信息安全的基本概念和技术课件

1、第2章 信息安全的基本概念和技术,摘 要 本章从整体角度介绍信息安全的一些基本概念，并简要说明信息安全系统的设计原则与设计方法。 重点讨论实体安全、运行安全、信息保护安全和安全管理的安全技术，具体包括环境安全、设备安全、介质安全，风险分析技术、信息系统的检测监控与审计跟踪、应急措施和备份与故障恢复、容错与冗余、灾难恢复计划、标识与认证、标记与访问控制、客体安全重用、审计、数据完整性技术、密码技术、防火墙技术、入侵者（黑客）攻击、安全管理制度、安全教育等安全技术。 简介信息安全标准的概念和桔皮书TCSEC/TDT,21 信息安全的概念和技术,211 信息安全问题 212 信息安全的研究范畴 21

2、3 信息安全系统的基本要求 214 信息防护过程 215 系统安全体系结构 216 信息安全的内容,2,学习交流PPT,211 信息安全问题,信息安全的静态定义是为计算机系统、数据处理系统建立和采取的技术和管理的安全保护，使得系统的硬件、软件和数据不被偶然或故意地泄露、更改和破坏。 信息安全的动态定义则增加了对信息系统能连续正常工作的要求。,3,学习交流PPT,212 信息安全的研究范畴,从技术的角度，研究内容至少要包括通信安全、计算机安全、操作安全、信息本身的安全、人事安全、工业安全、资源保护和实体安全等，而从更大范围的角度，研究内容还包括管理和法律等方面。 信息安全研究方向包括：对突发事件

3、处理的计算机运行安全System Security，物理条件的计算机实体安全Entities Security，通信与数据库的计算机数据安全Data Security，以及不被非法复制、替换、修改、不受病毒侵害的软件安全Software Security。,4,学习交流PPT,213 信息安全系统的基本要求,信息系统对安全的基本要求 （1）保密性 （2）完整性 （3）可用性 （4）可控性,5,学习交流PPT,214 信息防护过程,6,学习交流PPT,215 系统安全体系结构,信息系统安全的体系包含安全保密技术体系、协议安全性及安全协议体系和系统安全的体系结构。 安全保密系统将由下面所列的技术手

4、段形成技术体系：密码、数字签名、数据完整性、鉴别、访问控制、信息流填充、路由控制、认证、审计追踪和信息过滤、病毒防治、信息泄漏防护和安全评估等，以实现信息的保密性、可用性、完整性和可控性。,7,学习交流PPT,OSI安全体系,7层,层次,安全机制：加密-签名-访问控制-完整性-鉴别-信息流填充- 路由-公证,安全服务：对等实体鉴别-访问控制-保密（数据，信息流）-完整性-源点鉴别-抗抵赖,8,学习交流PPT,216 信息安全的内容,实体安全 运行安全 信息保护 安全管理,特性：物理性、静态、客观、被动,特性：人的因素、动态、主观、主动,信息安全内容的中心,9,学习交流PPT,22 信息安全系统

5、的设计,221 设计原则 222 设计方法 223 设计步骤 224 安全系统的设计举例,10,学习交流PPT,221 设计原则,（1）安全性原则 （2）整体性/全面性原则 （3）投资保护原则 （4）实用性原则 （5）可适应性原则 （6）技术与管理相结合原则,11,学习交流PPT,222 设计方法,外挂式设计方法对现有信息系统进行改造，通过增加安全机制来增强系统的安全性，如美国CA公司的ACWNT和ACX（for Unix）。 内核式设计方法在设计信息系统的同时，设计安全机制，以提供系统的安全性，即从安全内核逐层向上扩展，此方式可较完整地实现信息安全，如Honeywell公司的B2级MULTI

