网络安全体系结构.pdf

《网络安全体系结构.pdf》由会员分享，可在线阅读，更多相关《网络安全体系结构.pdf（9页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、-.网络平安体系构造网络平安体系构造信息平安系统是基于 OSI 网络模型，通过平安机制和平安效劳达成信息平安的系统。平安机制是提供某些平安效劳， 利用各种平安技术和技巧， 形成的一个较为完善的构造体系。 平安效劳是从网络中的各个层次提供信息应用系统需要的平安效劳支持。 网络模型、 平安机制、平安效劳应用到一起会产生信息系统需要的平安空间， 平安空间包括五大属性： 认证、 权限、完整、加密、不可否认。平安机制的主要容：1.根底设施实体平安。机房、场地、设施、动力系统、平安预防和恢复等物理上的平安。2.平台平安。操作系统漏洞检测和修复、网络根底设施漏洞检测与修复、通用根底应用程序漏洞检测与修复、网

2、络平安产品部署，这些是软件环境平台的平安。3.数据平安。涉及数据的物理载体、数据本身权限、数据完整可用、数据监控、数据备份存储。4.通信平安。涉及通信线路根底设施、网络加密、通信加密、身份鉴别、平安通道和平安协议漏洞检测等。5.应用平安。涉及业务的各项容，程序平安性测试、业务交互防抵赖测试、访问控制、身份鉴别、备份恢复、数据一致性、数据性、数据可靠性、数据可用性等业务级别的平安机制容。6.运行平安。涉及程序应用运行之后的维护平安容，包括应急处置机制、网络平安监测、网络平安产品运行监测、定期检查评估、系统升级补丁提供、最新平安漏洞和通报、灾难恢复机制、系统改造、网络平安技术咨询等。7.管理平安。

3、涉及应用使用到的各种资源，包括人员、培训、应用系统、软件、设备、文档、数据、操作、运行、机房等。8.授权和审计平安。授权平安是向用户和应用程序提供权限管理和授权效劳，负责向业务应用系统系统授权效劳管理、用户身份到应用授权的映射功能。审计平安是信息平安系统必须支持的功能特性， 主要是检查网络活动用户、 侦测潜在威胁、 统计日常运行状况、异常事件和突发事件的事后分析、辅助侦查取证。9.平安防体系。企业信息平安资源综合管理，含六项功能：预警、保护、检测、反响、回复、还击。平安效劳的主要容：1.对等实体认证效劳。交互双方的身份认证2.数据效劳。-.word.zl.-.3.数据完整性效劳4.数据源点认证

4、效劳5.制止否认效劳。包括不得否认发送、不得否认接收6.犯罪证据提供效劳平安技术的主要容：1.加密技术2.数字签名技术。独有解决收发双方纠纷的能力3.访问控制技术4.数据完整性技术。包括数据单元的完整性、数据单元序列的完整性5.认证技术6.数据挖掘技术信息平安保障系统的三种不同系统架构：MIS+S、S-MIS、S2-MIS。MIS+S 是根本信息保障系统，特点如下：1.业务应用系统根本不变2.硬件和软件系统通用3.平安设备根本不带平安密码S-MIS 是标准信息平安保证系统，系统建立在公认的PKI/CA 标准的信息平安根底设施上，特点如下：1.硬件和系统软件通用2.PKI/CA 平安保障系统必须

5、带密码3.业务应用系统必须根本改变4.主要的通用硬件和软件也要通过PKI/CA 认证S2-MIS 是超平安的信息平安保障系统，不仅系统是建立在公认的 PKI/CA 标准的信息平安根底设施上，而且硬件和系统软件也是使用“专用的、“平安的产品，特点如下：1.硬件和系统软件都是专用2.PKI/CA 平安根底设施必须带密码3.业务应用系统必须根本改变4.主要的硬件和系统软件需要PKI/CA 认证三种系统价格逐渐攀升，根据需要选择平安系统架构。一个成功的信息平安保障系统需要各个方面的通力合作。信息平安保障系统是一个在网络上， 继承各种硬件、软件和密码设备，保障其他业务应用信息系统正常运行的专用信息应用系

