第 18章 安全架构设计理论与实践
安全架构是架构面向安全性方向上的一种细分,可关注三个安全方面,即产品安全架构、安全技能体系架构和审计架构,这三个方面可构成三道安全防线。本章主要分析安全威胁、介绍安全模型,在此基础上,就体系、信息、网络和数据库的安全框架及设计进行介绍。末了,简要阐明体系架构的脆弱性题目。 18.1 安全架构概述18.1.1 信息安全面临的威胁
目前,信息体系大概遭受到的威胁可总结为以下4个方面,如图18-1所示。
https://img-blog.csdnimg.cn/direct/349cb3453e6c406b9710696f64511dab.png
对于信息体系来说,威胁可以是针对物理环境、通讯链路、网络体系、操作体系、应用体系以及管理体系等方面。
物理安全威胁是指对体系所用设备的威胁,如自然灾害、电源故障、操作体系引导失败或数据库信息丢失、设备被盗/被毁造成数据丢失或信息泄露; 通讯链路安全威胁是指在传输线路上安装窃听装置或对通讯链路进行干扰; 网络安全威胁是指由于互联网的开放性、国际化的特点,人们很容易通过技能本领窃取互联网信,对网络形成严重的安全威胁; 操作体系安全威胁是指对体系平台中的软件或硬件芯片中植入威胁,如“木马”和“陷阱门”、BIOS的万能暗码; 应用体系安全威胁是指对于网络服务或用户业务体系安全的威胁,也受到“木马”和“陷阱门”的威胁; 管理体系安全威胁是指由于人员管理上疏忽而引发人为的安全弊端,如人为的通过拷贝、拍照、抄录等本领盗取计算机信息。 具体来讲,常见的安全威胁有以下几种。
(1)信息泄露:信息被泄露或透露给某个非授权的实体。 (2)破坏信息的完备性:数据被非授权地进行增删、修改或破坏而受到损失。 (3)拒绝服务:对信息或其他资源的正当访问被无条件地阻止。 (4)非法利用(非授权访问):某一资源被某个非授权的人或以非授权的方式利用。 (5)窃听:用各种大概的正当或非法的本领窃取体系中的信息资源和敏感信息。比方对通讯线路中传输的信号进行搭线监听,或者利用通讯设备在工作过程中产生的电磁泄漏截取有效信息等。 (6)业务流分析:通过对体系进行恒久监听,利用统计分析方法对诸如通讯频度、通讯的信息流向、通讯总量的变化等态势进行研究,从而发现有代价的信息和规律。 (7)假冒:通过欺骗通讯体系(或用户)达到非法用户假冒成为正当用户,或者特权小的用户假冒成为特权大的用户的目的。黑客大多是采用假冒进行攻击。 (8)旁路控制:攻击者利用体系的安全缺陷或安全性上的脆弱之处得到非授权的权利或特权。比方,攻击者通过各种攻击本领发现原本应保密,但是却又暴暴露来的一些体系“特性”。利用这些“特性”,攻击者可以绕过防线保卫者侵入体系的内部。 (9)授权侵占:被授权以某一目的利用某一体系或资源的某个人,却将此权限用于其他非授权的目的,也称作“内部攻击”。 (10)特洛伊木马:软件中含有一个察觉不出的或者无害的程序段,当它被实行时,会破坏用户的安全。这种应用程序称为特洛伊木马(Trojan Horse)。 (11)陷阱门:在某个体系或某个部件中设置了“构造”,使得当提供特定的输入数据时,答应违反安全策略。 (12)抵赖:这是一种来自用户的攻击,比方,否认本身曾经发布过的某条消息、伪造一份对方来信等。 (13)重放:所截获的某次正当的通讯数据备份,出于非法的目的而被重新发送。 (14)计算机病毒:所谓计算机病毒,是一种在计算机体系运行过程中能够实现传染和侵害的功能程序。一种病毒通常含有两个功能:一种功能是对其他程序产生“感染”;另外一种或者是引发损坏功能或者是一莳植入攻击的能力。 (15)人员渎职:一个授权的人为了钱或长处、或由于粗心,将信息泄露给一个非授权的人。 (16)媒体废弃:信息被从废弃的磁盘或打印过的存储介质中得到。 (17)物理侵入:侵入者通过绕过物理控制而得到对体系的访问。 (18)窃取:重要的安全物品,如令牌或身份卡被盗。 (19)业务欺骗:某一伪体系或体系部件欺骗正当的用户或体系志愿地放弃敏感信息。
18.1.2 安全架构的界说和范围
安全架构是架构面向安全性方向上的一种细分,好比细分领域含有运维架构、数据库架构等。假如安全性体如今产品上,那么,通常的产品安全架构、安全技能体系架构和审计架构可构成三道安全防线。
[*](1)产品安全架构:构建产品安全质量属性的主要构成部门以及它们之间的关系。产品安全架构的目的是怎样在不依赖外部防御体系的环境下,从源头打造自身安全的产品。
[*](2)安全技能体系架构:构建安全技能体系的主要构成部门以及它们之间的关系。安全技能体系架构的任务是构建通用的安全技能基础办法,包括安全基础办法、安全工具和技能、安全组件与支持体系等,体系性地加强各产品的安全防御能力。
[*](3)审计架构:独立的审计部门或其所能提供的风险发现能力,审计的范围主要包括安全风险在内的全部风险。
安全架构应具备可用性、完备性和机密性等特性。 这里所说的可用性(Availability)是指要防止体系的数据和资源丢失; 完备性(Integrity)是指要防止体系的数据和资源在未经授权环境下被修改; 机密性(Confidentiality)是指要防止体系的数据和资源在未授权的环境下被披露。 我们在体系设计时,通常要识别体系大概会遇到的安全威胁,通过对体系面临的安全威胁和实施相应控制措施进行合理的评价,提出有效合理的安全技能,形成提升信息体系安全性的安全方案,是安全架构设计的根本目的。在实际应用中,安全架构设计可以从安全技能的角度思量,主要包括:身份鉴别、访问控制、内容安全、冗余恢复、审计相应、恶意代码防范和暗码技能等。 18.1.3 与信息安全相干的国表里尺度及构造
1.国外尺度 2.国内尺度
[*](1)GA:国家安全行业尺度规范。由中国安全技能防范认证中心构造发布。
[*](2)GB:国家尺度规范,由中国国家尺度化管理委员会构造发布。
[*](3)GJB:国家军用尺度规范。
3.相干尺度化构造
国际尺度化构造(ISO) 、 国际电工委员会(IEC) 、 中国国家尺度化管理委员会(SAC) 、 天下信息技能尺度化技能委员 18.2 安全模型
信息体系的安全目的是控制和管理主体(含用户和进程)对客体(含数据和程序)的访问。 作为信息体系安全目的,就是要实现: ●保护信息体系的可用性; ●保护网络体系服务的连续性; ●防范资源的非法访问及非授权访问; ●防范入侵者的恶意攻击与破坏; ●保护信息通过网上传输过程中的机密性、完备性; ●防范病毒的侵害; ●实现安全管理。 安全模型是正确地形貌安全的重要方面及其与体系行为的关系,安全策略是从安全角度为体系整体和构成它的组件提出基本的目的,它是一个体系的基础规范,使体系集成后评估它的基准。 安全策略勾画出的安全目的,是宽泛、含糊而抽象的。而安全模型提供了实现目的应该做什么,不应该做什么,具有实践指导意义,它给出了策略的形式。 安全模型有许多种,可针对差别的特性、场景以及控制关系利用差别的安全模型。如图18-3所示给出了安全模型的一种分类方法。 https://img-blog.csdnimg.cn/direct/8791470794fc42a9be358a63f3e616ae.png
当前比较被公认的模型有:
[*]状态机模型(State Machine Model)、
[*]Bell-LaPadula(BLP)模型、
[*]Biba模型、
[*]Clark-Wilson(CWM)模型、
[*]ChineseWall模型,
[*]信息流模型(Information FlowModel)、
[*]非干涉模型(Noninterference Model)、
[*]格子模型(Lattice Model)、
[*]Brewer and Nash模
[*]型和Graham-Denning模型
18.2.1 状态机模型
状态机模型形貌了一种无论处于何种状态都是安全的体系。它是用状态语言将安全体系形貌成抽象的状态机,用状态变量表述体系的状态,用转换规则形貌变量变化的过程。 状态机模型中一个状态(state)是处于体系在特定时刻的一个快照。假如该状态全部方面满足安全策略的要求,则称此状态是安全的;假如全部行为都在体系中答应并且不危及体系使之处于不安全状态,则断言体系实行了一个安全状态模型(Secure State Model)。一个安全状态模型体系,总是从一个安全状态启动,并且在全部迁移中保持安全状态,只答应主体以和安全策略相同等的安全方式访问资源。 状态机模型工作原理如图18-4所示,具体步骤形貌如下: (1)状态变量的默认值必须安全;
(2)用户试图利用变量的默认值;
(3)体系检查主体的身份验证;
(4)体系确保变更不会使体系置于不安全状态;
(5)体系答应变量值变更,发生状态改变(STATE CHANGE);
(6)再重复实行(1)~(5)步,会导致另一次状态变化。 https://img-blog.csdnimg.cn/direct/a0699f76a9a14f7db5446505d4144532.png
参考: 状态机模型-CSDN博客、 状态机模型详细介绍:概念、原理、利用方法及源码剖析_状态机设计模式-CSDN博客 18.2.2 Bell-LaPadula模型
