計算機網路體系結構是指計算機網路層次結構模型,它是各層的協議以及層次之間的埠的集合。
目前廣泛採用的是國際標准化組織(ISO)1997年提出的開放系統互聯(Open
System Interconnection,OSI)參考模型,習慣上稱為ISO/OSI參考模型。
在OSI七層參考模型的體系結構中,由低層至高層分別稱為物理層、數據鏈路層、網路層、運輸層、會話層、表示層和應用層
原因:為把在一個網路結構下開發的系統與在另一個網路結構下開發的系統互聯起來,以實現更高一級的應用,使異種機之間的通信成為可能,便於網路結構標准化;
並且由於全球經濟的發展使得處在不同網路體系結構的用戶迫切要求能夠互相交換信息;
為此,國際標准化組織ISO成立了專門的機構研究該問題,並於1977年提出了一個試圖使各種計算機在世界范圍內互聯成網的標准框架,即著名的開放系統互連基本參考模型OSI/RM (Open System Interconnection Reference Model)。
(1)什麼是計算機網路的體系結構擴展閱讀:
OSI模型體系結構:
物理層(Physical,PH)物理層的任務就是為上層提供一個物理的連接,以及該物理連接表現出來的機械、電氣、功能和過程特性,實現透明的比特流傳輸。
數據鏈路層(Data-link,D)實現的主要功能有:幀的同步、差錯控制、流量控制、定址、幀內定界、透明比特組合傳輸等。
網路層(Network,N)網路層的主要任務是為要傳輸的分組選擇一條合適的路徑,使發送分組能夠正確無誤地按照給定的目的地址找到目的主機,交付給目的主機的傳輸層。
傳輸層(Transport,T)傳輸層向上一層提供一個可靠的端到端的服務,使會話層不知道傳輸層以下的數據通信的細節
會話層(Session,S)提供包括訪問驗證和會話管理在內的建立以及維護應用之間的通信機制。如伺服器驗證用戶登錄便是由會話層完成的。
表示層(Presentation,P)數據的壓縮和解壓縮、加密和解密等工作都由表示層負責。
應用層(Application,A)應用層確定進程之間通信的性質以滿足用戶的需求,以及提供網路與用戶軟體之間的介面服務。
⑵ 計算機網路體系結構的體系結構
計算機網路是一個復雜的具有綜合性技術的系統,為了允許不同系統實體互連和互操作,不同系統的實體在通信時都必須遵從相互均能接受的規則,這些規則的集合稱為協議(Protocol)。
系統指計算機、終端和各種設備。
實體指各種應用程序,文件傳輸軟體,資料庫管理系統,電子郵件系統等。
互連指不同計算機能夠通過通信子網互相連接起來進行數據通信。
互操作指不同的用戶能夠在通過通信子網連接的計算機上,使用相同的命令或操作,使用其它計算機中的資源與信息,就如同使用本地資源與信息一樣。
計算機網路體系結構為不同的計算機之間互連和互操作提供相應的規范和標准。
⑶ 計算機網路體系結構的概念是什麼
計算機網路體系結構是指計算機網路層次結構模型,它是各層的協議以及層次之間的埠的集合。在計算機網路中實現通信必須依靠網路通信協議,目前廣泛採用的是國際標准化組織(ISO)1997年提出的開放系統互聯(Open System Interconnection,OSI)參考模型,習慣上稱為ISO/OSI參考模型。
計算機網路體系結構的標准
由國際化標准組織ISO制定的網路體系結構國際標準是 OSI七層模型,但實際中應用最廣泛的是 TCP/IP體系結構。換句話說,OSI七層模型只是理論上的、官方制定的國際標准,而TCP/IP體系結構才是事實上的國際標准。這看起來是不可理喻的,但這卻是實際存在的,是一些歷史原因造成的,無疑這些原因又是復雜的。
