《信息安全技术体系:第2章 信息安全的整体性原理》由会员分享,可在线阅读,更多相关《信息安全技术体系:第2章 信息安全的整体性原理(56页珍藏版)》请在金锄头文库上搜索。
1、信息安全体系结构信息安全体系结构目录目录第一部分第一部分 基础篇基础篇第第1 1章章 信息安全概论信息安全概论第第2 2章章 信息安全整体原理信息安全整体原理第二部分第二部分 技术篇技术篇第第3 3章章 信息安全技术信息安全技术第第4 4章章 信息安全子系统信息安全子系统第第5 5章章 信息安全技术体系信息安全技术体系第三部分第三部分 管理篇管理篇第第6 6章章 信息安全管理概述信息安全管理概述第第7 7章章 信息安全风险管理信息安全风险管理第第8 8章章 信息安全管理体系信息安全管理体系第四部分第四部分 评估篇评估篇第第9 9章章 信息安全评估信息安全评估第第1010章章 信息系统的评估信息
2、系统的评估第第2 2章章 信息安全的整体性原理信息安全的整体性原理2.1 2.1 整体信息安全的基本原理整体信息安全的基本原理 2.2 2.2 信息安全的整体结构分析信息安全的整体结构分析2.1 2.1 整体信息安全的基本原理整体信息安全的基本原理2.1.1 2.1.1 系统的含义系统的含义2.1.2 2.1.2 信息安全的整体性原理信息安全的整体性原理2.1.1 2.1.1 系统的含义系统的含义一、系统思想概述一、系统思想概述 二、系统思想案例二、系统思想案例 一、系统思想概述一、系统思想概述1 1、定义、定义2 2、内涵、内涵1 1、定义、定义定义定义1 1:系统一词源于希腊文,其含义是由
3、各个部分组成的:系统一词源于希腊文,其含义是由各个部分组成的整体,是处于相互关系和联系之中的要素的集合。整体,是处于相互关系和联系之中的要素的集合。定义定义2 2:系统是具有特定功能的、相互间有机联系的许多元:系统是具有特定功能的、相互间有机联系的许多元素所构成的一个整体。素所构成的一个整体。这些定义总体上涉及三个方面:基本元素、元素之间的关系这些定义总体上涉及三个方面:基本元素、元素之间的关系和整体目标。反映了系统是按照某个确定的目标,由一些基和整体目标。反映了系统是按照某个确定的目标,由一些基本元素组合起来形成一个整体。也就是说所有构成整体的基本元素组合起来形成一个整体。也就是说所有构成整
4、体的基本元素,为了达到某个共同的目标,按照某种关系将他们组本元素,为了达到某个共同的目标,按照某种关系将他们组合起来,形成一个整体,每个元素都对整体目标有着不同的、合起来,形成一个整体,每个元素都对整体目标有着不同的、不可或缺的贡献。不可或缺的贡献。 2 2、内涵、内涵从局部看,这些基本元素相对独立地、有规律地存在和运动从局部看,这些基本元素相对独立地、有规律地存在和运动着,他们均为系统的整体目标贡献着个体的能量。着,他们均为系统的整体目标贡献着个体的能量。从整体看,这些基本元素并非孤立存在和运动,他们相互依从整体看,这些基本元素并非孤立存在和运动,他们相互依赖、相互作用、相互补充,优化组合形
5、成一个整体。个体只赖、相互作用、相互补充,优化组合形成一个整体。个体只有在整体中准确的定位才能发挥作用,体现出优势。单独强有在整体中准确的定位才能发挥作用,体现出优势。单独强调个体优势,未必对整体有利,甚至带来灾难。调个体优势,未必对整体有利,甚至带来灾难。例如:在人体的心血管系统中,心脏的剧烈跳动(强度或频率)可能例如:在人体的心血管系统中,心脏的剧烈跳动(强度或频率)可能造成血管的破裂,导致生命威胁。同样地,由单个劣势的个体也可造成血管的破裂,导致生命威胁。同样地,由单个劣势的个体也可构成强势的整体。构成强势的整体。例如,在例如,在“田忌赛马田忌赛马” 故事中,田忌用中、低、高等级的马分别
6、与故事中,田忌用中、低、高等级的马分别与齐王的高、中、低等级的马进行比赛,结果赢得了整体优势。所谓齐王的高、中、低等级的马进行比赛,结果赢得了整体优势。所谓的的“强强联合强强联合”未必能形成整体优势,河马与大象不能和睦相处,未必能形成整体优势,河马与大象不能和睦相处,但白鹭与河马、大象均能相互依赖、和睦相处,形成有机的整体。但白鹭与河马、大象均能相互依赖、和睦相处,形成有机的整体。 二、系统思想案例二、系统思想案例都江堰是我国劳动人民智慧的结晶,是我们都江堰是我国劳动人民智慧的结晶,是我们的祖先充分应用系统科学解决水利问题的光的祖先充分应用系统科学解决水利问题的光辉典范。该水利枢纽巧妙地利用自
7、然地理优辉典范。该水利枢纽巧妙地利用自然地理优势,通过鱼嘴分水堤、飞沙堰坝泄洪和排沙、势,通过鱼嘴分水堤、飞沙堰坝泄洪和排沙、宝瓶口调节内江流量并反馈给鱼嘴和飞沙堰宝瓶口调节内江流量并反馈给鱼嘴和飞沙堰坝控制分水和泄洪量等工程,建立了集分水、坝控制分水和泄洪量等工程,建立了集分水、泄洪、排沙和灌溉为一体、协调一致的系统泄洪、排沙和灌溉为一体、协调一致的系统工程,二千多年以来一直惠及成都平原的广工程,二千多年以来一直惠及成都平原的广大地区。大地区。 系统思想案例(续)系统思想案例(续)H HHeHeLiLiBeBeB BC CN NO OF FNeNeNaNaMgMgAlAlSiSiP PS S
