第1章信息安全.pptVIP

　　1989年2月15日颁布的ISO7498-2标准，确立了基于OSI参考模型的七层协议之上的信息安全体系结构，1995年ISO在此基础上对其进行修正，颁布了ISO GB/T 9387.2-1995标准，即五大类安全服务、八大种安全机制和相应的安全管理标准(简称“五-八-一”安全体系)。 　　OSI网络安全体系结构如图1-4-1所示。 第一章 信息安全概述 第六十三页，共一百零五页。 图 1-4-1 OSI网络安全体系结构 第一章 信息安全概述 第六十四页，共一百零五页。 　　1. 五大类安全服务　　五大类安全服务包括认证(鉴别)服务、访问控制服务、数据保密性服务、数据完整性服务和抗否认性服务。　　(1) 认证(鉴别)服务: 提供对通信中对等实体和数据来源的认证(鉴别)。　　(2) 访问控制服务: 用于防止未授权用户非法使用系统资源，包括用户身份认证和用户权限确认。 第一章 信息安全概述 安全服务就是加强数据处理系统和信息传输的安全性的一类服务，其目的在于利用一种或多种安全机制阻止安全攻击。 第六十五页，共一百零五页。 　　(3) 数据保密性服务: 为防止网络各系统之间交换的数据被截获或被非法存取而泄密，提供机密保护。同时，对有可能通过观察信息流就能推导出信息的情况进行防范。　　(4) 数据完整性服务: 用于阻止非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失。　　(5) 抗否认性服务: 用于防止发送方在发送数据后否认发送和接收方在收到数据后否认收到或伪造数据的行为。 第一章 信息安全概述 第六十六页，共一百零五页。 访问控制策略有如下三种类型。 1）基于身份的策略。即根据用户或用户组对目标的访问权限进行控制的一种策略。形成“目标—用户—权限”或“目标—用户组—权限”的访问控制形式。 2）基于规则的策略。是将目标按照某种规则（如重要程度）分为多个密级层次，如绝密、秘密、机密、限制和无密级，通过分配给每个目标一个密级来操作。 3）基于角色的策略。基于角色的策略可以认为是基于身份的策略和基于规则的策略的结合。 目的就是保证信息的可用性，即可被授权实体访问并按需求使用，保证合法用户对信息和资源的使用不会被不正当地拒绝，同进不能被无权使用的人使用或修改、破坏。 第六十七页，共一百零五页。 　　2. 八大种安全机制　　八大种安全机制包括加密机制、数字签名机制、访问控制机制、数据完整性机制、认证机制、业务流填充机制、路由控制机制、公证机制。　　(1) 加密机制: 是确保数据安全性的基本方法，在OSI安全体系结构中应根据加密所在的层次及加密对象的不同，而采用不同的加密方法。 第一章 信息安全概述 安全机制是指用来保护系统免受侦听、阻止安全攻击及恢复系统的机制。 第六十八页，共一百零五页。 　　(2) 数字签名机制: 是确保数据真实性的基本方法，利用数字签名技术可进行用户的身份认证和消息认证，它具有解决收、发双方纠纷的能力。　　(3) 访问控制机制: 从计算机系统的处理能力方面对信息提供保护。访问控制按照事先确定的规则决定主体对客体的访问是否合法，当一主体试图非法使用一个未经授权的资源时，访问控制将拒绝，并将这一事件报告给审计跟踪系统，审计跟踪系统将给出报警并记录日志档案。 第一章 信息安全概述 第六十九页，共一百零五页。 　　(4) 数据完整性机制: 破坏数据完整性的主要因素有数据在信道中传输时受信道干扰影响而产生错误，数据在传输和存储过程中被非法入侵者篡改，计算机病毒对程序和数据的传染等。纠错编码和差错控制是对付信道干扰的有效方法。对付非法入侵者主动攻击的有效方法是报文认证，对付计算机病毒有各种病毒检测、杀毒和免疫方法。　　(5) 认证机制: 在计算机网络中认证主要有用户认证、消息认证、站点认证和进程认证等，可用于认证的方法有已知信息(如口令)、共享密钥、数字签名、生物特征(如指纹)等。 第一章 信息安全概述 第七十页，共一百零五页。 　　(6) 业务流填充机制: 攻击者通过分析网络中某一路径上的信息流量和流向来判断某些事件的发生，为了对付这种攻击，一些关键站点间在无正常信息传送时，持续传送一些随机数据，使攻击者不知道哪些数据是有用的，哪些数据是无用的，从而挫败攻击者的信息流分析。　　(7) 路由控制机制: 在大型计算机网络中，从源点到目的地往往存在多条路径，其中有些路径是安全的，有些路径是不安全的，路由控制机制可根据信息发送者的申请选择安全路径，以确保数据安全。 第一章 信息安全概述 第七十一页，共一百零五页。 　　(8) 公证机制: 在大型计算机网络中，并不是所有的用户都是诚实可信的，同时也可能由于设备故障等技