🌷🍁 博主 libin9iOak带您 Go to New World.✨🍁
🦄 个人主页——libin9iOak的博客🎐
🐳 《面试题大全》 文章图文并茂🦕生动形象🦖简单易学!欢迎大家来踩踩~🌺
🌊 《IDEA开发秘籍》学会IDEA常用操作,工作效率翻倍~💐
🪁🍁 希望本文能够给您带来一定的帮助🌸文章粗浅,敬请批评指正!🍁🐥
文章目录
- 第一章 计算机系统与网络安全概述
- 1.1 信息安全背景
- 1.2 信息网络安全案例
- 1.3 信息网络安全趋势
- 1.4 信息技术基本概念
- 1.5 信息安全概念
- 1.6 信息安全问题根源
- 1.7 网络安全体系结构
- 原创声明
第一章 计算机系统与网络安全概述
1.1 信息安全背景
同学们,我们一起来学习计算机系统与网络安全,计算机系统与网络安全很重要,为什么很重要?要回答这个问题。我们首先来学习一下信息网络安全的背景。现代社会高度依赖信息网络技术,这些技术影响改造着人们的生活甚至生存方式。首先问大家一个问题,如果让大家从身边选择一样,最离不开的东西,大家会选什么?我想很多人的答案会是手机。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-aycweoVI-1687879279169)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image001.gif)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-dttmyVj7-1687879279171)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image001.gif)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QD2UsP1z-1687879279171)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image003.jpg)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BMdN4vHY-1687879279171)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image005.jpg)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sXMlIzty-1687879279172)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image007.jpg)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-o3KnuIvH-1687879279172)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image009.jpg)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ttEVWQRR-1687879279172)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image011.jpg)]
今天除了手机之外的另外三件东西正在被手机取代,或者集成在手机里面,通过手机可以存储或者生成电子证件,能够使用和识别电子证件的场所场景越来越多。现在使用指纹门锁,智能门锁的越来越多,通过扫码指纹或者手机APP的操作,我们就可以不用带钥匙了。另外随着移动支付电子货币的广泛使用,我们钱包里的钱越来越少,甚至很多时候可以不用带钱包了。
今天通过手机,我们可以完成的活动越来越多,包括通信、娱乐、社交、学习、导航等等。今天我们使用的手机绝大部分都是智能手机,其实质就是一个掌上电脑信息网络技术的一个终端。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-OCAifdI0-1687879279173)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image013.jpg)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QEno2f8a-1687879279173)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image015.jpg)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-G9mZZjbW-1687879279174)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image017.jpg)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lsmQEd2v-1687879279175)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image019.jpg)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-eqvHRI8s-1687879279175)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image021.jpg)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hBVJtkUk-1687879279176)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image023.jpg)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-p1QnVWcF-1687879279176)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image025.jpg)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3bNWQtZd-1687879279176)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image027.jpg)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0eQE96Xk-1687879279177)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image029.jpg)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pzVS3kIp-1687879279177)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image031.jpg)]
