计算机网络安全体系结构.

计算机网络安全基础一系 三教张铮Email: zhangzhengxxgc.mtnTel: 635 30523Cell: 138 381 to 3721QQ: 345 345 4第二章 计算机网络安全体系结构o 安全模型 o 网络安全体系结构o 安全服务与安全机制 o 网络安全设计的基本原则 计算机网络安全的三个特性o 相对性o 动态性o 系统性相对性o 安全的概念是相对的，任何一个系统都具有潜在的危险，没有绝对的安全。n 技术层面：道高一尺，魔高一丈n 非技术层面：目标与实现的不一致性（人为因素）动态性o 在一个特定的时期内，在一定的安全策略下，系统可能是安全的。但是，随着攻击技术的进步、新漏洞的暴露，系统可能会变得不安全了。o 因此需要适应变化的环境并能做出相应的调整，才能确保计算机网络系统的安全。系统性o 计算机网络安全包括了物理层、网络层、系统层、应用层以及管理层等多个方面。o 从技术上来说，系统的安全是由多个安全组件来保证的，单独的安全组件只能提供部分的安全功能，缺少哪一个安全组件都不能构成完整的安全系统。2.1 安全模型o 正是由于计算机网络系统的安全存在上述三个特性，因此需要采用某种安全模型来进行描述和指导。o 下面讨论两种典型的安全模型：n P2DRn PDRR2.1.1 P2DR安全模型o 美国国际互联网安全系统公司（ISS）o P2DR安全模型是指：n 策略（Policy）n 防护（Protection）n 检测（Detection）n 响应（Response）P2DR安全模型P2DR安全模型：安全 = 风险分析 + 执行策略 + 系统实施 + 漏洞监测 + 实时响应P2DR安全模型o P2DR安全模型认为没有一种技术可完全消除网络中的安全漏洞o 必须在整体安全策略的控制、指导下，在综合运用防护工具的同时，利用检测工具了解和评估系统的安全状态，通过适当的反馈将系统调整到相对最安全和风险最低的状态。P2DR安全模型o 也就是说，系统的安全实际上是理想中的安全策略和实际的执行之间的一个平衡，强调在防护、监控检测、响应等环节的循环过程，通过这种循环达到保持安全水平的目的。o P2DR安全模型是整体的、动态的安全模型。o 因此，P2DR安全模型也称为可适应安全模型ANSM（Adaptive Network Security Model）。P2DR安全模型1、策略o 安全策略是P2DR安全模型的核心，所有的防护、检测、响应都是依据安全策略实施的，安全策略为安全管理提供管理方向和支持手段。o 策略体系的建立包括安全策略的制订、评估、执行等。只有对计算机网络系统进行了充分的了解，才能制订出可行的安全策略。P2DR安全模型1、策略o 安全策略具有一般性和普遍性，一个恰当的安全策略总会把关注的核心集中到最高决策层认为必须值得注意的那些方面。o 概括地说，一种安全策略实质上明确在安全领域的范围内：n 什么操作是明确允许的n 什么操作是一般默认允许的n 什么操作是明确不允许的n 什么操作是默认不允许的。P2DR安全模型1、策略o 安全策略一般不作出具体的措施规定，也不确切说明通过何种方式能才够达到预期的结果，而是向系统安全实施者指出在当前的前提下，什么因素和风险才是最重要的。o 就这个意义而言，建立安全策略是实现安全的最首要的工作，也是实现安全技术管理与规范的第一步。P2DR安全模型2、防护o 防护就是采用一切手段保护计算机网络系统的保密性、完整性、可用性、可控性和不可否认性，预先阻止攻击可以发生的条件产生，让攻击者无法顺利地入侵。o 所以说，防护是网络安全策略中最重要的环节。