3 第二章信息安全基础06.ppt

1、2009-3-10,信息保障与安全06级,1,第二章 信息安全基础,2.1 信息不安全因素 2.2 信息攻击2.3 信息安全需求分析2.4 安全理论与技术分析2.5 安全层次与系统模型2.6 小结,2009-3-10,信息保障与安全06级,2,2.1 信息不安全因素,2.1.1 物理不安全因素目前主要的物理不安全因素如下：（1）自然灾害（如雷电、地震），物理损坏（如硬盘物理损坏、 设备意外损坏等），设备故障（如意外断电，电磁干扰等）和意外事故。（2）电磁泄漏（如侦听计算机操作过程），产生信息泄漏，干扰他人，受他人干扰，乘机而入和痕迹泄露等，其特点是难以觉察性、人为实施的故意性、信息的无意泄露性

2、，这种威胁只破坏信息的保密性（无损信息的完整性和可用性）。（3）操作失误 （如删除文件、格式化硬盘等）或意外疏漏（如系统崩溃等）。（4）计算机系统机房的环境安全。,2009-3-10,信息保障与安全06级,3,2.1.2 网络不安全因素（1）网络规模（2）网络物理环境2.1.3 系统不安全因素现在应用的大部分系统软件都有一定的漏洞，操作系统就是一个例子。操作系统是网络和应用程序之间接口的程序，是整个网络信息系统的核心，系统的安全性体现在整个操作系统中。对于一个设计不够安全的操作系统系统来说，应采用增加安全特性或打补丁的办法进行安全维护。2.1.4 管理不安全因素1.管理不能做到多人负责2.管理

3、者任期太长3.不能做到职责分离,2009-3-10,信息保障与安全06级,4,下面每组内的两项信息处理工作应分开（1）计算机操作与计算机编程（2）机密资料的接收和传送（3）安全管理和系统管理（4）应用程序和系统程序的编制（5）访问证件的管理与其他工作（6）计算机操作与信息处理系统使用媒介的保管等,2009-3-10,信息保障与安全06级,5,2.2 信息攻击,2.2.1 口令攻击攻击者攻击目标时常常把破译用户的口令作为攻击的开始。只要攻击者能够猜测或者确定用户的口令，就能获得机器或者网络的访问权限，并能访问到用户能到的任何资源。口令猜测前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合

4、法用户口令的破译。获得普通用户帐号的方法很多，主要有以下几种：（1）利用目标主机的Finger功能（2）利用目标主机的X.500服务（3）从电子邮件地址中收集（4）查看主机是否有习惯性的帐号,2009-3-10,信息保障与安全06级,6,2.2.2 地址欺骗地址欺骗有三种基本形式:1.基本地址变化2.源路由攻击3.信任关系2.2.3 窃听窃听是指攻击者通过对传输媒介的监听非法获取传输的信息,是对通信网络最常见的攻击方法.2.2.4 业务否决业务否决是指入侵者通过某些手段使合法的网络实体无法获得其应有的网络服务。2.2.5 链接盗用链接盗用分为含蓄(隐蔽)的形式和明显(直接)的形式。,2009-

5、3-10,信息保障与安全06级,7,2.2.6 对于域名系统等基础设施的破坏1.基本的网站欺骗2.中间人攻击3.URL重写2.2.7 利用Web破坏数据库Web数据库是基于Internet /Intranet的应用系统，由于互联网的开放性和通信协议的安全缺陷，以及在网络环境中数据存储和对其访问与处理的分布性特点，网上传输的数据很容易受到破坏、窃取、篡改、转移和丢失。另外，用户在操作、管理以及对系统的安全设置上的失误，同样给网络安全带来危害。,2009-3-10,信息保障与安全06级,8,2.3 信息安全需求分析,信息安全不单纯是技术问题，它涉及技术、管理、制度、法律、历史、文化、道德等方面。从

6、技术的角度来说，就有防病毒、防黑客、防电磁泄漏、物理安全保护、系统安全防护、密码保护等。信息安全需求包括：（1）信息的保密性（2）信息的完整性（3）信息的非否认性（4）信息发送者的可鉴别性（5）信息的可用性（6）信息的可控性（7）数字签名和身份认证,2009-3-10,信息保障与安全06级,9,2.3.1 防护安全防护安全在现今的企业体制中已经不可缺少，如何运用最少的人力物力完成最大的防护效能，才是考虑的重点。对于防护系统的建设，应考虑以下几个因素：（1）全方位的防护功能，能够考虑到所有可能的入侵通道（2）具有多层架构的防护机制（3）易于集中管理及维护，具有自动更新升级的能力（4）中央控管的防

