信息系统安全学习笔记

一绪论基本概念：信息系统安全：重点关注信息安全和信息系统安全的区别信息系统安全的三个角度：基于通信保密、基于系统防护、基于信息保障信息系统安全的构成要素信息系统面临的安全威胁信息系统自身的脆弱性基本原理：信息系统的架构模型信息系统安全体系信息系统：是提供数据密集型用途的硬件和软件信息系统的构成要素|--主体包括各类用户、支持人员以及技术管理和行政管理人员，人既是管理者，也是被管|理者|--客体以计算机、网络互联设备、传输介质、信息内容及其操作系统、通信|协议和应用程序所构成的物理的、逻辑的完整体系是被管理、被控制的对象|--环境系统稳定、可靠运行所需的保障体系，包括建筑物、机房、动力保障与备份及应急恢复体系系统风险主要来自|--系统可能遭受的各种威胁是指对于信息系统的组成要素及其功能造成某种损害的潜在可能。按照来源：1自然灾害威胁2滥用性威胁3有意人为威胁按照作用对象--|--针对信息信息破坏信息泄密假冒或否认|--针对系统对硬件和软件按照手段：信息泄露,入侵,抵赖,扫描,拒绝服务攻击,滥用|--系统本身的脆弱性基于信息属性的本源性脆弱(依附性和多质性,非消耗性,可共享性/可重用性,聚变性和增殖性,易伪性)基于系统复杂性的结构性脆弱基于攻防不对称性的普通性脆弱基于网络的开放和数据库共享的应用性脆弱|--系统对于威胁的失策信息系统脆弱性的表现|--硬件组件多来源于设计，主要表现为物理安全方面问题。|--软件组件|--网络和通信协议TCP/IP协议族本身的缺陷（缺乏对用户身份的鉴别，缺乏对路由协议的鉴别认证，TCP/UDP的缺陷）信息系统安全的三个角度|--基于通信保密|--基于系统防护具体目标(系统保护&信息内容保护)|--基于信息保障PDRR（防护检测反应恢复）静态防御-动态防御Pt:ProtectiontimeDt:DetectiontimeRt:ResponsetimeDt+RtPt那么系统是安全的信息系统安全的目标进不来拿不走看不懂改不了跑不了【信息系统安全体系】信息系统安全体系ISSA是一个能为所保障对象提供的可用性、机密性、完整性、不可抵赖性、可授权性的可持续性的系统。|--技术体系(硬件、操作系统安全,密码算法、安全协议技术，AC，安全通信，身份识别，入侵检测，防火墙等)|--管理体系(安全目标确定，需求获取，风险评估，计划制定，实现)|--标准体系（评测准则：CC、17859等，管理标准）|--法律体系以法律法规作为安全目标和安全需求的依据；以标准规范体系作为检查、评估和测评的依据；以管理体系作为风险分析与控制的理论基础与处理框架；以技术体系作为风险控制的手段与安全管理的工具二物理安全概念，体系结构，国家标准，电磁泄漏途径，防止泄露方法物理安全的体系结构、内涵物理安全又叫实体安全，是保护计算机设备、设施免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施和过程。物理安全技术主要针对计算机及网络系统的环境、场地、设备和通信线路等采取的安全技术措施。体系结构|-介质安全--介质的安全介质的安全保管：防盗、防毁、防霉|--介质数据安全拷贝、防消磁、防丢失。|电磁战(目的是干拢敌方的信息联系、阻断信息沟通)|(热效应,射频干扰和“浪涌”效应,强电场效应,磁效应)|主动拒止系统（ADS）将电能转化为微波射向目标|防磁柜（防磁、防火、防盗）|U盘小偷(自动复制U盘内的所有内容)-防拷贝U盘方案|-设备安全--电磁泄漏(途径:辐射泄漏传导泄漏)-旁路攻击-电磁分析攻击(最有|效的旁路攻击技术之一)|用途：密码破解|抑制电磁信息泄漏的技术途径:[1.物理抑制2.电磁屏蔽3.