网络安全结构组成情况

① 简要概述网络安全保障体系的总体框架

网络安全保障体系的总体框架

1．网络安全整体保障体系

计算机网络安全的整体保障作用，主要体现在整个系统生命周期对风险进行整体的管理、应对和控制。网络安全整体保障体系如图1所示。

图4 网络安全保障体系框架结构

【拓展阅读】：风险管理是指在对风险的可能性和不确定性等因素进行收集、分析、评估、预测的基础上，制定的识别、衡量、积极应对、有效处置风险及妥善处理风险等一整套系统而科学的管理方法，以避免和减少风险损失。网络安全管理的本质是对信息安全风险的动态有效管理和控制。风险管理是企业运营管理的核心，风险分为信用风险、市场风险和操作风险，其中包括信息安全风险。

实际上，在网络信息安全保障体系框架中，充分体现了风险管理的理念。网络安全保障体系架构包括五个部分：

(1)网络安全策略。以风险管理为核心理念，从长远发展规划和战略角度通盘考虑网络建设安全。此项处于整个体系架构的上层，起到总体的战略性和方向性指导的作用。

(2)网络安全政策和标准。网络安全政策和标准是对网络安全策略的逐层细化和落实，包括管理、运作和技术三个不同层面，在每一层面都有相应的安全政策和标准，通过落实标准政策规范管理、运作和技术，以保证其统一性和规范性。当三者发生变化时，相应的安全政策和标准也需要调整相互适应，反之，安全政策和标准也会影响管理、运作和技术。

(3)网络安全运作。网络安全运作基于风险管理理念的日常运作模式及其概念性流程（风险评估、安全控制规划和实施、安全监控及响应恢复）。是网络安全保障体系的核心，贯穿网络安全始终；也是网络安全管理机制和技术机制在日常运作中的实现，涉及运作流程和运作管理。

(4)网络安全管理。网络安全管理是体系框架的上层基础，对网络安全运作至关重要，从人员、意识、职责等方面保证网络安全运作的顺利进行。网络安全通过运作体系实现，而网络安全管理体系是从人员组织的角度保证正常运作，网络安全技术体系是从技术角度保证运作。

(5)网络安全技术。网络安全运作需要的网络安全基础服务和基础设施的及时支持。先进完善的网络安全技术可以极大提高网络安全运作的有效性，从而达到网络安全保障体系的目标，实现整个生命周期（预防、保护、检测、响应与恢复）的风险防范和控制。

引自高等教育出版社网络安全技术与实践贾铁军主编2014.9

② 计算机网络安全的计算机网络安全体系结构

体系结构应用系统工程的观点、方法来分析网络的安全，根据制定的安全策略，确定合理的网络安全体系结构。 1、公用网
2、专用网：
（1）保密网
（2）内部网 从原则上考虑：例如选取国家利益。
从安全级别上：1，最高级为安全不用，无论如何都是不可取的。2，3，4 全部要考虑。
因此按保密网、内部网和公用网或按专用网和公用网来建设，采用在物理上绝对分开，各自独立的体系结构。 （1）计算机网络安全是一项独立的专业还是依附在其他专业课程里学习的技术呢？
计算机网络安全在BENET课程有详细的讲解的，整个课程体系循序渐进，由浅入深。只要具备高中及相关学历，对网络感兴趣，遵循我们正确的教学方法，就能完全的学习掌握网络工程师的知识和技能。
（2）学习计算机网络安全毕业后的就业好吗？
学习计算机网络安全技术后，可以做网络系统安全工程师，还可以做信息安防工程师，项目经理，技术主管等
（3）学习你们的课程需要英文基础吗？
学习最好是要掌握一点英文基础，以便能看懂计算机常用的几个单词。但英语不好的同学也不用头大，计算机英语很多都是简写的，而且重复性很高，不是像高中似的要你背很多单词，我们的课程已经把学习的门槛降低了很多，不少内容都是用中文撰写及解释的，所以说你可以放心地学习。

