前言:系统集成项目管理工程师专业,现分享一些教材知识点。觉得文章还不错的喜欢点赞收藏的同时帮忙点点关注。
软考同样是国家人社部和工信部组织的国家级考试,全称为“全国计算机与软件专业技术资格(水平)考试”,目前涵盖了计算机软件、计算机网络、计算机应用技术、信息系统、信息服务5大领域,总共27个科目,也是分为初、中、高三个级别。
通信专业主要需要关注“计算机网络”这个专业类别,可以考的科目有初级资格的“网络管理员”、中级的“网络工程师”。
还有5个高级资格专业,分别是“信息系统项目管理师“”系统分析师“”系统架构设计师“”网络规划设计师“”系统规划与管理师“。
软考高级证书在通信行业比较吃香,主要原因有两个: 通信行业与计算机软件是相近专业,评职称满足相近专业的要求; 通信高级不能以考代评,但软考高级可以,很多考生通过考软考高级来评高级职称。
————————————————
4.7安全架构
目录
前言:系统集成项目管理工程师专业,现分享一些教材知识点。觉得文章还不错的喜欢点赞收藏的同时帮忙点点关注。
4.7.1安全威胁
目前,组织将更多的业务托管于混合云之上,保护用户数据和业务变得更加困难,本地基础设施和多种公、私有云共同构成的复杂环境,使得用户对混合云安全有了更高的要求。这种普及和应 用将会产生两方面的效应:①各行各业的业务运转几乎完全依赖于计算机、网络和云存储,各种重 要数据如政府文件、档案、银行账目、企业业务和个人信息等将全部依托计算机、网络的存储、传 输;②人们对计算机的了解更加全面,有更多的计算机技术被较高层的人非法利用,他们采用种种 手段对信息资源进行窃取或攻击。 目前,信息系统可能遭受到的威胁可总结为以下4个方面,如图 4-23 所示。
对于信息系统来说,威胁可以是针对物理环境、通信链路、网络系统、操作系统、应用系统以 及管理系统等方面。物理安全威胁是指对系统所用设备的威胁,如自然灾害、电源故障、操作系统 引导失败或数据库信息丢失、设备被盗/被毁造成数据丢失或信息泄露;通信链路安全威胁是指在 传输线路上安装窃听装置或对通信链路进行干扰;网络安全威胁是指由于互联网的开放性、国际化 的特点,人们很容易通过技术手段窃取互联网信息,对网络形成严重的安全威胁;操作系统安全威 胁是指对系统平台中的软件或硬件芯片中植入威胁,如“木马 ”和“陷阱门 ”、BIOS的万能密码;应用系统安全威胁是指对于网络服务或用户业务系统安全的威胁,也受到“木马 ”和“陷阱门 ”的威胁;管理系统安全威胁是指由于人员管理上疏忽而引发人为的安全漏洞,如通过人为地拷 贝、拍照、抄录等手段盗取计算机信息。
图4-23:信息系统受到的安全威胁
具体来讲,常见的安全威胁有:信息泄露、破坏信息的完整性、拒绝服务、非法访问、窃听、 业务流分析、假冒、旁路控制、授权侵犯、特洛伊木马、陷阱门、抵赖、重放、计算机病毒、人员 渎职、媒体废弃、物理侵入、窃取、业务欺骗等。
(1)信息泄露。信息被泄露或透露给某个非授权的实体。
(2)破坏信息的完整性。数据被非授权地进行增删、修改或破坏而受到损失。
(3)拒绝服务。对信息或其他资源的合法访问被无条件地阻止。( 中22上、20下、19上)
(4)非法访问(非授权访问) 。某一资源被某个非授权的人或非授权的方式使用。
(5)窃听。用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线 路中传输的信号进行搭线监听,或者利用通信设备在工作过程中产生的电磁泄漏截取有用信息等。
(6)业务流分析。通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息 流向、通信总量的变化等态势进行研究,从而发现有价值的信息和规律。
(7)假冒。通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户 冒充成为特权大的用户的目的。黑客大多是采用假冒进行攻击。
(8)旁路控制。攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。 例如,攻击者通过各种攻击手段,发现原本应保密但是却又暴露出来的一些系统“特性 ”。利用这 些“特性 ”,攻击者可以绕过防线守卫者侵入系统的内部。
(9)授权侵犯。被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他非授权 的目的,也称作“ 内部攻击 ”。
(10)特洛伊木马。软件中含有一个察觉不出的或者无害的程序段,当它被执行时,会破坏用 户的安全。这种应用程序称为特洛伊木马(Trojan Horse)。
(11)陷阱门。在某个系统或某个部件中设置了“机关 ”,使得当提供特定的输入数据时,允 许违反安全策略。
(12)抵赖。这是一种来自用户的攻击,例如,否认自己曾经发布过的某条消息或伪造一份对 方来信等。
(13)重放。所截获的某次合法的通信数据备份,出于非法的目的而被重新发送。
(14)计算机病毒。所谓计算机病毒,是一种在计算机系统运行过程中能够实现传染和侵害的 功能程序。一种病毒通常含有两个功能:一种功能是对其他程序产生“感染 ”;另外一种是引发损 坏功能或者是一种植入攻击的能力。
(15)人员渎职。一个授权人为了钱或利益、或由于粗心而将信息泄露给一个非授权的人
(16)媒体废弃。信息被从废弃的磁盘或打印过的存储介质中获得。
