信息安全体系结构安全机制.ppt

资源描述

《信息安全体系结构安全机制.ppt》由会员分享，可在线阅读，更多相关《信息安全体系结构安全机制.ppt（87页珍藏版）》请在三一文库上搜索。

1、第4章安全机制,安全机制是信息系统安全服务的基础，具有安全的安全机制，才能有可靠的安全服务。一种安全服务的实施可以使用不同的机制，单独使用或组合使用多种机制。,4.1 加密机制,密码技术与加密加密密码算法密钥及密钥管理,4.1.1 密码技术与加密,密码学是许多安全服务与机制的基础。密码函数可以作为加密、解密、数据完整性、鉴别交换、口令存储与校验等的一部分，借以达到保密、完整性和鉴别的目的。用于机密性的加密把敏感数据（即受保护的数据）变换成敏感性较弱的形式。用于完整性或鉴别时，密码技术用来计算不可伪造的函数。,4.1.2 加密,加密是安全机制中最基础、最核心的机制。加密是把可以理

2、解的明文消息，通过密码算法变换成不可理解的密文的过程；解密是加密过程的逆操作。,加密,4.1.3 密码算法,密码算法是在密钥控制下的一簇数学运算，根据消息的密级的不同，密码算法的强度可以不同，其强度和算法本身由相应的审批机关进行审批。,密码算法分类,传统密码算法（对称密码算法）加密和解密密钥相同明文：待加密的信息和解密后的信息密文：加密后的信息加密：加密装置或密码算法密钥：密码算法中可变的部分,密码算法分类,公开密钥密码算法（非对称密码算法）加密密钥是公开的，解密密钥不公开非对称密码体制 E1和E2分别代表加密算法和解密算法，不相同,序列密码算法,序列密码又称流密码。,序列产生

3、器,明文数据,密文,K（密钥）,+,加、解密器,伪随机序列,序列密码体制,序列密码优缺点,对称密钥体制使用方便，加、解密速度较高低的错误扩散，明文和密文是逐比特对应加、解密的，传输过程中的每比特错误只能影响该比特的明文最大的缺陷是密钥分发问题， n(n-1)/2个密钥,分组密码体制,分组密码体制，是一种数据扩散体制（在一有限的分组内）。采用数量固定的明文加上全部密钥，产生与明文分组长度相同的密文分组。,分组加密算法,Y bit 密钥,X bit 明文,X bit 密文,分组加密算法,Y bit 密钥,X bit 密文,X bit 明文,分组密码体制,分组密码体制优缺点,分组密码具

4、有良好的扩散特性对插入和修改具有免疫性分组密码加密速度慢分组密码错误扩散特性,公开密钥密码体制,1976年由Deffie和Hellman提出的，最初的目的是解决网上众多用户密钥分配时，全网密钥数量过大的问题。贡献在于：引入了一个与传统密码体制不同的概念，密钥成对出现，一个为加密密钥，另一个为解密密钥，不能从一个推导出另一个。特点：加密和解密密钥不相同且加、解密算法也不相同，加密密钥可以公开的密码体制。,公开密钥密码算法的优缺点,加密速度低简化密钥管理可以提供比传统密码体制更多的安全服务寻找更有效的算法难度大。,4.1.4 密钥及密钥管理,密钥的产生密钥的分发密钥输入和输出

5、密钥的更换密钥的存储密钥的保存和备份密钥的寿命密钥的销毁,4.2 访问控制机制,访问控制的目的是防止对信息系统资源的非授权访问和非授权使用信息系统资源。为了从整体上维护系统的安全，访问控制应遵循最小特权原则，即用户和代表用户的进程只应拥有完成其职责的最小的访问权限的集合，系统不应给用户超过执行任务所需特权以外的特权。,客体、主体,客体（Object）：在系统中，包含有数据的实体通常称之为客体，是一种信息实体，或者它们是从主体或客体接收信息的实体。如：文件，I/O设备，数据库中的表、记录等。主体（Subject），能访问或使用客体的活动实体称为主体，可使信息在客体之间流动。用户是主体

