安全模型与体系结构.pdf

信息安全模型与 信息安全防御体系结构 2007.04 目录 ?1 信息安全定义 ?2 网络安全事件及其分析 ?3 信息安全特征 ?4 信息安全层次和结构 ?5 信息与网络安全组件 信息的定义 一般认为一般认为一般认为一般认为，信息是关于客观事实的可通讯的信息是关于客观事实的可通讯的信息是关于客观事实的可通讯的信息是关于客观事实的可通讯的 知识知识知识知识。这是因为： 第一，信息是客观世界各种事物的特征的反 映。这些特征包括事物的有关属性状态， 如时间、地点、程度和方式等等。 第二，信息是可以通讯的。大量的信息需要 通过各种仪器设备获得。 第三，信息形成知识。人们正是通过人类社 会留下的各种形式的信息来认识事物、区 别事物和改造世界的。 信息是有价值的 信息的价值= 使用信息所获得的收益获取信息所用成本 所以信息具备了安全的保护特性信息具备了安全的保护特性信息具备了安全的保护特性信息具备了安全的保护特性 信息安全的定义 “为数据处理系统建立和采用的技术 和管理的安全保护，保护计算机硬件、 软件和数据不因偶然和恶意的原因遭到 破坏、更改和泄露”国际标准化组 织(ISO) 从几个方面来考虑安全 ?本质上讲： ?保护网络系统的硬件，软件，数据 ?防止系统和数据遭受更改，泄露等破坏 ?保证系统连续可靠正常地运行，服务不中断 ?广义上讲： ?领域涉及到网络信息的保密性，完整性，可 用性，真实性，可控性的相关技术和理论 ?两个方面： 技术方面防止外部用户的非法入侵 管理方面内部员工的教育和管理 ?提高人员的安全意识 目录 ?1 信息安全定义 ?2 网络安全事件及其分析 ?3 信息安全特征 ?4 信息安全层次和结构 ?5 信息与网络安全组件 ?6 国内外信息安全发展和现状 入侵技术的发展 入侵系统的常用步骤 较高明的入侵步骤 被黑的WEB页面 案例一：某电子商务网站 ?主服务器遭到黑客攻击后瘫痪 ?在启用备份服务器后，数据大部分被删 除 ?CheckPoint 防火墙，但防火墙行同虚 设 ?主机上没有作过多配置，存在大量的服 务 ?安装了pcAnywhere远程控制软件 案例一的教训 ?在遭到黑客攻击后应采取的措施 ?关键数据的备份 ?主机日志检查与备份 ?主机的服务端口的关闭 ?主机可疑进程的检查 ?主机帐号的修改 ?防火墙的策略修改 ?启用防火墙日志详细记录 ?避免使用的危险进程 ?利用Disk Recovery技术对硬盘数据进行恢复 案例二：中国电信信息港 ?遭到黑客DDOS攻击 ?服务器被瘫痪，无法提供正常的服务 ?来源地址有3000多个，多数来自国内 ?有一部分攻击主机是电信内部的IP地址 案例二的教训 ?加强对骨干网设备的监控 ?减少骨干网上主机存在的漏洞 ?在受到攻击时，迅速确定来源地址，在 路由器和防火墙上作一些屏蔽 ?实现IDS和防火墙的联动 信息安全的目的 安全工作目的（一） ?安全工作的目的就是为了在安全法律、法规、 政策的支持与指导下，通过采用合适的安全技术 与安全管理措施，完成以下任务 ?使用访问控制机制，阻止非授权用户进入网络，即 “进不来”，从而保证网络系统的可用性。 ?使用授权机制，实现对用户的权限控制，即不该拿走 的“拿不走”，同时结合内容审计机制，实现对网络资源 及信息的可控性。 ?使用加密机制，确保信息不暴漏给未授权的实体或进 程，即“看不懂”，从而实现信息的保密性。 安全工作目的（二） ?使用数据完整性鉴别机制，保证只有得到 允许的人才能修改数据，而其它人“改不 了”，从而确保信息的完整性。 ?