数据库引论课件

1、数据库引论课件信息系统安全教程课件电子邮件：电子邮件：数据库引论课件信息系统安全教程信息系统安全教程 张基温张基温著著数据库引论课件基本内容基本内容 引论引论 数据保密数据保密 认证认证数据认证、身份认证数据认证、身份认证 访问控制访问控制 入侵与攻击入侵与攻击 网络防卫网络防卫 安全管理安全管理数据库引论课件引引 论论 信息系统安全风险信息系统安全风险 信息系统安全概念信息系统安全概念 信息系统安全体系信息系统安全体系数据库引论课件0.1信息系统风险信息系统风险 系统风险是指系统系统风险是指系统遭受意外损失的可遭受意外损失的可能性，它主要来自能性，它主要来自系统可能遭受的各系统可能遭受的各种

2、威胁、系统本身种威胁、系统本身的脆弱性以及系统的脆弱性以及系统对于威胁的失策。对于威胁的失策。数据库引论课件信息信息 已经有多种的解释已经有多种的解释 认识论：把信息看作不确定性的减少或传认识论：把信息看作不确定性的减少或传递中的知识差（递中的知识差（degree of knowledgedegree of knowledge） 哲学界：信息是以传递知识差的形式来减哲学界：信息是以传递知识差的形式来减少不确定性、增加系统有序度的资源。少不确定性、增加系统有序度的资源。0.1.1 0.1.1 信息系统及其重要性信息系统及其重要性数据库引论课件信息系统信息系统 信息系统就是一种减少不确定性、减少风

3、信息系统就是一种减少不确定性、减少风险的工具。险的工具。 信息系统就是一种开发信息资源的工具，信息系统就是一种开发信息资源的工具，是信息以及用于信息的采集、传输、存储、是信息以及用于信息的采集、传输、存储、管理、检索和利用等工具的有机整体。管理、检索和利用等工具的有机整体。数据库引论课件0.1.2 0.1.2 信息系统安全的威胁信息系统安全的威胁 信息系统安全威胁（信息系统安全威胁（threadthread）是指对于信息系统的组成要是指对于信息系统的组成要素及其功能造成某种损害的素及其功能造成某种损害的潜在可能。潜在可能。 数据库引论课件按照威胁的来源分类按照威胁的来源分类 （1 1）自然灾害

4、威胁）自然灾害威胁 （2 2）滥用性威胁）滥用性威胁 （3 3）有意人为威胁）有意人为威胁数据库引论课件按照作用对象分类按照作用对象分类 （1 1）针对信息的威胁）针对信息的威胁 机密性（机密性（confidentialityconfidentiality） 完整性（完整性（integrityintegrity） 可用性（可用性（availabilityavailability） 真实性（真实性（authenticityauthenticity）因此，针对信息（资源）的威胁可以归结为三类：因此，针对信息（资源）的威胁可以归结为三类： 信息破坏：非法取得信息的使用权，删除、修改、插入、恶信息破坏

5、：非法取得信息的使用权，删除、修改、插入、恶意添加或重发某些数据，以影响信息正常用户的正常使用。意添加或重发某些数据，以影响信息正常用户的正常使用。 信息泄密：故意或偶然地非法侦收、截获、分析某些信息系信息泄密：故意或偶然地非法侦收、截获、分析某些信息系统中的信息，造成系统数据泄密。统中的信息，造成系统数据泄密。 假冒或否认：假冒某一可信任方进行通信或者对发送的数据假冒或否认：假冒某一可信任方进行通信或者对发送的数据事后予以否认。事后予以否认。 （2 2）针对系统的威胁）针对系统的威胁 包括对系统硬件的威胁和对系统软件的威胁。包括对系统硬件的威胁和对系统软件的威胁。数据库引论课件按照方法的分类

6、按照方法的分类 （1 1）信息泄露）信息泄露 在传输中被利用电磁辐射或搭接线路的方式窃取；在传输中被利用电磁辐射或搭接线路的方式窃取； 授权者向未授权者泄露授权者向未授权者泄露 存储设备被盗窃或盗用；存储设备被盗窃或盗用； 未授权者利用特定的工具捕获网络中的数据流量、流向、未授权者利用特定的工具捕获网络中的数据流量、流向、数据长度等数据进行分析，从中获取敏感信息。数据长度等数据进行分析，从中获取敏感信息。 （2 2）扫描（）扫描（scanscan） 扫描是利用特定的软件工具向目标发送特制的数据包，扫描是利用特定的软件工具向目标发送特制的数据包，对响应进行分析，以了解目标网络或主机的特征。对响应

7、进行分析，以了解目标网络或主机的特征。 （3 3）入侵（）入侵（intrusionintrusion） 旁路控制旁路控制 假冒假冒 口令破解口令破解 合法用户的非授权访问合法用户的非授权访问数据库引论课件（4 4）拒绝服务（）拒绝服务（denial of servicedenial of service，DoSDoS） DoSDoS指系统的可用性因服务中断而遭到破坏。指系统的可用性因服务中断而遭到破坏。DoSDoS攻击常常攻击常常通过用户进程消耗过多的系统资源造成系统阻塞或瘫痪。通过用户进程消耗过多的系统资源造成系统阻塞或瘫痪。（5 5）抵赖（否认）抵赖（否认） 发方事后否认自己曾经发送过的某