P2DR安全模型2、防护o 防护可以分为三大类：n 系统安全防护n 网络安全防护n 信息安全防护P2DR安全模型2、防护o 系统安全防护：即操作系统的安全防护。不同操作系统有不同的防护措施和相应的安全工具。o 网络安全防护：网络管理、以及网络传输的安全。o 信息安全防护：数据本身的保密性、完整性和可用性。例如，数据加密就是信息安全防护的重要技术。P2DR安全模型2、防护o 防护的技术及方法n 通常采用传统的静态安全技术来实现防护，如防火墙、加密、认证等。n 防护通常处于系统的边界，以提高边界抵御能力，可分为：o 物理实体的防护技术o 信息防护（防泄露、防破坏）技术。P2DR安全模型2、防护o 物理实体的防护技术主要是对有形的信息载体实施保护，使之不被窃取、复制或丢失。n 磁盘信息消除技术n 室内防盗报警技术n 密码锁、指纹锁、眼底锁等。o 信息载体的传输、使用、保管、销毁等各个环节都可应用这类技术。P2DR安全模型2、防护o 信息防护技术主要是对信息的n 处理过程n 传输过程实施保护，使之不被非法入侵、窃听、干扰、破坏、拷贝。P2DR安全模型2、防护o 对信息处理的防护主要有如下二种技术：n 计算机软、硬件的加密和保护技术o 计算机口令字验证、数据库存取控制技术、审计跟踪技术、密码技术、防病毒技术等n 计算机网络保密技术，主要指用于防止内部网秘密信息非法外传o 保密网关、安全路由器、防火墙等P2DR安全模型2、防护o 对信息传输的防护也有两种技术：n 对信息传输信道采取措施o 专网通信技术、跳频通信技术、光纤通信技术、辐射屏蔽和干扰技术等，以增加窃听的难度；n 对传递的信息使用密码技术进行加密，使窃听者即使截获信息也无法知悉其真实内容。o 常用的加密设备有电话保密机、传真保密机、IP密码机、线路密码机、电子邮件密码系统等。P2DR安全模型2、防护o 防护的安全单元n 风险评估n 访问控制及防火墙 n 防病毒软件 n 数据备份 n 数据加密 n 鉴别技术n 安全通信n 安全技术评估标准P2DR安全模型2、防护o 风险评估，即缺陷扫描。安全缺陷可以分为两种：n 允许远程攻击的缺陷n 允许本地攻击的缺陷。o 允许远程攻击的缺陷一般存在于提供网络服务的软件中。o 允许本地攻击的软件就是攻击者不能通过网络利用该缺陷攻击系统，这样的缺陷一般存在于不提供网路服务的软件中。P2DR安全模型2、防护o 对于允许远程攻击的安全缺陷，可以使用网络缺陷扫描工具去发现。o 对于只允许本地攻击的缺陷，只能使用本地缺陷扫描工具去发现它们。发现缺陷后就对该缺陷进行修补（打补丁）。P2DR安全模型2、防护o 鉴别技术。鉴别技术保护数据通信的两个方面：通信双方的身份认证和传输数据的完整性。n 数字签名是在电子文件上签名的技术，确保电子文件的完整性。n 身份认证需要每个实体（用户）登记一个数字证书。这个数字证书包含该实体的信息（如用户名、公开密钥）。n 公钥基础设施PKI就是一个管理数字证书的机构，其中包括发行、管理、回收数字证书。 P2DR安全模型2、防护o 安全通信，防止数据在传输过程中的泄漏。o 点对点的安全通信的建立过程如下：n 首先，通信双方用公开密钥加密技术互相鉴别对方的身份。n 如果鉴别的身份已通过，双方随机产生一个加密密钥，用来加密传输的数据。n 传输的数据加密使用对称加密技术。P2DR安全模型3、检测o 上面提到防护系统（静态的）可以阻止大多数入侵事件的发生，但是它不能阻止所有的入侵。o 特别是那些利用新的系统缺陷、新的攻击手段的入侵。因此安全政策的第二个安全屏障就是检测。