[系統架構設計師]安全架構設計理論與實踐（十八）

一.信息安全面臨的威脅

1.信息系統安全威脅的來源

物理環境，通信鏈路，網絡系統，操作系統，應用系統，管理系統

2.網絡與信息安全風險類別

風險類別：人為蓄意破壞（被動型攻擊，主動型攻擊），災害性攻擊，系統故障，人員無意識行為

在這里插入圖片描述

3.常見的安全威脅

1.信息泄露

2.破壞信息的完整性

3.拒絕服務

4.非法使用（非授權訪問）

5.竊聽

6.業務流分析

7.假冒

8.旁路控制

9.授權侵犯

10.特洛伊木馬

11.陷阱門

12.抵賴

13.重放

14.計算機病毒

15.人員瀆職

16.媒體廢棄

17.物理侵入

18.竊取

19.業務欺騙

二.安全體系架構的范圍

1.安全防線：產品安全架構，安全技術架構，審計架構

2.安全架構特性：可用性，完整性，機密性

3.安全技術架構：身份鑒別，訪問控制，內容安全，冗余恢復，審計響應，惡意代碼防范，密碼技術

三.安全模型

1.信息系統安全目標

控制和管理主體對客體的訪問。實現：

1.保護系統可用性

2.保護網絡服務連續性

3.防范非法非授權訪問

4.防范惡意攻擊和破壞

5.保護信息傳輸機密性和完整性

6.防范病毒侵害

7.實現安全管理

2.典型安全模型

1.狀態機模型：只允許主體以和安全策略相一致的安全方式訪問資源

2.BLP模型：數據規劃機密性，依據機密性劃分安全級別，按安全級別強制訪問控制。

BLP基本原理

1）安全級別是"機密"的主體訪問安全級別為"絕密"的客體時，主體對客體可寫不可讀

2）安全級別是"機密"的主體訪問安全級別為"機密"的客體時，主體對客體可寫可讀

3）安全級別是"機密"的主體訪問安全級別為"秘密"的客體時，主體對客體可讀不可寫

BLP安全規則

1）簡單規則：低級別主體讀取高級別客體受限

2）星型規則：高級別客體寫入低級別客體受限

3）強星型規則：對不同級別讀寫受限

4）自主規則：自定義訪問控制矩陣

3.Biba模型

建立在完整性級別上。目標：保護數據不被未授權用戶更改，保護數據授權不被授權用戶越權修改（未授權更改），維持數據內部和外部的一致性

Biba模型基本原理：

1）完整性級別為"中完整性"的主體訪問完整性為"高完整性"的客體時，主體對客體可讀不可寫，也不能調用主體的任何程序和服務

2）完整性級別為"中完整性"的主體訪問完整性為"高完整性"的客體時，主體對客體可讀可寫

3）完整性級別為"中完整性"的主體訪問完整性為"高完整性"的客體時，主體對客體可寫不可讀

Biba模型可以防止數據從低完整性級別流向高完整性級別，規則如下：

1）星完整性規則。完整性級別低的主體不能對完整性級別高的客體寫數據

2）簡單完整性規則。完整性高的主體不能向完整性級別低的客體讀取數據

3）調用屬性規則。完整性低的主體不能從完整性級別高的客體調用程序或服務

4.CWN模型

將完整性目標，策略和機制融為一體，提出職責分離目標，應用完整性驗證過程，實現了成型的事務處理機制，常用于銀行系統。

特征

1）包含主體，程序，客體三元素，主體只能通過程序訪問客體

2）權限分離原則。功能可分為多主體，防止授權用戶進行未授權修改

3）具有審計能力

5.Chinese Wall模型

混合策略模型，應用于多邊安全系統，防止多安全域存在潛在的沖突。該模型為投資銀行設計，常見于金融領域

工作原理：自主訪問控制（DAC）選擇安全域，強制訪問控制(MAC)完成特定安全域內的訪問控制

安全規則：

1）墻內客體可讀取

2）不同利益沖突組可讀取

3）訪問其他公司客體和其他利益沖突組客體后，主體對客體寫入受限

四.信息安全整體架構設計

1.WPDRRC信息安全模型

6環節：預警，保護，檢測，響應，恢復，反擊

3要素：人員，策略，技術

2.信息安全體系架構

1）物理安全（前提）：環境安全，設備安全，媒體安全

2）系統安全（基礎）：網絡結構安全，操作系統安全，應用系統安全

3）網絡安全（關鍵）：訪問控制，通信保密，入侵檢測，網絡安全掃描，防病毒

4）應用安全：資源共享，信息存儲

5）安全管理：健全的體制，管理平臺，人員安全防范意識

五.網絡安全架構設計

1.OSI/RM信息安全架構

在這里插入圖片描述

OSI定義了分層多點的安全技術體系架構，又叫深度防御安全架構，3種方式如下：

