计算机网络安全体系课件.ppt

《计算机网络安全体系课件.ppt》由会员分享，可在线阅读，更多相关《计算机网络安全体系课件.ppt（51页珍藏版）》请在三一办公上搜索。

1、计算机网络安全体系,计算机教研室,提纲,安全体系结构 安全模型 安全评估标准,提纲,安全体系结构 什么是安全体系结构 安全体系结构 五种安全服务九种安全机制 安全服务与安全机制的关系 安全服务在功能层上的配置 安全管理 安全模型 安全评估标准,什么是安全体系结构,体系结构(Architecture) Architecture = Components + Connection + Constraints 体系结构部件关系约束 网络安全体系结构 部件：安全服务、安全机制、功能层 关系：安全服务与安全机制、安全服务与功能层 约束：安全政策(Security Policy) Security pol

2、icy is the set of criteria for provision of security services,安全服务、安全机制、安全技术,OSI 安全体系结构（ISO 7498-2）,开放式系统互联安全体系结构主要内容： 相关概念的定义：安全服务、安全机制 定义了五种安全服务（安全功能） 定义了九种安全机制 安全服务和安全机制之间的关系 安全服务在功能层上的配置 安全管理,OSI安全体系结构（ISO 7498-2）,五类安全服务（1）,认证（Authentication ），鉴别 对等实体认证 数据源发认证访问控制（Access Control） 数据保密性（Confident

3、iality）,机密性 连接的机密性 无连接的机密性 选择字段的机密性 通信业务流（traffic)机密性,五类安全服务（2）,数据完整性（Integrity） 连接的完整性 无连接的完整性 选择字段的完整性 带恢复的完整性 抗抵赖（Non-Repudation） 数据原发抗抵赖 数据交付抗抵赖,安全机制,加密机制（密码机制） 可以支持数据保密性、完整性等多种安全服务 算法可以是可逆的，也可以是不可逆的 数字签名机制 签名：使用签名者独有的私有信息 验证：使用公开的信息和规程；,安全机制,访问控制机制 实体必须经过认证 访问控制可以基于以下手段： 集中的授权信息库 ;主体的能力表； 客体的访问

4、控制链表 ;主体和客体的安全标签或安全级别 ;路由、时间、位置等 可以用在源点、中间、或目的,安全机制,数据完整性机制 单个数据单元 ；数据单元序列 ：序列号 ，时间戳 认证交换机制（Authentication Exchange） （1）用于认证交换的技术 认证信息，如口令； 密码技术 ；被认证实体的特征 。（2）为防止重放攻击，常与以下技术结合使用 时间戳， 两次或三次握手 ，数字签名,安全机制,通信业务流填充 路由控制 路由能动态地或预定地选取, 以便只使用物理上安全 的子网、中继站或链路。 在检测到持续的操作攻击时, 端系统可希望指示网络 服务的提供者经不同的路由建立连接。 带有某些安

5、全标记的数据可能被安全策略禁止通过某 些子网、中继或链路。连接的发起者(或无连接数据 单元的发送者)可以指定路由选择说明,由它请求回避 某些特定的子网络、链路或中继。,安全机制,公证机制 有关在两个或多个实体之间通信的数据的性质, 如它 的完整性、原发、时间和目的地等能够借助公证机制 而得到确保。 这种保证是由第三方公证人提供的。公证人为通信实 体所信任, 并掌握必要信息以一种可证实方式提供所 需的保证。 每个通信事例可使用数字签名、加密和完整性机制以 适应公证人提供的那种服务。当这种公证机制被用到 时, 数据便在参与通信的实体之间经由受保护的通信 实例和公证方进行通信。,安全机制,普遍性安全

6、机制 可信功能度(trusted functionality) 安全标签（security Labels） 事件检测(Event Detection) 审计跟踪(security audit Trail) 安全恢复(security recovery),安全服务和安全机制的关系,安全服务与协议层中的位置,OSI的安全管理,OSI安全管理与这样一些操作有关, 它们不 是正常的通信情况但却为支持与控制这些通信的安全所必需 安全的管理 管理的安全,OSI安全管理的分类,系统安全管理 系统安全管理涉及总的OSI环境安全方面的管理。安全服务管理 安全机制管理 密钥管理；加密管理；数字签名管理；访问控制管

7、理；数据完整性管理；鉴别管理；通信业务填充管理；路由选择控制管理；公证管理,TCP/IP安全机制,认证、保密、完整性、访问控制,提纲,安全体系结构 安全模型 什么是安全模型 安全模型的种类及举例 ：访问控制模型 BLP模型 ；完整性模型（ Biba ）安全评估标准,什么是安全模型？,安全模型是一个系统安全政策的形式化描述（数学描述）一个系统是安全的，当切仅当它所有的状态都满足安全政策的规定。安全模型的意义 TCSEC的提出使安全模型引起了更多的关注 安全模型能够精确地表达系统对安全性的需求，增强对系统安全性的理解； 有助于系统实现 有助于系统安全性的证明或验证,常见的安全模型,访问控制模型（A

8、ccess Control Model） 完整性模型(integrity model) 信息流模型(Information flow ),访问控制模型,控制主体对客体的访问 一次访问可以描述为一个三元组： 访问控制政策是一组规则，决定一个特定 的主体是否有权限访问一个客体 F(s, a, o) True, False,访问控制矩阵,按列看是客体的访问控制列表（accesscontrol list） 按行看是主体的访问能力表(capability list),BLP 模型,Bell-LaPadula Model 用来描述美国国防部 的多级安全政策 用户和文件分成不同的安全级别，各自带有 一个安全

