3第二章信息安全基礎(chǔ)06

1、2009-3-10信息保障與安全06級1第二章 信息安全基礎(chǔ)2.1 信息不安全因素信息不安全因素 2.2 信息攻擊信息攻擊 2.3 信息安全需求分析信息安全需求分析 2.4 安全理論與技術(shù)分析安全理論與技術(shù)分析 2.5 安全層次與系統(tǒng)模型安全層次與系統(tǒng)模型 2.6 小結(jié)小結(jié) 2009-3-10信息保障與安全06級22.1 信息不安全因素 2.1.1 2.1.1 物理不安全因素物理不安全因素 目前主要的物理不安全因素如下：目前主要的物理不安全因素如下： （1 1）自然災(zāi)害（如雷電、地震），物理損壞（如硬盤物理損壞、）自然災(zāi)害（如雷電、地震），物理損壞（如硬盤物理損壞、 設(shè)備意外損壞等），設(shè)備故障

2、（如意外斷電，電磁干擾等）和意外事故。設(shè)備意外損壞等），設(shè)備故障（如意外斷電，電磁干擾等）和意外事故。 （2 2）電磁泄漏（如偵聽計算機操作過程），產(chǎn)生信息泄漏，干擾他人，）電磁泄漏（如偵聽計算機操作過程），產(chǎn)生信息泄漏，干擾他人，受他人干擾，乘機而入和痕跡泄露等，其特點是難以覺察性、人為實施的受他人干擾，乘機而入和痕跡泄露等，其特點是難以覺察性、人為實施的故意性、信息的無意泄露性，這種威脅只破壞信息的保密性（無損信息的故意性、信息的無意泄露性，這種威脅只破壞信息的保密性（無損信息的完整性和可用性）。完整性和可用性）。 （3 3）操作失誤）操作失誤 （如刪除文件、格式化硬盤等）或意外疏漏（如系

3、統(tǒng)（如刪除文件、格式化硬盤等）或意外疏漏（如系統(tǒng)崩潰等）。崩潰等）。 （4 4）計算機系統(tǒng)機房的環(huán)境安全。）計算機系統(tǒng)機房的環(huán)境安全。2009-3-10信息保障與安全06級3 2.1.2 2.1.2 網(wǎng)絡(luò)不安全因素網(wǎng)絡(luò)不安全因素 （1 1）網(wǎng)絡(luò)規(guī)模）網(wǎng)絡(luò)規(guī)模 （2 2）網(wǎng)絡(luò)物理環(huán)境）網(wǎng)絡(luò)物理環(huán)境 2.1.3 2.1.3 系統(tǒng)不安全因素系統(tǒng)不安全因素 現(xiàn)在應(yīng)用的大部分系統(tǒng)軟件都有一定的漏洞，操作系統(tǒng)就是一個例現(xiàn)在應(yīng)用的大部分系統(tǒng)軟件都有一定的漏洞，操作系統(tǒng)就是一個例子。操作系統(tǒng)是網(wǎng)絡(luò)和應(yīng)用程序之間接口的程序，是整個網(wǎng)絡(luò)信息系子。操作系統(tǒng)是網(wǎng)絡(luò)和應(yīng)用程序之間接口的程序，是整個網(wǎng)絡(luò)信息系統(tǒng)的核心，系

4、統(tǒng)的安全性體現(xiàn)在整個操作系統(tǒng)中。對于一個設(shè)計不夠統(tǒng)的核心，系統(tǒng)的安全性體現(xiàn)在整個操作系統(tǒng)中。對于一個設(shè)計不夠安全的操作系統(tǒng)系統(tǒng)來說，應(yīng)采用增加安全特性或打補丁的辦法進行安全的操作系統(tǒng)系統(tǒng)來說，應(yīng)采用增加安全特性或打補丁的辦法進行安全維護。安全維護。 2.1.4 2.1.4 管理不安全因素管理不安全因素 1.1.管理不能做到多人負(fù)責(zé)管理不能做到多人負(fù)責(zé) 2.2.管理者任期太長管理者任期太長 3.3.不能做到職責(zé)分離不能做到職責(zé)分離 2009-3-10信息保障與安全06級4 下面每組內(nèi)的兩項信息處理工作應(yīng)分開下面每組內(nèi)的兩項信息處理工作應(yīng)分開 （1 1）計算機操作與計算機編程）計算機操作與計算機編

5、程 （2 2）機密資料的接收和傳送）機密資料的接收和傳送 （3 3）安全管理和系統(tǒng)管理）安全管理和系統(tǒng)管理 （4 4）應(yīng)用程序和系統(tǒng)程序的編制）應(yīng)用程序和系統(tǒng)程序的編制 （5 5）訪問證件的管理與其他工作）訪問證件的管理與其他工作 （6 6）計算機操作與信息處理系統(tǒng)使用媒介的保管等）計算機操作與信息處理系統(tǒng)使用媒介的保管等 2009-3-10信息保障與安全06級52.2 信息攻擊 2.2.1 2.2.1 口令攻擊口令攻擊 攻擊者攻擊目標(biāo)時常常把破譯用戶的口令作為攻擊者攻擊目標(biāo)時常常把破譯用戶的口令作為攻擊的開始。只要攻擊者能夠猜測或者確定用戶攻擊的開始。只要攻擊者能夠猜測或者確定用戶的口令，就

6、能獲得機器或者網(wǎng)絡(luò)的訪問權(quán)限，并的口令，就能獲得機器或者網(wǎng)絡(luò)的訪問權(quán)限，并能訪問到用戶能到的任何資源。能訪問到用戶能到的任何資源。 口令猜測前提是必須先得到該主機上的某個合口令猜測前提是必須先得到該主機上的某個合法用戶的帳號，然后再進行合法用戶口令的破譯。法用戶的帳號，然后再進行合法用戶口令的破譯。獲得普通用戶帳號的方法很多，主要有以下幾種：獲得普通用戶帳號的方法很多，主要有以下幾種： （1 1）利用目標(biāo)主機的）利用目標(biāo)主機的fingerfinger功能功能 （2 2）利用目標(biāo)主機的）利用目標(biāo)主機的x.500x.500服務(wù)服務(wù) （3 3）從電子郵件地址中收集）從電子郵件地址中收集 （4 4）查

