第章网络安全体系与安全管理.ppt

1、Nike Liu第九章构造网络安全体系Nike Liu引言引言 (Introduction&Overview)Nike Liu 安全是一条链安全是一条链 薄弱环节导致链断薄弱环节导致链断 安全是安全是一种服务一种服务 解决安全问题解决安全问题 安全是一个系统安全是一个系统 完整性与关联性完整性与关联性 安全是一种管理安全是一种管理 安全与人本身有关安全与人本身有关一、安全是什么一、安全是什么?Nike Liu技术能够解决一切吗？技术能够解决一切吗？1）技术人员）技术人员 技术在安全中的地位技术在安全中的地位 技术解决与技术关联性技术解决与技术关联性 当前技术解决了什么问题？当前技术解决了什么问

2、题？又引发了什么新的问题？又引发了什么新的问题？我能解决什么问题？我能解决什么问题？二、安全的困惑二、安全的困惑Nike Liu用户关心的是用用户关心的是用2）用户）用户 什么系统（机制）是安全的？什么系统（机制）是安全的？我的系统可信吗？我的系统可信吗？在安全方面我能做什么？在安全方面我能做什么？出现安全问题后的责任出现安全问题后的责任 安全是一个无底洞吗？（投入）安全是一个无底洞吗？（投入）我要为安全担心一辈子吗？我要为安全担心一辈子吗？安全的困惑（续）安全的困惑（续）Nike Liu管理者关心的是不要出问题管理者关心的是不要出问题3）管理者）管理者 安全管理的地位安全管理的地位 安全管理

3、的责任安全管理的责任 在安全方面我能做什么？在安全方面我能做什么？技术与制度间的矛盾与冲突技术与制度间的矛盾与冲突 技术发展对管理者的要求技术发展对管理者的要求安全的困惑（续）安全的困惑（续）Nike Liu不同的人，不同的问题不同的人，不同的问题 （如果没有噪声（如果没有噪声）关键问题的焦点：关键问题的焦点：系统崩溃、干扰和可信系统崩溃、干扰和可信 数据丢失、篡改和窃取数据丢失、篡改和窃取 被人控制和控制别人被人控制和控制别人 信息的制高点信息的制高点安全的困惑（续）安全的困惑（续）Nike Liu 矛与盾的问题矛与盾的问题 目前目前,矛占上峰矛占上峰 什么是安全重点什么是安全重点 自己的漏

4、洞就是重点自己的漏洞就是重点 什么是最好的安全什么是最好的安全 没有，适合自己的是最好的没有，适合自己的是最好的 能预见未来吗？能预见未来吗？部分，或暂时不能部分，或暂时不能安全的困惑（续）安全的困惑（续）Nike Liu 技术的困惑技术的困惑 技术能解决所有问题？技术能解决所有问题？技术的对抗技术的对抗 做真与测假，伪造、伪装与仿冒做真与测假，伪造、伪装与仿冒 技术的代价技术的代价 成本、开销，响应，不可用成本、开销，响应，不可用 技术的极限技术的极限 时间（速度）、空间（存储）时间（速度）、空间（存储）安全的困惑（续）安全的困惑（续）Nike Liu 我们能做什么？我们能做什么？职责、责任

5、、能力职责、责任、能力 了解整体（体系）了解整体（体系）立足本职（业务）立足本职（业务）发挥优势（技术）发挥优势（技术）解决问题（措施）解决问题（措施）三、任务的困惑三、任务的困惑Nike Liu 安全的领域太宽，彼此交错安全的领域太宽，彼此交错 一个人不可能涉及到全部领域一个人不可能涉及到全部领域 从整体着眼从整体着眼 从局部入手从局部入手 突破一点、带动一片突破一点、带动一片 解决实际问题，奠定整合基础解决实际问题，奠定整合基础任务的困惑（续）任务的困惑（续）Nike Liu 了解当前相关领域与方向的研究动了解当前相关领域与方向的研究动向、发展过程、交叉边缘、相关学科、向、发展过程、交叉边

