单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第2章 信息安全体系结构,技术体系结构概述,安全机制,OSI安全体系结构,应用体系结构,组织体系结构与管理体系结构,第2章 信息安全体系结构 技术体系结构概述,1,信息安全体系就是为了从管理、技术上保证安全策略得以完整、准确地实现,包括:,技术体系,组织体系,管理体系,信息安全体系,信息安全体系三棱锥,组织体系,技术体系,管理体系,信息安全体系就是为了从管理、技术上保证安全策略得以完整、准确,2,体系结构释义,所谓一种体系结构实际上是一种被普遍认可的一种,概念,或,结构,,以及这种结构的,目标,和采用的,方法,例1.居住楼房是一种建筑(体系)结构,例2.窑洞则是能供家庭居住的另一种结构,体系结构的概念可以使人们在,大的方面进行交流,而不同权益者可以关注不同的细节例如住户仅关心在楼房建设中使用的水泥标号(表示其强度),而房地产开发商除了关注水泥的标号外,还需要关注水泥的采购价格等,而外形设计者可能仅关注水泥的颜色由此可以看出研究体系结构的重要性,体系结构释义 所谓一种体系结构实际上是一种被普遍认可的一种概,3,技术体系结构概述,定义:信息安全的技术体系结构是研究在,特定应用,环境或类别下,采用,妥善,定义的信息安全机制,,构建、实现相关的,安全目标,或,安全服务,的科学。
应用环境可分为:,物理环境,计算机系统平台,网络通信平台,应用平台四种,妥善,定义的信息安全机制:,是指那些技术或模块,它们能够实现一个或若干特定安全目标这些安全机制有明确的定义和易判定的外延,与别的模块有明显的区别技术体系结构概述 定义:信息安全的技术体系结构是研究在特定应,4,例如:,1.加密模块,2.访问控制模块,它们的定义是明确的,外延是易判定的,从而是,妥善,定义的机制妥善定义的信息安全机制通常简称为,安全机制,不同的应用环境对安全的需求是有差异的给定的一类应用对安全的需求可以归结为一些基本要素,称为,安全目标,(也称为安全服务)这些安全目标可以通过合理配置安全机制来实现具体的应用安全性则是通过调用这些安全服务完成例如:,5,应用系统安全,安全目标,安全机制,图 安全体系结构层次,信息安全技术体系,物理环境安全体系,计算机系统平台安全体系,网络通信平台安全体系,应用平台安全体系,应用系统安全安全目标安全机制图 安全体系结构层次信息安全技术,6,技术体系结构概述,物理安全,是通过机械强度标准的控制,使信息系统所在的建筑物、机房条件及硬件设备条件满足信息系统的,机械防护,安全;通过采用电磁屏蔽机房、光通信接入或相关电磁干扰措施,降低或消除,信息系统硬件组件的,电磁发射造成的信息泄露,;,提高,信息系统组件的接收灵敏度和滤波能力,使信息系统组件具有,抗击外界电磁辐射或噪声干扰能力,而保持正常运行。
物理安全除了包括,机械防护,、,电磁防护,安全机制外,还包括,限制非法接入,抗摧毁,报警,恢复,应急响应,等多种安全机制物理环境安全体系,技术体系结构概述 物理安全,是通过机械强度标准的控制,7,计算机系统平台安全体系,硬件,上主要通过下述机制,提供一个可信的硬件环境,实现其安全目标1.存储器安全机制,2.运行安全机制,3.I/O安全机制,操作系统,上主要通过综合使用下述机制,为用户提供可信的软件计算环境1.身份识别,2.访问控制,3.完整性控制与检查,4.病毒防护,5.安全审计,计算机系统平台安全体系硬件上主要通过下述机制,提供一个可信的,8,网络通信平台安全体系,国际标准化组织ISO在1988年发布的ISO 7498-2作为其开放系统互连(OSI)的安全体系结构它定义了许多,术语和概念,,并建立了一些重要的,结构性准则,定义了5种安全目标,10多种安全机制5种安全目标是:机密性、完整性 身份识别、访问控制、防抵赖,应用平台安全体系,目前,通过国际标准化组织的努力,提出若干体系结构方面的标准比较有影响的是国际标准化组织(ISO)的开放系统互连(OSI)安全体系结构(ISO 7498-2)、高层安全模型(ISO/IEC 10745);互联网工程任务组(IETF)的安全体系结构IPSec、传输层安全TLS等。
