1.2 信息系統安全體系結構

國際標準化組織（ISO）在開放系統互聯參考模型（OSI/RM）的基礎上，于1989年制定了在OSI環境下解決信息安全的規則ISO/IEC 7498-2：信息處理系統.開放系統互連.基本參考模型.第2部分:安全體系結構（Information Processing Systems; Open Systems Interconnection;Basis Reference Model; Part 2: Security Architecture）。1990年，國際電信聯盟（International Telecommunication Union，ITU）采用ISO/IEC 7498-2作為它的X.800推薦標準，我國的國家標準GB/T 9387.2-1995《信息處理系統 開放系統互連 基本參考模型 第2部分：安全體系結構》等同于ISO/IEC 7498-2。ISO/IEC 7498-2擴充了基本參考模型，加入了安全問題的各個方面，為開放系統的安全通信提供了一種概念性、功能性及一致性的途徑。在ISO/IEC 7498-2中描述了開放系統互聯安全的體系結構，提出設計安全的信息系統的基礎架構中應該包含5種安全服務，能夠對這5種安全服務提供支持的8類安全機制和普遍安全機制。其中5種安全服務為保密性、完整性、鑒別服務、抗抵賴性和訪問控制。8類安全機制為加密、數字簽名、訪問控制、數據完整性、交換鑒別、業務流量填充、路由控制和公證。

1.2.1 信息安全服務

安全服務（Security Service）是指采用一種或多種安全機制以抵御安全攻擊、提高信息系統的信息處理安全和信息傳輸安全的服務。面對各種信息安全威脅，要實現安全的信息通信，需要提供的信息安全服務包括保密性、完整性、鑒別性、抗抵賴性和訪問控制。

一、保密性服務

保密性又稱機密性（Confidentiality），是指不向非授權用戶、實體或過程泄露信息系統資源（如數據信息、系統和硬件設備等），或保護信息系統資源免于被暴露和竊取攻擊，例如，信息免于被進行流量分析，即它可以保護信息免于竊聽和流量分析，它是針對資源泄露和竊取等威脅的安全服務。機密性服務的內容包括信息系統中靜態存儲的信息和動態傳輸的信息，以及物理資源。

二、完整性服務

完整性（Integrity）是指信息在存儲和傳輸過程中保持不被非授權用戶、實體或過程偶然或故意添加、篡改、刪除的特性，它是針對信息刪除、篡改、偽造等威脅的安全服務。破壞完整性的因素包括傳輸鏈路誤碼、設備故障、人為誤操作及人為惡意攻擊。此外，像網絡使用高峰期的系統中斷、傳輸鏈路誤碼和設備故障等，也可能會對信息造成不應有的改變。完整性服務要求網絡信息不受各種原因破壞。完整性是一種面向網絡信息的安全性，它可以保護網絡信息的整體和部分。實現完整性服務的方法、機制和技術包括冗余校驗、單向散列等。

三、鑒別性服務

鑒別性又稱身份認證，是指在信息系統中對數據來源的證實以及對通信實體的識別，因此它包括信源認證（數據源身份認證，Data Origin Authentication）和實體認證（對等實體身份認證，Peer Entity Authentication）。在鑒別性服務中，對數據來源的鑒別（即信源認證）就是要保證數據接收方接收的數據信息確實是從它聲明的來源發出的。另外，鑒別性服務還可以提供遠在另一端的通信實體的身份認證，也就是提供發送方或接收方的身份認證（即實體認證）。例如，在信息系統中有通信連接的時候，在建立連接時認證發送方和接收方的身份；在沒有通信連接的時候，認證信息的來源。鑒別性服務是針對網絡欺騙、偽造等安全威脅的安全服務。實現鑒別性服務的方法、機制、技術包括賬戶/密碼、數字證書、基于生物特征（如指紋、視網膜、臉型等）的認證等。

四、抗抵賴性服務

抗抵賴性（Non-repudiation）是指通信實體無法抵賴自己的網絡行為的特性。例如，在網絡通信中，通信的數據發送方無法否認發送過數據的行為，同樣，數據接收方無法否認接收到數據的行為，因此又稱不可否認性。在抗抵賴性服務中，帶有源證據時，如果通信數據的發送方否認自己發出過數據，數據的接收方過后可以檢驗其身份，并通過其源證據證實數據確實是從聲明的發送方發出。同樣，帶有交接證據時，通信數據的發送者過后可以檢驗發送給預定接收方的通信數據，并通過交接證據證明通信數據確實是由預定接收方所接收。抗抵賴性服務是針對網絡欺騙、抵賴等安全威脅的安全服務。實現抗抵賴性服務的方法、機制和技術包括數字簽名、電子取證和安全審計等。

