1、网络安全技术2022-5-311网络安全体系结构与安全技术网络安全体系结构与安全技术网络技术系 田宏政2022-5-31网络技术系网络技术系 田宏政田宏政 2安全层次体系结构安全层次体系结构防火墙防火墙安全网关安全网关VPNVPN反病毒反病毒风险评估风险评估入侵检测入侵检测审计分析审计分析用户用户/组管理组管理单机登录单机登录身份认证身份认证访问控制访问控制授权授权加密加密存储备份存储备份2022-5-31网络技术系网络技术系 田宏政田宏政 3重点安全管理安安全全体体系系物理安全网络安全信息安全环境安全媒体安全设备安全反病毒审计监控安全检测访问控制备份恢复传输安全储存安全用户鉴权内容审计网络安
2、全体系结构网络安全体系结构2022-5-31网络技术系网络技术系 田宏政田宏政 4访问控制传输安全用户鉴权安全检测出入控制存取控制安全扫描入侵检测口令机制智能卡主体特征传输数据加密数据完整鉴别防抵赖数字证书控制表技术攻击技术口令技术加密技术安全协议网络安全体系结构网络安全体系结构2022-5-31网络技术系网络技术系 田宏政田宏政 5网络信息安全的关键技术2022-5-31网络技术系网络技术系 田宏政田宏政 6安全产品集成防火墙防火墙访问控制访问控制防病毒防病毒入侵检测入侵检测 虚拟专用网虚拟专用网 漏洞评估漏洞评估2022-5-31网络技术系网络技术系 田宏政田宏政 7网络体系结构及各层的安
3、全性安全管理与审计安全管理与审计物理层安全网络层安全传输层安全应用层安全链路层物理层网络层传输层应用层表示层会话层审计与监控身份认证数据加密数字签名完整性鉴别端到端加密 访问控制 点到点链路加密物理信道安全l访问控制l数据机密性l数据完整性l用户认证l防抵赖l安全审计网络安全层网络安全层次次层次层次模型模型网络安全网络安全技术技术实现安实现安全目标全目标用户安全2022-5-31网络技术系网络技术系 田宏政田宏政 8TCP/IPTCP/IP网络的四层结构模型网络的四层结构模型v OSIOSI参考模型与参考模型与TCP/IPTCP/IP模型对比模型对比2022-5-31网络技术系网络技术系 田宏
4、政田宏政 9TCP/IPTCP/IP层次结构图层次结构图 2022-5-31网络技术系网络技术系 田宏政田宏政 10安全模型安全模型v网络安全是动态的。 攻击与反攻击是永恒的矛盾。v安全是相对的。 安全有时限性; 需要不断的更新、加强安全措施。v安全策略为达到预期安全目标而制定的一套安全服务准则。v安全模型为实现安全策略设定的目标而构建的安全框架。 两种模型:P2DR模型和PDRR模型。2022-5-31网络技术系网络技术系 田宏政田宏政 11P2DR模型模型v P2DR(Policy策略,Protection防护,Detection检测,Response响应)模型20世纪90年代末,由ISS
5、(Internet Security Systems Inc.美国国际互联网安全系统公司)提出;在整体策略的控制和指导下,在运用防护工具保证系统运行的同时,利用检测工具评估系统的安全状态,通过响应工具将系统调整到相对安全和风险最低的状态;防护、检测和响应组成了一个完整的、动态的安全循环,在安全策略的指导下保证系统的安全,如下图所示。检测(D)策略(策略(P)防护(P)响应(R)2022-5-31网络技术系网络技术系 田宏政田宏政 12策略(策略(Policy)v策略是P2DR模型的核心,描述了在网络安全管理过程中必须遵守的原则,所有的防护、检测和响应都是依据安全策略进行实施的。v策略的制定需要
6、综合考虑整个网络的安全需求,一旦制定,成为整个网络安全行为的准则。v建立安全策略是实现安全的最首要工作,也是实现安全技术管理与规范的第一步。2022-5-31网络技术系网络技术系 田宏政田宏政 13防护(防护(Protection)v防护就是采用一切手段保护计算机网络系统的机密性、完整性、可用性、可控性和不可抵赖性,预先阻止产生攻击可以发生的条件,让攻击者无法顺利地入侵。v网络安全的第一道防线,采用静态的安全技术来实现,如防火墙、认证技术、加密等。v分为三大类: 系统安全防护保护操作系统 网络安全防护管理与传输安全 信息安全防护数据安全性2022-5-31网络技术系网络技术系 田宏政田宏政 1
7、4检测(检测(Detection)和响应()和响应(Response)v检测: 网络安全的第二道防线。 通过工具对网络进行监视和检查,发现新的危胁时进行反馈并及时做出有效的响应。 检测对象:系统自身的脆弱性和外部威胁。 与防护的区别和联系。v响应: 检测出问题后的处理措施。2022-5-31网络技术系网络技术系 田宏政田宏政 15P2DR模型特点模型特点v优点: 采用被动防御与主动防御相结合的方式,是目前比较科学的安全模型。v弱点: 忽略了内在的变化因素(人员流动、人员素质、策略的贯彻情况)。2022-5-31网络技术系网络技术系 田宏政田宏政 16PDRR模型模型vPDRR模型(Protec
8、tion,Detection,Response,Recovery)v由美国近年提出。v恢复:系统受到入侵后,恢复到原来状态。vPDRR模型的目标是尽可能地增大保护时间,减少检测和响应时间,尽快恢复以减少系统暴露时间。防护防护检测检测响应响应恢复恢复攻击成功失败成功成功失败失败2022-5-31网络技术系网络技术系 田宏政田宏政 17本学期介绍的主要安全技术本学期介绍的主要安全技术v密码学及认证技术v操作系统和数据库安全技术v服务器集群技术v数据容灾和备份恢复技术v应用系统安全技术vVPN技术v防火墙技术v入侵检测技术v病毒防范技术v安全检测与评估技术2022-5-31网络技术系网络技术系 田宏政田宏政 18思考与讨论思考与讨论v网络安全涉及到的技术很多,有些本身就是一门独立的学科,让你感兴趣的有哪些?v你接触和了解过哪些技术?v有没有哪几种技术是值得你去花时间研究的?
