第9章安全協(xié)議及技術(shù)

第3篇

信息系統(tǒng)安全體系結(jié)構(gòu)與評(píng)估標(biāo)準(zhǔn)

信息系統(tǒng)的安全是一個(gè)系統(tǒng)工程隨著信息系統(tǒng)的廣泛建立和各種網(wǎng)絡(luò)的相互聯(lián)通，也隨著安全對(duì)抗技術(shù)的不斷發(fā)展，人們開始發(fā)現(xiàn)，單純地從安全功能及技術(shù)組合的層次上孤立地、個(gè)別地解決系統(tǒng)的安全問題，常常會(huì)事倍功半，顧此失彼，處理系統(tǒng)性的問題，必須從系統(tǒng)的層面上解決，即必須從體系結(jié)構(gòu)的層面上全面地考慮問題。于是提出了安全管理問題。

對(duì)安全的要求不應(yīng)當(dāng)是是絕對(duì)的，而應(yīng)當(dāng)是是有效的。有效性的評(píng)估依據(jù)是標(biāo)準(zhǔn)。因此，信息系統(tǒng)安全體系和安全評(píng)估標(biāo)準(zhǔn)就成為信息系統(tǒng)安全管理的核心和最基本的內(nèi)容。

第9章

信息系統(tǒng)安全體系結(jié)構(gòu)

9.1典型信息系統(tǒng)的安全需求分析

9.2信息系統(tǒng)安全策略

9.3訪問控制

9.4開放系統(tǒng)互聯(lián)安全體系結(jié)構(gòu)

9.5PPDR安全管理模型

習(xí)

題

信息系統(tǒng)的安全體系結(jié)構(gòu)研究，站在系統(tǒng)全局的角度，將普遍性安全體系原理與信息系統(tǒng)自身的實(shí)際相結(jié)合，形成滿足信息系統(tǒng)安全需求的安全體系結(jié)構(gòu)。它涉及系統(tǒng)的安全需求、安全策略、安全服務(wù)、安全機(jī)制和安全模型等多個(gè)方面。9.1典型信息系統(tǒng)的安全需求分析

9.1.1金融信息系統(tǒng)安全需求分析

9.1.2電子商務(wù)系統(tǒng)安全需求分析

9.1.3電子政務(wù)系統(tǒng)安全需求分析

信息系統(tǒng)的安全需求分析是安全對(duì)策的依據(jù)。每一個(gè)信息系統(tǒng)所采取的任何安全對(duì)策，都來自對(duì)系統(tǒng)安全需求的分析。安全需求分析一般包括：安全風(fēng)險(xiǎn)分析和安全需求內(nèi)容分析兩方面的內(nèi)容。安全需求是以安全風(fēng)險(xiǎn)為前提的。不用系統(tǒng)具有不同的安全風(fēng)險(xiǎn)和安全需求。下面引用方勇和劉嘉勇在《信息系統(tǒng)安全導(dǎo)輪》中給出的三個(gè)典型系統(tǒng)的安全需求分析實(shí)例，供分析其他系統(tǒng)安全需求時(shí)參考。9.1.1金融信息系統(tǒng)安全需求分析

1.安全風(fēng)險(xiǎn)分析

金融信息系統(tǒng)的普遍性安全風(fēng)險(xiǎn)包括：（1）非法用戶通過網(wǎng)絡(luò)進(jìn)入系統(tǒng)；

（2）通過竊取或者修改數(shù)據(jù)對(duì)金融機(jī)構(gòu)的電子詐騙；

（3）與系統(tǒng)有關(guān)人員勾結(jié)，通過非法修改程序與操作侵害系統(tǒng)，以謀私利；

2.安全需求基本原則金融信息系統(tǒng)的安全需求原則是：（1）授權(quán)原則所有接觸信息系統(tǒng)的人員都必須獲得授權(quán)。·實(shí)行最小化授權(quán)；·阻止越權(quán)操作行為；·每種資源實(shí)行使用權(quán)限管理；·阻止越權(quán)使用資源行為；·確定每一授權(quán)用戶的職責(zé)范圍。

（2）確認(rèn)原則

·

采集數(shù)據(jù)的合法性；·輸入數(shù)據(jù)的有效性；·業(yè)務(wù)與賬務(wù)處理的正確性；·

傳送存儲(chǔ)數(shù)據(jù)的安全性。（3）跟蹤原則·設(shè)置完善的跟蹤日志，進(jìn)行有效跟蹤；·監(jiān)視和發(fā)現(xiàn)系統(tǒng)故障差錯(cuò)以及惡意入侵行為；·防止非法使用信息跟蹤工具。（4）效能投資相容原則確定與金融信息系統(tǒng)價(jià)值相適應(yīng)的安全需求，以最小的投資獲得最大的安全。

3.安全需求內(nèi)容

（1）傳送數(shù)據(jù)應(yīng)加密保護(hù)；（2）加密保護(hù)應(yīng)有等級(jí)之分；（3）對(duì)聯(lián)機(jī)柜臺(tái)系統(tǒng)、聯(lián)機(jī)清算系統(tǒng)和電子資金轉(zhuǎn)賬系統(tǒng)的密碼應(yīng)互相分離；（4）對(duì)個(gè)人識(shí)別號(hào)（PIN）應(yīng)加密保護(hù)；（5）對(duì)銀行卡（CARD）應(yīng)加密保護(hù)；（6）對(duì)PIN，CARD要有身份鑒別；（7）丟失或盜來的銀行憑證（如支票、存折、信用卡）有防詐騙技術(shù)措施；

（8）對(duì)偽造的銀行憑證有防詐騙措施；（9）對(duì)數(shù)據(jù)、應(yīng)用進(jìn)程應(yīng)有標(biāo)記，禁止符合安全策略的訪問和操作；（10）對(duì)入網(wǎng)者有身份驗(yàn)證，防止非法入網(wǎng)；（11）對(duì)傳送數(shù)據(jù)必須有強(qiáng)度合適的完整性和源鑒別保護(hù)措施；（12）有強(qiáng)度合適的訪問控制，訪問控制策略不得不允許授權(quán)人以外的更動(dòng)，變更訪問控制策略必須持二人以上持卡串行操作；（13）有強(qiáng)度合適的密鑰分配與密鑰管理措施；（14）金融信息系統(tǒng)內(nèi)聯(lián)網(wǎng)必須與公眾的Internet隔離，也要與其他內(nèi)聯(lián)網(wǎng)隔離。

9.1.2電子商務(wù)系統(tǒng)安全需求分析

電子商務(wù)系統(tǒng)指參與商業(yè)活動(dòng)的所有個(gè)人、公司、集團(tuán)、商店集團(tuán)等組織的網(wǎng)絡(luò)交易和結(jié)算系統(tǒng)。其中的交易和結(jié)算行為與金融信息系統(tǒng)有關(guān)。

1.普遍性安全風(fēng)險(xiǎn)分析

（1）非法用戶通過網(wǎng)絡(luò)進(jìn)入系統(tǒng)；

（2）竊取或修改數(shù)據(jù)進(jìn)行電子犯罪；

（3）與系統(tǒng)人員勾結(jié)、聯(lián)合進(jìn)行詐騙；

（4）假冒他人行騙；

（5）竊用信用卡或購物卡；

（6）篡改商務(wù)信息，制造混亂；

（7）抵賴已發(fā)生的交易或交易的內(nèi)容。

2.安全需求的內(nèi)容

（1）完整性保護(hù)：使通過Internet了解本部門信息的客戶明白這些信息是完整的，沒有受到修改。（2）源鑒別服務(wù)：對(duì)來自Internet上的信息源進(jìn)行鑒別，確認(rèn)本部門提供的信息是真實(shí)可靠的，不是假冒和偽造的。（3）數(shù)字簽名：當(dāng)本部門與客戶發(fā)生網(wǎng)上交易，在合同的簽定、貨物的交割、客戶付款時(shí)需雙方進(jìn)行數(shù)字簽名，以保證以上過程的有效性、完整性和真實(shí)性。（4）抗抵賴服務(wù)：當(dāng)交易發(fā)生時(shí)，在訂立合同、交貨、收貨、付款和收款全過程中，交易雙方無法否認(rèn)已發(fā)生過的行為和行為內(nèi)容。（5）身份鑒別：對(duì)訪問者身份進(jìn)行鑒別以確認(rèn)其成員資格；對(duì)信息存取實(shí)行等級(jí)權(quán)限管理。（6）訪問控制：建立基于身份或規(guī)則的訪問控制機(jī)制，防止非法用戶進(jìn)入系統(tǒng)。（7）加密：對(duì)機(jī)密或敏感的商務(wù)信息加密存儲(chǔ)和加密傳輸，并有適度的強(qiáng)度等級(jí)和相適應(yīng)的密鑰管理體制。9.1.3電子政務(wù)系統(tǒng)安全需求分析

電子政務(wù)是政府在其管理和服務(wù)職能中運(yùn)用現(xiàn)代信息和通信技術(shù)，實(shí)現(xiàn)政府組織結(jié)構(gòu)和工作流程的重組優(yōu)化；超越時(shí)間、空間和部門分隔的制約，全方位地向社會(huì)提供優(yōu)質(zhì)、規(guī)范、透明的服務(wù)，是政府管理理念和管理手段的變革。它主要包含兩大部分：

