网络安全技术第3章网络安全技术--其他.ppt

个人介绍,陈兴钰长春方联计算机高级技术培训中心讲师E-mailchenxyMSNrollen_chenTel0431-5155777/888/999－813,网络安全技术,,第八讲、网络安全技术,其他技术,一、安全技术分类,1、应用级安全2、系统级安全3、网络级安全4、管理级安全,1、应用级安全技术,（1）、身份认证系统基于用户帐户、口令的身份认证系统基于个人特征信息的身份认证系统基于PIN码＋IC卡的身份认证系统基于数字证书的身份认证系统（2）、病毒防护系统应用服务器的病毒防护系统文件服务器的病毒防护系统数据库服务器的病毒防护系统工作站的病毒防护系统（3）、信息审计系统关键网络出口的信息审计关键业务流信息审计,2、系统级安全技术,（1）、操作系统的安全操作系统设计安全定期更新补丁/专门加固操作系统实现安全进行安全配置操作系统的实时检测HIDS（基于主机的入侵检测系统）操作系统的安全审计定期查看、分析系统日志操作系统的安全评估定期评估操作系统的安全状况操作系统的访问控制制定严格的访问控制策略（2）、应用系统的安全应用系统设计安全定期更新补丁/专门加固应用系统实现安全进行安全配置应用系统的实时检测部署针对应用程序的入侵检测系统应用系统的安全审计定期查看、分析应用程序日志应用系统的安全评估定期评估应用程序的安全状况应用系统的访问控制制定严格的访问应用程序的控制策略,系统级安全技术（续）,（3）、数据库系统的安全数据库系统设计安全定期更新补丁/专门加固数据库系统实现安全进行安全配置数据库系统的实时检测部署针对数据库系统的入侵检测系统数据库系统的安全审计定期查看、分析数据库系统日志数据库系统的安全评估定期评估数据库系统的安全状况数据库系统的访问控制制定严格的访问数据库系统的控制策略,3、网络级安全技术,（1）、网络级访问控制系统防火墙技术（2）、网络级入侵检测系统NIDS（网络入侵检测系统）（3）、网络级信息传输安全技术广域网间的信息传输安全局域网内的信息传输安全（4）、网络设备安全网络设备的配置安全网络设备的定期安全评估网络设备的操作系统定期更新补丁（升级）,4、管理级安全技术,（1）、安全管理机构规模权利职责奖惩措施（2）、安全规章制度机房管理制度人员管理制度设备管理制度,（3）、安全培训安全意识培训安全技术培训安全产品培训（4）、安全人员技术素质责任意识（5）、数据备份设备冗余数据备份网站备份灾难恢复,二、常见的安全机制与技术,身份认证访问控制数据加密病毒防护入侵检测安全评估备份与恢复,1、身份认证系统,基于用户帐户、口令的身份认证基于实体特征的身份认证如指纹识别基于PIN码和IC卡的身份认证基于CA证书的身份认证,（1）、基于用户帐户、口令的身份认证,UsernameMikePasswordHello123,,User,Server,,,,,发起访问请求,验证用户名与口令,验证通过,响应访问请求,允许访问,应用最多应用最灵活验证方法简单最不安全（口令、用户帐号直接在网络中传输，很容易被Sniffer软件所截获，适用于安全性要求不高的认证环境。）,,（2）、基于实体特征的身份认证,,Server,,,验证用户特征信息,验证通过,Workstation,,,识别设备,,,获得特征信息,读取特征信息,发起访问请求,发送特征信息,响应访问请求,允许访问,注需事先采集不同实体的特征信息，并存储到身份认证服务器内，在验证时由实体提供特征信息，提交给认证服务器，在器特征数据库内对实体特征信息进行匹配。,安全性高需专门的识别设备部署难度增大,,（3）、基于PIN码和IC卡的身份认证,系统复杂安全性高,,,,验证用户身份,验证通过,Workstation,,,读卡器,,,获得用户信息,读取用户信息,发起访问请求,发起身份验证信息,响应访问请求,允许访问,,,插入IC卡,输入PIN码,,（4）、基于CA证书的身份认证,用户证书,,,,,,,,证书颁发、发布服务器,服务器证书,查询器名单,查找共同可信任的CA,验证通过,查找共同可信任的CA,查询器名单,验证通过,开始安全通信,证书颁发机构给不同的服务器、工作站、网络设备、安全设备及用户，颁发不同的数字证书，通过数字证书进行身份认证。