(17)物理侵入。侵入者通过绕过物理控制而获得对系统的访问。
(18)窃取。重要的安全物品,如令牌或身份卡被盗。
(19)业务欺骗。某一伪系统或系统部件欺骗合法用户或系统自愿地放弃敏感信息。
4.7.2定义和范围
安全架构是在架构层面聚焦信息系统安全方向上的一种细分。安全性体现在信息系统上,通常的系统安全架构、安全技术体系架构和审计架构可组成三道安全防线。
(1)系统安全架构。系统安全架构指构建信息系统安全质量属性的主要组成部分以及它们之间 的关系。系统安全架构的目标是如何在不依赖外部防御系统的情况下,从源头打造自身的安全。
(2)安全技术体系架构。安全技术体系架构指构建安全技术体系的主要组成部分以及它们之间 的关系。安全技术体系架构的任务是构建通用的安全技术基础设施,包括安全基础设施、安全工具 和技术、安全组件与支持系统等,系统性地增强各部分的安全防御能力。
(3)审计架构。审计架构指独立的审计部门或其所能提供的风险发现能力,审计的范围主要包 括安全风险在内的所有风险。
人们在系统设计时,通常要识别系统可能会遇到的安全威胁,通过对系统面临的安全威胁和实 施相应控制措施进行合理的评价,提出有效合理的安全技术,形成提升信息系统安全性的安全方
案,是安全架构设计的根本目标。在实际应用中,安全架构设计可以从安全技术的角度考虑,如加 密解密、网络安全技术等。
4.7.3整体架构设计
构建信息安全保障体系框架应包括技术体系、组织机构体系和管理体系等三部分。也就是说人、管理和技术手段是信息安全架构设计的三大要素,而构建动态的信息与网络安全保障体系框架 是实现系统安全的保障。
1.WPDRRC模型
针对网络安全防护问题,各个国家曾提出了多个网络安全体系模型和架构,比如PDRR (Protection/Detection/Reaction/Recovery ,防护/检测/响应/恢复)模型、P2DR模型(Policy/Protection/Detection/Response ,安全策略/防护/检测/响应) 。WPDRRC(Waring/Protect/DetectReact/Restore/Counterattack)是我国信息安全专家组提出的信息系统安全保障 体系建设模型。WPDRRC是在PDRR信息安全体系模型的基础上前后增加了预警和反击功能。
在PDRR模型中,安全的概念已经从信息安全扩展到了信息保障,信息保障内涵已超出传统的 信息安全保密,它是保护(Protect)、检测(Detect)、反应(Rcact)、恢复(Restore)的有机结 合。PDRR模型把信息的安全保护作为基础,将保护视为活动过程,用检测手段来发现安全漏洞,及时更正。同时采用应急响应措施对付各种入侵,在系统被入侵后,要采取相应的措施将系统恢复 到正常状态,这样才能使信息的安全得到全方位的保障,该模型强调的是自动故障恢复能力。
WPDRRC模型有六个环节和三大要素。六个环节包括:预警(W )、保护(P )、检测(P )、响应(R )、恢复(R )和反击(C ),它们具有较强的时序性和动态性,能够较好地反映出 信息系统安全保障体系的预警能力、保护能力、检测能力、响应能力、恢复能力和反击能力。三大要素包括:人员、策略和技术。人员是核心,策略是桥梁,技术是保证。落实在WPDRRC的六个 环节的各个方面,将安全策略变为安全现实。
(1)预警(W )。预警主要是指利用远程安全评估系统提供的模拟攻击技术,来检查系统可能 存在的被利用的薄弱环节,收集和测试网络与信息的安全风险所在,并以直观的方式进行报告,提 供解决方案的建议。在经过分析后,分解网络与信息的风险变化趋势和严重风险点,从而有效降低 网络与信息的总体风险,保护关键业务和数据。
(2)防护(P )。防护通常是通过采用成熟的信息安全技术及方法,来实现网络与信息的安 全。主要内容有加密机制、数字签名机制、访问控制机制、认证机制、信息隐藏和防火墙技术等。
(3)检测(D )。检测是通过检测和监控网络以及系统,来发现新的威胁和弱点,强制执行安 全策略。在这个过程中采用入侵检测、恶意代码过滤等技术,形成动态检测的制度、奖励报告协调 机制,提高检测的实时性。主要内容有入侵检测、系统脆弱性检测、数据完整性检测和攻击性检测 等。
(4)响应(R )。响应是指在检测到安全漏洞和安全事件之后必须及时做出正确的响应,从而 把系统调整到安全状态。为此需要相应的报警、跟踪和处理系统,其中处理包括了封堵、隔离、报 告等能力。主要内容有应急策略、应急机制、应急手段、入侵过程分析和安全状态评估等。
(5)恢复(R )。恢复是指当前网络、数据、服务受到黑客攻击并遭到破坏或影响后,通过必 要技术手段,在尽可能短的时间内使系统恢复正常。主要内容有容错、冗余、备份、替换、修复和 恢复等。
(6)反击(C )。反击是指采用一切可能的高新技术手段, 线索与犯罪证据,形成强有力的取证能力和依法打击手段。侦察、提取计算机犯罪分子的作案网络安全体系模型经过多年发展,形成了PDP 、PPDR 、PDRR 、MPDRR和WPDRRC等模型, 这些模型在信息安全防范方面的功能更加完善,表 4-2 给出网络安全体系模型安全防范功能对照 表。
表4-2:安全防范功能对照表
模型/覆盖 |
预警 |
保护 |
检测 |
响应 |
恢复 |
反击 |
管理 |
POR |
无 |
有 |
有 |
有 |
无 |
无 |
无 |
PPDR |
无 |
有 |
有 |
有 |
无 |
无 |
无 |
PDRR |
