收藏
下载资源

网络安全-5&6

上传人:kms****20 文档编号:51504788 上传时间:2018-08-14 格式:PPT 页数:60 大小:2.64MB
返回 下载 相关 举报
网络安全-5&6_第1页
第1页 / 共60页
网络安全-5&6_第2页
第2页 / 共60页
网络安全-5&6_第3页
第3页 / 共60页
网络安全-5&6_第4页
第4页 / 共60页
网络安全-5&6_第5页
第5页 / 共60页
点击查看更多>>
资源描述

《网络安全-5&6》由会员分享,可在线阅读,更多相关《网络安全-5&6(60页珍藏版)》请在金锄头文库上搜索。

1、LOGO网络安全网络安全第 5&6 讲LOGO2网络访问控制网络访问控制v 网络边络边 界控制 把不同安全级别的网络相连接,就产生了网络边界。防止来自网络外 界的入侵就要在网络边界上建立可靠的安全防御措施。 非安全网络互联带来的安全问题与网络内部的安全问题是截然不同的 ,主要的原因是攻击者不可控,攻击是不可溯源的,也没有办法去“封 杀”,一般来说网络边界上的安全问题主要有下面几个方面:1. 信息泄密 2. 网络入侵 3. 网络病毒 4. 木马入侵 边界是指网络与外界互通引起的安全问题,有入侵、病毒与攻击。 边界防护技术 1. 防火墙技术 2. 多重安全网关技术 3. 网闸技术 4. 数据交换网

2、技术LOGO3网络访问控制网络访问控制 v边边界防护护技术术 多重安全网关技术 如果一道防火墙不能解决各个层面的安全防护,就多上 几道安全网关,如用于应用层入侵的IPS(Intrusion Prevention System)、用于对付病毒的AV( Antivirus Programs)。它们设计在一起就是UTM( Unified Threat Management是指全功能的安全防御设 备,UTM系统将多种特性和功能集成到一个产品中,包 括入侵检测与防御、网关杀毒、垃圾邮件过滤与Web内 容过滤以及防火墙等传统功能),分开就是各种不同类 型的安全网关。 多重安全网关的安全性显然比防火墙要好些

3、,起码对各 种常见的入侵与病毒都可以抵御。但是UTM存在一个最 重要的致命伤一直阻碍它的大规模推广,这就是性能问 题。LOGO4网络访问控制网络访问控制v边边界防护护技术术 IPS与IDSLOGO5网络访问控制网络访问控制v边边界防护护技术术 网闸技术 网闸的安全思路来自于“不同时连接”。不同时连接两个网络,通过 一个中间缓冲区来“摆渡”业务数据,业务实现了互通,“不连接”原 则上入侵的可能性就小多了。网闸只是单纯地摆渡数据,通过的内 容清晰可见,这样入侵与病毒没有了藏身之地,网络就相对安全了 。但是,网闸作为网络的互联边界,必然要支持各种业务的连通, 也就是某些通讯协议的通过,所以网闸上大多

4、开通了协议的代理服 务,于是网闸的安全性就打了折扣,在对这些通道的安全检查方面 ,网闸比多重安全网关的检查功效不见得高明。 网闸的思想是先堵上,根据需要再开一些小门,防火墙是先打开大 门,对不希望的再逐个禁止,两个思路刚好相反。后来网闸设计中 出现了存储通道技术、单向通道技术等等,但都不能保证数据的“单 纯性”,检查技术由于没有新的突破,所以网闸的安全性受到了专家 们的质疑。LOGO6网络访问控制网络访问控制v 边边界防护护技术术 数据交换网技术 数据交换网技术是基于缓冲区隔离的思想,把城门处修建了一个“ 数据交易市场”,形成两个缓冲区的隔离,同时引进银行系统对数 据完整性保护的Clark-W

5、ilson模型,在防止内部网络数据泄密的同 时,保证数据的完整性,即没有授权的人不能修改数据,防止授权 用户错误的修改,以及内外数据的一致性。 数据交换网技术比其他边界安全技术有显著的优势: 1. 综合使用多重安全网关与网闸,采用多层次的安全关卡。 2. 有了缓冲空间,可以增加安全监控与审计,用专家来对付黑客的入侵 ,边界处于可控制的范围内。 3. 业务的代理保证数据的完整性,业务代理也让外来的访问者止步于网 络的交换区,就象是来访的人只能在固定的接待区洽谈业务,不能进 入到内部的办公区。 数据交换网技术针对的是大数据互通的网络互联,一般来说适合于 下面的场合: 1. 频繁业务互通的要求 2.

