《信息安全技术-第一章-安全概述教学内容.ppt》由会员分享,可在线阅读,更多相关《信息安全技术-第一章-安全概述教学内容.ppt(86页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全技术信息安全技术-第一章第一章-安安全概述全概述第一章第一章 绪论绪论41.1 典型网络典型网络安全需求安全需求41.2 安全与开放安全与开放系统系统41.3 网络网络安全策略安全策略41.4 安全威胁安全威胁与防护措施与防护措施41.5 网络网络安全服务安全服务41.6 入侵检测入侵检测与安全审计与安全审计41.7 网络体系网络体系结构结构41.8 安全服务的安全服务的分层配置分层配置与安全服务的管理与安全服务的管理41.9 安全安全基础设施基础设施3信息的处理方式1.1 1.1 典型的网络安全需求典型的网络安全需求4目前,网络安全已不再是军方和政府要害部门目前,网络安全已不再是军方
2、和政府要害部门的一种特殊需求。的一种特殊需求。4实际上,所有的网络应用环境包括银行实际上,所有的网络应用环境包括银行、电子、电子交易、政府(无密级的)、公共电信载体和互交易、政府(无密级的)、公共电信载体和互联联/专用网络都有网络安全的需求。专用网络都有网络安全的需求。应用环境应用环境需求需求所有网络所有网络阻止外部的入侵(黑客)阻止外部的入侵(黑客)银行银行避免欺诈或交易的意外修改避免欺诈或交易的意外修改识别零售交易的顾客识别零售交易的顾客保护个人识别号(保护个人识别号(PIN)以免泄漏以免泄漏确保顾客的秘密确保顾客的秘密电子交易电子交易确保交易的起源和完整性确保交易的起源和完整性保护共同的
3、秘密保护共同的秘密为交易提供合法的电子签名为交易提供合法的电子签名政府政府避免无密级而敏感的信息的未授权泄漏或修改避免无密级而敏感的信息的未授权泄漏或修改为政府文件提供电子签名为政府文件提供电子签名公共电信载体公共电信载体对授权的个人限制访问管理功能对授权的个人限制访问管理功能避免服务中断避免服务中断保护用户的秘密保护用户的秘密互联互联/专用网络专用网络保护团体保护团体/个人的秘密个人的秘密确保消息的真实性确保消息的真实性典典型型的的网网络络安安全全需需求求1.2 1.2 安全与开放系统安全与开放系统4矛盾?矛盾?4开放系统:开放系统:可以自由地选择经销商来购买不同的系统可以自由地选择经销商来
4、购买不同的系统部件,而这些部件可以有机地组合起来以满足购买者部件,而这些部件可以有机地组合起来以满足购买者的需要。因此,开放系统的发展与应用和标准的制定的需要。因此,开放系统的发展与应用和标准的制定密切相关。密切相关。4计算机联网是与开放系统并肩发展起来的。开放系统计算机联网是与开放系统并肩发展起来的。开放系统的标志是开放系统互连(的标志是开放系统互连(OSIOSI)模型的提出。自从模型的提出。自从7070年年代以来,这个模型得到了不断的发展和完善,从而成代以来,这个模型得到了不断的发展和完善,从而成为全球公认的计算机通信协议标准。除了为全球公认的计算机通信协议标准。除了OSIOSI标准外,标
5、准外,另外一些标准化组织也建立了开放系统网络协议。最另外一些标准化组织也建立了开放系统网络协议。最为有名的当属为有名的当属InternetInternet协会,它提出了著名的协会,它提出了著名的TCP/IPTCP/IP协议。通过围绕开放系统互联所开展的标准化活动,协议。通过围绕开放系统互联所开展的标准化活动,使得不同的厂家所提供的设备进行互联成为可能。使得不同的厂家所提供的设备进行互联成为可能。续一续一4将安全保护措施渗透到开放系统网络中:复杂性将安全保护措施渗透到开放系统网络中:复杂性安全技术的应用与通信协议的设计。为了给开放系统安全技术的应用与通信协议的设计。为了给开放系统网络提供安全保证
6、,就必须将安全技术与安全协议相网络提供安全保证,就必须将安全技术与安全协议相结合,而安全协议是一般的网络协议的重要组成部分。结合,而安全协议是一般的网络协议的重要组成部分。4当前,我们要做的主要工作是在下列的三个较宽的领当前,我们要做的主要工作是在下列的三个较宽的领域内,设计或建立一些兼容的或作为补充的标准:域内,设计或建立一些兼容的或作为补充的标准:1 1)安全技术;)安全技术;2 2)一般用途的安全协议;)一般用途的安全协议;3 3)特殊用途的安全协议,如银行、电子邮件等应用。)特殊用途的安全协议,如银行、电子邮件等应用。续二续二4与以上领域有关的标准主要来自以下四个方面:与以上领域有关的
