第3章 网络防御技术
Download
1 / 46

第3章 网络防御技术 - PowerPoint PPT Presentation


  • 196 Views
  • Uploaded on

第3章 网络防御技术. 指导教师 : 杨建国. 2013年8月10日. 第3章 网络防御技术. 3 .1 安全架构 3 .2 密码技术 3 .3 防火墙技术 3 .4 杀毒技术 3.5 入侵检测技术 3.6 身份认证技术 3.7 VPN技术 3.8 反侦查技术 3.9 蜜罐技术. 3 . 10 可信计算 3 . 11 访问控制机制 3 . 12 计算机取证 3 . 13 数据备份与恢复 3.14 服务器安全防御 3.15 内网安全管理 3.16 PKI网络安全协议 3.17 信息安全评估 3.18 网络安全方案设计. 3 .1 安全架构.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' 第3章 网络防御技术' - ann-medina


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

第3章 网络防御技术

指导教师:杨建国

2013年8月10日


第3章 网络防御技术

  • 3.1 安全架构

  • 3.2 密码技术

  • 3.3 防火墙技术

  • 3.4 杀毒技术

  • 3.5 入侵检测技术

  • 3.6 身份认证技术

  • 3.7 VPN技术

  • 3.8 反侦查技术

  • 3.9 蜜罐技术

  • 3.10可信计算

  • 3.11访问控制机制

  • 3.12计算机取证

  • 3.13数据备份与恢复

  • 3.14 服务器安全防御

  • 3.15 内网安全管理

  • 3.16 PKI网络安全协议

  • 3.17 信息安全评估

  • 3.18 网络安全方案设计


3.1 安全架构

安全体系结构与模型

张伟

南京邮电大学

计算机学院信息安全系

Email:[email protected]


安全体系结构:定义了最一般的关于安全体系结构的概念,如安全服务、安全机制

安全框架:定义了提供安全服务的最一般的方法,如数据源、操作方法以及它们之间的数据流向等

安全模型:指在特定的环境里,为保证提供一定级别的安全保护所奉行的基本思想

安全技术:一些基本模块,它们构成了安全服务的基础,同时可以相互任意组合,以提供更强大的安全服务

四个概念


1 5 1 6
1.5 安全体系1.6 安全模型


Ios osi

ISO:International Organization for Standardization

OSI: Open System Interconnect/RM

安全服务

安全机制

安全管理

其它,如安全威胁

IOS/OSI安全体系结构


Iso 7498 2
ISO-7498-2安全架构


1982 ISO JTC1/JCT21

1988 ISO 7498-2

1990 ITU-T X.800

《信息处理系统开发系统互联基本参考模型-第二部分:安全体系结构》GB/T9387.2-1985

《Internet安全体系结构》RFC2401



X.800定义:为了保证系统或者数据传输有足够的安全性,开发系统通信协议所提供的服务。

RFC 2828:安全服务是一种由系统提供的对资源进行特殊保护的进程或通信服务。

安全服务通过安全机制来实现安全策略。

安全服务


对象认证安全服务

访问控制安全服务

数据保密安全服务

数据完整性安全服务

防抵赖性安全服务

匿名性安全服务(可选)

安全服务(五类十四个服务)


用于识别对象的身份和对身份的证实。OSI环境可提供对等实体认证和信源认证等安全服务。

对等实体认证是用来验证在某一关联的实体中,对等实体的声称是一致的,它可以确认对等实体没有假冒;

信源认证是用于无连接时验证所收到的数据来源与所声称的来源是一致的,但不提供防止数据中途被修改的功能。

1 对象认证安全服务


对象认证安全服务实例

服务器

A

Internet

讨论:假如A和A‘用户名是一样的,且都是合法用户,服务器是否能分别认怔A和A’?

A‘


提供对越权使用资源的防御措施。访问控制策略可分为自主访问控制、强制访问控制、基于角色的访问控制。实现机制可以是基于访问控制属性的访问控制表,基于安全标签或用户和资源分档的多级访问控制等

2 访问控制安全服务


Windows nt
Windows NT 文件访问控制


针对信息泄漏而采取的防御措施,可分为

连接保密性

无连接保密性

选择域保密性

流量保密性

3 数据保密性安全服务


防止非法纂改信息,如修改、复制、插入和删除等。它有防止非法纂改信息,如修改、复制、插入和删除等。它有五种形式:

可恢复功能连接完整性、无恢复连接完整性、选择字段连接完整性、无连接完整性和选择字段无连接完整性

4 数据完整性安全服务


是针对对方抵赖的防范措施,用来证实发生过的操作,它可分为对发送防抵赖、对递交防抵赖和进行公证。是针对对方抵赖的防范措施,用来证实发生过的操作,它可分为对发送防抵赖、对递交防抵赖和进行公证。

