1 / 46

第3章 网络防御技术

第3章 网络防御技术. 指导教师 : 杨建国. 2013年8月10日. 第3章 网络防御技术. 3 .1 安全架构 3 .2 密码技术 3 .3 防火墙技术 3 .4 杀毒技术 3.5 入侵检测技术 3.6 身份认证技术 3.7 VPN技术 3.8 反侦查技术 3.9 蜜罐技术. 3 . 10 可信计算 3 . 11 访问控制机制 3 . 12 计算机取证 3 . 13 数据备份与恢复 3.14 服务器安全防御 3.15 内网安全管理 3.16 PKI网络安全协议 3.17 信息安全评估 3.18 网络安全方案设计. 3 .1 安全架构.

ann-medina
Download Presentation

第3章 网络防御技术

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第3章 网络防御技术 指导教师:杨建国 2013年8月10日

  2. 第3章 网络防御技术 • 3.1 安全架构 • 3.2 密码技术 • 3.3 防火墙技术 • 3.4 杀毒技术 • 3.5 入侵检测技术 • 3.6 身份认证技术 • 3.7 VPN技术 • 3.8 反侦查技术 • 3.9 蜜罐技术 • 3.10可信计算 • 3.11访问控制机制 • 3.12计算机取证 • 3.13数据备份与恢复 • 3.14 服务器安全防御 • 3.15 内网安全管理 • 3.16 PKI网络安全协议 • 3.17 信息安全评估 • 3.18 网络安全方案设计

  3. 3.1 安全架构 安全体系结构与模型 张伟 南京邮电大学 计算机学院信息安全系 Email:1999zhangwei@163.com

  4. 安全体系结构:定义了最一般的关于安全体系结构的概念,如安全服务、安全机制安全体系结构:定义了最一般的关于安全体系结构的概念,如安全服务、安全机制 安全框架:定义了提供安全服务的最一般的方法,如数据源、操作方法以及它们之间的数据流向等 安全模型:指在特定的环境里,为保证提供一定级别的安全保护所奉行的基本思想 安全技术:一些基本模块,它们构成了安全服务的基础,同时可以相互任意组合,以提供更强大的安全服务 四个概念

  5. 1.5 安全体系1.6 安全模型

  6. ISO:International Organization for Standardization OSI: Open System Interconnect/RM 安全服务 安全机制 安全管理 其它,如安全威胁 IOS/OSI安全体系结构

  7. ISO-7498-2安全架构

  8. 1982 ISO JTC1/JCT21 1988 ISO 7498-2 1990 ITU-T X.800 《信息处理系统开发系统互联基本参考模型-第二部分:安全体系结构》GB/T9387.2-1985 《Internet安全体系结构》RFC2401

  9. 安 全 服 务(x.800)

  10. X.800定义:为了保证系统或者数据传输有足够的安全性,开发系统通信协议所提供的服务。X.800定义:为了保证系统或者数据传输有足够的安全性,开发系统通信协议所提供的服务。 RFC 2828:安全服务是一种由系统提供的对资源进行特殊保护的进程或通信服务。 安全服务通过安全机制来实现安全策略。 安全服务

  11. 对象认证安全服务 访问控制安全服务 数据保密安全服务 数据完整性安全服务 防抵赖性安全服务 匿名性安全服务(可选) 安全服务(五类十四个服务)

  12. 用于识别对象的身份和对身份的证实。OSI环境可提供对等实体认证和信源认证等安全服务。用于识别对象的身份和对身份的证实。OSI环境可提供对等实体认证和信源认证等安全服务。 对等实体认证是用来验证在某一关联的实体中,对等实体的声称是一致的,它可以确认对等实体没有假冒; 信源认证是用于无连接时验证所收到的数据来源与所声称的来源是一致的,但不提供防止数据中途被修改的功能。 1 对象认证安全服务

  13. 对象认证安全服务实例 服务器 A Internet 讨论:假如A和A‘用户名是一样的,且都是合法用户,服务器是否能分别认怔A和A’? A‘

  14. 提供对越权使用资源的防御措施。访问控制策略可分为自主访问控制、强制访问控制、基于角色的访问控制。实现机制可以是基于访问控制属性的访问控制表,基于安全标签或用户和资源分档的多级访问控制等提供对越权使用资源的防御措施。访问控制策略可分为自主访问控制、强制访问控制、基于角色的访问控制。实现机制可以是基于访问控制属性的访问控制表,基于安全标签或用户和资源分档的多级访问控制等 2 访问控制安全服务