7、看主機是否有習(xí)慣性的帳號）查看主機是否有習(xí)慣性的帳號 2009-3-10信息保障與安全06級6 2.2.2 2.2.2 地址欺騙地址欺騙 地址欺騙有三種基本形式地址欺騙有三種基本形式: : 1. 1.基本地址變化基本地址變化 2.2.源路由攻擊源路由攻擊 3.3.信任關(guān)系信任關(guān)系 2.2.3 2.2.3 竊聽竊聽 竊聽是指攻擊者通過對傳輸媒介的監(jiān)聽非法獲取傳輸?shù)男畔⒏`聽是指攻擊者通過對傳輸媒介的監(jiān)聽非法獲取傳輸?shù)男畔? ,是對通信是對通信網(wǎng)絡(luò)最常見的攻擊方法網(wǎng)絡(luò)最常見的攻擊方法. . 2.2.4 2.2.4 業(yè)務(wù)否決業(yè)務(wù)否決 業(yè)務(wù)否決是指入侵者通過某些手段使合法的網(wǎng)絡(luò)實體無法獲得其應(yīng)有業(yè)務(wù)否決

8、是指入侵者通過某些手段使合法的網(wǎng)絡(luò)實體無法獲得其應(yīng)有的網(wǎng)絡(luò)服務(wù)。的網(wǎng)絡(luò)服務(wù)。 2.2.5 2.2.5 鏈接盜用鏈接盜用 鏈接盜用分為含蓄鏈接盜用分為含蓄( (隱蔽隱蔽) )的形式和明顯的形式和明顯( (直接直接) )的形式。的形式。2009-3-10信息保障與安全06級7 2.2.6 2.2.6 對于域名系統(tǒng)等基礎(chǔ)設(shè)施的破壞對于域名系統(tǒng)等基礎(chǔ)設(shè)施的破壞 1.1.基本的網(wǎng)站欺騙基本的網(wǎng)站欺騙 2.2.中間人攻擊中間人攻擊 3.url3.url重寫重寫 2.2.7 2.2.7 利用利用webweb破壞數(shù)據(jù)庫破壞數(shù)據(jù)庫 webweb數(shù)據(jù)庫是基于數(shù)據(jù)庫是基于internet /intranetinte

9、rnet /intranet的應(yīng)用系統(tǒng)，由的應(yīng)用系統(tǒng)，由于互聯(lián)網(wǎng)的開放性和通信協(xié)議的安全缺陷，以及在網(wǎng)絡(luò)環(huán)于互聯(lián)網(wǎng)的開放性和通信協(xié)議的安全缺陷，以及在網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)存儲和對其訪問與處理的分布性特點，網(wǎng)上傳輸境中數(shù)據(jù)存儲和對其訪問與處理的分布性特點，網(wǎng)上傳輸?shù)臄?shù)據(jù)很容易受到破壞、竊取、篡改、轉(zhuǎn)移和丟失。另外，的數(shù)據(jù)很容易受到破壞、竊取、篡改、轉(zhuǎn)移和丟失。另外，用戶在操作、管理以及對系統(tǒng)的安全設(shè)置上的失誤，同樣用戶在操作、管理以及對系統(tǒng)的安全設(shè)置上的失誤，同樣給網(wǎng)絡(luò)安全帶來危害。給網(wǎng)絡(luò)安全帶來危害。2009-3-10信息保障與安全06級82.3 信息安全需求分析 信息安全不單純是技術(shù)問題，它涉及技

10、術(shù)、管理、信息安全不單純是技術(shù)問題，它涉及技術(shù)、管理、制度、法律、歷史、文化、道德等方面。從技術(shù)的角制度、法律、歷史、文化、道德等方面。從技術(shù)的角度來說，就有防病毒、防黑客、防電磁泄漏、物理安度來說，就有防病毒、防黑客、防電磁泄漏、物理安全保護、系統(tǒng)安全防護、密碼保護等。信息安全需求全保護、系統(tǒng)安全防護、密碼保護等。信息安全需求包括：包括： （1 1）信息的保密性）信息的保密性 （2 2）信息的完整性）信息的完整性 （3 3）信息的非否認(rèn)性）信息的非否認(rèn)性 （4 4）信息發(fā)送者的可鑒別性）信息發(fā)送者的可鑒別性 （5 5）信息的可用性）信息的可用性 （6 6）信息的可控性）信息的可控性 （7 7

11、）數(shù)字簽名和身份認(rèn)證）數(shù)字簽名和身份認(rèn)證 2009-3-10信息保障與安全06級9 2.3.1 2.3.1 防護安全防護安全 防護安全在現(xiàn)今的企業(yè)體制中已經(jīng)不可缺少，如何運防護安全在現(xiàn)今的企業(yè)體制中已經(jīng)不可缺少，如何運用最少的人力物力完成最大的防護效能，才是考慮的重點。用最少的人力物力完成最大的防護效能，才是考慮的重點。對于防護系統(tǒng)的建設(shè)，應(yīng)考慮以下幾個因素：對于防護系統(tǒng)的建設(shè)，應(yīng)考慮以下幾個因素： （1 1）全方位的防護功能，能夠考慮到所有可能的入侵）全方位的防護功能，能夠考慮到所有可能的入侵通道通道 （2 2）具有多層架構(gòu)的防護機制）具有多層架構(gòu)的防護機制 （3 3）易于集中管理及維護，具

