Download
1 / 56
560 likes | 741 Views
第 2 章 信息安全的基本概念和技术. 摘 要 本章从整体角度介绍信息安全的一些基本概念,并简要说明信息安全系统的设计原则与设计方法。 重点讨论实体安全、运行安全、信息保护安全和安全管理的安全技术,具体包括环境安全、设备安全、介质安全,风险分析技术、信息系统的检测监控与审计跟踪、应急措施和备份与故障恢复、容错与冗余、灾难恢复计划、标识与认证、标记与访问控制、客体安全重用、审计、数据完整性技术、密码技术、防火墙技术、入侵者(黑客)攻击、安全管理制度、安全教育等安全技术。 简介信息安全标准的概念和桔皮书 TCSEC/TDT.
E N D
第2章 信息安全的基本概念和技术 摘 要 本章从整体角度介绍信息安全的一些基本概念,并简要说明信息安全系统的设计原则与设计方法。 重点讨论实体安全、运行安全、信息保护安全和安全管理的安全技术,具体包括环境安全、设备安全、介质安全,风险分析技术、信息系统的检测监控与审计跟踪、应急措施和备份与故障恢复、容错与冗余、灾难恢复计划、标识与认证、标记与访问控制、客体安全重用、审计、数据完整性技术、密码技术、防火墙技术、入侵者(黑客)攻击、安全管理制度、安全教育等安全技术。 简介信息安全标准的概念和桔皮书TCSEC/TDT
2.1 信息安全的概念和技术 2.1.1 信息安全问题 2.1.2 信息安全的研究范畴 2.1.3 信息安全系统的基本要求 2.1.4 信息防护过程 2.1.5 系统安全体系结构 2.1.6 信息安全的内容
2.1.1 信息安全问题 信息安全的静态定义是为计算机系统、数据处理系统建立和采取的技术和管理的安全保护,使得系统的硬件、软件和数据不被偶然或故意地泄露、更改和破坏。 信息安全的动态定义则增加了对信息系统能连续正常工作的要求。
2.1.2 信息安全的研究范畴 • 从技术的角度,研究内容至少要包括通信安全、计算机安全、操作安全、信息本身的安全、人事安全、工业安全、资源保护和实体安全等,而从更大范围的角度,研究内容还包括管理和法律等方面。 • 信息安全研究方向包括:对突发事件处理的计算机运行安全System Security,物理条件的计算机实体安全Entities Security,通信与数据库的计算机数据安全Data Security,以及不被非法复制、替换、修改、不受病毒侵害的软件安全Software Security。
2.1.3 信息安全系统的基本要求 信息系统对安全的基本要求 (1)保密性 (2)完整性 (3)可用性 (4)可控性
威胁攻击 设计 保护 验证 信息基础设施 关键信息功能 征候,告警 威胁评估 战术告警,监视,检测,报告 损坏控制/恢复 攻击评估 2.1.4 信息防护过程
2.1.5 系统安全体系结构 信息系统安全的体系包含安全保密技术体系、协议安全性及安全协议体系和系统安全的体系结构。 安全保密系统将由下面所列的技术手段形成技术体系:密码、数字签名、数据完整性、鉴别、访问控制、信息流填充、路由控制、认证、审计追踪和信息过滤、病毒防治、信息泄漏防护和安全评估等,以实现信息的保密性、可用性、完整性和可控性。
OSI安全体系 7层 层次 安全机制:加密-签名-访问控制-完整性-鉴别-信息流填充- 路由-公证 安全服务:对等实体鉴别-访问控制-保密(数据,信息流)-完整性-源点鉴别-抗抵赖
2.1.6 信息安全的内容 特性:物理性、静态、客观、被动 实体安全 运行安全 信息保护 安全管理 信息安全内容的中心 特性:人的因素、动态、主观、主动
