Presentation is loading. Please wait.

Presentation is loading. Please wait.

计算机信息安全 信息技术系 徐方勤 2010年3月 第1版.

Similar presentations


Presentation on theme: "计算机信息安全 信息技术系 徐方勤 2010年3月 第1版."— Presentation transcript:

1 计算机信息安全 信息技术系 徐方勤 2010年3月 第1版

2 课程说明 课程性质:考试课 考试形式:开卷笔试 总评方式: 平时成绩:30%(包含出勤情况、实验完成情况、实验报告等) 期中测试:20%
期抹考试:50%

3 课程内容简介 第1章 信息安全简介 第2章 信息安全体系结构 教材情况: 第3章 密码基础 第4章 身份识别与消息鉴别 信息安全概论
第5章 访问控制理论 第6章 网络安全 第7章 计算机系统安全 第8章 应用安全 第9章 安全审计 第10章 信息安全评估与工程实现 教材情况: 信息安全概论 徐茂智 邹维 人民邮电出版社

4 课程实验 Sniffer嗅探及抓包 加密软件的使用 身份鉴别及访问控制 数据备份及恢复

5 第1章 信息安全简介 1.1 信息安全的发展历史 1.2 信息安全的概念和目标 1.3安全威胁与技术防护知识体系
1.4 信息安全中的非技术因素

6 1.1 信息安全的发展历史 密码技术在军事情报传递中悄然出现,并扮演着重要角色,这可以追溯到若干个世纪以前。
在第二次世界大战中,密码技术取得巨大飞跃,特别是Shannon提出的信息论使密码学不再是一种简单的符号变换艺术,成为一门真正的科学。与此同时计算机科学也得到了快速发展。 直到上世纪60年代,对计算机系统人们主要关注的是它的物理安全。 上世纪70年代随着计算机网络的出现,人们才把重心转移到计算机数据的安全上来。从此,信息安全技术得到持续高速的发展。 本节通过对一些重要历史阶段的回顾,了解信息安全的由来和研究领域的拓展。

7 1.1.1通信保密科学的诞生 古罗马帝国时期的Caesar密码
1568年L.Battista发明了多表代替密码,并在美国南北战争期间由联军使用。 Vigenere密码和Beaufort密码(多表代替密码的典型例子)。 1854年Playfair发明了多字母代替密码,英国在第一次世界大战中采用了这种密码。 Hill密码是多字母代替密码的典型例子。 ——古典密码学诞生 1918年W.Friedman关于使用重合指数破译多表代替密码。 1949年C.Shannon的文章《保密系统的通信理论》发表在贝尔系统技术杂志上。 1974(?)年IBM提出商用算法DES(NIST标准 )。 ——密码技术从艺术变为科学。通信保密诞生

8 1.1.2公钥密码学革命 1976年Diffie、Hellman提出公开密钥密码思想
1977年Rivest、Shamir、Adleman 设计了一种公开密钥密码系统 ——公钥密码学诞生 对比 传统密码算法 公钥密码算法 理论价值 一、突破Shannon理论,从计算复杂性上刻画密码算法的强度 二、它把传统密码算法中两个密钥管理中的保密性要求,转换为保护其中一个的保密性,保护另一个的完整性的要求。 三、它把传统密码算法中密钥归属从通信两方变为一个单独的用户,从而使密钥的管理复杂度有了较大下降。

9 1.1.2公钥密码学革命 对信息安全应用的意义 一是密码学的研究已经逐步超越了数据的通信保密性范围,同时开展了对数据的完整性、数字签名技术的研究。 随着计算机及其网络的发展,密码学已逐步成为计算机安全、网络安全的重要支柱,使得数据安全成为信息安全的核心内容,超越了以往物理安全占据计算机安全主导地位的状态

10 1.1.3访问控制技术与可信计算机评估准则 1969年B. Lampson提出了访问控制的矩阵模型。 模型中提出了主体与客体的概念
客体:是指信息的载体,主要指文件、数据库等 主体:是指引起信息在客体之间流动的人、进程或设备 访问:是指主体对客体的操作,如读、写、删除等,所有可允许访问属性:是指操作的集合。 计算机系统中全体主体作为行指标、全体客体作为列指标、取值为访问属性的矩阵就可以描述一种访问策略。 评价: 可以设想随着计算机所处理问题的复杂性的增加,不可能显式地表示一个计算机的访问控制矩阵。所以用访问控制矩阵来实施访问控制是不现实的。

