網路安全結構組成情況

① 簡要概述網路安全保障體系的總體框架

網路安全保障體系的總體框架

1．網路安全整體保障體系

計算機網路安全的整體保障作用，主要體現在整個系統生命周期對風險進行整體的管理、應對和控制。網路安全整體保障體系如圖1所示。

圖4 網路安全保障體系框架結構

【拓展閱讀】：風險管理是指在對風險的可能性和不確定性等因素進行收集、分析、評估、預測的基礎上，制定的識別、衡量、積極應對、有效處置風險及妥善處理風險等一整套系統而科學的管理方法，以避免和減少風險損失。網路安全管理的本質是對信息安全風險的動態有效管理和控制。風險管理是企業運營管理的核心，風險分為信用風險、市場風險和操作風險，其中包括信息安全風險。

實際上，在網路信息安全保障體系框架中，充分體現了風險管理的理念。網路安全保障體系架構包括五個部分：

(1)網路安全策略。以風險管理為核心理念，從長遠發展規劃和戰略角度通盤考慮網路建設安全。此項處於整個體系架構的上層，起到總體的戰略性和方向性指導的作用。

(2)網路安全政策和標准。網路安全政策和標準是對網路安全策略的逐層細化和落實，包括管理、運作和技術三個不同層面，在每一層面都有相應的安全政策和標准，通過落實標准政策規范管理、運作和技術，以保證其統一性和規范性。當三者發生變化時，相應的安全政策和標准也需要調整相互適應，反之，安全政策和標准也會影響管理、運作和技術。

(3)網路安全運作。網路安全運作基於風險管理理念的日常運作模式及其概念性流程（風險評估、安全控制規劃和實施、安全監控及響應恢復）。是網路安全保障體系的核心，貫穿網路安全始終；也是網路安全管理機制和技術機制在日常運作中的實現，涉及運作流程和運作管理。

(4)網路安全管理。網路安全管理是體系框架的上層基礎，對網路安全運作至關重要，從人員、意識、職責等方面保證網路安全運作的順利進行。網路安全通過運作體系實現，而網路安全管理體系是從人員組織的角度保證正常運作，網路安全技術體系是從技術角度保證運作。

(5)網路安全技術。網路安全運作需要的網路安全基礎服務和基礎設施的及時支持。先進完善的網路安全技術可以極大提高網路安全運作的有效性，從而達到網路安全保障體系的目標，實現整個生命周期（預防、保護、檢測、響應與恢復）的風險防範和控制。

引自高等教育出版社網路安全技術與實踐賈鐵軍主編2014.9

② 計算機網路安全的計算機網路安全體系結構

體系結構應用系統工程的觀點、方法來分析網路的安全，根據制定的安全策略，確定合理的網路安全體系結構。 1、公用網
2、專用網：
（1）保密網
（2）內部網 從原則上考慮：例如選取國家利益。
從安全級別上：1，最高級為安全不用，無論如何都是不可取的。2，3，4 全部要考慮。
因此按保密網、內部網和公用網或按專用網和公用網來建設，採用在物理上絕對分開，各自獨立的體系結構。 （1）計算機網路安全是一項獨立的專業還是依附在其他專業課程里學習的技術呢？
計算機網路安全在BENET課程有詳細的講解的，整個課程體系循序漸進，由淺入深。只要具備高中及相關學歷，對網路感興趣，遵循我們正確的教學方法，就能完全的學習掌握網路工程師的知識和技能。
（2）學習計算機網路安全畢業後的就業好嗎？
學習計算機網路安全技術後，可以做網路系統安全工程師，還可以做信息安防工程師，項目經理，技術主管等
（3）學習你們的課程需要英文基礎嗎？
學習最好是要掌握一點英文基礎，以便能看懂計算機常用的幾個單詞。但英語不好的同學也不用頭大，計算機英語很多都是簡寫的，而且重復性很高，不是像高中似的要你背很多單詞，我們的課程已經把學習的門檻降低了很多，不少內容都是用中文撰寫及解釋的，所以說你可以放心地學習。

