【文章內(nèi)容簡介】 是指確保網(wǎng)絡(luò)合法用戶能夠按所獲授權(quán)訪問網(wǎng)絡(luò)資源，同時防止對網(wǎng)絡(luò)非授權(quán)訪問的性能。為此要求網(wǎng)絡(luò)具有身份識別、訪問控制，以及對訪問過程進行審計的功能。4：可控性 可控性是指確保合法機構(gòu)按所獲授權(quán)能夠?qū)W(wǎng)絡(luò)及其中的信息與行為進行監(jiān)控的性能。為此要求網(wǎng)絡(luò)具有相應(yīng)的多方面的功能。5： 真實性 真實性又稱不可抵賴性，是指確保接受到的信息不是假冒的，而發(fā)信方無法否認(rèn)所發(fā)信息的性能。為此要求網(wǎng)絡(luò)具有數(shù)字取證、證據(jù)保全等功能。 ？提供有關(guān)形成網(wǎng)絡(luò)安全方案的方法和若干必須遵循的思路、原則和標(biāo)準(zhǔn)。它給出關(guān)于網(wǎng)絡(luò)安全服務(wù)和網(wǎng)絡(luò)安全機制的一般描述方式，以及各種安全服務(wù)與網(wǎng)絡(luò)體系結(jié)構(gòu)層次的對應(yīng)關(guān)系。?1. 對等實體鑒別服務(wù)。作用確保網(wǎng)絡(luò)同一層連續(xù)兩端的對等實體身份真實、合法。2. 訪問控制服務(wù)。作用防止未經(jīng)許可的用戶訪問OSI網(wǎng)絡(luò)的資源。3. 數(shù)據(jù)保密服務(wù)。作用防止未經(jīng)許可暴露網(wǎng)絡(luò)中數(shù)據(jù)的內(nèi)容。4. 數(shù)據(jù)完整性服務(wù)。作用確保接收端收到的信息與發(fā)送端發(fā)出的信息完全一致，防止在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)因網(wǎng)絡(luò)服務(wù)質(zhì)量不良而造成錯誤或丟失，并防止其受到非法實體進行的篡改、刪除、插入等攻擊。5. 數(shù)據(jù)源點鑒別服務(wù)。作用由OSI體系結(jié)構(gòu)的第N層向其上一層即第（N+1）層提供關(guān)于數(shù)據(jù)來源為一對等（N+1）層實體的鑒別。6. 抗抵賴性服務(wù)。作用防止數(shù)據(jù)的發(fā)送者否認(rèn)曾經(jīng)發(fā)送過該數(shù)據(jù)或數(shù)據(jù)中的內(nèi)容，防止數(shù)據(jù)的接收者否認(rèn)曾經(jīng)收到過該數(shù)據(jù)或數(shù)據(jù)中的內(nèi)容。？為了實現(xiàn)6種安全服務(wù)，ISO 74082中制定了支持安全服務(wù)的8種安全機制，它們分別是：1. 加密機制（Enciphrement Mechanisms）2. 數(shù)字簽名機制（Digital Signature Mechanisms）3. 訪問控制機制（Access Control Mechanisms）4. 數(shù)據(jù)完整性機制（Data Integrity Mechanisms）5. 鑒別交換機制（Authentication Mechanisms）6. 通信業(yè)務(wù)填充機制（Traffic Padding Mechanisms）7. 路由控制機制（Routing Control Mechanisms）8. 公證機制（Notarization Mechanisms）　美國NCSC 的“可信計算機系統(tǒng)評估標(biāo)準(zhǔn)”將計算機系統(tǒng)的安全等級分為哪些檔和等級？1983年美國國防部提出了一套《可信計算機系統(tǒng)評估標(biāo)準(zhǔn)》（TCSEC，Trusted Computer System Evaluation Criteria），將計算機系統(tǒng)的可信程度，即安全等級劃分為D、C、B、A四類8級，由低到高。1. D檔位無保護檔級，是最安全等級的最低檔，只有一個級別，即D級；2. C級分為C1和C2兩個子級，C2比C1提供更多的保護；3. B級分為BB2和B3共3個子級，由低到高；4. A檔位驗證保護檔級。分為兩個安全等級，為A1級和超A1級；每級包括它下級的所有特性，從最簡單的系統(tǒng)安全特性直到最高級的計算機安全模型技術(shù)，不同計算機信息系統(tǒng)可以根據(jù)需要和可能選用不同安全保密強度的不同標(biāo)準(zhǔn)。防火墻32　設(shè)置防火墻目的是什么？防火墻的功能和局限性各有哪些？通常應(yīng)用防火墻的目的有以下幾個方面：限制他人進入內(nèi)部網(wǎng)絡(luò)；過濾掉不安全的服務(wù)和非法用戶；防止入侵者接近用戶的防御設(shè)施；限定人們訪問特殊站點；為監(jiān)視局域網(wǎng)安全提供方便。無論何種類型防火墻，從總體上看，都應(yīng)具有以下五大基本功能：過濾進、出網(wǎng)絡(luò)的數(shù)據(jù)；管理進、出網(wǎng)絡(luò)的訪問行為；封堵某些禁止的業(yè)務(wù)；記錄通過防火墻的信息內(nèi)容和活動；對網(wǎng)絡(luò)攻擊的檢測和告警。