12、有自動更新升級的能力）易于集中管理及維護，具有自動更新升級的能力 （4 4）中央控管的防護規(guī)則，完全不需使用者設(shè)定，提）中央控管的防護規(guī)則，完全不需使用者設(shè)定，提高信息人員的效率高信息人員的效率 （5 5）具有防護統(tǒng)計報告能力，易于掌握整個防護計劃）具有防護統(tǒng)計報告能力，易于掌握整個防護計劃 2009-3-10信息保障與安全06級10 信息不安全的危害已經(jīng)不只是個人，而是擴及企業(yè)，如信息不安全的危害已經(jīng)不只是個人，而是擴及企業(yè)，如果不重視防護安全，那么所帶來的危害將是無法估計的。果不重視防護安全，那么所帶來的危害將是無法估計的。在網(wǎng)絡(luò)安全領(lǐng)域中，有許多類型的安全防護措施。除了技在網(wǎng)絡(luò)安全領(lǐng)域中

13、，有許多類型的安全防護措施。除了技術(shù)層面的防護措施之外，還有幾類其他防護措施。術(shù)層面的防護措施之外，還有幾類其他防護措施。 （1 1）物理安全）物理安全 （2 2）人員安全）人員安全 （3 3）管理安全）管理安全 （4 4）謀體安全）謀體安全 （5 5）輻射安全）輻射安全 （6 6）生命周期控制）生命周期控制2009-3-10信息保障與安全06級11 2.3.2 2.3.2 運行安全運行安全 信息系統(tǒng)的安全主要是針對計算機系統(tǒng)而言，系統(tǒng)的運行信息系統(tǒng)的安全主要是針對計算機系統(tǒng)而言，系統(tǒng)的運行安全必須通過對系統(tǒng)運行的管理來提高系統(tǒng)的可靠性和安全安全必須通過對系統(tǒng)運行的管理來提高系統(tǒng)的可靠性和安全

14、性。系統(tǒng)的運行安全包括系統(tǒng)的安全運行與管理、計算機系性。系統(tǒng)的運行安全包括系統(tǒng)的安全運行與管理、計算機系統(tǒng)的維護、機房環(huán)境的監(jiān)測及維護、隨機故障維修、軟件的統(tǒng)的維護、機房環(huán)境的監(jiān)測及維護、隨機故障維修、軟件的可靠性與可維護性、操作系統(tǒng)的故障分析及處理等方面?？煽啃耘c可維護性、操作系統(tǒng)的故障分析及處理等方面。 2.3.3 2.3.3 安全管理安全管理 網(wǎng)絡(luò)信息的安全管理包括以下四類活動：網(wǎng)絡(luò)信息的安全管理包括以下四類活動： 1.1.系統(tǒng)安全管理系統(tǒng)安全管理 （1 1）總體安全策略的管理）總體安全策略的管理 （2 2）與其他安全管理功能的相互作用）與其他安全管理功能的相互作用 （3 3）事件處理管

15、理）事件處理管理 （4 4）安全審計管理）安全審計管理 （5 5）安全恢復(fù)管理）安全恢復(fù)管理2009-3-10信息保障與安全06級12 2. 2.安全服務(wù)管理安全服務(wù)管理 （1 1）為某種安全服務(wù)指派安全保護的目標(biāo)）為某種安全服務(wù)指派安全保護的目標(biāo) （2 2）在可選情況下）在可選情況下, ,指定并維護選擇規(guī)則指定并維護選擇規(guī)則, ,選取安全服務(wù)選取安全服務(wù)使用的特定的安全機制使用的特定的安全機制 （3 3）在那些需要事先取得管理同意的可用安全機制進行）在那些需要事先取得管理同意的可用安全機制進行協(xié)商協(xié)商( (本地的與遠(yuǎn)程的本地的與遠(yuǎn)程的) ) （4 4）通過適當(dāng)?shù)陌踩珯C制管理功能調(diào)用特定的安全

16、機制）通過適當(dāng)?shù)陌踩珯C制管理功能調(diào)用特定的安全機制( (例如提供行政管理強加的安全服務(wù)例如提供行政管理強加的安全服務(wù)) ) 3.3.安全機制管理安全機制管理 （1 1）密鑰管理）密鑰管理 （2 2）加密管理）加密管理 （3 3）數(shù)字簽名管理）數(shù)字簽名管理 （4 4）訪問控制管理）訪問控制管理 （5 5）數(shù)據(jù)完整性管理）數(shù)據(jù)完整性管理 （6 6）路由選擇控制管理）路由選擇控制管理 2009-3-10信息保障與安全06級13 4.4.安全管理本身涉及信息的安全安全管理本身涉及信息的安全 這一類安全管理的功能將選擇適當(dāng)?shù)陌踩?wù)和安全這一類安全管理的功能將選擇適當(dāng)?shù)陌踩?wù)和安全機制來確保安全管理協(xié)

17、議和信息獲得足夠的保護機制來確保安全管理協(xié)議和信息獲得足夠的保護. .2009-3-10信息保障與安全06級14 2.3.4 2.3.4 安全評估安全評估 1.1.可信計算機系統(tǒng)評估標(biāo)準(zhǔn)可信計算機系統(tǒng)評估標(biāo)準(zhǔn)(tcsec)(tcsec) （1 1）可信計算機系統(tǒng)評估標(biāo)準(zhǔn)原則（）可信計算機系統(tǒng)評估標(biāo)準(zhǔn)原則（p25p25）安全策略安全策略客體標(biāo)記客體標(biāo)記主體識別主體識別可檢查性可檢查性保證保證連續(xù)保護連續(xù)保護2009-3-10信息保障與安全06級15 （2 2）評估標(biāo)準(zhǔn)的安全等級）評估標(biāo)準(zhǔn)的安全等級 d d類類 c c類類 b b類類 a a類類2009-3-10信息保障與安全06級16 2.2.

