第6章 Intranet網(wǎng)絡(luò)安全綜述,德州方向機(jī)廠 陳永 2007.10,教學(xué)要求,了解網(wǎng)絡(luò)安全保障工具與產(chǎn)品 理解Intranet網(wǎng)絡(luò)安全要求和信息系統(tǒng)安全技術(shù)標(biāo)準(zhǔn) 掌握Intranet網(wǎng)絡(luò)安全要求和信息系統(tǒng)安全技術(shù)標(biāo)準(zhǔn),主要內(nèi)容,6.1 計(jì)算機(jī)安全 6.2 Intranet網(wǎng)絡(luò)安全要求 6.3 信息系統(tǒng)安全技術(shù)標(biāo)準(zhǔn) 6.4 安全體系結(jié)構(gòu) 6.5 分布計(jì)算環(huán)境DCE安全平臺(tái) 6.6 評(píng)估增長(zhǎng)的安全操作代價(jià) 6.7 網(wǎng)絡(luò)安全保障工具與產(chǎn)品,引言,美國(guó)國(guó)防部于1987年對(duì)Milnet計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題進(jìn)行測(cè)試。并將Milnet滲入程度有外到內(nèi)分為六個(gè)層次： 第一層：企圖聯(lián)網(wǎng)。 第二層：注冊(cè)保護(hù)。 第三層：注冊(cè)機(jī)取得部分權(quán)限。 第四層：存取通用數(shù)據(jù)庫(kù)。 第五層：進(jìn)入編程環(huán)境 第六層：進(jìn)入系統(tǒng)管理員權(quán)限。,6.1計(jì)算機(jī)安全,1.計(jì)算機(jī)安全的基本定義 國(guó)際標(biāo)準(zhǔn)化組織曾建議計(jì)算機(jī)安全的定義為：計(jì)算機(jī)系統(tǒng)有保護(hù)，計(jì)算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)不被偶然或故意地泄漏、更改和破壞。其基本思想是將計(jì)算機(jī)安全從三個(gè)方面來(lái)衡量,即保密性、完整性、可用性。,2.對(duì)計(jì)算機(jī)安全的三種攻擊 從攻擊者與計(jì)算機(jī)系統(tǒng)的地理關(guān)系來(lái)分，可以分為超距攻擊、近距攻擊和遠(yuǎn)程攻擊三種。 （1）超距攻擊，即不接觸就可以進(jìn)行的攻擊。 （2）近距攻擊。 （3）遠(yuǎn)距攻擊。,3.基本安全要求 根據(jù)國(guó)際標(biāo)準(zhǔn)化組織對(duì)計(jì)算機(jī)安全定義的建議和歐美各國(guó)多年的理論探討和實(shí)踐經(jīng)驗(yàn)，以及我國(guó)自1981年開(kāi)展計(jì)算機(jī)安全工作以來(lái)的實(shí)踐，計(jì)算機(jī)安全的基本要求有如下五條： （1）認(rèn)同用戶和鑒別 （2）控制存取 （3）保障完整性 （4）審計(jì) （5）容錯(cuò) 目前計(jì)算機(jī)系統(tǒng)在提高安全能力方面向兩個(gè)方向發(fā)展：可信計(jì)算機(jī)系統(tǒng)和容錯(cuò)計(jì)算機(jī)系統(tǒng)。,1.基本原理 可信計(jì)算機(jī)理論將安全保護(hù)歸結(jié)為存取控制。 被調(diào)用的程序或欲存取的數(shù)稱為客體； 主動(dòng)發(fā)出存取要求的人或進(jìn)程稱為主體； 一切主體欲對(duì)某一客體進(jìn)行存取都毫無(wú)例外地接受存取權(quán)限控制。 執(zhí)行存取控制的部件稱為基準(zhǔn)監(jiān)控器。,可信計(jì)算機(jī)系統(tǒng),存取控制機(jī)制有兩種： 自主存取控制由組織統(tǒng)一規(guī)定每一主體的存取權(quán)限，而不管客體創(chuàng)建者是否授予存取權(quán)限; 強(qiáng)制存取機(jī)制統(tǒng)一給每一主體和每一客體劃分安全等級(jí)和類別，其中安全等級(jí)是有高低之分的，類別沒(méi)有高低之分。