信息系统安全概述

第十章信息系统安全概述主讲：蔡伟鸿汕头大学工学院计算机系一、网络信息系统是脆弱的主要原因：网络的开放性。组成网络的通信系统和信息系统的自身缺陷。黑客（hacker）及病毒等恶意程序的攻击。有害程序计算机病毒能够利用系统进行自我复制和传播，通过特定事件触发是一种有害程序；传统病毒：引导型、文件型、宏病毒；邮件病毒。程序后门绕开系统的安全检查，直接的程序入口，通常是由程序设计人员为各种目的预留的。特洛伊木马冒充正常程序的有害程序，不能自我复制和传播，当用户试图运行的时候将造成破坏。程序炸弹是由程序员采用编程触发的方式触发，造成破坏。细菌本身没有强烈的破坏性，但通过自我复制，耗尽系统资源。有害程序+网络网络的出现改变了病毒的传播方式几何级数式的传播。扩大了危害范围。增强了攻击的破坏力。主要病毒震荡波(Worm.Sasser)2004-05-19QQ病毒2004-05-17冲击波(Worm.Blaster)2004-05-17网络天空(Worm.Netsky)2004-04-26爱情后门(Worm.LovGate)2004-04-26莫国防(Win32.Mgf)2004-03-24SCO炸弹(Worm.Novarg)2004-03-04恶鹰（Worm.BBeagle）2004-03-04小邮差“专杀工具2004-02-04劳拉(Win32.Xorala)2003-12-25MSN射手(Worm.Smibag)2003-09-29斯文(Worm.Swen)2003-09-19V宝贝(Win32.Worm.BabyV)2003-09-19布莱尔(Worm.Blare)2003-09-08911(Worm.Neroma)2003-09-08别惹我(Worm.Roron)2003-08-21大无极(Worm.Sobig)2003-08-20怪物（Worm.Bugbear）2003-06-16墨菲（Trojan.Mofei）2003-06-16泡沫人(Worm.P2p.Fizzer)2003-05-22猜谜者(Worm.Dvldr)2003-03-14红色结束符(Redlof)2003-03-21WYX引导区2003-05-222003蠕虫王(Worm.NetKiller2003)2003-01-26阿芙伦(Worm.Avron)2003-01-17