6、，系统内代表用户进行操作的进程自然被看作是主体。系统内所有的活动都可看作是主体对客体的一系列操作。,访问权限,主体对客体的访问权一般可以分为以下几种类型：读（r），写（w），添加（a），删除（d），程序执行（e）权。拥有权（Own）：客体o是由主体s所创建的，则主体s对o具有拥有权，称s是o的拥有者。控制权（c）：若主体s对客体o具有控制权，则意味着s有权授予或撤销其他主体对客体o的访问权。,4.2.1 访问控制距阵模型,实施了访问控制的系统，其状态可以用一个三元组（S,O,A）来表示，其中： S主体的集合 O客体的集合 A访问矩阵。行对应主体，列队应客体，第i行j列的元素aij 是访问

7、权的集合，列出了允许主体si对客体oj可进行的访问权。,4.2.1 访问控制距阵模型,例如，有两个进程、两个存储器段和两个文件的简单系统的访问矩阵。,S= P1,P2 , O= M1，M2，F1，F2，P1， P2 ,访问控制类型,两种类型的访问控制：自主访问控制（Discretionary Access Control，简称DAC）强制访问控制（Mandatory Access Control，简称MAC）,4.2.2 自主访问控制,什么是自主访问控制？对某个客体具有拥有权的主体能够将对该客体的一种访问权或多种访问权自主地授予其他主体，并在随后的任何时刻将这些授权予以撤销，也就是说，在

8、自主访问控制下，用户可以按自己的意愿，有选择地与其他用户共享他的文件。若主体s创建了客体o，则s是o的拥有者，对o具有拥有权，与此同时，也具有对客体o的所有可能的访问权。特别是，s也自动具有了对o的控制权，即s能在系统中决定哪些主体对o有访问权，有什么样的访问权。,4.2.2 自主访问控制,在实施自主访问控制的系统中，访问控制矩阵提供的信息必须以某种形式保存在系统中，以便系统在主体发出访问客体的请求时，监控程序作相应的安全检测，并在主体进行自主授权或撤销授权时，动态地维护这些信息。在操作系统实现自主访问控制时，都不是将矩阵整个地保存起来，因为这样做效率很低，实际上是用基于矩阵的行或列来表达

9、访问控制信息。基于能力表的自主访问控制基于授权表的自主访问控制,基于能力表的自主访问控制,用二元组（x，y）表示对一个客体的访问能力。其中，x是该客体的唯一的名字；y是对x的一组访问权的集合，并称（x，y）为能力（Capability）。能力（x，y）是一个许可证，持有者可对客体x进行y中所允许的访问。在系统中，为每一个主体分配一个能力表，主体s的能力表由访问控制矩阵中s所对应的行中所有非空项所组成。,基于能力表的自主访问控制,进程P1的能力表,优缺点,能力方案当目标很少时，此方案是方便的；在撤销对一个目标集上的目标的访问时，是不方便的对发起者SDA撤销发起者访问权而言，方便在访

10、问控制由发起者一方实施管理的情况下，方便在有“许多”用户或“许多”组用户对“很少”目标进行访问，并且目标和用户处于不同安全域的情况下，权力是非常方便的。,基于授权表的自主访问控制,可以为每一个客体o分配一张授权表，授权表由被授权访问客体o的所有主体及其对o所进行的访问权限组成。,优缺点,访问控制列表方案需要极为细粒度的访问控制时，此方案是方便的只有少量发起者或发起者组时，此方案十分方便撤销对目标或目标组的访问十分方便基于每个目标而不是每个发起者时，访问控制方便当发起者个人或组内成员整体不断改变时，此方案不方便。,4.2.3 强制访问控制,自主访问控制是保护系统资源不被非法访问的一种

11、有效手段。但这种控制是自主的，是以保护用户的个人资源的安全为目标并以个人的意志为转移的。自主性满足了用户个人的安全要求，并为用户提供了很大的灵活性，但对系统安全的保护力度是相当薄弱的。当系统中存放有大量数据，而这些数据的属主是国家，是整个组织或整个公司时，为了保护系统的整体安全，必须采取更强有力的访问控制手段来控制用户对资源的访问，这就是强制访问控制。,4.2.3 强制访问控制,在一个实施了强制访问控制的系统中，一个主体对哪些客体被允许进行访问以及可以进行什么样的访问，都必须事先经过系统对该主体授权，否则其访问会遭到拒绝。强制访问控制往往可以通过给主、客体分别赋予安全标记并通过比较主、客

