131物理层安全 ●物理层安全威胁主要指网络周边环境和物理特 性引起的网络设备和线路的不可用而造成的网 络系统的不可用。如:设备老化、设备被盗、 意外故障、设备损毁等。由于以太局域网中采 用广播方式,因此,在某个广播域中利用嗅探 器可以在设定的侦听端口侦听到所有的信息包, 并且对信息包进行分析,那么本广播域的信息 传递都会暴露无遗,所以需将两个网络从物理 上隔断,同时保证在逻辑上两个网络能够连通
1.3.1 物理层安全 物理层安全威胁主要指网络周边环境和物理特 性引起的网络设备和线路的不可用而造成的网 络系统的不可用。如:设备老化、设备被盗、 意外故障、设备损毁等。由于以太局域网中采 用广播方式,因此,在某个广播域中利用嗅探 器可以在设定的侦听端口侦听到所有的信息包, 并且对信息包进行分析,那么本广播域的信息 传递都会暴露无遗,所以需将两个网络从物理 上隔断,同时保证在逻辑上两个网络能够连通
132网络层安全 网络层的安全威胁主要有两类伊欺骗和CMP攻击。 P欺骗技术的一种实现方法是把源P地址改成个错误 的P地址,而接收主机不能判断源|P地址的正确性,由 此形成欺骗。另外种方法是利用源路由P数据包,让 它仅仅被用于一个特殊的路径中传输八这种数据包被用 于攻击防火墙。 CMP( Internet控制信息协议)在层检查错误和其他条 件。CMP信息对于判断网络状况非常有用,例如,当 PNG一台主机想看它是否运行时,就产生了一条CMP 信息。远程主机将用它自己的|CMP信息对P|NG请求作 出回应,这种过程在网络中普遍存在。然而,CMP信息 能够被用于攻击远程网络或主机,利用ICMP来消耗带宽 从而有效地摧毁站点
1.3.2 网络层安全 网络层的安全威胁主要有两类:IP欺骗和ICMP 攻击。 IP欺骗技术的一种实现方法是把源IP地址改成一个错误 的IP地址,而接收主机不能判断源IP 地址的正确性,由 此形成欺骗。另外一种方法是利用源路由IP数据包,让 它仅仅被用于一个特殊的路径中传输,这种数据包被用 于攻击防火墙。 ICMP(Internet 控制信息协议)在IP层检查错误和其他条 件。ICMP信息对于判断网络状况非常有用,例如,当 PING一台主机想看它是否运行时,就产生了一条ICMP 信息。远程主机将用它自己的ICMP信息对PING请求作 出回应,这种过程在网络中普遍存在。然而,ICMP信息 能够被用于攻击远程网络或主机,利用ICMP来消耗带宽 从而有效地摧毁站点
133传输层安全 ●具体的传输层安全措施要取决于具体的协议。TLS(传 输层安全)协议在TCP的顶部提供了如身份验证完整 性检验以及机密性保证这样的安全服务。TLS需要为 个连接维持相应的场景 是基于可靠的传输协议 TCP的。由于安全机制与特定的传输协议有关,所以 像密钥管理这样的安全服务可为每种传输协议重复使 用 在 nternet中提供安全服务的一个最初想法便是强化它 的PC(广义的进程间通信)界面,具体做法包括双端实 体的认证,数据加密密钥的交换等。 Netscape通信公 司遵循了这个思路,制定了建立在可靠的传输服务基 础 安全套接层协议(SSL)。SSL版本3(SSL3)主 要包含以下两个协议:SSL记录协议和SSL握手协议
1.3.3 传输层安全 具体的传输层安全措施要取决于具体的协议。TLS(传 输层安全)协议在TCP的顶部提供了如身份验证、完整 性检验以及机密性保证这样的安全服务。TLS需要为 一个连接维持相应的场景,它是基于可靠的传输协议 TCP的。由于安全机制与特定的传输协议有关,所以 像密钥管理这样的安全服务可为每种传输协议重复使 用。 在Internet 中提供安全服务的一个最初想法便是强化它 的IPC(广义的进程间通信)界面,具体做法包括双端实 体的认证,数据加密密钥的交换等。Netscape通信公 司遵循了这个思路,制定了建立在可靠的传输服务基 础上的安全套接层协议(SSL)。SSL版本3(SSL v3)主 要包含以下两个协议:SSL记录协议和SSL握手协议
134应用层安全 ●现在,应用层安全已经被分解成网络层操作系 统、数据库的安全,由于应用系统复杂多样,不 存在一种安全技术能够完全解决一些特殊应用系 统的安全问题。但对一些通用的应用程序,如 Web server程序、所TP服务程序、E-mai服务 程序、浏览器、 MS Office办公软件等,可以通过 互联网扫描服务和系统扫描服务检査应用程序自 身的安全漏洞和由于配置不当造成的安全漏洞, 在最大程度上避免安全隐患
1.3.4 应用层安全 现在,应用层安全已经被分解成网络层、操作系 统、数据库的安全,由于应用系统复杂多样,不 存在一种安全技术能够完全解决一些特殊应用系 统的安全问题。但对一些通用的应用程序,如 Web Server 程序、FTP服务程序、 E-mail服务 程序、浏览器、MS Office办公软件等,可以通过 互联网扫描服务和系统扫描服务检查应用程序自 身的安全漏洞和由于配置不当造成的安全漏洞, 在最大程度上避免安全隐患
14网络安全标准 针对日益严峻的网络安全形势,许多国 家和标准化组织纷纷出台了相关的安全 标准,我们国家也制定了相应的安全标 准,这些标准既有很多相同的部分,也 有各自的特点。其中以美国国防部制定 的可信计算机安全标准( TCSEC)应用最 为广泛
1.4 网络安全标准 针对日益严峻的网络安全形势,许多国 家和标准化组织纷纷出台了相关的安全 标准,我们国家也制定了相应的安全标 准,这些标准既有很多相同的部分,也 有各自的特点。其中以美国国防部制定 的可信计算机安全标准(TCSEC)应用最 为广泛