《安全概论PPT课件》由会员分享,可在线阅读,更多相关《安全概论PPT课件(66页珍藏版)》请在金锄头文库上搜索。
1、信息安全理论与技术1安全概论一、安全的过去、现在和将来过去:计算机安全过去:计算机安全 实体安全、系统安全,系统可靠性实体安全、系统安全,系统可靠性现在:网络安全现在:网络安全 多机系统、开放式系统互连、通信多机系统、开放式系统互连、通信 与数据传输、系统完整性与数据传输、系统完整性将来:信息安全将来:信息安全 数据、信息、社会、心理、生存环数据、信息、社会、心理、生存环 境,信息战争境,信息战争2安全概论信息安全的发展 n20世纪60年代:信息安全学起源于倡导的通信保密。n20世纪6070年代,开始逐步推行计算机安全的概念。n20世纪80年代90年代,信息安全的概念被提出。n20世纪90年代
2、以后,开始倡导信息保障(IA,Information Assurance)。n信息保障的核心思想是对系统或者数据的4个方面的要求:保护(Protect),检测(Detect),反应(React)和恢复(Restore),结构如图1-3所示。3安全概论信息安全的发展PDRR保障体系n保护(Protect)指采用可能采取的手段来保障信息的保密性、完整性、可用性、可控性和不可否认性。n检测(Detect)指提供工具检查系统可能存在的黑客攻击、白领犯罪和病毒泛滥等脆弱性。n反应(React)指对危及安全的事件、行为、过程及时做出响应处理,杜绝危害的进一步蔓延扩大,力求系统还能提供正常服务。n恢复(Re
3、store)指一旦系统遭到破坏,尽快恢复系统功能,尽早提供正常的服务。4安全概论信息安全的发展PDRR保障体系5安全概论我国沈昌祥院士提出的体系预警预警反击反击6安全概论知识体系信息安全基础信息安全基础 网络安全技术网络安全技术 密码学密码学系统安全与应用安全系统安全与应用安全信息安全基本概念信息安全基本概念 信息安全评价标准信息安全评价标准7安全概论主要内容n信息安全研究大致可以分为信息安全研究大致可以分为基础理论研究、应用技术研究、安全管理研究等。基础研究包等。基础研究包括密码研究、安全理论研究;括密码研究、安全理论研究;n应用技术研究则包括安全实现技术、安全平台技术研应用技术研究则包括安
4、全实现技术、安全平台技术研究;安全管理研究包括安全标准、安全策略、安全测究;安全管理研究包括安全标准、安全策略、安全测评等。信息安全的研究内容主要包括评等。信息安全的研究内容主要包括:信息加密、数字签名、数据完整性、身份鉴别、访问控制、安全数据库和反病毒技术等。8安全概论信息安全研究层次 n信息安全从总体上可以分成5个层次:安全的安全的密码算法,安全协议,网络安全,系统安全以密码算法,安全协议,网络安全,系统安全以及应用安全及应用安全,层次结构如图1-2所示。9安全概论基本框架10安全概论二、信息安全威胁1. 1. 信息泄露信息泄露:信息被泄漏或透露给某个非授权的:信息被泄漏或透露给某个非授权
5、的实体。实体。2. 2. 破坏信息的完整性破坏信息的完整性:数据被非授权地进行增:数据被非授权地进行增删、修改或破坏而受到损失。删、修改或破坏而受到损失。3. 3. 拒绝服务拒绝服务:对信息或其它资源的合法访问被无:对信息或其它资源的合法访问被无条件地阻止。条件地阻止。4. 4. 非法使用非法使用(非授权访问):某一资源被某个非(非授权访问):某一资源被某个非授权的人使用,或以非授权的方式使用。授权的人使用,或以非授权的方式使用。5. 5. 窃听窃听:用各种可能的合法或非法的手段窃取系统:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。中的信息资源和敏感信息。11安全概论拒绝服务攻
6、击拒绝服务攻击n不断对网络服务系统进行干扰,改变其不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序是系统正常的作业流程,执行无关程序是系统响应减慢甚至瘫痪,影响正常用户的使响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务计算机网络系统或不能得到相应的服务12安全概论二、信息安全威胁6. 业务流分析业务流分析:通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从而发现有价值的信息和规律。 7. 假冒假冒:通过欺骗通信系统(或用户)达到非法用户冒
7、充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。8. 旁路控制旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。9. 授权侵犯授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其它非授权的目的,也称作“内部攻击”。10. 特洛伊木马:特洛伊木马:软件中含有一个察觉不出的或者无害的程序段,当它被执行时,会破坏用户的安全。13安全概论A A:应用信息系统:应用信息系统n电子商务、电子政务、电子税务、电子电子商务、电子政务、电子税务、电子银行、电子海关、电子证券、网络书店、银行、电子海关、电子证券、网络书店、网上拍卖、网络购物、网络防伪、网上
