1、第七章 安全體系結(jié)構(gòu)與安全模型第七章 安全體系結(jié)構(gòu)與安全模型基本內(nèi)容1 安全體系結(jié)構(gòu)2 安全模型3 安全評(píng)估標(biāo)準(zhǔn)基本內(nèi)容1 安全體系結(jié)構(gòu)1.1 什么是安全體系結(jié)構(gòu)體系結(jié)構(gòu)(Architecture)Architecture = Components + Connection + Constraints體系結(jié)構(gòu)部件關(guān)系約束網(wǎng)絡(luò)安全體系結(jié)構(gòu)部件：安全服務(wù)、安全機(jī)制、功能層關(guān)系：安全服務(wù)與安全機(jī)制、安全服務(wù)與功能層約束：安全政策(Security Policy) Security policy is the set of criteria for provision of security serv

2、ices 1.1 什么是安全體系結(jié)構(gòu)體系結(jié)構(gòu)(Architecture安全服務(wù)、安全機(jī)制、安全技術(shù)可用性服務(wù)保密性服務(wù)加密機(jī)制完整性機(jī)制訪問控制機(jī)制對(duì)稱密鑰技術(shù)公開密鑰技術(shù)完整性服務(wù)安全服務(wù)安全機(jī)制安全技術(shù)防火墻技術(shù).安全服務(wù)、安全機(jī)制、安全技術(shù)可用性服務(wù)保密性服務(wù)加密機(jī)制完整1.2 OSI安全體系結(jié)構(gòu)(ISO7498-2)開放式系統(tǒng)互聯(lián)安全體系結(jié)構(gòu)主要內(nèi)容：相關(guān)概念的定義：安全服務(wù)、安全機(jī)制定義了五種安全服務(wù)（安全功能）定義了九種安全機(jī)制安全服務(wù)和安全機(jī)制之間的關(guān)系安全服務(wù)在功能層上的配置安全管理1.2 OSI安全體系結(jié)構(gòu)(ISO7498-2)開放式系統(tǒng)互OSI安全體系結(jié)構(gòu)（ISO 7498

3、-2）安全機(jī)制加密機(jī)制訪問控制機(jī)制數(shù)據(jù)完整性機(jī)制數(shù)字簽名機(jī)制普適性機(jī)制認(rèn)證交換機(jī)制業(yè)務(wù)流填充機(jī)制路由控制機(jī)制公證機(jī)制認(rèn)證服務(wù)訪問控制數(shù)據(jù)完整性數(shù)據(jù)保密性抗抵賴物理層鏈路層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層安全服務(wù)功能層OSI安全體系結(jié)構(gòu)（ISO 7498-2）安全機(jī)制加密機(jī)制訪1.3 五類安全服務(wù)認(rèn)證（Authentication ），鑒別對(duì)等實(shí)體認(rèn)證數(shù)據(jù)源發(fā)認(rèn)證訪問控制（Access Control）數(shù)據(jù)保密性（Confidentiality）,機(jī)密性連接的機(jī)密性無連接的機(jī)密性選擇字段的機(jī)密性通信業(yè)務(wù)流（traffic)機(jī)密性1.3 五類安全服務(wù)認(rèn)證（Authentication ），1.3 五

4、類安全服務(wù)（續(xù)）數(shù)據(jù)完整性（Integrity）連接的完整性無連接的完整性選擇字段的完整性帶恢復(fù)的完整性抗抵賴（Non-Repudation）數(shù)據(jù)原發(fā)抗抵賴數(shù)據(jù)交付抗抵賴1.3 五類安全服務(wù)（續(xù)）數(shù)據(jù)完整性（Integrity）1.4 安全機(jī)制加密機(jī)制（密碼機(jī)制）可以支持?jǐn)?shù)據(jù)保密性、完整性等多種安全服務(wù)算法可以是可逆的，也可以是不可逆的數(shù)字簽名機(jī)制簽名：使用簽名者獨(dú)有的私有信息驗(yàn)證：使用公開的信息和規(guī)程；簽名采用公鑰體制，使用私鑰進(jìn)行數(shù)字簽名，使用公鑰對(duì)簽名信息進(jìn)行驗(yàn)證 1.4 安全機(jī)制加密機(jī)制（密碼機(jī)制）1.4 安全機(jī)制（續(xù)）訪問控制機(jī)制根據(jù)訪問者的身份和有關(guān)信息，決定實(shí)體的訪問權(quán)限。實(shí)體必

