1
2
计算机系统安全涉及的领域
? 综合、交叉的学科:
密码学理论、计算机网络、操作系统、
数据库技术、安全协议,通信技术、
电子技术。
安全体系结构
安全的策略与管理,安全风险分析
与计算机安全有关的法律问题
3
课程内容
? 计算机安全概述
? 物理安全
? 网络平台安全
? 加密技术
? 数字签名
? 认证
? 访问控制
4
课程内容
? Web安全技术
? 协议安全
? 防火墙技术
? 威胁与攻击
? 病毒防治
? 入侵检测
? 安全管理与安全策略
5
计算机系统安全
第一讲
计算机系统安全概述
6
计算机系统安全概述
? 计算机系统安全的现状
? 计算机系统安全的概念
? 安全威胁
? 信息系统安全技术
? 计算机系统安全应解决的问题
? 安全的体系结构
7
1、背景
信息技术,成为信息时代的核心技术和中坚力
量,它影响和决定着现代技术的走向,信息技
术正是各科技术的领头羊。
信息产业, 电子商务、电子政务、电子税务、
电子海关、网上银行、电子证券、网络书店、
网上拍卖、网络防伪、网上选举等等,网络信
息系统将在政治、军事、金融、商业、交通、
电信、文教等方面发挥越来越大的作用。
网上资源越来越丰富
一、计算机系统安全的现状
8
1、背景
网络的复杂性
1,局域网联入广域企业网中。
2,向商业伙伴(客户、供应商)开放自己的网络。
3,外部网接入 Internet 。
内部网络资源提供给日益增多的机构内部、外部人员。
随着接触网络的人增加,保护网络资源免受侵犯成为
最为关注的问题。
网络越来越庞大
一、计算机系统安全的现状
9
1、背景
Internet的四个特点:国际化、社会化、开放化、个人化。
国际化,网络的攻击不仅仅来自本地网络的用户,它可以来
自 Internet上的任何一个机器。
社会化,全球信息化飞速发展,信息化系统已经成为国家关
键基础设施,诸如电信、电子商务、金融网络等,社会对计
算机网络的依赖日益增强。
开放化,网络的技术是全开放的,任何一个人、团体都可能
获得。开放性和资源共享是网络安全的根源。
个人化,随着网络应用的深入,人类的生活越来越离不开网
络,人们可以自由地访问网络,自由地使用和发布各种类型
的信息,但同时也面临着来自网络的安全威胁
一、计算机系统安全的现状
10
2、安全问题
1986 年 Basit和 Amjad两兄弟编写的 Pakistan 病毒 ( brain)。
1988年美国康乃尔大学 Morris编制的蠕虫病毒通过英特网传播
1996年 8月 17日, 美国司法部网页被改为, 不公正部,, 希特
勒
1996年 9月 18日,, 中央情报局, ?,中央愚蠢局,
1996年 12月, 黑客侵入美国空军的全球网网址并将其主页肆
意改动, 迫使美国国防部一度关闭了其他 80多个军方网址 。
1998年 10月 27日, 刚刚开通的, 中国人权研究会, 网页, 被
,黑客, 严重纂改 。
2000年春节期间黑客攻击以 Yahoo和新浪等为代表的国内外著
名网站,造成重大经济损失 。
E-mail侵权案件, 泄密事件不断
一、计算机系统安全的现状
11
2、安全问题
一、计算机系统安全的现状
2001年南海撞机事件引发中美黑客大战。
12
2、安全问题
一、计算机系统安全的现状
入侵者是谁?网络恐怖分子(黑客)、信息战部队
现在, 黑客, 一词在信息安全范畴内的普遍含意是特指对
电脑系统的非法侵入者。
黑客 (hacker):对技术的局限性有充分认识,具有操作系
统和编程语言方面的高级知识,热衷编程,查找漏洞,表
现自我。他们不断追求更深的知识,并公开他们的发现,
与其他人分享;主观上没有破坏数据的企图。
骇客( cracker):以破坏系统为目标。
,红客, honker,中国的一些黑客自称, 红客, honker。
美国警方:把所有涉及到 "利用 ","借助 ","通过 "或 "阻挠 "
计算机的犯罪行为都定为 hacking。
13
2、安全问题
1,计算机犯罪的种类 双重说:工具 对象
计算机犯罪是一种新的犯罪形态 。 归纳为四种:
破坏计算机,是指以计算机作为犯罪行为客体, 加以暴力或技
术性的破坏 。
擅用信息系统,是指无权使用信息系统的人擅自使用 。
滥用信息系统,是指以计算机为工具, 进行欺诈, 侵占, 散布
非法信息等各种犯罪目的之行为 。
破坏安全系统,是指以技术性的方法破坏信息系统在安全方面
所采取的措施 。
一、计算机系统安全的现状
14
2、安全问题
2,计算机犯罪的特点
计算机犯罪集中在机密信息系统和金融系统两方面 。
计算机犯罪与传统的犯罪相比有许多不同的特点:
危害性,犯罪后果严重 。 成本低, 传播快, 范围广 。
知识性,智慧型白领犯罪, 年轻, 专业化 。
隐蔽性,侦破与取证困难 。
广域性,作案场所不受地理区域的限制 。
一、计算机系统安全的现状
15
3、安全隐患
a)硬件 的安全隐患;
b)操作系统安全隐患;
c) 网络协议的安全隐患;
d)数据库系统安全隐患;
e) 计算机病毒;
f) 管理疏漏, 内部作案 。
一、计算机系统安全的现状
16
3、安全隐患
a) 硬件设备 的安全隐患
CPU:
Intel公司在奔腾 III CPU中加入处理器序列号, 因 此
Intel涉嫌干涉个人隐私, 但要害问题则是政府机关,
重要部门非常关心由这种 CPU制造的计算机在处理
信息或数据时所带来的信息安全问题, 即这种 CPU
内含有一个全球唯一的序列号, 计算机所产生的文
件和数据都会附着此序列号, 因而由此序列号可以
追查到产生文件和数据的任何机器 。
一、计算机系统安全的现状
17
3、安全隐患
网络设备,
我国计算机网络使用的绝大部分网络设备, 如路由器,
集线器, 交换机, 服务器, 以及网络软件等都是进口
的, 其安全隐患不容忽视 。 一些交换机和路由器具有
远程诊断 和服务功能, 既然可以远程进入系统服务,
维修故障, 也就可以远程进入系统了解情报, 越权控
制 。 更有甚者, 国外一著名网络公司以 "跟踪服务 "为
由, 在路由器中设下 "机关 ",可以将网络中用户的包
信息同时送一份到其公司总部 。
一、计算机系统安全的现状
18
3、安全隐患
b)操作系统安全隐患
计算机操作系统历来被美国一些大公司所垄断,
但这些操作系统的源程序都是不公开的, 在安
全机制方面存在着诸多漏洞和隐患 。 计算机黑
