1、信息与网络安全信息与网络安全作者作者: 程程 光光清华大学出版社清华大学出版社课程设置课程设置信息安全技术信息安全技术 密码学基础 常规现代加密技术 公钥密码学技术 数据保护技术 数据隐藏技术网络安全技术网络安全技术 网络防御技术 IP和TCP层安全 应用层安全 安全网络技术信息与网络安全概述信息与网络安全概述信息与网络检测技术信息与网络检测技术 入侵检测技术 网络信息获取技术 逆向工程 计算机取证目目 录录1. 网络安全现状网络安全现状2. 常见网络攻击方法常见网络攻击方法3. 网络安全和攻击网络安全和攻击4. 安全政策和机制安全政策和机制5. 安全标准和组织安全标准和组织EmailWebI
2、SP门户网站E-Commerce电子交易复杂程复杂程度度时间互联网应用和时间互联网应用和时间Internet软件联盟统计的全球互联网主机的数量软件联盟统计的全球互联网主机的数量中国网民规模和年增长率中国网民规模和年增长率中国网民上网计算机数中国网民上网计算机数 网络安全问题日益突出网络安全问题日益突出混合型威胁 (Red Code, Nimda)拒绝服务攻击(Yahoo!, eBay)发送大量邮件的病毒(Love Letter/Melissa)多变形病毒(Tequila)特洛伊木马病毒网络入侵70,00060,00050,00040,00030,00020,00010,000已知威胁的数量CE
3、RT有关安全事件的统计有关安全事件的统计 计算机紧急响应组织(计算机紧急响应组织(CERT) 事件数目01000020000300004000050000600001988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001互联网安全性研究的开始互联网安全性研究的开始 1988年年11月月3日,第一个日,第一个“蠕虫蠕虫”被放到被放到Internet上。上。 在几小时之内,数千台机器被传染,在几小时之内,数千台机器被传染,Internet陷入瘫痪。陷入瘫痪。 “蠕虫蠕虫”的作者的作者Robert Morris J.r
4、被判有罪,接受三年监被判有罪,接受三年监护并被罚款。护并被罚款。 “Morris蠕虫蠕虫”的出现改变了许多人对的出现改变了许多人对Internet安全性的安全性的看法。一个单纯的程序有效地摧毁了数百台(或数千台)看法。一个单纯的程序有效地摧毁了数百台(或数千台)机器,那一天标志着机器,那一天标志着Internet安全性研究的开始。安全性研究的开始。nCERT有关安全事件的统计有关安全事件的统计年度年度报道事件数目报道事件数目与软件漏洞相关事件数目与软件漏洞相关事件数目2003 137529 3784 200282094 4129 20015265824372000217561090中国互联网中
5、国互联网安全隐患安全隐患 间谍软件、木马病毒、网络钓鱼陷井、互联网邮件病毒、浏览网页恶意程序; 间谍软件占到了网络危害的23%,木马病毒占到了48%,邮件蠕虫病毒达到21%,网络钓鱼占了4%,恶意网页危害占了4%。 系统漏洞、IE浏览器漏洞、邮件漏洞1. 网络安全现状网络安全现状2. 常见网络攻击方法常见网络攻击方法3. 网络安全和攻击网络安全和攻击4. 安全政策和机制安全政策和机制5. 安全标准和组织安全标准和组织暴力攻击和字典程序攻击暴力攻击和字典程序攻击 针对密码数据库文件或当前的登录提示发起进攻 暴力攻击是通过系统地尝试每种字母、数字和符号的可能组合,从而发现用户帐户密码 字典程序攻击
6、是从预先定义好的通用或预计的密码列表中尝试每一个可能的密码,直到破解密码。 DOS攻击攻击 目的是使计算机或网络无法提供正常的服务 , DoS攻击有计算机网络带宽攻击和连通性攻击。 分布式拒绝服务攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。 欺骗攻击 假地址和节点号替代有效的源/宿IP地址和节点号 中间人攻击中间人攻击 通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。 入侵者把这台计算机模拟原始计算机,使“中间人”能够与原始计算机建立活动连接并允
