《信息安全体系结构信息系统安全系研究》由会员分享,可在线阅读,更多相关《信息安全体系结构信息系统安全系研究(64页珍藏版)》请在金锄头文库上搜索。
1、主要内容主要内容概述概述开放系统互连参考模型介绍开放系统互连参考模型介绍开放系统互连安全体系结构开放系统互连安全体系结构ISO开放系统互连安全体系结构开放系统互连安全体系结构TCP/IP安全体系安全体系安全管理安全管理信息系统安全体系框架信息系统安全体系框架概概 述述研究信息系统安全体系结构的目的:研究信息系统安全体系结构的目的:将普遍性安全体系原理与自身信息系统的实际将普遍性安全体系原理与自身信息系统的实际相结合,形成满足信息系统安全需求的安全体相结合,形成满足信息系统安全需求的安全体系结构。系结构。安全体系结构形成:安全体系结构形成:风险分析风险分析安全需求安全需求安全策略安全策略安全体系
2、结构安全体系结构概概 述述“风险风险安全安全投资投资”的平衡关系的平衡关系平衡关系两个参考标准平衡关系两个参考标准把风险降低到可以接受的程度。把风险降低到可以接受的程度。威胁和威胁和/或攻击信息系统所花的代价大于入侵信息系或攻击信息系统所花的代价大于入侵信息系统后所获得的现实的和潜在的信息系统资源的价值。统后所获得的现实的和潜在的信息系统资源的价值。安全体系结构的目的:安全体系结构的目的:从管理和技术上保证安全策略得以完整准确地实现,从管理和技术上保证安全策略得以完整准确地实现,安全需求全面准确地得以满足,包括确定必需的安全安全需求全面准确地得以满足,包括确定必需的安全服务、安全机制和技术管理
3、,以及它们在系统上的合服务、安全机制和技术管理,以及它们在系统上的合理部署和关系配置。理部署和关系配置。信息系统安全目标信息系统安全目标信息保护:保护所属组织的有价值信息和维系信息保护:保护所属组织的有价值信息和维系系统运行有关的信息的机密性、完整性、可用系统运行有关的信息的机密性、完整性、可用性和可控性。性和可控性。系统保护:保护所属组织的运行和职能实现的系统保护:保护所属组织的运行和职能实现的技术系统的可靠性、完整性和可用性。技术系统的可靠性、完整性和可用性。信息系统安全目标遵循原则信息系统安全目标遵循原则组织级别原则组织级别原则保护国家秘密信息和敏感性信息原则保护国家秘密信息和敏感性信息
4、原则控制社会影响原则控制社会影响原则保护资源和效率原则保护资源和效率原则信息系统构成要素信息系统构成要素物理环境及保障物理环境及保障物理环境:场地,机房物理环境:场地,机房物理保障:电力供应,灾物理保障:电力供应,灾难应急难应急硬件设施硬件设施计算机计算机网络设备网络设备传输介质及转换器传输介质及转换器输入输入/输出设备输出设备存储介质存储介质监控设备监控设备软件设施软件设施计算机操作系统计算机操作系统网络操作系统网络操作系统网络通信协议网络通信协议通用应用软件通用应用软件网络管理软件网络管理软件管理者管理者系统安全员系统安全员系统管理员系统管理员网络管理员网络管理员存储介质保管员存储介质保管
5、员系统操作人员系统操作人员软硬件维修人员软硬件维修人员2.1 开放系统互连参考模型开放系统互连参考模型ISO/OSI 开放系统互连参考模型(开放系统互连参考模型(open system interconnection reference model)开放系统开放系统与其它系统通信而相互开放的系统与其它系统通信而相互开放的系统互连互连开放系统互连参考模型开放系统互连参考模型 7. 应用层应用层 6. 表示层表示层 5. 会话层会话层 4. 传输层传输层 3. 网络层网络层 2. 数据链路层数据链路层 1. 物理层物理层层次划分层次划分, ,分分7 7个层次;个层次;通信中的实际数据流向;通信中的
6、实际数据流向;1-31-3层协议实现的是直接相连层协议实现的是直接相连的机器之间的协议的机器之间的协议,4-7,4-7层实层实现的是端到端的协议;现的是端到端的协议;同一层次上实现虚通信;同一层次上实现虚通信;协议传输的数据称作协议数协议传输的数据称作协议数据单元据单元( (PDU)PDU)。OSI模型传输数据的基本过程 应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层数据首部首部首部首部首部首尾010110111001101010101010010101协议经过中间节点数据传递的过程 7 6 5 4 3 2 1 7 6 5 4 3 2 1 3 2
