网络安全模型与体系结构.ppt

1、网络安全模型与体系结构,胡道元 清华大学 2004年4月,网络安全模型与体系结构,网络安全概念 网络安全模型 网络安全体系结构,安全的历史回顾,通信安全 解决数据传输的安全 密码技术 计算机安全 解决计算机信息载体及其运行的安全 正确实施主体对客体的访问控制 网络安全 解决在分布网络环境中对信息载体 及其运行提供安全保护 完整的信息安全保障体系,IP网的安全问题,IP安全 DNS安全 拒绝服务(DOS)攻击 发送SYN信息分组 邮件炸弹 分布式拒绝服务(DDOS)攻击,Defining Information Security,Knowledge obtained from investiga

2、tion, study, or instruction, intelligence, news, facts, data, a signal or character (as in a communication system or computer ) representing data, something (as a plan or theory ) that represents physical or mental experience or another construct Freedom from danger, safety; freedom from fear or anx

3、iety Measures adopted to prevent the unauthorized use, misuse, modification, or denial of use of knowledge, facts, data, or capabilities,网络安全定义,网络安全是在分布网络环境中， 对信息载体（处理载体、存储载体、 传输载体）和信息的处理、传输、 存储、访问提供安全保护，以防止 数据、信息内容或能力被非授权使用、 篡改和拒绝服务。,网络安全属性,机密性（confidentiality） 完整性（integrity） 可用性（availability） 可审性（

4、accountability）,机密性,保证信息与信息系统不被非授权者获取与使用 保证系统不以电磁方式向外泄露信息 电磁屏蔽技术、加扰技术 使系统任何时候不被非授权人使用 漏洞扫描、隔离、防火墙、访问控制、入侵检测、审计取证 保证数据在传输、存储过程中不被获取、解析 数据 加密技术,完整性,保证信息是真实可信的，发布者不被冒充，来源不被伪造、内容不被篡改 保证数据在传输、存储过程中不被非法修改 完整性标识的生成与检验技术 保证数据源头不被伪造 身份认证技术、路由认证技术,可用性,保证信息与信息系统可被授权人正常使用 保证信息系统在恶劣工作环境下正常运行 抗干扰、加固技术 保证系统时刻能为授权人

5、提供服务 过载保护、防拒绝服务攻击、生存技术,可审性,身份鉴别机制 你知道什么 你有什么 你是什么 双因子身份鉴别 身份识别和鉴别机制是各种安全服务的关键 审计提供过去事件的记录，必须基于合适的身份识别和鉴别服务,什么是风险（1）,风险是丢失需要保护的资产的可能性， 风险是构成安全基础的基本观念 资产类型 物理资源 知识资源 时间资源 信誉资源 风险的两个组成部分 漏洞：攻击的可能的途径 威胁：可能破坏网络系统环境安全的 动作或事件,什么是风险（2）,威胁的3个组成部分 目标：可能受到攻击的方面 代理：发出威胁的人或组织 具有访问、知识、动机3个特性 事件：做出威胁的动作类型 威胁+漏洞=风险

6、 没有漏洞的威胁没有风险 没有威胁的漏洞也没有风险,风险识别与测量,识别漏洞 识别威胁 对策和预防措施 识别风险 测量风险,测量风险,识别漏洞,识别威胁,风险级别,已有的预防,测量的 风险,代价,网络安全处理过程,评估阶段 策略制订阶段 实施阶段 培训阶段 审计阶段,网络安全模型与体系结构,网络安全概念 网络安全模型 网络安全体系结构,PPDRR处理模型,安全策略(Policy),安全等级评估技术 如何评估系统处于用户自主、系统审计、安全标记、结构化、访问验证等五个保护级的哪一级？ 漏洞扫描与弱点分析 基于关联的弱点分析技术 基于用户权限提升的风险等级量化技术 拓扑结构发现技术 拓扑结构综合探

7、测技术（发现黑洞的存在） 基于应用协议的网络拓扑结构发现技术,PPDRR处理模型,防护技术(Protection),防火墙技术 联动技术及误报警攻击防范技术 病毒防护： 网络病毒制导遏制技术 隔离技术 基于协议的安全岛技术：协议的变换与解析 单向路径技术：确保没有直通路径 访问控制技术 多态、综合性访问控制技术 基于攻击检验的强制性口令保护技术,PPDRR处理模型,入侵检测(Detection),大规模入侵检测技术 面向异常检测的基于数据流的数据挖掘技术 面向误用检测的状态自适应监测预报警 防攻击技术 分布式入侵检测 入侵检测信息交换协议 IDS的自适应信息交换与防攻击技术 特洛伊木马检测技术

