《信息与网络安全技术与产品课件》由会员分享,可在线阅读,更多相关《信息与网络安全技术与产品课件(48页珍藏版)》请在金锄头文库上搜索。
1、信息安全博士后科研工作站马东平 博士2001-10-25信息与网络信息与网络安全技术与产品安全技术与产品 Version 3Copyright 2001 X-Exploit TeamX-Exploit T- 2Copyright 2001 X-Exploit TeamX-Exploit T日程安排安全概念安全技术安全产品安全服务结束语安 全 概 念Copyright 2001 X-Exploit TeamX-Exploit T- 4Copyright 2001 X-Exploit TeamX-Exploit TKansas CityDenverClevelandNew YorkAtlantaH
2、oustonPittsburgh MinneapolisColumbusWashingtonPhoenixRaleighTrentonSalt Lake CityWilmingtonDallasNew OrleansLincoln New HavenDetroitMiamiWestfieldNashvillePhiladelphiaIndianapolisNewarkUW Pacific North WestGreat PlainsMRENTexasOne NetDirectly Connected ParticipantMAGPIPittsburgh (CMU)MERITMAXMCNCAbi
3、leneGigaPoPsCENICOARnetWestnetAlbuquerqueOklahoma CityGigaPop Connected ParticipantAny colorAccess NodeRouter NodeSacramentoOaklandEugeneLos AngelesAnaheim33 Total Access PointsServing 64 MembersSeattle考察网络安全的每一个细节- 5Copyright 2001 X-Exploit TeamX-Exploit T理解安全概念安全(security)的定义是“防范潜在的危机”。保险(safety)则
4、稍有不同,它更侧重于可得性和连续的操作。而真正的安全是关于网络的每一个部分的。AuthenticationAuthorizationAccountingAssuranceConfidentialityData Integrity安全策略管理安全策略管理安全策略管理安全策略管理ConnectivityPerformanceEase of UseManageabilityAvailabilityAccessSecurity- 6Copyright 2001 X-Exploit TeamX-Exploit TMax.安全风险安全风险投资、效率与投资、效率与可用性可用性Min.Max.理解安全概念-
5、7Copyright 2001 X-Exploit TeamX-Exploit TMin.Max.安全曲线投资额投资额安全性安全性最优平衡点最优平衡点- 8Copyright 2001 X-Exploit TeamX-Exploit T安全要素完整性(Integrality)l是指信息在存储或传输时不被修改、破坏,或信息包的丢失、乱序等。信息的完整性是信息安全的基本要求,破坏信息的完整性是影响信息安全的常用手段。可靠性(Availability)l是指信息的可信度,接收者能接收到完整正确的信息,以及发送者能正确地发送信息。可靠性也是信息安全性的基本要素。机密性(Confidentiality)
6、l它主要利用现代密码技术对信息进行加密处理,防止静态信息的非授权访问和动态信息的非法泄漏或被截取。从某种意义上说,加密是实现信息安全的有效而且必不可少的技术手段。可控性可审查性不可否认性- 9Copyright 2001 X-Exploit TeamX-Exploit T安全实务目标l保障信息与网络系统稳定可靠地运行l保证网络资源受控合法地使用方法l安全法规、法律、政策l技术方法、手段步骤l信息安全工程的方法- 10Copyright 2001 X-Exploit TeamX-Exploit T通俗的安全“进不来”l使用访问控制机制,阻止非授权用户进入网络,“进不来”“拿不走”l使用授权机制,
