信息安全技术6-信息防御与对抗(一)

第六章信息防御与对抗（一）第六章信息防御与对抗（一）DepartmentofCognitiveScience,XiamenUniversity–1内容提要内容提要„信息防御技术基础实体安全技术„实体安全技术„防火墙技术„防火墙技术„入侵检测技术DepartmentofCognitiveScience,XiamenUniversity–2第节信息防御技术基础1网络安全事件分类模型第一节信息防御技术基础DepartmentofCognitiveScience,XiamenUniversity–3第一节信息防御技术基础1网络安全事件分类模型（1）时间：（1）时间：分类模型的第一维，目的在于正确的选择响应策略。按照响应的6阶段方法，在事件发生前应该进行准备工作，在事件进行中主要采取抑制措施，阻止攻击的延在事件发生前应该进行准备工作，在事件进行中主要采取抑制措施，阻止攻击的延续，限制潜在的威胁，尽最大可能减小系统损失；在事件发生之后，则应以系统恢复以及损失的评估等为主。复以及损失的评估等为主。（2）事件主体：模型第二维，从三个角度详细划分：模型第二维，从三个角度详细划分：‹事件源数量，分为单攻击源事件和多攻击源事件（如分布式拒绝服务攻击）；‹事件源位置，分为内部攻击（局域网范围内的攻击）和外部攻击；‹事件源位置，分为内部攻击（局域网范围内的攻击）和外部攻击；‹事件源的性质，也就是考察攻击者的性质，确定事件是由普通的恶作剧者发起的，还是由经济对手或者军方阻止发起的。DepartmentofCognitiveScience,XiamenUniversity–4是由济对手或者军方阻发起的第一节信息防御技术基础1网络安全事件分类模型（3）攻击技术：模型第三维对攻击技术的分类有利于在响应过程中采取有效的抑模型第三维，对攻击技术的分类，有利于在响应过程中采取有效的抑制措施。（4）安全漏洞：模型第四维这一维是整个分类模型的两个重点之一通过发现和分模型第四维，这维是整个分类模型的两个重点之。通过发现和分析导致安全事件发生的系统漏洞，可以有效的执行系统响应过程中根除阶段的措施封堵漏洞从而进一步提高系统防护能力段的措施，封堵漏洞，从而进一步提高系统防护能力。DepartmentofCognitiveScience,XiamenUniversity–5第一节信息防御技术基础1网络安全事件分类模型（5）事件目标：模型第五维，即使是同一种类型的攻击行为，如果攻击的目标不同，对应的响应措施也不同。比如受攻击的系统一个是DNS服务器，一个是普通个人电脑，严重性显然不同，响应自然不同。（6）事件结果：模型最后一维，这一维也是整个模型的重点，它的意义在于系统恢复。DepartmentofCognitiveScience,XiamenUniversity–6第二节实体安全技术第二节实体安全技术对系统本身及其外部设备场地环境和网络通讯线路的威胁和攻击对系统本身及其外部设备、场地环境和网络通讯线路的威胁和攻击‹在1985年，使用一台改装后的普通黑白电视机在1公里范围内，接受计算机终端辐射信息，在电视机上复原；‹80年代末，前苏联在西方国家采购了一批民用计算机，但被中央情报局安装了窃听器，前苏联检查发现8台计算机有30多个不同窃听器；‹1998年扬州发生了利用计算机盗取银行巨款案侦察人员发现储蓄‹1998年，扬州发生了利用计算机盗取银行巨款案，侦察人员发现储蓄所工作间有一个接线板，上有两个变压器，一个连接调制解调器，另个连接无绳电话另外还有无线接收板和套减速遥控杆等利用一个连接无绳电话，另外还有无线接收板和一套减速遥控杆等，利用电磁辐射远距离犯罪。DepartmentofCognitiveScience,XiamenUniversity–7第二节实体安全技术1安全环境基础要求‹场地组成按《计算机站场地技术要求》(GB288782)规定参考管理体制确按《计算机站场地技术要求》(GB2887-82)规定，参考管理体制确定其组成，通常完整信息系统场地，应包括主机房、基本工作间、辅助房间。