網(wǎng)絡與信息安全資料.ppt

網(wǎng)絡與信息安全 網(wǎng)絡與信息安全概述黑客攻擊與風險分析身份認證及Kerberos協(xié)議Ipsec安全協(xié)議SSL安全協(xié)議防火墻技術VPN技術入侵檢測技術SNMP網(wǎng)絡安全管理網(wǎng)絡安全評估與管理可信計算信息安全法律法規(guī) 信息安全的嚴峻形勢 2006年6月13日 據(jù)微軟公布的安全報告顯示 在2005年1月至2006年3月期間 60 左右的WindowsPC機都感染過惡意代碼 據(jù)稱 美國正在進行的CPU 陷阱 設計 可使美國通過互聯(lián)網(wǎng)發(fā)布指令讓敵方電腦的CPU停止工作 1998年 為了獲得在洛杉磯地區(qū)kiss fm電臺第102個呼入者的獎勵 保時捷跑車 KevinPoulsen控制了整個地區(qū)的電話系統(tǒng) 以確保他是第102個呼入者 最終 他如愿以償獲得跑車并為此入獄三年 2000年1月 日本政府11個省 廳受到黑客攻擊 總務廳的統(tǒng)計信息全部被刪除 外務省主頁3分鐘受攻擊1000余次 日本最高法院主頁2天內(nèi)受攻擊3000余次 日本政府成立反黑特別委員會 撥款24億日元研究入侵檢測技術 追蹤技術 病毒技術和密碼技術 2000年2月 美國近十家著名的互聯(lián)網(wǎng)站遭受黑客攻擊 在短短的幾天內(nèi) 使互聯(lián)網(wǎng)的效率降低20 據(jù)估算 攻擊造成的損失達到12億美元以上 引起股市動蕩 2001年2月8日 新浪網(wǎng)遭受大規(guī)模網(wǎng)絡攻擊 電子郵件服務器癱瘓了18個小時 造成了幾百萬的用戶無法正常使用新浪網(wǎng) 2006年9月13日 百度承認遭受 大規(guī)模的不明身份黑客攻擊 導致百度搜索服務在全國各地出現(xiàn)了近30分鐘的故障 并認為這是有人精心組織策劃的行動 并已經(jīng)向公安機關報案 熊貓病毒 是2006年中國十大病毒之首 它通過多種方式進行傳播 并將感染的所有程序文件改成熊貓舉著三根香的模樣 同時該病毒還具有盜取用戶游戲賬號 QQ賬號等功能 熊貓燒香 是一種蠕蟲病毒的變種 而且是經(jīng)過多次變種而來的 原名為尼姆亞變種W Worm Nimaya w 外交部駁斥我軍方攻擊美國防部網(wǎng)絡傳言 外交部發(fā)言人姜瑜在北京表示 最近有關中國軍方對美國國防部實施網(wǎng)絡攻擊的指責是毫無根據(jù)的 中國政府一貫堅決反對和依法嚴厲打擊包括黑客行為在內(nèi)的任何破壞網(wǎng)絡的犯罪行為 在中美致力于發(fā)展建設性合作關系 中美兩軍關系呈現(xiàn)出良好發(fā)展勢頭的大背景下 有人對中國進行無端指責 妄稱中國軍方對美國國防部實施網(wǎng)絡攻擊 這是毫無根據(jù)的 也是冷戰(zhàn)思維的體現(xiàn) 姜瑜在例行記者會上答記者問 我們認為黑客是一個國際性的問題 中方也經(jīng)常遭到黑客的襲擊 中方愿與其他國家一道 采取措施共同打擊網(wǎng)絡犯罪 在這方面 我們愿意加強國際合作 IBM研究稱黑客攻擊速度加快 據(jù)IBM最新發(fā)表的一份報告稱 越來越多的攻擊在缺陷披露24小時內(nèi)就出現(xiàn)在了互聯(lián)網(wǎng)上 這意味著 許多用戶還沒有來得及了解相關問題前就可能已經(jīng)受到了攻擊 IBM在報告中談到了互聯(lián)網(wǎng)威脅方面兩個日益明顯的趨勢 其一 互聯(lián)網(wǎng)犯罪分子依賴軟件工具 幫助他們利用公開披露的缺陷自動發(fā)動攻擊 過去 犯罪分子自己發(fā)現(xiàn)安全缺陷需要更長的時間 IBM一名高管克里斯 蘭姆 KrisLamb 在接受采訪時說 積極地尋找軟件中缺陷的并非是犯罪分子本人 犯罪分子充分利用了安全研究社區(qū)的成果 他們所需要做的就是利用所獲得的信息發(fā)動攻擊 