计算信息安全课件

1、计算信息安全课件计算信息安全课件课程说明课程性质：考试课考试形式：开卷笔试总评方式：平时成绩：30%（包含出勤情况、实验完成情况、实验报告等）期中测试：20%期抹考试：50%课程说明课程性质：考试课课程内容简介第1章 信息安全简介第2章 信息安全体系结构第3章 密码基础第4章 身份识别与消息鉴别第5章 访问控制理论第6章 网络安全第7章 计算机系统安全第8章 应用安全第9章 安全审计第10章 信息安全评估与工程实现 教材情况： 信息安全概论 徐茂智 邹维 人民邮电出版社课程内容简介第1章 信息安全简介课程实验Sniffer嗅探及抓包加密软件的使用身份鉴别及访问控制数据备份及恢复 课程实验Sni

2、ffer嗅探及抓包第1章 信息安全简介1.1 信息安全的发展历史1.2 信息安全的概念和目标1.3安全威胁与技术防护知识体系1.4 信息安全中的非技术因素 第1章 信息安全简介1.1 信息安全的发展历史1.1 信息安全的发展历史密码技术在军事情报传递中悄然出现，并扮演着重要角色，这可以追溯到若干个世纪以前。在第二次世界大战中，密码技术取得巨大飞跃，特别是Shannon提出的信息论使密码学不再是一种简单的符号变换艺术，成为一门真正的科学。与此同时计算机科学也得到了快速发展。直到上世纪60年代，对计算机系统人们主要关注的是它的物理安全。上世纪70年代随着计算机网络的出现，人们才把重心转移到计算机数

3、据的安全上来。从此，信息安全技术得到持续高速的发展。本节通过对一些重要历史阶段的回顾，了解信息安全的由来和研究领域的拓展。1.1 信息安全的发展历史密码技术在军事情报传递中悄然出现， 1.1.1通信保密科学的诞生古罗马帝国时期的Caesar密码1568年L.Battista发明了多表代替密码，并在美国南北战争期间由联军使用。Vigenere密码和Beaufort密码（多表代替密码的典型例子）。1854年Playfair发明了多字母代替密码，英国在第一次世界大战中采用了这种密码。Hill密码是多字母代替密码的典型例子。古典密码学诞生1918年W.Friedman关于使用重合指数破译多表代替密码。

4、1949年C.Shannon的文章保密系统的通信理论发表在贝尔系统技术杂志上。1974（？）年IBM提出商用算法DES（NIST标准 ）。密码技术从艺术变为科学。通信保密诞生 1.1.1通信保密科学的诞生古罗马帝国时期的Caesar密 1.1.2公钥密码学革命1976年Diffie、Hellman提出公开密钥密码思想1977年Rivest、Shamir、Adleman 设计了一种公开密钥密码系统公钥密码学诞生对比传统密码算法公钥密码算法理论价值一、突破Shannon理论，从计算复杂性上刻画密码算法的强度二、它把传统密码算法中两个密钥管理中的保密性要求，转换为保护其中一个的保密性，保护另一个的完

5、整性的要求。三、它把传统密码算法中密钥归属从通信两方变为一个单独的用户，从而使密钥的管理复杂度有了较大下降。 1.1.2公钥密码学革命1976年Diffie、Hellm 1.1.2公钥密码学革命对信息安全应用的意义一是密码学的研究已经逐步超越了数据的通信保密性范围，同时开展了对数据的完整性、数字签名技术的研究。随着计算机及其网络的发展，密码学已逐步成为计算机安全、网络安全的重要支柱，使得数据安全成为信息安全的核心内容，超越了以往物理安全占据计算机安全主导地位的状态 1.1.2公钥密码学革命对信息安全应用的意义1.1.3访问控制技术与可信计算机评估准则1969年B. Lampson提出了访问控制

6、的矩阵模型。 模型中提出了主体与客体的概念 客体：是指信息的载体，主要指文件、数据库等 主体：是指引起信息在客体之间流动的人、进程或设备 访问：是指主体对客体的操作，如读、写、删除等，所有可允许访问属性：是指操作的集合。 计算机系统中全体主体作为行指标、全体客体作为列指标、取值为访问属性的矩阵就可以描述一种访问策略。评价： 可以设想随着计算机所处理问题的复杂性的增加，不可能显式地表示一个计算机的访问控制矩阵。所以用访问控制矩阵来实施访问控制是不现实的。 1.1.3访问控制技术与可信计算机评估准则1969年B. L1.1.3访问控制技术与可信计算机评估准则1973年D.Bell和L.Lapadu

