第9章 安全协议及技术

1、 信息系统的安全是一个系统工程随着信息系统的广泛建立和各种网络的相互联通，也随着安全对抗技术的不断发展，人们开始发现，单纯地从安全功能及技术组合的层次上孤立地、个别地解决系统的安全问题，常常会事倍功半，顾此失彼，处理系统性的问题，必须从系统的层面上解决，即必须从体系结构的层面上全面地考虑问题。于是提出了安全管理问题。 对安全的要求不应当是是绝对的，而应当是是有效的。有效性的评估依据是标准。 因此，信息系统安全体系和安全评估标准就成为信息系统安全管理的核心和最基本的内容。 l9.1 典型信息系统的安全需求分析典型信息系统的安全需求分析 l9.2 信息系统安全策略信息系统安全策略 l9.3 访问控

2、制访问控制 l9.4 开放系统互联安全体系结构开放系统互联安全体系结构 l9.5 PPDR安全管理模型安全管理模型 l习习 题题 信息系统的安全体系结构研究，站在系统全局的角度，将普遍性安全体系原理与信息系统自身的实际相结合，形成满足信息系统安全需求的安全体系结构。它涉及系统的安全需求、安全策略、安全服务、安全机制和安全模型等多个方面。 l9.1.1 金融信息系统安全需求分析金融信息系统安全需求分析 l9.1.2 电子商务系统安全需求分析电子商务系统安全需求分析 l9.1.3 电子政务系统安全需求分析电子政务系统安全需求分析 信息系统的安全需求分析是安全对策的依据。每一个信息系统所采取的任何安

3、全对策，都来自对系统安全需求的分析。安全需求分析一般包括：安全风险分析和安全需求内容分析两方面的内容。安全需求是以安全风险为前提的。 不用系统具有不同的安全风险和安全需求。下面引用方勇和刘嘉勇在信息系统安全导轮中给出的三个典型系统的安全需求分析实例，供分析其他系统安全需求时参考。 1. 1.安全风险分析安全风险分析 金融信息系统的普遍性安全风险包括： （1）非法用户通过网络进入系统； （2）通过窃取或者修改数据对金融机构的电子诈骗； （3）与系统有关人员勾结，通过非法修改程序与操作侵害系统，以谋私利； 2. 2. 安全需求基本原则安全需求基本原则 金融信息系统的安全需求原则是： （1）授权原则

4、 所有接触信息系统的人员都必须获得授权。 实行最小化授权； 阻止越权操作行为； 每种资源实行使用权限管理； 阻止越权使用资源行为； 确定每一授权用户的职责范围。 （2）确认原则 采集数据的合法性； 输入数据的有效性； 业务与账务处理的正确性； 传送存储数据的安全性。 （3）跟踪原则 设置完善的跟踪日志，进行有效跟踪； 监视和发现系统故障差错以及恶意入侵行为； 防止非法使用信息跟踪工具。 （4）效能投资相容原则 确定与金融信息系统价值相适应的安全需求，以最小的投资获得最大的安全。 3. 安全需求内容安全需求内容 （1）传送数据应加密保护；（2）加密保护应有等级之分；（3）对联机柜台系统、联机清算

5、系统和电子资金转账系 统的密码应互相分离；（4）对个人识别号（PIN）应加密保护；（5）对银行卡（CARD）应加密保护；（6）对PIN，CARD要有身份鉴别； （7）丢失或盗来的银行凭证（如支票、存折、信用卡） 有防诈骗技术措施； （8）对伪造的银行凭证有防诈骗措施； （9）对数据、应用进程应有标记，禁止符合安全策略 的访问和操作； （10）对入网者有身份验证，防止非法入网； （11）对传送数据必须有强度合适的完整性和源鉴别保 护措施； （12）有强度合适的访问控制，访问控制策略不得不允 许授权人以外的更动，变更访问控制策略必须持二人以上持卡串行操作； （13）有强度合适的密钥分配与密钥管理措

6、施； （14）金融信息系统内联网必须与公众的Internet隔离， 也要与其他内联网隔离。 电子商务系统指参与商业活动的所有个人、公司、集团、商店集团等组织的网络交易和结算系统。其中的交易和结算行为与金融信息系统有关。 1. 普遍性安全风险分析普遍性安全风险分析 （1）非法用户通过网络进入系统； （2）窃取或修改数据进行电子犯罪； （3）与系统人员勾结、联合进行诈骗； （4）假冒他人行骗； （5）窃用信用卡或购物卡； （6）篡改商务信息，制造混乱； （7）抵赖已发生的交易或交易的内容。 2. 2. 安全需求的内容安全需求的内容 （1）完整性保护：使通过Internet了解本部门信息的客户明白这

7、些信息是完整的，没有受到修改。 （2）源鉴别服务：对来自Internet上的信息源进行鉴别，确认本部门提供的信息是真实可靠的，不是假冒和伪造的。 （3）数字签名：当本部门与客户发生网上交易，在合同的签定、货物的交割、客户付款时需双方进行数字签名，以保证以上过程的有效性、完整性和真实性。 （4）抗抵赖服务：当交易发生时，在订立合同、交货、收货、付款和收款全过程中，交易双方无法否认已发生过的行为和行为内容。 （5）身份鉴别：对访问者身份进行鉴别以确认其成员资格；对信息存取实行等级权限管理。 （6）访问控制：建立基于身份或规则的访问控制机制，防止非法用户进入系统。 （7）加密：对机密或敏感的商务信息

