第五章 安全體系結(jié)構(gòu)

1、第五第五章章 安全體系結(jié)構(gòu)安全體系結(jié)構(gòu)5.1系統(tǒng)安全體系結(jié)構(gòu)系統(tǒng)安全體系結(jié)構(gòu)v5.1.1可信系統(tǒng)體系結(jié)構(gòu)概述圖5-1安全機制設置的位置5.1系統(tǒng)安全體系結(jié)構(gòu)系統(tǒng)安全體系結(jié)構(gòu)v5.1.1可信系統(tǒng)體系結(jié)構(gòu)概述安全機制越復雜，提供的安全保障越低。安全機制集中在用戶、數(shù)據(jù)還是操作；安全機制放置在硬件、內(nèi)核、操作系統(tǒng)，服務或程序哪一層；每個機制的復雜程度。圖5-2安全機制復雜性和安全保障的關(guān)系5.1系統(tǒng)安全體系結(jié)構(gòu)系統(tǒng)安全體系結(jié)構(gòu)v5.1.2定義主體和客體的定義主體和客體的子集子集v主體是指必須被控制對客體的訪問的活動資源，它是訪問的發(fā)起者，通常為進程、程序或用戶?？腕w則是指對其訪問必須進行控制的資源，

2、客體一般包括各種資源，如文件、設備、信號量等。5.1系統(tǒng)安全體系結(jié)構(gòu)系統(tǒng)安全體系結(jié)構(gòu)v5.1.3可信計算可信計算基基v可信計算基（TCB）是“計算機系統(tǒng)內(nèi)保護裝置的總體，包括硬件、固件、軟件和負責執(zhí)行安全策略的組合體。它建立了一個基本的保護環(huán)境，并提供一個可信計算系統(tǒng)所要求的附加用戶服務”。通常所指的可信計算基是構(gòu)成安全計算機信息系統(tǒng)的所有安全保護裝置的組合體(通常稱為安全子系統(tǒng))，以防止不可信主體的干擾和篡改。5.1系統(tǒng)安全體系結(jié)構(gòu)系統(tǒng)安全體系結(jié)構(gòu)v5.1.4安全安全邊界邊界圖5-3可信部件和非可信部件間通信的接口控制5.1系統(tǒng)安全體系結(jié)構(gòu)系統(tǒng)安全體系結(jié)構(gòu)v5.1.5基準監(jiān)控器和安全基準監(jiān)控

3、器和安全內(nèi)核內(nèi)核v基準監(jiān)控器是一個抽象的機器，用來協(xié)調(diào)所有的訪問主體和客體，以確保主體有必需的訪問權(quán)，以及保護客體不被非授權(quán)訪問、修改和破壞。v安全內(nèi)核由可信基內(nèi)的一些機制構(gòu)成，以實施和執(zhí)行基準監(jiān)控概念。安全內(nèi)核由硬件、固體和軟件組成，以協(xié)調(diào)主體和客體間的訪問及各種功能。TCBv沒有一個計算機系統(tǒng)是安全的vTCB不只是對操作系統(tǒng)而言，因為一個計算機系統(tǒng)不只是由操作系統(tǒng)組成。TCB涉及硬件、軟件和固件。v評估一個系統(tǒng)的可信級別是由構(gòu)成TCB的結(jié)構(gòu)、安全服務及保障機制確定的。v采用專門的安全準則，來構(gòu)造、評估和驗證可信系統(tǒng)。安全邊界安全邊界v用安全邊界來區(qū)分可信和不可信，在可信部件和非可信部件之間

4、的通信必須加以控制，以確保保密信息不以非期望的方式流動?；鶞时O(jiān)控器和安全內(nèi)核基準監(jiān)控器和安全內(nèi)核v基準監(jiān)控器是一個抽象的機器，用來協(xié)調(diào)所有的訪問主體和客體，以確保主體有必需的訪問權(quán)，以及保護客體不被非授權(quán)訪問、修改和破壞。v基準監(jiān)控器是一個訪問控制概念v安全內(nèi)核由TCB的一些機制構(gòu)成，以實施和執(zhí)行基準監(jiān)控器的概念。5.1系統(tǒng)安全體系結(jié)構(gòu)系統(tǒng)安全體系結(jié)構(gòu)v5.1.6安全域安全域v一個域是訪問權(quán)的集合圖5-4可信級和安全域的關(guān)系資源隔離資源隔離v主體、客體和保護控制需要清楚地相互隔離，而隔離的方法和實施是系統(tǒng)的體系結(jié)構(gòu)及其安全模型的需求v進程也是需要隔離的資源v內(nèi)存的硬件分段，可以確保較低特權(quán)的進

