1、1计算机安全与保密信息安全原理与应用信息安全原理与应用袁静波袁静波东北大学秦皇岛分校东北大学秦皇岛分校2第第1章章 信息安全概述信息安全概述l信息安全的概念信息安全的概念l信息安全的发展历史信息安全的发展历史l信息安全的目标信息安全的目标l信息安全的研究内容信息安全的研究内容31.1 信息安全的概念信息安全的概念 l 信息信息(information)是经过加工(获取、推理、)是经过加工(获取、推理、分析、计算、存储等)的特定形式数据,是物质运分析、计算、存储等)的特定形式数据,是物质运动规律的总和。动规律的总和。l 信息安全信息安全是为数据处理系统建立的安全保护,保护是为数据处理系统建立的安
2、全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。(到破坏、更改和泄露。(ISO)(该概念偏重于静)(该概念偏重于静态信息保护)态信息保护)l 信息安全信息安全是指信息网络的硬件、软件及其系统中的是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。息服务不中断。”(该定义着重于动态意义描述)(该定义着重于动态意义描述)4信息系统风险信息系统风险l 信息系
3、统信息系统就是一种开发信息资源的就是一种开发信息资源的工具,是信息以及用于信息的采集、工具,是信息以及用于信息的采集、传输、存储、管理、检索和利用等传输、存储、管理、检索和利用等工具的有机整体。工具的有机整体。l 系统风险系统风险是指系统遭受意外损失的是指系统遭受意外损失的可能性,它主要来自系统可能遭受可能性,它主要来自系统可能遭受的各种威胁、系统本身的脆弱性以的各种威胁、系统本身的脆弱性以及系统对于威胁的失策。及系统对于威胁的失策。l 信息系统安全威胁信息系统安全威胁(threadthread)是指)是指对于信息系统的组成要素及其功能对于信息系统的组成要素及其功能造成某种损害的潜在可能。造成
4、某种损害的潜在可能。5信息系统面临的威胁信息系统面临的威胁 计算机计算机 依附载体依附载体 数据数据 表现形式表现形式 程序程序 处理工具处理工具 网络网络 传递媒介传递媒介 管理管理 人为因素人为因素 物理威胁物理威胁漏洞、病毒、木马漏洞、病毒、木马网络攻击网络攻击管理漏洞管理漏洞6按照来源的信息系统威胁按照来源的信息系统威胁l 自然灾害威胁自然灾害威胁l 滥用性威胁滥用性威胁l 有意人为威胁有意人为威胁7按照作用对象的信息系统威胁按照作用对象的信息系统威胁(1 1)针对信息的威胁)针对信息的威胁 信息破坏:信息破坏:非法取得信息的使用权,删除、修非法取得信息的使用权,删除、修改、插入、恶意
5、添加或重发某些数据,以影响改、插入、恶意添加或重发某些数据,以影响信息正常用户的正常使用。信息正常用户的正常使用。 信息泄密:信息泄密:故意或偶然地非法侦收、截获、分故意或偶然地非法侦收、截获、分析某些信息系统中的信息,造成系统数据泄密。析某些信息系统中的信息,造成系统数据泄密。 假冒或否认:假冒或否认:假冒某一可信任方进行通信或者假冒某一可信任方进行通信或者对发送的数据事后予以否认。对发送的数据事后予以否认。(2 2)针对系统的威胁)针对系统的威胁 包括对系统硬件的威胁和对系统软件的威胁。包括对系统硬件的威胁和对系统软件的威胁。8按照手段的信息系统威胁按照手段的信息系统威胁(1 1)信息泄露
6、(信息泄露(leakleak) 在传输中被利用电磁辐射或搭接线路的方式窃取在传输中被利用电磁辐射或搭接线路的方式窃取 授权者向未授权者泄露授权者向未授权者泄露 存储设备被盗窃或盗用存储设备被盗窃或盗用 未授权者利用利用特定的工具捕获网络中的数据流量、流未授权者利用利用特定的工具捕获网络中的数据流量、流向、通行频带、数据长度等数据进行分析,从中获取敏感向、通行频带、数据长度等数据进行分析,从中获取敏感信息。信息。(2 2)扫描(扫描(scanscan) 扫描是利用特定的软件工具向目标发送特制的数据包,对扫描是利用特定的软件工具向目标发送特制的数据包,对响应进行分析,以了解目标网络或主机的特征。响
7、应进行分析,以了解目标网络或主机的特征。(3 3)入侵(入侵(intrusionintrusion) 旁路控制旁路控制 假冒假冒 口令破解口令破解 合法用户的非授权访问合法用户的非授权访问9按照手段的信息系统威胁按照手段的信息系统威胁(4 4)拒绝服务(拒绝服务(denial of servicedenial of service,DoSDoS) DoSDoS指系统可用性因服务中断而遭到破坏。指系统可用性因服务中断而遭到破坏。DoSDoS攻击常常攻击常常通过用户进程消耗过多的系统资源造成系统阻塞或瘫痪。通过用户进程消耗过多的系统资源造成系统阻塞或瘫痪。(5 5)抵赖(否认)(抵赖(否认)(de
