信息與網(wǎng)絡(luò)安全技術(shù)

信息與網(wǎng)絡(luò)

平安技術(shù)1主要內(nèi)容平安概念平安技術(shù)平安產(chǎn)品平安效勞2安全概念3KansasCityDenverClevelandNewYorkAtlantaHoustonPittsburghMinneapolisColumbusWashingtonPhoenixRaleighTrentonSaltLakeCityWilmingtonDallasNewOrleansLincolnNewHavenDetroitMiamiWestfieldNashvillePhiladelphiaIndianapolisNewarkUWPacificNorthWestGreatPlainsMRENTexasOneNetDirectlyConnectedParticipantMAGPIPittsburgh(CMU)MERITMAXMCNCAbileneGigaPoPsCENICOARnetWestnetAlbuquerqueOklahomaCityGigaPopConnectedParticipantAnycolorAccessNodeRouterNodeSacramentoOaklandEugeneLosAngelesAnaheim33TotalAccessPointsServing64MembersSeattle機密數(shù)據(jù)包括什么內(nèi)容？數(shù)據(jù)是怎樣產(chǎn)生、存儲和傳輸?shù)?？網(wǎng)絡(luò)各局部是怎樣協(xié)同工作的〔關(guān)聯(lián)性、依賴性〕？它是怎樣滿足每一項工作需要的〔應(yīng)用、數(shù)據(jù)〕？網(wǎng)絡(luò)是怎樣增長的(建設(shè)、擴展)？網(wǎng)絡(luò)怎樣“平滑〞地完成工作？什么樣的資源需要保護(hù)？什么是威脅？怎樣盡量減少風(fēng)險對于系統(tǒng)內(nèi)脆弱的威脅？什么是脆弱性？考察網(wǎng)絡(luò)平安的每一個細(xì)節(jié)4理解平安概念平安〔security〕的定義是“防范潛在的危機〞。保險〔safety〕那么稍有不同，它更側(cè)重于可得性和連續(xù)的操作。而真正的平安是關(guān)于網(wǎng)絡(luò)的每一個局部的。5理解平安概念A(yù)uthenticationAuthorizationAccountingAssuranceConfidentialityDataIntegrity平安策略管理ConnectivityPerformanceEaseofUseManageabilityAvailabilityAccessSecurity6Max.安全風(fēng)險投資、效率與可用性Min.Max.理解平安概念…7Min.Max.平安曲線…投資額平安性最優(yōu)平衡點8平安要素完整性(Integrality)是指信息在存儲或傳輸時不被修改、破壞，或信息包的喪失、亂序等。信息的完整性是信息平安的根本要求，破壞信息的完整性是影響信息平安的常用手段?？煽啃?Availability)是指信息的可信度，接收者能接收到完整正確的信息，以及發(fā)送者能正確地發(fā)送信息?？煽啃砸彩切畔⑵桨残缘母疽?。機密性(Confidentiality)它主要利用現(xiàn)代密碼技術(shù)對信息進(jìn)行加密處理，防止靜態(tài)信息的非授權(quán)訪問和動態(tài)信息的非法泄漏或被截取。從某種意義上說，加密是實現(xiàn)信息平安的有效而且必不可少的技術(shù)手段?？