《计算机网络安全技术(第二版).ppt》由会员分享,可在线阅读,更多相关《计算机网络安全技术(第二版).ppt(505页珍藏版)》请在三一办公上搜索。
1、整理课件,普通高等教育“十一五”国家级规划教材21世纪高职高专新概念教材,计算机网络安全技术(第二版),整理课件,第一篇 安全技术基础,第1章 计算机网络安全技术概论,整理课件,本章学习目标,计算机网络安全系统的脆弱性P2DR安全模型和PDRR网络安全模型Internet网络体系层次结构、网络安全体系结构框架5种安全服务和8种安全机制计算机网络安全的三个层次可信计算机系统评估标准,整理课件,定义,从狭义的保护角度来看,计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害,即是指计算机、网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破
2、坏、更改、泄露,确保系统能连续可靠正常地运行,使网络服务不中断。,从广义来说,凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。所以,广义的计算机网络安全还包括信息设备的物理安全性,诸如场地环境保护、防火措施、防水措施、静电防护、电源保护、空调设备、计算机辐射和计算机病毒等。,整理课件,1.1计算机网络安全系统的脆弱性,操作系统的安全脆弱性 网络系统的安全脆弱性网络安全的脆弱性计算机硬件系统的故障 软件本身的“后门”软件的漏洞,数据库管理系统的安全脆弱性 防火墙的局限性 天灾人祸 有意 无意 其他方面的原因,总之,系统自身的脆弱和不
3、足,是造成计算机网络安全问题的内部根源。但系统本身的脆弱性、社会对系统应用的依赖性这一矛盾又将促进计算机网络安全技术发展和进步,整理课件,1.2 安全模型,计算机网络系统安全是一个系统工程,必须保证网络设备和各个组件的整体安全性。安全的概念是相对的,任何一个系统都具有潜在的危险,没有绝对的安全。在一个特定的时期内,在一定的安全策略下,系统可能是安全的。但是,随着攻击技术的进步、新漏洞的暴露,系统可能会变得不安全了。因此,安全具有动态性,需要适应变化的环境并能做出相应的调整以确保计算机网络系统的安全。,整理课件,1.2.1 P2DR安全模型,美国国际互联网安全系统公司(ISS)提出的P2DR安全
4、模型是指:策略(Policy)、防护(Protection)、检测(Detection)和响应(Response)。如图所示。,整理课件,P2DR安全模型描述,策略当设计所涉及的那个系统在进行操作时,必须明确在安全领域的范围内,什么操作是明确允许的,什么操作是一般默认允许的,什么操作是明确不允许的,什么操作是默认不允许的。安全策略一般不作出具体的措施规定,也不确切说明通过何种方式能才够够达到预期的结果,但是应该向系统安全实施者们指出在当前的前提下,什么因素和风险才是最重要的。防护 系统安全防护网络安全防护信息安全防护,检测 检测是动态响应和加强防护的依据,是强制落实安全策略的工具,通过不断地检
5、测和监控网络及系统,来发现新的威胁和弱点,通过循环反馈来及时做出有效的响应 响应 响应就是在检测到安全漏洞或一个攻击(入侵)事件之后,及时采取有效的处理措施,避免危害进一步扩大,目的是把系统调整到安全状态,或使系统提供正常的服务。通过建立响应机制和紧急响应方案,能够提高快速响应的能力。,整理课件,1.2.2 PDRR网络安全模型,网络安全的整个环节可以用一个最常用的安全模型PDRR模型来描述。如图所示。PDRR就是防护(Protection)、检测(Detection)、响应(Response)、恢复(Recovery)4个英文单词的头一个字符,整理课件,PDRR安全模型中安全策略的前三个环节
6、与P2DR安全模型中后三个环节的内涵基本相同,不再赘述。最后一个环节“恢复”,是指在系统被入侵之后,把系统恢复到原来的状态,或者比原来更安全的状态。系统的恢复过程通常需要解决两个问题:一是对入侵所造成的影响进行评估和系统的重建,二是采取恰当的技术措施。系统的恢复主要有重建系统、通过软件和程序恢复系统等方法。详见本书4.3节。,整理课件,1.3 网络安全体系结构,计算机网络安全体系结构是网络安全最高层的抽象描述,在大规模的网络工程建设和管理,以及基于网络的安全系统的设计与开发过程中,需要从全局的体系结构角度考虑安全问题的整体解决方案,才能保证网络安全功能的完备性与一致性,降低安全的代价和管理的开
