网站服务器针对网络所面临的各种安全风险和安全攻击, IITU-T X.800标准以开放系统互连参考模型为基础,对参考模型不同层次所能供给的安全服务和相干安全机制给出框架性的逻辑定义。ITUTX.800标准的重要内容包含以下3点。
安全攻击( Security Attack):指侵害信息系统安全的任何运动。
安全机制( Security Mechanism):指设计用于检测、预防安全攻击或者从攻击状态恢复到系统正常状态所需的机制。
安全服务( Security Service):指采用一种或多种安全机制以抵抗安全攻击、进步数据处理系统安全和信息传输安全的服务。
三者之间的关系见表1
表1中,“Y”表现该项安全机制合适供给对应的安全服务,这些安全服务既可以单独应用,也可以与其他机制联合应用,用以抵抗相应的安全攻击。
网络安全服务
网络安全服务是指盘算机网络供给的安全防护功效。安全服务一般都是根据各种安全攻击来设计的,用以实现不同的安全目标。随着信息网络安全建设的飞速发展,安全服务的内容也日新月异。ITU-TX.800定义了5种标准的安全服务6:信息保密性服务、信息完整性服务、对等实体认证服务、不可否定服务、访问把持服务。其分类如图2所示。
1、信息保密性服务
信息保密性服务是指信息不泄漏给非授权的用户、实体或过程,或供其利用的特征。它是针对信息泄漏而采用的防御措施,可分为信息保密、选择段保密和业务流保密。它的基础是数据加密机制的选择。其中,信息保密是指掩护通信系统中的信息或者掩护网络数据库中的数据;选择段保密是掩护信息中被选择的数据段;业务流保密则是使监听者很难从网络流量的变更上获取敏感信息。
2、信息完整性服务
信息完整性是指信息未经授权不能进行转变的特征,即防止非法纂改信息,如修正、复制插入、删除、重放等。它包含以下5种情势。
可恢复的连接完整性:该服务对一个连接上的所有用户数据的完整性供给保障,而且对任何服务数据单元的修正、插入、删除或重放都可使之复原。
无恢复的连接完整性:该服务除了不具备恢复功效之外,其余同前。选择字段的连接完整性:该服务供给在连接上传送的选择字段的完整性,并能断定所选字段是不是已被修正、插入、删除或重放。
无连接完整性:该服务供给单个无连接的数据单元的完整性,能断定收到的数据单元是不是已被修正。
选择字段无连接完整性:该服务供给单个无连接数据单元中各个选择字段的完整性,能断定选择字段是不是被修正。
3、对等实体认证服务
网络通信一定要保证双方或多方之间的身份,特别是对等实体身份真实性的相互确认,这是网络之间有效通信的前提。OSI环境可供给对等实体认证和信源认证等安全服务。对等实体认证用来验证在某一关联的实体中对等实体是不是与其声称的实体身份是一致的。当实体的身份获得确认后就可以和访问把持表中的权限关联起来,以获取相应的访问权限;数据源点认证是指高安全级别的网络通信需要对数据源点进行认证,以禁止各种可能的恶意攻击行动。这里,数据源点重要指主机标识,在有些利用处景也指发送信息的用户。信源认证用于验证所收到的数据起源与所声称的起源是不是一致,它不供给防止数据中途被修正的功效。
4、不可否定服务
不可否定服务是防止对数据源以及数据提交的否定,用来证实产生过的操作。它可分为数据发送的不可否定(源不可否定)和数据吸收的不可否定(宿不可否定)。
5、访问把持服务
访问把持是指通信双方应当能够对通信的过程、通信的内容具有不同强度的把持能力,其在于掩护信息免于被未经授权的实体访问,这是有效和高效通信的保障。其中,访问的含义较为宽泛,对程序的读、写、修正、履行等都属于访问的领域。访问把持可分为自主访问把持、强制访问把持、基于角色的访问把持。实现机制可以是基于访问把持属性的访问把持表、基于安全标签或用户和资源分档的多级访问把持等。
