《周、网络安全体系结构》由会员分享,可在线阅读,更多相关《周、网络安全体系结构(28页珍藏版)》请在金锄头文库上搜索。
1、网络安全体系结构,黄润贵,2,网络安全标准,美国“可信计算机系统评价准则”(tcsec,又称桔皮书)。该准则对计算机操作系统的安全性规定了不同的7个等级。 A 验证设计(Verified Design) B3 安全域(Security Domains) B2 结构化保护(Structural Protection) B1 标记安全保护(Labeled Security Protection) C2 受控的存取保护(Controlled Access Protection) C1 自主安全保护(Discretionary Security Protection) D 最小保护(Minimal P
2、rotection) DOS、Windows3.X Windows9.X等为D级 Windows2000、 UNIX 、Linux精心配置后能达到C2,D级,D级是最低的安全形式,拥有这个级别的操作系统就像一个门户大开的房子,任何人都可以自由进出,是完全不可信的。 对于硬件来说,是没有任何保护措施,操作系统容易受到损害,没有系统访问限制和数据访问限制,任何人不需任何账户就可以进入系统,不受任何限制就可以访问他人的数据文件。 属于这个级别的操作系统有: DOS、Windows 9X,3,C级,这种级别的系统对硬件有某种程度的保护,但硬件受到损害的可能性仍然存在。用户拥有注册账号和口令,系统通过账
3、号和口令来识别用户是否合法,并决定用户对程序和信息拥有什么样的访问权。 许多日常的管理工作由根用户(Root)(Windows系统中称为系统管理员)来完成,如创建新的组和新的用户。根用户拥有很大的权力,所以它的口令一定要保存好,不要几个人共享。,4,C1,C1可以实现自主安全防护,对用户和数据的分离,保护或限制用户权限的传播。 C1级保护不足之处在于用户直接访问操纵系统的根用户。C1级不能控制进入系统的用户的访问级别,所以用户可以将系统中的数据任意移走,他们可以控制系统配置,获取比系统管理员允许的更高权限,如改变和控制用户名。,5,C2,C2级别包含有访问控制环境。该环境具有进一步限制用户执行
4、某些命令或访问某些文件的权限,而且还加入了身份验证级别。 系统对发生的事件加以审计,并写入日志当中,如什么时候开机,哪个用户在什么时候从哪儿登录等。通过查看日志,可以发现入侵痕迹。 审计可以记录下系统管理员执行的活动,审计还加有身份验证,这样就可以知道谁在执行这些命令。审计的缺点在于它需要额外的处理器时间和磁盘资源。 UNIX、Linux、Windows NT、Windows2000、XP,6,B级,B级别能够提供强制性安全保护和多级安全。 强制防护是指定义及保持标记的完整性,信息资源的拥有者不具有更改自身的权限,系统数据完全处于访问控制管理的监督下。 B1级称为标识安全保护。 B2级称为结构
5、保护级别,要求访问控制的所有对象都有安全标签以实现低级别的用户不能访问敏感信息,对于设备、端口等也应标注安全级别。 B3级别称为安全域保护级别,这个级别使用安装硬件的方式来加强域的安全,比如用内存管理硬件来防止无授权访问。,7,A级,A级或验证设计是当前橘皮书的最高级别,包括了一个严格的设计、控制和验证过程。 这一级别包含了较低级别的所有特性。 设计必须是从数学角度上经过验证的,而且必须进行秘密通道和可信任分布的分析。 可信任分布的含义是:硬件和软件在物理传输过程中已经受到保护,以防止破坏安全系统。,8,9,中国国家标准计算机信息安全保护等级划分准则,中华人民共和国国家标准计算机信息系统安全保