7、标准主要来自以下四个方面:1 1)有关信息技术的国际标准。这些标准是由以下组)有关信息技术的国际标准。这些标准是由以下组织建立的:国际标准化组织织建立的:国际标准化组织(ISOISO),),国际电工委员会国际电工委员会(IECIEC),),国际电信联盟(国际电信联盟(ITUITU,原称原称CCITTCCITT)和电气与和电气与电子工程师协会(电子工程师协会(IEEEIEEE););2 2)银行工业标准。这些标准或者是由银行工业标准。这些标准或者是由ISOISO国际性地国际性地开发的,或者是由美国国家标准协会开发的,或者是由美国国家标准协会(ANSI)ANSI)面向美国面向美国国内的应用而开发的
8、;国内的应用而开发的;3 3)国家政府标准。这些标准是由各国政府制定的;)国家政府标准。这些标准是由各国政府制定的;4 4)InternetInternet标准。这些标准是由标准。这些标准是由InternetInternet协会开发协会开发的。的。1.3 1.3 网络安全策略网络安全策略4安全区域:通常是指属于某个组织的处理和通安全区域:通常是指属于某个组织的处理和通信资源之集。信资源之集。4安全策略:是指在某个安全区域内,用于所有安全策略:是指在某个安全区域内,用于所有与安全活动相关的一套规则。这些规则是由此与安全活动相关的一套规则。这些规则是由此安全区域中所设立的一个权威机构来建立的。安全
9、区域中所设立的一个权威机构来建立的。4安全策略是一个很广泛的概念,这一术语以许安全策略是一个很广泛的概念,这一术语以许多不同的方式用于各种文献和标准之中。多不同的方式用于各种文献和标准之中。OSI安全体系结构中将安全策略定义为安全服务应安全体系结构中将安全策略定义为安全服务应达到的各种准则。达到的各种准则。续一续一4安全策略有以下几个不同的等级:安全策略有以下几个不同的等级:1)安全策略目标:是某个机构对所要保护)安全策略目标:是某个机构对所要保护的特定资源要达到的目的所进行的描述;的特定资源要达到的目的所进行的描述;2)机构安全策略:是一套法律、规则和实)机构安全策略:是一套法律、规则和实际
10、操作方法,用于规范某个机构如何来管理、际操作方法,用于规范某个机构如何来管理、保护和分配资源以达到安全策略的既定目标;保护和分配资源以达到安全策略的既定目标;3)系统安全策略:所描述的是如何将某个)系统安全策略:所描述的是如何将某个特定的信息技术系统付诸工程实现,以支持此特定的信息技术系统付诸工程实现,以支持此机构的安全策略要求。机构的安全策略要求。续二续二41.3.1 1.3.1 授权授权41.3.2 1.3.2 访问控制策略访问控制策略41.3.3 1.3.3 责任责任1.3.1 授权授权4 授权授权(authorizationauthorization):):指赋予主体(用户、终端、指赋
11、予主体(用户、终端、程序等)对客体(数据、程序等)的支配权力,它等程序等)对客体(数据、程序等)的支配权力,它等于于规定了谁可以对什么做些什么规定了谁可以对什么做些什么。4授权描述在机构安全策略等级上的一些例子如下:授权描述在机构安全策略等级上的一些例子如下:1 1)文件文件Project-X-StatusProject-X-Status只能由只能由lzhhlzhh修改,并由修改,并由tanzwtanzw,wanzwanz和和Project-XProject-X计划小组中的成员阅读;计划小组中的成员阅读;2 2)一个人事纪录只能由人事部的职员进行新增和修)一个人事纪录只能由人事部的职员进行新增
12、和修改,并且只能由人事部职员、执行经理和该纪录所属改,并且只能由人事部职员、执行经理和该纪录所属于的那个人阅读;于的那个人阅读;3 3)在一个有机密、秘密和绝密等密级的多级安全系)在一个有机密、秘密和绝密等密级的多级安全系统中,只有所持许可证级别等于或高于此密级的人员,统中,只有所持许可证级别等于或高于此密级的人员,才有权访问此密级中的信息才有权访问此密级中的信息。1.3.2 访问控制策略访问控制策略4访问控制策略访问控制策略(Access Control PoliciesAccess Control Policies):):隶属于隶属于系统安全策略,它迫使在计算机系统和网络中自动地系统安全策
