《《数据库引论》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《数据库引论》PPT课件.ppt(62页珍藏版)》请在三一办公上搜索。
1、信息系统安全教程课件,主讲:陈力单位:管理信息系统系电子邮件:,信息系统安全教程 张基温著,基本内容,引论数据保密认证数据认证、身份认证访问控制入侵与攻击网络防卫安全管理,引 论,信息系统安全风险信息系统安全概念信息系统安全体系,0.1 信息系统风险,系统风险是指系统遭受意外损失的可能性,它主要来自系统可能遭受的各种威胁、系统本身的脆弱性以及系统对于威胁的失策。,信息,已经有多种的解释认识论:把信息看作不确定性的减少或传递中的知识差(degree of knowledge)哲学界:信息是以传递知识差的形式来减少不确定性、增加系统有序度的资源。,0.1.1 信息系统及其重要性,信息系统,信息系统
2、就是一种减少不确定性、减少风险的工具。信息系统就是一种开发信息资源的工具,是信息以及用于信息的采集、传输、存储、管理、检索和利用等工具的有机整体。,0.1.2 信息系统安全的威胁,信息系统安全威胁(thread)是指对于信息系统的组成要素及其功能造成某种损害的潜在可能。,按照威胁的来源分类,(1)自然灾害威胁(2)滥用性威胁(3)有意人为威胁,按照作用对象分类,(1)针对信息的威胁机密性(confidentiality)完整性(integrity)可用性(availability)真实性(authenticity)因此,针对信息(资源)的威胁可以归结为三类:信息破坏:非法取得信息的使用权,删除
3、、修改、插入、恶意添加或重发某些数据,以影响信息正常用户的正常使用。信息泄密:故意或偶然地非法侦收、截获、分析某些信息系统中的信息,造成系统数据泄密。假冒或否认:假冒某一可信任方进行通信或者对发送的数据事后予以否认。(2)针对系统的威胁包括对系统硬件的威胁和对系统软件的威胁。,按照方法的分类,(1)信息泄露在传输中被利用电磁辐射或搭接线路的方式窃取;授权者向未授权者泄露存储设备被盗窃或盗用;未授权者利用特定的工具捕获网络中的数据流量、流向、数据长度等数据进行分析,从中获取敏感信息。(2)扫描(scan)扫描是利用特定的软件工具向目标发送特制的数据包,对响应进行分析,以了解目标网络或主机的特征。
4、(3)入侵(intrusion)旁路控制假冒口令破解合法用户的非授权访问,(4)拒绝服务(denial of service,DoS)DoS指系统的可用性因服务中断而遭到破坏。DoS攻击常常通过用户进程消耗过多的系统资源造成系统阻塞或瘫痪。(5)抵赖(否认)发方事后否认自己曾经发送过的某些消息;收方事后否认自己曾经收到过的某些消息;发方事后否认自己曾经发送过的某些消息的内容;收方事后否认自己曾经收到过的某些消息的内容。(6)滥用(misuse)传播恶意代码 复制/重放 发布或传播不良信息,按照方法的分类,0.1.3 信息系统安全的脆弱性,信息系统脆弱性的根源,(1)基于信息属性的本源性脆弱,(
5、2)基于系统复杂性的结构性脆弱,(3)基于攻防不对称性的普通性脆弱,基于信息属性的本源性脆弱,依附性和多质性:依附于物质及其运动过程,随着它所依附的物质及其运动方式的不同,形成信息的多媒体性质多质性。非消耗性:不像物质和能量那样会在传输、存储和使用中被消耗。可共享性/可重用性:信息不像物质和能量那样具有独占性,它容易被复制、被共享。聚变性和增值性:信息对于不确定性的减少,具有1+1不等于2的性质,即多个相关信息一起作用可能会大于(也可能小于)单个信息被分别获取所起的作用,而且在信息的使用过程中,不仅不会被消耗,还会被增值,形成消除更多不确定性的信息。易伪性:由于多质性,使信息很容易被伪造、被篡
6、改、被破坏。,基于系统复杂性的结构性脆弱,新技术的应用,使信息系统不断趋于复杂。信息系统除了技术上的复杂性外,功能的扩充和需求的扩展,使其规模也越来越大。这就是人们常说的80%的人只使用其中20%的功能。一般说来,系统规模越大、越复杂,设计、建造和管理的难度就越大,所包含漏洞就越多,系统就越脆弱。例如,一个Windows操作系统,尽管推出已经有许多年之久,但其漏洞还不断被发现。信息技术、信息安全是一个多种要素的复杂集成,是一种“互动关联性”很强的安全。按照木通原理,整体的脆弱性等于最薄弱处和最薄弱时刻的脆弱性,只要有一处存在安全隐患,系统就存在安全隐患;只要有1%的不安全,就等于100%的不安
