本博客地址：https://security.blog.csdn.net/article/details/136787420

一. 基本概念

1、威胁来源于物理环境、通信链路、网络系统、操作系统、应用系统、管理系统。

2、网络与信息安全风险类别可以分为人为蓄意破坏（被动型攻击，主动型攻击）、物理灾害性攻击、系统故障、人员无意识行为等。

3、常见的威胁主要有：信息泄露、破坏信息的完整性、拒绝服务、非法使用（非授权访问）、窃听、业务流分析、假冒、旁路控制、授权侵犯、特洛伊木马、陷阱门、抵赖、重放、计算机病毒、人员渎职、信息媒介废弃、物理侵入、窃取、业务欺骗。

4、安全体系架构的范围包括：
● 安全防线。分别是产品安全架构、安全技术架构、审计架构。
● 安全架构特性。安全架构应具有：机密性、完整性、可用性的特性。
● 安全技术架构。安全技术架构主要包括身份鉴别、访问控制、内容安全、冗余恢复、审计响应、恶意代码防范、密码技术。

二. 安全模型

1、信息系统安全目标是控制和管理主体对客体的访问，从而实现：保护系统可用性、保护网络服务连续性、防范非法非授权访问、防范恶意攻击和破坏、保护信息传输机密性和完整性、防范病毒侵害、实现安全管理。

2、典型安全模型有：状态机模型、BLP 模型、Biba 模型、CWM 模型、Chinese Wall 模型。

3、状态机模型。一个安全状态模型系统，总是从一个安全状态启动，并且在所有迁移中保持安全状态，只允许主体以和安全策略相一致的安全方式访问资源。

4、BLP 模型。该模型为数据规划机密性，依据机密性划分安全级别，按安全级别强制访问控制。BLP 模型的基本原理是：
● 安全级别是机密的主体访问安全级别为绝密的客体时，主体对客体可写不可读。
● 安全级别是机密的主体访问安全级别为机密的客体时，主体对客体可写可读。
● 安全级别是机密的主体访问安全级别为秘密的客体时，主体对客体可读不可写。

5、BLP 模型安全规则：
● 简单规则：低级别主体读取高级别客体受限。
● 星型规则：高级别主体写入低级别客体受限。
● 强星型规则：对不同级别读写受限。
● 自主规则：自定义访问控制矩阵。

6、Biba 模型。该模型建立在完整性级别上。模型具有完整性的三个目标：保护数据不被未授权用户更改、保护数据不被授权用户越权修改（未授权更改）、维持数据内部和外部的一致性。

7、Biba 模型基本原理：
● 完整性级别为中完整性的主体访问完整性为高完整性的客体时，主体对客体可读不可写，也不能调用主体的任何程序和服务。
● 完整性级别为中完整性的主体访问完整性为中完整性的客体时，主体对客体可读可写。
● 当完整性级别为中完整性的主体访问完整性为低完整性的客体时，主体对客体可写不可读。

8、Biba 模型可以防止数据从低完整性级别流向高完整性级别，其安全规则如下：
● 星完整性规则。表示完整性级别低的主体不能对完整性级别高的客体写数据。
● 简单完整性规则。表示完整性级别高的主体不能从完整性级别低的客体读取数据。
● 调用属性规则。表示一个完整性级别低的主体不能从级别高的客体调用程序或服务。

9、CWM 模型。将完整性目标、策略和机制融为一体，提出职责分离目标，应用完整性验证过程，实现了成型的事务处理机制，常用于银行系统。CWM 模型具有以下特征：
● 包含主体、程序、客体三元素，主体只能通过程序访问客体。
● 权限分离原则，功能可分为多主体，防止授权用户进行未授权修改。
● 具有审计能力。

10、Chinese Wall 模型，是一种混合策略模型，应用于多边安全系统，防止多安全域存在潜在的冲突。该模型为投资银行设计，常见于金融领域。工作原理是通过自主访问控制（DAC）选择安全域，通过强制访问控制（MAC）完成特定安全域内的访问控制。

11、Chinese Wall 模型的安全规则：
● 墙内客体可读取。
● 不同利益冲突组客体可读取。
● 访问其他公司客体和其他利益冲突组客体后，主体对客体写入受限。

三. 网络安全架构

1、WPDRRC 信息安全模型。WPDRRC 模型包括 6 个环节：预警（Warning）、保护（Protect）、检测（Detect）、响应（React）、恢复（Restore）、反击（Counterattack）；3 个要素：人员、策略、技术。

2、信息安全体系架构。具体可以从以下 5 个方面开展安全体系的架构设计工作：
● 物理安全（前提）：包括环境安全、设备安全、媒体安全。
● 系统安全（基础）：包括网络结构安全、操作系统安全、应用系统安全。
● 网络安全（关键）：包括访问控制、通信保密、入侵检测、网络安全扫描、防病毒。
● 应用安全：包括资源共享、信息存储。
● 安全管理：包括健全的体制、管理平台、人员安全防范意识。

3、OSI 定义了分层多点的安全技术体系架构，又叫深度防御安全架构，它通过以下 3 种方式将防御能力分布至整个信息系统中。
● 多点技术防御：通过网络和基础设施，边界防御（流量过滤、控制、如前检测），计算环境等方式进行防御。
● 分层技术防御：外部和内部边界使用嵌套防火墙，配合入侵检测进行防御。
● 支撑性基础设施：使用公钥基础设施以及检测和响应基础设施进行防御。