11 1.1.3访问控制技术与可信计算机评估准则 1973年D.Bell和L.Lapadula创立了一种模拟军事安全策略的计算机操作模型。 把计算机系统看成是一个有限状态机,为主体和客体定义了密级和范畴。 定义了满足一些特性(如简单安全特性SS)的安全状态概念。 证明了系统从安全状态出发,经过限制性的状态转移总能保持状态的安全性。 评价: 模型使得人们不需要直接管理访问控制矩阵,而且可以获得可证明的安全特征。 Bell-Lapadula模型主要是面向多密级数据的机密性保护的,它对数据的完整性或系统的其他安全需求刻画不够。

12 1.1.3访问控制技术与可信计算机评估准则 1985年美国国防部DoD提出了可信计算机评估准则(TCSEC)——通常称为橘皮书
在Bell-Lapadula模型的基础上按照计算机系统的安全防护能力,分成8个等级。 评价: 对军用计算机系统的安全等级认证起到了重要作用。而且对后来的信息安全评估标准的建立起到了重要参考作用。

13 1.1.3访问控制技术与可信计算机评估准则 其他访问控制模型
1977年提出的针对完整性保护的Biba模型、1987年提出的侧重完整性和商业应用的Clark-Wilson模型 2000年提出基于角色的访问控制模型(RBAC) 权限管理基础设施(PMI)概念则使得访问控制技术在网络环境下能方便地实施

14 1.1.4网络环境下的信息安全 互联网出现 攻击手段增多 应用范围扩大 安全技术多样化

15 1.1.5信息保障 1998年10月,美国国家安全局(NSA)颁布了信息保障技术框架(IATF)1.1版,2002年9月,又颁布了3.1版本。另一方面,美国国防部(DoD)于2003年2月6日颁布了信息保障的实施的命令8500.2,从而使信息保障成为美国军方组织实施信息化作战的既定指导思想。 美国国防部对信息保障(Information Assurance,IA)的定义是“通过确保信息的可用性、完整性、可识别性、保密性和抗抵赖性来保护信息和信息系统,同时引入保护、检测及响应能力,为信息系统提供恢复功能。” 这就是信息保障的PDRR模型。PDRR是指保护(Protect)、检测(Detect)、响应(React)和恢复(Restore)。

16 1.1.5信息保障 美国信息保障技术框架的推进,使人们对信息安全的认识不仅仅停留在保护的框架之下,同时还需要注意信息系统的检测、响应能力。该框架还对实施提出了相当细致的要求。从而对信息安全的概念和相关技术的形成将会产生重大影响。 中国2003年发布了《国家信息领导小组关于信息安全保障工作意见》,是国家把信息安全提到战略高度的指导性文件,但不是技术规范。就字面上讲,是信息安全保障,而不是信息保障,并增加了关于信息的可控性要求。

17 1.2 信息安全的概念和目标 1.2.1信息安全的定义 信息安全的概念随着网络与信息技术的发展不断地发展,其含义也在动态的变化。
1970年前:计算机系统中的数据泄漏控制和通信系统中数据的保密 199x年:保密性、完整性和可用性来衡量信息安全的。 局限性: 这种安全概念仍然停留在“数据”的层面上

18 1.2.1信息安全的定义 信息>数据 我们发现不断增长的网络应用中所包含的内容远远不能用“数据”一词来概括。
例:在用户之间进行身份识别的过程中,虽然形式上是通过数据的交换实现,但等身份识别的目的达到以后,交换的中间数据就变得毫无用处了。我们如果仅仅通过逐包保护这些交换数据的安全是不充分的,原因是这里传递的是身份“信息”而不是身份“数据”。还可以举出很多其他例子来说明仅仅考虑数据安全是不够的。这使我们注意到信息安全与数据安全相比有了实质性的扩展。

19 1.2.1信息安全的定义 定义 信息安全是研究在特定的应用环境下,依据特定的安全策略,对信息及其系统实施防护、检测和恢复的科学。
这里安全策略表示人们在特定应用环境下对信息安全的要求。 该定义明确了信息安全的保护对象、保护目标和方法,下面将围绕这一定义加以说明。

20 1.2.2信息安全的目标和方法 信息安全的保护对象:信息及其系统 安全目标:由安全策略定义。安全策略是怎样规定安全目标的呢?
信息系统的安全策略是由一些具体的安全目标组成的。不同的安全策略表现为不同的安全目标的集合。安全目标通常被描述为“允许谁怎样使用系统中的哪种资源”、“不允许谁怎样使用系统中的哪种资源”或事务实现中各“参与者的行为规则是什么”等。 安全目标有时候称为安全服务或安全功能

