windows系统安全0安全模型与体系结构.ppt

1、安全模型与体系结构,目录,1 安全威胁2 信息安全特性3 信息安全的目的4 信息安全体系结构,1 网络中存在的安全威胁,信息丢失，篡改，销毁内部，外部泄密缓冲区溢出后门，隐蔽通道逻辑炸弹计算机病毒、木马未授权访问拒绝服务攻击 流量、流向分析,安全威胁来源,安全威胁来源分为：内部和外部。内部威胁：系统的合法用户以非授权方式访问系统。多数已知的计算机犯罪都和系统安全遭受损害的内部攻击有密切的关系。,防止内部威胁的保护方法:a.对工作人员进行仔细审查；b.仔细检查硬件、软件、安全策略和系统配制，以便在一定程度上保证运行的正确性(称为可信功能度)。c.审计跟踪以提高检测出这种攻击的可能性。,外部威胁：

2、外部威胁的实施也称远程攻击。a.搭线(主动的与被动的);b.截取辐射;c.冒充为系统的授权用户,或冒充为系统的组成部分;d.为鉴别或访问控制机制设置旁路 等。,外部入侵技术的发展,外部入侵系统步骤,攻击的发展,一 攻击组织严密化二 攻击行为趋利化三 攻击目标直接化四 僵尸网络发展迅速五 针对网络基础设施的攻击数量有明显增多趋势六 新型网络应用的发展带来了新的安全问题和威胁（web浏览器，E-Mail和DNS服务，eMule,clubox,迅雷等）,目录,1 安全威胁2 信息安全特性3 信息安全的目的4 信息安全体系,信息安全的基本特征,相对性只有相对的安全，没有绝对的安全系统。,信息安全的基本

3、特征,时效性新的漏洞与攻击方法不断发现配置相关性日常管理中的不同配置会引入新的问题（安全测评只证明特定环境与特定配置下的安全）新的系统部件会引入新的问题(新的设备的引入、防火墙配置的修改),信息安全的基本特征,攻击的不确定性攻击发起的时间、攻击者、攻击目标和攻击发起的地点都具有不确定性复杂性：信息安全是一项系统工程，需要技术的和非技术的手段，涉及到安全管理、教育、培训、立法、国际合作与互不侵犯协定、应急反应等,目录,1 安全威胁2信息安全特性3信息安全的目的4 信息安全体系,信息安全的目的,安全工作的目的就是通过采用合适的安全技术与安全管理措施，完成以下任务：,安全工作目的（一）,使用认证机制

4、，阻止非授权用户进入网络，即“进不来”，从而保证网络系统的可用性。使用授权机制，实现对用户的权限控制，即不该拿走的“拿不走”，同时结合内容审计机制，实现对网络资源及信息的可控性。使用加密机制，确保信息不暴漏给未授权的实体或进程，即“看不懂”，从而实现信息的保密性。,安全工作目的（二）,使用数据完整性鉴别机制，保证只有得到允许的人才能修改数据，而其它人“改不了”，从而确保信息的完整性。使用审计、监控、防抵赖等安全机制，使得攻击者、破坏者、抵赖者“走不脱”，并进一步对网络出现的安全问题提供调查依据和手段，实现信息安全的可审查性。,目录,1 安全威胁2信息安全特性3信息安全的目的4 信息安全体系架构

5、,信息安全的层次,层次一：物理环境的安全性（物理层安全）层次二：操作系统的安全性（系统层安全）层次三：网络的安全性（网络层安全）层次四：应用的安全性（应用层安全）层次五：管理的安全性（管理层安全）,安全层次,整体安全技术因素,安全体系结构,安全策略（security policy）是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的一系列条例、规则。安全策略具备普遍的指导意义，重要性在于指导作用。安全服务（security service）是由安全机构所提供的服务；它确保该系统的系统服务或数据传送具有足够的安全性。,安全服务,在计算机网络中，主要的安全防护措施被称作安全服务。网络通

6、信中目前主要有五种安全服务认证服务：提供实体的身份的保证访问控制服务：防止对资源的非授权使用 机密性服务：对数据提供保护使之不被非授权地泄露 完整性服务：保护数据防止未授权的改变、删除或替代非否认服务：提供凭证，防止发送者否认或接收者抵赖已接收到相关的信息,现有TCP/IP网络安全技术框架,安全组件,主机安全：主要考虑保护合法用户对于授权资源的使用，防止非法入侵者对于系统资源的侵占与破坏.其最常用的办法是利用操作系统的功能，如用户认证、访问权限控制、扫描、防毒软件、记帐审计、灾难恢复等。网络安全：主要考虑网络上主机之间的访问控制，防止来自外部网络的入侵，保护数据在网上传输时不被泄密和修改其最常