③ 網路安全包括哪4個部分

網路安全包括：
1. 加密安全：主要是指數據在網路傳輸過程中的加密技術，以及客戶端和服務端之間的加密傳輸協議；
2. 用戶認證安全：主要是指網路設備和伺服器之間的認證機制，以及用戶登錄系統的身份驗證機制；
3. 網路審計安全：主要是指網路安全管理和審計，包括網路設備的安全管理、安全日誌審計和系統安全評估等；
4. 病毒及防護安全：主要是指病毒檢測、防護和清除技術，以及網路安全防護系統的管理和應用。
拓展：
5. 應用安全：主要是指Web安全、資料庫安全、防火牆安全、訪問控制安全等；
6. 終端安全：主要是指終端安全策略、安全操作系統、安全審計機制等；
7. 電子郵件安全：主要是指電子郵件的安全策略、安全過濾器、安全傳輸協議、安全存儲等；
8. 網路安全策略：主要是指網路安全策略的制定和實施，以及安全審核等。

④ 網路信息安全層次結構是什麼.

信息安全主要涉及到信息傳輸的安全、信息存儲的安全以及對網路傳輸信息內容的審計三方面。
鑒別

鑒別是對網路中的主體進行驗證的過程，通常有三種方法驗證主體身份。一是只有該主體了解的秘密，如口令、密鑰；二是主體攜帶的物品，如智能卡和令牌卡；三是只有該主體具有的獨一無二的特徵或能力，如指紋、聲音、視網膜或簽字等。

口令機制：口令是相互約定的代碼，假設只有用戶和系統知道。口令有時由用戶選擇，有時由系統分配。通常情況下，用戶先輸入某種標志信息，比如用戶名和ID號，然後系統詢問用戶口令，若口令與用戶文件中的相匹配，用戶即可進入訪問。口令有多種，如一次性口令，系統生成一次性口令的清單，第一次時必須使用X，第二次時必須使用Y，第三次時用Z，這樣一直下去；還有基於時間的口令，即訪問使用的正確口令隨時間變化，變化基於時間和一個秘密的用戶鑰匙。這樣口令每分鍾都在改變，使其更加難以猜測。

智能卡：訪問不但需要口令，也需要使用物理智能卡。在允許其進入系統之前檢查是否允許其接觸系統。智能卡大小形如信用卡，一般由微處理器、存儲器及輸入、輸出設施構成。微處理器可計算該卡的一個唯一數（ID）和其它數據的加密形式。ID保證卡的真實性，持卡人就可訪問系統。為防止智能卡遺失或被竊，許多系統需要卡和身份識別碼（PIN）同時使用。若僅有卡而不知PIN碼，則不能進入系統。智能卡比傳統的口令方法進行鑒別更好，但其攜帶不方便，且開戶費用較高。

主體特徵鑒別：利用個人特徵進行鑒別的方式具有很高的安全性。目前已有的設備包括：視網膜掃描儀、聲音驗證設備、手型識別器。
數據傳輸安全系統

數據傳輸加密技術 目的是對傳輸中的數據流加密，以防止通信線路上的竊聽、泄漏、篡改和破壞。如果以加密實現的通信層次來區分，加密可以在通信的三個不同層次來實現，即鏈路加密（位於OSI網路層以下的加密），節點加密，端到端加密（傳輸前對文件加密，位於OSI網路層以上的加密）。

一般常用的是鏈路加密和端到端加密這兩種方式。鏈路加密側重與在通信鏈路上而不考慮信源和信宿，是對保密信息通過各鏈路採用不同的加密密鑰提供安全保護。鏈路加密是面向節點的，對於網路高層主體是透明的，它對高層的協議信息（地址、檢錯、幀頭幀尾）都加密，因此數據在傳輸中是密文的，但在中央節點必須解密得到路由信息。端到端加密則指信息由發送端自動加密，並進入TCP/IP數據包回封，然後作為不可閱讀和不可識別的數據穿過互聯網，當這些信息一旦到達目的地，將自動重組、解密，成為可讀數據。端到端加密是面向網路高層主體的，它不對下層協議進行信息加密，協議信息以明文形式傳輸，用戶數據在中央節點不需解密。

