网络与信息安全概论-信息安全体系结构篇-2要点.ppt

第2章信息安全体系结构设计 网络基础一些基本概念开放系统互连安全体系结构复杂互联系统的信息安全防护框架信息安全需求分析设计目标 设计原则本章小结习题 2 1网络基础 ISO OSI网络参考模型TCP IP网络模型 2 1 1OSI网络参考模型 OSI 开放系统互连 参考模型是由ISO制定的标准化开放式的网络层次结构模型 OSI模型是设计网络系统的分层次的框架 它将网络按功能划分为7层 数据 010110111001101010101010010101 OSI模型传输数据的基本过程 对等层协议 经过中间节点数据传递的过程 2 1 2TCP IP网络模型 TCP IP协议族是一个Internet协议系列 TCP IP协议族由应用层 传输层 网络层 数据链路层和物理层构成 每一层的功能由一个或多个协议实现 1 IP地址 2 IP分组结构 IP 131 6 23 13 端口50000 端口50001 IP 128 36 1 22 端口50000 IP 125 6 10 20 端口25 连接1 连接2 连接3 A B C 3 TCP连接 4个地址唯一确定一条TCP连接 源IP 源端口 目的IP 目的端口 TCP的报文段 三次握手建立连接 三次握手的作用 确保连接双方做好传输数据的准备双方统一了初始序号 用来分辨在传输流中的位置确认的含义是希望收到下一个字节的编号 2 2一些基本概念 脆弱性信息安全威胁攻击信息安全风险信息安全措施信息安全机制 2 2 1脆弱性 脆弱性是信息系统及其资源带有的 可能被威胁源用来对信息系统及其资源实施具有损害行为的缺陷或漏洞 脆弱性可表现在硬件设施的脆弱性软件的脆弱性网络通信协议的脆弱性管理的脆弱性 2 2 2信息安全威胁 所谓威胁就是指可能导致对系统或组织损害的不期望事件发生的潜在原因 1 威胁的分类 人们可能认为对手具有恶意攻击目的 然而 在系统安全和保护系统和信息的环境中 认识到由那些非恶意目的发起的攻击是非常重要的 分类 敌意的威胁非敌意的威胁自然的威胁 1 敌意的威胁 每一种敌意态度都是有其独特性的 所以必须得到详细的说明和分析 这种敌意依赖具体环境而改变 潜在的威胁可能包括 恐怖分子心理不平衡的人单独的犯罪分子有组织的犯罪分子与外敌勾结的内部人员对本机构不满意 心理不平衡的内部人员以及潜伏在机构内部的间谍或犯罪分子 2 非敌意的威胁 这种类型的威胁没有恶意的目的 动机和企图 但无论如何 他们确实在一定程度上造成危害的 有时甚至是超越了敌意威胁带来的危害 能力 无法准确知道什么时候这种威胁会发生 潜在的非敌意威胁有可能来自于 系统使用者维护者 3 自然的威胁 由一些历史记录数据能够预测可能在某个物理位置发生的威胁 这样 可以大致把握这些威胁可能的发生频率和强度 地震火山爆发飓风台风洪水闪电冰雹 2 动机 获取机密或敏感数据的访问权 注意 那些对某些人或组织有很高价值的信息对别人可能毫无用处 跟踪或监视目标系统的运行 扰乱目标的运行 窃取钱物或服务 免费使用资源 如计算机资源或免费使用网络 使目标陷入窘境 攻克可击溃安全机制的挑战性技术 2 动机 在攻击一个信息处理系统时 对手面临着一定风险 对手面临的风险损失有可能远远超出其入侵期望所得 表露对手进行其它类型攻击的能力 打草惊蛇 使对手有所防范 从而增加了在未来进一步成功攻击的难度 尤其是入侵后可能获益很大时 遭受惩罚 如罚款 入狱和处于窘境等 危及生命安全 对手愿意接受的风险级别依赖于对手的动机 2 动机 对手的能力决定了他们对信息系统实施攻击的本领 能力因素包括 施展攻击的知识和能力 必要资源的可用性对手的能力越大 攻击的可能性越大 如果对手具备必要的知识 技术和资源并愿意拿这些资源和他们自己去冒险 那么剩下的唯一因素就是 攻击 机会了 机会有多种存在形式 包括特定操作系统的脆弱性 路由器或防火墙的错误配置等 我们不可能削弱一个对手的能力 但却可能减少对手的 攻击 机会 2 2 3攻击 IATF定义了5类攻击被动攻击主动攻击物理临近攻击内部人员攻击分发攻击 1 被动攻击 被动攻击包括流量分析 监视未受保护的通信 解密弱加密的数据流 获得认证信息 如密码 被动拦截网络操作可以获得对手即将发动的行为的征兆和警报 