第4章 信息系统架构（五）

4.7 安全架构

安全保障以风险和策略为基础，在信息系统的整个生命周期中，安全保障应包括技术、管理、人员和工程过程的整体安全，以及相关组织机构的健全等。

4.7.1 安全威胁

常见的威胁有：

4.7.2 定义和范围

安全性体现在信息系统上，通常的系统安全架构、安全技术体系架构和审计架构可组成三道安全防线。

人们在系统设计时，通常要识别系统可能会遇到的安全威胁，通过对系统面临的安全威胁和实施相应控制措施进行合理的评价，提出有效合理的安全技术，形成提升信息系统安全性的安全方案，是安全架构设计的根本目标。

4.7.3 整体架构设计

构建信息安全保障体系框架应包括技术体系、组织机构体系和管理体系等三部分。也就是说，人、管理和技术手段是信息安全架构设计的三大要素，而构建动态的信息与网络安全保障 体系框架是实现系统安全的保障。

1.WPDRRC 模型

WPDRRC (Waring/Protect/Detect/ React/Restore/Counterattack)是我国信息安全专家组提出的信息系统安全保障体系建设模型。

2.架构设计

信息系统安全设计重点考虑两个方面：一是系统安全保障体系，二是信息安全体系架构。

1)系统安全保障体系

安全保障体系是由安全服务、协议层次和系统单元三个层面组成，且每层都涵盖了安全管理的内容。

2)信息安全体系架构

通过对信息系统应用的全面了解，按照安全风险、需求分析结果、安全策略以及网络与信息的安全目标等方面开展安全体系架构的设计工作。

具体在安全控制系统，可以从以下5个方面开展分析和设计工作。

3.设计要点

4.7.4 网络安全架构设计

1.0SI安全架构

0SI定义了7层协议，其中除第5层 (会话层) 外，每一层均能提供相应的安全服务。实际上，最适合配置安全服务的是在物理层、网络层、传输层及应用层上，其他层都不宜配置安全服务。

0SI开放系统互联安全体系的5类安全服务包括鉴别、访问控制、数据机密性、数据完整性和抗抵赖性。

0SI定义分层多点安全技术体系架构，也称为深度防御安全技术体系架构，它通过以下三种方式将防御能力分布至整个信息系统中。

1)多点技术防御

在对手可以从内部或外部多点攻击一个目标的前提下，多点技术防御通过对以下多个核心区域的防御达到抵御所有方式攻击的目的。

2)分层技术防御

即使最好的可得到的信息保障产品也有弱点，其最终结果将使对手能找到一

个可探查的脆弱性，一个有效的措施是在对手和目标间使用多个防御机制。为了减少这些攻击成功的可能性和对成功攻击的可承担性，每种机制应代表一种唯一的障碍，并同时包括保护和检测方法。

3)支撑性基础设施

支撑性基础设施为网络、边界和计算环境中信息保障机制运行基础的支撑性基础设施，包括公钥基础设施以及检测和响应基础设施。

·公钥基础设施：提供一种通用的联合处理方式，以便安全地创建、分发和管理公钥证书和传统的对称密钥，使它们能够为网络、边界和计算环境提供安全服务。

·检测和响应基础设施：能够迅速检测并响应入侵行为。

这里必须注意的是，信息系统的安全保障不仅仅依赖于技术，还需要非技术防御手段。一个可接受级别的信息保障依赖于人员、管理、技术和过程的综合。

2.认证框架

鉴别的基本目的是防止其他实体占用和独立操作被鉴别实体的身份。鉴别提供了实体声称其身份的保证，只有在主体和验证者的关系背景下，鉴别才是有意义的。

鉴别有两个重要的关系背景：

①实体由申请者来代表，申请者与验证者之间存在着特定的通信关系 (如实体鉴别)；

②实体为验证者提供数据项来源。

鉴别的方式主要基于以下5种

·已知的，如一个秘密的口令。

·不改变的特性，如生物特征。

·拥有的，如IC卡、令牌等。

·相信可靠的第三方建立的鉴别 (递推)。

·环境 (如主机地址等)。

鉴别信息是指申请者要求鉴别到鉴别过程结束所生成、使用和交换的信息。

鉴别信息的类型有交换鉴别信息、申请鉴别信息和验证鉴别信息。

鉴别服务分为以下阶段：安装阶段、修改鉴别信息阶段、分发阶段、获取

阶段、传送阶段、停活阶段、验证阶段、重新激活阶段、取消安装阶段。

3.访问控制框架

访问控制 (Access Control) 决定开放系统环境中允许使用哪些资源，在什么地方适合阻止未授权访问的过程。

·ACI(访问控制信息)是用于访问控制目的的任何信息，其中包括上下文信息。

·ADI(访问控制判决信息)是在做出一个特定的访问控制判决时可供ADF使用的部分(或全部)ACI。

·ADF(访问控制判决功能)是一种特定功能，它通过对访问请求、ADI以及该访问请求的上下文使用访问控制策略规则而做出访问控制判决。

·AEF(访问控制实施功能)确保只有对目标允许的访问才由发起者执行。

4.机密性框架

机密性(Confidentiality) 服务的目的是确保信息仅仅是对被授权者可用。

1) 通过禁止访问提供机密性

2) 通过加密提供机密性

5.完整性框架

完整性(lntegrity) 框架的目的是通过阻止威胁或探测威胁，保护可能遭到不同方式危害的数据完整性和数据相关属性完整性。所谓完整性，就是数据不

以未经授权方式进行改变或损毁的特征。

完整性服务有几种分类方式：

·根据防范的违规分类，违规操作分为未授权的数据修改、未授权的数据创建、未授权的数据删除、未授权的数据插入和未授权的数据重放。

·依据提供的保护方法分为阻止完整性损坏和检测完整性损坏。

·依据是否支持恢复机制，分为具有恢复机制的和不具有恢复机制的。

按照保护强度，完整性机制可分为:

·不做保护；

·对修改和创建的探测；

·对修改、创建、删除和重复的探测；

·对修改和创建的探测并带恢复功能；

·对修改、创建、删除和重复的探测并带恢复功能。

6.抗抵赖性框架

抗抵赖服务包括证据的生成、验证和记录，以及在解决纠纷时随即进行的证据恢复和再次验证。框架所描述的抗抵赖服务的目的是提供有关特定事件或行为的证据。

抗抵赖由4个独立的阶段组成，分别为：证据生成，证据传输、存储及恢复，证据验证和解决纠纷。

4.7.5 数据库系统安全设计

数据库的安全问题可以说已经成为信息系统最为关键的问题

3.数据库完整性设计示例

基于DBMS的数据库完整性设计大体分为需求分析阶段、概念结构设计阶段和逻辑结构设计阶段。