煽匦钥蓪彶樾圆豢煞裾J(rèn)性9平安實務(wù)目標(biāo)保障信息與網(wǎng)絡(luò)系統(tǒng)穩(wěn)定可靠地運行保證網(wǎng)絡(luò)資源受控合法地使用方法平安法規(guī)、法律、政策技術(shù)方法、手段步驟信息平安工程的方法10通俗的平安“進(jìn)不來〞使用訪問控制機制，阻止非授權(quán)用戶進(jìn)入網(wǎng)絡(luò)，“進(jìn)不來〞“拿不走〞使用授權(quán)機制，實現(xiàn)對用戶的權(quán)限控制，即不該拿走的，“拿不走〞；“看不懂〞使用加密機制，確保信息不暴漏給未授權(quán)的實體或進(jìn)程，即“看不懂〞；“改不了〞使用數(shù)據(jù)完整性鑒別機制，保證只有得到允許的人才能修改數(shù)據(jù)，而其它人“改不了〞；“走不脫〞使用審計、監(jiān)控、防抵賴等平安機制，使得攻擊者、破壞者、抵賴者"走不脫"。11物理層鏈路層網(wǎng)絡(luò)層傳輸層會話層表示層應(yīng)用層物理層鏈路層網(wǎng)絡(luò)層傳輸層會話層表示層應(yīng)用層內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)內(nèi)部接口外部接口應(yīng)用層應(yīng)用層OSI七層參考模型IPHDRDATA12ISO7498-2，信息平安體系結(jié)構(gòu)訪問控制效勞鑒別效勞數(shù)據(jù)完整性效勞數(shù)據(jù)保密效勞信息流平安數(shù)據(jù)源點鑒別數(shù)字簽名機制加密機制數(shù)據(jù)完整性機制訪問控制機制交換鑒別機制路由控制機制流量填充機制公證機制OSI平安管理13ISO7498-2到TCP/IP的映射14小結(jié)保障信息與網(wǎng)絡(luò)系統(tǒng)穩(wěn)定可靠地運行保證網(wǎng)絡(luò)資源受控合法地使用PublicWWWServerCampus

BackboneHua-TechFirewallIntranetServersGatewaySalesOfficeHeadquartersInternetMainframeCSSSecure15安全技術(shù)16網(wǎng)絡(luò)平安的主要技術(shù)密碼技術(shù)計算機病毒防治技術(shù)信息泄露防護(hù)技術(shù)鑒別，授權(quán)和身份認(rèn)證技術(shù)防火墻技術(shù)VPN平安網(wǎng)關(guān)/信息網(wǎng)關(guān)技術(shù)弱點漏洞分析/滲透式分析技術(shù)監(jiān)測，預(yù)警與響應(yīng)技術(shù)內(nèi)容平安技術(shù)應(yīng)用平安技術(shù)平安路由器系統(tǒng)平安技術(shù)數(shù)據(jù)庫平安技術(shù)物理隔離技術(shù)災(zāi)難恢復(fù)與備份技術(shù)17密碼技術(shù)密碼技術(shù)信息平安的根底信源、信道、信宿攻擊的種類：被動攻擊截取〔Interception)偵聽，獲取消息內(nèi)容，流量分析被動攻擊中斷〔Interruption)干擾，破壞可用性修改〔Modification〕破壞完整性偽造〔Fabrication)破壞真實性角色：通信雙方、可信第三方、不可信第三方介質(zhì)：軟件、硬件、數(shù)據(jù)18病毒防治技術(shù)病毒，是指能夠破壞計算機系統(tǒng)，影響計算機工作并能實現(xiàn)自我復(fù)制的一段程序或指令代碼。計算機病毒/網(wǎng)絡(luò)病毒病原體(病毒庫)是病毒防止技術(shù)的關(guān)鍵VirusVsTrojanHorse(C/S程序)傳播方式〔介質(zhì)/下載/郵件/軟件…〕19信息泄露防治技術(shù)輻射線路竊聽帶寬的增加，威脅逐漸減少20鑒別，授權(quán)和身份認(rèn)證技術(shù)鑒別用來驗證系統(tǒng)實體和系統(tǒng)資源(如用戶、進(jìn)程、應(yīng)用)的身份，例如鑒別想訪問數(shù)據(jù)庫的人的身份，確定是誰發(fā)送了報文，防止有人假冒。授權(quán)是為完成某項任務(wù)而使用資源的權(quán)利、特權(quán)、許可證的證據(jù)，這種授權(quán)必須在系統(tǒng)資源的整個操作過程中始終如一地可靠地使用，還可對使用網(wǎng)絡(luò)效勞，訪問一些數(shù)據(jù)的敏感局部，規(guī)定特殊的授權(quán)要求。