12、体的安全标记来决定，也可以通过限制主体只能执行某些程序来实现。,优缺点,基于标记的方案使用可分配给发起者、目标以及传输于系统之间的数据的安全标记。在多个发起者对多个目标进行访问、且只需要粗粒度访问控制的情况下尤其方便对提供安全域之间的访问控制也是方便的,安全策略,计算机系统的安全策略是为了描述系统的安全需求而制定的对用户行为进行约束的一套严谨的规则，这些规则明确规定系统中哪些访问是允许的，哪些访问是不允许的。用计算机能表达的方式表达出来，用以指导建立相应的强制访问控制机制。系统在实施强制访问控制之前，制定其安全策略是十分必要的。,军事安全策略,军事系统中最重要的安全需求是信息的保密性，

13、往往根据信息的机密程度对信息分类，将机密程度不同的信息限制在不同的范围内，防止用户取得不应该得到的密级较高的信息。多级安全的概念始于20世纪60年代，是军事安全策略的一种数学描述，并用计算机可实现的方式来定义。,军事安全策略,在实施多级安全策略的系统中，系统为每一个主体和每一个客体分配一个安全级。对于主体来说，安全级表示他在系统中被信任的程度或他在系统中访问信息的能力，有时也称为该主体的许可证；对于客体来说，安全级表示该客体所包含信息的敏感程度或机密性。,军事安全策略,安全级由两部分组成，用有序二元组（密级，范畴集）表示。密级用来反映信息（或可访问信息）的机密程度，通常有一般、秘密、机

14、密和绝密4个级别，根据需要可以将其扩充到任意多个级别，他们间的关系用全序（一般秘密机密绝密）来表示，这意味着，若某主体具有访问密级a的能力，则对任意b a，该主体也具有访问b的能力，反之，则不然。范畴集也可理解为部门或类别集。对于客体来说，范畴集可以定义为该客体所包含的信息所涉及的范围，如所涉及的部门或所具有的类别属性。对于主体来说，范畴集可以定义为该主体能访问的信息所涉及的范围或部门。,军事安全策略,例如，某应用系统中密级定义为4个级别，分别用U、C、S和TS表示一般、秘密、机密和绝密。令A=U,C,S,TS，这里U C S TS,“”是A上的全序，他们构成偏序集。设部门集B=科

15、技处，生产处，情报处，财务处，集合B的幂级PB=S | S B 。 PB中的元素均是B的子集。也构成偏序集。笛卡尔积A PB =（a，H）| aA,H PB 中的元素可用来表示系统中主、客体的安全级。,军事安全策略,例如，假设系统中有主体u和3个客体o1,o2,o3，他们的安全级分别如下： Class(u)=(S,科技处，财务处 ) Class(o1)=(C,科技处 ) Class(o2)=(TS,科技处，情报处，财务处 ) Class(o3)=(C,情报处 ) 通过比较主、客体的安全级，便可决定是否允许主体对客体的访问以及什么样的访问。在笛卡尔积A PB 上定义一个二元关系“”：对任意

16、（a1,H1）,（a2,H2） A PB ,当且仅当a1a2,H1 H2时，有（a1,H1）（a2,H2）根据上述主体和客体o1,o2,o3的安全级，可知 Class(u) Class(o2), Class(o1) Class(u) ， Class(u) 和Class(o3)不可比。,军事安全策略,在一偏序集中，对任意l1,l2 L，若l1l2 ，则称l2支配l1 。如，主体u的安全级支配客体o1的安全级，客体o2 的安全级支配主体u的安全级，主体u和客体o3的安全级相互不可支配。多级安全策略可以这样描述：仅当主体的安全级支配客体的安全级时，允许该主体读访问该客体。仅当客体的安全

17、级支配主体的安全级时，允许该主体写访问该客体。这一策略简称为“向下读，向上写”，执行的结果是信息只能由低安全级的客体流向高安全级的客体，高安全级的客体的信息不允许流向低安全级的客体。若要使一个主体既能读访问客体，又能写访问这个客体，两者的安全级必须相同。,军事安全策略,前例中，主体u可以读访问客体o1 ，可以写访问o2 ，但u对于o3既不能读访问，也不能写访问。多级安全策略不仅适用于军事系统，也可适用于政府及企业的办公自动化系统，具有层次结构的组织机构均可使用多级安全策略来保护信息的机密性。,4.3 完整性机制,完整性机制分类,1. 通过密码学提供完整性 2. 通过上下文提供完整性 3.

