21-安全架构设计实践(第21小时)
软考-系统架构设计师 | 第4篇 架构设计实践知识 出题形式:下午案例分析题(25 分)+ 上午选择题 + 论文题 分值占比:约 25-30 分(重点!必出案例)
0. 考点分析
- 19 种安全威胁:信息泄露、破坏完整性、拒绝服务、非法使用、窃听、业务流分析、假冒、旁路控制、授权侵犯、特洛伊木马、陷阱门、抵赖、重放、计算机病毒、人员渎职、媒体废弃、物理侵入、窃取、业务欺骗
- 4 大典型安全模型:状态机模型、BLP(机密性)、Biba(完整性)、CWM(完整性+审计)、Chinese Wall(混合)
- WPDRRC 模型:6 环节 + 3 要素
- 信息安全体系 5 方面:物理/系统/网络/应用/管理
- OSI/RM 安全架构:深度防御 3 种方式
- 6 大安全服务框架:认证/访问控制/机密性/完整性/抗抵赖
- 系统架构脆弱性:分层/C-S/B-S/事件驱动/MVC/微内核/微服务
- RADIUS 三层架构
- 工业安全生产管理系统:设备/控制/设计管理/应用 4 层
1. 核心架构知识
1.1 安全体系架构的范围
3 大防线:产品安全架构、安全技术架构、审计架构
3 大特性:可用性、完整性、机密性
安全技术架构 7 大组成:
- 身份鉴别
- 访问控制
- 内容安全
- 冗余恢复
- 审计响应
- 恶意代码防范
- 密码技术
1.2 信息系统安全目标
信息系统安全目标是控制和管理主体对客体的访问,实现:
- 保护系统可用性
- 保护网络服务连续性
- 防范非法非授权访问
- 防范恶意攻击和破坏
- 保护信息传输机密性和完整性
- 防范病毒侵害
- 实现安全管理
1.3 19 种安全威胁(必须能区分)
| 威胁 | 含义 | 类别 |
|---|---|---|
| 信息泄露 | 信息被泄露或透露给某个非授权的实体 | 被动 |
| 破坏信息的完整性 | 数据被非授权地进行增删、修改或破坏 | 主动 |
| 拒绝服务 | 对信息或其他资源的合法访问被无条件阻止 | 主动 |
| 非法使用(非授权访问) | 某一资源被某个非授权的人或以非授权的方式使用 | 主动 |
| 窃听 | 用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息 | 被动 |
| 业务流分析 | 通过对系统进行长期监听,利用统计分析方法对通信频度、信息流向、总量变化等态势研究 | 被动 |
| 假冒 | 非法用户冒充成为合法用户,或特权小的用户冒充成为特权大的用户 | 主动 |
| 旁路控制 | 攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权 | 主动 |
| 授权侵犯 | 内部攻击,被授权的用户将权限用于其他非授权的目的 | 主动 |
| 特洛伊木马 | 软件中含有一个察觉不出的或者无害的程序段,当它被执行时,会破坏用户的安全 | 主动 |
| 陷阱门 | 在某个系统或某个部件中设置了"机关",使得当提供特定的输入数据时,允许违反安全策略 | 主动 |
| 抵赖 | 来自用户的攻击,否认自己曾经发布过的消息、伪造对方来信 | 主动 |
| 重放 | 所截获的某次合法的通信数据备份,出于非法的目的而被重新发送 | 主动 |
| 计算机病毒 | 在计算机系统运行过程中能够实现传染和侵害的功能程序 | 主动 |
| 人员渎职 | 授权的人因粗心或利益将信息泄露给非授权的人 | 主动 |
| 媒体废弃 | 信息被从废弃的磁盘或打印过的存储介质中获得 | 被动 |
| 物理侵入 | 侵入者通过绕过物理控制而获得对系统的访问 | 主动 |
| 窃取 | 重要的安全物品遭到窃取(令牌、身份卡) | 主动 |
| 业务欺骗 | 伪系统或系统部件欺骗合法的用户,或使系统自愿地放弃敏感信息 | 主动 |
1.4 典型安全模型(5 大模型)
1.4.1 状态机模型
- 安全状态模型系统,总是从一个安全状态启动
- 在所有迁移中保持安全状态
- 只允许主体以和安全策略相一致的安全方式访问资源
1.4.2 BLP 模型(Bell-LaPadula Model)
目标:数据规划机密性,依据机密性划分安全级别,按安全级别强制访问控制。
基本原理(机密性场景):
| 主体级别 | 客体级别 | 权限 |
|---|---|---|
| 机密 | 绝密 | 可写不可读 |
| 机密 | 机密 | 可写可读 |
