1、安全體系結(jié)構(gòu)與模型張偉南京郵電大學(xué)計(jì)算機(jī)學(xué)院信息安全系四個概念n安全體系結(jié)構(gòu)安全體系結(jié)構(gòu)：定義了最一般的關(guān)于安全體系結(jié)構(gòu)的概念,如安全服務(wù)、安全機(jī)制n安全框架安全框架：定義了提供安全服務(wù)的最一般的方法，如數(shù)據(jù)源、操作方法以及它們之間的數(shù)據(jù)流向等n安全模型安全模型：指在特定的環(huán)境里，為保證提供一定級別的安全保護(hù)所奉行的基本思想n安全技術(shù)：安全技術(shù)：一些基本模塊，它們構(gòu)成了安全服務(wù)的基礎(chǔ)，同時可以相互任意組合，以提供更強(qiáng)大的安全服務(wù)信息安全系統(tǒng)基本原則n建設(shè)信息基礎(chǔ)設(shè)施時遵循的九項(xiàng)原則n負(fù)責(zé)原則n知曉原則n道德原則n多方原則n配比原則n綜合原則n及時原則n重新評價原則n民主原則1.5 安全體系1.

2、6 安全模型IOS/OSI安全體系結(jié)構(gòu)nISO：International Organization for StandardizationnOSI: Open System Interconnect/RMn安全服務(wù)n安全機(jī)制n安全管理n其它，如安全威脅ISO-7498-2安全架構(gòu)n1982 ISO JTC1/JCT21n1988 ISO 7498-2n1990 ITU-T X.800n信息處理系統(tǒng)開發(fā)系統(tǒng)互聯(lián)基本參考模型-第二部分：安全體系結(jié)構(gòu)GB/T9387.2-1985nInternet安全體系結(jié)構(gòu)RFC2401安 全 服 務(wù)（x.800）nITU-T X.800標(biāo)準(zhǔn)將我們常說的“網(wǎng)絡(luò)安

3、全（networksecurity）”進(jìn)行邏輯上的分別定義，即安全攻擊(security attack)是指損害機(jī)構(gòu)所擁有信息的安全的任何行為；安全機(jī)制（security mechanism）是指設(shè)計(jì)用于檢測、預(yù)防安全攻擊或者恢復(fù)系統(tǒng)的機(jī)制；安全服務(wù)（security service）是指采用一種或多種安全機(jī)制以抵御安全攻擊、提高機(jī)構(gòu)的數(shù)據(jù)處理系統(tǒng)安全和信息傳輸安全的服務(wù)。安全服務(wù)nX.800定義：為了保證系統(tǒng)或者數(shù)據(jù)傳輸有足夠的安全性，開發(fā)系統(tǒng)通信協(xié)議所提供的服務(wù)。nRFC 2828：安全服務(wù)是一種由系統(tǒng)提供的對資源進(jìn)行特殊保護(hù)的進(jìn)程或通信服務(wù)。n安全服務(wù)通過安全機(jī)制來實(shí)現(xiàn)安全策略安全服務(wù)通

4、過安全機(jī)制來實(shí)現(xiàn)安全策略。安全服務(wù)(五類十四個服務(wù))n對象認(rèn)證安全服務(wù)n訪問控制安全服務(wù)n數(shù)據(jù)保密安全服務(wù)n數(shù)據(jù)完整性安全服務(wù)n防抵賴性安全服務(wù)n匿名性安全服務(wù)（可選）1 對象認(rèn)證安全服務(wù) 用于識別對象的身份和對身份的證實(shí)。OSI環(huán)境可提供對等實(shí)體認(rèn)證和信源認(rèn)證等安全服務(wù)。n 對等實(shí)體認(rèn)證是用來驗(yàn)證在某一關(guān)聯(lián)的實(shí)體中，對等實(shí)體的聲稱是一致的，它可以確認(rèn)對等實(shí)體沒有假冒；n 信源認(rèn)證是用于無連接時驗(yàn)證所收到的數(shù)據(jù)來源與所聲稱的來源是一致的，但不提供防止數(shù)據(jù)中途被修改的功能。對象認(rèn)證安全服務(wù)實(shí)例 A A服務(wù)器Internet討論：假如A和A用戶名是一樣的，且都是合法用戶，服務(wù)器是否能分別認(rèn)怔A和A

5、？2 訪問控制安全服務(wù) 提供對越權(quán)使用資源的防御措施。訪問控制策略可分為自主訪問控制、強(qiáng)制訪問控制、基于角色的訪問控制。實(shí)現(xiàn)機(jī)制可以是基于訪問控制屬性的訪問控制表，基于安全標(biāo)簽或用戶和資源分檔的多級訪問控制等Windows NT 文件訪問控制3 數(shù)據(jù)保密性安全服務(wù) 針對信息泄漏而采取的防御措施,可分為n 連接保密性n 無連接保密性n 選擇域保密性n 流量保密性 4 數(shù)據(jù)完整性安全服務(wù) 防止非法纂改信息，如修改、復(fù)制、插入和刪除等。它有五種形式： 可恢復(fù)功能連接完整性、無恢復(fù)連接完整性、選擇字段連接完整性、無連接完整性和選擇字段無連接完整性5 防抵賴性安全服務(wù) 是針對對方抵賴的防范措施，用來證實(shí)