18、通过探测和确认提供完整性 4. 通过阻止提供完整性,1. 通过密码学提供完整性,两类密码学完整性机制基于对称密码技术的完整性机制对隐藏数据的相同秘密密钥的理解，有效获得数据的完整性保护这种机制相当于密封基于非对称密码技术的完整性机制对隐藏数据的公钥对应的私钥的理解，获得数据完整性保护这种机制相当于数字签名,1. 通过密码学提供完整性,通过密封提供完整性为待保护数据添加一个密码检查值提供完整性。使用相同的秘密密钥保护和证实数据的完整性。要么所有的潜在证实者事先知道秘密密钥，要么有访问秘密密钥的方法对修改的检测方法屏蔽通过为受完整性保护的数据证实通过使用数据、密码检验值、

19、秘密密钥，判断数据与密封是否一致来获得。一旦数据被证实，通过去除密码校验值实现去屏蔽。,1. 通过密码学提供完整性,通过数字签名提供完整性数字签名是通过一个私有密钥和一个非对称密码算法进行计算的。被屏蔽数据（数据加上附加的数字签名）可用相应的公钥进行证实。对修改的检测方法为受完整性保护的数据附加一个密码检查值，达到数据屏蔽。通过使用收到数据的数字指纹、数字签名以及证实数字签名的算法和公钥完整证实。一旦数据被证实，通过去除密码检查值实现去屏蔽。,1. 通过密码学提供完整性,通过冗余数据加密提供完整性通过加密可以支持冗余数据的完整性，包括出错检测代码和数字指纹的数据是冗余的，完整性通

20、过加密得到保护。对修改的检测方法对冗余数据加密实现屏蔽通过解密被屏蔽数据，以及判断它们是否满足原数据应满足的任何不变性，从而获得证实。通过解密被加密数据实现去屏蔽。,2. 通过上下文提供完整性,通过在一个或多个预先达成共识的上下文条件下，存储或传送数据的机制得到支持。分类数据重复预共识上下文,2. 通过上下文提供完整性,数据重复基于数据在空间或时间上的重复出现。通常假定攻击者不能同时损毁超过某个有限数目的复制件，一旦任何数据检测到攻击，数据都可从原拷贝进行重构。提供完整性的方式通过依时间顺序或在不同场所提供同一个数据的多份拷贝，达到屏蔽数据的目的。通过收集每个给定时间或地

21、点的拷贝，作出比较以达到证实目的。通过选择某个预定的最小度量值作为正确值，当预先设定的标准得到满足时，可成功实现屏蔽。预共识上下文提供完整性保护数据的删除检测服务，常与其它完整性机制结合使用。在给定偏差范围内的特定时间和/或地点上提供数据，达到屏蔽的目的；在给定的时间和/或地点上预期得到数据实现证实目的；如果预期数据不存在，断定数据发生了完整性损坏。,3. 通过探测和确认提供完整性,使用一种总是执行正馈等幂运算的完整性探测。正馈等幂：多次循环执行的运算都产生惟一的结果，这种运算被认为是等幂的。这种机制不适用于数据存储。通过重复相同的动作，直到完整性策略作出否认指示，或者收到一个

22、肯定的确认，从而实现屏蔽。对每份被屏蔽数据都实行证实，成功的证实会向实施屏蔽操作的实体发出肯定的确认信号。,4. 通过阻止提供完整性,通过阻止对数据存储或传输媒体的物理访问。通过访问控制提供。,4.4 鉴别机制,鉴别机制是以交换信息的方式，确认实体真实身份的一种安全机制。鉴别机制用来对抗假冒威胁。,鉴别技术分类按保护等级分类,0级鉴别（无保护） 1级鉴别（抗泄露保护） 2级鉴别（抗泄露和对不同验证者重放的保护） 3级鉴别（抗泄露和对同一验证者重放的保护） 4级鉴别（抗泄露和对相同/不同验证者重放的保护）,鉴别技术分类按保护等级分类,0级鉴别（无保护）申请AI连同可辨别标识符一起，作为

23、申请者到验证者的交换AI简单地被发送。如，发送一个口令可用于数据源和实体鉴别缺点：易于暴露鉴别信息和受到重放攻击,鉴别技术分类按保护等级分类,1级鉴别（抗泄露保护）提供防止申请AI泄露的保护可用于数据源和实体鉴别使用变换函数，将申请AI和可辨别标识符一起利用函数进行变换，且与可辨别标识符一起传输，实际的申请AI并不在通信信道中传输。如，传送经单向函数变换后的通行字；传送利用秘密密钥加密的数字指纹等。缺点：易于受重放攻击,鉴别技术分类按保护等级分类,2级鉴别（抗泄露和对不同验证者重放的保护）提供申请AI抗泄露和对于不同验证者的重放保护。在数据项中含有一个惟一特征（预期的验证者

