網(wǎng)絡(luò)信息安全服務(wù)與安全體系結(jié)構(gòu)課件

第二章網(wǎng)絡(luò)信息安全服務(wù)與安全體系結(jié)構(gòu)第二章網(wǎng)絡(luò)信息安全服務(wù)與安全體系結(jié)構(gòu)概要網(wǎng)絡(luò)信息安全服務(wù)機(jī)密性服務(wù)完整性服務(wù)可用性服務(wù)可審性服務(wù)數(shù)字簽名Kerbers鑒別訪問控制安全體系結(jié)構(gòu)系統(tǒng)安全體系結(jié)構(gòu)網(wǎng)絡(luò)安全的分層體系結(jié)構(gòu)（自學(xué)）OSI安全體系結(jié)構(gòu)的安全服務(wù)與安全機(jī)制（自學(xué)）ISO/IEC網(wǎng)絡(luò)安全體系結(jié)構(gòu)（自學(xué)）概要網(wǎng)絡(luò)信息安全服務(wù)1.機(jī)密性服務(wù)機(jī)密性服務(wù)提供信息的保密，可防止非授權(quán)用戶訪問信息必須與可審性服務(wù)配合工作，后者用來標(biāo)識各個訪問者的身份考慮信息所在的形式和狀態(tài)，紙面文件、電子文檔、傳輸中的文件1.文件機(jī)密性紙面文件：物理位置訪問權(quán)限可控電子文件：備份、設(shè)備物理位置訪問權(quán)限、計算機(jī)訪問權(quán)限、文件加密1.機(jī)密性服務(wù)機(jī)密性服務(wù)提供信息的保密，可防止非授權(quán)用戶訪1.機(jī)密性服務(wù)2.信息傳輸機(jī)密性保護(hù)在傳輸中的信息機(jī)密性使用加密保護(hù)傳輸中的信息1.機(jī)密性服務(wù)2.信息傳輸機(jī)密性使用加密保護(hù)傳輸中的信息1.機(jī)密性服務(wù)2.信息傳輸機(jī)密性可對每個報文加密，也可對鏈路上所有通信進(jìn)行加密，加密可以防止竊聽，但不能阻止信息被截獲，為此需要合適的身份標(biāo)識和身份鑒別，確定遠(yuǎn)程端點的身份加密和身份標(biāo)識、身份鑒別的結(jié)合1.機(jī)密性服務(wù)2.信息傳輸機(jī)密性加密和身份標(biāo)識、身份鑒別的1.機(jī)密性服務(wù)3.通信流機(jī)密性不關(guān)心正在傳輸或存儲的信息本身內(nèi)容，只關(guān)心兩個端點之間發(fā)生的通信形式，這些通信形式通過通信分析可識別組織之間的通信情況。兩個端點之間加入模糊（遮掩）信息流可提供通信流機(jī)密性服務(wù)以上三種機(jī)密性可阻止訪問攻擊，它們必須與可審性服務(wù)一起對訪問信息的成員進(jìn)行身份標(biāo)識，以減少非授權(quán)訪問風(fēng)險1.機(jī)密性服務(wù)3.通信流機(jī)密性概要網(wǎng)絡(luò)信息安全服務(wù)機(jī)密性服務(wù)完整性服務(wù)可用性服務(wù)可審性服務(wù)數(shù)字簽名Kerbers鑒別訪問控制安全體系結(jié)構(gòu)系統(tǒng)安全體系結(jié)構(gòu)網(wǎng)絡(luò)安全的分層體系結(jié)構(gòu)（自學(xué)）OSI安全體系結(jié)構(gòu)的安全服務(wù)與安全機(jī)制（自學(xué)）ISO/IEC網(wǎng)絡(luò)安全體系結(jié)構(gòu)（自學(xué)）概要網(wǎng)絡(luò)信息安全服務(wù)2.完整性服務(wù)完整性服務(wù)提供信息的正確性。確定信息是否正確的，未經(jīng)非授權(quán)者修改，如同機(jī)密性服務(wù)一樣，該服務(wù)必須和可審性服務(wù)配合工作。完整性服務(wù)能對抗篡改攻擊。完整性服務(wù)同樣應(yīng)考慮信息所在的形式和狀態(tài)1.文件完整性紙面文件簽名、蓋章、禁止查閱電子文件文件訪問控制，可設(shè)置為只讀通過身份標(biāo)識和身份鑒別來識別企圖修改文件的訪問者數(shù)字簽名2.信息傳輸完整性截獲傳輸中的信息進(jìn)行修改加密方法可阻止大部分篡改攻擊加密與身份標(biāo)識、身份鑒別結(jié)合效果更好2.完整性服務(wù)完整性服務(wù)提供信息的正確性。確定信息是否正確概要網(wǎng)絡(luò)信息安全服務(wù)機(jī)密性服務(wù)完整性服務(wù)可用性服務(wù)可審性服務(wù)數(shù)字簽名Kerbers鑒別訪問控制安全體系結(jié)構(gòu)系統(tǒng)安全體系結(jié)構(gòu)網(wǎng)絡(luò)安全的分層體系結(jié)構(gòu)（自學(xué)）OSI安全體系結(jié)構(gòu)的安全服務(wù)與安全機(jī)制（自學(xué)）ISO/IEC網(wǎng)絡(luò)安全體系結(jié)構(gòu)（自學(xué)）概要網(wǎng)絡(luò)信息安全服務(wù)3.可用性服務(wù)可用性使合法用戶能訪問計算機(jī)系統(tǒng)，存取系統(tǒng)上的信息，運行各種程序1.備份對重要信息進(jìn)行備份。備份是最簡單的可用性服務(wù)，是指對重要信息復(fù)制一份拷貝，并將其存儲在安全的地方。備份的作用是防止意外事件發(fā)生或文件被惡意破壞造成的信息完全丟失。用于備份的安全位置可以是現(xiàn)場防火的地方，也可以是遠(yuǎn)地有物理安全措施的地方。通常備份提供信息可用性，并不需要提供及時的備份。這意味著備份可能從遠(yuǎn)地檢索到，然后傳送到現(xiàn)場，并加載到相應(yīng)的系統(tǒng)3.可用性服務(wù)可用性使合法用戶能訪問計算機(jī)系統(tǒng)，存取系統(tǒng)上3.可用性服務(wù)2.在線恢復(fù)在線恢復(fù)提供信息和能力的重構(gòu)。不同于備份，帶有在線恢復(fù)配置的系統(tǒng)能檢測出故障，并重建諸如處理、信息訪問、通信等能力。它是通過使用冗余硬件自動處理的。通常認(rèn)為在線恢復(fù)是一種立即的重構(gòu)，且無須進(jìn)行配置。冗余系統(tǒng)也可以在現(xiàn)場備用，以便在原始系統(tǒng)發(fā)生故障時再投入使用。這種應(yīng)用方式比大部分立即在線恢復(fù)系統(tǒng)更便宜3.可用性服務(wù)2.在線恢復(fù)3.可用性服務(wù)3.災(zāi)難恢復(fù)災(zāi)難恢復(fù)是針對大的災(zāi)難來保護(hù)系統(tǒng)、信息和能力。災(zāi)難恢復(fù)是當(dāng)整個系統(tǒng)或重要的設(shè)備不可用時采取的重構(gòu)一個組織的進(jìn)程。由上述分析可知，可用性是用來對拒絕服務(wù)攻擊的系統(tǒng)恢復(fù)?？捎眯圆⒉荒茏柚咕芙^服務(wù)攻擊，但可用性服務(wù)可用來減少這類攻擊的影響，并使系統(tǒng)得以在線恢復(fù)、正常運行3.可用性服務(wù)3.災(zāi)難恢復(fù)概要網(wǎng)絡(luò)信息安全服務(wù)機(jī)密性服務(wù)完整性服務(wù)可用性服務(wù)可審性服務(wù)數(shù)字簽名Kerbers鑒別訪問控制安全體系結(jié)構(gòu)系統(tǒng)安全體系結(jié)構(gòu)網(wǎng)絡(luò)安全的分層體系結(jié)構(gòu)（自學(xué)）OSI安全體系結(jié)構(gòu)的安全服務(wù)與安全機(jī)制（自學(xué)）ISO/IEC網(wǎng)絡(luò)安全體系結(jié)構(gòu)（自學(xué)）概要網(wǎng)絡(luò)信息安全服務(wù)4.可審性服務(wù)1.身份標(biāo)識與身份鑒別目的：對試圖執(zhí)行一個功能的每個人的身份進(jìn)行標(biāo)識驗證這些人聲稱的身份方法：知識因子：你知道什么，口令或PIN（Personalidentificationnumber）擁有因子：你有什么，智能卡或標(biāo)記生物因子：你是什么，指紋，視網(wǎng)膜組合使用上面的方法會更有效，如將口令和智能卡結(jié)合使用，通常稱為雙因子身份鑒別4.可審性服務(wù)1.身份標(biāo)識與身份鑒別4.可審性服務(wù)1.身份標(biāo)識與身份鑒別傳統(tǒng)的用于計算機(jī)的身份鑒別機(jī)制是口令。身份標(biāo)識是通過系統(tǒng)管理員設(shè)置的用戶ID聯(lián)系起來。身份標(biāo)識與身份鑒別也有助于計算機(jī)文件訪問控制，以提供計算機(jī)系統(tǒng)電子文件的機(jī)密性和完整性。它對加密和數(shù)字簽名也是重要的。在大多數(shù)情況下，身份標(biāo)識與身份鑒別機(jī)制是一個組織內(nèi)其他安全服務(wù)的關(guān)鍵。如果身份標(biāo)識與身份鑒別失效了，那么完整性和機(jī)密性也無法保證4.可審性服務(wù)1.身份標(biāo)識與身份鑒別4.可審性服務(wù)2.網(wǎng)絡(luò)環(huán)境下的身份鑒別驗證某個通信參與方的身份是否與其聲稱的身份一致的過程，通過身份認(rèn)證協(xié)議來實現(xiàn)。身份認(rèn)證協(xié)議定義了參與認(rèn)證服務(wù)的所有通信方在身份認(rèn)證過程中需要交換的所有信息的格式、信息發(fā)生的次序以及消息的語義，通常采用密碼學(xué)機(jī)制來保證信息的完整性、保密性。1）身份認(rèn)證技術(shù)口令技術(shù)在線攻擊：在線狀態(tài)下對用戶口令進(jìn)行猜測攻擊離線攻擊：通常采用攻擊程序掛字典或隨機(jī)字符序列采用物理形式上的身份認(rèn)證標(biāo)記進(jìn)行身份認(rèn)證的鑒別技術(shù)磁卡、智能卡4.可審性服務(wù)2.網(wǎng)絡(luò)環(huán)境下的身份鑒別4.可審性服務(wù)2）身份認(rèn)證協(xié)議身份認(rèn)證協(xié)議一般有兩個通信方，可能會有一個雙方都信任的第三方參與，一個通信方向另一方或者第三方發(fā)出認(rèn)證請求，對方按照協(xié)議規(guī)定作出響應(yīng)，協(xié)議執(zhí)行完畢時雙方確信對方身份?；诿艽a學(xué)原理的身份認(rèn)證協(xié)議比基于口令或者地址的認(rèn)證更安全分為共享密鑰認(rèn)證、公鑰認(rèn)證和零知識認(rèn)證等幾類會話密鑰：指在一次會話過程中使用的密鑰，一般都是由機(jī)器隨機(jī)生成。實際使用時往往是在一段時間內(nèi)有效，并不真正限制在一次會話過程中，主要用于通信加密共享密鑰認(rèn)證：采用激勵/響應(yīng)技術(shù)實現(xiàn)，密鑰分發(fā)中心（KeyDistributionCenter）為大家所信任，并且與每個網(wǎng)絡(luò)通信方都有一個共享密鑰。網(wǎng)絡(luò)各通信方之間無共享密鑰，KDC負(fù)責(zé)給通信雙方創(chuàng)建和分發(fā)共享密鑰，通信雙發(fā)獲得共享密鑰后利用激勵/響應(yīng)建立信任關(guān)系。4.可審性服務(wù)2）身份認(rèn)證協(xié)議4.可審性服務(wù)2）身份認(rèn)證協(xié)議公鑰認(rèn)證：對方通過密碼運算驗證自己的身份而不需要將自己的私鑰告訴對方。在公鑰算法中，將利用私鑰對明文信息進(jìn)行的變換稱為簽名；將利用公鑰對明文信息進(jìn)行的變換稱為封裝（seal）或者加密。實際網(wǎng)絡(luò)環(huán)境中采用證書（certificate）的方式來分發(fā)公鑰。證書：是一種特殊形式的數(shù)據(jù)記錄，包含有證書代表的通信參與方的名字、身份信息、公鑰以及簽發(fā)機(jī)構(gòu)、簽發(fā)日期、系列號、有效期等相關(guān)數(shù)據(jù)，由證書權(quán)威機(jī)構(gòu)（certificateAuthority，CA）用自己的私鑰進(jìn)行簽名。證書權(quán)威機(jī)構(gòu)是可信第三方，所有公鑰認(rèn)證系統(tǒng)都采用了證書方式，證書被設(shè)計存放在目錄服務(wù)系統(tǒng)中，通信參與方擁有CA的公鑰，可以從目錄服務(wù)中獲得通信對方的證書，通過驗證CA簽名可以相信證書中列出對方的公鑰。公鑰認(rèn)證安全強(qiáng)度高，計算開銷大，所以一般利用公鑰進(jìn)行認(rèn)證和建立對稱的會話密鑰，利用傳統(tǒng)密鑰進(jìn)行數(shù)據(jù)傳輸。4.可審性服務(wù)2）身份認(rèn)證協(xié)議4.可審性服務(wù)3.審計功能審計提供歷史事件的記錄。審計記錄將用戶和其在計算機(jī)系統(tǒng)中的行動聯(lián)系起來計算機(jī)提供的日志記錄用戶ID的行動需要正確的身份標(biāo)識和身份鑒別采用完整性服務(wù)來保證審計記錄沒有被修改過總結(jié)可審行服務(wù)本身不能阻止攻擊，與其他服務(wù)結(jié)合，如機(jī)密性和完整性服務(wù)結(jié)合，對試圖執(zhí)行某些操作者進(jìn)行正確的身份標(biāo)識和身份鑒別可審性服務(wù)提供用戶對系統(tǒng)執(zhí)行的操作記錄4.可審性服務(wù)3.審計功能概要網(wǎng)絡(luò)信息安全服務(wù)機(jī)密性服務(wù)完整性服務(wù)可用性服務(wù)可審性服務(wù)數(shù)字簽名Kerbers鑒別訪問控制安全體系結(jié)構(gòu)系統(tǒng)安全體系結(jié)構(gòu)網(wǎng)絡(luò)安全的分層體系結(jié)構(gòu)（自學(xué)）OSI安全體系結(jié)構(gòu)的安全服務(wù)與安全機(jī)制（自學(xué)）ISO/IEC網(wǎng)絡(luò)安全體系結(jié)構(gòu)（自學(xué)）概要網(wǎng)絡(luò)信息安全服務(wù)5數(shù)字簽名數(shù)字簽名的原理被發(fā)送文件用SHA（SecureHashAlgorithm）編碼加密產(chǎn)生128bit的數(shù)字摘要發(fā)送方用自己的私用密鑰對摘要再加密，這就形成了數(shù)字簽名將原文和加密的摘要同時傳給對方對方用發(fā)送方的公共密鑰對摘要解密，同時對收到的文件用SHA編碼加密產(chǎn)生又一個摘要將解密后的摘要和收到的文件在接收方重新加密產(chǎn)生的摘要相互對比。如兩者一致，則說明傳送過程中信息沒有被破壞或篡改過。文件SHA摘要私鑰數(shù)字簽名發(fā)送方的公鑰摘要SHA摘要比較發(fā)送方接收方5數(shù)字簽名數(shù)字簽名的原理文件SHA摘要私鑰數(shù)字簽名發(fā)送方的5.數(shù)字簽名數(shù)字簽名通信雙方在網(wǎng)上交換信息用公鑰密碼方式來防止偽造和欺騙的一種身份認(rèn)證公鑰密碼，每個用戶有兩個密鑰：公鑰E和私鑰D用戶A向用戶B發(fā)送數(shù)據(jù)m

