计算机网络安全体系结构ppt课件.ppt

计算机网络安全基础,一系三教张铮Email: zhangzhengxxgc.mtnTel: 635 30523Cell: 138 381 to 3721QQ: 345 345 4,第二章 计算机网络安全体系结构,安全模型 网络安全体系结构安全服务与安全机制 网络安全设计的基本原则,计算机网络安全的三个特性,相对性动态性系统性,相对性,安全的概念是相对的，任何一个系统都具有潜在的危险，没有绝对的安全。技术层面：道高一尺，魔高一丈非技术层面：目标与实现的不一致性（人为因素）,动态性,在一个特定的时期内，在一定的安全策略下，系统可能是安全的。但是，随着攻击技术的进步、新漏洞的暴露，系统可能会变得不安全了。因此需要适应变化的环境并能做出相应的调整，才能确保计算机网络系统的安全。,系统性,计算机网络安全包括了物理层、网络层、系统层、应用层以及管理层等多个方面。从技术上来说，系统的安全是由多个安全组件来保证的，单独的安全组件只能提供部分的安全功能，缺少哪一个安全组件都不能构成完整的安全系统。,2.1 安全模型,正是由于计算机网络系统的安全存在上述三个特性，因此需要采用某种安全模型来进行描述和指导。下面讨论两种典型的安全模型：P2DRPDRR,2.1.1 P2DR安全模型,美国国际互联网安全系统公司（ISS）P2DR安全模型是指：策略（Policy）防护（Protection）检测（Detection）响应（Response）,P2DR安全模型,P2DR安全模型：安全 = 风险分析 + 执行策略 + 系统实施 + 漏洞监测 + 实时响应,P2DR安全模型,P2DR安全模型认为没有一种技术可完全消除网络中的安全漏洞必须在整体安全策略的控制、指导下，在综合运用防护工具的同时，利用检测工具了解和评估系统的安全状态，通过适当的反馈将系统调整到相对最安全和风险最低的状态。,P2DR安全模型,也就是说，系统的安全实际上是理想中的安全策略和实际的执行之间的一个平衡，强调在防护、监控检测、响应等环节的循环过程，通过这种循环达到保持安全水平的目的。P2DR安全模型是整体的、动态的安全模型。因此，P2DR安全模型也称为可适应安全模型ANSM（Adaptive Network Security Model）。,P2DR安全模型1、策略,安全策略是P2DR安全模型的核心，所有的防护、检测、响应都是依据安全策略实施的，安全策略为安全管理提供管理方向和支持手段。策略体系的建立包括安全策略的制订、评估、执行等。只有对计算机网络系统进行了充分的了解，才能制订出可行的安全策略。,P2DR安全模型1、策略,安全策略具有一般性和普遍性，一个恰当的安全策略总会把关注的核心集中到最高决策层认为必须值得注意的那些方面。概括地说，一种安全策略实质上明确在安全领域的范围内：什么操作是明确允许的什么操作是一般默认允许的什么操作是明确不允许的什么操作是默认不允许的。,P2DR安全模型1、策略,安全策略一般不作出具体的措施规定，也不确切说明通过何种方式能才够达到预期的结果，而是向系统安全实施者指出在当前的前提下，什么因素和风险才是最重要的。就这个意义而言，建立安全策略是实现安全的最首要的工作，也是实现安全技术管理与规范的第一步。,P2DR安全模型2、防护,防护就是采用一切手段保护计算机网络系统的保密性、完整性、可用性、可控性和不可否认性，预先阻止攻击可以发生的条件产生，让攻击者无法顺利地入侵。所以说，防护是网络安全策略中最重要的环节。,P2DR安全模型2、防护,防护可以分为三大类：系统安全防护网络安全防护信息安全防护,P2DR安全模型2、防护,系统安全防护：即操作系统的安全防护。不同操作系统有不同的防护措施和相应的安全工具。网络安全防护：网络管理、以及网络传输的安全。信息安全防护：数据本身的保密性、完整性和可用性。例如，数据加密就是信息安全防护的重要技术。