網路安全模型第二版

⑴ 計算機網路安全組成

網路有七層，每層都有安全。中間也就是協議的轉換，所以安全也就是通過控制或者監控支持這些協議的的埠。

物理層：

物理層（physical layer）的主要功能是完成相鄰結點之間原始比特流傳輸。物理層協議關心的典型問題是使用什麼樣的物理信號來表示數據0和1。1位持續的時間多長。數據傳輸是否可同時在兩個方向上進行。最初的廉潔如何建立以及完成通信後連接如何終止。物理介面（插頭和插座）有多少針以及各針的作用。物理層的設計主要涉及物理層介面的機械、電氣、功能和過電特性，以及物理層介面連接的傳輸介質等問題。物理層的實際還涉及到通信工程領域內的一些問題。

數據鏈路層：

數據鏈路層（data link layer）的主要功能是如何在不可靠的物理線路上進行數據的可靠傳輸。數據鏈路層完成的是網路中相鄰結點之間可靠的數據通信。為了保證書覺得可靠傳輸，發送出的數據針，並按順序傳送個針。由於物理線路不可靠，因此發送方發出的數據針有可能在線路上出錯或丟失，從而導致接受方無法正確接收數據。為了保證能讓接收方對接收到的數據進行正確的判斷，發送方位每個數據塊計算出CRC（循環冗餘檢驗）並加入到針中，這樣接收方就可以通過重新計算CRC來判斷接收到的數據是否正確。一旦接收方發現接收到的數據有錯誤，則發送方必須重新傳送這一數據。然而，相同的數據多次傳送也可能是接收方收到重復的數據。
數據鏈路層要解決的另一個問題是防止高速發送方的數據把低速接收方「淹沒」。因此需要某種信息流量控制機制使發送方得知接收方當前還有多少緩存空間。為了控制的方便，流量控制常常和差錯處理一同實現。
在廣域網中，數據鏈路層負責主機IMP、IMP-IMP之間數據的可靠傳送。在區域網中，數據鏈路層負責制及之間數據的可靠傳輸。

網路層：

網路層（network layer）的主要功能是完成網路中主機間的報文傳輸，其關鍵問題之一是使用數據鏈路層的服務將每個報文從源端傳輸到目的端。在廣域網中，這包括產生從源端到目的端的路由，並要求這條路徑經過盡可能少的IMP。如果在子網中同時出現過多的報文，子網就可能形成擁塞，因為必須加以避免這種情況的出現。
當報文不得不跨越兩個或多個網路時，又會帶來很多新問題。比
在單個區域網中，網路層是冗餘的，因為報文是直接從一台計算機傳送到另一台計算機的，因此網路層所要做的工作很少。

傳輸層：

傳輸層（transport layer）的主要功能是實現網路中不同主機上的用戶進程之間可靠的數據通信。
傳輸層要決定會話層用戶（最終對網路用戶）提供什麼樣的服務。最好的傳輸連接是一條無差錯的、按順序傳送數據的管道，即傳輸層連接時真正的點到點。
由於絕大多數的主機都支持多用戶操作，因而機器上有多道程序就意味著將有多條連接進出於這些主機，因此需要以某種方式區別報文屬於哪條連接。識別這些連接的信息可以放入傳輸層的報文頭中除了將幾個報文流多路復用到一條通道上，傳輸層還必須管理跨網連接的建立和取消。這就需要某種命名機制，使機器內的進程能夠講明它希望交談的對象。另外，還需要有一種機制來調節信息流，使高速主機不會過快的向低速主機傳送數據。盡管主機之間的流量控制與IMP之間的流量控制不盡相同。

會話層：

會話層（SESSION LAYER）允許不同機器上的用戶之間建立會話關系。會話層循序進行類似的傳輸層的普通數據的傳送，在某某些場合還提供了一些有用的增強型服務。允許用戶利用一次會話在遠端的分時系統上登陸，或者在兩台機器間傳遞文件。
會話層提供的服務之一是管理對話控制。會話層允許信息同時雙向傳輸，或任一時刻只能單向傳輸。如果屬於後者，類似於物理信道上的半雙工模式，會話層將記錄此時該輪到哪一方。一種與對話控制有關的服務是令牌管理（token management）。有些協議會保證雙方不能同時進行同樣的操作，這一點很重要。為了管理這些活動，會話層提供了令牌，令牌可以在會話雙方之間移動，只有持有令牌的一方可以執行某種關鍵性操作。另一種會話層服務是同步。如果在平均每小時出現一次大故障的網路上，兩台機器簡要進行一次兩小時的文件傳輸，試想會出現什麼樣的情況呢？每一次傳輸中途失敗後，都不得不重新傳送這個文件。當網路再次出現大故障時，可能又會半途而廢。為解決這個問題，會話層提供了一種方法，即在數據中插入同步點。每次網路出現故障後，僅僅重傳最後一個同步點以後的數據（這個其實就是斷點下載的原理）。

