欢迎来到淘文阁 - 分享文档赚钱的网站! | 帮助中心 好文档才是您的得力助手!
淘文阁 - 分享文档赚钱的网站
全部分类
  • 研究报告>
  • 管理文献>
  • 标准材料>
  • 技术资料>
  • 教育专区>
  • 应用文书>
  • 生活休闲>
  • 考试试题>
  • pptx模板>
  • 工商注册>
  • 期刊短文>
  • 图片设计>
  • ImageVerifierCode 换一换

    [精选]构造积极防御的安全保障框架(PPT29页).pptx

    • 资源ID:87843438       资源大小:166.58KB        全文页数:30页
    • 资源格式: PPTX        下载积分:25金币
    快捷下载 游客一键下载
    会员登录下载
    微信登录下载
    三方登录下载: 微信开放平台登录   QQ登录  
    二维码
    微信扫一扫登录
    下载资源需要25金币
    邮箱/手机:
    温馨提示:
    快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。
    如填写123,账号就是123,密码也是123。
    支付方式: 支付宝    微信支付   
    验证码:   换一换

     
    账号:
    密码:
    验证码:   换一换
      忘记密码?
        
    友情提示
    2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
    3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
    4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
    5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。

    [精选]构造积极防御的安全保障框架(PPT29页).pptx

    构造积极防御的安全保障框架构造积极防御的安全保障框架一、对当前信息安全系统一、对当前信息安全系统的反思的反思 当前大局部信息安全系统主要是由防火当前大局部信息安全系统主要是由防火墙、入侵监测和病毒防范等组成墙、入侵监测和病毒防范等组成常常规规的的安安全全手手段段只只能能是是在在网网络络层层IP设设防防,在在外外围围对对非非法法用用户户和和越越权权访访问问进进行封堵,以到达防止外部攻击的目的行封堵,以到达防止外部攻击的目的对访问者源端不加控制对访问者源端不加控制操操作作系系统统的的不不安安全全导导致致应应用用系系统统的的各各种种漏洞层出不穷,无法从根本上解决漏洞层出不穷,无法从根本上解决封封堵堵的的方方法法是是捕捕捉捉黑黑客客攻攻击击和和病病毒毒入入侵侵的的行行为为特特征征,其其特特征征是是已已发生过的滞后信息发生过的滞后信息 恶恶意意用用户户的的攻攻击击手手段段变变化化多多端端,防防护护者者只只能能:防火墙越砌越高防火墙越砌越高入侵检测越做越复杂入侵检测越做越复杂恶意代码库越做越大恶意代码库越做越大导导 致:致:误报率增多,误报率增多,安全投入不断增加安全投入不断增加维护与管理更加复杂和难以实施维护与管理更加复杂和难以实施信息系统的使用效率大大降低信息系统的使用效率大大降低对对新新的的攻攻击击入入侵侵毫毫无无防防御御能能力力如如冲冲击波击波反思:反思:老三样、堵漏洞、作高墙、老三样、堵漏洞、作高墙、防外攻、防不胜防防外攻、防不胜防 产生安全事故的技术原因:产生安全事故的技术原因:PC机软、硬件结构简化,导致资源可任意机软、硬件结构简化,导致资源可任意使用,尤其是执行代码可修改,恶意程序可使用,尤其是执行代码可修改,恶意程序可以被植入以被植入病毒程序利用病毒程序利用PC操作系统对执行代码不检操作系统对执行代码不检查一致性弱点,将病毒代码嵌入到执行代码查一致性弱点,将病毒代码嵌入到执行代码程序,实现病毒传播程序,实现病毒传播黑客利用被攻击系统的漏洞窃取超级用户权黑客利用被攻击系统的漏洞窃取超级用户权限,肆意进行破坏限,肆意进行破坏更为严重的是对合法的用户没有进行严格的更为严重的是对合法的用户没有进行严格的访问控制,可以进行越权访问,造成不安全访问控制,可以进行越权访问,造成不安全事故事故如如果果从从终终端端操操作作平平台台实实施施高高等等级级防防范范,这这些些不不安安全全因因素素将将从从终终端端源源头头被被控控制制。这这种种情情况况在在工工作作流流程程相相对对固固定定的的重重要要信信息息系系统统显显得得更更为为重重要要而可行而可行。