7、许其读取或修改传递的信息, 这种“拦截数据修改数据发送数据”的过程就被称为“会话劫持” 探测攻击探测攻击 探测攻击是一些导致恶意用户获得网络或网络上进行传输的信息的操作。 探测通常是一个包截获程序,它可以将网络上传输的报文内容复制到文件中。 探测攻击常常集中在客户端和服务器之间的连接初始化上,获得登录证书、密钥等。 当探测攻击正确实施时,对网络上的所有其他实体都是不可见的,并且常常接着会发生欺骗攻击。 防止探测攻击的方法要物理访问控制,在网络连接上使用加密传输。 垃圾邮件攻击垃圾邮件攻击 垃圾邮件可能是厂家的无害广告,也可能是病毒或特洛伊木马附件这样的有害垃圾邮件。 垃圾邮件通常不是一种安全性
8、的攻击,但却是一种拒绝服务攻击。 垃圾邮件消耗相当大部分的互联网带宽和CPU等资源,导致整个互联网性能降低。 垃圾邮件攻击会通过占满邮箱存储空间,阻止合法消息的发送,引发DOS问题。网络安全现状网络安全现状常见网络攻击方法常见网络攻击方法网络安全和攻击网络安全和攻击安全政策和机制安全政策和机制安全标准和组织安全标准和组织威胁类型威胁类型 信息安全包括数据安全和系统安全信息安全包括数据安全和系统安全 数据安全受到四个方面的威胁数据安全受到四个方面的威胁 设信息是从源地址流向目的地址,那么正常的信设信息是从源地址流向目的地址,那么正常的信息流向是:息流向是: 信息源信息目的地中断威胁中断威胁 使在
9、用信息系统毁坏或不能使用的攻击,破坏可使在用信息系统毁坏或不能使用的攻击,破坏可用性(用性(availabilityavailability)。)。 如硬盘等一块硬件的毁坏,通信线路的切断,文如硬盘等一块硬件的毁坏,通信线路的切断,文件管理系统的瘫痪等。件管理系统的瘫痪等。 信息源信息目的地侦听威胁侦听威胁 一个非授权方介入系统的攻击,破坏保密性一个非授权方介入系统的攻击,破坏保密性(confidentiality).(confidentiality).非授权方可以是一个人,一个程序,一台微机。非授权方可以是一个人,一个程序,一台微机。这种攻击包括搭线窃听,文件或程序的不正当拷贝。这种攻击包括
10、搭线窃听,文件或程序的不正当拷贝。信息源信息目的地修改修改威胁威胁 一个非授权方不仅介入系统而且在系统中一个非授权方不仅介入系统而且在系统中瞎捣瞎捣乱乱的攻击,破坏完整性(的攻击,破坏完整性(integrityintegrity). .这些攻击包括改变数据文件,改变程序使之不能正这些攻击包括改变数据文件,改变程序使之不能正确执行,修改信件内容等。确执行,修改信件内容等。信息源信息目的地伪造威胁伪造威胁 一个非授权方将伪造的客体插入系统中,破坏真实一个非授权方将伪造的客体插入系统中,破坏真实性(性(authenticityauthenticity)的攻击。)的攻击。包括网络中插入假信件,或者在文
11、件中追加记录等。包括网络中插入假信件,或者在文件中追加记录等。 信息源信息目的地被动攻击被动攻击 监听,目的:获得信息 方法:析出消息内容、通信量分析主动攻击主动攻击 伪装 重放 篡改 拒绝服务伪装伪装攻击攻击一个实体假装成另外一个实体。一个实体假装成另外一个实体。 在鉴别过程中,获取有效鉴别序列,在以后冒名在鉴别过程中,获取有效鉴别序列,在以后冒名重播的方式获得部分特权。重播的方式获得部分特权。重放攻击重放攻击获取有效数据段以重播的方式获取对方信任。获取有效数据段以重播的方式获取对方信任。在远程登录时如果一个人的口令不改变,则容易被在远程登录时如果一个人的口令不改变,则容易被第三者获取,并用
12、于冒名重放。第三者获取,并用于冒名重放。 修改攻击修改攻击 信件被改变,延时,重排,以至产生非授权效果。信件被改变,延时,重排,以至产生非授权效果。 如信件如信件“允许张三读机密帐簿允许张三读机密帐簿”可被修改成可被修改成“允允许李四读机密帐簿许李四读机密帐簿”。 拒绝服务攻击拒绝服务攻击 破坏设备的正常运行和管理。破坏设备的正常运行和管理。 这种攻击往往有针对性或特定目标。这种攻击往往有针对性或特定目标。 一个实体抑制发往特定地址的所有信件,如发往一个实体抑制发往特定地址的所有信件,如发往审计服务器的所有信件。审计服务器的所有信件。 另外一种是将整个网络扰乱,扰乱的方法是发送另外一种是将整个
13、网络扰乱,扰乱的方法是发送大量垃圾信件使网络过载,以降低系统性能。大量垃圾信件使网络过载,以降低系统性能。网络安全现状网络安全现状常见网络攻击方法常见网络攻击方法网络安全和攻击网络安全和攻击安全政策和机制安全政策和机制安全标准和组织安全标准和组织网络安全服务网络安全服务安全服务安全服务安全机制安全机制安全模式安全模式安全分析安全分析安全安全服务服务 保密性保密性 鉴别性鉴别性 完整性完整性 不可否认性不可否认性保密性(保密性(confidentialiy) 保密性是用加密的方法实现的。加密的目的有三种:保密性是用加密的方法实现的。加密的目的有三种:密级文件改为公开文件;无论是绝密文件还是机密文
