第4章 信息资源安全管理 信息技术和信息化建设的快速发展,推动了信息安全风险的增长,信息安全管理同以往相比具有更重要的意义。 本章主要阐述信息安全的体系结构,探讨信息加密技术、认证技术、防火墙技术、入侵检测技术等安全技术,分析信息安全管理的手段。
第4章 信息资源安全管理 4.1 信息安全管理概述 4.2 信息安全管理技术 4.3 信息安全管理手段 本章小结 案例讨论 思考题
4.1 信息安全管理概述 随着人们对信息资源依赖程度的不断加深和信息技术的发展,信息安全越来越受到重视。在信息安全管理中,技术手段和管理手段都非常重要。 4.1.1 信息安全的内涵 4.1.2 信息安全管理体系
4.1.1 信息安全的内涵 1.信息安全的定义 2.信息安全保护机制 3.信息安全体系框架
1.信息安全的定义 信息安全是一门涉及计算机科学、网络技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。 广义概念:是指一个国家的社会信息化状态和信息技术体系不受威胁和侵害; 狭义概念:是指信息资产不因偶然的或故意的原因,被非授权泄露、更改、破坏,或信息内容不被非法系统辨识、控制。
1.信息安全的定义 信息安全的实现目标: 真实性 保密性 完整性 可用性 不可抵赖性 可控制性 可审查性
2.信息安全保护机制 信息安全保护机制包括电磁辐射、环境安全、计算机技术、网络技术等技术因素,还包括信息安全管理(含系统安全管理、安全服务管理和安全机制管理)、法律和心理因素等机制。 国际信息系统安全认证组织(International Information Systems Security Certification Consortium,ISC2)将信息安全划分为五重屏障,共十大领域并给出了它们涵盖的知识结构。如图所示。
信息安全五重保护机制 1.物理屏障:场地、设备安全,含警卫、监控等 2.技术屏障:计算机技术、网络安全技术、通信技术 3.管理屏障:人事、操作、设备等 4.法律屏障:民法、刑法等 5.心理屏障:全民信息安全意识 信息资源 信息安全五重保护机制
3.信息安全体系框架 依据信息安全多重保护机制,信息安全的总需求是物理安全、网络安全、信息内容安全、应用系统安全的总和,安全的最终目标是确保信息的机密性、完整性、可用性、可控制性和抗抵赖性,以及信息系统主体信息资源的控制。 完整的信息安全体系框架由技术体系、组织体系和管理体系共同构建。体系结构框架图如图所示。
信息安全体系框架 管 理 体 系 法 律 制 度 培 训 物理安全技术 系统安全技术 安全服务 体系规范 实施细则 安全评估 ISO标准 状态监测 入侵监测 审计 安全策略 密钥管理 策略 技术体系 技术管理 技术体系安全框架 机构 岗位 人事 组织体系 信息安全体系结构框架
4.1.2 信息安全管理体系 信息安全管理是通过维护信息的机密性、完整性和可用性等,来管理和保护组织所有信息资产的一系列活动。 信息安全管理体系是基于业务风险方法来建立、实施、运行、监视、评审和改进信息安全的一套管理体系,包括组织、结构、策略、规划、职责、实施、程序等。 BS7799是国际上具有代表性的信息安全管理体系标准,其第二部分“信息安全管理体系规范”是组织评价信息安全管理体系有效性、符合性的依据。 BS7799-2引入了PCDA模型,作为建立、实施信息安全管理体系并持续改进其有效性的方法。
PCDA过程模式被ISO9001、ISO14001等国际管理体系标准广泛采用,是保证管理体系持续改进的有效模式。依据BS7799-2:2002建立信息安全管理体系时,过程方法鼓励其用户强调下列内容的重要性。 理解组织的信息安全要求,以及为信息安全建立方针和目标的需求。 在管理组织整体业务风险背景下实施和运行控制。 监控并评审信息安全管理体系的业绩和有效性。 在目标测量的基础上持续改进。