7、销。这样一个安全体系结构对于网络安全的理解、设计、实现与管理都有重要的意义。,整理课件,1.3.1 开放式系统互联参考模型(OSI/RM)(1),整理课件,1.3.1 开放式系统互联参考模型(OSI/RM)(2),整理课件,1.3.2 Internet网络体系层次结构(1),现在Internet使用的协议是TCP/IP协议。TCP/IP协议是一个四层结构的网络通信协议组,这四层协议分别是:物理网络接口层协议、网际层协议、传输层协议和应用层协议。TCP/IP模型及所包含的协议、基于TCP/IP协议的Internet与OSI参考模型的体系结构对比如图所示。,整理课件,1.3.2 Internet网
8、络体系层次结构(2),网络接口层网络接口层定义了Internet与各种物理网络之间的网络接口。该协议层接收上层(IP层)的数据并把它封装成对应的、特定的帧,或者从下层物理网接收数据帧并从帧中提取数据报文,然后提交给IP层。网际层网际层是网络互联层,负责相邻计算机之间的通信,提供端到端的分组传送、数据分段与组装、路由选择等功能。该层使用的协议有IP、ICMP等。其功能包括三个方面:处理来自传输层的分组发送请求;处理输入数据报文;处理ICMP报文、路由、流控、阻塞等问题,传输层为应用层的应用进程或应用程序提供端到端的有效、可靠的连接以及通信和事务处理,该层使用的协议有TCP与UDP。应用层位于TC
9、P/IP协议的最上层,向用户提供一组应用程序和各种网络服务,比如文件传输、电子邮件等。该层使用的协议很多,主要包括:Telnet、FTP、SMTP、DNS、NFS(实现主机间文件系统的共享)、BOOTP(用于无盘主机的启动)、RPC(实现远程主机的程序运行)、SNMP(实现网络管理的协议)等。,整理课件,1.3.3 网络安全体系结构框架,对于整个网络安全体系,从不同得层面来看,包含的内容和安全要求不尽相同。从消息的层次来看,主要包括:完整性、保密性、不可否认性从网络层次来看,主要包括:可靠性、可控性、可操作性。保证协议和系统能够互相连接、可计算性。从技术层次上讲,主要包括:数据加密技术、防火墙
10、技术、攻击检测技术、数据恢复技术等。从设备层次来看,主要包括:质量保证、设备冗余备份、物理安全等。,整理课件,计算机网络系统的安全空间,一般把计算机网络安全看成一个由多个安全单元组成的集合。其中,每一个安全单元都是一个整体,包含了多个特性。可以从安全特性的安全问题、系统单元的安全问题以及开放系统互连(ISO/OSI)参考模型结构层次的安全问题等三个主要特性去理解一个安全单元。所以安全单元集合可以用一个三维的安全空间去描述它,如图所示。,整理课件,1、安全特性的安全问题:安全特性指的是该安全单元能解决什么安全威胁。一般来说,计算机网络的安全威胁主要关心人的恶意行为可能导致的资源(包括信息资源、计
11、算资源、通信资源)被破坏、信息泄漏、篡改、滥用和拒绝服务。2、OSI参考模型的安全问题:OSI参考模型的每一层都有不同的安全问题。,整理课件,3、系统单元的安全问题,系统单元的安全问题指的是该安全单元解决什么系统环境的安全问题。对于Internet,可以从四个不同的环境来分析其安全问题。物理环境的安全问题:物理环境是指硬件设备、网络设备等。它包含该特性的安全单元解决物理环境的安全问题。网络系统本身的安全问题:网络系统中的“网络”指的是网络传输,它包含该特性的安全单元解决网络协议所造成的安全问题,一般是指数据在网络上传输的安全威胁。例如加密技术可以解决数据在网络传输的时候的安全问题。“系统”指的
12、是操作系统。它包含该特性的安全单元解决端系统或者中间系统(网桥、路由器等)的操作系统包含的安全问题。一般是指数据和资源在存储时的安全威胁。应用系统的安全问题:应用系统指的是应用程序在操作系统上的开发、安装和运行。它包含该特性的安全单元解决应用程序所包含的安全问题。一般是指数据在操作及资源使用时遇到的安全威胁。网络管理的安全问题:ISO 7498-2制定了有关安全管理的机制,包括安全域的设置和管理、安全管理信息库、安全管理信息的通信、安全管理应用程序协议及安全机制与服务管理。,整理课件,1.4安全服务与安全机制 1.4.1安全服务的基本类型,设计和使用一个安全系统的最终目的,就是设法消除系统中的
