前言

第4章对应的内容选择题和案例分析都会进行考查，这一章节属于技术相关的内容，学习要以教材为准。本章分值预计在4-5分。

目录

4.7 安全架构

4.7.1 安全威胁

4.7.2 定义与范围

4.7.3 整体架构设计

4.7.4 网络安全架构设计

4.7.5 数据库系统安全设计

4.7.6 安全架构设计案例分析

---

4.7 安全架构

安全保障以风险和策略为基础，在信息系统的整个生命周期中，安全保障应包括技术、管理、人员和工程过程的整体安全，以及相关组织机构的健全等。

4.7.1 安全威胁

就信息系统来说，威胁可以是针对物理环境、通信链路、网络系统、操作系统、应用系统以及管理系统等方面，具体如下：

①物理安全威胁是指对系统所用设备的威胁，例如自然灾害、电源故障等；

②通信链路安全威胁是指在传输线路上安装窃听装置或对通信链路进行干扰；

③网路安全威胁指的是通过技术手段窃取互联网信息；

④操作系统安全威胁是指对系统平台中的软件或硬件芯片中植入威胁，例如“木马”和“陷阱门”、BIOS的万能密码等；

⑤应用系统安全威胁是指对于网络服务或用户业务系统安全的威胁；

⑥管理系统安全威胁是指由于人员管理上疏忽而引发的安全漏洞。例如人为的拍照、拷贝等。

常见的安全威胁分类：

①信息泄露：信息被泄露或透露给某个非授权的实体。

②破坏信息的完整性：数据被非授权地修改或破坏。

③拒绝服务：对信息或其他资源的合法访问被无条件地阻止。

④非法访问或非授权访问：某一资源被某非授权人或以非授权的方式使用。

⑤窃听：用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如搭线监听、电磁泄露窃取有用信息等。

⑥业务流分析：通过对系统进行长期监听，利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等态势进行研究，从而发现有价值的信息和规律。

⑦假冒：通过欺骗通信系统（或用户）达到非法用户冒充成为合法用户，或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒进行攻击。

⑧旁路控制：利用系统的安全缺陷获得非授权的权利或特权。攻击者可以绕过防线守卫者侵入系统的内部。

⑨授权侵犯：被授权以某一目的使用某一系统或资源的某个人，却将此权限用于其他非授权的目的，也称作“内部攻击”。

⑩特洛伊木马：软件中含有察觉不出或者无害的程序段，当被执行时，会破坏用户的安全。

⑪陷阱门：在某个系统或某个部件中设置了“机关”，使得当提供特定的输入数据时，允许违反安全策略。

⑫抵赖：否认发布某条消息、伪造一份对方来信等。

⑬重放：所截获的某次合法的通信数据备份，出于非法的目的而被重新发送。

⑭计算机病毒：一种在计算机系统运行过程中能够实现传染和侵害的功能程序。一种病毒通常含有两个功能：对其他程序产生“感染”；引发损坏功能或者是一种植入攻击的能力。

⑮人员渎职：一个授权的人为了钱或利益、或由于粗心，将信息泄露给一个非授权的人。

⑯媒体废弃：信息被从废弃的磁盘或打印过的存储介质中获得。

⑰物理侵入：侵入者通过绕过物理控制而获得对系统的访问。

⑱窃取：重要的安全物品，如令牌或身份卡被盗。

⑲业务欺骗：某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息。

4.7.2 定义与范围

通常的系统安全架构、安全技术体系架构和审计架构可组成三道安全防线。

①系统安全架构：构建信息系统安全质量属性的主要组成部分以及它们之间的关系。从源头打造自身的安全。

②安全技术体系架构：构建安全技术体系的主要组成部分以及它们之间的关系。安全技术体系架构的任务是构包括安全基础设施、安全工具和技术、安全组件与支持系统等。系统性地增强各部分的安全防御能力。