Bell-LaPadula模型是David Bell和Len LaPadula于1973提出的第一个正式的安全模型。该模型属于逼迫访问控制模型,以敏感度来分别安全级别。将数据分别为多安全级别与敏感度的体系,即多级安全体系。本模型是为美国国防部多级安全策略形式化而开发,其机密性模型是第一个能够提供分级别数据机密性保障的安全策略模型(即多级安全)。
1.模型基本原理
Bell-LaPadula模型利用主体、客体、访问操作(读、写、读/写)以及安全级别这些概念,当主体和客体位于差别的安全级别时,主体对客体就存在一定的访问限制。通过该模型可包管信息不被不安全主体访问。 图18-5对Bell-LaPadula模型基本原理进行形貌。 https://img-blog.csdnimg.cn/direct/db64642962be4d6488721cda56687056.png 这里: (1)安全级别为“机密”的主体访问安全级别为“绝密”的客体时,主体对客体可写不可读(No Read Up); (2)当安全级别为“机密”的主体访问安全级别为“机密”的客体时,主体对客体可写可读; (3)当安全级别为“机密”的主体访问安全级别为“秘密”的客体时,主体对客体可读不可写(No Write Down)。 2.模型安全规则
Bell-LaPadula模型的安全规则如下: (1)简单安全规则(Simple Security Rule):安全级别低的主体不能读安全级别高的客体(No Read Up); (2)星属性安全规则(Star Security Property):安全级别高的主体不能往低级别的客体写(No Write Down); (3)强星属性安全规则(Strong Star Security Property):不答应对另一级别进行读写; (4)自主安全规则(Discretionary Security Property):利用访问控制矩阵来界说阐明自由存取控制。其存取控制体如今内容相干和上下文相干。
参考:15-网络安全框架及模型-BLP机密性模型_bell-lapadula 模型-CSDN博客
18.2.3 Biba模型
Biba模型是在Bell-LaPadula模型之后开发的,它跟Bell-LaPadula模型很相似,被用于解决应用程序数据的完备性题目。Bell-LaPadula利用安全级别(Top secret、Secret、Sensitive等),这些安全级别用于包管敏感信息只被授权的个体所访问。 1.模型基本原理
Biba模型不关心信息机密性的安全级别,因此它的访问控制不是创建在安全级别上,而是创建在完备性级别上。 完备性的三个目的: 保护数据不被未授权用户更改;保护数据不被授权用户越权修改(未授权更改);维持数据内部和外部的同等性。 Biba模型的安全策略是基于条理化的完备性级别。它将完备性威胁分为来源于子体系内部和外部的威胁。假如子体系的一个组件是恶意或不正确,则产生内部威胁;假如一个子体系计划通过错误数据或不正确调用函数来修改另一个子体系,则产生外部威胁。内部威胁可以通过程序测试或检验来解决。所以本模型主要针对外部威胁,解决了完备性的第一目的:即防止非授权用户的窜改。 图18-6对Bell-LaPadula模型基本原理进行形貌。 https://img-blog.csdnimg.cn/direct/563a0746e2b343a9b6b0eeaf643a95c6.png
这里: (1)当完备性级别为“中完备性”的主体访问完备性为“高完备性”的客体时,主体对客体可读不可写(No Write Up),也不能调用主体的任何程序和服务; (2)当完备性级别为“中完备性”的主体访问完备性为“中完备性”的客体时,主体对客体可读读可写; (3)当完备性级别为“中完备性”的主体访问完备性为“低完备性”的客体时,主体对客体可写不可读;(No Read Down); 2.模型安全规则
Biba模型能够防止数据从低完备性级别流向高完备性级别,其安全规则如下: (1)星完备性规则(*-integrityAxiom):表示完备性级别低的主体不能对完备性级别高的客体写数据; (2)简单完备性规则(Simple Integrity Axiom):表示完备性级别高的主体不能从完备性级别低的客体读取数据; (3)调用属性规则(Invocation Property):表示一个完备性级别低的主体不能从级别高的客体调用程序或服务。 参考:16-网络安全框架及模型-BiBa完备性模型_biba模型-CSDN博客、软考-网络安全体系与网络安全模型_blp-CSDN博客
18.2.4 Clark-Wilson模型
Clark-Wilson模型是由David Clark和David Wilson于1987年提出的完备性模型,简称为CWM,这个模型实现了成型的事务处理机制,常用于银行体系中以包管数据完备性。 1.模型基本原理
CWM是一种将完备性目的、策略和机制融为一体的模型。为了体现用户完备性,CWM提出了职责隔离(Separation of Duty)目的;为了包管数据完备性,CWM提出了应用相干的完备性验证进程;为了创建过程完备性,CWM界说了对于变换过程的应用相干验证。 图18-7对CWM模型的基本原理进行了形貌。 https://img-blog.csdnimg.cn/direct/38e01b6988334cb682a526d5de92a1e2.png 这里: (1)需要进行完备性保护的客体称之为CDI,不需要进行完备性保护的客体称之为UDI; (2)完备性验证过程(Integrity Verification Procedure,IVP):确认限制数据项处于一种有效状态,假如IVP检验CDI符合完备性束缚,则体系处于一个有效状态; (3)转换过程(Transformation Procedures,TP):将数据项从一种有效状态改变至另一种有效状态; (4)为了确保对CDI的TP是有效的,则需要授权User做TP的认证; (5)为了防止正当用户对CDI做非法或错误操作,将TP过程分为多个子过程,将每个子过程授权给差别的User; (6)但是假如TP的每个子过程被授权的User之间存在某种长处同盟,则大概存在欺骗。从而使得CDI的完备性得不到保护。 2.模型特征
CWM的主要特征是: (1)采用Subject/Program/Object三元素的构成方式。Subject要访问Object只能通过Program进行; (2)权限分离原则:将要害功能分为有2个或多个Subject完成,防止已授权用户进行未授权的修改; (3)要求具有审计能力(Auditing)。 参考:NISP二级7.3 逼迫访问控制模型-CSDN博客
18.2.5 Chinese Wall模型
Chinese Wall模型(又名Brew and Nash模型,最初是由Brewer和Nash提出)是应用在多边安全体系中的安全模型。也就是说,是指通过行政规定和分别、内部监控、IT体系等本领防止各部门之间出现有损客户长处的长处辩论事件。本模型最初为投资银行设计的,但也可应用在其他相似的场合。 1.模型基本原理
Chinese Wall模型的安全策略的基础是客户访问的信息不会与当前他们可支配的信息产生辩论。在投资银行中,一个银行会同时拥有多个互为竞争者的客户,一个银行家大概为一个客户工作,但他可以访问全部客户的信息。因此,应当克制该银行家访问其他客户的数据。好比在某个领域有两个竞争对手同时选择了一个投资银行作为他们的服务机构,而这个银行出于对这两个客户的贸易机密的保护就只能为其中一个客户提供服务。Chinese Wall模型同时包括DAC和MAC的属性,是逼迫访问控制模型(MAC)的一种混合策略模型,好比银行家可以选择为谁工作(DAC),一旦选定,他就只能为该客户工作(MAC)。图18-8给出了Chinese Wall模型的基本原理。 https://img-blog.csdnimg.cn/direct/66af18928726478faed0d06c1daebfeb.png2.模型的安全规则
Chinese Wall模型的访问客体控制的安全规则如下: (1)与主体曾经访问过的信息属于同一公司数据聚集的信息,即墙内信息可以访问; (2)属于一个完全差别的长处辩论组的可以访问; (3)主体能够对一个客体进行写的前提是主体未对任何属于其他公司数据集进行过访问。 定理1:一个主体一旦访问过一个客体,则该主体只能访问位于同一公司数据集的客体或在差别长处组的客体。 定理2:在一个长处辩论组中,一个主体最多只能访问一个公司数据集。 好比,假设Chinese Wall安全策略包括三个信息存储模块:某家企业的单位信息(C)、该家企业的全部信息聚集(Company Data,CD)和该家企业与互为竞争关系企业的全部信息聚集(Conflict ofInterest,COI)。那么,Chinese Wall模型规定: (1)每个C只能唯一对应一个CD; (2)每个CD只能唯一对应一个长处辩论类COI; (3)一个COI类却可以同时包含多个CD。 3.模型举例
