网络安全技术简答题

图1 传输模式示意图

传输模式用于两台主机之间，保护传输层协议头，实现端到端的安全性。当数据包从传输层传送给网络层时，AH和ESP会进行拦截，在IP头与上层协议之间需插入一个IPSec头。当同时应用AH和ESP到传输模式时，应该先应用ESP，再应用AH。另一种隧道模式的实现方式如图2所示。

加密的隧道局域网Internet局域网局域网 图2 隧道模式示意图

隧道模式用于主机与路由器或两部路由器之间，保护整个IP数据包。将整个IP数据包进行封装（称为内部IP头），然后增加一个IP头（称为外部IP头），并在外部与内部IP头之间插入一个IPSec头。

5. 说明Web安全性中网络层、传输层和应用层安全性的实现机制。

答：

第一，网络层。网络层上，虽然IP包本身不具备任何安全特性，很容易被修改、伪造、查看和重播，但是IPSec可提供端到端的安全性机制，可在网络层上对数据包进行安全处理。IPSec可以在路由器、防火墙、主机和通信链路上配置，实现端到端的安全、虚拟专用网络和安全隧道技术等。

第二，传输层。在TCP传输层之上实现数据的安全传输是另一种安全解决方案，安全套接层SSL和TLS（Transport Layer Security）通常工作在TCP层之上，可以为更高层协议提供安全服务。

第三，应用层。将安全服务直接嵌入在应用程序中，从而在应用层实现通信安全。如SET（Secure Electronic Transaction，安全电子交易）是一种安全交易协议，S/MIME、PGP是用于安全电子邮件的一种标准。它们都可以在相应的应用中提供机密性、完整性和不可抵赖性等安全服务。

第12章 网络安全方案设计

3. 网络安全方案框架包含哪些内容？编写时需要注意什么？

答：

总体上说，一份安全解决方案的框架涉及6大方面，可以根据用户的实际需求进行取

舍。

第一，概要安全风险分析。对当前的安全风险和安全威胁作一个概括和分析，最好能够突出用户所在的行业，并结合其业务的特点、网络环境和应用系统等。同时，要有针对性，如政府行业、电力行业、金融行业等，要体现很强的行业特点，使人信服和接受。

第二，实际安全风险分析。实际安全风险分析一般从4个方面进行分析：网络的风险和威胁分析，系统的风险和威胁分析，应用的分析和威胁分析，对网络、系统和应用的风险及威胁的具体实际的详细分析。

第三，网络系统的安全原则。安全原则体现在5个方面：动态性、惟一性、整体性、专业性和严密性。

第四，安全产品。常用的安全产品有5种：防火墙、防病毒、身份认证、传输加密和入侵检测。结合用户的网络、系统和应用的实际情况，对安全产品和安全技术作比较和分析，分析要客观、结果要中肯，帮助用户选择最能解决他们所遇到问题的产品，不要求新、求好和求大。

第五，风险评估。风险评估是工具和技术的结合，通过这两个方面的结合，给用户一种很实际的感觉，使用户感到这样做过以后，会对他们的网络产生一个很大的影响。

第六，安全服务。安全服务不是产品化的东西，而是通过技术向用户提供的持久支持。对于不断更新的安全技术、安全风险和安全威胁，安全服务的作用变得越来越重要。