网络安全技术2018

网络安全体系与技术毕红军2018年5月参考书•毕红军张凯译《计算机网络安全导论》电子工业出版社2009.内容•1.信息安全•2.安全威胁与安全模型•3.网络安全防御体系•4.网络安全相关技术引言•2010年震网病毒袭击伊朗核设施•2011工信部协451号《关于加强工业控制系统信息安全管理的通知》•2012年国发23号《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》信息时代•信息技术IT•信息化：获取------传感传输------信息网络处理------计算机存储------磁介质应用信息化•产生---获取---传输---存储---处理---应用•传感器网络•信息网络•半导体磁性介质•计算机•物联网信息安全需求•产生---获取---传输---存储---处理---应用•安全：•基础信息网络•重要信息系统•信息安全•保护信息传输安全----传输信息•保护信息系统安全----存储信息1.信息安全信息化过程中的信息安全•传输信息的安全：通道•存储信息的安全：网络安全现状•信息网络安全电子欺诈与窃听黑客与恶意软件安全控制安全控制的三个方面：•技术•管理•物理研究•安全规划•安全风险防范•安全风险管理安全风险管理方法•CORAS框架：基于全局模型的安全风险管理办法。•环境识别：资源需求评价•风险识别：脆弱性威胁风险•风险分析：状态方法过程•风险评估：排序危害基线•风险应对：策略监控体系风险管理RM•资源分析•风险识别•风险分析•风险评估•风险对策二、OSI安全体系结构ITU-T推荐方案X.800ISO7498-2RFC2401考虑信息安全的三个方面：•安全服务•安全机制•安全攻击1.安全威胁与安全模型•1.网络（通信）安全模型该模型反映了如何保护信息传输安全安全威胁•安全威胁:侵犯安全的可能性。是潜在威胁安全威胁：偶然地故意地主动攻击被动攻击•安全攻击:智能行为对安全威胁的具体体现。•计算机网络面临的威胁：•1.人为地无意失误•2.人为地恶意攻击•3.网络软件的漏洞和后门安全攻击（威胁）•被动攻击:消息内容泄露业务量分析•主动攻击:伪装(假冒)篡改重放拒绝服务DDoS•信号系统中的传输信息安全•抗干扰•2.网络访问安全模型黑客系统弱点软件攻击该模型反映了如何保护信息系统使其免受不需要（有害）的访问。安全攻击•内部攻击:•外部攻击:好奇好战引人注目信息间谍计算机犯罪•恶意软件黑客攻击类型•病毒Virus•InsiderabuseofNetaccess•Unauthorizedaccesstoinformation•Denialofservice•Systempenetration•Theftofproprietaryinformation•Telecomfraud•Financialfraud•Abuseofwirelessnetwork•WEBsitedefacement•电子欺诈与窃听•恶意软件与黑客2.安全服务（X.800）•鉴别-assurancethatthecommunicatingentityistheoneclaimed防止第三方主动攻击•访问控制-preventionoftheunauthorizeduseofaresource防止越权•数据保密性–protectionofdatafromunauthorizeddisclosure防止被动攻击•数据完整性-assurancethatdatareceivedisassentbyanauthorizedentity防止主动攻击•不可否认性-protectionagainstdenialbyoneofthepartiesinacommunication防止通信双方3.安全机制•保护信息安全所采用的手段。•用来保护系统免受侦听、阻止安全攻击及恢复系统的机制。普遍安全机制•信任功能•安全标签•事件检测•安全审计跟踪•安全恢复安全机制（X.800）•加密•数字签名•访问控制•数据完整性•鉴别交换•通信量填充•路由控制•公证三、网络安全防御体系防火墙的作用防病毒服务器的工作原理及应用身份认证系统的工作原理及应用信息安全技术•保密性•真实性•第一道防线：网络与系统接入控制防止•第二道防线：用户管理与资源访问（数据存取）控制阻止•第三道防线：病毒防范与动态安全管理检测•第四道防线：灾难预防与系统恢复（备份）纠正安全防御体系四道防线-防控监管第一道防线：网络与系统接入控制防止安全防护第二道防线：用户管理与访问控制阻止防范控制第三道防线：病毒防范与动态管理检测监测报警第四道防线：灾难备份与系统恢复纠正应急准备中心机房网络安全设备•调度集中系统的网络安全防护措施：•1.访问控制设备：包括防火墙、入侵检测系统及身份验证系统。•2.网络病毒防护设备：硬件网络防病毒主机•3.系统缺陷检测：网络漏洞评估主机第一道防线•解决边界安全、通信安全问题。•系统（网络）接入控制•“门卫”功能•“让不让进”•防火墙•防病毒服务器•身份认证系统•物理安全•物理隔离•防火墙•VPN四、相关技术物理隔离•只有一种真正安全的隔离手段，就是物理上断开连接。•2000年1月，中国国家保密局•主要应用对象：政府、军队、金融、铁路等物理隔离•是指内部网络与外部网络在物理上没有相互连接的通道，两个系统在物理上完全独立。•物理隔离：指在物理传导上、辐射上、存储上隔断两个网络。•物理隔离的实现模型：客户端选择设备网络选择器防火墙基本概念•企业内部网络和外部网络之间设置一个防火墙，阻止外部网络对内部网络进行访问控制的任何设备，实施网络之间的安全访问控制，确保企业内部网络的安全。它是网络间实施网间访问控制的一组组件。它通常是软件和硬件的组合体。根据一些规则来挑选想要或不想要的地址。