21 1.2.2信息安全的目标和方法 安全目标分类: 数据安全、事务安全、系统安全(包括网络系统与计算机系统安全)三类。
数据安全主要涉及数据的机密性与完整性; 事务安全主要涉及身份识别、抗抵赖等多方计算安全; 系统安全主要涉及身份识别、访问控制、可用性。

22 1.2.2信息安全的目标和方法 安全机制分类: 安全策略中的安全目标通过一些方法、工具和过程来实现,这些方法称为安全机制。 防护、检测、恢复
防护机制包括密码技术(指加密、身份识别、消息鉴别、数字签名)、访问控制技术、通信量填充、路由控制、信息隐藏技术等; 检测机制则包括审计、验证技术、入侵检测、漏洞扫描等; 恢复机制包括状态恢复、数据恢复等。

23 1.2.2信息安全的目标和方法 图1.1安全机制、安全目标关系图 安全机制 安全目标 事务安全 数据安全 系统安全 防护 检测 恢复

24 作业 1.信息安全中安全目的为什么分成系统安全、数据安全和事务安全?试各举一例说明他们的差异。 2.试描述安全检测与恢复的含义。
3. 两个用户建立通信的过程中需要考虑哪种安全目标?通信过程的数据传送过程中需要考虑哪些安全目标?

25 1.3 安全威胁与技术防护知识体系 三类安全目标之间的层次关系
图1.2系统安全、数据安全、事务安全层次图 事务安全 数据安全 网络安全 计算机安全 三类安全目标之间的层次关系 下层的安全为上层的安全提供一定的保障(assurance),但不提供安全服务。 在实现上层的安全性中经常需要下层的安全做基础,但上层的安全不能指望对下层的功能调用来实现,需要用专门的安全机制实现。

26 1.3.1计算机系统中的安全威胁 计算机系统指用于信息存储、信息加工的设施。计算机系统一般是指具体的计算机系统,但是我们有时也用计算机系统来表示一个协作处理信息的内部网络。后者有时被称为网络计算机。 单台计算机 内部网—网络计算机

27 1.假冒攻击 分为: 重放 假冒是指某个实体通过出示伪造的凭证来冒充别人或别的主体,从而攫取了授权用户的权利。 伪造 代替
分为: 重放 伪造 代替 假冒是指某个实体通过出示伪造的凭证来冒充别人或别的主体,从而攫取了授权用户的权利。 身份识别机制本身的漏洞,以及身份识别参数在传输、存储过程中的泄漏通常是导致假冒攻击的根源。例如假冒者窃取了用户身份识别中使用的用户名/口令后,非常容易欺骗身份识别机构,达到假冒的目的。 假冒成功后,典型的情形是先改写授权数据,然后利用这些信息来进行非授权访问。一旦获得非授权访问,造成的损坏程度就要由入侵者的动机来决定了。如果幸运的话,入侵者可能只是电脑空间中一名好奇的漫游者。但大多数人不会那么幸运,他们的机密信息通常都会被窃取或破坏。

28 2.旁路攻击 旁路攻击是指攻击者利用计算机系统设计和实现中的缺陷或安全上的脆弱之处,获得对系统的局部或全部控制权,进行非授权访问。
例如缓冲区溢出攻击,就是因为系统软件缺乏边界检查,使得攻击者能够激活自己预定的进程,从而获得对计算机的超级访问权限。 旁路攻击一旦获得对系统的全部控制权,所带来的损失将是不可低估的。

29 3.非授权访问 非授权访问是指未经授权的实体获得了访问网络资源的机会,并有可能篡改信息资源。
假冒攻击和旁路攻击通过欺骗或旁路获得访问权限,而非授权访问则是假冒和旁路攻击的最终目的。另一方面,如果非法用户通过某种手段获得了对用户注册信息表、计算机注册表信息的非授权访问,则它又成为进一步假冒或旁路攻击的基础。

30 4.拒绝服务 拒绝服务攻击目的是摧毁计算机系统的部分乃至全部进程,或者非法抢占系统的计算资源,导致程序或服务不能运行,从而使系统不能为合法用户提供正常的服务。目前最有杀伤力的拒绝服务攻击是网络上的分布式拒绝服务(DDOS)攻击。

