系統(tǒng)安全架構(gòu)設(shè)計(jì)

12.1 信息系統(tǒng)安全架構(gòu)的簡(jiǎn)單描述

信息安全的特征是為了保證信息的機(jī)密性、完整性、可用性、可控性、不可抵賴性。

以風(fēng)險(xiǎn)策略為基礎(chǔ)。

12.1.1 信息安全的現(xiàn)狀及其威脅

計(jì)算機(jī)和網(wǎng)絡(luò)的普及，會(huì)產(chǎn)生兩個(gè)方面的效應(yīng)：

其一，各行各業(yè)的業(yè)務(wù)運(yùn)轉(zhuǎn)幾乎完全依賴于計(jì)算機(jī)和網(wǎng)絡(luò)。

其二，大多數(shù)人對(duì)計(jì)算機(jī)的了解更加全面。

常見的安全威脅有如下幾種：

1、信息泄露。

2、破壞信息的完整性。

3、拒絕服務(wù)。

4、非法使用。

5、竊聽。

6、業(yè)務(wù)流分析，發(fā)現(xiàn)有價(jià)值的信息和規(guī)律。

7、假冒。

8、旁路控制。

9、授權(quán)侵犯。

10、特洛伊木馬。

11、陷阱門，設(shè)置了“機(jī)關(guān)”，提供特定的輸入數(shù)據(jù)時(shí)，允許違反安全策略。

12、抵賴。

13、重放，處于非法的目的而被重新發(fā)送。

14、計(jì)算機(jī)病毒。

15、人員不慎。

16、媒體廢棄。

17、物理侵入。

18、竊取。

19、業(yè)務(wù)欺騙。

可以從安全技術(shù)的角度提取出5個(gè)方面的內(nèi)容：認(rèn)證鑒別、訪問控制、內(nèi)容安全、冗余恢復(fù)、審計(jì)響應(yīng)。

　12.2 系統(tǒng)安全體系架構(gòu)規(guī)劃框架及其方法

安全技術(shù)體系架構(gòu)過程的目標(biāo) 是 建立可持續(xù)改進(jìn)的安全技術(shù)體系架構(gòu)的能力。

OSI參考模型：物理、數(shù)據(jù)鏈路、網(wǎng)絡(luò)、傳輸、會(huì)話、表示、應(yīng)用。

根據(jù)網(wǎng)絡(luò)中風(fēng)險(xiǎn)威脅的存在實(shí)體劃分出5個(gè)層次的實(shí)體對(duì)象：應(yīng)用、存儲(chǔ)、主機(jī)、網(wǎng)絡(luò)、物理。

信息系統(tǒng)安全規(guī)劃是一個(gè)非常細(xì)致和非常重要的工作，需要對(duì)企業(yè)信息化發(fā)展的歷史情況進(jìn)行深入和全面的調(diào)研。

信息系統(tǒng)安全體系主要是由技術(shù)體系、組織結(jié)構(gòu)體系、管理體系三部分共同構(gòu)成。

技術(shù)體系由物理安全技術(shù)和系統(tǒng)安全技術(shù)兩大類組成。

組織體系由機(jī)構(gòu)、崗位、人事三個(gè)模塊構(gòu)成。

管理體系由法律管理、制度管理、培訓(xùn)管理三部分組成。

人員安全包括 安全管理的組織結(jié)構(gòu)、人員安全教育與意識(shí)機(jī)制、人員招聘及離職管理、第三方人員安全管理等。

12.3 網(wǎng)絡(luò)安全體系架構(gòu)設(shè)計(jì)

12.3.1 OSI 的安全體系架構(gòu)概述

在 OSI 7層協(xié)議中 除會(huì)話層外，每一層 均能提供相應(yīng)的安全服務(wù)。

最適合配置安全服務(wù)的是 物理層、網(wǎng)絡(luò)層、運(yùn)輸層、應(yīng)用層。

ISO 開放系統(tǒng)互聯(lián) 安全體系的5類安全服務(wù)：鑒別、訪問控制、數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性、抗抵賴性。

分層多點(diǎn)安全技術(shù)體系架構(gòu)，也稱為深度防御安全技術(shù)體系架構(gòu)，通過以下方式將防御能力分布至整個(gè)信息系統(tǒng)中。

