_信息安全体系结构课件.ppt

信息安全体系结构 2.1 开放系统互联安全体系结构 2.1.1 OSI安全体系概述 2.1.2 OSI的安全服务 2.1.3 OSI的安全机制 2.1.4 OSI的安全服务与安全机制之间 的关系 2.1.5 在OSI层中的安全服务配置 2.1.6 OSI安全体系的安全管理 2.2 因特网安全体系结构 2.2.1 TCP/IP协议安全概述 2.2.2 因特网安全体系结构 2.2.3 IPSec安全协议 2.2.4 IPSec密钥管理 2.2.5 IPSec加密和验证算法 2.2.6 OSI安全体系到TCP/IP安全体系 的影射 信息安全体系结构 2.3 信息系统安全体系框架 2.3.1 信息系统安全体系框架 2.3.2 技术体系 2.3.3 组织机构体系 2.3.4 管理体系 信息安全体系结构 将普遍性安全体系原理与自身信息系统的实际相结合，形成满足信息安全需求的安全体系结构。 安全体系结构的形成主要是根据所要保护的信息系统资源，对资源攻击者的假设及其攻击的目的、技术手段以及造成的后果来分析该系统所受到的已知的、可能的和该系统有关的威胁，并且考虑到构成系统各部件的缺陷和隐患共同形成的风险，然后建立起系统的安全需求。 信息安全体系结构 安全体系结构的目的，则是从管理和技术上保证安全策略得以完整准确地实现，安全需求全面准确地得以满足，包括确定必需的安全服务、安全机制和技术管理，以及它们在系统上的合理部署和关系配置。 本章在详细介绍开放系统（OSI）互联和因特网（TCP/IP）两大安全体系结构所提供的安全服务、安全机制及安全服务与安全机制之间的关系等的基础上，阐述了基于技术体系、组织机构体系和管理体系的信息系统的安全体系框架。 信息安全体系结构 开放系统互连参考模型（OSI/RM）是国际标准化组织（ISO）组织一些著名学者编制的一种分层的网络体系结构模型，由于其理论性很强，便于理解，所以该模型成为每个学习、了解计算机网络知识的基础。 本节将在介绍OSI安全服务与安全机制的基础上，详细阐述了OSI安全服务制与安全机之间的关系、安全服务在OSI各层中的配置及OSI安全服务与安全机制的管理。 信息安全体系结构 ISO于1988年发布了OSI安全体系结构标准——ISO 7498.2，作为OSI 基本参考模型的新补充。 1990年，国际电信联盟（ITU）决定采用ISO 7498.2作为它的X..800推荐标准。 我国依据ISO/IEC 7498.2：1989制定了《GB /9387.2-1995 信息处理系统开放系统互连基本参考模型第2部分：安全体系结构》标准。 信息安全体系结构 OSI安全体系结构标准定义了5大类安全服务，提供这些服务的8类安全机制以及相应的开放系统互连的安全管理，并可根据具体系统适当地配置于OSI模型的七层协议中。 信息安全体系结构 信息安全体系结构 ISO 7498.2定义的如下5大类安全服务也被称作安全防护措施。 认证（Authentication）服务。提供对通信中对等实体和数据来源的认证。 访问控制（Access Control）服务。对资源提供保护，以对抗其非授权使用和操纵。 数据保密性（Data Confidentiality）服务。保护信息不被泄露或暴露给未授权的实体。 数据完整性（Data integrity）服务。对数据提供保护，以对抗未授权的改变、删除或替代。 抗否认性（Non-reputation）服务。防止参与某次通信交换的任何一方事后否认本次通信或通信的内容。 信息安全体系结构 2.1.2 OSI的安全服务（续） 2.1.3 OSI的安全机制 为了实现安全体系结构中5大类安全服务，ISO 7498.2制定了8种基本安全机制。 加密机制 数字签名机制 访问控制机制 数据完整性机制 认证交换机制 通信业务填充机制 路由控制机制 公证机制 2.1.3 OSI的安全机制（续） 加密机制 加密机制（Encipherment Mechanisms）是各种安全服务和其他许多安全机制的基础。它既可以为数据提供保密性，也能为通信业务流信息提供保密性，并且还能成为其他安全服务和安全机制的一部分，起支持和补充的作用。 加密机制涉及加密层的选取、加密算法的选取、密钥管理问题。 2.1.3 OSI的安全机制（续） 数字签名机制 数字签名（Digital Signature Mechanisms）是对一段附加数据或数据单元的密码变换的结果，主要用