·

內(nèi)部政務(wù)辦公系統(tǒng)；

·

對(duì)外服務(wù)部分。

1.電子政務(wù)的普遍性安全風(fēng)險(xiǎn)分析

（1）非法用戶通過公共網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)內(nèi)各級(jí)局域網(wǎng)系統(tǒng)，獲取資源或支配資源；（2）篡改向社會(huì)公布的政務(wù)信息以制造混亂；（3）插入和修改傳輸中的數(shù)據(jù)；（4）竊聽和截獲傳輸數(shù)據(jù)；（5）假冒管理者和信息主體發(fā)布虛假信息。

2.與Internet連接的安全需求

（1）完整性保護(hù)：必須保證內(nèi)部信息和向社會(huì)公開發(fā)布的國家、法令、布告、通知以及其他需要外界廣泛了解的信息的完整性。任何形式的信息創(chuàng)建、插入、刪除和篡改都是不被允許的。（2）源鑒別服務(wù)：對(duì)信息源進(jìn)行鑒別以確認(rèn)消息來源是真實(shí)可信的。（3）用戶鑒別：政府部門的公開信息是內(nèi)外有別的，因此要按信息級(jí)別和類別對(duì)訪問用戶的身份合法性進(jìn)行鑒別。（4）訪問控制：訪問控制包括對(duì)進(jìn)入查詢系統(tǒng)的控制以及訪問的權(quán)限管理。

3.與內(nèi)部網(wǎng)連接的安全需求（1）身份鑒別：鑒別操作實(shí)體的部門、級(jí)別及權(quán)限屬性。（2）訪問控制·阻止系統(tǒng)外（非法）用戶訪問和進(jìn)入系統(tǒng)；·阻止系統(tǒng)內(nèi)（合法）用戶進(jìn)行未授權(quán)的訪問和操作；·阻止越權(quán)操作；·對(duì)越權(quán)者進(jìn)行審計(jì)跟蹤。

（3）加密：按照規(guī)定對(duì)涉密信息進(jìn)行加密存儲(chǔ)和傳輸。

（4）建立合適的密鑰管理體系。

9.2信息系統(tǒng)安全策略

9.2.1基于網(wǎng)絡(luò)的安全策略

9.2.2基于主機(jī)的安全策略

9.2.3基于設(shè)施的安全策略

9.2.4基于數(shù)據(jù)管理的安全策略

9.2.5信息系統(tǒng)開發(fā)、運(yùn)行和維護(hù)中的安全策略

9.2.6基于安全事件的安全策略

9.2.7與開放性網(wǎng)絡(luò)連接的信息系統(tǒng)應(yīng)追加的安全措施

信息系統(tǒng)是復(fù)雜的，信息系統(tǒng)的安全也是復(fù)雜的。可以說，有多么復(fù)雜的信息系統(tǒng)，就有多么復(fù)雜的信息系統(tǒng)安全。為此，在制定安全措施時(shí)必須考慮一套科學(xué)的、系統(tǒng)的安全策略。信息安全策略制定應(yīng)以信息系統(tǒng)為對(duì)象，根據(jù)風(fēng)險(xiǎn)分析確立安全方針，并依照這個(gè)方針來制定相應(yīng)的策略。下面是中國信息安全產(chǎn)品評(píng)測認(rèn)證中心提出的系統(tǒng)一般采取的安全策略，供安全管理人員制定系統(tǒng)安全策略時(shí)參考。具體制定系統(tǒng)的安全策略時(shí)，可以根據(jù)風(fēng)險(xiǎn)分析，從中選擇必要的內(nèi)容，同時(shí)根據(jù)需求追加一部分內(nèi)容。9.2.1基于網(wǎng)絡(luò)的安全策略

管理者為防止對(duì)網(wǎng)絡(luò)的非法訪問或非授權(quán)用戶使用的情況發(fā)生，應(yīng)采取以下策略。1.監(jiān)視日志（1）讀取日志，日志的內(nèi)容至少可確定訪問者的情況；（2）確保日志本身的安全；（3）對(duì)日志進(jìn)行定期檢查；（4）應(yīng)將日志保存到下次檢查時(shí)。2.對(duì)不正當(dāng)訪問的檢測功能當(dāng)出現(xiàn)不正當(dāng)訪問時(shí)應(yīng)設(shè)置能夠?qū)⑵洳槌霾⑼ㄖL(fēng)險(xiǎn)管理者的檢測功能。（1）設(shè)置對(duì)網(wǎng)絡(luò)及主機(jī)等工作狀態(tài)的監(jiān)控功能；（2）若利用終端進(jìn)行訪問，則對(duì)該終端設(shè)置指定功能；（3）設(shè)置發(fā)現(xiàn)異常情況時(shí)能夠使網(wǎng)絡(luò)、主機(jī)等停止工作的功能。3.口令對(duì)依據(jù)口令進(jìn)行認(rèn)證的網(wǎng)絡(luò)應(yīng)采取以下策略：（1）用戶必須設(shè)定口令，并努力做到保密；（2）若用戶設(shè)定口令時(shí)，應(yīng)指導(dǎo)他們盡量避免設(shè)定易于猜測的詞語，并在系統(tǒng)上設(shè)置拒絕這種口令的機(jī)制；（3）指導(dǎo)用戶每隔適當(dāng)時(shí)間就更改口令，并在系統(tǒng)中設(shè)置促使更改的功能；（4）限制口令的輸入次數(shù)，采取措施使他人難以推測口令；

（5）用戶一旦忘記口令，就提供口令指示，確認(rèn)后，口令恢復(fù)；（6）對(duì)口令文本采取加密方法，努力做到保密；（7）在網(wǎng)絡(luò)訪問登錄時(shí)，進(jìn)行身份識(shí)別和認(rèn)證；（8）對(duì)于認(rèn)證方法，應(yīng)按照信息系統(tǒng)的安全需求進(jìn)行選擇；（9）設(shè)定可以確認(rèn)前次登錄日期與時(shí)間的功能。4.用戶身份識(shí)別（用戶ID）管理（1）對(duì)于因退職、調(diào)動(dòng)、長期出差或留學(xué)而不再需要或長期不使用的用戶ID予以注銷；（2）對(duì)長期未進(jìn)行登記的用戶以書面形式予以通知。5.加密（1）進(jìn)行通信時(shí)根據(jù)需要對(duì)數(shù)據(jù)實(shí)行加密；（2）要切實(shí)做好密鑰的保管工作，特別是對(duì)用戶密鑰進(jìn)行集中保管時(shí)要采取妥善的保管措施。6.數(shù)據(jù)交換（1）在進(jìn)行數(shù)據(jù)交換之前，對(duì)欲進(jìn)行通信的對(duì)象進(jìn)行必要的認(rèn)證；（2）以數(shù)字簽名等形式確認(rèn)數(shù)據(jù)的完整性；（3）設(shè)定能夠證明數(shù)據(jù)發(fā)出和接收以及可以防止欺騙的功能；（4）在前3步利用加密操作的情況下，對(duì)用戶的密鑰進(jìn)行集中管理時(shí)，要尋求妥善的管理方法。7.災(zāi)害策略為防止因?yàn)?zāi)害、事故造成線路中斷，有必要做成熱備份線路。9.2.2基于主機(jī)的安全策略管理者為防止發(fā)生對(duì)主機(jī)非法訪問或未授權(quán)用戶使用等情況，應(yīng)采取以下策略。1.監(jiān)視日志（1）讀取日志，日志的內(nèi)容至少可確定訪問者的情況；（2）確保日志本身的安全；（3）對(duì)日志進(jìn)行定期檢查；（4）應(yīng)將日志保存到下次檢查時(shí)；（5）具備檢測不正當(dāng)訪問的功能；（6）設(shè)置出現(xiàn)不正當(dāng)訪問時(shí)，能夠?qū)⑵洳槌霾⑼ㄖL(fēng)險(xiǎn)管理者的功能。2.口令對(duì)依據(jù)口令進(jìn)行認(rèn)證的主機(jī)等應(yīng)采取以下策略：（1）用戶必須設(shè)定口令，并努力做到保密；（2）若用戶設(shè)定口令時(shí)，應(yīng)指導(dǎo)他們盡量避免設(shè)定易于猜測的詞語，并在系統(tǒng)上設(shè)置拒絕這種口令的機(jī)制；（3）指導(dǎo)用戶每隔適當(dāng)時(shí)間就更改口令，并在系統(tǒng)中設(shè)置促使更改的功能；（4）限制口令的輸入次數(shù)，采取措施使他人難以推測口令；（5）用戶一旦忘記口令，就提供口令指示，確認(rèn)后，口令恢復(fù)；（6）對(duì)口令文本采取加密方法，努力做到保密。3.對(duì)主機(jī)的訪問（1）在記錄日志時(shí)，進(jìn)行識(shí)別和認(rèn)證；（2）對(duì)于認(rèn)證方法，按照信息系統(tǒng)所需的安全要求進(jìn)行選擇；（3）設(shè)置可以確認(rèn)前次日志記錄日期的功能；（4）根據(jù)安全方針，除了對(duì)主機(jī)的訪問加以控制外，對(duì)數(shù)據(jù)庫的數(shù)據(jù)、移動(dòng)存儲(chǔ)設(shè)備也應(yīng)分別進(jìn)行控制；（5）為確保訪問控制等功能的安全，有必要選擇具有相應(yīng)功能的操作系統(tǒng)。4.安全漏洞（1）采用專用軟件，對(duì)是否存在安全漏洞進(jìn)行檢測；（2）發(fā)現(xiàn)安全漏洞時(shí)，要采取措施將其清除。5.加密（1）在保管數(shù)據(jù)時(shí)，要根據(jù)需要對(duì)數(shù)據(jù)等實(shí)行加密；（2）要切實(shí)做好密鑰的保管工作，特別是對(duì)用戶密鑰進(jìn)行集中保管時(shí)要采取妥善的保管措施。6.對(duì)主機(jī)的管理（1）應(yīng)采取措施使各裝置不易拆卸、安裝或搬運(yùn)；（2）要采取措施，避免顯示屏上的信息讓用戶以外的人直接得到或易于發(fā)現(xiàn)。7.預(yù)防災(zāi)害策略（1）根據(jù)需要將裝置做成熱備份的，并設(shè)置替代功能；（2）設(shè)置自動(dòng)恢復(fù)功能。9.2.3基于設(shè)施的安全策略管理者為了防止重要的計(jì)算機(jī)主機(jī)系統(tǒng)設(shè)施不受外部人員的侵入或遭受災(zāi)害，應(yīng)采取以下辦法：1.授予資格（1）建立進(jìn)入設(shè)施的資格（以下稱資格）；（2）資格授予最小范圍的必需者，并限定資格的有效時(shí)間；（3）資格僅授予個(gè)人；（4）授予資格時(shí)，要注明可能進(jìn)入的設(shè)施范圍及進(jìn)入設(shè)施的目的。2.建立身份標(biāo)識(shí)

