數(shù)據(jù)庫引論課件_第1頁
數(shù)據(jù)庫引論課件_第2頁
數(shù)據(jù)庫引論課件_第3頁
數(shù)據(jù)庫引論課件_第4頁
數(shù)據(jù)庫引論課件_第5頁
已閱讀5頁,還剩57頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

信息系統(tǒng)安全教程課件電子郵件:信息系統(tǒng)安全教程

張基溫

基本內容引論數(shù)據(jù)保密認證——數(shù)據(jù)認證、身份認證訪問控制入侵與攻擊網(wǎng)絡防衛(wèi)安全管理0.1信息系統(tǒng)風險系統(tǒng)風險是指系統(tǒng)遭受意外損失的可能性,它主要來自系統(tǒng)可能遭受的各種威脅、系統(tǒng)本身的脆弱性以及系統(tǒng)對于威脅的失策。信息已經(jīng)有多種的解釋認識論:把信息看作不確定性的減少或傳遞中的知識差(degreeofknowledge)哲學界:信息是以傳遞知識差的形式來減少不確定性、增加系統(tǒng)有序度的資源。0.1.1信息系統(tǒng)及其重要性信息系統(tǒng)信息系統(tǒng)就是一種減少不確定性、減少風險的工具。信息系統(tǒng)就是一種開發(fā)信息資源的工具,是信息以及用于信息的采集、傳輸、存儲、管理、檢索和利用等工具的有機整體。按照威脅的來源分類(1)自然災害威脅(2)濫用性威脅(3)有意人為威脅按照作用對象分類(1)針對信息的威脅機密性(confidentiality)完整性(integrity)可用性(availability)真實性(authenticity)因此,針對信息(資源)的威脅可以歸結為三類:信息破壞:非法取得信息的使用權,刪除、修改、插入、惡意添加或重發(fā)某些數(shù)據(jù),以影響信息正常用戶的正常使用。信息泄密:故意或偶然地非法偵收、截獲、分析某些信息系統(tǒng)中的信息,造成系統(tǒng)數(shù)據(jù)泄密。假冒或否認:假冒某一可信任方進行通信或者對發(fā)送的數(shù)據(jù)事后予以否認。(2)針對系統(tǒng)的威脅包括對系統(tǒng)硬件的威脅和對系統(tǒng)軟件的威脅。按照方法的分類(1)信息泄露在傳輸中被利用電磁輻射或搭接線路的方式竊??;授權者向未授權者泄露存儲設備被盜竊或盜用;未授權者利用特定的工具捕獲網(wǎng)絡中的數(shù)據(jù)流量、流向、數(shù)據(jù)長度等數(shù)據(jù)進行分析,從中獲取敏感信息。(2)掃描(scan)掃描是利用特定的軟件工具向目標發(fā)送特制的數(shù)據(jù)包,對響應進行分析,以了解目標網(wǎng)絡或主機的特征。(3)入侵(intrusion)旁路控制假冒口令破解合法用戶的非授權訪問0.1.3信息系統(tǒng)安全的脆弱性信息系統(tǒng)脆弱性的根源(1)基于信息屬性的本源性脆弱(2)基于系統(tǒng)復雜性的結構性脆弱(3)基于攻防不對稱性的普通性脆弱基于信息屬性的本源性脆弱依附性和多質性:依附于物質及其運動過程,隨著它所依附的物質及其運動方式的不同,形成信息的多媒體性質——多質性。非消耗性:不像物質和能量那樣會在傳輸、存儲和使用中被消耗??晒蚕硇?可重用性:信息不像物質和能量那樣具有獨占性,它容易被復制、被共享。聚變性和增值性:信息對于不確定性的減少,具有1+1不等于2的性質,即多個相關信息一起作用可能會大于(也可能小于)單個信息被分別獲取所起的作用,而且在信息的使用過程中,不僅不會被消耗,還會被增值,形成消除更多不確定性的信息。易偽性:由于多質性,使信息很容易被偽造、被篡改、被破壞。基于攻防不對稱性的普通性脆弱攻擊可以在任意時刻發(fā)起,防御必須隨時警惕;攻擊可以選擇一個薄弱點進行,防御必須全線設防;攻擊包含了對未知缺陷的探測,防御只能對已知的攻擊防御;攻擊常在暗處,具隱蔽性,防御常在明處,表面看起來完美,使人容易疏忽,喪失警惕;攻擊可以肆意進行,防御必須遵循一定的規(guī)則。基于網(wǎng)絡的開放和數(shù)據(jù)庫共享的應用性脆弱現(xiàn)代信息系統(tǒng)是基于信息處理和信息傳輸技術的?,F(xiàn)代信息處理中重要的支撐技術是數(shù)據(jù)庫技術,現(xiàn)代通信技術的支撐是電磁通信和計算機網(wǎng)絡。而數(shù)據(jù)庫的共享性、電磁通信的易攻擊性和計算機網(wǎng)絡的開放性,都使信息系統(tǒng)顯得非常脆弱。信息系統(tǒng)脆弱性的表現(xiàn)(1)芯片的安全脆弱性(2)操作系統(tǒng)安全漏洞下面列舉操作系統(tǒng)脆弱性的一些共性:后門式漏洞?!把a丁”式漏洞。遠程創(chuàng)建進程式漏洞。0.2信息系統(tǒng)安全概念0.2.1基于通信保密的信息系統(tǒng)安全概念0.2.2基于信息系統(tǒng)防護的信息系統(tǒng)安全概念0.2.3基于信息保障的信息系統(tǒng)安全概念0.2.1基于通信保密的信息系統(tǒng)安全概念早期的信息保密2.計算機時代的信息保密Enigma加密機0.2.2基于信息系統(tǒng)防護的信息系統(tǒng)安全概念具體目標:系統(tǒng)保護:對設施或技術系統(tǒng)的可靠性、完整性和可用性保護;信息內容保護:保護系統(tǒng)中數(shù)據(jù)的機密性、完整性、可用性。這個概念的形成經(jīng)歷了兩個階段:計算機安全這一時代的標志是1970年美國國防科學委員會提出,并于1985年12月美國國防部(DoD)公布的可信計算機系統(tǒng)評價準則(TCSEC,橘皮書)。它將計算機的安全分為4個方面(安全策略、可說明性、安全保障和文檔)、7個等級(D、C1、C2、B1、B2、B3、A1)。A1級別最高。0.2.3基于信息保障的信息系統(tǒng)安全概念信息保障(Information

