安全体系结构和安全模型共46页文档

合集下载

中国国家安全形势分析 46页PPT文档

中国国家安全形势分析 46页PPT文档

威胁三性:广泛性 多样性 多变性
二是美国当前的战略困境减轻了我们的战略压力。 有限实力与无限目标之间的矛盾; 单极谋霸与多极制衡之间的矛盾; 利益至上与政策合法性之间的矛盾; 推行“先发制人”战略受到多方抵制等。
2009年12月1日,美国总统奥巴马在西点军校阐述阿富汗战略。
二、“机遇前所未有”的国家安全形 势(二)机遇前所未有的自身环境
三、高度关注“挑战前所未有”的安全形 势
三、高度关注“挑战前所未有”的安全形势
第一,面临西方国家主导的不合理的国际秩序的挑战。 第二,世界大国公开或隐形遏制对我形成的挑战。
美国是“挑战前所未有”的根本威 胁
美国是“挑战前所未有”的根本威 胁
●看是否具有重大利益的抵触

俄罗斯
●看是否具有实际能力抗衡
二、“机遇前所未有”的国家安全形 势(二)机遇前所未有的自身环境
四是我国与其它大国关系出现全方位改善 。
新定位:稳步建立共同应对挑战的伙伴关系
2009年9月17日
二、“机遇前所未有”的国家安全形 势(二)机遇前所未有的自身环境
五是中国国力的迅速增长,国际地位大大提高,成为我们 捕捉机遇期的重要条件。
二、“机遇前所未有”的国家安全形 势(二)机遇前所未有的自身环境
四是我国与其它大国关系出现全方位改善 。
中美重新定位为,稳步建立共同应对挑战的伙伴关系 ;中俄战略 协作伙伴关系不断深化;中欧面向21世纪的全面合作伙伴关系得到新 的发展;中日关系虽有所迟滞但都不愿深度交恶;中印两国签署了 《中印关系原则和全面合作宣言》;我们争取较长时期的和平环境, 全力以赴地推进中华民族和平崛起进程是完全可能的。
冷战结束,对我构成威胁的军事包围基本 解除,这是我们谈难得的机遇期非常重要的基 点。

windows系统安全(安全模型与体系结构)

windows系统安全(安全模型与体系结构)
AH
包过滤 防火墙
如 VPN
网络接 口层
相邻节点 间的认证 (如MS-
CHAP)
子网划分、 VLAN、物理
隔绝
MDC MAC
点对点加密 (MS-MPPE)
IDS Keberos
第三方公证(如 安全服务 管理
入侵检测(
安全机制 响应 审、 计恢 、复 日志 管理



)数字签名 )漏安 洞全 扫设 描备
7 安全审计系统
安全审计系统通过独立的、对网络行为和主机操作 提供全面与忠实的记录,方便用户分析与审查事故 原因,很像飞机上的黑匣子。由于数据量和分析量 比较大,目前市场上鲜见特别成熟的产品
8 入侵检测与防御系统(IDS)
IDS: intrusion Detection System IDS的主要功能包括检测并分析用户在网络中的活 动,识别已知的攻击行为,统计分析异常行为,核 查系统配置和漏洞,评估系统关键资源和数据文件 的完整性,管理操作系统日志,识别违反安全策略 的用户活动等。
关的信息
现有TCP/IP网络安全技术框架
应用层安全协议(如S/MIME、SHTTP、SNMPv3)
应用层
用户身份 认证
授权与代理服务 器防火墙如CA.
传输层
传输层安全协议(如SSL/TLS、PCT、SSH、SOCKS) 电路级防火
网络层 (IP)
网络层安全协议(如IPSec)
数据源认 证IPSec-
(3)建立基于Internet网关的反病毒系统
在代理服务器(Proxy)网关上安装基于网关的反病毒软 件,堵住来自Internet通过Http或Ftp等方式进入内部网络的 病毒,而且可过滤恶意ActiveX,Java和Java Applet程序。