五、訪問控制服務

訪問控制（Access Control）是指對用戶訪問信息系統資源的權限進行嚴格的認證和控制。在信息系統中，訪問包含對程序的讀、寫、修改和執行等；另外，也指可以控制授權范圍內的信息流向及行為方式。此外，訪問控制服務在于信息和數據被合法使用時，保證可以控制授權用戶或過程的使用方法和權限，即保護信息免于被未經授權的實體訪問，它是針對網絡入侵等威脅的安全服務。實現訪問控制服務的方法、機制、技術包括進行用戶身份認證，對口令加密、更新和鑒別，設置用戶訪問目錄和文件的權限，控制網絡設備配置的權限等。

1.2.2 信息安全機制

安全機制（Security Mechanism）是指設計用于預防、檢測安全攻擊或恢復信息系統的機制。ISO/IEC 7498-2中提出了提供安全服務的加密、數字簽名、訪問控制、數據完整性、交換鑒別、業務流量填充、路由控制和公證等安全機制。

一、加密機制

加密機制主要用來解決信息的竊取安全威脅，它能提供對信息的機密性、鑒別性、完整性等安全服務支持。首先，加密是提供數據信息保密的最常用和核心方法。此外，加密技術不僅應用于數據的安全存儲和安全傳輸，也應用于程序的安全運行。例如，通過對程序的運行進行加密保護，可以防止軟件被非法復制和使用，防止軟件的安全機制被破壞，稱為軟件加密技術。在加密機制中，根據密碼體制的不同劃分，可分為序列密碼和分組密碼算法兩種。按不同的密鑰類型劃分，加密算法可分為對稱密鑰密碼和非對稱密鑰密碼兩種。加密機制除了提供信息的保密性之外，它和其他技術結合，如哈希函數，還能提供信息的完整性。ISO七層協議模型中，除了會話層不提供加密保護外，加密可在其他各層上進行。在現代加密機制中，加密算法是公開的，而密鑰是需要進行保密的，因此與加密機制伴隨而來的是密鑰安全管理機制。

二、數字簽名機制

數字簽名是指發送方以電子形式簽名一個消息或文件，表示簽名人對該消息或文件的內容負有責任。此外，通過發送方的數字簽名，信息接收方可以對簽名進行電子檢驗。實現數字簽名的過程和方法總和就稱為數字簽名機制。在數字簽名中，發送方使用非對稱加密算法中的私鑰進行電子簽名，接收方使用與發送方的私鑰有聯系的公鑰進行驗證，證明信息確實是由聲稱發送過這個信息的人簽名的。數字簽名機制主要用來解決信息的竊取否認、篡改、偽造和冒充威脅，它能提供對信息的鑒別性和不可否認性等安全服務支持。此外，數字簽名綜合使用數字摘要和公鑰加密技術，可以在保證數據完整性的同時保證數據的真實性。

三、訪問控制機制

訪問控制是通過對訪問主體的有關信息進行檢查，并按確定的規則決定主體對客體的訪問是否合法來限制或禁止訪問主體使用資源，它分為高層訪問控制和低層訪問控制。其中，高層訪問控制包括身份檢查和權限確認，通過對用戶口令、用戶權限、資源屬性的檢查和對比來實現。低層訪問控制是通過對通信協議中的某些特征信息的識別、判斷，來禁止或允許用戶訪問的措施。如在路由器上設置過濾規則進行數據包過濾，就屬于低層訪問控制。訪問控制機制是實現訪問主體對各種網絡資源的訪問和操作進行限制的策略和方法總和。例如，當一個主體試圖非法使用一個未經授權使用的客體時，訪問控制機制將拒絕這一企圖。此外，訪問控制機制還能向審計跟蹤系統報告這一事件。審計跟蹤系統將產生報警信號或形成部分追蹤審計信息。訪問控制機制主要用來解決信息系統的非法入侵威脅，它可以防止未經授權的用戶非法使用信息系統資源，這種服務不僅可以提供給單個用戶，也可以提供給用戶組的所有用戶。建立訪問控制機制的方法包括控制信息庫、鑒別信息、權限、安全標記、訪問的時間、訪問的路由和訪問持續的時間等。

