信息系统安全体系结构

1信息系统安全体系结构信息系统安全体系结构时成阁博士授权信息产业部信息中心讲授版权所有，侵权必究2006年1月内容提要内容提要}系统安全体系结构~系统安全模型~网络管理模型~安全评测认证技术2系统安全模型系统安全模型系统安全模型系统安全模型}OSI的安全模型（一）~OSI安全模型的结构zX.800定义了OSI体系的安全架构，定义了基本的安全服务与安全机制，及其在OSI层间的分配zX.802研究了OSI低层的安全模型，提出了安全关联的概念；X.830研究了OSI高层的一般安全模型zX.810对X.800中提出的基本安全服务的架构模型进行了全面说明3系统安全模型系统安全模型}OSI的安全模型（二）机制服务数据加密数字签名访问控制数据完整性认证交换业务流填充路由控制公证机制对等实体鉴别√√√数据源鉴别√√访问控制√连接的保密性√√无连接的保密性√√选择字段的保密性√业务流安全√√√带恢复的连接完整性√√不带恢复连接完整性√√选择字段连接完整性√√无连接的完整性√√√数据源点不可否认√√数据交付不可否认√√√系统安全模型系统安全模型}OSI的安全模型（三）~OSI的安全服务机制配置z安全服务/机制的实现必须遵循OSI分层原理并与现有的OSI功能兼容zOSI层间的安全机制映射操作ŠSMIB的管理要求Š服务机制的协商Š服务请求+安全参数z面向连接与无连接的安全机制4系统安全模型系统安全模型}OSI的安全模型（三）OSI层安全服务物理层链路层网络层传输层会话层表示层应用层对等实体认证√√√数据源认证√√√访问控制√√√√连接保密√√√√√√无连接保密√√√√√选择字段保密√√业务流保密√√√带恢复的连接完整性√√不带恢复的连接完整性√√√选择字段连接完整性√无连接完整性√√√选择字段无连接完整性√源不可否认√交付不可否认√系统安全模型系统安全模型}OSI的安全模型（四）OSI层安全机制物理层链路层网络层传输层会话层表示层应用层数据加密√√√√√√数字签名√√√√访问控制√√√数据完整性√√√√认证交换√√√业务流填充√√路由控制√公证√√5系统安全模型系统安全模型}TCP/IP的安全模型（一）~TCP/IP的安全架构zIPsec/RFC1825：提供基本的主机级安全机制zISAKMP/RFC2408：提供IPsec的安全机制协商功能zDNSsec/RFC2065：提供对DNS机制的保护zSecurity/Multipart,RFC1847：是MIME格式封装的内容保护机制zX.509v3：是安全机制中的证书标准zTLS：提供传输层的安全机制z其他安全机制（非核心）系统安全模型系统安全模型}TCP/IP的安全模型（二）~网络层安全架构IPsecz是IP层的一般性安全保护机制，包括AH和ESPzIpsec将原来标志一个IP连接的关联扩展为安全关联SA以标示一个单向安全机制zSA中的SPI标识了IPsec连接所采用安全机制的基本信息zIPsec采用了与具体算法独立的设计思想，连接建立阶段需要通过ISAKMP进行安全机制协商6系统安全模型系统安全模型}TCP/IP的安全模型（三）~IPsec的应用框架结构IPIPTCP/UDPTCP/UDP协议栈协议栈安全策略引擎安全策略安全策略引擎引擎密钥管理引擎密钥管理密钥管理引擎引擎SASA表表IPsec引擎IPsecIPsec引擎引擎系统安全模型系统安全模型}TCP/IP的安全模型（四）~AH/authenticationheaderzAH提供了对整个IP包的认证功能z对IP包中可变字段清零后计算认证数据z中间节点认证需要解决密钥分发问题~ESP/encapsulationsecuritypayloadzESP提供对PDU的加密封装功能zESP有隧道模式和传输模式zESP涉及到大量的运算处理7系统安全模型系统安全模型}TCP/IP的安全模型（五）~AH和ESP联合应用的两种方式IPIP头部头部AHAHESPESP头部头部内部内部IPIP分