《安全基础设施的设计方案原理课件》由会员分享,可在线阅读,更多相关《安全基础设施的设计方案原理课件(146页珍藏版)》请在金锄头文库上搜索。
1、第第18章章 安全基础设施设计原理安全基础设施设计原理18.1 安全基础设施概述安全基础设施概述18.2 安全基础设施的目标安全基础设施的目标18.3 安全基础设施的的设计指南安全基础设施的的设计指南18.4 密钥管理基础设施密钥管理基础设施/ /公钥基础设施公钥基础设施18.5 证书管理证书管理18.6 对称密钥管理对称密钥管理18.7 基础设施目录服务基础设施目录服务18.8 信息系统安全工程信息系统安全工程18.9 本章小结本章小结习题习题一个安全基础设施应提供很多安全组件的协同使用,一个安全基础设施应提供很多安全组件的协同使用,其体系结构可改进整个的安全特性,而不仅是各个安其体系结构可
2、改进整个的安全特性,而不仅是各个安全组件的特性。使用这个定义,可推论出安全基础设全组件的特性。使用这个定义,可推论出安全基础设施的设计和特性。施的设计和特性。18.1 安全基础设施概述安全基础设施概述 18.1.1 安全基础设施概述安全基础设施概述以防火墙为例,使用防火墙可以很好地实施安全策略,以防火墙为例,使用防火墙可以很好地实施安全策略,但是,如果它不能和体系结构中的其他组件很好地连但是,如果它不能和体系结构中的其他组件很好地连接,就不能构成一个安全基础设施。例如,这个防火接,就不能构成一个安全基础设施。例如,这个防火墙不能和安全基础设施的其他方面互相联系、互相作墙不能和安全基础设施的其他
3、方面互相联系、互相作用,那它只是一个安全组件,而不是安全基础设施的用,那它只是一个安全组件,而不是安全基础设施的一部分。这就是安全基础设施定义中的协同组件。再一部分。这就是安全基础设施定义中的协同组件。再如,假如从防火墙能发送报警至事件管理站,由事件如,假如从防火墙能发送报警至事件管理站,由事件管理站处理成通知网络运行中心(管理站处理成通知网络运行中心(Network Operations Center, NOC)的报警,那么,防火墙可)的报警,那么,防火墙可能成为基础设施的一部分。能成为基础设施的一部分。反之,如防火墙本身做得很好,其屏幕可显示大部分反之,如防火墙本身做得很好,其屏幕可显示大
4、部分入侵的通信,且能在搜集后做日志,但它不能通知其入侵的通信,且能在搜集后做日志,但它不能通知其他任何组件,那防火墙的作用是不完全的。如果将防他任何组件,那防火墙的作用是不完全的。如果将防火墙和入侵检测、强的身份鉴别、加密的隧道火墙和入侵检测、强的身份鉴别、加密的隧道(VPN)等组件协同作用,就能设计成一个基本的安)等组件协同作用,就能设计成一个基本的安全基础设施。全基础设施。安全基础设施的主要组成有安全基础设施的主要组成有4部分:网络、平台、物部分:网络、平台、物理设施、处理过程。理设施、处理过程。网络类包括防火墙、路由器、交换机、远程访问设备网络类包括防火墙、路由器、交换机、远程访问设备(
5、如(如VPN和拨号和拨号modem池)以及基于网络的入侵检池)以及基于网络的入侵检测,它们分别在整个安全设计中增加某些安全特性。测,它们分别在整个安全设计中增加某些安全特性。这些组件通过其网络接口或在软件中定义的逻辑来监这些组件通过其网络接口或在软件中定义的逻辑来监控、过滤或限制通信。这些安全组件的作用是监控和控、过滤或限制通信。这些安全组件的作用是监控和保护在网络中通过的数据,或保护在应用中通过、使保护在网络中通过的数据,或保护在应用中通过、使用的数据。用的数据。18.1.2 安全基础设施的组成安全基础设施的组成平台类包括服务器、客户端软件(例如,执行操作系平台类包括服务器、客户端软件(例如
6、,执行操作系统和安全应用的控制)。执行一些电子操作(如智能统和安全应用的控制)。执行一些电子操作(如智能卡和读卡器、产生凭证的硬件卡、基于硬件的加密设卡和读卡器、产生凭证的硬件卡、基于硬件的加密设备)的设备也属于这一类。平台类还包括应用级访问备)的设备也属于这一类。平台类还包括应用级访问控制,如产生凭证的软件程序、数字证书、基于主机控制,如产生凭证的软件程序、数字证书、基于主机的入侵检测、病毒扫描和清除、事件搜集代理和分析的入侵检测、病毒扫描和清除、事件搜集代理和分析软件程序。应用级访问控制能提供鉴别、授权、基于软件程序。应用级访问控制能提供鉴别、授权、基于主机的入侵检测和分析、病毒检测和清除
7、、事件账户主机的入侵检测和分析、病毒检测和清除、事件账户管理和分析等功能。这些安全功能用来保护常驻在主管理和分析等功能。这些安全功能用来保护常驻在主要基础设施边界的应用。要基础设施边界的应用。安全基础设施的物理组成包括标准的门钥匙和锁、钥安全基础设施的物理组成包括标准的门钥匙和锁、钥匙卡、标识标志、安全照相机、活动传感器、声像报匙卡、标识标志、安全照相机、活动传感器、声像报警、安全警卫和系统、设备标签等。根据人的生物特警、安全警卫和系统、设备标签等。根据人的生物特征检测的设备也属于这一类,如指纹读出器、面部形征检测的设备也属于这一类,如指纹读出器、面部形状照相机、视网膜扫描器等。这些仿生组件是
8、通过自状照相机、视网膜扫描器等。这些仿生组件是通过自然本质来标识和鉴别用户的。属于这一类的还有网络然本质来标识和鉴别用户的。属于这一类的还有网络电缆和后备电源(如电缆和后备电源(如UPS系统和自备发电机)。物理系统和自备发电机)。物理安全设施的基本目的是防止非授权者进入以及保护安安全设施的基本目的是防止非授权者进入以及保护安全基础设施的电力供应和网络连接。全基础设施的电力供应和网络连接。处理过程包括企业安全策略和过程文档,用来管理企处理过程包括企业安全策略和过程文档,用来管理企业数据的生成、使用、存储和销毁,以及管理这些数业数据的生成、使用、存储和销毁,以及管理这些数据所在的系统和网络。企业安
9、全策略的目的是定义企据所在的系统和网络。企业安全策略的目的是定义企业资产保护的范围以及对这些资产所需的专门保护机业资产保护的范围以及对这些资产所需的专门保护机制。企业安全过程是企业安全策略文档的一个组成,制。企业安全过程是企业安全策略文档的一个组成,用来指导员工在特定环境下的行动。企业安全策略和用来指导员工在特定环境下的行动。企业安全策略和过程是安全基础设施的重要组成。有了综合的安全策过程是安全基础设施的重要组成。有了综合的安全策略和过程文档,安全设计师就能明白什么样的资产是略和过程文档,安全设计师就能明白什么样的资产是企业需要保护的,以及如何保护这些资产。企业需要保护的,以及如何保护这些资产
10、。虽然安全策略文档提供数据、系统和网络的保护策略,虽然安全策略文档提供数据、系统和网络的保护策略,但它对厂商选择、设计或实施并不规定所需的详细战但它对厂商选择、设计或实施并不规定所需的详细战术。这些安全组件的成功实施需要了解安全基础设施术。这些安全组件的成功实施需要了解安全基础设施目标,否则可能会不合适地保护或完全疏忽那些关键目标,否则可能会不合适地保护或完全疏忽那些关键资产。资产。安全基础设施设计的基本目标是保护企业的资产。保安全基础设施设计的基本目标是保护企业的资产。保护这些资产的方法是适当地部署各个安全组件于有组护这些资产的方法是适当地部署各个安全组件于有组织的、协同的安全基础设施中。这
11、些资产包括硬件、织的、协同的安全基础设施中。这些资产包括硬件、软件、网络组件以及知识财产。保护这些资产应根据软件、网络组件以及知识财产。保护这些资产应根据企业安全目标和企业安全策略文档。虽然提到的只是企业安全目标和企业安全策略文档。虽然提到的只是数据的保护,实际上保护数据及其可用性也意味着保数据的保护,实际上保护数据及其可用性也意味着保护执行的系统和网络。护执行的系统和网络。根据选择的数据等级分类体制,每种数据保护目标应根据选择的数据等级分类体制,每种数据保护目标应按数据机密性、数据完整性和数据可行性来表示和衡按数据机密性、数据完整性和数据可行性来表示和衡量。量。18.2 安全基础设施的目标安
12、全基础设施的目标当设计一个安全基础设施时,把应用的最好结果作为当设计一个安全基础设施时,把应用的最好结果作为目标。因为应用最靠近数据以及数据的处理、交换和目标。因为应用最靠近数据以及数据的处理、交换和存储。将设计目标放在数据机密性、数据完整性和数存储。将设计目标放在数据机密性、数据完整性和数据可用性上,会发现这不仅使应用得到安全,而且企据可用性上,会发现这不仅使应用得到安全,而且企业也得到安全。这个概念如图业也得到安全。这个概念如图18.1所示。所示。图图18.1 以应用为目标的安全设计概念以应用为目标的安全设计概念数据机密性的前提是防止非授权者看到非公共使用的数据机密性的前提是防止非授权者看
13、到非公共使用的数据。数据机密性应用于本书所定义的具有内部的、数据。数据机密性应用于本书所定义的具有内部的、机密的、严格限制的标记的数据。通过安全数据存储机密的、严格限制的标记的数据。通过安全数据存储和安全数据传输提供数据机密性保护。满足数据机密和安全数据传输提供数据机密性保护。满足数据机密性要求的典型技术包括数据传输、安全在线和离线存性要求的典型技术包括数据传输、安全在线和离线存储的加密。储的加密。数据完整性是关于对数据的任何非授权改变或破坏的数据完整性是关于对数据的任何非授权改变或破坏的保护。这个目标的基本点是数据的准确性和合法性。保护。这个目标的基本点是数据的准确性和合法性。通过产生原始数
14、据集检查和同复制的数据进行比较的通过产生原始数据集检查和同复制的数据进行比较的程序来管理完整性。提供数据完整性的通常解决方案程序来管理完整性。提供数据完整性的通常解决方案是使用通用的加密策略,例如前面讲到的是使用通用的加密策略,例如前面讲到的IPSec,使,使用这样的检查和策略来保证发送的数据等于接收的数用这样的检查和策略来保证发送的数据等于接收的数据。保护数据不被更改或破坏,可以用类似反病毒这据。保护数据不被更改或破坏,可以用类似反病毒这样的简单解决方法,也可以用部署关键通路存储解决样的简单解决方法,也可以用部署关键通路存储解决方案、高可用性的防火墙簇以及企业范围的变更管理方案、高可用性的防
15、火墙簇以及企业范围的变更管理等复杂的解决方案。为了防止非授权使用或破坏,鉴等复杂的解决方案。为了防止非授权使用或破坏,鉴别和授权控制是最合适的方法。别和授权控制是最合适的方法。最后,数据可用性也是需要十分关注的。数据可用性最后,数据可用性也是需要十分关注的。数据可用性的目标范围是根据数据可用的重要性而变化的。对某的目标范围是根据数据可用的重要性而变化的。对某些系统需要高可用性,高达些系统需要高可用性,高达99.999%,而有些系统可,而有些系统可用性要求就较低。提供高可用性系统保护的典型方法用性要求就较低。提供高可用性系统保护的典型方法是使用冗余系统,通常包括冗余的电源、数据访问和是使用冗余系
16、统,通常包括冗余的电源、数据访问和存储、网络以及应用服务器处理等。但冗余并不能满存储、网络以及应用服务器处理等。但冗余并不能满足全部数据可行性问题,尤其是近年来增多的拒绝服足全部数据可行性问题,尤其是近年来增多的拒绝服务(务(DOS)和分布式拒绝服务()和分布式拒绝服务(DDOS)的攻击。)的攻击。首先,设计指南中最重要的是要保证企业安全策略和首先,设计指南中最重要的是要保证企业安全策略和过程与当前经营业务目标相一致。如有不一致,在设过程与当前经营业务目标相一致。如有不一致,在设计和构造安全基础设施之前,应对这些策略和过程做计和构造安全基础设施之前,应对这些策略和过程做必要的修改。如果设计指南
17、没有被企业的最高管理层必要的修改。如果设计指南没有被企业的最高管理层接受和全力支持,那么安全设计不可能完全达到它的接受和全力支持,那么安全设计不可能完全达到它的功能,事实上有可能因缺少最高管理层的支持而失败。功能,事实上有可能因缺少最高管理层的支持而失败。18.3 安全基础设施的的设计指南安全基础设施的的设计指南第二步是开发一个计算机事故响应组(第二步是开发一个计算机事故响应组(Computer Incident Response Team, CIRT),其职责是在安全报其职责是在安全报警事件中采取必要的行动和预防措施。为了使响应组警事件中采取必要的行动和预防措施。为了使响应组成员能熟练地处理
18、事件(如安全破坏或灾难恢复),成员能熟练地处理事件(如安全破坏或灾难恢复),应尽可能多地进行实际培训。在很多情况下,把它当应尽可能多地进行实际培训。在很多情况下,把它当作有目的的测试场景,在那里能测试作有目的的测试场景,在那里能测试CIRT成员的行成员的行动在给定安全事件下的响应、效率、完整性以及恢复动在给定安全事件下的响应、效率、完整性以及恢复能力。这样的测试目标对改进能力。这样的测试目标对改进CIRT成员的能力是十成员的能力是十分重要的。分重要的。第三步是设计基础设施安全服务以直接支持指南和需第三步是设计基础设施安全服务以直接支持指南和需求。这些服务包括鉴别、授权、账户、物理访问控制求。这
19、些服务包括鉴别、授权、账户、物理访问控制和逻辑访问控制。对安全服务的设计、部署和运行应和逻辑访问控制。对安全服务的设计、部署和运行应遵循专门的方法。它定义了包括评估、设计、部署和遵循专门的方法。它定义了包括评估、设计、部署和管理管理4个步骤的生命周期。在评估阶段,分析现存的个步骤的生命周期。在评估阶段,分析现存的经营业务和安全需求,以决定大部分实际的、有效的经营业务和安全需求,以决定大部分实际的、有效的安全解决方案现在是否已可行,否则必须重新设计和安全解决方案现在是否已可行,否则必须重新设计和构造。在设计阶段,针对评估中发现的问题,设计安构造。在设计阶段,针对评估中发现的问题,设计安全解决方案
20、。部署阶段包括安全解决方案的实施和设全解决方案。部署阶段包括安全解决方案的实施和设备安装。最后是管理阶段,保证安全基础设施正常运备安装。最后是管理阶段,保证安全基础设施正常运行,功能正常。行,功能正常。鉴别服务于鉴别服务于Internet资源、外联网资源、内部网资源资源、外联网资源、内部网资源的用户,相应于它们内在的风险,需要不同级别的安的用户,相应于它们内在的风险,需要不同级别的安全。内部网用户愿意基于他们登录的全。内部网用户愿意基于他们登录的ID自动进行身自动进行身份鉴别,而对外联网和份鉴别,而对外联网和Internet用户,需要使用赋予用户,需要使用赋予的硬件或软件的标记和个人标识号的硬
21、件或软件的标记和个人标识号PIN登录。登录。通用的鉴别用户的方法包括静态用户名(通用的鉴别用户的方法包括静态用户名(UID)和口)和口令、强的两因子鉴别、一次性口令鉴别以及单点登录令、强的两因子鉴别、一次性口令鉴别以及单点登录(Single Sign-On, SSO)鉴别。可能的话,为企业部)鉴别。可能的话,为企业部署至少两种鉴别方法的组合,用于需要不同保护级别署至少两种鉴别方法的组合,用于需要不同保护级别的不同等级数据。对给定类别的数据选择合适的鉴别的不同等级数据。对给定类别的数据选择合适的鉴别方法是十分重要的。方法是十分重要的。18.3.1 鉴别鉴别最普通的鉴别方式是静态最普通的鉴别方式是