1、多點(diǎn)技術(shù)防御，從內(nèi)部或外部多點(diǎn)攻擊一個(gè)目標(biāo)，通過對(duì)以下多個(gè)防御核心區(qū)域的防御達(dá)到抵御所有方式的攻擊的目的。

1. 網(wǎng)絡(luò)和基礎(chǔ)設(shè)施，確?？捎眯?，確保機(jī)密性和完整性。

2. 邊界，抵御主動(dòng)的網(wǎng)絡(luò)攻擊。

3. 計(jì)算環(huán)境，抵御內(nèi)部、近距離的分布攻擊。

2、分層技術(shù)防御，有效的措施是使用多個(gè)防御機(jī)制。

支撐性基礎(chǔ)設(shè)施為網(wǎng)絡(luò)、邊界、計(jì)算機(jī)環(huán)境中信息保障機(jī)制運(yùn)行基礎(chǔ)。包括公鑰設(shè)施、檢測(cè)和響應(yīng)基礎(chǔ)設(shè)施。

1. 公鑰基礎(chǔ)設(shè)施提供一種 通用的聯(lián)合處理方式，以便安全地創(chuàng)建、分發(fā)、管理 公鑰證書和傳統(tǒng)的對(duì)稱密鑰。

公鑰基礎(chǔ)設(shè)施 必須支持受控的互操作性，并與各用戶團(tuán)體所建立的安全策略保持一致。

2. 迅速檢測(cè)并響應(yīng)入侵行為，便于結(jié)合其他相關(guān)事件觀察某個(gè)事件的“匯總”性能。

識(shí)別潛在行為模式或者新的發(fā)展趨勢(shì)

12.3.2 鑒別框架

鑒別(Authentication)防止其他實(shí)體占用和獨(dú)立操作被鑒別實(shí)體的身份。

鑒別有兩種重要的關(guān)系背景：

一是實(shí)體由申請(qǐng)者來代表，申請(qǐng)者與驗(yàn)證者之間存在著特定的通信關(guān)系(如實(shí)體鑒別)。

二是實(shí)體為驗(yàn)證者提供數(shù)據(jù)項(xiàng)來源。

鑒別方式主要基于以下 5種：

1、已知的，如 一個(gè)秘密的口令。

2、擁有的，IC卡、令牌等。

3、不改變的特性，如生物特征。

4、相信可靠的第三方建立的鑒別(遞推)。

5、環(huán)境(如主機(jī)地址等)。

鑒別信息(Artificial Intelligence，AI)是指申請(qǐng)者要求鑒別到 鑒別過程結(jié)束 所生成、使用、交換的信息。

交換AI、申請(qǐng)AI、驗(yàn)證AI。

鑒別服務(wù)分為以下階段：安裝階段、修改鑒別信息階段、分發(fā)階段、獲取階段、傳送階段、驗(yàn)證階段、?；铍A段、重新激活階段、取消安裝階段。

12.3.3 訪問控制框架

訪問控制(Access Control)決定 允許使用哪些資源、在什么地方適合阻止未授權(quán)訪問的過程。

ACI(訪問控制信息)用于訪問控制目的的 任何信息。

ADI(訪問控制判決信息)做出判決時(shí) 可供 ADF使用的部分(或全部)ACI。

ADF(訪問控制判決功能)做出訪問控制判決。

AEF(訪問控制實(shí)施功能)。

涉及訪問控制的有 發(fā)起者、AEF、ADF、目標(biāo)。

12.3.4 機(jī)密框架

機(jī)密性(Confidentiality)服務(wù)確保信息僅僅是對(duì)被授權(quán)者可用。

數(shù)據(jù)只對(duì)那些擁有某種關(guān)鍵信息的人才是可訪問的。

被保護(hù)的環(huán)境被交疊保護(hù)的環(huán)境。

從一個(gè)環(huán)境移到另一個(gè)環(huán)境的數(shù)據(jù)的連續(xù)保護(hù)必然涉及到交疊保護(hù)環(huán)境。

機(jī)密性機(jī)制

數(shù)據(jù)的機(jī)密性可以依賴于所駐留和傳輸?shù)拿襟w。

數(shù)據(jù)在傳輸中的機(jī)密性 能通過禁止訪問的機(jī)制、隱藏?cái)?shù)據(jù)語義的機(jī)制、分散數(shù)據(jù)的機(jī)制。