| 机密 | 秘密 | 可读不可写 |
BLP 4 大安全规则:
- 简单规则:低级别主体读取高级别客体受限
- 星型规则:高级别主体写入低级别客体受限
- 强星型规则:对不同级别读写受限
- 自主规则:自定义访问控制矩阵
口诀:BLP 关注机密性,下读上写。
1.4.3 Biba 模型
目标:建立在完整性级别上。
完整性的 3 大目标:
- 保护数据不被未授权用户更改
- 保护数据不被授权用户越权修改
- 维持数据内部和外部的一致性
基本原理(完整性场景):
| 主体完整性 | 客体完整性 | 权限 |
|---|---|---|
| 中完整性 | 高完整性 | 可读不可写,不能调用主体的任何程序和服务 |
| 中完整性 | 中完整性 | 可读可写 |
| 中完整性 | 低完整性 | 可写不可读 |
Biba 防止数据从低完整性级别流向高完整性级别。
Biba 3 大安全规则:
- 星完整性规则:完整性级别低的主体不能对完整性级别高的客体写数据
- 简单完整性规则:完整性级别高的主体不能从完整性级别低的客体读取数据
- 调用属性规则:完整性级别低的主体不能从级别高的客体调用程序或服务
口诀:Biba 关注完整性,上读下写。
1.4.4 CWM 模型(Clark-Wilson Model)
特点:将完整性目标、策略和机制融为一体,提出职责分离目标,应用完整性验证过程,实现了成型的事务处理机制,常用于银行系统。
3 大特征:
- 包含主体、程序、客体三元素,主体只能通过程序访问客体
- 权限分离原则:功能可分为多主体,防止授权用户进行未授权修改
- 具有审计能力
1.4.5 Chinese Wall 模型
特点:混合策略模型,应用于多边安全系统,防止多安全域存在潜在的冲突,为投资银行设计,常见于金融领域。
工作原理:
- 通过**自主访问控制(DAC)**选择安全域
- 通过**强制访问控制(MAC)**完成特定安全域内的访问控制
安全规则:
- 墙内客体可读取
- 不同利益冲突组客体可读取
- 访问其他公司客体和其他利益冲突组客体后,主体对客体写入受限
1.5 信息安全整体架构设计
1.5.1 WPDRRC 信息安全模型
6 个环节:
- W - Warning(预警)
- P - Protect(保护)
- D - Detect(检测)
- R - React(响应)
- R - Restore(恢复)
- C - Counterattack(反击)
3 大要素:人员、策略、技术
1.5.2 信息安全体系架构(5 方面)
| 方面 | 重要性 | 包括 |
|---|---|---|
| 物理安全 | 前提 | 环境安全、设备安全、媒体安全 |
| 系统安全 | 基础 | 网络结构安全、操作系统安全、应用系统安全 |
| 网络安全 | 关键 | 访问控制、通信保密、入侵检测、网络安全扫描、防病毒 |
| 应用安全 | — | 资源共享、信息存储 |
| 安全管理 | — | 健全的体制、管理平台、人员安全防范意识 |
1.6 网络安全架构设计
1.6.1 OSI/RM 信息安全架构
深度防御安全架构通过 3 种方式将防御能力分布至整个信息系统:
- 多点技术防御:网络和基础设施、边界防御(流量过滤/控制/如前检测)、计算环境
- 分层技术防御:外部和内部边界使用嵌套防火墙,配合入侵检测
- 支撑性基础设施:公钥基础设施(PKI)以及检测和响应基础设施
1.6.2 认证框架(5 种鉴别方式)
- 已知的(口令)
- 拥有的(IC 卡、令牌)
- 不可变特征(生物特征)
- 受信第三方鉴别
- 环境(主机地址)
鉴别服务 9 阶段:安装、修改鉴权信息、分发、获取、传送、验证、停活、重新激活、取消安装
1.6.3 访问控制框架
- AEF(Access Control Enforcement Facilities,访问控制管制设备)
- ADF(Access Control Decision Facilities,访问控制决策设备)
- ADI(Access Control Decision Information,访问控制决策信息)
1.6.4 机密性框架
- 目的:确保信息仅仅是对被授权者可用
- 机制:通过禁止访问提供机密性、通过加密提供机密性
1.6.5 完整性框架
- 目的:组织威胁或探测威胁,保护数据及其相关属性的完整性
- 完整性服务分类:未授权的数据创建、数据创建、数据删除、数据重放
- 完整性机制:阻止媒体访问与探测非授权修改