8、ClClArArK KCaCaScScTiTiV VCrCrMnMnFeFeCoCoNiNiCuCuZnZnGaGaGeGeAsAsSeSeBrBrKrKrRbRbSrSrY YZrZrNbNbMoMoTcTcRuRuRhRhPdPdAgAgCdCdInInSnSnSbSbTeTeI IXeXeCsCsBaBaLaLaHfHfTaTaW WReReOsOsIrIrPtPtAuAuHgHgTlTlPbPbBiBiPoPoAtAtRnRnFrFrRaRaAcAcRfRfDbDbSgSgBhBhHsHsMtMtUunUunUuUuu uUuUub bUutUutUuqUuqUupUupUuhUuhU
9、usUusUuoUuoCeCePrPrNdNdPmPmSmSmEuEuGdGdTbTbDyDyHoHoErErTmTmYbYbLuLuThThPaPaU UNpNpPuPuAmAmCmCmBkBkCfCfEsEsFmFmMdMdNoNoLrLr系统思想案例(续)系统思想案例(续)H(1)H(1)Li(7)Li(7)Na(23)Na(23)K(39)K(39)Be(9)Be(9)Mg(24)Mg(24)Ca(40)Ca(40)B(11)B(11)Al(27)Al(27)C(12)C(12)Si(28)Si(28)Ti(48)Ti(48)N(14)N(14)P(31)P(31)O(16)O(16)
10、S(32)S(32)F(19)F(19)Cl(35)Cl(35)Br(80)Br(80)2.1.2 2.1.2 信息安全的整体性原理信息安全的整体性原理一、一、“木桶原理木桶原理”的基本内容的基本内容二、二、“木桶原理木桶原理”诠释诠释一、一、“木桶原理木桶原理”的基本内容的基本内容信息安全遵循信息安全遵循“木桶原理木桶原理”。这一原理是说,一只木桶是由桶底和周围的木梆组成,其盛这一原理是说,一只木桶是由桶底和周围的木梆组成,其盛水的容量取决于木桶的最低梆,而不是最高梆;水的容量取决于木桶的最低梆,而不是最高梆;其盛水的可靠性,首先取决于木桶底部木板的质量,然后取其盛水的可靠性,首先取决于木桶
11、底部木板的质量,然后取决于木桶周围木板的质量。决于木桶周围木板的质量。“木桶原理木桶原理”进一步可诠释为,进一步可诠释为,木桶的容量是该问题的目标,为了达到最大的容量,木桶底木桶的容量是该问题的目标,为了达到最大的容量,木桶底部的木板质量是基础和基本保障;部的木板质量是基础和基本保障;比木桶最低木梆高的其他木梆是没有意义的,这些木梆越高比木桶最低木梆高的其他木梆是没有意义的,这些木梆越高就越浪费,要想提高木桶的容量,最佳的方法是加高最低木就越浪费,要想提高木桶的容量,最佳的方法是加高最低木梆的高度;梆的高度;木桶最低的木梆决定了木桶的容量,当最低木梆被加高后,木桶最低的木梆决定了木桶的容量,当
12、最低木梆被加高后,木桶的容量取决于次低的木梆。它反映了一种整体效益和系木桶的容量取决于次低的木梆。它反映了一种整体效益和系统科学的思想。统科学的思想。 二、二、“木桶原理木桶原理”诠释诠释其一,木桶的底要坚实,信息安全应该建立在牢固其一,木桶的底要坚实,信息安全应该建立在牢固的安全理论、方法和技术的基础之上,才能确保安的安全理论、方法和技术的基础之上,才能确保安全。哪么信息安全的底是什么呢?这就需要深入分全。哪么信息安全的底是什么呢?这就需要深入分析信息系统的构成,分析信息安全的本质和关键要析信息系统的构成,分析信息安全的本质和关键要素。通过后续章节的讨论可以看到,信息安全的底素。通过后续章节
13、的讨论可以看到,信息安全的底是密码技术、访问控制技术和安全操作系统、安全是密码技术、访问控制技术和安全操作系统、安全芯片技术和网络安全协议等,它们构成了信息安全芯片技术和网络安全协议等,它们构成了信息安全的基础。需要花大力气研究信息安全的这些基础、的基础。需要花大力气研究信息安全的这些基础、核心和关键技术,并在设计一个信息安全系统时,核心和关键技术,并在设计一个信息安全系统时,就需要按照安全策略目标设计和选择这些底部的组就需要按照安全策略目标设计和选择这些底部的组件,使需要保护的信息安全系统建立在可靠、牢固件,使需要保护的信息安全系统建立在可靠、牢固的安全基础之上。的安全基础之上。其二,根据信
14、息系统的安全目标,对信息系统进行其二,根据信息系统的安全目标,对信息系统进行全面分析,统筹规划信息安全保护措施,科学地设全面分析,统筹规划信息安全保护措施,科学地设计好各安全措施的保护等级,使他们具有满足要求计好各安全措施的保护等级,使他们具有满足要求的安全能力,具有相同保护能力的梆,避免出现有的安全能力,具有相同保护能力的梆,避免出现有些保护措施能力高、有效保护措施能力低的现象,些保护措施能力高、有效保护措施能力低的现象,做到成本效益最大化。按照做到成本效益最大化。按照“木桶原理木桶原理”, 一方面一方面过高的梆并不能提高信息系统的整体安全保护能力,过高的梆并不能提高信息系统的整体安全保护能