8、nydeny) 发方事后否认自己曾经发送过的某些消息;发方事后否认自己曾经发送过的某些消息; 收方事后否认自己曾经收到过的某些消息;收方事后否认自己曾经收到过的某些消息; 发方事后否认自己曾经发送过的某些消息的内容;发方事后否认自己曾经发送过的某些消息的内容; 收方事后否认自己曾经收到过的某些消息的内容。收方事后否认自己曾经收到过的某些消息的内容。(6 6)滥用(滥用(misusemisuse) 传播恶意代码传播恶意代码 复制复制/ /重放重放 发布或传播不良信息发布或传播不良信息10保护什么保护什么(1 1)硬件)硬件工作站、磁盘、网络工作站、磁盘、网络(2 2)软件)软件源代码、程序、操作
9、系统、通信系统源代码、程序、操作系统、通信系统 (3 3)数据)数据备份数据、审计数据、通信数据备份数据、审计数据、通信数据(4 4)人)人管理员、用户、来访者管理员、用户、来访者 11信息安全的组成信息安全的组成Network Network SecuritySecurity网络安全网络安全Computer Computer SecuritySecurity计算机安全计算机安全CryptologyCryptology密码安全密码安全Information SecurityInformation Security信息安全信息安全12信息安全涉及的知识领域信息安全涉及的知识领域 l 信息安全是一
10、门涉及计算机科学、网络技术、通信技术、密信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。科的综合性学科。 131.2 1.2 信息安全的发展历史信息安全的发展历史l 信息安全的发展经历了如下几个阶段:信息安全的发展经历了如下几个阶段: 古典信息安全古典信息安全 辐射安全辐射安全 计算机安全计算机安全 网络安全网络安全 信息安全信息安全141.3 信息安全的目标信息安全的目标 l 信息安全的实质信息安全的实质就是要保护信息系统或信息网络中就是要保护信息系统或信息网络中的信息
11、资源免受各种类型的威胁、干扰和破坏,即的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性保证信息的安全性 l 信息安全的目标信息安全的目标是指保障信息系统在遭受攻击的情是指保障信息系统在遭受攻击的情况下信息的某些安全性质不变。况下信息的某些安全性质不变。151.3.1 安全性攻击安全性攻击l 安全攻击(安全攻击(Security AttackSecurity Attack):):任何以干扰、破任何以干扰、破坏网络系统为目的的非授权行为坏网络系统为目的的非授权行为l 对网络攻击的两种理解:对网络攻击的两种理解: 攻击发生在入侵行为完全完成且入侵者在目标攻击发生在入侵行为完全完成且入侵者
12、在目标系统内系统内 从入侵者开始在目标机上工作时刻起,攻击已从入侵者开始在目标机上工作时刻起,攻击已开始开始l 攻击方式多种多样,环境越发广泛攻击方式多种多样,环境越发广泛 可以是针对安全策略的违规行为可以是针对安全策略的违规行为 可以是针对授权特征的滥用行为可以是针对授权特征的滥用行为 可以是针对正常行为特征的异常行为可以是针对正常行为特征的异常行为l 网络攻击总有一定规律可寻网络攻击总有一定规律可寻16安全性攻击安全性攻击l 被动攻击被动攻击 (Passive attack)(Passive attack):对一个保密系统采取截获密:对一个保密系统采取截获密文进行分析的攻击文进行分析的攻击
13、 攻击者在未被授权的情况下,非法获取信息或数据文件,攻击者在未被授权的情况下,非法获取信息或数据文件,但不对数据信息作任何修改但不对数据信息作任何修改 搭线监听、无线截获、其他截获、流量分析搭线监听、无线截获、其他截获、流量分析 破坏了信息的机密性破坏了信息的机密性l 主动攻击主动攻击(Active attack)(Active attack):非法入侵者:非法入侵者(Tamper)(Tamper)、攻击者、攻击者(Attcker(Attcker) )或黑客或黑客(Hacker)(Hacker)主动向系统窜扰,采用删除、增主动向系统窜扰,采用删除、增添、重放、伪造等窜改手段向系统注入假消息,达