无 |
有 |
有 |
有 |
有 |
无 |
无 |
MPDRR |
无 |
有 |
有 |
有 |
有 |
无 |
有 |
WPDRRC |
有 |
有 |
有 |
有 |
有 |
有 |
有 |
2.架构设计
信息系统的安全需求是任何单一安全技术都无法解决的,要设计一个信息安全体系架构,应当 选择合适的安全体系结构模型。信息系统安全设计重点考虑两个方面:一是系统安全保障体系;二 是信息安全体系架构。
1)系统安全保障体系
安全保障体系是由安全服务、协议层次和系统单元三个层面组成,且每层都涵盖了安全管理的 内容。系统安全保障体系设计工作主要考虑以下几点:
●安全区域策略的确定。根据安全区域的划分,主管部门应制定针对性的安全策略。如定时审 计评估、安装入侵检测系统、统一授权、认证等。
●统一配置和管理防病毒系统。主管部门应当建立整体防御策略,以实现统一的配置和管理。 网络防病毒的策略应满足全面性、易用性、实时性和可扩展性等方面要求。
●网络与信息安全管理。在网络安全中,除了采用一些技术措施之外,还需加强网络与信息安 全管理,制定有关规章制度。在相关管理中,任何的安全保障措施,最终要落实到具体的管理规章 制度以及具体的管理人员职责上,并通过管理人员的工作得到实现。详见本书8. 1节
2)信息安全体系架构
通过对信息系统应用的全面了解,按照安全风险、需求分析结果、安全策略以及网络与信息的 安全目标等方面开展安全体系架构的设计工作。具体在安全控制系统,可以从物理安全、系统安全、网络安全、应用安全和安全管理等5个方面开展分析和设计工作。
●物理安全。保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理 安全是保护计算机网络设备、设施以及其他媒体免受地震、水灾、火灾等环境事故以及人为操作失 误或错误及各种计算机犯罪行为导致的破坏过程。物理安全主要包括:环境安全、设备安全、媒体 安全等。( 中22下、中22下广)
●系统安全。系统安全主要是指对信息系统组成中各个部件的安全要求。系统安全是系统整体 安全的基础。它主要包括网络结构安全、操作系统安全和应用系统安全等。
●网络安全。网络安全是整个安全解决方案的关键。它主要包括访问控制、通信保密、入侵检 测、网络安全扫描和防病毒等。
●应用安全。应用安全主要是指多个用户使用网络系统时,对共享资源和信息存储操作所带来 的安全问题。它主要包括资源共享和信息存储两个方面。
●安全管理。安全管理主要体现在三个方面:制定健全的安全管理体制,构建安全管理平台, 增强人员的安全防范意识。
3.设计要点
网络与信息安全架构设计可以参照各类架构模型,结合组织的具体战略、实际现状和预期目标 等,细致开展相关工作。
1)系统安全设计要点
系统安全设计要点主要包括以下几个方面。
● 网络结构安全领域重点关注网络拓扑结构是否合理,线路是否冗余,路由是否冗余和防止单 点失败等。
●操作系统安全重点关注两个方面:①操作系统的安全防范可以采取的措施,如:尽量采用安 全性较高的网络操作系统并进行必要的安全配置,关闭一些不常用但存在安全隐患的应用,使用权 限进行限制或加强口令的使用等。②通过配备操作系统安全扫描系统对操作系统进行安全性扫描, 发现漏洞,及时升级等。
●应用系统安全方面重点关注应用服务器,尽量不要开放一些不经常使用的协议及协议端口, 如文件服务、电子邮件服务器等。可以关闭服务器上的如HTTP 、FTP 、Telnet等服务。可以加强登 录身份认证,确保用户使用的合法性。
2)网络安全设计要点
网络安全设计要点主要包括以下几个方面。
●隔离与访问控制要有严格的管制制度,可制定比如《用户授权实施细则》《口令及账户管理 规范》《权限管理制定》等一系列管理办法。
●通过配备防火墙实现网络安全中最基本、最经济、最有效的安全措施。通过防火墙严格的安 全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制,防火墙可以实现单向或双向控 制,并对一些高层协议实现较细粒度的访问控制。
●入侵检测需要根据已有的、最新的攻击手段的信息代码对进出网段的所有操作行为进行实时 监控、记录,并按制定的策略实施响应(阻断、报警、发送E-mail) 。从而防止针对网络的攻击与 犯罪行为。入侵检测系统一般包括控制台和探测器(网络引擎),控制台用作制定及管理所有探测 器(网络引擎),网络引擎用作监听进出网络的访问行为,根据控制台的指令执行相应行为。
●病毒防护是网络安全的必要手段, 由于在网络环境下,计算机病毒有不可估量的威胁性和破 坏力。网络系统中使用的操作系统(如Windows系统),容易感染病毒,因此计算机病毒的防范也 是网络安全建设中应该考虑的重要环节之一,反病毒技术包括预防病毒、检测病毒和杀毒三种。
3)应用安全设计要点
应用安全设计要点主要包括以下两个方面。
●资源共享要严格控制内部员工对网络共享资源的使用,在内部子网中一般不要轻易开放共享 目录,否则会因为疏忽而在员工间交换信息时泄露重要信息。对有经常交换信息需求的用户,在共 享时也必须加上必要的口令认证机制,即只有通过口令的认证才能允许访问数据。
●信息存储是指对于涉及秘密信息的用户主机,使用者在应用过程中应该做到尽量少开放一些 不常用的网络服务。对数据服务器中的数据库做安全备份。通过网络备份系统可以对数据库进行远 程备份存储。
4)安全管理设计要点
安全管理设计要点主要包括以下几个方面。