15、力,形成浪费;另一方面过低的梆就形成了信息安全保形成浪费;另一方面过低的梆就形成了信息安全保护的瓶颈,成了信息安全的软肋,不能达到预期的护的瓶颈,成了信息安全的软肋,不能达到预期的整体安全保护能力。整体安全保护能力。其三,木桶的木梆之间、木梆与底之间要形成很好其三,木桶的木梆之间、木梆与底之间要形成很好地衔接,不能出现缝隙和漏洞。也就是说,信息安地衔接,不能出现缝隙和漏洞。也就是说,信息安全各种保护措施之间要相互融合,在信息安全系统全各种保护措施之间要相互融合,在信息安全系统设计的初期就应该充分考虑到他们之间的关联、互设计的初期就应该充分考虑到他们之间的关联、互补关系,使它们形成有机的整体,防
16、止他们之间不补关系,使它们形成有机的整体,防止他们之间不能协调一致地工作而产生安全漏洞和旁路。同时,能协调一致地工作而产生安全漏洞和旁路。同时,需要将这些安全保护措施有机地整合在一起,而起需要将这些安全保护措施有机地整合在一起,而起到整合作用的到整合作用的“箍箍”就是信息安全管理,通过安全就是信息安全管理,通过安全管理充分发挥安全技术措施的效力,弥补安全技术管理充分发挥安全技术措施的效力,弥补安全技术措施的不足。措施的不足。 信息安全信息安全“木桶原理木桶原理”的一个误区是只看到的一个误区是只看到了最短的梆。针对最短的梆实施加固等保护了最短的梆。针对最短的梆实施加固等保护措施,这本身是对的,但
17、也容易造成措施,这本身是对的,但也容易造成“头痛头痛医头、脚疼医脚医头、脚疼医脚”的片面性。的片面性。应该指出的是,在注意和评估最短木梆的同应该指出的是,在注意和评估最短木梆的同时,也要重视木桶底的安全基础和他们之间时,也要重视木桶底的安全基础和他们之间的协调一致的关联、互补关系。的协调一致的关联、互补关系。 2.2 2.2 信息安全的整体结构分析信息安全的整体结构分析2.2.1 2.2.1 信息系统的构成要素信息系统的构成要素 2.2.2 2.2.2 信息安全的构成要素信息安全的构成要素 2.2.1 2.2.1 信息系统的构成要素信息系统的构成要素一、信息系统中的信息一、信息系统中的信息二、
18、信息系统的硬件二、信息系统的硬件三、信息系统的软件三、信息系统的软件一、信息系统中的信息一、信息系统中的信息19481948年,信息论的创始人香农(年,信息论的创始人香农(C.E.ShannonC.E.Shannon)在)在通信的通信的数学理论数学理论中将信息定义为:用来减少随机不定性的东西,中将信息定义为:用来减少随机不定性的东西,通过信息的测度反映信息出现的可能性。通过信息的测度反映信息出现的可能性。19481948年,控制论的奠基人维纳(年,控制论的奠基人维纳(N.WienerN.Wiener)在)在控制论控制论动物和机器中的通信与控制问题动物和机器中的通信与控制问题中将信息定义为:人们
19、在中将信息定义为:人们在适应外部世界,并且这种适应反作用于外部世界的过程中,适应外部世界,并且这种适应反作用于外部世界的过程中,同外部世界进行互相交换的内容的总称。同外部世界进行互相交换的内容的总称。19751975年,朗高在年,朗高在信息论:新的趋势与未决问题信息论:新的趋势与未决问题中将信息中将信息定义为:反映事物的形成、关系及其差异的东西。定义为:反映事物的形成、关系及其差异的东西。19881988年,中国学者钟义信在年,中国学者钟义信在信息科学原理信息科学原理中将信息定义中将信息定义为:信息是事物运动的状态和状态变化的方式为:信息是事物运动的状态和状态变化的方式 。信息系统中的信息(续
20、)信息系统中的信息(续)本书讨论的信息是指信息系统中的信息,它本书讨论的信息是指信息系统中的信息,它是指能输入计算机,并被加工处理、传递和是指能输入计算机,并被加工处理、传递和输出的数据所反映的信息。它是通常意义下输出的数据所反映的信息。它是通常意义下的信息的一个子集,是信息技术(的信息的一个子集,是信息技术(ITIT,Information TechnologyInformation Technology)领域存在的一种)领域存在的一种特有的数字信息,即在计算机内部以特有的数字信息,即在计算机内部以0 0、1 1代代码进行存储、传输和处理,而在计算机外部码进行存储、传输和处理,而在计算机外部
