1.2 信息系统安全体系结构

国际标准化组织（ISO）在开放系统互联参考模型（OSI/RM）的基础上，于1989年制定了在OSI环境下解决信息安全的规则ISO/IEC 7498-2：信息处理系统.开放系统互连.基本参考模型.第2部分:安全体系结构（Information Processing Systems; Open Systems Interconnection;Basis Reference Model; Part 2: Security Architecture）。1990年，国际电信联盟（International Telecommunication Union，ITU）采用ISO/IEC 7498-2作为它的X.800推荐标准，我国的国家标准GB/T 9387.2-1995《信息处理系统 开放系统互连 基本参考模型 第2部分：安全体系结构》等同于ISO/IEC 7498-2。ISO/IEC 7498-2扩充了基本参考模型，加入了安全问题的各个方面，为开放系统的安全通信提供了一种概念性、功能性及一致性的途径。在ISO/IEC 7498-2中描述了开放系统互联安全的体系结构，提出设计安全的信息系统的基础架构中应该包含5种安全服务，能够对这5种安全服务提供支持的8类安全机制和普遍安全机制。其中5种安全服务为保密性、完整性、鉴别服务、抗抵赖性和访问控制。8类安全机制为加密、数字签名、访问控制、数据完整性、交换鉴别、业务流量填充、路由控制和公证。

1.2.1 信息安全服务

安全服务（Security Service）是指采用一种或多种安全机制以抵御安全攻击、提高信息系统的信息处理安全和信息传输安全的服务。面对各种信息安全威胁，要实现安全的信息通信，需要提供的信息安全服务包括保密性、完整性、鉴别性、抗抵赖性和访问控制。

一、保密性服务

保密性又称机密性（Confidentiality），是指不向非授权用户、实体或过程泄露信息系统资源（如数据信息、系统和硬件设备等），或保护信息系统资源免于被暴露和窃取攻击，例如，信息免于被进行流量分析，即它可以保护信息免于窃听和流量分析，它是针对资源泄露和窃取等威胁的安全服务。机密性服务的内容包括信息系统中静态存储的信息和动态传输的信息，以及物理资源。

二、完整性服务

完整性（Integrity）是指信息在存储和传输过程中保持不被非授权用户、实体或过程偶然或故意添加、篡改、删除的特性，它是针对信息删除、篡改、伪造等威胁的安全服务。破坏完整性的因素包括传输链路误码、设备故障、人为误操作及人为恶意攻击。此外，像网络使用高峰期的系统中断、传输链路误码和设备故障等，也可能会对信息造成不应有的改变。完整性服务要求网络信息不受各种原因破坏。完整性是一种面向网络信息的安全性，它可以保护网络信息的整体和部分。实现完整性服务的方法、机制和技术包括冗余校验、单向散列等。

三、鉴别性服务

鉴别性又称身份认证，是指在信息系统中对数据来源的证实以及对通信实体的识别，因此它包括信源认证（数据源身份认证，Data Origin Authentication）和实体认证（对等实体身份认证，Peer Entity Authentication）。在鉴别性服务中，对数据来源的鉴别（即信源认证）就是要保证数据接收方接收的数据信息确实是从它声明的来源发出的。另外，鉴别性服务还可以提供远在另一端的通信实体的身份认证，也就是提供发送方或接收方的身份认证（即实体认证）。例如，在信息系统中有通信连接的时候，在建立连接时认证发送方和接收方的身份；在没有通信连接的时候，认证信息的来源。鉴别性服务是针对网络欺骗、伪造等安全威胁的安全服务。实现鉴别性服务的方法、机制、技术包括账户/密码、数字证书、基于生物特征（如指纹、视网膜、脸型等）的认证等。

四、抗抵赖性服务

抗抵赖性（Non-repudiation）是指通信实体无法抵赖自己的网络行为的特性。例如，在网络通信中，通信的数据发送方无法否认发送过数据的行为，同样，数据接收方无法否认接收到数据的行为，因此又称不可否认性。在抗抵赖性服务中，带有源证据时，如果通信数据的发送方否认自己发出过数据，数据的接收方过后可以检验其身份，并通过其源证据证实数据确实是从声明的发送方发出。同样，带有交接证据时，通信数据的发送者过后可以检验发送给预定接收方的通信数据，并通过交接证据证明通信数据确实是由预定接收方所接收。抗抵赖性服务是针对网络欺骗、抵赖等安全威胁的安全服务。实现抗抵赖性服务的方法、机制和技术包括数字签名、电子取证和安全审计等。

