數據庫引論課件

信息系統安全教程課件電子郵件：信息系統安全教程

張基溫

著

基本內容引論數據保密認證——數據認證、身份認證訪問控制入侵與攻擊網絡防衛(wèi)安全管理0.1信息系統風險系統風險是指系統遭受意外損失的可能性，它主要來自系統可能遭受的各種威脅、系統本身的脆弱性以及系統對于威脅的失策。信息已經有多種的解釋認識論：把信息看作不確定性的減少或傳遞中的知識差（degreeofknowledge）哲學界：信息是以傳遞知識差的形式來減少不確定性、增加系統有序度的資源。0.1.1信息系統及其重要性信息系統信息系統就是一種減少不確定性、減少風險的工具。信息系統就是一種開發(fā)信息資源的工具，是信息以及用于信息的采集、傳輸、存儲、管理、檢索和利用等工具的有機整體。按照威脅的來源分類（1）自然災害威脅（2）濫用性威脅（3）有意人為威脅按照作用對象分類（1）針對信息的威脅機密性（confidentiality）完整性（integrity）可用性（availability）真實性（authenticity）因此，針對信息（資源）的威脅可以歸結為三類：信息破壞：非法取得信息的使用權，刪除、修改、插入、惡意添加或重發(fā)某些數據，以影響信息正常用戶的正常使用。信息泄密：故意或偶然地非法偵收、截獲、分析某些信息系統中的信息，造成系統數據泄密。假冒或否認：假冒某一可信任方進行通信或者對發(fā)送的數據事后予以否認。（2）針對系統的威脅包括對系統硬件的威脅和對系統軟件的威脅。按照方法的分類（1）信息泄露在傳輸中被利用電磁輻射或搭接線路的方式竊?。皇跈嗾呦蛭词跈嗾咝孤洞鎯υO備被盜竊或盜用；未授權者利用特定的工具捕獲網絡中的數據流量、流向、數據長度等數據進行分析，從中獲取敏感信息。（2）掃描（scan）掃描是利用特定的軟件工具向目標發(fā)送特制的數據包，對響應進行分析，以了解目標網絡或主機的特征。（3）入侵（intrusion）旁路控制假冒口令破解合法用戶的非授權訪問0.1.3信息系統安全的脆弱性信息系統脆弱性的根源（1）基于信息屬性的本源性脆弱（2）基于系統復雜性的結構性脆弱（3）基于攻防不對稱性的普通性脆弱基于信息屬性的本源性脆弱依附性和多質性：依附于物質及其運動過程，隨著它所依附的物質及其運動方式的不同，形成信息的多媒體性質——多質性。非消耗性：不像物質和能量那樣會在傳輸、存儲和使用中被消耗?？晒蚕硇?可重用性：信息不像物質和能量那樣具有獨占性，它容易被復制、被共享。聚變性和增值性：信息對于不確定性的減少，具有1+1不等于2的性質，即多個相關信息一起作用可能會大于（也可能小于）單個信息被分別獲取所起的作用，而且在信息的使用過程中，不僅不會被消耗，還會被增值，形成消除更多不確定性的信息。易偽性：由于多質性，使信息很容易被偽造、被篡改、被破壞?；诠シ啦粚ΨQ性的普通性脆弱攻擊可以在任意時刻發(fā)起，防御必須隨時警惕；攻擊可以選擇一個薄弱點進行，防御必須全線設防；攻擊包含了對未知缺陷的探測，防御只能對已知的攻擊防御；攻擊常在暗處，具隱蔽性，防御常在明處，表面看起來完美，使人容易疏忽，喪失警惕；攻擊可以肆意進行，防御必須遵循一定的規(guī)則?；诰W絡的開放和數據庫共享的應用性脆弱現代信息系統是基于信息處理和信息傳輸技術的?，F代信息處理中重要的支撐技術是數據庫技術，現代通信技術的支撐是電磁通信和計算機網絡。而數據庫的共享性、電磁通信的易攻擊性和計算機網絡的開放性，都使信息系統顯得非常脆弱。信息系統脆弱性的表現（1）芯片的安全脆弱性（2）操作系統安全漏洞下面列舉操作系統脆弱性的一些共性：后門式漏洞。“補丁”式漏洞。遠程創(chuàng)建進程式漏洞。0.2信息系統安全概念0.2.1基于通信保密的信息系統安全概念0.2.2基于信息系統防護的信息系統安全概念0.2.3基于信息保障的信息系統安全概念0.2.1基于通信保密的信息系統安全概念早期的信息保密2.計算機時代的信息保密Enigma加密機0.2.2基于信息系統防護的信息系統安全概念具體目標：系統保護：對設施或技術系統的可靠性、完整性和可用性保護；信息內容保護：保護系統中數據的機密性、完整性、可用性。這個概念的形成經歷了兩個階段：計算機安全這一時代的標志是1970年美國國防科學委員會提出，并于1985年12月美國國防部（DoD）公布的可信計算機系統評價準則（TCSEC，橘皮書）。它將計算機的安全分為4個方面（安全策略、可說明性、安全保障和文檔）、7個等級（D、C1、C2、B1、B2、B3、A1）。A1級別最高。0.2.3基于信息保障的信息系統安全概念信息保障（Information

