第二章信息安全基础06

第二章信息安全基础

2.1信息不安全因素

2.2信息攻击

2.3信息安全需求分析

2.4安全理论与技术分析

2.5安全层次与系统模型

2.6小结

2009-3-101信息保障与安全06级2.1信息不安全因素

2.1.1物理不安全因素目前主要的物理不安全因素如下：（1）自然灾害（如雷电、地震），物理损坏（如硬盘物理损坏、设备意外损坏等），设备故障（如意外断电，电磁干扰等）和意外事故。（2）电磁泄漏（如侦听计算机操作过程），产生信息泄漏，干扰他人，受他人干扰，乘机而入和痕迹泄露等，其特点是难以觉察性、人为实施的故意性、信息的无意泄露性，这种威胁只破坏信息的保密性（无损信息的完整性和可用性）。（3）操作失误（如删除文件、格式化硬盘等）或意外疏漏（如系统崩溃等）。（4）计算机系统机房的环境安全。2009-3-102信息保障与安全06级

2.1.2网络不安全因素（1）网络规模（2）网络物理环境

2.1.3系统不安全因素现在应用的大部分系统软件都有一定的漏洞，操作系统就是一个例子。操作系统是网络和应用程序之间接口的程序，是整个网络信息系统的核心，系统的安全性体现在整个操作系统中。对于一个设计不够安全的操作系统系统来说，应采用增加安全特性或打补丁的办法进行安全维护。

2.1.4管理不安全因素1.管理不能做到多人负责2.管理者任期太长3.不能做到职责分离

2009-3-103信息保障与安全06级下面每组内的两项信息处理工作应分开（1）计算机操作与计算机编程（2）机密资料的接收和传送（3）安全管理和系统管理（4）应用程序和系统程序的编制（5）访问证件的管理与其他工作（6）计算机操作与信息处理系统使用媒介的保管等

2009-3-104信息保障与安全06级2.2信息攻击

2.2.1口令攻击攻击者攻击目标时常常把破译用户的口令作为攻击的开始。只要攻击者能够猜测或者确定用户的口令，就能获得机器或者网络的访问权限，并能访问到用户能到的任何资源。口令猜测前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破译。获得普通用户帐号的方法很多，主要有以下几种：（1）利用目标主机的Finger功能（2）利用目标主机的X.500服务（3）从电子邮件地址中收集（4）查看主机是否有习惯性的帐号

2009-3-105信息保障与安全06级

2.2.2地址欺骗

地址欺骗有三种基本形式:1.基本地址变化2.源路由攻击3.信任关系

2.2.3窃听

窃听是指攻击者通过对传输媒介的监听非法获取传输的信息,是对通信网络最常见的攻击方法.

2.2.4业务否决

业务否决是指入侵者通过某些手段使合法的网络实体无法获得其应有的网络服务。

2.2.5链接盗用链接盗用分为含蓄(隐蔽)的形式和明显(直接)的形式。2009-3-106信息保障与安全06级

2.3.1防护安全

防护安全在现今的企业体制中已经不可缺少，如何运用最少的人力物力完成最大的防护效能，才是考虑的重点。对于防护系统的建设，应考虑以下几个因素：（1）全方位的防护功能，能够考虑到所有可能的入侵通道（2）具有多层架构的防护机制（3）易于集中管理及维护，具有自动更新升级的能力（4）中央控管的防护规则，完全不需使用者设定，提高信息人员的效率（5）具有防护统计报告能力，易于掌握整个防护计划

2009-3-109信息保障与安全06级

信息不安全的危害已经不只是个人，而是扩及企业，如果不重视防护安全，那么所带来的危害将是无法估计的。在网络安全领域中，有许多类型的安全防护措施。除了技术层面的防护措施之外，还有几类其他防护措施。（1）物理安全（2）人员安全（3）管理安全（4）谋体安全（5）辐射安全（6）生命周期控制2009-3-1010信息保障与安全06级

2.3.2运行安全信息系统的安全主要是针对计算机系统而言，系统的运行安全必须通过对系统运行的管理来提高系统的可靠性和安全性。系统的运行安全包括系统的安全运行与管理、计算机系统的维护、机房环境的监测及维护、随机故障维修、软件的可靠性与可维护性、操作系统的故障分析及处理等方面。

2.3.3安全管理网络信息的安全管理包括以下四类活动：1.系统安全管理（1）总体安全策略的管理（2）与其他安全管理功能的相互作用（3）事件处理管理（4）安全审计管理（5）安全恢复管理2009-3-1011信息保障与安全06级2.安全服务管理（1）为某种安全服务指派安全保护的目标（2）在可选情况下,指定并维护选择规则,选取安全服务使用的特定的安全机制（3）在那些需要事先取得管理同意的可用安全机制进行协商(本地的与远程的)（4）通过适当的安全机制管理功能调用特定的安全机制(例如提供行政管理强加的安全服务)

