网络安全体系结构概要
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络安全技术
网络安全体系结构与安全技术
网络技术系 田宏政
2018/11/13
1
安全层次体系结构
数据安全层 应用安全层 用户安全层 系统安全层 网络安全层
访问控制
用户/组管理 反病毒 单机登录 加密 授权 身份认证 审计分析
风险评估
入侵检测 VPN
防火墙
安全网关 存储备份
物理安全层
2018/11/13
2
网络技术系 田宏政
网络安全体系结构
安 全 管 理
环 访 媒 设 审 安 备 反 用 储 内 传 境 问 体 备 全 计 份 户 输 存 容 病 安 安 控 安 检 监 恢 鉴 安 安 审 全 全 制 全 测 控 复 毒 权 全 全 计
重 点
物 理 安 全
网 络 安 全
信 息 安 全
安 全 体 系
防 病 毒 技 术
防 火 墙 技 术
V P N 技 术
密 码 技 术
安全管理技术
2018/11/13
5
网络技术系 田宏政
安全产品集成
完善的整体防卫架构
防病毒 入侵检测
访问控制 漏洞评估
防火墙
虚拟专用网
2018/11/13
6 网络技术系 田宏政
网络体系结构及各层的安全性
网 络 次安 安物 安网 全 全理 全络 层 层 层
两种模型:P2DR模型和PDRR模型。
2018/11/13
10 网络技术系 田宏政
P2DR模型
P2DR(Policy策略,Protection防护,Detection检测,Response响 应)模型
20世纪90年代末,由ISS(Internet Security Systems Inc.美国国际互联网安全系统 公司)提出; 在整体策略的控制和指导下,在运用防护工具保证系统运行的同时,利用检测工具 评估系统的安全状态,通过响应工具将系统调整到相对安全和风险最低的状态; 防护、检测和响应组成了一个完整的、动态的安全循环,在安全策略的指导下保证 系统的安全,如下图所示。
2018/11/13
12
网络技术系 田宏政
防护(Protection)
防护就是采用一切手段保护计算机网络系统的机 密性、完整性、可用性、可控性和不可抵赖性, 预先阻止产生攻击可以发生的条件,让攻击者无 法顺利地入侵。 网络安全的第一道防线,采用静态的安全技术来 实现,如防火墙、认证技术、加密等。 分为三大类:
物理接口层
OSI第1-2层
网络技术系 田宏政
2018/11/13
9
安全模型
网络安全是动态的。
攻击与反攻击是永恒的矛盾。
安全是相对的。
安全有时限性; 需要不断的更新、加强安全措施。
安全策略——为达到预期安全目标而制定的一套 安全服务准则。 安全模型——为实现安全策略设定的目标而构建 的安全框架。
响应:
检测出问题后的处理措施。
2018/11/13
14
网络技术系 田宏政
P2DR模型特点
优点:
采用被动防御与主动防御相结合的方式,是目前比较 科学的安全模型。
弱点:
忽略了内在的变化因素(人员流动、人员素质、策略 的贯彻情况)。
2018/11/13
15
网络技术系 田宏政
PDRR模型
2018/11/13
16 网络技术系 田宏政
本学期介绍的主要安全技术
密码学及认证技术 操作系统和数据库安全技术 服务器集群技术 数据容灾和备份恢复技术 应用系统安全技术 VPN技术 防火墙技术 入侵检测技术 病毒防范技术 安全检测与评估技术
2018/11/13
2018/11/13
7
网络技术系 田宏政
TCP/IP网络的四层结构模型
OSI参考模型与TCP/IP模型对比
OSI参考模型 TCP/IP模型
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
2018/11/13
8
应用层 传输层 网络层 网络接口 物理层
网络技术系 田宏政
TCP/IP层次结构图
PDRR模型 (Protection,Detection,Response,Recovery) 由美国近年提出。
成功 攻击 防护 失败 检测 失败 成功 成功 响应 失败 恢复
恢复:系统受到入侵后,恢复到原来状态。 PDRR模型的目标是尽可能地增大保护时间,减少 检测和响应时间,尽快恢复以减少系统暴露时间。
密 技 术 令 技 术 加 击 技 术 口 控 制 表 技 术 攻 安 全 协 议
2018/11/13
4
网络技术系 田宏政
网络信息安全的关键技术
安全集成技术 入 侵 检 测 技 术 安 全 评 估 技 术 审 计 分 析 技 术 主 机 安 全 技 术 身 份 认 证 技 术 访 问 控 制 技 术 备 份 与 恢 复 技 术
系统安全防护——保护操作系统 网络安全防护——管理与传输安全 信息安全防护——数据安全性