•所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网​与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（SecurityGateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包​均要经过此防火墙。基本功能：•1）过滤进出网络的数据包。•2）管理进出网络的访问行为。•3）封堵某些禁止的访问行为。•4）记录通过防火墙的信息内容和活动。•5）对网络攻击进行检测和告警。•特性或设计目标：1）所有通信都必须经过防火墙。2）只有被授权的通信才能通过防火墙。3）防火墙本身对于渗透必须是免疫的。防火墙的主要缺陷：•1）无法防护来自内部网络用户的攻击。对内部网络用户来说形同虚设。•2）无法防范防火墙以外（绕过了它）的其他途径的攻击。•3）无法防止病毒感染过的程序和文件进出网络。防火墙的三种类型•包过滤防火墙（门卫）•应用级网关（代理、首长秘书）•电路级网关（中继、接线员）Firewalls–PacketFilters•包过滤防火墙：包过滤防火墙设置在网络层，可以在路由器上实现包过滤。首先应建立一定数量的信息过滤表，信息过滤表是以其收到的数据包头信息为基础而建成的。信息包头含有数据包源IP地址、目的IP地址、传输协议类型（TCP、UDP、ICMP等）、协议源端口号、协议目的端口号、连接请求方向、ICMP报文类型等。•当一个数据包满足过滤表中的规则时，则允许数据包通过，否则禁止通过。这种防火墙可以用于禁止外部不合法用户对内部的访问，也可以用来禁止访问某些服务类型。但包过滤技术不能识别有危险的信息包，无法实施对应用级协议的处理，也无法处理UDP、RPC或动态的协议。Firewalls-ApplicationLevelGateway(orProxy)代理防火墙•代理防火墙又称应用层网关级防火墙，它由代理服务器和过滤路由器组成，是目前较流行的一种防火墙。它将过滤路由器和软件代理技术结合在一起。过滤路由器负责网络互连，并对数据进行严格选择，然后将筛选过的数据传送给代理服务器。代理服务器起到外部网络申请访问内部网络的中间转接作用，其功能类似于一个数据转发器，它主要控制哪些用户能访问哪些服务类型。•当外部网络向内部网络申请某种网络服务时，代理服务器接受申请，然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务，如果接受，它就向内部网络转发这项请求。代理防火墙无法快速支持一些新出现的业务（如多媒体）。现要较为流行的代理服务器软件是WinGate和ProxyServer。Firewalls-CircuitLevelGateway•双穴主机防火墙：该防火墙是用主机来执行安全控制功能。一台双穴主机配有多个网卡，分别连接不同的网络。双穴主机从一个网络收集数据，并且有选择地把它发送到另一个网络上。网络服务由双穴主机上的服务代理来提供。内部网和外部网的用户可通过双穴主机的共享数据区传递数据，从而保护了内部网络不被非法访问。FirewallConfigurationsFirewallConfigurationsFirewallConfigurations虚拟专用网络（VirtualPrivateNetwork，简称VPN)•指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式〉、FrameRelay（帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。•VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。•VPN的解决方法是在内网中架设一台VPN服务器，VPN服务器有两块网卡，一块连接内网，一块连接公网。外地员工在当地连上互联网后，通过互联网找到VPN服务器，然后利用VPN服务器作为跳板进入企业内网。为了保证数据安全，VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密，就可以认为数据是在一条专用的数据链路上进行安全传输，就如同专门架设了一个专用网络一样。但实际上VPN使用的是互联网上的公用链路，因此只能称为虚拟专用网。即：VPN实质上就是利用加密技术在公网上封装出一个数据通讯隧道。VPN的实现四种方法1）VPN服务器，在大型局域网中，可以在网络中心通过搭建VPN服务器的方法来实现2）软件VPN，可以通过专用的软件来实现VPN。3）硬件VPN，可以通过专用的硬件来实现VPN。4）集成VPN，很多的硬件设备，如路由器，防火墙等等，都含有VPN功能，但是一般拥有VPN功能的硬件设备通常都比没有这一功能的要贵。第二道防线•1.身份认证（鉴别）技术、•2.密码学技术（存取数据机密状态）•3.PKI&PMI技术•4.用户管理-目录服务技术（X.500）•5.授权与访问控制技术（资源管理）•6.信息过滤技术•认证、授权与访问控制•实体认证：所知所有所做生物特征生物特征•基于生理特征•基于行为特征•语音•指纹•面孔•视网膜•手型•虹膜•签名身份认证系统•身份认证：用户与主机间的认证主机与主机之间的认证动态口令牌•简单认证口令选择：容易记忆难以猜测策略：至少8个字母大小写字母都有至少有一个数字至少含有一个非标准字符•强认证•绝密级口令不应少于12个字符（6个汉字）•机密级口令不应少于10个字符（5个汉字）•秘密级口令不应少于8个字符（4个汉字）例：句子的第一个字母组合：Fourscoreandsevenyearsago,ourfathers..Fs&7yA,0….身份验证(单机)•所知：口令、密码、PIN•所有：证件、IC卡•所做：签名•生物特征：指纹、视网膜、DNA等•可靠第三方鉴别：访问控制模型：1自主访问控制（DiscretionaryAccessControlDAC）：系统资