【文章內(nèi)容簡介】 ，以及在雙方發(fā)生爭議時進(jìn)行仲裁。 ? 一個安全的網(wǎng)絡(luò)通信必須考慮以下內(nèi)容： ? 實現(xiàn)與安全相關(guān)的信息轉(zhuǎn)換的規(guī)則或算法； ? 用于信息轉(zhuǎn)換算法的秘密信息 (如密鑰 )； ? 秘密信息的分發(fā)和共享； ?使用信息轉(zhuǎn)換算法和秘密信息獲取安全服務(wù)所需的協(xié)議。 網(wǎng)絡(luò)信息安全框架 ? 網(wǎng)絡(luò)信息安全可看成一個由多個安全單元組成的集合。其中，每個單元都是一個整體，包含了多個特性。一般，人們從三個主要特性 安全特性、安全層次和系統(tǒng)單元去理解安全單元。該安全單元集合可用一個三維安全空間描述，如圖 。該三維安全空間反映了信息系統(tǒng)安全需求和安全結(jié)構(gòu)的共性。 系統(tǒng)單元 保 完 可 認(rèn) 密 整 用 證 安全特性 物理 網(wǎng)絡(luò) 系統(tǒng) 應(yīng)用 管理 應(yīng)用級 傳輸層 網(wǎng)絡(luò)層 鏈路層 物理層 OSI安全層次 圖 網(wǎng)絡(luò)信息安全框架 1．安全特性 ? 安全特性 指的是該安全單元可解決什么安全威脅。信息安全特性包括保密性、完整性、可用性和認(rèn)證安全性。 ? 保密性安全 主要是指保護(hù)信息在存儲和傳輸過程中不被未授權(quán)的實體識別。比如，網(wǎng)上傳輸?shù)男庞每ㄙ~號和密碼不被識破。 ? 完整性安全 主要指信息在存儲和傳輸過程中不被未授權(quán)的實體插入、刪除、篡改和重發(fā)等，信息的內(nèi)容不被改變。比如，用戶發(fā)給別人的電子郵件，保證到接收端的內(nèi)容沒有改變?？捎眯园踩侵覆荒苡捎谙到y(tǒng)受到攻擊而使用戶無法正常去訪問他本來有權(quán)正常訪問的資源。比如，保護(hù)郵件服務(wù)器安全不因其遭到 DoS攻擊而無法正常工作，使用戶能正常收發(fā)電子郵件。 ? 認(rèn)證安全性 就是通過某些驗證措施和技術(shù)，防止無權(quán)訪問某些資源的實體通過某種特殊手段進(jìn)入網(wǎng)絡(luò)而進(jìn)行訪問。 2．系統(tǒng)單元 系統(tǒng)單元 是指該安全單元解決什么系統(tǒng)環(huán)境的安全問題。對于現(xiàn)代網(wǎng)絡(luò)，系統(tǒng)單元涉及以下五個不同環(huán)境。 ? 物理單元 。物理單元是指硬件設(shè)備、網(wǎng)絡(luò)設(shè)備等，包含該特性的安全單元解決物理環(huán)境安全問題。 ? 網(wǎng)絡(luò)單元 。網(wǎng)絡(luò)單元是指網(wǎng)絡(luò)傳輸，包含該特性的安全單元解決網(wǎng)絡(luò)協(xié)議造成的網(wǎng)絡(luò)傳輸安全問題。 ? 系統(tǒng)單元 。系統(tǒng)單元是指操作系統(tǒng)，包含該特性的安全單元解決端系統(tǒng)或中間系統(tǒng)的操作系統(tǒng)包含的安全問題。一般是指數(shù)據(jù)和資源在存儲時的安全問題。 ? 應(yīng)用單元 。應(yīng)用單元是指應(yīng)用程序，包含該特性的安全單元解決應(yīng)用程序所包含的安全問題。 ? 管理單元。 管理單元指網(wǎng)絡(luò)安全管理環(huán)境，網(wǎng)絡(luò)管理系統(tǒng)對網(wǎng)絡(luò)資源進(jìn)行安全管理。 