13、略,它迫使在计算机系统和网络中自动地执行授权。执行授权。4以上授权描述实例分别对应于以下不同的访问控制策以上授权描述实例分别对应于以下不同的访问控制策略:略:1 1)基于身份的策略:该策略允许或拒绝对明确区分基于身份的策略:该策略允许或拒绝对明确区分的个体或群体进行访问;的个体或群体进行访问;2 2)基于角色的策略:该策略是基于身份的策略的一)基于角色的策略:该策略是基于身份的策略的一种变形,它给每个个体分配角色,并基于这些角色来种变形,它给每个个体分配角色,并基于这些角色来使用授权机制;使用授权机制;3 3)多级策略:该策略是基于信息敏感性的等级以及)多级策略:该策略是基于信息敏感性的等级以
14、及工作人员许可证等级而制定的一般规则。工作人员许可证等级而制定的一般规则。续一续一4可分为可分为强制访问控制策略、自主访问控制策略强制访问控制策略、自主访问控制策略两类。两类。4强制访问控制策略是由安全区域的权威机构强制实施的,任何用强制访问控制策略是由安全区域的权威机构强制实施的,任何用户都不能回避它。强制访问控制策略在军事上和其它政府机密环户都不能回避它。强制访问控制策略在军事上和其它政府机密环境最为常用,上述的策略境最为常用,上述的策略3 3)就是一个例子。)就是一个例子。4自主自主访问控制策略为一些特殊的用户提供了对资源(例如信息)访问控制策略为一些特殊的用户提供了对资源(例如信息)的
15、访问权,这些用户可以利用此权限控制对资源进行访问。上述的访问权,这些用户可以利用此权限控制对资源进行访问。上述的策略的策略1)和)和2)就是自主访问控制策略的两个例子。)就是自主访问控制策略的两个例子。4在机密环境中,自主访问控制策略用于强制执行在机密环境中,自主访问控制策略用于强制执行“须知须知(Need to Need to KnowKnow)”最小特权策略最小特权策略(Least Privilege PolicyLeast Privilege Policy)或最小泄漏策或最小泄漏策略略(Least Exposure PolicyLeast Exposure Policy)。)。前者只授予
16、主体为执行任务所必前者只授予主体为执行任务所必需的信息或处理能力;后者按原则向主体提供机密信息,并且主需的信息或处理能力;后者按原则向主体提供机密信息,并且主体承担保护信息的责任。体承担保护信息的责任。1.3.3 责任责任4责任责任(AccountabilityAccountability):):支撑所有安全策略的一个支撑所有安全策略的一个根本原则根本原则。受到安全策略制约的任何个体在执行任务受到安全策略制约的任何个体在执行任务时,需要对它们的行为负责任时,需要对它们的行为负责任。这与人事安全有十分。这与人事安全有十分重要的关联。某些网络防护措施,包括认证工作人员重要的关联。某些网络防护措施,
17、包括认证工作人员的身份以及与这种身份相关的活动,都直接地支持这的身份以及与这种身份相关的活动,都直接地支持这一原则。一原则。1.4 安全威胁与防护措施安全威胁与防护措施41.4.1 基本概念基本概念41.4.2 安全威胁安全威胁41.4.3 防护措施防护措施41.4.4 病毒病毒1.4.1 基本概念基本概念4安全威胁:是指某个人安全威胁:是指某个人、物、事件对某一资源的机密性、完整性、可用、物、事件对某一资源的机密性、完整性、可用性或合法使用所造成的危害。某种攻击就是某种威胁的具体实现。性或合法使用所造成的危害。某种攻击就是某种威胁的具体实现。4防护措施:是指保护资源免受威胁的一些物理控制、机
18、制、策略和过程。防护措施:是指保护资源免受威胁的一些物理控制、机制、策略和过程。4脆弱性:是指在防护措施中和在缺少防护措施时系统所具有的弱点。脆弱性:是指在防护措施中和在缺少防护措施时系统所具有的弱点。4风险:是关于某个已知的、可能引发某种成功攻击的脆弱性的代价的测风险:是关于某个已知的、可能引发某种成功攻击的脆弱性的代价的测度。度。4当某个脆弱的资源的价值高,以及成功攻击的概率高时,风险也就高;当某个脆弱的资源的价值高,以及成功攻击的概率高时,风险也就高;反之,当某个脆弱的资源的价值低,以及成功攻击的概率低时,风险也反之,当某个脆弱的资源的价值低,以及成功攻击的概率低时,风险也就低。风险分析
19、能够提供定量的方法来确定防护措施的支出是否应予以就低。风险分析能够提供定量的方法来确定防护措施的支出是否应予以保证。保证。4安全威胁可分成故意的(如黑客渗透)和偶然的(如信息被发往错误的安全威胁可分成故意的(如黑客渗透)和偶然的(如信息被发往错误的地址)两类。故意的威胁又可以进一步被分成被动的和主动的两类。被地址)两类。故意的威胁又可以进一步被分成被动的和主动的两类。被动威胁包括只对信息进行监听(如搭线窃听),而不对其进行修改。主动威胁包括只对信息进行监听(如搭线窃听),而不对其进行修改。主动威胁包括对信息进行故意的修改(如改动某次金融会话过程中货币的动威胁包括对信息进行故意的修改(如改动某次
