《信息系统安全概述》

中国计算机学会

“21世纪大学本科计算机专业系列教材〞

信息平安原理及应用阙喜戎等编著信息工程学院景旭jingxu@KCOJGTGCICKPUQTTAIamhereagain,sorry105,97,109,104,101,114,101,97,103,97,105,110,115,111,114,114,121,-67,-112,78,107,-87,103,-48,43,-58,-113,-122,116,18,-38,51,-101,24,100,114,-66,-74,40,-76,-72,1编辑ppt侦探Morse的疑惑YourpackagereadyFriday21stroomthreepleasedestroythisimmediately2编辑ppt本课程前言课程定位：网络中的信息平安课程重点：重在应用课程主要内容：加密、鉴别、认证课程目标：阐述现代密技术的原理及其在信息平安中的应用。了解密码学根底理论(信息理论根底、复杂性理论根底)；理解加密算法及其理论根底(密码学的技术实现)；掌握密码协议和平安协议(密码学的实际运用)；常用系统平安及网络平安(实用技术)课程学习要求：原理要理解，数论不深究3编辑ppt本课程主要参考资料刘玉珍等译.?密码编码学与网络平安——原理与实践?.电子工业出版社，第三版,2004崔宝江.?信息平安实验指导?.国防工业出版社,2005蔡红柳.?信息平安技术及应用实验?.科学出版社.2005徐迎晓.?Java平安性编程实例?.清华大学出版社,20044编辑ppt?西北农林科技大学本科生学分制学籍管理规定?

(校教发[2021]233号)第十七条学生因病因事不能上课须在学院教学秘书处办理请假手续，请假时数累计超过该课程教学时数1/3以上者，按缺课处理，无故旷课达6学时〔迟到两次折合1学时〕以上者，缺交作业〔含实验报告〕达1/3以上者，或未完成教师要求的报告、实验者，不得参加该课程考核，按缺课处理，并在成绩记载时注明“缺考〞字样。缺考的课程不得补考，必须重修，旷课、迟到、缺交作业等由任课教师负责记录。5编辑ppt第1章信息系统平安概述信息工程学院景旭jingxu@6编辑ppt网络信息系统的脆弱性

网络信息系统：互相连接起来的独立自主的计算机信息系统的集合。从技术角度看，网络信息系统脆弱性的主要原因：网络的开放性:协议公开性使得容易被攻击；网络共享使得远程攻击得以实现；基于主机的信任社团容易假冒。组成网络的通信系统和信息系统的自身缺陷:微机平安结构过于简单；信息技术使得微机成为公用计算机；网络把计算机变成网络中的组成局部；操作系统存在平安缺陷。黑客〔hacker〕及病毒。7编辑ppt黑客黑客的破坏性——解密网上黑客七大类黑客与红客——史上最强五大黑客与红客8编辑ppt有害程序(1)1.计算机病毒(1)能够利用系统进行自我复制和传播，通过特定事件触发是一种有害程序；(2)传统病毒：引导型、文件型、宏病毒；(3)邮件病毒。2.程序后门(1)绕开系统的平安检查，直接的程序入口，通常是由程序设计人员为各种目的预留的。(2)后门形成途径：黑客入侵植入；设备或程序员预留；远程效劳预留隐蔽通道分析——卿斯汉9编辑ppt有害程序(2)3.特洛伊木马冒充正常程序的有害程序，或包含在有用程序中的隐藏代码。当用户试图运行的时候将造成破坏。不能自我复制和传播。4.细菌本身没有强烈的破坏性，但通过自我复制，耗尽系统资源。5.蠕虫是通过某种网络载体，利用网络联机关系，从一个系统蔓延到另一个系统的程序。“莫里斯蠕虫〞10编辑ppt计算机网络中有害程序危害的特点网络的出现改变了病毒的传播方式几何级数式的传播。扩大了危害范围。增强了攻击的破坏力。11编辑ppt网络信息系统的主要威胁