被动攻击会在未经用户同意和认可的情况下将信息或数据文件泄露给系统攻击者 例如 泄露信用卡号和医疗文档等个人信息 举例监视明文解密加密不善的通信数据口令嗅探通信量分析 2 主动攻击 主动攻击包括企图破坏或攻击保护性能 引入恶意代码以及偷窃或修改信息 实现方式包括攻击网络枢纽 利用传输中的信息 电子渗透某个区域或攻击某个正在设法连接到一个区域上的合法的远程用户 主动攻击所造成的结果包括泄露或传播数据文件 拒绝服务以及更改数据 举例修改传输中的数据重放 插入数据 会话拦截伪装成授权的用户或服务器获取系统应用和操作系统软件利用主机或网络信任利用数据执行插入或利用恶意代码拒绝服务 3 物理临近攻击 物理临近攻击指未授权的个人以更改 收集或拒绝访问信息为目的而在物理上接近网络 系统或设备 实现物理临近攻击的方式是偷偷进入或开放访问 或两种方式同时使用 举例修改数据或收集信息系统干涉物理破坏 4 内部人员攻击 内部人员攻击可以是恶意的或非恶意的 恶意攻击是指内部人员有计划地窃听 偷窃或损坏信息 以欺骗方式使用信息 或拒绝其它授权用户的访问 非恶意攻击则通常由粗心 缺乏技术知识或为了 完成工作 等无意间绕过安全策略的行为造成 举例恶意修改数据或安全机制建立未授权网络连接隐通道物理损坏或破坏非恶意修改数据物理损坏或破坏 5 分发攻击 分发攻击指的是在工厂内或在产品分发过程中恶意修改硬件或软件 这种攻击可能给一个产品引入后门程序等恶意代码 以便日后在未授权的情况下访问信息或系统功能 举例在制造商的设备上修改软 硬件在产品分发时修改软 硬件 2 2 4信息安全风险 信息安全风险是指由于系统存在的脆弱性 人为或自然的威胁导致安全事件发生的可能性及其造成的影响 安全风险由安全事件发生的可能性及其造成的影响这两种指标来衡量 信息系统的脆弱性是安全风险产生的内因 威胁和攻击则是安全风险产生的外因 2 2 5信息安全措施 信息安全措施是指对付威胁 减少脆弱性 保护资产 限制意外事件的影响 检测 响应意外事件 促进灾难恢复和打击信息犯罪而实施的各种实践 规程和机制的总称 信息安全措施可以分为预防性措施和保护性措施 预防性措施可以降低威胁发生的可能性和减少安全脆弱性 如制订业务持续性计划等 保护性措施可以减少因威胁发生所造成的影响 如购买商业保险等 2 2 6信息安全机制 信息安全机制是实现信息安全服务的技术手段 例如 网络信息系统的安全是一个系统的概念 为了保障整个系统的安全可以采用多种安全机制 在ISO7498 2中定义了8类安全机制 加密机制 数字签名机制 访问控制机制 数据完整性机制 鉴别机制 通信业务填充机制 路由控制机制和公证机制 2 3开放系统互连安全体系结构 1 OSI安全体系结构 OSI参考模型 安全机制 安全服务 国家标准 信息处理系统开放系统互连基本参考模型 第二部分 安全体系结构GB T9387 2 1995 等同于ISO7498 2 OSI安全服务与安全机制的关系 安全服务与OSI参考模型协议层之间的关系 安全服务与TCP IP参考模型协议层之间的关系 2 4复杂互联系统的信息安全防护框架 三纵涉密区域专用区域公共区域三横应用环境应用区域边界网络通信两个中心安全管理中心密码管理中心 应用环境安全 包括单机 C S B S模式的安全 采用身份认证 访问控制 密码加密 安全审计等机制 构成可信应用环境 应用区域边界安全 通过部署边界保护措施控制对内部局域网的访问 实现局域网与广域网之间的安全 采用安全网关 防火墙等隔离过滤机制 保护共享资源的可信连接 网络和通信传输安全 确保通信的机密性 一致性和可用性 采用密码加密 完整性校验和实体鉴别等机制 实现可信连接和安全通信 安全管理中心 提供认证 授权 实时访问控制策略等运行安全服务 密码管理中心 提供互联互通密码配置 公钥证书和传统的对称密钥的管理 为信息系统提供密码服务支持 2 4复杂互联系统的信息安全防护框架 2 5信息安全需求 什么是信息安全需求 信息安全需求来源信息安全需求分析 2 5 1什么是信息安全需求 信息安全需求是对抗和消除安全风险的必要方法和措施 安全需求是制定和实施安全策略的依据 通过安全需求分析明确需要保护哪些信息资产 需要投入多大力度 应该达到怎样的保护程度 2 5 