14、件,经密级文件改为公开文件;无论是绝密文件还是机密文件,经加密都变成公开文件;这样在通信线路上公开发送,在非密的加密都变成公开文件;这样在通信线路上公开发送,在非密的媒体中公开存放,不受密级管理的限制;媒体中公开存放,不受密级管理的限制;实现多级控制需要。密级划分也是等级划分,按不同密级加实现多级控制需要。密级划分也是等级划分,按不同密级加密是为了实现多级控制。总经理权限应该比普通职工的权限要密是为了实现多级控制。总经理权限应该比普通职工的权限要大一些,总经理能看的文件,普通职工不一定能看。密级划分大一些,总经理能看的文件,普通职工不一定能看。密级划分只是多级控制的一部分。就一件事来说,这一部
15、分人是有关人只是多级控制的一部分。就一件事来说,这一部分人是有关人员,另一部分人是无关人员,但就另一件事来说,这有关人员员,另一部分人是无关人员,但就另一件事来说,这有关人员和无关人员发生变化。这种变动中的多级控制是一个复杂问题,和无关人员发生变化。这种变动中的多级控制是一个复杂问题,以后漫漫涉及到。以后漫漫涉及到。构建构建VPNVPN的需要。修筑加密通道,防止搭线窃听和冒名入侵。的需要。修筑加密通道,防止搭线窃听和冒名入侵。 保密性(保密性(confidentialiy) 连接保密:即对某个连接上的所有用户数据提供保密。连接保密:即对某个连接上的所有用户数据提供保密。无连接保密:即对一个无连
16、接的数据报的所有用户数据提供无连接保密:即对一个无连接的数据报的所有用户数据提供保密。保密。选择字段保密:即对一个协议数据单元中的用户数据的一些选择字段保密:即对一个协议数据单元中的用户数据的一些经选择的字段提供保密。经选择的字段提供保密。信息流安全:即对可能从观察信息流就能推导出的信息提供信息流安全:即对可能从观察信息流就能推导出的信息提供保密。保密。 鉴别性鉴别性(authentication)鉴别性保证真实性鉴别性保证真实性. .鉴别主要包括:标识鉴别和数据鉴别。鉴别主要包括:标识鉴别和数据鉴别。标识鉴别是对主体的识别和证明,特别防止第三者的冒名顶标识鉴别是对主体的识别和证明,特别防止第
17、三者的冒名顶替;替;数据鉴别是对客体的鉴别,主要检查主体对客体的负责性,数据鉴别是对客体的鉴别,主要检查主体对客体的负责性,防止冒名伪造的数据:防止冒名伪造的数据: 1 1) 发方是真实的;(客户)发方是真实的;(客户) 2 2) 收方是真实的;(服务器)收方是真实的;(服务器) 3 3) 数据源和目的地也是真实的;数据源和目的地也是真实的;完整性完整性(integrity) 可恢复的连接完整性:该服务对一个连接上的所有用户数据的可恢复的连接完整性:该服务对一个连接上的所有用户数据的完整性提供保障,而且对任何服务数据单元的修改、插入、删除完整性提供保障,而且对任何服务数据单元的修改、插入、删除
18、或重放都可使之复原。或重放都可使之复原。无恢复的连接完整性:该服务除了不具备恢复功能之外,其余无恢复的连接完整性:该服务除了不具备恢复功能之外,其余同前。同前。选择字段的连接完整性:该服务提供在连接上传送的选择字段选择字段的连接完整性:该服务提供在连接上传送的选择字段的完整性,并能确定所选字段是否已被修改、插入、删除或重的完整性,并能确定所选字段是否已被修改、插入、删除或重放。放。无连接完整性:该服务提供单个无连接的数据单元的完整性,无连接完整性:该服务提供单个无连接的数据单元的完整性,能确定收到的数据单元是否已被修改。能确定收到的数据单元是否已被修改。选择字段无连接完整性:该服务提供单个无连
19、接数据单元中各选择字段无连接完整性:该服务提供单个无连接数据单元中各个选择字段的完整性,能确定选择字段是否被修改。个选择字段的完整性,能确定选择字段是否被修改。不可否认性不可否认性(nonrepudiation) 当发方发送信息时,收方能够证明信息源是合法的;当发方发送信息时,收方能够证明信息源是合法的;当收方接到信息时,发方能够证明信息目的地是合法的。当收方接到信息时,发方能够证明信息目的地是合法的。为作到这一点,发放发送信息时要有发方的签名,收方应发为作到这一点,发放发送信息时要有发方的签名,收方应发收方签名的回执,收方签名的回执,不得否认发送:这种服务向数据接收者提供数据源的证据,不得否