EaDaEbEaDbEbmDa(m)Eb(Da(m))Db(Eb(Da(m)))Ea(Db(Eb(Da(m))))m用戶A用戶B5.數(shù)字簽名數(shù)字簽名EaDaEbEaDbEbmDa(m)E概要網(wǎng)絡(luò)信息安全服務(wù)機(jī)密性服務(wù)完整性服務(wù)可用性服務(wù)可審性服務(wù)數(shù)字簽名Kerbers鑒別訪問控制安全體系結(jié)構(gòu)系統(tǒng)安全體系結(jié)構(gòu)網(wǎng)絡(luò)安全的分層體系結(jié)構(gòu)（自學(xué)）OSI安全體系結(jié)構(gòu)的安全服務(wù)與安全機(jī)制（自學(xué)）ISO/IEC網(wǎng)絡(luò)安全體系結(jié)構(gòu)（自學(xué)）概要網(wǎng)絡(luò)信息安全服務(wù)6.Kerberos鑒別Kerberos鑒別由麻省理工學(xué)院提出的，是一種使用對稱密鑰加密算法來實現(xiàn)通過可信第三方密鑰分發(fā)中心（KDC）的身份認(rèn)證系統(tǒng)，它提供了通信方之間相互的身份認(rèn)證手段，而且不依賴于主機(jī)的操作系統(tǒng)和地址。設(shè)計目標(biāo)開放網(wǎng)絡(luò)環(huán)境中運行，假設(shè)傳輸?shù)臄?shù)據(jù)包可以被任意截獲、修改和插入。適合物理網(wǎng)絡(luò)環(huán)境并不安全的環(huán)境下使用過程客戶方向服務(wù)器方提交“憑據(jù)”（ticket）來證明自己的身份。憑據(jù)由KDC專門為客戶端和服務(wù)器在某一階段內(nèi)通信而生成，憑據(jù)中包含客戶和服務(wù)器方的身份信息、在下一階段雙方使用的臨時加密密鑰（會話密鑰），還有證明客戶方擁有會話密鑰的身份認(rèn)證者（KDC信息）的信息，身份認(rèn)證者信息的作用是防止攻擊者將來將同樣的憑據(jù)再次使用。憑據(jù)有生命期，僅在一段有限的時間內(nèi)有效，過期后必須從KDC獲得新的憑據(jù)6.Kerberos鑒別Kerberos鑒別由麻省理工學(xué)院概要網(wǎng)絡(luò)信息安全服務(wù)機(jī)密性服務(wù)完整性服務(wù)可用性服務(wù)可審性服務(wù)數(shù)字簽名Kerbers鑒別訪問控制安全體系結(jié)構(gòu)系統(tǒng)安全體系結(jié)構(gòu)網(wǎng)絡(luò)安全的分層體系結(jié)構(gòu)（自學(xué)）OSI安全體系結(jié)構(gòu)的安全服務(wù)與安全機(jī)制（自學(xué)）ISO/IEC網(wǎng)絡(luò)安全體系結(jié)構(gòu)（自學(xué)）概要網(wǎng)絡(luò)信息安全服務(wù)7.訪問控制1.訪問控制概念訪問控制是基于安全策略和安全模型來確定來訪實體是否有訪問權(quán)以及實施訪問權(quán)限的過程。方法訪問矩陣：行代表客體，列代表主體；存儲空間過大訪問控制表（ACL）：按行來存儲矩陣，服務(wù)器上存儲每個對象的授權(quán)訪問者及其權(quán)限的一張表，如一個文檔權(quán)力表：按列來存儲矩陣，每個訪問者存儲有訪問權(quán)利的表，包含能夠訪問的對象和操作權(quán)限，如一個用戶2.訪問控制分類粗粒度訪問控制：對象為主機(jī)中粒度訪問控制細(xì)粒度訪問控制：對象為文件、記錄7.訪問控制1.訪問控制概念7.訪問控制3.實現(xiàn)過程在集中式系統(tǒng)中，操作系統(tǒng)控制著所有訪問對象并且管理所有進(jìn)程，所有操作均在主機(jī)操作系統(tǒng)管理下進(jìn)行。在分布式系統(tǒng)和網(wǎng)絡(luò)環(huán)境中，首先是訪問者和被訪問對象不在一臺主機(jī)上，它們之間的通信路徑可能很長并且中間可能經(jīng)過很多臺主機(jī)，這些主機(jī)的可信賴程度是不同的。因此在進(jìn)行身份認(rèn)證時必須將遠(yuǎn)程用戶和本地用戶加以區(qū)分，在設(shè)置訪問控制權(quán)限時也要區(qū)別對待。例如有些資源只允許用戶在本地進(jìn)行訪問網(wǎng)絡(luò)系統(tǒng)的規(guī)模比集中式系統(tǒng)要大很多，因此不可能由單個主機(jī)來負(fù)責(zé)管理所有用戶以及他們的訪問控制信息。必須有機(jī)制保證應(yīng)用監(jiān)視器與這些用戶管理和訪問控制信息管理的服務(wù)器之間安全地通信，這里涉及訪問控制信息數(shù)據(jù)完整性和對訪問控制服務(wù)器的認(rèn)證協(xié)議等問題為了簡化管理，訪問者通常被分類成組、組織，設(shè)置訪問控制時可以按組進(jìn)行設(shè)定，這樣就可以避免訪問控制表過于龐大7.訪問控制3.實現(xiàn)過程概要網(wǎng)絡(luò)信息安全服務(wù)機(jī)密性服務(wù)完整性服務(wù)可用性服務(wù)可審性服務(wù)數(shù)字簽名Kerbers鑒別訪問控制安全體系結(jié)構(gòu)系統(tǒng)安全體系結(jié)構(gòu)網(wǎng)絡(luò)安全的分層體系結(jié)構(gòu)（自學(xué)）OSI安全體系結(jié)構(gòu)的安全服務(wù)與安全機(jī)制（自學(xué)）ISO/IEC網(wǎng)絡(luò)安全體系結(jié)構(gòu)（自學(xué)）概要網(wǎng)絡(luò)信息安全服務(wù)1.系統(tǒng)安全體系結(jié)構(gòu)1.可信系統(tǒng)體系結(jié)構(gòu)概述確定設(shè)置保護(hù)的位置，是用戶端，還是數(shù)據(jù)存貯的地方確定安全機(jī)制設(shè)置的位置，硬件、內(nèi)核、操作系統(tǒng)、服務(wù)還是程序級硬件層：保護(hù)機(jī)制簡單，廣泛的通用的保護(hù)，粗粒度上層：越是層次上升越復(fù)雜，功能則更專門，粒度越細(xì)，安全機(jī)制的級別越低。安全機(jī)制復(fù)雜性和安全保障的關(guān)系1.系統(tǒng)安全體系結(jié)構(gòu)1.可信系統(tǒng)體系結(jié)構(gòu)概述安全機(jī)制復(fù)雜性和1.系統(tǒng)安全體系結(jié)構(gòu)2.定義主體和客體子集用戶和訪問對象子集3.可信計算基（TrustedComputingBase，TCB）定義為計算機(jī)系統(tǒng)中全部保護(hù)機(jī)制的組合，涉及到軟件、硬件和固件，它建立了一個基本的保護(hù)環(huán)境，并提供一個可信計算系統(tǒng)所要求的附加用戶服務(wù)通常所指的可信計算基是構(gòu)成安全計算機(jī)信息系統(tǒng)的所有安全保護(hù)裝置的組合體(通常稱為安全子系統(tǒng))，以防止不可信主體的干擾和篡改1.系統(tǒng)安全體系結(jié)構(gòu)2.定義主體和客體子集1.系統(tǒng)安全體系結(jié)構(gòu)4.安全邊界不是每個部件和資源都在TCB內(nèi)安全邊界用來區(qū)分可信和不可信通過接口來處理和控制TCB內(nèi)外部件間通信可信部件和非可信部件間通信的接口控制1.系統(tǒng)安全體系結(jié)構(gòu)4.安全邊界可信部件和非可信部件間通信的1.系統(tǒng)安全體系結(jié)構(gòu)5.基準(zhǔn)監(jiān)控器和安全內(nèi)核基準(zhǔn)監(jiān)控器是一個訪問控制概念，協(xié)調(diào)所有的訪問主體和客體，確保主體有必須的訪問權(quán)，以及保護(hù)客體不被非授權(quán)訪問、修改和破壞安全內(nèi)核TCB內(nèi)的一些機(jī)制構(gòu)成，以實施和執(zhí)行基準(zhǔn)監(jiān)控器概念由硬件、固件和軟件組成協(xié)調(diào)主體和客體間的訪問及各種功能是TCB的核心安全內(nèi)核準(zhǔn)則為了執(zhí)行基準(zhǔn)監(jiān)控器概念，安全內(nèi)核必須提供隔離且防篡改的功能對每個訪問企圖，基準(zhǔn)監(jiān)控器必須都行使其職責(zé)，且不可能被侵入。因此，基準(zhǔn)監(jiān)控器必須以完善的、安全的方式實行基準(zhǔn)監(jiān)控器必須是可驗證的，基準(zhǔn)監(jiān)控器所做出的決定都應(yīng)寫成審計日志，并可驗證安全內(nèi)核必須足夠小，可以用完善的、綜合的方法進(jìn)行測試和驗證1.系統(tǒng)安全體系結(jié)構(gòu)5.基準(zhǔn)監(jiān)控器和安全內(nèi)核1.系統(tǒng)安全體系結(jié)構(gòu)6.安全域定義為主體能訪問的客體的集合操作系統(tǒng)工作在特權(quán)模式：更大的工作域，更多可訪問資源，提供更多的功能操作系統(tǒng)工作在用戶模式：工作域小，可訪問資源少安全域與賦予主體的或客體的保護(hù)環(huán)的關(guān)聯(lián)關(guān)系保護(hù)環(huán)越小，特權(quán)越高，安全域越大可信級和安全域的關(guān)系1.系統(tǒng)安全體系結(jié)構(gòu)6.安全域可信級和安全域的關(guān)系1.系統(tǒng)安全體系結(jié)構(gòu)7.資源隔離目的：正確實施訪問控制、審計，決定主體、客體各自所在的域方法：模塊化，能使每個主體和客體可唯一識別、獨立地賦予允許權(quán)，可審計，活動能被精確跟蹤進(jìn)程隔離：通過地址分配實現(xiàn)，如虛擬內(nèi)存技術(shù)、內(nèi)存硬件分段1.系統(tǒng)安全體系結(jié)構(gòu)7.資源隔離1.系統(tǒng)安全體系結(jié)構(gòu)8.安全策略安全策略是一些規(guī)則的集合，指明敏感信息是如何管理、保護(hù)和分布的，確切表達(dá)要實現(xiàn)的安全機(jī)制的目標(biāo)設(shè)置時何種級別。是系統(tǒng)規(guī)范的基礎(chǔ)，提供評估系統(tǒng)的基準(zhǔn)安全策略必須指明什么樣的主體能訪問什么樣的客體，什么樣的行為是可接受的主體只能訪問的安全級別低于或者等于自己的客體1.系統(tǒng)安全體系結(jié)構(gòu)8.安全策略1.系統(tǒng)安全體系結(jié)構(gòu)9.最小特權(quán)在完成某種操作時所賦予網(wǎng)絡(luò)中每個主體（用戶或進(jìn)程）必不可少的特權(quán)原則：應(yīng)限定網(wǎng)絡(luò)中每個主體所必須的最小特權(quán)，確?？赡艿氖鹿省㈠e誤、網(wǎng)絡(luò)部件的篡改等原因造成的損失最小較高特權(quán)只有在需要的時候才運用例：一個人既是班主任也是系主任，管理班級事務(wù)的時候只需要班主任權(quán)限，涉及到系里的工作的時候才使用系主任特權(quán)1.系統(tǒng)安全體系結(jié)構(gòu)9.最小特權(quán)1.系統(tǒng)安全體系結(jié)構(gòu)10.分層、數(shù)據(jù)隱蔽和抽象分層是不同的進(jìn)程工作在不同層的機(jī)制，系統(tǒng)不同層產(chǎn)生不同的功能基本功能在最底層，復(fù)雜的敏感的在較高層層之間通信通過接口實現(xiàn)數(shù)據(jù)隱蔽：一個層的主體沒有接口和另外一層的數(shù)據(jù)通信，則稱該數(shù)據(jù)對該主體是隱蔽的，數(shù)據(jù)隱蔽是相對的客體組合成一個集合（類），當(dāng)一類客體被賦予一定的允許權(quán)，定義可接受的活動，稱為抽象抽象使不同的客體管理更加容易，只需要管理類，不需要管理每個客體例：男生一類，女生一類，男生學(xué)武術(shù)，女生學(xué)刺繡1.系統(tǒng)安全體系結(jié)構(gòu)10.分層、數(shù)據(jù)隱蔽和抽象概要網(wǎng)絡(luò)信息安全服務(wù)機(jī)密性服務(wù)完整性服務(wù)可用性服務(wù)可審性服務(wù)數(shù)字簽名Kerbers鑒別訪問控制安全體系結(jié)構(gòu)系統(tǒng)安全體系結(jié)構(gòu)

