信息安全體系架構(gòu) 花瓶 包含哪些

一、信息安全體系架構(gòu) 花瓶 包含：

成都創(chuàng)新互聯(lián)公司于2013年創(chuàng)立，是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司，擁有項目成都網(wǎng)站建設(shè)、成都網(wǎng)站設(shè)計網(wǎng)站策劃，項目實施與項目整合能力。我們以讓每一個夢想脫穎而出為使命，1280元寶雞做網(wǎng)站,已為上家服務(wù),為寶雞各地企業(yè)和個人服務(wù),聯(lián)系電話:18982081108

三大體系：防護(hù)體系、監(jiān)控體系、 信任體系。

二、“花瓶模型V3.0”的由來

1、花瓶模型(V2.0)是從時間維度去解讀信息安全架構(gòu)，是以安全事件為主線，從安全事件的發(fā)生過程，給出了對應(yīng)的安全措施:發(fā)生前部署防護(hù)策略，發(fā)生中監(jiān)控異常與應(yīng)急處理，發(fā)生后審計取證與調(diào)整升級，這是一個可循環(huán)的、動態(tài)的安全防護(hù)體系。

2、從空間的維度看，網(wǎng)絡(luò)分為外部與內(nèi)部，內(nèi)部有分為服務(wù)區(qū)域與用戶區(qū)域，服務(wù)區(qū)域有分為服務(wù)提供區(qū)域與維護(hù)管理區(qū)域。安全架構(gòu)的目標(biāo)是:既要防止外部的“入侵與攻擊”，又要防止內(nèi)部的“有意與無意的破壞”，安全結(jié)構(gòu)分為“防護(hù)-監(jiān)控-信任”三大體系，對應(yīng)為邊界上的防護(hù)、內(nèi)部網(wǎng)絡(luò)的監(jiān)控、內(nèi)部人員的信任管理，我們稱為“花瓶模型V3.0”

三、三大體系的具體解釋

1、防護(hù)體系:

抵御外部的攻擊與入侵是網(wǎng)絡(luò)安全的基本保障基線，防護(hù)體系就是構(gòu)筑網(wǎng)絡(luò)邊防線。防護(hù)的關(guān)鍵點(diǎn)在網(wǎng)絡(luò)的“邊界”，也就是進(jìn)出網(wǎng)絡(luò)的比經(jīng)關(guān)口點(diǎn)，通常有下面幾個地方:

（1）網(wǎng)絡(luò)出入口:一般是局域網(wǎng)與廣域網(wǎng)的接口，通常是與互聯(lián)網(wǎng)的出口，不僅是外部入侵的通道，還是外部攻擊(如DDOS)的通常目標(biāo)。

（2）終端:用戶訪問網(wǎng)絡(luò)資源的入口，也是病毒、木馬傳播的匯集地。

（3）服務(wù)器:普通人員只能通過應(yīng)用訪問到服務(wù)器，而維護(hù)人員則可以直接訪問服務(wù)器，尤其是大型服務(wù)器設(shè)備，廠家提供遠(yuǎn)程管理維護(hù)，任何“誤操作”與“好奇”都可能成為“災(zāi)難”擴(kuò)散點(diǎn)，當(dāng)然這里也是高級黑客經(jīng)常光顧的地方，也外部攻擊的常見目標(biāo)之一。

（4） 數(shù)據(jù)交換區(qū):為了網(wǎng)絡(luò)有效隔離，建立網(wǎng)絡(luò)間的數(shù)據(jù)專用過渡區(qū)，成為網(wǎng)絡(luò)互聯(lián)的“流量凈化池”，眾矢之的，當(dāng)然也是入侵者“展示”其技術(shù)的地方。

（5）安全子域的邊界:把大網(wǎng)絡(luò)劃分為小的區(qū)塊(常見的安全域“3+1劃分”模式:服務(wù)域、核心域、接入域、管理域)，在子域邊界上安裝“安全門”，可以避免一個區(qū)域的安全問題，波及到其它區(qū)域。