7、全;只要某个时刻表现出脆弱,系统就是全程的脆弱。,基于攻防不对称性的普通性脆弱,攻击可以在任意时刻发起,防御必须随时警惕;攻击可以选择一个薄弱点进行,防御必须全线设防;攻击包含了对未知缺陷的探测,防御只能对已知的攻击防御;攻击常在暗处,具隐蔽性,防御常在明处,表面看起来完美,使人容易疏忽,丧失警惕;攻击可以肆意进行,防御必须遵循一定的规则。,基于网络的开放和数据库共享的应用性脆弱,现代信息系统是基于信息处理和信息传输技术的。现代信息处理中重要的支撑技术是数据库技术,现代通信技术的支撑是电磁通信和计算机网络。而数据库的共享性、电磁通信的易攻击性和计算机网络的开放性,都使信息系统显得非常脆弱。,信
8、息系统脆弱性的表现,(1)芯片的安全脆弱性(2)操作系统安全漏洞下面列举操作系统脆弱性的一些共性:后门式漏洞。“补丁”式漏洞。远程创建进程式漏洞。,(3)数据库安全的脆弱性 例如:数据库中存放着大量数据。数据库数据的共享性可能导致一个用户对数据的修改影响了其他用户的正常使用。数据库不保存历史数据,一个数据被修改,旧值就被破坏 联机数据库可以被多用户共享,可能会造成多个用户操作而使数据的完整性破坏。(4)计算机网络的安全脆弱性 传输中脆弱性,如电磁辐射、串音干扰、线路窃听等。网络体系结构的开放性脆弱。网络服务的安全脆弱性。,信息系统脆弱性的表现,0.2 信息系统安全概念,0.2.1 基于通信保密
9、的信息系统安全概念0.2.2 基于信息系统防护的信息系统安全概念0.2.3 基于信息保障的信息系统安全概念,0.2.1 基于通信保密的信息系统安全概念,早期的信息保密2.计算机时代的信息保密,Enigma 加密机,基于信息系统防护的信息系统安全概念,具体目标:系统保护:对设施或技术系统的可靠性、完整性和可用性保护;信息内容保护:保护系统中数据的机密性、完整性、可用性。这个概念的形成经历了两个阶段:计算机安全 这一时代的标志是1970年美国国防科学委员会提出,并于1985年12月美国国防部(DoD)公布的可信计算机系统评价准则(TCSEC,橘皮书)。它将计算机的安全分为 4 个方面(安全策略、可
10、说明性、安全保障和文档)、7 个等级(D、C1、C2、B1、B2、B3、A1)。A1级别最高。,计算机网络安全 由于20世纪90年代因特网的发展,网络成为了计算机应用的重要形式。计算机网络面临的威胁从程度上、范围上都大大超过了单机时代,例如恶意代码、各种非法入侵、不良信息的传播等。于是“网络安全”一词开始被广泛采用,它强调在整个信息系统中,计算机网络是保护的关键部位,保护了计算机网络的安全,信息系统的主要安全问题就可以解决。这个时期的标志是“9.11”事件发生后,布什总统于2001年10月16日签署并发布的13231号行政命令-信息时代的关键基础设施保护和2002年9月18日出台的网络安全国家
11、战略。,0.2.3 基于信息保障的信息系统安全概念,信息保障(InformationAssurace)的概念最初是由美国国防部长办公室提出来的后被写入命令DoDDirectiveS-3600.1InformationOperation中,在1996年12月9日以国防部的名义发表,将信息安全的属性从过去的保密性、完整性、可用性,又增添了可验证性和不可否认性。但是,信息保障的思想应该说在这个命令的前一年,即1995年12月美国国防部提出的 PDR 模型中就已经体现出来了。,可以说,信息保障的概念也是在 PDR(protection detection response,防护检测响应)模型的不断完善
12、中发展的。从被动防御走向主动防御从静态防御走向动态防御从技术与管理分离到技术与管理融合,PDRR 模型防护(Protect)、检测(Detect)、响应(React)、恢复(Restore),从被动到主动防御,模型,PDRR模型,日本阪神大地震,美国911事件,从静态防御走向动态防御,信息系统本身充满了动态性:信息系统的需求是动态的;安全漏洞具有动态性:网络设备和应用系统在设计开发过程中必然会存在某些缺陷和漏洞,新的系统部件也会引入新的问题。系统建设是动态的,新应用、新产品不断出现,设备、应用系统和操作系统平台的不断升级和复杂化。网络拓扑是动态的:在网络的运行中,用户和拓扑是动态变化的。网络上