18、國際國內(nèi)其他安全標(biāo)準(zhǔn)國際國內(nèi)其他安全標(biāo)準(zhǔn) （1 1）gb/t 9387.2gb/t 9387.2 （2 2）rfc2401rfc2401 （3 3）itsecitsec （4 4）美國聯(lián)邦標(biāo)準(zhǔn)）美國聯(lián)邦標(biāo)準(zhǔn)fcfc （5 5）gb17859-1999gb17859-1999 （6 6）cccc準(zhǔn)則準(zhǔn)則(it(it安全性評估通用準(zhǔn)則安全性評估通用準(zhǔn)則) ) （7 7）cccc的文檔結(jié)構(gòu)的文檔結(jié)構(gòu) （8 8）iso17799(bs7799)iso17799(bs7799) 2009-3-10信息保障與安全06級17信息安全標(biāo)準(zhǔn)信息安全標(biāo)準(zhǔn) 標(biāo)準(zhǔn)的重要性 信息社會的信息安全是建立在信息系統(tǒng)互連、互通

19、、互操作意義上的安全需求，因此需要技術(shù)標(biāo)準(zhǔn)來規(guī)范系統(tǒng)的建設(shè)和使用。 沒有標(biāo)準(zhǔn)就沒有規(guī)范，沒有規(guī)范就不能形成規(guī)模化信息安全產(chǎn)業(yè)，生產(chǎn)出足夠的滿足社會廣泛需要的產(chǎn)品。沒有標(biāo)準(zhǔn)也不能規(guī)范人們安全防范行為。 國際上的信息安全標(biāo)準(zhǔn)涉及到有關(guān)密碼應(yīng)用和信息系統(tǒng)安全兩大類。 制定標(biāo)準(zhǔn)的機構(gòu)有國際標(biāo)準(zhǔn)化組織，某些國家的標(biāo)準(zhǔn)化機關(guān)和一些企業(yè)集團。他們的工作推動了信息系統(tǒng)的規(guī)范化發(fā)展和信息安全產(chǎn)業(yè)的形成。 標(biāo)準(zhǔn)是科研水平、技術(shù)能力的體現(xiàn)，反映了一個國家的綜合實力。 標(biāo)準(zhǔn)也是進入wto的國家保護自己利益的重要手段。2009-3-10信息保障與安全06級18國際標(biāo)準(zhǔn)的發(fā)展 國際上著名的標(biāo)準(zhǔn)化組織及其標(biāo)準(zhǔn)化工作 iso

20、，nist 密碼標(biāo)準(zhǔn) des aes nessie(new european schemes for signature, integrity, and encryption) 140-2 （nist fips pub 密碼模塊） 可信計算機系統(tǒng)評價準(zhǔn)則 tcsec-itsec-cc 管理標(biāo)準(zhǔn) iso 177992009-3-10信息保障與安全06級19權(quán)威的傳統(tǒng)評估標(biāo)準(zhǔn) 美國國防部在1985年公布 可信計算機安全評估準(zhǔn)則 trusted computer security evaluation criteria (tcsec) 為安全產(chǎn)品的測評提供準(zhǔn)則和方法 指導(dǎo)信息安全產(chǎn)品的制造和應(yīng)用20

21、09-3-10信息保障與安全06級20傳統(tǒng)評估標(biāo)準(zhǔn)的演變 美國dod dod85 tesec tcsec網(wǎng)絡(luò)解釋（tni 1987） tcsec數(shù)據(jù)庫管理系統(tǒng)解釋（tdi 1991） 彩虹系列rainbow series 歐洲 itsec 美國、加拿大、歐洲等共同發(fā)起common criteria(cc)2009-3-10信息保障與安全06級21tcsec 準(zhǔn)則中，從用戶登錄、授權(quán)管理、訪問控制、審計跟蹤、隱通道分析、可信通道建立、安全檢測、生命周期保障、文本寫作、用戶指南均提出了規(guī)范性要求 可信計算基(tcb- trusted computing base) 計算機系統(tǒng)中的負(fù)責(zé)執(zhí)行一個安全策

22、略的包括硬件、軟件、固件組合的保護技巧的全體。一個tcb由一個或多個在產(chǎn)品或系統(tǒng)上一同執(zhí)行統(tǒng)一的安全策略的部件組成。一個tcb的能力是正確的依靠系統(tǒng)管理人員的輸入有關(guān)安全策略的參數(shù)，正確獨立地執(zhí)行安全策略。 訪問控制機制 主要原則：嚴(yán)禁上讀、下寫（no read up no write down）就是主要針對信息的保密要求2009-3-10信息保障與安全06級22可信計算機系統(tǒng)安全等級 類類別別 級級別別 名稱名稱 主要特征主要特征 a a1 驗證設(shè)計驗證設(shè)計 形式化的最高級描述和驗證，形式形式化的最高級描述和驗證，形式化的隱蔽通道分析，非形式化的代化的隱蔽通道分析，非形式化的代碼對應(yīng)證明碼對

23、應(yīng)證明 b3 安全區(qū)域安全區(qū)域 存取監(jiān)控，高抗?jié)B透能力存取監(jiān)控，高抗?jié)B透能力 b b2 結(jié)構(gòu)化保護結(jié)構(gòu)化保護 形式化模型形式化模型/隱通道約束、面向安全隱通道約束、面向安全的體系結(jié)構(gòu)，較好的抗?jié)B透能力的體系結(jié)構(gòu)，較好的抗?jié)B透能力 b1 標(biāo)識的安全保護標(biāo)識的安全保護 強制存取控制、安全標(biāo)識強制存取控制、安全標(biāo)識 c c2 受控制的存取控受控制的存取控制制 單獨的可查性、廣泛的審計跟蹤單獨的可查性、廣泛的審計跟蹤 c1 自主安全保護自主安全保護 自主存取控制自主存取控制 d d 低級保護低級保護 相當(dāng)于無安全功能的個人微機相當(dāng)于無安全功能的個人微機 2009-3-10信息保障與安全06級23tcs

