[精选]安全基础设施设计原理(ppt 147页)(2)1354.pptx
《[精选]安全基础设施设计原理(ppt 147页)(2)1354.pptx》由会员分享,可在线阅读,更多相关《[精选]安全基础设施设计原理(ppt 147页)(2)1354.pptx(148页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、来自中国最大的资料库下载第第18章章 安全基础设施设计原理安全基础设施设计原理18.1 安全基础设施概述安全基础设施概述18.2 安全基础设施的目标安全基础设施的目标18.3 安全基础设施的的设计指南安全基础设施的的设计指南18.4 密钥管理基础设施密钥管理基础设施/公钥基础设施公钥基础设施18.5 证书管理证书管理18.6 对称密钥管理对称密钥管理来自中国最大的资料库下载18.7 基础设施目录服务基础设施目录服务18.8 信息系统安全工程信息系统安全工程18.9 本章小结本章小结习题习题来自中国最大的资料库下载一个安全基础设施应提供很多安全组件的协同使用,一个安全基础设施应提供很多安全组件的
2、协同使用,其体系结构可改进整个的安全特性,而不仅是各个安其体系结构可改进整个的安全特性,而不仅是各个安全组件的特性。使用这个定义,可推论出安全基础设全组件的特性。使用这个定义,可推论出安全基础设施的设计和特性。施的设计和特性。18.1 安全基础设施概述安全基础设施概述 18.1.1 安全基础设施概述安全基础设施概述来自中国最大的资料库下载以防火墙为例,使用防火墙可以很好地实施安全策略,以防火墙为例,使用防火墙可以很好地实施安全策略,但是,如果它不能和体系结构中的其他组件很好地连但是,如果它不能和体系结构中的其他组件很好地连接,就不能构成一个安全基础设施。例如,这个防火接,就不能构成一个安全基础
3、设施。例如,这个防火墙不能和安全基础设施的其他方面互相联系、互相作墙不能和安全基础设施的其他方面互相联系、互相作用,那它只是一个安全组件,而不是安全基础设施的用,那它只是一个安全组件,而不是安全基础设施的一部分。这就是安全基础设施定义中的协同组件。再一部分。这就是安全基础设施定义中的协同组件。再如,假如从防火墙能发送报警至事件管理站,由事件如,假如从防火墙能发送报警至事件管理站,由事件管理站处理成通知网络运行中心(管理站处理成通知网络运行中心(Network Operations Center,NOC)的报警,那么,防火墙可)的报警,那么,防火墙可能成为基础设施的一部分。能成为基础设施的一部分
4、。来自中国最大的资料库下载反之,如防火墙本身做得很好,其屏幕可显示大部分反之,如防火墙本身做得很好,其屏幕可显示大部分入侵的通信,且能在搜集后做日志,但它不能通知其入侵的通信,且能在搜集后做日志,但它不能通知其他任何组件,那防火墙的作用是不完全的。如果将防他任何组件,那防火墙的作用是不完全的。如果将防火墙和入侵检测、强的身份鉴别、加密的隧道火墙和入侵检测、强的身份鉴别、加密的隧道(VPN)等组件协同作用,就能设计成一个基本的安)等组件协同作用,就能设计成一个基本的安全基础设施。全基础设施。来自中国最大的资料库下载安全基础设施的主要组成有安全基础设施的主要组成有4部分:网络、平台、物部分:网络、
5、平台、物理设施、处理过程。理设施、处理过程。网络类包括防火墙、路由器、交换机、远程访问设备网络类包括防火墙、路由器、交换机、远程访问设备(如(如VPN和拨号和拨号modem池)以及基于网络的入侵检池)以及基于网络的入侵检测,它们分别在整个安全设计中增加某些安全特性。测,它们分别在整个安全设计中增加某些安全特性。这些组件通过其网络接口或在软件中定义的逻辑来监这些组件通过其网络接口或在软件中定义的逻辑来监控、过滤或限制通信。这些安全组件的作用是监控和控、过滤或限制通信。这些安全组件的作用是监控和保护在网络中通过的数据,或保护在应用中通过、使保护在网络中通过的数据,或保护在应用中通过、使用的数据。用