5、須經(jīng)過認(rèn)證。訪問控制可以基于以下手段：集中的授權(quán)信息庫主體的能力表；客體的訪問控制鏈表主體和客體的安全標(biāo)簽或安全級(jí)別路由、時(shí)間、位置等可以用在源點(diǎn)、中間、或目的1.4 安全機(jī)制（續(xù)）訪問控制機(jī)制1.4 安全機(jī)制（續(xù)）數(shù)據(jù)完整性機(jī)制接收者能夠辨別信息是否發(fā)送者發(fā)送的原始數(shù)據(jù)的機(jī)制發(fā)送實(shí)體給數(shù)據(jù)單元附加一個(gè)消息，這個(gè)消息是該數(shù)據(jù)的函數(shù)。接收實(shí)體根據(jù)接收到的數(shù)據(jù)也產(chǎn)生一個(gè)相應(yīng)的消息，并通過與接收的附加消息的比較來確定接收到的數(shù)據(jù)是否在傳輸中被篡改。單個(gè)數(shù)據(jù)單元數(shù)據(jù)單元序列序列號(hào)時(shí)間戳1.4 安全機(jī)制（續(xù)）數(shù)據(jù)完整性機(jī)制1.4 安全機(jī)制（續(xù)）認(rèn)證交換機(jī)制（Authentication Exchange

6、）用來實(shí)現(xiàn)網(wǎng)絡(luò)同級(jí)之間的認(rèn)證 用于認(rèn)證交換的技術(shù)認(rèn)證信息，如口令，由發(fā)送實(shí)體提供，接收實(shí)體驗(yàn)證密碼技術(shù)被認(rèn)證實(shí)體的特征或占有物為防止重放攻擊，常與以下技術(shù)結(jié)合使用時(shí)間戳兩次或三次握手?jǐn)?shù)字簽名和公證機(jī)制的抗抵賴服務(wù)1.4 安全機(jī)制（續(xù)）認(rèn)證交換機(jī)制（Authenticati1.4 安全機(jī)制（續(xù)）通信業(yè)務(wù)流填充通過填充冗余的業(yè)務(wù)流量來防止攻擊者對(duì)流量進(jìn)行分析； 路由控制路由能動(dòng)態(tài)地或預(yù)定地選取, 以便只使用物理上安全的子網(wǎng)、中繼站或鏈路在檢測(cè)到持續(xù)的攻擊時(shí), 端系統(tǒng)可希望指示網(wǎng)絡(luò)服務(wù)的提供者經(jīng)不同的路由建立連接。帶有某些安全標(biāo)記的數(shù)據(jù)可能被安全策略禁止通過某些子網(wǎng)、中繼或鏈路。連接的發(fā)起者。1.4

7、 安全機(jī)制（續(xù)）通信業(yè)務(wù)流填充1.4 安全機(jī)制（續(xù)）公證機(jī)制由通信各方都信任的第三方提供，由第三方來確保數(shù)據(jù)的完整性、數(shù)據(jù)源、時(shí)間及目的地的正確。 有關(guān)在兩個(gè)或多個(gè)實(shí)體之間通信的數(shù)據(jù)的性質(zhì), 如它的完整性、原發(fā)、時(shí)間和目的地等，能夠借助公證機(jī)制而得到確保。每個(gè)通信事例可使用數(shù)字簽名、加密和完整性機(jī)制以適應(yīng)公證人提供的那種服務(wù)。當(dāng)這種公證機(jī)制被用到時(shí), 數(shù)據(jù)便在參與通信的實(shí)體之間經(jīng)由受保護(hù)的通信實(shí)例和公證方進(jìn)行通信。1.4 安全機(jī)制（續(xù)）公證機(jī)制1.4 安全機(jī)制（續(xù)）普遍性安全機(jī)制可信功能度 (trusted functionality)安全標(biāo)簽（security Labels）事件檢測(cè) (Ev

8、ent Detection)審計(jì)跟蹤 (security audit Trail)安全恢復(fù) (security recovery)1.4 安全機(jī)制（續(xù)）普遍性安全機(jī)制1.5 安全服務(wù)和安全機(jī)制的關(guān)系 機(jī)制服務(wù)加密數(shù)字簽名訪問控制數(shù)據(jù)完整性認(rèn)證交換流量填充路由控制公證對(duì)等實(shí)體認(rèn)證YYY數(shù)據(jù)源發(fā)認(rèn)證YY訪問控制服務(wù)Y連接保密性YY無連接保密性YY選擇字段保密性Y信息流保密YYY可恢復(fù)連接完整性YY無恢復(fù)連接完整性YY選擇字段連接完整性YyY選擇字段無連接完整性YYY源發(fā)抗抵賴YYY交付抗抵賴YYY1.5 安全服務(wù)和安全機(jī)制的關(guān)系 1.6 安全服務(wù)在協(xié)議層中的位置 層服務(wù)1234567對(duì)等實(shí)體認(rèn)證y