③ 网络安全包括哪4个部分

网络安全包括：
1. 加密安全：主要是指数据在网络传输过程中的加密技术，以及客户端和服务端之间的加密传输协议；
2. 用户认证安全：主要是指网络设备和服务器之间的认证机制，以及用户登录系统的身份验证机制；
3. 网络审计安全：主要是指网络安全管理和审计，包括网络设备的安全管理、安全日志审计和系统安全评估等；
4. 病毒及防护安全：主要是指病毒检测、防护和清除技术，以及网络安全防护系统的管理和应用。
拓展：
5. 应用安全：主要是指Web安全、数据库安全、防火墙安全、访问控制安全等；
6. 终端安全：主要是指终端安全策略、安全操作系统、安全审计机制等；
7. 电子邮件安全：主要是指电子邮件的安全策略、安全过滤器、安全传输协议、安全存储等；
8. 网络安全策略：主要是指网络安全策略的制定和实施，以及安全审核等。

④ 网络信息安全层次结构是什么.

信息安全主要涉及到信息传输的安全、信息存储的安全以及对网络传输信息内容的审计三方面。
鉴别

鉴别是对网络中的主体进行验证的过程，通常有三种方法验证主体身份。一是只有该主体了解的秘密，如口令、密钥；二是主体携带的物品，如智能卡和令牌卡；三是只有该主体具有的独一无二的特征或能力，如指纹、声音、视网膜或签字等。

口令机制：口令是相互约定的代码，假设只有用户和系统知道。口令有时由用户选择，有时由系统分配。通常情况下，用户先输入某种标志信息，比如用户名和ID号，然后系统询问用户口令，若口令与用户文件中的相匹配，用户即可进入访问。口令有多种，如一次性口令，系统生成一次性口令的清单，第一次时必须使用X，第二次时必须使用Y，第三次时用Z，这样一直下去；还有基于时间的口令，即访问使用的正确口令随时间变化，变化基于时间和一个秘密的用户钥匙。这样口令每分钟都在改变，使其更加难以猜测。

智能卡：访问不但需要口令，也需要使用物理智能卡。在允许其进入系统之前检查是否允许其接触系统。智能卡大小形如信用卡，一般由微处理器、存储器及输入、输出设施构成。微处理器可计算该卡的一个唯一数（ID）和其它数据的加密形式。ID保证卡的真实性，持卡人就可访问系统。为防止智能卡遗失或被窃，许多系统需要卡和身份识别码（PIN）同时使用。若仅有卡而不知PIN码，则不能进入系统。智能卡比传统的口令方法进行鉴别更好，但其携带不方便，且开户费用较高。

主体特征鉴别：利用个人特征进行鉴别的方式具有很高的安全性。目前已有的设备包括：视网膜扫描仪、声音验证设备、手型识别器。
数据传输安全系统

数据传输加密技术 目的是对传输中的数据流加密，以防止通信线路上的窃听、泄漏、篡改和破坏。如果以加密实现的通信层次来区分，加密可以在通信的三个不同层次来实现，即链路加密（位于OSI网络层以下的加密），节点加密，端到端加密（传输前对文件加密，位于OSI网络层以上的加密）。

一般常用的是链路加密和端到端加密这两种方式。链路加密侧重与在通信链路上而不考虑信源和信宿，是对保密信息通过各链路采用不同的加密密钥提供安全保护。链路加密是面向节点的，对于网络高层主体是透明的，它对高层的协议信息（地址、检错、帧头帧尾）都加密，因此数据在传输中是密文的，但在中央节点必须解密得到路由信息。端到端加密则指信息由发送端自动加密，并进入TCP/IP数据包回封，然后作为不可阅读和不可识别的数据穿过互联网，当这些信息一旦到达目的地，将自动重组、解密，成为可读数据。端到端加密是面向网络高层主体的，它不对下层协议进行信息加密，协议信息以明文形式传输，用户数据在中央节点不需解密。