Assurace）的概念最初是由美國國防部長辦公室提出來的后被寫入命令《DoD

Directive

S-3600.1

Information

Operation》中，在1996年12月9日以國防部的名義發(fā)表，將信息安全的屬性從過去的保密性、完整性、可用性，又增添了可驗證性和不可否認性。但是，信息保障的思想應該說在這個命令的前一年，即1995年12月美國國防部提出的PDR模型中就已經體現出來了。可以說，信息保障的概念也是在PDR（protection–detection–response，防護—檢測—響應）模型的不斷完善中發(fā)展的。從被動防御走向主動防御從靜態(tài)防御走向動態(tài)防御從技術與管理分離到技術與管理融合PDRR模型防護（Protect）、檢測（Detect）、響應（React）、恢復（Restore）從被動到主動防御ＰＤＲ模型PDRR模型日本阪神大地震美國911事件時間是量化的，可以被計算。Ｐt是系統整體防護時間;Dt是檢測時間;Rt是系統響應時間，再引入Et=暴露時間，則可以得到如下關系如果Pt>Dt+Rt，那么系統是安全的；如果Pt≤Dt+Rt，那么Et=（Dt+Rt）?Pt。從技術與管理分離到技術與管理融合PPDR模型信息安全保障要依賴于人、技術和管理三者共同完成，通過提高系統的預警能力、保護能力、檢測能力、反應能力和恢復能力，在信息和系統生命周期全過程的各個狀態(tài)下提供適當的安全功能。其中，管理的作用是非常突出的。管理是PPDR模型的核心，是整個信息系統安全的依據，是所有的保護、檢測、響應的實施依據。強調安全策略的實質就是要充分考慮人的管理因素。0.2.4基于經濟學的信息系統安全概念對于信息系統安全來說，需要考慮如下三個與經濟有關的問題：系統資產：需要保護系統的哪些資源？這些被保護的資源統稱系統資產。資產損失：明確系統被攻擊成功時遭受的損失。投入：確定為保護系統安全需要投入的資金。1.資產（1）物理資源（2）信息資源（3）時間資源（4）人力資源（5）信譽（形象）資源2.資產損失3種情形：（1）一時性損失。如系統死機、人員不能工作、處理時間拖延等。（2）長期恢復損失。如信息資源的重新配置等，需要一定的時間。（3）潛在損失。損失內容：（1）資金損失：生產力損失；直接損失的設備和資金；調查成本；修復或更換設備付出的成本；專家咨詢成本；員工加班的報酬等。（2）形象損失（3）業(yè)務損失（4）人員流失。3.安全投資安全強度高中低高中低侵入可能性安全投入平衡點安全強度高高中中低低較低侵入可能性安全投入平衡點1較高侵入可能性平衡點2（a）安全投入與侵入可能性的折中（b）平衡點的變化4.適度的安全適度的安全包含了如下3個安全概念：（1）不夠安全：安全投入小于所減少的損失。（2）適度安全：安全投入等于所減少的損失。（3）過分安全：安全投入大于所減少的損失。0.3信息系統安全體系0.3.1OSI信息系統安全體系結構概述定義：信息系統安全體系是一個能為所保障對象提供可用性、機密性、完整性、不可抵賴性、可授權性的可持續(xù)系統。機制：

