|
|
|
信息安全是一个很广泛的概念,涉及计算机和网络系统的各个方面。从总体上来讲,信息安全有5个基本要素:
|
|
|
|
(1)机密性:确保信息不暴露给未授权的实体或进程。
|
|
|
|
(2)完整性:只有得到允许的人才能够修改数据,并能够判别数据是否已被篡改。
|
|
|
|
|
|
(4)可控性:可以控制授权范围内的信息流向和行为方式。
|
|
|
|
(5)可审查性:对出现的安全问题提供调查的依据和手段。
|
|
|
|
|
|
ISO7498-2从架构的观点描述了5种可选的安全服务、8项特定的安全机制以及5种普遍性的安全机制,它们可以在OSI/RM模型的适当层次上实施。
|
|
|
|
|
|
安全服务是指计算机网络提供的安全防护措施,包括认证服务、访问控制、数据机密性服务、数据完整性服务、不可否认服务。
|
|
|
|
(1)认证服务:确保某个实体身份的可靠性,可分为两种类型。一种类型是认证实体本身的身份,确保其真实性,称为实体认证。实体的身份一旦获得确认就可以和访问控制表中的权限关联起来,决定是否有权进行访问。口令认证是实体认证中一种最常见的方式。另一种认证是证明某个信息是否来自于某个特定的实体,这种认证叫做数据源认证。数据签名技术就是一例。
|
|
|
|
(2)访问控制:防止对任何资源的非授权访问,确保只有经过授权的实体才能访问受保护的资源。
|
|
|
|
(3)数据机密性服务:确保只有经过授权的实体才能理解受保护的信息。在信息安全中主要区分两种机密性服务:数据机密性服务和业务流机密性服务,数据机密性服务主要是采用加密手段使得攻击者即使窃取了加密的数据也很难分析出有用的信息;业务流机密性服务则要使监听者很难从网络流量的变化上分析出敏感信息。
|
|
|
|
(4)数据完整性服务:防止对数据未授权的修改和破坏。完整性服务使消息的接收者能够发现消息是否被修改,是否被攻击者用假消息换掉。
|
|
|
|
(5)不可否认服务:防止对数据源以及数据提交的否认。它有两种可能:数据发送的不可否认性和数据接收的不可否认性。这两种服务需要比较复杂的基础设施的支持,如数字签名技术。
|
|
|
|
|
|
安全机制是用来实施安全服务的机制。安全机制既可以是具体的、特定的,也可以是通用的。
|
|
|
|
(1)加密机制:用于保护数据的机密性。它依赖于现代密码学理论,一般来说加/解密算法是公开的,加密的安全性主要依赖于密钥的安全性和强度。
|
|
|
|
(2)数字签名机制:保证数据完整性及不可否认性的一种重要手段,它可以采用特定的数字签名机制生成,也可以通过某种加密机制生成。
|
|
|
|
(3)访问控制机制:与实体认证密切相关。首先,要访问某个资源的实体应成功通过认证,然后访问控制机制对该实体的访问请求进行处理,查看该实体是否具有访问所请求资源的权限,并做出相应的处理。
|
|
|
|
(4)数据完整性机制:用于保护数据免受未经授权的修改,该机制可以通过使用一种单向的不可逆函数(例如散列函数)来计算出消息摘要,并对消息摘要进行数字签名来实现。
|
|
|
|
(5)认证交换机制:通过交换标识信息使通信双方相互信任。
|
|
|
|
(6)流量填充机制:针对的是对网络流量进行分析的攻击。有时攻击者通过对通信双方的数据流量的变化进行分析,根据流量的变化来推出一些有用的信息或线索。
|
|
|
|
(7)路由控制机制:可以指定数据通过网络的路径。这样就可以选择一条路径,这条路径上的结点都是可信任的,确保发送的信息不会因通过不安全的结点而受到攻击。
|
|
|
|
(8)公证机制:由通信各方都信任的第三方提供。由第三方来确保数据完整性、数据源、时间及目的地的正确。
|
|
|
|
|
|
普遍性安全机制不是为任何特定的服务而特设的,因此在任一特定的层上,对它们都不作明确的说明。某些普遍性安全机制可认为属于安全管理方面。普遍性安全机制可分为可信功能度、安全标记、事件检测、安全审计跟踪、安全恢复。
|
|
|
|
(1)可信功能度:可以扩充其他安全机制的范围,或建立这些安全机制的有效性;可以保证对硬件与软件寄托信任的手段已超出标准的范围,而且在任何情况下,这些手段随着已察觉到的威胁的级别和被保护信息的价值而改变。
|
|
|
|
(2)安全标记:与某一资源(可以是数据单元)密切相关联的标记,为该资源命名或指定安全属性(这种标记或约束可以是明显的,也可以是隐含的)。
|
|
|
|
