《信息安全体系结构》ppt课件.pptx

信息安全体系结构1精选PPT建立和应用安全体系结构的目的和意义将普遍性的系统科学和系统工程理论应用到信息系统安全的实际中,形成满足安全需求的安全体系,避免安全短板从管理、技术、组织等多个方面完整、准确地落实安全策略做到风险、安全及成本的平衡安全需求和安全策略应尽可能的制约所预见的系统风险及其变化,两个原则:将风险降低到可接受程度。威胁攻击信息系统的代价大于获得的利益。为系统提供经济、有效的安全服务,保障系统安全运行2精选PPT信息安全体系建立的流程安全需求安全风险安全体系评估再进行对抗指导导出系统资源降低3精选PPTOSI参考模型7应用层6表示层5会话层4传输层3网络层2链路层1物理层安全机制加密数字签名访问控制数据完整性数据交换业务流填充路由控制公证安全服务鉴别服务访问控制数据完整性数据保密性抗抵赖OSI安全体系4精选PPTOSI安全体系结构五类安全服务安全机制安全服务和安全机制的关系OSI层中的服务配置安全体系的安全管理OSI安全体系框架技术体系组织机构体系管理体系OSI安全体系5精选PPT鉴别(或认证,authentication)对等实体鉴别由(N)层提供这种服务时,将使(N+1)层实体确信与之打交道的对等实体正是他所需要的(N+1)层实体。这种服务在连接建立或在数据传送阶段的某些时刻提供使用,用以证实一个或多个实体的身份。使用这种服务可以确信(仅仅在使用时间内)一个实体此时没有试图冒充别的实体,或没有试图将先前的连接作非授权的重演。实施单向或双向对等实体鉴别是可能的,可以带有效期检验,也可以不带。这种服务能够提供各种不同程度的保护。OSI安全体系6精选PPT鉴别(或认证,authentication)数据原发性鉴别确认所接收到数据的来源是所要求的。这种服务当由(N)层提供时,将使(N+1)实体确信数据来源正是所要求的对等(N+1)实体。数据源鉴别服务对数据单元的来源提供确认。这种服务对数据单元的重复篡改不提供保护。OSI安全体系7精选PPT访问控制针对越权使用资源和非法访问的防御措施。访问控制大体可分为自主访问控制和强制访问控制两类:其实现机制可以是基于访问控制属性的访问控制表(或访问控制路),或基于“安全标签”、用户分类和资源分档的多级访问控制等。访问控制安全服务主要位于应用层、传输层和网络层。它可以放在通信源、通信目标或两者之间的某一部分。这种访问控制要与不同的安全策略协调一致。OSI安全体系8精选PPT数据机密性针对信息泄露、窃听等被动威胁的防御措施。可细分为如下3种。(1)信息保密信息保密指的是保护通信系统中的信息或网络数据库数据。而对于通信系统中的信息,又分为面向连接保密和无连接保密:连接机密性这种服务为一连接上的全部用户数据保证其机密性。无连接机密服务为单个无连接的SDU中的全部用户数据保证其机密性OSI安全体系9精选PPT数据机密性(2)数据字段保密保护信息中被选择的部分数据段;这些字段或处于连接的用户数据中,或为单个无连接的SDU中的字段。(3)业务流保密业务流保密指的是防止攻击者通过观察业务流,如信源、信宿、转送时间、频率和路由等来得到敏感的信息。OSI安全体系10精选PPT