8、些消息；发方事后否认自己曾经发送过的某些消息； 收方事后否认自己曾经收到过的某些消息；收方事后否认自己曾经收到过的某些消息； 发方事后否认自己曾经发送过的某些消息的内容；发方事后否认自己曾经发送过的某些消息的内容； 收方事后否认自己曾经收到过的某些消息的内容。收方事后否认自己曾经收到过的某些消息的内容。（6 6）滥用（）滥用（misusemisuse） 传播恶意代码传播恶意代码 复制复制/ /重放重放 发布或传播不良信息发布或传播不良信息按照方法的分类按照方法的分类数据库引论课件0.1.3 0.1.3 信息系统安全的脆弱性信息系统安全的脆弱性数据库引论课件信息系统脆弱性的根源信息系统脆弱性的根

9、源 （1 1）基于信息属性的本源性脆弱）基于信息属性的本源性脆弱（2 2）基于系统复杂性的结构性脆弱）基于系统复杂性的结构性脆弱（3 3）基于攻防不对称性的普通性脆弱）基于攻防不对称性的普通性脆弱数据库引论课件基于信息属性的本源性脆弱基于信息属性的本源性脆弱 依附性和多质性：依附于物质及其运动过程，随着它所依附依附性和多质性：依附于物质及其运动过程，随着它所依附的物质及其运动方式的不同，形成信息的多媒体性质的物质及其运动方式的不同，形成信息的多媒体性质多多质性。质性。 非消耗性：不像物质和能量那样会在传输、存储和使用中被非消耗性：不像物质和能量那样会在传输、存储和使用中被消耗。消耗。 可共享性

10、可共享性/ /可重用性：信息不像物质和能量那样具有独占性，可重用性：信息不像物质和能量那样具有独占性，它容易被复制、被共享。它容易被复制、被共享。 聚变性和增值性：信息对于不确定性的减少，具有聚变性和增值性：信息对于不确定性的减少，具有1+11+1不等不等于于2 2的性质，即多个相关信息一起作用可能会大于（也可能的性质，即多个相关信息一起作用可能会大于（也可能小于）单个信息被分别获取所起的作用，而且在信息的使用小于）单个信息被分别获取所起的作用，而且在信息的使用过程中，不仅不会被消耗，还会被增值，形成消除更多不确过程中，不仅不会被消耗，还会被增值，形成消除更多不确定性的信息。定性的信息。 易伪

11、性：由于多质性，使信息很容易被伪造、被篡改、被破易伪性：由于多质性，使信息很容易被伪造、被篡改、被破坏。坏。数据库引论课件基于系统复杂性的结构性脆弱基于系统复杂性的结构性脆弱 新技术的应用，使信息系统不断趋于复杂。新技术的应用，使信息系统不断趋于复杂。 信息系统除了技术上的复杂性外，功能的扩充和需求的扩信息系统除了技术上的复杂性外，功能的扩充和需求的扩展，使其规模也越来越大。这就是人们常说的展，使其规模也越来越大。这就是人们常说的80%80%的人只使的人只使用其中用其中20%20%的功能。的功能。 一般说来，系统规模越大、越复杂，设计、建造和管理一般说来，系统规模越大、越复杂，设计、建造和管理

12、的难度就越大，所包含漏洞就越多，系统就越脆弱。例如，的难度就越大，所包含漏洞就越多，系统就越脆弱。例如，一个一个WindowsWindows操作系统，尽管推出已经有许多年之久，但其操作系统，尽管推出已经有许多年之久，但其漏洞还不断被发现。漏洞还不断被发现。 信息技术、信息安全是一个多种要素的复杂集成，是一种信息技术、信息安全是一个多种要素的复杂集成，是一种“互动关联性互动关联性”很强的安全。按照木通原理，整体的脆弱很强的安全。按照木通原理，整体的脆弱性等于最薄弱处和最薄弱时刻的脆弱性，只要有一处存在性等于最薄弱处和最薄弱时刻的脆弱性，只要有一处存在安全隐患，系统就存在安全隐患；只要有安全隐患，

13、系统就存在安全隐患；只要有1%1%的不安全，就的不安全，就等于等于100%100%的不安全；只要某个时刻表现出脆弱，系统就是的不安全；只要某个时刻表现出脆弱，系统就是全程的脆弱。全程的脆弱。数据库引论课件基于攻防不对称性的普通性脆弱基于攻防不对称性的普通性脆弱 攻击可以在任意时刻发起，防御必须随时警惕；攻击可以在任意时刻发起，防御必须随时警惕； 攻击可以选择一个薄弱点进行，防御必须全线设攻击可以选择一个薄弱点进行，防御必须全线设防；防； 攻击包含了对未知缺陷的探测，防御只能对已知攻击包含了对未知缺陷的探测，防御只能对已知的攻击防御；的攻击防御； 攻击常在暗处，具隐蔽性，防御常在明处，表面攻击常

14、在暗处，具隐蔽性，防御常在明处，表面看起来完美，使人容易疏忽，丧失警惕；看起来完美，使人容易疏忽，丧失警惕； 攻击可以肆意进行，防御必须遵循一定的规则。攻击可以肆意进行，防御必须遵循一定的规则。数据库引论课件基于网络的开放和数据库共享基于网络的开放和数据库共享的应用性脆弱的应用性脆弱 现代信息系统是基于信息处理和信息传输现代信息系统是基于信息处理和信息传输技术的。现代信息处理中重要的支撑技术是技术的。现代信息处理中重要的支撑技术是数据库技术，现代通信技术的支撑是电磁通数据库技术，现代通信技术的支撑是电磁通信和计算机网络。而数据库的共享性、电磁信和计算机网络。而数据库的共享性、电磁通信的易攻击性