22、静态UID和口令的组合。因为静和口令的组合。因为静态口令不能经常更改,因此提供的数据保护能力是很态口令不能经常更改,因此提供的数据保护能力是很小的。静态小的。静态UID和口令的组合不能成功地抵御很多方和口令的组合不能成功地抵御很多方式的攻击,包括回答攻击和蛮力攻击。在回答攻击中,式的攻击,包括回答攻击和蛮力攻击。在回答攻击中,假冒者从以前的鉴别会话中获取假冒者从以前的鉴别会话中获取UID和口令的组合,和口令的组合,依靠偷得的依靠偷得的UID和口令给鉴别服务器回答,以得到访和口令给鉴别服务器回答,以得到访问权。在蛮力攻击中,攻击者只知道问权。在蛮力攻击中,攻击者只知道UID,或使用一,或使用一个
23、默认系统账户,用很多口令和已知个默认系统账户,用很多口令和已知UID组合来企图组合来企图登录,以得到访问权。这两种方式的攻击都广泛使用,登录,以得到访问权。这两种方式的攻击都广泛使用,从而削弱了静态方法的完整性。由于这个原因,只有从而削弱了静态方法的完整性。由于这个原因,只有公共数据或内部数据的访问基于静态鉴别方法。公共数据或内部数据的访问基于静态鉴别方法。对更高等级的数据,需要更严格的解决方法,例如,对更高等级的数据,需要更严格的解决方法,例如,可使用强的鉴别方法和一次性口令。强的鉴别方法可可使用强的鉴别方法和一次性口令。强的鉴别方法可使用诸如使用诸如PIN这类的知识因子和智能卡、标记产生卡
24、、这类的知识因子和智能卡、标记产生卡、标记软件程序等的组合。标记卡或标记软件程序使用标记软件程序等的组合。标记卡或标记软件程序使用一个算法产生通常有一个算法产生通常有6个数字的号码,最后的口令码个数字的号码,最后的口令码是该是该6个数字码和个数字码和PIN的组合。智能卡一般包含标识的组合。智能卡一般包含标识其拥有的权利的信息,如数字其拥有的权利的信息,如数字ID或私钥。虽然这种或私钥。虽然这种鉴别方法优于静态方法,可以不再有必要用一次性口鉴别方法优于静态方法,可以不再有必要用一次性口令,但大部分标记产生卡和标记软件程序利用一次性令,但大部分标记产生卡和标记软件程序利用一次性口令,使用一次后就不
25、再有效了。口令,使用一次后就不再有效了。很显然,强鉴别和一次性口令的组合能力大大优于静很显然,强鉴别和一次性口令的组合能力大大优于静态态UID和口令的组合,它既不会受回答攻击的影响,和口令的组合,它既不会受回答攻击的影响,也不会受蛮力攻击的影响。像智能卡这些设备,当若也不会受蛮力攻击的影响。像智能卡这些设备,当若干次非法企图后会自己失效,因此这些可携带的卡即干次非法企图后会自己失效,因此这些可携带的卡即使丢失或被偷窃,也不会有很大风险。使丢失或被偷窃,也不会有很大风险。为了改进使用静态鉴别方法,可以建立一个口令老化为了改进使用静态鉴别方法,可以建立一个口令老化的过程,规定在口令使用一定时期后必
26、须更改。也可的过程,规定在口令使用一定时期后必须更改。也可以在安全策略文档中规定口令加强的需求,并且在鉴以在安全策略文档中规定口令加强的需求,并且在鉴别服务器中进行设定,大部分操作系统支持这种特性。别服务器中进行设定,大部分操作系统支持这种特性。另一个设计鉴别体制时需考虑的问题是选择分布式或另一个设计鉴别体制时需考虑的问题是选择分布式或集中式的鉴别。分布式鉴别在业界是最流行的,对每集中式的鉴别。分布式鉴别在业界是最流行的,对每一个要访问的系统,用户有不同的一个要访问的系统,用户有不同的UID和口令,有时和口令,有时甚至对给定系统访问的每个应用都有不同的甚至对给定系统访问的每个应用都有不同的UI
27、D和口和口令。令。与上述方法相反的是单点登录(与上述方法相反的是单点登录(SSO)。)。SSO准许用准许用户使用单一账号和口令的组合来访问企业中的很多资户使用单一账号和口令的组合来访问企业中的很多资源。源。SSO对用户提供方便的优点是显而易见的。它也对用户提供方便的优点是显而易见的。它也减轻了管理的负担,管理员需跟踪的账户大大减少,减轻了管理的负担,管理员需跟踪的账户大大减少,由于用户忘记自己的口令而需要重新设置的负担也减由于用户忘记自己的口令而需要重新设置的负担也减轻了。轻了。然而,然而,SSO不是没有一点麻烦。将不是没有一点麻烦。将SSO引入环境,使引入环境,使其在异构环境中有效地运行需要
28、管理员付出新的努力。其在异构环境中有效地运行需要管理员付出新的努力。这些新的努力包括兼容的问题、部署和功能操作的问这些新的努力包括兼容的问题、部署和功能操作的问题,以及管理的问题等。如应用适当的智力和资源解题,以及管理的问题等。如应用适当的智力和资源解决了大部分问题,引入决了大部分问题,引入SSO解决方案,就能成功地处解决方案,就能成功地处理大部分企业范围的鉴别需求。理大部分企业范围的鉴别需求。授权是基于一个人或一个组的标识,允许或拒绝规定授权是基于一个人或一个组的标识,允许或拒绝规定的特权的行为。授权应从应用的周围世界来处理。从的特权的行为。授权应从应用的周围世界来处理。从根本上讲,应用安全
29、是所有努力的目标。这些努力包根本上讲,应用安全是所有努力的目标。这些努力包括了解你的应用,以及如何和客户机、数据库通信,括了解你的应用,以及如何和客户机、数据库通信,以及其他服务器处理过程。以及其他服务器处理过程。18.3.2 授权授权应用通常使用一个静态的端口集以及和其他实体通信应用通常使用一个静态的端口集以及和其他实体通信的协议。端口用来处理通信的发送和接收。决定使用的协议。端口用来处理通信的发送和接收。决定使用什么样的端口和什么样的协议。有了这些信息,就可什么样的端口和什么样的协议。有了这些信息,就可明白在使用哪一种应用会话方式(例如明白在使用哪一种应用会话方式(例如TCP会话),会话)
30、,还是通过没有会话的突发数据的应用通信(例如还是通过没有会话的突发数据的应用通信(例如UDP或或HTTP)。明白这些应用通信类型以及如何通)。明白这些应用通信类型以及如何通信有助于设计有效的、适当的授权控制。信有助于设计有效的、适当的授权控制。对应用功能及其如何实现有了很好的了解后,下一步对应用功能及其如何实现有了很好的了解后,下一步是决定谁应该在什么时间访问哪些数据,还应决定谁是决定谁应该在什么时间访问哪些数据,还应决定谁能得到对应用服务器、数据库或它们常驻网络段的物能得到对应用服务器、数据库或它们常驻网络段的物理访问权。这样就能防止入侵者得到访问控制。将应理访问权。这样就能防止入侵者得到访
31、问控制。将应用访问限制在特定的群体和一天中的特定时间,就能用访问限制在特定的群体和一天中的特定时间,就能减少受攻击的可能。减少受攻击的可能。根据赋予的资源特权将用户分成组,通过按资源将用根据赋予的资源特权将用户分成组,通过按资源将用户分组的方法,用赋予的组标签在应用级进行授权控户分组的方法,用赋予的组标签在应用级进行授权控制来控制组成员的活动。这样的策略是基于角色的访制来控制组成员的活动。这样的策略是基于角色的访问控制(问控制(role based access control, RBAC)。虽然)。虽然RBAC控制很好,适合于具有大量用户和大量公共或控制很好,适合于具有大量用户和大量公共或内
32、部数据资源的服务,但是对标有机密或严格限制的内部数据资源的服务,但是对标有机密或严格限制的数据保护需要更严格的控制。基于用户的访问控制数据保护需要更严格的控制。基于用户的访问控制(User Based Access Control, UBAC)是根据各个用)是根据各个用户的特权而不是赋予的角色来决定的访问控制。户的特权而不是赋予的角色来决定的访问控制。UBAC需要对每个用户分别进行鉴别和授权。需要对每个用户分别进行鉴别和授权。UBAC控制从其本性看可提供更细粒度的控制,因为它直接控制从其本性看可提供更细粒度的控制,因为它直接应用至每个用户或单个实体,而不是组或多个实体。应用至每个用户或单个实体
33、,而不是组或多个实体。账户管理涉及日志和行为的监控、事件以及满足某些账户管理涉及日志和行为的监控、事件以及满足某些条件引起的报警。大部分操作系统能配置生成账户日条件引起的报警。大部分操作系统能配置生成账户日志,对各种系统里发生的事件向管理者发出报警。最志,对各种系统里发生的事件向管理者发出报警。最流行的操作系统日志程序是用于流行的操作系统日志程序是用于UNIX系统的系统的Syslog和用于和用于Microsoft NT的的NT事件日志。事件日志。UNIX Syslog或或NT事件日志设置报警事件日志设置报警,在日志文件中产生报警级报文,在日志文件中产生报警级报文,或更高级的报文。然而,情况可能
34、更为复杂,如若干或更高级的报文。然而,情况可能更为复杂,如若干个相关的、协同的、不一样的事件从不同的代理源发个相关的、协同的、不一样的事件从不同的代理源发生,其结果是发出更严重的报警信息。不论复杂性如生,其结果是发出更严重的报警信息。不论复杂性如何,账户管理结果都能提供以下信息:何,账户管理结果都能提供以下信息:18.3.3 帐户帐户操作系统使用的详细情况;操作系统使用的详细情况;应用使用的详细情况;应用使用的详细情况;Internet、外联网或内部网的活动;、外联网或内部网的活动;用于法庭分析的数据;用于法庭分析的数据;趋势分析数据;趋势分析数据;生成报告的数据。生成报告的数据。这些结果对企
35、业都是很有价值的。除了提供性能预测这些结果对企业都是很有价值的。除了提供性能预测和趋势分析之外,这些事件还能确定它的安全轮廓、和趋势分析之外,这些事件还能确定它的安全轮廓、标识存在的或可能的威胁。操作系统事件能提示安全标识存在的或可能的威胁。操作系统事件能提示安全职员下列情况:失败的登录企图、企图得到根或管理职员下列情况:失败的登录企图、企图得到根或管理员的访问、文件系统是否已被安全送出。员的访问、文件系统是否已被安全送出。事件的时间界限和事件覆盖的范围一样重要。当管理事件的时间界限和事件覆盖的范围一样重要。当管理员只是每周一次用人工方法考查事件日志时,从操作员只是每周一次用人工方法考查事件日
36、志时,从操作系统、关键应用以及在网络段上的通信监控安全事件系统、关键应用以及在网络段上的通信监控安全事件到底有多少价值呢?当管理员周期地考查这些事件日到底有多少价值呢?当管理员周期地考查这些事件日志,查看一段历史时,黑客和漏洞的跟踪有可能早已志,查看一段历史时,黑客和漏洞的跟踪有可能早已离开了,一些关键数据也可能已被取走。离开了,一些关键数据也可能已被取走。在在Internet年代,事情发生得很快。即使是黑客新手年代,事情发生得很快。即使是黑客新手也可能用大量黑客工具来攻击企业资产。这些新手从也可能用大量黑客工具来攻击企业资产。这些新手从专门黑客那里得到好处,裁剪黑客工具对企业施加严专门黑客那
37、里得到好处,裁剪黑客工具对企业施加严重的破坏。重的破坏。因此,不仅需要连续的访问和鉴别控制,还需要实时因此,不仅需要连续的访问和鉴别控制,还需要实时的事件管理和入侵检测(的事件管理和入侵检测(ID)解决方法。将入侵检)解决方法。将入侵检测也作为账户管理解决方案的一个组成部分,因为它测也作为账户管理解决方案的一个组成部分,因为它的自然特性是事件检测、分析,还有防止,十分类似的自然特性是事件检测、分析,还有防止,十分类似于事件管理的目的。以往只是将事件管理当作一种静于事件管理的目的。以往只是将事件管理当作一种静态搜集信息的工具,在这里将事件管理作为一种实时态搜集信息的工具,在这里将事件管理作为一种
38、实时安全报警机制。安全报警机制。物理访问控制有关安全基础设施的组件,和其他安全物理访问控制有关安全基础设施的组件,和其他安全设施一起减少资源滥用的效应。物理控制的操作是物设施一起减少资源滥用的效应。物理控制的操作是物理的。理的。通用物理访问控制包括标准的门钥匙、钥匙卡、标识通用物理访问控制包括标准的门钥匙、钥匙卡、标识标志、安全照相机、活动传感器、声像报警、安全警标志、安全照相机、活动传感器、声像报警、安全警卫和系统、设备标签等。使用这些组件的方法决定了卫和系统、设备标签等。使用这些组件的方法决定了物理访问控制策略的质量。企业安全策略和过程文档物理访问控制策略的质量。企业安全策略和过程文档定义
39、的操作应定义如何保护专门等级的数据及执行的定义的操作应定义如何保护专门等级的数据及执行的系统。这些过程还应陈述在灾难事件中通知相应的人系统。这些过程还应陈述在灾难事件中通知相应的人员采取哪些行动,对应用重要的数据影响,定义相应员采取哪些行动,对应用重要的数据影响,定义相应的法庭过程以及如何降低相关的风险。的法庭过程以及如何降低相关的风险。18.3.4 物理访问控制物理访问控制除了减少安全漏洞的风险和影响外,服务的破坏也必除了减少安全漏洞的风险和影响外,服务的破坏也必须计入物理保护策略。服务破坏保护策略包括正确的须计入物理保护策略。服务破坏保护策略包括正确的组件放置以及冗余。安全基础设施放置和冗
40、余是一样组件放置以及冗余。安全基础设施放置和冗余是一样重要的。例如,某公司需要一个高可用性的系统和数重要的。例如,某公司需要一个高可用性的系统和数据为客户服务,为此公司需安装一条冗余的据为客户服务,为此公司需安装一条冗余的T-1电缆电缆接到提供客户服务的数据中心,同时需要安装冗余的接到提供客户服务的数据中心,同时需要安装冗余的UPS设备。由于施工土建工作量较小,施工过程未同设备。由于施工土建工作量较小,施工过程未同土建安全部门联系。但这种疏忽有可能会引起水、电土建安全部门联系。但这种疏忽有可能会引起水、电等事故,这类事故在安装物理基础设施组件时本来是等事故,这类事故在安装物理基础设施组件时本来
41、是完全可以避免的。完全可以避免的。逻辑访问控制是所有安全基础设施控制中最引人注目逻辑访问控制是所有安全基础设施控制中最引人注目的。这些控制包括防火墙、路由器、交换机、的。这些控制包括防火墙、路由器、交换机、VPN和和应用层控制,用来限制系统和网络的使用。如前所述,应用层控制,用来限制系统和网络的使用。如前所述,逻辑访问控制有时使用鉴别和授权信息来决定准予或逻辑访问控制有时使用鉴别和授权信息来决定准予或拒绝访问。另外,这些决定取决于正在使用的端口和拒绝访问。另外,这些决定取决于正在使用的端口和协议。这些控制最好先集中在应用上,然后再控制低协议。这些控制最好先集中在应用上,然后再控制低层协议。层协
42、议。18.3.5 逻辑访问控制逻辑访问控制下面举例说明,假定有一个下面举例说明,假定有一个HealthApp的应用,此应的应用,此应用利用端口用利用端口8111上的上的TCP和和HealthApp客户通信,而客户通信,而TCP8104处理服务器对服务器的通信。首先需明白应处理服务器对服务器的通信。首先需明白应用的功能,而不是一开始就访问控制不希望的端口和用的功能,而不是一开始就访问控制不希望的端口和协议。在本例中,协议。在本例中,HealthApp服务器和其他服务器通服务器和其他服务器通信首先执行一个域名系统(信首先执行一个域名系统(DNS)的查找来发现要同)的查找来发现要同它通信的服务器的它
43、通信的服务器的IP地址,地址,HealthApp服务器和服务器和DNS服务器之间的服务器之间的DNS询问必须是允许的。询问必须是允许的。在本例中,下一步是对不是和在本例中,下一步是对不是和HealthApp应用相联系应用相联系的操作,拒绝所有访问控制设备(例如防火墙、路由的操作,拒绝所有访问控制设备(例如防火墙、路由器、交换机)上的通信,并对应用进行测试。这样以器、交换机)上的通信,并对应用进行测试。这样以应用为目标,导出可用的、最安全的逻辑访问控制集。应用为目标,导出可用的、最安全的逻辑访问控制集。可以发现,使用这个策略是保护应用数据及其执行的可以发现,使用这个策略是保护应用数据及其执行的系
