1、5.25.2信息系统安全风险防范的技术和 方法 教材p119-p127 信息系统的安全风险来自多方面,,包括人为的和非人为的、有意的和无意的等。随着信息系统 安全问题的复杂度不断提高,危害信息系统安全的手段、方法也不断变化。人们越来越深刻地 认识到信息系统安全不能仅从技术人手,还得从系统的管理角度切人,才能寻找到一个较合理 的解决策略。 5.2.1信息系统安全风险的重要术语 探究活动 讨论 阅读学习资源包“第五章课本素材中国互联网网络安全报告.pdf”,与同学分享其中关于信息安全的技术方法。 信息安全风 险术语 描述说明 威胁 威胁是指经常存在的、对信息或信息资入侵者通过防火墙上的某个端口访问
2、网络、产具有潜在危险的 人、实体或其他对象,侵害知识产权、某位雇员造成的可能泄露机密也称为威胁主体,即针对信息或 系统的潜信息或破坏文件完整性的意外错误、蓄意信息在危险。 入侵者通过防火墙上的某个端口访问网络、侵害知识产权、 某位雇员造咸的可能泄露机密信息或破坏文件完整性的意 外错误、蓄意信息敲诈、软件攻击、技术淘汰等。 攻击 敲诈、软件攻击、技术淘汰等。攻击是不断地对资产进行蓄意或无意破坏,或损害信息、或损坏信息系 统的一种某人偶然读取了敏感信息,但没有使用该信行为。它分为主动攻击与被动攻击、蓄意息的意图, 为被动攻击。黑客试图入侵信息系攻击与无意攻击、直接攻击或间接攻击等统,则为主动攻击。
3、类型。 某人偶然读取了敏感信息,但没有使用该信息的意图,为被 动攻击。黑客试图人侵信息系统,则为主动攻击。 入侵 人侵是敌手通过攻克系统的访问控制休护,得到对第三方数据的非授权访问。 人侵是主动、有意图地对合法系统进行攻击,获取未授权 软硬件资源及数据的访问与控制。 漏洞 漏洞是一个天然的缺陷,优如没有上锁的门,它是信息系统自身存在的弱点或错误,使信息暴露在被攻击或 被破坏的情况下。 信息系统的不断大型化,造成控制与管理的复杂程序不断增 加,漏洞也越来越多,如软件包缺陷、未受保护的系统端口、 暴露、风险、伪造等。 脆弱性 脆弱性是一种软件、硬件、过程或人为缺陷,它的存在说明了缺少应该使用的安全
4、措施或者安全措施有 缺陷。 如未安装补丁的应用程序或操作系统软件,服务器和工作 站上未实施密码管理等。 风险 风险是威胁主体利用脆弱性的可能性以及相应的业务影响。 网络没有安装入侵检测系统,在不引人注意的情况下被攻击 且很晚才被发现的可能性就会较大。 信息系统安全风险的术语如表5-3所示。 5.2.2信息系统安全模型及安全策略 1信息系统安全性、便利性与成本的关系 信息系统不存在绝对的安全,因为安全性和便利性及成本之间有着矛盾的关系。提高了安全性,相应地就会降低便利性; 而提高了安全性,势必增大成本;易用性越好,安全性可能就越低,如图5-3所示。 2.P2DR安全模型 从信息系统安全的目标来看
5、,信息系统安全是一个综合性的问题,需要通过建模的思想来解决信息 系统安全管理问题,安全模型能精确和形象地描述信息系统的安全特征,描述和解释安全相关行为。 精确的安全模型能提高对关键安全需求的理解层次,从中开发出一套安全性的评估准则。 信息系统安全模型的种类很多,各有特点。下面我们介绍一种常用的安全模型P2DR模型,如图 5-4所示。该模型包括策略(Policy)、防护(Protection)、检测( Detection)和响应 (Response)四个主要部分。 分析 查阅学习资源包“第五章课本素材家庭Wi-Fi与公共免费Wi-Fi的使用安全策略.doc”,研究 其中的密码设置策略,运用数据与
6、计算模块中程序设计的内容分析密码设置得越长、数字 与字母混合形成的密码较安全的原理。 ( 1)策略 根据风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等。策略是模型的核心,所有的防护、检测和 响应都是依据安全策略实施的。网络安全策略一般包括:访问控制策略、加密通信策略、身份认证策略和备份恢复策略等。 (2)防护 通过修复系统漏洞、正确设计开发和安装系统来预防安全事件的发生;通过定期检查来发现可能存在的系统脆弱性;通过教育等手段,让用户 和操作员正确使用系统,防止意外威胁;通过访问控制、监视等手段来防止恶意威胁。采用的防护技术通常包括数据加密、身份认证、访问 控制