安全屬性由等級(jí)和類別兩部分組成。 存取規(guī)則：主體的等級(jí)客體的等級(jí)，且主體的類別包括了客體所含全部類別是允許讀。主體的等級(jí)客體的等級(jí)，并且主體所屬類別全都被客體所屬類別包括時(shí)可寫(xiě)。,2.可信計(jì)算機(jī)安全等級(jí) 美國(guó)桔皮書(shū)將可信計(jì)算機(jī)由低到高分為四類七級(jí)： D級(jí)，安全保護(hù)欠缺級(jí)。 C1級(jí)，自主安全保護(hù)級(jí)。 C2級(jí)，受控存取保護(hù)級(jí)。 B1級(jí)，標(biāo)識(shí)安全保護(hù)級(jí)。 B2級(jí)，結(jié)構(gòu)化保護(hù)級(jí)。 B3級(jí)，安全域級(jí)。 A1級(jí)，驗(yàn)證設(shè)計(jì)級(jí)。 D級(jí)是不具備最低限度安全等級(jí)； C1和C2級(jí)是具備最低限度安全的等級(jí)；B1和B2級(jí)是具有中等安全保護(hù)能力的等級(jí)，與C級(jí)相比是高安全等級(jí)，對(duì)一般的重要應(yīng)用基本可以滿足安全要求；B3和A1屬于最高安全等級(jí)，其成本增加很多，只是極其重要的應(yīng)用才需要使用這種安全等級(jí)的設(shè)備。,容錯(cuò)計(jì)算機(jī)系統(tǒng),可以分為兩種類型：軟件容錯(cuò)和硬件容錯(cuò)。 1.軟件容錯(cuò)（備份方式） 容錯(cuò)系統(tǒng)由工作站和備份機(jī)兩臺(tái)計(jì)算機(jī)組成，當(dāng)發(fā)現(xiàn)工作機(jī)出錯(cuò)時(shí)將工作轉(zhuǎn)到備份機(jī)。其容錯(cuò)原理是在軟件中設(shè)一些定時(shí)檢測(cè)點(diǎn)。 2.硬件容錯(cuò)（表決方式） 容錯(cuò)系統(tǒng)采用冗余技術(shù)多數(shù)表決方式檢測(cè)差錯(cuò)，判斷正確值，使工作繼續(xù)運(yùn)行。 不論軟件容錯(cuò)還是硬件容錯(cuò)，磁盤(pán)存儲(chǔ)器都應(yīng)當(dāng)采用鏡像方式。,6.2 Intranet網(wǎng)絡(luò)安全要求,Intranet網(wǎng)絡(luò)安全需求主要有： 身份驗(yàn)證 授權(quán)控制 通信加密 數(shù)據(jù)完整性 防止否認(rèn)。,1.身份驗(yàn)證 在單機(jī)狀態(tài)下的身份認(rèn)證一般可以分幾種類型：一是雙方共同享有某個(gè)秘密；二是采用硬件設(shè)備；三是根據(jù)人的生理特征。 網(wǎng)絡(luò)環(huán)境下的身份驗(yàn)證更加復(fù)雜，主要是要考慮到驗(yàn)證身份的雙方一般是通過(guò)網(wǎng)絡(luò)而非直接交互，所以目前一般采用的是基于對(duì)稱密鑰加密或公開(kāi)密鑰加密的方法，采用高強(qiáng)度的密碼技術(shù)來(lái)進(jìn)行身份認(rèn)證的。,2.授權(quán)控制 授權(quán)控制是控制不同用戶對(duì)信息資源訪問(wèn)權(quán)限，對(duì)授權(quán)控制的要求主要有： （1）一致性，也就是對(duì)信息資源的控制沒(méi)有二義性，各種定義之間不沖突。 （2）統(tǒng)一性，對(duì)所有信息資源進(jìn)行集中管理，安全政策統(tǒng)一貫徹。 （3）要求有審計(jì)功能，對(duì)所有授權(quán)有記錄可以核查。 （4）盡可能地提供細(xì)粒度的控制。,3.通信加密 主要有兩大類： 1.基于對(duì)稱密鑰加密的算法，即私鑰算法； 2.