信息与网络安全技术

信息与网络

平安技术1主要内容平安概念平安技术平安产品平安效劳2安全概念3KansasCityDenverClevelandNewYorkAtlantaHoustonPittsburghMinneapolisColumbusWashingtonPhoenixRaleighTrentonSaltLakeCityWilmingtonDallasNewOrleansLincolnNewHavenDetroitMiamiWestfieldNashvillePhiladelphiaIndianapolisNewarkUWPacificNorthWestGreatPlainsMRENTexasOneNetDirectlyConnectedParticipantMAGPIPittsburgh(CMU)MERITMAXMCNCAbileneGigaPoPsCENICOARnetWestnetAlbuquerqueOklahomaCityGigaPopConnectedParticipantAnycolorAccessNodeRouterNodeSacramentoOaklandEugeneLosAngelesAnaheim33TotalAccessPointsServing64MembersSeattle机密数据包括什么内容？数据是怎样产生、存储和传输的？网络各局部是怎样协同工作的〔关联性、依赖性〕？它是怎样满足每一项工作需要的〔应用、数据〕？网络是怎样增长的(建设、扩展)？网络怎样“平滑〞地完成工作？什么样的资源需要保护？什么是威胁？怎样尽量减少风险对于系统内脆弱的威胁？什么是脆弱性？考察网络平安的每一个细节4理解平安概念平安〔security〕的定义是“防范潜在的危机〞。保险〔safety〕那么稍有不同，它更侧重于可得性和连续的操作。而真正的平安是关于网络的每一个局部的。5理解平安概念AuthenticationAuthorizationAccountingAssuranceConfidentialityDataIntegrity平安策略管理ConnectivityPerformanceEaseofUseManageabilityAvailabilityAccessSecurity6Max.安全风险投资、效率与可用性Min.Max.理解平安概念…7Min.Max.平安曲线…投资额平安性最优平衡点8平安要素完整性(Integrality)是指信息在存储或传输时不被修改、破坏，或信息包的丧失、乱序等。信息的完整性是信息平安的根本要求，破坏信息的完整性是影响信息平安的常用手段。可靠性(Availability)是指信息的可信度，接收者能接收到完整正确的信息，以及发送者能正确地发送信息。可靠性也是信息平安性的根本要素。机密性(Confidentiality)它主要利用现代密码技术对信息进行加密处理，防止静态信息的非授权访问和动态信息的非法泄漏或被截取。从某种意义上说，加密是实现信息平安的有效而且必不可少的技术手段。可控性可审查性不可否认性9平安实务目标保障信息与网络系统稳定可靠地运行保证网络资源受控合法地使用方法平安法规、法律、政策技术方法、手段步骤信息平安工程的方法10通俗的平安“进不来〞使用访问控制机制，阻止非授权用户进入网络，“进不来〞“拿不走〞使用授权机制，实现对用户的权限控制，即不该拿走的，“拿不走〞；“看不懂〞使用加密机制，确保信息不暴漏给未授权的实体或进程，即“看不懂〞；“改不了〞使用数据完整性鉴别机制，保证只有得到允许的人才能修改数据，而其它人“改不了〞；“走不脱〞使用审计、监控、防抵赖等平安机制，使得攻击者、破坏者、抵赖者"走不脱"。11物理层链路层网络层传输层会话层表示层应用层物理层链路层网络层传输层会话层表示层应用层内部网络外部网络内部接口外部接口应用层应用层OSI七层参考模型IPHDRDATA12ISO7498-2，信息平安体系结构访问控制效劳鉴别效劳数据完整性效劳数据保密效劳信息流平安数据源点鉴别数字签名机制加密机制数据完整性机制访问控制机制交换鉴别机制路由控制机制流量填充机制公证机制OSI平安管理13ISO7498-2到TCP/IP的映射14小结保障信息与网络系统稳定可靠地运行保证网络资源受控合法地使用PublicWWWServerCampus

