欢迎来到天天文库
浏览记录
ID:40390374
大小:279.76 KB
页数:30页
时间:2019-08-01
《安全体系结构与模型(I)》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第三章安全体系结构与模型3.1ISO/OSI安全体系结构3.2动态的自适应网络安全模型3.3五层网络安全体系3.4六层网络安全体系3.5基于六层网络安全体系的网络安全解决方案本章重点和复习要点本章重点和复习要点六种网络信息安全需求“信息量分析”攻击和通信流量填充机制PPDR安全模型的含义和特点给出一个通过Internet进行安全通信的带分支机构的大型企业的网络信息安全的完整解决方案。返回首页3.1ISO/OSI安全体系结构OSI安全体系定义了安全服务、安全机制、安全管理及有关安全方面的其他问题。还定义了各种安全机制以及安全服务在OSI中的层位置。O
2、SI定义了11种威胁。返回首页1.安全服务在对威胁进行分析的基础上,规定了五种标准的安全服务:(1)鉴别用于鉴别实体的身份和对身份的证实,包括对等实体鉴别和数据原发鉴别两种。(2)访问控制提供对越权使用资源的防御措施。(3)数据机密性针对信息泄露而采取的防御措施。分为连接机密性、无连接机密性、选择字段机密性、通信业务流机密性四种。(4)数据完整性防止非法篡改信息,如修改、复制、插入和删除等。分为带恢复的连接完整性、无恢复的连接完整性、选择字段的连接完整性、无连接完整性、选择字段无连接完整性五种。(5)抗否认是针对对方否认的防范措施,用来证实发生过的
3、操作。包括有数据原发证明的抗否认和有交付证明的抗否认两种。2.安全机制安全服务可以单个使用,也可以组合起来使用,上述的安全服务可以借助以下的安全机制来实现:(1)加密机制:借助各种加密算法对存储和传输的数据进行加密;(2)数字签名:使用私钥签名,公钥进行证实;(3)访问控制机制:根据访问者的身份和有关信息,决定实体的访问权限;(4)数据完整性机制:判断信息在传输过程中是否被篡改过;(5)鉴别交换机制:用来实现对等实体的鉴别;(6)通信业务填充机制:通过填充冗余的业务流量来防止攻击者对流量进行分析;(7)路由选择控制机制:防止不利的信息通过路由,如使
4、用网络层防火墙;(8)公证机制:由第三方参与数字签名,它基于通信双方对第三方都绝对相信。层次安全协议鉴别访问控制机密性完整性抗否认网络层IPSecY—YYY传输层SSLY—YY—应用层PEMY—YY—PKIY—YYYPGPY—YYYS/MIMEY—YYYSHTTPY—YYYSSHY—YY—KerberosYYYYYSNMPY—YY—加密数字签名访问控制数据完整性鉴别交换通信业务填充路由控制公证鉴别YYY访问控制YY数据机密性YYY数据完整性YYY抗否认YYY3.2动态的自适应网络安全模型PPDR模型是在整体的安全策略的控制和指导下,在综合运用防护工
5、具的同时,利用检测工具了解和评估系统的安全状态,将系统调整到“最安全”和“风险最低”的状态。返回首页1.Policy(安全策略)根据风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等,它是PPDR安全模型的核心。2.Protection(防护)修复系统漏洞、正确设计开发和安装系统;定期检查发现可能存在的系统脆弱性;教育让用户和操作员正确使用系统;访问控制、监视来防止恶意威胁。3.Detection(检测)检测是动态响应和加强防护的依据,也是强制落实安全策略的有力工具,通过不断检测和监控网络和系统,来发现新的威胁和弱点,
6、通过循环反馈来及时做出有效的响应。4.Response(响应)在安全系统中占有最重要的地位,是解决安全潜在性问题的最有效的办法,从某种意义上讲,安全问题就是要解决紧急响应和异常处理问题。防护、检测和响应组成了一个完整的、动态的安全循环,在安全策略的指导下保证信息系统的安全。信息系统的安全是基于时间特性的,PPDR安全模型的特点就在于动态性和基于时间的特性。下面先定义几个时间值:攻击时间Pt:表示黑客从开始入侵到侵入系统的时间(对系统而言就是保护时间)。高水平的入侵和安全薄弱的系统都能使Pt缩短。检测时间Dt:入侵者发动入侵开始,到系统能够检测到入侵
7、行为所花费的时间。适当的防护措施可以缩短Dt。响应时间Rt:从检测到系统漏洞或监控到非法攻击到系统能够做出响应的时间。系统暴露时间Et=Dt+Rt-Pt。如果Et小于等于0,那么基于PPDR模型,认为系统是安全的。安全的目标实际上就是尽可能增大保护时间,尽量减少检测时间和响应时间。3.3五层网络安全体系1.网络层的安全性核心问题在于网络是否得到控制,即是否任何一个IP地址来源的用户都能进入网络。解决网络层安全问题的产品主要有防火墙和VPN。1)防火墙的主要目的在于判断来源IP,将危险或未经授权的IP数据拒之于系统之外。2)VPN主要解决的是数据传输
8、的安全问题,其目的在于保证公司内部的敏感关键数据能够安全地借助公共网络进行频繁地交换。返回首页2.系统的安全性1)病毒对于
此文档下载收益归作者所有