24、ec的不足 tcsec是針對孤立計算機系統(tǒng)，特別是小型機和主機系統(tǒng)。假設(shè)有一定的物理保障，該標(biāo)準(zhǔn)適合政府和軍隊，不適和企業(yè)。這個模型是靜態(tài)的。 ncsc的tni是把tcsec的思想用到網(wǎng)絡(luò)上，缺少成功實踐的支持。 moores law: 計算機的發(fā)展周期18個月，現(xiàn)在還有可能減少到一年。不允許長時間進行計算機安全建設(shè)，計算機安全建設(shè)要跟隨計算機發(fā)展的規(guī)律。2009-3-10信息保障與安全06級24itsec （又稱歐洲白皮書） 90年代初西歐四國（英、法、荷、德）聯(lián)合提出了信息技術(shù)安全評價標(biāo)準(zhǔn)（itsec） 除了吸收tcsec的成功經(jīng)驗外，首次提出了信息安全的保密性、完整性、可用性的概念，把可

25、信計算機的概念提高到可信信息技術(shù)的高度上來認(rèn)識。他們的工作成為歐共體信息安全計劃的基礎(chǔ)，并對國際信息安全的研究、實施帶來深刻的影響。2009-3-10信息保障與安全06級25itsecitsec定義了七個安全級別定義了七個安全級別 e6e6：形式化驗證；：形式化驗證； e5e5：形式化分析；：形式化分析； e4e4：半形式化分析；：半形式化分析； e3e3：數(shù)字化測試分析；：數(shù)字化測試分析； e2e2：數(shù)字化測試；：數(shù)字化測試； e1e1：功能測試；：功能測試； e0e0：不能充分滿足保證。：不能充分滿足保證。2009-3-10信息保障與安全06級26通用評價準(zhǔn)則（cc） 它的基礎(chǔ)是歐州的it

26、sec，美國的包括 tcsec 在內(nèi)的新的聯(lián)邦評價標(biāo)準(zhǔn)，加拿大的 ctcpec，以及 國際標(biāo)準(zhǔn)化組織iso :sc27 wg3 的安全評價標(biāo)準(zhǔn) 1995年頒布0.9版，1996年1月出版了10版。 1997年8月頒布2.0 beata版， 2.0 版于1998年5月頒布。 1998-11-15 成為iso/iec 15408信息技術(shù)-安全技術(shù)-it安全評價準(zhǔn)則2009-3-10信息保障與安全06級27通用評價準(zhǔn)則（cc） 美國為了保持他們在制定準(zhǔn)則方面的優(yōu)勢，不甘心tcsec的影響被itsec取代，他們采取聯(lián)合其他國家共同提出新的評估準(zhǔn)則的辦法體現(xiàn)他們的領(lǐng)導(dǎo)作用。 91年1月宣布了制定通用安全

27、評價準(zhǔn)則（cc）的計劃。它的全稱是common criteria for it security evaluation 。 制定的國家涉及到六國七方，他們是美國的國家標(biāo)準(zhǔn)及技術(shù)研究所（nist）和國家安全局（nsa），歐州的荷、法、德、英，北美的加拿大。2009-3-10信息保障與安全06級28cccc標(biāo)準(zhǔn)評價的三個方面標(biāo)準(zhǔn)評價的三個方面 cccc標(biāo)準(zhǔn)評價的三個方面標(biāo)準(zhǔn)評價的三個方面保密性（保密性（confidentialityconfidentiality）完整性（完整性（integrityintegrity）可用性（可用性（availabilityavailability） cccc標(biāo)準(zhǔn)中

28、未包含的內(nèi)容：標(biāo)準(zhǔn)中未包含的內(nèi)容：行政管理安全的評價準(zhǔn)則行政管理安全的評價準(zhǔn)則電磁泄露電磁泄露行政管理方法學(xué)和合法授權(quán)的結(jié)構(gòu)行政管理方法學(xué)和合法授權(quán)的結(jié)構(gòu)產(chǎn)品和系統(tǒng)評價結(jié)果的使用授權(quán)產(chǎn)品和系統(tǒng)評價結(jié)果的使用授權(quán)密碼算法質(zhì)量的評價密碼算法質(zhì)量的評價2009-3-10信息保障與安全06級29cc評價準(zhǔn)則的結(jié)構(gòu) 第一部分：介紹和總體模型 對cc評價準(zhǔn)則的介紹。定義it安全評價和描述模型的一般概念和原則，提出選擇和定義說明產(chǎn)品和系統(tǒng)it安全客體的明確的組織的安全要求。 第二部分：安全功能要求 用標(biāo)準(zhǔn)化的方法對評價目標(biāo)（toe）建立一個明確的安全要求的部件功能集合。功能集合分類為部件（component

29、s）、族（families）和類（classes） 第三部分：安全保證要求 用標(biāo)準(zhǔn)化的方法對評價目標(biāo)（toe）建立一個明確的安全要求的保證部件的集合。對保護方案（pp）和安全目標(biāo)（st）進行定義，并且對安全評價目標(biāo)（toe）提出安全評價保證級別（eal）2009-3-10信息保障與安全06級30evaluation assurance levels (eals)ealeal1eal2eal3eal4eal5eal6name功能化測試結(jié)構(gòu)化測試方法學(xué)測試和檢查方法學(xué)設(shè)計測試和檢查半形式化設(shè)計和檢查半形式化校驗，設(shè)計和測試形式化校驗設(shè)計和測試tcsecc1c2b1b2b3a1eal72009-3-

30、10信息保障與安全06級31我國的標(biāo)準(zhǔn)化工作 我國是國際標(biāo)準(zhǔn)化組織的成員國，我國的信息安全標(biāo)準(zhǔn)化工作在各方面的努力下，正在積極開展之中。從80年代中期開始，自主制定和視同采用了一批相應(yīng)的信息安全標(biāo)準(zhǔn)。 但是，應(yīng)該承認(rèn)，標(biāo)準(zhǔn)的制定需要較為廣泛的應(yīng)用經(jīng)驗和較為深入的研究背景。這兩方面的差距，使我國的信息安全標(biāo)準(zhǔn)化工作與國際已有的工作比較，覆蓋的方面還不夠大，宏觀和微觀的指導(dǎo)作用也有待進一步提高。2009-3-10信息保障與安全06級322.4 安全理論與技術(shù)分析 2.4.1 2.4.1 密碼理論與數(shù)據(jù)加密技術(shù)密碼理論與數(shù)據(jù)加密技術(shù) 1.1.密碼理論密碼理論 密碼理論是研究編制密碼和破譯密碼的技術(shù)科

