您好,欢迎访问三七文档
IT系统安全模型程娜目录•IT系统安全模型•ISO7498-2技术安全模型•CC技术安全模型一、IT系统安全模型IT系统安全的重要性在当今的信息时代,必须保护对其发展壮大至关重要的信息资产,另一方面,这些资产也暴露在越来越多的威胁中,毫无疑问,保护信息的私密性、完整性、真实性和可靠性的需求已经成为企业和消费者的最优先的需求之一。由于入侵、破坏企业IT系统的事件每天都在发生,加上Internet危险地带的认知不断加强,对信息安全的需求前所未有地高涨起来。对于大多数高级企业主管而言,安全问题不再遥不可及了,而是已经开始在自己身旁发生。安全漏洞会大大降低公司的市场价值,甚至威胁企业的生存。即使最小的漏洞也能将公司的名誉、客户的隐私信息和知识产权置于危险之中。还有成功的攻击对于企业官员将造成严重个人损害。一、IT系统安全模型IT系统安全管理五步法1、风险分析研究潜在的安全漏洞,决定可接受的安全控制,实施成本,以及不能被顾及的并且可接受的风险因素。其主要活动包括:确定安全漏洞或风险,例如自然灾害,外部黑客攻击,员工错误等;识别有商业价值的数据资产,例如客户数据库,研究信息,新产品计划,财务数据;量化损失风险,资产价值及其控制成本;2、制定安全策略制定资产分类计划;应用安全支持;信息服务供应商安全支持计划;高级别的管理目标承诺和责任;安全违规处理程序;用户培训和安全告知程序。一、IT系统安全模型IT系统安全管理五步法3、实施执行安装初始化适当的安全产品和系统控制,主要活动:为制定的安全策略选择安全机制;安装安全软硬件产品;定义系统安全控制方法;用户和资源分组,以便与管理。4、管理应用安全策略和实践,例如:用户身份和口令管理;特殊系统和用户特权管理;数据库,应用程序,交易和设备等资源;安全日志。5、审计安全审计是指对安全控制和事件的审查评价,审计的结果定时的报告给管理层,并被用来更新完善安全策略和实行程序。一、IT系统安全模型IT系统安全模型的源头一、IT系统安全模型IT系统安全的定位一、IT系统安全模型IT系统安全模型的知识点定位二、ISO7498-2技术安全模型ISO7498-2技术安全模型OSI参考模型应用层表示层会话层传输层网络层链路层物理层1234567安全服务抗抵赖数据保密性数据完整性访问控制鉴别服务安全机制加密数字签名访问控制数据完整性数据交换业务流填充路由控制公证二、ISO7498-2技术安全模型ISO7498-2技术安全模型的5种安全服务•鉴别服务网络上任何两个开放的系统主机在同等分层上建立连接或数据传输过程中对对方实体的合法性进行判断以防假冒。主要分为两部分,一部分是对等实体进行服务,用于两个开放系统同等层中的实体建立连接或数据传输阶段,对对方实体的合法性、真实性进行确认,以防假冒,这里的实体可以是用户或进程。另一部分是数据源认证服务,用于确保数据发自真正的源点,以防假冒。•访问控制访问控制可防止非授权用户非法使用网络资源,以保护网络特定的数据资源等。它既包括对于用户的身份认证,又包括对于用户的权限确认。这种保护服务不但提供给个人用户,也可以提供给用户组。二、ISO7498-2技术安全模型ISO7498-2技术安全模型的5种安全服务•数据完整性可防止非法用户对网络上进行交换的数据信息进行更改、插入、删除,以及防止在数据交换过程中的数据丢失等。主要分为带恢复功能的面向连接方式的数据完整性;不带恢复功能的面向连接方式的数据完整性;选择字段面向连接方式的数据完整性;选择字段无连接方式的数据完整性;无连接方式数据完整性。通过以上这些服务来满足不同用户、不同场合对数据完整性服务的不同要求。•抗抵赖性这是对数据信息收发双方的行为确认,以防止否认的机制。其主要是保护网络通信不会遭到内部其他合法用户的威胁。它由两部分组成,一是不得否认发送行为;二是不得否认接收行为。抵抗赖性在本质上是一种数字签名服务,它能够提供确定的数据来证明通信双方做过某种操作。