信息安全体系结构

1、200603V1.0.0第第 2 章章 信息安全体系结构信息安全体系结构本章学习目标：本章学习目标：了解信息安全的五重保护机制了解信息安全的五重保护机制 掌握掌握OSIOSI安全模型的结构安全模型的结构 了解安全体系框架三维图了解安全体系框架三维图 掌握信息安全的常用技术掌握信息安全的常用技术 了解信息相关产品了解信息相关产品 了解信息安全的等级划分及认证方法了解信息安全的等级划分及认证方法 2 掌握信息安全风险状态和分布情况的变化规律，掌握信息安全风险状态和分布情况的变化规律，提出安全需求，建立起具有自适应能力的信息安全模提出安全需求，建立起具有自适应能力的信息安全模型，从而驾驭风险，使信息

2、安全风险被控制在可接受型，从而驾驭风险，使信息安全风险被控制在可接受的最小限度内，并渐近于零风险。的最小限度内，并渐近于零风险。 风险和安全策略风险和安全策略 安全与实现的方便性是矛盾的对立。必须牺牲方安全与实现的方便性是矛盾的对立。必须牺牲方便性求得安全，我们必须在这两者之间找出平衡点，便性求得安全，我们必须在这两者之间找出平衡点，在可接受的安全状况下，尽力方便用户的使用。在可接受的安全状况下，尽力方便用户的使用。 根据根据OSIOSI安全体系结构安全体系结构ISO7498-2ISO7498-2，提出安全服务提出安全服务( (即安全功能即安全功能) )和安全机制，在此基础上提出信息安全和安全

3、机制，在此基础上提出信息安全体系框架，结合体系框架，结合ISCISC2 2提出的信息安全提出的信息安全5 5重屏障，划定重屏障，划定信息安全技术类型，形成相应的信息安全产品。信息安全技术类型，形成相应的信息安全产品。32.1 2.1 信息安全的保护机制信息安全的保护机制 信息安全的最终任务是保护信息资源被合法用户安全使信息安全的最终任务是保护信息资源被合法用户安全使用，并禁止非法用户、入侵者、攻击者和黑客非法偷盗、使用，并禁止非法用户、入侵者、攻击者和黑客非法偷盗、使用信息资源。用信息资源。 信息安全的保护机制包括电磁辐射、环境安全、计算机信息安全的保护机制包括电磁辐射、环境安全、计算机技术、

4、网络技术等技术因素，还包括信息安全管理（含系统技术、网络技术等技术因素，还包括信息安全管理（含系统安全管理、安全服务管理和安全机制管理）、法律和心理因安全管理、安全服务管理和安全机制管理）、法律和心理因素等机制。素等机制。 国际信息系统安全认证组织（国际信息系统安全认证组织（International International Information Systems Security ConsortiumInformation Systems Security Consortium，简称简称ISC2ISC2）将信息安全划分为将信息安全划分为5 5重屏障共重屏障共1010大领域并给出了它们涵盖

5、的大领域并给出了它们涵盖的知识结构知识结构 42.1 2.1 信息安全的保护机制信息安全的保护机制52.2 2.2 开放系统互连安全体系结构开放系统互连安全体系结构ISO 7498-2ISO 7498-2 6 安全服务安全服务就是加强数据处理系统和信息传输的就是加强数据处理系统和信息传输的安全性的一类服务，其目的在于利用一种或多种安安全性的一类服务，其目的在于利用一种或多种安全机制阻止安全攻击。全机制阻止安全攻击。 安全机制安全机制是指用来保护系统免受侦听、阻止是指用来保护系统免受侦听、阻止安全攻击及恢复系统的机制。安全攻击及恢复系统的机制。2.2 2.2 开放系统互连安全体系结构开放系统互连

6、安全体系结构 71 1、安全服务、安全服务2.2 2.2 开放系统互连安全体系结构开放系统互连安全体系结构 1 1）鉴别服务鉴别服务。鉴别服务提供对通信中的对等实体和数据来源。鉴别服务提供对通信中的对等实体和数据来源的鉴别。的鉴别。 2 2）访问控制访问控制。这种服务提供保护以对抗开放系统互连可访问。这种服务提供保护以对抗开放系统互连可访问资源的非授权使用。资源的非授权使用。 3 3）数据保密性数据保密性。这种服务对数据提供保护使之不被非授权地。这种服务对数据提供保护使之不被非授权地泄漏。泄漏。 4 4）数据完整性数据完整性。可以针对有连接或无连接的条件下，对数据。可以针对有连接或无连接的条件