這五個“邊界點(diǎn)”的防護(hù)體系部署的重點(diǎn)，稱為“五邊界”。

防護(hù)體系的主要工作是根據(jù)安全策略，部署相應(yīng)的安全措施。邊界一般都是網(wǎng)絡(luò)接口，所以網(wǎng)絡(luò)層的安全措施為多，如FW/IPS/AV/UTM/VPN/防垃圾/網(wǎng)閘等，Web服務(wù)前還有WAF/防DDOS等，優(yōu)化服務(wù)一般還選擇流量控制/流量壓縮等設(shè)備;網(wǎng)絡(luò)防護(hù)的同時，終端與服務(wù)器上還需要安裝防病毒、防木馬等基本安全軟件;另外，終端與服務(wù)器的補(bǔ)丁管理(系統(tǒng)與應(yīng)用)，病毒庫、攻擊庫的及時升級，都是提供自身免疫能力的保證，在防護(hù)體系中是不可或缺的。

2、監(jiān)控體系:

監(jiān)控體系的任務(wù)是發(fā)現(xiàn)異常，揪出“黑手”，從設(shè)備狀態(tài)到網(wǎng)絡(luò)流量、從服務(wù)性能到用戶行為的各種“可疑”點(diǎn)，全局報警，及時應(yīng)對。監(jiān)控體系的目標(biāo)是做到網(wǎng)絡(luò)的可控性，可控就是安全的保證。

監(jiān)控的特點(diǎn)是點(diǎn)越細(xì)越好、范圍越全面越好。安全需要監(jiān)控的層面很多，我們一般采用“先中心、后邊緣，先重點(diǎn)，后一般”的策略，具體監(jiān)控的內(nèi)容如下:

（1）入侵監(jiān)控:黑客、木馬、蠕蟲、病毒是安全監(jiān)控的重點(diǎn)，它們的特點(diǎn)是有“活體特征”，在沒有發(fā)作的傳播階段，就可以發(fā)現(xiàn)。在網(wǎng)絡(luò)的核心、匯聚點(diǎn)要部署網(wǎng)絡(luò)層的監(jiān)控體系，同時還要對服務(wù)器、終端主機(jī)上進(jìn)行監(jiān)控，尤其是隱藏在應(yīng)用、加密通道內(nèi)部的入侵行為。網(wǎng)絡(luò)IDS與主機(jī)IDS是相互配合的監(jiān)控體系，是不可分割的.

（2）異常監(jiān)控:對“破壞行為”、“偷盜行為”的及時發(fā)現(xiàn)，是減少損失的前提。這里的“異常”有兩種表現(xiàn)方式：一是不合乎常規(guī)邏輯的動作，如建立你沒有想訪問站點(diǎn)的連接，可能就是木馬在“回家”的操作;你沒有網(wǎng)絡(luò)應(yīng)用，網(wǎng)卡卻忙碌不止，也許是蠕蟲已經(jīng)發(fā)作。二是與以前相同條件下表現(xiàn)的不同，如下班時間突然有訪問核心數(shù)據(jù)庫的行為，休息時間的網(wǎng)絡(luò)流量突然增大，異常往往是破壞行為的開始，發(fā)現(xiàn)越早，損失會越小。

（3）狀態(tài)監(jiān)控:網(wǎng)絡(luò)是IT信息系統(tǒng)的承載，網(wǎng)絡(luò)設(shè)備的正常運(yùn)行是業(yè)務(wù)服務(wù)正常的保障，需要了解的狀態(tài)信息有:網(wǎng)絡(luò)設(shè)備的狀態(tài)、服務(wù)器的狀態(tài)、終端的狀態(tài)，也包括它們運(yùn)行工作的動態(tài)信息，如CPU的占有率、進(jìn)程的生死、硬盤空間的剩余等.