14、到利已害添、重放、伪造等窜改手段向系统注入假消息,达到利已害人的目的。人的目的。 包括对数据流进行篡改或伪造包括对数据流进行篡改或伪造 伪装、重放、消息篡改,破坏了信息的完整性伪装、重放、消息篡改,破坏了信息的完整性 拒绝服务,破坏了信息系统的可用性拒绝服务,破坏了信息系统的可用性17Attack type攻击类型攻击类型被动攻击被动攻击主动攻击主动攻击消息内消息内容泄露容泄露流量流量分析分析重放重放假冒假冒消息内消息内容篡改容篡改拒绝拒绝服务服务18Attack method 攻击主要方式攻击主要方式正常通讯正常通讯中断中断窃听窃听篡改篡改假冒假冒191.3.2 信息安全的目标信息安全的目标
15、 l 信息安全的基本目标(也称信息安全的基本目标(也称信息安全三要素信息安全三要素):): 机密性:机密性:Confidentiality,指保证信息不被非授,指保证信息不被非授权访问。权访问。 完整性:完整性:Integrity,指信息在生成、传输、存储,指信息在生成、传输、存储和使用过程中不应被第三方篡改。信息的完整和使用过程中不应被第三方篡改。信息的完整性包括两个方面:性包括两个方面:(1)数据完整性)数据完整性:数据没有:数据没有被未授权篡改或者损坏;被未授权篡改或者损坏;(2)系统完整性)系统完整性:系:系统未被非法操纵,按既定的目标运行。统未被非法操纵,按既定的目标运行。 可用性可
16、用性 :Availability,指授权用户可以根据需,指授权用户可以根据需要随时访问所需信息。要随时访问所需信息。20信息安全性质之间的关系信息安全性质之间的关系 l 信息安全的目标是致力于保障信息的这三个特性不信息安全的目标是致力于保障信息的这三个特性不被破坏。构建安全系统的一个挑战就是在这些特性被破坏。构建安全系统的一个挑战就是在这些特性中找到一个平衡点,因为它们常常是相互矛盾的。中找到一个平衡点,因为它们常常是相互矛盾的。因此,三个特征是可以独立,也可以有重叠因此,三个特征是可以独立,也可以有重叠 。 21其它信息安全性质其它信息安全性质 l 可靠性:可靠性: Reliability,
17、是指系统在规定条件下和规定时间内、,是指系统在规定条件下和规定时间内、完成规定功能的概率。完成规定功能的概率。l 不可抵赖性:不可抵赖性: (Non-repudiation)(Non-repudiation),也称作抗否认性,也称作抗否认性,是面向通信双方(人、实体或进程)信息真实统一的安全要是面向通信双方(人、实体或进程)信息真实统一的安全要求,它包括收、发双方均不可抵赖。求,它包括收、发双方均不可抵赖。l 可审查性:可审查性:Accountability,使用审计、监控、防抵赖等安,使用审计、监控、防抵赖等安全机制,使得使用者(包括合法用户、攻击者、破坏者、抵全机制,使得使用者(包括合法用
18、户、攻击者、破坏者、抵赖者)的行为有证可查,并能够对网络出现的安全问题提供赖者)的行为有证可查,并能够对网络出现的安全问题提供调查依据和手段。调查依据和手段。l 可控性:可控性:Controllability,是对信息及信息系统实施安全监,是对信息及信息系统实施安全监控。管理机构对危害国家信息的来往、使用加密手段从事非控。管理机构对危害国家信息的来往、使用加密手段从事非法的通信活动等进行监视审计,对信息的传播及内容具有控法的通信活动等进行监视审计,对信息的传播及内容具有控制能力。制能力。22l 保密保密(Privacy)(Privacy):确保敏感信息不被窃听。:确保敏感信息不被窃听。l 访问
19、控制访问控制(Access Control)(Access Control):确保会话对方:确保会话对方( (人或人或计算机计算机) )有权做他所声称的事情。有权做他所声称的事情。l 认证认证(Authentication)(Authentication):确保会话对方的资源:确保会话对方的资源( (人人或计算机或计算机) )同他声称的相一致。同他声称的相一致。l 完整性完整性(Integrity)(Integrity)控制控制:确保接收到的信息同发:确保接收到的信息同发送的一致。送的一致。l 审计审计(Accountability)(Accountability):确保任何发生的交易在:确保