9、yy數(shù)據(jù)源發(fā)認(rèn)證yyy訪問控制服務(wù)yyy連接保密性YYyyyy無連接保密性yyyy選擇字段保密性yy信息流保密Yyy可恢復(fù)連接完整性yyy無恢復(fù)連接完整性yyyy選擇字段連接完整性y選擇字段無連接完整性yyyy源發(fā)抗抵賴y交付抗抵賴y1.6 安全服務(wù)在協(xié)議層中的位置 1.7 OSI的安全管理OSI安全管理與這樣一些操作有關(guān), 它們不是正常的通信情況但卻為支持與控制這些通信的安全所必需安全的管理管理的安全ManagerAgent操作報(bào)告被管系統(tǒng)被管對(duì)象1.7 OSI的安全管理OSI安全管理與這樣一些操作有關(guān), 1.7 OSI安全管理的分類系統(tǒng)安全管理系統(tǒng)安全管理涉及總的OSI環(huán)境安全方面的管理。

10、安全服務(wù)管理安全機(jī)制管理密鑰管理;加密管理;數(shù)字簽名管理;訪問控制管理;數(shù)據(jù)完整性管理;鑒別管理;通信業(yè)務(wù)填充管理;路由選擇控制管理;公證管理。1.7 OSI安全管理的分類系統(tǒng)安全管理服務(wù)TCP/IP協(xié)議層網(wǎng)絡(luò)接口IP層傳輸層應(yīng)用層對(duì)等實(shí)體認(rèn)證yyy數(shù)據(jù)源發(fā)認(rèn)證yyy訪問控制服務(wù)yyy連接保密性yyyy無連接保密性yyyy選擇字段保密性y信息流保密yyy可恢復(fù)連接完整性yy無恢復(fù)連接完整性yyy選擇字段連接完整性y選擇字段無連接完整性yyy源發(fā)抗抵賴y交付抗抵賴yTCP/IP協(xié)議的安全體系結(jié)構(gòu) 服務(wù)TCP/IP協(xié)議層網(wǎng)絡(luò)接口IP層傳輸層應(yīng)用層對(duì)等實(shí)體認(rèn)證基本內(nèi)容1 安全體系結(jié)構(gòu)2 安全模型3

11、安全等級(jí)評(píng)估基本內(nèi)容1 安全體系結(jié)構(gòu)什么是安全模型？安全模型是一個(gè)系統(tǒng)安全政策的形式化描述（數(shù)學(xué)描述）一個(gè)系統(tǒng)是安全的，當(dāng)切僅當(dāng)它所有的狀態(tài)都滿足安全政策的規(guī)定。安全模型的意義TCSEC的提出使安全模型引起了更多的關(guān)注安全模型能夠精確地表達(dá)系統(tǒng)對(duì)安全性的需求，增強(qiáng)對(duì)系統(tǒng)安全性的理解；有助于系統(tǒng)實(shí)現(xiàn)有助于系統(tǒng)安全性的證明或驗(yàn)證什么是安全模型？安全模型是一個(gè)系統(tǒng)安全政策的形式化描述（數(shù)學(xué)多級(jí)安全模型 多級(jí)安全模型最初起源于支持軍用系統(tǒng)和數(shù)據(jù)庫的安全保密，它可以使不同的密級(jí)包含不同的信息。密級(jí)由低到高分為秘密級(jí)、機(jī)密級(jí)和絕密級(jí)，以確保每一密級(jí)的信息僅能讓那些具有高于或者等于該級(jí)權(quán)限的人使用。 多級(jí)安

