第1章 計(jì)算機(jī)系統(tǒng)安全概論

第1章計(jì)算機(jī)系統(tǒng)安全概論

計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第2

2012-10-9版）1

本章主要內(nèi)容

計(jì)算機(jī)信息系統(tǒng)安全問題

信息安全概念的發(fā)展

計(jì)算機(jī)系統(tǒng)安全研究的內(nèi)容

2012-10-9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第2版）2

1.1計(jì)算機(jī)信息系統(tǒng)安全問題

□1.1.1計(jì)算機(jī)信息系統(tǒng)的基本概念

□1.1.2安全威脅

口對計(jì)算機(jī)信息系統(tǒng)的威脅是指：潛在的、對信息系

統(tǒng)造成危害的因素。

2012-10-9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第2版）3

□對信息系統(tǒng)安全的威脅是多方面的，目前還沒有統(tǒng)一

的方法對各種威脅加以區(qū)別和進(jìn)行準(zhǔn)確的分類。而且

不同威脅的存在及其重要性是隨環(huán)境的變化而變化的。

下面是對現(xiàn)代信息系統(tǒng)及網(wǎng)絡(luò)通信系統(tǒng)常遇到的一些

威脅及其來源的概述。

口設(shè)信息是從源地址流向目的地址，那么正常的信息流

向是：

信息源信息目的地

2012-10-9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第2版）4

□中斷(Interruption)威脅使得在用的信息系統(tǒng)毀壞或

不能使用，即破壞可用性(Availability)。

□攻擊者可以從下列幾個(gè)方面破壞信息系統(tǒng)的可用性：

□使合法用戶不能正常訪問網(wǎng)絡(luò)資源。

□使有嚴(yán)格時(shí)間要求的服務(wù)不能及時(shí)得到響應(yīng)。

□摧毀系統(tǒng)。物理破壞網(wǎng)絡(luò)系統(tǒng)和設(shè)備組件使網(wǎng)絡(luò)不可用，或

者破壞網(wǎng)絡(luò)結(jié)構(gòu)使之癱瘓等。如硬盤等硬件的毀壞，通信線

路的切斷，文件管理系統(tǒng)的癱瘓等。

□最常見的中斷威脅是造成系統(tǒng)的拒絕服務(wù)，即信息或

信息系統(tǒng)資源的被利用價(jià)值或服務(wù)能力下降或喪失。

信息源信息目的地

2012-10-9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)5

□截獲(Interception)威脅：是指一個(gè)非授權(quán)方介入系

統(tǒng)，使得信息在傳輸中被丟失或泄露的攻擊，它破壞

了保密性(Confidentiality)。非授權(quán)方可以是一個(gè)人、

一個(gè)程序或一臺計(jì)算機(jī)。

□這種攻擊主要包括：

□利用電磁泄露或搭線竊聽等方式可截獲機(jī)密信息，通過對信

息流向、流量、通信頻度和長度等參數(shù)的分析，推測出有用

信息，如用戶口令、賬號等。

□非法復(fù)制程序或數(shù)據(jù)文件。

信息源信息目的地

2012-10-9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)6

□篡改（Modification）威脅以非法手段竊得對信息的管

理權(quán)，通過未授權(quán)的創(chuàng)建、修改、刪除和重放等操作

而使信息的完整性Qntegrity）受到裱壞。

□這些攻擊主要包括：

□改變數(shù)據(jù)文件，如修改數(shù)據(jù)庫中的某些值等。

□替換某一段程序使之執(zhí)行另外的功能，設(shè)置修改硬件。

信息源°信息目的地

2012-10-9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第2版）7

□偽造(Fabrication)威脅中一個(gè)非授權(quán)方將偽造的客體

插入系統(tǒng)中，破壞信息的可認(rèn)證性(Authenticity)。

□例如在網(wǎng)絡(luò)通信系統(tǒng)中插入偽造的事務(wù)處理或者向數(shù)

據(jù)庫中添加記錄。

O

信息源信息目的地

2012-10-9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)8

■■

□LL3脆弱點(diǎn)與安全控制

□脆弱點(diǎn)(VulnerabiUty)是指信息系統(tǒng)中的缺陷，實(shí)

際上脆弱點(diǎn)就是安全問題的根源所在，如原理設(shè)計(jì)