44、统的最有效方法。系统的最有效方法。逻辑访问控制能应用不同的方法来限制系统和网络的逻辑访问控制能应用不同的方法来限制系统和网络的使用。对应用访问的保护,逻辑访问控制通常使用在使用。对应用访问的保护,逻辑访问控制通常使用在应用本身。基于鉴别和授权准则,可设计成明确的限应用本身。基于鉴别和授权准则,可设计成明确的限制或允许一定用户或用户组的访问。网络访问控制根制或允许一定用户或用户组的访问。网络访问控制根据试图经过一个网络段的端口号和协议来决定允许还据试图经过一个网络段的端口号和协议来决定允许还是拒绝通信。很多防火墙、路由器、交换机、是拒绝通信。很多防火墙、路由器、交换机、VPN网网关和关和ID系统
45、可以根据它的类型(系统可以根据它的类型(TCP、UDP或或IPX)、)、源、目的甚至载荷来限制通信。源、目的甚至载荷来限制通信。逻辑访问控制通常最后使用入侵检测系统,包括发送逻辑访问控制通常最后使用入侵检测系统,包括发送一个一个TCP RESET(RST)分组给非授权网络通信的)分组给非授权网络通信的发送源。这个发送源。这个RST分组通知发送源(冒犯者)的主机分组通知发送源(冒犯者)的主机该数据会话没有接收到。虽然这个冒犯者的主机可能该数据会话没有接收到。虽然这个冒犯者的主机可能继续再试,但它的非授权通信经过给定的网络段,入继续再试,但它的非授权通信经过给定的网络段,入侵检测系统将重新设置这个
46、会话,因此阻止了该通信侵检测系统将重新设置这个会话,因此阻止了该通信到达目的站。到达目的站。实践证明,最好的逻辑访问控制实施策略是包括周边实践证明,最好的逻辑访问控制实施策略是包括周边的建立、内部应用和基于网络的控制、基础设施的保的建立、内部应用和基于网络的控制、基础设施的保护。周边的建立将决定哪些系统和网络是最可信的护。周边的建立将决定哪些系统和网络是最可信的(内部的),哪些系统和网络有点可信(内部的),哪些系统和网络有点可信(DMZ),),哪些系统和网络根本不可信。图哪些系统和网络根本不可信。图18.2表示建立可信域表示建立可信域的模型。的模型。图图18.2 可信域的模型可信域的模型设计分
47、开的可信区域,就能使用访问控制,以适合不设计分开的可信区域,就能使用访问控制,以适合不同可信区域内网络和系统的经营业务的目的。同可信区域内网络和系统的经营业务的目的。Internet需要和内部网和外联网不同的访问控制水平,需要和内部网和外联网不同的访问控制水平,不仅必须选择合适的访问控制技术,还必须包括基础不仅必须选择合适的访问控制技术,还必须包括基础设施的正确部署位置。入侵检测系统安装在周边防火设施的正确部署位置。入侵检测系统安装在周边防火墙内和防火墙外结果不同。不仅重要的事件及其内容墙内和防火墙外结果不同。不仅重要的事件及其内容不同,而且使用的数据机密性、完整性和可用性的需不同,而且使用的
48、数据机密性、完整性和可用性的需求也不同,事件着重点的改变也相当大。求也不同,事件着重点的改变也相当大。当实施这些控制时,应尽可能少地牺牲企业的生产力当实施这些控制时,应尽可能少地牺牲企业的生产力和利益,这是必须考虑的因素,虽然要做到这点不容和利益,这是必须考虑的因素,虽然要做到这点不容易。易。支撑性基础设施是能够提供安全服务的一套相互关联支撑性基础设施是能够提供安全服务的一套相互关联的活动与基础设施。有两个十分重要的支撑性基础设的活动与基础设施。有两个十分重要的支撑性基础设施:施:密钥管理基础设施密钥管理基础设施/公钥基础设施,用于产生、公布公钥基础设施,用于产生、公布和管理密钥与证书等安全凭
49、证。和管理密钥与证书等安全凭证。检测与响应,用于预警、检测、识别可能的网络攻击,检测与响应,用于预警、检测、识别可能的网络攻击,做出有效响应以及对攻击行为进行调查分析。做出有效响应以及对攻击行为进行调查分析。18.4 密钥管理基础设施密钥管理基础设施/公钥基础设施公钥基础设施本节阐述密钥基础设施与公钥基础设施本节阐述密钥基础设施与公钥基础设施(KMI/PKI),),KMI/PKI作为一种支撑性基础设施,作为一种支撑性基础设施,其本身并不能直接为用户提供安全服务,但其本身并不能直接为用户提供安全服务,但KMI/PKI是其他安全应用的基础。是其他安全应用的基础。KMI/PKI是安全是安全服务所必需
50、的组件,其体系结构依赖于其支持的应用。服务所必需的组件,其体系结构依赖于其支持的应用。表表18-1列出了不同用户类型对列出了不同用户类型对KMI/PKI的需求。例如,的需求。例如,在为两个用户提供端到端加密隧道的虚拟专用网在为两个用户提供端到端加密隧道的虚拟专用网(VPN)中,)中,KMI/PKI为实现认证和加密功能的加为实现认证和加密功能的加密设备提供密钥和证书,还为用户提供密钥恢复服务密设备提供密钥和证书,还为用户提供密钥恢复服务以及证书查询的目录服务。以及证书查询的目录服务。表表18-1 KMI/PKI支持不同类型的用户服务支持不同类型的用户服务用户类型KMI/PKI服务VPN密钥产生证
51、书管理密钥恢复目录服务网络访问控制 密钥产生证书管理增值服务目录服务远程访问服务 密钥产生证书管理密钥恢复目录服务多级安全密钥产生证书管理目录服务用户类型用户类型KMI/PKI服务服务VPN密钥产生证书管理密钥密钥产生证书管理密钥恢复目录服务网络访问控制密钥产生证书管理增值服恢复目录服务网络访问控制密钥产生证书管理增值服务目录服务远程访问服务密钥产生证书管理密钥恢复务目录服务远程访问服务密钥产生证书管理密钥恢复目录服务多级安全密钥产生证书管理目录服务与其他目录服务多级安全密钥产生证书管理目录服务与其他基础设施解决方案不同的是,基础设施解决方案不同的是,KMI/PKI将它的安全将它的安全分布在一
52、组独立的组件上。这些组件本身比用户应用分布在一组独立的组件上。这些组件本身比用户应用要求更高的安全性,以保证用户证书和密钥的安全性。要求更高的安全性,以保证用户证书和密钥的安全性。同样,基础设施中的安全策略管理、信息保障的水平同样,基础设施中的安全策略管理、信息保障的水平等都要高于用户应用的安全级别。等都要高于用户应用的安全级别。为了减少用户获取服务的成本和需花费的人力资源,为了减少用户获取服务的成本和需花费的人力资源,要求将提供不同服务的支撑性基础设施组合在一起,要求将提供不同服务的支撑性基础设施组合在一起,形成一个能为用户提供多种服务的多组件基础设施。形成一个能为用户提供多种服务的多组件基
53、础设施。KMI/PKI支持支持4种服务,其中每一种服务都使用了多种服务,其中每一种服务都使用了多种机制来满足用户应用对安全的不同要求。前两种服种机制来满足用户应用对安全的不同要求。前两种服务能直接支持用户应用,后两种服务是用户应用正常务能直接支持用户应用,后两种服务是用户应用正常工作所必需的。工作所必需的。18.4.1 KMI/PKI服务服务第一种服务是对称密钥的产生和分发。对称密钥的产第一种服务是对称密钥的产生和分发。对称密钥的产生和分发仍然是政府部门、金融部门和密钥管理机制生和分发仍然是政府部门、金融部门和密钥管理机制中最主要的部分。尽管许多应用正在使用非对称密钥中最主要的部分。尽管许多应
54、用正在使用非对称密钥管理代替对称密钥管理,但对称密钥管理仍然有用武管理代替对称密钥管理,但对称密钥管理仍然有用武之地。对称密钥中,多个用户的密钥的产生、分发和之地。对称密钥中,多个用户的密钥的产生、分发和管理由一个中心(可能是一个用户或一个独立的第三管理由一个中心(可能是一个用户或一个独立的第三方)完成。在应用对称密钥的团体中,一个成员在其方)完成。在应用对称密钥的团体中,一个成员在其密钥的生命周期中只使用同一个密钥与其他成员进行密钥的生命周期中只使用同一个密钥与其他成员进行保密通信。保密通信。第二种服务是支持非对称密钥技术及与其相关的证书第二种服务是支持非对称密钥技术及与其相关的证书管理。非
55、对称密钥通常使用数字证书来鉴别公管理。非对称密钥通常使用数字证书来鉴别公/私钥私钥对中公钥部分的真实性。这种鉴别很重要,因为非对对中公钥部分的真实性。这种鉴别很重要,因为非对称密码提供的安全服务要依赖于公钥用户确保公钥已称密码提供的安全服务要依赖于公钥用户确保公钥已与特定的用户绑定。数字证书(与特定的用户绑定。数字证书(X.509证书)恰恰能证书)恰恰能将公将公/私密钥对中的公钥部分与其拥有者的身份绑定私密钥对中的公钥部分与其拥有者的身份绑定在一起,并使用密码技术保证这种绑定关系的安全性。在一起,并使用密码技术保证这种绑定关系的安全性。公钥基础设施由多个部分组成,包括组成基础设施的公钥基础设施
56、由多个部分组成,包括组成基础设施的组件、使用并操作基础设施的人员、基础设施提供的组件、使用并操作基础设施的人员、基础设施提供的服务、基础设施运行的策略以及对公钥证书的管理。服务、基础设施运行的策略以及对公钥证书的管理。公钥基础设施可以产生、管理数字证书以保证数据的公钥基础设施可以产生、管理数字证书以保证数据的真实性、完整性及不可否认性,也可产生、管理密钥真实性、完整性及不可否认性,也可产生、管理密钥协商证书以保护数据的机密性。协商证书以保护数据的机密性。第三种服务是目录服务。通过目录服务,用户可获得第三种服务是目录服务。通过目录服务,用户可获得PKI提供的公开信息,如公钥证书、相关基础设施的提
57、供的公开信息,如公钥证书、相关基础设施的证书、受损的密钥信息等。目录服务可以由全球的分证书、受损的密钥信息等。目录服务可以由全球的分布目录集提供,如布目录集提供,如X.500DMS(Defense Message System),也可以由单一站点组成的在线存储库提供。也可以由单一站点组成的在线存储库提供。目录服务一般与目录服务一般与PKI结合在一起使用,但也可以用来结合在一起使用,但也可以用来提供其他服务。提供其他服务。第四种服务是对基础设施本身的管理。基础设施是由第四种服务是对基础设施本身的管理。基础设施是由多个组件协同工作为用户提供服务的,这种分布特性多个组件协同工作为用户提供服务的,这种
58、分布特性增加了对增加了对KMI/PKI的功能和操作上的要求。同时应的功能和操作上的要求。同时应用安全需求的敏感性也对用安全需求的敏感性也对KMI/PKI提出了更多的安提出了更多的安全需求。全需求。KMI/PKI的内部结构也受其支持的应用的的内部结构也受其支持的应用的影响。影响。KMI/PKI能支持不同的安全应用,这取决于应用使能支持不同的安全应用,这取决于应用使用的密码技术。对称密码技术一般保护信息在传输和用的密码技术。对称密码技术一般保护信息在传输和存储中的机密性,如传输机密性、文件加密、密钥协存储中的机密性,如传输机密性、文件加密、密钥协商。对称密钥技术与其他机制相结合也可保证交易过商。对
59、称密钥技术与其他机制相结合也可保证交易过程中数据的完整性和真实性,从而确保交易安全,如程中数据的完整性和真实性,从而确保交易安全,如鉴别、完整性、不可否认等安全应用。与对称密码不鉴别、完整性、不可否认等安全应用。与对称密码不同,非对称密码技术可以保护信息在传输和存储中的同,非对称密码技术可以保护信息在传输和存储中的完整性和真实性,如鉴别、完整性和不可否认等安全完整性和真实性,如鉴别、完整性和不可否认等安全应用。公开密钥密码技术与证书管理相结合可以为应应用。公开密钥密码技术与证书管理相结合可以为应用提供全方位的安全服务。公开密钥密码技术对数据用提供全方位的安全服务。公开密钥密码技术对数据进行加密
60、、解密的速度比较慢,因此一般都使用对称进行加密、解密的速度比较慢,因此一般都使用对称密码算法对数据进行加密和解密。密码算法对数据进行加密和解密。KMI/PKI包含一系列过程。这些过程需要正确地协包含一系列过程。这些过程需要正确地协同工作,以保护用户服务的安全。这些过程列举如下:同工作,以保护用户服务的安全。这些过程列举如下: 注册。在系统中登记已经过认证的用户,使其可注册。在系统中登记已经过认证的用户,使其可以使用以使用KMI/PKI。 申请。用户向申请。用户向KMI/PKI请求密钥或证书。请求密钥或证书。 密钥生成。由基础设施的一个组件产生对称密钥密钥生成。由基础设施的一个组件产生对称密钥或
61、不对称密钥。或不对称密钥。 证书生成。将用户的信息和用户的公开密钥绑定证书生成。将用户的信息和用户的公开密钥绑定在一个证书中。在一个证书中。18.4.2 KMI/PKI过程过程 分发。通过一种安全的可认证方式将密钥和证书分发。通过一种安全的可认证方式将密钥和证书分发给用户。分发给用户。 审计。记录密钥和证书的位置和状态。审计。记录密钥和证书的位置和状态。 受损恢复。通过一种可验证的方式将无效的密钥受损恢复。通过一种可验证的方式将无效的密钥和证书从系统中删除。和证书从系统中删除。 密钥更新。以一种安全的可认证方式周期性地更密钥更新。以一种安全的可认证方式周期性地更新密钥和证书。新密钥和证书。 销
62、毁。销毁失效的私钥。销毁。销毁失效的私钥。 密钥恢复。不直接访问用户私钥的拷贝而恢复用密钥恢复。不直接访问用户私钥的拷贝而恢复用户私钥的能力。户私钥的能力。制定策略:定义上述操作的应用需求。制定策略:定义上述操作的应用需求。管理:运行基础设施。管理:运行基础设施。增值增值PKI过程。提供一些可增值的服务,如备份、时过程。提供一些可增值的服务,如备份、时间戳、公证等。这部分不是必须的。间戳、公证等。这部分不是必须的。在在PKI中,由不同的组件负责处理不同的操作。上述中,由不同的组件负责处理不同的操作。上述的操作可以有多种方法进行组合,为用户提供安全服的操作可以有多种方法进行组合,为用户提供安全服
63、务,具体的实现方式依赖于具体的应用和用户愿意投务,具体的实现方式依赖于具体的应用和用户愿意投入的成本。入的成本。KMI/PKI的整体安全由各个操作的安全的整体安全由各个操作的安全性构成,每一个操作都面临着不同的攻击威胁并有相性构成,每一个操作都面临着不同的攻击威胁并有相应的防范措施。表应的防范措施。表18-2定义了定义了4种种KMI/PKI服务对实服务对实现每一个操作的基本要求。(见书中表现每一个操作的基本要求。(见书中表18-2 KMI/PKI操作)操作)1. 用户需求用户需求(1) 对称密码对称密码密钥的来源应该是可信的、权威的、可鉴别的;密钥的来源应该是可信的、权威的、可鉴别的;在分发过
64、程中应该对密钥进行保护。在分发过程中应该对密钥进行保护。(2) 非对称密码非对称密码由用户或由用户或KMI/PKI来产生公来产生公/私密钥对;私密钥对;证书信息是准确、有效的,并反映了与可识别的惟一证书信息是准确、有效的,并反映了与可识别的惟一用户之间有效的绑定关系;用户之间有效的绑定关系;18.4.3 用户和基础设施需求用户和基础设施需求证书将用户私钥对应的公钥与用户身份绑定在一起;证书将用户私钥对应的公钥与用户身份绑定在一起;可信基础设施组件的证书通过可鉴别的方式传递给用可信基础设施组件的证书通过可鉴别的方式传递给用户;户;用户可以周期性检查证书中信息的有效性;用户可以周期性检查证书中信息