其二 安全研究人員就應當在多大程度上公開披露安全缺陷資料的爭論愈演愈烈了 大多數(shù)情況下安全研究人員會等待相關廠商發(fā)布補丁軟件后才會公開披露安全缺陷的詳細資料 但有時安全研究人員在公開安全缺陷詳細資料的同時也會發(fā)布所謂的 概念驗證 代碼 以證明安全缺陷確實是存在的 這就可能向犯罪分子提供他們所需要的幫助 縮短他們發(fā)動攻擊所需要的時間 根據(jù)國外一安全軟件廠商公布的一項調(diào)查結果顯示 計算機犯罪分子開始傾向于通過合法的網(wǎng)站來傳播病毒和惡意軟件 這些網(wǎng)站既包括社交網(wǎng)站 也包括人們通常使用的搜索引擎網(wǎng)站 根據(jù)Websense公司的一項調(diào)查顯示 在2008年上半年大約有75 的網(wǎng)站包含有惡意內(nèi)容 這些網(wǎng)站一般都擁有良好的信譽度 而在此之前的6個月中 感染惡意代碼的網(wǎng)站只有50 在全球100強網(wǎng)站中大約有60 或者頁面含有病毒 或者將用戶引導向惡意網(wǎng)站 Websense表示 計算機犯罪分子正在將目標瞄向一些流行的大眾網(wǎng)站 而不是自己建立一個網(wǎng)站 因為前者具有大量的訪問用戶作為其攻擊對象 一旦用戶訪問了被感染的網(wǎng)頁 黑客們就有機會訪問他們的個人信息或者利用他們的計算機作為 僵尸 來進行更廣范圍的攻擊 黑客們還可以在被攻擊者的計算機上安裝間諜軟件 從而跟蹤用戶的每一個操作 Websense的安全研究還發(fā)現(xiàn) 在過去6個月以來 76 5 以上的郵件都包含惡意網(wǎng)站的鏈接或垃圾郵件發(fā)送網(wǎng)站等 該數(shù)據(jù)上升了18 Websense安全實驗室通過ThreatSeeker技術來發(fā)現(xiàn) 分類并監(jiān)測全球范圍內(nèi)的互聯(lián)網(wǎng)威脅狀況和發(fā)展動態(tài) 安全研究人員利用該系統(tǒng)的互聯(lián)網(wǎng)安全智能技術來發(fā)布安全形勢 同時保障用戶的安全 該技術包含5000萬個實時數(shù)據(jù)收集系統(tǒng) 每天可對10億條內(nèi)容進行深入分析 黑客襲擊一市商務局網(wǎng)站局長變成 三點 女郎 從荊州市荊州區(qū)法院獲悉 荊州市商務局網(wǎng)站 被黑 案一審判決 襲擊荊州市商務局網(wǎng)站 將局長照片換成 三點式 女郎 將 局長致辭 改為 慶賀女友生日 的張志東被判處有期徒刑1年半 法院審理查明 2008年12月4日 張志東下載了黑客軟件 在掃描到荊州市商務局網(wǎng)站存在漏洞后 獲取了該網(wǎng)站的管理員賬號和密碼 他登入管理員后臺 將 局長致辭 修改為 為女友祝賀生日 將 局長照片 換成一張 三點式 女郎圖片 截至案發(fā)時 這兩條信息的點擊量分別達4036次和5617次 該網(wǎng)站一時間流量大增 服務器被迫關閉 此事影響了荊州市商務局的形象 并造成了一定的損失 法院審理認為 張志東的行為已構成破壞計算機信息系統(tǒng)罪 但是他能夠投案自首 認罪態(tài)度較好 且系初犯 可酌情從輕處罰 遂一審作出上述判決 威脅計算機系統(tǒng)安全的幾種形式 攻擊復雜程度與入侵技術進步示意圖 弱點傳播及其利用變化圖 多維角度網(wǎng)絡攻擊分類 美國國防部授權美國航天司令部負責美軍計算機網(wǎng)絡攻防計劃 成立網(wǎng)絡防護 聯(lián)合特遣部隊 規(guī)劃 國防部信息對抗環(huán)境 InfoCon 監(jiān)視有組織和無組織的網(wǎng)絡安全威脅 創(chuàng)建整個國防部實施網(wǎng)絡攻防戰(zhàn)的標準模型 訓練計算機操作人員 2002年1月15日 Bill Gates在致微軟全體員工的一封信中稱 