P2DR安全模型3、检测o 检测是动态响应和加强防护的依据，是强制落实安全策略的工具n 通过不断地检测和监控网络及系统，来发现新的威胁和弱点，n 通过循环反馈来及时做出有效的响应P2DR安全模型3、检测o 检测的对象n 网络的安全风险是实时存在的，检测的对象主要针对系统自身的脆弱性及外部威胁。o 主要检查系统存在的脆弱性。在计算机系统运行过程中，检查、测试信息是否发生泄漏、系统是否遭到入侵，并找出泄漏的原因和攻击的来源。n 计算机网络入侵检测、信息传输检查、电子邮件监视、电磁泄漏辐射检测、屏蔽效果测试、磁介质消磁效果验证等。P2DR安全模型3、检测o 检测与防护的区别：n 如果防护和黑客的关系是：“防护在明，黑客在暗”，那么检测和黑客的关系是：“黑客在明，检测在暗”。n 防护主要修补系统和网络的缺陷。增加系统的安全性能，从而消除攻击和入侵的条件。n 检测并不是根据网络和系统的缺陷，而是根据入侵事件的特征去检测的。P2DR安全模型3、检测o 但是，黑客攻击系统的时候往往是利用网络和系统的缺陷进行的，所以入侵事件的特征一般与系统缺陷的特征有关。o 防护和检测技术是有相关理论背景的。在安全模型中，防护（P）和检测（D）之间有互补关系。o 如果防护部分做得很好，绝大多数攻击事件都被阻止，那么检测部分的任务就很少了。反过来，如果防护部分做得不好，检测部分的任务就很多。P2DR安全模型3、检测o 入侵检测系统（IDS）：是一个硬件系统或软件程序，基于入侵者的攻击行为与合法用户的正常行为有着明显的不同，实现对入侵行为的检测和告警，以及对入侵者的跟踪定位和行为取证。o 根据不同的特征，入侵检测系统可以分为不同的类型：n 根据检测环境不同，IDS一般可以分为基于主机的IDS（Host-based）和基于网络的IDS（Network-based）。P2DR安全模型3、检测o 基于主机的IDS检测基于主机上的系统日志，审计数据等信息。其优点在于它不但能够检测本地入侵（Local Intrusion），还可以检测远程入侵（Remote Intrusion）。而缺点则是它对操作系统依赖较大，检测的范围较小。o 基于网络的IDS检测则一般侧重于网络流量分析。其优点在于检测范围是整个网段，独立于主机的操作系统P2DR安全模型3、检测o 根据检测所使用方法，IDS还可以分为两种：1. 误用检测（Misuse Detection）。首先需要建立一个入侵规则库，其中，它对每一种入侵都形成一个规则描述，只要发生的事件符合于某个规则就被认为是入侵。n这种技术的好处在于它的误警率（False Alarm Rate）比较低，缺点是查全率（Probability of Detection）完全依赖于入侵规则库的覆盖范围n另外由于入侵规则库的建立和更新完全靠手工，且需要很深的网络安全知识和经验，所以维持一个准确完整的入侵规则库是一件十分困难的事情。P2DR安全模型3、检测2. 异常检测（Anomaly Detection）。并不对每一种入侵进行规则描述，而是对正常事件的样本建立一个正常事件模型，如果发生的事件偏离这个模型的程度超过一定的范围，就被认为是入侵。n由于事件模型是通过计算机对大量的样本进行分析统计而建立的，具有一定的通用性，因此异常检测克服了一部分误用检测技术的缺点。n但是相对来说异常检测技术的误警率较高。P2DR安全模型4、响应o 响应就是在检测到安全漏洞或一个攻击（入侵）事件之后，及时做出正确的响应，从而把系统调整到安全状态。o 从某种意义上讲，安全问题就是要解决紧急响应和异常处理。2.1.2 PDRR网络安全模型（1）o 网络安全的整个环节还可以用另一个常用的安全模型PDRR模型来描述。PDRR就是防护（Protection）、检测（Detection）、响应（Response）、恢复（Recovery）。