1.6.6 抗抵赖框架
- 目的:提供特定事件或行为的证据
- 5 阶段:证据生成、证据传输、存储及回复、证据验证、解决纠纷
1.7 数据库系统安全设计
完整性设计原则 7 条:
- 依据完整性约束类型设计其实现的系统层次和方式,并考虑性能
- 在保障性能的前提下,尽可能应用实体完整性约束和引用完整性约束
- 慎用触发器
- 制订并使用完整性约束命名规范
- 测试数据库完整性,尽早排除冲突和性能隐患
- 设有数据库设计团队,参与数据库工程全过程
- 使用 CASE 工具,降低工作量,提高工作效率
数据库完整性的 3 大作用:
- 防止不合语义的数据入库
- 降低开发复杂性,提高运行效率
- 通过测试尽早发现缺陷
1.8 系统架构脆弱性分析
脆弱性组成:物理装备、软件、人员管理、规章制度、安全策略
7 大典型架构脆弱性:
| 架构 | 脆弱性表现 |
|---|---|
| 分层架构 | 层间脆弱性(底层错误导致整体崩溃)+ 层间通信脆弱性(性能下降) |
| C/S 架构 | 客户端脆弱性 + 网络开放性脆弱性 + 网络协议脆弱性 |
| B/S 架构 | 使用 HTTP 协议易被病毒入侵 |
| 事件驱动架构 | 组件脆弱性 + 组件间交换数据脆弱性 + 组件间逻辑关系脆弱性 + 容易死循环 + 高并发脆弱性 + 固定流程脆弱性 |
| MVC 架构 | 复杂性脆弱性 + 视图与控制器连接紧密脆弱性 + 视图对模型低效率访问脆弱性 |
| 微内核架构 | 整体优化脆弱性 + 进程通信开销脆弱性 + 通信损失脆弱性 |
| 微服务架构 | 分布式结构复杂 + 服务间通信 + 服务管理复杂性 |
1.9 安全架构设计实践
1.9.1 RADIUS(远程认证拨号用户服务)
应用最广泛的AAA(Authentication 认证、Authorization 授权、Accounting 审计)协议,具有高性能和高可扩展性。
3 层架构:
- 协议逻辑层:起到分发处理功能,相当于转发引擎
- 业务逻辑层:实现认证、授权、审计 3 种业务及其服务进程间的通信
- 数据逻辑层:实现统一的数据访问代理池,降低数据库依赖
1.9.2 基于混合云的工业安全生产管理系统
架构:
- 工厂内部(产品设计、数据共享、生产集成):私有云
- 总部与智能工厂(业务管理、协调、统计分析):公有云
4 层架构:
- 设备层:智能传感器、智能仪器仪表、工业机器人
- 控制层:SCADA、DCS、FCS、PLC、HMI
- 设计/管理层:MES、CAD/CAE/CAM、SCM、ERP、CRM、SRM、BI、PLM
- 应用层:云平台信息处理(数据处理与管理、数据与行业应用结合)
5 大安全问题:设备安全、网络安全、控制安全、应用安全、数据安全
1.10 实践案例
案例 1:银行系统的 CWM + BLP 模型应用
- CWM 保证完整性(事务处理)
- BLP 保证机密性(按密级分级别访问)
案例 2:电商平台 BLP + Biba 双模型
- 用户隐私数据用 BLP(机密性)
- 商品价格、库存用 Biba(完整性)
案例 3:投资银行 Chinese Wall 模型
- 不同客户组之间"墙"隔离
- 同一墙内可访问,跨墙需通过 MAC 控制
2. 关键概念速查
| 概念 | 定义/说明 | 常见考点 |
|---|---|---|
| BLP | Bell-LaPadula | 机密性、下读上写 |
| Biba | Biba Integrity | 完整性、上读下写 |
| CWM | Clark-Wilson | 完整性+审计、职责分离、银行 |
| Chinese Wall | 混合策略 | 金融领域、DAC+MAC |
| 状态机 | 状态机模型 | 基础安全模型 |
| WPDRRC | 6 环节+3 要素 | 预警/保护/检测/响应/恢复/反击 |
| 深度防御 | Defense in Depth | 多点+分层+基础设施 |
| AAA | 认证/授权/审计 | Authentication/Authorization/Accounting |
| AEF | 访问控制管制设备 | 接收访问请求 |
| ADF | 访问控制决策设备 | 做出允许/禁止判决 |
| ADI | 访问控制决策信息 | 上下文信息 |
| RADIUS | 远程认证拨号用户服务 | 3 层架构 |
| SCADA | 采集与监视控制系统 | 设备层 |
| DCS | 分布式控制系统 | 设备层 |