（1）風險分析（Risk）

（2）安全防護（Protect）

（3）安全檢測（Detect）

（4）測試與評估（TestandEvaluate）

（5）應急響應（React）

（6）恢復（Restore）0.3.2OSI安全體系的安全服務1.認證服務通信的對等實體鑒別服務：使N+1層實體確信某一時刻與之建立連接或進行數據傳輸的是它需要的一個或多個N層實體。數據原發(fā)鑒別：使N+1層實體確信接收到的數據單元的來源是自己要求的。2.訪問控制服務建立用戶（主體）與資源（客體）之間的訪問關系（如讀、寫、刪除、運行等），防止對某一資源的非授權使用。3.機密性服務·連接機密性保護：保證一次（Ｎ）連接上的全部（Ｎ）用戶數據都保護起來不使非授權泄露。·無連接機密性保護：為單個無連接的Ｎ層服務數據單元（N-SDU）中的全部N用戶數據提供機密性保護?！みx擇字段機密性保護：僅對處于N連接的用戶數據或無連接的N-SDU中所選擇的字段提供機密性保護。·通信業(yè)務流機密性保護：提供機密性保護，并保護不能通過觀察通信業(yè)務流推斷出其中的機密信息。0.3.2OSI安全體系的安全服務0.3.2OSI安全體系的安全服務4.完整性服務帶恢復的連接完整性服務；不帶恢復的連接完整性服務；選擇字段連接完整性服務；無連接完整性服務；選擇字段無連接完整性服務。5.抗抵賴服務有數據原發(fā)證明的抗抵賴：防止發(fā)送方抵賴；有數據交付證明的抗抵賴：防止接收方抵賴。OSI安全體系結構中的安全服務配置安全服務協議層1234567對等實體鑒別YYY數據原發(fā)鑒別YYY訪問控制YYY連接機密性YYYYYY無連接機密性YYYYY選擇字段機密性Y通信業(yè)務流機密性YYY帶恢復的連接完整性Y不帶恢復的連接完整性YYY選擇字段連接完整性Y無連接完整性YYY選擇字段無連接完整性YYY有數據原發(fā)證明的抗抵賴Y有數據交付證明的抗抵賴Y0.3.3OSI安全體系的特定安全機制1.加密機制能為數據提供機密性，也能為通信業(yè)務流信息提供機密性，通常采用密碼、信息隱藏等方法實現2.數字簽名機制用以提供認證或抗抵賴服務，是基于密碼體制的一種機制。3.訪問控制機制數據機密性；數據完整性；可用性。4.完整性保護機制避免未授權的數據亂序、丟失、重放、插入以及篡改，具體技術有校驗碼（抗修改）、順序號（防亂序）、時間標記（防重放、防丟失）等。5.通信業(yè)務流填充機制通信業(yè)務流填充機制是一種用于提供業(yè)務流機密性保護的反分析機制，它可以生成偽造的通信實例、偽造的數據單元或/和數據單元中偽造的數據，使攻擊者難于從數據流量對通信業(yè)務進行分析。0.3.3OSI安全體系的特定安全機制0.3.3OSI安全體系的特定安全機制6.路由選擇控制機制：可以動態(tài)的或預定的選擇路由，以便只使用物理上安全的子網絡、中繼站或鏈路。例如：當檢測到持續(xù)的攻擊時，便指示網絡服務提供者經別的路由建立連接；依據安全策略，可以禁止帶有某些安全標記的數據通過某些子網絡、中繼站或鏈路；連接的發(fā)起者或無連接中數據的發(fā)送者，可以指定路由選擇說明，以請求回避某些特定的子網絡、中繼站或鏈路。7.公證機制仲裁方式和判決方式。8.鑒別交換機制·鑒別信息：如口令、生物信息、身份卡等；·密碼技術。鑒別技術的選用取決于使用環(huán)境。在許多場合下，還必須附加一些其他技術。如：·時間標記與同步時鐘；·二次握手（對應單方鑒別）或三次握手（對應雙方鑒別）；·抗否認機制：數字簽名和公證機制。0.3.3OSI安全體系的特定安全機制OSI安全服務與安全機制之間的關系安全服務安全機制加密數字簽名訪問控制數據完整性鑒別交換通信業(yè)務填充路由選擇控制公證對等實體鑒別YYY數據原發(fā)鑒別Y訪問控制YY連接機密性YY無連接機密性YY選擇字段機密性Y通信業(yè)務流機密性YYY帶恢復的連接完整性YY不帶恢復的連接完整性YY選擇字段連接完整性YY無連接完整性YYY選擇字段無連接完整性YYY有數據原發(fā)證明的抗抵賴YYY有數據交付證明的抗抵賴YYY0.3.4OSI安全體系的普遍性安全機制（1）1.