网络安全技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安全服务
可信计算机评估标准(TCSEC) 我国的计算机安全等级划分与相关标准
安全标准-TCSEC安全等级
安全标准-我国安全标准
等级 第一级 第二级 第三级 第四级 第五级 名称 用户自主保护 系统审计保护 安全标记保护 结构化保护 访问验证保护
安全目标
保障网络安全的基本目标就是要能够具备 安全保护能力、隐患发现能力、应急反应 能力和信息对抗能力。
安全体系-安全机制
安全服务依赖于安全机制的支持。ISO安全体系 结构提出了8种基本的安全机制,将一个或多个 安全机制配置在适当层次上以实现安全服务。
加密机制 数字签名机制 访问控制机制 数据完整性机制 认证(鉴别)机制 通信业务填充机制 路由选择控制机制 公证机制
安全标准
OSI安全体系的安全标准技术
数据加密
数据机密性保护
数据完整性性保护 数据源发性保护
数据机密性保护
数据完整性保护
数据源发性保护
病毒防护
病毒扫描过程
入侵监测系统
安全评估(漏洞扫描)
备份与恢复
关键设备的备份
数据备份 Web服务企业面保护
灾难恢复
关键设备的恢复
数据的备份
Web站点保护
安全管理与安全服务
为什么研究网络安全
99年4月,河南商都热线一个BBS,一张说交通 银行郑州支行行长协巨款外逃的帖子,造成了社 会的动荡,三天十万人上街排队,一天提了十多 亿。 2001年2月8日正是春节,新浪网遭受攻击,电 子邮件服务器瘫痪了18个小时,造成了几百万的 用户无法正常的联络。 1996年4月16日,美国金融时报报道,接入 Internet的计算机,达到了平均每20秒钟被黑客 成功地入侵一次的新记录。
目前政府上网已经大规模的发展起来,电 子政务工程已经在全国启动。政府网络的 安全直接代表了国家的形象。1999年到 2001年,一些政府网站,遭受了四次大的 黑客攻击事件。
为什么研究网络安全
第一次在99年1月份左右,美国黑客组织“美国 地下军团”联合了波兰的、英国的黑客组织以及 世界上的黑客组织,有组织地对我们国家的政府 网站进行了攻击。 我国计算机犯罪的增长速度超过了传统的犯罪, 1997年20多起,1998年142起,1999年908起, 2000年上半年1420起,再后来就没有办法统计 了。利用计算机实施金融犯罪已经渗透到了我国 金融行业的各项业务。近几年已经破获和掌握 100多起,涉及的金额几个亿。 2000年2月份黑客攻击的浪潮,是互连网问世以 来最为严重的黑客事件。99年4月26日,台湾人 编制的CIH病毒的大爆发,有统计说我国大陆受 其影响的PC机总量达36万台之多。有人估计在这 次事件中,经济损失高达近12亿元。
数据保密性 这个服务保护数据不被未授权的暴露。数据保密性防止被动威胁, 包括一些用户想用packet sniffer来读取网线上的数据。 数据完整性 这个服务通过检查或维护信息的一致性来防止主动的威胁。 抗抵赖性服 不可否定性是防止参与交易的全部或部分的抵赖。比如说在网络 务(不可否 上,一个人发送了一封Email信息或一些数据,如ping包或SYN包, 然后说“我并没有发送”。不可否定性可以防止这种来自源端的 定性) 欺骗。
国内网络安全现状
国家计算机网络应急技术处理协调中心 CNCERT/CC
2004年网络安全事件报告与往年数量比较
64686
1.2 安全的概念
一种能够识别和消除不安全因素的能力。 安全是一个持续的过程。
网络安全(Network Security)是一门涉 及计算机科学、网络技术、通信技术、密 码技术、信息安全技术、应用数学、数论、 信息论等多种学科的综合性科学。
定义了5大类安全服务,提供这些服务的8大类安 全机制以及相应的开放系统互联的安全管理。
安全体系
安全体系
安全体系-安全服务
服务
鉴别服务 (认证)
访问控制
目的
提供身份验证的过程,用于在于保证信息的可靠性。
确定一个用户或服务可能用到什么样的系统资源,查看还是改变。 一旦一个用户认证通过,操作系统上的访问控制服务确定此用户 将能做些什么。
机密性 完整性 可用性 可控性 可审查性
安全模型
通信双方想要传递某个信息,需建立一个逻辑上 的信息通道。通信主体可以采取适当的安全机制, 包括以下两个部分 :
对被传送的信息进行与安全相关的转换,包 括对消息的加密和认证。
两个通信主体共享不希望对手知道的秘密信 息,如密钥等。
