目前还没有广泛认可的网络安全架构国际标准,只有国际标准化组织(ISO)提出的一个推荐的标准文件ISO 7498-2(OSI参考模型的第二部分:安全架构)。安全体系结构作为开放系统互连(OSI)标准的一部分,ISO 7498-2将此内容映射到OSI的七层模型,OSI是网络系统中非常重要的国际网络安全技术体系结构基础。安全可以提供重要的指导。
ISO 7498-2中描述了开放系统互连安全的体系结构,应包括用于设计安全信息系统的基础结构:
(1)五种安全服务(安全功能);
(2)可以支持这五种安全服务的八种安全机制和通用安全机制;
(3)需要执行的三种OSI安全管理方法。
安全服务和安全机制在OSI标准提供的框架中定义。安全服务是指使用一个或多个安全机制来抵御安全攻击,提高组织数据处理系统安全性和安全信息传输的服务。安全机制是一种旨在检测,防止或恢复安全攻击的机制。
(一)安全服务
安全服务是增强信息系统安全性和组织信息传输的活动。OSI模型中定义了五组安全服务:机密性、身份验证服务、完整性、不可否认性和访问控制。这些服务几乎可以在OSI模型的任何级别构建。在OSI安全体系结构中,安全服务和OSI级别之间的关系如表5-1所示。
表5-1 OSI各层安全服务的位置
1.保密
机密性保证未经授权的个人,实体或流程不会使用数据。该服务可以提供保护传输数据免受被动入侵的机制。机密性概念可以应用于整个消息或消息中的字段。通信协议的面向连接和无连接的性质可能对数据机密性产生不同的影响。
2.认证服务(www.xing528.com)
认证服务可以确保接收的数据是真实的,与发送的时间一致,并且发送的数据的来源是正确的。在OSI中,身份验证特别意味着收件人收到的数据来自所需的发件人。
(1)数据源认证:确认是否需要接收数据的发送方。通常用于无连接服务。
(2)对等实体识别:确认是否需要关联的对等实体。通常用于面向连接的服务。
(3)诚信。完整性可确保数据不会以未经授权的方式更改或损坏。数据完整性和身份验证这两个概念紧密结合,通常同时需要这两种服务。它可以应用于消息中的整个消息或字段。通信协议的面向连接和无连接的性质可能对数据完整性的实现具有不同的影响。
(4)不可否认性。不可否认服务用于防止发送方在发送数据后拒绝已发送数据。接收方在接收数据后拒绝接收数据或伪造接收数据。这种服务以两种方式提供。一个是不否认传输,另一个不是否认收据,特别是使用数字签名或可信第三方提供公证。
(5)访问控制。访问控制可用于通信的源或目的地,或沿通信线路的某处。访问控制可保护网络免受未授权方的渗透。访问控制通常发生在应用程序层,或传输层或网络层。
(二)安全机制
安全机制是使用操作系统,硬件和软件功能以及管理程序及其任意组合来检测和防止对信息系统的任何组件的被动或主动威胁。
安全机制与安全服务密切相关。该机制是用于实现服务的程序。OSI定义的安全服务与所选机制之间的关系如表5-2所示。
表5-2 安全服务和机制
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