20、金融会话过程中货币的数量)。数量)。18网络安全面临的威胁物理风险 系统风险信息风险应用风险其它风险网络的风险管理风险 设备防盗,防毁设备防盗,防毁设备防盗,防毁设备防盗,防毁 链路老化人为破坏链路老化人为破坏链路老化人为破坏链路老化人为破坏 网络设备自身故障网络设备自身故障网络设备自身故障网络设备自身故障 停电导致无法工作停电导致无法工作停电导致无法工作停电导致无法工作 机房电磁辐射机房电磁辐射机房电磁辐射机房电磁辐射 其他其他其他其他 信息存储安全信息存储安全信息存储安全信息存储安全 信息传输安全信息传输安全信息传输安全信息传输安全 信息访问安全信息访问安全信息访问安全信息访问安全 其他其
21、他其他其他 身份鉴别身份鉴别身份鉴别身份鉴别 访问授权访问授权访问授权访问授权 机密性机密性机密性机密性 完整性完整性完整性完整性 不可否认性不可否认性不可否认性不可否认性 可用性可用性可用性可用性 计算机病毒计算机病毒计算机病毒计算机病毒 外部攻击外部攻击外部攻击外部攻击 内部破坏内部破坏内部破坏内部破坏 其他风险其他风险其他风险其他风险 软件弱点软件弱点软件弱点软件弱点是否存在管理方面是否存在管理方面是否存在管理方面是否存在管理方面的风险需的风险需的风险需的风险需有无制定相应的安有无制定相应的安有无制定相应的安有无制定相应的安全制度全制度全制度全制度 安全拓扑安全拓扑安全拓扑安全拓扑 安全
22、路由安全路由安全路由安全路由Internet19国际标准化组织对具体的威胁定义:伪装(pseudonym):非法连接(illegal association):非授权访问(no-authorized access):重放(replay)拒绝服务(denial of service):抵赖(repudiation):信息泄露(leakage of information):业务流量分析(traffic analysis)改变信息流(invalid message sequencing)篡改或破坏数据(data modification or destruction)推断或演绎信息(deducti
23、on of information):非法篡改(illegal modification of programs):1.4.2 安全威胁安全威胁4基本的威胁基本的威胁 信息安全的基本目标是实现信息的机密性信息安全的基本目标是实现信息的机密性、完整性完整性、可用性、可用性以及资源的合法使用。以下四个基本的安全威胁直接反映出了这以及资源的合法使用。以下四个基本的安全威胁直接反映出了这四个安全目标。四个安全目标。1 1)信息泄漏:信息被泄漏或透露给某个未授权的实体。这种)信息泄漏:信息被泄漏或透露给某个未授权的实体。这种威胁主要来自诸如窃听、搭线或其它更加错综复杂的信息探测攻威胁主要来自诸如窃听、搭
24、线或其它更加错综复杂的信息探测攻击;击;2)2)完整性破坏:数据的一致性通过未授权的创建、修改或破完整性破坏:数据的一致性通过未授权的创建、修改或破坏而受到损坏;坏而受到损坏;3 3)拒绝服务:对信息或其它资源的合法访问被无条件地阻止。拒绝服务:对信息或其它资源的合法访问被无条件地阻止。这可能是由于以下攻击所致:攻击者通过对系统进行非法的、根这可能是由于以下攻击所致:攻击者通过对系统进行非法的、根本无法成功的访问尝试而产生过量的负载,从而导致系统的资源本无法成功的访问尝试而产生过量的负载,从而导致系统的资源对合法用户也是不可使用的。也可能由于系统在物理上或逻辑上对合法用户也是不可使用的。也可能
25、由于系统在物理上或逻辑上受到破坏而中断服务;受到破坏而中断服务;4)非法使用:某一资源被某个未授权的人或以某一未授权的)非法使用:某一资源被某个未授权的人或以某一未授权的方式使用方式使用。续二续二 4主要的可实现的威胁主要的可实现的威胁 在安全威胁中,主要的可实现的威胁是十分重要的,因为任何这类在安全威胁中,主要的可实现的威胁是十分重要的,因为任何这类威胁的某一实现会直接导致任何基本威胁的某一实现。因而,这些威胁威胁的某一实现会直接导致任何基本威胁的某一实现。因而,这些威胁使基本的威胁成为可能。主要的可实现的威胁包括渗入威胁和植入威胁。使基本的威胁成为可能。主要的可实现的威胁包括渗入威胁和植入