8、 守护进程存在状态的审计 守护进程激活条件的审计,PPDRR处理模型,攻击反应(Response),密罐技术 漏洞再现及状态模拟应答技术 沙盒技术，诱捕攻击行为 僚机技术 动态身份替换，攻击的截击技术 被攻系统躲避技术，异常负载的转配,灾难恢复(Restore)（生存技术）,最小运行系统，系统的平滑切割 恢复技术 基于数据流的通用恢复技术，体外循坏技术 远程存储技术，,互连的物理介质,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,身份认证 访问控制 数据保密 数据完整性,端到端的加密,防火墙， IP加密信道,点到点链路加

9、密,安全物理信道,网络安全服务层次模型,22,链路层安全,安装或租用专门通信设施 点到点身份认证、保密性 提供数据流安全 不提供终端用户认证和用户间保密,链路层保护网络的特征,网络层安全,IP数据网的安全 IP处理 DNS ICMP 路由信息 Boot/DHCP 网络管理 防火墙 IPSec,防火墙,防火墙是建立在内外网络边界上的过滤封锁机制。内部网络被认为是安全和可信赖的。而外部网络（通常是Internet）被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络，通过边界控制强化内部网络的安全策略。,IP加密传输信道技术,IP SEC技术 在两个网络结点间

10、建立透明的安全加密信道 IP AH (Authentication Header) 提供认证和数据完整性 IP ESP (Encapsulating Security Payload) 安全内容封装实现通信保密 优点 对应用透明 提供主机对主机的安全服务 建立安全的IP通道和虚拟的专用网 问题 需要建立标准密钥管理 产品兼容性 降低性能,Internet Protocol Security, RFC 2401 在不安全网上提供安全通信 提供数据加密、端点认证、数据完整性、 防止非授权的重传等服务。 IPSec运行在IP层和传送层TCP、UDP之间。 两种模式 传送模式：两个IPSec主机间通信

11、，保护TCP/UDP内容及各种应用。 隧道模式：典型的VPN，数据加密通过隧道 传至目的地。 频宽代价较大。,IPSec,28,传送模式的IP Sec,隧道模式的IP Sec,VPN,31,VPN是企业网络花费较小能满足安全需求的方案 73Fortune 1000的企业采用VPN，从租线转为 VPN可节省60费用，至2002年VPN业务达100亿美金。 VPN组成 防火墙：作为局域网的前沿保护 代理服务器：防火墙后的第二道防线 加密：即使数据被截获，难以破译 隧道：通过隧道将两个LAN连接成专网，PPTP、 L2TP、IPSec 认证和访问控制：双向认证 CA：著名的公共CA使VPN适应大量合

12、作伙伴 和客户的企业 监控和管理：层次控制结构和集中控制,传输层安全技术-SSL,在两个通信结点间建立安全的TCP连接 SSL协商层 约定加密算法、版本号 身份认证， 交换密钥 SSL记录层 分段、压缩、加密 优点 基于进程对进程的安全服务和加密传输信道 用公钥体系做身份认证 缺点 对应用层不透明 不适用基于UDP的通信 需要证书授权中心CA 不提供访问控制,33,SSL,应用层安全技术,专用应用层安全服务 私用增强邮件PEM：基于公钥基础设施PKI 超文本传输协议安全增强版S-HTTP： 提供文件级的安全机制 安全电子交易SET 提供身份认证、数据保密、数据完整性等 通用应用层安全服务 通过

13、中间件实现安全服务 定义统一的安全服务接口， 向应用层提供身份认证、访问控制、数据加密等安全服务 通用安全服务API-GSS-API MIT Kerberos OSF DCE-Web HP CORBA-Web,WWW 应用安全技术,HTTP 1.0 基于明文传输口令的基本认证方法 HTTP 1.1 采用摘要认证方法(Digest Authentication Scheme) 口令经散列函数变换后传递 S-HTTP 提供身份认证，数据保密，数据完整，防止否认等 需对现有通信协议作一定改变 WWW Proxy技术 使用中间件提供的安全机制 对应用透明 DCE-Web CORBA-Web,DCE-W