7、la创立了一种模拟军事安全策略的计算机操作模型。 把计算机系统看成是一个有限状态机，为主体和客体定义了密级和范畴。 定义了满足一些特性（如简单安全特性SS）的安全状态概念。 证明了系统从安全状态出发，经过限制性的状态转移总能保持状态的安全性。 评价： 模型使得人们不需要直接管理访问控制矩阵，而且可以获得可证明的安全特征。 Bell-Lapadula模型主要是面向多密级数据的机密性保护的，它对数据的完整性或系统的其他安全需求刻画不够。 1.1.3访问控制技术与可信计算机评估准则1973年D.Be1.1.3访问控制技术与可信计算机评估准则1985年美国国防部DoD提出了可信计算机评估准则（TCSE

8、C）通常称为橘皮书 在Bell-Lapadula模型的基础上按照计算机系统的安全防护能力，分成8个等级。评价： 对军用计算机系统的安全等级认证起到了重要作用。而且对后来的信息安全评估标准的建立起到了重要参考作用。 1.1.3访问控制技术与可信计算机评估准则1985年美国国防1.1.3访问控制技术与可信计算机评估准则其他访问控制模型1977年提出的针对完整性保护的Biba模型、1987年提出的侧重完整性和商业应用的Clark-Wilson模型2000年提出基于角色的访问控制模型（RBAC）权限管理基础设施（PMI）概念则使得访问控制技术在网络环境下能方便地实施1.1.3访问控制技术与可信计算机评

9、估准则其他访问控制模型1.1.4网络环境下的信息安全互联网出现攻击手段增多应用范围扩大安全技术多样化1.1.4网络环境下的信息安全互联网出现1.1.5信息保障1998年10月，美国国家安全局（NSA）颁布了信息保障技术框架（IATF）1.1版，2002年9月，又颁布了3.1版本。另一方面，美国国防部（DoD）于2003年2月6日颁布了信息保障的实施的命令8500.2，从而使信息保障成为美国军方组织实施信息化作战的既定指导思想。美国国防部对信息保障（Information Assurance，IA）的定义是“通过确保信息的可用性、完整性、可识别性、保密性和抗抵赖性来保护信息和信息系统，同时引入保

10、护、检测及响应能力，为信息系统提供恢复功能。” 这就是信息保障的PDRR模型。PDRR是指保护（Protect）、检测（Detect）、响应（React）和恢复（Restore）。1.1.5信息保障1998年10月，美国国家安全局（NSA）1.1.5信息保障美国信息保障技术框架的推进，使人们对信息安全的认识不仅仅停留在保护的框架之下，同时还需要注意信息系统的检测、响应能力。该框架还对实施提出了相当细致的要求。从而对信息安全的概念和相关技术的形成将会产生重大影响。中国2003年发布了国家信息领导小组关于信息安全保障工作意见，是国家把信息安全提到战略高度的指导性文件，但不是技术规范。就字面上讲，是

11、信息安全保障，而不是信息保障，并增加了关于信息的可控性要求。1.1.5信息保障美国信息保障技术框架的推进，使人们对信息安1.2 信息安全的概念和目标1.2.1信息安全的定义 信息安全的概念随着网络与信息技术的发展不断地发展，其含义也在动态的变化。1970年前：计算机系统中的数据泄漏控制和通信系统中数据的保密199x年：保密性、完整性和可用性来衡量信息安全的。局限性： 这种安全概念仍然停留在“数据”的层面上 1.2 信息安全的概念和目标1.2.1信息安全的定义1.2.1信息安全的定义信息数据 我们发现不断增长的网络应用中所包含的内容远远不能用“数据”一词来概括。例：在用户之间进行身份识别的过程中

12、，虽然形式上是通过数据的交换实现，但等身份识别的目的达到以后，交换的中间数据就变得毫无用处了。我们如果仅仅通过逐包保护这些交换数据的安全是不充分的，原因是这里传递的是身份“信息”而不是身份“数据”。还可以举出很多其他例子来说明仅仅考虑数据安全是不够的。这使我们注意到信息安全与数据安全相比有了实质性的扩展。 1.2.1信息安全的定义信息数据1.2.1信息安全的定义定义 信息安全是研究在特定的应用环境下，依据特定的安全策略，对信息及其系统实施防护、检测和恢复的科学。 这里安全策略表示人们在特定应用环境下对信息安全的要求。 该定义明确了信息安全的保护对象、保护目标和方法，下面将围绕这一定义加以说明。