13、部分或全部威胁。探明了系统中的威胁,就要根据安全需求和规定的保护级别,选用适当的安全服务来实现安全保护。ISO对OSI规定了五种级别的安全服务:即对象认证、访问控制、数据保密性、数据完整性、防抵赖。有些安全服务几乎可以在OSI所有层中提供。认证安全服务 访问控制安全服务数据保密性安全服务 数据完整性安全服务 防抵赖安全服务,整理课件,1认证安全服务,认证安全服务是防止主动攻击的重要措施,这种安全服务提供对通信中的对等实体和数据来源的鉴别,它对于开放系统环境中的各种信息安全有重要的作用。认证就是识别和证实。识别是辨别一个对象的身份,证实是证明该对象的身份就是其声明的身份。OSI环境可提供对等实体
14、认证的安全服务和信源认证的安全服务。对等实体鉴别:这种服务当由(N)层提供时,将使(N+1)实体确信与之打交道的对等实体正是它所需要的(N+1)实体。这种服务在连接建立或在数据传送阶段的某些时刻提供使用,用以证实一个或多个实体的身份。数据源发鉴别:这种服务当由(N)层提供时,将使(N+1)实体确信数据来源正是所要求的对等(N+1)实体。数据源发鉴别服务对数据单元的来源提供确认。这种服务对数据单元的重复篡改不提供保护。,整理课件,2访问控制安全服务,访问控制安全服务是针对越权使用资源和非法访问的防御措施。访问控制大体可分为自主访问控制和强制访问控制两类。其实现机制可以是基于访问控制属性的访问控制
15、表(或访问控制路),或基于“安全标签”、用户分类和资源分档的多级访问控制等。访问控制安全服务主要位于应用层、传输层和网络层。它可以放在通信源、通信目标或两者之间的某一部分。,整理课件,3数据保密性安全服务,数据保密性安全服务是针对信息泄露、窃听等被动威胁的防御措施。可细分为:信息保密:保护通信系统中的信息或网络数据库数据。而对于通信系统中的信息,又分为面向连接保密和无连接保密:连接机密性这种服务为一次(N)连接上的全部(N)用户数据保证其机密性。无连接机密服务为单个无连接的(N)SDU中的全部(N)用户数据保证其机密性。数据字段保密:保护信息中被选择的部分数据段;这些字段或处于(N)连接的(N
16、)用户数据中,或为单个无连接的(N)SDU中的字段。业务流保密:防止攻击者通过观察业务流,如信源、信宿、转送时间、频率和路由等来得到敏感信息,整理课件,4数据完整性安全服务,数据完整性安全服务是针对非法地篡改和破坏信息、文件和业务流而设置的防范措施,以保证资源的可获得性。这组安全服务又细分为:基于连接的数据完整:这种服务为(N)连接上的所有(N)用户数据提供完整性,可以检测整个SDU序列中的数据遭到的任何篡改、插入、删除或重放。同时根据是否提供恢复成完整数据的功能,区分为有恢复的完整性服务和无恢复的完整性服务。基于数据单元的数据完整性:这种服务当由(N)层提供时,对发出请求的(N+l)实体提供
17、数据完整性保证。它是对无连接数据单元逐个进行完整性保护。另外,在一定程度上也能提供对重放数据单元检测。基于字段的数据完整性:这种服务为有连接或无连接通信的数据提供被选字段的完整性服务,通常是确定被选字段是否遭到了篡改。,整理课件,5防抵赖安全服务,防抵赖安全服务是针对对方进行抵赖的防范措施,可用来证实已发生过的操作。这组安全服务可细分为:数据源发证明的抗抵赖,它为数据的接收者提供数据来源的证据,这将使发送者谎称未发送过这些数据或否认他的内容的企图不能得逞。交付证明的抗抵赖,它为数据的发送者提供数据交付证据,这将使得接收者事后谎称未收到过这些数据或否认它的内容的企图不能得逞。通信双方互不信任,但
18、对第三方(公证方)则绝对信任,于是依靠第三方来证实已发生的操作。,整理课件,1.4.2支持安全服务的基本机制,为了实现上述5种安全服务,ISO 7408-2中制定了支持安全服务的8种安全机制,它们分别是:加密机制(Enciphrement Mechanisms)数字签名机制(Digital Signature Mechanisms)访问控制机制(Access Control Mechanisms)数据完整性机制(Data Integrity Mechanisms)鉴别交换机制(Authentication Mechanisms)通信业务填充机制(Traffic Padding Mechanis
19、ms)路由控制机制(Routing Control Mechanisms)公证机制(Notarization Mechanisms)安全机制可以分为两类,一类是与安全服务有关,它们被用来实现安全服务;另一类与管理功能有关,它们被用于加强对安全系统的管理,整理课件,1.4.3安全服务和安全机制的关系,整理课件,1.4.4 安全服务与网络层次的关系,ISO的开放系统互连参考模型的七个不同层次各自完成不同的功能,相应地,在各层需要提供不同的安全机制和安全服务,为各系统单元提供不同的安全特性。如图所示。,整理课件,1安全服务层次认证服务,物理层不具备认证服务的参数要求;链路层不具备认证服务的服务和效益
