03信息安全体系结构信息系统安全体系研究.pptx

主要内容概述开放系统互连参考模型介绍开放系统互连安全体系结构ISO开放系统互连安全体系结构TCP/IP安全体系安全管理信息系统安全体系框架概 述研究信息系统安全体系结构的目的： 将普遍性安全体系原理与自身信息系统的实际相结合，形成满足信息系统安全需求的安全体系结构。安全体系结构形成：安全需求安全策略风险分析安全体系结构概 述“风险—安全—投资”的平衡关系平衡关系两个参考标准把风险降低到可以接受的程度。威胁和/或攻击信息系统所花的代价大于入侵信息系统后所获得的现实的和潜在的信息系统资源的价值。安全体系结构的目的：从管理和技术上保证安全策略得以完整准确地实现，安全需求全面准确地得以满足，包括确定必需的安全服务、安全机制和技术管理，以及它们在系统上的合理部署和关系配置。信息系统安全目标信息保护：保护所属组织的有价值信息和维系系统运行有关的信息的机密性、完整性、可用性和可控性。系统保护：保护所属组织的运行和职能实现的技术系统的可靠性、完整性和可用性。信息系统安全目标遵循原则组织级别原则保护国家秘密信息和敏感性信息原则控制社会影响原则保护资源和效率原则信息系统构成要素软件设施计算机操作系统网络操作系统网络通信协议通用应用软件网络管理软件管理者系统安全员系统管理员网络管理员存储介质保管员系统操作人员软硬件维修人员物理环境及保障物理环境：场地，机房物理保障：电力供应，灾难应急硬件设施计算机网络设备传输介质及转换器输入/输出设备存储介质监控设备2.1 开放系统互连参考模型ISO/OSI 开放系统互连参考模型（open system interconnection reference model）开放系统 与其它系统通信而相互开放的系统互连开放系统互连参考模型 7. 应用层 6. 表示层 5. 会话层 4. 传输层 3. 网络层 2. 数据链路层 1. 物理层层次划分,分7个层次；通信中的实际数据流向；1-3层协议实现的是直接相连的机器之间的协议,4-7层实现的是端到端的协议；同一层次上实现虚通信；协议传输的数据称作协议数据单元(PDU)。协议首部首部首部首部首部首尾OSI模型传输数据的基本过程 数据应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层010110111001101010101010010101经过中间节点数据传递的过程 对等层协议 7 6 5 4 3 2 1 7 6 5 4 3 2 1 3 2 1 3 2 1物理层(physical layer)传输比特流。处理机械的，电气的和过程的接口及传输介质问题。 用多少伏电压表示“1”，多少伏电压表示“0”；一个比特持续多少微秒；传输方式，单工、双工还是半双工；最初连接如何建立、完成通信后，连接如何终止；网络接插件有多少针，各个针的用途；数据链路层(data link layer)在不可靠的物理链路上实现可靠的传输把数据分装在各个帧中，能识别帧边界；按顺序发送数据帧，并处理收方回送的确认帧；帧的重传问题，帧的重复问题；防止高速的发送方“淹没”低速接收方；解决数据帧和确认帧的线路竞争问题。在广播式网络中，如何控制对共享信道的访问。网络层(network layer)在源、目的端之间选择一条最佳路径，将分组正确、无误地传送到目的地。提供路由选择和拥塞控制等功能。分组的路由选择功能，静态路由表，动态路由；拥塞控制；记帐功能；分组跨多个网络时，解决分组转换，寻址方式的问题。传输层(transport layer)在两个端系统之间可靠、透明的传送报文。数据（报文）的分割、复用；流量控制；会话层请求一个传输连接，传输层就为其创建一个独立的网络连接。会话层(session layer)在两个互相通信的应用进程之间，建立，组织和协调其交互，提供会话活动管理、交互管理和会话同步管理等功能。表示层(presentation layer)解决用户信息的语义、语法表示问题。将要交换的数据从适合于某一用户的抽象语法转换为适合OSI内部使用的传送语法，即完成信息格式的转换。应用层(application layer)开放系统与应用进程的接口，提供OSI用户服务、管理和分配网络资源，如远地操作、文件传输、电子邮件、虚拟终端服务等功能。2.2 开放系统互连安全体系结构 两个普遍适用的安全体系结构，保证开放系统进程与进程之间远距离安全交换信息。国家标准《信息处理系统 开放系统互连 基本参考模型——第二部分：安全体系结构GB/T9387.2-1995》（等同于ISO7498-2）因特网安全体系结构（RFC2401）安全体系结构主要内容安全服务与有关安全机制的描述；确定提供安全服务的位置；保证安全服务准确地配置，且在信息系统安全的生命期中一直维持，安全功能务必达