网络安全体系课件

网络平安体系结构与案例网络平安体系结构与案例内容提要内容提要 1 1 计算机网络体系结构计算机网络体系结构 2 2 网络平安系统案例网络平安系统案例 计算机网络体系结构 主要内容网络体系结构的根本概念 开放系统互连参考模型 TCP/IP体系结构计算机局域网协议 网络体系结构的根本概念 1 网络的层次结构 计算机网络是一个复杂的系统。为了降低系统设计和实现的难度，把计算机网络要实现的功能进行结构化和模块化的设计，将整体功能分为几个相对独立的子功能层次，各个功能层次间进行有机的连接，下层为其上一层提供必要的功能效劳。这种层次结构的设计称为网络层次结构模型。网络层次结构模型的好处是：各层之间相互独立，各层实现技术的改变不影响其他层，易于实现和维护，有利于促进标准化，为计算机网络协议的设计和实现提供了很大方便。网络体系结构的根本概念2 网络协议 网络中的两个实体要实现通信，它们必须具有相同的语言，交流什么、怎样交流及何时交流等，必须遵守有关实体间某些相互都能接受的一些规那么，这些规那么的集合称为协议。为进行网络中的数据交换而建立的规那么、标准或约定即为网络协议。网络协议一般由语法、语义和时序三要素组成。网络体系结构的根本概念3 网络体系结构 计算机网络的层次及各层协议的集合，即是网络体系结构Architecture。具体地说，网络体系结构是关于计算机网络应设置哪几层，每个层次又应提供哪些功能的精确定义。开放系统互连参考模型 1 开放系统互连参考模型的形成 为了使不同体系结构的计算机网络都能互连，国际标准化组织ISO于1977年提出了一个试图使各种计算机在世界范围内互连成网的标准框架，即著名的开放系统互连参考模型OSI/RM，Open System Interconnection/Reference Model，简称为OSI。“开放是指：只要遵循OSI标准，一个系统就可以和位于世界上任何地方的、也遵循这同一标准的其他任何系统进行通信。开放系统互连参考模型2 OSI参考模型层次划分的原那么网络中所有节点都划分为相同的层次结构，每个相同的层次都有相同的功能 同一节点内各相邻层次之间通过接口协议进行通信 每一层使用下一层提供的效劳，并向它的上层提供效劳 不同节点的同等层按照协议实现同等层之间的通信 开放系统互连参考模型3 OSI参考模型的七层结构 开放系统互连参考模型4 OSI参考模型的信息流动 开放系统互连参考模型5 OSI参考模型各层功能 物理层Physical Layer 物理层是OSI参考模型的最低层，它建立在传输介质上，利用物理传输介质为数据链路层提供物理连接。物理层的主要功能是在物理介质上传输二进制数据比特流；提供为建立、维护和撤除物理连接所需的机械、电气和规程方面的特性。开放系统互连参考模型5 OSI参考模型各层功能 数据链路层Data Link Layer 在物理层传送的比特流的根底上，数据链路层负责建立相邻节点之间的数据链路，提供节点之间的可靠的数据传输。这一层将接收到的二进制数据流封装成帧包含目的地址、源地址、数据段以及其他控制信息，然后按顺序传输帧，并负责处理接收端发回确实认帧的信息。另外，数据链路层还具有流量控制和检错功能。开放系统互连参考模型5 OSI参考模型各层功能 网络层Network Layer 数据在网络层被转换为数据分组，然后通过路径选择、流量、过失、顺序、进/出路由等控制，将数据从物理连接的一端传送到另一端，并负责点到点之间通信联系的建立、维护和结束。它通过执行路由算法，为分组通过通信子网选择最适当的路径，还要执行拥塞控制与网络互连等功能，是OSI参考模型中最复杂的一层。开放系统互连参考模型5 OSI参考模型各层功能 传输层Transport Layer 传输层是面向应用的高层和与网络有关的低层协议之间的接口，其下三层与数据传输有关，其上三层与应用有关。传输层提供在不同系统间数据传输效劳，在网内两实体间建立端到端通信信道，提供两端点之间的可靠、透明数据传输；执行端到端过失检测和恢复，顺序控制和流量控制功能，并管理多路复用。