  15. Windows NT 文件访问控制

  16. 针对信息泄漏而采取的防御措施,可分为 连接保密性 无连接保密性 选择域保密性 流量保密性 3 数据保密性安全服务

  17. 防止非法纂改信息,如修改、复制、插入和删除等。它有五种形式:防止非法纂改信息,如修改、复制、插入和删除等。它有五种形式: 可恢复功能连接完整性、无恢复连接完整性、选择字段连接完整性、无连接完整性和选择字段无连接完整性 4 数据完整性安全服务

  18. 是针对对方抵赖的防范措施,用来证实发生过的操作,它可分为对发送防抵赖、对递交防抵赖和进行公证。是针对对方抵赖的防范措施,用来证实发生过的操作,它可分为对发送防抵赖、对递交防抵赖和进行公证。 源点的不可否认性 信宿的不可否认性 5 防抵赖性安全服务

  19. 缺少防止DoS攻击的定义 对入侵检测,几乎没有涉及 大多数安全服务是对同级实体的,缺少多级或分层实体的内涵 本质上是一个被动安全服务定义 其它,如授权 ISO 安全服务的不足

  20. 安 全 机 制

  21. 特殊安全机制:在特定协议层实现,8种 普遍安全机制:不属于任何协议层或安全服务,5种 两类安全机制

  22. 使用各种加密算法对存放的数据和流通的信息进行加密使用各种加密算法对存放的数据和流通的信息进行加密 RSA DES RC2/RC4/RC5 VPN 1 加密机制

  23. 采用非对称密钥体制,使用私钥进行数字签名,使用公钥对签名信息进行验证采用非对称密钥体制,使用私钥进行数字签名,使用公钥对签名信息进行验证 RSA MD4/MD5 SHA/SHA-1 数字签名模型 2 数字签名

  24. 根据访问者的身份和其它信息,来决定实体的访问权限根据访问者的身份和其它信息,来决定实体的访问权限 ATM卡 安全令牌Token Windows NT 实例 3 访问(存取)控制机制

  25. 判断信息在传输过程中是否被篡改、增加、删除过,确保信息的完整判断信息在传输过程中是否被篡改、增加、删除过,确保信息的完整 MD4/MD5 SHA/SHA-1 4 数据完整性机制

  26. 用来实现同级之间的身份认证 ATM卡 口令 讨论:怎样防止中继重放攻击? 5 认证交换机制

  27. 通过填充冗余的业务流量,防止攻击者对流量进行分析,填充过的流量需通过加密进行保护通过填充冗余的业务流量,防止攻击者对流量进行分析,填充过的流量需通过加密进行保护 讨论:为什么? 6 防业务流量分析机制

  28. 防止不利、不良信息通过路由,进入子网或利用子网作为中继攻击平台防止不利、不良信息通过路由,进入子网或利用子网作为中继攻击平台 选择特殊的物理安全线路,允许路由变化 网络层防火墙 7 路由控制机制

  29. 有公证人(第三方)参与数字签名,它基于通信双方对第三方的绝对信任有公证人(第三方)参与数字签名,它基于通信双方对第三方的绝对信任 CA(Certificate Authority) Hotmail/yahoo 邮件服务登陆认证 8 公证机制

  30. 可信功能度 安全标志 事件检测 安全审计跟踪 安全恢复 另外5种普遍安全机制

  31. 安 全 管 理

  32. 为了更有效地运用安全服务,需要有其它措施来支持它们的操作,这些措施即为安全管理。安全管理是对安全服务和安全机制进行管理,把管理信息分配到有关的安全服务和安全机制中去,并收集与它们的操作有关的信息为了更有效地运用安全服务,需要有其它措施来支持它们的操作,这些措施即为安全管理。安全管理是对安全服务和安全机制进行管理,把管理信息分配到有关的安全服务和安全机制中去,并收集与它们的操作有关的信息 安全管理

