2011年軟考系統架構設計師學習筆記第十二章
系統安全架構設計
12.1 信息系統安全架構的簡單描述
信息安全的特征是為了保證信息的機密性、完整性、可用性、可控性、不可抵賴性。
以風險策略為基礎。
12.1.1 信息安全的現狀及其威脅
計算機和網絡的普及,會產生兩個方面的效應:
其一,各行各業的業務運轉幾乎完全依賴于計算機和網絡。
其二,大多數人對計算機的了解更加全面。
常見的安全威脅有如下幾種:
1、信息泄露。
2、破壞信息的完整性。
3、拒絕服務。
4、非法使用。
5、竊聽。
6、業務流分析,發現有價值的信息和規律。
7、假冒。
8、旁路控制。
9、授權侵犯。
10、特洛伊木馬。
11、陷阱門,設置了“機關”,提供特定的輸入數據時,允許違反安全策略。
12、抵賴。
13、重放,處于非法的目的而被重新發送。
14、計算機病毒。
15、人員不慎。
16、媒體廢棄。
17、物理侵入。
18、竊取。
19、業務欺騙。
可以從安全技術的角度提取出5個方面的內容:認證鑒別、訪問控制、內容安全、冗余恢復、審計響應。
12.2 系統安全體系架構規劃框架及其方法
安全技術體系架構過程的目標 是 建立可持續改進的安全技術體系架構的能力。
OSI參考模型:物理、數據鏈路、網絡、傳輸、會話、表示、應用。
根據網絡中風險威脅的存在實體劃分出5個層次的實體對象:應用、存儲、主機、網絡、物理。
信息系統安全規劃是一個非常細致和非常重要的工作,需要對企業信息化發展的歷史情況進行深入和全面的調研。
信息系統安全體系主要是由技術體系、組織結構體系、管理體系三部分共同構成。
技術體系由物理安全技術和系統安全技術兩大類組成。
組織體系由機構、崗位、人事三個模塊構成。
管理體系由法律管理、制度管理、培訓管理三部分組成。
人員安全包括 安全管理的組織結構、人員安全教育與意識機制、人員招聘及離職管理、第三方人員安全管理等。
12.3 網絡安全體系架構設計
12.3.1 OSI 的安全體系架構概述
在 OSI 7層協議中 除會話層外,每一層 均能提供相應的安全服務。
最適合配置安全服務的是 物理層、網絡層、運輸層、應用層。
ISO 開放系統互聯 安全體系的5類安全服務:鑒別、訪問控制、數據機密性、數據完整性、抗抵賴性。
分層多點安全技術體系架構,也稱為深度防御安全技術體系架構,通過以下方式將防御能力分布至整個信息系統中。
1、多點技術防御,從內部或外部多點攻擊一個目標,通過對以下多個防御核心區域的防御達到抵御所有方式的攻擊的目的。
1. 網絡和基礎設施,確保可用性,確保機密性和完整性。
2. 邊界,抵御主動的網絡攻擊。
3. 計算環境,抵御內部、近距離的分布攻擊。
2、分層技術防御,有效的措施是使用多個防御機制。
支撐性基礎設施為網絡、邊界、計算機環境中信息保障機制運行基礎。包括公鑰設施、檢測和響應基礎設施。
1. 公鑰基礎設施提供一種 通用的聯合處理方式,以便安全地創建、分發、管理 公鑰證書和傳統的對稱密鑰。
公鑰基礎設施 必須支持受控的互操作性,并與各用戶團體所建立的安全策略保持一致。
2. 迅速檢測并響應入侵行為,便于結合其他相關事件觀察某個事件的“匯總”性能。
識別潛在行為模式或者新的發展趨勢
12.3.2 鑒別框架
鑒別(Authentication)防止其他實體占用和獨立操作被鑒別實體的身份。
鑒別有兩種重要的關系背景:
一是實體由申請者來代表,申請者與驗證者之間存在著特定的通信關系(如實體鑒別)。
二是實體為驗證者提供數據項來源。
鑒別方式主要基于以下 5種:
1、已知的,如 一個秘密的口令。
2、擁有的,IC卡、令牌等。
3、不改變的特性,如生物特征。
4、相信可靠的第三方建立的鑒別(遞推)。
5、環境(如主機地址等)。
鑒別信息(Artificial Intelligence,AI)是指申請者要求鑒別到 鑒別過程結束 所生成、使用、交換的信息。