开放系统互连参考模型5 OSI参考模型各层功能 会话层Session Layer 会话层负责控制每一网络节点究竟什么时间可以传送与接收数据，为不同用户提供建立会话关系，并对会话进行有效管理。例如，当许多用户同时收发信息时，该层主要控制、决定何时发送或接收信息，才不会有“碰撞发生。2.2 开放系统互连参考模型5 OSI参考模型各层功能 表示层Presentation Layer 表示层是为了在不同系统之间的不同信息表示能够相互理解对方数据的含义以便进行通信而设置的，它负责将数据转换为发送方和接收方都能识别的格式。另外，表示层还负责诸如数据压缩和恢复、加密和解密等效劳。2.2 开放系统互连参考模型5 OSI参考模型各层功能 应用层Application Layer 应用层是OSI参考模型的最高层，它与用户直接联系，负责网络中应用程序与网络操作系统之间的联系。监督并且管理相互连接起来的应用系统以及所使用的应用资源。例如为用户提供各种效劳，包括文件传输、远程登录、电子邮件及网络管理等。6 6、实例：、实例：七层实例应用层比如HTTP协议 ftp、DNS等表示层比如一些文件格式mp3 avi会话层应该是窗口程序传输层TCP网络层IP数据链路层802.3以太网标准物理层网卡 rj45插头等等TCP/IP体系结构 qOSI参考模型试图到达一种理想境界，即全世界的计算机网络都遵循这统一的标准，所有的计算机都能方便的互连和交换数据，然而由于OSI标准制定周期长、协议实现过分复杂及OSI的层次划分不太合理等原因。当到了20世纪90年代初期，虽然整套的OSI标准都已制定出来，但当时的Internet在全世界的范围形成规模，因此网络体系结构得到广泛应用的并不是国际标准的OSI，而是应用在Internet上的非国际标准的TCP/IP体系结构。TCP/IP体系结构 1 TCP/IP与OSI体系结构的对照关系TCP/IP体系结构2 TCP/IP参考模型各层功能主机至网络层(网络访问层 主机至网络层网络接口层是TCP/IP模型的最低层。它负责网际层与硬件设备间的联系，指出主机必须使用某种协议与网络相连。网际层 它是整个体系结构的关键局部，网际层的功能就是把IP分组发送到它应该去的地方，分组路由和防止拥塞是网际层主要解决的问题。网际层使用的主要协议是IP协议。TCP/IP体系结构2 TCP/IP参考模型各层功能传输层 主机主机层 传输层解决的是“端到端的通信问题。它的功能是使源端和目的端主机上的对等实体可以进行会话，和OSI的传输层一样，传输层定义了两个端到端的协议。第一个是传输控制协议TCP，它是一个面向连接的协议，允许从一台机器发出的字节流无过失地发往互联网上的其他机器。第二个协议是用户数据报协议UDP，它是一个不可靠的、无连接协议。TCP/IP体系结构2 TCP/IP参考模型各层功能应用层 应用层提供一组常用的应用程序给用户，应用程序和传输层协议相配合，完成发送或接收数据。每个应用程序都有自己的数据格式，它可以是一系列报文或字节流，但不管采用哪种格式，都要将数据传送给传输层以便交换。应用层包含所有的高层协议，如文件传输协议FTP、电子邮件协议SMTP、超文本传输协议HTTP等。TCP/IP体系结构3、IP地址 在以TCP/IP为通信协议的网络上，每台主机都有唯一的IP地址，IP地址用来唯一标示一台主机，也隐含着网络间的路径信息。IP地址共占用32个位，一般是以4个十进制数来表示，每个数字称为一个字节，字节与字节之间用点隔开，例如：，因为在TCP/IP网络上是利用IP地址来标示每一台主机，每一台主机都必须拥有唯一的IP地址。类 网络号主机号W取值支持网络数每个网络支持主机数AWX.Y.Z1-12612616,777,214BW.XY.Z128-1911638465,534C W.X.YZ192-2232,097,152254D224-239E240-2540 网络地址 主机地址10 网络地址 主机地址110 网络地址 主机地址1110 组播地址11110 保留计算机局域网协议 从总体上看，局域网协议较为简单，一般仅有二层或三层。