OSI網(wǎng)絡(luò)安全體系 1． OSI參考模型及各層的主要功能 OSI參考模型是國際標(biāo)準(zhǔn)化組織 ISO為解決異種機(jī)互連而制定的開放式計算機(jī)網(wǎng)絡(luò)層次結(jié)構(gòu)模型，它的最大優(yōu)點是將服務(wù)、接口和協(xié)議這三個概念明確地區(qū)分開來。 ? ISO提出 OSI參考模型的目的，就是要使在各種終端設(shè)備之間、計算機(jī)之間、網(wǎng)絡(luò)之間、操作系統(tǒng)進(jìn)程之間以及人們之間互相交換信息的過程，能夠逐步實現(xiàn)標(biāo)準(zhǔn)化。參照這種參考模型進(jìn)行網(wǎng)絡(luò)標(biāo)準(zhǔn)化的結(jié)果，就能使得各個系統(tǒng)之間都是“開放”的，而不是封閉的。凡是遵守這一標(biāo)準(zhǔn)化的系統(tǒng)之間都可以互相連接使用。 ISO還希望能夠用這種參考模型來解決不同系統(tǒng)之間的信息交換問題，使不同系統(tǒng)之間也能交互工作，以實現(xiàn)分布式處理。 ? OSI參考模型將計算機(jī)網(wǎng)絡(luò)劃分為七個層次：自下而上分別稱為物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層和應(yīng)用層，如圖 。 OSI參考模型不僅是不同系統(tǒng)互連的體系結(jié)構(gòu)，而且要求支持 OSI標(biāo)準(zhǔn)的各大公司按 OSI標(biāo)準(zhǔn)設(shè)計計算機(jī)網(wǎng)絡(luò)，以便實現(xiàn)網(wǎng)絡(luò)互連。 表示層協(xié)議 應(yīng)用層 表示層 會話層 傳輸層 網(wǎng)絡(luò)層 數(shù)據(jù)鏈路層 物理層 應(yīng)用層 表示層 會話層 傳輸層 網(wǎng)絡(luò)層 數(shù)據(jù)鏈路層 物理層 物 理 媒 體 網(wǎng)絡(luò)層 數(shù)據(jù)鏈路層 物理層 應(yīng)用層協(xié)議 會話層協(xié)議 傳輸層協(xié)議 系統(tǒng) A 系統(tǒng) B 圖 OSI七層參考模型 ? 國際標(biāo)準(zhǔn)化組織 ISO于 1989年 2月公布的ISO74982“網(wǎng)絡(luò)安全體系結(jié)構(gòu)”文件，給出了 OSI參考模型的安全體系結(jié)構(gòu)，簡稱OSI安全體系結(jié)構(gòu)。這是一個普遍適用的安全體系結(jié)構(gòu)，它對具體網(wǎng)絡(luò)的安全體系結(jié)構(gòu)具有指導(dǎo)意義，其核心內(nèi)容是保證異構(gòu)計算機(jī)系統(tǒng)之間遠(yuǎn)距離交換信息的安全。 ? OSI安全體系結(jié)構(gòu)主要包括網(wǎng)絡(luò)安全機(jī)制和網(wǎng)絡(luò)安全服務(wù)兩方面的內(nèi)容，并給出了OSI網(wǎng)絡(luò)層次、安全機(jī)制和安全服務(wù)之間的邏輯關(guān)系。 2．網(wǎng)絡(luò)安全機(jī)制 (1) 加密機(jī)制 (2) 數(shù)字簽名機(jī)制 (3) 訪問控制機(jī)制 (4) 數(shù)據(jù)完整性機(jī)制 (5) 交換鑒別機(jī)制 (6) 信息量填充機(jī)制 (7) 路由控制機(jī)制 (8) 公證機(jī)制 3．