交換AI、申請AI、驗證AI。
鑒別服務分為以下階段:安裝階段、修改鑒別信息階段、分發階段、獲取階段、傳送階段、驗證階段、停活階段、重新激活階段、取消安裝階段。
12.3.3 訪問控制框架
訪問控制(Access Control)決定 允許使用哪些資源、在什么地方適合阻止未授權訪問的過程。
ACI(訪問控制信息)用于訪問控制目的的 任何信息。
ADI(訪問控制判決信息)做出判決時 可供 ADF使用的部分(或全部)ACI。
ADF(訪問控制判決功能)做出訪問控制判決。
AEF(訪問控制實施功能)。
涉及訪問控制的有 發起者、AEF、ADF、目標。
12.3.4 機密框架
機密性(Confidentiality)服務確保信息僅僅是對被授權者可用。
數據只對那些擁有某種關鍵信息的人才是可訪問的。
被保護的環境被交疊保護的環境。
從一個環境移到另一個環境的數據的連續保護必然涉及到交疊保護環境。
機密性機制
數據的機密性可以依賴于所駐留和傳輸的媒體。
數據在傳輸中的機密性 能通過禁止訪問的機制、隱藏數據語義的機制、分散數據的機制。
物理方法保證媒體的數據只能通過特殊的有限設備才能檢測到。
通過路由選擇控制。
通過機密提供機密性。
12.3.5 完整性框架
完整性(Integrity)框架目的是通過組織威脅或探測威脅,保護可能遭到不同方式危害的數據完整性和數據相關屬性完整性。
所謂完整性,就是數據不以未經授權方式 進行改變或損毀的特征。
幾種分類方式:未授權的數據修改、未授權的數據創建、未授權的數據刪除、未授權的數據插入、未授權的數據重放。
依據是否包括恢復機制分為具有恢復機制的和不具有恢復機制的。
完整性機制的類型
1、組織對媒體訪問的控制,包括物理的、不受干擾的信息;路由控制;訪問控制。
2、用以探測 對數據或數據項序列的非授權修改的機制。
按照保護強度,完整性機制可以分為 不作保護;對修改和創建的探測;對修改、創建、刪除、重復的探測;對修改和創建的探測并帶恢復功能;對修改、創建、刪除、重復的探測并帶恢復功能。
12.3.6 抗抵賴框架
抗抵賴(Non-repudiation)服務 包括證據的 生成、驗證、記錄,以及 在解決糾紛時隨即進行的證據恢復和再次驗證。
目的是 提供有關特定事件或行為的證據。
當涉及消息內容的抗抵賴服務時,為提供原發證明,必須確認數據原發者身份和數據完整性。
為提供遞交證明,必須確認接收者身份和數據完整性。
抗抵賴服務提供 在試圖抵賴的事件中 使用的設備:證據生成、證據記錄、驗證生成的證據、證據的恢復和重驗。
抗抵賴由 4個獨立的階段組成:證據生成;證據傳輸、存儲、恢復;證據驗證;解決糾紛。
1、證據生成
卷入事件或行為中的實體,稱為證據實體。證據實體可由證據實體、或可能與可信第三方的服務一起生成、或者單獨由可信第三方生成。
3、證據驗證
證據在 使用者的請求下被證據驗證者 驗證。讓證據使用者確信被提供的證據確實是充分的。
12.4 數據庫系統的安全設計
電子政務中所涉及的數據庫 密級更高、實時性更強。
實現 數據庫系統安全的 完整性、保密性、可用性。
安全策略一般為 用戶管理、存取控制、數據加密、審計跟蹤、攻擊檢測。
12.4.1 數據庫安全設計的評估標準
1985 年,美國國防部頒布“可信計算機系統評估標準(Trusted Computer System Evaluation Criteria,TCSEC)”橘皮書(簡稱 DoD85)。
1991年,美國國家計算機安全中心(The National Computer Seaurity Center,NCSC)頒布了“可信計算機評估標準關于可信數據庫管理系統的解釋(Trusted Database Interpretation,TDI)”。
