数据库引论课件

信息系统安全教程课件电子邮件：信息系统安全教程

张基温

著

基本内容引论数据保密认证——数据认证、身份认证访问控制入侵与攻击网络防卫安全管理0.1信息系统风险系统风险是指系统遭受意外损失的可能性，它主要来自系统可能遭受的各种威胁、系统本身的脆弱性以及系统对于威胁的失策。信息已经有多种的解释认识论：把信息看作不确定性的减少或传递中的知识差（degreeofknowledge）哲学界：信息是以传递知识差的形式来减少不确定性、增加系统有序度的资源。0.1.1信息系统及其重要性信息系统信息系统就是一种减少不确定性、减少风险的工具。信息系统就是一种开发信息资源的工具，是信息以及用于信息的采集、传输、存储、管理、检索和利用等工具的有机整体。按照威胁的来源分类（1）自然灾害威胁（2）滥用性威胁（3）有意人为威胁按照作用对象分类（1）针对信息的威胁机密性（confidentiality）完整性（integrity）可用性（availability）真实性（authenticity）因此，针对信息（资源）的威胁可以归结为三类：信息破坏：非法取得信息的使用权，删除、修改、插入、恶意添加或重发某些数据，以影响信息正常用户的正常使用。信息泄密：故意或偶然地非法侦收、截获、分析某些信息系统中的信息，造成系统数据泄密。假冒或否认：假冒某一可信任方进行通信或者对发送的数据事后予以否认。（2）针对系统的威胁包括对系统硬件的威胁和对系统软件的威胁。按照方法的分类（1）信息泄露在传输中被利用电磁辐射或搭接线路的方式窃取；授权者向未授权者泄露存储设备被盗窃或盗用；未授权者利用特定的工具捕获网络中的数据流量、流向、数据长度等数据进行分析，从中获取敏感信息。（2）扫描（scan）扫描是利用特定的软件工具向目标发送特制的数据包，对响应进行分析，以了解目标网络或主机的特征。（3）入侵（intrusion）旁路控制假冒口令破解合法用户的非授权访问0.1.3信息系统安全的脆弱性信息系统脆弱性的根源（1）基于信息属性的本源性脆弱（2）基于系统复杂性的结构性脆弱（3）基于攻防不对称性的普通性脆弱基于信息属性的本源性脆弱依附性和多质性：依附于物质及其运动过程，随着它所依附的物质及其运动方式的不同，形成信息的多媒体性质——多质性。非消耗性：不像物质和能量那样会在传输、存储和使用中被消耗。可共享性/可重用性：信息不像物质和能量那样具有独占性，它容易被复制、被共享。聚变性和增值性：信息对于不确定性的减少，具有1+1不等于2的性质，即多个相关信息一起作用可能会大于（也可能小于）单个信息被分别获取所起的作用，而且在信息的使用过程中，不仅不会被消耗，还会被增值，形成消除更多不确定性的信息。易伪性：由于多质性，使信息很容易被伪造、被篡改、被破坏。基于攻防不对称性的普通性脆弱攻击可以在任意时刻发起，防御必须随时警惕；攻击可以选择一个薄弱点进行，防御必须全线设防；攻击包含了对未知缺陷的探测，防御只能对已知的攻击防御；攻击常在暗处，具隐蔽性，防御常在明处，表面看起来完美，使人容易疏忽，丧失警惕；攻击可以肆意进行，防御必须遵循一定的规则。基于网络的开放和数据库共享的应用性脆弱现代信息系统是基于信息处理和信息传输技术的。现代信息处理中重要的支撑技术是数据库技术，现代通信技术的支撑是电磁通信和计算机网络。而数据库的共享性、电磁通信的易攻击性和计算机网络的开放性，都使信息系统显得非常脆弱。信息系统脆弱性的表现（1）芯片的安全脆弱性（2）操作系统安全漏洞下面列举操作系统脆弱性的一些共性：后门式漏洞。“补丁”式漏洞。远程创建进程式漏洞。0.2信息系统安全概念0.2.1基于通信保密的信息系统安全概念0.2.2基于信息系统防护的信息系统安全概念0.2.3基于信息保障的信息系统安全概念0.2.1基于通信保密的信息系统安全概念早期的信息保密2.计算机时代的信息保密Enigma加密机0.2.2基于信息系统防护的信息系统安全概念具体目标：系统保护：对设施或技术系统的可靠性、完整性和可用性保护；信息内容保护：保护系统中数据的机密性、完整性、可用性。这个概念的形成经历了两个阶段：计算机安全这一时代的标志是1970年美国国防科学委员会提出，并于1985年12月美国国防部（DoD）公布的可信计算机系统评价准则（TCSEC，橘皮书）。它将计算机的安全分为4个方面（安全策略、可说明性、安全保障和文档）、7个等级（D、C1、C2、B1、B2、B3、A1）。A1级别最高。0.2.3基于信息保障的信息系统安全概念信息保障（Information