源点的不可否认性

信宿的不可否认性

5 防抵赖性安全服务


缺少防止是针对对方抵赖的防范措施,用来证实发生过的操作,它可分为对发送防抵赖、对递交防抵赖和进行公证。DoS攻击的定义

对入侵检测,几乎没有涉及

大多数安全服务是对同级实体的,缺少多级或分层实体的内涵

本质上是一个被动安全服务定义

其它,如授权

ISO 安全服务的不足


安 全 机 制是针对对方抵赖的防范措施,用来证实发生过的操作,它可分为对发送防抵赖、对递交防抵赖和进行公证。


特殊安全机制:在特定协议层实现,是针对对方抵赖的防范措施,用来证实发生过的操作,它可分为对发送防抵赖、对递交防抵赖和进行公证。8种

普遍安全机制:不属于任何协议层或安全服务,5种

两类安全机制


使用各种加密算法对存放的数据和流通的信息进行加密使用各种加密算法对存放的数据和流通的信息进行加密

RSA

DES

RC2/RC4/RC5

VPN

1 加密机制


采用非对称密钥体制,使用私钥进行数字签名,使用公钥对签名信息进行验证采用非对称密钥体制,使用私钥进行数字签名,使用公钥对签名信息进行验证

RSA

MD4/MD5

SHA/SHA-1

数字签名模型

2 数字签名


根据访问者的身份和其它信息,来决定实体的访问权限根据访问者的身份和其它信息,来决定实体的访问权限

ATM卡

安全令牌Token

Windows NT 实例

3 访问(存取)控制机制


判断信息在传输过程中是否被篡改、增加、删除过,确保信息的完整判断信息在传输过程中是否被篡改、增加、删除过,确保信息的完整

MD4/MD5

SHA/SHA-1

4 数据完整性机制


用来实现同级之间的身份认证判断信息在传输过程中是否被篡改、增加、删除过,确保信息的完整

ATM卡

口令

讨论:怎样防止中继重放攻击?

5 认证交换机制


通过填充冗余的业务流量,防止攻击者对流量进行分析,填充过的流量需通过加密进行保护通过填充冗余的业务流量,防止攻击者对流量进行分析,填充过的流量需通过加密进行保护

讨论:为什么?

6 防业务流量分析机制


防止不利、不良信息通过路由,进入子网或利用子网作为中继攻击平台防止不利、不良信息通过路由,进入子网或利用子网作为中继攻击平台

选择特殊的物理安全线路,允许路由变化

网络层防火墙

7 路由控制机制


有公证人(第三方)参与数字签名,它基于通信双方对第三方的绝对信任有公证人(第三方)参与数字签名,它基于通信双方对第三方的绝对信任

CA(Certificate Authority)

Hotmail/yahoo 邮件服务登陆认证

8 公证机制


可信功能度有公证人(第三方)参与数字签名,它基于通信双方对第三方的绝对信任

安全标志

事件检测

安全审计跟踪

安全恢复

另外5种普遍安全机制


安 全 管 理有公证人(第三方)参与数字签名,它基于通信双方对第三方的绝对信任


为了更有效地运用安全服务,需要有其它措施来支持它们的操作,这些措施即为安全管理。安全管理是对安全服务和安全机制进行管理,把管理信息分配到有关的安全服务和安全机制中去,并收集与它们的操作有关的信息为了更有效地运用安全服务,需要有其它措施来支持它们的操作,这些措施即为安全管理。安全管理是对安全服务和安全机制进行管理,把管理信息分配到有关的安全服务和安全机制中去,并收集与它们的操作有关的信息

安全管理


OSI为了更有效地运用安全服务,需要有其它措施来支持它们的操作,这些措施即为安全管理。安全管理是对安全服务和安全机制进行管理,把管理信息分配到有关的安全服务和安全机制中去,并收集与它们的操作有关的信息安全服务和安全机制的关系


OSI为了更有效地运用安全服务,需要有其它措施来支持它们的操作,这些措施即为安全管理。安全管理是对安全服务和安全机制进行管理,把管理信息分配到有关的安全服务和安全机制中去,并收集与它们的操作有关的信息安全体系最重要的贡献是总结了各种安全服务在OSI参考模型的七层中的适当配置。

主要集中在3/4层和6/7层

在OSI层中的服务配置


单纯的防护技术不能解决网络安全问题为了更有效地运用安全服务,需要有其它措施来支持它们的操作,这些措施即为安全管理。安全管理是对安全服务和安全机制进行管理,把管理信息分配到有关的安全服务和安全机制中去,并收集与它们的操作有关的信息

