信息安全体系结构1ppt课件.ppt

信息安全体系结构(1),查达仁中国科学院数据与通信保护研究教育中心(DCS)信息安全国家重点实验室zdr88256433-2022011年5月,1,概念类课程介绍、基本概念、规划设计、密码基础密码类密钥管理、PKI等认证技术、授权管理、VPN网络应用类防火墙、入侵检测、无线安全、可行计算平台等,课程内容主要分为三个部分,2,信息安全体系结构，冯登国等著安全体系结构的设计、部署和操作，ChristopherM.King等，清华大学出版社WilliamStallings,密码编码学与网络安全-原理与实践（第四版），电子工业出版社，2006WilliamStallings,NetworkSecurityEssentials:ApplicationsandStandards，PrenticeHall，2002荆继武等，PKI技术，科学出版社，2008BruceSchneier，AppliedCryptography,SecondED，机械工业出版社，2001,教材以及参考书,3,学时和学分40学时，2学分作业和测验不定期布置作业期中之前交一次，期末考试之前交一次成绩策略作业和测验：30%，期末考试：70%联系办法查达仁玉泉路校区科研楼DCS中心402室电话：88256433-202电子邮件：zdr助教及联系办法张令臣lchzhang88256433-234,其他课程相关概述,4,信息安全基本概念体系结构基本概念信息安全保障三要素信息安全体系结构规划与设计,本讲提纲,5,信息安全基本概念,1信息与信息安全,2信息安全理念的发展,3信息安全技术的发展,4信息安全评估与标准化,6,信息与信息安全,什么是信息？,信息就是信息，既不是物质也不是能量(Wiener,1948)信息是事物之间的差异(Longo,1975)信息是集合的变异度(Ashby,1956)信息是一种场(Eepr,1971)信息是用以消除随机不定性的东西(Shannon,1948)。信息是使概率分布发生变动的东西(Tribesetal,1971)。信息是负熵(Brillouin,1956)。信息是有序性的度量(Wiener,1948)。信息是系统组织程度的度量(Wiener,1948)。信息是被反映的差异(cy，1968)。,7,信息与信息安全,信息：消息？信号？资料？情报？用通俗的语言来描述，所谓信息，就是有意义的资料，人们可以通过它获得一些知识“信息”具有如下一些特点：没有物理实体形态具有价值具有拥有者，他有权对掌握的信息做处置信息被泄露、破坏，会给拥有者带来损失,8,信息与信息安全,信息安全关注的内容真实性：确保人/实体的身份是真实的机密性：确保信息不被非授权者获得完整性：确保信息在存储/传播过程中不被篡改可用性：确保授权用户可以获得信息抗抵赖：确保信息的发送者/接收者不能否认曾发送/接收信息,其中“机密性”、“完整性”、“可用性”三者，并称为“CIA”三特性，这是信息安全关注的三个基本领域,9,信息安全理念的发展,安全保障能力,10,信息安全理念的发展,安全保障能力,这一时期主要关注“机密性”，即如何防范敌方/竞争对手获得自己的秘密。40年代以前“通信安全”也称“通信保密”。40年代增加了“电子安全”，50年代欧美国家将“通信安全”和“电子安全”合称为“信号安全（SIGSEC）”密码学是解决“机密性”的核心技术。二战及战后密码学得到了很好的发展。Shannon于1949年发表的论文保密系统的信息理论，为对称密码学建立了理论基础，从此密码学从“艺术”发展成为真正的科学。,11,信息安全理念的发展,安全保障能力,1946年世界上第一台电子计算机诞生，1965年美国率先提出了计算机安全（COMPUSEC）。这一时期主要关注“机密性、访问控制、认证”，即针对计算机操作系统及数据的安全保护。这一时期现代密码学得到了快速发展，Diffiee和Hellman于1976年发表的论文密码编码学新方向；美国于1977年制定的数据加密标准DES，这两个事件标志着现代密码学的诞生，计算机安全走向标准化。