13、的各种威胁也是动态的。因此要求系统防护也是动态的。,时间是量化的,可以被计算。t 是系统整体防护时间;Dt 是检测时间;Rt 是系统响应时间,再引入 Et=暴露时间,则可以得到如下关系 如果 Pt Dt+Rt,那么 系统是安全的;如果 Pt Dt+Rt,那么 Et=(Dt+Rt)Pt。,从技术与管理分离到技术与管理融合,PPDR模型,信息安全保障要依赖于人、技术和管理三者共同完成,通过提高系统的预警能力、保护能力、检测能力、反应能力和恢复能力,在信息和系统生命周期全过程的各个状态下提供适当的安全功能。其中,管理的作用是非常突出的。管理是PPDR模型的核心,是整个信息系统安全的依据,是所有的保护
14、、检测、响应的实施依据。强调安全策略的实质就是要充分考虑人的管理因素。,0.2.4 基于经济学的信息系统安全概念,对于信息系统安全来说,需要考虑如下三个与经济有关的问题:系统资产:需要保护系统的哪些资源?这些被保护的资源统称系统资产。资产损失:明确系统被攻击成功时遭受的损失。投入:确定为保护系统安全需要投入的资金。,1.资产,(1)物理资源(2)信息资源(3)时间资源(4)人力资源(5)信誉(形象)资源,2.资产损失,3 种情形:(1)一时性损失。如系统死机、人员不能工作、处理时间拖延等。(2)长期恢复损失。如信息资源的重新配置等,需要一定的时间。(3)潜在损失。,损失内容:(1)资金损失:生
15、产力损失;直接损失的设备和资金;调查成本;修复或更换设备付出的成本;专家咨询成本;员工加班的报酬等。(2)形象损失(3)业务损失(4)人员流失。,3.安全投资,安全强度,安全强度,(a)安全投入与侵入可能性的折中(b)平衡点的变化,4.适度的安全,适度的安全包含了如下 3 个安全概念:(1)不够安全:安全投入小于所减少的损失。(2)适度安全:安全投入等于所减少的损失。(3)过分安全:安全投入大于所减少的损失。,0.3 信息系统安全体系,0.3.1 OSI 信息系统安全体系结构概述,定义:信息系统安全体系是一个能为所保障对象提供可用性、机密性、完整性、不可抵赖性、可授权性的可持续系统。机制:(1
16、)风险分析(Risk)(2)安全防护(Protect)(3)安全检测(Detect)(4)测试与评估(Test and Evaluate)(5)应急响应(React)(6)恢复(Restore),0.3.2 OSI安全体系的安全服务,1.认证服务通信的对等实体鉴别服务:使N+1层实体确信某一时刻与之建立连接或进行数据传输的是它需要的一个或多个N层实体。数据原发鉴别:使N+1层实体确信接收到的数据单元的来源是自己要求的。2.访问控制服务 建立用户(主体)与资源(客体)之间的访问关系(如读、写、删除、运行等),防止对某一资源的非授权使用。,3.机密性服务 连接机密性保护:保证一次()连接上的全部(
17、)用户数据都保护起来不使非授权泄露。无连接机密性保护:为单个无连接的层服务数据单元(N-SDU)中的全部N用户数据提供机密性保护。选择字段机密性保护:仅对处于N连接的用户数据或无连接的N-SDU中所选择的字段提供机密性保护。通信业务流机密性保护:提供机密性保护,并保护不能通过观察通信业务流推断出其中的机密信息。,0.3.2 OSI安全体系的安全服务,0.3.2 OSI安全体系的安全服务,4.完整性服务带恢复的连接完整性服务;不带恢复的连接完整性服务;选择字段连接完整性服务;无连接完整性服务;选择字段无连接完整性服务。5.抗抵赖服务有数据原发证明的抗抵赖:防止发送方抵赖;有数据交付证明的抗抵赖:
18、防止接收方抵赖。,OSI安全体系结构中的安全服务配置,0.3.3 OSI安全体系的特定安全机制,1.加密机制 能为数据提供机密性,也能为通信业务流信息提供机密性,通常采用密码、信息隐藏等方法实现2.数字签名机制 用以提供认证或抗抵赖服务,是基于密码体制的一种机制。3.访问控制机制数据机密性;数据完整性;可用性。,4.完整性保护机制 避免未授权的数据乱序、丢失、重放、插入以及篡改,具体技术有校验码(抗修改)、顺序号(防乱序)、时间标记(防重放、防丢失)等。5.通信业务流填充机制 通信业务流填充机制是一种用于提供业务流机密性保护的反分析机制,它可以生成伪造的通信实例、伪造的数据单元或/和数据单元中
