信息安全体系结构解析：CIA三角与OSI模型

"该复习资料主要涵盖了信息安全领域的核心概念，特别是CIA三元组和OSI安全体系结构，以及不同类型的访问控制策略。这是一份适用于信息安全专业学生的期末复习资料，旨在帮助他们理解和应对可能的考试问题。" 在信息安全领域，CIA三角是衡量信息安全保障的三个基本要素。它们分别是： 1. 机密性（Confidentiality）：确保只有获得授权的用户能够访问敏感信息，防止信息泄露给未经授权的个人或实体。这通常通过加密技术、访问控制策略和安全政策来实现。 2. 完整性（Integrity）：保证信息在整个生命周期内不被非法修改或破坏，确保数据的一致性和准确性。数据完整性可以通过数字签名、哈希函数和版本控制等技术来维护。 3. 可用性（Availability）：确保合法用户能够及时、有效地访问信息和服务，防止由于恶意攻击或系统故障导致的服务中断。高可用性设计通常涉及冗余硬件、负载均衡和灾难恢复计划。 以校园一卡通的售饭系统为例，可能会面临的威胁包括数据泄露（机密性）、数据篡改（完整性）以及系统服务中断（可用性）。因此，设计安全体系结构时，需要考虑如下的安全措施： - 数据加密，确保卡片交易数据在传输和存储过程中的安全性。 - 强化访问控制，限制对系统数据库和操作界面的访问权限。 - 实施定期备份和恢复策略，以防数据丢失或损坏。 - 使用防火墙和入侵检测系统，预防外部攻击。 - 设计灾备方案，以应对系统故障或自然灾害。 OSI安全体系结构中，安全机制与安全服务的关系密切。安全服务是安全目标的具体表述，而安全机制是实现这些服务的技术手段。例如： - 加密机制提供数据保密性服务，确保信息在传输过程中不被窃取。 - 认证机制实现认证服务，验证通信双方的身份。 - 访问控制机制执行访问控制服务，防止未经授权的访问。 - 数据完整性机制和数据签名机制共同确保数据的完整性和不可否认性。 自主访问控制、强制访问控制和角色访问控制是三种常见的访问控制模型： 1. 自主访问控制（DAC）：用户可以自由地决定谁可以访问他们的资源，但可能存在权限传递问题，可能导致信息泄露。 2. 强制访问控制（MAC）：权限由管理员严格控制，用户不能随意更改访问权限，适用于高度安全环境。 3. 角色访问控制（RBAC）：根据用户的角色分配权限，简化了权限管理，降低了安全风险。 等级保护第3级要求的访问控制强调更严格的安全策略，通常结合多种访问控制模型，如MAC和RBAC，以提供多层次的防护。同时，它还要求有详细的审计日志和定期的安全评估，以确保系统的持续安全。