网络安全架构介绍及其案例分析

信息安全和容灾备份徐建锋中国电信股份有限公司广东研究院提纲背景概述安全理念和模型安全关键技术安全运营管理体系背景概述《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南“积极防御，综合防范”的方针关于信息安全等级保护工作的实施意见信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督信息安全等级保护制度的原则（1）（一）明确责任，共同保护。通过等级保护，组织和动员国家、法人和其他组织、公民共同参与信息安全保护工作；各方主体按照规范和标准分别承担相应的、明确具体的信息安全保护责任。（二）依照标准，自行保护。国家运用强制性的规范及标准，要求信息和信息系统按照相应的建设和管理要求，自行定级、自行保护。（三）同步建设，动态调整。信息系统在新建、改建、扩建时应当同步建设信息安全设施，保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全保护等级。等级保护的管理规范和技术标准应按照等级保护工作开展的实际情况适时修订。四、指导监督，重点保护。国家指定信息安全监管职能部门通过备案、指导、检查、督促整改等方式，对重要信息和信息系统的信息安全保护工作进行指导监督。国家重点保护涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统，主要包括：国家事务处理信息系统（党政机关办公系统）；财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的信息系统；教育、国家科研等单位的信息系统；公用通信、广播电视传输等基础信息网络中的信息系统；网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。信息安全等级保护制度的原则（2）第一级为自主保护级，适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益。第二级为指导保护级，适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害。信息安全等级保护制度的等级（1）第三级为监督保护级适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害。第四级为强制保护级适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成严重损害。第五级为专控保护级适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。信息安全等级保护制度的原则（2）P2DR动态安全模型Policy（安全策略）、Protection（防护）、Detection（检测）和Response（响应）。PADIMEE模型（安氏企业信息系统安全生命周期模型）Policy（安全策略）、Assessment（安全评估）、Design（设计/方案）、Implementation（实施/实现）、Management/Monitor（管理/监控）、EmergencyResponse（紧急响应）和Education（安全教育）ISAF模型(安氏信息安全保障模型)InformationSecurity&AssureFramework信息安全模型提纲背景概述安全理念和模型安全关键技术安全运营管理体系网络安全建设模型-P2DR模型信息安全生命周期-PADIMEE™模型（1）PADIMEE™是安氏公司提出的并被业界广泛认同的信息安全生命周期方法论，它建立在BS7799/ISO17799之上七个核心策略（Policy）评估(Assessment)设计(Design)执行(Implementation)管理(Management)紧急响应(EmergencyResponse)教育(Education)信息安全生命周期-PADIMEE™模型（2）安全保障模型（ISAF）人管理技术安全对象防御领域子领域信息资产网络基础设施ISAF—四大防御领域支持性基础设施网络边界计算环境ISAF—安全保障模型ISAF模型用三维来描述信息安全保障体系结构第一维是安全需求维，主要阐述信息安全需求的不断变化和演进，以及当前主要的安全需求；第二维维安全对象描述，提供将安全对象按类型和层次划分方法论，达到能够更清晰和系统地描述客观安全对象地安全需求；第三维为能力来源维，主要描述能够提供满足安全对象相关安全需求的防护措施的种类和级别ISAF模型三维描述安全产品与ISAF的关系网络边界网络基础设施计算环境支持性基础设施FirewallUTMNetworkbasedUTMHostbasedIDSSOCSecurityservices保密性谁能拥有信息保证秘密和敏感信息仅为授权者享有。完整性拥有的信息是否正确保证信息从真实的信源发往真实的信宿，传输、存储、处理中未被删改、增添、替换。可用性信息和信息系统是否能够使用保证信息和信息系统随时可为授权者提供服务而不被非授权者滥用。可控性是否能够监控管理信息和系统保证信息和信息系统的授权认证和监控管理。不可否认性：为信息行为承担责任保证信息行为人不能否认其信息行为。