




版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
信息網(wǎng)絡(luò)平安技術(shù)開展狀況博士后段云所北京大學(xué)計算機系副教授北大青鳥環(huán)宇公司副總裁
Email:doyes@
內(nèi)容索引平安總體框架平安原因與威脅平安目的與任務(wù)平安理論與技術(shù)平安標準與標準平安管理與檢查平安主管與監(jiān)察平安方案與實施北大青鳥網(wǎng)絡(luò)信息平安的目標、技術(shù)和產(chǎn)品關(guān)系圖`應(yīng)用安全:目標:機密、完整、抗否認、可用技術(shù):加密、驗證、簽名、認證、備份產(chǎn)品:加密機(卡)、保密網(wǎng)關(guān)誘因:網(wǎng)絡(luò)缺陷+開放性+黑客攻擊``保障:標準+策略+管理+緊急響應(yīng)內(nèi)容安全:目標:凈化內(nèi)容、獲取敵對信息、保護涉密技術(shù):搜索、定位、密級分類管理產(chǎn)品:信息監(jiān)察系統(tǒng)、涉密檢查系統(tǒng)網(wǎng)絡(luò)安全:目標:可控、可靠、防入侵技術(shù):訪問控制、認證、審計、入侵檢測產(chǎn)品:防火墻、VPN、安全路由器…傳輸安全:目標:防竊聽、防阻塞、防篡改、防盜用技術(shù):加密、認證產(chǎn)品:加密機、VPN、專網(wǎng)平安技術(shù)架構(gòu)內(nèi)容索引平安總體框架平安原因與威脅平安目的與任務(wù)平安理論與技術(shù)平安標準與標準平安管理與檢查平安主管與監(jiān)察平安方案與實施北大青鳥網(wǎng)絡(luò)不平安的根本原因馮.諾依曼結(jié)構(gòu)軟件=數(shù)據(jù)+程序網(wǎng)絡(luò)不平安的直接原因自身缺陷+開放性+黑客攻擊網(wǎng)絡(luò)自身的平安缺陷協(xié)議本身會泄漏口令連接可成為被盜用的目標效勞器本身需要讀寫特權(quán)基于地址密碼保密措施不強某些協(xié)議經(jīng)常運行一些無關(guān)的程序業(yè)務(wù)內(nèi)部可能隱藏著一些錯誤的信息有些業(yè)務(wù)本身尚未完善,難于區(qū)分出錯原因有些業(yè)務(wù)設(shè)置復(fù)雜,很難完善地設(shè)立使用CGI的業(yè)務(wù)網(wǎng)絡(luò)開放性業(yè)務(wù)基于公開的協(xié)議 遠程訪問使得各種攻擊無需到現(xiàn)場就能得手連接是基于主機上的社團彼此信任的原那么黑客〔HACKER)定義:“非法入侵者〞 起源:60年代,計算機技術(shù)愛好者目的:基于興趣非法入侵 基于利益非法入侵 信息戰(zhàn)常見攻擊分類口令破解:攻擊者可通過獲取口令文件,然后運用口令破解工具獲得口令,也可通過猜測或竊聽等方式獲取口令。連接盜用:在合法的通信連接建立后,攻擊者可通過阻塞或摧毀通信的一方來接管已經(jīng)過認證建立起來的連接,從而假冒被接管方與對方通信;效勞拒絕:攻擊者可直接發(fā)動攻擊,也可通過控制其它主機發(fā)起攻擊使目標癱瘓,如發(fā)送大量的數(shù)據(jù)洪流阻塞目標;網(wǎng)絡(luò)竊聽:網(wǎng)絡(luò)的開放性使攻擊者可通過直接或間接竊聽獲取所需信息;數(shù)據(jù)篡改:攻擊者可通過截獲并修改數(shù)據(jù)或重放數(shù)據(jù)等方式破壞數(shù)據(jù)的完整性;常見攻擊分類地址欺騙:攻擊者可通過偽裝成被信任的IP地址等方式來騙取目標的信任;社會工程:攻擊者可通過各種社交渠道獲得有關(guān)目標的結(jié)構(gòu)、使用情況、平安防范措施等有用信息,從而提高攻擊成功率。惡意掃描:攻擊者可編制或使用現(xiàn)有掃描工具發(fā)現(xiàn)目標的漏洞,進而發(fā)起攻擊;根底設(shè)施破壞:攻擊者可通過破壞DNS或路由信息等根底設(shè)施使目標陷于孤立;數(shù)據(jù)驅(qū)動攻擊:攻擊者可通過施放病毒、特洛伊木馬、數(shù)據(jù)炸彈等方式破壞或遙控目標。