2.2 信息安全系统的设计 2.2.1 设计原则 2.2.2 设计方法 2.2.3 设计步骤 2.2.4 安全系统的设计举例
2.2.1 设计原则 (1)安全性原则 (2)整体性/全面性原则 (3)投资保护原则 (4)实用性原则 (5)可适应性原则 (6)技术与管理相结合原则
2.2.2 设计方法 外挂式设计方法对现有信息系统进行改造,通过增加安全机制来增强系统的安全性,如美国CA公司的ACWNT和ACX(for Unix)。 内核式设计方法在设计信息系统的同时,设计安全机制,以提供系统的安全性,即从安全内核逐层向上扩展,此方式可较完整地实现信息安全,如Honeywell公司的B2级MULTICS和A1级的SCOMP系统。
2.2.3 设计步骤 (1)需求分析与风险评估 (2)确定安全目标要求和对策 (3)安全系统设计 (4)明确相应的安全管理要求 (5)安全系统测试和试运行
本地安全 策略库 2.2.4 安全系统的设计举例 用户录入 审计日志 事件记录器 安全账户 管理 SAM SAMDB 安全账户 管理数据库 本地安全授权 LSA 用户模型 核心模型 安全访问控制器 SRM Windows NT 4.0 安全系统的组成关系
安全系统 • 在C2级的Windows NT、UNIX上,增加了安全管理软件SMS/OS,使之具有B1级 的安全特征。 • 强制访问机制,三权分立(管理员、安全员、审计员),安全审计等。 • 提高可用性 ,兼容性较好 。
安全功能 ①强制访问控制——使用访问监督器,实现多级化 控制; ②按最小授权原则,实现管理员、安全员、审计员的三权分立; ③对注册表作安全保护,以免受非授权用户的更改; ④安全审计——记录审计日志,并对违规事件作出相应的处理; ⑤SMS/OS自身的保护——不可改/删本系统的文件/数据,仅授权人员才可启动/终止系统的运行。
2.3 实体与运行安全2.3.1 实体安全 • 实体安全内容包括:①环境安全,涉及计算机机房的安全,计算机网络系统平台的安全和计算机、网络的环境条件对信息系统安全的影响等;②设备安全,涉及主客观地对各类设备的保护,电源保护,防电磁干扰,防电路截获等;③介质安全,涉及对介质上所记录的数据和介质本身采取的安全保护等。 • 有关实体安全的标准可查阅:GB50173-93电子计算机机房设计规范,GB2887-89计算站场地技术条件,GB9361-88计算站场地安全要求,和ITU的L系列推荐标准(HTTP://INFO.ITU.CH/ITUDOC/ITU-T/REC/L.HTML)等。
2.3.2 运行安全 • 2.3.2.1 运行安全的定义和安全内容 • 2.3.2.2 风险分析技术 • 2.3.2.3 系统的检测、监控与审计跟踪 • 2.3.2.4 容错与网络冗余 • 2.3.2.5 应急措施、备份与故障恢复 • 2.3.2.6 灾难恢复计划 • 2.3.2.7 病毒检测与防治
2.3.2.1 运行安全的定义和安全内容 运行安全内容包括: • 风险分析, • 检测 、监控与审计跟踪, • 容错与网络冗余, • 应急措施、备份与故障恢复, • 灾难恢复计划, • 病毒检测与预防。
2.3.2.2 风险分析技术 风险分析的目的是通过对影响系统安全运行的诸多因素的了解和分析,明确系统存在的风险,找出克服这些风险的方法。 在系统设计前、试运行前、运行期及运行后都应进行风险分析。 这体现静态和动态的观点。进行风险分析时,一般采用相应的风险分析工具,收集数据,进行分析,得出结果,从而确定危险的严重性以及发生危险的可能性及其对策。
