《信息系統(tǒng)安全風險防范的技術(shù)和方法》參考課件

5.2信息系統(tǒng)安全風險防范的技術(shù)和方法教材p119-p127信息系統(tǒng)的安全風險來自多方面,，包括人為的和非人為的、有意的和無意的等。隨著信息系統(tǒng)安全問題的復雜度不斷提高，危害信息系統(tǒng)安全的手段、方法也不斷變化。人們越來越深刻地認識到信息系統(tǒng)安全不能僅從技術(shù)人手，還得從系統(tǒng)的管理角度切人，才能尋找到一個較合理的解決策略。5.2.1信息系統(tǒng)安全風險的重要術(shù)語探究活動討論閱讀學習資源包“第五章\課本素材\中國互聯(lián)網(wǎng)網(wǎng)絡安全報告.pdf”，與同學分享其中關于信息安全的技術(shù)方法。信息安全風險術(shù)語描述說明威脅威脅是指經(jīng)常存在的、對信息或信息資入侵者通過防火墻上的某個端口訪問網(wǎng)絡、產(chǎn)具有潛在危險的人、實體或其他對象，侵害知識產(chǎn)權(quán)、某位雇員造成的可能泄露機密也稱為威脅主體，即針對信息或系統(tǒng)的潛信息或破壞文件完整性的意外錯誤、蓄意信息在危險。入侵者通過防火墻上的某個端口訪問網(wǎng)絡、侵害知識產(chǎn)權(quán)、某位雇員造咸的可能泄露機密信息或破壞文件完整性的意外錯誤、蓄意信息敲詐、軟件攻擊、技術(shù)淘汰等。攻擊敲詐、軟件攻擊、技術(shù)淘汰等。攻擊是不斷地對資產(chǎn)進行蓄意或無意破壞,或損害信息、或損壞信息系統(tǒng)的一種某人偶然讀取了敏感信息,但沒有使用該信行為。它分為主動攻擊與被動攻擊、蓄意息的意圖,為被動攻擊。黑客試圖入侵信息系攻擊與無意攻擊、直接攻擊或間接攻擊等統(tǒng),則為主動攻擊。類型。某人偶然讀取了敏感信息,但沒有使用該信息的意圖,為被動攻擊。黑客試圖人侵信息系統(tǒng),則為主動攻擊。入侵人侵是敵手通過攻克系統(tǒng)的訪問控制休護,得到對第三方數(shù)據(jù)的非授權(quán)訪問。人侵是主動、有意圖地對合法系統(tǒng)進行攻擊，獲取未授權(quán)軟硬件資源及數(shù)據(jù)的訪問與控制。漏洞漏洞是一個天然的缺陷,優(yōu)如沒有上鎖的門,它是信息系統(tǒng)自身存在的弱點或錯誤,使信息暴露在被攻擊或被破壞的情況下。信息系統(tǒng)的不斷大型化,造成控制與管理的復雜程序不斷增加,漏洞也越來越多，如軟件包缺陷、未受保護的系統(tǒng)端口、暴露、風險、偽造等。脆弱性脆弱性是一種軟件、硬件、過程或人為缺陷,它的存在說明了缺少應該使用的安全措施或者安全措施有缺陷。如未安裝補丁的應用程序或操作系統(tǒng)軟件，服務器和工作站上未實施密碼管理等。風險風險是威脅主體利用脆弱性的可能性以及相應的業(yè)務影響。網(wǎng)絡沒有安裝入侵檢測系統(tǒng),在不引人注意的情況下被攻擊且很晚才被發(fā)現(xiàn)的可能性就會較大。信息系統(tǒng)安全風險的術(shù)語如下表所示。5.2.2信息系統(tǒng)安全模型及安全策略1．信息系統(tǒng)安全性、便利性與成本的關系信息系統(tǒng)不存在絕對的安全，因為安全性和便利性及成本之間有著矛盾的關系。提高了安全性，相應地就會降低便利性;而提高了安全性,勢必增大成本;易用性越好，安全性可能就越低，如圖5-3所示。2.P2DR安全模型從信息系統(tǒng)安全的目標來看,信息系統(tǒng)安全是一個綜合性的問題,需要通過建模的思想來解決信息系統(tǒng)安全管理問題,安全模型能精確和形象地描述信息系統(tǒng)的安全特征,描述和解釋安全相關行為。