BackboneHua-TechFirewallIntranetServersGatewaySalesOfficeHeadquartersInternetMainframeCSSSecure15安全技术16网络平安的主要技术密码技术计算机病毒防治技术信息泄露防护技术鉴别，授权和身份认证技术防火墙技术VPN平安网关/信息网关技术弱点漏洞分析/渗透式分析技术监测，预警与响应技术内容平安技术应用平安技术平安路由器系统平安技术数据库平安技术物理隔离技术灾难恢复与备份技术17密码技术密码技术信息平安的根底信源、信道、信宿攻击的种类：被动攻击截取〔Interception)侦听，获取消息内容，流量分析被动攻击中断〔Interruption)干扰，破坏可用性修改〔Modification〕破坏完整性伪造〔Fabrication)破坏真实性角色：通信双方、可信第三方、不可信第三方介质：软件、硬件、数据18病毒防治技术病毒，是指能够破坏计算机系统，影响计算机工作并能实现自我复制的一段程序或指令代码。计算机病毒/网络病毒病原体(病毒库)是病毒防止技术的关键VirusVsTrojanHorse(C/S程序)传播方式〔介质/下载/邮件/软件…〕19信息泄露防治技术辐射线路窃听带宽的增加，威胁逐渐减少20鉴别，授权和身份认证技术鉴别用来验证系统实体和系统资源(如用户、进程、应用)的身份，例如鉴别想访问数据库的人的身份，确定是谁发送了报文，防止有人假冒。授权是为完成某项任务而使用资源的权利、特权、许可证的证据，这种授权必须在系统资源的整个操作过程中始终如一地可靠地使用，还可对使用网络效劳，访问一些数据的敏感局部，规定特殊的授权要求。身份认证系统加强了原有的基于账户和口令的访问控制，提供了授权、访问控制、用户身份识别、对等实体鉴别、抗抵赖等功能。OTP:一次一密的认证机制动态口令：有基于时钟的动态口令机制生物技术：生理特征的认证机制，眼睛或手指IC卡：作为身份的秘密信息存储在IC卡21AAAKerberosRADIUSTACACSMSLoginOTPPKI/CertificatesCOPS/DIAMETERDHCP/DNSmappingLDAP22IdentifyServer统一口令规那么/配置内部访问拨号访问Internet访问RADIUS/TACACSMSLoginOTPPKI/CertificatesCOPS/DIAMETERDHCP/DNSmappingLDAP23防火墙技术防火墙是作为网络平安的第一道防线，是把内部网和公共网分隔的特殊网络互连设备，可以用于网络用户访问控制、认证效劳、数据过滤等…平安区划/平安级别24防火墙技术要点包过滤〔PacketFilter〕地址转换NAT/端口转换PAT地址绑定(Mac)端口映射PMap/地址映射NMap地址过滤/内容过滤/时间段控制应用代理/传输代理日志/审计/响应/日志处理VPN/入侵检测/地址欺骗身份认证/OTP流量管理/计费管理/动态路由TCP/IP/IPX透明接入/非透明接入双机冷备/双机热备/负载均衡本地管理/远程管理/集中管理/用户分权界面〔CLI/GUI/WEB〕25防火墙职责…防火墙应该作什么？平安边界访问控制保护敏感的数据效劳器机群/关键的应用防火墙不用该作什么？深层次入侵检测病毒过滤其他26防火墙技术开展趋势与IDS的连动/互动连动的风险/利弊得失27弱点漏洞分析/渗透式分析技术基于弱点漏洞的平安管理〔风险管理〕入侵成功三要素时机/动机/时机黑客的时机=企业的风险风险=弱点漏洞+错误〔不恰当〕配置/误操作风险识别风险度量风险控制风险管理28BUGTRAQ/CVE/ISSBUGTRAQCVEISS29渗透式分析技术零知识测试〔黑盒测试〕对目标环境的信息毫无了解的前提下进行测试，是提供尽可能现实的模拟测试。