信息安全管理体系介绍PPT课件

1、14-信息安全体系建设1、信息安全基本要素完整性机密性可审查性可用性可控性确保信息不暴露给未授权的实体或进程只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作可以控制授权范围内的信息流向及行为方式对出现的网络安全问题提供调查的依据和手段信息安全的攻与防信息窃取信息传递信息冒充信息篡改信息抵赖加密技术完整性技术认证技术数字签名一些经典的结论公理1 摩菲定理 所有的程序都有缺陷。定理1 大程序定律 大程序的缺陷甚至比它包含的内容还多。推理1-1 一个安全相关程序有安全性缺陷。定理2 只要不运行这个程序，那么这个

2、程序是否有缺陷，也无关紧要。推理2-1 只要不运行这个程序，即使这个程序有安全性漏洞，也无关紧要。定理3 对外暴露的计算机，应尽可能少地运行程序，且运行的程序也应尽可能小。推理3-1 防火墙基本法则大多数主机不满足我们的要求：因为它们运行太多太大的程序。因此，唯一的解决办法是将真正希望运行的程序隔离在网络边界的另一边。信息安全策略自上而下地制定安全策略密码技术与方法不要使用太复杂的方法：RSA密码系统不要使用太昂贵的设备采用多防线技术不要太过于依赖系统操作：定期备份基本的安全建议阻止或禁用所有没有显式允许的行为总要设置足够复杂的口令，并经常更改认真地使用厂商发布的补丁进行更新使用最小的权限授权

3、所有的访问有限的信任对所有的外部接口（包括拨号接口）心存怀疑启用监视、记录、审查和检测功能做好事件响应能力和业务连续能力的规划技术并不能保护你不受到来自社会的攻击开发安全策略，获得管理层的认可并广泛应用进行真实的风险评估比敌人更了解你的平台和应用程序入侵、病毒检测安全通信访问控制身份验证2、信息安全技术体系架构密码算法信息安全模型（一）PMRRD安全模型MP2DRR访问控制机制入侵检测机制安全响应机制备份与恢复机制管理P安全策略信息安全模型（二）数据安全层加密访问控制授权应用安全层用户安全层用户/组管理单机登录身份认证系统安全层反病毒审计分析入侵检测风险评估通信安全防火墙网络安全层基于OSI参

4、考模型的安全技术应用层表示层会晤层传输层网络层数据链路层物理层应用层表示层会晤层传输层网络层数据链路层物理层网络层攻击数据链路攻击应用层攻击SETSSLIPSEC-VPN/防火墙VLAN，L2TP信道加密安全协议信息安全主机安全 主要考虑保护合法用户对于授权资源的使用，防止非法入侵者对于系统资源的侵占与破坏.其最常用的办法是利用操作系统的功能，如Unix的用户认证、文件访问权限控制、记帐审计等。 网络安全 主要考虑网络上主机之间的访问控制，防止来自外部网络的入侵，保护数据在网上传输时不被泄密和修改其最常用的方法是防火墙、加密等。网络安全组件网络的整体安全是由安全操作系统、应用系统、防火墙、网络

5、监控、安全扫描、信息审计、通信加密、灾难恢复、网络反病毒等多个安全组件共同组成的，每一个单独的组件只能完成其中部分功能，而不能完成全部功能 主机网络安全系统体系结构信息安全技术技术体系信息安全防护信息安全检测信息安全响应信息安全恢复信息安全审计安全机制评估认证授权监控审计应急响应防护检测恢复审计信息安全风险评估机制信息安全风险评估机制作用:及时发现安全隐患，便于事前响应提供信息安全决策信息信息安全风险评估机制组成:信息资产健康档案库漏洞扫描系统安全渗透工具信息安全认证授权机制信息安全认证授权机制作用:防止非法者进入限制合法者权限信息安全认证授权机制组成:身份识别系统授权系统密码管理系统信息安全

