《信息安全体系结构信息系统安全体系研究》由会员分享,可在线阅读,更多相关《信息安全体系结构信息系统安全体系研究(64页珍藏版)》请在金锄头文库上搜索。
1、主要内容,概述 开放系统互连参考模型介绍 开放系统互连安全体系结构 ISO开放系统互连安全体系结构 TCP/IP安全体系 安全管理 信息系统安全体系框架,概 述,研究信息系统安全体系结构的目的: 将普遍性安全体系原理与自身信息系统的实际相结合,形成满足信息系统安全需求的安全体系结构。 安全体系结构形成:,风险分析,安全需求,安全策略,安全体系结构,概 述,“风险安全投资”的平衡关系 平衡关系两个参考标准 把风险降低到可以接受的程度。 威胁和/或攻击信息系统所花的代价大于入侵信息系统后所获得的现实的和潜在的信息系统资源的价值。,安全体系结构的目的: 从管理和技术上保证安全策略得以完整准确地实现,
2、安全需求全面准确地得以满足,包括确定必需的安全服务、安全机制和技术管理,以及它们在系统上的合理部署和关系配置。,信息系统安全目标,信息保护:保护所属组织的有价值信息和维系系统运行有关的信息的机密性、完整性、可用性和可控性。 系统保护:保护所属组织的运行和职能实现的技术系统的可靠性、完整性和可用性。,信息系统安全目标遵循原则,组织级别原则 保护国家秘密信息和敏感性信息原则 控制社会影响原则 保护资源和效率原则,信息系统构成要素,物理环境及保障 物理环境:场地,机房 物理保障:电力供应,灾难应急 硬件设施 计算机 网络设备 传输介质及转换器 输入/输出设备 存储介质 监控设备,软件设施 计算机操作
3、系统 网络操作系统 网络通信协议 通用应用软件 网络管理软件 管理者 系统安全员 系统管理员 网络管理员 存储介质保管员 系统操作人员 软硬件维修人员,2.1 开放系统互连参考模型,ISO/OSI 开放系统互连参考模型(open system interconnection reference model) 开放系统 与其它系统通信而相互开放的系统 互连,开放系统互连参考模型,层次划分,分7个层次; 通信中的实际数据流向; 1-3层协议实现的是直接相连的机器之间的协议,4-7层实现的是端到端的协议; 同一层次上实现虚通信; 协议传输的数据称作协议数据单元(PDU)。,OSI模型传输数据的基本过
4、程,数据,010110111001101010101010010101,经过中间节点数据传递的过程,对等层协议,物理层(physical layer),传输比特流。处理机械的,电气的和过程的接口及传输介质问题。 用多少伏电压表示“1”,多少伏电压表示“0”; 一个比特持续多少微秒; 传输方式,单工、双工还是半双工; 最初连接如何建立、完成通信后,连接如何终止; 网络接插件有多少针,各个针的用途;,数据链路层(data link layer),在不可靠的物理链路上实现可靠的传输 把数据分装在各个帧中,能识别帧边界; 按顺序发送数据帧,并处理收方回送的确认帧; 帧的重传问题,帧的重复问题; 防止高
5、速的发送方“淹没”低速接收方; 解决数据帧和确认帧的线路竞争问题。 在广播式网络中,如何控制对共享信道的访问。,网络层(network layer),在源、目的端之间选择一条最佳路径,将分组正确、无误地传送到目的地。 提供路由选择和拥塞控制等功能。 分组的路由选择功能,静态路由表,动态路由; 拥塞控制; 记帐功能; 分组跨多个网络时,解决分组转换,寻址方式的问题。,传输层(transport layer),在两个端系统之间可靠、透明的传送报文。 数据(报文)的分割、复用; 流量控制; 会话层请求一个传输连接,传输层就为其创建一个独立的网络连接。,会话层(session layer),在两个互相
