网络与信息安全概论-信息安全体系结构篇-2要点

第2章信息平安体系结构设计网络基础一些基本概念开放系统互连平安体系结构困难互联系统的信息平安防护框架信息平安需求分析设计目标、设计原则本章小结习题2.1网络基础ISO/OSI网络参考模型TCP/IP网络模型2.1.1OSI网络参考模型OSI（开放系统互连）参考模型是由ISO制定的标准化开放式的网络层次结构模型。OSI模型是设计网络系统的分层次的框架，它将网络按功能划分为7层。1物理层2数据链路层3网络层4传输层5会话层6表示层7应用层应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层数据首部首部首部首部首部首尾010110111001101010101010010101OSI模型传输数据的基本过程76543217654321321321对等层协议经过中间节点数据传递的过程2.1.2TCP/IP网络模型TCP/IP协议族是一个Internet协议系列，TCP/IP协议族由应用层、传输层、网络层、数据链路层和物理层构成。每一层的功能由一个或多个协议实现。应用层传输层网络层数据链路层物理层

DNSFTP…….SMTPSNMP

UDPTCP

ICMPIGMPIPARPRARP由底层网络定义的协议1.IP地址网络号主机号A类网络号主机号B类网络号主机号C类多播地址D类0101101110保留未用E类1111第1个字节(0~7)第2个字节(8~15)第3个字节(16~23)第4个字节(23~31)版本服务类型标识总长度首部长标志分片偏移生存时间协议首部校验和源IP地址目的IP地址选项数据……2.IP分组结构IP=3端口50000端口50001IP=2端口50000

IP=0端口25连接1连接2连接3ABC3.TCP连接4个地址唯一确定一条TCP连接：源IP，源端口，目的IP，目的端口源端口目的端口序号确认号TCP头长URGACKPSHRSTSYNFIN窗口大小校验和紧急指针可选项（0或多个32位字）数据（可选）32位TCP的报文段seq=xack:-报文段1：SYN