原则：业务上相关联的房间应尽可能的组合在同一区域内，便于管理；配电设备间应尽量远离主机房；避免工作人员在房间内穿越，防止干扰；对外开放房间尽量远离工作间；以减少投资为目标组合房间。DepartmentofCognitiveScience,XiamenUniversity–8第二节实体安全技术1安全环境基础要求‹场地选择a)应远离交通拥挤、气体污染严重或尘埃很多的区域。为防止火灾、爆炸、气候和环境引起的损坏，机房不应设在锅炉房附近或其他有潜在危险的区域，同时要避开大的变压器或发电机等强电磁辐射源，机房最好不要利用建筑物最外层的房间。通常应从外部环境和内部环境两方面人手综合考虑地质条件要安全可靠环境的安b)通常，应从外部环境和内部环境两方面人手综合考虑：地质条件要安全可靠；环境的安全性易于控制；场地的自然抗干扰性强；区域独立易于实现；出入口控制方便可靠易行；防水、防火和防渗措施完备。防水防火和防渗措施完备c)在高层建筑设置计算机房及附属房间，应尽可能选择二至四层，有利于大、重型设备(空调器、电源)的安装；有利于计算机专用地线铺设；有利于防火；外界振动对设备影响相对较小。在风力较大地区，机房不能设在高层，在潮湿地区机房应绝对避免设在底层，在低楼层选机房，应尽可能选择从其他建筑物不易观察的房间，或增加专门的防护措施。DepartmentofCognitiveScience,XiamenUniversity–9第二节实体安全技术温度影响1安全环境基础要求‹温度影响a)温度过高，会使印制电路板、插座金属簧片的腐蚀过程加速，接触电流增大，性能变坏，可靠性变差。b)温度过低，会使绝缘材料变硬，设备结构强度减弱，不同的收缩系数将导致插座接触不良；转动部分会因润滑油受冷凝结，粘度增大出现粘滞现象。现象c)温度对电容的影响主要是使其寿命缩短，超过工作温度时，温度每增加10度使用时间下降50％温度过低会导致电容完全失效10度，使用时间下降50％，温度过低会导致电容完全失效。d)磁性存储介质温度过高，磁介质的导磁率下降，甚至失去磁性。因此DepartmentofCognitiveScience,XiamenUniversity–10，数据流带、磁盘不宜在高温环境工作，否则易出现数据错误。第二节实体安全技术1安全环境基础要求由《计算机战场地技术要求》，机房环境温度要求：A级B级C级夏季冬季由《计算机战场地技术要求》，机房环境温度要求：夏季冬季开机时23±2度20±2度15-30度10-35度停机时5-35度5-35度10-40度DepartmentofCognitiveScience,XiamenUniversity–11第二节实体安全技术湿度影响1安全环境基础要求‹湿度影响a)高湿度对计算机的危害。湿度过高会引起芯片脚和一些机械设备锈蚀，造成接触不良或短路等故障;b)低湿度环境中很容易产生静电。由《计算机战场地技术要求》，机房环境湿度要求：A级B级C级开机时4565%4070%3080%由计算机战场技术要求机房环境度要求开机时45-65%40-70%30-80%停机时45-70%20-80%8-80%DepartmentofCognitiveScience,XiamenUniversity–12第二节实体安全技术1安全环境基础要求‹洁净度影响a)定义：空气中所含尘埃数量，空气中含有有害气体的量也是洁净度指标。b)大量灰尘进入计算机吸附在集成电路元器件上，使其散热能力降低，灰尘吸潮使设备绝缘性降低，甚至出现短路或元器件腐蚀现象。c)计算机房的灰尘：机房工作人员出入的灰尘；机房门窗密封不严，由缝隙渗入的灰尘；机房墙壁、地面、天棚、涂层等引起的灰尘；计算机外设工作时产生的尘屑。d)降低环境含尘量：采用双层窗户密封机房；在机房外，设一缓冲间，铺设吸尘地毯；工作人员出入机房更换拖鞋、服装；机房装修不用易起尘的建筑材料；严格执行清洁卫生制度。