资源描述
,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,平安体系结构与模型,Geng YANG,Dr./Prof,Nanjing Univ.of Posts&Telecommunications,yanggn,四个概念,平安体系结构:定义了最一般的关于平安体系结构的概念,如平安效劳、平安机制,平安框架:定义了提供平安效劳的最一般的方法,如数据源、操作方法以及它们之间的数据流向等,平安模型:指在特定的环境里,为保证提供一定级别的平安保护所奉行的根本思想,平安技术:一些根本模块,它们构成了平安效劳的根底,同时可以相互任意组合,以提供更强大的平安效劳,IOS/OSI平安体系结构,ISO:International Organization for Standardization,OSI:Open System Interconnect/RM,平安机制,平安效劳,平安管理,其它,如平安威胁,Attacks,Services and Mechanisms,Security Attack(平安攻击:Any action that compromises the security of information.,Security Mechanism平安机制:A mechanism that is designed to detect,prevent,or recover from a security attack.,Security Service平安效劳:A service that enhances the security of data processing systems and information transfers.A security service makes use of one or more security mechanisms.,ISO-7498-2平安架构,平安效劳,对象认证平安效劳,访问控制平安效劳,数据保密平安效劳,数据完整性平安效劳,防抵赖性平安效劳,安 全 服 务,对象认证平安效劳,用于识别对象的身份和对身份的证实。OSI环境可提供对等实体认证和信源认证等平安效劳。对等实体认证是用来验证在某一关联的实体中,对等实体的声称是一致的,它可以确认对等实体没有假冒;而信源认证是用于验证所收到的数据来源与所声称的来源是一致的,但不提供防止数据中途被修改的功能,对象认证平安效劳实例,A,A,效劳器,Internet,讨论:假设A和A用户名是一样的,且都是合法用户,效劳器是否能分别认怔A和A?,访问控制平安效劳,提供对越权使用资源的防御措施。访问控制可分为自主访问控制、强制访问控制、基于角色的访问控制。实现机制可以是基于访问控制属性的访问控制表,基于平安标签或用户和资源分档的多级访问控制等,Windows NT 文件访问控制,数据保密性平安效劳,针对信息泄漏而采取的防御措施,可分为信息保密、选择段保密和业务流保密。它的根底是数据保密机制的选择,数据完整性平安效劳,防止非法纂改信息,如修改、复制、插入和删除等。它有五种形式:可恢复连接完整性、无恢复连接完整性、选择字段连接完整性、无连接完整性和选择字段无连接完整性,防抵赖性平安效劳,是针对对方抵赖的防范措施,用来证实发生过的操作,它可分为对发送防抵赖、对递交防抵赖和进行公证。,ISO 平安效劳的缺乏,缺少防止DoS攻击的定义,对入侵检测,几乎没有涉及,大多数平安效劳是对同级实体的,缺少多级或分层实体的内涵,本质上是一个被动平安效劳定义,其它,如授权,安 全 机 制,加密机制,使用各种加密算法对存放的数据和流通的信息进行加密,RSA,DES,RC2/RC4/RC5,VPN,数字签名,采用非对称密钥体制,使用私钥进行数字签名,使用公钥对签名信息进行验证,RSA,MD4/MD5,SHA/SHA-1,访问控制机制,根据访问者的身份和其它信息,来决定实体的访问权限,ATM卡,平安令牌Token,Windows NT 实例,数据完整性机制,判断信息在传输过程中是否被篡改、增加、删除过,确保信息的完整,MD4/MD5,SHA/SHA-1,认证交换机制,用来实现同级之间的认证,ATM卡,口令,讨论:怎样防止中继重放攻击?,防业务流量分析机制,通过填充冗余的业务流量,防止攻击者对流量进行分析,填充过的流量需通过加密进行保护,路由控制机制,防止不利、不良信息通过路由,进入子网或利用子网作为中继攻击平台,网络层防火墙,公证机制,有公证人第三方参与数字签名,它基于通信双方对第三方的绝对信任,CACertificate Authority),Hotmail/yahoo 邮件效劳登陆认证,安 全 管 理,平安管理,为了更有效地运用平安效劳,需要有其它措施来支持它们的操作,这些措施即为平安管理。