（4）流量監(jiān)控:網(wǎng)絡(luò)是信息流，流量的動態(tài)變化往往是網(wǎng)絡(luò)安全狀態(tài)的晴雨表，若能及時顯示網(wǎng)絡(luò)核心到匯聚的流量分布，也是業(yè)務(wù)調(diào)配管理的重要依據(jù)，這有些像城市的交通管理，流量的牽引是避免擁堵的重要手段。流量好比是網(wǎng)絡(luò)的公共安全，當(dāng)然攻擊破壞往往也是從制造流量擁堵開始的.

（5）行為監(jiān)控:這個要求主要是針對有保密信息的安全需求，多數(shù)是內(nèi)部人員的監(jiān)守自盜或“無意”丟失，信息泄密是保護(hù)的重點(diǎn)，需要安裝非法外聯(lián)、移動介質(zhì)使用監(jiān)控等措施。網(wǎng)絡(luò)數(shù)據(jù)是電子化的，數(shù)據(jù)在處理的過程中，拷貝、打印、郵件時，都可能泄露出去，所以對終端、服務(wù)器的各種外聯(lián)接口行為進(jìn)行監(jiān)控是必需的.

這五種行為、狀態(tài)的監(jiān)控是監(jiān)控體系關(guān)注的重點(diǎn)，我們稱為“五控點(diǎn)”。

監(jiān)控體系是網(wǎng)絡(luò)的“視頻監(jiān)控”系統(tǒng)，不僅是為了及時發(fā)現(xiàn)“異?！?，及時調(diào)整，而且可以在處理安全事件的時候，作為即使了解現(xiàn)場反饋，反映網(wǎng)絡(luò)安全態(tài)勢的應(yīng)急調(diào)度平臺。

3、信任體系:

信任體系的核心就是對每個用戶的權(quán)限進(jìn)行定義，限制你在網(wǎng)絡(luò)中的各種行為，超出權(quán)限的動作就是“違法”行為。信任體系面對的都是“良民”，所以網(wǎng)絡(luò)層面的控制措施一般難有作為，而更多的是深入業(yè)務(wù)應(yīng)用系統(tǒng)內(nèi)的安全架構(gòu)，因為目前的業(yè)務(wù)系統(tǒng)逐漸龐大，往往是限制你可以訪問一個應(yīng)用的某些功能，而不是全部，后者系統(tǒng)的某些數(shù)據(jù)不限制你的訪問，僅僅控制你可訪問的服務(wù)器業(yè)務(wù)系統(tǒng)，已經(jīng)很難到達(dá)目的了。

信任體系的起點(diǎn)是用戶，不是終端，這一點(diǎn)與手機(jī)不一樣。所以我們先把用戶分一下類:

（1）普通用戶:網(wǎng)絡(luò)的一般用戶，只能通過業(yè)務(wù)服務(wù)提供的通道訪問，行為上比較容易控制，主要是終端上的安全管理，由于點(diǎn)多人雜，管理比較復(fù)雜。

（2）特殊用戶:領(lǐng)導(dǎo)的特殊需求，或為了適應(yīng)業(yè)務(wù)靈活性組成的臨時工作組(SOA架構(gòu)模式下經(jīng)常出現(xiàn)的)，它們工作跨部門、跨服務(wù)，需要打通很多網(wǎng)絡(luò)控制，防火墻等安全防護(hù)體系對它們來說，很“合理”地穿透，安全體系上很容易產(chǎn)生權(quán)限定義的漏洞.