31 5.恶意程序 分为: 木马 病毒 计算机系统受到上述类型的攻击可能是非法用户直接操作实现的,也可能是在通过恶意程序如木马、病毒和后门实现的。

32 5.恶意程序 (1)特洛伊木马 特洛伊木马(Trojan horse)是指伪装成有用的软件,当它被执行时,往往会启动一些隐藏的恶意进程,实现预定的攻击。 例如木马文本编辑软件,在使用中用户不易觉察它与一般的文本编辑软件有何不同。但它会启动一个进程将用户的数据拷贝到一个隐藏的秘密文件中,植入木马的攻击者可以阅读到那个秘密文件。 同样,我们可以设想随意从网上或他处得来的一个非常好玩的游戏软件,里面植入了木马进程,当管理员启动这个游戏,则该进程将具有管理员的特权,木马将有可能窃取或修改用户的口令,修改系统的配置,为进一步的攻击铺平道路。

33 5.恶意程序 (2)病毒 病毒和木马都是恶意代码,但它本身不是一个独立程序,它需要寄生在其他文件中,通过自我复制实现对其它文件的感染。
病毒的危害有两个方面,一个是病毒可以包含一些直接破坏性的代码,另一方面病毒传播过程本身可能会占用计算机的计算和存储资源,造成系统瘫痪。

34 5.恶意程序 (3)后门 后门是指在某个文件或系统中设置一种机关,使得当提供一组特定的输入数据时,可以不受安全访问控制的约束。
例如,一个口令登录系统中,如果对于一个特殊的用户名不进行口令检查,则这个特殊的用户名就是一个后门。后门的设置可能是软件开发中为了调试方便,但后来忘记撤除所致,也可能是软件开发者有意留下的。 上面对计算机可能存在的一些攻击作了描述。

35 对计算机攻击的原因分析 1.系统在身份识别协议、访问控制安全措施方面存在弱点,不能抵抗恶意使用者的攻击;
2.系统设计和实现中有未发现的脆弱性,恶意使用者利用了这些脆弱性。

36 1.3.2网络系统中的安全威胁 计算机网络系统是实现计算机之间信息传递或通信的系统,它通过网络通信协议(如TCP/IP协议)为计算机提供了新的访问渠道。网络环境同时还增加了对路由器、交换机等网络设备和通信线路的保护要求。 处于网络中的计算机系统除了可能受到上小节提到的各种威胁外,还可能会受到来自网络中的威胁。此外,网络交换或网络管理设备、通信线路可能还会受到一些仅属于网络安全范畴的威胁。主要威胁可列举如下:

37 1.截获/修改 攻击者通过对网络传输中的数据进行截获或修改,使得接收方不能收到数据或收到代替了的数据,从而影响通信双方的数据交换。
这种攻击通常是为了达到假冒或破坏的目的。

38 2.插入/重放 攻击者通过把网络传输中的数据截获后存储起来并在以后重新传送,或把伪造的数据插入到信道中,使得接收方收到一些不应当收到的数据。
这种攻击通常也是为了达到假冒或破坏的目的。但是通常比截获/修改的难度大,一旦攻击成功,危害性也大。

39 3.服务欺骗 服务欺骗是指攻击者伪装成合法系统或系统的合法组成部件,引诱并欺骗用户使用。
这种攻击常常通过相似的网址、相似的界面欺骗合法用户。例如,攻击者伪装为网络银行的网站,用各种输入提示,轻易骗取用户的如用户名、口令等重要数据,从而直接盗取用户账户的存款。

40 4.窃听和数据分析 窃听和数据分析是指攻击者通过对通信线路或通信设备的监听,或通过对通信量(通信数据流)的大小、方向频率的观察,经过适当分析,直接推断出秘密信息, 达到信息窃取的目的。

41 5.网络拒绝服务 网络拒绝服务是指攻击者通过对数据或资源的干扰、非法占用、超负荷使用、对网络或服务基础设施的摧毁,造成系统永久或暂时不可用,合法用户被拒绝或需要额外等待,从而实现破坏的目的。 许多常见的拒绝服务攻击都是由网络协议(如IP协议)本身存在的安全漏洞和软件实现中考虑不周共同引起的。例如TCP SYN攻击,利用了TCP连接需要分配内存,多次同步将使其他连接不能分配到足够的内存,从而导致了系统的暂时不可用。 计算机系统受到上述类型的攻击可能是黑客或敌手操作实现的,也可能是网络蠕虫或其他恶意程序造成的。

42 对网络攻击的原因分析 1.网络通信线路经过不安全区域,并且使用了公开的标准通信协议,使得非法窃听和干扰比传统的通信场合更容易实施;
2.在网络环境下身份识别协议更加重要,但比单机环境下更难实现; 3.网络通信系统设计和实现中未发现的脆弱性更多,攻击者更容易利用这些脆弱性。

