信息安全體系結(jié)構(gòu)重點(diǎn)

企業(yè)體系結(jié)構(gòu)有以下六種基本模式：（1）管道和過濾器（2）數(shù)據(jù)抽象和面向?qū)ο螅?）事件驅(qū)動(dòng)（4）分層次（5）知識(shí)庫（6）解釋器通用數(shù)據(jù)安全體系結(jié)構(gòu)（CDSA）有三個(gè)基本的層次：系統(tǒng)安全服務(wù)層、通用安全服務(wù)管理層、安全模塊層。其中通用安全服務(wù)管理層（CSSM）是通用數(shù)據(jù)安全體系結(jié)構(gòu)（CDSA）的核心，負(fù)責(zé)對(duì)各種安全服務(wù)進(jìn)行管理，管理這些服務(wù)的實(shí)現(xiàn)模塊。信息安全保障的基本屬性：可用性、完整性、可認(rèn)證性、機(jī)密性和不可否認(rèn)性，提出了保護(hù)、檢測(cè)、響應(yīng)和恢復(fù)這四個(gè)動(dòng)態(tài)的信息安全環(huán)節(jié)。信息安全保障的三要素：人、技術(shù)和管理。信息安全需求分析涉及物理安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、應(yīng)用安全與安全管理等多個(gè)層面，既與安全策略的制定和安全等級(jí)的確定有關(guān)，又與信息安全技術(shù)和產(chǎn)品的特點(diǎn)有關(guān)。信息傳輸安全需求與鏈路加密技術(shù)，VPN應(yīng)用、以及無線局域網(wǎng)和微波與衛(wèi)星網(wǎng)等信息傳輸途徑有關(guān)。信息安全體系結(jié)構(gòu)的設(shè)計(jì)原則：需求分明、代價(jià)平衡、標(biāo)準(zhǔn)優(yōu)先、技術(shù)成熟、管理跟進(jìn)、綜合防護(hù)。密碼服務(wù)系統(tǒng)中密碼芯片、密碼模塊、密碼機(jī)或軟件，以及密碼服務(wù)接口構(gòu)成。KMI密鑰管理設(shè)施PKI公開密鑰基礎(chǔ)設(shè)施實(shí)際應(yīng)用系統(tǒng)涉及的密碼應(yīng)用：數(shù)字證書運(yùn)算、密鑰加密運(yùn)算、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)字簽名、消息摘要與驗(yàn)證，數(shù)字信封。密鑰管理系統(tǒng)中密鑰管理服務(wù)器、管理終端、數(shù)據(jù)庫服務(wù)器、密碼服務(wù)系統(tǒng)等組成。認(rèn)證體系由數(shù)字認(rèn)證機(jī)構(gòu)（CA）、數(shù)字證書審核注冊(cè)中心（RA）、密鑰管理中心（KMC）、目錄服務(wù)系統(tǒng)、可信時(shí)間戳系統(tǒng)組成。認(rèn)證系統(tǒng)的三種基本信任模型，分別是樹狀模型、信任鏈模型和網(wǎng)狀模型。解決互操作的途徑有兩種：交叉認(rèn)證和橋CA。CA結(jié)構(gòu)1）證書管理模塊2）密鑰管理模塊3）注冊(cè)管理模塊4）證書發(fā)布及實(shí)時(shí)查詢系統(tǒng)設(shè)計(jì)可信目錄服務(wù)的核心是目錄樹的結(jié)構(gòu)設(shè)計(jì)。這種設(shè)計(jì)應(yīng)符合LDAP層次模型，且遵循以下三個(gè)基本原則:（1）有利于簡化目錄數(shù)據(jù)的管理。（2）可以靈活的創(chuàng)建數(shù)據(jù)復(fù)制和訪問策略。（3）支持應(yīng)用系統(tǒng)對(duì)目錄數(shù)據(jù)的訪問要求。授權(quán)管理基礎(chǔ)設(shè)施（PMI）的應(yīng)用模型（1）訪問者和目標(biāo)（2）策略實(shí)施點(diǎn)（3）策略決策點(diǎn)（4）安全授權(quán)策略說明遵循的原則和具體的授權(quán)信息。（5）屬性權(quán)威（6）屬性庫（7）策略庫集中式授權(quán)管理服務(wù)系統(tǒng)的體系結(jié)構(gòu)（1）授權(quán)管理模塊（2）授權(quán)信息目錄服務(wù)器（3）資源管理模塊（4）策略引擎（5）密碼服務(wù)系統(tǒng)集中式權(quán)限管理服務(wù)系統(tǒng)的主要功能：用戶管理、審核管理、資源管理、角色管理、操作員管理和日志管理。容災(zāi)備份包括系統(tǒng)備份和數(shù)據(jù)備份。容災(zāi)備份的體系結(jié)構(gòu):本地備份、異地備份，系統(tǒng)恢復(fù)和數(shù)據(jù)恢復(fù)。