（3）系統(tǒng)管理員:他們是系統(tǒng)的特殊使用人群，不僅可以從業(yè)務(wù)訪問通道訪問業(yè)務(wù)服務(wù)器，而且可以直接登陸服務(wù)器或各種安全設(shè)備，它們有建立帳號與更改權(quán)限的特殊權(quán)利。

（4）第三方維護(hù)人員:這是一個不可忽視的群體，IT系統(tǒng)比較復(fù)雜，技術(shù)含量高。廠家與開發(fā)商的維護(hù)是不可避免的，很多業(yè)務(wù)系統(tǒng)是邊上線使用邊開發(fā)調(diào)整的，它們一般很容易取得系統(tǒng)管理員的權(quán)限，甚至更高的權(quán)限(如廠家后門、系統(tǒng)調(diào)試代碼等)，它們在線上的誤操作可能導(dǎo)致整個系統(tǒng)的災(zāi)難，它們有很多窺視保密數(shù)據(jù)的機(jī)會與時間。

信任體系是一個過程的管理，可以分為用戶登錄、訪問控制、行為審計三個過程，用戶登錄時需要身份鑒別，驗證用戶的身份;訪問控制時需要驗證用戶的權(quán)限，驗證是否有訪問的權(quán)利;行為審計時需要驗證用戶的動作是否符合要，是否合乎規(guī)定，最后完成驗證-授權(quán)-取證的過程，我們稱為“三驗證”。

四、信息安全體系架構(gòu) 花瓶的作用

從“網(wǎng)絡(luò)空間”上分析，安全架構(gòu)為“防護(hù)-監(jiān)控-信任”三大體系，防護(hù)體系分為“五邊界”部署，監(jiān)控體系內(nèi)含有“五控點(diǎn)”監(jiān)控，信任體系分為“三驗證”過程。

三個體系關(guān)注安全的重點(diǎn)不同，使用的技術(shù)不同，大部分網(wǎng)絡(luò)對邊界防護(hù)比較關(guān)注，對信任體系大多停留在網(wǎng)絡(luò)登錄的身份認(rèn)證層次上，與應(yīng)用的結(jié)合、授權(quán)管理目前都處于剛起步階段;監(jiān)控體系是一個長期的、持續(xù)的、但又不容易看到效果的的工作，但隨著網(wǎng)絡(luò)災(zāi)難的增多，全網(wǎng)絡(luò)的監(jiān)控體系已經(jīng)逐漸被人們認(rèn)知。

“花瓶”模型提供了安全架構(gòu)，同時體現(xiàn)了這三個體系的相互配合、缺一不可。在網(wǎng)絡(luò)這個虛擬的、無所不在的“世界”里，建立一個安全的、和諧的“生活環(huán)境”，與現(xiàn)實社會是一樣重要的。

網(wǎng)絡(luò)安全技術(shù)機(jī)制主要有哪些

建議樓主去非黑客論壇看看 里面有很多值得學(xué)習(xí)的地方

有三種網(wǎng)絡(luò)安全機(jī)制。 概述：

隨著TCP/IP協(xié)議群在互聯(lián)網(wǎng)上的廣泛采用，信息技術(shù)與網(wǎng)絡(luò)技術(shù)得到了飛速發(fā)展。隨之而來的是安全風(fēng)險問題的急劇增加。為了保護(hù)國家公眾信息網(wǎng)以及企業(yè)內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)信息和數(shù)據(jù)的安全，要大力發(fā)展基于信息網(wǎng)絡(luò)的安全技術(shù)。

信息與網(wǎng)絡(luò)安全技術(shù)的目標(biāo)

由于互聯(lián)網(wǎng)的開放性、連通性和自由性，用戶在享受各類共有信息資源的同事，也存在著自己的秘密信息可能被侵犯或被惡意破壞的危險。信息安全的目標(biāo)就是保護(hù)有可能被侵犯或破壞的機(jī)密信息不被外界非法操作者的控制。具體要達(dá)到：保密性、完整性、可用性、可控性等目標(biāo)。

網(wǎng)絡(luò)安全體系結(jié)構(gòu)