1）多點技術防御：通過網絡和基礎設施，邊界防御（流量過濾，控制，如前檢測），計算環境等方式進行防御

2）分層技術防御：外部和內部邊界使用嵌套防火墻，配合入侵檢測進行防御

3）支撐性基礎設施：使用公鑰基礎設施以及檢測和響應基礎設施進行防御

2.認證框架

認證又叫鑒權

目的：防止其他實體占用和對立操作被鑒別實體的身份

鑒別方式：已知的（口令），擁有的（IC卡，令牌等），不可變特征（生物特征），受信第三方鑒別，環境（主機地址）

鑒別服務階段：安全，修改鑒權信息，分發，獲取，傳送，驗證，停活，重新激活，取消安裝

3.訪問控制框架

訪問控制管制設備（AFF），訪問控制決策設備（ADF），訪問控制決策信息（ADI）

4.機密性框架

目的：確保信息僅僅是對被授權者可用

機制：通過禁止訪問提供機密性，通過加密提供機密性

5.完整性框架

目的：組織威脅或探測威脅，保護數據及其相關屬性的完整性

分類：未授權的數據創建，數據創建，數據刪除，數據重放

類型: 阻止媒體訪問，探測非法授權修改

6抗抵賴框架

目的：提供特定事件或行為的證據

階段：證據生成，證據傳輸，存儲及回復，證據驗證，解決糾紛

六.數據庫系統安全設計

1.數據庫完整性設計原則

1）依據完整性約束類型設計其實現的系統層次和方式，并考慮性能

2）在保障性能的前提下，盡可能應用實體完整性約束和引用完整性約束

3）慎用觸發器

4）制定并使用完整性約束命名規范

5）測試數據庫完整性，盡早排除沖突和性能隱患

6）設有數據庫設計團隊，參與數據庫工程全過程

7）使用CASE工具，降低工作量，提高工作效率

2.數據庫完整性的作用

1）防止不合語義的數據入庫

2）降低開發復雜性，提高運行效率

3）通過測試盡早發現缺陷

七.系統架構脆弱性分析

1.系統架構脆弱性組成

組成：物理裝備脆弱性，軟件脆弱性，人員管理脆弱性，規章制度脆弱性，安全策略脆弱性

2.典型架構的脆弱性表現

1.分層架構：層間脆弱性，層間通信脆弱性

2.C/S架構：客戶端脆弱性，網絡開放性脆弱性，網絡協議脆弱性

3.B/S架構：http協議，更易被病毒入侵

4.事件驅動架構：組件脆弱性，組件間交互數據的脆弱性，組件間邏輯關系的脆弱性，事件驅動容易死循環，高并發脆弱性，固定流程脆弱性

5.MVC架構：復雜性脆弱性，視圖與控制器連接緊密脆弱性，視圖對模型低效率訪問脆弱性

6.微內核架構：整體優化脆弱性，進程通信開銷脆弱性，通信損失脆弱性

7.微服務架構：分布式結構復雜帶來的脆弱性，服務間通信帶來的脆弱性，服務管理復雜性帶來的脆弱性

八.安全架構設計實踐

1.遠程認證撥號用戶服務（RADIUS)

應用最廣泛的高安全級別認證，授權，審計協議（AAA），高性能，高可擴展性

組成：協議邏輯層，業務邏輯層，數據邏輯層

1）協議邏輯層：分發處理。轉發引擎

2）業務邏輯層：認證，授權，審計，服務進程間通信

3）數據邏輯層：實現統一的數據訪問代理池，降低數據庫依賴，減少數據庫壓力，增強系統的數據庫適應能力

2.基于混合云的工業安全生產管理系統

私有云：內部產品設計，數據共享，生成集成

公有云：總部與智能工廠間的業務管理，協調，統計分析

生產管理系統系統架構：設備層，控制層，設計/管理層，應用層

在這里插入圖片描述

1）設備層: 智能工廠生產用設備，智能傳感器，智能儀器儀表，工業機器人，其他生產設備

2）控制層：智能設備控制用自動控制系統，采集與監視控制系統（SCADA)，分布式控制系統（DCS），現場總線控制系統（FCS），可編程控制器（PLC）內置編程程序，人機接口（HMI），其他現場控制程序

3）設計/管理層：智能工廠所有控制開發，業務控制，數據管理相關系統，實現數據集成和應用制造執行系統（MES），計算機輔助設計/工程/制造CAD/CAE/CAM，供應鏈管理（SCM），企業資源規劃（ERP），客戶關系管理（CRM），供應商關系管理（SRM），商業智能分析（BI），產品生命周期管理（PLM）

4）應用層：數據處理與管理，數據與行業應用相結合，定制業務，協同業務，產品服務

）控制層：智能設備控制用自動控制系統，采集與監視控制系統（SCADA)，分布式控制系統（DCS），現場總線控制系統（FCS），可編程控制器（PLC）內置編程程序，人機接口（HMI），其他現場控制程序

4）應用層：數據處理與管理，數據與行業應用相結合，定制業務，協同業務，產品服務

安全問題：設備安全，網絡安全，控制安全，應用安全，數據安全