8、拍卖、网络购物、网络防伪、CTICTI(客户服务中心)、网上交易、网上选(客户服务中心)、网上交易、网上选举举,总之总之, , 网络信息系统将在网络信息系统将在政治、军事、金融、商业、交通、电信、政治、军事、金融、商业、交通、电信、文教等方面发挥越来越大的作用。社会文教等方面发挥越来越大的作用。社会对网络信息系统的依赖也日益增强。对网络信息系统的依赖也日益增强。 14安全概论B:B:日益严重的安全问题日益严重的安全问题n网络与信息系统在变成网络与信息系统在变成”金库金库”,”,当当然就会吸引大批合法或非法的然就会吸引大批合法或非法的”掏掏金者金者”,”,所以网络信息的安全与保密所以网络信息的安
9、全与保密问题显得越来越重要。问题显得越来越重要。n现在,几乎每天都有各种各样的现在,几乎每天都有各种各样的“黑客黑客”故事:故事: 15安全概论安全事件安全事件1 119941994年末,年末,俄罗斯黑客弗拉基米尔俄罗斯黑客弗拉基米尔利文利文与其伙伴从圣彼得堡的一家小软件公司与其伙伴从圣彼得堡的一家小软件公司的联网计算机上,向美国的联网计算机上,向美国CITYBANKCITYBANK银行银行发动了一连串攻击,通过电子转帐方式,发动了一连串攻击,通过电子转帐方式,从从CITYBANKCITYBANK银行在纽约的计算机主机里银行在纽约的计算机主机里窃取窃取11001100万美元万美元2 21996
10、1996年年8 8月月1717日。日。美国司法部的网络服务器遭到美国司法部的网络服务器遭到“黑客黑客”入侵,并将入侵,并将“美国司法部美国司法部”的主页改的主页改为为“美国不公正部美国不公正部”16安全概论安全事件安全事件3 319961996年年9 9月月1818日,黑客光顾美国中央情报局的网络服日,黑客光顾美国中央情报局的网络服务器,将其主页由务器,将其主页由“中央情报局中央情报局”改为改为“中央愚蠢局中央愚蠢局”。4 419961996年年1212月月2929日,黑客侵入美国空军的全球网网址日,黑客侵入美国空军的全球网网址并将其主页肆意改动,迫使美国国防部一度关闭了其并将其主页肆意改动,
11、迫使美国国防部一度关闭了其他他8080多个军方网址。多个军方网址。5 5 1996年年12月月29日日,美国空军的全球网页完全变了样,美国空军的全球网页完全变了样,其中空军介绍、新闻发布等内容被替换成一段简短的其中空军介绍、新闻发布等内容被替换成一段简短的黄色录象,且声称美国政府所说的一切都是谎言。黄色录象,且声称美国政府所说的一切都是谎言。 17安全概论19981998年年8 8月日,江西省中国公用多月日,江西省中国公用多媒体信息网(媒体信息网( 台)被电脑台)被电脑“黑黑客客”攻击,整个系统瘫痪。攻击,整个系统瘫痪。19981998年年4 4月月2525日下午日下午5 5时时3030分左右
12、,一分左右,一神秘的电脑神秘的电脑“黑客黑客”非法侵入中国公众非法侵入中国公众多媒体信息网(多媒体信息网(CHINANETCHINANET)贵州站点的)贵州站点的WWWWWW主机,将主机,将“贵州省情贵州省情”的的WEBWEB页面改页面改换成一幅不堪入目的淫秽画面。换成一幅不堪入目的淫秽画面。安全事件安全事件18安全概论9898年年6 6月月1616日,黑客入侵了上海某信息日,黑客入侵了上海某信息网的网的8 8台服务器,破译了网络大部分工作台服务器,破译了网络大部分工作人员的口令和人员的口令和500500多个合法用户的帐号和多个合法用户的帐号和密码,其中包括两台服务器上超级用户密码,其中包括两
13、台服务器上超级用户的帐号和密码。的帐号和密码。9898年年1010月月2727日,刚刚开通的,由中国人日,刚刚开通的,由中国人权研究会与中国国际互连网新闻中心联权研究会与中国国际互连网新闻中心联合创办的合创办的“中国人权研究会中国人权研究会”网页,被网页,被“黑客黑客”严重纂改。严重纂改。 安全事件安全事件19安全概论n20002000年春节期间年春节期间“黑客黑客”攻击以攻击以YahooYahoo和和新浪等为代表的国内外著名网站新浪等为代表的国内外著名网站, ,造成重造成重大经济损失大经济损失. .n99-200199-2001年,我们国家的一些政府网站,年,我们国家的一些政府网站,遭受了四
14、次大的黑客攻击事件遭受了四次大的黑客攻击事件安全事件安全事件20安全概论20012001年南海撞机事件引发中美黑客大战。年南海撞机事件引发中美黑客大战。以下就是一美国网站以下就是一美国网站“http:/ 5月月1-71-7日,中美黑客发生日,中美黑客发生了一场声势浩大的黑客大战,美国了一场声势浩大的黑客大战,美国和中国都有许多知名网站、政府主和中国都有许多知名网站、政府主页受到了黑客的攻击,轻者主页被页受到了黑客的攻击,轻者主页被“善意善意”修改,重者服务器上的数修改,重者服务器上的数据被窃取、修改、删除,甚至整个据被窃取、修改、删除,甚至整个网站瘫痪,被迫中断服务数小时。网站瘫痪,被迫中断服