安全標記機制顯式的：校驗碼等與傳送數據相連的附加數據。隱含的：加密數據中隱含著密鑰約束。2.事件檢測機制 指對那些與安全有關的事件進行檢測。例如：對于特定安全侵害事件、特定選擇事件、對事件發(fā)生次數計數溢出等的檢測。這些檢測，一般要引起一個或多個動作，如對事件的報告、記錄以及恢復等。3.安全審計跟蹤機制·記錄可疑事件（可以產生一個安全報警）；·記錄許多日常事件（如連接的建立和終止、使用安全機制和訪問敏感資源等）；·將事件消息傳遞給維護日志；·為檢查和調查安全的漏洞提供資料；·通過列舉被記錄的安全事件類型，對某些潛在的攻擊起威懾作用。0.3.4OSI安全體系的普遍性安全機制（1）0.3.4OSI安全體系的普遍性安全機制（2）4.安全恢復機制立即動作：立即放棄操作（如斷開連接）；暫時動作：使實體暫時無效（如關閉）；長期動作：把實體列入黑名單等。5.可信功能機制可信功能機制具有如下一些作用：延伸其他安全機制的范圍或所建立的有效性。因為直接提供的安全機制或安全訪問機制的任意功能都應當是可信的。提供對某些硬件和軟件可信賴性的保證。0.3.5信息系統的安全管理1.安全策略安全策略（securitypolicy）是在一個特定的環(huán)境（安全區(qū)域）里，為保證提供一定級別的安全保護所必須遵循的一系列條例、規(guī)則。2.安全管理活動3.信息系統安全管理的原則4.信息系統的安全標準標準是衡量、評估、評測的準則。5.信息系統安全立法法律是由國家政權保證執(zhí)行的行為規(guī)范。安全策略（1）對系統安全的定義、總體目標和保護范圍。（2）支持安全目標和原則的管理意向聲明。（3）對于安全政策、原則、標準和要求的簡要解釋，例如：符合立法和契約的規(guī)定；安全教育的要求；對于攻擊的預防和檢測；持續(xù)運行管理；違反安全策略的后果等。（4）安全管理的總體定義，具體權責要求等。（5）有關支持政策的文獻援引，例如適用于具體信息系統的較為詳細的安全政策、流程或使用者應當遵循的安全條例等。安全管理活動（1）（1）安全服務管理為該安全服務確定和指派安全保護目標；為該安全服務選擇特定的安全機制；對需要事先取得管理者同意的可用安全機制進行協商；通過適當的安全機制管理功能調用特定安全機制。（2）安全機制管理安全機制管理是對各項安全機制的功能、參數和協議的管理。（3）安全事件處理管理報告包括遠程的明顯違反系統安全的企圖；確定和修訂觸發(fā)安全事件報告的閾值。（4）安全審計管理收集、記錄安全事件；授予或取消對所選用事件進行審計跟蹤（記錄、調查）的能力；準備安全審計報告。安全管理活動（2）（5）安全恢復管理制定并維護安全事故的恢復計劃、操作規(guī)程和細則；提出完備的安全恢復報告。（6）安全行政管理建立專門的安全管理機構；建立完善的安全管理制度；配備專門安全管理人員，并進行培訓、考察、評價等管理。（7）系統安全管理管理總體安全策略，維護其一致性；依據系統總體安全策略，在系統中建立不同等級的安全管理信息庫（SMIB），以存儲與系統安全有關的全部信息；維護安全管理協議，保證安全服務管理和安全機制管理之間的正常交互功能。信息系統安全的防御原則（1）木桶原則（2）成本效率原則（3）可擴展性原則（4）分權制衡原則（5）最小特權原則（6）失效保護原則（7）公開揭露原則（8）立足國內原則（9）可評估原則信息系統的安全標準（1）針對信息系統（包括產品）的安全性評測準則（2）針對使用信息系統的組織的安全管理標準（3）針對不同安全產品的互操作性的互操作標準針對信息系統（包括產品）的