美国军方提出了著名的TCSEC标准，为计算机安全评估奠定了基础。标准化的工作带动了安全产品的大量出现。,12,信息安全理念的发展,安全保障能力,80年代中期，美国和欧洲先后在学术界和军事领域开始使用“信息安全”这个名词。这一时期对于信息安全的认知得以发展，跳出了长久以来单纯关注机密性的局限，开始全方位关注“机密性、完整性、可用性、真实性、非否认性”等多种安全特性。对于安全保护目标的认识也从计算机转变为信息本身。密码技术得到了空前的发展，提出了很多新观点和新方法如ECC、密钥托管、盲签名、零知识证明协议。安全评估标准得到重视，可信计算机系统评估准则（TCSEC）、信息技术安全评估准则(ITSEC)、信息技术安全性评估通用准则（CC）相继颁布。计算机应急响应受到重视。“信息是资产”的概念确立，1989年NSA资助卡内基梅隆大学建立世界上第一个“计算机应急小组（CERT）”及其协调中心（CERT/CC）CERT的成立标志着信息安全由静态保护向动态防护的转变。,13,信息安全理念的发展,安全保障能力,这一时期主要关注“保护、检测、响应、恢复”的动态、主动防御过程。在这一时期，被动防御被认为不足以应对信息安全威胁，信息安全保障强调保护、检测、反应和恢复这四种能力，围绕人、技术和管理这三个层面，以支持机构的任务和职能为目标，注重体系建设，强化组织与协调功能。1995年，美国国防部提出了“信息安全保障体系”（IA）概念，并给出了“保护（Protection）监测（detection）响应（Response）”即“P2DR”模型。后来增加了恢复（Restore）,变为“PDRR”模型。在这一时期，信息安全管理得到重视。人们逐渐意识到信息安全并非一个纯技术的过程，从长期来看是一个管理过程。信息安全管理不但要考虑技术机制的使用，还要考虑人事安全、物理安全、操作安全、符合性、业务连续性等多个方面。,14,从技术的眼光看待信息安全发展史保护技术保障技术生存技术,信息安全技术的发展,15,第一代信息安全技术:保护技术,被动保护，是修筑城墙的技术使用加密技术筑墙，将窃听者挡在墙外使用访问控制技术筑墙，将无授权者挡在墙外使用完整性技术筑墙，将企图篡改者挡在墙外边界继续扩大：防火墙技术提供各种组合条件限制，把不符合条件者挡在墙外筑墙式被动保护能够完全胜任安全保护吗？鲧治水，浪滔天万里长城，吴三桂引清兵马奇诺，德军绕城过,16,第二代信息安全技术:保障技术,主动保护不但筑墙，还放出探马、架设雷达在攻击还未来到时，就发现它以检测（Detection）技术为主要标志入侵检测：主动扫描来自互联网的数据，从中分析出可能的攻击行为保护，检测，响应，恢复相结合被动保护+主动检测，发现攻击时采取紧急措施，将损害降低到最小。事后尽快恢复,17,问题：道高一尺，魔高一丈,入侵检测，难以100%准确，无遗漏对于未知的行为，入侵检测系统只能根据其蛛丝马迹判断可能是入侵，而不能准确判定。因此对于入侵检测系统的告警，存在误报和漏报难以有效防范内部职员犯罪城墙从外部攻破困难，内部打开容易仍有各种手段，可以成功进行攻击技术高超的黑客，可以暗中躲过检测间谍，通过各种非技术方式渗透,18,问题2：恢复技术不能胜任关键工作,在恢复完成之前，信息系统不能正常运行恢复难以恢复全部的服务数据恢复的系统仍旧是有漏洞的系统仍旧会在敌人的同样攻击下倒下,19,第三代安全技术:生存(Survivability),在敌人成功入侵的环境中生存在存在病毒环境中生存在恶劣环境中生存入侵容忍是生存技术中的核心,20,生存性的定义,当攻击，失效和事故发生的时候，系统在规定的时间内完成使命的能力。,21,所有系统都是有生存能力的系统,人体：缺氧3-5分钟内仍可运作人对缺氧的“容忍”能力是3-5分钟飞机：发动机熄火一定时间内仍可滑翔Windows：未加补丁的系统在开机30分钟内被成功入侵的统计概率不大Linux：未加补丁的系统在开机2个小时内被成功入侵的统计概率不大,22,生存技术的两种实现方式,攻击响应的入侵容忍方法高效的、独立的入侵检测系统发现入侵后调整资源配置，将入侵行为造成的破坏限定在一定范围内攻击遮蔽的入侵容忍方法采用冗余、容错、备份技术遭受的攻击没有越过某个门槛时，不会造成破坏,23,第四代安全技术：？