7、1 3 2 1对等层协议物理层物理层(physical layer)传输比特流。处理机械的,电气的和过程的接传输比特流。处理机械的,电气的和过程的接口及传输介质问题。口及传输介质问题。用多少伏电压表示用多少伏电压表示“1 1”,多少伏电压表示,多少伏电压表示“0 0”;一个比特持续多少微秒;一个比特持续多少微秒;传输方式,单工、双工还是半双工;传输方式,单工、双工还是半双工;最初连接如何建立、完成通信后,连接如何终止;最初连接如何建立、完成通信后,连接如何终止;网络接插件有多少针,各个针的用途;网络接插件有多少针,各个针的用途;数据链路层数据链路层( (data link layer)data
8、 link layer)在不可靠的物理链路上实现可靠的传输在不可靠的物理链路上实现可靠的传输把数据分装在各个帧中,能识别帧边界;把数据分装在各个帧中,能识别帧边界;按顺序发送数据帧,并处理收方回送的确认帧;按顺序发送数据帧,并处理收方回送的确认帧;帧的重传问题,帧的重复问题;帧的重传问题,帧的重复问题;防止高速的发送方防止高速的发送方“淹没淹没”低速接收方;低速接收方;解决数据帧和确认帧的线路竞争问题。解决数据帧和确认帧的线路竞争问题。在广播式网络中,如何控制对共享信道的访问。在广播式网络中,如何控制对共享信道的访问。网络层网络层( (network layer)network layer)在
9、源、目的端之间选择一条最佳路径,将分组在源、目的端之间选择一条最佳路径,将分组正确、无误地传送到目的地。正确、无误地传送到目的地。提供路由选择和拥塞控制等功能。提供路由选择和拥塞控制等功能。分组的路由选择功能,静态路由表,动态路由;分组的路由选择功能,静态路由表,动态路由;拥塞控制;拥塞控制;记帐功能;记帐功能;分组跨多个网络时,解决分组转换,寻址方式的问分组跨多个网络时,解决分组转换,寻址方式的问题。题。传输层传输层( (transport layer)transport layer)在两个端系统之间可靠、透明的传送报文。在两个端系统之间可靠、透明的传送报文。数据(报文)的分割、复用;数据(
10、报文)的分割、复用;流量控制;流量控制;会话层请求一个传输连接,传输层就为其创建一个会话层请求一个传输连接,传输层就为其创建一个独立的网络连接。独立的网络连接。会话层会话层( (session layer)session layer)在两个互相通信的应用进程之间,建立,组织在两个互相通信的应用进程之间,建立,组织和协调其交互,提供会话活动管理、交互管理和协调其交互,提供会话活动管理、交互管理和会话同步管理等功能。和会话同步管理等功能。表示层表示层( (presentation layer)presentation layer)解决用户信息的语义、语法表示问题。将要交解决用户信息的语义、语法表示
11、问题。将要交换的数据从适合于某一用户的抽象语法转换为换的数据从适合于某一用户的抽象语法转换为适合适合OSIOSI内部使用的传送语法,即完成信息格式内部使用的传送语法,即完成信息格式的转换。的转换。应用层应用层( (application layer)application layer)开放系统与应用进程的接口,提供开放系统与应用进程的接口,提供OSIOSI用户服务、用户服务、管理和分配网络资源,如远地操作、文件传输、管理和分配网络资源,如远地操作、文件传输、电子邮件、虚拟终端服务等功能。电子邮件、虚拟终端服务等功能。2.2 开放系统互连安全体系结构开放系统互连安全体系结构 两个普遍适用的安全体
12、系结构,保证开放系统两个普遍适用的安全体系结构,保证开放系统进程与进程之间远距离安全交换信息。进程与进程之间远距离安全交换信息。国家标准国家标准信息处理系统信息处理系统 开放系统互连开放系统互连 基本参考基本参考模型模型第二部分:安全体系结构第二部分:安全体系结构GB/T9387.2-1995(等同于(等同于ISO7498-2)因特网安全体系结构(因特网安全体系结构(RFC2401)安全体系结构主要内容安全体系结构主要内容安全服务与有关安全机制的描述;安全服务与有关安全机制的描述;确定提供安全服务的位置;确定提供安全服务的位置;保证安全服务准确地配置,且在信息系统安全保证安全服务准确地配置,且
13、在信息系统安全的生命期中一直维持,安全功能务必达到一定的生命期中一直维持,安全功能务必达到一定强度的要求。强度的要求。2.2.1 ISO开放系统互连安全体系结构开放系统互连安全体系结构给出基于给出基于OSI参考模型的七层协议之上的信息参考模型的七层协议之上的信息安全体系结构,对具体网络环境的信息安全体安全体系结构,对具体网络环境的信息安全体系结构具有重要指导意义。系结构具有重要指导意义。核心内容核心内容五类安全服务五类安全服务八类安全机制八类安全机制OSI安全管理安全管理链路层网络层传输层会话层表示层应用层加密数字签名访问 控制数据完整性签别交换业务流填充路由控制公证签别服务访问控制数据完整性