網(wǎng)絡(luò)安全的分層體系結(jié)構(gòu)（自學(xué)）OSI安全體系結(jié)構(gòu)的安全服務(wù)與安全機(jī)制（自學(xué)）ISO/IEC網(wǎng)絡(luò)安全體系結(jié)構(gòu)（自學(xué)）概要網(wǎng)絡(luò)信息安全服務(wù)2.網(wǎng)絡(luò)安全體系結(jié)構(gòu)1.不同層次的安全網(wǎng)絡(luò)安全的層次結(jié)構(gòu)表示在各層次設(shè)置屏障以防止攻擊和威脅例：防病毒層次結(jié)構(gòu)：工作站、文件服務(wù)器、郵件服務(wù)器，通過代理服務(wù)器實施過濾文件訪問保護(hù)層次方案：用戶分組授權(quán)，授權(quán)細(xì)化，登錄憑證策略，文件訪問監(jiān)控和審計，物理安全屏障2.網(wǎng)絡(luò)安全體系結(jié)構(gòu)1.不同層次的安全2.網(wǎng)絡(luò)安全體系結(jié)構(gòu)2.網(wǎng)絡(luò)體系結(jié)構(gòu)的觀點不同類型的攻擊存在于不同的層次Ip欺詐（網(wǎng)絡(luò)層）、字典攻擊（應(yīng)用層）、竊聽（數(shù)據(jù)鏈路和物理層）、病毒（應(yīng)用層）觀察出入數(shù)據(jù)流及數(shù)據(jù)如何授權(quán)不同的點如何監(jiān)控不同場合的安全解決方案如何協(xié)同工作網(wǎng)絡(luò)體系結(jié)構(gòu)不同層次的安全防護(hù)

2.網(wǎng)絡(luò)安全體系結(jié)構(gòu)2.網(wǎng)絡(luò)體系結(jié)構(gòu)的觀點網(wǎng)絡(luò)體系結(jié)構(gòu)不同層概要網(wǎng)絡(luò)信息安全服務(wù)機(jī)密性服務(wù)完整性服務(wù)可用性服務(wù)可審性服務(wù)數(shù)字簽名Kerbers鑒別訪問控制安全體系結(jié)構(gòu)系統(tǒng)安全體系結(jié)構(gòu)

網(wǎng)絡(luò)安全的分層體系結(jié)構(gòu)（自學(xué)）OSI安全體系結(jié)構(gòu)（自學(xué)）ISO/IEC網(wǎng)絡(luò)安全體系結(jié)構(gòu)（自學(xué)）概要網(wǎng)絡(luò)信息安全服務(wù)3.OSI安全體系結(jié)構(gòu)1.OSI安全體系結(jié)構(gòu)定義了：5類安全服務(wù)8種特定的安全機(jī)制5種普遍性安全機(jī)制確定了安全服務(wù)與安全機(jī)制的關(guān)系，以及在OSI七層模型中的安全服務(wù)的配置確定了OSI安全體系的安全管理3.OSI安全體系結(jié)構(gòu)1.OSI安全體系結(jié)構(gòu)定義了：3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的5類安全服務(wù)1.鑒別1）對等實體鑒別確認(rèn)有關(guān)的對等實體是所需的實體，由第N層提供時，使N+1層實體確信與之打交道的對等實體正是它所需要的N+1實體用以證明一個或多個連接實體的身份防止實體冒充防止試圖將先前的連接作非授權(quán)的重放可以是雙向的2）數(shù)據(jù)原發(fā)鑒別確認(rèn)收到的數(shù)據(jù)的來源是所要求的由第N層提供時，使N+1層實體確信數(shù)據(jù)來源正是它所要求的對等的N+1實體不能鑒別數(shù)據(jù)單元的重放和篡改3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的5類安全服務(wù)3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的5類安全服務(wù)2.訪問控制防止對資源的未授權(quán)使用，包括防止以未授權(quán)方式使用某一資源。這種服務(wù)提供保護(hù)以對付開放系統(tǒng)互連可訪問資源的非授權(quán)使用。這些資源可以是經(jīng)開放系統(tǒng)互連協(xié)議訪問到的OSI資源或非OSI資源。這種保護(hù)服務(wù)可應(yīng)用于對資源的各種不同類型的訪問（例如，使用通信資源、讀寫或刪除信息資源、處理資源的操作），或應(yīng)用于對某種資源的所有訪問。這種訪問控制要與不同的安全策略協(xié)調(diào)一致3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的5類安全服務(wù)3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的5類安全服務(wù)3.數(shù)據(jù)機(jī)密性這種服務(wù)對數(shù)據(jù)提供保護(hù)，使之不被非授權(quán)地泄露。具體分為以下幾種：1）連接機(jī)密性這種服務(wù)為一次連接上的全部用戶數(shù)據(jù)保證其機(jī)密性。但對于某些使用中的數(shù)據(jù)，或在某些層次上，將所有數(shù)據(jù)（例如加密數(shù)據(jù)或連接請求中的數(shù)據(jù)）都保護(hù)起來反而是不適宜的。2）無連接機(jī)密性這種服務(wù)為單個無連接的N層服務(wù)數(shù)據(jù)單元中的全部N用戶數(shù)據(jù)提供機(jī)密性保護(hù)3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的5類安全服務(wù)3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的5類安全服務(wù)3.數(shù)據(jù)機(jī)密性3）選擇字段機(jī)密性這種服務(wù)為那些被選擇的字段保證其機(jī)密性，這些字段或處于連接的用戶數(shù)據(jù)中，或為單個無連接的服務(wù)數(shù)據(jù)單元中的字段4）通信業(yè)務(wù)流機(jī)密性這種服務(wù)提供的保護(hù)，使得無法通過觀察通信業(yè)務(wù)流推斷出其中的機(jī)密信息3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的5類安全服務(wù)3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的5類安全服務(wù)4.數(shù)據(jù)完整性這種服務(wù)對付主動威脅。在一次連接上，連接開始時使用對某實體的鑒別服務(wù)，并在連接的存活期使用數(shù)據(jù)完整性服務(wù)就能聯(lián)合起來為在此連接上傳送的所有數(shù)據(jù)單元的來源提供確證，為這些數(shù)據(jù)單元的完整性提供確證，例如使用順序號，可為數(shù)據(jù)單元的重放提供檢測。數(shù)據(jù)完整性可分為以下幾種：1）帶恢復(fù)的連接完整性這種服務(wù)為N連接上的所有N用戶數(shù)據(jù)保證其完整性，并檢測整個服務(wù)數(shù)據(jù)單元序列中的數(shù)據(jù)遭到的任何篡改、插入、刪除或同時進(jìn)行補(bǔ)救或恢復(fù)2）無恢復(fù)的連接完整性與上款的服務(wù)相同，只是不做補(bǔ)救或恢復(fù)3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的5類安全服務(wù)3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的5類安全服務(wù)4.數(shù)據(jù)完整性3）選擇字段的連接完整性這種服務(wù)為在一次連接上傳送的N層服務(wù)數(shù)據(jù)單元的N用戶數(shù)據(jù)中的選擇字段保證其完整性，所取形式是確定這些被選字段是否遭受了篡改、插入、刪除或不可用。4）無連接完整性這種服務(wù)當(dāng)由N層提供時，對發(fā)出請求的那個N+1實體提供了完整保護(hù)。這種服務(wù)為單個的無連接的服務(wù)數(shù)據(jù)單元保證其完整性，所取形式可以是一個接收到的服務(wù)數(shù)據(jù)單元是否遭受了篡改。此外，在一定程度上也能提供對連接重放的檢測5）選擇字段無連接完整性這種服務(wù)為單個連接上的服務(wù)數(shù)據(jù)單元中的被選字段保證其完整性，所取形式為被選字段是否遭受了篡改3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的5類安全服務(wù)3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的5類安全服務(wù)5.抗否認(rèn)這種服務(wù)可取如下兩種形式，或兩者之一：1）有數(shù)據(jù)原發(fā)證明的抗否認(rèn)為數(shù)據(jù)的接收者提供數(shù)據(jù)的原發(fā)證據(jù)。防止發(fā)送者不承認(rèn)未發(fā)送過這些數(shù)據(jù)或否認(rèn)其內(nèi)容2）有交付證明的抗否認(rèn)為數(shù)據(jù)的發(fā)送者提供數(shù)據(jù)交付證據(jù)。防止接收者事后不承認(rèn)收到過這些數(shù)據(jù)或否認(rèn)其內(nèi)容3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的5類安全服務(wù)3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的安全機(jī)制1.8種特定的安全機(jī)制本節(jié)所列的8種安全機(jī)制可以設(shè)置在適當(dāng)?shù)腘層上，以提供OSI安全體系結(jié)構(gòu)的某些安全服務(wù)，分述如下。1）加密對數(shù)據(jù)進(jìn)行密碼變換以產(chǎn)生密文。加密可以是不可逆的，在這種情況下，相應(yīng)的解密過程便不能實現(xiàn)了。①加密既能為數(shù)據(jù)提供機(jī)密性，也能為通信業(yè)務(wù)流信息提供機(jī)密性，并且是其他安全機(jī)制中的一部分或?qū)Π踩珯C(jī)制起補(bǔ)充作用。3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的安全機(jī)制3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的安全機(jī)制1.8種特定的安全機(jī)制