,没有什么技术是完美的被动防御可被绕过主动防御可被骗过入侵容忍技术，超过限度则生存能力丧失没有什么技术是永恒的今天的密码技术，可能在未来全部失去效用今天的防病毒软件，防不住未来的病毒自生成技术？自我提高、自我完善的智能化安全防护体系？,24,信息安全评估与标准化,各类信息安全制度和技术，共同的目标是保护信息系统，使其安全那么，什么样的信息系统就安全了？什么样的系统，才能说是安全的？不同的系统，谁更安全一些？我认为安全，你认可吗？信息安全只有走向标准化，才能解决上述问题,25,信息安全标准化的意义,制定一个统一的安全衡量尺度给出一套基线，通过查验信息系统与这套基线的符合程度，来断定系统的安全程度让所有人对是否安全有相同的认知安全基线不能由某一方说了算，而要由所有参与方共同认可对“信息系统是否安全”给出证明“通过XXX标准检测”、“达到XXX标准的XX级别”,26,哪些方面需要标准化？,信息安全管理体系信息安全所涉及的人、组织、操作、环境、技术、设备等方方面面，都应有标准的衡量尺度信息安全产品防火墙、入侵检测产品、防病毒产品、网络设备等，应有标准的衡量尺度，以断定其安全程度信息安全工程过程对于信息安全管理体系，怎样建设和运行，才是合适的、能够确保达到效果的转入正题，我们的体系结构,27,1.1体系结构1964年，G.Amdahl首次提出“体系结构”概念ANSI/IEEEStd1471-2000使用的体系结构定义“一个系统的基本组织，通过组件、组件之间和组件与环境之间的关系以及管理其设计和演变的原则具体体现”现在常见的说法硬件体系结构、软件体系结构、信息系统体系结构、企业体系结构、网格计算体系结构、芯片体系结构、协议体系结构、安全体系结构,一、体系结构基本概念,，,28,管道和过滤器：各组件具有输入和输出的集合，整个系统可以看成多个过滤器复合形成的数据处理组件。例如：Shell编程、编译器等。数据抽象和面向对象：数据和数据上的操作被封装成抽象数据类型或者对象。系统由大量的对象组成，在物理上，对象之间通过函数或者过程调用相互作用；在逻辑上，对象之间通过集成、复合等方式实现设计的复用。事件驱动：系统提供事件的创建和发布的机制，对象产生事件，对象通过向系统注册，关注这个事件并由此触发出相应的行为或者产生新的事件。例如，GUI、.com、CORBA。适用于对互操作性、特别是异构环境下的互操作性要求非常高的情况。,体系结构的六种基本模式,29,层次：将系统功能和组件分成不同的功能层次，一般而言，只有最上层的组件和功能可以被系统外的使用者访问，只有相邻的层次之间才能够有函数调用。例如：开放系统互连（OSI）参考模型。知识库：使用一个中心数据结构表示系统的当前状态，一组相互独立的组件在中心数据库上进行操作。例如：传统的数据库模型。适用于以大量数据为核心的系统。解释器：提供面向领域的一组指令（语言），系统解释这种语言，产生相应的行为，用户使用这种指令（语言）完成复杂的操作。例如：浏览器。适用于应用系统和用户的交互非常复杂的情况。,30,信息管理体系结构（TAFIM）提出了一个技术体系结构的定义，即“组件、接口、服务及其相互作用的框架”从软件工程的角度提出了描述信息系统的四个视图，即“计算视图、数据管理视图、通信视图、安全视图”开放组织体系结构框架（TOGAF）包括基础体系结构、标准信息库和体系结构开发方法（ADM）定义了体系结构描述标记语言ADMLIEEE的体系结构计划研究组（APG）提出体系结构可以被认为是“组件+连接关系+约束规则”建议针对体系结构的描述建立指导性文档,1.2信息系统体系结构,31,定义：系统信息安全功能定义、设计、实施和验证的基础该体系结构应该在反映整个信息系统安全政策的基础上，描述该系统安全组件及其相关组件相互间的逻辑关系与功能分配这种描述的合理性和准确性将直接关系信息系统安全政策的实现效果X/Opengroup认为：信息系统的安全体系结构是系统整体体系结构描述的一部分，应该包括一组相互依赖、协作的安全功能相关元素的最高层描述与配置，这些元素共同实施系统的安全政策。