公司未來的工作重點將從致力于產(chǎn)品的功能和特性轉移為側重解決安全問題 并進而提出了微軟公司的新 可信計算 Trustworthycomputing 戰(zhàn)略 據(jù)美國 華盛頓觀察 周刊報道 曾經(jīng)被政府追捕的黑客們 一時間在美國成了就業(yè)場上炙手可熱的人才 美軍戰(zhàn)略司令部司令 凱文 希爾頓將軍 Gen KevinP Chilton 近日公開承認 戰(zhàn)略司令部正在征召2000 4000名 士兵 組建一支 特種部隊 這支特種部隊不僅要承擔網(wǎng)絡防御的任務 還將對它國的電腦網(wǎng)絡和電子系統(tǒng)進行秘密攻擊 目前 兩個不同的網(wǎng)絡戰(zhàn)中心在美軍戰(zhàn)略司令部管轄下運行 一個是全球網(wǎng)絡聯(lián)合部隊 JointTaskForce GlobalNetworkOperations 主要負責保護五角大樓在美國本土和全球范圍內(nèi)的網(wǎng)絡系統(tǒng) 應對每天數(shù)十萬起試圖攻入美軍網(wǎng)絡的攻擊 另一個名為 網(wǎng)絡戰(zhàn)聯(lián)合功能構成司令部 JointFunctionalComponentCommandNetworkWarfare 主要職責是對敵人發(fā)動網(wǎng)絡攻擊 例如 在戰(zhàn)時快速侵入敵方電腦網(wǎng)絡系統(tǒng) 癱瘓敵軍的指揮網(wǎng)絡和依靠電腦運行的武器系統(tǒng) 雖然美軍從未公布過網(wǎng)站部隊人數(shù) 但根據(jù)對美軍黑客項目跟蹤了13年的防務專家喬爾 哈丁 JoelHarding 的評估 目前美軍共有3000 5000名信息戰(zhàn)專家 5 7萬名士兵涉足網(wǎng)絡戰(zhàn) 如果加上原有的電子戰(zhàn)人員 美軍的網(wǎng)戰(zhàn)部隊人數(shù)應該在88700人左右 這意味著美軍網(wǎng)戰(zhàn)部隊人數(shù)已經(jīng)相當于七個101空降師 俄羅斯2000年6月批準實施的 國家信息安全學說 把 信息戰(zhàn) 問題放在突出地位 俄羅斯為此專門成立了新的國家信息安全與信息對抗領導機構 建立了信息戰(zhàn)特種部隊 將重點開發(fā)高性能計算技術 智能化技術 信息攻擊與防護技術等關鍵技術 日本防衛(wèi)廳計劃在2001至2005年實施的 中期防衛(wèi)力量配備計劃 中進行電腦作戰(zhàn)研究 通過電腦作戰(zhàn)破壞敵方的指揮通訊系統(tǒng) 加強自衛(wèi)隊的信息防御和反擊能力 據(jù)美國防部官員稱 日本的東芝公司已有能力制造 固化病毒 這種新式的計算機武器 我國在 國民經(jīng)濟和社會發(fā)展第十一個五年規(guī)劃綱要 中明確提出要強化信息安全保障工作 要積極防御 綜合防范 提高信息安全保障能力 強化安全監(jiān)控 應急響應 密鑰管理 網(wǎng)絡信任等信息安全基礎設施建設 發(fā)展咨詢 測評 災備等專業(yè)化信息安全服務 信息安全是信息化可持續(xù)發(fā)展的保障 網(wǎng)絡信息安全已成為急待解決 影響國家大局和長遠利益的重大關鍵問題 信息安全保障能力是21世紀綜合國力 經(jīng)濟競爭實力和生存能力的重要組成部分 網(wǎng)絡信息安全問題如果解決不好將全方位地危及我國的政治 軍事 經(jīng)濟 文化 社會生活的各個方面 使國家處于信息戰(zhàn)和高度經(jīng)濟金融風險的威脅之中 沈昌祥院士信息安全專家 3信息系統(tǒng)的安全體系 信息安全的原始意義是指計算機通信中的數(shù)據(jù) 圖像 語音等信息的保密性 完整性 可用性不受損害 信息安全的概念不斷拓寬 從廣度上 信息安全外延到計算機通信基礎設施的安全運行和信息內(nèi)容的健康合法 從深度上 信息安全又向信息保護與防御的方向發(fā)展 信息安全的基本需求 保密性 