1、第十章第十章信息系统安全概述n主讲:蔡伟鸿n汕头大学工学院计算机系一、网络信息系统是脆弱的 主要原因:n网络的开放性。n组成网络的通信系统和信息系统的自身缺陷。n黑客(hacker)及病毒等恶意程序的攻击。有害程序n计算机病毒n能够利用系统进行自我复制和传播,通过特定事件触发是一种有害程序;n传统病毒:引导型、文件型、宏病毒;n邮件病毒。n程序后门n绕开系统的安全检查,直接的程序入口,通常是由程序设计人员为各种目的预留的。n特洛伊木马n冒充正常程序的有害程序,不能自我复制和传播,当用户试图运行的时候将造成破坏。n程序炸弹n是由程序员采用编程触发的方式触发,造成破坏。n细菌n本身没有强烈的破坏性
2、,但通过自我复制,耗尽系统资源。有害程序+网络n网络的出现改变了病毒的传播方式n几何级数式的传播。n扩大了危害范围。n增强了攻击的破坏力。主要病毒n震荡波(Worm.Sasser)2004-05-19 nQQ病毒 2004-05-17 n冲击波(Worm.Blaster)2004-05-17 n网络天空(Worm.Netsky)2004-04-26 n爱情后门(Worm.LovGate)2004-04-26 n莫国防(Win32.Mgf)2004-03-24 nSCO炸弹(Worm.Novarg)2004-03-04 n恶鹰(Worm.BBeagle)2004-03-04 n小邮差“专杀工具
3、2004-02-04 n劳拉(Win32.Xorala)2003-12-25 nMSN射手(Worm.Smibag)2003-09-29 n斯文(Worm.Swen)2003-09-19 nV宝贝(Win32.Worm.BabyV)2003-09-19 n布莱尔(Worm.Blare)2003-09-08 n911(Worm.Neroma)2003-09-08 n别惹我(Worm.Roron)2003-08-21 n大无极(Worm.Sobig)2003-08-20 n怪物(Worm.Bugbear)2003-06-16 n墨菲(Trojan.Mofei)2003-06-16 n泡沫人(Wor
4、m.P2p.Fizzer)2003-05-22 n猜谜者(Worm.Dvldr)2003-03-14n红色结束符(Redlof)2003-03-21 nWYX引导区 2003-05-22 n2003蠕虫王(Worm.NetKiller2003)2003-01-26 n阿芙伦(Worm.Avron)2003-01-17n 免费下载 n硬盘杀手(Worm.Opasoft)2002-12-31 n求职信(Worm.Klez)2002-08-29 nCIH 2002-04-20nSircam(W32.Sircam.Worm)2001-07-24网络信息系统的主要威胁 从协议层次看,常见主要威胁:n物理
5、层物理层:窃取、插入、删除等,但需要一定的设备。n数据链路层数据链路层:很容易实现数据监听。n网络层网络层:IP欺骗等针对网络层协议的漏洞的攻击。n传输层:传输层:TCP连接欺骗等针对传输层协议的漏洞的攻击。n应用层:应用层:存在认证、访问控制、完整性、保密性等所有安全问题。上下层的数据流关系n n (N)-PDU n N层 N与N-1接口nn n(N-1)(N-1)n PCI -SDU n n n n (N-1)(N-1)-SDU (N-1)-PDUn PCI n(N-1)层 nn n (N-2)层 (N-2)-SDU n n 接口 (N-1)-PCI+(N-1)-SDU=(N-1)-PDU
6、 (N-2)-SDU攻击的种类信息保障技术框架(IATF)3.0版中将攻击分为以下5类:n被动攻击。n主动攻击。n物理临近攻击。n内部人员攻击。n软硬件配装攻击。被动攻击n是在未经用户同意和认可的情况下将信息或数据文件泄露给系统攻击者,但不对数据信息做任何修改。n常见手段:n搭线监听;n无线截获;n其他截获。n不易被发现。n重点在于预防,如使用虚拟专用网(VPN)、采用加密技术保护网络以及使用加保护的分布式网络等。主动攻击n涉及某些数据流的篡改或虚假流的产生。n通常分为:n假冒;n重放;n篡改消息;n拒绝服务。n能够检测出来。n不易有效防止,具体措施包括自动审计、入侵检测和完整性恢复等。二、安