OSI標準的制定者以專家、學者為主,他們缺乏實際經驗和商業驅動力,並且OSI標准自身運行效率也不怎麼好。與此同時,由於Inernet在全世界覆蓋了相當大的范圍,並且佔領市場的標準是TCP/IP體系結構,因此導致OSI標准沒有市場背景,也就只是理論上的成果,並沒有過多地應用於實踐。
⑷ 何謂計算機網路的體系結構與網路協議
計算機協議及體系結構網路協議與層次結構
1.2.1網路體系結構
1.網路協議
通過通信信道和網路設備互聯起來的不同地理位置的多個計算機系統,要使其能協同工作實現信息交換和資源共享,它們之間必須具有共同的語言。交流什麼、怎樣交流及何時交流,都必須遵循某種互相都能接受的規則。
網路協議(Protocol)是為進行計算機網路中的數據交換而建立的規則、標准或約定的集
合。准確地說,它是對同等實體之間通信而制定的有關規則和約定的集合;
網路協議的三個要素: 、
l)語義(Semarlties)涉及用於協調與差錯處理的控制信息。
2)語法(Syntax)涉及數據及控制信息的格式、編碼及信號電平等。
3)定時(Timing)涉及速度匹配和定序等。
2.網路的體系結構及其劃分所遵循的原則計算機網路系統是一個十分復雜的系統。將一個復雜系統分解為若干個容
易處理的子系統。分層就是系統分解的最好方法之一。
在圖1-4所示的一般分層結構中,n層是n-l層的用戶,又是n+l層的服務提供者。n+1層雖然只直接使用了n層提供的服務,實際上它通過n層還間接地使用了n-1層以及以下所有各層的服務。、
層次結構的好處在於使每一層實現一種相對獨立的功能。分層結構還有利於交流、理解和標准化。
所謂網路的層次模型就是計算機網路各層次及其協議的 集合。層次結構一般以垂直分層模型來表示, 層次結構的要點:
1)除了在物理媒體上進行的是實通信之外,其餘各 對等實體間進行的都是虛通信。
2)對等層的虛通信必須遵循該層的協議。
3)n層的虛通信是通過n/n-l層間介面處n-l層提供的服務以及n-1層的通信(通常也
是虛通信)來實現的。
1.2.2網路體系結構
網路體系結構最常用的分為兩種:
OSI七層結構和TCP/IP(TramferControlProtocol/InternetProtocol,傳輸控制協議/網際協議)四層結構。TCP/IP協議是Internet的核心協議。
1.OSI/RM基本參考模型
開放系統互聯(OpenSystemIntercomectim)基本參考模型是由國際標准化組織(ISO)
制定的標准化開放式計算機網路層次結構模型,又稱ISO/OSI參考模型。"開放"這個詞表示能使任何兩個遵守參考模型和有關標準的系統可以進行互聯。
OSI/RM包括了體系結構、服務定義和協議規范三級抽象。OSI的體系結構定義了一個七層模型,用以進行進程間的通信,並作為一個框架來協調各層標準的制定gOSI的服務定義描述了各層所提供的服務,以及層與層之間的抽象介面和交互用的服務原語:OSI各層的協議規范,精確地定義了應當發送何種控制信息及何種過程來解釋該控制信息。
OSI/RM的七層參考模型結構包括:從下至上分別為物理層、數據鏈路層、網路層、傳輸層,
會話層、表示層和應用層。
2.Internet層次模型
Internet網路結構以TCP/IP協議層次模型為核心,