③审计架构：独立的审计部门或其所能提供的风险发现能力，审计的范围主要包括安全风险在内的所有风险。

4.7.3 整体架构设计

构建信息安全保障体系框架应包括技术体系、组织机构体系和管理体系等三部分。也就是说，人、管理和技术手段是信息安全架构设计的三大要素，而构建动态的信息与网络安全保障体系框架是实现系统安全的保障。

◎ WPDRRC模型

WPDRRC(Waring/Protect/Detect/React/Restore/Counterattack）是我国信息安全专家组提出的信息系统安全保障体系建设模型。

模型有6个环节和3大要素。

WPDRRC模型包括6个环节：预警、保护、检测、响应、恢复和反击。

WPDRRC模型包括3个要素：人员、策略和技术。人员是核心，策略是桥梁，技术是保证。

W：预警。检查系统存在的、可能被利用的薄弱环节，分解网络的风险变化趋势和严重风险点，从而有效降低网络的总体风险，保护关键业务和数据。

P：防护。加密机制，数字签名机制，访问控制机制，认证机制，信息隐藏和防火墙技术等。

D：检测。通过检测和监控网络以及系统，来发现新的威胁和弱点，强制执行安全策略。主要有入侵检测、系统脆弱性检测、数据完整性检测和攻击性检测等。

R：响应是指在检测到安全漏洞和安全事件之后必须及时做出正确的响应，从而把系统调整到安全状态。应急策略、应急机制、应急手段、入侵过程分析和安全状态评估等。

R：恢复。在尽可能短的时间内使系统恢复正常。主要内容有容错、冗余、备份、替换、修复和恢复等。

C：反击是指采用一切可能的高新技术手段，侦察、提取计算机犯罪分子的作案线索与犯罪证据，形成强有力的取证能力和依法打击手段。

◎ 架构设计

信息系统安全设计重点考虑两个方面：一是系统安全保障体系；二是信息安全体系架构。

系统安全保障体系：是由安全服务、协议层次和系统单元等三个层面组成，且每个层都涵盖了安全管理的内容。系统安全保障体系设计工作主要考虑以下几点：

①安全区域策略的确定：根据安全区域的划分，主管部门应制定针对性的安全策略。

②统一配置和管理防病毒系统：建立整体防御策略，以实现统一的配置和管理。

③网络与信息安全管理：加强网络与信息安全管理，制定有关规章制度。

信息安全体系架构，从以下几个方面开展分析和设计工作：

①物理安全：保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。包括：环境安全、设备安全、媒体安全等。

②系统安全：包括：网络结构安全、操作系统安全和应用系统安全。是系统整体安全的基础。

③网络安全：是整个安全解决方案的关键。它主要包括：访问控制、通信保密、入侵检测、网络安全扫描系统和防病毒等。

④应用安全：主要是指多个用户使用网络系统时，对共享资源和信息存储操作所带来的安全问题。它主要包括资源共享和信息存储两个方面。

⑤安全管理：制定健全的安全管理体制；构建安全管理平台；增强人员的安全防范意识。

◎ 设计要点

系统安全设计要点主要包括以下几个方面：

▲网络结构安全领域重点关注网络拓扑结构是否合理，线路是否冗余，路由是否冗余和防止单点失败等。

▲操作系统安全重点关注两个方面：①操作系统的安全防范可以采取的措施，如：尽量采用安全性较高的网络操作系统并进行必要的安全配置，关闭一些不常用但存在安全隐患的应用，使用权限进行限制或加强口令的使用等。②通过配备操作系统安全扫描系统对操作系统进行安全性扫描，发现漏洞，及时升级等。

▲应用系统安全方面重点关注应用服务器，尽量不要开放一些不经常使用的协议及协议端口，如文件服务、电子邮件服务器等。可以关闭服务器上的如HTTP、FTP、Telnet等服务。可以加强登录身份认证，确保用户使用的合法性。