Assurace)的概念最初是由美國國防部長辦公室提出來的后被寫入命令《DoD

Directive

S-3600.1

Information

Operation》中,在1996年12月9日以國防部的名義發(fā)表,將信息安全的屬性從過去的保密性、完整性、可用性,又增添了可驗證性和不可否認性。但是,信息保障的思想應該說在這個命令的前一年,即1995年12月美國國防部提出的PDR模型中就已經(jīng)體現(xiàn)出來了。可以說,信息保障的概念也是在PDR(protection–detection–response,防護—檢測—響應)模型的不斷完善中發(fā)展的。從被動防御走向主動防御從靜態(tài)防御走向動態(tài)防御從技術與管理分離到技術與管理融合PDRR模型防護(Protect)、檢測(Detect)、響應(React)、恢復(Restore)從被動到主動防御PDR模型PDRR模型日本阪神大地震美國911事件時間是量化的,可以被計算。Pt是系統(tǒng)整體防護時間;Dt是檢測時間;Rt是系統(tǒng)響應時間,再引入Et=暴露時間,則可以得到如下關系如果Pt>Dt+Rt,那么系統(tǒng)是安全的;如果Pt≤Dt+Rt,那么Et=(Dt+Rt)?Pt。從技術與管理分離到技術與管理融合PPDR模型信息安全保障要依賴于人、技術和管理三者共同完成,通過提高系統(tǒng)的預警能力、保護能力、檢測能力、反應能力和恢復能力,在信息和系統(tǒng)生命周期全過程的各個狀態(tài)下提供適當?shù)陌踩δ?。其中,管理的作用是非常突出的。管理是PPDR模型的核心,是整個信息系統(tǒng)安全的依據(jù),是所有的保護、檢測、響應的實施依據(jù)。強調安全策略的實質就是要充分考慮人的管理因素。0.2.4基于經(jīng)濟學的信息系統(tǒng)安全概念對于信息系統(tǒng)安全來說,需要考慮如下三個與經(jīng)濟有關的問題:系統(tǒng)資產:需要保護系統(tǒng)的哪些資源?這些被保護的資源統(tǒng)稱系統(tǒng)資產。資產損失:明確系統(tǒng)被攻擊成功時遭受的損失。投入:確定為保護系統(tǒng)安全需要投入的資金。1.資產(1)物理資源(2)信息資源(3)時間資源(4)人力資源(5)信譽(形象)資源2.資產損失3種情形:(1)一時性損失。如系統(tǒng)死機、人員不能工作、處理時間拖延等。(2)長期恢復損失。如信息資源的重新配置等,需要一定的時間。(3)潛在損失。損失內容:(1)資金損失:生產力損失;直接損失的設備和資金;調查成本;修復或更換設備付出的成本;專家咨詢成本;員工加班的報酬等。(2)形象損失(3)業(yè)務損失(4)人員流失。3.安全投資安全強度高中低高中低侵入可能性安全投入平衡點安全強度高高中中低低較低侵入可能性安全投入平衡點1較高侵入可能性平衡點2(a)安全投入與侵入可能性的折中(b)平衡點的變化4.適度的安全適度的安全包含了如下3個安全概念:(1)不夠安全:安全投入小于所減少的損失。(2)適度安全:安全投入等于所減少的損失。(3)過分安全:安全投入大于所減少的損失。0.3信息系統(tǒng)安全體系0.3.1OSI信息系統(tǒng)安全體系結構概述定義:信息系統(tǒng)安全體系是一個能為所保障對象提供可用性、機密性、完整性、不可抵賴性、可授權性的可持續(xù)系統(tǒng)。機制:

(1)風險分析(Risk)

(2)安全防護(Protect)

(3)安全檢測(Detect)

(4)測試與評估(TestandEvaluate)

(5)應急響應(React)

(6)恢復(Restore)0.3.2OSI安全體系的安全服務1.認證服務通信的對等實體鑒別服務:使N+1層實體確信某一時刻與之建立連接或進行數(shù)據(jù)傳輸?shù)氖撬枰囊粋€或多個N層實體。數(shù)據(jù)原發(fā)鑒別:使N+1層實體確信接收到的數(shù)據(jù)單元的來源是自己要求的。2.訪問控制服務建立用戶(主體)與資源(客體)之間的訪問關系(如讀、寫、刪除、運行等),防止對某一資源的非授權使用。3.機密性服務·連接機密性保護:保證一次(N)連接上的全部(N)用戶數(shù)據(jù)都保護起來不使非授權泄露?!o連接機密性保護:為單個無連接的N層服務數(shù)據(jù)單元(N-SDU)中的全部N用戶數(shù)據(jù)提供機密性保護?!みx擇字段機密性保護:僅對處于N連接的用戶數(shù)據(jù)或無連接的N-SDU中所選擇的字段提供機密性保護?!ねㄐ艠I(yè)務流機密性保護:提供機密性保護,并保護不能通過觀察通信業(yè)務流推斷出其中的機密信息。0.3.2OSI安全體系的安全服務0.3.2OSI安全體系的安全服務4.完整性服務帶恢復的連接完整性服務;不帶恢復的連接完整性服務;選擇字段連接完整性服務;無連接完整性服務;選擇字段無連接完整性服務。5.抗抵賴服務有數(shù)據(jù)原發(fā)證明的抗抵賴:防止發(fā)送方抵賴;有數(shù)據(jù)交付證明的抗抵賴:防止接收方抵賴。OSI安全體系結構中的安全服務配置安全服務協(xié)議層1234567對等實體鑒別YYY數(shù)據(jù)原發(fā)鑒別YYY訪問控制YYY連接機密性YYYYYY無連接機密性YYYYY選擇字段機密性Y通信業(yè)務流機密性YYY帶恢復的連接完整性Y不帶恢復的連接完整性YYY選擇字段連接完整性Y無連接完整性YYY選擇字段無連接完整性YYY有數(shù)據(jù)原發(fā)證明的抗抵賴Y有數(shù)據(jù)交付證明的抗抵賴Y0.3.3OSI安全體系的特定安全機制1.加密機制能為數(shù)據(jù)提供機密性,也能為通信業(yè)務流信息提供機密性,通常采用密碼、信息隱藏等方法實現(xiàn)2.數(shù)字簽名機制用以提供認證或抗抵賴服務,是基于密碼體制的一種機制。3.訪問控制機制數(shù)據(jù)機密性;數(shù)據(jù)完整性;可用性。4.完整性保護機制避免未授權的數(shù)據(jù)亂序、丟失、重放、插入以及篡改,具體技術有校驗碼(抗修改)、順序號(防亂序)、時間標記(防重放、防丟失)等。5.通信業(yè)務流填充機制通信業(yè)務流填充機制是一種用于提供業(yè)務流機密性保護的反分析機制,它可以生成偽造的通信實例、偽造的數(shù)據(jù)單元或/和數(shù)據(jù)單元中偽造的數(shù)據(jù),使攻擊者難于從數(shù)據(jù)流量對通信業(yè)務進行分析。0.3.3OSI安全體系的特定安全機制0.3.3OSI安全體系的特定安全機制6.路由選擇控制機制:可以動態(tài)的或預定的選擇路由,以便只使用物理上安全的子網(wǎng)絡、中繼站或鏈路。例如:當檢測到持續(xù)的攻擊時,便指示網(wǎng)絡服務提供者經(jīng)別的路由建立連接;依據(jù)安全策略,可以禁止帶有某些安全標記的數(shù)據(jù)通過某些子網(wǎng)絡、中繼站或鏈路;連接的發(fā)起者或無連接中數(shù)據(jù)的發(fā)送者,可以指定路由選擇說明,以請求回避某些特定的子網(wǎng)絡、中繼站或鏈路。7.公證機制仲裁方式和判決方式。8.鑒別交換機制·鑒別信息:如口令、生物信息、身份卡等;·密碼技術。鑒別技術的選用取決于使用環(huán)境。在許多場合下,還必須附加一些其他技術。如:·時間標記與同步時鐘;·二次握手(對應單方鑒別)或三次握手(對應雙方鑒別);·抗否認機制:數(shù)字簽名和公證機制。