15、务数小时。 24安全概论YahooYahoo!,!,AA、AOLAOL,CNN.comCNN.com等世界知名网站遭受黑等世界知名网站遭受黑客攻击客攻击nYahoo!Yahoo!是世界上最安全的的网是世界上最安全的的网站之一,也同样难逃遭受攻击和站之一,也同样难逃遭受攻击和中断服务的命运,更不用提大多中断服务的命运,更不用提大多数公司的网络了。数公司的网络了。25安全概论20032003年蠕虫造成的重大网络安全事故有:年蠕虫造成的重大网络安全事故有:一月份的一月份的SQLSQL杀手蠕虫事件,中国有两万多台数杀手蠕虫事件,中国有两万多台数据库服务器受到影响,某骨干网的国际出入口据库服务器受到影响
16、,某骨干网的国际出入口基本瘫痪;基本瘫痪;三月份的口令蠕虫事件,当时中国大部分骨干网三月份的口令蠕虫事件,当时中国大部分骨干网络中有四万多台计算机受到感染;络中有四万多台计算机受到感染;三月份还出现了红色代码蠕虫的三月份还出现了红色代码蠕虫的F F变种,在中国变种,在中国互联网扩散达十多万次;互联网扩散达十多万次;八月份的冲击波蠕虫,至今仍未根除,中国受感八月份的冲击波蠕虫,至今仍未根除,中国受感染的主机已接近两百万台。染的主机已接近两百万台。 26安全概论国家网络应急中心:国家网络应急中心: 2004年年安全安全事件是上年五倍事件是上年五倍 n以网页篡改和垃圾邮件为主的网络安全以网页篡改和垃
17、圾邮件为主的网络安全事件正在大幅攀升事件正在大幅攀升n国家计算机网络应急技术处理协调中心国家计算机网络应急技术处理协调中心作为接收国内网络安全事件报告的重要作为接收国内网络安全事件报告的重要机构,机构,20042004年共收到网络安全事件报告年共收到网络安全事件报告6468664686件,为件,为20032003年的近年的近5 5倍。倍。 27安全概论n一、中国目前的网络环境和世界一样,一、中国目前的网络环境和世界一样,同样面临着各种各样的威胁,因此,同样面临着各种各样的威胁,因此,所必须采取的安全防护措施是一样的。所必须采取的安全防护措施是一样的。n 在网络安全领域在网络安全领域,中国与世界
18、保持同步中国与世界保持同步 回顾事例,多采取那种攻击方式回顾事例,多采取那种攻击方式?28安全概论C C、安全事件造成的经济损失、安全事件造成的经济损失n 99 99年年4 4月月2626日,台湾人编制的日,台湾人编制的CIHCIH病病毒的大爆发,有统计说我国大陆受毒的大爆发,有统计说我国大陆受其影响的其影响的PCPC机总量达机总量达3636万台之多。万台之多。 有人估计在这次事件中,经济损有人估计在这次事件中,经济损失高达近失高达近1212亿元。亿元。29安全概论安全事件造成的经济损失安全事件造成的经济损失n 据美国加利福尼亚州的名为据美国加利福尼亚州的名为“电电脑经济脑经济”的研究机构发布
19、的初步统的研究机构发布的初步统计数据,计数据,“爱虫爱虫”大爆发两天之后,大爆发两天之后,全球约有全球约有45004500万台电脑被感染,造万台电脑被感染,造成的损失已经达到成的损失已经达到2626亿美元。在以亿美元。在以后几天里,后几天里,“爱虫爱虫”病毒所造成的病毒所造成的损失以每天损失以每天1010亿美元到亿美元到1515亿美元的亿美元的速度增加。速度增加。30安全概论安全事件造成的经济损失安全事件造成的经济损失n19951995年计算机安全杂志在全球抽年计算机安全杂志在全球抽样调查了样调查了300300家典型的公司,家典型的公司,69%69%的公司报告的公司报告上年度上年度遇到过计算遇
20、到过计算机网络安全问题,机网络安全问题,59%59%的公司报的公司报告,上述安全问题造成的损失超告,上述安全问题造成的损失超过过1 1万美元。万美元。31安全概论D:信息化与国家安全:信息化与国家安全社会稳定社会稳定n 20012001年年2 2月月8 8日正是春节,新浪网遭受攻击,日正是春节,新浪网遭受攻击,电子邮件服务器瘫痪了电子邮件服务器瘫痪了1818个小时。造成了几百个小时。造成了几百万的用户无法正常的联络。万的用户无法正常的联络。n广东广东免费邮箱,黑客进去以后进行域免费邮箱,黑客进去以后进行域名修改,打开邮箱就向美国去了,造成名修改,打开邮箱就向美国去了,造成400400多多万用户
21、不能使用。万用户不能使用。n网上不良信息腐蚀人们灵魂网上不良信息腐蚀人们灵魂n 色情资讯业日益猖獗色情资讯业日益猖獗n 网上赌博盛行网上赌博盛行 32安全概论 信息战指双方为争夺对于信息的获取权、信息战指双方为争夺对于信息的获取权、控制权和使用权而展开的斗争。是以计算机网控制权和使用权而展开的斗争。是以计算机网络为战场,计算机技术为核心、为武器,是一络为战场,计算机技术为核心、为武器,是一场智力的较量,以攻击敌方的信息系统为主要场智力的较量,以攻击敌方的信息系统为主要手段,破坏敌方核心的信息系统,是现代战争手段,破坏敌方核心的信息系统,是现代战争的的“第一个打击目标第一个打击目标”。 E、信息
22、化与国家安全、信息化与国家安全信息战信息战33安全概论F、信息战重要实例、信息战重要实例n19901990年海湾战争,被称为年海湾战争,被称为“世界上首次全世界上首次全面信息战面信息战”,充分显示了现代高技术条件,充分显示了现代高技术条件下下“控制信息权控制信息权”的关键作用。美军通过的关键作用。美军通过向带病毒芯片的打印机设备发送指令,致向带病毒芯片的打印机设备发送指令,致使伊拉克军队系统瘫痪,轻易地摧毁了伊使伊拉克军队系统瘫痪,轻易地摧毁了伊军的防空系统。多国部队运用精湛的信息军的防空系统。多国部队运用精湛的信息技术技术, ,仅以伤亡百余人的代价取得了歼敌十仅以伤亡百余人的代价取得了歼敌十
