1、第1章信息安全概述 第第1 1章章 信息安全概述信息安全概述 1.1信息安全的重要性信息安全的重要性 1.2信息安全的基本概念信息安全的基本概念 1.3信息安全的基本措施信息安全的基本措施 第1章信息安全概述 1.1信息安全的重要性信息安全的重要性 美国数学家、信息论的创始人香农(Shannon)认为:“信息是用来消除随机不定性的东西”。信息是信息论中的一个术语,通常把消息中有意义的内容称为信息。信息是一种资源,它由信息源、内容、载体、传输、接收者五部分构成。信息一般有4种形态,即数据、文本、声音、图像,这4种形态可以相互转化。例如,图像被传送到计算机,就把图像转化成了数字。信息可以从不同角度
2、来分类,按照其重要程度可分为战略信息、战术信息和作业信息;按照其应用领域可分为管理信息、社会信息、科技信息和军事信息;按照信息的加工顺序可分为一次信息、二次信息和三次信息等;按照信息的反映形式可分为数字信息、图像信息和声音信息等;按照性质可分为定性信息和定量信息。总之,信息在人类历史的发展过程中扮演着重要的角色,对我们的生产和生活有着重要的意义。第1章信息安全概述 目前,我国除有线通信外,蜂窝移动通信、WLAN等宽带无线接入、蓝牙和RFID等近距离无线通信也正在得到越来越广泛的应用。与此同时,国外敌对势力为了窃取我国的政治、军事、经济、科学技术等方面的秘密信息,运用侦察台、侦察船、卫星等手段,
3、形成固定与移动、远距离与近距离、空中与地面相结合的立体侦察网,截取我国通信传输中的信息。信息在存储、处理和交换过程中,都存在泄密或被截收、窃听、篡改和伪造的可能性。因此,有效地、系统地解决信息安全问题是一项迫切而艰巨的任务。第1章信息安全概述 其实,不仅我国存在这些问题,世界各个国家都会面临信息安全问题。信息安全及其合法使用问题已成为当前世界上普遍存在的、亟待解决的重要问题之一。国际上围绕信息的获取、使用和控制的斗争愈演愈烈,信息安全已成为维护国家安全和社会稳定的一个焦点,各国都给予了极大的关注与投入。因此,信息安全是国家安全的重要组成部分,关系着一个国家和民族的根本利益,要从国家和民族的最高
4、利益出发,对信息安全工作加以重视。第1章信息安全概述 1.2信息安全的基本概念信息安全的基本概念 1.2.1安全威胁安全威胁安全威胁是指某个人、物、事件或概念对某一资源的保密性、完整性、可用性或合法使用所造成的危险,而某种攻击就是以某种威胁为目标的具体实现手段。安全威胁可以分为故意的和偶然的两类。故意的威胁又可以进一步分为被动威胁和主动威胁。被动威胁包括只对信息进行监听,而不对其进行修改。主动威胁包括对信息进行故意修改。总体来说,被动攻击比主动攻击更容易以更少的代价付诸工程实现。第1章信息安全概述 表表1.2.1已知安全威胁已知安全威胁威胁名称威胁名称 攻击描述攻击描述 授权侵犯 一个被授权使
5、用系统用于一特定目的人,却将此系统用作其它非授权的目的。旁路控制 攻击者发掘系统的安全缺陷或安全脆弱性。业务拒绝 对信息或其它资源的合法访问被无条件地拒绝。窃听 信息从被监视的通信过程中泄漏出去。电磁/射频截获 信息从电子或机电设备所发出的无线频率或其它电磁场辐射中被提取出来。非法使用 资源由某个非授权的人或者以非授权的方式使用。人员不慎 一个授权的人为了钱或利益,或由于粗心,将信息泄漏给一个非授权的人。信息泄漏 信息被泄漏或暴露给某个非授权的人或实体。完整性侵犯 数据的一致性通过对数据进行非授权的增生、修改或破坏而受到损害。截获/修改 某一通信数据在传输的过程中被改变、删除或替代。假冒 一个
