15. 信息安全体系结构

信息安全体系结构建立和应用安全体系结构的目的和意义•将普遍性的系统科学和系统工程理论应用到信息系统安全的实际中，形成满足安全需求的安全体系，避免安全短板•从管理、技术、组织等多个方面完整、准确地落实安全策略•做到风险、安全及成本的平衡–安全需求和安全策略应尽可能的制约所预见的系统风险及其变化，两个原则：将风险降低到可接受程度。威胁攻击信息系统的代价大于获得的利益。–为系统提供经济、有效的安全服务，保障系统安全运行信息安全体系建立的流程安全需求安全风险安全体系评估再进行对抗指导导出系统资源OSI参考模型7应用层6表示层5会话层4传输层3网络层2链路层1物理层安全机制加密数字签名访问控制数据完整性数据交换业务流填充路由控制公证安全服务鉴别服务访问控制数据完整性数据保密性抗抵赖OSI安全体系OSI安全体系结构–五类安全服务–安全机制–安全服务和安全机制的关系–OSI层中的服务配置–安全体系的安全管理OSI安全体系框架–技术体系–组织机构体系–管理体系OSI安全体系鉴别（或认证，authentication）对等实体鉴别由（N）层提供这种服务时，将使（N+1）层实体确信与之打交道的对等实体正是他所需要的（N+1）层实体。这种服务在连接建立或在数据传送阶段的某些时刻提供使用，用以证实一个或多个实体的身份。使用这种服务可以确信(仅仅在使用时间内)一个实体此时没有试图冒充别的实体，或没有试图将先前的连接作非授权的重演。实施单向或双向对等实体鉴别是可能的，可以带有效期检验，也可以不带。这种服务能够提供各种不同程度的保护。OSI安全体系鉴别（或认证，authentication）数据原发性鉴别确认所接收到数据的来源是所要求的。这种服务当由(N)层提供时，将使(N+1)实体确信数据来源正是所要求的对等(N+1)实体。数据源鉴别服务对数据单元的来源提供确认。这种服务对数据单元的重复篡改不提供保护。OSI安全体系访问控制针对越权使用资源和非法访问的防御措施。访问控制大体可分为自主访问控制和强制访问控制两类：其实现机制可以是基于访问控制属性的访问控制表(或访问控制路)，或基于“安全标签”、用户分类和资源分档的多级访问控制等。访问控制安全服务主要位于应用层、传输层和网络层。它可以放在通信源、通信目标或两者之间的某一部分。这种访问控制要与不同的安全策略协调一致。OSI安全体系数据机密性–针对信息泄露、窃听等被动威胁的防御措施。可细分为如下3种。(1)信息保密•信息保密指的是保护通信系统中的信息或网络数据库数据。•而对于通信系统中的信息，又分为面向连接保密和无连接保密：连接机密性这种服务为一连接上的全部用户数据保证其机密性。无连接机密服务为单个无连接的SDU中的全部用户数据保证其机密性OSI安全体系•数据机密性(2)数据字段保密•保护信息中被选择的部分数据段；这些字段或处于连接的用户数据中，或为单个无连接的SDU中的字段。(3)业务流保密•业务流保密指的是防止攻击者通过观察业务流，如信源、信宿、转送时间、频率和路由等来得到敏感的信息。OSI安全体系数据完整性–针对非法地篡改和破坏信息、文件和业务流而设置的防范措施，以保证资源的可获得性。这组安全服务又细分为如下3种：(1)基于连接的数据完整性•这种服务为连接上的所有用户数据提供完整性，可以检测整个SDU序列中的数据遭到的任何篡改、插人、删除或重放。同时根据是否提供恢复成完整数据的功能，区分为有恢复的完整性服务和无恢复的完整性服务。OSI安全体系数据完整性(2)基于数据单元的数据完整性•这种服务当由(N)层提供时，对发出请求的(N+1)实体提供数据完整性保证。它是对无连接数据单元逐个进行完整性保护。另外，在一定程度上也能提供对重放数据的单元检测。(3)基于字段的数据完整性•这种服务为有连接或无连接通信的数据提供被选字段的完整性服务，通常是确定被选字段是否遭到了篡改。OSI安全体系抗抵赖–针对对方进行抵赖的防范措施，可用来证实已发生过的操作。这组安全服务可细分为如下3种。(1)数据源发证明的抗抵赖，它为数据的接收者提供数据来源的证据，这将使发送者谎称未发送过这些数据或否认他的内容的企图不能得逞。(2)交付证明的抗抵赖，它为数据的发送者提供数据交付证据，这将使得接收者事后谎称未收到过这些数据或否认它的内容的企图不能得逞。(3)通信双方互不信任，但对第三方(公证方)则绝对信任，于是依靠第三方来证实已发生的操作。OSI安全体系•为了实现上述5种安全服务，ISO7408-2中制定了支持安全服务的8种安全机制：(1)加密机制(enciphermentmechanisms)。(2)数字签名机制(digitalsignaturemechanisms)。(3)访问控制机制(accesscontrolmechanisms)。(4)数据完整性机制(dataintegritymechanisms)。(5)鉴别交换机制(authenticationmechanisms)。(6)通信业务填充机制(trafficpaddingmechanisms)(7)路由控制机制(Routingcontrolmechanisms)。(8)公证机制(notarizationmechanisms)。OSI安全体系1100111001010001010010101001000100100100000100000011001110010100010100101010010001001001000001000000明文加密解密明文·#￥^&(%#%$%^&*(!