7、全目标n系统安全的目标n保护计算机和网络系统中的资源免受破坏、窃取和丢失n计算机;n网络设备;n存储介质;n软件和程序;n各种数据;n数据库;n通信资源:信道、端口、带宽;n。n归根结底,其最终目标是保护信息的安全。n各种安全技术都围绕着信息安全的核心。网络信息系统安全的基本需求 n保密性(Confidentiality)n信息不泄露给非授权用户/实体/过程,不被非法利用。n完整性(Integrity)n数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失。n可用性(Availability)n可被授权实体访问并按需求使用的特性,即当需要时总能够存取所需的信息。
8、n网络环境下,拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。n可控性(Controllability)n对信息的传播及内容具有控制能力。n不可否认性(抗否性 non-repudiation)n发送者不能否认其发送的信息。安全服务nISO 7498-2中的安全服务 五大类可选的安全服务:n鉴别(鉴别(AuthenticationAuthentication)包括对等实体鉴别和数据源鉴别;包括对等实体鉴别和数据源鉴别;n访问控制(访问控制(Access ControlAccess Control););n数据保密(数据保密(Data ConfidentialityData Conf
9、identiality););n数据完整性(数据完整性(Data IntegrityData Integrity););n不可否认(不可否认(Non-RepudiationNon-Repudiation)。)。安全服务的实施位置 TCP/IP 协议层安全服务网络接口互联网层传输层应用层对等实体鉴别-YYY数据源鉴别-YYY访问控制服务-YYY连接保密性YYYY无连接保密性YYYY选择域保密性-Y流量保密性YY-Y有恢复功能的连接完整性-YY无恢复功能的连接完整性-YYY选择域连接完整性-Y无连接完整性-YYY选择域非连接完整性-Y源发方不可否认-Y接收方不可否认-Y应用层提供安全服务的特点n只
10、能在通信两端的主机系统上实施。n优点:n安全策略和措施通常是基于用户制定的;n对用户想要保护的数据具有完整的访问权,因而能很方便地提供一些服务;n不必依赖操作系统来提供这些服务;n对数据的实际含义有着充分的理解。n缺点:n效率太低;n对现有系统的兼容性太差;n改动的程序太多,出现错误的概率大增,为系统带来更多的安全漏洞。传输层提供安全服务的特点n只能在通信两端的主机系统上实施。n优点:与应用层安全相比,在传输层提供安全服务的好处是能为其上的各种应用提供安全服务,提供了更加细化的基于进程对进程的安全服务,这样现有的和未来的应用可以很方便地得到安全服务,而且在传输层的安全服务内容有变化时,只要接口
11、不变,应用程序就不必改动。n缺点:由于传输层很难获取关于每个用户的背景数据,实施时通常假定只有一个用户使用系统,所以很难满足针对每个用户的安全需求。网络层提供安全服务的特点n在端系统和路由器上都可以实现。n优点:n主要优点是透明性,能提供主机对主机的安全服务,不要求传输层和应用层做改动,也不必为每个应用设计自己的安全机制;n其次是网络层支持以子网为基础的安全,子网可采用物理分段或逻辑分段,因而可很容易实现VPN和内联网,防止对网络资源的非法访问;n第三个方面是由于多种传送协议和应用程序可共享由网络层提供的密钥管理架构,密钥协商的开销大大降低。n缺点:n无法实现针对用户和用户数据语义上的安全控制
12、。数据链路层提供安全服务的特点n在链路的两端实现。n优点:n整个分组(包括分组头信息)都被加密,保密性强。n缺点:n使用范围有限。只有在专用链路上才能很好地工作,中间不能有转接点。安全机制nISO 7498-2中的八类安全机制n加密机制(加密机制(Encryption Encryption););n数字签名机制(数字签名机制(Digital Signature MechanismsDigital Signature Mechanisms););n访问控制机制(访问控制机制(Access Control MechanismsAccess Control Mechanisms););n数据完整性机
13、制(数据完整性机制(Data Integrity MechanismsData Integrity Mechanisms););n鉴别交换机制(鉴别交换机制(Authentication Mechanisms Authentication Mechanisms););n通信业务填充机制(通信业务填充机制(Traffic Padding MechanismsTraffic Padding Mechanisms););n路由控制机制(路由控制机制(Routing Control MechanismsRouting Control Mechanisms););n公证机制(公证机制(Notarizat