共分四層結構:應用層、傳輸層、網際層和網路介面層。TCP/IP的體系結構與ISO的OSI七層參考模型的對應關系如圖1-6所示。TCP/IP是Internet的核心,利用TCP/IP協議可以方便地實現各種網路的平滑、無縫連接。在TCP/IP四層模型中,作為最高層的應用層相當於OSI的5~7層,該層中包括了所有的高層協議,如常見的文件傳輸協議FTP(文件傳輸協議)、電子郵件SMTP,(簡單郵件傳送協議)、域名系統DNS(域名服務)、網路管理協議SNMP、訪問WWW的超文本傳輸協議HTTP、遠程終端訪問協議TELNET等。
TCP/IP的次高層為傳輸層,相當於OSI的傳輸層,該層負責在源主機和目的主機之間提供端到端的數據傳輸服務。這一層上主要定義了兩個協議:面向連接的傳輸控制協議TCP和無連接的用戶數據報協議UDP(UserDatagramProtocol)。
TCP/IP的第二層相當於OSI的網路層,該層負責將報文(數據包)獨立地從信源傳送到信宿,主要解決路由選擇、阻塞控制級網際互聯問題。這一層上定義了網際協議(InternetProtocol,IP協議)、地址轉換協議ARP(AddressResolutionProtocol)、反向地址轉換協議RARP(ReverseARP)和網際控制報文協議ICMP()等協議。
TCP/IP的最低層為網路介面層,該層負責將IP分組封裝成適合在物理網路上傳輸的幀格式並發送出去,或將從物理網路接收到的幀卸裝並遞交給高層。這一層與物理網路的具體實現有關,自身並無專用的協議。事實上,任何能傳輸IP報文的協議都可以運行。雖然該層一般不需要專門的TCP/IP協議,各物理網路可使用自己的數據鏈路層協議和物理層協議。
3.Internet主要協議
TCP/IP協議集的各層協議的總和亦稱作協議枝。給出了TCP/IP協議集與OSI參
考模型的對應關系。其中每一層都有著多種協議。一般來說,TCP提供傳輸層服務,而IP提供網路層服務。
(l)TCP/IP的數據鏈路層
數據鏈路層不是TCP/IP協議的一部分,但它是TCP/IP與各種通信網之間的介面。這些通信網包括多種廣域網和各種區域網。
一般情況下,各物理網路可以使用自己的數據鏈路層協議和物理層協議,不需要在數據鏈路層上設置專門的TCP/IP協議。但是,當使用串列線路連接主機與網路,或連接網路與網路時,例如用戶使用電話線接入網路肘,則需要在數據鏈路層運行專門的SLIP(SerialLineIP)協議的PPP(PointtoPointProtocol)協議。
(2)TCP/IP網路層
網路層最重要的協議是IP,它將多個網路聯成一個互聯網,可以把高層的數據以多個數據報的形式通過互聯網分發出去。
網路層的功能主要由IP來提供。除了提供端到端的報文分發功能外,IP還提供了很多擴充功能。例如:為了克服數據鏈路層對幀大小的限制,網路層提供了數據分塊和重組功能,這使得很大的IP數據報能以較小的報文在網上傳輸。
網路層的另一個重要服務是在互相獨立的區域網上建立互聯網路,即網際網。網間的報文來往根據它的目的IP地址通過路由器傳到另一網路。
IP的基本任務是通過互聯網傳送數據報,各個IP數據報之間是相互獨立的。主機上的IP層向傳輸層提供服務。IP從源傳輸實體取得數據,通過它的數據鏈路層服務傳給目的主機的IP層。IP不保證服務的可靠性,在主機資源不足的情況下,它可能丟棄某些數據報,同時IP也不檢查被數據鏈路層丟棄的報文。
在傳送時,高層協議將數據傳給IP層,IP層再將數據封裝為互聯網數據報,並交給數據鏈路層協議通過區域網傳送。若目的主機直接連在本區域網中,IP可直接通過網路將數據報傳給
目的主機;若目的主機在其他網路中,則IP路由器傳送數據報,而路由器則依次通過下一網路將數據報傳送到目的主機或再下一個路由器。即IP數據報是通過互聯網路逐步傳遞,直到終點 為止。
(3)TCP/IP傳輸層