6、实体(人或系统)假装成另一个不同的实体。媒体废弃 信息从废弃的磁的或打印过的媒体中获得。物理侵入 一个侵入者通过绕过物理控制而获得对系统的访问。重放 所截获的某次合法通信数据拷贝,出于非法的目的而被重新发送。业务否认 参与某次通信交换的一方,事后错误地否认曾经发生过此次交换。资源耗尽 某一资源(如访问接口)被故意超负荷地使用,导致对其它用户的服务被中断。业务欺骗 某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息。窃取 某一安全攸关的物品,如令牌或身份卡被偷盗。业务流分析 通过对通信业务流模式进行观察,而造成信息泄漏给非授权的实体。陷门 将某一“特征”设立于某个系统或系统部件中,使得在
7、提供特定的输入数据时,允许安全策略被违反 特洛伊木马 含有一个察觉不出或无害程序段的软件,当它被运行时,会损害用户的安全。第1章信息安全概述 图1.2.1典型的已知安全威胁及其相互关系 第1章信息安全概述 1.2.2ISO信息安全属性信息安全属性 (1)保密性是指保证信息只让合法用户访问,不泄露给非授权的个人或实体。信息的保密性可以具有不同的程度或层次。所有人员都可以访问的信息为公开信息。需要限制访问的信息一般为敏感信息。敏感信息又可以根据信息的重要性及保密要求分为不同的密级,例如根据秘密泄露对国家经济、安全利益产生的影响,可将国家秘密分为秘密、机密和绝密三个等级。可根据信息安全的实际要求,在
8、符合国家保密法的前提下将信息划分为不同的密级。具体实施中的信息保密性还有时效性要求(如保密期限到期后即可进行解密)等。第1章信息安全概述(2)完整性是指保障信息及其处理方法的准确性、完全性。它一方面是指信息在利用、传输、存储等过程中不被篡改、丢失、缺损等;另一方面是指信息处理方法的正确性。不正确的操作有可能造成重要信息的丢失。信息完整性是信息安全的基本要求,破坏信息的完整性是影响信息安全的常用手段。例如,破坏商用信息的完整性可能就意味着整个交易的失败。(3)可用性是指有权使用信息的人在需要的时候可以立即获取。例如,有线电视线路被中断就是对信息可用性的破坏。第1章信息安全概述(4)可控性是指对信
9、息的传播及内容具有控制能力。实现信息安全需要一套合适的控制机制,如策略、惯例、程序、组织结构或软件功能,这些都是用来保证信息的安全目标能够最终实现的机制。例如,美国制定和倡导的“密钥托管”、“密钥恢复”措施就是实现信息安全可控性的有效方法。第1章信息安全概述 1.2.3美国美国NII信息安全属性信息安全属性除ISO定义了安全属性外,美国也定义了自己的信息安全属性,其本质和ISO定义的一致。在美国国家信息基础设施(NII)的文献中,给出了安全的5个属性:可用性、机密性、完整性、可靠性和不可抵赖性。(1)可用性是指得到授权的实体在需要时可以得到所需要的网络资源和服务。(2)机密性是指网络中的信息不
10、被非授权实体(包括用户和进程等)获取与使用。第1章信息安全概述(3)完整性是指网络信息的真实可信性,即网络中的信息不会被偶然或者蓄意地进行删除、修改、伪造、插入等破坏,保证授权用户得到的信息是真实的。(4)可靠性是指系统在规定的条件下和规定的时间内,完成规定功能的概率。可靠性是信息安全最基本的要求之一。(5)不可抵赖性(也称为不可否认性)是指通信双方在通信过程中,对于自己所发送或接收的消息的事实和内容不能抵赖。第1章信息安全概述 1.2.4实际可用的信息安全属性实际可用的信息安全属性ISO和NII给出的安全属性中涉及的可控性和可靠性这两种属性不是通过信息安全中的安全协议就可以实现的,而需要采用
