《网络安全及其体系构成.ppt》由会员分享,可在线阅读,更多相关《网络安全及其体系构成.ppt(78页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网络安全及其体系构成 Still waters run deep.流静水深流静水深,人静心深人静心深 Where there is life,there is hope。有生命必有希望。有生命必有希望背景o世界上平均每24秒就有1次网络入侵事件o因网络安全问题全世界每年损失约100亿美元o现代计算机技术的高速度与大跨度特点使网络犯罪更具隐蔽性威协性o中国在网络安全方面的投入相对较弱(占5%的网络投资,而发达国家达15%-20%)应引起重视o网络安全市场高增长率的发展(中国50%)信息系统安全的威胁o欧洲最大的机构都经历过非法的信息访问及破坏;服务的损失和知识产权的盗窃 o大约70%信息系统破坏
2、都是来自內部,而超过45%是由不高兴的雇员做的o信息系统的多平台性质是一个主要的安全问题 互联网与企业业务的融合o在互联网时代没有到来之前,通信网络的建设是固定的。那就是要为电话建立一个能够提供全球性服务的网络,该网络应具有迅速、准确、智能、安全、可靠、可控和经济的特点。o经历了100 多年的发展,信息产业的格局正在发生历史性变革。过去电信和通信概念之间有很大的差异,今天,二者之间的差异己经很小。语音、数据和图像通信都在数字化,而一切可以抽象描述和表示的内容都在分组化。o使用基于IP 的技术、应用和服务层出不穷,因此重建IP 网络基础设施成为一种潮流、这也将成为整个通信重建的第一步。近期而言,
3、新运营商的日标就是要之初的建造世纪IP 基础设施,而对老运营商而言,其目标将是改造现有的网络,使之成为适应或比较适应IP 业务的网络.语音,数据,图象IP技术电话网络安全在企业业务中的作用o建造企业信息化基础设施的原则是什么?是迅速、准确、智能、安全、可靠、可控和经济。全球信息化突飞猛进,通信技术也在飞速发展,并与国际接轨,从而使安全问题成为企业信息网络的新挑战。网络安全在企业业务中的作用o如果没有安全,就谈不上可靠;没有安全可靠的运维环境,可控性自然就差;就可能导致灾难性的破坏,并带来大量的经济损失。所以,在新生的互联网时代中,网络安全是企业业务所面临的一个严峻考验。o我们都知道,信息在社会
4、生活中非常重要,如果信息在安全方面稍微有点漏洞,就有可能被“黑客”利用,捣毁数据及网络,对人民的正常生活、社会的正常运作造成不同程度的影响,同时给企事业单位会带来经济损失。所以安全问题是值得重视和迫切需要解决的问题,急需采取网络安全管理措施。安全产品-1o全世界销售防火墙-150,000o连接到Internet上的公司-3,000,000o60%的防火墙按缺省设置安装o85%的防火墙没有正确的配置连接到连接到Internet的公司中只有不到的公司中只有不到5%具有具有有价值的边界保护有价值的边界保护一些安全上的信息o大多数安全攻击仍被忽视o高达70%安全攻击来自企业内部n除了纯粹考虑不当,疏忽
5、-意外-是常见的理由(70%)o作为解决方案,企业安全是方法和规则问题,如同技术一样n没有哪一个产品可保护所有的东西来源:CSI/FBI 1998 Computer Crime and Security Survey损失的真实来源案例之一o国外某一大银行的计算机工程师发现处理帐时存在零头的舍出问题,于是他改变了帐务程序,开了一户头,把舍去的零头都存入这一户头据为己有,近十年后当银行在一次偶然机会发现这一问题时,他己挥霍了上百万美元.网络(信息)安全概要o物理安全o操作系统安全o应用系统安全o网络安全o管理制度o技木层面:设备(软硬件),体系构成企业网络的安全需求o网络层被攻击的风险 网络中心连
6、通Internet之后,企业网可能遭受到来自Internet的不分国籍、不分地域的恶意攻击;在Internet 上广为传播的网络病毒将通过Web访问、邮件、新闻组、网络聊天以及下载软件、信息等传播,感染企业网内部的服务器、主机;更有一些黑客程序也将通过这种方式进入企业网,为黑客、竞争对手获取企业数据创造条件;企业网络的安全需求o企业网内部连接的用户很多,很难保证没有用户会攻击企业的服务器。事实上,权威数据表明,来自于内部的攻击,其成功的可能性要远远大于来自于Internet的攻击,而且内部攻击的目标主要是获取企业的机密信息,如各种图纸、重要的数据等,其损失要远远高于系统破坏。o需要解决的问题:
7、基于以上风险,在上述两层网络结构中,网络层安全主要解决企业网络互联时和在网络通讯层安全问题,有以下几个部分:企业网络的安全需求o企业网络进出口控制(IP过滤);o解决企业网络本身内部的安全,如果解决了各个企业网的安全,那么企业互联的安全只需解决链路层的通讯加密。o需要对进入企业内部网进行管理和控制。在每个部门和单位的局域网也需要对进入本局域网进行管理和控制。各网之间通过防火墙或虚拟网段进行分割和访问权限的控制。o对内网到公网进行管理和控制。企业网络的安全需求o防止非授权用户进出内部网络。o网络和链路层数据加密,特别是最核心的领导办公服务系统,为领导提供信息共享,需要有高强度的数据加密措施。o安
8、全检测和报警、防杀病毒,实时对公开网络和公开服务器进行安全扫描和检测,及时发现不安全因素,对网络攻击进行报警。这主要是提供一种监测手段,保证网络和服务的正常运行。o及时发现来自网络内外对网络的攻击行为;o详实地记录攻击发生的情况;企业网络的安全需求o当发现网络遭到攻击时,系统必须能够向管理员发出报警消息,必须能够及时阻断攻击的继续进行。o对防火墙进行安全检测和分析;o对Web服务器检测进行安全检测和分析;o对操作系统检测进行安全检测和分析。o需要采用网络防病毒机制来防止网络病毒的攻击和蔓延。严格地讲,防杀病毒属于系统安全需求范畴。企业网络的安全需求o应用层安全o主要是对网络资源的有效性进行控制
9、,管理和控制什么用户对资源具有什么权限。资源包括信息资源和服务资源。其安全性主要在用户和服务器间的双向身份认证以及信息和服务资源的访问控制,具有审计和记录机制,确保防止拒绝和防抵赖的防否认机制。需要进行安全保护的资源如前面所述的公共应用、办公系统应用、信息查询、财务管理、销售管理、电子商务以及企业行业应用。对企业的网络安全解决建议 首先增加一个防火墙,将原来的中心子网和内部网分为非军事化区、内网和外网。将公开的WWW,FTP,NNTP服务器等放在非军事化区,并放置代理服务器。将内部使用的各种应用服务器统统放在内网,将各种危险的服务器屏蔽在外网。通过防火墙和路由器的配置,这样,用户从外网访问内网
10、时,都通过防火墙来访问关键的数据,这就保障了网络应用的安全。如果需要,在各个子网的出口也安装防火墙,进一步保障子网的安全。上述三网段安全结构也可以应用于各独立的子网。常见的攻击与威协o黑客o病毒o特洛伊木马o后门o拒绝服务o指令操作o工具软件o编程攻击者与攻击活动o黑客o不满的内部人员(据大量统计表明占80%,应引超重视)o罪犯与商业间谍(这是最危险的一类应时刻警惕)o执行进程o获取数据o修改数据o暴露信息o获取超级用户权限或特定权限o发动拒绝服务攻击攻击手法举例o弱口令o网络监听 监听工具(如 Snifft NetXRay 管理员/黑客)以太网 FDDI Tcp/IP o缓冲区溢出 pass
11、wd(uid-suid)o恶意破坏的代码:病毒oWeb欺骗o利用程序错误的攻击 泪滴(Teardrop)攻击网络安全技术与产品o防火墙(包过滤,应用代理,状态监测)o入侵检测o漏洞扫描,安全评估o3Ao密码机/卡 VPNo物理隔离o取证 信息伪装 o安全管理平台o密码技术o带宽/高性能(算法与硬件技术)o人工智能/数据挖掘/辅助决策o系统工程(规化与布置)案例之一威协分析 对公司和企业的网络应用而言,网络安全风险主要来自两个方面:o来自Internet的攻击与破坏:由于OA办公网直接接入Internet,将面临来自Internet的网络入侵、黑客攻击和病毒传播。o来自网络内部的攻击和破坏:移动
12、通信公司公司对于来自内部网络的攻击或破坏的防范能力相当脆弱。尤其是如何有效控制从OA办公网的用户访问业务管理网内的主机(直接攻击或通过宿主机间接发起入侵攻击)是重点问题。措施o功能子网VLAN划分(重点针对OA办公网)。利用现有的L3/L2交换机,设置VLAN:oVLAN-1包括所有的Windows桌面PC,以及不需要特殊防护的NT服务器oVLAN-2需要实施保护的NT、UNIX服务器,本身需要访问OMC-Subnet与Billing-Subnet,或为VLAN-1内的桌面PC提供代理访问OMC-Subnet与Billing-Subnet的UNIX工作站,应归入VLAN-2。oOMC-Subn