國際標(biāo)準(zhǔn)化組織（ISO）在開放系統(tǒng)互聯(lián)參考模型（OSI/RM）的基礎(chǔ)上，于1989年制定了在OSI環(huán)境下解決網(wǎng)絡(luò)安全的規(guī)則：安全體系結(jié)構(gòu)。它擴(kuò)充了基本參考模型，加入了安全問題的各個方面，為開放系統(tǒng)的安全通信提供了一種概念性、功能性及一致性的途徑。OSI安全體系包含七個層次：物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層和應(yīng)用層。在各層次間進(jìn)行的安全機(jī)制有：

1、加密機(jī)制

衡量一個加密技術(shù)的可靠性，主要取決于解密過程的難度，而這取決于密鑰的長度和算法。

1）對稱密鑰加密體制對稱密鑰加密技術(shù)使用相同的密鑰對數(shù)據(jù)進(jìn)行加密和解密，發(fā)送者和接收者用相同的密鑰。對稱密鑰加密技術(shù)的典型算法是DES（Data Encryption Standard數(shù)據(jù)加密標(biāo)準(zhǔn)）。DES的密鑰長度為56bit，其加密算法是公開的，其保密性僅取決于對密鑰的保密。優(yōu)點(diǎn)是：加密處理簡單，加密解密速度快。缺點(diǎn)是：密鑰管理困難。

2）非對稱密鑰加密體制非對稱密鑰加密系統(tǒng)，又稱公鑰和私鑰系統(tǒng)。其特點(diǎn)是加密和解密使用不同的密鑰。

（1）非對稱加密系統(tǒng)的關(guān)鍵是尋找對應(yīng)的公鑰和私鑰，并運(yùn)用某種數(shù)學(xué)方法使得加密過程成為一個不可逆過程，即用公鑰加密的信息只能用與該公鑰配對的私鑰才能解密；反之亦然。

（2）非對稱密鑰加密的典型算法是RSA。RSA算法的理論基礎(chǔ)是數(shù)論的歐拉定律，其安全性是基于大數(shù)分解的困難性。

優(yōu)點(diǎn)：（1）解決了密鑰管理問題，通過特有的密鑰發(fā)放體制，使得當(dāng)用戶數(shù)大幅度增加時，密鑰也不會向外擴(kuò)散；（2）由于密鑰已事先分配，不需要在通信過程中傳輸密鑰，安全性大大提高；（3）具有很高的加密強(qiáng)度。

缺點(diǎn)：加密、解密的速度較慢。

2、安全認(rèn)證機(jī)制

在電子商務(wù)活動中，為保證商務(wù)、交易及支付活動的真實可靠，需要有一種機(jī)制來驗證活動中各方的真實身份。安全認(rèn)證是維持電子商務(wù)活動正常進(jìn)行的保證，它涉及到安全管理、加密處理、PKI及認(rèn)證管理等重要問題。目前已經(jīng)有一套完整的技術(shù)解決方案可以應(yīng)用。采用國際通用的PKI技術(shù)、X.509證書標(biāo)準(zhǔn)和X.500信息發(fā)布標(biāo)準(zhǔn)等技術(shù)標(biāo)準(zhǔn)可以安全發(fā)放證書，進(jìn)行安全認(rèn)證。當(dāng)然，認(rèn)證機(jī)制還需要法律法規(guī)支持。安全認(rèn)證需要的法律問題包括信用立法、電子簽名法、電子交易法、認(rèn)證管理法律等。

1）數(shù)字摘要

數(shù)字摘要采用單向Hash函數(shù)對信息進(jìn)行某種變換運(yùn)算得到固定長度的摘要，并在傳輸信息時將之加入文件一同送給接收方；接收方收到文件后，用相同的方法進(jìn)行變換運(yùn)算得到另一個摘要；然后將自己運(yùn)算得到的摘要與發(fā)送過來的摘要進(jìn)行比較。這種方法可以驗證數(shù)據(jù)的完整性。

