安全基础设施设计原理-147.pptVIP

第18章 安全基础设施设计原理 18.1 安全基础设施概述 18.2 安全基础设施的目标 18.3 安全基础设施的的设计指南 18.4 密钥管理基础设施/公钥基础设施 18.5 证书管理 18.6 对称密钥管理 18.7 基础设施目录服务 18.8 信息系统安全工程 18.9 本章小结 习题 18.1 安全基础设施概述 18.1.1 安全基础设施概述 一个安全基础设施应提供很多安全组件的协同使用，其体系结构可改进整个的安全特性，而不仅是各个安全组件的特性。使用这个定义，可推论出安全基础设施的设计和特性。 以防火墙为例，使用防火墙可以很好地实施安全策略，但是，如果它不能和体系结构中的其他组件很好地连接，就不能构成一个安全基础设施。例如，这个防火墙不能和安全基础设施的其他方面互相联系、互相作用，那它只是一个安全组件，而不是安全基础设施的一部分。这就是安全基础设施定义中的协同组件。再如，假如从防火墙能发送报警至事件管理站，由事件管理站处理成通知网络运行中心（Network Operations Center, NOC）的报警，那么，防火墙可能成为基础设施的一部分。 反之，如防火墙本身做得很好，其屏幕可显示大部分入侵的通信，且能在搜集后做日志，但它不能通知其他任何组件，那防火墙的作用是不完全的。如果将防火墙和入侵检测、强的身份鉴别、加密的隧道（VPN）等组件协同作用，就能设计成一个基本的安全基础设施。 18.1.2 安全基础设施的组成 安全基础设施的主要组成有4部分：网络、平台、物理设施、处理过程。 网络类包括防火墙、路由器、交换机、远程访问设备（如VPN和拨号modem池）以及基于网络的入侵检测，它们分别在整个安全设计中增加某些安全特性。这些组件通过其网络接口或在软件中定义的逻辑来监控、过滤或限制通信。这些安全组件的作用是监控和保护在网络中通过的数据，或保护在应用中通过、使用的数据。 平台类包括服务器、客户端软件（例如，执行操作系统和安全应用的控制）。执行一些电子操作（如智能卡和读卡器、产生凭证的硬件卡、基于硬件的加密设备）的设备也属于这一类。平台类还包括应用级访问控制，如产生凭证的软件程序、数字证书、基于主机的入侵检测、病毒扫描和清除、事件搜集代理和分析软件程序。应用级访问控制能提供鉴别、授权、基于主机的入侵检测和分析、病毒检测和清除、事件账户管理和分析等功能。这些安全功能用来保护常驻在主要基础设施边界的应用。 安全基础设施的物理组成包括标准的门钥匙和锁、钥匙卡、标识标志、安全照相机、活动传感器、声像报警、安全警卫和系统、设备标签等。根据人的生物特征检测的设备也属于这一类，如指纹读出器、面部形状照相机、视网膜扫描器等。这些仿生组件是通过自然本质来标识和鉴别用户的。属于这一类的还有网络电缆和后备电源（如UPS系统和自备发电机）。物理安全设施的基本目的是防止非授权者进入以及保护安全基础设施的电力供应和网络连接。 处理过程包括企业安全策略和过程文档，用来管理企业数据的生成、使用、存储和销毁，以及管理这些数据所在的系统和网络。企业安全策略的目的是定义企业资产保护的范围以及对这些资产所需的专门保护机制。企业安全过程是企业安全策略文档的一个组成，用来指导员工在特定环境下的行动。企业安全策略和过程是安全基础设施的重要组成。有了综合的安全策略和过程文档，安全设计师就能明白什么样的资产是企业需要保护的，以及如何保护这些资产。 虽然安全策略文档提供数据、系统和网络的保护策略，但它对厂商选择、设计或实施并不规定所需的详细战术。这些安全组件的成功实施需要了解安全基础设施目标，否则可能会不合适地保护或完全疏忽那些关键资产。 18.2 安全基础设施的目标 安全基础设施设计的基本目标是保护企业的资产。保护这些资产的方法是适当地部署各个安全组件于有组织的、协同的安全基础设施中。这些资产包括硬件、软件、网络组件以及知识财产。保护这些资产应根据企业安全目标和企业安全策略文档。虽然提到的只是数据的保护，实际上保护数据及其可用性也意味着保护执行的系统和网络。 根据选择的数据等级分类体制，每种数据保护目标应按数据机密性、数据完整性和数据可行性来表示和衡量。 当设计一个安全基础设施时，把应用的最好结果作为目标。因为应用最靠近数据以及数据的处理、交换和存储。将设计目标放在数据机密性、数据完整性和数据可用性上，会发现这不仅使应用得到安全，而且企业也得到安全。这个概念如图18.1所示。 图18.1 以应用为目标的安全设计概念 数据机密性的前提是防止非授权者看到非公共使用的数据。数据机密性应用于本书所定义的具有内部的、机密的、严格限制的标记的数据。通过安全数据存储和安全数据传输提供数据机密性保护。满足数据机密性要求的典型技术包括数据传输、安全在线和