7、实现对用户的权限控制,即不该拿走的,“拿不走”; “看不懂”l使用加密机制,确保信息不暴漏给未授权的实体或进程,即“看不懂”;“改不了”l使用数据完整性鉴别机制,保证只有得到允许的人才能修改数据,而其它人“改不了”;“走不脱”l使用审计、监控、防抵赖等安全机制,使得攻击者、破坏者、抵赖者走不脱。 - 11Copyright 2001 X-Exploit TeamX-Exploit T物理层链路层网络层传输层会话层表示层应用层物理层链路层网络层传输层会话层表示层应用层内部网络外部网络内部接口外部接口应用层应用层OSI七层参考模型IP HDRDATA- 12Copyright 2001 X-Exp
8、loit TeamX-Exploit TISO7498-2,信息安全体系结构访问控制服务鉴别服务数据完整性服务数据保密服务信息流安全数据源点鉴别数字签名机制加密机制数据完整性机制访问控制机制交换鉴别机制路由控制机制流量填充机制 公证机制OSIOSI安全管理安全管理- 13Copyright 2001 X-Exploit TeamX-Exploit TISO7498-2到TCP/IP的映射- 14Copyright 2001 X-Exploit TeamX-Exploit T小结保障信息与网络系统稳定可靠地运行保证网络资源受控合法地使用Public WWWServerCampus Backbon
9、eHua-TechFirewallIntranet ServersGatewaySalesOfficeHeadquartersInternetMainframeCSS Secure安 全 技 术Copyright 2001 X-Exploit TeamX-Exploit T- 16Copyright 2001 X-Exploit TeamX-Exploit T网络安全的主要技术网络安全的主要技术q密码技术q计算机病毒防治技术q信息泄露防护技术q鉴别,授权和身份认证技术q防火墙技术qVPN安全网关/信息网关技术q弱点漏洞分析/渗透式分析技术q监测,预警与响应技术q内容安全技术q应用安全技术q安全
10、路由器q系统安全技术q数据库安全技术q物理隔离技术q灾难恢复与备份技术- 17Copyright 2001 X-Exploit TeamX-Exploit T密码技术l密码技术信息安全的基础l信源、信道、信宿l攻击的种类:l被动攻击l截取(Interception) l侦听,获取消息内容,流量分析l被动攻击l中断(Interruption)l干扰,破坏可用性l修改(Modification)l破坏完整性l伪造(Fabrication)l破坏真实性l角色:通信双方、可信第三方、不可信第三方l介质:软件、硬件、数据- 18Copyright 2001 X-Exploit TeamX-Exploit
11、 T病毒防治技术病毒,是指能够破坏计算机系统,影响计算机工作并能实现自我复制的一段程序或指令代码。计算机病毒/网络病毒病原体(病毒库)是病毒防止技术的关键Virus Vs Trojan Horse(C/S程序)传播方式(介质/下载/邮件/软件)- 19Copyright 2001 X-Exploit TeamX-Exploit T信息泄露防治技术辐射线路窃听带宽的增加,威胁逐渐减少- 20Copyright 2001 X-Exploit TeamX-Exploit T鉴别,授权和身份认证技术q鉴别 用来验证系统实体和系统资源(如用户、进程、应用)的身份,例如鉴别想访问数据库的人的身份,确定是谁
12、发送了报文,防止有人假冒。q授权 是为完成某项任务而使用资源的权利、特权、许可证的证据,这种授权必须在系统资源的整个操作过程中始终如一地可靠地使用,还可对使用网络服务,访问一些数据的敏感部分,规定特殊的授权要求。 q身份认证系统 加强了原有的基于账户和口令的访问控制,提供了授权、访问控制、用户身份识别、对等实体鉴别、抗抵赖等功能。qOTP:一次一密的认证机制q 动态口令:有基于时钟的动态口令机制q生物技术:生理特征的认证机制,眼睛或手指qIC卡:作为身份的秘密信息存储在IC卡- 21Copyright 2001 X-Exploit TeamX-Exploit TAAAKerberosRADIU
13、STACACSMS LoginOTPPKI/CertificatesCOPS/DIAMETERDHCP/DNS mappingLDAP- 22Copyright 2001 X-Exploit TeamX-Exploit TIdentify Server统一口令统一口令规则/配置内部访问拨号访问Internet 访问RADIUS/TACACSMS LoginOTPPKI/CertificatesCOPS/DIAMETERDHCP/DNS mappingLDAP- 23Copyright 2001 X-Exploit TeamX-Exploit T防火墙技术防火墙是作为网络安全的第一道防线,是把内