13、et运营管理子网。oBilling-Subnet计费管理子网。o在中心服务上切断VLAN-1与VLAN-2之间的动态路由,使两个VLAN不能进行直接访问。o设置高性能防火墙,连接两台中心交换机(SSR8600-1和SSR8600-2),提供VLAN-1与VLAN-2的网络层访问控制。o将DMZ与高性能防火墙连接,在DMZ中部署WWW、E-MAIL、DNS、PROXY等服务器。o设置独立的安全管理子网,与高性能防火墙连接,部署网络安全的管理服务器、安全管理终端、网络管理终端等。o设置WebST安全服务器子网,与高性能防火墙连接,提供应用层安全管理服务。o结合防火墙配置安全监测软件,实时监测并阻断
14、网络上的攻击事件的发生。o结合防火墙配置防病毒网关,对流经防火墙的数据包进行病毒监测和过滤。o实现全网集中的网络安全策略部署和管理。o以下是我们为移动通信公司总公司所设计的网络层安全结构:网络层安全结构示意图 网络安全产品部署示意图 关于网络安全的一些观念误区o网络安全是一次性投资可以完成的.o网络安全纯粹是技术人员的工作o网络安全只要买一批好产品就能完成o应该由自己单位的技术人员全部完成o攻防技术是在对抗中不断发展的o组织(制订制度),技术,管理(执行制度)o系统工程系统工程o根据情况,大的趋势是社会分工越来越细,一个实例是专业保安公司的出现安全技术体系 安全技术体系框架 安安全全 基基 础
15、础信息网络安全信息网络安全信息网络安全信息网络安全工程工程工程工程体系结构模型体系结构模型体系结构模型体系结构模型1 1 安全组织安全组织o这这个个层层面面是是网网络络安安全全建建设设的的关关键键,网网络络安安全全是是一一个个综综合合性性的的系系统统工工程程,必必须须加加强强统统一一领领导导,建建立立健健全全组组织织体体系系。包包括括网网络络安安全全领领导导体系、技术指导体系和管理体系。体系、技术指导体系和管理体系。(1 1)安全领导体系)安全领导体系(2 2)技术指导体系)技术指导体系(3 3)安全管理体系)安全管理体系总部首长总部首长总部领导小组总部领导小组总部管理中心总部管理中心总部专家
16、组总部专家组二级部主管首长二级部主管首长二级部领导小组二级部领导小组二级部二级部管理分中心管理分中心二级部技术组二级部技术组三级部领导三级部领导三级部技术组三级部技术组三级部管理组三级部管理组组织体系结构模型组织体系结构模型2.2.安全策略安全策略o安全策略包括安全策略包括两部分:总体的策略和具体两部分:总体的策略和具体的规则。总体的策略用于阐述单位安全政的规则。总体的策略用于阐述单位安全政策的总体思想,而具体的规则用于说明什策的总体思想,而具体的规则用于说明什么活动是被允许的,什么活动是被禁止的。么活动是被允许的,什么活动是被禁止的。(1 1)、安全管理与技术防范并重的策略)、安全管理与技术
17、防范并重的策略信息系统安全保密主要策略信息系统安全保密主要策略 信息系统安全保密工作,必须坚持管理与技术信息系统安全保密工作,必须坚持管理与技术两手抓的原则。网络信息安全保密的实现,管理措两手抓的原则。网络信息安全保密的实现,管理措施和技术手段两者不能偏废,缺一不可。既要建立施和技术手段两者不能偏废,缺一不可。既要建立起一套严格、完整的网络安全管理制度、规定,又起一套严格、完整的网络安全管理制度、规定,又要有一套先进、完善的技术防范措施,这样才能有要有一套先进、完善的技术防范措施,这样才能有效保障网络信息安全。效保障网络信息安全。(2 2)、整体技术防范策略)、整体技术防范策略 信息网络的安全
18、保密系统建设,要通盘考虑整体网络信息网络的安全保密系统建设,要通盘考虑整体网络结构、各种链接层次以及信息组织等各个环节的保密需求,结构、各种链接层次以及信息组织等各个环节的保密需求,贯彻整体技术防范的策略。贯彻整体技术防范的策略。重点:重点:一是运用密码技术,对传输信道实施链路层或网络层一是运用密码技术,对传输信道实施链路层或网络层加密,构建保密虚拟专网,防止黑客攻击,防止信息传输加密,构建保密虚拟专网,防止黑客攻击,防止信息传输泄密,利用防火墙、隔离器等设备,构建安全域;泄密,利用防火墙、隔离器等设备,构建安全域;二是采用身份认证、数字签名、强制访问控制、信源二是采用身份认证、数字签名、强制
