安全體系結(jié)構(gòu)與模型課件

安全體系結(jié)構(gòu)與模型張偉南京郵電大學(xué)計(jì)算機(jī)學(xué)院信息安全系Email:1999zhangwei@163.com安全體系結(jié)構(gòu)與模型張偉1四個(gè)概念安全體系結(jié)構(gòu)：定義了最一般的關(guān)于安全體系結(jié)構(gòu)的概念,如安全服務(wù)、安全機(jī)制安全框架：定義了提供安全服務(wù)的最一般的方法，如數(shù)據(jù)源、操作方法以及它們之間的數(shù)據(jù)流向等安全模型：指在特定的環(huán)境里，為保證提供一定級(jí)別的安全保護(hù)所奉行的基本思想安全技術(shù)：一些基本模塊，它們構(gòu)成了安全服務(wù)的基礎(chǔ)，同時(shí)可以相互任意組合，以提供更強(qiáng)大的安全服務(wù)四個(gè)概念安全體系結(jié)構(gòu)：定義了最一般的關(guān)于安全體系結(jié)構(gòu)的概念,21.5安全體系

1.6安全模型1.5安全體系

1.6安全模型3IOS/OSI安全體系結(jié)構(gòu)ISO：InternationalOrganizationforStandardizationOSI:OpenSystemInterconnect/RM安全服務(wù)安全機(jī)制安全管理其它,如安全威脅IOS/OSI安全體系結(jié)構(gòu)ISO：International4ISO-7498-2安全架構(gòu)ISO-7498-2安全架構(gòu)51982ISOJTC1/JCT211988ISO7498-21990ITU-TX.800《信息處理系統(tǒng)開(kāi)發(fā)系統(tǒng)互聯(lián)基本參考模型-第二部分：安全體系結(jié)構(gòu)》GB/T9387.2-1985《Internet安全體系結(jié)構(gòu)》RFC24011982ISOJTC1/JCT216安全服務(wù)（x.800）安全服務(wù)（x.800）7安全服務(wù)X.800定義：為了保證系統(tǒng)或者數(shù)據(jù)傳輸有足夠的安全性，開(kāi)發(fā)系統(tǒng)通信協(xié)議所提供的服務(wù)。RFC2828：安全服務(wù)是一種由系統(tǒng)提供的對(duì)資源進(jìn)行特殊保護(hù)的進(jìn)程或通信服務(wù)。安全服務(wù)通過(guò)安全機(jī)制來(lái)實(shí)現(xiàn)安全策略。安全服務(wù)X.800定義：為了保證系統(tǒng)或者數(shù)據(jù)傳輸有足夠的安全8安全服務(wù)(五類(lèi)十四個(gè)服務(wù))對(duì)象認(rèn)證安全服務(wù)訪問(wèn)控制安全服務(wù)數(shù)據(jù)保密安全服務(wù)數(shù)據(jù)完整性安全服務(wù)防抵賴(lài)性安全服務(wù)匿名性安全服務(wù)（可選）安全服務(wù)(五類(lèi)十四個(gè)服務(wù))對(duì)象認(rèn)證安全服務(wù)91對(duì)象認(rèn)證安全服務(wù)

用于識(shí)別對(duì)象的身份和對(duì)身份的證實(shí)。OSI環(huán)境可提供對(duì)等實(shí)體認(rèn)證和信源認(rèn)證等安全服務(wù)。對(duì)等實(shí)體認(rèn)證是用來(lái)驗(yàn)證在某一關(guān)聯(lián)的實(shí)體中，對(duì)等實(shí)體的聲稱(chēng)是一致的，它可以確認(rèn)對(duì)等實(shí)體沒(méi)有假冒；信源認(rèn)證是用于無(wú)連接時(shí)驗(yàn)證所收到的數(shù)據(jù)來(lái)源與所聲稱(chēng)的來(lái)源是一致的，但不提供防止數(shù)據(jù)中途被修改的功能。1對(duì)象認(rèn)證安全服務(wù)用于識(shí)別對(duì)象的身份和對(duì)身份的證實(shí)。10對(duì)象認(rèn)證安全服務(wù)實(shí)例