网络通信平台安全体系 国际标准化组织ISO在1988年,9,安全机制,信息安全中安全策略要通过安全机制来实现安全机制可以分为,保护机制,、,检测机制,和,恢复机制,三个类别下面我们对常用的安全机制的概念进行说明加密,加密技术能为数据或通信信息流提供机密性同时对其他安全机制的实现起主导作用或辅助作用1)传统密码:DES、AES,(2)公钥密码:RSA、ECC,安全机制 信息安全中安全策略要通过安全机制来实现,10,数字签名,数字签名包括两个过程:签名者对给定的数据单元进行签名,而后接收者验证该签名签名过程需要使用签名者的私有信息(满足机密性和唯一性),验证过程应当仅使用公开的规程和公开的信息,而这些公开的信息不能计算出签名者的私有信息数字签名 数字签名包括两个过程:签名者对给定的数据,11,访问控制,访问控制机制使用,实体的标识,、,类别,(如所属的实体集合)或,能力,,从而,确定权限,、,授予访问权,实体如果试图进行非授权访问,将被拒绝访问控制机制基于下列几种技术:,(1)访问信息库,(2)识别信息库,(3)能力信息表,(4)安全等级,为进行访问的实体和被访问的实体划分相应的,安全等级,、,范围,,制定访问交互中双方安全等级、范围必须满足的条件(称为强安全策略)。
这种机制与访问控制表或能力表机制相比,信息维护量小,但设计难度大此外,在访问控制中有时还需要考虑,时间,及,持续长度,、,通信信道,等因素访问控制 访问控制机制使用实体的标识、类别(如所属的实,12,数据完整性,有两类消息的鉴别:数据单元的完整性鉴别和数据流的完整性鉴别数据单元的鉴别,是数据的生成者(或发送者)计算的普通分组校验码、用传统密码算法计算的鉴别码、用公钥密码算法计算的鉴别码,附着在数据单元后面,数据的使用者(或接收者)完成对应的计算(可能与生成者的同样或不同),从而检验数据是否被篡改或假冒在连接模式的数据传输中(如TCP),,保护数据流的完整性,除了计算鉴别码外,还需结合时间戳、序列号、密码分组链接等技术,从而抵抗乱序、丢失、重放、插入或修改等人为攻击或偶然破坏在无连接模式的数据传输中(如UDP),与,时间戳机制的结合,可以起到,防重放的,作用数据完整性 有两类消息的鉴别:数据单元的完整性鉴别和数,13,身份识别,身份识别在OSI中称为鉴别交换,各种系统通常为用户设定一个用户名或标识符的索引值身份识别就是后续交互中,当前,用户对其标识符,一致性,的一个证明过程,通常是用交互式协议实现的。
常用的身份识别技术有:,(1)口令(password),验证方提示证明方输入口令,证明方输入后由验证方进行真伪识别2)密码身份识别协议,使用密码技术,可以构造出多种身份识别协议如挑战应答协议、零知识证明、数字签名识别协议等3)使用证明者的特征或拥有物的身份识别协议,如指纹、面容、虹膜等生物特征,身份证、IC卡等拥有物的识别协议当然这些特征或拥有物至少应当以很大的概率是独一无二的身份识别 身份识别在OSI中称为鉴别交换,14,通信量填充与信息隐藏,通信量通常会泄露信息,为了防止敌手对通信量的分析,我们需要在空闲的信道上发送一些无用的信息,以便蒙蔽敌手(当然填充的信息经常要使用机密性服务),这就称为,通信量填充机制,在专用通信线路上这种机制非常重要,但在公用信道中则要依据环境而定信息隐藏,则是把一则信息隐藏到看似与之无关的消息(例如图象文件)中,以便蒙蔽敌手,通常也要和密码技术结合才能保证不被敌手发现通信量填充和信息隐藏是一组对偶的机制前者发送有形式无内容的消息,而后者发送有内容“无”形式的消息以达到扰乱目的!,通信量填充与信息隐藏通信量通常会泄露信息15,路由控制,路由控制是对于信息的流经路径的选择,,为一些重要信息指定路径,,例如通过特定的安全子网、中继或连接设备,也可能是要绕开某些不安全的子网、中继或连接设备。