14、数据机密性抗抵赖OSI参考模型安全机制安全服务ISO 7498-2三维图安全服务与安全机制的关系安全服务与安全机制的关系一种安全服务可以通过某种安全机制单独提供,一种安全服务可以通过某种安全机制单独提供,也可以通过多种安全机制联合提供;也可以通过多种安全机制联合提供;一种安全机制可以提供一种或多种安全服务。一种安全机制可以提供一种或多种安全服务。 实际上,最适合配置安全服务的是物理层、网实际上,最适合配置安全服务的是物理层、网络层、传输层及应用层,其他层都不宜配置安络层、传输层及应用层,其他层都不宜配置安全服务。全服务。一、安全服务一、安全服务鉴别鉴别访问控制访问控制数据机密性数据机密性数据完
15、整性数据完整性抗抵赖抗抵赖(一)鉴别(一)鉴别A与与B通信,通信,A是发起方是发起方对等实体鉴别对等实体鉴别 A鉴别鉴别B的身份的真实性的身份的真实性 在连接建立或在数据传送阶段使用在连接建立或在数据传送阶段使用A使用这种服务可以确信使用这种服务可以确信: 一一 个实体此时没有试图冒充别的实体个实体此时没有试图冒充别的实体, 或没有或没有试图将先前的连接作非授权地重演试图将先前的连接作非授权地重演 。数据原发鉴别数据原发鉴别B鉴别鉴别A来源的身份的真实性。来源的身份的真实性。对数据单元的来源提供确认。这种服务对数据单元的重复或篡改不提供对数据单元的来源提供确认。这种服务对数据单元的重复或篡改不
16、提供保护。保护。 N+1NAN+1NB(二)访问控制(二)访问控制提供保护以对付开放系统互连(提供保护以对付开放系统互连(OSI)可访问资源的)可访问资源的非授权使用。非授权使用。OSI资源资源非非OSI资源资源对资源实现各种不同类型的访问对资源实现各种不同类型的访问使用通信资源使用通信资源读、写或删除信息资源读、写或删除信息资源处理资源的执行处理资源的执行应用于对一种资源的所有访问应用于对一种资源的所有访问(三)数据机密性(三)数据机密性对数据提供保护使之不被非授权地泄露对数据提供保护使之不被非授权地泄露 N+1NAN+1NB连接机密性连接机密性为一次(为一次(N)连接上的全部()连接上的全
17、部(N)用户数据保证其机密性。用户数据保证其机密性。 无连接机密性无连接机密性为单个无连接的(为单个无连接的(N)SDU中的中的全部(全部(N)用户数据保证其机密性。)用户数据保证其机密性。 选择字段机密性选择字段机密性为被选择的字段保证其机密性为被选择的字段保证其机密性通信业务流机密性通信业务流机密性使得通过观察通信业务流而使得通过观察通信业务流而不可能推断出其中的机不可能推断出其中的机 密信息。密信息。 (四)数据完整性(四)数据完整性这种服务对付主动威胁。这种服务对付主动威胁。带恢复的连接完整性带恢复的连接完整性为为(N)连接上的所有连接上的所有(N)用户数据保证其完整性用户数据保证其完
18、整性, 并检测整个并检测整个SDU序列中的数据遭到的任何篡改、插入、删除或重演序列中的数据遭到的任何篡改、插入、删除或重演(同时同时试图补救恢复试图补救恢复)。 不带恢复的连接完整性不带恢复的连接完整性与上款的服务相同与上款的服务相同, 只是不作补救恢复只是不作补救恢复 选择字段的连接完整性选择字段的连接完整性为在一次连接上传送的为在一次连接上传送的(N)-SDU的的(N)用户数用户数据中的选择字段保证其完整性据中的选择字段保证其完整性, 所取形式是确定这些被选字段是否遭到所取形式是确定这些被选字段是否遭到了篡改、插入、删除或重演。了篡改、插入、删除或重演。 无连接完整性无连接完整性当由当由(
19、N)层提供时层提供时, 对发出请求的那个对发出请求的那个(N+1)实体提供完实体提供完整性保证。整性保证。 这种服务为单个的无连接这种服务为单个的无连接SDU保证其完整性保证其完整性, 所取形式可以所取形式可以是确定一个接受是确定一个接受 到的到的SDU是否遭受了篡改。另外是否遭受了篡改。另外, 在一定程度上也能提在一定程度上也能提供对重演的检测。供对重演的检测。 选择字段无连接完整性选择字段无连接完整性这种服务为单个无连接的这种服务为单个无连接的SDU中的被选字段中的被选字段保证其完整性保证其完整性, 所取形式为确定被选字段是否遭受了篡改。所取形式为确定被选字段是否遭受了篡改。数据完整性数据
20、完整性在一次连接上在一次连接上, 连接开始时使用对等实体鉴别服连接开始时使用对等实体鉴别服务务, 并在连接的存活期使用数据完整性服务就能并在连接的存活期使用数据完整性服务就能联合起来为在此连接上传送的所有数据单元的联合起来为在此连接上传送的所有数据单元的来源提供确证来源提供确证, 为这些数据单元的完整性提供确为这些数据单元的完整性提供确证证, 而且而且, 例如使用顺序号例如使用顺序号, 还能另外为数据单元还能另外为数据单元的重复提供检测。的重复提供检测。(五)抗抵赖(五)抗抵赖有数据原发证明的抗抵赖有数据原发证明的抗抵赖 为数据的接收者提供数据来为数据的接收者提供数据来源的证据。源的证据。发送