TCP/IP在這一層提供了兩個主要的協議:傳輸控制協議(TCP)和用戶數據協議(UDP)。TCP提供的是一種可靠的數據流服務。當傳送有差錯數據,或網路故障,或網路負荷太
重不能正常工作時,就需要通過其他協議來保證通信的可靠。TCP就是這樣的協議,它對應於OSI模型的傳輸層,它在IP協議的基礎上,提供端到端的面向連接的可靠傳輸。
TCP採用"帶重傳的肯定確認"技術來實現傳輸的可靠性。簡單的"帶重傳的肯定確認"是指與發送方通信的接收者,每接收一次數據,就送回一個確認報文J發送者對每個發出去的
報文都留一份記錄,等到收到確認之後再發出下一報文。發送者發出報文時,啟動計時器,若計時器計數完畢,確認還未到達,則發送者重新發送該報文。
TCP通信建立在面向連接的基礎上,實現了一種"虛電路"的概念。雙方通信之前,先建立一條連接,然後雙方就可以在其上發送數據流。這種數據交換方式能提高效率,但事先建立連接和事後拆除連接需要開銷。
4.TCP/IP協議族中的其他協議
TCP/IP是網路中使用的基本的通信協議,是一系列協議和服務的總集。雖然從名字上看
τCP/IP包括兩個協議一一…傳輸控制協議(TCP)和網際協議(IP),但TCP/IP實際上是一組協議,包括了上百個各種功能的協議,如:遠程登錄、文件傳輸和電子郵件(PPP,ICMP,ARP/
RARP,UDP,FTP,HTTP,SMTP,SNMP,RIP,OSPF)等協議,而TCP協議和IP協議是保證數據完整傳輸的兩個最基本的重要協議。通常說TCP/IP是指TCP/IP協議族,而不單單是TCP和IP。TCP/IP依靠TCP和IP這兩個主要協議提供的服務,加上高層應用層的服務,共同實現了TCP/IP協議族的功能。
TCP/IP的最高層與OSI參考模型的上三層有較大區別,也沒有非常明確的層次劃分。其中FTP,TELNET,SMTP,DNS是幾種廣泛應用的協議,TCP/IP中還定義了許多別的高層協議。
(l)文件傳輸協議FTP
FTP(FileTransferProtocol):文件傳輸協議,允許用戶將遠程主機上的文件拷貝到自
己的計算機上。
文件傳輸協議是用於訪問遠程機器的專門協議,它使用戶可以在本地機與遠程機之間進行有關文件的操作。FTP工作時建立兩條TCP連接,條用於傳送文件,另一條用於傳送控制。
FTP採用客戶/伺服器模式,它包含FTP客戶端和FTP伺服器。客戶啟動傳送過程,而服 務器對其做出應答。客戶FTP大多有互動式界面,使客戶可以方便地上傳或下載文件。
(2)遠程終端訪問TELNET
Telnet(RemoteLogin):提供遠程登錄功能,用戶可以登錄到遠程的另一台計算機土,如同在遠程主機上直接操作一樣。
設備或終端進程交互的方訟,支持終端到終端的連接及進程到進程分布式計算的通信。
(3)域名服務DNS
DNS是一個域名服務的協議,提供域名到IP地址的轉換,允許對域名資源進行分散管理。(4)簡單郵件傳送協議SMTP
SMTP(SimpleMailTransferProtocol,簡單郵件傳輸協議),用於傳輸電子郵件。
互聯網標准中的電子郵件是基於文件的協議,用於可靠、有效的數據傳輸。SMTP作為應用層的服務,並不關心它下面採用的是何種傳輸服務,它可通過網路在TCP連接上傳送郵件, 或者簡單地在同一機器的進程之間通過進程通信的通道來傳送郵件。
郵件發送之前必須協商好發送者、接收者。SMTP服務進程同意為接收方發送郵件時,它將郵件直接交給接收方用戶或將郵件經過若干段網路傳輸,直到郵件交給接收方用戶。在郵件傳輸過程中,所經過的路由被記錄下來。這樣,當郵件不能正常傳輸時可按原路由找到發送者。