65、的有效性;KMI/PKI只为在策略中定义的经过认证的实体(如只为在策略中定义的经过认证的实体(如用户或用户组织)提供数据恢复服务,例如提供私钥用户或用户组织)提供数据恢复服务,例如提供私钥的一个拷贝。的一个拷贝。验证密钥产生请求验证密钥产生请求接收公钥验证申请密钥请求验证信息请求接收公钥验证申请密钥请求验证信息请求 验证改变信任模型的过程验证改变信任模型的过程接收基础设施组件的公钥产生接收基础设施组件的公钥产生 产生公产生公/私密钥对私密钥对产生证书产生密钥向目录中增加信息产生证书产生密钥向目录中增加信息 产生根公产生根公/私密钥对私密钥对产生根证书产生根证书产生基础设施组件的公产生基础设施组
66、件的公/私密钥对私密钥对产生基础设施组件的证书产生基础设施组件的证书产生交叉认证证书分发产生交叉认证证书分发 向用户提供证书向用户提供证书验证获取证书的用户是否具有相应的私钥验证获取证书的用户是否具有相应的私钥将策略批准权威(将策略批准权威(PAA)的公钥证书通过可认证的途)的公钥证书通过可认证的途径发送给用户径发送给用户 将密钥发送给用户将密钥发送给用户将密钥装入到加密设备中向用户提供信息将密钥装入到加密设备中向用户提供信息 通过安全的途径将根证书提供给基础设施的各个组件通过安全的途径将根证书提供给基础设施的各个组件为每个基础设施组件提供证书为每个基础设施组件提供证书确保每个基础设施组件拥有
67、公钥对应的私钥确保每个基础设施组件拥有公钥对应的私钥通过安全的方式向基础设施组件提供域内的加密参数通过安全的方式向基础设施组件提供域内的加密参数受损恢复受损恢复 对失效的密钥提供失效密钥列表(对失效的密钥提供失效密钥列表(CKL)对处于有效期内的证书提供在线认证机制取消所有使对处于有效期内的证书提供在线认证机制取消所有使用失效的密钥的密码设备修复一个受到攻击的目录提用失效的密钥的密码设备修复一个受到攻击的目录提供整个基础设施或组件失效或遇到供整个基础设施或组件失效或遇到灾难后的重建步骤续表灾难后的重建步骤续表操作证书(公钥)管理对称密钥管理基础设施目录服操作证书(公钥)管理对称密钥管理基础设施
68、目录服务基础设施管理审计在密钥和证书整个生命周期内跟务基础设施管理审计在密钥和证书整个生命周期内跟踪其位置和状态在密钥的整个生命周期内跟踪其位置踪其位置和状态在密钥的整个生命周期内跟踪其位置和状态记录何人何时修改目录中的信息确保对基础设和状态记录何人何时修改目录中的信息确保对基础设施的组件的操作符合施的组件的操作符合PAA定义的策略和操作流程密钥定义的策略和操作流程密钥恢复适当的密钥恢复机制恢复适当的密钥恢复机制N/AN/A根签名密钥可能需根签名密钥可能需要密钥恢复密钥更新新证书要密钥恢复密钥更新新证书新密钥密码设备的密钥更新新密钥密码设备的密钥更新N/A改变根密钥的过程销改变根密钥的过程销毁
69、到达私钥使用期限后将其置毁到达私钥使用期限后将其置0达到密钥使用期限后达到密钥使用期限后将密钥置将密钥置0将信息从目录中删除到达基础设施组件的将信息从目录中删除到达基础设施组件的私钥使用期限后将其置私钥使用期限后将其置0管理管理N/AN/AN/A安全地使用安全地使用基础设施组件和运用系统策略的操作步骤基础设施组件和运用系统策略的操作步骤2. 基础设施管理需求基础设施管理需求(1) 对称密码对称密码确保密钥产生和分发的请求者经过认证;确保密钥产生和分发的请求者经过认证;密钥产生过程是安全、强健的;密钥产生过程是安全、强健的;在密钥分发过程中保证密钥的安全性;在密钥分发过程中保证密钥的安全性;密钥
70、只分发给经过认证的用户;密钥只分发给经过认证的用户;系统要对密钥整个生命周期进行审计(申请、产生、系统要对密钥整个生命周期进行审计(申请、产生、分发、使用、更新以及销毁);分发、使用、更新以及销毁);系统要将失效的密钥从系统中删除。系统要将失效的密钥从系统中删除。(2) 非对称密码非对称密码确保证书申请的发起者经过认证;确保证书申请的发起者经过认证;产生证书之前确保证书申请中的信息与用户的实际情产生证书之前确保证书申请中的信息与用户的实际情况相符合;况相符合;CA要保证将正确的公钥写入证书中;要保证将正确的公钥写入证书中;如果系统为用户产生公钥,则要保证密钥产生的安全如果系统为用户产生公钥,则
71、要保证密钥产生的安全性并安全地传递给用户;性并安全地传递给用户;基础设施要确保其证书的完整性,并以可鉴别的、不基础设施要确保其证书的完整性,并以可鉴别的、不可否认的方式传递给用户;可否认的方式传递给用户;基础设施必须周期地为用户提供证书撤销信息;基础设施必须周期地为用户提供证书撤销信息;基础设施必须保证其组件的高可用性;基础设施必须保证其组件的高可用性;系统对密钥的生命周期进行审计(申请、产生、分发、系统对密钥的生命周期进行审计(申请、产生、分发、应用、更新、撤销和归档);应用、更新、撤销和归档);基础设施只对已认证的用户或用户组织提供私钥的恢基础设施只对已认证的用户或用户组织提供私钥的恢复机
72、制;复机制;基础设施存储的密钥要使用密钥恢复机制保护密钥;基础设施存储的密钥要使用密钥恢复机制保护密钥;保证恢复的密钥在分发给用户的过程中的安全。保证恢复的密钥在分发给用户的过程中的安全。KMI/PKI的一个主要功能就是对使用公钥的应用提的一个主要功能就是对使用公钥的应用提供密钥和证书的产生、分发和管理服务。在供密钥和证书的产生、分发和管理服务。在KMI/PKI的分工中,的分工中,PKI的目的就是管理密钥和证书。的目的就是管理密钥和证书。本节从用户的角度出发介绍本节从用户的角度出发介绍PKI的功能及其体系结构。的功能及其体系结构。18.5 证书管理证书管理为了给各种基于公钥的应用提供服务,为了
73、给各种基于公钥的应用提供服务,PKI的组成包的组成包括一系列的软件、硬件和协议。括一系列的软件、硬件和协议。PKI的主要组成部分的主要组成部分包括证书授权(包括证书授权(Certification Authority, CA)、注册)、注册授权(授权(Registration Authority, RA)以及证书存储库)以及证书存储库(Certificate Repository, CR)。)。PKI管理的对象有管理的对象有密钥、证书以及证书撤销列表(密钥、证书以及证书撤销列表(Certificate Revocation List, CRL)。下面简要介绍这些组件。)。下面简要介绍这些组件。
74、CA。被一个或多个用户信任并负责创建、分发证书,。被一个或多个用户信任并负责创建、分发证书,操作操作CA的人称为管理员。的人称为管理员。RA。负责认证。负责认证CA申请证书的用户身份的实体。申请证书的用户身份的实体。RA并不签发证书,一般位于离用户比较近的地方。完成并不签发证书,一般位于离用户比较近的地方。完成RA认证用户这项任务的人称为认证用户这项任务的人称为RA操作员在大多数操作员在大多数PKI中,完成认证用户身份的任务一般由分散的、离中,完成认证用户身份的任务一般由分散的、离用户较近的局域注册授权(用户较近的局域注册授权(Local Registration Authority, LRA
75、)完成。)完成。CR。CA发布证书和发布证书和CRL的地点。存储库有多种实现的地点。存储库有多种实现方式,包括数据库、方式,包括数据库、Web服务器,但一般用户都使用服务器,但一般用户都使用LDAP协议访问目录服务。协议访问目录服务。非对称密钥。非对称密钥算法中需要一对密钥,一个非对称密钥。非对称密钥算法中需要一对密钥,一个用来加密、签字,一个用来进行解密、验证。密钥对用来加密、签字,一个用来进行解密、验证。密钥对中有一个是由密钥拥有者秘密保存的,称为秘密密钥,中有一个是由密钥拥有者秘密保存的,称为秘密密钥,另外一个由密钥按照一个不可逆的数字函数计算得到,另外一个由密钥按照一个不可逆的数字函数
76、计算得到,并可公开,称为公开密钥。根据数学原理,由公开密并可公开,称为公开密钥。根据数学原理,由公开密钥不可能推导出秘密密钥,所以公开密钥不会影响秘钥不可能推导出秘密密钥,所以公开密钥不会影响秘密密钥的安全性。密密钥的安全性。证书。将用户的身份信息及其公钥用一种可信的方式证书。将用户的身份信息及其公钥用一种可信的方式绑定在一起的一条计算机记录。证书中包括签发者名绑定在一起的一条计算机记录。证书中包括签发者名称、用户身份信息、用户公钥以及称、用户身份信息、用户公钥以及CA对这些信息的对这些信息的签字。目前多数证书格式都遵循签字。目前多数证书格式都遵循ITU X.509标准定义标准定义的证书格式,
77、凡符合的证书格式,凡符合X.509标准的证书称为标准的证书称为X.509证书。证书。CRL。包含尚处于有效期内、但证书内的用户身份。包含尚处于有效期内、但证书内的用户身份信息及其公钥的绑定关系已经失效的证书列表。信息及其公钥的绑定关系已经失效的证书列表。CRL由由CA签发,签发,CRL可以通过多种方式发布,如发可以通过多种方式发布,如发布到目录服务器中,利用布到目录服务器中,利用Web方式发布或通过方式发布或通过E-mail方式发布。方式发布。同其他同其他PKI相联系的、处于不同保护地址中的通信实相联系的、处于不同保护地址中的通信实体,如果信任报文发送者的证书签发者体,如果信任报文发送者的证书
78、签发者CA,那么可,那么可以对报文发送者的证书进行鉴别。如果用户相信以对报文发送者的证书进行鉴别。如果用户相信CA能将用户身份信息与公钥正确地绑定在一起,那么用能将用户身份信息与公钥正确地绑定在一起,那么用户可以将该户可以将该CA的公钥装入到用户的加密设备中。可的公钥装入到用户的加密设备中。可以用用户信任的以用用户信任的CA公钥验证其签字的,并且不在公钥验证其签字的,并且不在CA签发的撤销列表中的任何证书都是有效证书。这意味签发的撤销列表中的任何证书都是有效证书。这意味着用户可以从该证书中解析出公钥,并相信该公钥确着用户可以从该证书中解析出公钥,并相信该公钥确实属于证书中标明的用户。实属于证书
79、中标明的用户。大型公钥基础设施往往包含多个大型公钥基础设施往往包含多个CA,当一个,当一个CA相信相信其他的公钥证书时,也就信任该其他的公钥证书时,也就信任该CA签发的所有证书。签发的所有证书。多数多数PKI中的中的CA是按照层次结构组织在一起的,在是按照层次结构组织在一起的,在一个一个PKI中,只有一个根中,只有一个根CA,在这种方式中,用户,在这种方式中,用户总可能通过根总可能通过根CA找到一条连接任意一个找到一条连接任意一个CA的信任路的信任路径。径。在采用层次结构的组织中,层次结构的在采用层次结构的组织中,层次结构的CA组织方式组织方式非常有效,但对于内部不采用层次结构的组织以及组非常
80、有效,但对于内部不采用层次结构的组织以及组织之间,则很难使用层次结构的织之间,则很难使用层次结构的CA组织方式。解决组织方式。解决这个问题的一个很通用的方法是,将多个这个问题的一个很通用的方法是,将多个CA证书结证书结构内受信任的证书安装到验证证书的应用中,大多数构内受信任的证书安装到验证证书的应用中,大多数商用浏览器中包含有商用浏览器中包含有50个以上的受信任的个以上的受信任的CA证书,证书,并且用户可以向浏览器中增加受信任的并且用户可以向浏览器中增加受信任的CA证书,也证书,也可以从中删除不受信任的证书。当接收一个证书时,可以从中删除不受信任的证书。当接收一个证书时,只要浏览器能在待验证证
81、书与其受信任的只要浏览器能在待验证证书与其受信任的CA证书之证书之间建立起一个信任链路,浏览器就可以验证证书。间建立起一个信任链路,浏览器就可以验证证书。另一种方法是双向地交叉认证证书。采用交叉认证不另一种方法是双向地交叉认证证书。采用交叉认证不像层次结构组织像层次结构组织CA的的PKI那样,需要在那样,需要在CA之间建立之间建立上下级的信任关系。为了区别于层次结构的上下级的信任关系。为了区别于层次结构的PKI,采,采用双向交叉认证机制的用双向交叉认证机制的PKI称为网状称为网状PKI。层次结构。层次结构的的PKI可以同网状结构的可以同网状结构的PKI组合在一起。在层次组合在一起。在层次PKI
82、与网状与网状PKI之间进行互操作可采用桥之间进行互操作可采用桥CA的概念,的概念,桥桥CA为多个为多个PKI中的关键中的关键CA签发交叉认证证书。签发交叉认证证书。不论是采用层次结构还是采用网状结构的不论是采用层次结构还是采用网状结构的PKI,签字,签字的验证者必须建立一条从签字者到验证者信任的的验证者必须建立一条从签字者到验证者信任的CA之间的证书链,验证者必须验证证书链中的每一个证之间的证书链,验证者必须验证证书链中的每一个证书的签字,并检查该证书是否已经撤销,如果证书链书的签字,并检查该证书是否已经撤销,如果证书链中的每个证书都是有效的,那么验证者可以确认签字中的每个证书都是有效的,那么
83、验证者可以确认签字者的公钥是有效的。者的公钥是有效的。不使用证书链对证书进行验证的方法称为在线证书验不使用证书链对证书进行验证的方法称为在线证书验证。在线证书验证的过程是将证书传递给网络上的服证。在线证书验证的过程是将证书传递给网络上的服务器,让该服务器根据其验证规则来实现对证书有效务器,让该服务器根据其验证规则来实现对证书有效性的验证。性的验证。图图18.3表示表示PKI互操作中的分层信任列表与网状方法。互操作中的分层信任列表与网状方法。图图18.4表示基于双向交叉认证、桥表示基于双向交叉认证、桥CA和在线状态检和在线状态检查互操作模型的查互操作模型的PKI。在多个。在多个PKI间进行互操作
84、的方间进行互操作的方法都各有其优缺点,必须仔细考虑选用互操作方法,法都各有其优缺点,必须仔细考虑选用互操作方法,以防降低系统的安全性。以防降低系统的安全性。图图18.3 PKI互操作中的分层信任列表与网状方法互操作中的分层信任列表与网状方法图图18.4 基于双向交叉认证、桥基于双向交叉认证、桥CA和在线状态检查互和在线状态检查互操作模型的操作模型的PKIPKI在密钥和证书的产生、分发和管理中起着关键作在密钥和证书的产生、分发和管理中起着关键作用,密钥和证书的产生、分发和管理是实现基于公钥用,密钥和证书的产生、分发和管理是实现基于公钥的安全服务所必须的。的安全服务所必须的。PKI本身使用机密性安
85、全服务本身使用机密性安全服务保护私钥在存储和分发中的安全性,使用完整性安全保护私钥在存储和分发中的安全性,使用完整性安全服务对公钥进行认证,服务对公钥进行认证,PKI对公钥的数字签名保证了对公钥的数字签名保证了公钥与证书中的用户身份信息的绑定关系,同时确保公钥与证书中的用户身份信息的绑定关系,同时确保了证书中公钥的完整性。了证书中公钥的完整性。尽管尽管PKI有很多优点,正在得到广泛应用,但在现实有很多优点,正在得到广泛应用,但在现实世界中,对称密钥管理仍然是一种重要技术。很多现世界中,对称密钥管理仍然是一种重要技术。很多现存的系统惟一地使用对称密码。甚至随着非对称密码存的系统惟一地使用对称密码
86、。甚至随着非对称密码技术应用的不断发展,许多新出现的应用,例如多点技术应用的不断发展,许多新出现的应用,例如多点传送,将仍然要求安全的对称密钥和非对称密码系统。传送,将仍然要求安全的对称密钥和非对称密码系统。在对称密码算法中,加密密钥可以从解密密钥求得,在对称密码算法中,加密密钥可以从解密密钥求得,反之亦然。这一点和公钥密码算法不同,从加密密钥反之亦然。这一点和公钥密码算法不同,从加密密钥难以计算出解密密钥。在大多数对称密码系统中,加难以计算出解密密钥。在大多数对称密码系统中,加密和解密密钥是相同的,这要求发送者和接收者在相密和解密密钥是相同的,这要求发送者和接收者在相互传送加密报文时约定一个
