2015年软考系统架构设计师学习笔记第十二章(1)
发布时间:2010/12/4 22:38:42 来源:城市学习网 编辑:ziteng
系统安全架构设计
12.1 信息系统安全架构的简单描述
信息安全的特征是为了保证信息的机密性、完整性、可用性、可控性、不可抵赖性。
以风险策略为基础。
12.1.1 信息安全的现状及其威胁
计算机和网络的普及,会产生两个方面的效应:
其一,各行各业的业务运转几乎完全依赖于计算机和网络。
其二,大多数人对计算机的了解更加全面。
常见的安全威胁有如下几种:
1、信息泄露。
2、破坏信息的完整性。
3、拒绝服务。
4、非法使用。
5、窃听。
6、业务流分析,发现有价值的信息和规律。
7、假冒。
8、旁路控制。
9、授权侵犯。
10、特洛伊木马。
11、陷阱门,设置了“机关”,提供特定的输入数据时,允许违反安全策略。
12、抵赖。
13、重放,处于非法的目的而被重新发送。
14、计算机病毒。
15、人员不慎。
16、媒体废弃。
17、物理侵入。
18、窃取。
19、业务欺骗。
可以从安全技术的角度提取出5个方面的内容:认证鉴别、访问控制、内容安全、冗余恢复、审计响应。 [NextPage] 12.2 系统安全体系架构规划框架及其方法
安全技术体系架构过程的目标 是 建立可持续改进的安全技术体系架构的能力。
OSI参考模型:物理、数据链路、网络、传输、会话、表示、应用。
根据网络中风险威胁的存在实体划分出5个层次的实体对象:应用、存储、主机、网络、物理。
信息系统安全规划是一个非常细致和非常重要的工作,需要对企业信息化发展的历史情况进行深入和全面的调研。
信息系统安全体系主要是由技术体系、组织结构体系、管理体系三部分共同构成。
技术体系由物理安全技术和系统安全技术两大类组成。
组织体系由机构、岗位、人事三个模块构成。
管理体系由法律管理、制度管理、培训管理三部分组成。
人员安全包括 安全管理的组织结构、人员安全教育与意识机制、人员招聘及离职管理、第三方人员安全管理等。
12.3 网络安全体系架构设计
12.3.1 OSI 的安全体系架构概述
在 OSI 7层协议中 除会话层外,每一层 均能提供相应的安全服务。
最适合配置安全服务的是 物理层、网络层、运输层、应用层。
ISO 开放系统互联 安全体系的5类安全服务:鉴别、访问控制、数据机密性、数据完整性、抗抵赖性。
分层多点安全技术体系架构,也称为深度防御安全技术体系架构,通过以下方式将防御能力分布至整个信息系统中。
1、多点技术防御,从内部或外部多点攻击一个目标,通过对以下多个防御核心区域的防御达到抵御所有方式的攻击的目的。
1. 网络和基础设施,确保可用性,确保机密性和完整性。
2. 边界,抵御主动的网络攻击。
3. 计算环境,抵御内部、近距离的分布攻击。
2、分层技术防御,有效的措施是使用多个防御机制。
支撑性基础设施为网络、边界、计算机环境中信息保障机制运行基础。包括公钥设施、检测和响应基础设施。
1. 公钥基础设施提供一种 通用的联合处理方式,以便安全地创建、分发、管理 公钥证书和传统的对称密钥。
公钥基础设施 必须支持受控的互操作性,并与各用户团体所建立的安全策略保持一致。
2. 迅速检测并响应入侵行为,便于结合其他相关事件观察某个事件的“汇总”性能。
识别潜在行为模式或者新的发展趋势