安全模型和体系结构教学总结

安全模型和体系结构教学总结

安全模型和体系结构一、快速提示·系统可以有完全相同的硬件、软件和应用,但却会因为系统建立在不同的安全策略和安全模型之上而提供不同的保护级别。

·CPU包括一个控制单元,它控制指令和数据执行的时序;一个ALU(算术逻辑单元),它执行算术功能和逻辑操作。

·绝大多数系统部使用保护环(protection ring)。

进程的特权级别越高,则运行在编号越小的保护环中,它就能访问全部或者大部分的系统资源。

应用运行在编号越大的保护环中.它能访问的资源就越少。

·操作系统的进程运行在特权或监控模式中,应用运行在用户模式中,也称为“问题”状态。

·次级存储(second storage)是永久性的,它可以是硬盘、CD—ROM、软驱、磁带备份或者Zip驱动器。

·虚存(virtual storage)由RAM和次级存储所构成,系统因此显得具有很大一块存储器。

·当两个进程试图同时访问相同的资源,或者一个进程占据着某项资源而且不释放的时候,就发生了死锁情况。

·安全机制着眼于不同的问题,运行于不同的层次,复杂性也不尽相同。

·安全机制越复杂,它能提供的保险程度就越低。

·并不是所有的系统组成部分都要处于TCB范围内:只有那些直接以及需要实施安全策略的部件才是。

·构成TCB的组成部分有硬件、软件、回件,因为它们都提供了某种类型的安全保护功能。

·安全边界(security perimeter)是一个假想的边界线,可信的部件位子其中(那些构成TCB 的部件),而不可信的部件则处于边界之外。

·引用监控器(reference monitor)是一个抽象机,它能确保所有的主体在访问客体之前拥有必要的访问权限。

因此,它是主体对客体所有访问的中介。

·安全核心(security kernel)是实际落实引用监控器规则的机制。

《网络安全体系结构》PPT课件

《网络安全体系结构》PPT课件

21
3.DISSP提供的安全体系结构及其特点
DISSP提供的安全体系结构框架可用如图2.3所示的三维空间模型来 表示。图中空间的三维分别代表:网络安全特性与部分操作特性、网络与 信息系统的组成部分、OSI网络结构层及其扩展层。
22
3.DISSP提供的安全体系结构及其特点 与OSI安全体系结构(ISO 7498—2)相比,DISSP安 全体系结构具有如下特点: (1)从最高层着眼,统筹解决全部国防网络与信息系统的 安全问题,不允许任何下属层次各自为政并分别建立自己 的安全体系。 (2)把网络与信息系统的组成简化归结为4个部分,即端 系统、网络、接口和安全管理。这样便于网络与信息系统 的管理人员与安全体系设计人员之间的协商与协作,便于 安全策略的落实和安全功能的完善。这是该安全体系结构 的一大创新。
5
开放系统互联/参考模型(OSI/RM)
6
1.保密性 保密性是指确保非授权用户不能获得网络信息资源的 性能。为此要求网络具有良好的密码体制、密钥管理、传 输加密保护、存储加密保护、防电磁泄漏等功能。
2.完整性 完整性是指确保网络信息不被非法修改、删除或增 添,以保证信息正确、一致的性能。为此要求网络的软 件、存储介质,以及信息传递与交换过程中都具有相应的 功能。
3
在网络的实际应用中,计算机系统与计 算机系统之间的互联、互通、互操作过程, 一般都不能只依靠一种协议,而需要执行 许多种协议才能完成。全部网络协议以层 次化的结构形式所构成的集合,就称为网 络体系结构。
4
网络安全体系结构大致可分为三类: 第一类是国际标准化组织(ISO)制定的开放 系统互联/考模型(OSI/RM,Open System Interconnection/Reference Model)。 第二类是有关行业成为既成事实的标准,已得 到相当普遍的接受,典型代表如著名的TCP/IP协 议体系结构。 第三类,就是各生产厂商自己制定的协议标 准。