●制定健全安全管理体制将是网络安全得以实现的重要保证,可以根据自身的实际情况制定如 安全操作流程、安全事故的奖罚制度以及任命安全管理人员全权负责监督和指导。
●构建安全管理平台将会降低许多因为无意的人为因素而造成的风险。构建安全管理平台可从 技术上进行防护,如组成安全管理子网、安装集中统一的安全管理软件、网络设备管理系统以及网 络安全设备统一管理软件等,通过安全管理平台实现全网的安全管理。
●应该经常对单位员工进行网络安全防范意识的培训,全面提高员工的整体安全方法意识。 4.架构示例
图4-24给出一种面向组织运维管理系统的安全架构。这里的安全控制系统是指能提供一种高度 可靠的安全保护手段的系统,可以最大限度地避免相关设备的不安全状态,防止恶性事故的发生或 在事故发生后尽可能地减少损失,保护生产装置及最重要的人身安全。
该架构采用子佳练的展冻化结构,分为数据层、功能层和展现层:数据层主要对组织数据进行 统一管理,接数据的不周安全特性进行存储、隔离与保护等。功能层是系统安全防范的主要核心功 能,包括可用性监控、服务支持和安全性监控。可用性监控主要实现网络安全、系统安全和应用安 全中的监控能力;服务支持中的业务过程包含了安全管理设计,实现安全管理环境下的运维管理的 大多数功能;安全性监控主要针对系统中发现的任何不安全现象进行相关处理,涵盖了威胁追溯、 安全域审计评估、授权、认证等,以及风险分析与评估等。展现层主要完成包含安全架构的使用、 维护、决策等在内的用户各种类型应用功能实现。
4.7.4网络安全架构设计
建立信息系统安全体系的目的,就是将普遍性安全原理与信息系统的实际相结合,形成满足信 息系统安全需求的安全体系结构,网络安全体系是信息系统体系的核心之一。
1.OSl安全架构
OSI(Open System Interconnection/Reference Mode ,OSI/RM)是由国际化标准组织制定的开放 式通信系统互联模型(ISO7498-2),国家标准GB/T9387.2《信息处理系统开放系统互联基本参考 模型第2部分:安全体系结构》等同于ISO7498-2 。OSI目的在于保证开放系统进程与进程之间远距 离安全交换信息。这些标准在参考模型的框架内建立起一些指导原则与约束条件,从而提供了解决 开放互联系统中安全问题的一致性方法。
OSI定义了7层协议,其中除第5层(会话层)外,每一层均能提供相应的安全服务。实际上, 最适合配置安全服务的是在物理层、网络层、传输层及应用层上,其他层都不宜配置安全服务。
OSI开放系统互联安全体系的5类安全服务包括鉴别、访问控制、数据机密性、数据完整性和抗抵 赖性。OSI定义分层多点安全技术体系架构,也称为深度防御安全技术体系架构,它通过以下三种 方式将防御能力分布至整个信息系统中。
1)多点技术防御
在对手可以从内部或外部多点攻击一个目标的前提下,多点技术防御通过对以下多个核心区域 的防御达到抵御所有方式攻击的目的。
●网络和基础设施:为了确保可用性,局域网和广域网需要进行保护以抵抗各种攻击,如拒绝 服务攻击等。为了确保机密性和完整性,需要保护在这些网络上传送的信息以及流量的特征以防止 非故意的泄露。
●边界:为了抵御主动的网络攻击,边界需要提供更强的边界防御,例如流量过滤和控制以及 入侵检测。
●计算环境:为了抵御内部、近距离的分布攻击,主机和工作站需要提供足够的访问控制。
2)分层技术防御
即使最好的可得到的信息保障产品也有弱点,其最终结果将使对手能找到一个可探查的脆弱性,一个有效的措施是在对手和目标间使用多个防御机制。为了减少这些攻击成功的可能性和对成 功攻击的可承担性,每种机制应代表一种唯一的障碍,并同时包括保护和检测方法。例如,在外部 和内部边界同时使用嵌套的防火墙并配合以入侵检测就是分层技术防御的一个实例。
3)支撑性基础设施
支撑性基础设施为网络、边界和计算环境中信息保障机制运行基础的支撑性基础设施,包括公 钥基础设施以及检测和响应基础设施。
●公钥基础设施:提供一种通用的联合处理方式,以便安全地创建、分发和管理公钥证书和传 统的对称密钥,使它们能够为网络、边界和计算环境提供安全服务。这些服务能够对发送者和接收 者的完整性进行可靠验证,并可以避免在未获授权的情况下泄露和更改信息。公钥基础设施必须支 持受控的互操作性,并与各用户团体所建立的安全策略保持一致。
●检测和响应基础设施:能够迅速检测并响应入侵行为。它也提供便于结合其他相关事件观察 某个事件的“汇总 ”功能。另外,它也允许分析员识别潜在的行为模式或新的发展趋势。
这里必须注意的是,信息系统的安全保障不仅仅依赖于技术,还需要非技术防御手段。一个可 接受级别的信息保障依赖于人员、管理、技术和过程的综合。
2.认证框架
鉴别(Authentication)的基本目的是防止其他实体占用和独立操作被鉴别实体的身份。鉴别提 供了实体声称其身份的保证,只有在主体和验证者的关系背景下,鉴别才是有意义的。鉴别有两个 重要的关系背景:①实体由申请者来代表, 申请者与验证者之间存在着特定的通信关系(如实体鉴别);②实体为验证者提供数据项来源。鉴别的方式主要基于以下5种。
●已知的,如一个秘密的口令。
●拥有的,如IC卡、令牌等。
●不改变的特性,如生物特征。
●相信可靠的第三方建立的鉴别(递推)。
●环境(如主机地址等)。
