簡述iso的網路安全系統結構

① 計算機網路層次結構是怎樣的

從第一層至第七層依次是：物理層、數據鏈路層、網路層、傳輸層、會話層、表示層、應用層。

拓展資料：

OSI（Open System Interconnect）

即開放式系統互聯。 一般都叫OSI參考模型，是ISO（國際標准化組織）組織在1985年研究的網路互聯模型。該體系結構標準定義了網路互連的七層框架（物理層、數據鏈路層、網路層、傳輸層、會話層、表示層和應用層），即ISO開放系統互連參考模型。

在這一框架下進一步詳細規定了每一層的功能，以實現開放系統環境中的互連性、互操作性和應用的可移植性。

第7層應用層：

OSI中的最高層。為特定類型的網路應用提供了訪問OSI環境的手段。應用層確定進程之間通信的性質，以滿足用戶的需要。應用層不僅要提供應用進程所需要的信息交換和遠程操作，而且還要作為應用進程的用戶代理，來完成一些為進行信息交換所必需的功能。它包括：文件傳送訪問和管理FTAM、虛擬終端VT、事務處理TP、遠程資料庫訪問RDA、製造報文規范MMS、目錄服務DS等協議；應用層能與應用程序界面溝通，以達到展示給用戶的目的。 在此常見的協議有:HTTP，HTTPS，FTP，TELNET，SSH，SMTP，POP3等。

第6層表示層：

主要用於處理兩個通信系統中交換信息的表示方式。為上層用戶解決用戶信息的語法問題。它包括數據格式交換、數據擾胡者加密與解密、數據壓縮與終端類型的轉換。

第5層會話層：

在兩個節點之間建立端連接。為端系統的應用程序之間提供了對話控制機制。此服務包括建立連接是以全雙工還是以半雙工的方式進行設置，盡管可以在層4中處理雙工方式 ；會話層管理登入和注銷過程。它具體管理兩個用戶和進程之間的對話。如果在某一時刻只允許一個用戶執行一項特定的操作，會話層協議就會管理這些操作，如阻止兩個用戶同時更新資料庫中的同一組數據。

第4層傳輸層：

—常規數據遞送－面向連接或無連接。為會話層用戶提供一個端到端的可靠、透明和優化的數據傳輸服務機制。包括全雙工或半雙工、流控制和錯誤恢復服務；傳輸層把消息分成若干個分組，並在接收端對它們進行重組。不同的分組可以通過不同的連接傳送到主機。這樣既能獲得較高的帶寬，又不影響會話層。在建立連接時傳輸層可以請求服務質量，該服務質量指定可接受的誤碼率、延遲量、安全性等參數，還可以實現基於端到端的流量控制功能。

第3層網路層：

本層通過定址來建立兩個節點之間的連接，為源端的運輸層送來的分組，選擇合適的路由和交換節點，正確無誤地按照地址傳送給目的端的運輸層。它包括通過互連網路來路由和中做者繼數據 ；除了選擇路由之外，網路層還負責建立和維護連接，控制網路上的擁塞以及在必要的時候生成計費信息。

第2層緩薯數據鏈路層：

在此層將數據分幀，並處理流控制。屏蔽物理層，為網路層提供一個數據鏈路的連接，在一條有可能出差錯的物理連接上，進行幾乎無差錯的數據傳輸（差錯控制）。本層指定拓撲結構並提供硬體定址。常用設備有網橋、交換機；

第1層物理層：

處於OSI參考模型的最底層。物理層的主要功能是利用物理傳輸介質為數據鏈路層提供物理連接，以便透明的傳送比特流。常用設備有（各種物理設備）網卡、集線器、中繼器、數據機、網線、雙絞線、同軸電纜。

② 網路體系結構的內容是什麼，為什麼需要網路體系結構

網路體系結構是指通信系統的整體設計，它為網路硬體、軟體、協議、存取控制和拓撲提供標准。它廣泛採用的是國際標准化組織（ISO）在1979年提出的開放系統互連（OSI-Open System Interconnection)的參考模型。

...