2.1.2 PDRR网络安全模型（2）o PDRR安全模型中安全策略的前三个环节与P2DR安全模型中后三个环节的内涵基本相同o 最后一个环节“恢复”，是指在系统被入侵之后，把系统恢复到原来的状态，或者比原来更安全的状态。o 系统的恢复过程通常需要解决两个问题：n 一是对入侵所造成的影响进行评估和系统的重建n 二是采取恰当的技术措施进行改进2.1.2 PDRR网络安全模型（3）o PDRR安全模型说明了安全的实际目标：1. 尽可能地增大保护时间，2. 尽量减少检测时间和响应时间，3. 在系统遭受到破坏后，尽快恢复以减少系统暴露时间。2.2 网络安全体系结构o 计算机网络安全体系结构定义：n 网络安全最高层的抽象描述。o 在基于网络的安全系统的设计与开发过程中，需要从全局的体系结构角度考虑安全问题的整体解决方案，才能保证网络安全功能的完备性与一致性，降低安全的代价和管理的开销。o 完备的安全体系结构对于网络安全的理解、设计、实现与管理都有重要的意义。层次名 称主 要 功 能功 能 概 述应用样例7应用层做什么提供（OSI）用户服务，如文件传输、电子邮件、网络管理等Telnet、HTTP6表示层对方看起来像什么实现不同格式和编码之间的交换ASCII、JPEG5会话层对方是谁在两个应用进程之间建立和管理不同形式的通信对话。其数据流方向控制模式有三种，即单工、半双工、双工操作系统/应用访问规划4传输层对方在何处提供传送方式，进行多路利用，实现端点到端点间的数据交换，为会话层实体提供透明的、可靠的数据传输服务TCP、UDP3网络层走哪条路可以到达通过分组交换和路由选择为传输层实体提供端到端的交换网络数据，传送功能使得传输层摆脱路由选择、交换方式、拥挤控制等网络传输细节，实现数据传输IP、IPX2数据链路层每一步应该怎样走进行二进制数据块传送，并进行差错检测和数据流控制。它分为两个子层，即介质访问控制协议和逻辑链路控制协议。802.3/802.21物理层怎样利用物传输介质通过机械和电气的互联方式把实体连接起来，让数据流通过100BASET2.2.1 开放式系统互联参考模型（OSI/RM）2.2.2 Internet网络体系层次结构o 现在Internet使用的协议是TCP/IP协议2.2.2 Internet网络体系层次结构o 网络接口层：网络接口层定义了Internet与各种物理网络之间的网络接口o 网际层：网际层是网络互联层，负责相邻计算机之间的通信，提供端到端的分组传送、数据分段与组装、路由选择等功能。该层使用的协议有IP、ICMP等。2.2.2 Internet网络体系层次结构o 传输层：传输层为应用层的应用进程或应用程序提供端到端的有效、可靠的连接以及通信和事务处理，该层使用的协议有TCP与UDP。o 应用层：应用层位于TCP/IP协议的最上层，向用户提供一组应用程序和各种网络服务，比如文件传输、电子邮件等。2.2.3 网络安全体系结构框架o 一般把计算机网络安全看成一个由多个安全单元安全单元组成的集合。其中，每一个安全单元都是一个整体，包含了多个特性。o 可以从安全特性的安全问题、系统单元的安全问题以及开放系统互连（ISO/OSI）参考模型结构层次的安全问题等三个主要特性去理解一个安全单元安全单元。o安全单元安全单元集合可以用一个三维的安全空间去描述它，如图所示。下图描述了一个三维的计算机网络安全空间，反映了计算机网络安全的需求和体系结构的共性。 计算机网络安全空间计算机网络安全空间 2.2.3 网络安全体系结构框架o 安全特性指的是该安全单元能解决什么安全威胁。o 一般来说，计算机网络的安全威胁主要关心人的恶意行为可能导致的资源被破坏、信息泄漏、篡改、滥用和拒绝服务。