数据完整性鉴别技术 目前，对于动态传输的信息，许多协议确保信息完整性的方法大多是收错重传、丢弃后续包的办法，但黑客的攻击可以改变信息包内部的内容，所以应采取有效的措施来进行完整性控制。

报文鉴别：与数据链路层的CRC控制类似，将报文名字段（或域）使用一定的操作组成一个约束值，称为该报文的完整性检测向量ICV（Integrated Check Vector）。然后将它与数据封装在一起进行加密，传输过程中由于侵入者不能对报文解密，所以也就不能同时修改数据并计算新的ICV，这样，接收方收到数据后解密并计算ICV，若与明文中的ICV不同，则认为此报文无效。

校验和：一个最简单易行的完整性控制方法是使用校验和，计算出该文件的校验和值并与上次计算出的值比较。若相等，说明文件没有改变；若不等，则说明文件可能被未察觉的行为改变了。校验和方式可以查错，但不能保护数据。

加密校验和：将文件分成小快，对每一块计算CRC校验值，然后再将这些CRC值加起来作为校验和。只要运用恰当的算法，这种完整性控制机制几乎无法攻破。但这种机制运算量大，并且昂贵，只适用于那些完整性要求保护极高的情况。

消息完整性编码MIC（Message Integrity Code）：使用简单单向散列函数计算消息的摘要，连同信息发送给接收方，接收方重新计算摘要，并进行比较验证信息在传输过程中的完整性。这种散列函数的特点是任何两个不同的输入不可能产生两个相同的输出。因此，一个被修改的文件不可能有同样的散列值。单向散列函数能够在不同的系统中高效实现。

防抵赖技术 它包括对源和目的地双方的证明，常用方法是数字签名，数字签名采用一定的数据交换协议，使得通信双方能够满足两个条件：接收方能够鉴别发送方所宣称的身份，发送方以后不能否认他发送过数据这一事实。比如，通信的双方采用公钥体制，发方使用收方的公钥和自己的私钥加密的信息，只有收方凭借自己的私钥和发方的公钥解密之后才能读懂，而对于收方的回执也是同样道理。另外实现防抵赖的途径还有：采用可信第三方的权标、使用时戳、采用一个在线的第三方、数字签名与时戳相结合等。

鉴于为保障数据传输的安全，需采用数据传输加密技术、数据完整性鉴别技术及防抵赖技术。因此为节省投资、简化系统配置、便于管理、使用方便，有必要选取集成的安全保密技术措施及设备。这种设备应能够为大型网络系统的主机或重点服务器提供加密服务，为应用系统提供安全性强的数字签名和自动密钥分发功能，支持多种单向散列函数和校验码算法，以实现对数据完整性的鉴别。
数据存储安全系统

在计算机信息系统中存储的信息主要包括纯粹的数据信息和各种功能文件信息两大类。对纯粹数据信息的安全保护，以数据库信息的保护最为典型。而对各种功能文件的保护，终端安全很重要。

数据库安全：对数据库系统所管理的数据和资源提供安全保护，一般包括以下几点。一，物理完整性，即数据能够免于物理方面破坏的问题，如掉电、火灾等；二，逻辑完整性，能够保持数据库的结构，如对一个字段的修改不至于影响其它字段；三，元素完整性，包括在每个元素中的数据是准确的；四，数据的加密；五，用户鉴别，确保每个用户被正确识别，避免非法用户入侵；六，可获得性，指用户一般可访问数据库和所有授权访问的数据；七，可审计性，能够追踪到谁访问过数据库。

要实现对数据库的安全保护，一种选择是安全数据库系统，即从系统的设计、实现、使用和管理等各个阶段都要遵循一套完整的系统安全策略；二是以现有数据库系统所提供的功能为基础构作安全模块，旨在增强现有数据库系统的安全性。

