信息安全體系結(jié)構(gòu)概論

1、教材及參考書教材信息系統(tǒng)安全 戴宗坤 羅萬伯等編著，電子工業(yè)出版社，2002年11月。參考書信息安全概論洪帆 崔國華 付小青編著，華中科技大學(xué)出版社，2005年9月。計(jì)算機(jī)安全學(xué)導(dǎo)論美 Matt Bishop著 王立斌 黃征等譯，電子工業(yè)出版社，2005年11月。課程主要內(nèi)容概論信息系統(tǒng)安全體系開放系統(tǒng)互連安全服務(wù)框架安全機(jī)制Internet安全體系結(jié)構(gòu)安全評估第1章 概論什么是信息安全？信息安全的發(fā)展過程信息系統(tǒng)安全信息系統(tǒng)風(fēng)險(xiǎn)和安全需求1.1 什么是信息安全？信息化的迅速發(fā)展正在對國家和社會(huì)的各方面產(chǎn)生巨大影響，隨著國家信息化的不斷推進(jìn)與當(dāng)前電子政務(wù)的大力建設(shè)，信息已經(jīng)成為最能代表綜合國力

2、的戰(zhàn)略資源。能否有效地保護(hù)信息資源，保護(hù)信息化進(jìn)程健康、有序、可持續(xù)發(fā)展，直接關(guān)乎國家安危，關(guān)乎民族興亡，是國家、民族的頭等大事。沒有信息安全，就沒有真正意義上的政治安全，就沒有穩(wěn)固的經(jīng)濟(jì)安全和軍事安全，更沒有完整意義上的國家安全。信息安全是信息技術(shù)發(fā)展過程之中提出的課題，在信息化的大背景下被推上了歷史舞臺(tái)。信息安全不是最終目的，它只是服務(wù)于信息化的一種手段，其針對的是信息化這種戰(zhàn)略資源的安全，其主旨在于為信息化保駕護(hù)航。1.1.1 信息的安全屬性信息安全的概念與信息的本質(zhì)屬性有著必然的聯(lián)系，它是信息的本質(zhì)屬性所體現(xiàn)的安全意義。機(jī)密性（Confidentiality）完整性（Integrali

3、ty）可用性（Availability）可控性（Controllability）不可否認(rèn)性（Non-repudiation）機(jī)密性（Confidentiality） 在傳統(tǒng)信息環(huán)境中，普通人通過郵政系統(tǒng)發(fā)信件時(shí)，為了個(gè)人隱私要裝上信封?？墒堑搅诵畔⒒瘯r(shí)代，信息在網(wǎng)上傳播時(shí)，如果沒有這個(gè)“信封”，那么所有的信息都是“明信片”，不再有秘密可言，這便是信息安全中的機(jī)密性需求。 機(jī)密性是指信息不被泄露給非授權(quán)的用戶、實(shí)體或進(jìn)程，或被其利用的特性。 機(jī)密性不但包括信息內(nèi)容的保密，還包括信息狀態(tài)的保密。完整性（Integrality） 完整性是指信息未經(jīng)授權(quán)不能進(jìn)行更改的特性。即信息在存儲(chǔ)或傳輸過程中保持

4、不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。 完整性與機(jī)密性不同，機(jī)密性要求信息不被泄露給未授權(quán)的人，而完整性則要求信息不致受到各種原因的破壞?？捎眯裕ˋvailability） 可用性是信息可被授權(quán)實(shí)體訪問并按需求使用的特性。 在授權(quán)用戶或?qū)嶓w需要信息服務(wù)時(shí)，信息服務(wù)應(yīng)該可以使用，或者是信息系統(tǒng)部分受損或需要降級使用時(shí)，仍能為授權(quán)用戶提供有效服務(wù)。 可用性一般用系統(tǒng)正常使用時(shí)間和整個(gè)工作時(shí)間之比來度量?？煽匦裕–ontrollability） 可控性是指能夠控制使用信息資源的人或?qū)嶓w的使用方式。 對于信息系統(tǒng)中的敏感信息資源，如果任何人都能訪問、篡改、竊取以及惡意散