21、以正文、图形、图像、音频、视频等表示的以正文、图形、图像、音频、视频等表示的信息。本书不讨论信息。本书不讨论ITIT领域的模拟信息。领域的模拟信息。 二、信息系统的硬件二、信息系统的硬件1 1、计算机的硬件、计算机的硬件2 2、网络的硬件、网络的硬件1 1、计算机的硬件、计算机的硬件输入设备输入设备内存内存CPUCPU外存外存输出设备输出设备2 2、网络的硬件、网络的硬件三、信息系统的软件三、信息系统的软件信息系统的硬件信息系统的硬件应用软件应用软件操作系统操作系统网络系统软件网络系统软件数据库管理系统数据库管理系统软件体系结构软件体系结构2.2.2 2.2.2 信息安全的构成要素信息安全的构
22、成要素一、信息安全技术的基本要素一、信息安全技术的基本要素 二、信息安全管理的基本要素二、信息安全管理的基本要素 一、信息安全技术的基本要素一、信息安全技术的基本要素1 1、身份鉴别、身份鉴别 2 2、访问控制、访问控制 3 3、安全审计、安全审计4 4、客体安全重用、客体安全重用5 5、备份与恢复技术、备份与恢复技术6 6、隐蔽信道分析技术、隐蔽信道分析技术7 7、密码技术、密码技术 8 8、恶意代码防范技术、恶意代码防范技术 9 9、边界隔离与防护技术、边界隔离与防护技术 1 1、身份鉴别、身份鉴别信息安全中首要的问题是要确定主体的身份。身份鉴别机制信息安全中首要的问题是要确定主体的身份。
23、身份鉴别机制通过标识信息表明信息系统中每一个用户身份的唯一性和确通过标识信息表明信息系统中每一个用户身份的唯一性和确定性,这种唯一确定性在信息系统的整个生命周期中起作用,定性,这种唯一确定性在信息系统的整个生命周期中起作用,即使用户已经被注销,该用户的标识信息也不能被重复使用。即使用户已经被注销,该用户的标识信息也不能被重复使用。身份鉴别机制通过对鉴别信息的验证确保用户身份的真实性。身份鉴别机制通过对鉴别信息的验证确保用户身份的真实性。只有在用户身份真实的前提下,对授权主体访问客体所实施只有在用户身份真实的前提下,对授权主体访问客体所实施的访问控制才有意义,通过唯一的标识符才能够审计和追踪的访
24、问控制才有意义,通过唯一的标识符才能够审计和追踪用户的行为等。用户的行为等。身份鉴别(也称为身份认证)就是向系统证明你就是所声称身份鉴别(也称为身份认证)就是向系统证明你就是所声称的那个人。计算机信息系统可信计算基必须事先存储用户的的那个人。计算机信息系统可信计算基必须事先存储用户的身份信息,通过身份鉴别机制与用户输入的信息比对,确定身份信息,通过身份鉴别机制与用户输入的信息比对,确定用户的身份。用户的身份。常用的身份鉴别机制包括:口令、常用的身份鉴别机制包括:口令、USB keyUSB key以及指纹、虹膜、以及指纹、虹膜、面相等生物特征的方法。面相等生物特征的方法。注:身份鉴别机制需妥善保
25、管用户的鉴别信息,防止对用户注:身份鉴别机制需妥善保管用户的鉴别信息,防止对用户鉴别信息的非授权的泄漏和破坏。鉴别信息的非授权的泄漏和破坏。 2 2、访问控制、访问控制访问控制访问控制机制机制主体主体客体客体访问控制策略访问控制策略访问控制(续)访问控制(续)注注1 1:访问控制要求主体对客体访问的路径上必须通过访问:访问控制要求主体对客体访问的路径上必须通过访问控制机制,不得旁路,否则访问控制机制将失去应有的安全控制机制,不得旁路,否则访问控制机制将失去应有的安全功能。作为计算机系统最底层软件的操作系统能较好地实现功能。作为计算机系统最底层软件的操作系统能较好地实现这一要求。而在其他各层(如
26、数据库管理系统层、应用软件这一要求。而在其他各层(如数据库管理系统层、应用软件系统层等)所提供的访问控制,只能起到对本层数据进行保系统层等)所提供的访问控制,只能起到对本层数据进行保护的作用。当然,操作系统对于以物理方式获取数据的行为护的作用。当然,操作系统对于以物理方式获取数据的行为方式也无能为力。方式也无能为力。注注2 2:访问控制既可以与操作系统、数据库管理系统、应用:访问控制既可以与操作系统、数据库管理系统、应用软件系统等捆绑实现,也可单独实现,例如,在一个网络环软件系统等捆绑实现,也可单独实现,例如,在一个网络环境下的集中式访问控制服务。在这种情况下,必须保证所有境下的集中式访问控制
27、服务。在这种情况下,必须保证所有主体对客体的访问路径都必须经过集中访问控制机制。主体对客体的访问路径都必须经过集中访问控制机制。 3 3、安全审计、安全审计安全审计(安全审计(auditaudit)是对信息系统用户(包括合法用)是对信息系统用户(包括合法用户和非法用户)的安全相关事件作出响应的机制。户和非法用户)的安全相关事件作出响应的机制。以日志方式对这些事件进行记录是安全审计的基本以日志方式对这些事件进行记录是安全审计的基本功能。安全审计与用户的唯一标识相结合支持对用功能。安全审计与用户的唯一标识相结合支持对用户行为的可查性,从而可以追究用户行为,迫使用户行为的可查性,从而可以追究用户行为