精確的安全模型能提高對關鍵安全需求的理解層次,從中開發(fā)出一套安全性的評估準則。信息系統(tǒng)安全模型的種類很多,各有特點。下面我們介紹一種常用的安全模型—P2DR模型,如圖所示。該模型包括策略（Policy）、防護(Protection）、檢測(Detection）和響應（Response）四個主要部分。分析查閱學習資源包“第五章\課本素材\家庭Wi-Fi與公共免費Wi-Fi的使用安全策略.doc”，研究其中的密碼設置策略，運用《數(shù)據(jù)與計算》模塊中程序設計的內(nèi)容分析密碼設置得越長、數(shù)字與字母混合形成的密碼較安全的原理。（1）策略根據(jù)風險分析產(chǎn)生的安全策略描述了系統(tǒng)中哪些資源要得到保護,以及如何實現(xiàn)對它們的保護等。策略是模型的核心,所有的防護、檢測和響應都是依據(jù)安全策略實施的。網(wǎng)絡安全策略一般包括:訪問控制策略、加密通信策略、身份認證策略和備份恢復策略等。（2）防護

通過修復系統(tǒng)漏洞、正確設計開發(fā)和安裝系統(tǒng)來預防安全事件的發(fā)生;通過定期檢查來發(fā)現(xiàn)可能存在的系統(tǒng)脆弱性;通過教育等手段,讓用戶和操作員正確使用系統(tǒng),防止意外威脅;通過訪問控制、監(jiān)視等手段來防止惡意威脅。采用的防護技術(shù)通常包括數(shù)據(jù)加密、身份認證、訪問控制、授權(quán)和虛擬專用網(wǎng)(VPN)技術(shù)、防火墻、安全掃描和數(shù)據(jù)備份等。（3）檢測

是動態(tài)響應和加強防護的依據(jù)，通過不斷地檢測和監(jiān)控網(wǎng)絡系統(tǒng),來發(fā)現(xiàn)新的威脅和弱點，并通過循環(huán)反饋來及時做出有效的響應。當攻擊者穿透防護系統(tǒng)時,檢測功能就發(fā)揮作用，與防護系統(tǒng)形成互補。采用的技術(shù)一般有實時監(jiān)控和IT審計。（4）響應

在檢測到安全漏洞和安全事件時,通過及時的響應措施將網(wǎng)絡系統(tǒng)的安全性調(diào)整到風險最低的狀態(tài)。評估系統(tǒng)受到的危害與損失，恢復系統(tǒng)功能和數(shù)據(jù),啟動備份系統(tǒng)等，主要方法包括:關閉服務、跟蹤、反擊、消除影響。3.信息系統(tǒng)安全策略分析對于以計算機及網(wǎng)絡為主體的信息系統(tǒng),其安全策略可從非技術(shù)和技術(shù)兩個方面來考慮。其中非技術(shù)策略方面主要包括預防意識、管理保障措施、應急響應機制等三個層面;技術(shù)策略分為物理和邏輯兩大方面，主要包括物理系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應用系統(tǒng)和網(wǎng)絡系統(tǒng)等五個層面。本節(jié)只考慮技術(shù)策略方面，分析如表5-4所示。技術(shù)策略具體內(nèi)涵主要措施具體說明物理方面物理系統(tǒng)層面環(huán)境維護包括讓硬件設備遠離噪聲源、振動源，遠離火源和易被水淹沒的地方，盡量避開強電磁場源:保持設備運行所需的溫度;保持系統(tǒng)電源的穩(wěn)定及可靠性。防盜對于重要的計算機系統(tǒng)及外部設備，可安裝防盜報警裝置及制訂安全保護措施。防火經(jīng)常檢查重要部門各種電路的安全性，做好各種防火措施。防靜電配備良好的接地系統(tǒng)，避免靜電積儲。防雷擊根據(jù)被保護硬件設備的特點和雷電侵人的不同途徑，采用相應的防護措施，分類分組保護。