网络安全体系结构.docx
《网络安全体系结构.docx》由会员分享,可在线阅读,更多相关《网络安全体系结构.docx(13页珍藏版)》请在冰点文库上搜索。
网络安全体系结构
网络安全体系结构
信息安全系统是基于OSI网络模型,通过安全机制和安全服务达成信息安全的系统。
安全机制是提供某些安全服务,利用各种安全技术和技巧,形成的一个较为完善的结构体系。
安全服务是从网络中的各个层次提供信息应用系统需要的安全服务支持。
网络模型、安全机制、安全服务应用到一起会产生信息系统需要的安全空间,安全空间包括五大属性:
认证、权限、完整、加密、不可否认。
安全机制的主要内容:
1.基础设施实体安全。
机房、场地、设施、动力系统、安全预防和恢复等物理上的安全。
2.平台安全。
操作系统漏洞检测和修复、网络基础设施漏洞检测与修复、通用基础应用程序漏洞检测与修复、网络安全产品部署,这些是软件环境平台的安全。
3.数据安全。
涉及数据的物理载体、数据本身权限、数据完整可用、数据监控、数据备份存储。
4.通信安全。
涉及通信线路基础设施、网络加密、通信加密、身份鉴别、安全通道和安全协议漏洞检测等。
5.应用安全。
涉及业务的各项内容,程序安全性测试、业务交互防抵赖测试、访问控制、身份鉴别、备份恢复、数据一致性、数据保密性、数据可靠性、数据可用性等业务级别的安全机制内容。
6.运行安全。
涉及程序应用运行之后的维护安全内容,包括应急处置机制、网络安全监测、网络安全产品运行监测、定期检查评估、系统升级补丁提供、最新安全漏洞和通报、灾难恢复机制、系统改造、网络安全技术咨询等。
7.管理安全。
涉及应用使用到的各种资源,包括人员、培训、应用系统、软件、设备、文档、数据、操作、运行、机房等。
8.授权和审计安全。
授权安全是向用户和应用程序提供权限管理和授权服务,负责向业务应用系统系统授权服务管理、用户身份到应用授权的映射功能。
审计安全是信息安全系统必须支持的功能特性,主要是检查网络内活动用户、侦测潜在威胁、统计日常运行状况、异常事件和突发事件的事后分析、辅助侦查取证。
9.安全防范体系。
企业信息安全资源综合管理,含六项功能:
预警、保护、检测、反应、回复、反击。
安全服务的主要内容:
1.对等实体认证服务。
交互双方的身份认证
2.数据保密服务。
3.数据完整性服务
4.数据源点认证服务
5.禁止否认服务。
包括不得否认发送、不得否认接收
6.犯罪证据提供服务
安全技术的主要内容:
1.加密技术
2.数字签名技术。
独有解决收发双方纠纷的能力
3.访问控制技术
4.数据完整性技术。
包括数据单元的完整性、数据单元序列的完整性
5.认证技术
6.数据挖掘技术
信息安全保障系统的三种不同系统架构:
MIS+S、S-MIS、S2-MIS。
MIS+S是基本信息保障系统,特点如下:
1.业务应用系统基本不变
2.硬件和软件系统通用
3.安全设备基本不带安全密码
S-MIS是标准信息安全保证系统,系统建立在公认的PKI/CA标准的信息安全基础设施上,特点如下:
1.硬件和系统软件通用
2.PKI/CA安全保障系统必须带密码
3.业务应用系统必须根本改变
4.主要的通用硬件和软件也要通过PKI/CA认证
S2-MIS是超安全的信息安全保障系统,不仅系统是建立在公认的PKI/CA标准的信息安全基础设施上,而且硬件和系统软件也是使用“专用的”、“安全的”产品,特点如下:
1.硬件和系统软件都是专用
2.PKI/CA安全基础设施必须带密码
3.业务应用系统必须根本改变
4.主要的硬件和系统软件需要PKI/CA认证
三种系统价格逐渐攀升,根据需要选择安全系统架构。
一个成功的信息安全保障系统需要各个方面的通力合作。
信息安全保障系统是一个在网络上,继承各种硬件、软件和密码设备,保障其他业务应用信息系统正常运行的专用信息应用系统,附带系统相关岗位、人员、策略、制度和规程的总和。
网络安全体系结构
图中描述的就是一个三维的网络安全空间,它反映了网络安全需求和体系结构的共性。
图中的三维特性分别是安全服务、系统单元和协议层次。
其中在每一个特性上面都为他们提供了安全管理。
安全管理就是连接这三个维度,保证整个体系结构的安全性。
