信息系统安全概述.ppt

1、第十章信息系统安全概述,主讲：蔡伟鸿 汕头大学工学院计算机系,一、网络信息系统是脆弱的,主要原因： 网络的开放性。 组成网络的通信系统和信息系统的自身缺陷。 黑客（hacker）及病毒等恶意程序的攻击。,有害程序,计算机病毒 能够利用系统进行自我复制和传播，通过特定事件触发是一种有害程序； 传统病毒：引导型、文件型、宏病毒； 邮件病毒。 程序后门 绕开系统的安全检查，直接的程序入口，通常是由程序设计人员为各种目的预留的。 特洛伊木马 冒充正常程序的有害程序，不能自我复制和传播，当用户试图运行的时候将造成破坏。 程序炸弹 是由程序员采用编程触发的方式触发，造成破坏。 细菌 本身没有强烈的破坏性，

2、但通过自我复制，耗尽系统资源。,有害程序+网络,网络的出现改变了病毒的传播方式 几何级数式的传播。 扩大了危害范围。 增强了攻击的破坏力。,主要病毒,震荡波(Worm.Sasser) 2004-05-19 QQ病毒 2004-05-17 冲击波(Worm.Blaster) 2004-05-17 网络天空(Worm.Netsky) 2004-04-26 爱情后门(Worm.LovGate) 2004-04-26 莫国防(Win32.Mgf) 2004-03-24 SCO炸弹(Worm.Novarg) 2004-03-04 恶鹰（Worm.BBeagle） 2004-03-04 小邮差“专杀工具

3、2004-02-04 劳拉(Win32.Xorala) 2003-12-25 MSN射手(Worm.Smibag) 2003-09-29 斯文(Worm.Swen) 2003-09-19 V宝贝(Win32.Worm.BabyV) 2003-09-19 布莱尔(Worm.Blare) 2003-09-08 911(Worm.Neroma) 2003-09-08,别惹我(Worm.Roron) 2003-08-21 大无极(Worm.Sobig) 2003-08-20 怪物（Worm.Bugbear） 2003-06-16 墨菲（Trojan.Mofei） 2003-06-16 泡沫人(Worm

4、.P2p.Fizzer) 2003-05-22 猜谜者(Worm.Dvldr) 2003-03-14 红色结束符(Redlof) 2003-03-21 WYX引导区 2003-05-22 2003蠕虫王(Worm.NetKiller2003) 2003-01-26 阿芙伦(Worm.Avron) 2003-01-17 免费下载 硬盘杀手(Worm.Opasoft) 2002-12-31 求职信(Worm.Klez) 2002-08-29 CIH 2002-04-20 Sircam(W32.Sircam.Worm) 2001-07-24,网络信息系统的主要威胁,从协议层次看，常见主要威胁： 物理

5、层 ：窃取、插入、删除等，但需要一定的设备。 数据链路层 ：很容易实现数据监听。 网络层 ：IP欺骗等针对网络层协议的漏洞的攻击。 传输层：TCP连接欺骗等针对传输层协议的漏洞的攻击。 应用层：存在认证、访问控制、完整性、保密性等所有安全问题。,上下层的数据流关系, (N)-PDU N层 N与N-1接口 (N-1) (N-1) PCI -SDU (N-1) (N-1)-SDU (N-1)-PDU PCI (N-1)层 (N-2)层 (N-2)-SDU 接口 (N-1)-PCI+(N-1)-SDU=(N-1)-PDU (N-2)-SDU,攻击的种类,信息保障技术框架（IATF）3.0版中将攻击分

6、为以下5类： 被动攻击。 主动攻击。 物理临近攻击。 内部人员攻击。 软硬件配装攻击。,被动攻击,是在未经用户同意和认可的情况下将信息或数据文件泄露给系统攻击者，但不对数据信息做任何修改。 常见手段： 搭线监听； 无线截获； 其他截获。 不易被发现。 重点在于预防 ，如使用虚拟专用网（VPN）、采用加密技术保护网络以及使用加保护的分布式网络等。,主动攻击,涉及某些数据流的篡改或虚假流的产生。 通常分为： 假冒； 重放； 篡改消息； 拒绝服务。 能够检测出来。 不易有效防止，具体措施包括自动审计、入侵检测和完整性恢复等。,二、安全目标,系统安全的目标 保护计算机和网络系统中的资源免受破坏、窃取和