网络安全模型
安全威胁-企业网络现状分析
企业网络拓扑结构 企业网络中的应用 企业网络的结构特点
网络系统现状分析-企业网络拓扑结构
网络应用
企业网络面临的安全风险
企业网络的安全风险
风险举例之一:设备防盗、防毁
风险举例之二:线路老化
风险举例之三:停电
风险举例之四:抗电磁辐射
风险举例之五:安全拓扑
网络安全是指网络系统的硬件、软件及其系统中 的数据受到保护,不受偶然的或者恶意的原因而 遭到破坏、更改、泄露,系统连续可靠正常地运 行,网络服务不中断。
网络安全的内容和要素
从内容看,网络安全大致包括4个方面:
网络实体安全 软件安全 数据安全 安全管理
从特征上看,网络安全包括5个基本要素:
网络安全技术
学习目标
了解常见的网络攻击方法 掌握网络的安全状况以及防护方法 熟知网络安全管理的基本技能
了解网络安全的高端技术
考取《国家信息安全认证管理师》
第一章 网络安全基础
网络安全的概念 常见的安全威胁与攻击 安全的标准 网络安全的现状和发展趋势
1.1 为什么研究网络安全
目前研究网络安全已经不只为了信息和数 据的安全性。 网络安全已经渗透到国家的经济、军事等 领域。
具体需求举例之四:企业网站保护
具体需求举例之五:信息传输加密
具体需求举例之六:企业整体病毒防护
具体需求举例之七:不同服务器的访问控制
安全方案设计原则
需求、风险、代价平衡分析原则 综合性、总体性原则 一致性原则 易操作性原则
适应性及灵活性原则
多重保护原则 分布实施原则
风险举例之六:安全路由
风险举例之七:信息存储风险
风险举例之八:信息传输的风险
风险举例之九:信息访问安全
Βιβλιοθήκη Baidu
威胁和攻击的来源
内部操作不当 内部管理漏洞 来自外部的威胁和犯罪
企业的安全需求
具体需求举例之一:子网之间的访问控制
具体需求举例之二:地址转换与IP复用
具体需求举例之三:对员工的信息审计
安全机制与技术
安全机制 访问控制机制 加密机制 认证交换机制 数字签名机制 数据流分析机制 路由控制机制 业务流量填充机制 安全技术 防火墙技术 加密技术 鉴别技术 数字签名技术 入侵检测技术 审计监控技术 病毒防治技术 备份与恢复技术
安全管理
制定相应的管理制度 制定相应的策略
安全服务
网络安全咨询 网络安全专业培训 网络安全检测 网络安全管理 应急相应服务
国际网络安全现状
计算机网络应急技术处理协调中心CERT/CC 1988-2005年统计报告 年度 1995 1996 1997 1998 1999 漏洞数 171 345 311 262 417
2000 2001 2002 2003 2004 2005(1、2季度) 1090 2437 4125 3784 3780 2874
安全机制与技术
身份鉴别 访问控制 数据加密 病毒防护 入侵检测 安全评估 备份与恢复
身份鉴别
基于口令、用户名的身份认证 基于主体特征的身份认证:如指纹 基于IC卡和PIN号码的认证
基于CA证书的身份认证
其他的认证方式
基于口令、用户名的身份认证
内网与外网的访问控制
策略 防护
防火墙 加密机 杀毒软件
检测
隐患扫描 入侵检测
响应
安全模型之MPDRR
安全模型之MPDRR的解释
安全体系
ISO(国际标准化组织)1989年制定的ISO/IEC 7489-2,给出了ISO/OSI参考模型的安全体系结 构。
在OSI参考模型中增设了安全服务、安全机制和 安全管理,并给出了OSI网络层次、安全服务和 安全机制之间的逻辑关系。
安全体系-安全机制
安全机制是一种技术,一些软件或实施一个或更 多安全服务的过程。ISO把机制分成特殊的和普 遍的。 一个特殊的安全机制是在同一时间只对一种安全 服务上实施一种技术或软件。加密就是特殊安全 机制的一个例子。尽管可以通过使用加密来保证 数据的保密性,数据的完整性和不可否定性,但 实施在每种服务时你需要不同的加密技术。 一般的安全机制都列出了在同时实施一个或多个 安全服务的执行过程。特殊安全机制和一般安全 机制不同的另一个要素是一般安全机制不能应用 到OSI参考模型的任一层。
安全保护能力 隐患发现能力 应急反应能力
信息对抗能力
1.3 常见的安全威胁与攻击
网络系统自身的脆弱性 安全威胁 威胁和攻击的来源
网络安全的现状和发展趋势
设计、规划企业的整体安全方案
信息化进程
网络系统自身的脆弱性
硬件系统 软件系统 网络和通信协议