23、多万的成果多万的成果. . 34安全概论n在科索沃战争中,美国的电子专家成功在科索沃战争中,美国的电子专家成功侵入了南联盟防空体系的计算机系统。侵入了南联盟防空体系的计算机系统。当南联盟军官在计算机屏幕上看到敌机当南联盟军官在计算机屏幕上看到敌机目标的时候,天空上其实什么也没有。目标的时候,天空上其实什么也没有。通过这种方法,美军成功迷惑了南联盟,通过这种方法,美军成功迷惑了南联盟,使南联盟浪费了大量的人力物力资源。使南联盟浪费了大量的人力物力资源。信息战重要实例信息战重要实例35安全概论n同样的方法还应用到南联盟首领米同样的方法还应用到南联盟首领米洛舍维奇的头上,美军雇佣黑客闯洛舍维奇的头上
24、,美军雇佣黑客闯入瑞士银行系统,调查米氏的存款入瑞士银行系统,调查米氏的存款情况并加以删除,从心理上给予米情况并加以删除,从心理上给予米氏以沉重的打击。氏以沉重的打击。信息战重要实例信息战重要实例36安全概论安全事件的统计数字安全事件的统计数字n505060%60%的安全事件出自使用不当的安全事件出自使用不当 使用者缺乏经验、系统维护不到位使用者缺乏经验、系统维护不到位n151520%20%的安全事件出自内部人员所为的安全事件出自内部人员所为 如以前的雇员、系统管理员如以前的雇员、系统管理员n101015%15%的安全事件出自灾害的安全事件出自灾害 水灾、雷击、火灾水灾、雷击、火灾.n3 35
25、%5%的安全事件出自外部攻击的安全事件出自外部攻击 如业余爱好者、黑客、竞争对手、有组织的智如业余爱好者、黑客、竞争对手、有组织的智能犯能犯问题:如果你是企业问题:如果你是企业CIOCIO,你该指定哪些规定?,你该指定哪些规定?37安全概论中国的网络安全事件应急处理中国的网络安全事件应急处理n目前中国已建立了快速高效的网络安全事件目前中国已建立了快速高效的网络安全事件应急处理机制,大部分事件处理能在五个工应急处理机制,大部分事件处理能在五个工作日以内处理完毕,以尽量减少网络安全事作日以内处理完毕,以尽量减少网络安全事件对用户造成的损失。同时,按照国际惯例,件对用户造成的损失。同时,按照国际惯例
26、,为便于用户寻求司法协助时参考,事件处理为便于用户寻求司法协助时参考,事件处理过程中已经能帮助用户保存必要的证据。过程中已经能帮助用户保存必要的证据。 问题问题:如果你是企业的如果你是企业的CIO,你知道发生安全,你知道发生安全事件后多长时间上报吗?事件后多长时间上报吗?38安全概论详细的安全威胁详细的安全威胁n操作系统本身的安全漏洞操作系统本身的安全漏洞n防火墙存在的安全缺陷和规则配置的不合理防火墙存在的安全缺陷和规则配置的不合理n来自内部网用户的的安全威胁来自内部网用户的的安全威胁n缺乏有效的手段监视、评估网络的安全性缺乏有效的手段监视、评估网络的安全性nTcp/ip协议族软件本身缺乏安全
27、性协议族软件本身缺乏安全性n电子邮件病毒、电子邮件病毒、WEB页面中存有恶意的页面中存有恶意的Java/AvtiveX控件控件n应用服务的访问控制、安全设计存在漏洞应用服务的访问控制、安全设计存在漏洞n线路窃听(通过电磁泄露或搭线窃听等手段获线路窃听(通过电磁泄露或搭线窃听等手段获取非法信息。)取非法信息。)39安全概论三、一些经典的理论三、一些经典的理论n公理公理1 摩菲定理摩菲定理 所有程序都有缺陷所有程序都有缺陷n定理定理1 大程序定律大程序定律 大程序的缺陷甚至比它包含大程序的缺陷甚至比它包含的的内容还多的的内容还多n推理推理1-1 一个安全相关程序有安全性缺陷一个安全相关程序有安全性
28、缺陷n定理定理2 只要不运行这个程序,那么这个程序是只要不运行这个程序,那么这个程序是否有缺陷,也无关紧要否有缺陷,也无关紧要n推理推理2-1 只要不运行这个程序,即使这个程序只要不运行这个程序,即使这个程序有安全漏洞,也无关紧要有安全漏洞,也无关紧要n定理定理3 对外暴露的计算机,应尽量少地运行程对外暴露的计算机,应尽量少地运行程序,且运行的程序也要尽量小序,且运行的程序也要尽量小40安全概论2.信息安全策略信息安全策略自上而下地制定安全策略自上而下地制定安全策略最小特权原则最小特权原则阻塞点阻塞点最薄弱环节(被忽视的环节)最薄弱环节(被忽视的环节)失效的保护机制(缺省拒绝或缺省接受状态)失
29、效的保护机制(缺省拒绝或缺省接受状态)不要使用太昂贵的机制不要使用太昂贵的机制采用多防线的技术采用多防线的技术不要太依赖系统操作:定期备份不要太依赖系统操作:定期备份普遍参与普遍参与防御多样化防御多样化41安全概论3.信息安全的基本要素信息安全的基本要素可审查性可审查性可控性可控性可用性可用性完整性完整性机密性机密性对出现的网络对出现的网络安全问题提供安全问题提供依据和手段依据和手段可以控制授权范围内的可以控制授权范围内的信息流向及行为方式信息流向及行为方式确保信息不暴露给为授权的实体或进程确保信息不暴露给为授权的实体或进程只有得到允许的人才能修改数据,并只有得到允许的人才能修改数据,并且能够