20、要求;网络层上具备进行网络主机和设备级认证的参数要求,可以满足数据通信对网关的选择的服务要求,同时可以满足网络通信管理信息的来源认证要求;传输层具备网络通信中系统端口级认证的参数要求,在一个连接的开始前和持续过程中能够提供两个或多个通信实体的进程级认证服务。作为OSI模型中最低的满足端认证参数要求的层次,可以为应用层实体提供认证服务;应用层可以提供和满足应用实体问的特殊或专项认证服务。,整理课件,1安全服务层次数据保密服务,物理层可通过成对插入透明的电气转换设备实现线路信号的保密,通过线路物理特性可提供电磁辐射控制,物理层保密服务相对简单透明,但只能抵抗线路切入攻击。链路层可以提供相邻的节点问
21、交换数据的保密,从保密作用上看,与物理层一致,与物理层保密服务构成冗余的线路保密服务。网络层具备建立网络主机和设备及保密服务条件,在网关上可以提供中继式保密机制或分段式保密机制。但这种保密服务精细到主机或网段级,即认为保密服务相关的主机或网关是可信的,提供的保密服务是一致的。传输层具备建立网络服务端口级的端端交换数据的保密,因而,可以区分不同端口问数据交换保密需求。同时,传输层提供的保密是端端的,传输中间的节点不参与这种数据保密服务。应用层具备建立应用进程间的交换数据保密服务条件,但也增加了保密服务参数管理复杂性,相对低层保密服务而言,对网络主机的密码算法和密钥管理提出了更高的要求,整理课件,
22、1安全服务层次数据完整服务,物理层没有检测或恢复机制,不具备数据完整服务条件链路层具备相邻的节点之间的完整服务条件,但对网络上的每个节点增加了系统时空开销,而提供的完整性不是最终意义的完整,所以提供这种服务被认为具备效益条件。就数据完整性保障而言,网络层与链路层相似,也被认为不具备效益条件。对网络层实体,它们自己产生和管理的网络管理信息的完整服务是必须的,但这种服务是网络层内部的需要,不对高层开放。因而不是我们所指的数据完整服务,更应该作为网络层内部机制处理。传输层因为提供了真正的端到端的连接,因而,被认为最适宜提供数据完整服务,不过通常传输层提供的数据完整是不具备语义完整服务性能。应用层可以
23、建立应用实体相关的语义级完整服务。,整理课件,1安全服务层次访问控制服务,物理层和链路层不具备访问控制服务的参数要求,这是因为没有可用于这样一种访问控制机制的端设备。网络层可以确立网络层实体的标识,如精细到网络设备或主机级访问主体和客体标识,因而,可以驱动基于网络设备、主机、网段或子网的访问控制机制,提供网络层实体访问控制服务。这种服务所控制的对象的粒度是非常粗糙的,它仅在网络层的实体之间有所不同,但正因为如此,其控制和保护的范围也相对广泛。与网络层道理相同,传输层可提供基于网络服务端口的访问控制机制,控制端到端之间数据共享或设备共享。应用层能提供应用相关的访问控制服务,将访问控制建立在应用层
24、实体,如应用进程或所代表的用户,将保护精细到具体应用过程中涉及的共享资源。,整理课件,1安全服务层次抗抵赖服务,抗抵赖服务必须具备完整的证明信息和公证机制。显然在传输层以下都不具备完整的证明信息交换条件。抗抵赖服务的证明信息的管理与具体服务项目密切相关,与公证机制相关,因而,传输层本身也难以胜任,通常都建立在应用层之上。,整理课件,2网络各层提供的安全服务,通过上述对网络安全服务层次关系的分析得知:某种安全服务只能由ISO/OSI网络7层中的某一(些)特定层有选择的提供,并不是在所有各层都能实现。ISO的开放系统互连参考模型各层上能够提供的安全服务如表所示。下表说明:Y服务应该作为提供者的一种
25、选项被并进入该层的标准之中。不提供。#就第7层而言,应用进程本身可以提供安全服务。,整理课件,整理课件,1.5计算机网络安全的三个层次,措施是方针、政策和对策的体现和落实。计算机网络安全的实质就是安全立法、安全技术和安全管理的综合实施。这三个层次体现了安全策略的限制、监视和保障职能。所有计算机用户都要遵循安全对策的一般原则,采取具体的组织技术措施。,整理课件,1.5.1安全立法,我国从1994年起制定发布了中华人民共和国计算机信息系统安全保护条例等一系列计算机网络安全方面的法规。这些法规主要涉及到五个方面。计算机网络安全及信息系统安全保护国际联网管理商用密码管理计算机病毒防治安全产品检测与销售