防火墻的主要功能就是控制對受保護網(wǎng)絡(luò)的非法訪問，它通過監(jiān)視、限制、更改通過網(wǎng)絡(luò)的數(shù)據(jù)流，一方面盡可能屏蔽內(nèi)部網(wǎng)的拓撲結(jié)構(gòu)，另一方面對內(nèi)屏蔽外部危險站點，用以防范外對內(nèi)、內(nèi)對外的非法訪問。防火墻的局限性：1．防火墻防外不防內(nèi)、2．網(wǎng)絡(luò)應(yīng)用受到結(jié)構(gòu)性限制、3．防火墻難于管理和配置，易造成安全漏洞、4．效率較低、故障率高、5．很難為用戶在防火墻內(nèi)外提供一致的安全策略、6．防火墻只實現(xiàn)了粗粒度的訪問控制。33　簡述防火墻的發(fā)展動態(tài)和趨勢。防火墻技術(shù)發(fā)展動態(tài)和趨勢：（1）優(yōu)良的性能、（2）可擴展的結(jié)構(gòu)和功能、（3）簡化的安裝與管理、（4）主動過濾、（5）防病毒與防黑客。未來防火墻技術(shù)會全面考慮網(wǎng)絡(luò)的安全、操作系統(tǒng)的安全、應(yīng)用程序的安全、用戶的安全、數(shù)據(jù)的安全等五個方面。34　試述包過濾防火墻的原理及特點。靜態(tài)包過濾和動態(tài)包過濾有什么區(qū)別？數(shù)據(jù)包過濾（Packet Filtering）技術(shù)是防火墻為系統(tǒng)提供安全保障的主要技術(shù)，它通過設(shè)備對進出網(wǎng)絡(luò)的數(shù)據(jù)流進行有選擇地控制與操作。包過濾操作一般都是在選擇路由的同時在網(wǎng)絡(luò)層對數(shù)據(jù)包進行選擇或過濾（通常是對從Internet進入到內(nèi)部網(wǎng)絡(luò)的包進行過濾）。選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯，被稱為訪問控制表（Access Control Table）或規(guī)則表。規(guī)則表指定允許哪些類型的數(shù)據(jù)包可以流入或流出內(nèi)部網(wǎng)絡(luò)。包過濾的優(yōu)點：1）不用改動應(yīng)用程序、2）一個過濾路由器能協(xié)助保護整個網(wǎng)絡(luò)、3）數(shù)據(jù)包過濾對用戶透明、4）過濾路由器速度快、效率高。包過濾的缺點：1）不能徹底防止地址欺騙、2）一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過濾、3）正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安全策略、4）安全性較差、5）數(shù)據(jù)包工具存在很多局限性。1）靜態(tài)包過濾。一般防火墻的包過濾的過濾規(guī)則是在啟動時配置好的，只有系統(tǒng)管理員才可以修改，是靜態(tài)存在的，稱為靜態(tài)規(guī)則。利用靜態(tài)包過濾規(guī)則建立的防火墻就叫靜態(tài)包過濾防火墻，這種類型的防火墻根據(jù)定義好的過濾規(guī)則審查每個數(shù)據(jù)包，即與規(guī)則表進行比較，以便確定其是否與某一條包過濾規(guī)則匹配。2）動態(tài)包過濾。采用這種技術(shù)的防火墻對通過其建立的每一個連接都進行跟蹤，并且根據(jù)需要可動態(tài)地在過濾規(guī)則中增加或更新條目。即采用了基于連接狀態(tài)的檢查和動態(tài)設(shè)置包過濾規(guī)則的方法，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，通過規(guī)則表與連接狀態(tài)表的共同配合進行檢查。動態(tài)過濾規(guī)則技術(shù)避免了靜態(tài)包過濾所具有的問題，使防火墻彌補了許多不安全的隱患，在最大程度上降低了黑客攻擊的成功率，從而大大提高了系統(tǒng)的性能和安全性。35　試述代理防火墻的原理及特點。應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)有什么區(qū)別？當(dāng)代理服務(wù)器得到一個客戶的連接意圖時，它將核實客戶請求，并用特定的安全化的Proxy應(yīng)用程序來處理連接請求，將處理后的請求傳遞到真實的服務(wù)器上，然后接受服務(wù)器應(yīng)答，并做進一步處理后，將答復(fù)交給發(fā)出請求的最終客戶。代理防火墻工作于應(yīng)用層，且針對特定的應(yīng)用層協(xié)議。代理防火墻通過編程來弄清用戶應(yīng)用層的流量，并能在用戶層和應(yīng)用協(xié)議層間提供訪問控制；而且，還可用來保持一個所有應(yīng)用程序使用的記錄。代理技術(shù)的優(yōu)點：1）代理易于配置、2）代理能生成各項記錄、3）代理能靈活、完全地控制進出流量、內(nèi)容、4）代理能過濾數(shù)據(jù)內(nèi)容、5）代理能為用戶提