架构师备战(五)-系统安全(四) 安全服务有哪些方式保障安全性？

在互联网高度发达的现在，所开发的系统虽然都是在谈架构问题，技术问题，但是安全性问题也随处可见。

比如需要用户登录之后，访问受保护的服务。比如贴吧需要回帖子之后才能看到某些您想看到的私密内容.再比如给您授予什么角色之后,您就能访问某些数据等等.

这些都是服务的安全性保护, 而我们了解安全体系结构之前,我们先了解一下安全保护等级, 看看您所使用的系统或服务是属于哪个保护级别呢?

1. 安全保护等级

计算机新信息系统安全保护等级划分准则(GB17859-1999)

• 用户自主保护级
• 适用于普通的内联网用户(也就是局域网内使用的系统,没有暴露在公网)
• 系统被破坏后,对公民,法人和其他组织权益"有损害", 但不损害国家安全社会秩序和公共利益.
• 说白了,就是您的系统只会影响公司自己的内网业务,对外没有影响,就属于自主保护级别.
• 系统审计保护级
• 适用于通过内联网或国际网进行的商务活动(内网或者公网有商务性的活动的系统),需要保密的重要单位.
• 系统被破坏后,对公民,法人和其他组织权益有"严重损害",或对社会秩序和公共利益"有损害",但不损害国家安全.
• 说白了,就是您的服务在内网或公网,与其他公司进行了商务活动,系统被破坏后,让自己或其他公司受到了严重的损害, 但是不影响国家,就属于审计保护级别.
• 安全标记保护级别
• 适用于地方各级国家机关,金融机构,邮电通信,能源与水源攻击部门,交通运输,大型工商与信息技术企业,重点工程建设单位.
• 系统被破坏后,对社会秩序和公共利益造成"严重损害",或对国家安全造成"损害".
• 说白了,就是那些地方级机关,金机构等都是能够严重影响到社会秩序的,甚至可以轻微的对国家安全造成伤害,这种属于安全标记保护等级.
• 结构化保护级
• 适用于中央级国家机关,广播电视部门,重要物资储备单位,社会应急服务,尖端科技企业集团,国家重点科研机构和国防建设等部门
• 系统被破坏后,对社会秩序和公共利益造成"特别严重损害",或对国家安全造成"严重损害"
• 说白了,就是中央机关,广播电视,重点科研等对社会影响特别严重,对国家也会很严重等项目就属于结构化保护级别.
• 访问验证保护级别
• 适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位
• 系统被破坏后,对国家安全造成"特别严重损害"
• 就是那种国防关键部门的系统,破坏之后可能会导致国家大战那种系统,就属于访问验证保护级别.

其实我们不难看出, 上面的这些安全保护等级, 是随着危害性越来越大,保护的级别就越来越高的. 所以我们借助下面这个表格来记忆.

公民，法人和其他组织权益	社会秩序和公共利益	国家安全
用户自主保护级	损害
系统审计保护级	严重损害	损害
安全标记保护级	严重损害	损害
结构化保护级	特别严重损害	严重损害
访问验证保护级	特别严重损害

学习了这么多的安全保护等级, 您知道您的个人网站或者你所在的企业网站属于哪个等级吗?

其实假如您是个人网站, 您放在了公网中, 并且不会影响社会秩序, 那么应该就是属于系统审计保护级别.

假设您是一个大企业的金融机构, 比如支付宝, 那么您的等级或许应该属于安全标记保护等级.

假设您是在央企上班, 或者您是广播电视台的开发人员, 或许您的系统就属于结构化保护级别.

假设您破天荒的去做了一个国家国防部关键部门的技术开发, 或许就是数年都回不了家, 都是在国家内部环境开发. 此时您做的系统可能就是访问验证保护级别.

我们了解了安全保护等级之后, 我们还是落实一下我们的Web服务的安全体系结构吧, 要知道我们该如何去设计安全性架构, 从而尽可能的保障系统的安全性.

2. 信息安全体系结构

我们前面了解了网络层面的信息安全通常是适用协议,并且进行加密处理的. 比如HTTPS.

从OSI参考模型维度是分为了七层，从最底层到最上层分别是：物理层，数据链路层，网络层，传输层，会话层，表示层，应用层。

从安全机制的维度则分为加密,数字签名,访问控制,数据完整性,数据交换,业务流填充,路由控制等.

从安全服务维度分为了鉴别服务, 访问控制, 数据完整性, 数据保密性, 抵赖性等. 我们需要重点了解一下安全服务维度的这些安全机制, 这些名称或许您觉得陌生, 但是在系统中可能大多数您都用过.