confidentiality 信息不被泄露給非授權的用戶 實體或過程 或供其利用的特性完整性 integrity 信息未經(jīng)授權不能進行改變的特性可用性 availability 信息可被授權實體訪問并按需求使用的特性可控性 controllability 可以控制授權范圍內(nèi)的信息流向及行為方式不可否認性 non repudiation 信息的行為人要對自己的信息行為負責 不能抵賴曾有過的信息行為 信息保護及防御IA InformationAssurance 保證信息與信息系統(tǒng)的可用性 完整性 真實性 機密性和不可抵賴性的保護與防御手段 它通過保護 檢測 恢復 反應技術的采用使信息系統(tǒng)具有恢復能力 信息防護的PDRR模型 P2DR安全模型 以安全策略為核心 ISS InternetSecuritySystemsInC 提出 策略 是模型的核心 具體的實施過程中 策略意味著網(wǎng)絡安全要達到的目標 防護 安全規(guī)章 安全配置 安全措施檢測 異常監(jiān)視 模式發(fā)現(xiàn)響應 報告 記錄 反應 恢復 信息安全的互動模型 網(wǎng)絡安全運行管理平臺 SOC securityoperationcenter 安全策略管理模塊作為SOC的中心 它根據(jù)組織的安全目標制定和維護組織的各種安全策略以及配置信息 資產(chǎn)是整個SOC體系的保護對象 SOC是以安全數(shù)據(jù)庫的建立為基礎 安全數(shù)據(jù)庫包括資產(chǎn)庫 漏洞庫威脅庫 病毒信息庫 風險庫等 資產(chǎn)風險管理模塊應基于上述安全數(shù)據(jù)庫對資產(chǎn)的脆弱性 漏洞以及資產(chǎn)面臨的威脅進行收集和管理 網(wǎng)絡安全就像一個無計劃擴張的城區(qū)一樣 因為各種不同的系統(tǒng)和設備以不同的方式相互溝通 如固定的局域網(wǎng) 無線和移動蜂窩網(wǎng)絡 專用廣域網(wǎng) 固定電話網(wǎng)絡和互聯(lián)網(wǎng)等不同的通訊方式 在這個星云狀的網(wǎng)絡領域考慮安全的唯一有效的方法是 分層次 的保護 趨勢科技歐洲 中東和非洲地區(qū)安全總經(jīng)理SimonYoung稱 安全專業(yè)人員 已經(jīng)基本上接受了采取多層次的防御措施防御各種攻擊和威脅的觀點 一種產(chǎn)品或者技術不能防御一切可能的威脅 一種分層次的方法能夠讓企業(yè)建立多條防線 在最基本的層面上 網(wǎng)絡安全包括 使用熟悉的用戶名 口令相結合的方法識別用戶身份 使用卡 USB密鑰或者生物計量 如指紋和視網(wǎng)膜掃描等 等物理形式進行身份識別 或者使用某些方法結合在一起的方式進行身份識別 這對于訪問網(wǎng)絡中更敏感的部分是必要的 下一層是防火墻 防火墻管理識別用戶身份的服務和允許訪問的應用程序 防火墻可以防止網(wǎng)絡邊緣的PC或者服務器上 或者安裝在路由器和交換機等物理網(wǎng)絡硬件上 除了防火墻之外 入侵防御和檢測系統(tǒng)接下來監(jiān)視網(wǎng)絡的狀況 惡意軟件或者可疑的行為 阻止違反網(wǎng)絡管理員定義的規(guī)則和政策的活動 但是 必須強調(diào)的是 沒有任何一種方法是絕對安全的 區(qū)別合法的和不合法的行為的難度還需要人類某種程度的干預 防火墻指的是一個由軟件和硬件設備組合而成 在內(nèi)部網(wǎng)和外部網(wǎng)之間 專用網(wǎng)與公共網(wǎng)之間的界面上構造的保護屏障 防火墻的優(yōu)點 1 防火墻能強化安全策略 2 防火墻能有效地記錄Internet上的活動 3 防火墻限制暴露用戶點 對網(wǎng)絡存取和訪問進行監(jiān)控審計 防火墻能夠用來隔開網(wǎng)絡中一個網(wǎng)段與另一個網(wǎng)段 這樣 