計算機第2章網(wǎng)絡安全體系結(jié)構

12在網(wǎng)絡中，計算機與計算機之間的通信是機器與機器之間的通信，其不同于人與人之間通信的最大特點是必須對所傳遞信息的符號格式、傳送速率、過失控制、含義理解等，預先作出明確嚴格的統(tǒng)一規(guī)定或約定，成為共同成認和遵守的規(guī)那么，才能保證信息傳遞的可靠和有效，并在傳遞完成后得到相應的正確處理。這些為進行網(wǎng)絡中的信息交換而建立的共同規(guī)那么、標準或約定，稱為網(wǎng)絡協(xié)議〔Protocol〕3

在網(wǎng)絡的實際應用中，計算機系統(tǒng)與計算機系統(tǒng)之間的互聯(lián)、互通、互操作過程，一般都不能只依靠一種協(xié)議，而需要執(zhí)行許多種協(xié)議才能完成。全部網(wǎng)絡協(xié)議以層次化的結(jié)構形式所構成的集合，就稱為網(wǎng)絡體系結(jié)構。4網(wǎng)絡平安體系結(jié)構大致可分為三類：第一類是國際標準化組織〔ISO〕制定的開放系統(tǒng)互聯(lián)/考模型〔OSI/RM，OpenSystemInterconnection/ReferenceModel〕。第二類是有關行業(yè)成為既成事實的標準，已得到相當普遍的接受，典型代表如著名的TCP/IP協(xié)議體系結(jié)構。第三類，就是各生產(chǎn)廠商自己制定的協(xié)議標準。5開放系統(tǒng)互聯(lián)/參考模型〔OSI/RM〕61．保密性保密性是指確保非授權用戶不能獲得網(wǎng)絡信息資源的性能。為此要求網(wǎng)絡具有良好的密碼體制、密鑰管理、傳輸加密保護、存儲加密保護、防電磁泄漏等功能。2．完整性完整性是指確保網(wǎng)絡信息不被非法修改、刪除或增添，以保證信息正確、一致的性能。為此要求網(wǎng)絡的軟件、存儲介質(zhì)，以及信息傳遞與交換過程中都具有相應的功能。73．可用性可用性是指確保網(wǎng)絡合法用戶能夠按所獲授權訪問網(wǎng)絡資源，同時防止對網(wǎng)絡非授權訪問的性能。為此要求網(wǎng)絡具有身份識別、訪問控制，以及對訪問活動過程進行審計的功能。4．可控性可控性是指確保合法機構按所獲授權能夠?qū)W(wǎng)絡及其中的信息流動與行為進行監(jiān)控的性能。為此要求網(wǎng)絡具有相應的多方面的功能。5．抗抵賴性抗抵賴性又稱不可否認性，是指確保接收到的信息不是假冒的，而發(fā)信方無法否認所發(fā)信息的性能。為此要求網(wǎng)絡具有數(shù)字取證、證據(jù)保全等功能。8基于上述對網(wǎng)絡平安體系結(jié)構的需求，作為一般手段的網(wǎng)絡平安體系結(jié)構，其任務并不是為任何具體的網(wǎng)絡提供具體的網(wǎng)絡平安方案，而是提供有關形成網(wǎng)絡平安方案的方法和假設干必須遵循的思路、原那么和標準。它給出關于網(wǎng)絡平安效勞和網(wǎng)絡平安機制的一般描述方式，以及各種平安效勞與網(wǎng)絡體系結(jié)構層次的對應關系。91011OSI平安體系結(jié)構的核心內(nèi)容是：以實現(xiàn)完備的網(wǎng)絡平安功能為目標，描述了6類平安效勞，以及提供這些效勞的8類平安機制和相應的OSI平安管理，并且盡可能地將上述平安效勞配置于開放系統(tǒng)互聯(lián)/參考模〔OSI/RM〕7層結(jié)構的相應層。