30、辨别数据是否已被修改且能够辨别数据是否已被修改得到授权的实体在需要时可得到授权的实体在需要时可以访问数据,既攻击者不能以访问数据,既攻击者不能占用所有资源而阻碍授权者占用所有资源而阻碍授权者的工作的工作42安全概论4.信息安全模型信息安全模型安全模型安全模型MP2DRRMPPDRR安全策略安全策略管理管理备份与恢复机制备份与恢复机制安全响应机制安全响应机制入侵检测机制入侵检测机制访问控制机制访问控制机制43安全概论成功的安全模型成功的安全模型在安全和通信方便之间建立平衡在安全和通信方便之间建立平衡-能够对存取进行控制能够对存取进行控制-保持系统和数据完整保持系统和数据完整-能对系统进行恢复和数
31、据备份能对系统进行恢复和数据备份44安全概论四、安全机制的内容四、安全机制的内容安全机制有多种,每种又可以分为若干子类,安全机制有多种,每种又可以分为若干子类,在计算机操作系统、数据库系统、各类信在计算机操作系统、数据库系统、各类信息系统及网络系统中不尽相同。主要有如息系统及网络系统中不尽相同。主要有如下几种:下几种:机密性机制、访问控制机制、认证机制、识机密性机制、访问控制机制、认证机制、识别机制、完整性机制、抗抵赖机制、特权别机制、完整性机制、抗抵赖机制、特权机制、恶意程序防御机制、审核机制。机制、恶意程序防御机制、审核机制。45安全概论安全机制的第一部分:用户认证安全机制的第一部分:用户
32、认证用户标识:标定用户身份用户标识:标定用户身份用户识别:一对多的过程用户识别:一对多的过程用户验证:一对一的过程用户验证:一对一的过程用户放行:承认合法用户用户放行:承认合法用户用户鉴别用户鉴别用户用户认证认证访问访问控制控制安全安全保密保密安全安全审计审计安全安全恢复恢复安全机制安全机制46安全概论安全机制的第二部分:访问控制安全机制的第二部分:访问控制权限标记:设定权限和标记权限标记:设定权限和标记授权组合:配置权限及各种组合授权组合:配置权限及各种组合权限检查:对读写、执行、复制权限检查:对读写、执行、复制等进行检查和验证。等进行检查和验证。违规处理:限制、锁定、关闭违规处理:限制、锁
33、定、关闭用户用户认证认证访问访问控制控制安全安全保密保密安全安全审计审计安全安全恢复恢复安全机制安全机制47安全概论安全机制的第三部分:安全保密安全机制的第三部分:安全保密信息隐藏:看不到,找不到信息隐藏:看不到,找不到信息加密:看不懂,难理解信息加密:看不懂,难理解信息锁定:看到了,带不走信息锁定:看到了,带不走信息控制:看懂了,已无用信息控制:看懂了,已无用用户用户认证认证访问访问控制控制安全安全保密保密安全安全审计审计安全安全恢复恢复安全机制安全机制48安全概论安全机制的第四部分:安全审计安全机制的第四部分:安全审计用户用户认证认证访问访问控制控制安全安全保密保密安全安全审计审计访问记录
34、:记下每一个来访者访问记录:记下每一个来访者环境记录:记录当前运行环境环境记录:记录当前运行环境审计追踪:找到相应的对象审计追踪:找到相应的对象审计确认:分析确认特定目标审计确认:分析确认特定目标安全安全恢复恢复安全机制安全机制49安全概论安全机制的第五部分:安全恢复安全机制的第五部分:安全恢复用户用户认证认证访问访问控制控制安全安全保密保密安全安全审计审计恢复依据:配置、记录、参数、恢复依据:配置、记录、参数、 表格、表格、数据结构、文档、前后端数据库数据结构、文档、前后端数据库数据恢复:备份恢复、前后端恢复数据恢复:备份恢复、前后端恢复环境恢复:运行环境、应用环境环境恢复:运行环境、应用环
35、境数据库恢复:备份、记录、结构恢复数据库恢复:备份、记录、结构恢复安全安全恢复恢复安全机制安全机制50安全概论 密码理论与技术密码理论与技术安全协议理论与技术安全协议理论与技术安全体系结构与技术安全体系结构与技术信息对抗理论与技术。信息对抗理论与技术。网络安全与安全产品网络安全与安全产品五五 信息安全的研究动向信息安全的研究动向51安全概论六、信息安全的评价标准 n19991999年年1010月经过国家质量技术监督局批准发月经过国家质量技术监督局批准发布的计算机信息系统安全保护等级划分准布的计算机信息系统安全保护等级划分准则则GB17859GB17859将计算机安全保护划分为以下将计算机安全保
36、护划分为以下5 5个级别。个级别。n第第1 1级为用户自主保护级(级为用户自主保护级(GB1GB1安全级):它安全级):它的安全保护机制使用户具备自主安全保护的的安全保护机制使用户具备自主安全保护的能力,保护用户的信息免受非法的读写破坏。能力,保护用户的信息免受非法的读写破坏。n第第2 2级为系统审计保护级(级为系统审计保护级(GB2GB2安全级):除安全级):除具备第一级所有的安全保护功能外,要求创具备第一级所有的安全保护功能外,要求创建和维护访问的审计跟踪记录,使所有的用建和维护访问的审计跟踪记录,使所有的用户对自己的行为的合法性负责。户对自己的行为的合法性负责。52安全概论六、信息安全的
37、评价标准n第第3 3级为安全标记保护级(级为安全标记保护级(GB3GB3安全级):除继安全级):除继承前一个级别的安全功能外,还要求以访问对承前一个级别的安全功能外,还要求以访问对象标记的安全级别限制访问者的访问权限,实象标记的安全级别限制访问者的访问权限,实现对访问对象的强制保护。现对访问对象的强制保护。n第第4 4级为结构化保护级(级为结构化保护级(GB4GB4安全级):在继承安全级):在继承前面安全级别安全功能的基础上,将安全保护前面安全级别安全功能的基础上,将安全保护机制划分为关键部分和非关键部分,对关键部机制划分为关键部分和非关键部分,对关键部分直接控制访问者对访问对象的存取,从而加