(3)事件检测:与安全有关的事件检测包括对安全明显事件的检测,也可以包括对“正常”事件的检测,例如,一次成功的访问(或注册)。与安全有关的事件的检测可由OSI内部含有安全机制的实体来做。
|
|
|
|
(4)安全审计跟踪:就是对系统的记录与行为进行独立的评估考查,目的是测试系统的控制是否恰当,保证与既定策略和操作的协调一致,有助于做出损害评估,以及对在控制、策略与规程中指明的改变做出评价。
|
|
|
|
(5)安全恢复:处理来自诸如事件处置与管理功能等机制的请求,并把恢复动作当作应用一组规则的结果。恢复动作可能有3种:立即动作、暂时动作、长期动作。
|
|
|
|
|
|
《计算机信息系统安全保护等级划分准则》(GB17859—1999)规定了计算机系统安全保护能力的5个等级,即用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。
|
|
|
|
(1)用户自主保护级。本级的计算机信息系统将数据与用户隔离,使用户具备自主安全保护的能力。它具有多种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏。第1级适用于普通内联网用户。
|
|
|
|
(2)系统审计保护级。与用户自主保护级相比,本级的计算机信息系统实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。第2级适用于通过内联网或国际网进行商务活动,需要保密的非重要单位。
|
|
|
|
(3)安全标记保护级。本级的计算机信息系统具有系统审计保护级的所有功能。此外,还提供有关安全策略模型、数据标记,以及主体对客体强制访问控制的非形式化描述;具有准确地标记输出信息的能力;消除通过测试发现的任何错误。第3级适用于地方各级国家机关、金融机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位。
|
|
|
|
(4)结构化保护级。本级的计算机信息系统建立于一个明确定义的形式化安全策略模型之上,它要求将第3级系统中的自主和强制访问控制扩展到所有主体与客体。此外,还要考虑隐蔽通道。本级的计算机信息系统可信计算机必须结构化为关键保护元素和非关键保护元素。计算机信息系统可信计算机的接口也必须明确定义,使其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制,支持系统管理员和操作员的职能,提供可信设施管理,增强了配置管理控制。系统具有相当的抗渗透能力。第4级适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研机构和国防建设等部门。
|
|
|
|
(5)访问验证保护级。本级的计算机信息系统满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的,而且必须足够小,能够分析和测试。为了满足访问监控器需求,计算机信息系统可信计算机在其构造时,排除了那些对实施安全策略来说并非必要的代码;在设计和实现时,从系统工程角度将其复杂性降低到最小程度。支持安全管理员职能;扩充审计机制,当发生与安全相关的事件时发出信号;提供系统恢复机制。系统具有很高的抗渗透能力。第5级适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。
|
|
|
|
|
|
在实施信息系统的安全保障系统时,应严格区分信息安全保障系统的3种不同架构,分别是MIS+S、S-MIS和S2-MIS。
|
|
|
|
(1)MIS+S(Management Information System+Security)系统:为初级信息安全保障系统或基本信息安全保障系统,这种系统是初等的、简单的信息安全保障系统,该系统的特点是应用基本不变,硬件和系统软件通用,安全设备基本不带密码。
|
|
|
|
(2)S-MIS(Security-Management Information System)系统:为标准信息安全保障系统,这种系统是建立在PKI/CA(Certificate Authority,认证中心)标准的信息安全保障系统,该系统的特点是硬件和系统软件通用;PKI/CA安全保障系统必须带密码;应用系统必须根本改变。
|
|
|
|