不了解安全威胁和安全现状

静态、被动的防御,而安全威胁、安全漏洞都具有动态的特性

安全的概念局限于信息的保护

不能正确评价网络安全的风险,导致安全系统过高或过低的建设

1.6 动态的自适应网络安全模型


对于网络系统的攻击日趋频繁,安全的概念已经不仅仅局限于静态的、被动的信息防护,人们需要的是对整个信息和网络系统的保护和防御,以确保它们的安全性,包括对系统的保护、检测和反应能力等。安全模型已经从以前的被动转到了现在的主动防御,强调整个生命周期的防御和恢复对于网络系统的攻击日趋频繁,安全的概念已经不仅仅局限于静态的、被动的信息防护,人们需要的是对整个信息和网络系统的保护和防御,以确保它们的安全性,包括对系统的保护、检测和反应能力等。安全模型已经从以前的被动转到了现在的主动防御,强调整个生命周期的防御和恢复

PDR模型的背景


Protection对于网络系统的攻击日趋频繁,安全的概念已经不仅仅局限于静态的、被动的信息防护,人们需要的是对整个信息和网络系统的保护和防御,以确保它们的安全性,包括对系统的保护、检测和反应能力等。安全模型已经从以前的被动转到了现在的主动防御,强调整个生命周期的防御和恢复

Detection

Reaction/Response

PDR模型


Policy对于网络系统的攻击日趋频繁,安全的概念已经不仅仅局限于静态的、被动的信息防护,人们需要的是对整个信息和网络系统的保护和防御,以确保它们的安全性,包括对系统的保护、检测和反应能力等。安全模型已经从以前的被动转到了现在的主动防御,强调整个生命周期的防御和恢复

Protection

Detection

Response

P2DR模型


Iss p2dr
ISS对于网络系统的攻击日趋频繁,安全的概念已经不仅仅局限于静态的、被动的信息防护,人们需要的是对整个信息和网络系统的保护和防御,以确保它们的安全性,包括对系统的保护、检测和反应能力等。安全模型已经从以前的被动转到了现在的主动防御,强调整个生命周期的防御和恢复公司的P2DR模型

Protection

Policy

Response

Detection


Policy

根据安全风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等。安全策略是根据安全风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等。安全策略是P2DR安全模型的核心,所有的防护、检测、响应都是依据安全策略实施的,企业安全策略为安全管理提供管理方向和支持手段

安全策略--Policy


Protection

通过修复系统漏洞、正确设计开发和安装系统来预防安全事件的发生;通过定期检测来发现可能存在的系统脆弱性;通过教育等手段,是用户和操作员正确使用系统,防止意外威胁;通过访问控制、监视等手段来防止恶意威胁通过修复系统漏洞、正确设计开发和安装系统来预防安全事件的发生;通过定期检测来发现可能存在的系统脆弱性;通过教育等手段,是用户和操作员正确使用系统,防止意外威胁;通过访问控制、监视等手段来防止恶意威胁

防护--Protection


Detection

通过修复系统漏洞、正确设计开发和安装系统来预防安全事件的发生;通过定期检测来发现可能存在的系统脆弱性;通过教育等手段,是用户和操作员正确使用系统,防止意外威胁;通过访问控制、监视等手段来防止恶意威胁P2DR模型中,检测是一个非常重要的环节,检测是动态响应和加强防护的依据,它也是强制落实安全策略的有力工具,通过不断地检测和监控网络和系统,来发现新的威胁和弱点,通过循环反馈来及时作出有效的响应

检测--Detection


Response

紧急响应在安全系统中占有重要的地位,是解决安全潜在问题最有效的办法。从某种意义上来说,安全问题就是要解决紧急响应和异常处理问题。紧急响应在安全系统中占有重要的地位,是解决安全潜在问题最有效的办法。从某种意义上来说,安全问题就是要解决紧急响应和异常处理问题。

响应--Response


攻击时间紧急响应在安全系统中占有重要的地位,是解决安全潜在问题最有效的办法。从某种意义上来说,安全问题就是要解决紧急响应和异常处理问题。Pt:从入侵开始到侵入系统的时间

检测时间Dt:检测新的安全脆弱性或网络安全攻击的时间。

响应时间Rt:包括检测到系统漏洞或监控到非法攻击到系统启动处理措施的时间

系统暴露时间Et:系统处于不安全状态的时间,可定义为Et = Dt + Rt - Pt

响应的时间


Ppdrr

Policy紧急响应在安全系统中占有重要的地位,是解决安全潜在问题最有效的办法。从某种意义上来说,安全问题就是要解决紧急响应和异常处理问题。

Protection

Detection

Response

Recovery

PPDRR模型


OSI紧急响应在安全系统中占有重要的地位,是解决安全潜在问题最有效的办法。从某种意义上来说,安全问题就是要解决紧急响应和异常处理问题。安全体系包括哪些安全机制和安全服务?它们之间有何对应关系?

动态的自适应网络安全模型的思想是什么?请介绍一下P2DR模型。

讨论 & 作业


ad