及實(shí)現(xiàn)中的缺陷，它能被攻擊者利用來進(jìn)行破壞活

動(dòng)。

口物理安全

□軟件系統(tǒng)

□網(wǎng)絡(luò)和通信協(xié)議

□人的因素

2012-10-9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)9

□攻擊者利用信息系統(tǒng)的脆弱點(diǎn)對系統(tǒng)進(jìn)行攻擊

(Attack)o我們使用控制(Control)進(jìn)行安全

防護(hù)?？刂剖且恍﹦?dòng)作、裝置、程序或技術(shù)，

它能消除或減少脆弱點(diǎn)。

□可以這樣描述威脅、控制和脆弱點(diǎn)的關(guān)系：

“通過控制脆弱點(diǎn)來阻止或減少威脅。”

□本書后續(xù)篇幅將主要介紹各種安全控制原理及

技術(shù)。

2012-10-9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)10

1.1.4計(jì)算機(jī)信息系統(tǒng)的安全需求

保密性

是指確保信息資源僅被合法的用戶、實(shí)體或進(jìn)程訪

問，使信息不泄漏給未授權(quán)的用戶、實(shí)體或進(jìn)程。

實(shí)現(xiàn)保密性的方法一般是通過信息的加密、對信息

劃分密級，并為訪問者分配訪問權(quán)限，系統(tǒng)根據(jù)用

戶的身份權(quán)限控制對不同密級信息的訪問。

.特別要說明的是，對計(jì)算機(jī)的進(jìn)程、中央處理器、

存儲(chǔ)、打印設(shè)備的使用也必須實(shí)施嚴(yán)格的保密技術(shù)

措施，以避免產(chǎn)生電磁泄露等安全問題。

2012-10-9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第2版）11

1.1.4計(jì)算機(jī)信息系統(tǒng)的安全需求

完整性

是指信息資源只能由授權(quán)方或以授權(quán)的方式修改，

在存儲(chǔ)或傳輸過程中不丟失、不被破壞。完整性的

破壞一般來自3個(gè)方面：未授權(quán)、未預(yù)期、無意。

目前對于動(dòng)態(tài)傳輸?shù)男畔?，許多協(xié)議確保信息完整

性的方法大多是收錯(cuò)重傳、丟棄后續(xù)包。不僅僅要

考慮數(shù)據(jù)的完整性，還要考慮操作系統(tǒng)的邏輯正確

性和可靠性，要實(shí)現(xiàn)保護(hù)機(jī)制的硬件和軟件的邏輯

完備性、數(shù)據(jù)結(jié)構(gòu)和存儲(chǔ)的一致性。

2012-10-9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第2版）12

1.1.4計(jì)算機(jī)信息系統(tǒng)的安全需求

；可用性

是指信息可被合法用戶訪問并按要求的特性使用而

不遭拒絕服務(wù)?？捎玫膶ο蟀ǎ盒畔?、服務(wù)和IT

資源。

例如在網(wǎng)絡(luò)環(huán)境下破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行

就屬于對可用性的攻擊。信息的可用性與保密性之

間存在一定的矛盾。系統(tǒng)為了控制非法訪問可以采

取許多安全措施，但系統(tǒng)不應(yīng)該阻止合法用戶對系

統(tǒng)中信息的利用。

2012-10-9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第2版）13

1.1.4計(jì)算機(jī)信息系統(tǒng)的安全需求

可控性

是指保證信息和信息系統(tǒng)的認(rèn)證授權(quán)和監(jiān)控管理，

確保某個(gè)實(shí)體（人或系統(tǒng)）身份的真實(shí)性，確保信息

內(nèi)容的安全性和合法性，確保系統(tǒng)狀態(tài)可被授權(quán)方

所控制。

2012-10-9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第2版）14

1.1.4計(jì)算機(jī)信息系統(tǒng)的安全需求

不可抵賴性通常又稱為不可否認(rèn)性

是指信息的發(fā)送者無法否認(rèn)已發(fā)出的信息或信息的

部分內(nèi)容，信息的接收者無法否認(rèn)已經(jīng)接收的信息

或信息的部分內(nèi)容。

不可否認(rèn)性措施主要有：數(shù)字簽名，可信第三方認(rèn)