而新的信息技术及其应用还在不断的推陈出新,比如人工智能、智慧城市、智能交通、无人驾驶,人类的活动与信息网络联系越来越紧密,虚拟世界已经与现实世界密不可分,构成了网络空间。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pByxtHHC-1687879279178)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image033.jpg)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MKK6Neq1-1687879279178)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image035.jpg)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-o4kqYrbw-1687879279178)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image037.jpg)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1ntgRuSi-1687879279179)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image039.jpg)]
这里我不由想到了一首张学友的老歌《情网》,歌词是这样的,而您是一张无边无际的网,轻易的就把我困在了网中央。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-TdVtdJqu-1687879279179)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image041.gif)]
今天不管你愿不愿意,我们都已经被信息网络困在了网中央,信息网络的安全威胁无处不在。武侠小说当中有一句著名的话叫做有人的地方就有江湖。在信息世界里面,可以说有网络的地方就有网络安全威胁,信息网络无处不在,所以信息网络的安全威胁也无处不在。根据国家互联网应急中心发布的2021年上半年我国互联网络安全监测数据分析报告,2021年上半年,捕获恶意程序样本数量约为2307万个,日均传播次数达到50082万余次,涉及恶意程序的家族约24.8万个
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-I8ohC5qV-1687879279179)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image043.gif)]
这里有两张图,同样来自于上面这份报告,左图是境外恶意程序的分布情况,右图是控制我国主机的境外恶意程序服务器的数量分布情况。报告中还统计了第一道是攻击的情况,网站安全的情况,工业控制系统的安全情况等等。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0XJruqCy-1687879279181)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image045.gif)]
关于这份报告的具体情况,感兴趣的同学可以去国家互联网应急中心的网站上下载看一看,后面有国家互联网应急响应中心的介绍,以及它的网址。从网络公开的数据中,我们可以看到网络安全的形势非常严峻,网络安全不容忽视。
这里有一张来自美国卡内基梅隆大学软件工程研究所,计算机安全应急响应主start的老图。这张图大概是2001年左右制作,反映的是从1980年到2000年这个时期,网络攻击的复杂度与攻击者所需的技术知识的变化情况。虽然20年过去了,但是依然可以反映后来至今网络安全的状况。从图中我们可以看到有两条带箭头的线,绿线向上,表示随着时间的推移,网络攻击的复杂度越来越高,攻击的破坏力也越来越强,绿线上升好理解。红线代表的是攻击者所需的技术知识水平,也可以理解为入侵的门槛为什么是下降的?这就要说回网络自身了。互联网普及以后可以说网络无处不在,使得攻击者可以随时随地的发起攻击。另外互联网是开放与共享的,因此互联网就是一座知识信息的保护,也是攻击者分享攻击知识技能甚至是工具的平台,现在还形成了一些黑产链,发布和兜售网络攻击的技能和自动化的工具,借助互联网以及黑产链上的网络攻击知识技能以及自动化工具,网络入侵的门槛不断的降低,使用自动化的攻击工具,甚至只需要简单的配置一些参数,就可以发动一场规模不小的攻击。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9hHX5iFi-1687879279181)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image047.gif)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-RWKC50b5-1687879279182)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image049.gif)]
网络安全事关国计民生,关系到我们个人集体、社会以及国家的安危,网络安全会造成个人隐私的泄露。个人和集体经济财产的损失。很多人的个人信息,比如说电话号码、家庭状况、工作信息、经济状况等等都可能被收集泄漏,从而被网络电信诈骗、网络借贷、广告、中介等等盯上,网络上经常会出现各种各样的谣言,影响或误导舆论,很多热点事件会一再反转,这些网络安全事件会一定程度影响社会的安定和团结。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-yVRMc7Bb-1687879279182)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image051.jpg)]
当前互联网络已经成为了看不见硝烟的战场,敌对势力和国家发起的网络攻击危及到我们国家的安全。为了应对网络安全,各国纷纷行动起来。美国是信息网络技术的先行者,也是网络安全的领头羊。我们首先来看一下美国的网络安全相关举措。从1998年开始,美国国家安全局历经数年完成了信息保障技术框架,iatf提出了信息保障的核心思想,是纵深防御战略。从技术层面将网络划分成了4个焦点域,分别是网络和基础设施,区域边界、计算环境和支撑性基础设施,并且将人、技术操作作为信息保障的核心要素。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Fsh79TIj-1687879279182)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image053.gif)]
2005年美国发布了国防战略报告,将网络空间提升到了与传统的陆海空天一样的高度,并且组建了网络战的司令部。再到2007年,美国国家安全局和联邦调查局启动了棱镜计划,这是一份绝密的电子监听计划,他们可以直接进入美国的相关网络公司服务器里面,去挖掘数据,收集情报,包括微软、雅虎、谷歌、苹果等9家国际互联网巨头都参与其中。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VQgrrQyZ-1687879279183)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image055.jpg)]
我国也于2000年后逐渐关注和重视起信息网络的安全,采取了一系列的措施,部分重大举措如下,很多高校分别成立了相关的学科学院。2013年创办了中国互联网安全大会,IC这个大会是亚太地区规格最高,规模最大,影响力最深远的安全峰会,每年举办一次。2014年2月成立了中央网络安全信息化领导小组,2016年发布了《中华人民共和国网络安全法》。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XodEQqsZ-1687879279183)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image057.jpg)]