8、 加密存储和加密传输，并有适度的强度等级和相适应的密钥管理体制。 电子政务是政府在其管理和服务职能中运用现代信息和通信技术，实现政府组织结构和工作流程的重组优化；超越时间、空间和部门分隔的制约，全方位地向社会提供优质、规范、透明的服务，是政府管理理念和管理手段的变革。它主要包含两大部分： 内部政务办公系统； 对外服务部分。 1. 1. 电子政务的普遍性安全风险分析电子政务的普遍性安全风险分析 （1）非法用户通过公共网络进入内部网内各级局域网系统，获取资源或支配资源； （2）篡改向社会公布的政务信息以制造混乱； （3）插入和修改传输中的数据； （4）窃听和截获传输数据； （5）假冒管理者和信息主

9、体发布虚假信息。 2. 2. 与与InternetInternet连接的安全需求连接的安全需求 （1）完整性保护：必须保证内部信息和向社会公开发布的国家、法令、布告、通知以及其他需要外界广泛了解的信息的完整性。任何形式的信息创建、插入、删除和篡改都是不被允许的。 （2）源鉴别服务：对信息源进行鉴别以确认消息来源是真实可信的。 （3）用户鉴别：政府部门的公开信息是内外有别的，因此要按信息级别和类别对访问用户的身份合法性进行鉴别。 （4）访问控制：访问控制包括对进入查询系统的控制以及访问的权限管理。 3. 3. 与内部网连接的安全需求与内部网连接的安全需求 （1）身份鉴别：鉴别操作实体的部门、级别

10、及权限属性。 （2）访问控制 阻止系统外（非法）用户访问和进入系统； 阻止系统内（合法）用户进行未授权的访问和操作； 阻止越权操作； 对越权者进行审计跟踪。 （3）加密：按照规定对涉密信息进行加密存储和传输。 （4）建立合适的密钥管理体系。 l9.2.1 基于网络的安全策略基于网络的安全策略 l9.2.2 基于主机的安全策略基于主机的安全策略 l9.2.3 基于设施的安全策略基于设施的安全策略 l9.2.4 基于数据管理的安全策略基于数据管理的安全策略 l9.2.5 信息系统开发、运行和维护中的安全策略信息系统开发、运行和维护中的安全策略 l9.2.6 基于安全事件的安全策略基于安全事件的安全

11、策略 l9.2.7 与开放性网络连接的信息系统应追加的安全措施与开放性网络连接的信息系统应追加的安全措施 信息系统是复杂的，信息系统的安全也是复杂的。可以说，有多么复杂的信息系统，就有多么复杂的信息系统安全。为此，在制定安全措施时必须考虑一套科学的、系统的安全策略。 信息安全策略 制定应以信息系统为对象，根据风险分析确立安全方针，并依照这个方针来制定相应的策略。下面是中国信息安全产品评测认证中心提出的系统一般采取的安全策略，供安全管理人员制定系统安全策略时参考。具体制定系统的安全策略时，可以根据风险分析，从中选择必要的内容，同时根据需求追加一部分内容。 9.2.1 9.2.1 基于网络的安全策

12、略基于网络的安全策略 管理者为防止对网络的非法访问或非授权用户使用的情况发生，应采取以下策略。 1. 监视日志 （1）读取日志，日志的内容至少可确定访问者的情况； （2）确保日志本身的安全； （3）对日志进行定期检查； （4）应将日志保存到下次检查时。 2. 对不正当访问的检测功能 当出现不正当访问时应设置能够将其查出并通知风险管理者的检测功能。 （1）设置对网络及主机等工作状态的监控功能； （2）若利用终端进行访问，则对该终端设置指定功能； （3）设置发现异常情况时能够使网络、主机等停止工作的功能。 3. 口令 对依据口令进行认证的网络应采取以下策略： （1）用户必须设定口令，并努力做到保密

13、； （2）若用户设定口令时，应指导他们尽量避免设定易于猜测的词语，并在系统上设置拒绝这种口令的机制； （3）指导用户每隔适当时间就更改口令，并在系统中设置促使更改的功能； （4）限制口令的输入次数，采取措施使他人难以推测口令； （5）用户一旦忘记口令，就提供口令指示，确认后，口令恢复； （6）对口令文本采取加密方法，努力做到保密； （7）在网络访问登录时，进行身份识别和认证； （8）对于认证方法，应按照信息系统的安全需求进行选择； （9）设定可以确认前次登录日期与时间的功能。 4. 用户身份识别（用户ID）管理 （1）对于因退职、调动、长期出差或留学而不再需要或长期不使用的用户ID予以注销；

14、（2）对长期未进行登记的用户以书面形式予以通知。 5. 加密 （1）进行通信时根据需要对数据实行加密； （2）要切实做好密钥的保管工作，特别是对用户密钥进行集中保管时要采取妥善的保管措施。 6. 数据交换 （1）在进行数据交换之前，对欲进行通信的对象进行必要的认证； （2）以数字签名等形式确认数据的完整性； （3）设定能够证明数据发出和接收以及可以防止欺骗的功能； （4）在前3步利用加密操作的情况下，对用户的密钥进行集中管理时，要寻求妥善的管理方法。 7. 灾害策略 为防止因灾害、事故造成线路中断，有必要做成热备份线路。 9.2.2 9.2.2 基于主机的安全策略基于主机的安全策略 管理者为防

15、止发生对主机非法访问或未授权用户使用等情况，应采取以下策略。 1. 监视日志 （1）读取日志，日志的内容至少可确定访问者的情况； （2）确保日志本身的安全； （3）对日志进行定期检查； （4）应将日志保存到下次检查时； （5）具备检测不正当访问的功能； （6）设置出现不正当访问时，能够将其查出并通知风险管理者的功能。 2. 口令 对依据口令进行认证的主机等应采取以下策略： （1）用户必须设定口令，并努力做到保密； （2）若用户设定口令时，应指导他们尽量避免设定易于猜测的词语，并在系统上设置拒绝这种口令的机制； （3）指导用户每隔适当时间就更改口令，并在系统中设置促使更改的功能； （4）限制口令