安全模型和体系结构

安全模型和体系结构

安全模型和体系结构一、快速提示·系统可以有完全相同的硬件、软件和应用,但却会因为系统建立在不同的安全策略和安全模型之上而提供不同的保护级别。

·CPU包括一个控制单元,它控制指令和数据执行的时序;一个ALU(算术逻辑单元),它执行算术功能和逻辑操作。

·绝大多数系统部使用保护环(protection ring)。

进程的特权级别越高,则运行在编号越小的保护环中,它就能访问全部或者大部分的系统资源。

应用运行在编号越大的保护环中.它能访问的资源就越少。

·操作系统的进程运行在特权或监控模式中,应用运行在用户模式中,也称为“问题”状态。

·次级存储(second storage)是永久性的,它可以是硬盘、CD—ROM、软驱、磁带备份或者Zip驱动器。

·虚存(virtual storage)由RAM和次级存储所构成,系统因此显得具有很大一块存储器。

·当两个进程试图同时访问相同的资源,或者一个进程占据着某项资源而且不释放的时候,就发生了死锁情况。

·安全机制着眼于不同的问题,运行于不同的层次,复杂性也不尽相同。

·安全机制越复杂,它能提供的保险程度就越低。

·并不是所有的系统组成部分都要处于TCB范围内:只有那些直接以及需要实施安全策略的部件才是。

·构成TCB的组成部分有硬件、软件、回件,因为它们都提供了某种类型的安全保护功能。

·安全边界(security perimeter)是一个假想的边界线,可信的部件位子其中(那些构成TCB 的部件),而不可信的部件则处于边界之外。

·引用监控器(reference monitor)是一个抽象机,它能确保所有的主体在访问客体之前拥有必要的访问权限。

因此,它是主体对客体所有访问的中介。

·安全核心(security kernel)是实际落实引用监控器规则的机制。

第5章 安全体系结构

第5章 安全体系结构

第5章安全体系结构5.1系统安全体系结构5.1.1可信系统体系结构概述图5-1安全机制设置的位置图5-2安全机制复杂性和安全保障的关系网络安全(第2版)25.1.2定义主体和客体的子集5.1.3可信计算基5.1.4安全边界图5-3可信部件和非可信部件间通信的接口控制网络安全(第2版) 3 5.1.5基准监控器和安全内核5.1.6安全域图5-4可信级和安全域的关系网络安全(第2版)45.1.7资源隔离5.1.8安全策略5.1.9最小特权5.1.10分层、数据隐蔽和抽象5.2网络安全体系结构5.2.1不同层次的安全5.2.2网络体系结构的观点图5-5网络体系结构不同层次的安全防护网络安全(第2版) 5 5.3OSI安全体系结构5.3.1OSI安全体系结构的5类安全服务1. 鉴别2. 访问控制3. 数据机密性4. 数据完整性5. 抗否认5.3.2OSI安全体系结构的安全机制1. 特定的安全机制2. 普遍性安全机制5.3.3三维信息系统安全体系结构框架图5-6信息系统安全体系结构框架5.4 ISO/IEC网络安全体系结构5.4.1ISO/IEC安全体系结构参考模型1. 安全维2. 安全层网络安全(第2版)6图5-7安全维应用到安全层3. 安全面图5-8反映不同网络活动类型的安全面5.4.2安全体系结构参考模型的应用网络安全(第2版) 7网络安全(第2版) 8网络安全(第2版) 9网络安全(第2版) 105.5本章小结习题1. 下面是几种对TCB的描述,正确的是()。