11、其他特别的策略。例如,可用性的确保可能需要物理措施,因为防止攻击者使用信息容易,而防止攻击者破坏信息很难;可控性一般采用数字内容权限管理等技术来实现。考虑到工程实现的可行性,这里结合现有的一些成熟的工程技术(如IEEE802.11(i)等)提出一种可以实现的信息安全属性。第1章信息安全概述 这里所提出的安全属性与NII的安全属性相似,区别在于使用“认证性”代替“可用性”,使用“新鲜性”代替“可靠性”,其他属性保留,即认证性、机密性、完整性、新鲜性和不可抵赖性。这里解释一下认证性和新鲜性。认证性是指确保信息访问者获取信息的来源是可认证合法的,而不是来源不明的信息。认证性和不可抵赖性不同,前者强调
12、在没有第三方的条件下消息接收者能够确认消息来源的有效性;后者强调任何第三方都可以鉴别消息发送者发送了该消息的事实。认证性是有关通信双方互相确认对方身份的问题;不可抵赖性是有关第三方仲裁通信双方纠纷的问题。第1章信息安全概述 新鲜性是指确保信息访问者获取的信息是当前最新的,而不是过期的或重复获取的信息。在以后的章节中,讨论某方案的安全性时,我们也主要以这里提出的5个属性(即认证性、机密性、完整性、新鲜性和不可抵赖性)为指标。如果一个安全技术方案能够同时满足这里提出的5个安全属性,则目前普遍认为其是可用的,而且是足够安全的。一般只有在涉及安全信息应用系统时,才会考虑信息的可用性、可控性等,单个的安
13、全技术方案不需要考虑。安全性和可用性本来就是一对矛盾,安全保护的结果必然导致如拒绝服务攻击DoS等问题,从而影响可用性。这对矛盾需要通过策略去均衡,仅通过密码技术是很难解决的。第1章信息安全概述 1.2.5信息安全的内容信息安全的内容信息安全的内容包括实体安全与运行安全两方面。实体安全是保护设备、设施以及其他硬件设施免遭地震、水灾、火灾、有害气体和其他环境事故以及人为因素破坏的措施和过程。运行安全是指为保障系统功能的安全实现,提供一套安全措施来保护信息处理过程的安全。信息安全的内容可以分为计算机系统安全、数据库安全、网络安全、病毒防护安全、访问控制安全和加密安全六个方面。(1)计算机系统安全是
14、指计算机系统的硬件和软件资源能够得到有效控制,保证其资源能够正常使用,避免各种运行错误与硬件损坏,为进一步的系统构建工作提供一个可靠、安全的平台。第1章信息安全概述(2)数据库安全是指为数据库系统所管理的数据和资源提供有效的安全保护。一般将多种安全机制与操作系统相结合,从而实现数据库的安全保护。(3)网络安全是指对访问网络资源或使用网络服务的安全保护,即为网络的使用提供一套安全管理机制。(4)病毒防护安全是指对计算机病毒的防护能力,包括单机系统和网络系统资源的防护。(5)访问控制安全是指保证系统的外部用户或内部用户对系统资源的访问以及对敏感信息的访问方式符合事先制定的安全策略,主要包括出入控制
15、和存取控制。(6)加密安全是指为了保证数据的保密性和完整性,通过特定算法完成明文与密文的转换。第1章信息安全概述 1.2.6ISO信息安全体系结构信息安全体系结构 1.安全服务安全服务安全服务是由参与通信的开放系统的某一层所提供的服务,是针对网络信息系统安全的基本要求而提出的,旨在加强系统的安全性以及对抗安全攻击。ISO74982标准中确定了五大类安全服务,即鉴别、访问控制、数据保密性、数据完整性和禁止否认。(1)鉴别服务用于保证双方通信的真实性,证实通信数据的来源和去向是我方或他方所要求和认同的,包括对等实体鉴别和数据源鉴别。第1章信息安全概述(2)访问控制服务用于防止未经授权的用户非法使用
16、系统中的资源,保证系统的可控性。访问控制不仅可以提供给单个用户,也可以提供给用户组。(3)数据保密性服务的目的是保护网络中各系统之间交换的数据,防止因数据被截获而造成泄密。(4)数据完整性服务用于防止非法用户的主动攻击(如对正在进行交换的数据进行修改、插入,使数据延时以及丢失数据等),以保证数据接收方收到的信息与发送方发送的信息完全一致。它包括可恢复的连接完整性、无恢复的连接完整性、选择字段的连接完整性、无连接完整性、选择字段的无连接完整性等。(5)禁止否认服务用来防止发送数据方发送数据后否认自己发送过的数据,或接收方接收数据后否认自己收到过数据。它包括不得否认发送和不得否认接收。第1章信息安
