系统架构设计师-基于 GB/T 9387.2 标准的网络安全架构

一、引言

（一）核心概念定义

GB/T 9387.2-1995 是我国等同采用国际标准 ISO 7498-2:1989《信息处理系统 开放系统互连 基本参考模型 第 2 部分：安全体系结构》的国家标准，定义了 OSI 七层参考模型下的安全体系框架，包括安全服务、安全机制及二者的映射关系，是网络安全架构设计的基础理论依据。

（二）软考考点定位

该标准是软考高级系统架构设计师考试中系统安全架构设计模块的核心考点，历年真题中多次考查安全服务分类、安全机制实现、安全服务与机制的对应关系等内容，分值占安全相关考点的 20% 左右，同时也是企业安全架构设计的 mandatory 参考规范。

（三）技术发展脉络

1. 1989 年 ISO 发布 ISO 7498-2 标准，首次系统定义了 OSI 模型下的安全体系结构
2. 1995 年我国等同采用该标准形成 GB/T 9387.2，成为国内信息安全建设的基础规范
3. 后续衍生的 WPDRRC、等级保护 2.0 等安全体系均以该标准的核心框架为理论基础

（四）本文内容结构

本文将从核心安全服务、安全实现机制、服务与机制映射、核心安全框架、行业应用实践、前沿发展趋势六个维度展开，结合软考考点要求和实际架构设计场景进行深度解析。

二、五大安全服务核心原理

（一）安全服务的定义与定位

安全服务是指开放系统互连环境中，为保障系统和数据安全而提供的服务能力，是安全需求的标准化表达，所有安全架构设计均需围绕安全服务的实现展开。

（二）五大安全服务详解

1. 鉴别服务
   （1）定义：验证通信实体身份的真实性，防止身份假冒攻击，分为对等实体鉴别和数据源鉴别两类
   （2）核心指标：身份误判率≤10^-6，鉴别响应延迟≤100ms
   （3）适用场景：用户登录认证、API 调用方身份校验、跨系统服务调用身份验证
2. 访问控制服务
   （1）定义：依据安全策略控制主体对客体的访问权限，防止越权操作，分为自主访问控制、强制访问控制、基于角色的访问控制等类型
   （2）核心指标：权限判定准确率 100%，权限变更生效延迟≤1s
   （3）适用场景：系统功能权限控制、数据访问权限控制、接口调用频率控制
3. 数据机密性服务
   （1）定义：保护数据不被未授权实体获取，分为连接机密性、无连接机密性、选择字段机密性、业务流机密性四类
   （2）核心指标：加密强度符合国密算法要求，加密吞吐量≥10Gbps
   （3）适用场景：敏感数据传输加密、静态存储加密、业务流量模式隐藏
4. 数据完整性服务
   （1）定义：防止数据被未授权篡改、插入或删除，确保数据的准确性和一致性，分为带恢复的连接完整性、无恢复的连接完整性、选择字段连接完整性、无连接完整性、选择字段无连接完整性五类
   （2）核心指标：篡改检测率 100%，完整性校验延迟≤50ms
   （3）适用场景：交易数据传输校验、配置文件完整性校验、日志数据防篡改
5. 抗抵赖性服务
   （1）定义：防止通信实体事后否认已发生的操作，分为数据原发证明和交付证明两类
   （2）核心指标：证据留存时间符合法律法规要求，争议解决举证成功率 100%
   （3）适用场景：电子合同签署、交易行为存证、操作日志审计

