网络安全模型与体系结构

《网络安全模型与体系结构》由会员分享，可在线阅读，更多相关《网络安全模型与体系结构（58页珍藏版）》请在装配图网上搜索。

1、网络安全模型与体系结构胡道元清华大学2004年4月网络安全模型与体系结构 网络安全概念网络安全概念 网络安全模型 网络安全体系结构安全的历史回顾 通信安全 解决数据传输的安全 密码技术 计算机安全 解决计算机信息载体及其运行的安全 正确实施主体对客体的访问控制 网络安全 解决在分布网络环境中对信息载体 及其运行提供安全保护 完整的信息安全保障体系IP网的安全问题 IP安全 DNS安全 拒绝服务(DOS)攻击 发送SYN信息分组 邮件炸弹 分布式拒绝服务(DDOS)攻击Defining Information Security Knowledge obtained from investigat

2、ion,study,or instruction,intelligence,news,facts,data,a signal or character(as in a communication system or computer)representing data,something(as a plan or theory)that represents physical or mental experience or another construct Freedom from danger,safety;freedom from fear or anxiety Measures ado

3、pted to prevent the unauthorized use,misuse,modification,or denial of use of knowledge,facts,data,or capabilities网络安全定义 网络安全是在分布网络环境中，对信息载体（处理载体、存储载体、传输载体）和信息的处理、传输、存储、访问提供安全保护，以防止数据、信息内容或能力被非授权使用、篡改和拒绝服务。网络安全属性 机密性（confidentiality）完整性（integrity）可用性（availability）可审性（accountability）机密性 保证信息与信息系统不被非授权

4、者获取与使用 保证系统不以电磁方式向外泄露信息 电磁屏蔽技术、加扰技术 使系统任何时候不被非授权人使用 漏洞扫描、隔离、防火墙、访问控制、入侵检测、审计取证 保证数据在传输、存储过程中不被获取、解析 数据 加密技术完整性 保证信息是真实可信的，发布者不被冒充，来源不被伪造、内容不被篡改 保证数据在传输、存储过程中不被非法修改 完整性标识的生成与检验技术 保证数据源头不被伪造 身份认证技术、路由认证技术可用性 保证信息与信息系统可被授权人正常使用 保证信息系统在恶劣工作环境下正常运行 抗干扰、加固技术 保证系统时刻能为授权人提供服务 过载保护、防拒绝服务攻击、生存技术可审性 身份鉴别机制 你知道

5、什么 你有什么 你是什么 双因子身份鉴别 身份识别和鉴别机制是各种安全服务的关键 审计提供过去事件的记录，必须基于合适的身份识别和鉴别服务什么是风险（1）风险是丢失需要保护的资产的可能性，风险是构成安全基础的基本观念 资产类型 物理资源 知识资源 时间资源 信誉资源 风险的两个组成部分 漏洞：攻击的可能的途径 威胁：可能破坏网络系统环境安全的 动作或事件什么是风险（2）威胁的3个组成部分 目标：可能受到攻击的方面 代理：发出威胁的人或组织 具有访问、知识、动机3个特性 事件：做出威胁的动作类型 威胁+漏洞=风险 没有漏洞的威胁没有风险 没有威胁的漏洞也没有风险风险识别与测量 识别漏洞 识别威胁

6、 对策和预防措施 识别风险 测量风险测量风险识别漏洞识别威胁风险级别已有的预防测量的 风险代价网络安全处理过程 评估阶段 策略制订阶段 实施阶段 培训阶段 审计阶段网络安全模型与体系结构 网络安全概念 网络安全模型网络安全模型 网络安全体系结构PPDRR处理模型安全策略(Policy)安全等级评估技术 如何评估系统处于用户自主、系统审计、安全标记、结构化、访问验证等五个保护级的哪一级？漏洞扫描与弱点分析 基于关联的弱点分析技术 基于用户权限提升的风险等级量化技术拓扑结构发现技术 拓扑结构综合探测技术（发现黑洞的存在）基于应用协议的网络拓扑结构发现技术PPDRR处理模型防护技术(Protecti