6、 高密级网络的对外互联Clark-wilson integrity model):在普通商业活动中提 供数据完整性的方法,包括抽象数据类型、权力分离、 分配最小权力和非任意访问控制等软件工程概念。LOGO7网络访问控制网络访问控制v 物理安全主要是指通过物理隔离实现网络安全。 v 国家保密局2000年1月1日起颁布实施的计算机信息系统国际 联网保密管理规定第二章保密制度第六条规定:“涉及国家 秘密的计算机信息系统,不得直接或间接地与国际互联网或其 他公共信息网络相连接,必须实行物理隔离。” 为确保物理隔 离技术和新产品的安全保密,国家保密局对物理隔离提出了明 确的保密技术要求: 1. 在物理传

7、导上使内外网隔离,确保外部网络不能通过网络连接而入 侵内部网络,同时防止内部网络的信息通过网络连接泄露到外部网络。 2. 计算机屏幕上应有当前处于内网还是外网的明显标识。 3. 内外网络的接口处应有明确的标识。 4. 内外网络切换时应重新启动计算机,以清除内存、处理器等暂存部件 残余信息,防止秘密信息串到外网上。 5. 移动存储介质未从计算机取出时,不能进行内外网络切换。 6. 防止内部网络信息通过电磁辐射泄露到外部网络上。 LOGO8网络访问控制网络访问控制v 物理安全主要是指通过物理隔离实现网络安全。 v 国家保密局2000年1月1日起颁布实施的计算机信息系统国际 联网保密管理规定第二章保

8、密制度第六条规定:“涉及国家 秘密的计算机信息系统,不得直接或间接地与国际互联网或其 他公共信息网络相连接,必须实行物理隔离。” 为确保物理隔 离技术和新产品的安全保密,国家保密局对物理隔离提出了明 确的保密技术要求: 1. 在物理传导上使内外网隔离,确保外部网络不能通过网络连接而入 侵内部网络,同时防止内部网络的信息通过网络连接泄露到外部网络。 2. 计算机屏幕上应有当前处于内网还是外网的明显标识。 3. 内外网络的接口处应有明确的标识。 4. 内外网络切换时应重新启动计算机,以清除内存、处理器等暂存部件 残余信息,防止秘密信息串到外网上。 5. 移动存储介质未从计算机取出时,不能进行内外网

9、络切换。 6. 防止内部网络信息通过电磁辐射泄露到外部网络上。 LOGO9网络访问控制网络访问控制v电磁辐射泄密 进入80年代以来,随着各类电子设备在军事及民用领域的 普遍应用,解决电磁辐射泄密的问题也随之被提上了日程。 就象河里的水必然有渗透漏一样,所有电子设备如计算机、 电子打字机、通信机、电话机、扩音机、投影机等在信息传 递过程中都存在不同程序的电磁辐射泄漏问题,其中尤以带 有显示器(CRT)的电子设备泄漏更为严重。据有关资料介 绍,国外接收和还原电磁辐射信息的距离已超过1000米。 因此,采用技术手段防止秘密信息由电磁辐射形式泄漏已是 迫切需要解决的问题。使用计算机处理涉密信息时,应当

10、使 用低辐射计算机设备或者采取屏蔽或干扰等防辐射的保密技 术措施。就目前的技术手段讲,主要方法有降低电子设备的 电磁辐射强度、屏蔽,安装干扰器,控制安全距离和降低电 子设备安放楼层的高度等。LOGO10网络访问控制网络访问控制v 电磁辐射泄密 使用低辐射计算机 使用低辐射计算机设备是防止计算机辐射泄密的根本措施。因为这些设备 在设计和生产时,已经对可能产生电磁辐射的元器件、集成电路、连接线 等采取了防辐射措施,使计算机设备的电磁辐射降到最低限度。国外对计 算机辐射问题认识比较早,制定了一系列安全标准 ,生产厂家也严格按规 定生产符合标准的设备,但这些低辐射计算机是禁止出售给我国的。目前 我国已

11、能生产有相对屏蔽措施的显示屏和主机箱内套有金属屏蔽柜的设备 ,电磁辐射较小。 采取计算机电磁屏蔽技术 根据计算机辐射量的大小和客观环境的需要,对计算机机房或主机部件加 以屏蔽,是防止涉密计算机群体电磁辐射泄密的有效措施。将计算机房用 金属屏蔽笼(又称法拉第笼)封闭起来,并将金属屏蔽笼接地,能有效地防止 计算机和辅助设备的电磁波辐射。不具备屏蔽条件的计算机机房,也可将 计算机辐射信号的区域控制起来,避免辐射信号被截收。 采取计算机电磁辐射干扰技术 根据电子对抗原理,采用一定的技术措施,对计算机的辐射信息进行干扰 ,增加接收还原解读的难度,是防止计算机电磁辐射泄密的有效措施。目 前对电磁辐射实施干