26、,整理课件,1.5.2安全技术,安全技术措施是计算机网络安全的重要保证,是方法、工具、设备、手段乃至需求、环境的综合,也是整个系统安全的物质技术基础。计算机网络安全技术涉及的内容很多,尤其是在网络技术高速发展的今天,不仅涉及计算机和外部、外围设备,通信和网络系统实体,还涉及到数据安全、软件安全、网络安全、数据库安全、运行安全、防病毒技术、站点的安全以及系统结构、工艺和保密、压缩技术。安全技术的实施应贯彻落实在系统开发的各个阶段,从系统规划、系统分析、系统设计、系统实施、系统评价到系统的运行、维护及管理。本书涉及的安全技术有如下三篇:物理安全技术网络安全技术 信息安全技术,整理课件,1物理安全技
27、术,物理安全的内容包括环境安全、电磁防护、物理隔离等三个方面。主要涉及计算机机房的安全技术要求,计算机的实体访问控制,计算机设备及场地的防火与防水,计算机系统的静电防护,计算机设备及软件、数据的防盗防破坏措施,屏蔽、滤波技术、接地等电磁防护措施,彻底的物理隔离、协议隔离、物理隔离网闸等物理隔离技术。物理安全技术的具体内容详见本书第2章。,整理课件,2网络安全技术,防火墙技术:详见本书第3章。攻击检测与系统恢复技术:见本书第4章。访问控制技术:见本书第5章。网络存储备份技术:见本书第6章。病毒防治技术:见本书第7章。,整理课件,3信息安全技术,数据库系统安全技术:具体内容见本书第8章。密码技术:
28、具体内容见本书第9章。认证技术:见本书第10章。,整理课件,1.5.3安全管理,安全管理作为计算机网络安全的第三个层次,包括从人事资源管理到资产物业管理,从教育培训、资格认证到人事考核鉴定制度,从动态运行机制到日常工作规范、岗位责任制度等多个方面。这些规章制度是一切技术措施得以贯彻实施的重要保证。所谓“三分技术,七分管理”,正体现于此。本书并没有将安全管理单列,而是将安全管理融于安全技术中,安全管理技术的具体内容详见本书2.5节。,整理课件,1.6安全技术评估标准,由于计算机网络安全系统及其产品固有的敏感性和特殊性,直接影响着国家的安全利益和经济利益。各国政府纷纷采取颁布标准、实行测评和认证制
29、度等方式,对安全产品的研制、生产、销售、使用和进出口实行严格、有效的测试、评估、认证等控制措施。如何评价计算机网络系统的安全性,建立一套完整的、客观的评价准则成了人们关心的热点。本节先叙述国际上最有影响力的两个安全评估标准,再介绍国内的安全评估标准。,整理课件,1.6.1 可信计算机系统评估标准,1983年美国国防部提出了一套可信计算机系统评估标准(TCSEC,Trusted Computer System Evaluation Criteria),将计算机系统的可信程度,即安全等级划分为D、C、B、A四类7级,由低到高。D级暂时不分子级;C级分为C1和C2两个子级,C2比C1提供更多的保护;
30、B级分为B1、B2和B3共3个子级,由低到高;A级暂时不分子级。每级包括它下级的所有特性,从最简单的系统安全特性直到最高级的计算机安全模型技术,不同计算机信息系统可以根据需要和可能选用不同安全保密强度的不同标准。,整理课件,为了使其中的评价方法适用于网络,美国国家计算机安全中心NCSC从网络的角度解释了可信计算机系统评估标准中的观点,明确了可信计算机系统评估标准中所未涉及到的网络及网络单元的安全特性,并阐述了这些特性是如何与可信计算机系统评估标准的评估相匹配的。见下表。现在,可信计算机系统评估标准已成为事实上的国际通用标准。,整理课件,可信计算机系统评估准则及等级,整理课件,1D级,D级是最低
31、的安全形式,整个计算机是不信任的。拥有这个级别的操作系统就像一个门户大开的房子,任何人可以自由进出,是完全不可信的。对于硬件来说,是没有任何保护措施的,操作系统容易受到损害,没有系统访问限制和数据限制,任何人不需要任何帐户就可以进入系统,不受任何限制就可以访问限制就可以访问他人的数据文件。属于这个级别的操作系统有DOS;Windows;Apple的Macintosh System 7.1。,整理课件,2C1级,C级有两个安全子级别:C1和C2。C1级,又称有选择地安全保护或称酌情安全保护(Discretionary Security Protection)系统,它要求系统硬件有一定的安全保护(