16、的输入次数，采取措施使他人难以推测口令； （5）用户一旦忘记口令，就提供口令指示，确认后，口令恢复； （6）对口令文本采取加密方法，努力做到保密。 3. 对主机的访问 （1）在记录日志时，进行识别和认证； （2）对于认证方法，按照信息系统所需的安全要求进行选择； （3）设置可以确认前次日志记录日期的功能； （4）根据安全方针，除了对主机的访问加以控制外，对数据库的数据、移动存储设备也应分别进行控制； （5）为确保访问控制等功能的安全，有必要选择具有相应功能的操作系统。 4. 安全漏洞 （1）采用专用软件，对是否存在安全漏洞进行检测； （2）发现安全漏洞时，要采取措施将其清除。 5. 加密 （1

17、）在保管数据时，要根据需要对数据等实行加密； （2）要切实做好密钥的保管工作，特别是对用户密钥进行集中保管时要采取妥善的保管措施。 6. 对主机的管理 （1）应采取措施使各装置不易拆卸、安装或搬运； （2）要采取措施，避免显示屏上的信息让用户以外的人直接得到或易于发现。 7. 预防灾害策略 （1）根据需要将装置做成热备份的，并设置替代功能； （2）设置自动恢复功能。 9.2.3 9.2.3 基于设施的安全策略基于设施的安全策略 管理者为了防止重要的计算机主机系统设施不受外部人员的侵入或遭受灾害，应采取以下办法： 1. 授予资格 （1）建立进入设施的资格（以下称资格）； （2）资格授予最小范围的

18、必需者，并限定资格的有效时间； （3）资格仅授予个人； （4）授予资格时，要注明可能进入的设施范围及进入设施的目的。 2. 建立身份标识 （1）对拥有资格的人员发给记有以下事项的身份标识和IC卡等（以下称身份证）； 资格的有效期； 可进入的设施范围及进入的目的； 照片等个人识别信息。 （2）制作标识的材料应采用不易伪造的材料，另外要严格管理标识原件（指存档的），分之丢失。 （3）有资格的人员标识遗失或损坏时，应立即报告安全总负责人。 （4）当按照（3）项报告后，即宣布该标识无效。 3. 设施出入管理 （1）为获准进入设施，要提交身份标识确认资格； （2）限定允许出入设施的期限； （3）将允许进

19、入人员的姓名、准许有效期限、可进入的设施范围、进入目的以及进入设施的许可（以下称许可）等记录下来并妥善保存； （4）对允许进入的人员发给徽章等进入设施的标志，并将该标志佩带在明显的位置； （5）进入设施的标志应按照身份标识中的（2）（4）项要求执行； （6）在建筑物或计算机房的出入口处查验是否具有资格和许可； （7）当从设施中般出/入物资时，都应对该物资和搬运工作进行查验； （8）物资搬运出入时，应记录负责人的姓名、物资名称、数量、搬运出/入时间等，并保存。 （9）保安人员负责出入管理。 4. 防范措施 （1）限定设施出/入口的数量，设置进行身份确认的措施； （2）在设施内装设报警和防范摄像装

20、置，以便在发现侵入时采取必要的防范措施； （3）在建筑物、机房及外设间、配电室、空调室、主配电室（MDF）、中间配电室（IDF）、数据保存室等的入口处设置报警装置，以便在发现侵入时采取必要的防范措施； （4）让保安人员在设施内外进行巡视。 5. 灭害策略 （1）设施的地点应尽可能选在自然灾害较少的地方； （2）建筑物应选择抗震、防火结构； （3）各种设备都应采取措施防止因地震所导致的移动、翻倒或震动； （4）内装修应使用耐燃材料，采取防火措施； （5）对电源设备要采取防止停电措施； （6）对空气调节装置要采取防火和防水措施，使用水冷/热式空调设备时要采取防水的措施。 9.2.4 9.2.4 基

21、于数据管理的安全策略基于数据管理的安全策略 1. 数据管理 （1）当重要数据的日志不再使用时，应先将数据清除，在将存储介质破坏，随后立即将该记录文件销毁； （2）对记录有重要数据的记录文件应采取措施，做好保管场所携带出入的管理，将数据用密码保护； （3）对移动存储介质，根据需要应采取数据加密或物理方法禁止写入等措施。 2. 数据备份 应定期或尽可能频繁地进行备份。备份介质应制定妥善的保存办法、保存期限，与原介质在不同地方保管。 3. 审计 （1）应从信息系统的安全性、可信度、保全性和预防犯罪的角度进行审计； （2）制定审计的方法并制成手册； （3）有计划、定期地进行审计；但若有重大事故发生或认

22、为有危险发生时，应随时进行审计； （4）提交审计报告； （5）安全总负责人应根据审计结果迅速采取必要的措施。 9.2.5 9.2.5 信息系统开发、运行和维护中的安全策略信息系统开发、运行和维护中的安全策略 1. 开发中的安全策略 （1）采取措施防止将基础数据泄露给从事开发外的其他人员； （2）制定专门的系统设计文档； （3）制定专门的运行和维护手册； （4）运行手册中应制定出危机范围和风险策略。 2. 运行中的安全策略 （1）根据手册操作； （2）记录运行情况日志； 3. 维护中的安全策略 （1）根据手册操作； （2）记录维护情况。 9.2.6 9.2.6 基于安全事件的安全策略基于安全事件