2018/11/13
13 网络技术系 田宏政
检测(Detection)和响应(Response)
检测:
网络安全的第二道防线。 通过工具对网络进行监视和检查,发现新的危胁时进 行反馈并及时做出有效的响应。 检测对象:系统自身的脆弱性和外部威胁。 与防护的区别和联系。
2018/11/13
3 网络技术系 田宏政
网络安全体系结构
访 问 控 制 安 全 检 测 用 户 鉴 权 传 输 安 全
出 存 入 取 控 控 制 制
安 入 数 主 口 智 数 传 侵 全 体 令 字 能 输 防 据 扫 检 特 机 证 卡 抵 完 数 测 描 征 制 书 赖 整 据 鉴 加 别 密
物链 理路 层层 网 络 层
安全管理与审计
安传 全输 层 传 输 层 会 话 层 安应 全用 层 表 示 层
数 字 签 名 数 据 加 密
安用 全户 应 用 层
身 份 认 证 审 计 与 监 控
模层 型次 端 完 物点 访 网 到 整 理到 问 络 端 性 信点 控 加 鉴 道链 制 术安 密 别 安路 全 全加 技 密 实 访问控制 用户认证 目 现 数据机密性 防抵赖 标 安 数据完整性 安全审计 全
17 网络技术系 田宏政
思考与讨论
网络安全涉及到的技术很多,有些本身就是一门 独立的学科,让你感兴趣的有哪些? 你接触和了解过哪些技术? 有没有哪几种技术是值得你去花时间研究的?
2018/11/13
18
网络技术系 田宏政
防护(P)
策略(P) 响应(R) 检测(D)
2018/11/13
11
网络技术系 田宏政
策略(Policy)
策略是P2DR模型的核心,描述了在网络安全管 理过程中必须遵守的原则,所有的防护、检测和 响应都是依据安全策略进行实施的。 策略的制定需要综合考虑整个网络的安全需求, 一旦制定,成为整个网络安全行为的准则。 建立安全策略是实现安全的最首要工作,也是实 现安全技术管理与规范的第一步。
X11 System HTTP FTP Telnet SMTP DNS DHCP BOOTP TFTP NTP SNMP NFS NIS PMAP NLM Mount Statd XDR LDAP RPC OSI第5-7层
TCP
源自文库
UDP
OSI第4层
OSPF IGRP BGP EGP GGP RIP DVMRP IGMP RSVP ARP RARP IP ICMP OSI第3层
网络安全体系结构与安全技术
网络技术系 田宏政
2018/11/13
1
安全层次体系结构
数据安全层 应用安全层 用户安全层 系统安全层 网络安全层
访问控制
用户/组管理 反病毒 单机登录 加密 授权 身份认证 审计分析
风险评估
入侵检测 VPN
防火墙
安全网关 存储备份
物理安全层
2018/11/13
2
网络技术系 田宏政
网络安全体系结构
安 全 管 理
环 访 媒 设 审 安 备 反 用 储 内 传 境 问 体 备 全 计 份 户 输 存 容 病 安 安 控 安 检 监 恢 鉴 安 安 审 全 全 制 全 测 控 复 毒 权 全 全 计
重 点
物 理 安 全
网 络 安 全
信 息 安 全
安 全 体 系
防 病 毒 技 术
防 火 墙 技 术
V P N 技 术
密 码 技 术
安全管理技术
2018/11/13
5
网络技术系 田宏政
安全产品集成
完善的整体防卫架构
防病毒 入侵检测
访问控制 漏洞评估
防火墙
虚拟专用网
2018/11/13
6 网络技术系 田宏政
网络体系结构及各层的安全性
网 络 次安 安物 安网 全 全理 全络 层 层 层
两种模型:P2DR模型和PDRR模型。
2018/11/13
10 网络技术系 田宏政
P2DR模型
P2DR(Policy策略,Protection防护,Detection检测,Response响 应)模型
20世纪90年代末,由ISS(Internet Security Systems Inc.美国国际互联网安全系统 公司)提出; 在整体策略的控制和指导下,在运用防护工具保证系统运行的同时,利用检测工具 评估系统的安全状态,通过响应工具将系统调整到相对安全和风险最低的状态; 防护、检测和响应组成了一个完整的、动态的安全循环,在安全策略的指导下保证 系统的安全,如下图所示。
2018/11/13
12
网络技术系 田宏政
防护(Protection)
防护就是采用一切手段保护计算机网络系统的机 密性、完整性、可用性、可控性和不可抵赖性, 预先阻止产生攻击可以发生的条件,让攻击者无 法顺利地入侵。 网络安全的第一道防线,采用静态的安全技术来 实现,如防火墙、认证技术、加密等。 分为三大类:
物理接口层
OSI第1-2层