7、、授权和虚拟专用网(VPN)技术、防火墙、安全扫描和数据备份等。 (3)检测 是动态响应和加强防护的依据,通过不断地检测和监控网络系统,来发现新的威胁和弱点,并通过循环反馈来及时做出有效的响应。当攻击 者穿透防护系统时,检测功能就发挥作用,与防护系统形成互补。采用的技术一般有实时监控和IT审计。 (4)响应 在检测到安全漏洞和安全事件时,通过及时的响应措施将网络系统的安全性调整到风险最低的状态。评估系统受到的危害与损失,恢复系统 功能和数据,启动备份系统等,主要方法包括:关闭服务、跟踪、反击、消除影响。 3.信息系统安全策略分析 对于以计算机及网络为主体的信息系统,其安全策略可从非技术和 技术
8、两个方面来考虑。其中非技术策略方面主要包括预防意识、 管理保障措施、应急响应机制等三个层面;技术策略分为物理和逻 辑两大方面,主要包括物理系统、操作系统、数据库系统、应用 系统和网络系统等五个层面。本节只考虑技术策略方面,分析如 表5-4所示。 实践 根据P2DR模型和表5-4信息系统安全策略分析,参考图5-5,对校园网进行安全策略分析。 5.2.3信息系统安全风险防范的常用技术 因为不同的信息技术发展阶段对信息系统安全的关注和需求有所不同,信息系统安全风险防范 的常用技术方法总是伴随着问题的不断变化而逐步完善的。当通信安全问题出现时,就有通过 密码技术对通信进行加密的技术方法,以保证数据的保
9、密性和完整性。计算机的安全威胁主要 是来自非法访问、恶意代码、脆弱口令等,主要防范措施是及时更新修复计算机漏洞以预防、 检测和减小计算机系统(软硬件)用户执行未授权活动所造成的后果。信息系统安全问题,主要 是确保信息在存储、处理和传输过程中免受偶然或恶意的非法泄密、转移或破坏。安全措施一 般有:防火墙、防病毒、漏洞扫描、入侵检测、公钥基础设施(PKI)、 VPN等。对于网络空间安 全/信息安全保障问题,需要关注的是其安全威胁来自黑客、恐怖分子、信息战、自然灾难、电力 中断等。 1.加密技术 信息加密的目的是防止信息被窃取。加密的基本原理是:在发送端将数据变换成某种难以理解的形式,把信息隐臧起来
10、, 在接收端通过反变换恢复数据的原样。 信息加密与密码分析是一对矛盾的两个方面。加密是研究如何生成高保密性的有效算法,使受保护的数据处于安全状态。 密码分析是研究高效算法破译密码以获取机密信息。采用密码技术的信息系统的安全性主要取决于对密钥的保护。传统 加密方法的加密密钥K与解密密钥P是相同的。密钥由通信双方约定并秘密掌握,如果丢失了密钥,加密的数据就很容易 被破译。 数千年来,人类一直希望实现绝对安全的通信,但传统的方法没有绝对的安全,至多只是在密钥保密的前提下增加破译 密文的难度和延长破译的时间。然而,随着科技的发展,量子世界带来了震撼,科学家们制作出量子密钥,这是目前人 类最安全的加密方
11、式。量子密钥采用单光子作为载体,任何干扰和复制都会让密码立即失效,中止涌信中所有窃听行为。 我国的“墨子号”量子科学实验卫星利用量子密钥实现加密数据传输和视讯通信。 体验 加密与解密是问题的两个方面。对于用户有保密需求和隐 私保护要求的文件,如设计方案、合同草案和练习试题, 从安全的角度看我们通常做一些简单的压缩加密。但有时 桃因为文件太久没有读取使用,忘记了密码,此时就需要 破解软件,运用一些加解密技术与策略在一定程序上破解 之前设定的密码。如图5-6所示的软F午Inteore KAR PasswordRecovery,可以对一些简单加密的压缩文件进行 恢复。 同学们可在学习资源包“第五章课
12、本素材”中找到该软 件并安装,尝试使用它对自己的文件进行破解恢复。同学 们也可以尝试用Python来编程,实现用穷举法分别暴力枚 举3位和6位的纯数字密码,研究对于不同长度密码穷举算 法的时间效率。 2认证技术 认证有两个目的:一是验证信息发送者的身份,以防止有可能冒充发关者身份信息的情况出现;二是验证信息的完整性。 在用户身份认证中,口令字(即密码)是当前最简易的方法。在用白接入和登录到信息系统时,需要输入用户名和口令字, 系统经过对比确定该访问者是否为合法用户,再决定是否让其进入系统。口令字的方法虽简单,但安全性不够,在安全 性要求较高的系统中,可以采用物理手段甚至生物手段来识别。 3.主