15、和计算机网络的开放性，都通信的易攻击性和计算机网络的开放性，都使信息系统显得非常脆弱。使信息系统显得非常脆弱。数据库引论课件信息系统脆弱性的表现信息系统脆弱性的表现 （1 1）芯片的安全脆弱性）芯片的安全脆弱性 （2 2）操作系统安全漏洞）操作系统安全漏洞 下面列举操作系统脆弱性的一些共性：下面列举操作系统脆弱性的一些共性： 后门式漏洞。后门式漏洞。 “ “补丁补丁”式漏洞。式漏洞。 远程创建进程式漏洞。远程创建进程式漏洞。数据库引论课件（3 3）数据库安全的脆弱性）数据库安全的脆弱性 例如：例如： 数据库中存放着大量数据。数据库中存放着大量数据。 数据库数据的共享性可能导致一个用户对数据的修

16、改影响数据库数据的共享性可能导致一个用户对数据的修改影响了其他用户的正常使用。了其他用户的正常使用。 数据库不保存历史数据，一个数据被修改，旧值就被破坏数据库不保存历史数据，一个数据被修改，旧值就被破坏 联机数据库可以被多用户共享，可能会造成多个用户操作联机数据库可以被多用户共享，可能会造成多个用户操作而使数据的完整性破坏。而使数据的完整性破坏。（4 4）计算机网络的安全脆弱性）计算机网络的安全脆弱性 传输中脆弱性，如电磁辐射、串音干扰、线路窃听等。传输中脆弱性，如电磁辐射、串音干扰、线路窃听等。 网络体系结构的开放性脆弱。网络体系结构的开放性脆弱。 网络服务的安全脆弱性。网络服务的安全脆弱性

17、。信息系统脆弱性的表现信息系统脆弱性的表现数据库引论课件0.2 0.2 信息系统安全概念信息系统安全概念 0.2.1 0.2.1 基于通信保密的信息系统安全概念基于通信保密的信息系统安全概念 0.2.2 0.2.2 基于信息系统防护的信息系统安全基于信息系统防护的信息系统安全概念概念 0.2.3 0.2.3 基于信息保障的信息系统安全概念基于信息保障的信息系统安全概念数据库引论课件0.2.1 0.2.1 基于通信保密的信息系统安全概念基于通信保密的信息系统安全概念 早期的信息保密早期的信息保密 2.2.计算机时代的信息保密计算机时代的信息保密Enigma加密机加密机数据库引论课件0.2.20.

18、2.2 基于信息系统防护的信息系统安全概念基于信息系统防护的信息系统安全概念 具体目标：具体目标： 系统保护：对设施或技术系统的可靠性、完整性和可用系统保护：对设施或技术系统的可靠性、完整性和可用性保护；性保护； 信息内容保护：保护系统中数据的机密性、完整性、可信息内容保护：保护系统中数据的机密性、完整性、可用性。用性。 这个概念的形成经历了两个阶段：这个概念的形成经历了两个阶段： 计算机安全计算机安全这一时代的标志是这一时代的标志是1970年美国国防科学委员会提出，并于年美国国防科学委员会提出，并于1985年年12月美国国防部（月美国国防部（DoD）公布的可信计算机系统评价准则（）公布的可信

19、计算机系统评价准则（TCSEC，橘皮书）。它将计算机的安全分为橘皮书）。它将计算机的安全分为4个方面（安全策略、可说明性、个方面（安全策略、可说明性、安全保障和文档）、安全保障和文档）、7个等级（个等级（D、C1、C2、B1、B2、B3、A1）。）。A1级别最高。级别最高。数据库引论课件计算机网络安全计算机网络安全由于由于20世纪世纪90年代因特网的发展，网络成为了计算机应年代因特网的发展，网络成为了计算机应用的重要形式。计算机网络面临的威胁从程度上、范围上用的重要形式。计算机网络面临的威胁从程度上、范围上都大大超过了单机时代，例如恶意代码、各种非法入侵、都大大超过了单机时代，例如恶意代码、各

20、种非法入侵、不良信息的传播等。于是不良信息的传播等。于是“网络安全网络安全”一词开始被广泛采一词开始被广泛采用，它强调在整个信息系统中，计算机网络是保护的关键用，它强调在整个信息系统中，计算机网络是保护的关键部位，保护了计算机网络的安全，信息系统的主要安全问部位，保护了计算机网络的安全，信息系统的主要安全问题就可以解决。题就可以解决。这个时期的标志是这个时期的标志是“9.11”事件发生后，布什总统于事件发生后，布什总统于2001年年10月月16日签署并发布的日签署并发布的13231号行政命令号行政命令-信息信息时代的关键基础设施保护时代的关键基础设施保护和和2002年年9月月18日出台的日出台

21、的网网络安全国家战略络安全国家战略。数据库引论课件0.2.3 0.2.3 基于信息保障的信息系统安全概念基于信息保障的信息系统安全概念 信息保障（信息保障（ Information Assurace ）的概念最初）的概念最初是由美国国防部长办公室提出来的后被写入命令是由美国国防部长办公室提出来的后被写入命令DoD Directive S-DoD Directive S-3600.1 Information Operation3600.1 Information Operation中，在中，在19961996年年1212月月9 9日以国防部的名义发表日以国防部的名义发表 ，将信息安全的属性，将信