基于非對(duì)稱密鑰的加密算法也稱公鑰算法。 加密手段，一般分為軟件加密和硬件加密兩種，軟件加密技術(shù)低且實(shí)用靈活，更換方便；硬件加密效率高，本身安全性高?？梢愿鶕?jù)不同需要采用不同的方法，密鑰管理包括密鑰產(chǎn)生、分發(fā)、更換等，是數(shù)據(jù)保密的重要一環(huán)。,4.數(shù)據(jù)完整性 數(shù)據(jù)完整性是值通過(guò)網(wǎng)上傳輸?shù)臄?shù)據(jù)應(yīng)防止被修改、刪除、插入、替換或重發(fā)，以保證合法用戶接受和使用該數(shù)據(jù)的真實(shí)性。 5防止否認(rèn) 接受方要對(duì)方保證不能否認(rèn)收到的信息是發(fā)送方發(fā)出的信息，而不是被他人冒名、篡改過(guò)的信息。發(fā)送方也會(huì)要求對(duì)方不能否認(rèn)已經(jīng)收托妥的信息，防止否認(rèn)對(duì)金融電子化系統(tǒng)很重要。電子簽名的主要的目的是防止抵賴、防止否認(rèn)，給仲裁提供證據(jù)。,（美國(guó)）可信計(jì)算機(jī)系統(tǒng)評(píng)級(jí)準(zhǔn)則將系統(tǒng)分為四類七級(jí)： D級(jí)，安全保護(hù)欠缺級(jí)。 C1級(jí)，自主安全保護(hù)級(jí)。 C2級(jí)，受控存取保護(hù)級(jí)。 B1級(jí)，標(biāo)識(shí)安全保護(hù)級(jí)。 B2級(jí)，結(jié)構(gòu)化保護(hù)級(jí)。 B3級(jí)，安全域級(jí)。 A1級(jí)，驗(yàn)證設(shè)計(jì)級(jí).,6.3 信息系統(tǒng)安全技術(shù)標(biāo)準(zhǔn),歐洲幾個(gè)國(guó)家增加了對(duì)計(jì)算機(jī)系統(tǒng)連續(xù)工作的能力和容錯(cuò)能力的考慮。主要包括一下方面： 1.保密性 計(jì)算機(jī)系統(tǒng)能防止非法泄漏計(jì)算機(jī)數(shù)據(jù)。 2.完整性 計(jì)算機(jī)系統(tǒng)能防止非法修改或刪除計(jì)算機(jī)數(shù)據(jù)和程序。 3.可用性 計(jì)算機(jī)系統(tǒng)能防止非法獨(dú)占計(jì)算機(jī)資源和數(shù)據(jù)。,6.4.1 ISO/OSI安全體系結(jié)構(gòu)及其實(shí)現(xiàn) 6.4.2采用傳統(tǒng)防火墻技術(shù)的網(wǎng)絡(luò)安全體系結(jié)構(gòu) 6.4.3基于DCE分布計(jì)算環(huán)境的網(wǎng)絡(luò)安全體系結(jié)構(gòu),6.4安全體系結(jié)構(gòu),防火墻Firewall，它由過(guò)濾器和Gateway組成。過(guò)濾器的作用是阻止某些類型的通信傳輸，而網(wǎng)關(guān)的作用是提供中繼服務(wù)，以補(bǔ)償過(guò)濾器的效應(yīng)。 過(guò)濾可分為三類：分組過(guò)濾，應(yīng)用級(jí)過(guò)濾，線路過(guò)濾。,1.分組過(guò)濾 工作原理：根據(jù)源和目的地址端口號(hào)來(lái)決定該分組是否要丟掉。過(guò)濾功能發(fā)生在分組接收時(shí)或發(fā)送時(shí)，或兩者兼有，這取決于不同的路由器類型。管理員設(shè)置可接收的機(jī)器和服務(wù)的表，以及不可接收的機(jī)器和服務(wù)的表。這種方法可方便的在主機(jī)或網(wǎng)絡(luò)級(jí)來(lái)接收或拒絕分組，以實(shí)現(xiàn)分組過(guò)濾。,2.應(yīng)用級(jí)過(guò)濾 應(yīng)用級(jí)網(wǎng)關(guān)是Firewall設(shè)計(jì)的另一個(gè)極端，它對(duì)每個(gè)應(yīng)用采用專用的碼。