A. 来自橘皮书,和固件有关B. 来自橘皮书,由操作系统实施的安全机制C. 来自橘皮书,是系统的保护机制D. 在安全环境中系统描述安全机制的级别2. 下面()的存储提供最高安全。

A. 内存映射B. 硬件分段C. 虚拟机D. 保护环3. 基准监控器能确保()。

A. 只有授权主体可访问客体B. 信息流从低安全级别到高安全级别C. CPU不直接访问内存D. 主体不对较低级别的客体写操作4. 保护域的正确定义是()。

网络安全体系结构ppt课件

网络安全体系结构ppt课件

可信的第三方
发送者
接收者
与安全相
关的转换






信息通道
与安全相

关的转换





秘密信息
攻击者
秘密信息12图2-3 络通信安全模型2.2 网络通信安全模型
2.2.1 网络访问安全模型 归纳起来,由图2-3所示的通信模型可知,在设计网络安全系统
时,应完成下述四个方面的基本任务: 1)设计一个用来执行与安全相关的安全转换算法,而且该算法
6
2.1 OSI安全体系结构
2.1.2 安全体系结构的8种安全机制 3.访问控制机制
访问控制机制(Access Control Mechanisms)是网络安全防护 的核心策略,它的主要任务是按事先确定的规则决定主体对客体的访 问是否合法,以保护网络系统资源不被非法访问和使用。 4.数据完整性机制
可信计算231可信计算的概念232可信计算的关键技术233可信计算的发展趋势24网络安全标准及管理241网络与信息安全标准体系242网络与信息安全标准化概况243可信计算机系统安全评价准则244网络安全管理2221osi安全体系结构图图221osiosi安全体系结构三维示意图安全体系结构三维示意图链路层网络层传输层会话层表示层应用层物理层osi参考模型安全机制身份认证访问控制数据完整性数据机密性不可否认安全服务3321osi安全体系结构211安全体系结构的5类安全服务1身份认证服务身份认证服务也称之为身份鉴别服务这是一个向其他人证明身份的过程这种服务可防止实体假冒或重放以前的连接即伪造连接初始化攻击
身份认证服务也称之为身份鉴别服务,这是一个向其他人证明身 份的过程,这种服务可防止实体假冒或重放以前的连接,即伪造连接 初始化攻击。

《信息安全体系结构》PPT课件

《信息安全体系结构》PPT课件
2〕系统安全技术.通过对信息系统与安全相关组件的操 作系统的安全性选择措施或自主控制,使信息系统安全组件 的软件工作平台达到相应的安全等级,一方面避免操作平台 自身的脆弱性和漏洞引发的风险,另一方面阻塞任何形式的 非授权行为对信息系统安全组件的入侵或接管系统管理权.
13
3.3 信息安全体系框架
组织机构体系
安全服务
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
安全机制
加数访数鉴业路公 密字问据别务由证
签控完交流控 名制整换填制
性充
6
3.2 开放系统互连安全体系结构
安全机制是指用来保护系统免受侦听、阻止 安全攻击及恢复系统的机制.
安全服务就是加强数据处理系统和信息传输的 安全性的一类服务,其目的在于利用一种或多种安全 机制阻止安全攻击.
5〕管理安全性〔管理层安全〕.安全管理包括安全技术和 设备的管理、安全管理制度、部门与人员的组织规则等.管理 的制度化极大程度地影响着整个网络的安全,严格的安全管理 制度、明确的部门安全职责划分、合理的人员角色配置都可以 在很大程度上降低其他层次的安全漏洞.
17
3.4 信息安全技术
20XX主要的信息安全技术应用统计
产品认证 人员认证 系统认证
20
3.6 信息安全等级保护与分级认证
3.6.1 IT安全评估通用准则
1985年,美国国防部颁布了可信计算机的安全评估准则 〔TCSEC〕; 1995年 统一成CC;1999年,CC准则成为国际 标准〔ISO/IEC 15408〕
CC评估准则将信息系统的安全性定义为7个评估保证级 别〔EAL1~EAL7〕,即EAL1:功能测试;EAL2:结构测试; EAL3:系统地测试和检查;EAL4:系统地设计;EAL5:半 形式化设计和测试;EAL6:半形式化验证的设计和测试; EAL7:形式化验证的设计和测试.

