信息安全教学PPT.ppt

第2章 信息安全体系结构 体系结构释义 技术体系结构概述 技术体系结构概述 计算机系统平台安全体系 网络通信平台安全体系 安全机制 数字签名 访问控制 数据完整性 身份识别 通信量填充与信息隐藏 路由控制 公证 事件检测与安全审计 安全恢复 安全标记 保证 OSI安全体系结构 目标 OSI的7层网络与TCP/IP模型 一些术语 通信机制 TCP/IP模型 OSI的安全服务 五类安全服务的分类 1. 鉴别 2. 机密性 3. 完整性 4. 访问控制与抗抵赖 OSI安全机制 安全服务与特定安全机制的关系 层次化结构中服务的配置 应用体系结构 应用层结构与安全模型 Web应用层结构示例 安全组件 安全交换和安全变换 安全组件功能示意图 安全关联 组织体系结构与管理体系结构 2.岗位 1. 法律 2.制度 该服务保护数据不被非授权地泄漏。 （3）连接机密性 为一层上建立的一个连接上的所有数据提供机密性保护服务。对一些层来说保护全部的连接数据是合适的，但对另一些层来说不必要。 （4）无连接机密性 仅对一层上协议的某个服务数据单元SDU提供机密性保护服务。 （5）选择字段机密性 为所选择的某个字段提供机密性保护服务，这些字段可以是一层上连接传输的一部分数据，也可以是一层上非连接传输的一个SDU中的一个字段。 （6）通信业务流机密性 使通信业务流量具有随机特征，从而攻击者无法通过观察通信流量推断其中的机密信息。 （7）带恢复的连接完整性 为一层上建立的一个连接上的所有数据提供完整性检查，即检查整个SDU序列中所有SDU的数据是否被篡改、检查SDU序列没有被删除、插入或乱序。一旦出现差错该服务将提供重传或纠错等恢复操作。 （8）不带恢复的连接完整性 与带恢复的连接完整性的唯一不同是，检查到差错后不进行补救。 （9）选择字段的连接完整性 为一层的一个连接传输的所选择部分字段提供完整性检查。检查这些SDU字段序列中的数据是否被篡改、检查字段序列没有被删除、插入或乱序。 （10）无连接完整性 对一层上协议的某个服务数据单元SDU提供完整性检查服务，确认是否被篡改。 （11）选择字段的无连接完整性 仅对一层上协议的某个服务数据单元SDU的部分字段提供完整性检查服务，确认是否被篡改。 （12）访问控制 是防止对资源的非授权使用。 抗抵赖服务又分为： 为数据的发送方（13）提供交付证据 为数据的接收方提供（14）原发证据。 身份识别在OSI中称为鉴别交换 特定安全机制 加密、数字签名、访问控制、数据完整性、鉴别交换、通信量填充、路由控制、公证共8种 普遍性安全机制 可信功能度、安全标记、事件检测、安全审计追踪、安全恢复共5种 特定安全机制中除了数据完整性外都属于我们定义的安全防护范畴，而OSI的普遍安全机制除了可信功能度外对应于我们的安全检测和恢复范围。  Y · · Y · Y · 有交付证明的抗抵赖 Y · · · Y · Y · 有数据原发证明的抗抵赖 · · · · Y · Y Y 选择字段的无连接完整性 · · · · Y · Y Y 无连接完整性 · · · · Y · · Y 选择字段的连接完整性 · · · · Y · · Y 不带恢复的连接完整性 · · · · Y · · Y 带恢复的连接完整性 · Y Y · · · · Y 通信业务流机密性 · · · · · · · Y 选择字段机密性 · Y · · · · · Y 无连接机密性 · Y · · · · · Y 连接机密性 · · · · · Y · · 访问控制 · · · · · · Y Y 数据原发鉴别 · · · Y · · Y Y 对等实体鉴别 公证 路由 控制 通信量 填充 鉴别 交换 数据 完整性 访问 控制 数字 签名 加密 机制 服务 Y · · · · · · 有交付证明的抗抵赖 Y · · · · · · 有数据原发证明的抗抵赖 Y · · · · · · 选择字段的无连接完整性 Y · · Y Y · · 无连接完整性 Y · · · · · · 选择字段的连接完整性 Y · · Y Y · · 不带恢复的连接完整性 Y · · Y · · · 带恢复的连接完整性 Y · · · Y · Y 通信业务流机密性 Y Y · · · · · 选择字段机密性 Y Y · Y Y Y · 无连接机密性 Y Y · Y Y Y Y 连接机密性 Y · · Y Y · · 访问控制 Y · · Y Y · · 数据原发鉴别 Y · · Y Y · · 对等实体鉴别 7 6 5 4 3 2 1