系统分析师-信息安全-通信与网络安全技术&系统访问控制技术
目录
一、通信与网络安全技术
1.1 防火墙
1.1.1 防火墙的功能
防火墙是位于两个或多个网络之间,执行访问控制策略的一个或一组系统,是一类防范措施的总称。
防火墙通常放置在外部网络和内部网络的中间,执行网络边界的过滤封锁机制。
防火墙的功能一般具有访问控制功能、内容控制功能、全面的日志功能、集中管理功能、自身的安全和可用性、流量控制、网络地址转换、虚拟专用网(VPN)等功能。
1.1.2 防火墙的技术分类
- 可分为网络级防火墙和应用级防火墙两类。
- 网络级防火墙:用来防止整个网络出现外来非法的入侵。
- 应用级防火墙:由应用程序进行接入控制,通常使用应用网关或代理服务器来区分各种应用。
- 实际应用中更详细的划分:包过滤型防火墙、电路级网关型防火墙、应用网关型防火墙、代理服务型防火墙、状态检测型防火墙和自适应代理型防火墙。
1.1.3 防火墙的体系结构
防火墙的体系结构:宿主机模式、屏蔽主机模式和屏蔽子网模式等。
(1)双宿 / 多宿主机模式
- 特点:是一种拥有两个或多个连接到不同网络上的网络接口的防火墙。
- 部署:通常用一台装有两块或多块网卡的堡垒主机做防火墙,两块或多块网卡各自与内部网和外部网相连。
- 实现方式:一般采用代理服务的办法,必须禁止网络层的路由功能。
(2)屏蔽主机模式
- 组成:由包过滤路由器和堡垒主机组成。
- 部署:将堡垒主机安装在内部网络上,通常在路由器上设立过滤规则,使该堡垒主机成为从外部网络唯一可直接到达的主机。
- 作用:确保内部网络不受未被授权的外部用户的攻击。
- 关键:过滤路由器的配置正确是防火墙安全与否的关键。
(3)屏蔽子网模式
- 组成:采用两个包过滤路由器和一个堡垒主机,在内外网络之间建立一个被隔离的子网(称为非军事区(DMZ)或边界网络)。
- 部署:网络管理员将堡垒主机、Web 服务器、Mail 服务器等公用服务器放在 DMZ 中;内部网络和外部网络均可访问屏蔽子网,但禁止它们穿过屏蔽子网通信。
- 优势:即使堡垒主机被入侵者控制,内部网仍能受到内部包过滤路由器的保护。
1.1.4 防火墙的局限性
- 为提高安全性,限制或关闭一些有用但存在安全缺陷的网络服务,给用户带来使用上的不便。
- 对来自网络内部的攻击无能为力,作为被动防护手段,不能阻止 Internet 新的威胁和攻击,不能有效防范数据驱动式攻击。
- 不能防范不经过防火墙的攻击。
- 对用户不完全透明,可能带来传输延迟、瓶颈和单点失效等问题。
- 不能完全防止受病毒感染的文件或软件的传输。
1.2 虚拟专用网(VPN)
- 定义:是企业网在 Internet 等公共网络上的延伸,通过私有的通道在公共网络上创建一个安全的私有连接。
- 本质:是一个虚信道,可用来连接两个专用网,通过可靠的加密技术保证安全性,且作为公共网络的一部分存在。
1.2.1 VPN 的关键技术
- 隧道技术:是 VPN 的基本技术,类似于点对点连接技术,在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。
- 加解密技术:是数据通信中较成熟的技术,VPN 可直接利用现有技术。
- 密钥管理技术:主要任务是如何在公用数据网上安全地传递密钥而不被窃取。
- 身份认证技术:通常使用名称与密码或卡片式认证等方式。
- 访问控制技术:由 VPN 服务的提供者根据各种预定义组中的用户身份标识,限制用户对网络信息或资源的访问控制的机制。
1.2.2 PPP 拨号会话过程
- 分为 4 个阶段:创建 PPP 链路、用户验证、PPP 回叫控制和调用网络层协议。
- 在用户验证阶段,客户 PC 会将用户身份发送给网络接入服务器(NAS),该阶段使用安全认证方式避免第三方窃取数据或冒充远程客户接管连接。