从协议层次看，常见主要威胁：物理层:窃取、插入、删除等，但需要一定的设备。数据链路层:数据监听(预防措施：划分网段；交换机代替集线器；利用VLAN实现点对点通信)。网络层：IPV4没有考虑到平安问题。(常见攻击：IP欺骗;侦听源路由;路由协议如RIP攻击;利用ICMP的重定向破坏路由)传输层：TCP连接欺骗等针对传输层协议的漏洞的攻击。(SYNFlooding拒绝效劳、伪造源端口、源地址)应用层：存在认证、访问控制、完整性、保密性等所有平安问题。(DNS缺少加密认证、NFS的RPC调用、Finger漏洞、匿名FTP和远程登录)IPV4协议格式TCP包头格式12编辑ppt平安攻击的方式正常的信息流从一个源〔如一个文件或主存储器的一个区域〕流到一个目的地〔如另一个文件或一个用户〕如下图。信息源InformationSource信息目的地InformationDestination正常NormalFlow13编辑ppt平安攻击方式：中断中断：该系统的资产被破坏或变得不可利用或不能使用，这是对可用性的攻击。如：局部硬件的毁坏、一条通信线路的切断或某文件管理系统的失效。信息源信息目的地中断Interruption14编辑ppt平安攻击方式：截获截获：一个未授权方获取了对某个资产的访问，这是机密性攻击。该未授权方可以是一个人、一个程序或一台计算机。如：在网线上搭线窃听以获取数据，违法复制文件或程序等。信息目的地截获Interception信息源15编辑ppt平安攻击方式：篡改篡改：未授权方不仅获得了访问，而且篡改了某些资产，这是对完整性的攻击。如：改变数据文件的值，改变程序使得它的执行结果不同，篡改在网络中传输的消息的内容等等。信息源信息目的地篡改Modification16编辑ppt平安攻击方式：伪造伪造：未授权方将伪造的对象插入系统，这是对真实性的攻击。如：在网络中插入伪造的消息或为文件增加记录等。信息源信息目的地伪造Fabrication17编辑ppt攻击的种类?信息保障技术框架〔IATF〕?3.0版中将攻击分为以下5类：被动攻击。主动攻击。物理临近攻击。内部人员攻击。软硬件配装攻击。18编辑ppt被动攻击定义：在未经用户同意和认可的情况下将信息或数据文件泄露给系统攻击者，但不对数据信息做任何修改。常见手段：搭线监听、无线截获、其他截获。攻击方式：析出消息内容、通信量分析析出消息内容：破译交谈、电子邮件消息和传送的文件。通信量分析：通过测定通信主机的位置和标识，观察被交换消息的频率和长度。特点：不易被发现。预防措施：重点在于预防，如使用虚拟专用网〔VPN〕、采用加密技术保护网络以及使用加保护的分布式网络等19编辑ppt主动攻击含义：涉及某些数据流的篡改或虚假流的产生。通常分为：假冒：一个实体假装为一个不同的实体。重放：一个数据单元的被动获取以及后继的重传，以产生一个未授权的效果。篡改消息：一个合法消息的某些局部被改变，或消息被延迟或改变顺序，以产生一个未授权的效果。拒绝效劳：防止或禁止通信设施的正常使用或管理。特点：能够检测出来，不易有效防止。预防措施：自动审计、入侵检测和完整性恢复。20编辑ppt物理临近定义：指未授权个人以更改、收集或拒绝访问为目的而物理临近网络、系统或设备。21编辑ppt内部人员攻击内部人员攻击分为恶意的或非恶意的；恶意攻击：指内部人员有方案的窃听、偷窃或损坏信息，或拒绝其他授权用户的访问。非恶意攻击：指通常由于粗心、知识缺乏或为了“完成工作〞等无意间绕过平安策略但对系统产生了破坏的行为造成。22编辑ppt软硬件配置攻击定义：又称为分发攻击，指在软硬件的生产工厂内或在产品分发过程中恶意修改硬件或软件。23编辑ppt平安目标系统平安的目标：保护计算机和网络系统中的资源免受破坏、窃取和丧失。