6、CS和A1级的SCOMP系统。,12,学习交流PPT,223 设计步骤,（1）需求分析与风险评估 （2）确定安全目标要求和对策 （3）安全系统设计 （4）明确相应的安全管理要求 （5）安全系统测试和试运行,13,学习交流PPT,224 安全系统的设计举例,用户录入,SAMDB 安全账户 管理数据库,安全账户 管理 SAM,本地安全授权 LSA,事件记录器,审计日志,安全访问控制器 SRM,用户模型,核心模型,Windows NT 4.0 安全系统的组成关系,14,学习交流PPT,安全系统,在C2级的Windows NT、UNIX上，增加了安全管理软件SMS/OS，使之具有B1级 的安全特征。

7、强制访问机制，三权分立（管理员、安全员、审计员），安全审计等。 提高可用性 ，兼容性较好 。,15,学习交流PPT,安全功能,强制访问控制使用访问监督器，实现多级化 控制； 按最小授权原则，实现管理员、安全员、审计员的三权分立； 对注册表作安全保护，以免受非授权用户的更改； 安全审计记录审计日志，并对违规事件作出相应的处理； SMS/OS自身的保护不可改/删本系统的文件/数据，仅授权人员才可启动/终止系统的运行。,16,学习交流PPT,23 实体与运行安全231 实体安全,实体安全内容包括：环境安全，涉及计算机机房的安全，计算机网络系统平台的安全和计算机、网络的环境条件对信息系统安全的影响等；

8、设备安全，涉及主客观地对各类设备的保护，电源保护，防电磁干扰，防电路截获等；介质安全，涉及对介质上所记录的数据和介质本身采取的安全保护等。 有关实体安全的标准可查阅：GB50173-93电子计算机机房设计规范，GB2887-89计算站场地技术条件，GB9361-88计算站场地安全要求，和ITU的L系列推荐标准（HTTP：/INFO.ITU.CH/ITUDOC/ITU-T/REC/L.HTML）等。,17,学习交流PPT,232 运行安全,2321 运行安全的定义和安全内容 2322 风险分析技术 2323 系统的检测、监控与审计跟踪 2324 容错与网络冗余 2325 应急措施、备份与故障恢复

9、 2326 灾难恢复计划 2327 病毒检测与防治,18,学习交流PPT,2321 运行安全的定义和安全内容,运行安全内容包括： 风险分析， 检测 、监控与审计跟踪， 容错与网络冗余， 应急措施、备份与故障恢复， 灾难恢复计划， 病毒检测与预防。,19,学习交流PPT,2322 风险分析技术,风险分析的目的是通过对影响系统安全运行的诸多因素的了解和分析，明确系统存在的风险，找出克服这些风险的方法。 在系统设计前、试运行前、运行期及运行后都应进行风险分析。 这体现静态和动态的观点。进行风险分析时，一般采用相应的风险分析工具，收集数据，进行分析，得出结果，从而确定危险的严重性以及发生危险的可能性及

10、其对策。,20,学习交流PPT,常用分析工具,自动Livermore风险分析方法 自动风险评估系统（ARES） CCTA风险分析管理方法学（CRAMM） 国防安全技术风险分析管理程序（IST/RAMP） Love Alamos脆弱性与风险评估工具（LAVA）,21,学习交流PPT,2323系统的检测、监控与审计跟踪,所谓检测是指通过扫描分析来发现信息系统的弱点和漏洞。检测内容包括账户是否有差异、数据是否被修改和删除、系统运行性能、异常通信模式、异常系统使用时间、登陆失败的次数等；检测方法使用统计分析法和基于规则的方法，一般使用软件工具定期或不定期地进行检测。 监控是指通过实时监测，发现入侵行为

11、，并采取一定的应急防范措施。要对监测到的可疑信号进行分析，并及时地、自动地作出正确响应将有一定的难度。 审计是一种保证安全运行的重要措施。它可对计算机网络信息系统的工作过程进行详尽的审计跟踪，同时保存审计记录和审计日志。,22,学习交流PPT,检测分析系统,网络安全检测分析系统 操作系统安全性分析系统 防火墙安全性分析系统,23,学习交流PPT,基于网络环境的安全监测将实时监听网络数据流；监视并记录内/外用户出入网络的相关操作以发现违规模式和未授权访问；当出现违规模式和未授权访问时，报告监测中心，中心则由安全策略作出反应，并进行审计、报告、事件记录和报警。监测中心还有一定的远程管理功能，能对探