其運(yùn)作過程如下：（1）正常情況下，業(yè)務(wù)處理只在主中心運(yùn)行；業(yè)務(wù)系統(tǒng)對(duì)數(shù)據(jù)的任何修改，實(shí)時(shí)同步地復(fù)制到備份中心。（2）當(dāng)主中心的某些子系統(tǒng)發(fā)生故障時(shí)，系統(tǒng)會(huì)自動(dòng)地切換到主中心的其他設(shè)備，確保系統(tǒng)正常運(yùn)行。（3）當(dāng)災(zāi)難發(fā)生，導(dǎo)致主中心整個(gè)系統(tǒng)癱瘓時(shí)，能實(shí)時(shí)監(jiān)測(cè)到這種異常情況，及時(shí)向管理員發(fā)送各種警報(bào)，并按照預(yù)定的規(guī)則在備份中心啟動(dòng)整個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)。（4）主中心系統(tǒng)恢復(fù)后，可將備份中心的當(dāng)前數(shù)據(jù)復(fù)制回主中心，然后將業(yè)務(wù)處理從備份中心切換回主中心，備份中心回到備份狀態(tài)。數(shù)據(jù)備份的三種類型：完全備份，特別備份和增量備份。病毒主要通過SMTP、HTTP、FTP三個(gè)協(xié)議通道進(jìn)行入侵，需要針對(duì)這三個(gè)協(xié)議進(jìn)行內(nèi)容掃描和殺毒。DDOS分布式服務(wù)器攻擊IDES入侵檢測(cè)專家系統(tǒng)IDS入侵檢測(cè)系統(tǒng)CIDF入侵檢測(cè)框架IPS入侵防御系統(tǒng)入侵檢測(cè)系統(tǒng)分為基于主機(jī)的入侵檢測(cè)系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)和基于代理的入侵檢測(cè)系統(tǒng)。根據(jù)檢測(cè)的方法不同，可將入侵檢測(cè)技術(shù)分為異常入侵檢測(cè)技術(shù)和誤用入侵檢測(cè)技術(shù)。安全中間件分為四類：安全服務(wù)中間件、安全傳輸中間件、安全消息中間件和安全Web服務(wù)中間件。WAP無線應(yīng)用協(xié)議WLAN無線局域網(wǎng)SSL安全套接層協(xié)議SSID服務(wù)區(qū)標(biāo)識(shí)符WEP有線等效保密DMZ兩個(gè)防火墻之間的非軍事區(qū)WLAN應(yīng)用的幾種不安全因素:（1）竊聽（2）截獲和修改傳輸數(shù)據(jù)（3）哄騙（4）拒絕服務(wù)（5）免費(fèi)下載（6）偶然威脅（7）惡意WLAN為了降低誤警率、合理部署多級(jí)傳感器、有效控制跨區(qū)域的傳感器，下一代IDS產(chǎn)品正向以下幾個(gè)方向發(fā)展。1、智能關(guān)聯(lián)2、告警泛濫抑制3、告警融合4、可信任防御模型網(wǎng)關(guān)是連接兩個(gè)協(xié)議差別很大的計(jì)算機(jī)網(wǎng)絡(luò)時(shí)使用的設(shè)備。公鑰密碼算法：有RSA、DSA、DifferHellman算法，橢圓曲線密碼算法等;對(duì)稱密鑰算法：有SDBI、DES、IDEA、SMS4、RC4、RC5等；雜湊算法：有MD5、SHA1等。目前有兩種不同的PKI/CA開發(fā)模式：面向產(chǎn)品的開發(fā)模式和面向服務(wù)的開發(fā)模式。TPM可信平臺(tái)模塊TCP是以TPM為基礎(chǔ)構(gòu)建的計(jì)算平臺(tái)，其可信機(jī)制主要通過三個(gè)方面來體現(xiàn):（1）可信的度量；（2）度量的存儲(chǔ)；（3）度量的報(bào)告。遠(yuǎn)程證明是可信計(jì)算平臺(tái)提供的一個(gè)核心功能。典型的安全服務(wù)產(chǎn)品主要有：信息安全咨詢，安全運(yùn)營管理，安全體系結(jié)構(gòu)規(guī)劃，值息安全風(fēng)險(xiǎn)評(píng)估，應(yīng)用安全評(píng)估，安全系統(tǒng)集成，信息安全培訓(xùn)。典型的安全服務(wù)產(chǎn)品一一安全運(yùn)營管理ISO國際標(biāo)準(zhǔn)組織IEC國際電子技術(shù)協(xié)會(huì)ITU國際電信聯(lián)合會(huì)IEEE電氣與電子工程師協(xié)會(huì)風(fēng)險(xiǎn)評(píng)估，也稱風(fēng)險(xiǎn)分析。指對(duì)信息和信息處理設(shè)施的威脅、影響和脆弱性這三個(gè)因子及三者發(fā)生的可行性進(jìn)行評(píng)估。風(fēng)險(xiǎn)評(píng)估的步驟:1、資產(chǎn)識(shí)別與預(yù)估2、威脅評(píng)估與評(píng)價(jià)3、脆弱