Assurace）的概念最初是由美国国防部长办公室提出来的后被写入命令《DoD

Directive

S-3600.1

Information

Operation》中，在1996年12月9日以国防部的名义发表，将信息安全的属性从过去的保密性、完整性、可用性，又增添了可验证性和不可否认性。但是，信息保障的思想应该说在这个命令的前一年，即1995年12月美国国防部提出的PDR模型中就已经体现出来了。可以说，信息保障的概念也是在PDR（protection–detection–response，防护—检测—响应）模型的不断完善中发展的。从被动防御走向主动防御从静态防御走向动态防御从技术与管理分离到技术与管理融合PDRR模型防护（Protect）、检测（Detect）、响应（React）、恢复（Restore）从被动到主动防御ＰＤＲ模型PDRR模型日本阪神大地震美国911事件时间是量化的，可以被计算。Ｐt是系统整体防护时间;Dt是检测时间;Rt是系统响应时间，再引入Et=暴露时间，则可以得到如下关系如果Pt>Dt+Rt，那么系统是安全的；如果Pt≤Dt+Rt，那么Et=（Dt+Rt）−Pt。从技术与管理分离到技术与管理融合PPDR模型信息安全保障要依赖于人、技术和管理三者共同完成，通过提高系统的预警能力、保护能力、检测能力、反应能力和恢复能力，在信息和系统生命周期全过程的各个状态下提供适当的安全功能。其中，管理的作用是非常突出的。管理是PPDR模型的核心，是整个信息系统安全的依据，是所有的保护、检测、响应的实施依据。强调安全策略的实质就是要充分考虑人的管理因素。0.2.4基于经济学的信息系统安全概念对于信息系统安全来说，需要考虑如下三个与经济有关的问题：系统资产：需要保护系统的哪些资源？这些被保护的资源统称系统资产。资产损失：明确系统被攻击成功时遭受的损失。投入：确定为保护系统安全需要投入的资金。1.资产（1）物理资源（2）信息资源（3）时间资源（4）人力资源（5）信誉（形象）资源2.资产损失3种情形：（1）一时性损失。如系统死机、人员不能工作、处理时间拖延等。（2）长期恢复损失。如信息资源的重新配置等，需要一定的时间。（3）潜在损失。损失内容：（1）资金损失：生产力损失；直接损失的设备和资金；调查成本；修复或更换设备付出的成本；专家咨询成本；员工加班的报酬等。（2）形象损失（3）业务损失（4）人员流失。3.安全投资安全强度高中低高中低侵入可能性安全投入平衡点安全强度高高中中低低较低侵入可能性安全投入平衡点1较高侵入可能性平衡点2（a）安全投入与侵入可能性的折中（b）平衡点的变化4.适度的安全适度的安全包含了如下3个安全概念：（1）不够安全：安全投入小于所减少的损失。（2）适度安全：安全投入等于所减少的损失。（3）过分安全：安全投入大于所减少的损失。0.3信息系统安全体系0.3.1OSI信息系统安全体系结构概述定义：信息系统安全体系是一个能为所保障对象提供可用性、机密性、完整性、不可抵赖性、可授权性的可持续系统。机制：