19、伪造的数据,使攻击者难于从数据流量对通信业务进行分析。,0.3.3 OSI安全体系的特定安全机制,0.3.3 OSI安全体系的特定安全机制,6.路由选择控制机制:可以动态的或预定的选择路由,以便只使用物理上安全的子网络、中继站或链路。例如:当检测到持续的攻击时,便指示网络服务提供者经别的路由建立连接;依据安全策略,可以禁止带有某些安全标记的数据通过某些子网络、中继站或链路;连接的发起者或无连接中数据的发送者,可以指定路由选择说明,以请求回避某些特定的子网络、中继站或链路。7.公证机制 仲裁方式和判决方式。,8.鉴别交换机制 鉴别信息:如口令、生物信息、身份卡等;密码技术。鉴别技术的选用取决于使
20、用环境。在许多场合下,还必须附加一些其他技术。如:时间标记与同步时钟;二次握手(对应单方鉴别)或三次握手(对应双方鉴别);抗否认机制:数字签名和公证机制。,0.3.3 OSI安全体系的特定安全机制,OSI安全服务与安全机制之间的关系,0.3.4 OSI安全体系的普遍性安全机制(1),1.安全标记机制显式的:校验码等与传送数据相连的附加数据。隐含的:加密数据中隐含着密钥约束。2.事件检测机制 指对那些与安全有关的事件进行检测。例如:对于特定安全侵害事件、特定选择事件、对事件发生次数计数溢出等的检测。这些检测,一般要引起一个或多个动作,如对事件的报告、记录以及恢复等。,3.安全审计跟踪机制 记录可
21、疑事件(可以产生一个安全报警);记录许多日常事件(如连接的建立和终止、使用安全机制和访问敏感资源等);将事件消息传递给维护日志;为检查和调查安全的漏洞提供资料;通过列举被记录的安全事件类型,对某些潜在的攻击起威慑作用。,0.3.4 OSI安全体系的普遍性安全机制(1),0.3.4 OSI安全体系的普遍性安全机制(2),4.安全恢复机制立即动作:立即放弃操作(如断开连接);暂时动作:使实体暂时无效(如关闭);长期动作:把实体列入黑名单等。5.可信功能机制 可信功能机制具有如下一些作用:延伸其他安全机制的范围或所建立的有效性。因为直接提供的安全机制或安全访问机制的任意功能都应当是可信的。提供对某些
22、硬件和软件可信赖性的保证。,0.3.5 信息系统的安全管理,1.安全策略 安全策略(security policy)是在一个特定的环境(安全区域)里,为保证提供一定级别的安全保护所必须遵循的一系列条例、规则。2.安全管理活动3.信息系统安全管理的原则4.信息系统的安全标准 标准是衡量、评估、评测的准则。5.信息系统安全立法 法律是由国家政权保证执行的行为规范。,安全策略,(1)对系统安全的定义、总体目标和保护范围。(2)支持安全目标和原则的管理意向声明。(3)对于安全政策、原则、标准和要求的简要解释,例如:符合立法和契约的规定;安全教育的要求;对于攻击的预防和检测;持续运行管理;违反安全策略的
23、后果等。(4)安全管理的总体定义,具体权责要求等。(5)有关支持政策的文献援引,例如适用于具体信息系统的较为详细的安全政策、流程或使用者应当遵循的安全条例等。,安全管理活动(1),(1)安全服务管理为该安全服务确定和指派安全保护目标;为该安全服务选择特定的安全机制;对需要事先取得管理者同意的可用安全机制进行协商;通过适当的安全机制管理功能调用特定安全机制。(2)安全机制管理安全机制管理是对各项安全机制的功能、参数和协议的管理。(3)安全事件处理管理报告包括远程的明显违反系统安全的企图;确定和修订触发安全事件报告的阈值。(4)安全审计管理收集、记录安全事件;授予或取消对所选用事件进行审计跟踪(记
24、录、调查)的能力;准备安全审计报告。,安全管理活动(2),(5)安全恢复管理制定并维护安全事故的恢复计划、操作规程和细则;提出完备的安全恢复报告。(6)安全行政管理建立专门的安全管理机构;建立完善的安全管理制度;配备专门安全管理人员,并进行培训、考察、评价等管理。(7)系统安全管理管理总体安全策略,维护其一致性;依据系统总体安全策略,在系统中建立不同等级的安全管理信息库(SMIB),以存储与系统安全有关的全部信息;维护安全管理协议,保证安全服务管理和安全机制管理之间的正常交互功能。,信息系统安全的防御原则,(1)木桶原则(2)成本效率原则(3)可扩展性原则(4)分权制衡原则(5)最小特权原则(
