網(wǎng)絡(luò)安全有哪些需求

1、網(wǎng)絡(luò)安全有哪些需求網(wǎng)絡(luò)的基本安全需求滿足基本的安全要求，是網(wǎng)絡(luò)成功運行的必要條件，在此基礎(chǔ)上提供強有力的安全保障， 是網(wǎng)絡(luò)系統(tǒng)安全的重要原則。網(wǎng)絡(luò)內(nèi)部部署了眾多的網(wǎng)絡(luò)設(shè)備、服務(wù)器，保護這些設(shè)備的正常運行，維護主要業(yè)務(wù)系統(tǒng)的安全，是網(wǎng)絡(luò)的基本安全需求。 對于各種各樣的網(wǎng)絡(luò)攻擊，如何在提供靈活且高效的網(wǎng)絡(luò)通訊及信息服務(wù)的同時，抵御和發(fā)現(xiàn)網(wǎng)絡(luò)攻擊， 并且提供跟蹤攻擊的手段。網(wǎng)絡(luò)基本安全要求主要表現(xiàn)為：1. 網(wǎng)絡(luò)正常運行。在受到攻擊的情況下，能夠保證網(wǎng)絡(luò)系統(tǒng)繼續(xù)運行。2. 網(wǎng)絡(luò)管理/網(wǎng)絡(luò)部署的資料不被竊取。3. 具備先進的入侵檢測及跟蹤體系。4. 提供靈活而高效的內(nèi)外通訊服務(wù)。應(yīng)用系統(tǒng)的安全需求與普通

2、網(wǎng)絡(luò)應(yīng)用不同的是， 應(yīng)用系統(tǒng)是網(wǎng)絡(luò)功能的核心。 對于應(yīng)用系統(tǒng)應(yīng)該具有最高的 網(wǎng)絡(luò)安全措施。應(yīng)用系統(tǒng)的安全體系應(yīng)包含：1. 訪問控制，通過對特定網(wǎng)段、服務(wù)建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達 攻擊目標(biāo)之前；2. 檢查安全漏洞，通過對安全漏洞的周期檢查，即使攻擊可到達攻擊目標(biāo)，也可使絕大 多數(shù)攻擊無效；3. 攻擊監(jiān)控，通過對特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系， 可實時檢測出絕大多數(shù)攻擊，并采取相應(yīng)的行動（如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等）；4. 加密通訊，主動的加密通訊，可使攻擊者不能了解、修改敏感信息；5. 認證，良好的認證體系可防止攻擊者假冒合法用戶；6. 備份和恢復(fù)，良好的備

3、份和恢復(fù)機制，可在攻擊造成損失時，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng) 服務(wù)；7. 多層防御，攻擊者在突破第一道防線后，延緩或阻斷其到達攻擊目標(biāo)；8. 隱藏內(nèi)部信息，使攻擊者不能了解系統(tǒng)內(nèi)的基本情況；9. 設(shè)立安全監(jiān)控中心，為信息系統(tǒng)提供安全體系管理、監(jiān)控，維護及緊急情況服務(wù)平臺安全的需求網(wǎng)絡(luò)平臺將支持多種應(yīng)用系統(tǒng)，對于每種系統(tǒng)均在不同程度上要求充分考慮平臺安全。平臺安全與平臺性能和功能的關(guān)系通常，系統(tǒng)安全與性能和功能是一對矛盾的關(guān)系。如果某個系統(tǒng)不向外界提供任何服務(wù)（斷開），外界是不可能構(gòu)成安全威脅的。但是，若要提供更多的服務(wù)，將網(wǎng)絡(luò)建成了一個 開放的網(wǎng)絡(luò)環(huán)境，各種安全包括系統(tǒng)級的安全問題也隨之產(chǎn)生。構(gòu)建平

4、臺安全系統(tǒng)，一方面由于要進行認證、加密、監(jiān)聽、分析、記錄等工作，由此影 響網(wǎng)絡(luò)效率，并且降低客戶應(yīng)用的靈活性；另一方面也增加了管理費用。但是，來自網(wǎng)絡(luò)的 安全威脅是實際存在的，特別是在網(wǎng)絡(luò)上運行關(guān)鍵業(yè)務(wù)時，網(wǎng)絡(luò)安全是首先要解決的問題。 選擇適當(dāng)?shù)募夹g(shù)和產(chǎn)品， 制訂靈活的網(wǎng)絡(luò)安全策略，在保證網(wǎng)絡(luò)安全的情況下，提供靈活的網(wǎng)絡(luò)服務(wù)通道。采用適當(dāng)?shù)陌踩w系設(shè)計和管理計劃，能夠有效降低網(wǎng)絡(luò)安全對網(wǎng)絡(luò)性能的影響并降低管理費用。說明系統(tǒng)開放互聯(lián)安全體系結(jié)構(gòu)提供了哪幾類安全服務(wù)系統(tǒng)開放互聯(lián)安全體系結(jié)構(gòu)提供了鑒別、訪問控制、數(shù)據(jù)機密性、 數(shù)據(jù)完整性、抗否認五類安全服務(wù)。1. 鑒另U提供對通信中的對等實體和數(shù)據(jù)來

