计算机网络安全组成

[2计算机系统的组成]（一）一个完整的计算机系统由计算机硬件系统及软件系统两大部分构成。（1）计算机硬件：是计算机系统中由电子、机械和光电元件组成的各种计算机部件和设备的总称，是计算机完成各...+阅读

计算机网络安全组成

网络有七层，每层都有安全。中间也就是协议的转换，所以安全也就是通过控制或者监控支持这些协议的的端口。物理层：物理层（physical layer）的主要功能是完成相邻结点之间原始比特流传输。物理层协议关心的典型问题是使用什么样的物理信号来表示数据0和1。1位持续的时间多长。数据传输是否可同时在两个方向上进行。最初的廉洁如何建立以及完成通信后连接如何终止。物理接口（插头和插座）有多少针以及各针的作用。物理层的设计主要涉及物理层接口的机械、电气、功能和过电特性，以及物理层接口连接的传输介质等问题。物理层的实际还涉及到通信工程领域内的一些问题。数据链路层：数据链路层（data link layer）的主要功能是如何在不可靠的物理线路上进行数据的可靠传输。

数据链路层完成的是网络中相邻结点之间可靠的数据通信。为了保证书觉得可靠传输，发送出的数据针，并按顺序传送个针。由于物理线路不可靠，因此发送方发出的数据针有可能在线路上出错或丢失，从而导致接受方无法正确接收数据。为了保证能让接收方对接收到的数据进行正确的判断，发送方位每个数据块计算出CRC（循环冗余检验）并加入到针中，这样接收方就可以通过重新计算CRC来判断接收到的数据是否正确。一旦接收方发现接收到的数据有错误，则发送方必须重新传送这一数据。然而，相同的数据多次传送也可能是接收方收到重复的数据。数据链路层要解决的另一个问题是防止高速发送方的数据把低速接收方“淹没”。因此需要某种信息流量控制机制使发送方得知接收方当前还有多少缓存空间。

为了控制的方便，流量控制常常和差错处理一同实现。在广域网中，数据链路层负责主机IMP、IMP-IMP之间数据的可靠传送。在局域网中，数据链路层负责制及之间数据的可靠传输。网络层：网络层（network layer）的主要功能是完成网络中主机间的报文传输，其关键问题之一是使用数据链路层的服务将每个报文从源端传输到目的端。在广域网中，这包括产生从源端到目的端的路由，并要求这条路径经过尽可能少的IMP。如果在子网中同时出现过多的报文，子网就可能形成拥塞，因为必须加以避免这种情况的出现。当报文不得不跨越两个或多个网络时，又会带来很多新问题。比在单个局域网中，网络层是冗余的，因为报文是直接从一台计算机传送到另一台计算机的，因此网络层所要做的工作很少。

传输层：传输层（transport layer）的主要功能是实现网络中不同主机上的用户进程之间可靠的数据通信。传输层要决定会话层用户（最终对网络用户）提供什么样的服务。最好的传输连接是一条无差错的、按顺序传送数据的管道，即传输层连接时真正的点到点。由于绝大多数的主机都支持多用户操作，因而机器上有多道程序就意味着将有多条连接进出于这些主机，因此需要以某种方式区别报文属于哪条连接。识别这些连接的信息可以放入传输层的报文头中除了将几个报文流多路复用到一条通道上，传输层还必须管理跨网连接的建立和取消。这就需要某种命名机制，使机器内的进程能够讲明它希望交谈的对象。另外，还需要有一种机制来调节信息流，使高速主机不会过快的向低速主机传送数据。

尽管主机之间的流量控制与IMP之间的流量控制不尽相同。会话层：会话层（SESSION LAYER）允许不同机器上的用户之间建立会话关系。会话层循序进行类似的传输层的普通数据的传送，在某某些场合还提供了一些有用的增强型服务。允许用户利用一次会话在远端的分时系统上登陆，或者在两台机器间传递文件。会话层提供的服务之一是管理对话控制。会话层允许信息同时双向传输，或任一时刻只能单向传输。如果属于后者，类似于物理信道上的半双工模式，会话层将记录此时该轮到哪一方。一种与对话控制有关的服务是令牌管理（token management）。有些协议会保证双方不能同时进行同样的操作，这一点很重要。为了管理这些活动，会话层提供了令牌，令牌可以在会话双方之间移动，只有持有令牌的一方可以执行某种关键性操作。

另一种会话层服务是同步。如果在平均每小时出现一次大故障的网络上，两台机器简要进行一次两小时的文件传输，试想会出现什么样的情况呢？每一次传输中途失败后，都不得不重新传送这个文件。当网络再次出现大故障时，可能又会半途而废。为解决这个问题，会话层提供了一种方法，即在数据中插入同步点。每次网络出现故障后，仅仅重传最后一个同步点以后的数据（这个其实就是断点下载的原理）。表示层：表示层（presentation layer）用于完成某些特定功能，对这些功能人们常常希望找到普遍的解决办法，而不必由每个用户自己来实现。表示层以下各层只关心从源端机到目标机到目标机可靠的传送比特流，而表示层关心的是所传送的信息的语法和语义。表示层服务的一个典型例子就是大家一致选定的标准方法对数据进行编码。

大多数用户程序之间并非交换随机比特，而是交换诸如人名、日期、货币数量和发票之类的信息。这些对象使用字符串、整型数、浮点数的形式，以及由几种简单类型组成的数据结构来表示的。在网络上计...