23、的安全策略 管理者为在发生犯罪事件时能确保与有关部门取得联系，为危机进行切实应对，从而确保安全，应采取以下策略。 1. 发现攻击时应采取的管理措施 （1）当发现对用户等进行攻击、事故或侵害其他信息系统安全的行为或事件（以下简称攻击）时，有义务立即向危机管理负责人报告； （2）应将受到攻击的对象、非法访问的结果、出入时的日志以及其后审计或调查所需的信息等，作为发现攻击行为的状态保存下来； （3）及时想相关部门通报； （4）发现非法访问行为且需要得到相关部门援助时，提出申请，待相关部门调查结束，在进行系统恢复时，应将操作过程记录下来。 2. 组织体制 为明确责任和权限应建立以下体制： （1）日常事

24、务体制，设立专职的安全总负责人和审计负责人； （2）风险管理体制，设专职的风险管理责任人、风险管理设备执行人员和其他责任人。 3. 教育及培训 （1）将风险发生时的防范措施制成手册发给用户并进行定期训练； （2）让用户了解风险对社会带来较大的危害、从而提高安全意识； （3）对用户策略实施情况进行审计，对措施不完备的地方加以改进。 9.2.7 9.2.7 与开放性网络连接的信息系统应追加的安全措施与开放性网络连接的信息系统应追加的安全措施 对于信息系统来说，除了前面所述安全策略之外，从预防非法访问、计算机病毒侵入的角度来看，与Internet等开放性网络连接，还应追加下列安全措施。 1. 一般措

25、施 网络系统考虑通过开放性网络引入的不正当访问和恶意程序侵入，应当追加如下措施。 （1）与开放性网络的连接应限定在最小范围的功能、线路和主机； （2）与开放性网络连接时，应采取措施预防对信息系统进行不正当的访问； （3）利用防火墙时，应设定适当的条件； （4）使用计算机系统时，应采取一定的安全措施，以确保该信息系统的安全； （5）关于网络结构等重要信息除非必要时，不得公开。 2. 监视措施 应当设置对线路负荷状况的监视功能。发现异常情况时，应根据需要使之与相连接的开放性网络断开。 3. 安全事件应对措施 在确保攻击发生时能与相关部门取得联系，对危机进行准确应对的同时，还应采取如下措施。 （1）

26、与相关机构合作，把握受侵害的情况，采取措施，防止侵害的扩大； （2）对攻击进行分析，查明原因，与相关机构合作采取措施，防止攻击再次发生； （3）限定用户，即尽可能将可通过开放性网络进行访问的用户（数）加以限制； （4）信息收集，即平时要注意收集通过开放性网络进行非法访问的信息。 l9.3.1 基本概念基本概念 l9.3.2 访问控制结构访问控制结构 l9.3.3. 访问控制实施策略访问控制实施策略 访问控制（Access Control）是对信息系统资源的访问范围以及方式进行限制的策略。简单地说，就是防止合法用户的非法操作。它是建立在身份认证之上的操作权限控制。身份认证解决了访问者是否合法者，

27、但并非身份合法就什么都可以做，还要根据不同的访问者，规定他们分别可以访问哪些资源，以及对这些可以访问的资源可以用什么方式（读？写？执行？删除？等）访问。它是基于权限管理的一种是非常重要的安全策略。对用户权限的设定，称为授权（Authorization）。 9.3.1 9.3.1 基本概念基本概念 1. 主体与客体 用术语可以将访问控制可以描述为：主动的主体（Subject）使用某种特定的访问操作去访问一个被动的客体（Object），所使用的特定的访问操作受访问监视器控制。这就是图9.1所示的安全系统逻辑模型。 主体主体 身份认证身份认证 访问控制访问控制 客体客体 访问监视器访问监视器 访问访

28、问请求请求 权限权限 图图9.1 安全系统逻辑模型安全系统逻辑模型 主体和客体都是访问控制系统中的实体。主体是发出访问请求的主动方，通常是用户或用户进程。客体是被访问的对象，通常是被调用的程序、进程，要存取的数据、文件、内存、系统、设备、设施等资源。信息系统的安全目标就是控制和管理主体对客体的访问。所谓安全策略，就是对这些访问进行约束的一组规则和目标，它反映了系统的安全需求，并可以用达到安全目的而采取的步骤进行描述。 2. 访问权限 （1）Bell-LaPadula安全模型中的访问权限 1973年David Bell和Len Lapadula提出了第一个也是最著名安全策略模型Bell-LaPa

29、dula安全模型，简称BLP模型。 在基本层面上，定义了两种访问方式： 观察（Observe）：查看客体的内容。 改变（Alter）：改变客体的内容。 在Bell-LaPadula安全模型中定义了4种访问权限：执行、读、添加（有时也称盲目的写）和写。表9.1给出了这些访问权限与访问方法之间的关系。 执行执行添加添加读读写写查查 看看 改改 变变 表表9.1 Bell-LaPadula安全模型中的访问权限安全模型中的访问权限 注意，这里基于效率的考虑，写访问通常包含读访问。这样，在编辑一个文件市，就无须先打开一次进行读（了解内容），再打开一次用于写了。所以写访问包含了查看和改变两种访问形式。 （

30、2）Unix Unix的访问控制用3种权限表示：读（read）、写（write）、执行（execute）。它们应用于文件和目录时含义有所不同，如表9.2所示。 用于文件用于文件用于目录用于目录读读从一个文件读从一个文件读列出目录内容列出目录内容写写写进一个文件写进一个文件创建或重命名目录中的一个文件创建或重命名目录中的一个文件执行执行执行一个（程序）文件执行一个（程序）文件搜索目录搜索目录表表9.2 Unix的访问控制的访问控制3种权限种权限 （3）Windows NT/2000/XP Windows NT/2000/XP的权限分为文件权限和目录权限。每一个权限级别都确定了一个执行特定的任务组

