《单片机原理与应用课件第七章_安全管理》由会员分享,可在线阅读,更多相关《单片机原理与应用课件第七章_安全管理(32页珍藏版)》请在金锄头文库上搜索。
1、南平电大 刘昌 2009.5,第七章 安全管理,第七章 安全管理,学习内容: 网络安全问题 安全体系结构 安全防范体系及设计原则 计算机病毒的防治 网络攻击与防护 防火墙与网络边缘 安全,学习目标: 了解: 网络安全体系的结构 理解: 安全防范体系机器设计原则 掌握: 计算机病毒的防治 内网安全防护策略 防火墙的技术发展,7.1 网络安全问题,7.1.1 网络安全问题的产生,网络安全,信息安全:信息的完整性、可用性、 保密性和可靠性。 控制安全:身份认证、不可否认性、授权和访问控制,互联网与生俱来的特性,开放性,交互性,分散性,7.1 网络安全问题,7.1.2 网络安全成为人类共同面临的挑战,
2、在不到一代人的时间里,信息革命以及计算机进入了社会的每一领域,这一现象改变了国家的经济运行和安全运作乃至人们的日常生活方式,然而,这种美好的、新的时代也带有它自身的风险。所有计算机驱动的系统都很容易受到侵犯和破坏。对重要的经济部门或政府机构的计算机进行任何有计划的攻击都可能产生灾难性的后果,这种危险是客观存在的。过去敌对力量和恐怖主义分子毫无例外地使用炸弹和子弹,现在他们可以把手提电脑变成有效武器,可以造成非常巨大的危害。如果人们想要继续享受信息时代的种种好处,继续使国家安全和经济繁荣得到保障,就必须保护计算机控制系统,使它们免受攻击。,克林顿 保护信息系统国家计划,7.1 网络安全问题,7.
3、1.3 我国网络安全问题日益突出,计算机系统遭受病毒感染和破坏的情况相当严重 电脑黑客活动已形成重要威胁 信息基础设施面临网络安全的挑战 网络政治颠覆活动频繁,我国网络安全问题 日益突出的主要标志,7.1 网络安全问题,7.1.4 制约我国提高网络安全方法能力的因素,1. 缺乏自主的计算机网络和软件核心技术,2. 安全意识淡薄是网络安全的瓶颈,3. 运行管理机制的缺陷和不足制约了安全防范的力度,4. 缺乏制度化的防范机制,1) 网络安全管理方面人才匮乏,2) 安全措施不到位,3) 缺乏综合性的解决方案,7.2 安全体系结构,7.2.1 网络安全的需求和挑战,1) 应对各类情况,保证系统稳定运行
4、,2) 确保意外情况下系统的安全恢复,3) 保证重要信息的秘密内容不被泄露,管理角度,技术管理角度,1) 做好冗余、备份的规划和管理工作,2) 合理规划信息系统管理和使用的各种角色,3) 管理系统中的权限,4) 保证信息存储的安全,5) 保证信息传输的安全,6) 系统管理和使用活动保存与查询,7.2 安全体系结构,7.2.2 安全体系结构,身份鉴别,访问控制,数据保密,数据完整性,不可抵赖,防病毒,审计管理,可用性,物理环境,基础平台,业务系统,安全管理,身份认证 子系统,加密 子系统,安全防御与 响应子系统,安全备份与 恢复子系统,监控 子系统,授权管理 子系统,安全子系统,系统单元,安全特
5、性,安全体系结构,7.2 安全体系结构,7.2.3 安全体系结构的设计与实现,物理层安全设计,1. 环境安全,2. 设备安全,3. 线路安全,基础平台安全设计,1. 平台自身软件的安全考虑,1. 平台层的病毒问题,平台层网络设计的重要安全环节,1. 网络隔离设计,2. 防火墙与DMZ(非军事区)的应用和设置,3. 入侵检测的应用和设置,4. 基础平台层的管理与安全,5. 基础平台层的安全审计,应用层安全设计,管理层面安全设计,CA认证措施,安全管理制度,7.2 安全体系结构,7.2.4 总结,一个成功的信息网络系统必须面对以上这些方面进行统一考虑处理。忽视了其中某些方面,对于普通网络将造成损失