| FCS | 现场总线控制系统 | 设备层 |
| PLC | 可编程控制器 | 设备层 |
| HMI | 人机接口 | 设备层 |
| MES | 制造执行系统 | 设计/管理层 |
| PLM | 产品生命周期管理 | 设计/管理层 |
| 陷阱门 | Trapdoor | “机关"违反安全策略 |
| 特洛伊木马 | Trojan | 无害程序段破坏安全 |
| 重放攻击 | Replay | 截获数据重新发送 |
| 假冒 | Masquerade | 冒充合法/特权用户 |
| 主动攻击 | 修改、伪造信息 | 假冒 |
| 被动攻击 | 只获取不修改 | 监听、截取 |
3. 典型例题(案例分析题)
例题 1:选择题
题目:以下属于主动攻击的是( )。
A. 网络监听 B. 信息截取 C. 非法登录 D. 假冒身份
参考答案:D 解析:主动攻击会对信息进行修改、伪造,而被动攻击只是非法获取信息,不会对信息进行任何修改。假冒身份属于主动攻击;网络监听、信息截取、非法登录(信息收集)属于被动。
例题 2:选择题
题目:信息安全策略应该全面地保护信息系统整体的安全。其中,数据库的容灾属于( )的内容。
A. 物理线路安全与网络安全 B. 网络安全与系统安全 C. 物理线路安全与系统安全 D. 网络安全与应用安全
参考答案:D 解析:依据信息安全体系架构:
- 物理安全:环境、设备、媒体
- 系统安全:网络结构、操作系统、应用系统
- 网络安全:访问控制、通信保密、入侵检测、网络安全扫描、防病毒
- 应用安全:资源共享和信息存储
数据库容灾属于对信息存储方面的安全(应用安全)和网络方面的安全。
例题 3:选择题
题目:( )模型为数据规划机密性,依据机密性划分安全级别,按安全级别强制访问控制。
A. BLP 模型 B. 状态机模型 C. Biba 模型 D. CWM 模型
参考答案:A 解析:
- BLP:数据机密性,按安全级别强制访问控制
- 状态机:基础模型,所有迁移保持安全状态
- Biba:数据完整性
- CWM:完整性+审计,银行系统
例题 4:选择题
题目:“在某个系统或某个部件中设置了’机关’,使得当提供特定的输入数据时,允许违反安全策略。“属于哪一种安全威胁?
A. 特洛伊木马 B. 陷阱门 C. 窃取 D. 非法使用
参考答案:B 解析:
- 陷阱门:在系统中设置"机关”,特定输入允许违反安全策略
- 特洛伊木马:软件中含无害程序段
- 窃取:重要安全物品被盗
- 非法使用:资源被非授权使用
例题 5:选择题(陷阱题)
题目:常见的分层架构的脆弱性包括( )等两方面。
A. 底层发生错误会导致整个系统无法正常运行、层与层之间功能引用可能导致功能失效 B. 底层发生错误会导致整个系统无法正常运行、层与层之间引入通信机制势必造成性能下降 C. 上层发生错误会导致整个系统无法正常运行、层与层之间引入通信机制势必造成性能下降 D. 上层发生错误会导致整个系统无法正常运行、层与层之间的功能引用可能导致功能失效
参考答案:B 解析:层次式架构的软件脆弱性主要表现在:
- 层间脆弱性:某个底层的错误会导致整个系统都无法正常工作
- 层间通信脆弱性:层次间引入通信机制会造成大量消息交互,从而造成系统性能下降
注意:是底层错误,不是上层。
4. 论文素材
本章是论文题出题范围,以下 3 个题目方向可以重点准备:
论企业信息系统的安全架构设计与实现
- 写作要点:WPDRRC 模型、深度防御、5 方面安全体系
- 实战案例:金融/电信企业安全架构
论 BLP 与 Biba 安全模型在企业信息系统中的应用
- 写作要点:机密性 vs 完整性对比、银行 CWM 模型
- 实战案例:电商平台双模型应用
论工业互联网安全架构设计与实践
- 写作要点:RADIUS、混合云工业安全、5 大安全问题
- 实战案例:智能工厂安全防护
5. 高频考点
- 19 种安全威胁:陷阱门(机关)、特洛伊木马(无害程序段)、重放(重新发送)区分
- BLP vs Biba:机密性 vs 完整性,必对比
- CWM 银行、Chinese Wall 金融:常考应用场景
- WPDRRC 6 环节 + 3 要素:必背
- 信息安全体系 5 方面:物理/系统/网络/应用/管理
- 深度防御 3 种方式:多点+分层+基础设施
- AAA 框架:认证/授权/审计
- 分层架构脆弱性:底层错误 + 通信性能下降
- 数据库容灾属于哪个安全:网络安全+应用安全