Intranet网络安全综述.ppt

第6章Intranet网络安全综述德州方向机厂陈永教学要求n n了解网络安全保障工具与产品 n n理解Intranet网络安全要求和信息系统安全技术标准n n掌握Intranet网络安全要求和信息系统安全技术标准主要内容6.1 计算机安全6.2 Intranet网络安全要求6.3 信息系统安全技术标准6.4 安全体系结构6.5 分布计算环境DCE安全平台6.6 评估增长的安全操作代价6.7 网络安全保障工具与产品 引言n n美美国国国国防防部部于于19871987年年对对MilnetMilnet计计算算机机网网络络安安全全问问题题进进行行测测试试。并并将将MilnetMilnet渗渗入入程程度度有有外外到到内内分分为为六个层次：六个层次：n n第一层：企图联网。第一层：企图联网。n n第二层：注册保护。第二层：注册保护。n n第三层：注册机取得部分权限。第三层：注册机取得部分权限。n n第四层：存取通用数据库。第四层：存取通用数据库。n n第五层：进入编程环境第五层：进入编程环境n n第六层：进入系统管理员权限。第六层：进入系统管理员权限。计算机安全n n1.计算机安全的基本定义n n国际标准化组织曾建议计算机安全的定义为：计算机系统有保护，计算机系统的硬件、软件、数据不被偶然或故意地泄漏、更改和破坏。其基本思想是将计算机安全从三个方面来衡量,即保密性、完整性、可用性。n n2.对计算机安全的三种攻击n n从攻击者与计算机系统的地理关系来分，可以分为超距攻击、近距攻击和远程攻击三种。n n（1）超距攻击，即不接触就可以进行的攻击。n n（2）近距攻击。n n（3）远距攻击。n n3.基本安全要求n n根据国际标准化组织对计算机安全定义的建议和欧美各国多年的理论探讨和实践经验，以及我国自1981年开展计算机安全工作以来的实践，计算机安全的基本要求有如下五条：n n（1）认同用户和鉴别认同用户和鉴别 （2）控制存取控制存取n n（3）保障完整性保障完整性 （4）审计审计n n（5）容错容错n n目前计算机系统在提高安全能力方面向两个方向发展：可信计算机系统和容错计算机系统。n n1.基本原理n n可信计算机理论将安全保护归结为存取控制。n n被调用的程序或欲存取的数称为客体客体；n n主动发出存取要求的人或进程称为主体主体；n n一切主体欲对某一客体进行存取都毫无例外地接受存取权限控制存取权限控制。n n执行存取控制的部件称为基准监控器基准监控器。可信计算机系统可信计算机系统n n存取控制机制有两种：存取控制机制有两种：n n自主存取控制自主存取控制自主存取控制自主存取控制由组织统一规定每一主体的存取权由组织统一规定每一主体的存取权限，而不管客体创建者是否授予存取权限限，而不管客体创建者是否授予存取权限;n n强制存取机制强制存取机制强制存取机制强制存取机制统一给每一主体和每一客体划分安统一给每一主体和每一客体划分安全等级和类别，其中安全等级是有高低之分的，全等级和类别，其中安全等级是有高低之分的，类别没有高低之分。安全属性由类别没有高低之分。安全属性由等级等级等级等级和和类别类别类别类别两部两部分组成。分组成。n n存取规则：主体的等级存取规则：主体的等级客体的等级，且主体的客体的等级，且主体的类别包括了客体所含全部类别是允许读。主体的类别包括了客体所含全部类别是允许读。主体的等级等级客体的等级，并且主体所属类别全都被客客体的等级，并且主体所属类别全都被客体所属类别包括时可写。体所属类别包括时可写。n n2.2.可信计算机安全等级可信计算机安全等级n n美国桔皮书将可信计算机由低到高分为四类七级：美国桔皮书将可信计算机由低到高分为四类七级：n nD D级，安全保护欠缺级。级，安全保护欠缺级。n nC1C1级，自主安全保护级。级，自主安全保护级。C2C2级，受控存取保护级。级，受控存取保护级。n nB1B1级，标识安全保护级。级，标识安全保护级。B2B2级，结构化保护级。级，结构化保护级。n nB3B3级，安全域级。