在电子政务的内外网中在电子政务的内外网中政政务务内内网网与与政政务务外外网网物物理理隔隔离离,政政务务外外网与网与Internet逻辑隔离逻辑隔离要处理的工作流程都是预先设计好的要处理的工作流程都是预先设计好的操作使用的角色是确定的操作使用的角色是确定的应用范围和边界都是明确的应用范围和边界都是明确的这这类类工工作作流流程程相相对对固固定定的的生生产产系系统统与与Internet网网是是有有隔隔离离措措施施的的,外外部部网网络络的的用用户户很很难难侵侵入入到到内内部部网网络络来来,其其最最大大的的威胁是来自内部人员的窃密和破坏。威胁是来自内部人员的窃密和破坏。据统计,据统计,80%的信息安全事故为内部人的信息安全事故为内部人员和内外勾结所为,而且呈上升的趋势。员和内外勾结所为,而且呈上升的趋势。因此我们应该以因此我们应该以“防内为主、内外兼防防内为主、内外兼防的模式,从提高使用节点自身的安全的模式,从提高使用节点自身的安全着手,构筑积极、综合的安全防护系统。着手,构筑积极、综合的安全防护系统。应该:应该:强机制、高可信、控使用、防内强机制、高可信、控使用、防内外,积极防御外,积极防御二、可信赖计算环境二、可信赖计算环境为了解决为了解决PC机结构上的不安全,从根本机结构上的不安全,从根本上提高其安全性,在世界范围内推行可上提高其安全性,在世界范围内推行可信计算技术信计算技术1999年由年由 paq、HP、IBM、Intel和和Microsoft牵头组织牵头组织TCPA Trusted puting Platform Alliance,目前已开,目前已开展成员展成员190家,遍布全球各大洲主力厂家,遍布全球各大洲主力厂商商TCPA专注于从计算平台体系结构上增专注于从计算平台体系结构上增强其安全性,强其安全性,2001年年1月发布了标准标月发布了标准标准准v1.1,2003年年3月改组为月改组为TCGTrusted puting Group其目的是在计算和通信系统中广泛使用其目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平基于硬件安全模块支持下的可信计算平台,以提高整体的安全性。台,以提高整体的安全性。可信计算终端基于可信赖平台模块可信计算终端基于可信赖平台模块TPM,以密码技术为支持、安全操作系以密码技术为支持、安全操作系统为核心如图统为核心如图1所示所示 安全应用组件安全应用组件安全操作系统安全操作系统安全操作系统内核安全操作系统内核密码模块协议栈密码模块协议栈主主板板可信赖可信赖BIOSTPM(密码模块芯片密码模块芯片)图图1:可信赖计算平台:可信赖计算平台具有以下功能:具有以下功能:确保用户唯一身份、权限、工作空间的确保用户唯一身份、权限、工作空间的完整性完整性/可用性可用性确保存储、处理、传输的机密性确保存储、处理、传输的机密性/完整性完整性确保硬件环境配置、操作系统内核、效确保硬件环境配置、操作系统内核、效劳及应用程序的完整性劳及应用程序的完整性确保密钥操作和存储的安全确保密钥操作和存储的安全确保系统具有免疫能力,从根本上防止确保系统具有免疫能力,从根本上防止病毒和黑客病毒和黑客安全操作系统是可信计算终端安全操作系统是可信计算终端平台的核心和基础,没有安全平台的核心和基础,没有安全的操作系统,就没有安全的应的操作系统,就没有安全的应用,也不能使用,也不能使TPM发挥应有的发挥应有的作用作用三、安全技术保障框架三、安全技术保障框架对工作流程相对固定的重要信息系统对工作流程相对固定的重要信息系统主要由应用操作、共享效劳和网络主要由应用操作、共享效劳和网络通信三个环节组成。如果信息系统通信三个环节组成。如果信息系统中每一个使用者都通过可信终端认中每一个使用者都通过可信终端认证和授权,其操作都是符合规定的,证和授权,其操作都是符合规定的,网络上也不会被窃听和插入,那么网络上也不会被窃听和插入,那么就不会产生攻击性共享效劳资源的就不会产生攻击性共享效劳资源的事故,就能保证整个信息系统的安事故,就能保证整个信息系统的安全全可信终端确保用户的合法性和资源可信终端确保用户的合法性和资源的一致性,使用户只能按照规定的的一致性,使用户只能按照规定的权限和访问控制规则进行操作,能权限和访问控制规则进行操作,能做到什么样权限级别的人只能做与做到什么样权限级别的人只能做与其身份规定的访问操作,只要控制其身份规定的访问操作,只要控制规则是合理的,那么整个信息系统规则是合理的,那么整个信息系统资源访问过程是安全的。可信终端资源访问过程是安全的。可信终端奠定了系统安全的基础奠定了系统安全的基础应用安全边界设备如应用安全边界设备如VPN安全网关等安全网关等保护共享效劳资源,其具有身份认证和安保护共享效劳资源,其具有身份认证和安全审计功能,将共享效劳器如数据库效全审计功能,将共享效劳器如数据库效劳器、劳器、WEB效劳器、邮件效劳器等与效劳器、邮件效劳器等与非法访问者隔离,防止意外的非授权用户非法访问者隔离,防止意外的非授权用户的访问如非法接入的非可信终端。