28、,迫使用户对自己的行为负责,形成一种威慑力。户对自己的行为负责,形成一种威慑力。安全审计既包括针对主体行为的审计,也包括针对安全审计既包括针对主体行为的审计,也包括针对所保护客体被访问历史的审计。安全审计应能发现所保护客体被访问历史的审计。安全审计应能发现用户企图绕过系统保护机制的各种尝试,发现主体用户企图绕过系统保护机制的各种尝试,发现主体的越权行为。的越权行为。 安全审计(续)安全审计(续)安全审计应该记录下述事件:系统登录过程中的身份鉴别的安全审计应该记录下述事件:系统登录过程中的身份鉴别的信息、将客体引入用户安全域空间的信息(例如:打开文件、信息、将客体引入用户安全域空间的信息(例如:
29、打开文件、程序初始化、从用户安全域外部输入数据等)、客体被输出程序初始化、从用户安全域外部输入数据等)、客体被输出用户安全域的信息、对客体进行增删改以及系统管理员和安用户安全域的信息、对客体进行增删改以及系统管理员和安全管理员所实施的动作(如:创建、删除用户,安全策略的全管理员所实施的动作(如:创建、删除用户,安全策略的变更等)。变更等)。对于每一项安全相关事件,审计记录应包括:事件的日期和对于每一项安全相关事件,审计记录应包括:事件的日期和时间、主体(例如:用户)的标识信息、事件类型、事件是时间、主体(例如:用户)的标识信息、事件类型、事件是否成功等。对身份鉴别事件,应记录请求的来源(如:终
30、端否成功等。对身份鉴别事件,应记录请求的来源(如:终端标识符)。对客体的引入、增删改、输出等要记录客体的名标识符)。对客体的引入、增删改、输出等要记录客体的名称以及客体安全级别的敏感标记。称以及客体安全级别的敏感标记。注意:审计数据是一个非常重要的安全数据,系统应采取保注意:审计数据是一个非常重要的安全数据,系统应采取保护措施,防止对审计数据的非授权泄漏和破坏。护措施,防止对审计数据的非授权泄漏和破坏。 4 4、客体安全重用、客体安全重用客体安全重用(也称剩余信息保护)是指当主体获得对一个客体安全重用(也称剩余信息保护)是指当主体获得对一个已被释放的客体的访问权时,当前主体不能获得原主体活动已
31、被释放的客体的访问权时,当前主体不能获得原主体活动所产生的任何信息,否则就会产生敏感信息的泄漏。这是因所产生的任何信息,否则就会产生敏感信息的泄漏。这是因为,信息安全主体对所拥有的客体在存储、计算和传递过程为,信息安全主体对所拥有的客体在存储、计算和传递过程结束后,如果对客体中所涉及的信息不做安全处理,这些信结束后,如果对客体中所涉及的信息不做安全处理,这些信息将残留在相关的客体中,当这些客体在其后被分配给其它息将残留在相关的客体中,当这些客体在其后被分配给其它主体使用时,就会导致客体中信息的泄漏,从而造成对客体主体使用时,就会导致客体中信息的泄漏,从而造成对客体的安全威胁。的安全威胁。需要采
32、取一定的安全措施对残留在客体中的剩余信息进行安需要采取一定的安全措施对残留在客体中的剩余信息进行安全处理,以便消除客体重用造成的安全隐患。一种简单易行全处理,以便消除客体重用造成的安全隐患。一种简单易行的方式是在客体解除与主体的分配关系时,或者在客体被分的方式是在客体解除与主体的分配关系时,或者在客体被分配给新的主体时,清除客体中的内容。还有一点需要注意,配给新的主体时,清除客体中的内容。还有一点需要注意,那就是主体不能访问分配给他之外的客体。例如,分配给主那就是主体不能访问分配给他之外的客体。例如,分配给主体的文件尾之后的内容;体的文件尾之后的内容;C C语言中通过指针分配给主体的存语言中通
33、过指针分配给主体的存储空间以外的内存(这也是黑客破坏信息系统正常运行的惯储空间以外的内存(这也是黑客破坏信息系统正常运行的惯用手法)等。用手法)等。 客体安全重用(续)客体安全重用(续)常见的客体安全重用问题出现在计算机常见的客体安全重用问题出现在计算机CPUCPU中中的寄存器、的寄存器、CachCach、内存、磁盘的块、内存、磁盘的块/ /簇、磁带簇、磁带的块的块/ /簇、移动磁盘、光盘,以及路由器中的簇、移动磁盘、光盘,以及路由器中的“存储存储- -转发转发”等存储设备中。等存储设备中。文件是关于上述客体的抽象,可以看作是一文件是关于上述客体的抽象,可以看作是一种逻辑客体。对文件的客体重用
34、是指与文件种逻辑客体。对文件的客体重用是指与文件相关的控制信息和数据信息使用的所有客体相关的控制信息和数据信息使用的所有客体的重用。其他的逻辑客体还有数据库中的字的重用。其他的逻辑客体还有数据库中的字段、记录等。段、记录等。 5 5、备份与恢复技术、备份与恢复技术备份与故障恢复就是应对各种威胁的一种有备份与故障恢复就是应对各种威胁的一种有效和实用技术,是效和实用技术,是PDRRPDRR模型的重要组成部分。模型的重要组成部分。数据备份可以由用户对其所属的数据进行备数据备份可以由用户对其所属的数据进行备份,也可由系统定期或不定期对系统中的重份,也可由系统定期或不定期对系统中的重要数据进行备份,形成