五、访问控制服务

访问控制（Access Control）是指对用户访问信息系统资源的权限进行严格的认证和控制。在信息系统中，访问包含对程序的读、写、修改和执行等；另外，也指可以控制授权范围内的信息流向及行为方式。此外，访问控制服务在于信息和数据被合法使用时，保证可以控制授权用户或过程的使用方法和权限，即保护信息免于被未经授权的实体访问，它是针对网络入侵等威胁的安全服务。实现访问控制服务的方法、机制、技术包括进行用户身份认证，对口令加密、更新和鉴别，设置用户访问目录和文件的权限，控制网络设备配置的权限等。

1.2.2 信息安全机制

安全机制（Security Mechanism）是指设计用于预防、检测安全攻击或恢复信息系统的机制。ISO/IEC 7498-2中提出了提供安全服务的加密、数字签名、访问控制、数据完整性、交换鉴别、业务流量填充、路由控制和公证等安全机制。

一、加密机制

加密机制主要用来解决信息的窃取安全威胁，它能提供对信息的机密性、鉴别性、完整性等安全服务支持。首先，加密是提供数据信息保密的最常用和核心方法。此外，加密技术不仅应用于数据的安全存储和安全传输，也应用于程序的安全运行。例如，通过对程序的运行进行加密保护，可以防止软件被非法复制和使用，防止软件的安全机制被破坏，称为软件加密技术。在加密机制中，根据密码体制的不同划分，可分为序列密码和分组密码算法两种。按不同的密钥类型划分，加密算法可分为对称密钥密码和非对称密钥密码两种。加密机制除了提供信息的保密性之外，它和其他技术结合，如哈希函数，还能提供信息的完整性。ISO七层协议模型中，除了会话层不提供加密保护外，加密可在其他各层上进行。在现代加密机制中，加密算法是公开的，而密钥是需要进行保密的，因此与加密机制伴随而来的是密钥安全管理机制。

二、数字签名机制

数字签名是指发送方以电子形式签名一个消息或文件，表示签名人对该消息或文件的内容负有责任。此外，通过发送方的数字签名，信息接收方可以对签名进行电子检验。实现数字签名的过程和方法总和就称为数字签名机制。在数字签名中，发送方使用非对称加密算法中的私钥进行电子签名，接收方使用与发送方的私钥有联系的公钥进行验证，证明信息确实是由声称发送过这个信息的人签名的。数字签名机制主要用来解决信息的窃取否认、篡改、伪造和冒充威胁，它能提供对信息的鉴别性和不可否认性等安全服务支持。此外，数字签名综合使用数字摘要和公钥加密技术，可以在保证数据完整性的同时保证数据的真实性。

三、访问控制机制

访问控制是通过对访问主体的有关信息进行检查，并按确定的规则决定主体对客体的访问是否合法来限制或禁止访问主体使用资源，它分为高层访问控制和低层访问控制。其中，高层访问控制包括身份检查和权限确认，通过对用户口令、用户权限、资源属性的检查和对比来实现。低层访问控制是通过对通信协议中的某些特征信息的识别、判断，来禁止或允许用户访问的措施。如在路由器上设置过滤规则进行数据包过滤，就属于低层访问控制。访问控制机制是实现访问主体对各种网络资源的访问和操作进行限制的策略和方法总和。例如，当一个主体试图非法使用一个未经授权使用的客体时，访问控制机制将拒绝这一企图。此外，访问控制机制还能向审计跟踪系统报告这一事件。审计跟踪系统将产生报警信号或形成部分追踪审计信息。访问控制机制主要用来解决信息系统的非法入侵威胁，它可以防止未经授权的用户非法使用信息系统资源，这种服务不仅可以提供给单个用户，也可以提供给用户组的所有用户。建立访问控制机制的方法包括控制信息库、鉴别信息、权限、安全标记、访问的时间、访问的路由和访问持续的时间等。