31、合的能力，这些任务是：Read（R）、Execute（X）、Write（W）、Set Permission（P）、Take Ownership（O）。表9.3表明任务与各种权限级别之间的关联。 权权 限限RXWDPO用用 户户 行行 为为目目录录权权限限No Access 用户不能访问该目录用户不能访问该目录ListRX可以查看目录中的子目录和文件名，也可以进入其子目录可以查看目录中的子目录和文件名，也可以进入其子目录ReadRX具有具有Linux权限，用户可以读取目录中的文件和运行目录中的应用程序权限，用户可以读取目录中的文件和运行目录中的应用程序AddXW用户可以添加文件和子目录用户可以添

32、加文件和子目录Add and ReadRXW具有具有Add 和和 Read的权限的权限ChangeRXWD具有具有Add 和和 Read的权限，另外还可以更改文件的内容，删除文件和子目录的权限，另外还可以更改文件的内容，删除文件和子目录Full controlRXWDPO具有具有Change的权限，另外用户可以更改权限和获取目录的所有权。的权限，另外用户可以更改权限和获取目录的所有权。文文件件权权限限No Access 用户不能访问该文件用户不能访问该文件ReadRX用户可以读取该文件，如果是应用程序可以运行用户可以读取该文件，如果是应用程序可以运行ChangeRXWD具有具有 Read的权限

33、，还可以修改和删除文件的权限，还可以修改和删除文件Full controlRXWDPO具有具有Change的权限，还可以更改权限和获取文件的所有权。的权限，还可以更改权限和获取文件的所有权。表表9.3 Windows NT/2000/XP表明任务与各种权限级别之间的关联表明任务与各种权限级别之间的关联 9.3.2 9.3.2 访问控制结构访问控制结构 对于单个主体和客体进行单独的定义。但是对于数量众多的主体和客体，就要设计一种合适的实现结构了。下面介绍几种常用的访问控制结构。 1. 访问控制矩阵 访问控制矩阵也称访问许可矩阵，它用行表示客体，列表示主体，在行和列的交叉点上设定访问权限。表9.4

34、为一个访问控制矩阵的例子。 File1File2File3File4张三张三Own,R,W Own,R,W 李四李四ROwn,R,WWR王五王五R,WR Own,R,W表表9.4 一个访问控制矩阵的例子一个访问控制矩阵的例子 表中，一个文件的Own权限的含义是可以授予（Authorize）或者撤销（Revoke）其他用户对该文件的访问控制权限。例如，张三对File1具有Own权限，所以张三可以授予或撤销李四和王五对File1的读（R）写（W）权限。 访问矩阵比较直观，但是表中会出现空白。 2. 访问能力表 能力（Capability）是受一定机制保护的客体标志，标记了某一主体对客体的访问权限：

35、某一主体对某一客体有无访问能力，表示了该主体能不能访问那个客体；而具有什么样的能力，表示能对那个客体进行一些什么样的访问。图9.2是表9.4的能力表表示。 张三张三File1OwnRWFile3OwnRW李四李四File1RFile2OwnRWFile3WFile4R王五王五File1RWFile3RFile4OwnRW图图9.2 访问能力表的例子访问能力表的例子 访问能力表着眼于某一主体的访问权限，从主体出发描述控制信息，很容易获得一个主体所被授权可以访问的客体及其权限。但要从客体出发获得哪些主体可以访问它，就困难了。 3. 访问控制表 访问控制表（Access Control List，A

36、CL）与访问能力表正好相反，是从客体出发描述控制信息，可以用来对某一资源指定任意一个用户的访问权限。图9.3是表9.4的访问控制表表示。 ACL的优点是可以容易地查出对某一特定资源拥有访问权的所有用户，有效地实施授权管理，是目前采用的最多的一种实现形式。 File1张三张三OwnRW李四李四RFile2李四李四OwnRW王五王五RFile3张三张三OwnRW李四李四W王五王五RWFile4李四李四R王五王五OwnRW图图9.3 访问控制表的例子访问控制表的例子 4. 授权关系表 授权关系表（Authorization Relations）描述了主体和客体之间各种授权关系的组合。表9.5为表9.

37、4的授权关系表表示。 授权关系表便于使用关系数据库进行存储。只要按照客体进行排序，就得到了与访问能力表相当的二维表；按照主体进行排序，就得到了与访问控制表相当的二维表。 主主 体体访问权限访问权限客客 体体张三张三OwnFile1张三张三RFile1张三张三WFile1张三张三OwnFile3张三张三RFile3张三张三WFile3李四李四RFile1李四李四OwnFile2李四李四RFile2李四李四WFile2李四李四WFile3李四李四RFile4王五王五RFile1王五王五WFile1王五王五RFile2王五王五OwnFile4王五王五RFile4王五王五WFile4表表9.5 授权关

38、系表的一个例子授权关系表的一个例子 9.3.3. 9.3.3. 访问控制实施策略访问控制实施策略 计算机的活动主要是在主体和客体之间进行的。计算机安全的核心问题就是保证主体对客体访问的合法性，既通过对数据及程序的读出、写入、修改、删除、运行等的管理，确保主体对客体的访问是经过授权的，同时要拒绝非授权的访问，以保证信息的机密性、完整性和可用性。 例如，当用户或应用程序试图访问一个文件时，首先需要通过系统调用打开文件。在打开文件之前，访问控制机制被调用。访问控制机制利用访问控制表、访问权力表或访问控制矩阵等，检查用户的访问权限，如果在用户的访问权限内，则可以继续打开文件；如果用户超出授权权限，则访