互联网上关于网络信息安全的资源很多,这里给大家介绍三个信息网络安全的权威平台,供大家学习、跟踪信息网络安全的现状和态势。分别是:计算机安全应急响应组CERT,国家计算机网络应急技术处理协调中心CNCERT/CC和国家信息安全漏洞共享平台cnvd。
计算机安全应急响应组(CERT:Computer Emergency Response Team)是美国卡内基梅隆大学软件工程研究所(协会)成立并运维的计算机安全应急响应组织。CERT是网络安全领域的领导者,与政府、行业、执法部门和学术界合作,以提高计算机系统和网络的安全性和弹性。研究具有广泛影响的网络安全问题,并开发先进的方法和工具来应对大规模、复杂的网络威胁。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-rJaCnxic-1687879279184)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image059.gif)]
国家计算机网络应急技术处理协调中心(CNCERT/CC),成立于2001年,是中国对标美国CERT的非政府非盈利组织。主要职责是:开展互联网网络安全事件的预防、发现、预警和协调处置等工作,运行和管理国家信息安全漏洞共享平台(CNVD),维护公共互联网安全,保障关键信息基础设施的安全运行。CNCERT/CC在中国大陆31个省、自治区、直辖市设有分支机构,通过组织网络安全企业、学校、社会组织和研究机构,协调骨干网络运营单位、域名服务机构和其他应急组织等,构建中国互联网安全应急体系,共同处理各类互联网重大网络安全事件。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zaXQDN95-1687879279184)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image061.gif)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-tYMeF9Ca-1687879279184)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image063.gif)]
国家信息安全漏洞共享平台(CNVD)由国家计算机网络应急技术处理协调中心CNCERT)联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的国家网络安全漏洞库。主要目标是与国家政府部门、重要信息系统用户、运营商、主要安全厂商、软件厂商、科研机构、公共互联网用户等共同建立软件安全漏洞统一收集验证、预警发布及应急处置体系,切实提升我国在安全漏洞方面的整体研究水平和及时预防能力,进而提高我国信息系统及国产软件的安全性,带动国内相关安全产品的发展。
1.2 信息网络安全案例
这一节我们介绍信息网络安全的一些典型案例。首先来看病毒,病毒是信息网络安全的一大威胁来源,这第一个病毒诞生以来,病毒大概以数以千万计。这里我们介绍三个曾经给我留下比较深刻印象的病毒,第一个叫做莫里斯蠕虫,这个病毒是1988年康奈尔大学的研究生罗伯特莫里斯,针对UNIX系统的缺陷设计的,当时这个病毒造成了约6000台计算机遭到破坏,造成1500万美元的损失。大概10年前我查到论文的时候,发现这个莫里斯在MIT任教授,研究网络路由领域。
第二个病毒CIH是病毒,这个病毒会破坏计算机主板bios上面的数据,使计算机无法正常开机并破坏硬盘数据。在1999年全球全面爆发,超过6000万台电脑被破坏,累计损失超过10亿美元。
第三个病毒是熊猫烧香,这个病毒在2006年底大范围爆发,这个病毒会删除扩展名为gho的系统镜像文件,搜索并感染点exe可执行文件。
这个病毒的作者叫李俊,他学的是中专水泥工艺专业,这个案例充分的说明兴趣是最好的老师,有兴趣有动力,专业差距就不是问题。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-S5EJaVvW-1687879279185)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image065.jpg)]
下面是当时往下面是当时黑客大战中被拿下的美国部分网站的截图。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fZ5Vjvo1-1687879279185)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image067.gif)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-AlKcuAcx-1687879279185)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image069.gif)]
第三我们再来看csdn泄密门。csdn是程序员论坛,在2011年的时候,程序员论坛安全系统遭到黑客的攻击,大约600万用户的登录名密码及邮箱遭到了泄露。随后网上又爆出世纪佳缘天涯社区开心网等10余家国内知名网站,近5000万用户的信息被公布。
这次事件的原因是这些社区论坛它的部分用户,特别是早期的用户,它的密码是以明文方式存放的,这个案例说明隐私泄露的威胁很严重。
我们再来看第4个案例,半个美国掉线,2016年10月美国DNS域名服务器管理服务商 dyn遭遇低低DOS攻击,导致Twitter get hub。People等众多的网站在线服务无法访问,攻击主要来源是感染mirror病毒的僵尸网络,这个僵尸网络有大概数千万IP地址。
第五海外战争。1991年美国在伊拉克从第三方国家购买的打印机里,植入了可远程控制的恶意代码。在海湾战争打响前,这个恶意代码使伊拉克的由计算机网络管理的雷达预警系统全部瘫痪,从而让美军的后续推进非常顺利。这是美国第一次在公开的实战中使用恶意代码攻击技术取得的重大军事利益。
第五,我们再来看震网病毒,这网病毒是第一个被发现的网络攻击武器,专门定向攻击真实世界中的基础设施,比如核电站、水坝、电网。2010年6月,伊拉克核电站受到病毒攻击,又浓缩离心机转速被提高,大概2000多台离心机失控炸飞。据传这个病毒有美国和以色列的安全人员研发,通过U盘传播进入核电站内网环境,重点攻击西门子工控系统,随后全球超过45,000个网络,60%的个人电脑感染。
第六,我们再来看棱镜计划,棱镜门我们前面提到过,这个计划是由美国国家安全局 nsa这个计划是由美国国家安全局 nsa至2007年小布什时期开始实施的绝密电子监听计划。美国情报机构在9家,包括微软、谷歌、苹果等互联网巨头当中进行数据挖掘工作,监控10类信息活动,包括电子邮件、即时信息、视频照片、存储数据、云聊天文件、传输视频会议、登录时间、社交网络资料等等。
主要包括两个秘密的监视项目,一个是监视监听民众电话的通话记录,另外一个是监视民众的网络活动。
第七,下面一个案例是勒索病毒。勒索病毒是2017年5月在全球爆发,叫做wanna cry。它是一个蠕虫式的病毒,它利用美国国家安全局 NAS泄露的漏洞永恒自然。针对windows网络共享协议进行网络攻击,这个病毒造成150个国家,30万名用户中招,造成损失达到80亿美元,影响金融、能源、医疗等众多行业。
1.3 信息网络安全趋势
这一节我们来了解一下信息网络安全的趋势。移动设备逐步成为重要的攻击目标。
由于移动性和应用性以及手机为代表的移动设备智能终端的广泛使用,移动设备平台及应用的漏洞也逐渐曝光,使他们逐步成为攻击者恶意程序的重要网络攻击目标。主要的攻击方式包括隐私泄露,病毒感染、恶意广告、网络钓鱼等。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PhF5p2qg-1687879279186)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image071.jpg)]