應(yīng)用級(jí)網(wǎng)關(guān)的另一個(gè)優(yōu)點(diǎn)是對(duì)某些環(huán)境是十分關(guān)鍵的，這些環(huán)境易于登錄和控制所有輸入和輸出的通信。 應(yīng)用級(jí)網(wǎng)關(guān)的主要缺點(diǎn)是對(duì)大部分的服務(wù)提供者需要專門(mén)的用戶程序或各種用戶接口。,3.線路級(jí)過(guò)濾 線路級(jí)的網(wǎng)關(guān)中繼TCP連接，常用于輸出連接的控制，呼叫者連到網(wǎng)關(guān)的TCP一個(gè)端口，該端口與另一方的網(wǎng)關(guān)的某個(gè)地址相連。在呼叫期間，網(wǎng)關(guān)的中繼程序拷貝發(fā)送和接收的信號(hào)。在某些情況，線路連線是自動(dòng)進(jìn)行的。該網(wǎng)關(guān)配置成中繼到內(nèi)部機(jī)器的打印端口的專用連接，使用訪問(wèn)控制機(jī)制以確保僅此外部主機(jī)可連接到打印服務(wù)的網(wǎng)關(guān)。 另一些情況，需要指定目的地，以提供連接服務(wù)。這需要在調(diào)用者和網(wǎng)關(guān)之間有一定協(xié)議，該協(xié)議描述所需目的地和服務(wù)，以及網(wǎng)關(guān)返回地出錯(cuò)信號(hào)等，起一個(gè)代理地作用,6.4.3基于DCE分布計(jì)算環(huán)境的網(wǎng)絡(luò)安全體系結(jié)構(gòu),DCE的安全服務(wù)是防止非法用和入侵，同時(shí)也防止進(jìn)網(wǎng)用戶是否進(jìn)行授權(quán)之外的操作和訪問(wèn)，從而保護(hù)系統(tǒng)的安全。DCE的安全服務(wù)包括三個(gè)部分：認(rèn)證、授權(quán)和用戶注冊(cè)。,6.5分布計(jì)算環(huán)境DCE安全平臺(tái),客戶機(jī)/服務(wù)器方安全軟件包括網(wǎng)絡(luò)安全服務(wù)模塊和安全過(guò)濾器。安全服務(wù)模塊是用戶空間的后臺(tái)進(jìn)程，安全過(guò)濾是內(nèi)核空間的模塊。它們?yōu)榫W(wǎng)絡(luò)應(yīng)用提供安全環(huán)境。 網(wǎng)絡(luò)資源管理服務(wù)器提供對(duì)網(wǎng)絡(luò)應(yīng)用訪問(wèn)的存取控制，并且提供對(duì)網(wǎng)絡(luò)連接的記錄監(jiān)控服務(wù)。它能管理整個(gè)虛擬安全網(wǎng)絡(luò)上的網(wǎng)絡(luò)應(yīng)用和資源。 網(wǎng)絡(luò)安全服務(wù)器提供對(duì)虛擬安全網(wǎng)絡(luò)中所有用戶和服務(wù)器的雙向身份驗(yàn)證服務(wù)，并且提供安全通信的手段。,6.7評(píng)估增長(zhǎng)的安全操作代價(jià),安全操作代價(jià)主要有一下幾點(diǎn)： 1.用戶的方便程度。 2.管理的復(fù)雜性。 3.對(duì)現(xiàn)有系統(tǒng)的影響。 4.對(duì)不同平臺(tái)的支持。,基于DCE的安全體系結(jié)構(gòu)和安全系統(tǒng)平臺(tái)具有的特點(diǎn)和性能： （1）DCE不需對(duì)現(xiàn)存網(wǎng)絡(luò)環(huán)境的物理設(shè)備作任何修改，它可簡(jiǎn)單地建立于現(xiàn)有環(huán)境之上。 （2）DCE對(duì)現(xiàn)有計(jì)算網(wǎng)絡(luò)環(huán)境的額外開(kāi)銷很小，在多數(shù)情況下可忽略不計(jì)。 （3）客戶方能支持DCEAPI和語(yǔ)義，支持INTERNET類型應(yīng)用的特性，可與非DCE的應(yīng)用程序直接結(jié)合