5、源的鑒別。(1) 對等實體鑒別確認有關(guān)的對等實體是所需的實體。這種服務(wù)由N層提供時，將使N+1層實體確信與之打交道的對等實體正是它所需要的N+1實體。這種服務(wù)在連接建立或在數(shù)據(jù)傳送階段的某些時刻提供使用，用以證實一個或多個連接實體的身份。使用這種服務(wù)可以(僅僅在使用時間內(nèi)) 確信：一個實體此時沒有試圖冒充 (一 個實體偽裝為另一個不同的實體)別的實體，或沒有試圖將先前的連接作非授權(quán)地重放(出于非法的目的而重新發(fā)送截獲的合法通信數(shù)據(jù)項的拷貝)；實施單向或雙向?qū)Φ葘嶓w鑒別也是可能的，可以帶有效期檢驗，也可以不帶。這種服務(wù)能夠提供各種不同程度的鑒別保護。(2) 數(shù)據(jù)原發(fā)鑒別確認接收到的數(shù)據(jù)的來源是所

6、要求的。這種服務(wù)當(dāng)由N層提供時，將使 N+1實體確信數(shù)據(jù)來源正是所要求的對等N+1實體。數(shù)據(jù)原發(fā)鑒別服務(wù)對數(shù)據(jù)單元的來源提供確認。這種服務(wù)對數(shù)據(jù)單元的重放或篡改不提供鑒別保護。2. 訪|、可控布U防止對資源的未授權(quán)使用，包括防止以未授權(quán)方式使用某一資源。這種服務(wù)提供保護以對付開放系統(tǒng)互連可訪問資源的非授權(quán)使用。這些資源可以是經(jīng)開放系統(tǒng)互連協(xié)議訪問到的 OSI資源或非OSI資源。這種保護服務(wù)可應(yīng)用于對資源的各種不 同類型的訪問(例如，使用通信資源、讀寫或刪除信息資源、處理資源的操作)，或應(yīng)用于對某種資源的所有訪問。這種訪問控制要與不同的安全策略協(xié)調(diào)一致。3. 數(shù)據(jù)機密'隹對數(shù)據(jù)提供保護，

7、使之不被非授權(quán)地泄露。(1) 連接機密性這種服務(wù)為一次 N連接上的全部N用戶數(shù)據(jù)保證其機密性。 但對于某些使用中的數(shù)據(jù)， 或在某些層次上，將所有數(shù)據(jù)(例如加速數(shù)據(jù)或連接請求中的數(shù)據(jù)) 都保護起來反而是不適 宜的。(2) 無連接機密性這種服務(wù)為單個無連接的 N SDU(N層服務(wù)數(shù)據(jù)單元)中的全部N用戶數(shù)據(jù)提供機密性保護。(3) 選擇字段機密性這種服務(wù)為那些被選擇的字段保證其機密性，這些字段或處于N連接的N用戶數(shù)據(jù)中，或為單個無連接的 N-SDU中的字段。(4) 通信業(yè)務(wù)流機密性這種服務(wù)提供的保護，使得無法通過觀察通信業(yè)務(wù)流推斷出其中的機密信息。4. 數(shù)據(jù)完整性對付主動威脅。在一次連接上，連接開始

8、時使用對某實體的鑒別服務(wù)，并在連接的存活期使用數(shù)據(jù)完整性服務(wù)就能聯(lián)合起來為在此連接上傳送的所有數(shù)據(jù)單元的來源提供確證，為這些數(shù)據(jù)單元的 完整性提供確證，例如使用順序號，可為數(shù)據(jù)單元的重放提供檢測。主要包括：(1) 帶恢復(fù)的連接完整性這種服務(wù)為N連接上的所有N用戶數(shù)據(jù)保證其完整性，并檢測整個SDU序列中的數(shù)據(jù) 遭到的任何篡改、插入、刪除或同時進行補救或恢復(fù)。(2) 無恢復(fù)的連接完整性與上款的服務(wù)相同，只是不做補救或恢復(fù)。(3) 選擇字段的連接完整性這種服務(wù)為在一次連接上傳送的N SDU的N用戶數(shù)據(jù)中的選擇字段保證其完整性，所取形式是確定這些被選字段是否遭受了篡改、插入、刪除或不可用。(4) 無連接完整性這種服務(wù)當(dāng)由N層提供時，對發(fā)出請求的那個 N+1實體提供了完整保護。這種服務(wù)為單個的無連接的SDU保證其完整性，所取形式可以是一個接收到的SDU是否遭受了篡改。此外，在一定程度上也能提供對連接重放的檢測。(5) 選擇字段無連接完整性這種服務(wù)為單個連接上的 SDU中的被選字段保證其完整性，所取形式為被選字段是否 遭受了篡改。5.抗否認這種服務(wù)可取如下兩