网络与信息安全概述.pptVIP

●B1级——标识的安全保护(Labeled Security Protection)。增加以下几条要求： 不同组的成员不能访问对方创建的客体，但管理员许可的除外； 管理员不能取得客体的所有权。 允许带级别的访问控制，如一般、秘密、机密、绝密等。Windows NT的定制版本可以达到B1级。 ●B2级——结构化保护(Structured Protection)。增加以下几条要求： 所有的用户都被授予一个安全等级； 安全等级较低的用户不能访问高等级用户创建的客体。 银行的金融系统通常达到B2级。提供结构化的保护措施，对信息实现分类保护。 信息安全综述 第三十一页，共六十一页，2022年，8月28日 ●B3级——安全域保护(Security Domain)。　增加以下要求： 系统有自己的执行域，不受外界干扰或篡改。 系统进程运行在不同的地址空间从而实现隔离。 具有高度的抗入侵能力，可防篡改，进行安全审计事件的监视，具备故障恢复能力。 ●A1级——可验证设计(Verified Design)。　增加以下要求： 系统的整体安全策略一经建立便不能修改。 计算机的软、硬件设计均基于正式的安全策略模型，可通过理论分析进行验证，生产过程和销售过程也绝对可靠，但目前尚无满足此条件的计算机产品。 信息安全综述 第三十二页，共六十一页，2022年，8月28日 其中，C类称为酌情保护，B类称为强制保护，A类称为核实保护。 这个标准过分强调了保密性，而对系统的可用性和完整性重视不够，因此实用性较低。 信息安全综述 第三十三页，共六十一页，2022年，8月28日 1.4.2 网络安全服务 国际标准化组织（International Standard Organization, ISO）提出了OSI/RM （Open Systems Interconnection Reference Model，开放系统互联参考模型, OSI）。 1988年 ，ISO发布了OSI安全体系结构—ISO7498-2标准，作为OSI基本参考模型的补充。 这是基于OSI参考模型的七层协议之上的信息安全体系结构。它定义了5类安全服务、8种特定安全机制、五种普遍性安全机制。 它确定了安全服务与安全机制的关系以及在OSI七层模型中安全服务的配置，还确定了OSI安全体系的安全管理。 国际标准化组织在网络安全体系的设计标准（ISO 7498-2）中，定义了5大安全服务功能：身份认证服务、数据保密服务、数据完整性服务、不可否认服务和访问控制服务。 信息安全综述 第三十四页，共六十一页，2022年，8月28日 1身份认证服务 身份认证(Authentication)确保会话对方的资源(人或计算机)同他声称的相一致。 这种服务在连接建立或在数据传送阶段的某些时刻使用, 用以证实一个或多个连接实体的身份。 2 数据保密服务 数据保密(Privacy)确保敏感信息不被非法者获取。这种服务对数据提供保护使之不被非授权地泄露。 3．数据完整性服务 使系统只允许授权的用户修改信息，以保证所提供给用户的信息是完整无缺的。完整性有两方面的含义：数据本身的完整性和连接的完整性。 4．不可否认服务 不可否认(Non-repudiation)又称为审计(Accountability)，确保任何发生的交互在事后可以被证实，即所谓的不可抵赖性。 5．访问控制服务 访问控制(Access Control)确保会话对方(人或计算机)有权做他所声称的事情。访问控制就是控制主体对客体资源的访问。 信息安全综述 第三十五页，共六十一页，2022年，8月28日 1.4.3 特定安全机制 ISO定义了8种特定安全机制 1 加密 加密是对数据进行密码变换以产生密文。 加密既能为数据提供机密性, 也能为通信业务流信息提供机密性, 并且还成为在下面所述的一些别的安全机制中的一部分或起补充作用。 加密算法可以是可逆的, 也可以是不可逆的。 2 数字签名机制 数字签名是附加在数据单元上的一些数据，或是对数据进行的密码变换，以达到不可否认或完整性的目的。 这种机制有两个过程: 对数据单元签名; 验证签过名的数据单元 信息安全综述 第三十六页，共六十一页，2022年，8月28日 3 访问控制机制 访问控制机制, 可以建立在使用下列所举的一种或多种手段之上: (1) 访问控制信息库, 在这里保存有对等实体的访问权限。这些信息可以由授权中心保存, 或由正被访问的那个实体保存。信息的形式可以是一个访问控制表, 或者等级结构或分布式结构的矩阵。 (2) 鉴别信息, 例如口令, 对这一信息的占有和出示便证明正在进行访问的实体已被授权; (3) 权力: 对它的占有和出示便证明有权访问由该权力所规定的实体或资源;