防電磁泄露包括控制電磁發(fā)射；屏蔽隔離；對于相關干擾，可以采取各種措施使信息相關電磁發(fā)射泄露即使被收到也無法識別。技術(shù)策略具體內(nèi)涵主要措施具體說明邏輯方面操作系統(tǒng)層面包括系統(tǒng)安全漏洞掃描、用戶訪問機制、用戶身份認證、系統(tǒng)審計、關閉不必要的服務、病毒防護機制等。訪問控制訪問控制是指未經(jīng)授權(quán)的非法用戶拒于系統(tǒng)之外，使之不能進入系統(tǒng)。包括：通過用戶身份的識別和認證、可以鑒別合法用戶和非法用戶，阻止非法用戶的訪問；通過訪問權(quán)限控制，即對用戶訪問哪些資源、對資源的使用權(quán)限加以控制。數(shù)據(jù)庫系統(tǒng)層面包括數(shù)據(jù)庫安全漏洞掃描、用戶口令管理、用戶操作權(quán)限控制、數(shù)據(jù)庫審計等。應用系統(tǒng)層面包括認證授權(quán)機制、加密通信機制、數(shù)據(jù)備份機制、數(shù)據(jù)恢復機制、病毒防護機制、用戶操作審計等。信息加密信息加密是指通過密鑰技術(shù)，保護在通信網(wǎng)絡中傳送、交換和存儲的信息的機密性、完整性和真實性不被損害。常用的方法主要有數(shù)據(jù)加密和數(shù)字簽名。網(wǎng)絡系統(tǒng)層面包括網(wǎng)絡訊問控制、網(wǎng)絡地址翻譯、網(wǎng)絡安全漏洞掃描、病毒防護機制、網(wǎng)絡入侵檢測及防護、網(wǎng)絡防火墻等。根據(jù)P2DR模型和表5-4信息系統(tǒng)安全策略分析，參考下圖，對校園網(wǎng)進行安全策略分析。校園網(wǎng)安全策略體系非技術(shù)模塊技術(shù)模塊預防意識管理保障措施應急響應機制自然破壞保護機制質(zhì)量保護機制人為破壞防護機制責任分離機制物理系統(tǒng)操作系統(tǒng)數(shù)據(jù)庫系統(tǒng)應用系統(tǒng)網(wǎng)絡系統(tǒng)自然破壞保護機制質(zhì)量保護機制人為破壞防護機制性能匹配認證授權(quán)機制加密通信機制數(shù)據(jù)備份機制數(shù)據(jù)恢復機制病毒防護機制應急響應機制應急響應責任應急響應執(zhí)行應急響應效率網(wǎng)絡訊問控制網(wǎng)絡地址翻譯網(wǎng)絡安全漏洞掃描網(wǎng)絡入侵檢測及防護網(wǎng)絡防火墻系統(tǒng)安全漏洞掃描用戶訪問機制系統(tǒng)審計用戶身份認證關閉不必要的服務病毒防護機制數(shù)據(jù)庫審計用戶操作權(quán)限控制用戶口令管理數(shù)據(jù)庫安全漏洞掃描5.2.3信息系統(tǒng)安全風險防范的常用技術(shù)因為不同的信息技術(shù)發(fā)展階段對信息系統(tǒng)安全的關注和需求有所不同，信息系統(tǒng)安全風險防范的常用技術(shù)方法總是伴隨著問題的不斷變化而逐步完善的。當通信安全問題出現(xiàn)時，就有通過密碼技術(shù)對通信進行加密的技術(shù)方法，以保證數(shù)據(jù)的保密性和完整性。計算機的安全威脅主要是來自非法訪問、惡意代碼、脆弱口令等，主要防范措施是及時更新修復計算機漏洞以預防、檢測和減小計算機系統(tǒng)(軟硬件）用戶執(zhí)行未授權(quán)活動所造成的后果。信息系統(tǒng)安全問題，主要是確保信息在存儲、處理和傳輸過程中免受偶然或惡意的非法泄密、轉(zhuǎn)移或破壞。安全措施一般有:防火墻、防病毒、漏洞掃描、入侵檢測、公鑰基礎設施(PKI）、VPN等。對于網(wǎng)絡空間安全/信息安全保障問題,需要關注的是其安全威脅來自黑客、恐怖分子、信息戰(zhàn)、自然災難、電力中斷等。1.