网络安全模型与体系结构.ppt

网络安全模型与体系结构,胡道元清华大学2004年4月,网络安全模型与体系结构,网络安全概念网络安全模型网络安全体系结构,安全的历史回顾,通信安全 解决数据传输的安全 密码技术计算机安全 解决计算机信息载体及其运行的安全 正确实施主体对客体的访问控制网络安全 解决在分布网络环境中对信息载体 及其运行提供安全保护 完整的信息安全保障体系,IP网的安全问题,IP安全DNS安全拒绝服务(DOS)攻击 发送SYN信息分组 邮件炸弹分布式拒绝服务(DDOS)攻击,Defining Information Security,Knowledge obtained from investigation,study,or instruction,intelligence,news,facts,data,a signal or character(as in a communication system or computer)representing data,something(as a plan or theory)that represents physical or mental experience or another constructFreedom from danger,safety;freedom from fear or anxietyMeasures adopted to prevent the unauthorized use,misuse,modification,or denial of use of knowledge,facts,data,or capabilities,网络安全定义,网络安全是在分布网络环境中，对信息载体（处理载体、存储载体、传输载体）和信息的处理、传输、存储、访问提供安全保护，以防止数据、信息内容或能力被非授权使用、篡改和拒绝服务。,网络安全属性,机密性（confidentiality）完整性（integrity）可用性（availability）可审性（accountability）,机密性,保证信息与信息系统不被非授权者获取与使用保证系统不以电磁方式向外泄露信息 电磁屏蔽技术、加扰技术使系统任何时候不被非授权人使用 漏洞扫描、隔离、防火墙、访问控制、入侵检测、审计取证保证数据在传输、存储过程中不被获取、解析 数据 加密技术,完整性,保证信息是真实可信的，发布者不被冒充，来源不被伪造、内容不被篡改保证数据在传输、存储过程中不被非法修改 完整性标识的生成与检验技术保证数据源头不被伪造 身份认证技术、路由认证技术,可用性,保证信息与信息系统可被授权人正常使用保证信息系统在恶劣工作环境下正常运行 抗干扰、加固技术保证系统时刻能为授权人提供服务 过载保护、防拒绝服务攻击、生存技术,可审性,身份鉴别机制 你知道什么 你有什么 你是什么双因子身份鉴别身份识别和鉴别机制是各种安全服务的关键审计提供过去事件的记录，必须基于合适的身份识别和鉴别服务,什么是风险（1）,风险是丢失需要保护的资产的可能性，风险是构成安全基础的基本观念资产类型 物理资源 知识资源 时间资源 信誉资源风险的两个组成部分 漏洞：攻击的可能的途径 威胁：可能破坏网络系统环境安全的 动作或事件,什么是风险（2）,威胁的3个组成部分 目标：可能受到攻击的方面 代理：发出威胁的人或组织 具有访问、知识、动机3个特性 事件：做出威胁的动作类型威胁+漏洞=风险没有漏洞的威胁没有风险 没有威胁的漏洞也没有风险,风险识别与测量,识别漏洞识别威胁对策和预防措施识别风险测量风险,测量风险,识别漏洞,识别威胁,风险级别,已有的预防,测量的 风险,代价,网络安全处理过程,评估阶段策略制订阶段实施阶段培训阶段审计阶段,网络安全模型与体系结构,网络安全概念网络安全模型网络安全体系结构,PPDRR处理模型,安全策略(Policy),安全等级评估技术如何评估系统处于用户自主、系统审计、安全标记、结构化、访问验证等五个保护级的哪一级？漏洞扫描与弱点分析基于关联的弱点分析技术基于用户权限提升的风险等级量化技术拓扑结构发现技术拓扑结构综合探测技术（发现黑洞的存在）基于应用协议的网络拓扑结构发现技术,PPDRR处理模型,防护技术(Protection),防火墙技术联动技术及误报警攻击防范技术病毒防护：网络病毒制导遏制技术隔离技术基于协议的安全岛技术：协议的变换与解析单向路径技术：确保没有直通路径访问控制技术多态、综合性访问控制技术基于攻击检验的强制性口令保护技术,PPDRR处理模型,入侵检测(Detection),大规模入侵检测技术面向异常检测的基于数据流的数据挖掘技术面向误用检测的状态自适应监测预报警防攻击技术分布式入侵检测入侵检测信息交换协议IDS的自适应信息交换与防攻击技术特洛伊木马检测技术守护进程存在状态的审计守护进程激活条件的审计,PPDRR处理模型,攻击反应(Response),密罐技术漏洞再现及状态模拟应答技术沙盒技术，诱捕攻击行为僚机技术动态身份替换，攻击的截击技术被攻系统躲避技术，异常负载的转配,灾难恢复(Restore)（生存技术）,最小运行系统，系统的平滑切割 