內(nèi)容索引平安總體框架平安原因與威脅平安目的與任務(wù)平安理論與技術(shù)平安標準與標準平安管理與檢查平安主管與監(jiān)察平安方案與實施北大青鳥網(wǎng)絡(luò)平安的任務(wù)保障各種網(wǎng)絡(luò)資源穩(wěn)定、可靠地運行受控、合法地使用信息平安的任務(wù)機密性〔confidentiality)完整性(integrity)抗否認性(non-repudiation)可用性(availability)其他
病毒防治預(yù)防內(nèi)部犯罪四大平安需求運行平安防護平安管理平安評估平安內(nèi)容索引平安總體框架平安原因與威脅平安目的與任務(wù)平安理論與技術(shù)平安標準與標準平安管理與檢查平安主管與監(jiān)察平安方案與實施北大青鳥平安理論密碼理論與技術(shù)〔加密、標記〕認證識別理論與技術(shù)〔I&A)授權(quán)與訪問控制理論與技術(shù)審計追蹤技術(shù)網(wǎng)間隔離與訪問代理技術(shù)反病毒技術(shù)密碼技術(shù)信息加密算法
對稱;DES,3DES,AES
非對稱:RSA,ECC數(shù)字簽名算法
摘要:MD5,SHA
簽名:DSS,RSAECC密鑰長度mRSA密鑰長度MIPS-年1601024101232051201036600210001078120012000010168ECC和RSA性能比較DES密鑰長度(bit)RSA密鑰長度(bit)563846451211217921282304DES和RSA性能比較(同等強度〕
系統(tǒng)平安技術(shù)
身份認證口令認證 挑戰(zhàn)/應(yīng)答方式 Keberos認證訪問控制和授權(quán)自主訪問控制、強制訪問控制、基于角色訪問控制審計
日志記錄、統(tǒng)計分析、數(shù)據(jù)挖掘網(wǎng)絡(luò)平安技術(shù)北大青鳥防火墻技術(shù)平安保密網(wǎng)關(guān)技術(shù)平安路由技術(shù)VPN技術(shù)漏洞掃描技術(shù)入侵檢測技術(shù)IP/IPSecHTTPFTPSMTPTCP(a)NetworkLevel平安協(xié)議-網(wǎng)絡(luò)層IPHTTPFTPSMTPTCP(b)TransportLevelSSLorTLS平安協(xié)議-傳輸層(c)ApplicationLevelIPS/MIMEPGPSETTCPSMTPUDPKerberosHTTP平安協(xié)議-應(yīng)用層ApplicationdataFragmentCompressAddMACEncryptionAppendSSLrecordheaderSSLRecordProtocol具體操作可選SSL握手協(xié)議的消息傳遞PGP典型例如(產(chǎn)生PGPMessage)PGP典型例如(接收PGPMessage)內(nèi)容索引平安總體框架平安原因與威脅平安目的與任務(wù)平安理論與技術(shù)平安標準與標準平安管理與檢查平安主管與監(jiān)察平安方案與實施北大青鳥平安評估標準國標主要平安指標國家平安標準主要考核指標有:身份認證、自主訪問控制、數(shù)據(jù)完整性、審計、隱蔽信道分析、客體重用、強制訪問控制、平安標記、可信路徑、可信恢復(fù)等。特點:這些指標涵蓋了不同級別的平安要求。信息網(wǎng)絡(luò)主要平安指標身份認證:主要考慮用戶、主機和節(jié)點的身份認證。訪問控制:采用自主訪問控制策略。數(shù)據(jù)完整性:考慮存儲、傳輸和使用中不被篡改和泄密。審計:主要考慮訪問的主體、客體、時間、成敗情況等。隱蔽信道:主要考慮采用平安監(jiān)控和平安漏洞檢測來加強對隱蔽信道的防范。其他標準管理:ISO17799......