（1）對(duì)擁有資格的人員發(fā)給記有以下事項(xiàng)的身份標(biāo)識(shí)和IC卡等（以下稱身份證）；·資格的有效期；·可進(jìn)入的設(shè)施范圍及進(jìn)入的目的；·照片等個(gè)人識(shí)別信息。（2）制作標(biāo)識(shí)的材料應(yīng)采用不易偽造的材料，另外要嚴(yán)格管理標(biāo)識(shí)原件（指存檔的），分之丟失。（3）有資格的人員標(biāo)識(shí)遺失或損壞時(shí)，應(yīng)立即報(bào)告安全總負(fù)責(zé)人。（4）當(dāng)按照（3）項(xiàng)報(bào)告后，即宣布該標(biāo)識(shí)無效。3.設(shè)施出入管理

（1）為獲準(zhǔn)進(jìn)入設(shè)施，要提交身份標(biāo)識(shí)確認(rèn)資格；（2）限定允許出入設(shè)施的期限；（3）將允許進(jìn)入人員的姓名、準(zhǔn)許有效期限、可進(jìn)入的設(shè)施范圍、進(jìn)入目的以及進(jìn)入設(shè)施的許可（以下稱許可）等記錄下來并妥善保存；（4）對(duì)允許進(jìn)入的人員發(fā)給徽章等進(jìn)入設(shè)施的標(biāo)志，并將該標(biāo)志佩帶在明顯的位置；

（5）進(jìn)入設(shè)施的標(biāo)志應(yīng)按照身份標(biāo)識(shí)中的（2）~（4）項(xiàng)要求執(zhí)行；（6）在建筑物或計(jì)算機(jī)房的出入口處查驗(yàn)是否具有資格和許可；（7）當(dāng)從設(shè)施中般出/入物資時(shí)，都應(yīng)對(duì)該物資和搬運(yùn)工作進(jìn)行查驗(yàn)；（8）物資搬運(yùn)出入時(shí)，應(yīng)記錄負(fù)責(zé)人的姓名、物資名稱、數(shù)量、搬運(yùn)出/入時(shí)間等，并保存。（9）保安人員負(fù)責(zé)出入管理。4.防范措施（1）限定設(shè)施出/入口的數(shù)量，設(shè)置進(jìn)行身份確認(rèn)的措施；（2）在設(shè)施內(nèi)裝設(shè)報(bào)警和防范攝像裝置，以便在發(fā)現(xiàn)侵入時(shí)采取必要的防范措施；（3）在建筑物、機(jī)房及外設(shè)間、配電室、空調(diào)室、主配電室（MDF）、中間配電室（IDF）、數(shù)據(jù)保存室等的入口處設(shè)置報(bào)警裝置，以便在發(fā)現(xiàn)侵入時(shí)采取必要的防范措施；（4）讓保安人員在設(shè)施內(nèi)外進(jìn)行巡視。5.滅害策略（1）設(shè)施的地點(diǎn)應(yīng)盡可能選在自然災(zāi)害較少的地方；（2）建筑物應(yīng)選擇抗震、防火結(jié)構(gòu)；（3）各種設(shè)備都應(yīng)采取措施防止因地震所導(dǎo)致的移動(dòng)、翻倒或震動(dòng)；（4）內(nèi)裝修應(yīng)使用耐燃材料，采取防火措施；（5）對(duì)電源設(shè)備要采取防止停電措施；（6）對(duì)空氣調(diào)節(jié)裝置要采取防火和防水措施，使用水冷/熱式空調(diào)設(shè)備時(shí)要采取防水的措施。9.2.4基于數(shù)據(jù)管理的安全策略1.數(shù)據(jù)管理（1）當(dāng)重要數(shù)據(jù)的日志不再使用時(shí)，應(yīng)先將數(shù)據(jù)清除，在將存儲(chǔ)介質(zhì)破壞，隨后立即將該記錄文件銷毀；（2）對(duì)記錄有重要數(shù)據(jù)的記錄文件應(yīng)采取措施，做好保管場所攜帶出入的管理，將數(shù)據(jù)用密碼保護(hù)；（3）對(duì)移動(dòng)存儲(chǔ)介質(zhì)，根據(jù)需要應(yīng)采取數(shù)據(jù)加密或物理方法禁止寫入等措施。2.數(shù)據(jù)備份應(yīng)定期或盡可能頻繁地進(jìn)行備份。備份介質(zhì)應(yīng)制定妥善的保存辦法、保存期限，與原介質(zhì)在不同地方保管。

3.審計(jì)（1）應(yīng)從信息系統(tǒng)的安全性、可信度、保全性和預(yù)防犯罪的角度進(jìn)行審計(jì)；（2）制定審計(jì)的方法并制成手冊(cè)；（3）有計(jì)劃、定期地進(jìn)行審計(jì)；但若有重大事故發(fā)生或認(rèn)為有危險(xiǎn)發(fā)生時(shí)，應(yīng)隨時(shí)進(jìn)行審計(jì)；（4）提交審計(jì)報(bào)告；（5）安全總負(fù)責(zé)人應(yīng)根據(jù)審計(jì)結(jié)果迅速采取必要的措施。9.2.5信息系統(tǒng)開發(fā)、運(yùn)行和維護(hù)中的安全策略1.開發(fā)中的安全策略（1）采取措施防止將基礎(chǔ)數(shù)據(jù)泄露給從事開發(fā)外的其他人員；（2）制定專門的系統(tǒng)設(shè)計(jì)文檔；（3）制定專門的運(yùn)行和維護(hù)手冊(cè)；（4）運(yùn)行手冊(cè)中應(yīng)制定出危機(jī)范圍和風(fēng)險(xiǎn)策略。

2.運(yùn)行中的安全策略（1）根據(jù)手冊(cè)操作；（2）記錄運(yùn)行情況日志；3.維護(hù)中的安全策略（1）根據(jù)手冊(cè)操作；（2）記錄維護(hù)情況。9.2.6基于安全事件的安全策略管理者為在發(fā)生犯罪事件時(shí)能確保與有關(guān)部門取得聯(lián)系，為危機(jī)進(jìn)行切實(shí)應(yīng)對(duì)，從而確保安全，應(yīng)采取以下策略。1.發(fā)現(xiàn)攻擊時(shí)應(yīng)采取的管理措施（1）當(dāng)發(fā)現(xiàn)對(duì)用戶等進(jìn)行攻擊、事故或侵害其他信息系統(tǒng)安全的行為或事件（以下簡稱攻擊）時(shí)，有義務(wù)立即向危機(jī)管理負(fù)責(zé)人報(bào)告；（2）應(yīng)將受到攻擊的對(duì)象、非法訪問的結(jié)果、出入時(shí)的日志以及其后審計(jì)或調(diào)查所需的信息等，作為發(fā)現(xiàn)攻擊行為的狀態(tài)保存下來；

（3）及時(shí)想相關(guān)部門通報(bào)；（4）發(fā)現(xiàn)非法訪問行為且需要得到相關(guān)部門援助時(shí)，提出申請(qǐng)，待相關(guān)部門調(diào)查結(jié)束，在進(jìn)行系統(tǒng)恢復(fù)時(shí)，應(yīng)將操作過程記錄下來。2.組織體制為明確責(zé)任和權(quán)限應(yīng)建立以下體制：（1）日常事務(wù)體制，設(shè)立專職的安全總負(fù)責(zé)人和審計(jì)負(fù)責(zé)人；（2）風(fēng)險(xiǎn)管理體制，設(shè)專職的風(fēng)險(xiǎn)管理責(zé)任人、風(fēng)險(xiǎn)管理設(shè)備執(zhí)行人員和其他責(zé)任人。