物理层与OSI定义的类似，国际标准化组织已经对物理介质、附属设备和层间接口做了定义说明。由于局域网多采用播送通信技术，需要很好地解决信道争用问题，故数据链路层的一些细节问题与OSI定义的不同。OSI的网络层主要解决路径选择问题，而局域网没有路由问题，一个节点发出的信息其他节点都可以收到，所以局域网一般不设该层，OSI网络层的其他功能合并到数据链路层。对于第四到第七层，局域网系统没有明确的定义，故高层仍用OSI的协议标准，多把其他高层作为一层来处理。计算机局域网协议1 IEEE802标准简介 在ISO/OSI参考模型中，其低三层协议是依赖具体网络的，计算机局域网是一种具体的网络，共享信道是它的特性。遵循ISO/OSI参考模型的原那么，IEEE802系列标准协议主要解决局域网低三层的功能，其对应的LAN/RM如以下图所示。网际层LLC子层MAC子层物理层计算机局域网协议1 IEEE802标准简介 在ISO/OSI参考模型中，数据链路层的功能简单，它只负责把数据从一个节点可靠地传输到相邻的节点。但在局域网中，多个站点共享传输介质，在节点间传输数据之前必须首先解决由哪个设备使用传输介质，因此数据链路层要有介质访问控制功能。由于介质的多样性，所以必须提供多种介质访问控制方法。为此IEEE802标准把数据链路层划分为两个子层：逻辑链路控制LLC子层和介质访问控制MAC子层。LLC子层负责向网际层提供效劳，它提供的主要功能是寻址、过失控制和流量控制等；MAC子层的主要功能是控制对传输介质的访问，不同类型的LAN，需要采用不同的控制法。并且在发送数据时负责把数据组装成带有地址和过失校验段的帧，在接收数据时负责把帧拆封，执行地址识别和过失校验。计算机局域网协议2 IEEE802标准系列 对于使用不同传输介质的不同局域网，IEEE局域网标准委员会分别制定了不同的标准，适用于不同的网络环境，这些标准如下表所示。计算机局域网协议3 IEEE802标准与OSI参考模型之间的关系网络平安系统案例网络平安系统案例主要内容网络体系结构的根本概念 开放系统互连参考模型 TCP/IP体系结构计算机局域网协议 概述 1 根底设施的平安根底设施的平安主要指：保障网络系统的计算机设备、系统软件平台、网络环境能够无故障运行、不受外部入侵和破坏。这个层次，主要针对系统的信息根底设施，与计算机、网络等系统环境的关系更为密切，与企业的商务活动的联系较少。2 交易的平安 交易的平安那么是指通过一系列的措施保证交易过程的真实可靠、完整、不可否认和机密。与根底设施平安相比，交易平安更侧重于交易过程。根底设施的平安1计算机主机系统平安 双机备份、容错系统、集群cluster结构以及高性能系统HAHigh Availability 2数据库及存储设备平安采用灾难恢复技术、SAN、RAID技术等 3操作系统平安 4网络环境平安 防止网络的非授权访问、减少网络故障 交易的平安根底设施的平安是电子交易平安的根底 交易的平安是信息根底设施平安的延伸 在设计系统的平安系统时，应当从根底设施和交易两个层次出发，不能偏废 更多的威胁是来自电子商务企业的内部,考虑相关的平安策略、平安管理问题 系统的平安要求 1 平安要求 平安问题主要是对方是否是存在的、真实的，购置过程中一些隐私性的数据例如个人信用卡密码等是否存在泄漏的风险，企业的效劳器是否会受到攻击而瘫痪等等 2 系统的平安威胁与防范技术1.系统的平安威胁 2系统的平安防范技术 平安要求1.交易的真实性2.交易的保密性 3.交易的完整性 4.