14、eb结构,浏览器,SLP,浏览器,浏览器,SDG,WAND 服务器,普通www 服务器,SSL,HTTP,安全RPC,RPC,HTTP,HTTP,CA+AAs,证书鉴别中心（CA） 证书的签发和管理。 提供加密、数字签名等与证书相关的安全 模块。 安全服务的基础设施。 应用安全中心（AAs） 证书的使用。 提供面向应用的整套安全服务。 安全服务的具体实现。,CA+AAs,整体安全框架：CA+AAs CA是核心。 AAs是纽带。 应用是目标。,CA+AAs,AAs的服务模式分析（1）,纵向安全服务模式 安全系统位置：纵向切入 应用系统与操作系统之间 应用系统需要二次开发 横向安全服务模式 安全系

15、统位置：横向切入 应用客户端与应用服务器之间 应用系统无需二次开发,横向安全服务模式,横向安全服务模式,工作原理：所有应用客户端请求经安全通道到安全过滤器过滤后才可进入安全域达到应用服务器,WebST的工作原理,安全鉴别 服务器,用户注册 数据库,安全管理 控制台,安全管理 服务器,授权策略 主数据库,用户凭证,安全通道,安全审计,访问控制,双向身份鉴别,安全管理,数字证书,数字证书,安全客户端,网络安全模型与体系结构,网络安全概念 网络安全模型 网络安全体系结构,安全体系结构定义,定义 描述信息系统体系结构在满足安全需求 方面各基本元素之间的关系。 要求 反映计算机信息系统安全需求和信息系

16、统体系结构的共性。,安全体系结构要素,安全政策与策略 安全保护等级标准 安全服务与安全机制 信息系统单元 开放系统互连参考模型,信息系统安全保护等级标准,可信计算机系统系统评估准则（TCSEC） 信息技术安全评定标准（ITSEC） 加拿大可信计算机产品评价准则（CTCPEC） 组合的联邦标准（FC） 通用的信息安全产品和系统安全性评估准则（CC） 计算机信息系统安全保护等级划分准则（GB17859）,计算机信息系统安全保护等级划分准则,目的 为安全法规制定提供依据 为安全产品研制提供技术支持 为安全系统建设提供技术指导 安全保护能力的五个等级 第一级：用户自主保护级 第二级：系统审计保护级 第

17、三级：安全标记保护级 第四级：结构化保护级 第五级：访问验证保护级,用户自主保护级,自主访问控制 用户自主地定义对客体的访问权限 用户与数据（访问客体的隔离） 身份鉴别 用户标识身份 使用保护机制鉴别身份 数据完整性 阻止非授权用户修改或破坏敏感信息,系统审计保护级,自主访问控制 访问控制粒度是单个用户，并控制访问权扩散 身份鉴别 为用户提供唯一标识，使用户对自己行为负责 客体重用 增加客体重用安全机制 审计 创建和维护受保护客体的访问审计跟踪记录 数据完整性,安全标记保护级,强制访问控制 对主体及其控制的客体实施强制访问控制。 指定敏感标记，为主体、客体确定安全等级的依据 1)仅当 scla

18、ss(s) oclass(o), os 则主体s可读客体o 2)仅当 sclass(s) oclass(o), so 则主体s能写客体o 身份鉴别 客体重用 审计 数据完整性,结构化保护级,强制访问控制 访问控制扩展到所有的主体和客体 为所有主体、客体指定敏感标记 明确定义的形式化安全保护策略 身份鉴别 客体重用 审计 数据完整性 隐蔽信道分析 可信通信路径,访问验证保护级,访问监控器 仲裁主体对客体的全部访问 抗篡改 必须足够小，能分析和测试 扩充审计机制 提供系统恢复机制 系统具有很高的抗渗透能力,ISO7498-2 安全服务,身份鉴别（Authentication） 访问控制（Access Control） 数据保密（Data Confidentiality） 数据完整性（ Data integrity） 防止否认（Non-reputation）,身份认证,应用层代理或网管,用户授权与访问控制,电路层防火墙（如SOCKS）,应用层安全通信协议,传输层安全 通信协议,数字签名第三方公证,主机和服务的审计记录分析,应用系统的容错容灾、服务管理,应用系统,主机、路由器等源发认证,相邻节点间的认证,包过滤防火墙,主机或路由器间IPSec等协议,点到点之间的链路加密,流量分析入侵检测,网络结构设计，路由系统安全，基础服务安全，网络管理,网络平台,认证,访问控制,数