12、测器进行远程参数设置、远程数据下载、远程关闭/启动和封锁等。 基于主机的安全监测由安全监测管理中心和分布式探测器（置于通信枢纽或主机内部）所组成。它的原理与基于网络环境的类似，只是探测器的具体探测任务、探测的数据种类与类型不同而已。 实现安全监测的关键技术则有：攻击分析和响应技术实时监控行为、识别攻击特征和病毒、侦探行为及未授权修改系统存取控制的可疑行为。误操作分析和响应技术对内部资源的误操作进行分析并做出相应的处理。漏洞分析和响应技术由软件自动扫描、找出安全策略的漏洞（包含物理的、软件的、不兼容的漏洞）。,24,学习交流PPT,安全监测产品,INTERNET SCANNER REAL SEC

13、URE 2.0 for Win NT SYSTEM SECURITY SCANNER,25,学习交流PPT,2324 容错与网络冗余,避错是构造一个“完美”系统，使得其尽可能地不出故障。而容错是指当系统出现某些硬/软件错误时，系统仍能执行规定的一组程序；或者说程序不会因系统中的故障而中断或被修改，并且执行结果也不会包含系统中故障所引起的差错。 实现容错的基本思想是在系统体系结构上精心设计，利用外加资源的冗余技术来达到屏蔽故障的影响，从而自动地恢复系统或达到安全停机的目的。,26,学习交流PPT,容错与网络冗余技术随着系统的不断复杂化而向芯片容错、动态冗余技术、分布式容错、容错性能评价、容错系统

14、和综合方法论等方向发展。 实现容错的方法与技术： 空闲备件, 负载平衡， 镜像技术， 复现即延迟镜像， 冗余系统配件， 存储系统冗余， 网络冗余技术.,27,学习交流PPT,2325 应急措施、备份与故障恢复,备份系统的内容：文件备份与恢复、数据库备份与恢复、系统灾难恢复和备份任务管理等。 备份技术及其特点： 全盘备份 增量备份 全盘及增量备份 差别备份 按需备份 排除,28,学习交流PPT,恢复技术及其特点 全盘恢复一般在灾难发生后或系统升级和系统重组及合并时使用，操作之后，应检查最新的错误登记文件（日志，审计），以免漏掉有关文件。 个别文件恢复采用文件系统列表（仅需一次搜索）或文件登录排序

15、（需建登录索引）方法，选择待恢复的文件。 重定向恢复恢复到另一位置或不同系统上，具体技术有全盘恢复和个别恢复。,29,学习交流PPT,备份系统的组成 物理主机系统 物理目标系统 逻辑主机系统 逻辑目标系统 I/O总线 网络连接 外部设备 网络协议 设备驱动软件 系统日志 备份存储介质 系统监控 备份计划 系统管理 操作执行者,30,学习交流PPT,【例21】设有两台Netware服务器，一台为文件服务器，另一台为数据库服务器，运行Betrieve，要求设计一个实现整个网络的数据备份和系统备份的方案。 方案一 将数据库服务器作为备份服务器，ARC Server配置ARC Server for N

16、etware 和Pisaster Recovery Option。该方案的备份功能有整个网络中非活跃文件备份、数据库关闭状态备份、系统关键信息（NDS或Bindery）备份和系统灾难恢复。,31,学习交流PPT,方案二 将数据库服务器作为备份服务器，ARC Server配置ARC Server for Netware 和Disaster Recovery option以及 Backup Agent for Betriere。 这样的备份方案使得系统提供整个网络中非活跃文件备份、数据库打开状态备份、系统关键信息(NDS或Bindery)备份和系统灾难恢复等功能。,32,学习交流PPT, 方案三