能夠防止影響一個網(wǎng)段的問題通過整個網(wǎng)絡傳播 4 防火墻是一個安全策略的檢查站 所有進出的信息都必須通過防火墻 防火墻便成為安全問題的檢查點 使可疑的訪問被拒絕于門外 5 還支持具有Internet服務特性的VPN VPN的英文全稱是 VirtualPrivateNetwork 翻譯過來就是 虛擬專用網(wǎng)絡 虛擬專用網(wǎng) VPN 被定義為通過一個公用網(wǎng)絡 通常是因特網(wǎng) 建立一個臨時的 安全的連接 是一條穿過混亂的公用網(wǎng)絡的安全 穩(wěn)定的隧道 它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路 就好比是架設了一條專線一樣 但是它并不需要真正的去鋪設物理線路 VPN技術原是路由器具有的重要技術之一 目前在交換機 防火墻設備或Windows2kxp等軟件里也都支持VPN功能 虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展 虛擬專用網(wǎng)可以幫助遠程用戶 公司分支機構 商業(yè)伙伴及供應商同公司的內(nèi)部網(wǎng)建立可信的安全連接 并保證數(shù)據(jù)的安全傳輸 虛擬專用網(wǎng)可用于實現(xiàn)安全連接 實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路 用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng) 常用的虛擬專用網(wǎng)絡協(xié)議有 IPSec IPsec 縮寫IPSecurity 是保護IP協(xié)議安全通信的標準 它主要對IP協(xié)議分組進行加密和認證 IPsec作為一個協(xié)議族 即一系列相互關聯(lián)的協(xié)議 由以下部分組成 1 保護分組流的協(xié)議 2 用來建立這些安全分組流的密鑰交換協(xié)議 前者又分成兩個部分 加密分組流的封裝安全載荷 ESP 及較少使用的認證頭 AH 認證頭提供了對分組流的認證并保證其消息完整性 但不提供保密性 目前為止 IKE協(xié)議是唯一已經(jīng)制定的密鑰交換協(xié)議 PPTP PointtoPointTunnelingProtocol 點到點隧道協(xié)議在因特網(wǎng)上建立IP虛擬專用網(wǎng) VPN 隧道的協(xié)議 主要內(nèi)容是在因特網(wǎng)上建立多協(xié)議安全虛擬專用網(wǎng)的通信方式 L2F Layer2Forwarding 第二層轉發(fā)協(xié)議L2TP Layer2TunnelingProtocol 第二層隧道協(xié)議GRE VPN的第三層隧道協(xié)議 通用路由封裝SSLVPNMPLSVPNSocks5VPN Denning入侵檢測模型 信息安全的技術層次視點 系統(tǒng)自身的安全 系統(tǒng)安全 InformationSecurity 信息利用的安全 信息對抗 信息自身的安全 信息安全 層次結構結構層次 三級信息安全框架 信息內(nèi)容對抗 國家計算機與網(wǎng)絡安全管理中心主任方濱興院士提出 信息系統(tǒng)的安全體系 安全是一個過程 而不是一個產(chǎn)品 BruceSchneier網(wǎng)絡安全生命周期模型評估 設計 工程實施 開發(fā)和制造 布署 運行 管理和支持 安全過程與系統(tǒng)安全生命周期模型 網(wǎng)絡信息安全設計四步方法論 美國國家安全局制定的信息保障技術框架 IATF 信息安全的層次分析 開放系統(tǒng)互連 OSI 安全體系結構 網(wǎng)絡體系結構是計算機之間相互通信的層次 以及各層中的協(xié)議和層次之間接口的集合 國際標準化組織ISO在提出了開放系統(tǒng)互連 