22、息安全的属性从过去的保密性、完整性、可用性，又增添了可从过去的保密性、完整性、可用性，又增添了可验证性和不可否认性。但是，信息保障的思想应验证性和不可否认性。但是，信息保障的思想应该说在这个命令的前一年，即该说在这个命令的前一年，即19951995年年1212月美国国月美国国防部提出的防部提出的 PDR PDR 模型中就已经体现出来了。模型中就已经体现出来了。 数据库引论课件 可以说，信息保障的概念也是在可以说，信息保障的概念也是在 PDR PDR （protection detection responseprotection detection response，防护，防护检测检测响应）模

23、型的不断完善中发展的。响应）模型的不断完善中发展的。从被动防御走向主动防御从被动防御走向主动防御从静态防御走向动态防御从静态防御走向动态防御从技术与管理分离到技术与管理融合从技术与管理分离到技术与管理融合PDRR PDRR 模型模型防护（防护（ProtectProtect）、检测（）、检测（DetectDetect）、响应（）、响应（ReactReact）、恢复（）、恢复（RestoreRestore） 数据库引论课件从被动到主动防御从被动到主动防御模型模型PDRRPDRR模型模型日本阪神大地震日本阪神大地震美国美国911911事件事件数据库引论课件从静态防御走向动态防御从静态防御走向动态防御

24、 信息系统本身充满了动态性：信息系统本身充满了动态性： 信息系统的需求是动态的；信息系统的需求是动态的； 安全漏洞具有动态性：网络设备和应用系统在设安全漏洞具有动态性：网络设备和应用系统在设计开发过程中必然会存在某些缺陷和漏洞，新的计开发过程中必然会存在某些缺陷和漏洞，新的系统部件也会引入新的问题。系统部件也会引入新的问题。 系统建设是动态的，新应用、新产品不断出现，系统建设是动态的，新应用、新产品不断出现，设备、应用系统和操作系统平台的不断升级和复设备、应用系统和操作系统平台的不断升级和复杂化。杂化。 网络拓扑是动态的：在网络的运行中，用户和拓网络拓扑是动态的：在网络的运行中，用户和拓扑是动

25、态变化的。扑是动态变化的。 网络上的各种威胁也是动态的。网络上的各种威胁也是动态的。因此要求系统防护也是动态的。因此要求系统防护也是动态的。数据库引论课件 时间是量化的，可以被计算。时间是量化的，可以被计算。t t 是系统整体防护时间是系统整体防护时间; Dt ; Dt 是检测时间是检测时间; Rt ; Rt 是系统响应时间，再引入是系统响应时间，再引入 Et=Et=暴露时间，则可以得暴露时间，则可以得到如下关系到如下关系 如果如果 Pt Dt + RtPt Dt + Rt，那么，那么 系统是安全的；系统是安全的； 如果如果 Pt Dt + RtPt Dt + Rt，那么，那么 Et=Et=（

26、Dt + RtDt + Rt）PtPt。数据库引论课件从技术与管理分离到技术与管理融合从技术与管理分离到技术与管理融合 PPDRPPDR模型模型 信息安全保障要依赖于人、技术和管理三者共同完成，通过提高系信息安全保障要依赖于人、技术和管理三者共同完成，通过提高系统的预警能力、保护能力、检测能力、反应能力和恢复能力，在信息和统的预警能力、保护能力、检测能力、反应能力和恢复能力，在信息和系统生命周期全过程的各个状态下提供适当的安全功能。其中，管理的系统生命周期全过程的各个状态下提供适当的安全功能。其中，管理的作用是非常突出的。作用是非常突出的。 管理是管理是PPDRPPDR模型的核心，是整个信息系

27、统安全的依据，是所有的保模型的核心，是整个信息系统安全的依据，是所有的保护、检测、响应的实施依据。强调安全策略的实质就是要充分考虑人的护、检测、响应的实施依据。强调安全策略的实质就是要充分考虑人的管理因素。管理因素。数据库引论课件0.2.4 0.2.4 基于经济学的信息系统安全概念基于经济学的信息系统安全概念 对于信息系统安全来说，需要考虑如下三对于信息系统安全来说，需要考虑如下三个与经济有关的问题：个与经济有关的问题： 系统资产：需要保护系统的哪些资源？这些被保系统资产：需要保护系统的哪些资源？这些被保护的资源统称系统资产。护的资源统称系统资产。 资产损失：明确系统被攻击成功时遭受的损失。资

28、产损失：明确系统被攻击成功时遭受的损失。 投入：确定为保护系统安全需要投入的资金。投入：确定为保护系统安全需要投入的资金。数据库引论课件1.1.资产资产 （1 1）物理资源）物理资源 （2 2）信息资源）信息资源 （3 3）时间资源）时间资源 （4 4）人力资源）人力资源 （5 5）信誉（形象）资源）信誉（形象）资源数据库引论课件2.2.资产损失资产损失3 3 种情形：种情形： （1 1）一时性损失。如）一时性损失。如系统死机、人员不能工系统死机、人员不能工作、处理时间拖延等。作、处理时间拖延等。 （2 2）长期恢复损失。）长期恢复损失。如信息资源的重新配置如信息资源的重新配置等，需要一定的时