證技術(shù)等。

2012-10-9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第2版）15

1.1.4計(jì)算機(jī)信息系統(tǒng)的安全需求

可存活性是近年來學(xué)術(shù)界提出的一個(gè)安全概念。

可存活性是指計(jì)算機(jī)系統(tǒng)的這樣一種能力：它能在

面對各種攻擊或錯(cuò)誤的情況下繼續(xù)提供核心的服務(wù),

而且能夠及時(shí)地恢復(fù)全部的服務(wù)。

這是一個(gè)新的融合計(jì)算機(jī)安全和業(yè)務(wù)風(fēng)險(xiǎn)管理的課

題，它的焦點(diǎn)不僅是對抗計(jì)算機(jī)入侵者，還要保證

在各種網(wǎng)絡(luò)攻擊的情況下業(yè)務(wù)目標(biāo)得以實(shí)現(xiàn)，關(guān)鍵

的業(yè)務(wù)功能得以保持。提高對網(wǎng)絡(luò)攻擊的系統(tǒng)可存

活性，同時(shí)也提高了業(yè)務(wù)系統(tǒng)在面對一些并非惡意

的事故與故障的可存活性。

2012-10-9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第2版）16

1.1.4計(jì)算機(jī)信息系統(tǒng)的安全需求

計(jì)算機(jī)安全專家又在已有計(jì)算機(jī)系統(tǒng)安全需求的基

礎(chǔ)上增加T可認(rèn)證性(Authenticity)、實(shí)用性(Utility),

認(rèn)為這樣才能解釋各種網(wǎng)絡(luò)安全問題。

信息的可認(rèn)證性是指信息的可信度，主要是指對信

息的完整性、準(zhǔn)確性和對信息所有者或發(fā)送者身份

的確認(rèn)?？烧J(rèn)證桂比饕別(Authentication)有更深刻

的含義，它包含了對傳輸、消息和消息源的真實(shí)性

進(jìn)行核實(shí)。

信息的實(shí)用性是指信息加密密鑰不可丟失(不是泄

密)，丟失了密鑰的信息也就丟失了信息的實(shí)用性，

成為垃圾。

2012-10-9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)17

1.1.4計(jì)算機(jī)信息系統(tǒng)的安全需求

總之，計(jì)算機(jī)信息系統(tǒng)安全的最終目標(biāo)集中

體現(xiàn)為系統(tǒng)保護(hù)和信息保護(hù)兩大目標(biāo)。

1）系統(tǒng)保護(hù)。保護(hù)實(shí)現(xiàn)各項(xiàng)功能的技術(shù)系

統(tǒng)的完整性、可用性和可控性等。

2）信息保護(hù)。保護(hù)系統(tǒng)運(yùn)行中有關(guān)敏感信

息的保密性、完整性、可用性和可控性。

2012-10-9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第2版）18

1.2信息安全概念的發(fā)展

口信息安全的最根本屬性是防御性的，主要目的

是防止己方信息的完整性、保密性與可用性遭

到破壞。

口信息安全的概念與技術(shù)是隨著人們的需求、隨

著計(jì)算機(jī)、通信與網(wǎng)絡(luò)等信息技術(shù)的發(fā)展而不

斷發(fā)展的。

2012-10-9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第2版）19

：＞

1、單機(jī)系統(tǒng)的信息保密階段

20世紀(jì)50年代，計(jì)算機(jī)應(yīng)用范圍很小，安全問題

并不突出，計(jì)算機(jī)系統(tǒng)并未考慮安全防護(hù)的問題。

后來發(fā)生了襲擊計(jì)算中心的事件，才開始對機(jī)房采

取實(shí)體防護(hù)措施。但這時(shí)計(jì)算機(jī)的應(yīng)用主要是單機(jī),

計(jì)算機(jī)安全主要是實(shí)體安全防護(hù)和硬、軟件防護(hù)。

多用戶使用計(jì)算機(jī)時(shí)，將各進(jìn)程所占存儲(chǔ)空間劃分

成物理或邏輯上相互隔離的區(qū)域，使用戶的進(jìn)程并

發(fā)執(zhí)行而互不干擾，即可達(dá)到安全防護(hù)的目的。

2012-10-9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第2版）20

：＞

1、單機(jī)系統(tǒng)的信息保密階段

20世紀(jì)70年代，出現(xiàn)了計(jì)算機(jī)安全的法律、法規(guī)