39、问被拒绝，产生错误信息并退出。 然而，访问控制所提供的安全性还与访问控制实施的策略有关。下面介绍在计算机系统中常用的3中访问控制实施策略。 1. 自主访问控制 自主访问控制，又称任选访问控制（Discretionary Access Control，DAC）。所以称“自主”，意为：一个拥有一定访问权限的主体，被看作是一定资源的所有者（也往往是创建者），在其拥有的资源范围内，所有者可以自主地直接或间接地将权限传给（分发给）主体，即可以自主地谁可以访问这些资源。例如，用户A对客体O具有访问权限，而B没有。当A将对O的访问权限传递给B后，B就有了对O的访问权限。这是目前计算机系统中应用最广泛的一种策

40、略，Unix和Windows系统都是采用自主型的访问控制策略。DAC的优点是应用灵活。缺点是，权限传递很容易造成漏洞，所以其安全级别比较低，不太适合网络环境。 2. 强制访问控制 强制访问控制（Mandatory Access Control，MAC）的基本思想是系统要“强制”主体服从访问控制政策：系统（系统管理员）给主体和客体分配了不同的安全属性，用户不能改变自身或任何客体的安全属性，即不允许单个用户确定访问权限，只有系统管理员才可以确定用户或用户组的访问权限。 MAC主要用于多层次安全级别的系统（如军事系统）中。它预先将主体和客体进行分级，定义出一些可信任级别及信息的敏感程度安全级别（如绝

41、密级、机密级、秘密级、无密级等），然后分别给主体和客体以级别标记。用户必须遵守安全政策划分的安全级别的设定以及有关访问权限的设定。当用户提出访问请求时，系统对主、客体的安全属性进行比较，来决定该主体是否可以对所请求的客体进行访问。 在典型的应用中，MAC使用两种访问控制关系：上读/下写用来保证数据完整性和下读/上写用来保证数据机密性。下读/上写相当于在一个层次组织中，上级领导可以看下级的资料；而下级不能看上级的资料，但可以向上级写资料。 MAC比DAC具有更强的访问控制能力。但是实现的工作量大，管理不便，不够灵活。 3. 基于角色的访问控制 基于角色的访问控制（Role-Based Acces

42、s Control，RBAC）是20世纪90年代提出的访问控制策略。它克服了前面两种传统访问控制策略的不足，成为一种有效的访问控制策略。 为了说明GBAC的原理，首先观察图9.4，并从以下几个方面来理解角色。 用户用户1角色角色1权限权限a客体客体1用户用户2用户用户3角色角色2客体客体2客体客体2权限权限b权限权限c权限权限d图图9.4 角色的概念角色的概念 （1）在传统的访问控制中，主体与客体直接沟通。而在基于角色的访问控制中，角色是一个中间层，主体（用户）与客体之间没有直接的联系，只能靠角色沟通；用户标识主体本身仅对于身份认证具有意义，真正决定访问权限的是用户的角色标识。 （2）角色相当

43、于工作部门中的岗位、职位或分工。一个角色可以对应多个用户（相当于一个岗位可以有多个职员），也可以有多个权限（对多个资源的访问权）。角色一方面是用户的集合，一方面又是权限的集合，它作为中间媒介形成用户集合与某种授权的关联。这种关联相对于个体具有较强的稳定性。这样的权限管理与传统的权限管理相比，具有较强的可操作性和可管理性。 （3）角色由系统管理员定义，角色成员的增减也只能由系统管理员执行，只有系统管理员才有权定义和分配角色，并且授权规则是强加给用户的，用户只能被动地接受，不能自主地决定。 （4）在RBAC系统中，要求区分权限（Authority）和职责（Responsibility）： 一位系统

44、管理员或安全主管可以修改、分配访问权限，但不可具有访问任何资源的权限； 一个用户可以具有某种访问权限，但不能涉及访问权限的分配工作。 （5）角色的控制比较灵活，根据需要可以将某些角色配置得接近DAC，而让某些角色接近MAC。 4. 多重访问控制策略 前面介绍了三种访问控制策略。这些策略并非绝对相互排斥的。将不同的策略综合应用，形成多重访问控制策略，可以获得更好、更安全的系统保护。在图9.5所示的多重访问控制策略中，只有各种策略的交集策略允许，多重策略的访问才被许可。当出现一些冲突时，需要在管理层协商协调。 访问控制访问控制DACMACRBAC图图9.5 多重访问控制策略多重访问控制策略 l9.

45、4.1 开放系统互联安全体系结构概述开放系统互联安全体系结构概述 l9.4.2 OSI安全体系结构的安全服务安全体系结构的安全服务 l9.4.3 OSI七层中的安全服务配置七层中的安全服务配置 l9.4.4 OSI安全体系结构的安全机制安全体系结构的安全机制 l9.4.5 OSI安全体系的安全管理安全体系的安全管理 一个信息系统的安全涉及有关安全的众多因素和要求，如保密性、完整性、可扩展性、方便性、以及成本等。这些要求往往是有冲突的。特别重要的是，存在安全理论与系统实际之间的特殊性冲突。因此一个系统安全的最后实现，一定是这些众多因素的协调和折中考虑，也是理论如何应用于实际的问题。研究信息系统安

