資源描述:
《數(shù)據(jù)安全解決方案》由會(huì)員上傳分享���,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)���。
1、.數(shù)據(jù)安全解決方案目錄數(shù)據(jù)安全解決方案11.數(shù)據(jù)安全與防泄密保護(hù)系統(tǒng)模型21.1.數(shù)據(jù)威脅模型22.數(shù)據(jù)安全與防泄密系統(tǒng)模型形式化描述43.數(shù)據(jù)加密與封裝技術(shù)63.1.數(shù)據(jù)加密保護(hù)機(jī)制63.2.數(shù)據(jù)加密策略63.3.數(shù)據(jù)加密保護(hù)流程74.密鑰管理技術(shù)104.1.密胡管理模型105.數(shù)字證書115.1.簽名和加密115.2.一個(gè)加密通信過程的演化115.2.1.第一階段125.2.2.第二階段125.2.3.第三階段135.2.4.第四階段145.2.5.第五階段165.2.6.完整過程165.3.數(shù)字證書原理1
2、76.內(nèi)容安全18......1.數(shù)據(jù)安全與防泄密保護(hù)系統(tǒng)模型1.1.數(shù)據(jù)威脅模型數(shù)據(jù)的安全技術(shù)主要建立在保密性(Confidentiality)�����、完整性(Integrity)和可用性(Availability)三個(gè)安全原則基礎(chǔ)之上�����。實(shí)際上,數(shù)據(jù)面臨著嚴(yán)重的威脅(如下圖所示),主要受到通信因素�、存儲(chǔ)因素��、身份認(rèn)證��、訪問控制����、數(shù)據(jù)發(fā)布、審計(jì)因素�����、制度因素和人員問題八大因素,具體因素內(nèi)容在圖2-1中詳細(xì)的列舉出來����。數(shù)據(jù)威脅模型......(1)通信威脅通信威脅指數(shù)據(jù)在網(wǎng)絡(luò)通信和傳輸過程中所面臨的威脅因素,主要包括數(shù)
3、據(jù)截獲算改、盜竊和監(jiān)聽���、蠕蟲和拒絕服務(wù)攻擊��。(2)存儲(chǔ)因素存儲(chǔ)因素是指數(shù)據(jù)在存儲(chǔ)過程中由于物理安全所面臨的威脅,包括自然因素或者人為因素導(dǎo)致的數(shù)據(jù)破壞����、盜竊或者丟失�。(3)身份認(rèn)證身份認(rèn)證因素是指數(shù)據(jù)面臨的各種與身份認(rèn)證有關(guān)的威脅,包括外部認(rèn)證服務(wù)遭受攻擊、通過非法方式(如使用特洛伊木馬�����、網(wǎng)絡(luò)探等)獲取用戶認(rèn)證信息���、身份抵賴�����。(4)訪問控制因素訪問控制因素是指數(shù)據(jù)面臨的所有對(duì)用戶授權(quán)和訪問控制的威脅因素,主要包括未經(jīng)授權(quán)的數(shù)據(jù)訪問��、用戶錯(cuò)誤操作或?yàn)E用權(quán)限����、通過推理通道獲取一些無權(quán)獲取的信息。(5)數(shù)據(jù)發(fā)布因素?cái)?shù)
4��、據(jù)發(fā)布因素是指在開放式環(huán)境下,數(shù)據(jù)發(fā)布過程中所遭受的隱私侵犯����、數(shù)據(jù)盜版等威脅因素。(6)審計(jì)因素審計(jì)因素是指在審計(jì)過程中所面臨的威脅因素,如審計(jì)記錄無法分析�、審計(jì)記錄不全面����、審計(jì)攻能被攻擊者或管理員惡意關(guān)閉。(7)法律制度因素法律制度因素是指由于法律制度相關(guān)原因而使數(shù)據(jù)面臨威脅,主要原因包括信息安全保障法律制度不健全��、對(duì)攻擊者的法律責(zé)任追究不夠�����。(8)內(nèi)部人員因素人員因素是指因?yàn)閮?nèi)部人士的疏忽或其它因素導(dǎo)致數(shù)據(jù)面臨威脅,如管理員濫用權(quán)力���、用戶濫用權(quán)限����、管理員的安全意識(shí)不強(qiáng)等�����。......2.數(shù)據(jù)安全與防泄密系統(tǒng)