和各種防護(hù)手段，如防止非法訪問的口令、身份卡、

指紋識別等措施。

這時(shí)計(jì)算機(jī)已由單機(jī)應(yīng)用發(fā)展到計(jì)算機(jī)網(wǎng)絡(luò)，除存

儲(chǔ)和數(shù)據(jù)處理外，發(fā)展到信息的遠(yuǎn)程傳輸，使網(wǎng)絡(luò)

受到攻擊的部件增多，特別是傳輸線路和網(wǎng)絡(luò)終端

最為薄弱。

這時(shí)，針對網(wǎng)絡(luò)安全防護(hù)，出現(xiàn)了強(qiáng)制性訪問控制

機(jī)制、完善的鑒別機(jī)制和可靠的數(shù)據(jù)加密傳輸措施。

2012-10-9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第2版）21

工、單機(jī)系統(tǒng)的信息保密階段

主要開發(fā)的密碼算法有：

DES：1977年美國國家標(biāo)準(zhǔn)局采納的分組加密

算法DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）。DES是密碼學(xué)歷史

上的一個(gè)創(chuàng)舉，也是運(yùn)用最廣泛的一種算法。

IDEA：國際數(shù)據(jù)加密算法，是對DES的改進(jìn)算

法。

2012-10-9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第2版）22

1＞單機(jī)系統(tǒng)的信息保密階段

主要開發(fā)的密碼算法有：

RSA：雙密鑰的公開密鑰體制，該體制是根據(jù)

1976年Diffie,Hellman在“密碼學(xué)新方向”

開創(chuàng)性論文中提出來的思想由Rivest,Shamir,

Adleman三個(gè)人創(chuàng)造的

1985年N,koblitz和V,Miller提出了橢圓曲線離

散對數(shù)密碼體制（ECOo該體制的優(yōu)點(diǎn)是可以

利用更小規(guī)模的軟件、硬件實(shí)現(xiàn)有限域上同類體

制的相同安全性。

2012-10-9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第2版）23

工、單機(jī)系統(tǒng)的信息保密階段

主要開發(fā)的密碼算法有：

還創(chuàng)造出一批用于實(shí)現(xiàn)數(shù)據(jù)完整性和數(shù)字簽名的

雜湊函數(shù)。如，數(shù)字指紋、消息摘要（MD）、

安全雜湊算法（SHA—用于數(shù)字簽名的標(biāo)準(zhǔn)

算法）等，當(dāng)然，其中有的算法是90年代中提

出的。

2012-10-9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第2版）24

工、單機(jī)系統(tǒng)的信息保密階段

主要開發(fā)的密碼算法有：

還創(chuàng)造出一批用于實(shí)現(xiàn)數(shù)據(jù)完整性和數(shù)字簽名的

雜湊函數(shù)。如，數(shù)字指紋、消息摘要（MD）、

安全雜湊算法（SHA—用于數(shù)字簽名的標(biāo)準(zhǔn)

算法）等，當(dāng)然，其中有的算法是90年代中提

出的。

2012-10-9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第2版）25

:>

1、單機(jī)系統(tǒng)的信息保密階段

在七、八十年代期間，信息安全理論、安全模型和

安全評價(jià)準(zhǔn)則，重點(diǎn)研究：

信息系統(tǒng)安全理論

I三大控制理論

.訪問控制：基于訪問矩陣與訪問監(jiān)控器

，信息流控制：基于數(shù)學(xué)的格理論

.推理控制：基于邏輯推理，防數(shù)據(jù)庫泄漏保護(hù)系統(tǒng)安全模型

II安全操作系統(tǒng)的設(shè)計(jì)

.安全核技術(shù)，分層結(jié)構(gòu)，環(huán)型結(jié)構(gòu)