12、扰的方法,主要有白噪声干扰和相关干扰两种。LOGO11网络访问控制网络访问控制 v为什么需要物理隔离? 在实行物理隔离之前,我们对网络的信息安全有许 多措施,如在网络中增加防火墙、防病毒系统,对 网络进行入侵检测、漏洞扫描等。由于这些技术的 极端复杂性与有限性,这些在线分析技术无法提供 某些机构(如军事、政府、金融等)提出的高度数 据安全要求。而且,此类基于软件的保护是一种逻 辑机制,对于逻辑实体而言极易被操纵。后面的逻 辑实体指黑客、内部用户等。 正因为如此,涉密网不能把机密数据的安全完全寄 托在用概率来作判断的防护上,必须有一道绝对安 全的大门,保证涉密网的信息不被泄露和破坏,这 就是物理

13、隔离所起的作用。 LOGO12网络访问控制网络访问控制v什么是物理隔离? 物理隔离技术实质就是一种将内外网络从物理上断 开,伹保持逻辑连接的信息安全技术。这里,物理 断开表示任何时候内外网络都不存在连通的物理连 接,逻辑连接表示能进行适度的数据交换。物理隔 离是指内部网不直接通过有线或无线等任何手段连 接到公共网,从而使内部网络和外部公共网络在物 理上处于隔离状态的一种物理安全技术。LOGO13网络访问控制网络访问控制v物理隔离的含义 它可以阻断网络的直接连接,即没有两个网络同时 连在隔离设备上; 隔离设备的传输机制具有不可编程的特性,因此不 具有感染的特性; 任何数据都是通过两级移动代理的方

14、式来完成,两 级移动代理之间是物理隔离的; 物理隔离系统具有管理和控制功能,隔离设备具有 审查的功能。LOGO14网络访问控制网络访问控制v物理隔离从广义上分为网络隔离和数据隔离,它们都 称为物理隔离。 网络隔离 网络隔离就是把被保护的网络从开放、无边界、自由的 环境中独立出来,使得Internet上的黑客和计算机病毒都 无从入手,也就谈不上入侵了。 数据隔离 不管网络隔离采用的是真正的物理隔离还是逻辑隔离, 如果在使用中出现一台计算机能够连接两个或多个网络 ,那么所有的网络隔离就没多大意义,因为同一台计算 机连接两个网络,而没有把存储设备隔离,使同一个操 作系统能连接不同的网络,计算机病毒很

15、容易从一个网 络流向另一个网络,这样即使做了网络隔离,但是网络 安全的威胁同样存在。所以数据的隔离是非常重要的。 LOGO15网络访问控制网络访问控制v物理隔离在网络上的要求主要有3点: 在物理传导上使内外网络隔断,确保外部网不能通 过网络连接而侵入内部网,同时防止内部网信息通 过网络连接泄漏到外部网。 在物理辐射上隔断内部网与外部网,确保内部信息 不会通过电磁辐射或祸合方式泄露到外部网。 在物理存储上隔断两个网络环境,对于断电后会遗 失信息的部件,如内存、处理器等暂存部件,要在 网络转换时做清除处理,防止残留信息泄漏;对于 断电非遗失性设备(如磁带机、硬盘等存储设备), 内部网与外部网信息要

16、分开存储。LOGO16网络访问控制网络访问控制v物理隔离技术原理 数据二极管技术 这是一种在物理断开的网络之间进行单向桥接的专用安 全技术。这种单向桥接技术是通过单工的连接完成的。 这种连接只在数据源计算机具有一个数据发送源,在数 据目标计算机上有一个数据接收器。 存储池交换技术 这也是一种桥接隔离网络之间连接的专用安全技术。这 种技术使用一个可交换方向的电子存储池。存储池每次 只能与内外网络的一方相连。通过内外网络向存储池拷 贝数据块和存储池的摆渡完成数据传输。这种技术实际 上是一种数据镜像技术。它在实现内外网络数据交换的 同时,保持内网网络的物理断开。LOGO17网络访问控制网络访问控制v物理隔离技术原理 数据二极管技术 这是一种在物理断开的网络之间进行单向桥接的专用安 全技术。这种单向桥接技术是通过单工的连接完成的。 这种连接只在数据源计算机具有一个数据发送源,在数 据目标计算机上有一个数据接收器。 存储池交换技术 这也是一种桥接

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 生活休闲 > 科普知识

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号