2011年软考系统架构设计师学习笔记第十二章2

 　12.2 系统安全体系架构规划框架及其方法

　　安全技术体系架构过程的目标 是 建立可持续改进的安全技术体系架构的能力。

　　OSI参考模型：物理、数据链路、网络、传输、会话、表示、应用。

　　根据网络中风险威胁的存在实体划分出5个层次的实体对象：应用、存储、主机、网络、物理。

　　信息系统安全规划是一个非常细致和非常重要的工作，需要对企业信息化发展的历史情况进行深入和全面的调研。

　　信息系统安全体系主要是由技术体系、组织结构体系、管理体系三部分共同构成。

　　技术体系由物理安全技术和系统安全技术两大类组成。

　　组织体系由机构、岗位、人事三个模块构成。

　　管理体系由法律管理、制度管理、培训管理三部分组成。

　　人员安全包括 安全管理的组织结构、人员安全教育与意识机制、人员招聘及离职管理、第三方人员安全管理等。

　　12.3 网络安全体系架构设计

　　12.3.1 OSI 的安全体系架构概述

　　在 OSI 7层协议中 除会话层外，每一层 均能提供相应的安全服务。

　　最适合配置安全服务的是 物理层、网络层、运输层、应用层。

　　ISO 开放系统互联 安全体系的5类安全服务：鉴别、访问控制、数据机密性、数据完整性、抗抵赖性。

　　分层多点安全技术体系架构，也称为深度防御安全技术体系架构，通过以下方式将防御能力分布至整个信息系统中。

　　1、多点技术防御，从内部或外部多点攻击一个目标，通过对以下多个防御核心区域的防御达到抵御所有方式的攻击的目的。

　　1. 网络和基础设施，确保可用性，确保机密性和完整性。

　　2. 边界，抵御主动的网络攻击。

　　3. 计算环境，抵御内部、近距离的分布攻击。

　　2、分层技术防御，有效的措施是使用多个防御机制。

　　支撑性基础设施为网络、边界、计算机环境中信息保障机制运行基础。包括公钥设施、检测和响应基础设施。

　　1. 公钥基础设施提供一种 通用的联合处理方式，以便安全地创建、分发、管理 公钥证书和传统的对称密钥。

　　公钥基础设施 必须支持受控的互操作性，并与各用户团体所建立的安全策略保持一致。

　　2. 迅速检测并响应入侵行为，便于结合其他相关事件观察某个事件的"汇总"性能。

　　识别潜在行为模式或者新的发展趋势