级，安全域级。n nA1A1级，验证设计级。级，验证设计级。n nD D级是不具备最低限度安全等级；级是不具备最低限度安全等级；n nC1C1和和C2C2级级是是具具备备最最低低限限度度安安全全的的等等级级；B1B1和和B2B2级级是是具具有有中中等等安安全全保保护护能能力力的的等等级级，与与C C级级相相比比是是高高安安全全等等级级，对对一一般般的的重重要要应应用用基基本本可可以以满满足足安安全全要要求求；B3B3和和A1A1属属于于最最高高安安全全等等级级，其其成成本本增增加加很很多多，只只是是极其重要的应用才需要使用这种安全等级的设备。极其重要的应用才需要使用这种安全等级的设备。容错计算机系统n n可以分为两种类型：软件容错和硬件容错。n n1.软件容错（备份方式）n n容错系统由工作站和备份机两台计算机组成，当发现工作机出错时将工作转到备份机。其容错原理是在软件中设一些定时检测点。n n2.硬件容错（表决方式）n n容错系统采用冗余技术多数表决方式检测差错，判断正确值，使工作继续运行。n n不论软件容错还是硬件容错，磁盘存储器都应当采用镜像方式。6.2 Intranet网络安全要求网络安全要求n nIntranet网络安全需求主要有：n n身份验证n n授权控制n n通信加密n n数据完整性n n防止否认。n n1.身份验证n n在单机状态下的身份认证一般可以分几种类型：一是双方共同享有某个秘密；二是采用硬件设备；三是根据人的生理特征。n n网络环境下的身份验证更加复杂，主要是要考虑到验证身份的双方一般是通过网络而非直接交互，所以目前一般采用的是基于对称密钥加密或公开密钥加密的方法，采用高强度的密码技术来进行身份认证的。n n2.授权控制n n授权控制是控制不同用户对信息资源访问权限，对授权控制的要求主要有：n n（1）一致性，也就是对信息资源的控制没有二义性，各种定义之间不冲突。n n（2）统一性，对所有信息资源进行集中管理，安全政策统一贯彻。n n（3）要求有审计功能，对所有授权有记录可以核查。n n（4）尽可能地提供细粒度的控制。n n3.通信加密n n主要有两大类：n n1.基于对称密钥加密的算法，即私钥算法；n n2.基于非对称密钥的加密算法也称公钥算法。n n加密手段，一般分为软件加密和硬件加密两种，软件加密技术低且实用灵活，更换方便；硬件加密效率高，本身安全性高。可以根据不同需要采用不同的方法，密钥管理包括密钥产生、分发、更换等，是数据保密的重要一环。n n4.数据完整性n n数据完整性是值通过网上传输的数据应防止被修改、删除、插入、替换或重发，以保证合法用户接受和使用该数据的真实性。n n5防止否认n n接受方要对方保证不能否认收到的信息是发送方发出的信息，而不是被他人冒名、篡改过的信息。发送方也会要求对方不能否认已经收托妥的信息，防止否认对金融电子化系统很重要。电子签名的主要的目的是防止抵赖、防止否认，给仲裁提供证据。n n（美国）可信计算机系统评级准则将系统分为四类七级：n nD级，安全保护欠缺级。n nC1级，自主安全保护级。n nC2级，受控存取保护级。n nB1级，标识安全保护级。n nB2级，结构化保护级。n nB3级，安全域级。n nA1级，验证设计级.6.3 信息系统安全技术标准信息系统安全技术标准n n欧洲几个国家增加了对计算机系统连续工作的能力和容错能力的考虑。主要包括一下方面：n n1.保密性n n计算机系统能防止非法泄漏计算机数据。n n2.完整性n n计算机系统能防止非法修改或删除计算机数据和程序。n n3.可用性n n计算机系统能防止非法独占计算机资源和数据。n n6.4.1 ISO/OSI安全体系结构及其实现n n采用传统防火墙技术的网络安全体系结构 n n基于基于DCE分布计算环境的网络安全体系结构分布计算环境的网络安全体系结构安全体系结构安全体系结构n n防火墙Firewall，它由过滤器和Gateway组成。过滤器的作用是阻止某些类型的通信传输，而网关的作用是提供中继服务，以补偿过滤器的效应。