鉴别信息是指申请者要求鉴别到鉴别过程结束所生成、使用和交换的信息。鉴别信息的类型有 交换鉴别信息、 申请鉴别信息和验证鉴别信息。在某些情况下,为了产生交换鉴别信息, 申请者需 要与可信第三方进行交互。类似地,为了验证交换鉴别信息,验证者也需要同可信第三方进行交互。在这种情况下,可信第三方持有相关实体的验证Al ,也可能使用可信第三方来传递交换鉴别信息,实体也可能需要持有鉴别可信第三方中所使用的鉴别信息。
鉴别服务分为以下阶段;安装阶段、修改鉴别信息阶段、分发阶段、获取阶段、传送阶段、验 证阶段、停活阶段、重新激活阶段、取消安装阶段。
(1)在安装阶段,定义申请鉴别信息和验证鉴别信息。
(2)修改鉴别信息阶段,实体或管理者申请鉴别信息和验证鉴别信息变更(如修改口令)。
(3)在分发阶段,为了验证交换鉴别信息,把验证鉴别信息分发到各实体(如申请者或验证 者) 以供使用。
(4)在获取阶段, 申请者或验证者可得到为鉴别实例生成特定交换鉴别信息所需的信息,通过 与可信第三方进行交互或鉴别实体间的信息交换可得到交换鉴别信息。例如,当使用联机
密钥分配中心时, 申请者或验证者可从密钥分配中心得到一些信息,如鉴别证书。
(5)在传送阶段,在申请者与验证者之间传送交换鉴别信息。
(6)在验证阶段,用验证鉴别信息核对交换鉴别信息。
(7)在停活阶段,将建立一种状态,使得以前能被鉴别的实体暂时不能被鉴别。
(8)在重新激活阶段,使在停活阶段建立的状态将被终止。
(9)在取消安装阶段,实体从实体集合中被拆除。 3.访问控制框架
访问控制(Access Control)决定开放系统环境中允许使用哪些资源,在什么地方适合阻止未 授权访问的过程。在访问控制实例中,访问可以是对一个系统(即对一个系统通信部分的一个实 体)或对一个系统内部进行的。图4-25和图4-26说明了访问控制的基本功能。
ACI(访问控制信息)是用于访间控制目的的任何信息,其中包括上下文信息。ADI(访问控 制判决信息)是在做出一个特定的访问控制判决时可供ADF使用的部分(或全部)ACI 。ADF(访 问控制判决功能)是一种特定功能,它通过对访问请求、ADI以及该访问请求的上下文使用访问控 制策略规则而做出访间控制判决。AEF(访问控制实施功能)确保只有对目标允许的访问才由发起者执行。
涉及访问控制的有发起者、AEF 、ADF和目标。发起者代表访间或试图访问目标的人和基于计 算机的实体。 目标代表被试图访问或由发起者访问的,基于计算机或通信的实体。例如, 目标可能 是OSI实体、文件或者系统。访问请求代表构成试图访问部分的操作和操作数。
当发起者请求对目标进行特殊访问时,AEF就通知ADF需要一个判决来做出决定。为了作出判 决,给ADF提供了访问请求(作为判决请求的一部分)和下列几种访问控制判决信息(ADI)。
●发起者ADI(ADI由绑定到发起者的ACI导出);
●目标ADI(ADI由绑定到目标的ACI导出);
●访问请求ADI(ADI由绑定到访问请求的ACI导出)。
ADF的其他输入是访问控制策略规则(来自ADF的安全域权威机构)和用于解释ADI或策略的 必要上下文信息。上下文信息包括发起者的位置、访问时间或使用中的特殊通信路径等。基于这些 输入,以及可能还有以前判决中保留下来的ADI信息,ADF可以做出允许或禁止发起者试图对目标 进行访问的判决。该判决传递给AEF ,然后AEF允许将访问请求传给目标或采取其他合适的行动。
在许多情况下, 由发起者对目标的逐次访问请求是相关的。应用中的一个典型例子是在打开与 同层目标的连接应用进程后,试图用相同(保留)的ADI执行几个访问,对一些随后通过连接进行 通信的访问请求,可能需要给ADF提供附加的ADI以允许访问请求,在另一些情况下,安全策略可 能要求对一个或多个发起者与一个或多个目标之间的某种相关访问请求进行限制,这时,ADF 可 能使用与多个发起者和目标有关的先前判决中所保留的ADI来对特殊访问请求作出判决。
如果得到 AEF 的允许,访问请求只涉及发起者与目标的单一交互。尽管发起者和目标之间的 一些访问请求是完全与其他访问请求无关的,但常常是两个实体进入一个相关的访问请求集合中, 如质询应答模式。在这种情况下,实体根据需要同时或交替地变更发起者和目标角色,可以由分离 的AEF组件、ADF组件和访问控制策略对每一个访问请求执行访问控制功能。
4.机密性框架
机密性(Confdentialiy)服务的目的是确保信息仅仅是对被授权者可用。由于信息是通过数据 表示的,而数据可能导致关系的变化(如文件操作可能导致目录改变或可用存储区域的改变),因 此信息能通过许多不同的方式从数据中导出。例如,通过理解数据的含义(如数据的值)导出;通 过使用数据相关的属性(如存在性、创建的数据、数据大小、最后一次更新的日期等)进行导出; 通过研究数据的上下文关系,即通过那些与之相关的其他数据实体导出;通过观察数据表达式的动 态变化导出。
信息的保护是确保数据被限制于授权者获得,或通过特定方式表示数据来获得,这种保护方式的语义是,数据只对那些拥有某种关键信息的人才是可访问的。有效的机密性保护,要求必要的控 制信息(如密钥和RC1等)是受到保护的,这种保护机制和用来保护数据的机制是不同的(如密钥 可以通过物理手段保护等)。
在机密性框架中用到被保护的环境和被交叠保护的环境两个概念。在被保护环境中的数据,可 通过使用特别的安全机制(或多个机制)保护,在一个被保护环境中的所有数据以类似方法受到保 护。当两个或更多的环境交叠的时候,交叠中的数据能被多重保护。可以推断,从一个环境移到另 一个环境的数据的连续保护必然涉及交叠保护环境。