#$%*((_%$@#$%%^*&**)%$#@保证数据在传输途中不被窃取发起方接受方密文①加密机制BobAlice假冒的“Bob”假冒VPNinternet101011011110100110010100私钥签名验证签名，证实数据来源②数字签名机制总部分支机构A分支机构B移动用户A移动用户B黑客100100101边界防护边界防护边界防护100100101Internet对网络的访问控制10100101③访问控制机制HostCHostDAccesslist192.168.1.3to202.2.33.2Accessnat192.168.3.0toanypassAccess202.1.2.3to192.168.1.3blockAccessdefaultpass1010010101规则匹配成功基于源IP地址基于目的IP地址基于源端口基于目的端口基于时间③访问控制机制基于用户基于流量基于文件基于网址基于MAC地址发起方接受方1001000101010010100001000000110110001010100010101001000101010010100001000000110110001010HashHash100010101001000101010010100001000000110110001010是否一样？防止数据被篡改④数据完整性机制UsernamePasswordPermission郭德纲123*abcRliweiy8990RWguli8668REyuhaibo8965RWEServerEnduser验证用户名与口令验证通过基于口令、用户名的身份认证⑤鉴别交换机制（1）UsernameFeaturePermissionchenaf1234Rliweiy8990RWguli8668REServerWorkstation传送特征信息，发起访问请求验证用户特征信息回应访问请求，允许访问验证通过指纹识别器读取特征信息获得特征信息基于主体特征的身份认证⑤鉴别交换机制（2）UsernameInformationPermissionchenaf1234Rliweiy8990RWguli8668REyuhaibo8965RWEServerWorkstation传送身份验证信息，发起访问请求验证用户身份回应访问请求，允许访问验证通过读卡器读取用户信息获得用户信息基于IC卡+PIN码的身份认证⑤鉴别交换机制（3）用户证书#2CA服务器证书#1CA开始安全通讯基于CA证书的身份认证⑤鉴别交换机制（4）⑥通信业务填充机制•通信业务填充机制能用来提供各种不同级别的保护，对抗通信业务分析。•这种机制只有在通信业务填充受到机密服务保护时才是有效的。⑦路由选择机制终端某时刻前，路由为A-B-D服务器某时刻后，路由为A-C-D路由器B路由器A路由器C路由器D⑧公证机制CA中心证书发布服务器证书签发服务器用户证书----------CA服务器证书----------CA开始数字证书签名验证开始数字证书签名验证OSI安全体系框架•从信息系统安全总需求来看，其中的网络安全、信息内容安全等可以通过OSI安全体系提供的安全服务、安全机制及其管理获得，但所获得的这些安全特性只解决了与通信和互连有关的安全问题，而涉及与信息系统构成组件及其运行环境安全有关的其他问题(如物理安全、系统安全等)还需要从技术措施和管理措施两个方面来考虑解决方案。OSI安全体系框架•完整的信息系统安全体系框架由技术体系、组织机构体系和管理体系共同构建。OSI安全体系框架管理体系法律制度培训培训组织体系机构岗位人事技术体系技术管理技术机制安全策略与服务密钥管理审计状态检测入侵检测OSI安全技术运行环境及系统安全技术OSI安全管理安全机制安全服务物理安全系统安全信息系统安全体系框架应用层传输层网际层网络接口层认证服务访问控制数据完整性数据保密性不可抵赖性数据加密数字签名访问控制数据完整性实体认证流量填充路由控制安全机制TCP/IP参考模型安全服务TCP/IP安全体系OSI安全体系结构到TCP/IP协议层的映射协议层安全服务网络接口层IP层传输层应用层鉴别对等实体鉴别YYY数据源发鉴别YYY访问控制访问控制服务YYY保密性连接机密性YYYY无连接机密性YYYY选择字段机密性Y通信业务流机密性YYY完整性带恢复的连接完整性YY不带恢复的连接完整性YYY选择字段连接完整性Y无连接完整性YYY选择字段无连接完整性Y抗抵赖带数据源发证明的抗抵赖Y带交付证明的抗抵赖Y协议层安全协议主要实现的安全策略应用层S-HTTP（安全超文本传输协议）信息加密、数字签名、数据完整性验证SET（安全电子交易）信息加密、身份认证、数字签名、数据完整性验证PGP（PrettyGoodPrivacy）信息加密、数字签名、数据完整性验证S/MIME（安全的多功能Internet电子邮件扩充）信息加密、数字签名、数据完整性验证Kerberos信息加密、身份认证SSH(安全外壳协议)信息加密、身份认证、数据完整性验证传输层SSL/TLS（安全套接字层/安全传输层）信息加密、身份认证、数据完整性验证SOCKS(防火墙安全会话转换协议)访问控制、穿透防火墙TCP／IP参考模型的安全协议分层协议层安全协议主要实现的安全策略网际层IPSec（IP层安全协议）信息加密、身份认证、数据完整性验证网络接口层PAP（密码认证协议）身份认证CHAP（挑战握手认证协议）身份认证PPTP（点对点隧道协议）传输隧道L2F（第二层转发协议）传输隧道L2TP（第二层隧道协议）传输隧道WEP（有线等效保密）信息加密、访问控制、数据完整性验证WPA（Wi-Fi网络保护访问）信息加密、身份认证、访问控制、数据完整性验证TCP／IP参考模型的安全协议分层