3.安全机制管理（1）密钥管理（2）加密管理（3）数字签名管理（4）访问控制管理（5）数据完整性管理（6）路由选择控制管理

2009-3-1012信息保障与安全06级

4.安全管理本身涉及信息的安全

这一类安全管理的功能将选择适当的安全服务和安全机制来确保安全管理协议和信息获得足够的保护.2009-3-1013信息保障与安全06级

2.3.4安全评估

1.可信计算机系统评估标准(TCSEC)（1）可信计算机系统评估标准原则（P25）安全策略客体标记主体识别可检查性保证连续保护2009-3-1014信息保障与安全06级

（2）评估标准的安全等级①D类②C类③B类④A类2009-3-1015信息保障与安全06级

2.国际国内其他安全标准

（1）GB/T9387.2

（2）RFC2401（3）ITSEC（4）美国联邦标准FC（5）GB17859-1999（6）CC准则(IT安全性评估通用准则)（7）CC的文档结构（8）ISO17799(BS7799)

2009-3-1016信息保障与安全06级信息安全标准标准的重要性信息社会的信息安全是建立在信息系统互连、互通、互操作意义上的安全需求，因此需要技术标准来规范系统的建设和使用。没有标准就没有规范，没有规范就不能形成规模化信息安全产业，生产出足够的满足社会广泛需要的产品。没有标准也不能规范人们安全防范行为。国际上的信息安全标准涉及到有关密码应用和信息系统安全两大类。制定标准的机构有国际标准化组织，某些国家的标准化机关和一些企业集团。他们的工作推动了信息系统的规范化发展和信息安全产业的形成。标准是科研水平、技术能力的体现，反映了一个国家的综合实力。标准也是进入WTO的国家保护自己利益的重要手段。2009-3-1017信息保障与安全06级国际标准的发展国际上著名的标准化组织及其标准化工作ISO，NIST密码标准DESAESNESSIE(NewEuropeanSchemesforSignature,Integrity,andEncryption)140-2（NISTFIPSPUB密码模块）可信计算机系统评价准则TCSEC-ITSEC-CC管理标准ISO177992009-3-1018信息保障与安全06级权威的传统评估标准美国国防部在1985年公布可信计算机安全评估准则TrustedComputerSecurityEvaluationCriteria(TCSEC)为安全产品的测评提供准则和方法指导信息安全产品的制造和应用2009-3-1019信息保障与安全06级传统评估标准的演变美国DoDDoD85TESECTCSEC网络解释（TNI1987）TCSEC数据库管理系统解释（TDI1991）彩虹系列Rainbowseries欧洲–ITSEC美国、加拿大、欧洲等共同发起CommonCriteria(CC)2009-3-1020信息保障与安全06级TCSEC准则中，从用户登录、授权管理、访问控制、审计跟踪、隐通道分析、可信通道建立、安全检测、生命周期保障、文本写作、用户指南均提出了规范性要求可信计算基