13、 1.2.1信息安全的定义定义1.2.2信息安全的目标和方法信息安全的保护对象：信息及其系统安全目标：由安全策略定义。安全策略是怎样规定安全目标的呢？信息系统的安全策略是由一些具体的安全目标组成的。不同的安全策略表现为不同的安全目标的集合。安全目标通常被描述为“允许谁怎样使用系统中的哪种资源”、“不允许谁怎样使用系统中的哪种资源”或事务实现中各“参与者的行为规则是什么”等。安全目标有时候称为安全服务或安全功能 1.2.2信息安全的目标和方法信息安全的保护对象：信息及其系1.2.2信息安全的目标和方法安全目标分类： 数据安全、事务安全、系统安全（包括网络系统与计算机系统安全）三类。数据安全主要涉

14、及数据的机密性与完整性；事务安全主要涉及身份识别、抗抵赖等多方计算安全；系统安全主要涉及身份识别、访问控制、可用性。1.2.2信息安全的目标和方法安全目标分类：1.2.2信息安全的目标和方法 安全策略中的安全目标通过一些方法、工具和过程来实现，这些方法称为安全机制。安全机制分类： 防护、检测、恢复防护机制包括密码技术（指加密、身份识别、消息鉴别、数字签名）、访问控制技术、通信量填充、路由控制、信息隐藏技术等；检测机制则包括审计、验证技术、入侵检测、漏洞扫描等；恢复机制包括状态恢复、数据恢复等。1.2.2信息安全的目标和方法 安全策略中的安全目标通过一些1.2.2信息安全的目标和方法图1.1安全

15、机制、安全目标关系图安全机制安全目标事务安全数据安全系统安全防护检测恢复1.2.2信息安全的目标和方法图1.1安全机制、安全目标关系作业 1信息安全中安全目的为什么分成系统安全、数据安全和事务安全？试各举一例说明他们的差异。2试描述安全检测与恢复的含义。3. 两个用户建立通信的过程中需要考虑哪种安全目标？通信过程的数据传送过程中需要考虑哪些安全目标？ 作业 1信息安全中安全目的为什么分成系统安全、数据安全和事1.3 安全威胁与技术防护知识体系三类安全目标之间的层次关系 下层的安全为上层的安全提供一定的保障（assurance），但不提供安全服务。 在实现上层的安全性中经常需要下层的安全做基础，

16、但上层的安全不能指望对下层的功能调用来实现，需要用专门的安全机制实现。图1.2系统安全、数据安全、事务安全层次图事务安全数据安全网络安全计算机安全1.3 安全威胁与技术防护知识体系三类安全目标之间的层次关系 1.3.1计算机系统中的安全威胁内部网网络计算机计算机系统指用于信息存储、信息加工的设施。计算机系统一般是指具体的计算机系统，但是我们有时也用计算机系统来表示一个协作处理信息的内部网络。后者有时被称为网络计算机。单台计算机 1.3.1计算机系统中的安全威胁内部网网络计算机计算机系 1假冒攻击假冒是指某个实体通过出示伪造的凭证来冒充别人或别的主体，从而攫取了授权用户的权利。身份识别机制本身的

17、漏洞，以及身份识别参数在传输、存储过程中的泄漏通常是导致假冒攻击的根源。例如假冒者窃取了用户身份识别中使用的用户名口令后，非常容易欺骗身份识别机构，达到假冒的目的。假冒成功后，典型的情形是先改写授权数据，然后利用这些信息来进行非授权访问。一旦获得非授权访问，造成的损坏程度就要由入侵者的动机来决定了。如果幸运的话，入侵者可能只是电脑空间中一名好奇的漫游者。但大多数人不会那么幸运，他们的机密信息通常都会被窃取或破坏。 分为: 重放 伪造 代替 1假冒攻击假冒是指某个实体通过出示伪造的凭证来冒充别人或 2旁路攻击旁路攻击是指攻击者利用计算机系统设计和实现中的缺陷或安全上的脆弱之处，获得对系统的局部或