这种路由可以是预先安排的或者作为恢复的一种方式而由端系统动态指定路由控制则是一种一般的通信环境保护恰当的路由控制可以,提升环境的安全性,,从而可能会因此,简化其他安全机制实施的复杂性,路由控制 路由控制是对于信息的流经路径的选择,,16,公证,在两方或多方通信中,,公证机制可以提供数据的完整性,发/收方的身份识别和时间同步等服务通信各方共同信赖的公证机构,称为,可信第三方,,它保存通信方的必要信息,并以一种可验证的方式提供上述服务通信各方选择可信第三方指定的加密、数字签名和完整性机制,并和可信第三方做少量的交互,实现对通信的公证保护例如证书权威机构CA,通过为各通信方提供公钥证书和相关的目录、验证服务,从而实现了一部分公证机构的职能除了上述这些,(特殊)安全机制,外,OSI还采用了下列几种,普遍性安全机制公证 在两方或多方通信中,公证机制可以提供数据的,17,事件检测与安全审计,对所有用户的与安全相关的行为进行记录,以便对系统的安全进行审计与安全相关的,事件检测,,包括对明显违反安全规则的事件和正常完成事件的检测其处理过程首先是对事件集合给出一种定义,这种定义是关于事件特征的描述,而这些特征又应当是易于捕获的。
一旦检测到安全相关的事件,则进行事件报告(本地的和远程的)和存档安全审计,则在专门的事件检测存档和系统日志中提取信息,进行分析、存档和报告,是事件检测的归纳和提升安全审计的目的是为了改进信息系统的安全策略、控制相关进程,同时也是执行相关的恢复操作的依据对于分布式的事件检测或审计,要建立事件报告信息和存档信息的语义和表示标准,以便信息的交换目前经常提到的,漏洞扫描,和,入侵检测,都属于事件检测和审计的范畴事件检测与安全审计 对所有用户的与安全相关的行为进,18,安全恢复,对事件检测和审计报告提交到事件处理管理模块后,如果满足一定的条件,则触发恢复机制恢复机制通常是由一系列的动作组成其目的是在受到安全攻击或遇到偶然破坏的情况下,把损失降到最小恢复包括:,数据的恢复,和,运行状态的恢复,对于数据的恢复而言,为了有效地恢复,通常需要事先使用关联的数据备份机制而对于系统运行状态的恢复是指把系统恢复到安全状态之下,可分为:,立即恢复,是指立即退出系统,例如切断连接、关机等,其效果没有持久性;,当前恢复,是指针对具体实体停止当前的活动,例如取消用户的访问权、终止和一个用户的交易等,其效果覆盖当前一段时间;,长久恢复,执行类如把攻击者写入“黑名单”、更换用户密码等操作,其效果是长久的。
安全恢复 对事件检测和审计报告提交到事件处理管理模块,19,安全标记,安全标记是为数据资源所附加的指明其安全属性的标记,例如安全标记可以用来指明数据的机密性级别安全标记可以是,显式的,也可能是,隐含的,:,例如使用一个特定密钥加密数据所隐含的信息,或由该数据的上下文所隐含的信息,例如数据来源或路由隐含显式安全标记必须是清晰可辨认的,以便对它们作适当的验证此外,它们还必须安全可靠地依附于与之关联的数据这种安全机制对几乎所有的安全机制实现都是需要的安全标记安全标记是为数据资源所附加的指明其安全属性的标记例,20,保证,保证(assurance),,也称为可信功能度,,提供对于某个特定的,安全机制的有效性证明,保证使人们相信实施安全机制的模块能达到相应的目标对安全机制的保证,通常通过对机制的,规格说明、设计和实现,三个过程的可信度来提供例如,规格说明,对机制的功能给出准确的形式化描述设计,将准确地把规格说明内容转换为功能模块,并保证无论在何种环境下设计将不允许违反规。