技术篇信息系统的安全管理

技术篇信息系统的安全管理第1页/共61页近年来世界范围内的计算机犯罪、计算机病毒泛滥等问题，使信息系统安全上的脆弱性表现得越来越明显。信息系统的安全问题已成为全球性的社会问题，也是信息系统建设和管理的主要瓶颈。第2页/共61页网络监听？站点服务器正常连接网络监听者屏幕输入用户名：abcde密码：12345屏幕显示用户名：abcde密码：12345信息被截获安全第3页/共61页假冒站点？服务器A网址浏览者与服务器A连接，访问站点服务器B假冒当假冒服务器出现时安全当浏览者输入时，实际访问的是服务器B，这样他的私人信息就可能被B非法获取第4页/共61页不安全Email人物甲人物乙Email偷盗者邮件在传送过程中被截取偷盗者篡改邮件后以甲的身份重新发送如果偷盗者截取Email后不发给乙，怎么办？如果偷盗者直接假冒甲的身份给乙发了假邮件，怎么办？乙收到该Email甲给乙发出Email安全第5页/共61页抵赖？甲给乙发送了一封Email甲否认发送过甲通过商家的网站购买了某些商品，并通过网络支付了所需的货款商家否认收到过来自甲的购货款安全第6页/共61页信息系统安全的基本概念基本要求：在信息系统采集、存储、加工、传输与利用信息的过程中，各物理设备、通信线路、软件、数据及其存储介质、规章制度和有关人员应具备抵御来自系统内部或外部对信息及有关设施有意攻击、破坏、窃取或无意损害、泄露的能力以保证信息的机密性、完整性、可用性、可审查性和抗抵赖性。第7页/共61页信息系统各个环节的不安全因素数据输入部分：数据通过输入设备进入系统，输入数据容易被篡改或输入假数据；数据处理部分：数据处理部分的硬件容易被破坏或盗窃，并且容易受电磁干扰或因电磁辐射而造成信息泄漏；通信线路：通信线路上的信息容易被截获，线路容易被破坏或盗窃；软件：操作系统、数据库系统和程序容易被修改或破坏；输出部分：输出信息的设备容易造成信息泄漏或被窃取第8页/共61页其他不安全因素：介质存储密度高在一张磁盘或一盘磁带中可以存储大量信息，而软盘常随身携带出去。这些存储介质也很容易受到意外损坏。不管哪种情况，都会造成大量信息的丢失。数据可访问性数据信息可以很容易地被拷贝下来而不留痕迹。一台远程终端上的用户可以通过计算机网络连接到信息中心的计算机上。在一定条件下，终端用户可以访问到系统中的所有数据，并可以按其需要把它拷贝、删改或破坏掉。信息聚生性当信息以分离的小块形式出现时，它的价值往往不大，但当大量相关信息聚集在一起时，则显示出它的重要性。信息系统的特点之一，就是能将大量信息收集在一起，进行自动、高效的处理，产生很有价值的结果。信息的这种聚生性与其安全密切相关。第9页/共61页保密困难性信息系统内的数据都是可用的，尽管可以采用许多方法在软件内设置一些关卡，但是对那些掌握计算机技术的专业人士，很可能会突破这些关卡，故要保密很困难。特别是许多信息系统与互联网相联，由于互联网应用的公开性和广泛性，也增加了安全保密的难度。介质的剩磁效应存储介质中的信息有时是擦除不干净或不能完全擦除掉，会留下可读信息的痕迹，一旦被利用，就会泄露。另外，在许多信息系统中，有时删除文件仅仅是将文件的文件名删除，并相应地释放存储空间，而文件的真正内容还原封不动地保留在存储介质上。利用这一些特性，可以窃取机密信息。第10页/共61页电磁泄露性计算机设备工作时能够辐射出电磁波，任何人都可以借助仪器设备在一定的范围内收到它，尤其是利用高灵敏度仪器可以清晰地看到计算机正在处理的机密信息。通信网络的弱点连接信息系统的通信网络有不少弱点：如通过未受保护的外部线路可以从外界访问到系统内部的数据、通信线路和网络可能被搭线窃听或破坏等。这种威胁增加了通信和网络的不安全性。第11页/共61页信息系统面临的威胁和攻击对实体的威胁和攻击对信息的威胁和攻击第12页/共61页对实体的威助和攻击对实体的威胁和攻击主要针对计算机及其外部设备、网络。如各种自然灾害与人为的破坏、场地和环境因素的影响、电磁场的干扰或电磁泄露、战争的破坏、各种媒体的被盗和散失等。第13页/共61页案例：在1991年海湾战争爆发前，美军计算机专家利用伊拉克从法国进口计算机打印机用于其防空系统的机会，在伊拉克的打印机内换装了有计算机病毒的一套芯片。海湾战争爆发后，美军将其激活，使伊拉克防空系统瘫痪，从而保证了空袭的成功。2008年，俄罗斯攻入格鲁吉亚前夕，利用网络战破坏其计算机网络，导致其政府网站、银行系统全部瘫痪。