12OSI平安體系結(jié)構的三維空間表示13表2.1OSI平安體系結(jié)構描述的6類平安效勞及其作用序號安全服務作用1對等實體鑒別確保網(wǎng)絡同一層次連接兩端的對等實體身份真實、合法2訪問控制防止未經(jīng)許可的用戶訪問OSI網(wǎng)絡的資源3數(shù)據(jù)保密防止未經(jīng)許可暴露網(wǎng)絡中數(shù)據(jù)的內(nèi)容4數(shù)據(jù)完整性確保接收端收到的信息與發(fā)送端發(fā)出的信息完全一致，防止在網(wǎng)絡中傳輸?shù)臄?shù)據(jù)因網(wǎng)絡服務質(zhì)量不良而造成錯誤或丟失，并防止其受到非法實體進行的篡改、刪除、插入等攻擊5數(shù)據(jù)源點鑒別由OSI體系結(jié)構的第N層向其上一層即第（N+1）層提供關于數(shù)據(jù)來源為一對等（N+1）層實體的鑒別6抗抵賴，又稱不容否認防止數(shù)據(jù)的發(fā)送者否認曾經(jīng)發(fā)送過該數(shù)據(jù)或數(shù)據(jù)中的內(nèi)容，防止數(shù)據(jù)的接收者否認曾經(jīng)收到過該數(shù)據(jù)或數(shù)據(jù)中的內(nèi)容14表2.2OSI平安體系結(jié)構中平安效勞按網(wǎng)絡層次的配置安全服務網(wǎng)絡層次物理層數(shù)據(jù)鏈路層網(wǎng)絡層傳輸層會話層表示層應用層對等實體鑒別√√√訪問控制√√√√數(shù)據(jù)保密√√√√√√數(shù)據(jù)完整性√√√數(shù)據(jù)源點鑒別√√√√抗抵賴√√15按照OSI平安體系結(jié)構，為了提供上述6類平安效勞，采用以下8類平安機制來實現(xiàn)：〔1〕加密?！?〕數(shù)據(jù)簽名〔3〕訪問控制〔4〕數(shù)據(jù)完整性〔5〕交換鑒別〔6〕信息流填充〔7〕路由控制〔8〕公證16表2.3OSI平安體系結(jié)構中平安機制與平安效勞的對應關系安全服務安全機制數(shù)據(jù)加密數(shù)據(jù)簽名訪問控制數(shù)據(jù)完整性交換鑒別信息流填充路由控制公證對等實體鑒別√√√√訪問控制√數(shù)據(jù)保密√√√數(shù)據(jù)完整性√√√數(shù)據(jù)源點鑒別√√抗抵賴√√√1718美國國防部為了使其所有信息系統(tǒng)的平安配置具有充分的一致性、有效性和互操作性，由國防信息系統(tǒng)〔DISA〕與國家平安局〔NSA〕合作開發(fā)了國防部目標平安體系結(jié)構〔DGSA〕，并載入了1996年國防信息系統(tǒng)局發(fā)布的、為國防信息根底設施〔DII〕提供詳細開展藍圖的信息管理技術體系結(jié)構框架〔TAFIM〕3.0版，為其中的第6卷。該體系結(jié)構〔DGSA〕從開展角度提供了平安結(jié)構的全貌，是一個通用的體系框架，用于開發(fā)特定任務網(wǎng)絡或信息系統(tǒng)包含各項平安業(yè)務在內(nèi)的平安體系結(jié)構

191．DISSP的5個目的〔1〕保證國防部對DISSP的利用和管理；〔2〕將所有的網(wǎng)絡和信息系統(tǒng)高度自動化，以便使用；〔3〕確保網(wǎng)絡和信息系統(tǒng)的有效性、平安性、可互操作性；〔4〕促進國防信息系統(tǒng)的協(xié)調(diào)、綜合開發(fā)；〔5〕建立能使各個國防機構、各軍種，以及北約和美國的盟國的所有網(wǎng)絡和信息系統(tǒng)彼此之間具有良好互操作性的平安結(jié)構。。202．DISSP的8項任務〔1〕確定一個統(tǒng)一、協(xié)調(diào)的網(wǎng)絡平安策略；〔2〕開發(fā)全美國防網(wǎng)絡和信息系統(tǒng)平安結(jié)構；〔3〕開發(fā)基于上述平安結(jié)構的網(wǎng)絡平安標準和協(xié)議；〔4〕確定統(tǒng)一的網(wǎng)絡平安認證標準；〔5〕開發(fā)先進的網(wǎng)絡平安技術；〔6〕建立網(wǎng)絡和信息系統(tǒng)的開發(fā)者、實現(xiàn)者與使用者之間的有效協(xié)調(diào)；〔7〕制定達成預定目的的過渡方案；〔8〕將有關信息及時通報供給商。