38、分直接控制访问者对访问对象的存取,从而加强系统的抗渗透能力。强系统的抗渗透能力。n第第5 5级为访问验证保护级(级为访问验证保护级(GB5GB5安全级):这一安全级):这一个级别特别增设了访问验证功能。个级别特别增设了访问验证功能。53安全概论美国国防部评价标准 n根据美国国防部开发的计算机安全标准根据美国国防部开发的计算机安全标准可可信任计算机标准评价准则(信任计算机标准评价准则(Trusted Computer Trusted Computer Standards Evaluation CriteriaStandards Evaluation Criteria,TCSECTCSEC),),
39、即网络安全橙皮书,一些计算机安全级别被用即网络安全橙皮书,一些计算机安全级别被用来评价一个计算机系统的安全性。来评价一个计算机系统的安全性。n自从自从19851985年橙皮书成为美国国防部的标准以来,年橙皮书成为美国国防部的标准以来,就一直没有改变过,多年以来一直是评估多用就一直没有改变过,多年以来一直是评估多用户主机和小型操作系统的主要方法。其他子系户主机和小型操作系统的主要方法。其他子系统(如数据库和网络)也一直用橙皮书来解释统(如数据库和网络)也一直用橙皮书来解释评估。橙皮书把安全的级别从低到高分成评估。橙皮书把安全的级别从低到高分成4 4个个类别:类别:D D类、类、C C类、类、B
40、B类和类和A A类,每类又分几个级类,每类又分几个级别,如表别,如表1-11-1所示。所示。54安全概论类 别级 别名 称主 要 特 征DD低级保护没有安全保护CC1自主安全保护自主存储控制C2受控存储控制单独的可查性,安全标识BB1标识的安全保护强制存取控制,安全标识B2结构化保护面向安全的体系结构,较好的抗渗透能力B3安全区域存取监控、高抗渗透能力AA验证设计形式化的最高级描述和验证55安全概论nD D级是最低的安全级别,拥有这个级别的操作系统就像级是最低的安全级别,拥有这个级别的操作系统就像一个门户大开的房子,任何人都可以自由进出,是完一个门户大开的房子,任何人都可以自由进出,是完全不可
41、信任的。对于硬件来说,没有任何保护措施,全不可信任的。对于硬件来说,没有任何保护措施,操作系统容易受到损害,没有系统访问限制和数据访操作系统容易受到损害,没有系统访问限制和数据访问限制,任何人不需任何账户都可以进入系统,不受问限制,任何人不需任何账户都可以进入系统,不受任何限制可以访问他人的数据文件。属于这个级别的任何限制可以访问他人的数据文件。属于这个级别的操作系统有操作系统有DOSDOS和和Windows 98Windows 98等。等。56安全概论nC1C1是是C C类的一个安全子级。类的一个安全子级。C1C1又称选择性安全又称选择性安全保护(保护(Discretionary Secur
42、ity Discretionary Security ProtectionProtection)系统,它描述了一个典型的用在)系统,它描述了一个典型的用在UNIXUNIX系统上安全级别。这种级别的系统对硬件系统上安全级别。这种级别的系统对硬件又有某种程度的保护,如用户拥有注册账号和又有某种程度的保护,如用户拥有注册账号和口令,系统通过账号和口令来识别用户是否合口令,系统通过账号和口令来识别用户是否合法,并决定用户对程序和信息拥有什么样的访法,并决定用户对程序和信息拥有什么样的访问权,但硬件受到损害的可能性仍然存在。问权,但硬件受到损害的可能性仍然存在。n用户拥有的访问权是指对文件和目标的访问权
43、。用户拥有的访问权是指对文件和目标的访问权。文件的拥有者和超级用户可以改变文件的访问文件的拥有者和超级用户可以改变文件的访问属性,从而对不同的用户授予不通的访问权限。属性,从而对不同的用户授予不通的访问权限。57安全概论nC2C2级除了包含级除了包含C1C1级的特征外,应该具有访问控级的特征外,应该具有访问控制环境(制环境(Controlled Access EnvironmentControlled Access Environment)权力。权力。该环境具有进一步限制用户执行某些命令或者该环境具有进一步限制用户执行某些命令或者访问某些文件的权限,而且还加入了身份认证等级。访问某些文件的权限
44、,而且还加入了身份认证等级。另外,系统对发生的事情加以审计,并写入日志中,另外,系统对发生的事情加以审计,并写入日志中,如什么时候开机,哪个用户在什么时候从什么地方登如什么时候开机,哪个用户在什么时候从什么地方登录,等等,这样通过查看日志,就可以发现入侵的痕录,等等,这样通过查看日志,就可以发现入侵的痕迹,如多次登录失败,也可以大致推测出可能有人想迹,如多次登录失败,也可以大致推测出可能有人想入侵系统。审计除了可以记录下系统管理员执行的活入侵系统。审计除了可以记录下系统管理员执行的活动以外,还加入了身份认证级别,这样就可以知道谁动以外,还加入了身份认证级别,这样就可以知道谁在执行这些命令。审计