平安管理是对平安效劳和平安机制进行管理,把管理信息分配到有关的平安效劳和平安机制中去,并收集与它们的操作有关的信息,OSI平安效劳和平安机制的关系,机制,服务,加密,数字签名,访问控制,数据完整,认证交换,防流量分析,路由控制,公证,对象认证,访问控制,数据保密,数据完整,防抵赖性,3.2 动态的自适应网络平安模型,单纯的防护技术不能解决网络平安问题,不了解平安威胁和平安现状,静态、被动的防御,而平安威胁、平安漏洞都具有动态的特性,平安的概念局限于信息的保护,不能正确评价网络平安的风险,导致平安系统过高或过低的建设,PDR模型的背景,对于网络系统的攻击日趋频繁,平安的概念已经不仅仅局限于静态的、被动的信息防护,人们需要的是对整个信息和网络系统的保护和防御,以确保它们的平安性,包括对系统的保护、检测和反响能力等。平安模型已经从以前的被动转到了现在的主动防御,强调整个生命周期的防御和恢复,PDR模型,Protection,Detection,Reaction/Response,P2DR模型,Policy,Protection,Detection,Response,ISS公司的P2DR模型,Policy,Response,Protection,Detection,平安策略-Policy,根据平安风险分析产生的平安策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等。平安策略是P2DR平安模型的核心,所有的防护、检测、响应都是依据平安策略实施的,企业平安策略为平安管理提供管理方向和支持手段,防护-Protection,通过修复系统漏洞、正确设计开发和安装系统来预防平安事件的发生;通过定期检测来发现可能存在的系统脆弱性;通过教育等手段,是用户和操作员正确使用系统,防止意外威胁;通过访问控制、监视等手段来防止恶意威胁,检测-Detection,在P2DR模型中,检测是一个非常重要的环节,检测是动态响应和加强防护的依据,它也是强制落实平安策略的有力工具,通过不断地检测和监控网络和系统,来发现新的威胁和弱点,通过循环反响来及时作出有效的响应,响应-Response,紧急响应在平安系统中占有重要的地位,是解决平安潜在问题最有效的方法。从某种意义上来说,平安问题就是要解决紧急响应和异常处理问题。,响应的时间,攻击时间Pt:从入侵开始到侵入系统的时间,检测时间Dt:检测新的平安脆弱性或网络平安攻击的时间。,响应时间Rt:包括检测到系统漏洞或监控到非法攻击到系统启动处理措施的时间,系统暴露时间Et:系统处于不平安状态的时间,可定义为Et=Dt+Rt-Pt,PPDRR模型,Policy,Protection,Detection,Response,Recovery,3.3 五层网络平安体系,网络层的平安性,系统的平安性,用户的平安性,应用程序平安性,数据的平安性,系统层平安,网络层平安,应用层平安,用户层平安,数据层平安,用户的平安性,对于用户平安性问题,所要考虑的问题是:是否只有那些真正被授权的用户才能使用系统中的资源和数据,分组Group,认证Authentication补充,授权Authorization 补充,审计Audit补充,应用程序的平安性,在这一层我们需要答复的问题是:是否只有合法的用户才能够对特定的数据进行合法的操作,应用程序对数据的合法权限,应用程序对用户的合法权限,多用户的应用程序环境补充),应用程序本身的平安性补充,网络层的平安性,网络层的平安性问题核心在于网络是否得到控制,即是不是任何一个IP地址来源的用户都能够进入网络。,网络层数据报是否合法?补充讨论,VPN,Firewall,讨论:网络层平安性的缺陷?,系统的平安性,在系统平安性问题中,主要考虑的问题有两个:,病毒对网络的威胁,黑客对网络的破坏和侵入,系统的复杂性补充,人的工程能力补充,相对静态的特征补充,系统的平安性2,病毒的传播,软盘、光盘等存储介质,文件,网络,电子邮件,脚本JavaScript、VBScript,ActiveX/Java Applet,系统的平安性3,风险评估工具,如ISS公司的RealSecure等,升级系统Patching,优化系统配置,其它,如网络结构的调整,数据的平安性,数据平安性问题所要答复的问题是:机密数据是否处于机密状态,加密/解密DES/RSA补充,完整性MD4/MD5/SHA补充,审计Audit补充,多任务环境补充,不能单独存在补充,
展开阅读全文