免费下载硬盘杀手(Worm.Opasoft)2002-12-31求职信(Worm.Klez)2002-08-29CIH2002-04-20Sircam(W32.Sircam.Worm)2001-07-24网络信息系统的主要威胁从协议层次看，常见主要威胁：物理层：窃取、插入、删除等，但需要一定的设备。数据链路层：很容易实现数据监听。网络层：IP欺骗等针对网络层协议的漏洞的攻击。传输层：TCP连接欺骗等针对传输层协议的漏洞的攻击。应用层：存在认证、访问控制、完整性、保密性等所有安全问题。上下层的数据流关系┌──────┐│(N)-PDU│N层└──┬───┘N与N-1接口──────────────┼────────────┌───┐┌──┴───┐│(N-1)││(N-1)││PCI││-SDU│└─┬─┘└──┬───┘└────┐│┌──┴┬─────┴──────┐│(N-1)│(N-1)-SDU│(N-1)-PDU│PCI││(N-1)层└───┴────┬───────┘─────────────┼──────────────┌─────┴────┐(N-2)层│(N-2)--SDU│└──────────┘接口(N-1)-PCI+(N-1)-SDU=(N-1)-PDU─→(N-2)-SDU攻击的种类《信息保障技术框架（IATF）》3.0版中将攻击分为以下5类：被动攻击。主动攻击。物理临近攻击。内部人员攻击。软硬件配装攻击。被动攻击是在未经用户同意和认可的情况下将信息或数据文件泄露给系统攻击者，但不对数据信息做任何修改。常见手段：搭线监听；无线截获；其他截获。不易被发现。重点在于预防，如使用虚拟专用网（VPN）、采用加密技术保护网络以及使用加保护的分布式网络等。主动攻击涉及某些数数据流的篡篡改或虚假假流的产生生。通常分为：：假冒；重放；篡改消息；；拒绝服务。。能够检测出出来。不易有效防防止，具体体措施包括括自动审计计、入侵检检测和完整整性恢复等等。二、安全目标系统安全的的目标保护计算机机和网络系系统中的资资源免受破破坏、窃取取和丢失计算机；网络设备；；存储介质；；软件和程序序；各种数据；；数据库；通信资源：：信道、端端口、带宽宽……；……。归根结底，，其最终目目标是保护护信息的安安全。各种安全技技术都围绕绕着信息安全的核心。网络信息系系统安全的的基本需求求保密性(Confidentiality)信息不泄露露给非授权权用户/实体/过程，不被被非法利用用。完整性(Integrity)数据未经授授权不能进进行改变的的特性，即即信息在存存储或传输输过程中保保持不被修修改、不被被破坏和丢丢失。可用性性(Availability)可被授授权实实体访访问并并按需需求使使用的的特性性，即即当需需要时时总能能够存存取所所需的的信息息。网络环环境下下，拒拒绝服服务、、破坏坏网络络和有有关系系统的的正常常运行行等都都属于于对可可用性性的攻攻击。。可控性性(Controllability)对信息息的传传播及及内容容具有有控制制能力力。不可否否认性性（抗抗否性性non-repudiation）发送者者不能能否认认其发发送的的信息息。安全服服务ISO7498-2中的安安全服服务五大类类可选选的安安全服服务：鉴别（（Authentication）包括对对等实实体鉴鉴别和和数据据源鉴鉴别；；访问控控制（（AccessControl）；数据保保密（（DataConfidentiality）；数据完完整性性（DataIntegrity）；不可否否认（（Non-Repudiation）。安全服服务的的实施施位置置应用层层提供供安全全服务务的特特点只能在在通信信两端端的主主机系系统上上实施施。优点：：安全策策略和和措施施通常常是基基于用用户制制定的的；对用户户想要要保护护的数数据具具有完完整的的访问问权，，因而而能很很方便便地提提供一一些服服务；；不必依依赖操操作系系统来来提供供这些些服务务；对数据据的实实际含含义有有着充充分的的理解解。缺点：：效率太太低；；对现有有系统统的兼兼容性性太差差；改动的的程序序太多多，出出现错错误的的概率率大增增，为为系统统带来来更多多的安安全漏漏洞。。传输层层提供供安全全服务务的特特点只能在在通信信两端端的主主机系系统上上实施施。优点：：与应应用层层安全全相比比，在在传输输层提提供安安全服服务的的好处处是能能为其其上的的各种种应用用提供供安全全服务务，提提供了了更加加细化化的基基于进进程对对进程程的安安全服服务，，这样样现有有的和和未来来的应应用可可以很很方便便地得得到安安全服服务，，而且且在传传输层层的安安全服服务内内容有有变化化时，，只要要接口口不变变，应应用程程序就就不必必改动动。缺点：：由于于传输输层很很难获获取关关于每每个用用户的的背景景数据据，实实施时时通常常假定定只有有一个个用户户使用用系统统，所所以很很难满满足针针对每每个用用户的的安全全需求求。网络层层提供供安全全服务务的特特点在端系系统和和路由由器上上都可可以实实现。。优点：：主要优优点是是透明明性，，能提提供主主机对对主机机的安安全服服务，，不要要求传传输层层和应应用层层做改改动，，也不不必为为每个个应用用设计计自己己的安安全机机制；；其次是是网络络层支支持以以子网网为基基础的的安全全，子子网可可采用用物理理分段段或逻逻辑分分段，，因而而可很很容易易实现现VPN和内联联网，，防止止对网网络资资源的的非法法访问问；第三个个方面面是由由于多多种传传送协协议和和应用用程序序可共共享由由网络络层提提供的的密钥钥管理理架构构，密密钥协协商的的开销销大大大降低低。