(3)S2-MIS(Super Security-Management Information System)系统:为超安全的信息安全保障系统,这种系统是“绝对”安全的信息安全保障系统,不仅使用PKI/CA标准,同时硬件和系统软件都使用专用的安全产品。这种系统的特点是硬件和系统软件都专用;PKI/CA安全保障系统必须带密码;应用系统必须根本改变;主要的硬件和系统软件需要PKI/CA认证。
|
|
|
|
|
|
本节主要介绍TCSEC(Trusted Computer System Evaluation Criteria,可信计算机系统准则)。TCSEC标准是计算机系统安全评估的第一个正式标准,具有划时代的意义。TCSEC将计算机系统的安全划分为4个等级、7个级别。
|
|
|
|
(1)D类安全等级:D类安全等级只包括D1一个级别。D1的安全等级最低。D1系统只为文件和用户提供安全保护。D1系统最普通的形式是本地操作系统,或者是一个完全没有保护的网络。
|
|
|
|
(2)C类安全等级:该类安全等级能够提供审慎的保护,并为用户的行动和责任提供审计能力。C类安全等级可划分为C1和C2两类。C1系统的可信任运算基础体制通过将用户和数据分开来达到安全的目的。在C1系统中,所有的用户以同样的灵敏度来处理数据,即用户认为C1系统中的所有文档都具有相同的机密性。C2系统比C1系统加强了可调的审慎控制。在连接到网络上时,C2系统的用户分别对各自的行为负责。C2系统通过登录过程、安全事件和资源隔离来增强这种控制。C2系统具有C1系统中所有的安全性特征。
|
|
|
|
(3)B类安全等级:B类安全等级可分为B1、B2和B3 3类。B类系统具有强制性保护功能。强制性保护意味着如果用户没有与安全等级相连,系统就不会让用户存取对象。B1系统满足下列要求:系统对网络控制下的每个对象都进行灵敏度标记;系统使用灵敏度标记作为所有强迫访问控制的基础;系统在把导入的、非标记的对象放入系统前标记它们;灵敏度标记必须准确地表示其所联系的对象的安全级别;当系统管理员创建系统或者增加新的通信通道或I/O设备时,管理员必须指定每个通信通道和I/O设备是单级还是多级,并且管理员只能手工改变指定;单级设备并不保持传输信息的灵敏度级别;所有直接面向用户位置的输出(无论是虚拟的还是物理的)都必须产生标记来指示关于输出对象的灵敏度;系统必须使用用户的口令或证明来决定用户的安全访问级别;系统必须通过审计来记录未授权访问的企图。
|
|
|
|
B2系统必须满足B1系统的所有要求。另外,B2系统的管理员必须使用一个明确的、文档化的安全策略模式作为系统的可信任运算基础体制。B2系统必须满足下列要求:系统必须立即通知系统中的每一个用户所有与之相关的网络连接的改变;只有用户能够在可信任通信路径中进行初始化通信;可信任运算基础体制能够支持独立的操作者和管理员。
|
|
|
|
B3系统必须符合B2系统的所有安全需求。B3系统具有很强的监视委托管理访问能力和抗干扰能力。B3系统必须设有安全管理员。B3系统应满足以下要求:除了控制对个别对象的访问外,B3必须产生一个可读的安全列表;每个被命名的对象提供对该对象没有访问权的用户列表说明;B3系统在进行任何操作前,要求用户进行身份验证;B3系统验证每个用户,同时还会发送一个取消访问的审计跟踪消息;设计者必须正确区分可信任的通信路径和其他路径;可信任的通信基础体制为每一个被命名的对象建立安全审计跟踪;可信任的运算基础体制支持独立的安全管理。
|
|
|
|
(4)A类安全等级:A系统的安全级别最高。目前,A类安全等级只包含A1一个安全类别。A1类与B3类相似,对系统的结构和策略不作特别要求。A1系统的显著特征是,系统的设计者必须按照一个正式的设计规范来分析系统。对系统分析后,设计者必须运用核对技术来确保系统符合设计规范。A1系统必须满足下列要求:系统管理员必须从开发者那里接收到一个安全策略的正式模型;所有的安装操作都必须由系统管理员进行;系统管理员进行的每一步安装操作都必须有正式文档。
|
|
|
|
在欧洲四国(英、法、德、荷)也提出了评价满足保密性、完整性、可用性要求的信息技术安全评价准则(Information Technology Security Evaluation Criteria,ITSEC)后,美国又联合以上诸国和加拿大,并会同ISO共同提出了信息技术安全评价的通用准则(Common Criteria for ITSEC,CC),CC已经被技术发达的国家承认为代替TCSEC的评价安全信息系统的标准,且将发展成为国际标准。
|
|
|