7、用的方法是防火墙、加密、入侵检测 等。,1 防火墙,防火墙通常被比喻为网络安全的大门，用来鉴别什么样的数据包可以进出企业内部网。在应对黑客入侵方面，可以阻止基于IP包头的攻击和非信任地址的访问。无法阻止和检测基于数据内容的黑客攻击和病毒入侵，无法控制内部网络之间的违规行为,2 加密,对称加密:使用同一个秘密密钥加密和解密数据非对称加密：使用一对密钥加密解密数据HASH散列算法：用HASH函数把信息混杂，使其不可恢复原状,3 访问控制,强制访问控制（Mandatory access control）系统独立于用户行为强制执行访问控制，用户不能改变他们的安全级别或对象的安全属性。这种访问控制规则通

8、常对数据和用户按照安全等级划分标签，访问控制机制通过比较安全标签来确定授予还是拒绝用户对资源的访问。强制访问控制进行了很强的等级划分，所以经常用于军事用途。自主访问控制（Discretionary access control）自主访问控制机制允许对象的属主来制定针对该对象的保护策略。通常DAC通过授权列表（或访问控制列表）来限定哪些主体针对哪些客体可以执行什么操作。如此将可以非常灵活地对策略进行调整。由于其易用性与可扩展性，自主访问控制机制经常被用于商业系统。主流操作系统(Windows Server,UNIX系统)，防火墙（ACLs）等都是基于自主访问控制机制来实现访问控制。基于角色的访问

9、控制（Role based access control）,4 认证,密码认证智能卡生物特征（指纹、面部扫描、视网膜扫描、语音分析）位置认证（IP，反向DNS）KerberosX.509,5 扫描器,扫描器可以说是入侵检测的一种，主要用来发现网络服务、网络设备和主机的漏洞，通过定期的检测与比较，发现入侵或违规行为留下的痕迹。当然，扫描器无法发现正在进行的入侵行为，而且它还有可能成为攻击者的工具,6 防毒软件,防毒软件是最为人熟悉的安全工具，可以检测、清除各种文件型病毒、宏病毒和邮件病毒等。在应对黑客入侵方面，它可以查杀特洛伊木马和蠕虫等病毒程序，但对于基于网络的攻击行为（如扫描、针对漏洞的攻击

10、）却无能为力,考虑内部网络系统运行环境复杂，网上用户数多，同Internet 有连接等，需在网络上建立多层次的病毒防护体系，对桌面、服务器和网关等潜在病毒进入点实行全面保护。（1)建立基于桌面的反病毒系统 在内部网中的每台桌面机上安装单机版的反病毒软件，实时监测和捕获桌面计算机系统的病毒，防止来自软盘、光盘以及活动驱动器等的病毒来源。（2）建立基于服务器的反病毒系统 在网络系统的文件及应用服务器上安装基于服务器的反病毒软件，实时监测和捕获进出服务器的数据文件病毒，使病毒无法在网络中传播。,网络病毒防范,（3）建立基于Internet网关的反病毒系统在代理服务器（Proxy）网关上安装基于网关的

11、反病毒软件，堵住来自Internet通过Http或Ftp等方式进入内部网络的病毒，而且可过滤恶意ActiveX,Java和Java Applet程序。（4）建立病毒管理控制中心在中心控制台（安全管理控制台）实施策略配置和管理、统一事件和告警处理、保证整个网络范围内病毒防护体系的一致性和完整性。通过自动更新、分发和告警机制，使桌面PC和服务器等设备自动获得最新的病毒特征库，完成终端用户软件及病毒特征信息的自动更新和升级，以实现网络病毒防范系统的集中管理。,7 安全审计系统,安全审计系统通过独立的、对网络行为和主机操作提供全面与忠实的记录，方便用户分析与审查事故原因，很像飞机上的黑匣子。由于数据量

12、和分析量比较大，目前市场上鲜见特别成熟的产品,8 入侵检测与防御系统（IDS）,IDS:intrusion Detection SystemIDS的主要功能包括检测并分析用户在网络中的活动，识别已知的攻击行为，统计分析异常行为，核查系统配置和漏洞，评估系统关键资源和数据文件的完整性，管理操作系统日志，识别违反安全策略的用户活动等。,IDS,网络型入侵检测系统(Network Intrusion Detection System，NIDS)的数据源来自网络上的数据包。一般地，用户可将某台主机网卡设定为混杂模式，以监听本网段内所有数据包，判断其是否合法。NIDS担负着监视整个网段的任务,IDS,NIDS的优点主要是使用简便，不会给运行关键业务的主机和网络增加任何负担。,IDS,主机型入侵检测系统(Host Intrusion Detection System，HIDS)往往以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段从所在的主机收集信息，并进行分析。HIDS主要针对其所在的系统进行非法行为的检测.,小结,安全不是纯粹的技术问题，是一项复杂的系统工程安全是策略，技术与管理的综合,