在一个企业投资顾问公司里,一个咨询师大部门是同时为多少个企业提供投资咨询服务的,该咨询师就掌握了他所服务的全部企业的全部信息,包括企业的内部机密信息。假如该咨询师所服务的多少企业中有两家企业是在同一行业内的竞争对手,那么我们可以遐想到,该咨询师大概会在给一家企业提供咨询过程中,有意或者无意地透露一些本身知道的有关另一家竞争企业的内部信息,使得一方得到长处,另一方遭受损失,这就导致了长处辩论,这是Chinese Wall安全模型策略需要解决的主要题目。
参考:NISP二级7.3 逼迫访问控制模型-CSDN博客
18.3 体系安全体系架构规划框架
<安全技能体系架构>是对<构造机构信息技能体系>的<安全体系布局>的整体形貌。 <安全技能体系架构框架>是(拥有信息技能体系)的<构造机构>根据其策略的要求和风险评估的效果,参考<相干技能体系构架>的尺度和最佳实践,结合<构造机构信息技能体系>的具体现状和需求,创建的(符合<构造机构信息技能体系战略发展规划>)的(信息技能体系)整体体系框架。 这个框架是构造机构信息技能体系战略管理的具体体现。 技能体系架构能力是构造机构实行安全技能整体能力的体现,它反映了构造机构在实行信息安全技能体系框架管理,达到预定的成本、功能和质量目的上的度量。 简单明白:
[*]1.体系布局(架构)增加安全性方向上,构成了安全体系布局。
[*]2.把安全体系布局进一步抽象,对安全体系布局进行整体形貌,就是安全技能体系布局。---形貌的主方向还是架构和安全相干方面。
[*]3.再进一步抽象,把安全技能体系布局抽象为一种框架,这个框架是根据构造机构的信息体系的策略要求,风险评估,参考....尺度和实践....结合....,创建的体系框架。
[*]4.这个框架能反应信息技能体系战略管理能力,也是一种度量指标。
18.3.1 安全技能体系架构
<安全技能体系架构>的目的是创建可持续改进的安全技能体系架构的能力,信息技能体系千变万化,有各种各样的分类方式,为从技能角度创建一个通用的对象分析模型,这里,我们将信息体系抽象成一个基本完备的信息体系分析模型,如图18-9所示。从信息技能体系分析模型出发,创建整个信息技能体系的安全架构。 https://img-blog.csdnimg.cn/direct/ba2b63a0e87a4b4f96df02b33cac48b5.png 一般来说,国际尺度化构造(ISO)提出一种网络尺度架构(OSI)参考模型将网络分别为物理、数据链路、网络、传输、会话、表示和应用等7层,Andrew S.Tanenbau综合OSI参考模型和TCP/IP参考模型将网络分别为物理、数据链路、网络、传输和应用等5层。在本模型中,首先需要做的就是对网络布局条理进行分别,思量到安全评估是以安全风险威胁分析入手的,而且在实际的网络安全评估中会发现,主机和存储体系占据了大量的评估考察工作,虽然主机和存储体系都属于应用层,但本模型由于其重要性,特将其单列为一个条理,因此根据网络中风险威胁的存在实体分别出5个条理的实体对象:应用、存储、主机、网络和物理。 参考: 网络尺度架构--OSI七层、四层-CSDN博客 18.3.2 信息体系安全体系规划
<信息体系安全体系规划>是一个非常过细和非常重要的工作,首先需要对企业信息化发展的历史环境进行深入和全面的调研,并针对信息体系安全的主要内容进行整体的发展规划工作。 图18-10给出了一种信息体系安全体系的框架。 从图18-10可以看出,<信息体系安全体系>主要是由技能体系、构造机构体系和管理体系三部门共同构成的。
[*]技能体系是全面提供信息体系安全保护的技能保障体系,该体系由物理安全技能和体系安全技能两大类构成。
[*]构造体系是信息体系的构造保障体系,由机构、岗位和人事三个模块构成。机构分为向导决策层、日常管理层和具体实行层;岗位是信息体系安全管理部门根据体系安全需要设定的负责某一个或某几个安全事务的职位;人事是根据管理机构设定的岗位,对岗位上在职、待职和离职的员工进行素质教育、业绩考核和安全羁系的机构。
[*]管理体系由法律管理、制度管理和培训管理三部门构成。
https://img-blog.csdnimg.cn/direct/8000a6b46b26425a9d3d2bf7f0c24b28.png 18.3.3 信息体系安全规划框架
创建了信息体系安全体系之后,就可以针对以上形貌的内容进行全面的规划。信息体系安全规划的条理方法与步骤可以有差别,但是规划内容与条理应该是相同。规划的具体环节、相互之间的关系和具体方法如图18-11所示。 https://img-blog.csdnimg.cn/direct/6732c91be52145c0ac1fd3f441be5f81.png 1.信息体系安全规划依托企业信息化战略规划
<信息化战略规划>是以整个企业的发展目的、发展战略和企业各部门的业务需求为基础,结 合 行业信息化方面的需求分析、环境分析和对信息技能发展趋势的掌握, 界说出 企业信息化建设的 远景、使命、目的和战略, 规划出 企业信息化建设的 未来架构, 为 信息化建设的实施 提供一幅完备的 蓝图,全面体系地 指导企业信息化 建设的进程。 <信息体系安全规划> 依托 企业信息化战略规划, 对 信息化战略的实施起到 保驾护航的作用。 <信息体系安全规划>的 目的应该 与企业信息化的目的是同等的,而且应该 比企业信息化的目的 更具体明确、更贴近安全。信息体系安全规划的统统论述都要围绕着这个目的睁开和部署。 2.信息体系安全规划需要围绕技能安全、管理安全、构造安全思量
信息体系安全规划的方法可以差别、偏重点可以差别,但都需要围绕技能安全、管理安全、构造安全进行全面思量。 规划的内容基本上应涵盖:
确定信息体系安全的任务、目的、战略以及战略部门和战略人员,并在此基础上订定出物理安全、网络安全、体系安全、运营安全、人员安全的信息体系安全的总体规划。
[*]物理安全包括环境设备安全、信息设备安全、网络设备安全、信息资产设备的物理分布安全等。
[*]网络安全包括网络拓扑布局安全、网络的物理线路安全、网络访问安全(防火墙、入侵检测体系和VPN等)等。
[*]体系安全包括操作体系安全、应用软件安全和应用策略安全等。
[*]运营安全应在控制层面和管理层面保障,包括备份与恢复体系安全、入侵检测功能、加密认证功能、弊端检查及体系补丁功能、口令管理等。
[*]人员安全包括安全管理的构造机构、人员安全教育与意识机制、人员雇用及离职管理、第三方人员安全管理等。
3.信息体系安全规划以信息体系与信息资源的安全保护为核心
<信息体系安全规划>的终极效果应该体如今对<信息体系与信息资源>的安全保护上,因此规划工作需要围绕着信息体系与信息资源的开发、利用和保护工作进行,要包括蓝图、现状、需求和措施4个方面。
[*](1)蓝图:对信息体系与信息资源的规划需要从信息化建设的蓝图入手,知道企业信息化发展策略的总体目的和各阶段的实施目的,订定出信息体系安全的发展目的。
[*](2)现状:对企业的信息化工作现状进行整体的、综合、全面的分析,找出过去工作中的上风与不足。
[*](3)需求:根据<信息化建设的目的>提出未来几年的需求,这个需求最好可以分解成多少个小的方面,以便于今后的实施与落实。
[*](4)措施:要明确在实施工作阶段的具体措施与方法,提高规划工作的实行力度。
<信息体系安全规划>服务于<企业信息化战略目的>,信息体系安全规划做得好,企业信息化工作的实现就有了保障。信息体系安全规划 是 企业信息化发展战略的基础性工作,不是无关紧急而黑白常重要。由于企业信息化的任务与目的差别,所以信息体系安全规划包括的内容就差别,建设的规模就有很大的差异,因此信息体系安全规划难以从专业册本或研究资料中找到非常有针对性的适用法则,也难以给出一个规范化的信息体系安全规划的模板。这里给出信息体系安全规划框架与方法,信息体系安全规划工作的一种建设原则、建设内容、建设思绪。具体规划还需要深入过细地进行本地化的调查与研究。
18.4 信息安全整体架构设计(WPDRRC模型)
人、管理和技能本领是<信息安全架构>设计的三大要素,而构成动态的信息与网络安全保障体系框架是实现体系的安全保障。 18.4.1 WPDRRC信息安全体系架构模型
美国曾提出了多个网络安全体系模型和架构,其中比较经典的包括PDRR模型、P2DR模型。而WPDRRC模型由中国提出。 在PDRR模型中,安全的概念已经从信息安全扩展到了信息保障,信息保障内涵已超出传统的信息安全保密,它是保护(Protect)、检测(Detect)、反应(React)、恢复(Restore)的有机结合,称为PDRR模型。PDRR模型把信息的安全保护作为基础,将保护视为运动过程,要用检测本领来发现安全弊端,及时更正;同时采用应急相应措施对付各种入侵;在体系被入侵后,要采取相应的措施将体系恢复到正常状态,这样才能使信息的安全得到全方位的保障。该模型夸大的是自动故障恢复能力。 PDRR记忆:先保护,并检测是否有弊端,攻击,有弊端、攻击及时反应,被攻击的内容给恢复返来。 WPDRRC模型有6个环节和3大要素。 6个环节包括:预警、保护、检测、相应、恢复和反击,它们具有较强的时序性和动态性,能够较好地反映出信息体系安全保障体系的预警能力、保护能力、检测能力、相应能力、恢复能力和反击能力。 PRDRRC记忆:先模拟预警,然后提出保护措施,并检测是否有弊端,攻击,有弊端,攻击及时相应,被攻击的内容给恢复返来,同时反击攻击者。 3大要素包括:人员、策略和技能。 人员是核心,策略是桥梁,技能是包管,落着实WPDRRC的6个环节的各个方面,将安全策略变为安全实际。图18-12给出了WPDRRC 模型的6个环节和3大要素间的关系。 https://img-blog.csdnimg.cn/direct/e7cf89c560db4d90b3c57c6e5e627d03.png