6、缘、相关学科、成功与失败的案例等，构建适合自己成功与失败的案例等，构建适合自己的知识结构。的知识结构。我们的任务我们的任务Nike Liu 了解别人过去做了什么？现在正在了解别人过去做了什么？现在正在做什么？将来可能做什么？做什么？将来可能做什么？了解别人做得怎么样？解决了哪些了解别人做得怎么样？解决了哪些问题？有哪些经验教训？还有什么问问题？有哪些经验教训？还有什么问题未解决？我自己能否试一试？题未解决？我自己能否试一试？我们的任务（续）我们的任务（续）Nike Liu安全需要思维和技术上的集成安全需要思维和技术上的集成1.跟踪（跟踪（trace）2.加入（加入（join）3.模拟（模拟（i

7、mitation）4.发展（发展（develop）5.创新（创新（invent）6.保持（保持（keep-on）7.领先（领先（leading）Nike Liu 没有包治百病的灵丹妙药没有包治百病的灵丹妙药!没有一劳永逸、没有一劳永逸、没有绝对完美！没有绝对完美！不能简单套用安全方案和过程不能简单套用安全方案和过程!技术不能解决所有问题！技术不能解决所有问题！要明确安全机制的副作用！要明确安全机制的副作用！安全经验并非总是成功！安全经验并非总是成功！新的安全问题总是存在并出现！新的安全问题总是存在并出现！创造自己的经验和安全技术创造自己的经验和安全技术安全需要打破惯性思维安全需要打破惯性思维N

8、ike Liu 领域分工不等于体系架构领域分工不等于体系架构 安全领域包括安全领域包括 研究（理论、算法、方向研究（理论、算法、方向）工程（系统、体系、架构工程（系统、体系、架构）应用（行业、部门、领域应用（行业、部门、领域）设备（器件、部件、整机设备（器件、部件、整机）四、信息安全领域与体系四、信息安全领域与体系Nike Liu 计算机安全计算机安全 网络安全网络安全 安全机制安全机制 信息安全信息安全信息安全领域与体系（续）信息安全领域与体系（续）Nike Liu第一部分第一部分 计算机安全计算机安全(Computer Security)Nike Liu一、系统的问题一、系统的问题二、系统

9、硬件的安全二、系统硬件的安全三、操作系统的安全三、操作系统的安全四、数据库的安全四、数据库的安全五、软件的安全五、软件的安全六、计算机病毒六、计算机病毒七、措施及问题七、措施及问题问题与焦点问题与焦点Nike Liu 系统是可靠的系统是可靠的 软、硬件的完美性？软、硬件的完美性？软、硬件的容错性！软、硬件的容错性！系统是可用的系统是可用的 系统不出问题，运行正常系统不出问题，运行正常 系统能够修复系统能够修复 操作顺利操作顺利一、系统的问题一、系统的问题Nike Liu 系统是可信的系统是可信的 相信系统处理的结果相信系统处理的结果 相信系统控制的结果相信系统控制的结果 相信系统存储的数据相信

10、系统存储的数据系统的问题（续）系统的问题（续）Nike Liu 连接问题连接问题 配置问题配置问题 兼容性，参数与配置规范、错误兼容性，参数与配置规范、错误 操作问题操作问题 误操作，锁定误操作，锁定 监控问题监控问题 自动、启动、远程控制自动、启动、远程控制二、二、系统硬件的安全系统硬件的安全Nike Liu 安全的门户和攻击的对象安全的门户和攻击的对象 安全的突破点安全的突破点 系统安全的基础系统安全的基础 运行安全的平台运行安全的平台 用户安全的界面用户安全的界面 系统恢复的基础系统恢复的基础三、操作系统三、操作系统的安全的安全Nike Liu 存储技术与安全存储技术与安全 备份技术与安

11、全备份技术与安全 访问控制与安全访问控制与安全 数据盗窃与篡改数据盗窃与篡改 灾难恢复灾难恢复四、数据库四、数据库的安全的安全Nike Liu 软件自身安全软件自身安全 软件的兼容性软件的兼容性 后门与漏洞的开启后门与漏洞的开启 各类软件控制着安全通道各类软件控制着安全通道 软件工具与安全软件工具与安全 安全中间件：桥与墙安全中间件：桥与墙五、软件五、软件的安全的安全Nike Liu 傻子也能做的事傻子也能做的事 最基本的破坏（文件删除）最基本的破坏（文件删除）检测的被动性检测的被动性 反病毒的困难（变异与融合）反病毒的困难（变异与融合）反病毒的副作用（错、误、漏报）反病毒的副作用（错、误、漏