45、的缺点在于它需要额外的处理在执行这些命令。审计的缺点在于它需要额外的处理时间和磁盘空间。时间和磁盘空间。n(1 1)UNIXUNIX系统;系统;n(2 2)Novell 3.XNovell 3.X或者更高版本;或者更高版本;n(3 3)Windows NTWindows NT,Windows 2000Windows 2000和和Windows 2003Windows 2003。58安全概论nB B级中有三个级别,级中有三个级别,B1B1级即标志安全保护(级即标志安全保护(Labeled Labeled Security ProtectionSecurity Protection),是支持多级安
46、全(例如:秘),是支持多级安全(例如:秘密和绝密)的第一个级别,这个级别说明处于强制性密和绝密)的第一个级别,这个级别说明处于强制性访问控制之下的对象,系统不允许文件的拥有者改变访问控制之下的对象,系统不允许文件的拥有者改变其许可权限。其许可权限。B2B2级,又叫结构保护(级,又叫结构保护(Structured Structured ProtectionProtection)级别,它要求计算机系统中所有的对象)级别,它要求计算机系统中所有的对象都要加上标签,而且给设备(磁盘、磁带和终端)分都要加上标签,而且给设备(磁盘、磁带和终端)分配单个或者多个安全级别。配单个或者多个安全级别。nB3B3级
47、,又叫做安全域(级,又叫做安全域(Security DomainSecurity Domain)级别,使用)级别,使用安装硬件的方式来加强域的安全,例如,内存管理硬安装硬件的方式来加强域的安全,例如,内存管理硬件用于保护安全域免遭无授权访问或更改其他安全域件用于保护安全域免遭无授权访问或更改其他安全域的对象。该级别也要求用户通过一条可信任途径连接的对象。该级别也要求用户通过一条可信任途径连接到系统上到系统上。59安全概论nA A级,又称验证设计(级,又称验证设计(Verified DesignVerified Design)级别,是当)级别,是当前橙皮书的最高级别,它包含了一个严格的设计、控前
48、橙皮书的最高级别,它包含了一个严格的设计、控制和验证过程。该级别包含较低级别的所有的安全特制和验证过程。该级别包含较低级别的所有的安全特性。性。n安全级别设计必须从数学角度上进行验证,而且必须安全级别设计必须从数学角度上进行验证,而且必须进行秘密通道和可信任分布分析。可信任分布进行秘密通道和可信任分布分析。可信任分布(Trusted DistributionTrusted Distribution)的含义是:硬件和软件在)的含义是:硬件和软件在物理传输过程中已经受到保护,以防止破坏安全系统。物理传输过程中已经受到保护,以防止破坏安全系统。橙皮书也存在不足,橙皮书也存在不足,TCSECTCSEC
49、是针对孤立计算机系统,特是针对孤立计算机系统,特别是小型机和主机系统。假设有一定的物理保障,该别是小型机和主机系统。假设有一定的物理保障,该标准适合政府和军队,不适合企业,这个模型是静态标准适合政府和军队,不适合企业,这个模型是静态的。的。60安全概论欧洲评价标准 n9090年代初西欧四国(英、法、荷、德)联合提出了信年代初西欧四国(英、法、荷、德)联合提出了信息技术安全评价标准(息技术安全评价标准(ITSECITSEC,Information Information Technology Standards Evaluation CriteriaTechnology Standards Ev
50、aluation Criteria)。除)。除了吸收了吸收TCSECTCSEC的成功经验外,首次提出了信息安全的保的成功经验外,首次提出了信息安全的保密性、完整性、可用性的概念,把可信计算机的概念密性、完整性、可用性的概念,把可信计算机的概念提高到可信信息技术的高度上来认识。他们的工作成提高到可信信息技术的高度上来认识。他们的工作成为欧共体信息安全计划的基础,并对国际信息安全的为欧共体信息安全计划的基础,并对国际信息安全的研究、实施带来深刻的影响。研究、实施带来深刻的影响。nITSECITSEC定义了七个安全级别:定义了七个安全级别:E6E6:形式化验证;:形式化验证;E5E5:形:形式化分析
51、;式化分析;E4E4:半形式化分析;:半形式化分析;E3E3:数字化测试分析;:数字化测试分析;E2E2:数字化测试;:数字化测试;E1E1:功能测试;:功能测试;E0E0:不能充分满足:不能充分满足保证。保证。61安全概论 通用评价准则 n美国为了保持他们在制定准则方面的优势,不甘心美国为了保持他们在制定准则方面的优势,不甘心TCSECTCSEC的影响被的影响被ITSECITSEC取代,他们采取联合其他国家共取代,他们采取联合其他国家共同提出新的评估准则的办法体现其领导作用。同提出新的评估准则的办法体现其领导作用。19911991年年1 1月宣布了制定通用安全评价准则(月宣布了制定通用安全评
52、价准则(CCCC,Common Common CriteriaCriteria)的计划,它的全称是)的计划,它的全称是Common Criteria for Common Criteria for IT security EvaluationIT security Evaluation。制定的国家涉及到六国七。制定的国家涉及到六国七方,他们是美国的国家标准及技术研究所(方,他们是美国的国家标准及技术研究所(NISTNIST)和)和国家安全局(国家安全局(NSANSA),欧洲的四个国家为荷、法、德、),欧洲的四个国家为荷、法、德、英以及北美的加拿大。英以及北美的加拿大。nCCCC评价准则基础是欧
