证：这种服务是在两个开放系统同等层中的实体建立连接和数据传送期间，为提供连接实体身份的鉴别而规定的一种服务。这种服务防止冒充或重传以前的连接。这种鉴别服务可以是单向的，也可以是双向的。

2、访问控制：访问控制服务可以防止未经授权的用户非法使用系统资源。这种服务不仅可以提供给单个用户，也可以提供给封闭的用户组中的所有用户。

3、数据保密：数据保密服务的目的是保护网络中各系统之间交换的数据，防止因数据被截获而造成的泄密。

4、数据完整性：这种服务用来防止非法实体对用户的主动攻击（对正在交换数据进行修改、插入、使数据延时以及丢失数据等），以保证数据接受方收到的信息与发送方发送的信息完全一致。

(7)网络安全的层次结构扩展阅读

信息的安全性涉及到机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。在某些网络系统中，涉及到很多机密信息，如果一些重要信息遭到窃取或破坏，它的经济、社会影响和政治影响将是很严重的。

因此，对用户使用计算机必须进行身份认证，对于重要信息的通讯必须授权，传输必须加密。采用多层次的访问控制与权限控制手段，实现对数据的安全保护；采用加密技术，保证网上传输的信息（包括管理员口令与账户、上传信息等）的机密性与完整性。