9、标签Unclassified, Confidential , Secret, Top Secret 每个用户只可以读同级或级别更低的文件 BLP模型只描述了保密性，没有描述完整 性和可用性的要求,BLP 模型,BLP模型基于有限状态自动机的概念,BLP 模型,安全特性(Security property) Simple security property (no read up)reading of information by a subject at a lower sensitivity level from an object at highersensitivity level is

10、 not permitted.*(star) security property (no write down) writing of information by a subject a a higher level of sensitivity to an object at a lower level of sensitivity is not permitted,BLP 模型,BLP 模型,BLP 模型的信息流,BLP 模型,BLP 模型,完整性模型,Biba 模型 安全政策需求：完整性 规则：no read down , no write up,提纲,安全体系结构 安全模型 安全等级

11、评估,安全等级评估,安全等级评估的意义 计算机和网络的应用环境不同 对安全性的要求也不同 安全等级评估可以为用户选择计算机系统提供指导、依据或参考,安全等级评估标准的发展历程,安全等级评估,美国： Trusted Computer System Evaluation Criteria(TCSEC) Trusted Network Interpretation (TNI) Trusted NTDI 欧洲： ITSEC 加拿大：CTCPEC ISO : CC( Common Criteria for Information Technology Security Evaluation ) V2.0

12、, 1999 中国：GB17859-99,可信计算机系统评估准则（TCSEC）,可信计算基（Trusted Computing Base） 一个实现安全政策的所有安全机制的集合，包括硬件、软件和固件，它根据安全政策来处理主体（Subject）对客体（Object）的访问,TCSEC 相关概念,主体（Subject）：用户，进程 ;客体（Object）：文件、内存等资源 ;访问（Access Control）：读、写、执行、等 ;标识（Identification）; 标签（Label）：主体或客体安全级别的一种属性，主体clearance , 客体classification ;安全政策，主要

13、指访问控制政策.,TCSEC 相关概念,自主型访问控制（Discretionary Access Control） 客体的所有者可以将访问权限自主的分配个其他主体 灵活; 强制型访问控制（Mandatory AccessControl） 由安全管理员决定主体和客体的属性 由操作系统规则根据属性决定访问控制权限。,TCSEC 四类、七个级别,D ： 最小保护类，D级 C：自主保护类 安全措施：自主访问控制，审计跟踪 C1：自主安全保护 用户与数据隔离 C2：可控的安全保护 唯一标识 审计记录 可追查责任,TCSEC 四类、七个级别,B： 强制安全保护类 要求实行强制型访问控制政策 B1 ：标记安

14、全保护 B2： 结构安全保护 B3： 安全区域级保护 A： 验证安全保护类 要求用形式化的方法证明系统的安全型 A1：验证设计级保护B3+设计安全性证明 A2：验证实现级保护, 无法提出具体要求,我国的等级评测标准（GB17859-99）,第一级用户自主保护级 身份认证，自主型访问控制第二级系统审计保护级 认证、自主型访问控制、审计 第三级安全标记保护级 强制型访问控制 第四级结构化保护级 形式化的安全策略模型，考虑隐蔽信道 第五级访问验证级保护 访问监控器抗篡改、可分析测试 自动终止安全事件 系统可恢复,CC的范围和目标用户,范围 评估对象（TOE）：操作系统、计算机网络、分布式应用系统，包

15、括保密性、完整性和可用性； 逻辑上的安全控制机制，不包括行政管理、物理安全、密码强度等 。用户 消费者：可以用评估结果决定一个已评估的产品和系统是否满足要求； 开发者：为评测产品的安全需求提供支持 评估者：提供评估准则 其他：安全的规划和设计,CC的评估类型,保护轮廓（PP） 一组独立于实现的安全需求，描述用户对一类评估对象的技术特殊需要。 PP的评估目的是证明PP是完整的一致的、技术合理的 安全目标（ST） 一组安全需求和说明，用于评估TOE的基础，包括功能的和保障的尺度。ST是开发者、评估者、消费者关于TOE安全特性和评估范围的共同的约定。 对ST的评估有双重目的：一是ST是完全的、一致的

16、、技术合理的，二是当ST宣称满足某一PP时，证明ST满足PP的要求 TOE 评估 对于已经评估过的ST， TOE的评估目的是证明TOE满足ST的要求,CC标准的内容,第一部分： 简介和一般模型 定义了IT安全评估的通用概念和原理，并提出了评估的通用模型 提出了若干概念，可用于描述安全的目的，安全要求，书写安全规范 。第二部分：安全功能需求 功能组件，表示TOE功能要求的标准方法。第三部分：安全保证要求 保证级别（EAL）,TOE的评估过程,小结,ISO 安全体系结构三维模型 五种安全服务 九种安全机制 理解安全模型的概念和作用 BLP模型的 TCSEC 我国安全等级评测 通用准则中的基本概念：PP, ST, TOE,参考文献,ISO 7498-2 : http:/ TCSEC, GB17859-99: 信息系统安全戴宗坤等著，金城出版社通用准则：Information Technology Security techniques Evaluation criteria for IT Security (ISO/IEC 15408 -1 :1999) http:/,