《信息安全基础》PPT课件.ppt

1、计算机安全与保密,信息安全原理与应用,袁静波,东北大学秦皇岛分校,第1章 信息安全概述,信息安全的概念 信息安全的发展历史 信息安全的目标 信息安全的研究内容,1.1 信息安全的概念,信息（information）是经过加工（获取、推理、分析、计算、存储等）的特定形式数据，是物质运动规律的总和。 信息安全是为数据处理系统建立的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。（ISO）（该概念偏重于静态信息保护） 信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。”（该定

2、义着重于动态意义描述,信息系统风险,信息系统就是一种开发信息资源的工具，是信息以及用于信息的采集、传输、存储、管理、检索和利用等工具的有机整体。 系统风险是指系统遭受意外损失的可能性，它主要来自系统可能遭受的各种威胁、系统本身的脆弱性以及系统对于威胁的失策。 信息系统安全威胁（thread）是指对于信息系统的组成要素及其功能造成某种损害的潜在可能,信息系统面临的威胁,计算机 依附载体 数据 表现形式 程序 处理工具 网络 传递媒介 管理 人为因素,物理威胁,漏洞、病毒、木马,网络攻击,管理漏洞,按照来源的信息系统威胁,自然灾害威胁 滥用性威胁 有意人为威胁,按照作用对象的信息系统威胁,1）针对

3、信息的威胁 信息破坏：非法取得信息的使用权，删除、修改、插入、恶意添加或重发某些数据，以影响信息正常用户的正常使用。 信息泄密：故意或偶然地非法侦收、截获、分析某些信息系统中的信息，造成系统数据泄密。 假冒或否认：假冒某一可信任方进行通信或者对发送的数据事后予以否认。 （2）针对系统的威胁 包括对系统硬件的威胁和对系统软件的威胁,按照手段的信息系统威胁,1）信息泄露（leak） 在传输中被利用电磁辐射或搭接线路的方式窃取 授权者向未授权者泄露 存储设备被盗窃或盗用 未授权者利用利用特定的工具捕获网络中的数据流量、流向、通行频带、数据长度等数据进行分析，从中获取敏感信息。 （2）扫描（scan）

4、 扫描是利用特定的软件工具向目标发送特制的数据包，对响应进行分析，以了解目标网络或主机的特征。 （3）入侵（intrusion） 旁路控制 假冒 口令破解 合法用户的非授权访问,按照手段的信息系统威胁,4）拒绝服务（denial of service，DoS） DoS指系统可用性因服务中断而遭到破坏。DoS攻击常常通过用户进程消耗过多的系统资源造成系统阻塞或瘫痪。 （5）抵赖（否认）（deny） 发方事后否认自己曾经发送过的某些消息； 收方事后否认自己曾经收到过的某些消息； 发方事后否认自己曾经发送过的某些消息的内容； 收方事后否认自己曾经收到过的某些消息的内容。 （6）滥用（misuse）

5、传播恶意代码 复制/重放 发布或传播不良信息,保护什么,1）硬件 工作站、磁盘、网络 （2）软件 源代码、程序、操作系统、通信系统 （3）数据 备份数据、审计数据、通信数据 （4）人 管理员、用户、来访者,信息安全的组成,信息安全涉及的知识领域,信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科,1.2 信息安全的发展历史,信息安全的发展经历了如下几个阶段： 古典信息安全 辐射安全 计算机安全 网络安全 信息安全,1.3 信息安全的目标,信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏，即保

6、证信息的安全性 信息安全的目标是指保障信息系统在遭受攻击的情况下信息的某些安全性质不变,1.3.1 安全性攻击,安全攻击（Security Attack）：任何以干扰、破坏网络系统为目的的非授权行为 对网络攻击的两种理解： 攻击发生在入侵行为完全完成且入侵者在目标系统内 从入侵者开始在目标机上工作时刻起，攻击已开始 攻击方式多种多样，环境越发广泛 可以是针对安全策略的违规行为 可以是针对授权特征的滥用行为 可以是针对正常行为特征的异常行为 网络攻击总有一定规律可寻,安全性攻击,被动攻击 (Passive attack)：对一个保密系统采取截获密文进行分析的攻击 攻击者在未被授权的情况下，非法获