信息安全管理技术体系
BS7779-2:2002的PDCA过程模式 BS7779-2:2002的PDCA过程模式包括“策划-实施-检查-措施”,这四个步骤可以应用于所有过程。 策划:依照组织整个方针和目标,建立与控制风险、提高信息安全有关的安全方针、目标、指标、过程和程序。 实施:实施和运作方针(过程和程序)。 检查:依据方针、目标和实际经验测量,评估过程业绩,并向决策者报告结果。 措施:采取纠正和预防措施,进一步提高过程业绩。
应用PDCA建立、保持信息安全管理体系 P(策划)-建立信息安全管理体系环境和风险评估 D(实施)——实施并运行信息安全管理体系 该阶段是为了确保正确建立信息安全管理体系的范围和详略程度,识别并评估所有的信息安全风险,为这些风险制订适当的处理计划。(确定范围和方针;确定风险评估的系统性方法;识别风险;评估风险;识别并评价风险处理的方法;为风险的处理选择控制目标与控制方式;获得最高管理者的授权批准) D(实施)——实施并运行信息安全管理体系 C(检查)——监视并评审信息安全管理体系 A(措施)——改进信息安全管理体系
4.2 信息安全管理技术 4.2.1 信息加密技术 4.2.2 认证技术 4.2.3 防火墙技术 4.2.4 入侵检测技术 4.2.5 计算机病毒防范技术
4.2.1 信息加密技术 密码技术,也称为加密技术,包括密码算法设计、密码分析、安全协议、身份认证、消息确认、数字签名、密钥管理、密钥托管等技术,是保护大型网络传输信息安全的实现手段,是保障信息安全的核心技术。它以很小的代价,为信息提供了一种强有力的安全保护。 1.加密原理 2.对称密钥密码体制 3.非对称密钥密码体制
1.加密原理 加密技术的基本思想就是伪装信息,使非法接入者无法理解信息的真正含义。这里,伪装就是对信息进行一组可逆的数学变换。伪装前的原始信息称作明文,经伪装的信息称做密文,伪装的过程称做加密。其中,加密在加密密钥的控制下进行,用于对信息进行加密的一组数学变换称为加密算法。发信端将明文数据加密成密文,然后将密文数据通过数据通信网传送给收信端或归档保存。授权的接收方收到密文数据后,进行与加密相逆的变换操作,解除密文信息的伪装恢复出明文,这一过程称为解密。同样,解密也是在解密密钥控制下进行,用于解密的一组数学变换称为解密算法。
2.对称密钥密码体制 对称密钥密码体制是由传统的简单替换发展而来的。传统密码体制所用的加密密钥和解密密钥相同,或实质上等同(即从一个可以推出另外一个),称为对称密钥、私钥或单钥密码体制。对称密钥密码体制不仅可用于数据加密,也可用于消息的认证。 按加密模式不同,对称算法又可分为序列密码和分组密码两大类。
对称密钥加密过程 在发送方和接收方之间首先产生一个密钥K。 发送方有消息要传递给接收方。
对称密钥的特点 对称密钥提供了一种加密数据信息的方法。 对称密钥技术的最大优势在于无论是加密还是解密,其运算速度都非常快,而且可以对大数据量进行加密。 对称密钥技术要求通信双方事先交换或产生密钥。 当系统多用户的时候,若采用该技术,则商户需要管理成千上万的密钥分别与不同的对象通信。除了存储开销外,密钥的管理和分发几乎是一个不可能解决的问题。
3.非对称密钥密码体制 非对称密钥是指使用一对密钥来分别完成加密和解密的操作。一个密钥公开发布,可以让所有人都知道,称为公开密钥;另外一个由用户自己保管,称为私有密钥(私钥)。数据发送方用公开密钥去加密,而数据接收者则用私有密钥去解密。通过数学手段保证加密过程是一个不可逆过程,即用公钥加密的信息只能是用与该公钥配套的私租才能解密。