(TCB-TrustedComputingBase)计算机系统中的负责执行一个安全策略的包括硬件、软件、固件组合的保护技巧的全体。一个TCB由一个或多个在产品或系统上一同执行统一的安全策略的部件组成。一个TCB的能力是正确的依靠系统管理人员的输入有关安全策略的参数，正确独立地执行安全策略。访问控制机制主要原则：严禁上读、下写（noreadupnowritedown）就是主要针对信息的保密要求2009-3-1021信息保障与安全06级可信计算机系统安全等级2009-3-1022信息保障与安全06级TCSEC的不足TCSEC是针对孤立计算机系统，特别是小型机和主机系统。假设有一定的物理保障，该标准适合政府和军队，不适和企业。这个模型是静态的。NCSC的TNI是把TCSEC的思想用到网络上，缺少成功实践的支持。Moore’sLaw:计算机的发展周期18个月，现在还有可能减少到一年。不允许长时间进行计算机安全建设，计算机安全建设要跟随计算机发展的规律。2009-3-1023信息保障与安全06级ITSEC（又称欧洲白皮书）90年代初西欧四国（英、法、荷、德）联合提出了信息技术安全评价标准（ITSEC）除了吸收TCSEC的成功经验外，首次提出了信息安全的保密性、完整性、可用性的概念，把可信计算机的概念提高到可信信息技术的高度上来认识。他们的工作成为欧共体信息安全计划的基础，并对国际信息安全的研究、实施带来深刻的影响。2009-3-1024信息保障与安全06级ITSEC定义了七个安全级别E6：形式化验证；E5：形式化分析；E4：半形式化分析；E3：数字化测试分析；E2：数字化测试；E1：功能测试；E0：不能充分满足保证。2009-3-1025信息保障与安全06级通用评价准则（CC）它的基础是欧州的ITSEC，美国的包括TCSEC在内的新的联邦评价标准，加拿大的CTCPEC，以及国际标准化组织ISO:SC27WG3的安全评价标准1995年颁布0.9版，1996年1月出版了1．0版。1997年8月颁布2.0Beata版，2.0版于1998年5月颁布。1998-11-15成为ISO/IEC15408信息技术-安全技术-IT安全评价准则2009-3-1026信息保障与安全06级通用评价准则（CC）美国为了保持他们在制定准则方面的优势，不甘心TCSEC的影响被ITSEC取代，他们采取联合其他国家共同提出新的评估准则的办法体现他们的领导作用。91年1月宣布了制定通用安全评价准则（CC）的计划。它的全称是CommonCriteriaforITsecurityEvaluation。制定的国家涉及到六国七方，他们是美国的国家标准及技术研究所（NIST）和国家安全局（NSA），欧州的荷、法、德、英，北美的加拿大。2009-3-1027信息保障与安全06级CC标准评价的三个方面CC标准评价的三个方面保密性（confidentiality）完整性（integrity）可用性（availability）CC标准中未包含的内容：行政管理安全的评价准则电磁泄露行政管理方法学和合法授权的结构产品和系统评价结果的使用授权密码算法质量的评价2009-3-1028信息保障与安全06级CC评价准则的结构第一部分：介绍和总体模型对CC评价准则的介绍。定义IT安全评价和描述模型的一般概念和原则，提出选择和定义说明产品和系统IT安全客体的明确的组织的安全要求。第二部分：安全功能要求用标准化的方法对评价目标（TOE）建立一个明确的安全要求的部件功能集合。功能集合分类为部件（components）、族（families）和类（classes）第三部分：安全保证要求用标准化的方法对评价目标（TOE）建立一个明确的安全要求的保证部件的集合。对保护方案（PP）和安全目标（ST）进行定义，并且对安全评价目标（TOE）提出安全评价保证级别（EAL）2009-3-1029信息保障与安全06级EvaluationAssuranceLevels(EALs)EALEAL1EAL2EAL3EAL4EAL5EAL6Name功能化测试结构化测试方法学测试和检查方法学设计测试和检查半形式化设计和检查半形式化校验，设计和测试形式化校验设计和测试TCSECC1C2B1B2B3A1EAL72009-3-1030信息保障与安全06级我国的标准化工作我国是国际标准化组织的成员国，我国的信息安全标准化工作在各方面的努力下，正在积极开展之中。从80年代中期开始，自主制定和视同采用了一批相应的信息安全标准。……但是，应该承认，标准的制定需要较为广泛的应用经验和较为深入的研究背景。这两方面的差距，使我国的信息安全标准化工作与国际已有的工作比较，覆盖的方面还不够大，宏观和微观的指导作用也有待进一步提高。2009-3-1031信息保障与安全06级2.4安全理论与技术分析

2.4.1密码理论与数据加密技术

1.密码理论密码理论是研究编制密码和破译密码的技术科学。研究密码变化的客观规律，并将该规律应用于编制密码以保守通信秘密，我们称为编码学；应用于破译密码以获取通信情报，我们称为破译学，二者总称密码学。2.数据加密技术

数据加密技术是最基本的网络安全技术,被称为信息安全的核心,最初主要用于保证数据在存储和传输过程中的保密性.通过各种方法将被保护信息置换成密文,然后再进行信息的存储或传输,即使加密信息在存储或传输过程为非授权人员所获得,也可以保证这些信息不为其认知,从而达到保护信息的目的.该方法的保密性直接取决于所采用的密码算法和密钥长度。

2009-3-1032信息保障与安全06级

2.4.2认证识别理论与技术相互认证是客户机和服务器相互识别的过程,它们的识别号用公开密钥编码,并在SSL握手时交换各自的识别号。为了验证持有者是其合法用户,而不是冒名用户,SSL要求证明持有者在握手时对交换数据进行数字式标识。证明持有者要对包括证明的所有信息数据进行标识,以说明自己是证明的合法拥有者,这样就防止了其他用户冒名使用证明。证明本身并不提供认证,只有证明和密钥一起才起作用。