TDI 是 TCSEC 在數據庫管理系統方面的擴充和解釋,從 安全策略、責任、保護、文檔 4個方面進一步描述了每級的安全標準。
按照 TCSEC標準,D類產品 基本沒有安全保護措施,C類產品 只提供了 安全保護措施,B類以上產品 是實行強制存取控制的產品,是真正意義上的安全產品。
12.4.2 數據庫的完整性設計
數據庫的完整性是指數據庫中數據的正確性和相容性。
由各種各樣的完整性約束來保證,因此可以說數據庫完整性設計就是數據庫完整性約束的設計。
通過DBMS或應用程序來實現。
1、數據庫完整性設計原則
1. 根據數據庫完整性約束的類型 確定其實現的系統層次和方式,并提前考慮對系統性能的影響。
一般情況下,靜態約束應 盡量包含在數據庫模式中,動態約束由應用程序實現。
2. 實體完整性約束、參照完整性約束 是關系數據庫最重要的完整性約束,盡量應用。
3. 要慎用 觸發器,一方面性能開銷較大;另一方面,多級觸發不好控制,容易發生錯誤,最好使用 Before 型語句級觸發器。
4. 在需求分析階段就必須制定完整性約束的命名規范。
5. 要根據業務規則 對數據庫完整性進行細致的測試。
6. 要專職的數據庫設計小組。
7. 應采用合適的 CASE工具 來降低數據庫設計各階段的工作量。
2、數據庫完整性的作用
1. 能夠防止合法用戶使用數據庫時 向數據庫中添加不合語義的數據。
2. 實現業務規則,易于定義,易于理解,而且可以降低應用程序的復雜性,提高應用程序的運行效率。集中管理。
3. 能夠同時兼顧 數據庫的完整性和系統效能。
4. 有助于盡早發現應用軟件的錯誤。
5. 數據庫完整性約束 6類:列級靜態約束、元組級靜態約束、關系級靜態約束、列級動態約束、元組級動態約束、關系級動態約束。
動態約束通常由應用軟件來實現。
3、數據庫完整性設計示例
首先 需要在需求分析階段確定要通過數據庫完整性約束實現的業務規則。
然后 依據整個系統的體系結構和性能要求,遵照數據庫設計方法和應用軟件設計方法,合理選擇每個業務規則的實現方式。
最后 認真測試,排除隱含的約束沖突和性能問題。
基于 DBMS的數據庫完整性設計大體分為以下幾個階段:
1. 需求分析階段。
2. 概念結構設計階段。
3. 邏輯結構設計階段,就是將概念結構轉換為某個DBMS所支持的數據模型,并對其進行優化,包括對關系型的規范化。
每種業務規則都可能有好幾種實現方式,應該選擇對數據庫性能影響小的一種,有時需通過實際測試來決定。
12.5 案例:電子商務系統的安全性設計
1、原理介紹
1. 驗證(Authentication):是否可以獲得授權。
2. 授權(Authorization):可以使用哪些服務。
3. 審計(Accounting):記錄用戶使用網絡資源的情況,用戶IP地址、MAC地址掩碼 等。
2、軟件架構設計
RADIUS 軟件架構分為三個層面:協議邏輯層、業務邏輯層、數據邏輯層。
協議邏輯層 主要實現 RFC框架中的內容,處理網絡通信協議的 建立、通信、停止方面的工作。
相當于一個轉發引擎,起到分發處理的內容分發到不同的協議處理過程中。
業務邏輯進程分為:認證、計費、授權,三種類型。
數據庫代理池 統一連接數據庫,以減少對數據庫系統的壓力。同時減小了系統對數據庫的依賴性,增強了系統適應數據庫系統的能力。
RADIUS 軟件分層架構的實現:
一是 對軟件風險進行了深入的分析,
二是 可以構建一個或多個重用的構件單元,也可以繼承原來的成果。
RADIUS 的功能:
一是 實際處理大量用戶并發的能力,
二是 軟件架構的可擴展性。
負載均衡是提高 RADIUS軟件性能的有效方法,主要完成以下任務:
1. 解決網絡擁塞問題,就近提供服務。
2. 為用戶提供更好的訪問質量。
3. 提高服務器響應速度。
4. 提高服務器及其他資源的利用效率。
5. 避免了網絡關鍵部位出現單點失效。
【編輯推薦】