数据的机密性可以依赖于所驻留和传输的媒体,因此,存储数据的机密性能通过使用隐藏数据 语义(如加密)或将数据分片的机制来保证。数据在传输中的机密性能通过禁止访问的机制,通过 隐藏数据语义的机制或通过分散数据的机制得以保证(如跳频等) 。这些机制类型能被单独使用或 者组合使用。
1)通过禁止访问提供机密性
通过禁止访问的机密性能通过在ITU-TRec.812或ISO/IEC10181-3中描述的访问控制获得, 以及 通过物理媒体保护和路由选择控制获得。通过物理媒体保护的机密性保护,可以采取物理方法,保 证媒体中的数据只能通过特殊的有限设备才能检测到,数据机密性只有通过确保授权的实体才能有 效实现这种机制。通过路由选择控制的机密性保护目的是防止被传输数据项表示的信息未授权而泄 露,在这一机制下只有可信和安全的设施才能路由数据,以达到支持机密性服务的目的。
2)通过加密提供机密性
这种机制的目的是防止在传输或存储中的数据泄露。加密机制分为基于对称的加密机制和基于 非对称加密的机密机制。除了以上两种机密性机制外,还可以通过数据填充、通过虚假事件(如把 在不可信链路上交换的信息流总量隐藏起来),通过保护PDU头和通过时间可变域提供机密性。
5.完整性框架
完整性(Integrity)框架的目的是通过阻止威胁或探测威胁,保护可能遭到不同方式危害的数 据完整性和数据相关属性完整性。所谓完整性,就是数据不以未经授权方式进行改变或损毁的特征。
完整性服务有几种分类方式:根据防范的违规分类,违规操作分为未授权的数据修改、未授权 的数据创建、未授权的数据删除、未授权的数据插入和未授权的数据重放。依据提供的保护方法分 为阻止完整性损坏和检测完整性损坏。依据是否支持恢复机制,分为具有恢复机制的和不具有恢复 机制的。
由于保护数据的能力与正在使用的媒体有关,对于不同的媒体,数据完整性保护机制是有区别的,可概括为以下两种情况。
(1)阻止对媒体访问的机制。包括物理隔离的不受干扰的信道、路由控制、访问控制。
(2)用以探测对数据或数据项序列的非授权修改的机制。未授权修改包括未授权数据创建
数据删除以及数据重放。而相应的完整性机制包括密封、数字签名,数据重复(作为对抗其他 类型违规的手段)、与密码变换相结合的数字指纹和消息序列号。
按照保护强度,完整性机制可分为:
●不做保护:
●对修改和创建的探测;
●对修改、创建、删除和重复的探测;
●对修改和创建的探测并带恢复功能;
●对修改、创建、删除和重复的探测并带恢复功能。 6.抗抵赖性框架
抗抵赖(Non-repudiation)服务包括证据的生成、验证和记录,以及在解决纠纷时随即进行的 证据恢复和再次验证。框架所描述的抗抵赖服务的目的是提供有关特定事件或行为的证据。事件或 行为本身以外的其他实体可以请求抗抵赖服务。抗抵赖服务可以保护的行为实例有发送X.400消息、在数据库中插入记录、请求远程操作等。
当涉及消息内容的抗抵赖服务时,为提供原发证明,必须确认数据原发者身份和数据完整性。 为提供递交证明,必须确认接收者身份和数据完整性。在某些情况下,还可能需要涉及上下文信息 (如日期、时间、原发者/接收者的地点等)的证据。抗抵赖服务提供下列可在试图抵赖的事件中使 用的设备:证据生成、证据记录、验证生成的证据、证据的恢复和重验。纠纷可以在纠纷两方之间 直接通过检查证据解决,也可能不得不通过仲裁者解决, 由仲裁者评估并确定是否发生过有纠纷的 行为或事件。
抗抵赖由4个独立的阶段组成,分别为:证据生成,证据传输、存储及恢复,证据验证和解决 纠纷。
(1)证据生成。在这个阶段中,证据生成请求者请求证据生成者为事件或行为生成证据。卷入 事件或行为中的实体称为证据实体,其卷入关系由证据建立。根据抗抵赖服务的类型,证据可由证 据实体,或与可信第三方的服务一起生成,或者单独由可信第三方生成。
(2)证据传输、存储及恢复。在这个阶段,证据在实体间传输或从存储器取出来或传到存储器。
(3)证据验证。在这个阶段,证据在证据使用者的请求下被证据验证者验证。本阶段的目的是在出现纠纷的事件中,让证据使用者确信被提供的证据确实是充分的。可信第三方服务也可参与, 以提供验证该证据的信息。
(4)解决纠纷。在解决纠纷阶段,仲裁者有解决双方纠纷的责任。
4.7.5数据库系统安全设计
近年来跨网络的分布系统急速发展,在数据库系统中,数据的集中管理产生了多用户存取特性,数据库的安全问题可以说已经成为信息系统最为关键的问题。尤其是,电子政务中所涉及的数 据库密级更高、实时性要求更强,因此,有必要根据其特殊性完善安全策略,这些安全策略应该能 保证数据库中的数据不会被有意地攻击或无意地破坏,不会发生数据的外泄、丢失和毁损,保证数 据库系统安全的完整性、机密性和可用性。从数据库管理系统的角度而言,要解决数据库系统的运 行安全和信息安全,采取的安全策略一般为用户管理、存取控制、数据加密、审计跟踪和攻击检测等。
针对数据库系统安全,我们需重点关注完整性设计。数据库完整性是指数据库中数据的正确性 和相容性。数据库完整性由各种各样的完整性约束来保证,因此可以说数据库完整性设计就是数据 库完整性约束的设计。数据库完整性约束可以通过数据库管理系统(Data base ManagementSystem ,DBMS)或应用程序来实现,基于DBMS的完整性约束作为模式的一部分存入数据库中。
1.数据库完整性设计原则