7、护规则，完全不需使用者设定，提高信息人员的效率（5）具有防护统计报告能力，易于掌握整个防护计划,2009-3-10,信息保障与安全06级,10,信息不安全的危害已经不只是个人，而是扩及企业，如果不重视防护安全，那么所带来的危害将是无法估计的。在网络安全领域中，有许多类型的安全防护措施。除了技术层面的防护措施之外，还有几类其他防护措施。（1）物理安全（2）人员安全（3）管理安全（4）谋体安全（5）辐射安全（6）生命周期控制,2009-3-10,信息保障与安全06级,11,2.3.2 运行安全信息系统的安全主要是针对计算机系统而言，系统的运行安全必须通过对系统运行的管理来提高系统的可靠性和安全性。

8、系统的运行安全包括系统的安全运行与管理、计算机系统的维护、机房环境的监测及维护、随机故障维修、软件的可靠性与可维护性、操作系统的故障分析及处理等方面。2.3.3 安全管理网络信息的安全管理包括以下四类活动：1.系统安全管理（1）总体安全策略的管理（2）与其他安全管理功能的相互作用（3）事件处理管理（4）安全审计管理（5）安全恢复管理,2009-3-10,信息保障与安全06级,12,2.安全服务管理（1）为某种安全服务指派安全保护的目标（2）在可选情况下,指定并维护选择规则,选取安全服务使用的特定的安全机制（3）在那些需要事先取得管理同意的可用安全机制进行协商(本地的与远程的)（4）通过适当的安

9、全机制管理功能调用特定的安全机制(例如提供行政管理强加的安全服务)3.安全机制管理（1）密钥管理（2）加密管理（3）数字签名管理（4）访问控制管理（5）数据完整性管理（6）路由选择控制管理,2009-3-10,信息保障与安全06级,13,4.安全管理本身涉及信息的安全这一类安全管理的功能将选择适当的安全服务和安全机制来确保安全管理协议和信息获得足够的保护.,2009-3-10,信息保障与安全06级,14,2.3.4 安全评估1.可信计算机系统评估标准(TCSEC)（1）可信计算机系统评估标准原则（P25） 安全策略 客体标记 主体识别 可检查性 保证 连续保护,2009-3-10,信息保障与安

10、全06级,15,（2）评估标准的安全等级D类C类B类A类,2009-3-10,信息保障与安全06级,16,2.国际国内其他安全标准（1）GB/T 9387.2（2）RFC2401（3）ITSEC（4）美国联邦标准FC（5）GB17859-1999（6）CC准则(IT安全性评估通用准则)（7）CC的文档结构（8）ISO17799(BS7799),2009-3-10,信息保障与安全06级,17,信息安全标准,标准的重要性 信息社会的信息安全是建立在信息系统互连、互通、互操作意义上的安全需求，因此需要技术标准来规范系统的建设和使用。 没有标准就没有规范，没有规范就不能形成规模化信息安全产业，生产出足

11、够的满足社会广泛需要的产品。没有标准也不能规范人们安全防范行为。 国际上的信息安全标准涉及到有关密码应用和信息系统安全两大类。 制定标准的机构有国际标准化组织，某些国家的标准化机关和一些企业集团。他们的工作推动了信息系统的规范化发展和信息安全产业的形成。 标准是科研水平、技术能力的体现，反映了一个国家的综合实力。 标准也是进入WTO的国家保护自己利益的重要手段。,2009-3-10,信息保障与安全06级,18,国际标准的发展,国际上著名的标准化组织及其标准化工作 ISO，NIST 密码标准 DES AES NESSIE(New European Schemes for Signature, I

12、ntegrity, and Encryption) 140-2 （NIST FIPS PUB 密码模块） 可信计算机系统评价准则 TCSEC-ITSEC-CC 管理标准 ISO 17799,2009-3-10,信息保障与安全06级,19,权威的传统评估标准,美国国防部在1985年公布 可信计算机安全评估准则 Trusted Computer Security Evaluation Criteria (TCSEC) 为安全产品的测评提供准则和方法 指导信息安全产品的制造和应用,2009-3-10,信息保障与安全06级,20,传统评估标准的演变,美国DoD DoD85 TESEC TCSEC网络解