缺点：：无法实实现针针对用用户和和用户户数据据语义义上的的安全全控制制。数据链链路层层提供供安全全服务务的特特点在链路路的两两端实实现。。优点：：整个分分组（（包括括分组组头信信息））都被被加密密，，保密密性强强。缺点：：使用范范围有有限。。只有有在专专用链链路上上才能能很好好地工工作，，中中间不不能有有转接接点。。安全机机制ISO7498-2中的八八类安安全机机制加密机机制（（Encryption）；数字签签名机机制（（DigitalSignatureMechanisms）；访问控控制机机制（（AccessControlMechanisms）；数据完完整性性机制制（DataIntegrityMechanisms）；鉴别交交换机机制（（AuthenticationMechanisms）；通信业业务填填充机机制（（TrafficPaddingMechanisms）；路由控控制机机制（（RoutingControlMechanisms）；公证机机制（（NotarizationMechanisms）。安全服服务与与安全全机制制的关关系机制\服务机密性完整性鉴别访问控制不可否认加密YYY--数字签名-YY-Y访问控制---Y-数据完整性-Y--Y鉴别--Y--业务填充Y----路由控制Y----公证----Y三、安安全策策略安全策策略是是指在在一个个特定定的环环境中中，为为保证证提供供一定定级别别的安安全保保护所所必须须遵守守的规规则。。系统安安全策策略将将决定定采用用何种种方式式和手手段来来保证证安全全。一些具具体策策略：：采用什什么样样的安安全保保障体体系；；确定网网络资资源的的职责责划分分；制定使使用规规则；；制定日日常维维护规规程；；确定在在检测测到安安全问问题或或系统统遭到到破坏坏时应应采用用什么么样的的相应应措施施。四、信息系系统安安全评评估标标准美国TCSEC(桔皮书书)该标准准是美美国国国防部部制定定80年代的的。它它将安安全分分为4个方面面:安全政政策、、可说说明性性、安安全保保障和和文档档。在在美国国国防防部虹虹系列列(RainbowSeries)标准中中有详详细的的描述述。该该标准准将以以上4个方面面分为为7个安全全级别别,从低到到高依依次为为D、C1、C2、B1、B2、B3和A级：A级：绝绝对可可信网网络安安全；；B级：完完全可可信网网络安安全（（B1、B2、B3）；C级：可可信网网络安安全（（C1、C2）；D级：不不可信信网络络安全全。问题：：以保保密和和单点点机为为主。。--欧洲ITSEC与TCSEC不同,它并不不把保保密措措施直直接与与计算算机功功能相相联系系,而是只叙叙述技术术安全的的要求,把保密作作为安全全增强功功能。另另外,TCSEC把保密作作为安全全的重点点,而ITSEC则把完整整性、可可用性与与保密性性作为同同等重要要的因素素。ITSEC定义了从从E0级(不满足品品质)到E6级(形式化验验证)的7个安全等等级,对于每个个系统,安全功能能可分别别定义。。ITSEC预定义了了10种功能,其中前5种与桔皮皮书中的的C1-B3级非常相相似。加拿大CTCPEC该标准将将安全需需求分为为4个层次:机密性、、完整性性、可靠靠性和可可说明性性。对产产品和评评估过程程强调功功能和保保证。分分为7个保证级级，通常常称为EAL-1到EAL-7。美国联邦邦准则(FC)该标准参参照了CTCPEC及TCSEC,其目的是是提供TCSEC的升级版版本,同时保护护已有投投资,但FC有很多缺缺陷,是一个过过渡标准准,后来结合合ITSEC发展为联联合公共共准则CC。信息技术术安全评评价通用用准则(CC)CC的目的是是想把已已有的安安全准则则结合成成一个统统一的标标准。该该计划从从1993年开始执执行,1996年推出第第一版。。CC结合了FC及ITSEC的主要特特征,它强调将将安全的的功能与与保障（（安全功功能的可可信度））分离,并将功能能需求分分为11类63族,将保障分分为7类29族。99.7通过国际际标准化化组织认认可,为ISO/IEC15408信息技术术安全评评估准则则。--ISO安全体系系结构标标准在安全体体系结构构方面,ISO制定了国国际标准准ISO7498-2-1989《信息处理理系统开开放系统统互连基基本参考考模型第第2部分安全全体系结结构》。该标准准为开放放系统互互连(OSI)描述了基基本参考考模型,为协调开开发现有有的与未未来的系系统互连连标准建建立起了了一个框框架。其其任务是是提供安安全服务务与有关关机制的的一般描描述,确定在参参考模型型内部可可以提供供这些服服务与机机制的位位置。四、信息系统统安全评评估标准准信息保障障技术框框架(IATF)。。安全观点点的演变变：信息保障障技术框框架(IATF)企图解决决什么问问题怎样定义义信息保保护需求求和解决决方案？？现有的何何种技术术能够满满足我的的保护需需求？什么样的的机构资资源能够够帮助找找到所需需的保护护？当前有哪哪些信息息保障产产品和服服务市场场?对IA方法和技技术的研研究关注注点应放放在哪里里？信息保障障的原则则是什么么？提出了““深度保卫卫战略”原则和和“信息系统统安全工工程”的概念念。深度保卫卫战略的的原则人技术操作