常用分析工具 ①自动Livermore风险分析方法 ②自动风险评估系统(ARES) ③CCTA风险分析管理方法学(CRAMM) ④国防安全技术/风险分析管理程序(IST/RAMP) ⑤Love Alamos脆弱性与风险评估工具(LAVA)
2.3.2.3系统的检测、监控与审计跟踪 • 所谓检测是指通过扫描分析来发现信息系统的弱点和漏洞。检测内容包括账户是否有差异、数据是否被修改和删除、系统运行性能、异常通信模式、异常系统使用时间、登陆失败的次数等;检测方法使用统计分析法和基于规则的方法,一般使用软件工具定期或不定期地进行检测。 • 监控是指通过实时监测,发现入侵行为,并采取一定的应急防范措施。要对监测到的可疑信号进行分析,并及时地、自动地作出正确响应将有一定的难度。 • 审计是一种保证安全运行的重要措施。它可对计算机网络信息系统的工作过程进行详尽的审计跟踪,同时保存审计记录和审计日志。
检测分析系统 ①网络安全检测分析系统 ②操作系统安全性分析系统 ③防火墙安全性分析系统
基于网络环境的安全监测将实时监听网络数据流;监视并记录内/外用户出入网络的相关操作以发现违规模式和未授权访问;当出现违规模式和未授权访问时,报告监测中心,中心则由安全策略作出反应,并进行审计、报告、事件记录和报警。监测中心还有一定的远程管理功能,能对探测器进行远程参数设置、远程数据下载、远程关闭/启动和封锁等。基于网络环境的安全监测将实时监听网络数据流;监视并记录内/外用户出入网络的相关操作以发现违规模式和未授权访问;当出现违规模式和未授权访问时,报告监测中心,中心则由安全策略作出反应,并进行审计、报告、事件记录和报警。监测中心还有一定的远程管理功能,能对探测器进行远程参数设置、远程数据下载、远程关闭/启动和封锁等。 • 基于主机的安全监测由安全监测管理中心和分布式探测器(置于通信枢纽或主机内部)所组成。它的原理与基于网络环境的类似,只是探测器的具体探测任务、探测的数据种类与类型不同而已。 • 实现安全监测的关键技术则有:攻击分析和响应技术实时监控行为、识别攻击特征和病毒、侦探行为及未授权修改系统存取控制的可疑行为。误操作分析和响应技术对内部资源的误操作进行分析并做出相应的处理。漏洞分析和响应技术由软件自动扫描、找出安全策略的漏洞(包含物理的、软件的、不兼容的漏洞)。
安全监测产品 • INTERNET SCANNER • REAL SECURE 2.0 for Win NT • SYSTEM SECURITY SCANNER
2.3.2.4 容错与网络冗余 • 避错是构造一个“完美”系统,使得其尽可能地不出故障。而容错是指当系统出现某些硬/软件错误时,系统仍能执行规定的一组程序;或者说程序不会因系统中的故障而中断或被修改,并且执行结果也不会包含系统中故障所引起的差错。 • 实现容错的基本思想是在系统体系结构上精心设计,利用外加资源的冗余技术来达到屏蔽故障的影响,从而自动地恢复系统或达到安全停机的目的。
容错与网络冗余技术随着系统的不断复杂化而向芯片容错、动态冗余技术、分布式容错、容错性能评价、容错系统和综合方法论等方向发展。容错与网络冗余技术随着系统的不断复杂化而向芯片容错、动态冗余技术、分布式容错、容错性能评价、容错系统和综合方法论等方向发展。 • 实现容错的方法与技术: ① 空闲备件, ② 负载平衡, ③ 镜像技术, ④ 复现即延迟镜像, ⑤ 冗余系统配件, ⑥ 存储系统冗余, ⑦ 网络冗余技术.