6、的数据。18.1.2 安全基础设施的组成安全基础设施的组成来自中国最大的资料库下载平台类包括服务器、客户端软件(例如,执行操作系平台类包括服务器、客户端软件(例如,执行操作系统和安全应用的控制)。执行一些电子操作(如智能统和安全应用的控制)。执行一些电子操作(如智能卡和读卡器、产生凭证的硬件卡、基于硬件的加密设卡和读卡器、产生凭证的硬件卡、基于硬件的加密设备)的设备也属于这一类。平台类还包括应用级访问备)的设备也属于这一类。平台类还包括应用级访问控制,如产生凭证的软件程序、数字证书、基于主机控制,如产生凭证的软件程序、数字证书、基于主机的入侵检测、病毒扫描和清除、事件搜集代理和分析的入侵检测、
7、病毒扫描和清除、事件搜集代理和分析软件程序。应用级访问控制能提供鉴别、授权、基于软件程序。应用级访问控制能提供鉴别、授权、基于主机的入侵检测和分析、病毒检测和清除、事件账户主机的入侵检测和分析、病毒检测和清除、事件账户管理和分析等功能。这些安全功能用来保护常驻在主管理和分析等功能。这些安全功能用来保护常驻在主要基础设施边界的应用。要基础设施边界的应用。来自中国最大的资料库下载安全基础设施的物理组成包括标准的门钥匙和锁、钥安全基础设施的物理组成包括标准的门钥匙和锁、钥匙卡、标识标志、安全照相机、活动传感器、声像报匙卡、标识标志、安全照相机、活动传感器、声像报警、安全警卫和系统、设备标签等。根据人
8、的生物特警、安全警卫和系统、设备标签等。根据人的生物特征检测的设备也属于这一类,如指纹读出器、面部形征检测的设备也属于这一类,如指纹读出器、面部形状照相机、视网膜扫描器等。这些仿生组件是通过自状照相机、视网膜扫描器等。这些仿生组件是通过自然本质来标识和鉴别用户的。属于这一类的还有网络然本质来标识和鉴别用户的。属于这一类的还有网络电缆和后备电源(如电缆和后备电源(如UPS系统和自备发电机)。物理系统和自备发电机)。物理安全设施的基本目的是防止非授权者进入以及保护安安全设施的基本目的是防止非授权者进入以及保护安全基础设施的电力供应和网络连接。全基础设施的电力供应和网络连接。来自中国最大的资料库下载
9、处理过程包括企业安全策略和过程文档,用来管理企处理过程包括企业安全策略和过程文档,用来管理企业数据的生成、使用、存储和销毁,以及管理这些数业数据的生成、使用、存储和销毁,以及管理这些数据所在的系统和网络。企业安全策略的目的是定义企据所在的系统和网络。企业安全策略的目的是定义企业资产保护的范围以及对这些资产所需的专门保护机业资产保护的范围以及对这些资产所需的专门保护机制。企业安全过程是企业安全策略文档的一个组成,制。企业安全过程是企业安全策略文档的一个组成,用来指导员工在特定环境下的行动。企业安全策略和用来指导员工在特定环境下的行动。企业安全策略和过程是安全基础设施的重要组成。有了综合的安全策过
10、程是安全基础设施的重要组成。有了综合的安全策略和过程文档,安全设计师就能明白什么样的资产是略和过程文档,安全设计师就能明白什么样的资产是企业需要保护的,以及如何保护这些资产。企业需要保护的,以及如何保护这些资产。来自中国最大的资料库下载虽然安全策略文档提供数据、系统和网络的保护策略,虽然安全策略文档提供数据、系统和网络的保护策略,但它对厂商选择、设计或实施并不规定所需的详细战但它对厂商选择、设计或实施并不规定所需的详细战术。这些安全组件的成功实施需要了解安全基础设施术。这些安全组件的成功实施需要了解安全基础设施目标,否则可能会不合适地保护或完全疏忽那些关键目标,否则可能会不合适地保护或完全疏忽