5、模型形式化描述一個(gè)安全的數(shù)據(jù)防泄密信任模型包括主體�����、客體�����、數(shù)據(jù)內(nèi)容加密保護(hù)��、權(quán)限許可狀態(tài)管理等四部分�����。其中,數(shù)據(jù)內(nèi)容瞬態(tài)加密保護(hù)是最為核心也最為基礎(chǔ)的階段,而權(quán)限許可狀態(tài)決定了數(shù)據(jù)使用控制的安全許可粒度����。數(shù)據(jù)安全與防泄密系統(tǒng)模型(1)主體數(shù)據(jù)安全與防泄密信任模型中主體是指數(shù)據(jù)使用主體、分發(fā)主體���、創(chuàng)建主體��、管理主體���。其中,前兩者是數(shù)據(jù)用戶,而后兩者則是用于管理數(shù)據(jù)的主體�����。(2)客體客體是指授權(quán)主體執(zhí)行權(quán)限的對(duì)象,包括一切形式的電子數(shù)據(jù)作品���。(3)數(shù)據(jù)內(nèi)容加密保護(hù)數(shù)據(jù)內(nèi)容瞬態(tài)加密保護(hù)模型本質(zhì)上是在內(nèi)核態(tài)安全執(zhí)行環(huán)境
6、(Kemelenvironment,KE)下,對(duì)原始明文內(nèi)容在特定的密鑰管理組件控制下實(shí)施瞬態(tài)同步(SYN)加解密(Crypto),生成受保護(hù)內(nèi)容C的一個(gè)復(fù)合模型����。涉及到相關(guān)加解密(對(duì)稱加解密�、非對(duì)稱加解密)、摘要和簽名等基本操作,而對(duì)稱加密涉及到ECB��、CBC��、OFB��、CFB等加密模式密鑰包括密胡的生成��、分發(fā)��、吊銷����、更新等環(huán)節(jié)���。(4)權(quán)限許可狀態(tài)管理權(quán)限許可狀態(tài)管理模型通過不同的授權(quán)方式(......比如用戶授權(quán)、使用時(shí)間�����、設(shè)備授權(quán)���、環(huán)境授權(quán)�、文件授權(quán)等)對(duì)文件設(shè)置不同的操作權(quán)限,細(xì)化到閱讀次數(shù)�����、使用有效期限
7�、、使用地點(diǎn)等權(quán)限,防止用戶非法拷貝�����、復(fù)制��、打印����、下載文件����、通過電子郵件�����、移動(dòng)硬盤等傳輸介質(zhì)泄密�。1.2.......1.數(shù)據(jù)加密與封裝技術(shù)1.1.數(shù)據(jù)加密保護(hù)機(jī)制數(shù)據(jù)加密保護(hù)基于如下機(jī)制:(1)過濾驅(qū)動(dòng)文件透明加解密:采用系統(tǒng)指定的加解密策略(如加解密算法、密鑰和文件類型等),在數(shù)據(jù)創(chuàng)建�、存儲(chǔ)、傳輸?shù)乃矐B(tài)進(jìn)行自動(dòng)加密,整個(gè)過程完全不需要用戶的參與,用戶無法干預(yù)數(shù)據(jù)在創(chuàng)建�����、存儲(chǔ)���、傳輸、分發(fā)過程中的安全狀態(tài)和安全屬性���。(2)內(nèi)容加密:系統(tǒng)對(duì)數(shù)據(jù)使用對(duì)稱加密密鑰加密,然后打包封裝����。數(shù)據(jù)可以在分發(fā)前預(yù)先加密打包存儲(chǔ),
8、也可以在分發(fā)時(shí)即時(shí)加密打包�。(3)內(nèi)容完整性:內(nèi)容發(fā)送方向接收方發(fā)送數(shù)據(jù)時(shí),數(shù)據(jù)包包含數(shù)據(jù)的Hash值,接收方收到數(shù)據(jù)包解密后獲得數(shù)據(jù)明文,計(jì)算Hash值,并與對(duì)應(yīng)數(shù)據(jù)包中攜帶的Hash值作比較,兩者相同表示該數(shù)據(jù)信息未在傳輸過程中被修改。(4)身份認(rèn)證:所有的用戶都各自擁有自己唯一的數(shù)字證書和公私鑰對(duì),發(fā)送方和接收方通過PKI證書認(rèn)證機(jī)制,相互確認(rèn)對(duì)方身份的合法性����。(5)可靠與完整性