13網路互聯基礎
1.3.1IP地址
IP地址和域名是Internet使用的、符合TCP/IP協議規定的地址方案。這種地址方案與日常生活中涉及的電話號碼和通信地址相似,涉及到Internet服務的每一環節。IP協議要求所有Internet的網路節點要有統一規定格式的地址,簡稱IP地址。IP地址是運行TCP/IP協議的唯一標識符。TCP/IP協議是上層協議,無論下層是何種拓撲結構的網路,均應統一在上層IP地址上。任何網路接入Internet,均應使用IP地址。
IP地址是唯一的、全球識別的InterIEt網路地址,採用32位二進制(即4位元組)的格式。
在Internet上,每台計算機或網路設備都被分配一個IP地址,這個IP地址在整個InterIIet網路中是唯一的,保證了Internet成為全球開放互聯的網路系統。
1.3.2IP地址的格式和分類
IP地址可表達為二進制格式和十進制格式。二進制的IP地址為32位,分為4個8位二進制數。為書寫方便起見,常將每個位元組作為一段並以十進制數來表示,每段間用"."分隔,每段取值為0~255,。例如:135.111.5.27(二進制格式:10000111.01101111.00000101.00011011)就是合怯的IP地址。
IP地址由網路標識和主機標識兩部分組成。常用的IP地址有ATB,C三類,每類均規定
了網路標識和主機標識在32位中所佔的位數。這三類IP地址的格式表示範圍分別為:
A類地址:0.0.0.O~127.255.255.255
B類地址:128.0.0.O~191.255.255.255
C類地址:192.0.0.O~233.255.255.255
A類IP地址一般用於主機數多達160餘萬台的大型網路,前8位代表網路號,後3個8
位代表主機號。32位的最高位為Og十進制的第一組數值范圍為000~127。IP地址范圍為:001.x.y.z~126.x.y.z。
B類IP地址一般用於中等規模的各地區網管中心,前兩個8位二進制代表網路號,後兩個8位代表主機號。32位的最高兩位為10;十進制的第一組數值范圍為128~191。IP地址范圍為:128.x.y.Z~191.x.y.z。
C類地址一般用於規模較小的本地網路,如校園網、企業網、政府機構網等。前三個8位代表網路號,最後8位代表主機號。32位的最高3位為110,十進制第一組數值范圍為192~223。IP地址范圍為:192.x.y.z~223.x.y.z。一個C類地址可連接256個主機。
A類地址一般分配給具有大量主機的網路使用,B類地址通常分配給規模中等的網路使用,C類地址通常分配給小型區域網使用。為了確保唯→性,IP地址由世界各大地區的權威機構InterNIC()管理和分配。
1.3.3子網的劃分與掩碼
在Internet中,如果每個物理網路就要佔用一個網路號,是不夠用的。另外,如果每個單位增添新的物理網路(例如新建樓房或新部門中新建的網路)就要向Internet的NIC申請新網路號,也太麻煩,並且不便於IP地址的分配管理。
,
在IP地址的某個網路標識中,可以包含大量的主機(如A類地址的主機標識域為24位,B類地址的主機標識域為16位),而在實際應用中不可能將這么多的主機連接到單一的網路中, 這將給網路定址和管理帶來不便。為解決這個問題,可以在網路中引入"子網"的概念。
注意:這里的子網與前面所說的通信子網是兩個完全不同的概念。將主機標識域進一步劃分為子網標識和子網主機標識,通過靈活定義子網標識域的位數,可以控制每個子網的規模。將一個大型網路劃分為若干個既相對獨立又相互聯系的子網後,網路內部各子網便可獨立定址和管理,各子網間通過跨子網的路由器連接,這樣也提高了網路的安全性。