1）加密①加密既能為數(shù)據(jù)提供機(jī)密性，也能為通信業(yè)務(wù)流信息提供機(jī)密性，并且是其他安全機(jī)制中的一部分或?qū)Π踩珯C(jī)制起補(bǔ)充作用。大多數(shù)應(yīng)用不要求在多個層加密，加密層的選取主要取決于下列幾個因素：如果要求全通信業(yè)務(wù)流機(jī)密性，那么將選取物理層加密，或傳輸安全手段（例如，適當(dāng)?shù)臄U(kuò)頻技術(shù)）。足夠的物理安全，可信任的路由選擇以及在中繼上的類似機(jī)制能夠滿足所有的機(jī)密性要求。如果要求細(xì)粒度保護(hù)（即對不同應(yīng)用提供不同的密鑰），和抗否認(rèn)或選擇字段保護(hù)，那么將選取表示層加密。由于加密算法耗費大量的處理能力，所以選擇字段保護(hù)是很重要的。在表示層中的加密能提供不帶恢復(fù)的完整性、抗否認(rèn)以及所有的機(jī)密性。3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的安全機(jī)制3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的安全機(jī)制1.8種特定的安全機(jī)制

1）加密①加密既能為數(shù)據(jù)提供機(jī)密性，也能為通信業(yè)務(wù)流信息提供機(jī)密性，并且是其他安全機(jī)制中的一部分或?qū)Π踩珯C(jī)制起補(bǔ)充作用。如果希望實現(xiàn)所有端系統(tǒng)到端系統(tǒng)通信的簡單塊保護(hù)，或希望有一個外部的加密設(shè)備（例如，為了給算法和密鑰加物理保護(hù)，或防止錯誤軟件），那么將選取網(wǎng)絡(luò)層加密。這能夠提供機(jī)密性與不帶恢復(fù)的完整性。雖然在網(wǎng)絡(luò)層不提供恢復(fù)，但傳輸層的正常的恢復(fù)機(jī)制能夠恢復(fù)網(wǎng)絡(luò)層檢測到的攻擊。如果要求帶恢復(fù)的完整性，同時又具有細(xì)粒度保護(hù)，那么將選取傳輸層加密。這能提供機(jī)密性、帶恢復(fù)的完整性或不帶恢復(fù)的完整性。對于今后的實施，不推薦在數(shù)據(jù)鏈路層上加密。當(dāng)關(guān)系到這些主要因素中的兩項或多項時，可能需要在多個層上提供加密。3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的安全機(jī)制3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的安全機(jī)制1.8種特定的安全機(jī)制

1）加密②加密算法可以是可逆的，也可以是不可逆的?？赡婕用芩惴ㄓ袃纱箢悾簩ΨQ（即秘密密鑰）加密。對于這種加密，知道了加密密鑰也就意味著知道了解密密鑰，反之亦然。非對稱（即公開密鑰）加密。對于這種加密，知道了加密密鑰并不意味著也知道了解密密鑰，反之亦然。不可逆加密算法可以使用密鑰，也可以不使用。若使用密鑰，密鑰可以是公開的，也可以是秘密的。③除了某些不可逆加密算法的情況外，加密機(jī)制的存在便意味著要使用密鑰管理機(jī)制。3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的安全機(jī)制3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的安全機(jī)制1.8種特定的安全機(jī)制

2）數(shù)字簽名機(jī)制數(shù)字簽名是附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對數(shù)據(jù)單元所作的密碼變換，這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者確認(rèn)數(shù)據(jù)單元來源和數(shù)據(jù)單元的完整性，并保護(hù)數(shù)據(jù)，防止被人（例如接收者）偽造。數(shù)字簽名機(jī)制確定兩個過程：對數(shù)據(jù)單元簽名；驗證簽過名的數(shù)據(jù)單元。第一個過程使用簽名者所私有的（即獨有的和機(jī)密的）信息。第二個過程所用的規(guī)程與信息是公之于眾的，但不能從它們推斷出該簽名者的私有信息。3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的安全機(jī)制3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的安全機(jī)制1.8種特定的安全機(jī)制

2）數(shù)字簽名機(jī)制數(shù)字簽名機(jī)制具有如下特點：①簽名過程使用簽名者的私有信息作為私鑰，或?qū)?shù)據(jù)單元進(jìn)行加密，或產(chǎn)生出該數(shù)據(jù)單元的一個密碼校驗值。②驗證過程使用公開的規(guī)程與信息來決定該簽名是否是用簽名者的私有信息產(chǎn)生的。③簽名機(jī)制的本質(zhì)特征為該簽名只有使用簽名者的私有信息才能產(chǎn)生出來。因而，當(dāng)該簽名得到驗證后，它能在事后的任何時候向第三方（例如法官或仲裁人）證明只有那個私有信息的惟一擁有者才能產(chǎn)生這個簽名。3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的安全機(jī)制3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的安全機(jī)制1.8種特定的安全機(jī)制

3）訪問控制機(jī)制為了決定和實施一個實體的訪問權(quán)，訪問控制機(jī)制可以使用該實體已鑒別的身份，或使用有關(guān)該實體的信息（例如它與一個已知的實體集的從屬關(guān)系），或使用該實體的權(quán)利。如果這個實體試圖使用非授權(quán)的資源，或者以不正當(dāng)方式使用授權(quán)資源，那么訪問控制功能將拒絕這一企圖，另外還可能產(chǎn)生一個報警信號或記錄它作為安全審計跟蹤的一個部分來報告這一事件。對于無連接數(shù)據(jù)傳輸，發(fā)給發(fā)送者的拒絕訪問的通知只能作為強(qiáng)加于原發(fā)的訪問控制結(jié)果而被提供。3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的安全機(jī)制3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的安全機(jī)制1.8種特定的安全機(jī)制

3）訪問控制機(jī)制訪問控制機(jī)制可以使用下列一種或多種手段。①訪問控制信息庫：保存對等實體的訪問權(quán)限。信息可以由授權(quán)中心保存，或由正被訪問的那個實體保存。信息的形式可以是一個訪問控制表，或是等級結(jié)構(gòu)的矩陣。使用這一手段要預(yù)先假定對等實體的鑒別已得到保證。②鑒別信息：例如口令，對這一信息的占有和出示便證明正在進(jìn)行訪問的實體已被授權(quán)。③權(quán)利：對它的占有和出示便證明有權(quán)訪問由該權(quán)利所規(guī)定的實體或資源，權(quán)利應(yīng)是不可偽造的并以可信賴的方式進(jìn)行運送。④安全標(biāo)記：當(dāng)與一個實體相關(guān)聯(lián)時，這種安全標(biāo)記可用來表示同意或拒絕訪問，通常根據(jù)安全策略而定。3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的安全機(jī)制3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的安全機(jī)制1.8種特定的安全機(jī)制

3）訪問控制機(jī)制訪問控制機(jī)制可應(yīng)用于通信聯(lián)系中的端點，或應(yīng)用于任一中間點。涉及原發(fā)點或任一中間點的訪問控制，是用來決定發(fā)送者是否被授權(quán)與指定的接收者進(jìn)行通信，或是否被授權(quán)使用所要求的通信資源。在無連接數(shù)據(jù)傳輸目的端上的對等級訪問控制機(jī)制的要求在原發(fā)點必須事先知道，還必須記錄在安全管理信息庫中。3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的安全機(jī)制3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的安全機(jī)制1.8種特定的安全機(jī)制

4）數(shù)據(jù)完整性機(jī)制數(shù)據(jù)完整性有兩個方面：單個數(shù)據(jù)單元或字段的完整性和數(shù)據(jù)單元流或字段流的完整性。一般來說，用來提供這兩種類型完整性服務(wù)的機(jī)制是不相同的。決定單個數(shù)據(jù)單元的完整性涉及兩個過程，一個在發(fā)送實體上，一個在接收實體上。發(fā)送實體給數(shù)據(jù)單元附加一個量，這個量為該數(shù)據(jù)的函數(shù)。這個量可以是分組校驗碼那樣的補(bǔ)充信息，或是一個密碼校驗值，而且它本身可以被加密。接收實體產(chǎn)生一個相應(yīng)的量，確定這個量中的數(shù)據(jù)是否在傳送中被篡改過。3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的安全機(jī)制3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的安全機(jī)制1.8種特定的安全機(jī)制