7、取信息或数据文件，但不对数据信息作任何修改 搭线监听、无线截获、其他截获、流量分析 破坏了信息的机密性 主动攻击(Active attack)：非法入侵者(Tamper)、攻击者(Attcker)或黑客(Hacker)主动向系统窜扰，采用删除、增添、重放、伪造等窜改手段向系统注入假消息，达到利已害人的目的。 包括对数据流进行篡改或伪造 伪装、重放、消息篡改，破坏了信息的完整性 拒绝服务，破坏了信息系统的可用性,Attack type攻击类型,被动攻击,主动攻击,消息内容泄露,流量分析,重放,假冒,消息内容篡改,拒绝服务,Attack method 攻击主要方式,正常通讯,中断,窃听,篡改,假冒

8、,1.3.2 信息安全的目标,信息安全的基本目标（也称信息安全三要素）： 机密性：Confidentiality，指保证信息不被非授权访问。 完整性：Integrity，指信息在生成、传输、存储和使用过程中不应被第三方篡改。信息的完整性包括两个方面：（1）数据完整性：数据没有被未授权篡改或者损坏；（2）系统完整性：系统未被非法操纵，按既定的目标运行。 可用性 ：Availability，指授权用户可以根据需要随时访问所需信息,信息安全性质之间的关系,信息安全的目标是致力于保障信息的这三个特性不被破坏。构建安全系统的一个挑战就是在这些特性中找到一个平衡点，因为它们常常是相互矛盾的。因此，三个特征

9、是可以独立，也可以有重叠,其它信息安全性质,可靠性： Reliability，是指系统在规定条件下和规定时间内、完成规定功能的概率。 不可抵赖性： (Non-repudiation)，也称作抗否认性，是面向通信双方（人、实体或进程）信息真实统一的安全要求，它包括收、发双方均不可抵赖。 可审查性：Accountability，使用审计、监控、防抵赖等安全机制，使得使用者（包括合法用户、攻击者、破坏者、抵赖者）的行为有证可查，并能够对网络出现的安全问题提供调查依据和手段。 可控性：Controllability，是对信息及信息系统实施安全监控。管理机构对危害国家信息的来往、使用加密手段从事非法的通

10、信活动等进行监视审计，对信息的传播及内容具有控制能力,保密(Privacy)：确保敏感信息不被窃听。 访问控制(Access Control)：确保会话对方(人或计算机)有权做他所声称的事情。 认证(Authentication)：确保会话对方的资源(人或计算机)同他声称的相一致。 完整性(Integrity)控制：确保接收到的信息同发送的一致。 审计(Accountability)：确保任何发生的交易在事后可以被证实，发信者和收信者都认为交换发生过，即所谓的不可抵赖性,安全措施,信息安全的研究内容,信息安全的研究范围非常广泛，其领域划分成三个层次： 信息安全基础理论研究 信息安全应用技术研究

11、 信息安全管理研究,信息安全研究层次,信息安全从总体上可以分成5个层次：安全的密码算法，安全协议，网络安全，系统安全以及应用安全，层次结构如图,信息安全基础研究,密码理论 数据加密算法 消息认证算法 数字签名算法 密钥管理 安全理论 身份认证 授权和访问控制 安全审计 安全协议,信息安全应用研究,安全技术 防火墙技术 漏洞扫描和分析 入侵检测 防病毒。 平台安全 物理安全 网络安全 系统安全 数据安全 用户安全 边界安全,信息安全管理,三分技术，七分管理” “安全是一个过程，而不是一个产品” 70%攻击来自内部人员 信息安全系统是汇集了硬件、软件、网络和人的系统 多数组织存在严重安全管理漏洞,