客能轻而易举地从 "后门 "进入系统, 取得系统
控制权, 并危及计算机处理或存储的重要数据 。
如 Windows95存在两千多处缺陷 。
一、计算机系统安全的现状
19
3、安全隐患
b)操作系统安全隐患 —— OS的体系结构造成其本身不安全
1,I/O,系统服务程序等都可用打补丁方式进行动态连接 。 厂
商用这种方式升级, 而攻击者也用此方法 。
2,为了实现通用性, 可裁剪 性, 能够安装其他公司的软件包,
这些软件包往往是操作系统的一部分, 需要与操作系统同样的
访问特权, 安装这些软件包的, 抓钩, 程序就是非法攻击者入
侵操作系统的陷门 。
3,网络上进行文件传输, 加载将带来安全隐患 。 另外, 能进
行远程进程的创建与激活, 这为安装, 间谍, 软件提供了条件 。
4,操作系统存在隐蔽信道:进程间通过不受强制访问控制保
护的通信途径 。
一、计算机系统安全的现状
20
3、安全隐患
c)网络协议的安全隐患
网络协议也都由美国等国家开发或制定标准 。
其 安全机制也存在先天不足, 协议还具有许多安全漏
洞, 为攻击者提供了方便, 如地址欺骗等 。 Internet
应用协议中缺乏认证, 保密等措施, 也使攻击者比较
容易得手 。
TCP/IP协议安全漏洞, 包监视, 泄露, 地址欺骗, 序
列号攻击, 路由攻击, 拒绝服务, 鉴别攻击 。
应用层安全隐患,Finger,FTP,Telnet,E-mail、
SNMP,RPC,NFS
一、计算机系统安全的现状
21
3、安全隐患
d)数据库系统安全隐患
由于数据库平台全系引进, 尽管厂商声称具有安全机
制, 但对国内用户犹如一个 "黑匣子 "。
数据库的攻击分直接攻击和间接攻击两大类 。 直接攻
击是通过查询以得到几个记录来直接搜索并确定敏感
字段的值, 最成功的技术是形成一种特定的查询它恰
与一个数据项相匹配 。 间接攻击是依据一种或多种统
计值推断出结果 。 统计攻击通过使用某些明显隐匿的
统计量来推导出数据, 例如使用求和等统计数据来得
到某些数据 。
一、计算机系统安全的现状
22
3、安全隐患
e)计算机病毒威胁
计算机病毒是一种能够进行自我复制的程序, 可以通
过多种方式植入计算机中, 通过 Internet网植入病毒
更容易 。 病毒运行后可能损坏文件, 使系统瘫痪, 造
成各种难以预料的后果 。 由于在网络环境下, 计算机
病毒具有不可估量的威胁性和破坏力, 因此计算机病
毒的防范是网络安全性建设中重要的一环 。 新的病毒
不仅删除文件, 使数据丢失, 甚至破坏系统硬件, 可
以造成巨大损失 。 1998年美国 "莫里斯 "病毒发作, 一
天之内使 6000多台计算机感染, 损失达 9000万美元 。
一、计算机系统安全的现状
23
3、安全隐患
f) 管理疏漏, 内部作案 。
据权威资料片, 筑起网上长城, 介绍, 互联网
上的计算机犯罪, 黑客攻击等非法行为70 %
来自于内部网络 。 金融, 证券, 邮电, 科研院
所, 设计院, 政府机关等单位几乎是天生的受
攻击者, 内部人员对本单位局域网的熟悉又加
剧了其作案和被外部人勾结引诱的可能性 。
一、计算机系统安全的现状
24
4、我国信息安全现状
一、计算机系统安全的现状
统计数据 2000/07 2001/1 2001/07
上网计算机数 ( 万台 ) 650 892 1002
上网用户人数 ( 万人 ) 1690 2250 2650
CN下注册的域名总数 ( 个 ) 99734 122099 128362
WWW站点数 ( 个 ) 27289 265405 242739
我国国际线路的总容量 ( M) 1234 2799 3257
其
中
中国科技网 ( CSTNET) ( M) 10 55 55
中国公用计算机互联网 ( CHINANET) M 711 1953 2387
中国教育和科研计算机网 ( CERNET) M 12 117 117
中国金桥信息网 ( CHINAGBN) ( M) 69 148 151
中国联通互联网 ( UNINET) ( M) 55 55 100
中国网通 (CNCNET)( M) 377 377 355
中国国际经济贸易互联网 ( CIETNET) M 4 2
中国移动互联网 ( CMNET) ( M) 90 90
中国长城互联网 ( CGWNET) ( 建设中 )
中国卫星集团互联网 ( CSNET) ( 建设中 )
25
4、我国信息安全现状
一、计算机系统安全的现状
用户认为目前网上交易存在的最大问题是:
安全性得不到保障,33.4%
付款不方便,11.5%
产品质量、售后服务及厂商信用得不到保障,33.0%
送货耗时、渠道不畅,8.7%
价格不够诱人,6.6%
网上提供的信息不可靠,6.0%
其它,0.8%
26
4、我国信息安全现状
一、计算机系统安全的现状
在一年内用户计算机被入侵的情况:
被入侵过,47.1%
没有被入侵过,43.0%
不知道,9.9%
对于电子邮件帐号,用户多久换一次密码:
1个月,8.8%
3个月 --半年,21.4%
半年 --1年,19.7%
一直不换, 50.1%
27
4、我国信息安全现状
一、计算机系统安全的现状
在网上用户主要采取什么安全措施:
密码加密, 36.9%
防病毒软件,74.5%
防火墙,67.6%
电子签名, 7.3%
不清楚,由系统管理员负责,7.4%
什么措施都不采用, 3.6%
28
4、我国信息安全现状
2000年 5月出版的《国家信息安全报告》指出,我国
目前的信息安全度介于相对安全与轻度不安全之间。
如按安全度满分为 9分的话,我们的分值约在 5.5分。
1,信息与网络安全的防护能力较弱。
对我国金融系统计算机网络现状,专家们有一形象的
比喻:用不加锁的储柜存放资金(网络缺乏安全防
护);让, 公共汽车, 运送钞票(网络缺乏安全保
障);使用, 邮寄, 传送资金(转账支付缺乏安全渠
道);用, 商店柜台, 存取资金(授权缺乏安全措
施);拿, 平信, 邮寄机密信息(敏感信息缺乏保密
措施)等。
一、计算机系统安全的现状
29
4、我国信息安全现状
2,对引进的信息技术和设备缺乏保护信息安全所必
不可少的有效管理和技术改造。
我国从发达国家和跨国公司引进和购买了大量的信息
技术和设备。在这些关键设备如电脑硬件、软件中,