43 1.3.3 数据的安全威胁 数据是网络信息系统的核心。计算机系统及其网络如果离开了数据,就像失去了灵魂的躯壳,是没有价值的。
无论是上面提到的敌手对计算机系统的攻击或是对网络系统的攻击,其目标无非是针对上面承载的信息而来的。 这些攻击对数据而言,目标实际上有三个:截获秘密数据、伪造数据或在上述攻击不能奏效的情况下,破坏数据的可用性。 数据安全的攻击与防御是信息安全的主要课题,也是本书的重点。

44 对网络攻击的原因分析 1.处理和传输数据的计算机及网络有弱点。 2.对数据的存储保护不当。 3.对数据的传输过程保护不够。

45 1.3.4 事务安全威胁 事务概念介绍 : 事务(transaction)的概念首先出现在数据库管理系统中,表示作为一个整体的一组操作,它们应当顺序地执行,仅仅完成一个操作是无意义的。而且在一个事务全部完成后,甚至遇到系统崩溃的情形,操作结果不能丢失。系统还必须允许多个事务的并行执行。 实际上,在几乎所有的信息系统中事务都是最基本的概念。例如,在网上转账协议中,从一个账户上转出一笔资金,同时转入另一个账户就是一个事务。仅仅完成其中的一个操作是不允许的。几乎所有的网络应用协议都可以看成是由一个一个的事务组成。

46 1.3.4 事务安全威胁 事务满足的ACID性质 一组动作要么全部执行,要么全部不执行 原子性(atomicity)
一致性(consistency) 孤立性(isolation) 持续性(durability) 一组动作要么全部执行,要么全部不执行 一个应用系统可能会设置若干一致性条件,事务执行后应当保持一致性 当两个以上的事务同时执行时,它们的执行的结果应当是独立的 一个事务完成后,其结果不应当丢失,甚至遇到系统崩溃的情形

47 1.3.4 事务安全威胁 1.字典攻击 字典攻击最早出现在对网络口令识别协议攻击中。虽然在事务(协议)交互中没有出现口令的明文,但因口令的变化量太小,攻击者可以构造一本可能出现口令的字典,然后逐个验证字典条目,最后破解用户的口令。这种攻击有时可推广到其他应用场合。 2.中间人攻击 假设完成事务的几方包括A、B,攻击者如果伪装成A和B交互,同时伪装成B和A交互,则攻击者可使A和B按照他的意愿行事,或者能获得相关事务中的机密信息。 3.合谋攻击 合谋攻击中的攻击者可能是事务的参与方,也可能不是,买通事务的若干参与方共同欺骗其余的参与方,以获得非法权限或利益。 此外还有选择明文攻击、选择密文攻击、预言者会话、并行会话攻击等。

48 对事务攻击的原因分析 使用了参与方在身份识别的缺陷。 使用了参与方在抗抵赖方面的缺陷。 更一般地,攻击者利用了多方计算协议的设计或实现漏洞。

49 1.3.5 技术防护 机密性 完整性 身份识别 访问控制 抗抵赖 可用性 保护数据不泄漏给非授权用户
这六种安全目标已经基本上覆盖了现有的攻击。但应当说明的是六种安全目标绝对没有覆盖未来发现的攻击行为。这一点同其他学科不大一样,因为攻、防本身是在不断变化发展的 保证数据不被非授权的修改、删除或代替,或能够检测这些非授权改变。 对于某个实体(人或其他行为主体)的身份的证实。 保护信息资源不被非授权使用或控制。 保护信息资源不被非授权使用或控制。 保证授权用户能够对所需的信息或资源的访问。

50 1.4 信息安全中的非技术因素 信息安全层次关系 人事管理 信息安全 数据与事务安全 计算机与网络安全 图1.3安全环

51 1.4.1人员、组织与管理

52 1.4.2 法规与道德

53 作业 1.有人在马路上问你的手机号你会告诉他吗?进一步如果还有一个人问你的手机密码,你会告诉他吗?如果上述发生在网上,你会怎样?哪个更不安全一些? 2. 你用计算机上网浏览、转账中应当注意哪些威胁?比如有些网站让你设置口令,你是否会有所警觉,为什么? 3. 你是否在不同用途的账户中采用相同的口令,其安全漏洞是什么?而当你在不同账户中使用不同口令时,是否还有安全漏洞,为什么?


Download ppt "计算机信息安全 信息技术系 徐方勤 2010年3月 第1版."

Similar presentations


Ads by Google