seq=yack=x+1报文段2：SYN+ACK

seq=x+1ack=y+1报文段3：ACK

时间主机A主机B(客户端)（服务器端）三次握手建立连接三次握手的作用确保连接双方做好传输数据的准备双方统一了初始序号，用来辨别在传输流中的位置确认的含义是希望收到下一个字节的编号2.2一些基本概念脆弱性信息平安威逼攻击信息平安风险信息平安措施信息平安机制2.2.1脆弱性脆弱性是信息系统及其资源带有的，可能被威逼源用来对信息系统及其资源实施具有损害行为的缺陷或漏洞。脆弱性可表现在硬件设施的脆弱性软件的脆弱性网络通信协议的脆弱性管理的脆弱性2.2.2信息平安威逼所谓威逼就是指可能导致对系统或组织损害的不期望事务发生的潜在缘由。1.威逼的分类人们可能认为对手具有恶意攻击目的，然而，在系统平安和爱护系统和信息的环境中，相识到由那些非恶意目的发起的攻击是特别重要的。分类：敌意的威逼非敌意的威逼自然的威逼（1）敌意的威逼每一种敌意看法都是有其独特性的，所以必需得到具体的说明和分析。这种敌意依靠具体环境而变更。潜在的威逼可能包括：恐怖分子心理不平衡的人单独的犯罪分子有组织的犯罪分子与外敌勾结的内部人员对本机构不满足，心理不平衡的内部人员以及潜藏在机构内部的间谍或犯罪分子（2）非敌意的威逼这种类型的威逼没有恶意的目的、动机和企图。但无论如何，他们的确在确定程度上造成危害的（有时甚至是超越了敌意威逼带来的危害）实力。无法精确知道什么时候这种威逼会发生。潜在的非敌意威逼有可能来自于：系统运用者维护者（3）自然的威逼由一些历史记录数据能够预料可能在某个物理位置发生的威逼。这样，可以大致把握这些威逼可能的发生频率和强度。地震火山爆发飓风台风洪水闪电冰雹2.动机获得机密或敏感数据的访问权（留意：那些对某些人或组织有很高价值的信息对别人可能毫无用处）；跟踪或监视目标系统的运行；扰乱目标的运行；窃取钱物或服务；免费运用资源（如计算机资源或免费运用网络）；使目标陷入窘境；攻克可击溃平安机制的挑战性技术。2.动机在攻击一个信息处理系统时，对手面临着确定风险。对手面临的风险损失有可能远远超出其入侵期望所得。表露对手进行其它类型攻击的实力；打草惊蛇，使对手有所防范，从而增加了在将来进一步成功攻击的难度，尤其是入侵后可能获益很大时；遭遇惩处（如罚款、入狱和处于窘境等）；危及生命平安；对手情愿接受的风险级别依靠于对手的动机。2.动机对手的实力确定了他们对信息系统实施攻击的本事。实力因素包括：施展攻击的学问和实力；必要资源的可用性对手的实力越大，攻击的可能性越大。假如对手具备必要的学问、技术和资源并情愿拿这些资源和他们自己去冒险，那么剩下的唯一因素就是（攻击）机会了。机会有多种存在形式，包括特定操作系统的脆弱性、路由器或防火墙的错误配置等。我们不行能减弱一个对手的实力，但却可能削减对手的（攻击）机会。2.2.3攻击IATF定义了5类攻击被动攻击主动攻击物理接近攻击内部人员攻击分发攻击（1）被动攻击被动攻击包括流量分析、监视未受爱护的通信、解密弱加密的数据流、获得认证信息（如密码）。被动拦截网络操作可以获得对手即将发动的行为的征兆和警报。被动攻击会在未经用户同意和认可的状况下将信息或数据文件泄露给系统攻击者。例如，泄露信用卡号和医疗文档等个人信息。举例监视明文解密加密不善的通信数据口令嗅探通信量分析（2）主动攻击主动攻击包括企图破坏或攻击爱护性能、引入恶意代码以及偷窃或修改信息。实现方式包括攻击网络枢纽、利用传输中的信息、电子渗透某个区域或攻击某个正在设法连接到一个区域上的合法的远程用户。主动攻击所造成的结果包括泄露或传播数据文件，拒绝服务以及更改数据。举例修改传输中的数据重放（插入数据）会话拦截伪装成授权的用户或服务器获得系统应用和操作系统软件利用主机或网络信任利用数据执行插入或利用恶意代码拒绝服务（3）物理接近攻击物理接近攻击指未授权的个人以更改、收集或拒绝访问信息为目的而在物理上接近网络、系统或设备。实现物理接近攻击的方式是偷偷进入或开放访问，或两种方式同时运用。举例修改数据或收集信息系统干涉物理破坏（4）内部人员攻击内部人员攻击可以是恶意的或非恶意的。恶意攻击是指内部人员有支配地窃听、偷窃或损坏信息；以欺瞒方式运用信息，或拒绝其它授权用户的访问。非恶意攻击则通常由马虎、缺乏技术学问或为了“完成工作”等无意间绕过平安策略的行为造成。