31、學(xué)。研究密密碼理論是研究編制密碼和破譯密碼的技術(shù)科學(xué)。研究密碼變化的客觀規(guī)律，并將該規(guī)律應(yīng)用于編制密碼以保守通信碼變化的客觀規(guī)律，并將該規(guī)律應(yīng)用于編制密碼以保守通信秘密，我們稱為編碼學(xué)；應(yīng)用于破譯密碼以獲取通信情報，秘密，我們稱為編碼學(xué)；應(yīng)用于破譯密碼以獲取通信情報，我們稱為破譯學(xué)，二者總稱密碼學(xué)。我們稱為破譯學(xué)，二者總稱密碼學(xué)。 2.2.數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù) 數(shù)據(jù)加密技術(shù)是最基本的網(wǎng)絡(luò)安全技術(shù)數(shù)據(jù)加密技術(shù)是最基本的網(wǎng)絡(luò)安全技術(shù), ,被稱為信息安全被稱為信息安全的核心的核心, ,最初主要用于保證數(shù)據(jù)在存儲和傳輸過程中的保密性最初主要用于保證數(shù)據(jù)在存儲和傳輸過程中的保密性. .通過各種方法將

32、被保護信息置換成密文通過各種方法將被保護信息置換成密文, ,然后再進行信息的存然后再進行信息的存儲或傳輸儲或傳輸, ,即使加密信息在存儲或傳輸過程為非授權(quán)人員所獲即使加密信息在存儲或傳輸過程為非授權(quán)人員所獲得得, ,也可以保證這些信息不為其認(rèn)知也可以保證這些信息不為其認(rèn)知, ,從而達到保護信息的目從而達到保護信息的目的的. .該方法的保密性直接取決于所采用的密碼算法和密鑰長度。該方法的保密性直接取決于所采用的密碼算法和密鑰長度。 2009-3-10信息保障與安全06級33 2.4.2 2.4.2 認(rèn)證識別理論與技術(shù)認(rèn)證識別理論與技術(shù) 相互認(rèn)證是客戶機和服務(wù)器相互識別的過程相互認(rèn)證是客戶機和服務(wù)

33、器相互識別的過程, ,它們的識別它們的識別號用公開密鑰編碼號用公開密鑰編碼, ,并在并在sslssl握手時交換各自的識別號。為了握手時交換各自的識別號。為了驗證持有者是其合法用戶驗證持有者是其合法用戶, ,而不是冒名用戶而不是冒名用戶, ssl, ssl要求證明持要求證明持有者在握手時對交換數(shù)據(jù)進行數(shù)字式標(biāo)識。證明持有者要對有者在握手時對交換數(shù)據(jù)進行數(shù)字式標(biāo)識。證明持有者要對包括證明的所有信息數(shù)據(jù)進行標(biāo)識包括證明的所有信息數(shù)據(jù)進行標(biāo)識, ,以說明自己是證明的合法以說明自己是證明的合法擁有者擁有者, ,這樣就防止了其他用戶冒名使用證明。證明本身并不這樣就防止了其他用戶冒名使用證明。證明本身并不提

34、供認(rèn)證提供認(rèn)證, ,只有證明和密鑰一起才起作用。只有證明和密鑰一起才起作用。 2.4.3 2.4.3 授權(quán)與訪問控制理論與技術(shù)授權(quán)與訪問控制理論與技術(shù) 為了防止非法用戶使用系統(tǒng)及合法用戶對系統(tǒng)資源的非法為了防止非法用戶使用系統(tǒng)及合法用戶對系統(tǒng)資源的非法使用，需要對計算機系統(tǒng)實體進行訪問控制。對實體系統(tǒng)的使用，需要對計算機系統(tǒng)實體進行訪問控制。對實體系統(tǒng)的訪問控制必須對訪問者的身份實施一定的限制，這是保證系訪問控制必須對訪問者的身份實施一定的限制，這是保證系統(tǒng)安全所必需的。要解決上述問題，訪問控制需采取下述兩統(tǒng)安全所必需的。要解決上述問題，訪問控制需采取下述兩種措施：種措施： （1 1）識別與驗

35、證訪問系統(tǒng)的用戶）識別與驗證訪問系統(tǒng)的用戶 （2 2）決定用戶對某一系統(tǒng)資源可進行何種訪問（讀、寫、）決定用戶對某一系統(tǒng)資源可進行何種訪問（讀、寫、修改、運行等）修改、運行等）2009-3-10信息保障與安全06級34 2.4.4 2.4.4 審計追蹤技術(shù)審計追蹤技術(shù) 審計追蹤審計追蹤是指對安防體系、策略、人和流程等對象的是指對安防體系、策略、人和流程等對象的深入細(xì)致的核查，目的是為了找出安防體系中的薄弱環(huán)節(jié)深入細(xì)致的核查，目的是為了找出安防體系中的薄弱環(huán)節(jié)并給出相應(yīng)的解決方案。并給出相應(yīng)的解決方案。審計追蹤的基本任務(wù)審計追蹤的基本任務(wù)有兩項：首有兩項：首先，檢查實際工作是不是按照現(xiàn)有規(guī)章制度