ISAF安全需求ISAF安全需求安全对象按照所处网络的具体位置和面临威胁的类型横向分成四个安全域：网络边界、网络基础设施、计算环境和支撑性基础设施网络边界企业内不同安全域间的边界与Internet的边界与第三方合作伙伴的互连边界与电信专用网（DDN、FR等）的边界与传统电话网（拨号用户、ADSL用户等）的边界与无线网的边界网络基础设施网络的体系结构网络的容量和可用性网络与网络间的通信设备与设备间的通信设备的管理与维护用户数据接口网络管理中心（NMC）的远程管理设备到NMC的通信NMC的安全ISAF安全需求计算环境安全的应用系统安全的操作系统安全的终端系统补丁管理病毒防护完整性管理配置管理（软硬件清单）访问控制管理（应用级）入侵检测行为监控网络准入管理支撑性基础设施密钥管理基础设施/公钥基础设施（KMI/PKI）入侵检测系统（IDS）ISAF安全需求能力来源该维描述的是为了使特定的安全对象达到安全策略中要求的安全需求，可以在哪些方面选择控制措施，给大家在解决方案上提供思考空间。安氏公司使用以下PTM（People－Technology－Management）模型来描述：安全意识安全组织安全技能职责定义和区分第三方人员管理与执法机构的联系危机处理一般企业的解决思路：外包集中能力来源-人员MicroaiM认为构成安全体系的最核心要素，包括：1、资产Assets2、威胁Threats3、防护措施Safeguards防护措施则分为4个层次：1、策略框架――体现整个机构的信息安全方针、标准、制度、规范、指南等。2、组织框架――建立有效的信息安全组织，为组织中的人员赋予明确的角色和职责，并实施全员的安全教育等。3、运作框架――用户管理，应急计划，物理和环境安全等。4、技术框架――MicroaiM独到的IAARC技术框架对于信息安全技术根据其行为特征予以分类、研究、开发和实施。能力来源-技术（IAARC模型）能力来源-技术（IAARC模型）MicroaiM认为主要的安全技术都可以归结到下面5个安全行为：1、鉴别和认证Identification&Authentication2、访问控制AccessControl3、审计和跟踪AuditTrail4、响应和恢复Response&Recovery5、内容安全ContentSecurity能力来源-技术（IAARC模型）管理可以分成两个层次的管理：一个层次是以政府职能为主的宏观管理，包括信息安全政策、法规、规范、标准等；另一个层次就是以企业为核心的运营管理，也包括了策略、规范、标准、流程等内容，流程在这里显得尤为重要。安氏借鉴ITIL等标准提出安全运营的8大流程，如下图所示：能力来源-管理能力来源－管理提纲背景概述安全理念和模型安全关键技术（网络层的）安全运营管理体系电信运营商主要采用的网络安全技术电信实现网络安全的主要技术思路是采用AAA技术，实现可溯源，具体的技术如下：PPPOE拨号技术（中国电信ADSL宽带用户使用）DHCP+WEB技术（中国电信WLAN接入使用）VPN技术（中国电信移动办公和企业网络使用）uRPF技术Netflow技术DDOS攻击防御技术PPPOE接入（LAN接入，RFC2516）GEIP网络接入服务器（BRAS）以太网络IPPPP以太帧PPP以太帧PhyPhyPPPPPPPhy以太帧PPP以太帧PhyPhy二层帧IPIPIPIP1、这种模式下PC直接接到楼道交换机，PPP包直接封装在二层以太包中，楼道交换机完成以太帧的帧头变化。2、PPP：pointtoPointRADIUS服务器PPPOE接入（LAN接入，RFC2516）GEIP网络接入服务器（BRAS）以太网络IPPPP以太帧PPP以太帧PhyPhy发起PPP连接：用户名，密码PPPPhy以太帧PPP以太帧PhyPhy二层帧IPIPIPIP1、这种模式下PC直接接到楼道交换机，PPP包直接封装在二层以太包中，楼道交换机完成以太帧的帧头变化。RADIUS服务器用户认证通过：得到IP地址PPPOE接入控制技术PPPOE拨号实现了一下功能：第一：AAA功能，也就是认证（authentication）、授权、（authorization和记账（accounting）功能第二：实现了IP地址的分配第三：RADIUS系统记录了如下信息用户名、密码用户MAC地址和IP地址用户上网时间和下网时间用户的接入端口号或者VLAN用户上网流量所有这些信息为安全审计提供了基本的保障秋后算账能够有力减少安全事件的发生DHCP+WEB技术基本实现了PPPOE的功能标准以太帧结构46~1500字节DASATypeDataCRC6B6B2B4B0800：表示数据为IP数据报0806：表示数据为ARP请求/应答数据报8035：表示数据为RARP请求/应答数据报1、标准以太帧使用Type字段来表示数据部分承载何种协议数据2、标准以太帧最大的长度为1518字节(6+6+2+1500+4=1518)PPP帧格式(RFC1331)标志地址控制协议数据帧校验和标志1Byte1Byte1Byte2ByteUpto1500Byte1或2Byte1Byte标志：01111110地址：TheAddressfieldisasingleoctetandcontainsthebinarysequence11111111(hexadecimal0xff),theAll-Stationsaddress.PPPdoesnotassignindividualstationaddresses.TheAll-StationsaddressMUSTalwaysberecognizedandreceived.Theuseofotheraddresslengthsandvaluesmaybedefinedatalatertime,orbyprioragreement.FrameswithunrecognizedAddressesSHOULDbesilentlydiscarded,andreportedthroug