內(nèi)容索引平安總體框架平安原因與威脅平安目的與任務(wù)平安理論與技術(shù)平安標準與標準平安管理與檢查平安主管與監(jiān)察平安方案與實施北大青鳥技術(shù)管理根據(jù)事物開展的規(guī)律,采用合理的技術(shù)手段,對所需管理的對象進行合理的方案、組織和控制,使之依照固有的規(guī)律最有效、最大限度地按預(yù)定的目標運行。技術(shù)管理與行政管理技術(shù)管理是根底和措施,效勞于行政管理。行政管理是策略和方法,通過技術(shù)措施實現(xiàn)目標。技術(shù)管理概念技術(shù)管理的必要性三分技術(shù)七分管理平安策略的制定不是技術(shù)問題,而是管理問題缺省配置為系統(tǒng)留下平安隱患,需要管理系統(tǒng)漏洞與補丁不斷出現(xiàn),需要管理平安檢查和評估需要需要管理手段平安系統(tǒng)運行監(jiān)控需要管理管理出效益減少故障時間預(yù)防平安事件節(jié)省維護開支技術(shù)管理的目標和內(nèi)容網(wǎng)絡(luò)管理
IP地址管理非法撥號上網(wǎng)管理拓撲管理端口管理
運行管理運行根本狀況監(jiān)控日志管理配置管理流量管理病毒管理授權(quán)管理事件關(guān)聯(lián)分析技術(shù)管理的目標和內(nèi)容漏洞管理
漏洞跟蹤補丁檢查特征升級
人員管理人員權(quán)限管理人員行為管理人員變更管理活動帳號管理物理平安檢查物理運行環(huán)境〔溫度、濕度…)電磁兼容環(huán)境(抗干擾、防輻射…〕機房安防環(huán)境〔防盜、防改…)
漏洞掃描檢測
IP掃描端口掃描漏洞掃描補丁掃描病毒掃描平安設(shè)備運行監(jiān)控設(shè)備有效性監(jiān)控設(shè)備配置監(jiān)控日志分析突發(fā)事件監(jiān)控遠程配置和控制事件關(guān)聯(lián)性分析事件追蹤安全決策專家安全建議國家行業(yè)法規(guī)用戶行為追蹤行為關(guān)聯(lián)分析網(wǎng)絡(luò)異常發(fā)現(xiàn)安全事件告警策略自動分配可視安全狀態(tài)人性操作界面安全事件歷史安全控制分布管理集中管理異步調(diào)用跨平臺開放接口加密通信信息采集網(wǎng)絡(luò)運行狀況網(wǎng)絡(luò)流量信息用戶行為數(shù)據(jù)產(chǎn)品審計信息產(chǎn)品更換升級策略措施調(diào)整產(chǎn)品技術(shù)公告攻擊技術(shù)公告平安測評平安風(fēng)險評估〔財產(chǎn)評估、威脅評估〕平安標準和平安等級確認平安指標平安實踐結(jié)構(gòu)平安策略策略建立和審核過程人員策略決定需要保護什么決定哪些損失是可以接受的 列出所有潛在的風(fēng)險和平安漏洞 獲得平安工具 建立物理災(zāi)難恢復(fù),事件響應(yīng)及意外事故計 提供平安認知和實踐培訓(xùn)系統(tǒng)平安增強新的系統(tǒng)總是充滿了各種平安漏洞打上最新軟件補丁和更新總是到系統(tǒng)供給商處檢查更新從可信站點下載,使用MD5或數(shù)字簽名(PGP)檢查加強口令保護設(shè)置系統(tǒng)審計功能增強文件系統(tǒng)平安文件系統(tǒng)監(jiān)控文件自動恢復(fù)平安配置各種網(wǎng)絡(luò)效勞其他平安考慮網(wǎng)絡(luò)根底設(shè)施為防止網(wǎng)絡(luò)竊聽,應(yīng)使用交換式HUB,而不用共享式HUB許多支持SNMP的設(shè)備中,SNMPagent的默認口令“public〞未作更改路由器關(guān)閉源路由,以防止IP欺騙在路由器上,禁止TCP和UDP端口137138,139以及其他不會用到的TCP/UDP端口,禁止不需要的協(xié)議路由器只是原始的網(wǎng)絡(luò)平安設(shè)備它不跟蹤TCP連接狀態(tài)它也沒有日志機制來檢測入侵企圖包過濾規(guī)那么難以設(shè)置內(nèi)容索引平安總體框架平安原因與威脅平安目的與任務(wù)平安理論與技術(shù)平安標準與標準平安管理與檢查平安主管與監(jiān)察平安方案與實施北大青鳥平安方案設(shè)計要素明確的需求分析合理的設(shè)計原那么可信的平安等級良好的指導(dǎo)方法全面的理論模型正確的技術(shù)選擇可靠的支撐產(chǎn)品實用的功能性能可行的評價措施完善的管理手段長遠的維護升級信息平安產(chǎn)品防火墻入侵檢測漏洞掃描管理中心測評工具反病毒目前的平安狀況----產(chǎn)品分布總產(chǎn)值:26億〔2001年〕