21、者不能抵赖未发送过这发送者不能抵赖未发送过这些数据或内容。些数据或内容。有交付证明的抗抵赖有交付证明的抗抵赖 为数据的发送者提供数据为数据的发送者提供数据交付证据。交付证据。接收者不能抵赖未收到过接收者不能抵赖未收到过这些数据或内容。这些数据或内容。A B 与网络各层相关的ISO/OSI安全服务安全服务安全服务协议层协议层1234567对等实体鉴别对等实体鉴别 数据原发鉴别数据原发鉴别 访问控制服务访问控制服务 连接机密性连接机密性 无连接机密性无连接机密性 选择字段机密性选择字段机密性 通信业务流机密性通信业务流机密性 带恢复的连接完整性带恢复的连接完整性不带恢复的连接完整性不带恢复的连接完
22、整性 选择字段连接完整性选择字段连接完整性 无连接完整性无连接完整性 选择字段无连接完整性选择字段无连接完整性 抗抵赖抗抵赖, 带数据原发证据带数据原发证据 抗抵赖抗抵赖, 带交付证据带交付证据 -Y-Y-YY-YYYYY-Y-Y-Y-YYYYY-YY-Y-YY-Y-YYYYYYYYYYYYYY二、二、ISO开放系统互连安全体系的安全机制开放系统互连安全体系的安全机制加密加密 数字签名数字签名访问控制访问控制 数据完整性数据完整性 鉴别交换鉴别交换 通信业务填充通信业务填充 路由选择控制路由选择控制 公证公证(一)加密(一)加密加密既能为数据提供机密性加密既能为数据提供机密性, 也能为通信业务
23、流也能为通信业务流信息提供机密性信息提供机密性, 并且还成为一些别的安全机制并且还成为一些别的安全机制中的一部分或起补充作用。中的一部分或起补充作用。 加密算法加密算法:可逆可逆;不可逆。可逆加密算法有两大类不可逆。可逆加密算法有两大类: 对称加密对称加密;非对称加密。非对称加密。不可逆加密算法可以使用密钥不可逆加密算法可以使用密钥, 也可以不使用。也可以不使用。除了某些不可逆加密算法的情况外除了某些不可逆加密算法的情况外, 加密机制的加密机制的存在便意味着要使用密钥管理机制。存在便意味着要使用密钥管理机制。 (二)数字签名机制(二)数字签名机制两个过程:对数据单元签名两个过程:对数据单元签名
24、; 验证签过名的数据单元。验证签过名的数据单元。第一过程使用签名者所私有的信息。第二个过程所用第一过程使用签名者所私有的信息。第二个过程所用的规程与信息是公之于众的的规程与信息是公之于众的, 但不能够从它们推断出该但不能够从它们推断出该签名者的私有信息。签名者的私有信息。签名过程涉及到使用签名者的私有信息作为私钥签名过程涉及到使用签名者的私有信息作为私钥, 或对数据或对数据单元进行加密单元进行加密, 或产生出该数据单元的一个密码校验值。或产生出该数据单元的一个密码校验值。 验证过程涉及到使用公开的规程与信息来决定该签名是不是验证过程涉及到使用公开的规程与信息来决定该签名是不是用签名者的私有信息
25、产生的。用签名者的私有信息产生的。签名机制的本质特征:该签名只有使用签名者的私有签名机制的本质特征:该签名只有使用签名者的私有信息才能产生出来。信息才能产生出来。 当该签名得到验证后当该签名得到验证后, 它能在事后它能在事后的任何时候向第三方的任何时候向第三方(例如法官或仲裁人例如法官或仲裁人)证明:只有那证明:只有那私有信息的唯一拥有者才能产生这个签名。私有信息的唯一拥有者才能产生这个签名。(三)访问控制机制(三)访问控制机制决定和实施一个实体的访问权决定和实施一个实体的访问权, 可以使用:可以使用:已鉴别的身份已鉴别的身份有关该实体的信息有关该实体的信息(例如它与一个已知的实体集的从属关系
26、例如它与一个已知的实体集的从属关系)使用该实体的权力。使用该实体的权力。访问控制功能:拒绝实体试图使用非授权的资源访问控制功能:拒绝实体试图使用非授权的资源, 或者或者以不正当方式使用授权资源。可能产生一个报警信号以不正当方式使用授权资源。可能产生一个报警信号或记录进行安全审计跟踪。或记录进行安全审计跟踪。访问控制机制可应用于通信联系中的一端点访问控制机制可应用于通信联系中的一端点, 或应用于或应用于任一中间点。任一中间点。 涉及原发点或任一中间点的访问控制是涉及原发点或任一中间点的访问控制是用来决定发送者是否被授权与指定的接收者进行通信用来决定发送者是否被授权与指定的接收者进行通信, 或是否
