1、第2章 安全体系结构与安全等级,2.1 安全体系结构 2.2 网络安全体系 2.3 安全等级与标准 2.4 我国计算机安全等级划分与相关标准思考题,返回目录,2.1 安全体系结构,2.1.1 ISO/OSI安全体系结构 2.1.2 动态的自适应网络安全模型,返回本章首页,2.1.1 ISO/OSI安全体系结构,OSI安全体系定义了安全服务、安全机制、安全管理及有关安全方面的其他问题。此外,它还定义了各种安全机制以及安全服务在OSI中的层位置。为对付现实中的种种情况,OSI定义了11种威胁,如伪装、非法连接和非授权访问等。,返回本节,1安全服务 在对威胁进行分析的基础上,规定了5种标准的安全服务
2、: (1)对象认证安全服务用于识别对象的身份和对身份的证实。OSI环境可提供对等实体认证和信源认证等安全服务。对等实体认证是用来验证在某一关联的实体中,对等实体的声称是一致的,它可以确认对等实体没有假冒身份;而信源认证是用于验证所收到的数据来源与所声称的来源是否一致,它不提供防止数据中途被修改的功能。,返回本节,(2)访问控制安全服务提供对越权使用资源的防御措施。访问控制可分为自主访问控制、强制访问控制两类。实现机制可以是基于访问控制属性的访问控制表、基于安全标签或用户和资源分档的多级访问控制等。,(3)数据保密性安全服务它是针对信息泄漏而采取的防御措施,可分为信息保密、选择段保密和业务流保密
3、。它的基础是数据加密机制的选择。,(4)数据完整性安全服务防止非法篡改信息,如修改、复制、插入和删除等。它有5种形式:可恢复连接完整性、无恢复连接完整性、选择字段连接完整性、无连接完整性和选择字段无连接完整性。,(5)防抵赖性安全服务是针对对方抵赖的防范措施,用来证实发生过的操作,它可分为对发送防抵赖、对递交防抵赖和进行公证。,2安全机制 一个安全策略和安全服务可以单个使用,也可以组合起来使用,在上述提到的安全服务中可以借助以下安全机制: (1)加密机制:借助各种加密算法对存放的数据和流通中的信息进行加密。DES算法已通过硬件实现,效率非常高。,(2)数字签名:采用公钥体制,使用私钥进行数字签
4、名,使用公钥对签名信息进行证实。(3)访问控制机制:根据访问者的身份和有关信息,决定实体的访问权限。(4)数据完整性机制:判断信息在传输过程中是否被篡改过,与加密机制有关。,(5)认证交换机制:用来实现同级之间的认证。(6)防业务流量分析机制:通过填充冗余的业务流量来防止攻击者对流量进行分析,填充过的流量需通过加密进行保护。,(7)路由控制机制:防止不利的信息通过路由。目前典型的应用为网络层防火墙。(8)公证机制:由公证人(第三方)参与数字签名,它基于通信双方对第三者都绝对相信。目前,因特网上有许多向用户提供路由控制机制的服务。,3安全管理 为了更有效地运用安全服务,需要有其他措施来支持它们的
5、操作,这些措施即为安全管理。安全管理是对安全服务和安全机制进行管理,把管理信息分配到有关的安全服务和安全机制中去,并收集与它们的操作有关的信息。,表2-1 OSI各种安全机制和安全服务的关系,2.1.2 动态的自适应网络安全模型,返回本节,1Policy(安全策略) 2Protection(防护) 3Detection(检测) 4Response(响应),返回本节,2.2 网络安全体系,2.2.1 五层网络安全体系 2.2.2 六层网络安全体系2.2.3 基于六层网络安全体系的网络安全解决方案,返回本节,2.2.1 五层网络安全体系,在考虑网络安全问题的过程中,应该主要考虑5个方面的问题: 网
6、络是否安全? 操作系统是否安全? 用户是否安全? 应用程序是否安全? 数据是否安全?,返回本节,1网络层的安全性 网络层的安全性问题核心在于网络是否得到控制,即是不是任何一个IP地址来源的用户都能够进入网络?如果将整个网络比作一幢办公大楼的话,对于网络层的安全考虑就如同为大楼设置警卫一样。警卫会仔细察看每一位来访者,一旦发现危险的来访者,便会将其拒之门外。,返回本节,2系统的安全性 在系统安全性问题中,主要考虑的问题有两个:一是病毒对于网络的威胁,二是黑客对于网络的破坏和侵入。,返回本节,3用户的安全性 对于用户的安全性问题,所要考虑的问题是:是否只有那些真正被授权的用户才能够使用系统中的资源