利用子網掩碼可以判斷兩台主機是否在同一子網中。子網掩碼與IP地址一樣也是32位二進制數,不同的是它的子網主機標識部分為全"。"。若兩台主機的IP地址分別與它們的子網掩碼相"與"後的結果相同,則說明這兩台主機在同一網中。
1.子網劃分
為使多個物理網路共用一個IP地址,可以採取把IP地址中主機號部分進一步劃分為子網號和主機號兩部分。例如:一個B類IP地址,可以把第三個位元組作為子網號,第四個位元組作為子網(物理網路)上主機號。
2.子網掩碼
IP路由選擇演算法是根據IP數據報報頭中目的地址的網路號,查找它的路由表,找到一個表項的目的網路號能與它匹配,然後用匹配上表項的中繼IP地址作為發送該數據報到達目的主機的下一個路由器地址。IP數據報報頭中目的地址的網路號是根據該地址最高位值來決定它是哪一類IP地址,網路號應佔用多少位。
劃分了子網後,就不能從地址的最高位值來判斷網路號佔用的位數了,用戶可以自行決定子網號佔用的位數。為了解決這個問題,必須使用子網掩碼(mask)子網掩碼是一個32位的數,其中取值為1的位,對應網路號或子&網號:取值為0的位,對應主機號。
⑸ 計算機網路體系結構里,包括哪些內容
一、 需求與安全
信息——信息是資源,信息是財富。信息化的程度已經成為衡量一個國家,一個單位綜合技術水平,綜合能力的主要標志。從全球范圍來看,發展信息技術和發展信息產業也是當今競爭的一個制高點。
計算機信息技術的焦點集中在網路技術,開放系統,小型化,多媒體這四大技術上。
安全——internet的發展將會對社會、經濟、文化和科技帶來巨大推動和沖擊。但同時,internet在全世界迅速發展也引起了一系列問題。由於internet強調它的開放性和共享性,其採用的tcp/ip、snmp等技術的安全性很弱,本身並不為用戶提供高度的安全保護,internet自身是一個開放系統,因此是一個不設防的網路空間。隨著internet網上用戶的日益增加,網上的犯罪行為也越來越引起人們的重視。
對信息安全的威脅主要包括:
內部泄密
內部工作人員將內部保密信息通過e-mail發送出去或用ftp的方式送出去。
「黑客」入侵
「黑客」入侵是指黑客通過非法連接、非授權訪問、非法得到服務、病毒等方式直接攻入內部網,對其進行侵擾。這可直接破壞重要系統、文件、數據,造成系統崩潰、癱瘓,重要文件與數據被竊取或丟失等嚴重後果。
電子諜報
外部人員通過業務流分析、竊取,獲得內部重要情報。這種攻擊方式主要是通過一些日常社會交往獲取有用信息,從而利用這些有用信息進行攻擊。如通過竊聽別人的談話,通過看被攻擊對象的公報等獲取一些完整或不完整的有用信息,再進行攻擊。
途中侵擾
外部人員在外部線路上進行信息篡改、銷毀、欺騙、假冒。
差錯、誤操作與疏漏及自然災害等。
信息戰——信息系統面臨的威脅大部分來源於上述原因。對於某些組織,其威脅可能有所變化。全球范圍 內的競爭興起,將我們帶入了信息戰時代。
現代文明越來越依賴於信息系統,但也更易遭受信息戰。信息戰是對以下方面數據的蓄意攻擊:
?機密性和佔有性
?完整性和真實性
?可用性與佔用性
信息戰將危及個體、團體;政府部門和機構;國家和國家聯盟組織。信息戰是延伸進和經過cyberspace進行的戰爭新形式。
如果有必要的話,也要考慮到信息戰對網路安全的威脅。一些外國政府和有組織的恐怖分子、間諜可能利用「信息戰」技術來破壞指揮和控制系統、公用交換網和其它國防部依靠的系統和網路以達到破壞軍事行動的目的。造成災難性損失的可能性極大。從防禦角度出發,不僅要考慮把安全策略制定好,而且也要考慮到信息基礎設施應有必要的保護和恢復機制。