6、防护机制信息安全防护机制作用:防止信息安全攻击发生切断攻击链信息安全防护机制组成:防火墙系统网络隔离系统病毒防范系统补丁管理系统IPS系统VPN终端安全管理系统信息安全监控机制监控机制作用监测可潜在威胁提供安全状态报告安全预警减少安全事件造成的影响提高应急响应的能力 监控机制组成漏洞扫描系统IP定位系统入侵检测报警事件关联分析威胁场景数据库信息安全审计机制审计机制用途威慑违法行为安全策略一致性检查安全取证审计机制组成人工登记操作系统审计数据库审计防火墙日志网络设备日志专用审计设备应急响应机制应急响应机制组成: 应急管理系统应急响应预案应急响应指挥通信监控系统备份系统容灾系统应急响应工具应急响应

7、机制目标:安全事件快速处置灾害恢复BS7799信息安全管理体系一般建立方法信息安全等级保护体系建立方法1.定级2.安全设计和规划3.安全实施4.安全运行5.监控与改进定级1.系统资产识别2.系统资产价值确认安全设计和规划监控与改进企业网络安全风险分析企业网络拓扑和应用分析企业网络安全风险分析企业网络安全的风险评估企业网络拓扑和应用分析财务VLAN工程技术VLAN项目VLAN对内服务器VLAN对外服务器Internet企业网络安全风险分析管理层应用层系统层网络层物理层物理层安全分析 设备防盗，防毁 链路老化，人为破坏，被动物咬断等 网络设备自身故障 停电导致网络设备无法工作 机房电磁辐射 其他网

8、络层安全分析 安全的网络拓扑结构风险 非法用户对服务器的安全威胁 内部局域网带来安全威胁操作系统层安全分析 1000个以上的商用操作系统安全漏洞 没有及时添加安全补丁 病毒程序的传播 文件/用户权限设置错误 默认安装的不安全设置 缺省用户的权限和密码口令 用户设置过于简单密码使用 特洛依木马应用层安全分析 网上浏览应用安全 电子邮件应用安全 WWW应用的安全 FTP应用的安全 Telnet的安全性 网络管理协议(SNMP) 应用层的身份识别管理层安全分析 内部人员信息泄漏风险； 机房没有任何限制，任何人都可以进出； 内部工作人员因误操作而带来安全风险； 内部员工在未经允许在内部网上做攻击测试；

9、 建立各种网络安全规范。企业网络安全规划企业网络安全规划的原则企业网络安全规划体系企业网络安全解决技术企业网络安全规划的原则 “木桶”原则 “整体性”原则 “有效性与实用性”原则 “安全性评价”原则 “等级性”原则 “动态化”原则 有的放矢、各取所需原则企业网络安全规划体系“防护检测分析响应” 的安全防护体系 信息安全体系建设典型解决方案统一用户管理网络安全边界控制网络安全集中监测网络集中统一防病毒网络内容安全管理远程访问安全补丁统一管理桌面安全管理应用系统统一认证拨号用户 B拨号用户 C拨号用户 A拨号用户 DInternet垃圾邮件病毒破坏黑客攻击资源滥用信息泄密DOS攻击不良信息终端安全

10、信息丢失未授权接入非法外联监控安全事件处理IT 系统运维面临的问题现有网络安全防御体制现有网络安全体制IDS68%杀毒软件99%防火墙98%ACL（规则控制）71%*2004 CSI/FBI Computer Crime and Security Survey资料来源：Computer Security Institute移动用户D广域网如何进行信息系统的等级化保护？ 各信息系统依据重要程度的等级需要划分不同安全强度的安全域，采取不同的安全控制措施和制定安全策略完成安全设施的重新部署或响应如何从全局角度对安全状况分析、评估与管理获得全局安全视图制定安全策略指导或自动Internet p用户如何

11、管理现有安全资源并执行策略机制？补丁服务器p打补丁了吗？更新补丁了吗？ppppppppppp困境无法知道哪些机器没有安装漏洞补丁知道哪些机器但是找不到机器在哪里机器太多不知如何做起系统安全漏洞微软每周都有数个修正档需要更新2003年Windows 2000 Server有50个漏洞补丁Internet 用户如何防止内部信息的泄露？未经安全检查与过滤，违规接入内部网络私自拨号上网Internet 用户如何实现积极防御和综合防范？怎样定位病毒源或者攻击源，怎样实时监控病毒 与攻击语音教室网段财务网段多媒体教室网段内部办公网段1数字图书馆网段教学网段1网站OA网段教学网段3教学网段2教学网段4网管网

