计算机网络安全体系结构.

计算机网络安全基础一系三教张铮Email:ponyzhang@126.comzhangzheng@xxgc.mtnTel:63530523Cell:138381to3721QQ:3453454第二章计算机网络安全体系结构安全模型网络安全体系结构安全服务与安全机制网络安全设计的基本原则计算机网络安全的三个特性相对性动态性系统性相对性安全的概念是相对的，任何一个系统都具有潜在的危险，没有绝对的安全。技术层面：道高一尺，魔高一丈非技术层面：目标与实现的不一致性（人为因素）动态性在一个特定的时期内，在一定的安全策略下，系统可能是安全的。但是，随着攻击技术的进步、新漏洞的暴露，系统可能会变得不安全了。因此需要适应变化的环境并能做出相应的调整，才能确保计算机网络系统的安全。系统性计算机网络安全包括了物理层、网络层、系统层、应用层以及管理层等多个方面。从技术上来说，系统的安全是由多个安全组件来保证的，单独的安全组件只能提供部分的安全功能，缺少哪一个安全组件都不能构成完整的安全系统。2.1安全模型正是由于计算机网络系统的安全存在上述三个特性，因此需要采用某种安全模型来进行描述和指导。下面讨论两种典型的安全模型：P2DRPDRR2.1.1P2DR安全模型美国国际互联网安全系统公司（ISS）P2DR安全模型是指：策略（Policy）防护（Protection）检测（Detection）响应（Response）P2DR安全模型防护（P）响应（R）检测（D）策略（P）P2DR安全模型：安全=风险分析+执行策略+系统实施+漏洞监测+实时响应P2DR安全模型P2DR安全模型认为没有一种技术可完全消除网络中的安全漏洞必须在整体安全策略的控制、指导下，在综合运用防护工具的同时，利用检测工具了解和评估系统的安全状态，通过适当的反馈将系统调整到相对最安全和风险最低的状态。P2DR安全模型也就是说，系统的安全实际上是理想中的安全策略和实际的执行之间的一个平衡，强调在防护、监控检测、响应等环节的循环过程，通过这种循环达到保持安全水平的目的。P2DR安全模型是整体的、动态的安全模型。因此，P2DR安全模型也称为可适应安全模型ANSM（AdaptiveNetworkSecurityModel）。P2DR安全模型1、策略安全策略是P2DR安全模型的核心，所有的防护、检测、响应都是依据安全策略实施的，安全策略为安全管理提供管理方向和支持手段。策略体系的建立包括安全策略的制订、评估、执行等。只有对计算机网络系统进行了充分的了解，才能制订出可行的安全策略。P2DR安全模型1、策略安全策略具有一般性和普遍性，一个恰当的安全策略总会把关注的核心集中到最高决策层认为必须值得注意的那些方面。概括地说，一种安全策略实质上明确在安全领域的范围内：什么操作是明确允许的什么操作是一般默认允许的什么操作是明确不允许的什么操作是默认不允许的。P2DR安全模型1、策略安全策略一般不作出具体的措施规定，也不确切说明通过何种方式能才够达到预期的结果，而是向系统安全实施者指出在当前的前提下，什么因素和风险才是最重要的。就这个意义而言，建立安全策略是实现安全的最首要的工作，也是实现安全技术管理与规范的第一步。P2DR安全模型2、防护防护就是采用一切手段保护计算机网络系统的保密性、完整性、可用性、可控性和不可否认性，预先阻止攻击可以发生的条件产生，让攻击者无法顺利地入侵。所以说，防护是网络安全策略中最重要的环节。P2DR安全模型2、防护防护可以分为三大类：系统安全防护网络安全防护信息安全防护P2DR安全模型2、防护系统安全防护：即操作系统的安全防护。不同操作系统有不同的防护措施和相应的安全工具。网络安全防护：网络管理、以及网络传输的安全。信息安全防护：数据本身的保密性、完整性和可用性。例如，数据加密就是信息安全防护的重要技术。