缺乏用户身份鉴别机制 缺乏路由协议鉴别机制 缺乏保密性 TCP/UDP的缺陷 TCP/IP服务的脆弱性
可信计算机评估标准(TCSEC) 我国的计算机安全等级划分与相关标准
安全标准-TCSEC安全等级
安全标准-我国安全标准
等级 第一级 第二级 第三级 第四级 第五级 名称 用户自主保护 系统审计保护 安全标记保护 结构化保护 访问验证保护
安全目标
保障网络安全的基本目标就是要能够具备 安全保护能力、隐患发现能力、应急反应 能力和信息对抗能力。
安全体系-安全机制
安全服务依赖于安全机制的支持。ISO安全体系 结构提出了8种基本的安全机制,将一个或多个 安全机制配置在适当层次上以实现安全服务。
加密机制 数字签名机制 访问控制机制 数据完整性机制 认证(鉴别)机制 通信业务填充机制 路由选择控制机制 公证机制
安全标准
OSI安全体系的安全标准技术
数据加密
数据机密性保护
数据完整性性保护 数据源发性保护
数据机密性保护
数据完整性保护
数据源发性保护
病毒防护
病毒扫描过程
入侵监测系统
安全评估(漏洞扫描)
备份与恢复
关键设备的备份
数据备份 Web服务企业面保护
灾难恢复
关键设备的恢复
数据的备份
Web站点保护
安全管理与安全服务
为什么研究网络安全
99年4月,河南商都热线一个BBS,一张说交通 银行郑州支行行长协巨款外逃的帖子,造成了社 会的动荡,三天十万人上街排队,一天提了十多 亿。 2001年2月8日正是春节,新浪网遭受攻击,电 子邮件服务器瘫痪了18个小时,造成了几百万的 用户无法正常的联络。 1996年4月16日,美国金融时报报道,接入 Internet的计算机,达到了平均每20秒钟被黑客 成功地入侵一次的新记录。
目前政府上网已经大规模的发展起来,电 子政务工程已经在全国启动。政府网络的 安全直接代表了国家的形象。1999年到 2001年,一些政府网站,遭受了四次大的 黑客攻击事件。
为什么研究网络安全
第一次在99年1月份左右,美国黑客组织“美国 地下军团”联合了波兰的、英国的黑客组织以及 世界上的黑客组织,有组织地对我们国家的政府 网站进行了攻击。 我国计算机犯罪的增长速度超过了传统的犯罪, 1997年20多起,1998年142起,1999年908起, 2000年上半年1420起,再后来就没有办法统计 了。利用计算机实施金融犯罪已经渗透到了我国 金融行业的各项业务。近几年已经破获和掌握 100多起,涉及的金额几个亿。 2000年2月份黑客攻击的浪潮,是互连网问世以 来最为严重的黑客事件。99年4月26日,台湾人 编制的CIH病毒的大爆发,有统计说我国大陆受 其影响的PC机总量达36万台之多。有人估计在这 次事件中,经济损失高达近12亿元。
数据保密性 这个服务保护数据不被未授权的暴露。数据保密性防止被动威胁, 包括一些用户想用packet sniffer来读取网线上的数据。 数据完整性 这个服务通过检查或维护信息的一致性来防止主动的威胁。 抗抵赖性服 不可否定性是防止参与交易的全部或部分的抵赖。比如说在网络 务(不可否 上,一个人发送了一封Email信息或一些数据,如ping包或SYN包, 然后说“我并没有发送”。不可否定性可以防止这种来自源端的 定性) 欺骗。
国内网络安全现状
国家计算机网络应急技术处理协调中心 CNCERT/CC
2004年网络安全事件报告与往年数量比较
64686
1.2 安全的概念
一种能够识别和消除不安全因素的能力。 安全是一个持续的过程。
网络安全(Network Security)是一门涉 及计算机科学、网络技术、通信技术、密 码技术、信息安全技术、应用数学、数论、 信息论等多种学科的综合性科学。
定义了5大类安全服务,提供这些服务的8大类安 全机制以及相应的开放系统互联的安全管理。
安全体系
安全体系
安全体系-安全服务
服务
鉴别服务 (认证)
访问控制
目的
提供身份验证的过程,用于在于保证信息的可靠性。
确定一个用户或服务可能用到什么样的系统资源,查看还是改变。 一旦一个用户认证通过,操作系统上的访问控制服务确定此用户 将能做些什么。
机密性 完整性 可用性 可控性 可审查性
安全模型
通信双方想要传递某个信息,需建立一个逻辑上 的信息通道。通信主体可以采取适当的安全机制, 包括以下两个部分 :
对被传送的信息进行与安全相关的转换,包 括对消息的加密和认证。
两个通信主体共享不希望对手知道的秘密信 息,如密钥等。
网络安全模型
安全威胁-企业网络现状分析