17、全概述 2.安全机制安全机制安全机制可以分为两类:一类与安全服务有关,是实现安全服务的技术手段;另一类与管理功能有关,用于加强对安全系统的管理。ISO74982提供了八大类安全机制,分别是加密机制、数据签名机制、访问控制机制、数据完整性机制、认证交换机制、防业务填充机制、路由控制机制和公证机制。第1章信息安全概述 1.3信息安全的基本措施信息安全的基本措施 1.3.1密码技术密码技术 1.密钥的产生和分配密钥的产生和分配在密钥的产生过程中,关键是随机性,要求尽可能用客观的、物理的方法产生密钥,并尽可能用完备的统计方法检验密钥的随机性,使不随机的密钥序列的出现概率能够最小。密钥的分配是密钥管理中
18、最大的问题。密钥必须通过最安全的信道进行分配,指派非常可靠的信使携带密钥来分配给互相通信的各用户的人工方式不再适用,因为随着用户的增多和通信量的增大,密钥更换十分频繁(密钥必须定期更换才能做到安全可靠),所以密钥在网内的自动分配方法便应运而生。第1章信息安全概述 在网内,密钥可在用户之间直接实现分配,也可通过密钥分配中心(KDC,KeyDistributionCenter)分配。用户甲向密钥分配中心发送明文,说明想和用户乙通信,也就是向KDC申请会话时使用的会话密钥。KDC收到申请后,从用户专用的主密钥文件中找出用户甲和乙的主密钥,同时产生甲和乙通信所用的会话密钥,分别用甲、乙的主密钥加密会话
19、密钥并发送给甲、乙双方,甲和乙即可用会话密钥进行保密通信。KDC可以为每对用户在每次通信时产生一个新的会话密钥,这就使得破译密文变得十分困难。主密钥是用来保护会话密钥的,因此主密钥也不能在不进行更换的情况下长期使用。第1章信息安全概述 2.密钥的注入密钥的注入密钥的注入可采用键盘、软盘、磁卡、磁条、智能卡、USBKey、专用设备等方式。对密钥的注入应予以严格保护,注入过程应在一个封闭的、保密的环境,注入人员应当可靠。操作时,只有在输入合法的口令后才可开始注入,重要的密钥应当由多人、多批次分开注入完成,不允许存在任何可能导出密钥的残留信息,一旦窃取者试图读出或分析推算出注入的密钥,密钥就会自行销
20、毁。第1章信息安全概述 3.密钥的存储与销毁密钥的存储与销毁在密钥产生以后,需要以密文形式存储密钥。密钥的存储方法有两种:一种是让密钥存储在密码装置中,这种方法需大量存储和频繁更换密钥,实际操作过程十分繁琐;另一种方法是运用一个主密钥来保护其他密钥,这种方法可将主密钥存储在密码装置中,而将数量相当多的数据加密密钥存储在限制访问权限的密钥表中,从而既保证了密钥的安全性与保密性,又有利于密钥的管理。此外,在密钥的存储过程中,加、解密的操作口令应由密码操作人员掌握;加密设备应有物理保护措施,如失电保护等;非法使用加密设施时应有审核手段;采用软件加密形式时,应有软件保护措施。对使用时间过长或已经失效的
21、密钥,应及时销毁。第1章信息安全概述 1.3.2安全控制技术安全控制技术1.数字签名数字签名书信或文件是根据亲笔签名或印章来证明其真实性的。但在计算机网络中传递的文件又如何盖章呢?这就是数字签名所需解决的问题。数字签名必须保证以下三点:(1)接收者能核实发送者对报文的签名。(2)发送者事后不能抵赖对报文的签名。(3)接收者不能伪造对报文的签名。第1章信息安全概述 2.鉴别技术鉴别技术鉴别技术用于证实交换过程的合法性、有效性和交换信息的真实性,可以防止对信息进行有意篡改的主动攻击。常用的鉴别方法主要有报文鉴别和身份鉴别。1)报文鉴别在对报文内容进行鉴别时,信息发送者在报文中加入一个鉴别码,并经加