6、护等级划分准则 GB 17859-1999(节选) 1 范围 本标准规定了计算机系统安全保护能力的五个等级,即: 第一级:用户自主保护级; 第二级:系统审计保护级; 第三级:安全标记保护级; 第四级:结构化保护级; 第五级:访问验证保护级。 本标准适用计算机信息系统安全保护技术能力等级的划分。计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。,10,网络安全组件,网络系统的整体安全是由众多的安全组件共同组成。 根据网络数据包头部信息进行过滤,不能对数据文件进行判别和过滤:防火墙 以扫描的方式检测计算机或网络中的漏洞:扫描器 检查和杀除计算机中的病毒程序:防毒软件 对网络行为和对计算机
7、的操作提供详细记录,用于分析故障原因和发现系统异常:安全审计系统 对网络系统进行监测,发现入侵行为:IDS,信息网络安全风险分析,风险分析与评估一个完整的安全体系和安全解决方案是根据网络体系结构和网络安全形势的具体情况来确定的,没有一个通用的安全解决方案。 信息安全关心的是保护信息资源免受威胁。 绝对安全是不可能的,只能通过一定的措施把风险降低到一个接受的程度。 风险分析是有效保证信息安全的前提条件。只有准确地了解系统的安全需求、安全漏洞及其可能的危害,才能制定正确的安全策略。另外,风险分析也是制定安全管理措施的依据之一。,11,风险分析与评估,通过一系列的管理和技术手段来检测当前运行的信息系
8、统所处的安全级别、安全问题、安全漏洞以及当前安全策略和实际安全级别的差别。 评估风险分析的目标是: 了解网络的系统结构和管理水平及可能存在的安全隐患;了解网络所提供的服务及可能存在的安全问题;了解各应用系统与网络层的接口发其相应的安全问题;进行网络攻击和电子欺骗的检测、模拟及预防;分析信息网络系统对网络的安全需求,找出日前的安全策略和实际需求的差距,为保护信息网络系统的安全提供科学依据。,12,风险分析的内容,1、网络基本情况分析:包括网络规模、网络结构、网络产品、网络出口、网络拓扑结构。 2、信息系统基本安全状况调查:系统是否遭到过黑客的攻击,是否造成了损失?系统内是否存在违规操作的行为,具
9、体有哪些行为?系统内成员的安全意识如何,技术人员是否进行过安全技术培训,对一般职员是否进行过安全意识的教育工作,采用了什么样的形式,效果如何?,13,风险分析的内容,3、信息系统安全组织、政策情况分析:是否有常设的安全领导小组,其人员构成和职责是什么?现有的网络安全管理的相关规制度有哪些?安全管理人员的编制、职能和责任落实情况怎样? 4、网络安全技术措施使用情况分析:网络资源(人员、数据、媒体、设备、设施和通信线路)是否进行了密级划分?对不同密级的资源是否采取了不同的安全保护措施,采取了哪些具体的措旌?目前采取了哪些网络安全技术措施?哪些措施不能满足网络安全的需求?哪些安全措施没有充分发挥作用
10、?网络防病毒体系的完整性和有效性如何?,14,风险分析的内容,5、防火墙布控及外联业务安全状况分析:日前防火墙的布控方式是否台理,发挥的作用如何?信息系统对外提供的服务有哪些?以何种形式对外连接,是否采取了安全防护措施及采取了什么样的安全措施? 6、动态安全管理状况分析:是否使用过网络扫描软件对网络主机和关键设备进行安全性分析和风险评估?操作系统和关键网络设备的软件补丁是否及时安装?目前是否使用入侵检测系统对网络系统进行数据流监控和行为分析,是否对系统日志进行周期性的审计和分析?,15,风险分析的内容,7、链路、数据及应用加密情况分析:系统中关键的应用是否采取了应用加密措施?网络综合布线是否符
11、合安全标准?对关键线路是否有备份,启用频度如何?在广域网线路方面是否采取了链路层或网络层加密措施;应用系统对其有没有加密需求? 8、网络系统访问控制状况分析:系统用户是通过什么样的方法手段进行控制的?关键服务器和设备的用户是否得到严格的控制和管理?在访问控制方面除了简单的userpasswd认证外,还有没有采取其他的访问控制措施?主要服务器和关键设备的管理员的权限是否得到了分离?是否有内部拨号服务?访问控制措施是否得当?对网络资源的访问,是否有完整的日志和审计功能?,16,风险分析的内容,9、白盒测试:分析系统的抗攻击能力,测试系统能否经得住常见的拒绝服务攻击、渗透入侵攻击?是否有缓冲区漏洞缺