網(wǎng)絡(luò)安全服務(wù) (1)鑒別服務(wù) ? 鑒別服務(wù)包括同等實體鑒別和數(shù)據(jù)源鑒別兩種服務(wù)。 ? 使用同等實體鑒別服務(wù)可以對兩個同等實體（用戶或進(jìn)程）在建立連接和開始傳輸數(shù)據(jù)時進(jìn)行身份的合法性和真實性驗證，以防止非法用戶的假冒，也可防止非法用戶偽造連接初始化攻擊。 ? 數(shù)據(jù)源鑒別服務(wù)可對信息源點進(jìn)行鑒別，可確保數(shù)據(jù)是由合法用戶發(fā)出，以防假冒。 (2) 訪問控制服務(wù) 訪問控制包括身份驗證和權(quán)限驗證。訪問控制服務(wù)防止未授權(quán)用戶非法訪問網(wǎng)絡(luò)資源，也防止合法用戶越權(quán)訪問網(wǎng)絡(luò)資源 (3) 數(shù)據(jù)完整性服務(wù) ? 數(shù)據(jù)完整性服務(wù)防止非法用戶對正常數(shù)據(jù)的變更，如修改、插入、延時或刪除，以及在數(shù)據(jù)交換過程中的數(shù)據(jù)丟失。數(shù)據(jù)完整性服務(wù)可分為以下五種情形，通過這些服務(wù)來滿足不同用戶、不同場合對數(shù)據(jù)完整性的要求。 ?帶恢復(fù)功能的面向連接的數(shù)據(jù)完整性； ?不帶恢復(fù)功能的面向連接的數(shù)據(jù)完整性； ?選擇字段面向連接的數(shù)據(jù)完整性； ?選擇字段無連接的數(shù)據(jù)完整性； ?無連接的數(shù)據(jù)完整性。 (4) 數(shù)據(jù)保密性服務(wù) ? 采用數(shù)據(jù)保密性服務(wù)的目的是保護(hù)網(wǎng)絡(luò)中各通信實體之間交換的數(shù)據(jù)，即使被非法攻擊者截獲，也使其無法解讀信息內(nèi)容，以保證信息不失密。該服務(wù)也提供面向連接和無連接兩種數(shù)據(jù)保密方式。保密性服務(wù)還提供給用戶可選字段的數(shù)據(jù)保護(hù)和信息流安全，即對可能從觀察信息流就能推導(dǎo)出的信息提供保護(hù)。信息流安全的目的是確保信息從源點到目的點的整個流通過程的安全。 (5) 非否認(rèn)服務(wù) ? 非否認(rèn)服務(wù)可防止發(fā)送方發(fā)送數(shù)據(jù)后否認(rèn)自己發(fā)送過數(shù)據(jù)，也可防止接收方接收數(shù)據(jù)后否認(rèn)已接收過數(shù)據(jù)。它由兩種服務(wù)組成：一是發(fā)送（源點）非否認(rèn)服務(wù)，二是接收（交付）非否認(rèn)服務(wù)。這實際上是一種數(shù)字簽名服務(wù) 表 與網(wǎng)絡(luò)各層相關(guān)的 OSI安全服務(wù) 安全服務(wù) OSI層次 1 2 3 4 5 6 7 鑒別服務(wù) 同等實體鑒別 N N Y Y N N Y 數(shù)據(jù)源鑒別 N N Y Y N N Y 訪問控制 訪問控制服務(wù) N N Y Y N N Y 數(shù)據(jù)完整性 帶恢復(fù)功能的連接完整性 Y N N Y N N Y 不帶恢復(fù)功能的連接完整性 N N Y Y N N Y 選擇字段連接完整性 N N N N N N Y 選擇字段無連接完整性 N N Y Y N N Y 無連接完整性 N N N N N N Y 數(shù)據(jù)保密性 連接保密性 Y Y Y Y N Y Y 無連接保密性 N Y Y Y N Y