1、信息安全概论,第3讲 2008年x月y日,第2章 信息安全体系结构,2.1 技术体系结构概述 2.2安全机制 2.3 OSI安全体系结构 2.4应用体系结构 2.5 组织体系结构与管理体系结构,概述,信息安全体系就是为了从管理、技术上保证安全策略得以完整、准确地实现,包括:技术体系 组织体系 管理体系,信息安全体系,体系结构释义,所谓一种体系结构实际上是一种被普遍认可的一种概念或结构,以及这种结构的目标和采用的方法。 例1. 居住楼房是一种建筑(体系)结构 例2. 窑洞则是能供家庭居住的另一种结构 体系结构的概念可以使人们在大的方面进行交流。而不同权益者可以关注不同的细节。例如住户仅关心在楼房
2、建设中使用的水泥标号(表示其强度),而房地产开发商除了关注水泥的标号外,还需要关注水泥的采购价格等,而外形设计者可能仅关注水泥的颜色。由此可以看出研究体系结构的重要性。,2.1 技术体系结构概述,定义:信息安全的技术体系结构是研究在特定应用环境或类别下,采用妥善定义的信息安全机制,构建、实现相关的安全目标或安全服务的科学。,技术体系结构释义,应用环境可分为:物理环境计算机系统平台网络通信平台应用平台四种 妥善定义的信息安全机制:是指那些技术或模块,它们能够实现一个或若干特定安全目标。这些安全机制有明确的定义和易判定的外延,与别的模块有明显的区别。,技术体系结构释义,例如: 1. 加密模块 2.
3、 访问控制模块 它们的定义是明确的,外延是易判定的,从而是妥善定义的机制。妥善定义的信息安全机制通常简称为安全机制。 不同的应用环境对安全的需求是有差异的。给定的一类应用对安全的需求可以归结为一些基本要素,称为安全目标(也称为安全服务)。这些安全目标可以通过合理配置安全机制来实现。具体的应用安全性则是通过调用这些安全服务完成。,体系结构释义,2.1.1物理环境安全体系,物理安全,是通过机械强度标准的控制,使信息系统所在的建筑物、机房条件及硬件设备条件满足信息系统的机械防护安全;通过采用电磁屏蔽机房、光通信接入或相关电磁干扰措施降低或消除信息系统硬件组件的电磁发射造成的信息泄露;提高信息系统组件
4、的接收灵敏度和滤波能力,使信息系统组件具有抗击外界电磁辐射或噪声干扰能力而保持正常运行。物理安全除了包括机械防护、电磁防护安全机制外,还包括限制非法接入,抗摧毁,报警,恢复,应急响应等多种安全机制。,2.1.2计算机系统平台安全体系,硬件上主要通过下述机制,提供一个可信的硬件环境,实现其安全目标。1. 存储器安全机制2. 运行安全机制3. I/O安全机制操作系统上主要通过综合使用下述机制,为用户提供可信的软件计算环境。1. 身份识别2. 访问控制3. 完整性控制与检查4. 病毒防护5. 安全审计,2.1.3网络通信平台安全体系,国际标准化组织ISO在1988年发布的ISO 7498-2作为其开
5、放系统互连(OSI)的安全体系结构。它定义了许多术语和概念,并建立了一些重要的结构性准则。 定义了5种安全目标,10多种安全机制。 5种安全目标是: 机密性、完整性 身份识别、访问控制(?)、防抵赖(?),2.1.4应用平台安全体系,目前,通过国际标准化组织的努力,提出若干体系结构方面的标准。比较有影响的是国际标准化组织(ISO)的开放系统互连(OSI)安全体系结构(ISO 7498-2)、高层安全模型(ISO/IEC 10745);互联网工程任务组(IETF)的安全体系结构IPSec、传输层安全TLS等。,2.1 安全机制,信息安全中安全策略要通过安全机制来实现。安全机制可以分为保护机制、检
6、测机制和恢复机制三个类别。下面我们对常用的安全机制的概念进行说明。,2.2.1 加密,加密技术能为数据或通信信息流提供机密性。同时对其他安全机制的实现起主导作用或辅助作用。 (1)传统密码 (2)公钥密码,2.2.2 数字签名,数字签名包括两个过程:签名者对给定的数据单元进行签名,而后接收者验证该签名。,2.2.3 访问控制,访问控制机制使用实体的标识、类别(如所属的实体集合)或能力,从而确定权限、授予访问权。实体如果试图进行非授权访问,将被拒绝。访问控制机制基于下列几种技术:(1)访问信息库 (2)识别信息库 (3)能力信息表 (4)安全等级为进行访问的实体和被访问的实体划分相应的安全等级、
7、范围,制定访问交互中双方安全等级、范围必须满足的条件(称为强安全策略)。这种机制与访问控制表或能力表机制相比,信息维护量小,但设计难度大。此外,在访问控制中有时还需要考虑时间及持续长度、通信信道等因素。,2.2.4 数据完整性,有两类消息的鉴别:数据单元的完整性鉴别和数据流的完整性鉴别。数据单元的鉴别是数据的生成者(或发送者)计算的普通分组校验码、用传统密码算法计算的鉴别码、用公钥密码算法计算的鉴别码,附着在数据单元后面,数据的使用者(或接收者)完成对应的计算(可能与生成者的同样或不同),从而检验数据是否被篡改或假冒。在连接模式的数据传输中(如TCP),保护数据流的完整性除了计算鉴别码外,还需
