1、第3章 载体安全中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证主要内容概述存储介质安全恶意代码及防范技术传输载体安全3.1 概述中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证概念载体是承载数据的实体物理载体是指承载数据的物理实体,例如计算机磁盘、磁带、光盘、移动硬盘、存储系统、主机、网线、光纤等逻辑载体是指承载数据的逻辑实体也称为逻辑介质,例如,操作系统、支撑平台系统、应用软件、网络系统、应用程序等中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证范畴载体安全的内容包括:载体可用性载体完整性 载体
2、机密性中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证常见的安全问题常见常见问题问题 安全属性安全属性可用性可用性完整性完整性机密性机密性载体载体丢失丢失载体载体损坏损坏载体载体被盗被盗载体载体逻辑被破坏逻辑被破坏无法无法访问访问中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证引发原因载体脆弱性对载体的威胁环境安全问题边界安全问题3.2 介质安全存储介质安全中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证相关概念磁盘低级格式化就是把一张空白的磁盘划分成一个个小区域并编号,供计算机储存,读取数据。分区
3、为了便于管理和使用,将大容量的硬盘分成一个一个的逻辑分区,表现为一个个逻辑盘符。磁盘高级格式化在磁盘分区上建立文件系统的过程。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证相关概念文件系统文件系统是操作系统用于明确磁盘或分区上的文件的方法和数据结构,即在磁盘上组织文件的方法数据恢复把遭受破坏,或由介质缺陷导致不可访问或不可获得,或由于误操作等各种原因导致丢失数据还原成正常数据中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证存储介质种类计算机存储介质按存储速度从高到低的排列包括内存储器(半导体芯片组成)、磁盘、后援存储器(光盘机、
4、光盘库、磁带库)和脱机存储器(磁带机,磁带库)。按存储技术原理分为以下3类:电存储、如内存、闪存等;磁存储,如磁盘、磁带等;光存储,如光盘、DVD等。数码存储介质存储卡:包括小型闪存卡(CF卡)、智慧卡(SM卡)、记忆棒(MS卡)、多媒体卡(MMC卡)和安全数字卡(SD卡)。微型硬盘中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证计算机存储介质特点磁存储器:包括硬盘,软磁盘和磁带存储器1.永久性磁化磁存储器属于磁介质,磁介质存在剩磁效应的问题,保存在磁介质中的数据会使磁介质不同程度地永久性磁化,所以磁介质上记载的信息在一定程度上是抹除不干净的,使用高灵敏度的磁头
5、和放大器可以将已抹除的信息的磁盘上的原有信息提取出来。因此涉密和重要磁介质的管理、废弃是很重要的问题。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证计算机存储介质特点2.被删除文件可恢复在许多计算机操作系统中,删除一个文件,仅仅删除了该文件的文件指针,也就是删除了该文件的标记,释放了该文件的存储空间,而并非真正将该文件删除或覆盖计算机删除磁盘文件的这种方式,可以提高文件处理的速度和效率,但也方便了被删除文件的恢复。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证光存储介质特点光存储介质记录密度高存储量大存储速度慢中国信息安全认证
6、中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证介质数据存储结构介质数据存储结构都是由介质所使用的文件系统的格式所决定的硬盘的文件格式windows文件系统:FAT16、FAT32、NTFSlinux文件系统:EXT系列、Reiser4、ReiserFS、xfs、JFS等unix文件系统:GPFS、UFS等光盘文件系统格式ISO-9660、Joliet、Romeo等软盘的文件格式仅限于FAT16数码介质的文件格式UFS、exFAT等中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证FAT32文件系统中国信息安全认证中心中国信息安全认证中心信息安全保
7、障人员认证信息安全保障人员认证NTFS文件系统中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证UNIX文件系统中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证典型技术介质防震技术介质故障检测技术介质数据安全删除销毁技术介质数据防盗技术介质数据恢复技术中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证介质防震技术介质防震是防止介质由于震动造成不能正常读取介质数据。是在硬盘受到冲击时保持磁头不受震动。主要方法是使冲击能量被硬盘的其它部分吸收或者使用减震保护膜。介质防震技术有SPS技术、ShockBlock
8、技术、DST技术等。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证介质故障检测技术对于机械性质产生的硬盘故障通过检测、分析,发出报警的技术。主要有SMART技术、DPS技术、DFT技术等。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证介质数据安全删除销毁技术磁介质存在着永久性磁化问题。安全删除销毁技术就是防止介质数据删除或销毁后被他人恢复而泄露数据磁介质主要删除销毁技术可分为直流消磁法和交流消磁法两种中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证介质防盗技术主要通过密码技术的应用来实现的。介质
9、数据一旦使用密码技术进行加密,即具有很高的保密程度,介质即使被盗窃或被复制,其记录的数据也难以被读懂泄露。具体的介质数据加密技术又细分为文件加密、目录加密、程序加密、数据库加密、整盘数据加密等。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证介质数据恢复技术在许多文件系统中,删除一个文件,仅仅删除了该文件的文件指针,也就是删除了该文件的标记,释放了该文件的存储空间,而并非真正将该文件删除或覆盖磁盘恢复技术就是基于文件系统的这种删除特征对被删除文件进行恢复3.3 恶意代码及防护基本知识 技术应用中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保
10、障人员认证3.3.1 基本知识恶意代码的概念恶意代码是一种程序,它通过把代码在不被察觉的情况下嵌入到另一段程序中,从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证恶意代码的种类恶意代码主要包括:普通计算机病毒蠕虫特洛伊木马Rootkits工具流氓软件间谍软件恶意广告逻辑炸弹中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证恶意代码的种类恶意代码主要包括:网络僵尸网络钓鱼恶意脚本垃圾信息智能终端恶意代码等中国信息安全认证中心中国信息安全