在实施数据库完整性设计时,需要把握以下7个基本原则。
(1)根据数据库完整性约束的类型确定其实现的系统层次和方式,并提前考虑对系统性能的影 响。一般情况下,静态约束应尽量包含在数据库模式中,而动态约束由应用程序实现。
(2)实体完整性约束和引用完整性约束是关系数据库最重要的完整性约束,在不影响系统关键 性能的前提下需尽量应用。用一定时间和空间来换取系统的易用性是值得的。
(3)要慎用目前主流DBMS都支持的触发器功能,一方面由于触发器的性能开销较大;另一方 面,触发器的多级触发难以控制,容易产生错误,非用不可时,最好使用Before型语句级触发器。
(4)在需求分析阶段就必须制定完整性约束的命名规范,尽量使用有意义的英文单词、缩写 词、表名、列名及下画线等组合,使其易于识别和记忆。如果使用CASE工具,一般有默认的规 则,可在此基础上修改使用。
(5)要根据业务规则对数据库完整性进行细致的测试,以尽早排除隐含的完整性约束间的冲突 和对性能的影响。
(6)要有专职的数据库设计小组, 自始至终负责数据库的分析、设计、测试、实施及早期维 护。数据库设计人员不仅负责基于DBMS的数据库完整性约束的设计实现,还要负责对应用软件实现的数据库完整性约束进行审核。
(7)应采用合适的CASE工具来降低数据库设计各阶段的工作量。好的CASE工具能够支持整 个数据库的生命周期,这将使数据库设计人员的工作效率得到很大提高,同时也容易与用户沟通。
2.数据库完整性的作用
数据库完整性对于数据库应用系统非常关键,其作用主要体现在以下5个方面。
(1)数据库完整性约束能够防止合法用户使用数据库时,向数据库中添加不合语义的数据内 容。
(2)利用基于DBMS的完整性控制机制来实现业务规则,易于定义,容易理解,而且可以降低 应用程序的复杂性,提高应用程序的运行效率。同时, 由于DBMS的完整性控制机制是集中管理的,因此比应用程序更容易实现数据库的完整性。
(3)合理的数据库完整性设计,能够同时兼顾数据库的完整性和系统的效能。例如装载大量数 据时,只要在装载之前临时使基于DBMS的数据库完整性约束失效,此后再使其生效,就
能保证既不影响数据装载的效率又能保证数据库的完整性。
(4)在应用软件的功能测试中,完善数据库完整性有助于尽早发现应用软件的错误。
(5)数据库完整性约束可分为6类:列级静态约束、元组级静态约束、关系级静态约束、列级 动态约束、元组级动态约束和关系级动态约束。动态约束通常由应用软件来实现。不同DBMS支持 的数据库完整性基本相同,某常用关系型数据库系统支持的基于DBMS的完整性约束,如表4-3所 示。
表4-3:某数据库系统支持的基于DBMS的完整性约束
支持的完整性约束 |
对应的完整性约束类型 |
备注 |
非空约束(NotNull) |
列级静态约束 |
|
唯一码约束(UniqueKey) |
列级静态约束 元组级静态约束 |
通过唯一性索引来实现 |
主键约束(PrimaryKey) |
关系静态约束 |
|
引用完整性约束 (Referential) |
关系静态约束 |
可定义5种不同的动作,Restrict 、 SettoNull ,SettoDefault 、Cascade、 NoAction |
检查约束(Check) |
列级静态约束 元组级静态约束 |
可定义在列表或表上 |
| 通过触发器来实现的约束 |
全部6类完整性的要求 |
关系级动态约束可以通过调用包含事务的 存储过程来实现,如果出现性能问题,需 要改由应用软件业实现 |
3.数据库完整性设计示例
一个好的数据库完整性设计,首先需要在需求分析阶段确定要通过数据库完整性约束实现的业 务规则。然后在充分了解特定DBMS提供的完整性控制机制的基础上,依据整个系统的体系结构和 性能要求,遵照数据库设计方法和应用软件设计方法,合理选择每个业务规则的实现方式。最后, 认真测试,排除隐含的约束冲突和性能问题。基于DBMS的数据库完整性设计大体分为需求分析阶 段、概念结构设计阶段和逻辑结构设计阶段。
1)需求分析阶段
经过系统分析员、数据库分析员和用户的共同努力,确定系统模型中应该包含的对象,如人事 及工资管理系统中的部门、员工和经理等,以及各种业务规则。
在完成寻找业务规则的工作之后,确定要作为数据库完整性的业务规则,并对业务规则进行分类。其中作为数据库模式一部分的完整性设计按概念结构设计阶段和逻辑结构设计阶段的过程进行,而由应用软件来实现的数据库完整性设计将按照软件工程的方法进行。
2)概念结构设计阶段
概念结构设计阶段是将依据需求分析的结果转换成一个独立于具体DBMS的概念模型,即实体 关系图(Entity-Relationship Diagram ,ERD) 。在概念结构设计阶段就要开始数据库完整性设计的 实质阶段,因为此阶段的实体关系将在逻辑结构设计阶段转化为实体完整性约束和引用完整性约 束,到逻辑结构设计阶段将完成设计的主要工作
3)逻辑结构设计阶段
此阶段就是将概念结构转换为某个DBMS所支持的数据模型,并对其进行优化,包括对关系模 型的规范化等。此时,依据DBMS提供的完整性约束机制,对尚未加入逻辑结构中的完整性约束列 表,逐条选择合适的方式加以实现。
在逻辑结构设计阶段结束时,作为数据库模式一部分的完整性设计也就基本完成了。每种业务 规则都可能有好几种实现方式,应该选择对数据库性能影响最小的一种,有时需通过实际测试来决 定。
4.7.6安全架构设计案例分析