3.教育及培訓(xùn)（1）將風(fēng)險(xiǎn)發(fā)生時(shí)的防范措施制成手冊(cè)發(fā)給用戶并進(jìn)行定期訓(xùn)練；（2）讓用戶了解風(fēng)險(xiǎn)對(duì)社會(huì)帶來較大的危害、從而提高安全意識(shí)；（3）對(duì)用戶策略實(shí)施情況進(jìn)行審計(jì)，對(duì)措施不完備的地方加以改進(jìn)。9.2.7與開放性網(wǎng)絡(luò)連接的信息系統(tǒng)應(yīng)追加的安全措施對(duì)于信息系統(tǒng)來說，除了前面所述安全策略之外，從預(yù)防非法訪問、計(jì)算機(jī)病毒侵入的角度來看，與Internet等開放性網(wǎng)絡(luò)連接，還應(yīng)追加下列安全措施。1.一般措施網(wǎng)絡(luò)系統(tǒng)考慮通過開放性網(wǎng)絡(luò)引入的不正當(dāng)訪問和惡意程序侵入，應(yīng)當(dāng)追加如下措施。（1）與開放性網(wǎng)絡(luò)的連接應(yīng)限定在最小范圍的功能、線路和主機(jī)；（2）與開放性網(wǎng)絡(luò)連接時(shí)，應(yīng)采取措施預(yù)防對(duì)信息系統(tǒng)進(jìn)行不正當(dāng)?shù)脑L問；（3）利用防火墻時(shí)，應(yīng)設(shè)定適當(dāng)?shù)臈l件；

（4）使用計(jì)算機(jī)系統(tǒng)時(shí)，應(yīng)采取一定的安全措施，以確保該信息系統(tǒng)的安全；（5）關(guān)于網(wǎng)絡(luò)結(jié)構(gòu)等重要信息除非必要時(shí)，不得公開。2.監(jiān)視措施應(yīng)當(dāng)設(shè)置對(duì)線路負(fù)荷狀況的監(jiān)視功能。發(fā)現(xiàn)異常情況時(shí)，應(yīng)根據(jù)需要使之與相連接的開放性網(wǎng)絡(luò)斷開。

3.安全事件應(yīng)對(duì)措施在確保攻擊發(fā)生時(shí)能與相關(guān)部門取得聯(lián)系，對(duì)危機(jī)進(jìn)行準(zhǔn)確應(yīng)對(duì)的同時(shí)，還應(yīng)采取如下措施。（1）與相關(guān)機(jī)構(gòu)合作，把握受侵害的情況，采取措施，防止侵害的擴(kuò)大；（2）對(duì)攻擊進(jìn)行分析，查明原因，與相關(guān)機(jī)構(gòu)合作采取措施，防止攻擊再次發(fā)生；（3）限定用戶，即盡可能將可通過開放性網(wǎng)絡(luò)進(jìn)行訪問的用戶（數(shù)）加以限制；（4）信息收集，即平時(shí)要注意收集通過開放性網(wǎng)絡(luò)進(jìn)行非法訪問的信息。9.3訪問控制

9.3.1基本概念

9.3.2訪問控制結(jié)構(gòu)

9.3.3.訪問控制實(shí)施策略

訪問控制（AccessControl）是對(duì)信息系統(tǒng)資源的訪問范圍以及方式進(jìn)行限制的策略。簡單地說，就是防止合法用戶的非法操作。它是建立在身份認(rèn)證之上的操作權(quán)限控制。身份認(rèn)證解決了訪問者是否合法者，但并非身份合法就什么都可以做，還要根據(jù)不同的訪問者，規(guī)定他們分別可以訪問哪些資源，以及對(duì)這些可以訪問的資源可以用什么方式（讀？寫？執(zhí)行？刪除？等）訪問。它是基于權(quán)限管理的一種是非常重要的安全策略。對(duì)用戶權(quán)限的設(shè)定，稱為授權(quán)（Authorization）。9.3.1基本概念

1.主體與客體用術(shù)語可以將訪問控制可以描述為：主動(dòng)的主體（Subject）使用某種特定的訪問操作去訪問一個(gè)被動(dòng)的客體（Object），所使用的特定的訪問操作受訪問監(jiān)視器控制。這就是圖9.1所示的安全系統(tǒng)邏輯模型。主體

身份認(rèn)證

訪問控制

客體

訪問監(jiān)視器

訪問請(qǐng)求權(quán)限圖9.1安全系統(tǒng)邏輯模型

主體和客體都是訪問控制系統(tǒng)中的實(shí)體。主體是發(fā)出訪問請(qǐng)求的主動(dòng)方，通常是用戶或用戶進(jìn)程。客體是被訪問的對(duì)象，通常是被調(diào)用的程序、進(jìn)程，要存取的數(shù)據(jù)、文件、內(nèi)存、系統(tǒng)、設(shè)備、設(shè)施等資源。信息系統(tǒng)的安全目標(biāo)就是控制和管理主體對(duì)客體的訪問。所謂安全策略，就是對(duì)這些訪問進(jìn)行約束的一組規(guī)則和目標(biāo)，它反映了系統(tǒng)的安全需求，并可以用達(dá)到安全目的而采取的步驟進(jìn)行描述。2.訪問權(quán)限（1）Bell-LaPadula安全模型中的訪問權(quán)限1973年DavidBell和LenLapadula提出了第一個(gè)也是最著名安全策略模型Bell-LaPadula安全模型，簡稱BLP模型。在基本層面上，定義了兩種訪問方式：·觀察（Observe）：查看客體的內(nèi)容?！じ淖儯ˋlter）：改變客體的內(nèi)容。在Bell-LaPadula安全模型中定義了4種訪問權(quán)限：執(zhí)行、讀、添加（有時(shí)也稱盲目的寫）和寫。表9.1給出了這些訪問權(quán)限與訪問方法之間的關(guān)系。

執(zhí)行添加讀寫查看

√√改變

√

√表9.1Bell-LaPadula安全模型中的訪問權(quán)限

注意，這里基于效率的考慮，寫訪問通常包含讀訪問。這樣，在編輯一個(gè)文件市，就無須先打開一次進(jìn)行讀（了解內(nèi)容），再打開一次用于寫了。所以寫訪問包含了查看和改變兩種訪問形式。（2）UnixUnix的訪問控制用3種權(quán)限表示：讀（read）、寫（write）、執(zhí)行（execute）。它們應(yīng)用于文件和目錄時(shí)含義有所不同，如表9.2所示。

用于文件用于目錄讀從一個(gè)文件讀列出目錄內(nèi)容寫寫進(jìn)一個(gè)文件創(chuàng)建或重命名目錄中的一個(gè)文件執(zhí)行執(zhí)行一個(gè)（程序）文件搜索目錄表9.2Unix的訪問控制3種權(quán)限

（3）WindowsNT/2000/XPWindowsNT/2000/XP的權(quán)限分為文件權(quán)限和目錄權(quán)限。每一個(gè)權(quán)限級(jí)別都確定了一個(gè)執(zhí)行特定的任務(wù)組合的能力，這些任務(wù)是：Read（R）、Execute（X）、Write（W）、SetPermission（P）、TakeOwnership（O）。表9.3表明任務(wù)與各種權(quán)限級(jí)別之間的關(guān)聯(lián)。權(quán)限RXWDPO用戶行為目錄權(quán)限NoAccess

用戶不能訪問該目錄ListRX可以查看目錄中的子目錄和文件名，也可以進(jìn)入其子目錄ReadRX具有Linux權(quán)限，用戶可以讀取目錄中的文件和運(yùn)行目錄中的應(yīng)用程序AddXW用戶可以添加文件和子目錄AddandReadRXW具有Add和Read的權(quán)限ChangeRXWD具有Add和Read的權(quán)限，另外還可以更改文件的內(nèi)容，刪除文件和子目錄FullcontrolRXWDPO具有Change的權(quán)限，另外用戶可以更改權(quán)限和獲取目錄的所有權(quán)。文件權(quán)限NoAccess

用戶不能訪問該文件ReadRX用戶可以讀取該文件，如果是應(yīng)用程序可以運(yùn)行ChangeRXWD具有Read的權(quán)限，還可以修改和刪除文件FullcontrolRXWDPO具有Change的權(quán)限，還可以更改權(quán)限和獲取文件的所有權(quán)。表9.3WindowsNT/2000/XP表明任務(wù)與各種權(quán)限級(jí)別之間的關(guān)聯(lián)

9.3.2訪問控制結(jié)構(gòu)

對(duì)于單個(gè)主體和客體進(jìn)行單獨(dú)的定義。但是對(duì)于數(shù)量眾多的主體和客體，就要設(shè)計(jì)一種合適的實(shí)現(xiàn)結(jié)構(gòu)了。下面介紹幾種常用的訪問控制結(jié)構(gòu)。1.訪問控制矩陣訪問控制矩陣也稱訪問許可矩陣，它用行表示客體，列表示主體，在行和列的交叉點(diǎn)上設(shè)定訪問權(quán)限。表9.4為一個(gè)訪問控制矩陣的例子。