6、發(fā)生過的操作，它可分為對發(fā)送防抵賴、對遞交防抵賴和進(jìn)行公證。n源點(diǎn)的不可否認(rèn)性n 信宿的不可否認(rèn)性 ISO 安全服務(wù)的不足n缺少防止DoS攻擊的定義；n對入侵檢測，幾乎沒有涉及；n大多數(shù)安全服務(wù)是對同級實(shí)體的，缺少多級或分層實(shí)體的內(nèi)涵；n本質(zhì)上是一個被動安全服務(wù)定義；n其它，如授權(quán)； 安 全 機(jī) 制什么是安全機(jī)制n根據(jù)ISO提出的，安全機(jī)制是一種技術(shù)，一些軟件或?qū)嵤┮粋€或更多安全服務(wù)的過程。 兩類安全機(jī)制n特殊安全機(jī)制：在特定協(xié)議層實(shí)現(xiàn)，8種n普遍安全機(jī)制：不屬于任何協(xié)議層或安全服務(wù)，5種n一個特殊的安全機(jī)制是在同一時間只對一種安全服務(wù)上實(shí)施一種技術(shù)或軟件。n加密就是特殊安全機(jī)制的一個例子。盡

7、管你可以通過使用加密來保證數(shù)據(jù)的保密性，數(shù)據(jù)的完整性和不可否定性，但實(shí)施在每種服務(wù)時你需要不同的加密技術(shù)。n特殊安全機(jī)制和一般安全機(jī)制不同的另一個要素是一般安全機(jī)制不能應(yīng)用到OSI參考模型的任一層上。1 加密機(jī)制n使用各種加密算法對存放的數(shù)據(jù)和流通的信息進(jìn)行加密nRSAnDESnRC2/RC4/RC52 數(shù)字簽名n采用非對稱密鑰體制，使用私鑰進(jìn)行數(shù)字簽名，使用公鑰對簽名信息進(jìn)行驗(yàn)證nRSAnMD4/MD5nSHA/SHA-1n數(shù)字簽名模型3 訪問(存取)控制機(jī)制n根據(jù)訪問者的身份和其它信息，來決定實(shí)體的訪問權(quán)限nATM卡n安全令牌TokennWindows NT 實(shí)例4 數(shù)據(jù)完整性機(jī)制n判斷信

8、息在傳輸過程中是否被篡改、增加、刪除過，確保信息的完整nMD4/MD5nSHA/SHA-15 認(rèn)證交換機(jī)制n用來實(shí)現(xiàn)同級之間的身份認(rèn)證nATM卡n口令n討論：怎樣防止中繼重放攻擊？6 防業(yè)務(wù)流量分析機(jī)制n通過填充冗余的業(yè)務(wù)流量，防止攻擊者對流量進(jìn)行分析，填充過的流量需通過加密進(jìn)行保護(hù)n討論：為什么？7 路由控制機(jī)制n防止不利、不良信息通過路由，進(jìn)入子網(wǎng)或利用子網(wǎng)作為中繼攻擊平臺n選擇特殊的物理安全線路，允許路由變化n網(wǎng)絡(luò)層防火墻8 公證機(jī)制n有公證人（第三方）參與數(shù)字簽名，它基于通信雙方對第三方的絕對信任nCA（Certificate Authority)nHotmail/yahoo 郵件服務(wù)

9、登陸認(rèn)證另外5種普遍安全機(jī)制n可信功能度n安全標(biāo)志n事件檢測n安全審計(jì)跟蹤n安全恢復(fù)信任的功能性n指任何加強(qiáng)現(xiàn)有機(jī)制的執(zhí)行過程。n例如，當(dāng)你升級你的TCP/IP堆?；蜻\(yùn)行一些軟件來加強(qiáng)你的Novell，NT,UNIX系統(tǒng)認(rèn)證功能時，你使用的就是普遍的機(jī)制。 n事件檢測：檢查和報告本地或遠(yuǎn)程發(fā)生的事件 n審計(jì)跟蹤：任何機(jī)制都允許你監(jiān)視和記錄你網(wǎng)絡(luò)上的活動 n安全恢復(fù)：對一些事件作出反應(yīng)，包括對于已知漏洞創(chuàng)建短期和長期的解決方案，還包括對受危害系統(tǒng)的修復(fù)。 安 全 管 理安全管理 為了更有效地運(yùn)用安全服務(wù)，需要有其它措施來支持它們的操作，這些措施即為安全管理。安全管理是對安全服務(wù)和安全機(jī)制進(jìn)行管理