2012-10-9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第2版）26

工、單機(jī)系統(tǒng)的信息保密階段

令系統(tǒng)安全模型

?I訪問矩陣與監(jiān)控器模型

II信息流多級安全模型，基于格理論

■1）保密性模型（BLP模型）

■2）完整性模型（Biba模型）

?3）軍用安全模型：適用于軍事部門與政府部門

2012-10-9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第2版）27

工、單機(jī)系統(tǒng)的信息保密階段

安全性評價(jià)準(zhǔn)則

1985年美國開發(fā)了可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則

（TCSEC）把計(jì)算機(jī)安全劃分為7個(gè)等級：D,

Cl,C2,Bl,B2,B3,A1

為信息系統(tǒng)的安全性評價(jià)提供了概念、方法與思

路，是開創(chuàng)性的。為后來的通用評估準(zhǔn)則（CC

標(biāo)準(zhǔn)）打下基礎(chǔ)

2012-10-9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第2版）28

2、網(wǎng)絡(luò)信息安全階段

1988年11月3日莫里斯“蠕蟲”事件引起了人們

對網(wǎng)絡(luò)信息安全的關(guān)注與研究，并與第二年成立了

計(jì)算機(jī)緊急事件處理小組負(fù)責(zé)解決1ntemet的安全

問題，從而開創(chuàng)了網(wǎng)絡(luò)信息安全的新階段。

在該階段中，除了采用和研究各種加密技術(shù)外，還

開發(fā)了許多針對網(wǎng)絡(luò)環(huán)境的信息安全與防護(hù)技術(shù)，

這些防護(hù)技術(shù)是以被動(dòng)防御為特征的。

2012-10-9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第2版）29

TCP/IP協(xié)議族包括4個(gè)功能層：應(yīng)用層、傳輸層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)

接口層。這4層概括了相對于0S1參考模型中的7層。

從安全角度來看，一個(gè)單獨(dú)的層次無法提供全部的網(wǎng)絡(luò)安全服務(wù),

各層都能提供一定的安全手段，針對不同層的安全措施是不同的。

圖1-6網(wǎng)絡(luò)安全層次圖

2012-10-9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第2版）30

圖1?7給出了一個(gè)網(wǎng)絡(luò)保密安全基本模型，通信雙方要傳遞某個(gè)消息，

需要建立一個(gè)邏輯信息通道包括：確定從發(fā)送方到接受方的路由以及兩

方協(xié)同使用諸如TCP/IP協(xié)議。

為了在開放網(wǎng)絡(luò)環(huán)境中保護(hù)信息的傳輸，需要提供安全機(jī)制和安全服務(wù),

王要包含兩個(gè)部分：

(1)消息的安全傳輸，包括對消息的加密與認(rèn)證。例如，消息的加密，使

開放網(wǎng)絡(luò)對加密的消息不可讀；又如附加一些基于消息內(nèi)容的編碼，用來驗(yàn)

證發(fā)送者的身份。

(2)雙方共享秘密信息的分發(fā)。例如，用于發(fā)送前的加密密鑰和接收后的

解密密鑰。

為了完成安全的消息傳遞，常常需要可信的第三方。其作用是負(fù)責(zé)為通

信雙方分發(fā)秘密信息，或者是在雙方有爭議時(shí)進(jìn)行仲裁。

可信任第三方

如保密信息的仲裁者、發(fā)布者

2012-10-9攻擊者

圖1-7網(wǎng)絡(luò)保密安全模型31

歸納起來，該網(wǎng)絡(luò)保密安全模型必須包含4個(gè)基本內(nèi)容:

1）建立一種加密算法。

2）產(chǎn)生一個(gè)用于加密算法的密鑰。

3）開發(fā)一個(gè)分發(fā)和共享秘密信息的方法。

4）使用加密算法與秘密信息以得到特定安全服務(wù)所需的協(xié)議。

圖的網(wǎng)絡(luò)保密安全模型雖是一個(gè)通用的模型，但

它著重保護(hù)信息的機(jī)密性和可認(rèn)證性，不能涵蓋所有

安全需求。

可信任第三方

如保密信息的仲裁者、發(fā)布者

圖1-7網(wǎng)絡(luò)保密安全模型

圖1?8給出了一個(gè)網(wǎng)絡(luò)訪問安全模型，該模型考慮了

黑客攻擊、病毒與蠕蟲等的非授權(quán)訪問。

黑客攻擊可以形成兩類威脅：

一類是信息訪問威脅，即非授權(quán)用戶截獲或修改數(shù)據(jù)；

另一類是服務(wù)威脅，即服務(wù)流激增以禁止合法用戶使用。

病毒和蠕蟲是軟件攻擊的兩個(gè)實(shí)例，這類攻擊通常是通過移

動(dòng)存儲(chǔ)介質(zhì)引入系統(tǒng)，并隱藏在有用軟件中，也可通過網(wǎng)絡(luò)