● W:预警主要是指利用长途安全评估体系提供的 模拟攻击技能来检查体系存在的、大概被利用的单薄环节,网络和测试网络与信息的安全风险所在,并以直观的方式进行陈诉,提供解决方案的建议,在经过分析后,分解网络的风险变化趋势和严重风险点,从而有效低落网络的总体风险,保护关键业务和数据。 ● P:防护通常是通过采用成熟的信息安全技能及方法来实现网络与信息的安全。主要内容有加密机制,数字署名机制,访问控制机制,认证机制,信息隐藏和防火墙技能等。 ● D:检测通过检测和监控网络以及体系,来发现新的威胁和弱点,逼迫实行安全策略。 在这个过程中采用入侵检测、恶意代码过滤等技能,形成动态检测的制度,嘉奖陈诉协调机制,提高检测的实时性。主要内容有入侵检测,体系脆弱性检测,数据完备性检测和攻击性检测等。 ● R:相应是指在检测到安全弊端和安全事件之后必须及时做出正确的相应,从而把体系调整到安全状态。为此需要相应的报警、跟踪、处理体系,其中处理包括了封堵、隔离、陈诉等能力。主要内容有应急策略、应急机制、应急本领、入侵过程分析和安全状态评估等。 ● R:恢复灾难恢复体系是当前网络、数据、服务受到黑客攻击并遭到破坏或影响后,通过须要技能本领,在尽大概短的时间内使体系恢复正常。主要内容有容错、冗余、备份、更换、修复和恢复等。 ● C:反击是指采用统统大概的高新技能本领,侦察、提取计算机犯罪分子的作案线索与犯罪证据,形成强有力的取证能力和依法打击本领。 网络安全体系模型经过多年发展,形成了PDP、PPDR、PDRR、MPDRR和WPDRRC等模型,这些模型在信息安全防范方面功能更加完满,表18-1给出网络安全体系模型安全防范功能 对照表。 https://img-blog.csdnimg.cn/direct/1e9a4d41b560443088e2153aeb902847.png 从上表可看出,差异在于预警、恢复、反击、管理。 18.4.2 信息安全体系架构设计
对信息体系的安全需求是任何单一安全技能都无法解决的,要设计一个信息安全体系架构,应当选择合适的安全体系布局模型。信息体系安全设计重点思量两个方面: 其一是体系安全保障体系; 其二是信息安全体系架构。 1.体系安全保障体系
安全保障体系是由安全服务、协议条理和体系单位等三个层面构成,且每个层都涵盖了安全管理的内容。图18-13给出了安全保障体系布局技能模型示意图。 https://img-blog.csdnimg.cn/direct/2e005614b2b44530b53585b3ab20adc0.png
体系安全保障体系设计工作主要思量以下几点:
(1)安全地区策略的确定:
根据安全地区的分别,主管部门应订定针对性的安全策略。如定时审计评估、安装入侵检测体系、同一授权、认证等; (2)同一配置和管理防病毒体系:
主管部门应当创建整体防御策略,以实现同一的配置和管理。网络防病毒的策略应满足全面性、易用性、实时性和可扩展性等方面要求; (3)网络安全管理:
在网络安全中,除了采用一些技能措施之外,加强网络安全管理,订定有关规章制度。在安全管理中,任何的安全保障措施,终极要落实到具体的管理规章制度以及具体的管理人员职责上,并通过管理人员的工作得到实现。 安全管理遵照国家尺度ISO17799,它夸大管理体系的有效性、经济性、全面性、普遍性和开放性,目的是为希望达到一定管理效果的构造提供一种高质量、高实用性的参照。 网络安全管理要点:
[*]网络安全管理要做到总体筹谋,确保安全的总体目的和所遵照的原则;
[*]创建相干构造机构,要明确责任部门,落实具体实施部门;
[*]做好信息资产分类与控制,达到职工的安全、物理环境的安全和业务连续性管理等;
[*]利用技能方法解决通讯与操作的安全、访问控制、体系开发与维护,以支持安全目的、安全策略和安全内容的实施;
[*]实施检查安全措施与审计,主要用于检查安全措施的效果,评估安全措施实行的环境和实施效果。
网络安全管理要有专门的构造和规章制度:
网络安全管理至少要成立一个安全运行构造,订定一套安全管理制度和创建一个应急相应机制。
[*]安全运行构造应包括主管向导、信息中心和业务应用等相干部门,向导是核心,信息中心是实体,业务是利用者;
[*]安全管理制度要明确安全职责,订定安全管理细则,做到多人负责、任期有限、职责分离的原则;
[*]应急相应机制主要由管理人员和技能人员共同加入的内部机制,要提出应急相应的计划和程序,提供对安全事件的技能支持和指导,提供安全弊端或隐患信息的通告、分析和安全事件处理等相干培训。
2.信息安全体系架构
通过对网络应用的全面相识,按照安全风险、需求分析效果、安全策略以及网络的安全目 标等方面开展安全体系架构的设计工作。具体在安全控制体系,我们可以从 物理安全、体系安全、网络安全、应用安全和 管理安全等5个方面开展分析和设计工作。 1)物理安全
包管计算机信息体系各种设备的物理安全是保障整个网络体系安全的前提。物理安全是保护计算机网络设备、办法以及其他媒体免受地动、水灾、火警等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括:环境安全、设备安全、媒体安全等。 2)体系安全
体系安全主要是指对信息体系构成中各个部件的安全要求。体系安全是体系整体安全的基础。它主要包括:网络布局安全、操作体系安全和应用体系安全。
[*]网络布局安全是指网络拓扑布局是否合理、线路是否冗余、路由是否冗余和防止单点失败等;
[*]操作体系安全包含两个方面, ● 其一是指操作体系的安全防范可以采取的措施,如:只管采用安全性较高的网络操作体系并进行须要的安全配置、关闭一些不常用但存在安全隐患的应用、利用权限进行限制或加强口令的利用等; ● 其二是通过配备操作体系安全扫描体系对操作体系进行安全性扫描,发现弊端,及时升级等;
[*]应用体系安全是指应用服务器只管不要开放一些不经常利用的协议及协议端口。如文件服务、电子邮件服务器等。可以关闭服务器上的如HTTP、FTP、TELNET等服务。可以加强登录身份认证,确保用户利用的正当性。
3)网络安全
网络安全是整个安全解决方案的关键。它主要包括:访问控制、通讯保密、入侵检测、网络安全扫描体系和防病毒等。
[*]隔离与访问控制首先要有严格的管制制度,可订定好比:《用户授权实施细则》《口令及账户管理规范》《权限管理订定》等一系列管理办法。
[*]其次配备防火墙,以实现网路安全中最基本、最经济、最有效的安全措施。防火墙通过订定严格的安全策略实现表里网络或内部网络差别信任域之间的隔离与访问控制,防火墙可以是实现单向或双向控制,对一些高层协议实现较细粒度的访问控制。
[*]入侵检测是根据已有的、最新的攻击本领的信息代码对收支网段的全部操作行为进行实时监控、记录,并按订定的策略实施相应(阻断、报警、发送E-mail)。从而防止针对网络的攻击与犯罪行为。入侵检测系同一般包括控制台和探测器(网络引擎),控制台用作订定及管理全部探测器(网络引擎),网络引擎用作监听收支网络的访问行为,根据控制台的指令实行相应行为;
[*]病毒防护是网络安全的常用本领,由于在网络环境下,计算机病毒有不可估量的威胁性和破坏力。我们知道,网络体系中利用的操作系同一般为Windows体系,这个体系比较容易感染病毒,因此计算机病毒的防范也是网络安全建设中应该思量的重要环节之一,反病毒技能包括预防病毒、检测病毒和杀毒三种。
4)应用安全
应用安全主要是指多个用户利用网络体系时,对共享资源和信息存储操作所带来的安全题目。它主要包括资源共享和信息存储两个方面。
[*](1)资源共享要严格控制内部员工对网络共享资源的利用,在内部子网中一般不要容易开放共享目录,否则会因为疏忽而在员工间交换信息时泄露重要信息。对有经常交换信息需求的用户,在共享时也必须加上须要的口令认证机制,即只有通过口令的认证才能答应访问数据。
[*](2)信息存储是指对有涉及秘密信息的用户主机,利用者在应用过程中应该做到只管少开放一些不常用的网络服务。对数据服务器中的数据库做安全备份。通过网络备份体系可以对数据库进行长途备份存储。
5)安全管理
安全管理主要体如今三个方面。
[*]其一是订定健全的安全管理体制。订定健全安全管理体制将是网络安全得以实现的重要包管,可以根据自身的实际环境订定如安全操作流程、安全事故的奖罚制度以及任命安全管理人员全权负责监视和指导;