- 大多数 PPP 方案提供的有限认证方式包括:口令认证协议(PAP)和挑战握手认证协议(CHAP)。
1.3 安全协议
1.3.1 SSL
SSL 协议概述
- 定义:是一个传输层的安全协议,用于在 Internet 上传送机密文件。
- 组成:由握手协议、记录协议和警报协议组成。
SSL 各子协议功能
- SSL 握手协议:用来在客户与服务器真正传输应用层数据之前建立安全机制。
- SSL 记录协议:根据握手协议协商的参数,对应用层送来的数据进行加密、压缩和计算消息鉴别码,然后经传输层发送给对方。
- SSL 警报协议:用来在客户和服务器之间传递 SSL 出错信息。
SSL 主要提供三个方面的服务:用户和服务器的合法性认证、加密数据以隐藏被传送的数据、保护数据的完整性。
SSL 实现过程阶段
- 接通阶段:客户机通过网络向服务器打招呼,服务器回应。
- 密码交换阶段:客户机与服务器之间交换双方认可的密码。
- 会谈密码阶段:客户机器与服务器间产生彼此交谈的会谈密码。
- 检验阶段:客户机检验服务器取得的密码。
- 客户认证阶段:服务器验证客户机的可信度。
- 结束阶段:客户机与服务器之间相互交换结束的信息。
1.3.2 HTTPS
- 是以安全为目标的 HTTP 通道,是 HTTP 的安全版。SSL 极难窃听,可对中间人攻击提供一定的合理保护。端口号 443。
1.3.3 PGP
- 是一个基于 RSA 的邮件加密软件,可以用它对邮件保密以防止非授权者阅读,还能对邮件加上数字签名,使收信人可以确信邮件发送者。
1.3.4 IPSec
- 是一个工业标准网络安全协议,为 IP 网络通信提供透明的安全服务,保护 TCP/IP 通信免遭窃听和篡改,可有效抵御网络攻击,同时保持易用性。
- 有两个基本目标:保护 IP 数据包安全、为抵御网络攻击提供防护措施。
- 结合密码保护服务、安全协议组和动态密钥管理三者来实现上述两个目标。
1.4 单点登录(SSO)技术
1.4.1 单点登录系统的概念
- 单点登录(SSO)技术是通过用户的一次性认证登录,即可获得需要访问系统和应用软件的授权。
- 单点登录系统采用基于数字证书的加密和数字签名技术,基于统一策略的用户身份认证和授权控制功能,对用户实行集中、统一的管理和身份认证,以区别不同的用户和信息访问者,并作为各应用系统的统一登录入口,同时,为通过身份认证的合法用户签发针对各个应用系统的登录票据(ticket),从而实现 “一点登录,多点漫游”。
1.4.2 SSO 系统的特征与功能
- 常规特征:支持多种系统、设备和接口。
- 终端用户管理灵活性:包括账号创建、口令管理(口令维护、历史记录、文法规则等)和用户识别;支持各种类型的令牌设备和生物学设备。
- 应用管理灵活性:若多个会话同时与一个公共主体相关,设备场景管理能保证一个会话改变时其他相关会话自动更新;能监控特定信息的使用;可将各种应用绑定以保证一致性。
- 移动用户管理:保证用户在不同地点对信息资源进行访问。
- 加密和认证:加密保证信息传输安全性;认证保证用户真实性。
- 访问控制:保证只有用户被授权访问的应用可提供给用户。
- 可靠性和性能:包括 SSO 和其他访问控制程序之间接口的可靠性和性能。
1.4.3 Kerberos
- 是一种网络身份认证协议,基于信任第三方,提供开放型网络中身份认证的方法,认证实体可以是用户或用户服务。
- 安全机制:首先对发出请求的用户进行身份验证,确认是否为合法用户;若是合法用户,再审核其是否有权访问所请求的服务或计算机。验证建立在对称加密基础上,KDC 保存与所有密钥持有者通信的保密密钥。
1.4.4 外壳脚本机制
- 通过原始认证进入系统外壳,然后外壳激发各种专用平台的脚本,来激活目标平台的账号和资源的访问。
二、系统访问控制技术
访问控制是策略和机制的集合,允许对限定资源的授权访问。