（1）风险分析（Risk）

（2）安全防护（Protect）

（3）安全检测（Detect）

（4）测试与评估（TestandEvaluate）

（5）应急响应（React）

（6）恢复（Restore）0.3.2OSI安全体系的安全服务1.认证服务通信的对等实体鉴别服务：使N+1层实体确信某一时刻与之建立连接或进行数据传输的是它需要的一个或多个N层实体。数据原发鉴别：使N+1层实体确信接收到的数据单元的来源是自己要求的。2.访问控制服务建立用户（主体）与资源（客体）之间的访问关系（如读、写、删除、运行等），防止对某一资源的非授权使用。3.机密性服务·连接机密性保护：保证一次（Ｎ）连接上的全部（Ｎ）用户数据都保护起来不使非授权泄露。·无连接机密性保护：为单个无连接的Ｎ层服务数据单元（N-SDU）中的全部N用户数据提供机密性保护。·选择字段机密性保护：仅对处于N连接的用户数据或无连接的N-SDU中所选择的字段提供机密性保护。·通信业务流机密性保护：提供机密性保护，并保护不能通过观察通信业务流推断出其中的机密信息。0.3.2OSI安全体系的安全服务0.3.2OSI安全体系的安全服务4.完整性服务带恢复的连接完整性服务；不带恢复的连接完整性服务；选择字段连接完整性服务；无连接完整性服务；选择字段无连接完整性服务。5.抗抵赖服务有数据原发证明的抗抵赖：防止发送方抵赖；有数据交付证明的抗抵赖：防止接收方抵赖。OSI安全体系结构中的安全服务配置安全服务协议层1234567对等实体鉴别YYY数据原发鉴别YYY访问控制YYY连接机密性YYYYYY无连接机密性YYYYY选择字段机密性Y通信业务流机密性YYY带恢复的连接完整性Y不带恢复的连接完整性YYY选择字段连接完整性Y无连接完整性YYY选择字段无连接完整性YYY有数据原发证明的抗抵赖Y有数据交付证明的抗抵赖Y0.3.3OSI安全体系的特定安全机制1.加密机制能为数据提供机密性，也能为通信业务流信息提供机密性，通常采用密码、信息隐藏等方法实现2.数字签名机制用以提供认证或抗抵赖服务，是基于密码体制的一种机制。3.访问控制机制数据机密性；数据完整性；可用性。4.完整性保护机制避免未授权的数据乱序、丢失、重放、插入以及篡改，具体技术有校验码（抗修改）、顺序号（防乱序）、时间标记（防重放、防丢失）等。5.通信业务流填充机制通信业务流填充机制是一种用于提供业务流机密性保护的反分析机制，它可以生成伪造的通信实例、伪造的数据单元或/和数据单元中伪造的数据，使攻击者难于从数据流量对通信业务进行分析。0.3.3OSI安全体系的特定安全机制0.3.3OSI安全体系的特定安全机制6.路由选择控制机制：可以动态的或预定的选择路由，以便只使用物理上安全的子网络、中继站或链路。例如：当检测到持续的攻击时，便指示网络服务提供者经别的路由建立连接；依据安全策略，可以禁止带有某些安全标记的数据通过某些子网络、中继站或链路；连接的发起者或无连接中数据的发送者，可以指定路由选择说明，以请求回避某些特定的子网络、中继站或链路。7.公证机制仲裁方式和判决方式。8.鉴别交换机制·鉴别信息：如口令、生物信息、身份卡等；·密码技术。鉴别技术的选用取决于使用环境。在许多场合下，还必须附加一些其他技术。如：·时间标记与同步时钟；·二次握手（对应单方鉴别）或三次握手（对应双方鉴别）；·抗否认机制：数字签名和公证机制。0.3.3OSI安全体系的特定安全机制OSI安全服务与安全机制之间的关系安全服务安全机制加密数字签名访问控制数据完整性鉴别交换通信业务填充路由选择控制公证对等实体鉴别YYY数据原发鉴别Y访问控制YY连接机密性YY无连接机密性YY选择字段机密性Y通信业务流机密性YYY带恢复的连接完整性YY不带恢复的连接完整性YY选择字段连接完整性YY无连接完整性YYY选择字段无连接完整性YYY有数据原发证明的抗抵赖YYY有数据交付证明的抗抵赖YYY0.3.4OSI安全体系的普遍性安全机制（1）1.安全标记机制显式的：校验码等与传送数据相连的附加数据。隐含的：加密数据中隐含着密钥约束。2.事件检测机制 指对那些与安全有关的事件进行检测。例如：对于特定安全侵害事件、特定选择事件、对事件发生次数计数溢出等的检测。这些检测，一般要引起一个或多个动作，如对事件的报告、记录以及恢复等。3.安全审计跟踪机制·记录可疑事件（可以产生一个安全报警）；·记录许多日常事件（如连接的建立和终止、使用安全机制和访问敏感资源等）；·将事件消息传递给维护日志；·为检查和调查安全的漏洞提供资料；·通过列举被记录的安全事件类型，对某些潜在的攻击起威慑作用。0.3.4OSI安全体系的普遍性安全机制（1）0.3.4OSI安全体系的普遍性安全机制（2）4.安全恢复机制立即动作：立即放弃操作（如断开连接）；暂时动作：使实体暂时无效（如关闭）；长期动作：把实体列入黑名单等。5.可信功能机制可信功能机制具有如下一些作用：延伸其他安全机制的范围或所建立的有效性。因为直接提供的安全机制或安全访问机制的任意功能都应当是可信的。提供对某些硬件和软件可信赖性的保证。0.3.5信息系统的安全管理1.安全策略安全策略（securitypolicy）是在一个特定的环境（安全区域）里，为保证提供一定级别的安全保护所必须遵循的一系列条例、规则。2.安全管理活动3.信息系统安全管理的原则4.信息系统的安全标准标准是衡量、评估、评测的准则。5.信息系统安全立法法律是由国家政权保证执行的行为规范。安全策略（1）对系统安全的定义、总体目标和保护范围。（2）支持安全目标和原则的管理意向声明。（3）对于安全政策、原则、标准和要求的简要解释，例如：符合立法和契约的规定；安全教育的要求；对于攻击的预防和检测；持续运行管理；违反安全策略的后果等。（4）安全管理的总体定义，具体权责要求等。（5）有关支持政策的文献援引，例如适用于具体信息系统的较为详细的安全政策、流程或使用者应当遵循的安全条例等。安全管理活动（1）（1）安全服务管理为该安全服务确定和指派安全保护目标；为该安全服务选择特定的安全机制；对需要事先取得管理者同意的可用安全机制进行协商；通过适当的安全机制管理功能调用特定安全机制。（2）安全机制管理安全机制管理是对各项安全机制的功能、参数和协议的管理。（3）安全事件处理管理报告包括远程的明显违反系统安全的企图；确定和修订触发安全事件报告的阈值。（4）安全审计管理收集、记录安全事件；授予或取消对所选用事件进行审计跟踪（记录、调查）的能力；准备安全审计报告。安全管理活动（2）（5）安全恢复管理制定并维护安全事故的恢复计划、操作规程和细则；提出完备的安全恢复报告。（6）安全行政管理建立专门的安全管理机构；建立完善的安全管理制度；配备专门安全管理人员，并进行培训、考察、评价等管理。（7）系统安全管理管理总体安全策略，维护其一致性；依据系统总体安全策略，在系统中建立不同等级的安全管理信息库（SMIB），以存储与系统安全有关的全部信息；维护安全管理协议，保证安全服务管理和安全机制管理之间的正常交互功能。信息系统安全的防御原则（1）木桶原则（2）成本效率原则（3）可扩展性原则（4）分权制衡原则（5）最小特权原则（6）失效保护原则（7）公开揭露原则（8）立足国内原则（9）可评估原则信息系统的安全标准（1）针对信息系统（包括产品）的安全性评测准则（2）针对使用信息系统的组织的安全管理标准（3）针对不同安全产品的互操作性的互操作标准针对信息系统（包括产品）的