6、统， 附带系统相关岗位、 人员、 策略、 制度和规程的总和。网络平安体系构造网络平安体系构造-.word.zl.-.图中描述的就是一个三维的网络平安空间， 它反映了网络平安需求和体系构造的共性。 图中的三维特性分别是平安效劳、 系统单元和协议层次。 其中在每一个特性上面都为他们提供了平安管理。平安管理就是连接这三个维度，保证整个体系构造的平安性。网络体系构造主要包括三局部容：平安效劳、 协议层次、系统单元。针对网络平安存在的各种类型的平安威胁，将会针对这些协议定义一维平安效劳。 为支持这些效劳，在系统中定义了一些平安机制， 同时平安管理由于不是正常的通信业务， 主要是为用户的通信通告平安支持和

7、控制。平安效劳指的是该平安单元能解决什么平安威胁。 一般来说， 网络平安的威胁主要是在来自于人的恶意行为可能造成的资源被破坏、 信息泄露等等。 平安效劳主要包括了以下六个方面：认证、访问控制、数据完整性、数据性、抗抵赖、审计和可用性。认证效劳。认证效劳提供某个实体的身份保护， 在通信的某一个特定过程中， 如果某个实体声称具有特定的身份时，认证效劳就提供一种方法来证实这个声称是否正确。由于在某种程度上， 网络平安体系构造的其他平安效劳都依赖于认证效劳， 或者和认证效劳严密地结合， 因此认证效劳是一个重要的根底平安效劳。 通过认证效劳在很多情况下就可以杜绝想 CSRF(cross-site req

8、uest forgery，跨站请求伪造)这样的攻击。同时在保障系统的物理平安时，也会起到一定的作用。访问控制效劳。 访问控制效劳经常和认证效劳一起使用。 访问控制效劳就是对某些确认身份的实体，限制其对某些资源的访问。 访问控制效劳可以防止未授权的实体访问资源， 所谓未授权的访问就是未经授权的使用、 修改、销毁数据资源以及执行指令代码等。 访问控制效劳支持性、完整性、可用性和认证平安性，其中对性、完整和认证所起到的作用十清楚显。访问控制是实现授权的一种方法。 它涉及到通信和系统的平安问题。 由于必须在网络上传输访问控制信息，所以它对通信协议具有很高的平安要求。数据完整性效劳主要提供了可恢复的连接

9、完整性、 不可恢复的连接完整性， 选择字段的连接完整性、无连接完整性、选择字段无法连接完整性等平安效劳。 数据完整性效劳直接保证数据的完整性。所有的数据完整性效劳都能够对付新增或修改数据的企图。数据效劳， 数据性效劳保护信息不泄露或不暴露给那些未授权想掌握该信息的实体。 这种效劳有以下几个方面：连接性、无连接性、选择字段性、业务流程性。抗抵赖性， 抗否认效劳与其它平安效劳有根本不同。 它主要保护通信系统不会遭到系统中其他合法用户的威胁， 而不是来自未知攻击者的威胁。 抗抵赖效劳的出发点不仅仅由于在通信各方之间存在着相互欺骗的可能性， 另外它也反映了一个现实， 即没有任何一个系统是完全完备的，

10、而且也可能出现通信双方最终达不成一致协议这样的情况。 抗抵赖效劳可采取以下两种形式：数据起源的抗抵赖和传递过程的抗抵赖。-.word.zl.-.审计效劳主要是对系统的数据和业务流程进展平安审计， 找出其中可能存在的漏洞或者是薄弱环节。 同时也收集可用于平安审计的数据， 一边对系统的记录和活动进展独立地观察和检查。可用性效劳， 这是整个网络平安体系构造所提供的最根本的效劳。 网络平安首先要保证系统的可用性然后在此根底上保证系统的平安性。系统单元指的是该平安但愿解决什么系统环境的平安问题。 对于现代的互联网， 系统单元可以分为五个不同环境：物理环境、应用平台、系统平台、网络平台、通信平台。物理环境