有一部分可能隐藏着, 特洛伊木马,,对我国政治、
经济、军事等的安全存在着巨大的潜在威胁。但由于
受技术水平等的限制,许多单位和部门对从国外,特
别是美国等引进的关键信息设备可能预做手脚的情况
却无从检测和排除,以致我们许多单位和部门几乎是
在, 抱着定时炸弹, 工作。
一、计算机系统安全的现状
30
4、我国信息安全现状
3,基础信息产业薄弱,核心技术严重依赖国外。
硬件:电脑制造业有很大的进步,但其中许多核心部
件都是原始设备制造商的,我们对其的研发、生产能
力很弱,关键部位完全处于受制于人的地位。
软件:面临市场垄断和价格歧视的威胁。美国微软几
乎垄断了我国电脑软件的基础和核心市场。离开了微
软的操作系统,国产的大多软件都失去了操作平台。
缺乏自主知识产权产品
一、计算机系统安全的现状
31
4、我国信息安全现状
4,信息安全管理机构缺乏权威。
信息安全特别是在经济等领域的安全管理条块分割、相互隔离,
缺乏沟通和协调。没有国家级的信息安全最高权威机构以及与
国家信息化进程相一致的信息安全工程规划。
目前国家信息安全的总体框架已经搭就。已制定报批和发布了
有关信息技术安全的一系列的国家标准、国家军用标准。国家
信息安全基础设施正在逐步建成包括国际出入口监控中心、安
全产品评测认证中心、病毒检测和防治中心、关键网络系统灾
难恢复中心、系统攻击和反攻击中心、电子保密标签监管中心、
网络安全紧急处置中心、电子交易证书授权中心、密钥恢复监
管中心、公钥基础设施与监管中心、信息战防御研究中心等。
一、计算机系统安全的现状
32
4、我国信息安全现状
5,信息犯罪在我国有快速发展之趋势。
西方一些国家采取各种手段特别是电子信息手段来窃
取我国的各类机密,包括核心机密。此外,随着信息
设备特别是互联网的大幅普及,各类信息犯罪活动亦
呈现出快速发展之势。以金融业计算机犯罪为例,从
1986年发现第一起银行计算机犯罪案起,发案率每年
以 30%的速度递增。近年来,境外一些反华势力还在
因特网上频频散发反动言论,而各种电脑病毒及黑客
对计算机网络的侵害亦屡屡发生。据不完全统计,我
国目前已发现的计算机病毒约有 2000~ 3000多种,而
且还在以更快的速度增加着。
一、计算机系统安全的现状
33
4、我国信息安全现状
6,信息安全技术及设备的研发和应用有待提高
近年来, 我国在立法和依法管理方面加大力度, 推进计算机信
息网络安全技术和产品的研究, 开发和应用, 建立了计算机病
毒防治产品检验中心, 计算机信息系统安全专用产品质量检验
中心, 加强了对计算机信息网络安全产品的管理 。 目前, 我国
信息网络安全技术及产品发展迅速, 其中, 计算机病毒防治,
防火墙, 安全网管, 黑客入侵检测及预警, 网络安全漏洞扫描,
主页自动保护, 有害信息检测, 访问控制等一些关键性产品已
实现国产化 。 但是, 正如, 国家信息安全报告, 强调指出的:
,这些产品安全技术的完善性, 规范性, 实用性还存在许多不
足, 特别是在多平台的兼容性, 多协议的适应性, 多接口的满
足性方面存在很大距离, 理论基础和自主技术手段也需要发展
和强化 。,
一、计算机系统安全的现状
34
1、安全的概念
计算机系统安全是一个涉及计算机科学, 网络技术,
通信技术, 密码技术, 信息安全技术, 应用数学, 数
论, 信息论等多种学科的边缘性综合学科 。
几种安全性 ( 概念范围 小 ?大 ),
密码安全:通信安全的核心
计算机安全:
网络安全:
信息安全:
二、计算机系统安全的概念
35
1、安全的概念
信息系统的构成:
a) 信道:数据流的载体;
b) 网络:提供各实体间数据的交换;
c) 传输协议:信息交换的特定, 语言, ;
d) 主机系统:数据到信息的转换, 处理, 存储;
e) 数据库系统:信息的组织机构;
f) 应用系统:信息价值的最终体现;
二、计算机系统安全的概念
36
1、安全的概念
受安全问题影响的资源:
1 ) 硬件,CPU,电路板, 键盘, 终端, 工作站, 个人计算机,
打印机, 磁盘驱动器, 通信线, 通信控制器, 终端服务器, 网
络连接设备 。
2) 软件:源程序, 目标程序, 开发工具, 诊断程序, 操作系
统, 通信程序 。
3) 数据:执行过程中的数据, 存储数据, 存档数据, 预算记
录, 数据库, 通信媒体的传输数据 。
4) 人员:用户, 需要运行系统的人 。
5) 文档:程序, 硬件上的, 系统里的文档 。
6) 耗材:纸, 表格, 色带, 磁带 。
二、计算机系统安全的概念
37
1、安全的概念
ISO将, 计算机安全, 定义为:, 为数据处理系统建立和采取
的技术和管理的安全保护, 保护计算机硬件, 软件数据不因偶
然和恶意的原因而遭到破坏, 更改和泄露 。, —— 静态信息保
护 。 另一种定义:, 计算机的硬件, 软件和数据受到
保护, 不因偶然和恶意的原因而遭到破坏, 更改和泄露, 系统
连续正常运行 。, —— 动态意义描述 。
从用户角度:保护利益, 隐私;存储, 传输安全 。
从运行管理角度:正常, 可靠, 连续运行 。
从国家, 社会:过滤有害信息 。
二、计算机系统安全的概念
38
1、安全的概念
信息安全的概念:保密性 ?完整性, 可用性, 不可否认性 。
美国由军方到社会全面推出了, 信息安全保障体系, 概念,
概括了网络安全的全过程, 即 边界防卫, 入侵检测, 安全反应
和破坏恢复 ;
,信息保障体系, 不能仅从技术的角度思考, 还有一个社会管
理层面更高层次的问题:
1,全社会的综合集成安全体系;它建筑在安全技术的平台上,
以各部门形成合力为特征, 不是各部门功能的简单叠加, 而是
在统一领导下的有机组合 。
2,安全策略的制定 根本原则 —— 责任 ( accountability)
3,法律, 制度, 管理, 技术;
二、计算机系统安全的概念
39
1、安全的概念
安全的内涵 ( 要素 ), 机密性 confidentiality,完整性 integrity、
可用性 availability,可控性与可审查性 。
1,机密性:确保信息不暴露给未授权的实体或进程 。 加密机
制 。 防泄密
2,完整性:只有得到允许的人才能修改实体或进程, 并且能
够判别出实体或进程是否已被修改 。 完整性鉴别机制, 保证只
有得到允许的人才能修改数据 。 防篡改