噪声干扰]|-线路安全电缆加压技术:压力下降，意味电缆可能被破坏(简单且贵)|搭线窃听海底电缆窃听|光纤通信技术(光纤不可被搭线窃听，但是光纤的最大长度有限制，|长于这一长度的光纤系统必须定期地放大（复制）信号，而复制器是|安全薄弱环节)|-环境安全安全保卫技术;计算机机房的温度、湿度;计算机机房的用电安全技|术;计算机机房安全管理技术机房不要顶层&底层；|温度湿度洁净度，防火防水防盗|-电源安全供电系统安全（一类[不间断]二类[备用]三类[一般用户]）、防静电措施、接地与防雷要求电源调整器:隔离器滤波器稳压器电磁泄漏国家标准：(磁屏蔽室CBA级，C级最高)环境安全技术国家标准信息系统架构模型|--应用业务软件处于顶层，直接与用户或实体打交道|--应用平台软件处于中间层，在操作平台支撑下运行的，支持和管理|应用业务的软件|--操作平台软件处于基础层，维系着信息系统组件运行的平台|--硬件处于最底层，提供运行环境【信息系统安全】信息系统安全可理解为：与人、网络、环境有关的技术安全、结构安全和管理安全的总和，旨在确保在计算机网络系统中进行自动通信、处理和利用的、以电磁信号为主要形式的信息内容，在各个物理位置、逻辑区域、存储和传输介质中，始终具有可信性、机密性、完整性、可用性、和抗抵赖性等安全特质。三计算机系统的可靠性【可靠性定义】在规定的条件下、在给定的时间内，系统能实施应有功能的能力。【寿命】分布函数平均寿命E(x)=xf(x)dx硬件系统可靠性模型的分类：(平均寿命MTTF和MTBF)1.不可修系统MTTF(对不可维修的产品的平均寿命是指从开始投入工作，至产品失效的时间平均值。也称平均失效前时间，记以MTTF)2.可修系统MTBF(对可维修产品而言，其平均寿命是指两次故障间的时间平均值，称平均故障间隔时间，习惯称平均无故障工作时间MTBF)单位要统一10dteMTBFt(去看一眼MTBF的计算)_(:3」∠)_【可靠性】N个元器件；S(t)为系统运行至时刻t正常工作的元器件的总数；F(t)为时刻t时发生故障而失效的元器件的总数可靠性函数R(t)=S(t)/N（正常工作的元器件数占总元器件数的比例）R(t)是产品在时间[0,t]内不失效的概率不可靠性函数U(t)=1-R(t)=F(t)/N失效函数Z(t)系统中元器件失效的速率[入减小时可靠性提高]Z(t)的浴缸形曲线【R(t)和入的关系】当t=0时，R(0)=1当t=∞时，R(∞)=0【不可维修产品的可靠性指标】平均寿命平均无故障时间（MTTF）*同一失效率R部件串联系统失效率=R+R【可维修产品的维修性指标：可用性】可用性定义：MTBF/（MTBF+MTTR）*100%MTTR(可维护性平均维修时间)为系统保持正常运行时间的百分比，表示设备处于完好状态的概率【计算机系统可靠性的组成】硬件可靠性&软件可靠性描述硬件可靠性的模型[串联系统]系统由n个部件串联而成，任一部件失效就引起系统失效。1.系统的寿命是：X=min{X1，X2，…，Xn}2.系统的可靠度是：3.系统的失效率为：(是所有串联部件失效率之和)4.系统的平均寿命为：[并联系统]只有当这n个部件都失效时系统才失效。1.系统的寿命是：X=max{X1，X2，…，Xn}2.系统的可靠度是：3.系统的平均寿命为：并联零件数增加系统可靠性增加：[表决系统]n中取k的表决系统由n个部件组成，当n个部件中有k个或k个以上部件正常工作时，系统才能正常工作（1≤k≤n）。当失效的部件数大于或等于n-k+1时，系统失效。简记为k/n(G)系统。[冷贮备系统]冷贮备是指贮备的部件不失效也不劣化。系统n个部件，初始时刻，一个部件工作，n-1个作冷贮备。当工作部件失效时，存储部件逐个地去替换，直到所有部件都失效时，系统才失效。储备器长短对以后工作无影响。软件可靠性定义1、在规定的条件下、规定的时间内，软件不引起系统失效的概率。该概率是系统输入和系统使用的函数，也是软件中存在的错误的函数。2、在规定的时间周期内、在所述条件下，程序执行要求功能的能力。术语[失效强度]单位时间内，软件系统出现失效的概率。[失效率]当软件在0～t时刻内没有发生失效的条件下，t时刻软件系统的失效强度。软件可靠性模型旨在根据软件失效数据，通过建模给出软件的可靠性估计值或预测值。