第14页/共61页对信息的威胁和攻击由于偶然事故或人为破坏，使系统的信息被修改，删除、添加、伪造或非法复制，导致信息的正确性、完整性和可用性受到破坏。第15页/共61页信息破坏偶然事故有以下几种可能：软、硬件的故障引起安全策略失效；工作人员的误操作使信息严重破坏或无意中让别人看到了机密信息；自然灾害的破坏，如洪水、地震、风暴、泥石流、雷击等，使计算机系统受到严重破坏；环境因素的突然变化造成系统信息出错、丢失或破坏。人为破坏有以下几种手段：滥用特权身份；不合法地使用；修改或非法复制系统中的数据。第16页/共61页案例：1988年，德国汉诺威大学计算机系24岁的学生马蒂亚斯·斯佩尔将自己的计算机同美国军方和军工承包商的30台计算机连接，在两年时间内收集了美国国防部的大量机密信息。其中有关于“星球大战”计划、北美战略防空司令部核武器和通信卫星等方面的资料，震惊了美国国防部和联邦调查局。第17页/共61页案例：1994年12月，美国海军学院的计算机系统被不知名的黑客所袭击。袭击者从英国、芬兰、加拿大和美国的堪萨斯大学和亚拉巴马大学发动进攻。他们攻击了24个服务器，在其中的8个植入了“嗅探程序”（这是一种植入计算机系统后可以截取其数据，如密码等的程序）。1个主要路由器被破坏，1个系统的名字和地址被改变，使得合法用户无法进入该系统。除此之外，1个系统的备份文件和来自其他4个系统的文件被删除，其它6个系统被破坏，2个加密密码文件被破坏，12000多个密码被窜改，海军无法估计损失究竟有多大，也没能抓住作案者。第18页/共61页2005年5月，美国四家大银行的约50万客户的电子账户记录被不法分子窃取，并被转手卖给了债务公司。这4家大银行分别是总部设在北卡罗莱纳州的美国银行公司和瓦霍维亚银行公司，新泽西州的切尔希里商业银行和匹兹堡国民商业银行公司。2005年6月，美国万事达国际公司宣布，由于该公司的安全疏漏，全美4000多万名用户的银行资料面临泄密风险，可能导致客户的直接利益受损。发生泄密的原因是，有黑客侵入了“信用卡第三方付款处理器”的网络系统，据称，这可能是目前为止美国最大的金融数据泄密事件2006年12月份，美国花旗银行遭难，丢失390万客户信用卡敏感信息第19页/共61页对信息攻击的方法可分为被动攻击和主动攻击：被动攻击：是指一切窃密的攻击。它是在不干扰系统正常工作的情况下进行侦收、截获、窃取系统信息，以便破译分析；利用观察信息、控制信息的内容来获得目标系统的位置、身份；利用研究机密信息的长度和传递的频度获得信息的性质。被动攻击不容易被用户察觉出来，因此它的攻击持续性和危害性都很大。第20页/共61页被动攻击的主要方法有：直接侦收利用电磁传感器或隐藏的收发信息设备直接侦收或搭线侦收信息系统的中央处理机、外围设备、终端设备、通信设备或线路上的信息；截获信息系统及设备在运行时，散射的寄生信号容易被截获。如离计算机显示终端百米左右，可以在那里接收到稳定、清晰可辨的信息图像。此外，短波、超短波、微波和卫星等无线电通信设备，市话线路、长途架空明线等有线通讯设备的电磁辐射都相当严重，可利用其电磁辐射截获信息；第21页/共61页合法窃取利用合法用户身份，设法窃取未被授权的信息。例如，在统计数据库中，利用多次查询数据的合法操作，推导出不该了解的机密信息；破译分析对于已经加密的机要信息，利用多种破译分析手段，获得机密信息；第22页/共61页从遗弃的媒体中分析获取信息如从信息中心遗弃的打印纸、各种记录和统计报表、窃取或丢失的软盘片中获得有用信息。井冈山时期，长征时期：毛泽东利用敌人报纸来获取敌人信息。第23页/共61页主动攻击指可以篡改信息的攻击。它不仅能窃密，而且威胁到信息的完整性和可靠性。它以各种方式有选择地修改、删除、添加、伪造、重排信息内容，造成信息破坏。第24页/共61页主动攻击的主要方法有窃取并干扰通信线路上的信息；有选择地截取系统中央处理机的信息，然后将伪信息返回系统用户；当合法用户已占用信道，但是终端设备还没有动作时，插入信道进行窃听或信息破坏活动；采取非常规的方法和手段，窃取合法用户的口令，冒充合法用户进行窃取或信息破坏活动；系统内部人员的窃密和毁坏系统数据、信息的活动等。第25页/共61页手机在待机状态下也能泄密？在待机状态下，手机也要与通信网络保持不间断的信号交接，产生电磁频谱，所以很容易被识别、监视和跟踪。还有一些手机本身就具有隐蔽通话功能，可以在不响铃，也没有任何显示的情况下由待机状态转变为通话状态，泄露天机。