企业网络拓扑结构 企业网络中的应用 企业网络的结构特点
网络系统现状分析-企业网络拓扑结构
网络应用
企业网络面临的安全风险
企业网络的安全风险
风险举例之一:设备防盗、防毁
风险举例之二:线路老化
风险举例之三:停电
风险举例之四:抗电磁辐射
风险举例之五:安全拓扑
网络安全是指网络系统的硬件、软件及其系统中 的数据受到保护,不受偶然的或者恶意的原因而 遭到破坏、更改、泄露,系统连续可靠正常地运 行,网络服务不中断。
网络安全的内容和要素
从内容看,网络安全大致包括4个方面:
网络实体安全 软件安全 数据安全 安全管理
从特征上看,网络安全包括5个基本要素:
网络安全技术
学习目标
了解常见的网络攻击方法 掌握网络的安全状况以及防护方法 熟知网络安全管理的基本技能
了解网络安全的高端技术
考取《国家信息安全认证管理师》
第一章 网络安全基础
网络安全的概念 常见的安全威胁与攻击 安全的标准 网络安全的现状和发展趋势
1.1 为什么研究网络安全
目前研究网络安全已经不只为了信息和数 据的安全性。 网络安全已经渗透到国家的经济、军事等 领域。
具体需求举例之四:企业网站保护
具体需求举例之五:信息传输加密
具体需求举例之六:企业整体病毒防护
具体需求举例之七:不同服务器的访问控制
安全方案设计原则
需求、风险、代价平衡分析原则 综合性、总体性原则 一致性原则 易操作性原则
适应性及灵活性原则
多重保护原则 分布实施原则
风险举例之六:安全路由
风险举例之七:信息存储风险
风险举例之八:信息传输的风险
风险举例之九:信息访问安全
Βιβλιοθήκη Baidu
威胁和攻击的来源
内部操作不当 内部管理漏洞 来自外部的威胁和犯罪
企业的安全需求
具体需求举例之一:子网之间的访问控制
具体需求举例之二:地址转换与IP复用
具体需求举例之三:对员工的信息审计
安全机制与技术
安全机制 访问控制机制 加密机制 认证交换机制 数字签名机制 数据流分析机制 路由控制机制 业务流量填充机制 安全技术 防火墙技术 加密技术 鉴别技术 数字签名技术 入侵检测技术 审计监控技术 病毒防治技术 备份与恢复技术
安全管理
制定相应的管理制度 制定相应的策略
安全服务
网络安全咨询 网络安全专业培训 网络安全检测 网络安全管理 应急相应服务
国际网络安全现状
计算机网络应急技术处理协调中心CERT/CC 1988-2005年统计报告 年度 1995 1996 1997 1998 1999 漏洞数 171 345 311 262 417
2000 2001 2002 2003 2004 2005(1、2季度) 1090 2437 4125 3784 3780 2874
安全机制与技术
身份鉴别 访问控制 数据加密 病毒防护 入侵检测 安全评估 备份与恢复
身份鉴别
基于口令、用户名的身份认证 基于主体特征的身份认证:如指纹 基于IC卡和PIN号码的认证
基于CA证书的身份认证
其他的认证方式
基于口令、用户名的身份认证
内网与外网的访问控制
策略 防护
防火墙 加密机 杀毒软件
检测
隐患扫描 入侵检测
响应
安全模型之MPDRR
安全模型之MPDRR的解释
安全体系
ISO(国际标准化组织)1989年制定的ISO/IEC 7489-2,给出了ISO/OSI参考模型的安全体系结 构。
在OSI参考模型中增设了安全服务、安全机制和 安全管理,并给出了OSI网络层次、安全服务和 安全机制之间的逻辑关系。
安全体系-安全机制
安全机制是一种技术,一些软件或实施一个或更 多安全服务的过程。ISO把机制分成特殊的和普 遍的。 一个特殊的安全机制是在同一时间只对一种安全 服务上实施一种技术或软件。加密就是特殊安全 机制的一个例子。尽管可以通过使用加密来保证 数据的保密性,数据的完整性和不可否定性,但 实施在每种服务时你需要不同的加密技术。 一般的安全机制都列出了在同时实施一个或多个 安全服务的执行过程。特殊安全机制和一般安全 机制不同的另一个要素是一般安全机制不能应用 到OSI参考模型的任一层。
安全保护能力 隐患发现能力 应急反应能力
信息对抗能力
1.3 常见的安全威胁与攻击
网络系统自身的脆弱性 安全威胁 威胁和攻击的来源
网络安全的现状和发展趋势
设计、规划企业的整体安全方案
信息化进程
网络系统自身的脆弱性
硬件系统 软件系统 网络和通信协议
缺乏用户身份鉴别机制 缺乏路由协议鉴别机制 缺乏保密性 TCP/UDP的缺陷 TCP/IP服务的脆弱性