恢复技术基于数据流的通用恢复技术，体外循坏技术远程存储技术，,互连的物理介质,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,身份认证访问控制数据保密 数据完整性,端到端的加密,防火墙，IP加密信道,点到点链路加密,安全物理信道,网络安全服务层次模型,2023/10/18,22,链路层安全,安装或租用专门通信设施点到点身份认证、保密性提供数据流安全不提供终端用户认证和用户间保密,链路层保护网络的特征,网络层安全,IP数据网的安全 IP处理 DNS ICMP 路由信息 Boot/DHCP 网络管理防火墙IPSec,防火墙,防火墙是建立在内外网络边界上的过滤封锁机制。内部网络被认为是安全和可信赖的。而外部网络（通常是Internet）被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络，通过边界控制强化内部网络的安全策略。,IP加密传输信道技术,IP SEC技术在两个网络结点间建立透明的安全加密信道IP AH(Authentication Header)提供认证和数据完整性IP ESP(Encapsulating Security Payload)安全内容封装实现通信保密优点对应用透明提供主机对主机的安全服务建立安全的IP通道和虚拟的专用网问题需要建立标准密钥管理产品兼容性降低性能,Internet Protocol Security,RFC 2401在不安全网上提供安全通信提供数据加密、端点认证、数据完整性、防止非授权的重传等服务。IPSec运行在IP层和传送层TCP、UDP之间。两种模式 传送模式：两个IPSec主机间通信，保护TCP/UDP内容及各种应用。隧道模式：典型的VPN，数据加密通过隧道 传至目的地。频宽代价较大。,IPSec,2023/10/18,28,传送模式的IP Sec,隧道模式的IP Sec,VPN,2023/10/18,31,VPN是企业网络花费较小能满足安全需求的方案73Fortune 1000的企业采用VPN，从租线转为 VPN可节省60费用，至2002年VPN业务达100亿美金。VPN组成 防火墙：作为局域网的前沿保护 代理服务器：防火墙后的第二道防线 加密：即使数据被截获，难以破译 隧道：通过隧道将两个LAN连接成专网，PPTP、L2TP、IPSec 认证和访问控制：双向认证 CA：著名的公共CA使VPN适应大量合作伙伴 和客户的企业 监控和管理：层次控制结构和集中控制,传输层安全技术-SSL,在两个通信结点间建立安全的TCP连接SSL协商层约定加密算法、版本号身份认证，交换密钥SSL记录层分段、压缩、加密优点基于进程对进程的安全服务和加密传输信道用公钥体系做身份认证缺点对应用层不透明不适用基于UDP的通信需要证书授权中心CA不提供访问控制,2023/10/18,33,SSL,应用层安全技术,专用应用层安全服务私用增强邮件PEM：基于公钥基础设施PKI超文本传输协议安全增强版S-HTTP：提供文件级的安全机制安全电子交易SET 提供身份认证、数据保密、数据完整性等通用应用层安全服务通过中间件实现安全服务定义统一的安全服务接口，向应用层提供身份认证、访问控制、数据加密等安全服务通用安全服务API-GSS-APIMIT KerberosOSF DCE-WebHP CORBA-Web,WWW 应用安全技术,HTTP 1.0 基于明文传输口令的基本认证方法HTTP 1.1 采用摘要认证方法(Digest Authentication Scheme)口令经散列函数变换后传递S-HTTP 提供身份认证，数据保密，数据完整，防止否认等 需对现有通信协议作一定改变WWW Proxy技术 使用中间件提供的安全机制 对应用透明 DCE-Web CORBA-Web,DCE-Web结构,浏览器,SLP,浏览器,浏览器,SDG,WAND服务器,普通www服务器,SSL,HTTP,安全RPC,RPC,HTTP,HTTP,CA+AAs,证书鉴别中心（CA）证书的签发和管理。提供加密、数字签名等与证书相关的安全 模块。安全服务的基础设施。应用安全中心（AAs）证书的使用。提供面向应用的整套安全服务。安全服务的具体实现。,CA+AAs,整体安全框架：CA+AAsCA是核心。AAs是纽带。应用是目标。