不可抵赖性 平安要求InternetWeb SVRCGI、JSP、EJB等应用数据库客户端认证/授权/审查隐私/完整性隐私/完整性认证防抵赖加密、电子信封等电子签字、电子证章等电子认证、加密、电子签字等图9-1：系统的一般安全问题及技术对策系统的平安威胁与防范技术 系统的平安威胁系统的平安威胁 1计算机网络的平安威胁计算机网络的平安威胁 1针对计算机系统网络层的攻击和入侵针对计算机系统网络层的攻击和入侵 2针对计算机系统层的攻击和入侵针对计算机系统层的攻击和入侵 3)针对计算机系统数据库层的攻击和入针对计算机系统数据库层的攻击和入侵侵 4)针对计算机系统应用层的攻击和入侵针对计算机系统应用层的攻击和入侵 2 交易的平安威胁交易的平安威胁1信息窃取信息窃取 2信息篡改信息篡改 3身份假冒身份假冒 4交易的否认交易的否认系统的平安威胁与防范技术系统的平安防范技术系统的平安防范技术黑客攻击电子商务系统的手段黑客攻击电子商务系统的手段 选择攻击的目标选择攻击的目标 发现网络与计算机系统的漏洞发现网络与计算机系统的漏洞 入侵系统，获得系统的控制权限入侵系统，获得系统的控制权限 禁用系统审计功能，更改系统的日志，以禁用系统审计功能，更改系统的日志，以防止遗留线索防止遗留线索 盗取文件，篡改系统的数据或者其他有价盗取文件，篡改系统的数据或者其他有价值的信息安装系统的后门值的信息安装系统的后门Back Gate、特洛伊木马，以便能够再次入侵而不被发特洛伊木马，以便能够再次入侵而不被发现现 返回再次破坏返回再次破坏 系统的平安威胁与防范技术平安防范技术平安防范技术1、加密技术、加密技术2、密钥管理技术、密钥管理技术3、数字签名技术、数字签名技术4、入侵检测与防范技术、入侵检测与防范技术5、风险评估技术、风险评估技术6、身份认证技术、身份认证技术7、病毒防治技术、病毒防治技术ISO的平安体系结构与系统的平安体系的平安体系结构与系统的平安体系OSI规定了5种标准的平安效劳 对象认证平安效劳 访问控制效劳 数据保密效劳 数据完整性效劳 防抵赖平安效劳 ISO的平安体系结构与系统的平安体系的平安体系结构与系统的平安体系 OSI的平安机制和平安效劳 平安子系统的设计 平安子系统的框架结构平安策略 平安管理 平安子系统的框架结构网络结构安全网络安全物理安全操作系统安全数据库安全应用安全和数据安全安全策略通讯安全用户认证管理安全管理平安策略 系统的平安策略 平安策略是信息平安的核心，也是整个信息平安建设的依据，平安策略为平安管理提供管理方向和支持手段，建立电子商务系统的策略体系的应包括：平安策略的制订、平安策略的评估、平安策略的执行等方面。平安策略的主要内容 平安策略的制定方法 平安策略平安策略的主要内容 1制定有效、全面的平安管理标准以减少操作或效劳中可能的平安威胁；2预防和防止可能的对计算机网络和商务交易过程的攻击；3减少计算机网络和商务交易中可能存在的平安威胁；4加强计算机网络和商务交易本身抗攻击和入侵的能力；5实时的监测；6实时的恢复；7减少可能的入侵影响。4.2 平安策略平安策略的制定方法(1)进行平安需求分析(2)对网络系统资源进行评估(3)对可能存在的风险进行分析(4)确定内部信息对外开放的种类及发布方式和访问方式(5)明确网络系统管理人员的责任和义务(6)确定针对潜在风险采取的平安保护措施、管理制度 4.2 平安策略平安管理平安管理平安管理的主要内容平安管理是实现电子商务系统信息平安的落实手段，也是一项技术性强、涉及面广的管理工作。其主要内容包括：人事管理、设备管理、场地管理、存储设施管理、软件管理、网络管理和密码、密钥管理。平安管理的根本原那么 平安管理的应急处理 平安管理平安管理平安管理的根本原那么 1标准原那么 2预防原那么 3选用成熟技术原那么 4系统化原那么 5分权制约原那么 6应急原那么 7灾难恢复原那么 平安管理平安管理平安管理的应急处理1分析判断 2入侵或攻击的终止 3记录和备份 4恢复 5定位 6汇报 平安技术 防火墙与网络平安设计 信息加密技术 数字签名PKI技术与认证 IPSec的平安体系防火墙与网络平安设计防火墙的根本概念 防火墙是访问控制技术的一种，其目的是通过控制网络资源的存取权限，保障计算机网络、计算机主机和数据的合法访问。