[*]其二是构建安全管理平台。构建安全管理平台将会低落许多因为无意的人为因素而造成的风险。构建安全管理平台可从技能上进行防护,如:构成安全管理子网、安装集中同一的安全管理软件、网络设备管理体系以及网络安全设备同一管理软件等,通过安全管理平台实现全网的安全管理;
[*]其三是加能人员的安全防范意识。应该经常对单位员工进行网络安全防范意识的培训,全面提高员工的整体安全方法意识。
图18-14给出一种面向企业安全控制体系的安全架构。这里所谓的安全控制体系是指能提供一种高度可靠的安全保护本领的体系,可以最大限度地避免相干设备的不安全状态,防止恶性事故的发生或在事故发生后尽大概地淘汰损失,保护生产装置及最重要的人身安全。 https://img-blog.csdnimg.cn/direct/cf13cc4b86614481ab8f5101c332cfb6.png
从图18-14中可以看出,该架构采用了传统的条理化布局,分为数据层、功能层和显现层。
[*]数据层主要对企业数据进行同一管理,按数据的差别安全特性进行存储、隔离与保护等;
[*]功能层是体系安全防范的主要核心功能,包括可信性监控、服务支持和安全性监控。 ● 可信性监控主要实现网络安全、体系安全和应用安全中的监控能力; ● 服务支持主要针对安全管理功能而设计 的,实现安全管理平台的大多数功能; ● 安全性监控主要针对体系中发现的任何不安全征象进行相干处理,涵盖了威胁追溯、安全域审计评估、授权、认证等,以及风险分析与评估等;
[*]显现层主要完成体系安全架构的利用、维护、决策等功能的实现。
18.5 网络安全体系架构设计
创建信息体系安全体系的目的,就是将普遍性安全原理与信息体系的实际相结合,形成满足信息体系安全需求的安全体系布局,网络安全体系是信息体系体系的核心。 18.5.1 OSI的安全体系架构概述
1.OSI概述
OSI安全体系布局提供以下内容。
(1)提供安全服务与有关安全机制在体系布局下的一般形貌,这些服务和机制必须是为体系布局所配备的。 (2)确定体系布局内部可以提供这些服务的位置。 (3)包管安全服务完全正确地得以配置,并且在信息体系的安全周期中不停维持,安全功能务必达到一定强度的要求。 基于OSI参考模型的7层协议之上的信息安全体系布局。其核心内容是:为了包管异构计算机进程与进程之间远距离交换信息的安全,它界说了该体系5大类安全服务,以及提供这些服务的8类安全机制及相应的OSI安全管理,并可根据具体体系得当地配置于OSI模型的7层协议中。图18-15所示的三维安全空间解释了这一体系布局。安全机制是对安全服务的详细补充,安全服务和安全机制的对应关系如图18-16所示。 https://img-blog.csdnimg.cn/direct/1ff8acf1dee3400e9a2ccedf181c2434.png
2.OSI安全架构
OSI界说了7层协议,其中除第5层(会话层)外,每一层均能提供相应的安全服务。实际上,最适合配置安全服务的是在物理层、网络层、运输层及应用层上,其他层都不宜配置安全服务。 OSI开放体系互联安全体系的5类安全服务包括鉴别、访问控制、数据机密性、数据完备性和抗抵赖性。 OSI界说分层多点安全技能体系架构,也称为深度防御安全技能体系架构,它通过以下三种方式将防御能力分布至整个信息体系中。 1)多点技能防御
在对手可以从内部或外部多点攻击一个目的的前提下,多点技能防御通过对以下多个防御核 心地区的防御达到抵御全部方式的攻击目的。
[*](1)网络和基础办法。为了确保可用性,局域网和广域网需要进行保护以抵抗各种攻击,如拒绝服务攻击等。为了确保机密性和完备性,需要保护在这些网络上传送的信息以及流量的特征以防止非故意的泄露。
[*](2)边界。为了抵御主动的网络攻击,边界需要提供更强的边界防御,比方流量过滤和控制以及入侵检测。
[*](3)计算环境。为了抵御内部、近距离的分布攻击,主机和工作站需要提供足够的访问控制。
2)分层技能防御
即使最好的可得到的信息保障产品也有弱点,其终极效果将使对手能找到一个可探查的脆弱 性,一个有效的措施是在对手和目的间利用多个防御机制。为了淘汰这些攻击乐成的大概性和对 乐成攻击的可负担性,每种机制应代表一种唯一的停滞并同时包括保护和检测方法。比方,在 外部和内部边界同时利用嵌套的防火墙并配合以入侵检测就是分层技能防御的一个实例。 3)支持性基础办法
支持性基础办法为网络、边界和计算环境中信息保障机制运行基础的支持性基础办法,包括公钥基础办法以及检测和相应基础办法。
[*](1)公钥基础办法。提供一种通用的团结处理方式,以便安全地创建、分发和管理公钥证书和传统的对称密钥,使它们能够为网络、边界和计算环境提供安全服务。这些服务能够对发送者和接收者的完备性进行可靠验证,并可以避免在未获授权的环境下泄露和更改信息。公钥基础办法必须支持受控的互操作性,并与各用户团体所创建的安全策略保持同等。
[*](2)检测和相应基础办法。检测和相应基础办法能够敏捷检测并相应入侵行为。它也提供便于结合其他相干事件观察某个事件的“汇总”性能。另外,它也答应分析员识别潜在的行为模式或新的发展趋势。
一个可接受级别的信息保障依赖于人员、管理、技能和过程的综合。 图18-17形貌了分层多点安全技能体系架构。 https://img-blog.csdnimg.cn/direct/67ccdeeed1434dc48a2002897302b138.png 分层多点安全技能体系架构为信息体系安全保障提供了框架和进一步分析所需的重点地区分别。在具体的技能方案实践中,应从使命和需求的实际环境出发订定适合构造机构要求的技能体系和方案。 18.5.2 认证框架
鉴别(Authentication)的基本目的是防止其他实体占用和独立操作被鉴别实体的身份。鉴别提供了实体声称其身份的包管,只有在主体和验证者的关系背景下,鉴别才是有意义的。 鉴别有两种重要的关系背景:一是实体由申请者来代表,申请者与验证者之间存在着特定的通讯关系(如实体鉴别);二是实体为验证者提供数据项来源。 图18-18给出了申请者、验证者、可信第三方之间的关系及三种鉴别信息类型。 https://img-blog.csdnimg.cn/direct/ba71f66384f2483a96fb8cd54b50d09d.png
鉴别的方式主要基于以下5种。 (1)已知的,如一个秘密的口令。 (2)拥有的,如IC卡、令牌等。 (3)不改变的特性,如生物特征。 (4)信赖可靠的第三方创建的鉴别(递推)。 (5)环境(如主机地点等)。 鉴别信息:指申请者要求鉴别到鉴别过程竣事所生成、利用和交换的信息。 鉴别信息的类型:交换鉴别信息、申请鉴别信息和验证鉴别信息。 在某些环境下,为了产生交换鉴别信息,申请者需要与可信第三方进行交互。类似地,为了验证交换鉴别信息,验证者也需要同可信第三方进行交互。在这种环境下,可信第三方持有相干实体的验证Al,也大概利用可信第三方来传递交换鉴别信息。实体也大概需要持有鉴别可信第三方中所利用的鉴别信息。 鉴别服务分为以下阶段:安装阶段、修改鉴别信息阶段、分发阶段、获取阶段、传送阶段、 验证阶段、停活阶段、重新激活阶段、取消安装阶段。
[*]在安装阶段,界说申请鉴别信息和验证鉴别信息。
[*]修改鉴别信息阶段,实体或管理者申请鉴别信息和验证鉴别信息变更(如修改口令)。
[*]在分发阶段,为了验证交换鉴别信息,把验证鉴别信息分发到各实体(如申请者或验证者)以供利用。
[*]在获取阶段,申请者或验证者可得到为鉴别实例生成特定交换鉴别信息所需的信息,通过与可信第三方进行交互或鉴别实体间的信息交换可得到交换鉴别信息。比方,当利用联机密钥分配中心时,申请者或验证者可从密钥分配中心得到一些信息,如鉴别证书。
[*]在传送阶段,在申请者与验证者之间传送交换鉴别信息。
[*]在验证阶段,用验证鉴别信息查对交换鉴别信息。
[*]在停活阶段,将创建一种状态,使得从前能被鉴别的实体暂时不能被鉴别。
[*]在重新激活阶段,使在停活阶段创建的状态将被停止。
[*]在取消安装阶段,实体从实体聚集中被拆除。
18.5.3 访问控制框架
访问控制(Access Control,AC)决定开放体系环境中答应利用哪些资源、在什么地方适合阻止未授权访问的过程。在访问控制实例中,访问可以是对一个体系(即对一个体系通讯部门的一个实体)或对一个体系内部进行的。 https://img-blog.csdnimg.cn/direct/58637e0168d346848a8ac6d5322eb6c6.png
访问控制信息(ACI):用于访问控制目的的任何信息,其中包括上下文信息。 上下文信息:上下文信息包括发起者的位置、访问时间或利用中的特殊通讯路径。 访问控制讯断信息(ADI):是在做出一个特定的访问控制讯断时可供ADF利用的部门(或全部)ACI。 访问控制讯断功能(ADF):一种特定功能,它通过对访问哀求、ADI以及该访问哀求的上下文利用访问控制策略规则而做出访问控制讯断。 访问控制实施功能(AEF):确保只有对目的答应的访问才由发起者实行。 涉及访问控制的有发起者、AEF、ADF和目的:
[*]发起者代表访问或试图访问目的的人和基于计算机的实体。
[*]目的代表被试图访问或由发起者访问的,基于计算机或通讯的实体。
比方,目的大概是OSI实体、文件或者体系。访问哀求代表构成试图访问部门的操作和操作数。 当发起者哀求对目的进行特殊访问时,AEF就关照ADF需要一个讯断来做出决定。为了作出讯断,给ADF提供了访问哀求(作为讯断哀求的一部门)和下列几种访问控制讯断信息(ADI)。
[*](1)发起者ADI(ADI由绑定到发起者的ACI导出)。
[*](2)目的ADI(ADI由绑定到目的的ACI导出)。
[*](3)访问哀求ADI(ADI由绑定到访问哀求的ACI导出)。
访问控制过程: ADF的其他输入是访问控制策略规则(来自ADF的安全域权势巨子机构)和用于解释ADI或策略的须要上下文信息。上下文信息包括发起者的位置、访问时间或利用中的特殊通讯路径。基于这些输入,以及大概还有从前讯断中保留下来的ADI信息,ADF可以做出答应或禁止发起者试图对目的进行访问的讯断。 该讯断传递给AEF,然后AEF答应将访问哀求传给目的或采取 其他合适的行动。 在许多环境下,由发起者对目的的逐次访问哀求是相干的。应用中的一个典型例子是在打开与同层目的的连接应用进程后,试图用相同(保留)的ADI实行几个访问。对一些随后通过连接进行通讯的访问哀求,大概需要给ADF提供附加的ADI以答应访问哀求。在另一些环境中,安全策略大概要求对一个或多个发起者与一个或多个目的之间的某种相干访问哀求进行限制。这时,ADF大概利用与多个发起者和目的有关的先前讯断中所保留的ADI来对特殊访问哀求作出讯断。 假如得到AEF的答应,访问哀求只涉及发起者与目的的单一交互。尽管发起者和目的之间的一些访问哀求是完全与其他访问哀求无关的,但经常是两个实体进入一个相干的访问哀求聚集中,如质询应答模式。在这种环境下,实体根据需要同时或瓜代地变更发起者和目的脚色,可以由分离的AEF组件、ADF组件和访问控制策略对每一个访问哀求实行访问控制功能。 18.5.4 机密性框架
1.机密性概述
机密性(Confidentiality)服务的目的是确保信息仅仅是对被授权者可用。由于信息是通过数据表示的,而数据大概导致关系的变化(如文件操作大概导致目录改变或可用存储地区的改变),因此信息能通过许多差别的方式从数据中导出。 比方,通过明白数据的含义(如数据的值)导出;通过利用数据相干的属性(如存在性、创建的数据、数据大小、末了一次更新的日期等)进行推导;通过研究数据的上下文关系,即通过那些与之相干的其他数据实体导出;通过观察数据表达式的动态变化导出。 信息的保护是确保数据被限制于授权者得到,或通过特定方式表示数据来得到,这种保护方式的语义是,数据只对那些拥有某种关键信息的人才是可访问的。 在机密性框架中用到被保护的环境和被交叠保护的环境两个概念。在被保护环境中的数据,可通过利用特别的安全机制(或多个机制)保护。在一个被保护环境中的全部数据以类似方法受到保护。当两个或更多的环境交叠的时间,交叠中的数据能被多重保护。可以推断,从一个环境移到另一个环境的数据的连续保护必然涉及交叠保护环境。 2.机密性机制
数据的机密性可以依赖于所驻留和传输的媒体。因此,存储数据的机密性能通过利用隐藏数据语义(如加密)或将数据分片的机制来包管。数据在传输中的机密性能通过禁止访问的机制、通过隐藏数据语义的机制或通过分散数据的机制得以包管(如跳频等)。这些机制类型能被单独利用或者组合利用。 1)通过禁止访问提供机密性
通过物理媒体保护和路由选择控制。
[*]通过物理媒体保护的机密性保护可以采取物理方法包管媒体中的数据只能通过特殊的有限设备才能检测到。数据机密性通过确保只有授权的实体才能使这些机制本身以有效的方式来实现。
[*]通过路由选择控制的机密性保护机制的目的,是防止被传输数据项表示的信息未授权泄露。在这一机制下只有可信和安全的办法才能路由数据,以达到支持机密性服务的目的。
2)通过加密提供机密性
这些机制的目的是防止数据泄露在传输或存储中。加密机制分为基于对称的加密机制和基于非对称加密的机密机制。 3).其他方式
除了以下两种机密性机制外,还可以通过数据添补、通过虚伪事件(如把在不可信链路上交换的信息流总量隐藏起来)、通过保护PDU头和通过期间可变域提供机密性。 18.5.5 完备性框架
1.完备性概述
完备性(Integrity)框架的目的是通过阻止威胁或探测威胁,保护大概遭到差别方式危害的数据完备性和数据相干属性完备性。所谓完备性,就是数据不以未经授权方式进行改变或损毁的特征。 完备性服务有几种分类方式:
[*]根据防范的违规分类,违规操作分为未授权的数据修改、未授权的数据创建、未授权的数据删除、未授权的数据插入和未授权的数据重放。
[*]依据提供的保护方法分为阻止完备性损坏和检测完备性损坏。
[*]依据是否支持恢复机制,分为具有恢复机制的和不具有恢复机制的。
2.完备性机制的类型
由于保护数据的能力与正在利用的媒体有关,对于差别的媒体,数据完备性保护机制是有区别的,可概括为以下两种环境。 (1)阻止对媒体访问的机制。包括物理隔离的不受干扰的信道、路由控制、访问控制。 (2)用以探测对数据或数据项序列的非授权修改的机制。未授权修改包括未授权数据创建、数据删除以及数据重复。而相应的完备性机制包括密封、数字署名、数据重复(作为对抗其他类型违规的本领)、与暗码变换相结合的数字指纹和消息序列号。 按照保护强度,完备性机制可分为:
[*]不作保护;
[*]对修改和创建的探测;
[*]对修改、创建、删除和重复的探测;
[*]对修改和创建的探测并带恢复功能;
[*]对修改、创建、删除和重复的探测并带恢复功能。
18.5.6 抗抵赖框架
抗抵赖(Non-repudiation)服务包括证据的生成、验证和记录,以及在解决纠纷时随即进行的证据恢复和再次验证。 框架所形貌的抗抵赖服务的目的是提供有关特定事件或行为的证据。事件或行为本身以外的其他实体可以哀求抗抵赖服务。抗抵赖服务可以保护的行为实例有发送X.400消息、在数据库中插入记录、哀求长途操作等。 当涉及消息内容的抗抵赖服务时,为提供原发证明,必须确认数据原发者身份和数据完备性。 抗抵赖服务提供下列可在试图抵赖的事件中利用的设备:证据生成、证据记录、验证生成的证据、证据的恢复和重验。 纠纷可以在纠纷两方之间直接通过检查证据解决,也大概需要用到仲裁。 抗抵赖由4个独立的阶段构成:证据生成;证据传输、存储及恢复;证据验证和解决纠纷。
如图18-21所示。 https://img-blog.csdnimg.cn/direct/ab023a06e4bc4335abbeefdf1731bf71.png
1)证据生成
在这个阶段中,证据生成哀求者哀求证据生成者为事件或行为生成证据。卷入事件或行为中的实体,称为证据实体,其卷入关系由证据创建。根据抗抵赖服务的类型,证据可由证据实体,或大概与可信第三方的服务一起生成,或者单独由可信第三方生成。 2)证据传输、存储及恢复
在这个阶段,证据在实体间传输或从存储器取出来或传到存储器。 3)证据验证
在这个阶段,证据在证据利用者的哀求下被证据验证者验证。本阶段的目的是在出现纠纷的事件中,让证据利用者确信被提供的证据确实是充分的。可信第三方服务也可加入,以提供验证该证据的信息。 4)解决纠纷
在解决纠纷阶段,仲裁者有解决双方纠纷的责任。图18-22形貌了纠纷解决阶段。 https://img-blog.csdnimg.cn/direct/1debeef744ab4f39a0dfb51c25e4cb3c.png
8.6 数据库体系的安全设计
数据库的安全题目可以说已经成为信息体系最为关键的题目。因此,有须要根据其特殊性完满安全策略,这些安全策略应该能包管数据库中的数据不会被有意地攻击或无意地破坏。不会发生数据的外泄、丢失和毁损,即实现了数据库体系安全的完备性、机密性和可用性。从数据库管理体系的 角度而言,要采取的安全策略一般为用户管理、存取控制、数据加密、审计跟踪和攻击检测,从而解决数据库体系的运行安全和信息安全。 下面分别从数据库安全设计的评估尺度和完备性设计两方面进行讨论。 18.6.1 数据库安全设计的评估尺度
美国国防部TCSEC、国家计算机安全中心TDI、我国《中华人民共和国计算机信息体系安全保 护条例》。 TDI是TCSEC在数据库管理体系方面的扩充和解释,并从安全策略、责任、保护和文档4个方面进一步形貌了每级的安全尺度。按照TCSEC尺度,D类产品是基本没有安全保护措施的产品,C类产品只提供了安全保护措施,一般不称为安全产品。B类以上产品是实验逼迫存取控制的产品,也是真正意义上的安全产品。所谓安全产品均是指安全级别在B1以上的产品,而安全数据库研究原型一般是指安全级别在B1级以上的以科研为目的,尚未产品化的数据库管理体系原型。 18.6.2 数据库的完备性设计
数据库完备性是指数据库中数据的正确性和相容性。数据库完备性由各种各样的完备性束缚来包管,因此可以说数据库完备性设计就是数据库完备性束缚的设计。 数据库完备性束缚可以通过DBMS或应用程序来实现。 基于DBMS的完备性束缚作为模式的一部门存入数据库中。 通过DBMS实现的数据库完备性按照数据库设计步骤进行设计,而由应用软件实现的数据库完备性则纳入应用软件设计范畴。 1.数据库完备性设计原则