7、丢失 计算机； 网络设备； 存储介质； 软件和程序； 各种数据； 数据库； 通信资源：信道、端口、带宽 ； 。 归根结底，其最终目标是保护信息的安全。 各种安全技术都围绕着信息安全的核心。,网络信息系统安全的基本需求,保密性 (Confidentiality) 信息不泄露给非授权用户/实体/过程，不被非法利用。 完整性 (Integrity) 数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失。 可用性 (Availability) 可被授权实体访问并按需求使用的特性，即当需要时总能够存取所需的信息。 网络环境下，拒绝服务、破坏网络和有关系统的正常运行等都属于

8、对可用性的攻击。 可控性 (Controllability) 对信息的传播及内容具有控制能力。 不可否认性（抗否性 non-repudiation） 发送者不能否认其发送的信息。,安全服务,ISO 7498-2中的安全服务 五大类可选的安全服务： 鉴别（Authentication） 包括对等实体鉴别和数据源鉴别； 访问控制（Access Control）； 数据保密（Data Confidentiality）； 数据完整性（Data Integrity）； 不可否认（Non-Repudiation）。,安全服务的实施位置,应用层提供安全服务的特点,只能在通信两端的主机系统上实施。 优点： 安

9、全策略和措施通常是基于用户制定的； 对用户想要保护的数据具有完整的访问权，因而能很方便地提供一些服务； 不必依赖操作系统来提供这些服务； 对数据的实际含义有着充分的理解。 缺点： 效率太低； 对现有系统的兼容性太差； 改动的程序太多，出现错误的概率大增，为系统带来更多的安全漏洞。,传输层提供安全服务的特点,只能在通信两端的主机系统上实施。 优点：与应用层安全相比，在传输层提供安全服务的好处是能为其上的各种应用提供安全服务，提供了更加细化的基于进程对进程的安全服务，这样现有的和未来的应用可以很方便地得到安全服务，而且在传输层的安全服务内容有变化时，只要接口不变，应用程序就不必改动。 缺点：由于传

10、输层很难获取关于每个用户的背景数据，实施时通常假定只有一个用户使用系统，所以很难满足针对每个用户的安全需求。,网络层提供安全服务的特点,在端系统和路由器上都可以实现。 优点： 主要优点是透明性，能提供主机对主机的安全服务，不要求传输层和应用层做改动，也不必为每个应用设计自己的安全机制； 其次是网络层支持以子网为基础的安全，子网可采用物理分段或逻辑分段，因而可很容易实现VPN和内联网，防止对网络资源的非法访问； 第三个方面是由于多种传送协议和应用程序可共享由网络层提供的密钥管理架构，密钥协商的开销大大降低。 缺点： 无法实现针对用户和用户数据语义上的安全控制。,数据链路层提供安全服务的特点,在链

11、路的两端实现。 优点： 整个分组（包括分组头信息）都被加密 ，保密性强。 缺点： 使用范围有限。只有在专用链路上才能很好地工作 ，中间不能有转接点。,安全机制,ISO 7498-2中的八类安全机制 加密机制（Encryption ）； 数字签名机制（Digital Signature Mechanisms）； 访问控制机制（Access Control Mechanisms）； 数据完整性机制（Data Integrity Mechanisms）； 鉴别交换机制（Authentication Mechanisms ）； 通信业务填充机制（Traffic Padding Mechanisms）；

12、 路由控制机制（Routing Control Mechanisms）； 公证机制（Notarization Mechanisms）。,安全服务与安全机制的关系,三、安全策略,安全策略是指在一个特定的环境中，为保证提供一定级别的安全保护所必须遵守的规则。 系统安全策略将决定采用何种方式和手段来保证安全。 一些具体策略： 采用什么样的安全保障体系； 确定网络资源的职责划分； 制定使用规则； 制定日常维护规程； 确定在检测到安全问题或系统遭到破坏时应采用什么样的相应措施。,四、信息系统安全评估标准美国TCSEC(桔皮书),该标准是美国国防部制定80年代的。它将安全分为4个方面:安全政策、可说明性、

13、安全保障和文档。在美国国防部虹系列(Rainbow Series)标准中有详细的描述。该标准将以上4个方面分为7个安全级别,从低到高依次为D、C1、C2、B1、B2、B3和A级： A级：绝对可信网络安全； B级：完全可信网络安全（B1、B2、B3）； C级：可信网络安全（C1、C2）； D级：不可信网络安全。 问题：以保密和单点机为主。,-欧洲ITSEC,与TCSEC不同,它并不把保密措施直接与计算机功能相联系,而是只叙述技术安全的要求,把保密作为安全增强功能。另外,TCSEC把保密作为安全的重点,而ITSEC则把完整性、可用性与保密性作为同等重要的因素。ITSEC定义了从E0级(不满足品质)