,1.3信息系统的安全体系结构,32,A.抽象的安全体系结构：描述安全需求，定义安全政策，选择相应的安全服务/功能，在抽象定义的信息系统体系结构的组件之间分配安全功能。B.通用的安全体系结构：基于A,定义通用类型的安全组件和允许使用的标准，并为其应用确立必要的指导原则；在安全服务/功能分配的基础上，定义实现一定安全强度的安全服务类型和安全机制。,1.4安全体系结构的分类-DoD96,33,C.逻辑的安全体系结构：为某种真实、具体的安全需求而设计，是在具体环境中应用B的实例，同时必须分析实施代价。D.具体的安全体系结构：关注组件、接口、标准、性能、代价，展示所有选择的组件、机制、规则等如何结合并满足特定系统的安全需求。,34,OSI安全体系结构：只是安全服务与安全机制的一般性描述，说明怎样将安全服务映射到网络层次结构中，简单讨论了这些安全服务在其中的适当层次；包括可信功能度、安全标签、事件检测、安全审计跟踪、安全恢复等与安全管理相关的普适机制。,1.5安全体系结构的相关研究活动,35,X/Opengroup提出的分布式系统安全框架（XDSF）将安全功能元素分为三个层次：最底层的密码支持硬件或软件，中间层的基本安全功能（认证、授权、审计等），最上层的域间交互的安全服务（特权属性服务、证书服务、密钥分发、可信第三方等）安全管理覆盖对于三个层次安全元素的管理。,36,美国国防部目标安全体系结构（DGSA）：在OSI安全框架的基础上，从物理组成的角度，分析信息系统各组件彼此间的安全功能分配问题；主要的物理组成实体是：端系统、中继系统、传输网络、本地通信系统、本地用户环境；安全需求是在DoD此前提出的信息系统安全需求基础上形成的一定层次上的抽象，具体包括支持多种信息安全政策、采用开放系统、实施充分的保护，以及实现共同的安全管理。,37,美国信息系统防卫局DISA提出美国国防部信息系统安全计划（DISSP）一个三维矩阵结构框架（安全属性、OSI协议层、系统组件）；其中的系统组件维（包括端系统、接口、网络系统、安全管理）无法反映网络工程中的实际需求；安全属性维也无法表明各属性之间的逻辑关系。,38,SCC（SecureComputing公司）和NSA提出的DTOS安全体系结构：采用了基于安全威胁的开发方法；建立在Mach微内核上；由一个管理器和安全服务器构成的通用系统框架；支持灵活的安全政策（以分离方式实施安全判定和判定结果，安全判定由安全服务器进行，而安全判定结果的实施由管理器负责。,39,美国国家安全局（NSA）和犹他大学UtahUniv.提出的Flask安全体系结构：确定了客体管理器和安全服务器这两类子系统，描述其相互作用和各自组件的安全要求；安全服务器进行安全政策判定，客体管理器负责实施判定结果；支持安全政策的独立性和动态性；在NAI、SCC、MITRE的协助下，NSA已经在Linux内核中实现了Flask。,40,IntelArchitectureLabs提出的公共数据安全体系结构（CDSA）：一组分层安全服务和应用程序接口，为Internet的数据与通信安全应用提供动态的、集成化的安全服务；四层体系：应用、分层的服务与中间件、公共安全服务管理（CSSM）基础设施、安全服务提供者。,41,42,由安全技术及其配置所构成的安全性集中解决方案。规划与设计（需求分析，安全政策的制定与实施，）信息安全技术与相关产品的应用（网络隔离、平台加固、VPN、IDS、PKI、恶意代码防范、）解决方案具体实施过程所涉及的系统操作、运行与管理与具体应用需求的整个生命周期有关,1.6本课程的“信息安全体系结构”,43,什么是信息安全保障？