12、段校园网服务器群Internet保户网络与基础设施的安全1、网络设备2、通讯设备3、通讯线路4、可用性5、机密性6、完整性7、可管理性保护边界与外部连接边界进出数据流的有效控制与监视保护计算环境操作系统数据库系统终端保护应用业务系统办公自动化系统其他应用系统.网络基础设施保护需求教学网段5内部办公NIntranet 2边界处的访问控制4边界处的病毒与恶意代码防护5边界内部的网络扫描与拨号监控3边界处的网络入侵检测1边界处的认证与授权网络边界与外部连接的保护需求6边界处的垃圾邮件和内容过滤计算环境的保护需求1基于主机的入侵检测2基于主机的恶意代码和病毒检测3主机脆弱性扫描4主机系统加固5主机文件

13、完整性检查6主机用户认证与授权7主机数据存储安全8主机访问控制DMZ? E-Mail? File Transfer? HTTPIntranet学校网络教学区教务区财务部人事部路由Internet中继管理分析 & 实施策略安 全 隐 患外部/个体外部/组织内部/个体内部/组织关闭安全维护“后门”更改缺省的系统口令Modem用户安全培训授权复查入侵检测实时监控安装认证 & 授权数据文件加密添加所有操作系统Patch看不懂进不来拿不走改不了跑不了可审查信息安全的目的打不垮采取的解决办法一对于非法访问及攻击类 -在非可信网络接口处安装访问控制防火墙、蠕虫墙、Dos/DDos墙、IPsec VPN、SS

14、L VPN、内容过滤系统领导网段Internet防火墙、IPSEC VPN、SSL VPN、内容过滤等防DOS/DDOS设备个人安全套件语音教室网段财务网段多媒体教室网段内部办公网段1数字图书馆网段内部办公NOA网段教学网段3教学网段2教学网段4网管网段校园网服务器群教学网段5采取的解决办法二对于病毒、蠕虫、木马类 -实施全网络防病毒系统对于垃圾邮件类 -在网关处实施防垃圾邮件系统Internet邮件过滤网关、反垃圾邮件系统在MAIL系统中邮件病毒过滤系统、反垃圾邮件系统领导网段语音教室网段财务网段多媒体教室网段内部办公网段1数字图书馆网段内部办公NOA网段教学网段3教学网段2教学网段4网管网

15、段校园网服务器群教学网段5采取的解决办法三对于内部信息泄露、非法外联、内部攻击类 -在各网络中安装IDS系统 -在系统中安装安全隐患扫描系统 -在系统中安装事件分析响应系统 -在主机中安装资源管理系统 -在主机中安装防火墙系统 -在重要主机中安装内容过滤系统 -在重要主机中安装VPN系统人事商务网段Internet领导网段语音教室网段财务网段多媒体教室网段内部办公网段1数字图书馆网段内部办公NOA网段教学网段3教学网段2教学网段4网管网段校园网服务器群教学网段5采取的解决办法四对于系统统一管理、信息分析、事件分析响应 -在网络中配置管理系统 -在网络中配置信息审计系统 -在网络中配置日志审计系

16、统 -在网络中补丁分发系统 -在网络中配置安全管理中心销售体系网段NInternet安全审计中心010101000101010001010100010101000101010001010100010101000101010001010100010101000101010001010100领导网段语音教室网段财务网段多媒体教室网段内部办公网段1数字图书馆网段内部办公NOA网段教学网段3教学网段2教学网段4网管网段校园网服务器群教学网段5安全管理中心专家库Internet领导网段语音教室网段财务网段多媒体教室网段内部办公网段1数字图书馆网段内部办公NOA网段教学网段3安服网段教学网段4网管网段校园

