网络安全体系结构要点
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络安全技术
网络安全体系结构与安全技术
网络技术系 田宏政
2020/5/25
1
安全层次体系结构
数据安全层 应用安全层 用户安全层 系统安全层 网络安全层 物理安全层
加密
访问控制
授权
用户/组管理
单机登录
身份认证
反病毒 风险评估 入侵检测 审计分析
防火墙 安全网关
VPN
存储备份
2020/5/25
2
网络技术系 田宏政
HTTP FTP Telnet SMTP
DNS
LDAP
DHCP BOOTP TFTP NTP
SNMP
NFS NIS PMAP NLM Mount Statd
XDR
OSI第5-7层
RPC
TCP
UDP
OSI第4层
2020/5/25
DVMRP
IGMP RSVP
OSPF IGRP BGP EGP GGP RIP
▪ 在整体策略的控制和指导下,在运用防护工具保证系统运行的同时,利用检测工具 评估系统的安全状态,通过响应工具将系统调整到相对安全和风险最低的状态;
▪ 防护、检测和响应组成了一个完整的、动态的安全循环,在安全策略的指导下保证 系统的安全,如下图所示。
防护(P)
响应(R)
策略(P) 检测(D)
2020/5/25
控
网络技术系 田宏政
TCP/IP网络的四层结构模型
❖ OSI参考模型与TCP/IP模型对比
OSI参考模型
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
TCP/IP模型
应用层
传输层 网络层 网络接口 物理层
2020/5/25
8
网络技术系 田宏政
TCP/IP层次结构图
X11 System
❖ 响应:
▪ 检测出问题后的处理措施。
2020/5/25
14
网络技术系 田宏政
P2DR模型特点
❖ 优点:
▪ 采用被动防御与主动防御相结合的方式,是目前比较 科学的安全模型。
❖ 弱点:
▪ 忽略了内在的变化因素(人员流动、人员素质、策略 的贯彻情况)。
2020/5/25
15
网络技术系 田宏政
PDRR模型
11
网络技术系 田宏政
策略(Policy)
❖ 策略是P2DR模型的核心,描述了在网络安全管 理过程中必须遵守的原则,所有的防护、检测和 响应都是依据安全策略进行实施的。
❖ 策略的制定需要综合考虑整个网络的安全需求, 一旦制定,成为整个网络安全行为的准则。
❖ 建立安全策略是实现安全的最首要工作,也是实 现安全技术管理与规范的第一步。
访 问 控 制 安 全 检 测 用 户 鉴 权
传 输 安 全
出 存 入 取 控 控 制 制
安 全 扫 描 入 侵 检 测主 体 特 征 口 令 机 制 智 能 卡 数 字 证 书 传 输 数 据 数 据 完 整 防 抵 赖 加 鉴 密 别
控 制 表 技 术
攻 击 技 术
口 令 技 术
加 密 技 术 安 全 协 议
2020/5/25
4
网络技术系 田宏政
网络信息安全的关键技术
安全集成技术
防 病 毒 技 术
防 火 墙 技 术
V P N 技 术
入 侵 检 测 技 术
安 全 评 估 技 术
审 计 分 析 技 术
主 机 安 全 技 术
身 份 认 证 技 术
访 问 控 制 技 术
密 码 技 术
备 份 与 恢 复 技 术
❖ 分为三大类:
▪ 系统安全防护——保护操作系统 ▪ 网络安全防护——管理与传输安全 ▪ 信息安全防护——数据安全性
2020/5/25
13
网络技术系 田宏政
检测(Detection)和响应(Response)
❖ 检测:
▪ 网络安全的第二道防线。 ▪ 通过工具对网络进行监视和检查,发现新的危胁时进
行反馈并及时做出有效的响应。 ▪ 检测对象:系统自身的脆弱性和外部威胁。 ▪ 与防护的区别和联系。
OSI第3层
ARP RARP
IP
ICMP
物理接口层
9
OSI第1-2层Βιβλιοθήκη Baidu
网络技术系 田宏政
安全模型
❖ 网络安全是动态的。
▪ 攻击与反攻击是永恒的矛盾。
❖ 安全是相对的。
▪ 安全有时限性; ▪ 需要不断的更新、加强安全措施。
❖ 安全策略——为达到预期安全目标而制定的一套 安全服务准则。
❖ 安全模型——为实现安全策略设定的目标而构建 的安全框架。
2020/5/25
12
网络技术系 田宏政
防护(Protection)