这里有一张图,来自 CN3rd发布的2020年中国互联网安全报告,这个报告展示了2016年到2020年移动互联网恶意程序样本数量的对比。根据这份报告,sunset2020年补货及通过厂商交换获得的移动互联网恶意程序样本数量约为303万,累计高达1654万。
第二,物联网带来更多的安全隐患和风险。物联网it在互联网的基础上面实现万物互联,通过物联网可以实现在任何时间、任何地点、人、机、物的互联互通。物联网在重来一下。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-KskfMK3K-1687879279186)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image073.jpg)]
物联网正逐步应用于医疗保健、工业控制、智能制造、无人驾驶、智慧城市等领域。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QEyD6qIg-1687879279187)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image075.gif)]
随着物联网时代的到来,互联网的安全问题也越来越严峻。物联网作为新兴产物,
[1]体系结构复杂,
[2]厂商的安全意识普遍比较薄弱,
[3]物联网设备种类多样,大多数的
[4]设备成本比较敏感,它的计算和存储能力都难以支撑安全防护措施。
物联网系统大多基于开源的操作系统进行修改和定制,缺乏专门的安全防护功能。此外很多物联网应用涉及到指纹、人脸视频、健康数据等隐私或敏感信息,对黑客攻击者具有天然的吸引力。
第三,更多利用开源软件漏洞的攻击黑客网络攻击者越来越关注开源平台系统及应用程序的漏洞,因为闭源软件如微软windows等,通常由大公司研发,由专业团队在安全方面进行持续改进,有成熟的漏洞管理办法,使得漏洞能够得到有效的控制。相反,开源软件自由传播开发者众多,安全开发的意识和水平参差不齐,缺少系统的安全审查机制,开源软件自身及供应链的安全漏洞逐渐增多并暴露,因此越来越吸引黑客和攻击者的目光。
第四,人工智能安全引发关注,人工智能正向我们走来,人工智能的安全引发了大量的关注,人工智能可以从两个方面赋能安全,一方面助力防御,借助人工智能可以自动分析漏洞,检测攻击,比如可以进行漏洞挖掘,威胁检测、网络监测、反垃圾邮件、移动终端保护,应用安全防护等等。另一方面,人工智能也能助力攻击,可以帮助攻击者分析防御机制,并模拟攻击行为,已绕过安全控制,甚至进行自动化的网络攻击。
1.4 信息技术基本概念
这一节我们简要介绍信息技术的相关基本概念,包括信息信息化、信息技术、信息系统。
首先我们来看信息及其特征,什么是信息?信息的定义是多元化的,一些科学家和学者给出了不同的定义。信息论的奠基人相容认为信息就是用来消除随机和不确定性的东西。
举个简单的例子,比如有人跟你说,我给你介绍个女朋友,这个时候这个女朋友是谁?多高?多大?都是不知道的,对你来说是不确定的。这时候别人告诉你这个女孩的名字、身高、年龄,甚至给你照片等等这样一些信息,这些信息就把不确定变成了确定。
另外控制论的创始人维纳认为,信息是区别于物质与能量的第三种资源,是客观事物的基本存在形态之一。
我国信息学家钟易信对信息的定义,简而言之,就是信息是事物的存在方式或运动状态,也就是说信息是用来表述事物的状态的,包括存在状态和运动状态。
接下来我们看信息的特征,信息具有如下特征,
普遍性与可识别性
信息是普遍存在的,而且是可以被识别的,世界万物都可以用信息去描述。
存储性与可处理性
这些信息是可以通过我们人的感官或测量手段去识别的,信息是可以被存储和处理的。
从劫绳祭祀逐渐纸张书本,到今天的光盘、U盘、内存等等都是用来存储信息的,也有相应的信息处理手段和技术。再者信息具有时效性,我们每天都在刷的新闻就是信息,过一段时间新闻没有了热度,就变成了旧闻,信息是可以共享的,可以被无限的复制和粘贴。
时效性与可共享性
信息的传播和使用是可以被控制的。比如说我们在战争在谍战电影里面经常看到的情报,情报如何传递,被哪些人看到,都会进行严格的控制。另外信息是可以被开发的。
可控性与可开发性
我们今天身处大数据时代,很多个人信息、家庭信息、网购信息被收集了,通过大数据、机器学习、人工智能等技术对这些信息进行挖掘和开发。于是我们被划分到了不同的群体,个人喜好倾向被刻画出来了,从而被电商广告甚至网络诈骗进行精准的商品推荐、广告投放和网络钓鱼。信息化实际上就是信息革命。
1980年美国未来学家托福了,出版了三次浪潮一书,
它把人类科学技术的每一次巨大飞跃作为一次浪潮,
第一次浪潮是农业革命,
第一次浪潮:农业革命
从原始采集渔猎过渡到农业和畜牧业,在18世纪以前世界都处于农业社会阶段,我们中国在生产力上面一只居世界的先进水平,从而保持了几千年长盛不衰。第二次浪潮是工业革命,
第二次浪潮:工业革命
工业革命大大提供了社会生产力,一举将大不列颠推上了全球第一强国的宝座,建立了日不落帝国。他认为当时正孕育着第三次浪潮,我们今天来看就是美国引领和推动信息革命。第三次浪潮:信息革命
从20世纪50年代开始,美国因此成为唯一的超级大国。今天可以说处于第4次生产力革命的前夜,人工智能、量子计算、新能源、生命科学等都有可能成为主力方向,这些也是我国早就在布局的正在发力的方向。
今天来看,托夫勒的预言应验,美国也正是按照他的指示去控制和掌控了信息和网络信息化就是以通信和计算机技术为基础,以数字化、网络化为技术特点的信息处理方式,有别于传统的信息获取、存储、传输、交换处理和使用。比如传统通讯应用,比如传统通过纸张、书信、算盘等来存储传输和处理信息。而信息化后主要通过各种传感器获取信息,通过计算机处理信息,通过网络来传输信息,信息化给现代社会的发展带来了前所未有的机遇和风险。
| [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-LdQzFGrH-1687879279187)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image076.gif)] |
我们再来看信息技术,信息技术就是通常所说的,信息技术就是通常所说的
it
。
Information
,
technology
其核心是三
c
,
computer
、
CommuniCAtion
,
Control
,它的内涵,就是通过计算机处理信息,用现代通信技术传输信息,同时还要对信息的传播和使用加以控制。
进一步我们可以把三c扩展为下面这个图加以说明。首先通过信息获取技术感知和测量外部世界的信息,然后借助通信技术对信息进行传递,接着通过计算机技术对信息进行认知和再生等处理,然后再进一步将认知和再生的信息进行传递,再对信息进行有效的控制。最后信息在作用于外部世界,形成这样一个闭环。
接下来再来看信息系统,信息时代信息系统无处不在,信息系统是为信息生命周期提供服务的各类软硬件资源的总称,它是由计算机软硬件网络和通信设备,信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统,
也就是刚才讲的三c及下面d图,从信息获取、传输、认知、处理到控制所涉及的所有软件资源的集合,统称为信息系统。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-HUlgdxGw-1687879279188)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image078.gif)]
1.5 信息安全概念
这一节我们来学习信息安全的概念,什么是信息安全?