11、，如硬件设备、网络设备等，包含该特性的平安单元解决物理环境的平安问题。例如使用交换机代替集线器可以缓解网络窃听问题。应用平台主要指的是各种不同的应用程序和中间件。应用程序是在操作系统上安装和运行的。 包含该特性的平安单元解决应用程序所包含的平安问题。 一般是指数据在操作和资源在使用的时候的平安威胁。系统平台那么指的是操作系统。 包含该特性的平安单元解决段系统或者中间系统 网桥、路由器等的操作系统包含的平安问题。一般是指数据和资源在存储时的平安威胁。网络平台那么指的是网络传输的平安威胁。 例如加密技术可以解决数据在网络传输时的平安问题。 一般是指数据在网络上传输的平安威胁。 例如加密技术可以解决

12、数据在网络传输时的平安问题。通信平台那么主要指的是通信线路。 包含该线路的平安单元主要解决的是通信线路所存在的平安问题。 包括系统软硬件、 配置及使用不当， 物理电磁辐射引起的信息泄露等方面的问题。协议层次是互联网的 TCP/IP 协议的根底。 平安单元的这个特性描述了该平安单元在网络互连协议中，解决了什么样的互联问题。物理层设计在物理通信信道上传输原始比特，处理与物理传输介质有关机制的、电气 =器过程的接口。在物理层上传输的单元是信号。链路层。 链路层分为介质访问控制和逻辑链路控制两个子层。 在链路层上传输的单元是比特。网络层。网络层负责将数据从物理连接的一端传递到另一端， 即所谓的点到点通

13、信。 它的主要功能是寻找路径， 以及与之相关的流量控制和拥塞控制等。 在网络层上传输的单元是网络数据包。传输层。 传输层的主要目睹在于密布网络效劳与用户需求之间的差距。 传输层通过向上提供了一个标准、通用的界面，使上层与通信子网下三层的细节相隔离。传输层的主要任务是提供进程间通信机制和保证数据传输的可靠性。应用层。应用层向用户提供最常用且通用的应用程序，包括电子、 文件传输、网页浏览等。应用成描述了端对端之间的通信。以上就是网络平安体系构造中不同的三个特性的介绍和说明。 除了这三个特性之外， 平安管理是这三个特性的“粘合剂，保证了这三个特性之间有效的结合。 平安管理的主要作用是实施一系列的平安

14、政策， 对系统和网络上的操作进展管理。 平安管理包含三个局部： 系统平安管理、平安效劳管理、平安机制管理。系统平安管理主要是涉及到整体的网络平安环境的管理， 例如平安事件的管理， 包括时间报告、存储和查询等；平安效劳管理那么涉及特定平安效劳的管理， 其中包括制定平安效劳可使用的平安机制、对可使用的平安机制进展协商； 平安机制管理：平安局只管理涉及的是特定平安机制的管理，包括密钥管理、加密管理、数字签名管理、访问控制管理、路由控制管理等。网络平安设计原那么网络平安设计原那么-.word.zl.-.从网络平安角度看，网络平安防护系统的设计与实现应按照以下原那么：最小权限原那么、纵深防御原那么、防御