22、密后提供给对方检验。信息接收方利用约定的算法,对解密后的报文进行运算,将得到的鉴别码与收到的鉴别码进行比较,如果相符,则该报文内容正确,否则,报文在传送过程中已被改动了。第1章信息安全概述 2)身份鉴别身份鉴别身份鉴别是对用户能否使用计算机的鉴定,包括识别与验证。识别是为了确认谁要进入系统。验证是在进入者回答身份后,系统对其身份的真伪鉴别。没有验证,识别就没有可信性。口令是最常用的验证方法,也是针对网络的最常见的攻击点之一。一般来说,口令是使用者为获得进入要求访问的计算机系统或文件所必须使用的代码,计算机将用户提供的口令和存放在系统中的口令表进行比较来鉴别用户的合法身份。口令的生成方法有两种:
23、一种是由用户自己选择;另一种是由机器自动生成。“令牌”是另外一种身份鉴别方法,它是用户插入阅读器的物理钥匙或磁卡,通过在注册时验证令牌来获得对计算机的访问权。令牌相对于口令的优点是:用户不必担心忘记它们的口令;口令可以很长且不可猜测。令牌的进一步发展是“智能卡”,它带有微处理器与存储器,识别性能更好,能很好地对付冒充、猜测与攻击。例如,银行通过给每个客户分配一个个人识别号(PIN)来保证自动出纳机的安全问题。第1章信息安全概述 3.访问控制技术访问控制技术访问控制是指确定合法用户对计算机系统资源所享有的权限,以防止非法用户入侵和合法用户使用非权限内的资源。访问控制是维护计算机安全运行、保护系统
24、信息的重要技术手段。访问控制技术包括网络的访问控制技术、主机的访问控制技术、微型机的访问控制技术和文件的访问控制技术。访问控制的作用是:保护存储在计算机中的个人信息的保密性;保护公司重要信息的机密性;维护机器内信息的完整性;减少病毒感染机会,延缓感染的传播速度。访问控制的过程可以用审计的方法加以记载。审计是记录用户使用某一计算机系统所进行的所有活动的过程,它通过记录违反安全访问规定的时刻、日期以及用户活动而在计算机的控制方面起着重要作用。因为审计过程中收集的数据量非常大,所以审计系统的设计十分重要。第1章信息安全概述 1.3.3安全防范技术安全防范技术1.病毒防治技术病毒防治技术20世纪80年
25、代中期以来,随着国内计算机应用的迅速普及,计算机病毒如同瘟疫一般在我国流行起来。虽然到目前为止我国还没有出现影响很大的病毒破坏事件,但不能因此而放松警惕。事实上,计算机病毒每时每刻都在准备攻击计算机系统,破坏计算机信息的安全。为遏制计算机病毒的蔓延,国家专门成立了计算机病毒的防治科研机构,自此我国的反病毒技术有了长足的进步。第1章信息安全概述 从技术上来讲,对计算机病毒的防治可以通过如下途径进行:一是在服务器上装载防病毒模块;二是软件防治,定期或不定期地用防毒软件检测计算机;三是在计算机上插防病毒卡;四是在网络接口卡上安装防病毒芯片。软件防治可以不断提高防治能力,但需要人为地经常启动防毒软件,
26、而且往往在病毒发作以后才能检测到。目前国内比较成熟的防病毒软件有瑞星、金山毒霸和KV系列杀毒软件等。防毒卡可以达到实时监测的目的,但防毒卡的升级不方便,而且对计算机的运行速度有一定的影响。防病毒芯片将存取控制和病毒防护合二为一,但是版本升级不及时。第1章信息安全概述 病毒的技术防范毕竟属于被动防御型措施,对它的全面治理需遵循“防杀结合,以防为主,以杀为辅,软硬互补,标本兼治”的原则,从管理等方面着手,严格遵守各项规章制度。特别要强调的是,应加强有关人员的安全防范意识,克服麻痹思想和侥幸心理,力争防患于未然。目前我国对单机的防查病毒较为重视,而对网络病毒的防治意识十分淡薄。事实上,当网络用户将对