平安部件包括：计算机、网络设备、存储介质、软件和程序、各种数据、数据库、通信资源(信道、端口、带宽)最终目标:保护信息的平安。24编辑ppt网络信息平安的概念系统平安指网络设备的硬件、操作系统和应用软件的平安；信息平安指各种信息的存储、传输的平安。网络平安依赖于两种技术：传统意义上的存取控制和授权，如访问空指表技术、口令验证技术；利用密码技术实现对信息的加密、身份鉴别；国际标准化组织“计算机平安〞：为数据处理系统建立和采用的技术和管理上的平安保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。网络因素的定义：保护网络系统中的各种资源不因偶然或恶意的原因而遭到占用、毁坏、更改和泄露，系统能够连续正常运行。25编辑ppt网络信息系统平安的根本需求(1)保密性(Confidentiality):信息不泄露给非授权用户/实体/过程，不被非法利用。典型攻击：监听、流量分析保障手段：加密技术、存储保密的访问控制完整性(Integrity):数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丧失。典型攻击：篡改保障手段：加密、数字签名、散列函数26编辑ppt可用性(Availability):可被授权实体访问并按需求使用的特性，即当需要时总能够存取所需的信息。典型攻击：拒绝效劳保障手段：鉴别技术可控性(Controllability):对信息的传播及内容具有控制能力。典型攻击：越权访问保障手段：访问控制列表、身份鉴别、活动审计不可否认性〔non-repudiation〕:发送者不能否认其发送的信息。保障手段：数字签名、公证机制网络信息系统平安的根本需求(2)27编辑ppt平安效劳定义:为加强网络信息系统平安性及对抗平安攻击而采取的一系列措施。主要内容：平安机制、平安连接、平安协议、平安策略ISO7498-2(信息处理系统开放系统互连根本参考模型第2局部——平安体系结构)中定义的五可选的平安效劳包括：鉴别:保证真实性,包括对等实体鉴别和数据源鉴别；访问控制:防止非授权访问，保证可控性；数据保密:防止被动攻击；数据完整性:防止主动攻击，具有数据恢复功能；不可否认:防止抵赖28编辑ppt平安效劳的实施位置应用层可实现所有的平安效劳，同一种平安效劳可在不同层实现，平安保障各有特点29编辑ppt应用层提供平安效劳的特点位置：只能在通信两端的主机系统上实施。优点：平安策略和措施通常是基于用户制定的；对用户想要保护的数据具有完整的访问权，因而能很方便地提供一些效劳；不必依赖操作系统来提供这些效劳；对数据的实际含义有着充分的理解。缺点：针对每个应用单独设计一套平安机制。效率太低；对现有系统的兼容性太差；改动的程序太多，出现错误的概率大增，为系统带来更多的平安漏洞。30编辑ppt传输层提供平安效劳的特点位置：只能在通信两端的主机系统上实施。优点：与应用层平安相比，在传输层提供平安效劳的好处是能为其上的各种应用提供平安效劳，提供了更加细化的基于进程对进程的平安效劳，这样现有的和未来的应用可以很方便地得到平安效劳，而且在传输层的平安效劳内容有变化时，只要接口不变，应用程序就不必改动。缺点：由于传输层很难获取关于每个用户的背景数据，实施时通常假定只有一个用户使用系统，所以很难满足针对每个用户的平安需求。31编辑ppt网络层提供平安效劳的特点位置：在端系统和路由器上都可以实现。优点：透明性，能提供主机对主机的平安效劳，不要求传输层和应用层做改动，也不必为每个应用设计自己的平安机制；网络层支持以子网为根底的平安，子网可采用物理分段或逻辑分段，因而可很容易实现VPN和内联网，防止对网络资源的非法访问；密钥协商：由于多种传送协议和应用程序可共享由网络层提供的密钥管理架构，密钥协商的开销大大降低。