2）數(shù)字信封

數(shù)字信封用加密技術(shù)來保證只有特定的收信人才能閱讀信的內(nèi)容。具體方法是：信息發(fā)送方采用對稱密鑰來加密信息，然后再用接收方的公鑰來加密此對稱密鑰（這部分稱為數(shù)字信封），再將它和信息一起發(fā)送給接收方；接收方先用相應(yīng)的私鑰打開數(shù)字信封，得到對稱密鑰，然后使用對稱密鑰再解開信息。

3）數(shù)字簽名

數(shù)字簽名是指發(fā)送方以電子形式簽名一個消息或文件，表示簽名人對該消息或文件的內(nèi)容負(fù)有責(zé)任。數(shù)字簽名綜合使用了數(shù)字摘要和非對稱加密技術(shù)，可以在保證數(shù)據(jù)完整性的同時保證數(shù)據(jù)的真實性。

4）數(shù)字時間戳

數(shù)字時間戳服務(wù)（DTS）是提供電子文件發(fā)表時間認(rèn)證的網(wǎng)絡(luò)安全服務(wù)。它由專門的機(jī)構(gòu)（DTS）提供。

5）數(shù)字證書

數(shù)字證書（Digital ID）含有證書持有者的有關(guān)信息，是在網(wǎng)絡(luò)上證明證書持有者身份的數(shù)字標(biāo)識，它由權(quán)威的認(rèn)證中心（CA）頒發(fā)。CA是一個專門驗證交易各方身份的權(quán)威機(jī)構(gòu)，它向涉及交易的實體頒發(fā)數(shù)字證書。數(shù)字證書由CA做了數(shù)字簽名，任何第三方都無法修改證書內(nèi)容。交易各方通過出示自己的數(shù)字證書來證明自己的身份。

在電子商務(wù)中，數(shù)字證書主要有客戶證書、商家證書兩種?？蛻糇C書用于證明電子商務(wù)活動中客戶端的身份，一般安裝在客戶瀏覽器上。商家證書簽發(fā)給向客戶提供服務(wù)的商家，一般安裝在商家的服務(wù)器中，用于向客戶證明商家的合法身份。

3、訪問控制策略

訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問。它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。各種安全策略必須相互配合才能真正起到保護(hù)作用。下面我們分述幾種常見的訪問控制策略。

1）入網(wǎng)訪問控制

入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，以及用戶入網(wǎng)時間和入網(wǎng)地點(diǎn)。

用戶的入網(wǎng)訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的缺省限制檢查。只有通過各道關(guān)卡，該用戶才能順利入網(wǎng)。

對用戶名和口令進(jìn)行驗證是防止非法訪問的首道防線。用戶登錄時，首先輸入用戶名和口令，服務(wù)器將驗證所輸入的用戶名是否合法。如果驗證合法，才繼續(xù)驗證輸入的口令，否則，用戶將被拒之網(wǎng)絡(luò)之外。用戶口令是用戶入網(wǎng)的關(guān)鍵所在。為保證口令的安全性，口令不能顯示在顯示屏上，口令長度應(yīng)不少于6個字符，口令字符最好是數(shù)字、字母和其他字符的混合，用戶口令必須經(jīng)過加密，加密的方法很多，其中最常見的方法有：基于單向函數(shù)的口令加密，基于測試模式的口令加密，基于公鑰加密方案的口令加密，基于平方剩余的口令加密，基于多項式共享的口令加密，基于數(shù)字簽名方案的口令加密等。用戶還可采用一次性用戶口令，也可用便攜式驗證器（如智能卡）來驗證用戶的身份。

2）網(wǎng)絡(luò)的權(quán)限控制

網(wǎng)絡(luò)的權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。用戶和用戶組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。我們可以根據(jù)訪問權(quán)限將用戶分為以下幾類：（1）特殊用戶（即系統(tǒng)管理員）；（2）一般用戶，系統(tǒng)管理員根據(jù)他們的實際需要為他們分配操作權(quán)限；（3）審計用戶，負(fù)責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計。用戶對網(wǎng)絡(luò)資源的訪問權(quán)限可以用一個訪問控制表來描述。

