网络安全体系结构

1、网络安全技术 2021-7-25 1 网络安全体系结构与安全技术网络安全体系结构与安全技术 网络技术系 田宏政 2021-7-25 网络技术系网络技术系 田宏政田宏政 2 安全层次体系结构安全层次体系结构 防火墙防火墙安全网关安全网关VPNVPN 反病毒反病毒风险评估风险评估入侵检测入侵检测审计分析审计分析 用户用户/组管理组管理单机登录单机登录身份认证身份认证 访问控制访问控制授权授权 加密加密 存储备份存储备份 2021-7-25 网络技术系网络技术系 田宏政田宏政 3 重点 安全管理 安安全全体体系系 物理安全网络安全信息安全 环 境 安 全 媒 体 安 全 设 备 安 全 反 病 毒

2、审 计 监 控 安 全 检 测 访 问 控 制 备 份 恢 复 传 输 安 全 储 存 安 全 用 户 鉴 权 内 容 审 计 网络安全体系结构网络安全体系结构 2021-7-25 网络技术系网络技术系 田宏政田宏政 4 访问控制 传输安全 用户鉴权安全检测 出 入 控 制 存 取 控 制 安 全 扫 描 入 侵 检 测 口 令 机 制 智 能 卡 主 体 特 征 传 输 数 据 加 密 数 据 完 整 鉴 别 防 抵 赖 数 字 证 书 控制表技术 攻击技术 口令技术 加密技术 安全协议 网络安全体系结构网络安全体系结构 2021-7-25 网络技术系网络技术系 田宏政田宏政 5 网络信息安

3、全的关键技术 2021-7-25 网络技术系网络技术系 田宏政田宏政 6 安全产品集成 防火墙防火墙 访问控制访问控制 防病毒防病毒入侵检测入侵检测 虚拟专用网虚拟专用网 漏洞评估漏洞评估 2021-7-25 网络技术系网络技术系 田宏政田宏政 7 网络体系结构及各层的安全性 安全管理与审计安全管理与审计 物理层 安全 网络层 安全 传输层 安全 应用层 安全 链路层 物理层 网络层 传输层 应用层 表示层 会话层 审计与监控 身份认证 数据加密 数字签名 完整性鉴别 端到端加密 访问控制 点到点链路加密 物理信道安全 l访问控制 l数据机密性 l数据完整性 l用户认证 l防抵赖 l安全审计

4、网络安全层网络安全层 次次 层次层次 模型模型 网络安全网络安全 技术技术 实现安实现安 全目标全目标 用户 安全 2021-7-25 网络技术系网络技术系 田宏政田宏政 8 TCP/IPTCP/IP网络的四层结构模型网络的四层结构模型 v OSIOSI参考模型与参考模型与TCP/IPTCP/IP模型对比模型对比 2021-7-25 网络技术系网络技术系 田宏政田宏政 9 TCP/IPTCP/IP层次结构图层次结构图 2021-7-25 网络技术系网络技术系 田宏政田宏政 10 安全模型安全模型 v网络安全是动态的。 攻击与反攻击是永恒的矛盾。 v安全是相对的。 安全有时限性； 需要不断的更新

5、、加强安全措施。 v安全策略为达到预期安全目标而制定的一套 安全服务准则。 v安全模型为实现安全策略设定的目标而构建 的安全框架。 两种模型：P2DR模型和PDRR模型。 2021-7-25 网络技术系网络技术系 田宏政田宏政 11 P2DR模型模型 v P2DR(Policy策略，Protection防护，Detection检测，Response响 应）模型 20世纪90年代末，由ISS（Internet Security Systems Inc.美国国际互联网安全系统 公司）提出； 在整体策略的控制和指导下，在运用防护工具保证系统运行的同时，利用检测工具 评估系统的安全状态，通过响应工具将

6、系统调整到相对安全和风险最低的状态； 防护、检测和响应组成了一个完整的、动态的安全循环，在安全策略的指导下保证 系统的安全，如下图所示。 检测（D） 策略（策略（P） 防护（P） 响应（R） 2021-7-25 网络技术系网络技术系 田宏政田宏政 12 策略（策略（Policy） v策略是P2DR模型的核心，描述了在网络安全管 理过程中必须遵守的原则，所有的防护、检测和 响应都是依据安全策略进行实施的。 v策略的制定需要综合考虑整个网络的安全需求， 一旦制定，成为整个网络安全行为的准则。 v建立安全策略是实现安全的最首要工作，也是实 现安全技术管理与规范的第一步。 2021-7-25 网络技术

7、系网络技术系 田宏政田宏政 13 防护（防护（Protection） v防护就是采用一切手段保护计算机网络系统的机 密性、完整性、可用性、可控性和不可抵赖性， 预先阻止产生攻击可以发生的条件，让攻击者无 法顺利地入侵。 v网络安全的第一道防线，采用静态的安全技术来 实现，如防火墙、认证技术、加密等。 v分为三大类： 系统安全防护保护操作系统 网络安全防护管理与传输安全 信息安全防护数据安全性 2021-7-25 网络技术系网络技术系 田宏政田宏政 14 检测（检测（Detection）和响应（）和响应（Response） v检测： 网络安全的第二道防线。 通过工具对网络进行监视和检查，发现新的

8、危胁时进 行反馈并及时做出有效的响应。 检测对象：系统自身的脆弱性和外部威胁。 与防护的区别和联系。 v响应： 检测出问题后的处理措施。 2021-7-25 网络技术系网络技术系 田宏政田宏政 15 P2DR模型特点模型特点 v优点： 采用被动防御与主动防御相结合的方式，是目前比较 科学的安全模型。 v弱点： 忽略了内在的变化因素（人员流动、人员素质、策略 的贯彻情况）。 2021-7-25 网络技术系网络技术系 田宏政田宏政 16 PDRR模型模型 vPDRR模型 （Protection,Detection,Response,Recovery) v由美国近年提出。 v恢复：系统受到入侵后，恢复到原来状态。 vPDRR模型的目标是尽可能地增大保护时间，减少 检测和响应时间，尽快恢复以减少系统暴露时间。 防护防护检测检测响应响应恢复恢复 攻击 成功 失败 成功 成功 失败 失败 2021-7-25 网络技术系网络技术系 田宏政田宏政 17 本学期介绍的主要安全技术本学期介绍的主要安全技术 v密码学及认证技术 v操作系统和数据库安全技术 v服务器集群技术 v数据容灾和备份恢复技术 v应用系统安全技术 vVPN技术 v防火墙技术 v入侵检测技