13、释（TNI 1987） TCSEC数据库管理系统解释（TDI 1991） 彩虹系列Rainbow series 欧洲 ITSEC 美国、加拿大、欧洲等共同发起Common Criteria(CC),2009-3-10,信息保障与安全06级,21,TCSEC,准则中，从用户登录、授权管理、访问控制、审计跟踪、隐通道分析、可信通道建立、安全检测、生命周期保障、文本写作、用户指南均提出了规范性要求 可信计算基 (TCB- Trusted Computing Base) 计算机系统中的负责执行一个安全策略的包括硬件、软件、固件组合的保护技巧的全体。一个TCB由一个或多个在产品或系统上一同执行统一的安全

14、策略的部件组成。一个TCB的能力是正确的依靠系统管理人员的输入有关安全策略的参数，正确独立地执行安全策略。 访问控制机制 主要原则：严禁上读、下写（no read up no write down）就是主要针对信息的保密要求,2009-3-10,信息保障与安全06级,22,可信计算机系统安全等级,2009-3-10,信息保障与安全06级,23,TCSEC的不足,TCSEC是针对孤立计算机系统，特别是小型机和主机系统。假设有一定的物理保障，该标准适合政府和军队，不适和企业。这个模型是静态的。 NCSC的TNI是把TCSEC的思想用到网络上，缺少成功实践的支持。 Moores Law: 计算机的发

15、展周期18个月，现在还有可能减少到一年。不允许长时间进行计算机安全建设，计算机安全建设要跟随计算机发展的规律。,2009-3-10,信息保障与安全06级,24,ITSEC （又称欧洲白皮书）,90年代初西欧四国（英、法、荷、德）联合提出了信息技术安全评价标准（ITSEC） 除了吸收TCSEC的成功经验外，首次提出了信息安全的保密性、完整性、可用性的概念，把可信计算机的概念提高到可信信息技术的高度上来认识。他们的工作成为欧共体信息安全计划的基础，并对国际信息安全的研究、实施带来深刻的影响。,2009-3-10,信息保障与安全06级,25,ITSEC定义了七个安全级别,E6：形式化验证； E5：形

16、式化分析； E4：半形式化分析； E3：数字化测试分析； E2：数字化测试； E1：功能测试； E0：不能充分满足保证。,2009-3-10,信息保障与安全06级,26,通用评价准则（CC）,它的基础是欧州的ITSEC，美国的包括 TCSEC 在内的新的联邦评价标准，加拿大的 CTCPEC，以及 国际标准化组织ISO :SC27 WG3 的安全评价标准 1995年颁布0.9版，1996年1月出版了10版。 1997年8月颁布2.0 Beata版， 2.0 版于1998年5月颁布。 1998-11-15 成为ISO/IEC 15408信息技术-安全技术-IT安全评价准则,2009-3-10,信息

17、保障与安全06级,27,通用评价准则（CC）,美国为了保持他们在制定准则方面的优势，不甘心TCSEC的影响被ITSEC取代，他们采取联合其他国家共同提出新的评估准则的办法体现他们的领导作用。 91年1月宣布了制定通用安全评价准则（CC）的计划。它的全称是Common Criteria for IT security Evaluation 。 制定的国家涉及到六国七方，他们是美国的国家标准及技术研究所（NIST）和国家安全局（NSA），欧州的荷、法、德、英，北美的加拿大。,2009-3-10,信息保障与安全06级,28,CC标准评价的三个方面,CC标准评价的三个方面 保密性（confidenti

18、ality） 完整性（integrity） 可用性（availability） CC标准中未包含的内容： 行政管理安全的评价准则 电磁泄露 行政管理方法学和合法授权的结构 产品和系统评价结果的使用授权 密码算法质量的评价,2009-3-10,信息保障与安全06级,29,CC评价准则的结构,第一部分：介绍和总体模型 对CC评价准则的介绍。定义IT安全评价和描述模型的一般概念和原则，提出选择和定义说明产品和系统IT安全客体的明确的组织的安全要求。 第二部分：安全功能要求 用标准化的方法对评价目标（TOE）建立一个明确的安全要求的部件功能集合。功能集合分类为部件（components）、族（fami

19、lies）和类（classes） 第三部分：安全保证要求 用标准化的方法对评价目标（TOE）建立一个明确的安全要求的保证部件的集合。对保护方案（PP）和安全目标（ST）进行定义，并且对安全评价目标（TOE）提出安全评价保证级别（EAL）,2009-3-10,信息保障与安全06级,30,Evaluation Assurance Levels (EALs),EAL,EAL1,EAL2,EAL3,EAL4,EAL5,EAL6,Name,功能化测试,结构化测试,方法学测试和检查,方法学设计测试和检查,半形式化设计和检查,半形式化校验，设计和测试,形式化校验设计和测试,TCSEC,C1,C2,B1,B2