2.4.3授权与访问控制理论与技术为了防止非法用户使用系统及合法用户对系统资源的非法使用，需要对计算机系统实体进行访问控制。对实体系统的访问控制必须对访问者的身份实施一定的限制，这是保证系统安全所必需的。要解决上述问题，访问控制需采取下述两种措施：（1）识别与验证访问系统的用户（2）决定用户对某一系统资源可进行何种访问（读、写、修改、运行等）2009-3-1033信息保障与安全06级

2.4.4审计追踪技术

审计追踪是指对安防体系、策略、人和流程等对象的深入细致的核查，目的是为了找出安防体系中的薄弱环节并给出相应的解决方案。审计追踪的基本任务有两项：首先，检查实际工作是不是按照现有规章制度去办事的；第二，对审计步骤进行调整和编排，更好地判断出安防事件的发生地点或来源。

2.4.5网间隔离与访问代理技术从技术上来讲代理服务是一种网关功能，但它的逻辑位置是在OSI七层协议的应用层之上。代理使用一个客户程序与特定的中间结点链接，然后中间结点与期望的服务器进行实际链接。与应用网关型防火墙所不同的是，使用这类防火墙时外部网络与内部网络之间不存在直接连接，因此，即使防火墙产生了问题，外部网络也无法与被保护的网络连接。2009-3-1034信息保障与安全06级2.4.6反病毒技术

计算机病毒的预防、检测和清除是计算机反病毒技术的三大内容。也就是说计算机病毒的防治要从防毒、查毒和解毒三方面来进行；系统对于计算机病毒的实际防治能力和效果也要从防毒能力、查毒能力和解毒能力三方面来评判。防毒是指根据系统特性，采取相应的系统安全措施预防病毒侵入计算机。查毒是指对于确定的环境，能够准确地报出病毒名称，解毒是指根据不同类型病毒对感染对象的修改，并按照病毒的感染特性所进行的恢复，该恢复过程不能破坏未被病毒修改的内容，感染对象包括内存、引导区（含主引导区）、可执行文件、文档文件、网络等。（1）防毒能力是指预防病毒侵入计算机系统的能力（2）查毒能力是指发现和追踪病毒来源的能力（3）解毒能力是指从感染对象中清除病毒，恢复被病毒感染前的原始信息的能力；解毒能力应用解毒率来评判2009-3-1035信息保障与安全06级

2.4.7入侵检测技术

入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测系统能够识别出来自于网络外部和内部的不希望有的活动。典型的入侵检测系统包括下述三个功能部件：（1）提供事件记录流的信息源（2）发现入侵迹象的分析引擎（3）基于分析引擎的分析结果产生反映的响应部件

2009-3-1036信息保障与安全06级

入侵检测系统作为网络安全整体解决方案的一个重要部分，需要与其他设备之间进行紧密的联系与配合，共同解决网络安全问题，这就引入协同技术的要求。1.数据采集协同

（1）入侵检测系统与漏洞扫描系统的协同（2）入侵检测系统与防病毒系统的协同

2.数据分析协同

3.响应协同

（1）入侵检测系统与防火墙的协同（2）入侵检测系统与路由器、交换机的协同（3）入侵检测系统与防病毒系统的协同（4）入侵检测系统与蜜罐和填充单元系统的协同蜜罐是试图将攻击者从关键系统引诱开的诱骗系统。这些系统充满了看起来很有用的信息，但这些信息实际是捏造的，诚实的用户是访问不到它们的。2009-3-1037信息保障与安全06级

2.4.8网络安全技术的综合利用在网络安全技术中,数据加密是其他一切安全技术的核心和基础。在实际网络系统的安全实施中,可以根据系统的安全需求,配合使用各种安全技术来实现一个完整的网络安全解决方案。例如目前常用的自适应网络安全管理模型，就是通过防火墙、网络安全扫描、网络入侵检测等技术的结合来实现网络系统动态的可适应的网络安全目标。2009-3-1038信息保障与安全06级2.5安全层次与模型

2.5.1安全层次分析

信息系统安全是一项复杂的系统工程，它的实现不仅是纯碎的技术方面的问题，而且还需要法律、管理、社会因素的配合。因此信息系统安全模型的层次结构如图2-1所示。

2009-3-1039信息保障与安全06级

法律、规范、道德、纪律

管理细则、保护措施

物理实体安全环境硬件系统安全措施

通信网络安全措施

软件系统安全措施

数据信息安全第七层第六层第五层第四层第三层第二层第一层图2-1信息系统安全层次模型2009-3-1040信息保障与安全06级第一层是法律制度与道德规范。日益严重的计算机犯罪，迫使各国尽快制定出严密的法律、政策，从根本上改变知识犯罪无法可依的局面。