8.4.2 信息系统安全体系结构
随着计算机系统的广泛应用和计算机网络的迅猛发展,兴起了网络化信息系统的安全保密研究。由于网络化信息系统的组成成分复杂,覆盖面广;信息处理既有集中式,又有分布式;构成其基础的计算机、操作系统和网络既可能是同构的,也可能是异构的;实现计算机互联的网络结构可能是多种拓扑结构的混合;所用的网络组件繁杂,通信介质多种多样;信息出入口多,且分布面广。因而信息系统的安全体系结构的研究具有无所不包的内容广泛性,它的实现必然是所有安全保密学科知识的综合运用[23]。
在计算机网络技术的发展和应用环境下,分布计算环境和移动计算环境带来了身份认证、网络访问控制及信息有效性等需求,基于经典模型的安全体系结构已不能适应新的计算环境,而需要研究适应多平台计算环境的网络安全服务及安全机制等问题,即需要确定网络安全体系结构以便对网络安全开发设计进行规范和指导。1989年国际标准化组织ISO提出的ISO7498-2就是开放系统网络互连的安全体系结构标准,它确立了基于OSI/RM(Open System Interconnect/Reference Model)的三维框架网络安全体系结构,强调将5类安全服务和8类安全机制,体现在OSI模型的7层协议中,构成安全机制、安全服务及OSI协议层的三维体系结构,如图8-14所示。其中,安全服务是指可实现和可用的达到系统安全目标所需的安全功能;安全机制是指安全功能的实现方法和技术。
图8-14 OSI安全系统结构示意图
信息系统安全体系结构是计算机网络安全体系结构的扩展。20世纪80年代末、90年代初,随着各种网络化信息系统的建立和应用,信息系统安全体系结构的重要性开始引起关注。目前基于不同原理的信息系统安全体系结构主要有以下4种:
(1)基于协议的安全体系结构。该体系结构描述的是安全协议与网络各层协议、安全服务的关系(见表8-4)。
表8-4 基于协议的安全体系结构
续表
(2)基于实体的安全体系结构。该体系结构认为,系统功能的实现是由各种实体,包括应用实体、服务实体、系统实体及管理实体完成的,为了向系统用户提供安全服务,就需要给各种实体分配相应的安全功能(见表8-5)。
表8-5 基于实体的安全体系结构
(3)基于对象的安全体系结构。该体系结构有基于对象技术的分布式信息系统的安全服务规范,包括对象管理组(Object Management Group,OMG)于1999年修订的公共对象请求代理体系结构(Common Object Request Broker Architecture,CORBA)安全服务规范,它为异构分布式系统安全服务提供了统一的接口框架。CORBA安全体系结构主要从应用构件、安全服务、安全技术构件及安全通信等4个层次实现对象的安全调用。其中应用构件通过对安全服务的直接调用来实现安全需求,安全服务包括安全调用与访问控制对象服务,安全技术构件实现各种对象的安全规则及区域管理,安全通信实现对象的安全互操作、调用的安全联结及消息保护等机制。
(4)基于代理的信息系统安全体系结构的基本原理是运用软件代理技术实施信息系统安全机制,近年来已成为分布式信息系统安全领域的研究热点之一。总的来看,根据不同的应用需求,基于代理的系统的安全体系结构有不同的形式,但都强调安全策略的动态适应性和主动性[24]。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