26、威胁。主要的渗入威胁有:主要的渗入威胁有:1 1)假冒:某个实体(人或系统)假装成另外一个不同的实体。这假冒:某个实体(人或系统)假装成另外一个不同的实体。这是渗入某个安全防线的最为通用的方法。某个未授权的实体提示某一防是渗入某个安全防线的最为通用的方法。某个未授权的实体提示某一防线的守卫者,使其相信它是一个合法的实体,此后便攫取了此合法用户线的守卫者,使其相信它是一个合法的实体,此后便攫取了此合法用户的权利和特权。黑客大多采用假冒攻击。的权利和特权。黑客大多采用假冒攻击。2 2)旁路控制:为了获得未授权的权利和特权,某个攻击者会发掘旁路控制:为了获得未授权的权利和特权,某个攻击者会发掘系统的
27、缺陷或安全上的脆弱之处。系统的缺陷或安全上的脆弱之处。3 3)授权侵犯:被授权以某一目的使用某一系统或资源的某个人,授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其它未授权的目的,这也称作却将此权限用于其它未授权的目的,这也称作“内部威胁内部威胁”。主要的植入威胁有:主要的植入威胁有:1 1)特洛伊木马()特洛伊木马(Torojan HouseTorojan House):):软件中含有一个觉察不出的或软件中含有一个觉察不出的或无害的程序段,当它被执行时,会破坏用户的安全性。无害的程序段,当它被执行时,会破坏用户的安全性。2 2)陷门:在某个系统或某个文件中设置的陷门:在
28、某个系统或某个文件中设置的“机关机关”,使得当提供,使得当提供特定的输入数据时,允许违反安全策略。特定的输入数据时,允许违反安全策略。续三续三4潜在威胁潜在威胁 如果在某个给定环境对任何一种基本威胁或者主如果在某个给定环境对任何一种基本威胁或者主要的可实现的威胁进行分析,我们就能够发现某些特要的可实现的威胁进行分析,我们就能够发现某些特定的潜在威胁,而任意一种潜在威胁都可能导致一些定的潜在威胁,而任意一种潜在威胁都可能导致一些更基本的威胁的发生。例如,如果考虑信息泄漏这样更基本的威胁的发生。例如,如果考虑信息泄漏这样一种基本威胁,我们有可能找出以下几种潜在威胁一种基本威胁,我们有可能找出以下几
29、种潜在威胁(不考虑主要的可实现的威胁):(不考虑主要的可实现的威胁):1)窃听;窃听;2)业务流分析;业务流分析;3)人员疏忽;人员疏忽;4)媒体清理。媒体清理。23我国当前信息安全的现状搭线窃听信息总部总部下属机构下属机构黑客黑客 信息泄密信息泄密信息泄密信息泄密 信息被篡改信息被篡改信息被篡改信息被篡改Internet2.电电 脑脑 黑黑 客客 活活 动动 已已 形形 成成 重重 要要 威威 胁胁。24我国当前信息安全的现状3.信信 息息 基基 础础 设设 施施 面面 临临 网网 络络 安安 全全 的的 挑挑 战战。企业网络企业网络非法用户非法用户非法登录非法登录合法用户合法用户越权访问越
30、权访问计算机网络计算机网络 信息被越权访问信息被越权访问信息被越权访问信息被越权访问 信息被非授权访问信息被非授权访问信息被非授权访问信息被非授权访问 图图1.4.1 典型的潜在威胁及其之间的相互关系典型的潜在威胁及其之间的相互关系信息泄漏信息泄漏完整性破坏完整性破坏拒绝服务拒绝服务非法使用非法使用窃听窃听 业务流分析业务流分析 电磁电磁/射频截获射频截获 人员疏漏人员疏漏 媒体清理媒体清理 假冒假冒 旁路控制旁路控制授权侵犯授权侵犯物理侵犯物理侵犯渗入渗入 特洛伊木马特洛伊木马陷门陷门 业务欺骗业务欺骗 植入植入 窃取窃取截获截获/修改修改否认否认 信息泄漏信息泄漏 完整性破坏完整性破坏窃取
31、窃取 重放重放 资源耗尽资源耗尽 完整性破坏完整性破坏 表表1.4.1 1.4.1 典型的网络安全威胁典型的网络安全威胁威威 胁胁授权侵犯授权侵犯*旁路控制旁路控制拒绝服务拒绝服务*窃听窃听*人员疏忽人员疏忽非法使用非法使用电磁电磁/射频截获射频截获媒体清理媒体清理假冒假冒*截获截获/修改修改*完整性破坏完整性破坏*信息泄露信息泄露*描描 述述物理侵入物理侵入为某一特定目的授权使用一个系统的人却将该系统用作其它未授权的目的为某一特定目的授权使用一个系统的人却将该系统用作其它未授权的目的攻击者发掘系统的缺陷或安全脆弱性攻击者发掘系统的缺陷或安全脆弱性对信息或其它资源的合法访问被无条件的拒绝或推迟