(1)非对称密钥加密和解密的过程 B生成密钥对(公钥KUB和私钥KRB) B将公钥KUB通过某种传递机制,对外公布。 A有消息要传递给B。 A用B对外公开的公钥KUB对信息进行加密,然后将密文传递给B。 B接收到A传递过来的密文后,用自己的私钥KRB解密,得到明文。在网络中传输密文的时候,即便有攻击者进行了监听和窃取,但因为没有B的私钥而得不到明文。 发送方 A 接受方 B KUB KRB
(2)非对称密钥加密算法 根据所基于的数学难题来分类,有以下三个系统目前被认为是安全和有效的: 大整数因子分解系统、椭圆曲线离散对数系统和离散对数系统。 RSA算法是由罗纳多·瑞维斯特(Rivest)、艾迪·夏弥尔(Shamirh)和里奥纳多·艾德拉曼(Adelman)联合推出的。它的安全性是基于大整数素因子分解的困难性,而大整数因子分解问题是数学上的著名难题,因此可以确保RSA算法的安全性。大多数使用公钥密码进行加密和数据签名的产品和标准使用的都是RSA算法。
(3)公开密钥加密技术的特点 公开密钥(一对相关的私钥和公钥)的生成非常简单。 知道公钥的任何人不可能计算出私钥。 知识公钥和密文的任何人不可能计算出原始消息。 两种对就在的密钥中任何一个都可以用来加密,另一个则用来解密。 用公开密钥算法对明文进行加密和解密的运算速度非常慢,不适合用来对大量数据进行加密。 公开密钥算法解决了密钥的发布问题和管理问题。
4.2.2 认证技术 在认证技术中,密码技术也同样发挥出色,但它们的应用目的不同。认证的目的有三个: 消息完整性认证 身份认证 消息的序号和操作时间 认证技术是防止不法分子对信息系统进行主动攻击的一种重要技术。
4.2.2 认证技术 1.数字签名技术 2.身份认证技术 3.信息认证技术 4.数字水印技术
1.数字签名技术 数字签名就是信息发送方使用公开密钥算法技术,产生别人无法伪造的一段数字串。发送方用自己的私有密钥加密数据传给接收方,接收方用发送方的公钥解开数据后,就可以确定消息来自于谁,同时也是对发送方发送信息的真实性的一个证明。发送方对所发信息不能抵赖。 数字签名的功能:可验证;防抵赖;防假冒;防篡改;防伪造
2.身份认证技术 身份认证,是指被认证方在没有泄露自己身份信息的前提下,能够以电子的方式来证明自己的身份,其本质就是被认证方拥有一些秘密信息。除被认证方自己外,任何第三方无法伪造,被认证方能够使认证方相信他确实拥有那些秘密,则他的身份就得到了认证。这里要做到:在被认证方向认证方证明自己身份的过程中,网络监听者当时或以后无法冒充被认证方;认证方以后也不能冒充。 身份认证常用的方式:通行字方式和持证方式
3.信息认证技术 信息认证是指通过对信息或相关信息进行加密或签名变换进行的认证,目的是为了防止传输和存储的信息被有意或无意地篡改,包括信息完整性认证、源和宿的认证及信息的序号和操作时间认证等。信息认证技术在票据防伪中具有重要应用。 信息认证所用的摘要算法与一般的对称或非对称加密算法不同,它不用于防止信息被窃取,而是用于证明原文的完整性和准确性。也就是说,信息认证主要用于防止信息被篡改。 信息内容认证常用HASH函数(也称杂凑函数)。 用于消息认证的杂凑函数都是单向杂凑函数。
4.数字水印技术 它通过在数字产品中嵌入秘密信息——水印(water marking)来证实该数字产品的所有权。这种被嵌入的水印可以是一段文字、标识、序列号等。这种被嵌入的水印可以是一段文字、标识序列号等。 数字水印技术就是一种可以通过一组特定的算法将某些能证明版权归属或跟踪侵权行为的信息,如产品的序列号、公司标志、文字、图像标志等,永久地嵌入数字产品(如电子书籍、图像、声音、视频节目等)中的技术。它在嵌入的过程中对载体进行尽量小的修改,不影响原内容的可观性和完整性,并且在嵌入水印后数字产品即使受到攻击也仍然可以恢复水印或者检测出水印的存在。 数字水印的实现主要由两部分组成:水印的嵌入和水印的提取。