6、,而对于特殊行业网络,将导致灾难性的后果。,7.3 安全防范体系及设计原则,7.3.1 OSI安全体系标准,Open System Interconnect Reference Model (OSI) 开放式系统互联参考模型,网络安全 (Network Security),安全攻击 (Security Attack),安全机制 (Security Mechanism),安全服务 (Security Service),是指损害机构所拥有信息的安全的任何行为;,是指设计用于检测、预防安全攻击或者恢复系统的机制;,是指采用一种或多种安全机制以抵御安全攻击、提高机构的数据处理系统安全和信息传输安全的服
7、务。,一种安全服务可以通过某种安全机制单独提供,也可以通过多种安全机制联合提供,一种安全机制可用于提供一种或多种安全服务。,安全攻击、安全机制、安全服务之间的关系,安全攻击,安全机制,7.3 安全防范体系及设计原则,7.3.1 OSI安全体系标准,1. 安全服务,对象认证安全服务,访问控制安全服务,数据保密性安全服务,数据完整性安全服务,防抵赖性安全服务,2. 安全机制,加密机制,数字签名,访问控制机制,数据完整性机制,认证交换机制,防业务流量分析机制,路由控制机制,公证机制,3. 安全管理,是对安全服务和安全机制进行管理,把管理信息分配到有关的安全服务和安全机制中去,并收集与它们的操作有关的
8、信息。,7.3 安全防范体系及设计原则,7.3.2 安全防范体系,应用层,传输层,网络层,链路层,物理层,对象实体认证,数据源认证,访问控制,机密性,流量机密性,数据完整性,非否认服务,可用性,安全服务,通信平台,网络平台,系统平台,应用平台,物理环境,协议层次,系统单元,DISSP安全框架,7.3 安全防范体系及设计原则,7.3.3 网络安全防范体系层次,安全管理,网络层安全,系统层安全,应用层安全,物理层安全,1. 物理环境的安全性(物理层安全),2. 操作系统的安全性(系统层安全),3. 网络的安全性(网络层安全),4. 应用的安全性(应用层安全),5. 管理的安全性(管理层安全),7.
9、3 安全防范体系及设计原则,7.3.4 网络安全防范体系设计原则 网络信息安全木板原则 网络信息安全整体性原则 安全性评价与平衡原则 标准化与一致性原则 技术与管理相结合原则 统筹规划,分布实施原则 等级性原则 动态发展原则 易操作性原则,网络 安全 防范 体系 设计 原则,7.4 计算机病毒的防治,7.4.1 病毒的定义,病毒(Virus):不是天然存在的,是某些人利用计算机软、硬件所固有的脆弱性,编制或者在计算机程序中插入的破坏计算机功能或数据、影响计算机使用并能够自我复制的一组计算机指令或程序代码。,7.4 计算机病毒的防治,7.4.2 病毒的特征,病毒的特征,传染性,隐蔽性,破坏性,可
10、激发性,潜伏性,7.4 计算机病毒的防治,7.4.3 病毒的分类 1. 根据计算机病毒攻击的系统分类DOS病毒 / WINDOWS病毒 /UNIX病毒 / OS/2病毒 / LINUX病毒 2. 按照计算机病毒的链结方式分类源码型病毒 / 嵌入型病毒外壳型病毒操作系统型病毒,3. 按照计算机病毒的破坏情况分类良性病毒 / 恶性病毒 4. 按照计算机病毒的寄生部位或传染对象分类磁盘引导区病毒操作系统病毒可执行程序病毒 5. 按照计算机病毒激活时间分类 6. 按传播媒介分类 单机病毒 / 网络病毒,7.4 计算机病毒的防治,7.4.4 防治,1. 病毒预防技术,2. 病毒检测技术,3. 病毒消除技
11、术,4. 病毒免疫技术,5. 加强计算机网络管理,7.5 网络攻击与防护,7.5.1 攻击技术分类,探测,攻击,隐藏,踩点,扫描,查点,日志清理,安装后门,内核套件,窃听,欺骗,拒绝服务,数据驱动攻击,获取口令 恶意代码 网络欺骗,导致异常型 资源耗尽型 欺骗型,键击记录 网络监听 非法访问数据 攫取密码文件,缓冲区溢出 格式化字符串攻击 输入验证攻击 同步漏洞攻击 信任漏洞攻击,攻击者,傀儡主机,傀儡主机,傀儡主机,攻击目标,Flood攻击,DDoS守护进程 ,攻击指令,DDoS攻击原理,与病毒技术结合的攻击,黑客攻击技术,病毒技术,融合,新一代恶意代码(蠕虫、木马),嗅探,IP欺骗,劫持攻