㈧ 网络信息系统安全性分析

给我分哦,谢谢

http://bbs.wuyou.net/viewthread.php?tid=8894

网 络 安 全 毕 业 论 文
网络安全的具体含义会随着“角度”的变化而变化。比如：从用户（个人、企业等）的角度来说，他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护，避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐，同时也避免其它用户的非授权访问和破坏。从网络运行和管理者角度说，他们希望对本地网络信息的访问、读写等操作受到保护和控制，避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁，制止和防御网络黑客的攻击。 对安全保密部门来说，他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵，避免机要信息泄露，避免对社会产生危害，对国家造成巨大损失。 从社会教育和意识形态角度来讲，网络上不健康的内容，会对社会的稳定和人类的发展造成阻碍，必须对其进行控制。 从本质上来讲，网络安全就是网络上的信息安全，是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。网络安全涉及的内容既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。技术方面主要侧重于防范外部非法用户的攻击，管理方面则侧重于内部人为因素的管理。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为所有计算机网络应用必须考虑和必须解决的一个重要问题。
不同环境和应用中的网络安全
运行系统安全:即保证信息处理和传输系统的安全。它侧重于保证系统正常运行，避免因为系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失，避免由于电磁泄漏，产生信息泄露，干扰他人，受他人干扰。 网络上系统信息的安全:包括用户口令鉴别，用户存取权限控制，数据存取权限、方式控制，安全审计，安全问题跟踪，计算机病毒防治，数据加密。 网络上信息传播安全:即信息传播后果的安全。包括信息过滤等。它侧重于防止和控制非法、有害的信息进行传播后的后果。避免公用网络上大量自由传输的信息失控。 网络上信息内容的安全:它侧重于保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。本质上是保护用户的利益和隐私 .
网络安全的结构层次主要包括：物理安全、安全控制和安全服务。
1： 物理安全
物理安全是指在物理介质层次上对存贮和传输的网络信息的安全保护。也就是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。物理安全是网络信息安全的最基本保障，是整个安全系统不可缺少和忽视的组成部分。它主要包括三个方面：
环境安全：对系统所在环境的安全保护。
设备安全：主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等；
媒体安全：包括媒体数据的安全及媒体本身的安全。
目前，该层次上常见的不安全因素包括三大类：
1）自然灾害（比如，地震、火灾、洪水等）、物理损坏（比如，硬盘损坏、设备使用寿命到期、外力破损等）、设备故障（比如，停电断电、电磁干扰等）。此类不安全因素的特点是：突发性、自然性、非针对性。这种不安全因素对网络信息的完整性和可用性威胁最大，而对网络信息的保密性影响却较小，因为在一般情况下，物理上的破坏将销毁网络信息本身。解决此类不安全隐患的有效方法是采取各种防护措施、制定安全规章、随时数据备份等。
2）电磁辐射（比如，侦听微机操作过程），乘机而入（比如，合法用户进入安全进程后半途离开），痕迹泄露（比如，口令密钥等保管不善，被非法用户获得）等。此类不安全因素的特点是：隐蔽性、人为实施的故意性、信息的无意泄露性。这种不安全因素主要破坏网络信息的保密性，而对网络信息的完整性和可用性影响不大。解决此类不安全隐患的有效方法是采取辐射防护、屏幕口令、隐藏销毁等手段。
3）操作失误（比如，偶然删除文件，格式化硬盘，线路拆除等），意外疏漏（比如，系统掉电、“死机”等系统崩溃）。此类不安全因素的特点是：人为实施的无意性和非针对性。这种不安全因素主要破坏网络信息的完整性和可用性，而对保密性影响不大。解决此类不安全隐患的有效方法是：状态检测、报警确认、应急恢复等。 显然，为保证信息网络系统的物理安全，除在网络规划和场地、环境等要求之外，还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失秘的案例已经很多，在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散，通常是在物理上探取一定的防护措施，来减少或干扰扩散出去的空间信号。这对重要的政策、军队、金融机构在兴建信息中心时都将成为首要设置的条件。
正常的防范措施主要在三个方面：
1、 对主机房及重要信息存储、收发部门进行屏蔽处理 即建设一个具有高效屏蔽效能的屏蔽室，用它来安装运行主要设备，以防止磁鼓，磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能，在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计，如信号线、电话线、空调、消防控制线，以及通风波导，门的关起等。
2、 对本地网、局域网传输线路传导辐射的抑制，由于电缆传输辐射信息的不可避免性，现均采用了光缆传输的方式，大多数均在Modem出来的设备用光电转换接口，用光缆接出屏蔽室外进行传输。
3、 对终端设备辐射的防范