终端安全：主要解决微机信息的安全保护问题，一般的安全功能如下。基于口令或（和）密码算法的身份验证，防止非法使用机器；自主和强制存取控制，防止非法访问文件；多级权限管理，防止越权操作；存储设备安全管理，防止非法软盘拷贝和硬盘启动；数据和程序代码加密存储，防止信息被窃；预防病毒，防止病毒侵袭；严格的审计跟踪，便于追查责任事故。

信息内容审计系统
实时对进出内部网络的信息进行内容审计，以防止或追查可能的泄密行为。因此，为了满足国家保密法的要求，在某些重要或涉密网络，应该安装使用此系统。

⑤ 计算机网络安全组成

网络有七层，每层都有安全。中间也就是协议的转换，所以安全也就是通过控制或者监控支持这些协议的的端口。

物理层：

物理层（physical layer）的主要功能是完成相邻结点之间原始比特流传输。物理层协议关心的典型问题是使用什么样的物理信号来表示数据0和1。1位持续的时间多长。数据传输是否可同时在两个方向上进行。最初的廉洁如何建立以及完成通信后连接如何终止。物理接口（插头和插座）有多少针以及各针的作用。物理层的设计主要涉及物理层接口的机械、电气、功能和过电特性，以及物理层接口连接的传输介质等问题。物理层的实际还涉及到通信工程领域内的一些问题。

数据链路层：

数据链路层（data link layer）的主要功能是如何在不可靠的物理线路上进行数据的可靠传输。数据链路层完成的是网络中相邻结点之间可靠的数据通信。为了保证书觉得可靠传输，发送出的数据针，并按顺序传送个针。由于物理线路不可靠，因此发送方发出的数据针有可能在线路上出错或丢失，从而导致接受方无法正确接收数据。为了保证能让接收方对接收到的数据进行正确的判断，发送方位每个数据块计算出CRC（循环冗余检验）并加入到针中，这样接收方就可以通过重新计算CRC来判断接收到的数据是否正确。一旦接收方发现接收到的数据有错误，则发送方必须重新传送这一数据。然而，相同的数据多次传送也可能是接收方收到重复的数据。
数据链路层要解决的另一个问题是防止高速发送方的数据把低速接收方“淹没”。因此需要某种信息流量控制机制使发送方得知接收方当前还有多少缓存空间。为了控制的方便，流量控制常常和差错处理一同实现。
在广域网中，数据链路层负责主机IMP、IMP-IMP之间数据的可靠传送。在局域网中，数据链路层负责制及之间数据的可靠传输。

网络层：

网络层（network layer）的主要功能是完成网络中主机间的报文传输，其关键问题之一是使用数据链路层的服务将每个报文从源端传输到目的端。在广域网中，这包括产生从源端到目的端的路由，并要求这条路径经过尽可能少的IMP。如果在子网中同时出现过多的报文，子网就可能形成拥塞，因为必须加以避免这种情况的出现。
当报文不得不跨越两个或多个网络时，又会带来很多新问题。比
在单个局域网中，网络层是冗余的，因为报文是直接从一台计算机传送到另一台计算机的，因此网络层所要做的工作很少。

传输层：

传输层（transport layer）的主要功能是实现网络中不同主机上的用户进程之间可靠的数据通信。
传输层要决定会话层用户（最终对网络用户）提供什么样的服务。最好的传输连接是一条无差错的、按顺序传送数据的管道，即传输层连接时真正的点到点。
由于绝大多数的主机都支持多用户操作，因而机器上有多道程序就意味着将有多条连接进出于这些主机，因此需要以某种方式区别报文属于哪条连接。识别这些连接的信息可以放入传输层的报文头中除了将几个报文流多路复用到一条通道上，传输层还必须管理跨网连接的建立和取消。这就需要某种命名机制，使机器内的进程能够讲明它希望交谈的对象。另外，还需要有一种机制来调节信息流，使高速主机不会过快的向低速主机传送数据。尽管主机之间的流量控制与IMP之间的流量控制不尽相同。

