《局域网安全技术分析》由会员分享,可在线阅读,更多相关《局域网安全技术分析(22页珍藏版)》请在金锄头文库上搜索。
1、局域网安全技术分析主讲人:高训兵S310060069内容提要内容提要: 局域网的应用为资源共享、 信息交换和分布处理提供了良好的环境, 但同时也面临严重的安全技术问题。 针对局域网中存在数据的可访问性、 信息的聚生性和设防的困难性等问题。下面将从保护信息的机密性、 完整性和可使用性的角度出发, 提出应根据局域网的风险评价采用相应的安全技术, 并论述相关的安全技术对策。最后给出总结。引言引言 局域网安全技术是指借助于网络管理, 使局域网中信息的机密性、 完整性及可使用性受到保护的技术。 主要目标是确保经网络传输的信息,到达目的计算机时,没有任何改变或丢失。因此,必须确保所有组网部件能根据需求提供
2、必要的功能且只有授权者可以访问网络, 并且应能保证其信息完整、 准确地传播。常用的局域网络安全技术措施常用的局域网络安全技术措施 p访问控制政策p认证技术p加密技术p身份鉴别p防火墙技术p网络监测技术1访问控制政策访问控制政策访问控制的实质是对资源使用的限制, 它决定一个用户或程序是否有权对某一特定资源执行一个特定的操作 (如共享、 修改签字等)。访问控制政策主要有以下几种方案:p自主访问控制政策 p强制访问控制政策 p基于角色的控制访问政策自主访问控制自主访问控制政策政策自主访问控制是一种最普遍的访问控制手段, 它是由客体自主地确定各个主体对它的直接访问权限, 但不能控制主体对客体的间接访问
3、。强制访问控制政策强制访问控制政策强制访问控制是由一个授权机构为主体和客体分别定义固定的访问属性, 每个用户具有一个安全级, 且在同一级中还要受类别的控制。 而且用户不能修改访问权限。基于角色的控制访问政策基于角色的控制访问政策基于角色的控制访问是以用户访问某特定资源时的角色来决定其权限。具体办法是: 为每一个资源对象建立一张访问控制列表, 表明其对各种角色赋予的权限; 也给每一个用户赋一个或几个预定的角色。基于角色的控制访问具有前两种的特点和优点, 更加安全方便。2认证技术认证技术身份认证是指在计算机网络中确认操作者身份的过程计算机通过识别用户的数字身份或用户数字身份的授权信息,来辨别用户的
4、合法性,保证操作者的物理身份与数字身份相对应目前局域网中常用的认证技术有:pWeb认证技术p802.1x技术Web认证技术认证技术Web认证技术一种基于HTTP协议以及HTTPS安全协议的认证接入方式用途:以太网用户的认证接入核心:用户通过数据报文中的用户信息来识别用户,并对用户开展接入和业务控制802.1x技术技术p8021x技术是一种基于ClientServer的访问控制和认证协议。p主要目的:为了解决局域网用户的接入认证问题p控制的核心:逻辑端口p基本思路:用户直接与端口相连802.1x技术技术802.Ix协议的认证体系结构包括三个部分:pSupplicant System客户端pAut
5、henticator System认证系统pAuthentication Server System认证服务器802.1x技术技术客户端客户端客户端:请求者被认证的用户或设备,一般为一个用户终端系统,该终端系统通常要安装一个支持基于端口的接入控制(EAPOL协议)的客户端软件用户通过启动客户端软件发起IEEE 802.Ix协议的认证过程典型:WindowsXP操作系统自带的客户端802.1x技术技术认证认证系统系统认证系统通常为支持802.1x协议的网络设备,一般由用户接人层设备(如交换机)实现该设备对应于不同用户的端口,并对接入的用户或设备进行认证的端口802.1x技术技术认证服务器认证服务
6、器认证服务器认证服务器通常为Radius服务器,该服务器存储有关用户的信息,例如用户所属的VLAN、优先级、用户的访问控制列表等它根据认证者的信息,负责对请求访问网络资源的用户或设备进行实际认证当用户通过认证后,认证服务器会把用户的相关信息传递给认证系统,由认证系统构建动态的访问控制列表,用户的后续访问就将接受上述参数的监管3加密技术加密技术工作中, 为保护人们的原始数据, 人们用密钥对数据进行加密, 使得数据不能被任何人读懂。加密后的数据表面上看来是一些毫无意义的比特序列, 与明文没有明显的关系。为了恢复明文, 接收方要对密文进行解密。加密两个主要的组成部分p算法p密钥加密技术加密技术常用的
7、加密方法有两种:l 对称加密技术l 不对称加密技术对称加密技术对称加密技术p 其加密密钥和解密密钥相同, 加解密过程呈镜像 式对称结构。p 性能关键:密钥的保密性。p 典型代表:DES数据标准加密法。不对称加密技术不对称加密技术它是用一个密钥进行加密, 而用另一个不同但是有关的密钥进行解密。任何一方都创建两个独特的密钥, 一个是公开的, 另一个为私有。加密过程为: 首先, 网络中的每个端系统都产生一对用于它将接收的报文进行加密和解密的密钥。其次, 每个系统都通过把自己的加密密钥放进一个登记本或者文件来公布它, 这就是公开密钥, 另一个密钥则是私有的。典型代表RSA系统,更适用于开放的使用环境,
8、 密钥管理相对简单。4身份鉴别身份鉴别身份鉴别是一个重要的局域网安全服务, 用来确定用户是否合法。它涉及两方面的内容, 即身份识别和验证。身份鉴别方法有: p基于令牌的身份鉴别pkerberos第三方仲裁协议pLASA系统等。5防火墙技术防火墙技术在局域网与外界的通道上设置防火墙, 可以防止局域网内部与外部网连通后秘密信息外泄。防火墙技术是一种被动式防御的访问控制技术, 是通过在局域网边界上建立起来的相应的网络通信监控系统, 以期在不可靠的互联网络中建立一个可靠的内部局域网。主要类别有:pIP级防火墙p应用级防火墙p链路级防火墙6网络检测技术网络检测技术网络管理及检测也是提高局域网性能和安全的重要措施。网络检测产品分为两类: 基于主机型和面向网络中继系统型常用的产品:pHP OpenViewpCisco WorkspHP网络分析仪小结小结 局域网安全技术措施各有其特点, 人们应根据局域网的风险评价结果, 采取一种或多种行之有效的手段, 来保护信息资源的安全。但仅仅靠单纯的技术措施是远远不够的, 还应加强在安全监督管理方面的工作和建立完善的应急预案。 一方面, 对工作人员进行安全教育, 提高保密观念, 及时查漏补缺, 完善局域网的安全措施和管理制度, 防止类似事件再次发生。 另一方面, 从法律角度来研究和制定计算机安全防范对策, 应用法律的武器, 对违法行为进行严惩。
