構(gòu)造積極防御的安全保障框架_第1頁
構(gòu)造積極防御的安全保障框架_第2頁
構(gòu)造積極防御的安全保障框架_第3頁
構(gòu)造積極防御的安全保障框架_第4頁
構(gòu)造積極防御的安全保障框架_第5頁
已閱讀5頁,還剩25頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領

文檔簡介

構(gòu)造積極防御的安全保障框架第1頁,共30頁,2023年,2月20日,星期五一、對當前信息安全系統(tǒng)

的反思

第2頁,共30頁,2023年,2月20日,星期五當前大部分信息安全系統(tǒng)主要是由防火墻、入侵監(jiān)測和病毒防范等組成常規(guī)的安全手段只能是在網(wǎng)絡層(IP)設防,在外圍對非法用戶和越權(quán)訪問進行封堵,以達到防止外部攻擊的目的對訪問者源端不加控制操作系統(tǒng)的不安全導致應用系統(tǒng)的各種漏洞層出不窮,無法從根本上解決第3頁,共30頁,2023年,2月20日,星期五封堵的辦法是捕捉黑客攻擊和病毒入侵的行為特征,其特征是已發(fā)生過的滯后信息

第4頁,共30頁,2023年,2月20日,星期五惡意用戶的攻擊手段變化多端,防護者只能:防火墻越砌越高入侵檢測越做越復雜惡意代碼庫越做越大第5頁,共30頁,2023年,2月20日,星期五導致:誤報率增多,安全投入不斷增加維護與管理更加復雜和難以實施信息系統(tǒng)的使用效率大大降低對新的攻擊入侵毫無防御能力(如沖擊波)反思:老三樣、堵漏洞、作高墻、防外攻、防不勝防

第6頁,共30頁,2023年,2月20日,星期五產(chǎn)生安全事故的技術(shù)原因:PC機軟、硬件結(jié)構(gòu)簡化,導致資源可任意使用,尤其是執(zhí)行代碼可修改,惡意程序可以被植入病毒程序利用PC操作系統(tǒng)對執(zhí)行代碼不檢查一致性弱點,將病毒代碼嵌入到執(zhí)行代碼程序,實現(xiàn)病毒傳播黑客利用被攻擊系統(tǒng)的漏洞竊取超級用戶權(quán)限,肆意進行破壞更為嚴重的是對合法的用戶沒有進行嚴格的訪問控制,可以進行越權(quán)訪問,造成不安全事故第7頁,共30頁,2023年,2月20日,星期五如果從終端操作平臺實施高等級防范,這些不安全因素將從終端源頭被控制。這種情況在工作流程相對固定的重要信息系統(tǒng)顯得更為重要而可行。第8頁,共30頁,2023年,2月20日,星期五在電子政務的內(nèi)外網(wǎng)中政務內(nèi)網(wǎng)與政務外網(wǎng)物理隔離,政務外網(wǎng)與Internet邏輯隔離要處理的工作流程都是預先設計好的操作使用的角色是確定的應用范圍和邊界都是明確的這類工作流程相對固定的生產(chǎn)系統(tǒng)與Internet網(wǎng)是有隔離措施的,外部網(wǎng)絡的用戶很難侵入到內(nèi)部網(wǎng)絡來

,其最大的威脅是來自內(nèi)部人員的竊密和破壞。第9頁,共30頁,2023年,2月20日,星期五

據(jù)統(tǒng)計,80%的信息安全事故為內(nèi)部人員和內(nèi)外勾結(jié)所為,而且呈上升的趨勢。因此我們應該以“防內(nèi)為主、內(nèi)外兼防”的模式,從提高使用節(jié)點自身的安全著手,構(gòu)筑積極、綜合的安全防護系統(tǒng)。應該:強機制、高可信、控使用、防內(nèi)外,積極防御第10頁,共30頁,2023年,2月20日,星期五二、可信賴計算環(huán)境第11頁,共30頁,2023年,2月20日,星期五為了解決PC機結(jié)構(gòu)上的不安全,從根本上提高其安全性,在世界范圍內(nèi)推行可信計算技術(shù)1999年由Compaq、HP、IBM、Intel和Microsoft牽頭組織TCPA(TrustedComputingPlatformAlliance),目前已發(fā)展成員190家,遍布全球各大洲主力廠商第12頁,共30頁,2023年,2月20日,星期五TCPA專注于從計算平臺體系結(jié)構(gòu)上增強其安全性,2001年1月發(fā)布了標準規(guī)范(v1.1),2003年3月改組為TCG(TrustedComputingGroup)其目的是在計算和通信系統(tǒng)中廣泛使用基于硬件安全模塊支持下的可信計算平臺,以提高整體的安全性。第13頁,共30頁,2023年,2月20日,星期五可信計算終端基于可信賴平臺模塊(TPM),以密碼技術(shù)為支持、安全操作系統(tǒng)為核心(如圖1所示)

