信息安全策略体系结构组成及具体内容.pptx

信息安全体系结构、安全策略的组成及具体内容信息安全体系结构、安全策略的组成及具体内容信息安全体系结构信息安全策略的组成信息安全策略的具体内容信息安全体系结构信息安全体系结构的意义TCP／IP参考模型的安全协议分层P2DR动态可适应安全模型PDRR模型WPDRRC模型信息安全体系结构的意义木桶理论：一个桶能装多少水不取决于桶有多高，而取决于组成该桶的最短的那块木条的高度。所以安全是一个系统工程，涉及到多个方面。某一方面的缺陷会导致严重的安全事故。信息安全体系结构的意义无论是OSI参考模型还是TCP／IP参考模型，它们在设计之初都没有充分考虑网络通信中存在的安全问题。因此，只要在参考模型的任何一个层面发现安全漏洞，就可以对网络通信实施攻击。在开放式网络环境中，网络通信会遭受两种方式的攻击：主动攻击和被动攻击。主动攻击包括对用户信息的篡改、删除及伪造，对用户身份的冒充和对合法用户访问的阻止。被动攻击包括对用户信息的窃取，对信息流量的分析等。因此，需要建立网络安全体系结构，以实现数据加密、身份认证、数据完整性鉴别、数字签名、访问控制等方面的功能。TCP/IP参考模型的安全服务与安全机制应用层TCP/IP参考模型传输层网际层网络接口层安全机制认证服务访问控制数据加密数字签名访问控制数据完整性实体认证流量填充路由控制数据完整性数据保密性安全服务不可抵赖性TCP／IP参考模型的安全协议分层协议层针对的实体安全协议主要实现的安全策略应用层应用程序S-HTTP信息加密、数字签名、数据完整性验证SET信息加密、身份认证、数字签名、数据完整性验证PGP信息加密、数字签名、数据完整性验证S/MIME信息加密、数字签名、数据完整性验证Kerberos信息加密、身份认证SSH信息加密、身份认证、数据完整性验证传输层端进程SSL/TLS信息加密、身份认证、数据完整性验证SOCKS访问控制、穿透防火墙网际层主机IPSec信息加密、身份认证、数据完整性验证网络接口层端系统PAP身份认证CHAP身份认证PPTP传输隧道L2F传输隧道L2TP传输隧道WEP信息加密、访问控制、数据完整性验证WPA信息加密、身份认证、访问控制、数据完整性验证主要安全协议网络接口层PAP（Password Authentication Protocol，密码认证协议）CHAP（Challenge Handshake Authentication Protocol，挑战握手认证协议）PPTP（Point-to-Point Tunneling Protocol，点对点隧道协议）L2F（Level 2 Forwarding protocol，第二层转发协议）L2TP（Layer 2 Tunneling Protocol，第二层隧道协议）WEP（Wired Equivalent Privacy，有线等效保密）WPA（Wi-Fi Protected Access，Wi-Fi网络保护访问）主要安全协议网际层IPSec（IP Security，IP层安全协议）传输层SSL（Secure Socket Layer，安全套接字层）TLS（Transport Layer Security，安全传输层）SOCKS（Protocol for sessions traversal across firewall securely，防火墙安全会话转换协议）主要安全协议应用层SSH（Secure Shell Protocol，安全外壳协议）KerberosPGP（Pretty Good Privacy）S/MIME（Secure/Multipurpose Internet Mail Extensions，安全的多功能Internet电子邮件扩充）S-HTTP（Secure Hyper Text Transfer Protocol，安全超文本传输协议）SET（Secure Electronic Transaction，安全电子交易）P2DR动态可适应安全模型P2DR模型是美国国际互联网安全系统公司ISS最先提出的，即Policy（策略）、Protection（防护）、Detection（检测）和Response（响应）按照P2DR的观点，一个完整的动态安全体系，不仅需要恰当的防护（如操作系统访问控制、防火墙、加密等），而且需要动态的检测机制（如入侵检测、漏洞扫描等），在发现问题时还需要及时响应，这样的体系需要在统一的、一致的安全策略指导下实施，形成一个完备的、闭环的动态自适应安全体系。P2DR动态可适应安全模型防护P策略P检测D响应RP2DR动态可适应安全模型P2DR模型是建立在基于时间的安全理论基础之上的：Dt：在攻击发生的同时，检测系统发挥作用，攻击行为被检测出来需要的时间 Rt：检测到攻击之后，系统会做出应有的