五大安全服务分类与适用场景示意图

三、八大安全机制实现方法

（一）安全机制的定义与定位

安全机制是实现安全服务的具体技术手段，GB/T 9387.2 定义了八种可部署在 OSI 各层的通用安全机制，不同安全机制可组合使用实现复杂安全需求。

（二）八大安全机制详解

1. 加密机制：通过加密算法对数据进行转换，分为对称加密、非对称加密两类，可部署在 OSI 的物理层、数据链路层、网络层、传输层、表示层、应用层，是实现机密性服务的核心机制
2. 数字签名机制：通过非对称加密算法实现身份认证和不可抵赖，可部署在应用层，是实现鉴别服务、抗抵赖服务的核心机制
3. 访问控制机制：通过权限列表、访问控制矩阵等实现权限管控，可部署在应用层、网络层，是实现访问控制服务的核心机制
4. 数据完整性机制：通过哈希算法、消息认证码等验证数据一致性，可部署在传输层、应用层，是实现完整性服务的核心机制
5. 认证交换机制：通过信息交互验证实体身份，可部署在会话层、应用层，是实现鉴别服务的核心机制
6. 业务流填充机制：通过填充无用流量掩盖真实业务流量特征，可部署在数据链路层、网络层，是实现业务流机密性的核心机制
7. 路由控制机制：通过动态路由选择避开不安全链路，可部署在网络层，是实现访问控制、机密性服务的辅助机制
8. 公证机制：通过可信第三方提供公正性证明，可部署在应用层，是实现抗抵赖服务的辅助机制

（三）安全机制的部署层级要求

根据 GB/T 9387.2 标准规定，加密、路由控制机制可部署在网络层及以下实现传输层透明安全防护，数字签名、公证机制需部署在应用层实现业务逻辑关联的安全能力。

八大安全机制层级部署与能力对比表

四、安全服务与安全机制映射关系

（一）映射规则

1. 一种安全服务可由一种或多种安全机制组合实现
2. 一种安全机制可支持一种或多种安全服务
3. 同一安全服务在不同 OSI 层级可采用不同的安全机制实现

（二）核心映射关系

1. 鉴别服务：主要通过认证交换机制、数字签名机制实现，必要时可结合加密机制增强安全性
2. 访问控制服务：主要通过访问控制机制实现，可结合数字签名机制实现权限的不可篡改，结合路由控制机制实现网络层访问管控
3. 数据机密性服务：核心是加密机制，业务流机密性需额外结合业务流填充机制，跨网传输时可结合路由控制机制选择安全链路
4. 数据完整性服务：核心是数据完整性机制，高可靠性场景可结合加密机制实现完整性校验值的防篡改
5. 抗抵赖性服务：核心是数字签名机制和公证机制，需结合数据完整性机制确保证据本身的一致性

（三）典型实现案例

某银行核心交易系统的安全架构中，用户鉴别服务采用 "USBKey 数字签名 + 短信验证码认证交换" 的组合机制，交易数据完整性服务采用 "SM3 哈希校验 + SM4 加密传输" 的组合机制，抗抵赖服务采用 "交易数字签名 + 第三方公证机构存证" 的组合机制，满足等级保护三级要求。

安全服务与安全机制映射关系矩阵图

五、核心安全框架设计规范

（一）认证框架

1. 核心设计思路：基于 "你知道什么、你拥有什么、你是什么、你信任谁、你在什么环境" 五类身份证据实现多因素认证
2. 实现方式：
   （1）已知信息：密码、PIN 码、安全问题答案
   （2）持有物品：智能卡、USBKey、动态令牌、手机 SIM 卡
   （3）生物特征：指纹、虹膜、人脸、声纹、指静脉
   （4）可信第三方：CA 数字证书、OAuth2 授权、身份提供商（IdP）认证
   （5）环境因素：IP 地址白名单、接入时间段限制、设备指纹识别
3. 最佳实践：关键业务场景需采用至少两类不同维度的身份证据实现多因素认证，降低身份假冒风险

（二）访问控制框架

1. 核心设计思路：采用策略与执行分离的架构，分为访问控制决策功能（ADF）和访问控制执行功能（AEF）两个核心模块
2. 模块职责：
   （1）ADF：负责维护访问控制策略，接收访问请求并作出允许 / 拒绝的决策
   （2）AEF：负责拦截访问请求，向 ADF 提交决策请求并执行 ADF 返回的决策结果
3. 架构优势：实现了策略的集中管理和统一执行，便于安全策略的快速更新和审计

（三）机密性框架

1. 核心设计思路：采用多层防护机制实现数据全生命周期的机密性保护
2. 实现机制：
   （1）禁止访问机制：物理隔离、网络访问控制、权限管控，从入口层面阻止未授权访问
   （2）加密机制：传输加密、存储加密、内存加密，即使数据被获取也无法解密
3. 最佳实践：敏感数据需采用 "传输层加密 + 存储层加密" 的双重防护，密钥采用国密算法存储在专用密码设备中