17、网服务器群教学网段5网络安全接入与认证802.1x协议及工作机制 基于RADIUS的认证计费 基于802.1x的认证计费 几种认证方式比较 防止IP地址盗用 802.1x+RADIUS的应用案例 802.1x协议及工作机制802.1x协议称为基于端口的访问控制协议（Port Based Network Access Control Protocol），该协议的核心内容如下图所示。靠近用户一侧的以太网交换机上放置一个EAP（Extensible Authentication Protocol，可扩展的认证协议）代理，用户PC机运行EAPoE（EAP over Ethernet）的客户端软件与交换

18、机通信。802.1x协议包括三个重要部分：客户端请求系统（Supplicant System）认证系统（Authenticator System）认证服务器（Authentication Server System）802.1x协议及工作机制上图描述了三者之间的关系以及互相之间的通信。客户机安装一个EAPoE客户端软件，该软件支持交换机端口的接入控制，用户通过启动客户端软件发起802.1x协议的认证过程。认证系统通常为支持802.1x协议的交换机。该交换机有两个逻辑端口：受控端口和非受控端口。非受控端口始终处于双向连通状态，主要用来传递EAPoE协议帧，保证客户端始终可以发出或接受认证。受控端

19、口只有在认证通过之后才导通，用于传递网络信息。如果用户未通过认证，受控端口处于非导通状态，则用户无法访问网络信息。受控端口可配置为双向受控和仅输入受控两种方式，以适应不同的应用环境。基于RADIUS的认证计费衡量RADIUS的标准 RADIUS的性能是用户该关注的地方，比如，能接受多少请求以及能处理多少事务。同时遵循标准，并具备良好的与接入控制设备的互操作性是RADIUS服务器好坏的重要指标。安全性也是关注的重点，服务器在和网络接入服务器（NAS，Network Access Servers）通信的过程中是如何保证安全和完整性的。另外，RADIUS是否能够让管理员实现诸多管理安全特性和策略是非

20、常重要的一环。是否支持强制时间配额，这种功能使网络管理员可以限制用户或用户组能够通过RADIUS服务器接入网络多长时间。RADIUS服务器是否都通过ODBC或JDBC，利用SQL Server数据库保存和访问用户配置文件。 RADIUS认证系统的组成RADIUS是一种C/S结构的协议。Radius Client一般是指与NAS通信的、处理用户上网验证的软件；Radius Server一般是指认证服务器上的计费和用户验证软件。Server与Client通信进行认证处理，这两个软件都是遵循RFC相关Radius协议设计的。RADIUS的客户端最初就是NAS，现在任何运行RADIUS客户端软件的计算

21、机都可以成为RADIUS的客户端。如下图。 RADIUS的工作原理用户接入NAS，NAS向RADIUS服务器使用Access-Require数据包提交用户信息，包括用户名、口令等相关信息。其中用户口令是经过MD5加密的，双方使用共享密钥，这个密钥不经过网络传播。RADIUS服务器对用户名和密码的合法性进行检验，必要时可以提出一个Challenge，要求进一步对用户认证，也可以对NAS进行类似的认证。如果合法，给NAS返回Access-Accept数据包，允许用户进行下一步工作，否则返回Access-Reject数据包，拒绝用户访问。如果允许访问，NAS向RADIUS服务器提出计费请求Accou

22、nt-Require，RADIUS服务器响应Account-Accept，对用户的计费开始，同时用户可以进行自己的相关操作。基于802.1x的认证计费（1）用户开始上网时，启动802.1x客户端软件。该软件查询网络上能处理EAPoE数据包的交换机。当支持802.1x协议的交换机接收到EAPoE数据包时，就会向请求者发送响应的包，要求用户输入登录用户名及口令。（2）客户端收到交换机的响应后，提供身份标识给认证服务器。由于此时客户端还未经过验证，因此认证流只能从交换机未受控逻辑端口经过。交换机通过EAP协议将认证流转发到AAA服务器，进行认证。（3）如果认证通过，则认证系统的交换机的受控逻辑端口打