29、间。等，需要一定的时间。 （3 3）潜在损失。）潜在损失。 损失内容：损失内容： （1 1）资金损失：）资金损失： 生产力损失；生产力损失； 直接损失的设备和资金；直接损失的设备和资金； 调查成本；调查成本； 修复或更换设备付出的成本；修复或更换设备付出的成本； 专家咨询成本；专家咨询成本； 员工加班的报酬等。员工加班的报酬等。 （2 2）形象损失）形象损失 （3 3）业务损失）业务损失 （4 4）人员流失。）人员流失。数据库引论课件3.3.安全投资安全投资安全强度高中低高中低侵入可能性安全投入平衡点安全强度高高中中低低较低侵入可能性安全投入平衡点1较高侵入可能性平衡点2（a a）安全投入与侵

30、入可能性的折中）安全投入与侵入可能性的折中 （b b）平衡点的变化）平衡点的变化数据库引论课件4.4.适度的安全适度的安全 适度的安全包含了如下适度的安全包含了如下 3 3 个安全概念：个安全概念： （1 1）不够安全：安全投入小于所减少的损失。）不够安全：安全投入小于所减少的损失。 （2 2）适度安全：安全投入等于所减少的损失。）适度安全：安全投入等于所减少的损失。 （3 3）过分安全：安全投入大于所减少的损失。）过分安全：安全投入大于所减少的损失。数据库引论课件0.3 0.3 信息系统安全体系信息系统安全体系数据库引论课件0.3.1 OSI 0.3.1 OSI 信息系统安全体系结构概述信息

31、系统安全体系结构概述 定义：信息系统安全体系是一个能为所保障对象提定义：信息系统安全体系是一个能为所保障对象提供可用性、机密性、完整性、不可抵赖性、可授权供可用性、机密性、完整性、不可抵赖性、可授权性的可持续系统。性的可持续系统。 机制：机制： （1 1）风险分析（）风险分析（RiskRisk） （2 2）安全防护（）安全防护（ProtectProtect） （3 3）安全检测（）安全检测（DetectDetect） （4 4）测试与评估（）测试与评估（Test and EvaluateTest and Evaluate） （5 5）应急响应（）应急响应（ReactReact） （6 6）恢复

32、（）恢复（RestoreRestore）数据库引论课件0.3.2 OSI0.3.2 OSI安全体系的安全服务安全体系的安全服务 1. 1. 认证服务认证服务 通信的对等实体鉴别服务：使通信的对等实体鉴别服务：使N+1N+1层实体确信某一时刻与层实体确信某一时刻与之建立连接或进行数据传输的是它需要的一个或多个之建立连接或进行数据传输的是它需要的一个或多个N N层层实体。实体。 数据原发鉴别：使数据原发鉴别：使N+1N+1层实体确信接收到的数据单元的来层实体确信接收到的数据单元的来源是自己要求的。源是自己要求的。 2. 2. 访问控制服务访问控制服务 建立用户（主体）与资源（客体）之间的访问关系（

33、如建立用户（主体）与资源（客体）之间的访问关系（如读、写、删除、运行等），防止对某一资源的非授权使用。读、写、删除、运行等），防止对某一资源的非授权使用。数据库引论课件3. 3. 机密性服务机密性服务 连接机密性保护：保证一次（）连接上的全部（连接机密性保护：保证一次（）连接上的全部（）用户数据都保护起来不使非授权泄露。）用户数据都保护起来不使非授权泄露。 无连接机密性保护：为单个无连接的层服务数据单无连接机密性保护：为单个无连接的层服务数据单元（元（N-SDUN-SDU）中的全部）中的全部N N用户数据提供机密性保护。用户数据提供机密性保护。 选择字段机密性保护：仅对处于选择字段机密性保护：

34、仅对处于N N连接的用户数据或无连接的用户数据或无连接的连接的N-SDUN-SDU中所选择的字段提供机密性保护。中所选择的字段提供机密性保护。 通信业务流机密性保护：提供机密性保护，并保护不通信业务流机密性保护：提供机密性保护，并保护不能通过观察通信业务流推断出其中的机密信息。能通过观察通信业务流推断出其中的机密信息。0.3.2 OSI0.3.2 OSI安全体系的安全服务安全体系的安全服务数据库引论课件0.3.2 OSI0.3.2 OSI安全体系的安全服务安全体系的安全服务 4. 4. 完整性服务完整性服务 带恢复的连接完整性服务；带恢复的连接完整性服务； 不带恢复的连接完整性服务；不带恢复的

35、连接完整性服务； 选择字段连接完整性服务；选择字段连接完整性服务； 无连接完整性服务；无连接完整性服务； 选择字段无连接完整性服务。选择字段无连接完整性服务。 5. 5. 抗抵赖服务抗抵赖服务 有数据原发证明的抗抵赖：防止发送方抵赖；有数据原发证明的抗抵赖：防止发送方抵赖； 有数据交付证明的抗抵赖：防止接收方抵赖。有数据交付证明的抗抵赖：防止接收方抵赖。数据库引论课件OSIOSI安全体系结构中的安全服务配置安全体系结构中的安全服务配置 安全服务安全服务协议层协议层1 12 23 34 45 56 67 7对等实体鉴别对等实体鉴别Y YY YY Y数据原发鉴别数据原发鉴别Y YY YY Y访问控

36、制访问控制Y YY YY Y连接机密性连接机密性Y YY YY YY YY YY Y无连接机密性无连接机密性Y YY YY YY YY Y选择字段机密性选择字段机密性Y Y通信业务流机密性通信业务流机密性Y YY YY Y带恢复的连接完整性带恢复的连接完整性Y Y不带恢复的连接完整性不带恢复的连接完整性Y YY YY Y选择字段连接完整性选择字段连接完整性Y Y无连接完整性无连接完整性Y YY YY Y选择字段无连接完整性选择字段无连接完整性Y YY YY Y有数据原发证明的抗抵赖有数据原发证明的抗抵赖Y Y有数据交付证明的抗抵赖有数据交付证明的抗抵赖Y Y数据库引论课件0.3.3 OSI0.