表示層：

表示層（presentation layer）用於完成某些特定功能，對這些功能人們常常希望找到普遍的解決辦法，而不必由每個用戶自己來實現。表示層以下各層只關心從源端機到目標機到目標機可靠的傳送比特流，而表示層關心的是所傳送的信息的語法和語義。表示層服務的一個典型例子就是大家一致選定的標准方法對數據進行編碼。大多數用戶程序之間並非交換隨機比特，而是交換諸如人名、日期、貨幣數量和發票之類的信息。這些對象使用字元串、整型數、浮點數的形式，以及由幾種簡單類型組成的數據結構來表示的。
在網路上計算機可能採用不同的數據表示，所以需要在數據傳輸時進行數據格式轉換。為了讓採用不同數據表示法的計算機之間能夠相互通信而且交換數據，就要在通信過程中使用抽象的數據結構來表示所傳送的數據。而在機器內部仍然採用各自的標准編碼。管理這些抽象數據結構，並在發送方將機器的內部編碼轉換為適合網上傳輸的傳送語法以及在接收方做相反的轉換等噢年工作都是由表示層來完成的。
另外，表示層還涉及數據壓縮和解壓、數據加密和解米等工作（winrar的那一套）。

應用層：

連網的目的在於支持運行於不同計算機的進程彼此之間的通信，而這些進程則是為用戶完成不同人物而設計的。可能的應用是多方面的，不受網路結構的限制。應用層（app;ocation layer）包括大量人們普遍需要的協議。雖然，對於需要通信的不同應用來說，應用層的協議都是必須的。例如：http、ftp、TCP/IP。
由於每個應用有不同的要求，應用層的協議集在OSI模型中並沒有定義。但是，有些確定的應用層協議，包括虛擬終端、文件傳輸、電子郵件等都可以作為標准化的候選。

⑵ 與pdr模型相比，p2dr 模型多了哪一個環節

與pdr模型相比，p2dr模型多了第一個策略Policy環節。

pdr模型環節包括：

1、防護Protection：採用一切可能的措施來保護網路、系統以及信息的安全。保護通常採用的技術及方法主要包括加密、認證、訪問控制、防火牆以及防病毒等。

2、檢測Detection：可以了解和評估網路和系統的安全狀態，為安全防護和安全響應提供依據。檢測技術主要包括入侵檢測 、漏洞檢測以及網路掃描等技術。

3、響應Response：應急響應在安全模型中佔有重要地位，是解決安全問題的最有效辦法。解決安全問題就是解決緊急響應和異常處理問題，因此，建立應急響應機制，形成快速安全響應的能力，對網路和系統而言至關重要。

p2dr模型環節包括：

1、策略Policy：定義系統的監控周期、確立系統恢復機制、制定網路訪問控制策略和明確系統的總體安全規劃和原則；

2、防護Protection：充分利用防火牆系統，實現數據包策略路由、路由策略和數據包過濾技術，應用訪問控制規則達到安全、高效地訪問；應用NAT及映射技術實現IP地址的安全保護和隔離；

3、檢測Detection：利用防火牆系統具有的入侵檢測技術及系統掃描工具，配合其他專項監測軟體，建立訪問控制子系統ACS，實現網路系統的入侵監測及日誌記錄審核，以利及時發現透過ACS的入侵行為；

4、響應Response：在安全策略指導下，通過動態調整訪問控制系統的控制規則，發現並及時截斷可疑鏈接、杜絕可疑後門和漏洞，啟動相關報警信息。

(2)網路安全模型第二版擴展閱讀：

P2DR動態安全模型研究的是基於企業網對象、依時間及策略特徵的（Policy，Protection，Detection，Response）動態安全模型結構，基於閉環控制、主動防禦的動態安全，通過區域網路的路由及安全策略分析與制定，在網路內部及邊界建立實時檢測、監測和審計機制。

應用多樣性系統災難備份恢復、關鍵系統冗餘設計等方法，構造多層次、全方位和立體的區域網路安全環境。P2DR動態安全模型通過安全模型表達安全體系架構，具備的性質有精確、無歧義；簡單和抽象；具有一般性；充分體現安全策略。

⑶ 網路安全策略模型的內容包括哪些

安全策略模型包括了建立安全環境的三個重要組成部分：威嚴的法律、先進的技術和嚴格的管理。

網路信息安全是一門涉及計算機科學、網路技術、通信技術、密碼技術、信息安全技術、應用數學、數論、資訊理論等多種學科的綜合性學科。

它主要是指網路系統的硬體、軟體及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，網路服務不中斷。

(3)網路安全模型第二版擴展閱讀：

網路信息安全中安全策略模型主要包括：

一、口令策略，主要是加強用戶口令管理和伺服器口令管理；

二、計算機病毒和惡意代碼防治策略，主要是拒絕訪問，檢測病毒，控制病毒，消除病毒。

三、安全教育和培訓策略四、總結及提煉。

網路信息安全主要特徵：

1，完整性

指信息在傳輸、交換、存儲和處理過程保持非修改、非破壞和非丟失的特性，即保持信息原樣性，使信息能正確生成、存儲、傳輸，這是最基本的安全特徵。

2，保密性

指信息按給定要求不泄漏給非授權的個人、實體或過程，或提供其利用的特性，即杜絕有用信息泄漏給非授權個人或實體，強調有用信息只被授權對象使用的特徵。

3，可用性

指網路信息可被授權實體正確訪問，並按要求能正常使用或在非正常情況下能恢復使用的特徵，即在系統運行時能正確存取所需信息，當系統遭受攻擊或破壞時，能迅速恢復並能投入使用。可用性是衡量網路信息系統面向用戶的一種安全性能。

參考資料來源：網路-網路信息安全