OpenSystemInterconnection OSI 模型 這是一個定義連接異種計算機的標準主體結構 OSI采用了分層的結構化技術 每層的目的都是為上層提供某種服務 OSI參考模型 OSI安全體系結構的研究始于1982年 于1988年完成 其成果標志是ISO發(fā)布了ISO7498 2標準 作為OSI基本參考模型的補充 這是基于OSI參考模型的七層協(xié)議之上的信息安全體系結構 它定義了5類安全服務 8種特定的安全機制 5種普遍性安全機制 它確定了安全服務與安全機制的關系以及在OSI七層模型中安全服務的配置 OSI安全體系結構的5類安全服務 1 鑒別鑒別服務提供通信中的對等實體和數(shù)據(jù)來源的鑒別2 訪問控制防止對資源的未授權使用 防止以未授權方式使用某一資源3 數(shù)據(jù)機密性這種服務對數(shù)據(jù)提供保護 使之不被非授權地泄露 4 數(shù)據(jù)完整性例如使用順序號 檢測數(shù)據(jù)重放攻擊5 抗否認這種服務可取如下兩種形式 或兩者之一 1 有數(shù)據(jù)原發(fā)證明的抗否認 2 有交付證明的抗否認 OSI安全體系結構的8種安全機制 1 加密對數(shù)據(jù)進行密碼變換以產(chǎn)生密文 加密既能為數(shù)據(jù)提供機密性 也能為通信業(yè)務流信息提供機密性 并且是其他安全機制中的一部分或對安全機制起補充作用 一般情況 在一個層次上進行加密 但也有可能需要在多個層上提供加密 2 數(shù)字簽名機制數(shù)字簽名是附加在數(shù)據(jù)單元上的一些數(shù)據(jù) 或是對數(shù)據(jù)單元所作的密碼變換 這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者確認數(shù)據(jù)單元來源和數(shù)據(jù)單元的完整性 并保護數(shù)據(jù) 防止被他人偽造 3 訪問控制機制為了決定和實施一個實體的訪問權 訪問控制機制可以使用該實體已鑒別的身份 或使用有關該實體的信息 例如 訪問控制信息庫 鑒別信息 如口令 安全標記 4 數(shù)據(jù)完整性機制數(shù)據(jù)完整性有兩個方面 單個數(shù)據(jù)單元的完整性和數(shù)據(jù)單元序列的完整性 發(fā)送實體給數(shù)據(jù)單元附加一個量 這個量為該數(shù)據(jù)的函數(shù) 保護數(shù)據(jù)單元序列的完整性 即防止亂序 數(shù)據(jù)的丟失 重放 插入或篡改 還需要某種明顯的排序形式 如順序號 時間標記或密碼鏈 5 鑒別交換機制如果在鑒別實體時 這一機制得到否定的結果 就會導致連接的拒絕或終止 6 通信業(yè)務填充機制能用來提供各種不同級別的保護 對抗通信業(yè)務分析 7 路由選擇控制機制在檢測到持續(xù)的操作攻擊時 端系統(tǒng)可以提示網(wǎng)絡的提供者經(jīng)不同的路由建立連接 8 公證機制在兩個或多個實體之間通信的數(shù)據(jù) 如它的完整性 時間和目的地等能借助可信第三方的公證機制得到確保 OSI的安全服務與安全機制的關系 OSI安全管理 OSI安全管理包括系統(tǒng)安全管理 OSI環(huán)境安全 OSI安全服務的管理與安全機制的管理 安全管理信息庫 SMIB 是一個概念上的集合 存儲開放系統(tǒng)所需的與安全有關的全部信息 每個端系統(tǒng)必須包含必需的本地信息 使它能執(zhí)行某個適當?shù)陌踩呗?SMIB是一個分布式信息庫 在實際中 SMIB的某些部分可以與MIB 管理信息庫 結合成一體 也可以分開 SMIB有多種實現(xiàn)辦法 例如 數(shù)據(jù)表 嵌入開放系統(tǒng)軟件或硬件中的數(shù)據(jù)或規(guī)則 信息安全管理內(nèi)容 內(nèi)容 信息安全政策制定 風險評估 控制目標與方式的選擇 