使用审计、监控、防抵赖等安全机制，使 得攻击者、破坏者、抵赖者“走不脱”，并 进一步对网络出现的安全问题提供调查依 据和手段，实现信息安全的可审查性。 网络安全事件的有关报道 ?据联邦调查局统计，美国每年因网络安全造成 的损 失高达75 亿美元。 ?据美国金融时报报道，世界上平均每20秒就发 生一次入侵国际互联网络的计算机安全事件， 三分之一的防火墙被突破。 ?美国联邦调查局计算机犯罪组负责人吉姆 塞 特尔称：给我精选 10名 “黑客” ，组成个小 组，90天内，我将使美国趴下。 ?超过50%的攻击来自内部，其次是黑客. 目录 ?1 信息安全定义 ?2 网络安全事件及其分析 ?3 信息安全特征 ?4 信息安全层次和结构 ?5 信息与网络安全组件 ?6 国内外信息安全发展和现状 信息安全特性 信息安全的基本特征 ?相对性 ?只有相对的安全，没有绝对的安全系统 ?操作系统与网络管理的相对性 ?安全性在系统的不同部件间可以转移 信息安全的基本特征 ?时效性 ?新的漏洞与攻击方法不断发现（NT4.0已从SP1发 展到SP6,Windows 2000也发现很多漏 洞,windows XP的补丁目前为的补丁目前为的补丁目前为的补丁目前为SP2，针对Outlook 的病毒攻击非常普遍) ?配置相关性 ?日常管理中的不同配置会引入新的问题（安全测评 只证明特定环境与特定配置下的安全） ?新的系统部件会引入新的问题(新的设备的引入、防 火墙配置的修改) 信息安全的基本特征 ?攻击的不确定性 ?攻击发起的时间、攻击者、攻击目标和攻击 发起的地点都具有不确定性 ?复杂性 ?信息安全是一项系统工程，需要技术的和非 技术的手段，涉及到安全管理、教育、培 训、立法、国际合作与互不侵犯协定、应急 反应等 信息安全特性与具体实现 目录 ?1 信息安全定义 ?2 网络安全事件及其分析 ?3 信息安全特征 ?4 信息安全层次和结构 ?5 信息与网络安全组件 动态防御模型- PPDR 管理和执行模型 ?Policy/Protect/Detect/Response 动态防御模型-PDRR ?Protect/Detect/React/Restore 动态防御模型- 以风险为核心的安全模型 风险风险风险风险 防护措施防护措施防护措施防护措施信息资产信息资产信息资产信息资产 威胁威胁威胁威胁漏洞漏洞漏洞漏洞 防护需求防护需求防护需求防护需求 降低 增加增加 利用 暴露 价值价值价值价值 拥有 抗击 增加 引出 被满足 动态防御模型- MPPDRR 信息与网络系统安全理念 ?安全不是纯粹的技术问题，是一项复杂的系统 工程信息安全工程论 ?安全是策略，技术与管理的综合 信息与网络系统安全管理模型 信息安全策略 ?自上而下地制定安全策略 ?最小特权原则 ?密码技术与方法 ?阻塞点 ?最薄弱环节（被忽视的环节） ?失效保护机制 ?缺省拒绝状态 ?缺省接受状态 ?不要使用太昂贵的设备 ?采用多防线技术 ?不要太过于依赖系统操作：定期备份 ?普遍参与 ?防御多样化 可定制的安全要素和领域 ?网络物理与拓扑安全（ARC） ?访问控制与安全边界（CTL） ?弱点漏洞分析和风险审计（ASS） ?入侵检测与防御（IDS） ?信息监控与取证（INF） ?网络病毒防范（VPR） ?身份认证与授权（AAA） ?通信链路安全（LNK） ?系统安全（SYS） ?数据与数据库安全（DBS） ?应用系统安全（APS） ?个人桌面安全（PCS） ?涉密网的物理隔离（PHY） ?灾难恢复与备份（RAB） ?集中安全管理（MAN） 网络物理与结构安全（ ARC ） ?网络物理安全 ?