7、on)防火墙技术 联动技术及误报警攻击防范技术病毒防护：网络病毒制导遏制技术隔离技术 基于协议的安全岛技术：协议的变换与解析 单向路径技术：确保没有直通路径访问控制技术 多态、综合性访问控制技术 基于攻击检验的强制性口令保护技术PPDRR处理模型入侵检测(Detection)大规模入侵检测技术 面向异常检测的基于数据流的数据挖掘技术 面向误用检测的状态自适应监测预报警 防攻击技术分布式入侵检测 入侵检测信息交换协议 IDS的自适应信息交换与防攻击技术特洛伊木马检测技术 守护进程存在状态的审计 守护进程激活条件的审计PPDRR处理模型攻击反应(Response)密罐技术 漏洞再现及状态模拟应答技

8、术 沙盒技术，诱捕攻击行为僚机技术 动态身份替换，攻击的截击技术 被攻系统躲避技术，异常负载的转配灾难恢复(Restore)（生存技术）最小运行系统，系统的平滑切割 恢复技术 基于数据流的通用恢复技术，体外循坏技术 远程存储技术，互连的物理介质应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层身份认证访问控制数据保密 数据完整性端到端的加密防火墙，IP加密信道点到点链路加密安全物理信道网络安全服务层次模型22链路层安全 安装或租用专门通信设施 点到点身份认证、保密性 提供数据流安全 不提供终端用户认证和用户间保密链路层保护网络的特征优 点缺 点能达到的

9、速率最高最高的通信成本对流分析能提供最高的保护性对网络级联（cascading）没有保护对隐通道能提供最高的保护性对内部攻击人员无保护基于网络攻击的途径最少只能对点和点间进行身份认证连续的点对点身份认证新节点加入时要求电信公司重新配置网络网络层安全 IP数据网的安全 IP处理 DNS ICMP 路由信息 Boot/DHCP 网络管理 防火墙 IPSec防火墙 防火墙是建立在内外网络边界上的过滤封锁机制。内部网络被认为是安全和可信赖的。而外部网络（通常是Internet）被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络，通过边界控制强化内部网络的安全策略

10、。IP加密传输信道技术 IP SECIP SEC技术技术在两个网络结点间建立透明的安全加密信道 IP AH(Authentication Header)IP AH(Authentication Header)提供认证和数据完整性 IP ESP(Encapsulating Security Payload)IP ESP(Encapsulating Security Payload)安全内容封装实现通信保密 优点优点对应用透明提供主机对主机的安全服务建立安全的IP通道和虚拟的专用网 问题问题需要建立标准密钥管理产品兼容性降低性能 Internet Protocol Security,RFC 240

11、1 在不安全网上提供安全通信 提供数据加密、端点认证、数据完整性、防止非授权的重传等服务。IPSec运行在IP层和传送层TCP、UDP之间。两种模式 传送模式：两个IPSec主机间通信，保护TCP/UDP内容及各种应用。隧道模式：典型的VPN，数据加密通过隧道 传至目的地。频宽代价较大。IPSec28传送模式的IP Sec隧道模式的IP SecVPN31 VPN是企业网络花费较小能满足安全需求的方案 73Fortune 1000的企业采用VPN，从租线转为 VPN可节省60费用，至2002年VPN业务达100亿美金。VPN组成 防火墙：作为局域网的前沿保护 代理服务器：防火墙后的第二道防线 加

12、密：即使数据被截获，难以破译 隧道：通过隧道将两个LAN连接成专网，PPTP、L2TP、IPSec 认证和访问控制：双向认证 CA：著名的公共CA使VPN适应大量合作伙伴 和客户的企业 监控和管理：层次控制结构和集中控制传输层安全技术-SSL 在两个通信结点间建立安全的在两个通信结点间建立安全的TCPTCP连接连接 SSLSSL协商层协商层约定加密算法、版本号身份认证，交换密钥 SSL记录层分段、压缩、加密 优点优点基于进程对进程的安全服务和加密传输信道用公钥体系做身份认证 缺点缺点对应用层不透明不适用基于UDP的通信需要证书授权中心CA不提供访问控制33SSL应用层安全技术 专用应用层安全服

