信息安全体系结构重点

企业体系结构有以下六种基本模式：（1）管道和过滤器（2）数据抽象和面向对象（3）事件驱动（4）分层次（5）知识库（6）解释器通用数据安全体系结构（CDSA）有三个基本的层次：系统安全服务层、通用安全服务管理层、安全模块层。其中通用安全服务管理层（CSSM）是通用数据安全体系结构（CDSA）的核心，负责对各种安全服务进行管理，管理这些服务的实现模块。信息安全保障的基本属性：可用性、完整性、可认证性、机密性和不可否认性，提出了保护、检测、响应和恢复这四个动态的信息安全环节。信息安全保障的三要素：人、技术和管理。信息安全需求分析涉及物理安全、系统安全、网络安全、数据安全、应用安全与安全管理等多个层面，既与安全策略的制定和安全等级的确定有关，又与信息安全技术和产品的特点有关。信息传输安全需求与链路加密技术，VPN应用、以及无线局域网和微波与卫星网等信息传输途径有关。信息安全体系结构的设计原则：需求分明、代价平衡、标准优先、技术成熟、管理跟进、综合防护。密码服务系统中密码芯片、密码模块、密码机或软件，以及密码服务接口构成。KMI密钥管理设施PKI公开密钥基础设施实际应用系统涉及的密码应用：数字证书运算、密钥加密运算、数据传输、数据存储、数字签名、消息摘要与验证，数字信封。密钥管理系统中密钥管理服务器、管理终端、数据库服务器、密码服务系统等组成。认证体系由数字认证机构（CA）、数字证书审核注册中心（RA）、密钥管理中心（KMC）、目录服务系统、可信时间戳系统组成。认证系统的三种基本信任模型，分别是树状模型、信任链模型和网状模型。解决互操作的途径有两种：交叉认证和桥CA。CA结构1）证书管理模块2）密钥管理模块3）注册管理模块4）证书发布及实时查询系统设计可信目录服务的核心是目录树的结构设计。这种设计应符合LDAP层次模型，且遵循以下三个基本原则:（1）有利于简化目录数据的管理。（2）可以灵活的创建数据复制和访问策略。（3）支持应用系统对目录数据的访问要求。授权管理基础设施（PMI）的应用模型（1）访问者和目标（2）策略实施点（3）策略决策点（4）安全授权策略说明遵循的原则和具体的授权信息。（5）属性权威（6）属性库（7）策略库集中式授权管理服务系统的体系结构（1）授权管理模块（2）授权信息目录服务器（3）资源管理模块（4）策略引擎（5）密码服务系统集中式权限管理服务系统的主要功能：用户管理、审核管理、资源管理、角色管理、操作员管理和日志管理。容灾备份包括系统备份和数据备份。容灾备份的体系结构:本地备份、异地备份，系统恢复和数据恢复。其运作过程如下：（1）正常情况下，业务处理只在主中心运行；业务系统对数据的任何修改，实时同步地复制到备份中心。（2）当主中心的某些子系统发生故障时，系统会自动地切换到主中心的其他设备，确保系统正常运行。（3）当灾难发生，导致主中心整个系统瘫痪时，能实时监测到这种异常情况，及时向管理员发送各种警报，并按照预定的规则在备份中心启动整个业务应用系统。（4）主中心系统恢复后，可将备份中心的当前数据复制回主中心，然后将业务处理从备份中心切换回主中心，备份中心回到备份状态。数据备份的三种类型：完全备份，特别备份和增量备份。病毒主要通过SMTP、HTTP、FTP三个协议通道进行入侵，需要针对这三个协议进行内容扫描和杀毒。DDOS分布式服务器攻击IDES入侵检测专家系统IDS入侵检测系统CIDF入侵检测框架IPS入侵防御系统入侵检测系统分为基于主机的入侵检测系统、基于网络的入侵检测系统和基于代理的入侵检测系统。根据检测的方法不同，可将入侵检测技术分为异常入侵检测技术和误用入侵检测技术。安全中间件分为四类：安全服务中间件、安全传输中间件、安全消息中间件和安全Web服务中间件。WAP无线应用协议WLAN无线局域网SSL安全套接层协议SSID服务区标识符WEP有线等效保密DMZ两个防火墙之间的非军事区WLAN应用的几种不安全因素:（1）窃听（2）截获和修改传输数据（3）哄骗（4）拒绝服务（5）免费下载（6）偶然威胁（7）恶意WLAN为了降低误警率、合理部署多级传感器、有效控制跨区域的传感器，下一代IDS产品正向以下几个方向发展。1、智能关联2、告警泛滥抑制3、告警融合4、可信任防御模型网关是连接两个协议差别很大的计算机网络时使用的设备。公钥密码算法：有RSA、DSA、DifferHellman算法，椭圆曲线密码算法等;对称密钥算法：有SDBI、DES、IDEA、SMS4、RC4、RC5等；杂凑算法：有MD5、SHA1等。目前有两种不同的PKI/CA开发模式：面向产品的开发模式和面向服务的开发模式。TPM可信平台模块TCP是以TPM为基础构建的计算平台，其可信机制主要通过三个方面来体现:（1）可信的度量；（2）度量的存储；（3）度量的报告。远程证明是可信计算平台提供的一个核心功能。典型的安全服务产品主要有：信息安全咨询，安全运营管理，安全体系结构规划，值息安全风险评估，应用安全评估，安全系统集成，信息安全培训。典型的安全服务产品一一安全运营管理ISO国际标准组织IEC国际电子技术协会ITU国际电信联合会IEEE电气与电子工程师协会风险评估，也称风险分析。指对信息和信息处理设施的威胁、影响和脆弱性这三个因子及三者发生的可行性进行评估。风险评估的步骤:1、资产识别与预估2、威胁评估与评价3、脆弱