14、部网和公共网分隔的特殊网络互连设备,可以用于网络用户访问控制、认证服务、数据过滤等安全区划/安全级别- 24Copyright 2001 X-Exploit TeamX-Exploit T防火墙技术要点包过滤(Packet Filter)地址转换NAT/端口转换PAT地址绑定(Mac)端口映射PMap/地址映射NMap地址过滤/内容过滤/时间段控制应用代理/传输代理日志/审计/响应/日志处理VPN/入侵检测/地址欺骗身份认证/OTP流量管理/计费管理/动态路由TCP/IP/IPX透明接入/非透明接入双机冷备/双机热备/负载均衡本地管理/远程管理/集中管理/用户分权界面(CLI/GUI/WEB)
15、- 25Copyright 2001 X-Exploit TeamX-Exploit T防火墙职责防火墙应该作什么?l安全边界l访问控制l保护敏感的数据服务器机群/关键的应用防火墙不用该作什么?l深层次入侵检测l病毒过滤l其他- 26Copyright 2001 X-Exploit TeamX-Exploit T防火墙技术发展趋势与IDS的连动/互动连动的风险/利弊得失- 27Copyright 2001 X-Exploit TeamX-Exploit T弱点漏洞分析/渗透式分析技术基于弱点漏洞的安全管理(风险管理)入侵成功三要素机会/动机/机会黑客的机会=企业的风险风险=弱点漏洞+错误(不恰
16、当)配置/误操作风险识别风险度量风险控制风险管理- 28Copyright 2001 X-Exploit TeamX-Exploit TBUGTRAQ/CVE/ISSBUGTRAQCVEISS- 29Copyright 2001 X-Exploit TeamX-Exploit T渗透式分析技术零知识测试(黑盒测试 )l对目标环境的信息毫无了解的前提下进行测试,是提供尽可能现实的模拟测试。 ProbingExploitingVulerability MappingIntruding- 30Copyright 2001 X-Exploit TeamX-Exploit T入侵检测技术基于网络行为的安
17、全管理(行为管理)防火墙技术的补充模式发现技术l前提:所有入侵行为和手段(及其变种)都能够表达为一种模式或特征l关键:如何表达入侵的模式,把真正的入侵与正常行为区分开来 l局限:它只能发现已知的攻击,对未知的攻击无能为力 异常发现技术l前提:所有入侵行为都是与正常行为不同的 l关键:异常阀值与特征的选择l局限:并非所有的入侵都表现为异常,而且系统的轨迹难于计算和更新- 31Copyright 2001 X-Exploit TeamX-Exploit T入侵检测技术信息采集技术分片重组(Fragment)技术会话跟踪技术解码技术自定义规则- 32Copyright 2001 X-Exploit
18、TeamX-Exploit T入侵检测技术Honeypot/Honeynetl主动防御的主机、僚机网络模型 l网络攻击的诱骗方法 l实时追踪攻击行为,快速查找定位攻击源 l主机与僚机的动态自动切换l僚机对攻击来源的吸收与反击模型l自动瘫痪攻击路径 - 33Copyright 2001 X-Exploit TeamX-Exploit T信息监控与过滤技术网络作为媒体的网络,它在舆论、道德和文化等层面威胁和损害国家利益;网络作为一种信息通道和国家运行管理环境,它为境外敌对势力和间谍情报组织提供手段,从而威胁和损害国家利益。 基于信息流的安全管理(内容管理)信息挖掘技术信息过滤技术反路由技术- 34
19、Copyright 2001 X-Exploit TeamX-Exploit TVPN技术虚拟专用网(Virutal Private Network, VPN)技术指一种特殊的私有数据通信网络,特殊之处在于VPN是建立在Internet等公共网络上而非通过物理的专线连接而成,它通过一个安全私用的通道来将远程用户、公司分支机构、公司的业务伙伴等和公司的企业网连接起来,构成一个扩展的公司企业网。VPN采用了密码学领域的成熟技术l数据机密性:用加密来隐藏明文信息,防范窃听者;l数据完整性:证实数据报文在传输过程中未被修改过;l数据源认证:证实数据报文是所声称的发送者发出的。- 35Copyright
20、 2001 X-Exploit TeamX-Exploit TIPSecIPSec 提供:数据验证数据机密性防止重播安全通道建立基于标准的Internet访问- 36Copyright 2001 X-Exploit TeamX-Exploit TEncryptedIP HDRIP HDRDATAIPSec HDRDATATransport ModeIP HDRDATAIPSec HDRIP HDRNew IP HDRDATATunnel ModeEncryptedIPSec Modes- 37Copyright 2001 X-Exploit TeamX-Exploit T安全路由器提供了某些基