2.3.2.5 应急措施、备份与故障恢复 备份系统的内容:文件备份与恢复、数据库备份与恢复、系统灾难恢复和备份任务管理等。 备份技术及其特点: • 全盘备份 • 增量备份 • 全盘及增量备份 • 差别备份 • 按需备份 • 排除
恢复技术及其特点 • 全盘恢复——一般在灾难发生后或系统升级和系统重组及合并时使用,操作之后,应检查最新的错误登记文件(日志,审计),以免漏掉有关文件。 • 个别文件恢复——采用文件系统列表(仅需一次搜索)或文件登录排序(需建登录索引)方法,选择待恢复的文件。 • 重定向恢复——恢复到另一位置或不同系统上,具体技术有全盘恢复和个别恢复。
备份系统的组成 ⑴ 物理主机系统 ⑼ 物理目标系统 ⑵ 逻辑主机系统 ⑽ 逻辑目标系统 ⑶ I/O总线 ⑾ 网络连接 ⑷ 外部设备 ⑿ 网络协议 ⑸ 设备驱动软件 ⒀ 系统日志 ⑹ 备份存储介质 ⒁ 系统监控 ⑺ 备份计划 ⒂ 系统管理 ⑻ 操作执行者
【例2.1】设有两台Netware服务器,一台为文件服务器,另一台为数据库服务器,运行Betrieve,要求设计一个实现整个网络的数据备份和系统备份的方案。 【例2.1】设有两台Netware服务器,一台为文件服务器,另一台为数据库服务器,运行Betrieve,要求设计一个实现整个网络的数据备份和系统备份的方案。 ① 方案一 将数据库服务器作为备份服务器,ARC Server配置ARC Server for Netware 和Pisaster Recovery Option。该方案的备份功能有整个网络中非活跃文件备份、数据库关闭状态备份、系统关键信息(NDS或Bindery)备份和系统灾难恢复。
②方案二 将数据库服务器作为备份服务器,ARC Server配置ARC Server for Netware 和Disaster Recovery option以及 Backup Agent for Betriere。 这样的备份方案使得系统提供整个网络中非活跃文件备份、数据库打开状态备份、系统关键信息(NDS或Bindery)备份和系统灾难恢复等功能。
③ 方案三 将数据库服务器作为备份服务器,用磁带库作为备份硬件,ARC Server配置ARC Server for Netware、Disaster Recovery option、Backup Abent for Betrieve、Backup Agent for open files和TAPE Library。 此方案的功能包括整个网络文件备份、包括活跃文件备份、数据库打开状态备份、系统关键信息(NDS或Bindery)备份、系统灾难恢复、备份数据的RAID容错和无人值班备份。
数据库备份的方法有冷备份和热备份。 • 一种热备份方案是按日志文件进行。进行备份时,日志文件将需要更新/更改的指令“堆起来”。 • 另一种热备份方法是逻辑备份,它使用软件技术从数据库中提取数据并将结果写入一输出文件,即逆SQL技术。
数据库的恢复则有单纯以备份为基础、以备份和运行日志为基础、基于多备份和易地更新恢复四种技术。数据库的恢复则有单纯以备份为基础、以备份和运行日志为基础、基于多备份和易地更新恢复四种技术。 • 单独以备份为基础的恢复技术周期性地把磁盘上的库文件拷贝或转储到磁带上。为缓解恢复的量的问题,可采用增量转储(increamental dumping,ID)法,即只转储更新过的物理块。 • 以备份和日志为基础的恢复技术使用日志来记录数据库的运行情。