14、ion MechanismsNotarization Mechanisms)。)。安全服务与安全机制的关系机制服务机密性完整性鉴别访问控制不可否认加密YYY-数字签名-YY-Y访问控制-Y-数据完整性-Y-Y鉴别-Y-业务填充Y-路由控制Y-公证-Y三、安全策略n安全策略是指在一个特定的环境中,为保证提供一定级别的安全保护所必须遵守的规则。n系统安全策略将决定采用何种方式和手段来保证安全。n一些具体策略:n采用什么样的安全保障体系;n确定网络资源的职责划分;n制定使用规则;n制定日常维护规程;n确定在检测到安全问题或系统遭到破坏时应采用什么样的相应措施。四、四、信息系统安全评估标准信息系统安全
15、评估标准美国TCSEC(桔皮书)n该标准是美国国防部制定80年代的。它将安全分为4个方面:安全政策、可说明性、安全保障和文档。在美国国防部虹系列(Rainbow Series)标准中有详细的描述。该标准将以上4个方面分为7个安全级别,从低到高依次为D、C1、C2、B1、B2、B3和A级:nA级:绝对可信网络安全;nB级:完全可信网络安全(B1、B2、B3);nC级:可信网络安全(C1、C2);nD级:不可信网络安全。n问题:以保密和单点机为主。-欧洲ITSECn与TCSEC不同,它并不把保密措施直接与计算机功能相联系,而是只叙述技术安全的要求,把保密作为安全增强功能。另外,TCSEC把保密作为
16、安全的重点,而ITSEC则把完整性、可用性与保密性作为同等重要的因素。ITSEC定义了从E0级(不满足品质)到E6级(形式化验证)的7个安全等级,对于每个系统,安全功能可分别定义。ITSEC预定义了10种功能,其中前5种与桔皮书中的C1-B3级非常相似。n加拿大加拿大CTCPEC 该标准将安全需求分为4个层次:机密性、完整性、可靠性和可说明性。对产品和评估过程强调功能和保证。分为7个保证级,通常称为EAL-1到EAL-7。n美国联邦准则(FC)该标准参照了CTCPEC及TCSEC,其目的是提供TCSEC的升级版本,同时保护已有投资,但FC有很多缺陷,是一个过渡标准,后来结合ITSEC发展为联合
17、公共准则CC。n信息技术安全评价通用准则(CC)CC的目的是想把已有的安全准则结合成一个统一的标准。该计划从1993年开始执行,1996年推出第一版。CC结合了FC及ITSEC的主要特征,它强调将安全的功能与保障(安全功能的可信度)分离,并将功能需求分为11类 63族,将保障分为7类 29族。n 99.7通过国际标准化组织认可,为ISO/IEC 15408信息技术安全评估准则。-ISO安全体系结构标准安全体系结构标准n在安全体系结构方面,ISO制定了国际标准ISO7498-2-1989信息处理系统开放系统互连基本参考模型第2部分安全体系结构。该标准为开放系统互连(OSI)描述了基本参考模型,为
18、协调开发现有的与未来的系统互连标准建立起了一个框架。其任务是提供安全服务与有关机制的一般描述,确定在参考模型内部可以提供这些服务与机制的位置。四、四、信息系统安全评估标准信息系统安全评估标准n 怎样定义信息保护需求和解决方案?n 现有的何种技术能够满足我的保护需求?n 什么样的机构资源能够帮助找到所需的保护?n 当前有哪些信息保障产品和服务市场?n 对IA方法和技术的研究关注点应放在哪里?n 信息保障的原则是什么?n提出了“深度保卫战略深度保卫战略”原则和“信息系统安全工程信息系统安全工程”的概念。深度保卫战略的原则 培训培训 意识培养意识培养 物理安全物理安全 人事安全人事安全 系统安全管理
19、系统安全管理 深度保卫技术框深度保卫技术框架领域架领域 安全标准安全标准 IT/IA 采购采购 风险评估风险评估 认证和授权认证和授权 评估评估 监视监视 入侵检测入侵检测 警告警告 响应响应 恢复恢复五、通信服务提供者系统的安全模型 计算机安全参考模型 通信服务使用者系统的安全模型 加密的一般模型 加密功能的实施方式 两种基本方式:n链到链加密;n端到端加密。六、加密方式链到链加密方式n在物理层或数据链路层实施加密机制。链到链加密方式n优点:n主机维护加密设施,易于实现,对用户透明;n能提供流量保密性;n密钥管理简单;n可提供主机鉴别;n加/解密是在线。n缺点:n数据仅在传输线路上是加密;n
