【正文】 安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求 相一致 。 安全的網(wǎng)絡(luò)系統(tǒng)設(shè)計(包括初步或詳細設(shè)計 )及 實施計劃 、 網(wǎng)絡(luò)驗證 、 驗收 、運行 等 ， 都要有安全的內(nèi)容及措施 。 實際上 ， 在網(wǎng)絡(luò)建設(shè)的開始就考慮網(wǎng)絡(luò)安全對策 ， 比等網(wǎng)絡(luò)建設(shè)好后再考慮安全措施 ， 不但容易 ， 且花費也少得多 。 – 多重保護原則 ? 任何安全措施都不是絕對安全的 ， 都可能被攻破 。 但是建立一個 多重保護系統(tǒng)后 ， 各層保護相互補充 ， 當一層保護被攻破時 ， 其他層保護仍可保護信息的安全 。 – 木桶原則 ? 安全系統(tǒng)的 “ 木桶原則 ” 是指對 信息進行均衡 、 全面地安全保護 。 系統(tǒng)本身在物理上 、 操作上和管理上的種種漏洞構(gòu)成了安全脆弱性 ， 尤其是多用戶網(wǎng)絡(luò)系統(tǒng)自身的復雜性 、 資源共享性使單純的技術(shù)保護防不勝防 。 攻擊者使用的是 “ 最易滲透原則 ” ，必然在系統(tǒng)中最薄弱的地方進行攻擊 。 因此 ， 充分 、全面 、 完整地對系統(tǒng)進行安全保護是系統(tǒng)安全的前提條件 。 安全服務(wù)設(shè)計的首要目的是防止最常用的攻擊手段 ， 根本目標是提高整個系統(tǒng)的 “ 安全最低點 ” 的安全性能 。 – 有效性與實用性原則 ? 安全系統(tǒng)的“有效性與實用性”原則是指不能影響系統(tǒng)正常運行和合法用戶的操作。信息安全和信息共享之間存在矛盾，一方面，為健全和彌補系統(tǒng)缺陷的漏洞，會采取多種技術(shù)手段和管理措施；另一方面，勢必給系統(tǒng)的運行和用戶的使用造成負擔和麻煩，尤其系統(tǒng)在網(wǎng)絡(luò)環(huán)境下，安全連接和安全處理會給實時性要求很高的業(yè)務(wù)造成時延和數(shù)據(jù)擴張。如何在確保安全的基礎(chǔ)上，把安全處理的運算量減少或分攤，減少用戶記憶、存儲工作和安全服務(wù)器的存儲量與計算量，是一個安全系統(tǒng)設(shè)計者主要解決的問題。 動態(tài)化原則 ? 安全系統(tǒng)的 “ 動態(tài)化 ” 原則是指整個系統(tǒng)內(nèi)應(yīng)盡可能多的具有可變因素和良好的擴展性 。 網(wǎng)絡(luò)安全是隨著環(huán)境和時間的變化而變化的 。 在一定環(huán)境下是安全的系統(tǒng) ， 環(huán)境發(fā)生變化了 (如更換了某個機器 )， 原來安全的系統(tǒng)就變得不安全了 。在一段時間里安全的系統(tǒng) ， 時間發(fā)生變化了 ， 原來的系統(tǒng)就會變得不安全 (如今天是安全的系統(tǒng) ， 可能因為黑客發(fā)現(xiàn)了某種系統(tǒng)的漏洞 ， 明天就會變得不安全了 )。 ? 具體的設(shè)計原則 – 如果考慮的安全更加廣泛 ， 更加具體一些 ， 可以參考美國著名信息系統(tǒng)安全顧問 C 沃德提出的著名的23條設(shè)計原則 。 – (1) 成本效率原則 。 – (2) 簡易性原則 。 – (3) 超越控制原則 。 一旦控制失靈 (緊急情況下 )時要采取預定的步驟 。 – (4) 公開設(shè)計與操作原則 。 保密并不是一種強有力的安全方式 ， 過分信賴可能導致控制失靈 。 控制的公開設(shè)計和操作反而可以使信息保護得到增強 。 – (5) 最小特權(quán)原則 。 只限于需要才給予這部分的特權(quán) ， 但應(yīng)限定其他系統(tǒng)特權(quán) 。 – (6) 設(shè)置陷阱原則 。 在訪問控制中設(shè)置一種容易進入的 “ 孔穴 ” ，以引誘某人進行非法訪問 ， 然后將其抓獲 。 – (7) 控制與對象的獨立性原則 。 控制 、 設(shè)計 、 執(zhí)行和操作不應(yīng)該是同一個人 。 – (8) 常規(guī)應(yīng)用原則 。 對于環(huán)境控制這一類問題不能忽視 。 – (9) 控制對象的接受能力原則 。 如果各種控制手段不為用戶或受這種控制所影響的其他人所接受 ， 則控制無法實現(xiàn) 。 – (10) 承受能力原則 。 應(yīng)該把各種控制設(shè)計成可容納最大多數(shù)的威脅 ， 同時也能容納那些很少遇到的威脅 。 – (11) 檢查能力原則 。 要求各種控制手段產(chǎn)生充分的證據(jù) ， 以顯示所完成的操作是正確無誤的 。 – (12) 記賬能力原則 。 登錄系統(tǒng)之人的所作所為一定要讓他自己負責 ， 系統(tǒng)應(yīng)予以詳細登記 。 – (13) 防御層次原則 。 建立多重控制的強有力系統(tǒng) ， 如同時進行加密 、 訪問控制和審計跟蹤等 。 – (14) 分離和分區(qū)化原則 。 把受保護的東西分割成幾個部分一一加以保護 ， 增加其安全性 。 – (15) 最小通用機制原則 。 