DepartmentofCognitiveScience,XiamenUniversity–13第二节实体安全技术1安全环境基础要求由《计算机战场地技术要求》，机房尘埃等级：由《计算机战场地技术要求》，机房尘埃等级：A级B级C级级级级粒度直径大约等于0.5个数3500粒/110000粒18000粒/1个数3500粒/110000粒/118000粒/1DepartmentofCognitiveScience,XiamenUniversity–14第二节实体安全技术1安全环境基础要求‹电磁场影响)两种电磁需要严格限制一是外界电磁干扰源对计算机系统正常工作a)两种电磁需要严格限制：一是外界电磁干扰源对计算机系统正常工作的干扰；二是计算机信息系统工作时产生的电磁波对自身安全造成的危害危害。b)最易受电磁干扰影响的计算机硬件有：A/D和D/A转换器、磁盘读写放大器、存储器等；c)电磁波侵入计算机系统可影响集成块、信号传输线、元器件的正常工作，进入磁盘、磁带等磁介质及打印、显示设备，会使数据的存取与显示发生紊乱，电磁场干扰系统任一部位会危及整个系统的安全。DepartmentofCognitiveScience,XiamenUniversity–15显示发生紊乱，电磁场干扰系统任部位会危及整个系统的安全。第二节实体安全技术（1）设备的安全2计算环境安全技术（1）设备的安全‡电源保护的安全基本供电要求①三相四线制，单相额定电压为220V，三相额定电压为380V。②电源保护装置③采用稳压变压器(VRT)、不间断电源(UPS)或备用发电机组。‡计算机信息系统的防盗保护①安全保护设备：有源、无源红外报警器和微波报警器等。是否安装报警系统，安装什么样的报警系统根据系统安全等级及信息与设备的重要性来确定的报警系统，根据系统安全等级及信息与设备的重要性来确定。②防盗技术：计算机系统和外部设备，都应做上无法去除的标识，被盗后方便查找赃物，也可防止有人更换部件；使用防盗接线板，一旦拔电源插头，就会报警；利用火灾报警系统，可防止有人更换部件；使用防盗接线板，旦拔电源插头，就会报警；利用火灾报警系统，增加防盗报警功能；并对计算机中心的各部位进行监视保护等。③设备部件的操作与维护：给机器留出足够的散热空间，以便机器正常运行。保证设备和线DepartmentofCognitiveScience,XiamenUniversity–16路相互之间互不干扰，相互兼容。存储介质应存放在防电磁的铁皮柜内。第二节实体安全技术（2）静电保护2计算环境安全技术（2）静电保护‡来源①人员走动时与地板摩擦产生静电；②办公设备在使用时会产生静电；③所穿的服装相互摩擦产生静电；④某些机器在运行中会产生静电④某些机器在运行中会产生静电；⑤机房湿度过低会使静电增力。‡危害：大量积生的静电荷则能严重损坏磁媒介上所存储的数据。产生静电后的危害大量积的静电荷则能严重损坏磁媒介所存储的数据产静电后的磁带或磁盘读写头极易吸附尘埃杂质，从而导致元件的早期损坏。如一个穿塑料底鞋的人在人造纤维地毯上走，每走一步在鞋底上留下负电荷，在地毯上留下正电荷，平均产生12KV电压，有时高达20~25KV，但不会超过40KV。当人体接触金属时将引起静电放电。当静电电压为15KV时，放电电流峰值可达7．5A，由于积蓄能量小，放电时间很短目前大规模集成芯片不能承受如果静电超过会引起磁盘设备故障DepartmentofCognitiveScience,XiamenUniversity–17放电时间很短，目前大规模集成芯片不能承受。如果静电超过2KV会引起磁盘设备故障。第二节实体安全技术（2）静电保护2计算环境安全技术（2）静电保护‡防护机房和场地要求有一个良好的接地系统。接地的种类有直流地即逻辑机房和场地要求有个良好的接地系统。接地的种类有直流地即逻辑地、交流工作地、安全保护地、防雷保护地。①电流的零线就是交流的工作地线，另设一条作为保护地线，在机房外接到①流的零线就是