,P2DR安全模型2、防护,防护的技术及方法通常采用传统的静态安全技术来实现防护，如防火墙、加密、认证等。防护通常处于系统的边界，以提高边界抵御能力，可分为：物理实体的防护技术信息防护（防泄露、防破坏）技术。,P2DR安全模型2、防护,物理实体的防护技术主要是对有形的信息载体实施保护，使之不被窃取、复制或丢失。磁盘信息消除技术室内防盗报警技术密码锁、指纹锁、眼底锁等。信息载体的传输、使用、保管、销毁等各个环节都可应用这类技术。,P2DR安全模型2、防护,信息防护技术主要是对信息的处理过程传输过程实施保护，使之不被非法入侵、窃听、干扰、破坏、拷贝。,P2DR安全模型2、防护,对信息处理的防护主要有如下二种技术：计算机软、硬件的加密和保护技术计算机口令字验证、数据库存取控制技术、审计跟踪技术、密码技术、防病毒技术等计算机网络保密技术，主要指用于防止内部网秘密信息非法外传保密网关、安全路由器、防火墙等,P2DR安全模型2、防护,对信息传输的防护也有两种技术：对信息传输信道采取措施专网通信技术、跳频通信技术、光纤通信技术、辐射屏蔽和干扰技术等，以增加窃听的难度；对传递的信息使用密码技术进行加密，使窃听者即使截获信息也无法知悉其真实内容。常用的加密设备有电话保密机、传真保密机、IP密码机、线路密码机、电子邮件密码系统等。,P2DR安全模型2、防护,防护的安全单元风险评估访问控制及防火墙 防病毒软件 数据备份 数据加密 鉴别技术安全通信安全技术评估标准,P2DR安全模型2、防护,风险评估，即缺陷扫描。安全缺陷可以分为两种：允许远程攻击的缺陷允许本地攻击的缺陷。允许远程攻击的缺陷一般存在于提供网络服务的软件中。允许本地攻击的软件就是攻击者不能通过网络利用该缺陷攻击系统，这样的缺陷一般存在于不提供网路服务的软件中。,P2DR安全模型2、防护,对于允许远程攻击的安全缺陷，可以使用网络缺陷扫描工具去发现。对于只允许本地攻击的缺陷，只能使用本地缺陷扫描工具去发现它们。发现缺陷后就对该缺陷进行修补（打补丁）。,P2DR安全模型2、防护,鉴别技术。鉴别技术保护数据通信的两个方面：通信双方的身份认证和传输数据的完整性。数字签名是在电子文件上签名的技术，确保电子文件的完整性。身份认证需要每个实体（用户）登记一个数字证书。这个数字证书包含该实体的信息（如用户名、公开密钥）。公钥基础设施PKI就是一个管理数字证书的机构，其中包括发行、管理、回收数字证书。,P2DR安全模型2、防护,安全通信，防止数据在传输过程中的泄漏。点对点的安全通信的建立过程如下：首先，通信双方用公开密钥加密技术互相鉴别对方的身份。如果鉴别的身份已通过，双方随机产生一个加密密钥，用来加密传输的数据。传输的数据加密使用对称加密技术。,P2DR安全模型3、检测,上面提到防护系统（静态的）可以阻止大多数入侵事件的发生，但是它不能阻止所有的入侵。特别是那些利用新的系统缺陷、新的攻击手段的入侵。因此安全政策的第二个安全屏障就是检测。,P2DR安全模型3、检测,检测是动态响应和加强防护的依据，是强制落实安全策略的工具通过不断地检测和监控网络及系统，来发现新的威胁和弱点，通过循环反馈来及时做出有效的响应,P2DR安全模型3、检测,检测的对象网络的安全风险是实时存在的，检测的对象主要针对系统自身的脆弱性及外部威胁。主要检查系统存在的脆弱性。在计算机系统运行过程中，检查、测试信息是否发生泄漏、系统是否遭到入侵，并找出泄漏的原因和攻击的来源。计算机网络入侵检测、信息传输检查、电子邮件监视、电磁泄漏辐射检测、屏蔽效果测试、磁介质消磁效果验证等。,P2DR安全模型3、检测,检测与防护的区别：如果防护和黑客的关系是：“防护在明，黑客在暗”，那么检测和黑客的关系是：“黑客在明，检测在暗”。防护主要修补系统和网络的缺陷。增加系统的安全性能，从而消除攻击和入侵的条件。检测并不是根据网络和系统的缺陷，而是根据入侵事件的特征去检测的。