數據完整性鑒別技術 目前，對於動態傳輸的信息，許多協議確保信息完整性的方法大多是收錯重傳、丟棄後續包的辦法，但黑客的攻擊可以改變信息包內部的內容，所以應採取有效的措施來進行完整性控制。

報文鑒別：與數據鏈路層的CRC控制類似，將報文名欄位（或域）使用一定的操作組成一個約束值，稱為該報文的完整性檢測向量ICV（Integrated Check Vector）。然後將它與數據封裝在一起進行加密，傳輸過程中由於侵入者不能對報文解密，所以也就不能同時修改數據並計算新的ICV，這樣，接收方收到數據後解密並計算ICV，若與明文中的ICV不同，則認為此報文無效。

校驗和：一個最簡單易行的完整性控制方法是使用校驗和，計算出該文件的校驗和值並與上次計算出的值比較。若相等，說明文件沒有改變；若不等，則說明文件可能被未察覺的行為改變了。校驗和方式可以查錯，但不能保護數據。

加密校驗和：將文件分成小快，對每一塊計算CRC校驗值，然後再將這些CRC值加起來作為校驗和。只要運用恰當的演算法，這種完整性控制機制幾乎無法攻破。但這種機制運算量大，並且昂貴，只適用於那些完整性要求保護極高的情況。

消息完整性編碼MIC（Message Integrity Code）：使用簡單單向散列函數計算消息的摘要，連同信息發送給接收方，接收方重新計算摘要，並進行比較驗證信息在傳輸過程中的完整性。這種散列函數的特點是任何兩個不同的輸入不可能產生兩個相同的輸出。因此，一個被修改的文件不可能有同樣的散列值。單向散列函數能夠在不同的系統中高效實現。

防抵賴技術 它包括對源和目的地雙方的證明，常用方法是數字簽名，數字簽名採用一定的數據交換協議，使得通信雙方能夠滿足兩個條件：接收方能夠鑒別發送方所宣稱的身份，發送方以後不能否認他發送過數據這一事實。比如，通信的雙方採用公鑰體制，發方使用收方的公鑰和自己的私鑰加密的信息，只有收方憑借自己的私鑰和發方的公鑰解密之後才能讀懂，而對於收方的回執也是同樣道理。另外實現防抵賴的途徑還有：採用可信第三方的權標、使用時戳、採用一個在線的第三方、數字簽名與時戳相結合等。

鑒於為保障數據傳輸的安全，需採用數據傳輸加密技術、數據完整性鑒別技術及防抵賴技術。因此為節省投資、簡化系統配置、便於管理、使用方便，有必要選取集成的安全保密技術措施及設備。這種設備應能夠為大型網路系統的主機或重點伺服器提供加密服務，為應用系統提供安全性強的數字簽名和自動密鑰分發功能，支持多種單向散列函數和校驗碼演算法，以實現對數據完整性的鑒別。
數據存儲安全系統

在計算機信息系統中存儲的信息主要包括純粹的數據信息和各種功能文件信息兩大類。對純粹數據信息的安全保護，以資料庫信息的保護最為典型。而對各種功能文件的保護，終端安全很重要。

資料庫安全：對資料庫系統所管理的數據和資源提供安全保護，一般包括以下幾點。一，物理完整性，即數據能夠免於物理方面破壞的問題，如掉電、火災等；二，邏輯完整性，能夠保持資料庫的結構，如對一個欄位的修改不至於影響其它欄位；三，元素完整性，包括在每個元素中的數據是准確的；四，數據的加密；五，用戶鑒別，確保每個用戶被正確識別，避免非法用戶入侵；六，可獲得性，指用戶一般可訪問資料庫和所有授權訪問的數據；七，可審計性，能夠追蹤到誰訪問過資料庫。

要實現對資料庫的安全保護，一種選擇是安全資料庫系統，即從系統的設計、實現、使用和管理等各個階段都要遵循一套完整的系統安全策略；二是以現有資料庫系統所提供的功能為基礎構作安全模塊，旨在增強現有資料庫系統的安全性。