5、程不會對較高級進程的內(nèi)存空間進行存取和修改安全策略安全策略v安全策略是一些規(guī)則的集合，指明敏感信息是如何管理、保護和分布的。包含目的、范圍和責任。v一個系統(tǒng)提供可信是通過符合和實施安全策略，典型的是處理主體和客體之間的關(guān)系。安全策略必須指明什么樣的主體能訪問什么樣的客體，以及什么樣的行為是可接受的或不可接受的。最小特權(quán)最小特權(quán)v最小特權(quán)(Least Privilege)，指的是在完成某種操作時所賦予網(wǎng)絡中每個主體(用戶或進程)必不可少的特權(quán)。v只有需要完全特權(quán)的進程分布在內(nèi)核，其他較低特權(quán)的進程調(diào)用它來處理敏感的操作。分層、數(shù)據(jù)隱蔽和抽象分層、數(shù)據(jù)隱蔽和抽象v為了滿足一定的可信級，系統(tǒng)必須提供

6、一種機制，使不同進程工作在不同層，即在系統(tǒng)的不同層產(chǎn)生不同的功能。基本功能發(fā)生在較低層，復雜的、敏感功能發(fā)生在叫高層，分層將進程和資源分開。v不同層之間的數(shù)據(jù)訪問沒有接口時，則數(shù)據(jù)被隱蔽了。v客體能組合成一個集合，稱為類。當一類客體被賦予一定的允許權(quán)，定義可接受的活動，稱為抽象。5.2網(wǎng)絡安全體系結(jié)構(gòu)網(wǎng)絡安全體系結(jié)構(gòu)v5.2.1不同層次的安全v安全的層次結(jié)構(gòu)是抽象，必須在理論上予以表達，實際上予以實施。v層次結(jié)構(gòu)表示在各層次設置屏障以防止攻擊和威脅。網(wǎng)絡體系結(jié)構(gòu)的網(wǎng)絡體系結(jié)構(gòu)的觀點觀點v一種是網(wǎng)絡體系結(jié)構(gòu)的觀點，一種是單純的設備和應用程序觀點。v從體系結(jié)構(gòu)的觀點，必須觀察出入的數(shù)據(jù)流及這些數(shù)據(jù)

7、是如何授權(quán)，在不同的點是如何監(jiān)控的，以及在不同的場合安全解決方案是如何協(xié)同工作的。v每個網(wǎng)絡環(huán)境因其安裝的硬件、軟件、技術(shù)和配置的不同而有所區(qū)別。然而各個環(huán)境的主要區(qū)別在于要達到的目標不同。5.2網(wǎng)絡安全體系結(jié)構(gòu)網(wǎng)絡安全體系結(jié)構(gòu)v5.2.1不同層次的安全v5.2.2網(wǎng)絡體系結(jié)構(gòu)的觀點5.3OSI安全體系結(jié)構(gòu)安全體系結(jié)構(gòu)v5.3.1OSI安全體系結(jié)構(gòu)的安全體系結(jié)構(gòu)的5類安全服務類安全服務v1. 鑒別v2. 訪問控制v3. 數(shù)據(jù)機密性v4. 數(shù)據(jù)完整性v5. 抗否認5.3OSI安全體系結(jié)構(gòu)安全體系結(jié)構(gòu)v5.3.1OSI安全體系結(jié)構(gòu)的安全體系結(jié)構(gòu)的5類安全服務類安全服務v1. 鑒別v對等實體的鑒別v

8、數(shù)據(jù)原發(fā)的鑒別5.3OSI安全體系結(jié)構(gòu)安全體系結(jié)構(gòu)v5.3.2OSI安全體系結(jié)構(gòu)的安全機制安全體系結(jié)構(gòu)的安全機制v1. 特定的安全機制v（1）加密機制 加密既能為數(shù)據(jù)提供機密性，也能為通信業(yè)務流提供機密性，并且是其他安全機制中的一部分或?qū)Π踩珯C制起補充作用 加密算法可以是可逆的，也可以是不可逆的5.3OSI安全體系結(jié)構(gòu)安全體系結(jié)構(gòu)v5.3.2OSI安全體系結(jié)構(gòu)的安全機制安全體系結(jié)構(gòu)的安全機制v1. 特定的安全機制v（2）數(shù)字簽名機制v（3）訪問控制機制v（4）數(shù)據(jù)完整性機制v（5）鑒別交換機制v（6）通信業(yè)務填充機制v（7）路由選擇機制v（8）公證機制5.3OSI安全體系結(jié)構(gòu)安全體系結(jié)構(gòu)v5.3.2OSI安全體系結(jié)構(gòu)的安全機制安全體系結(jié)構(gòu)的安全機制v2. 普遍性安全機制v（1）可信功能度v（2）安全標記v（3）事件檢測v（4）安全審計跟蹤v（5）安全恢復5.3OSI安全體系結(jié)構(gòu)安全體系結(jié)構(gòu)v5.3.3三維信息系統(tǒng)安全體系結(jié)構(gòu)框架三維信息系統(tǒng)安全體系結(jié)構(gòu)框架圖5-6信息系統(tǒng)安全體系結(jié)構(gòu)框架5.4 ISO/IEC網(wǎng)絡安全體系結(jié)構(gòu)網(wǎng)絡安全體系結(jié)構(gòu)v5.4.1ISO/IEC安全體系結(jié)構(gòu)參考模型