安全應用組件安全操作系統(tǒng)安全操作系統(tǒng)內(nèi)核密碼模塊協(xié)議棧主板可信賴BIOSTPM(密碼模塊芯片)圖1:可信賴計算平臺第14頁,共30頁,2023年,2月20日,星期五具有以下功能:確保用戶唯一身份、權(quán)限、工作空間的完整性/可用性確保存儲、處理、傳輸?shù)臋C密性/完整性確保硬件環(huán)境配置、操作系統(tǒng)內(nèi)核、服務及應用程序的完整性確保密鑰操作和存儲的安全確保系統(tǒng)具有免疫能力,從根本上防止病毒和黑客第15頁,共30頁,2023年,2月20日,星期五安全操作系統(tǒng)是可信計算終端平臺的核心和基礎,沒有安全的操作系統(tǒng),就沒有安全的應用,也不能使TPM發(fā)揮應有的作用第16頁,共30頁,2023年,2月20日,星期五三、安全技術(shù)保障框架第17頁,共30頁,2023年,2月20日,星期五對工作流程相對固定的重要信息系統(tǒng)主要由應用操作、共享服務和網(wǎng)絡通信三個環(huán)節(jié)組成。如果信息系統(tǒng)中每一個使用者都通過可信終端認證和授權(quán),其操作都是符合規(guī)定的,網(wǎng)絡上也不會被竊聽和插入,那么就不會產(chǎn)生攻擊性共享服務資源的事故,就能保證整個信息系統(tǒng)的安全第18頁,共30頁,2023年,2月20日,星期五可信終端確保用戶的合法性和資源的一致性,使用戶只能按照規(guī)定的權(quán)限和訪問控制規(guī)則進行操作,能做到什么樣權(quán)限級別的人只能做與其身份規(guī)定的訪問操作,只要控制規(guī)則是合理的,那么整個信息系統(tǒng)資源訪問過程是安全的??尚沤K端奠定了系統(tǒng)安全的基礎第19頁,共30頁,2023年,2月20日,星期五應用安全邊界設備(如VPN安全網(wǎng)關等)保護共享服務資源,其具有身份認證和安全審計功能,將共享服務器(如數(shù)據(jù)庫服務器、WEB服務器、郵件服務器等)與非法訪問者隔離,防止意外的非授權(quán)用戶的訪問(如非法接入的非可信終端)。這樣共享服務端主要增強其可靠性,如雙機備份、容錯、災難恢復等,而不必作繁重的訪問控制,從而減輕服務器的壓力,以防拒絕服務攻擊第20頁,共30頁,2023年,2月20日,星期五采用IPSec實現(xiàn)網(wǎng)絡通信全程安全保密。IPSec工作在操作系統(tǒng)內(nèi)核,速度快,幾乎可以達到線速處理,可以實現(xiàn)源到目的端的全程通信安全保護,確保傳輸連接的真實性和數(shù)據(jù)的機密性、一致性

,防止非法的竊聽和插入第21頁,共30頁,2023年,2月20日,星期五綜上所述,可信的應用操作平臺、安全的共享服務資源邊界保護和全程安全保護的網(wǎng)絡通信,構(gòu)成了工作流程相對固定的生產(chǎn)系統(tǒng)的信息安全保障框架。(如圖2所示)

圖2:工作流程相對固定的生產(chǎn)系統(tǒng)安全解決方案全程IPSec

服務器安全邊界設備可信客戶端可信客戶端

全程IPSec

安全域一可信客戶端可信客戶端安全域二安全隔離設備全程IPSec第22頁,共30頁,2023年,2月20日,星期五要實現(xiàn)上述終端、邊界和通信有效的保障,還需要授權(quán)管理的管理中心以及可信配置的密碼管理中心的支撐從技術(shù)層面上可以分為以下五個環(huán)節(jié):應用環(huán)境安全應用區(qū)域邊界安全網(wǎng)絡和通信傳輸安全安全管理中心密碼管理中心即:兩個中心支持下的三重保障體系結(jié)構(gòu)

第23頁,共30頁,2023年,2月20日,星期五對于復雜系統(tǒng):構(gòu)成三縱(公共區(qū)域、專用區(qū)域、涉密區(qū)域)三橫(應用環(huán)境、應用區(qū)域邊界、網(wǎng)絡通信)和兩個中心的安全防御框架。(如圖3所示)第24頁,共30頁,2023年,2月20日,星期五圖3:信息安全技術(shù)保障框架第25頁,共30頁,2023年,2月20日,星期五應用環(huán)境安全:包括單機、C/S、B/S模式,采用身份認證、訪問控制、密碼加密、安全審計等機制,構(gòu)成可信應用環(huán)境應用區(qū)域邊界安全:通過部署邊界保護措施控制對內(nèi)部局域網(wǎng)的訪問,實現(xiàn)局域網(wǎng)與廣域網(wǎng)之間的安全。采用安全網(wǎng)關、防火墻等隔離過濾機制,保護共享資源的可信連接第26頁,共30頁,2023年,2月20日,星期五網(wǎng)絡和通信傳輸安全:包括實現(xiàn)局域網(wǎng)互聯(lián)過程的安全,旨在確保通信的機密性、一致性和可用性。采用密碼加密、完整性校驗和實體鑒別等機制,實現(xiàn)可信連接和安全通信安全管理中心:提供認證、授權(quán)、實施訪問控制策略等服務密碼管理中心:提供互聯(lián)互通密碼配置、公鑰證書和傳統(tǒng)的對稱密鑰的管理,為信息系統(tǒng)提供密碼服務第27頁,共30頁,2023年,2月20日,星期五三種不同性質(zhì)的應用區(qū)域在各自采用相應的安全保障措施之后,互相之間有一定的溝通,需要采用安全隔離和信息交換設備進行連接第28頁,共30頁,2023年,2月20日,星期五

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論