12、信息安全管理研究,安全策略研究 包括安全风险评估、安全代价评估、安全机制的制定以及安全措施的实施和管理等。 安全标准研究 主要内容包括安全等级划分、安全技术操作标准、安全体系结构标准、安全产品测评标准和安全工程实施标准等。 安全测评研究 主要内容有测评模型、测评方法、测评工具、测评规程等,信息安全的保护机制,补充：1.5 信息安全体系,国际信息系统安全认证联盟（ISC）2的多重保护机制,1.5.1 OSI信息系统安全体系结构,定义：信息系统安全体系一个能为所保障对象提供的可用性、机密性、完整性、不可抵赖性、可授权性的可持续性的系统。 内容：安全服务、安全机制 机制： （1）风险分析（Risk）

13、 （2）安全防护（Protect） （3）安全检测（Detect） （4）测试与评估（Test and Evaluate） （5）应急响应（React） （6）恢复（Restore,OSI安全体系的安全服务,1. 认证服务（鉴别服务） 通信的对等实体鉴别服务：使N+1层实体确信某一时刻与之建立连接或进行数据传输的是它需要的一个或多个N+1实体。 数据原发鉴别：使N+1层实体确信接收到的数据单元的来源是自己要求的。 2. 访问控制服务 建立用户（主体）与资源（客体）之间的访问关系（如读、写、删除、运行等），防止对某一资源的非授权使用,3. 机密性服务 连接机密性保护：保证一次连接上的全部用户数据

14、都保护起来不使非授权泄露。 无连接机密性保护：为单个无连接的层服务数据单元（N-SDU）中的全部N用户数据提供机密性保护。 选择字段机密性保护：仅对处于N连接的用户数据或无连接的N-SDU中所选择的字段提供机密性保护。 通信业务流机密性保护：提供机密性保护，并保护不能通过观察通信业务流推断出其中的机密信息,OSI安全体系的安全服务,4. 完整性服务 带恢复的连接完整性服务； 不带恢复的连接完整性服务； 选择字段连接完整性服务； 无连接完整性服务； 选择字段无连接完整性服务。 5. 抗抵赖服务（抗否认性） 有数据原发证明的抗抵赖：防止发送方抵赖； 有数据交付证明的抗抵赖：防止接收方抵赖,OSI安

15、全体系的安全服务,OSI安全体系结构中的安全服务配置,OSI安全体系的特定安全机制,1. 加密机制：能为数据提供机密性，也能为通信业务流信息提供机密性，通常采用密码、信息隐藏等方法实现 2. 数据签名机制：用以提供认证或抗抵赖服务，是基于密码体制的一种机制。 3. 访问控制机制 数据机密性； 数据完整性； 可用性。 4. 完整性保护机制：避免未授权的数据乱序、丢失、重放、插入以及篡改，具体技术有校验码（抗修改）、顺序号（防乱序）、时间标记（防重放、防丢失）等,5. 通信业填充机制：通信业填充机制是一种用于提供业务流机密性保护的反分析机制，它可以生成伪造的通信实例、伪造的数据单元或/和数据单元中

16、伪造的数据，使攻击者难于从数据流量对通信业务进行分析。 6. 路由选择控制机制。例如： 当检测到持续的攻击时，便指示网络服务提供者经别的路由建立连接； 依据安全策略，可以禁止带有某些安全标记的数据通过某些子网络、中继站或链路； 连接的发起者或无连接中数据的发送者，可以指定路由选择说明，以请求回避某些特定的子网络、中继站或链路,OSI安全体系的特定安全机制,7. 公证机制 仲裁方式和判决方式。 8. 鉴别交换机制 鉴别信息：如口令、生物信息、身份卡等； 密码技术。 时间标记与同步时钟； 二次握手（对应单方鉴别）或三次握手（对应双方鉴别）； 抗否认机制：数字签名和公认机制,OSI安全体系的特定安全

17、机制,OSI安全服务与安全机制之间的关系,1.5.2基于信息保障的信息系统安全,20世纪60年代倡导通信保密措施，到了20世纪60到70年代，逐步推行计算机安全，信息安全概念是20世纪80年代到90年代才被广泛提出的，20世纪90年代以后，开始倡导信息保障 信息保障（IA ，Information Assurance ）的概念最早来自1996年12月9日以美国国防部长的名义发表的DoD Directive s-3600.1: Information Operation中。 从被动防御走向主动防御 从静态防御走向动态防御 从技术与管理分离到技术与管理融合,从被动到主动防御,PDR模型,Winn