二、ISO7498-2技术安全模型ISO7498-2技术安全模型的5种安全服务•数据保密性主要是指保护网上传输的信息及主机之间交换的数据,防止数据信息的泄漏和破坏,其中包括多种保密服务。为了防止网络中各个系统之间交换的数据被截获或非法存取而造成泄密,需提供加密保护。基于OSI模型中规定数据传送可采用面向连接的方式和无连接的方式。数据保密还提供用户可选字段的数据保护和信息流安全,即对有可能从检测数据流就能推导出数据信息提供保护。保证信息流安全的目的是确保信息在从源点到目的地的整个流通过程的安全。一般可通过路由选择使信息流出由安全路径,并通过信息流量和流向分析攻击。二、ISO7498-2技术安全模型ISO7498-2技术安全模型的8种安全机制•加密机制数据保护最主要和最基本的手段就是通过数据加密的方法来实现,也就是通过加密算法来防止数据信息在传输过程中被篡改、删除和替换。用加密的技术结合其他方法,可以提供数据的保密性和完整性。加密算法按密钥类型来划分,可分为对称加密和非对称加密两种;按密码体制可分为序列密码(流密码)和分组密码算法两种。除了会话层不提供加密保护外,加密可在其他各层上进行,与加密机制相伴的是密钥管理机制。•数字签名机制数字签名机制是确保数据真实性的基本方法。它采用某种算法,通过对网络传输的信息实现签名,其目的是防止通信双方的任何一方对自己的行为进行否认,以及防止有人冒充通信的一方用户对接收到的信息加以篡改或伪造对方发送的信息等。数字签名技术具有解决收发双方纠纷的能力,特别是针对通信双方发生争执时,可能产生的如否认、伪造、冒充和篡改信息等安全问题。二、ISO7498-2技术安全模型ISO7498-2技术安全模型的8种安全机制•访问控制机制访问控制机制主要用来控制不同用户的访问权限,主要包括用户对网络系统、主机、数据库系统以及文件系统等的访问权限。访问控制机制本质上是一种对资源访问的策略,它把对资源的访问只限于那些被授权的用户。所谓授权就是指资源的所有者或控制者是否允许其他特定的人访问这些资源。访问控制还可以直接支持数据机密性、完整性、可用性以及合法使用的安全要求,它对数据机密性、完整性、可用性以及合法使用所起的作用是十分明显的。访问控制机制可以建立以下一种或多种手段上。•鉴别交换机制鉴别交换机制是通过互换信息的方式来确认实体身份的机制。在网络环境下,这种认证方式主要有站点认证、报文认证、用户和进程的认证等。用于认证的方法主要有:密码、密码技术、实体的特征或所有权。二、ISO7498-2技术安全模型ISO7498-2技术安全模型的8种安全机制•数据完整性机制因为实体间信息交换是以一种数据单元(包)的形式进行传输的,所以既要对单元数据加密,又要保证数据单元的时序性,以防止篡改、假冒、丢失、重发或插入等。数据完整性包括两种形式,一种是数据单元的完整性;另一种是数据单元序列的完整性。而数据单元完整性包括两个过程,一个过程发生在发送实体;另一个过程发生在接收实体。保证数据完整性的一般方法是发送实体时在一个数据单元上加一个标记,这个标记是数据本身的函数,如一个分组校验或密码校验函数,它本身是经过加密的。接收实体有一个对应的标记,并将所产生的标记与被接收的标记相比较,以确定在传输过程中数据是否被修改过,典型的算法有MD5和SHA。二、ISO7498-2技术安全模型ISO7498-2技术安全模型的8种安全机制•业务流填充机制业务流填充机制是提供业务流机密的一个基本机制。它在信息传输的间隙连续不断发出伪随机序列,使网上窃听者无法判断信息可用性。并防止其分析信息的流量和流向。它包含生成伪造的通信实例、伪造的数据单元、伪造的数据单元中的数据。伪造通信业务和将协议数据单元填充到一个固定长度,能防止通信业务分析提供有限的保护。为了使这种保护得以成功,伪造通信业务级别还必须接近实际通信业务的最高预期等级。另外,协议数据单元的内容必须进行加密或隐藏起来,使虚假业务不会被识别,从而实现与真实业务区分开来。•路由控制机制在大型复杂的网络中通信的两个节点间可有多条线路,但不是所有线路都安全可靠。