2网络安全理论与技术(第二讲)

网络安全理论与技术网络安全理论与技术张卫东西安电子科技大学通信工程学院信息工程系E-mail:xd_zwd@yahoo.com.cn1第一章引论网络的发展和变化1.网络的发展和变化2.网络安全现状络安现状3.网络安全层次结构网络安全服务4.网络安全服务5.安全标准和组织5.安全标准和组织6.安全保障2网络安全层次结构国际标准化组织（ISO）在开放系统互连标准（OSI/RM）中定义了７个层次的网络参考模型，它（OSI/RM）中定义了７个层次的网络参考模型，它们分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。不同的网络层次之间的会话层、表示层和应用层。不同的网络层次之间的功能虽然有一定的交叉，但是基本上是不同的。例如，数据链路层负责建立点到点通信，网络层负责例如，数据链路层负责建立点到点通信，网络层负责寻径，传输层负责建立端到端的通信信道。从安全角度来看，各层能提供一定的安全手段，针对不同层的安全措施是不同的。要对网络安全服务所属的协议层次进行分析，一个单独的。要对网络安全服务所属的协议层次进行分析，一个单独的层次无法提供全部的网络安全服务，每个层次都能做出自己的贡献。3己的贡献。开放系统互连标准（OSI/RM）™在物理层，可以在通信线路上采用某些技术使得搭线偷听变得不可能或者容易被检测出。听变得不可能或者容易被检测出。™在数据链路层，点对点的链路可能采用通信保密机进行加密和解密，当信息离开一台机器时进行加密，而进入加密和解密，当信息离开一台机器时进行加密，而进入另外一台机器时进行解密。所有的细节可以全部由底层硬件实现，高层根本无法察觉。但是这种方案无法适应需要经过多个路由器的通信信道，因为在每个路由器上都需要进行加密和解密，在这些路由器上会出现潜在的安全隐患，在开放网络环境中并不能确定每个路由器都安全隐患，在开放网络环境中并不能确定每个路由器都是安全的。当然，链路加密无论在什么时候都是很容易而且有效的，也被经常使用，但是在Internet环境中并不4而且有效的，也被经常使用，但是在Internet环境中并不完全适用。开放系统互连标准（OSI/RM）™在网络层，使用防火墙技术处理信息在内外网络边界的流动，确定来自哪些地址的信息可能或者禁止访问的流动，确定来自哪些地址的信息可能或者禁止访问哪些目的地址的主机。™在传输层，这个连接可能被端到端的加密，也就是进程到进程间的加密。虽然这些解决方案都有一定的作用，并且有很多人正在试图提高这些技术，但是他们用，并且有很多人正在试图提高这些技术，但是他们都不能提出一种充分通用的办法来解决身份认证和不可否认问题。这些问题必须要在应用层解决。可否认问题。这些问题必须要在应用层解决。5开放系统互连标准（OSI/RM）™应用层的安全主要是指针对用户身份进行认证并且建立起安全的通信信道。有很多针对具体应用的安全方案，它们能够有效地解决诸如电子邮件、HTTP等特定应用的安全问题，能够提供包括身份认证、不可否认、数据的安全问题，能够提供包括身份认证、不可否认、数据保密、数据完整性检查乃至访问控制等功能。但是在应用层并没有一个统一的安全方案，通用安全服务GSS用层并没有一个统一的安全方案，通用安全服务GSSAPI的出现试图将安全服务进行抽象，为上层应用提供通用接口。在GSS　API接口下可以采用各种不同的安全机制来实现这些服务。全机制来实现这些服务。6总结前面的讨论，可以用下图1.1来表示网络安全层次。7图1.1网络安全层次图第一章引论网络的发展和变化1.网络的发展和变化2.网络安全现状络安现状3.网络安全层次结构网络安全服务4.网络安全服务5.安全标准和组织5.安全标准和组织6.安全保障8网络安全服务ƒ安全服务ƒ安全服务ƒ安全机制安全机制ƒ安全模式ƒ安全分析9安全服务安务ƒ机密性ƒ机密性ƒ鉴别性ƒ完整性ƒ不可否认性10安全机制ƒ加密机制ƒ数字签名机制ƒ访问控制机制访问控制机制ƒ数据完整性机制ƒ交换鉴别机制ƒ交换鉴别机制ƒ业务流量填充机制ƒ路由控制机制ƒ公证机制11公机制安全模式安全模式系统安全一般四层来考虑：ƒ信息通道上的考虑ƒ系统门卫的考虑系统内部考ƒ系统内部的考虑ƒCPU的考虑。