密钥 原始载体 载体数据 嵌入算法 水印信息 水印信号嵌入 密钥 水印信息 提取算法 载体数据 原始载体 水印信息提取
密钥 提取算法 水印信息 载体数据 原始水印 原始载体 水印信号检测
4.2.3 防火墙技术 1.防火墙的工作原理 如果一个内部网络连接了Internet,用户就可以同外部网络进行通信;同样,外部网络也可以访问内部网络并与之交互。这安全考虑,一般在内部网络和Internet之间放入一个中介系统,竖起一道安全屏障,用来阴止外部的非法访问和侵入,使所有的外流信息和内流信息都通过这道屏障的审核,这种中介系统就叫做“防火墙”。 防火墙按照事先规定好的配置和规则,监测并过滤所有通向外部网和从外部网传来的信息,只允许授权的数据通过。防火墙还应该能够记录有关的连接来源、服务器提供的通信量以及试图闯入者的任何企图,以方便管理员的监测和跟踪,并且防火墙本身也必须能免于渗透。
2.防火墙的类型 防火墙主要包括三种类型: 包过滤防火墙 代理服务器防火墙 应用层网关防火墙
4.2.4 入侵检测技术 入侵检测是继防火墙之后的又一道防线。防火墙只能对黑客的攻击实施被动防御,一旦黑客攻入系统内部,则没有切实的防护策略,在入侵检测系统则是针对这种情况提出的又一道防线。 入侵检测系统可以弥补防火墙的不足,为网络安全提供实时的入侵检测并采取相应的防护手段,如记录证据、跟踪入侵、恢复或断开网络连接等。这引发了人们对入侵检测技术研究和开发的热情。
1.入侵检测原理 入侵检测(intrusion detection)技术是一种主动保护自己免受攻击的网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。一般把用于入侵检测的软件、硬件你合称为入侵检测系统(intrusion detection system,IDS)入侵检测系统主要执行如下任务: 监视、分析用户及系统活动 系统构造和弱点的审计 识别反映已知进攻的活动模式并向相关人士报警; 异常行为模式的统计分析 评估重要系统和数据文件的完整性; 操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
2.入侵检测系统的分类 入侵检测系统按其输入数据的来源不同,可以分为以下三种: 基于主机的入侵检测系统 基于网络的入侵检测系统 采用上述两种数据来源的分布式入侵检测系统
4.2.5 计算机病毒防范技术 1.计算机病毒的定义 计算机病毒(computer virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义为:“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。”
2.计算机病毒的特征 传染性 未经授权而执行 隐蔽性 潜伏性 破坏性 不可预见性
3.病毒的清除 (1)计算机病毒的检测方法: 特征代码法 校验和法 行为监测法 软件模拟法
(2)计算机病毒的清除原则 清除病毒之前,一定要备份所有重要数据,以防万一 清除病毒时,一定要用洁净的系统引导机器,保证整个消毒过程在无毒的环境下进行。否则,病毒会重新感染已消毒的文件。 做好备用的保存磁盘引导扇区的文件,在文件名上要反映出该盘的型号(软盘、硬盘)、容量和版本。因不同磁盘的分区表不同,引导记录的BPB(磁盘基数表)也不同,一旦恢复时不对应,被恢复的磁盘将无法读写。 操作中应谨慎处理,对所读写的数据应进行多次检查核对,确认无误后再进行有关操作。
(3)计算机病毒的清除方法 用保存主引导扇区信息恢复的方法。 程序覆盖方法。 低级格式化或格式化磁盘。 手工清除方法。
4.3 信息安全管理手段 4.3.1 信息安全风险评估 4.3.2 信息安全事件管理 4.3.3 信息安全认证与信息安全工程管理