17、将数据库服务器作为备份服务器,用磁带库作为备份硬件,ARC Server配置ARC Server for Netware、Disaster Recovery option、Backup Abent for Betrieve、Backup Agent for open files和TAPE Library。 此方案的功能包括整个网络文件备份、包括活跃文件备份、数据库打开状态备份、系统关键信息(NDS或Bindery)备份、系统灾难恢复、备份数据的RAID容错和无人值班备份。,33,学习交流PPT,数据库备份的方法有冷备份和热备份。 一种热备份方案是按日志文件进行。进行备份时，日志文件将需要更新/

18、更改的指令“堆起来”。 另一种热备份方法是逻辑备份，它使用软件技术从数据库中提取数据并将结果写入一输出文件，即逆SQL技术。,34,学习交流PPT,数据库的恢复则有单纯以备份为基础、以备份和运行日志为基础、基于多备份和易地更新恢复四种技术。 单独以备份为基础的恢复技术周期性地把磁盘上的库文件拷贝或转储到磁带上。为缓解恢复的量的问题，可采用增量转储（increamental dumping，ID）法，即只转储更新过的物理块。 以备份和日志为基础的恢复技术使用日志来记录数据库的运行情。,35,学习交流PPT,当数据库失效时，取出最近备份，然后根据日志记录，对未提交的事务用前象卷回，即向后恢复；对已

19、提交的事务，必要时做后象重做，即向前恢复。以备份和日志为基础的恢复技术的缺点是运行记录的存储量大，且影响数据库的正常工作性能。 基于多备份的恢复技术是基于分布式数据库的，要求每一备份必须具有独立的失效模式（各备份不至于因同一故障而一起失效），这才能实现互为备份以实现恢复。 易地更新恢复技术，处理方法是每个关系有一页表，页表中每一项是一指针，指向关系中每一页块，提交时把页表的指针从旧页拨向新页，当数据库损坏时，需用备份和人工智能方法重做。,36,学习交流PPT,2326 灾难恢复计划,制订灾难恢复计划的目的是当发生安全问题时以最小损失、尽快地使系统恢复正常工作。,37,学习交流PPT,灾难恢复计

20、划 数据备份技术 风险分析过程 风险评估 由应用程序及子系统的轻重缓急来确定其优先级别，以便作选择性恢复 建立恢复需求时间目标（Recovery Time Objective，RTO） 生成实际灾难恢复文本,38,学习交流PPT,2327 病毒检测与防治,计算机病毒本质上是一“计算机程序”，它不仅能破坏计算机系统，并且能传播或感染到其他系统。计算机病毒具有隐藏性、复制性、破坏性、准时性、动态性、随机性、不易取证性，其表现特征为感染、变异、触发、破坏及隐身、多态等。 常见的计算机病毒分为文件病毒、引导区病毒、多裂变病毒（文件和引导区病毒的混合）、异性病毒（随时间变异）、宏病毒（用宏语言编号）和邮

21、件病毒等。 病毒的检测方法有：特征代码法，特点是适应差、静态、开销大、不能检出隐蔽病毒；校验和法，其缺点是易误报；行为监测法，它体现动态性检测；软件模拟法，优点是适应性好；比较法；分析法。,39,学习交流PPT,24 信息保护,241 信息保护的内容 信息保护是确保计算机及网络系统中的信息不被泄露破坏更改删除或使之不可用。实体安全是信息安全的基础，运行安全是信息安全强有力的支持，而信息保护则是核心和目标。 信息的形式不同，则信息保护的技术和机制也不同。其中，存储和处理的信息由安全的操作系统和安全的数据库系统加以保护；传输中的信息由加密和安全的传输协议加以保护；此外，还有防止入侵等。 对传输信息