（四）完整性框架

1. 核心设计思路：采用预防性机制和检测性机制结合的分层防护架构
2. 实现机制：
   （1）预防性机制：访问控制、加密存储、物理防护，阻止未授权实体篡改数据
   （2）检测性机制：哈希校验、数字签名、版本对比，及时发现数据篡改行为，高可靠性场景可结合数据备份实现篡改后的恢复
3. 最佳实践：关键业务数据需在写入和读取时分别进行完整性校验，校验值与数据分开存储

（五）抗抵赖框架

1. 核心设计思路：全流程证据留存的闭环架构，分为四个核心阶段
2. 阶段流程：
   （1）证据生成阶段：在操作发生时生成数字签名、操作日志等证据
   （2）证据传输与存储阶段：加密传输证据并存储在不可篡改的存储介质中
   （3）证据验证阶段：发生争议时对证据的真实性、完整性进行验证
   （4）争议解决阶段：由可信第三方依据验证结果进行仲裁
3. 最佳实践：证据留存时间需符合《网络安全法》《数据安全法》等法律法规的要求，关键操作证据需留存至少 6 个月

五大安全框架核心模块与交互流程图

六、行业应用与前沿发展

（一）行业标准落地应用

1. 等级保护 2.0 标准明确要求信息系统需实现 GB/T 9387.2 定义的五类安全服务，不同保护等级对应不同的安全机制实现要求
2. 金融行业《网上银行系统信息安全通用规范》要求采用多因素鉴别、交易数字签名、数据完整性校验等机制，全面覆盖五大安全服务
3. 政务信息化建设要求采用国密算法实现加密、数字签名等安全机制，符合 GB/T 9387.2 的安全体系要求

（二）最新技术演进

1. 零信任架构以 GB/T 9387.2 的鉴别服务、访问控制服务为核心，扩展形成 "永不信任、始终验证" 的动态安全架构，实现细粒度的访问控制
2. 隐私计算技术扩展了数据机密性服务的实现边界，在数据可用不可见的场景下实现数据加工处理过程中的机密性保护
3. 区块链技术为抗抵赖服务提供了去中心化的证据存储机制，降低了对第三方公证机构的依赖，提升了证据的可信度

（三）软考命题趋势

近年来软考考试中该知识点的命题逐渐从概念记忆转向场景应用，常结合实际架构设计场景考查安全服务的选择、安全机制的组合、安全框架的落地等内容，需重点掌握不同安全需求对应的解决方案设计。

GB/T 9387.2 安全体系技术演进路线图

七、总结与建议

（一）核心要点提炼

1. GB/T 9387.2 定义了鉴别、访问控制、数据机密性、数据完整性、抗抵赖五类安全服务，是安全需求的标准化表达
2. 八大安全机制是实现安全服务的技术手段，需根据场景选择合适的机制组合
3. 五大安全框架提供了安全能力的标准化实现思路，体现了策略与执行分离、预防与检测结合的设计思想

（二）软考考试重点提示

1. 高频考点：五大安全服务的分类、八大安全机制的作用、安全服务与机制的映射关系、抗抵赖框架的阶段流程
2. 易错点：业务流填充机制的作用、带恢复与无恢复完整性服务的区别、访问控制框架中 ADF 与 AEF 的职责划分
3. 案例题考点：结合实际场景选择合适的安全服务和安全机制组合，设计符合标准要求的安全架构

（三）实践应用建议

1. 企业安全架构设计需以 GB/T 9387.2 为基础，全面覆盖五类安全服务，避免安全能力短板
2. 安全机制的选择需平衡安全需求、性能损耗、实现成本三个维度，避免过度设计或防护不足
3. 关键业务场景的安全架构需符合等级保护、行业监管等规范要求，确保合规性

（四）学习备考建议

1. 结合 OSI 七层模型理解安全机制的部署层级，形成体系化的知识结构
2. 通过历年真题练习掌握不同场景下的安全方案设计思路，提升应用能力
3. 关注零信任、隐私计算等新兴技术与传统安全框架的结合点，应对最新命题趋势。