19、访问控制、信源加密等机制,确保数据的保密性、完整性、可用性、可控加密等机制,确保数据的保密性、完整性、可用性、可控性,不可抵赖性;性,不可抵赖性;三是建立健全网络安全管理体系,构建网络安全管理三是建立健全网络安全管理体系,构建网络安全管理平台,实现对网络安全的动态管理,包括应急处置与恢复、平台,实现对网络安全的动态管理,包括应急处置与恢复、病毒防治及对非法事件的审计跟踪,确保网络运行安全。病毒防治及对非法事件的审计跟踪,确保网络运行安全。(3 3)、完善管理体制,加强管理的策略)、完善管理体制,加强管理的策略 管理体制是安全保密措施的重要组成部分,在网管理体制是安全保密措施的重要组成部分,在网
20、络安全保密产品尚没全面发挥作用的情况下,制定完络安全保密产品尚没全面发挥作用的情况下,制定完善的管理措施十分必要。其主要内容包括:制定符合善的管理措施十分必要。其主要内容包括:制定符合国家规定的网络安全保密管理办法;规范信息保密等国家规定的网络安全保密管理办法;规范信息保密等级,制定网络用户信息访问权限;设置网络安全保密级,制定网络用户信息访问权限;设置网络安全保密组织体系,加强宣传教育,提高计算机工作人员的安组织体系,加强宣传教育,提高计算机工作人员的安全保密意识、遵守法规意识和知识水平。全保密意识、遵守法规意识和知识水平。(4 4)、投入与安全平衡策略)、投入与安全平衡策略 对网络的攻击和
21、反攻击技术是不断发展的,因此,对网络的攻击和反攻击技术是不断发展的,因此,要建立相对保密、风险管理意识。网络安全保密建设要建立相对保密、风险管理意识。网络安全保密建设要有一个总体规划,根椐实际情况,分步实施、不断要有一个总体规划,根椐实际情况,分步实施、不断发展完善,尽最大可能提高网络的安全保密能力。安发展完善,尽最大可能提高网络的安全保密能力。安全可靠、严密稳固的网络安全保密系统与高效、灵活全可靠、严密稳固的网络安全保密系统与高效、灵活的网络服务常常是一对矛盾。安全保密是有代价的,的网络服务常常是一对矛盾。安全保密是有代价的,安全保密措施的采用不可避免地要耗费网络资源或限安全保密措施的采用不
22、可避免地要耗费网络资源或限制资源的使用,增加系统应用成本。对此,网络的组制资源的使用,增加系统应用成本。对此,网络的组织者和用户应予理解、支持、要舍得花钱买安全,安织者和用户应予理解、支持、要舍得花钱买安全,安全投入应占系统投入的全投入应占系统投入的15-20%15-20%。3 3 安全管理安全管理o安安全全管管理理是是确确保保网网络络信信息息安安全全的的重重要要环环节节。包包括括安安全全监监测测预预警警、审审计计跟跟踪踪、病病毒毒防防治治、信信息息备备份份与与恢恢复复、CACA与密钥的管理等与密钥的管理等.(1 1)、安全认证管理)、安全认证管理 安全认证管理是由安全认证系统支持的,安全认安
23、全认证管理是由安全认证系统支持的,安全认证系统是网络安全的重要服务和网络安全机制的重要证系统是网络安全的重要服务和网络安全机制的重要组成部分。安全认证系统主要由认证中心(组成部分。安全认证系统主要由认证中心(CACA)、各)、各级认证分中心(级认证分中心(SCASCA)、用户身份卡()、用户身份卡(ICIC卡)、读卡卡)、读卡器及相应软件组成。其作用是保证入网用户的合法身器及相应软件组成。其作用是保证入网用户的合法身份,重要数据访问的权限控制,提供电子图章,保证份,重要数据访问的权限控制,提供电子图章,保证信息的可用性,对信息争议的公证。信息的可用性,对信息争议的公证。(2 2)、网络密码管理
24、、网络密码管理 网络密码管理包括网络密码设备、密码算法和网络密码管理包括网络密码设备、密码算法和密钥的管理。网络密码管理是由密钥管理中心、各密钥的管理。网络密码管理是由密钥管理中心、各分中心以及网络各类密码设备组成。该系统通过密分中心以及网络各类密码设备组成。该系统通过密码协议,将全网范围内各种密码设备联成一个整体,码协议,将全网范围内各种密码设备联成一个整体,实现网内密码设备的监测管理,密码算法使用授权实现网内密码设备的监测管理,密码算法使用授权和密钥的自动管理。该系统是网络信息安全管理的和密钥的自动管理。该系统是网络信息安全管理的重要内容。重要内容。(3)(3)网络安全监测管理网络安全监测