37、3.3 OSI安全体系的特定安全机制安全体系的特定安全机制 1. 1. 加密机制加密机制 能为数据提供机密性，也能为通信业务流信息提供机密能为数据提供机密性，也能为通信业务流信息提供机密性，通常采用密码、信息隐藏等方法实现性，通常采用密码、信息隐藏等方法实现 2. 2. 数字签名机制数字签名机制 用以提供认证或抗抵赖服务，是基于密码体制的一种机制。用以提供认证或抗抵赖服务，是基于密码体制的一种机制。 3. 3. 访问控制机制访问控制机制 数据机密性；数据机密性； 数据完整性；数据完整性； 可用性。可用性。数据库引论课件4. 4. 完整性保护机制完整性保护机制 避免未授权的数据乱序、丢失、重放、

38、插入以及篡改，具体避免未授权的数据乱序、丢失、重放、插入以及篡改，具体技术有校验码（抗修改）、顺序号（防乱序）、时间标记（防技术有校验码（抗修改）、顺序号（防乱序）、时间标记（防重放、防丢失）等。重放、防丢失）等。5. 5. 通信通信业务流业务流填充机制填充机制 通信通信业务流业务流填充机制是一种用于提供业务流机密性保护的反填充机制是一种用于提供业务流机密性保护的反分析机制，它可以生成伪造的通信实例、伪造的数据单元或分析机制，它可以生成伪造的通信实例、伪造的数据单元或/ /和和数据单元中伪造的数据，使攻击者难于从数据流量对通信业务数据单元中伪造的数据，使攻击者难于从数据流量对通信业务进行分析。

39、进行分析。0.3.3 OSI0.3.3 OSI安全体系的特定安全机制安全体系的特定安全机制数据库引论课件0.3.3 OSI0.3.3 OSI安全体系的特定安全机制安全体系的特定安全机制 6. 6. 路由选择控制机制：可以动态的或预定的选择路由，以便路由选择控制机制：可以动态的或预定的选择路由，以便只使用物理上安全的子网络、中继站或链路。例如：只使用物理上安全的子网络、中继站或链路。例如： 当检测到持续的攻击时，便指示网络服务提供者经别的路当检测到持续的攻击时，便指示网络服务提供者经别的路由建立连接；由建立连接； 依据安全策略，可以禁止带有某些安全标记的数据通过某依据安全策略，可以禁止带有某些安

40、全标记的数据通过某些子网络、中继站或链路；些子网络、中继站或链路； 连接的发起者或无连接中数据的发送者，可以指定路由选连接的发起者或无连接中数据的发送者，可以指定路由选择说明，以请求回避某些特定的子网络、中继站或链路。择说明，以请求回避某些特定的子网络、中继站或链路。 7. 7. 公证机制公证机制 仲裁方式和判决方式。仲裁方式和判决方式。数据库引论课件8. 8. 鉴别交换机制鉴别交换机制 鉴别信息：如口令、生物信息、身份卡等；鉴别信息：如口令、生物信息、身份卡等； 密码技术。密码技术。 鉴别技术的选用取决于使用环境。在许多场合下，还必鉴别技术的选用取决于使用环境。在许多场合下，还必须附加一些其

41、他技术。如：须附加一些其他技术。如： 时间标记与同步时钟；时间标记与同步时钟； 二次握手（对应单方鉴别）或三次握手（对应双方鉴二次握手（对应单方鉴别）或三次握手（对应双方鉴别）；别）； 抗否认机制：数字签名和公证机制。抗否认机制：数字签名和公证机制。0.3.3 OSI0.3.3 OSI安全体系的特定安全机制安全体系的特定安全机制数据库引论课件OSIOSI安全服务与安全机制之间的关系安全服务与安全机制之间的关系安全服务安全服务安全机制安全机制加密加密数字数字签名签名访问访问控制控制数数 据据完整性完整性鉴别鉴别交换交换通信业通信业务填充务填充路由选路由选择控制择控制公证公证对等实体鉴别对等实体鉴

42、别Y YY YY Y数据原发鉴别数据原发鉴别Y Y访问控制访问控制Y YY Y连接机密性连接机密性Y YY Y无连接机密性无连接机密性Y YY Y选择字段机密性选择字段机密性Y Y通信业务流机密性通信业务流机密性Y YY YY Y带恢复的连接完整性带恢复的连接完整性Y YY Y不带恢复的连接完整性不带恢复的连接完整性Y YY Y选择字段连接完整性选择字段连接完整性Y YY Y无连接完整性无连接完整性Y YY YY Y选择字段无连接完整性选择字段无连接完整性Y YY YY Y有数据原发证明的抗抵赖有数据原发证明的抗抵赖Y YY YY Y有数据交付证明的抗抵赖有数据交付证明的抗抵赖Y YY YY