20、任何发生的交易在事后可以被证实,发信者和收信者都认为交换发事后可以被证实,发信者和收信者都认为交换发生过,即所谓的不可抵赖性。生过,即所谓的不可抵赖性。安全措施23信息安全的研究内容信息安全的研究内容 l 信息安全的研究信息安全的研究范围非常广泛,范围非常广泛,其领域划分成三其领域划分成三个层次:个层次: 信息安全基信息安全基础理论研究础理论研究 信息安全应信息安全应用技术研究用技术研究 信息安全管信息安全管理研究理研究 24信息安全研究层次信息安全研究层次 l 信息安全从总体上可以分成信息安全从总体上可以分成5 5个层次:安全的密码个层次:安全的密码算法,安全协议,网络安全,系统安全以及应用
21、算法,安全协议,网络安全,系统安全以及应用安全,层次结构如图安全,层次结构如图 25信息安全基础研究信息安全基础研究 l 密码理论 数据加密算法数据加密算法 消息认证算法消息认证算法 数字签名算法数字签名算法 密钥管理密钥管理l 安全理论 身份认证身份认证 授权和访问控制授权和访问控制 安全审计安全审计 安全协议安全协议26信息安全应用研究信息安全应用研究 l 安全技术安全技术 防火墙技术防火墙技术 漏洞扫描和分析漏洞扫描和分析 入侵检测入侵检测 防病毒。防病毒。l 平台安全平台安全 物理安全物理安全 网络安全网络安全 系统安全系统安全 数据安全数据安全 用户安全用户安全 边界安全边界安全27
22、信息安全管理信息安全管理 l “三分技术,七分管理三分技术,七分管理”l “安全是一个过程,而不是一个产品安全是一个过程,而不是一个产品” ” l 70%70%攻击来自内部人员攻击来自内部人员l 信息安全系统是汇集了硬件、软件、网络和人的系信息安全系统是汇集了硬件、软件、网络和人的系统统l 多数组织存在严重安全管理漏洞多数组织存在严重安全管理漏洞28信息安全管理研究信息安全管理研究 l 安全策略研究安全策略研究 包括安全风险评估、安全代价评估、安全机制的包括安全风险评估、安全代价评估、安全机制的制定以及安全措施的实施和管理等。制定以及安全措施的实施和管理等。 l 安全标准研究安全标准研究 主要
23、内容包括安全等级划分、安全技术操作标准、主要内容包括安全等级划分、安全技术操作标准、安全体系结构标准、安全产品测评标准和安全工安全体系结构标准、安全产品测评标准和安全工程实施标准等。程实施标准等。 l 安全测评研究安全测评研究 主要内容有测评模型、测评方法、测评工具、测主要内容有测评模型、测评方法、测评工具、测评规程等。评规程等。 29信息安全的保护机制信息安全的保护机制补充:补充:1.5 信息安全体系信息安全体系信息资源信息资源心理屏障心理屏障法律屏障法律屏障管理屏障管理屏障技术屏障技术屏障物理屏障物理屏障国际信息系统安全认证联盟(国际信息系统安全认证联盟(ISCISC)2 2的多重保护机制
24、的多重保护机制301.5.1 OSI1.5.1 OSI信息系统安全体系结构信息系统安全体系结构l 定义:定义:信息系统安全体系一个能为所保障对象提供信息系统安全体系一个能为所保障对象提供的可用性、机密性、完整性、不可抵赖性、可授权的可用性、机密性、完整性、不可抵赖性、可授权性的可持续性的系统。性的可持续性的系统。l 内容:内容:安全服务、安全机制安全服务、安全机制l 机制:机制: (1 1)风险分析()风险分析(RiskRisk) (2 2)安全防护()安全防护(ProtectProtect) (3 3)安全检测()安全检测(DetectDetect) (4 4)测试与评估()测试与评估(Te
25、st and EvaluateTest and Evaluate) (5 5)应急响应()应急响应(ReactReact) (6 6)恢复()恢复(RestoreRestore)31OSIOSI安全体系的安全服务安全体系的安全服务1. 1. 认证服务(鉴别服务)认证服务(鉴别服务) 通信的对等实体鉴别服务:使通信的对等实体鉴别服务:使N+1N+1层实体确信某层实体确信某一时刻与之建立连接或进行数据传输的是它需要一时刻与之建立连接或进行数据传输的是它需要的一个或多个的一个或多个N+1N+1实体。实体。 数据原发鉴别:使数据原发鉴别:使N+1N+1层实体确信接收到的数据层实体确信接收到的数据单元的
26、来源是自己要求的。单元的来源是自己要求的。2. 2. 访问控制服务访问控制服务 建立用户(主体)与资源(客体)之间的访问建立用户(主体)与资源(客体)之间的访问关系(如读、写、删除、运行等),防止对某一资关系(如读、写、删除、运行等),防止对某一资源的非授权使用。源的非授权使用。323. 3. 机密性服务机密性服务 连接机密性保护:保证一次连接上的全部用连接机密性保护:保证一次连接上的全部用户数据都保护起来不使非授权泄露。户数据都保护起来不使非授权泄露。 无连接机密性保护:为单个无连接的层服务数无连接机密性保护:为单个无连接的层服务数据单元(据单元(N-SDUN-SDU)中的全部)中的全部N
