1、安 全 概 念Kansas CityDenverClevelandNew YorkAtlantaHoustonPittsburgh MinneapolisColumbusWashingtonPhoenixRaleighTrentonSalt Lake CityWilmingtonDallasNew OrleansLincoln New HavenDetroitMiamiWestfieldNashvillePhiladelphiaIndianapolisNewarkUW Pacific North WestGreat PlainsMRENTexasOne NetDirectly Connecte
2、d ParticipantMAGPIPittsburgh (CMU)MERITMAXMCNCAbileneGigaPoPsCENICOARnetWestnetAlbuquerqueOklahoma CityGigaPop Connected ParticipantAny colorAccess NodeRouter NodeSacramentoOaklandEugeneLos AngelesAnaheim33 Total Access PointsServing 64 MembersSeattle机密数据包括什么内容?数据是怎样产生、存储和传输的?网络各部分是怎样协同工作的(关联性、依赖性)?
3、它是怎样满足每一项工作需要的(应用、数据)?网络是怎样增长的(建设、扩展)?网络怎样“平滑”地完成工作?什么样的资源需要保护?什么是威胁?怎样尽量减少风险对于系统内脆弱的威胁?什么是脆弱性?AuthenticationAuthorizationAccountingAssuranceConfidentialityData IntegrityConnectivityPerformanceEase of UseManageabilityAvailabilityAccessSecurityMax.安全风险安全风险投资、效率与投资、效率与可用性可用性Min.Max.理解安全概念Min.Max.投资额投资
4、额安全性安全性最优平衡点最优平衡点“走不脱”n使用审计、监控、防抵赖等安全机制,使得攻击者、破坏者、抵赖者走不脱。内部网络外部网络内部接口外部接口OSI七层参考模型IP HDRDATAISO7498-2,信息安全体系结构访问控制服务鉴别服务数据完整性服务数据保密服务信息流安全数据源点鉴别数字签名机制加密机制数据完整性机制访问控制机制交换鉴别机制路由控制机制流量填充机制 公证机制OSIOSI安全管理安全管理TCP/IP 协议层安全服务网络接口互联网层传输层应用层对等实体鉴别-YYY数据源鉴别-YYY访问控制服务-YYY连接保密性YYYY无连接保密性YYYY选择域保密性-Y流量保密性YY-Y有恢复
5、功能的连接完整性-YY无恢复功能的连接完整性-YYY选择域连接完整性-Y无连接完整性-YYY选择域非连接完整性-Y源发方不可否认-Y接收方不可否认-YISO7498-2到TCP/IP的映射Public WWWServerCampus BackboneHua-TechFirewallIntranet ServersGatewaySalesOfficeHeadquartersInternetMainframeCSS Secure安 全 技 术q数据库安全技术q物理隔离技术q灾难恢复与备份技术l鉴别,授权和身份认证技术q鉴别 用来验证系统实体和系统资源(如用户、进程、应用)的身份,例如鉴别想访问数据
6、库的人的身份,确定是谁发送了报文,防止有人假冒。q授权 是为完成某项任务而使用资源的权利、特权、许可证的证据,这种授权必须在系统资源的整个操作过程中始终如一地可靠地使用,还可对使用网络服务,访问一些数据的敏感部分,规定特殊的授权要求。 q身份认证系统 加强了原有的基于账户和口令的访问控制,提供了授权、访问控制、用户身份识别、对等实体鉴别、抗抵赖等功能。qOTP:一次一密的认证机制q 动态口令:有基于时钟的动态口令机制q生物技术:生理特征的认证机制,眼睛或手指qIC卡:作为身份的秘密信息存储在IC卡统一口令统一口令规则/配置内部访问拨号访问Internet 访问RADIUS/TACACSMS L
7、oginOTPPKI/CertificatesCOPS/DIAMETERDHCP/DNS mappingLDAP双机冷备/双机热备/负载均衡本地管理/远程管理/集中管理/用户分权界面(CLI/GUI/WEB) 基于弱点漏洞的安全管理(风险管理) 入侵成功三要素 机会/动机/机会 黑客的机会=企业的风险 风险=弱点漏洞+错误(不恰当)配置/误操作 风险识别 风险度量 风险控制 风险管理EncryptedIP HDRIP HDRDATAIPSec HDRDATATransport ModeIP HDRDATAIPSec HDRIP HDRNew IP HDRDATATunnel ModeEncrypted安 全 产 品系统安全安全边界通信安全动态安全桌面安全安全管理授权认证灾难恢复安 全 服 务