o 针对上述问题， ISO7498-2对OSI规定了五个方面的安全服务。2.2.3 网络安全体系结构框架o 这些安全服务包括：n 认证n 数据保密性n 数据完整性n 访问控制n 防抵赖o 某些安全服务几乎可以在OSI所有层中提供。这方面的内容将在下面详述。o 系统单元的安全问题指的是该安全单元解决什么系统环境的安全问题。o 对于Internet，可以从四个不同的环境来分析其安全问题。n 物理环境的安全问题n 网络系统本身的安全问题。n 应用系统的安全问题。n 网络管理的安全问题2.2.3 网络安全体系结构框架2.2.3 网络安全体系结构框架o 物理环境的安全问题：物理指的是物理环境，如硬件设备、网络设备等。包含该特性的安全单元解决物理环境的安全问题。o 网络系统本身的安全问题：一般是指数据在网络上传输的安全威胁、数据和资源在存储时的安全威胁。2.2.3 网络安全体系结构框架o 应用系统的安全问题：应用程序是在操作系统上安装和运行。包含该特性的安全单元解决应用程序所包含的安全问题。一般是指数据在操作和资源在使用的时候的安全威胁。o 网络管理的安全问题：ISO 7498-2制定了有关安全管理的机制，包括安全域的设置和管理、安全管理信息库、安全管理信息的通信、安全管理应用程序协议及安全机制与服务管理。o 2.3.1安全服务o ISO对OSI规定了五种级别的安全服务：n 对象认证n 数据保密性n 数据完整性n 访问控制n 防抵赖 2.3安全服务与安全机制认证服务 o 认证安全服务是防止主动攻击的重要措施，这种安全服务提供对通信中的对等实体和数据来源的鉴别，它对于开放系统环境中的各种信息安全有重要的作用。o 认证就是识别和证实。识别是辨别一个对象的身份，证实是证明该对象的身份就是其声明的身份。OSI环境可提供两种认证安全服务：n对等实体认证（Peer-entity Authentication）n信源认证（Data-origin Authentication）访问控制服务 o 访问控制安全服务是针对越权使用资源和非法访问的防御措施。o 访问控制大体可分为自主访问控制和强制访问控制两类。其实现机制可以是基于访问控制属性的访问控制表（ACL），或基于“安全标签”、用户分类和资源分档的多级访问控制等。o 访问控制安全服务主要位于应用层、传输层和网络层。它可以放在通信源、通信目标或两者之间的任意位置。数据保密服务o 数据保密性安全服务是针对信息泄露、窃听等被动威胁的防御措施。这组安全服务又细分为：n 信息保密：保护通信系统中的信息或网络数据库数据。而对于通信系统中的信息，又分为面向连接保密和无连接保密。数据保密服务n 数据字段保密：保护信息中被选择的部分数据段；这些字段或处于（N）连接的（N）用户数据中，或为单个无连接的（N）SDU中的字段。n 业务流保密：防止攻击者通过观察业务流，如信源、信宿、传送时间、频率和路由等来得到敏感的信息。数据完整性安全服务o 数据完整性安全服务是针对非法地篡改和破坏信息、文件和业务流而设置的防范措施，以保证资源的可获得性。这组安全服务又细分为：n 基于连接的数据完整n 基于数据单元的数据完整性n 基于字段的数据完整性防抵赖安全服务o 防抵赖安全服务是针对对方进行抵赖的防范措施，可用来证实已发生过的操作。这组安全服务可细分为：n 数据源发证明的抗抵赖n 交付证明的抗抵赖n 通信双方互不信任，但对第三方（公证方）则绝对信任，于是依靠第三方来证实已发生的操作。