物理方法保證媒體的數(shù)據(jù)只能通過特殊的有限設(shè)備才能檢測(cè)到。

通過路由選擇控制。

通過機(jī)密提供機(jī)密性。

12.3.5 完整性框架

完整性(Integrity)框架目的是通過組織威脅或探測(cè)威脅，保護(hù)可能遭到不同方式危害的數(shù)據(jù)完整性和數(shù)據(jù)相關(guān)屬性完整性。

所謂完整性，就是數(shù)據(jù)不以未經(jīng)授權(quán)方式 進(jìn)行改變或損毀的特征。

幾種分類方式：未授權(quán)的數(shù)據(jù)修改、未授權(quán)的數(shù)據(jù)創(chuàng)建、未授權(quán)的數(shù)據(jù)刪除、未授權(quán)的數(shù)據(jù)插入、未授權(quán)的數(shù)據(jù)重放。

依據(jù)是否包括恢復(fù)機(jī)制分為具有恢復(fù)機(jī)制的和不具有恢復(fù)機(jī)制的。

完整性機(jī)制的類型

1、組織對(duì)媒體訪問的控制，包括物理的、不受干擾的信息;路由控制;訪問控制。

2、用以探測(cè) 對(duì)數(shù)據(jù)或數(shù)據(jù)項(xiàng)序列的非授權(quán)修改的機(jī)制。

按照保護(hù)強(qiáng)度，完整性機(jī)制可以分為 不作保護(hù);對(duì)修改和創(chuàng)建的探測(cè);對(duì)修改、創(chuàng)建、刪除、重復(fù)的探測(cè);對(duì)修改和創(chuàng)建的探測(cè)并帶恢復(fù)功能;對(duì)修改、創(chuàng)建、刪除、重復(fù)的探測(cè)并帶恢復(fù)功能。

12.3.6 抗抵賴框架

抗抵賴(Non-repudiation)服務(wù) 包括證據(jù)的 生成、驗(yàn)證、記錄，以及 在解決糾紛時(shí)隨即進(jìn)行的證據(jù)恢復(fù)和再次驗(yàn)證。

目的是 提供有關(guān)特定事件或行為的證據(jù)。

當(dāng)涉及消息內(nèi)容的抗抵賴服務(wù)時(shí)，為提供原發(fā)證明，必須確認(rèn)數(shù)據(jù)原發(fā)者身份和數(shù)據(jù)完整性。

為提供遞交證明，必須確認(rèn)接收者身份和數(shù)據(jù)完整性。

抗抵賴服務(wù)提供 在試圖抵賴的事件中 使用的設(shè)備：證據(jù)生成、證據(jù)記錄、驗(yàn)證生成的證據(jù)、證據(jù)的恢復(fù)和重驗(yàn)。

抗抵賴由 4個(gè)獨(dú)立的階段組成：證據(jù)生成;證據(jù)傳輸、存儲(chǔ)、恢復(fù);證據(jù)驗(yàn)證;解決糾紛。

1、證據(jù)生成

卷入事件或行為中的實(shí)體，稱為證據(jù)實(shí)體。證據(jù)實(shí)體可由證據(jù)實(shí)體、或可能與可信第三方的服務(wù)一起生成、或者單獨(dú)由可信第三方生成。

3、證據(jù)驗(yàn)證

證據(jù)在 使用者的請(qǐng)求下被證據(jù)驗(yàn)證者 驗(yàn)證。讓證據(jù)使用者確信被提供的證據(jù)確實(shí)是充分的。

12.4 數(shù)據(jù)庫系統(tǒng)的安全設(shè)計(jì)

電子政務(wù)中所涉及的數(shù)據(jù)庫 密級(jí)更高、實(shí)時(shí)性更強(qiáng)。

實(shí)現(xiàn) 數(shù)據(jù)庫系統(tǒng)安全的 完整性、保密性、可用性。

安全策略一般為 用戶管理、存取控制、數(shù)據(jù)加密、審計(jì)跟蹤、攻擊檢測(cè)。

12.4.1 數(shù)據(jù)庫安全設(shè)計(jì)的評(píng)估標(biāo)準(zhǔn)

1985 年，美國國防部頒布“可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)(Trusted Computer System Evaluation Criteria，TCSEC)”橘皮書(簡(jiǎn)稱 DoD85)。