24、），作为变换函数的输入，其他与1级保护机制一样。缺点：不能对抗对同一验证者的重放。,鉴别技术分类按保护等级分类,3级鉴别（抗泄露和对同一验证者重放的保护）提供申请AI的抗泄露和对于同一验证者的重放保护。,惟一数来源：随机数或伪随机数。在申请AI的生命期内，不可有意重复。时间戳。从可信来源得到，在申请AI的生命期内，惟一性。计数器。惟一数是计数器的值。密码链。由（密码）分组链在申请者与验证者之间先前交换的数据内容导出。,鉴别技术分类按保护等级分类,4级鉴别（抗泄露和对相同/不同验证者重放的保护） 4A)惟一数机制 4B)质询机制 4C) 专用加密质询机制 4D）计算响应机制,惟一数机

25、制,在数据项中包含一个对预期验证者是惟一的特征，惟一特征作为变换函数的输入。其他与3级相同。,申请者,验证者,鉴别请求，可辨别标识符，惟一编号 F（申请AI，惟一数，验证者，可辨别标识符，数字指纹）,质询机制,对抗重放攻击。验证者以带有惟一值的数据项形式对申请者发出质询，申请者利用某个函数对质询信息和申请AI进行变换，且向验证者返回变换结果。可应用于数据源和实体鉴别,专用加密质询机制,适用于实体鉴别，但不适用于数据源鉴别,计算响应机制,发送带有经挑选的供选择值和身份信息的鉴别请求发出质询，指出验证者所选中的值发出一个响应，包含利用适当函数变换的惟一数、质询或计算响应被选中的值以及申请A

26、I。,鉴别技术分类按机制的配置分类,涉及可信第三方的模型阶段模型使用初始化信息知识的模型介入鉴别的可信第三方之间的关系联机可信第三方脱机可信第三方,鉴别方案A,实体A与可信第三方进行鉴别交换后，从第三方得到申请AI；实体B从可信第三方得到验证AI；实体B对实体A执行本地验证。,A 方,可信第三方,B 方,获取,分发,传输,申请者,验证者,鉴别方案B,实体A与可信第三方进行鉴别交换后，从第三方得到申请AI；实体B从实体A收到的交换AI提交给可信第三方，以便验证。,A 方,可信第三方,B 方,获取,验证,传输,鉴别方案C,实体A与可信第三方进行鉴别交换后，从第三方得到申请AI，以及

27、对实体B执行本地验证必需的验证AI。,A 方,可信第三方,B 方,获取,传输,鉴别方案D,实体A得到对实体B执行本地验证必需的验证AI，且在本地生成交换AI；交换AI与验证AI一并提交给实体B。,A 方,可信第三方,B 方,分发,传输,鉴别方案E,实体A在本地生成交换AI，并且提交给实体B；实体B从可信第三方得到必要的验证AI，实现本地验证。,A 方,可信第三方,B 方,分发,传输,鉴别方案F,实体A在本地生成交换AI，并且提交给实体B；实体B将从实体A收到的交换AI提交给可信第三方进行验证。,A 方,可信第三方,B 方,验证,传输,鉴别方案G,一种在线式的委托关系，实体A在本地生成交换

28、AI，并且提交给可信第三方；可信第三方向实体B发送鉴别证书以及执行本地验证所必需的验证AI。,A 方,可信第三方,B 方,传输,传输/分发,鉴别方案H,另一种在线式的委托关系，实体A在本地生成交换AI，并且提交给可信第三方；可信第三方向实体B发出实体A的身份已被验证的通知。,A 方,可信第三方,B 方,传输,传输,使用初始化信息知识的模型,申请者和可信第三方之间共享初始化信息申请者和可信第三方之间共享的秘密密钥为申请者和可信第三方所了解申请者的私钥只有申请者知道，申请者的公钥为可信第三方所了解申请者的私钥为申请者和可信第三方所知道验证者和可信第三方共享初始化信息验证者和可信第三方