AA‘服務(wù)器Internet討論：假如A和A‘用戶(hù)名是一樣的，且都是合法用戶(hù)，服務(wù)器是否能分別認(rèn)怔A和A’？對(duì)象認(rèn)證安全服務(wù)實(shí)例AA‘服務(wù)器Interne112訪問(wèn)控制安全服務(wù)

提供對(duì)越權(quán)使用資源的防御措施。訪問(wèn)控制策略可分為自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制、基于角色的訪問(wèn)控制。實(shí)現(xiàn)機(jī)制可以是基于訪問(wèn)控制屬性的訪問(wèn)控制表，基于安全標(biāo)簽或用戶(hù)和資源分檔的多級(jí)訪問(wèn)控制等2訪問(wèn)控制安全服務(wù)12WindowsNT文件訪問(wèn)控制WindowsNT文件訪問(wèn)控制133數(shù)據(jù)保密性安全服務(wù)針對(duì)信息泄漏而采取的防御措施,可分為連接保密性無(wú)連接保密性選擇域保密性流量保密性

3數(shù)據(jù)保密性安全服務(wù)針對(duì)信息泄漏而采取的防御措施,可144數(shù)據(jù)完整性安全服務(wù)防止非法纂改信息，如修改、復(fù)制、插入和刪除等。它有五種形式：可恢復(fù)功能連接完整性、無(wú)恢復(fù)連接完整性、選擇字段連接完整性、無(wú)連接完整性和選擇字段無(wú)連接完整性4數(shù)據(jù)完整性安全服務(wù)防止非法纂改信息，如修改、復(fù)制、155防抵賴(lài)性安全服務(wù)是針對(duì)對(duì)方抵賴(lài)的防范措施，用來(lái)證實(shí)發(fā)生過(guò)的操作，它可分為對(duì)發(fā)送防抵賴(lài)、對(duì)遞交防抵賴(lài)和進(jìn)行公證。 源點(diǎn)的不可否認(rèn)性信宿的不可否認(rèn)性