这的访问如非法接入的非可信终端。这样共享效劳端主要增强其可靠性,如双机样共享效劳端主要增强其可靠性,如双机备份、容错、灾难恢复等,而不必作繁重备份、容错、灾难恢复等,而不必作繁重的访问控制,从而减轻效劳器的压力,以的访问控制,从而减轻效劳器的压力,以防拒绝效劳攻击防拒绝效劳攻击采用采用IPSec 实现网络通信全程安全保实现网络通信全程安全保密。密。IPSec工作在操作系统内核,速工作在操作系统内核,速度快,几乎可以到达线速处理,可度快,几乎可以到达线速处理,可以实现源到目的端的全程通信安全以实现源到目的端的全程通信安全保护,确保传输连接的真实性和数保护,确保传输连接的真实性和数据的机密性、一致性据的机密性、一致性,防止非法的窃,防止非法的窃听和插入听和插入综上所述,可信的应用操作平台、安全的共享综上所述,可信的应用操作平台、安全的共享效劳资源边界保护和全程安全保护的网络通信,效劳资源边界保护和全程安全保护的网络通信,构成了工作流程相对固定的生产系统的信息安构成了工作流程相对固定的生产系统的信息安全保障框架。如图全保障框架。如图2所示所示 图图2:工作流程相对固定的生产系统安全解决方案:工作流程相对固定的生产系统安全解决方案全程全程IPSec 服务器服务器安全边界设备安全边界设备可信客户端可信客户端可信客户端可信客户端 全程全程IPSec 安全域一安全域一可信客户端可信客户端可信客户端可信客户端 安全域二安全域二安全隔离设备安全隔离设备全程全程IPSec 要实现上述终端、边界和通信有效的保要实现上述终端、边界和通信有效的保障,还需要授权管理的管理中心以及可障,还需要授权管理的管理中心以及可信配置的密码管理中心的支撑信配置的密码管理中心的支撑从技术层面上可以分为以下五个环节:从技术层面上可以分为以下五个环节:1.应用环境安全应用环境安全 2.应用区域边界安全应用区域边界安全 3.网络和通信传输安全网络和通信传输安全4.安全管理中心安全管理中心 5.密码管理中心密码管理中心即:两个中心支持下的三重保障体系结构即:两个中心支持下的三重保障体系结构 对于复杂系统:对于复杂系统:构成三纵公共区域、专用区域、构成三纵公共区域、专用区域、涉密区域三横应用环境、应用涉密区域三横应用环境、应用区域边界、网络通信和两个中心区域边界、网络通信和两个中心的安全防御框架。如图的安全防御框架。如图3所示所示图图3:信息安全技术保障框架:信息安全技术保障框架应用环境安全:应用环境安全:包括单机、包括单机、C/S、B/S模式,采用身份认模式,采用身份认证、访问控制、密码加密、安全审计等证、访问控制、密码加密、安全审计等机制,构成可信应用环境机制,构成可信应用环境应用区域边界安全:应用区域边界安全:通过部署边界保护措施控制对内部局域通过部署边界保护措施控制对内部局域网的访问,实现局域网与广域网之间的网的访问,实现局域网与广域网之间的安全。采用安全网关、防火墙等隔离过安全。采用安全网关、防火墙等隔离过滤机制,保护共享资源的可信连接滤机制,保护共享资源的可信连接网络和通信传输安全:网络和通信传输安全:包括实现局域网互联过程的安全,旨在包括实现局域网互联过程的安全,旨在确保通信的机密性、一致性和可用性。确保通信的机密性、一致性和可用性。采用密码加密、完整性校验和实体鉴别采用密码加密、完整性校验和实体鉴别等机制,实现可信连接和安全通信等机制,实现可信连接和安全通信安全管理中心:安全管理中心:提供认证、授权、实施访问控制策略等提供认证、授权、实施访问控制策略等 效劳效劳密码管理中心:密码管理中心:提供互联互通密码配置、公钥证书和传提供互联互通密码配置、公钥证书和传统的对称密钥的管理,为信息系统提供统的对称密钥的管理,为信息系统提供密码效劳密码效劳三种不同性质的应用区域在各自采用相三种不同性质的应用区域在各自采用相应的安全保障措施之后,互相之间有一应的安全保障措施之后,互相之间有一定的沟通,需要采用安全隔离和信息交定的沟通,需要采用安全隔离和信息交换设备进行连接换设备进行连接目前我国信息安全建设正处在一个关键目前我国信息安全建设正处在一个关键时期,我们必须把握住正确的研究方向,时期,我们必须把握住正确的研究方向,制定相应的开展战略,走符合我国国情制定相应的开展战略,走符合我国国情的开展道路,利用国际先进技术,开发的开展道路,利用国际先进技术,开发安全高效,具有自主知识产权的信息安安全高效,具有自主知识产权的信息安全产品,从而满足我国各行各业的迫切全产品,从而满足我国各行各业的迫切需要,促进我国信息安全事业的开展。