安全体系结构与模型

1、安全体系结构与模型张伟南京邮电大学计算机学院信息安全系四个概念n安全体系结构安全体系结构：定义了最一般的关于安全体系结构的概念,如安全服务、安全机制n安全框架安全框架：定义了提供安全服务的最一般的方法，如数据源、操作方法以及它们之间的数据流向等n安全模型安全模型：指在特定的环境里，为保证提供一定级别的安全保护所奉行的基本思想n安全技术：安全技术：一些基本模块，它们构成了安全服务的基础，同时可以相互任意组合，以提供更强大的安全服务信息安全系统基本原则n建设信息基础设施时遵循的九项原则n负责原则n知晓原则n道德原则n多方原则n配比原则n综合原则n及时原则n重新评价原则n民主原则1.5 安全体系1.

2、6 安全模型IOS/OSI安全体系结构nISO：International Organization for StandardizationnOSI: Open System Interconnect/RMn安全服务n安全机制n安全管理n其它，如安全威胁ISO-7498-2安全架构n1982 ISO JTC1/JCT21n1988 ISO 7498-2n1990 ITU-T X.800n信息处理系统开发系统互联基本参考模型-第二部分：安全体系结构GB/T9387.2-1985nInternet安全体系结构RFC2401安 全 服 务（x.800）nITU-T X.800标准将我们常说的“网络安

3、全（networksecurity）”进行逻辑上的分别定义，即安全攻击(security attack)是指损害机构所拥有信息的安全的任何行为；安全机制（security mechanism）是指设计用于检测、预防安全攻击或者恢复系统的机制；安全服务（security service）是指采用一种或多种安全机制以抵御安全攻击、提高机构的数据处理系统安全和信息传输安全的服务。安全服务nX.800定义：为了保证系统或者数据传输有足够的安全性，开发系统通信协议所提供的服务。nRFC 2828：安全服务是一种由系统提供的对资源进行特殊保护的进程或通信服务。n安全服务通过安全机制来实现安全策略安全服务通

4、过安全机制来实现安全策略。安全服务(五类十四个服务)n对象认证安全服务n访问控制安全服务n数据保密安全服务n数据完整性安全服务n防抵赖性安全服务n匿名性安全服务（可选）1 对象认证安全服务 用于识别对象的身份和对身份的证实。OSI环境可提供对等实体认证和信源认证等安全服务。n 对等实体认证是用来验证在某一关联的实体中，对等实体的声称是一致的，它可以确认对等实体没有假冒；n 信源认证是用于无连接时验证所收到的数据来源与所声称的来源是一致的，但不提供防止数据中途被修改的功能。对象认证安全服务实例 A A服务器Internet讨论：假如A和A用户名是一样的，且都是合法用户，服务器是否能分别认怔A和A

5、？2 访问控制安全服务 提供对越权使用资源的防御措施。访问控制策略可分为自主访问控制、强制访问控制、基于角色的访问控制。实现机制可以是基于访问控制属性的访问控制表，基于安全标签或用户和资源分档的多级访问控制等Windows NT 文件访问控制3 数据保密性安全服务 针对信息泄漏而采取的防御措施,可分为n 连接保密性n 无连接保密性n 选择域保密性n 流量保密性 4 数据完整性安全服务 防止非法纂改信息，如修改、复制、插入和删除等。它有五种形式： 可恢复功能连接完整性、无恢复连接完整性、选择字段连接完整性、无连接完整性和选择字段无连接完整性5 防抵赖性安全服务 是针对对方抵赖的防范措施，用来证实

6、发生过的操作，它可分为对发送防抵赖、对递交防抵赖和进行公证。n源点的不可否认性n 信宿的不可否认性 ISO 安全服务的不足n缺少防止DoS攻击的定义；n对入侵检测，几乎没有涉及；n大多数安全服务是对同级实体的，缺少多级或分层实体的内涵；n本质上是一个被动安全服务定义；n其它，如授权； 安 全 机 制什么是安全机制n根据ISO提出的，安全机制是一种技术，一些软件或实施一个或更多安全服务的过程。 两类安全机制n特殊安全机制：在特定协议层实现，8种n普遍安全机制：不属于任何协议层或安全服务，5种n一个特殊的安全机制是在同一时间只对一种安全服务上实施一种技术或软件。n加密就是特殊安全机制的一个例子。尽

7、管你可以通过使用加密来保证数据的保密性，数据的完整性和不可否定性，但实施在每种服务时你需要不同的加密技术。n特殊安全机制和一般安全机制不同的另一个要素是一般安全机制不能应用到OSI参考模型的任一层上。1 加密机制n使用各种加密算法对存放的数据和流通的信息进行加密nRSAnDESnRC2/RC4/RC52 数字签名n采用非对称密钥体制，使用私钥进行数字签名，使用公钥对签名信息进行验证nRSAnMD4/MD5nSHA/SHA-1n数字签名模型3 访问(存取)控制机制n根据访问者的身份和其它信息，来决定实体的访问权限nATM卡n安全令牌TokennWindows NT 实例4 数据完整性机制n判断信

