信息安全体系结构.doc

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

第1章概述

1.1 基本概念

1.1.1 体系结构:是系统整体体系结构的描述的一部分,应该包括一组相互依赖、协作的安全功能相关元素的最高层描述与配置,这些元素共同实施系统的安全策略。

1.1.2 信息安全体系结构

1.1.3 信息安全保障:是人类利用技术和经验来实现信息安全的一个过程。

1.2 三要素

1.2.1 人:包括信息安全保障目标的实现过程中的所有有关人员。

1.2.2 技术:用于提供信息安全服务和实现安全保障目标的技术。

1.2.3 管理:对实现信息安全保障目标有责任的有管人员具有的管理职能。

1.2.4 三者的相互关系:在实现信息安全保障目标的过程中,三个要素相辅相成,缺一不可。

1.2.5 作为一个信息安全工作者,应该遵循哪些道德规范?

1、不可使用计算机去做伤害他人的事

2、不要干扰他人使用计算机的工作

3、不要窥视他人的计算机文件

4、不要使用计算机进行偷窃。

5、不要使用计算机来承担为证

6、不要使用没有付款的专用软件。

第2章信息安全体系结构规划与设计

2.1 网络与信息系统总体结构初步分析

2.2 信息安全需求分析

2.2.1 物理安全:从外界环境、基础设施、运行硬件、介质等方面为信息系统安全运行提供基本的底层支持和保障。安全需求主要包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷电、防火、防静电。

2.2.2 系统安全:提供安全的操作系统和安全的数据库管理系统,以实现操作系统和数据库管理系统的安全运行。安全需求包括:操作系统、数据库系统、服务器安全需求、基于主机的入侵检测、基于主机的漏洞扫描、基于主机的恶意代码的检测与防范、基于主机的文件完整性检验、容灾、备份与恢复。

2.2.3 网络安全:为信息系统能够在安全的网络环境中运行提供支持。安全需求包括:信息传输安全需求(VPN、无线局域网、微博与卫星通信)、网络边界防护安全需求、网络上的检测与响应安全需求。

2.2.4 数据安全:目的:实现数据的机密性、完整性、可控性、不可否认性,并进行数据备份和恢复。

2.2.5 应用安全:保障信息系统的各种业务的应用程序安全运行,其安全需求主要涉及口令机制和关键业务系统的对外接口。

2.2.6 安全管理:安全需求:安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运行维护管理。

2.3 信息安全体系结构的设计目标、指导思想与设计原则

2.3.1 设计目标:帮助采用该体系结构的用户满足其信息安全需求,从而对其相关资产进行保护。

2.3.2 指导思想:遵从国家有关信息安全的政策、法令和法规,根据业务应用的实际应用,结合信息安全技术与产品的研究与开发现状、近期的发展目标和未来的发展趋势,吸取国外的先进经验和成熟技术。

2.3.3 设计原则:需求明确、代价平衡、标准优先、技术成熟、管理跟进、综合防护。

2.4 安全策略的制定与实施

2.4.1 安全策略:作用:表现管理层的意志、知道体系结构的规划与设计、知道相关产

品的选择和系统开发过程、保证应用系统安全的一致性和完整性、避免资源浪费、以及尽可能的消减安全隐患。

2.4.3 安全策略分类:管理性安全策略(内部人员安全策略、物理和环境安全策略、应用操作中的输入输出介质控制策略、应急策略、硬件和系统软件维护控制策略、完整性控制策略、归档策略、安全意识和培训策略、事件响应策略)和技术性安全策略(标识和认知策略、逻辑访问控制策略、公共访问控制策略、审计追踪策略)

第3章信息安全技术支撑

3.1 密码服务技术

3.1.1 作用:为密码的有效应用提供技术支持。

3.1.2 要求:采用可信计算机、具备设备安全和敏感信息保护机制、关键设备的真实性鉴别、完善的密钥管理机制。

3.1.3 组成:密码芯片、密码模块、客户端密码服务设备、服务端密码服务设备。

3.1.4 密码的使用:数字证书运算、密钥加密运算、数据传输、数据存储、数字签名、数字信封。

3.1.6 密码服务系统接口(CPI):为密码服务相关的应用开发、提供标准化的安全接口平台。主要任务:封装硬件接口驱动。

3.2 密钥管理技术

3.2.1 作用:用户注册功能、密钥下载功能、密钥管理功能、密钥协商功能、系统日志和审计功能。

3.2.2 体系结构:密钥生成子系统、密钥库子系统、密钥恢复子系统、密钥管理子系统、管理终端。

3.3 认证技术

3.3.1 作用:当前最流行的认证技术是PKI技术.一般地,认证体系由数字证书认证机构(CA)、数字证书审核注册中心(RA)、密钥管理中心(KMC)、目录服务系统、可信时间戳系统组成。CA是认证体系的核心、RA是CA的延伸,是用户注册审核机构。密钥管理中心是电子证书认证的一个重要组成部分。目录服务是一种专门的数据库,是软件、硬件、策略以及管理的合成体,服务于各种应用程序。可行时间戳是基于国家权威时间源和公开密钥基础设施PKI技术。

3.3.2 基本模型:树状模型、信任链模型、网状模型

3.3.3 交叉认证与桥CA:桥CA是交叉认证的一个特例。

3.3.4 体系结构:CA结构:证书管理模块、密钥管理模块、注册管理模块、证书发布及实时查询系统RA结构:独立式RA和嵌入式RA

3.3.5 主要组件的功能要求:CA的功能要求:Web方式的服务、证书/证书撤销列表签发服务、证书管理服务、证书撤销管理列表服务、安全管理证书撤销列表、密码服务、数据管理服务、目录管理服务、交叉认证服务、日志服务、动态扩展、用户服务。RA的功能要求:Web服务、用户服务功能、证书管理服务、密码服务、数据管理服务。密钥管理中心的功能要求:密钥管理策略的制定、密钥生成与存储、密钥发布、密钥查询、密钥恢复、密钥备份、密钥归档、密钥托管、密钥销毁、密钥更新。可信目录服务系统的功能要求:证书发布功能、CRL发布功能、同步功能、ACRL列表的发布、采用负载均衡技术、可以根据业务量的大小动态增减服务单元,调整系统业务能力、可以有效地缔约各种攻击行为。可信时间戳的功能要求。证书查询证服务系统的功能要求。

3.4 授权技术

3.4.1 作用:为应用提供针对各种资源的授权管理和访问控制服务技术。

3.4.3 体系结构与主要功能:集中式授权管理服务系统基于相对固定的授权模型,提供集中式管理,通过在数字证书的扩展项增加增加用户的属性或权限信息,在服务器端构建授

相关文档
最新文档