87、密钥。互传送加密报文时约定一个密钥。18.6 对称密钥管理对称密钥管理如果密钥系统所用的密钥管理很脆弱,密码算法的健如果密钥系统所用的密钥管理很脆弱,密码算法的健壮性就为零。对称密钥应用要求所有用户拥有一个共壮性就为零。对称密钥应用要求所有用户拥有一个共同的安全密钥,正确安全地分发、管理密钥会十分复同的安全密钥,正确安全地分发、管理密钥会十分复杂和昂贵。杂和昂贵。对称密钥管理的许多方面对于维护安全都是至关重要对称密钥管理的许多方面对于维护安全都是至关重要的。对称密钥的管理涉及整个的密钥存活期,必须建的。对称密钥的管理涉及整个的密钥存活期,必须建立密钥定购、产生、分配、存储、记录、销毁的可控立密
88、钥定购、产生、分配、存储、记录、销毁的可控过程,图过程,图18.5是对称密钥管理活动的关键因素。必须是对称密钥管理活动的关键因素。必须有检测受到篡改的密钥以及使系统恢复安全的方法和有检测受到篡改的密钥以及使系统恢复安全的方法和规定,并能有效地确定受到的危害程度。规定,并能有效地确定受到的危害程度。18.6.1 对称密钥管理的关键因素对称密钥管理的关键因素图图18.5 对称密钥管理活动的关键因素对称密钥管理活动的关键因素 定购。只有授权的个体才允许定购密钥,只有得定购。只有授权的个体才允许定购密钥,只有得到明确授权的密钥才可以定购。定购者必须具有对通到明确授权的密钥才可以定购。定购者必须具有对通
89、信网络管理的访问权限,定购密钥是为了在需要密钥信网络管理的访问权限,定购密钥是为了在需要密钥之前将密钥分发给所有的用户。密钥管理系统将保证之前将密钥分发给所有的用户。密钥管理系统将保证定购者具有定购密钥的权限以及接收者具有接收密钥定购者具有定购密钥的权限以及接收者具有接收密钥的权限。的权限。 产生。必须在安全环境中产生密钥以防止对密钥产生。必须在安全环境中产生密钥以防止对密钥的非授权访问。对于特定的加密算法,产生过程将能的非授权访问。对于特定的加密算法,产生过程将能产生一组可公认的密钥。对称密钥通常是随机的比特产生一组可公认的密钥。对称密钥通常是随机的比特流,因此需要一个性质控制过程保证比特流
90、的随机性。流,因此需要一个性质控制过程保证比特流的随机性。 分配。对称密钥可以通过可信的人或一些保护技分配。对称密钥可以通过可信的人或一些保护技术(如抗窜扰装置),以物理形式进行分发。对一些术(如抗窜扰装置),以物理形式进行分发。对一些非常敏感的密钥,可以使用两人控制来得到更多的保非常敏感的密钥,可以使用两人控制来得到更多的保障。然而,这些技术只能在密钥的存活期提供最小的障。然而,这些技术只能在密钥的存活期提供最小的保护。可以访问密钥的人越多,篡改的可能性就越大。保护。可以访问密钥的人越多,篡改的可能性就越大。因此,安全分配的目标是通过良好的分发技术将密钥因此,安全分配的目标是通过良好的分发技
91、术将密钥从产生器通过电子手段传送到用户设备。公钥技术可从产生器通过电子手段传送到用户设备。公钥技术可以支持良好的分发技术,允许用户设备产生一个授权以支持良好的分发技术,允许用户设备产生一个授权的会话密钥,由产生器传送对称密钥。的会话密钥,由产生器传送对称密钥。 存储。密钥在等待分发给用户或偶然使用时,必存储。密钥在等待分发给用户或偶然使用时,必须存储起来。当一个连接失败时,需要有一种机制来须存储起来。当一个连接失败时,需要有一种机制来保证恢复未经加密的对称密钥的存储区。对这些密钥保证恢复未经加密的对称密钥的存储区。对这些密钥的保护十分关键,必须安全地存储。以物理形式分发的保护十分关键,必须安全
92、地存储。以物理形式分发的密钥只能通过严格的物理和人员安全性进行保护。的密钥只能通过严格的物理和人员安全性进行保护。电子形式的密钥应以加密的形式进行存储,同时应采电子形式的密钥应以加密的形式进行存储,同时应采取物理的、人员的和计算机的安全机制来限制对密钥取物理的、人员的和计算机的安全机制来限制对密钥的加密和访问。的加密和访问。 保密应用。在密码系统的应用中注入密码需要一保密应用。在密码系统的应用中注入密码需要一个保护接口,在接口处对密钥进行物理保护,对于防个保护接口,在接口处对密钥进行物理保护,对于防止密钥的篡改十分关键,因为可以在接口处对密钥进止密钥的篡改十分关键,因为可以在接口处对密钥进行复
93、制和替换。尽管注入加密密钥只需要最少的保护,行复制和替换。尽管注入加密密钥只需要最少的保护,但对于相应的解密密钥却需要非常高的保护来限制它但对于相应的解密密钥却需要非常高的保护来限制它注入的频度。注入的频度。 销毁。可以有多种可能的介质存放对称密钥,包销毁。可以有多种可能的介质存放对称密钥,包括纸(例如手工代码本、密钥带)和电子器件(例如括纸(例如手工代码本、密钥带)和电子器件(例如随机访问存储器(随机访问存储器(RAM)、电子可擦写可编程只读)、电子可擦写可编程只读存储器(存储器(EEPROM)、可编程只读存储器)、可编程只读存储器(PROM)。由于对称密钥篡改具有能够恢复以前)。由于对称密
94、钥篡改具有能够恢复以前加密的通信流的特性,所以密钥的存储期不能长于必加密的通信流的特性,所以密钥的存储期不能长于必需的任务执行期是十分必要的。在密钥周期结束后,需的任务执行期是十分必要的。在密钥周期结束后,安全的密钥必须在所有位置进行销毁,包括偶然存储安全的密钥必须在所有位置进行销毁,包括偶然存储及伴随的电子存储等。及伴随的电子存储等。 篡改。对称密钥易受到密钥篡改的攻击(例如物篡改。对称密钥易受到密钥篡改的攻击(例如物理分发、大规模加密网、长加密周期),因此密钥篡理分发、大规模加密网、长加密周期),因此密钥篡改的检测和恢复是十分关键的。目前尚无完善的机制改的检测和恢复是十分关键的。目前尚无完
95、善的机制来控制密钥篡改对网络造成的危害。安全密钥的篡改来控制密钥篡改对网络造成的危害。安全密钥的篡改可能会暴露所有它加密的通信流,使假定的对于未来可能会暴露所有它加密的通信流,使假定的对于未来通信流的认证失效。为了恢复密钥的篡改,需要通知通信流的认证失效。为了恢复密钥的篡改,需要通知每一个用户并提供新的密钥。但对于大规模的加密网,每一个用户并提供新的密钥。但对于大规模的加密网,这种方法很难做到使用户同时得到通知和替换密钥。这种方法很难做到使用户同时得到通知和替换密钥。 审计。必须采取附加的机制来跟踪密钥的整个存审计。必须采取附加的机制来跟踪密钥的整个存活期。有效的审计可以改进对于密钥的跟踪,如
96、谁得活期。有效的审计可以改进对于密钥的跟踪,如谁得到授权访问密钥、密钥在什么时间分发到什么地方、到授权访问密钥、密钥在什么时间分发到什么地方、密钥什么时候销毁。密钥什么时候销毁。1. 对称密钥技术的优点对称密钥技术的优点 通信网络中的每一个人可以尽可能长久地使用一个密通信网络中的每一个人可以尽可能长久地使用一个密钥,在安全策略允许的情况下,可以经常或很少改变钥,在安全策略允许的情况下,可以经常或很少改变密钥;密钥;密钥在本地产生可以使采购的分发的问题最小化,不密钥在本地产生可以使采购的分发的问题最小化,不需要和中心权威机构通信;需要和中心权威机构通信;对称密钥的结构相当简单,主要是一系列随机数
97、;对称密钥的结构相当简单,主要是一系列随机数;对称密钥处理通常比非对称密钥处理要快得多,在很对称密钥处理通常比非对称密钥处理要快得多,在很多情况下,非对称密钥用于在网络中安全地向其他用多情况下,非对称密钥用于在网络中安全地向其他用户分发对称密钥;户分发对称密钥;18.6.2 对称密钥技术的优缺点对称密钥技术的优缺点支持网状的点对点的操作;支持网状的点对点的操作;对称密钥限制对特殊密钥的拥有权,因而,不需要额对称密钥限制对特殊密钥的拥有权,因而,不需要额外的访问控制机制来控制谁和谁通信;外的访问控制机制来控制谁和谁通信; 对称密钥在使用前不需要广泛地确认;对称密钥在使用前不需要广泛地确认;在采购
98、和分发路径中需要信任的人更少;在采购和分发路径中需要信任的人更少;非授权密钥的产生只有当攻击者使某人替代正确密钥非授权密钥的产生只有当攻击者使某人替代正确密钥使用时才是危险的,它自身是没有危害的。使用时才是危险的,它自身是没有危害的。2. 对称密钥技术的问题对称密钥技术的问题一个丢失的密钥将会危及全网的安全,从而要求更换一个丢失的密钥将会危及全网的安全,从而要求更换每一个用户的密钥;每一个用户的密钥;提供有限的密码服务(例如没有抗否认、隐含认证等)提供有限的密码服务(例如没有抗否认、隐含认证等);对于使用共同密钥的密码系统的网络规模有一个上限,对于使用共同密钥的密码系统的网络规模有一个上限,很
99、难扩展到大的团体;很难扩展到大的团体;使用共同的对称密钥的操作员人数越多,密钥篡改的使用共同的对称密钥的操作员人数越多,密钥篡改的危险就越大;危险就越大;为了对付可能的危害和偶然的使用,需要产生大量的为了对付可能的危害和偶然的使用,需要产生大量的对称密钥,这些密钥必须被安全地传送和在本地存储;对称密钥,这些密钥必须被安全地传送和在本地存储;分配延迟使得密钥在使用之前就要产生并分发出去,分配延迟使得密钥在使用之前就要产生并分发出去,所以在延迟时间较长时,会允许对于密钥的有害访问;所以在延迟时间较长时,会允许对于密钥的有害访问;网络必须是预先确定的,很难产生动态的通信网络;网络必须是预先确定的,很
100、难产生动态的通信网络;密钥必须在所有时间保密;密钥必须在所有时间保密;对于每一次会话通信,密钥的存活期不能太长;对于每一次会话通信,密钥的存活期不能太长;没有固定的方式能够知道谁产生了密钥;没有固定的方式能够知道谁产生了密钥;没有后向的通信业务保护,从密钥周期的开始,任何没有后向的通信业务保护,从密钥周期的开始,任何时间密钥受到的危害都会使使用该密钥加密的通信业时间密钥受到的危害都会使使用该密钥加密的通信业务暴露。务暴露。基础设施目录服务是通过一个结构化的命名服务,提基础设施目录服务是通过一个结构化的命名服务,提供在分布环境中定位和管理资源的能力。目录也提供供在分布环境中定位和管理资源的能力。
101、目录也提供对这一分布信息服务中所表示的所有客体的访问控制。对这一分布信息服务中所表示的所有客体的访问控制。目录的设计可以根据客体的内容范围和服务范围进行目录的设计可以根据客体的内容范围和服务范围进行分类。图分类。图18.6是目录服务模型,它提供对称及非对称是目录服务模型,它提供对称及非对称密钥以及整个企业的保密性、完整性、标识和鉴别的密钥以及整个企业的保密性、完整性、标识和鉴别的管理数据。管理数据。18.7 基础设施目录服务基础设施目录服务图图18.6 目录服务模型目录服务模型基础设施目录服务提供了信息的多个元素与特殊的人基础设施目录服务提供了信息的多个元素与特殊的人与设备相关联的方式。这一关
102、联在分层组织中进行管与设备相关联的方式。这一关联在分层组织中进行管理,并由名字关联进行索引。最常见的例子是电话簿理,并由名字关联进行索引。最常见的例子是电话簿支持地址和电话号码的名字解析关联。在分布式网络支持地址和电话号码的名字解析关联。在分布式网络环境中,需要管理更多的信息,要求更通用的目录功环境中,需要管理更多的信息,要求更通用的目录功能。能。基础设施目录服务具有以下几个重要特性:基础设施目录服务具有以下几个重要特性:定义的名字空间。目录服务通常调用一分层的名字空定义的名字空间。目录服务通常调用一分层的名字空间,它在逻辑结构上是一棵倒转的树。这一命名格式间,它在逻辑结构上是一棵倒转的树。这
103、一命名格式可用于加强访问和减少用户的位置信息。可以使用可用于加强访问和减少用户的位置信息。可以使用X.500的可辨别名、的可辨别名、RFC822电子邮件的命名和电子邮件的命名和DNS的的域名。域名。高度的分布性。目录服务将数据可靠地分布于多个目高度的分布性。目录服务将数据可靠地分布于多个目录,不管它们分布于整个企业还是位于一个局域环境录,不管它们分布于整个企业还是位于一个局域环境中。提供了允许信息分割以及访问约束和适时的访问中。提供了允许信息分割以及访问约束和适时的访问机制。此外,通过目录服务复制数据的能力使系统能机制。此外,通过目录服务复制数据的能力使系统能更好地抗失效和保持可访问性。更好地
104、抗失效和保持可访问性。18.7.1 基础设施目录服务的特性基础设施目录服务的特性优化的数据恢复。目录服务提供了根据客体的个体属优化的数据恢复。目录服务提供了根据客体的个体属性进行搜索的能力。该设计支持很高的读写运算比。性进行搜索的能力。该设计支持很高的读写运算比。大多数目录产品假定访问目录信息库中大多数目录产品假定访问目录信息库中99%是查找或是查找或搜索,而没有改变、添加、删除。搜索,而没有改变、添加、删除。基础设施目录服务能提供对多种应用的访问。一些重基础设施目录服务能提供对多种应用的访问。一些重要的访问目录应用如要的访问目录应用如X.500目录访问协议目录访问协议DAP和和LDAP、电子
105、邮件(、电子邮件(S/MIMI V3)和以)和以Web为基础的为基础的访问(访问(http)。)。访问目录服务的客户类型有访问目录服务的客户类型有3类:类:(1) 查询客户,执行对用户信息的一般查询。查询客户,执行对用户信息的一般查询。(2) 修改客户,执行查询,并且能执行很强的认证修改客户,执行查询,并且能执行很强的认证绑定和对选定用户属性的修改。绑定和对选定用户属性的修改。(3) 管理用户,除了具有修改客户所有的重要特性管理用户,除了具有修改客户所有的重要特性外,还允许管理用户项和操作信息。外,还允许管理用户项和操作信息。图图18.7从目录用户和管理者的角度描述了目录信息库从目录用户和管理
106、者的角度描述了目录信息库(Directory Information Base, DIB)的逻辑结构。)的逻辑结构。目录服务定义了客体、属性和相关句法的关系。用户目录服务定义了客体、属性和相关句法的关系。用户信息部分包括关于目录客体的信息,这些信息对信息部分包括关于目录客体的信息,这些信息对DIB的访问是可见的。的访问是可见的。DIB的操作和管理部分包括用于跟的操作和管理部分包括用于跟踪目录操作的信息元素,如访问控制信息与数据拷贝踪目录操作的信息元素,如访问控制信息与数据拷贝的有关信息。的有关信息。图图18.7 目录信息库的逻辑结构目录信息库的逻辑结构目录系统是一组定义了目录信息树(目录系统是
107、一组定义了目录信息树(Directory Information Tree, DIT)如何构造的规则集合,定义)如何构造的规则集合,定义了了DIB中保存的特定信息类型以及用于访问信息的句中保存的特定信息类型以及用于访问信息的句法。目录系统由法。目录系统由3部分组成:部分组成:(1) 类,所包含客体的集合。类,所包含客体的集合。(2) 每一客体类的属性,某类客体所允许的属性集每一客体类的属性,某类客体所允许的属性集合。合。(3) 属性句法,描绘了句法形式和那一属性使用的属性句法,描绘了句法形式和那一属性使用的匹配规则。匹配规则。目录服务必须具有实际的性能特性,性能可从以下几目录服务必须具有实际的