网络安全设计要点主要包括以下几个方面：

▲隔离与访问控制要有严格的管制制度。

▲通过配备防火墙实现网络安全中最基本、最经济、最有效的安全措施。通过防火墙严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制，防火墙可以实现单向或双向控制，并对一些高层协议实现较细粒度的访问控制。

▲入侵检测需要根据己有的、最新的攻击手段的信息代码对进出网段的所有操作行为进行实时监控、记录，并按制定的策略实施响应（阻断、报警、发送E-mail）。从而防止针对网络的攻击与犯罪行为。

▲病毒防护是网络安全的必要手段，反病毒技术包括预防病毒、检测病毒和杀毒三种。

应用安全设计要点主要包括以下两个方面：

▲资源共享要严格控制内部员工对网络共享资源的使用，在内部子网中一般不要轻易开放共享目录，否则会因为疏忽而在员工间交换信息时泄露重要信息。对有经常交换信息需求的用户，在共享时也必须加上必要的口令认证机制，即只有通过口令的认证才能允许访问数据。

▲信息存储是指对于涉及秘密信息的用户主机，使用者在应用过程中应该做到尽量少开放一些不常用的网络服务。对数据服务器中的数据库做安全备份。通过网络备份系统可以对数据库进行远程备份存储。

安全管理设计要点主要包括以下几个方面：

▲制定健全安全管理体制将是网络安全得以实现的重要保证，可以根据自身的实际情况制定如安全操作流程、安全事故的奖罚制度以及任命安全管理人员全权负责监督和指导。

▲构建安全管理平台将会降低许多因为无意的人为因素而造成的风险。构建安全管理平台可从技术上进行防护，如组成安全管理子网、安装集中统一的安全管理软件、网络设备管理系统以及网络安全设备统一管理软件等，通过安全管理平台实现全网的安全管理。

▲应该经常对单位员工进行网络安全防范意识的培训，全面提高员工的整体安全防范意识。

4.7.4 网络安全架构设计

OSI 定义了7层协议，其中除第5层（会话层）外，每一层均能提供相应的安全服务。最适合配置安全服务的是在物理层、网络层、传输层及应用层。OSI开放系统互联安全体系的5类安全服务包括鉴别、访问控制、数据机密性、数据完整性和抗抵赖性。

◎ OSI定义分层多点安全技术体系架构，也称为深度防御安全技术体系架构，它通过以下三种方式将防御能力分布至整个信息系统中：

①多点技术防御：在网络和基础设施、边界、计算环境等核心区域进行技术防御。

②分层技术防御：在对手和目标间使用多个防御机制。

③支撑性基础设施：包括公钥基础设施、检测和响应基础设施。

信息系统的安全保障不仅仅依赖于技术，还需要依赖于非技术防御手段。一个可接受级别的信息保障依赖于人员、管理、技术和过程的综合。

鉴别（Authentication）的基本目的是防止其他实体占用和独立操作被鉴别实体的身份。鉴别有两种重要的关系背景：一是实体由申请者来代表，申请者与验证者之间存在着特定的通信关系（如实体鉴别）：二是实体为验证者提供数据项来源。