4）數(shù)據(jù)完整性機(jī)制單靠這種機(jī)制不能防止單個數(shù)據(jù)單元的重放。在網(wǎng)絡(luò)體系結(jié)構(gòu)的適當(dāng)層上，操作檢測可能在本層或較高層上起到恢復(fù)作用（例如，重傳或糾錯）。對于連接方式數(shù)據(jù)傳送，保護(hù)數(shù)據(jù)單元序列的完整性（即防止亂序、數(shù)據(jù)的丟失、重放、插入或篡改）還另外需要某種明顯的排序形式，例如，順序號、時間標(biāo)記或密碼鏈。對于無連接數(shù)據(jù)傳送，時間標(biāo)記可以用來在一定程度上提供保護(hù)，防止個別數(shù)據(jù)單元的重放。3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的安全機(jī)制3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的安全機(jī)制1.8種特定的安全機(jī)制

5）鑒別交換機(jī)制可用于鑒別交換的一些技術(shù)是：使用鑒別信息，例如口令，由發(fā)送實體提供而由接收實體驗證；密碼技術(shù)；使用該實體的特征或占有物。這種機(jī)制可設(shè)置在N層以提供對等實體鑒別。如果在鑒別實體時，這一機(jī)制得到否定的結(jié)果，就會導(dǎo)致連接的拒絕或終止，也可能使在安全審計跟蹤中增加一個記錄，或給安全管理中心一個報告。當(dāng)采用密碼技術(shù)時，這些技術(shù)可以與“握手”協(xié)議結(jié)合起來以防止重放（即確保存活期）。鑒別交換技術(shù)的選用取決于使用它們的環(huán)境。在許多場合，它們必須與下列各項結(jié)合使用：時間標(biāo)記與同步時鐘；雙方握手和三方握手（分別對應(yīng)于單方鑒別和相互鑒別）；由數(shù)字簽名和公證機(jī)制實現(xiàn)的抗否認(rèn)服務(wù)3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的安全機(jī)制3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的安全機(jī)制1.8種特定的安全機(jī)制

6）通信業(yè)務(wù)填充機(jī)制通信業(yè)務(wù)填充機(jī)制能用來提供各種不同級別的保護(hù)，對抗通信業(yè)務(wù)分析。這種機(jī)制只有在通信業(yè)務(wù)填充受到機(jī)制服務(wù)保護(hù)時才是有效的。3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的安全機(jī)制3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的安全機(jī)制1.8種特定的安全機(jī)制

7）路由選擇控制機(jī)制路由選擇控制機(jī)制具有以下特點：①路由能動態(tài)地或預(yù)定地選取，以便只使用物理上安全的子網(wǎng)絡(luò)、中繼站或鏈路。②在檢測到持續(xù)的操作攻擊時，端系統(tǒng)可以指示網(wǎng)絡(luò)服務(wù)的提供者經(jīng)不同的路由建立連接。③帶有某些安全標(biāo)記的數(shù)據(jù)可能被安全策略禁止通過某些子網(wǎng)絡(luò)、中繼站或鏈路。連接的發(fā)起者（或無連接數(shù)據(jù)單元的發(fā)送者）可以指定路由選擇說明，由它請求回避某些特定的子網(wǎng)絡(luò)、中繼站或鏈路。3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的安全機(jī)制3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的安全機(jī)制1.8種特定的安全機(jī)制

8）公證機(jī)制有關(guān)在兩個或多個實體之間通信的數(shù)據(jù)的性質(zhì)，如它的完整性、原發(fā)、時間和目的地等能夠借助公證機(jī)制得到確保。這種保證是由第三方公證人提供的。公證人為通信實體所信任，并掌握必要信息以一種可證實方式提供所需的保證。每個通信事例可使用數(shù)字簽名、加密和完整性機(jī)制以適應(yīng)公證人提供的那種服務(wù)。當(dāng)這種公證機(jī)制被用到時，數(shù)據(jù)便在參與通信的實體之間經(jīng)由受保護(hù)的通信實體和公證方進(jìn)行通信。3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的安全機(jī)制3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的安全機(jī)制2.5種普遍性安全機(jī)制

普遍性安全機(jī)制不是為任何特定的服務(wù)而特設(shè)的，因此在任一特定的層上，對它們都不作明確的說明。某些普遍性安全機(jī)制可認(rèn)為屬于安全管理方面。普遍性安全機(jī)制可分為以下幾種:

1）可信功能度可信功能度可以擴(kuò)充其他安全機(jī)制的范圍，或建立這些安全機(jī)制的有效性；可以保證對硬件與軟件寄托信任的手段已超出本標(biāo)準(zhǔn)的范圍，而且在任何情況下，這些手段隨已察覺到的威脅的級別和被保護(hù)信息的價值而改變。一般說來，這些手段的代價高而且難于實現(xiàn)。解決辦法是選取一個體系結(jié)構(gòu)，它允許安全功能在一些模塊中實現(xiàn)，這些模塊能與非安全功能分開來制作，并由非安全功能來提供。應(yīng)用于一個層而對該層之上的聯(lián)系所作的任何保護(hù)必須由另外的手段來提供，例如通過適當(dāng)?shù)目尚殴δ芏取?.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的安全機(jī)制3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的8種特定的安全機(jī)制2.5種普遍性安全機(jī)制2）安全標(biāo)記安全標(biāo)記是與某一資源（可以是數(shù)據(jù)單元）密切相關(guān)聯(lián)的標(biāo)記，為該資源命名或指定安全屬性（這種標(biāo)記或約束可以是明顯的，也可以是隱含的）。包含數(shù)據(jù)項的資源可能具有與這些數(shù)據(jù)相關(guān)聯(lián)的安全標(biāo)記，例如指明數(shù)據(jù)敏感性級別的標(biāo)記。常常必須在傳送中與數(shù)據(jù)一起運送適當(dāng)?shù)陌踩珮?biāo)記。安全標(biāo)記可能是與被傳送的數(shù)據(jù)相連的附加數(shù)據(jù)，也可能是隱含的信息。例如，使用一個特定密鑰加密數(shù)據(jù)所隱含的信息，或由該數(shù)據(jù)的上下文所隱含的信息。明顯的安全標(biāo)記必須是清晰可辨的，以便對它們作適當(dāng)?shù)尿炞C。此外，它們還必須安全可靠地依附于與之關(guān)聯(lián)的數(shù)據(jù)。3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的8種特定的安全機(jī)3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的8種特定的安全機(jī)制2.5種普遍性安全機(jī)制 3）事件檢測與安全有關(guān)的事件檢測包括對安全明顯事件的檢測，也可以包括對“正常”事件的檢測，例如，一次成功的訪問（或注冊）。與安全有關(guān)的事件的檢測可由OSI內(nèi)部含有安全機(jī)制的實體來做。構(gòu)成一個事件的技術(shù)規(guī)范由事件處置管理來維護(hù)。對各種安全事件的檢測，可能引起一個或多個如下動作：在本地報告這一事件；遠(yuǎn)程報告這一事件；對事件作記錄；進(jìn)行恢復(fù)。這種安全事件的例子為：特定的安全侵害；特定的選擇事件；對事件發(fā)生次數(shù)計數(shù)的溢出。這一領(lǐng)域的標(biāo)準(zhǔn)化將考慮對事件報告與事件記錄有關(guān)信息的傳輸，以及為了傳輸事件報告與事件記錄所使用的語法和語義的定義。3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的8種特定的安全機(jī)3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的8種特定的安全機(jī)制2.5種普遍性安全機(jī)制

4）安全審計跟蹤安全審計就是對系統(tǒng)的記錄與行為進(jìn)行獨立的評估考查，目的是測試系統(tǒng)的控制是否恰當(dāng)，保證與既定策略和操作的協(xié)調(diào)一致，有助于做出損害評估，以及對在控制、策略與規(guī)程中指明的改變做出評價。其目的在于：①安全審計跟蹤提供了一種不可忽視的安全機(jī)制，它的潛在價值在于經(jīng)事后的安全審計可以檢測和調(diào)查安全的漏洞。安全審計要求在安全審計跟蹤中記錄有關(guān)安全的信息，分析和報告從安全審計跟蹤中得來的信息。這種日志或記錄被認(rèn)為是一種安全機(jī)制并予以描述，而把分析和報告視為一種安全管理功能。3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的8種特定的安全機(jī)3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的8種特定的安全機(jī)制2.5種普遍性安全機(jī)制

4）安全審計跟蹤②搜集審計跟蹤的信息，通過列舉被記錄的安全事件的類別（例如對安全要求的明顯違反或成功操作的完成），能適應(yīng)各種不同的需要。安全審計可對某些潛在的侵犯安全的攻擊源起到威懾作用。③OSI安全審計跟蹤將考慮要選擇記錄什么信息、在什么條件下記錄信息，以及為了交換安全審計跟蹤信息所采用的語法和語義定義。3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的8種特定的安全機(jī)3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的8種特定的安全機(jī)制2.5種普遍性安全機(jī)制 5）安全恢復(fù)安全恢復(fù)處理來自諸如事件處置與管理功能等機(jī)制的請求，并把恢復(fù)動作當(dāng)作是應(yīng)用一組規(guī)則的結(jié)果。恢復(fù)動作可能有3種：立即動作，可能造成操作的立即放棄，如斷開；暫時動作，可能使一個實體暫時無效；長期動作，可能是把一個實體記入“黑名單”，或改變密鑰。對于標(biāo)準(zhǔn)化的課題包括恢復(fù)動作的協(xié)議，以及安全恢復(fù)管理的協(xié)議。3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的8種特定的安全機(jī)3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的8種特定的安全機(jī)制3.三維信息系統(tǒng)安全體系結(jié)構(gòu)框架三維信息系統(tǒng)安全體系結(jié)構(gòu)框架反應(yīng)了信息系統(tǒng)安全需求和體系結(jié)構(gòu)的共性安全特征是基于ISO7498-2的5種安全服務(wù)身份鑒別、訪問控制、數(shù)據(jù)保密、數(shù)據(jù)完整、不可抵賴以及審計管理和可用性系統(tǒng)單元包括信息處理單元、網(wǎng)絡(luò)系統(tǒng)、安全管理及物理和行政環(huán)境OSI模型結(jié)構(gòu)層次三維信息系統(tǒng)安全體系結(jié)構(gòu)框3.OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)的8種特定的安全機(jī)概要網(wǎng)絡(luò)信息安全服務(wù)機(jī)密性服務(wù)完整性服務(wù)可用性服務(wù)可審性服務(wù)數(shù)字簽名Kerbers鑒別訪問控制安全體系結(jié)構(gòu)系統(tǒng)安全體系結(jié)構(gòu)網(wǎng)絡(luò)安全的分層體系結(jié)構(gòu)（自學(xué)）OSI安全體系結(jié)構(gòu)（自學(xué)）ISO/IEC網(wǎng)絡(luò)安全體系結(jié)構(gòu)（自學(xué)）概要網(wǎng)絡(luò)信息安全服務(wù)4.ISO/IEC安全體系結(jié)構(gòu)1.ISO/IEC安全體系結(jié)構(gòu)參考模型ISO（國際標(biāo)準(zhǔn)化組織）和IEC（國際電氣委員會）定義的一個標(biāo)準(zhǔn)安全結(jié)構(gòu)，描述支持網(wǎng)絡(luò)安全規(guī)劃、設(shè)計和實施的一致框架，以提供端到端的網(wǎng)絡(luò)安全。該結(jié)構(gòu)能應(yīng)用到考慮端到端安全的各種網(wǎng)絡(luò)，并獨立于網(wǎng)絡(luò)的實施技術(shù)應(yīng)對服務(wù)提供者、企業(yè)、消費者所面民的全球安全挑戰(zhàn)，可適用于任何類型的現(xiàn)代網(wǎng)絡(luò)，包括無線、光纖、語音、數(shù)據(jù)和綜合業(yè)務(wù)網(wǎng)，關(guān)注網(wǎng)絡(luò)基礎(chǔ)設(shè)施、服務(wù)和應(yīng)用的管理、控制和使用的安全。提供了一個綜合的、自下而上的、端到端的網(wǎng)絡(luò)安全視角，能應(yīng)用到各種綜合的網(wǎng)絡(luò)部件、服務(wù)和應(yīng)用以預(yù)測、檢測和校正網(wǎng)絡(luò)脆弱性參考模型將一組復(fù)雜的端到端的網(wǎng)絡(luò)安全相關(guān)的特性邏輯上分解成各個結(jié)構(gòu)組成，從而生成端到端安全的有序的方案，即可用于評估生成現(xiàn)存網(wǎng)絡(luò)的安全，也可用于規(guī)劃新的安全方案4.ISO/IEC安全體系結(jié)構(gòu)1.ISO/IEC安全體系結(jié)4.ISO/IEC安全體系結(jié)構(gòu)1.ISO/IEC安全體系結(jié)構(gòu)參考模型ISO安全體系結(jié)構(gòu)參考模型由3個結(jié)構(gòu)組件構(gòu)成安全維、安全層、安全面1）安全維在風(fēng)險管理的進(jìn)程中，確定合適的安全度量來管理或緩解評估的風(fēng)險，安全維列出了一組安全度量，這些安全度量用于實施網(wǎng)絡(luò)安全的某一特定方面的安全控制措施。①訪問控制②身份鑒別③不可否認(rèn)④數(shù)據(jù)保密⑤通信流安全⑥數(shù)據(jù)完整性⑦可用性⑧隱私4.ISO/IEC安全體系結(jié)構(gòu)1.ISO/IEC安全體系結(jié)4.ISO/IEC安全體系結(jié)構(gòu)1.ISO/IEC安全體系結(jié)構(gòu)參考模型安全維、安全層、安全面2）安全層為了提供端到端的安全解決方案，安全維必須應(yīng)用到網(wǎng)絡(luò)設(shè)備和設(shè)施的層次結(jié)構(gòu)上，稱為安全層。ISO參考體系結(jié)構(gòu)定義了3個層：①基礎(chǔ)設(shè)施安全層②服務(wù)安全層③應(yīng)用安全層4.ISO/IEC安全體系結(jié)構(gòu)1.ISO/IEC安全體系結(jié)4.ISO/IEC安全體系結(jié)構(gòu)1.ISO/IEC安全體系結(jié)構(gòu)參考模型安全維、安全層、安全面2）安全層安全層提供網(wǎng)絡(luò)安全的層次解決方案，基礎(chǔ)設(shè)施安全層曾支持服務(wù)安全層，服務(wù)安全層支持應(yīng)用安全層，參考安全體系結(jié)構(gòu)論述了每個層的不同的安全脆弱性以及各種潛在的安全威脅安全層標(biāo)識在產(chǎn)品的何處必須考慮安全，并且提供網(wǎng)絡(luò)的有序解決方案自下而上按層考慮，安全維是每個安全層需要解決的范圍安全維應(yīng)用到安全層