加密技術(shù)信息加密的目的是防止信息被竊取。加密的基本原理是:在發(fā)送端將數(shù)據(jù)變換成某種難以理解的形式，把信息隱臧起來，在接收端通過反變換恢復數(shù)據(jù)的原樣。信息加密與密碼分析是一對矛盾的兩個方面。加密是研究如何生成高保密性的有效算法,使受保護的數(shù)據(jù)處于安全狀態(tài)。密碼分析是研究高效算法破譯密碼以獲取機密信息。采用密碼技術(shù)的信息系統(tǒng)的安全性主要取決于對密鑰的保護。傳統(tǒng)加密方法的加密密鑰K與解密密鑰P是相同的。密鑰由通信雙方約定并秘密掌握，如果丟失了密鑰，加密的數(shù)據(jù)就很容易被破譯。數(shù)千年來，人類一直希望實現(xiàn)絕對安全的通信，但傳統(tǒng)的方法沒有絕對的安全，至多只是在密鑰保密的前提下增加破譯密文的難度和延長破譯的時間。然而，隨著科技的發(fā)展，量子世界帶來了震撼,科學家們制作出量子密鑰，這是目前人類最安全的加密方式。量子密鑰采用單光子作為載體，任何干擾和復制都會讓密碼立即失效,中止涌信中所有竊聽行為。我國的“墨子號”量子科學實驗衛(wèi)星利用量子密鑰實現(xiàn)加密數(shù)據(jù)傳輸和視訊通信。體驗

加密與解密是問題的兩個方面。對于用戶有保密需求和隱私保護要求的文件，如設計方案、合同草案和練習試題，從安全的角度看我們通常做一些簡單的壓縮加密。但有時桃因為文件太久沒有讀取使用,忘記了密碼，此時就需要破解軟件，運用一些加解密技術(shù)與策略在一定程序上破解之前設定的密碼。如圖5-6所示的軟件InteoreKARPasswordRecovery,可以對一些簡單加密的壓縮文件進行恢復。同學們可在學習資源包“第五章\課本素材”中找到該軟件并安裝，嘗試使用它對自己的文件進行破解恢復。同學們也可以嘗試用Python來編程，實現(xiàn)用窮舉法分別暴力枚舉3位和6位的純數(shù)字密碼，研究對于不同長度密碼窮舉算法的時間效率。2．認證技術(shù)認證有兩個目的:一是驗證信息發(fā)送者的身份，以防止有可能冒充發(fā)關者身份信息的情況出現(xiàn);二是驗證信息的完整性。在用戶身份認證中,口令字(即密碼)是當前最簡易的方法。在用白接入和登錄到信息系統(tǒng)時，需要輸入用戶名和口令字，系統(tǒng)經(jīng)過對比確定該訪問者是否為合法用戶，再決定是否讓其進入系統(tǒng)?？诹钭值姆椒m簡單，但安全性不夠，在安全性要求較高的系統(tǒng)中，可以采用物理手段甚至生物手段來識別。3.主機系統(tǒng)安全技術(shù)主機系統(tǒng)安全技術(shù)是指用于保護計算機操作系統(tǒng)和運行于其上的信息系統(tǒng)的技術(shù)，具體包括操作系統(tǒng)安全技術(shù)、數(shù)據(jù)庫安全技術(shù)和可信計算技術(shù)等。例如:操作系統(tǒng)安全技術(shù)需要解決用戶的賬戶控制、內(nèi)存與進程保護等;而數(shù)據(jù)庫安全技術(shù)需要解決業(yè)務數(shù)據(jù)的完整性、安全檢索和敏感數(shù)據(jù)保護等問題。（1）操作系統(tǒng)安全技術(shù)。

一般地，操作系統(tǒng)安全機制包括用戶賬號控制機制、強制完整性控制機制、用戶界面特權(quán)隔離機制、網(wǎng)絡訪問保護機制等措施。用戶賬號控制機制的目的在于使用戶能夠使用標準用戶權(quán)限而不是管理員權(quán)限運行系統(tǒng)，這樣用戶不會有意或無意地修改系統(tǒng)設置,破壞他人的敏感信息，即使受到惡意軟件攻擊,也不會導致系統(tǒng)安全設置被篡改，達到增強系統(tǒng)安全性的目的。（2）數(shù)據(jù)庫安全技術(shù)。