◎ 鉴别的方式：

①已知的。举例：口令。

②拥有的。举例：门禁卡、IC卡、令牌。

③不改变的特征。举例：生物特性。

④相信可靠的第3方建立的鉴别。

⑤环境。举例：主机地址。

鉴别信息是指申请者要求鉴别到鉴别过程结束所生成、使用和交换的信息。

鉴别信息的类型有交换鉴别信息、申请鉴别信息和验证鉴别信息。

鉴别服务分为以下阶段：安装阶段、修改鉴别信息阶段、分发阶段、获取阶段、传送阶段、验证阶段、停活阶段、重新激活阶段、取消安装阶段。

◎ 访问控制（Access Control）决定开发系统环境中允许使用哪些资源，在什么地方适合阻止未授权访问的过程。

ACI（访问控制信息）是用于访问控制目的的任何信息，其中包括上下文信息。

ADI（访问控制判决信息）是在做出一个特定的访问控制判决时可供A D F使用的部分（或全部）ACI。

ADF（访问控制判决功能）：访问控制裁决。

AEF（访问控制实施功能）确保只有对目标允许的访问才由发起者执行。

涉及访问控制的有发起者、AEF、ADF和目标。

机密性框架：机密性服务的目的是确保信息仅仅是对被授权者可用。具体机制包括：

通过禁止访问提供机密性、通过加密提供机密性等。

机密性机制的方法：禁止访问和加密。

完整性框架：阻止对媒体访问的机制，包括物理隔离的不受干扰的信道、路由控制、访问控制；用以探测对数据或数据项序列的非授权修改的机制。

相应的完整性机制包括密封、数字签名、数据重复（作为对抗其他类型违规的手段）、与密码变换相结合的数字指纹和消息序列号。

完整性服务有几种分类方式：

▲根据防范的违规分类，违规操作分为未授权的数据修改、未授权的数据创建、未授权的数据删除、未授权的数据插入和未授权的数据重放。

▲依据提供的保护方法分为阻止完整性损坏和检测完整性损坏。

▲依据是否支持恢复机制，分为具有恢复机制的和不具有恢复机制的。

按照保护强度，完整性机制可分为：

▲不做保护；

▲对修改和创建的探测；

▲对修改、创建、删除和重复的探测；

▲对修改和创建的探测并带恢复功能；

▲对修改、创建、删除和重复的探测并带恢复功能。

抗抵赖性框架

抗抵赖服务包括证据的生成、验证和记录，以及在解决纠纷时随即进行的证据恢复和再次验证。抗抵赖由4个独立的阶段组成：证据生成；证据传输、存储及恢复；证据验证和解决纠纷。

4.7.5 数据库系统安全设计

数据库完整性是指数据库中数据的正确性和相容性。数据库完整性设计就是数据库完整性约束的设计。数据库完整性约束可以通过DBMS或者应用程序来实现。

在实施数据库完整性设计时，需要把握以下基本原则：

①根据数据库完整性约束的类型确定其实现的系统层次和方式。一般情况下，静态约束应尽量包含在数据库模式中，而动态约束由应用程序实现。

②实体完整性约束、引用完整性约束是关系数据库最重要的完整性约束。

③要慎用目前主流DBMS都支持的触发器功能，一方面由于触发器的性能开销较大；另一方面，触发器的多级触发难以控制，易发生错误。

④在需求分析阶段就必须制定完整性约束的命名规范，尽量使用有意义的英文单词、缩写词、表名、列名及下画线等组合。

⑤根据业务规则对数据库完整性进行细致的测试，以尽早排除隐含的完整性约束间的冲突和对性能的影响。

⑥要有专职的数据库设计小组，自始至终负责数据库的分析、设计、测试、实施及早期维护。

⑦应采用合适的CASE（计算机辅助软件工程）工具来降低数据库设计各阶段的工作量。

数据库完整性的作用：

①防止合法用户使用数据库时向数据库中添加不合语义的数据。

②利用基于DBMS的完整性控制机制来实现业务规则，易于定义，容易理解，而且可以降低应用程序的复杂性，提高应用程序的运行效率。

③同时兼顾数据库的完整性和系统的效能。

④在应用软件的功能测试中，完善的数据库完整性有助于尽早发现应用软件的错误。

⑤数据库完整性约束分类：列级静态约束、元组级静态约束、关系级静态约束、列级动态约束、元组级动态约束和关系级动态约束。动态约束通常由应用软件来实现。

基于DBMS的数据库完整性设计大体分为需求分析阶段、概念结构设计阶段和逻辑结构设计阶段。

4.7.6 安全架构设计案例分析

无

至此，本文分享的内容就结束啦！🌺🌺🌺🌺🌺🌺🌺🌺🌺