4.ISO/IEC安全體系結(jié)構(gòu)1.ISO/IEC安全體系結(jié)4.ISO/IEC安全體系結(jié)構(gòu)1.ISO/IEC安全體系結(jié)構(gòu)參考模型安全維、安全層、安全面2）安全層基礎(chǔ)設(shè)施安全層包括網(wǎng)絡(luò)傳輸設(shè)備和哥哥網(wǎng)絡(luò)部件組成，后者由實施安全維的機(jī)制保護(hù)服務(wù)安全層設(shè)計服務(wù)提供者給客戶提供的服務(wù)安全，包括從基本的連接和傳輸服務(wù)到為了提供Internet訪問必需的一些服務(wù)（身份鑒別、授權(quán)、賬戶服務(wù)、DHCP、DNS等）以及諸如VPN、QoS等增值服務(wù)，服務(wù)提供者和客戶都是潛在供給目標(biāo)應(yīng)用安全層集中在服務(wù)提供者的客戶訪問的基于網(wǎng)絡(luò)應(yīng)用的安全，用用包括文件傳送FTP、WEB應(yīng)用、語音文字消息、電子郵件、客戶關(guān)系管理系統(tǒng)、電子商務(wù)等?；诰W(wǎng)絡(luò)的應(yīng)用可以由第三方應(yīng)用服務(wù)提供者（ASPs）提供。應(yīng)用安全層的潛在攻擊沒標(biāo)：用戶、應(yīng)用提供者、第三方集成者提供的中間件及服務(wù)提供者4.ISO/IEC安全體系結(jié)構(gòu)1.ISO/IEC安全體系結(jié)4.ISO/IEC安全體系結(jié)構(gòu)1.ISO/IEC安全體系結(jié)構(gòu)參考模型安全維、安全層、安全面3）安全面安全面為了實施安全維的機(jī)制所保護(hù)的某種類型的網(wǎng)絡(luò)活動。參考模型定了定義了3個層，表示作用在網(wǎng)絡(luò)的3種保護(hù)活動的類型：①管理安全面②控制安全面③最終用戶安全面這些安全面設(shè)計和網(wǎng)絡(luò)管理活動、網(wǎng)絡(luò)控制或信令活動及最終用戶相關(guān)的活動的特定的安全需求4.ISO/IEC安全體系結(jié)構(gòu)1.ISO/IEC安全體系結(jié)4.ISO/IEC安全體系結(jié)構(gòu)1.ISO/IEC安全體系結(jié)構(gòu)參考模型安全維、安全層、安全面3）安全面管理安全面：考慮保護(hù)各網(wǎng)絡(luò)部件傳輸設(shè)施、后被系統(tǒng)（運行支持系統(tǒng)、業(yè)務(wù)支持系統(tǒng)、客戶提示系統(tǒng)）及數(shù)據(jù)中心的OAM/SP功能管理安全面全面支持故障、能力、管理、規(guī)定和安全功能反映不同網(wǎng)絡(luò)活動類型的安全面

4.ISO/IEC安全體系結(jié)構(gòu)1.ISO/IEC安全體系結(jié)4.ISO/IEC安全體系結(jié)構(gòu)1.ISO/IEC安全體系結(jié)構(gòu)參考模型安全維、安全層、安全面3）安全面控制安全面：是考慮保護(hù)能在網(wǎng)上有效傳遞信息、服務(wù)和應(yīng)用的活動。如：對機(jī)器到機(jī)器的信息通信應(yīng)允許路由器、交換機(jī)決定如何在傳輸網(wǎng)上實現(xiàn)最佳的路由和交換通信，這類信息歸結(jié)為控制或信令信息反映不同網(wǎng)絡(luò)活動類型的安全面

4.ISO/IEC安全體系結(jié)構(gòu)1.ISO/IEC安全體系結(jié)4.ISO/IEC安全體系結(jié)構(gòu)1.ISO/IEC安全體系結(jié)構(gòu)參考模型安全維、安全層、安全面3）安全面最終用戶安全面：涉及客戶訪問和使用服務(wù)提供者網(wǎng)絡(luò)的安全。同時也考慮保護(hù)用戶的數(shù)據(jù)流。最終用戶使用網(wǎng)絡(luò)可以指示提供連接，也可能用于諸如VPNs這類增值服務(wù)，也可能用來訪問基于網(wǎng)絡(luò)的應(yīng)用。反映不同網(wǎng)絡(luò)活動類型的安全面