終端安全：主要解決微機信息的安全保護問題，一般的安全功能如下。基於口令或（和）密碼演算法的身份驗證，防止非法使用機器；自主和強制存取控制，防止非法訪問文件；多級許可權管理，防止越權操作；存儲設備安全管理，防止非法軟盤拷貝和硬碟啟動；數據和程序代碼加密存儲，防止信息被竊；預防病毒，防止病毒侵襲；嚴格的審計跟蹤，便於追查責任事故。

信息內容審計系統
實時對進出內部網路的信息進行內容審計，以防止或追查可能的泄密行為。因此，為了滿足國家保密法的要求，在某些重要或涉密網路，應該安裝使用此系統。

⑤ 計算機網路安全組成

網路有七層，每層都有安全。中間也就是協議的轉換，所以安全也就是通過控制或者監控支持這些協議的的埠。

物理層：

物理層（physical layer）的主要功能是完成相鄰結點之間原始比特流傳輸。物理層協議關心的典型問題是使用什麼樣的物理信號來表示數據0和1。1位持續的時間多長。數據傳輸是否可同時在兩個方向上進行。最初的廉潔如何建立以及完成通信後連接如何終止。物理介面（插頭和插座）有多少針以及各針的作用。物理層的設計主要涉及物理層介面的機械、電氣、功能和過電特性，以及物理層介面連接的傳輸介質等問題。物理層的實際還涉及到通信工程領域內的一些問題。

數據鏈路層：

數據鏈路層（data link layer）的主要功能是如何在不可靠的物理線路上進行數據的可靠傳輸。數據鏈路層完成的是網路中相鄰結點之間可靠的數據通信。為了保證書覺得可靠傳輸，發送出的數據針，並按順序傳送個針。由於物理線路不可靠，因此發送方發出的數據針有可能在線路上出錯或丟失，從而導致接受方無法正確接收數據。為了保證能讓接收方對接收到的數據進行正確的判斷，發送方位每個數據塊計算出CRC（循環冗餘檢驗）並加入到針中，這樣接收方就可以通過重新計算CRC來判斷接收到的數據是否正確。一旦接收方發現接收到的數據有錯誤，則發送方必須重新傳送這一數據。然而，相同的數據多次傳送也可能是接收方收到重復的數據。
數據鏈路層要解決的另一個問題是防止高速發送方的數據把低速接收方「淹沒」。因此需要某種信息流量控制機制使發送方得知接收方當前還有多少緩存空間。為了控制的方便，流量控制常常和差錯處理一同實現。
在廣域網中，數據鏈路層負責主機IMP、IMP-IMP之間數據的可靠傳送。在區域網中，數據鏈路層負責制及之間數據的可靠傳輸。

網路層：

網路層（network layer）的主要功能是完成網路中主機間的報文傳輸，其關鍵問題之一是使用數據鏈路層的服務將每個報文從源端傳輸到目的端。在廣域網中，這包括產生從源端到目的端的路由，並要求這條路徑經過盡可能少的IMP。如果在子網中同時出現過多的報文，子網就可能形成擁塞，因為必須加以避免這種情況的出現。
當報文不得不跨越兩個或多個網路時，又會帶來很多新問題。比
在單個區域網中，網路層是冗餘的，因為報文是直接從一台計算機傳送到另一台計算機的，因此網路層所要做的工作很少。

傳輸層：

傳輸層（transport layer）的主要功能是實現網路中不同主機上的用戶進程之間可靠的數據通信。
傳輸層要決定會話層用戶（最終對網路用戶）提供什麼樣的服務。最好的傳輸連接是一條無差錯的、按順序傳送數據的管道，即傳輸層連接時真正的點到點。
由於絕大多數的主機都支持多用戶操作，因而機器上有多道程序就意味著將有多條連接進出於這些主機，因此需要以某種方式區別報文屬於哪條連接。識別這些連接的信息可以放入傳輸層的報文頭中除了將幾個報文流多路復用到一條通道上，傳輸層還必須管理跨網連接的建立和取消。這就需要某種命名機制，使機器內的進程能夠講明它希望交談的對象。另外，還需要有一種機制來調節信息流，使高速主機不會過快的向低速主機傳送數據。盡管主機之間的流量控制與IMP之間的流量控制不盡相同。