213．DISSP提供的平安體系結(jié)構及其特點DISSP提供的平安體系結(jié)構框架可用如圖2.3所示的三維空間模型來表示。圖中空間的三維分別代表：網(wǎng)絡平安特性與局部操作特性、網(wǎng)絡與信息系統(tǒng)的組成局部、OSI網(wǎng)絡結(jié)構層及其擴展層。223．DISSP提供的平安體系結(jié)構及其特點與OSI平安體系結(jié)構〔ISO7498—2〕相比，DISSP安全體系結(jié)構具有如下特點：〔1〕從最高層著眼，統(tǒng)籌解決全部國防網(wǎng)絡與信息系統(tǒng)的平安問題，不允許任何下屬層次各自為政并分別建立自己的平安體系?！?〕把網(wǎng)絡與信息系統(tǒng)的組成簡化歸結(jié)為4個局部，即端系統(tǒng)、網(wǎng)絡、接口和平安管理。這樣便于網(wǎng)絡與信息系統(tǒng)的管理人員與平安體系設計人員之間的協(xié)商與協(xié)作，便于平安策略的落實和平安功能的完善。這是該平安體系結(jié)構的一大創(chuàng)新。23〔3〕在網(wǎng)絡平安特性中增列了“物理、規(guī)程和人員平安〞特性，第一次將有關平安的法律、法令、規(guī)程及人事管理等工作都納入平安體系結(jié)構，使平安問題能夠更有效地全面統(tǒng)籌解決?！?〕把在網(wǎng)絡平安體系受到局部破壞或功能降低情況下，仍能繼續(xù)工作且受敵危害最小的特性，列為要求的平安特性?！?〕從多個角度，特別強調(diào)了在確保網(wǎng)絡平安性的同時，保證網(wǎng)絡具有足夠的互操作性。2425TCP/IP是傳輸控制協(xié)議/網(wǎng)際協(xié)議〔TransmissionControlProtocol/InternetProtocol〕的英文縮寫。經(jīng)過多年的演變開展，今天TCP/IP體系結(jié)構已經(jīng)成為Internet所采用的網(wǎng)絡協(xié)議，成為全世界應用最廣泛的網(wǎng)絡體系結(jié)構。TCP/IP體系結(jié)構雖然不同于OSI體系結(jié)構，不是國際標準化組織〔ISO〕所制定的標準，但已被全世界公認為一種具有很大影響的事實上的標準。所以，研究它的平安體系結(jié)構具有重要的現(xiàn)實意義。26TCP/IP體系結(jié)構OSI體系結(jié)構應用層FTP（文件傳輸協(xié)議）Telnet（遠程登錄協(xié)議）SMTP（簡單郵件傳輸協(xié)議）SNMP（簡單網(wǎng)絡管理協(xié)議）應用層（AL）表示層（PL）會話層（SL）傳送層TCP（傳輸控制協(xié)議）、UDP（用戶數(shù)據(jù)報文協(xié)議）傳輸層（TL）互聯(lián)網(wǎng)層路由協(xié)議IP（網(wǎng)際協(xié)議）ICMP（網(wǎng)絡互聯(lián)控制報文協(xié)議）網(wǎng)絡層（NL）ARP（地址解析協(xié)議）、RARP（反向地址解析協(xié)議）網(wǎng)絡接口層不指定數(shù)據(jù)鏈路層（DLL）物理層（PHL）TCP/IP體系結(jié)構也是一種分層結(jié)構，其中的每一層，都對應于OSI體系結(jié)構的某一層或某幾層。具體對應關系見表2.4。27表2.5基于TCP/IP的網(wǎng)絡平安體系結(jié)構中平安效勞按網(wǎng)絡層次的配置安全服務TCP/IP體系結(jié)構層次網(wǎng)絡接口層互聯(lián)網(wǎng)層傳輸層應用層對等實體鑒別√√√訪問控制√√√數(shù)據(jù)保密√√√√數(shù)據(jù)完整性√√√數(shù)據(jù)源點鑒別√√√抗抵賴