第26页/共61页即使我们把手机关闭，也未必绝对安全，持有特殊仪器的技术人员仍可遥控打开我们的手机话筒。还有些“居心叵测”的手机早在制造过程中就在芯片中植入特殊功能，只要有电池，手机就会悄悄地把我们说的话接收下来，自动通过卫星发送给“感兴趣的人”只要将手机放在身边，我们就毫无秘密可言。第27页/共61页计算机病毒计算机病毒是是通过运行一段程序干扰或破坏系统正常工作的一种手段，其产生和蔓延给信息系统的安全带来严重威胁和巨大的损失。实践证明，计算机病毒已成为威胁信息系统安全的最危险的因素。第28页/共61页全球十大计算机病毒排名，CIH病毒居首1998年，CIH病毒由一位名叫陈盈豪的台湾大学生所编写，从中国台湾传入大陆地区。是一种既破坏软件又破坏硬件的恶性病毒，只在Windows95/98环境下感染发作。1999年4月26：CIH1.2版本首次大范围爆发全球超过六千万台电脑被不同程度破坏；2000年4月26：CIH1.2版本第二次大范围爆发，全球损失超过十亿美元。

第29页/共61页案例：熊猫烧香病毒2006年12月份，超过50万台计算机受熊猫烧香病毒感染，而受害企业用户更是达到上千家，病毒疫情十分严重。“熊猫烧香”一案于2007年9月24日结案，四名被告人李俊、王磊、张顺、雷磊，因犯破坏计算机信息系统罪，分别被判处1-4年的有期徒刑。第30页/共61页信息系统安全管理的策略与措施行政管理措施技术、物理措施实体安全数据库安全软件安全网络安全第31页/共61页行政管理措施组织及人员制度加强各种机构（如安全审查、安全管理等机构）、人员的安全意识和技术培训及人员选择，严格操作守则，严格分工原则。严禁程序设计人员同时担任系统操作员，严格区分系统管理员、终端操作员和程序设计人员，不允许工作交叉。运行维护和管理制度包括设备维护制度、软件维护制度、用户管理制度、密钥管理制度、出入门管理、值班守则、操作规程、行政领导定期检查和监督等制度。计算机处理的控制与管理制度包括编程流程及控制、程序和数据的管理，拷贝及移植、存储介质的管理，文件的标准化以及通信和网络的管理。第32页/共61页

