安全架构设计
本博客地址:https://security.blog.csdn.net/article/details/136787420
一. 基本概念
1、威胁来源于物理环境
、通信链路
、网络系统
、操作系统
、应用系统
、管理系统
。
2、网络与信息安全风险类别可以分为人为蓄意破坏
(被动型攻击,主动型攻击)、物理灾害性攻击
、系统故障
、人员无意识行为
等。
3、常见的威胁主要有:信息泄露、破坏信息的完整性、拒绝服务、非法使用(非授权访问)、窃听、业务流分析、假冒、旁路控制、授权侵犯、特洛伊木马、陷阱门、抵赖、重放、计算机病毒、人员渎职、信息媒介废弃、物理侵入、窃取、业务欺骗。
4、安全体系架构的范围包括:
● 安全防线
。分别是产品安全架构
、安全技术架构
、审计架构
。
● 安全架构特性
。安全架构应具有:机密性
、完整性
、可用性
的特性。
● 安全技术架构
。安全技术架构主要包括身份鉴别
、访问控制
、内容安全
、冗余恢复
、审计响应
、恶意代码防范
、密码技术
。
二. 安全模型
1、信息系统安全目标是控制和管理主体对客体的访问,从而实现:保护系统可用性
、保护网络服务连续性
、防范非法非授权访问
、防范恶意攻击和破坏
、保护信息传输机密性和完整性
、防范病毒侵害
、实现安全管理
。
2、典型安全模型有:状态机模型
、BLP 模型
、Biba 模型
、CWM 模型
、Chinese Wall 模型
。
3、状态机模型。一个安全状态模型系统,总是从一个安全状态启动,并且在所有迁移中保持安全状态,只允许主体以和安全策略相一致的安全方式访问资源。
4、BLP 模型。该模型为数据规划机密性
,依据机密性划分安全级别,按安全级别强制访问控制。BLP 模型的基本原理是:
● 安全级别是机密
的主体访问安全级别为绝密
的客体时,主体对客体可写不可读。
● 安全级别是机密
的主体访问安全级别为机密
的客体时,主体对客体可写可读。
● 安全级别是机密
的主体访问安全级别为秘密
的客体时,主体对客体可读不可写。
5、BLP 模型安全规则:
● 简单规则
:低级别主体读取高级别客体受限。
● 星型规则
:高级别主体写入低级别客体受限。
● 强星型规则
:对不同级别读写受限。
● 自主规则
:自定义访问控制矩阵。
6、Biba 模型。该模型建立在完整性级别上
。模型具有完整性的三个目标:保护数据不被未授权用户更改
、保护数据不被授权用户越权修改(未授权更改)
、维持数据内部和外部的一致性
。
7、Biba 模型基本原理:
● 完整性级别为中完整性
的主体访问完整性为高完整性
的客体时,主体对客体可读不可写,也不能调用主体的任何程序和服务。
● 完整性级别为中完整性
的主体访问完整性为中完整性
的客体时,主体对客体可读可写。
● 当完整性级别为中完整性
的主体访问完整性为低完整性
的客体时,主体对客体可写不可读。
8、Biba 模型可以防止数据从低完整性级别流向高完整性级别
,其安全规则如下:
● 星完整性规则
。表示完整性级别低的主体不能对完整性级别高的客体写数据。
● 简单完整性规则
。表示完整性级别高的主体不能从完整性级别低的客体读取数据。
● 调用属性规则
。表示一个完整性级别低的主体不能从级别高的客体调用程序或服务。
9、CWM 模型。将完整性目标、策略和机制融为一体,提出职责分离目标,应用完整性验证过程,实现了成型的事务处理机制,常用于银行系统。CWM 模型具有以下特征:
● 包含主体、程序、客体三元素,主体只能通过程序访问客体。
● 权限分离原则,功能可分为多主体,防止授权用户进行未授权修改。
● 具有审计能力。
10、Chinese Wall 模型,是一种混合策略模型,应用于多边安全系统,防止多安全域存在潜在的冲突。该模型为投资银行设计,常见于金融领域。工作原理是通过自主访问控制(DAC)
选择安全域
,通过强制访问控制(MAC)
完成特定安全域内的访问控制
。
11、Chinese Wall 模型的安全规则:
● 墙内客体可读取。
● 不同利益冲突组客体可读取。
● 访问其他公司客体和其他利益冲突组客体后,主体对客体写入受限。
三. 网络安全架构
1、WPDRRC 信息安全模型。WPDRRC 模型包括 6 个环节:预警(Warning)
、保护(Protect)
、检测(Detect)
、响应(React)
、恢复(Restore)
、反击(Counterattack)
;3 个要素:人员
、策略
、技术
。
2、信息安全体系架构。具体可以从以下 5 个方面开展安全体系的架构设计工作:
● 物理安全(前提)
:包括环境安全、设备安全、媒体安全。
● 系统安全(基础)
:包括网络结构安全、操作系统安全、应用系统安全。
● 网络安全(关键)
:包括访问控制、通信保密、入侵检测、网络安全扫描、防病毒。
● 应用安全
:包括资源共享、信息存储。
● 安全管理
:包括健全的体制、管理平台、人员安全防范意识。
3、OSI 定义了分层多点
的安全技术体系架构,又叫深度防御安全架构
,它通过以下 3 种方式将防御能力分布至整个信息系统中。
● 多点技术防御
:通过网络和基础设施,边界防御(流量过滤、控制、如前检测),计算环境等方式进行防御。