制定規(guī)范的操作流程 信息安全培訓等 涉及領域 安全方針策略 組織安全 資產(chǎn)分類與控制 人員安全 物理與環(huán)境安全 通信與運營安全 訪問控制 系統(tǒng)開發(fā)與維護 業(yè)務連續(xù)性 法律符合性等 Internet安全體系結構 Internet不同層的網(wǎng)絡安全技術5 1網(wǎng)絡層安全5 2傳輸層安全5 3應用層安全 基于TCP IP協(xié)議的網(wǎng)絡安全體系基礎框架 5 1網(wǎng)絡層安全 IPSec5 2傳輸層安全 SSL5 3應用層安全 S HTTP SET 5 1網(wǎng)絡層安全 IPSec 一組協(xié)議在IP加密傳輸信道技術方面 IETF已經(jīng)指定IPSec來制定IP安全協(xié)議 IPSecurityProtocol IPSP 和對應的Internet密鑰管理協(xié)議 InternetKeyManagementProtocol IKMP 的標準 IPSec是隨著IPv6的制定而產(chǎn)生的 鑒于IPv4的應用仍然很廣泛 所以后來在IPSec的制定中也增加了對IPv4的支持 IPSec在IPv6中是必須支持的 而在IPv4中是可選的 IPSP的主要目的是使需要安全服務的用戶能夠使用相應的加密安全體制 該體制應該與算法獨立 可以自己選擇和替換加密算法而不會對應用和上層協(xié)議產(chǎn)生任何影響 此外 該體制必須能支持多種安全政策 并且對其他不使用該體制的用戶完全透明 按照這些要求 IPSec工作組使用認證頭部 AH 和安全內(nèi)容封裝 ESP 兩種機制 前者提供認證和數(shù)據(jù)完整性 后者實現(xiàn)通信保密 AH AuthenticationHeader 驗證頭部協(xié)議 ESP EncapsulatingSecurityPayload 封裝安全載荷 協(xié)議 IPSec體系結構 AH為IP數(shù)據(jù)包提供如下3種服務 無連接的數(shù)據(jù)完整性驗證 數(shù)據(jù)源身份認證和防重放攻擊 ESP除了為IP數(shù)據(jù)包提供AH已有的3種服務外 還提供另外兩種服務 數(shù)據(jù)包加密 數(shù)據(jù)流加密 IKE協(xié)議負責密鑰管理 定義了通信實體間進行身份認證 協(xié)商加密算法以及生成共享的會話密鑰的方法 對IP包進行的IPSec處理有兩種 AH和ESP AH提供無連接的數(shù)據(jù)完整性 數(shù)據(jù)來源驗證和抗重放攻擊服務 而ESP除了提供AH的這些功能外 還可以提供對數(shù)據(jù)包加密和數(shù)據(jù)流量加密 AH和ESP可以單獨使用 也可以嵌套使用 通過這些組合方式 可以在兩臺主機 兩臺安全網(wǎng)關 防火墻和路由器 或者主機與安全網(wǎng)關之間使用 傳輸層安全 常見的傳輸層安全技術有SSL SecuresocketlayerSSL分為兩層 上面是SSL協(xié)商層 雙方通過協(xié)商約定有關加密的算法 進行身份認證等 下面是SSL記錄層 它把上層的數(shù)據(jù)經(jīng)分段 壓縮后加密 由傳輸層傳送出去 SSL采用公鑰方式進行身份認證 大量數(shù)據(jù)傳輸仍使用對稱密鑰方式進行數(shù)據(jù)加密 通過雙方協(xié)商 SSL可以支持多種身份認證 加密和檢驗算法 SSL結構圖 SSL協(xié)議協(xié)商層工作過程示意圖 通過X 509證書傳輸其擁有者的公開密鑰 為了保持Internet上的通用性 目前一般的SSL協(xié)議只要求服務器方向客戶方出示證書以證明自己的身份 而不要求用戶方同樣出示證書 在建立起SSL信道后再加密傳輸用戶的口令實現(xiàn)客戶方的身份認證 5 3應用層安全 IP層的安全協(xié)議能夠為網(wǎng)絡連接建立安全的通信