7、下，对数据进行完整性检验。在连接状态下，当数据遭到任何篡改、插入、删进行完整性检验。在连接状态下，当数据遭到任何篡改、插入、删除时还可进行补救或恢复。除时还可进行补救或恢复。 5 5）抗抵赖抗抵赖。对发送者来说，数据发送将被证据保留，并将这。对发送者来说，数据发送将被证据保留，并将这一证据提供给接收者，以此证明发送者的发送行为。同样，接收者一证据提供给接收者，以此证明发送者的发送行为。同样，接收者接收数据后将产生交付证据并送回原发送者，接收者不能否认收到接收数据后将产生交付证据并送回原发送者，接收者不能否认收到过这些数据。过这些数据。 8访问控制策略有如下三种类型。访问控制策略有如下三种类型。

8、 1 1）基于身份的策略基于身份的策略。即根据用户或用户组对目标的访问。即根据用户或用户组对目标的访问权限进行控制的一种策略。形成权限进行控制的一种策略。形成“目标目标用户用户权限权限”或或“目标目标用户组用户组权限权限”的访问控制形式。的访问控制形式。 2 2）基于规则的策略基于规则的策略。是将目标按照某种规则（如重要程。是将目标按照某种规则（如重要程度）分为多个密级层次，如绝密、秘密、机密、限制和无密度）分为多个密级层次，如绝密、秘密、机密、限制和无密级，通过分配给每个目标一个密级来操作。级，通过分配给每个目标一个密级来操作。 3 3）基于角色的策略基于角色的策略。基于角色的策略可以认为是

9、基于身。基于角色的策略可以认为是基于身份的策略和基于规则的策略的结合。份的策略和基于规则的策略的结合。 目的就是保证信息的可用性，即可被授权实体访问并按目的就是保证信息的可用性，即可被授权实体访问并按需求使用，保证合法用户对信息和资源的使用不会被不正当需求使用，保证合法用户对信息和资源的使用不会被不正当地拒绝，同进不能被无权使用的人使用或修改、破坏。地拒绝，同进不能被无权使用的人使用或修改、破坏。2.2 2.2 开放系统互连安全体系结构开放系统互连安全体系结构 92 2、安全机制、安全机制2.2 2.2 开放系统互连安全体系结构开放系统互连安全体系结构 1 1）加密。加密既能为数据提供保密性，

10、也能为通信业务流提供保密性，还）加密。加密既能为数据提供保密性，也能为通信业务流提供保密性，还为其它机制提供补充。加密机制可配置在多个协议层次中。为其它机制提供补充。加密机制可配置在多个协议层次中。 2 2）数字签名机制。可以完成对数据单元的签名工作，也可实现对已有签名）数字签名机制。可以完成对数据单元的签名工作，也可实现对已有签名的验证工作。数字签名必须不可伪造和不可抵赖。的验证工作。数字签名必须不可伪造和不可抵赖。 3 3）访问控制机制。按实体所拥有的访问权限对指定资源进行访问，对非授）访问控制机制。按实体所拥有的访问权限对指定资源进行访问，对非授权或不正当的访问应有一定的报警或审计跟踪方

11、法。权或不正当的访问应有一定的报警或审计跟踪方法。 4 4）数据完整性机制。发送端产生一个与数据单元相关的附加码，接收端通）数据完整性机制。发送端产生一个与数据单元相关的附加码，接收端通过对数据单元与附加码的相关验证控制数据的完整性。过对数据单元与附加码的相关验证控制数据的完整性。 5 5）鉴别交换机制。可以使用密码技术，由发送方提供，而由接收方验证来）鉴别交换机制。可以使用密码技术，由发送方提供，而由接收方验证来实现鉴别。通过特定的实现鉴别。通过特定的“握手握手”协议防止鉴别协议防止鉴别“重放重放”。 6 6）通信业务填充机制。业务分析，特别是基于流量的业务分析是攻击通信）通信业务填充机制。