缺点：无法实现针对用户和用户数据语义上的平安控制。32编辑ppt数据链路层提供平安效劳的特点位置：在链路的两端实现。优点：整个分组〔包括分组头信息〕都被加密，保密性强。缺点：使用范围有限。只有在专用链路上才能很好地工作，中间不能有转接点。33编辑ppt平安机制定义：实现平安效劳的技术手段，表现为操作系统、软硬件功能部件、管理程序以及它们的任意组合。ISO7498-2中的八类平安机制加密机制〔Encryption〕；数字签名机制〔DigitalSignatureMechanisms〕；访问控制机制〔AccessControlMechanisms〕；数据完整性机制〔DataIntegrityMechanisms〕；鉴别交换机制〔AuthenticationMechanisms〕；通信业务填充机制〔TrafficPaddingMechanisms〕；路由控制机制〔RoutingControlMechanisms〕；公证机制〔NotarizationMechanisms〕。34编辑ppt平安效劳与平安机制的关系35编辑ppt平安策略定义：指在一个特定的环境中，为保证提供一定级别的平安保护所必须遵守的规那么。目的：决定采用何种方式和手段来保证平安。包括严格管理和先进技术具体策略包括：采用什么样的平安保障体系；确定网络资源的职责划分；制定使用规那么；制定日常维护规程；确定在检测到平安问题或系统遭到破坏时应采用什么样的相应措施。36编辑ppt国外网络平安标准〔1〕美国TCSEC(可信任计算机标准评估规那么)。该标准是美国国防部制定80年代的。它将平安分为4个方面:平安政策、可说明性、平安保障和文档。在美国国防部虹系列(RainbowSeries)标准中有详细的描述。该标准将以上4个方面分为7个平安级别,从低到高依次为D、C1、C2、B1、B2、B3和A级：A级：绝对可信网络平安；B级：完全可信网络平安〔B1、B2、B3〕；C级：可信网络平安〔C1、C2〕；D级：不可信网络平安。问题：以保密和单点机为主。37编辑ppt国外网络平安标准〔2〕欧洲ITSEC(欧洲信息平安技术评估规那么)与TCSEC不同,它并不把保密措施直接与计算机功能相联系,而是只表达技术平安的要求,把保密作为平安增强功能。另外,TCSEC把保密作为平安的重点,而ITSEC那么把完整性、可用性与保密性作为同等重要的因素。ITSEC定义了从E0级(不满足品质)到E6级(形式化验证)的7个平安等级,对于每个系统,平安功能可分别定义。ITSEC预定义了10种功能,其中前5种与桔皮书中的C1-B3级非常相似。38编辑ppt国外网络平安标准〔3〕加拿大CTCPEC(加拿大可信任计算标准)该标准将平安需求分为4个层次:机密性、完整性、可靠性和可说明性。对产品和评估过程强调功能和保证。分为7个保证级，通常称为EAL-1到EAL-7。美国联邦准那么(FC)该标准参照了CTCPEC及TCSEC,其目的是提供TCSEC的升级版本,同时保护已有投资,但FC有很多缺陷,是一个过渡标准,后来结合ITSEC开展为联合公共准那么CC。39编辑ppt国外网络平安标准〔4〕信息技术平安评价通用准那么(CC)CC的目的是想把已有的平安准那么结合成一个统一的标准。该方案从1993年开始执行,1996年推出第一版。CC结合了FC及ITSEC的主要特征,它强调将平安的功能与保障〔平安功能的可信度〕别离,并将功能需求分为11类63族,将保障分为7类29族。99.7通过国际标准化组织认可,为ISO/IEC15408信息技术平安评估准那么。40编辑ppt国外网络平安标准〔5〕ISO平安体系结构标准在平安体系结构方面,ISO制定了国际标准ISO7498-2-1989?信息处理系统开放系统互连根本参考模型第2局部平安体系结构?。