举例恶意修改数据或平安机制建立未授权网络连接隐通道物理损坏或破坏非恶意修改数据物理损坏或破坏（5）分发攻击分发攻击指的是在工厂内或在产品分发过程中恶意修改硬件或软件。这种攻击可能给一个产品引入后门程序等恶意代码，以便日后在未授权的状况下访问信息或系统功能。举例在制造商的设备上修改软/硬件在产品分发时修改软/硬件2.2.4信息平安风险信息平安风险是指由于系统存在的脆弱性，人为或自然的威逼导致平安事务发生的可能性及其造成的影响。平安风险由平安事务发生的可能性及其造成的影响这两种指标来衡量。信息系统的脆弱性是平安风险产生的内因，威逼和攻击则是平安风险产生的外因。2.2.5信息平安措施信息平安措施是指应付威逼，削减脆弱性，爱护资产，限制意外事务的影响，检测、响应意外事务，促进灾难复原和打击信息犯罪而实施的各种实践、规程和机制的总称。信息平安措施可以分为预防性措施和爱护性措施。预防性措施可以降低威逼发生的可能性和削减平安脆弱性，如制订业务持续性支配等；爱护性措施可以削减因威逼发生所造成的影响，如购买商业保险等。2.2.6信息平安机制信息平安机制是实现信息平安服务的技术手段。例如，网络信息系统的平安是一个系统的概念，为了保障整个系统的平安可以接受多种平安机制。在ISO7498-2中定义了8类平安机制：加密机制、数字签名机制、访问限制机制、数据完整性机制、鉴别机制、通信业务填充机制、路由限制机制和公证机制。2.3开放系统互连平安体系结构（1）OSI平安体系结构加密数字签名访问控制数据完整性鉴别交换业务流填充路由控制公证鉴别服务访问控制数据完整性数据机密性抗抵赖OSI参考模型平安机制平安服务链路层网络层传输层会话层表示层应用层物理层国家标准《信息处理系统开放系统互连基本参考模型——其次部分：平安体系结构GB/T9387.2-1995》（等同于ISO7498-2）OSI平安服务与平安机制的关系安全服务安全机制加密数字签名访问控制数据完整性鉴别交换通信业务填充路由选择控制公证鉴别对等实体鉴别YY--Y---数据原发鉴别YY------访问控制访问控制--Y-----数据保密性连接保密性Y-----Y-无连接保密性Y-----Y-选择字段保密性Y------通信业务流保密性Y----YY-数据完整性带恢复的连接完整性Y--Y----不带恢复的连接完整性Y--Y----选择字段连接完整性Y--Y---无连接完整性YY-Y----选择字段无连接完整性YY-Y----抗抵赖有数据原发证明的抗抵赖-Y-Y---Y有交付证明的抗抵赖-Y-Y---Y平安服务与OSI参考模型协议层之间的关系安全服务协议层1234567鉴别对等实体鉴别--YY--Y数据原发鉴别--YY--Y访问控制访问控制--YY--Y数据保密性连接保密性YYYY-YY无连接保密性-YYY-YY选择字段保密性-----YY通信业务流保密性Y-Y---Y数据完整性带恢复的连接完整性---Y--Y不带恢复的连接完整性--YY--Y选择字段连接完整性------Y无连接完整性--YY--Y选择字段无连接完整性------Y抗抵赖有数据原发证明的抗抵赖------Y有交付证明的抗抵赖------Y平安服务与TCP/IP参考模型协议层之间的关系安全服务TCP/IP协议层物理链路层网络层传输层应用层鉴别对等实体鉴别-YYY数据原发鉴别-YYY访问控制访问控制-YYY数据保密性连接保密性YYYY无连接保密性YYYY选择字段保密性---Y通信业务流保密性YY-Y数据完整性带恢复的连接完整性--YY不带恢复的连接完整性-YYY选择字段连接完整性---Y无连接完整性-YYY选择字段无连接完整性---Y抗抵赖有数据原发证明的抗抵赖---Y有交付证明的抗抵赖---Y2.4困难互联系统的信息平安防护框架三纵涉密区域专用区域公共区域三横应用环境应用区域边界网络通信两个中心平安管理中心密码管理中心应用环境平安：包括单机、C/S、B/S模式的平安。接受身份认证、访问限制、密码加密、平安审计等机制，构成可信应用环境。应用区域边界平安：通过部署边界爱护措施限制对内部局域网的访问，实现局域网与广域网之间的平安。接受平安网关、防火墙等隔离过滤机制，爱护共享资源的可信连接。网络和通信传输平安：确保通信的机密性、一样性和可用性。接受密码加密、完整性校验和实体鉴别等机制，实现可信连接和平安通信。平安管理中心：供应认证、授权、实时访问限制策略等运行平安服务。