信息安全67.pptVIP

Internet安全防范 技术与产品 Internet网络安全技术(1) 安全内核技术 安全等级制 身份鉴别技术 Kerberos Web安全技术 SSL SHTTP SOCKS协议 网络反病毒技术 防火墙技术 动态IP过滤技术 IP分片过滤技术 IP欺骗保护 地址转换 访问控制 保密网关技术 面向信息与面向客户 综合安全与保密策略实现 Internet网络安全技术(2) ISO7498-2，信息安全体系结构 1989.2.15颁布，确立了基于OSI参考模型的七层协议之上的信息安全体系结构 五大类安全服务(鉴别、访问控制、保密性、完整性、抗否认） 八类安全机制(加密、数字签名、访问控制、数据完整性、鉴别交换、业务流填充、路由控制、公证） OSI安全管理 “五、八、一” Internet网络安全技术(3) ISO7498-2到TCP/IP的映射 国际Internet安全技术活动(1) 互连网层安全协议 IPSO（IP Security Option)[RFC1108] 美国国防部安全规范，仅适用军事封闭网 SwIPe 增强IP层安全的一个早期原型实例 1994年IETF/IPsec工作组： 制定IP安全协议(IPSP) 制定IP密钥管理协议(IPKMP) 1995年公布IPv6,增加了鉴别头(AH)和封装安全负载(ESP) 结论 探索与实验之中，尚未解决问题 密钥算法与密钥分发问题 国际Internet安全技术活动(2) 传输层安全协议(Sockets TLI) 安全套接层SSL(Secure Sockets Layer) 1995年12月公布v3, Netscape开发 1996年4月IETF/TLSG传输层安全工作组起草TLSP 微软提出SSL升级版本成为PCT(private communication technology) 主要问题 上层应用需要改变 使用X.509证书，由于X.500目录服务的领悟力极差，导致密钥分发和证书暴露许多问题。 需要一个全球密钥分发机制(CA），以DNS为基础，带来法律与政治问题 国际Internet安全技术活动(3) 应用层安全协议 PEM(Private Enhanced Email) MIME对象安全服务(MOSS) S/MIME PGP S-HTTP SNMPv1和SNMPv2 E-Commerce SET 鉴别和密钥分发系统(Kerberos V5,Kryptoknight等) 其它问题(PKI,安全服务的层次） 国际Internet安全技术活动(4) 基于TCP/IP协议的网络安全体系结构基础框架 IPv6 IPSEC ISAKMP TCP SSL UDP PEM MOSS PGP S/MIME SHTTP SSH SNMPv2 Kerberos 网络层 传输层 应用层 国际Internet安全技术活动(5) ISO7498-2映射而得的TCP/IP各层安全服务与安全协议的对应关系 IP层 TCP层 IPSEC 鉴别 访问控制 保密性 完整性 抗否认 SSL PEM MOSS S/MIME PGP SHTTP SNMP SSH Kerberos Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y 安全协议 层 应用层 安全产品类型 根据我国目前信息网络系统安全的薄弱环节，近几年应重点发展安全保护、安全检测与监控类产品，相应发展应急反应和灾难恢复类产品。 信息保密产品 用户认证授权产品 安全平台/系统 网络安全检测监控设备 密 钥 管 理 产 品 高 性 能 加 密 芯 片 产 品 密 码 加 密 产 品 数 字 签 名 产 品 安全授权认证产品 信息保密产品 数 字 证 书 管 理 系 统 用 户 安 全 认 证 卡 智 能 IC 卡 鉴 别 与 授 权 服 务 器 安全平台/系统 安 全 操 作 系 统 安 全 数 据 库 系 统 Web 安 全 平 台 安 全 路 由 器 与 虚 拟 专 用 网 络 产 品 网 络 病 毒 检 查 预 防 和 清 除 产 品 安全检测与监控产品 网 络 安 全 隐 患 扫 描 检 测 工 具 网 络 安 全 监 控 及 预 警 设 备 网 络 信 息 远 程 监 控 系 统 网 情 分 析 系 统 四、评估新技术发展所带来的影响 新的技术发展 集成电路工艺技术: 大规模集成:200万 ?20亿个晶体管 单芯片系统技术 可编程与可重构硬件技术 无线通信技术 可信计算平台技术（TCPA） 例：无线数据通信技术 PAN(10M) Bluetooth LAN(100M) 802.11x WAN(