终端机尤其是CRT显示器，由于上万伏高压电子流的作用，辐射有极强的信号外泄，但又因终端分散使用不宜集中采用屏蔽室的办法来防止，故现在的要求除在订购设备上尽量选取低辐射产品外，目前主要采取主动式的干扰设备如干扰机来破坏对应信息的窃复，个别重要的首脑或集中的终端也可考虑采用有窗子的装饰性屏蔽室，此类虽降低了部份屏蔽效能，但可大大改善工作环境，使人感到在普通机房内一样工作。
安全控制是指在网络信息系统中对存贮和传输的信息的操作和进程进行控制和管理，重点是在网络信息处理层次上对信息进行初步的安全保护。安全控制可以分为以下三个层次：
1）操作系统的安全控制。包括：对用户的合法身份进行核实（比如，开机时要求键入口令）、对文件的读写存取的控制（比如，文件属性控制机制）。此类安全控制主要保护被存贮数据的安全。
2）网络接口模块的安全控制。在网络环境下对来自其他机器的网络通信进程进行安全控制。此类控制主要包括身份认证、客户权限设置与判别、审计日志等。
3）网络互联设备的安全控制。对整个子网内的所有主机的传输信息和运行状态进行安全监测和控制。此类控制主要通过网管软件或路由器配置实现。需要指明的是，安全控制主要通过现有的操作系统或网管软件、路由器配置等实现。安全控制只提供了初步的安全功能和网络信息保护。
安全服务是指在应用程序层对网络信息的保密性、完整性和信源的真实性进行保护和鉴别，满足用户的安全需求，防止和抵御各种安全威胁和攻击手段。安全服务可以在一定程度上弥补和完善现有操作系统和网络信息系统的安全漏洞。安全服务的主要内容包括：安全机制、安全连接、安全协议、安全策略等。
1）安全机制是利用密码算法对重要而敏感的数据进行处理。比如，以保护网络信息的保密性为目标的数据加密和解密；以保证网络信息来源的真实性和合法性为目标的数字签名和签名验证；以保护网络信息的完整性，防止和检测数据被修改、插入、删除和改变的信息认证等。安全机制是安全服务乃至整个网络信息安全系统的核心和关键。现代密码学在安全机制的设计中扮演着重要的角色。
2）安全连接是在安全处理前与网络通信方之间的连接过程。安全连接为安全处理进行了必要的准备工作。安全连接主要包括会话密钥的分配和生成和身份验证。后者旨在保护信息处理和操作的对等双方的身份真实性和合法性。
3）安全协议。协议是多个使用方为完成某些任务所采取的一系列的有序步骤。协议的特性是：预先建立、相互同意、非二义性和完整性。安全协议使网络环境下互不信任的通信方能够相互配合，并通过安全连接和安全机制的实现来保证通信过程的安全性、可靠性和公平性。
4）安全策略。安全策略是安全体制、安全连接和安全协议的有机组合方式，是网络信息系统安全性的完整的解决方案。安全策略决定了网络信息安全系统的整体安全性和实用性。不同的网络信息系统和不同的应用环境需要不同的安全策略。
网络安全的目标 通俗地说，网络信息安全与保密主要是指保护网络信息系统，使其没有危险、不受威胁、不出事故。从技术角度来说，网络信息安全与保密的目标主要表现在系统的保密性、完整性、真实性、可靠性、可用性、不可抵赖性等方面。
1：可靠性
可靠性是网络信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。可靠性是系统安全的最基于要求之一，是所有网络信息系统的建设和运行目标。网络信息系统的可靠性测度主要有三种：抗毁性、生存性和有效性。
2.抗毁性是指系统在人为破坏下的可靠性。比如，部分线路或节点失效后，系统是否仍然能够提供一定程度的服务。增强抗毁性可以有效地避免因各种灾害（战争、地震等）造成的大面积瘫痪事件。 生存性是在随机破坏下系统的可靠性。生存性主要反映随机性破坏和网络拓扑结构对系统可靠性的影响。这里，随机性破坏是指系统部件因为自然老化等造成的自然失效。 有效性是一种基于业务性能的可靠性。有效性主要反映在网络信息系统的部件失效情况下，满足业务性能要求的程度。比如，网络部件失效虽然没有引起连接性故障，但是却造成质量指标下降、平均延时增加、线路阻塞等现象。 可靠性主要表现在硬件可靠性、软件可靠性、人员可靠性、环境可靠性等方面。硬件可靠性最为直观和常见。软件可靠性是指在规定的时间内，程序成功运行的概率。人员可靠性是指人员成功地完成工作或任务的概率。人员可靠性在整个系统可靠性中扮演重要角色，因为系统失效的大部分原因是人为差错造成的。人的行为要受到生理和心理的影响，受到其技术熟练程度、责任心和品德等素质方面的影响。因此，人员的教育、培养、训练和管理以及合理的人机界面是提高可靠性的重要方面。环境可靠性是指在规定的环境内，保证网络成功运行的概率。这里的环境主要是指自然环境和电磁环境。
3：可用性
可用性是网络信息可被授权实体访问并按需求使用的特性。即网络信息服务在需要时，允许授权用户或实体使用的特性，或者是网络部分受损或需要降级使用时，仍能为授权用户提供有效服务的特性。可用性是网络信息系统面向用户的安全性能。网络信息系统最基本的功能是向用户提供服务，而用户的需求是随机的、多方面的、有时还有时间要求。可用性一般用系统正常使用时间和整个工作时间之比来度量。可用性还应该满足以下要求：身份识别与确认、访问控制（对用户的权限进行控制，只能访问相应权限的资源，防止或限制经隐蔽通道的非法访问。包括自主访问控制和强制访问控制）、业务流控制（利用均分负荷方法，防止业务流量过度集中而引起网络阻塞）、路由选择控制（选择那些稳定可靠的子网，中继线或链路等）、审计跟踪（把网络信息系统中发生的所有安全事件情况存储在安全审计跟踪之中，以便分析原因，分清责任，及时采取相应的措施。审计跟踪的信息主要包括：事件类型、被管客体等级、事件时间、事件信息、事件回答以及事件统计等方面的信息。）
4： 保密性
保密性是网络信息不被泄露给非授权的用户、实体或过程，或供其利用的特性。即，防止信息泄漏给非授权个人或实体，信息只为授权用户使用的特性。保密性是在可靠性和可用性基础之上，保障网络信息安全的重要手段。 常用的保密技术包括：防侦收（使对手侦收不到有用的信息）、防辐射（防止有用信息以各种途径辐射出去）、信息加密（在密钥的控制下，用加密算法对信息进行加密处理。即使对手得到了加密后的信息也会因为没有密钥而无法读懂有效信息）、物理保密（利用各种物理方法，如限制、隔离、掩蔽、控制等措施，保护信息不被泄露）。