經費——是否投資和投資力度
信息系統是指社會賴以對信息進行管理、控制及應用的計算機與網路。其信息受損或丟失的後果將影響到社會各個方面。
在管理中常常視安全為一種保障措施,它是必要的,但又令人討厭。保障措施被認為是一種開支而非一種投資。相反地,基於這樣一個前提,即系統安全可以防止災難。因此它應是一種投資,而不僅僅是為恢復所付出的代價。
二、 風險評估
建網定位的原則:國家利益,企業利益,個人利益。
信息安全的級別:
1.最高級為安全不用
2.秘密級:絕密,機密,秘密
3.內部
4.公開
建網的安全策略,應以建網定位的原則和信息安全級別選擇的基礎上制定。
網路安全策略是網路安全計劃的說明,是設計和構造網路的安全性,以防禦來自內部和外部入侵者的行動 計劃及阻止網上泄密的行動計劃。
保險是對費用和風險的一種均衡。首先,要清楚了解你的系統對你的價值有多大,信息值須從兩方面考慮:它有多關鍵,它有多敏感。其次,你還須測定或者經常的猜測面臨威脅的概率,才有可能合理地制定安全策略和進程。
風險分析法可分為兩類:定量風險分析和定性風險分析。定量風險分析是建立在事件的測量和統計的基礎上,形成概率模型。定量風險分析最難的部分是評估概率。我們不知道事件何時發生,我們不知道這些攻擊的代價有多大或存在多少攻擊;我們不知道外部人員造成的人為威脅的比重為多少。最近,利用適當的概率分布,應用monte carlo(蒙特卡羅)模擬技術進行模塊風險分析。但實用性不強,較多的使用定性風險。
風險分析關心的是信息受到威脅、信息對外的暴露程度、信息的重要性及敏感度等因素,根據這些因素進行綜合評價。
一般可將風險分析列成一個矩陣:
將以上權重組合,即:
得分 = ( 威脅 × 透明 ) + ( 重要性 × 敏感度 )
= ( 3 × 3 ) + ( 5 × 3) = 24
根據風險分析矩陣可得出風險等級為中風險。
網路安全策略開發必須從詳盡分析敏感性和關鍵性上開始。風險分析,在信息戰時代,人為因素也使風險分析變得更難了。
三、體系結構
應用系統工程的觀點、方法來分析網路的安全,根據制定的安全策略,確定合理的網路安全體系結構。
網路劃分:
1、公用網
2、專用網:
(1)保密網
(2)內部網
建網的原則:
從原則上考慮:例如選取國家利益。
從安全級別上:1,最高級為安全不用,無論如何都是不可取的。2,3,4 全部要考慮。
因此按保密網、內部網和公用網或按專用網和公用網來建設,採用在物理上絕對分開,各自獨立的體系結構。
四、公用網
舉例說明(僅供參考),建網初期的原則:
1、任何內部及涉密信息不準上網。
2、以外用為主,獲取最新相關的科技資料,跟蹤前沿科技。
3、只開發e-mail,ftp,www功能,而telnet,bbs不開發,telnet特殊需要的經批准給予臨時支持。說明一下,建網時,www功能還沒有正常使用。
4、撥號上網嚴格控制,除領導,院士,專家外,一般不批准。原因是,撥號上網的隨意性和方便性使得網路安全較難控制。
5、網路用戶嚴格經領導、保密辦及網路部三個部門審批上網。
6、單位上網機器與辦公機器截然分開,定期檢查。
7、簽定上網保證書,確定是否非政治,非保密,非黃毒信息的上網,是否侵犯知識產權,是否嚴格守法。
8、對上網信息的內容進行審查、審批手續。
為了使更多的科技人員及其他需要的人員上網,採用逐步分階段實施,在安全設施配齊後,再全面開放。
五、公用網路安全設施的考慮
1. 信息稽查:從國家利益考慮,對信息內容進行審查、審批手續。