P2DR安全模型2、防护防护的技术及方法通常采用传统的静态安全技术来实现防护，如防火墙、加密、认证等。防护通常处于系统的边界，以提高边界抵御能力，可分为：物理实体的防护技术信息防护（防泄露、防破坏）技术。P2DR安全模型2、防护物理实体的防护技术主要是对有形的信息载体实施保护，使之不被窃取、复制或丢失。磁盘信息消除技术室内防盗报警技术密码锁、指纹锁、眼底锁等。信息载体的传输、使用、保管、销毁等各个环节都可应用这类技术。P2DR安全模型2、防护信息防护技术主要是对信息的处理过程传输过程实施保护，使之不被非法入侵、窃听、干扰、破坏、拷贝。P2DR安全模型2、防护对信息处理的防护主要有如下二种技术：计算机软、硬件的加密和保护技术计算机口令字验证、数据库存取控制技术、审计跟踪技术、密码技术、防病毒技术等计算机网络保密技术，主要指用于防止内部网秘密信息非法外传保密网关、安全路由器、防火墙等P2DR安全模型2、防护对信息传输的防护也有两种技术：对信息传输信道采取措施专网通信技术、跳频通信技术、光纤通信技术、辐射屏蔽和干扰技术等，以增加窃听的难度；对传递的信息使用密码技术进行加密，使窃听者即使截获信息也无法知悉其真实内容。常用的加密设备有电话保密机、传真保密机、IP密码机、线路密码机、电子邮件密码系统等。P2DR安全模型2、防护防护的安全单元风险评估访问控制及防火墙防病毒软件数据备份数据加密鉴别技术安全通信安全技术评估标准P2DR安全模型2、防护风险评估，即缺陷扫描。安全缺陷可以分为两种：允许远程攻击的缺陷允许本地攻击的缺陷。允许远程攻击的缺陷一般存在于提供网络服务的软件中。允许本地攻击的软件就是攻击者不能通过网络利用该缺陷攻击系统，这样的缺陷一般存在于不提供网路服务的软件中。P2DR安全模型2、防护对于允许远程攻击的安全缺陷，可以使用网络缺陷扫描工具去发现。对于只允许本地攻击的缺陷，只能使用本地缺陷扫描工具去发现它们。发现缺陷后就对该缺陷进行修补（打补丁）。P2DR安全模型2、防护鉴别技术。鉴别技术保护数据通信的两个方面：通信双方的身份认证和传输数据的完整性。数字签名是在电子文件上签名的技术，确保电子文件的完整性。身份认证需要每个实体（用户）登记一个数字证书。这个数字证书包含该实体的信息（如用户名、公开密钥）。公钥基础设施PKI就是一个管理数字证书的机构，其中包括发行、管理、回收数字证书。P2DR安全模型2、防护安全通信，防止数据在传输过程中的泄漏。点对点的安全通信的建立过程如下：首先，通信双方用公开密钥加密技术互相鉴别对方的身份。如果鉴别的身份已通过，双方随机产生一个加密密钥，用来加密传输的数据。传输的数据加密使用对称加密技术。P2DR安全模型3、检测上面提到防护系统（静态的）可以阻止大多数入侵事件的发生，但是它不能阻止所有的入侵。特别是那些利用新的系统缺陷、新的攻击手段的入侵。因此安全政策的第二个安全屏障就是检测。P2DR安全模型3、检测检测是动态响应和加强防护的依据，是强制落实安全策略的工具通过不断地检测和监控网络及系统，来发现新的威胁和弱点，通过循环反馈来及时做出有效的响应P2DR安全模型3、检测检测的对象网络的安全风险是实时存在的，检测的对象主要针对系统自身的脆弱性及外部威胁。主要检查系统存在的脆弱性。在计算机系统运行过程中，检查、测试信息是否发生泄漏、系统是否遭到入侵，并找出泄漏的原因和攻击的来源。计算机网络入侵检测、信息传输检查、电子邮件监视、电磁泄漏辐射检测、屏蔽效果测试、磁介质消磁效果验证等。P2DR安全模型3、检测检测与防护的区别：如果防护和黑客的关系是：“防护在明，黑客在暗”，那么检测和黑客的关系是：“黑客在明，检测在暗”。防护主要修补系统和网络的缺陷。增加系统的安全性能，从而消除攻击和入侵的条件。检测并不是根据网络和系统的缺陷，而是根据入侵事件的特征去检测的。