18、Schwartau的原装PDR图示,从静态防御走向动态防御,信息系统本身充满了动态性： 信息系统的需求是动态的； 安全漏洞具有动态性：网络设备和应用系统在设计开发过程中必然会存在某些缺陷和漏洞，新的系统部件也会引入新的问题。 系统建设是动态的，新应用、新产品不断应用，设备、应用系统和操作系统平台的不断升级和复杂化。 网络拓扑是动态的：在网络的运行中，用户和拓扑是动态变化的。 网络上的各种威胁也是动态的,时间是量化的，可以被计算的。再引入Et=暴露时间，则可以得到如下关系 如果 Pt Dt + Rt，那么 系统是安全的； 如果 Pt Dt + Rt，那么 Et=（Dt + Rt）Pt,基于时间关

19、系的PDR模型原理,从技术与管理分离到技术与管理融合,PDRR模型,信息保障（IA，Information Assurance）的核心思想是对系统或者数据的4个方面的要求：保护（Protect），检测（Detect），反应（React）和恢复（Restore），结构如图,PDRR保障体系,保护（Protect）指采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否认性。 检测（Detect）指提供工具检查系统可能存在的黑客攻击、白领犯罪和病毒泛滥等脆弱性。 反应（React）指对危及安全的事件、行为、过程及时做出响应处理，杜绝危害的进一步蔓延扩大，力求系统尚能提供正常服务。 恢复

20、（Restore）指一旦系统遭到破坏，尽快恢复系统功能，尽早提供正常的服务,1.6 网络安全,网络安全（Network Security）的一个通用定义： 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 网络安全又分为： （l）运行系统安全，即保证信息处理和传输系统的安全。 （2）网络上系统信息的安全。 （3）网络上信息传播的安全。 （4）网络上信息内容的安全,网络信息安全与保密的核心是通过计算机、网络、密码技术和安全技术，保护在公用网络信息系统中传输、交换和存储的消息的保密性、完整性、真实性、

21、可靠性、可用性、不可抵赖性等,1.6.1网络安全概念,网络传输信息的安全: 保密性、完整性、可用性、可信性等 把网络看成一个透明的、不安全的信道 系统安全： 网络环境下的端系统安全 网络安全: 网络的保密性：存在性、拓扑结构等 网络的完整性：路由信息、域名信息 网络的可用性：网络基础设施 计算、通信资源的授权使用：地址、带宽,影响网络安全因素,缺乏用户身份鉴别机制 使用IP作为节点主要标识 TCP/IP没有对IP地址真实性的鉴别机制 网络拓扑暴露 缺乏路由协议鉴别认证机制 缺乏保密性 TCP/UDP缺陷 三次握手缺陷 初始序列号缺陷 UDP易受源路由和DoS攻击 TCP/IP服务的脆弱性,物理

22、威胁,1、偷窃：网络安全中的偷窃包括偷窃设备、偷窃信息和偷窃服务等内容。如果他们想偷的信息在计算机里，那他们一方面可以将整台计算机偷走，另一方面通过监视器读取计算机中的信息。 2、废物搜寻：就是在废物（如一些打印出来的材料或废弃的磁盘）中搜寻所需要的信息。 3、间谍行为：是一种为了省钱或获取有价值的机密、采用不道德的手段获取信息。 4、身份识别错误：非法建立文件或记录，企图把他们作为有效的、正式生产的文件或记录，如对具有身份鉴别特征物品如护照、执照、出生证明或加密的安全卡进行伪造，属于身份识别发生错误的范畴。这种行为对网络数据构成了巨大的威胁,物理威胁（续,5、电磁泄漏 电子计算机和其他电子设