108、性能特性,性能可从以下几方面考虑:易用性、健壮性、服务恢复的及时性和响方面考虑:易用性、健壮性、服务恢复的及时性和响应速度。应速度。易用性是指系统设计和提供给目录用户的工具能方便易用性是指系统设计和提供给目录用户的工具能方便使用,如单击、指向、图标、窗口、脚本和状态信息使用,如单击、指向、图标、窗口、脚本和状态信息等。等。健壮性指产品和系统的可靠性和完整性,并根据平均健壮性指产品和系统的可靠性和完整性,并根据平均失效时间失效时间MTBF和平均修复时间和平均修复时间MTTR来说明。来说明。可用性目标是提供任何目录服务要可用性目标是提供任何目录服务要1周周7天、天、1天天24小小时的可用。在证书管
109、理中,在需要时,吊销信息的操时的可用。在证书管理中,在需要时,吊销信息的操作必须可用。作必须可用。18.7.2 目录服务的实现考虑目录服务的实现考虑服务的恢复涉及单个的目录存储代理(服务的恢复涉及单个的目录存储代理(Directory Storage Agent, DSA)为达到某一操作状态从客户)为达到某一操作状态从客户(和别的附属(和别的附属DSA)到另一)到另一DSA之间转换的恢复时间。之间转换的恢复时间。如果如果DSA在战略环境中,不应超过在战略环境中,不应超过5分钟,在战术环分钟,在战术环境中应小于境中应小于1分钟。分钟。对于响应速度的战术要求,目录系统提供两种类型的对于响应速度的战
110、术要求,目录系统提供两种类型的访问特性。一种是人的访问要求,通过人机接口处理访问特性。一种是人的访问要求,通过人机接口处理信息的获取(例如白页信息)。另一种是通过特定的信息的获取(例如白页信息)。另一种是通过特定的系统函数(例如在报文转送时,需要名字到地址的解系统函数(例如在报文转送时,需要名字到地址的解析功能),这一接口是机器至机器的接口。上述两种析功能),这一接口是机器至机器的接口。上述两种访问都有性能要求,但是,它们的特征和表示方法却访问都有性能要求,但是,它们的特征和表示方法却差别很大。差别很大。信息系统安全工程(信息系统安全工程(Information System Security
111、 Engineering, ISSE)的含义是为实现客户信息保护需)的含义是为实现客户信息保护需求而进行的某种过程。求而进行的某种过程。ISSE是由美国国家安全局发是由美国国家安全局发布的布的信息保障技术框架(信息保障技术框架(IATF)3.0版本中提出版本中提出的设计和实施信息系统安全工程方法。图的设计和实施信息系统安全工程方法。图188表表明系统工程过程的主要行为,也反映了进程中各行为明系统工程过程的主要行为,也反映了进程中各行为之间的关系。箭头表明各行为间的信息流向,而不是之间的关系。箭头表明各行为间的信息流向,而不是行为的顺序或时限。行为的顺序或时限。“有效性评估有效性评估”对各行为的
112、产物对各行为的产物(产品)进行评估,使之在指定的环境中依照质量需(产品)进行评估,使之在指定的环境中依照质量需求标准执行功能需求并以此确保系统能够满足用户需求标准执行功能需求并以此确保系统能够满足用户需求。求。18.8 信息系统安全工程信息系统安全工程图图18.8 系统工程过程系统工程过程图图18.8所描述的系统工程行为的流程是按照下述一般所描述的系统工程行为的流程是按照下述一般方式进行的:挖掘任务或业务需求,定义系统功能,方式进行的:挖掘任务或业务需求,定义系统功能,设计系统,实施系统,有效性评估。该系统工程的过设计系统,实施系统,有效性评估。该系统工程的过程执行原则是:从程执行原则是:从“
113、解决方案空间解决方案空间”中分离出中分离出“问题问题的空间的空间”。问题空间表示。问题空间表示“解决方案解决方案”这一概念的约这一概念的约束条件、风险、策略和一些界限(值)。解决方案空束条件、风险、策略和一些界限(值)。解决方案空间代表了在开发系统以满足用户需求时所有已结束的间代表了在开发系统以满足用户需求时所有已结束的行为和创造出的产品。由解决方案空间所代表的、面行为和创造出的产品。由解决方案空间所代表的、面向已定义的或一致的目标的系统工程行为和产品在开向已定义的或一致的目标的系统工程行为和产品在开发的过程中必须不断地接受有效性评估,并确定该方发的过程中必须不断地接受有效性评估,并确定该方案
114、是否违背问题空间所形成的条件。这些评估是对问案是否违背问题空间所形成的条件。这些评估是对问题空间和解决方案空间进行必要修正的基础。从解决题空间和解决方案空间进行必要修正的基础。从解决方案空间分离出问题空间这一原则允许创造并且定义方案空间分离出问题空间这一原则允许创造并且定义与既成的法律和人为制定的政策保持一致的有效解决与既成的法律和人为制定的政策保持一致的有效解决方案。方案。ISSE支持系统产品的开发支持系统产品的开发-生产生产-销售全过程的进展、销售全过程的进展、验证和确认,以便满足用户的信息保护需求。同时,验证和确认,以便满足用户的信息保护需求。同时,ISSE也识别和接受信息保护风险并对其
115、进行优化。也识别和接受信息保护风险并对其进行优化。ISSE行为主要用于以下情况:描述信息保护需求;行为主要用于以下情况:描述信息保护需求;根据系统工程的前期需要产生信息保护的具体需求;根据系统工程的前期需要产生信息保护的具体需求;在一个可以接受的信息保护风险下满足信息保护需求;在一个可以接受的信息保护风险下满足信息保护需求;根据需求,构建一个此信息保护需求的逻辑结构;根据需求,构建一个此信息保护需求的逻辑结构;根据物理结构和逻辑结构分派信息保护的具体功能;根据物理结构和逻辑结构分派信息保护的具体功能;设计系统用于实现信息保护的结构;从整个系统的耗设计系统用于实现信息保护的结构;从整个系统的耗费
116、、规划和执行效率综合考虑,在信息保护风险与其费、规划和执行效率综合考虑,在信息保护风险与其他他ISSE问题之间进行权衡;参与涉及其他信息保护问题之间进行权衡;参与涉及其他信息保护和系统学科的综合研究;将和系统学科的综合研究;将ISSE过程与系统工程和过程与系统工程和获取过程相结合;以验证信息保护设计方案并确认信获取过程相结合;以验证信息保护设计方案并确认信息保护的需求为目的,对系统进行测试;根据用户需息保护的需求为目的,对系统进行测试;根据用户需要对整个过程进行扩充和裁减,以此支持用户使用。要对整个过程进行扩充和裁减,以此支持用户使用。为确保信息保护被纳入整个系统,必须在最开始进行为确保信息保
117、护被纳入整个系统,必须在最开始进行系统工程设计时便考虑系统工程设计时便考虑ISSE。另外,要针对具体的。另外,要针对具体的情况,综合考虑信息保护的目标、需求、功用、结构、情况,综合考虑信息保护的目标、需求、功用、结构、设计、测试和实际应用中所出现的系统工程设计情况。设计、测试和实际应用中所出现的系统工程设计情况。系统工程过程运作的起点是针对用户需求、相关策略、系统工程过程运作的起点是针对用户需求、相关策略、规则和用户环境标准的一系列决定。系统工程师要识规则和用户环境标准的一系列决定。系统工程师要识别所有的用户及其与系统交互的本质,识别他们所扮别所有的用户及其与系统交互的本质,识别他们所扮演的角
118、色、承担的责任以及在该系统生命周期各阶段演的角色、承担的责任以及在该系统生命周期各阶段中的授权。需求由用户产生,并且不应该对系统设计中的授权。需求由用户产生,并且不应该对系统设计与执行产生过度的约束。获得文档是过程中的一个必与执行产生过度的约束。获得文档是过程中的一个必要步骤。该文档通过用户语言来描述工程任务或期望要步骤。该文档通过用户语言来描述工程任务或期望的性能、工程现有性能缺陷与市场机遇、(市场)环的性能、工程现有性能缺陷与市场机遇、(市场)环境以及如何利用系统达到任务目标和获得市场定位。境以及如何利用系统达到任务目标和获得市场定位。18.8.1 发掘信息保护需求发掘信息保护需求ISSE
119、首先调查用户需求、相关政策、规则、标准以首先调查用户需求、相关政策、规则、标准以及系统工程所定义的用户环境中的信息所面临的威胁。及系统工程所定义的用户环境中的信息所面临的威胁。然后,然后,ISSE识别信息系统中的具体用户和信息,以识别信息系统中的具体用户和信息,以及他们在信息系统中的相互关系、规则及其在信息保及他们在信息系统中的相互关系、规则及其在信息保护生命周期各阶段所承担的责任。信息保护应当允许护生命周期各阶段所承担的责任。信息保护应当允许用户有自己的观点,不能局限于特定的设计或者应用。用户有自己的观点,不能局限于特定的设计或者应用。在信息保护政策和安全操作概念中,在信息保护政策和安全操作
120、概念中,ISSE应该使用应该使用通用语言描述如何在一个综合的信息环境中获得所需通用语言描述如何在一个综合的信息环境中获得所需要的信息安全保护。当系统发现需要这种信息安全保要的信息安全保护。当系统发现需要这种信息安全保护时,信息保护将成为一个必须同时考虑的系统模块。护时,信息保护将成为一个必须同时考虑的系统模块。图图18.9解释了系统任务、威胁和政策如何影响信息保解释了系统任务、威胁和政策如何影响信息保护需求以及如何进行分析。护需求以及如何进行分析。图图18.9 系统任务、信息安全威胁和政策对确定信息系统任务、信息安全威胁和政策对确定信息保护需求的影响保护需求的影响1. 任务的信息保护需求任务的
121、信息保护需求我们必须考虑信息和信息系统在一个大型任务或特定我们必须考虑信息和信息系统在一个大型任务或特定组织中的作用。组织中的作用。ISSE必须考虑组织元素(人和子系必须考虑组织元素(人和子系统)的任务可能受到的影响,即无法使用所依赖的信统)的任务可能受到的影响,即无法使用所依赖的信息系统或信息,尤其是丧失机密性、完整性、可用性、息系统或信息,尤其是丧失机密性、完整性、可用性、不可否认性及其组合。在此意义上,不可否认性及其组合。在此意义上,ISSE已经开始已经开始探讨用户信息保护需求问题。探讨用户信息保护需求问题。信息的重要性众人皆知,但是人们往往忽视信息保护信息的重要性众人皆知,但是人们往往
122、忽视信息保护需求。要发现用户信息保护需求,必须了解遗漏、丢需求。要发现用户信息保护需求,必须了解遗漏、丢失或修改什么信息会对总体任务造成危害。失或修改什么信息会对总体任务造成危害。ISSE应应该做到以下几点:帮助用户对自己的信息管理过程进该做到以下几点:帮助用户对自己的信息管理过程进行建模、帮助用户定义信息威胁、帮助用户确立信息行建模、帮助用户定义信息威胁、帮助用户确立信息保护需求的优先次序、准备信息保护策略、获得用户保护需求的优先次序、准备信息保护策略、获得用户许可。许可。ISSE提供了识别顾客需求的界面,以确保任务需求提供了识别顾客需求的界面,以确保任务需求包含信息保护需求,并且保证系统功
123、能包含信息保护包含信息保护需求,并且保证系统功能包含信息保护功能。功能。ISSE将安全规则、技术、机制相结合,并将将安全规则、技术、机制相结合,并将其应用于解决用户信息保护的实践需求,从而建立一其应用于解决用户信息保护的实践需求,从而建立一个信息保护系统。该系统包含信息保护体系结构和机个信息保护系统。该系统包含信息保护体系结构和机制,并能够依据用户所允许的耗费、功能和计划获得制,并能够依据用户所允许的耗费、功能和计划获得最佳的信息保护性能。最佳的信息保护性能。图图18.10描述了一个分层的结构,较高层次的需求建描述了一个分层的结构,较高层次的需求建议在较低层次的需求基础之上,各模块的需求决定于
124、议在较低层次的需求基础之上,各模块的需求决定于它在结构图中的位置。它在结构图中的位置。图图18.10 分层需求图分层需求图ISSE在设计信息系统时必须遵循用户的层次设置,在设计信息系统时必须遵循用户的层次设置,这样才能使整个系统的性能达到预期指标。信息和信这样才能使整个系统的性能达到预期指标。信息和信息系统在支持任务方面必须满足如下要求:对何种信息系统在支持任务方面必须满足如下要求:对何种信息记录(机密信息、金融信息、产权信息、个人隐私息记录(机密信息、金融信息、产权信息、个人隐私信息等)进行观察、更新、删除、初始化或者处理?信息等)进行观察、更新、删除、初始化或者处理?授权谁观察、更新、删除
125、、初始化和处理信息记录?授权谁观察、更新、删除、初始化和处理信息记录?经授权的用户如何履行其责任?经授权的用户使用何经授权的用户如何履行其责任?经授权的用户使用何种工具(文档、硬件、软件、固件和规程)履行其责种工具(文档、硬件、软件、固件和规程)履行其责任?清楚地知道个人发送或者接收的一则消息或一个任?清楚地知道个人发送或者接收的一则消息或一个文件具有怎样的重要性?文件具有怎样的重要性?ISSE和系统用户将精诚合作,使信息系统更好地满和系统用户将精诚合作,使信息系统更好地满足用户总任务要求。没有用户的参与,足用户总任务要求。没有用户的参与,ISSE很难做很难做出满足用户要求的决定。出满足用户要
126、求的决定。2. 信息管理面临的威胁信息管理面临的威胁依照依照ISSE,技术层面的系统组成应负责识别信息系,技术层面的系统组成应负责识别信息系统的功能和它与外界系统边界的接口。该系统组成要统的功能和它与外界系统边界的接口。该系统组成要明确信息系统的物理边界和逻辑边界,以及系统输入明确信息系统的物理边界和逻辑边界,以及系统输入/输出的一般特性。它描述系统与环境之间或系统与输出的一般特性。它描述系统与环境之间或系统与系统之间信号、能量和物质的双向信息流。必须考虑系统之间信号、能量和物质的双向信息流。必须考虑系统与环境之间或系统与系统之间信号、能量和物质系统与环境之间或系统与系统之间信号、能量和物质的
127、双向信息流。必须考虑系统与环境之间或系统与系的双向信息流。必须考虑系统与环境之间或系统与系统之间有意设定或自行存在的接口。其中,针对后者统之间有意设定或自行存在的接口。其中,针对后者的部分描述涉及环境和信息系统所面临的的部分描述涉及环境和信息系统所面临的“威胁威胁”。“威胁威胁”指某些人采取某种行动,引发可能造成某个指某些人采取某种行动,引发可能造成某个结果的事件或对系统造成危害的潜在事实。对系统威结果的事件或对系统造成危害的潜在事实。对系统威胁的描述涉及信息类型、合法用户和用户信息、威胁胁的描述涉及信息类型、合法用户和用户信息、威胁者的考虑(能力、意图、自发性、动机、对任务的破者的考虑(能力
128、、意图、自发性、动机、对任务的破坏)。坏)。3. 信息保护策略的考虑信息保护策略的考虑对一个机构而言,在制定本组织的信息保护策略时必对一个机构而言,在制定本组织的信息保护策略时必须考虑所有现有的信息保护策略、规则和标准。必须须考虑所有现有的信息保护策略、规则和标准。必须定义下面的信息保护最重要的内容:为什么需要信息定义下面的信息保护最重要的内容:为什么需要信息保护?需要什么样的保护?怎样获得保护?保护?需要什么样的保护?怎样获得保护?与系统工程过程相同,一个机构必须考虑本机构内所与系统工程过程相同,一个机构必须考虑本机构内所有的政策、规则和标准。必须定义一个机构信息策略有的政策、规则和标准。必
129、须定义一个机构信息策略的以下最重要内容:机构需要保护的资源的以下最重要内容:机构需要保护的资源/资产、需资产、需要和这些资产发生关系的个人的角色和责任(作为可要和这些资产发生关系的个人的角色和责任(作为可操作性任务的一部分)、授权用户用到这些资产(有操作性任务的一部分)、授权用户用到这些资产(有信息安全要求)的合适的方法。信息安全要求)的合适的方法。为制定一个有效的信息保护策略,需要设立一个由系为制定一个有效的信息保护策略,需要设立一个由系统工程专家、统工程专家、ISSE、用户代表、权威认证机构、设、用户代表、权威认证机构、设计专家组成的小组。该小组的成员要共同合作,保证计专家组成的小组。该小