21、于地址或服务的过滤机制,可以在一定程度上限制网络访问。(具有防火墙的功能)带信息加密的路由器。(成对使用)- 38Copyright 2001 X-Exploit TeamX-Exploit T安全操作系统操作系统的安全是网络系统安全的基础级别定义(DOD橘皮书)lA级:确定性保护lB级:强制性保护lC级:自主性保护lD级:未经安全评估- 39Copyright 2001 X-Exploit TeamX-Exploit T操作系统安全操作系统安全是对安全级别较低的操作系统的一个安全增强或加固接管系统命令/系统调用lSec-Shell接管ShelllSSH- 40Copyright 2001 X
22、-Exploit TeamX-Exploit T安全网关面向信息的安全网关面向用户的安全网关VPN- 41Copyright 2001 X-Exploit TeamX-Exploit T应用安全技术基于安全协议的应用安全技术开发SSL(Security Socket Layer)lSSL记录协议 :它涉及应用程序提供的信息和分段、压缩、数据认证和加密。 lSSL握手协议:用来交换版本号、加密算法、(相互)身份认证并交换密钥。 SET(Security Electric Tralsate)lVisa、Mastercard和微软等联手开发 ;l规定了信用卡持卡人用其信用卡通过Internet进行付
23、费的方法;l后台有一个证书颁发的基础结构;l支持X509证书。 SHTTP(Security HTTP)l企业集成技术公司开发;l文件级的安全机制 ;l对多种单向散列(Hash)函数的支持,如:MD2、MD5和SHA;l对多种单钥体制的支持,如:DES、3DES、RC2、RC4和CDMF;l对数字签名体制的支持,如RSA和DSS。 SSH(Security Shell)lSSH允许其用户安全地登录到远程主机上,执行命令,传输文件。l它实现了密钥交换协议以及主机及客户端认证协议。 安 全 产 品Copyright 2001 X-Exploit TeamX-Exploit T- 43Copyrig
24、ht 2001 X-Exploit TeamX-Exploit T系统安全安全边界通信安全动态安全桌面安全安全管理授权认证灾难恢复主流产品安 全 服 务Copyright 2001 X-Exploit TeamX-Exploit T- 45Copyright 2001 X-Exploit TeamX-Exploit T主流服务咨询服务名称 ID 英文安全整体规划与建设咨询服务SCS-SWPSecurity Whole Programming安全风险分析与评估服务SCS-RAARisk Analysis and Assessment安全需求分析服务 SCS-SRASecurity Require
25、ment Analysis安全策略开发服务SCS-SPDSecurity Policy Development安全体系结构设计服务SCS-SSDSecurity System Development安全标准与规范制定服务SCS-SCDStandard and criterion Development安全产品测试选型服务SCS-SPTSecurity Production Evaluation安全项目招标咨询服务SCS-IPBinvite public bidding安全工程项目工程监理服务SCS-PMMProject Monitor and Management安全系统评测、稽核与检查服务S
26、CS-EAEEvaluating Audit and Examination企业安全意识教育与技术培训服务SCS-SETSecurity Education and Training安全事件应急响应服务SCS-IERIncident emergency Response结束语Copyright 2001 X-Exploit TeamX-Exploit T关于X-Exploit TCopyright 2001 X-Exploit TeamX-Exploit T- 48Copyright 2001 X-Exploit TeamX-Exploit TX-Exploit Team一支由信息安全博士、博士后组成的博士团队一支由专业安全技术人员组成的安全团队一支不从政,不经商,专注安全学术的学术团队一支既不高傲自大,也不妄自菲薄,只求扎扎实实作技术的求实团队一支从事安全体系结构、安全模型、安全策略等基础理论研究的奉献团队一支专注密码工程、弱点漏洞、攻击模式、攻击方法等工程技术研究的工程团队一支欢迎加入X-Exploit T
