第2章信息安全的基本概念和技术

第2章信息安全的基本概念和技术摘要本章从整体角度介绍信息安全的一些基本概念，并简要说明信息安全系统的设计原则与设计方法。重点讨论实体安全、运行安全、信息保护安全和安全管理的安全技术，具体包括环境安全、设备安全、介质安全，风险分析技术、信息系统的检测监控与审计跟踪、应急措施和备份与故障恢复、容错与冗余、灾难恢复计划、标识与认证、标记与访问控制、客体安全重用、审计、数据完整性技术、密码技术、防火墙技术、入侵者（黑客）攻击、安全管理制度、安全教育等安全技术。简介信息安全标准的概念和桔皮书TCSEC/TDT2．1信息安全的概念和技术2．1．1信息安全问题2．1．2信息安全的研究范畴2．1．3信息安全系统的基本要求2．1．4信息防护过程2．1．5系统安全体系结构2．1．6信息安全的内容2．1．1信息安全问题信息安全的静态定义是为计算机系统、数据处理系统建立和采取的技术和管理的安全保护，使得系统的硬件、软件和数据不被偶然或故意地泄露、更改和破坏。信息安全的动态定义则增加了对信息系统能连续正常工作的要求。2．1．2信息安全的研究范畴从技术的角度，研究内容至少要包括通信安全、计算机安全、操作安全、信息本身的安全、人事安全、工业安全、资源保护和实体安全等，而从更大范围的角度，研究内容还包括管理和法律等方面。信息安全研究方向包括：对突发事件处理的计算机运行安全SystemSecurity，物理条件的计算机实体安全EntitiesSecurity，通信与数据库的计算机数据安全DataSecurity，以及不被非法复制、替换、修改、不受病毒侵害的软件安全SoftwareSecurity。2．1．3信息安全系统的基本要求信息系统对安全的基本要求（1）保密性（2）完整性（3）可用性（4）可控性2．1．4信息防护过程威胁攻击设计保护验证征候,告警威胁评估信息基础设施关键信息功能战术告警，监视，检测，报告损坏控制/恢复攻击评估2．1．5系统安全体系结构信息系统安全的体系包含安全保密技术体系、协议安全性及安全协议体系和系统安全的体系结构。安全保密系统将由下面所列的技术手段形成技术体系：密码、数字签名、数据完整性、鉴别、访问控制、信息流填充、路由控制、认证、审计追踪和信息过滤、病毒防治、信息泄漏防护和安全评估等，以实现信息的保密性、可用性、完整性和可控性。OSI安全体系7层层次安全机制：加密-签名-访问控制-完整性-鉴别-信息流填充-路由-公证安全服务：对等实体鉴别-访问控制-保密（数据，信息流）-完整性-源点鉴别-抗抵赖2．1．6信息安全的内容实体安全运行安全信息保护安全管理特性：物理性、静态、客观、被动特性：人的因素、动态、主观、主动信息安全内容的中心2．2信息安全系统的设计2．2．1设计原则2．2．2设计方法2．2．3设计步骤2．2．4安全系统的设计举例2．2．1设计原则（1）安全性原则（2）整体性/全面性原则（3）投资保护原则（4）实用性原则（5）可适应性原则（6）技术与管理相结合原则2．2．2设计方法外挂式设计方法对现有信息系统进行改造，通过增加安全机制来增强系统的安全性，如美国CA公司的ACWNT和ACX（forUnix）。内核式设计方法在设计信息系统的同时，设计安全机制，以提供系统的安全性，即从安全内核逐层向上扩展，此方式可较完整地实现信息安全，如Honeywell公司的B2级MULTICS和A1级的SCOMP系统。2．2．3设计步骤（1）需求分析与风险评估（2）确定安全目标要求和对策（3）安全系统设计（4）明确相应的安全管理要求（5）安全系统测试和试运行2．2．4安全系统的设计举例用户录入SAMDB安全账户管理数据库本地安全策略库安全账户管理SAM本地安全授权LSA事件记录器审计日志安全访问控制器SRM用户模型核心模型WindowsNT4.0安全系统的组成关系安全系统在C2级的WindowsNT、UNIX上，增加了安全管理软件SMS/OS，使之具有B1级的安全特征。