网络体系结构主要包括三部分内容:
安全服务、协议层次、系统单元。
针对网络安全存在的各种类型的安全威胁,将会针对这些协议定义一维安全服务。
为支持这些服务,在系统中定义了一些安全机制,同时安全管理由于不是正常的通信业务,主要是为用户的通信通告安全支持和控制。
安全服务指的是该安全单元能解决什么安全威胁。
一般来说,网络安全的威胁主要是在来自于人的恶意行为可能造成的资源被破坏、信息泄露等等。
安全服务主要包括了以下六个方面:
认证、访问控制、数据完整性、数据保密性、抗抵赖、审计和可用性。
①认证服务。
认证服务提供某个实体的身份保护,在通信的某一个特定过程中,如果某个实体声称具有特定的身份时,认证服务就提供一种方法来证实这个声称是否正确。
由于在某种程度上,网络安全体系结构的其他安全服务都依赖于认证服务,或者和认证服务紧密地结合,因此认证服务是一个重要的基础安全服务。
通过认证服务在很多情况下就可以杜绝想CSRF(cross-siterequestforgery,跨站请求伪造)这样的攻击。
同时在保障系统的物理安全时,也会起到一定的作用。
②访问控制服务。
访问控制服务经常和认证服务一起使用。
访问控制服务就是对某些确认身份的实体,限制其对某些资源的访问。
访问控制服务可以防止未授权的实体访问资源,所谓未授权的访问就是XX的使用、修改、销毁数据资源以及执行指令代码等。
访问控制服务支持保密性、完整性、可用性和认证安全性,其中对保密性、完整和认证所起到的作用十分明显。
访问控制是实现授权的一种方法。
它涉及到通信和系统的安全问题。
由于必须在网络上传输访问控制信息,所以它对通信协议具有很高的安全要求。
③数据完整性服务主要提供了可恢复的连接完整性、不可恢复的连接完整性,选择字段的连接完整性、无连接完整性、选择字段无法连接完整性等安全服务。
数据完整性服务直接保证数据的完整性。
所有的数据完整性服务都能够对付新增或修改数据的企图。
④数据保密服务,数据保密性服务保护信息不泄露或不暴露给那些未授权想掌握该信息的实体。
这种服务有以下几个方面:
连接保密性、无连接保密性、选择字段保密性、业务流程保密性。
⑤抗抵赖性,抗否认服务与其它安全服务有根本不同。
它主要保护通信系统不会遭到系统中其他合法用户的威胁,而不是来自未知攻击者的威胁。
抗抵赖服务的出发点不仅仅由于在通信各方之间存在着相互欺骗的可能性,另外它也反映了一个现实,即没有任何一个系统是完全完备的,而且也可能出现通信双方最终达不成一致协议这样的情况。
抗抵赖服务可采取以下两种形式:
数据起源的抗抵赖和传递过程的抗抵赖。
⑥审计服务主要是对系统的数据和业务流程进行安全审计,找出其中可能存在的漏洞或者是薄弱环节。
同时也收集可用于安全审计的数据,一边对系统的记录和活动进行独立地观察和检查。
⑦可用性服务,这是整个网络安全体系结构所提供的最基本的服务。
网络安全首先要保证系统的可用性然后在此基础上保证系统的安全性。
系统单元指的是该安全但愿解决什么系统环境的安全问题。
对于现代的互联网,系统单元可以分为五个不同环境:
物理环境、应用平台、系统平台、网络平台、通信平台。
物理环境,如硬件设备、网络设备等,包含该特性的安全单元解决物理环境的安全问题。
例如使用交换机代替集线器可以缓解网络窃听问题。
应用平台主要指的是各种不同的应用程序和中间件。
应用程序是在操作系统上安装和运行的。
包含该特性的安全单元解决应用程序所包含的安全问题。
一般是指数据在操作和资源在使用的时候的安全威胁。
系统平台则指的是操作系统。
包含该特性的安全单元解决段系统或者中间系统(网桥、路由器等)的操作系统包含的安全问题。
一般是指数据和资源在存储时的安全威胁。
网络平台则指的是网络传输的安全威胁。
例如加密技术可以解决数据在网络传输时的安全问题。
一般是指数据在网络上传输的安全威胁。
例如加密技术可以解决数据在网络传输时的安全问题。
通信平台则主要指的是通信线路。
包含该线路的安全单元主要解决的是通信线路所存在的安全问题。
包括系统软硬件、配置及使用不当,物理电磁辐射引起的信息泄露等方面的问题。
协议层次是互联网的TCP/IP协议的基础。