需要,促进我国信息安全事业的开展。结结 束束 语语9、静夜四无邻,荒居旧业贫。4月-234月-23Tuesday,April 18,202310、雨中黄叶树,灯下白头人。09:48:1009:48:1009:484/18/2023 9:48:10 AM11、以我独沈久,愧君相见频。4月-2309:48:1009:48Apr-2318-Apr-2312、故人江海别,几度隔山川。09:48:1009:48:1009:48Tuesday,April 18,202313、乍见翻疑梦,相悲各问年。4月-234月-2309:48:1009:48:10April 18,202314、他乡生白发,旧国见青山。18 四月 20239:48:10 上午09:48:104月-2315、比不了得就不比,得不到的就不要。四月 239:48 上午4月-2309:48April 18,202316、行动出成果,工作出财富。2023/4/18 9:48:1009:48:1018 April 202317、做前,能够环视四周;做时,你只能或者最好沿着以脚为起点的射线向前。9:48:10 上午9:48 上午09:48:104月-239、没有失败,只有暂时停止成功!。4月-234月-23Tuesday,April 18,202310、很多事情努力了未必有结果,但是不努力却什么改变也没有。09:48:1009:48:1009:484/18/2023 9:48:10 AM11、成功就是日复一日那一点点小小努力的积累。4月-2309:48:1009:48Apr-2318-Apr-2312、世间成事,不求其绝对圆满,留一份缺乏,可得无限完美。09:48:1009:48:1009:48Tuesday,April 18,202313、不知香积寺,数里入云峰。4月-234月-2309:48:1009:48:10April 18,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。18 四月 20239:48:10 上午09:48:104月-2315、楚塞三湘接,荆门九派通。四月 239:48 上午4月-2309:48April 18,202316、少年十五二十时,步行夺得胡马骑。2023/4/18 9:48:1009:48:1018 April 202317、空山新雨后,天气晚来秋。9:48:10 上午9:48 上午09:48:104月-239、杨柳散和风,青山澹吾虑。4月-234月-23Tuesday,April 18,202310、阅读一切好书如同和过去最杰出的人谈话。09:48:1009:48:1009:484/18/2023 9:48:10 AM11、越是没有本领的就越加自命非凡。4月-2309:48:1009:48Apr-2318-Apr-2312、越是无能的人,越喜欢挑剔别人的错儿。09:48:1009:48:1009:48Tuesday,April 18,202313、知人者智,自知者明。胜人者有力,自胜者强。4月-234月-2309:48:1009:48:10April 18,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。18 四月 20239:48:10 上午09:48:104月-2315、最具挑战性的挑战莫过于提升自我。四月 239:48 上午4月-2309:48April 18,202316、业余生活要有意义,不要越轨。2023/4/18 9:48:1009:48:1018 April 202317、一个人即使已登上顶峰,也仍要自强不息。9:48:10 上午9:48 上午09:48:104月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉

    注意事项

    本文([精选]构造积极防御的安全保障框架(PPT29页).pptx)为本站会员(茅****)主动上传,淘文阁 - 分享文档赚钱的网站仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知淘文阁 - 分享文档赚钱的网站(点击联系客服),我们立即给予删除!

    温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。




    关于淘文阁 - 版权申诉 - 用户使用规则 - 积分规则 - 联系我们

    本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

    工信部备案号:黑ICP备15003705号 © 2020-2023 www.taowenge.com 淘文阁 

    收起
    展开