20、认发送:这种服务向数据接收者提供数据源的证据,从而可防止发送者否认发送过这个数据。从而可防止发送者否认发送过这个数据。不得否认接收:这种服务向数据发送者提供数据已交付给接不得否认接收:这种服务向数据发送者提供数据已交付给接收者的证据,因而接收者事后不能否认曾收到此数据。收者的证据,因而接收者事后不能否认曾收到此数据。安全机制安全机制加密机制加密机制 数字签名机制数字签名机制访问控制机制访问控制机制数据完整性机制数据完整性机制交换鉴别机制交换鉴别机制业务流量填充机制业务流量填充机制路由控制机制路由控制机制公证机制公证机制加密机制加密机制加密是提供数据保密的最常用方法。加密是提供数据保密的最常用方
21、法。按密钥类型划分,加密算法可分为对称密钥加密算法和非按密钥类型划分,加密算法可分为对称密钥加密算法和非对称密钥两种;对称密钥两种;按密码体制分,可分为序列密码和分组密码算法两种。按密码体制分,可分为序列密码和分组密码算法两种。用加密的方法与其他技术相结合,可以提供数据的保密性用加密的方法与其他技术相结合,可以提供数据的保密性和完整性。和完整性。除了对话层不提供加密保护外,加密可在其他各层上进行。除了对话层不提供加密保护外,加密可在其他各层上进行。与加密机制伴随而来的是密钥管理机制。与加密机制伴随而来的是密钥管理机制。数字签名机制数字签名机制数字签名是解决网络通信中特有的安全问题的有效方法。特
22、别数字签名是解决网络通信中特有的安全问题的有效方法。特别是针对通信双方发生争执时可能产生的如下安全问题:是针对通信双方发生争执时可能产生的如下安全问题:否认:发送者事后不承认自己发送过某份文件。否认:发送者事后不承认自己发送过某份文件。伪造:接收者伪造一份文件,声称它发自发送者。伪造:接收者伪造一份文件,声称它发自发送者。冒充:网上的某个用户冒充另一个用户接收或发送信息。冒充:网上的某个用户冒充另一个用户接收或发送信息。篡改:接收者对收到的信息进行部分篡改。篡改:接收者对收到的信息进行部分篡改。访问控制访问控制访问控制是按事先确定的规则决定主体对客体的访问是否合访问控制是按事先确定的规则决定主
23、体对客体的访问是否合法。法。当一个主体试图非法使用一个未经授权使用的客体时,该机当一个主体试图非法使用一个未经授权使用的客体时,该机制将拒绝这一企图,并附带向审计跟踪系统报告这一事件。制将拒绝这一企图,并附带向审计跟踪系统报告这一事件。审计跟踪系统将产生报警信号或形成部分追踪审计信息。审计跟踪系统将产生报警信号或形成部分追踪审计信息。数据完整性机制数据完整性机制数据完整性包括两种形式:一种是数据单元的完整性,另一数据完整性包括两种形式:一种是数据单元的完整性,另一种是数据单元序列的完整性。种是数据单元序列的完整性。数据单元完整性包括两个过程,一个过程发生在发送实体,数据单元完整性包括两个过程,
24、一个过程发生在发送实体,另一个过程发生在接收实体。另一个过程发生在接收实体。保证数据完整性的一般方法是:发送实体在一个数据单元上保证数据完整性的一般方法是:发送实体在一个数据单元上加一个标记,这个标记是数据本身的函数,如一个分组校验,加一个标记,这个标记是数据本身的函数,如一个分组校验,或密码校验函数,它本身是经过加密的。接收实体是一个对应或密码校验函数,它本身是经过加密的。接收实体是一个对应的标记,并将所产生的标记与接收的标记相比较,以确定在传的标记,并将所产生的标记与接收的标记相比较,以确定在传输过程中数据是否被修改过。输过程中数据是否被修改过。数据单元序列的完整性是要求数据编号的连续性和
25、时间标记数据单元序列的完整性是要求数据编号的连续性和时间标记的正确性,以防止假冒、丢失、重发、插入或修改数据。的正确性,以防止假冒、丢失、重发、插入或修改数据。交换鉴别机制交换鉴别机制交换鉴别是以交换信息的方式来确认实体身份的机制。用于交交换鉴别是以交换信息的方式来确认实体身份的机制。用于交换鉴别的技术有:换鉴别的技术有: 口令:由发方实体提供,收方实体检测。口令:由发方实体提供,收方实体检测。密码技术:将交换的数据加密,只有合法用户才能解密,得密码技术:将交换的数据加密,只有合法用户才能解密,得出有意义的明文。在许多情况下,这种技术与下列技术一起使出有意义的明文。在许多情况下,这种技术与下列