接入系統(tǒng)。

計(jì)算機(jī)資源

（處理器、存儲(chǔ)器、I/O）

攻擊者：信道

人（如黑客）數(shù)據(jù)進(jìn)程軟件

軟件（如病毒等

惡意程序）

內(nèi)部安全控制

守衛(wèi)功能

信息系統(tǒng)

2C圖1-8網(wǎng)絡(luò)訪問安全模型33

在圖1?8中，對非授權(quán)訪問的安全機(jī)制可分為兩道防

線.

第一道防線是守衛(wèi)功能，包括基于口令的登錄過程以

拒絕所有非授權(quán)訪問以及屏蔽邏輯以檢測、拒絕病毒、

蠕蟲和其他類似攻擊；

第二道防線由內(nèi)部的一些安全控制構(gòu)成，用于管理系

統(tǒng)內(nèi)部的各項(xiàng)操作和所存儲(chǔ)的信息分析，以檢查對付

未授權(quán)的入侵者。

計(jì)算機(jī)資源

（處理器、存儲(chǔ)器、I/O）

攻擊者：

人（如黑客）數(shù)據(jù)進(jìn)程軟件

軟件（如病毒等

惡意程序）

內(nèi)部安全控制

守衛(wèi)功能

信息系統(tǒng)

2C圖1-8網(wǎng)絡(luò)訪問安全模型34

2、網(wǎng)絡(luò)信息安全階段

在網(wǎng)絡(luò)信息安全階段中，人們還開發(fā)了許多網(wǎng)絡(luò)加

密、認(rèn)證、數(shù)字簽名的算法、信息系統(tǒng)安全評價(jià)準(zhǔn)

貝U（如cc通用評價(jià)準(zhǔn)則）。

這一階段的主要特征是對于自己部門的網(wǎng)絡(luò)采用各

種被動(dòng)的防御措施與技術(shù)，目的是防止內(nèi)部網(wǎng)絡(luò)受

到攻擊，保護(hù)內(nèi)部網(wǎng)絡(luò)的信息安全。

2012-10-9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第2版）35

■

■

3、信息保障階段

信息保障(IA??InformationAssurace)這一概

念最初是由美國國防部長辦公室提出來的，后被寫

入命令《DoDDirectiveS?3600.l：

InformationOperation^中，在1996年12月9

日以國防部的名義發(fā)表。

2012-10-9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)36

3、信息保障階段

在這個(gè)命令中信息保障被定義為：通過確保信息和

信息系統(tǒng)的可用性、完整性、可驗(yàn)證性、保密性和

不可否認(rèn)性來保護(hù)信息系統(tǒng)的信息作戰(zhàn)行動(dòng)，包括

綜合利用保護(hù)、探測和響應(yīng)能力以恢復(fù)系統(tǒng)的功能。

1998年1月30日美國防部批準(zhǔn)發(fā)布了《國防部信

息保障綱要》（D1AP）,認(rèn)為信息保障工作是持續(xù)

不間斷的，它貫穿于平時(shí)、危機(jī)、沖突及戰(zhàn)爭期間

的全時(shí)域。信息保障不僅能支持戰(zhàn)爭時(shí)期的國防信

息攻防，而且能夠滿足和平時(shí)期國家信息的安全需

求。

2012-10-9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第2版）37

3、信息保障階段

1998年5月美國公布了由國家安全局NSA起草的

1.0版本《信息保障技術(shù)框架》(Information

AssuranceTechnicalFramework,IATF),旨

在為保護(hù)美國政府和工業(yè)界的信息與信息技術(shù)設(shè)施

提供技術(shù)指南。

在1999年8月31日IATF論壇發(fā)布了IATF2.0版本,

2000年9月22日又推出了IATF3.0版本。

2012-10-9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)38

3、信息保障階段

IATF從整體、過程的角度看待信息安全問題，其代表理論為

“縱深防護(hù)戰(zhàn)略(Defense?in?Depth)”，

就是信息保障依賴人、技術(shù)、操作三個(gè)因素實(shí)現(xiàn)組織的任務(wù)/

業(yè)務(wù)運(yùn)作。通過有效結(jié)合當(dāng)前已有成熟技術(shù)，充分考慮人員、

技術(shù)、操作三方面的影響，并衡量防護(hù)能力、防護(hù)性能、防護(hù)

