网络安全体系结构

2020/5/1
10
网络技术系 田宏政
P2DR模型
❖ P2DR(Policy策略，Protection防护，Detection检测，Response响 应）模型
▪ 20世纪90年代末，由ISS（Internet Security Systems Inc.美国国际互联网安全系统 公司）提出；
▪ 在整体策略的控制和指导下，在运用防护工具保证系统运行的同时，利用检测工具 评估系统的安全状态，通过响应工具将系统调整到相对安全和风险最低的状态；
❖ 弱点：
▪ 忽略了内在的变化因素（人员流动、人员素质、策略 的贯彻情况）。
2020/5/1
15
网络技术系 田宏政
PDRR模型
❖ PDRR模型 （Protection,Detection,Response,Recovery)
❖ 由美国近年提出。
攻击
成功 防护
失败
检测 成功 失败
成功 响应
失败
恢复
❖ 恢复：系统受到入侵后，恢复到原来状态。
▪ 防护、检测和响应组成了一个完整的、动态的安全循环，在安全策略的指导下保证 系统的安全，如下图所示。
防护（P）
响应（R）
策略（P） 检测（D）
2020/5/1
11
网络技术系 田宏政
策略（Policy）
❖ 策略是P2DR模型的核心，描述了在网络安全管 理过程中必须遵守的原则，所有的防护、检测和 响应都是依据安全策略进行实施的。
网络安全技术
网络安全体系结构与安全技术
网络技术系 田宏政
2020/5/1
1
安全层次体系结构
数据安全层 应用安全层 用户安全层 系统安全层 网络安全层 物理安全层
加密
访问控制
授权
用户/组管理
单机登录
身份认证
反病毒 风险评估 入侵检测 审计分析
防火墙 安全网关
VPN
存储备份
2020/5/1
2
网络技术系 田宏政
▪ 网络安全的第二道防线。 ▪ 通过工具对网络进行监视和检查，发现新的危胁时进
行反馈并及时做出有效的响应。 ▪ 检测对象：系统自身的脆弱性和外部威胁。 ▪ 与防护的区别和联系。
❖ 响应：
▪ 检测出问题后的处理措施。
2020/5/1
14
网络技术系 田宏政
P2DR模型特点
❖ 优点：
▪ 采用被动防御与主动防御相结合的方式，是目前比较 科学的安全模型。
DHCP BOOTP TFTP NTP
SNMP
NFS NIS PMAP NLM Mount Statd
XDR
OSI第5-7层
RPC
TCP
UDP
OSI第4层
2020/5/1
DVMRP
IGMP RSVP
OSPF IGRP BGP EGP GGP RIP
OSI第3层
ARP RARP
IP
ICMP
物理接口层
9
2020/5/1
4
网络技术系 田宏政
网络信息安全的关键技术
安全集成技术
防 病 毒 技 术
防 火 墙 技 术
V P N 技 术
入 侵 检 测 技 术
安 全 评 估 技 术
审 计 分 析 技 术
主 机 安 全 技 术
身 份 认 证 技 术
访 问 控 制 技 术
密 码 技 术
备 份 与 恢 复 技 术
安全管理技术
OSI第1-2层
网络技术系 田宏政
安全模型
❖ 网络安全是动态的。
▪ 攻击与反攻击是永恒的矛盾。
❖ 安全是相对的。
▪ 安全有时限性； ▪ 需要不断的更新、加强安全措施。
❖ 安全策略——为达到预期安全目标而制定的一套 安全服务准则。
❖ 安全模型——为实现安全策略设定的目标而构建 的安全框架。
▪ 两种模型：P2DR模型和PDRR模型。
❖ 策略的制定需要综合考虑整个网络的安全需求， 一旦制定，成为整个网络安全行为的准则。
❖ 建立安全策略是实现安全的最首要工作，也是实 现安全技术管理与规范的第一步。
2020/5/1
12
网络技术系 田宏政
防护（Protection）
❖ 防护就是采用一切手段保护计算机网络系统的机 密性、完整性、可用性、可控性和不可抵赖性， 预先阻止产生攻击可以发生的条件，让攻击者无 法顺利地入侵。
❖ 网络安全的第一道防线，采用静态的安全技术来 实现，如防火墙、认证技术、加密等。
❖ 分为三大类：
▪ 系统安全防护——保护操作系统 ▪ 网络安全防护——管理与传输安全 ▪ 信息安全防护——数据安全性
2020/5/1
13
网络技术系 田宏政
检测（Detection）和响应（Response）
❖ 检测：
访 问 控 制 安 全 检 测 用 户 鉴 权
传 输 安 全
出 存 入 取 控 控 制 制
安 全 扫 描 入 侵 检 测主 体 特 征 口 令 机 制 智 能 卡 数 字 证 书 传 输 数 据 数 据 完 整 防 抵 赖 加 鉴 密 别
控 制 表 技 术
攻 击 技 术
口 令 技 术
加 密 技 术 安 全 协 议
❖ PDRR模型的目标是尽可能地增大保护时间，减少 检测和响应时间，尽快恢复以减少系统暴露时间。
网络安全体系结构
安 全源自文库管 理
环媒设反备 审 访 安用 传 储 内 境 安体 安备 安病份 恢 计 监 问 控 全 检户 鉴 输 安 存 安 容 审 全全全毒复 控 制 测权 全 全 计
物 理 安 全
重 点
网 络 安 全
信 息 安 全
2020/5/1
安 全 体 系
3
网络技术系 田宏政
网络安全体系结构
物链 网
模层 理路 络 型次 层层 层
网 络 术安 全 技 实 目现 标安 全
物点 访 理到 问 信点 控 道链 制 安路 全加
密
访问控制 数据机密性 数据完整性
传
会
输
话
层
层
端
完
到
整
端
性
加
鉴
密
别
用户认证 防抵赖 安全审计
7
表应 示用 层层
数数身审 字据份计 签加认与 名密证监
控
网络技术系 田宏政
TCP/IP网络的四层结构模型
2020/5/1
5
网络技术系 田宏政
安全产品集成 完善的整体防卫架构
防病毒 访问控制
入侵检测 漏洞评估
2020/5/1
虚拟专用网
6
防火墙
网络技术系 田宏政
网络体系结构及各层的安全性
2020/5/1
网 络 次安 全 层
安 全
物 理 层
安 全
网 络 层
安全管理与审计
安 全
传 输 层
安 全
应 用 层
安用 全户
❖ OSI参考模型与TCP/IP模型对比
OSI参考模型
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
TCP/IP模型
应用层
传输层 网络层 网络接口 物理层
2020/5/1
8
网络技术系 田宏政
TCP/IP层次结构图
X11 System
HTTP FTP Telnet SMTP
DNS
LDAP