12、业务分析，特别是基于流量的业务分析是攻击通信系统的主要方法之一。通过通信业务填充来提供各种不同级别的保护。系统的主要方法之一。通过通信业务填充来提供各种不同级别的保护。 7 7）路由选择控制机制。针对数据单元的安全性要求，可以提供安全的路由）路由选择控制机制。针对数据单元的安全性要求，可以提供安全的路由选择方法。选择方法。 8 8）公证机制。通过第三方机构，实现对通信数据的完整性、原发性、时间）公证机制。通过第三方机构，实现对通信数据的完整性、原发性、时间和目的地等内容的公证。一般通过数字签名、加密等机制来适应公证机构提供的和目的地等内容的公证。一般通过数字签名、加密等机制来适应公证机构提供的

13、公证服务。公证服务。 102.3 2.3 信息安全体系框架信息安全体系框架 信息系统安全的总需求是物理安全、网络安全、信息内信息系统安全的总需求是物理安全、网络安全、信息内容安全、应用系统安全的总和，安全的最终目标是确保信息容安全、应用系统安全的总和，安全的最终目标是确保信息的机密性、完整性、可用性、可控性和抗抵赖性，以及信息的机密性、完整性、可用性、可控性和抗抵赖性，以及信息系统主体系统主体( (包括用户、团体、社会和国家包括用户、团体、社会和国家) )对信息资源的控制。对信息资源的控制。 完整的信息系统安全体系框架由技术体系、组织机构体完整的信息系统安全体系框架由技术体系、组织机构体系和管

14、理体系共同构建。系和管理体系共同构建。 112.3 2.3 信息安全体系框架信息安全体系框架 122.3 2.3 信息安全体系框架信息安全体系框架 技术体系技术体系 1 1）物理安全技术物理安全技术。信息系统的建筑物、机房条件及硬。信息系统的建筑物、机房条件及硬件设备条件满足信息系统的机械防护安全；通过对电力供应件设备条件满足信息系统的机械防护安全；通过对电力供应设备以及信息系统组件的抗电磁干扰和电磁泄露性能的选择设备以及信息系统组件的抗电磁干扰和电磁泄露性能的选择性措施达到相应的安全目的。物理安全技术运用于物理保障性措施达到相应的安全目的。物理安全技术运用于物理保障环境环境( (含系统组件的

15、物理环境含系统组件的物理环境) )。 2 2）系统安全技术系统安全技术。通过对信息系统与安全相关组件的。通过对信息系统与安全相关组件的操作系统的安全性选择措施或自主控制，使信息系统安全组操作系统的安全性选择措施或自主控制，使信息系统安全组件的软件工作平台达到相应的安全等级，一方面避免操作平件的软件工作平台达到相应的安全等级，一方面避免操作平台自身的脆弱性和漏洞引发的风险，另一方面阻塞任何形式台自身的脆弱性和漏洞引发的风险，另一方面阻塞任何形式的非授权行为对信息系统安全组件的入侵或接管系统管理权的非授权行为对信息系统安全组件的入侵或接管系统管理权。 132.3 2.3 信息安全体系框架信息安全体

16、系框架 组织机构体系组织机构体系 组织机构体系是信息系统安全的组织保障系统，由机组织机构体系是信息系统安全的组织保障系统，由机构、岗位和人事三个模块构成一个体系。构、岗位和人事三个模块构成一个体系。 机构的设置分为三个层次：决策层、管理层和执行层机构的设置分为三个层次：决策层、管理层和执行层 岗位是信息系统安全管理机关根据系统安全需要设定岗位是信息系统安全管理机关根据系统安全需要设定的负责某一个或某几个安全事务的职位的负责某一个或某几个安全事务的职位 人事机构是根据管理机构设定的岗位，对岗位上在职、人事机构是根据管理机构设定的岗位，对岗位上在职、待职和离职的雇员进行素质教育、业绩考核和安全监管

17、的待职和离职的雇员进行素质教育、业绩考核和安全监管的机构。机构。 142.3 2.3 信息安全体系框架信息安全体系框架 管理体系管理体系 管理是信息系统安全的灵魂。信息系统安全的管理体系管理是信息系统安全的灵魂。信息系统安全的管理体系由法律管理、制度管理和培训管理三个部分组成。由法律管理、制度管理和培训管理三个部分组成。 三分技术，七分管理三分技术，七分管理 1 1）法律管理是根据相关的国家法律、法规对信息系统）法律管理是根据相关的国家法律、法规对信息系统主体及其与外界关联行为的规范和约束。主体及其与外界关联行为的规范和约束。 2 2）制度管理是信息系统内部依据系统必要的国家、团）制度管理是信