20、,B3,A1,EAL7,2009-3-10,信息保障与安全06级,31,我国的标准化工作,我国是国际标准化组织的成员国，我国的信息安全标准化工作在各方面的努力下，正在积极开展之中。从80年代中期开始，自主制定和视同采用了一批相应的信息安全标准。 但是，应该承认，标准的制定需要较为广泛的应用经验和较为深入的研究背景。这两方面的差距，使我国的信息安全标准化工作与国际已有的工作比较，覆盖的方面还不够大，宏观和微观的指导作用也有待进一步提高。,2009-3-10,信息保障与安全06级,32,2.4 安全理论与技术分析,2.4.1 密码理论与数据加密技术1.密码理论密码理论是研究编制密码和破译密码的技术

21、科学。研究密码变化的客观规律，并将该规律应用于编制密码以保守通信秘密，我们称为编码学；应用于破译密码以获取通信情报，我们称为破译学，二者总称密码学。2.数据加密技术数据加密技术是最基本的网络安全技术,被称为信息安全的核心,最初主要用于保证数据在存储和传输过程中的保密性.通过各种方法将被保护信息置换成密文,然后再进行信息的存储或传输,即使加密信息在存储或传输过程为非授权人员所获得,也可以保证这些信息不为其认知,从而达到保护信息的目的.该方法的保密性直接取决于所采用的密码算法和密钥长度。,2009-3-10,信息保障与安全06级,33,2.4.2 认证识别理论与技术相互认证是客户机和服务器相互识别

22、的过程,它们的识别号用公开密钥编码,并在SSL握手时交换各自的识别号。为了验证持有者是其合法用户,而不是冒名用户, SSL要求证明持有者在握手时对交换数据进行数字式标识。证明持有者要对包括证明的所有信息数据进行标识,以说明自己是证明的合法拥有者,这样就防止了其他用户冒名使用证明。证明本身并不提供认证,只有证明和密钥一起才起作用。2.4.3 授权与访问控制理论与技术为了防止非法用户使用系统及合法用户对系统资源的非法使用，需要对计算机系统实体进行访问控制。对实体系统的访问控制必须对访问者的身份实施一定的限制，这是保证系统安全所必需的。要解决上述问题，访问控制需采取下述两种措施：（1）识别与验证访问

23、系统的用户（2）决定用户对某一系统资源可进行何种访问（读、写、修改、运行等）,2009-3-10,信息保障与安全06级,34,2.4.4 审计追踪技术审计追踪是指对安防体系、策略、人和流程等对象的深入细致的核查，目的是为了找出安防体系中的薄弱环节并给出相应的解决方案。审计追踪的基本任务有两项：首先，检查实际工作是不是按照现有规章制度去办事的；第二，对审计步骤进行调整和编排，更好地判断出安防事件的发生地点或来源。2.4.5 网间隔离与访问代理技术从技术上来讲代理服务是一种网关功能，但它的逻辑位置是在OSI七层协议的应用层之上。代理使用一个客户程序与特定的中间结点链接，然后中间结点与期望的服务器进

24、行实际链接。与应用网关型防火墙所不同的是，使用这类防火墙时外部网络与内部网络之间不存在直接连接，因此，即使防火墙产生了问题，外部网络也无法与被保护的网络连接。,2009-3-10,信息保障与安全06级,35,2.4.6 反病毒技术计算机病毒的预防、检测和清除是计算机反病毒技术的三大内容。也就是说计算机病毒的防治要从防毒、查毒和解毒三方面来进行；系统对于计算机病毒的实际防治能力和效果也要从防毒能力、查毒能力和解毒能力三方面来评判。防毒是指根据系统特性，采取相应的系统安全措施预防病毒侵入计算机。查毒是指对于确定的环境，能够准确地报出病毒名称，解毒是指根据不同类型病毒对感染对象的修改，并按照病毒的感

25、染特性所进行的恢复，该恢复过程不能破坏未被病毒修改的内容，感染对象包括内存、引导区（含主引导区）、可执行文件、文档文件、网络等。（1）防毒能力是指预防病毒侵入计算机系统的能力（2）查毒能力是指发现和追踪病毒来源的能力（3）解毒能力是指从感染对象中清除病毒，恢复被病毒感染前的原始信息的能力；解毒能力应用解毒率来评判,2009-3-10,信息保障与安全06级,36,2.4.7 入侵检测技术入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测系统能够识别出来自于网络外部和内部的不希望有的活动。

