信息保障技术框架IATF
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.信息系统:处理、存储和传输信息的系统。
2.为什么需要信息保障:信息系统在人们的生产、生活中发挥着日益重要的作用;信息系统存在根本安全缺陷;安全形势日益恶化
3.信息保障的内涵:是指采用可提供可用性、完整性、认证、机密性和不可否认性安全服务的应用程序来保护信息和信息系统。除了保护机制外,还应该提供攻击检测工具和程序,以使信息系统能够快速响应攻击,并从攻击中恢复。
基本概念和术语:
Information Infrastructure:信息基础设
施 Categorizing Information:分类信息Boundary:边界
IATF area:信息保障框架域4.IATF将信息系统的信息保
障技术层面分为四部分:
本地计算环境、飞地边界、网络和基础设施、支撑性基础设施
飞地:指的是通过局域网相互连接、采用单一安全策略,并且不考虑物理位置的本地计算设备
飞地边界:是信息进入或离开飞地或机构的点。
支撑性基础设施以安全管理和提供安全服务为目的。
支撑性基础设施为以下各方提供服务:网络;终端用户工作站;Web、应用和文件服务器。5.IATF所讨论的两个范围分
别是:密钥管理基础设施(KMI/PKI);检测与响应基础设施。
6.纵深防御原则:优先原则,建议纵深防御战略附带着若干IA 的原则
优先原则:三个要素:人,技术,运行
纵深防御策略中涉及人员:政策和程序,物理安全,培训和意识,人员安全,系统安全管理,设备对策
纵深防御战略中某些技术领域:IA体系结构,IA准则,已经评估产品的获取/集成,系统风险评估
纵深防御战略有关的运行领域:安全策略,认证和认可,安全管理,备用评估,ASW&R,恢复&重新构造
纵深防御战略附带若干IA的原则:多处设防,分层保卫,安全的坚固性,配备PKI/KMI,配备入侵检测系统
1.系统工程:组织管理系统规划、研究、制造、实验、使用的科学方法,是一种对所有系统都具有普遍意义的科学方法。研究重点:方法论,一门解决问题的应用技术
2.系统安全工程:系统工程的子集。一门解决安全问题的应用技术。
主要目标:1.获得对企业安全风险的理解;2.根据已识别的安全风险建立一组平衡的安全需求;3.将安全需求转换成安全的指导原则,这些安全指导原则将被综合到项目实施中的其他科目活动和系统配置或运行的定义中;4.通过正确有效的安全机制建立保证;5.判断系统中和系统运行时残留的安全风险对运行的影响是否可容忍;6.将所有科目和专业活动集成为一个具有共识的系统安全可信性工程。
3.ISSE:系统安全工程的子集,一门信息系统安全问题的应用技术。
4.三个避免无效工作的原理1.始终保持问题和解决问题的空间是分离的;
问题是我们希望系统做什么?
解决问题的方案是系统要做我
们希望它做的事情。当我们把
注意力集中到解决方案时,很
容易失去问题的视野。从而导
致解决了错误问题和建立了错
误系统。正如我们已经注意到
的那样,没有比解决错误问题
和建立错误系统更无效了。
2.通过客户的任务和业务需
求来确定问题空间;
通常客户都是以技术观点和他
们对问题解决的观点来和工程
师谈话,而不是从谈问题的角
度来谈问题。系统工程师和信
息系统安全工程师必须不考虑
这些观点并发掘客户已经理解
的问题。如果用户的要求不是
基于客户的任务或业务需求,
那么,产生的系统解决方案不
可能响应这些需求。再次,这
将导致建立错误系统并且说明
什么也没有比解决错误问题和
建立错误系统更无效的了。
3.系统工程师和信息系统安
全工程师确定解决问题空间,
它们是从问题空间推导出来
的;
系统工程师不是客户是系统解
决方案的专家。如果客户是设
计专家,那么就不必要雇佣系
统工程师了。想要干涉设计过
程的客户有可能对解决方案增
加一些限制并限制了
在开发支持任务或业务目标并
满足用户要求的系统时系统工
程师的灵活性。概括的讲,客
户拥有问题。这就是客户的任
务或业务,也就是预期要支持
的系统。但是,用户并不总是
发掘和文挡化的专家。工程师
们要帮助客户发掘和文挡化问
题。同时,系统工程师,并不
是客户是设计解决问题方案的
专家。系统工程师和信息系统
工程师要阻止客户干预设计的
倾向。
3.3.ISSE过程:发掘信息保护
需求、确定系统安全要求、设
计系统安全体系结构、开发详
细安全设计、实现系统安全、
评估信息保护的有效性
4.1.1潜在对手:潜在对手分
类:恶意对手、非恶意对手
恶意对手:国家、黑客、恐怖
分子、犯罪组织、其它犯罪团
体、国际舆论、产业竞争者、
不满的员工
非恶意对手:粗心的或缺乏训
练的员工