13、务专用应用层安全服务l 私用增强邮件PEM：基于公钥基础设施PKIl 超文本传输协议安全增强版S-HTTP：提供文件级的安全机制l 安全电子交易SET 提供身份认证、数据保密、数据完整性等 通用应用层安全服务通用应用层安全服务l 通过中间件实现安全服务l 定义统一的安全服务接口，向应用层提供身份认证、访问控制、数据加密等安全服务l 通用安全服务API-GSS-APIl MIT Kerberosl OSF DCE-Webl HP CORBA-WebWWW 应用安全技术 HTTP 1.0HTTP 1.0 基于明文传输口令的基本认证方法 HTTP 1.1HTTP 1.1 采用摘要认证方法(Diges

14、t Authentication Scheme)口令经散列函数变换后传递 S-HTTPS-HTTP 提供身份认证，数据保密，数据完整，防止否认等 需对现有通信协议作一定改变 WWW ProxyWWW Proxy技术技术 使用中间件提供的安全机制 对应用透明 DCE-Web CORBA-WebDCE-Web结构浏览器SLP浏览器浏览器SDGWAND服务器普通www服务器SSLHTTP 安全RPCRPCHTTPHTTPCA+AAs 证书鉴别中心（CA）证书的签发和管理。提供加密、数字签名等与证书相关的安全 模块。安全服务的基础设施。应用安全中心（AAs）证书的使用。提供面向应用的整套安全服务。安全

15、服务的具体实现。CA+AAs 整体安全框架：CA+AAsCA是核心。AAs是纽带。应用是目标。CA+AAs安全安全框架框架安全功能安全功能安全机制安全机制名称名称内容内容CA+AAs证书的签发和管理证书鉴别中心（CA）证书鉴别（Certificate Authority）证书的使用应用安全中心（AAs）身份鉴别（Authentication Authority）授权（Authorization Authority）审计（Audit Authority）管理（Administration Authority）等面向应用的其他安全机制 AAs的服务模式分析（1）纵向安全服务模式 安全系统位置：纵向

16、切入 应用系统与操作系统之间 应用系统需要二次开发 横向安全服务模式 安全系统位置：横向切入 应用客户端与应用服务器之间 应用系统无需二次开发横向安全服务模式横向安全服务模式 WebST的工作原理Access网络安全模型与体系结构 网络安全概念 网络安全模型 网络安全体系结构网络安全体系结构安全体系结构定义 定义 描述信息系统体系结构在满足安全需求 方面各基本元素之间的关系。要求 反映计算机信息系统安全需求和信息系 统体系结构的共性。安全体系结构要素 安全政策与策略 安全保护等级标准 安全服务与安全机制 信息系统单元 开放系统互连参考模型信息系统安全保护等级标准 可信计算机系统系统评估准则（T

17、CSEC）信息技术安全评定标准（ITSEC）加拿大可信计算机产品评价准则（CTCPEC）组合的联邦标准（FC）通用的信息安全产品和系统安全性评估准则（CC）计算机信息系统安全保护等级划分准则（GB17859）计算机信息系统安全保护等级划分准则 目的 为安全法规制定提供依据 为安全产品研制提供技术支持 为安全系统建设提供技术指导 安全保护能力的五个等级 第一级：用户自主保护级 第二级：系统审计保护级 第三级：安全标记保护级 第四级：结构化保护级 第五级：访问验证保护级用户自主保护级 自主访问控制 用户自主地定义对客体的访问权限 用户与数据（访问客体的隔离）身份鉴别 用户标识身份 使用保护机制鉴别

18、身份 数据完整性 阻止非授权用户修改或破坏敏感信息系统审计保护级 自主访问控制 访问控制粒度是单个用户，并控制访问权扩散 身份鉴别 为用户提供唯一标识，使用户对自己行为负责 客体重用 增加客体重用安全机制 审计 创建和维护受保护客体的访问审计跟踪记录 数据完整性安全标记保护级 强制访问控制 对主体及其控制的客体实施强制访问控制。指定敏感标记，为主体、客体确定安全等级的依据 1)仅当 sclass(s)oclass(o),os 则主体s可读客体o 2)仅当 sclass(s)oclass(o),so 则主体s能写客体o 身份鉴别 客体重用 审计 数据完整性结构化保护级 强制访问控制 访问控制扩展

