文章目錄

• 1.1 計算機安全的概念
• • 1.1.1計算機網絡面臨的主要威脅
  • 1.1.2計算機網絡的不安全主要因素
  • 1.2.3不安全的主要原因
• 1.2 OSI安全框架
• • 1.2.1安全攻擊
  • 1.2.2安全機制
  • 1.2.3安全服務

1.1 計算機安全的概念

計算機網絡安全的定義：

• 計算機網絡安全是指利用管理控制和技術措施，保證在一個網絡環境里，信息數據的機密性、完整性及可使用性受到保護

NIST：美國國家標準與技術研究院（National Institute of Standards and Technology，NIST）
提出了計算機安全最核心的三個關鍵目標:

• 保密性（confidentiality）

保密性是指信息不泄漏給非授權的用戶、實體或過程，或供其利用的特性。數椐保密性就是保證具有授權用戶可以訪問數據，而限制其他人對數據的訪問。數據保密性分為網絡傳輸保密性和數據存儲保密性。

• 完整性（integrity）

完整性是指數據未經授權不能進行改變的特性,即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。數據的完整性的目的就是保證計算機系統上的數據和信息處于一種完整和未受損害的狀態，這就是說，數據不會因有意或無意的事件而被改變或丟失。數據完整性的喪失直接影響到數據的可用性

• 可用性（availability）

可用性是指被授權實體訪問并按需求使用的特性，即當需要時能否存取和訪問所需的信息

在這三個核心目標下建立計算機安全的概念

1.1.1計算機網絡面臨的主要威脅

①計算機網絡實體面臨威脅（實體為網絡中的關鍵設備）
②計算機網絡系統面臨威脅（典型安全威脅）
③惡意程序的威脅（如計算機病毒、網絡蠕蟲、間諜軟件、木馬程序）
④計算機網絡威脅的潛在對手和動機（惡意攻擊/非惡意）

1.1.2計算機網絡的不安全主要因素

（1）偶發因素：如電源故障、設備的功能失常及軟件開發過程中留下的漏洞或邏輯錯誤等
（2）自然因素：各種自然災害對計算機系統構成嚴重的威脅
（3）人為因素：人為因素對計算機網絡的破壞也稱為人對計算機網絡的攻擊

1.2.3不安全的主要原因

①互聯網具有不安全性
②操作系統存在的安全問題
③數據的安全問題
④傳輸線路安全問題
⑤網絡安全管理的問題

1.2 OSI安全框架

OSI安全體系結構中定義了鑒別、訪問控制、數據機密性、數據完整性和抗抵賴五種網絡安全服務，以及加密機制、數字簽名機制、訪問控制機制、數據完整性機制、鑒別交換機制、通信業務流填充機制、路由控制和公證機制八種基本的安全機制

ITU-T的中文名稱：是國際電信聯盟電信標準分局(ITU-T for ITU Telecommunication Standardization Sector), 它是國際電信聯盟管理下的專門制定電信標準的分支機構

ITU-T 推薦方案X.800即OSI安全框架，從三個方面研究安全問題:

• 安全攻擊:危及系統信息安全的行為
• 安全機制:對抗安全攻擊采取的措施
• 安全服務:采取一種或幾種安全機制后，達到的安全功效

1.2.1安全攻擊

1.分兩類:主動攻擊;被動攻擊

• (1)主動攻擊:對數據流進行篡改或偽造數據流

• 偽裝—攻擊者冒充別的合法用戶或服務器
• 重放—將獲得消息再次發送，以獲得非授權的利益消息
• 篡改—篡改合法消息的內容或屬性
• 拒絕服務—采取措施，使服務設備失效

• (2）被動攻擊:對傳輸信息進行竊聽和監測，目的是獲取傳輸的消息的內容和屬性并不中斷正常的通信。

• 信息內容泄露攻擊:攻擊者竊聽消息的內容;
• 流量分析:攻擊者可以獲得消息模式、通信主機的身份、位置以及傳輸消息的頻率和長度，用以判斷通信的性質;

1.2.2安全機制

• (1）特定安全機制—在特定情況下實現的安全機制。

1.加密:運用一定的算法將數據轉換成不可知的形式。 2.數字簽名:附加于發送數據之后的數據，是對發送數據的密碼變換， 以使得接收方可以證明數據源和數據的完整性并防止攻擊者偽造或發送者抵賴。 3.存取控制:對資源行使存取控制的各種機制，授權可用，非授權不可用。 4.數據完整性:用于保護數據源或數據流的完整性的各種機制。 5.認證交換:通過信息交換來保證實體身份的各種機制。 6.流量填充:在數據流空隙中插入若干位以對抗流量分析。 7.路由控制:能夠為某些數據選擇特殊的物理上安全的路線并允許路由變化。 8.公證:利用可信的第三方來保護數據交換的某些性質。

• (2）普遍的安全機制—不屬于任何的協議層或安全服務
  可信功能;.安全標簽;事件檢測;安全審計跟蹤; 安全恢復。

1.2.3安全服務

安全服務是通過安全機制來實現安全策略，它是開放系統協議層提供的服務。
1.認證:保證通信實體是它所聲稱的實體。

(1）同等實體認證:用于邏輯連接時為連接的實體的身份提供身份可信性
(2）數據源認證:無連接傳輸時保證收到的信息來源是聲稱的來源。

2.存取控制:保證授權可用，非授權不可用。
3.數據保密性;保護數據免于非授權泄露。

• (1）連接保密性;保護一次連接中所有的用戶數據;
• (2）無連接保密性;單個數據塊里的用戶數據;
• (3）選擇域保密性:對選定的數據進行保密;
• (4）流量保密性:保護那些可以通過觀察流量而獲得的信息。

4.數據完整性;

• 保證收到的數據確是授權實體所發出的數據（即沒有修改、插入、刪除或重放)。具有恢復功能的連接完整性
• 提供一次連接中所有用戶數據的完整性，檢測整個數據序列內存在的修改、插入、刪除或重放，且試圖恢復。
• 無恢復功能的連接完整性
• 選擇域連接完整性
• 無連接完整性
• 選擇域無連接完整性

5.不可否認性:防止整個或部分通信過程中任一通信實體進行否認的行為。

• 源不可否認性：證明消息是由特定方發出的
• 宿不可否認性：證明消息被特定方收到

6.可用性:計算機系統能夠提供讓用戶滿意的安全服務。

總結

以上是生活随笔為你收集整理的计算机安全OSI安全框架的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。