信息安全技术 课件大纲

《信息安全技术》课件大纲第1页1.信息系统的脆弱性1.1可用、可靠和安全可用、可靠≠安全信息系统的一个安全漏洞都会使整个系统的安全控制机制变得毫无价值工业界已经承认这样一个事实：任何（操作）系统都是不可靠安全的但是我们可以说绝大多数（操作）系统是可靠的，可以成其设计功能系统而合理的使用安全技术，是保障计算机系统的安全性、功能性和易用性接收非扫描类事件年度统计CNCERT/CC（国家计算机网络应急技术处理协调中心）发布2003年2004年2005年2006年25574485911226476信息系统安全漏洞美国CERT/CC发布1995年1996年1997年1998年1999年2000年2001年2002年2003年2004年2005年2006年1713453112624171090243741293784378059908064中国大陆地区被木马控制的计算机IP分布图广东18%，北京15%，福建8%，浙江8%，上海5%....通过木马控制我国计算机的境外IP分布图美国25%，韩国12%，中国台湾9%，日本8%，香港7%，加拿大4%，印尼4%，法国3%，印度3%，英国3%，其他22%1.2系统面临的安全威胁书P4~P9计算机病毒定义：能够破坏计算机功能或者摧毁数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。特点：隐蔽性、传染性、潜伏性、破坏性特洛伊木马定义：一段程序、表面上在执行合法功能，事实上去完成了用户不曾料到的非法功能（特点）木马和病毒的区别：木马和病毒不同，它不具备自我复制能力，但是它同病毒一样，具有潜伏性，具有更大的欺骗性和危险性。逻辑炸弹定义：添加在现有程序上的程序，基于条件触发；触发后造成程序中断，系统崩溃，破坏数据等；不能复制本身，或者传染其他程序安全性功能性易用性服务《信息安全技术》课件大纲第2页触发方式：计数器触发方式、时间触发方式、复制触发方式隐蔽通道定义：系统中不受安全策略控制的，违反安全策略的信息泄漏途径；两个进程利用不受安全策略控制的存储单元传递信息按系统传递的方式和方法分类：存储隐蔽通道、时间隐蔽通道天窗概念：嵌在操作系统里的一段非法代码；渗透者利用该代码提供的方法侵入操作系统而不受检查；天窗由专门命令激活；天窗只能利用操作系统的缺陷或者混入系统的开发队伍中安装。1.3安全威胁来自哪里书P5~P9内因：人们认识能力和实战能力的局限性系统规模windows3.1——300万行代码windows2000——5000万行代码外因：国家安全威胁（信息战士、情报机构）、共同威胁（恐怖分子、工业间谍、犯罪团伙）、局部威胁（社会型黑客、娱乐型黑客）1.4信息安全发展的阶段书P2~4通信保密阶段COMSEC：60年代计算机安全阶段COMPUSEC：70年代信息安全阶段INFOSEC：70~80年代信息保障阶段IA：90年代~1.5信息安全的需求书P4信息安全的三个基本方面保密性信息的机密性，对于无授权的个体而言，信息不可用完整性信息的完整性，一致性，分为数据完整性，未被授权篡改或者损坏系统完整性，系统未被非法授权，按规定的目标运行可用性服务连续性真实性——个体身份的认证，适用于用户、进程、系统等Accountability（可说明性）——确保全体的活动可被跟踪Reliability（可靠性）——行为和结果的可靠性、一致性2.计算机系统安全2.1安全系统的基本要求系统本身具备一系列特定的安全属性，并能够使用这些属性提供的支持来控制对系统中信息的存取访问，从而确保只有具备合理授权的用户或是代表这些用户的进程有能力对指定的信息进行读、写、创建或删除。2.2可信计算机系统的基本要求安全策略、标记、标识、审计、保证、连续保护《信息安全技术》课件大纲第3页2.3安全模型书P22~332.3.1安全模型简介什么样的系统是安全的？