2.1 访问控制的三要素
- 主体:可以对其他实体施加动作的主动实体,有时也称为用户或访问者。
- 客体:接受其他实体访问的被动实体,凡是可以被操作的信息、资源和对象都可视为客体。
- 控制策略:主体对客体的操作行为集合约束条件集(访问规则集)。
2.2 访问控制策略
- 登录访问控制策略:为系统访问提供第一层访问控制,控制哪些用户能登录系统并获取资源,控制准许用户登录时间和具体工作站。分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的默认限制检查。
- 操作权限控制策略:针对非法操作采取的安全保护措施,用户和用户组被赋予一定操作权限,系统管理员可指定用户和用户组访问系统中的哪些服务器和计算机。
- 目录安全控制策略:系统允许管理员控制用户对目录、文件和设备的操作,目录安全允许用户在目录一级的操作对目录中所有文件和子目录都有效,用户还可自行设置对子目录和文件的权限。
- 属性安全控制策略:允许将设定的访问属性与服务器的文件、目录和设备联系起来,系统资源应预先标出一组安全属性,用户对资源的操作权限对应一张访问控制表,其控制级别高于用户操作权限设置级别。
- 服务器安全控制策略:系统允许在服务器控制台上执行一系列操作,用户可通过控制台加载和卸载系统模块、安装和删除软件,系统应提供服务器登录限制、非法访问者检测等功能。
2.3 访问控制模型
访问控制模型是一种从访问控制的角度出发,描述系统安全,建立安全模型的方法。
具体访问控制模型
- Bell-LaPadula(BLP)模型
- 是第一个正式的安全模型,基于强制访问控制(MAC)系统,是典型的信息保密性多级安全模型,主要应用于军事系统中。
- 数据和用户安全等级划分为公开、受限、秘密、机密和高密 5 个等级。
- 基于两种规则保障数据的机密度与敏感度,下读上写:
- 下读: 主体只能读取安全级别低于或等于它的客体。 (即:不能上读)
- 上写: 主体只能写入安全级别高于或等于它的客体。 (即:不能下写)
- Lattice 模型
- 每个资源和用户都服从于一个安全类别,将用户和资源进行分类,并允许它们之间交换信息,是多边安全体系的基础。
- BLP 模型中的下读和上写原则在此适用,但前提是各对象位于相同的安全集束中。
- Biba 模型
- 对数据提供了分级别的完整性保证,使用 MAC 系统。
- 基于两种规则保障数据的完整性与保密性,上读下写:
- 上读: 主体只能读取完整性级别高于或等于它的客体。 (即:不能下读)
- 下写: 主体只能写入完整性级别低于或等于它的客体。 (即:不能上写)
2.4 访问控制的分类
自主访问控制(DAC):在确认主体身份及所属组的基础上对访问进行限定的方法。允许某个主体显式地指定其他主体对该主体所拥有的资源是否可访问及可执行的访问类型。
强制访问控制(MAC):基本思想是每个主体和客体都有既定的安全属性,主体对客体能否执行特定操作取决于两者安全属性的关系。通常要求主体对客体的访问满足 BLP 模型的两个基本特性。
基于角色的访问控制(RBAC):因引入角色和层次化管理,特别适用于用户数量庞大、系统功能不断扩展的大型系统。在用户和访问许可权之间引入角色概念,用户与一个或多个角色相联系,角色与一个或多个访问许可权相联系。
基于任务的访问控制(TBAC):从应用和企业层角度解决安全问题,采用面向任务的观点建立安全模型和实现安全机制,在任务处理过程中提供动态实时的安全管理。TBAC 模型由工作流、授权结构体、授权步和许可集 4 个部分组成。
基于对象的访问控制(OBAC):控制策略和控制规则是核心,在 OBAC 模型中,将 ACL 与受控对象及其属性相关联,将访问控制选项设计为用户、组或角色及其对应权限的集合。
相关推荐
软件工程-软件开发环境与工具&CMM&CMMI&软件重用和再工程