4.1.2主要目标三个类别:未
授权存取、未授权修改、拒绝
访问信息
4.1.3动机
下面给出对手为何刺探特定目
标的通常动机:
1.获取机密或敏感数据的访问
权(注意:那些对某些人或组
织有很高价值的信息对别人可
能毫无用处);
2.跟踪或监视目标系统的运
行(跟踪分析);
3.扰乱目标的运行;
4.窃取钱财或服务;
5.免费使用资源(例如,计算
机资源或免费使用网络);
6.使目标陷入窘境;
7.克服击溃安全机制的技术
挑战。
对攻击一个信息系统时对手面
临一定风险,对手愿意接受的
风险级别取决于对手的动机。
风险因素包括:
1.揭露对手的能力以进行其
它类型的攻击;
2.触发可能阻止进一步成功
攻击的防范机制,特别当攻击
获利很大时;
3.遭受惩罚(如罚款、入狱和
处于窘境等);
4.危及生命安全;
1、被动攻击:被动监视公共
媒体上的信息传递。对策:使
用VPN加密保护网路,使用加保
护的分布式网络
2、主动攻击:避开或破坏安
全部件, 引入恶意代码,破坏
数据或系统完整性。对策:增
强区域边界保护、基于网络管
理交互身份认证的访问控制、
受保护远程访问、质量安全管
理、自动病毒检测工具、审计
和入侵检测。
3、临近攻击:一个未授权的
个人近距离物理接触网络、系
统或设备,以修改、收集信息
或者拒绝对信息的访问。这种
接近可以通过秘密进入、公开
访问或者两者结合。对策:配
置监控器,物理安全
4、内部人员攻击由在信息安
全处理系统物理边界内的合法
人员或者能够直接访问信息安
全处理系统的人员发起的攻
击。对策:安全意识和训练;
审计和入侵检测;安全策略和
增强安全性;关键数据、服务
和局域网的特殊的访问控制在
计算机和网络元素中的信任技
术;一个强的身份识别与认证
能力
5、分发攻击:硬件或软件在生
产与安装过程中,或者在运输
过程中,被恶意地修改。对策:
在工厂,可以通过加强处理配
置控制将这类威胁降低到最
低。通过使用受控分发,或使
用由最终用户检验的签名软件
和存取控制可以解除分发威胁
4.2主要安全服务:访问控
制、保密性、完整性、可用性
和不可否认性
4.2.1访问控制定义:在网
络安全环境中,访问控制意味
着限制对网络资源和数据的访
问。目标:阻止未授权使用资
源,阻止未授权公开或修改数
据
3.组成:访问控制的要求可分
为以下几类:I&A标识与认证,
授权,决策,执行
身份认证机制可以分为简单认
证和基于加密的认证。
简单认证:包括基于身份的认
证,并通过要求试图访问的实
体回答只有它自己才知道的信
息来认证其身份。简单认证的
另一个例子是基于地址的认
证,这种机制公通过通令双方
的网络地址来认证身份
基于加密的认证:基于加密的
机制依靠一定协议下的数据加
密处理。通令双方共享一个密
钥,该密钥用来在挑战-应答
协议中处理或加密信息交换。
其他加密机制仅依赖于公开密
钥加密,或者依靠在公开密钥
和由公开密钥证书提供的身份
之间的绑定。
所有基于加密的机制
地强度部分依赖于加密算法的
强度,部分依赖于通信协议的
安全,还在很大程度上依赖于
密钥保护
4.3强健性策略
1.强健性:是安全机制的强度
和保险程度的级别。
2.强健性策略:强健性策略描
述了一个方法:需要受保护信
息的价值和系统威胁程度的基
础上怎样确定强健性的推荐级
别。将安全服务分解成多个支
持机制并确定相应的强度级别
3.确定强健性级别:机制强度
级别SML,评估保障级别EAL,
要保护的信息价值,所感知的
威胁环境
4.确定信息价值:由违反信息
保护策略可能造成的结果确定
五个等级:V1:保护策略的违
犯造成的结果可以忽略;V2:
保护策略的违犯会对安全、保
险、金融状况、下级组织造成
不良影响和/或小的破坏;V3:
保护策略的违犯会产生一定的
破坏;V4:保护策略的违犯会
造成严重的破坏;V5:保护策
略的违犯会造成异常严重的破
坏。
5.确定威胁级别:由对手的技
术水平,可用的资源,承担的
风险确定
七个等级:T1:无意的或意外
的事件;T2:被动的、无意识
的占有很少资源并且愿意冒少
许风险的对手;T3:占有少许
资源但是愿意冒大风险的对
手;T4:占有中等程度资源的
熟练的对手,愿意冒少许的风
险;
T5:占有中等程度资源的熟练
的对手,愿意冒较大的风险;
T6:占有丰富程度资源的特别
熟练的对手,愿意冒少许的风
险;T7:占有丰富程度资源的
特别熟练的对手,愿意冒较大
的风险。
6.确定强健性级别:强健性级
别定义为安全机制的强度和保
险度级别。强度是破坏该机制
所需付出努力的一个相对度
量,并不一定与实现这种机制
所需的成本相关。当所有因素
相同时,应该选择高强度的机
制。
7.安全机制的强度(三个等