CPU的考虑。12安全模式可信第三方消息通信信道消息通信主体通信主体消息秘密消息消息秘密消息消息与安全相关的转换对手消息与安全相关的转换对手网络的安全模型13网络的安全模型安全模式为了开放网络环境中保护信息的传输，需要提供安全机制和安全服务。主要包含两个部分：和安全服务。主要包含两个部分：（1）对发送的信息进行与安全相关的转换。例如：报文的加密，使开放的网络对加密的报文不可读；又如附加一些基于报文内容的码，用来验证发送者的身份。（2）由两个主体共享的秘密信息，而对开放网络是保密的。例如：用于加密转换的密钥，用于发送前的加密和接收前的解密。14安全模式归纳起来，在设计网络安全系统时，该网络安全模型应完成个基本任务安全模型应完成4个基本任务：（1）设计一个算法以实现和安全有关的转换。（1）设计一个算法以实现和安全有关的转换。（2）产生一个秘密信息用于设计的算法。（3）开发一个分发和共享秘密信息的方法。（3）开发一个分发和共享秘密信息的方法。（4）确定两个主体使用的协议，用于使用秘密算法与秘密信息以得到特定的安全服务。15安全模式*计算资源客户端对手计算资源(处理器、内存、I/O)*数据进程对手恶意代码访问信道*进程*软件内部安全控制守卫网络访问安全访问模型16通道模式通道模式通道模式在形式上或内容上与传统的通信机密相差不多通道模式在形式上或内容上与传统的通信机密相差不多，即通路两端架设安全设备。但是其防范的对象与概念却不大相同。如VPN机，加密路由器，加密防火墙等。目的是建立一个专用秘密通道，防止非法入侵，保证通路的安全。17门卫模式门模式门卫模式是互联网的新产物门口是控制系统安全非常有门卫模式是互联网的新产物，门口是控制系统安全非常有效的部位。在这个部位开展的工作非常活跃，含盖面也非常广，从应用层到链路层，从探测设备到安全网关等出入关控制设备等。18内部模式内部模式内部控制模式在应用层或表示层进行，这是计算机安全的主战场开发研究有相当的基础应用层中实现安全全的主战场，开发研究有相当的基础。应用层中实现安全机制有以下好处：1）应用层是人-机交流的地方，控制机制实现非常灵活。因1）应用层是人-机交流的地方，控制机制实现非常灵活。因此有的代理型防火墙，扫描检查，内部网安全保密系统等都建在用户层上。2）用户层的控制粒度可以到用户级（个人）或文件级，因此用户鉴别和数据鉴别的最理想的地方。3）用户层较为独立，不受通信协议的影响。可独立构建内部网安全保密协议。19内部模式内部模式20CPU模式模式CPU中的序列号，操作系统中的安全内核是信息系统安全可靠的最基本要素技术难度很大对我国来说是个薄全可靠的最基本要素，技术难度很大。对我国来说是一个薄弱环节。序列号可以用来作敌友识别系统它能解决源地址跟踪序列号可以用来作敌友识别系统，它能解决源地址跟踪难题。安全内核是多用户操作系统必备的内部控制系统只有安全内核是多用户操作系统必备的内部控制系统。只有在可靠的安全内核的基础上才能实现可靠的多级控制。21CPU模式案例Intel公司在奔腾IIICPU中加入处理器序列号，因此模式案例Intel涉嫌干涉个人隐私，但要害问题则是政府机关、重要部门非常关心由这种CPU制造的计算机在处理信息或数据时部门非常关心由这种CPU制造的计算机在处理信息或数据时所带来的信息安全问题，即这种CPU内含有一个全球唯一的序列号，计算机所产生的文件和数据都会附着此序列号，因而由此序列号可以追查到产生文件和数据的任何机器。22广义VPN广义从广义的角度，上四种模式都可以形成各自的VPN。从里到外形成套接关系外，形成套接关系。23安全分析安全分析ƒ网络安全ƒ物理安全ƒ人员安全ƒ管理安全ƒ硬件安全ƒ硬件安全ƒ软件安全24软件安全安全评估安全评估ƒ安全是实用技术，不能一味追求理论上的完美，理论上完美的东西不一定满足业务需求。