14、到E6级(形式化验证)的7个安全等级,对于每个系统,安全功能可分别定义。ITSEC预定义了10种功能,其中前5种与桔皮书中的C1-B3级非常相似。,加拿大CTCPEC 该标准将安全需求分为4个层次:机密性、完整性、可靠性和可说明性。对产品和评估过程强调功能和保证。分为7个保证级，通常称为EAL-1到EAL-7。 美国联邦准则(FC) 该标准参照了CTCPEC及TCSEC,其目的是提供TCSEC的升级版本,同时保护已有投资,但FC有很多缺陷,是一个过渡标准,后来结合ITSEC发展为联合公共准则CC。,信息技术安全评价通用准则(CC) CC的目的是想把已有的安全准则结合成一个统一的标准。该计划从1

15、993年开始执行,1996年推出第一版。CC结合了FC及ITSEC的主要特征,它强调将安全的功能与保障（安全功能的可信度）分离,并将功能需求分为11类 63族,将保障分为7类 29族。 99.7通过国际标准化组织认可,为ISO/IEC 15408信息技术安全评估准则。,-ISO安全体系结构标准,在安全体系结构方面,ISO制定了国际标准ISO7498-2-1989信息处理系统开放系统互连基本参考模型第2部分安全体系结构。该标准为开放系统互连(OSI)描述了基本参考模型,为协调开发现有的与未来的系统互连标准建立起了一个框架。其任务是提供安全服务与有关机制的一般描述,确定在参考模型内部可以提供这些服

16、务与机制的位置。,四、信息系统安全评估标准,信息保障技术框架(IATF)。 安全观点的演变：,信息保障技术框架 (IATF) 企图解决什么问题 怎样定义信息保护需求和解决方案？ 现有的何种技术能够满足我的保护需求？ 什么样的机构资源能够帮助找到所需的保护？ 当前有哪些信息保障产品和服务市场? 对IA方法和技术的研究关注点应放在哪里？ 信息保障的原则是什么？ 提出了“深度保卫战略”原则和“信息系统安全工程”的概念。,深度保卫战略的原则,五、通信服务提供者系统的安全模型,计算机安全参考模型,通信服务使用者系统的安全模型,加密的一般模型,加密功能的实施方式,两种基本方式： 链到链加密； 端到端加密。

17、,六、加密方式链到链加密方式,在物理层或数据链路层实施加密机制。,链到链加密方式,优点： 主机维护加密设施，易于实现，对用户透明； 能提供流量保密性； 密钥管理简单； 可提供主机鉴别； 加/解密是在线。 缺点： 数据仅在传输线路上是加密； 开销大； 每段链路需要使用不同的密钥。,端到端加密方式,端到端加密方式,优点： 在发送端和中间节点上数据都是加密的，安全性好； 能提供用户鉴别； 提供了更灵活的保护手段。 缺点： 不能提供流量保密性； 密钥管理系统复杂； 加密是离线的。,两者的结合,七、主要的网络安全,防火墙技术 漏洞扫描技术 入侵检测技术 虚拟专用网VPN技术,、防火墙技术,定义为：“设置

18、在两个或多个网络之间的安全阻隔，用于保证本地网络资源的安全，通常是包含软件部分和硬件部分的一个系统或多个系统的组合”。 基本工作原理是在可信任网络的边界（即常说的在内部网络和外部网络之间，我们认为内部网络是可信任的，而外部网络是不可信的）建立起网络控制系统，隔离内部和外部网络，执行访问控制策略，防止外部的未授权节点访问内部网络和非法向外传递内部信息，同时也防止非法和恶意的网络行为导致内部网络的运行被破坏。 基本思想不是对每台主机系统进行保护，而是让所有对系统的访问通过某一点，并且保护这一点，并尽可能地对外界屏蔽被保护网络的信息和结构。,代理服务器防火墙的工作原理,、隐患扫描技术,基本原理：采用模拟黑客攻击的形式对目标可能存在的已知安全漏洞和弱点进行逐项扫描和检查 ，根据扫描结果向系统管理员提供周密可靠的安全性分析报告。 目标可以是工作站、服务器、交换机、数据库应用等各种对象。 能自动发现网络系统的弱点。 系统的安全弱点就是它安全防护最弱的部分，容易被入侵者利用。,、入侵检测技术,定义 通过从计算机网络和系统的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为或遭到入侵的迹象，并依据既定的策略采取一定的措施。 三部分内容： 信息收集； 信息分析； 响应。,通用入侵检测系统模型,、虚拟专用网VPN,采用加密和