26、技术一起使用:用: 时间标记和同步时钟时间标记和同步时钟 双方或三方双方或三方“握手握手” 数字签名和公证机构数字签名和公证机构利用实体的特征或所有权。常采用的技术是指纹识别和身份利用实体的特征或所有权。常采用的技术是指纹识别和身份卡等。卡等。业务流量填充机制业务流量填充机制这种机制主要是对抗非法者在线路上监听数据并对其进行流这种机制主要是对抗非法者在线路上监听数据并对其进行流量和流向分析。量和流向分析。采用的方法一般由保密装置在无信息传输时,连续发出伪随采用的方法一般由保密装置在无信息传输时,连续发出伪随机序列,使得非法者不知哪些是有用信息、哪些是无用信息。机序列,使得非法者不知哪些是有用信
27、息、哪些是无用信息。 路由控制机制路由控制机制在一个大型网络中,从源节点到目的节点可能有多条线路,在一个大型网络中,从源节点到目的节点可能有多条线路,有些线路可能是安全的,而另一些线路是不安全的。有些线路可能是安全的,而另一些线路是不安全的。路由控制机制可使信息发送者选择特殊的路由,以保证数据路由控制机制可使信息发送者选择特殊的路由,以保证数据安全。安全。 公证机制公证机制在一个大型网络中,有许多节点或端节点。在使用这个网络在一个大型网络中,有许多节点或端节点。在使用这个网络时,并不是所有用户都是诚实的、可信的,同时也可能由于系时,并不是所有用户都是诚实的、可信的,同时也可能由于系统故障等原因
28、使信息丢失、迟到等,这很可能引起责任问题,统故障等原因使信息丢失、迟到等,这很可能引起责任问题,为了解决这个问题,就需要有一个各方都信任的实体为了解决这个问题,就需要有一个各方都信任的实体公证公证机构,如同一个国家设立的公证机构一样,提供公证服务,仲机构,如同一个国家设立的公证机构一样,提供公证服务,仲裁出现的问题。裁出现的问题。一旦引入公证机制,通信双方进行数据通信时必须经过这个一旦引入公证机制,通信双方进行数据通信时必须经过这个机构来转换,以确保公证机构能得到必要的信息,供以后仲裁。机构来转换,以确保公证机构能得到必要的信息,供以后仲裁。 安全模式安全模式 系统安全一般四层来考虑:系统安全
29、一般四层来考虑:信息通道上的考虑信息通道上的考虑系统门卫的考虑系统门卫的考虑系统内部的考虑系统内部的考虑CPUCPU的考虑。的考虑。通道模式通道模式 通道模式在形式上或内容上与传统的通信保密相差不多,即通通道模式在形式上或内容上与传统的通信保密相差不多,即通路两端架设安全设备。但是其防范的对象与概念却不大相同。路两端架设安全设备。但是其防范的对象与概念却不大相同。如如VPNVPN机,加密路由器,加密防火墙等。目的是建立一个专用秘机,加密路由器,加密防火墙等。目的是建立一个专用秘密通道,防止非法入侵,保证通路的安全。密通道,防止非法入侵,保证通路的安全。门卫模式门卫模式 门卫模式是互联网的新产物
30、,门口是控制系统安全非常有效的门卫模式是互联网的新产物,门口是控制系统安全非常有效的部位。在这个部位开展的工作非常活跃,含盖面也非常广,从部位。在这个部位开展的工作非常活跃,含盖面也非常广,从应用层到链路层,从探测设备到安全网关等出入关控制设备等。应用层到链路层,从探测设备到安全网关等出入关控制设备等。内部模式内部模式 内部控制模式在应用层或表示层进行,这是计算机安全的主战内部控制模式在应用层或表示层进行,这是计算机安全的主战场,开发研究有相当的基础。应用层中实现安全机制有以下好场,开发研究有相当的基础。应用层中实现安全机制有以下好处:处:1 1)应用层是人)应用层是人- -机交流的地方,控制
31、机制实现非常灵活。因此机交流的地方,控制机制实现非常灵活。因此有的代理型防火墙,扫描检查,内部网安全保密系统等都建在有的代理型防火墙,扫描检查,内部网安全保密系统等都建在用户层上。用户层上。2 2)用户层的控制粒度可以到用户级(个人)或文件级,因此用)用户层的控制粒度可以到用户级(个人)或文件级,因此用户鉴别和数据鉴别的最理想的地方。户鉴别和数据鉴别的最理想的地方。3 3)用户层较为独立,不受通信协议的影响。可独立构建内部网)用户层较为独立,不受通信协议的影响。可独立构建内部网安全保密协议。安全保密协议。内部模式内部模式 CPU模式模式 CPUCPU中的序列号,操作系统中的安全内核是信息系统安