27、被授权使用所要求的通信资源。或是否被授权使用所要求的通信资源。(四)数据完整性机制(四)数据完整性机制数据完整性有两个方面数据完整性有两个方面: 单个数据单元或字段的完整性单个数据单元或字段的完整性以及数据单元流或字段流的完整性。以及数据单元流或字段流的完整性。决定单个数据单元的完整性涉及两个过程:一个在发决定单个数据单元的完整性涉及两个过程:一个在发送实体上送实体上, 一个在接收实体上。发送实体给数据单元附一个在接收实体上。发送实体给数据单元附加上一个量加上一个量, 这个量为该数据的函数,例如校验码。接这个量为该数据的函数,例如校验码。接收实体产生一个相应的量收实体产生一个相应的量, 并把它
28、与接收到的那个量进并把它与接收到的那个量进行比较以决定该数据是否在转送中被篡改过。单靠这行比较以决定该数据是否在转送中被篡改过。单靠这种机制不能防止单个数据单元的重演。种机制不能防止单个数据单元的重演。对于连接方式数据传送对于连接方式数据传送, 保护数据单元序列的完整性保护数据单元序列的完整性(即防止乱序、即防止乱序、 数据的丢失、重演、插入和篡改数据的丢失、重演、插入和篡改)还需还需要某种明显的排序形式要某种明显的排序形式, 例如顺序号例如顺序号 、时间标记或密、时间标记或密码链。码链。对于无连接数据传送对于无连接数据传送, 时间标记可以用来在一定程度上时间标记可以用来在一定程度上提供保护提
29、供保护, 防防 止个别数据单元的重演。止个别数据单元的重演。(五)鉴别交换机制(五)鉴别交换机制可用于鉴别交换的一些技术可用于鉴别交换的一些技术使用鉴别信息使用鉴别信息, 例如口令例如口令密码技术密码技术使用该实体的特征或占有物。使用该实体的特征或占有物。 对等实体鉴别。如果在鉴别实体时对等实体鉴别。如果在鉴别实体时, 这一机制得到否定的结果这一机制得到否定的结果, 就会导致连接的拒绝或终止就会导致连接的拒绝或终止, 也可能使在安全审计跟踪中增加一也可能使在安全审计跟踪中增加一个记录个记录, 或给安全管理中心一个报告。或给安全管理中心一个报告。 当采用密码技术时当采用密码技术时, 这些技术可以
30、与这些技术可以与“握手握手”协议结合起来以防协议结合起来以防止重演止重演(即确保存活期即确保存活期)。 鉴别交换技术的选用取决于使用它们的环境。在许多场合鉴别交换技术的选用取决于使用它们的环境。在许多场合, 它们它们将必须与下列各项结合使用将必须与下列各项结合使用: 时间标记与同步时钟时间标记与同步时钟; 两方握手和三方握手两方握手和三方握手(分别对应于单方鉴别和相互鉴别分别对应于单方鉴别和相互鉴别); 由数字签名和公证机制实现的抗抵赖服务。由数字签名和公证机制实现的抗抵赖服务。 (六)通信业务填充机制(六)通信业务填充机制通信业务填充机制能用来提供各种不同级别的通信业务填充机制能用来提供各种
31、不同级别的保护保护, 抵抗通信业务分析。抵抗通信业务分析。这种机制只有在通信业务填充受到机密服务保护时才这种机制只有在通信业务填充受到机密服务保护时才是有效的。是有效的。(七)路由选择控制机制(七)路由选择控制机制路由能动态地或预定地选取路由能动态地或预定地选取, 以便只使用物理上以便只使用物理上安全的子网络、中继站或链路。安全的子网络、中继站或链路。在检测到持续的操作攻击时在检测到持续的操作攻击时, 端系统可希望指示端系统可希望指示网络服务的提供者经不同的路由建立连接。网络服务的提供者经不同的路由建立连接。带有某些安全标记的数据可能被安全策略禁止带有某些安全标记的数据可能被安全策略禁止通过某
32、些子网络、中继或链路。连接的发起者通过某些子网络、中继或链路。连接的发起者(或无连接数据单元的发送者或无连接数据单元的发送者)可以指定路由选可以指定路由选择说明择说明,由它请求回避某些特定的子网络、链路由它请求回避某些特定的子网络、链路或中继。或中继。 (八)公证机制(八)公证机制两个或多个实体之间通信的数据的性质两个或多个实体之间通信的数据的性质, 如它的完整性、如它的完整性、原发、时间和目的地等能够借助公证机制而得到确保。原发、时间和目的地等能够借助公证机制而得到确保。这种保证是由第三方公证人提供的。公证人为通信实这种保证是由第三方公证人提供的。公证人为通信实体所信任体所信任, 并掌握必要
33、信息以一种可证实方式提供所需并掌握必要信息以一种可证实方式提供所需的保证。的保证。每个通信事例可使用数字签名、加密和完整性机制以每个通信事例可使用数字签名、加密和完整性机制以适应公证人提供的那种服务。当这种公证机制被用到适应公证人提供的那种服务。当这种公证机制被用到时时, 数据便在参与通信的实体之间经由受保数据便在参与通信的实体之间经由受保 护的通信护的通信实例和公证方进行通信。实例和公证方进行通信。 OSI安全服务与安全机制之间的关系 服务机制加密数字签名访问控制数据完整性鉴别交换业务流填充路由控制公证对等实体鉴别 数据原发鉴别 访问控制服务 连接机密性 无连接机密性 选择字段机密性 通信业