1991年，美國國家計(jì)算機(jī)安全中心(The National Computer Seaurity Center，NCSC)頒布了“可信計(jì)算機(jī)評(píng)估標(biāo)準(zhǔn)關(guān)于可信數(shù)據(jù)庫管理系統(tǒng)的解釋(Trusted Database Interpretation，TDI)”。

TDI 是 TCSEC 在數(shù)據(jù)庫管理系統(tǒng)方面的擴(kuò)充和解釋，從 安全策略、責(zé)任、保護(hù)、文檔 4個(gè)方面進(jìn)一步描述了每級(jí)的安全標(biāo)準(zhǔn)。

按照 TCSEC標(biāo)準(zhǔn)，D類產(chǎn)品 基本沒有安全保護(hù)措施，C類產(chǎn)品 只提供了 安全保護(hù)措施，B類以上產(chǎn)品 是實(shí)行強(qiáng)制存取控制的產(chǎn)品，是真正意義上的安全產(chǎn)品。

12.4.2 數(shù)據(jù)庫的完整性設(shè)計(jì)

數(shù)據(jù)庫的完整性是指數(shù)據(jù)庫中數(shù)據(jù)的正確性和相容性。

由各種各樣的完整性約束來保證，因此可以說數(shù)據(jù)庫完整性設(shè)計(jì)就是數(shù)據(jù)庫完整性約束的設(shè)計(jì)。

通過DBMS或應(yīng)用程序來實(shí)現(xiàn)。

1、數(shù)據(jù)庫完整性設(shè)計(jì)原則

1. 根據(jù)數(shù)據(jù)庫完整性約束的類型 確定其實(shí)現(xiàn)的系統(tǒng)層次和方式，并提前考慮對(duì)系統(tǒng)性能的影響。

一般情況下，靜態(tài)約束應(yīng) 盡量包含在數(shù)據(jù)庫模式中，動(dòng)態(tài)約束由應(yīng)用程序?qū)崿F(xiàn)。

2. 實(shí)體完整性約束、參照完整性約束 是關(guān)系數(shù)據(jù)庫最重要的完整性約束，盡量應(yīng)用。

3. 要慎用 觸發(fā)器，一方面性能開銷較大;另一方面，多級(jí)觸發(fā)不好控制，容易發(fā)生錯(cuò)誤，最好使用 Before 型語句級(jí)觸發(fā)器。

4. 在需求分析階段就必須制定完整性約束的命名規(guī)范。

5. 要根據(jù)業(yè)務(wù)規(guī)則 對(duì)數(shù)據(jù)庫完整性進(jìn)行細(xì)致的測(cè)試。

6. 要專職的數(shù)據(jù)庫設(shè)計(jì)小組。

7. 應(yīng)采用合適的 CASE工具 來降低數(shù)據(jù)庫設(shè)計(jì)各階段的工作量。

2、數(shù)據(jù)庫完整性的作用

1. 能夠防止合法用戶使用數(shù)據(jù)庫時(shí) 向數(shù)據(jù)庫中添加不合語義的數(shù)據(jù)。

2. 實(shí)現(xiàn)業(yè)務(wù)規(guī)則，易于定義，易于理解，而且可以降低應(yīng)用程序的復(fù)雜性，提高應(yīng)用程序的運(yùn)行效率。集中管理。

3. 能夠同時(shí)兼顧 數(shù)據(jù)庫的完整性和系統(tǒng)效能。

4. 有助于盡早發(fā)現(xiàn)應(yīng)用軟件的錯(cuò)誤。

5. 數(shù)據(jù)庫完整性約束 6類：列級(jí)靜態(tài)約束、元組級(jí)靜態(tài)約束、關(guān)系級(jí)靜態(tài)約束、列級(jí)動(dòng)態(tài)約束、元組級(jí)動(dòng)態(tài)約束、關(guān)系級(jí)動(dòng)態(tài)約束。

