Transcript 局域网安全技术分析
局域网安全技术分析 主讲人:高训兵 S310060069 内容提要: 局域网的应用为资源共享、 信息交换和分布处 理提供了良好的环境, 但同时也面临严重的安全技 术问题。 针对局域网中存在数据的可访问性、 信息的聚 生性和设防的困难性等问题。下面将从保护信息的 机密性、 完整性和可使用性的角度出发, 提出应 根据局域网的风险评价采用相应的安全技术, 并论 述相关的安全技术对策。最后给出总结。 引言 局域网安全技术是指借助于网络管理, 使局域网中 信息的机密性、 完整性及可使用性受到保护的技术。 主要目标是确保经网络传输的信息,到达目的计算 机时,没有任何改变或丢失。因此,必须确保所有组 网部件能根据需求提供必要的功能且只有授权者可以 访问网络, 并且应能保证其信息完整、 准确地传播。 常用的局域网络安全技术措施 访问控制政策 认证技术 加密技术 身份鉴别 防火墙技术 网络监测技术 1访问控制政策 访问控制的实质是对资源使用的限制, 它决定一个 用户或程序是否有权对某一特定资源执行一个特定的 操作 (如共享、 修改签字等)。 访问控制政策主要有以下几种方案: 自主访问控制政策 强制访问控制政策 基于角色的控制访问政策 自主访问控制政策 自主访问控制是一种最普遍的访问控制手段, 它是 由客体自主地确定各个主体对它的直接访问权限, 但不能控制主体对客体的间接访问。 强制访问控制政策 强制访问控制是由一个授权机构为主体和客体分别定 义固定的访问属性, 每个用户具有一个安全级, 且 在同一级中还要受类别的控制。 而且用户不能修改 访问权限。 基于角色的控制访问政策 基于角色的控制访问是以用户访问某特定资源时的角 色来决定其权限。具体办法是: 为每一个资源对象 建立一张访问控制列表, 表明其对各种角色赋予的 权限; 也给每一个用户赋一个或几个预定的角色。 基于角色的控制访问具有前两种的特点和优点, 更 加安全方便。 2认证技术 身份认证是指在计算机网络中确认操作者身份的过程 .计算机通过识别用户的数字身份或用户数字身份的 授权信息,来辨别用户的合法性,保证操作者的物理 身份与数字身份相对应. 目前局域网中常用的认证技术有: Web认证技术 802.1x技术 Web认证技术 Web认证技术一种基于HTTP协议以及HTTPS安全协 议的认证接入方式 用途:以太网用户的认证接入 核心:用户 通过数据报文中的用户信息来识别用户,并对用户开 展接入和业务控制 802.1x技术 802.1x技术是一种基于Client/Server的访问控 制和认证协议。 主要目的:为了解决局域网用户的接入认证问题 控制的核心:逻辑端口 基本思路:用户直接与端口相连 802.1x技术 802.Ix协议的认证体系结构包括三个部分: Supplicant System客户端 Authenticator System认证系统 Authentication Server System认证服务器 802.1x技术—客户端 客户端:请求者——被认证的用户或设备,一般为 一个用户终端系统,该终端系统通常要安装一个支 持基于端口的接入控制(EAPOL协议)的客户端软件 .用户通过启动客户端软件发起IEEE 802.Ix协议 的认证过程. 典型:WindowsXP操作系统自带的客户端. 802.1x技术—认证系统 认证系统——通常为支持802.1x协议的网络设备, 一般由用户接人层设备(如交换机)实现.该设备对 应于不同用户的端口,并对接入的用户或设备进行 认证的端口. 802.1x技术—认证服务器 认证服务器——认证服务器通常为Radius服务器, 该服务器存储有关用户的信息,例如用户所属的 VLAN、优先级、用户的访问控制列表等.它根据 认证者的信息,负责对请求访问网络资源的用户或 设备进行实际认证.当用户通过认证后,认证服务 器会把用户的相关信息传递给认证系统,由认证系 统构建动态的访问控制列表,用户的后续访问就将 接受上述参数的监管. 3加密技术 工作中, 为保护人们的原始数据, 人们用密钥对数 据进行加密, 使得数据不能被任何人读懂。加密后 的数据表面上看来是一些毫无意义的比特序列, 与 明文没有明显的关系。为了恢复明文, 接收方要对 密文进行解密。 加密两个主要的组成部分 算法 密钥 加密技术 常用的加密方法有两种: 对称加密技术 不对称加密技术 对称加密技术 其加密密钥和解密密钥相同, 加解密过程呈镜像 式对称结构。 性能关键:密钥的保密性。 典型代表:DES数据标准加密法。 不对称加密技术 它是用一个密钥进行加密, 而用另一个不同但是有 关的密钥进行解密。任何一方都创建两个独特的密钥 , 一个是公开的, 另一个为私有。 加密过程为: 首先, 网络中的每个端系统都产生一 对用于它将接收的报文进行加密和解密的密钥。其次 , 每个系统都通过把自己的加密密钥放进一个登记 本或者文件来公布它, 这就是公开密钥, 另一个密 钥则是私有的。 典型代表RSA系统,更适用于开放的使用环境, 密 钥管理相对简单。 4身份鉴别 身份鉴别是一个重要的局域网安全服务, 用来确定 用户是否合法。它涉及两方面的内容, 即身份识别 和验证。 身份鉴别方法有: 基于令牌的身份鉴别 kerberos第三方仲裁协议 LASA系统等。 5防火墙技术 在局域网与外界的通道上设置防火墙, 可以防止局 域网内部与外部网连通后秘密信息外泄。 防火墙技术是一种被动式防御的访问控制技术, 是 通过在局域网边界上建立起来的相应的网络通信监控 系统, 以期在不可靠的互联网络中建立一个可靠的 内部局域网。 主要类别有: IP级防火墙 应用级防火墙 链路级防火墙 6网络检测技术 网络管理及检测也是提高局域网性能和安全的重要措 施。 网络检测产品分为两类: 基于主机型和面向网络中 继系统型 常用的产品: HP OpenView Cisco Works HP网络分析仪 小结 局域网安全技术措施各有其特点, 人们应根据 局域网的风险评价结果, 采取一种或多种行之有效 的手段, 来保护信息资源的安全。但仅仅靠单纯的 技术措施是远远不够的, 还应加强在安全监督管理 方面的工作和建立完善的应急预案。 一方面, 对工作人员进行安全教育, 提高保密 观念, 及时查漏补缺, 完善局域网的安全措施和管 理制度, 防止类似事件再次发生。 另一方面, 从法律角度来研究和制定计算机安 全防范对策, 应用法律的武器, 对违法行为进行严 惩。