0.3.3OSI安全體系的特定安全機制OSI安全服務與安全機制之間的關系安全服務安全機制加密數(shù)字簽名訪問控制數(shù)據(jù)完整性鑒別交換通信業(yè)務填充路由選擇控制公證對等實體鑒別YYY數(shù)據(jù)原發(fā)鑒別Y訪問控制YY連接機密性YY無連接機密性YY選擇字段機密性Y通信業(yè)務流機密性YYY帶恢復的連接完整性YY不帶恢復的連接完整性YY選擇字段連接完整性YY無連接完整性YYY選擇字段無連接完整性YYY有數(shù)據(jù)原發(fā)證明的抗抵賴YYY有數(shù)據(jù)交付證明的抗抵賴YYY0.3.4OSI安全體系的普遍性安全機制(1)1.安全標記機制顯式的:校驗碼等與傳送數(shù)據(jù)相連的附加數(shù)據(jù)。隱含的:加密數(shù)據(jù)中隱含著密鑰約束。2.事件檢測機制 指對那些與安全有關的事件進行檢測。例如:對于特定安全侵害事件、特定選擇事件、對事件發(fā)生次數(shù)計數(shù)溢出等的檢測。這些檢測,一般要引起一個或多個動作,如對事件的報告、記錄以及恢復等。3.安全審計跟蹤機制·記錄可疑事件(可以產生一個安全報警);·記錄許多日常事件(如連接的建立和終止、使用安全機制和訪問敏感資源等);·將事件消息傳遞給維護日志;·為檢查和調查安全的漏洞提供資料;·通過列舉被記錄的安全事件類型,對某些潛在的攻擊起威懾作用。0.3.4OSI安全體系的普遍性安全機制(1)0.3.4OSI安全體系的普遍性安全機制(2)4.安全恢復機制立即動作:立即放棄操作(如斷開連接);暫時動作:使實體暫時無效(如關閉);長期動作:把實體列入黑名單等。5.可信功能機制可信功能機制具有如下一些作用:延伸其他安全機制的范圍或所建立的有效性。因為直接提供的安全機制或安全訪問機制的任意功能都應當是可信的。提供對某些硬件和軟件可信賴性的保證。0.3.5信息系統(tǒng)的安全管理1.安全策略安全策略(securitypolicy)是在一個特定的環(huán)境(安全區(qū)域)里,為保證提供一定級別的安全保護所必須遵循的一系列條例、規(guī)則。2.安全管理活動3.信息系統(tǒng)安全管理的原則4.信息系統(tǒng)的安全標準標準是衡量、評估、評測的準則。5.信息系統(tǒng)安全立法法律是由國家政權保證執(zhí)行的行為規(guī)范。安全策略(1)對系統(tǒng)安全的定義、總體目標和保護范圍。(2)支持安全目標和原則的管理意向聲明。(3)對于安全政策、原則、標準和要求的簡要解釋,例如:符合立法和契約的規(guī)定;安全教育的要求;對于攻擊的預防和檢測;持續(xù)運行管理;違反安全策略的后果等。(4)安全管理的總體定義,具體權責要求等。(5)有關支持政策的文獻援引,例如適用于具體信息系統(tǒng)的較為詳細的安全政策、流程或使用者應當遵循的安全條例等。安全管理活動(1)(1)安全服務管理為該安全服務確定和指派安全保護目標;為該安全服務選擇特定的安全機制;對需要事先取得管理者同意的可用安全機制進行協(xié)商;通過適當?shù)陌踩珯C制管理功能調用特定安全機制。(2)安全機制管理安全機制管理是對各項安全機制的功能、參數(shù)和協(xié)議的管理。(3)安全事件處理管理報告包括遠程的明顯違反系統(tǒng)安全的企圖;確定和修訂觸發(fā)安全事件報告的閾值。(4)安全審計管理收集、記錄安全事件;授予或取消對所選用事件進行審計跟蹤(記錄、調查)的能力;準備安全審計報告。安全管理活動(2)(5)安全恢復管理制定并維護安全事故的恢復計劃、操作規(guī)程和細則;提出完備的安全恢復報告。(6)安全行政管理建立專門的安全管理機構;建立完善的安全管理制度;配備專門安全管理人員,并進行培訓、考察、評價等管理。(7)系統(tǒng)安全管理管理總體安全策略,維護其一致性;依據(jù)系統(tǒng)總體安全策略,在系統(tǒng)中建立不同等級的安全管理信息庫(SMIB),以存儲與系統(tǒng)安全有關的全部信息;維護安全管理協(xié)議,保證安全服務管理和安全機制管理之間的正常交互功能。信息系統(tǒng)安全的防御原則(1)木桶原則(2)成本效率原則(3)可擴展性原則(4)分權制衡原則(5)最小特權原則(6)失效保護原則(7)公開揭露原則(8)立足國內原則(9)可評估原則信息系統(tǒng)的安全標準(1)針對信息系統(tǒng)(包括產品)的安全性評測準則(2)針對使用信息系統(tǒng)的組織的安全管理標準(3)針對不同安全產品的互操作性的互操作標準針對信息系統(tǒng)(包括產品)的