安全单元的这个特性描述了该安全单元在网络互连协议中,解决了什么样的互联问题。
物理层设计在物理通信信道上传输原始比特,处理与物理传输介质有关机制的、电气=器过程的接口。
在物理层上传输的单元是信号。
链路层。
链路层分为介质访问控制和逻辑链路控制两个子层。
在链路层上传输的单元是比特。
网络层。
网络层负责将数据从物理连接的一端传递到另一端,即所谓的点到点通信。
它的主要功能是寻找路径,以及与之相关的流量控制和拥塞控制等。
在网络层上传输的单元是网络数据包。
传输层。
传输层的主要目睹在于密布网络服务与用户需求之间的差距。
传输层通过向上提供了一个标准、通用的界面,使上层与通信子网(下三层)的细节相隔离。
传输层的主要任务是提供进程间通信机制和保证数据传输的可靠性。
应用层。
应用层向用户提供最常用且通用的应用程序,包括电子邮件、文件传输、网页浏览等。
应用成描述了端对端之间的通信。
以上就是网络安全体系结构中不同的三个特性的介绍和说明。
除了这三个特性之外,安全管理是这三个特性的“粘合剂”,保证了这三个特性之间有效的结合。
安全管理的主要作用是实施一系列的安全政策,对系统和网络上的操作进行管理。
安全管理包含三个部分:
系统安全管理、安全服务管理、安全机制管理。
系统安全管理主要是涉及到整体的网络安全环境的管理,例如安全事件的管理,包括时间报告、存储和查询等;安全服务管理则涉及特定安全服务的管理,其中包括制定安全服务可使用的安全机制、对可使用的安全机制进行协商;安全机制管理:
安全局只管理涉及的是特定安全机制的管理,包括密钥管理、加密管理、数字签名管理、访问控制管理、路由控制管理等。
网络安全设计原则
从网络安全角度看,网络安全防护系统的设计与实现应按照以下原则:
最小权限原则、纵深防御原则、防御多样性原则、防御整体性原则、安全性与代价平衡原则、网络资源的等级性原则。
最小权限原则:
任何对象应该只具有该对象需要完成其指定任务的权限,限定权限使用的范围、控件、时间等,减少资源的供给面,从而减少因侵袭所造成的损失。
纵深防御原则:
要求网络安全防护系统是一个多层安全系统,避免成为网络中的“单失效点”,要部署有多重的防御系统,这样就可以在其中一个一同被攻破之后后续还有其他的防御系统来保障系统的安全。
防御多样性原则存在技术和防御方式两个方面。
在技术方面,要保障主机安全,网络安全,同时要注意防范病毒和木马。
而在防御方式上面,则可以部署防火墙,IDS。
蜜罐等手段保护系统安全。
防御多样性是要求在系统中的不同组件中都需要不是一定的安全产品,同时还要结合多种不同的安全产品来共同保证系统的安全。
安全防御性原则的实施就避免了系统的仅仅使用单一的安全措施和服务,以此来保障系统的安全性。
网络安全的整体性原则:
要求在网络发生被攻击、破坏事件的情况下,必须尽可能的快速恢复网络信息中心的服务,减少损失;同时在网络系统各个点上部署安全防御措施,避免出现安全的木桶效应。
因此信息安全系统应该包括安全防护机制、安全检测机制和安全响应机制。
安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施,避免非法攻击的进行。
安全监测机制是检测系统的运行情况,及时发现和政治对系统进行各种攻击。
安全响应机制是在安全防护机制失效的情况下,进行应急处理。
安全性评价与平衡原则:
对任何网络,绝对安全难以达到,也不一定是必要的,所以需要建立合理的实用安全性与用户需求评价与平衡体系。
安全体系设计要正确处理需求、风险与代价的关系,做到安全性与可用性相容,做到组织上可执行。
评价信息是否安全,没有绝对的评判标准和衡量指标,只能取决于系统的用户需求和具体的应用环境,具体取决于系统的规模和范围,系统的性质和信息的重要程度。
标准化与一致性原则:
安全体系是一个复杂的系统工程,涉及人、技术、操作等要素。
单靠技术或单靠管理都不可能实现。
因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。
校园网典型拓扑
校园网安全防护手段