25、管理 信信息息网网络络安安全全保保密密系系统统建建成成后后,应应通通过过技技术术措措施施进进行行静静态态的的分分析析,旨旨在在发发现现系系统统的的潜潜在在安安全全隐隐患患;其其次次是是对对系系统统进进行行动动态态的的分分析析,跟跟踪踪并并记记录录网网络络活活动动,旨旨在在发发现现系系统统运运行行期期间间的的安安全全漏漏洞洞,好好比比执执行行任任务务的的巡巡警警,时时刻刻注注意意发发现现黑黑客客攻攻击击和和各各种种非非授授权权操操作作,并并做做出出响响应应,提提供供相相应应的的系系统统不不安安全全性性分分析析报告。报告。网网络络安安全全监监测测是是网网络络安安全全管管理理的的重重要要内内容容,是
26、是不不断断完完善善网网络络安安全全的的必必要要措措施施。网网络络安安全全监监测测技技术术是不断发展的,应不断采用新的监测技术。是不断发展的,应不断采用新的监测技术。4 4 安全服务安全服务o主主要要的的安安全全服服务务包包括括身身份份验验证证、数数字字签签名名、访访问问控控制制、审审计计跟跟踪踪、信息加密等,一般融于应用系统。信息加密等,一般融于应用系统。对进入网络系统和使用密码机的用户需要进对进入网络系统和使用密码机的用户需要进行身份验证,确保他确实是他所声称的那个人。行身份验证,确保他确实是他所声称的那个人。验证还包括实体鉴别。一个实体(密码机或服务验证还包括实体鉴别。一个实体(密码机或服
27、务器)授权访问或回答另一实体时,被访问实体要器)授权访问或回答另一实体时,被访问实体要鉴别访问实体是不是访问时所声称的实体。鉴别访问实体是不是访问时所声称的实体。(1 1)、身份验证、身份验证 数字签名与验证应满足发方(签名者)事后数字签名与验证应满足发方(签名者)事后不能否认签名后的报文、收方不能伪造发方的签不能否认签名后的报文、收方不能伪造发方的签名报文,并能够确认此份报文是否有效。名报文,并能够确认此份报文是否有效。(2 2)、数字签名)、数字签名 提供对授权使用资源的防御措施。根据访问提供对授权使用资源的防御措施。根据访问者的身份和有关信息,决定实体的访问权限。者的身份和有关信息,决定
28、实体的访问权限。(3 3)、强制访问控制)、强制访问控制 对网络用户各项操作进行登录,对可能造成对网络用户各项操作进行登录,对可能造成危害的事件进行跟踪记录、提示、报警。危害的事件进行跟踪记录、提示、报警。(4 4)、安全审计)、安全审计 对需要加密保护的各类信息,从数据产生时起,对需要加密保护的各类信息,从数据产生时起,就用密码保护,不论是终端、服务器,数据库、信息就用密码保护,不论是终端、服务器,数据库、信息都以密码形态存在,使信息从产生、存储、传输全过都以密码形态存在,使信息从产生、存储、传输全过程用密码保护。程用密码保护。(5)(5)信源加密信源加密5 5 安全屏障安全屏障o安安全全屏
29、屏障障包包括括安安全全通通道道、安安全全隧隧道道和和安安全全门门卫卫。主主要要的的安安全全技技术术和和安安全全产产品品有有防防火火墙墙、VPNVPN、信信道道加加密密、网网络络隔隔离离器器等等。这这些些主主要要作作用用于于网网络络链链路路层层和和网网络络层层的的产产品品,在在内内部部网网络络与与外外部部网网络络连连接接处处,保保障障合合法法用用户户入入网网访访问问的同时防止外部非法用户入侵。的同时防止外部非法用户入侵。防火墙是设在网络之间的系统或系统组合。防火防火墙是设在网络之间的系统或系统组合。防火墙的作用是保护网络在阻止非授权用户访问敏感数据墙的作用是保护网络在阻止非授权用户访问敏感数据的
30、同时,允许合法用户无妨碍地访问网络资源。防火的同时,允许合法用户无妨碍地访问网络资源。防火墙分为多种类型,主要可分为包过滤防火墙、应用网墙分为多种类型,主要可分为包过滤防火墙、应用网关防火墙。防火墙技术主要有:包过滤技术、代理技关防火墙。防火墙技术主要有:包过滤技术、代理技术和状态监视技术。防火墙是保障内部网络安全的重术和状态监视技术。防火墙是保障内部网络安全的重要屏障。要屏障。(1 1)、防火墙)、防火墙利用公共网络来构建企业内部网络称为利用公共网络来构建企业内部网络称为VPNVPN。VPNVPN是一种技术是一种技术或设备。或设备。VPNVPN采用隧道技术以及加密、身份认证、包过滤等采用隧道