53、洲的评价准则基础是欧洲的ITSECITSEC,美国的包括,美国的包括 TCSEC TCSEC 在内的新的联邦评价标准,加拿大的在内的新的联邦评价标准,加拿大的 CTCPEC CTCPEC,以及国,以及国际标准化组织际标准化组织ISO:SC27 WG3 ISO:SC27 WG3 的安全评价标准。的安全评价标准。19951995年年颁布颁布0.90.9版,版,19961996年年1 1月出版了月出版了1.01.0版。版。 1997 1997年年8 8月颁布月颁布2.0 Beta2.0 Beta版,版, 2.0 2.0 版于版于19981998年年5 5月颁布。其中月颁布。其中19981998年年1
54、111月月1515日发布的版本成为日发布的版本成为ISO/IEC 15408ISO/IEC 15408信息技术信息技术- -安安全技术全技术-IT-IT安全评价准则。安全评价准则。62安全概论nCCCC评价准则包括评价准则包括3 3个部分:第一部分介绍和总体模型,个部分:第一部分介绍和总体模型,对对CCCC评价准则的介绍。定义评价准则的介绍。定义ITIT安全评价和描述模型的安全评价和描述模型的一般概念和原则,提出选择和定义说明产品和系统一般概念和原则,提出选择和定义说明产品和系统ITIT安全客体的明确的组织的安全要求。第二部分安全功安全客体的明确的组织的安全要求。第二部分安全功能要求,用标准化
55、的方法对评价目标建立一个明确的能要求,用标准化的方法对评价目标建立一个明确的安全要求的部件功能集合。功能集合分类为部件安全要求的部件功能集合。功能集合分类为部件(ComponentsComponents)、族()、族(FamiliesFamilies)和类()和类(ClassesClasses)。)。第三部分安全保证要求,用标准化的方法对评价目标第三部分安全保证要求,用标准化的方法对评价目标建立一个明确的安全要求的保证部件的集合。对保护建立一个明确的安全要求的保证部件的集合。对保护方案和安全目标进行定义,并且对安全评价目标提出方案和安全目标进行定义,并且对安全评价目标提出安全评价保证级别(安全
56、评价保证级别(EALEAL)。)。nCCCC标准将安全等级划分为标准将安全等级划分为1-71-7安全等级,安全等级,EAL1EAL1:功能测:功能测试;试;EAL2EAL2:结构测试;:结构测试;EAL3EAL3:方法测试与检验;:方法测试与检验;EAL4EAL4:方法设计措施与评审;:方法设计措施与评审;EAL5EAL5:半形式化设计与测试;:半形式化设计与测试;EAL6EAL6:半形式化验证设计与测试;:半形式化验证设计与测试;EAL7EAL7:形式化验证:形式化验证和测试。和测试。63安全概论评估标准间的关系 nTCSECTCSEC主要规范了计算机操作系统和主机的安全要求,主要规范了计算
57、机操作系统和主机的安全要求,侧重于对保密性的要求。该标准至今对评估计算机安侧重于对保密性的要求。该标准至今对评估计算机安全仍然具有现实意义。全仍然具有现实意义。ITSECITSEC将信息安全由计算机扩展将信息安全由计算机扩展到更广的实用系统,增强了对完整性和可用性的要求,到更广的实用系统,增强了对完整性和可用性的要求,发展了评估保证概念。发展了评估保证概念。CCCC基于风险管理理论,对安全基于风险管理理论,对安全模型、安全概念和安全功能进行了全面系统描绘,强模型、安全概念和安全功能进行了全面系统描绘,强化了评估保证。我国的评价标准化了评估保证。我国的评价标准GB17859GB17859与与TC
58、SECTCSEC、ITSECITSEC以及以及CCCC评价安全等级的大体对应关系如表评价安全等级的大体对应关系如表1-21-2所所示。示。64安全概论我国我国GB17859GB17859美国美国TCSECTCSEC欧洲欧洲ITSECITSEC通用标准通用标准CCCC-D D:低级保护:低级保护E0E0:-EAL1EAL1:功能测试:功能测试GB1GB1:用户自主:用户自主保护级保护级C1C1:自主保护:自主保护级级E1E1:功能测试:功能测试 EAL2EAL2:结构测试:结构测试GB2GB2:系统审计:系统审计保护级保护级C2C2:受控存储:受控存储控制控制E2E2:数字化测:数字化测试试EA
59、L3EAL3:方法测试:方法测试与检验与检验GB3GB3:安全标记:安全标记保护级保护级B1B1:标识的安:标识的安全保护全保护E3E3:数字化测:数字化测试分析试分析EAL4EAL4:设计措施:设计措施与评审与评审GB4GB4:结构化保:结构化保护级护级B2B2:结构化保:结构化保护护E4E4:半形式化:半形式化分析分析EAL5EAL5:半形式化:半形式化设计与测试设计与测试GB5GB5:访问验证:访问验证保护级保护级B3B3:安全区域:安全区域E5E5:形式化分:形式化分析析EAL6EAL6:半形式化:半形式化验证设计测试验证设计测试-A A:验证设计:验证设计E6E6:形式化验:形式化验证证EAL7EAL7:形式化验:形式化验证和测试证和测试65安全概论安全概论