32、与时间密切相关的操作对信息或其它资源的合法访问被无条件的拒绝或推迟与时间密切相关的操作信息从被监视的通信过程中泄露出去信息从被监视的通信过程中泄露出去信息从电子或机电设备所发出的无线射频或其它电磁场辐射中被提取出来信息从电子或机电设备所发出的无线射频或其它电磁场辐射中被提取出来数据的一致性通过对数据进行未授权的创建数据的一致性通过对数据进行未授权的创建、修改或破坏而受到损坏修改或破坏而受到损坏信息被泄露或暴露给某个未授权的实体信息被泄露或暴露给某个未授权的实体一个授权的人为了金钱或利益或由于粗心将信息泄露给一个未授权的人一个授权的人为了金钱或利益或由于粗心将信息泄露给一个未授权的人资源被某个未
33、授权的人或者以未授权的方式使用资源被某个未授权的人或者以未授权的方式使用一个侵入者通过绕过物理控制而获得对系统的访问一个侵入者通过绕过物理控制而获得对系统的访问信息被从废弃的或打印过的媒体中获得信息被从废弃的或打印过的媒体中获得一个实体(人或系统)假装成另一个不同的实体一个实体(人或系统)假装成另一个不同的实体某一通信数据项在传输过程中被改变某一通信数据项在传输过程中被改变、删除或替代删除或替代 重放重放*否认否认*资源耗尽资源耗尽服务欺骗服务欺骗窃取窃取将所截获的合法通信数据项拷贝,出于非法的目的而被重新发送将所截获的合法通信数据项拷贝,出于非法的目的而被重新发送参与某次通信交换的一方,事后
34、错误地否认曾经发生过此次交换参与某次通信交换的一方,事后错误地否认曾经发生过此次交换某一资源(如访问接口)被故意超负荷地使用,导致其它用户的服务被中断某一资源(如访问接口)被故意超负荷地使用,导致其它用户的服务被中断某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息某一安全攸关的物品,如令牌或身份卡被盗某一安全攸关的物品,如令牌或身份卡被盗业务流分析业务流分析*陷门陷门通过对通信业务流模式进行观察(有,无,数量,方向,频率),而造成通过对通信业务流模式进行观察(有,无,数量,方向,频率),而造成信息被泄露给未授权的实体信息被泄露
35、给未授权的实体将某一将某一“特征特征”设立于某个系统或系统部件之中,使得在提供特定的输入数设立于某个系统或系统部件之中,使得在提供特定的输入数据时,允许安全策略被违反据时,允许安全策略被违反特洛伊木马特洛伊木马含有一个觉察不出或无害程序段的软件,当它被运行时,会损害用户的安全含有一个觉察不出或无害程序段的软件,当它被运行时,会损害用户的安全接上表接上表续续 4在现实生活中,下面几种威胁是最主要的威胁:在现实生活中,下面几种威胁是最主要的威胁:1 1)授权侵犯;授权侵犯;2 2)假冒;)假冒;3)旁路控制;)旁路控制;4)特洛伊木马或陷门;)特洛伊木马或陷门;5)媒体清理。)媒体清理。在具体实施
36、攻击时,攻击者往往将几种攻击结合在具体实施攻击时,攻击者往往将几种攻击结合起来使用,起来使用,InternetInternet蠕虫(蠕虫(Internet WormInternet Worm)就是将旁就是将旁路控制与假冒攻击结合起来的一种威胁。在这种威胁路控制与假冒攻击结合起来的一种威胁。在这种威胁中,旁路控制涉及对中,旁路控制涉及对Berkeley UNIXBerkeley UNIX操作系统的已知缺操作系统的已知缺陷的利用,而假冒则涉及对用户口令的破译。陷的利用,而假冒则涉及对用户口令的破译。29攻击者需要的技能日趋下降攻击工具攻击工具复杂性复杂性攻击者所攻击者所需技能需技能1.4.3 防护
37、措施防护措施4除了采取密码技术的防护措施以外,还有以下几类防护措施:除了采取密码技术的防护措施以外,还有以下几类防护措施:1)物理安全:门锁或其它物理访问控制;敏感设备的防窜物理安全:门锁或其它物理访问控制;敏感设备的防窜改;环境控制;改;环境控制;2 2)人员安全:职位敏感性识别;雇员筛选过程;安全性训练人员安全:职位敏感性识别;雇员筛选过程;安全性训练和安全意识;和安全意识;3 3)管理安全:控制软件从外国进口;调查安全泄露、检查审)管理安全:控制软件从外国进口;调查安全泄露、检查审计追踪以及检查责任控制的工作程序;计追踪以及检查责任控制的工作程序;4)4)媒体安全:保护信息的存储;控制敏