11、那些关键资产。资产。来自中国最大的资料库下载安全基础设施设计的基本目标是保护企业的资产。保安全基础设施设计的基本目标是保护企业的资产。保护这些资产的方法是适当地部署各个安全组件于有组护这些资产的方法是适当地部署各个安全组件于有组织的、协同的安全基础设施中。这些资产包括硬件、织的、协同的安全基础设施中。这些资产包括硬件、软件、网络组件以及知识财产。保护这些资产应根据软件、网络组件以及知识财产。保护这些资产应根据企业安全目标和企业安全策略文档。虽然提到的只是企业安全目标和企业安全策略文档。虽然提到的只是数据的保护,实际上保护数据及其可用性也意味着保数据的保护,实际上保护数据及其可用性也意味着保护执
12、行的系统和网络。护执行的系统和网络。根据选择的数据等级分类体制,每种数据保护目标应根据选择的数据等级分类体制,每种数据保护目标应按数据机密性、数据完整性和数据可行性来表示和衡按数据机密性、数据完整性和数据可行性来表示和衡量。量。18.2 安全基础设施的目标安全基础设施的目标来自中国最大的资料库下载当设计一个安全基础设施时,把应用的最好结果作为当设计一个安全基础设施时,把应用的最好结果作为目标。因为应用最靠近数据以及数据的处理、交换和目标。因为应用最靠近数据以及数据的处理、交换和存储。将设计目标放在数据机密性、数据完整性和数存储。将设计目标放在数据机密性、数据完整性和数据可用性上,会发现这不仅使
13、应用得到安全,而且企据可用性上,会发现这不仅使应用得到安全,而且企业也得到安全。这个概念如图业也得到安全。这个概念如图18.1所示。所示。来自中国最大的资料库下载图图18.1 以应用为目标的安全设计概念以应用为目标的安全设计概念来自中国最大的资料库下载数据机密性的前提是防止非授权者看到非公共使用的数据机密性的前提是防止非授权者看到非公共使用的数据。数据机密性应用于本书所定义的具有内部的、数据。数据机密性应用于本书所定义的具有内部的、机密的、严格限制的标记的数据。通过安全数据存储机密的、严格限制的标记的数据。通过安全数据存储和安全数据传输提供数据机密性保护。满足数据机密和安全数据传输提供数据机密
14、性保护。满足数据机密性要求的典型技术包括数据传输、安全在线和离线存性要求的典型技术包括数据传输、安全在线和离线存储的加密。储的加密。来自中国最大的资料库下载数据完整性是关于对数据的任何非授权改变或破坏的数据完整性是关于对数据的任何非授权改变或破坏的保护。这个目标的基本点是数据的准确性和合法性。保护。这个目标的基本点是数据的准确性和合法性。通过产生原始数据集检查和同复制的数据进行比较的通过产生原始数据集检查和同复制的数据进行比较的程序来管理完整性。提供数据完整性的通常解决方案程序来管理完整性。提供数据完整性的通常解决方案是使用通用的加密策略,例如前面讲到的是使用通用的加密策略,例如前面讲到的IP
15、Sec,使,使用这样的检查和策略来保证发送的数据等于接收的数用这样的检查和策略来保证发送的数据等于接收的数据。保护数据不被更改或破坏,可以用类似反病毒这据。保护数据不被更改或破坏,可以用类似反病毒这样的简单解决方法,也可以用部署关键通路存储解决样的简单解决方法,也可以用部署关键通路存储解决方案、高可用性的防火墙簇以及企业范围的变更管理方案、高可用性的防火墙簇以及企业范围的变更管理等复杂的解决方案。为了防止非授权使用或破坏,鉴等复杂的解决方案。为了防止非授权使用或破坏,鉴别和授权控制是最合适的方法。别和授权控制是最合适的方法。来自中国最大的资料库下载最后,数据可用性也是需要十分关注的。数据可用性
