信息與網(wǎng)絡(luò)安全技術(shù)

信息與網(wǎng)絡(luò)

平安技術(shù)1主要內(nèi)容平安概念平安技術(shù)平安產(chǎn)品平安效勞2安全概念3KansasCityDenverClevelandNewYorkAtlantaHoustonPittsburghMinneapolisColumbusWashingtonPhoenixRaleighTrentonSaltLakeCityWilmingtonDallasNewOrleansLincolnNewHavenDetroitMiamiWestfieldNashvillePhiladelphiaIndianapolisNewarkUWPacificNorthWestGreatPlainsMRENTexasOneNetDirectlyConnectedParticipantMAGPIPittsburgh(CMU)MERITMAXMCNCAbileneGigaPoPsCENICOARnetWestnetAlbuquerqueOklahomaCityGigaPopConnectedParticipantAnycolorAccessNodeRouterNodeSacramentoOaklandEugeneLosAngelesAnaheim33TotalAccessPointsServing64MembersSeattle機(jī)密數(shù)據(jù)包括什么內(nèi)容？數(shù)據(jù)是怎樣產(chǎn)生、存儲(chǔ)和傳輸?shù)?？網(wǎng)絡(luò)各局部是怎樣協(xié)同工作的〔關(guān)聯(lián)性、依賴性〕？它是怎樣滿足每一項(xiàng)工作需要的〔應(yīng)用、數(shù)據(jù)〕？網(wǎng)絡(luò)是怎樣增長(zhǎng)的(建設(shè)、擴(kuò)展)？網(wǎng)絡(luò)怎樣“平滑〞地完成工作？什么樣的資源需要保護(hù)？什么是威脅？怎樣盡量減少風(fēng)險(xiǎn)對(duì)于系統(tǒng)內(nèi)脆弱的威脅？什么是脆弱性？考察網(wǎng)絡(luò)平安的每一個(gè)細(xì)節(jié)4理解平安概念平安〔security〕的定義是“防范潛在的危機(jī)〞。保險(xiǎn)〔safety〕那么稍有不同，它更側(cè)重于可得性和連續(xù)的操作。而真正的平安是關(guān)于網(wǎng)絡(luò)的每一個(gè)局部的。5理解平安概念A(yù)uthenticationAuthorizationAccountingAssuranceConfidentialityDataIntegrity平安策略管理ConnectivityPerformanceEaseofUseManageabilityAvailabilityAccessSecurity6Max.安全風(fēng)險(xiǎn)投資、效率與可用性Min.Max.理解平安概念…7Min.Max.平安曲線…投資額平安性最優(yōu)平衡點(diǎn)8平安要素完整性(Integrality)是指信息在存儲(chǔ)或傳輸時(shí)不被修改、破壞，或信息包的喪失、亂序等。信息的完整性是信息平安的根本要求，破壞信息的完整性是影響信息平安的常用手段?？煽啃?Availability)是指信息的可信度，接收者能接收到完整正確的信息，以及發(fā)送者能正確地發(fā)送信息?？煽啃砸彩切畔⑵桨残缘母疽亍C(jī)密性(Confidentiality)它主要利用現(xiàn)代密碼技術(shù)對(duì)信息進(jìn)行加密處理，防止靜態(tài)信息的非授權(quán)訪問(wèn)和動(dòng)態(tài)信息的非法泄漏或被截取。從某種意義上說(shuō)，加密是實(shí)現(xiàn)信息平安的有效而且必不可少的技術(shù)手段?？煽匦钥蓪彶樾圆豢煞裾J(rèn)性9平安實(shí)務(wù)目標(biāo)保障信息與網(wǎng)絡(luò)系統(tǒng)穩(wěn)定可靠地運(yùn)行保證網(wǎng)絡(luò)資源受控合法地使用方法平安法規(guī)、法律、政策技術(shù)方法、手段步驟信息平安工程的方法10通俗的平安“進(jìn)不來(lái)〞使用訪問(wèn)控制機(jī)制，阻止非授權(quán)用戶進(jìn)入網(wǎng)絡(luò)，“進(jìn)不來(lái)〞“拿不走〞使用授權(quán)機(jī)制，實(shí)現(xiàn)對(duì)用戶的權(quán)限控制，即不該拿走的，“拿不走〞；“看不懂〞使用加密機(jī)制，確保信息不暴漏給未授權(quán)的實(shí)體或進(jìn)程，即“看不懂〞；“改不了〞使用數(shù)據(jù)完整性鑒別機(jī)制，保證只有得到允許的人才能修改數(shù)據(jù)，而其它人“改不了〞；“走不脫〞使用審計(jì)、監(jiān)控、防抵賴等平安機(jī)制，使得攻擊者、破壞者、抵賴者"走不脫"。