32、如硬件有带锁装置,需要钥匙才能使用计算机),用户在使用前必须登记到系统。另外,作为C1级保护的一部分,允许系统管理员为一些程序或数据设立访问许可权限等。,整理课件,3C2级,C2级又称访问控制保护,能够实现受控安全保护、个人帐户管理、审计和资源隔离。C2级针对C1级的不足之处增加了几个特性,引进了访问控制环境(用户权限级别)的特性,该环境具有进一步限制用户执行某些命令或访问某些文件的权限,而且还加入了身份验证级别。另外,系统对发生的事情加以审计(Audit),并写入日志当中,如什么时候开机,那个用户在什么时候从哪儿登录等等,这样通过查看日志,就可以发现入侵的痕迹,如多次登录失败,也可以大致推测
33、出可能有人想强行闯入系统。审计可以记录下系统管理员执行的活动,审计还加有身份验证,这样就可以知道谁在执行这些命令。审核的缺点在于它需要额外的处理器时间和磁盘资源。,整理课件,4B1级,B级中有三个级别,B1级即标号安全保护(Labeled Security Protection),是支持多级安全(比如秘密和绝密)的第一个级别,这个级别说明一个处于强制性访问控制之下的对象,系统不允许文件的拥有者改变其许可权限。即在这一级,对象(如盘区和文件服务器目录)必须在访问控制之下,不允许拥有者更改它们的权限。B1级安全措施的计算机系统,随着操作系统而定。政府机构和系统安全承包商是B1及计算机系统的主要拥有
34、者。,整理课件,5B2级,B2级,又叫做结构保护(Structured Protection),要求计算机系统中所有的对象都加标签,而且给设备(磁盘,磁带和终端)分配单个或多个安全级别。这里提出了较高安全级别的对象与另一个较低安全级别的对象通信的第一个级别。,整理课件,6B3级,B3级又称安全域级别(Security Domain),使用安装硬件的方式来加强域,例如,内存管理硬件用于保护安全域免遭无授权访问或其他安全域对象的修改。该级别也要求用户通过一条可信任途径连接到系统上。B3级可以实现:引用监视器参与所有主体对客体的存取,以保证不存在旁路。审计跟踪能力强,可以提供系统恢复过程。支持安全管
35、理员角色。用户终端必须通过可信通道才能实现对系统的访问防止篡改。,整理课件,7A级,A级也称为验证保护级或验证设计(Verity Design),是当前的最高级别,包括一个严格的设计、控制和验证过程。与前面提到的各级别一样,这一级别包含了较低级别的所有特性。设计必须是从数学角度上经过验证的,而且必须进行秘密通道和可信任分布的分析。可信任分布(Trusted Distribution)的含义是:硬件和软件在物理传输过程中已经受到保护,以防止破坏安全系统。,整理课件,1.6.2 信息系统评估通用准则,从1990年起,国际标准化组织ISO开始制定一个通用的国际安全评价准则,并且由联合技术委员会的第2
36、7分会的第3工作组具体负责。国际通用准则(CC)是ISO统一现有多种准则的结果,是目前最全面的评价准则。CC认为信息技术安全可以通过在开发、评价和使用中所采用的措施来达到。它清楚地提出了对信息技术安全产品和系统的功能需求和保证需求。功能需求定义了必需的安全行为;保证需求是得到用户信任的基础,以保证所宣称的安全措施是有效的并得到了正确的实现。在评估过程中具有信息安全功能的产品和系统被称为评估对象(TOE),如操作系统、计算机网络、分布式系统以及应用等。CC不包括那些与信息技术安全措施没有直接关联的属于行政性管理安全措施的安全性评估;不专门针对信息技术安全技术物理方面的评估;也不包括密码算法强度等
37、方面的评估。,整理课件,CC要点,安全的层次框架:自下而上。安全环境:使用评估对象时须遵照的法律和组织安全政策以及存在的安全威胁。安全目的:对防范威胁、满足所需的组织安全政策和假设声明。评估对象安全需求:对安全目的的细化,主要是一组对安全功能和保证的技术需求。评估对象安全规范:对评估对象实际实现或计划实现的定义。评估对象安全实现:与规范一致的评估对象实际实现。,整理课件,1.6.3 安全评估的国内通用准则,信息系统安全划分准则我国也制定了计算机信息系统安全等级划分准则。国家标准GB17859-99是我国计算机信息系统安全等级保护系列标准的核心,是实行计算机信息系统安全等级保护制度建设的重要基础