12、陷?对各种攻击的反应如何?,17,分析方法,在分析过程中,要时刻把握多角度、多层次的原则。首先要根据相关政策法规,查找被分析对象在管理上的疏忽和漏洞,如备份与恢复方案、紧急响应机制等:再从技术层面评测网络系统的安全性,如通信加密、用户访问控制、安全认证体系、攻击监控等。 风险分析可以使用以下方式实现:问卷调查、访谈、文档审查、黑盒测试、操作系统的漏洞检查和分析、网络服务的安全漏洞和隐患的检查和分析、抗攻击测试、综合审计报告等。,18,风险分析的过程可以分为以下4步,确定要保护的资源及价值。 分析信息资源之间的相互依赖性。由于某项资源的损失叫能会导致其他资源的失效,因此,在确定资源的时候还要考虑
13、资源之间的关联性。 确定存在的风险和威胁。明确存在哪些弱点漏洞及这些弱点漏洞的风险级别,分析资源所面临的威胁、发生的可能性以及一旦出现安全问题,可能造成什么样的影响等。 分析可能的入侵者。耍分析他们存在的数量,进行攻击的可能性,进行攻击时威胁有多大等。,19,风险评估,根据分析的数据结果得出最终的评估结论是一项重要的工作,需要安全专家进行总结。 对结果进行分析时一定要有所比较,将所得到的结果与以前的结果进行比较,或者与其他信息系统的评估结果进行比较,还要与有关的标准进行比较。严格的比较有助于为信息系统的安全性定级。因此,参照物的选择很关键。在比较之后,通过总体的权衡,给出整个系统安全性的概述说
14、明,并将结论与测试结果上报主管部门或人员。,20,对风险做出抉择,根据风险评估结果,对风险做出抉择。 避免风险。有些风险很容易避免,例如通过采用不同的技术、更改操作流程、采用简单的技术措施等。 转嫁风险。通常只有当风险不能被降低或避免、且被第三方(被转嫁方)接受时才被采用。 接受风险。用于那些在采取了降低风险和避免风险措施后,出于实际和经济方面的原因,只要组织进行运营,就必然存在并必须接受的风险。,21,计算机机房的安全要求,表中符号说明:一:无需要求;:有要求或增加要求;*:要求。,建筑结构,计算机机房楼板荷重依设备而定,一般分为两级 A级:500/; B级:300/。 空调设备、供电设备(
15、UPS及电池等)用房的楼板荷重依设备重量而定,一般应大于或等于1000/或采取加固措施。 计算机机房的净高依机房面积大小而定,一般为2.5m3.2m。房间举架要考虑地板下送风时和排水管坡度,地板标高为300毫米500毫米,排水管坡度至少3度,棚上保证有0.5米的布线及维修高度,保证机房内可以布置2米机柜。建议举架高度至少保证3.6米。 机房面积不能小于30。,室内装饰,保证机房楼上漏水不危害机房设备。 当主机房和基本工作间设有外窗时,宜采用双层金属密闭窗,并避免阳光的直射。当采用铝合金窗时,可采用单层密闭窗,但玻璃应为中空玻璃(防火玻璃)。 玻璃隔断满足防火要求。 拆出机房内的暖气、消防喷淋、
16、原上下水设施及管路。 两相对机柜正面之间的距离不应小于1.5m; 机柜侧面(或不用面)距墙不应小于0.5m,当需要维修测试时,则距墙不应小于1.2m; 走道净宽不应小于1.2m。,空调系统,考虑空调室外机的安装位置和管路辅设长度和落差要求。 考虑精密空调的给排水方式及管路路由。 线路尽可能不要穿过变形缝或防火墙、防火门。,供配电,要有独立的供电线路,若没有,要考虑电缆敷设的条件。 线路尽可能不要穿过变形缝或防火墙、防火门。 机房要求具备独立的接地系统。 机房所在建筑必须通过当地气象部门的防雷检测。,消防要求,机房所在建筑必须通过当地消防部门的消防检测。A类安全机房和非常重要的已记录媒体存放间,其建筑物的耐火等级必须符合GB45规定的一级耐火等级。 机房的建设不能违背原有建筑的消防要求。 机房必须具有通风排烟条件。,电磁场干扰,机房内无线电干扰场强,在频率范围0.15Mhz1000Mhz时不大于126dB。 机房内磁场干扰场强不大于800A/m。,