四、数据完整性机制

在互联网信息系统中，数据往往通过分组进行传输，所以数据完整性包括数据单元的完整性和数据单元序列的完整性两种形式。其中，数据单元的完整性是指组成一个单元的一段数据不被破坏和增删篡改，它包括发送实体和接收实体两个过程。数据序列的完整性是指发出的数据被分割为按序列号编排的许多单元时，在接收时还能按原来的序列把数据串联起来，而不会发生数据单元的丢失、重复、乱序、假冒等情况。因此，数据完整性机制是防止数据单元或数据单元序列被插入、修改、假冒、重发或丢失的过程和各种方法的总和，该机制提供对信息的完整性和不可否认性等安全服务支持。保证数据完整性的一般方法是发送实体在一个数据单元上加一个标记，这个标记是数据本身的函数变换，如一个分组校验，或密码校验函数，它本身是经过加密的。接收实体是一个对应的标记，并将所产生的标记与接收的标记相比较，以确定在传输过程中数据是否被修改过。例如，把包含有数字签名的文件用单向哈希函数产生一个固定长度的摘要标记，并在传输信息时将它加入文件一同送给接收方。接收者在收到文件后也用相同的单向哈希函数进行变换运算得到另一个标记，然后将自己运算得到的标记与发送过来的标记进行比较，看看产生的标记是否相同就可知道数据是否完整。数据单元序列的完整性是要求数据编号的连续性和时间标记的正确性，以防止假冒、丢失、重发、插入或修改数据。

五、交换鉴别机制

在互联网信息系统中，为了保证信息交换的真实可靠，需要有一种机制来验证通信实体双方的真实身份。在进行身份认证时，两个实体交换信息以相互证明身份。因此，信息系统的交换鉴别机制是以交换信息的方式来确认实体身份的各种方法的总和，该机制提供对信息的鉴别性安全服务支持。例如，一方实体可以证明他知道一个只有他才知道的秘密。在认证机制中，通常采用口令、密码技术和实体的特征或所有权等方式进行认证。其中，口令认证是指由发送实体提供自己的口令，以证明自己的身份，接收实体则根据口令来判断对方的身份。密码技术认证是指发送实体和接收实体各自掌握的密钥是成对的。接收实体在收到已加密的信息时，通过自己掌握的密钥解密，能够确定信息的发送实体是掌握了另一个密钥的那个人。在许多情况下，密码技术还和时间标记、同步时钟、双方或多方握手协议、数字签名、第三方公证等相结合，以提供更加完善的身份鉴别。特征实物认证是指利用实体的特征或所有权，如U盾、IC卡、指纹、脸形和声音等。

六、业务流量填充机制

流量填充是指在数据流中随机嵌入一些虚假信息，从而阻止攻击者企图通过流量分析提取出有用信息。因此，流量填充机制提供针对流量分析的保护。这种机制主要是对抗非法者在线路上监听数据并对其进行流量和流向分析。例如，通过流量填充装置在无信息传输时，连续发出伪随机序列，使得攻击者不知哪些是有用信息，哪些是无用信息。该机制提供对信息的机密性安全服务支持。流量填充机制能够保持流量基本恒定，因此攻击者不能获取任何信息。流量填充的实现方法是随机生成数据并对其进行加密，再通过信息系统进行传输。

七、路由控制机制

在互联网信息系统中，从源节点到目的节点可能有多条路由线路，有些路由线路是安全的，而有些路由线路可能是不安全的。路由控制机制可以使信息发送者指定通过网络发送数据的路径。这样，可以选择那些可信的网络节点，从而确保数据不会暴露在安全攻击之下，该机制提供对信息的机密性安全服务支持。

八、公证机制

公证是指选择一个双方都信赖的第三方控制双方的通信，如此即可避免否认。由于互联网信息系统是一个开放的平台，不是所有的网络实体或用户都是可靠和可信的。此外，也可能由于系统故障等原因使信息丢失、迟到等，这很可能引起责任问题。为了解决这个问题，就需要有一个各方都信任的第三方实体——公证机构，如同一个国家设立的公证机构一样，提供公证服务，仲裁出现的问题。例如，为了避免发送方过后否认其曾经提过这样的请求，接收方可以通过第三方的公正机构来保存发送方的请求。因此，公证机制是指通信双方进行数据通信时必须经过这个机构来中转，公证机构从中转的信息里提取必要的证据，日后一旦发生纠纷，就可以据此做出仲裁。该机制提供对信息的不可否认性安全服务支持。

信息安全机制与安全服务的关系如表1-1所示。它表明对于每一种服务的提供，有哪些机制被认为是适宜的，可以由一种机制单独提供或几种机制联合提供。