7、和数据?,返回本节,4应用程序的安全性 在这一层中我们需要回答的问题是:是否只有合法的用户才能够对特定的数据进行合法的操作?,返回本节,5数据的安全性 数据的安全性问题所要回答的问题是:机密数据是否还处于机密状态? 在数据的保存过程中,机密的数据即使处于安全的空间,也要对其进行加密处理,以保证万一数据失窃,偷盗者(如网络黑客)也读不懂其中的内容。这是一种比较被动的安全手段,但往往能够收到最好的效果。,2.2.2 六层网络安全体系,返回本章首页,(1)物理安全,主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击(干扰等)。 (2)链路安全,需要保证通过网络链路传送的数据不被窃听,主要针对公
8、用信道的传输安全。,返回本节,(3)网络级安全,需要从网络架构、网络访问控制、漏洞扫描、网络监控与入侵检测等多方面加以保证。 (4)信息安全,它涉及信息传输安全、信息存储安全和信息审计等问题。保证信息传输安全需要保证信息的完整性、机密性、不可抵赖和可用性等 。,(5)应用安全,它包括应用平台、应用程序的安全。应用平台的安全包括操作系统、数据库服务器、web服务器等系统平台的安全 。(6)用户安全,主要是用户的合法性,是用户的身份认证和访问控制。通常采用强有力的身份认证,确保密码难以被他人猜测到。,返回本节,(4)PSPACE问题:它是较NP复杂度更高一级的问题,但PSPACENP是否成立仍是没
9、有被解决的问题。(5)EXPTIME问题:复杂度最高的称为EXPTIME,EXPTIME问题需要指数的时间才能解决。EXPTIME已被证明不等于P。,返回本节,2.2.3 基于六层网络安全体系的网络安全解决方案,1物理安全保证 为保障网络硬件设备的物理安全,应在产品保障、运行安全、防电磁辐射和保安方面采取有效措施。,返回本节,2通信链路安全在局域网内采用划分VLAN(虚拟局域网)来对物理和逻辑网段进行有效的分割和隔离,消除不同安全级别逻辑网段间的窃听可能。,3基于防火墙的网络访问控制体系 防火墙能有效地实现网络访问控制、代理服务、身份认证,实现企业级网络系统与外界的安全隔离,保护企业内的关键信
10、息资产和网络组件。,4基于PKI的身份认证体系 按照需要可以在大型的企业网络内部建立基于PKI的身份认证体系(有必要的话还可以建立起基于PMI的授权管理体系),实现增强型的身份认证。,返回本节,5漏洞扫描与安全评估 采用安全扫描技术,定期检测分析、修补弱点漏洞,定期检查,纠正网络系统的不当配置,保证系统配置与安全策略的一致,减少攻击者攻击的机会。,6分布式入侵检测与病毒防护系统 对于大规模企业网络,采用分布式入侵检测与病毒防护系统。典型的企业需要保护整个网络所支持的分布式主机集合 。,7审计与取证 在审计和取证方面,能够对流经网络系统的全部信息流进行过滤和分析,有效地对敏感信息进行基于规则的监
11、控和响应;能够对非法行为进行路由与反路由跟踪,为打击非法活动提供证据。,8系统级安全 操作系统是网络系统的基础,数据库也是应用系统的核心部件,它们的安全在网络安全中有着举足轻重的位置。,9桌面级安全 对于一般的主机要实现桌面级的安全,应该要及时填补安全漏洞,关闭一些不安全的服务,禁止开放一些不常用而又比较敏感的端口 。,10应急响应和灾难恢复 安全不是绝对的,在实际的系统中,即使实施了网络安全工程,还是有可能发生这样那样的意外情况,因此应急响应和灾难恢复也是安全技术中的重要一环,它能够在出现意外事件的时候进行应急响应和保护,具有良好的备份和恢复机制。,2.3 安全等级与标准,2.3.1 TCS
12、EC标准 2.3.2 欧洲ITSEC 2.3.3 加拿大CTCPEC评价标准 2.3.4 美国联邦准则FC 2.3.5 CC标准 2.3.6 BS 7799标准,返回本章首页,2.3.1 TCSEC标准,1985年美国国防部制定的计算机安全标准可信计算机系统评价准则TCSEC(Trusted Computer System Evaluation Criteria),即橙皮书。,返回本节,TCSEC标准定义了系统安全的5个要素:安全策略;可审计机制;可操作性;生命期保证;建立并维护系统安全的相关文件。,TCSEC标准定义了系统安全等级来描述以上所有要素的安全特性,它将安全分为4个方面(安全政策、
13、可说明性、安全保障和文档)和7个安全级别(从低到高依次为D、C1、C2、B1、B2、B3和A级)。,D级:最低保护(Minimal Protection),指未加任何实际的安全措施,D1的安全等级最低。 C级:被动的自主访问策略(Disretionary Access Policy Enforced),提供审慎的保护, 并为用户的行动和责任提供审计能力,由两个级别组成:C1和C2。,B级:被动的强制访问策略(Mandatory Access Policy Enforced)。由三个级别组成: B1、B2和B3级。 A级:形式化证明的安全(Formally Proven Security)。A安