如何实现网络安全措施

网安措施计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方面，各个方面都要结合考虑安全防护的物理安全、防火墙、信息安全、Web安全、媒体安全等等。

（一）保护网络安全。网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下：

（1）全面规划网络平台的安全策略。

（2）制定网络安全的管理措施。

（3）使用防火墙。

（4）尽可能记录网络上的一切活动。

（5）注意对网络设备的物理保护。

（6）检验网络平台系统的脆弱性。

（7）建立可靠的识别和鉴别机制。

（二）保护应用安全。保护应用安全，主要是针对特定应用（如Web服务器、网络支付专用软件系统）所建立的安全防护措施，它独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠，如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密，都通过IP层加密，但是许多应用还有自己的特定安全要求。由于电子商务中的应用层对安全的要求最严格、最复杂，因此更倾向于在应用层而不是在网络层采取各种安全措施。虽然网络层上的安全仍有其特定地位，但是人们不能完全依靠它来解决电子商务应用的安全性。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。

（三）保护系统安全。保护系统安全，是指从整体电子商务系统或网络支付系统的角度进行安全防护，它与网络系统硬件平台、操作系统、各种应用软件等互相关联。涉及网络支付结算的系统安全包含下述一些措施：

（1）在安装的软件中，如浏览器软件、电子钱包软件、支付网关软件等，检查和确认未知的安全漏洞。

（2）技术与管理相结合，使系统具有最小穿透风险性。如通过诸多认证才允许连通，对所有接入数据必须进行审计，对系统用户进行严格安全管理。

（3）建立详细的安全审计日志，以便检测并跟踪入侵攻击等。商交措施商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行。各种商务交易安全服务都是通过安全技术来实现的，主要包括加密技术、认证技术和电子商务安全协议等。

（一）加密技术。加密技术是电子商务采取的基本安全措施，交易双方可根据需要在信息交换的阶段使用。加密技术分为两类，即对称加密和非对称加密。

（1）对称加密。对称加密又称私钥加密，即信息的发送方和接收方用同一个密钥去加密和解密数据。它的最大优势是加/解密速度快，适合于对大数据量进行加密，但密钥管理困难。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露，那么机密性和报文完整性就可以通过这种加密方法加密机密信息、随报文一起发送报文摘要或报文散列值来实现。

（2）非对称加密。非对称加密又称公钥加密，使用一对密钥来分别完成加密和解密操作，其中一个公开发布（即公钥），另一个由用户自己秘密保存（即私钥）。信息交换的过程是：甲方生成一对密钥并将其中的一把作为公钥向其他交易方公开，得到该公钥的乙方使用该密钥对信息进行加密后再发送给甲方，甲方再用自己保存的私钥对加密信息进行解密。

（二）认证技术。认证技术是用电子手段证明发送者和接收者身份及其文件完整性的技术，即确认双方的身份信息在传送或存储过程中未被篡改过。

（1）数字签名。数字签名也称电子签名，如同出示手写签名一样，能起到电子文件认证、核准和生效的作用。其实现方式是把散列函数和公开密钥算法结合起来，发送方从报文文本中生成一个散列值，并用自己的私钥对这个散列值进行加密，形成发送方的数字签名；然后，将这个数字签名作为报文的附件和报文一起发送给报文的接收方；报文的接收方首先从接收到的原始报文中计算出散列值，接着再用发送方的公开密钥来对报文附加的数字签名进行解密；如果这两个散列值相同，那么接收方就能确认该数字签名是发送方的。数字签名机制提供了一种鉴别方法，以解决伪造、抵赖、冒充、篡改等问题。

（2）数字证书。数字证书是一个经证书授权中心数字签名的包含公钥拥有者信息以及公钥的文件数字证书的最主要构成包括一个用户公钥，加上密钥所有者的用户身份标识符，以及被信任的第三方签名第三方一般是用户信任的证书权威机构（CA），如政府部门和金融机构。用户以安全的方式向公钥证书权威机构提交他的公钥并得到证书，然后用户就可以公开这个证书。任何需要用户公钥的人都可以得到此证书，并通过相关的信任签名来验证公钥的有效性。数字证书通过标志交易各方身份信息的一系列数据，提供了一种验证各自身份的方式，用户可以用它来识别对方的身份。

（三）电子商务的安全协议。除上文提到的各种安全技术之外，电子商务的运行还有一套完整的安全协议。比较成熟的协议有SET、SSL等。

（1）安全套接层协议SSL。SSL协议位于传输层和应用层之间，由SSL记录协议、SSL...

网络安全技术的安全对策

网络空间安全专业是网络空间安全一级学科下的专业，学科代码为“083900”，授予“工学”学位，涉及到以信息构建的各种空间领域，研究网络空间的组成、形态、安全、管理等。

网络空间安全专业，致力于培养“互联网+”时代能够支撑国家网络空间安全领域的具有较强的工程实践能力，系统掌握网络空间安全的基本理论和关键技术，能够在网络空间安全产业以及其他国民经济部门，从事各类网络空间相关的软硬件开发、系统设计与分析、网络空间安全规划管理等工作，具有强烈的社会责任感和使命感、宽广的国际视野、勇于探索的创新精神和实践能力的拔尖创新人才和行业高级工程人才。

网络空间安全毕业生能够从事网络空间安全领域的科学研究、技术开发与运维、安全管理等方面的工作。其就业方向有政府部分的安全规范和安全管理，包括法律的制定；安全企业的安全产品的研发；一般企业的安全管理和安全防护；国与国之间的空间安全的协调。