第一章信息安全工程

信息安全工程与管理第1章信息安全工程背景介绍背景介绍“泄密门”提示人们：在互联网时代，网络安全意识应该像日常交通安全意识一样作为常识被确立……密码泄露危机暴露个人信息保护短板2011年12月21日，国内最大的程序员社区CSDN上600万用户资料被公开，同时黑客公布的文件中包含有用户的邮箱账号和密码。随后，密码泄露事件开始大范围发酵。据传，天涯社区、开心网、世纪佳缘、百合网、美空网等网站的“密码集”也先后出现在网络上，涉及用户资料达5000万之上，受影响的网站预计达数十家。尽管数据并没有得到相关网站的官方证实，不过，来自奇虎360的最新监测发现，目前网上公开暴露的网络账户密码超过1亿个。对此，专家建议用户在不同网站设置不同密码，并避免网站注册密码与邮箱密码相同，以更好地保证个人隐私。黑客攻击猖獗网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒后门、隐蔽通道蠕虫网络欺诈的实施过程非法网站8信息为什么不安全信息需要存储...信息需要共享...信息需要使用...信息需要交换...信息需要传输...广义地说，信息就是消息。信息可以被交流、存储和使用。信息（information）是经过加工（获取、推理、分析、计算、存储等）的特定形式数据，是物质运动规律的总和。什么是信息(Information)？信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。什么是信息安全(InformationSecurity)？信息安全涉及的知识领域信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。传统方式下的信息安全复制品与原件存在不同对原始文件的修改总是会留下痕迹模仿的签名与原始的签名有差异用铅封来防止文件在传送中被非法阅读或篡改用保险柜来防止文件在保管中被盗窃、毁坏、非法阅读或篡改用签名或者图章来表明文件的真实性和有效性信息安全依赖于物理手段与行政管理数字世界中的信息安全复制后的文件跟原始文件没有差别对原始文件的修改可以不留下痕迹无法象传统方式一样在文件上直接签名或盖章不能用传统的铅封来防止文件在传送中被非法阅读或篡改难以用类似于传统的保险柜来防止文件在保管中被盗窃、毁坏、非法阅读或篡改信息社会更加依赖于信息，信息的泄密、毁坏所产生的后果更严重信息安全无法完全依靠物理手段和行政管理信息安全的发展历史信息安全的发展经历了如下几个阶段：古典信息安全辐射安全计算机安全网络安全信息安全安全性攻击被动攻击攻击者在未被授权的情况下，非法获取信息或数据文件，但不对数据信息作任何修改搭线监听、无线截获、其他截获、流量分析破坏了信息的机密性主动攻击包括对数据流进行篡改或伪造伪装、重放、消息篡改，破坏了信息的完整性拒绝服务，破坏了信息系统的可用性信息安全的目标机密性：Confidentiality，指保证信息不被非授权访问。完整性：Integrity，指信息在生成、传输、存储和使用过程中不应被第三方篡改。可用性：Availability，指授权用户可以根据需要随时访问所需信息。其它信息安全性质可靠性：是指系统在规定条件下和规定时间内、完成规定功能的概率。不可抵赖性：也称作抗否认性，是面向通信双方（人、实体或进程）信息真实统一的安全要求，它包括收、发双方均不可抵赖。可审查性：使用审计、监控、防抵赖等安全机制，使得使用者（包括合法用户、攻击者、破坏者、抵赖者）的行为有证可查，并能够对网络出现的安全问题提供调查依据和手段。可控性：是对信息及信息系统实施安全监控。管理机构对危害国家信息的来往、使用加密手段从事非法的通信活动等进行监视审计，对信息的传播及内容具有控制能力。