[系统架构设计师]安全架构设计理论与实践（十八）

一.信息安全面临的威胁

1.信息系统安全威胁的来源

物理环境，通信链路，网络系统，操作系统，应用系统，管理系统

2.网络与信息安全风险类别

风险类别：人为蓄意破坏（被动型攻击，主动型攻击），灾害性攻击，系统故障，人员无意识行为

3.常见的安全威胁

1.信息泄露

2.破坏信息的完整性

3.拒绝服务

4.非法使用（非授权访问）

5.窃听

6.业务流分析

7.假冒

8.旁路控制

9.授权侵犯

10.特洛伊木马

11.陷阱门

12.抵赖

13.重放

14.计算机病毒

15.人员渎职

16.媒体废弃

17.物理侵入

18.窃取

19.业务欺骗

二.安全体系架构的范围

1.安全防线：产品安全架构，安全技术架构，审计架构

2.安全架构特性：可用性，完整性，机密性

3.安全技术架构：身份鉴别，访问控制，内容安全，冗余恢复，审计响应，恶意代码防范，密码技术

三.安全模型

1.信息系统安全目标

控制和管理主体对客体的访问。实现：

1.保护系统可用性

2.保护网络服务连续性

3.防范非法非授权访问

4.防范恶意攻击和破坏

5.保护信息传输机密性和完整性

6.防范病毒侵害

7.实现安全管理

2.典型安全模型

1.状态机模型：只允许主体以和安全策略相一致的安全方式访问资源

2.BLP模型：数据规划机密性，依据机密性划分安全级别，按安全级别强制访问控制。

BLP基本原理

1）安全级别是"机密"的主体访问安全级别为"绝密"的客体时，主体对客体可写不可读

2）安全级别是"机密"的主体访问安全级别为"机密"的客体时，主体对客体可写可读

3）安全级别是"机密"的主体访问安全级别为"秘密"的客体时，主体对客体可读不可写

BLP安全规则

1）简单规则：低级别主体读取高级别客体受限

2）星型规则：高级别客体写入低级别客体受限

3）强星型规则：对不同级别读写受限

4）自主规则：自定义访问控制矩阵

3.Biba模型

建立在完整性级别上。目标：保护数据不被未授权用户更改，保护数据授权不被授权用户越权修改（未授权更改），维持数据内部和外部的一致性

Biba模型基本原理：

1）完整性级别为"中完整性"的主体访问完整性为"高完整性"的客体时，主体对客体可读不可写，也不能调用主体的任何程序和服务

2）完整性级别为"中完整性"的主体访问完整性为"高完整性"的客体时，主体对客体可读可写

3）完整性级别为"中完整性"的主体访问完整性为"高完整性"的客体时，主体对客体可写不可读

Biba模型可以防止数据从低完整性级别流向高完整性级别，规则如下：

1）星完整性规则。完整性级别低的主体不能对完整性级别高的客体写数据

2）简单完整性规则。完整性高的主体不能向完整性级别低的客体读取数据

3）调用属性规则。完整性低的主体不能从完整性级别高的客体调用程序或服务

4.CWN模型

将完整性目标，策略和机制融为一体，提出职责分离目标，应用完整性验证过程，实现了成型的事务处理机制，常用于银行系统。

特征

1）包含主体，程序，客体三元素，主体只能通过程序访问客体

2）权限分离原则。功能可分为多主体，防止授权用户进行未授权修改

3）具有审计能力

5.Chinese Wall模型

混合策略模型，应用于多边安全系统，防止多安全域存在潜在的冲突。该模型为投资银行设计，常见于金融领域

工作原理：自主访问控制（DAC）选择安全域，强制访问控制(MAC)完成特定安全域内的访问控制

安全规则：

1）墙内客体可读取

2）不同利益冲突组可读取

3）访问其他公司客体和其他利益冲突组客体后，主体对客体写入受限

四.信息安全整体架构设计

1.WPDRRC信息安全模型

6环节：预警，保护，检测，响应，恢复，反击

3要素：人员，策略，技术

2.信息安全体系架构

1）物理安全（前提）：环境安全，设备安全，媒体安全

2）系统安全（基础）：网络结构安全，操作系统安全，应用系统安全

3）网络安全（关键）：访问控制，通信保密，入侵检测，网络安全扫描，防病毒

4）应用安全：资源共享，信息存储

5）安全管理：健全的体制，管理平台，人员安全防范意识

五.网络安全架构设计

1.OSI/RM信息安全架构

OSI定义了分层多点的安全技术体系架构，又叫深度防御安全架构，3种方式如下：