耗費(fèi)、易操作性等各方面因素，得到系統(tǒng)防護(hù)的最有效實(shí)用的

方案。

穩(wěn)健的信息保障狀態(tài)意味著信息保障的政策、步驟、技術(shù)與機(jī)

制在整個(gè)組織的信息基礎(chǔ)設(shè)施的所有層面上均得以有效實(shí)施。

IATF強(qiáng)調(diào)人、技術(shù)、操作這三個(gè)核心要素。人，借助技術(shù)的

支持，實(shí)施一系列的操作過程，最終實(shí)現(xiàn)信息保障目標(biāo)，這就

是IATF最核心的理念之一。

2012-10-9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)39

3、信息保障階段

A(People)：

人是信息體系的主體，是信息系統(tǒng)的擁有者、管理

者和使用者，是信息保障體系的核心，是第一位的

要素，同時(shí)也是最脆弱的。

正是基于這樣的認(rèn)識，信息安全管理在安全保障體

系中就顯得尤為重要，可以這么說，信息安全保障

體系，實(shí)質(zhì)上就是一個(gè)安全管理的體系，其中包括

意識培養(yǎng)、培訓(xùn)、組織管理、技術(shù)管理和操作管理

等多個(gè)方面。

2012-10-9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)40

保"息檢測

3、信息保障階段反應(yīng)」障恢復(fù)

技術(shù)(Technology)：

技術(shù)是實(shí)現(xiàn)信息保障的具體措施和手段，信息保障

體系所應(yīng)具備的各項(xiàng)安全服務(wù)是通過技術(shù)來實(shí)現(xiàn)的。

這里所說的技術(shù)，已經(jīng)不單是以防護(hù)為主的靜態(tài)技

術(shù)體系，而是保護(hù)(Protection)>檢測(Detection)>

響應(yīng)(Reaction)、恢復(fù)(Restore)有機(jī)結(jié)合的動(dòng)態(tài)技術(shù)

體系，這就是所謂的PDRR(或稱PDR2)模型(如圖1-

9所示)。

2012-10-9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)41

3、信息保障階段

操作(Operation)：或者叫運(yùn)行，

操作將人和技術(shù)緊密地結(jié)合在一起，涉及到風(fēng)險(xiǎn)評

估、安全監(jiān)控、安全審計(jì)、跟蹤告警、入侵檢測、

響應(yīng)恢復(fù)等內(nèi)容。

2012-10-9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)42

IATF主要包含：

,說明IATF的目的與作用——幫助用戶確定信息

安全需求和實(shí)現(xiàn)他們的需求；

，說明信息基礎(chǔ)設(shè)施及其邊界、IA框架的范圍及

威脅的分類和縱深防御策略DiD；

，DiD的深入介紹；

,信息系統(tǒng)的安全工程過程（ISSE）的主要內(nèi)容；

各種網(wǎng)絡(luò)威脅與攻擊的反制技術(shù)或反措施；

，信息基礎(chǔ)設(shè)施、計(jì)算環(huán)境與飛地的防御；

,信息基礎(chǔ)設(shè)施的支撐（如密鑰管理/公鑰管理，

KMI/PKI）＞檢測與響應(yīng)以及戰(zhàn)術(shù)環(huán)境下的信息

保障問題。

2012-10-9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第2版）43

1.3計(jì)算機(jī)系統(tǒng)安全研究的內(nèi)容

口計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下的信息系統(tǒng)可以用層次結(jié)構(gòu)

來描述。

應(yīng)用程序系統(tǒng)網(wǎng)絡(luò)應(yīng)用服務(wù)、命令等

數(shù)據(jù)庫系統(tǒng)（HTTP.FTP）

噪作系統(tǒng)TCP.IP

硬件層（計(jì)算機(jī)、物理鏈路）

圖