身份認(rèn)證系統(tǒng)加強了原有的基于賬戶和口令的訪問控制，提供了授權(quán)、訪問控制、用戶身份識別、對等實體鑒別、抗抵賴等功能。OTP:一次一密的認(rèn)證機制動態(tài)口令：有基于時鐘的動態(tài)口令機制生物技術(shù)：生理特征的認(rèn)證機制，眼睛或手指IC卡：作為身份的秘密信息存儲在IC卡21AAAKerberosRADIUSTACACSMSLoginOTPPKI/CertificatesCOPS/DIAMETERDHCP/DNSmappingLDAP22IdentifyServer統(tǒng)一口令規(guī)那么/配置內(nèi)部訪問撥號訪問Internet訪問RADIUS/TACACSMSLoginOTPPKI/CertificatesCOPS/DIAMETERDHCP/DNSmappingLDAP23防火墻技術(shù)防火墻是作為網(wǎng)絡(luò)平安的第一道防線，是把內(nèi)部網(wǎng)和公共網(wǎng)分隔的特殊網(wǎng)絡(luò)互連設(shè)備，可以用于網(wǎng)絡(luò)用戶訪問控制、認(rèn)證效勞、數(shù)據(jù)過濾等…平安區(qū)劃/平安級別24防火墻技術(shù)要點包過濾〔PacketFilter〕地址轉(zhuǎn)換NAT/端口轉(zhuǎn)換PAT地址綁定(Mac)端口映射PMap/地址映射NMap地址過濾/內(nèi)容過濾/時間段控制應(yīng)用代理/傳輸代理日志/審計/響應(yīng)/日志處理VPN/入侵檢測/地址欺騙身份認(rèn)證/OTP流量管理/計費管理/動態(tài)路由TCP/IP/IPX透明接入/非透明接入雙機冷備/雙機熱備/負(fù)載均衡本地管理/遠(yuǎn)程管理/集中管理/用戶分權(quán)界面〔CLI/GUI/WEB〕25防火墻職責(zé)…防火墻應(yīng)該作什么？平安邊界訪問控制保護(hù)敏感的數(shù)據(jù)效勞器機群/關(guān)鍵的應(yīng)用防火墻不用該作什么？深層次入侵檢測病毒過濾其他26防火墻技術(shù)開展趨勢與IDS的連動/互動連動的風(fēng)險/利弊得失27弱點漏洞分析/滲透式分析技術(shù)基于弱點漏洞的平安管理〔風(fēng)險管理〕入侵成功三要素時機/動機/時機黑客的時機=企業(yè)的風(fēng)險風(fēng)險=弱點漏洞+錯誤〔不恰當(dāng)〕配置/誤操作風(fēng)險識別風(fēng)險度量風(fēng)險控制風(fēng)險管理28BUGTRAQ/CVE/ISSBUGTRAQCVEISS29滲透式分析技術(shù)零知識測試〔黑盒測試〕對目標(biāo)環(huán)境的信息毫無了解的前提下進(jìn)行測試，是提供盡可能現(xiàn)實的模擬測試。ProbingExploitingVulerabilityMappingIntruding30入侵檢測技術(shù)基于網(wǎng)絡(luò)行為的平安管理〔行為管理〕防火墻技術(shù)的補充模式發(fā)現(xiàn)技術(shù)前提：所有入侵行為和手段〔及其變種〕都能夠表達(dá)為一種模式或特征關(guān)鍵：如何表達(dá)入侵的模式，把真正的入侵與正常行為區(qū)分開來局限：它只能發(fā)現(xiàn)的攻擊，對未知的攻擊無能為力異常發(fā)現(xiàn)技術(shù)前提：所有入侵行為都是與正常行為不同的關(guān)鍵：異常閥值與特征的選擇局限：并非所有的入侵都表現(xiàn)為異常，而且系統(tǒng)的軌跡難于計算和更新31入侵檢測技術(shù)信息采集技術(shù)分片重組(Fragment)技術(shù)會話跟蹤技術(shù)解碼技術(shù)自定義規(guī)那么……32入侵檢測技術(shù)Honeypot/Honeynet主動防御的主機、僚機網(wǎng)絡(luò)模型網(wǎng)絡(luò)攻擊的誘騙方法實時追蹤攻擊行為，快速查找定位攻擊源主機與僚機的動態(tài)自動切換僚機對攻擊來源的吸收與還擊模型自動癱瘓攻擊路徑33信息監(jiān)控與過濾技術(shù)網(wǎng)絡(luò)作為媒體的網(wǎng)絡(luò)，它在輿論、道德和文化等層面威脅和損害國家利益；網(wǎng)絡(luò)作為一種信息通道和國家運行管理環(huán)境，它為境外敵對勢力和間諜情報組織提供手段，從而威脅和損害國家利益?