35、该时刻数据状态的快要数据进行备份,形成该时刻数据状态的快照。一旦数据遭受破坏,就可用最后一次备照。一旦数据遭受破坏,就可用最后一次备份的数据进行恢复,使数据的破坏减少到最份的数据进行恢复,使数据的破坏减少到最小的程度。小的程度。 备份与恢复技术(续)备份与恢复技术(续)数据备份按保存数据的量可分为完全数据备份和增量数据备数据备份按保存数据的量可分为完全数据备份和增量数据备份;按备份数据存放的位置还可分为一般数据备份和容灾数份;按备份数据存放的位置还可分为一般数据备份和容灾数据备份。据备份。完全数据备份是指将要备份的数据全部保存的备份方式,当完全数据备份是指将要备份的数据全部保存的备份方式,当数
36、据恢复时,将备份的数据全部还原即可。数据恢复时,将备份的数据全部还原即可。增量数据备份是指将从上一次备份后到这次备份的时间间隔增量数据备份是指将从上一次备份后到这次备份的时间间隔内发生变化的数据进行保存的备份方式,当数据恢复时,要内发生变化的数据进行保存的备份方式,当数据恢复时,要根据上一次备份的数据与本次备份的数据进行计算获得需要根据上一次备份的数据与本次备份的数据进行计算获得需要恢复的数据。恢复的数据。容灾数据备份是指将备份数据存放在一个与本地有相当距离容灾数据备份是指将备份数据存放在一个与本地有相当距离的地方保存数据的备份方式,主要是针对像地震、水灾等自的地方保存数据的备份方式,主要是针
37、对像地震、水灾等自然灾害以及战争等恶意的人为破坏而采取的数据备份措施。然灾害以及战争等恶意的人为破坏而采取的数据备份措施。 6 6、隐蔽信道分析技术、隐蔽信道分析技术定义定义经典形式经典形式实例实例定义定义在在TCSECTCSEC中将隐蔽信道定义为,主体以危害安中将隐蔽信道定义为,主体以危害安全策略的方式传输信息的信道。也就是说,全策略的方式传输信息的信道。也就是说,信息交换过程中,将敏感信息隐藏在正常的信息交换过程中,将敏感信息隐藏在正常的信息中,从而造成信息泄密的一种安全威胁。信息中,从而造成信息泄密的一种安全威胁。在在CCCC(GB/T18336-2001GB/T18336-2001)中
38、是这样描述的:)中是这样描述的:隐蔽通道分析主要用来引导发现和分析未预隐蔽通道分析主要用来引导发现和分析未预料到的一些通信通道,这些通信通道可用来料到的一些通信通道,这些通信通道可用来违反预期的违反预期的TSPTSP(TOETOE安全策略)。安全策略)。 经典形式经典形式在在A A向向B B传递数据传递数据M M时,将敏感信息时,将敏感信息C C分为一些分为一些小段插入到小段插入到M M中,形成中,形成M M,当,当M M顺利通过检顺利通过检验者发送到验者发送到B B后,后,B B可从中提取出可从中提取出C C,从而泄密。,从而泄密。 实例实例实例实例1 1:藏头诗:藏头诗实例实例2 2:过滤
39、网格:过滤网格实例实例3 3:信息隐藏:信息隐藏实例实例1 1:藏头诗:藏头诗芦花丛中一扁舟,芦花丛中一扁舟,俊杰俄从此地游,俊杰俄从此地游,义士若能知此理,义士若能知此理,反躬难逃可无忧。反躬难逃可无忧。芦芦俊俊义义反反实例实例2 2:过滤网格:过滤网格+ - - + - + - - - - - + - - - - - + - + - - - - + - - - - + - + - - + - - - - - + - + - + + - - - - + - - - - + - - + - - - + - - + - - - - - - this is a message that I amt
40、his is a message that I am实例实例3 3:信息隐藏:信息隐藏7 7、密码技术、密码技术密码技术是信息安全的核心技术之一,也是最传统的信息安密码技术是信息安全的核心技术之一,也是最传统的信息安全技术之一。全技术之一。密码技术最初的目的就是对已有信息(明文)实施变换,变密码技术最初的目的就是对已有信息(明文)实施变换,变换为另一个信息(密文),使非授权者不可读,而授权者换为另一个信息(密文),使非授权者不可读,而授权者(掌握密钥的人)则可以将密文恢复为明文,了解其内容。(掌握密钥的人)则可以将密文恢复为明文,了解其内容。这种技术主要对信息安全的保密性提供支持,称为对称密码
41、这种技术主要对信息安全的保密性提供支持,称为对称密码密钥密码技术。密钥密码技术。后来,非对称密钥密码技术(一个密钥用于加密,另一个密后来,非对称密钥密码技术(一个密钥用于加密,另一个密钥用于解密,详见第三章)的出现,密码技术应用领域扩展钥用于解密,详见第三章)的出现,密码技术应用领域扩展其到对信息安全的完整性提供支持,可发现非授权者对信息其到对信息安全的完整性提供支持,可发现非授权者对信息的篡改、插入、删除等。的篡改、插入、删除等。密码技术还可以对身份鉴别、设备鉴别、消息鉴别、数字签密码技术还可以对身份鉴别、设备鉴别、消息鉴别、数字签名、虚拟专用网(名、虚拟专用网(VPNVPN)等提供支持。)