46、全体系结构的目的，就是将普遍性的安全体系原理与信息系统自身的实际相结合，从所需要保护的信息系统资源出发，分析由系统可能的威胁和系统自身可能的漏洞形成的安全风险，建立系统安全需求，从管理和技术上保证安全策略得以完整准确地实现，安全需求得以全面准确地满足。 这一节介绍开放系统互联安全体系结构，即著名的ISO/OSI安全体系结构。它是国际标准化组织ISO于1989年在对OSI开放系统互联环境的安全性进行深入研究的基础上提出的ISO-7498-2和Internet安全体系结构（RFC2401）。国家标准信息处理系统开放系统互联基本参考模型第二部分：安全体系结构（GB/T9387.2-1995）是一个与

47、之等同的标准，它给出了基于OSI参考模型七层协议之上的信息安全体系结构。 9.4.1 9.4.1 开放系统互联安全体系结构概述开放系统互联安全体系结构概述 OSI安全体系结构是一个普遍适用的安全体系结构，其核心内容是保证异构计算机系统进程与进程之间远距离交换信息的安全，其基本思想是，为了全面而准确地满足一个开放系统的安全需求，必须在七个层次中提供必需的安全服务、安全机制和技术管理，以及它们在系统上的合理部署和关系配置。这个体系结构可以用图9.6表示。 OSI参考模型参考模型安全机制安全机制安全服务安全服务应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理

48、层鉴别服务鉴别服务访问控制访问控制数据完整性数据完整性数据机密性数据机密性抗抵赖抗抵赖加密加密数字签名数字签名访问控制访问控制数据完整性数据完整性数据交换数据交换业务流填充业务流填充路由控制路由控制公证公证图图9.6 OSI安全体系结构安全体系结构 OSI安全体系结构提供的内容有： （1）提供安全体系结构所配备的安全服务（亦称安全功能）和有关安全机制在体系结构下的一般描述； （2）确定体系结构内部可以提供相关安全服务的位置； （3）保证完全准确地配置安全服务，并且一直维持于信息系统安全的生命周期中，安全服务必须满足一定强度的要求； （4）一种安全服务可以通过某种单独的安全机制提供，也可以通过多

49、种安全机制联合提供，一种安全机制可用于提供一种或多种安全服务，在七层协议中除第五层（会话层）外，每一层均能提供相应的安全服务。 实际上，最适合配置安全服务的是在物理层、网络层、传输层和应用层上。其他层都不宜配置安全服务。 9.4.2 OSI9.4.2 OSI安全体系结构的安全服务安全体系结构的安全服务 OSI安全体系结构中定义的5大类安全服务，也称安全防护措施。 1. 鉴别服务 鉴别是最基本的安全服务，是对付假冒攻击的有效方法。鉴别可以分为对等实体鉴别和数据源鉴别。 （1）对等实体鉴别 对等实体鉴别是在开放系统的两个同层对等实体间建立连接和传输数据期间，为证实一个或多个连接实体的身份而提供的一

50、种安全服务。这种服务可以是单向的，也可以是双向的；可以带有有效期检验，也可以不带。从七层参考模型看，当由（N）层提供这种服务时，将使（N+1）层实体确信与之打交道的对等实体正是它所需要的对等（N+1）层实体。 （2）数据源鉴别 数据源鉴别服务是对数据单元的来源提供识别，但对数据单元的重复或篡改不提供鉴别保护。从七层参考模型看，当由（N）层提供这种服务时，将使（N+1）层实体确信数据来源正是它所需要的对等（N+1）层实体。 2. 访问控制 访问控制用于防止资源的未授权使用。在OSI安全体系结构中，访问控制的安全目标是： （1）通过进程（可以代表人员或其他进程行为）对数据不同进程或其他计算资源的访

51、问控制。 （2）在一个安全域内的访问或跨越一个或多个安全域的访问控制。 （3）按照其上下文进行的访问控制。如根据试图访问的时间、访问者地点或访问路由等因素的访问控制。 （4）在访问期间对授权更改做出反应的访问控制。 3. 机密性 机密性就是保护信息（数据）不泄露或不泄露给那些未授权掌握这一信息的实体。 在信息系统安全中需要区分两类机密性服务： 数据机密性服务：使攻击者想要从某个数据项中推出敏感信息是十分困难的。 业务流机密性服务：使攻击者想要通过观察通信系统的业务流来获得敏感信息是十分困难的。 根据所加密的数据项，机密性服务可以有如下几种类型； （1）连接机密性：为一次（N）连接上的所有（N）

52、用户数据提供机密性保护。 （2）无连接机密性：为单个无连接的（N）SDU中的全部（N）用户数据提供机密性保护。 （3）选择字段机密性：为那些被选择的字段提供机密性保护。这些字段或处于（N）连接的（N）用户中，或者为单个无连接的（N）SDU中的字段。 （4）通信业务流机密性：使得通过观察通信业务流而不可能推断出其中的机密信息。 4. 完整性 完整性服务用于对抗数据在存储、传输等处理过程中受到的非授权修改。 完整性服务有三种重要类型： 连接完整性服务 无连接完整性服务 选择字段完整性服务 完整性服务还可以按是否具有恢复功能，分为： 不具有恢复功能的完整性服务：检测到数据的完整性破坏，仅仅给出报告而

53、不采取进一步的措施。 具有恢复功能的完整性服务：不仅检测到数据的完整性破坏，而且能正确地将数据恢复到破坏前的样子。 OSI安全体系把完整性服务概括为： （1）带恢复的连接完整性：为（N）连接上的所有（N）用户数据保证其完整性，并检测整个SDU序列中的数据遭受到的任何篡改、插入、删除、或者同时进行补救和/或恢复。 （2）不带恢复的连接完整性：同带恢复的连接完整性，只是不做补救恢复。 （3）选择字段的连接完整性：为一次连接上传送的（N）SDU的（N）用户数据中的选择字段提供完整性保护，确定被选择字段是否遭受了篡改、插入、删除或不可用。 （4）无连接完整性：为单个无连接上SDU提供完整性保护，：检测

