Intranet网络安全综述.ppt

第6章 Intranet网络安全综述,德州方向机厂 陈永 2007.10,教学要求,了解网络安全保障工具与产品 理解Intranet网络安全要求和信息系统安全技术标准 掌握Intranet网络安全要求和信息系统安全技术标准,主要内容,6.1 计算机安全 6.2 Intranet网络安全要求 6.3 信息系统安全技术标准 6.4 安全体系结构 6.5 分布计算环境DCE安全平台 6.6 评估增长的安全操作代价 6.7 网络安全保障工具与产品,引言,美国国防部于1987年对Milnet计算机网络安全问题进行测试。并将Milnet渗入程度有外到内分为六个层次： 第一层：企图联网。 第二层：注册保护。 第三层：注册机取得部分权限。 第四层：存取通用数据库。 第五层：进入编程环境 第六层：进入系统管理员权限。,6.1计算机安全,1.计算机安全的基本定义 国际标准化组织曾建议计算机安全的定义为：计算机系统有保护，计算机系统的硬件、软件、数据不被偶然或故意地泄漏、更改和破坏。其基本思想是将计算机安全从三个方面来衡量,即保密性、完整性、可用性。,2.对计算机安全的三种攻击 从攻击者与计算机系统的地理关系来分，可以分为超距攻击、近距攻击和远程攻击三种。 （1）超距攻击，即不接触就可以进行的攻击。 （2）近距攻击。 （3）远距攻击。,3.基本安全要求 根据国际标准化组织对计算机安全定义的建议和欧美各国多年的理论探讨和实践经验，以及我国自1981年开展计算机安全工作以来的实践，计算机安全的基本要求有如下五条： （1）认同用户和鉴别 （2）控制存取 （3）保障完整性 （4）审计 （5）容错 目前计算机系统在提高安全能力方面向两个方向发展：可信计算机系统和容错计算机系统。,1.基本原理 可信计算机理论将安全保护归结为存取控制。 被调用的程序或欲存取的数称为客体； 主动发出存取要求的人或进程称为主体； 一切主体欲对某一客体进行存取都毫无例外地接受存取权限控制。 执行存取控制的部件称为基准监控器。,可信计算机系统,存取控制机制有两种： 自主存取控制由组织统一规定每一主体的存取权限，而不管客体创建者是否授予存取权限; 强制存取机制统一给每一主体和每一客体划分安全等级和类别，其中安全等级是有高低之分的，类别没有高低之分。安全属性由等级和类别两部分组成。 存取规则：主体的等级客体的等级，且主体的类别包括了客体所含全部类别是允许读。主体的等级客体的等级，并且主体所属类别全都被客体所属类别包括时可写。,2.可信计算机安全等级 美国桔皮书将可信计算机由低到高分为四类七级： D级，安全保护欠缺级。 C1级，自主安全保护级。 C2级，受控存取保护级。 B1级，标识安全保护级。 B2级，结构化保护级。 B3级，安全域级。 A1级，验证设计级。 D级是不具备最低限度安全等级； C1和C2级是具备最低限度安全的等级；B1和B2级是具有中等安全保护能力的等级，与C级相比是高安全等级，对一般的重要应用基本可以满足安全要求；B3和A1属于最高安全等级，其成本增加很多，只是极其重要的应用才需要使用这种安全等级的设备。,容错计算机系统,可以分为两种类型：软件容错和硬件容错。 1.软件容错（备份方式） 容错系统由工作站和备份机两台计算机组成，当发现工作机出错时将工作转到备份机。其容错原理是在软件中设一些定时检测点。 2.硬件容错（表决方式） 容错系统采用冗余技术多数表决方式检测差错，判断正确值，使工作继续运行。 不论软件容错还是硬件容错，磁盘存储器都应当采用镜像方式。,6.2 Intranet网络安全要求,Intranet网络安全需求主要有： 身份验证 授权控制 通信加密 数据完整性 防止否认。,1.身份验证 在单机状态下的身份认证一般可以分几种类型：一是双方共同享有某个秘密；二是采用硬件设备；三是根据人的生理特征。 网络环境下的身份验证更加复杂，主要是要考虑到验证身份的双方一般是通过网络而非直接交互，所以目前一般采用的是基于对称密钥加密或公开密钥加密的方法，采用高强度的密码技术来进行身份认证的。,2.授权控制 授权控制是控制不同用户对信息资源访问权限，对授权控制的要求主要有： （1）一致性，也就是对信息资源的控制没有二义性，各种定义之间不冲突。 （2）统一性，对所有信息资源进行集中管理，安全政策统一贯彻。 （3）要求有审计功能，对所有授权有记录可以核查。 （4）尽可能地提供细粒度的控制。,3.通信加密 主要有两大类： 1.基于对称密钥加密的算法，即私钥算法； 2.基于非对称密钥的加密算法也称公钥算法。 加密手段，一般分为软件加密和硬件加密两种，软件加密技术低且实用灵活，更换方便；硬件加密效率高，本身安全性高。可以根据不同需要采用不同的方法，密钥管理包括密钥产生、分发、更换等，是数据保密的重要一环。,4.数据完整性 数据完整性是值通过网上传输的数据应防止被修改、删除、插入、替换或重发，以保证合法用户接受和使用该数据的真实性。 5防止否认 接受方要对方保证不能否认收到的信息是发送方发出的信息，而不是被他人冒名、篡改过的信息。发送方也会要求对方不能否认已经收托妥的信息，防止否认对金融电子化系统很重要。电子签名的主要的目的是防止抵赖、防止否认，给仲裁提供证据。,（美国）可信计算机系统评级准则将系统分为四类七级： D级，安全保护欠缺级。 C1级，自主安全保护级。 C2级，受控存取保护级。 B1级，标识安全保护级。 B2级，结构化保护级。 B3级，安全域级。 A1级，验证设计级.,6.3 信息系统安全技术标准,欧洲几个国家增加了对计算机系统连续工作的能力和容错能力的考虑。主要包括一下方面： 1.保密性 计算机系统能防止非法泄漏计算机数据。 2.完整性 计算机系统能防止非法修改或删除计算机数据和程序。 3.可用性 计算机系统能防止非法独占计算机资源和数据。,6.4.1 ISO/OSI安全体系结构及其实现 6.4.2采用传统防火墙技术的网络安全体系结构 6.4.3基于DCE分布计算环境的网络安全体系结构,6.4安全体系结构,防火墙Firewall，它由过滤器和Gateway组成。过滤器的作用是阻止某些类型的通信传输，而网关的作用是提供中继服务，以补偿过滤器的效应。 过滤可分为三类：分组过滤，应用级过滤，线路过滤。,1.分组过滤 工作原理：根据源和目的地址端口号来决定该分组是否要丢掉。过滤功能发生在分组接收时或发送时，或两者兼有，这取决于不同的路由器类型。管理员设置可接收的机器和服务的表，以及不可接收的机器和服务的表。这种方法可方便的在主机或网络级来接收或拒绝分组，以实现分组过滤。,2.应用级过滤 应用级网关是Firewall设计的另一个极端，它对每个应用采用专用的码。应用级网关的另一个优点是对某些环境是十分关键的，这些环境易于登录和控制所有输入和输出的通信。 应用级网关的主要缺点是对大部分的服务提供者需要专门的用户程序或各种用户接口。,3.线路级过滤 线路级的网关中继TCP连接，常用于输出连接的控制，呼叫者连到网关的TCP一个端口，该端口与另一方的网关的某个地址相连。在呼叫期间，网关的中继程序拷贝发送和接收的信号。在某些情况，线路连线是自动进行的。该网关配置成中继到内部机器的打印端口的专用连接，使用访问控制机制以确保仅此外部主机可连接到打印服务的网关。 另一些情况，需要指定目的地，以提供连接服务。这需要在调用者和网关之间有一定协议，该协议描述所需目的地和服务，以及网关返回地出错信号等，起一个代理地作用,6.4.3基于DCE分布计算环境的网络安全体系结构,DCE的安全服务是防止非法用和入侵，同时也防止进网用户是否进行授权之外的操作和访问，从而保护系统的安全。DCE的安全服务包括三个部分：认证、授权和用户注册。,6.5分布计算环境DCE安全平台,客户机/服务器方安全软件包括网络安全服务模块和安全过滤器。安全服务模块是用户空间的后台进程，安全过滤是内核空间的模块。它们为网络应用提供安全环境。 网络资源管理服务器提供对网络应用访问的存取控制，并且提供对网络连接的记录监控服务。它能管理整个虚拟安全网络上的网络应用和资源。 网络安全服务器提供对虚拟安全网络中所有用户和服务器的双向身份验证服务，并且提供安全通信的手段。,6.7评估增长的安全操作代价,安全操作代价主要有一下几点： 1.用户的方便程度。 2.管理的复杂性。 3.对现有系统的影响。 4.对不同平台的支持。,基于DCE的安全体系结构和安全系统平台具有的特点和性能： （1）DCE不需对现存网络环境的物理设备作任何修改，它可简单地建立于现有环境之上。 （2）DCE对现有计算网络环境的额外开销很小，在多数情况下可忽略不计。 （3）客户方能支持DCEAPI和语义，支持INTERNET类型应用的特性，可与非DCE的应用程序直接结合