36、去辦事的；第先，檢查實際工作是不是按照現(xiàn)有規(guī)章制度去辦事的；第二，對審計步驟進行調(diào)整和編排，更好地判斷出安防事件二，對審計步驟進行調(diào)整和編排，更好地判斷出安防事件的發(fā)生地點或來源。的發(fā)生地點或來源。 2.4.5 2.4.5 網(wǎng)間隔離與訪問代理技術(shù)網(wǎng)間隔離與訪問代理技術(shù) 從技術(shù)上來講代理服務(wù)是一種網(wǎng)關(guān)功能，但它的邏輯從技術(shù)上來講代理服務(wù)是一種網(wǎng)關(guān)功能，但它的邏輯位置是在位置是在osiosi七層協(xié)議的應(yīng)用層之上。代理使用一個客戶七層協(xié)議的應(yīng)用層之上。代理使用一個客戶程序與特定的中間結(jié)點鏈接，然后中間結(jié)點與期望的服務(wù)程序與特定的中間結(jié)點鏈接，然后中間結(jié)點與期望的服務(wù)器進行實際鏈接。與應(yīng)用網(wǎng)關(guān)型防火墻

37、所不同的是，使用器進行實際鏈接。與應(yīng)用網(wǎng)關(guān)型防火墻所不同的是，使用這類防火墻時外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間不存在直接連接，這類防火墻時外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間不存在直接連接，因此，即使防火墻產(chǎn)生了問題，外部網(wǎng)絡(luò)也無法與被保護因此，即使防火墻產(chǎn)生了問題，外部網(wǎng)絡(luò)也無法與被保護的網(wǎng)絡(luò)連接。的網(wǎng)絡(luò)連接。2009-3-10信息保障與安全06級35 2.4.6 2.4.6 反病毒技術(shù)反病毒技術(shù) 計算機病毒的預(yù)防、檢測和清除是計算機反病毒技術(shù)計算機病毒的預(yù)防、檢測和清除是計算機反病毒技術(shù)的三大內(nèi)容。的三大內(nèi)容。也就是說計算機病毒的防治要從防毒、查毒也就是說計算機病毒的防治要從防毒、查毒和解毒三方面來進行；系統(tǒng)對于

38、計算機病毒的實際防治能和解毒三方面來進行；系統(tǒng)對于計算機病毒的實際防治能力和效果也要從防毒能力、查毒能力和解毒能力三方面來力和效果也要從防毒能力、查毒能力和解毒能力三方面來評判。評判。防毒防毒是指根據(jù)系統(tǒng)特性，采取相應(yīng)的系統(tǒng)安全措施是指根據(jù)系統(tǒng)特性，采取相應(yīng)的系統(tǒng)安全措施預(yù)防病毒侵入計算機。預(yù)防病毒侵入計算機。查毒查毒是指對于確定的環(huán)境，能夠準(zhǔn)是指對于確定的環(huán)境，能夠準(zhǔn)確地報出病毒名稱，確地報出病毒名稱，解毒解毒是指根據(jù)不同類型病毒對感染對是指根據(jù)不同類型病毒對感染對象的修改，并按照病毒的感染特性所進行的恢復(fù)，該恢復(fù)象的修改，并按照病毒的感染特性所進行的恢復(fù)，該恢復(fù)過程不能破壞未被病毒修改的內(nèi)

39、容，感染對象包括內(nèi)存、過程不能破壞未被病毒修改的內(nèi)容，感染對象包括內(nèi)存、引導(dǎo)區(qū)（含主引導(dǎo)區(qū)）、可執(zhí)行文件、文檔文件、網(wǎng)絡(luò)等。引導(dǎo)區(qū)（含主引導(dǎo)區(qū)）、可執(zhí)行文件、文檔文件、網(wǎng)絡(luò)等。 （1 1）防毒能力是指預(yù)防病毒侵入計算機系統(tǒng)的能力）防毒能力是指預(yù)防病毒侵入計算機系統(tǒng)的能力 （2 2）查毒能力是指發(fā)現(xiàn)和追蹤病毒來源的能力）查毒能力是指發(fā)現(xiàn)和追蹤病毒來源的能力 （3 3）解毒能力是指從感染對象中清除病毒，恢復(fù)被?。┙舛灸芰κ侵笍母腥緦ο笾星宄《?，恢復(fù)被病毒感染前的原始信息的能力；解毒能力應(yīng)用解毒率來評判毒感染前的原始信息的能力；解毒能力應(yīng)用解毒率來評判2009-3-10信息保障與安全06級36 2

40、.4.7 2.4.7 入侵檢測技術(shù)入侵檢測技術(shù) 入侵檢測技術(shù)入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)術(shù), ,是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。術(shù)。入侵檢測系統(tǒng)入侵檢測系統(tǒng)能夠識別出來自于網(wǎng)絡(luò)外部和內(nèi)部的不能夠識別出來自于網(wǎng)絡(luò)外部和內(nèi)部的不希望有的活動。典型的入侵檢測系統(tǒng)包括下述希望有的活動。典型的入侵檢測系統(tǒng)包括下述三個功能部三個功能部件：件： （1 1）提供事件記錄流的信息源）提供事件記

41、錄流的信息源 （2 2）發(fā)現(xiàn)入侵跡象的分析引擎）發(fā)現(xiàn)入侵跡象的分析引擎 （3 3）基于分析引擎的分析結(jié)果產(chǎn)生反映的響應(yīng)部件）基于分析引擎的分析結(jié)果產(chǎn)生反映的響應(yīng)部件 2009-3-10信息保障與安全06級37 入侵檢測系統(tǒng)作為網(wǎng)絡(luò)安全整體解決方案的一個重要入侵檢測系統(tǒng)作為網(wǎng)絡(luò)安全整體解決方案的一個重要部分，需要與其他設(shè)備之間進行緊密的聯(lián)系與配合，共同部分，需要與其他設(shè)備之間進行緊密的聯(lián)系與配合，共同解決網(wǎng)絡(luò)安全問題，這就引入?yún)f(xié)同技術(shù)的要求。解決網(wǎng)絡(luò)安全問題，這就引入?yún)f(xié)同技術(shù)的要求。 1.1.數(shù)據(jù)采集協(xié)同數(shù)據(jù)采集協(xié)同 （1 1）入侵檢測系統(tǒng)與漏洞掃描系統(tǒng)的協(xié)同）入侵檢測系統(tǒng)與漏洞掃描系統(tǒng)的協(xié)同