18、息系统内部依据系统必要的国家、团体的安全需求制定的一系列内部规章制度。体的安全需求制定的一系列内部规章制度。 3 3）培训管理是确保信息系统安全的前提。）培训管理是确保信息系统安全的前提。 152.4 2.4 信息安全技术信息安全技术 安全防范技术体系划分为物理层安全、系统层安全、网络安全防范技术体系划分为物理层安全、系统层安全、网络层安全、应用层安全和管理层安全等五个层次。层安全、应用层安全和管理层安全等五个层次。 1 1）物理安全技术（物理层安全）物理安全技术（物理层安全）。该层次的安全包括通信。该层次的安全包括通信线路的安全、物理设备的安全、机房的安全等。物理层的安全线路的安全、物理设备

19、的安全、机房的安全等。物理层的安全主要体现在通信线路的可靠性（线路备份、网管软件、传输介主要体现在通信线路的可靠性（线路备份、网管软件、传输介质），软硬件设备安全性（替换设备、拆卸设备、增加设备），质），软硬件设备安全性（替换设备、拆卸设备、增加设备），设备的备份，防灾害能力，防干扰能力，设备的运行环境（温设备的备份，防灾害能力，防干扰能力，设备的运行环境（温度、湿度、烟尘），不间断电源保障，等等。度、湿度、烟尘），不间断电源保障，等等。 2 2）系统安全技术（操作系统的安全性）系统安全技术（操作系统的安全性）。该层次的安全问。该层次的安全问题来自网络内使用的操作系统的安全，如题来自网络内使用

20、的操作系统的安全，如Windows NTWindows NT、Windows Windows 20002000等。主要表现在三个方面：一是操作系统本身的缺陷带来等。主要表现在三个方面：一是操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制、系统漏洞等；的不安全因素，主要包括身份认证、访问控制、系统漏洞等；二是对操作系统的安全配置问题；三是病毒对操作系统的威胁。二是对操作系统的安全配置问题；三是病毒对操作系统的威胁。16 3 3）网络安全技术（网络层安全）。）网络安全技术（网络层安全）。主要体现在网络方面主要体现在网络方面的安全性，包括网络层身份认证、网络资源的访问控制、数据的安全性

21、，包括网络层身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入的安全、域名系统的安全、路传输的保密与完整性、远程接入的安全、域名系统的安全、路由系统的安全、入侵检测的手段、网络设施防病毒等。由系统的安全、入侵检测的手段、网络设施防病毒等。 4 4）应用安全技术（应用层安全）应用安全技术（应用层安全）。主要由提供服务所采。主要由提供服务所采用的应用软件和数据的安全性产生，包括用的应用软件和数据的安全性产生，包括WebWeb服务、电子邮件服务、电子邮件系统、系统、DNSDNS等。此外，还包括病毒对系统的威胁。等。此外，还包括病毒对系统的威胁。 5 5）管理安全性（管理层安全）管理安全性

22、（管理层安全）。安全管理包括安全技术。安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化极大程度地影响着整个网络的安全，严格的安全管理的制度化极大程度地影响着整个网络的安全，严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其他层次的安全漏洞。以在很大程度上降低其他层次的安全漏洞。 2.4 2.4 信息安全技术信息安全技术 172.4 2.4 信息安全技术信息安全技术 表表2-3 2-3 信息安全技术应用统计信息安全技术

23、应用统计 安全技术名称安全技术名称普及率（普及率（% %） 反病毒软件反病毒软件9999防火墙防火墙9898基于服务的访问控制技术基于服务的访问控制技术7171入侵检测系统入侵检测系统6868数据传输加密数据传输加密6464帐户与登录口令控制帐户与登录口令控制5656入侵防御系统入侵防御系统4545文件加密技术文件加密技术4242卡片认证与一次性密码技术卡片认证与一次性密码技术3535公钥基础设施系统公钥基础设施系统3030生物特征技术生物特征技术1111182.5 2.5 信息安全的产品类型信息安全的产品类型 192.6 2.6 信息安全等级保护与分级认证信息安全等级保护与分级认证 产品认证