组的传送层段分组的传送层段ESPESP尾部尾部鉴别范围鉴别范围((a)a)先加密后认证方式先加密后认证方式鉴别范围鉴别范围IPIP头部头部ESPESP头部头部IPIP头部头部内部内部IPIP分组的传送层段分组的传送层段ESPESP尾部尾部AHAH内部内部IPIP分组分组((b)b)先认证后加密方式先认证后加密方式系统安全模型系统安全模型}TCP/IP的安全模型（六）~传输层安全架构zTLS主要提供应用间通信数据的保密性和完整性zTLS包括两层：ŠTLS记录协议提供保密和可靠的连接安全功能ŠTLS握手协议提供通信双方安全机制的协商功能zTLS提供了与应用协议独立的开放的安全架构平台，可引入各类相关的安全技术zTLS对网络层以下的协议栈不作改动，并可挂接现有的安全处理包提供记录层安全功能8系统管理模型系统管理模型系统安全模型系统安全模型}系统安全模型评述~OSI与TCP/IP安全模型的比较zOSI：体系结构完整，对安全性考虑较充分zTCP/IP：更加注重实际应用，系统性不够~现有系统安全模型的评价z系统安全模型的提出反映了信息安全的实际需求z网络系统所能提供的安全保障能力是受限的z安全功能在层间的配置影响到实现的效率z未提供有效的安全性能评价手段9系统管理模型系统管理模型}OSI的系统管理模型（一）~OSI的系统管理模型zOSI的管理模型是从结构和管理信息流动的角度进行描述的，包括系统管理和层管理Š系统管理在应用层上交换管理信息Š层管理在较低层上交换管理信息，往往是层实体的一部分zSMAE提供系统管理信息交换所需的通信功能zOSI管理活动所涉及到的各类管理信息统称为MIB，其中包含了被管对象的逻辑抽象表示系统管理模型系统管理模型}OSI的系统管理模型（二）~管理功能域：zOSI将系统管理功能分为配置管理、故障管理、性能管理、安全管理、计费管理等五个功能域~系统管理功能：zOSI进一步将功能域中的管理操作抽象为对象管理、状态管理、关系管理、告警管理、事件报告、日志控制、安全告警报告、安全追查、访问控制、计费表、负载检测、测试管理、总结、确信测试、对象调度及管理知识的管理等十六个系统管理功能10系统管理模型系统管理模型}OSI的系统管理模型（三）~CMIS/CMIPzOSI采用标准的CMIS在异构系统间交换管理信息zSAME中的CMISE在ROSE的基础上通过CMIP交换管理信息zCMIP提供了可远程调用的公共管理操作架构~CMOTzIETF制定了CMOT以便在TCP/UDP环境中支持CMIS服务zCMOT在TCP/UDP层上增加了LPP层系统管理模型系统管理模型}OSI的系统管理模型（四）~OSI的管理信息模型zOSI采用面向对象的方法建立被管对象模型，该方法的自治性、封装性和重载性简化了信息建模工作z被管对象模型放在MIB中，MIB的通用结构称为SMI，确定了MIB的数据结构和命名方式z信息模型同时包括了对象之间的关系z管理操作包括面向对象整体的和面向对象属性的操作11系统管理模型系统管理模型}TMN管理模型（一）~TMN的体系结构mqxxfWSFWS-NMFgq3fq3qxqxq3q3OSFNE-NMFNEFQA-NMFQAFMFTMN系统管理模型系统管理模型}TMN管理模型（二）~TMN的逻辑分层结构网络单元层网络单元层网络单元层网络单元管理层网络单元管理层网络单元管理层网络管理层网络管理层网络管理层业务管理层业务管理层业务管理层商务管理层商务管理层商务管理层12系统管理模型系统管理模型}TMN管理模型（三）~TMN管理功能实现TMNTMN管理业务管理业务TMNTMN管理功能集合管理功能集合TMNTMN管理功能管理功能TMNTMN系统管理业务系统管理业务资源被管对象资源被管对象支持被管对象支持被管对象CMISCMIS通信通信功能单元功能单元系统管理模型系统管理模型}TMN管理模型（四）~TMN信息模型zTMN在OSI的通用网络管理信息建模方法基础上，在M.3100中对传送网进行了