27、N用户数据提供机密性用户数据提供机密性保护。保护。 选择字段机密性保护:仅对处于选择字段机密性保护:仅对处于N N连接的用户数连接的用户数据或无连接的据或无连接的N-SDUN-SDU中所选择的字段提供机密性中所选择的字段提供机密性保护。保护。 通信业务流机密性保护:提供机密性保护,并保通信业务流机密性保护:提供机密性保护,并保护不能通过观察通信业务流推断出其中的机密信护不能通过观察通信业务流推断出其中的机密信息。息。OSIOSI安全体系的安全服务安全体系的安全服务334. 4. 完整性服务完整性服务 带恢复的连接完整性服务;带恢复的连接完整性服务; 不带恢复的连接完整性服务;不带恢复的连接完整
28、性服务; 选择字段连接完整性服务;选择字段连接完整性服务; 无连接完整性服务;无连接完整性服务; 选择字段无连接完整性服务。选择字段无连接完整性服务。5. 5. 抗抵赖服务(抗否认性)抗抵赖服务(抗否认性) 有数据原发证明的抗抵赖:防止发送方抵赖;有数据原发证明的抗抵赖:防止发送方抵赖; 有数据交付证明的抗抵赖:防止接收方抵赖。有数据交付证明的抗抵赖:防止接收方抵赖。OSI安全体系的安全服务安全体系的安全服务34OSIOSI安全体系结构中的安全服务配置安全体系结构中的安全服务配置 安全服务安全服务协议层协议层1 12 23 34 45 56 67 7对等实体鉴别对等实体鉴别Y YY YY Y数
29、据原发鉴别数据原发鉴别Y YY YY Y访问控制访问控制Y YY YY Y连接机密性连接机密性Y YY YY YY YY YY Y无连接机密性无连接机密性Y YY YY YY YY Y选择字段机密性选择字段机密性Y Y通信业务流机密性通信业务流机密性Y YY YY Y带恢复的连接完整性带恢复的连接完整性Y Y不带恢复的连接完整性不带恢复的连接完整性Y YY YY Y选择字段连接完整性选择字段连接完整性Y Y无连接完整性无连接完整性Y YY YY Y选择字段无连接完整性选择字段无连接完整性Y YY YY Y有数据原发证明的抗抵赖有数据原发证明的抗抵赖Y Y有数据交付证明的抗抵赖有数据交付证明的抗
30、抵赖Y Y35OSIOSI安全体系的特定安全机制安全体系的特定安全机制1. 1. 加密机制:加密机制:能为数据提供机密性,也能为通信业能为数据提供机密性,也能为通信业务流信息提供机密性,通常采用密码、信息隐藏等务流信息提供机密性,通常采用密码、信息隐藏等方法实现方法实现2. 2. 数据签名机制:数据签名机制:用以提供认证或抗抵赖服务,是用以提供认证或抗抵赖服务,是基于密码体制的一种机制。基于密码体制的一种机制。3. 3. 访问控制机制访问控制机制 数据机密性;数据机密性; 数据完整性;数据完整性; 可用性。可用性。4. 4. 完整性保护机制:完整性保护机制:避免未授权的数据乱序、丢失、避免未授
31、权的数据乱序、丢失、重放、插入以及篡改,具体技术有校验码(抗修重放、插入以及篡改,具体技术有校验码(抗修改)、顺序号(防乱序)、时间标记(防重放、防改)、顺序号(防乱序)、时间标记(防重放、防丢失)等。丢失)等。365. 5. 通信业填充机制:通信业填充机制:通信业填充机制是一种用于提供通信业填充机制是一种用于提供业务流机密性保护的反分析机制,它可以生成伪造业务流机密性保护的反分析机制,它可以生成伪造的通信实例、伪造的数据单元或的通信实例、伪造的数据单元或/ /和数据单元中伪造和数据单元中伪造的数据,使攻击者难于从数据流量对通信业务进行的数据,使攻击者难于从数据流量对通信业务进行分析。分析。6
32、. 6. 路由选择控制机制。路由选择控制机制。例如:例如: 当检测到持续的攻击时,便指示网络服务提供者当检测到持续的攻击时,便指示网络服务提供者经别的路由建立连接;经别的路由建立连接; 依据安全策略,可以禁止带有某些安全标记的数依据安全策略,可以禁止带有某些安全标记的数据通过某些子网络、中继站或链路;据通过某些子网络、中继站或链路; 连接的发起者或无连接中数据的发送者,可以指连接的发起者或无连接中数据的发送者,可以指定路由选择说明,以请求回避某些特定的子网络、定路由选择说明,以请求回避某些特定的子网络、中继站或链路。中继站或链路。OSI安全体系的特定安全机制安全体系的特定安全机制377. 7.
