第1章信息系统安全概述.pptVIP

安全需求之间的关系 安全需求之间的关系 保密性依赖于完整性，如果系统没有完整性，保密性就失去意义 同样完整性也依赖于保密性，如果不能保证保密性，完整性也将不能成立 可用性和可追溯性都由保密性和完整性支持 上面提到的这些安全需求都依赖于保障 安全服务模型 安全服务是加强数据处理系统和信息传输的安全性的一种服务，是指信息系统为其应用提供的某些功能或者辅助业务 安全机制是安全服务的基础 安全服务是利用一种或多种安全机制阻止安全攻击，保证系统或者数据传输有足够的安全性 图1.3是一个综合安全服务模型，该模型揭示了主要安全服务和支撑安全服务之间的关系 模型主要由三个部分组成：支撑服务，预防服务和恢复相关的服务 支撑服务是其他服务的基础，主要包括： --鉴别（Identification）：它表示能够独特地识别系统中所有实体 --密钥管理：该服务表示以安全的方式管理密钥。密钥常常用于鉴别一个实体 --安全性管理（Security administration）：系统的所有安全属性必须进行管理。如安装新的服务，更新已有的服务，监控以保证所提供的服务是可操作的 --系统保护：系统保护通常表示对技术执行的全面信任 预防服务能够阻止安全漏洞的发生，包括： -- 受保护的通信： 该服务是保护实体之间的通信 --认证（Authentication）：保证通信的实体是它所声称的实体，也就是验证实体身份 --授权（Authorization）：授权表示允许一个实体对一个给定系统作一些行动，如访问一个资源。 --访问控制(Access Control)：防止非授权使用资源，即控制谁访问资源，在什么条件下访问，能够访问什么等 --不可否认（Non-repudiation）：它是与责任相关的服务，指发送方和接受方都不能否认发送和接收到的信息。 -- 交易隐私（Transaction privacy）：该服务保护任何数字交易的隐私 检测与恢复服务主要是关于安全漏洞的检测，以及采取行动恢复或者降低这些安全漏洞产生的影响，主要包括： -- 审计(Audit)：当安全漏洞被检测到时，审计安全相关的事件是非常重要的。它是在系统发现错误或受到攻击时能定位错误和找到攻击成功的原因，以便对系统进行恢复 -- 入侵检测(Intrusion detection): 该服务主要监控危害系统安全的可疑行为，以便尽早地采用额外的安全机制来使系统更安全 -- 整体检验(Proof of wholeness)： 整体检验服务主要是检验系统或者数据仍然是否是完整的 -- 恢复安全状态(Restore secure state)：该服务指当安全漏洞发生时，系统必须能够恢复到安全的状态 安全目标、需求、服务和机制之间的关系 安全机制 安全机制 安全机制 安全服务 安全服务 安全服务 安全服务 安全需求 安全需求 安全目标 安全目标、需求、服务和机制之间的关系 全部安全需求的实现才能达到安全目标 不同的安全服务的联合能够实现不同的安全需求 一个安全服务可能是多个安全需求的组成要素 同样，不同的安全机制联合能够完成不同的安全服务 一个安全机制也可能是多个安全服务的构成要素 表1.1表示了一些安全服务和安全需求之间的关系 表1.1说明了不是所有的安全需求都强制性地要求所有安全服务 但是这些安全服务并不是完全可以忽略 因为这些安全服务可能间接地使用 如上表中的鉴别和密钥管理两个安全服务仅仅是完整性、保密性和可追溯性所要求的，不是可用性和保障必须的，但可用性是依赖于完整性和保密性。保障则与可用性、完整性、保密性和可追溯性相关 所以一个密钥管理服务将影响所有的安全需求 信息安全模型 大多数信息安全涉及通信双方在网络传输过程中的数据安全和计算机系统中数据安全。图1.5是一个典型的网络安全模型。 从网络安全模型可以看到，设计安全服务应包括下面的四个方面的内容： -- 设计一个恰当的安全变换算法，该算法应有足够强安全性，不会被攻击者有效地攻破。 -- 产生安全变换中所需要的秘密信息，如密钥。 -- 设计分配和共享秘密信息的方法。 -- 指明通信双方使用的协议，该协议利用安全算法和秘密信息实现系统所需要安全服务 网络安全协议 通过对TCP/IP参考模型各层增加一些安全协议来保证安全。这些安全协议主要分布在最高三层，主要有： 网络层的安全协议：IPSec 传输层的安全协议：SSL/TLS 应用层的安全协议：SHTTP（Web安全协议）、PGP(电子邮件安全协议)、S/MIME(电子邮件安全协议)、MOSS(电子邮件安全协议)、PEM(电子邮件安全协议)、SSH（远程登录安全协议）、Kerberos(网络认证协议)等 上面提到的