(1)根据数据库完备性束缚的类型确定其实现的体系条理和方式,并提前思量对体系性能的影响。一般环境下,静态束缚应只管包含在数据库模式中,而动态束缚由应用程序实现。 (2)实体完备性束缚、引用完备性束缚是关系数据库最重要的完备性束缚,在不影响体系关键性能的前提下需只管应用。用一定的时间和空间来换取体系的易用性是值得的。 (3)要慎用目前主流DBMS都支持的触发器功能,一方面由于触发器的性能开销较大;另一方面,触发器的多级触发难以控制,容易发生错误,非用不可时,最好利用Before型语句级触发器。 (4)在需求分析阶段就必须订定完备性束缚的命名规范,只管利用有意义的英文单词、缩写词、表名、列名及下画线等组合,使其易于识别和记忆,如CKC_EMP_REAL_INCOME_EMPLOYEE、PK_EMPLOYEE、CKT_EMPLOYEE。假如利用CASE工具,一般有默认的规则,可在此基础上修改利用。 (5)要根据业务规则对数据库完备性进行过细的测试,以尽早排除隐含的完备性束缚间的辩论和对性能的影响。 (6)要有专职的数据库设计小组,自始至终负责数据库的分析、设计、测试、实施及早期维护。数据库设计人员不仅负责基于DBMS的数据库完备性束缚的设计实现,还要负责对应用软件实现的数据库完备性束缚进行审核。 (7)应采用合适的CASE工具来低落数据库设计各阶段的工作量。好的CASE工具能够支持整个数据库的生命周期,这将使数据库设计人员的工作效率得到很大提高,同时也容易与用户沟通。 2.数据库完备性的作用
数据库完备性对于数据库应用体系非常关键,其作用主要体如今以下几个方面。 (1)数据库完备性束缚能够防止正当用户利用数据库时向数据库中添加不合语义的数据。 (2)利用基于DBMS的完备性控制机制来实现业务规则,易于界说,容易明白,而且可以低落应用程序的复杂性,提高应用程序的运行效率。同时,基于DBMS的完备性控制机制是集中管理的,因此比应用程序更容易实现数据库的完备性。 (3)合理的数据库完备性设计,能够同时兼顾数据库的完备性和体系的效能。比方装载大量数据时,只要在装载之前暂时使基于DBMS的数据库完备性束缚失效,此后再使其生效,就能包管既不影响数据装载的效率又能包管数据库的完备性。 (4)在应用软件的功能测试中,完满的数据库完备性有助于尽早发现应用软件的错误。 (5)数据库完备性束缚可分为6类:列级静态束缚、元组级静态束缚、关系级静态束缚、列级动态束缚、元组级动态束缚和关系级动态束缚。动态束缚通常由应用软件来实现。 差别 DBMS支持的数据库完备性基本相同,Oracle支持的基于DBMS的完备性束缚如表18-2所示。 https://img-blog.csdnimg.cn/direct/2e645d1f49df439f9ed759d1c8e294cd.png 3.数据库完备性设计示例
基本过程:
一个好的数据库完备性设计,首先需要在需求分析阶段确定要通过数据库完备性束缚实现的业务规则。然后在充分相识特定DBMS提供的完备性控制机制的基础上,依据整个体系的体系布局和性能要求,依照数据库设计方法和应用软件设计方法,合理选择每个业务规则的实现方式。末了,认真测试,排除隐含的束缚辩论和性能题目。 基于DBMS的数据库完备性设计大体分为以下几个阶段: 1)需求分析阶段
经过体系分析员、数据库分析员和用户的共同努力,确定体系模型中应该包含的对象,如人事及工资管理体系中的部门、员工和经理等,以及各种业务规则。 在完成寻找业务规则的工作之后,确定要作为数据库完备性的业务规则,并对业务规则进行分类。其中作为数据库模式一部门的完备性设计按下面的过程进行,而由应用软件来实现的数据库完备性设计将按照软件工程的方法进行。 2)概念布局设计阶段
概念布局设计阶段是将依据需求分析的效果转换成一个独立于具体DBMS的概念模型,即实体关系图(Entity-Relationship Diagram,ERD)。在概念布局设计阶段就要开始数据库完备性设计的实质阶段,因为此阶段的实体关系将在逻辑布局设计阶段转化为实体完备性束缚和引用完备性束缚,到逻辑布局设计阶段将完成设计的主要工作。 3)逻辑布局设计阶段
此阶段就是将概念布局转换为某个DBMS所支持的数据模型,并对其进行优化,包括对关系模型的规范化。此时,依据DBMS提供的完备性束缚机制,对尚未加入逻辑布局中的完备性束缚列表,逐条选择合适的方式加以实现。 在逻辑布局设计阶段竣事时,作为数据库模式一部门的完备性设计也就基本完成了。每种业务规 则都大概有好几种实现方式,应该选择对数据库性能影响最小的一种,有时需通过实际测试来决定。
18.7 体系架构的脆弱性分析
安全架构的设计核心是采用各种防御本领确保体系不被破坏,而体系的脆弱性分析是体系安全性的另一方面技能,即体系弊端分析。我们说攻击者会利用体系设计或者实现上存在的一些弊端(如设计缺陷或者事先缺陷)对体系进行攻击,从而带来安全隐患题目。 对一个信息体系来说,信息体系的安全“木桶理论”是指安全性不在于它是否采用了最新的加密算法或最先辈的设备,而是由体系自身最单薄之处,即弊端所决定。只要这个弊端被发现,体系就有大概成为网络攻击的牺牲品。本节主要详细地分析讨论了安全架构的脆弱性题目,结合几种常见的架构模式,分析了一些与脆弱性相干的题目。 18.7.1 概述
多由于思量不周、或折中设计、或人为大意等缘故原由而产生弊端或缺陷,这些弊端或缺陷会被恶意利用,通过入侵本领而破坏体系。 因此说信息体系的脆弱性是一个体系题目,覆盖体系的各个方面,包括:
[*]物理装备(如计算机硬件、通讯线路等)的脆弱性、
[*]软件(如操作体系、网络协议簇、数据库管理体系、应用程序等)的脆弱性,
[*]以及人员管理、规章制度、安全策略的脆弱性等
脆弱性分析主要是分析信息体系中产生脆弱性的根源、脆弱性大概造成的影响、怎样利用脆弱性进行攻击、怎样修补脆弱性、怎样防止脆弱性被利用、怎样探测目的体系的脆弱性、怎样猜测新的脆弱性的存在等一系列题目。 从技能角度而言,弊端的来源主要有以下几个方面: (1)软件设计时的瑕疵。 (2)软件实现中的弱点。 (3)软件本身的瑕疵。 (4)体系和网络的错误配置。 18.7.2 软件脆弱性
1.软件脆弱性界说
没有同一的
体系状态通过一个主体、对象、访问控制矩阵构成的三元组来形貌。其中,访问控制矩阵指定了体系的安全策略,而利用其脆弱性是统统引起操作体系实行违反安全策略的做法。 以为操作体系是由形貌实体当前配置的状态构成的(如授权状态、非授权状态、易受攻击状态、不易受攻击状态),体系运行实际上就是状态迁移。 软件脆弱性是指由软件缺陷的客观存在所形成的一个可以被攻击者利用的实例,每个脆弱性都由至少一个软件缺陷引起,但是一个软件缺陷也大概不产生任何脆弱性,而且差别的软件缺陷大概导致相同的脆弱性。 软件脆弱性就是软件规范、开发或配置中错误的实例,其实行效果将会违反安全策略。 通常环境下,我们以为软件脆弱性是破坏体系安全策略、体系安全规范、体系设计、实现和内部控制等方面的主要缘故原由。 在软件开发过程中,软件脆弱性包含了软件基础模型的脆弱性、软件架构设计的脆弱性、软件模块设计的脆弱性、软件接口设计的脆弱性、软件界面设计的脆弱性、数据库设计的脆弱性、架构模式和设计模式的脆弱性以及实现的脆弱性等。 2.软件脆弱性的特点和分类
软件脆弱性有其自身的特点,主要包括4个方面: (1)脆弱性是软件体系中隐藏的一个弱点,本身不会引起危害,但被利用后会产生严重的安全后果; (2)在软件开发过程中,自发或不自发引入的逻辑错误是大多数脆弱性的根本来源; (3)与具体的体系环境密切相干,体系环境的任何差异都有大概导致差别的脆弱性题目; (4)旧的脆弱性得到修补或纠正的同时大概引入新的脆弱性,因此脆弱性题目会恒久存在。 软件脆弱性可以从差别视角进行分类,比较典型的分类法有: ISOS分类法主要是面向信息体系的安全和隐私方面分类的,其目的是帮助信息体系管理人员明白安全题目,并为提高体系安全性提供相应信息。 PA分类法主要研究操作体系中与安全保护相干的缺陷,其目的是希望能够让缺乏计算机安全领域知识的人可以利用模式指导的方法来发现计算机安全题目。 Landwehr分类法是美国海军研究室在搜集和分析了差别操作体系中的50余个软件安全缺陷的基础上,提出了基于缺陷的起因(有意的或无意的),引入的时间(开发阶段、维护阶段或者运行阶段)和分布的位置(软件或硬件)三个维度的分类。对于每个维度,可以更过细地多条理分类和形貌,并从差别角度给出缺陷分布图。 Aslam分类法是针对Unix操作体系中的安全故障,从软件生命周期的角度将其分为编码故障和突发故障两大类。为了实现分类过程的自动化和无歧义化,分类法为每个特定的类别设计了一系列题目,构成了判定相应类别的决策树。 Bishop分类法是针对信息安全领域的一种分类方法,它形貌了一种针对Unix和网络相干脆弱性的分类方法,Bishop分类法利用6个轴线来对脆弱性进行分类。这6个轴线分别是脆弱性的性子、引入时间、利用率、影响域、最小数量和来源。 IBM分类法是以Landwehr分类法为分类框架的基础,以新出现的安全缺陷对其进行扩充和改造以适应现今脆弱性的变化。该分类法采用多条理的分类,面向脆弱性检测工具的开发人员,并融合了脆弱性、安全威胁、攻击以及检测方法等。IBM分类法的详细缺陷分类可拜见图18-23。 https://img-blog.csdnimg.cn/direct/2ad4dd284a64496f9e1db263df409d3b.png 3.软件脆弱性的生命周期