11物理層鏈路層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層物理層鏈路層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)內(nèi)部接口外部接口應(yīng)用層應(yīng)用層OSI七層參考模型IPHDRDATA12ISO7498-2，信息平安體系結(jié)構(gòu)訪問(wèn)控制效勞鑒別效勞數(shù)據(jù)完整性效勞數(shù)據(jù)保密效勞信息流平安數(shù)據(jù)源點(diǎn)鑒別數(shù)字簽名機(jī)制加密機(jī)制數(shù)據(jù)完整性機(jī)制訪問(wèn)控制機(jī)制交換鑒別機(jī)制路由控制機(jī)制流量填充機(jī)制公證機(jī)制OSI平安管理13ISO7498-2到TCP/IP的映射14小結(jié)保障信息與網(wǎng)絡(luò)系統(tǒng)穩(wěn)定可靠地運(yùn)行保證網(wǎng)絡(luò)資源受控合法地使用PublicWWWServerCampus

BackboneHua-TechFirewallIntranetServersGatewaySalesOfficeHeadquartersInternetMainframeCSSSecure15安全技術(shù)16網(wǎng)絡(luò)平安的主要技術(shù)密碼技術(shù)計(jì)算機(jī)病毒防治技術(shù)信息泄露防護(hù)技術(shù)鑒別，授權(quán)和身份認(rèn)證技術(shù)防火墻技術(shù)VPN平安網(wǎng)關(guān)/信息網(wǎng)關(guān)技術(shù)弱點(diǎn)漏洞分析/滲透式分析技術(shù)監(jiān)測(cè)，預(yù)警與響應(yīng)技術(shù)內(nèi)容平安技術(shù)應(yīng)用平安技術(shù)平安路由器系統(tǒng)平安技術(shù)數(shù)據(jù)庫(kù)平安技術(shù)物理隔離技術(shù)災(zāi)難恢復(fù)與備份技術(shù)17密碼技術(shù)密碼技術(shù)信息平安的根底信源、信道、信宿攻擊的種類：被動(dòng)攻擊截取〔Interception)偵聽(tīng)，獲取消息內(nèi)容，流量分析被動(dòng)攻擊中斷〔Interruption)干擾，破壞可用性修改〔Modification〕破壞完整性偽造〔Fabrication)破壞真實(shí)性角色：通信雙方、可信第三方、不可信第三方介質(zhì)：軟件、硬件、數(shù)據(jù)18病毒防治技術(shù)病毒，是指能夠破壞計(jì)算機(jī)系統(tǒng)，影響計(jì)算機(jī)工作并能實(shí)現(xiàn)自我復(fù)制的一段程序或指令代碼。計(jì)算機(jī)病毒/網(wǎng)絡(luò)病毒病原體(病毒庫(kù))是病毒防止技術(shù)的關(guān)鍵VirusVsTrojanHorse(C/S程序)傳播方式〔介質(zhì)/下載/郵件/軟件…〕19信息泄露防治技術(shù)輻射線路竊聽(tīng)?zhēng)挼脑黾?，威脅逐漸減少20鑒別，授權(quán)和身份認(rèn)證技術(shù)鑒別用來(lái)驗(yàn)證系統(tǒng)實(shí)體和系統(tǒng)資源(如用戶、進(jìn)程、應(yīng)用)的身份，例如鑒別想訪問(wèn)數(shù)據(jù)庫(kù)的人的身份，確定是誰(shuí)發(fā)送了報(bào)文，防止有人假冒。授權(quán)是為完成某項(xiàng)任務(wù)而使用資源的權(quán)利、特權(quán)、許可證的證據(jù)，這種授權(quán)必須在系統(tǒng)資源的整個(gè)操作過(guò)程中始終如一地可靠地使用，還可對(duì)使用網(wǎng)絡(luò)效勞，訪問(wèn)一些數(shù)據(jù)的敏感局部，規(guī)定特殊的授權(quán)要求。身份認(rèn)證系統(tǒng)加強(qiáng)了原有的基于賬戶和口令的訪問(wèn)控制，提供了授權(quán)、訪問(wèn)控制、用戶身份識(shí)別、對(duì)等實(shí)體鑒別、抗抵賴等功能。