机房保卫制度机要机房应规定双人进出的制度，严禁单人在机房操作计算机。机房门可加双锁，且只有两把钥匙同时使用时门才能打开。对各种凭证、帐表、资料要妥善保管，严格控制做信息处理用的机器要专机专用，不允许兼作其它用机人员的安全教育第33页/共61页技术、物理措施---实体安全对计算机系统设备、通信和网络设备、存储媒体和人员所采取的物理、技术措施。是确保信息系统安全的前提。实体安全主要包括场地环境安全设备安全存储介质安全第34页/共61页机房等中心区域的选择，应远离有害的气体源及存放腐蚀、易燃、易爆物品的地方；远离强的动力设备和机械，避开高压线、雷达站、无线电发射台和微波中继线路；远离强振动源和噪声源；有较好的防风、防火、防水、防地震及防雷击的条件等。实体安全之场地环境安全第35页/共61页实体安全之设备安全根据实际需要选择设备，设备本身稳定可靠；对环境条件的要求尽可能低；设备能抗震防潮；本身电磁辐射小，抗电磁辐射干扰和抗静电能力强；有过压、欠压、过流等电冲击的自动防护能力；有良好的安全接地。第36页/共61页实体安全之存储介质安全目前的存储介质主要有U盘、光盘、移动硬盘等。存储介质的主要防护要求有防火、防高温、防潮、防霉、防水、防震、防电磁场和防盗等。对存储介质要定期检查和清理。第37页/共61页技术、物理措施---数据库安全数据库安全主要是指为保证信息系统中数据库中的数据免遭破坏、修改、泄露和窃取等威胁和攻击而采取的技术方法。主要包括：口令(密码）保护存取控制技术数据加密技术第38页/共61页口令设置是信息系统的第一道屏障。对数据库的不同功能块应设置不同的口令，对存取它的人设置不同的口令级别，各种模块如读模块、写模块、修改模块等之间的口令应彼此独立，并应将口令表进行不为他人所知的加密，以保护数据安全。数据库安全之口令保护第39页/共61页数据库安全--存取控制对于获得机器使用权的用户，还要根据预先定义好的用户操作权限进行存取控制，保证用户只能存取他有权存取的数据。第40页/共61页数据库安全之数据加密数据加密就是按确定的加密算法对需要保护的数据作处理，使其成为难以识读的数据。其逆过程，即由密文按对应的解密算法恢复出明文的过程称为数据解密。第41页/共61页数据加密的一些概念明文(PlainText)：原始的，未被伪装的消息称做明文，也称信源，通常用M表示。密文(CipherText)：通过一个密钥和加密算法将明文变换成一种伪信息，称为密文，通常用C表示。

加密（Encode）：就是用基于数学算法的程序和加密的密钥对信息进行编码，生成别人难以理解的符号，即把明文变成密文的过程。通常用E表示。

解密（Decode）：由密文恢复成明文的过程，称为解密。通常用D表示。

密钥(Key)：加密和解密算法的操作通常都是在一组密钥的控制下进行的，分别称作加密密钥和解密密钥。通常用K表示密码算法(Algorithm)：加密和解密变换的规则(数学函数)，有加密算法和解密算法第42页/共61页可靠的加密算法--保证保密性需要有密钥来加解密信息没有密钥无法阅读信息，信息处于乱码密钥通过安全方式传递到接收方加密数据密钥第43页/共61页常用安全加密技术对称加密非对称加密散列算法数字签名第44页/共61页对称加密对称加密采用了对称密码编码技术，它的特点是文件加密和解密使用相同的密钥，即加密密钥也可以用作解密密钥，这种方法在密码学中叫做对称加密算法。对称加密算法使用起来简单快捷，密钥较短。第45页/共61页对称加密技术r加密数据R解密数据密钥密钥对称加密示意图第46页/共61页存在问题：要求提供一条安全的渠道使通讯双方在首次通讯时协商一个共同的密钥。因直接的面对面协商不现实且难于实施，所以双方可能需要借助于邮件和电话等其它相对不够安全的手段来进行协商；密钥的数目难于管理。对于每一个合作者都需要使用不同的密钥，很难适应开放社会中大量的信息交流；100个人为保证互相保密，需对称密码至少100*99/2=4950!!第47页/共61页非对称加密1976年，美国学者Dime和Henman为解决信息公开传送和密钥管理问题，提出一种新的密钥交换协议，允许在不安全的媒体上的通讯双方交换信息，安全地达成一致的密钥，这就是“公开密钥系统”。相对于“对称加密算法”这种方法也叫做“非对称加密算法”。非对称加密算法需要两个密钥：公开密钥（publickey）和私有密钥（privatekey）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。基本过程：甲方生成一对密钥并将其中的一把作为公用密钥向其它方公开；得到该公用密钥的乙方使用该密钥对机密信息进行加密后再发送给甲方；甲方再用自己保存的另一把专用密钥对加密后的信息进行解密。甲方只能用其专用密钥解密由其公用密钥加密后的任何信息。第48页/共61页公开密钥加密技术（非对称密钥系统）r加密数据解密数据私钥公钥第49页/共61页对称与公开密钥技术比较

对称公开密钥加解密速度 数据量大时的适用性密钥分发容易性 密钥管理方便