5防抵賴(lài)性安全服務(wù)是針對(duì)對(duì)方抵賴(lài)的防范措施，用來(lái)證實(shí)發(fā)16ISO安全服務(wù)的不足缺少防止DoS攻擊的定義對(duì)入侵檢測(cè)，幾乎沒(méi)有涉及大多數(shù)安全服務(wù)是對(duì)同級(jí)實(shí)體的，缺少多級(jí)或分層實(shí)體的內(nèi)涵本質(zhì)上是一個(gè)被動(dòng)安全服務(wù)定義其它，如授權(quán)ISO安全服務(wù)的不足缺少防止DoS攻擊的定義17安全機(jī)制安全機(jī)制18兩類(lèi)安全機(jī)制特殊安全機(jī)制：在特定協(xié)議層實(shí)現(xiàn)，8種普遍安全機(jī)制：不屬于任何協(xié)議層或安全服務(wù)，5種兩類(lèi)安全機(jī)制特殊安全機(jī)制：在特定協(xié)議層實(shí)現(xiàn)，8種191加密機(jī)制使用各種加密算法對(duì)存放的數(shù)據(jù)和流通的信息進(jìn)行加密RSADESRC2/RC4/RC5VPN1加密機(jī)制使用各種加密算法對(duì)存放的數(shù)據(jù)和流通的信息進(jìn)行加密202數(shù)字簽名采用非對(duì)稱(chēng)密鑰體制，使用私鑰進(jìn)行數(shù)字簽名，使用公鑰對(duì)簽名信息進(jìn)行驗(yàn)證RSAMD4/MD5SHA/SHA-1數(shù)字簽名模型2數(shù)字簽名采用非對(duì)稱(chēng)密鑰體制，使用私鑰進(jìn)行數(shù)字簽名，使用公213訪問(wèn)(存取)控制機(jī)制根據(jù)訪問(wèn)者的身份和其它信息，來(lái)決定實(shí)體的訪問(wèn)權(quán)限ATM卡安全令牌TokenWindowsNT實(shí)例3訪問(wèn)(存取)控制機(jī)制根據(jù)訪問(wèn)者的身份和其它信息，來(lái)決定實(shí)224數(shù)據(jù)完整性機(jī)制判斷信息在傳輸過(guò)程中是否被篡改、增加、刪除過(guò)，確保信息的完整MD4/MD5SHA/SHA-14數(shù)據(jù)完整性機(jī)制判斷信息在傳輸過(guò)程中是否被篡改、增加、刪除235認(rèn)證交換機(jī)制用來(lái)實(shí)現(xiàn)同級(jí)之間的身份認(rèn)證ATM卡口令討論：怎樣防止中繼重放攻擊？5認(rèn)證交換機(jī)制用來(lái)實(shí)現(xiàn)同級(jí)之間的身份認(rèn)證246防業(yè)務(wù)流量分析機(jī)制通過(guò)填充冗余的業(yè)務(wù)流量，防止攻擊者對(duì)流量進(jìn)行分析，填充過(guò)的流量需通過(guò)加密進(jìn)行保護(hù)討論：為什么？6防業(yè)務(wù)流量分析機(jī)制通過(guò)填充冗余的業(yè)務(wù)流量，防止攻擊者對(duì)流257路由控制機(jī)制防止不利、不良信息通過(guò)路由，進(jìn)入子網(wǎng)或利用子網(wǎng)作為中繼攻擊平臺(tái)選擇特殊的物理安全線路，允許路由變化網(wǎng)絡(luò)層防火墻7路由控制機(jī)制防止不利、不良信息通過(guò)路由，進(jìn)入子網(wǎng)或利用子268公證機(jī)制有公證人（第三方）參與數(shù)字簽名，它基于通信雙方對(duì)第三方的絕對(duì)信任CA（CertificateAuthority)Hotmail/yahoo郵件服務(wù)登陸認(rèn)證8公證機(jī)制有公證人（第三方）參與數(shù)字簽名，它基于通信雙方對(duì)27另外5種普遍安全機(jī)制可信功能度安全標(biāo)志事件檢測(cè)安全審計(jì)跟蹤安全恢復(fù)另外5種普遍安全機(jī)制可信功能度28安全管理安全管理29安全管理為了更有效地運(yùn)用安全服務(wù)，需要有其它措施來(lái)支持它們的操作，這些措施即為安全管理。安全管理是對(duì)安全服務(wù)和安全機(jī)制進(jìn)行管理，把管理信息分配到有關(guān)的安全服務(wù)和安全機(jī)制中去，并收集與它們的操作有關(guān)的信息