物理安全是保护计算机网络设备、设施、介质和信息免遭自然灾 害、环境事故以及人为物理操作失误或错误及各种以物理手段犯罪 行为导致的破坏、丢失。 ?考虑三个方面：环境安全、设备安全和媒体安全。 ?对于机房环境安全，应符合相关的国家标准：GB50173-93电子计 算机机房设计规范；GB2887-89计算站场地技术条件； GB9361-88计算站场地安全要求等。 ?对于设备的物理安全，主要包括设备的防盗、防毁、防电磁信息辐 射泄漏、防止线路截获、抗电磁干扰及电源保护等；关键网络设备 和应用系统主机设备的冗余设计；员工整体安全意识的提高。 ?对于媒体安全，包括媒体数据的安全及媒体本身的安全，要防止系 统信息在空间的扩散。 网络物理与结构安全（ ARC ） ?网络安全域结构 ?核心层（办公应用服务域，应用服务域，企业位内 部信息服务域等） ?安全层（系统内部信息服务域，对相关单位信息服 务域） ?可信任层（内部上下级节点网络，相关单位网络） ?非安全层（对外信息服务域） ?危险层（公共Internet） ?各层安全性逐层递减。 访问控制与安全边界（ CTL ） ?根据内部网络的安全域结构，需要在不同安全 域间设置边界访问控制，包括内外网连界、内 网边界。网络边界访问控制的设计包括网络隔 离方案、边界防火墙配置方案、局域网虚拟子 网间的访问控制、远程访问控制。 访问控制与安全边界（ CTL ） ?网络隔离 ?根据国家安全主管部门有关规定，党政涉密网要求与因特网物理断开。对于 各单位的涉密应用，如涉密办公应用，应单独建立相应的网络。 ?边界防火墙 ?防火墙是网络安全最基本的安全措施，目的是要在内部、外部两个网络之间 建立一个安全隔离带，通过允许、拒绝或重新定向经过防火墙的数据流，实 现对进、出内部网络的服务和访问的审计和控制。 ?业务网络隔离 ?局域网的多个业务系统：办公应用系统，应用系统，数据中心。 ?可通过有效的虚拟子网划分来对无关用户组间实施安全隔离，提供子网间的 访问控制:VLAN划分。 ?远程访问控制 ?通过在广域连接的出入口配置防火墙，使远程用户对内部网服务器的访问受 到防火墙的控制，远程内部网用户可按权限访问指定的内部网服务器。 ?另外，通过设置一台安全认证服务器，可进行拨号用户身份、远程拨号路由 器身份的认证，从而限制非法单机和局域网用户对内部网的访问。 ?认证服务器可设在防火墙内，连接到内部网的交换机上。 计算机的安全 ?主机安全：主要考虑保护合法用户对于授权资源的使用， 防止非法入侵者对于系统资源的侵占与破坏. ?其最常用的办法是利用操作系统的功能，如Unix的用户认证、文 件访问权限控制、记帐审计等。 ?网络安全：主要考虑网络上主机之间的访问控制，防止来 自外部网络的入侵，保护数据在网上传输时不被泄密和修 改 ?其最常用的方法是防火墙、加密等。 主机网络安全系统体系结构 信息与网络系统的安全框架 ?保卫网络和基础设施 ?主干网络的可用性 ?无线网络安全框架 ?系统互连和虚拟私有网（VPN） ?保卫边界 ?网络登录保护 ?远程访问 ?多级安全 ?保卫计算环境 ?终端用户环境 ?系统应用程序的安全 ?支撑基础设施 ?密钥管理基础设施/公共密钥基础设施（KMI/PKI） ?检测和响应 保护计算环境 ?计算环境包括终端用户工作站台式机和笔记本，工作站中包括 了周边设备； ?安全框架的一个基本原则是防止穿透网络并对计算环境的信息的 保密性、完整性和可用性造成破坏的计算机攻击； ?对于那些最终得逞了的攻击来说，早期检测和有效的响应是关键 ?不断的或周期性的入侵检测、网络扫描以及主机扫描可以验证保 护系统的有效性； 保护网络边界 ?