数据完整, hash; 数据顺序完整, 编号连续, 时间正确 。
3,可用性:得到授权的实体可获得服务, 攻击者不能占用所
有的资源而阻碍授权者的工作 。 用 访问控制机制, 阻止非授权
用户进入网络 。 使静态信息可见, 动态信息可操作 。 防中断
二、计算机系统安全的概念
40
1、安全的概念
4,可控性, 可控性主要指对危害国家信息 ( 包括利
用加密的非法通信活动 ) 的监视审计 。 控制授权范围
内的信息流向及行为方式 。 使用授权机制, 控制信息
传播范围, 内容, 必要时能恢复密钥, 实现对网络资
源及信息的可控性 。
5,可审查性, 对出现的安全问题提供调查的依据和
手段 。 使用审计, 监控, 防抵赖等安全机制, 使得攻
击者, 破坏者, 抵赖者, 逃不脱 ",并进一步对网络出
现的安全问题提供调查依据和手段, 实现信息安全的
可审查性 。
二、计算机系统安全的概念
41
1、安全的概念
此外信息系统还应提供 认证, 访问控制, 抗抵赖 安全服务 。
认证:保证信息使用者和信息服务者都是真实可信的, 防止冒
充和重演的攻击 。 真实性
访问控制:这种服务保证信息资源不被非授权地使用 。 ( 是否
有权使用该资源 )
抗抵赖:这种服务可取二种形式 。 数字签名
1) 源发证明:提供给信息接收者以证据, 这将使发送者谎称
未发送过这些信息或者否认它的内容的企图不能得逞;
2) 交付证明:提供给信息发送者以证据, 这将使接收者谎称
未接收过这些信息或者否认它的内容的企图不能得逞 。
二、计算机系统安全的概念
42
1、安全的概念
系统的安全标准,桔皮书
美国国防部的 可信计算机系统评价准则 ( Trusted Computer
System Evaluation Criteria TCSEC) 。 按安全程度低 ->高排序
D,C1,C2,B1,B2,B3,A1。 C:酌情 B:强制 A:核实保护
D类:最低保护 。 无账户;任意访问文件 。
C1类:自决的安全保护 。 系统能够把用户和数据隔开, 用户以
根据需要采用系统提供的访问控制措施来保护自己的数据, 系
统中必有一个防止破坏的区域, 其中包含安全功能 。
C2类,访问级别控制 。 控制粒度更细, 使得允许或拒绝任何用
户访问单个文件成为可能 。 系统必须对所有的注册, 文件的打
开, 建立和删除进行记录 。 审计 跟踪必须追踪到每个用户对每
个目标的访问 。
二、计算机系统安全的概念
43
1、安全的概念
B1类:有 标签 的安全保护 。 系统中的每个对象都有一个敏感性
标签而每个用户都有一个许可级别 。 许可级别定义了用户可处
理的敏感性标签 。 系统中的每个文件都按内容分类并标有敏感
性标签, 任何对用户许可级别和成员分类的更改都受到严格控
制, 即使 文件所有者也不能随意改变文件许可权限 。
B2类:结构化保护 。 系统的设计和实现要经过彻底的测试和审
查 。 系统应结构化为明确而独立的模块, 遵循 最小特权原则 。
必须对所有目标和实体实施访问控制 。 政策, 要有专职人员负
责实施, 要进行 隐蔽信道分析 。 系统必须维护一个保护域, 保
护系统的完整性, 防止外部干扰 。
B3类:安全域 。 系统的安全功能足够小, 以利广泛测试 。 必须
满足参考监视器需求以传递所有的主体到客体的访问 。 要有安
全管理员, 安全硬件装置, 审计机制扩展到用信号通知安全相
关事件, 还要有恢复规程, 系统 高度抗侵扰 。
二、计算机系统安全的概念
44
1、安全的概念
A1类:核实保护 。 最初设计系统就充分考虑安全性 。 有, 正式
安全策略模型, 其中包括由公理组成的 形式化证明 。 系统的顶
级技术规格必须与模型相对应, 系统还包括分发控制和隐蔽信
道分析 。
隐蔽信道:
存储信道:例如:文件更新时间;是否存在;动态变化
时间信道:时钟;时间间隔
近 20年来,人们一直在努力发展安全标准,并将安全功能与安全
保障分离,制定了复杂而详细的条款 。 但真正实用, 在实践中
相对易于掌握的还是 TCSEC及其改进版本 。 在现实中,安全技术
人员也一直将 TCSEC的 7级安全划分当做默认标准 。
二、计算机系统安全的概念
45
2、安全保护的内容
计算机系统安全:物理安全, 运行安全和信息安全
物理安全:环境安全, 设备安全和媒体安全 。
运行安全:风险分析, 审计跟踪, 备份与恢复, 应急 。
信息安全:操作系统安全, 数据库安全, 网络安全, 病毒防护,
访问控制, 加密与鉴别七个方面 。
1,物理安全 ( 环境, 设备, 媒体 )
防雷电;门禁系统, 防盗, 防火, 防有害气体;防电磁泄漏 。
2,运行安全
为保障系统功能安全实现, 提供一套安全措施 ( 如风险分析,
审计跟踪, 备份与恢复, 应急 ) 来保护信息处理过程的安全 。
二、计算机系统安全的概念
46
2、安全保护的内容
风险分析,了解影响信息系统安全运行的因素和存在
的风险, 找出克服这些风险的方法 。
计算机信息系统常见的风险有:设计者有意建立或因
偶然故障而存在的, 后门, ;操作过程中的人为错误,
意外事故, 疏漏 和权限错误;硬件 故障 ;计算机系统
出错引起的拒绝使用;电磁辐射引起的 信息泄漏 ;火
灾和自然灾害; 非授权处理和恶意攻击 ;内部人员进
行数据偷窃的犯罪行为;伪造文件和记录;假冒别人
的防问代码进入系统;不准确的或过时的信息;故意
破坏;传输路径错误;搭线窃听和乘机而入;编程错
误;对已删除信息的搜寻和复原;计算机 病毒 等等 。
二、计算机系统安全的概念
47
2、安全保护的内容
审计跟踪,利用计算机信息系统所提供的审计跟踪工
具, 对计算机信息系统的工作过程进行详尽的跟踪记
录, 同时保存好审计记录和审计日志, 并从中发现和
及时解决问题, 保证计算机信息系统安全可靠地运行 。
要求系统管理员保存, 维护和管理好审计日志 。
应急措施和备份恢复,要根据所用信息系统的功能特
性和灾难特点制定包括 应急反应, 备份操作, 恢复措
施 三个方面内容的应急计划, 一旦发生灾害事件, 就
可按计划方案最大限度地恢复计算机系统的正常运行 。
二、计算机系统安全的概念
48
2、安全保护的内容
3,信息安全
防止信息被故意的或偶然的非授权读取, 更改,
破坏或使信息被非法的系统辨识, 控制 。 确保信息的