采用環(huán)狀結(jié)構(gòu)的控制方式最保險 。 – (16) 外圍控制原則 。 重視籬笆和圍墻的安全作用 。 – (17) 完整性和一致性原則 。 控制設(shè)計要規(guī)范化 ， 成為 “ 可論證的安全系統(tǒng) ” 。 – (18) 出錯拒絕原則 。 當控制出錯時必須完全地關(guān)閉系統(tǒng) ， 以防受到攻擊 。 – (19) 參數(shù)化原則 。 控制能隨著環(huán)境的改變而改變 。 – (20) 敵對環(huán)境原則。可以抵御最壞的用戶企圖，容忍最差的用戶能力及其他可怕的用戶錯誤。 – (21) 人的干預原則 。 在每個危急關(guān)頭或作重大的決策時 ， 為慎重起見 ， 必須有人的干預 。 – (22) 安全印象原則 。 在公眾面前保持一種安全的形象 。 – (23) 隱蔽原則 。 對員工和受控對象隱蔽控制手段或操作詳情 。 安全技術(shù)評價標準 ? 隨著計算機網(wǎng)絡(luò)安全問題逐漸被人們所重視，如何評價其安全性，建立一套完整的、客觀的評價準則成了人們關(guān)心的問題。安全技術(shù)評價標準為計算機安全產(chǎn)品的評測提供了方法，指導著信息安全產(chǎn)品的制造和應(yīng)用，推動著計算機網(wǎng)絡(luò)安全技術(shù)的發(fā)展。 ? (TCSEC) ? 橘皮書 (Trusted Computer System Evaluation Criteria—TCSEC)是計算機系統(tǒng)安全評估的第一個正式標準 ， 具有劃時代的意義 。 它于 1970年由美國國防科學委員會提出 ， 并于 1985年 12月由美國國防部公布 。 TCSEC最初只是軍用標準 ， 后來延至民用領(lǐng)域 。 TCSEC將計算機系統(tǒng)的安全劃分為四個等級 、 七個安全級別 (從低到高依次為 D、 C CB B B3和 A級 )。 ? D級和 A級暫時不分子級 。 每級包括它下級的所有特性 ， 從最簡單的系統(tǒng)安全特性直到最高級的計算機安全模型技術(shù) ，不同計算機信息系統(tǒng)可以根據(jù)需要和可能選用不同安全保密程度的不同標準 。 D類：最低保護 。 無賬戶；任意訪問文件 。 C1類：自主的安全保護 。 系統(tǒng)能夠把用戶和數(shù)據(jù)隔開 ， 用戶以根據(jù)需要采用系統(tǒng)提供的訪問控制措施來保護自己的數(shù)據(jù) ， 系統(tǒng)中必有一個防止破壞的區(qū)域 ， 其中包含安全功能 。 C2類：強制訪問級別控制 。 控制粒度更細 ， 使得允許或拒絕任何用戶訪問單個文件成為可能 。 系統(tǒng)必須對所有的注冊 、 文件的打開 、 建立和刪除進行記錄 。 審計 跟蹤必須追蹤到每個用戶對每個目標的訪問 。 B1類：有標簽的安全保護 。 系統(tǒng)中的每個對象都有一個敏感性標簽而每個用戶都有一個許可級別 。 許可級別定義了用戶可處理的敏感性標簽 。 系統(tǒng)中的每個文件都按內(nèi)容分類并標有敏感性標簽 ， 任何對用戶許可級別和成員分類的更改都受到嚴格控制 ， 即使文件所有者也不能隨意改變文件許可權(quán)限 。 B2類：結(jié)構(gòu)化保護 。 系統(tǒng)的設(shè)計和實現(xiàn)要經(jīng)過徹底的測試和審查 。 系統(tǒng)應(yīng)結(jié)構(gòu)化為明確而獨立的模塊 ， 遵循最小特權(quán)原則 。必須對所有目標和實體實施訪問控制 。 政策 ， 要有專職人員負責實施 ， 要進行隱蔽信道分析 。 系統(tǒng)必須維護一個保護域 ， 保護系統(tǒng)的完整性 ， 防止外部干擾 。 B3類：安全域 。 系統(tǒng)的安全功能足夠小 ， 以利廣泛測試 。 必須滿足參考監(jiān)視器需求以傳遞所有的主體到客體的訪問 。 要有安全管理員 ， 安全硬件裝置 ， 審計機制擴展到用信號通知安全相關(guān)事件 ， 還要有恢復規(guī)程 ， 系統(tǒng)高度抗侵擾 。 A1類：最初設(shè)計系統(tǒng)就充分考慮安全性 。 有 “ 正式安全策略模型 ” 其中包括由公理組成的 形式化證明 。 系統(tǒng)的頂級技術(shù)規(guī)格必須與模型相對應(yīng) ， 系統(tǒng)還包括分發(fā)控制和隱蔽信道分析 。 ? 2. 國際通用準則 (CC) – CC是國際標準化組織統(tǒng)一現(xiàn)有多種準則的結(jié)果 ， 是目前最全面的評價準則 。 1996年 6月 CC第一版發(fā)布 ， 1998年 5月 CC第二版發(fā)布 ， 1999年 10月 CC ， 并且成為 ISO標準 。 CC的主要思想和框架都取自歐洲的安全評價標準 (ITSEC)和美國聯(lián)邦準則 (FC)， 并充分突出了“ 保護輪廓 ” 概念 。 CC將評估過程劃分為功能和保證兩部分 ， 評估等級分為 EAL EAL EAL EAL EALEAL6和 EAL7共七個等級 。 每一級均需評估七個功能類 ，分別是配置管理 、 分發(fā)和操作 、 開發(fā)過程 、 指導文獻 、生命期的技術(shù)支持 、 測試和脆弱性評估 。 演講完畢，謝謝觀看！