安全管理為了更有效地運(yùn)用安全服務(wù)，需要有其它措施來(lái)支持它30OSI安全服務(wù)和安全機(jī)制的關(guān)系

機(jī)制服務(wù)加密數(shù)字簽名訪問(wèn)控制數(shù)據(jù)完整認(rèn)證交換防流量分析路由控制公證對(duì)象認(rèn)證▲▲▲訪問(wèn)控制▲▲數(shù)據(jù)保密▲▲▲數(shù)據(jù)完整▲▲▲防抵賴(lài)性▲▲▲OSI安全服務(wù)和安全機(jī)制的關(guān)系機(jī)制加密數(shù)字簽名訪問(wèn)控31在OSI層中的服務(wù)配置OSI安全體系最重要的貢獻(xiàn)是總結(jié)了各種安全服務(wù)在OSI參考模型的七層中的適當(dāng)配置。主要集中在3/4層和6/7層在OSI層中的服務(wù)配置OSI安全體系最重要的貢獻(xiàn)是總結(jié)了各種321.6動(dòng)態(tài)的自適應(yīng)網(wǎng)絡(luò)安全模型單純的防護(hù)技術(shù)不能解決網(wǎng)絡(luò)安全問(wèn)題不了解安全威脅和安全現(xiàn)狀靜態(tài)、被動(dòng)的防御，而安全威脅、安全漏洞都具有動(dòng)態(tài)的特性安全的概念局限于信息的保護(hù)不能正確評(píng)價(jià)網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)，導(dǎo)致安全系統(tǒng)過(guò)高或過(guò)低的建設(shè)1.6動(dòng)態(tài)的自適應(yīng)網(wǎng)絡(luò)安全模型單純的防護(hù)技術(shù)不能解決網(wǎng)絡(luò)安33PDR模型的背景對(duì)于網(wǎng)絡(luò)系統(tǒng)的攻擊日趨頻繁，安全的概念已經(jīng)不僅僅局限于靜態(tài)的、被動(dòng)的信息防護(hù)，人們需要的是對(duì)整個(gè)信息和網(wǎng)絡(luò)系統(tǒng)的保護(hù)和防御，以確保它們的安全性，包括對(duì)系統(tǒng)的保護(hù)、檢測(cè)和反應(yīng)能力等。安全模型已經(jīng)從以前的被動(dòng)轉(zhuǎn)到了現(xiàn)在的主動(dòng)防御，強(qiáng)調(diào)整個(gè)生命周期的防御和恢復(fù)PDR模型的背景對(duì)于網(wǎng)絡(luò)系統(tǒng)的攻擊日趨頻繁，安全的概念已經(jīng)不34PDR模型ProtectionDetectionReaction/ResponsePDR模型Protection35P2DR模型PolicyProtectionDetectionResponseP2DR模型Policy36ISS公司的P2DR模型PolicyResponseProtectionDetectionISS公司的P2DR模型PolicyResponseProt37安全策略--Policy根據(jù)安全風(fēng)險(xiǎn)分析產(chǎn)生的安全策略描述了系統(tǒng)中哪些資源要得到保護(hù)，以及如何實(shí)現(xiàn)對(duì)它們的保護(hù)等。安全策略是P2DR安全模型的核心，所有的防護(hù)、檢測(cè)、響應(yīng)都是依據(jù)安全策略實(shí)施的，企業(yè)安全策略為安全管理提供管理方向和支持手段安全策略--Policy根據(jù)安全風(fēng)險(xiǎn)分析產(chǎn)生的安全策略描述了38防護(hù)--Protection通過(guò)修復(fù)系統(tǒng)漏洞、正確設(shè)計(jì)開(kāi)發(fā)和安裝系統(tǒng)來(lái)預(yù)防安全事件的發(fā)生；通過(guò)定期檢測(cè)來(lái)發(fā)現(xiàn)可能存在的系統(tǒng)脆弱性；通過(guò)教育等手段，是用戶(hù)和操作員正確使用系統(tǒng)，防止意外威脅；通過(guò)訪問(wèn)控制、監(jiān)視等手段來(lái)防止惡意威脅防護(hù)--Protection通過(guò)修復(fù)系統(tǒng)漏洞、正確設(shè)計(jì)開(kāi)發(fā)和39檢測(cè)--Detection在P2DR模型中，檢測(cè)是一個(gè)非常重要的環(huán)節(jié)，檢測(cè)是動(dòng)態(tài)響應(yīng)和加強(qiáng)防護(hù)的依據(jù)，它也是強(qiáng)制落實(shí)安全策略的有力工具，通過(guò)不斷地檢測(cè)和監(jiān)控網(wǎng)絡(luò)和系統(tǒng)，來(lái)發(fā)現(xiàn)新的威脅和弱點(diǎn)，通過(guò)循環(huán)反饋來(lái)及時(shí)作出有效的響應(yīng)檢測(cè)--Detection在P2DR模型中，檢測(cè)是一個(gè)非常重40響應(yīng)--Response緊急響應(yīng)在安全系統(tǒng)中占有重要的地位，是解決安全潛在問(wèn)題最有效的辦法。從某種意義上來(lái)說(shuō)，安全問(wèn)題就是要解決緊急響應(yīng)和異常處理問(wèn)題。響應(yīng)--Response緊急響應(yīng)在安全系統(tǒng)中占有重要的地位，41響應(yīng)的時(shí)間攻擊時(shí)間Pt：從入侵開(kāi)始到侵入系統(tǒng)的時(shí)間檢測(cè)時(shí)間Dt：檢測(cè)新的安全脆弱性或網(wǎng)絡(luò)安全攻擊的時(shí)間。響應(yīng)時(shí)間Rt：包括檢測(cè)到系統(tǒng)漏洞或監(jiān)控到非法攻擊到系統(tǒng)啟動(dòng)處理措施的時(shí)間系統(tǒng)暴露時(shí)間Et：系統(tǒng)處于不安全狀態(tài)的時(shí)間,可定義為Et=D