是指它满足某一个给定的安全策略，所以安全系统在设计和开发时，也要围绕一个给定的安全策略进行。安全模型的定义是对安全策略所表达的安全需求的简单抽象和无歧义的描述，为安全策略与其实现机制的关联提供了一种框架。安全模型、安全策略、安全系统之间的关系安全模型给出安全系统的形式化定义安全模型描述了对某个安全策略需要用哪种机制来满足安全模型的实现则描述了如何把特定的机制应用于安全系统中，从而实现某一特列的安全策略所需的安全保护J.P.Anderson指出，要开发安全系统，首先必须建立系统的安全模型安全模型需要表达的系统的因素系统的使用方式，使用环境类型授权的定义共享的客体（系统资源），共享的类型和受控共享思想等对安全模型的因素的要求使得系统可以被证明是完整的；反映真实环境的；逻辑上能够实现程序的受控执行的2.3.2P2DR安全模型P2DR安全模型简介模型示意图模型中的时间概念Pt表示从系统受攻击到被破坏所经历的时间Dt是系统检测到攻击所需的时间Rt表示系统对攻击进行响应所需要的时间时间关系决定了安全失败恢复(R)失败响应(R)成功成功成功检测(D)失败防护(P)攻击响应（R）防护（P）策略检测（D）《信息安全技术》课件大纲第4页如果：PtRt+Dt，则系统是安全的如果：PtRt+Dt，则表示系统无法在其保护时间内完成检测和响应模型的元素部件策略、防护、检测、响应P2DR安全模型可以描述为：安全=风险分析P2DR安全模型的要素策略安全策略实质：在安全领域的范围内，什么操作是明确允许的，什么操作是明确不允许的安全策略的重要性建立安全策略是实现安全的最首要的工作，也是实现安全技术管理与规范的第一步安全策略的制定是一个不断精确细化的策划过程。防护防护的含义：就是采用一切手段保护计算机系统的保密性、完整性、可用性、可控性和不可否认性，预先阻止攻击可以发生的条件产生防护可以分为三大类：系统安全防护、网络安全防护、信息安全防护检测检测的意义防护系统可以阻止大多数入侵的发生，但是阻止所有入侵，特别是那些利用新的系统缺陷，新的攻击手段的入侵检测的含义是动态响应和加强维护的依据，是强制落实安全策略的工具检测的作用通过不断地检测和监控网络及系统，来发现新的威胁和弱点，通过循环反馈来及时作出有效的响应入侵检测系统（IDS）入侵检测系统的种类根据检测环境不同分为：基于主机的IDS、基于网络的IDS根据检测所使用方法分为：误用检测、异常检测入侵检测系统一般和紧急响应及系统恢复有密切关系响应2.3.3状态机模型概念采用模仿操作系统和硬件执行过程的方法描述了计算机系统，它将一个系统描述为一个抽象的数字状态机器。状态变量表示机器的状态，即系统运行时发生变化的每一位缺点问题：一个系统模拟为状态机的思想很早就有了，但是为什么在软件开发方面并没有起到主要作用？因为模拟一个操作系统的所有状态变量是不可能的，安全模型并未涉及到系统的所有变量和函数，它只涉及几个安全相关的主要状态变量，所以是可行的。安全机制开发一个状态机安全模型包含确定模型的要素（变量、函数、规则等）和安全初始状态一旦证明了初始状态是安全的并且所有的函数也都是安全的，精确地推导会表明，如果系统在安全状态中开《信息安全技术》课件大纲第5页始运行，那么不论调用函数的命令如何，系统都将保持在安全状态。开发一个状态机模型的步骤定义安全相关的状态变量状态变量表示了系统的主体和客体，它们的安全属性以及主体与客体之间的存取权限定义安全状态的条件这个定义是一个不变式，它表达在状态转换期间状态变量的数值必须始终保持的关系定义状态转换函数这些函数描述状态变量可能发生的变化，它们也被称为操作规则，因为它们的意图是限制系统可能产生的类型，而非列举所有可能的变化。检验函数维持在安全状态为了确定模型与安全状态的定义是否一致，必须检验每项函数，如果系统在运行之前处于安全状态，那么系统在运行之后将保持在安全状态。