38、。此标准将信息系统分成5个级别,分别是用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。信息系统安全有关的标准随着CC标准的不断普及,我国也在2001年发布了GB/T 18336标准,这一标准等同采用ISO/IEC 15408-3:信息技术、安全技术、信息技术安全性评估准则。,整理课件,习题一,简述计算机网络安全的定义。计算机网络系统的脆弱性主要表现在哪几个方面?试举例说明。简述P2DR安全模型的涵义。简述PDRR网络安全模型的涵义。简述Internet网络体系层次结构。简述网络安全体系结构框架。ISO对OSI规定了哪5种级别的安全服务?制定了支持安全服务的哪8种安
39、全机制?试述安全服务和安全机制之间的关系以及安全服务与层的关系。计算机网络安全的三个层次的具体内容是什么?简述可信计算机系统评估标准的内容。简述信息系统评估通用准则、安全评估的国内通用准则的要点。,整理课件,第二篇 实体安全防护与安全管理技术,第2章实体安全防护与安全管理技术,整理课件,本章学习目标,物理安全的定义、目的和内容计算机房场地环境的安全要求电磁干扰及电磁防护的措施,重点关注屏蔽技术和滤波技术物理隔离技术计算机网络安全管理的定义、功能、逻辑结构模型。简单网络管理协议(SNMP)和公共管理信息协议(CMIP)。计算机网络安全管理的基本原则与工作规范。,整理课件,定义,实体安全(Phys
40、ical Security)又叫物理安全,是保护计算机设备、设施(含网络)免遭地震、水灾、火灾、有害气体和其他环境事故(如电磁污染等)破坏的措施和过程。实体安全主要考虑的问题是环境、场地和设备的安全以及实体访问控制和应急处置计划等。实体安全技术主要是指对计算机及网络系统的环境、场地、设备和人员等采取的安全技术措施。,整理课件,2.1物理安全技术概述,实体安全的目的是保护计算机、网络服务器、交换机、路由器、打印机等硬件实体和通信设施免受自然灾害、人为失误、犯罪行为的破坏;确保系统有一个良好的电磁兼容工作环境;把有害的攻击隔离。实体安全的内容主要包括:环境安全电磁防护物理隔离安全管理。,整理课件,
41、实体安全的内容,环境安全:计算机网络通信系统的运行环境应按照国家有关标准设计实施,应具备消防报警、安全照明、不间断供电、温湿度控制系统和防盗报警,以保护系统免受水、火、有害气体、地震、静电的危害。物理隔离:物理隔离技术就是把有害的攻击隔离,在可信网络之外和保证可信网络内部信息不外泄的前提下,完成网络间数据的安全交换,电磁防护:计算机网络系统工作时产生的电磁发射可被高灵敏度的接收设备接收并进行分析、还原,造成系统信息泄漏。外界的电磁干扰也能使计算机网络系统工作不正常,甚至瘫痪。必须通过屏蔽、隔离、滤波、吸波、接地等措施,提高计算机网络系统的抗干扰能力,使之能抵抗强电磁干扰;同时将计算机的电磁泄漏
42、发射降到最低。安全管理:安全管理包含了二方面的内容:一是对计算机网络系统的管理;二是涉及法规建设,建立、健全各项管理制度等内容的安全管理。,整理课件,2.2计算机房场地环境的安全防护2.2.1计算机房场地的安全要求,为保证物理安全,应对计算机及其网络系统的实体访问进行控制。计算机房的设计应考虑减少无关人员进入机房的机会。同时,计算机房应避免靠近公共区域,避免窗户直接邻街,应安排机房在内(室内靠中央位置),辅助工作区域在外(室内周边位置)。在一个高大的建筑内,计算机房最好不要建在潮湿的底层,也尽量避免建在顶层,因顶层可能会有漏雨和雷电穿窗而入的危险。在有多个办公室的楼层内,计算机机房应至少占据半
43、层,或靠近一边。这样既便于防护,又利于发生火警时的撤离。所有进出计算机房的人都必须通过管理人员控制的地点。应有一个对外的接待室,访问人员一般不进入数据区或机房,而在接待室接待。特殊需要进入控制区的,应办理手续。每个访问者和带入、带出的物品都应接受检查。,整理课件,机房建筑和结构从安全角度考虑:,电梯和楼梯不能直接进入机房。建筑物周围应有足够亮度的照明设施和防止非法进入的设施。外部容易接近的进出口应有栅栏或监控措施,而周边应有物理屏障(隔墙、带刺铁丝网等)和监视报警系统,窗口应采取防范措施,必要时安装自动报警设备。机房进出口须设置应急电话。机房供电系统应将动力照明用电与计算机系统供电线路分开,机
44、房及疏散通道应配备应急照明装置。计算机中心周围100m内不能有危险建筑物。进出机房时要更衣、换鞋,机房的门窗在建造时应考虑封闭性能。照明应达到规定标准。,整理课件,2.2.2设备防盗措施,早期的防盗,采取增加质量和胶粘的方法,即将设备长久固定或粘接在一个地点。现在某些便携机也采用机壳加锁扣的方法。国外一家公司发明了一种光纤电缆保护设备。这种方法是将光纤电缆连接到每台重要的设备上,光束沿光纤传输,如果通道受阻,则报警。一种更方便的防护措施类似于图书馆、超级市场使用的保护系统。每台重要的设备、每个重要存储媒体和硬件贴上特殊标签(如磁性标签),一旦被盗或未被授权携带外出,检测器就会发出报警信号。视频