22、采取的安全措施有身份及信息验证、网络访问控制、通信信息加密、密钥管理、网络安全协议、鉴别技术、数字签名和安全审计等技术。,40,学习交流PPT,242 信息保护技术,信息保护技术是为确保信息在计算机及网络系统中存储、处理和传输过程中的安全所采取的安全措施。 信息保护技术涉及标识与认证、标记与访问控制、客体安全重用、审计、数据完整性、信息加密和防火墙等，其中信息加密保护是确保信息安全的关键。,41,学习交流PPT,2421 标识与认证,标识是用来表明用户的身份，确保用户在系统中的惟一性，可辨认性，它由用户名和标识符ID来标明，属于公开的明码信息。 认证是对用户身份的真实性进行鉴别，认证信息不公开

23、，难以仿造。,42,学习交流PPT,2422 标记与访问控制,标记是实施强制访问控制的基础。系统应维护与主体及其控制的客体（进程、文件、设备、数据信息）相关的敏感标识。通过这些标识，把主、客体与一定的安全属性联系起来，并在系统运行的全过程起作用。而访问控制一是限制访问系统的人员（这在身份认证中已讲述）；二是限制进入系统的用户所做的工作，这分为自主访问控制DAC和强制访问控制MAC两种技术。 访问控制目标与内容有：保护被访问的客体；对访问权限的确定，授予和实施；在保证系统安全的前提下，最大限度地共享资源。 实施访问控制的安全原则是：最小特权原则；对存取访问的监督检查；实体权限的时效性；访问控制的

24、可靠性；存取权分离原则；最小共享存取原则；设计的安全性；用户的承受能力和经济性。,43,学习交流PPT,2423 客体安全重用,客体指存储信息的载体，而客体安全重用是指各种动态使用的资源（客体）在被释放前必须将其中的残留信息全部清除，以防敏感信息丢失，即清除一切痕迹。 要求系统确保已被删除或被释放的信息不再是可用的，并且新生成的客体确实不包含该客体以前的任何信息内容，包括有形的或无形的。 当某客体在释放资源时，同时清除其内存缓冲区；关闭文件后，清除磁盘缓冲区；通信结束，则清除通信缓冲区；为避免剩磁，所谓清除内存区域不是清0，而是写入随机数等。,44,学习交流PPT,2424 审计,审计要能识别

25、、记录、存储、分析与安全相关的活动和有关的信息；要确保可查性；要减少系统开销，有安全方便的操作界面。审计的信息可用来检测、判断发生了哪些活动，以及这些活动由哪个用户负责。 审计内容包括： 安全审计的自动响应， 安全审计数据的产生， 安全审计分析， 安全审计查阅 安全审计事件选择， 安全审计事件存储，创建并维护安全的审计跟踪记录。,45,学习交流PPT,2425 数据完整性技术,数据完整性技术包含存储数据完整性、传输数据完整性和处理数据完整性三方面。 存储数据完整性是对以文件形式或以数据库形式存放在计算机系统中的数据进行完整性保护，使其不因内部的/外部的原因遭到不应有的破坏；以及进行完整性监测（

26、读写时利用校验码）及其遭到破坏时，应采取冗余和纠错措施。 传输数据完整性的含义与存储数据完整性类似，其方法是检测数据是否被篡改（校验码）、其纠错方法一般为重传方法。 处理数据完整性的主要技术有两阶段： 提交方法和复制服务器方法,46,学习交流PPT,2426 密码技术,密码体制分对称密钥密码体制和非对称密钥密码体制，也可分序列密码体制和分组密码体制。 评价密码体制优劣的标准是密码安全性和保密性、用户使用方便性、加/解密算法效率、密钥生成与管理简便性等。 常用的密码技术有分组密码系统DES，公钥密码系统RSA，椭圆曲线密码系统ECC和背包公钥密码系统等。,47,学习交流PPT,2427 防火墙技