根据上面网络体系结构的设计思想和校园网络所遇到的网络安全威胁,校园网络需要组合必要的安全设备和安全服务来构建网络安全系统,提供路由安全、路由过滤、防火墙、IDS、VPN、电子邮件安全、web安全等。
1、路由安全
具有一个安全路由体系结构的网络与一个路由结构设计拙劣的网络相比,前者更不容易受攻击,不易出现纰漏。
设计适当的路由基础结构还能够帮助网络在在遭受攻击期间降低故障时间。
2、路由过滤、
适当的路由过滤对于任何实现良好的网络都是重要的。
在校园网中,确保路由过滤用于过滤那些进入校园网的假的和不受欢迎的路由,并且确保只有真正包含在内部网络上的路由才能允许通过。
路由过滤也用于隐藏某一块网络。
同时,通过配备适当的防火墙和其他认证机制,路由过滤也能够阻挡安全性较低的网络区到安全性高的网络去的访问。
常见的路由设置方案有静态路由和路由认证。
但是这两者的使用均有一定的局限性。
所以很多时候,不能使用单一的路由方法来用作路由过滤,要结合多种路由设置方法,同时还不能将路由过滤作为网络安全的单一手段。
3、防火墙设置
设置防火墙并正确配置防火墙都很重要。
在校园网中,防火墙的设置应该需要满足以下原则。
(1)防火墙应该尽可能设置在网络最终出口和入口的校园网边界。
这样专用网络中最大数量的设备能够受到防火墙的保护,同时也有助于校园网和公用网络保持分明的界限。
(2)除了将防火墙设置在网络入口点之外,某些情况可能也需要将防火墙设置在校园网内部。
比如校园网中的财务处服务器、图书馆网段或教务处服务器所在的网段都需要设置防火墙。
这些服务器都需要被保护以避免网络中的其他用户访问。
(3)在多数情况下,防火墙不应该与其他的网络设备,比如路由器并行设置。
这样可能导致防火墙被旁路。
同时,我们也需要避免在网络拓扑中加入任何可能导致防火墙被旁路的设置。
随着防火墙技术的发展,防火墙又有了新的特性可以进一步增强我们的网络安全,比如过滤SYN泛洪、ICMP泛洪、IP欺骗等网络攻击。
利用防火墙的配置,能够限制每个用户的连接数甚至根据部分应用层服务特性阻断比如电驴、BT等P2P应用或限制带宽,这为保证HTTP之类的应用提供了重要安全保障和带宽保障。
4、虚拟专用网(VPN)的设置
虚拟专用网VPN综合了传统数据网络的性能优点和共享数据网络结构的优点,能够进行远程访问,连接内部网和外部网,同时价格低廉。
在降低成本的同时还能保证对网络带宽接入和服务不断增加的需求。
利用VPN特性在Internet上组建世界范围的内部虚拟网。
利用Internet的线路保证网络的互联性,利用隧道、加密等VPN特性可以保证信息在整个内部虚拟网上的安全传输。
内部虚拟网通过一个使用专有连接的共享基础设施连接各校区,使用它们拥有与专用网络相同的服务,包括安全、服务质量、可管理性和可靠性。
并且,如果使用扩展的虚拟专用网,能够很容易地与外部网进行部署和管理,学生计算机可以通过学生专用许可连接至校园网内部,通过这种方式可以有效地对校园网进行安全管理。
所以,通过VPN的方式不仅可以连接学校的各个分校区,同时还可以将校园网的各种服务延伸至校园外供老师、学生使用。
5、电子邮件服务器安全
电子邮件是校园网中最难管理和维护的系统之一。
随着用户不断增多,邮件系统所面临的安全问题日益增多,例如垃圾邮件、中继利用等。
所以校园网安全的电子邮件系统必须能够有效地消除垃圾邮件、病毒邮件、部分网络入侵。
作为一个安全的电子邮件系统应该具备以下功能:
系统本身具有较强的稳定性和可靠性;应具有与病毒系统集成的病毒邮件查杀、处理能力;具有灵活的垃圾邮件防范机制;具有严格的发信认证机制和反邮件中继功能,从而避免本身成为垃圾邮件和邮件分发代理。
邮件传输代理需要具有较高的健壮性,即使在重负荷之下仍然可以工作。
同时还学要具有良好的安全性,最好是具有多层防御结构,能够有效地抵御恶意入侵者。
最好是可以运行在较低的权限之下,不可以通过网络访问与安全相关的本地应用程序。
6、DDoS防御
在校园网中最常见的DDoS的攻击方式通常是利用系统的漏洞,恶意占用大量的CPU资源和内存资源,导致受害主机系统服务性能下降甚至造成系统瘫痪。
由于DDoS攻击的复杂性,很难依靠某种单一的系统或产品防御DDoS的攻击。
通常情况下,在校园网内防御DDoS攻击能力的措施有以下几种:
高性能的硬件设备抵抗DoS甚至DDoS攻击;充足的网络带宽和系统优化;安装专业的抗DDoS防火墙。
7、身份认证
如今的数字化校园通常包括了自动化办公、财务信息系统、教务管理、图书馆系统、电子邮件系统、及营业管理系统等应用,其中都需要进行身份的认证并且对不同身份所拥有的角色进行授权,而校园网就常常需要面对各种应用系统在用户管理过程中的分散管理的问题。
解决这个问题的有效方法就是采用统一、集中管理用户访问权限的认证系统中通过建立一个统一身份认证平台,将校园网中用户登录系统的基本验证信息统一存储并统一管理,对应用系统进行统一授权,这样就可以为不用应用系统提供用户管理服务队校园网统一身份认证系统,将用户信息资源统一保存到认证服务器中保证了信息资源的稳定、可靠、安全。
使用统一的认证系统提供的接口连接服务,系统就可以很好的支持基于平台的各种应用系统的调用,简单易实现。
同时,各应用系统只需保留角色和权限控制,用户和角色的管理由应用系统自行管理,从而简化了应用系统中用户管理模式的建设和后期维护。
8、病毒防范和补丁服务
在学校网络中心配置一台高效的服务器,安装一个网络版杀毒软件系统中心,负责管理校园网内所有主机网点的计算机,然后在各主机节点分别安装网络版杀毒软件的客户端。
同时为了安全和管理起见,管理员需要对网络中心的杀毒软件进行定期的更新。
而杀毒软件的选择目前在市场上也有很多产品。
具体选择什么样的产品还需要根据学校具体情况而定。
与此同时,还需要注意的是封锁系统安全漏洞。
在校园网的管理过程中,要及时下载和安装各种补丁、更新程序、升级操作系统,封锁系统安全漏洞。
这样对于保护网络和信息系统的安全有很大的帮助,可以有效地防止一些攻击者利用操作系统或各种应用软件的漏洞对校园网资源进行非法访问和恶意篡改。
9、IDS的设置
不同于防火墙,IDS入侵检测系统是一个监听设备,主要是对流量进行基于网络特征、协议分析以及流量异常等方式的检测,并对检测到的异常和攻击事件记录到攻击数据库中,并且可以和其他的交换机、防火墙配合使用进行整体防御。
因此,一般都是将IDS部署在关键流量流经的链路上。
这里的关键流量一般指的是,来自高位网络区域的访问流量和需要进行监视的流量。
鉴于目前大部分的网络区域是交换式网络结构,所以IDS在交换机网络中的位置是选择以下的地方,服务器区域交换机上、Internet介入路由器之后的第一台交换机上、重点保护网段的局域网交换机上。
一个典型的IDS的部署方案如图所示。
在部署了IDS系统之后,IDS能够实时分析校园网外部以及校园网内部的数据通信信息,分辨入侵攻击,在校园网网络系统受到危害前以各种方式发出警报,并且及时对网络入侵采取相应措施,最大限度保护校园系统的安全。
通过多级、分布式的网络监测、管理、控制机制,IDS能够有效对校园网中的关键资源进行控制和危险预警。
10、WAF
防火墙主要是防范校园网外部的攻击,但是如果要有效的保证校园网网站站点的安全性,就需要使用到WAF技术。
WAF是WebApplicationFirewall的简称,中文翻译为web应用防火墙。
WAF是一种网页监控与恢复系统,基于对HTTP/HTTPS流量的双向分析,对网站页面进行实时监控。
要在系统中部署并且利用好WAF需要进行一系列的步骤和操作。
首先,要在校园网站web服务器启动监控端服务,网站这是就会处在网页被保护监控保护状态。
其次是网页保护设置、监控管理的工作。
在控制端登录控制台,连接监控端主机进行设置,进行用户管理,添加或删除监控的目标文件或目录,设置备份服务器。
管理员平时要注意日志文件的观察。
对日志文件的分析可以及时发现安全薄弱点和已被入侵的站点,并且完整的网站日志在出现网络安全事件后可能也是回溯追踪的重要线索。
综合考虑以上所分析的网络安全标准、技术、机构以及该校园网网络建设的实际现状,再加上校园网网络建设的网络安全部署方案。
最终该校园网的网络拓扑如图所示。
Dmz区放置安全设备-waf-负载均衡设备-服务器
核心交换机sw-ids
漏洞扫描设备
审计设备
[此文档可自行编辑修改,如有侵权请告知删除,感谢您的支持,我们会努力把内容做得更好]
升级会员 