45、监视系统是一种更为可靠的防护设备,能对系统运行的外围环境、操作环境实施监控(视)。对重要的机房,还应采取特别的防盗措施,如值班守卫,出入口安装金属防护装置保护安全门、窗户。,整理课件,2.2.3机房的三度要求,机房内的空调系统、去湿机、除尘器是保证计算机系统正常运行的重要设备之一。通过这三种设备使机房的三度要求:温度、湿度和洁净度得到保证,温度:机房温度一般应控制在1822,即(202)。温度过低会导致硬盘无法启动,过高会使元器件性能发生变化,耐压降低,导致不能工作。湿度:相对湿度过高会使电气部分绝缘性降低,加速金属器件的腐蚀,引起绝缘性能下降;而相对湿度过低、过于干燥会导致计算机中某些器件龟
46、裂,印刷电路板变形,特别是静电感应增加,使计算机内信息丢失、损坏芯片,对计算机带来严重危害。机房内的相对湿度一般控制在40%60为好,即(5010)。洁净度:清洁度要求机房尘埃颗粒直径小于0.5,平均每升空气含尘量小于1万颗。灰尘会造成接插件的接触不良、发热元件的散热效率降低、绝缘破坏,甚至造成击穿;灰尘还会增加机械磨损,尤其对驱动器和盘片。,整理课件,2.2.4防静电措施,静电是由物体间的相互磨擦、接触而产生的。静电产生后,由于它不能泄放而保留在物体内,产生很高的电位(能量不大),而静电放电时发生火花,造成火灾或损坏芯片。计算机信息系统的各个关键电路,诸如CPU、ROM、RAM等大都采用MO
47、S工艺的大规模集成电路,对静电极为敏感,容易因静电而损坏。这种损坏可能是不知不觉造成的。机房内一般应采用乙烯材料装修,避免使用挂毯、地毯等吸尘、容易产生静电的材料。为了防静电机房一般安装防静电地板,并将地板和设备接地以便将物体积聚的静电迅速排泄到大地。机房内的专用工作台或重要的操作台应有接地平板。此外,工作人员的服装和鞋最好用低阻值的材料制作,机房内应保持一定湿度,在北方干燥季节应适当加湿,以免因干燥而产生静电。,整理课件,2.2.5电 源,电源是计算机网络系统正常工作的重要因素。供电设备容量应有一定的富裕量,所提供的功率一般应是全部设备负载的125。计算机房设备最好是采取专线供电,应与其他电
48、感设备(如马达),以及空调、照明、动力等分开;至少应从变压器单独输出一路给计算机使用。为保证设备用电质量和用电安全,电源应至少有两路供电,并应有自动转换开关,当一路供电有问题时,可迅速切换到备用线路供电。应安装备用电源,如长时间不间断电源(UPS),停电后可供电8小时或更长时间。关键的设备应有备用发电机组和应急电源。同时为防止、限制瞬态过压和引导浪涌电流,应配备电涌保护器(过压保护器)。为防止保护器的老化、寿命终止或雷击时造成的短路,在电涌保护器的前端应有诸如熔断器等过电流保护装置。,整理课件,电源线干扰,有六类电源线干扰:中断:三相线中任何一相或多相因故障而停止供电为中断,长时间中断即为关闭
49、。异常中断:是指电压连续过载或连续低电压。电压瞬变:瞬变浪涌是指电压幅值在几个正弦波范围内快速增加或降低.。冲击:冲击又称瞬变脉冲或尖峰电压,它是指在0.5s100s内过高或过低的电压。尖峰一般指瞬时电压超过400V,而下垂电压指瞬时向下的窄脉冲。噪声:电磁干扰EMI(Electromagnetic Interference)是由电源线辐射产生的电磁噪声干扰,射频干扰(RFI)是发射频率30kHz时的电磁干扰。突然失效事件:指由雷击等引起的快速升起的电磁脉冲冲击,致使设备失效。,整理课件,保护装置,电源保护装置有金属氧化物可变电阻(MOV)、硅雪崩二极管(SAZD)、气体放电管(GDT)、滤波
50、器、电压调整变压器(VRT)和不间断电源(UPS)等。金属氧化物可变电阻可吸收尖峰和冲击电压,工作时间1s5ns。SAZD和GDT可使浪涌和尖峰电压分流,从而保护电路。SAZD的工作速度快(10-12s),但不能处理大的浪涌;GDT能处理大的浪涌,但工作速度较慢(只能达10-6s)。滤波器通过保护电路使噪声分流并使浪涌衰减。VRT可在秒级进行异常状态保护。UPS可保护系统,避免断电、下跌、下垂、电源故障、供电不足和其他低电压状态的影响。连续工作的UPS可使计算机不受电源线耦合的影响,保护它们避免灾难的干扰。避雷针和浪涌滤波器可帮助抵抗强电磁脉冲。此外,安装设备时应远离建筑的金属结构,以避免雷击