该标准为开放系统互连(OSI)描述了根本参考模型,为协调开发现有的与未来的系统互连标准建立起了一个框架。其任务是提供平安效劳与有关机制的一般描述,确定在参考模型内部可以提供这些效劳与机制的位置。41编辑ppt国外网络平安标准〔6〕信息保障技术框架(IATF)。平安观点的演变：42编辑ppt国外网络平安标准〔7〕信息保障技术框架(IATF)企图解决什么问题怎样定义信息保护需求和解决方案？现有的何种技术能够满足我的保护需求？什么样的机构资源能够帮助找到所需的保护？当前有哪些信息保障产品和效劳市场?对IA方法和技术的研究关注点应放在哪里？信息保障的原那么是什么？提出了“深度保卫战略〞原那么和“信息系统平安工程〞的概念。43编辑ppt国外网络平安标准〔8〕深度保卫战略的原那么人技术操作培训意识培养物理安全人事安全系统安全管理深度保卫技术框架领域安全标准IT/IA采购风险评估认证和授权评估监视入侵检测警告响应恢复44编辑ppt从通信的角度，网络分为通信效劳提供者和通信效劳使用者。目标：平安可靠的跨越网络传输消息。平安通信技术需求：(1)对消息进行相关变换；(2)通信双方共享的密钥信息通信效劳提供者系统(1)45编辑ppt通信效劳提供者系统的平安模型46编辑ppt平安网络通信内容：(1)确定一个算法来执行平安性变换；(2)生成用于该算法的秘密信息；(3)研制通信双方秘密信息共享与发布方法；(4)确定双方使用的协议及通过加密算法和秘密信息来获取所需平安效劳。通信效劳提供者系统(2)47编辑ppt通信效劳使用者系统内涵：传统意义的信息系统，是存放和处理信息的场所平安需求：防止未授权访问和保证系统正常工作。48编辑ppt计算机平安参考模型平安监视器提供参考功能和授权功能。实际表现形式是系统平安内核，由软件、硬件和固件来实现49编辑ppt通信效劳使用者系统的平安模型50编辑ppt加密功能的实施方式

两种根本方式：链到链加密；端到端加密。51编辑ppt链到链加密方式〔1〕在物理层或数据链路层实施加密机制。采用物理加密设备:链路所有数据加密、接入方便52编辑ppt链到链加密方式〔2〕优点：主机维护加密设施，易于实现，对用户透明；能提供流量保密性；密钥管理简单；可提供主机鉴别；加/解密是在线。缺点：数据仅在传输线路上是加密；开销大；每段链路需要使用不同的密钥。53编辑ppt端到端加密方式〔1〕数据在发送端被加密后,通过网络传输,到达接收端后才被解密54编辑ppt端到端加密方式〔2〕优点：在发送端和中间节点上数据都是加密的，平安性好；能提供用户鉴别；提供了更灵活的保护手段。缺点：不能提供流量保密性；密钥管理系统复杂；加密是离线的。55编辑ppt两者的结合56编辑ppt端到端和链路加密的结合过程：发送端主机先对数据包的用户数据局部用端到端加密密钥进行加密，整个数据包再用一个链到链加密密钥进行加密。优点：链到链的加密能抵抗流量分析攻击，端到端加密减少了网络节点中未加密数据处理带来的威胁。密钥管理：两种方式的密钥管理可以分开。网络管理员可以只关心物理层/数据链路层加密和相关的密钥管理，而每个用户只负责相应的端到端加密和相关的密钥管理。57编辑ppt流量攻击中可以获得的信息流量分析中可得到信息：(1)通信双方的身份；(2)双方通信的频率和时间段；(3)交换的数据包的模式、长度和数量；(4)与通信双方某次特定的会话相关的事件。58编辑ppt流量的保密业务方式链到链加密：流量填充端到端加密：在传输层或应用层将数据单元填充到同一长度。59编辑ppt本章小结(1)了解本课程主要内容；(2)了解学习主要学习方法；(3)了解网络平安脆弱性问题;(4)了解平安需求和平安效劳;(5)理解信息系统平安模型;(6)掌握加密功能实施的方式;(7)了解流量保密的意义。