11、认证中心信息安全保障人员认证信息安全保障人员认证恶意代码的发展历史年份年份攻击行为发起者攻击行为发起者受害受害PCPC数目(万台)数目(万台)损失金额损失金额 (美元美元)2009U盘寄生虫30002008Backdoor/Huigezi近20002007熊猫烧香超过2002006木马和恶意软件2005木马2004Worm_Sasser2003Worm_MSBLAST超过1402003SQL Slammer超过209.5亿-12亿2002Klez超过60090亿2001RedCode超过10026亿2001Nimda超过80060亿2000Love Letter88亿1999CIH超过6 00
12、0近100亿中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证恶意代码的传播途径熟悉恶意代码的传播途径将有助于防范恶意代码的传播恶意代码的传播途径软盘光盘硬盘,含移动硬盘、USB硬盘等Internet无线通信系统中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证恶意代码防护技术基于主机的恶意代码防御技术针对主机上运行的计算机程序或存放的数据,进行恶意代码的检测基于网络的恶意代码防御技术基于网络的恶意代码防范首先是恶意代码的检测,通过分析网络主机行为和主机之间相互连接的数据,采用数据挖掘和异常检测技术对网络数据进行求精和关联分析以检测是
13、否具有恶意代码行为,然后根据检测结果采取措施保护主机和网络中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证基于主机的恶意代码防御技术基于特征的扫描技术权限控制技术完整性技术中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证基于网络的恶意代码防御技术异常检测误用检测网络隔离技术防火墙3.4 传输载体安全基本知识 技术应用中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证传输安全数据传输涉及传输介质、传输设备和要完成传输功能的通信协议。安全传输数据的前提是确保传输介质的安全、传输设备的安全以及起着通信核心作
14、用的传输协议的安全中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证传输介质传输介质指的是在传输数据的物理实体。有线传输介质双绞线、同轴电缆以及传输光信号的光纤。无线传输介质无线电波、微波、红外线、激光等中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证传输设备传输设备就是指由传输介质连接起来,能够将数据从一个地方送到另一个地方的设备中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证传输协议常用协议包括TCP/IP协议、局域网的NETBEUI和IPX/SPX协议以及无线通信协议IEEE802.11系列协议
15、等中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证典型技术传输介质安全技术传输设备安全技术传输协议相关安全技术中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证传输介质安全技术物理层的角度看,传输介质最大的安全问题就是电磁信号的屏蔽问题,以及传输介质本身的防盗问题逻辑安全相关技术信道加密技术指在信号的物理层对信号进行加密信道编码技术在信号传输过程中,针对所处的不同信道特点,采取不同信道编码技术,以便提高信道传输信号的可靠性中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证传输协议安全技术传输协议安全是传
16、输载体逻辑层面的安全。协议的安全问题主要源于协议自身的脆弱性,即协议在设计之初带来的天生的缺陷,从而使得协议面临着假冒、重演(重放)、中间人攻击、抵赖等威胁。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证安全协议安全协议的功能将安全协议分为以下四类:密钥交换协议:密钥交换协议能够使得参与协议的两个或者多个实体建立共享的秘密信息,常用于建立在本次通信中所使用的会话密钥;认证协议:认证协议一般用来向一个实体进行对另一个实体身份的某种程度的确认,包括身份认证协议、消息认证协议、数据源认证协议和数据目的认证协议等;应用安全协议:针对某个领域而设计的安全协议,如电子交易
17、协议SET;安全传输协议:如IPSec系列协议、SSL、HTTPS等。中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证虚拟专用网虚拟专用网(Virtual Private Network,VPN)实现的最关键部分是在公网上建立虚信道,而建立虚信道是利用隧道技术实现的中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证典型安全传输协议IPSec(IP Security)是一组安全协议的总称,即IP安全协议中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证SSLSSL(Seeure Socket Layer)
18、是netscape公司设计的主要用于Web的安全传输协议中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证HTTPS针对HTTP协议的安全缺陷,HTTPS通过上述的SSL来加强安全性。HTTPS增强的安全性双向的身份认证数据传输的机密性数据的完整性检验防止数据包重放攻击中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证技术应用VPN技术对比协议协议工作工作层层优点优点缺点缺点L2TPL2TP数据链路层支持其他网络协议安全性差,连接数有限MPLSMPLS数据链路层与网络层之间保证服务器质量核心网络设备上使用IPSecIPSec网络层安全
19、性高,对上层透明支持IP协议;受防火墙影响SSLSSL应用层简单便捷、不受NAT影响中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证应用实例案例背景某公司总部局域网公司成使用一台专用的LINUX服务器通过ADSL共享上网。该服务器同时也运行WWW、EMAIL、DNS、DHCP等服务,并带有IPCHAINS软件。公司对外网站租用虚拟主机。VPN属于网络服务,这对操作系统提出了较高的要求。Windows系列系统操作简易、界面友好,但其服务的不稳定性且漏洞与病毒层出不穷。该方案最终选择了Linux操作系统。解决方案在服务器上安装Poptop软件,并完成相关配置中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证谢谢!