,P2DR安全模型3、检测,但是，黑客攻击系统的时候往往是利用网络和系统的缺陷进行的，所以入侵事件的特征一般与系统缺陷的特征有关。防护和检测技术是有相关理论背景的。在安全模型中，防护（P）和检测（D）之间有互补关系。如果防护部分做得很好，绝大多数攻击事件都被阻止，那么检测部分的任务就很少了。反过来，如果防护部分做得不好，检测部分的任务就很多。,P2DR安全模型3、检测,入侵检测系统（IDS）：是一个硬件系统或软件程序，基于入侵者的攻击行为与合法用户的正常行为有着明显的不同，实现对入侵行为的检测和告警，以及对入侵者的跟踪定位和行为取证。根据不同的特征，入侵检测系统可以分为不同的类型：根据检测环境不同，IDS一般可以分为基于主机的IDS（Host-based）和基于网络的IDS（Network-based）。,P2DR安全模型3、检测,基于主机的IDS检测基于主机上的系统日志，审计数据等信息。其优点在于它不但能够检测本地入侵（Local Intrusion），还可以检测远程入侵（Remote Intrusion）。而缺点则是它对操作系统依赖较大，检测的范围较小。基于网络的IDS检测则一般侧重于网络流量分析。其优点在于检测范围是整个网段，独立于主机的操作系统,P2DR安全模型3、检测,根据检测所使用方法，IDS还可以分为两种：误用检测（Misuse Detection）。首先需要建立一个入侵规则库，其中，它对每一种入侵都形成一个规则描述，只要发生的事件符合于某个规则就被认为是入侵。这种技术的好处在于它的误警率（False Alarm Rate）比较低，缺点是查全率（Probability of Detection）完全依赖于入侵规则库的覆盖范围另外由于入侵规则库的建立和更新完全靠手工，且需要很深的网络安全知识和经验，所以维持一个准确完整的入侵规则库是一件十分困难的事情。,P2DR安全模型3、检测,异常检测（Anomaly Detection）。并不对每一种入侵进行规则描述，而是对正常事件的样本建立一个正常事件模型，如果发生的事件偏离这个模型的程度超过一定的范围，就被认为是入侵。由于事件模型是通过计算机对大量的样本进行分析统计而建立的，具有一定的通用性，因此异常检测克服了一部分误用检测技术的缺点。但是相对来说异常检测技术的误警率较高。,P2DR安全模型4、响应,响应就是在检测到安全漏洞或一个攻击（入侵）事件之后，及时做出正确的响应，从而把系统调整到安全状态。从某种意义上讲，安全问题就是要解决紧急响应和异常处理。,2.1.2 PDRR网络安全模型（1）,网络安全的整个环节还可以用另一个常用的安全模型PDRR模型来描述。PDRR就是防护（Protection）、检测（Detection）、响应（Response）、恢复（Recovery）。,2.1.2 PDRR网络安全模型（2）,PDRR安全模型中安全策略的前三个环节与P2DR安全模型中后三个环节的内涵基本相同最后一个环节“恢复”，是指在系统被入侵之后，把系统恢复到原来的状态，或者比原来更安全的状态。系统的恢复过程通常需要解决两个问题：一是对入侵所造成的影响进行评估和系统的重建二是采取恰当的技术措施进行改进,2.1.2 PDRR网络安全模型（3）,PDRR安全模型说明了安全的实际目标：尽可能地增大保护时间，尽量减少检测时间和响应时间，在系统遭受到破坏后，尽快恢复以减少系统暴露时间。,2.2 网络安全体系结构,计算机网络安全体系结构定义：网络安全最高层的抽象描述。在基于网络的安全系统的设计与开发过程中，需要从全局的体系结构角度考虑安全问题的整体解决方案，才能保证网络安全功能的完备性与一致性，降低安全的代价和管理的开销。完备的安全体系结构对于网络安全的理解、设计、实现与管理都有重要的意义。