32、全可靠的中的序列号,操作系统中的安全内核是信息系统安全可靠的最基本要素,技术难度很大。对我国来说是一个薄弱环节。最基本要素,技术难度很大。对我国来说是一个薄弱环节。序列号可以用来作敌友识别系统,它能解决源地址跟踪难题。序列号可以用来作敌友识别系统,它能解决源地址跟踪难题。安全内核是多用户操作系统必备的内部控制系统。只有在可靠安全内核是多用户操作系统必备的内部控制系统。只有在可靠的安全内核的基础上才能实现可靠的多级控制。的安全内核的基础上才能实现可靠的多级控制。 广义广义VPN 从广义的角度,上四种模式都可以形成各自的从广义的角度,上四种模式都可以形成各自的VPNVPN。从里到外,。从里到外,形
33、成套接关系。形成套接关系。 安全安全评估评估安全是实用技术,不能一味追求理论上的完美,理论安全是实用技术,不能一味追求理论上的完美,理论上完美的东西不一定满足业务需求。上完美的东西不一定满足业务需求。信息系统是在用系统,安全只是整个信息系统中的一信息系统是在用系统,安全只是整个信息系统中的一环。环。因此安全评估应是系统开销,性价比等综合平衡的结因此安全评估应是系统开销,性价比等综合平衡的结果,应以满足需求为根本目的。果,应以满足需求为根本目的。包括:价值评估、威胁分析、漏洞分析、风险分析、包括:价值评估、威胁分析、漏洞分析、风险分析、保护措施、监视响应等保护措施、监视响应等价值价值评估评估对保
34、护对象的价值作出评估。作到保护的重点明确,保护的层次对保护对象的价值作出评估。作到保护的重点明确,保护的层次清楚。不能化很大代价去保护清楚。不能化很大代价去保护不值钱不值钱的东西。的东西。物理价值:计算机,内存设备,外围设备;物理价值:计算机,内存设备,外围设备;软件价值:操作系统,应用程序,数据;软件价值:操作系统,应用程序,数据;人员安全:操作员,维修员,用户,管理员雇佣费,培训费;人员安全:操作员,维修员,用户,管理员雇佣费,培训费;管理价值:防护管理所需规定,制度,政策;管理价值:防护管理所需规定,制度,政策;网络价值:网络各部件本身;网络价值:网络各部件本身;威胁分析威胁分析威胁的种
35、类很多,不同系统所关心的威胁有的是相同的,有的则威胁的种类很多,不同系统所关心的威胁有的是相同的,有的则不同。安全考虑是针对性比较强的,要求的层次也有差别。只有不同。安全考虑是针对性比较强的,要求的层次也有差别。只有威胁的种类核层次分析清楚才能采取有效的防范措施。威胁的种类核层次分析清楚才能采取有效的防范措施。 人工威胁:有意的损害;人工威胁:有意的损害;自然事件:火灾,水灾,过失损害;自然事件:火灾,水灾,过失损害; 漏洞漏洞分析分析将本系统存在的漏洞分析清楚。如果说威胁分析是一般性的,那将本系统存在的漏洞分析清楚。如果说威胁分析是一般性的,那么漏洞分析则是具体的。任何新的信息系统,都有各种
36、漏洞或弱么漏洞分析则是具体的。任何新的信息系统,都有各种漏洞或弱点,信息安全的任务就是补洞,克服原有缺点。点,信息安全的任务就是补洞,克服原有缺点。物理漏洞:不严格的工地的进出控制不可靠的环境控制(空调,供物理漏洞:不严格的工地的进出控制不可靠的环境控制(空调,供水),不可靠的电源和防火措施;水),不可靠的电源和防火措施; 人员漏洞:贪欲,欺诈,贿赂:人员漏洞:贪欲,欺诈,贿赂: 管理漏洞:不完善的,前后矛盾的,不适当的规定,制度,政策;管理漏洞:不完善的,前后矛盾的,不适当的规定,制度,政策; 硬件漏洞:信号辐射;硬件漏洞:信号辐射; 软件漏洞:错误的响应,不能备份,不能升级;软件漏洞:错误
37、的响应,不能备份,不能升级; 网络漏洞:缺对干扰,窃听的防范措施;缺乏路由多余度;网络漏洞:缺对干扰,窃听的防范措施;缺乏路由多余度; 风险风险分析分析任何系统都作风险分析,安全系统也一样。因为一个漏洞堵了,任何系统都作风险分析,安全系统也一样。因为一个漏洞堵了,新的漏洞还可以发现,事物这样不断往前发展。因此百分之百的新的漏洞还可以发现,事物这样不断往前发展。因此百分之百的安全是不存在的。安全是不存在的。价值评估和风险分析是紧密相关的。在价值和损失(风险)之间价值评估和风险分析是紧密相关的。在价值和损失(风险)之间必须作出权衡。必须作出权衡。风险分析不能笼统作出,而要一项一项作出。风险分析不能
38、笼统作出,而要一项一项作出。防护措施防护措施防护措施包括物理防护和逻辑防护。防护措施包括物理防护和逻辑防护。在逻辑措施中有效的加密技术和各种访问控制技术起很大作用,在逻辑措施中有效的加密技术和各种访问控制技术起很大作用,特别强调密钥管理中心的有效控制。特别强调密钥管理中心的有效控制。监视响应监视响应对事件进行监视,同时作出必要的响应,最起码的响应应是恢复。对事件进行监视,同时作出必要的响应,最起码的响应应是恢复。 网络安全现状网络安全现状常见网络攻击方法常见网络攻击方法网络安全和攻击网络安全和攻击安全政策和机制安全政策和机制安全标准和组织安全标准和组织信息安全是信息系统实现互联、互用、互操作过