培训意识培养物理安全人事安全系统安全管理

深度保卫技术框架领域

安全标准

IT/IA采购

风险评估

认证和授权

评估监视入侵检测

警告响应恢复五、通信信服务提提供者系系统的安安全模型型计算机安安全参考考模型通信服务务使用者者系统的的安全模模型加密的一一般模型型加密功能能的实施施方式两种基本本方式：：链到链加加密；端到端加加密。六、加密密方式－－－链到链加加密方式式在物理层层或数据据链路层层实施加加密机制制。－－链到到链加密密方式优点：主机维护护加密设设施，易易于实现现，对用用户透明明；能提供流流量保密密性；密钥管理理简单；；可提供主主机鉴别别；加/解密是在在线。缺点：数据仅在在传输线线路上是是加密；；开销大；；每段链路路需要使使用不同同的密钥钥。－－端到到端加密密方式－－端到到端加密密方式优点：在发送端端和中间间节点上上数据都都是加密密的，安安全性好好；能提供用用户鉴别别；提供了更更灵活的的保护手手段。缺点：不能提供供流量保保密性；；密钥管理理系统复复杂；加密是离离线的。。两者的结结合七、主要要的网络络安全防火墙技技术漏洞扫描描技术入侵检测测技术虚拟专用用网VPN技术术１、防火火墙技术术定义为：：“设置置在两个个或多个个网络之之间的安安全阻隔隔，用于于保证本本地网络络资源的的安全，，通常是是包含软软件部分分和硬件件部分的的一个系系统或多多个系统统的组合合”。基本工作作原理是是在可信信任网络络的边界界（即常常说的在在内部网网络和外外部网络络之间，，我们认认为内部部网络是是可信任任的，而而外部网网络是不不可信的的）建立立起网络络控制系系统，隔隔离内部部和外部部网络，，执行访访问控制制策略，，防止外外部的未未授权节节点访问问内部网网络和非非法向外外传递内内部信息息，同时时也防止止非法和和恶意的的网络行行为导致致内部网网络的运运行被破破坏。基本思想想不是对对每台主主机系统统进行保保护，而而是让所所有对系系统的访访问通过过某一点点，并且且保护这这一点，，并尽可可能地对对外界屏屏蔽被保保护网络络的信息息和结构构。代理服务务器防火火墙的工工作原理理２、隐患患扫描技技术基本原理理：采用用模拟黑黑客攻击击的形式式对目标标可能存存在的已已知安全全漏洞和和弱点进进行逐项项扫描和和检查，，根据据扫描结结果向系系统管理理员提供供周密可可靠的安安全性分分析报告告。目标可以以是工作作站、服服务器、、交换机机、数据据库应用用等各种种对象。。能自动发发现网络络系统的的弱点。。系统的安安全弱点点就是它它安全防防护最弱弱的部分分，容易易被入侵侵者利用用。３、入侵侵检测技术定义通过从计计算机网网络和系系统的若若干关键键点收集集信息并并对其进进行分析析，从中中发现网网络或系系统中是是否有违违反安全全策略的的行为或或遭到入入侵的迹迹象，并并依据既既定的策策略采取取一定的的措施。。三部分内内容：信息收集集；信息分析析；响应。通用入侵侵检测系系统模型型４、虚拟拟专用网网VPN采用加密密和认证证技术，，利用公公共通信信网络设设施的一一部分来来发送专专用信息息，为相相互通信信的节点点建立起起的一个个相对封封闭的、、逻辑上上的专用用网络。。通常用于于大型组组织跨地地域的各各个机构构之间的的联网信信息交换换，或是是流动工工作人员员与总部部之间的的通信。。只允许特特定利益益集团内内可以建建立对等等连接，，保证在在网络中中传输的的数据的的保密性性和安全全性。目标是在在不安全全的公共共网络上上建立一一个安全全的专用用通信网网络。IPVPN的的基本本信息处处理过程程VPN的的主要技技术隧道技术术（Tunneling）。加解密技技术（Encryption&Decryption）。密钥管理理技术（（KeyManagement）。使用者与与设备身身份鉴别别技术（（Authentication）。9、静夜夜四无无邻，，荒居居旧业业贫。。。12月月-2212月月-22Thursday,December29,202210、雨中黄黄叶树，，灯下白白头人。。。03:49:0603:49:0603:4912/29/20223:49:06AM11、以以我我独独沈沈久久，，愧愧君君相相见见频频。。。。12月月-2203:49:0603:49Dec-2229-Dec-2212、故人江海海别，几度度隔山川。。。03:49:0603:49:0603:49Thursday,December29,202213、乍乍见见翻翻疑疑梦梦，，相相悲悲各各问问年年。。。。12月月-2212月月-2203:49:0603:49:06December29,202214、他乡生生白发，，旧国见见青山。。。29十十二月20223:49:06上午午03:49:0612月-2215、比不了得得就不比，，得不到的的就不要。。。。十二月223:49上上午12月-2203:49December29,202216、行动出出成果，，工作出出财富。。。2022/12/293:49:0603:49:0629December202217、做前，能能够环视四四周；做时时，你只能能或者最好好沿着以脚脚为起点的的射线向前前。。3:49:06上上午3:49上上午03:49:0612月-229、没有有失败败，只只有暂暂时停停止成成功！！。12月月-2212月月-22Thursday,December29,202210、很很多多事事情情努努力力了了未未必必有有结结果果，，但但是是不不努努力力却却什什么么改改变变也也没没有有。。。。03:49:0603:49:0603:4912/29/20223:49:06AM11、成功就是是日复一日日那一点点点小小努力力的积累。。。12月-2203:49:0603:49Dec-2229-Dec-2212、世间成事事，不求其其绝对圆满满，留一份份不足，可可得无限完完美。。03:49:0603:49:0603:49Thursday,December29,202213、不不知知香香积积寺寺，，数数里里入入云云峰峰。。。。12月月-2212月月-2203:49:0603:49:06December29,202214、意志坚强强的人能把把世界