13、机系统安全技术主机系统安全技术是指用于保护计算机操作系统和运行于其上的信息系统的技术, 具体包括操作系统安全技术、数据库安全技术和可信计算技术等。例如:操作系统安全技术需要解决 用户的账户控制、内存与进程保护等;而数据库安全技术需要解决业务数据的完整性、安全检索和敏 感数据保护等问题。 (1)操作系统安全技术。 一般地,操作系统安全机制包括用户账号控制机制、强制完整性控制机制、用户界面特权隔离机制、网络访问保护机制等措施。 用户账号控制机制的目的在于使用户能够使用标准用户权限而不是管理员权限运行系统,这样用户不会有意或无意地修改系统 设置,破坏他人的敏感信息,即使受到恶意软件攻击,也不会导致系
14、统安全设置被篡改,达到增强系统安全性的目的。 (2)数据库安全技术。 数据库安全是涉及信息安全技术领域与数据库技术领域的一个典型交叉学科,它的发展历程与同时代的数据库技术、信息安全技 术的发展趋势息息相关。 关于数据库安全技术中较有代表性的是安全数据库管理系统、外包数据库安全、云数据库/云存储安全等技术。其中安全数据库 管理系统中,除了数据库认证、访问控制、审计等基本安全功能外,关键技术集中在数据库形式化安全模型、数据库加密、多级 安全数据库事务模型及数据库隐形通道分析等;外包数据库安全包括外包数据库检索技术、查询验证技术、访问控制技术和数据 库水印技术;云数据库/云存储安全主要集中在海量信息
15、安全检索关键技术、海量数据完整性验证及海量数据隐私保护技术等方 面。 4.网络与系统安全应急响应技术 (1)防火墙技术。 防火墙是位于不可信的外部网络和被保护的内部网络之间的一个网络安全设备或由多个硬件设备和相应软件组成的系统,如图5-7所示。防火墙的基本类型可分 为包过滤防火墙、代理网关、包检查型防火墙和混合型防火墙。 (2)入侵检测技术。 人侵检测技术是用干检测损宝术个图损牢玄宏的机密性完整性及可用性等行为的一类安全技术。这类技术通过太恶R护网敛书O然中郊里捻设冬来监视受保护网 络或系统的状态与活动,根据所采集的数据,采用相应的检测万法友现非度仪叹悉忘的系统与网络行为,并为防范入侵行为提供
16、支持手段。 一个入侵检测系统(IDS)需要解决三方面的问题:首先,它需要允分开可靠地采集网络和系统中的数据、提供描述网络和系统行为的特征;其次,它必须根据以 上数据和特征,高效并准确地判断网络和系统行为的性质;最后,它需要为防范网络和系统人侵提供手段。 (3)应急响应技术。 应急响应是指在网络被破坏的前后采取相应的预防、应对措施。一般分为前期响应、中期响应与后期响应三个阶段,它们跨越紧急安全事件发生和应急响应的前 后。 前期响应是指预案和计划、准备资源、系统和数据备份、保障业务的连续性等。 中期响应的任务是准确地查明信息系统遭受了何种程度的损害并摸清灾害发生的原因,认定灾害发生的责任,制订下一
17、步的安全策略和追踪、取证。 后期响应的目的是确定新的安全策略,并得到新的安全配置,它主要包括提高系统的安全性、进行安全评估、制订并执行新的安全策略等。 5恶意代码检测与防范技术 恶意代码的防治包括预防、机理分析、检测和清除等环节。其中恶意代码的预防是指抵御恶意代码的传播和感染,它的 方法主要是切断传播和感染的途径或破坏它们实施的条件,并需要配合一定的管理制度,以提高恶意代码预防技术的实施 效果;恶意代码机理分析是指恶意代码的传播、感染和触发机制;恶意代码检测方法主要用于确定感染目标中存在恶意代 码的种类,主要包括特征代码法、校验和法、行为监测法、软件模拟法、比较法和感染实验法;恶意代码的清除,
18、是指 尽量在保全被感染程序功能的情况下移除恶意代码或使其失效。 6.人工智能技术在反病毒中的应用 传统程序设计方法编制的反病毒软件,一般局限于固定模式和参数的计算、检测或者消除,总是滞后于新的计算机病毒 的出现。根据计算机病毒的表现手段和方式,采用人工智能方法编制检测病毒软件,建立防治计算机病毒专家系统,可 以在动态运行过程中不断学习和总结经验,以改进和提高。专家系统的核心是知识库和推理机。 调查 以所在学校的校园网站作为对象,通过浏览、使用网站,阅读教师提供的网站服务器配置说明,或参观服务器所在的中 心机房等途径开展以下调查内容: (1)服务器采用什么操作系统,是否或使用哪种数据库,是否或具各哪种防火墙,它们的安全级别分别如何? (2)网站和服务器分别都有哪些类型的用户,分别有什么权限,这些权限如何管理? (3)网站和服务器可能存在哪些风险?尝试说出可采用的安全防范技术。 项目实施 各小组根据项目选题及拟订的项目万策,第合个节所字知识,分析所选定的信息系统安全风险防范的技术与方法。 1.信息系统安全风险防范的方法要从技不和非投不两个方面进行考虑。 2.针对信息系统的不同组成部分,安全风应防范的技不各不相同,要有所区分。