在这种情况下,路由控制机制使得路由能被动态的或预期地选取,以便使用物理上安全的子网络、中继或链路来进行通信,保证敏感数据只在具有适当保护级别的路由上传输。二、ISO7498-2技术安全模型ISO7498-2技术安全模型的8种安全机制•公证机制有关在两个或多个实体间通信的数据的性质,如它的完整性、数据源、时间和目的等,能够借助公证机制得到确保。这种保证是由第三方提供的,公证机构为通信实体所信任,并掌握必要信息,它以一种可证实方式提供所需保证。每个通信实体可使用数字签名、加密和完整性机制以适应公证方提供的服务。当这种公证机制被用到时,数据便在参与通信实体间由受保护的通信实例和公证进行通信。公证机制目的是通过一个公证仲裁机构解决有关信息的责任问题,因此网络上通信的各方都必须由该机构进行数据交换。二、ISO7498-2技术安全模型安全服务与OSI七层协议的对应关系三、CC的安全技术模型CC简介CC是国际标准化组织统一现有多种准则的结果,是目前最全面的评价准则。1996年6月,CC第一版发布;1998年5月,CC第二版发布;1999年10月CCV2.1版发布,并且成为ISO标准。CC的主要思想和框架都取自ITSEC和FC,并充分突出了“保护轮廓”概念。CC将评估过程划分为功能和保证两部分,评估等级分为EAL1、EAL2、EAL3、EAL4、EAL5、EAL6和EAL7共七个等级。每一级均需评估7个功能类,分别是配置管理、分发和操作、开发过程、指导文献、生命期的技术支持、测试和脆弱性评估。三、CC的安全技术模型CC的驱动因素三、CC的安全技术模型CC标准的发展历程三、CC的安全技术模型CC定义了两类安全需求CC的关键概念(1)*评估对象(TOE)用于安全评估的信息技术产品、系统或子系统(如防火墙、计算机网络、密码模块等),包括相关的管理员指南、用户指南、设计方案等文档。*保护轮廓(PP)1、为既定的一系列安全对象提出功能和保证要求的完备集合,表达了一类产品或系统的用户需要2、PP与某个具体的TOE无关,它定义的是用户对这类TOE的安全需求3、主要内容:需保护的对象,确定的安全环境,TOE的安全目的,IT安全要求,基本原理4、在标准体系中PP相当于产品标准(同TCSEC级别类似),也助于过程规范性标准的开发5、国内外已对应用级防火墙、包过滤防火墙、智能卡、IDS、PKI等开发了相应的PP*安全目标(ST)1、ST针对具体TOE而言,它包括TOE的安全要求和用于满足安全要求的特定的安全功能和保证措施2、ST包括的技术要求和保证措施可以直接引用该TOE所属产品或者系统类的PP3、ST是开发者、评估者和用户在TOE安全性和评估范围之间达成一致的基础4、ST相当于产品和系统的实现方案,与ITSEC的“安全目标”类似。例如:STforOraclev7CC的关键概念(2)*TOESecurityPolicy(TSP)控制TOE中资产如何管理,保护和分发的规则*TOESecurityFunctions(TSF)必须依赖于TSP正确执行的TOE的所有部件*组件1、组件描述了一组特定的安全要求,是可供PP、ST或包选取的最小的安全要求集合2、在CC中,以“类_子类.组件号”的方式来标识组件*包1、组件依据某种特定的关系组合,就构成了包2、构建包的目的是定义那些公认有用的、对满足某个特定安全目的有效的安全要求3、包可以用来构造更大的包、PP和ST。包可以重复使用。4、CC中有功能包和保证包两种形式概念之间的关系:PP、ST和TOE之间的关系:三、CC的安全技术模型CC的安全技术模型C1C2C3Cn子类C1C2C3Cn子类功能类功能包为构建PP或ST而选取的一组功能要求C1C2C3Cn子类C1C2C3Cn子类保证类评估保证级1功能要求保证要求评估保证级2评估保证级3评估保证级4评估保证级n保护轮廓基于一类TOE的应用环境规定一组安全要求,并提出应达
本文标题:IT系统安全模型
链接地址:https://www.777doc.com/doc-3405300 .html