2信息安全需求来源 法律法规 合同条约的要求组织自身的信息安全要求风险评估的结果 风险评估是获得信息安全需求的主要来源 安全需求和风险的关系 把风险降低到可以接受的程度 威胁和 或攻击信息系统 如非法获取或修改数据 所花的代价大于入侵信息系统后所获得的现实的和潜在的信息系统资源的价值 1 信息系统的脆弱性是安全风险产生的内因 威胁和攻击是安全风险产生的外因 2 人们对安全风险有一个认识过程 一般地 安全需求总是滞后于安全风险的发生 3 零风险永远是追求的极限目标 所以信息系统安全体系的成功标志是风险的最小化 收敛性和可控性 而不是零风险 2 5 3信息安全需求分析 物理安全系统安全网络安全应用安全安全管理 1 物理安全 2 系统安全 3 网络安全 4 应用安全 5 安全管理 2 6设计目标 设计原则 1 设计目标 针对所要保护的信息系统资源 假设资源攻击者及其攻击的目的 技术手段和造成的后果 分析系统所受到的已知的 可能的各种威胁 进行信息系统的安全风险分析 并形成信息系统的安全需求 安全需求和据此制定的安全策略应尽可能地抵抗所预见的安全风险 信息系统安全体系结构的目标就是从管理和技术上保证安全策略完整准确地得到实现 安全需求全面准确地得到满足 包括必需的安全服务 安全机制和技术管理的确定 以及它们在系统上的合理部署和配置 风险评估要素关系 方框部分的内容为风险评估的基本要素 椭圆部分的内容是与这些要素相关的属性 风险要素及属性之间存在着以下关系 1 业务战略的实现对资产具有依赖性 依赖程度越高 要求其风险越小 2 资产是有价值的 组织的业务战略对资产的依赖程度越高 资产价值就越大 3 风险是由威胁引发的 资产面临的威胁越多则风险越大 并可能演变成为安全事件 4 资产的脆弱性可能暴露资产的价值 资产具有的弱点越多则风险越大 5 脆弱性是未被满足的安全需求 威胁利用脆弱性危害资产 6 风险的存在及对风险的认识导出安全需求 7 安全需求可通过安全措施得以满足 需要结合资产价值考虑实施成本 8 安全措施可抵御威胁 降低风险 9 残余风险有些是安全措施不当或无效 需要加强才可控制的风险 而有些则是在综合考虑了安全成本与效益后不去控制的风险 10 残余风险应受到密切监视 它可能会在将来诱发新的安全事件 2 设计原则 木桶原则整体性原则安全 代价平衡原则标准优先原则管理与技术并重原则动态发展原则 3 防御策略 最小特权 仅有完成指定任务所必须的特权 纵深防御 建立具有纵向协议层次和横向结构层次的完备的安全体系 阻塞点 不允许有不被管理员控制的信息系统对外网络连接通道 监测和 或消除最薄弱的环节失效保护 系统运行出现错误或发生故障时 必须拒绝入侵者进入系统内部 普遍参与 要求员工普遍参与安全管理的协调 集思广益 防御多样化 使用不同厂商 不同平台的安全保护系统 2 7本章小结 开放系统互连参考模型是国际标准化组织ISO定义的开放系统体系结构 是一种将异构系统互连的七层分层结构 提供了控制互连系统交互的标准框架 开放系统互连安全体系结构 ISO7498 2 是基于OSI参考模型七层协议之上的信息安全体系结构 定义了5类安全服务 8种安全机制 确定了安全服务与安全机制的关系以及在OSI七层模型中安全服务的配置 5类安全服务是鉴别 访问控制 数据机密性 数据完整性以及抗抵赖 8种安全机制是加密 数字签名 访问控制 数据完整性 鉴别交换 通信业务填充 路由选择控制以及公证 对复杂的重要信息系统 可构成三纵 涉密区域 专用区域 公共区域 三横 应用环境 应用区域边界 网络通信 和两个中心 安全管理中心 密码管理中心 的信息防护框架 信息系统的脆弱性是安全风险产生的内因 威胁和攻击是安全风险产生的外因 零风险永远是追求的极限目标 信息系统安全体系的成功标志是风险的最小化 收敛性和可控性 而不是零风险 信息安全需求是对抗和消除安全风险的必要方法和措施 安全需求是制定和实施安全策略的依据 信息安全需求分析主要从物理安全 系统安全 网络安全 应用安全和安全管理等层面考虑 信息安全体系结构的设计中应遵循木桶原则 整体性原则 安全 代价平衡原则 标准优先原则 管理与技术并重原则 动态发展原则等 习题 画出OSI参考模型的层次结构图 并简述各层的主要功能 画出TCP