4.3.1 信息安全风险评估 信息安全风险评估是信息安全管理最核心的方法,信息安全风险评估的对象是信息系统或组织。 信息系统安全风险,是指由于系统存在的脆弱性,人为或自己的威胁导致安全事件发生的可能性及其造成的影响。 信息安全风险评估,则是指依据国家有关信息安全技术标准,对信息系统及其处理、传输和存储信息的保密性、完整性和可用性等安全属性进行科学评价的过程。它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。
1.风险要素相互间的关系(图)
2.信息安全风险评估的形式 信息安全风险评估主要有自评估和检查评估两种形式。 自评估是指信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估。其优点是可方便地进行经常性的评估,及时采取对策降低安全风险,是一种“自查自纠”的方式。这种方式是在一个机构内部进行,因此一般不会引入评估带来的新风险,其缺点是专业性和客观性较差。 检查评估是指信息系统上级管理部门或有关职能部门组织的信息安全风险评估。其优点是专业性、公正性、客观性较强,一般也不会引入评估带来的新的风险。 自评估和检查评估可依托自身技术力量技术,也可委托具有相应资质的第三方机构提供技术支持。
3.信息安全风险评估的工具 目前对风险评估工具的分类还没有一个业普遍认可的标准,有些技术人员把漏洞扫描工具称为风险评估工具,在信息安全风险评估过程中,漏洞扫描工具确实是基础性工具,通过漏洞扫描工具可以发现系统存在的漏洞,根据漏洞扫描结果提供的线索,可以利用渗透性测试来确认系统存在的高风险漏洞,但信息安全风险评估是技术和管理相结合的综合评估,因此,风险评估工具至少应包括安全管理评估工具、脆弱性分析和渗透性测试工具、风险评估辅助工具。
4.信息安全风险评估的实施流程(图) 风险评估结果记录 风险评估的准备 资产识别 威胁识别 脆弱性识别 已有安全措施的确认 风险计算分析 风险是否接受 保持已有的控制措施 评估过程文档 实施风险管理 风险识别 是 否
4.3.2 信息安全事件管理 信息安全事件管理是在明确组织面临的各类信息安全风险的基础上,对可能发生的信息安全事件,制定结构化的、严格的事件管理机制,将信息安全事件引发的影响或灾难控制在一定的范围内,尤其是在保证关键业务连续性和关键数据的完整性及可用性上。 信息安全事件管理的主要内容包括信息安全事件管理过程、信息安全事件分类定级、信息安全应急响应以及信息安全灾难恢复等多方面内容。
1.信息安全事件管理过程 信息安全事件管理必须通过结构化的安全事件管理流程来实现,结构化的工作流程是保证信息安全事件得到及时有效处理的过程保障。我国国家标准《信息安全事件管理指南》(GB/Z20985-2007)指出,信息安全事件管理由四个不同的过程组成: 规划和准备 使用 评审 改进
2.信息安全事件分类分级 对信息安全事件进行合理分类分级,能为信息安全事件的防范和处理提供指导。 (1)信息安全事件分类 我国国家标准《信息安全事件分类分级指南》(GB/Z20986-2007)将信息安全事件分为以下七个基本类型: 有害程序事件 网络攻击事件 信息破坏事件 信息内容安全事件 设备设施故障 灾害性事件 其他信息安全事件
我国国家标准《信息安全事件分类分级指南》(GB/Z20986-2007)将信息安全事件分为以下四个级别: (2)事件分级规范 我国国家标准《信息安全事件分类分级指南》(GB/Z20986-2007)将信息安全事件分为以下四个级别: 特别重大事件(I级) 重大事件(II级) 较大事件(III级) 一般事件(IV级)