平安防護實踐平安策略系統(tǒng)平安增強網(wǎng)絡(luò)平安最終用戶平安其他防火墻防火墻是位于兩個或多個網(wǎng)絡(luò)間,實施網(wǎng)間訪問控制的計算機和網(wǎng)絡(luò)設(shè)備的集合,它滿足以下條件:內(nèi)部和外部之間的所有網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過防火墻只有符合平安政策的數(shù)據(jù)流才能通過防火墻防火墻的作用強化平安策略有效地記錄Internet上的活動隔離不同網(wǎng)絡(luò),限制平安問題擴散是一個平安策略的檢查站防火墻相關(guān)技術(shù)靜態(tài)包過濾動態(tài)包過濾應(yīng)用程序網(wǎng)關(guān)(代理效勞器)電路級網(wǎng)關(guān)網(wǎng)絡(luò)地址翻譯虛擬專用網(wǎng)防火墻體系結(jié)構(gòu)雙宿/多宿主機模式(dual-homed/multi-homed)屏蔽主機模式屏蔽子網(wǎng)模式雙宿主機模式堡壘主機內(nèi)部網(wǎng)外部網(wǎng)絡(luò)最小效勞最少特權(quán)屏蔽主機模式包過濾路由器內(nèi)部網(wǎng)外部網(wǎng)絡(luò)堡壘主機屏蔽子網(wǎng)模式內(nèi)部路由器內(nèi)部網(wǎng)外部網(wǎng)絡(luò)堡壘主機外部路由器DMZ區(qū)周邊網(wǎng)解決了單點失效問題平安掃描手工地或使用特定的自動軟件工具——平安掃描器,對系統(tǒng)威脅進行評估,尋找可能對系統(tǒng)造成損害的平安漏洞。本地掃描器或系統(tǒng)掃描器:掃描器和待檢查系統(tǒng)運行于同一結(jié)點,執(zhí)行自身檢查遠程掃描器或網(wǎng)絡(luò)掃描器:掃描器和待檢查系統(tǒng)運行于不同結(jié)點,通過網(wǎng)絡(luò)遠程探測目標結(jié)點,尋找平安漏洞。入侵檢測(IDS)防火墻和IDS是網(wǎng)絡(luò)平安中互為補充的兩項工具IDS完成以下功能實時監(jiān)控網(wǎng)絡(luò)流量檢查審計信息,尋找入侵活動當(dāng)發(fā)現(xiàn)入侵特征后,告警IDS有兩大種類基于主機基于網(wǎng)絡(luò)IDS通常很昂貴,會產(chǎn)生相當(dāng)多的誤報最終用戶平安平安訓(xùn)練提高平安意識,了解網(wǎng)絡(luò)平安策略工作站平安保護敏感信息備份,加密,加鎖默認外來文件都是有害的選取適宜口令瀏覽器選擇及配置強加密Cookie,JavaApplet,Javascript,ActiveX等的使用正確處理電子郵件加密,數(shù)字簽名平安技術(shù)架構(gòu)DMZDDN/X.25/FR無線網(wǎng)加密機防火墻路由器路由器PSTN移動用戶外部mail效勞器外部WWW效勞器外部DNS普通客戶密鑰管理中心防火墻平安客戶端一般效勞器1一般效勞器2一般效勞器3一般效勞器n重要效勞器1重要效勞器2重要效勞器3重要效勞器n接入/認證效勞器
訪問代理漏洞掃描/入侵檢測平安方案拓撲總圖代理效勞器地址過濾身份認證〔雙向〕訪問控制訪問代理出關(guān)控制數(shù)據(jù)加/解密
日
志
審