密码管理中心：供应互联互通密码配置、公钥证书和传统的对称密钥的管理，为信息系统供应密码服务支持。2.4困难互联系统的信息平安防护框架2.5信息平安需求什么是信息平安需求？信息平安需求来源信息平安需求分析2.5.1什么是信息平安需求？信息平安需求是对抗和消退平安风险的必要方法和措施，平安需求是制定和实施平安策略的依据。通过平安需求分析明确须要爱护哪些信息资产?须要投入多大力度?应当达到怎样的爱护程度?2.5.2信息平安需求来源法律法规、合同条约的要求组织自身的信息平安要求风险评估的结果风险评估是获得信息平安需求的主要来源。平安需求和风险的关系把风险降低到可以接受的程度；威逼和/或攻击信息系统（如非法获得或修改数据）所花的代价大于入侵信息系统后所获得的现实的和潜在的信息系统资源的价值。1.信息系统的脆弱性是平安风险产生的内因，威逼和攻击是平安风险产生的外因。2.人们对平安风险有一个相识过程，一般地，平安需求总是滞后于平安风险的发生。3.零风险恒久是追求的极限目标，所以信息系统平安体系的成功标记是风险的最小化、收敛性和可控性，而不是零风险。2.5.3信息平安需求分析物理平安系统平安网络平安应用平安平安管理1.物理平安物理安全需求描述物理位置选择考虑周围的外部环境以及所选物理位置能否为信息系统正常运行提供物理上的基本保障。物理访问控制控制内部授权用户和临时外部人员进出系统物理环境。防盗窃和破坏考虑机房内的设备、介质和通信线缆等的安全性，如设置监控报警装置。防雷电考虑雷电对设备造成的不利影响。防静电考虑静电对设备和人员造成的伤害。防火灾考虑防范火灾的措施。温度和湿度控制保证各种设备正常运行的温度和湿度范围。电力供应防止电源故障、电力波动范围过大的措施。电磁防护防止电磁辐射可能造成的信息泄漏或被窃取的措施。2.系统平安系统安全需求描述操作系统、数据库的安全需求根据信息系统的定级要求，选择满足相应级别的操作系统和数据库系统。基于主机的入侵检测检测针对主机的未授权使用、误用和滥用的情况。基于主机的漏洞扫描周期性运行以检测主机的脆弱性并评估其安全性的防御方法。基于主机的恶意代码检测与防范检测主机中的恶意代码并进行删除、报警等处理。基于主机的文件完整性检查周期性运行以检验文件的完整性以及文件更改的时间。容灾、备份与恢复确保系统对灾害、攻击和破坏具有一定的抵抗能力。3.网络平安网络安全需求描述传输安全考虑传输线路上的信息泄露、搭线窃听、篡改和破坏等安全需求。网络边界防护安全限制外部非授权用户对内部网络的访问。基于网络的入侵检测检测针对网络的未授权使用、误用和滥用的情况。基于网络的恶意代码检测和防范检测网络中的恶意代码并进行删除、报警等处理。网络漏洞扫描周期性运行以检测网络的脆弱性并评估其安全性的防御方法。4.应用平安5.平安管理2.6设计目标、设计原则1.设计目标针对所要爱护的信息系统资源，假设资源攻击者及其攻击的目的、技术手段和造成的后果，分析系统所受到的已知的、可能的各种威逼，进行信息系统的平安风险分析，并形成信息系统的平安需求。平安需求和据此制定的平安策略应尽可能地反抗所预见的平安风险。信息系统平安体系结构的目标就是从管理和技术上保证平安策略完整精确地得到实现，平安需求全面精确地得到满足，包括必需的平安服务、平安机制和技术管理的确定，以及它们在系统上的合理部署和配置。风险评估要素关系方框部分的内容为风险评估的基本要素；椭圆部分的内容是与这些要素相关的属性。风险要素及属性之间存在着以下关系（1）业务战略的实现对资产具有依靠性，依靠程度越高，要求其风险越小；（2）资产是有价值的，组织的业务战略对资产的依靠程度越高，资产价值就越大；（3）风险是由威逼引发的，资产面临的威逼越多则风险越大，并可能演化成为平安事务；（4）资产的脆弱性可能暴露资产的价值，资产具有的弱点越多则风险越大；（5）脆弱性是未被满足的平安需求，威逼利用脆弱性危害资产；（6）风险的存在及对风险的相识导出平安需求；（7）平安需求可通过平安措施得以满足，须要结合资产价值考虑实施成本；（8）平安措施可抵挡威逼，降低风险；（9）残余风险有些是平安措施不当或无效,须要加强才可限制的风险；而有些则是在综合考虑了平安成本与效益后不去限制的风险；（10）残余风险应受到亲密监视，它可能会在将来诱发新的平安事务。2.设计原则木桶原则整体性原则平安、代价平衡原则标准优先原则管理与技术并重原则动态发展原则3.