14、全级别最高,只包含1个级别A1。,返回本节,2.3.2 欧洲ITSEC,20世纪90年代西欧四国(英、法、荷、德)联合提出了信息技术安全评估标准ITSEC,又称欧洲白皮书。 ITSEC标准对每个系统赋予两种等级:F(Functionality)即安全功能等级,E(European Assurance)即安全保证等级。,返回本节,1. F等级 功能准则从F1F10共分10级,其中前5种安全功能与橙皮书中的C1B3级非常相似。F6F10级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性以及机密性和完整性的网络安全。,2.E等级 从E0级(不满足的品质)到E6级(形式化验
15、证)的7个安全等级,分别是测试、配置控制和可控的分配,能访问详细设计和源码、详细的脆弱性分析、设计与源码明显对应以及设计与源码在形式上一致。,2.3.3 加拿大CTCPEC评价标准,1993年,加拿大发布“加拿大可信计算机产品评价准则”CTCPEC,该准则综合了美国TCSEC和欧洲ITSEC两个准则。该标准将安全分为功能性需求和保证性需要两部分。功能性需求共分为4个层次:机密性、完整性、可靠性和可说明性,每种安全需求又可以分成很多系统来表示安全性的差别,分级为05级。,返回本节,2.3.4 美国联邦准则FC,1993年,美国对TCSEC做了补充和修改,也吸纳了ITSEC的优点,发表了“信息技术
16、安全性评价联邦准则”FC。该标准将安全需求分为4个层次:机密性、完整性、可靠性和可说明性。,返回本节,2.3.5 CC标准,1993年6月,六国七方(美国国家安全局和国家技术标准研究所、加、英、法、德、荷)经协商同意,共同提出了“信息技术安全评价通用准则”(CC for ITSEC)。,返回本节,(1)CC标准分为三个部分,三者相互依存,缺一不可。这三部分的有机结合具体体现在“保护轮廓”和“安全目标”中。 第一部分:简介和一般模型 。第二部分:安全功能要求。 第三部分:安全保证要求。,(2)CC的先进性 结构的开放性 表达方式的通用性 结构和表达方式的内在完备性 实用性,2.3.6 BS 77
17、99标准,信息安全管理标准BS 7799由英国标准协会BSI(The British Standards Institution)邀请业界相关厂商为共同追求有国际性质量标准的信息安全管理标准而制定,于2000年11月经国际标准化组织ISO(International Organization for Standardization)审核通过,已逐渐成为国际通用和遵循的信息安全领域中应用最普遍、最典型的标准之一。,返回本节,BS 7799共分为两部分: 第一部分:1995年公布的ISO/IEC 17799:2000,它是信息安全管理系统实施规则 (Code of Practice for Inf
18、ormation Security Management System Code),返回本节,第二部分:1998年公布的BS 7799-2:1999,它是信息安全管理系统验证规范 (Specification for Information Security Management System),详细说明了建立、 实施和维护信息安全管理系统的要求,指出实施组织需遵循风险评估来鉴定 最适宜的控制对象,并对自身的需求采取适当的控制。,返回本节,2.4 我国计算机安全等级划分与相关标准,国家标准准则将计算机安全保护划分为以下5个级别: 第一级:用户自主保护级。第二级:系统审计保护级。 第三级:安全标
19、记保护级。 第四级:结构化保护级。 第五级:访问验证保护级。,返回本节,思考题,1OSI安全体系包括哪些安全机制和安全服务?它们之间有何对应关系?2动态的自适应网络安全模型的思想是什么?请介绍一下P2DR模型。3所谓的五层次网络系统安全体系理论是什么?4请尽可能多地列举网络安全技术(不限于本书上)。5请给一个中等规模的局域网(有若干子网)设计一个网络安全解决方案。6什么是ISO/IEC 17799信息安全管理标准?7BS标准主要覆盖哪几个领域?8CC标准的先进性体现在哪些方面?9列举信息安全体系的建立和运行的主要步骤。10试给出网络安全等级的划分。,THANK YOU VERY MUCH !,本章结束!,返回本章首页,结束放映,