130、组的成员要共同合作,保证策略的正确性、全面性以及和其他现有策略的连续性。策略的正确性、全面性以及和其他现有策略的连续性。高层管理机构要颁布信息保护策略。该策略必须是明高层管理机构要颁布信息保护策略。该策略必须是明确的,应该使下级机构易于制定各自的制度,并且便确的,应该使下级机构易于制定各自的制度,并且便于机构所有成员的理解。需要一个能够确保在机构内于机构所有成员的理解。需要一个能够确保在机构内部实施该策略的流程,并让机构成员认识到,如果不部实施该策略的流程,并让机构成员认识到,如果不实施该策略将会出现怎样的后果。尽管必须依据具体实施该策略将会出现怎样的后果。尽管必须依据具体情况的改变及时更新机
131、构安全策略,高层策略却不应情况的改变及时更新机构安全策略,高层策略却不应经常变动。经常变动。1. 目标目标在系统开发的系统功能定义阶段,系统工程师必须明在系统开发的系统功能定义阶段,系统工程师必须明确系统要完成的功能,该功能的实现应达到什么程度,确系统要完成的功能,该功能的实现应达到什么程度,以及系统有哪些外部接口。系统工程也要将描述系统以及系统有哪些外部接口。系统工程也要将描述系统应用环境的自然语言翻译为定义接口以及系统边界的应用环境的自然语言翻译为定义接口以及系统边界的工程图表。工程图表。18.8.2 定义系统功能定义系统功能需求到目标、目标到要求以及要求到功能的各翻译环需求到目标、目标到
132、要求以及要求到功能的各翻译环节均采用工程语言。系统工程师将使用工程语言来描节均采用工程语言。系统工程师将使用工程语言来描述特定的目标。目标描述能够通过描述系统的预期运述特定的目标。目标描述能够通过描述系统的预期运行效果而满足需求。系统工程师必须能将目标同此前行效果而满足需求。系统工程师必须能将目标同此前提出的需要相联系,并且能够从理论上加以解释。各提出的需要相联系,并且能够从理论上加以解释。各目标都有一个描述满足该目标所需条件的有效性量度目标都有一个描述满足该目标所需条件的有效性量度(MoE)。因此目标描述必须明确、可测、可验证。)。因此目标描述必须明确、可测、可验证。当所有的需求目标得以实现
133、时,如果先前从需求到目当所有的需求目标得以实现时,如果先前从需求到目标的解释正确而且完整,这些需求便得以满足。标的解释正确而且完整,这些需求便得以满足。信息保护目标与系统目标具有相同的特性,都具有信息保护目标与系统目标具有相同的特性,都具有MoE,而且对信息保护需求是明确的、可测量的、,而且对信息保护需求是明确的、可测量的、可验证的、可跟踪的。每个目标的基本原理必须解释可验证的、可跟踪的。每个目标的基本原理必须解释为:信息保护对象所支持的任务目标、驱动信息保护为:信息保护对象所支持的任务目标、驱动信息保护目标的与任务相关的威胁、未实现的目标的结果、支目标的与任务相关的威胁、未实现的目标的结果、
134、支持目标的信息保护指导或策略。持目标的信息保护指导或策略。2. 系统描述系统描述/环境环境技术系统描述本系统与系统边界外的元素相互作用的技术系统描述本系统与系统边界外的元素相互作用的功能与接口。系统描述应当包括系统的物理边界和逻功能与接口。系统描述应当包括系统的物理边界和逻辑边界,以及系统输入输出的一般特性。系统描述包辑边界,以及系统输入输出的一般特性。系统描述包括针对信息、信号、能量和资源在系统与环境之间或括针对信息、信号、能量和资源在系统与环境之间或系统与系统之间双向流动的描述。系统描述应当指出系统与系统之间双向流动的描述。系统描述应当指出为完成用户任务所需的信息处理类型(例如对等通信、为
135、完成用户任务所需的信息处理类型(例如对等通信、广播通信、信息存储、一般访问、受限访问等)。广播通信、信息存储、一般访问、受限访问等)。3. 要求要求功能要求由父目标处继承而来。功能要求描述系统需功能要求由父目标处继承而来。功能要求描述系统需要完成的任务、动作和行为。当转化为性能需求时,要完成的任务、动作和行为。当转化为性能需求时,目标有效性度量则定义功能需求的实现程度。除了规目标有效性度量则定义功能需求的实现程度。除了规定系统的功能、接口、性能、互操作性、继承以及设定系统的功能、接口、性能、互操作性、继承以及设计需求外,系统工程师也必须与用户共同决定系统开计需求外,系统工程师也必须与用户共同决
136、定系统开发和升级的保障要求。保障要求影响系统设计与文件发和升级的保障要求。保障要求影响系统设计与文件归档方法,并使用户确信系统除了实现开发者声称的归档方法,并使用户确信系统除了实现开发者声称的功能之外再无其他功能。这里的保障可以特指系统的功能之外再无其他功能。这里的保障可以特指系统的性能要求,也可以特指某种验证并确认系统可靠方法性能要求,也可以特指某种验证并确认系统可靠方法的处理要求(分别对设计和适用性而言)。的处理要求(分别对设计和适用性而言)。为确定一套能够满足需求并代表可接受的风险、生命为确定一套能够满足需求并代表可接受的风险、生命周期成本和进度的性能的要求集,系统工程师在为一周期成本和
137、进度的性能的要求集,系统工程师在为一套要求或其他要求进行性能分配时必须进行多方面的套要求或其他要求进行性能分配时必须进行多方面的权衡考虑。性能要求的典型形式如下:质,多好?量,权衡考虑。性能要求的典型形式如下:质,多好?量,数量?每个系统的成本有多高?适用范围,适用范围数量?每个系统的成本有多高?适用范围,适用范围有多大?合时性,使用频率与响应度如何?有备性,有多大?合时性,使用频率与响应度如何?有备性,可靠性、可维护性、可用性、可生产性。可靠性、可维护性、可用性、可生产性。内部接口、外部接口与互操作性要求是可能产生于系内部接口、外部接口与互操作性要求是可能产生于系统成员之间或系统与环境、系统
138、与系统之间的相互作统成员之间或系统与环境、系统与系统之间的相互作用概念的重要要求。此外,政策也可能规定某些接口、用概念的重要要求。此外,政策也可能规定某些接口、互操作和设计要求。为实现系统功能,系统工程师可互操作和设计要求。为实现系统功能,系统工程师可能需要依据这些要求提出其他要求。能需要依据这些要求提出其他要求。当明确所有要求之后,系统工程师必须同其他系统负当明确所有要求之后,系统工程师必须同其他系统负责人商议评估这些要求的正确性、完整性、一致性、责人商议评估这些要求的正确性、完整性、一致性、互依赖性、冲突和可测试性。正确解释目标的要求应互依赖性、冲突和可测试性。正确解释目标的要求应既不苛刻
139、也不模糊。极端苛刻的要求是不合适的,它既不苛刻也不模糊。极端苛刻的要求是不合适的,它对一些系统性能要求太高,并可能修改其他某些合理对一些系统性能要求太高,并可能修改其他某些合理要求。所有正确的要求都必不可少,并且它们的集合要求。所有正确的要求都必不可少,并且它们的集合足以满足用户需求。各种要求必须是一致的。对用户、足以满足用户需求。各种要求必须是一致的。对用户、客户或开发者而言,它们代表同一个特定事物。系统客户或开发者而言,它们代表同一个特定事物。系统工程师必须解决不同要求之间的冲突,并通过与其他工程师必须解决不同要求之间的冲突,并通过与其他系统责任人进行协商的方式淘汰和修改某些要求。除系统责
140、任人进行协商的方式淘汰和修改某些要求。除非政策规定了一定的设计方案,否则要求应当与系统非政策规定了一定的设计方案,否则要求应当与系统实施保持独立。用户应该区分要求的优先级。实施保持独立。用户应该区分要求的优先级。在发生冲突的情况下,可以在必要时放弃低优先级的在发生冲突的情况下,可以在必要时放弃低优先级的要求,以缩短时间、降低成本、减少风险和缩小范围。要求,以缩短时间、降低成本、减少风险和缩小范围。尤为重要的一点是,由于需满足的要求是系统有效性尤为重要的一点是,由于需满足的要求是系统有效性和可用性的基础,系统负责人必须在这些要求和要求和可用性的基础,系统负责人必须在这些要求和要求特性上取得一致意
141、见。特性上取得一致意见。4. 功能分析功能分析功能由要求决定,每个要求产生一项或几项功能。由功能由要求决定,每个要求产生一项或几项功能。由于对要求和功能的定义不同,初始功能的级别高低并于对要求和功能的定义不同,初始功能的级别高低并不相同。功能分析的主要内容是分析功能之间或功能不相同。功能分析的主要内容是分析功能之间或功能与环境之间的联系。与环境之间的联系。通过图表描述功能的相互联系有多种方法。最简单的通过图表描述功能的相互联系有多种方法。最简单的图表是文本功能列表。它通过习惯性的缩写、标号、图表是文本功能列表。它通过习惯性的缩写、标号、字体来描述一系列功能的层次结构。功能列表对功能字体来描述一
142、系列功能的层次结构。功能列表对功能进行命名,并且描述其定义、行为、何时被调用、输进行命名,并且描述其定义、行为、何时被调用、输入输出。开发最简单系统时,系统工程师可能只需功入输出。开发最简单系统时,系统工程师可能只需功能列表就足够了。但通常情况下,功能列表只是最初能列表就足够了。但通常情况下,功能列表只是最初级的功能分析。级的功能分析。由于功能列表具有分层的特点,它也可以是一个树型由于功能列表具有分层的特点,它也可以是一个树型结构。这两种分析的考虑过程要求系统工程师考虑系结构。这两种分析的考虑过程要求系统工程师考虑系统集成的相应程度和与该程度对应的功能。将更高层统集成的相应程度和与该程度对应的
143、功能。将更高层次的功能和继承功能视为一组,使它们与其他功能保次的功能和继承功能视为一组,使它们与其他功能保持高度的独立性。这是定义一个模块化结构的部分工持高度的独立性。这是定义一个模块化结构的部分工作,模块化结构具有连带关系(每一个模块或子系统作,模块化结构具有连带关系(每一个模块或子系统产生一个系统功能,该系统功能由紧密联系的低层功产生一个系统功能,该系统功能由紧密联系的低层功能构成),同时也具有弱耦合结构(各模块或子系统能构成),同时也具有弱耦合结构(各模块或子系统之间在很大程度上保持相互独立)。系统工程师必须之间在很大程度上保持相互独立)。系统工程师必须在连带和耦合之间进行权衡,模块化系
144、统几乎可以与在连带和耦合之间进行权衡,模块化系统几乎可以与独立的子系统一样定义、设计、开发、测试、移植和独立的子系统一样定义、设计、开发、测试、移植和升级。通过权衡可以产生各种可能的系统结构。这样升级。通过权衡可以产生各种可能的系统结构。这样便导致了子系统和底层组件的可视化。这些组件和子便导致了子系统和底层组件的可视化。这些组件和子系统具有各自的功能。系统具有各自的功能。ISSE将使用许多系统工程工具来理解功能,并将功将使用许多系统工程工具来理解功能,并将功能分配给各种信息保护配置项。能分配给各种信息保护配置项。ISSE必须了解信息必须了解信息保护子系统如何成为整个系统的一部分,如何支持整保护
145、子系统如何成为整个系统的一部分,如何支持整个系统。个系统。本部分工作要求一个受到多方制约的工作组设计系统本部分工作要求一个受到多方制约的工作组设计系统的体系结构并制定具体的设计方案。系统工程师对体的体系结构并制定具体的设计方案。系统工程师对体系结构解决方案进行分类并识别所有类似的可重用方系结构解决方案进行分类并识别所有类似的可重用方案。在此意义上,系统工程师可以组织一个负责开发案。在此意义上,系统工程师可以组织一个负责开发具体解决方案的工作组。该工作组选择可用于该方案具体解决方案的工作组。该工作组选择可用于该方案的产品,采用结合可重用方案或设计新方案的方式设的产品,采用结合可重用方案或设计新方
146、案的方式设计具体的体系结构解决方案。计具体的体系结构解决方案。18.8.3 设设计系统计系统为达到应用目标,系统必须依赖其所有组件,这一点为达到应用目标,系统必须依赖其所有组件,这一点非常重要。因此,耗费过多精力对某个组件进行优化非常重要。因此,耗费过多精力对某个组件进行优化只是对精力和资源的一种浪费。但是,性能过低的组只是对精力和资源的一种浪费。但是,性能过低的组件可能会损害系统整体性能。系统设计必须满足包括件可能会损害系统整体性能。系统设计必须满足包括功能、性能、接口、互操作和设计要求在内的一系列功能、性能、接口、互操作和设计要求在内的一系列要求。好的系统设计将确保该系统能够满足客户需求。
147、要求。好的系统设计将确保该系统能够满足客户需求。1. 功能分配功能分配在这个过程中,系统工程师必须明确在实现其功能时在这个过程中,系统工程师必须明确在实现其功能时应采取的物理形式。他们可以将一些功能分配给软件、应采取的物理形式。他们可以将一些功能分配给软件、硬件、固件和人。执行系统功能的人一般都采用确定硬件、固件和人。执行系统功能的人一般都采用确定的工作程序与书面步骤,使用特定的可用软件、硬件的工作程序与书面步骤,使用特定的可用软件、硬件与固件。当系统功能的执行需要具备一致性时,这一与固件。当系统功能的执行需要具备一致性时,这一点尤为重要。因此,一些功能可由人和机器共同完成。点尤为重要。因此,
148、一些功能可由人和机器共同完成。由于功能被分配给组件,组件必须实现相应的功能和由于功能被分配给组件,组件必须实现相应的功能和性能要求,并且不超出系统规定的出错率。系统工程性能要求,并且不超出系统规定的出错率。系统工程师必须明确各种体系概念以及依据概念分配给各组件师必须明确各种体系概念以及依据概念分配给各组件的功能与要求,并同其他系统负责人对概念和物理上的功能与要求,并同其他系统负责人对概念和物理上的可行性取得一致意见。的可行性取得一致意见。在此意义上,系统工程师可以进行方案验证、集成和在此意义上,系统工程师可以进行方案验证、集成和制定工作系统,以及要求生效的要求的系统验证、集制定工作系统,以及要
149、求生效的要求的系统验证、集成和有效性测试。必须记录达到预期效果的可用、验成和有效性测试。必须记录达到预期效果的可用、验证和集成测试计划并将其与要求和体系结构相联系。证和集成测试计划并将其与要求和体系结构相联系。系统工程师可以开始针对系统设计分配资金、人员、系统工程师可以开始针对系统设计分配资金、人员、工具和时间资源,为系统分配测试、细节、生命周期工具和时间资源,为系统分配测试、细节、生命周期支持。多数系统需要正式的结构管理(支持。多数系统需要正式的结构管理(CM),结构),结构管理应当作用于体系结构。管理应当作用于体系结构。2. 初步设计初步设计进行系统初步设计至少应具备两个先决条件:确定并进
150、行系统初步设计至少应具备两个先决条件:确定并且一致的系统要求;结构管理下确定的体系结构。一且一致的系统要求;结构管理下确定的体系结构。一旦体系结构确定,系统和设计工程师就必须确定用于旦体系结构确定,系统和设计工程师就必须确定用于描述开发内容的规范。该规范必须是同规定的需求相描述开发内容的规范。该规范必须是同规定的需求相应的、完整的和确定的。规范的细节级别从系统级到应的、完整的和确定的。规范的细节级别从系统级到组件级。应当在初步设计评审(组件级。应当在初步设计评审(Preliminary Design Review, PDR)之前对更高级规范进行制定和评审。)之前对更高级规范进行制定和评审。PD
