信息安全概论第5讲PPT演示文稿

1、1,信息安全概论,第5讲 2010年9月9日,2,第2章 信息安全体系结构,2.1 技术体系结构概述 2.2安全机制 2.3 OSI安全体系结构 2.4应用体系结构 2.5 组织体系结构与管理体系结构,3,2.4应用体系结构,OSI的高层安全协议模型（ISO 10745）是应用层安全协议的通用构建工具和协议组件模型。 该模型实际上只是把应用的安全归结为事务的安全，通过安全变换、安全交换、安全关联等机制类型实现应用安全目标。,4,2.4应用体系结构,该模型的概念 系统安全组件实现安全变换 安全通信组件实现安全交换和安全关联等,5,2.4.1 应用层结构与安全模型,ISO/IEC 9545是国际标

2、准化组织的应用层次机构标准，它定义了应用层的结构概念和术语。,6,应用层结构,两应用系统通过表示层的逻辑连接进行通信。 应用层协议里包括各个具体应用模块（X，Y，Z）和控制部件CF的具体描述，说明各个模块怎样协同工作，怎样向用户或应用程序提供服务，怎样使用表示层的服务接口。,7,应用层结构,这些模块分为： 应用服务元素（ASE） 应用服务对象（ASO） ASE包含一个模块描述 ASO本身则是一个与应用层实体类似的结构，它也包含控制部件CF和一组低层模块（ASE、ASO）。,8,Web应用层结构示例,两个终端应用系统通过单个应用关联连接起来的情况下，每个应用系统中必须有至少一个ASE模块，称之为

3、关联控制服务元素（ACSE）。ACSE为应用关联的建立和终止定义了应用PDU，ACSE PDU在建立应用关联时，交换应用双方的地址信息、确定应用上下文，提供应用实体的身份识别。,9,1. 安全组件,应用安全的组件可分为两大类： 系统安全组件负责与安全相关的处理，如加密、数字签名、随机数的生成等。 安全通信组件负责与安全相关的信息在系统之间的传输。,10,1. 安全组件,注： 系统安全组件属于安全机制和安全技术范畴，强调的是安全功能，可以应用在通信的各层，甚至在通信以外的领域也是有用的。 而安全通信组件则相反，它是特定通信协议（如OSI高层协议）的一部分，但不限定采用哪种安全机制或技术。 其次，

4、它们区分了安全功能和通信功能，这有利于协议的实现。,11,2. 安全交换和安全变换,高层安全模型引入了两个重要的概念：安全交换和安全变换，这为安全协议构建工具和协议组件的设计铺平了道路。这两个概念反映了安全协议所需的两类不同的行为。,12,2. 安全交换和安全变换,第一类行为是在安全机制的直接支持下，系统间交换的协议数据项的生成处理。例如交换识别数据（用于实体识别目标），交换密钥数据（支撑机密性和完整性目标），或者是交换访问控制证书。它们传递的准确信息与机制有关，但协议构造方法可以与机制无关。安全交换概念指的是这一类行为。,13,2. 安全交换和安全变换,第二类行为是用户数据在通信之前，要先进

5、行一些变换，如加密、填充、数字签名等。这类行为更多的是对应用的另一组件的数据进行处理而不是生成特定的安全信息。安全变换概念指这类行为。,14,2. 安全交换和安全变换,在实现系统间安全通信的情况下，系统安全组件是协议信息的源方和收方；在实现用户间安全通信的情况下，系统安全组件不是信息的源方和收方，而是对数据进行处理，如加密脱密。,15,安全组件功能示意图,16,3. 安全关联,两个（或多个）系统实体之间，在进行相关的安全处理之前需要进行握手交换，使得它们之间共同维护着一些规则、状态信息（实体ID，选用的算法，密钥，其它参数）等属性，就称它们之间有安全关联。安全关联使得能对一系列后续数据传输提供

6、连贯一致的保护。事实上，不论在通信的低层协议还是高层中都有安全关联的概念。,17,3. 安全关联,安全关联可以体现为一个应用的直接握手协商的情况，也可体现为其它类型的ASO关联或低层的关联。 建立关联时的识别也非常重要,18,2.5 组织体系结构与管理体系结构,2.5.1组织机构体系 由管理机构、岗位和人事组成,19,1. 机构的设置,机构的设置分为3个层次，即决策层、管理层和执行层。 决策层是信息系统主体单位决定信息安全重大事项的领导机构。通常由单位主管信息系统的负责人负责，由行使国家安全、公安、机要和保密等职能的部门负责人和信息系统主要负责人参加组成。 管理层是决策的日常机关，根据决策机构

7、的决定全面规划和协调各方面的力量，实施信息系统的安全方案，制定、修改安全策略，处理安全事故，设置安全岗位。 执行层是在管理层协调下具体负责某一个或几个特定安全事务的群体，负责具体事务的操作和落实。,20,2.岗位,岗位是由安全管理机构的决策层或管理层根据系统的安全需要，设定的负责某一个或几个特定安全事务的职位。岗位在信息系统内部通常按照行政关系分为若干种类、若干层次。一个人可能担任一个岗位职责或兼任多个岗位职责。因此，岗位并不是一个机构，它由安全管理机构设定，由人事机构管理。,21,3.人事机构,人事机构是一种特殊管理岗位，对所有岗位上的雇员进行素质教育、业绩考核和安全监管的机构。人事机构的全

8、部管理活动在国家有关安全的法律、法规、政策规定范围内依法进行。,22,2.5 组织体系结构与管理体系结构,2.5.2管理体系 由法律管理、制度管理和培训管理3个部分组成。,23,1. 法律,法律管理是根据相关的国家法律、法规对信息系统主体及其与外界关联行为的规范和约束。法律管理具有对信息系统主体行为的强制性约束力，并且有明确的管理层次性。与安全有关的法律法规是信息系统安全的最高行为准则。,24,2.制度,制度管理是信息系统内部依据系统必要的国家、团体的安全需求制定的一系列内部规章制度，主要内容包括安全管理和执行机构的行为规范、岗位设定及其操作规范、岗位人员的素质要求及行为规范、内部关系与外部关系的行为规范等。制度管理是法律管理的形式化、具体化，是法律、法规与管理对象的接口。,25,3.培训,培训管理是确保信息系统安全的前提。培训管理的内容包括法律法规培训、内部制度培训、岗位操作培训、普遍安全意识和与岗位相关的重点安全意识相结合的培训、业