级)SML1:基本强度,可以抵
抗不复杂的威胁,能够保护低
价值的数据。SML2 是中等强
度,可以抵抗复杂的威胁(T4
到T5),能够保护中等价值的
数据。SML3 是高强度,可以抵
抗来自单一民族国家的威胁
(T6到T7),能够保护高价值
的数据。
产品的安全性:产品提供的安
全功能,安全功能的可信度。
同样的安全功能,可以有不同
的可信度
8.安全保障级别:安全保障是
对声明的信任的度量,使人确
信信息系统的体系结构和安全
特性已恰当仲裁,并执行了安
全策略。
7个级:EAL1功能测试,适用于
要求正确操作而安全威胁认为
并不严重的情况;EAL2 结构测
试,适用于要求中低级的独立
保障的安全性的情况;EAL3 系
统地测试和检查,适用于要求
中级的独立保障的安全性的情
况;EAL4系统地设计、测试和
复查。适用于要求中级或高级
独立保障的安全性的情况;
EAL5半形式化设计和测试,适
用于在开发计划中要求高级独
立保障的安全性和严密开发实
现的情况;EAL6半形式化验证
和测试,适用于开发用于高风
险环境的安全产品的情况;
EAL7形式化验证和测试,适用
于开发用于极高风险环境的产
品或高额资产高额花费的情况
9.等级保护:国家对信息系统
实行五级保护;实行信息安全
等级保护制度,重点保护基础
信息网络和重要信息系统。
五章保护网络和基础设施
1.网络支持三种不同数据流:
用户通信流,控制通信流,管
理通信流
2.用户通信流:用户在网上传
输的信息
3.控制通信流:建立用户连接
所必备的网络组件之间传送的
信息;路由信息。
4.管理通信流:配置网络组件
的任意信息;起源于一个网络
组件的信息,向网络基础设施
表明网络组件状态的信息;简
单的网络管理协议(SNMP)信
息。
5.1骨干网(BN)的可用性
5.1.1目标环境
1.我国骨干网的定义:将城域
网连接起来的网。是国家批准
的可以直接和国外连接的互联
网
2.骨干网的特点:高速;流量
大;范围广;与接入网相对应。
3.骨干网内部与骨干网外部:
内部:网络传输设备;网络管
理中心(NMC)
NMC:与网络传输设备不同,NMC
实现远程对骨干传输设备的管
理、参数配置和实时监控;NMC
持续运行,支持网管员的远程
操作;网管员对NMC的远程操作
与客户远程访问服务器,运行、
安全机制类似,C/S模式
根本不同: 网管员位于BN内部,
远程用户位于BN外部
4.骨干网模型的九个主要方
面:
1.网络间的通信:用户流;控
制流2.设备间的通信:BN要求
设备间控制流的持续信息交
互,以提供连通性3.设备管理
与维护:配置和参数调整,以
维护BN中单个设备以及网络管
理流的传输。4.用户数据接
口:用户数据进入和离BN的通
道;阻止通过用户对BN的攻击
5.网管员与NMC的远程通信:
网管员使用设备的物理安全;
与NMC连接的安全性。6.NMC对
设备间通信:要求保证NMC与设
备间通信的连通性;防止,网
络管理数据的暴露。7.NMC飞
地:网络管理对于BN的可用性
是非常重要的,管理数据应该
与用户数据隔离;需要对NMC中
的设备和数据进行保护。8.厂
商的服务:产品安装、更新与
维护;需要确保厂商所提供服
务的合法性。9.厂商的设计与
制造:涉及到产品开发到分发
的整个制造过程;在整个过程
中,都应该考虑到安全。如产
品设计、实现、分发中的安全
性。
1.功能要求:骨干网必须提供
经过协议的响应级别、服务的
连续性、抵制通信服务的意外
和故意中断;骨干网必须保证
充分保护的信息不拖延、误传
递或不传递;作为端到端的信
息传输系统,骨干网提供的服
务对用户透明;作为透明需求
的一部分,骨干网和其他骨干
网或当地网络必须无缝连接。
2.安全要求
访问控制:访问控制必须能够
区分用户对数据传输的访问和
管理员对网络管理与控制的访
问。访问控制必须限制对网络
管理中心的访问。
认证:网络设备必须能认证从
其他网络设备所有通信的来
源,比如路由信息。网络设备
必须认证从网络管理人收集的
所有需求。网络管理系统必须
在同意访问之前能认证网络管
理人员。网络管理中心须认证
从外网进入网络管理中心的所
有通信源。网络管理中心必须
认证制造商提供的材料和软件
的来源。在所拨号用户进入网
络管理中心之前,网络管理中
心必须认证它们。
可用性:硬件和软件对用户必
须是可用的。服务商必须提供
用户高层次的系统可用性。
机密性:必须保护主要构件的
机密性。网络管理系统必须提
供路由信息、打信号信息、提
供通信流安全的网络管理信息
传输的保密性。
完整性:必须保护网络设备之
间通信的完整性;必须保护网
络设备的硬件和软件的完整
性;必须保护网络设备和网络
管理中心之间的完整性;必须