ProbingExploitingVulerabilityMappingIntruding30入侵检测技术基于网络行为的平安管理〔行为管理〕防火墙技术的补充模式发现技术前提：所有入侵行为和手段〔及其变种〕都能够表达为一种模式或特征关键：如何表达入侵的模式，把真正的入侵与正常行为区分开来局限：它只能发现的攻击，对未知的攻击无能为力异常发现技术前提：所有入侵行为都是与正常行为不同的关键：异常阀值与特征的选择局限：并非所有的入侵都表现为异常，而且系统的轨迹难于计算和更新31入侵检测技术信息采集技术分片重组(Fragment)技术会话跟踪技术解码技术自定义规那么……32入侵检测技术Honeypot/Honeynet主动防御的主机、僚机网络模型网络攻击的诱骗方法实时追踪攻击行为，快速查找定位攻击源主机与僚机的动态自动切换僚机对攻击来源的吸收与还击模型自动瘫痪攻击路径33信息监控与过滤技术网络作为媒体的网络，它在舆论、道德和文化等层面威胁和损害国家利益；网络作为一种信息通道和国家运行管理环境，它为境外敌对势力和间谍情报组织提供手段，从而威胁和损害国家利益。基于信息流的平安管理〔内容管理〕信息挖掘技术信息过滤技术反路由技术34VPN技术虚拟专用网〔VirutalPrivateNetwork,VPN〕技术指一种特殊的私有数据通信网络，特殊之处在于VPN是建立在Internet等公共网络上而非通过物理的专线连接而成，它通过一个平安私用的通道来将远程用户、公司分支机构、公司的业务伙伴等和公司的企业网连接起来，构成一个扩展的公司企业网。VPN采用了密码学领域的成熟技术数据机密性：用加密来隐藏明文信息，防范窃听者；数据完整性：证实数据报文在传输过程中未被修改正；数据源认证：证实数据报文是所声称的发送者发出的。35IPSecIPSec提供:数据验证数据机密性防止重播平安通道建立基于标准的Internet访问36EncryptedIPHDRIPHDRDATAIPSecHDRDATATransportModeIPHDRDATAIPSecHDRIPHDRNewIPHDRDATATunnelModeEncryptedIPSecModes37平安路由器提供了某些基于地址或效劳的过滤机制，可以在一定程度上限制网络访问。〔具有防火墙的功能〕带信息加密的路由器。〔成对使用〕38平安操作系统操作系统的平安是网络系统平安的根底级别定义〔DOD橘皮书〕A级：确定性保护B级：强制性保护C级：自主性保护D级：未经平安评估39操作系统平安操作系统平安是对平安级别较低的操作系统的一个平安增强或加固接管系统命令/系统调用Sec-Shell接管ShellSSH40平安网关面向信息的平安网关面向用户的平安网关VPN41应用平安技术基于平安协议的应用平安技术开发SSL(SecuritySocketLayer)SSL记录协议：它涉及应用程序提供的信息和分段、压缩、数据认证和加密。SSL握手协议：用来交换版本号、加密算法、〔相互〕身份认证并交换密钥。SET(SecurityElectricTralsate)Visa、Mastercard和微软等联手开发;规定了信用卡持卡人用其信用卡通过Internet进行付费的方法；后台有一个证书颁发的根底结构；支持X．509证书。SHTTP(SecurityHTTP)企业集成技术公司开发;文件级的平安机制;对多种单向散列〔Hash〕函数的支持，如：MD2、MD5和SHA；对多种单钥体制的支持，如：DES、3DES、RC2、RC4和CDMF；对数字签名体制的支持，如RSA和DSS。SSH(SecurityShell)SSH允许其用户平安地登录到远程主机上，执行命令，传输文件。它实现了密钥交换协议以及主机及客户端认证协议。42安全