,2.2.1 开放式系统互联参考模型（OSI/RM）,2.2.2 Internet网络体系层次结构,现在Internet使用的协议是TCP/IP协议,2.2.2 Internet网络体系层次结构,网络接口层：网络接口层定义了Internet与各种物理网络之间的网络接口网际层：网际层是网络互联层，负责相邻计算机之间的通信，提供端到端的分组传送、数据分段与组装、路由选择等功能。该层使用的协议有IP、ICMP等。,2.2.2 Internet网络体系层次结构,传输层：传输层为应用层的应用进程或应用程序提供端到端的有效、可靠的连接以及通信和事务处理，该层使用的协议有TCP与UDP。应用层：应用层位于TCP/IP协议的最上层，向用户提供一组应用程序和各种网络服务，比如文件传输、电子邮件等。,2.2.3 网络安全体系结构框架,一般把计算机网络安全看成一个由多个安全单元组成的集合。其中，每一个安全单元都是一个整体，包含了多个特性。可以从安全特性的安全问题、系统单元的安全问题以及开放系统互连（ISO/OSI）参考模型结构层次的安全问题等三个主要特性去理解一个安全单元。安全单元集合可以用一个三维的安全空间去描述它，如图所示。下图描述了一个三维的计算机网络安全空间，反映了计算机网络安全的需求和体系结构的共性。,计算机网络安全空间,2.2.3 网络安全体系结构框架,安全特性指的是该安全单元能解决什么安全威胁。一般来说，计算机网络的安全威胁主要关心人的恶意行为可能导致的资源被破坏、信息泄漏、篡改、滥用和拒绝服务。针对上述问题， ISO7498-2对OSI规定了五个方面的安全服务。,2.2.3 网络安全体系结构框架,这些安全服务包括：认证数据保密性数据完整性访问控制防抵赖某些安全服务几乎可以在OSI所有层中提供。这方面的内容将在下面详述。,系统单元的安全问题指的是该安全单元解决什么系统环境的安全问题。对于Internet，可以从四个不同的环境来分析其安全问题。物理环境的安全问题网络系统本身的安全问题。应用系统的安全问题。网络管理的安全问题,2.2.3 网络安全体系结构框架,2.2.3 网络安全体系结构框架,物理环境的安全问题：物理指的是物理环境，如硬件设备、网络设备等。包含该特性的安全单元解决物理环境的安全问题。网络系统本身的安全问题：一般是指数据在网络上传输的安全威胁、数据和资源在存储时的安全威胁。,2.2.3 网络安全体系结构框架,应用系统的安全问题：应用程序是在操作系统上安装和运行。包含该特性的安全单元解决应用程序所包含的安全问题。一般是指数据在操作和资源在使用的时候的安全威胁。网络管理的安全问题：ISO 7498-2制定了有关安全管理的机制，包括安全域的设置和管理、安全管理信息库、安全管理信息的通信、安全管理应用程序协议及安全机制与服务管理。,2.3.1安全服务ISO对OSI规定了五种级别的安全服务：对象认证数据保密性数据完整性访问控制防抵赖,2.3安全服务与安全机制,认证服务,认证安全服务是防止主动攻击的重要措施，这种安全服务提供对通信中的对等实体和数据来源的鉴别，它对于开放系统环境中的各种信息安全有重要的作用。认证就是识别和证实。识别是辨别一个对象的身份，证实是证明该对象的身份就是其声明的身份。OSI环境可提供两种认证安全服务：对等实体认证（Peer-entity Authentication）信源认证（Data-origin Authentication）,访问控制服务,访问控制安全服务是针对越权使用资源和非法访问的防御措施。访问控制大体可分为自主访问控制和强制访问控制两类。其实现机制可以是基于访问控制属性的访问控制表（ACL），或基于“安全标签”、用户分类和资源分档的多级访问控制等。访问控制安全服务主要位于应用层、传输层和网络层。它可以放在通信源、通信目标或两者之间的任意位置。,数据保密服务,数据保密性安全服务是针对信息泄露、窃听等被动威胁的防御措施。这组安全服务又细分为：信息保密：保护通信系统中的信息或网络数据库数据。而对于通信系统中的信息，又分为面向连接保密和无连接保密。