23、备一样，工作时要产生电磁发射。 电磁发射包括辐射发射和传导发射。 这两种电磁发射可被高灵敏度的接收设备接收并进行分析、还原，造成计算机的信息泄露。 屏蔽是防电磁泄漏的有效措施，屏蔽主要有电屏蔽、磁屏蔽和电磁屏蔽三种类型,线缆连接威胁,1、窃听：对通信过程进行窃听可达到收集信息的目的，这种电子窃听不一定需要窃听设备一定安装在电缆上，可以通过检测从连线上发射出来的电磁辐射就能拾取所要的信号，为了使机构内部的通信有一定的保密性，可以使用加密手段来防止信息被解密。 2、拨号进入：拥有一个调制解调器和一个电话号码，每个人都可以试图通过远程拨号访问网络，尤其是拥有所期望攻击的网络的用户账户时，就会对网络造

24、成很大的威胁。 3、冒名顶替：通过使用别人的密码和账号时，获得对网络及其数据、程序的使用能力。这种办法实现起来并不容易，而且一般需要有机构内部的、了解网络和操作过程的人参与,操作系统安全,操作系统是计算机中最基本、最重要的软件。 同一计算机可以安装几种不同的操作系统。 如果计算机系统可提供给许多人使用，操作系统必须能区分用户，以便于防止相互干扰。 一些安全性较高、功能较强的操作系统可以为计算机的每一位用户分配账户。 通常，一个用户一个账户。操作系统不允许一个用户修改由另一个账户产生的数据,系统漏洞威胁,1、乘虚而入：例如，用户A停止了与某个系统的通信，但由于某种原因仍使该系统上的一个端口处于激

25、活状态，这时，用户B通过这个端口开始与这个系统通信，这样就不必通过任何申请使用端口的安全检查了。 2、不安全服务：有时操作系统的一些服务程序可以绕过机器的安全系统，互联网蠕虫就利用了UNIX系统中三个可绕过的机制。 3、配置和初始化错误：如果不得不关掉一台服务器以维修它的某个子系统，几天后当重启动服务器时，可能会招致用户的抱怨，说他们的文件丢失了或被篡改了，这就有可能是在系统重新初始化时，安全系统没有正确的初始化，从而留下了安全漏洞让人利用，类似的问题在木马程序修改了系统的安全配置文件时也会发生,身份鉴别威胁,1、口令圈套：口令圈套是网络安全的一种诡计，与冒名顶替有关。常用的口令圈套通过一个编

26、译代码模块实现，它运行起来和登录屏幕一模一样，被插入到正常有登录过程之前，最终用户看到的只是先后两个登录屏幕，第一次登录失败了，所以用户被要求再输入用户名和口令。实际上，第一次登录并没有失败，它将登录数据，如用户名和口令写入到这个数据文件中，留待使用。 2、口令破解：破解口令就像是猜测自行车密码锁的数字组合一样，在该领域中已形成许多能提高成功率的技巧。 3、算法考虑不周：口令输入过程必须在满足一定条件下才能正常地工作，这个过程通过某些算法实现。在一些攻击入侵案例中，入侵者采用超长的字符串破坏了口令算法，成功地进入了系统。 4、编辑口令：编辑口令需要依靠操作系统漏洞，如果公司内部的人建立了一个虚

27、设的账户或修改了一个隐含账户的口令，这样，任何知道那个账户的用户名和口令的人便可以访问该机器了,有害程序威胁,1、病毒：病毒是一种把自己的拷贝附着于机器中的另一程序上的一段代码。通过这种方式病毒可以进行自我复制，并随着它所附着的程序在机器之间传播。 2、代码炸弹：代码炸弹是一种具有杀伤力的代码，其原理是一旦到达设定的日期或钟点，或在机器中发生了某种操作，代码炸弹就被触发并开始产生破坏性操作。代码炸弹不必像病毒那样四处传播，程序员将代码炸弹写入软件中，使其产生了一个不能轻易地找到的安全漏洞，一旦该代码炸弹被触发后，这个程序员便会被请回来修正这个错误，并赚一笔钱，这种高技术的敲诈的受害者甚至不知道他们被敲诈了，即便他们有疑心也无法证实自己的猜测。 3、特洛伊木马：特洛伊木马程序一旦被安装到机器上，便可按编制者的意图行事。特洛伊木马能够摧毁数据，有时伪装成系统上已有的程序，有时创建新的用户名和口令,冒名顶替,废