27、方带病毒的文档或其他文件作为电子邮件接收过来并且另存到硬盘或软盘上时,文件一直处于重编码状态,传统的基于服务器和工作站的杀毒软件对它无能为力,用户等于把整个系统完全暴露在病毒的攻击下。例如,1996年底,互联网中出现了一种名为PenpalGreetings的特洛伊木马病毒,它以电子邮件的外表出现,表面上似乎在征集笔友,而一旦用户下载,它就会捣毁硬盘,并自动向信箱中的所有存储地址转发这一邮件。第1章信息安全概述 2.防火墙技术防火墙技术防火墙技术是一种使用很广泛的网络安全技术。防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止不可预料的、潜在的破坏入侵。它可通过监测、限制、更改跨越防火墙的
28、数据流,尽可能地对外部屏蔽被保护网络的信息、结构和运行情况等,防止外部网络的未授权访问,实现对网络信息的安全保护。这一技术一般适用于相对独立、与外部网络互联途径有限,并且网络服务相对集中的网络,如企业内部网(即Intranet网)。第1章信息安全概述 防火墙的职责就是根据本单位的安全策略,对外部网络与内部网络之间交流的数据进行检查,符合的予以放行,不符合的拒之门外。基于“包过滤”的包过滤型防火墙是防火墙技术的初级产品。这种类型的防火墙检查数据流中的每个数据包后,根据数据包的源地址、目的地址、连接请求的方向(连入或连出的端口)、数据包协议和服务请求的类型等因素的组合来确定是否允许数据包通过。只有
29、满足访问控制标准的数据包,才被转发到相应的目的地出口端,其余的则被删除。其他类型的防火墙有代理服务器型、复合型、自适应代理型和监测型等。防火墙技术不同,其安全性能也大不一样。第1章信息安全概述 防火墙的隔断作用一方面加强了内部网络的安全,另一方面却使内部网络与外部网络之间的信息交流受到阻碍。此外,防火墙只能阻截来自外部网络的侵扰,对于内部怀有恶意的工作人员却不产生防御作用,即防火墙不能替代墙内的安全措施。防火墙在当今因特网上的存在是有生命力的,但它不是解决所有网络安全的万能药方,而只是网络安全政策和策略中的一个组成部分。因此,不能完全依赖防火墙来保证网络的安全,应将它与其他技术(如包括加密、监
30、控等保密手段在内的综合性安全措施)结合使用。第1章信息安全概述 3.信息泄漏防护技术信息泄漏防护技术长期以来,计算机的辐射安全问题并没有引起人们的足够重视,人们普遍认为把计算机辐射出来的信息与计算机邻近的复杂噪声背景相区别并分离出来存在很大的难度。在1967年的计算机年会上,美国科学家韦尔首次阐明了计算机系统的四个脆弱性,即处理器、通信线路、转换设备和输出设备的辐射问题。计算机在运行时,电磁辐射信号不但频谱成分丰富,而且携带信息,从而会对信息的安全性构成威胁。1983年,瑞典科学家列举了计算机的几个辐射泄漏问题:视频信号的辐射、无线电元器件的辐射和电源线路的辐射。1985年,荷兰学者艾克把计算
31、机的电磁辐射可能造成的泄密威胁从幕后提到了台前,他成功地用一台改进后的普通黑白电视机将计算机视频单元上显示的信息复现出来,而且清晰可读。这一事件的直接结果是使得信息泄漏防护技术成为一种极为重要的信息安全防护技术,即TEMPEST。第1章信息安全概述 TEMPEST是“瞬时电磁脉冲辐射标准”的缩写,是关于抑制电子系统非预期的电磁辐射、保证信息不泄漏的标准。它的综合性很强,涉及信息的分析、预测、接收、识别、复原、测试、防护和安全评估。美国国家安全局制定了有关TEMPEST的测试与鉴定标准,而且规定必须使用符合上述标准的计算机来处理涉及国家机密的信息。我国有关部门也正在制定这方面的标准。对计算机电磁辐射的防护应从多方面考虑,如计算机的外壳封装、内部线路与器件、输入/输出电路、传输电缆、电源系统以及声学等方面。具体防护方式有两种:设备级防护和系统级防护。其中,系统级防护是对整机加以屏蔽,防止信号的各种辐射。