以某基于混合云的工业安全架构设计为例。
跨区域的安全生产管理是大型集团企业面临的主要生产问题。大型企业希望可以通过云计算平台实现异地的设计、生产、制造、管理和数据处理等,并确保企业内部生产的安全、保密和数据的 完整。
目前,混合云架构往往被大型企业所接受。混合云融合了公有云和私有云,是近年来云计算的 主要模式和发展方向。我们知道私有云主要是面向企业用户,出于安全考虑,企业更愿意将数据存 放在私有云中,但是同时又希望可以获得公有云的计算资源,在这种情况下混合云被越来越多地采 用,它将公有云和私有云进行混合和匹配,以获得最佳的效果,这种个性化的解决方案,达到了既 省钱又安全的目的( 中23下)。
从企业对混合云的需求来看,企业要想将内部服务器与一个或多个混合云架构融合在一起,从 技术上讲是一种挑战,想简单地增加一段代码是无法将虚拟服务器与公有云对接起来的,这涉及潜 在的数据迁移、安全问题,以及建立应用与混合云架构映射等问题。因此,要分析企业究竟想在混 合云架构中放什么,哪些必须保留在混合云架构内部,哪些可以放到混合云中,实际上混合云架构 大量数据都是开放的,所有Web页面以及公司公共站点上的大多数数据都可以放在公有混合云架构 上,需求时能够进行扩展以应对日常的负载模式。
图4-27给出了大型企业采用混合云技术的安全生产管理系统的架构,企业由多个跨区域的智能 工厂和公司总部组成,公司总部负责相关业务的管理、协调和统计分析,而每个智能工厂负责智能 产品的设计与生产制造。智能工厂内部采用私有云实现产品设计、数据共享和生产集成等,公司总 部与智能工厂间采用公有云实现智能工厂间、智能工厂与公司总部间的业务管理、协调和统计分析 等。整个安全生产管理系统架构由三层组成,即设备层、控制层、设计管理层和应用层。设备层主 要是指用于智能工厂生产产品所需的相关设备,包括智能传感器、工业机器人和智能仪器。控制层 主要是指智能工厂生产产品所需要建立的一套自动控制系统,控制智能设备完成生产工作,包括数 据采集与监视控制系统(SCADA)、集散控制系统(DCS)、现场总线控制系统(FCS)、顺序控制系统(PLC)和人机接口(HMI)等。设计管理层是指智能工厂各种开发、业务控制和数据管 理功能的集合,实现数据集成与应用,包括:企业生产信息化管理系统(MES)、计算机辅助设计 /工程/制造(CAD/CAE/CAM)等(统称CAX)、供应链管理(SCM)、企业资源计划管理(ERP)、客户关系管理(CRM)、商业智能分析(BI)和产品生命周期管理系统(PLM) 。应用 层主要是指在云计算平台上进行信息处理,主要涵盖两个核心功能:一是“数据 ”,应用层需要完 成数据的管理和数据的处理;二是“应用 ”,仅仅管理和处理数据还远远不够,必须将这些数据与 行业应用相结合,本系统主要包括定制业务、协同业务和产品服务等。
在设计基于混合云的安全生产管理系统中,需要重点考虑5个方面的安全问题。设备安全、网 络安全、控制安全、应用安全和数据安全。
(1)设备安全。设备安全是指企业(单位)在生产经营活动中,将危险、有害因素控制在安全 范围内,以及减少、预防和消除危害所配置的装置(设备)和采用的设备。安全设备对于保护人类 活动的安全尤为重要。设备安全的保障技术主要包括维护、保养和检测等。
(2)网络安全。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的 或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行。网络安全的保障技术主要 包括防火墙、入侵检测系统部署、漏洞扫描系统和网卡杀毒产品部署等。
(3)控制安全。控制安全主要包括三种措施,其一是减少和消除生产过程中的事故,保证人员 健康安全和财产免受损失;其二是生产过程中涉及的计划、组织、监控、调节和改进等一系列致力 于安全所进行的管理活动,包括安全法规、安全技术和工业卫生等;其三是减少甚至消除事故隐患,尽量把事故消灭在萌芽状态。控制安全的保障技术主要包括冗余、容错、(降级)备份、容灾 等。
(4)应用安全。应用安全顾名思义就是保障应用程序使用过程和结果的安全。简而言之,就是 针对应用程序或工具在使用过程中可能出现计算、传输数据的泄露和失窃,通过其他安全工具或策 略来消除隐患。应用安全的保障技术主要包括服务器报警策略、用户密码策略、用户安全策略、访 问控制策略和时间策略等。
(5)数据安全。数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态, 以及具备保障持续安全状态的能力。要保证数据处理的全过程的安全,就得保证数据在收 集、存储、使用、加工、传输、提供和公开等的每一个环节内的安全。数据安全的保障技术主要包 括对立的两方面:一是数据本身的安全,主要是指采用现代密码算法对数据进行主动保护,如数据 保密、数据完整性、双向强身份认证等;二是数据防护的安全,主要是采用现代信息存储手段对数 据进行主动防护,如通过磁盘阵列、数据备份、异地容灾等手段保证数据的安全。本系统的数据安 全主要分布于各层之间数据交换过程和公有云的数据存储安全。
1 #include "stdio.h"
2 void main()
3 {
4 int time;
5 for (time=1;time<=10;time++)
6 printf("%d、喜欢的帮忙点赞收藏加关注哦!\n",time);
7 }