英文原文：InformationAssurance最早出现在1996年美国国防部的国防部令S-3600.1中。国防部令S-3600.1将“信息安全保障”明确定义为“保护和防御信息及信息系统，确保其可用性、完整性、保密性、可认证性、不可否认性等特性。这包括在信息系统中融入保护、检测、响应功能，并提供信息系统的恢复功能。”,信息安全保障,44,不同于ISS提出的PPDR模型，但思想有类似之处PPDR：policy/protect/detect/response,网络动态防御体系模型：PDRR模型,45,信息安全保障是对信息和信息系统的安全属性及功能、效率进行保障的动态行为过程。它运用源于人、管理、技术等因素所形成的预警能力、保护能力、检测能力、响应能力、恢复能力和反击能力，在信息和系统生命周期全过程的各个状态下，保证信息内容、计算环境、边界与连接、网络基础设施的真实性、可用性、完整性、保密性、可控性、不可否认性等安全属性，从而保障应用服务的效率和效益，促进信息化的可持续健康发展。,我国较为普遍的理解：,46,两个工作对象:信息和信息系统五个安全属性:可用性、完整性、可认证性、保密性、不可否认性四个工作环节:保护、检测、响应、恢复四个信息保障对象:信息内容，计算环境、边界与连接、网络基础设施信息保障的核心:应用服务没有涉及信息和信息系统的状态和信息保障能力的来源问题。,分解,47,一个容易理解的说法：所谓信息安全保障，就是人利用技术和管理来实现信息安全的这样一个过程。信息安全保障具有三个要素：人，技术和管理。,三要素,48,三要素人,49,1991年美国计算机道德规范学会第一次美国国家计算机道德规范会议。学会的主席和奠基人Dr.RamonC.Barquin提出不要使用一台计算机去做伤害他人的事。不要干扰其他人用计算机进行的工作。不要窥视他人的计算机文件。不要使用一台计算机进行偷窃。不要使用一台计算机来承担伪证。不要复制或使用你没有付款的专有软件。不要使用没有授权或适当的补偿的他的人计算机资源。不要充当他人的枪手。要考虑你正在写的程序或你正在设计的系统的社会后果。要永远考虑采用一种能够获得你的同伴尊敬的方法使用一部计算机,计算机道德规范的十条戒律,50,不恶意破坏任何系统，否则只会给你带来麻烦。恶意破坏它人的软件将遭受法律惩罚。如果你只是使用对方的计算机，那就仅仅是非法使用注意：千万不要破坏别人的软件或资料不修改任何系统文档，如果为了进入系统而必须修改它，请将它改回原状不要轻易将你要黑掉的网站告诉你不信任的朋友不要在BBS上谈论你的这些在发表文章时不要使用自己的真名正在实施入侵行为时不要随意离开自己的计算机,黑客行为守则,51,不要侵入或破坏政府机关的主机不要在电话中谈论这些事情把笔记放在安全的地方想要成为黑客就要真正实践，读遍所有有关系统安全或系统漏洞的文件不要清除或修改已被侵入的计算机中的帐号不要修改系统档案（为了隐藏自己的侵入而进行的修改例外），但仍须保证系统原有的安全性，不在得到系统的控制权之后将其门户大开不要和朋友分享你已经破解的帐号,黑客行为守则（续）,52,为了能够正确运用已有的信息安全技术和合理部署相关的产品，必须建立一整套行之有效的技术与产品采购策略和过程。具体包括：安全策略、信息保障原则、系统级信息保障体系结构及其标准、信息保障产品选用准则、经可信第三方认证的产品采购原则、产品配置指南，以及系统风险评估过程。,53,“管理”指的是对实现信息安全保障目标负有责任的有关人员的管理职能。如果从系统运行与维护的角度来看，也可以称之为“操作”，或者“运行”管理环节中，最重要的是制定和实施符合实际需求的安全策略,54,信息安全体系结构规划与设计,1网络与信息系统总体结构初步分析2信息安全需求分析3设计目标、指导思想与设计原则4安全策略的制定与实施5举例,55,行业应用特性：医院、学校、企业对于网络与信息系统的总体情况而言，用户规模、业务量大小，以及建设的成本预算情况，共同决定了网络建设的规模和建设与开发成本。