26、典型的入侵检测系统包括下述三个功能部件：（1）提供事件记录流的信息源（2）发现入侵迹象的分析引擎（3）基于分析引擎的分析结果产生反映的响应部件,2009-3-10,信息保障与安全06级,37,入侵检测系统作为网络安全整体解决方案的一个重要部分，需要与其他设备之间进行紧密的联系与配合，共同解决网络安全问题，这就引入协同技术的要求。1.数据采集协同（1）入侵检测系统与漏洞扫描系统的协同（2）入侵检测系统与防病毒系统的协同2.数据分析协同3.响应协同（1）入侵检测系统与防火墙的协同（2）入侵检测系统与路由器、交换机的协同（3）入侵检测系统与防病毒系统的协同（4）入侵检测系统与蜜罐和填充单元系统的协同

27、蜜罐是试图将攻击者从关键系统引诱开的诱骗系统。这些系统充满了看起来很有用的信息，但这些信息实际是捏造的，诚实的用户是访问不到它们的。,2009-3-10,信息保障与安全06级,38,2.4.8 网络安全技术的综合利用在网络安全技术中,数据加密是其他一切安全技术的核心和基础。在实际网络系统的安全实施中,可以根据系统的安全需求,配合使用各种安全技术来实现一个完整的网络安全解决方案。例如目前常用的自适应网络安全管理模型，就是通过防火墙、网络安全扫描、网络入侵检测等技术的结合来实现网络系统动态的可适应的网络安全目标。,2009-3-10,信息保障与安全06级,39,2.5 安全层次与模型,2.5.1

28、安全层次分析信息系统安全是一项复杂的系统工程，它的实现不仅是纯碎的技术方面的问题，而且还需要法律、管理、社会因素的配合。因此信息系统安全模型的层次结构如图2-1所示。,2009-3-10,信息保障与安全06级,40,第一层,图2-1 信息系统安全层次模型,2009-3-10,信息保障与安全06级,41,第一层是法律制度与道德规范。日益严重的计算机犯罪，迫使各国尽快制定出严密的法律、政策，从根本上改变知识犯罪无法可依的局面。第二层是管理制度的建立与实施。安全管理制度的建立与实施，是实现计算机信息系统安全的重要性。它包括安全管理人员的教育培训、制度的落实、职责的检查等方面的内容。第三、四层是物理实

29、体的安全与硬件系统保护。计算机物理上安全与硬件系统的保护是信息系统安全不可缺少的重要环节。一是必须对自然灾害加强防护；二是采取必要的措施防止计算机设备被盗；三是尽量减少对硬件的损害。另外，最好准备不间断电源。第五层至第七层是网络、软件、信息安全。通信网络、系统软件、信息安全保密技术是计算机信息系统安全的关键，也是信息安全技术主要的研究内容。,2009-3-10,信息保障与安全06级,42,2.5.2 安全模型基础平台、安全应用及安全服务都围绕着信息系统的安全模型而进行。在构建一个信息系统安全模型时，首先要确定安全保护要达到的目标，这些目标可以分布在组成信息系统安全模型的应用安全、网络安全、系统

30、安全、安全管理平台等各个层次，最终通过平台具有的安全功能得到实现。图2-2所示的是一个信息系统的安全模型的示例。,2009-3-10,信息保障与安全06级,43,安全保护达到的目标,应用安全,网络安全,系统安全,安全管理,安全审计,身份认证,访问控制,网络隔离,加密传送,可用性,完整性,可控性,图2-2 信息系统的安全模型示例,2009-3-10,信息保障与安全06级,44,2.6 小结,随着计算机网络技术的发展,信息产业也逐渐被带动起来,从而信息安全问题日益突现。口令猜测、地址欺骗、连接盗用、业务否决、窃听、对域名系统和其他基础设施的破坏、利用Web破坏数据库都属于对信息的攻击。口令猜测经常是攻击者攻击目标时的首要选择。对于信息系统来说，其安全需求应该包括防护安全、运行安全、管理安全及安全评估。而基于其安全理论与技术分析来说，应探讨的有密码理论与技术分析、认证识别理论与技术、授权与访问控制理论与技术、审计追踪技术、网间隔离与访问代理技术、反病毒技术、入侵检测技术共七种。在信息系统的安全设计与实践中，信息系统安全模型是一个层次结构，层间相互依赖，下层向上层提供支持，上层依赖于下层的完善，最终实现数据信息的安全。,