安全性評測準則美國國防部的《可信計算機系統評估準則》（TrustedComputerSystemEvaluationCriteria，TCSEC，1983），也稱桔皮書。這是IT歷史上第一個安全評估標準。這個安全測試標準的建立旨在：確保用戶的信息安全、為系統集成供應商提供指導、為信息安全提供一個標準。這一標準將安全分為四個等級：D到A1。每一級都是在上一級基礎上添加新的條件。安全等級D最低，依次為：C1（任意安全保護），C2（受約束訪問安全保護），B1（標簽安全保護），B2（結構保護），B3（安全域），A1（校驗設計）。共七個等級，A1等級最高。

歐洲（英、德、法、荷四國）的《信息技術安全性評估準則》（InformationTechnologySecurityEvaluationCriteria，ITSEC，1990），也稱白皮書。加拿大的《可信計算機產品評估準則3.30》（CTCPEC3.0，1992.4），將安全需求分為4個層次：機密性、完整性、可靠性和可說明性。六國七方（英國、加拿大、法國、德國、荷蘭、美國家安全局和美國標準技術研究所）的《信息技術安全評估通用標準》（CommonCriteriaofInformationTechnicalSecurityEvaluation，CCITSE），簡稱CC，是在TCSEC基礎上的改進，從對操作系統評估擴充到信息技術產品和系統。

ISO/IEC21827：2002，《信息安全工程能力成熟度模型》（SystemSecrrityEngineeringCapabilityMaturityModel，SSE-CMM），是一個關于信息安全建設工程實施方面的標準，通常用過程改善、能力評估和保證三種方式應用。中華人民共和國國家標準GB17895-1999《計算機信息系統安全保護等級劃分準則》，將計算機信息系統安全保護能力劃分為5個等級，于2001年1月1日起實施。針對信息系統（包括產品）的

安全性評測準則針對使用信息系統的組織

的安全管理標準ISO/IEC17799：2000《信息技術信息安全管理實用規(guī)則》，從信息安全策略、組織的安全、資產分類和管理、人員安全、物理和環(huán)境安全、通信和操作管理、訪問控制、系統開發(fā)和維護、業(yè)務