完整性, 保密性, 可用性和可控性 。
网络信息既有存储于网络节点上信息资源, 即 静
态信息, 又有传播于网络节点间的信息, 即 动态信息 。
而这些静态信息和动态信息中有些是开放的, 如广告,
公共信息等, 有些是保密的, 如,私人间的通信, 政
府及军事部门, 商业机密等 。
保护用户利益和隐私 。
二、计算机系统安全的概念
49
2、安全保护的内容
信息的风险级别,根据敏感性分类 。
非保密的:不需保护 。 如出版的年度报告, 新闻信件等 。
内部使用的:在公司和组织内部不需保护, 可任意使用, 但不
对外 。 包括标准, 备忘录和组织内部的电话记录本等 。
受限制的:包括那些泄漏后不会损害公司和组织的最高利益的
信息 。 例如客户数据和预算信息等 。
保密的:包括那些泄漏后会严重损害公司和组织利益的信息 。
例如市场策略和专用软件等 。 保密数据根据其保密程度可分为
秘密, 机密, 绝密三类 。 敏感性程度依次递增这是按照泄漏后
对公司和组织利益的损害程度来排序的 。
二、计算机系统安全的概念
50
3、国外网络安全标准
1.美国 TCSEC(桔皮书 )可信计算机系统评估准则 。 1985年由美
国国防部制定 。 分为 4个方面,安全政策, 可说明性, 安全保障
和文档 。 该标准将以上 4个方面分为 7个安全级别,从低到高依
次为 D,C1,C2,B1,B2,B3和 A级 。
1987年, 可信网络解释, ( TNI) 红皮书
2.欧洲 ITSEC ITSEC与 TCSEC不同,它并不把保密措施直接与计
算机功能相联系,而是只叙述技术安全的要求,把保密作为安全
增强功能 。 TCSEC把保密作为安全的重点,而 ITSEC则把完整性,
可用性与保密性作为同等重要的因素 。 ITSEC定义了从 E0级 (不
满足品质 )到 E6级 (形式化验证 )的 7个安全等级,对于每个系统,
安全功能可分别定义 。 ITSEC预定义了 10种功能,其中前 5种与
桔皮书中的 C1~ B3级相似 。
二、计算机系统安全的概念
51
4、国内安全标准与实施
,计算机信息系统安全保护等级划分准则, 已经正式颁布, 并
于 2001年 1月 1日起实施 。 该准则将信息系统安全分为 5个等级,
( 参见 P174)
自主保护级:相当于 C1级
系统审计保护级:相当于 C2级
安全标记保护级:相当于 B1级 属于强制保护
结构化保护级,相当于 B2级
访问验证保护级:相当于 B3~A1级
实际应用中主要考核的安全指标有身份认证, 访问控制, 数据
完整性, 安全审计, 隐蔽信道分析等 。
二、计算机系统安全的概念
52
4、国内安全标准与实施
1.身份认证,通过标识鉴别用户的身份,防止攻击者
假冒合法用户获取访问权限 。 重点考虑用户, 主机和
节点的身份认证 。
2.访问控制,访问控制根据主体和客体之间的访问
授权关系, 对访问过程做出限制, 可分为自主访问控
制和强制访问控制 。 自主访问控制主要基于主体及其
身份来控制主体的活动, 能够实施用户权限管理, 访
问属性 (读, 写及执行 )管理等 。 强制访问控制则强调
对每一主, 客体进行密级划分,并采用敏感标识来标
识主, 客体的密级 。
二、计算机系统安全的概念
53
4、国内安全标准与实施
3.数据完整性,信息在存储, 传输和使用中不被篡改 。
4.安全审计,通过对网络上发生的各种访问情况记录
日志,并统计分析,对资源使用情况进行事后分析,这
是发现和追踪事件的常用措施 。 审计的主要对象为用
户, 主机和节点,内容为访问的主体, 客体, 时间和
成败情况等 。
5.隐蔽信道分析,隐蔽信道是指以危害网络安全策略
的方式传输信息的通信信道 。 这是网络遭受攻击的原
因之一 。 采用安全监控, 定期对网络进行安全漏洞扫
描和检测, 加强对隐蔽信道的防范 。
二、计算机系统安全的概念
54
4、国内安全标准与实施
相关的信息安全法规有,保密法规, 管理办法, 技术规范
1) 中国计算机信息网络国际联网管理暂行规定
2) 计算机信息系统国际联网保密暂行规定
3) 中国计算机信息网络国际联网管理暂行规定实施办法
4) 计算机信息系统安全专用产品检测和许可证管理办法
5) 公安部关于对国际联网的计算机信息系统进行备案工作
的通知
6) 计算机信息网络国际联网安全保护管理办法
二、计算机系统安全的概念
55
4、国内安全标准与实施
7) 计算机软件保护条例
8) 商用密码管理条例
9) 国家秘密法
10) 中华人民共和国计算机信息系统安全保护条例
11) 中华人民共和国国家安全法
12) 电子计算机机房设计规范 ( GB50173-93)
13) 计算站场地技术条件 ( GB2887-89)
计算站场地安全要求 ( GB9361-88)
二、计算机系统安全的概念
56
1、安全威胁
安全威胁,对安全的一种潜在的侵害 。 威胁的实施称为攻击 。
计算机系统安全面临的威胁主要表现在三类:
1,泄漏信息,指敏感数据在有意或无意中被泄漏出去或丢失,
它通常包括, 信息在传输中丢失或泄漏, 信息在存储介质中丢
失或泄漏 。
2,破坏信息,以非法手段窃得对数据的使用权, 删除, 修改,
插入或重发某些重要信息, 以取得有益于攻击者的响应;恶意
添加, 修改数据, 以干扰用户的正常使用 。
3,拒绝服务,它不断对网络服务系统进行干扰, 影响正常用
户的使用, 甚至使合法用户被排斥而不能进入计算机网络系统
或不能得到相应的服务 。
三、安全威胁
57
2、威胁的种类
危害计算机网络安全的因素分 自然 和 人为 两类 。 自然因素包括
温度, 湿度, 灰尘, 雷击, 静电, 水灾, 火灾, 地震, 空气污
染和设备故障等因素, 人为因素又有无意和故意之分, 例如由
于误操作删除了数据的疏忽和过失, 而人为故意的破坏如黑客
行为 。 信息受到侵犯的典型来源分布如下:
人为错误 ---- 35%
人为忽略 ---- 25%
不满意的雇员 ---- 15%
外部攻击 ---- 10%
火灾, 水灾 ---- 10%
其他 ---- 5%
三、安全威胁
58
2、威胁的种类
1,按威胁的 来源 可分为内部威胁和外部威胁;
内部威胁,系统的合法用户以非授权方式访问系统 。
多数已知的计算机犯罪都和系统安全遭受损害的内部
攻击有密切的关系 。
防止内部威胁的保护方法,
a.对工作人员进行仔细审查;