23、开。（4）客户端软件发起DHCP请求，经认证交换机转发到DHCP Server。（5）DHCP Server为用户分配IP地址。（6）DHCP Server分配的地址信息返回给认证系统的服务器，服务器记录用户的相关信息，如用户ID，MAC，IP地址等信息，并建立动态的ACL访问列表，以限制用户的权限。（7）当认证交换机检测到用户的上网流量，就会向认证服务器发送计费信息，开始对用户计费。（8）当用户退出网络时间，可用鼠标点击客户端软件（在用户上网期间，该软件处于运行状态）的“退出”按钮。认证系统检测到该数据包后，会通知AAA（Authentication，Authorization，Accoun

24、ting）服务器停止计费，并删除用户的相关信息（如MAC和IP地址），受控逻辑端口关闭。用户进入再认证状态。（9）如果上网的PC机异常死机，当验证设备检测不到PC机在线状态后，则认为用户已经下线，即向认证服务器发送终止计费的信息。几种认证方式比较 PPPoE： PPPoE的本质就是在以太网上运行PPP协议。由于PPP协议认证过程的第一阶段是发现阶段，广播只能在二层网络，才能发现宽带接入服务器。因此，也就决定了在客户机和服务器之间，不能有路由器或三层交换机。另外，由于PPPoE点对点的本质，在客户机和服务器之间，限制了组播协议存在。这样，将会在一定程度上，影响视频业务的开展。除此之外，PPP协议

25、需要再次封装到以太网中，所以效率较低。 WebDHCP：采用旁路方式网络架构时，不能对用户进行类似带宽管理。另外，DHCP是动态分配IP地址，但其本身的成熟度加上设备对这种方式支持力度还较小，故在防止用户盗用IP地址等方面，还需要额外的手段来控制。除此之外，用户连接性差，易用性不够好。802.1x：802.1x协议为二层协议，不需要到达三层，而且接入交换机无须支持802.1q的VLAN，对设备的整体性能要求不高，可以有效降低建网成本。业务报文直接承载在正常的二层报文上，用户通过认证后，业务流和认证流实现分离，对后续的数据包处理没有特殊要求。在认证过程中，802.1x不用封装帧到以太网中，效率相

26、对较高。防止IP地址盗用1. 使用ARP命令（1）使用操作系统的ARP命令进入“MS-DOS方式”或“命令提示符”，在命令提示符下输入命令：ARP s 00-10-5C-AD-72-E3，即可把MAC地址00-10-5C-AD-72-E3和IP地址捆绑在一起。这样，就不会出现客户机IP地址被盗用而不能正常使用网络的情况发生。ARP命令仅对局域网的上网服务器、客户机的静态IP地址有效。当被绑定IP地址的计算机宕机后，地址帮绑定关系解除。如果采用Modem拨号上网或是动态IP地址就不起作用。ARP命令的参数的功能如下：ARP -s -d -a-s：将相应的IP地址与物理地址的捆绑，如以上所举的例子

27、。-d：删除相应的IP地址与物理地址的捆绑。-a：通过查询ARP协议表显示IP地址和对应物理地址的情况。（2）使用交换机的ARP命令例如，Cisco的二层和三层交换机。在二层交换机只能绑定与该交换机IP地址具有相同网络地址的IP地址。在三层交换机可以绑定该设备所有VLAN的IP地址。交换机支持静态绑定和动态帮绑定，一般采用静态绑定。其绑定操作过程是：采用Telnet命令或Console口连接交换机，进入特权模式；输入config，进入全局配置模式；输入绑定命令：arp 0010.5CAD.72E3 arpa；至此，即可完成绑定。绑定的解除，在全局配置模式下输入：no arp 即可。防止IP地址

28、盗用2. 使用802.1x的安全接入与Radius认证（1）采用IP和账号绑定，防止静态IP冲突 用户进行802.1x认证时，用户还没有通过认证，该用户与网络是隔离的，其指定的IP不会与别的用户IP冲突。当用户使用账号密码试图通过认证时，因为认证服务器端该用户账号和其IP做了绑定，认证服务器对其不予通过认证，从而同样不会造成IP冲突。当用户使用正确的账号IP通过认证后，再更改IP时，Radius客户端软件能够检测到IP的更改，即刻剔除用户下线，从而不会造成IP冲突。（2）采用客户IP属性校验，防止动态IP冲突 用户进行802.1X认证前不用动态获得IP，而是静态指定。认证前用户还没有通过认证，