安全性評測準則美國國防部的《可信計算機系統(tǒng)評估準則》(TrustedComputerSystemEvaluationCriteria,TCSEC,1983),也稱桔皮書。這是IT歷史上第一個安全評估標準。這個安全測試標準的建立旨在:確保用戶的信息安全、為系統(tǒng)集成供應商提供指導、為信息安全提供一個標準。這一標準將安全分為四個等級:D到A1。每一級都是在上一級基礎上添加新的條件。安全等級D最低,依次為:C1(任意安全保護),C2(受約束訪問安全保護),B1(標簽安全保護),B2(結構保護),B3(安全域),A1(校驗設計)。共七個等級,A1等級最高。

歐洲(英、德、法、荷四國)的《信息技術安全性評估準則》(InformationTechnologySecurityEvaluationCriteria,ITSEC,1990),也稱白皮書。加拿大的《可信計算機產品評估準則3.30》(CTCPEC3.0,1992.4),將安全需求分為4個層次:機密性、完整性、可靠性和可說明性。六國七方(英國、加拿大、法國、德國、荷蘭、美國家安全局和美國標準技術研究所)的《信息技術安全評估通用標準》(CommonCriteriaofInformationTechnicalSecurityEvaluation,CCITSE),簡稱CC,是在TCSEC基礎上的改進,從對操作系統(tǒng)評估擴充到信息技術產品和系統(tǒng)。

ISO/IEC21827:2002,《信息安全工程能力成熟度模型》(SystemSecrrityEngineeringCapabilityMaturityModel,SSE-CMM),是一個關于信息安全建設工程實施方面的標準,通常用過程改善、能力評估和保證三種方式應用。中華人民共和國國家標準GB17895-1999《計算機信息系統(tǒng)安全保護等級劃分準則》,將計算機信息系統(tǒng)安全保護能力劃分為5個等級,于2001年1月1日起實施。針對信息系統(tǒng)(包括產品)的

安全性評測準則針對使用信息系統(tǒng)的組織

的安全管理標準ISO/IEC17799:2000《信息技術信息安全管理實用規(guī)則》,從信息安全策略、組織的安全、資產分類和管理、人員安全、物理和環(huán)境安全、通信和操作管理、訪問控制、系統(tǒng)開發(fā)和維護、業(yè)務

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論