信息要安全需要满足一些要求,有些教材又称为属性,要求和属性大同小异,最基本的要求有三个,叫做信息安全基础三角形cos。
这里的CIA不是美国的中央情报局,分别是机密性、完整性和可用性。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Lkehthk4-1687879279188)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image080.jpg)]
首先我们来看机密性,机密性是防止未经授权使用信息,也就是我们常说的保密,确保信息没有被非授权的泄露,不被非授权的个人组织和计算机程序使用。即使非授权的用户得到了信息,也无法知晓信息的内容。
这里我们举个例子,大家可能都在使用云存储,如百度网盘、QQ空间,存储自己的数据,个人的照片、音频、视频等等。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ndxYcvd4-1687879279188)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image082.jpg)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-G6gZRfiF-1687879279189)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image084.jpg)]
由于这些数据包含隐私,所以我们通常设置密码口令等,防止别人包括百度来访问数据,这就是保密。当然我们也可以给亲朋好友发送链接和口令进行分享,他们以及我们自己就是授权用户,
接下来我们看完整性,完整性是指确保信息的一致性,防止对信息的非法修改和破坏,确保信息在生成、传输、存储和使用过程当中不被非授权的篡改和破坏。
刚才的例子当中,如果我们存在百度网盘中的照片音、视频等,在未经我们知晓或同意的情况下面被人修改涂鸦ps或者被删除,我想大家都不会再使用百度网盘,因为它没有保障我们信息的完整性。
我们再来看可用性,可用性是指确保信息资源随时可用,也就是说要确保授权用户或程序可以随时正常的使用和访问信息。
如果一个提供云存储的服务商,不能保证我们随时想访问,我们自愿的时候就访问资源,我想大家都不会选择这个服务商,因为不能保证信息的可用性。
除了刚才我们讲的基础三角之外,信息安全还包括一些其他的方面,其他的属性,包括非否认性,又叫抗抵赖性,要求无论发送方还是接收方都不能抵赖,所进行的传输或者相应的活动。通俗的说就是在信息空间里面,行为人要对自己的行为负责,不能抵赖。
第二,真实性,真实性是保证信息是真实的,要能对信息的来源进行判断,鉴别虚假来源的信息,
可控性,可控性是对信息的传播内容具有控制能力,
还有可审查,确保实体的活动可以被追踪。
还有可靠性,可靠性是指系统在规定的条件下规定时间内完成指定功能的概率,
我们刚才看到了很多信息安全的属性,不同的系统或应用关注的,我们刚才看到了很多信息安全的属性和要求,
不同的系统应用和用户关注不同的安全属性,比如
普通用户关注可用性、保密性、完整性,网络警察关注可控性、可审查性,电子交易要求认证和非否认性,而匿名的社区就要求可否认。
我们再来看信息安全的目标,刚才我们给出了信息安全的定义,信息本身是无形的,就无从下手,所以必须要在有形的信息系统当中去保障信息的安全。信息安全的目标就是从信息系统的视角来保障信息的安全,保障信息系统的安全,实际上就是一场攻防博弈。防守的一方通常需要构筑多道防线,首先让攻击者进不来,当然没有什么防线是固若金汤的,如果这道防线失守了,要让攻击者拿不走信息。如果这道防线又被突破了,我们要确保攻击者拿到的信息是经过事先处理的,比如加密,他们拿到之后看不懂信息的内容,但是这一道防线有可能会被突破,经过处理和加密的信息也可能被攻击者还原或破解。这个时候要保障他们篡改不了信息,如果这也做不到,那要保证他们跑不掉,可审计可追踪,最后我们还要保障系统是打不垮的。
总而言之,信息系统的安全要构筑一个多层次的防御系统。
非“一招鲜吃遍天”,多层防御体系
1.6 信息安全问题根源
接下来我们来讨论一下信息安全问题的根源,为什么会有信息安全问题?或者说信息安全问题的根源是什么?
有人说是病毒,有人认为因为有黑客,还有一些,人认为根源是漏洞。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Z9DSzJkJ-1687879279189)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image086.jpg)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-g9ljXI4r-1687879279190)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image088.jpg)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1hyTnLrh-1687879279190)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image090.jpg)]
中国信息安全测评中心副总工程师郭涛指出,信息安全的根源所在是漏洞。
同学们,这个信息安全的根源所在是漏洞,我觉得比较有道理,但是不够全面。有一句俗话叫做苍蝇不叮无缝的蛋,这句话的意思大家都懂,其内涵就是很多事情的成因都有内因和外因两个方面,信息网络安全也是如此,可以说是内忧外患,内因就是信息系统普遍存在漏洞,而外因则是有网络的地方就有攻击者。
我们首先来看内忧,我们刚才讲的内忧就是信息系统普遍存在的漏洞,又叫脆弱性,是指信息系统的硬件资源,通信资源、软件及信息资源等存在的弱点和缺陷。信息系统为 什么普遍存在脆弱性?