34、务流机密性 带恢复的连接完整性不带恢复的连接完整性 选择字段连接完整性 无连接完整性 选择字段无连接完整性 抗抵赖, 带数据原发证据 抗抵赖, 带交付证据 YY-YYYYYYYYY-YY-YYYY-Y-YYYYYYYY-Y-YY-Y-YY服务、机制与层的关系服务、机制与层的关系 安全分层原则安全分层原则实现一种服务的不同方法越少越好实现一种服务的不同方法越少越好; 在多个层上提供安全服务来建立安全系统是可取的在多个层上提供安全服务来建立安全系统是可取的; 为安全所需的附加功能度不应该不必要地重复为安全所需的附加功能度不应该不必要地重复OSI的现有功能的现有功能; 避免破坏层的独立性避免破坏层的
35、独立性; 可信功能度的总量应尽量少可信功能度的总量应尽量少; 只要一个实体依赖于由位于较低层的实体提供的安全机制只要一个实体依赖于由位于较低层的实体提供的安全机制, 那么任何中那么任何中 间层应该按不违反安全的方式构作间层应该按不违反安全的方式构作; 只要可能只要可能, 应以不排除作为自容纳模块起作用的方法来定义一个层的附应以不排除作为自容纳模块起作用的方法来定义一个层的附 加安全功能加安全功能; 本标准被认定应用于由包含所有七层的端系统组成的开放系统本标准被认定应用于由包含所有七层的端系统组成的开放系统, 以及中以及中 继系统。继系统。 各层上的服务定义可能需要修改以便满足安全服务的请求各层
36、上的服务定义可能需要修改以便满足安全服务的请求, 不论不论所要求的安全服务是由该层提供或下面提供。所要求的安全服务是由该层提供或下面提供。 2.2.2 TCP/IP安全体系安全体系在第在第5章中讲章中讲2.2.3 安全管理安全管理OSI安全管理包括:安全管理包括:OSI有关的安全管理有关的安全管理和和OSI管理的安全管理的安全。OSI安全管理涉及到安全管理涉及到OSI安全服务的管理安全服务的管理与与安全安全机制的管理机制的管理。这样的管理要求给这些服务与机。这样的管理要求给这些服务与机制分配管理信息制分配管理信息, 并收集与这些服务和机制的操并收集与这些服务和机制的操作有关的信息。作有关的信息
37、。安全管理信息库安全管理信息库(SMIB)是一个概念上的集存地是一个概念上的集存地, 存储开放系统所需的与安全有关的全部信息。存储开放系统所需的与安全有关的全部信息。安全管理安全管理管理协议管理协议, 特别是安全管理协议特别是安全管理协议, 以及传送这些以及传送这些管理信息的通信信道潜在着抗攻击的脆弱性。管理信息的通信信道潜在着抗攻击的脆弱性。安全管理可以要求在不同系统的行政管理机构安全管理可以要求在不同系统的行政管理机构之间交换与安全有关的信息之间交换与安全有关的信息, 以便使以便使SMIB得以得以建立或扩充。建立或扩充。应用协议将为在应用协议将为在OSI通信信道上交换与安全有通信信道上交换
38、与安全有关的信息作出规定。关的信息作出规定。 OSI安全管理的分类安全管理的分类 有三类有三类OSI安全管理活动安全管理活动系统安全管理系统安全管理安全服务管理安全服务管理 安全机制管理安全机制管理 系统安全管理系统安全管理 系统安全管理涉及总的系统安全管理涉及总的OSI环境安全方面的管环境安全方面的管理。理。总体安全策略的管理总体安全策略的管理, 包括一致性的修改与维护包括一致性的修改与维护; 与别的与别的OSI管理功能的相互作用管理功能的相互作用; 与安全服务管理和安全机制管理的交互作用与安全服务管理和安全机制管理的交互作用; 事件处理管理事件处理管理; 安全审计管理安全审计管理; 安全恢
39、复管理。安全恢复管理。 安全服务管理安全服务管理 安全服务管理涉及特定安全服务的管理安全服务管理涉及特定安全服务的管理为该种服务决定与指派目标安全保护为该种服务决定与指派目标安全保护; 指定与维护选择规则指定与维护选择规则(存在可选情况时存在可选情况时), 用以选取为用以选取为提供所需的安全服提供所需的安全服 务而使用的特定的安全机制务而使用的特定的安全机制; 对那些需要事先取得管理同意的可用安全机制进行对那些需要事先取得管理同意的可用安全机制进行协商协商(本地的与远程的本地的与远程的); 通过适当的安全机制管理功能调用特定的安全机制通过适当的安全机制管理功能调用特定的安全机制, 例如例如,