b.仔细检查硬件, 软件, 安全策略和系统配制, 以便
在一定程度上保证运行的正确性 (称为可信功能度 );
c.审计跟踪以提高检测出这种攻击的可能性 。
三、安全威胁
59
2、威胁的种类
外部威胁,外部威胁的实施也称远程攻击 。
外部攻击可以使用的办法,
a.搭线 (主动的与被动的 );
b.截取辐射 ;
c.冒充为系统的授权用户,或冒充为系统的组成部分 ;
d.为鉴别或访问控制机制设置旁路 。
三、安全威胁
60
2、威胁的种类
2,从威胁的 动机 上看可以分为偶发性与故意性;
偶发性威胁:指那些不带预谋企图的威胁, 包
括自然灾害, 系统故障,操作失误和软件出错 。
故意性威胁:指对计算机系统的有意图, 有目
的的威胁 。 范围可使用简单的监视工具进行随
意的检测, 或使用特别的系统知识进行精心的
攻击 。 一种故意的威胁如果实现就可认为是一
种, 攻击,,, 入侵, 。
三、安全威胁
61
2、威胁的种类
3,从威胁造成的 结果 可分成主动 /被动威胁 。
被动威胁, 对信息的非授权泄露但是未篡改任
何信息, 并 且系统的操作与状态也不受改变 。
例:搭线窃听 。
主动威胁, 对系统的状态进行故意地非授权改
变 。 包括:系统中信息, 状态或操作的篡改 。
比如:非授权的用户改动路由选择表 。
例, 篡改消息, 重发消息, 插入伪消息, 冒充
已授权实体以及服务拒绝等 。
三、安全威胁
62
3、威胁的表现形式
威胁的表现形式
假冒
未授权访问
拒绝服务 ( DoS)
否认 ( 抵赖 )
窃听
篡改
三、安全威胁
复制与重放 ( 重演 )
陷井门
特洛伊木马
业务流量流向分析攻击
入侵
63
3、威胁的表现形式
目前我国信息系统面临的安全威胁有:
不良信息的入侵和污染;
黑客和计算机犯罪;信息间谍的潜入;信息战;
网络病毒;
机要信息的扩散;
信息网络的脆弱性;
信息系统装备过分依赖国外产品;
三、安全威胁
64
4、威胁评估
系统的安全特性通常会提高系统的造价, 并
且可能使该系统难于使用 。 所以, 在设计一
个安全系统之前, 应该明确哪些具体威胁需
要保护措施来对付 。 这叫做威胁评估 。 关于
威胁评估的范围包括,
a.该系统的薄弱环节;
b.利用这些薄弱环节进行威胁的可能性;
c.评估每种威胁实施成功的后果;
三、安全威胁
65
4、威胁评估
d.评估每种攻击的代价;
e.估算可能的应付措施的费用;
f.选取恰当的安全机制 (使用价值效益分析 )。
非技术性措施:例如交付保险, 对于技术性安
全措施而言在价值上也可能是一种有效的选择 。
技术上要做到完全安全好比要做到安全的
物理保护, 同样是不可能 。 所以, 目标应该是
使攻击所化的代价足够高而把风险降低到可接
受的程度 。
三、安全威胁
66
1、信息系统安全技术分类
建立信息安全保障体系 ( PDR体系 ), 需要从边
界防卫, 检测和安全反应等着手 。 信息安全技
术开始从边界防卫向 PDR综合技术方向发展 。
1) 边界防卫技术 (protection):
界定网络信息系统的边界较困难 。 将安全边界
设在需要保护的信息周边, 例如存储和处理信
息的计算机系统的外围, 重点阻止诸如冒名顶
替, 线路窃听等试图, 越界, 的行为, 相关的
技术包括数据加密, 数据完整性, 数字签名,
主体认证, 访问控制和公证仲裁等 。
四、信息系统安全技术
67
1、信息系统安全技术分类
边界防卫技术主要提高抵御能力 。 可分为物
理实体的防护技术和信息防护 ( 防泄露, 防破
坏 ) 技术 。
物理实体的防护技术:
主要是对有形的信息载体实施保护, 使之不
被窃取, 复制或丢失 。 如磁盘信息消除技术,
室内防盗报警技术, 密码锁, 指纹锁, 眼底锁
等 。 信息载体的传输, 使用, 保管, 销毁等各
个环节都可应用这类技术 。
四、信息系统安全技术
68
1、信息系统安全技术分类
信息防护技术,主要是对信息的处理过程和传
输过程实施保护, 使之不被非法入侵, 外传,
窃听, 干扰, 破坏, 拷贝 。
信息处理 的防护主要有二种技术:一种是 软硬
件加密 保护技术, 如口令字验证, 数据库存取
控制, 审计跟踪, 密码技术, 防病毒技术等;
另一种是 网络保密 技术, 主要指用于防止内部
网秘密信息非法外传的保密网关, 安全路由器,
防火墙等 。
四、信息系统安全技术
69
1、信息系统安全技术分类
信息传输 的防护也有两种技术:一种是对
信息传输信道采取措施, 如 专网通信 技术,
跳频通信技术, 光纤通信技术, 辐射屏蔽
和干扰技术等;另一种是对传递的信息使
用 密码技术 进行加密, 使窃听者即使截获
信息也无法知悉其真实内容 。 常用的加密
设备有电话保密机, 传真保密机, IP密码
机, 线路密码机, 电子邮件密码系统等 。
70
1、信息系统安全技术分类
2) 检测技术 (detection)
系统运行过程中, 检测信息是否被窃取, 系
统是否遭到入侵, 并找出泄漏的原因和攻击的
来源 。 如计算机网络入侵检测技术, 信息传输
检查技术, 电子邮件监视技术, 电磁泄漏辐射
检测技术, 屏蔽效果测试技术, 磁介质消磁效
果验证技术, 解密技术等 。
四、信息系统安全技术
71
1、信息系统安全技术分类
入侵检测技术是发现, 敌方, 渗透企
图和入侵行为的技术 。 现实情况表明, 网
络信息系统越来越复杂, 系统设计漏洞和
管理漏洞层出不穷 。 在近年发生的网络攻
击事件中, 突破边界防卫系统的案例并不
多见, 黑客们的攻击行动主要是利用各种
漏洞长驱直入, 使边界防卫设施形同虚设 。
72
1、信息系统安全技术分类
3) 安全反应技术 ( reaction)
将, 敌方, 攻击危害降低到最小限度的技
术 。 安全的网络信息系统必须具备在被攻陷后
迅速恢复的能力 。 快速响应与恢复的目标是要
在开放的互联网环境下构建基于生存性的多样
化动态漂移网络, 其中分布式动态备份的技术
与方法, 动态漂移与伪装技术, 各种灾难的快
速恢复与修复算法,, 诱敌深入, 与防守反击
技术等是较有希望的研究方向 。
四、信息系统安全技术
73
1、信息系统安全技术分类
四、信息系统安全技术
实时防御
常规评估
综
合
安
全
保
障
体
系
基础设施
入侵检测
应急响应
灾难恢复
防守反击
攻击特征库
隐患数据库