为了确保这些网络的安全，首先就要结合网络使用方的需求和网络建设者的能力，从设计之初开始准确地判断其信息安全需求，并在设计、实施、应用和维护的全过程中，结合有效的安全策略及其实施方法，合理部署必要的信息安全产品，将可能存在的风险控制在可以接受的范围之内。,1网络与信息系统总体结构初步分析,56,某中学校园网拓扑结构图,57,校园无线网拓方案示意,组网方式业务承载认证安全QOS保障大容量接入运行维护.,58,组网方式：无线控制器（简称AC）+FITAP模式组网，AC部署位置为侧挂现网中的BRAS，采用大容量AC设备业务承载：Internet业务SSID为集中转发模式/校园网业务SSID为本地转发模式认证：Internet业务由运营商来进行接入认证/校园网业务由校方进行认证安全：采用分布式安全防范部署，在各层次网络设备上部署不同的安全策略，例如，AP与终端间加密、DHCPsnooping的安全防范、部署VLAN隔离、端口隔离.,59,QOS保障：对不同的SSID进行限速，提供无线网络和有线网络间的QOS标记映射技术（802.11e映射到DSCP），保障高优先级业务在网络中端到端的QOS大容量接入：采用大容量AC进行部署，单AC支持128-640个AP的接入能力，支持平滑扩充运行维护：通过统一管理平台提供拓扑显示、射频管理.和用于反映在线率和数据流量等信息的丰富报表（流量统计报表、网络质量报表、设备性能报表.),60,某公司局域网拓扑图,61,物理安全需求网络安全需求系统安全需求数据安全需求应用安全需求运行与管理安全需求,2信息安全需求分析,62,机房建设安全：符合安全标准，相应的防火、防水、防雷、防电磁泄露、防尘、配电、门禁、装修、报警设施部署到位，相应的管理制度健全并落实到位。主机、服务器、网络设备和数据存储介质的交接手续正确。设备安全,物理安全需求,63,信息传输安全需求：通常与链路加密技术、VPN应用，以及无线局域网（WLAN）和微波与卫星网等信息传输途径有关。网络边界防护需求：用于限制外部非授权用户对内部网络的访问，通常由防火墙、接入安全控制设备和安全网关等网络安全设备共同提供。必须与信息敏感性、威胁和操作环境等因素保持一致。网络上的检测与响应安全需求：具体体现在基于网络的入侵检测、漏洞扫描、恶意代码防范和与网络有关的应急响应等方面。,网络安全需求,64,操作系统/数据库/服务器基于主机的入侵检测基于主机的漏洞扫描基于主机的恶意代码检测与防范基于主机的文件完整性检验容灾、备份与恢复,系统安全需求,65,数据安全主要关注信息系统中存储、传输和处理等过程中的数据的安全性，其目的是实现数据的机密性、完整性、可控性、不可否认性，并进行数据备份和恢复。数据机密性:传输和存储的数据不被非法获取。其安全需求与数据所处的位置、类型、数量、价值有关，涉及加密和访问控制这两种安全机制。数据完整性:传输或存储的数据没有被非法修改（包括数据进入传输信道时的序列号改变或重放）、删除。其安全需求与数据所处的位置、类型、数量、价值有关，涉及访问控制、消息认证和数字签名等安全机制。,数据安全需求,66,数据可控性：数据的复制、传输流向、传输流量和传输方式与安全策略（尤其是安全域的划分策略和网络边界防护策略）一致。其安全需求与数据其所处的位置、类型、数量、价值有关，涉及访问控制、数字签名、密钥恢复、网络管理等安全机制。数据的不可否认性：在数据的传输过程中，参与该传输过程的通信实体不能拒绝承认其参与该次传输过程的行为。数据的不可否认性通常由应用层提供。其安全需求与与数据其所处的位置、类型、数量、价值，以及参与数据传输过程的实体有关，涉及数字签名，加密，数据源与目的认证等安全机制。,67,主要涉及：口令机制关键业务系统的对外接口主要与以下安全措施有关：加密数字签名访问控制认证密钥恢复网络监控与管理行政管理,应用安全需求,68,设计信息安全体系结构的目标：帮助采用该体系结构的用户满足其信息安全需求，从而对其相关资产进行保护。在这里，“用户”可以是任何具有信息安全需求的组织机构（包括企业）的整体或部分