信息与网络安全的目标进不来拿不走看不懂改不了跑不了信息安全的研究内容信息安全的研究范围非常广泛，其领域划分成三个层次信息安全基础理论研究信息安全应用技术研究信息安全管理研究信息安全基础研究密码理论数据加密算法消息认证算法数字签名算法密钥管理安全理论身份认证、授权和访问控制、安全审计和安全协议信息安全应用研究安全技术防火墙技术、漏洞扫描和分析、入侵检测、防病毒等。平台安全物理安全、网络安全、系统安全、数据安全、用户安全和边界安全。信息安全管理研究安全策略研究包括安全风险评估、安全代价评估、安全机制的制定以及安全措施的实施和管理等。安全标准研究主要内容包括安全等级划分、安全技术操作标准、安全体系结构标准、安全产品测评标准和安全工程实施标准等。安全测评研究主要内容有测评模型、测评方法、测评工具、测评规程等。第1章信息安全工程1.1信息安全的概念1.2信息安全保障体系1.3信息安全保障与信息安全工程本章小结1948年，美国贝尔实验室数学研究员、信息论的奠基人克劳德·香农(ClaudeElwoodShannon，1916—2001)，在题为《通信的数学理论》的一篇论文中，给出了信息的数学定义，认为“信息是能够用来消除随机不确定性的东西”。同年，美国著名数学家、控制论的创始人诺伯特·维纳(NorbertWiener，1894—1964)在《控制论》一书中指出，“信息就是信息，既非物质，也非能量”。1.1信息安全的概念信息的实质是通过信号、指令等实现对物质和能量的调节与控制。信息安全已成为国家安全、社会安全和人民生活安全的重要组成部分。1.1.1信息安全的基本范畴信息安全的基本范畴，包括1、信息资源2、信息价值3、信息作用4、信息损失5、信息载体6、信息环境等。信息安全工程研究如何建立能够面对错误、攻击和灾难的可靠信息系统。1.1.2信息安全工程的概念一般认为，软件工程是要保证某些事情能够发生(如“能提供pdf格式文档的报表输出功能”)，而安全工程是要确保某些事情不能发生(如“要提供pdf格式文档的防拷贝功能”)。为了更好地理解信息系统安全工程的需求、隐患、方法，及其工程化概念，首先来了解以下三个领域的信息系统实例：银行、机场、家庭。例一：银行目前的核心银行系统，都是以客户为中心，进行帐务处理、满足综合柜员制、并提供24小时服务的核心银行业务系统。提供的服务按照服务对象的不同，可分为二大类。第一类，服务对象为银行客户，提供的服务包括存款、贷款、结算、代理等。第二类，服务对象为银行自己，提供的服务包括网点/柜员管理、总账、内部账、现金、凭证、报表等。技术实现对于不同技术平台的选择，决定了不同的技术实现。目前有二种比较成熟的技术实现。（大型机采用的技术实现未列出）OS/400：配套硬件为IBM的小型机AS/400，软件使用RPG等语言开发，数据库使用OS/400集成的DB2。AIX/HP-UX：配套硬件选择余地较大，可选择IBMAIX服务器，或HP服务器。采用C语言进行开发。数据库可选。因为业务的需要，银行需要运行大量的对安全要求很苛刻的计算机系统。银行信息系统包括银行综合业务系统、银行渠道系统、网上银行系统、跨行支持系统、中国银联支持系统等。在中国，通过中国国家金融通信网络(CNFN，ChinaNationalFinancialNetwork)将中央银行、各商业银行和其他金融机构连接在一起，构成全国性的金融专用网络系统。(1)银行业务的核心是记账系统。它保存客户的主账目信息和记录每日业务的分类账目。由于该系统一般由银行员工进行操作，要求遵守相应的法律、规章制度和操作程序等，因此，对该系统的威胁主要来自银行内部员工利用职务便利和系统漏洞进行的违法犯罪行为。例如，冒用客户身份的信用卡诈骗、伪造并使用伪造的银行票据等；当然也包括银行员工无意的操作失误、违反规定的越权操作行为，如每次借贷记录的正负数字不匹配、大额转账的私自认可等。所以，对于银行记账系统，要求有账户及操作权限控制策略、异常交易监控及报警系统、严格的银行内部网络访问控制规章制度等。