15、多样性原那么、防御整体性原那么、平安性与代价平衡原那么、 网络资源的等级性原那么。最小权限原那么： 任何对象应该只具有该对象需要完成其指定任务的权限， 限定权限使用的围、控件、时间等，减少资源的供应面，从而减少因侵袭所造成的损失。纵深防御原那么： 要求网络平安防护系统是一个多层平安系统， 防止成为网络中的“单失效点， 要部署有多重的防御系统， 这样就可以在其中一个一同被攻破之后后续还有其他的防御系统来保障系统的平安。防御多样性原那么存在技术和防御方式两个方面。 在技术方面， 要保障主机平安， 网络平安，同时要注意防病毒和木马。而在防御方式上面，那么可以部署防火墙， IDS。蜜罐等手段保护系统平

16、安。 防御多样性是要求在系统中的不同组件中都需要不是一定的平安产品， 同时还要结合多种不同的平安产品来共同保证系统的平安。 平安防御性原那么的实施就防止了系统的仅仅使用单一的平安措施和效劳，以此来保障系统的平安性。网络平安的整体性原那么： 要求在网络发生被攻击、 破坏事件的情况下， 必须尽可能的快速恢复网络信息中心的效劳， 减少损失；同时在网络系统各个点上部署平安防御措施， 防止出现平安的木桶效应。 因此信息平安系统应该包括平安防护机制、 平安检测机制和平安响应机制。 平安防护机制是根据具体系统存在的各种平安威胁采取的相应的防护措施， 防止非法攻击的进展。 平安监测机制是检测系统的运行情况，

17、及时发现和政治对系统进展各种攻击。平安响应机制是在平安防护机制失效的情况下，进展应急处理。平安性评价与平衡原那么：对任何网络， 绝对平安难以到达，也不一定是必要的，所以需要建立合理的实用平安性与用户需求评价与平衡体系。 平安体系设计要正确处理需求、 风险与代价的关系，做到平安性与可用性相容， 做到组织上可执行。评价信息是否平安，没有绝对的评判标准和衡量指标， 只能取决于系统的用户需求和具体的应用环境， 具体取决于系统的规模和围，系统的性质和信息的重要程度。标准化与一致性原那么： 平安体系是一个复杂的系统工程， 涉及人、 技术、 操作等要素。单靠技术或单靠管理都不可能实现。 因此，必须将各种平安

18、技术与运行管理机制、 人员思想教育与技术培训、平安规章制度建立相结合。校园网典型拓扑校园网典型拓扑-.word.zl.-.校园网平安防护手段校园网平安防护手段根据上面网络体系构造的设计思想和校园网络所遇到的网络平安威胁， 校园网络需要组合必要的平安设备和平安效劳来构建网络平安系统，提供路由平安、路由过滤、防火墙、IDS、VPN、电子平安、web 平安等。1、 路由平安具有一个平安路由体系构造的网络与一个路由构造设计拙劣的网络相比， 前者更不容易受攻击， 不易出现纰漏。 设计适当的路由根底构造还能够帮助网络在在遭受攻击期间降低故障时间。2、 路由过滤、适当的路由过滤对于任何实现良好的网络都是重要

19、的。在校园网中，确保路由过滤用于过滤那些进入校园网的假的和不受欢送的路由， 并且确保只有真正包含在部网络上的路由才能允许通过。路由过滤也用于隐藏某一块网络。 同时，通过配备适当的防火墙和其他认证机制， 路由过滤也能够阻挡平安性较低的网络区到平安性高的网络去的访问。 常见的路由设置方案有静态路由和路由认证。 但是这两者的使用均有一定的局限性。 所以很多时候，不能使用单一的路由方法来用作路由过滤， 要结合多种路由设置方法， 同时还不能将路由过滤作为网络平安的单一手段。3、 防火墙设置设置防火墙并正确配置防火墙都很重要。在校园网中，防火墙的设置应该需要满足以下原那么。（1）防火墙应该尽可能设置在网络