43、Y数据库引论课件0.3.4 OSI0.3.4 OSI安全体系的普遍性安全机制（安全体系的普遍性安全机制（1 1） 1. 1. 安全标记机制安全标记机制 显式的：校验码等与传送数据相连的附加数据。显式的：校验码等与传送数据相连的附加数据。 隐含的：加密数据中隐含着密钥约束。隐含的：加密数据中隐含着密钥约束。 2. 2. 事件检测机制事件检测机制 指对那些与安全有关的事件进行检测。例如：对于指对那些与安全有关的事件进行检测。例如：对于特定安全侵害事件、特定选择事件、对事件发生次数特定安全侵害事件、特定选择事件、对事件发生次数计数溢出等的检测。这些检测，一般要引起一个或多计数溢出等的检测。这些检测，

44、一般要引起一个或多个动作，如对事件的报告、记录以及恢复等。个动作，如对事件的报告、记录以及恢复等。数据库引论课件3. 3. 安全审计跟踪机制安全审计跟踪机制 记录可疑事件（可以产生一个安全报警）；记录可疑事件（可以产生一个安全报警）； 记录许多日常事件（如连接的建立和终止、使用安全记录许多日常事件（如连接的建立和终止、使用安全机制和访问敏感资源等）；机制和访问敏感资源等）； 将事件消息传递给维护日志；将事件消息传递给维护日志； 为检查和调查安全的漏洞提供资料；为检查和调查安全的漏洞提供资料； 通过列举被记录的安全事件类型，对某些潜在的攻击通过列举被记录的安全事件类型，对某些潜在的攻击起威慑作用

45、。起威慑作用。0.3.4 OSI0.3.4 OSI安全体系的普遍性安全机制（安全体系的普遍性安全机制（1 1）数据库引论课件0.3.4 OSI0.3.4 OSI安全体系的普遍性安全机制（安全体系的普遍性安全机制（2 2） 4. 4. 安全恢复机制安全恢复机制 立即动作：立即放弃操作（如断开连接）；立即动作：立即放弃操作（如断开连接）； 暂时动作：使实体暂时无效（如关闭）；暂时动作：使实体暂时无效（如关闭）； 长期动作：把实体列入黑名单等。长期动作：把实体列入黑名单等。 5. 5. 可信功能机制可信功能机制 可信功能机制具有如下一些作用：可信功能机制具有如下一些作用： 延伸其他安全机制的范围或所

46、建立的有效性。因为直接延伸其他安全机制的范围或所建立的有效性。因为直接提供的安全机制或安全访问机制的任意功能都应当是可提供的安全机制或安全访问机制的任意功能都应当是可信的。信的。 提供对某些硬件和软件可信赖性的保证。提供对某些硬件和软件可信赖性的保证。数据库引论课件0.3.5 0.3.5 信息系统的安全管理信息系统的安全管理 1. 1. 安全策略安全策略 安全策略（安全策略（security policysecurity policy）是在一个特定的环境（安）是在一个特定的环境（安全区域）里，为保证提供一定级别的安全保护所必须遵循的全区域）里，为保证提供一定级别的安全保护所必须遵循的一系列条例

47、、规则。一系列条例、规则。 2. 2. 安全管理活动安全管理活动 3. 3. 信息系统安全管理的原则信息系统安全管理的原则 4. 4. 信息系统的安全标准信息系统的安全标准 标准是衡量、评估、评测的准则。标准是衡量、评估、评测的准则。 5. 5. 信息系统安全立法信息系统安全立法 法律是由国家政权保证执行的行为规范。法律是由国家政权保证执行的行为规范。 数据库引论课件安全策略安全策略（1 1）对系统安全的定义、总体目标和保护范围。）对系统安全的定义、总体目标和保护范围。（2 2）支持安全目标和原则的管理意向声明。）支持安全目标和原则的管理意向声明。（3 3）对于安全政策、原则、标准和要求的简要

48、解释，例如：）对于安全政策、原则、标准和要求的简要解释，例如： 符合立法和契约的规定；符合立法和契约的规定； 安全教育的要求；安全教育的要求； 对于攻击的预防和检测；对于攻击的预防和检测； 持续运行管理；持续运行管理； 违反安全策略的后果等。违反安全策略的后果等。（4 4）安全管理的总体定义，具体权责要求等。）安全管理的总体定义，具体权责要求等。（5 5）有关支持政策的文献援引，例如适用于具体信息系统的）有关支持政策的文献援引，例如适用于具体信息系统的较为详细的安全政策、流程或使用者应当遵循的安全条例等。较为详细的安全政策、流程或使用者应当遵循的安全条例等。数据库引论课件安全管理活动（安全管理

49、活动（1 1）（1 1）安全服务管理）安全服务管理 为该安全服务确定和指派安全保护目标；为该安全服务确定和指派安全保护目标； 为该安全服务选择特定的安全机制；为该安全服务选择特定的安全机制； 对需要事先取得管理者同意的可用安全机制进行协商；对需要事先取得管理者同意的可用安全机制进行协商； 通过适当的安全机制管理功能调用特定安全机制。通过适当的安全机制管理功能调用特定安全机制。（2 2）安全机制管理）安全机制管理安全机制管理是对各项安全机制的功能、参数和协议的管理。安全机制管理是对各项安全机制的功能、参数和协议的管理。（3 3）安全事件处理管理）安全事件处理管理 报告包括远程的明显违反系统安全的