四、數據完整性機制

在互聯網信息系統中，數據往往通過分組進行傳輸，所以數據完整性包括數據單元的完整性和數據單元序列的完整性兩種形式。其中，數據單元的完整性是指組成一個單元的一段數據不被破壞和增刪篡改，它包括發送實體和接收實體兩個過程。數據序列的完整性是指發出的數據被分割為按序列號編排的許多單元時，在接收時還能按原來的序列把數據串聯起來，而不會發生數據單元的丟失、重復、亂序、假冒等情況。因此，數據完整性機制是防止數據單元或數據單元序列被插入、修改、假冒、重發或丟失的過程和各種方法的總和，該機制提供對信息的完整性和不可否認性等安全服務支持。保證數據完整性的一般方法是發送實體在一個數據單元上加一個標記，這個標記是數據本身的函數變換，如一個分組校驗，或密碼校驗函數，它本身是經過加密的。接收實體是一個對應的標記，并將所產生的標記與接收的標記相比較，以確定在傳輸過程中數據是否被修改過。例如，把包含有數字簽名的文件用單向哈希函數產生一個固定長度的摘要標記，并在傳輸信息時將它加入文件一同送給接收方。接收者在收到文件后也用相同的單向哈希函數進行變換運算得到另一個標記，然后將自己運算得到的標記與發送過來的標記進行比較，看看產生的標記是否相同就可知道數據是否完整。數據單元序列的完整性是要求數據編號的連續性和時間標記的正確性，以防止假冒、丟失、重發、插入或修改數據。

五、交換鑒別機制

在互聯網信息系統中，為了保證信息交換的真實可靠，需要有一種機制來驗證通信實體雙方的真實身份。在進行身份認證時，兩個實體交換信息以相互證明身份。因此，信息系統的交換鑒別機制是以交換信息的方式來確認實體身份的各種方法的總和，該機制提供對信息的鑒別性安全服務支持。例如，一方實體可以證明他知道一個只有他才知道的秘密。在認證機制中，通常采用口令、密碼技術和實體的特征或所有權等方式進行認證。其中，口令認證是指由發送實體提供自己的口令，以證明自己的身份，接收實體則根據口令來判斷對方的身份。密碼技術認證是指發送實體和接收實體各自掌握的密鑰是成對的。接收實體在收到已加密的信息時，通過自己掌握的密鑰解密，能夠確定信息的發送實體是掌握了另一個密鑰的那個人。在許多情況下，密碼技術還和時間標記、同步時鐘、雙方或多方握手協議、數字簽名、第三方公證等相結合，以提供更加完善的身份鑒別。特征實物認證是指利用實體的特征或所有權，如U盾、IC卡、指紋、臉形和聲音等。

六、業務流量填充機制

流量填充是指在數據流中隨機嵌入一些虛假信息，從而阻止攻擊者企圖通過流量分析提取出有用信息。因此，流量填充機制提供針對流量分析的保護。這種機制主要是對抗非法者在線路上監聽數據并對其進行流量和流向分析。例如，通過流量填充裝置在無信息傳輸時，連續發出偽隨機序列，使得攻擊者不知哪些是有用信息，哪些是無用信息。該機制提供對信息的機密性安全服務支持。流量填充機制能夠保持流量基本恒定，因此攻擊者不能獲取任何信息。流量填充的實現方法是隨機生成數據并對其進行加密，再通過信息系統進行傳輸。

七、路由控制機制

在互聯網信息系統中，從源節點到目的節點可能有多條路由線路，有些路由線路是安全的，而有些路由線路可能是不安全的。路由控制機制可以使信息發送者指定通過網絡發送數據的路徑。這樣，可以選擇那些可信的網絡節點，從而確保數據不會暴露在安全攻擊之下，該機制提供對信息的機密性安全服務支持。

八、公證機制

公證是指選擇一個雙方都信賴的第三方控制雙方的通信，如此即可避免否認。由于互聯網信息系統是一個開放的平臺，不是所有的網絡實體或用戶都是可靠和可信的。此外，也可能由于系統故障等原因使信息丟失、遲到等，這很可能引起責任問題。為了解決這個問題，就需要有一個各方都信任的第三方實體——公證機構，如同一個國家設立的公證機構一樣，提供公證服務，仲裁出現的問題。例如，為了避免發送方過后否認其曾經提過這樣的請求，接收方可以通過第三方的公正機構來保存發送方的請求。因此，公證機制是指通信雙方進行數據通信時必須經過這個機構來中轉，公證機構從中轉的信息里提取必要的證據，日后一旦發生糾紛，就可以據此做出仲裁。該機制提供對信息的不可否認性安全服務支持。

信息安全機制與安全服務的關系如表1-1所示。它表明對于每一種服務的提供，有哪些機制被認為是適宜的，可以由一種機制單獨提供或幾種機制聯合提供。