計平安客戶通信層身份認證〔雙向〕數(shù)據(jù)加/解密〔軟件或IC卡〕emailwwwFTP…代理接口平安外層防火墻隔離Internet和DMZ;IP包過濾,僅允許從Internet到DMZ公共效勞器的訪問和經(jīng)由內(nèi)層防火墻到Internet訪問的IP包進出;實現(xiàn)地址轉(zhuǎn)換,隱藏DMZ及內(nèi)部網(wǎng)絡(luò)拓撲結(jié)構(gòu);IP地址合法性檢查,防止地址欺騙;具備審計功能。同IDS聯(lián)動,切斷入侵者連接內(nèi)層防火墻、代理效勞器隔離DMZ和內(nèi)部網(wǎng);實現(xiàn)代理訪問型防火墻功能,支持從內(nèi)部網(wǎng)到Internet和DMZ的單向訪問;實現(xiàn)身份認證,內(nèi)部網(wǎng)訪問Internet必須先經(jīng)過認證才能進行;能夠?qū)崿F(xiàn)地址轉(zhuǎn)換,隱藏內(nèi)部網(wǎng)絡(luò)拓撲結(jié)構(gòu);IP地址合法性檢查,防止地址欺騙;對網(wǎng)絡(luò)訪問進行監(jiān)控審計;自身對發(fā)生的攻擊行為能進行審計。同IDS聯(lián)動,切斷入侵者連接入侵檢測系統(tǒng)(IDS)能夠?qū)崟r準確捕捉到入侵;能夠檢測出系統(tǒng)管理員及內(nèi)部用戶的誤操作;發(fā)現(xiàn)入侵能夠及時作出響應(yīng)并詳細記錄審計日志同防火墻聯(lián)動,主動切斷入侵者連接平安掃描系統(tǒng)檢查系統(tǒng)中存在的特洛伊木馬及有漏洞程序;對系統(tǒng)和網(wǎng)絡(luò)進行檢測,查找可能存在的平安漏洞、配置問題并給出報告和修改建議;DMZDDN/X.25/FR無線網(wǎng)加密機防火墻路由器路由器PSTN移動用戶外部mail效勞器外部WWW效勞器外部DNS普通客戶密鑰管理中心防火墻平安客戶端一般效勞器1一般效勞器2一般效勞器3一般效勞器n重要效勞器1重要效勞器2重要效勞器3重要效勞器n接入/認證效勞器
訪問代理漏洞掃描/入侵檢測平安方案拓撲總圖內(nèi)容索引平安總體框架平安原因與威脅平安目的與任務(wù)平安理論與技術(shù)平安標準與標準平安管理與檢查平安主管與監(jiān)察平安方案與實施未來展望北大青鳥被動防御->主動防御根本平安->全面平安防護監(jiān)測->誘騙取證可用性->生存性平安開展趨勢北大青鳥平安實踐北大青鳥StructureofJadeBirdJadeBirdGroupBeijingBeidaJadeBirdLimitedJadeBirdTianqiao600657(AShare)BeijingBeida-onlineNetworkCo.,LtdJadeBirdUniversal8095(HShare)BroadbandNetworkCo.,LtdJadeBirdHuaguang600076(AS
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 新解讀《GB-T 20888.2-2020林業(yè)機械 桿式動力修枝鋸安全要求和試驗 第2部分:背負式動力修枝鋸》
- 針灸基考試試題及答案
- 農(nóng)業(yè)采集測試題及答案
- 航海船速測試題及答案
- 小兒推拿考試題及答案
- 書法篆書考試題及答案
- 檢驗基礎(chǔ)考試題及答案
- 宜賓共青團試題及答案
- 中冶往年筆試題及答案
- 房車事故測試題及答案
- LY/T 1697-2007飾面木質(zhì)墻板
- GB/T 28733-2012固體生物質(zhì)燃料全水分測定方法
- GB/T 13890-2008天然石材術(shù)語
- 品牌顧問服務(wù)合同范文
- GA/T 1369-2016人員密集場所消防安全評估導(dǎo)則
- 第2章等離子體與材料的相互作用課件
- 項目質(zhì)量管理機構(gòu)結(jié)構(gòu)框圖
- 裝飾裝修工程施工注意事項及質(zhì)量通病
- 人流術(shù)后關(guān)愛計劃PAC工作評審ppt參考課件
- 放射科醫(yī)德醫(yī)風(fēng)廉潔行醫(yī)自查報告2篇
- 建標 106-2021 中醫(yī)醫(yī)院建設(shè)標準
評論
0/150
提交評論