建模方法：软件可靠性解析模型对失效数据进行假设软件可靠性启发模型仅学习历史失效数据常见的软件可靠性模型|--失效时间间隔模型---是假定第i个失效到第i+1个失效间隔时间服从于某一分布或看做随机过程|--缺陷计数模型----------关心的是在特定的时间间隔内软件的错误数或失效数|--错误植入模型--------通过将一组已知的错误人为地植入到一个固有错误总数尚不清|楚的程序中，然后在程序的测试中观察并统计发现的植入错误数|和程序总的错误数，通过计数的比值估计程序的固有错误总数，|从而得到软件可靠度及其有关指标。|--基于输入域的模型---根据程序的使用情况，找出程序可能输入的概率分布，根据这种分布产生一个测试用例的集合。在输入域上随机抽取测试用例，执行相应的程序测试，观测故障，从而推断出各项指标。提高可靠性的途径两个方面一是尽量使系统在规定时间内少发生故障和错误；二是发生了故障能迅速排除。|--提高硬件可靠性a.减少元件数量简化结构b.避免片面追求高性能指标和过多的功能c.合理划分软硬件功能，能用软件实现则用软件实现d.热设计(软件失效与温度有关e.元器件引脚焊点等故障率较高的部分需要高度重视f.机械防震设计g.根据系统可能工作的环境进行防护设计h.抗干扰技术滤波、接地、屏蔽、隔离、设置干扰吸收网络及合理布线(三要素干扰源、传输途径及干扰对象)i.冗余技术(并联系统、备用系统和表决系统)|--提高软件可靠性|--采用系统信息管理软件，用软件进行系统调度|当发生故障时进行现场保护，迅速用备用装置代替故障装置；|在过负荷时采取应急措施；|在故障排除后使系统迅速恢复正常运行。|--编制诊断程序，及时发现故障并排除|--指令复执技术|(应能保留现行指令地址&所用数据，一旦发现错误就重新执行)|--输入输出软件抗干扰技术软件陷阱：捕捉“跑飞”的指令指针四计算机容错技术/排错避免故障\容错发生故障后能正确运行1【容错的概念】容忍故障，即故障一旦发生时能够自动检测出来并使系统能够自动恢复正常运行。当出现某些指定的硬件故障或软件错误时,程序不会因系统中的故障而中止或被修改。执行结果也不包含系统中故障所引起的差错。2容错技术发展概况3【容错技术的主要研究内容】--故障检测与诊断技术：故障检测：判断系统是否存在故障的过程（一般来说不能准确找到故障点）故障诊断：检测出故障后进行故障的定位，找出故障所在位置。--故障屏蔽技术防止系统中的故障在该系统的信息结构中产生差错的各种措施的总称。其实质是在故障效应达到模块的输出以前，利用冗余资源将故障影响掩盖起来，达到容错目的。--冗余技术(冗余就是超过系统实现正常功能的额外资源)|--硬件冗余技术--|--静态硬件冗余--三模冗余(常见)改进方法原理：三中取二；缺点：各不相同无法表决||--动态硬件冗余（正在工作的模块故障-切换到备用模块）||--混合冗余（动静结合）|--时间冗余技术-|--指令复执（重复执行故障指令，必须保留上一指令结束的现场）||--程序卷回（重复执行一段程序，一个个恢复点，一次不能解决|则多次卷回）|--信息冗余技术（在数据中附加冗余信息位）（常见奇偶校验码、海明码、循环码）|--|--检错码（检查错误而不纠正错误）|--|--纠错码（检查并纠正错误）|--软件冗余技术基本方法：将若干个根据同一需求编写的多版本程序，在不同空间同时运行，然后在每一个设置点进行表决。|--NVP结构（多版本编程设计静态冗余）（图）用N个具有同一功能而采用不同编程方法的程序执行一项运算，其结果通过多数表决器输出。有效避免了由于软件共性故障造成的系统出错|--RB结构（恢复块结构动态冗余）（图）主程序块和备用程序块采用不同编程方法但具有相同的功能。每个主程序块都可以用一个根据同一需求说明设计的备用程序块替换。首先运行主程序块，然后进行接收测试，如果测试通过则将结果输出给后续程序；否则调用备用块。备用块用完还没通过测试，则进行故障处理。4