❖ 防护就是采用一切手段保护计算机网络系统的机 密性、完整性、可用性、可控性和不可抵赖性, 预先阻止产生攻击可以发生的条件,让攻击者无 法顺利地入侵。
❖ 网络安全的第一道防线,采用静态的安全技术来 实现,如防火墙、认证技术、加密等。
安全管理技术
2020/5/25
5
网络技术系 田宏政
安全产品集成 完善的整体防卫架构
防病毒 访问控制
入侵检测 漏洞评估
2020/5/25
虚拟专用网
6
防火墙
网络技术系 田宏政
网络体系结构及各层的安全性
2020/5/25
网 络 次安 全 层
安 全
物 理 层
安 全
网 络 层
安全管理与审计
安 全
传 输 层
网络安全体系结构
安 全 管 理
环媒设反备 审 访 安用 传 储 内 境 安体 安备 安病份 恢 计 监 问 控 全 检户 鉴 输 安 存 安 容 审 全全全毒复 控 制 测权 全 全 计
物 理 安 全
重 点
网 络 安 全
信 息 安 全
2020/5/25
安 全 体 系
3
网络技术系 田宏政
网络安全体系结构
安 全
应 用 层
安用 全户
物链 网
模层 理路 络 型次 层层 层
网 络 术安 全 技 实 目现 标安 全
物点 访 理到 问 信点 控 道链 制 安路 全加
密
访问控制 数据机密性 数据完整性
传
会
输
话
层
层
端
完
到
整
端
性
加
鉴
密
别
用户认证 防抵赖 安全审计
7
表应 示用 层层
数数身审 字据份计 签加认与 名密证监
▪ 两种模型:P2DR模型和PDRR模型。
2020/5/25
10
网络技术系 田宏政
P2DR模型
❖ P2DR(Policy策略,Protection防护,Detection检测,Response响 应)模型
▪ 20世纪90年代末,由ISS(Internet Security Systems Inc.美国国际互联网安全系统 公司)提出;
❖ PDRR模型 (Protection,Detection,Response,Recovery)
❖ 由美国近年提出。
攻击
成功 防护
失败
检测 成功 失败
成功 响应
失败
恢复
❖ 恢复:系统受到入侵后,恢复到原来状态。
❖ PDRR模型的目标是尽可能地增大保护时间,减少 检测和响应时间,尽快恢复以减少系统暴露时间。
网络安全体系结构与安全技术
网络技术系 田宏政
2020/5/25
1
安全层次体系结构
数据安全层 应用安全层 用户安全层 系统安全层 网络安全层 物理安全层
加密
访问控制
授权
用户/组管理
单机登录
身份认证
反病毒 风险评估 入侵检测 审计分析
防火墙 安全网关
VPN
存储备份
2020/5/25
2
网络技术系 田宏政
HTTP FTP Telnet SMTP
DNS
LDAP
DHCP BOOTP TFTP NTP
SNMP
NFS NIS PMAP NLM Mount Statd
XDR
OSI第5-7层
RPC
TCP
UDP
OSI第4层
2020/5/25
DVMRP
IGMP RSVP
OSPF IGRP BGP EGP GGP RIP
▪ 在整体策略的控制和指导下,在运用防护工具保证系统运行的同时,利用检测工具 评估系统的安全状态,通过响应工具将系统调整到相对安全和风险最低的状态;
▪ 防护、检测和响应组成了一个完整的、动态的安全循环,在安全策略的指导下保证 系统的安全,如下图所示。
防护(P)
响应(R)
策略(P) 检测(D)
2020/5/25
控
网络技术系 田宏政
TCP/IP网络的四层结构模型
❖ OSI参考模型与TCP/IP模型对比
OSI参考模型
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
TCP/IP模型
应用层
传输层 网络层 网络接口 物理层
2020/5/25
8
网络技术系 田宏政
TCP/IP层次结构图
X11 System
❖ 响应:
▪ 检测出问题后的处理措施。
2020/5/25
14
网络技术系 田宏政
P2DR模型特点
❖ 优点:
▪ 采用被动防御与主动防御相结合的方式,是目前比较 科学的安全模型。
❖ 弱点:
▪ 忽略了内在的变化因素(人员流动、人员素质、策略 的贯彻情况)。
2020/5/25
15
网络技术系 田宏政
PDRR模型
11
网络技术系 田宏政
策略(Policy)