强制访问机制，三权分立（管理员、安全员、审计员），安全审计等。提高可用性，兼容性较好。安全功能①强制访问控制——使用访问监督器，实现多级化控制；②按最小授权原则，实现管理员、安全员、审计员的三权分立；③对注册表作安全保护，以免受非授权用户的更改；④安全审计——记录审计日志，并对违规事件作出相应的处理；⑤SMS/OS自身的保护——不可改/删本系统的文件/数据，仅授权人员才可启动/终止系统的运行。2．3实体与运行安全2．3．1实体安全实体安全内容包括：①环境安全，涉及计算机机房的安全，计算机网络系统平台的安全和计算机、网络的环境条件对信息系统安全的影响等；②设备安全，涉及主客观地对各类设备的保护，电源保护，防电磁干扰，防电路截获等；③介质安全，涉及对介质上所记录的数据和介质本身采取的安全保护等。有关实体安全的标准可查阅：GB50173-93电子计算机机房设计规范，GB2887-89计算站场地技术条件，GB9361-88计算站场地安全要求，和ITU的L系列推荐标准（HTTP：//INFO.ITU.CH/ITUDOC/ITU-T/REC/L.HTML）等。2．3．2运行安全2．3．2．1运行安全的定义和安全内容2．3．2．2风险分析技术2．3．2．3系统的检测、监控与审计跟踪2．3．2．4容错与网络冗余2．3．2．5应急措施、备份与故障恢复2．3．2．6灾难恢复计划2．3．2．7病毒检测与防治2．3．2．1运行安全的定义和安全内容运行安全内容包括：风险分析，检测、监控与审计跟踪，容错与网络冗余，应急措施、备份与故障恢复，灾难恢复计划，病毒检测与预防。2．3．2．2风险分析技术风险分析的目的是通过对影响系统安全运行的诸多因素的了解和分析，明确系统存在的风险，找出克服这些风险的方法。在系统设计前、试运行前、运行期及运行后都应进行风险分析。这体现静态和动态的观点。进行风险分析时，一般采用相应的风险分析工具，收集数据，进行分析，得出结果，从而确定危险的严重性以及发生危险的可能性及其对策。常用分析工具①自动Livermore风险分析方法②自动风险评估系统（ARES）③CCTA风险分析管理方法学（CRAMM）④国防安全技术／风险分析管理程序（IST/RAMP）⑤LoveAlamos脆弱性与风险评估工具（LAVA）2．3．2．3系统的检测、监控与审计跟踪所谓检测是指通过扫描分析来发现信息系统的弱点和漏洞。检测内容包括账户是否有差异、数据是否被修改和删除、系统运行性能、异常通信模式、异常系统使用时间、登陆失败的次数等；检测方法使用统计分析法和基于规则的方法，一般使用软件工具定期或不定期地进行检测。监控是指通过实时监测，发现入侵行为，并采取一定的应急防范措施。要对监测到的可疑信号进行分析，并及时地、自动地作出正确响应将有一定的难度。审计是一种保证安全运行的重要措施。它可对计算机网络信息系统的工作过程进行详尽的审计跟踪，同时保存审计记录和审计日志。检测分析系统①网络安全检测分析系统②操作系统安全性分析系统③防火墙安全性分析系统基于网络环境的安全监测将实时监听网络数据流；监视并记录内/外用户出入网络的相关操作以发现违规模式和未授权访问；当出现违规模式和未授权访问时，报告监测中心，中心则由安全策略作出反应，并进行审计、报告、事件记录和报警。监测中心还有一定的远程管理功能，能对探测器进行远程参数设置、远程数据下载、远程关闭/启动和封锁等。基于主机的安全监测由安全监测管理中心和分布式探测器（置于通信枢纽或主机内部）所组成。它的原理与基于网络环境的类似，只是探测器的具体探测任务、探测的数据种类与类型不同而已。实现安全监测的关键技术则有：攻击分析和响应技术实时监控行为、识别攻击特征和病毒、侦探行为及未授权修改系统存取控制的可疑行为。误操作分析和响应技术对内部资源的误操作进行分析并做出相应的处理。漏洞分析和响应技术由软件自动扫描、找出安全策略的漏洞（包含物理的、软件的、不兼容的漏洞）。