會話層：

會話層（SESSION LAYER）允許不同機器上的用戶之間建立會話關系。會話層循序進行類似的傳輸層的普通數據的傳送，在某某些場合還提供了一些有用的增強型服務。允許用戶利用一次會話在遠端的分時系統上登陸，或者在兩台機器間傳遞文件。
會話層提供的服務之一是管理對話控制。會話層允許信息同時雙向傳輸，或任一時刻只能單向傳輸。如果屬於後者，類似於物理信道上的半雙工模式，會話層將記錄此時該輪到哪一方。一種與對話控制有關的服務是令牌管理（token management）。有些協議會保證雙方不能同時進行同樣的操作，這一點很重要。為了管理這些活動，會話層提供了令牌，令牌可以在會話雙方之間移動，只有持有令牌的一方可以執行某種關鍵性操作。另一種會話層服務是同步。如果在平均每小時出現一次大故障的網路上，兩台機器簡要進行一次兩小時的文件傳輸，試想會出現什麼樣的情況呢？每一次傳輸中途失敗後，都不得不重新傳送這個文件。當網路再次出現大故障時，可能又會半途而廢。為解決這個問題，會話層提供了一種方法，即在數據中插入同步點。每次網路出現故障後，僅僅重傳最後一個同步點以後的數據（這個其實就是斷點下載的原理）。

表示層：

表示層（presentation layer）用於完成某些特定功能，對這些功能人們常常希望找到普遍的解決辦法，而不必由每個用戶自己來實現。表示層以下各層只關心從源端機到目標機到目標機可靠的傳送比特流，而表示層關心的是所傳送的信息的語法和語義。表示層服務的一個典型例子就是大家一致選定的標准方法對數據進行編碼。大多數用戶程序之間並非交換隨機比特，而是交換諸如人名、日期、貨幣數量和發票之類的信息。這些對象使用字元串、整型數、浮點數的形式，以及由幾種簡單類型組成的數據結構來表示的。
在網路上計算機可能採用不同的數據表示，所以需要在數據傳輸時進行數據格式轉換。為了讓採用不同數據表示法的計算機之間能夠相互通信而且交換數據，就要在通信過程中使用抽象的數據結構來表示所傳送的數據。而在機器內部仍然採用各自的標准編碼。管理這些抽象數據結構，並在發送方將機器的內部編碼轉換為適合網上傳輸的傳送語法以及在接收方做相反的轉換等噢年工作都是由表示層來完成的。
另外，表示層還涉及數據壓縮和解壓、數據加密和解米等工作（winrar的那一套）。

應用層：

連網的目的在於支持運行於不同計算機的進程彼此之間的通信，而這些進程則是為用戶完成不同人物而設計的。可能的應用是多方面的，不受網路結構的限制。應用層（app;ocation layer）包括大量人們普遍需要的協議。雖然，對於需要通信的不同應用來說，應用層的協議都是必須的。例如：http、ftp、TCP/IP。
由於每個應用有不同的要求，應用層的協議集在OSI模型中並沒有定義。但是，有些確定的應用層協議，包括虛擬終端、文件傳輸、電子郵件等都可以作為標准化的候選。

⑥ 什麼是網路安全網路安全應包括幾方面內容

網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，網路服務不中斷。

網路安全應包括：企業安全制度、數據安全、傳輸安全、伺服器安全、防火牆安全（硬體或軟體實現、背靠背、DMZ等）、防病毒安全；

在網路上傳輸的個人信息(如銀行賬號和上網登錄口令等)不被他人發現，這就是用戶對網路上傳輸的信息具有保密性的要求。 在網路上傳輸的信息沒有被他人篡改，這就是用戶對網路上傳輸的信息具有完整性的要求。

(6)網路安全結構組成情況擴展閱讀：

網路傳輸的安全與傳輸的信息內容有密切的關系。信息內容的安全即信息安全，包括信息的保密性、真實性和完整性。

其中的信息安全需求，是指通信網路給人們提供信息查詢、網路服務時，保證服務對象的信息不受監聽、竊取和篡改等威脅，以滿足人們最基本的安全需要(如隱秘性、可用性等)的特性。

網路安全側重於網路傳輸的安全，信息安全側重於信息自身的安全，可見，這與其所保護的對象有關。