第一章信息安全概述-安全服務(wù)的分層部署計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層TCP/IP網(wǎng)絡(luò)分層安全服務(wù)分層部署第一章信息安全概述具有理論意義的網(wǎng)絡(luò)協(xié)議OSI七層模型服務(wù)1234567認(rèn)證對等實(shí)體認(rèn)證√√√數(shù)據(jù)起源認(rèn)證√√√訪問控制自主訪問控制√√√強(qiáng)制訪問控制√√√機(jī)密性連接機(jī)密性√√√√√√無連接機(jī)密性√√√√√選擇字段機(jī)密性√√業(yè)務(wù)流機(jī)密性√√√完整性可恢復(fù)的連接完整性√√不可恢復(fù)的連接完整性√√√選擇字段的連接完整性√無連接完整性√√√選擇字段的無連接完整性√非否認(rèn)數(shù)據(jù)起源的非否認(rèn)√傳遞過程的非否認(rèn)√安全服務(wù)分層部署安全服務(wù)的分層部署與實(shí)現(xiàn)第一章信息安全概述安全策略和措施通常是基于用戶制定的對用戶想要保護(hù)的數(shù)據(jù)具有完整的訪問權(quán)，因而能很方便地提供一些服務(wù)不必依賴操作系統(tǒng)來提供這些服務(wù)對數(shù)據(jù)的實(shí)際含義有著充分的理解效率太低對現(xiàn)有系統(tǒng)的兼容性太差改動的程序太多，出現(xiàn)錯(cuò)誤的概率大增，為系統(tǒng)帶來更多的安全漏洞應(yīng)用層提供安全服務(wù)的特點(diǎn)優(yōu)點(diǎn)：缺點(diǎn)：安全服務(wù)分層部署第一章信息安全概述應(yīng)用層上提供的安全服務(wù)：只能在通信兩端的主機(jī)系統(tǒng)上實(shí)施。能為其上的各種應(yīng)用提供安全服務(wù)提供了更加細(xì)化的基于進(jìn)程對進(jìn)程的安全服務(wù)現(xiàn)有的和未來的應(yīng)用可以很方便地得到安全服務(wù)在傳輸層的安全服務(wù)內(nèi)容有變化時(shí)，只要接口不變，應(yīng)用程序就不必改動由于傳輸層很難獲取關(guān)于每個(gè)用戶的背景數(shù)據(jù)，實(shí)施時(shí)通常假定只有一個(gè)用戶使用系統(tǒng)，所以很難滿足針對每個(gè)用戶的安全需求傳輸層提供安全服務(wù)的特點(diǎn)優(yōu)點(diǎn)：缺點(diǎn)：安全服務(wù)分層部署第一章信息安全概述傳輸層提供安全服務(wù)只能在通信兩端的主機(jī)系統(tǒng)上實(shí)施主要優(yōu)點(diǎn)是透明性能提供主機(jī)對主機(jī)的安全服務(wù)，不要求傳輸層和應(yīng)用層做改動，也不必為每個(gè)應(yīng)用設(shè)計(jì)自己的安全機(jī)制；網(wǎng)絡(luò)層支持以子網(wǎng)為基礎(chǔ)的安全子網(wǎng)可采用物理分段或邏輯分段，因而可很容易實(shí)現(xiàn)VPN和內(nèi)聯(lián)網(wǎng)，防止對網(wǎng)絡(luò)資源的非法訪問密鑰協(xié)商的開銷小由于多種傳送協(xié)議和應(yīng)用程序可共享由網(wǎng)絡(luò)層提供的密鑰管理架構(gòu)，密鑰協(xié)商的開銷大大降低無法實(shí)現(xiàn)針對用戶和用戶數(shù)據(jù)語義上的安全控制網(wǎng)絡(luò)層提供安全服務(wù)的特點(diǎn)網(wǎng)絡(luò)層提供的安全服務(wù)：在端系統(tǒng)和路由器上都可以實(shí)現(xiàn)優(yōu)點(diǎn)：缺點(diǎn)：安全服務(wù)分層部署第一章信息安全概述整個(gè)分組（包括分組頭信息）都被加密，保密性強(qiáng)使用范圍有限只有在專用鏈路上才能很好地工作，中間不能有轉(zhuǎn)接點(diǎn)數(shù)據(jù)鏈路層提供安全服務(wù)的特點(diǎn)優(yōu)點(diǎn)：