安全体系结构与模型

安全体系结构与模型

风险控制措施
包括安全策略制定、访问控制、数据备份和恢复等, 以降低安全风险对组织的影响。
06
安全体系结构的未来发展与挑战
新技术的发展对安全体系结构的影响
云计算技术的普及
云计算技术的发展使得数据和应用程序的集中存储和处理成为可能,同时也带来了数据安 全和隐私保护的挑战。安全体系结构需要适应云计算的特点,提供更加完善的数据加密和 访问控制机制。
物联网的广泛应用
物联网技术的广泛应用使得设备间的连接和数据交换变得更加频繁,同时也带来了设备安 全和数据安全的问题。安全体系结构需要加强对物联网设备的认证和访问控制,确保设备 间的安全通信。
人工智能和机器学习的应用
人工智能和机器学习的应用在安全领域具有巨大的潜力,例如用于威胁检测、入侵检测、 异常行为分析等。安全体系结构需要与人工智能和机器学习技术相结合,提高安全防护的 智能化水平。
P2DR模型
总结词
P2DR模型是一种动态的安全模型,强调防护(Protection)、 探测(Detection)、响应(Response)和恢复(Recovery) 四个环节。
详细描述
P2DR模型在PDR模型的基础上增加了恢复环节,强调在安全 事件发生后进行系统和数据的恢复,以减少安全事件对组织 的影响。与PDR模型相比,P2DR模型更加全面地覆盖了安全 事件的整个生命周期。
安全体系结构面临的挑战和问题
01
数据安全和隐私保护
随着数据价值的提升,数据安全和隐私保护成为安全体系结构的重要挑
战。需要加强对数据的加密和保护,防止数据泄露和未经授权的访问。
02 03
威胁情报的获取和处理
威胁情报的获取和处理对于安全体系结构至关重要,但目前威胁情报的 获取和处理还存在一定的难度和挑战。需要建立高效的威胁情报获取和 处理机制,及时发现和处理安全威胁。

安全体系结构

安全体系结构
安全策略
安全策略级别
企业范围 本机范围 用户范围 Application Domain 范围( 不可配置 ) 范围(
通过 caspol.exe 或 mscorcfg.msc 配置 有效的安全策略是所有级别的交集
代码访问安全
代码证据
预定义代码证据 Zone Site Url Publisher StrongName … 代码证据是可扩展的
日程
.NET 安全体系结构
代码访问安全 角色安全检查
安全功能
常见情形 验证(Authentication) 验证(Authentication) 授权(Authorization) 授权(Authorization) 模拟(Impersonation) 模拟(Impersonation) 代码访问安全
代码访问安全
安全权限 .NET 安全权限类定义
CodeAccessPermission DBDataPermission PrintingPermission DnsPermission WebPermission EnvironmentPermission FileIOPermission RegistryPermission UIPermission …
验证 (Authentication)
验证方式
是一个 ISAPI 扩展模块 Windows 验证 (通过 Internet Information Server)
Alice
APP.EXE
APP.DLL
KERNEL32.DLL问安全
组件化应用程序
Alice
APP.EXE
FOO.DLL
BAR.DLL
BAZ.DLL
ACME.DLL
KERNEL32.DLL

第3章安全体系结构和模型

第3章安全体系结构和模型
第3章安全体系结构和模型
3.3 五层网络安全体系
1. 网络层的安全性 核心问题在于网络是否得到控制,即是否任何一个
IP地址来源的用户都能进入网络。 解决网络层安全问题的产品主要有防火墙和VPN。
1)防火墙的主要目的在于判断来源IP,将危险或未经授权的 IP数据拒之于系统之外。
2)VPN主要解决的是数据传输的安全问题,其目的在于保证 公司内部的敏感关键数据能够安全地借助公共网络进行频繁 地交换。

SHTTP
Y

SSH
Y

Kerberos Y
Y
SNMP
Y

Y
Y
Y
Y
Y—YY源自—YYY
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y

Y
Y
Y
Y
Y

第3章安全体系结构和模型
鉴别
加 密
数字 签名
访问 控制
数据 完整 性
鉴别 交换
通信 业务 填充
路由 控制
公 证
YY
Y
访问 控制
YY
数据 机密性 Y
YY
数据
完整性 Y Y
Y
抗否认
Y
(7)路由选择控制机制:防止不利的信息通过 路由,如使用网络层防火墙;
(8)公证机制:由第三方参与数字签名,它基 于通信双方对第三方都绝对相信。
第3章安全体系结构和模型
层次 安全协议 鉴别 访问控制 机密性 完整性 抗否认
网络层 IPSec
Y