29、该用户与网络是隔离的，其指定的IP不会与别的用户IP冲突。当用户使用账号密码试图通过认证，因为认证服务器端该用户账号的IP属性是动态IP，认证报文中该用户的IP属性确是静态IP，则认证服务器对其不予通过认证，从而同样不会造成IP冲突。802.1x+RADIUS的应用案例网络病毒及防御 瑞星网络版的防杀毒系统 保护网络边界网络边界防火墙和路由器应用使用网络DMZ构建入侵检测系统路由器认证技术及应用 防火墙和路由器应用 -1边界安全设备叫做防火墙。防火墙阻止试图对组织内部网络进行扫描，阻止企图闯入网络的活动，防止外部进行拒绝服务（DoS，Denial of Service）攻击，禁止一定范围内黑客

30、利用Internet来探测用户内部网络的行为。阻塞和筛选规则由网管员所在机构的安全策略来决定。防火墙也可以用来保护在Intranet中的资源不会受到攻击。不管在网络中每一段用的是什么类型的网络（公共的或私有的）或系统，防火墙都能把网络中的各个段隔离开并进行保护。 双防火墙体系结构 防火墙和路由器应用 -2防火墙通常与连接两个围绕着防火墙网络中的边界路由器一起协同工作（下图），边界路由器是安全的第一道屏障。通常的做法是，将路由器设置为执报文筛选和NAT，而让防火墙来完成特定的端口阻塞和报文检查，这样的配置将整体上提高网络的性能。根据这个网络结构设置防火墙，最安全也是最简单的方法就是：首先阻塞所有

31、的端口号并且检查所有的报文，然后对需要提供的服务有选择地开放其端口号。通常来说，要想让一台Web服务器在Internet上仅能够被匿名访问，只开放80端口（http协议）或443端口（httpsSSL协议）即可。使用网络DMZ 把Web服务器放在DMZ中，必须保证Web服务器与的Intranet处于不同的子网。这样当网络流量进入路由器时，连接到Internet上的路由器和防火墙就能对网络流量进行筛选和检查了。这样，就证实了DMZ是一种安全性较高的措施；所以除了Web服务器，还应该考虑把E-mail（SMTP/POP）服务器和FTP服务器等，也一同放在DMZ中 。构建入侵检测系统入侵检测系统可分

32、为基于网络的IDS，基于主机的IDS、分布式IDS和智能IDS。基于网络的IDS适应能力强，其开发难度略小于其他几种。根据CIDF规范，一般从功能上将入侵检测系统划分为四个基本部分：数据采集子系统、数据分析子系统、控制台子系统、数据库管理子系统，如下图所示。构建入侵检测系统建构步骤获取libpcap和tcpdump审计踪迹是IDS的数据来源，而数据采集机制是实现IDS的基础，否则，入侵检测就无从谈起。数据采集子系统位于IDS的最底层，其主要目的是从网络环境中获取事件，并向其他部分提供事件。目前比较流行的做法是：使用libpcap和tcpdump，将网卡置于“混杂”模式，捕获某个网段上所有的数据

33、流。libpcap和tcpdump在网上广为流传，读者可以到相关网站下载。 libpcap是Unix或Linux从内核捕获网络数据包的必备工具，它是独立于系统的API接口，为底层网络监控提供了一个可移植的框架，可用于网络统计收集、安全监控、网络调试等应用。 tcpdump是用于网络监控的工具，是Unix上常用的sniffer。它的实现基于libpcap接口，通过应用布尔表达式进行过滤转换、包获取和包显示等功能。tcpdump可以帮助网管员描述系统的正常行为，并最终识别出那些不正常的行为。当然，它只是有益于收集关于某网段上的数据流（网络流类型、连接等）信息，至于分析网络活动是否正常，那是程序员和管理员所要做的工作。 构建并配置探测器，实现数据采集 应根据自己网络的具体情况，选用合适的软件及硬件设备。如果网络数据流量很小，用一般的PC机安装Linux即可，如果所监控的网络流量非常大，则需要用一台性能较高的机器。在Linux服务