File1File2File3File4張三Own,R,W

Own,R,W

李四ROwn,R,WWR王五R,WR

Own,R,W表9.4一個(gè)訪問控制矩陣的例子

表中，一個(gè)文件的Own權(quán)限的含義是可以授予（Authorize）或者撤銷（Revoke）其他用戶對(duì)該文件的訪問控制權(quán)限。例如，張三對(duì)File1具有Own權(quán)限，所以張三可以授予或撤銷李四和王五對(duì)File1的讀（R）寫（W）權(quán)限。訪問矩陣比較直觀，但是表中會(huì)出現(xiàn)空白。2.訪問能力表能力（Capability）是受一定機(jī)制保護(hù)的客體標(biāo)志，標(biāo)記了某一主體對(duì)客體的訪問權(quán)限：某一主體對(duì)某一客體有無訪問能力，表示了該主體能不能訪問那個(gè)客體；而具有什么樣的能力，表示能對(duì)那個(gè)客體進(jìn)行一些什么樣的訪問。圖9.2是表9.4的能力表表示。張三File1OwnRWFile3OwnRW李四File1RFile2OwnRWFile3WFile4R王五File1RWFile3RFile4OwnRW圖9.2訪問能力表的例子

訪問能力表著眼于某一主體的訪問權(quán)限，從主體出發(fā)描述控制信息，很容易獲得一個(gè)主體所被授權(quán)可以訪問的客體及其權(quán)限。但要從客體出發(fā)獲得哪些主體可以訪問它，就困難了。3.訪問控制表訪問控制表（AccessControlList，ACL）與訪問能力表正好相反，是從客體出發(fā)描述控制信息，可以用來對(duì)某一資源指定任意一個(gè)用戶的訪問權(quán)限。圖9.3是表9.4的訪問控制表表示。ACL的優(yōu)點(diǎn)是可以容易地查出對(duì)某一特定資源擁有訪問權(quán)的所有用戶，有效地實(shí)施授權(quán)管理，是目前采用的最多的一種實(shí)現(xiàn)形式。File1張三OwnRW李四RFile2李四OwnRW王五RFile3張三OwnRW李四W王五RWFile4李四R王五OwnRW圖9.3訪問控制表的例子

4.授權(quán)關(guān)系表授權(quán)關(guān)系表（AuthorizationRelations）描述了主體和客體之間各種授權(quán)關(guān)系的組合。表9.5為表9.4的授權(quán)關(guān)系表表示。授權(quán)關(guān)系表便于使用關(guān)系數(shù)據(jù)庫進(jìn)行存儲(chǔ)。只要按照客體進(jìn)行排序，就得到了與訪問能力表相當(dāng)?shù)亩S表；按照主體進(jìn)行排序，就得到了與訪問控制表相當(dāng)?shù)亩S表。主體訪問權(quán)限客體張三OwnFile1張三RFile1張三WFile1張三OwnFile3張三RFile3張三WFile3李四RFile1李四OwnFile2李四RFile2李四WFile2李四WFile3李四RFile4王五RFile1王五WFile1王五RFile2王五OwnFile4王五RFile4王五WFile4表9.5授權(quán)關(guān)系表的一個(gè)例子

9.3.3.訪問控制實(shí)施策略

計(jì)算機(jī)的活動(dòng)主要是在主體和客體之間進(jìn)行的。計(jì)算機(jī)安全的核心問題就是保證主體對(duì)客體訪問的合法性，既通過對(duì)數(shù)據(jù)及程序的讀出、寫入、修改、刪除、運(yùn)行等的管理，確保主體對(duì)客體的訪問是經(jīng)過授權(quán)的，同時(shí)要拒絕非授權(quán)的訪問，以保證信息的機(jī)密性、完整性和可用性。例如，當(dāng)用戶或應(yīng)用程序試圖訪問一個(gè)文件時(shí)，首先需要通過系統(tǒng)調(diào)用打開文件。在打開文件之前，訪問控制機(jī)制被調(diào)用。訪問控制機(jī)制利用訪問控制表、訪問權(quán)力表或訪問控制矩陣等，檢查用戶的訪問權(quán)限，如果在用戶的訪問權(quán)限內(nèi)，則可以繼續(xù)打開文件；如果用戶超出授權(quán)權(quán)限，則訪問被拒絕，產(chǎn)生錯(cuò)誤信息并退出。然而，訪問控制所提供的安全性還與訪問控制實(shí)施的策略有關(guān)。下面介紹在計(jì)算機(jī)系統(tǒng)中常用的3中訪問控制實(shí)施策略。1.自主訪問控制自主訪問控制，又稱任選訪問控制（DiscretionaryAccessControl，DAC）。所以稱“自主”，意為：一個(gè)擁有一定訪問權(quán)限的主體，被看作是一定資源的所有者（也往往是創(chuàng)建者），在其擁有的資源范圍內(nèi)，所有者可以自主地直接或間接地將權(quán)限傳給（分發(fā)給）主體，即可以自主地誰可以訪問這些資源。例如，用戶A對(duì)客體O具有訪問權(quán)限，而B沒有。當(dāng)A將對(duì)O的訪問權(quán)限傳遞給B后，B就有了對(duì)O的訪問權(quán)限。這是目前計(jì)算機(jī)系統(tǒng)中應(yīng)用最廣泛的一種策略，Unix和Windows系統(tǒng)都是采用自主型的訪問控制策略。DAC的優(yōu)點(diǎn)是應(yīng)用靈活。缺點(diǎn)是，權(quán)限傳遞很容易造成漏洞，所以其安全級(jí)別比較低，不太適合網(wǎng)絡(luò)環(huán)境。2.強(qiáng)制訪問控制強(qiáng)制訪問控制（MandatoryAccessControl，MAC）的基本思想是系統(tǒng)要“強(qiáng)制”主體服從訪問控制政策：系統(tǒng)（系統(tǒng)管理員）給主體和客體分配了不同的安全屬性，用戶不能改變自身或任何客體的安全屬性，即不允許單個(gè)用戶確定訪問權(quán)限，只有系統(tǒng)管理員才可以確定用戶或用戶組的訪問權(quán)限。MAC主要用于多層次安全級(jí)別的系統(tǒng)（如軍事系統(tǒng)）中。它預(yù)先將主體和客體進(jìn)行分級(jí)，定義出一些可信任級(jí)別及信息的敏感程度——安全級(jí)別（如絕密級(jí)、機(jī)密級(jí)、秘密級(jí)、無密級(jí)等），然后分別給主體和客體以級(jí)別標(biāo)記。用戶必須遵守安全政策劃分的安全級(jí)別的設(shè)定以及有關(guān)訪問權(quán)限的設(shè)定。當(dāng)用戶提出訪問請(qǐng)求時(shí)，系統(tǒng)對(duì)主、客體的安全屬性進(jìn)行比較，來決定該主體是否可以對(duì)所請(qǐng)求的客體進(jìn)行訪問。在典型的應(yīng)用中，MAC使用兩種訪問控制關(guān)系：上讀/下寫——用來保證數(shù)據(jù)完整性和下讀/上寫——用來保證數(shù)據(jù)機(jī)密性。下讀/上寫相當(dāng)于在一個(gè)層次組織中，上級(jí)領(lǐng)導(dǎo)可以看下級(jí)的資料；而下級(jí)不能看上級(jí)的資料，但可以向上級(jí)寫資料。MAC比DAC具有更強(qiáng)的訪問控制能力。但是實(shí)現(xiàn)的工作量大，管理不便，不夠靈活。3.基于角色的訪問控制基于角色的訪問控制（Role-BasedAccessControl，RBAC）是20世紀(jì)90年代提出的訪問控制策略。它克服了前面兩種傳統(tǒng)訪問控制策略的不足，成為一種有效的訪問控制策略。為了說明GBAC的原理，首先觀察圖9.4，并從以下幾個(gè)方面來理解角色。用戶1角色1權(quán)限a客體1用戶2用戶3角色2客體2客體2權(quán)限b權(quán)限c權(quán)限d圖9.4角色的概念