數(shù)據(jù)庫安全是涉及信息安全技術(shù)領域與數(shù)據(jù)庫技術(shù)領域的一個典型交叉學科,它的發(fā)展歷程與同時代的數(shù)據(jù)庫技術(shù)、信息安全技術(shù)的發(fā)展趨勢息息相關。關于數(shù)據(jù)庫安全技術(shù)中較有代表性的是安全數(shù)據(jù)庫管理系統(tǒng)、外包數(shù)據(jù)庫安全、云數(shù)據(jù)庫/云存儲安全等技術(shù)。其中安全數(shù)據(jù)庫管理系統(tǒng)中,除了數(shù)據(jù)庫認證、訪問控制、審計等基本安全功能外,關鍵技術(shù)集中在數(shù)據(jù)庫形式化安全模型、數(shù)據(jù)庫加密、多級安全數(shù)據(jù)庫事務模型及數(shù)據(jù)庫隱形通道分析等;外包數(shù)據(jù)庫安全包括外包數(shù)據(jù)庫檢索技術(shù)、查詢驗證技術(shù)、訪問控制技術(shù)和數(shù)據(jù)庫水印技術(shù);云數(shù)據(jù)庫/云存儲安全主要集中在海量信息安全檢索關鍵技術(shù)、海量數(shù)據(jù)完整性驗證及海量數(shù)據(jù)隱私保護技術(shù)等方面。4.網(wǎng)絡與系統(tǒng)安全應急響應技術(shù)（1）防火墻技術(shù)。防火墻是位于不可信的外部網(wǎng)絡和被保護的內(nèi)部網(wǎng)絡之間的一個網(wǎng)絡安全設備或由多個硬件設備和相應軟件組成的系統(tǒng)，如圖5-7所示。防火墻的基本類型可分為包過濾防火墻、代理網(wǎng)關、包檢查型防火墻和混合型防火墻。（2）入侵檢測技術(shù)。入侵檢測技術(shù)是用干檢測損寶術(shù)個圖損牢玄宏的機密性完整性及可用性等行為的一類安全技術(shù)。這類技術(shù)通過太惡R護網(wǎng)斂書O然中郊里捻設冬來監(jiān)視受保護網(wǎng)絡或系統(tǒng)的狀態(tài)與活動,根據(jù)所采集的數(shù)據(jù)，采用相應的檢測萬法友現(xiàn)非度儀嘆悉忘的系統(tǒng)與網(wǎng)絡行為,并為防范入侵行為提供支持手段。一個入侵檢測系統(tǒng)（IDS）需要解決三方面的問題:首先,它需要允分開可靠地采集網(wǎng)絡和系統(tǒng)中的數(shù)據(jù)、提供描述網(wǎng)絡和系統(tǒng)行為的特征;其次，它必須根據(jù)以上數(shù)據(jù)和特征,高效并準確地判斷網(wǎng)絡和系統(tǒng)行為的性質(zhì);最后，它需要為防范網(wǎng)絡和系統(tǒng)人侵提供手段。(3）應急響應技術(shù)。

應急響應是指在網(wǎng)絡被破壞的前后采取相應的預防、應對措施。一般分為前期響應、中期響應與后期響應三個階段,它們跨越緊急安全事件發(fā)生和應急響應的前后。前期響應是指預案和計劃、準備資源、系統(tǒng)和數(shù)據(jù)備份、保障業(yè)務的連續(xù)性等。中期響應的任務是準確地查明信息系統(tǒng)遭受了何種程度的損害并摸清災害發(fā)生的原因,認定災害發(fā)生的責任，制訂下一步的安全策略和追蹤、取證。后期響應的目的是確定新的安全策略，并得到新的安全配置，它主要包括提高系統(tǒng)的安全性、進行安全評估、制訂并執(zhí)行新的安全策略等。5．惡意代碼檢測與防范技術(shù)惡意代碼的防治包括預防、機理分析、檢測和清除等環(huán)節(jié)。其中惡意代碼的預防是指抵御惡意代碼的傳播和感染,它的方法主要是切斷傳播和感染的途徑或破壞它們實施的