1）多点技术防御：通过网络和基础设施，边界防御（流量过滤，控制，如前检测），计算环境等方式进行防御

2）分层技术防御：外部和内部边界使用嵌套防火墙，配合入侵检测进行防御

3）支撑性基础设施：使用公钥基础设施以及检测和响应基础设施进行防御

2.认证框架

认证又叫鉴权

目的：防止其他实体占用和对立操作被鉴别实体的身份

鉴别方式：已知的（口令），拥有的（IC卡，令牌等），不可变特征（生物特征），受信第三方鉴别，环境（主机地址）

鉴别服务阶段：安全，修改鉴权信息，分发，获取，传送，验证，停活，重新激活，取消安装

3.访问控制框架

访问控制管制设备（AFF），访问控制决策设备（ADF），访问控制决策信息（ADI）

4.机密性框架

目的：确保信息仅仅是对被授权者可用

机制：通过禁止访问提供机密性，通过加密提供机密性

5.完整性框架

目的：组织威胁或探测威胁，保护数据及其相关属性的完整性

分类：未授权的数据创建，数据创建，数据删除，数据重放

类型: 阻止媒体访问，探测非法授权修改

6抗抵赖框架

目的：提供特定事件或行为的证据

阶段：证据生成，证据传输，存储及回复，证据验证，解决纠纷

六.数据库系统安全设计

1.数据库完整性设计原则

1）依据完整性约束类型设计其实现的系统层次和方式，并考虑性能

2）在保障性能的前提下，尽可能应用实体完整性约束和引用完整性约束

3）慎用触发器

4）制定并使用完整性约束命名规范

5）测试数据库完整性，尽早排除冲突和性能隐患

6）设有数据库设计团队，参与数据库工程全过程

7）使用CASE工具，降低工作量，提高工作效率

2.数据库完整性的作用

1）防止不合语义的数据入库

2）降低开发复杂性，提高运行效率

3）通过测试尽早发现缺陷

七.系统架构脆弱性分析

1.系统架构脆弱性组成

组成：物理装备脆弱性，软件脆弱性，人员管理脆弱性，规章制度脆弱性，安全策略脆弱性

2.典型架构的脆弱性表现

1.分层架构：层间脆弱性，层间通信脆弱性

2.C/S架构：客户端脆弱性，网络开放性脆弱性，网络协议脆弱性

3.B/S架构：http协议，更易被病毒入侵

4.事件驱动架构：组件脆弱性，组件间交互数据的脆弱性，组件间逻辑关系的脆弱性，事件驱动容易死循环，高并发脆弱性，固定流程脆弱性

5.MVC架构：复杂性脆弱性，视图与控制器连接紧密脆弱性，视图对模型低效率访问脆弱性

6.微内核架构：整体优化脆弱性，进程通信开销脆弱性，通信损失脆弱性

7.微服务架构：分布式结构复杂带来的脆弱性，服务间通信带来的脆弱性，服务管理复杂性带来的脆弱性

八.安全架构设计实践

1.远程认证拨号用户服务（RADIUS)

应用最广泛的高安全级别认证，授权，审计协议（AAA），高性能，高可扩展性

组成：协议逻辑层，业务逻辑层，数据逻辑层

1）协议逻辑层：分发处理。转发引擎

2）业务逻辑层：认证，授权，审计，服务进程间通信

3）数据逻辑层：实现统一的数据访问代理池，降低数据库依赖，减少数据库压力，增强系统的数据库适应能力

2.基于混合云的工业安全生产管理系统

私有云：内部产品设计，数据共享，生成集成

公有云：总部与智能工厂间的业务管理，协调，统计分析

生产管理系统系统架构：设备层，控制层，设计/管理层，应用层

1）设备层: 智能工厂生产用设备，智能传感器，智能仪器仪表，工业机器人，其他生产设备

2）控制层：智能设备控制用自动控制系统，采集与监视控制系统（SCADA)，分布式控制系统（DCS），现场总线控制系统（FCS），可编程控制器（PLC）内置编程程序，人机接口（HMI），其他现场控制程序

3）设计/管理层：智能工厂所有控制开发，业务控制，数据管理相关系统，实现数据集成和应用制造执行系统（MES），计算机辅助设计/工程/制造CAD/CAE/CAM，供应链管理（SCM），企业资源规划（ERP），客户关系管理（CRM），供应商关系管理（SRM），商业智能分析（BI），产品生命周期管理（PLM）

4）应用层：数据处理与管理，数据与行业应用相结合，定制业务，协同业务，产品服务

）控制层：智能设备控制用自动控制系统，采集与监视控制系统（SCADA)，分布式控制系统（DCS），现场总线控制系统（FCS），可编程控制器（PLC）内置编程程序，人机接口（HMI），其他现场控制程序

4）应用层：数据处理与管理，数据与行业应用相结合，定制业务，协同业务，产品服务