CA提供证书颁发、列表、查询。用户向CA购买证书，从CA获取证书。（获得证书的两个实体之间进行安全通信时，可通过数字证书进行身份认证。双方验证了彼此的证书，并且证书没有过期，没有被吊销，此时双方认为彼此的证书是合法的证书，就可以进行安全的通信。）,CA（证书颁发机构）,2、访问控制,网络的访问控制数据库的访问控制操作系统的访问控制应用程序的访问控制远程拨入的访问控制,访问控制（续）,（1）、访问控制的分类,1、基于网络的访问控制通过部署防火墙，实现边界防护，从而实现了对网络的访问控制。2、对数据库的访问控制通过用户名＋口令，实现对数据库的访问控制。如管理员管理SQLServer2000数据库时，需输入SA账号及口令。3、对系统的访问控制用户登陆操作系统时，需要输入用户账号及密码，以实现对操作系统的访问控制。如用户登陆WindowsXP时，需输入用户账号及密码。4、对应用程序（系统）的访问控制用户使用应用程序时，需提供用户账号及密码，以此实现对应用程序的访问控制。如用户使用OutlookExpress时，需设置用户帐户、密码。5、对远程拨入的访问控制用户使用远程拨入访问Internet或企业远程访问服务器或VPN服务器时，需具有相应拨入权限及合法用户帐户、口令。如家里个人电脑通过ADSL拨号上网时，需在拨号连接中输入账号及密码。,2、访问控制的原理,基于源IP地址基于目的IP地址基于源端口基于目的端口基于时间基于用户基于流量基于文件基于网址（URL）基于MAC地址用户,,,0100011100101,0100011100101,Accesslist192.168.0.11to202.52.100.33Accessnat192.168.0.11toanypassAccess202.52.100.33to192.168.0.11Accessdefaultpass,0100011100101,,,,,2,1,,,3,4,匹配成功,,5,,防火墙,访问控制,,,3、数据加密技术,数据机密性保护数据完整性保护数据不可抵赖性保护,加密技术,VPN技术,数据传输安全,数据应用安全,,,,构建虚拟专用网,（1）、数据机密性保护,,,明文001100011010001100011000110001010110101101011111,密文*/0\*/*00\**/*/0\,密文*/0\*/*00\**/*/0\,明文001100011010001100011000110001010110101101011111,数据在传输过程中不被窃取,加密器,解密器,加密,解密,信源A,信宿B,,,,,,,,1,2,3,4,5,6,7,公共信道,加密密钥,解密密钥,数据机密性保护，通过对数据加密来实现，保证加密后的数据不被窃取，即使被窃取，截获信息者也无法对信息密文进行解密。,（2）、数据完整性保护,数据完整性保护，是防止数据在传输过程中被篡改。,,,明文00110001001101101100010110110101,数据在传输过程中不被篡改,Hash运算器,Hash运算器,Hash运算,信源,信宿,,1,2,3,3,5,7,6,公共信道,摘要11000101,明文00110001001101101100010110110101,摘要11000101,,,Hash运算,明文00110001001101101100010110110101,明文00110001001101101100010110110101,摘要11000101,摘要11000101,,2,,3,4,,,,比对两个摘要值,是否相同Y/N,传输,Yes,,No,丢弃,7,（3）、数据的不可抵赖性保护,数据的不可抵赖性保护通过数字签名实现，使得信源不能抵赖其发送数据的事实，通过数字签名，来证实数据的来源；同时可以防止非法用户假冒信源来发送数据。