24、产品认证 人员认证人员认证 系统认证系统认证 202.6 2.6 信息安全等级保护与分级认证信息安全等级保护与分级认证 2.6.1 2.6.1 ITIT安全评估通用准则安全评估通用准则 19851985年，美国国防部颁布了可信计算机的安全评估准年，美国国防部颁布了可信计算机的安全评估准则（则（TCSECTCSEC）；）； 19951995年年 统一成统一成CCCC；19991999年，年，CCCC准则成为国准则成为国际标准（际标准（ISO/IEC 15408ISO/IEC 15408） CC CC评估准则将信息系统的安全性定义为评估准则将信息系统的安全性定义为7 7个评估保证级个评估保证级别（

25、别（EAL1EAL1EAL7EAL7），），即即EAL1EAL1：功能测试；功能测试；EAL2EAL2：结构测试；结构测试；EAL3EAL3：系统地测试和检查；系统地测试和检查；EAL4EAL4：系统地设计；系统地设计；EAL5EAL5：半半形式化设计和测试；形式化设计和测试；EAL6EAL6：半形式化验证的设计和测试；半形式化验证的设计和测试；EAL7EAL7：形式化验证的设计和测试。形式化验证的设计和测试。 212.6 2.6 信息安全等级保护与分级认证信息安全等级保护与分级认证 2.6.2 2.6.2 我国的安全等级划分准则我国的安全等级划分准则 五个安全等级五个安全等级：第一级第一级用

26、户自主保护级用户自主保护级第二级第二级系统审计保护级系统审计保护级第三级第三级安全标记保护级安全标记保护级第四级第四级结构化保护级结构化保护级第五级第五级访问验证保护级访问验证保护级 从第一级到第五级安全等级逐级增高，高级别安从第一级到第五级安全等级逐级增高，高级别安全要求是低级别要求的超集。全要求是低级别要求的超集。 222.6 2.6 信息安全等级保护与分级认证信息安全等级保护与分级认证 2.6.3 2.6.3 分级保护的认证分级保护的认证 （1 1）信息安全产品认证）信息安全产品认证 信息安全产品认证主要分为型号认证和分级认证两种。其中分信息安全产品认证主要分为型号认证和分级认证两种。其

27、中分级认证又分成级认证又分成7 7个级别。目前开展的是个级别。目前开展的是1 15 5级的认证，其中对电信级的认证，其中对电信智能卡的认证已达到智能卡的认证已达到5 5 级，其他安全产品目前最高达到级，其他安全产品目前最高达到3 3级。级。 （2 2）信息系统安全认证）信息系统安全认证 信息系统安全认证的技术标准分为信息系统安全认证的技术标准分为5 5个级别，目前开展两个级个级别，目前开展两个级别的系统认证工作。信息系统安全认证在实施过程中，主要分为方别的系统认证工作。信息系统安全认证在实施过程中，主要分为方案评审、系统测评、系统认证等三个方面。方案评审是为确定特定案评审、系统测评、系统认证等

28、三个方面。方案评审是为确定特定信息系统是否达到标准的安全性设计要求；系统测评是对运行中的信息系统是否达到标准的安全性设计要求；系统测评是对运行中的信息系统的安全功能的技术测试、对信息系统安全技术和管理体系信息系统的安全功能的技术测试、对信息系统安全技术和管理体系的调查取证和对特定系统运行情况是否达到标准的安全要求的评估的调查取证和对特定系统运行情况是否达到标准的安全要求的评估；进行的系统认证是对运行系统的组织管理体系的审核。；进行的系统认证是对运行系统的组织管理体系的审核。232.6 2.6 信息安全等级保护与分级认证信息安全等级保护与分级认证 （3 3）信息安全服务资质认证）信息安全服务资质

29、认证 信息安全服务资质认证主要是对信息安全系统服务提供商的信息安全服务资质认证主要是对信息安全系统服务提供商的资格状况、技术实力和实施安全工程过程质量保证能力等进行具资格状况、技术实力和实施安全工程过程质量保证能力等进行具体衡量和评价。服务资质认证的技术标准最高为五级。体衡量和评价。服务资质认证的技术标准最高为五级。 （4 4）注册信息安全专业人员资质认证（简称）注册信息安全专业人员资质认证（简称CISPCISP） 注册信息安全专业人员资质认证是对国家信息安全测评认证注册信息安全专业人员资质认证是对国家信息安全测评认证机构、信息安全咨询服务机构、社会各组织、团体、企业有关信机构、信息安全咨询服务机构、社会各组织、团体、企业有关信息系统（网络）建设、运行和应用管理的技术部门（含标准化部息系统（网络）建设、运行和应用管理的技术部