一个区域边界之内通常包含多个局域网以及各种计算资源组件。边界环境比较复 杂，它可以包含很多物理上分离的系统。 ?多数边界环境拥有通向其它网络的外部连接。它与所连接的网络可以在密级等方面 有所不同。 ?边界保护主要关注对流入、流出边界的数据流进行有效的控制和监督 ?有效地控制措施包括防火墙、门卫系统、VPN、标识和鉴别/访问控制等。 ?有效的监督措施包括基于网络的入侵检测系统（IDS）、脆弱性扫描器、局域网上的 病毒检测器等。 ?虽然边界的主要作用是防止外来攻击，但它也可以来对付某些恶意的内部人员。 保护网络和基础设施 ?网络以及为其提供支撑的相关基础设施（比如管理系统）是必 须受到保护的。在网络上，有三种不同的通信流：用户通信 流、控制通信流以及管理通信流。 ?保护的策略是，使用经过批准的广域网（WAN）来传输企业的机 密数据，加密方式采用国家相关部门批准的算法； ?为保护非加密局域网上交换的敏感数据，要求使用符合一定条 件的商业解决方案。 支撑基础设施 ?支持基础设施给以下情况提供服务：网络； 最终用户工作站；网络、应用和文件服务 器；单独使用的基础设施机器（即：高级的 域名服务器（DNS）服务，高级目录服务 器）。 ?框架包括两个方面的内容：密钥管理基础设 施(KMI)，其中包括公钥基础设施(PKI) 和检 测响应基础设施。 支撑基础设施 ?密钥管理基础设施：KMI 提供一种通用的联合 的处理方式，以便于安全创建、分发和管理公 共密钥证明和传统的对称密钥，使它们能够安 全服务于网络、领地和计算机环境。这些服务 能够对发送者和接收者的身份进行可靠验证， 并可以保护信息不会发生未授权泄露和更改。 KMI 支持受控制的相互可操作的用户，保持为 每个用户团体建立的安全策略。 ?公钥基础设施PKI （Public Key Infrastructure）是一种遵循标准的利用公钥加 密技术为网上通信提供一整套安全的基础平台 ?检测和响应：检测和响应基础设施使能够迅速 检测和响应入侵。它也提供一个“熔化”能力， 以便于可以观察事件与其它相关连。还允许分 析员识别潜在的行为模式或新发展。在多数实 现检测和响应能力的机构中，本地中心监视本 地运行，并输送到大区域或国家中心。需要这 个基础设施有技术解决方案，如：入侵检测和 监视软件；一些训练有素的专业人员，通常指 的是计算机应急响应小组(CERT)。 网络安全层次架构 目录 ?1 信息安全定义 ?2 网络安全事件及其分析 ?3 信息安全特征 ?4 信息安全层次和结构 ?5 信息与网络安全组件 ?6 国内外信息安全发展和现状 信息与网络安全组件 ?信息整体安全是由安全操作系统、应用系统、防火 墙、网络监控、安全扫描、信息审计、通信加密、 灾难恢复、网络反病毒等多个安全组件共同组成 的，每一个单独的组件只能完成其中部分功能，而 不能完成全部功能 防火墙 ?防火墙通常被比喻为网络安全的大门，用来鉴别什 么样的数据包可以进出企业内部网。在应对黑客入 侵方面，可以阻止基于IP包头的攻击和非信任地址 的访问。但防火墙无法阻止和检测基于数据内容的 黑客攻击和病毒入侵，同时也无法控制内部网络之 间的违规行为 加密 ?对称加密:使用同一个密钥加密和解密数据 ?非对称加密：使用一对密钥加密和解密数据 ?HASH散列算法：用HASH函数把信息混杂， 使其不可恢复原状 访问控制 ?强制访问控制（Mandatory access control） ?系统独立于用户行为强制执行访问控制，用户不能改变他们的安全 级别或对象的安全属性。这种访问控制规则通常对数据和用户按照 安全等级划分标签，访问控制机制通过比较安全标签来确定的授予 还是拒绝用户对资源的访问。