16、最后,数据可用性也是需要十分关注的。数据可用性的目标范围是根据数据可用的重要性而变化的。对某的目标范围是根据数据可用的重要性而变化的。对某些系统需要高可用性,高达些系统需要高可用性,高达99.999%,而有些系统可,而有些系统可用性要求就较低。提供高可用性系统保护的典型方法用性要求就较低。提供高可用性系统保护的典型方法是使用冗余系统,通常包括冗余的电源、数据访问和是使用冗余系统,通常包括冗余的电源、数据访问和存储、网络以及应用服务器处理等。但冗余并不能满存储、网络以及应用服务器处理等。但冗余并不能满足全部数据可行性问题,尤其是近年来增多的拒绝服足全部数据可行性问题,尤其是近年来增多的拒绝服务(
17、务(DOS)和分布式拒绝服务()和分布式拒绝服务(DDOS)的攻击。)的攻击。来自中国最大的资料库下载首先,设计指南中最重要的是要保证企业安全策略和首先,设计指南中最重要的是要保证企业安全策略和过程与当前经营业务目标相一致。如有不一致,在设过程与当前经营业务目标相一致。如有不一致,在设计和构造安全基础设施之前,应对这些策略和过程做计和构造安全基础设施之前,应对这些策略和过程做必要的修改。如果设计指南没有被企业的最高管理层必要的修改。如果设计指南没有被企业的最高管理层接受和全力支持,那么安全设计不可能完全达到它的接受和全力支持,那么安全设计不可能完全达到它的功能,事实上有可能因缺少最高管理层的支
18、持而失败。功能,事实上有可能因缺少最高管理层的支持而失败。18.3 安全基础设施的的设计指南安全基础设施的的设计指南来自中国最大的资料库下载第二步是开发一个计算机事故响应组(第二步是开发一个计算机事故响应组(Computer Incident Response Team,CIRT),其职责是在安全报其职责是在安全报警事件中采取必要的行动和预防措施。为了使响应组警事件中采取必要的行动和预防措施。为了使响应组成员能熟练地处理事件(如安全破坏或灾难恢复),成员能熟练地处理事件(如安全破坏或灾难恢复),应尽可能多地进行实际培训。在很多情况下,把它当应尽可能多地进行实际培训。在很多情况下,把它当作有目的
19、的测试场景,在那里能测试作有目的的测试场景,在那里能测试CIRT成员的行成员的行动在给定安全事件下的响应、效率、完整性以及恢复动在给定安全事件下的响应、效率、完整性以及恢复能力。这样的测试目标对改进能力。这样的测试目标对改进CIRT成员的能力是十成员的能力是十分重要的。分重要的。来自中国最大的资料库下载第三步是设计基础设施安全服务以直接支持指南和需第三步是设计基础设施安全服务以直接支持指南和需求。这些服务包括鉴别、授权、账户、物理访问控制求。这些服务包括鉴别、授权、账户、物理访问控制和逻辑访问控制。对安全服务的设计、部署和运行应和逻辑访问控制。对安全服务的设计、部署和运行应遵循专门的方法。它定
20、义了包括评估、设计、部署和遵循专门的方法。它定义了包括评估、设计、部署和管理管理4个步骤的生命周期。在评估阶段,分析现存的个步骤的生命周期。在评估阶段,分析现存的经营业务和安全需求,以决定大部分实际的、有效的经营业务和安全需求,以决定大部分实际的、有效的安全解决方案现在是否已可行,否则必须重新设计和安全解决方案现在是否已可行,否则必须重新设计和构造。在设计阶段,针对评估中发现的问题,设计安构造。在设计阶段,针对评估中发现的问题,设计安全解决方案。部署阶段包括安全解决方案的实施和设全解决方案。部署阶段包括安全解决方案的实施和设备安装。最后是管理阶段,保证安全基础设施正常运备安装。最后是管理阶段,