③ 網路安全機制包括些什麼

有三種網路安全機制。 概述：

隨著TCP/IP協議群在互聯網上的廣泛採用，信息技術與網路技術得到了飛速發展。隨之而來的是安全風險問題的急劇增加。為了保護國家公眾信息網以及企業內聯網和外聯網信息和數據的安全，要大力發展基於信息網路的安全技術。

信息與網路安全技術的目標

由於互聯網的開放性、連通性和自由性，用戶在享受各類共有信息資源的同事，也存在著自己的秘密信息可能被侵犯或被惡意破壞的危險。信息安全的目標就是保護有可能被侵犯或破壞的機密信息不被外界非法操作者的控制。具體要達到：保密性、完整性、可用性、可控性等目標。

網路安全體系結構

國際標准化組織（ISO）在開放系統互聯參考模型（OSI/RM）的基礎上，於1989年制定了在OSI環境下解決網路安全的規則：安全體系結構。它擴充了基本參考模型，加入了安全問題的各個方面，為開放系統的安全通信提供了一種概念性、功能性及一致性的途徑。OSI安全體系包含七個層次：物理層、數據鏈路層、網路層、傳輸層、會話層、表示層和應用層。在各層次間進行的安全機制有：

1、加密機制

衡量一個加密技術的可靠性，主要取決於解密過程的難度，而這取決於密鑰的長度和演算法。

1）對稱密鑰加密體制對稱密鑰加密技術使用相同的密鑰對數據進行加密和解密，發送者和接收者用相同的密鑰。對稱密鑰加密技術的典型演算法是DES（Data Encryption Standard數據加密標准）。DES的密鑰長度為56bit，其加密演算法是公開的，其保密性僅取決於對密鑰的保密。優點是：加密處理簡單，加密解密速度快。缺點是：密鑰管理困難。

2）非對稱密鑰加密體制非對稱密鑰加密系統，又稱公鑰和私鑰系統。其特點是加密和解密使用不同的密鑰。

（1）非對稱加密系統的關鍵是尋找對應的公鑰和私鑰，並運用某種數學方法使得加密過程成為一個不可逆過程，即用公鑰加密的信息只能用與該公鑰配對的私鑰才能解密；反之亦然。

（2）非對稱密鑰加密的典型演算法是RSA。RSA演算法的理論基礎是數論的歐拉定律，其安全性是基於大數分解的困難性。

優點：（1）解決了密鑰管理問題，通過特有的密鑰發放體制，使得當用戶數大幅度增加時，密鑰也不會向外擴散；（2）由於密鑰已事先分配，不需要在通信過程中傳輸密鑰，安全性大大提高；（3）具有很高的加密強度。

缺點：加密、解密的速度較慢。

2、安全認證機制

在電子商務活動中，為保證商務、交易及支付活動的真實可靠，需要有一種機制來驗證活動中各方的真實身份。安全認證是維持電子商務活動正常進行的保證，它涉及到安全管理、加密處理、PKI及認證管理等重要問題。目前已經有一套完整的技術解決方案可以應用。採用國際通用的PKI技術、X.509證書標准和X.500信息發布標准等技術標准可以安全發放證書，進行安全認證。當然，認證機制還需要法律法規支持。安全認證需要的法律問題包括信用立法、電子簽名法、電子交易法、認證管理法律等。

1）數字摘要

數字摘要採用單向Hash函數對信息進行某種變換運算得到固定長度的摘要，並在傳輸信息時將之加入文件一同送給接收方；接收方收到文件後，用相同的方法進行變換運算得到另一個摘要；然後將自己運算得到的摘要與發送過來的摘要進行比較。這種方法可以驗證數據的完整性。

2）數字信封

數字信封用加密技術來保證只有特定的收信人才能閱讀信的內容。具體方法是：信息發送方採用對稱密鑰來加密信息，然後再用接收方的公鑰來加密此對稱密鑰（這部分稱為數字信封），再將它和信息一起發送給接收方；接收方先用相應的私鑰打開數字信封，得到對稱密鑰，然後使用對稱密鑰再解開信息。

3）數字簽名

數字簽名是指發送方以電子形式簽名一個消息或文件，表示簽名人對該消息或文件的內容負有責任。數字簽名綜合使用了數字摘要和非對稱加密技術，可以在保證數據完整性的同時保證數據的真實性。

4）數字時間戳

數字時間戳服務（DTS）是提供電子文件發表時間認證的網路安全服務。它由專門的機構（DTS）提供。

5）數字證書

數字證書（Digital ID）含有證書持有者的有關信息，是在網路上證明證書持有者身份的數字標識，它由權威的認證中心（CA）頒發。CA是一個專門驗證交易各方身份的權威機構，它向涉及交易的實體頒發數字證書。數字證書由CA做了數字簽名，任何第三方都無法修改證書內容。交易各方通過出示自己的數字證書來證明自己的身份。