54、一个接收到的SDU是否遭受了篡改，并在一定程度上提供对连接重放检测。当这种服务由（N）提供时，对发出请求的那个（N+1）实体也就提供了完整性保护。 （5）选择字段的无连接完整性：为单个无连接上的SDU中的选择字段提供完整性保护，检测被选择字段是否遭受了篡改。 5. 抗抵赖 其他安全服务是针对来自未知攻击者的威胁，而抗抵赖服务的目的是保护通信实体免遭来自其他合法实体的威胁。OSI定义的抗抵赖服务有两种类型： （1）有数据原发证明的抗抵赖：为数据的接收者提供数据的原发证据，使发送者不能抵赖这些数据的发送或否认发送内容。 （2）有交付证明的抗抵赖：为数据的发送者提供数据交付证据，使接收者不能抵赖收到

55、这些数据或否认接收内容。 9.4.3 OSI9.4.3 OSI七层中的安全服务配置七层中的安全服务配置 1. 安全分层及服务配置原则 决定安全服务对层分配以及伴随而来的安全机制在这些层上的配置，按照下列原则进行。 （1）实现一种服务的不同方法越少越好； （2）在多层上提供安全服务来建立安全系统是可取的； （3）为安全所需的附加功能不应该、不必要地重复OSI的现有功能； （4）避免破坏层的独立性； （5）可信功能2的总量应尽量少； （6）只要一个实体依赖于由位于较低层的实体提供的安全机制，那么任何中间层应该按不违反安全的方式构建； （7）只要可能，应以不排除作为自容纳模块起作用的方法来定义一个层

56、的附加安全功能； （8）本标准被人定用于由包含所有7层的端系统组成的开放系统以及中继系统。 2. 在OSI各层中的安全服务配置 OSI各层提供的安全服务配置如表9.6所示。不论所要求的安全服务是由该层提供或下层提供，各层上的服务定义都可能需要修改。 安全服务安全服务协协 议议 层层1234567对等实体鉴别对等实体鉴别 数据源鉴别数据源鉴别 访问控制访问控制 连接机密性连接机密性 无连接机密性无连接机密性 连接字段机密性连接字段机密性 通信业务流机密性通信业务流机密性 带恢复的连接完整性带恢复的连接完整性 不带恢复的连接完整性不带恢复的连接完整性 选择字段连接完整性选择字段连接完整性 无连接完

57、整性无连接完整性 选择字段无连接完整性选择字段无连接完整性 有数据原发证明的抗抵赖有数据原发证明的抗抵赖 有交付证明的抗抵赖有交付证明的抗抵赖 表表9.6 OSI各层中的安全服务配置各层中的安全服务配置 9.4.4 OSI9.4.4 OSI安全体系结构的安全机制安全体系结构的安全机制 OSI安全体系结构没有说明5种安全服务如何实现，但是它给出了8种基本（特定的）安全机制，使用这8种安全机制，再加上几种普遍性的安全机制，将它们设置在适当的（N）层上，用以提供OSI安全体系结构安全服务。 1. OSI的8种特定的安全机制 （1）加密 在OSI安全体系结构的安全机制中，加密涉及3个方面的内容： 密码

58、体制的类型：对称密码体制和非对称密码体制。 密钥管理。 加密层的选取：表9.7给出了加密层的选取时要考虑的因素，它不推荐在数据链路层上的加密。 加 密 要 求加密层对全部通信业务提供加密物理层细粒度保护（对每个应用提供不同的密钥）抗抵赖或选择字段保护表示层提供机密性与不带恢复的完整性对所有端对端之间通信的简单块进行保护希望有一个外部的加密设备（如为了给算法和密钥提供物理保护或防止软件错误）网络层提供带恢复的完整性以及细粒度保护传输层表表9.7 加密层的选取时要考虑的因素加密层的选取时要考虑的因素 （2）数字签名 数据签名是附加在数据单元上的一些数据，或是对数据单元所做的密码变换，这种附加数据或

59、变换可以起如下作用： 供接收者确认数据来源； 供接收者确认数据完整性； 保护数据，防止他人伪造。 数字签名需要确定两个过程： 对数据单元签名：使用签名者私有（独有或机密的）信息。 严正签过名的数据单元：使用的规程和信息是公开的，但不能推断出签名者的私有信息。 （3）访问控制 访问控制是是一种实施对资源访问或操作加以限制的策略。此外，它还可以支持数据的机密性、数据完整性、可用性以及合法使用的安全目标。访问控制机制可应用于通信联系中的任一端点或任一中间点。 访问控制机制可以建立在下面的一种或多种手段之上； 访问控制信息库：保存了对等实体的访问权限。 鉴别信息，如口令等。 权限。 安全标记。 试图访

60、问的时间。 试图访问的路由。 访问持续期。 （4）数据完整性 数据完整性保护的目的是避免未授权的数据乱序、丢失、重放、插入和篡改。下面讨论数据完整性的两个方面。 （a）单个数据或字段的完整性：决定单个数据单元的完整性涉及两个实体：一个在发送实体上，一个在接收实体上。发送实体给数据单元附上一个附加量，接收实体也产生一个相应的量，通过比较二者，可以判定数据在传输过程中是否被篡改。 （b）数据单元流或字段流的完整性：对于连接方式数据传送，保护数据单元序列的完整性（包括防止乱序、数据丢失、重放或篡改），还需要明显的排序标记，如顺序号、时间标记或密码链；对于无连接数据传送，时间标记可以提供一定程度的保护