的东西不一定满足业务需求。ƒ信息系统是在用系统，安全只是整个信息系统中的一环。ƒ因此安全评估应是系统开销，性价比等综合平衡的结果，应以满足需求为根本目的。ƒ包括：价值评估、威胁分析、漏洞分析、风险分析、保护措施、监视响应等25价值评估价值评估对保护对象的价值作出评估。作到保护的重点明确，保护的层次清楚不能化很大代价去保护‘不值钱’的东保护的层次清楚。不能化很大代价去保护不值钱的东西。物理价值：计算机，内存设备，外围设备；ƒ物理价值：计算机，内存设备，外围设备；ƒ软件价值：操作系统，应用程序，数据；ƒ人员安全：操作员，维修员，用户，管理员雇佣费，培训费；ƒ管理价值：防护管理所需规定，制度，政策；管理价值：防护管理所需规定，制度，政策；ƒ网络价值：网络各部件本身；26威胁分析威胁分析威胁的种类很多，不同系统所关心的威胁有的是相同的，有的则不同。安全考虑是针对性比较强的，要求的层次也有差别。只有威胁的种类核层次分析清楚才能采取有效的防范措施措施。ƒ人工威胁：有意的损害；ƒ自然事件：火灾，水灾，过失损害；27漏洞分析漏洞分析将本系统存在的漏洞分析清楚。如果说威胁分析是一般性的，那么漏洞分析则是具体的。任何新的信息系统，都有各种的，那么漏洞分析则是具体的。任何新的信息系统，都有各种漏洞或弱点，信息安全的任务就是补洞，克服原有缺点。„物理漏洞：不严格的工地的进出控制不可靠的环境控制（空物理漏洞：不严格的工地的进出控制不可靠的环境控制（空调，供水），不可靠的电源和防火措施；„人员漏洞：贪欲，欺诈，贿赂：„管理漏洞：不完善的，前后矛盾的，不适当的规定，制度，政策；硬件漏洞信号辐射；„硬件漏洞：信号辐射；„软件漏洞：错误的响应，不能备份，不能升级；„网络漏洞：缺对干扰，窃听的防范措施；缺乏路由多余度；28„网络漏洞：缺对干扰，窃听的防范措施；缺乏路由多余度；风险分析风险分析任何系统都作风险分析，安全系统也一样。因为一个漏洞堵了，新的漏洞还可以发现，事物这样不断往前发展。因此百分之百的安全是不存在的。价值评估和风险分析是紧密相关的。在价值和损失（风险）之间必须作出权衡。风险分析不能笼统作出，而要一项一项作出。29防护措施防护措施防护措施包括物理防护和逻辑防护。防护措施包括物理防护和逻辑防护。在逻辑措施中有效的加密技术和各种访问控制技术起很大作用，特别强调密钥管理中心的有效控制。术起很大作用，特别强调密钥管理中心的有效控制。30监视响应监视响应对事件进行监视，同时作出必要的响应，最起码的响应应是恢复。„信息安全建设是一个系统工程„三分技术，七分管理„技术因素„管理因素„网络与信息安全＝信息安全技术＋信息安全管理体系31安全的历史回顾随着社会和技术的进步，信息安全也有一个发展的过程，了解信息安全的发展历史，可使人们更全面地解决当前遇到的各种信息安全问题。粗略地，可把信息安全分成三个阶段：粗略地，可把信息安全分成三个阶段：„通信安全（comsec）„计算机安全（compusec）„计算机安全（compusec）„网络安全（netsec）。32图14通信安全中的旁路密码的电子信号33图1.4通信安全中的旁路密码的电子信号通信安全计算机安全网络安全通信安全计算机安全网络安全通信安全的主要目的是：计算机安全的主要目的是：解决计算机信息载体及其网络安全的主要目的是：解决在分布网络环境中通信安全的主要目的是：解决数据传输的安全问题。主要的措施是：密码技术。运行的安全问题。主要措施是：根据主、客体的安全级别，解决在分布网络环境中对信息载体及其运行提供的安全保护问题。主要措施是：主要的措施是：密码技术。根据主、客体的安全级别，正确实施主体对客体的访问控制。主要措施是：提供完整的信息安全保障体系，包括防护、检测、响应、恢复。34响应、恢复。网络安全处理显而易见，单一的网络安全技术和网显而易见，单一的网络安全技术和网络安全产品无法解决网络安全的全部问题。网络安全需要，从体系结构的角度