国标GB/T 18019-1999 指出：“防火墙的目的是在内部、外部两个网络之间建立一个平安控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的效劳和访问的审计和控制。防火墙的应用设计 防火墙的根本概念防火墙概念防火墙是借用了建筑学上的一个术语，本意是用来防止大火从建筑物的一局部蔓延到另一局部而设立的阻挡设施。防火墙是一种平安防范技术，包括访问控制机制、平安策略和防入侵策略。防火墙的功能 防火墙的分类 防火墙的根本概念防火墙的根本概念防火墙的功能防火墙的功能1包过滤包过滤 2网络地址翻译网络地址翻译 3身份认证身份认证 4构造虚拟专用网构造虚拟专用网 防火墙的根本概念防火墙的分类防火墙的分类1包过滤型防火墙包过滤型防火墙 2应用级代理应用级代理3混合型防火墙混合型防火墙 防火墙的应用设计 防火墙的设计过程 防火墙的平安要求防火墙的选择 防火墙的应用设计防火墙的设计过程防火墙的设计过程 1决定防火墙的类型和拓朴结构决定防火墙的类型和拓朴结构 2制定平安策略制定平安策略 3确定包过滤规那么确定包过滤规那么4设计代理效劳设计代理效劳5严格定义功能模块并使其分布严格定义功能模块并使其分布6制定防火墙维护和管理方案制定防火墙维护和管理方案防火墙的应用设计防火墙的平安要求防火墙的平安要求1防火墙应由多个构件组成防火墙应由多个构件组成 2防火墙应能抵抗网络防火墙应能抵抗网络“黑客的攻击黑客的攻击 3防火墙一旦失效、重启动或崩溃，那防火墙一旦失效、重启动或崩溃，那么应完全阻断内、外部网络站点的连接么应完全阻断内、外部网络站点的连接 4防火墙应提供强认证效劳防火墙应提供强认证效劳 5防火墙对内部网络应起到屏蔽作用防火墙对内部网络应起到屏蔽作用 防火墙的应用设计防火墙的选择防火墙的选择 1防火墙的管理难易度防火墙的管理难易度 2防火墙自身的平安性防火墙自身的平安性 3防火墙的软件功能及执行效率防火墙的软件功能及执行效率 4防火墙的技术支持防火墙的技术支持 信息加密技术信息加密技术信息加密技术 加密技术就是采用数学方法对原始信息进行再组织，使得加密后的信息内容对于非法接收者来说成为无意义的文字。而对于合法的接收者，因为其掌握正确的密钥，就可以通过解密过程得到原始的数据。对称密码体制美国的DES及其各种变形，比方Triple DES、GDES、New DES和DES的前身Lucifer；欧洲的IDEA。非对称密码体制 RSA、背包密码、McEliece密码、椭圆曲线、EIGamal算法等等。数字签名 数字签名 数字签名技术是将摘要用发送者的私钥加密，与原文一起发送给接收者，接受者只有用发送者的公钥才可以解密被加密的摘要，在电子商务平安系统中，数字签名有着重要的地位，在电子商务系统平安效劳中的源鉴别、完整性效劳、不可否认效劳中都要用到数字签名技术。数字签名的种类数字签名的特点利用数字签名保证数据完整性、不可抵赖的根本过程数字签名数字签名的种类1RSA签名 2DSS签名3Hash 签名数字签名数字签名的特点难以伪造 无法抵赖 不可更改 不能转移 数字签名利用数字签名保证数据完整性、不可抵赖的根本过程：1发送方首先使用哈希函数从原文得到数字签名后，采用非对称加密体系用发送方的私有密钥对数字签名加密，附在要发送的原文后面。2发送方选择一个秘密密钥对文件加密，然后通过网络传输到接受方。3发送方用接受方的公开密钥对秘密密钥进行加密，并通过网络把加密后的秘密密钥传输到接受方。4接受方使用自己的私有密钥对密钥信息进行解密，得到秘密密钥的明文。本章小结：本章小结：针对系统平安体系，本章介绍了ISO的平安体系结构，在此根底上说明了平安体系；针对平安子系统的设计，本章首先介绍了平安子系统的根本框架，说明了系统的平安不单纯是一个技术问题，包括平安策略、平安管理和平安技术等方面；介绍了平安策略的根本内容和制定方式；说明了电子商务平安管理的概念和内容。实践参观：实践参观：访问Visa组织牵头建立的有关电子商务平安的网站，了解Visa组织对于平安标准的描述。访问美国的计算机紧急相应组，了解cert对于网络平安漏洞方面的说明。