信息安全第4章网络基本安全防护.ppt
第4章网络根本平安防护
;;开放式系统互连参考模型(OSI/RM)扩展局部中增加了有关平安体系结构的描述。平安体系结构(SecurityArchitecture)是指对网络平安功能的抽象描述,从整体上定义网络系统所提供的平安效劳和平安机制。然而这一体系只为平安通信环境提出了一个概念性框架。事实上,平安体系结构不仅应该定义一个系统平安所需要的各种元素,还应该包括这些元素之间的关系,以构成一个有机的整体,正像Architecture这个词的本意,一堆砖瓦不能称为建筑。;美国国防信息系统平安方案(DISSP)提出了一个反映网络平安需求的平安框架。该框架是一个由平安属性、OSI各协议层和系统部件组成的三维矩阵结构。但是该框架中系统部件维所包括的系统部件(端系统、接口、网络系统和平安管理)并不能反映网络工程中的实际需求,也没有给出平安属性维中个平安实行的逻辑关系。本节介绍一个针对TCP/IP网络由平安效劳、协议层次和实体单元组成的三维框架结构,它是在DISSP三维平安模型根底上的改进模型,从三个不同的角度阐述不同实体、不同层次的平安需求以及它们之间的逻辑关系。;网络平安体系结构的相关概念
1.平安效劳
平安效劳是一个系统各功能部件所提供的平安功能总和。从协议分层的角度来看,底层协议实体为上层实体提供平安效劳,而对外屏蔽平安效劳的具体实现。OSI平安体系结构模型中定义了五组平安效劳:认证(Authentication)效劳、保密(Confidentiality)效劳、数据完整性(Integrity)效劳、访问控制(AccessControl)效劳、抗抵赖(Non-repudiation)效劳(或称作不可否认效劳)。;2.平安机制
平安机制是指平安效劳的实现机制。一种平安效劳可以由多种平安机制来实现。一种平安机制也可以为多种平安效劳所用。
3.平安管理
平安管理包括两方面的内容,一是平安的管理(ManagementofSecurity),网络和系统中各种平安效劳和平安机制的管理,如认证或加密效劳的激活、密钥等参数的配置、更新等;二是管理的平安(SecurityofManagement),是指各种管理活动自身的平安,如管理系统本身和管理信息的平安。;网络平安体系的三维框架??构
描述计算机网络平安防护体系结构的三维框架结构如图4-1所示。
(1)平安效劳平面取自国际标准化组织制订的平安体系结构模型。我们在五类根本的平安效劳以外增加了可用性(Availability)效劳。不同的应用环境对平安效劳需求是不同的,各种平安效劳之间也不是完全独立的。后面将介绍各种平安效劳之间的依赖关系。
(2)协议层次平面参照TCP/IP协议的分层模型,旨在从网络协议结构角度考察平安体系结构。;;;;平安效劳之间的关系
如图4-1中的X平面所示,一个网络系统的平安需求包括以下几个方面:主体与客体的标识与认证,主体的授权与访问控制,数据存储与传输的完整性,数据存储与传输的保密性,可用性保证,抗抵赖效劳(不可否认性)。各种平安需求之间存在相互依赖关系,孤立地选取某种平安效劳常常是无效的。这些平安效劳之间的关系如图4-2所示。;;;;数据存储于传输的完整性是认证和访问控制有效性的重要保证,比方,认证协议的设计一定要考虑认证信息在传输过程中不被篡改;同时,访问控制又常常是实现数据存储完整性的手段之一。与数据保密性相比,数据完整性的需求更为普遍。数据保密性一般也要和数据完整性结合才能保证保密机制的有效性。;保证系统高度的可用性是网络平安的重要内容之一,许多针对网络和系统的攻击都是破坏系统的可用性,而不一定损害数据的完整性与保密性。目前,保证系统可用性的研究还不够充分,许多拒绝效劳类型的攻击还很难防范。抗抵赖效劳在许多应用(如电子商务)中非常关键,它和数据源认证、数据完整性紧密相关。;;;;;;;;;;;;;;;;;2.屏蔽主机体系结构
双重宿主主机体系结构提供来自与多个网络相连的主机的效劳(但是路由关闭),而被屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相连的主机的效劳。如图4-5所示,在这种体系结构中,主要的平安由数据包过滤提供(例如,数据包过滤用于防止人们绕过代理效劳器直接相连)。;;在屏蔽的路由器上的数据包过滤是按这样一种方法设置的:堡垒主机是Internet上的主机能连接到内部网络上的系统的桥梁(例如,传送进来的电子邮件)。即使这样,也仅有某些确定类型的连接被允许。任何外部的系统试图访问内部的系统或者效劳将必须连接到这台堡垒主机上。因此,堡垒主机需要拥有高等级的平安。
数据包过滤也允许堡垒主机开放可允许的连接(什么是“可允许〞将由用户的站点的平安策略决定)到