当数据库失效时,取出最近备份,然后根据日志记录,对未提交的事务用前象卷回,即向后恢复;对已提交的事务,必要时做后象重做,即向前恢复。以备份和日志为基础的恢复技术的缺点是运行记录的存储量大,且影响数据库的正常工作性能。当数据库失效时,取出最近备份,然后根据日志记录,对未提交的事务用前象卷回,即向后恢复;对已提交的事务,必要时做后象重做,即向前恢复。以备份和日志为基础的恢复技术的缺点是运行记录的存储量大,且影响数据库的正常工作性能。 • 基于多备份的恢复技术是基于分布式数据库的,要求每一备份必须具有独立的失效模式(各备份不至于因同一故障而一起失效),这才能实现互为备份以实现恢复。 • 易地更新恢复技术,处理方法是每个关系有一页表,页表中每一项是一指针,指向关系中每一页块,提交时把页表的指针从旧页拨向新页,当数据库损坏时,需用备份和人工智能方法重做。
2.3.2.6 灾难恢复计划 • 制订灾难恢复计划的目的是当发生安全问题时以最小损失、尽快地使系统恢复正常工作。
灾难恢复计划 • 数据备份技术 • 风险分析过程 • 风险评估 • 由应用程序及子系统的轻重缓急来确定其优先级别,以便作选择性恢复 • 建立恢复需求时间目标(Recovery Time Objective,RTO) • 生成实际灾难恢复文本
2.3.2.7 病毒检测与防治 • 计算机病毒本质上是一“计算机程序”,它不仅能破坏计算机系统,并且能传播或感染到其他系统。计算机病毒具有隐藏性、复制性、破坏性、准时性、动态性、随机性、不易取证性,其表现特征为感染、变异、触发、破坏及隐身、多态等。 • 常见的计算机病毒分为文件病毒、引导区病毒、多裂变病毒(文件和引导区病毒的混合)、异性病毒(随时间变异)、宏病毒(用宏语言编号)和邮件病毒等。 • 病毒的检测方法有:①特征代码法,特点是适应差、静态、开销大、不能检出隐蔽病毒;②校验和法,其缺点是易误报;③行为监测法,它体现动态性检测;④软件模拟法,优点是适应性好;⑤比较法;⑥分析法。
2.4 信息保护 2.4.1 信息保护的内容 • 信息保护是确保计算机及网络系统中的信息不被泄露﹑破坏﹑更改﹑删除或使之不可用。实体安全是信息安全的基础,运行安全是信息安全强有力的支持,而信息保护则是核心和目标。 • 信息的形式不同,则信息保护的技术和机制也不同。其中,存储和处理的信息由安全的操作系统和安全的数据库系统加以保护;传输中的信息由加密和安全的传输协议加以保护;此外,还有防止入侵等。 • 对传输信息采取的安全措施有身份及信息验证、网络访问控制、通信信息加密、密钥管理、网络安全协议、鉴别技术、数字签名和安全审计等技术。
2.4.2 信息保护技术 • 信息保护技术是为确保信息在计算机及网络系统中存储、处理和传输过程中的安全所采取的安全措施。 • 信息保护技术涉及标识与认证、标记与访问控制、客体安全重用、审计、数据完整性、信息加密和防火墙等,其中信息加密保护是确保信息安全的关键。
2.4.2.1 标识与认证 • 标识是用来表明用户的身份,确保用户在系统中的惟一性,可辨认性,它由用户名和标识符ID来标明,属于公开的明码信息。 • 认证是对用户身份的真实性进行鉴别,认证信息不公开,难以仿造。
2.4.2.2 标记与访问控制 • 标记是实施强制访问控制的基础。系统应维护与主体及其控制的客体(进程、文件、设备、数据信息)相关的敏感标识。通过这些标识,把主、客体与一定的安全属性联系起来,并在系统运行的全过程起作用。而访问控制一是限制访问系统的人员(这在身份认证中已讲述);二是限制进入系统的用户所做的工作,这分为自主访问控制DAC和强制访问控制MAC两种技术。 • 访问控制目标与内容有:①保护被访问的客体;②对访问权限的确定,授予和实施;③在保证系统安全的前提下,最大限度地共享资源。 • 实施访问控制的安全原则是:①最小特权原则;②对存取访问的监督检查;③实体权限的时效性;④访问控制的可靠性;⑤存取权分离原则;⑥最小共享存取原则;⑦设计的安全性;⑧用户的承受能力和经济性。