8、结合时间戳、序列号、密码分组链接等技术,从而抵抗乱序、丢失、重放、插入或修改等人为攻击或偶然破坏。 在无连接模式的数据传输中(如UDP),与时间戳机制的结合可以起到防重放的作用。,2.2.5 身份识别,身份识别在OSI中称为鉴别交换各种系统通常为用户设定一个用户名或标识符的索引值。身份识别就是后续交互中当前用户对其标识符一致性的一个证明过程,通常是用交互式协议实现的。常用的身份识别技术有: (1) 口令(password)验证方提示证明方输入口令,证明方输入后由验证方进行真伪识别。(2) 密码身份识别协议使用密码技术,可以构造出多种身份识别协议。如挑战应答协议、零知识证明、数字签名识别协议等。
9、(3)使用证明者的特征或拥有物的身份识别协议如指纹、面容、虹膜等生物特征,身份证、IC卡等拥有物的识别协议。当然这些特征或拥有物至少应当以很大的概率是独一无二的。,2.2.6 通信量填充与信息隐藏,通信量通常会泄露信息。 为了防止敌手对通信量的分析,我们需要在空闲的信道上发送一些无用的信息,以便蒙蔽敌手(当然填充的信息经常要使用机密性服务),这就称为通信量填充机制。在专用通信线路上这种机制非常重要,但在公用信道中则要依据环境而定。 信息隐藏则是把一则信息隐藏到看似与之无关的消息(例如图象文件)中,以便蒙蔽敌手,通常也要和密码技术结合才能保证不被敌手发现。通信量填充和信息隐藏是一组对偶的机制。前
10、者发送有形式无内容的消息,而后者发送有内容“无”形式的消息。以达到扰乱目的!,2.2.7 路由控制,路由控制是对于信息的流经路径的选择,为一些重要信息指定路径,例如通过特定的安全子网、中继或连接设备,也可能是要绕开某些不安全的子网、中继或连接设备。这种路由可以是预先安排的或者作为恢复的一种方式而由端系统动态指定。路由控制则是一种一般的通信环境保护。恰当的路由控制可以提升环境的安全性,从而可能会因此简化其他安全机制实施的复杂性。,2.2.8 公证,在两方或多方通信中,公证机制可以提供数据的完整性,发/收方的身份识别和时间同步等服务。通信各方共同信赖的公证机构,称为可信第三方,它保存通信方的必要信
11、息,并以一种可验证的方式提供上述服务。通信各方选择可信第三方指定的加密、数字签名和完整性机制,并和可信第三方做少量的交互,实现对通信的公证保护。例如证书权威机构CA,通过为各通信方提供公钥证书和相关的目录、验证服务,从而实现了一部分公证机构的职能。除了上述这些(特殊)安全机制外,OSI还采用了下列几种普遍性安全机制。,2.2.9 事件检测与安全审计,对所有用户的与安全相关的行为进行记录,以便对系统的安全进行审计。与安全相关的事件检测,包括对明显违反安全规则的事件和正常完成事件的检测。其处理过程首先是对事件集合给出一种定义,这种定义是关于事件特征的描述,而这些特征又应当是易于捕获的。一旦检测到安
12、全相关的事件,则进行事件报告(本地的和远程的)和存档。安全审计则在专门的事件检测存档和系统日志中提取信息,进行分析、存档和报告,是事件检测的归纳和提升。安全审计的目的是为了改进信息系统的安全策略、控制相关进程,同时也是执行相关的恢复操作的依据。 对于分布式的事件检测或审计,要建立事件报告信息和存档信息的语义和表示标准,以便信息的交换。目前经常提到的漏洞扫描和入侵检测都属于事件检测和审计的范畴。,2.2.10 安全恢复,对事件检测和审计报告提交到事件处理管理模块后,如果满足一定的条件,则触发恢复机制。恢复机制通常是由一系列的动作组成。其目的是在受到安全攻击或遇到偶然破坏的情况下,把损失降到最小。
13、恢复包括:数据的恢复和运行状态的恢复。对于数据的恢复而言,为了有效地恢复,通常需要事先使用关联的数据备份机制。而对于系统运行状态的恢复是指把系统恢复到安全状态之下,可分为: 立即恢复 是指立即退出系统,例如切断连接、关机等,其效果没有持久性; 当前恢复 是指针对具体实体停止当前的活动,例如取消用户的访问权、终止和一个用户的交易等,其效果覆盖当前一段时间; 长久恢复 执行类如把攻击者写入“黑名单”、更换用户密码等操作,其效果是长久的。,2.2.11 安全标记,安全标记是为数据资源所附加的指明其安全属性的标记。例如安全标记可以用来指明数据的机密性级别。安全标记可以是显式的, 也可能是隐含的: 例如
14、使用一个特定密钥加密数据所隐含的信息, 或由该数据的上下文所隐含的信息,例如数据来源或路由隐含。显式安全标记必须是清晰可辨认的,以便对它们作适当的验证。此外, 它们还必须安全可靠地依附于与之关联的数据。这种安全机制对几乎所有的安全机制实现都是需要的。,2.2.12 保证,保证(assurance),也称为可信功能度,提供对于某个特定的安全机制的有效性证明。保证使人们相信实施安全机制的模块能达到相应的目标。对安全机制的保证,通常通过对机制的规格说明、设计和实现三个过程的可信度来提供。例如规格说明对机制的功能给出准确的形式化描述。设计将准确地把规格说明内容转换为功能模块,并保证无论在何种环境下设计将不允许违反规格描述的条款。最后需要忠实地按照设计实现一种安全机制。保证提供的是安全机制之所以是安全的所依据的假设条件。如果你相信这些条件能满足,则安全机制就是可信的。反之,如果不相信这些条件能得到满足,则系统未必是可信的。,作业,1本章所述的安全机制中,按照防护、检测、恢复来分类。2. 什么是数字签名?它可提供哪些服务?你知道一种具体的数字签名机制的名字吗?,