传输层 SSL
Y

PEM
Y

安全体系结构与模型

安全体系结构与模型

网络安全概述——关键技术
网络安全的关键技术

认证技术。 访问控制技术。 密码技术。 防火墙技术。 主机安全技术。 安全审计技术。 安全管理技术。
网络安全概述——具体的建议
(1)用备份和镜像技术提高数据完整性 (2)防病毒 (3)补丁程序 (4)提高物理安全 (5)构筑因特网防火墙 (6)仔细阅读日志 (7)加密 (8)提防虚假的安全
安全问题的根源
威胁网络安全的内部与外部因素: 操作系统的脆弱性 计算机系统的脆弱性 网络的脆弱性 协议安全的脆弱性 数据库管理系统安全的脆弱性 系统漏洞 物理安全 人的因素
安全问题的根源


操作系统的脆弱性 1、体系结构的不安全因素; 2、创建进程; 3、网络操作系统提供的远程过程调用(RPC)服务 以及它所安排的无口令入口也是黑客的通道。 计算机系统的脆弱性 1、计算机系统的脆弱性主要来自于操作系统的不安 全性和网络环境下的通信协议的不安全性; 2、存在超级用户; 3、 计算机可能会因硬件或软件故障而停止运转,或 被入侵者利用并造成损失。
网络安全的定义

网络安全在不同环境和应用中的解释: l、运行系统安全,即保证信息处理和传输系 统的安全。 2、网络上系统信息的安全。 包括:用户的鉴 别、用户权限的设定、数据存取权限和安全 审计等。 3、网络上信息传播的安全,即信息传播后果 的安全。 4、网络上信息内容的安全,狭义的网络安全。 侧重于保护信息的保密性、真实性和完整性。
OSI安全体系结构

用户提出的安全应用由安全服务来实现,安 全服务由各种安全机制来实现。
加密 数字 签名 防业务 访问 数据完 认证 路由 流量分 控制 整性 交换 控制 析 公证

安全保证体系39403

安全保证体系39403

苏州太美精品酒店有限公司苏州太湖丁家坞精品酒店工程安全保证体系编制人:审核人:编制单位:南通建工集团股份有限公司编制日期:2016年12月前言1、本安全保证体系计划2016年12月实施。

2、本安全保证体系由苏州太湖丁家坞精品酒店工程项目部专用。

3、本安全保证计划参照安全生产相关的法律、法规及标准进行编制。

4、本计划由项目部安全领导小组人员共同拟定制订。

安全保证体系目录第一节、工程概况1.1、工程概况1.2、工程重点部位第二节安全保证计划引用的安全标准文件,适用范围及有效期2.1、本工程所执行的安全规范目录2.2、本工程安全生产保证体系引用管理资料清单2.3、安全保证体系计划适用范围2.4、安全保证体系计划适用期限第三节、安全保证体系要求3.1、管理职责3.2、安全生产保证体系3.3、采购3.4、分包方控制3.5、施工现场的安全控制3.6、检查、检验和标设3.7、事故隐患的控制3.8、纠正和预防措施3.9、教育与培训3.10、安全记录3.11、内部安全体系审核第一节、工程概况1.1、工程概况工程名称:苏州太湖丁家坞精品酒店工程项目名称:公共区、南区客房、北区客房建设地点:苏州太湖度假区,舟山路与还太湖大道三岔口西北角建设单位:苏州太美精品酒店有限公司设计单位:苏州设计研究院股份有限公司监理单位:南京旭光建设监理有限公司施工单位:南通建工集团股份有限公司建筑规模:框架结构地下一层,地上1-3层,总建筑面积20941.54㎡;其中公共区E 区:13939.09㎡;南区客房及北区客房A1(A4)楼637.86*2㎡;A2(A3)楼546.48*2㎡;B1楼250.3㎡;B2(B4)楼152.38*2㎡;B3(B5)楼228.82*2㎡;C楼597.31㎡;D1-D4楼2608.48㎡;连廊99.76㎡;停车库254.47㎡;开闭所51.35㎡;门卫9.7㎡。