21、保证安全基础设施正常运行,功能正常。行,功能正常。来自中国最大的资料库下载鉴别服务于鉴别服务于Internet资源、外联网资源、内部网资源资源、外联网资源、内部网资源的用户,相应于它们内在的风险,需要不同级别的安的用户,相应于它们内在的风险,需要不同级别的安全。内部网用户愿意基于他们登录的全。内部网用户愿意基于他们登录的ID自动进行身自动进行身份鉴别,而对外联网和份鉴别,而对外联网和Internet用户,需要使用赋予用户,需要使用赋予的硬件或软件的标记和个人标识号的硬件或软件的标记和个人标识号PIN登录。登录。通用的鉴别用户的方法包括静态用户名(通用的鉴别用户的方法包括静态用户名(UID)和口
22、)和口令、强的两因子鉴别、一次性口令鉴别以及单点登录令、强的两因子鉴别、一次性口令鉴别以及单点登录(Single Sign-On,SSO)鉴别。可能的话,为企业部)鉴别。可能的话,为企业部署至少两种鉴别方法的组合,用于需要不同保护级别署至少两种鉴别方法的组合,用于需要不同保护级别的不同等级数据。对给定类别的数据选择合适的鉴别的不同等级数据。对给定类别的数据选择合适的鉴别方法是十分重要的。方法是十分重要的。18.3.1 鉴别鉴别来自中国最大的资料库下载最普通的鉴别方式是静态最普通的鉴别方式是静态UID和口令的组合。因为静和口令的组合。因为静态口令不能经常更改,因此提供的数据保护能力是很态口令不能
23、经常更改,因此提供的数据保护能力是很小的。静态小的。静态UID和口令的组合不能成功地抵御很多方和口令的组合不能成功地抵御很多方式的攻击,包括回答攻击和蛮力攻击。在回答攻击中,式的攻击,包括回答攻击和蛮力攻击。在回答攻击中,假冒者从以前的鉴别会话中获取假冒者从以前的鉴别会话中获取UID和口令的组合,和口令的组合,依靠偷得的依靠偷得的UID和口令给鉴别服务器回答,以得到访和口令给鉴别服务器回答,以得到访问权。在蛮力攻击中,攻击者只知道问权。在蛮力攻击中,攻击者只知道UID,或使用一,或使用一个默认系统账户,用很多口令和已知个默认系统账户,用很多口令和已知UID组合来企图组合来企图登录,以得到访问权
24、。这两种方式的攻击都广泛使用,登录,以得到访问权。这两种方式的攻击都广泛使用,从而削弱了静态方法的完整性。由于这个原因,只有从而削弱了静态方法的完整性。由于这个原因,只有公共数据或内部数据的访问基于静态鉴别方法。公共数据或内部数据的访问基于静态鉴别方法。来自中国最大的资料库下载对更高等级的数据,需要更严格的解决方法,例如,对更高等级的数据,需要更严格的解决方法,例如,可使用强的鉴别方法和一次性口令。强的鉴别方法可可使用强的鉴别方法和一次性口令。强的鉴别方法可使用诸如使用诸如PIN这类的知识因子和智能卡、标记产生卡、这类的知识因子和智能卡、标记产生卡、标记软件程序等的组合。标记卡或标记软件程序使
25、用标记软件程序等的组合。标记卡或标记软件程序使用一个算法产生通常有一个算法产生通常有6个数字的号码,最后的口令码个数字的号码,最后的口令码是该是该6个数字码和个数字码和PIN的组合。智能卡一般包含标识的组合。智能卡一般包含标识其拥有的权利的信息,如数字其拥有的权利的信息,如数字ID或私钥。虽然这种或私钥。虽然这种鉴别方法优于静态方法,可以不再有必要用一次性口鉴别方法优于静态方法,可以不再有必要用一次性口令,但大部分标记产生卡和标记软件程序利用一次性令,但大部分标记产生卡和标记软件程序利用一次性口令,使用一次后就不再有效了。口令,使用一次后就不再有效了。来自中国最大的资料库下载很显然,强鉴别和一
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 精选 精选安全基础设施设计原理ppt 147页21354 安全 基础设施 设计 原理 ppt 147 1354
限制150内