31、技术以及加密、身份认证、包过滤等方法,在公共网络上构建虚拟专用网络,保障信息传输的机方法,在公共网络上构建虚拟专用网络,保障信息传输的机密性和完整性和防止非授权接入。所谓隧道技术实质是一种密性和完整性和防止非授权接入。所谓隧道技术实质是一种封装,把一种协议封装在另一种协议中,实现被封装的协议封装,把一种协议封装在另一种协议中,实现被封装的协议能在公共网络上透明传输。建立隧道的标准协议:能在公共网络上透明传输。建立隧道的标准协议:L2FL2F:第:第二层转发协议;二层转发协议;PPTPPPTP:点对点隧道协议;:点对点隧道协议;L2TPL2TP第二层隧道协第二层隧道协议;议;IPSecIPSec
32、:IPIP安全协议;安全协议;MPLSMPLS多协议标签交换协议等。多协议标签交换协议等。VPNVPN的具体实施:可以在路由器上增加的具体实施:可以在路由器上增加VPNVPN功能,可以在服务器功能,可以在服务器或防火墙上实现或防火墙上实现VPNVPN,VPNVPN网关设备。由于网关设备。由于VPNVPN的实现主要是的实现主要是依靠加密、建立隧道、认证、包过滤等,这些任务势必增加依靠加密、建立隧道、认证、包过滤等,这些任务势必增加系统开销,网络的速度会因此有所下降。系统开销,网络的速度会因此有所下降。(2 2)、)、VPNVPN(virtual private networksvirtual p
33、rivate networks)信道密码机就是在通信信道的两端实现加密,保信道密码机就是在通信信道的两端实现加密,保护信息传输安全,以防止窃听或非法接入。目前,一护信息传输安全,以防止窃听或非法接入。目前,一般实施网络层或链路层加密,加密部位在交换机和路般实施网络层或链路层加密,加密部位在交换机和路由器之间,国外也有对物理层实施加密的设备。由器之间,国外也有对物理层实施加密的设备。(3 3)、)、信道密码机信道密码机6 6 安全基础安全基础 o网网络络信信息息安安全全的的基基础础,首首先先是是网网络络信信息息处处理理平平台台的的安安全全,包包括括安安全全操操作作系系统统,安安全全服服务务器器、
34、安安全全数数据据库库等。等。安全组织和安全策略是网络安全保密体安全组织和安全策略是网络安全保密体系结构的顶层,属于领导和决策范围,安全系结构的顶层,属于领导和决策范围,安全基础、安全服务和安全屏障属于技术保障范基础、安全服务和安全屏障属于技术保障范围,安全管理是界于两者之间,既有技术属围,安全管理是界于两者之间,既有技术属性又有行政管理属性。性又有行政管理属性。附件附件1 1:“罗马大厦罗马大厦”式体系结构式体系结构 安全安全 服务服务E_mailE_mail加密传输加密传输 FTPFTP 加密传输加密传输 WebWeb 安全浏览与查询安全浏览与查询 远程登录远程登录安安 全全 方方 案案完整
35、性标识&认证防抵赖保密性信息安全保密应用系信息安全保密应用系 统统 安安 全全 管管 理理 基基 础础 设设 施施密钥管理中心 认证中心病毒防治 审计跟踪应急与恢复链链路路密密码码机机安安全全路路由由器器密密码码卡卡网网络络预预警警监监测测内内网网监监控控ICIC卡卡安安全全基基础础附件附件2:安全机制、功能和安全目标的逻辑层次:安全机制、功能和安全目标的逻辑层次附件附件3 3:从安全产品所属部位来描述安全体系结构:从安全产品所属部位来描述安全体系结构帧中继帧中继信道加密设备邮件服务器DNS服务器WWW服务器FTP服务器监测预警病毒防治内网监控审计跟踪内网监控监测预警病毒防治CA服务器密钥管理
36、中心密钥管理分中心注册中心路由器路由器路由器路由器路由器信道加密设备信道加密设备信道加密设备信道加密设备一级网络安全管理中心二级网络安全管理中心审计跟踪防火墙防火墙网络安全保密系统建设步骤网络安全保密系统建设步骤有有无无领导体系技术指导体系管理体系黑客正在对网络进行攻击怎样阻止正在进行的破坏行动怎样阻止正在进行的破坏行动?防火墙能做什么防火墙能做什么?通过实现网络通讯的安全策略和信任等级来连接内部和外部网络IntranetFirewallInternetRouterServer SegmentTrustedNetworksPublic AccessibleNetworks&ServersUnt