20、最终出口和入口的校园网边界。这样专用网络中最大数量的设备能够受到防火墙的保护，同时也有助于校园网和公用网络保持清楚的界限。（2）除了将防火墙设置在网络入口点之外，某些情况可能也需要将防火墙设置在校园网部。比方校园网中的财务处效劳器、图书馆网段或教务处效劳器所在的网段都需要设置防火墙。这些效劳器都需要被保护以防止网络中的其他用户访问。（3）在多数情况下，防火墙不应该与其他的网络设备，比方路由器并行设置。这样可能导致防火墙被旁路。同时，我们也需要防止在网络拓扑中参加任何可能导致防火墙被旁路的设置。随着防火墙技术的开展，防火墙又有了新的特性可以进一步增强我们的网络平安，比方过滤 SYN 泛洪、ICM

21、P 泛洪、IP 欺骗等网络攻击。利用防火墙的配置，能够限制每个用户的连接数甚至根据局部应用层效劳特性阻断比方电驴、BT 等 P2P 应用或限制带宽，这为保证 HTTP 之类的应用提供了重要平安保障和带宽保障。4、 虚拟专用网VPN的设置虚拟专用网 VPN 综合了传统数据网络的性能优点和共享数据网络构造的优点，能够进展远程访问，连接部网和外部网，同时价格低廉。在降低本钱的同时还能保证对网络带宽接入和效劳不断增加的需求。 利用 VPN 特性在 Internet 上组建世界围的部虚拟网。 利用 Internet的线路保证网络的互联性，利用隧道、加密等VPN 特性可以保证信息在整个部虚拟网上的平安传输

22、。 部虚拟网通过一个使用专有连接的共享根底设施连接各校区， 使用它们拥有与专-.word.zl.-.用网络一样的效劳，包括平安、效劳质量、可管理性和可靠性。并且，如果使用扩展的虚拟专用网， 能够很容易地与外部网进展部署和管理， 学生计算机可以通过学生专用许可连接至校园网部，通过这种方式可以有效地对校园网进展平安管理。所以，通过VPN 的方式不仅可以连接学校的各个分校区， 同时还可以将校园网的各种效劳延伸至校园外供教师、 学生使用。5、 电子效劳器平安电子是校园网中最难管理和维护的系统之一。随着用户不断增多，系统所面临的平安问题日益增多， 例如垃圾、 中继利用等。 所以校园网平安的电子系统必须能

23、够有效地消除垃圾、病毒、局部网络入侵。作为一个平安的电子系统应该具备以下功能： 系统本身具有较强的稳定性和可靠性；应具有与病毒系统集成的病毒查杀、处理能力；具有灵活的垃圾防机制；具有严格的发信认证机制和反中继功能， 从而防止本身成为垃圾和分发代理。 传输代理需要具有较高的强健性，即使在重负荷之下仍然可以工作。 同时还学要具有良好的平安性， 最好是具有多层防御构造，能够有效地抵御恶意入侵者。 最好是可以运行在较低的权限之下， 不可以通过网络访问与平安相关的本地应用程序。6、 DDoS 防御在校园网中最常见的 DDoS 的攻击方式通常是利用系统的漏洞，恶意占用大量的 CPU资源和存资源， 导致受害

24、主机系统效劳性能下降甚至造成系统瘫痪。 由于 DDoS 攻击的复杂性，很难依靠某种单一的系统或产品防御DDoS 的攻击。通常情况下，在校园网防御DDoS攻击能力的措施有以下几种：高性能的硬件设备抵抗 DoS 甚至 DDoS 攻击；充足的网络带宽和系统优化；安装专业的抗DDoS 防火墙。7、 身份认证如今的数字化校园通常包括了自动化办公、财务信息系统、教务管理、图书馆系统、电子系统、 及营业管理系统等应用， 其中都需要进展身份的认证并且对不同身份所拥有的角色进展授权， 而校园网就常常需要面对各种应用系统在用户管理过程中的分散管理的问题。 解决这个问题的有效方法就是采用统一、 集中管理用户访问权限