在電子商務中，數字證書主要有客戶證書、商家證書兩種。客戶證書用於證明電子商務活動中客戶端的身份，一般安裝在客戶瀏覽器上。商家證書簽發給向客戶提供服務的商家，一般安裝在商家的伺服器中，用於向客戶證明商家的合法身份。

3、訪問控制策略

訪問控制是網路安全防範和保護的主要策略，它的主要任務是保證網路資源不被非法使用和非常訪問。它也是維護網路系統安全、保護網路資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用。下面我們分述幾種常見的訪問控制策略。

1）入網訪問控制

入網訪問控制為網路訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到伺服器並獲取網路資源，以及用戶入網時間和入網地點。

用戶的入網訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的預設限制檢查。只有通過各道關卡，該用戶才能順利入網。

對用戶名和口令進行驗證是防止非法訪問的首道防線。用戶登錄時，首先輸入用戶名和口令，伺服器將驗證所輸入的用戶名是否合法。如果驗證合法，才繼續驗證輸入的口令，否則，用戶將被拒之網路之外。用戶口令是用戶入網的關鍵所在。為保證口令的安全性，口令不能顯示在顯示屏上，口令長度應不少於6個字元，口令字元最好是數字、字母和其他字元的混合，用戶口令必須經過加密，加密的方法很多，其中最常見的方法有：基於單向函數的口令加密，基於測試模式的口令加密，基於公鑰加密方案的口令加密，基於平方剩餘的口令加密，基於多項式共享的口令加密，基於數字簽名方案的口令加密等。用戶還可採用一次性用戶口令，也可用攜帶型驗證器（如智能卡）來驗證用戶的身份。

2）網路的許可權控制

網路的許可權控制是針對網路非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的許可權。網路控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。我們可以根據訪問許可權將用戶分為以下幾類：（1）特殊用戶（即系統管理員）；（2）一般用戶，系統管理員根據他們的實際需要為他們分配操作許可權；（3）審計用戶，負責網路的安全控制與資源使用情況的審計。用戶對網路資源的訪問許可權可以用一個訪問控製表來描述。

3）目錄級安全控制

網路應允許控制用戶對目錄、文件、設備的訪問。用戶在月錄一級指定的許可權對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的許可權。對目錄和文件的訪問許可權一般有八種：系統管理員許可權（Supervisor）、讀許可權（Read）、寫許可權（Write）、創建許可權（Create）、刪除許可權（Erase）、修改許可權（MOdify）、文件查找許可權（FileScan）、存取控制許可權（AccessControl）。用戶對文件或目標的有效許可權取決於以下二個因素：用戶的受託者指派、用戶所在組的受託者指派、繼承許可權屏蔽取消的用戶許可權。一個網路系統管理員應當為用戶指定適當的訪問許可權，這些訪問許可權控制著用戶對伺服器的訪問。八種訪問許可權的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對伺服器資源的訪問，從而加強了網路和伺服器的安全性。

隨著計算機技術和通信技術的發展，計算機網路將日益成為工業、農業和國防等方面的重要信息交換手段，滲透到社會生活的各個領域。因此，認清網路的脆弱性和潛在威脅，採取強有力的安全策略，對於保障網路信息傳輸的安全性將變得十分重要。

④ OSI七層型的層次結構是什麼

OSI七層型從低到高依次是：物理層、數據鏈路層、網路層、傳輸層、會話層、表示層和應用層。

1、應用層：網路服務與最終用戶的一個介面。

2、表示層：數據的表示、安全、壓縮。（在五層模型裡面已經合並到了應用層），格式有，JPEG、ASCll、EBCDIC、加密格式等。

3、會話層：建立、管理、終止會話。（在五層模型裡面已經合並到了應用層），對應主機進程，指本地主機與遠程主機正在進行的會話。

4、傳輸層：定義傳輸數據的協議埠號，以及流控和差錯校驗。

協議有：TCP、UDP，數據包一旦離開網卡即進入網路傳輸層。

5、網路層：進行邏輯地址定址，實現不同網路之間的路徑選擇。

協議有：ICMP、IGMP、IP（IPV4、IPV6）。

6、數據鏈路層：建立邏輯連接、進行硬體地址定址、差錯校驗等功能。將比特組合成位元組進而組合成幀，用MAC地址訪問介質，錯誤發現但不能糾正。

7、物理層：建立、維護、斷開物理連接。

TCP/IP 層級模型結構，應用層之間的協議通過逐級調用傳輸層、網路層和物理數據鏈路層而可以實現應用層的應用程序通信互聯。