20、开销大;n每段链路需要使用不同的密钥。端到端加密方式端到端加密方式n优点:n在发送端和中间节点上数据都是加密的,安全性好;n能提供用户鉴别;n提供了更灵活的保护手段。n缺点:n不能提供流量保密性;n密钥管理系统复杂;n加密是离线的。两者的结合七、主要的网络安全n防火墙技术n漏洞扫描技术n入侵检测技术n虚拟专用网VPN技术、防火墙技术 n定义为:“设置在两个或多个网络之间的安全阻隔,用于保证本地网络资源的安全,通常是包含软件部分和硬件部分的一个系统或多个系统的组合”。n基本工作原理是在可信任网络的边界(即常说的在内部网络和外部网络之间,我们认为内部网络是可信任的,而外部网络是不可信的)建立起网络
21、控制系统,隔离内部和外部网络,执行访问控制策略,防止外部的未授权节点访问内部网络和非法向外传递内部信息,同时也防止非法和恶意的网络行为导致内部网络的运行被破坏。n基本思想不是对每台主机系统进行保护,而是让所有对系统的访问通过某一点,并且保护这一点,并尽可能地对外界屏蔽被保护网络的信息和结构。代理服务器防火墙的工作原理、隐患扫描技术n基本原理:采用模拟黑客攻击的形式对目标可能存在的已知安全漏洞和弱点进行逐项扫描和检查,根据扫描结果向系统管理员提供周密可靠的安全性分析报告。n目标可以是工作站、服务器、交换机、数据库应用等各种对象。n能自动发现网络系统的弱点。n系统的安全弱点就是它安全防护最弱的部分
22、,容易被入侵者利用。、入侵检测、入侵检测技术n定义 通过从计算机网络和系统的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为或遭到入侵的迹象,并依据既定的策略采取一定的措施。n三部分内容:n信息收集;n信息分析;n响应。通用入侵检测系统模型、虚拟专用网VPNn采用加密和认证技术,利用公共通信网络设施的一部分来发送专用信息,为相互通信的节点建立起的一个相对封闭的、逻辑上的专用网络。n通常用于大型组织跨地域的各个机构之间的联网信息交换,或是流动工作人员与总部之间的通信。n只允许特定利益集团内可以建立对等连接,保证在网络中传输的数据的保密性和安全性。n目标是在不安全的公
23、共网络上建立一个安全的专用通信网络。IP VPN 的基本信息处理过程VPN的主要技术n隧道技术(Tunneling)。n加解密技术(Encryption&Decryption)。n密钥管理技术(Key Management)。n使用者与设备身份鉴别技术(Authentication)。n每一次的加油,每一次的努力都是为了下一次更好的自己。22.11.322.11.3Thursday,November 03,2022n天生我材必有用,千金散尽还复来。2:46:452:46:452:4611/3/2022 2:46:45 AMn安全象只弓,不拉它就松,要想保安全,常把弓弦绷。22.11.32:46
24、:452:46Nov-223-Nov-22n得道多助失道寡助,掌控人心方位上。2:46:452:46:452:46Thursday,November 03,2022n安全在于心细,事故出在麻痹。22.11.322.11.32:46:452:46:45November 3,2022n加强自身建设,增强个人的休养。2022年11月3日上午2时46分22.11.322.11.3n扩展市场,开发未来,实现现在。2022年11月3日星期四上午2时46分45秒2:46:4522.11.3n做专业的企业,做专业的事情,让自己专业起来。2022年11月上午2时46分22.11.32:46November 3,
25、2022n时间是人类发展的空间。2022年11月3日星期四2时46分45秒2:46:453 November 2022n科学,你是国力的灵魂;同时又是社会发展的标志。上午2时46分45秒上午2时46分2:46:4522.11.3n每天都是美好的一天,新的一天开启。22.11.322.11.32:462:46:452:46:45Nov-22n人生不是自发的自我发展,而是一长串机缘。事件和决定,这些机缘、事件和决定在它们实现的当时是取决于我们的意志的。2022年11月3日星期四2时46分45秒Thursday,November 03,2022n感情上的亲密,发展友谊;钱财上的亲密,破坏友谊。22.11.32022年11月3日星期四2时46分45秒22.11.3谢谢大家!谢谢大家!