IP模型的层次结构图 并简述各层的主要功能 简述信息安全脆弱性 威胁和风险的概念 OSI开放系统互连安全体系中包含哪些安全服务 OSI开放系统互连安全体系中包含哪些安全机制 简述安全服务和安全机制的关系 简述物理安全 系统安全 网络安全 应用安全和安全管理5个层面的主要安全需求 简述对安全体系结构设计原则的理解 补充1 底层网络技术 常用传输介质网络拓扑结构以太网技术 1 常用传输介质 同轴电缆 以前 双绞线光缆无线微波 2 网络拓扑结构 网络拓扑结构抛开网络中的具体设备 把路由器 交换机等网络单元抽象为 点 把网络中的电缆等传输介质抽象为 线 从拓扑学的观点看计算机和网络系统 就形成了由点和线组成的几何图形 从而抽象出网络系统的具体结构 物理拓扑结构 描述网络硬件的实际布局逻辑拓扑结构 描述网络中各节点间的信息流动方式 常用网络拓扑结构 3 以太网技术 以太网是一种流行的分组交换局域网技术 是Xerox公司的PARC在20世纪70年代早期发明的 IEEE802 3标准 按传输介质分类粗缆以太网 10Base5 细缆以太网 10Base2 双绞线以太网 10Base T 光纤以太网 10Base F 按传输速度分类10M 100M 1000M 10G 以太网性质 共享总线可支持广播尽最大努力交付分布式接入控制带冲突检测的载波监听多点接入 CSMA CD CarrierSenceMultipleAccesswithCollisionDetect 以太网帧格式 帧长 64八位组 1518八位组帧类型定义决定了以太网帧是自识别的 允许在同一物理网络上使用多个协议 64 1518 补充2网络层技术 IP地址私有地址子网划分IP分组结构IP路由 1 IP地址 每一类网络中的网络数量和主机数量 2 私有地址 3 子网划分 一个物理网络 网段 对应一个网络地址 大的物理网络 网段 对应能够容纳大量主机地址的的网络地址 小的物理网络 网段 对应能够容纳少量主机地址的网络地址 这就是IP分类编址的初衷 所有的物理网络 如以太网 中 不可能包含有一个B类网络地址所容纳的6万多台主机 更不可能有A类网络所容纳的1600多万台主机 子网划分 子网地址子网掩码 4 IP分组结构 路由器中的路由表 5 IP路由 路由选择流程 1 从被转发的IP分组首部中提取目的IP地址D 2 判断直接交付路由表项 否则就是间接交付 执行3 3 判断特定主机路由表项 若路由表中有目的地址为D的特定主机地址 则将分组传送给该路由表项所指明的下一跳地址 完成分组转发 否则 执行4 4 判断特定网络路由表项 对每一条路由表项 用子网掩码和D逐比特相 与 若结果与本路由表项中的目的网络地址相同 则将分组传送给该路由表项指明的下一跳地址 完成分组转发 否则 执行5 5 判断默认路由表项 若路由表中有一个默认路由表项 则将分组传送给该路由表项指明的下一跳地址 完成分组转发 否则 执行6 6 报告转发分组出错 举例 网络拓扑 路由器R1中的路由表 路由计算 试根据以下路由器R1接收分组的情况 计算分组的下一跳地址 转发地址 1 路由器R1接收到了一个目的地址为194 25 16 8的IP分组 2 路由器R1接收到了一个目的地址为192 12 10 200的IP分组 3 路由器R1接收到了一个目的地址为200 100 100 100的IP分组 补充3传输层技术 TCP面向连接的服务UDP无连接的服务 TCP服务 面向连接的服务要获得TCP服务 在一个应用进程向另一个应用进程开始发送数据之前 必须先在双方之间建立一条连接 数据传送结束后要释放连接 一个TCP连接就是一个字节流 端到端之间不保留消息的边界 TCP的端口号采用16bit端口号来识别应用程序 服务器一般都是通过熟知端口来识别 而客户端通常使用的是临时端口号 IP 131 6 23 13 端口50000 端口50001 IP 128 36 1 22 端口50000 IP 125 6 10 20 端口25 连接1 连接2 连接3 A B C TCP连接 4个地址唯一确定一条TCP连接 源IP 源端口 目的IP 目的端口 TCP的报文段 TCP报文段由首部和数据两部分组成 首部前20字节是固定部分 后面有4N字节是根据需要而增加的选项 选项部分最多是4