50、企图；报告包括远程的明显违反系统安全的企图； 确定和修订触发安全事件报告的阈值。确定和修订触发安全事件报告的阈值。（4 4）安全审计管理）安全审计管理 收集、记录安全事件；收集、记录安全事件； 授予或取消对所选用事件进行审计跟踪（记录、调查）授予或取消对所选用事件进行审计跟踪（记录、调查）的能力；的能力； 准备安全审计报告。准备安全审计报告。数据库引论课件安全管理活动（安全管理活动（2 2）（5 5）安全恢复管理）安全恢复管理 制定并维护安全事故的恢复计划、操作规程和细则；制定并维护安全事故的恢复计划、操作规程和细则； 提出完备的安全恢复报告。提出完备的安全恢复报告。（6 6）安全行政管理）安

51、全行政管理 建立专门的安全管理机构；建立专门的安全管理机构； 建立完善的安全管理制度；建立完善的安全管理制度； 配备专门安全管理人员，并进行培训、考察、评价等管理。配备专门安全管理人员，并进行培训、考察、评价等管理。（7 7）系统安全管理）系统安全管理 管理总体安全策略，维护其一致性；管理总体安全策略，维护其一致性； 依据系统总体安全策略，在系统中建立不同等级的安全管依据系统总体安全策略，在系统中建立不同等级的安全管理信息库（理信息库（SMIBSMIB），以存储与系统安全有关的全部信息；），以存储与系统安全有关的全部信息； 维护安全管理协议，保证安全服务管理和安全机制管理之维护安全管理协议，保

52、证安全服务管理和安全机制管理之间的正常交互功能。间的正常交互功能。数据库引论课件信息系统安全的防御原则信息系统安全的防御原则 （1 1）木桶原则）木桶原则 （2 2）成本效率原则）成本效率原则 （3 3）可扩展性原则）可扩展性原则 （4 4）分权制衡原则）分权制衡原则 （5 5）最小特权原则）最小特权原则 （6 6）失效保护原则）失效保护原则 （7 7）公开揭露原则）公开揭露原则 （8 8）立足国内原则）立足国内原则 （9 9）可评估原则）可评估原则数据库引论课件信息系统的安全标准信息系统的安全标准 （1 1）针对信息系统（包括产品）的安）针对信息系统（包括产品）的安全性评测准则全性评测准则

53、（2 2）针对使用信息系统的组织的安全）针对使用信息系统的组织的安全管理标准管理标准 （3 3）针对不同安全产品的互操作性的）针对不同安全产品的互操作性的互操作标准互操作标准数据库引论课件针对信息系统（包括产品）的针对信息系统（包括产品）的 安全性评测准则安全性评测准则 美国国防部的美国国防部的可信计算机系统评估准则可信计算机系统评估准则（Trusted Trusted Computer System Evaluation CriteriaComputer System Evaluation Criteria，TCSECTCSEC，19831983），），也称桔皮书。这是也称桔皮书。这是ITI

54、T历史上第一个安全评估标准。历史上第一个安全评估标准。这个安全这个安全测试标准的建立旨在：确保用户的信息安全、为系统集成供测试标准的建立旨在：确保用户的信息安全、为系统集成供应商提供指导、为信息安全提供一个标准。应商提供指导、为信息安全提供一个标准。这一标准将安这一标准将安全分为四个等级：全分为四个等级：D到到A1。每一级都是在上一级基础上添加。每一级都是在上一级基础上添加新的条件。安全等级新的条件。安全等级D最低，依次为：最低，依次为：C1（任意安全保护），（任意安全保护），C2（受约束访问安全保护），（受约束访问安全保护），B1（标签安全保护），（标签安全保护），B2（结构保护），（结构保

55、护），B3（安全域），（安全域），A1（校验设计）。共七个（校验设计）。共七个等级，等级，A1等级最高。等级最高。 数据库引论课件 欧洲（英、德、法、荷四国）的欧洲（英、德、法、荷四国）的信息技术安全性评估准信息技术安全性评估准则则（Information Technology Security Evaluation Information Technology Security Evaluation CriteriaCriteria，ITSECITSEC，19901990），也称白皮书。），也称白皮书。 加拿大的加拿大的可信计算机产品评估准则可信计算机产品评估准则3.303.30（CTCPE

56、C 3.0CTCPEC 3.0，1992.41992.4），将安全需求分为），将安全需求分为4 4个层次：机密性、完整性、个层次：机密性、完整性、可靠性和可说明性。可靠性和可说明性。数据库引论课件n 六国七方（英国、加拿大、法国、德国、荷兰、美国家安全六国七方（英国、加拿大、法国、德国、荷兰、美国家安全局和美国标准技术研究所）的局和美国标准技术研究所）的信息技术安全评估通用标准信息技术安全评估通用标准（Common Criteria of Information Technical Security Common Criteria of Information Technical Securi

57、ty EvaluationEvaluation，CCITSECCITSE），简称），简称CCCC，是在，是在TCSECTCSEC基础上的改进，基础上的改进，从对操作系统评估扩充到信息技术产品和系统。从对操作系统评估扩充到信息技术产品和系统。n ISO/IEC 21827ISO/IEC 21827：20022002，信息安全工程能力成熟度模型信息安全工程能力成熟度模型（System Secrrity Engineering Capability Maturity System Secrrity Engineering Capability Maturity ModelModel，SSE-CMMSSE-CMM），是一个关于信息安全建设工程实施方面的），是一个关于信息安全建设工程实施方面的标准，通常用