33、 公证机制公证机制 仲裁方式和判决方式。仲裁方式和判决方式。8. 8. 鉴别交换机制鉴别交换机制 鉴别信息:如口令、生物信息、身份卡等;鉴别信息:如口令、生物信息、身份卡等; 密码技术。密码技术。 时间标记与同步时钟;时间标记与同步时钟; 二次握手(对应单方鉴别)或三次握手(对应二次握手(对应单方鉴别)或三次握手(对应双方鉴别);双方鉴别); 抗否认机制:数字签名和公认机制。抗否认机制:数字签名和公认机制。OSI安全体系的特定安全机制安全体系的特定安全机制38OSIOSI安全服务与安全机制之间的关系安全服务与安全机制之间的关系鉴别服务鉴别服务访问控制访问控制数据保密性数据保密性数据完整性数据完
34、整性抗抵赖抗抵赖加密加密数字签名数字签名访问控制访问控制数据完整性数据完整性鉴别交换鉴别交换通信业务填充通信业务填充路由选择控制路由选择控制公证公证391.5.21.5.2基于信息保障的信息系统安全基于信息保障的信息系统安全 20 20世纪世纪6060年代倡导通信保密措施,到了年代倡导通信保密措施,到了2020世纪世纪6060到到7070年代,逐步推行计算机安全,信息安全概念是年代,逐步推行计算机安全,信息安全概念是2020世纪世纪8080年代到年代到9090年代才被广泛提出的,年代才被广泛提出的,2020世纪世纪9090年代年代以后,开始倡导信息保障以后,开始倡导信息保障 信息保障信息保障(
35、IA IA ,Information AssuranceInformation Assurance )的概)的概念最早来自念最早来自19961996年年1212月月9 9日以美国国防部长的名义发日以美国国防部长的名义发表的表的DoDDoD Directive s-3600.1: Information Directive s-3600.1: Information OperationOperation中。中。 从被动防御走向主动防御从被动防御走向主动防御从静态防御走向动态防御从静态防御走向动态防御从技术与管理分离到技术与管理融合从技术与管理分离到技术与管理融合40从被动到主动防御从被动到主动防
36、御PDR模型模型Winn Schwartau的原装的原装PDR图示图示41从静态防御走向动态防御从静态防御走向动态防御 l 信息系统本身充满了动态性:信息系统本身充满了动态性:l信息系统的需求是动态的;信息系统的需求是动态的;l安全漏洞具有动态性:网络设备和应用系统在设安全漏洞具有动态性:网络设备和应用系统在设计开发过程中必然会存在某些缺陷和漏洞,新的计开发过程中必然会存在某些缺陷和漏洞,新的系统部件也会引入新的问题。系统部件也会引入新的问题。l系统建设是动态的,新应用、新产品不断应用,系统建设是动态的,新应用、新产品不断应用,设备、应用系统和操作系统平台的不断升级和复设备、应用系统和操作系统
37、平台的不断升级和复杂化。杂化。l网络拓扑是动态的:在网络的运行中,用户和拓网络拓扑是动态的:在网络的运行中,用户和拓扑是动态变化的。扑是动态变化的。l网络上的各种威胁也是动态的。网络上的各种威胁也是动态的。42 时间是量化的,可以被计算的。再引入时间是量化的,可以被计算的。再引入Et=暴露时间,则暴露时间,则可以得到如下关系可以得到如下关系 如果如果 Pt Dt + Rt,那么,那么 系统是安全的;系统是安全的; 如果如果 Pt Dt + Rt,那么,那么 Et=(Dt + Rt)Pt。基于时间关系的基于时间关系的PDR模型原理模型原理43从技术与管理分离到技术与管理融合从技术与管理分离到技术
38、与管理融合 PDRRPDRR模型模型信息保障(信息保障(IA,Information Assurance)的核心)的核心思想是对系统或者数据的思想是对系统或者数据的4个方面的要求:保护个方面的要求:保护(Protect),检测(),检测(Detect),反应(),反应(React)和)和恢复(恢复(Restore),结构如图:),结构如图: 44PDRRPDRR保障体系保障体系l 保护(保护(P Protectrotect)指采用可能采取的手段保障信息的保密性、)指采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否认性。完整性、可用性、可控性和不可否认性。l 检测(检测(D D