19、到所有的主体和客体 为所有主体、客体指定敏感标记 明确定义的形式化安全保护策略 身份鉴别 客体重用 审计 数据完整性 隐蔽信道分析 可信通信路径访问验证保护级 访问监控器 仲裁主体对客体的全部访问 抗篡改 必须足够小，能分析和测试 扩充审计机制 提供系统恢复机制 系统具有很高的抗渗透能力ISO7498-2 安全服务身份鉴别（Authentication）访问控制（Access Control）数据保密（Data Confidentiality）数据完整性（Data integrity）防止否认（Non-reputation）身份认证身份认证应用层代理应用层代理或网管或网管用户授权与用户授权与访

20、问控制访问控制电路层防火墙电路层防火墙（如（如SOCKSSOCKS）应用层安全应用层安全通信协议通信协议传输层安全传输层安全 通信协议通信协议数字签名第数字签名第三方公证三方公证主机和服主机和服务的审计务的审计记录分析记录分析应用系统的应用系统的容错容灾、容错容灾、服务管理服务管理应用系统应用系统主机、路由器主机、路由器等源发认证等源发认证相邻节点相邻节点间的认证间的认证包过滤包过滤防火墙防火墙主机或路由器间主机或路由器间IPSecIPSec等协议等协议点到点之间点到点之间的链路加密的链路加密流量分析流量分析入侵检测入侵检测网络结构设计，网络结构设计，路由系统安全，路由系统安全，基础服务安全，

21、基础服务安全，网络管理网络管理网络平台网络平台认证认证访问控制访问控制数据完整性数据完整性数据保密性数据保密性抗抵赖抗抵赖审计审计可用性可用性数据链路层数据链路层与物理层与物理层网络层网络层传输层传输层应用层应用层网络不同层次的安全服务开放系统互连参考模型安 全 特 性7654321身份鉴别访问控制数据保密数据完整不可抵赖审计管理可用性信息处理网络安全管理物理环境系统单元三维安全体系结构框架授权管理子系统用户和对象的授权策略：应用层信息处理单元访问控制安全防御子系统网络防火墙：网络层信息处理单元、通信网络访问控制身份认证子系统Kerberos或X509：传输层网络层信息处理单元、安全管理身份鉴

22、别安全检测子系统安全扫描、攻击报警：网络层、传输层信息处理单元、通信网络、安全管理审计管理网络层次系统单元安全特性图三：三维安全体系结构中的安全子系统及其和三维特性的对应关系安全子系统和三维特性的对应关系（1）网络防火墙：网络防火墙：网络层、传输层网络层、传输层网络平台、系统平台网络平台、系统平台访问控制访问控制Kerberos 或或 X.509：传输层传输层 应用层应用层系统平台系统平台 安全管理安全管理身份鉴别身份鉴别端到端加密通道：端到端加密通道：网络层网络层 会话层会话层系统平台、应用平台系统平台、应用平台数据完整、数据加密数据完整、数据加密用户和对象的授权策略：用户和对象的授权策略：

23、应用层应用层应用平台、安全管理应用平台、安全管理访问控制访问控制密钥生成、存储和发放：密钥生成、存储和发放：传输层传输层 应用层应用层系统平台系统平台 安全管理安全管理身份鉴别身份鉴别安全扫描、攻击报警安全扫描、攻击报警网络层、传输层网络层、传输层网络平台网络平台 应用平台应用平台跟踪设计、可靠可用跟踪设计、可靠可用过滤、删除病毒：过滤、删除病毒：传输层传输层 应用层应用层系统平台、应用平台系统平台、应用平台数据完整、可靠可用数据完整、可靠可用机要机要信息加密处理：信息加密处理：表示层、应用层表示层、应用层系统平台、应用平台系统平台、应用平台数据保密数据保密集成数据库安全机制：集成数据库安全机制：应用层应用层系统平台、应用平台系统平台、应用平台身份鉴别身份鉴别 可靠可用可靠可用安全日志存储、分析：安全日志存储、分析：网络层网络层 应用层应用层安全管理安全管理防止否认、跟踪审计防止否认、跟踪审计安全子系统和三维特性的对应关系（2）