12、报）六、计算机病毒六、计算机病毒Nike Liu 安全机制与机制安全安全机制与机制安全 补丁与打补丁补丁与打补丁 反病毒软件反病毒软件 安全工具（测试、检测、恢复）安全工具（测试、检测、恢复）七、措施及问题七、措施及问题 防止落入循环论证！防止落入循环论证！Nike Liu第二部分第二部分 网络安全网络安全(Network Security)Nike Liu一、网络系统的问题一、网络系统的问题二、网络设备安全问题二、网络设备安全问题三、操作系统与网管三、操作系统与网管四、协议安全四、协议安全五、互联网安全五、互联网安全六、网络入侵与攻击六、网络入侵与攻击七、措施及问题七、措施及问题问题与焦点问

13、题与焦点Nike Liu 共享是网络的目标，也是网络的问题共享是网络的目标，也是网络的问题 传输的两种安全传输的两种安全 完整性（可用），可信性（真实）完整性（可用），可信性（真实）网络（信息）设备的连接网络（信息）设备的连接 可信赖网络环境可信赖网络环境 不可信计算机与不可信网络不可信计算机与不可信网络 可信计算机与不可信网络可信计算机与不可信网络 不可信计算机与可信网络不可信计算机与可信网络 可信计算机与可信网络可信计算机与可信网络一、网络系统的问题一、网络系统的问题Nike Liu 传输完整性，通信基本安全传输完整性，通信基本安全 丢包与重传，时间差的安全丢包与重传，时间差的安全 信息设

14、备连接，通道保证信息设备连接，通道保证 信息设备配置，性能保证信息设备配置，性能保证 网络设备的安全冲突网络设备的安全冲突 网络设备中数据的截取网络设备中数据的截取 没有真正的没有真正的“无缝无缝”二、网络设备的安全问题二、网络设备的安全问题Nike Liu 操作系统不是网管系统操作系统不是网管系统 操作系统的网络层操作系统的网络层 OS与网管系统的与网管系统的“无缝无缝”连接连接 配置的复杂度配置的复杂度 监控的广义性监控的广义性 网络崩溃网络崩溃 将来不要操作系统？将来不要操作系统？三、操作系统与网管三、操作系统与网管Nike Liu 标准规范中的安全标准规范中的安全 协议的漏洞协议的漏洞

15、 全面了解协议的可行性全面了解协议的可行性 无自主版权，被动无自主版权，被动 自主协议开发自主协议开发 市场的认可度市场的认可度四、网络协议安全四、网络协议安全Nike Liu 最大的安全应用场合最大的安全应用场合 安全服务与服务安全安全服务与服务安全 因安全而增值，因增值而更安全因安全而增值，因增值而更安全 心理的巨大影响心理的巨大影响 商务，政务平台的安全商务，政务平台的安全五、互联网络安全五、互联网络安全Nike Liu 入侵目标与对象广泛入侵目标与对象广泛 攻击源广泛攻击源广泛 侦测困难，瓶颈与开销侦测困难，瓶颈与开销“肉机肉机”与与“跳板跳板”高速的困惑，速度与反应高速的困惑，速度与

16、反应六、网络入侵与攻击六、网络入侵与攻击Nike Liu 网络安全机制与集中安全网络安全机制与集中安全 安全设备安全设备 防火墙的困惑防火墙的困惑 IDS的困惑的困惑 第三方日志第三方日志 七、措施及问题七、措施及问题Nike Liu第三部分第三部分 安全机制安全机制(Security Mechanism)Nike Liu一、层层设防的问题一、层层设防的问题二、身份鉴别问题二、身份鉴别问题三、访问控制问题三、访问控制问题四、密码与加密问题四、密码与加密问题五、检测与监控五、检测与监控六、审计问题六、审计问题七、对策与恢复问题七、对策与恢复问题问题与焦点问题与焦点Nike Liu 链的每一个环节链的每一个环节 哪一条链最薄弱哪一条链最薄弱 没有答案的问题没有答案的问题 这些问题解决了吗？这些问题解决了吗？关键问题关键问题如何对待人与数据如何对待人与数据人：合法与非法用户人：合法与非法用户数据：允许得到与阻止得到数据：允许得到与阻止得到一、层层设防的问题一、层层设防的问题Nike Liu 标识与识别技术的困惑标识与识别技术的困惑 标识存储问题标识存储问题 识别程度与可信度识别程度与可信度