2.3.2支持安全服务的基本机制o 为了实现上述5种安全服务，ISO 7408-2中制定了支持安全服务的8种安全机制，它们分别是：n加密（Encryption Mechanisms）n数字签名（Digital Signature Mechanisms）n访问控制（Access Control Mechanisms）n数据完整性（Data Integrity Mechanisms）n鉴别（Authentication Mechanisms）n通信业务填充（Traffic Padding Mechanisms）n路由控制（Routing Control Mechanisms）n公证（Notarization Mechanisms）2.3.3 支持安全服务的辅助机制o 安全服务基本机制直接地保护计算机网络安全，但真正实现这些机制必须有下面一些机制的配合，使安全服务满足用户需求。o 这些机制的实现与网络层次没有必然的联系。它们侧重安全管理方面。n 安全机制可信度评估n 安全标识n 安全审计n 安全响应与恢复2.3.4安全服务和安全机制的关系 机制服务 数据加密数字签名访问控制数据完整性交换鉴别业务流填充路由控制公证机构对等实体鉴别访问控制连接的保密性选择字段的保密性业务流安全数据的完整性数据源点鉴别禁止否认服务2.3.5 安全服务与网络层次的关系o ISO的开放系统互连参考模型在各层需要提供不同的安全机制和安全服务，为各系统单元提供不同的安全特性。如图所示。2.3.5 安全服务与网络层次的关系o 安全服务配置的原则n实现一种服务的方法尽可能统一；n安全服务系统可以跨层组建；n安全所需的附加功能尽力避免重复OSI的现有功能；n避免破坏层的独立性；n安全服务系统中可信功能的总量应尽量少；n当安全服务系统中的某实体依赖于较低层提供的安全机制时，任何中间层应该按不违反安全的方式构建；n一个层的附加安全功能尽可能定义在本层内；n一种特定的安全服务如果被认为在不同层上对总的通信安全的影响是不同的，便可以在多个层上提供。参考模型的各个层能提供的安全服务 服务层1234567#对等实体鉴别YYY数据源发鉴别YYY访问控制服务YYY连接机密性YYYYY无连接机密性YYYY选择字段机密性Y通信业务流机密性YYY带恢复的连接完整性YY不带恢复的连接完整性YYY选择字段连接完整性YY无连接完整性YYY抗抵赖，带数据源发证据抗抵赖，带交付证据2.4网络安全设计的基本原则o 一般说来，计算机网络系统的安全设计与实现分为5个基本步骤：n 分析安全需求n 确定安全方针n 选择安全功能n 选择安全措施n 完善安全管理2.4网络安全设计的基本原则o 分析安全需求：分析网络中可能存在的薄弱环节，分析这些环节可能造成的危害，分析这些危害可能产生的后果和损失。o 确定安全方针：根据上述安全需求分析结果，确定在网络中应控制哪些危害因素并且控制到什么程度，确定应保护哪些网络资源及保护的程度，确定安全控制的手段，确定为实现网络安全所能付出的代价，包括实施费用，运行费用以及经过分析允许存在的危害风险可能造成损失的代价。2.4网络安全设计的基本原则o 选择安全功能：这是为达到安全方针所具备的一系列有关的功能和规定。o 选择安全措施：这是实现安全功能的具体技术机制和方法。o 完善安全管理：这是为有效运用安全措施，体现安全功能所采用的支持性、保证性的技术措施，包括安全信息的报告等。2.4网络安全设计的基本原则o 需求、风险、代价平衡分析的原则 o 综合性、整体性、等级性原则 o 方便用户原则 o 适应性及灵活性原则 o 一致性原则 o 木桶原则 o 有效性与实用性原则 o 安全性评价原则 o 动态化原则 本章知识梳理o P2DR安全模型和PDRR网络安全模型o Internet网络体系层次结构o 网络安全体系结构框架o 5种安全服务和8种安全机制o 网络安全设计的基本原则第2章完谢谢