42、等提供支持。 8 8、恶意代码防范技术、恶意代码防范技术计算机科学的发展仅有计算机科学的发展仅有7070年的历史,他还是一门新型的学科,年的历史,他还是一门新型的学科,许多理论问题,特别是计算机软件的理论,还有待进一步的许多理论问题,特别是计算机软件的理论,还有待进一步的研究和探索。计算机软件的正确性、可靠性、安全性等等问研究和探索。计算机软件的正确性、可靠性、安全性等等问题还没有从理论上很好地解决,软件还存在许多的安全漏洞。题还没有从理论上很好地解决,软件还存在许多的安全漏洞。恶意代码(包括计算机病毒)是一种计算机软件,它正是利恶意代码(包括计算机病毒)是一种计算机软件,它正是利用计算机软件
43、的漏洞,进行复制、传播和实施破坏的。目前,用计算机软件的漏洞,进行复制、传播和实施破坏的。目前,计算机病毒形式多样,危害极大,严重影响了计算机系统中计算机病毒形式多样,危害极大,严重影响了计算机系统中存储信息的保密性、完整性和可用性,干扰了人们对计算机存储信息的保密性、完整性和可用性,干扰了人们对计算机技术的利用,影响了信息化社会的正常秩序。技术的利用,影响了信息化社会的正常秩序。恶意代码防范技术是针对恶意代码的工作原理和机制,研制恶意代码防范技术是针对恶意代码的工作原理和机制,研制的一套预防、检测、消除计算机恶意代码的技术,是保障信的一套预防、检测、消除计算机恶意代码的技术,是保障信息系统正
44、常工作的有效方法和实用工具。息系统正常工作的有效方法和实用工具。 9 9、边界隔离与防护技术、边界隔离与防护技术隔离是防护的基础,隔离与防护相结合可以实施有效控制的隔离是防护的基础,隔离与防护相结合可以实施有效控制的目的。目的。在人们的日常生活中,这样的例子处处可见。例如,像在人们的日常生活中,这样的例子处处可见。例如,像SARSSARS这样的流行性疾病爆发时,通过隔离,一方面可以有效地将这样的流行性疾病爆发时,通过隔离,一方面可以有效地将病毒控制在一个可控的范围内,防止其扩散,另一方面可以病毒控制在一个可控的范围内,防止其扩散,另一方面可以在一个相对较小的范围内采取有效的防护措施,防止事态进
45、在一个相对较小的范围内采取有效的防护措施,防止事态进一步恶化。一步恶化。在信息安全领域也是一样,通过隔离可以将一个复杂的信息在信息安全领域也是一样,通过隔离可以将一个复杂的信息系统划分为多个需要进行不同安全保护的安全域,并通过在系统划分为多个需要进行不同安全保护的安全域,并通过在边界和内部采取安全防护措施,达到安全保护的目的。边界和内部采取安全防护措施,达到安全保护的目的。隔离可以将信息安全的威胁控制在一个有效的范围内,例如,隔离可以将信息安全的威胁控制在一个有效的范围内,例如,计算机病毒、黑客的攻击等,防止事态的恶化,减少信息安计算机病毒、黑客的攻击等,防止事态的恶化,减少信息安全的损失。全
46、的损失。 边界隔离与防护技术(续)边界隔离与防护技术(续)信息系统的边界隔离防护技术包括物理隔离和逻辑信息系统的边界隔离防护技术包括物理隔离和逻辑隔离两种类型。隔离两种类型。物理隔离是通过物理的方法,对信息系统之间或信息系物理隔离是通过物理的方法,对信息系统之间或信息系统的信息交换进行控制的技术。统的信息交换进行控制的技术。逻辑隔离包括防火墙、逻辑隔离包括防火墙、VPNVPN、隔离网闸等。像计算机科学、隔离网闸等。像计算机科学一样,信息安全的理论、方法和技术还很不完善,加之一样,信息安全的理论、方法和技术还很不完善,加之信息安全与信息安全的攻击之间是一种对抗性的技术。信息安全与信息安全的攻击之
47、间是一种对抗性的技术。实施隔离的基本要求是被隔离的区域具有明确的边实施隔离的基本要求是被隔离的区域具有明确的边界,并且有确定的可以进行控制的通道。在目前还界,并且有确定的可以进行控制的通道。在目前还不能期望利用现有的信息安全理论、方法和技术提不能期望利用现有的信息安全理论、方法和技术提供完全的信息安全的前提下,边界隔离与防护技术供完全的信息安全的前提下,边界隔离与防护技术对确保国家重要信息系统的安全显得尤为重要。对确保国家重要信息系统的安全显得尤为重要。 二、信息安全管理的基本要素二、信息安全管理的基本要素1 1、人员安全管理、人员安全管理 2 2、组织安全管理、组织安全管理 3 3、制度安全
48、管理、制度安全管理 1 1、人员安全管理、人员安全管理信息安全技术只有通过人的操作才能发挥应有的作用,人员信息安全技术只有通过人的操作才能发挥应有的作用,人员管理是信息安全管理的核心要素。对操作和配置安全系统的管理是信息安全管理的核心要素。对操作和配置安全系统的内部安全人员没有相应的安全管理,再好的信息安全技术也内部安全人员没有相应的安全管理,再好的信息安全技术也难以抵御外部的攻击。没有可靠的安全操作管理人员,再好难以抵御外部的攻击。没有可靠的安全操作管理人员,再好的安全技术也难以发挥应有的效力。的安全技术也难以发挥应有的效力。宏观层面(国家层面)的人员安全管理包括学历教育和在职宏观层面(国家