  33. OSI安全服务和安全机制的关系

  34. OSI安全体系最重要的贡献是总结了各种安全服务在OSI参考模型的七层中的适当配置。OSI安全体系最重要的贡献是总结了各种安全服务在OSI参考模型的七层中的适当配置。 主要集中在3/4层和6/7层 在OSI层中的服务配置

  35. 单纯的防护技术不能解决网络安全问题 不了解安全威胁和安全现状 静态、被动的防御,而安全威胁、安全漏洞都具有动态的特性 安全的概念局限于信息的保护 不能正确评价网络安全的风险,导致安全系统过高或过低的建设 1.6 动态的自适应网络安全模型

  36. 对于网络系统的攻击日趋频繁,安全的概念已经不仅仅局限于静态的、被动的信息防护,人们需要的是对整个信息和网络系统的保护和防御,以确保它们的安全性,包括对系统的保护、检测和反应能力等。安全模型已经从以前的被动转到了现在的主动防御,强调整个生命周期的防御和恢复对于网络系统的攻击日趋频繁,安全的概念已经不仅仅局限于静态的、被动的信息防护,人们需要的是对整个信息和网络系统的保护和防御,以确保它们的安全性,包括对系统的保护、检测和反应能力等。安全模型已经从以前的被动转到了现在的主动防御,强调整个生命周期的防御和恢复 PDR模型的背景

  37. Protection Detection Reaction/Response PDR模型

  38. Policy Protection Detection Response P2DR模型

  39. ISS公司的P2DR模型 Protection Policy Response Detection

  40. 根据安全风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等。安全策略是P2DR安全模型的核心,所有的防护、检测、响应都是依据安全策略实施的,企业安全策略为安全管理提供管理方向和支持手段根据安全风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等。安全策略是P2DR安全模型的核心,所有的防护、检测、响应都是依据安全策略实施的,企业安全策略为安全管理提供管理方向和支持手段 安全策略--Policy

  41. 通过修复系统漏洞、正确设计开发和安装系统来预防安全事件的发生;通过定期检测来发现可能存在的系统脆弱性;通过教育等手段,是用户和操作员正确使用系统,防止意外威胁;通过访问控制、监视等手段来防止恶意威胁通过修复系统漏洞、正确设计开发和安装系统来预防安全事件的发生;通过定期检测来发现可能存在的系统脆弱性;通过教育等手段,是用户和操作员正确使用系统,防止意外威胁;通过访问控制、监视等手段来防止恶意威胁 防护--Protection

  42. 在P2DR模型中,检测是一个非常重要的环节,检测是动态响应和加强防护的依据,它也是强制落实安全策略的有力工具,通过不断地检测和监控网络和系统,来发现新的威胁和弱点,通过循环反馈来及时作出有效的响应在P2DR模型中,检测是一个非常重要的环节,检测是动态响应和加强防护的依据,它也是强制落实安全策略的有力工具,通过不断地检测和监控网络和系统,来发现新的威胁和弱点,通过循环反馈来及时作出有效的响应 检测--Detection

  43. 紧急响应在安全系统中占有重要的地位,是解决安全潜在问题最有效的办法。从某种意义上来说,安全问题就是要解决紧急响应和异常处理问题。紧急响应在安全系统中占有重要的地位,是解决安全潜在问题最有效的办法。从某种意义上来说,安全问题就是要解决紧急响应和异常处理问题。 响应--Response

  44. 攻击时间Pt:从入侵开始到侵入系统的时间 检测时间Dt:检测新的安全脆弱性或网络安全攻击的时间。 响应时间Rt:包括检测到系统漏洞或监控到非法攻击到系统启动处理措施的时间 系统暴露时间Et:系统处于不安全状态的时间,可定义为Et = Dt + Rt - Pt 响应的时间

  45. Policy Protection Detection Response Recovery PPDRR模型

  46. OSI安全体系包括哪些安全机制和安全服务?它们之间有何对应关系?OSI安全体系包括哪些安全机制和安全服务?它们之间有何对应关系? 动态的自适应网络安全模型的思想是什么?请介绍一下P2DR模型。 讨论 & 作业

More Related