6、通信的应用进程之间,建立,组织和协调其交互,提供会话活动管理、交互管理和会话同步管理等功能。,表示层(presentation layer),解决用户信息的语义、语法表示问题。将要交换的数据从适合于某一用户的抽象语法转换为适合OSI内部使用的传送语法,即完成信息格式的转换。,应用层(application layer),开放系统与应用进程的接口,提供OSI用户服务、管理和分配网络资源,如远地操作、文件传输、电子邮件、虚拟终端服务等功能。,2.2 开放系统互连安全体系结构,两个普遍适用的安全体系结构,保证开放系统进程与进程之间远距离安全交换信息。 国家标准信息处理系统 开放系统互连 基本参考模型
7、第二部分:安全体系结构GB/T9387.2-1995(等同于ISO7498-2) 因特网安全体系结构(RFC2401),安全体系结构主要内容,安全服务与有关安全机制的描述; 确定提供安全服务的位置; 保证安全服务准确地配置,且在信息系统安全的生命期中一直维持,安全功能务必达到一定强度的要求。,2.2.1 ISO开放系统互连安全体系结构,给出基于OSI参考模型的七层协议之上的信息安全体系结构,对具体网络环境的信息安全体系结构具有重要指导意义。 核心内容 五类安全服务 八类安全机制 OSI安全管理,OSI参考模型,安全机制,安全服务,ISO 7498-2三维图,安全服务与安全机制的关系,一种安全服
8、务可以通过某种安全机制单独提供,也可以通过多种安全机制联合提供; 一种安全机制可以提供一种或多种安全服务。,实际上,最适合配置安全服务的是物理层、网络层、传输层及应用层,其他层都不宜配置安全服务。,一、安全服务,鉴别 访问控制 数据机密性 数据完整性 抗抵赖,(一)鉴别,A与B通信,A是发起方 对等实体鉴别 A鉴别B的身份的真实性 在连接建立或在数据传送阶段使用 A使用这种服务可以确信: 一 个实体此时没有试图冒充别的实体, 或没有试图将先前的连接作非授权地重演 。 数据原发鉴别 B鉴别A来源的身份的真实性。 对数据单元的来源提供确认。这种服务对数据单元的重复或篡改不提供保护。,(二)访问控制
9、,提供保护以对付开放系统互连(OSI)可访问资源的非授权使用。 OSI资源 非OSI资源 对资源实现各种不同类型的访问 使用通信资源 读、写或删除信息资源 处理资源的执行 应用于对一种资源的所有访问 ,(三)数据机密性,对数据提供保护使之不被非授权地泄露,连接机密性为一次(N)连接上的全部(N)用户数据保证其机密性。 无连接机密性为单个无连接的(N)SDU中的全部(N)用户数据保证其机密性。 选择字段机密性为被选择的字段保证其机密性 通信业务流机密性使得通过观察通信业务流而不可能推断出其中的机 密信息。,(四)数据完整性,这种服务对付主动威胁。 带恢复的连接完整性为(N)连接上的所有(N)用户
10、数据保证其完整性, 并检测整个SDU序列中的数据遭到的任何篡改、插入、删除或重演(同时试图补救恢复)。 不带恢复的连接完整性与上款的服务相同, 只是不作补救恢复 选择字段的连接完整性为在一次连接上传送的(N)-SDU的(N)用户数据中的选择字段保证其完整性, 所取形式是确定这些被选字段是否遭到了篡改、插入、删除或重演。 无连接完整性当由(N)层提供时, 对发出请求的那个(N+1)实体提供完整性保证。 这种服务为单个的无连接SDU保证其完整性, 所取形式可以是确定一个接受 到的SDU是否遭受了篡改。另外, 在一定程度上也能提供对重演的检测。 选择字段无连接完整性这种服务为单个无连接的SDU中的被
11、选字段保证其完整性, 所取形式为确定被选字段是否遭受了篡改。,数据完整性,在一次连接上, 连接开始时使用对等实体鉴别服务, 并在连接的存活期使用数据完整服务就能联合起来为在此连接上传送的所有数据单元的来源提供确证, 为这些数据单元的完整性提供确证, 而且, 例如使用顺序号, 还能另外为数据单元的重复提供检测。,(五)抗抵赖,有数据原发证明的抗抵赖 为数据的接收者提供数据来源的证据。 发送者不能抵赖未发送过这些数据或内容。,有交付证明的抗抵赖 为数据的发送者提供数据交付证据。 接收者不能抵赖未收到过这些数据或内容。,A,B,与网络各层相关的ISO/OSI安全服务,二、ISO开放系统互连安全体系的