,数据保密服务,数据字段保密：保护信息中被选择的部分数据段；这些字段或处于（N）连接的（N）用户数据中，或为单个无连接的（N）SDU中的字段。业务流保密：防止攻击者通过观察业务流，如信源、信宿、传送时间、频率和路由等来得到敏感的信息。,数据完整性安全服务,数据完整性安全服务是针对非法地篡改和破坏信息、文件和业务流而设置的防范措施，以保证资源的可获得性。这组安全服务又细分为：基于连接的数据完整基于数据单元的数据完整性基于字段的数据完整性,防抵赖安全服务,防抵赖安全服务是针对对方进行抵赖的防范措施，可用来证实已发生过的操作。这组安全服务可细分为：数据源发证明的抗抵赖交付证明的抗抵赖通信双方互不信任，但对第三方（公证方）则绝对信任，于是依靠第三方来证实已发生的操作。,2.3.2支持安全服务的基本机制,为了实现上述5种安全服务，ISO 7408-2中制定了支持安全服务的8种安全机制，它们分别是：加密（Encryption Mechanisms）数字签名（Digital Signature Mechanisms）访问控制（Access Control Mechanisms）数据完整性（Data Integrity Mechanisms）鉴别（Authentication Mechanisms）通信业务填充（Traffic Padding Mechanisms）路由控制（Routing Control Mechanisms）公证（Notarization Mechanisms）,2.3.3 支持安全服务的辅助机制,安全服务基本机制直接地保护计算机网络安全，但真正实现这些机制必须有下面一些机制的配合，使安全服务满足用户需求。这些机制的实现与网络层次没有必然的联系。它们侧重安全管理方面。安全机制可信度评估安全标识安全审计安全响应与恢复,2.3.4安全服务和安全机制的关系,2.3.5 安全服务与网络层次的关系,ISO的开放系统互连参考模型在各层需要提供不同的安全机制和安全服务，为各系统单元提供不同的安全特性。如图所示。,2.3.5 安全服务与网络层次的关系,安全服务配置的原则实现一种服务的方法尽可能统一；安全服务系统可以跨层组建；安全所需的附加功能尽力避免重复OSI的现有功能；避免破坏层的独立性；安全服务系统中可信功能的总量应尽量少；当安全服务系统中的某实体依赖于较低层提供的安全机制时，任何中间层应该按不违反安全的方式构建；一个层的附加安全功能尽可能定义在本层内；一种特定的安全服务如果被认为在不同层上对总的通信安全的影响是不同的，便可以在多个层上提供。,参考模型的各个层能提供的安全服务,2.4网络安全设计的基本原则,一般说来，计算机网络系统的安全设计与实现分为5个基本步骤：分析安全需求确定安全方针选择安全功能选择安全措施完善安全管理,2.4网络安全设计的基本原则,分析安全需求：分析网络中可能存在的薄弱环节，分析这些环节可能造成的危害，分析这些危害可能产生的后果和损失。确定安全方针：根据上述安全需求分析结果，确定在网络中应控制哪些危害因素并且控制到什么程度，确定应保护哪些网络资源及保护的程度，确定安全控制的手段，确定为实现网络安全所能付出的代价，包括实施费用，运行费用以及经过分析允许存在的危害风险可能造成损失的代价。,2.4网络安全设计的基本原则,选择安全功能：这是为达到安全方针所具备的一系列有关的功能和规定。选择安全措施：这是实现安全功能的具体技术机制和方法。完善安全管理：这是为有效运用安全措施，体现安全功能所采用的支持性、保证性的技术措施，包括安全信息的报告等。,2.4网络安全设计的基本原则,需求、风险、代价平衡分析的原则 综合性、整体性、等级性原则 方便用户原则 适应性及灵活性原则,一致性原则 木桶原则 有效性与实用性原则 安全性评价原则 动态化原则,本章知识梳理,P2DR安全模型和PDRR网络安全模型Internet网络体系层次结构网络安全体系结构框架5种安全服务和8种安全机制网络安全设计的基本原则,第2章完,谢谢,