威胁评估数据库
74
综合安全保障体系:实时防御, 常规评估和基础设
施 。
实时防御:入侵检测, 应急响应, 灾难恢复和防守
反击等 。 入侵检测模块对通过防火墙的数据流进一
步检查, 阻止恶意攻击;应急响应模块对攻击事件
进行应急处理;灾难恢复模块按照策略对遭受破坏
的信息进行恢复;防守反击模块按照策略实施反击 。
常规评估:利用脆弱性数据库检测系统存在的安全
隐患, 为实时防御系统提供策略调整依据 。
基础设施:由攻击特征库, 隐患数据库, 威胁评估
数据库等 。 支撑实时防御和常规评估系统 。
四、信息系统安全技术
75
2、安全技术的特征
对抗性 。 防护技术与攻击技术相伴而生, 相对
抗而存在和发展 。
多样性 。 涉及的技术种类多, 如涉及有线无线
通信技术, 计算机技术, 电子技术, 电磁兼容
技术, 密码技术, 机械化工技术等;服务对象
多, 服务范围广, 涉及到办公自动化的所有设
备和人类信息交流的全过程 。
秘密性 。 攻击者和防护者总是力图隐蔽自己所
采用的技术手段和方法, 避免对方有针对性地
采用更先进的技术措施 。
四、信息系统安全技术
76
计算机系统安全应解决的问题
计算机系统安全主要应解决好以下五个问题:
1, 物理链路的安全, 通过采用链路加密, 专
网技术和通信线路管制的手段提高通信线路的
安全防护能力;
2, 系统的安全, 通过采用技术手段和防护设
备提高系统对攻击者的抵御能力;
3, 信息的安全, 通过采用加密手段确保计算
机系统中存储, 处理, 传输的信息不被非法访
问, 截收, 更改, 复制, 破坏, 删除;
五、计算机系统安全应解决的问题
77
计算机系统安全应解决的问题
4, 设备环境的安全, 通过一定的技术
手段确保信息设备的电磁泄漏辐射符合
保密标准, 安放设备的房间安全可靠等;
5, 技术手段与管理, 教育相结合, 通
过健全法律, 规章制度和加强思想教育
杜绝管理上的漏洞和思想认识上的漏洞 。
78
1、安全策略
安全保护机构
六、安全体系结构
79
1、安全的体系结构
网络安全贯穿于整个 7层模型 。 针对 TCP/IP协议,
网络安全应贯穿于信息系统的 4个层次 。
下图表示了对应网络的安全体系层次模型:
六、安全体系结构
会话层
应
用
层
应用系统
应用平台
网络层
链路层
物理层
会话安全
应
用
层
应用系统安全
应用平台安全
安全路由 /访问机制
链路安全
物理层信息安全
80
1、安全的体系结构
物理层的安全:物理层信息安全, 主要防止物理通路
的损坏, 窃听, 干扰等 。
链路层的安全:链路层的网络安全需要保证通过网络
链路传送的数据不被窃听 。 主要采用划分 VLAN( 局域
网 ), 加密通讯 ( 远程网 ) 等手段 。
网络层的安全:网络层的安全需要保证网络只给授权
的客户使用授权的服务, 保证网络路由正确, 避免被
拦截或监听 。
操作系统的安全:操作系统安全要求保证客户资料,
操作系统访问控制的安全, 同时能够对该操作系统上
的应用进行审计 。
六、安全体系结构
81
1、安全的体系结构
应用平台的安全:应用平台指建立在网络系统之上的
应用软件服务, 如数据库服务器, 电子邮件服务器,
Web服务器等 。 由于应用平台的系统非常复杂, 通常
采用多种技术 ( 如 SSL等 ) 来增强应用平台的安全性 。
应用系统的安全:应用系统完成网络系统的最终目
标 —— 为用户服务 。 应用系统的安全与系统设计和实
现关系密切 。 应用系统使用应用平台提供的安全服务
来保证基本安全, 如通讯内容安全, 通讯双方的认证,
审计等手段 。
六、安全体系结构
82
2、全方位的安全体系
网络信息系统的安全体系包含:
访问控制,通过对特定网段, 服务建立的访问控制体
系, 将绝大多数攻击阻止在到达攻击目标之前 。
检查安全漏洞,通过对安全漏洞的周期检查, 即使攻
击可到达攻击目标, 也可使绝大多数攻击无效 。
攻击监控,通过对特定网段, 服务建立的攻击监控体
系, 可实时检测出绝大多数攻击, 并采取相应的行动
( 如断开网络连接, 记录攻击过程, 跟踪攻击源等 ) 。
认证,良好的认证体系可防止攻击者假冒合法用户 。
六、安全体系结构
83
2、全方位的安全体系
备份和恢复,良好的备份和恢复机制, 可在攻
击造成损失时, 尽快地恢复数据和系统服务 。
多层防御,攻击者在突破第一道防线后, 延缓
或阻断其到达攻击目标 。
隐藏内部信息,使攻击者不能了解系统内的基
本情况 。
设立安全监控中心,为信息系统提供安全体系
管理, 监控, 救护及紧急情况服务 。
六、安全体系结构
84
安全体系的三维结构
85
安全服务
? 保密服务 信封 隐蔽墨迹;数据流 /业务流
? 完整性服务 不可涂改墨迹; 例,ATM取款
? 认证服务 身份证; 实体 数据源认证
? 访问控制 锁、卫兵; 授权访问 /安全路径
? 抗抵赖服务 公证、签字; 对合法用户
安全服务与安全机制的关系:多对多
86
安全机制
? 加密
? 数字签名
? 访问控制
? 数据完整性
? 交换鉴别
? 业务流量填充
? 路由控制
? 公证
87
2、全方位的安全体系
安全的管理因素
安全可以采用多种技术手段 。 但是, 很多安全
威胁来源于管理上的松懈及对安全威胁的认识 。
安全威胁主要利用以下途径:系统实现存在的
漏洞;系统安全体系的缺陷;使用人员的安全
意识薄弱;管理制度的薄弱 。
严格的管理能增强系统的安全性, 及时发现隐
患;管理包括:员工安全教育;健全安全管理
机构;人事管理制度;明确安全管理原则 。
六、安全体系结构
88
2、全方位的安全体系
安全管理原则 防范内部作案
?多人负责原则 相互制约
?任期有限原则 防作弊, 不定期轮换
?职责分离原则 避免利用职务之便
六、安全体系结构
89
2、全方位的安全体系
操作与编程
安全管理与系统管理
应用程序与系统程序的编制
机密资料的接收与传送
2
计算机系统安全涉及的领域
? 综合、交叉的学科:
密码学理论、计算机网络、操作系统、
数据库技术、安全协议,通信技术、
电子技术。
安全体系结构
安全的策略与管理,安全风险分析
与计算机安全有关的法律问题
3
课程内容
? 计算机安全概述
? 物理安全
? 网络平台安全
? 加密技术
? 数字签名
? 认证
? 访问控制
4
课程内容
? Web安全技术