n n过滤可分为三类：分组过滤，应用级过滤，线路过滤。n n1.分组过滤n n工作原理：根据源和目的地址端口号来决定该分组是否要丢掉。过滤功能发生在分组接收时或发送时，或两者兼有，这取决于不同的路由器类型。管理员设置可接收的机器和服务的表，以及不可接收的机器和服务的表。这种方法可方便的在主机或网络级来接收或拒绝分组，以实现分组过滤。2.应用级过滤 应用级网关是Firewall设计的另一个极端，它对每个应用采用专用的码。应用级网关的另一个优点是对某些环境是十分关键的，这些环境易于登录和控制所有输入和输出的通信。应用级网关的主要缺点是对大部分的服务提供者需要专门的用户程序或各种用户接口。n n3.3.线路级过滤线路级过滤n n线线路路级级的的网网关关中中继继TCPTCP连连接接，常常用用于于输输出出连连接接的的控控制制，呼呼叫叫者者连连到到网网关关的的TCPTCP一一个个端端口口，该该端端口口与与另另一一方方的的网网关关的的某某个个地地址址相相连连。在在呼呼叫叫期期间间，网网关关的的中中继继程程序序拷拷贝贝发发送送和和接接收收的的信信号号。在在某某些些情情况况，线线路路连连线线是是自自动动进进行行的的。该该网网关关配配置置成成中中继继到到内内部部机机器器的的打打印印端端口口的的专专用用连连接接，使使用用访访问问控控制制机机制制以以确确保仅此外部主机可连接到打印服务的网关。保仅此外部主机可连接到打印服务的网关。n n另另一一些些情情况况，需需要要指指定定目目的的地地，以以提提供供连连接接服服务务。这这需需要要在在调调用用者者和和网网关关之之间间有有一一定定协协议议，该该协协议议描描述述所所需需目目的的地地和和服服务务，以以及及网网关关返返回回地地出出错错信信号号等等，起一个代理地作用起一个代理地作用基于基于DCE分布计算环境的网络安分布计算环境的网络安全体系结构全体系结构DCE的安全服务是防止非法用和入侵，同时也防止进网用户是否进行授权之外的操作和访问，从而保护系统的安全。DCE的安全服务包括三个部分：认证、授权和用户注册。分布计算环境分布计算环境DCE安全平台安全平台客户机客户机/服务器方安全软件包括网络安全服务模服务器方安全软件包括网络安全服务模块和安全过滤器。安全服务模块是用户空间的后块和安全过滤器。安全服务模块是用户空间的后台进程，安全过滤是内核空间的模块。它们为网台进程，安全过滤是内核空间的模块。它们为网络应用提供安全环境。络应用提供安全环境。网络资源管理服务器提供对网络应用访问的存取网络资源管理服务器提供对网络应用访问的存取控制，并且提供对网络连接的记录监控服务。它控制，并且提供对网络连接的记录监控服务。它能管理整个虚拟安全网络上的网络应用和资源。能管理整个虚拟安全网络上的网络应用和资源。网络安全服务器提供对虚拟安全网络中所有用户和网络安全服务器提供对虚拟安全网络中所有用户和服务器的双向身份验证服务，并且提供安全通信服务器的双向身份验证服务，并且提供安全通信的手段。的手段。评估增长的安全操作代价n n安全操作代价主要有一下几点：n n1.用户的方便程度。n n2.管理的复杂性。n n3.对现有系统的影响。n n4.对不同平台的支持。n n基于DCE的安全体系结构和安全系统平台具有的特点和性能：n n（1）DCE不需对现存网络环境的物理设备作任何修改，它可简单地建立于现有环境之上。n n（2）DCE对现有计算网络环境的额外开销很小，在多数情况下可忽略不计。n n（3）客户方能支持DCEAPI和语义，支持INTERNET类型应用的特性，可与非DCE的应用程序直接结合，可与JAVA环境结合。n n（4）DCE系统能和网上非DCE环境很好兼容，它不需改变非DCE用户对网络的使用。n n（5）DCE具有灵活的身份验证和目录服务，WedST将支持包括基于公钥和私钥的身份验证，用户帐号信息、资源访问控制、加密密钥都由WedST服务器集中控制，且这些服务可远程地安全完成。n n（6）DCE是一个可扩充的环境，可先在网络局部范围内建立，然后逐步扩大、因此可分布实施。