,,,明文00110001001101101100010110110101,数据传输完成，防止信源抵赖,Hash运算器加密器,Hash运算器解密器,信源A,信宿B,,1,2,3,4,6,8,7,公共信道,摘要11000101,明文00110001001101101100010110110101,摘要11000101,,,Hash运算,明文00110001001101101100010110110101,明文00110001001101101100010110110101,摘要11000101,,2,,4,5,,,,比对两个摘要值,是否相同Y/N,传输,Yes,,No,丢弃,8,,3,加密,A的私钥,摘要*,摘要*,明文,密文,摘要*,Hash运算,,密文,明文,解密,A的公钥,6,（4）、VPN技术,解决信息传输安全VRC即VPNRemoteClient,4、病毒防护技术,病毒防护技术,统一控管分布式结构主机防毒,杀毒策略统一制定病毒库统一更新统一扫描、杀毒,网关防毒工作站防毒服务器防毒Web服务器Mail服务器数据库服务器FTP服务器,,,,,,,,,,,,,公司总部病毒管理主机,公司分支机构病毒管理主机,公司各部门病毒管理主机,,,,通过网关防病毒、服务器防病毒、工作站防病毒一起构成一个立体的、三维的防病毒系统。,,5、入侵检测技术,入侵检测技术是对防火墙技术的有效补充。在部署防火墙之后，它能够阻断外部对内部的访问，但是对于内部的攻击行为，防火墙无法阻止，此时就可以使用IDS。通过IDS＋防火墙，形成联动，构成一个内外结合的立体防护系统，对于外部访问和内部攻击，都可以进行有效的控制。,,Internet,,,,,,,,,,,IDS,,外部攻击,,内部攻击,,防火墙,阻断外部攻击,阻断内部攻击,IDS与Firewall联动,,,LAN,外部攻击者,服务器,（1）、IDS的组成,管理控制台网络探测器（NIDS）－－基于网络的IDS系统代理（HIDS）－－基于主机的IDSNIDS部署在不同的网段，保护一个网段内的主机，同时可以实时监视网络，但是会产生大量的流量。HIDS部署在特定的主机上，保护该特定主机。管理控制台用于配置管理所有的网络探测器和系统代理。,,,,,,,,,,,,HIDS,,外部攻击,,内部攻击,,防火墙,实时主机监控,实时网络监控,IDS与Firewall联动,LAN,NIDS,外部攻击者,服务器,,Internet,,,发现异常，通知管理控制台,,,管理控制台,（2）、IDS的设计原则,HIDS根据网络的需要，如果有多台需要保护的主机，在一个网络中，HIDS可以部署多个。NIDS如果有多个需要保护的网络/网段，可以在每个网段部署一台NIDS。管理控制台在一个网络或多网段的网络中，管理控制台通常只需部署一台，统一管理HIDS和NIDS。,IDS的设计原则,,,,,,,,,,HIDS,防火墙,LAN,,Internet,,,管理控制台,,,,NIDS,,,,,,,,NIDS,,,,,,,,,,HIDS,,,,NIDS,,HIDS,6、安全评估技术,7、备份与恢复技术,关键设备备份数据备份Web服务器页面保护灾难恢复,（1）、关键设备备份,（2）、数据备份,,,,,,,,,,（3）、Web服务器页面保护,,DMZ,,,,,,,黑客攻击,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,管理子网,内部服务器,重点子网,一般子网,Web服务器,Mail服务器,Web页面备份服务器,Internet,篡改Web页面,,Web页面恢复,,Web页面备份服务器，实时监控Web服务器页面内容，一旦发现页面内容被修改，Web页面备份服务器根据策略，及时将Web服务器页面恢复到被篡改前的状态。,切换时间非常短,边界路由器,黑客,（4）、灾难恢复,,,,,磁带库或磁带机,插入灾难恢复引导盘引导主机,按提示插入系统光盘,按提示插入上次完全备份的磁带,安装操作系统或系统正常时制作灾难恢复盘,发生灾难后，按提示进行灾难恢复,,,系统恢复正常,三、安全管理与安全服务,安全管理制定相应的安全管理制度制定相应的安全策略安全服务网络安全咨询网络安全专业培训网络安全检测网络安全管理应急响应服务,结束,,