39、程中提出的安信息安全是信息系统实现互联、互用、互操作过程中提出的安全需求,因此迫切需要技术标准来规范系统的设计和实现。全需求,因此迫切需要技术标准来规范系统的设计和实现。信息安全标准是一种多学科、综合性、规范性很强的标准,其信息安全标准是一种多学科、综合性、规范性很强的标准,其目的在于保证信息系统的安全运行。目的在于保证信息系统的安全运行。一个完整、统一、科学、先进的国家信息安全标准体系是十分一个完整、统一、科学、先进的国家信息安全标准体系是十分重要的。没有标准就没有规范,无规范就无法形成规模化信息安重要的。没有标准就没有规范,无规范就无法形成规模化信息安全产业,无法生产出满足信息社会广泛需求
40、的产品;没有标准同全产业,无法生产出满足信息社会广泛需求的产品;没有标准同时无法规范人们的安全防范行为,提高全体人员的信息安全意识时无法规范人们的安全防范行为,提高全体人员的信息安全意识和整体水平。和整体水平。标准化组织标准化组织国际标准化组织(国际标准化组织(ISOISOInternational Organization International Organization StandardizationStandardization)国际电报和电话咨询委员会国际电报和电话咨询委员会(CCITT)(CCITT) 国际信息处理联合会第十一技术委员会(国际信息处理联合会第十一技术委员会(IFI
41、P TC11IFIP TC11) 电气与电子工程师学会(电气与电子工程师学会(IEEEIEEE) InternetInternet体系结构委员会(体系结构委员会(IABIAB) 美国国家标准局美国国家标准局(NBS)(NBS)与美国商业部国家技术标准研究所与美国商业部国家技术标准研究所(NIST)(NIST)美国国家标准协会美国国家标准协会(ANSI)(ANSI) 美国国防部美国国防部(DoD(DoD) )及国家计算机安全中心及国家计算机安全中心(NCSC)(NCSC) 国际标准化组织国际标准化组织始建于始建于19641964年,是一个自发的非条约性组织,其成员是参加国年,是一个自发的非条约性
42、组织,其成员是参加国的制定标准化机构(美国的成员是美国国家标准研究所的制定标准化机构(美国的成员是美国国家标准研究所(ANSIANSI)。)。它负责制定广泛的技术标准,为世界各国的技术共享和技术质它负责制定广泛的技术标准,为世界各国的技术共享和技术质量保证起着导向和把关的作用。量保证起着导向和把关的作用。ISOISO的目的是促进国际标准化和相关的活动的开展,以便于商的目的是促进国际标准化和相关的活动的开展,以便于商品和服务的国际交换,并已发展知识、科技和经济活动领域内的品和服务的国际交换,并已发展知识、科技和经济活动领域内的合作为己任,现已发布了覆盖领域极为广泛的合作为己任,现已发布了覆盖领域
43、极为广泛的50005000多个国际标准。多个国际标准。ISO信息安全机构信息安全机构ISO/IEC/JTC1ISO/IEC/JTC1SC6 SC6 开放系统互连(开放系统互连(OSIOSI)网络层和传输层;)网络层和传输层;ISO/TC46 ISO/TC46 信息系统安全信息系统安全SC14 SC14 电子数据交换(电子数据交换(EDIEDI)安全;)安全; ISO/TC65 ISO/TC65 要害保险安全要害保险安全SC17 SC17 标示卡和信用卡安全;标示卡和信用卡安全; ISO/TC68 ISO/TC68 银行系统安全银行系统安全SC18 SC18 文本和办公系统安全;文本和办公系统安
44、全; ISO/TC154 EDIISO/TC154 EDI安全安全SC21 OSISC21 OSI的信息恢复、传输和管理;的信息恢复、传输和管理;SC22 SC22 操作系统安全;操作系统安全;SC27 SC27 信息技术安全;信息技术安全;ISOISO对信息系统的安全体系结构制订了对信息系统的安全体系结构制订了OSIOSI基本参考模型基本参考模型ISO7498-2;ISO7498-2;并于并于20002000年底确定了信息技术安全评估标准年底确定了信息技术安全评估标准ISO/IEC15408ISO/IEC15408。国际电报和电话咨询委员会国际电报和电话咨询委员会(CCITT) CCITT(