12、安全机制,加密 数字签名 访问控制 数据完整性 鉴别交换 通信业务填充 路由选择控制 公证,(一)加密,加密既能为数据提供机密性, 也能为通信业务流信息提供机密性, 并且还成为一些别的安全机制中的一部分或起补充作用。 加密算法:可逆;不可逆。可逆加密算法有两大类: 对称加密;非对称加密。 不可逆加密算法可以使用密钥, 也可以不使用。 除了某些不可逆加密算法的情况外, 加密机制的存在便意味着要使用密钥管理机制。,(二)数字签名机制,两个过程:对数据单元签名; 验证签过名的数据单元。第一过程使用签名者所私有的信息。第二个过程所用的规程与信息是公之于众的, 但不能够从它们推断出该签名者的私有信息。
13、签名过程涉及到使用签名者的私有信息作为私钥, 或对数据单元进行加密, 或产生出该数据单元的一个密码校验值。 验证过程涉及到使用公开的规程与信息来决定该签名是不是用签名者的私有信息产生的。,签名机制的本质特征:该签名只有使用签名者的私有信息才能产生出来。 当该签名得到验证后, 它能在事后的任何时候向第三方(例如法官或仲裁人)证明:只有那私有信息的唯一拥有者才能产生这个签名。,(三)访问控制机制,决定和实施一个实体的访问权, 可以使用: 已鉴别的身份 有关该实体的信息(例如它与一个已知的实体集的从属关系) 使用该实体的权力。 访问控制功能:拒绝实体试图使用非授权的资源, 或者以不正当方式使用授权资
14、源。可能产生一个报警信号或记录进行安全审计跟踪。 访问控制机制可应用于通信联系中的一端点, 或应用于任一中间点。 涉及原发点或任一中间点的访问控制是用来决定发送者是否被授权与指定的接收者进行通信, 或是否被授权使用所要求的通信资源。,(四)数据完整性机制,数据完整性有两个方面: 单个数据单元或字段的完整性以及数据单元流或字段流的完整性。 决定单个数据单元的完整性涉及两个过程:一个在发送实体上, 一个在接收实体上。发送实体给数据单元附加上一个量, 这个量为该数据的函数,例如校验码。接收实体产生一个相应的量, 并把它与接收到的那个量进行比较以决定该数据是否在转送中被篡改过。单靠这种机制不能防止单个
15、数据单元的重演。 对于连接方式数据传送, 保护数据单元序列的完整性(即防止乱序、 数据的丢失、重演、插入和篡改)还需要某种明显的排序形式, 例如顺序号 、时间标记或密码链。 对于无连接数据传送, 时间标记可以用来在一定程度上提供保护, 防 止个别数据单元的重演。,(五)鉴别交换机制,可用于鉴别交换的一些技术 使用鉴别信息, 例如口令 密码技术 使用该实体的特征或占有物。 对等实体鉴别。如果在鉴别实体时, 这一机制得到否定的结果, 就会导致连接的拒绝或终止, 也可能使在安全审计跟踪中增加一个记录, 或给安全管理中心一个报告。 当采用密码技术时, 这些技术可以与“握手”协议结合起来以防止重演(即确
16、保存活期)。 鉴别交换技术的选用取决于使用它们的环境。在许多场合, 它们将必须与下列各项结合使用: 时间标记与同步时钟; 两方握手和三方握手(分别对应于单方鉴别和相互鉴别); 由数字签名和公证机制实现的抗抵赖服务。,(六)通信业务填充机制,通信业务填充机制能用来提供各种不同级别的保护, 抵抗通信业务分析。,这种机制只有在通信业务填充受到机密服务保护时才是有效的。,(七)路由选择控制机制,路由能动态地或预定地选取, 以便只使用物理上安全的子网络、中继站或链路。 在检测到持续的操作攻击时, 端系统可希望指示网络服务的提供者经不同的路由建立连接。 带有某些安全标记的数据可能被安全策略禁止通过某些子网络、中继或链路。连接的发起者(或无连接数据单元的发送者)可以指定路由选择说明,由它请求回避某些特定的子网络、链路或中继。,(八)公证机制,两个或多个实体之间通信的数据的性质, 如它的完整性、原发、时间和目的地等能够借助公证机制而得到确保。 这种保证是由第三方公证人提