18、全部控制权，进行非授权访问。例如缓冲区溢出攻击，就是因为系统软件缺乏边界检查，使得攻击者能够激活自己预定的进程，从而获得对计算机的超级访问权限。旁路攻击一旦获得对系统的全部控制权，所带来的损失将是不可低估的。 2旁路攻击旁路攻击是指攻击者利用计算机系统设计和实现中的 3非授权访问非授权访问是指未经授权的实体获得了访问网络资源的机会，并有可能篡改信息资源。假冒攻击和旁路攻击通过欺骗或旁路获得访问权限，而非授权访问则是假冒和旁路攻击的最终目的。另一方面，如果非法用户通过某种手段获得了对用户注册信息表、计算机注册表信息的非授权访问，则它又成为进一步假冒或旁路攻击的基础。 3非授权访问非授权访问是指未

19、经授权的实体获得了访问网络资4拒绝服务拒绝服务攻击目的是摧毁计算机系统的部分乃至全部进程，或者非法抢占系统的计算资源，导致程序或服务不能运行，从而使系统不能为合法用户提供正常的服务。目前最有杀伤力的拒绝服务攻击是网络上的分布式拒绝服务（DDOS）攻击。4拒绝服务拒绝服务攻击目的是摧毁计算机系统的部分乃至全部进 5恶意程序计算机系统受到上述类型的攻击可能是非法用户直接操作实现的，也可能是在通过恶意程序如木马、病毒和后门实现的。分为: 木马 病毒 后门 5恶意程序计算机系统受到上述类型的攻击可能是非法用户直接5恶意程序（1）特洛伊木马特洛伊木马（Trojan horse）是指伪装成有用的软件，当它

20、被执行时，往往会启动一些隐藏的恶意进程，实现预定的攻击。例如木马文本编辑软件，在使用中用户不易觉察它与一般的文本编辑软件有何不同。但它会启动一个进程将用户的数据拷贝到一个隐藏的秘密文件中，植入木马的攻击者可以阅读到那个秘密文件。同样，我们可以设想随意从网上或他处得来的一个非常好玩的游戏软件，里面植入了木马进程，当管理员启动这个游戏，则该进程将具有管理员的特权，木马将有可能窃取或修改用户的口令，修改系统的配置，为进一步的攻击铺平道路。5恶意程序（1）特洛伊木马5恶意程序（2）病毒病毒和木马都是恶意代码，但它本身不是一个独立程序，它需要寄生在其他文件中，通过自我复制实现对其它文件的感染。病毒的危害

21、有两个方面，一个是病毒可以包含一些直接破坏性的代码，另一方面病毒传播过程本身可能会占用计算机的计算和存储资源，造成系统瘫痪。5恶意程序（2）病毒5恶意程序（3）后门后门是指在某个文件或系统中设置一种机关，使得当提供一组特定的输入数据时，可以不受安全访问控制的约束。例如，一个口令登录系统中，如果对于一个特殊的用户名不进行口令检查，则这个特殊的用户名就是一个后门。后门的设置可能是软件开发中为了调试方便，但后来忘记撤除所致，也可能是软件开发者有意留下的。 上面对计算机可能存在的一些攻击作了描述。5恶意程序（3）后门对计算机攻击的原因分析1.系统在身份识别协议、访问控制安全措施方面存在弱点，不能抵抗恶

22、意使用者的攻击；2.系统设计和实现中有未发现的脆弱性，恶意使用者利用了这些脆弱性。对计算机攻击的原因分析 1.3.2网络系统中的安全威胁计算机网络系统是实现计算机之间信息传递或通信的系统，它通过网络通信协议（如TCP/IP协议）为计算机提供了新的访问渠道。网络环境同时还增加了对路由器、交换机等网络设备和通信线路的保护要求。处于网络中的计算机系统除了可能受到上小节提到的各种威胁外，还可能会受到来自网络中的威胁。此外，网络交换或网络管理设备、通信线路可能还会受到一些仅属于网络安全范畴的威胁。主要威胁可列举如下： 1.3.2网络系统中的安全威胁计算机网络系统是实现计算机之 1截获/修改攻击者通过对网

23、络传输中的数据进行截获或修改，使得接收方不能收到数据或收到代替了的数据，从而影响通信双方的数据交换。这种攻击通常是为了达到假冒或破坏的目的。 1截获/修改攻击者通过对网络传输中的数据进行截获或修改，2插入/重放攻击者通过把网络传输中的数据截获后存储起来并在以后重新传送，或把伪造的数据插入到信道中，使得接收方收到一些不应当收到的数据。这种攻击通常也是为了达到假冒或破坏的目的。但是通常比截获/修改的难度大，一旦攻击成功，危害性也大。2插入/重放攻击者通过把网络传输中的数据截获后存储起来并在3服务欺骗服务欺骗是指攻击者伪装成合法系统或系统的合法组成部件，引诱并欺骗用户使用。这种攻击常常通过相似的网址