10、，把管理信息分配到有關(guān)的安全服務(wù)和安全機(jī)制中去，并收集與它們的操作有關(guān)的信息 OSI安全服務(wù)和安全機(jī)制的關(guān)系 機(jī)制服務(wù)加密數(shù)字簽名訪問控制數(shù)據(jù)完整認(rèn)證交換防流量分析路由控制公證對象認(rèn)證訪問控制數(shù)據(jù)保密數(shù)據(jù)完整防抵賴性在OSI層中的服務(wù)配置nOSI安全體系最重要的貢獻(xiàn)是總結(jié)了各種安全服務(wù)在OSI參考模型的七層中的適當(dāng)配置。n主要集中在3/4層和6/7層n網(wǎng)絡(luò)/傳輸 會話/應(yīng)用1.6 動態(tài)的自適應(yīng)網(wǎng)絡(luò)安全模型n單純的防護(hù)技術(shù)不能解決網(wǎng)絡(luò)安全問題n不了解安全威脅和安全現(xiàn)狀n靜態(tài)、被動的防御，而安全威脅、安全漏洞都具有動態(tài)的特性n安全的概念局限于信息的保護(hù)n不能正確評價網(wǎng)絡(luò)安全的風(fēng)險，導(dǎo)致安全系統(tǒng)過高

11、或過低的建設(shè)PDR模型的背景n對于網(wǎng)絡(luò)系統(tǒng)的攻擊日趨頻繁，安全的概念已經(jīng)不僅僅局限于靜態(tài)的、被動的信息防護(hù)，人們需要的是對整個信息和網(wǎng)絡(luò)系統(tǒng)的保護(hù)和防御，以確保它們的安全性，包括對系統(tǒng)的保護(hù)、檢測和反應(yīng)能力等。安全模型已經(jīng)從以前的被動轉(zhuǎn)到了現(xiàn)在的主動防御，強(qiáng)調(diào)整個生命周期的防御和恢復(fù)PDR模型nProtectionnDetectionnReaction/ResponseP2DR模型nPolicynProtectionnDetectionnResponseISS公司的P2DR模型安全策略-Policyn根據(jù)安全風(fēng)險分析產(chǎn)生的安全策略描述了系統(tǒng)中哪些資源要得到保護(hù)，以及如何實(shí)現(xiàn)對它們的保護(hù)等。安全

12、策略是P2DR安全模型的核心，所有的防護(hù)、檢測、響應(yīng)都是依據(jù)安全策略實(shí)施的，企業(yè)安全策略為安全管理提供管理方向和支持手段防護(hù)-Protectionn通過修復(fù)系統(tǒng)漏洞、正確設(shè)計(jì)開發(fā)和安裝系統(tǒng)來預(yù)防安全事件的發(fā)生；通過定期檢測來發(fā)現(xiàn)可能存在的系統(tǒng)脆弱性；通過教育等手段，是用戶和操作員正確使用系統(tǒng)，防止意外威脅；通過訪問控制、監(jiān)視等手段來防止惡意威脅檢測-Detectionn在P2DR模型中，檢測是一個非常重要的環(huán)節(jié)，檢測是動態(tài)響應(yīng)和加強(qiáng)防護(hù)的依據(jù)，它也是強(qiáng)制落實(shí)安全策略的有力工具，通過不斷地檢測和監(jiān)控網(wǎng)絡(luò)和系統(tǒng)，來發(fā)現(xiàn)新的威脅和弱點(diǎn)，通過循環(huán)反饋來及時作出有效的響應(yīng)響應(yīng)-Responsen緊急響應(yīng)

13、在安全系統(tǒng)中占有重要的地位，是解決安全潛在問題最有效的辦法。從某種意義上來說，安全問題就是要解決緊急響應(yīng)和異常處理問題。響應(yīng)的時間n攻擊時間Pt：從入侵開始到侵入系統(tǒng)的時間n檢測時間Dt：檢測新的安全脆弱性或網(wǎng)絡(luò)安全攻擊的時間。n響應(yīng)時間Rt：包括檢測到系統(tǒng)漏洞或監(jiān)控到非法攻擊到系統(tǒng)啟動處理措施的時間n系統(tǒng)暴露時間Et：系統(tǒng)處于不安全狀態(tài)的時間,可定義為Et = Dt + Rt - Pt瀏覽器安全漏洞的評價nSymantec定義漏洞代碼開發(fā)時間為第三方漏洞利用代碼出現(xiàn)時間與首次漏洞報告的公布時間之間的間隔。n定義漏洞補(bǔ)丁開發(fā)時間漏洞補(bǔ)丁開發(fā)時間為漏洞對應(yīng)補(bǔ)丁的發(fā)布時間與漏洞的發(fā)現(xiàn)時間之間的間隔。n定義漏洞的暴露時間漏洞的暴露時間為廠商發(fā)布補(bǔ)丁時間和漏洞利用代碼的公開釋放時間之間的間隔。n瀏覽器的平均暴露時間平均暴露時間為平均補(bǔ)丁發(fā)布時間和平均漏洞代碼開發(fā)時間之間的差值。n在瀏覽器的暴露期間，存在漏洞的瀏覽器易于遭受到攻擊，并且管理者沒有官方的補(bǔ)丁