安全监测产品INTERNETSCANNERREALSECURE2.0forWinNTSYSTEMSECURITYSCANNER2．3．2．4容错与网络冗余避错是构造一个“完美”系统，使得其尽可能地不出故障。而容错是指当系统出现某些硬/软件错误时，系统仍能执行规定的一组程序；或者说程序不会因系统中的故障而中断或被修改，并且执行结果也不会包含系统中故障所引起的差错。实现容错的基本思想是在系统体系结构上精心设计，利用外加资源的冗余技术来达到屏蔽故障的影响，从而自动地恢复系统或达到安全停机的目的。容错与网络冗余技术随着系统的不断复杂化而向芯片容错、动态冗余技术、分布式容错、容错性能评价、容错系统和综合方法论等方向发展。实现容错的方法与技术：①空闲备件,②负载平衡，③镜像技术，④复现即延迟镜像，⑤冗余系统配件，⑥存储系统冗余，⑦网络冗余技术.2．3．2．5应急措施、备份与故障恢复备份系统的内容：文件备份与恢复、数据库备份与恢复、系统灾难恢复和备份任务管理等。备份技术及其特点：全盘备份增量备份全盘及增量备份差别备份按需备份排除恢复技术及其特点全盘恢复——一般在灾难发生后或系统升级和系统重组及合并时使用，操作之后，应检查最新的错误登记文件（日志，审计），以免漏掉有关文件。个别文件恢复——采用文件系统列表（仅需一次搜索）或文件登录排序（需建登录索引）方法，选择待恢复的文件。重定向恢复——恢复到另一位置或不同系统上，具体技术有全盘恢复和个别恢复。备份系统的组成⑴物理主机系统⑼物理目标系统⑵逻辑主机系统⑽逻辑目标系统⑶I/O总线⑾网络连接⑷外部设备⑿网络协议⑸设备驱动软件⒀系统日志⑹备份存储介质⒁系统监控⑺备份计划⒂系统管理⑻操作执行者【例2．1】设有两台Netware服务器，一台为文件服务器，另一台为数据库服务器，运行Betrieve，要求设计一个实现整个网络的数据备份和系统备份的方案。①方案一将数据库服务器作为备份服务器，ARCServer配置ARCServerforNetware和PisasterRecoveryOption。该方案的备份功能有整个网络中非活跃文件备份、数据库关闭状态备份、系统关键信息（NDS或Bindery）备份和系统灾难恢复。②方案二将数据库服务器作为备份服务器，ARCServer配置ARCServerforNetware和DisasterRecoveryoption以及BackupAgentforBetriere。这样的备份方案使得系统提供整个网络中非活跃文件备份、数据库打开状态备份、系统关键信息(NDS或Bindery)备份和系统灾难恢复等功能。③方案三将数据库服务器作为备份服务器,用磁带库作为备份硬件,ARCServer配置ARCServerforNetware、DisasterRecoveryoption、BackupAbentforBetrieve、BackupAgentforopenfiles和TAPELibrary。此方案的功能包括整个网络文件备份、包括活跃文件备份、数据库打开状态备份、系统关键信息(NDS或Bindery)备份、系统灾难恢复、备份数据的RAID容错和无人值班备份。数据库备份的方法有冷备份和热备份。一种热备份方案是按日志文件进行。进行备份时，日志文件将需要更新/更改的指令“堆起来”。另一种热备份方法是逻辑备份，它使用软件技术从数据库中提取数据并将结果写入一输出文件，即逆SQL技术。数据库的恢复则有单纯以备份为基础、以备份和运行日志为基础、基于多备份和易地更新恢复四种技术。单独以备份为基础的恢复技术周期性地把磁盘上的库文件拷贝或转储到磁带上。为缓解恢复的量的问题，可采用增量转储（increamentaldumping，ID）法，即只转储更新过的物理块。以备份和日志为基础的恢复技术使用日志来记录数据库的运行情。当数据库失效时，取出最近备份，然后根据日志记录，对未提交的事务用前象卷回，即向后恢复；对已提交