29、之间共享的秘密密钥为验证者和可信第三方所了解可信第三方的公钥被验证者所了解,4.5 带附录的数字签名机制,数字签名是在数据单元上附加数据，或对数据单元进行的密码变换。通过这一附加数据或密码变换，使数据单元的接收者证实数据单元的来源及其完整性，同时对数据进行保护。数字签名机制基于非对称密码技术，用来提供实体鉴别、数据源发鉴别、数据完整性和抗抵赖等服务。两种机制带附录的签名机制带消息恢复的签名机制,一般概念,ISO/IEX 14888中规定的机制都是基于非对称密码技术。每个非对称数字签名机制包括三个基本操作生成密钥对的进程（签名密钥和验证密钥）使用签名密钥的进程，也称签名进程使用

30、验证密钥的进程，也称验证进程,一般原理,数字签名机制应当满足的要求只给定验证密钥而不给签名密钥，产生任何消息及其有效的签名是计算上不可行的。签名者产生的签名不能用来产生任何新的消息及其有效的签名，也不能用来恢复签名密钥即使是签名者，找到具有相同签名的两个不同消息，也是计算上不可行的。计算可行性依赖于特定的安全要求和环境,绑定签名机制和散列函数,当数字签名机制使用散列函数时，应将签名机制与所使用的散列函数绑定。使用特定签名机制时，要求使用特定散列函数提供一组散列函数，且在每个已签名消息中通过散列函数标识符，明确指出所使用的散列函数，散列函数标识符作为签名计算的一部分。提供一组散列函

31、数，且在证书域参数中明确指出所使用的散列函数。提供一组散列函数，并且通过其他方法指出所使用的散列函数，如在消息中指出或双方协商。使用弱散列函数，伪造签名。,密钥生成进程,密钥生成进程包括两个过程生成域参数。在域建立时被执行一次。生成签名密钥和验证密钥,签名进程,签名进程需要的数据项域参数Z 签名密钥X 消息M 散列函数标识符（可选）其他上下文（可选）带附录的签名机制签名进程包括产生预签名（可选）为签名准备消息计算证据计算签名,带确定证据的签名进程,消息 M,准备消息,签名密钥 X,产生预签名,计算证据,计算签名,签名 ,M,M,M,K,H,X,S,R,带随机化证据的签名进

32、程,消息 M,准备消息,签名密钥 X,产生预签名,签名 ,M,M2,K,X,S,R,计算证据,第二步,计算签名,M1,验证进程,验证进程需要的数据项域参数Z 验证密钥Y 消息M 签名散列函数标识符其它上下文（可选）带附录的签名机制的验证过程包括为验证准备消息检索证据计算验证函数验证证据,带确定证据的验证进程,消息 M,准备消息,验证密钥 Y,计算验证函数,验证证据,是/否,M,签名 ,检索证据,M1,M2,S,R,Y,H,H,带随机化证据的验证进程,消息 M,准备消息,验证密钥 Y,验证证据,是/否,M,签名 ,M1,M2,S,R,Y,R,R,验证的第一步,重算证据,计算验证函

33、数,4.6 抗抵赖机制,使用TTP安全令牌的抗抵赖技术使用安全令牌和防篡改模块的抗抵赖技术使用数字签名的抗抵赖技术使用时间戳的抗抵赖技术使用在线可信第三方的抗抵赖技术使用公证的抗抵赖技术,抗抵赖面临的威胁,密钥泄露实体生成密钥泄露 TTP生成秘钥的泄露替换实体验证密钥替换TTP验证密钥泄露证据证据的未授权修改和破坏破坏证据或使之无效伪造证据外部人员伪造证据证据的虚假验证可信第三方伪造证据,4.7 安全审计和报警机制,安全审计跟踪是一种很有价值的安全机制，可以通过事后的安全审计来检测和调查安全策略执行的情况以及安全遭到的破坏情况。安全审计是对系统记录和活动的独立评估、考核、以测试系统控制是否充分，确保与既定策略和操作规程相一致，有助于对入侵进行评估，指出控制、策略和程序的变化。安全审计需要安全审计跟踪中与安全有关的记录信息，和从安全审计跟踪中得到的分析和报告信息。日志或记录被视为一种安全机制，而分析和报告生成被视为一种安全管理功能。通过指明所记录的与安全有关的事件的类别，安全审计跟踪信息的收集可以适应各种需要。安全审计跟踪的存在对潜在的安全攻击源的攻击可以起到威慑作用。,4.8公证机制和普遍安全机制,公证机制普遍安全机制可信机制安全标记事件检测机制安全恢复机制路由选择机制,4.9 本章小结,

展开阅读全文