27、术,防火墙技术的作用是隔离，用粗粒度的访问控制方法以控制不安全服务，控制访问网点，实现集中安全性控制，以达到保护信息的目的。 防火墙的组成： 网络安全策略 验证工具 包过滤 应用网关 电路层网关 规则检查 防火墙分为分组过滤防火墙、双宿网关Dual-humed防火墙、甄别主机Screened host防火墙和甄别子网Screened Subnet防火墙等。,48,学习交流PPT,2428 入侵攻击,入侵是非法用户（黑客）恶意地攻击未经授权的计算机及网络信息系统的一种破坏性行为。 常见的攻击及其防护方法： 可用加密、标识和认证等技术来对付口令攻击；IP欺骗放弃以地址为基础的验证及信任策略，其防护

28、方法是不使用R*类的远程调用命令，进行包过滤和加密，使用随机化的初始序列号等。 对于BACK Orifice-特洛伊木马攻击，可监视UDP31337端口或注册表，发现时即删除之；对缓冲器溢出及非法shell，可强制写正确代码（如Linux在堆栈段中放置执行代码），数组边界、程序指针作完整性检查等。 对分布式拒绝服务，可要求ISP协助合作，优化路由和网络结构，优化对外开放的主机（多IP主机）,确保主机是安全的,周期审计系统，检查文件完整性等。,49,学习交流PPT,25 安全管理,安全管理是确保计算机网络信息系统安全的非“技术”的技术，体现以人为本。它包含制度和教育两方面的内容。 安全管理的目的

29、是阻止非法用户进入，减少受破坏可能性；快速检测非法行为，迅速测定非法入口位置；审计追踪；以最大限度减少损失，并促进系统恢复；能有效监控破坏者的每个操作，以便抓获之，使罪犯最终受到应有惩罚。 安全管理涉及硬件、软件和政策等，应综合考虑安全立法、安全教育、职员安全筛选和综合管理等，设置安全管理中心，实施统一分层和统一管理。 为此，必须建立和完善安全立法、职员安全筛选，建立安全管理中心，从行政、安全、人员等方面加强管理和审计。,50,学习交流PPT,安全管理的三项原则,多人负责原则，即至少应有两人以上实施安全管理 任期有限原则，即应不定期循环任职，或强制休假 职责分离原则，编程与操作、信息传送与信息

30、接收、操作介质与介质保密、系统管理与安全管理、应用程序编制与系统程序编制、访问证件管理与其他工作等实施分离,51,学习交流PPT,明确人员安全指责和权限,管理员任务是启动/停止系统、安装系统软件、增/删用户和系统扩充等，以防止未授权存取、防泄密、防止用户拒绝系统管理、防止丢失系统的完整性 超级用户应有其合适的特权，并对其有监督措施 对用户需设置口令、分配权限 对程序员要求可改变指定文件的属性、有限制地存取安全属性和执行加/解密操作等,52,学习交流PPT,26 信息安全的标准,261 信息安全标准的发展 1960年代末、1970年代初，美国出现有关信息安全的论文，之后提出可信Trusted、评

31、测级别等概念； 1970年，Tast Force等人提出计算机系统的安全控制报告；美国发表计算机系统的安全控制条例； 1972年，美国发表DoD5200.28条令；美国DoD制定自动数据处理系统的安全要求报告； 1973年，美国DoD推出ADP安全手册-实施、撤销、测试和评估安全的资源共享ADP系统的技术与过程；美国发表DoD5200.28-M指南； 1976年，美国DoD公布主要防卫系统中计算机资源的管理； 1978年，MITRE公司发表可信计算机系统的建设技术评估标准； 1983年，美国发布“可信计算机系统评价标准TCSEC”桔皮书（1985年正式版DoD85）； 1991年，欧洲四国(英、荷兰、法等)发布“信息技术安全评价标准IT-SEC”； 1993年，加拿大发布“可信计算机系统评价标准CTCPEC”；国际标准组织IEEE/POSIX颁布了FIPS和X/OPEN； 1994年4月，美国国家计算机安全中心NCSC颁布TDI可信计算机系统评估标准在数据库管理系统的解释；美、加、欧提出信息技术安全评测公共标准CC V0.9。,