4、认证框架。认证又叫鉴权，鉴别的方式有：已知的（口令）、拥有的（IC 卡，令牌等）、不可变特征（生物特征）、受信第三方鉴别、环境（主机地址）。鉴别服务阶段分为：安装、修改鉴权信息、分发、获取、传送、验证、停活、重新激活、取消安装。

5、访问控制框架。当发起者请求对目标进行特殊访问时，访问控制管制设备（AEF）就通知访问控制决策设备（ADF），ADF 可以根据上下文信息（包括发起者的位置、访问时间或使用中的特殊通信路径）以及可能还有以前判决中保留下来的访问控制决策信息（ADI）做出允许或禁止发起者试图对目标进行访问的判决。

6、机密性框架。机密性服务目的是确保信息仅仅是对被授权者可用。机密性机制包括：通过禁止访问提供机密性、通过加密提供机密性。

7、完整性框架。完整性服务目的是组织威胁或探测威胁，保护数据及其相关属性的完整性。完整性服务分类有：未授权的数据创建、数据创建、数据删除、数据重放。完整性机制类型分为阻止媒体访问与探测非授权修改两种。

8、抗抵赖框架。抗抵赖服务的目的是提供特定事件或行为的证据。抗抵赖服务阶段分为：证据生成、证据传输、存储及回复、证据验证、解决纠纷这 5 个阶段。

四. 数据库安全架构

1、数据库完整性设计原则具体包括：
● 依据完整性约束类型设计其实现的系统层次和方式，并考虑性能。
● 在保障性能的前提下，尽可能应用实体完整性约束和引用完整性约束。
● 慎用触发器。
● 制订并使用完整性约束命名规范。
● 测试数据库完整性，尽早排除冲突和性能隐患。
● 设有数据库设计团队，参与数据库工程全过程。
● 使用 CASE 工具，降低工作量，提高工作效率。

2、数据库完整性的作用体现在以下几个方面：
● 防止不合语义的数据入库。
● 降低开发复杂性，提高运行效率。
● 通过测试尽早发现缺陷。

五. 系统架构脆弱性分析

1、系统架构脆弱性包括物理装备脆弱性、软件脆弱性、人员管理脆弱性、规章制度脆弱性、安全策略脆弱性等。

2、典型架构的脆弱性表现：
● 分层架构。脆弱性体现在：层间脆弱性、层间通信脆弱性。
● C/S 架构。脆弱性体现在：客户端脆弱性、网络开放性脆弱性、网络协议脆弱性。
● B/S 架构。如果 B/S 架构使用的是 HTTP 协议，会更容易被病毒入侵。
● 事件驱动架构。脆弱性体现在：组件脆弱性、组件间交换数据的脆弱性、组件间逻辑关系的脆弱性、事件驱动容易死循环、高并发脆弱性、固定流程脆弱性。
● MVC 架构。脆弱性体现在：复杂性脆弱性、视图与控制器连接紧密脆弱性、视图对模型低效率访问脆弱性。
● 微内核架构。脆弱性体现在：整体优化脆弱性、进程通信开销脆弱性、通信损失脆弱性。
● 微服务架构。脆弱性体现在：分布式结构复杂带来的脆弱性、服务间通信带来的脆弱性、服务管理复杂性带来的脆弱性。

六. 安全架构设计

1、远程认证拨号用户服务（RADIUS）是应用最广泛的高安全级别认证、授权、审计协议（AAA），具有高性能和高可扩展性，且可用多种协议实现。RADIUS 通常由协议逻辑层，业务逻辑层和数据逻辑层 3 层组成层次式架构。
● 协议逻辑层：起到分发处理功能，相当于转发引擎。
● 业务逻辑层：实现认证、授权、审计三种类型业务及其服务进程间的通信。
● 数据逻辑层：实现统一的数据访问代理池，降低数据库依赖，减少数据库压力，增强系统的数据库适应能力。

2、基于混合云的工业安全生产管理系统。混合云融合了公有云和私有云。在基于混合云的工业安全生产管理系统中，工厂内部的产品设计、数据共享、生产集成使用私有云实现。公有云则用于公司总部与智能工厂间的业务管理、协调和统计分析等。整个生产管理系统架构采用层次式架构，分为设备层、控制层、设计/管理层、应用层。

3、设备层：包括智能工厂生产用设备，包括智能传感器、智能仪器仪表、工业机器人、其他生产设备。

4、控制层：包括智能设备控制用自动控制系统，包括采集与监视控制系统（SCADA）、分布式控制系统（DCS）、现场总线控制系统（FCS）、可编程控制器（PLC）（内置编程程序）、人机接口（HMI），其他现场控制程序。

5、设计/管理层：包括智能工厂所有控制开发，业务控制和数据管理相关系统及其功能的集合，实现了数据集成和应用，包括制造执行系统（MES）（很多企业称之为生产信息管理系统）、计算机辅助设计/工程/制造 CAD/CAE/CAM、供应链管理（SCM）、企业资源规划（ERP）、客户关系管理（CRM）、供应商关系管理（SRM）、商业智能分析（BI）、产品生命周期管理（PLM）。

6、应用层：云平台上的信息处理，包括数据处理与管理、数据与行业应用相结合，如定制业务、协同业务、产品服务。

7、在设计基于混合云的工业安全生产管理系统时，需要考虑的安全问题有：设备安全、网络安全、控制安全、应用安全和数据安全。