五大安全服务

• 鉴别服务：指的是身份认证
• 用户名+口令
• 大多数的网站都是用户名密码做身份认证
• 数字证书
• 比如有些银行登录时，就让您适用数字证书，它给您一个USBKEY，它尾部还有一个按钮，您按一下之后USBKEY才能完成登录，安全性比较高。
• 生物特征识别
• 常见的就是指纹登陆，人脸识别登录都已经被广泛使用
• 访问控制：指的就是权限控制，身份认证之后，通常就是要进行权限控制
• 自主访问控制(DAC)
• 一般是对主体，指定哪些客体的访问权限。
• 比如A是最高管理员，他可以设定B成为最高管理员。他一位就他俩成为了最高管理员，然后B又可以设置C为最高管理员。这样就让权限蔓延，导致整个权限体系很不可控。
• 比如A是最高管理员，拥有所有的权限资源字符串，就指定了哪些资源可以访问，这就叫做自主访问
• 访问控制列表(ACL)
• 对客体指定允许的主体
• 比如回帖看下载地址，这个帖子已经发布了，但是平常是隐藏了一部分内容，不让您看的，回帖之后，您就被进入到了允许访问的名单里面，您就可以看到下载地址了。
• 再比如IP白名单
• 访强制控制列表(MAC)
• 先对主体和客体都先继续分级，让后进行权限控制
• 比如有些大银行您通过刷卡做电梯时，就有这种强制访问控制。将电梯分为了多个等级，访客通常只能到某一层电梯。而内部员工则可以去大部分楼层。而银行高管则可以去更多的楼层。这就是强制访问控制古。
• 基于角色的访问控制(RBAC)
• 就是我们后端系统常见的用户管理，角色管理，权限管理部分的内容。先把某些权限分给某个或多个角色。而给用户分配一个或多个角色时，用户就拥有了对应角色的权限。这就是基于角色的访问控制。
• 基于任务的访问控制(TBAC)
• 比如工作流体系中，把您加入到这个流程体系中，您就有对应的权限去进行任务。没有假如进来您就没有权限。这就是基于任务的访问控制。
• 数据完整性
• 阻止对媒体的访问机制：隔离，访问控制，路由控制
• 就是您的系统没有外界的干扰，就不容易被破坏完整性，杜绝别人去篡改。所以可以采用隔离，访问控制，路由控制等措施。
• 比如您在云端开了3306端口到公网中，恰好3306是您运行的mysql服务，那么您可能过短时间就会收到服务器被攻击的短信，于是干掉攻击程序，关闭了3306公网端口进行隔离操作，终于松了口气，不再被攻击。
• 探测非授权修改的机制： 数字签名， 数据重复， 数字指纹，消息序列号
• 就是防止被篡改，主要就是数字签名
• 数据保密性（主要通过加密机制）
• 通过禁止访问提供机密性（不加密，我直接封闭起来，不让大家访问，等过个十几年再公布出来，这样保密性就得到了保障）
• 通过加密提供机密性（通过加密算法加密数据）
• 抵赖性
• 数字签名（数字签名就是为了防止抵赖，因为您使用自己的私钥进行加密，私钥只有您自己有，所以抵不了赖）

3.小结

这次主要就学习了安全保护等级划分，和五大安全服务。

安全保护等级

安全保护等级主要是针对公民，法人和其他组织权益；社会秩序和公共利益；国家安全的损害结果的递增，所对应的保护等级是不同的。

用户自主保护级对公民，法人，其他组织权益有损害，但对社会秩序和国家安全没有损害。如公司内网独立使用的某些系统

系统审计保护级对公民，法人和其他组织权益有严重损害，对社会秩序有损害，对国家安全没有损害。如普通公司对内和对外的业务系统

安全标记保护级别对公民法人对社会秩序有严重损害，对国家安全有损害。如金融机构，各级地方机关。

结构化保护级对社会秩序有特别严重损害，对国家安全有严重损害。如中央级别机关，广播电视台

访问验证保护级对国家安全有特别严重损害。如国家的国防关键的项目

因此我们的伤害性是越来越高的。

五大安全服务

鉴别服务：就是身份认证，比如用户名密码登录，数字证书登录，指纹登录，人脸登录。

访问控制：就是权限控制。有自主访问控制，访问控制列表，访强制控制列表，基于角色的访问控制，基于任务的访问控制

数据完整性：保护数据的完整性。比如阻止对媒体的访问机制，探测非授权修改的机制

数据保密性：通过禁止访问提供机密性，通过加密提供机密性

抵赖性：数字签名

学习的知识大概就是这些，学无止境，加油！