❖ 策略是P2DR模型的核心,描述了在网络安全管 理过程中必须遵守的原则,所有的防护、检测和 响应都是依据安全策略进行实施的。
❖ 策略的制定需要综合考虑整个网络的安全需求, 一旦制定,成为整个网络安全行为的准则。
❖ 建立安全策略是实现安全的最首要工作,也是实 现安全技术管理与规范的第一步。
访 问 控 制 安 全 检 测 用 户 鉴 权
传 输 安 全
出 存 入 取 控 控 制 制
安 全 扫 描 入 侵 检 测主 体 特 征 口 令 机 制 智 能 卡 数 字 证 书 传 输 数 据 数 据 完 整 防 抵 赖 加 鉴 密 别
控 制 表 技 术
攻 击 技 术
口 令 技 术
加 密 技 术 安 全 协 议
2020/5/25
4
网络技术系 田宏政
网络信息安全的关键技术
安全集成技术
防 病 毒 技 术
防 火 墙 技 术
V P N 技 术
入 侵 检 测 技 术
安 全 评 估 技 术
审 计 分 析 技 术
主 机 安 全 技 术
身 份 认 证 技 术
访 问 控 制 技 术
密 码 技 术
备 份 与 恢 复 技 术
❖ 分为三大类:
▪ 系统安全防护——保护操作系统 ▪ 网络安全防护——管理与传输安全 ▪ 信息安全防护——数据安全性
2020/5/25
13
网络技术系 田宏政
检测(Detection)和响应(Response)
❖ 检测:
▪ 网络安全的第二道防线。 ▪ 通过工具对网络进行监视和检查,发现新的危胁时进
行反馈并及时做出有效的响应。 ▪ 检测对象:系统自身的脆弱性和外部威胁。 ▪ 与防护的区别和联系。
OSI第3层
ARP RARP
IP
ICMP
物理接口层
9
OSI第1-2层Βιβλιοθήκη Baidu
网络技术系 田宏政
安全模型
❖ 网络安全是动态的。
▪ 攻击与反攻击是永恒的矛盾。
❖ 安全是相对的。
▪ 安全有时限性; ▪ 需要不断的更新、加强安全措施。
❖ 安全策略——为达到预期安全目标而制定的一套 安全服务准则。
❖ 安全模型——为实现安全策略设定的目标而构建 的安全框架。
2020/5/25
12
网络技术系 田宏政
防护(Protection)
❖ 防护就是采用一切手段保护计算机网络系统的机 密性、完整性、可用性、可控性和不可抵赖性, 预先阻止产生攻击可以发生的条件,让攻击者无 法顺利地入侵。
❖ 网络安全的第一道防线,采用静态的安全技术来 实现,如防火墙、认证技术、加密等。
安全管理技术
2020/5/25
5
网络技术系 田宏政
安全产品集成 完善的整体防卫架构
防病毒 访问控制
入侵检测 漏洞评估
2020/5/25
虚拟专用网
6
防火墙
网络技术系 田宏政
网络体系结构及各层的安全性
2020/5/25
网 络 次安 全 层
安 全
物 理 层
安 全
网 络 层
安全管理与审计
安 全
传 输 层
网络安全体系结构
安 全 管 理
环媒设反备 审 访 安用 传 储 内 境 安体 安备 安病份 恢 计 监 问 控 全 检户 鉴 输 安 存 安 容 审 全全全毒复 控 制 测权 全 全 计
物 理 安 全
重 点
网 络 安 全
信 息 安 全
2020/5/25
安 全 体 系
3
网络技术系 田宏政
网络安全体系结构
安 全
应 用 层
安用 全户
物链 网
模层 理路 络 型次 层层 层
网 络 术安 全 技 实 目现 标安 全
物点 访 理到 问 信点 控 道链 制 安路 全加
密
访问控制 数据机密性 数据完整性
传
会
输
话
层
层
端
完
到
整
端
性
加
鉴
密
别
用户认证 防抵赖 安全审计
7
表应 示用 层层
数数身审 字据份计 签加认与 名密证监
▪ 两种模型:P2DR模型和PDRR模型。
2020/5/25
10
网络技术系 田宏政
P2DR模型
❖ P2DR(Policy策略,Protection防护,Detection检测,Response响 应)模型
▪ 20世纪90年代末,由ISS(Internet Security Systems Inc.美国国际互联网安全系统 公司)提出;
❖ PDRR模型 (Protection,Detection,Response,Recovery)
❖ 由美国近年提出。
攻击
成功 防护
失败
检测 成功 失败
成功 响应
失败
恢复
❖ 恢复:系统受到入侵后,恢复到原来状态。
❖ PDRR模型的目标是尽可能地增大保护时间,减少 检测和响应时间,尽快恢复以减少系统暴露时间。