● 分层技术防御
:外部和内部边界使用嵌套防火墙,配合入侵检测进行防御。
● 支撑性基础设施
:使用公钥基础设施以及检测和响应基础设施进行防御。
4、认证框架。认证又叫鉴权,鉴别的方式有:已知的(口令)
、拥有的(IC 卡,令牌等)
、不可变特征(生物特征)
、受信第三方鉴别
、环境(主机地址
)。鉴别服务阶段分为:安装
、修改鉴权信息
、分发
、获取
、传送
、验证
、停活
、重新激活
、取消安装
。
5、访问控制框架。当发起者请求对目标进行特殊访问时,访问控制管制设备(AEF)就通知访问控制决策设备(ADF),ADF 可以根据上下文信息(包括发起者的位置、访问时间或使用中的特殊通信路径)以及可能还有以前判决中保留下来的访问控制决策信息(ADI)做出允许或禁止发起者试图对目标进行访问的判决。
6、机密性框架。机密性服务目的是确保信息仅仅是对被授权者可用。机密性机制包括:通过禁止访问提供机密性、通过加密提供机密性。
7、完整性框架。完整性服务目的是组织威胁
或探测威胁
,保护数据及其相关属性的完整性。完整性服务分类有:未授权的数据创建
、数据创建
、数据删除
、数据重放
。完整性机制类型分为阻止媒体访问
与探测非授权修改
两种。
8、抗抵赖框架。抗抵赖服务的目的是提供特定事件或行为的证据
。抗抵赖服务阶段分为:证据生成
、证据传输
、存储及回复
、证据验证
、解决纠纷
这 5 个阶段。
四. 数据库安全架构
1、数据库完整性设计原则具体包括:
● 依据完整性约束类型设计其实现的系统层次和方式,并考虑性能。
● 在保障性能的前提下,尽可能应用实体完整性约束
和引用完整性约束
。
● 慎用触发器。
● 制订并使用完整性约束命名规范。
● 测试数据库完整性,尽早排除冲突和性能隐患。
● 设有数据库设计团队,参与数据库工程全过程。
● 使用 CASE 工具,降低工作量,提高工作效率。
2、数据库完整性的作用体现在以下几个方面:
● 防止不合语义的数据入库。
● 降低开发复杂性,提高运行效率。
● 通过测试尽早发现缺陷。
五. 系统架构脆弱性分析
1、系统架构脆弱性包括物理装备脆弱性
、软件脆弱性
、人员管理脆弱性
、规章制度脆弱性
、安全策略脆弱性
等。
2、典型架构的脆弱性表现:
● 分层架构
。脆弱性体现在:层间脆弱性
、层间通信脆弱性
。
● C/S 架构
。脆弱性体现在:客户端脆弱性
、网络开放性脆弱性
、网络协议脆弱性
。
● B/S 架构
。如果 B/S 架构使用的是 HTTP 协议,会更容易被病毒入侵。
● 事件驱动架构
。脆弱性体现在:组件脆弱性
、组件间交换数据的脆弱性
、组件间逻辑关系的脆弱性
、事件驱动容易死循环
、高并发脆弱性
、固定流程脆弱性
。
● MVC 架构
。脆弱性体现在:复杂性脆弱性
、视图与控制器连接紧密脆弱性
、视图对模型低效率访问脆弱性
。
● 微内核架构
。脆弱性体现在:整体优化脆弱性
、进程通信开销脆弱性
、通信损失脆弱性
。
● 微服务架构
。脆弱性体现在:分布式结构复杂带来的脆弱性
、服务间通信带来的脆弱性
、服务管理复杂性带来的脆弱性
。
六. 安全架构设计
1、远程认证拨号用户服务(RADIUS)是应用最广泛的高安全级别认证
、授权
、审计协议
(AAA),具有高性能和高可扩展性,且可用多种协议实现。RADIUS 通常由协议逻辑层
,业务逻辑层
和数据逻辑层
3 层组成层次式架构。
● 协议逻辑层
:起到分发处理功能,相当于转发引擎。
● 业务逻辑层
:实现认证、授权、审计三种类型业务及其服务进程间的通信。
● 数据逻辑层
:实现统一的数据访问代理池,降低数据库依赖,减少数据库压力,增强系统的数据库适应能力。
2、基于混合云的工业安全生产管理系统。混合云融合了公有云
和私有云
。在基于混合云的工业安全生产管理系统中,工厂内部的产品设计
、数据共享
、生产集成
使用私有云实现。公有云则用于公司总部与智能工厂间的业务管理、协调和统计分析
等。整个生产管理系统架构采用层次式架构
,分为设备层
、控制层
、设计/管理层
、应用层
。
3、设备层:包括智能工厂生产用设备,包括智能传感器
、智能仪器仪表
、工业机器人
、其他生产设备
。
4、控制层:包括智能设备控制用自动控制系统,包括采集与监视控制系统(SCADA)
、分布式控制系统(DCS)
、现场总线控制系统(FCS)
、可编程控制器(PLC)(内置编程程序)
、人机接口(HMI)
,其他现场控制程序
。
5、设计/管理层:包括智能工厂所有控制开发,业务控制和数据管理相关系统及其功能的集合,实现了数据集成和应用,包括制造执行系统(MES)(很多企业称之为生产信息管理系统)
、计算机辅助设计/工程/制造 CAD/CAE/CAM
、供应链管理(SCM)
、企业资源规划(ERP)
、客户关系管理(CRM)
、供应商关系管理(SRM)
、商业智能分析(BI)
、产品生命周期管理(PLM)
。
6、应用层:云平台上的信息处理,包括数据处理与管理、数据与行业应用相结合,如定制业务、协同业务、产品服务。
7、在设计基于混合云的工业安全生产管理系统时,需要考虑的安全问题有:设备安全
、网络安全
、控制安全
、应用安全
和数据安全
。