37、rustedNetworks&ServersUntrustedUsersTrustedUsers防火墙能做什么?防火墙能做什么?o防火墙是网络安全的屏障o防火墙可以通过集中的安全管理强化网络安全策略o对网络存取和访问进行控制、监控和审计o防止内部信息的外涉o实现VPN的连接防火墙采用什么安全技术?防火墙采用什么安全技术?o传统包过滤 Packet Filteringo应用网关 Application Layer Gateway(Proxy)o状态检测包过滤 Stateful Inspection企业的网络安全解决建议企业的网络安全解决建议在安装防火墙后,降低了这种风险,但没有彻底消除。因为防火
38、墙只是被动的防止攻击,不能预警攻击。所以对于电信业这样关键应用,我们建议采用入侵检测系统(IDS).企业的网络安全解决建议在系统上添加漏洞扫描系统漏洞扫描系统对网络设备进行自动的安全漏洞检测和分析,并且在执行过程中支持基于策略的安全风险管理过程。另外,漏洞扫描系统执行预定的或事件驱动的网络探测,包括对网络通信服务、操作系统、路由器、电子邮件、Web服务器、防火墙和应用程序的检测,从而识别能被入侵者利用来非法进入网络的漏洞。漏洞扫描系统将给出检测到的漏洞信息,包括位置、详细描述和建议的改进方案。这种策略允许管理员侦测和管理安全风险信息,并跟随开放的网络应用和迅速增长的网络规模而相应地改变。入侵检
39、测系统简介网络流量分析网络流量分析病毒检测病毒检测URL 过滤过滤Java/ActiveX 侦测侦测入侵检测入侵检测会话阻塞会话阻塞网络使用网络使用情况汇报情况汇报网络检测网络检测内容扫描内容扫描 协议扫描协议扫描提高网络防范的能力,同时对网络上的流量进行监测,显示,探测,阻塞,扫描,报警,记录,查看,汇总,分析等.入侵检测系统简介证据一般的入侵检测软件由二层结构组成,它们分别是引擎模块和管理模块一般的入侵检测软件由二层结构组成,它们分别是引擎模块和管理模块引擎是作为后台服务存在的。它完成下列工作:引擎是作为后台服务存在的。它完成下列工作:入侵行为的检测入侵行为的检测,记录和统计会话(记录和统
40、计会话(sessionsession)的相关数据)的相关数据,给管理功能模块发给管理功能模块发送锁定会话送锁定会话,告警和提示信息根据管理功能模块的要求,对相关事件做出反映告警和提示信息根据管理功能模块的要求,对相关事件做出反映管理功能模块实现以下功能:管理功能模块实现以下功能:显示入侵警告信息显示入侵警告信息,显示会话数据信息,并且根据预先定义的时间间隔手动或显示会话数据信息,并且根据预先定义的时间间隔手动或自动地予以更新根据引擎模块的需要,显示会话日志对引擎模块的工作模式自动地予以更新根据引擎模块的需要,显示会话日志对引擎模块的工作模式进行配置(根据用户权限)进行配置(根据用户权限)可以有
41、一个管理模块和多个引擎模块可以有一个管理模块和多个引擎模块.入侵检测系统对入侵者的反应sss sss sss sss sss sss Internet路由器路由器路由器路由器防火墙防火墙防火墙防火墙在底层协议上打断或是阻止入侵的发生在底层协议上打断或是阻止入侵的发生入侵检测系统简介黑客客户Intranet入侵检测平台入侵检测平台入侵检测平台入侵检测平台防火墙和入侵检测系统的结合o防火墙可以接受IDS检测发来的命令,从而将可疑活动终止n有一个攻击进来nIDS检测到了这个攻击nIDS产生一个警告信息并告知防火墙终止这个非法活动.InternetHackers通过安全的通道将通过安全的通道将正在进行
42、的入侵活正在进行的入侵活动打断动打断终止会话终止会话IDSIDS系统检测到可疑的活系统检测到可疑的活动动防病毒系统防病毒系统的构成oAvert 紧急响应小组随时跟踪现有的病毒并提出解决方案.oWebShield对互联网和电子邮件进行保护.oNetShield对服务器进行保护.o控制中心对防病毒系统进行升级,更新策略实施和报警.oVirusScan 对桌面的东西进行扫描和防护.oGroupShield对群件,Lotus Notes,Exchange等进行防护.防病毒产防病毒产品品防火墙和防病毒产品的结合o一封邮件到达邮件服务器的25端口.o防火墙将该邮件发送给防病毒产品.o防病毒产品将对该邮件进