3.信息安全应急响应 信息安全应急响应是指信息安全事件发生后采取的措施和行动,这些行动和措施通常是阻止和减小事件带来的影响。这些行动可能来自于人也可能来自于计算机系统。信息安全应急响应的一个发展方向是使用自动的应急响应机制。 信息安全应急响应是信息安全事件管理的重要内容,在事件合理分类分组的基础上,建立适当的应急响应机制是减少事件带来的影响和损失、保证业务连续性的有效手段。应急响应需制订周密的计划和流程,并加强预案的演练、落实和管理。
4.信息安全灾难恢复 灾难恢复是为了将信息系统由灾难造成的故障或瘫痪状态恢复到可正常运行状态,并将其支持的业务功能由灾难造成的不正常状态恢复到可接收状态而设计的活动和流程。无论系统的防范措施也多完善,无论系统多么健壮,由于不可抗力或其他原因,由信息安全事件而引发的灾难总可能会发生,必须准备相应的措施将灾难影响降低到可接受的范围内。
4.3.3 信息安全认证与信息安全工程管理 1.信息安全测评认证 信息安全测评是依据标准对信息技术产品、系统、服务提供商和人员进行测试与评估,检验其是否符合测评的标准。信息安全认证是对信息技术领域内产品、系统、服务提供商和人员的资质、能力符合规范及安全标准要求的一种确认活动,即检验评估过程是否正确,并保证评估结果的正确性和权威性。信息安全测评认证过程包括四个阶段:认证准备阶段、评估阶段、认证决定阶段和获证后监督及维持阶段。信息安全测试评估包括渗透性测试、代码分析和日志分析。
1.信息安全测评认证 (1)渗透性测试 渗透测试是指安全工程师尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段,对目标网络、系统、主机、应用的安全性进行深入探测,发现系统最脆弱环节的过程。因此,渗透性测试就是在测试目标预期使用环境下进行的测试,以确定测试目标中潜在脆弱性的可利用程度。渗透性测试可分为: 黑盒测试 白盒测试 隐秘测试
1.信息安全测评认证 (2)代码分析和日志分析 I.静态代码分析 在软件开发过程中存在着许多安全问题,如代码中存在缓冲区溢出,程序设计存在安全漏洞,软件自身的问题,包括访问验证、随机数、口令等。静态的安全性分析方法可分为:模型检验、携带代码验证、词法扫描、简单语义分析、基于信息流和安全性分析等。 II.动态代码分析 动态代码分析是分析被测程序逻辑中每个语句的执行次数。利用动态代码分析工具向代码生成的可执行文件中插入一些监测代码,用来统计程序运行时的数据,其中动态代码分析工具要求被测系统实际运行。 III.日志分析 首先设置恰当的日志选项,收集数据。当安全事件发生时,查看日志数据,可以确定事件发生的时间。日志数据能够帮助管理者提前发现灾难和避开灾难,并找到安全生的根本原因。
2.信息安全工程管理 信息安全工程管理是指建设安全的信息系统工程的方法。利用系统安全工程能力成熟模型(system security engineering capability maturity model,SSE-CMM)可以评价信息安全系统工程。SSE-CMM模型是目前针对信息系统安全问题而提出的具有较高可靠性的解决方法。 SSE-CMM将安全工程划分为三个基本的过程区域: 风险过程 工程过程 保证过程
本章小结 信息安全是信息资源管理一个非常重要的方面。信息安全是指在信息管理的过程中,防止有可能受到的破坏、更改、非法利用、非法复制和恶意泄密。 信息安全管理策略是对信息和信息处理设施进行管理保护和分配的准则、规划和措施。 信息安全技术主要包括信息加密技术、认证技术、防火墙技术、入侵检测技术、病毒防范等技术 信息安全管理的手段主要包括信息安全风险评估、信息安全事件管理、信息安全测评认证和信息安全工程。
信息安全案例分析 案例1:数字军工信息安全管理 网络环境下存在哪些信息安全的威胁? 网络环境下可采取哪些信息安全对策?
信息安全案例分析 案例2:QQ和360之争事件。 谈谈你对该事件的评价,阐述你的观点。 谈谈如何构建网络信息安全环境?
思考题 谈谈你所经历过的其它信息安全事故,以及你的认识和评论。