（1）在傳統(tǒng)的訪問控制中，主體與客體直接溝通。而在基于角色的訪問控制中，角色是一個(gè)中間層，主體（用戶）與客體之間沒有直接的聯(lián)系，只能靠角色溝通；用戶標(biāo)識(shí)主體本身僅對(duì)于身份認(rèn)證具有意義，真正決定訪問權(quán)限的是用戶的角色標(biāo)識(shí)。（2）角色相當(dāng)于工作部門中的崗位、職位或分工。一個(gè)角色可以對(duì)應(yīng)多個(gè)用戶（相當(dāng)于一個(gè)崗位可以有多個(gè)職員），也可以有多個(gè)權(quán)限（對(duì)多個(gè)資源的訪問權(quán)）。角色一方面是用戶的集合，一方面又是權(quán)限的集合，它作為中間媒介形成用戶集合與某種授權(quán)的關(guān)聯(lián)。這種關(guān)聯(lián)相對(duì)于個(gè)體具有較強(qiáng)的穩(wěn)定性。這樣的權(quán)限管理與傳統(tǒng)的權(quán)限管理相比，具有較強(qiáng)的可操作性和可管理性。（3）角色由系統(tǒng)管理員定義，角色成員的增減也只能由系統(tǒng)管理員執(zhí)行，只有系統(tǒng)管理員才有權(quán)定義和分配角色，并且授權(quán)規(guī)則是強(qiáng)加給用戶的，用戶只能被動(dòng)地接受，不能自主地決定。（4）在RBAC系統(tǒng)中，要求區(qū)分權(quán)限（Authority）和職責(zé)（Responsibility）：·一位系統(tǒng)管理員或安全主管可以修改、分配訪問權(quán)限，但不可具有訪問任何資源的權(quán)限；·一個(gè)用戶可以具有某種訪問權(quán)限，但不能涉及訪問權(quán)限的分配工作。（5）角色的控制比較靈活，根據(jù)需要可以將某些角色配置得接近DAC，而讓某些角色接近MAC。4.多重訪問控制策略前面介紹了三種訪問控制策略。這些策略并非絕對(duì)相互排斥的。將不同的策略綜合應(yīng)用，形成多重訪問控制策略，可以獲得更好、更安全的系統(tǒng)保護(hù)。在圖9.5所示的多重訪問控制策略中，只有各種策略的交集策略允許，多重策略的訪問才被許可。當(dāng)出現(xiàn)一些沖突時(shí)，需要在管理層協(xié)商協(xié)調(diào)。訪問控制DACMACRBAC圖9.5多重訪問控制策略

9.4開放系統(tǒng)互聯(lián)安全體系結(jié)構(gòu)

9.4.1開放系統(tǒng)互聯(lián)安全體系結(jié)構(gòu)概述

9.4.2OSI安全體系結(jié)構(gòu)的安全服務(wù)

9.4.3OSI七層中的安全服務(wù)配置

9.4.4OSI安全體系結(jié)構(gòu)的安全機(jī)制

9.4.5OSI安全體系的安全管理

一個(gè)信息系統(tǒng)的安全涉及有關(guān)安全的眾多因素和要求，如保密性、完整性、可擴(kuò)展性、方便性、以及成本等。這些要求往往是有沖突的。特別重要的是，存在安全理論與系統(tǒng)實(shí)際之間的特殊性沖突。因此一個(gè)系統(tǒng)安全的最后實(shí)現(xiàn)，一定是這些眾多因素的協(xié)調(diào)和折中考慮，也是理論如何應(yīng)用于實(shí)際的問題。研究信息系統(tǒng)安全體系結(jié)構(gòu)的目的，就是將普遍性的安全體系原理與信息系統(tǒng)自身的實(shí)際相結(jié)合，從所需要保護(hù)的信息系統(tǒng)資源出發(fā)，分析由系統(tǒng)可能的威脅和系統(tǒng)自身可能的漏洞形成的安全風(fēng)險(xiǎn)，建立系統(tǒng)安全需求，從管理和技術(shù)上保證安全策略得以完整準(zhǔn)確地實(shí)現(xiàn)，安全需求得以全面準(zhǔn)確地滿足。這一節(jié)介紹開放系統(tǒng)互聯(lián)安全體系結(jié)構(gòu)，即著名的ISO/OSI安全體系結(jié)構(gòu)。它是國際標(biāo)準(zhǔn)化組織ISO于1989年在對(duì)OSI開放系統(tǒng)互聯(lián)環(huán)境的安全性進(jìn)行深入研究的基礎(chǔ)上提出的ISO-7498-2和《Internet安全體系結(jié)構(gòu)》（RFC2401）。國家標(biāo)準(zhǔn)《信息處理系統(tǒng)開放系統(tǒng)互聯(lián)基本參考模型——第二部分：安全體系結(jié)構(gòu)》（GB/T9387.2-1995）是一個(gè)與之等同的標(biāo)準(zhǔn)，它給出了基于OSI參考模型七層協(xié)議之上的信息安全體系結(jié)構(gòu)。9.4.1開放系統(tǒng)互聯(lián)安全體系結(jié)構(gòu)概述

OSI安全體系結(jié)構(gòu)是一個(gè)普遍適用的安全體系結(jié)構(gòu)，其核心內(nèi)容是保證異構(gòu)計(jì)算機(jī)系統(tǒng)進(jìn)程與進(jìn)程之間遠(yuǎn)距離交換信息的安全，其基本思想是，為了全面而準(zhǔn)確地滿足一個(gè)開放系統(tǒng)的安全需求，必須在七個(gè)層次中提供必需的安全服務(wù)、安全機(jī)制和技術(shù)管理，以及它們?cè)谙到y(tǒng)上的合理部署和關(guān)系配置。這個(gè)體系結(jié)構(gòu)可以用圖9.6表示。OSI參考模型安全機(jī)制安全服務(wù)應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層鑒別服務(wù)訪問控制數(shù)據(jù)完整性數(shù)據(jù)機(jī)密性抗抵賴加密數(shù)字簽名訪問控制數(shù)據(jù)完整性數(shù)據(jù)交換業(yè)務(wù)流填充路由控制公證圖9.6OSI安全體系結(jié)構(gòu)

OSI安全體系結(jié)構(gòu)提供的內(nèi)容有：（1）提供安全體系結(jié)構(gòu)所配備的安全服務(wù)（亦稱安全功能）和有關(guān)安全機(jī)制在體系結(jié)構(gòu)下的一般描述；（2）確定體系結(jié)構(gòu)內(nèi)部可以提供相關(guān)安全服務(wù)的位置；（3）保證完全準(zhǔn)確地配置安全服務(wù)，并且一直維持于信息系統(tǒng)安全的生命周期中，安全服務(wù)必須滿足一定強(qiáng)度的要求；（4）一種安全服務(wù)可以通過某種單獨(dú)的安全機(jī)制提供，也可以通過多種安全機(jī)制聯(lián)合提供，一種安全機(jī)制可用于提供一種或多種安全服務(wù)，在七層協(xié)議中除第五層（會(huì)話層）外，每一層均能提供相應(yīng)的安全服務(wù)。實(shí)際上，最適合配置安全服務(wù)的是在物理層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層上。其他層都不宜配置安全服務(wù)。9.4.2OSI安全體系結(jié)構(gòu)的安全服務(wù)