防卫策略最小特权：仅有完成指定任务所必需的特权。纵深防卫：建立具有纵向协议层次和横向结构层次的完备的平安体系。堵塞点：不允许有不被管理员限制的信息系统对外网络连接通道。监测和/或消退最薄弱的环节失效爱护：系统运行出现错误或发生故障时，必需拒绝入侵者进入系统内部。普遍参与：要求员工普遍参与平安管理的协调，集思广益。防卫多样化：运用不同厂商、不同平台的平安爱护系统。2.7本章小结开放系统互连参考模型是国际标准化组织ISO定义的开放系统体系结构，是一种将异构系统互连的七层分层结构，供应了限制互连系统交互的标准框架。开放系统互连平安体系结构（ISO7498-2）是基于OSI参考模型七层协议之上的信息平安体系结构。定义了5类平安服务、8种平安机制，确定了平安服务与平安机制的关系以及在OSI七层模型中平安服务的配置。5类平安服务是鉴别、访问限制、数据机密性、数据完整性以及抗抵赖。8种平安机制是加密、数字签名、访问限制、数据完整性、鉴别交换、通信业务填充、路由选择限制以及公证。对困难的重要信息系统，可构成三纵（涉密区域、专用区域、公共区域）三横（应用环境、应用区域边界、网络通信）和两个中心（平安管理中心、密码管理中心）的信息防护框架。信息系统的脆弱性是平安风险产生的内因，威逼和攻击是平安风险产生的外因。零风险恒久是追求的极限目标，信息系统平安体系的成功标记是风险的最小化、收敛性和可控性，而不是零风险。信息平安需求是对抗和消退平安风险的必要方法和措施，平安需求是制定和实施平安策略的依据。信息平安需求分析主要从物理平安、系统平安、网络平安、应用平安和平安管理等层面考虑。信息平安体系结构的设计中应遵循木桶原则，整体性原则，平安、代价平衡原则，标准优先原则，管理与技术并重原则，动态发展原则等。习题画出OSI参考模型的层次结构图，并简述各层的主要功能。画出TCP/IP模型的层次结构图，并简述各层的主要功能。简述信息平安脆弱性、威逼和风险的概念。OSI开放系统互连平安体系中包含哪些平安服务？OSI开放系统互连平安体系中包含哪些平安机制？简述平安服务和平安机制的关系？简述物理平安、系统平安、网络平安、应用平安和平安管理5个层面的主要平安需求。简述对平安体系结构设计原则的理解。补充1：底层网络技术常用传输介质网络拓扑结构以太网技术1.常用传输介质同轴电缆（以前）双绞线光缆无线微波…2.网络拓扑结构网络拓扑结构 抛开网络中的具体设备，把路由器、交换机等网络单元抽象为“点”，把网络中的电缆等传输介质抽象为“线”，从拓扑学的观点看计算机和网络系统，就形成了由点和线组成的几何图形，从而抽象出网络系统的具体结构；物理拓扑结构——描述网络硬件的实际布局逻辑拓扑结构——描述网络中各节点间的信息流淌方式常用网络拓扑结构环型树型网型星型混合型总线型3.以太网技术以太网是一种流行的分组交换局域网技术，是Xerox公司的PARC在20世纪70年头早期独创的。(IEEE802.3标准)按传输介质分类粗缆以太网（10Base5）细缆以太网(10Base2)双绞线以太网(10Base-T)光纤以太网(10Base-F)按传输速度分类 10M、100M、1000M、10G以太网性质共享总线可支持广播尽最大努力交付分布式接入限制 带冲突检测的载波监听多点接入（CSMA/CD） CarrierSenceMultipleAccesswithCollisionDetect以太网帧格式帧长：64八位组~1518八位组帧类型定义确定了以太网帧是自识别的，允许在同一物理网络上运用多个协议前同步码目的地址源地址帧类型帧数据CRC8八位组6八位组6八位组2八位组46~1500八位组4八位组64~1518补充2网络层技术IP地址私有地址子网划分IP分组结构IP路由1.IP地址网络号主机号A类网络号主机号B类网络号主机号C类多播地址D类0101101110保留未用E类1111第1个字节(0~7)第2个字节(8~15)第3个字节(16~23)第4个字节(23~31)类第1个字节地址范围网络数量主机数量A1~126~5427-2=126224-2=16777214B128~191~54214=16384216-2=65534C192~223~54221=209715228-2=254D224~239~55不适用不适用E240~255~55不适用不适用每一类网络中的网络数量和主机数量2.私有地址类网络地址网络数A