12、全模型 多邊安全模型 阻止信息在不同的部分橫向流動(dòng)。 ABCDE共享數(shù)據(jù)多邊安全模型 ABCDE共享數(shù)據(jù)P2DR安全模型 安全模型已經(jīng)從原來的被動(dòng)保護(hù)轉(zhuǎn)到主動(dòng)防御，強(qiáng)調(diào)整個(gè)生命周期的防御和恢復(fù)。 P2DR安全模型 安全模型已經(jīng)從原來的被動(dòng)保護(hù)轉(zhuǎn)到主動(dòng)防御，安全策略：根據(jù)風(fēng)險(xiǎn)分析產(chǎn)生的安全策略描述了系統(tǒng)中哪些資源要得到保護(hù)，以及如何實(shí)現(xiàn)對(duì)他們的保護(hù)等。防護(hù)：通過修復(fù)系統(tǒng)漏洞、正確設(shè)計(jì)、開發(fā)和安裝系統(tǒng)來預(yù)防安全事件的發(fā)生；通過定期檢查來發(fā)現(xiàn)可能存在的系統(tǒng)脆弱性；通過教育等手段，使用戶和操作員正確使用系統(tǒng)，防止發(fā)生意外威脅；通過訪問控制、監(jiān)視手段來防止惡意威脅。 安全策略：根據(jù)風(fēng)險(xiǎn)分析產(chǎn)生的安全策略

13、描述了系統(tǒng)中哪些資源要得檢測(cè)：通過不斷地檢測(cè)和監(jiān)控網(wǎng)絡(luò)和系統(tǒng)，來發(fā)現(xiàn)新的威脅和弱點(diǎn)，通過循環(huán)反饋來及時(shí)做出有效的響應(yīng)。響應(yīng):緊急響應(yīng)是解決安全潛在問題最有效的辦法。攻擊時(shí)間Pt：表示從入侵開始到入侵成功的時(shí)間。 檢測(cè)時(shí)間Dt：從入侵開始到檢測(cè)到入侵的時(shí)間響應(yīng)時(shí)間Rt：從檢測(cè)到系統(tǒng)漏洞或監(jiān)控到非法攻擊到系統(tǒng)啟動(dòng)處理措施的時(shí)間。系統(tǒng)暴露時(shí)間Et：系統(tǒng)的暴露時(shí)間是指系統(tǒng)處于不安全狀況的時(shí)間，可以定義為：EtDtRtPt檢測(cè)：通過不斷地檢測(cè)和監(jiān)控網(wǎng)絡(luò)和系統(tǒng)，來發(fā)現(xiàn)新的威脅和弱點(diǎn)，訪問控制模型控制主體對(duì)客體的訪問一次訪問可以描述為一個(gè)三元組：訪問控制政策是一組規(guī)則，決定一個(gè)特定的主體是否有權(quán)限訪問一個(gè)客

14、體F(s, a, o) True, False訪問控制模型控制主體對(duì)客體的訪問訪問控制矩陣按列看是客體的訪問控制列表（access control list） 按行看是主體的訪問能力表(capability list)SubjectsObjectsS1S2S3O1O2O3Read/writeWriteReadExecute訪問控制矩陣按列看是客體的訪問控制列表（access conBLP 模型Bell-LaPadula Model 用來描述美國國防部的多級(jí)安全政策用戶和文件分成不同的安全級(jí)別，各自帶有一個(gè)安全標(biāo)簽 Unclassified, Confidential , Secret, Top

15、 Secret每個(gè)用戶只可以讀同級(jí)或級(jí)別更低的文件BLP模型只描述了保密性，沒有描述完整性和可用性的要求BLP 模型Bell-LaPadula Model 用來描述BLP 模型向下寫是不允許的向上讀是不允許的SubjectsObjects簡單安全特性* 特性BLP 模型向下寫是不允許的向上讀是不允許的SubjectsBLP 模型TSSCUTSSCUR/WWR/WRR/WRWRRR R/WRWWWWSubjectsObjectsInformation FlowBLP 模型的信息流BLP 模型TSTSSCUR/WWR/WRR/WRWRRR 完整性模型Biba 模型安全政策需求：完整性規(guī)則：no r

16、ead down , no write up完整性模型Biba 模型基本內(nèi)容1 安全體系結(jié)構(gòu)2 安全模型3 安全等級(jí)評(píng)估基本內(nèi)容1 安全體系結(jié)構(gòu)安全等級(jí)評(píng)估安全等級(jí)評(píng)估的意義計(jì)算機(jī)和網(wǎng)絡(luò)的應(yīng)用環(huán)境不同對(duì)安全性的要求也不同安全等級(jí)評(píng)估可以為用戶選擇計(jì)算機(jī)系統(tǒng)提供指導(dǎo)、依據(jù)或參考安全等級(jí)評(píng)估安全等級(jí)評(píng)估的意義安全等級(jí)評(píng)估標(biāo)準(zhǔn)的發(fā)展歷程1983(1985)TCSEC1991年歐洲ITSEC1990年加拿大CTCPEC1991年美國聯(lián)邦準(zhǔn)則FC1996年國際通用準(zhǔn)則CC1996年國際標(biāo)準(zhǔn)ISO 15408安全等級(jí)評(píng)估標(biāo)準(zhǔn)的發(fā)展歷程1983(1985)1991年歐洲安全等級(jí)評(píng)估美國：Trusted Co