强制访问控制进行了很强的等级划 分，所以经常用于军事用途。 ?自主访问控制（Discretionary access control） ?自主访问控制机制允许对象的属主来制定针对该对象的保护策略。 通常DAC通过授权列表（或访问控制列表）来限定哪些主体针对哪 些客体可以执行什么操作。如此将可以非常灵活地对策略进行调 整。由于其易用性与可扩展性，自主访问控制机制经常被用于商业 系统。 ?主流操作系统(Windows Server, UNIX系统)，防火墙（ACLs）等都 是基于自主访问控制机制来实现访问控制 身份认证 ?密码认证 ?智能卡 ?生物特征（指纹、面部扫描、视网膜扫描、 语音分析） ?位置认证（IP，反向DNS） 特殊认证技术 ?OTP ?Kerberos ?X.509 扫描器 ?扫描器可以说是入侵检测的一种，主要用来 发现网络服务、网络设备和主机的漏洞，通 过定期的检测与比较，发现入侵或违规行为 留下的痕迹。 ?扫描器无法发现正在进行的入侵行为，而且 它还有可能成为攻击者的工具 扫描器 防毒软件 ?防毒软件是最为人熟悉的安全工具，可以 检测、清除各种文件型病毒、宏病毒和邮件 病毒等。在应对黑客入侵方面，它可以查杀 特洛伊木马和蠕虫等病毒程序，但对于基于 网络的攻击行为（如扫描、针对漏洞的攻 击）却无能为力 网络病毒防范（VPR ） ?网络病毒具有不可估量的威胁性和破坏力，因而计算机病毒的防范也是网络安全建设的重 要环节。考虑内部网络系统运行环境复杂，网上用户数多，同Internet有连接等，需在网络 上建立多层次的病毒防护体系，对桌面、服务器和网关等潜在病毒进入点实行全面保护。 ?（1) 建立基于桌面的反病毒系统 ?在内部网中的每台桌面机上安装单机版的反病毒软件，实时监测和捕获桌面计算机系统的 病毒，防止来自软盘、光盘以及活动驱动器等的病毒来源。 ?（2）建立基于服务器的反病毒系统 ?在网络系统的文件及应用服务器（一些关键的Windows NT服务器）上安装基于服务器的反 病毒软件，实时监测和捕获进出服务器的数据文件病毒，使病毒无法在网络中传播。 ?（3）建立基于群件环境的反病毒系统 ?在网络系统的Louts Notes和Ms Exchange服务器上安装基于群件环境的反病毒软件，堵住 夹在文档或电子邮件中的病毒。 ?（4）建立基于Internet网关的反病毒系统 ?在代理服务器（Proxy）网关上安装基于网关的反病毒软件，堵住来自Internet通过Http或 Ftp等方式进入内部网络的病毒，而且可过滤恶意ActiveX,Java和Java Applet程序。 ?（5）建立病毒管理控制中心 ?在中心控制台（安全管理控制台）实施策略配置和管理、统一事件和告警处理、保证整个 网络范围内病毒防护体系的一致性和完整性。通过自动更新、分发和告警机制，使桌面PC 和服务器等设备自动获得最新的病毒特征库，完成终端用户软件及病毒特征信息的自动更 新和升级，以实现网络病毒防范系统的集中管理。 防毒软件 安全审计系统 ?安全审计系统通过独立的、对网络行为和主机操作提 供全面与忠实的记录，方便用户分析与审查事故原 因，很像飞机上的黑匣子。由于数据量和分析量比较 大，目前市场上鲜见特别成熟的产品 ?主动式审计（IDS部署） ?被动式审计（日志监控） 入侵检测与防御（ IDS ） IDS ?IDS的主要功能包括检测并分析用户在网络中的活 动，识别已知的攻击行为，统计分析异常行为，核 查系统配置和漏洞，评估系统关键资源和数据文件 的完整性，管理操作系统日志，识别违反安全策略