1B

~16C

~2563.子网划分一个物理网络（网段）对应一个网络地址，大的物理网络（网段）对应能够容纳大量主机地址的的网络地址，小的物理网络（网段）对应能够容纳少量主机地址的网络地址，这就是IP分类编址的初衷。全部的物理网络(如以太网)中，不行能包含有一个B类网络地址所容纳的6万多台主机，更不行能有A类网络所容纳的1600多万台主机。32比特网络部分（网络号）主机部分（主机号）子网部分（子网号）网络部分（网络号）主机部分（主机号）两级地址结构三级地址结构子网划分子网地址子网掩码版本服务类型标识总长度首部长标志分片偏移生存时间协议首部校验和源IP地址目的IP地址选项数据……4.IP分组结构路由器中的路由表network(目的网络)mask(掩码)via(下一跳)interface(接口)metric(度量)loopback0f006558f13…………………………5.IP路由路由选择流程1）从被转发的IP分组首部中提取目的IP地址D。2）推断干脆交付路由表项。否则就是间接交付，执行3)。3）推断特定主机路由表项。若路由表中有目的地址为D的特定主机地址，则将分组传送给该路由表项所指明的下一跳地址，完成分组转发；否则，执行4)。4）推断特定网络路由表项。对每一条路由表项：用子网掩码和D逐比特相“与”，若结果与本路由表项中的目的网络地址相同，则将分组传送给该路由表项指明的下一跳地址，完成分组转发；否则，执行5)。5）推断默认路由表项。若路由表中有一个默认路由表项，则将分组传送给该路由表项指明的下一跳地址，完成分组转发；否则，执行6)。6）报告转发分组出错。举例：网络拓扑目的地址掩码下一跳接口度量-f006024-f209224-f10……………...………………...…………………………6558f01f018f012f00路由器R1中的路由表路由计算试依据以下路由器R1接收分组的状况，计算分组的下一跳地址（转发地址）：(1)路由器R1接收到了一个目的地址为的IP分组；(2)路由器R1接收到了一个目的地址为00的IP分组；(3)路由器R1接收到了一个目的地址为00的IP分组。补充3传输层技术TCP面对连接的服务UDP无连接的服务TCP服务面对连接的服务要获得TCP服务，在一个应用进程向另一个应用进程起先发送数据之前，必需先在双方之间建立一条连接，数据传送结束后要释放连接。一个TCP连接就是一个字节流，端到端之间不保留消息的边界。TCP的端口号接受16bit端口号来识别应用程序。服务器一般都是通过熟知端口来识别。而客户端通常运用的是临时端口号。IP=3端口50000端口50001IP=2端口50000

IP=0端口25连接1连接2连接3ABCTCP连接4个地址唯一确定一条TCP连接：源I