4.ISO/IEC安全體系結(jié)構(gòu)1.ISO/IEC安全體系結(jié)4.ISO/IEC安全體系結(jié)構(gòu)安全體系結(jié)構(gòu)參考模型的應(yīng)用自學(xué)內(nèi)容，參考書99~105頁4.ISO/IEC安全體系結(jié)構(gòu)安全體系結(jié)構(gòu)參考模型的應(yīng)用第二章網(wǎng)絡(luò)信息安全服務(wù)與安全體系結(jié)構(gòu)第二章網(wǎng)絡(luò)信息安全服務(wù)與安全體系結(jié)構(gòu)概要網(wǎng)絡(luò)信息安全服務(wù)機(jī)密性服務(wù)完整性服務(wù)可用性服務(wù)可審性服務(wù)數(shù)字簽名Kerbers鑒別訪問控制安全體系結(jié)構(gòu)系統(tǒng)安全體系結(jié)構(gòu)網(wǎng)絡(luò)安全的分層體系結(jié)構(gòu)（自學(xué)）OSI安全體系結(jié)構(gòu)的安全服務(wù)與安全機(jī)制（自學(xué)）ISO/IEC網(wǎng)絡(luò)安全體系結(jié)構(gòu)（自學(xué)）概要網(wǎng)絡(luò)信息安全服務(wù)1.機(jī)密性服務(wù)機(jī)密性服務(wù)提供信息的保密，可防止非授權(quán)用戶訪問信息必須與可審性服務(wù)配合工作，后者用來標(biāo)識各個訪問者的身份考慮信息所在的形式和狀態(tài)，紙面文件、電子文檔、傳輸中的文件1.文件機(jī)密性紙面文件：物理位置訪問權(quán)限可控電子文件：備份、設(shè)備物理位置訪問權(quán)限、計算機(jī)訪問權(quán)限、文件加密1.機(jī)密性服務(wù)機(jī)密性服務(wù)提供信息的保密，可防止非授權(quán)用戶訪1.機(jī)密性服務(wù)2.信息傳輸機(jī)密性保護(hù)在傳輸中的信息機(jī)密性使用加密保護(hù)傳輸中的信息1.機(jī)密性服務(wù)2.信息傳輸機(jī)密性使用加密保護(hù)傳輸中的信息1.機(jī)密性服務(wù)2.信息傳輸機(jī)密性可對每個報文加密，也可對鏈路上所有通信進(jìn)行加密，加密可以防止竊聽，但不能阻止信息被截獲，為此需要合適的身份標(biāo)識和身份鑒別，確定遠(yuǎn)程端點的身份加密和身份標(biāo)識、身份鑒別的結(jié)合1.機(jī)密性服務(wù)2.信息傳輸機(jī)密性加密和身份標(biāo)識、身份鑒別的1.機(jī)密性服務(wù)3.通信流機(jī)密性不關(guān)心正在傳輸或存儲的信息本身內(nèi)容，只關(guān)心兩個端點之間發(fā)生的通信形式，這些通信形式通過通信分析可識別組織之間的通信情況。兩個端點之間加入模糊（遮掩）信息流可提供通信流機(jī)密性服務(wù)以上三種機(jī)密性可阻止訪問攻擊，它們必須與可審性服務(wù)一起對訪問信息的成員進(jìn)行身份標(biāo)識，以減少非授權(quán)訪問風(fēng)險1.機(jī)密性服務(wù)3.通信流機(jī)密性概要網(wǎng)絡(luò)信息安全服務(wù)機(jī)密性服務(wù)完整性服務(wù)可用性服務(wù)可審性服務(wù)數(shù)字簽名Kerbers鑒別訪問控制安全體系結(jié)構(gòu)系統(tǒng)安全體系結(jié)構(gòu)網(wǎng)絡(luò)安全的分層體系結(jié)構(gòu)（自學(xué)）OSI安全體系結(jié)構(gòu)的安全服務(wù)與安全機(jī)制（自學(xué)）ISO/IEC網(wǎng)絡(luò)安全體系結(jié)構(gòu)（自學(xué)）概要網(wǎng)絡(luò)信息安全服務(wù)2.完整性服務(wù)完整性服務(wù)提供信息的正確性。確定信息是否正確的，未經(jīng)非授權(quán)者修改，如同機(jī)密性服務(wù)一樣，該服務(wù)必須和可審性服務(wù)配合工作。完整性服務(wù)能對抗篡改攻擊。完整性服務(wù)同樣應(yīng)考慮信息所在的形式和狀態(tài)1.文件完整性紙面文件簽名、蓋章、禁止查閱電子文件文件訪問控制，可設(shè)置為只讀通過身份標(biāo)識和身份鑒別來識別企圖修改文件的訪問者數(shù)字簽名2.信息傳輸完整性截獲傳輸中的信息進(jìn)行修改加密方法可阻止大部分篡改攻擊加密與身份標(biāo)識、身份鑒別結(jié)合效果更好2.完整性服務(wù)完整性服務(wù)提供信息的正確性。確定信息是否正確概要網(wǎng)絡(luò)信息安全服務(wù)機(jī)密性服務(wù)完整性服務(wù)可用性服務(wù)可審性服務(wù)數(shù)字簽名Kerbers鑒別訪問控制安全體系結(jié)構(gòu)系統(tǒng)安全體系結(jié)構(gòu)網(wǎng)絡(luò)安全的分層體系結(jié)構(gòu)（自學(xué)）OSI安全體系結(jié)構(gòu)的安全服務(wù)與安全機(jī)制（自學(xué)）ISO/IEC網(wǎng)絡(luò)安全體系結(jié)構(gòu)（自學(xué)）概要網(wǎng)絡(luò)信息安全服務(wù)3.可用性服務(wù)可用性使合法用戶能訪問計算機(jī)系統(tǒng)，存取系統(tǒng)上的信息，運行各種程序1.備份對重要信息進(jìn)行備份。備份是最簡單的可用性服務(wù)，是指對重要信息復(fù)制一份拷貝，并將其存儲在安全的地方。備份的作用是防止意外事件發(fā)生或文件被惡意破壞造成的信息完全丟失。用于備份的安全位置可以是現(xiàn)場防火的地方，也可以是遠(yuǎn)地有物理安全措施的地方。通常備份提供信息可用性，并不需要提供及時的備份。這意味著備份可能從遠(yuǎn)地檢索到，然后傳送到現(xiàn)場，并加載到相應(yīng)的系統(tǒng)3.可用性服務(wù)可用性使合法用戶能訪問計算機(jī)系統(tǒng)，存取系統(tǒng)上3.可用性服務(wù)2.在線恢復(fù)在線恢復(fù)提供信息和能力的重構(gòu)。不同于備份，帶有在線恢復(fù)配置的系統(tǒng)能檢測出故障，并重建諸如處理、信息訪問、通信等能力。它是通過使用冗余硬件自動處理的。通常認(rèn)為在線恢復(fù)是一種立即的重構(gòu)，且無須進(jìn)行配置。冗余系統(tǒng)也可以在現(xiàn)場備用，以便在原始系統(tǒng)發(fā)生故障時再投入使用。這種應(yīng)用方式比大部分立即在線恢復(fù)系統(tǒng)更便宜3.可用性服務(wù)2.在線恢復(fù)3.可用性服務(wù)3.災(zāi)難恢復(fù)災(zāi)難恢復(fù)是針對大的災(zāi)難來保護(hù)系統(tǒng)、信息和能力。災(zāi)難恢復(fù)是當(dāng)整個系統(tǒng)或重要的設(shè)備不可用時采取的重構(gòu)一個組織的進(jìn)程。由上述分析可知，可用性是用來對拒絕服務(wù)攻擊的系統(tǒng)恢復(fù)?？捎眯圆⒉荒茏柚咕芙^服務(wù)攻擊，但可用性服務(wù)可用來減少這類攻擊的影響，并使系統(tǒng)得以在線恢復(fù)、正常運行3.可用性服務(wù)3.災(zāi)難恢復(fù)概要網(wǎng)絡(luò)信息安全服務(wù)機(jī)密性服務(wù)完整性服務(wù)可用性服務(wù)可審性服務(wù)數(shù)字簽名Kerbers鑒別訪問控制安全體系結(jié)構(gòu)系統(tǒng)安全體系結(jié)構(gòu)網(wǎng)絡(luò)安全的分層體系結(jié)構(gòu)（自學(xué)）OSI安全體系結(jié)構(gòu)的安全服務(wù)與安全機(jī)制（自學(xué)）ISO/IEC網(wǎng)絡(luò)安全體系結(jié)構(gòu)（自學(xué)）概要網(wǎng)絡(luò)信息安全服務(wù)4.可審性服務(wù)1.身份標(biāo)識與身份鑒別目的：對試圖執(zhí)行一個功能的每個人的身份進(jìn)行標(biāo)識驗證這些人聲稱的身份方法：知識因子：你知道什么，口令或PIN（Personalidentificationnumber）擁有因子：你有什么，智能卡或標(biāo)記生物因子：你是什么，指紋，視網(wǎng)膜組合使用上面的方法會更有效，如將口令和智能卡結(jié)合使用，通常稱為雙因子身份鑒別4.可審性服務(wù)1.身份標(biāo)識與身份鑒別4.可審性服務(wù)1.身份標(biāo)識與身份鑒別傳統(tǒng)的用于計算機(jī)的身份鑒別機(jī)制是口令。身份標(biāo)識是通過系統(tǒng)管理員設(shè)置的用戶ID聯(lián)系起來。身份標(biāo)識與身份鑒別也有助于計算機(jī)文件訪問控制，以提供計算機(jī)系統(tǒng)電子文件的機(jī)密性和完整性。它對加密和數(shù)字簽名也是重要的。在大多數(shù)情況下，身份標(biāo)識與身份鑒別機(jī)制是一個組織內(nèi)其他安全服務(wù)的關(guān)鍵。如果身份標(biāo)識與身份鑒別失效了，那么完整性和機(jī)密性也無法保證4.可審性服務(wù)1.身份標(biāo)識與身份鑒別4.可審性服務(wù)2.網(wǎng)絡(luò)環(huán)境下的身份鑒別驗證某個通信參與方的身份是否與其聲稱的身份一致的過程，通過身份認(rèn)證協(xié)議來實現(xiàn)。身份認(rèn)證協(xié)議定義了參與認(rèn)證服務(wù)的所有通信方在身份認(rèn)證過程中需要交換的所有信息的格式、信息發(fā)生的次序以及消息的語義，通常采用密碼學(xué)機(jī)制來保證信息的完整性、保密性。1）身份認(rèn)證技術(shù)口令技術(shù)在線攻擊：在線狀態(tài)下對用戶口令進(jìn)行猜測攻擊離線攻擊：通常采用攻擊程序掛字典或隨機(jī)字符序列采用物理形式上的身份認(rèn)證標(biāo)記進(jìn)行身份認(rèn)證的鑒別技術(shù)磁卡、智能卡4.可審性服務(wù)2.網(wǎng)絡(luò)環(huán)境下的身份鑒別4.可審性服務(wù)2）身份認(rèn)證協(xié)議身份認(rèn)證協(xié)議一般有兩個通信方，可能會有一個雙方都信任的第三方參與，一個通信方向另一方或者第三方發(fā)出認(rèn)證請求，對方按照協(xié)議規(guī)定作出響應(yīng)，協(xié)議執(zhí)行完畢時雙方確信對方身份。基于密碼學(xué)原理的身份認(rèn)證協(xié)議比基于口令或者地址的認(rèn)證更安全分為共享密鑰認(rèn)證、公鑰認(rèn)證和零知識認(rèn)證等幾類會話密鑰：指在一次會話過程中使用的密鑰，一般都是由機(jī)器隨機(jī)生成。實際使用時往往是在一段時間內(nèi)有效，并不真正限制在一次會話過程中，主要用于通信加密共享密鑰認(rèn)證：采用激勵/響應(yīng)技術(shù)實現(xiàn)，密鑰分發(fā)中心（KeyDistributionCenter）為大家所信任，并且與每個網(wǎng)絡(luò)通信方都有一個共享密鑰。網(wǎng)絡(luò)各通信方之間無共享密鑰，KDC負(fù)責(zé)給通信雙方創(chuàng)建和分發(fā)共享密鑰，通信雙發(fā)獲得共享密鑰后利用激勵/響應(yīng)建立信任關(guān)系。4.可審性服務(wù)2）身份認(rèn)證協(xié)議4.可審性服務(wù)2）身份認(rèn)證協(xié)議公鑰認(rèn)證：對方通過密碼運算驗證自己的身份而不需要將自己的私鑰告訴對方。在公鑰算法中，將利用私鑰對明文信息進(jìn)行的變換稱為簽名；將利用公鑰對明文信息進(jìn)行的變換稱為封裝（seal）或者加密。實際網(wǎng)絡(luò)環(huán)境中采用證書（certificate）的方式來分發(fā)公鑰。證書：是一種特殊形式的數(shù)據(jù)記錄，包含有證書代表的通信參與方的名字、身份信息、公鑰以及簽發(fā)機(jī)構(gòu)、簽發(fā)日期、系列號、有效期等相關(guān)數(shù)據(jù)，由證書權(quán)威機(jī)構(gòu)（certificateAuthority，CA）用自己的私鑰進(jìn)行簽名。證書權(quán)威機(jī)構(gòu)是可信第三方，所有公鑰認(rèn)證系統(tǒng)都采用了證書方式，證書被設(shè)計存放在目錄服務(wù)系統(tǒng)中，通信參與方擁有CA的公鑰，可以從目錄服務(wù)中獲得通信對方的證書，通過驗證CA簽名可以相信證書中列出對方的公鑰。公鑰認(rèn)證安全強(qiáng)度高，計算開銷大，所以一般利用公鑰進(jìn)行認(rèn)證和建立對稱的會話密鑰，利用傳統(tǒng)密鑰進(jìn)行數(shù)據(jù)傳輸。4.可審性服務(wù)2）身份認(rèn)證協(xié)議4.可審性服務(wù)3.審計功能審計提供歷史事件的記錄。審計記錄將用戶和其在計算機(jī)系統(tǒng)中的行動聯(lián)系起來計算機(jī)提供的日志記錄用戶ID的行動需要正確的身份標(biāo)識和身份鑒別采用完整性服務(wù)來保證審計記錄沒有被修改過總結(jié)可審行服務(wù)本身不能阻止攻擊，與其他服務(wù)結(jié)合，如機(jī)密性和完整性服務(wù)結(jié)合，對試圖執(zhí)行某些操作者進(jìn)行正確的身份標(biāo)識和身份鑒別可審性服務(wù)提供用戶對系統(tǒng)執(zhí)行的操作記錄4.可審性服務(wù)3.審計功能概要網(wǎng)絡(luò)信息安全服務(wù)機(jī)密性服務(wù)完整性服務(wù)可用性服務(wù)可審性服務(wù)數(shù)字簽名Kerbers鑒別訪問控制安全體系結(jié)構(gòu)系統(tǒng)安全體系結(jié)構(gòu)網(wǎng)絡(luò)安全的分層體系結(jié)構(gòu)（自學(xué)）OSI安全體系結(jié)構(gòu)的安全服務(wù)與安全機(jī)制（自學(xué)）ISO/IEC網(wǎng)絡(luò)安全體系結(jié)構(gòu)（自學(xué)）概要網(wǎng)絡(luò)信息安全服務(wù)5數(shù)字簽名數(shù)字簽名的原理被發(fā)送文件用SHA（SecureHashAlgorithm）編碼加密產(chǎn)生128bit的數(shù)字摘要發(fā)送方用自己的私用密鑰對摘要再加密，這就形成了數(shù)字簽名將原文和加密的摘要同時傳給對方對方用發(fā)送方的公共密鑰對摘要解密，同時對收到的文件用SHA編碼加密產(chǎn)生又一個摘要將解密后的摘要和收到的文件在接收方重新加密產(chǎn)生的摘要相互對比。如兩者一致，則說明傳送過程中信息沒有被破壞或篡改過。文件SHA摘要私鑰數(shù)字簽名發(fā)送方的公鑰摘要SHA摘要比較發(fā)送方接收方5數(shù)字簽名數(shù)字簽名的原理文件SHA摘要私鑰數(shù)字簽名發(fā)送方的5.數(shù)字簽名數(shù)字簽名通信雙方在網(wǎng)上交換信息用公鑰密碼方式來防止偽造和欺騙的一種身份認(rèn)證公鑰密碼，每個用戶有兩個密鑰：公鑰E和私鑰D用戶A向用戶B發(fā)送數(shù)據(jù)m