38、感信息的记录、再生媒体安全:保护信息的存储;控制敏感信息的记录、再生和销毁;确保废弃的纸张或含有敏感信息的磁性介质得到安全的和销毁;确保废弃的纸张或含有敏感信息的磁性介质得到安全的销毁;对媒体进行扫描,以便发现病毒;销毁;对媒体进行扫描,以便发现病毒;5)5)辐射安全:射频(辐射安全:射频(RFRF)及其它电磁(及其它电磁(EMEM)辐射控制(亦被辐射控制(亦被称作称作TEMPESTTEMPEST保护);保护);6)6)生命周期控制:可信系统的设计、实现、评估和担保;程生命周期控制:可信系统的设计、实现、评估和担保;程序设计标准及控制;文档序设计标准及控制;文档控制。控制。续 4一个安全系统的
39、强度是与其最弱链路的强度相同。为了提供有效一个安全系统的强度是与其最弱链路的强度相同。为了提供有效的安全性,我们需要将属于不同种类的威胁对抗措施联合起来使的安全性,我们需要将属于不同种类的威胁对抗措施联合起来使用。例如,当用户将口令遗忘在某个不安全的地方,或者受到欺用。例如,当用户将口令遗忘在某个不安全的地方,或者受到欺骗而将口令暴露给某个未知的电话用户时,用于对付假冒攻击的骗而将口令暴露给某个未知的电话用户时,用于对付假冒攻击的口令系统即使技术上是完备的也将是无效的。口令系统即使技术上是完备的也将是无效的。4保护措施可用来对付大多数的安全威胁,但是每个防护措施均要保护措施可用来对付大多数的安
40、全威胁,但是每个防护措施均要付出代价。一个网络用户或代理人需要仔细考虑这样一个问题,付出代价。一个网络用户或代理人需要仔细考虑这样一个问题,即为了防止某一攻击所付出的代价是否值得。例如,在商业网络即为了防止某一攻击所付出的代价是否值得。例如,在商业网络中,一般不考虑对付电磁(中,一般不考虑对付电磁(EMEM)或射频泄露,因为对商用来说其或射频泄露,因为对商用来说其风险是很小的,而且其防护措施又十分昂贵(但在一个机密环境风险是很小的,而且其防护措施又十分昂贵(但在一个机密环境中,我们会得出不同的结论)。对于某一特定的网络环境,究竟中,我们会得出不同的结论)。对于某一特定的网络环境,究竟采用什么安
41、全防护措施,这种决策的做出属于风险管理的范畴。采用什么安全防护措施,这种决策的做出属于风险管理的范畴。目前,人们已经开发出了各种定性的和定量的风险管理工具。目前,人们已经开发出了各种定性的和定量的风险管理工具。1.4.4 病毒病毒4病毒(病毒(VirusesViruses):):是指一段可执行的程序代码,通过是指一段可执行的程序代码,通过对其它程序进行修改,可以对其它程序进行修改,可以“感染感染”这些程序使它们这些程序使它们成为含有该病毒程序的一个拷贝。成为含有该病毒程序的一个拷贝。4一种病毒通常含有两种功能:一种功能是对其它程序一种病毒通常含有两种功能:一种功能是对其它程序产生产生“感染感染
42、”;另一种或者是引发损坏功能,或者是;另一种或者是引发损坏功能,或者是一种植入攻击的能力。一种植入攻击的能力。4病毒是对软件、计算机和网络系统的最大威胁。随着病毒是对软件、计算机和网络系统的最大威胁。随着网络化,特别是网络化,特别是InternetInternet的发展,大大地加速了病毒的发展,大大地加速了病毒的传播。的传播。4尽管在尽管在“开放开放”环境中要完全消除病毒是不可能的,环境中要完全消除病毒是不可能的,但是它们的传播可以通过病毒软件和媒体管理等手段,但是它们的传播可以通过病毒软件和媒体管理等手段,而得到有效的控制。而得到有效的控制。33黑客攻击与网络病毒日趋融合黑客攻击与网络病毒日
43、趋融合1.5 网络安全服务网络安全服务4在计算机通信网络中,主要的安全防护措施被称作安全服务。在计算机通信网络中,主要的安全防护措施被称作安全服务。4有以下五种通用的安全服务:有以下五种通用的安全服务:1)认证服务:提供某个实体(人或系统)的身份的保证;认证服务:提供某个实体(人或系统)的身份的保证;2 2)访问控制服务:保护资源以免对其进行非法使用和操纵;访问控制服务:保护资源以免对其进行非法使用和操纵;3 3)机密性服务:保护信息不被泄露或暴露给未授权的实体;机密性服务:保护信息不被泄露或暴露给未授权的实体;4 4)数据完整性服务:保护数据以防止未授权的改变、删除或数据完整性服务:保护数据
44、以防止未授权的改变、删除或替代;替代;5 5)非否认服务:防止参与某次通信交换的一方事后否认本次非否认服务:防止参与某次通信交换的一方事后否认本次交换曾经发生过。交换曾经发生过。4为某一安全区域所制定的安全策略决定着在该区域内或者在与其为某一安全区域所制定的安全策略决定着在该区域内或者在与其它区域进行通信交换时,应采用哪些安全服务。它也决定着在什它区域进行通信交换时,应采用哪些安全服务。它也决定着在什么条件下可以使用某个安全服务,以及对此服务的任意一个变量么条件下可以使用某个安全服务,以及对此服务的任意一个变量参数施加了什么限制。参数施加了什么限制。4对于数据通信环境,甚至电子环境,都没有更特