151、R产生用于调查完备性、冲突、兼容性(与接口系产生用于调查完备性、冲突、兼容性(与接口系统)、可验证性、安全风险、综合风险和可验证等要统)、可验证性、安全风险、综合风险和可验证等要求的高级规范。初步设计的结果是分配系统基线配置。求的高级规范。初步设计的结果是分配系统基线配置。3. 详细设计详细设计详细设计产生更低层次的产品规范、具体的工程与接详细设计产生更低层次的产品规范、具体的工程与接口控制图、原型、具体的测试计划与程序和具体的集口控制图、原型、具体的测试计划与程序和具体的集成供给支持计划(成供给支持计划(Integrated Logistics Support Plan, ILSP)。专业工
152、程实践、可靠性、可维护性、可用)。专业工程实践、可靠性、可维护性、可用性、质量、安全性和可生产性均能够提供专家水准的性、质量、安全性和可生产性均能够提供专家水准的具体信息。这些信息可用于确定资源购买或资源开发具体信息。这些信息可用于确定资源购买或资源开发的内容与方式。详细设计将产生系统关键设计评审的内容与方式。详细设计将产生系统关键设计评审(Critical Design Review, CDR)。评审内容涉及针)。评审内容涉及针对完整性、冲突、兼容性(与接口系统)、可验证、对完整性、冲突、兼容性(与接口系统)、可验证、安全风险、集成风险和可追踪性等要求的所有配置项安全风险、集成风险和可追踪性
153、等要求的所有配置项的具体规范。的具体规范。系统实施的目的是为所设计的系统开发并集成其全部系统实施的目的是为所设计的系统开发并集成其全部组件。紧接的下一步工作是对系统进行测试和验证,组件。紧接的下一步工作是对系统进行测试和验证,确定系统是否满足要求。在测试过程中,一些非常底确定系统是否满足要求。在测试过程中,一些非常底层的设计工作(如小软件模块设计)通常作为系统建层的设计工作(如小软件模块设计)通常作为系统建造工作的一部分。这个工作也包括调查生产该系统的造工作的一部分。这个工作也包括调查生产该系统的可能性。可能性。系统实施行为形成一个系统验证调查结论。它为所建系统实施行为形成一个系统验证调查结论
154、。它为所建立的系统遵循系统设计要求并为满足任务性能需求提立的系统遵循系统设计要求并为满足任务性能需求提供证据。必须考虑涉及所有系统工程主要功能的问题,供证据。必须考虑涉及所有系统工程主要功能的问题,并且确定其相互依赖关系或进行权衡。并且确定其相互依赖关系或进行权衡。18.8.4 系系统实施统实施1. 采办采办本阶段的工作必须在开发还是购买满足设计系统细节本阶段的工作必须在开发还是购买满足设计系统细节规范的组件这二者间做出决定。针对解决方案的集成规范的组件这二者间做出决定。针对解决方案的集成选择和获得,可用产品的基础是所选择的系统设计细选择和获得,可用产品的基础是所选择的系统设计细节。这些产品是
155、采用购买、租用还是借用的方式,决节。这些产品是采用购买、租用还是借用的方式,决定于许多已知因素(组件价格、是否容易获得、形式、定于许多已知因素(组件价格、是否容易获得、形式、是否合适、功能等)或未知因素(在特殊系统中的可是否合适、功能等)或未知因素(在特殊系统中的可靠性、组件性能的不足可能对系统性能造成的风险、靠性、组件性能的不足可能对系统性能造成的风险、该组件将来是否可用或可被替代等)。在正式决定开该组件将来是否可用或可被替代等)。在正式决定开发或购买之前,系统和设计工程师必须慎重权衡两种发或购买之前,系统和设计工程师必须慎重权衡两种方式的利弊并进行研究。方式的利弊并进行研究。2. 开发开发
156、在本阶段,系统开发方法已经被转化为一个稳定的、在本阶段,系统开发方法已经被转化为一个稳定的、可生产的、性能代价比合理的系统设计实践。对信息可生产的、性能代价比合理的系统设计实践。对信息系统而言,转化包括所有产品级别的软件、硬件或固系统而言,转化包括所有产品级别的软件、硬件或固件。件。一旦开发出或购买到组件,系统工程的下一步工作就一旦开发出或购买到组件,系统工程的下一步工作就是组织建立系统。在此之前需要采用相应的系统设计是组织建立系统。在此之前需要采用相应的系统设计规范对各系统组件进行测试。测试结束便可以开始建规范对各系统组件进行测试。测试结束便可以开始建立系统。为避免不必要的麻烦,组建系统时应
157、遵循生立系统。为避免不必要的麻烦,组建系统时应遵循生产商规范。产商规范。组建过程的完成将对后续工作产生重大影响。如果系组建过程的完成将对后续工作产生重大影响。如果系统组建正确,后续工作将能精确反映系统设计和工程统组建正确,后续工作将能精确反映系统设计和工程工作的正确性。反之,系统将无法按照设计意图运行,工作的正确性。反之,系统将无法按照设计意图运行,无法实现设计和任务目标。无法实现设计和任务目标。3. 测试测试组件开发出来后,必须对组件开发结果进行测试。在组件开发出来后,必须对组件开发结果进行测试。在定义方案之后,系统和设计工程师要写出测试过程和定义方案之后,系统和设计工程师要写出测试过程和预
158、期的测试结果。设计工程师要进行单元测试。方案预期的测试结果。设计工程师要进行单元测试。方案和接口验证将保证所开发的组件能够正确实现其功能。和接口验证将保证所开发的组件能够正确实现其功能。在验证和综合测试过程中,必须对所有接口进行全面在验证和综合测试过程中,必须对所有接口进行全面测试。测试。综合测试用于验证较高级的系统性能水平。早期工作综合测试用于验证较高级的系统性能水平。早期工作应尽可能地规定系统测试所需人员、工具、设备、资应尽可能地规定系统测试所需人员、工具、设备、资金资源,并且进行预算和论证。在预定方案中集成经金资源,并且进行预算和论证。在预定方案中集成经选择、购买或开发的产品,通过测试与
159、调整获得较高选择、购买或开发的产品,通过测试与调整获得较高水平的系统功能。集成测试可能导致改变系统组件重水平的系统功能。集成测试可能导致改变系统组件重新设计。系统功能测试报告用于记录测试成功或失败新设计。系统功能测试报告用于记录测试成功或失败的结果。集成是为用户提供一个全面的集成与测试,的结果。集成是为用户提供一个全面的集成与测试,并能够确保相应的设计已经通过验证的系统。并能够确保相应的设计已经通过验证的系统。一般地,任务需求所要求开发的系统应该具有惟一性,一般地,任务需求所要求开发的系统应该具有惟一性,或者该系统将用于某未知或难以模拟的环境。此时,或者该系统将用于某未知或难以模拟的环境。此时
160、,除非合同中的承诺条款承认实验室环境下的系统性能除非合同中的承诺条款承认实验室环境下的系统性能测试结果,否则必须针对实际系统进行测试。这种情测试结果,否则必须针对实际系统进行测试。这种情况通常与某个政府机构有关。对于将同一系统部署于况通常与某个政府机构有关。对于将同一系统部署于某个已知和可模拟环境的情况,在生产和部署之前也某个已知和可模拟环境的情况,在生产和部署之前也应进行仔细测试。效用测试和用户可用性测试不一定应进行仔细测试。效用测试和用户可用性测试不一定完全相同。但是,满足这些要求是获得用户认可并争完全相同。但是,满足这些要求是获得用户认可并争取到下一份商业定单的基础。取到下一份商业定单的
161、基础。在系统验证、系统集成和系统效用测试之后,尤为重在系统验证、系统集成和系统效用测试之后,尤为重要的是针对系统的安装、操作、维护和支持步骤进行要的是针对系统的安装、操作、维护和支持步骤进行归档。这些步骤以需求、体系结构、设计和针对系统归档。这些步骤以需求、体系结构、设计和针对系统建立之初的配置所进行测试的结果为基础。需要重点建立之初的配置所进行测试的结果为基础。需要重点指出的是,在安装过程中必须记录异常情况,并且注指出的是,在安装过程中必须记录异常情况,并且注意这些变化对集成和效用测试以及操作步骤可能产生意这些变化对集成和效用测试以及操作步骤可能产生的影响。此外,也要讨论安装过程中的变化情况
162、对系的影响。此外,也要讨论安装过程中的变化情况对系统操作、支持与维护可能造成的其他风险。统操作、支持与维护可能造成的其他风险。在评估系统效用时,必须检测两个主要的因素。第一,在评估系统效用时,必须检测两个主要的因素。第一,系统是否达到了任务的需求?第二,系统依照任务组系统是否达到了任务的需求?第二,系统依照任务组织所期望的方式操作吗?对系统功能和操作来说,可织所期望的方式操作吗?对系统功能和操作来说,可能有些预期要求是绝对不能忽视的。系统功能和操作能有些预期要求是绝对不能忽视的。系统功能和操作需求是系统能否被认同所要考虑的主要方面。除这些需求是系统能否被认同所要考虑的主要方面。除这些因素之外,
163、也应该注意可能影响评估结果的如下因素:因素之外,也应该注意可能影响评估结果的如下因素:互操作性,系统能正确地通过外部接口共享信息吗?互操作性,系统能正确地通过外部接口共享信息吗?可用性,对用户可供使用的系统能提高任务成功性吗可用性,对用户可供使用的系统能提高任务成功性吗?训练,用户有资格操作和维护系统需要的指令的程?训练,用户有资格操作和维护系统需要的指令的程度?人机接口,用户出现错误的时候人机接口能够正度?人机接口,用户出现错误的时候人机接口能够正确协调吗?费用,建立、更新和维护系统在经济上是确协调吗?费用,建立、更新和维护系统在经济上是否可行?否可行?18.8.5 有效性评估有效性评估一个
164、安全基础设施应提供很多组件的协同使用,其体一个安全基础设施应提供很多组件的协同使用,其体系结构可改进整个的安全特性,而不仅是各个安全组系结构可改进整个的安全特性,而不仅是各个安全组件的特性。安全基础设施的主要组成有件的特性。安全基础设施的主要组成有4部分:网络、部分:网络、平台、物理设施、处理过程。平台、物理设施、处理过程。安全基础设施设计的基本目标是保护企业的资产。保安全基础设施设计的基本目标是保护企业的资产。保护这些资产的方法是适当地部署各个安全组件于有组护这些资产的方法是适当地部署各个安全组件于有组织的、协同的安全基础设施中。根据选择的数据等级织的、协同的安全基础设施中。根据选择的数据等
165、级分类体制,每种数据保护目标应按数据机密性、完整分类体制,每种数据保护目标应按数据机密性、完整性和可用性来表示和衡量。性和可用性来表示和衡量。18.9 本章小结本章小结安全基础设施设计指南中最重要的是要保证企业安全安全基础设施设计指南中最重要的是要保证企业安全策略与过程和当前经营业务目标相一致。设计基础设策略与过程和当前经营业务目标相一致。设计基础设施安全服务以支持设计指南和需求,这些安全服务包施安全服务以支持设计指南和需求,这些安全服务包括鉴别、授权、账户、物理访问控制和逻辑访问控制,括鉴别、授权、账户、物理访问控制和逻辑访问控制,应分别采取适当的安全机制以实现这些安全服务。应分别采取适当的
166、安全机制以实现这些安全服务。KMI/PKI作为一种支撑性安全基础设施,其本身并作为一种支撑性安全基础设施,其本身并不能直接为用户提供安全服务,但是其他安全应用的不能直接为用户提供安全服务,但是其他安全应用的基础。基础。KMI/PKI是安全服务所必需的组件,其体系是安全服务所必需的组件,其体系结构依赖于其支持的应用。结构依赖于其支持的应用。KMI/PKI支持支持4种服务:种服务:对称密钥的产生和分发、非对称密码技术及与其相关对称密钥的产生和分发、非对称密码技术及与其相关的证书管理、目录服务、基础设施本身的管理。的证书管理、目录服务、基础设施本身的管理。公钥基础设施(公钥基础设施(PKI)用来管理
167、密钥和证书。)用来管理密钥和证书。PKI主主要组成包括证书授权(要组成包括证书授权(CA)、注册授权()、注册授权(RA)、证)、证书存储库(书存储库(CR)。)。PKI管理的对象有密钥、证书以管理的对象有密钥、证书以及证书撤销列表(及证书撤销列表(CRL)。大型公钥基础设施往往)。大型公钥基础设施往往包含多个包含多个CA,多数,多数PKI中的中的CA是按层次结构组成的。是按层次结构组成的。桥桥CA的作用是为多个的作用是为多个PKI中的关键中的关键CA签发交叉认证签发交叉认证证书。证书。在现实世界中,对称密钥管理技术仍然是一种广泛应在现实世界中,对称密钥管理技术仍然是一种广泛应用的重要技术。密
168、钥管理是对称密钥技术安全性的关用的重要技术。密钥管理是对称密钥技术安全性的关键因素。对称密钥的管理涉及整个的密钥存活期,必键因素。对称密钥的管理涉及整个的密钥存活期,必须建立密钥的定购、产生、分配、存储、记录、销毁须建立密钥的定购、产生、分配、存储、记录、销毁的可控过程。的可控过程。基础设施目录服务是通过一个结构化的命名服务,提基础设施目录服务是通过一个结构化的命名服务,提供在分布环境中定位和管理资源的能力。基础设施目供在分布环境中定位和管理资源的能力。基础设施目录服务的重要特性包括定义的名字空间、高度的分布录服务的重要特性包括定义的名字空间、高度的分布性、优化的数据恢复以及提供对多种应用的访
169、问。性、优化的数据恢复以及提供对多种应用的访问。信息系统安全工程(信息系统安全工程(ISSE)是为实现客户信息保护)是为实现客户信息保护需求而进行的某种过程。需求而进行的某种过程。ISSE是由美国国家安全局是由美国国家安全局发布的发布的信息保障技术框架(信息保障技术框架(IATF)3.0版本中提版本中提出的设计和实施信息系统安全工程方法。出的设计和实施信息系统安全工程方法。ISSE的系的系统工程过程包括挖掘任务或业务需求、定义系统功能、统工程过程包括挖掘任务或业务需求、定义系统功能、设计系统、实施系统以及有效性评估。设计系统、实施系统以及有效性评估。18-1 安全设计是(),一个安全基础设施应
170、提供很安全设计是(),一个安全基础设施应提供很多安全组件的()使用。多安全组件的()使用。A. 一门艺术,各种一门艺术,各种 B. 一门科学,协同一门科学,协同C. 一项工程,分别一项工程,分别 D. 艺术、科学和工程集成于一体,协同艺术、科学和工程集成于一体,协同18-2 安全基础设施的主要组成是()。安全基础设施的主要组成是()。A. 网络和平台网络和平台 B. 平台和物理设施平台和物理设施C. 物理设施和处理过程物理设施和处理过程 D. 上面上面3项都是项都是习题习题18-3 安全基础设施设计的基本目标是保护()。安全基础设施设计的基本目标是保护()。A. 企业的网络企业的网络 B. 企
171、业的资产企业的资产C. 企业的平台企业的平台 D. 企业的知识财产。企业的知识财产。18-4 安全基础设施设计指南应包括()。安全基础设施设计指南应包括()。A. 保证企业安全策略和过程和当前经营业务目标一保证企业安全策略和过程和当前经营业务目标一致致B. 开发一个计算机事故响应组开发一个计算机事故响应组CIRTC. 设计基础设施安全服务设计基础设施安全服务D. 以上以上3项都是项都是18-5 支撑性基础设施是能提供安全服务的一套相支撑性基础设施是能提供安全服务的一套相互关联的活动与基础设施,最重要的支撑性基础设互关联的活动与基础设施,最重要的支撑性基础设施是()。施是()。A. KMI/PKI B. PKI以及检测与响应以及检测与响应C. KMI/PKI以及检测与响应以及检测与响应 D. 以上以上3项都不是项都不是18-6 KMI/PKI支持的服务不包括()。支持的服务不包括()。A.非对称密钥技术及证书管理非对称密钥技术及证书管理B.B. 对称密钥的产生和分发对称密钥的产生和分发C. 访问控制服务访问控制服务 D. 目录服务目录服务18-7 PKI的主要组成不包括()。的主要组成不包括()。A. 证书授权证书授权CA B. SSLC. 注册授权注册授权RA D. 证书存储库证书存储库CR