OTP:一次一密的認(rèn)證機(jī)制動(dòng)態(tài)口令：有基于時(shí)鐘的動(dòng)態(tài)口令機(jī)制生物技術(shù)：生理特征的認(rèn)證機(jī)制，眼睛或手指IC卡：作為身份的秘密信息存儲(chǔ)在IC卡21AAAKerberosRADIUSTACACSMSLoginOTPPKI/CertificatesCOPS/DIAMETERDHCP/DNSmappingLDAP22IdentifyServer統(tǒng)一口令規(guī)那么/配置內(nèi)部訪問(wèn)撥號(hào)訪問(wèn)Internet訪問(wèn)RADIUS/TACACSMSLoginOTPPKI/CertificatesCOPS/DIAMETERDHCP/DNSmappingLDAP23防火墻技術(shù)防火墻是作為網(wǎng)絡(luò)平安的第一道防線，是把內(nèi)部網(wǎng)和公共網(wǎng)分隔的特殊網(wǎng)絡(luò)互連設(shè)備，可以用于網(wǎng)絡(luò)用戶訪問(wèn)控制、認(rèn)證效勞、數(shù)據(jù)過(guò)濾等…平安區(qū)劃/平安級(jí)別24防火墻技術(shù)要點(diǎn)包過(guò)濾〔PacketFilter〕地址轉(zhuǎn)換NAT/端口轉(zhuǎn)換PAT地址綁定(Mac)端口映射PMap/地址映射NMap地址過(guò)濾/內(nèi)容過(guò)濾/時(shí)間段控制應(yīng)用代理/傳輸代理日志/審計(jì)/響應(yīng)/日志處理VPN/入侵檢測(cè)/地址欺騙身份認(rèn)證/OTP流量管理/計(jì)費(fèi)管理/動(dòng)態(tài)路由TCP/IP/IPX透明接入/非透明接入雙機(jī)冷備/雙機(jī)熱備/負(fù)載均衡本地管理/遠(yuǎn)程管理/集中管理/用戶分權(quán)界面〔CLI/GUI/WEB〕25防火墻職責(zé)…防火墻應(yīng)該作什么？平安邊界訪問(wèn)控制保護(hù)敏感的數(shù)據(jù)效勞器機(jī)群/關(guān)鍵的應(yīng)用防火墻不用該作什么？深層次入侵檢測(cè)病毒過(guò)濾其他26防火墻技術(shù)開(kāi)展趨勢(shì)與IDS的連動(dòng)/互動(dòng)連動(dòng)的風(fēng)險(xiǎn)/利弊得失27弱點(diǎn)漏洞分析/滲透式分析技術(shù)基于弱點(diǎn)漏洞的平安管理〔風(fēng)險(xiǎn)管理〕入侵成功三要素時(shí)機(jī)/動(dòng)機(jī)/時(shí)機(jī)黑客的時(shí)機(jī)=企業(yè)的風(fēng)險(xiǎn)風(fēng)險(xiǎn)=弱點(diǎn)漏洞+錯(cuò)誤〔不恰當(dāng)〕配置/誤操作風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)度量風(fēng)險(xiǎn)控制風(fēng)險(xiǎn)管理28BUGTRAQ/CVE/ISSBUGTRAQCVEISS29滲透式分析技術(shù)零知識(shí)測(cè)試〔黑盒測(cè)試〕對(duì)目標(biāo)環(huán)境的信息毫無(wú)了解的前提下進(jìn)行測(cè)試，是提供盡可能現(xiàn)實(shí)的模擬測(cè)試。ProbingExploitingVulerabilityMappingIntruding30入侵檢測(cè)技術(shù)基于網(wǎng)絡(luò)行為的平安管理〔行為管理〕防火墻技術(shù)的補(bǔ)充模式發(fā)現(xiàn)技術(shù)前提：所有入侵行為和手段〔及其變種〕都能夠表達(dá)為一種模式或特征關(guān)鍵：如何表達(dá)入侵的模式，把真正的入侵與正常行為區(qū)分開(kāi)來(lái)局限：它只能發(fā)現(xiàn)的攻擊，對(duì)未知的攻擊無(wú)能為力異常發(fā)現(xiàn)技術(shù)前提：所有入侵行為都是與正常行為不同的關(guān)鍵：異常閥值與特征的選擇局限：并非所有的入侵都表現(xiàn)為異常，而且系統(tǒng)的軌跡難于計(jì)算和更新31入侵檢測(cè)技術(shù)信息采集技術(shù)分片重組(Fragment)技術(shù)會(huì)話跟蹤技術(shù)解碼技術(shù)自定義規(guī)那么……32入侵檢測(cè)技術(shù)Honeypot/Honeynet主動(dòng)防御的主機(jī)、僚機(jī)網(wǎng)絡(luò)模型網(wǎng)絡(luò)攻擊的誘騙方法實(shí)時(shí)追蹤攻擊行為，快速查找定位攻擊源主機(jī)與僚機(jī)的動(dòng)態(tài)自動(dòng)切換僚機(jī)對(duì)攻擊來(lái)源的吸收與還擊模型自動(dòng)癱瘓攻擊路徑33信息監(jiān)控與過(guò)濾技術(shù)網(wǎng)絡(luò)作為媒體的網(wǎng)絡(luò)，它在輿論、道德和文化等層面威脅和損害國(guó)家利益；網(wǎng)絡(luò)作為一種信息通道和國(guó)家運(yùn)行管理環(huán)境，它為境外敵對(duì)勢(shì)力和間諜情報(bào)組織提供手段，從而威脅和損害國(guó)家利益?