欢迎来到天天文库
浏览记录
ID:44328617
大小:117.50 KB
页数:26页
时间:2019-10-20
《信息安全概论第3讲》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、信息安全概论第3讲2008年x月y日第2章信息安全体系结构2.1技术体系结构概述2.2安全机制2.3OSI安全体系结构2.4应用体系结构2.5组织体系结构与管理体系结构概述信息安全体系就是为了从管理、技术上保证安全策略得以完整、准确地实现,包括:技术体系组织体系管理体系信息安全体系图2.1信息安全体系三棱锥组织体系技术体系管理体系体系结构释义所谓一种体系结构实际上是一种被普遍认可的一种概念或结构,以及这种结构的目标和采用的方法。例1.居住楼房是一种建筑(体系)结构例2.窑洞则是能供家庭居住的另一种结构体系结构的概念可以使人们在大的方面进行交
2、流。而不同权益者可以关注不同的细节。例如住户仅关心在楼房建设中使用的水泥标号(表示其强度),而房地产开发商除了关注水泥的标号外,还需要关注水泥的采购价格等,而外形设计者可能仅关注水泥的颜色。由此可以看出研究体系结构的重要性。2.1技术体系结构概述定义:信息安全的技术体系结构是研究在特定应用环境或类别下,采用妥善定义的信息安全机制,构建、实现相关的安全目标或安全服务的科学。技术体系结构释义应用环境可分为:物理环境计算机系统平台网络通信平台应用平台四种妥善定义的信息安全机制:是指那些技术或模块,它们能够实现一个或若干特定安全目标。这些安全机制有
3、明确的定义和易判定的外延,与别的模块有明显的区别。技术体系结构释义例如:1.加密模块2.访问控制模块它们的定义是明确的,外延是易判定的,从而是妥善定义的机制。妥善定义的信息安全机制通常简称为安全机制。不同的应用环境对安全的需求是有差异的。给定的一类应用对安全的需求可以归结为一些基本要素,称为安全目标(也称为安全服务)。这些安全目标可以通过合理配置安全机制来实现。具体的应用安全性则是通过调用这些安全服务完成。体系结构释义应用系统安全安全目标安全机制图2.1安全体系结构层次信息安全技术体系物理环境安全体系计算机系统平台安全体系网络通信平台安全体
4、系应用平台安全体系2.1.1物理环境安全体系物理安全,是通过机械强度标准的控制,使信息系统所在的建筑物、机房条件及硬件设备条件满足信息系统的机械防护安全;通过采用电磁屏蔽机房、光通信接入或相关电磁干扰措施降低或消除信息系统硬件组件的电磁发射造成的信息泄露;提高信息系统组件的接收灵敏度和滤波能力,使信息系统组件具有抗击外界电磁辐射或噪声干扰能力而保持正常运行。物理安全除了包括机械防护、电磁防护安全机制外,还包括限制非法接入,抗摧毁,报警,恢复,应急响应等多种安全机制。2.1.2计算机系统平台安全体系硬件上主要通过下述机制,提供一个可信的硬件环
5、境,实现其安全目标。1.存储器安全机制2.运行安全机制3.I/O安全机制操作系统上主要通过综合使用下述机制,为用户提供可信的软件计算环境。1.身份识别2.访问控制3.完整性控制与检查4.病毒防护5.安全审计2.1.3网络通信平台安全体系国际标准化组织ISO在1988年发布的ISO7498-2作为其开放系统互连(OSI)的安全体系结构。它定义了许多术语和概念,并建立了一些重要的结构性准则。定义了5种安全目标,10多种安全机制。5种安全目标是:机密性、完整性身份识别、访问控制(?)、防抵赖(?)2.1.4应用平台安全体系目前,通过国际标准化组织
6、的努力,提出若干体系结构方面的标准。比较有影响的是国际标准化组织(ISO)的开放系统互连(OSI)安全体系结构(ISO7498-2)、高层安全模型(ISO/IEC10745);互联网工程任务组(IETF)的安全体系结构IPSec、传输层安全TLS等。2.1安全机制信息安全中安全策略要通过安全机制来实现。安全机制可以分为保护机制、检测机制和恢复机制三个类别。下面我们对常用的安全机制的概念进行说明。2.2.1加密加密技术能为数据或通信信息流提供机密性。同时对其他安全机制的实现起主导作用或辅助作用。(1)传统密码(2)公钥密码2.2.2数字签名数
7、字签名包括两个过程:签名者对给定的数据单元进行签名,而后接收者验证该签名。2.2.3访问控制访问控制机制使用实体的标识、类别(如所属的实体集合)或能力,从而确定权限、授予访问权。实体如果试图进行非授权访问,将被拒绝。访问控制机制基于下列几种技术:(1)访问信息库(2)识别信息库(3)能力信息表(4)安全等级为进行访问的实体和被访问的实体划分相应的安全等级、范围,制定访问交互中双方安全等级、范围必须满足的条件(称为强安全策略)。这种机制与访问控制表或能力表机制相比,信息维护量小,但设计难度大。此外,在访问控制中有时还需要考虑时间及持续长度、通
8、信信道等因素。2.2.4数据完整性有两类消息的鉴别:数据单元的完整性鉴别和数据流的完整性鉴别。数据单元的鉴别是数据的生成者(或发送者)计算的普通分组校验码、用传统密码算法计算的鉴
此文档下载收益归作者所有