EaDaEbEaDbEbmDa(m)Eb(Da(m))Db(Eb(Da(m)))Ea(Db(Eb(Da(m))))m用戶A用戶B5.數(shù)字簽名數(shù)字簽名EaDaEbEaDbEbmDa(m)E概要網(wǎng)絡(luò)信息安全服務(wù)機(jī)密性服務(wù)完整性服務(wù)可用性服務(wù)可審性服務(wù)數(shù)字簽名Kerbers鑒別訪問控制安全體系結(jié)構(gòu)系統(tǒng)安全體系結(jié)構(gòu)網(wǎng)絡(luò)安全的分層體系結(jié)構(gòu)（自學(xué)）OSI安全體系結(jié)構(gòu)的安全服務(wù)與安全機(jī)制（自學(xué)）ISO/IEC網(wǎng)絡(luò)安全體系結(jié)構(gòu)（自學(xué)）概要網(wǎng)絡(luò)信息安全服務(wù)6.Kerberos鑒別Kerberos鑒別由麻省理工學(xué)院提出的，是一種使用對稱密鑰加密算法來實現(xiàn)通過可信第三方密鑰分發(fā)中心（KDC）的身份認(rèn)證系統(tǒng)，它提供了通信方之間相互的身份認(rèn)證手段，而且不依賴于主機(jī)的操作系統(tǒng)和地址。設(shè)計目標(biāo)開放網(wǎng)絡(luò)環(huán)境中運行，假設(shè)傳輸?shù)臄?shù)據(jù)包可以被任意截獲、修改和插入。適合物理網(wǎng)絡(luò)環(huán)境并不安全的環(huán)境下使用過程客戶方向服務(wù)器方提交“憑據(jù)”（ticket）來證明自己的身份。憑據(jù)由KDC專門為客戶端和服務(wù)器在某一階段內(nèi)通信而生成，憑據(jù)中包含客戶和服務(wù)器方的身份信息、在下一階段雙方使用的臨時加密密鑰（會話密鑰），還有證明客戶方擁有會話密鑰的身份認(rèn)證者（KDC信息）的信息，身份認(rèn)證者信息的作用是防止攻擊者將來將同樣的憑據(jù)再次使用。憑據(jù)有生命期，僅在一段有限的時間內(nèi)有效，過期后必須從KDC獲得新的憑據(jù)6.Kerberos鑒別Kerberos鑒別由麻省理工學(xué)院概要網(wǎng)絡(luò)信息安全服務(wù)機(jī)密性服務(wù)完整性服務(wù)可用性服務(wù)可審性服務(wù)數(shù)字簽名Kerbers鑒別訪問控制安全體系結(jié)構(gòu)系統(tǒng)安全體系結(jié)構(gòu)網(wǎng)絡(luò)安全的分層體系結(jié)構(gòu)（自學(xué)）OSI安全體系結(jié)構(gòu)的安全服務(wù)與安全機(jī)制（自學(xué)）ISO/IEC網(wǎng)絡(luò)安全體系結(jié)構(gòu)（自學(xué)）概要網(wǎng)絡(luò)信息安全服務(wù)7.訪問控制1.訪問控制概念訪問控制是基于安全策略和安全模型來確定來訪實體是否有訪問權(quán)以及實施訪問權(quán)限的過程。方法訪問矩陣：行代表客體，列代表主體；存儲空間過大訪問控制表（ACL）：按行來存儲矩陣，服務(wù)器上存儲每個對象的授權(quán)訪問者及其權(quán)限的一張表，如一個文檔權(quán)力表：按列來存儲矩陣，每個訪問者存儲有訪問權(quán)利的表，包含能夠訪問的對象和操作權(quán)限，如一個用戶2.訪問控制分類粗粒度訪問控制：對象為主機(jī)中粒度訪問控制細(xì)粒度訪問控制：對象為文件、記錄7.訪問控制1.訪問控制概念7.訪問控制3.實現(xiàn)過程在集中式系統(tǒng)中，操作系統(tǒng)控制著所有訪問對象并且管理所有進(jìn)程，所有操作均在主機(jī)操作系統(tǒng)管理下進(jìn)行。在分布式系統(tǒng)和網(wǎng)絡(luò)環(huán)境中，首先是訪問者和被訪問對象不在一臺主機(jī)上，它們之間的通信路徑可能很長并且中間可能經(jīng)過很多臺主機(jī)，這些主機(jī)的可信賴程度是不同的。因此在進(jìn)行身份認(rèn)證時必須將遠(yuǎn)程用戶和本地用戶加以區(qū)分，在設(shè)置訪問控制權(quán)限時也要區(qū)別對待。例如有些資源只允許用戶在本地進(jìn)行訪問網(wǎng)絡(luò)系統(tǒng)的規(guī)模比集中式系統(tǒng)要大很多，因此不可能由單個主機(jī)來負(fù)責(zé)管理所有用戶以及他們的訪問控制信息。必須有機(jī)制保證應(yīng)用監(jiān)視器與這些用戶管理和訪問控制信息管理的服務(wù)器之間安全地通信，這里涉及訪問控制信息數(shù)據(jù)完整性和對訪問控制服務(wù)器的認(rèn)證協(xié)議等問題為了簡化管理，訪問者通常被分類成組、組織，設(shè)置訪問控制時可以按組進(jìn)行設(shè)定，這樣就可以避免訪問控制表過于龐大7.訪問控制3.實現(xiàn)過程概要網(wǎng)絡(luò)信息安全服務(wù)機(jī)密性服務(wù)完整性服務(wù)可用性服務(wù)可審性服務(wù)數(shù)字簽名Kerbers鑒別訪問控制安全體系結(jié)構(gòu)系統(tǒng)安全體系結(jié)構(gòu)網(wǎng)絡(luò)安全的分層體系結(jié)構(gòu)（自學(xué)）OSI安全體系結(jié)構(gòu)的安全服務(wù)與安全機(jī)制（自學(xué)）ISO/IEC網(wǎng)絡(luò)安全體系結(jié)構(gòu)（自學(xué)）概要網(wǎng)絡(luò)信息安全服務(wù)1.系統(tǒng)安全體系結(jié)構(gòu)1.可信系統(tǒng)體系結(jié)構(gòu)概述確定設(shè)置保護(hù)的位置，是用戶端，還是數(shù)據(jù)存貯的地方確定安全機(jī)制設(shè)置的位置，硬件、內(nèi)核、操作系統(tǒng)、服務(wù)還是程序級硬件層：保護(hù)機(jī)制簡單，廣泛的通用的保護(hù)，粗粒度上層：越是層次上升越復(fù)雜，功能則更專門，粒度越細(xì)，安全機(jī)制的級別越低。安全機(jī)制復(fù)雜性和安全保障的關(guān)系1.系統(tǒng)安全體系結(jié)構(gòu)1.可信系統(tǒng)體系結(jié)構(gòu)概述安全機(jī)制復(fù)雜性和1.系統(tǒng)安全體系結(jié)構(gòu)2.定義主體和客體子集用戶和訪問對象子集3.可信計算基（TrustedComputingBase，TCB）定義為計算機(jī)系統(tǒng)中全部保護(hù)機(jī)制的組合，涉及到軟件、硬件和固件，它建立了一個基本的保護(hù)環(huán)境，并提供一個可信計算系統(tǒng)所要求的附加用戶服務(wù)通常所指的可信計算基是構(gòu)成安全計算機(jī)信息系統(tǒng)的所有安全保護(hù)裝置的組合體(通常稱為安全子系統(tǒng))，以防止不可信主體的干擾和篡改1.系統(tǒng)安全體系結(jié)構(gòu)2.定義主體和客體子集1.系統(tǒng)安全體系結(jié)構(gòu)4.安全邊界不是每個部件和資源都在TCB內(nèi)安全邊界用來區(qū)分可信和不可信通過接口來處理和控制TCB內(nèi)外部件間通信可信部件和非可信部件間通信的接口控制1.系統(tǒng)安全體系結(jié)構(gòu)4.安全邊界可信部件和非可信部件間通信的1.系統(tǒng)安全體系結(jié)構(gòu)5.基準(zhǔn)監(jiān)控器和安全內(nèi)核基準(zhǔn)監(jiān)控器是一個訪問控制概念，協(xié)調(diào)所有的訪問主體和客體，確保主體有必須的訪問權(quán)，以及保護(hù)客體不被非授權(quán)訪問、修改和破壞安全內(nèi)核TCB內(nèi)的一些機(jī)制構(gòu)成，以實施和執(zhí)行基準(zhǔn)監(jiān)控器概念由硬件、固件和軟件組成協(xié)調(diào)主體和客體間的訪問及各種功能是TCB的核心安全內(nèi)核準(zhǔn)則為了執(zhí)行基準(zhǔn)監(jiān)控器概念，安全內(nèi)核必須提供隔離且防篡改的功能對每個訪問企圖，基準(zhǔn)監(jiān)控器必須都行使其職責(zé)，且不可能被侵入。因此，基準(zhǔn)監(jiān)控器必須以完善的、安全的方式實行基準(zhǔn)監(jiān)控器必須是可驗證的，基準(zhǔn)監(jiān)控器所做出的決定都應(yīng)寫成審計日志，并可驗證安全內(nèi)核必須足夠小，可以用完善的、綜合的方法進(jìn)行測試和驗證1.系統(tǒng)安全體系結(jié)構(gòu)5.基準(zhǔn)監(jiān)控器和安全內(nèi)核1.系統(tǒng)安全體系結(jié)構(gòu)6.安全域定義為主體能訪問的客體的集合操作系統(tǒng)工作在特權(quán)模式：更大的工作域，更多可訪問資源，提供更多的功能操作系統(tǒng)工作在用戶模式：工作域小，可訪問資源少安全域與賦予主體的或客體的保護(hù)環(huán)的關(guān)聯(lián)關(guān)系保護(hù)環(huán)越小，特權(quán)越高，安全域越大可信級和安全域的關(guān)系1.系統(tǒng)安全體系結(jié)構(gòu)6.安全域可信級和安全域的關(guān)系1.系統(tǒng)安全體系結(jié)構(gòu)7.資源隔離目的：正確實施訪問控制、審計，決定主體、客體各自所在的域方法：模塊化，能使每個主體和客體可唯一識別、獨立地賦予允許權(quán)，可審計，活動能被精確跟蹤進(jìn)程隔離：通過地址分配實現(xiàn)，如虛擬內(nèi)存技術(shù)、內(nèi)存硬件分段1.系統(tǒng)安全體系結(jié)構(gòu)7.資源隔離1.系統(tǒng)安全體系結(jié)構(gòu)8.安全策略安全策略是一些規(guī)則的集合，指明敏感信息是如何管理、保護(hù)和分布的，確切表達(dá)要實現(xiàn)的安全機(jī)制的目標(biāo)設(shè)置時何種級別。是系統(tǒng)規(guī)范的基礎(chǔ)，提供評估系統(tǒng)的基準(zhǔn)安全策略必須指明什么樣的主體能訪問什么樣的客體，什么樣的行為是可接受的主體只能訪問的安全級別低于或者等于自己的客體1.系統(tǒng)安全體系結(jié)構(gòu)8.安全策略1.系統(tǒng)安全體系結(jié)構(gòu)9.最小特權(quán)在完成某種操作時所賦予網(wǎng)絡(luò)中每個主體（用戶或進(jìn)程）必不可少的特權(quán)原則：應(yīng)限定網(wǎng)絡(luò)中每個主體所必須的最小特權(quán)，確?？赡艿氖鹿省㈠e誤、網(wǎng)絡(luò)部件的篡改等原因造成的損失最小較高特權(quán)只有在需要的時候才運用例：一個人既是班主任也是系主任，管理班