,CA+AAs,AAs的服务模式分析（1）,纵向安全服务模式安全系统位置：纵向切入应用系统与操作系统之间应用系统需要二次开发横向安全服务模式安全系统位置：横向切入应用客户端与应用服务器之间应用系统无需二次开发,横向安全服务模式,横向安全服务模式,工作原理：所有应用客户端请求经安全通道到安全过滤器过滤后才可进入安全域达到应用服务器,WebST的工作原理,安全鉴别服务器,用户注册数据库,安全管理控制台,安全管理服务器,授权策略主数据库,用户凭证,安全通道,安全审计,访问控制,双向身份鉴别,安全管理,数字证书,数字证书,安全客户端,网络安全模型与体系结构,网络安全概念网络安全模型网络安全体系结构,安全体系结构定义,定义 描述信息系统体系结构在满足安全需求 方面各基本元素之间的关系。要求 反映计算机信息系统安全需求和信息系 统体系结构的共性。,安全体系结构要素,安全政策与策略安全保护等级标准安全服务与安全机制信息系统单元开放系统互连参考模型,信息系统安全保护等级标准,可信计算机系统系统评估准则（TCSEC）信息技术安全评定标准（ITSEC）加拿大可信计算机产品评价准则（CTCPEC）组合的联邦标准（FC）通用的信息安全产品和系统安全性评估准则（CC）计算机信息系统安全保护等级划分准则（GB17859）,计算机信息系统安全保护等级划分准则,目的 为安全法规制定提供依据 为安全产品研制提供技术支持 为安全系统建设提供技术指导安全保护能力的五个等级 第一级：用户自主保护级 第二级：系统审计保护级 第三级：安全标记保护级 第四级：结构化保护级 第五级：访问验证保护级,用户自主保护级,自主访问控制 用户自主地定义对客体的访问权限 用户与数据（访问客体的隔离）身份鉴别 用户标识身份 使用保护机制鉴别身份数据完整性 阻止非授权用户修改或破坏敏感信息,系统审计保护级,自主访问控制 访问控制粒度是单个用户，并控制访问权扩散身份鉴别 为用户提供唯一标识，使用户对自己行为负责客体重用 增加客体重用安全机制审计 创建和维护受保护客体的访问审计跟踪记录数据完整性,安全标记保护级,强制访问控制 对主体及其控制的客体实施强制访问控制。指定敏感标记，为主体、客体确定安全等级的依据 1)仅当 sclass(s)oclass(o),os 则主体s可读客体o 2)仅当 sclass(s)oclass(o),so 则主体s能写客体o身份鉴别客体重用审计数据完整性,结构化保护级,强制访问控制 访问控制扩展到所有的主体和客体 为所有主体、客体指定敏感标记明确定义的形式化安全保护策略身份鉴别客体重用审计数据完整性隐蔽信道分析可信通信路径,访问验证保护级,访问监控器 仲裁主体对客体的全部访问 抗篡改 必须足够小，能分析和测试扩充审计机制提供系统恢复机制系统具有很高的抗渗透能力,ISO7498-2 安全服务,身份鉴别（Authentication）访问控制（Access Control）数据保密（Data Confidentiality）数据完整性（Data integrity）防止否认（Non-reputation）,身份认证,应用层代理或网管,用户授权与访问控制,电路层防火墙（如SOCKS）,应用层安全通信协议,传输层安全 通信协议,数字签名第三方公证,主机和服务的审计记录分析,应用系统的容错容灾、服务管理,应用系统,主机、路由器等源发认证,相邻节点间的认证,包过滤防火墙,主机或路由器间IPSec等协议,点到点之间的链路加密,流量分析入侵检测,网络结构设计，路由系统安全，基础服务安全，网络管理,网络平台,认证,访问控制,数据完整性,数据保密性,抗抵赖,审计,可用性,数据链路层与物理层,网络层,传输层,应用层,网络不同层次的安全服务,开放系统互连参考模型,安 全 特 性,7,6,5,4,3,2,1,身份鉴别,访问控制,数据保密,数据完整,不可抵赖,审计管理,可用性,信息处理,网络,安全管理,物理环境,系,统,单,元,三维安全体系结构框架,安全子系统和三维特性的对应关系（1）,安全防御子系统,网络防火墙：网络层、传输层网络平台、系统平台访问控制,Kerberos 或 X.509：传输层 应用层系统平台 安全管理身份鉴别,桌面VPN子系统,端到端加密通道：网络层 会话层系统平台、应用平台数据完整、数据加密,授权管理子系统,用户和对象的授权策略：应用层应用平台、安全管理访问控制,密钥生成、存储和发放：传输层 应用层系统平台 安全管理身份鉴别,安全监测子系统,安全扫描、攻击报警网络层、传输层网络平台 应用平台跟踪设计、可靠可用,病毒防御子系统,过滤、删除病毒：传输层 应用层系统平台、应用平台数据完整、可靠可用,机要保密子系统,机要信息加密处理：表示层、应用层系统平台、应用平台数据保密,安全数据库子系统,集成数据库安全机制：应用层系统平台、应用平台身份鉴别 可靠可用,安全审计子系统,安全日志存储、分析：网络层 应用层安全管理防止否认、跟踪审计,身份认证子系统,密钥管理子系统,安全子系统和三维特性的对应关系（2）,