60编辑ppt课外阅读信息平安现状和假设干进展2002年中国信息平安状况综述国家863信息平安开展战略信息平安风险评估工具综述61编辑ppt作业1、关键术语网络信息系统(P1)、计算机病毒(P2)、后门(P2)、特洛伊木马(P2)、假冒(P7)、重放(P7)、篡改消息(P7)、系统平安(P8)、信息平安(P8)、考虑网络因素的计算机平安(P9)、保密性(P9)、完整性(P10)、可用性(P10)、可控性(P9)、不可否认性(P10)、流量分析(p6)2、在规划一个平安的计算机网络时,必须考虑哪些内容?3、流量分析可以得到哪些信息?流量保密如何实现?4、比较链路加密和端到端加密的优缺点？5、网络信息系统平安需求有哪些？用什么平安效劳提供这些需求？62编辑ppt国内外信息平安开展趋势63编辑ppt信息平安内涵随着信息技术的开展与应用，信息平安的内涵在不断的延伸，从最初的信息保密性开展到信息的完整性、可用性、可控性和不可否认性，进而又开展为“攻〔攻击〕、防〔防范〕、测〔检测〕、控〔控制〕、管〔管理〕、评〔评估〕〞等多方面的根底理论和实施技术。信息平安是一个综合、交叉学科领域，它要综合利用数学、物理、通信和计算机诸多学科的长期知识积累和最新开展成果，进行自主创新研究，加强顶层设计，提出系统的、完整的，协同的解决方案。64编辑ppt国内外信息平安最新领域目前，信息平安领域的焦点主要有：1〕密码理论与技术；2〕平安协议理论与技术；3〕平安体系结构理论与技术；4〕信息对抗理论与技术；5〕网络平安与平安产品。65编辑ppt密码理论与技术研究现状及开展趋势(1)密码理论与技术主要包括两局部：基于数学的密码理论与技术包括公钥密码、分组密码、序列密码、认证码、数字签名、Hash函数、身份识别、密钥管理、PKI技术等。非数学的密码理论与技术包括信息隐形，量子密码，基于生物特征的识别理论与技术。目前最为人们所关注的实用密码技术是PKI技术。国外的PKI应用已经开始，但总的说来PKI技术仍在开展中。IDC公司认为：PKI技术将成为所有应用的计算根底结构的核心部件，包括那些越出传统网络界限的应用。B2B电子商务活动需要的认证、不可否认等只有PKI产品才有能力提供这些功能。66编辑ppt密码理论与技术研究现状及开展趋势(2)目前，国际上对非数学的密码理论与技术包括信息隐形，量子密码，基于生物特征的识别理论与技术等非常关注。信息隐藏将在未来网络中保护信息免于破坏起到重要作用。特别是图象叠加、数字水印、潜信道、隐匿协议等的理论与技术的研究已经引起人们的重视。基于生物特征比方手形、指纹、语音、视网膜、虹膜、脸形、DNA等的识别理论与技术已有所开展，形成了一些理论和技术，也形成了一些产品，这类产品往往由于本钱高而未被广泛采用。67编辑ppt平安协议理论与技术研究现状及开展趋势平安协议的研究主要包括平安协议的平安性分析方法研究和实用平安协议的设计与分析研究。平安协议的平安性分析方法主要有两类：一类是攻击检验方法；一类是形式化分析方法。实用平安协议有：电子商务协议，IPSec协议，TLS协议，简单网络管理协议〔SNMP〕，PGP协议，PEM协议，S-HTTP协议，S/MIME协议等。68编辑ppt平安体系结构理论与技术研究现状及开展趋势平安体系结构理论与技术主要包括：平安体系模型的建立及其形式化描述与分析，平安策略和机制的研究，检验和评估系统平安性的科学方法和准那么的建立，符合这些模型、策略和准那么的系统的研制〔比方平安操作系统，平安数据库系统等〕。80年代中期，美国国防部制订了“可信计算机系统平安评价准那么〞〔TCSEC〕。90年代初，英、法、德、荷四国联合提出了“信息技术平安评价准那么〞〔ITSEC〕。69编辑ppt信息对抗理论与技术研究现状及开展趋势信息对抗理论与技术主要包括：黑客防范体