25、6)失效保护原则(7)公开揭露原则(8)立足国内原则(9)可评估原则,信息系统的安全标准,(1)针对信息系统(包括产品)的安全性评测准则(2)针对使用信息系统的组织的安全管理标准(3)针对不同安全产品的互操作性的互操作标准,针对信息系统(包括产品)的 安全性评测准则,美国国防部的可信计算机系统评估准则(Trusted Computer System Evaluation Criteria,TCSEC,1983),也称桔皮书。这是IT历史上第一个安全评估标准。这个安全测试标准的建立旨在:确保用户的信息安全、为系统集成供应商提供指导、为信息安全提供一个标准。这一标准将安全分为四个等级:D到A1。每
26、一级都是在上一级基础上添加新的条件。安全等级D最低,依次为:C1(任意安全保护),C2(受约束访问安全保护),B1(标签安全保护),B2(结构保护),B3(安全域),A1(校验设计)。共七个等级,A1等级最高。,欧洲(英、德、法、荷四国)的信息技术安全性评估准则(Information Technology Security Evaluation Criteria,ITSEC,1990),也称白皮书。加拿大的可信计算机产品评估准则3.30(CTCPEC 3.0,1992.4),将安全需求分为4个层次:机密性、完整性、可靠性和可说明性。,六国七方(英国、加拿大、法国、德国、荷兰、美国家安全局和美
27、国标准技术研究所)的信息技术安全评估通用标准(Common Criteria of Information Technical Security Evaluation,CCITSE),简称CC,是在TCSEC基础上的改进,从对操作系统评估扩充到信息技术产品和系统。ISO/IEC 21827:2002,信息安全工程能力成熟度模型(System Secrrity Engineering Capability Maturity Model,SSE-CMM),是一个关于信息安全建设工程实施方面的标准,通常用过程改善、能力评估和保证三种方式应用。中华人民共和国国家标准GB17895-1999计算机信息系
28、统安全保护等级划分准则,将计算机信息系统安全保护能力划分为5个等级,于2001年1月1日起实施。,针对信息系统(包括产品)的 安全性评测准则,针对使用信息系统的组织 的安全管理标准,ISO/IEC 17799:2000信息技术 信息安全管理实用规则,从信息安全策略、组织的安全、资产分类和管理、人员安全、物理和环境安全、通信和操作管理、访问控制、系统开发和维护、业务连续性管理、符合性等10个方面介绍了36个信息安全控制目标以及实现这些目标的127个控制措施。基于信息安全管理体系(ISMS)的标准。如:风险评估标准ISO/IEC TR 13335-3IT安全管理指南(GMITS),管理体系标准IS
29、O 9001:2000、ISO 14000、BS 7799-2:2002、ISO Guide 72和73等。中国的计算机信息系统安全保护条例、计算机信息系统安全等级保护管理要求等。,针对不同安全产品 的互操作标准,加密标准 DES;安全电子邮件标准 SMIME;安全电子商务标准 SET。,信息系统安全立法,中华人民共和国计算机信息系统安全保护条例(1994年2月18日国务院令第147号)。计算机信息网络国际联网安全保护管理办法(公安部1997年12月30日发布)。中华人民共和国刑法(1997年3月14日八届人大五次会议通过)。全国人民代表大会常务委员会关于维护互联网安全的决定(2000年12月28日九届全国人大常务委员会第十九次会议表决通过)。计算机病毒防治管理办法(公安部2000年4月26日发布执行)。,计算机信息系统国际联网保密管理规定(国家保密局发布2000年1月1日起执行)。互联网电子公告服务管理规定(2000年10月8日中华人民共和国信息产业部第三号令)。计算机软件保护条例(2001你那2月20日国务院令第339号)。中华人民共和国电子签名法(2004年8月28日第十届全国人民代表大会常务委员会第十一次会议通过,2005年4月1日执行)。互联网著作权行政保护办法(国家版权局、信息产业部2005年4月30日共同颁布,5月30日起执行)。,信息系统安全立法,