45、Consulatative CommittCCITT(Consulatative Committ International Telegraph International Telegraph and Telephone)and Telephone)是一个联合国条约组织,属于国际电信联盟,由是一个联合国条约组织,属于国际电信联盟,由主要成员国的邮政、电报和电话当局组成(美国在这一委员会的主要成员国的邮政、电报和电话当局组成(美国在这一委员会的成员是美国国务院),主要从事设计通信领域的接口和通信协议成员是美国国务院),主要从事设计通信领域的接口和通信协议的制定。的制定。X.400X.400和和X
46、.500X.500中对信息安全问题有一系列的表述。中对信息安全问题有一系列的表述。(1 1) 报文源鉴别(报文源鉴别(Message origin authenticationMessage origin authentication)(2 2) 探寻源鉴别(探寻源鉴别(Probe origin authenticationProbe origin authentication)(3 3) 报告源鉴别服务(报告源鉴别服务(Report origin authenticationReport origin authentication)(4 4) 投递证明服务(投递证明服务(Proof of d
47、eliveryProof of delivery)(5 5) 提交证明服务(提交证明服务(Proof of submissionProof of submission)(6 6) 安全访问管理(安全访问管理(Secure access managementSecure access management)(7 7) 内容完整性服务(内容完整性服务(ConentConent integrity integrity)报文处理系统报文处理系统MHS(Message Handling System)协议协议X.400 报文处理系统报文处理系统MHS(Message Handling System)协议
48、协议X.400 (8 8) 内容机密性服务(内容机密性服务(Content confidentialityContent confidentiality)(9 9) 报文流机密性服务(报文流机密性服务(Message flow confidentialityMessage flow confidentiality)(1010) 报文序列完整性服务(报文序列完整性服务(Message seguenceMessage seguence integrity integrity)(1111) 数据源抗否认服务(数据源抗否认服务(Non-repudiation of originNon-repudiat
49、ion of origin)(1212) 投抵抗否认服务(投抵抗否认服务(Non-repudiation of deliveryNon-repudiation of delivery)(1313) 提交抗否认服务(提交抗否认服务(Non-repudiation of submissionNon-repudiation of submission)(1414) 报文安全标号服务(报文安全标号服务(Message security labellingMessage security labelling)国际信息处理联合会第十一技国际信息处理联合会第十一技术委员会(术委员会(IFIP TC11) 该
50、组织也是国际上有重要影响的有关信息系统安全的国际组织。该组织也是国际上有重要影响的有关信息系统安全的国际组织。公安部代表我国参加该组织的活动,每年举行一次计算机安全的公安部代表我国参加该组织的活动,每年举行一次计算机安全的国际研讨会。该组织的机构如下:国际研讨会。该组织的机构如下:(1 1) WG11.1WG11.1安全管理工作组安全管理工作组(2 2) WG11.2WG11.2办公自动化安全工作组办公自动化安全工作组(3 3) WG11.3WG11.3数据库安全工作组数据库安全工作组(4 4) WG11.4WG11.4密码工作组密码工作组(5 5) WG11.5WG11.5系统完整性与控制工