(2)银行ATM机是安全与方便的“博弈”。不管是在行式，还是离行式，ATM机都大大方便了客户自行进行账户资金的处理，但同时也经常出现漏洞和异常，例如，账户信息被偷窃、异常吞卡或吐钞、网络故障造成的服务异常中断、网络通信中的信息泄露等。因此，这就要求有高强度的ATM与银行的通讯信息加密系统、客户身份认证系统、服务异常的应急响应系统、客户行为记录与取证系统等的安全支持。(3)大部分银行都有保险箱的金融保障服务，但也存在一些突出的安全问题，如在硬件老化、设备配置不足、软硬件功能存在缺陷的情况下，可能诱发内部员工作案的动机或使外部盗窃有机可乘，导致客户财物失窃、毁损，同时银行还可能面临商业信誉下降、客户提出巨额赔偿等。因此，应该整体规划，优化保险箱系统，加强报警系统安全防护能力，加密监控信息防伪造功能，增加系统稽核功能和预警功能，提高安保人员素质，增加异地监控等。(4)由于技术发展和扩展业务的需要，目前“网上银行”发展迅速，客户足不出户就能够便捷地管理存款、支票、信用卡及进行个人投资等非现金交易。网上银行使银行内部网络向互联网敞开了大门。网上银行系统的安全关系到银行内部整个金融网络的安全，应当防止黑客攻击网络修改记账系统，要求设立防火墙来隔离相关网络，采用高安全级的Web应用服务器，24小时实时安全监控，进行有身份识别的CA认证，实施网络通讯的安全加密，进行用户证书的安全管理和网络银行个人认证介质的管理等。参考：人民银行的描述重大应用系统业务工作的连续可用性业务工作责任的不可否认性业务数据和信息的真实完整性涉及国际秘密和行业敏感信息的保密性什么人、可以访问什么资源、有什么权限、以及控制授权范围内的信息流向及行为方式等的可控性人行信息安全保障体系框架中国人民银行科技司于2002年9月至12月组织了《中国人民银行信息安全保障体系框架》的研究编写。人行框架的主要内容3个战略阶段规范加强、集中整合、综合保障6项任务保边、护线、强内、应急、规范、严管5个能力预警、保护、检测与评估、应急响应、灾难恢复基本策略适度集中、控制风险突出重点、分级保护统筹规划、分步实施人民银行信息系统网络结构人民银行信息系统网络规划为涉密网、业务网和互联网三大类，即总体安全框架“三纵三横两平台一端”中“三纵”所指的内容。如图所示：涉密网(涉密信息传输)业务网内联网金融卫星网支付清算网第三方网络商业银行政府机构物理隔离Internet(公众信息服务等)逻辑隔离本《框架》所称涉密网，是指连接总行、分行和省会／首府中心支行，专门用于国家秘密信息和人民银行内部涉密公文的传输，严格按照国家有关部门要求运行管理的网络系统及其承载业务，该网与业务网和互联网物理隔离。本《框架》所称互联网，是指人民银行面向社会或为内部工作人员提供相关服务的网络（如WEB服务，E-MAIL服务等），该网目前与人民银行业务网逻辑隔离。其管理按照人民银行办公厅有关对互联网管理要求执行。本《框架》所称业务网，指是人民银行绝大多数业务系统数据传输（如内部邮件、办公自动化、支付、会计、清算、国库、发行等）的承载平台。在物理上目前又分为内联网、支付业务专网、金融卫星网、外汇业务网相对独立的网络。人民银行信息系统网络结构（续）人民银行“三三二一”总体技术框架人民银行信息安全分层逻辑模型例二：机场当地时间2011年1月24日16时32分，俄罗斯莫斯科多莫杰多沃机场抵达大厅内发生自杀式炸弹爆炸，造成35人死亡，130余人受伤。而据美国合众国际社报道，美国政府2011年7月13日发布的两篇报告中显示，过去10年间，美国机场共出现超过25 000个安全漏洞。(1)安检与旅客隐私的冲突。很多安全漏洞是安检时没有执行系统扫描或扫描错误等造成的。采用“全身扫描安检技术”，如果使用得当，可以提高机场的安检水平，但同时该技术会显露旅客的身体轮廓，过于侵犯个人隐私。因此，人们都在期待第二代“人体扫描仪”，该信息检测系统平时只显示黑屏，只在