信息截獲,稽查後,再傳輸是最好的辦法。由於機器速度慢,決定了不可能實時地進行信息交流,因而難於實時稽查。
信息復制再分析是可行的辦法。把信件及文件復制下來,再按涉密等關鍵片語檢索進行檢查,防止無意識泄密時有據可查。起到威懾作用和取證作用。
2. 防火牆:常規的安全設施。
3. 網路安全漏洞檢查:各種設備、操作系統、應用軟體都存在安全漏洞,起到堵和防的兩種作用。
4. 信息代理:
(1)主要從保密上考慮。如果一站點的某一重要信息,被某一單位多人次的訪問,按概率分析,是有必然的聯系,因此是否暴露自己所從事的事業。
(2)可以提高信息的交換速度。
(3)可以解決ip地址不足的問題。
5. 入侵網路的安全檢查設施,應該有。但是,由於事件和手法的多樣性、隨機性,難度很大,目前還不具備,只能使用常規辦法,加上人員的分析。
六、 專用網路及單機安全設施的考慮,重點是保密網
1,專用屏蔽機房;
2,低信息輻射泄露網路;
3,低信息輻射泄露單機。
七、安全設備的選擇原則
不能讓外國人給我們守大門
1、按先進國家的經驗,考慮不安全因素,網路介面設備選用本國的,不使用外國貨。
2、網路安全設施使用國產品。
3、自行開發。
網路的拓撲結構:重要的是確定信息安全邊界
1、一般結構:外部區、公共服務區、內部區。
2、考慮國家利益的結構:外部區、公共服務區、內部區及稽查系統和代理伺服器定位。
3、重點考慮撥號上網的安全問題:遠程訪問伺服器,放置在什麼位置上,能滿足安全的需求。
八、 技術和管理同時並舉
為了從技術上保證網路的安全性,除對自身面臨的威脅進行風險評估外,還應決定所需要的安全服務種類,並選擇相應的安全機制,集成先進的安全技術。
歸納起來,考慮網路安全策略時,大致有以下步驟:
? 明確安全問題:明確目前和近期、遠期的網路應用和需求;
? 進行風險分析,形成風險評估報告,決定投資力度;
? 制定網路安全策略;
? 主管安全部門審核;
? 制定網路安全方案,選擇適當的網路安全設備,確定網路安全體系結構;
? 按實際使用情況,檢查和完善網路安全方案。
⑹ 什麼是計算機網路體系結構什麼是協議
剛才說過網路體系結構的關鍵要素之一就是網路協議。而所謂協議(Protocol)就是對數據格式和計算機之間交換數據時必須遵守的規則的正式描述,它的作用和普通話的作用如出一轍。依據網路的不同通常使用Ethernet(乙太網)、NetBEUI、IPX/SPX以及TCP/IP協議。Ethernet是匯流排型協議中最常見的網路低層協議,安裝容易且造價便宜;而NetBEUI可以說是專為小型區域網設計的網路協議。對那些無需跨經路由器與大型主機通信的小型區域網,安裝NetBEUI協議就足夠了,但如果需要路由到另外的區域網,就必須安裝IPX/SPX或TCP/IP協議。前者幾乎成了Novell網的代名詞,而後者就被著名的Internet網所採用。
⑺ 什麼是計算機網路的體系結構為什麼要採用分層次的結構
它的目的是為網路硬體、軟體、協議、 存取控制和拓撲提供標准。現在廣泛採用的是開放系統互連OSI(
Open System Interconnection)的參考模型,它是用物理層、
數據鏈路層、網路層、傳送層、對話層、
表示層和應用層七個層次描述網路的結構。你應該注意的 是,網路體系結構的優劣將直接影響匯流排、介面和網路的性能。
而網路體系結構的關鍵要素恰恰就是協議和拓撲。
目前最常見的網路體系結構有FDDI、乙太網、 令牌環網和快速乙太網等。
採用分層次的結構原因:各層功能相對獨立,
各層因技術進步而做的改動不會影響到其他層,從而保持體 系結構的穩定性