45、别的安全服务。对于数据通信环境,甚至电子环境,都没有更特别的安全服务。而上述各种通用的安全服务均有非电子的模拟系统,它们采用了而上述各种通用的安全服务均有非电子的模拟系统,它们采用了人们所熟悉的支持机制。人们所熟悉的支持机制。表表1.5.1 1.5.1 非电子的安全机制非电子的安全机制1.5.1 认证认证4认证服务:提供了关于某个实体(人或事物)认证服务:提供了关于某个实体(人或事物)身份的保证。这意味着每当某个实体声称具有身份的保证。这意味着每当某个实体声称具有一个特定的身份(例如,一个特定的用户名)一个特定的身份(例如,一个特定的用户名)时,认证服务将提供某种方法来证实这一声明时,认证服务
46、将提供某种方法来证实这一声明是正确的。口令是一种提供认证的熟知方法。是正确的。口令是一种提供认证的熟知方法。4认证是一种最重要的安全服务,因为在某种程认证是一种最重要的安全服务,因为在某种程度上所有其它的安全服务都依赖于它。认证是度上所有其它的安全服务都依赖于它。认证是对付假冒攻击的有效方法。对付假冒攻击的有效方法。续一续一4认证用于一个特定的通信过程,即在此过程中需要提交实体的身认证用于一个特定的通信过程,即在此过程中需要提交实体的身份。认证可分为:份。认证可分为:1)实体认证:身份是由参与某次通信连接或会话的远端的一)实体认证:身份是由参与某次通信连接或会话的远端的一方提交的。这种认证只是
47、简单地认证实体本身的身份,不会和实方提交的。这种认证只是简单地认证实体本身的身份,不会和实体想要进行何种活动联系起来。显然,它的作用是有限的(因为体想要进行何种活动联系起来。显然,它的作用是有限的(因为实体通常是希望在识别身份的基础上执行其它操作)。因此,在实体通常是希望在识别身份的基础上执行其它操作)。因此,在实际工作中,实体认证通常会产生一个明确的结果,允许实体进实际工作中,实体认证通常会产生一个明确的结果,允许实体进行其它活动或通信。行其它活动或通信。2)数据起源认证:身份是由声称它是某个数据项的发送者的)数据起源认证:身份是由声称它是某个数据项的发送者的那个实体所提交的。此身份连同数据
48、项一起发送给接收者。这种那个实体所提交的。此身份连同数据项一起发送给接收者。这种认证就是认证某个指定的数据项是否来源于某个特定的实体。这认证就是认证某个指定的数据项是否来源于某个特定的实体。这既不是孤立地认证一个实体,也不是为了允许实体执行下一步的既不是孤立地认证一个实体,也不是为了允许实体执行下一步的操作而认证它的身份,而是为了确定被认证的实体与一些特定数操作而认证它的身份,而是为了确定被认证的实体与一些特定数据项有着静态的不可分割的联系。据项有着静态的不可分割的联系。续二续二4 在达到基本的安全目标方面,上述两种类型的认证服务都具在达到基本的安全目标方面,上述两种类型的认证服务都具有重要的
49、作用。数据起源认证是保证部分完整性目标的直接方法,有重要的作用。数据起源认证是保证部分完整性目标的直接方法,即保证知道某个数据项的真正的起源。而实体认证则采用以下各即保证知道某个数据项的真正的起源。而实体认证则采用以下各种不同方式,以便达到安全目标。种不同方式,以便达到安全目标。1)作为访问控制服务的一种必要支持,访问控制服务的执)作为访问控制服务的一种必要支持,访问控制服务的执行依赖于确知的身份(访问控制服务直接对达到机密性、完整性、行依赖于确知的身份(访问控制服务直接对达到机密性、完整性、可用性及合法使用目标提供支持);可用性及合法使用目标提供支持);2)作为提供数据起源认证的一种可能方法
50、(当它与数据完)作为提供数据起源认证的一种可能方法(当它与数据完整性机制结合起来使用时);整性机制结合起来使用时);3)作为对责任原则的一种直接支持,例如,在审计追踪过)作为对责任原则的一种直接支持,例如,在审计追踪过程中做纪录时,提供与某一活动相联系的确知身份。程中做纪录时,提供与某一活动相联系的确知身份。实体认证的一个重要的实例是人员认证,即对处于网络终端实体认证的一个重要的实例是人员认证,即对处于网络终端上的某个人进行认证。需要特别指出的是在某个终端上,不同的上的某个人进行认证。需要特别指出的是在某个终端上,不同的人员之间容易互相替代。在区分单个人方面可以采用一些特别的人员之间容易互相替