《2-安全体系结构与模型.ppt》由会员分享,可在线阅读,更多相关《2-安全体系结构与模型.ppt(48页珍藏版)》请在三一文库上搜索。
1、安全体系结构与模型,张伟 南京邮电大学 计算机学院信息安全教研室 Email:,四个概念,安全体系结构:定义了最一般的关于安全体系结构的概念,如安全服务、安全机制 安全框架:定义了提供安全服务的最一般的方法,如数据源、操作方法以及它们之间的数据流向等 安全模型:指在特定的环境里,为保证提供一定级别的安全保护所奉行的基本思想 安全技术:一些基本模块,它们构成了安全服务的基础,同时可以相互任意组合,以提供更强大的安全服务,IOS/OSI安全体系结构,ISO:International Organization for Standardization OSI: Open System Interco
2、nnect/RM 安全机制 安全服务 安全管理 其它,如安全威胁,ISO-7498-2安全架构,安全服务,对象认证安全服务 访问控制安全服务 数据保密安全服务 数据完整性安全服务 防抵赖性安全服务,安 全 服 务,对象认证安全服务,用于识别对象的身份和对身份的证实。OSI环境可提供对等实体认证和信源认证等安全服务。对等实体认证是用来验证在某一关联的实体中,对等实体的声称是一致的,它可以确认对等实体没有假冒;而信源认证是用于验证所收到的数据来源与所声称的来源是一致的,但不提供防止数据中途被修改的功能,对象认证安全服务实例,A,A,服务器,Internet,讨论:假如A和A用户名是一样的,且都是合
3、法用户,服务器是否能分别认怔A和A?,访问控制安全服务,提供对越权使用资源的防御措施。访问控制可分为自主访问控制、强制访问控制、基于角色的访问控制。实现机制可以是基于访问控制属性的访问控制表,基于安全标签或用户和资源分档的多级访问控制等,Windows NT 文件访问控制,数据保密性安全服务,针对信息泄漏而采取的防御措施,可分为信息保密、选择段保密和业务流保密。它的基础是数据保密机制的选择,数据完整性安全服务,防止非法纂改信息,如修改、复制、插入和删除等。它有五种形式:可恢复连接完整性、无恢复连接完整性、选择字段连接完整性、无连接完整性和选择字段无连接完整性,防抵赖性安全服务,是针对对方抵赖的
4、防范措施,用来证实发生过的操作,它可分为对发送防抵赖、对递交防抵赖和进行公证。,ISO 安全服务的不足,缺少防止DoS攻击的定义 对入侵检测,几乎没有涉及 大多数安全服务是对同级实体的,缺少多级或分层实体的内涵 本质上是一个被动安全服务定义 其它,如授权,安 全 机 制,加密机制,使用各种加密算法对存放的数据和流通的信息进行加密 RSA DES RC2/RC4/RC5 VPN,数字签名,采用非对称密钥体制,使用私钥进行数字签名,使用公钥对签名信息进行验证 RSA MD4/MD5 SHA/SHA-1 讨论:给出数字签名模型?,访问控制机制,根据访问者的身份和其它信息,来决定实体的访问权限 ATM
5、卡 安全令牌Token Windows NT 实例,数据完整性机制,判断信息在传输过程中是否被篡改、增加、删除过,确保信息的完整 MD4/MD5 SHA/SHA-1 讨论:给出模型?,认证交换机制,用来实现同级之间的认证 ATM卡 口令 讨论:怎样防止中继重放攻击?,防业务流量分析机制,通过填充冗余的业务流量,防止攻击者对流量进行分析,填充过的流量需通过加密进行保护 讨论:为什么?,路由控制机制,防止不利、不良信息通过路由,进入子网或利用子网作为中继攻击平台 网络层防火墙,公证机制,有公证人(第三方)参与数字签名,它基于通信双方对第三方的绝对信任 CA(Certificate Authorit
6、y) Hotmail/yahoo 邮件服务登陆认证,安 全 管 理,安全管理,为了更有效地运用安全服务,需要有其它措施来支持它们的操作,这些措施即为安全管理。安全管理是对安全服务和安全机制进行管理,把管理信息分配到有关的安全服务和安全机制中去,并收集与它们的操作有关的信息,OSI安全服务和安全机制的关系,讨论?,联系上节课所讨论的Internet的安全威胁和常见安全攻击,ISO安全体系结构中的安全服务和机制是怎样来削弱、抵抗这些威胁和攻击的?,3.2 动态的自适应网络安全模型,单纯的防护技术不能解决网络安全问题 不了解安全威胁和安全现状 静态、被动的防御,而安全威胁、安全漏洞都具有动态的特性