5、播的話，那么安全系統(tǒng)顯然失去了效用。對訪問信息資源的人或?qū)嶓w的使用方式進(jìn)行有效的控制，是信息安全的必然要求。 從國家的層面看，信息安全中的可控性不但涉及到了信息的可控，還與安全產(chǎn)品、安全市場、安全廠商、安全研發(fā)人員的可控性密切相關(guān)。不可否認(rèn)性（Non-repudiation） 不可否認(rèn)性，也稱抗抵賴性。它是傳統(tǒng)社會(huì)的不可否認(rèn)需求在信息社會(huì)中的延伸。 人類社會(huì)中的各種商務(wù)行為均建立在信任的基礎(chǔ)之上。沒有信任，也就不存在人與人之間的交互，更不可能有社會(huì)的存在。傳統(tǒng)的公章、印戳、簽名等手段便是實(shí)現(xiàn)不可否認(rèn)性的主要機(jī)制。1.1.2 信息安全的定義信息安全：保護(hù)信息和信息系統(tǒng)不被未經(jīng)授權(quán)的訪問、使用、泄

6、露、中斷、修改和破壞，為信息和信息系統(tǒng)提供機(jī)密性、完整性、可用性、可控性和不可否認(rèn)性。信息安全（歐共體定義）： 在既定的密級條件下，網(wǎng)絡(luò)與信息系統(tǒng)抵御意外事件或惡意行為的能力。這些事件和行為將危及所存儲(chǔ)或傳輸?shù)臄?shù)據(jù)以及經(jīng)由這些網(wǎng)絡(luò)和系統(tǒng)所提供的服務(wù)的可用性、真實(shí)性、完整性和秘密性。美國軍方自20世紀(jì)90年代末便將“信息安全”的概念發(fā)展成“信息保障”，突出了信息安全保障系統(tǒng)的多種安全能力及其對機(jī)構(gòu)業(yè)務(wù)職能的支撐作用。就本質(zhì)而言，信息安全所針對的均是“信息”這種資源的“安全”，對信息安全的理解應(yīng)從信息化背景出發(fā)，最終落實(shí)在信息的安全屬性上。1.2 信息安全的發(fā)展過程通信保密階段（COMSEC）計(jì)算

7、機(jī)安全（COMPUSEC）和信息安全階段（INFOSEC）信息保障階段（IA）1.2.1 通信保密階段（COMSEC）開始于20世紀(jì)40年代，標(biāo)志是1949年Shannon發(fā)表的保密系統(tǒng)的信息理論，該理論將密碼學(xué)的研究納入了科學(xué)的軌道。所面臨的主要安全威脅：搭線竊聽和密碼學(xué)分析。主要的防護(hù)措施：數(shù)據(jù)加密。人們主要關(guān)心通信安全，主要關(guān)心對象是軍方和政府。需要解決的問題：在遠(yuǎn)程通信中拒絕非授權(quán)用戶的信息訪問以及確保通信的真實(shí)性，包括加密、傳輸保密、發(fā)射保密以及通信設(shè)備的物理安全。技術(shù)重點(diǎn)：通過密碼技術(shù)解決通信保密問題，保證數(shù)據(jù)的機(jī)密性和完整性。1.2.2 計(jì)算機(jī)安全和信息安全階段進(jìn)入20世紀(jì)70年

8、代，轉(zhuǎn)變到計(jì)算機(jī)安全階段。標(biāo)志是1977年美國國家標(biāo)準(zhǔn)局（NBS）公布的國家數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）和1985年美國國防部（DoD）公布的可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則（TCSEC）。這些標(biāo)準(zhǔn)的提出意味著解決計(jì)算機(jī)信息系統(tǒng)保密性問題的研究和應(yīng)用邁上了歷史的新臺(tái)階。該階段最初的重點(diǎn)是確保計(jì)算機(jī)系統(tǒng)中的硬件、軟件及在處理、存儲(chǔ)、傳輸信息中的保密性。主要安全威脅：信息的非授權(quán)訪問。主要保護(hù)措施：安全操作系統(tǒng)的可信計(jì)算基技術(shù)（TCB），其局限性在于仍沒有超出保密性的范疇。國際標(biāo)準(zhǔn)化組織（ISO）將“計(jì)算機(jī)安全”定義為：為數(shù)據(jù)處理系統(tǒng)建立的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄

9、露。1.2.2 計(jì)算機(jī)安全和信息安全階段20世紀(jì)90年代以來，通信和計(jì)算機(jī)技術(shù)相互依存，數(shù)字化技術(shù)促進(jìn)了計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展成為全天候、通全球、個(gè)人化、智能化的信息高速公路，Internet成了尋常百姓可及的家用技術(shù)平臺(tái)，安全的需求不斷地向社會(huì)的各個(gè)領(lǐng)域發(fā)展，人們的關(guān)注對象已經(jīng)逐步從計(jì)算機(jī)轉(zhuǎn)向更具本質(zhì)性的信息本身，信息安全的概念隨之產(chǎn)生。這一階段密碼學(xué)的進(jìn)展在密碼學(xué)方面，公鑰技術(shù)得到長足的發(fā)展，著名的RSA公開密鑰密碼算法獲得了日益廣泛的應(yīng)用，用于完整性校驗(yàn)的Hash函數(shù)的研究應(yīng)用也越來越多。為了奠定21世紀(jì)的分組密碼算法基礎(chǔ)，美國國家技術(shù)和標(biāo)準(zhǔn)研究所（NIST）推行了高級加密標(biāo)準(zhǔn)（AES）的項(xiàng)目，

10、1998年7月選出了15種分組密碼算法作為候選算法，最終把Rijndael的算法選成了AES算法。另外，把公鑰密碼算法的研究和應(yīng)用投向了橢圓曲線公開密鑰密碼算法上。1.2.3 信息保障階段 當(dāng)前，對于信息系統(tǒng)的攻擊日趨頻繁，安全的概念逐漸發(fā)生了兩個(gè)方面的變化：安全不再局限于信息的保護(hù)，人們需要的是對整個(gè)信息和信息系統(tǒng)的保護(hù)和防御，包括了保護(hù)、檢測、反應(yīng)和恢復(fù)能力（Protect Detect React Restore，PDRR）。安全與應(yīng)用的結(jié)合更加緊密，其相對性、動(dòng)態(tài)性等特性日趨引起注意，追求適度風(fēng)險(xiǎn)的信息安全成為共識，安全不再單純以功能或機(jī)制的強(qiáng)度作為評判指標(biāo)，而是結(jié)合了應(yīng)用環(huán)境和應(yīng)用需

11、求，強(qiáng)調(diào)安全是一種信心的度量，使信息系統(tǒng)的使用者確信其預(yù)期的安全目標(biāo)已獲滿足。信息保障（IA）的概念美國軍方提出了信息保障（IA）的概念： 保護(hù)和防御信息及信息系統(tǒng)，確保其可用性、完整性、保密性、鑒別、不可否認(rèn)性等特性。這包括在信息系統(tǒng)中融入保護(hù)、檢測、反應(yīng)功能，并提供信息系統(tǒng)的恢復(fù)功能。（美國國防部令S-3600.1）在信息保障的研究中，美國軍方走在世界前列，其代表性的文獻(xiàn)之一是NSA于2000年9月發(fā)布的信息保障技術(shù)框架3.0版（IATF），2002年9月更新為3.1版。（/）美國軍方于2002年10月和2003年初先后頒布了其最新的信息保障指導(dǎo)方針：國防部第8500.1號令信息保障和第8

12、500.2號令信息保障的實(shí)施，指導(dǎo)其全軍的信息保障工作。信息保障（IA）的概念 信息保障是信息安全發(fā)展的最新階段，由于習(xí)慣的原因，很多人也仍在沿用“信息安全”的稱謂。為了區(qū)別這兩個(gè)概念，同時(shí)體現(xiàn)出繼承性，可采用“信息安全保障”概念。 保證信息與信息系統(tǒng)的保密性、完整性、可用性、可控性和不可否認(rèn)性的信息安全保護(hù)和防御過程。它要求加強(qiáng)對信息和信息系統(tǒng)的保護(hù)，加強(qiáng)對信息安全事件和各種脆弱性的檢測，提高應(yīng)急反應(yīng)能力和系統(tǒng)恢復(fù)能力。1.3 信息系統(tǒng)安全什么是信息系統(tǒng)？信息系統(tǒng)安全信息系統(tǒng)安全的方法論1.3.1 什么是信息系統(tǒng)？大英百科全書對“信息系統(tǒng)”的解釋： 有目的、和諧地處理信息的主要工具是信息系統(tǒng)