OSI安全體系結(jié)構(gòu)中定義的5大類安全服務(wù)，也稱安全防護(hù)措施。1.鑒別服務(wù)鑒別是最基本的安全服務(wù)，是對(duì)付假冒攻擊的有效方法。鑒別可以分為對(duì)等實(shí)體鑒別和數(shù)據(jù)源鑒別。（1）對(duì)等實(shí)體鑒別對(duì)等實(shí)體鑒別是在開放系統(tǒng)的兩個(gè)同層對(duì)等實(shí)體間建立連接和傳輸數(shù)據(jù)期間，為證實(shí)一個(gè)或多個(gè)連接實(shí)體的身份而提供的一種安全服務(wù)。這種服務(wù)可以是單向的，也可以是雙向的；可以帶有有效期檢驗(yàn)，也可以不帶。從七層參考模型看，當(dāng)由（N）層提供這種服務(wù)時(shí)，將使（N+1）層實(shí)體確信與之打交道的對(duì)等實(shí)體正是它所需要的對(duì)等（N+1）層實(shí)體。（2）數(shù)據(jù)源鑒別數(shù)據(jù)源鑒別服務(wù)是對(duì)數(shù)據(jù)單元的來源提供識(shí)別，但對(duì)數(shù)據(jù)單元的重復(fù)或篡改不提供鑒別保護(hù)。從七層參考模型看，當(dāng)由（N）層提供這種服務(wù)時(shí)，將使（N+1）層實(shí)體確信數(shù)據(jù)來源正是它所需要的對(duì)等（N+1）層實(shí)體。2.訪問控制訪問控制用于防止資源的未授權(quán)使用。在OSI安全體系結(jié)構(gòu)中，訪問控制的安全目標(biāo)是：（1）通過進(jìn)程（可以代表人員或其他進(jìn)程行為）對(duì)數(shù)據(jù)不同進(jìn)程或其他計(jì)算資源的訪問控制。（2）在一個(gè)安全域內(nèi)的訪問或跨越一個(gè)或多個(gè)安全域的訪問控制。（3）按照其上下文進(jìn)行的訪問控制。如根據(jù)試圖訪問的時(shí)間、訪問者地點(diǎn)或訪問路由等因素的訪問控制。（4）在訪問期間對(duì)授權(quán)更改做出反應(yīng)的訪問控制。3.機(jī)密性機(jī)密性就是保護(hù)信息（數(shù)據(jù)）不泄露或不泄露給那些未授權(quán)掌握這一信息的實(shí)體。在信息系統(tǒng)安全中需要區(qū)分兩類機(jī)密性服務(wù)：·數(shù)據(jù)機(jī)密性服務(wù)：使攻擊者想要從某個(gè)數(shù)據(jù)項(xiàng)中推出敏感信息是十分困難的?！I(yè)務(wù)流機(jī)密性服務(wù)：使攻擊者想要通過觀察通信系統(tǒng)的業(yè)務(wù)流來獲得敏感信息是十分困難的。根據(jù)所加密的數(shù)據(jù)項(xiàng)，機(jī)密性服務(wù)可以有如下幾種類型；（1）連接機(jī)密性：為一次（N）連接上的所有（N）用戶數(shù)據(jù)提供機(jī)密性保護(hù)。（2）無連接機(jī)密性：為單個(gè)無連接的（N）SDU中的全部（N）用戶數(shù)據(jù)提供機(jī)密性保護(hù)。（3）選擇字段機(jī)密性：為那些被選擇的字段提供機(jī)密性保護(hù)。這些字段或處于（N）連接的（N）用戶中，或者為單個(gè)無連接的（N）SDU中的字段。（4）通信業(yè)務(wù)流機(jī)密性：使得通過觀察通信業(yè)務(wù)流而不可能推斷出其中的機(jī)密信息。4.完整性完整性服務(wù)用于對(duì)抗數(shù)據(jù)在存儲(chǔ)、傳輸?shù)忍幚磉^程中受到的非授權(quán)修改。完整性服務(wù)有三種重要類型：·連接完整性服務(wù)·無連接完整性服務(wù)·選擇字段完整性服務(wù)完整性服務(wù)還可以按是否具有恢復(fù)功能，分為：·不具有恢復(fù)功能的完整性服務(wù)：檢測到數(shù)據(jù)的完整性破壞，僅僅給出報(bào)告而不采取進(jìn)一步的措施?！ぞ哂谢謴?fù)功能的完整性服務(wù)：不僅檢測到數(shù)據(jù)的完整性破壞，而且能正確地將數(shù)據(jù)恢復(fù)到破壞前的樣子。OSI安全體系把完整性服務(wù)概括為：（1）帶恢復(fù)的連接完整性：為（N）連接上的所有（N）用戶數(shù)據(jù)保證其完整性，并檢測整個(gè)SDU序列中的數(shù)據(jù)遭受到的任何篡改、插入、刪除、或者同時(shí)進(jìn)行補(bǔ)救和/或恢復(fù)。（2）不帶恢復(fù)的連接完整性：同帶恢復(fù)的連接完整性，只是不做補(bǔ)救恢復(fù)。（3）選擇字段的連接完整性：為一次連接上傳送的（N）SDU的（N）用戶數(shù)據(jù)中的選擇字段提供完整性保護(hù)，確定被選擇字段是否遭受了篡改、插入、刪除或不可用。（4）無連接完整性：為單個(gè)無連接上SDU提供完整性保護(hù)，：檢測一個(gè)接收到的SDU是否遭受了篡改，并在一定程度上提供對(duì)連接重放檢測。當(dāng)這種服務(wù)由（N）提供時(shí)，對(duì)發(fā)出請(qǐng)求的那個(gè)（N+1）實(shí)體也就提供了完整性保護(hù)。（5）選擇字段的無連接完整性：為單個(gè)無連接上的SDU中的選擇字段提供完整性保護(hù)，檢測被選擇字段是否遭受了篡改。5.抗抵賴其他安全服務(wù)是針對(duì)來自未知攻擊者的威脅，而抗抵賴服務(wù)的目的是保護(hù)通信實(shí)體免遭來自其他合法實(shí)體的威脅。OSI定義的抗抵賴服務(wù)有兩種類型：（1）有數(shù)據(jù)原發(fā)證明的抗抵賴：為數(shù)據(jù)的接收者提供數(shù)據(jù)的原發(fā)證據(jù)，使發(fā)送者不能抵賴這些數(shù)據(jù)的發(fā)送或否認(rèn)\發(fā)送內(nèi)容。（2）有交付證明的抗抵賴：為數(shù)據(jù)的發(fā)送者提供數(shù)據(jù)交付證據(jù)，使接收者不能抵賴收到這些數(shù)據(jù)或否認(rèn)接收內(nèi)容。9.4.3OSI七層中的安全服務(wù)配置

1.安全分層及服務(wù)配置原則

決定安全服務(wù)對(duì)層分配以及伴隨而來的安全機(jī)制在這些層上的配置，按照下列原則進(jìn)行。

（1）實(shí)現(xiàn)一種服務(wù)的不同方法越少越好；

（2）在多層上提供安全服務(wù)來建立安全系統(tǒng)是可取的；

（3）為安全所需的附加功能不應(yīng)該、不必要地重復(fù)OSI的現(xiàn)有功能；

（4）避免破壞層的獨(dú)立性；

（5）可信功能2的總量應(yīng)盡量少；

（6）只要一個(gè)實(shí)體依賴于由位于較低層的實(shí)體提供的安全機(jī)制，那么任何中間層應(yīng)該按不違反安全的方式構(gòu)建；

（7）只要可能，應(yīng)以不排除作為自容納模塊起作用的方法來定義一個(gè)層的附加安全功能；

（8）本標(biāo)準(zhǔn)被人定用于由包含所有7層的端系統(tǒng)組成的開放系統(tǒng)以及中繼系統(tǒng)。

2.在OSI各層中的安全服務(wù)配置OSI各層提供的安全服務(wù)配置如表9.6所示。不論所要求的安全服務(wù)是由該層提供或下層提供，各層上的服務(wù)定義都可能需要修改。

安全服務(wù)協(xié)議層1234567對(duì)等實(shí)體鑒別

√√

√數(shù)據(jù)源鑒別

√√

√訪問控制

√√

√連接機(jī)密性√√√√

√√無連接機(jī)密性

√√√

√√連接字段機(jī)密性

√通信業(yè)務(wù)流機(jī)密性

√√帶恢復(fù)的連接完整性√

√

√不帶恢復(fù)的連接完整性

√

√選擇字段連接完整性

√√

√無連接完整性

√選擇字段無連接完整性

√√

√有數(shù)據(jù)原發(fā)證明的抗抵賴

√有交付證明的抗抵賴

√表9.6OSI各層中的安全服務(wù)配置

9.4.4OSI安全體系結(jié)構(gòu)的安全機(jī)制OSI安全體系結(jié)構(gòu)沒有說明5種安全服務(wù)如何實(shí)現(xiàn)，但是它給出了8種基本（特定的）安全機(jī)制，使用這8種安全機(jī)制，再加上幾種普遍性的安全機(jī)制，將它們?cè)O(shè)置在適當(dāng)?shù)模∟）層上，用以提供OSI安全體系結(jié)構(gòu)安全服務(wù)。1.OSI的8種特定的安全機(jī)制（1）加密在OSI安全體系結(jié)構(gòu)的安全機(jī)制中，加密涉及3個(gè)方面的內(nèi)容：·密碼體制的類型：對(duì)稱密碼體制和非對(duì)稱密碼體制?！っ荑€管理。

·加密層的選取：表9.7給出了加密層的選取時(shí)要考慮的因素，它不推薦在數(shù)據(jù)鏈路層上的加密。加密要求加密層對(duì)全部通信業(yè)務(wù)提供加密物理層細(xì)粒度保護(hù)（對(duì)每個(gè)應(yīng)用提供不同的密鑰）抗抵賴或選擇字段保護(hù)表示層提供機(jī)密性與不帶恢復(fù)的完整性對(duì)所有端對(duì)端之間通信的簡單塊進(jìn)行保護(hù)希望有一個(gè)外部的加密設(shè)備（如為了給算法和密鑰提供物理保護(hù)或防止軟件錯(cuò)誤）網(wǎng)絡(luò)層提供帶恢復(fù)的完整性以及細(xì)粒度保護(hù)傳輸層表9.7加密層的選取時(shí)要考慮的因素