7、安全的概念局限于信息的保护 不能正确评价网络安全的风险,导致安全系统过高或过低的建设,PDR模型的背景,对于网络系统的攻击日趋频繁,安全的概念已经不仅仅局限于静态的、被动的信息防护,人们需要的是对整个信息和网络系统的保护和防御,以确保它们的安全性,包括对系统的保护、检测和反应能力等。安全模型已经从以前的被动转到了现在的主动防御,强调整个生命周期的防御和恢复,PDR模型,Protection Detection Reaction/Response,P2DR模型,Policy Protection Detection Response,ISS公司的P2DR模型,Policy,Response,Pr
8、otection,Detection,安全策略-Policy,根据安全风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等。安全策略是P2DR安全模型的核心,所有的防护、检测、响应都是依据安全策略实施的,企业安全策略为安全管理提供管理方向和支持手段,防护-Protection,通过修复系统漏洞、正确设计开发和安装系统来预防安全事件的发生;通过定期检测来发现可能存在的系统脆弱性;通过教育等手段,是用户和操作员正确使用系统,防止意外威胁;通过访问控制、监视等手段来防止恶意威胁,检测-Detection,在P2DR模型中,检测是一个非常重要的环节,检测是动态响应和加强防护
9、的依据,它也是强制落实安全策略的有力工具,通过不断地检测和监控网络和系统,来发现新的威胁和弱点,通过循环反馈来及时作出有效的响应,响应-Response,紧急响应在安全系统中占有重要的地位,是解决安全潜在问题最有效的办法。从某种意义上来说,安全问题就是要解决紧急响应和异常处理问题。,响应的时间,攻击时间Pt:从入侵开始到侵入系统的时间 检测时间Dt:检测新的安全脆弱性或网络安全攻击的时间。 响应时间Rt:包括检测到系统漏洞或监控到非法攻击到系统启动处理措施的时间 系统暴露时间Et:系统处于不安全状态的时间,可定义为Et = Dt + Rt - Pt,PPDRR模型,Policy Protect
10、ion Detection Response Recovery,3.3 五层网络安全体系,网络层的安全性 系统的安全性 用户的安全性 应用程序的安全性 数据的安全性,网络层的安全性,网络层的安全性问题核心在于网络是否得到控制,即是不是任何一个IP地址来源的用户都能够进入网络。 网络层数据报是否合法?(补充讨论) VPN Firewall 讨论:网络层安全性的缺陷?,系统的安全性,在系统安全性问题中,主要考虑的问题有两个: 病毒对网络的威胁 黑客对网络的破坏和侵入 系统的复杂性(补充) 人的工程能力(补充) 相对静态的特征(补充),系统的安全性2,病毒的传播 软盘、光盘等存储介质 文件 网络 电
11、子邮件 脚本(JavaScript、VBScript) ActiveX/Java Applet,系统的安全性3,风险评估工具,如ISS公司的RealSecure等 升级系统Patching 优化系统配置 其它,如网络结构的调整,用户的安全性,对于用户安全性问题,所要考虑的问题是:是否只有那些真正被授权的用户才能使用系统中的资源和数据 分组Group 认证Authentication(补充) 授权Authorization (补充) 审计Audit(补充),应用程序的安全性,在这一层我们需要回答的问题是:是否只有合法的用户才能够对特定的数据进行合法的操作 应用程序对数据的合法权限 应用程序对用户
12、的合法权限 多用户的应用程序环境(补充) 应用程序本身的安全性(补充),数据的安全性,数据安全性问题所要回答的问题是:机密数据是否处于机密状态 加密/解密DES/RSA(补充) 完整性MD4/MD5/SHA(补充) 审计Audit(补充) 多任务环境(补充) 不能单独存在(补充),五层网络安全体系的不足(补充),更多的是一个概念 缺少对物理安全的关注 本质上是一个被动、静态的防御系统 网络安全不会停留在某一个特定的层次上,各种不同层次的安全并不是孤立的 只是信息的保护,缺少网络本身的保护 其它,安全服务的等级定义,讨论 & 作业,OSI安全体系包括哪些安全机制和安全服务?它们之间有何对应关系? 动态的自适应网络安全模型的思想是什么?请介绍一下P2DR模型。,