43、行扫描.o如果没有问题,防病毒产品将该邮件发送给防火墙.o防火墙将该邮件完整的发送给用户.允许合法的允许合法的访问通过访问通过Internet入侵检测产品比较o领先的领先的IDS厂家厂家o根据Gartner Group 2002年的调查,IDS市场仍然处于初创阶段,所有的基础研究都是在80-90年代完成的.但是,现在IDS的市场增长的非常快.入侵检测市场在2000年增长了73%.达到1.5亿美元.o2001年,ISS的市场分额达到47%,CA的市场分额达到29%,Symantec 和 Network Associates 也提供了IDS,但是他们的市场分额很小.o详细的描述如下详细的描述如下:
44、oCisco Systems,Inc.Secure IDS(NetRanger)IDS Host Sensor入侵检测产品比较 Secure IDS 是架设在CISCO 交换机上IDS系统.Cisco在IDS 市场占据较大分额部分得益于它在网络市场上的霸主地位.oEnterasys Networks,Inc.Dragon IDS (Internet:)oDragon IDS将 Dragon Sensor(NIDS)和Dragon Squire(HIDS)结合在了一起.Dragon Squire 能够监视主机,应用程序,防火墙,和其他厂商的NIDS以及HIDS.Enterasys公司现在将Dra
45、gon IDS集成进了自己的硬件平台.并同许多ISP及ICP等建立了良好的关系.从而扩大了自己的知名度.入侵检测产品比较oInternet Systems Security,Inc.(ISS)安氏国际安氏国际.Real Secure IDS (Internet:)oRealSecure 将RealSecure Network Sensors(NIDS)和 RealSecure Server Sensors(HIDS)结合到了一起.在企业界中,对RealSecureIDS 的需求非常大,但是Real Secure的吞吐率阻止了它的发展.ISS 现在正在提高Real Secure的吞吐率,以使它达
46、到一个千兆的级别.o Snort (Internet:www.snort.org)oSnort 是一个轻型的,快速的NIDS,是一个公开原代码的免费软件.其性能高过许多商业软件.并且在 signature coverage方面高过所有的商业软件.因为其开放性,许多爱好者为其添砖加瓦.使Snort成为一个非常类似于Linux的软件.o由于其免费性,能从相应的组织获得的支持非常少.入侵检测产品比较oSilicon Defense(Internet:),宣布从2001年起对其实行商业支持.oSymantec Corp.(赛门铁克赛门铁克,Norton)Intruder Alert NetProwle
47、ro(Internet:)oIntruder Alert 是Symantec 的 HIDS,NetProwler是 NIDS.Symantec 在2000年通过收购 AXENT 公司获得了这两样产品,但是销售情况并不是很好.oTripwire,Inc.Tripwire for Servers Tripwire for Web (Internet:www.tripwire.org)oTripwire for Servers 是MS Windows/UNIX(包括 FreeBSD and Linux)下的领先的入侵检测软件.Tripwire Manager 是一个跨平台的管理软件,可以管理多达2,
48、500个Tripwire 平台.入侵检测产品比较oTripwire 可以管理Cisco路由器,交换机,也可以管理Apache的Web服务器.和Snort一样,Tripwire也是一个免费软件,可供用户下载.o Computer Associates International,Inc.(冠群)oeTrust Intrusion Detection(NIDS)和 eTrust Audit.oInternet:oCA公司的入侵检测软件和3A软件可以与ISS的入侵检测软件一叫高下.凭借CA公司的雄厚的实力,可以展望CA的eTrust系列产品会在市场上一展风采.o还有许多其他的公司,这里不再一一介绍.如:o Entercept Security Technologies(Internet:)o Intrusion Inc.(Internet:)o等.防火墙产品比较o选择防火墙时应注意的事项 1.防火墙自身是否安全 专有系统,专有硬件 2.是否稳定,功能灵活性,配置管理是否方便 3.是否可以有售后服务和升级