39、etectetect)指提供工具检查系统可能存在的黑客攻击、)指提供工具检查系统可能存在的黑客攻击、白领犯罪和病毒泛滥等脆弱性。白领犯罪和病毒泛滥等脆弱性。l 反应(反应(R Reacteact)指对危及安全的事件、行为、过程及时做出响)指对危及安全的事件、行为、过程及时做出响应处理,杜绝危害的进一步蔓延扩大,力求系统尚能提供正应处理,杜绝危害的进一步蔓延扩大,力求系统尚能提供正常服务。常服务。l 恢复(恢复(R Restoreestore)指一旦系统遭到破坏,尽快恢复系统功能,)指一旦系统遭到破坏,尽快恢复系统功能,尽早提供正常的服务。尽早提供正常的服务。451.6 1.6 网络安全网络安全
40、l 网络安全网络安全(Network SecurityNetwork Security)的一个通用定义:的一个通用定义: 网络网络安全是指网络系统的硬件、软件及其系统中的数据受到保安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。系统连续可靠正常地运行,网络服务不中断。l 网络安全又分为网络安全又分为:(l l)运行系统安全,即保证信息处理和传输系统的安全。)运行系统安全,即保证信息处理和传输系统的安全。 (2 2)网络上系统信息的安全。)网络上系统信
41、息的安全。 (3 3)网络上信息传播的安全。)网络上信息传播的安全。 (4 4)网络上信息内容的安全。)网络上信息内容的安全。 网络信息安全与保密的核心网络信息安全与保密的核心是通过计算机、网络、密码技是通过计算机、网络、密码技术和安全技术,保护在公用网络信息系统中传输、交换和术和安全技术,保护在公用网络信息系统中传输、交换和存储的消息的保密性、完整性、真实性、可靠性、可用性、存储的消息的保密性、完整性、真实性、可靠性、可用性、不可抵赖性等。不可抵赖性等。461.6.1网络安全概念网络安全概念l 网络传输信息的安全网络传输信息的安全: :保密性、完整性、可用性、可信性等保密性、完整性、可用性、
42、可信性等把网络看成一个透明的、不安全的信把网络看成一个透明的、不安全的信道道l 系统安全:系统安全:网络环境下的端系统安全网络环境下的端系统安全l 网络安全网络安全: :网络的保密性:存在性、拓扑结构等网络的保密性:存在性、拓扑结构等网络的完整性:路由信息、域名信息网络的完整性:路由信息、域名信息网络的可用性:网络基础设施网络的可用性:网络基础设施计算、通信资源的授权使用:地址、计算、通信资源的授权使用:地址、带宽带宽?47影响网络安全因素影响网络安全因素缺乏用户身份鉴别机制缺乏用户身份鉴别机制n使用使用IPIP作为节点主要标识作为节点主要标识nTCP/IPTCP/IP没有对没有对IPIP地址
43、真实性的鉴别机制地址真实性的鉴别机制n网络拓扑暴露网络拓扑暴露缺乏路由协议鉴别认证机制缺乏路由协议鉴别认证机制缺乏保密性缺乏保密性TCP/UDPTCP/UDP缺陷缺陷n 三次握手缺陷三次握手缺陷n 初始序列号缺陷初始序列号缺陷n UDPUDP易受源路由和易受源路由和DoSDoS攻击攻击TCP/IPTCP/IP服务的脆弱性服务的脆弱性48物理威胁物理威胁 1 1、偷窃:、偷窃:网络安全中的偷窃包括偷窃设备、偷窃信息和偷窃网络安全中的偷窃包括偷窃设备、偷窃信息和偷窃服务等内容。如果他们想偷的信息在计算机里,那他们一方服务等内容。如果他们想偷的信息在计算机里,那他们一方面可以将整台计算机偷走,另一方
44、面通过监视器读取计算机面可以将整台计算机偷走,另一方面通过监视器读取计算机中的信息。中的信息。2 2、废物搜寻:、废物搜寻:就是在废物(如一些打印出来的材料或废弃的就是在废物(如一些打印出来的材料或废弃的磁盘)中搜寻所需要的信息。磁盘)中搜寻所需要的信息。3 3、间谍行为:、间谍行为:是一种为了省钱或获取有价值的机密、采用不是一种为了省钱或获取有价值的机密、采用不道德的手段获取信息。道德的手段获取信息。4 4、身份识别错误:、身份识别错误:非法建立文件或记录,企图把他们作为有非法建立文件或记录,企图把他们作为有效的、正式生产的文件或记录,如对具有身份鉴别特征物品效的、正式生产的文件或记录,如对