2.4.2.3 客体安全重用 • 客体指存储信息的载体,而客体安全重用是指各种动态使用的资源(客体)在被释放前必须将其中的残留信息全部清除,以防敏感信息丢失,即清除一切痕迹。 • 要求系统确保已被删除或被释放的信息不再是可用的,并且新生成的客体确实不包含该客体以前的任何信息内容,包括有形的或无形的。 • 当某客体在释放资源时,同时清除其内存缓冲区;关闭文件后,清除磁盘缓冲区;通信结束,则清除通信缓冲区;为避免剩磁,所谓清除内存区域不是清0,而是写入随机数等。
2.4.2.4 审计 • 审计要能识别、记录、存储、分析与安全相关的活动和有关的信息;要确保可查性;要减少系统开销,有安全方便的操作界面。审计的信息可用来检测、判断发生了哪些活动,以及这些活动由哪个用户负责。 • 审计内容包括: ①安全审计的自动响应, ②安全审计数据的产生, ③安全审计分析, ④安全审计查阅 ⑤安全审计事件选择, ⑥安全审计事件存储,创建并维护安全的审计跟踪记录。
2.4.2.5 数据完整性技术 • 数据完整性技术包含存储数据完整性、传输数据完整性和处理数据完整性三方面。 • 存储数据完整性是对以文件形式或以数据库形式存放在计算机系统中的数据进行完整性保护,使其不因内部的/外部的原因遭到不应有的破坏;以及进行完整性监测(读写时利用校验码)及其遭到破坏时,应采取冗余和纠错措施。 • 传输数据完整性的含义与存储数据完整性类似,其方法是检测数据是否被篡改(校验码)、其纠错方法一般为重传方法。 • 处理数据完整性的主要技术有两阶段: 提交方法和复制服务器方法
2.4.2.6 密码技术 • 密码体制分对称密钥密码体制和非对称密钥密码体制,也可分序列密码体制和分组密码体制。 • 评价密码体制优劣的标准是密码安全性和保密性、用户使用方便性、加/解密算法效率、密钥生成与管理简便性等。 • 常用的密码技术有分组密码系统DES,公钥密码系统RSA,椭圆曲线密码系统ECC和背包公钥密码系统等。
2.4.2.7 防火墙技术 • 防火墙技术的作用是隔离,用粗粒度的访问控制方法以控制不安全服务,控制访问网点,实现集中安全性控制,以达到保护信息的目的。 • 防火墙的组成: ① 网络安全策略 ② 验证工具 ③ 包过滤 ④ 应用网关 ⑤ 电路层网关 ⑥ 规则检查 • 防火墙分为分组过滤防火墙、双宿网关Dual-humed防火墙、甄别主机Screened host防火墙和甄别子网Screened Subnet防火墙等。
2.4.2.8 入侵攻击 • 入侵是非法用户(黑客)恶意地攻击未经授权的计算机及网络信息系统的一种破坏性行为。 • 常见的攻击及其防护方法: ① 可用加密、标识和认证等技术来对付口令攻击;②IP欺骗——放弃以地址为基础的验证及信任策略,其防护方法是不使用R*类的远程调用命令,进行包过滤和加密,使用随机化的初始序列号等。 ③ 对于BACK Orifice-特洛伊木马攻击,可监视UDP31337端口或注册表,发现时即删除之;④对缓冲器溢出及非法shell,可强制写正确代码(如Linux在堆栈段中放置执行代码),数组边界、程序指针作完整性检查等。 ⑤ 对分布式拒绝服务,可要求ISP协助合作,优化路由和网络结构,优化对外开放的主机(多IP主机),确保主机是安全的,周期审计系统,检查文件完整性等。
2.5 安全管理 • 安全管理是确保计算机网络信息系统安全的非“技术”的技术,体现以人为本。它包含制度和教育两方面的内容。 • 安全管理的目的是阻止非法用户进入,减少受破坏可能性;快速检测非法行为,迅速测定非法入口位置;审计追踪;以最大限度减少损失,并促进系统恢复;能有效监控破坏者的每个操作,以便抓获之,使罪犯最终受到应有惩罚。 • 安全管理涉及硬件、软件和政策等,应综合考虑安全立法、安全教育、职员安全筛选和综合管理等,设置安全管理中心,实施统一分层和统一管理。 • 为此,必须建立和完善安全立法、职员安全筛选,建立安全管理中心,从行政、安全、人员等方面加强管理和审计。