3）目錄級安全控制

網(wǎng)絡(luò)應(yīng)允許控制用戶對目錄、文件、設(shè)備的訪問。用戶在月錄一級指定的權(quán)限對所有文件和子目錄有效，用戶還可進(jìn)一步指定對目錄下的子目錄和文件的權(quán)限。對目錄和文件的訪問權(quán)限一般有八種：系統(tǒng)管理員權(quán)限（Supervisor）、讀權(quán)限（Read）、寫權(quán)限（Write）、創(chuàng)建權(quán)限（Create）、刪除權(quán)限（Erase）、修改權(quán)限（MOdify）、文件查找權(quán)限（FileScan）、存取控制權(quán)限（AccessControl）。用戶對文件或目標(biāo)的有效權(quán)限取決于以下二個因素：用戶的受托者指派、用戶所在組的受托者指派、繼承權(quán)限屏蔽取消的用戶權(quán)限。一個網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)當(dāng)為用戶指定適當(dāng)?shù)脑L問權(quán)限，這些訪問權(quán)限控制著用戶對服務(wù)器的訪問。八種訪問權(quán)限的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對服務(wù)器資源的訪問，從而加強(qiáng)了網(wǎng)絡(luò)和服務(wù)器的安全性。

隨著計算機(jī)技術(shù)和通信技術(shù)的發(fā)展，計算機(jī)網(wǎng)絡(luò)將日益成為工業(yè)、農(nóng)業(yè)和國防等方面的重要信息交換手段，滲透到社會生活的各個領(lǐng)域。因此，認(rèn)清網(wǎng)絡(luò)的脆弱性和潛在威脅，采取強(qiáng)有力的安全策略，對于保障網(wǎng)絡(luò)信息傳輸?shù)陌踩詫⒆兊檬种匾?/p>

網(wǎng)絡(luò)安全體系包括哪些方面

大型復(fù)雜的網(wǎng)絡(luò)必須有一個全面的網(wǎng)絡(luò)安全體系。

一、防火墻技術(shù)

在網(wǎng)關(guān)上安裝防火墻，分組過濾和ip偽裝，監(jiān)視網(wǎng)絡(luò)內(nèi)外的通信。

二、用戶身份驗證技術(shù)

不同用戶分設(shè)不同權(quán)限，并定期檢查。

三、入侵檢測技術(shù)

四、口令管理

每個用戶設(shè)置口令，定義口令存活期，不準(zhǔn)使用簡單數(shù)字、英文等

五、病毒防護(hù)

建立病毒防火墻，安裝殺毒軟件，及時查殺服務(wù)器和終端；限制共享目錄及讀寫權(quán)限；限制網(wǎng)上下載和盜版軟件使用；

六、系統(tǒng)管理

及時打系統(tǒng)補(bǔ)丁；定期對服務(wù)器安全評估，修補(bǔ)漏洞；禁止從軟盤、光驅(qū)引導(dǎo)；設(shè)置開機(jī)口令（cmos中）；設(shè)置屏保口令；nt系統(tǒng)中使用ntfs格式；刪除不用賬戶；

七、硬件管理

八、代理技術(shù)

在路由器后面使用代理服務(wù)器，兩網(wǎng)卡一個對內(nèi)，一個對外，建立物理隔離，并隱藏內(nèi)網(wǎng)ip。

九、系統(tǒng)使用雙機(jī)冗余、磁盤陳列技術(shù)。

互聯(lián)網(wǎng)的體系結(jié)構(gòu)包括什么

第一層：物理層（PhysicalLayer)

規(guī)定通信設(shè)備的機(jī)械的、電氣的、功能的和規(guī)程的特性，用以建立、維護(hù)和拆除物理鏈路連接。具體地講，機(jī)械特性規(guī)定了網(wǎng)絡(luò)連接時所需接插件的規(guī)格尺寸、引腳數(shù)量和排列情況等；電氣特性規(guī)定了在物理連接上傳輸bit流時線路上信號電平的大小、阻抗匹配、傳輸速率距離限制等；