㈨ 网络安全涉及哪几个方面.

网络安全主要有系统安全、网络的安全、信息传播安全、信息内容安全。具体如下：

1、系统安全

运行系统安全即保证信息处理和传输系统的安全，侧重于保证系统正常运行。避免因为系统的崩演和损坏而对系统存储、处理和传输的消息造成破坏和损失。避免由于电磁泄翻，产生信息泄露，干扰他人或受他人干扰。

2、网络的安全

网络上系统信息的安全，包括用户口令鉴别，用户存取权限控制，数据存取权限、方式控制，安全审计。安全问题跟踩。计算机病毒防治，数据加密等。

3、信息传播安全

网络上信息传播安全，即信息传播后果的安全，包括信息过滤等。它侧重于防止和控制由非法、有害的信息进行传播所产生的后果，避免公用网络上大云自由传翰的信息失控。

4、信息内容安全

网络上信息内容的安全侧重于保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。其本质是保护用户的利益和隐私。

(9)网络安全的层次结构扩展阅读：

维护网络安全的工具有VIEID、数字证书、数字签名和基于本地或云端的杀毒软体等构成。

1、Internet防火墙

它能增强机构内部网络的安全性。Internet防火墙负责管理Internet和机构内部网络之间的访问。在没有防火墙时，内部网络上的每个节点都暴露给Internet上的其它主机，极易受到攻击。这就意味着内部网络的安全性要由每一个主机的坚固程度来决定，并且安全性等同于其中最弱的系统。

2、VIEID

在这个网络生态系统内，每个网络用户都可以相互信任彼此的身份，网络用户也可以自主选择是否拥有电子标识。除了能够增加网络安全，电子标识还可以让网络用户通过创建和应用更多可信的虚拟身份，让网络用户少记甚至完全不用去记那些烦人的密码。

3、数字证书

CA中心采用的是以数字加密技术为核心的数字证书认证技术，通过数字证书，CA中心可以对互联网上所传输的各种信息进行加密、解密、数字签名与签名认证等各种处理，同时也能保障在数字传输的过程中不被不法分子所侵入，或者即使受到侵入也无法查看其中的内容。

㈩ 网络安全分为几个级别

网络安全分为四个级别，详情如下：

1、系统安全

运行系统安全即保证信息处理和传输系统的安全。它侧重于保证系统正常运行。

2、网络的安全

网络上系统信息的安全。包括用户口令鉴别，用户存取权限控制，数据存取权限、方式控制，安全审计。安全问题跟踩。计算机病毒防治，数据加密等。

3、信息传播安全

网络上信息传播安全，即信息传播后果的安全，包括信息过滤等。它侧重于防止和控制由非法、有害的信息进行传播所产生的后果，避免公用网络上大云自由传翰的信息失控。

4、信息内容安全

网络上信息内容的安全。它侧重于保护信息的保密性、真实性和完整性。

(10)网络安全的层次结构扩展阅读

网络安全的影响因素：

自然灾害、意外事故；计算机犯罪； 人为行为，比如使用不当，安全意识差等；黑客” 行为：由于黑客的入侵或侵扰，比如非法访问、拒绝服务计算机病毒、非法连接等；内部泄密；外部泄密；信息丢失；电子谍报，比如信息流量分析、信息窃取等。

网络协议中的缺陷，例如TCP/IP协议的安全问题等等。网络安全威胁主要包括两类：渗入威胁和植入威胁。渗入威胁主要有：假冒、旁路控制、授权侵犯。