第 02 讲 网络安全的体系结构1

网络平安的体系结构精选ppt网络平安的体系结构网络平安的体系结构的意义TCP／IP参考模型的平安协议分层P2DR动态可适应平安模型PDRR模型WPDRRC模型精选ppt网络平安的体系结构的意义无论是OSI参考模型还是TCP／IP参考模型，它们在设计之初都没有充分考虑网络通信中存在的平安问题。因此，只要在参考模型的任何一个层面发现平安漏洞，就可以对网络通信实施攻击。在开放式网络环境中，网络通信会遭受两种方式的攻击：主动攻击和被动攻击。主动攻击包括对用户信息的篡改、删除及伪造，对用户身份的冒充和对合法用户访问的阻止。被动攻击包括对用户信息的窃取，对信息流量的分析等。因此，需要建立网络平安体系结构，以实现数据加密、身份认证、数据完整性鉴别、数字签名、访问控制等方面的功能。精选pptTCP/IP参考模型的平安效劳与平安机制应用层传输层网际层网络接口层认证效劳访问控制数据完整性数据保密性不可抵赖性数据加密数字签名访问控制数据完整性实体认证流量填充路由控制平安机制TCP/IP参考模型平安效劳精选pptTCP／IP参考模型的平安协议分层协议层针对的实体安全协议主要实现的安全策略应用层应用程序S-HTTP信息加密、数字签名、数据完整性验证SET信息加密、身份认证、数字签名、数据完整性验证PGP信息加密、数字签名、数据完整性验证S/MIME信息加密、数字签名、数据完整性验证Kerberos信息加密、身份认证SSH信息加密、身份认证、数据完整性验证传输层端进程SSL/TLS信息加密、身份认证、数据完整性验证SOCKS访问控制、穿透防火墙网际层主机IPSec信息加密、身份认证、数据完整性验证网络接口层端系统PAP身份认证CHAP身份认证PPTP传输隧道L2F传输隧道L2TP传输隧道WEP信息加密、访问控制、数据完整性验证WPA信息加密、身份认证、访问控制、数据完整性验证精选ppt主要平安协议网络接口层PAP〔PasswordAuthenticationProtocol，密码认证协议〕CHAP〔ChallengeHandshakeAuthenticationProtocol，挑战握手认证协议〕PPTP〔Point-to-PointTunnelingProtocol，点对点隧道协议〕L2F〔Level2Forwardingprotocol，第二层转发协议〕L2TP〔Layer2TunnelingProtocol，第二层隧道协议〕WEP〔WiredEquivalentPrivacy，有线等效保密〕WPA〔Wi-FiProtectedAccess，Wi-Fi网络保护访问〕精选ppt主要平安协议网际层IPSec〔IPSecurity，IP层平安协议〕传输层SSL〔SecureSocketLayer，平安套接字层〕TLS〔TransportLayerSecurity，平安传输层〕SOCKS〔Protocolforsessionstraversalacrossfirewallsecurely，防火墙平安会话转换协议〕精选ppt主要平安协议应用层SSH〔SecureShellProtocol，平安外壳协议〕KerberosPGP〔PrettyGoodPrivacy〕S/MIME〔Secure/MultipurposeInternetMailExtensions，平安的多功能Internet电子邮件扩充〕S-HTTP〔SecureHyperTextTransferProtocol，平安超文本传输协议〕SET〔SecureElectronicTransaction，平安电子交易〕精选pptP2DR动态可适应平安模型P2DR模型是美国国际互联网平安系统公司ISS最先提出的，即Policy〔策略〕、Protection〔防护〕、Detection〔检测〕和Response〔响应〕按照P2DR的观点，一个完整的动态平安体系，不仅需要恰当的防护〔如操作系统访问控制、防火墙、加密等〕，而且需要动态的检测机制〔如入侵检测、漏洞扫描等〕，在发现问题时还需要及时响应，这样的体系需要在统一的、一致的平安策略指导下实施，形成一个完备的、闭环的动态自适应平安体系。精选pptP2DR动态可适应平安模型策略P检测D响应R防护P精选pptP2DR动态可适应平安模型P2DR模型是建立在基于时间的平安理论根底之上的：Dt：在攻击发生的同时，检测系统发挥作用，攻击行为被检测出来需要的时间Rt：检测到攻击之后，系统会做出应有的响应动作，所需时间被称作响应时间Et：系统暴露时间，即系统处于不平安状况的时间〔Et=Dt+Rt-Pt〕Pt：攻击成功所需时间被称作平安体系能够提供的防护时间要实现平安，必须让防护时间大于检测时间加上响应时间，即：Pt>Dt+Rt精选pptP2DR动态可适应平安模型P2DR模型根本上表达了比较完整的信息平安体系的思想，勾画出信息平安体系建立之后一个良好的表现形态。近十年来，该模型被普遍使用。不过，P2DR也有不够完善或者说不够明确的地方，那就是对系统恢复的环节没有足够重视。在P2DR模型中，恢复〔Recovery〕环节是包含在响应〔Response〕环节中的，作为事件响应之后的一项处理措施，不过，随着人们对业务连续性和灾难恢复愈加重视，尤其是911恐怖事件发生之后，人们对P2DR模型的认识也就有了新的内容，于是，PDRR模型就应运而生了。精选pptPDRR模型PDRR模型，或者叫PPDRR〔或者P2DR2〕，与P2DR唯一的区别就是把恢复环节提到了和防护、检测、响应等环节同等的高度。在PDRR模型中，平安策略、防护、检测、响应和恢复共同构成了完整的平安体系。保护、检测、恢复、响应这几个阶段并不是孤立的，构建信息平安保障体系必须从平安的各个方面进行综合考虑，只有将技术、管理、策略、工程过程等方面紧密结合，平安保障体系才能真正成为指导平安方案设计和建设的有力依据。精选pptPDRR模型保护检测恢复响应信息保障采用一切手段〔主要指静态防护手段〕保护信息系统的五大特性。及时恢复系统，使其尽快正常对外提供效劳，是降低网络攻击造成损失的有效途径对危及网络平安的事件和行为做出反响，阻止对信息系统的进一步破坏并使损失降到最低检测本地网络的平安漏洞和存在的非法信息流，从而有效阻止网络攻击精选pptPDRR模型PDRR也是基于时间的动态模型，其中，恢复环节对于信息系统和业务活动的生存起着至关重要的作用，组织只有建立并采用完善的恢复方案和机制，其信息系统才能在重大灾难事件中尽快恢复并延续业务。精选pptWPDRRC模型人员策略技术响应R恢复R保护P预警W检测D还击C精选pptWPDRRC平安体系模型我国863信息平安专家组博采众长推出该模型全面涵盖了各个平安因素，突出了人、策略、管理的重要性，反映了各个平安组件之间的内在联系。人——核心政策〔包括法律、法规、制度、管理〕——桥梁技术——落实在WPDRRC六个环节的各个方面，在各个环节中起作用精选pptWPDRRC模型Warning：采用多检测点数据收集和智能化的数据分析方法检测是否存在某种恶意的攻击行为，并评测攻击的威胁程度、攻击的本质、范围和起源，同时预测敌方可能的行动。Protect：采用一系列的手段(识别、认证、授权、访问控制、数据加密)保障数据的保密性，完整性、可用性、可控性和不可否认性等。Detect：利用高级术提供的工具检查系统存在的可能提供黑客攻击、白领犯罪、病毒泛滥脆弱性。即检测系统脆弱性检测；入侵检测，病毒检测。精选pptWPDRRC模型Respond：对危及平安的事件、行为