网络技术系 田宏政
2018/11/13
9
安全模型
网络安全是动态的。
攻击与反攻击是永恒的矛盾。
安全是相对的。
安全有时限性; 需要不断的更新、加强安全措施。
安全策略——为达到预期安全目标而制定的一套 安全服务准则。 安全模型——为实现安全策略设定的目标而构建 的安全框架。
响应:
检测出问题后的处理措施。
2018/11/13
14
网络技术系 田宏政
P2DR模型特点
优点:
采用被动防御与主动防御相结合的方式,是目前比较 科学的安全模型。
弱点:
忽略了内在的变化因素(人员流动、人员素质、策略 的贯彻情况)。
2018/11/13
15
网络技术系 田宏政
PDRR模型
2018/11/13
16 网络技术系 田宏政
本学期介绍的主要安全技术
密码学及认证技术 操作系统和数据库安全技术 服务器集群技术 数据容灾和备份恢复技术 应用系统安全技术 VPN技术 防火墙技术 入侵检测技术 病毒防范技术 安全检测与评估技术
2018/11/13
2018/11/13
7
网络技术系 田宏政
TCP/IP网络的四层结构模型
OSI参考模型与TCP/IP模型对比
OSI参考模型 TCP/IP模型
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
2018/11/13
8
应用层 传输层 网络层 网络接口 物理层
网络技术系 田宏政
TCP/IP层次结构图
PDRR模型 (Protection,Detection,Response,Recovery) 由美国近年提出。
成功 攻击 防护 失败 检测 失败 成功 成功 响应 失败 恢复
恢复:系统受到入侵后,恢复到原来状态。 PDRR模型的目标是尽可能地增大保护时间,减少 检测和响应时间,尽快恢复以减少系统暴露时间。
密 技 术 令 技 术 加 击 技 术 口 控 制 表 技 术 攻 安 全 协 议
2018/11/13
4
网络技术系 田宏政
网络信息安全的关键技术
安全集成技术 入 侵 检 测 技 术 安 全 评 估 技 术 审 计 分 析 技 术 主 机 安 全 技 术 身 份 认 证 技 术 访 问 控 制 技 术 备 份 与 恢 复 技 术
系统安全防护——保护操作系统 网络安全防护——管理与传输安全 信息安全防护——数据安全性
2018/11/13
13 网络技术系 田宏政
检测(Detection)和响应(Response)
检测:
网络安全的第二道防线。 通过工具对网络进行监视和检查,发现新的危胁时进 行反馈并及时做出有效的响应。 检测对象:系统自身的脆弱性和外部威胁。 与防护的区别和联系。
2018/11/13
3 网络技术系 田宏政
网络安全体系结构
访 问 控 制 安 全 检 测 用 户 鉴 权 传 输 安 全
出 存 入 取 控 控 制 制
安 入 数 主 口 智 数 传 侵 全 体 令 字 能 输 防 据 扫 检 特 机 证 卡 抵 完 数 测 描 征 制 书 赖 整 据 鉴 加 别 密
物链 理路 层层 网 络 层
安全管理与审计
安传 全输 层 传 输 层 会 话 层 安应 全用 层 表 示 层
数 字 签 名 数 据 加 密
安用 全户 应 用 层
身 份 认 证 审 计 与 监 控
模层 型次 端 完 物点 访 网 到 整 理到 问 络 端 性 信点 控 加 鉴 道链 制 术安 密 别 安路 全 全加 技 密 实 访问控制 用户认证 目 现 数据机密性 防抵赖 标 安 数据完整性 安全审计 全
17 网络技术系 田宏政
思考与讨论
网络安全涉及到的技术很多,有些本身就是一门 独立的学科,让你感兴趣的有哪些? 你接触和了解过哪些技术? 有没有哪几种技术是值得你去花时间研究的?
2018/11/13
18
网络技术系 田宏政
防护(P)
策略(P) 响应(R) 检测(D)
2018/11/13
11
网络技术系 田宏政
策略(Policy)
策略是P2DR模型的核心,描述了在网络安全管 理过程中必须遵守的原则,所有的防护、检测和 响应都是依据安全策略进行实施的。 策略的制定需要综合考虑整个网络的安全需求, 一旦制定,成为整个网络安全行为的准则。 建立安全策略是实现安全的最首要工作,也是实 现安全技术管理与规范的第一步。
X11 System HTTP FTP Telnet SMTP DNS DHCP BOOTP TFTP NTP SNMP NFS NIS PMAP NLM Mount Statd XDR LDAP RPC OSI第5-7层
TCP
源自文库
UDP
OSI第4层
OSPF IGRP BGP EGP GGP RIP DVMRP IGMP RSVP ARP RARP IP ICMP OSI第3层