42、（2 2）入侵檢測系統(tǒng)與防病毒系統(tǒng)的協(xié)同）入侵檢測系統(tǒng)與防病毒系統(tǒng)的協(xié)同 2.2.數(shù)據(jù)分析協(xié)同數(shù)據(jù)分析協(xié)同 3.3.響應(yīng)協(xié)同響應(yīng)協(xié)同 （1 1）入侵檢測系統(tǒng)與防火墻的協(xié)同）入侵檢測系統(tǒng)與防火墻的協(xié)同 （2 2）入侵檢測系統(tǒng)與路由器、交換機的協(xié)同）入侵檢測系統(tǒng)與路由器、交換機的協(xié)同 （3 3）入侵檢測系統(tǒng)與防病毒系統(tǒng)的協(xié)同）入侵檢測系統(tǒng)與防病毒系統(tǒng)的協(xié)同 （4 4）入侵檢測系統(tǒng)與蜜罐和填充單元系統(tǒng)的協(xié)同）入侵檢測系統(tǒng)與蜜罐和填充單元系統(tǒng)的協(xié)同 蜜罐蜜罐是試圖將攻擊者從關(guān)鍵系統(tǒng)引誘開的誘騙系統(tǒng)。是試圖將攻擊者從關(guān)鍵系統(tǒng)引誘開的誘騙系統(tǒng)。這些系統(tǒng)充滿了看起來很有用的信息，但這些信息實際是這些系統(tǒng)充滿

43、了看起來很有用的信息，但這些信息實際是捏造的，誠實的用戶是訪問不到它們的。捏造的，誠實的用戶是訪問不到它們的。2009-3-10信息保障與安全06級38 2.4.8 2.4.8 網(wǎng)絡(luò)安全技術(shù)的綜合利用網(wǎng)絡(luò)安全技術(shù)的綜合利用 在網(wǎng)絡(luò)安全技術(shù)中在網(wǎng)絡(luò)安全技術(shù)中, ,數(shù)據(jù)加密是其他一切安全技術(shù)的核數(shù)據(jù)加密是其他一切安全技術(shù)的核心和基礎(chǔ)。在實際網(wǎng)絡(luò)系統(tǒng)的安全實施中心和基礎(chǔ)。在實際網(wǎng)絡(luò)系統(tǒng)的安全實施中, ,可以根據(jù)系統(tǒng)可以根據(jù)系統(tǒng)的安全需求的安全需求, ,配合使用各種安全技術(shù)來實現(xiàn)一個完整的網(wǎng)配合使用各種安全技術(shù)來實現(xiàn)一個完整的網(wǎng)絡(luò)安全解決方案。例如目前常用的自適應(yīng)網(wǎng)絡(luò)安全管理模絡(luò)安全解決方案。例如目前

44、常用的自適應(yīng)網(wǎng)絡(luò)安全管理模型，就是通過防火墻、網(wǎng)絡(luò)安全掃描、網(wǎng)絡(luò)入侵檢測等技型，就是通過防火墻、網(wǎng)絡(luò)安全掃描、網(wǎng)絡(luò)入侵檢測等技術(shù)的結(jié)合來實現(xiàn)網(wǎng)絡(luò)系統(tǒng)動態(tài)的可適應(yīng)的網(wǎng)絡(luò)安全目標(biāo)。術(shù)的結(jié)合來實現(xiàn)網(wǎng)絡(luò)系統(tǒng)動態(tài)的可適應(yīng)的網(wǎng)絡(luò)安全目標(biāo)。2009-3-10信息保障與安全06級392.5 安全層次與模型 2.5.1 2.5.1 安全層次分析安全層次分析 信息系統(tǒng)安全是一項復(fù)雜的系統(tǒng)工程，它的實現(xiàn)不僅是信息系統(tǒng)安全是一項復(fù)雜的系統(tǒng)工程，它的實現(xiàn)不僅是純碎的技術(shù)方面的問題，而且還需要法律、管理、社會因純碎的技術(shù)方面的問題，而且還需要法律、管理、社會因素的配合。因此信息系統(tǒng)安全模型的層次結(jié)構(gòu)如圖素的配合。因此信息

45、系統(tǒng)安全模型的層次結(jié)構(gòu)如圖2-12-1所所示。示。 2009-3-10信息保障與安全06級40 法律、規(guī)范、道德、紀(jì)律法律、規(guī)范、道德、紀(jì)律 管理細(xì)則、保護措施管理細(xì)則、保護措施 物理實體安全環(huán)境物理實體安全環(huán)境 硬件系統(tǒng)安全措施硬件系統(tǒng)安全措施 通信網(wǎng)絡(luò)安全措施通信網(wǎng)絡(luò)安全措施 軟件系統(tǒng)安全措施軟件系統(tǒng)安全措施 數(shù)據(jù)信息安全數(shù)據(jù)信息安全第七層第七層第六層第六層第五層第五層第四層第四層第三層第三層第二層第二層 第一層第一層圖圖2-1 2-1 信息系統(tǒng)安全層次模型信息系統(tǒng)安全層次模型2009-3-10信息保障與安全06級41 第一層是法律制度與道德規(guī)范。日益嚴(yán)重的計算機犯第一層是法律制度與道德規(guī)范。日益嚴(yán)重的計算機犯罪，迫使各國盡快制定出嚴(yán)密的法律、政策，從根本上改罪，迫使各國盡快制定出嚴(yán)密的法律、政策，從根本上改變知識犯罪無法可依的局面。變知識犯罪無法可依的局面。 第二層是管理制度的建立與實施。安全管理制度的建第二層是管理制度的建立與實施。安全管理制度的建立與實施，是實現(xiàn)計算機信息系統(tǒng)安全的重要性。它包括立與實施，是實現(xiàn)計算機信息系統(tǒng)安全的重要性。它包括安全管理人員的教育培訓(xùn)、制度的落實、職責(zé)的檢查等方安全管理人員的教育培訓(xùn)、制度的落實、職責(zé)的檢查等方面的內(nèi)容。面的內(nèi)容。 第三、