信息与网络安全技术.ppt

1

主要内容2

安全概念3

KansasCityDenverClevelandNewYorkAtlantaHoustonPittsburghMinneapolisColumbusWashingtonPhoenixRaleighTrentonSaltLakeCityWilmingtonDallasNewOrleansLincolnNewHavenDetroitMiamiWestfieldNashvillePhiladelphiaIndianapolisNewarkUWPacificNorthWestGreatPlainsMRENTexasOneNetDirectlyConnectedParticipantMAGPIPittsburgh(CMU)MERITMAXMCNCAbileneGigaPoPsCENICOARnetWestnetAlbuquerqueOklahomaCityGigaPopConnectedParticipantAnycolorAccessNodeRouterNodeSacramentoOaklandEugeneLosAngelesAnaheim33TotalAccessPointsServing64MembersSeattle数据是怎样产生、存储和传输的？网络各局部是怎样协同工作的〔关联性、依赖性〕？它是怎样满足每一项工作需要的〔应用、数据〕？网络是怎样增长的(建设、扩展)？网络怎样“平滑〞地完成工作？什么样的资源需要保护？什么是威胁？怎样尽量减少风险对于系统内脆弱的威胁？什么是脆弱性？考察网络平安的每一个细节4

理解平安概念5

理解平安概念AuthenticationAuthorizationAccountingAssuranceConfidentialityDataIntegrity平安策略管理ConnectivityPerformanceEaseofUseManageabilityAvailabilityAccessSecurity6

Max.安全风险投资、效率与可用性Min.Max.理解平安概念…7

Min.Max.平安曲线…平安性最优平衡点8

平安要素9

平安实务10

通俗的平安“进不来〞使用访问控制机制，阻止非授权用户进入网络，“进不来〞“拿不走〞使用授权机制，实现对用户的权限控制，即不该拿走的，“拿不走〞；“看不懂〞使用加密机制，确保信息不暴漏给未授权的实体或进程，即“看不懂〞；“改不了〞使用数据完整性鉴别机制，保证只有得到允许的人才能修改数据，而其它人“改不了〞；“走不脱〞使用审计、监控、防抵赖等平安机制，使得攻击者、破坏者、抵赖者走不脱。11

物理层链路层网络层传输层会话层表示层应用层物理层链路层网络层传输层会话层表示层应用层内部网络外部网络内部接口外部接口应用层应用层OSI七层参考模型IPHDRDATA12

ISO7498-2，信息平安体系结构访问控制效劳鉴别效劳数据完整性效劳数据保密效劳信息流平安数据源点鉴别数字签名机制加密机制数据完整性机制访问控制机制交换鉴别机制路由控制机制流量填充机制公证机制OSI平安管理13

ISO7498-2到TCP/IP的映射14

小结保障信息与网络系统稳定可靠地运行保证网络资源受控合法地使用PublicWWWServerCampus

BackboneHua-TechFirewallIntranetServersGatewaySalesOfficeHeadquartersInternetMainframeCSSSecure15

16

17

18

19

辐射线路窃听带宽的增加，威胁逐渐减少20

21

AAAKerberosRADIUSTACACSMSLoginOTPPKI/CertificatesCOPS/DIAMETERDHCP/DNSmappingLDAP22

IdentifyServer统一口令规那么/配置内部访问拨号访问Internet访问RADIUS/TACACSMSLoginOTPPKI/CertificatesCOPS/DIAMETERDHCP/DNSmappingLDAP23

24

包过滤〔PacketFilter〕地址转换NAT/端口转换PAT地址绑定(Mac)端口映射PMap/地址映射NMap地址过滤/内容过滤/时间段控制应用代理/传输代理日志/审计/响应/日志处理VPN/入侵检测/地址欺骗身份认证/OTP流量管理/计费管理/动态路由TCP/IP/IPX透明接入/非透明接入双机冷备/双机热备/负载均衡本地管理/远程管理/集中管理/用户分权界面〔CLI/GUI/WEB〕25

26

与IDS的连动/互动连动的风险/利弊得失27

基于弱点漏洞的平安