√28293.1網(wǎng)絡平安協(xié)議與標準的根本概念協(xié)議是網(wǎng)絡的同一層次實體之間、為了相互配合完本錢層次功能而作的約定。所以，協(xié)議是網(wǎng)絡體系結(jié)構的最終表達形式。對于網(wǎng)絡平安體系結(jié)構而言，它的根本構成成分和最終表達形式就是網(wǎng)絡平安協(xié)議。303.2網(wǎng)絡平安協(xié)議與標準舉例——美軍JTA信息系統(tǒng)平安標準美軍由國防信息系統(tǒng)局牽頭，集中各軍兵種專家，在信息管理技術體系結(jié)構框架〔TAFIM〕指導下，開發(fā)了名為聯(lián)合技術體系結(jié)構〔JTA〕的文件。該體系結(jié)構規(guī)定了一組全軍共用的強制性信息技術標準和指南，作為美國國防部各種新建、升級的信息網(wǎng)絡C4I系統(tǒng)的“建設法規(guī)〞。JTA作為一個龐大的標準集，包括5個方面強制執(zhí)行的標準，其中之一便是信息系統(tǒng)平安標準。JTA的信息系統(tǒng)平安標準本身又包括4個方面的標準。313.2網(wǎng)絡平安協(xié)議與標準舉例——美軍JTA信息系統(tǒng)平安標準1．信息處理平安標準2．信息傳送平安標準3．信息建模與信息平安標準4．人-計算機接口〔HCI〕平安標準32334.1美國的“可信計算機系統(tǒng)評估準那么〞美國國家計算機平安中心〔NCSC〕于1983年形成了DOD標準“可信計算機系統(tǒng)評估準那么〞〔TCSEC，TrustedComputerSystemEvaluationCriteria〕并發(fā)布施行，1985年進行了修訂。因該標準出版時封面為橘紅色，通常被稱為“橘皮書〞。34“橘皮書〞將計算機系統(tǒng)的平安等級分為4個檔次8個等級，在平安策略、責任、保證、文檔等4個方面共設定了27條評估準那么。不同的計算機信息系統(tǒng)可以此為依據(jù)，按系統(tǒng)的實際需要和可能，從中選取具有不同平安保密強度的平安等級標準?，F(xiàn)將該標準的4個檔次8個平安等級，由低到高依次簡述如下。351．D檔D檔為無保護檔級，是平安等級的最低檔。其主要特征是沒有專門的平安保護，此檔只有一個級別，即D級。D級：平安保護欠缺級。凡經(jīng)評估，達不到C1及其以上平安等級的計算機系統(tǒng)均列入此級。這一等級的計算機系統(tǒng)，沒有訪問控制機制，對于來自任何用戶的訪問，沒有任何身份認證措施與訪問權限控制。早期商業(yè)領域的計算機系統(tǒng)往往屬于這一平安等級。。362．Ｃ檔C檔為自主保護檔級。此檔又分兩個平安等級，共同特征是采用了自主訪問控制機制。C檔的兩個平安等級由低到高依次為C1級和C2級。C1級：自主平安保護級。C2級：受控訪問保護級。373．B檔B檔為強制保護檔級。此檔又分為3個平安等級，共同特征是采用強制訪問控制機制。B檔的3個平安等級由低到高依次為B1級、B2級和B3級。B1級：有標記的平安保護級。B2級：結(jié)構化保護級。B3級：平安域保護級。384．A檔A檔為驗證保護檔級。此檔又分兩個平安等級，由低到高依次為A1級和超A1級。它們共同的特征是，在系統(tǒng)設計階段就能夠?qū)︻A期的平安功能進行嚴格的驗證。A1級：經(jīng)驗證的設計保護級。超A1級：驗證實現(xiàn)級。B3級、A1級和超A1級，都屬于最高的平安等級，相應地對本錢的要求也高，只有極其重要的應用場合才采用。394.2我國的“計算機信息系統(tǒng)平安等級保護劃分準那么〞計算機信息系統(tǒng)平安等級保護劃分準那么〞是我國計算機信息系統(tǒng)平安等級保護系列標準的核心，是實行計算機信息系統(tǒng)平安等級保護制度建設的重要根底。該標準將信息系統(tǒng)劃分為5個平安等級，分別為用戶自主保護級、系統(tǒng)審計保護級、平安標記保護級、結(jié)構化保護級和訪問驗證保護