配套工程:防洪工程包含新建东坡截洪沟250米、西坡截洪沟235米、北坡撇洪沟223米以及DN1200泄洪排水管317米;防灾工程包含锚杆17120.4米、格沟715立方米、喷播5946.6平方米。

《信息安全体系结构》PPT课件

《信息安全体系结构》PPT课件
➢ 为了提供成功的保护,伪造通信业务级别必须接近实 际通信业务的最高预期等级。此外,协议数据单元的 内容必须加密或隐藏起来,使得虚假业务不会被识别, 而与真实业务区分开。通信业务填充机制能用来提供 各种不同级别的保护,对抗通信业务分析。这种机制 只有在通信业务填充受到保密服务保)
➢ 数据完整性(Data integrity)服务。对数据提供保 护,以对抗未授权的改变、删除或替代。
➢ 抗否认性(Non-reputation)服务。防止参与某次通 信交换的任何一方事后否认本次通信或通信的内容。
2.1.2 OSI的安全服务(续)
表 2-2
OSI 安全体系结构中安全服务
安全服务 认证 访问控制 数据保密性
• 各项安全服务在OSI七层中的适当配置位置,参见表2-6。
OSI各层提供的主要安全服务
• 物理层:提供连接机密性和(或)业务流机密性服务(这一层没有无连接 服务)。
• 数据链路层:提供连接机密性和无连接机密性服务(物理层以上不能提供 完全的业务流机密性)。
• 网络层:可以在一定程度上提供认证、访问控制、机密性(除了选择字段 机密性)和完整性(除了可恢复的连接完整性、选择字段的连接完整性) 服务。
➢ 数字签名机制需确定两个过程:对数据单元签名和验 证签过名的数据单元。
2.1.3 OSI的安全机制(续)
• 访问控制机制 ➢ 访问控制机制(Access Control Mechanisms)被用来实施对资源访问 或操作加以限制的策略。这种策略是将对资源的访问只限于那些被授 权的用户,而授权就是指资源的所有者或控制者允许其他人访问这种 资源。 ➢ 访问控制还可以直接支持数据保密件、数据完整性、可用性以及合法 使用的安全目标。它对数据保密性、数据完整性和合法使用所起的作 用是十分明显的。

信息安全概论--信息安全体系结构 ppt课件

信息安全概论--信息安全体系结构 ppt课件

3. 通信机制
事实上,除了在最底层——物理层,上进行的是实际的通信之外,其余各 对等实体之间进行的都是虚通信或逻辑通信。高层实体之间的通信是调用 相邻低层实体之间的通信实现的,如此下去总是要经过物理层才能实现通 信。
N+1层实体要想把数据D传送到对等实体手中,它将调用N层提供的通信服 务,在被称为服务数据单元(SDU)的D前面加上协议头(PH),传送到 对等的N层实体手中,而N层实体去掉协议头,把信息D交付到N+1层对等 实体手中。
·
路由 控制
公证
·
·
·
·
·
·
Y
·
Y
·
·
·
Y
·
·
·
·
·
·
·
·
·
·
·
·
Y
·
Y
2.3.5 层次化结构中服务的配置
服务
协议层
1
2
3
4
5
6
7
对等实体鉴别
·
·
Y
Y
·
·
Y
数据原发鉴别
·
·
Y
Y
·
·
Y
访问控制
·
·
Y
Y
·
·
Y
连接机密性
Y
Y
Y
Y
·
Y
Y
无连接机密性
·
Y
Y
Y
·
Y
Y
选择字段机密性
·
·
·
·
·
Y
Y
通信业务流机密性
(11)选择字段的无连接完整性 仅对一层上协议的某个服务数据单元SDU的部分字段提供完整性检查服务,确
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
相关文档
最新文档