24、、相似的界面欺骗合法用户。例如，攻击者伪装为网络银行的网站，用各种输入提示，轻易骗取用户的如用户名、口令等重要数据，从而直接盗取用户账户的存款。3服务欺骗服务欺骗是指攻击者伪装成合法系统或系统的合法组成 4窃听和数据分析窃听和数据分析是指攻击者通过对通信线路或通信设备的监听，或通过对通信量（通信数据流）的大小、方向频率的观察，经过适当分析，直接推断出秘密信息, 达到信息窃取的目的。 4窃听和数据分析窃听和数据分析是指攻击者通过对通信线路或5网络拒绝服务网络拒绝服务是指攻击者通过对数据或资源的干扰、非法占用、超负荷使用、对网络或服务基础设施的摧毁，造成系统永久或暂时不可用，合法用户被拒绝或需要额

25、外等待，从而实现破坏的目的。许多常见的拒绝服务攻击都是由网络协议(如IP协议)本身存在的安全漏洞和软件实现中考虑不周共同引起的。例如TCP SYN攻击，利用了TCP连接需要分配内存，多次同步将使其他连接不能分配到足够的内存，从而导致了系统的暂时不可用。计算机系统受到上述类型的攻击可能是黑客或敌手操作实现的，也可能是网络蠕虫或其他恶意程序造成的。5网络拒绝服务网络拒绝服务是指攻击者通过对数据或资源的干扰对网络攻击的原因分析1.网络通信线路经过不安全区域，并且使用了公开的标准通信协议，使得非法窃听和干扰比传统的通信场合更容易实施；2.在网络环境下身份识别协议更加重要，但比单机环境下更难实现；3.网

26、络通信系统设计和实现中未发现的脆弱性更多，攻击者更容易利用这些脆弱性。对网络攻击的原因分析1.网络通信线路经过不安全区域，并且使用 1.3.3 数据的安全威胁数据是网络信息系统的核心。计算机系统及其网络如果离开了数据，就像失去了灵魂的躯壳，是没有价值的。无论是上面提到的敌手对计算机系统的攻击或是对网络系统的攻击，其目标无非是针对上面承载的信息而来的。这些攻击对数据而言，目标实际上有三个：截获秘密数据、伪造数据或在上述攻击不能奏效的情况下，破坏数据的可用性。数据安全的攻击与防御是信息安全的主要课题，也是本书的重点。 1.3.3 数据的安全威胁数据是网络信息系统的核心。计算机对网络攻击的原因分析1

27、.处理和传输数据的计算机及网络有弱点。2.对数据的存储保护不当。3.对数据的传输过程保护不够。对网络攻击的原因分析1.处理和传输数据的计算机及网络有弱点。1.3.4 事务安全威胁事务概念介绍 ：事务（transaction）的概念首先出现在数据库管理系统中，表示作为一个整体的一组操作，它们应当顺序地执行，仅仅完成一个操作是无意义的。而且在一个事务全部完成后，甚至遇到系统崩溃的情形，操作结果不能丢失。系统还必须允许多个事务的并行执行。实际上，在几乎所有的信息系统中事务都是最基本的概念。例如，在网上转账协议中，从一个账户上转出一笔资金，同时转入另一个账户就是一个事务。仅仅完成其中的一个操作是不允许

28、的。几乎所有的网络应用协议都可以看成是由一个一个的事务组成。 1.3.4 事务安全威胁事务概念介绍 ：1.3.4 事务安全威胁事务满足的ACID性质 原子性（atomicity）一致性（consistency）孤立性（isolation）持续性（durability）一组动作要么全部执行，要么全部不执行一个应用系统可能会设置若干一致性条件，事务执行后应当保持一致性当两个以上的事务同时执行时，它们的执行的结果应当是独立的一个事务完成后，其结果不应当丢失，甚至遇到系统崩溃的情形1.3.4 事务安全威胁事务满足的ACID性质 一组动作要么1.3.4 事务安全威胁1字典攻击字典攻击最早出现在对网络口令识别协议攻击中。虽然在事务（协议）交互中没有出现口令的明文，但因口令的变化量太小，攻击者可以构造一本可能出现口令的字典，然后逐个验证