第二層：數(shù)據(jù)鏈路層（DataLinkLayer)

在物理層提供比特流服務(wù)的基礎(chǔ)上，建立相鄰結(jié)點(diǎn)之間的數(shù)據(jù)鏈路，通過差錯控制提供數(shù)據(jù)幀（Frame）在信道上無差錯的傳輸，并進(jìn)行各電路上的動作系列。

第三層：網(wǎng)絡(luò)層(Network layer)

在計算機(jī)網(wǎng)絡(luò)中進(jìn)行通信的兩個計算機(jī)之間可能會經(jīng)過很多個數(shù)據(jù)鏈路，也可能還要經(jīng)過很多通信子網(wǎng)。網(wǎng)絡(luò)層的任務(wù)就是選擇合適的網(wǎng)間路由和交換結(jié)點(diǎn)，確保數(shù)據(jù)及時傳送。網(wǎng)絡(luò)層將數(shù)據(jù)鏈路層提供的幀組成數(shù)據(jù)包，包中封裝有網(wǎng)絡(luò)層包頭，其中含有邏輯地址信息- -源站點(diǎn)和目的站點(diǎn)地址的網(wǎng)絡(luò)地址。

第四層：傳輸層(Transport layer)

第4層的數(shù)據(jù)單元也稱作處理信息的傳輸層(Transport layer)。但是，當(dāng)你談?wù)揟CP等具體的協(xié)議時又有特殊的叫法，TCP的數(shù)據(jù)單元稱為段（segments）而UDP協(xié)議的數(shù)據(jù)單元稱為“數(shù)據(jù)報（datagrams）”。這個層負(fù)責(zé)獲取全部信息，因此，它必須跟蹤數(shù)據(jù)單元碎片、亂序到達(dá)的數(shù)據(jù)包和其它在傳輸過程中可能發(fā)生的危險。

第五層：會話層(Session layer)

這一層也可以稱為會晤層或?qū)υ拰樱跁拰蛹耙陨系母邔哟沃?，?shù)據(jù)傳送的單位不再另外命名，統(tǒng)稱為報文。會話層不參與具體的傳輸，它提供包括訪問驗證和會話管理在內(nèi)的建立和維護(hù)應(yīng)用之間通信的機(jī)制。如服務(wù)器驗證用戶登錄便是由會話層完成的。

第六層：表示層(Presentation layer)

這一層主要解決用戶信息的語法表示問題。它將欲交換的數(shù)據(jù)從適合于某一用戶的抽象語法，轉(zhuǎn)換為適合于OSI系統(tǒng)內(nèi)部使用的傳送語法。即提供格式化的表示和轉(zhuǎn)換數(shù)據(jù)服務(wù)。數(shù)據(jù)的壓縮和解壓縮， 加密和解密等工作都由表示層負(fù)責(zé)。例如圖像格式的顯示，就是由位于表示層的協(xié)議來支持。

第七層：應(yīng)用層(Application layer)

應(yīng)用層為操作系統(tǒng)或網(wǎng)絡(luò)應(yīng)用程序提供訪問網(wǎng)絡(luò)服務(wù)的接口。

應(yīng)用層協(xié)議的代表包括：Telnet、FTP、HTTP、SNMP等。

網(wǎng)頁題目：互聯(lián)網(wǎng)服務(wù)器安全體系結(jié)構(gòu) 互聯(lián)網(wǎng)服務(wù)器安全體系結(jié)構(gòu)分析
標(biāo)題鏈接：http://chinadenli.net/article22/ddeogjc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)頁設(shè)計公司、搜索引擎優(yōu)化、建站公司、虛擬主機(jī)、企業(yè)網(wǎng)站制作、用戶體驗

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)