13、，它對所有形態(tài)（原始數(shù)據(jù)、已分析的數(shù)據(jù)、知識和專家經(jīng)驗(yàn)）和所有形式（文字、視頻和聲音）的信息進(jìn)行收集、組織、存儲(chǔ)、處理和顯示。美國學(xué)者巴克蘭德（M.Buckland）： 提供信息服務(wù)，使人們獲取信息的系統(tǒng)，如管理信息服務(wù)、聯(lián)機(jī)數(shù)據(jù)庫、記錄管理、檔案館、圖書館、博物館等。中國學(xué)者吳民偉： 一個(gè)能為其所在組織提供信息，以支持該組織經(jīng)營、管理、制定決策的集成的人-機(jī)系統(tǒng)。信息系統(tǒng)利用計(jì)算機(jī)硬件、軟件、人工處理、分析、計(jì)劃、控制和決策模型，以及數(shù)據(jù)庫和通信技術(shù)。1.3.2 信息系統(tǒng)安全信息系統(tǒng)安全是確保信息系統(tǒng)結(jié)構(gòu)安全，與信息系統(tǒng)相關(guān)的元素安全，以及與此相關(guān)的各種安全技術(shù)，安全服務(wù)和安全管理的總和。信

14、息系統(tǒng)安全更具有體系性、可設(shè)計(jì)性、可實(shí)現(xiàn)性和可操作性。本課程將信息系統(tǒng)的概念限制于基于開放系統(tǒng)互連和計(jì)算機(jī)網(wǎng)絡(luò)的復(fù)雜巨系統(tǒng)，以此為基礎(chǔ)討論信息系統(tǒng)的安全。1.3.3 信息系統(tǒng)安全的方法論信息系統(tǒng)安全是一個(gè)多維、多層次、多因素、多目標(biāo)的體系。不能離開信息系統(tǒng)安全的體系，孤立和單純地去尋求直接保護(hù)信息內(nèi)容的方式。從系統(tǒng)工程的角度去理解和構(gòu)造信息系統(tǒng)安全體系或模式。1.4 信息系統(tǒng)風(fēng)險(xiǎn)和安全需求什么是安全風(fēng)險(xiǎn)？ 它是信息系統(tǒng)各組成要件在履行其應(yīng)用功能過程中，在機(jī)密性、完整性和可用性等方面存在的脆弱性，以及信息系統(tǒng)內(nèi)部或外部的人們利用這些脆弱性可能產(chǎn)生的違背信息系統(tǒng)所屬組織安全意志的后果。什么是安全需

15、求？它是對抗和消除安全風(fēng)險(xiǎn)的必要方法和措施，安全需求是制定和實(shí)施安全策略的依據(jù)。安全風(fēng)險(xiǎn)和安全需求的關(guān)系一般來說，由于人們對安全風(fēng)險(xiǎn)有一個(gè)認(rèn)識過程，因而安全需求總是滯后于安全風(fēng)險(xiǎn)的發(fā)生和發(fā)展。研究信息系統(tǒng)安全體系的最高目標(biāo)：從研究信息系統(tǒng)風(fēng)險(xiǎn)的一般規(guī)律入手，認(rèn)識和掌握信息系統(tǒng)風(fēng)險(xiǎn)狀態(tài)和分布情況的變化規(guī)律，提出安全需求，建立具有自適應(yīng)能力的信息系統(tǒng)安全模型，從而駕馭安全風(fēng)險(xiǎn)，使信息系統(tǒng)風(fēng)險(xiǎn)控制在可接受的最小限度內(nèi)，并漸進(jìn)于零風(fēng)險(xiǎn)。零風(fēng)險(xiǎn)永遠(yuǎn)是人類追求的極限目標(biāo)，因此信息系統(tǒng)安全體系的成功標(biāo)志是風(fēng)險(xiǎn)的最小化、收斂性和可控性，而不是零風(fēng)險(xiǎn)。信息系統(tǒng)及其組件的脆弱性是安全風(fēng)險(xiǎn)產(chǎn)生的內(nèi)因，威脅和攻擊是安