安全性评测准则美国国防部的《可信计算机系统评估准则》（TrustedComputerSystemEvaluationCriteria，TCSEC，1983），也称桔皮书。这是IT历史上第一个安全评估标准。这个安全测试标准的建立旨在：确保用户的信息安全、为系统集成供应商提供指导、为信息安全提供一个标准。这一标准将安全分为四个等级：D到A1。每一级都是在上一级基础上添加新的条件。安全等级D最低，依次为：C1（任意安全保护），C2（受约束访问安全保护），B1（标签安全保护），B2（结构保护），B3（安全域），A1（校验设计）。共七个等级，A1等级最高。

欧洲（英、德、法、荷四国）的《信息技术安全性评估准则》（InformationTechnologySecurityEvaluationCriteria，ITSEC，1990），也称白皮书。加拿大的《可信计算机产品评估准则3.30》（CTCPEC3.0，1992.4），将安全需求分为4个层次：机密性、完整性、可靠性和可说明性。六国七方（英国、加拿大、法国、德国、荷兰、美国家安全局和美国标准技术研究所）的《信息技术安全评估通用标准》（CommonCriteriaofInformationTechnicalSecurityEvaluation，CCITSE），简称CC，是在TCSEC基础上的改进，从对操作系统评估扩充到信息技术产品和系统。

ISO/IEC21827：2002，《信息安全工程能力成熟度模型》（SystemSecrrityEngineeringCapabilityMaturityModel，SSE-CMM），是一个关于信息安全建设工程实施方面的标准，通常用过程改善、能力评估和保证三种方式应用。中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》，将计算机信息系统安全保护能力划分为5个等级，于2001年1月1日起实施。针对信息系统（包括产品）的

安全性评测准则针对使用信息系统的组织

的安全管理标准ISO/IEC17799：2000《信息技术信息安全管理实用规则》，从信息安全策略、组织的安全、资产分类和管理、人员安全、物理和环境安全、通信和操作管理、访问控制、系统开发和维护、业务