動(dòng)態(tài)約束通常由應(yīng)用軟件來實(shí)現(xiàn)。

3、數(shù)據(jù)庫完整性設(shè)計(jì)示例

首先 需要在需求分析階段確定要通過數(shù)據(jù)庫完整性約束實(shí)現(xiàn)的業(yè)務(wù)規(guī)則。

然后 依據(jù)整個(gè)系統(tǒng)的體系結(jié)構(gòu)和性能要求，遵照數(shù)據(jù)庫設(shè)計(jì)方法和應(yīng)用軟件設(shè)計(jì)方法，合理選擇每個(gè)業(yè)務(wù)規(guī)則的實(shí)現(xiàn)方式。

最后 認(rèn)真測(cè)試，排除隱含的約束沖突和性能問題。

基于 DBMS的數(shù)據(jù)庫完整性設(shè)計(jì)大體分為以下幾個(gè)階段：

1. 需求分析階段。

2. 概念結(jié)構(gòu)設(shè)計(jì)階段。

3. 邏輯結(jié)構(gòu)設(shè)計(jì)階段，就是將概念結(jié)構(gòu)轉(zhuǎn)換為某個(gè)DBMS所支持的數(shù)據(jù)模型，并對(duì)其進(jìn)行優(yōu)化，包括對(duì)關(guān)系型的規(guī)范化。

每種業(yè)務(wù)規(guī)則都可能有好幾種實(shí)現(xiàn)方式，應(yīng)該選擇對(duì)數(shù)據(jù)庫性能影響小的一種，有時(shí)需通過實(shí)際測(cè)試來決定。

12.5 案例：電子商務(wù)系統(tǒng)的安全性設(shè)計(jì)

1、原理介紹

1. 驗(yàn)證(Authentication)：是否可以獲得授權(quán)。

2. 授權(quán)(Authorization)：可以使用哪些服務(wù)。

3. 審計(jì)(Accounting)：記錄用戶使用網(wǎng)絡(luò)資源的情況，用戶IP地址、MAC地址掩碼 等。

2、軟件架構(gòu)設(shè)計(jì)

RADIUS 軟件架構(gòu)分為三個(gè)層面：協(xié)議邏輯層、業(yè)務(wù)邏輯層、數(shù)據(jù)邏輯層。

協(xié)議邏輯層 主要實(shí)現(xiàn) RFC框架中的內(nèi)容，處理網(wǎng)絡(luò)通信協(xié)議的 建立、通信、停止方面的工作。

相當(dāng)于一個(gè)轉(zhuǎn)發(fā)引擎，起到分發(fā)處理的內(nèi)容分發(fā)到不同的協(xié)議處理過程中。

業(yè)務(wù)邏輯進(jìn)程分為：認(rèn)證、計(jì)費(fèi)、授權(quán)，三種類型。

數(shù)據(jù)庫代理池 統(tǒng)一連接數(shù)據(jù)庫，以減少對(duì)數(shù)據(jù)庫系統(tǒng)的壓力。同時(shí)減小了系統(tǒng)對(duì)數(shù)據(jù)庫的依賴性，增強(qiáng)了系統(tǒng)適應(yīng)數(shù)據(jù)庫系統(tǒng)的能力。

RADIUS 軟件分層架構(gòu)的實(shí)現(xiàn)：

一是 對(duì)軟件風(fēng)險(xiǎn)進(jìn)行了深入的分析，

二是 可以構(gòu)建一個(gè)或多個(gè)重用的構(gòu)件單元，也可以繼承原來的成果。

RADIUS 的功能：

一是 實(shí)際處理大量用戶并發(fā)的能力，

二是 軟件架構(gòu)的可擴(kuò)展性。

負(fù)載均衡是提高 RADIUS軟件性能的有效方法，主要完成以下任務(wù)：

1. 解決網(wǎng)絡(luò)擁塞問題，就近提供服務(wù)。

2. 為用戶提供更好的訪問質(zhì)量。

3. 提高服務(wù)器響應(yīng)速度。

4. 提高服務(wù)器及其他資源的利用效率。

5. 避免了網(wǎng)絡(luò)關(guān)鍵部位出現(xiàn)單點(diǎn)失效。

【編輯推薦】

1. 2011年軟考系統(tǒng)架構(gòu)設(shè)計(jì)師學(xué)習(xí)筆記第九章
2. 2011年軟考系統(tǒng)架構(gòu)設(shè)計(jì)師學(xué)習(xí)筆記第十章
3. 2011年軟考系統(tǒng)架構(gòu)設(shè)計(jì)師學(xué)習(xí)筆記第八章