因为信息系统很复杂,它的过程复杂,结构复杂,应用复杂,系统复杂了就难免出现纰漏。
信息系统很复杂:过程复杂、结构复杂、应用复杂
信息系统过程很复杂,信息系统过程包括业务逻辑过程和系统构造过程,我们做很多事情都有一个逻辑过程,先做什么后做什么,怎么交互,大型信息系统更是如此。这里我们从网上找了两个业务逻辑过程的示意图作为复杂性的示意,大家不用细看,
信息系统的结构,信息系统的构造过程也很复杂,通常包括系统的提升过程,软件的开发过程,软件开发过程就是软件工程过程,大家应该都学过软件工程,包括需求分析、系统设计、代码实现系统测试运维等等这样一些过程,这些过程都可能产生脆弱性,埋下安全隐患。
信息系统包含很多组件模块,它的结构非常的复杂,作为大家来讲,嗯信息系统包含很多组件和模块,它的结构很复杂,这里大家简单看看示意图,我们不再赘述,
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FZg4NuEM-1687879279190)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image092.gif)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Q0JFLwN0-1687879279191)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image094.gif)]
信息系统的应用也很复杂,想必大家都有所体会,桌面的移动端的物联网的各种应用商城上面的应用呈现上来,而且还在不断的推陈出新。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-w22I5iQ5-1687879279191)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image096.jpg)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-RosKUaPf-1687879279191)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image098.gif)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jkIhUmbk-1687879279192)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image100.jpg)]
说完内忧我们再来看外患,外患包括两个方面,一个是人为的因素,一个是环境的因素,人为的因素就是我们前面提到的网络江湖,有网络的地方就有攻击者,随时有攻击者对信息系统信息资产腐蚀担当,这里面有信息战室,有情报机构,有恐怖分子、商业间谍、犯罪团伙,还有社会型娱乐型的黑客,他们各自的目标目的不一样。
环境因素方面,信息系统所处的环境往往是比较恶劣的,特别是大型的信息系统,需要安防,需要持续的电力供应,需要冷却、防火、防静电、温湿度控制等等,一些自然灾害常常也会对信息系统造成破坏。
1.7 网络安全体系结构
接下来我们介绍安全体系结构,1989年国际标准化组织ISO发布了开放系统互联安全体系结构标准,编号ISO7498-2,我们简称为安全体系结构,1990年国际电信联盟 ITU采用isot489-2作为它的x点800推荐标准,安全体系结构是用于防御安全攻击的软硬件方法,以及这些方法构成的系统或整体的解决方案。
具体而言,安全体系结构是对信息信息、系统安全功能的抽象描述,从整体上定义信息及信息系统所需的安全服务安全机制,以及各种安全组件之间的关系和交互。
大家看一下下面这个模型图,安全体系结构用于防御攻击者对信息和信息系统发起的攻击。安全体系结构的核心是防御所需的安全服务和安全机制,要确定需要哪些安全服务及安全机制,需要进行安全需求分析,并制定安全策略。
建立安全体系结构大致需要如下的过程,首先进行风险分析,然后涉及安全策略,接着涉及安全服务与安全机制,然后理清安全服务与安全机制的关系,最后进行安全服务的部署。
| [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-c0PUpHOc-1687879279193)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image108.gif)] |
心理安全体系结构为什么要首先进行风险分析,实施安全防护,能够降低安全风险,同时也需要投入成本,并造成信息系统性能的下降,因此安全防护也要有的放矢,最好是达到风险性能成本开销之间的一个平衡。风险分析一方面分析信息系统的脆弱性面临的威胁,另外方面分析系统资源功能失效所带来的影响以及控制办法。
| [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lphPMD4N-1687879279193)(file:///C:/Users/libin/AppData/Local/Temp/msohtmlclip1/01/clip_image109.gif)] |
接下来我们看安全策略的设计,安全设计是在实际建立安全体系结构式的基础,安全策略设安全策略设计本身是一个繁琐的问题,涉及到了技术制度和管理等等方面。这里简要介绍一下如何设计安全策略。安全策略设计是在风险分析完成之后,可以得到一个需要达成的安全目标,有了这样一个目标,可以结合既有的安全服务和安全机制。