49、层面)的人员安全管理包括学历教育和在职培训,信息安全技术和管理人员的技能资质认证等。通过不培训,信息安全技术和管理人员的技能资质认证等。通过不同的途径培养不同层次的安全人才,通过资质认证为安全需同的途径培养不同层次的安全人才,通过资质认证为安全需求单位把好人才质量关,规范信息安全人才市场。求单位把好人才质量关,规范信息安全人才市场。微观层面(信息系统运行层面)的人员安全管理包括安全人微观层面(信息系统运行层面)的人员安全管理包括安全人员资质管理,通过初始审核和动态审核确保安全人员的安全员资质管理,通过初始审核和动态审核确保安全人员的安全可靠。要通过不断的教育加强安全人员的安全责任感和安全可靠。
50、要通过不断的教育加强安全人员的安全责任感和安全意识,增强安全人员对信息系统安全操作的能力,防止各种意识,增强安全人员对信息系统安全操作的能力,防止各种误操作等。误操作等。 2 2、组织安全管理、组织安全管理一个大的信息安全系统,需要高层安全管理者、安全操作人一个大的信息安全系统,需要高层安全管理者、安全操作人员等许多人员的参与,为使他们协调一致地工作,就需要设员等许多人员的参与,为使他们协调一致地工作,就需要设置高效、严密的组织机构。通过安全管理组织机构,提高管置高效、严密的组织机构。通过安全管理组织机构,提高管理效率和能力,使得安全管理成为组织行为,而非个人行为。理效率和能力,使得安全管理成
51、为组织行为,而非个人行为。通过组织管理行为确保信息安全目标和安全策略的落实。通过组织管理行为确保信息安全目标和安全策略的落实。宏观层面的安全组织机构包括中央国家机关和地方各级政府宏观层面的安全组织机构包括中央国家机关和地方各级政府部门的信息安全管理机构,信息安全标准化机构、评测机构、部门的信息安全管理机构,信息安全标准化机构、评测机构、监督和检查机构以及信息安全应急和服务机构等。监督和检查机构以及信息安全应急和服务机构等。微观层面的安全组织机构,一般应由所属单位的一把手领衔,微观层面的安全组织机构,一般应由所属单位的一把手领衔,有了解信息及信息系统整体安全目标和具体实施过程的安全有了解信息及信
52、息系统整体安全目标和具体实施过程的安全人员的共同参与。人员的共同参与。 3 3、安全制度管理、安全制度管理通过制定安全管理制度,对相关人员的行为进行规范,是信通过制定安全管理制度,对相关人员的行为进行规范,是信息安全管理的重要内容之一。制度是规范化管理的前提,将息安全管理的重要内容之一。制度是规范化管理的前提,将一些零散的、无章可循的管理内容规范化,明确了信息安全一些零散的、无章可循的管理内容规范化,明确了信息安全管理者的责任和权力,奖罚分明;明确信息安全管理的具体管理者的责任和权力,奖罚分明;明确信息安全管理的具体内容和操作规程,使得信息安全管理有法可依、有章可循。内容和操作规程,使得信息安
53、全管理有法可依、有章可循。同时,制度化的管理也可避免人员滥用职权等造成的安全威同时,制度化的管理也可避免人员滥用职权等造成的安全威胁。规范化的管理制度是提高信息安全管理能力的关键。胁。规范化的管理制度是提高信息安全管理能力的关键。宏观层面的信息安全管理制度包括信息安全法律法规和标准宏观层面的信息安全管理制度包括信息安全法律法规和标准等。等。微观层面的信息安全制度包括信息安全计划和策略、风险管微观层面的信息安全制度包括信息安全计划和策略、风险管理制度以及各种安全管理规程等。理制度以及各种安全管理规程等。 本章小结本章小结信息安全是一项复杂而庞大的系统工程,遵信息安全是一项复杂而庞大的系统工程,遵
54、循循“木桶原理木桶原理”,信息安全须要从整体上进,信息安全须要从整体上进行分析和把握。本章首先论述了系统论的基行分析和把握。本章首先论述了系统论的基本思想,并应用系统论的思想对信息所依赖本思想,并应用系统论的思想对信息所依赖的信息系统的结构进行了分析,进而分析了的信息系统的结构进行了分析,进而分析了信息安全的结构,对构成信息系统和信息安信息安全的结构,对构成信息系统和信息安全的要素进行了剖析,从而为本书的第二部全的要素进行了剖析,从而为本书的第二部分(技术篇)和第三部分(产品篇)的相关分(技术篇)和第三部分(产品篇)的相关内容作了铺垫,也为第四部分(系统篇)的内容作了铺垫,也为第四部分(系统篇)的描述奠定了基础。描述奠定了基础。 作业作业PP48PP48第第1 1题题第第2 2题题第第3 3题题参考文献参考文献王斌君等信息安全体系北京:高等教育王斌君等信息安全体系北京:高等教育出版社,出版社,20082008常绍舜系统科学方法概论北京:中国政常绍舜系统科学方法概论北京:中国政法大学出版社,法大学出版社,2004 2004 高隆昌系统学原理北京:科学出版社,高隆昌系统学原理北京:科学出版社,2005 2005 霍绍周系统论北京:科学出版社,霍绍周系统论北京:科学出版社,1988 1988 谢谢大家谢谢大家