P2DR安全模型3、检测但是，黑客攻击系统的时候往往是利用网络和系统的缺陷进行的，所以入侵事件的特征一般与系统缺陷的特征有关。防护和检测技术是有相关理论背景的。在安全模型中，防护（P）和检测（D）之间有互补关系。如果防护部分做得很好，绝大多数攻击事件都被阻止，那么检测部分的任务就很少了。反过来，如果防护部分做得不好，检测部分的任务就很多。P2DR安全模型3、检测入侵检测系统（IDS）：是一个硬件系统或软件程序，基于入侵者的攻击行为与合法用户的正常行为有着明显的不同，实现对入侵行为的检测和告警，以及对入侵者的跟踪定位和行为取证。根据不同的特征，入侵检测系统可以分为不同的类型：根据检测环境不同，IDS一般可以分为基于主机的IDS（Host-based）和基于网络的IDS（Network-based）。P2DR安全模型3、检测基于主机的IDS检测基于主机上的系统日志，审计数据等信息。其优点在于它不但能够检测本地入侵（LocalIntrusion），还可以检测远程入侵（RemoteIntrusion）。而缺点则是它对操作系统依赖较大，检测的范围较小。基于网络的IDS检测则一般侧重于网络流量分析。其优点在于检测范围是整个网段，独立于主机的操作系统P2DR安全模型3、检测根据检测所使用方法，IDS还可以分为两种：1.误用检测（MisuseDetection）。首先需要建立一个入侵规则库，其中，它对每一种入侵都形成一个规则描述，只要发生的事件符合于某个规则就被认为是入侵。这种技术的好处在于它的误警率（FalseAlarmRate）比较低，缺点是查全率（ProbabilityofDetection）完全依赖于入侵规则库的覆盖范围另外由于入侵规则库的建立和更新完全靠手工，且需要很深的网络安全知识和经验，所以维持一个准确完整的入侵规则库是一件十分困难的事情。P2DR安全模型3、检测2.异常检测（AnomalyDetection）。并不对每一种入侵进行规则描述，而是对正常事件的样本建立一个正常事件模型，如果发生的事件偏离这个模型的程度超过一定的范围，就被认为是入侵。由于事件模型是通过计算机对大量的样本进行分析统计而建立的，具有一定的通用性，因此异常检测克服了一部分误用检测技术的缺点。但是相对来说异常检测技术的误警率较高。P2DR安全模型4、响应响应就是在检测到安全漏洞或一个攻击（入侵）事件之后，及时做出正确的响应，从而把系统调整到安全状态。从某种意义上讲，安全问题就是要解决紧急响应和异常处理。2.1.2PDRR网络安全模型（1）网络安全的整个环节还可以用另一个常用的安全模型——PDRR模型来描述。PDRR就是防护（Protection）、检测（Detection）、响应（Response）、恢复（Recovery）。防护(P)检测(D)响应(R)恢复(R)失败失败成功成功成功攻击失败2.1.2PDRR网络安全模型（2）PDRR安全模型中安全策略的前三个环节与P2DR安全模型中后三个环节的内涵基本相同最后一个环节“恢复”，是指在系统被入侵之后，把系统恢复到原来的状态，或者比原来更安全的状态。系统的恢复过程通常需要解决两个问题：一是对入侵所造成的影响进行评估和系统的重建二是采取恰当的技术措施进行改进2.1.2PDRR网络安全模型（3）PDRR安全模型说明了安全的实际目标：1.尽可能地增大保护时间，2.尽量减少检测时间和响应时间，3.在系统遭受到破坏后，尽快恢复以减少系统暴露时间。2.2网络安全体系结构计算机网络安全体系结构定义：网络安全最高层的抽象描述。在基于网络的安全系统的设计与开发过程中，需要从全局的体系结构角度考虑安全问题的整体解决方案，才能保证网络安全功能的完备性与一致性，降低安全的代价和管理的开销。完备的安全体系结构对于网络安全的理解、设计、实现与管理都有重要的意义。层次名称主要功能功能概述应用样例7应用层做什么•提供（OSI）用户服务，如文件传输、电子