；谛畔⒘鞯钠桨补芾怼矁?nèi)容管理〕信息挖掘技術(shù)信息過濾技術(shù)反路由技術(shù)34VPN技術(shù)虛擬專用網(wǎng)〔VirutalPrivateNetwork,VPN〕技術(shù)指一種特殊的私有數(shù)據(jù)通信網(wǎng)絡(luò)，特殊之處在于VPN是建立在Internet等公共網(wǎng)絡(luò)上而非通過物理的專線連接而成，它通過一個平安私用的通道來將遠(yuǎn)程用戶、公司分支機構(gòu)、公司的業(yè)務(wù)伙伴等和公司的企業(yè)網(wǎng)連接起來，構(gòu)成一個擴展的公司企業(yè)網(wǎng)。VPN采用了密碼學(xué)領(lǐng)域的成熟技術(shù)數(shù)據(jù)機密性：用加密來隱藏明文信息，防范竊聽者；數(shù)據(jù)完整性：證實數(shù)據(jù)報文在傳輸過程中未被修改正；數(shù)據(jù)源認(rèn)證：證實數(shù)據(jù)報文是所聲稱的發(fā)送者發(fā)出的。35IPSecIPSec提供:數(shù)據(jù)驗證數(shù)據(jù)機密性防止重播平安通道建立基于標(biāo)準(zhǔn)的Internet訪問36EncryptedIPHDRIPHDRDATAIPSecHDRDATATransportModeIPHDRDATAIPSecHDRIPHDRNewIPHDRDATATunnelModeEncryptedIPSecModes37平安路由器提供了某些基于地址或效勞的過濾機制，可以在一定程度上限制網(wǎng)絡(luò)訪問?！簿哂蟹阑饓Φ墓δ堋硯畔⒓用艿穆酚善??！渤蓪κ褂谩?8平安操作系統(tǒng)操作系統(tǒng)的平安是網(wǎng)絡(luò)系統(tǒng)平安的根底級別定義〔DOD橘皮書〕A級：確定性保護(hù)B級：強制性保護(hù)C級：自主性保護(hù)D級：未經(jīng)平安評估39操作系統(tǒng)平安操作系統(tǒng)平安是對平安級別較低的操作系統(tǒng)的一個平安增強或加固接管系統(tǒng)命令/系統(tǒng)調(diào)用Sec-Shell接管ShellSSH40平安網(wǎng)關(guān)面向信息的平安網(wǎng)關(guān)面向用戶的平安網(wǎng)關(guān)VPN41應(yīng)用平安技術(shù)基于平安協(xié)議的應(yīng)用平安技術(shù)開發(fā)SSL(SecuritySocketLayer)SSL記錄協(xié)議：它涉及應(yīng)用程序提供的信息和分段、壓縮、數(shù)據(jù)認(rèn)證和加密。SSL握手協(xié)議：用來交換版本號、加密算法、〔相互〕身份認(rèn)證并交換密鑰。SET(SecurityElectricTralsate)Visa、Mastercard和微軟等聯(lián)手開發(fā);規(guī)定了信用卡持卡人用其信用卡通過Internet進(jìn)行付費的方法；后臺有一個證書頒發(fā)的根底結(jié)構(gòu)；支持X．509證書。SHTTP(SecurityHTTP)企業(yè)集成技術(shù)公司開發(fā);文件級的平安機制;對多種單向散列〔Hash〕函數(shù)的支持，如：MD2、MD5和SHA；對多種單鑰體制的支持，如：DES、3DES、RC2、RC4和CDMF；對數(shù)字簽名體制的支持，如RSA和DSS。SSH(SecurityShell)SSH允許其用戶平安地登錄到遠(yuǎn)程主機上，執(zhí)行命令，傳輸文件。它實現(xiàn)了密鑰交換協(xié)議以及主機及客戶端認(rèn)證協(xié)議。42安全