16、全風(fēng)險(xiǎn)的外因。1.4.1 信息系統(tǒng)風(fēng)險(xiǎn)信息系統(tǒng)組件固有的脆弱性和缺陷硬件軟件網(wǎng)絡(luò)和通信協(xié)議威脅和攻擊威脅和攻擊對數(shù)據(jù)通信系統(tǒng)的威脅包括：對通信或網(wǎng)絡(luò)資源的破壞，對信息的濫用、訛用或篡改，對信息或網(wǎng)絡(luò)資源的竊取和刪除，信息被泄露；服務(wù)中斷和被禁止等。偶發(fā)性威脅故意性威脅被動(dòng)性威脅主動(dòng)性威脅常見攻擊冒充重放篡改服務(wù)拒絕內(nèi)部攻擊外部攻擊陷阱門威脅和攻擊的來源內(nèi)部操作不當(dāng)內(nèi)部管理不嚴(yán)，造成系統(tǒng)安全管理失控來自外部的威脅和犯罪黑客信息間諜計(jì)算機(jī)犯罪1.4.2 信息系統(tǒng)安全需求信息系統(tǒng)安全的防御策略最小特權(quán)：僅有完成指定任務(wù)所必須的特權(quán)?？v深防御：建立具有協(xié)議層次和橫向結(jié)構(gòu)層次的完備體系。阻塞點(diǎn)：網(wǎng)絡(luò)系統(tǒng)

17、不允許有不被網(wǎng)絡(luò)系統(tǒng)管理員控制的對外連接通道。監(jiān)測和/或消除最薄弱鏈接失效保護(hù)：系統(tǒng)運(yùn)行出現(xiàn)錯(cuò)誤或發(fā)生故障時(shí)，必須拒絕侵襲者跨入內(nèi)部網(wǎng)絡(luò)。普遍參與：要求員工普遍參與安全管理的協(xié)調(diào)，集思廣益。防御多樣化：使用不同廠商的安全保護(hù)系統(tǒng)。簡單化：一是讓事物簡單，便于理解；二是復(fù)雜化又帶來隱藏的漏洞。信息系統(tǒng)安全的工程策略系統(tǒng)性建立“風(fēng)險(xiǎn)分析、安全需求分析、安全策略制訂和評估及其實(shí)施、風(fēng)險(xiǎn)監(jiān)測以及實(shí)時(shí)響應(yīng)”的可適應(yīng)安全模型。相關(guān)性充分考慮并且認(rèn)識到信息系統(tǒng)各組件在運(yùn)行、應(yīng)用和變更中對安全風(fēng)險(xiǎn)可能產(chǎn)生的相互影響，由此制定的安全策略才是完整的。動(dòng)態(tài)性安全策略必須根據(jù)風(fēng)險(xiǎn)變化進(jìn)行調(diào)整。相對性不在于尋求絕對安全

18、的解決方案，而是對信息安全隱患及其安全需求有清醒的認(rèn)識，且有足夠的安全意識。威脅信息系統(tǒng)的方法非法訪問：未經(jīng)授權(quán)使用信息資源，或以未授權(quán)的方式使用資源。破壞信息的完整性：篡改，刪除，插入。假冒：假冒管理者， 合法主機(jī)，網(wǎng)絡(luò)控制程序，合法用戶。破壞系統(tǒng)的可用性：合法用戶不能正常訪問網(wǎng)絡(luò)資源，不能及時(shí)響應(yīng)，摧毀系統(tǒng)。截收和輻射偵測：搭線竊聽，電磁輻射探測。重放：截獲有效信息，重放該信息。抵賴：發(fā)送方否認(rèn)曾發(fā)送，接收方否認(rèn)已接收。舉例1：電子商務(wù)系統(tǒng)的安全需求分析電子商務(wù)系統(tǒng)普遍性安全風(fēng)險(xiǎn)非法用戶通過網(wǎng)絡(luò)進(jìn)入系統(tǒng)竊取或者修改數(shù)據(jù)進(jìn)行電子犯罪與系統(tǒng)人員勾結(jié)聯(lián)合進(jìn)行詐騙假冒他人行騙竊用信用卡或購物卡篡改商務(wù)信息，制造混亂抵賴發(fā)生的交易或交易的內(nèi)容電子商務(wù)系統(tǒng)安全需求內(nèi)容完整性保護(hù)源鑒別服務(wù)數(shù)字簽名不可抵賴服務(wù)身份鑒別訪問控制加密舉例2：政務(wù)信息系