45、具有身份鉴别特征物品如护照、执照、出生证明或加密的安全卡进行伪造,属于身如护照、执照、出生证明或加密的安全卡进行伪造,属于身份识别发生错误的范畴。这种行为对网络数据构成了巨大的份识别发生错误的范畴。这种行为对网络数据构成了巨大的威胁。威胁。49物理威胁(续)物理威胁(续) 5、电磁泄漏、电磁泄漏 电子计算机和其他电子设备一样,工作时要产生电子计算机和其他电子设备一样,工作时要产生电磁发射。电磁发射。u电磁发射包括辐射发射和传导发射。电磁发射包括辐射发射和传导发射。 这两种电磁发射可被高灵敏度的接收设备接收并这两种电磁发射可被高灵敏度的接收设备接收并进行分析、还原,造成计算机的信息泄露。进行分析
46、、还原,造成计算机的信息泄露。 屏蔽是防电磁泄漏的有效措施,屏蔽主要有电屏屏蔽是防电磁泄漏的有效措施,屏蔽主要有电屏蔽、磁屏蔽和电磁屏蔽三种类型。蔽、磁屏蔽和电磁屏蔽三种类型。50线缆连接威胁线缆连接威胁1 1、窃听:、窃听:对通信过程进行窃听可达到收集信息的目的,这对通信过程进行窃听可达到收集信息的目的,这种电子窃听不一定需要窃听设备一定安装在电缆上,可以种电子窃听不一定需要窃听设备一定安装在电缆上,可以通过检测从连线上发射出来的电磁辐射就能拾取所要的信通过检测从连线上发射出来的电磁辐射就能拾取所要的信号,为了使机构内部的通信有一定的保密性,可以使用加号,为了使机构内部的通信有一定的保密性,
47、可以使用加密手段来防止信息被解密。密手段来防止信息被解密。2 2、拨号进入:、拨号进入:拥有一个调制解调器和一个电话号码,每个拥有一个调制解调器和一个电话号码,每个人都可以试图通过远程拨号访问网络,尤其是拥有所期望人都可以试图通过远程拨号访问网络,尤其是拥有所期望攻击的网络的用户账户时,就会对网络造成很大的威胁。攻击的网络的用户账户时,就会对网络造成很大的威胁。3 3、冒名顶替:、冒名顶替:通过使用别人的密码和账号时,获得对网络通过使用别人的密码和账号时,获得对网络及其数据、程序的使用能力。这种办法实现起来并不容易,及其数据、程序的使用能力。这种办法实现起来并不容易,而且一般需要有机构内部的、
48、了解网络和操作过程的人参而且一般需要有机构内部的、了解网络和操作过程的人参与。与。51操作系统安全操作系统安全 l 操作系统是计算机中最基本、最重要的软件。操作系统是计算机中最基本、最重要的软件。l 同一计算机可以安装几种不同的操作系统。同一计算机可以安装几种不同的操作系统。 如果计算机系统可提供给许多人使用,操作系统如果计算机系统可提供给许多人使用,操作系统必须能区分用户,以便于防止相互干扰。必须能区分用户,以便于防止相互干扰。l 一些安全性较高、功能较强的操作系统可以为计算一些安全性较高、功能较强的操作系统可以为计算机的每一位用户分配账户。机的每一位用户分配账户。l 通常,一个用户一个账户
49、。操作系统不允许一个用通常,一个用户一个账户。操作系统不允许一个用户修改由另一个账户产生的数据。户修改由另一个账户产生的数据。52系统漏洞威胁系统漏洞威胁1 1、乘虚而入:、乘虚而入:例如,用户例如,用户A A停止了与某个系统的通信,但由于停止了与某个系统的通信,但由于某种原因仍使该系统上的一个端口处于激活状态,这时,用某种原因仍使该系统上的一个端口处于激活状态,这时,用户户B B通过这个端口开始与这个系统通信,这样就不必通过任通过这个端口开始与这个系统通信,这样就不必通过任何申请使用端口的安全检查了。何申请使用端口的安全检查了。2 2、不安全服务:、不安全服务:有时操作系统的一些服务程序可以
50、绕过机器有时操作系统的一些服务程序可以绕过机器的安全系统,互联网蠕虫就利用了的安全系统,互联网蠕虫就利用了UNIXUNIX系统中三个可绕过的系统中三个可绕过的机制。机制。3 3、配置和初始化错误:、配置和初始化错误:如果不得不关掉一台服务器以维修它如果不得不关掉一台服务器以维修它的某个子系统,几天后当重启动服务器时,可能会招致用户的某个子系统,几天后当重启动服务器时,可能会招致用户的抱怨,说他们的文件丢失了或被篡改了,这就有可能是在的抱怨,说他们的文件丢失了或被篡改了,这就有可能是在系统重新初始化时,安全系统没有正确的初始化,从而留下系统重新初始化时,安全系统没有正确的初始化,从而留下了安全漏