建模~TMN接口规范方法zM.3020对TMN的接口规范方法进行了研究，提出了一种用于描述TMN接口的功能及协议规范的方法，并对TMN接口定义的处理过程进行了指导13系统管理模型系统管理模型}TCP/IP的系统管理模型（一）~SNMP的管理模型管理进程管理进程管理进程管理代理管理代理管理代理MIB视图MIBMIB视图视图网管工作站网管工作站被管网络要素被管网络要素SNMPSNMP网管代理网管代理网管应用网管应用系统管理模型系统管理模型}TCP/IP的系统管理模型（二）~SNMP协议操作zSNMP实体根据协议处理的内容确定管理进程和代理身份zSNMPv1仅提供get和get-next操作，SNMPv2增加了get-bulk操作以提高处理效率zSNMP的TRAP机制提供了代理向管理进程的主动报告机制zSNMP的编码机制采用了对ASN.1语法格式通用的BER语法传输记号14系统管理模型系统管理模型}TCP/IP的系统管理模型（三）~SNMP安全机制zSNMPv2的安全模型架构主要面向常见的针对网络协议的安全威胁zSNMPv2采用了数据完整性、数据源认证、数据保密三种基本的安全服务，而支持这些安全服务的是数字签名和对称加密机制zSNMPv2提供了基于上下文的安全域机制系统管理模型系统管理模型}TCP/IP的管理信息模型~SMIzSMI定义了MIB模块、MIB模块的兼容性声明和代理实现的能力声明zSMI采用了IANA的注册树作为层次化模块命名的依据~MIBzMIB对Internet管理所需的被管对象进行了建模15系统管理模型系统管理模型}系统管理模型评述~管理模型的评价zOSI的管理模型更系统，而TCP/IP的则更实用zOSI对安全管理功能进行了分析与定义z两者对管理安全都提供了安全机制~信息模型的评价z两者的信息建模均包含了SMI和MIBzOSI采用MIT结构，扩展性好但查询性能较差；SNMP采用MIB结构，性能较好但可扩展性差zSNMP的信息建模仅适用于TCP/IP环境安全评测认证技术安全评测认证技术16ITIT安全测评认证技术安全测评认证技术}TCSEC评估体系（一）~TCSEC的安全要求z是全球第一个信息安全领域的评估标准，用于评估ADP系统所包含安全机制的有效性zTCSEC将可信计算机系统的要求划分为：Š安全策略/securitypolicyŠ标记/markingŠ识别/identificationŠ责任/accountabilityŠ保证/assuranceŠ保护的连续性/continuousprotectionITIT安全测评认证技术安全测评认证技术}TCSEC评估体系（二）~TCSEC的评估模型监控数据基用户授权文件，权利数据基访问控制表监控数据基监控数据基用户授权文件，权利数据基用户授权文件，权利数据基访问控制表访问控制表委托监控器委托监控器委托监控器安全审计跟踪安全审计跟踪安全审计跟踪主体主体主体客体客体客体17ITIT安全测评认证技术安全测评认证技术}TCSEC评估体系（三）（＊为功能增加或修改，—为与前一等级相同）类别评估DC1C2B1B2B3A1A2类别评估DC1C2B1B2B3A1A2自主访问控制＊＊——＊——体系结构＊＊＊————对象重用＊—————系统的完整性＊——————标记＊＊———安全测试＊＊＊＊＊＊＊标记的完整性＊————设计规范与验证＊＊＊＊＊标记信息输出＊————隐蔽信道分析＊＊＊—多级设备输出＊————可信设施管理＊＊——单级设备输出＊————配置管理＊—＊—标记硬拷贝输出＊————恢复＊——强制访问控制＊＊———保证可信发布＊—主体安全标记＊———安全用户指南＊——————安全策略设备标记＊———安全设施手册＊＊＊＊＊——验证与确认＊＊＊————测试文档＊——＊———审计＊＊＊＊——文档设计文档＊—＊＊＊＊＊责任可信通路＊＊——ITIT安全测评认证技术安全测评认证技术}TCSEC评估体系（四）~TNI评估机理zTNI将TCSEC的评估对象由AD