（2）數(shù)字簽名數(shù)據(jù)簽名是附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對(duì)數(shù)據(jù)單元所做的密碼變換，這種附加數(shù)據(jù)或變換可以起如下作用：·供接收者確認(rèn)數(shù)據(jù)來源；·供接收者確認(rèn)數(shù)據(jù)完整性；·保護(hù)數(shù)據(jù)，防止他人偽造。數(shù)字簽名需要確定兩個(gè)過程：·對(duì)數(shù)據(jù)單元簽名：使用簽名者私有（獨(dú)有或機(jī)密的）信息。·嚴(yán)正簽過名的數(shù)據(jù)單元：使用的規(guī)程和信息是公開的，但不能推斷出簽名者的私有信息。（3）訪問控制訪問控制是是一種實(shí)施對(duì)資源訪問或操作加以限制的策略。此外，它還可以支持?jǐn)?shù)據(jù)的機(jī)密性、數(shù)據(jù)完整性、可用性以及合法使用的安全目標(biāo)。訪問控制機(jī)制可應(yīng)用于通信聯(lián)系中的任一端點(diǎn)或任一中間點(diǎn)。訪問控制機(jī)制可以建立在下面的一種或多種手段之上；·訪問控制信息庫：保存了對(duì)等實(shí)體的訪問權(quán)限。·鑒別信息，如口令等。·權(quán)限?！ぐ踩珮?biāo)記?！ぴ噲D訪問的時(shí)間?！ぴ噲D訪問的路由?！ぴL問持續(xù)期。（4）數(shù)據(jù)完整性數(shù)據(jù)完整性保護(hù)的目的是避免未授權(quán)的數(shù)據(jù)亂序、丟失、重放、插入和篡改。下面討論數(shù)據(jù)完整性的兩個(gè)方面。（a）單個(gè)數(shù)據(jù)或字段的完整性：決定單個(gè)數(shù)據(jù)單元的完整性涉及兩個(gè)實(shí)體：一個(gè)在發(fā)送實(shí)體上，一個(gè)在接收實(shí)體上。發(fā)送實(shí)體給數(shù)據(jù)單元附上一個(gè)附加量，接收實(shí)體也產(chǎn)生一個(gè)相應(yīng)的量，通過比較二者，可以判定數(shù)據(jù)在傳輸過程中是否被篡改。（b）數(shù)據(jù)單元流或字段流的完整性：對(duì)于連接方式數(shù)據(jù)傳送，保護(hù)數(shù)據(jù)單元序列的完整性（包括防止亂序、數(shù)據(jù)丟失、重放或篡改），還需要明顯的排序標(biāo)記，如順序號(hào)、時(shí)間標(biāo)記或密碼鏈；對(duì)于無連接數(shù)據(jù)傳送，時(shí)間標(biāo)記可以提供一定程度的保護(hù)，防止個(gè)別數(shù)據(jù)單元重放。（5）鑒別交換（a）可用于鑒別交換的技術(shù)·鑒別信息：如口令；·密碼技術(shù)；·使用該實(shí)體特征（生物信息等）或占有物（信物等）。（b）可以結(jié)合使用的技術(shù)·時(shí)間標(biāo)記與同步時(shí)鐘；·兩次握手（單方鑒定）和三次握手（雙方鑒定）；·數(shù)字簽名和公證。（6）通信業(yè)務(wù)填充通信業(yè)務(wù)填充是一種反分析技術(shù)，通過虛假填充將協(xié)議數(shù)據(jù)單元達(dá)到一個(gè)固定長度。它只有受到機(jī)密服務(wù)保護(hù)才有效。（7）路由選擇控制路由選擇控制機(jī)制可以使敏感數(shù)據(jù)只在具有適當(dāng)保護(hù)級(jí)別的路由上傳輸，并且采取如下一些處理：·檢測到持續(xù)的攻擊，可以為端系統(tǒng)建立不同的路由的連接?！ひ罁?jù)安全策略，使某些帶有安全標(biāo)記的數(shù)據(jù)禁止通過某些子網(wǎng)、中繼或鏈路?！ぴ试S連接的發(fā)起者（或無連接數(shù)據(jù)單元的發(fā)送者）指定路由選擇，或回避某些子網(wǎng)、中繼或鏈路。（8）公證公證機(jī)制是由可信的第三方提供數(shù)據(jù)完整性、數(shù)據(jù)源、時(shí)間和目的地等的認(rèn)證和保證。2.OSI安全服務(wù)與安全機(jī)制之間的關(guān)系表9.8為OSI安全服務(wù)與安全機(jī)制之間的關(guān)系。安全服務(wù)安全機(jī)制加密數(shù)字簽名訪問控制數(shù)據(jù)完整性鑒別交換業(yè)務(wù)填充路由控制公證對(duì)等實(shí)體鑒別√√

√

數(shù)據(jù)源鑒別√√

訪問控制

√

連接機(jī)密性√

√

無連接機(jī)密性√

√

連接字段機(jī)密性√

流量機(jī)密性√

√√

帶恢復(fù)的連接完整性√

√

不帶恢復(fù)的連接完整性√

√

選擇字段連接完整性√

√

無連接完整性√√

√

選擇字段無連接完整性√√

√

原發(fā)方抗抵賴

√

√

√接收方抗抵賴

√

√

√表9.8OSI安全服務(wù)與安全機(jī)制之間的關(guān)系

9.4.5OSI安全體系的安全管理OSI安全管理活動(dòng)有如下3類：系統(tǒng)安全管理、安全服務(wù)管理和安全機(jī)制管理。此外還必須考慮OSI本身的安全和特定的系統(tǒng)安全管理活動(dòng)。1.系統(tǒng)安全管理系統(tǒng)安全管理著眼于OSI總體環(huán)境的管理，其典型活動(dòng)有：（1）總體安全策略的管理，包括一致性修改與維護(hù)。（2）與別的OSI安全管理的相互作用。（3）與安全服務(wù)管理和安全機(jī)制管理的交互。（4）事件處理管理。在OSI中可以看到的是事件管理的實(shí)例，是遠(yuǎn)程報(bào)告的明顯違反安全的企圖以及對(duì)用來觸發(fā)事件報(bào)告的閾值的修改。（5）安全審計(jì)管理。主要內(nèi)容有：·選擇將被記錄和被遠(yuǎn)程收集的事件；·授予或取銷對(duì)所選事件進(jìn)行審計(jì)跟蹤日志記錄的能力；·所選審計(jì)記錄的收集；·準(zhǔn)備安全審計(jì)報(bào)告。（6）安全恢復(fù)管理。主要內(nèi)容有：·維護(hù)用于對(duì)實(shí)用或可疑安全事件做出反應(yīng)的規(guī)則；·遠(yuǎn)程報(bào)告明顯的系統(tǒng)安全違規(guī)；·安全管理者的交互。2.安全服務(wù)管理安全服務(wù)管理指特定安全服務(wù)的管理。在管理一種特定安全服務(wù)時(shí)，可能的典型的活動(dòng)有：（1）為該種服務(wù)決定并指派安全保護(hù)的目標(biāo)。（2）在有可選擇情況時(shí)，指定與維護(hù)選擇規(guī)則。（3）對(duì)需要事先取得管理者同意的安全機(jī)制進(jìn)行協(xié)商。（4）通過適當(dāng)?shù)陌踩珯C(jī)制管理功能，調(diào)用特定的安全機(jī)制。（5）與其他安全服務(wù)管理功能和安全機(jī)制管理功能交互。3.安全機(jī)制管理安全機(jī)制管理指特定安全機(jī)制的管理。典型的安全機(jī)制管理有下列一些。（1）密鑰管理·間歇性地產(chǎn)生與所要求的安全級(jí)別相稱的合適密鑰；·根據(jù)訪問控制的要求，決定每個(gè)密鑰應(yīng)分發(fā)給哪個(gè)實(shí)體；·用可靠辦法使這些密鑰對(duì)開放系統(tǒng)中的實(shí)體是可用的，或?qū)⑦@些密鑰分配給它們。（2）加密管理·與密鑰管理交互；·建立密碼參數(shù)；·密碼同步。（3）數(shù)字簽名管理·與密鑰管理交互；·建立密碼參數(shù)與密碼算法；·在通信實(shí)體與可能有的第三方之間使用協(xié)議。（4）訪問控制管理·安全屬性（包括口令）的分配；·對(duì)訪問控制表或權(quán)力表進(jìn)行修改；·在通信實(shí)體與其他提供訪問控制服務(wù)的實(shí)體之間使用協(xié)議。（5）數(shù)據(jù)完整性管理·與密鑰管理交互；·建立密碼參數(shù)與密碼算法；·在通信實(shí)體間使用協(xié)議。（6）鑒別管理·將說明信息、口令或密鑰（使用密鑰管理）分配給要求執(zhí)行鑒別的實(shí)體；·在通信的實(shí)體與其他提供鑒別服務(wù)的實(shí)體之間使用協(xié)議。（7）通信業(yè)務(wù)填充管理·預(yù)定的數(shù)據(jù)率；·指定隨機(jī)數(shù)據(jù)率；·指定報(bào)文特性，例如長度等；·可能按時(shí)間或日歷來改變這些規(guī)定。（8）路由選擇控制管理路由選擇管理的主要功能是確定那些按特定準(zhǔn)則被認(rèn)為是安全可靠和可信任的鏈路或子網(wǎng)絡(luò)。（9）公證管理·分配有關(guān)公證的信息；·在公證方與通信的實(shí)體之間使用協(xié)議；·與公證方的交互作用。4.OSI管理的安全所有OSI管理功能的安全以及OSI管理信息的通信安全是OSI安全的重要部分。這一類安全管理將對(duì)上面所列的OSI安全服務(wù)與機(jī)制進(jìn)行適當(dāng)?shù)倪x取，以確保OSI管理協(xié)議與信息獲得足夠的保護(hù)。例如，在管理信息庫的管理實(shí)體之間的通信一般要求某種形式的保護(hù)。5.特定的系統(tǒng)安全管理活動(dòng)（1）事件處理管理·遠(yuǎn)程報(bào)告違反系統(tǒng)安全的明顯企圖；·對(duì)用來觸發(fā)事件報(bào)告的閾值的修改。（2）安全審計(jì)管理·選擇將被記錄和被遠(yuǎn)程收集的事件；·授予或取消對(duì)所選事件進(jìn)行審計(jì)跟蹤日志記錄的能力；·所選審計(jì)記錄的遠(yuǎn)程收集；·準(zhǔn)備安全審計(jì)報(bào)告。（3）安全恢復(fù)管理·維護(hù)那些用來對(duì)實(shí)有的或可疑的安全事故作出反應(yīng)的規(guī)則；