我们进一步推导出安全需求,最后得到完整的安全策略。
接下来我们来看安全服务与安全机制,安全服务与安全机制是安全体系结构的核心,一个是服务,一个是机制,通常服务是对外提供的一些功能,而机制往往是指事物内部的激励。因此安全服务是我们安全体系结构,对外提供给用户的安全防护功能,它是面向用户的,或者说是面向需要保护的信息和信息系统的,而安全机制则是我们安全服务内部是如何运作和实现的。
接下来我们来看一下X.800规定的安全服务,X.800是国信国际电信,X.800是国际电信联盟Ito关于osi开放系统互联安全体系结构的标准,其中建议了5个基本的安全服务包括认证服务,又叫做鉴别服务,是为通信过程当中的实体和数据来源提供鉴别服务。
大家使用手机,电脑在开机或者解锁的时候需要输入密码或者指纹,这就是在认证你是不是这个电脑或者手机的主人。
访问控制服务,访问控制服务是保护资源不被非授权的使用,比如我们使用学校的教学管理系统,同学只能访问自己的数据,老师可以访问自己教学班级全部同学的数据,而管理员则可以访问全部的数据。不同的用户看到访问到不同的数据,这就是访问控制系统在发挥着作用。
接下来再看机密性服务,机密性服务是保护数据不被非授权的泄露,主要通过加密来实现,完整性服务用于防止数据在存储传输等处理过程当中被非授权的修改。比如在接收到信息或者邮件时,我们需要信息或邮件,在网络传输过程当中,没有被任何人修改,是原封不动的,跟我们点外卖是一个道理,我们都希望我们点的外卖在送货过程当中是原封不动的。接下来我们再来看抗抵赖服务,抗抵赖服务是防止通信或其他信息活动中任何的实体,否认他的行为,比如他过去执行过某个操作或者某些行为,
机密性完整性,在我们介绍的信息安全属性当中,我们遇到过这三个服务正好对标我们信息安全的机密性、完整性和抗抵赖性。
X.800规定的安全服务,在具体的场景或需求下面又可以进一步的细分,比如认证可以细分为对等实体认证和数据起源认证,对等实体认证就是信息活动,比如通信的这个双方认证对方的身份是否是真实的,而不是假冒的。数据起源认证就是认证收到的数据所声称的发起方是否是真实的。比如说我们收到邮件,邮件当中声明发件是张三,这个时候我们要认证一下这个真实的发件人,他是不是张三.访问控制又可以分成自主的、强制的和基于角色的访问控制策略,这个我们后面的章节会进行具体的介绍.机密性又可以分为连接的、无连接的、选择字段和业务流机密性。连接无连接是对应互联网协议当中的有连接协议和无连接协议的,为有连接协议提供的机密性服务就是连接机密性,反之则是无连接机密性服务。选择字段机密性是在存储或传输的数据量比较大的时候,如果对全部数据提供机密性保护的话,开销比较大,这个时候我们就会这个时候我们就可以选择只对其中的部分数据进行保护。通常实施了机密性保护后,攻击者看不懂我们通信的内容了,但是攻击者依然可以获得信息传输的频率,信息的去向,信息的数据量大小等等信息,那这就是攻击者在进行业务流分析。现实生活中我们也可以进行业务流分析,比如通过网购快递,我们可以分析一个人的消费水平,现在的快递都封装的比较严实,不拆开快递我们是不知道别人网购的是什么东西,但是我们可以从收快递的频率,快递的类型来进行这个相应的判断。如果有一个同学几乎天天收快递,而别的同学很少收快递,说明这个同学的消费水平是比较高的。如果有两个同学收快递的频率差不多,但是一个大部分的快递都是京东快递,而另外一个同学的快递主要是拼多多的快递,这个时候我们也可以判断前面一个同学的消费水平相对要高一些。完整性服务与机密性服务类似,也对应网络协议可以分为有连接和无连接以及选择字段完整性服务。另外还可以分为可恢复的和不可恢复的完整性服务。不可恢复完整性服务仅仅是发现我们传输或存储的信息遭到了非授权的修改,只是发现而可恢复的完整性服务是不仅能够发现非授权的修改,还能把这个被修改的信息再还原回来。抗抵赖服务又分为数据起源和数据接收非否认,起源非否认是防止信息或数据的发起方否认他发送过信息,而这个数据接收非否认则是防止接收方否认接收到数据。
| 安全服务 | |
|---|---|
| 主要安全服务 | 细分 |
| 认证(AU) | 对等实体认证 |
| 数据起源认证 | |
| 访问控制(AC) | 自主访问控制 |
| 强制访问控制 | |
| 基于角色的访问控制 | |
| 机密性(CO) | 连接机密性 |
| 无连接机密性 | |
| 选择字段机密性 | |
| 业务流机密性 | |
| 完整性(IN) | 可恢复的连接完整性 |
| 不可恢复的连接完整性 | |
| 选择字段的连接完整性 | |
| 无连接完整性 | |
| 选择字段的无连接完整性 | |
| 非否认(ND) | 数据起源的非否认 |
| 数据接收的非否认 |
看完X.800规定的安全服务,我们再来看X.800规定的安全机制。
首先加密机制,加密机制主要为数据存储和通信提供机密性保护,还为其他安全机制提供相应的支撑。数据签名机制是签名技术的数字化,主要用于认证和非否认。防控制机制是保护受保护的资源,不被非授权的使用,数据完整性机制是确保数据的一致性,也就是保证接收方收到的数据是发送方所发送的数据,在传输过程当中没有被非法的篡改,而认证交换机制是在认证和被认证者之间交换某些信息以实现认证的,业务填充机制是针对我们前面提到的业务流分析攻击的,通过发送额外的数据掩盖正常通信的流量特征,从而保护业务流的机密性。再来看路由控制,我们知道互联网通过网络中无数的路由器进行这个选录并转发,把这个数据从源端传送到目的端,路由控制4位数据发送方选择安全的网络通信路径,避开不安全的路径。公证机制,公证机制在通信收发双方发生纠纷的时候,并且在双方没有办法自行解决这些纠纷时,引入的可信第三方来进行这个公正裁决,确保双方利益不受损害,这个对应了我们现实生活当中的公正机制和公正的机构。