会话层：

会话层（SESSION LAYER）允许不同机器上的用户之间建立会话关系。会话层循序进行类似的传输层的普通数据的传送，在某某些场合还提供了一些有用的增强型服务。允许用户利用一次会话在远端的分时系统上登陆，或者在两台机器间传递文件。
会话层提供的服务之一是管理对话控制。会话层允许信息同时双向传输，或任一时刻只能单向传输。如果属于后者，类似于物理信道上的半双工模式，会话层将记录此时该轮到哪一方。一种与对话控制有关的服务是令牌管理（token management）。有些协议会保证双方不能同时进行同样的操作，这一点很重要。为了管理这些活动，会话层提供了令牌，令牌可以在会话双方之间移动，只有持有令牌的一方可以执行某种关键性操作。另一种会话层服务是同步。如果在平均每小时出现一次大故障的网络上，两台机器简要进行一次两小时的文件传输，试想会出现什么样的情况呢？每一次传输中途失败后，都不得不重新传送这个文件。当网络再次出现大故障时，可能又会半途而废。为解决这个问题，会话层提供了一种方法，即在数据中插入同步点。每次网络出现故障后，仅仅重传最后一个同步点以后的数据（这个其实就是断点下载的原理）。

表示层：

表示层（presentation layer）用于完成某些特定功能，对这些功能人们常常希望找到普遍的解决办法，而不必由每个用户自己来实现。表示层以下各层只关心从源端机到目标机到目标机可靠的传送比特流，而表示层关心的是所传送的信息的语法和语义。表示层服务的一个典型例子就是大家一致选定的标准方法对数据进行编码。大多数用户程序之间并非交换随机比特，而是交换诸如人名、日期、货币数量和发票之类的信息。这些对象使用字符串、整型数、浮点数的形式，以及由几种简单类型组成的数据结构来表示的。
在网络上计算机可能采用不同的数据表示，所以需要在数据传输时进行数据格式转换。为了让采用不同数据表示法的计算机之间能够相互通信而且交换数据，就要在通信过程中使用抽象的数据结构来表示所传送的数据。而在机器内部仍然采用各自的标准编码。管理这些抽象数据结构，并在发送方将机器的内部编码转换为适合网上传输的传送语法以及在接收方做相反的转换等噢年工作都是由表示层来完成的。
另外，表示层还涉及数据压缩和解压、数据加密和解米等工作（winrar的那一套）。

应用层：

连网的目的在于支持运行于不同计算机的进程彼此之间的通信，而这些进程则是为用户完成不同人物而设计的。可能的应用是多方面的，不受网络结构的限制。应用层（app;ocation layer）包括大量人们普遍需要的协议。虽然，对于需要通信的不同应用来说，应用层的协议都是必须的。例如：http、ftp、TCP/IP。
由于每个应用有不同的要求，应用层的协议集在OSI模型中并没有定义。但是，有些确定的应用层协议，包括虚拟终端、文件传输、电子邮件等都可以作为标准化的候选。

⑥ 什么是网络安全网络安全应包括几方面内容

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

网络安全应包括：企业安全制度、数据安全、传输安全、服务器安全、防火墙安全（硬件或软件实现、背靠背、DMZ等）、防病毒安全；

在网络上传输的个人信息(如银行账号和上网登录口令等)不被他人发现，这就是用户对网络上传输的信息具有保密性的要求。 在网络上传输的信息没有被他人篡改，这就是用户对网络上传输的信息具有完整性的要求。

(6)网络安全结构组成情况扩展阅读：

网络传输的安全与传输的信息内容有密切的关系。信息内容的安全即信息安全，包括信息的保密性、真实性和完整性。

其中的信息安全需求，是指通信网络给人们提供信息查询、网络服务时，保证服务对象的信息不受监听、窃取和篡改等威胁，以满足人们最基本的安全需要(如隐秘性、可用性等)的特性。

网络安全侧重于网络传输的安全，信息安全侧重于信息自身的安全，可见，这与其所保护的对象有关。