40、用来提供行用来提供行 政管理强加的安全服务政管理强加的安全服务; 与别的安全服务管理功能和安全机制管理功能的交与别的安全服务管理功能和安全机制管理功能的交互作用。互作用。 安全机制管理安全机制管理 安全机制管理涉及的是特定安全机制的管理安全机制管理涉及的是特定安全机制的管理密钥管理密钥管理加密管理加密管理数字签名管理数字签名管理访问控制管理访问控制管理数据完整性管理数据完整性管理鉴别管理鉴别管理通信业务填充管理通信业务填充管理路由选择控制管理路由选择控制管理公证管理公证管理密钥管理密钥管理密钥管理可以包括密钥管理可以包括: 间歇性地产生与所要求的安全级别相称的合适密钥间歇性地产生与所要求的安全
41、级别相称的合适密钥;根据访问控制的要求根据访问控制的要求, 对于每个密钥决定哪个实体应该接受对于每个密钥决定哪个实体应该接受密钥的拷贝密钥的拷贝; 用可靠办法使这些密钥对实开放系统中的实体实例是可用的用可靠办法使这些密钥对实开放系统中的实体实例是可用的, 或将这些密钥分配给它们。或将这些密钥分配给它们。 某些密钥管理功能将在某些密钥管理功能将在OSI环境之外执行。这包括用环境之外执行。这包括用可靠手段对密钥进行物理的分配。可靠手段对密钥进行物理的分配。 用于一次联系中的工作密钥的交换是一种正常的层协用于一次联系中的工作密钥的交换是一种正常的层协议功能。工作密钥的选取也可以通过访问密钥分配中议功
42、能。工作密钥的选取也可以通过访问密钥分配中心来完成心来完成, 或经管理协议作事先的分配。或经管理协议作事先的分配。 加密管理加密管理加密管理可以包括加密管理可以包括: 与密钥管理的交互作用与密钥管理的交互作用; 建立密码参数建立密码参数; 密码同步。密码机制的存在意味着使用密码管理密码同步。密码机制的存在意味着使用密码管理, 和采用共同的方式调用密码算法。和采用共同的方式调用密码算法。 由加密提供的保护的辨别水准决定于由加密提供的保护的辨别水准决定于OSI环境环境中哪些实体独立地使用密钥。中哪些实体独立地使用密钥。为获得对加密算法的共同调用可使用密码算法为获得对加密算法的共同调用可使用密码算法
43、寄存器寄存器, 或在实体间进行事前的协商。或在实体间进行事前的协商。 数字签名管理数字签名管理数字签名管理可以包括数字签名管理可以包括: 与密钥管理的交互作用与密钥管理的交互作用; 建立密码参数与密码算法建立密码参数与密码算法; 在通信实体与可能有的第三方之间使用协议。在通信实体与可能有的第三方之间使用协议。 访问控制管理访问控制管理访问控制管理可涉及到安全属性访问控制管理可涉及到安全属性(包括口令包括口令)的分的分配配, 或对访问控制表或权力表进行修改。也可能或对访问控制表或权力表进行修改。也可能涉及到在通信实体与其他提供访问控制服务的涉及到在通信实体与其他提供访问控制服务的实体之间使用协议
44、。实体之间使用协议。 数据完整性管理数据完整性管理数据完整性管理可以包括数据完整性管理可以包括: 与密钥管理的交互作用与密钥管理的交互作用建立密码参数与密码算法建立密码参数与密码算法在通信的实体间使用协议在通信的实体间使用协议 注注:当对数据完整性使用密码技术时当对数据完整性使用密码技术时, 数据完整数据完整性管理便与加密管理极为类似。性管理便与加密管理极为类似。 鉴别管理鉴别管理鉴别管理可以包括把说明信息鉴别管理可以包括把说明信息, 口令或密钥口令或密钥(使使用密钥管理用密钥管理)分配给要求执行鉴别的实体。它也分配给要求执行鉴别的实体。它也可以包括在通信的实体与其他提供鉴别服务的可以包括在通
45、信的实体与其他提供鉴别服务的实体之间使用协议。实体之间使用协议。 通信业务填充管理通信业务填充管理通信业务填充管理可包括维护那些用作通信业通信业务填充管理可包括维护那些用作通信业务填充的规则。例如务填充的规则。例如,这可以包括这可以包括: 预定的数据率预定的数据率; 指定随机数据率指定随机数据率; 指定报文特性指定报文特性, 例如长度例如长度; 可能按日时间或日历来改变这些规定。可能按日时间或日历来改变这些规定。 路由选择控制管理路由选择控制管理路由选择控制管理涉及确定那些按特定准则被路由选择控制管理涉及确定那些按特定准则被认为是安全可靠或可信任的链路或子网络。认为是安全可靠或可信任的链路或子
46、网络。 公证管理公证管理公证管理可以包括公证管理可以包括: 分配有关公证的信息分配有关公证的信息; 在公证方与通信的实体之间使用协议在公证方与通信的实体之间使用协议; 与公证方的交互作用。与公证方的交互作用。 OSI管理的安全管理的安全 所有所有OSI管理功能的安全以及管理功能的安全以及OSI管理信息的通管理信息的通信安全是信安全是OSI安全的重要部分。这一类安全管安全的重要部分。这一类安全管理将借助对上面所列的理将借助对上面所列的OSI安全服务与机制作安全服务与机制作适当的选取以确保适当的选取以确保OSI 管理协议与信息获得足管理协议与信息获得足够的保护。例如够的保护。例如, 在管理信息库的