定义初始状态选择每个状态变量的值，这些值模拟系统在最初的安全状态中是如何启动的依据安全状态的定义，证明初始状态安全2.3.4BLP模型模型介绍D.ElliottBell和LeonardJLaPaduta于1973年创立的一种模拟军事安全策略的计算机操作模型它是最早，也是最常用的一种计算机多级安全模型在BLP模型中将主体定义为能够发起行为的实体，如进程将客体定义为被动的主体行为承担者，如数据，文件等将主体对客体的访问分为r（只读），w（读写），a（只写），e（执行），以及c（控制）等几种访问模式BLP模型的安全策略自主安全策略自主安全策略使用一个访问矩阵表示，访问矩阵第i行，第j列的元素Mij，表示主体S对客体O的所有允许的访问模式强制安全策略强制安全策略包括简单安全性和*特性，系统对所有的主体和客体都分配一个访问类属性，包括主体和客体的密级和范畴，系统通过比较主体与客体的访问类属性控制主体对客体的访问。2.3.5信息流模型2.3.6RBAC模型书P762.4防卫策略3安全操作系统3.1安全服务3.1.1认证服务书P47概念认证就是识别和证实《信息安全技术》课件大纲第6页识别是辨别一个对象的身份证实是证明该对象的身份就是其声明的身份认证安全服务是防止主动攻击的重要措施提供对通信中的对等实体和数据来源的鉴别类型：对等实体认证、信源认证3.1.2访问控制服务书P48含义：是针对越权使用资源和非法访问的防御措施类型：自主访问控制、强制访问控制实现机制基于访问控制属性的访问控制表基于“安全标签”，用户分类和资源分档的多级访问控制等服务层次主要位于应用层，传输层和网络层可以放在通信源，通信目标或两者之间的某一部分3.1.3数据保密服务书P48含义：数据保密性安全服务是针对信息泄露，窃听等被动威胁的防御措施类型：信息保密：保护通信系统中的信息或网络数据库数据数据字段保密：保护信息中被选择的部分数据段业务流保密：防止攻击者通过观察业务流，如信源，信宿，转送时间，频率和路由等来得到敏感的信息3.1.4数据完整性服务书P48~49含义：数据完整性安全服务是针对非法地篡改和破坏信息，文件和业务流而设置的防范措施类型基于连接的数据完整基于数据单元的数据完整性基于字段的数据完整性3.1.5防抵赖安全服务书P49含义：针对对方进行抵赖的防范措施，可用来证实已发生过的操作类型：数据源发证明的抗抵赖、交付证明的抗抵赖3.1.6安全审计服务书P49~503.1.7安全检测和防范服务书P503.2安全基本机制3.2.1安全机制引入原因书P51为了实现上述5种安全服务，ISO7408-2中制定了支持安全服务的8种安全机制《信息安全技术》课件大纲第7页3.2.2具体机制书P51~54加密机制/数字签名机制/访问控制机制/数据完整性机制/鉴别交换机制/通信业务填充机制/路由控制机制/公证机制3.3安全辅助机制书P54~56安全服务基本机制直接地保护计算机安全，但真正实现这些机制必须有下面一些机制的配合种类：安全机制可信度评估、安全标准、安全审计、安全响应与恢复3.4安全服务和安全机制的关系书P563.5系统的安全观念3.6安全操作系统重要性操作系统是基础性平台软件安全：应用软件安全，数据库安全，操作系统安全，网络软件安全很多安全问题都源于操作系统的安全脆弱性与主机和网络系统的安全直接相关没有操作系统的安全性，就没有主机系统的安全性，从而也就不可能有网络系统的安全性3.7安全操作系统的发展概况3.7.1初期（1965年~1985年）Multics简介1965年，美国贝尔实验室和麻省理工学院联合开发Multics是开发安全操作系统最早期的尝试目标和特点其目标是要向大的用户团体提供对计算机的同时访问，支持强大的计算能力和数据存储，并且有很高的安全性由于Multics预期的复杂性和理想性，结果未能达到预期的目标Mitre公司的Bell和LaPadula合作设计的安全模型Bell-La