17、mputer System Evaluation Criteria(TCSEC) Trusted Network Interpretation (TNI)歐洲： ITSEC 加拿大：CTCPECISO : CC( Common Criteria for Information Technology Security Evaluation ) V2.0, 1999 中國：GB17859-99安全等級(jí)評(píng)估美國：可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC）可信計(jì)算基（Trusted Computing Base）一個(gè)實(shí)現(xiàn)安全政策的所有安全機(jī)制的集合，包括硬件、軟件和固件，它根據(jù)安全政策來處理主體（Subje

18、ct）對(duì)客體（Object）的訪問TCB安全政策SubjectObject可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC）可信計(jì)算基（TrusteTCSEC 相關(guān)概念主體（Subject）：用戶，進(jìn)程客體（Object）：文件、內(nèi)存等資源訪問（Access Control）：讀、寫、執(zhí)行、等標(biāo)識(shí)（Identification）：標(biāo)簽（Label）：主體或客體安全級(jí)別的一種屬性安全政策，主要指訪問控制政策TCSEC 相關(guān)概念主體（Subject）：用戶，進(jìn)程TCSEC 相關(guān)概念自主型訪問控制（Discretionary Access Control）客體的所有者可以將訪問權(quán)限自主的分配個(gè)其他主體靈活強(qiáng)制型訪

19、問控制（Mandatory Access Control）由安全管理員決定主體和客體的屬性由操作系統(tǒng)規(guī)則根據(jù)屬性決定訪問控制權(quán)限TCSEC 相關(guān)概念自主型訪問控制（DiscretionarTCSEC 四類、七個(gè)級(jí)別D ： 最小保護(hù)類，D級(jí)C：自主保護(hù)類安全措施：自主訪問控制，審計(jì)跟蹤C(jī)1：自主安全保護(hù)用戶與數(shù)據(jù)隔離C2：可控的安全保護(hù)唯一標(biāo)識(shí)審計(jì)記錄可追查責(zé)任TCSEC 四類、七個(gè)級(jí)別D ： 最小保護(hù)類，D級(jí)TCSEC 四類、七個(gè)級(jí)別B： 強(qiáng)制安全保護(hù)類要求實(shí)行強(qiáng)制型訪問控制政策B1 ：標(biāo)記安全保護(hù)B2： 結(jié)構(gòu)安全保護(hù)B3： 安全區(qū)域級(jí)保護(hù)A： 驗(yàn)證安全保護(hù)類要求用形式化的方法證明系統(tǒng)的安全型A1：驗(yàn)證設(shè)計(jì)級(jí)保護(hù) B3+設(shè)計(jì)安全性證明A2：驗(yàn)證實(shí)現(xiàn)級(jí)保護(hù) , 無法提出具體要求TCSEC 四類、七個(gè)級(jí)別B： 強(qiáng)制安全保護(hù)類我國的等級(jí)評(píng)測(cè)標(biāo)準(zhǔn)（GB17859-99）第一級(jí) 用戶自主保護(hù)級(jí)身份認(rèn)證，自主型訪問控制第二級(jí) 系統(tǒng)審計(jì)保護(hù)級(jí)認(rèn)證、自主型訪問控制、審計(jì)第三級(jí) 安全標(biāo)記保護(hù)級(jí)強(qiáng)制型訪問控制第四級(jí) 結(jié)構(gòu)化保護(hù)級(jí)形式化的安全策略模型，考慮隱蔽信道第五級(jí) 訪問驗(yàn)證級(jí)保護(hù)訪問監(jiān)控器抗篡改、可分析測(cè)試自動(dòng)終止安全事件系統(tǒng)可恢復(fù)我國的等級(jí)評(píng)測(cè)標(biāo)準(zhǔn)（GB17859-99）第一級(jí) 用戶自主保CC的范圍和目標(biāo)用戶范