它包含了引入、产生破坏效果、被修补和消失等阶段。 脆弱性的引入阶段:引入软件脆弱性的缘故原由有: (1)输入验证错误; (2)权限检查错误; (3)操作序列化错误; (4)边界检堕落误; (5)软件设计时的缺陷; (6)其他错误。 产生破坏效果节段:主要包括: (1)非法实行代码; (2)非法修改目的对象; (3)访问数据对象; (4)拒绝服务攻击。 修补阶段:主要包括: (1)删除伪造实体(如IP伪造、名字伪造等); (2)增加新的实体; (3)写该实体不正确的位置; (4)其他环境。 4.软件脆弱性的分析方法
软件脆弱性分析是对软件脆弱性进行研究,总结软件脆弱性的发生机理、发展规律、表征特点、预防措施以及危害效果等多方面的知识,归纳脆弱性模式,为安全设计与开发提供借鉴、为安全利用提供准则、为安全选择提供参考,从而为低落软件应用的安全风险提供方法与本领。 软件脆弱性分析可从三个方面思量: (1)分析软件故障征象,分析故障的技能本质、总结脆弱性模式; (2)分析软件开发,发现安全管理和技能的单薄环节,提高软件安全性; (3)分析软件利用,发现其脆弱性,采取相应措施,避免脆弱性转化为安全故障。 软件脆弱性分析首先要明确分析对象,脆弱性分析对象可以分为两类:脆弱性数据和软件体系。 脆弱性数据是关于安全故障的征象、缘故原由以及影响等基本信息记录,反映了脆弱性外在表现的原始状态,是脆弱性分析的基础。 ● 脆弱性数据分析是在对数据的构造、整理、存储的基础上,通过统计、分类、归纳、数据分解等本领,深入分析安全故障征象的技能实质,进一步充 实脆弱性数据内容,为指导软件体系的设计、开发、利用提供了定性定量数据,实现加强软件安全性目的。 ● 从安全的观点看,软件体系是由体系基本功能、体系提供的安全服务以及脆弱性构成的。 脆弱性分析就是要研究体系基本功能单位、体系服务的单薄环节,识别它们之间的相互作用以及对体系安全的影响。安全服务是安全机制、安全布局、安全模式和安全策略自低向高构成的条理布局协调运作产生的一种动态功能,由于每个软件功能单位都可以设计相干的安全服务,因此安全服务覆盖软件体系的各个条理。而脆弱性不仅可以存在于软件功能单位之中,也可以存在于安全服务中。因此,软件脆弱性的分析对象,就是软件方法和软件技能,以及相干的安全服务方法和技能、或者它们之间的相互作用关系,包括软件体系设计、开发以及利用的方法和技能。 脆弱性分析存在于软件体系的各个层面,依靠工具。 18.7.3 典型软件架构的脆弱性分析
软件脆弱性包括了软件设计脆弱性和软件布局脆弱性,软件架构的脆弱性是布局脆弱性的一种。确切地说,软件架构设计存在一些显着的或者隐含的缺陷,攻击者就可以利用这些缺陷攻击体系,或者当受到某个或某些外部刺激时,体系会发生性能、稳固性、可靠性、安全性下降等。 软件架构脆弱性通常与软件架构的风格和模式有关,差别风格和模式的软件架构,其脆弱性体现和特点有很大差别,且解决脆弱性题目需要思量的因素和采取的措施也有很大差别。 1.分层架构
分层架构的脆弱性主要表如今两个方面: (1)层间的脆弱性。一旦某个底层发生错误,那么整个程序将会无法正常运行,如产生一 些数据溢出,空指针、空对象的安全性题目,也有大概会得堕落误的效果。 (2)层间通讯的脆弱性。将体系隔离为多个相对独立的层,这就要求在层与层之间引入通 信机制,在利用面向对象方法设计的体系中,通常会存在大量细粒度的对象,以及它们只见大 量的消息交互——对象成员方法的调用。本来“直来直去”的操作如今要层层传递,势必造成 性能下降。 2.C/S架构
C/S架构的脆弱性主要表如今以下几个方面: (1)客户端软件的脆弱性。只要安装了特定客户端软件的用户才可以利用C/S架构体系, 正因为在用户计算机上安装了客户端软件,所以这个体系就面临着程序被分析、数据被截取的 安全隐患。 (2)网络开放性的脆弱性。目前很多传统的C/S体系还是采用二层布局,也就是说全部客 户端直接读取服务器端中的数据,在客户端包括了数据的用户名,暗码等致命的信息,这样会 给体系带来安全隐患。假如这样的体系放在Internet上,那么这个服务器端对于Internet上的任 何用户都是开放的。 (3)网络协议的脆弱性。C/S可以利用多种网络协议,也可以自界说协议,从这个角度来 看,C/S架构的安全性是有保障的。但是,C/S架构不便于随时与用户交流(主要是不便于数据 包共享),并且C/S架构软件在保护数据的安全性方面有着天赋的弊端。由于C/S架构软件的数 据分布特性,客户端所发生的火警、盗抢、地动、病毒等都将成为可骇的数据杀手。 3.B/S架构
B/S架构的脆弱性主要表如今:体系假如利用HTTP协议,B/S架构相对C/S架构而言更容 易被病毒入侵,虽然最新的HTTP协议在安全性方面有所提升,但还是弱于C/S。 4.事件驱动架构
事件驱动架构的脆弱性主要表如今: (1)组件的脆弱性。组件削弱了自身对体系的控制能力,一个组件触发事件,并不能确定 相应该事件的其他组件及各组建的实行顺序。 (2)组件间交换数据的脆弱性。组件不能很好地解决数据交换题目,事件触发时,一个 组件有大概需要将参数传递给另一个组件,而数据量很大的时间,怎样有效传递是一个脆弱性 题目。 (3)组件间逻辑关系的脆弱性。事件架构使体系中各组件的逻辑关系变得更加复杂。 (4)事件驱动容易进入死循环,这是由编程逻辑决定的。 (5)高并发的脆弱性。虽然事件驱动可实现有效利用CPU资源,但是存在高并发事件处理 造成的体系相应题目,而且,高并发容易导致体系数据不正确、丢失数据等征象。 (6)固定流程的脆弱性。因为事件驱动的可相应流程基本都是固定的,假如操作不妥,容 易引发安全题目。 5. MVC架构
MVC架构的脆弱性主要表如今: (1)MVC架构的复杂性带来脆弱性。MVC架构增加了体系布局和实现的复杂性。好比说 一个简单的界面,假如严格遵照MVC方式,使得模型、视图与控制器分离,会增加布局的复 杂性,并大概产生过多的更新操作,低落运行效率。 (2)视图与控制器间紧密连接的脆弱性。视图与控制器是相互分离但确是接洽紧密的部件, 没有控制器的存在,视图应用是很有限的。反之亦然,这样就妨碍了它们的独立重用。 (3)视图对模型数据的低效率访问的脆弱性。依据模型操作接口的差别,视图大概需要多 次调用才能得到足够的显示数据。对未变化数据的不须要的频繁访问也将侵害操作性能。 可以说,MVC架构的脆弱性主要表如今缺少对调用者进行安全验证的方式和数据传输不够 安全等两个方面,这些不足也是导致MVC存在比较大的脆弱性、容易招致攻击的主要缘故原由。 6.微内核布局
微内核架构的脆弱性主要表如今: (1)微内核架构难以进行良好的整体化优化。由于微内核体系的核心态只实现了最基本的 体系操作,这样内核以外的外部程序之间的独立运行使得体系难以进行良好的整体优化。 (2)微内核体系的进程间通讯开销也较单一内核体系要大得多。从整体上看,在当前硬件 条件下,微内核在效率上的损失小于其在布局上得到的收益。 (3)通讯损失率高。微内核把体系分为各个小的功能块,从而低落了设计难度,体系的维 护与修改也容易,但通讯带来的效率损失是一个题目。 7.微服务架构
微服务架构的脆弱性主要表如今: (1)开发人员需要处理分布式体系的复杂布局。 (2)开发人员要设计服务之间的通讯机制,通过写代码来处理消息传递中速度过慢或者不 可用等局部实效题目。 (3)服务管理的复杂性,在生产环境中要管理多个差别的服务实例,这意味着开发团队需 要全局统筹。 18.8 安全架构设计案例分析
18.8.1 电子商务体系的安全性设计
https://img-blog.csdnimg.cn/direct/90837ead0bbd4404a121682e728c4cc8.png
https://img-blog.csdnimg.cn/direct/a96b6d09965740298fa4c5eee1a9d52a.png
https://img-blog.csdnimg.cn/direct/88ea222b9094423f9271a6cd8ff3e2df.png
18.8.2 基于混合云的工业安全架构设计
https://img-blog.csdnimg.cn/direct/28745c0998264696b9de87ac59f69c11.png
https://img-blog.csdnimg.cn/direct/f4407b5231fb4c509fcaf821eff7f7fd.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]