8、息在传输过程中是否被篡改、增加、删除过，确保信息的完整nMD4/MD5nSHA/SHA-15 认证交换机制n用来实现同级之间的身份认证nATM卡n口令n讨论：怎样防止中继重放攻击？6 防业务流量分析机制n通过填充冗余的业务流量，防止攻击者对流量进行分析，填充过的流量需通过加密进行保护n讨论：为什么？7 路由控制机制n防止不利、不良信息通过路由，进入子网或利用子网作为中继攻击平台n选择特殊的物理安全线路，允许路由变化n网络层防火墙8 公证机制n有公证人（第三方）参与数字签名，它基于通信双方对第三方的绝对信任nCA（Certificate Authority)nHotmail/yahoo 邮件服务

9、登陆认证另外5种普遍安全机制n可信功能度n安全标志n事件检测n安全审计跟踪n安全恢复信任的功能性n指任何加强现有机制的执行过程。n例如，当你升级你的TCP/IP堆栈或运行一些软件来加强你的Novell，NT,UNIX系统认证功能时，你使用的就是普遍的机制。 n事件检测：检查和报告本地或远程发生的事件 n审计跟踪：任何机制都允许你监视和记录你网络上的活动 n安全恢复：对一些事件作出反应，包括对于已知漏洞创建短期和长期的解决方案，还包括对受危害系统的修复。 安 全 管 理安全管理 为了更有效地运用安全服务，需要有其它措施来支持它们的操作，这些措施即为安全管理。安全管理是对安全服务和安全机制进行管理

10、，把管理信息分配到有关的安全服务和安全机制中去，并收集与它们的操作有关的信息 OSI安全服务和安全机制的关系 机制服务加密数字签名访问控制数据完整认证交换防流量分析路由控制公证对象认证访问控制数据保密数据完整防抵赖性在OSI层中的服务配置nOSI安全体系最重要的贡献是总结了各种安全服务在OSI参考模型的七层中的适当配置。n主要集中在3/4层和6/7层n网络/传输 会话/应用1.6 动态的自适应网络安全模型n单纯的防护技术不能解决网络安全问题n不了解安全威胁和安全现状n静态、被动的防御，而安全威胁、安全漏洞都具有动态的特性n安全的概念局限于信息的保护n不能正确评价网络安全的风险，导致安全系统过高

11、或过低的建设PDR模型的背景n对于网络系统的攻击日趋频繁，安全的概念已经不仅仅局限于静态的、被动的信息防护，人们需要的是对整个信息和网络系统的保护和防御，以确保它们的安全性，包括对系统的保护、检测和反应能力等。安全模型已经从以前的被动转到了现在的主动防御，强调整个生命周期的防御和恢复PDR模型nProtectionnDetectionnReaction/ResponseP2DR模型nPolicynProtectionnDetectionnResponseISS公司的P2DR模型安全策略-Policyn根据安全风险分析产生的安全策略描述了系统中哪些资源要得到保护，以及如何实现对它们的保护等。安全

12、策略是P2DR安全模型的核心，所有的防护、检测、响应都是依据安全策略实施的，企业安全策略为安全管理提供管理方向和支持手段防护-Protectionn通过修复系统漏洞、正确设计开发和安装系统来预防安全事件的发生；通过定期检测来发现可能存在的系统脆弱性；通过教育等手段，是用户和操作员正确使用系统，防止意外威胁；通过访问控制、监视等手段来防止恶意威胁检测-Detectionn在P2DR模型中，检测是一个非常重要的环节，检测是动态响应和加强防护的依据，它也是强制落实安全策略的有力工具，通过不断地检测和监控网络和系统，来发现新的威胁和弱点，通过循环反馈来及时作出有效的响应响应-Responsen紧急响应

13、在安全系统中占有重要的地位，是解决安全潜在问题最有效的办法。从某种意义上来说，安全问题就是要解决紧急响应和异常处理问题。响应的时间n攻击时间Pt：从入侵开始到侵入系统的时间n检测时间Dt：检测新的安全脆弱性或网络安全攻击的时间。n响应时间Rt：包括检测到系统漏洞或监控到非法攻击到系统启动处理措施的时间n系统暴露时间Et：系统处于不安全状态的时间,可定义为Et = Dt + Rt - Pt浏览器安全漏洞的评价nSymantec定义漏洞代码开发时间为第三方漏洞利用代码出现时间与首次漏洞报告的公布时间之间的间隔。n定义漏洞补丁开发时间漏洞补丁开发时间为漏洞对应补丁的发布时间与漏洞的发现时间之间的间隔。n定义漏洞的暴露时间漏洞的暴露时间为厂商发布补丁时间和漏洞利用代码的公开释放时间之间的间隔。n浏览器的平均暴露时间平均暴露时间为平均补丁发布时间和平均漏洞代码开发时间之间的差值。n在浏览器的暴露期间，存在漏洞的浏览器易于遭受到攻击，并且管理者没有官方的补丁