12、击,自动扫描攻击,拒绝服务攻击,高级扫描工具,Windows 木马攻击,Melissa,分布式拒绝服务,分布式攻击工具,广泛传播的 特洛伊木马,电子邮件传播的 恶意代码,Melissa,Windows 木马攻击,宏病毒,Stone,Michelangelo,Brain,7.5 网络攻击与防护,7.5.2 网络攻击的趋势,1. 自动化程度和攻击速度提高 2. 攻击工具越来越复杂 3. 发现安全漏洞越来越快 4. 越来越高的防火墙渗透率 5. 越来越不对称的威胁 6. 对基础设施形成越来越打的威胁,7.5 网络攻击与防护,7.5.3 网络防护 网络安全防护设计原则: 统一的安全策略管理 网络整体防
13、御 实时威胁检测 威胁主动隔离,内网安全防护策略: 为合作企业网建立内网型的边界防护; 注意内网安全与网路边界安全的不同; 限制VPN的访问; 自动跟踪的安全策略; 关掉无用的网络服务器; 首先保护重要资源; 创建虚拟边界防护; 可靠的安全决策;,内部网,7.6 防火墙与网络边缘技术,7.6.1 基本概念,DMZ区,防火墙(FireWall)是位于两个(或多个)网络间,实施网络之间访问控制的一组组件集合;有时也特指位于企业和组织内部网络与外部网络直接,按照一定的安全策略建立起来的硬件(或)软件的有机组成体,以防止黑客的攻击,限制网络互访,以保护内部网络的安全运行。,DMZ(Demilitari
14、zed Zone) (隔离区/非军事区)是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统直接的缓冲区。,INTERNET,用户,服务器,服务器,路由器,防火墙,7.6 防火墙与网络边缘技术,7.6.2 防火墙的基本特征,内部网,用户,路由器,防火墙,INTERNET,服务器,【基本特征】 内部网络和外部网络之间的所有网络数据流都必须经过防火墙 只有符合安全策略的数据流才能通过防火墙 防火墙自身应具有非常强的抗攻击免疫力,典型的防火墙结构,防火墙的过滤功能,应用层,表示层,会话层,传输层,网络层,链路层,物理层,应用层,表示层,会话层,传输层,网络层,
15、链路层,物理层,Permit?,外部报文,报文允许通过,防火墙的过滤功能,7.6 防火墙与网络边缘技术,7.6.3 防火墙的技术发展,包过滤技术,代理技术,状态监视技术,处理速度快 易于配置,不能防范黑客攻击 不支持应用层协议 不能处理新的安全威胁,可以检查应用层、传输层和网络层的协议特征 对数据包的检测能力比较强,难于配置 处理速度非常慢,支持多种网络协议和应用协议 可以方便地实现应用和服务的扩充 可以监视RPC(远程过程调用)和UDP(用户数据报)端口信息,7.6 防火墙与网络边缘技术,7.6.3 防火墙的类型,1) 软件防火墙,2) 硬件防火墙,3) 芯片级防火墙,1) 单一主机防火墙,
16、2) 路由器集成式防火墙,3) 分布式防火墙,1) 边界防火墙,2) 个人防火墙,3) 混合防火墙,从软、硬件 形式上划分,从防火墙 结构划分,按防火墙应用 部署位置划分,本章小结,1. 为了满足安全计算机网络的需求,规避信息安全风险,可在以下4个层次上建立相应的安全体系:物理层安全、基础平台层安全、应用层安全、管理层安全。 2. 网络安全构成划分为6个子系统:身份认证子系统、加密子系统、安全防御与响应子系统、安全备份与恢复子系统、监控子系统、授权子系统。 3. 一种安全服务可以通过某种安全机制单独提供,也可以通过多种安全机制联合提供。一种安全机制可用于提供一种或多种安全服务。 4. 计算机病毒是某些人利用计算机软、硬件所固有的脆弱性,编制或者在计算机程序中插入的破坏计算机功能或数据,影响计算机使用并能够自我复制的一组计算机指令或程序代码。,本章小结,5. 计算机病毒具有五大特点:传染性、隐蔽性、破坏性、可激发性和潜伏性。 6. 计算机病毒的防治技术分成4个方面:即检测、清除、免疫和防御。 7. 攻击的步骤可分为探测、攻击和隐藏。 8. 防火墙是位于两个(或多个)网络间,实施网络之间访问控制的一组组件集合。 9. 防火墙的技术已经经历了3个阶段,即包过滤技术、代理技术和状态监视技术。,