；谛畔⒘鞯钠桨补芾怼矁?nèi)容管理〕信息挖掘技術(shù)信息過(guò)濾技術(shù)反路由技術(shù)34VPN技術(shù)虛擬專用網(wǎng)〔VirutalPrivateNetwork,VPN〕技術(shù)指一種特殊的私有數(shù)據(jù)通信網(wǎng)絡(luò)，特殊之處在于VPN是建立在Internet等公共網(wǎng)絡(luò)上而非通過(guò)物理的專線連接而成，它通過(guò)一個(gè)平安私用的通道來(lái)將遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、公司的業(yè)務(wù)伙伴等和公司的企業(yè)網(wǎng)連接起來(lái)，構(gòu)成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)。VPN采用了密碼學(xué)領(lǐng)域的成熟技術(shù)數(shù)據(jù)機(jī)密性：用加密來(lái)隱藏明文信息，防范竊聽(tīng)者；數(shù)據(jù)完整性：證實(shí)數(shù)據(jù)報(bào)文在傳輸過(guò)程中未被修改正；數(shù)據(jù)源認(rèn)證：證實(shí)數(shù)據(jù)報(bào)文是所聲稱的發(fā)送者發(fā)出的。35IPSecIPSec提供:數(shù)據(jù)驗(yàn)證數(shù)據(jù)機(jī)密性防止重播平安通道建立基于標(biāo)準(zhǔn)的Internet訪問(wèn)36EncryptedIPHDRIPHDRDATAIPSecHDRDATATransportModeIPHDRDATAIPSecHDRIPHDRNewIPHDRDATATunnelModeEncryptedIPSecModes37平安路由器提供了某些基于地址或效勞的過(guò)濾機(jī)制，可以在一定程度上限制網(wǎng)絡(luò)訪問(wèn)?！簿哂蟹阑饓Φ墓δ堋硯畔⒓用艿穆酚善鳌！渤蓪?duì)使用〕38平安操作系統(tǒng)操作系統(tǒng)的平安是網(wǎng)絡(luò)系統(tǒng)平安的根底級(jí)別定義〔DOD橘皮書(shū)〕A級(jí)：確定性保護(hù)B級(jí)：強(qiáng)制性保護(hù)C級(jí)：自主性保護(hù)D級(jí)：未經(jīng)平安評(píng)估39操作系統(tǒng)平安操作系統(tǒng)平安是對(duì)平安級(jí)別較低的操作系統(tǒng)的一個(gè)平安增強(qiáng)或加固接管系統(tǒng)命令/系統(tǒng)調(diào)用Sec-Shell接管ShellSSH40平安網(wǎng)關(guān)面向信息的平安網(wǎng)關(guān)面向用戶的平安網(wǎng)關(guān)VPN41應(yīng)用平安技術(shù)基于平安協(xié)議的應(yīng)用平安技術(shù)開(kāi)發(fā)SSL(SecuritySocketLayer)SSL記錄協(xié)議：它涉及應(yīng)用程序提供的信息和分段、壓縮、數(shù)據(jù)認(rèn)證和加密。SSL握手協(xié)議：用來(lái)交換版本號(hào)、加密算法、〔相互〕身份認(rèn)證并交換密鑰。SET(SecurityElectricTralsate)Visa、Mastercard和微軟等聯(lián)手開(kāi)發(fā);規(guī)定了信用卡持卡人用其信用卡通過(guò)Internet進(jìn)行付費(fèi)的方法；后臺(tái)有一個(gè)證書(shū)頒發(fā)的根底結(jié)構(gòu)；支持X．509證書(shū)。SHTTP(SecurityHTTP)企業(yè)集成技術(shù)公司開(kāi)發(fā);文件級(jí)的平安機(jī)制;對(duì)多種單向散列〔Hash〕函數(shù)的支持，如：MD2、MD5和SHA；對(duì)多種單鑰體制的支持，如：DES、3DES、RC2、RC4和CDMF；對(duì)數(shù)字簽名體制的支持，如RSA和DSS。SSH(SecurityShell)SSH允許其用戶平安地登錄到遠(yuǎn)程主機(jī)上，執(zhí)行命令，傳輸文件。它實(shí)現(xiàn)了密鑰交換協(xié)議以及主機(jī)及客戶端認(rèn)證協(xié)議。42安全