接下来我们再来看安全服务与安全机制的关系,安全服务由安全机制来实现,比如我们刚才看到的有机密性服务,还有加密机制,加密机制就是实现机密性服务的,但是安全机制与安全服务并不是严格的一一对应的,而是一种多对多的关系。也就是说一种安全服务可能由一种或多种安全机制来实现,同时一个安全机制可以为一种或多种安全服务提供支撑。
这里是我们安全服务源泉机制的一览表。从图中我们可以比较清楚的看到,安全服务与安全机制之间确实是多对多的关系。横向来看,大部分的安全服务都需要多种安全机制来实现。纵向来看,大部分的安全机制都对多种安全服务提供了支持。
| 机制 服务 | 加密 | 数字签名 | 访问 控制 | 数据 完整性 | 认证交换 | 业务流 填充 | 路由控制 | 公证 | |
|---|---|---|---|---|---|---|---|---|---|
| 认证 | 对等实体认证 | √ | √ | √ | |||||
| 数据起源认证 | √ | √ | |||||||
| 访问 控制 | 自主访问控制 | √ | |||||||
| 强制访问控制 | √ | √ | |||||||
| 基于角色的访问控制 | √ | ||||||||
| 机密性 | 连接机密性 | √ | √ | ||||||
| 无连接机密性 | √ | ||||||||
| 选择字段机密性 | √ | ||||||||
| 业务流机密性 | √ | √ | √ | ||||||
| 完整性 | 可恢复的连接完整性 | √ | √ | ||||||
| 不可恢复的连接完整性 | √ | √ | |||||||
| 选择字段的连接完整性 | √ | √ | |||||||
| 无连接完整性 | √ | √ | √ | ||||||
| 选择字段的无连接完整性 | √ | √ | √ | ||||||
| 非否认 | 数据起源的非否认 | √ | √ | √ | |||||
| 传递过程的非否认 | √ | √ | √ |
比如在进行对等实体认证时,通常需要数字签名机制,用数字签名作为认证双方认证的依据,同时还需要加密机制,对认证的数据进行加密保护,还需要认证交换机制,实现认证双方数据的这个安全交换。
安全服务如何来部署?互联网是信息和网络安全攻防的主战场,互联网主要采用tcpip分成协议模型,因此安全服务主要部署在tcpip协议模型上面,这张图是常见的安全服务部署的情况。
| 服务 | TCP/IP****协议层 | ||||
|---|---|---|---|---|---|
| 网络接口层 | 网络层 | 传输层 | 应用层 | ||
| 认 证 | 对等实体认证 | √ | √ | √ | |
| 数据起源认证 | √ | √ | √ | ||
| 访问 控制 | 自主访问控制 | √ | √ | √ | |
| 强制访问控制 | √ | √ | √ | ||
| 机 密 性 | 连接机密性 | √ | √ | √ | √ |
| 无连接机密性 | √ | √ | √ | √ | |
| 选择字段机密性 | √ | ||||
| 业务流机密性 | √ | √ | |||
| 完 整 性 | 可恢复的连接完整性 | √ | √ | ||
| 不可恢复的连接完整性 | √ | √ | √ | ||
| 选择字段的连接完整性 | √ | ||||
| 无连接完整性 | √ | √ | √ | ||
| 选择字段的无连接完整性 | √ | ||||
| 非否认 | 数据起源的非否认 | √ | |||
| 传递过程的非否认 | √ |
Tcp IP的物理层和数据链路层通常都是在网络接口上面实现的,因此往往在tcpip模型上面把这两层合二为一,作为网络接口厂,图中打勾的单元表示安全服务可以在当前的网络层次上面部署。我们可以看到网络层次越低,可以部署的安全服务越少,比如网络接口层通常只能部署机密性服务,而网络层次越高,我们可以部署的安全服务越多,应用层可以部署最多的安全服务。
为什么网络层次越低,可以部署的安全服务越少,而层次越高,能够部署的安全服务越多,大家看,这里是一张tcpip协议处的图,除开arprerpicmp igmp等地址解析网络管理协议,其他都用于主要的通信传输的协议,可以被我们红色的三角形框起来,这个就是我们网络协议的一个主干,大家看它像一个什么?像一棵树,从网络接口到IP层到应用层,逐渐的开枝散叶,从物理层无差别的二进制序列,到我们链路层上面的增,再到网络层的IP包,再到应用层的各种应用数据,能够识别能够解析的内容越来越多越来越细,能够解析的内容越多越细,能够实施的安全服务就越多。
比如网络接口层仅仅能够解析数据增,而通信的源头、目的,IP地址、协议类型,是邮件还是web访问等应用类型,以及用户的信息都是不能解析的,所以就只能进行机密性服务。而在应用层能够获取最多最细的信息。这个网络通信是什么应用,是什么用户什么类型都能够识别,这个时候就可以实施各种安全服务,比如说进行认证,比如可以进行这个抗抵赖服务,可以针对应用来实施机密性,实施完整性保护等等。
原创声明
=======
作者: [ libin9iOak ]
本文为原创文章,版权归作者所有。未经许可,禁止转载、复制或引用。
作者保证信息真实可靠,但不对准确性和完整性承担责任。
未经许可,禁止商业用途。
如有疑问或建议,请联系作者。
感谢您的支持与尊重。
点击
下方名片,加入IT技术核心学习团队。一起探索科技的未来,共同成长。