25、的认证系统过建立一个统一身份认证平台， 将校园网中用户登录系统的根本验证信息统一存储并统一管理， 对应用系统进展统一授权， 这样就可以为不用应用系统提供用户管理效劳队校园网统一身份认证系统， 将用户信息资源统一保存到认证效劳器中保证了信息资源的稳定、 可靠、平安。使用统一的认证系统提供的接口连接效劳， 系统就可以很好的支持基于平台的各种应用系统的调用， 简单易实现。同时，各应用系统只需保存角色和权限控制， 用户和角色的管理由应用系统自行管理，从而简化了应用系统中用户管理模式的建立和后期维护。8、 病毒防和补丁效劳在学校网络中心配置一台高效的效劳器，安装一个网络版杀毒软件系统中心，负责管理校园网

26、所有主机网点的计算机， 然后在各主机节点分别安装网络版杀毒软件的客户端。 同时为了平安和管理起见， 管理员需要对网络中心的杀毒软件进展定期的更新。 而杀毒软件的选择目前在市场上也有很多产品。 具体选择什么样的产品还需要根据学校具体情况而定。 与此同时，还需要注意的是封锁系统平安漏洞。 在校园网的管理过程中， 要及时下载和安装各种补丁、更新程序、升级操作系统，封锁系统平安漏洞。这样对于保护网络和信息系统的平安有很大的帮助， 可以有效地防止一些攻击者利用操作系统或各种应用软件的漏洞对校园网资源进展非法访问和恶意篡改。-.word.zl.-.9、 IDS 的设置不同于防火墙，IDS 入侵检测系统是一

27、个监听设备，主要是对流量进展基于网络特征、协议分析以及流量异常等方式的检测，并对检测到的异常和攻击事件记录到攻击数据库中，并且可以和其他的交换机、防火墙配合使用进展整体防御。因此，一般都是将 IDS 部署在关键流量流经的链路上。 这里的关键流量一般指的是， 来自高位网络区域的访问流量和需要进展监视的流量。鉴于目前大局部的网络区域是交换式网络构造，所以 IDS 在交换机网络中的位置是选择以下的地方，效劳器区域交换机上、Internet 介入路由器之后的第一台交换机上、重点保护网段的局域网交换机上。 一个典型的 IDS 的部署方案如下图。在部署了 IDS系统之后，IDS 能够实时分析校园网外部以及

28、校园网部的数据通信信息，分辨入侵攻击，在校园网网络系统受到危害前以各种方式发出警报， 并且及时对网络入侵采取相应措施， 最大限度保护校园系统的平安。通过多级、分布式的网络监测、管理、控制机制， IDS 能够有效对校园网中的关键资源进展控制和危险预警。10、WAF防火墙主要是防校园网外部的攻击， 但是如果要有效的保证校园网站点的平安性， 就需要使用到 WAF技术。WAF 是 Web Application Firewall 的简称，中文翻译为 web 应用防火墙。WAF 是一种网页监控与恢复系统，基于对 HTTP/HTTPS 流量的双向分析，对页面进展实时监控。要在系统中部署并且利用好WAF 需

29、要进展一系列的步骤和操作。首先，要在校园 web 效劳器启动监控端效劳，这是就会处在网页被保护监控保护状态。其次是网页保护设置、监控管理的工作。在控制端登录控制台，连接监控端主机进展设置，进展用户管理，添加或删除监控的目标文件或目录，设置备份效劳器。管理员平时要注意日志文件的观察。对日志文件的分析可以及时发现平安薄弱点和已被入侵的站点， 并且完整的日志在出现网络平安事件后可能也是回溯追踪的重要线索。综合考虑以上所分析的网络平安标准、 技术、机构以及该校园网网络建立的实际现状， 再加上校园网网络建立的网络平安部署方案。最终该校园网的网络拓扑如下图。-.word.zl.-.Dmz 区放置平安设备-waf -负载均衡设备-效劳器核心交换机 sw-ids漏洞扫描设备审计设备-.word.zl