47、管理实体之间在管理信息库的管理实体之间的通信一般将要求某种形式的保护。的通信一般将要求某种形式的保护。 2.3 信息系统安全体系框架信息系统安全体系框架管管理理体体系系制度制度法律法律培训培训组织体系组织体系机构机构人事人事岗位岗位技术体系技术体系技术管理技术管理技术机制技术机制安安全全策策略略与与服服务务密密钥钥管管理理审计审计OSI安全技术安全技术运行环境及系统安全技术运行环境及系统安全技术状态状态检测检测入侵入侵监控监控OSI安全安全管理管理安全机制安全机制安全服务安全服务物理物理安全安全系统系统安全安全信息系统安全体系框架信息系统安全体系框架2.3.1 技术体系技术体系技术体系是全面提
48、供信息系统安全保护的技术保障系技术体系是全面提供信息系统安全保护的技术保障系统。统。OSI安全体系通过技术管理将技术机制提供的安安全体系通过技术管理将技术机制提供的安全服务,分别或同时在全服务,分别或同时在OSI协议层的一层或多层上,协议层的一层或多层上,为数据、信息内容、通信连接提供机密性、完整性和为数据、信息内容、通信连接提供机密性、完整性和可用性保护,为通信实体、通信连接、通信进程提供可用性保护,为通信实体、通信连接、通信进程提供身份鉴别、访问控制、审计和抗抵赖保护,这些安全身份鉴别、访问控制、审计和抗抵赖保护,这些安全服务分别作用在通信平台、网络平台和应用平台上。服务分别作用在通信平台
49、、网络平台和应用平台上。保障和运行的安全体系是与保障和运行的安全体系是与OSI安全体系不同的技术安全体系不同的技术保障体系。保障体系。物理安全技术物理安全技术系统安全技术系统安全技术安全技术体系三维图加加密密数数字字签签名名访访问问控控制制完完整整性性鉴鉴别别交交流流业业务务流流填填充充公公证证电磁电磁辐射辐射控制控制抗电抗电磁干磁干扰扰鉴鉴别别访访问问控控制制数数据据完完整整性性数数据据保保密密性性抗抗抵抵赖赖审审计计可可可可靠用靠用性性性性安全管理安全管理物物 理理 层层链链 路路 层层网网 络络 层层传传 输输 层层应应 用用 层层安安全全管管理理物理环境物理环境系统平台系统平台通信平台
50、通信平台网络平台网络平台应用平台应用平台理理 管管 全全 安安安全服务安全服务(安全机制)(安全机制)系统构成单元系统构成单元协议层次协议层次2.3.2 组织机构体系组织机构体系组织机构体系是信息系统安全的组织保障系统。组织机构体系是信息系统安全的组织保障系统。机构机构决策层决策层管理层管理层执行层执行层岗位岗位人事人事2.3.3 管理体系管理体系管理是信息系统安全的灵魂管理是信息系统安全的灵魂法律管理:根据相关的国家法律、法规,对信息系法律管理:根据相关的国家法律、法规,对信息系统主体及其与外界关联行为的规范和约束。与安全统主体及其与外界关联行为的规范和约束。与安全有关的法律、法规是信息系统
51、安全的最高行为准则。有关的法律、法规是信息系统安全的最高行为准则。制度管理:根据系统必要的国家、团体的安全需求制度管理:根据系统必要的国家、团体的安全需求制定的一系列内部规章制度。制度管理是法律管理制定的一系列内部规章制度。制度管理是法律管理的形式化、具体化,是法律、法规与管理对象的接的形式化、具体化,是法律、法规与管理对象的接口。口。培训管理:确保信息系统安全的前提。培训管理:确保信息系统安全的前提。2.4 本章小结本章小结开放系统互连参考模型是国际标准化组织开放系统互连参考模型是国际标准化组织ISO定义的定义的开放系统体系结构,是一种将异构系统互连的七层分开放系统体系结构,是一种将异构系统
52、互连的七层分层结构,提供了控制互连系统交互的标准框架。层结构,提供了控制互连系统交互的标准框架。开放系统互连安全体系结构(开放系统互连安全体系结构(ISO7498-2)是基于)是基于OSI参考模型的七层协议之上的信息安全体系结构。定义参考模型的七层协议之上的信息安全体系结构。定义了了5类安全服务、类安全服务、8种安全机制,确定了安全服务与安种安全机制,确定了安全服务与安全机制的关系以及在全机制的关系以及在OSI七层模型中安全服务的配置。七层模型中安全服务的配置。5类安全服务是鉴别、访问控制、数据机密性、数据完类安全服务是鉴别、访问控制、数据机密性、数据完整性以及抗否认。整性以及抗否认。8种安全机制是加密、数字签名、访种安全机制是加密、数字签名、访问控制、数据完整性、鉴别交换、通信业务填充、路问控制、数据完整性、鉴别交换、通信业务填充、路由选择控制以及公证。由选择控制以及公证。OSI安全体系的安全管理涉及与安全体系的安全管理涉及与OSI有关的安全管理以有关的安全管理以及及OSI管理的安全两个方面。管理的安全两个方面。