? 协议安全
? 防火墙技术
? 威胁与攻击
? 病毒防治
? 入侵检测
? 安全管理与安全策略
5
计算机系统安全
第一讲
计算机系统安全概述
6
计算机系统安全概述
? 计算机系统安全的现状
? 计算机系统安全的概念
? 安全威胁
? 信息系统安全技术
? 计算机系统安全应解决的问题
? 安全的体系结构
7
1、背景
信息技术,成为信息时代的核心技术和中坚力
量,它影响和决定着现代技术的走向,信息技
术正是各科技术的领头羊。
信息产业, 电子商务、电子政务、电子税务、
电子海关、网上银行、电子证券、网络书店、
网上拍卖、网络防伪、网上选举等等,网络信
息系统将在政治、军事、金融、商业、交通、
电信、文教等方面发挥越来越大的作用。
网上资源越来越丰富
一、计算机系统安全的现状
8
1、背景
网络的复杂性
1,局域网联入广域企业网中。
2,向商业伙伴(客户、供应商)开放自己的网络。
3,外部网接入 Internet 。
内部网络资源提供给日益增多的机构内部、外部人员。
随着接触网络的人增加,保护网络资源免受侵犯成为
最为关注的问题。
网络越来越庞大
一、计算机系统安全的现状
9
1、背景
Internet的四个特点:国际化、社会化、开放化、个人化。
国际化,网络的攻击不仅仅来自本地网络的用户,它可以来
自 Internet上的任何一个机器。
社会化,全球信息化飞速发展,信息化系统已经成为国家关
键基础设施,诸如电信、电子商务、金融网络等,社会对计
算机网络的依赖日益增强。
开放化,网络的技术是全开放的,任何一个人、团体都可能
获得。开放性和资源共享是网络安全的根源。
个人化,随着网络应用的深入,人类的生活越来越离不开网
络,人们可以自由地访问网络,自由地使用和发布各种类型
的信息,但同时也面临着来自网络的安全威胁
一、计算机系统安全的现状
10
2、安全问题
1986 年 Basit和 Amjad两兄弟编写的 Pakistan 病毒 ( brain)。
1988年美国康乃尔大学 Morris编制的蠕虫病毒通过英特网传播
1996年 8月 17日, 美国司法部网页被改为, 不公正部,, 希特
勒
1996年 9月 18日,, 中央情报局, ?,中央愚蠢局,
1996年 12月, 黑客侵入美国空军的全球网网址并将其主页肆
意改动, 迫使美国国防部一度关闭了其他 80多个军方网址 。
1998年 10月 27日, 刚刚开通的, 中国人权研究会, 网页, 被
,黑客, 严重纂改 。
2000年春节期间黑客攻击以 Yahoo和新浪等为代表的国内外著
名网站,造成重大经济损失 。
E-mail侵权案件, 泄密事件不断
一、计算机系统安全的现状
11
2、安全问题
一、计算机系统安全的现状
2001年南海撞机事件引发中美黑客大战。
12
2、安全问题
一、计算机系统安全的现状
入侵者是谁?网络恐怖分子(黑客)、信息战部队
现在, 黑客, 一词在信息安全范畴内的普遍含意是特指对
电脑系统的非法侵入者。
黑客 (hacker):对技术的局限性有充分认识,具有操作系
统和编程语言方面的高级知识,热衷编程,查找漏洞,表
现自我。他们不断追求更深的知识,并公开他们的发现,
与其他人分享;主观上没有破坏数据的企图。
骇客( cracker):以破坏系统为目标。
,红客, honker,中国的一些黑客自称, 红客, honker。
美国警方:把所有涉及到 "利用 ","借助 ","通过 "或 "阻挠 "
计算机的犯罪行为都定为 hacking。
13
2、安全问题
1,计算机犯罪的种类 双重说:工具 对象
计算机犯罪是一种新的犯罪形态 。 归纳为四种:
破坏计算机,是指以计算机作为犯罪行为客体, 加以暴力或技
术性的破坏 。
擅用信息系统,是指无权使用信息系统的人擅自使用 。
滥用信息系统,是指以计算机为工具, 进行欺诈, 侵占, 散布
非法信息等各种犯罪目的之行为 。
破坏安全系统,是指以技术性的方法破坏信息系统在安全方面
所采取的措施 。
一、计算机系统安全的现状
14
2、安全问题
2,计算机犯罪的特点
计算机犯罪集中在机密信息系统和金融系统两方面 。
计算机犯罪与传统的犯罪相比有许多不同的特点:
危害性,犯罪后果严重 。 成本低, 传播快, 范围广 。
知识性,智慧型白领犯罪, 年轻, 专业化 。
隐蔽性,侦破与取证困难 。
广域性,作案场所不受地理区域的限制 。
一、计算机系统安全的现状
15
3、安全隐患
a)硬件 的安全隐患;
b)操作系统安全隐患;
c) 网络协议的安全隐患;
d)数据库系统安全隐患;
e) 计算机病毒;
f) 管理疏漏, 内部作案 。
一、计算机系统安全的现状
16
3、安全隐患
a) 硬件设备 的安全隐患
CPU:
Intel公司在奔腾 III CPU中加入处理器序列号, 因 此
Intel涉嫌干涉个人隐私, 但要害问题则是政府机关,
重要部门非常关心由这种 CPU制造的计算机在处理
信息或数据时所带来的信息安全问题, 即这种 CPU
内含有一个全球唯一的序列号, 计算机所产生的文
件和数据都会附着此序列号, 因而由此序列号可以
追查到产生文件和数据的任何机器 。
一、计算机系统安全的现状
17
3、安全隐患
网络设备,
我国计算机网络使用的绝大部分网络设备, 如路由器,
集线器, 交换机, 服务器, 以及网络软件等都是进口
的, 其安全隐患不容忽视 。 一些交换机和路由器具有
远程诊断 和服务功能, 既然可以远程进入系统服务,
维修故障, 也就可以远程进入系统了解情报, 越权控
制 。 更有甚者, 国外一著名网络公司以 "跟踪服务 "为
由, 在路由器中设下 "机关 ",可以将网络中用户的包
信息同时送一份到其公司总部 。
一、计算机系统安全的现状
18
3、安全隐患
b)操作系统安全隐患
计算机操作系统历来被美国一些大公司所垄断,
但这些操作系统的源程序都是不公开的, 在安
全机制方面存在着诸多漏洞和隐患 。 计算机黑
客能轻而易举地从 "后门 "进入系统, 取得系统
控制权, 并危及计算机处理或存储的重要数据 。
如 Windows95存在两千多处缺陷 。
一、计算机系统安全的现状
19
3、安全隐患
b)操作系统安全隐患 —— OS的体系结构造成其本身不安全
1,I/O,系统服务程序等都可用打补丁方式进行动态连接 。 厂
商用这种方式升级, 而攻击者也用此方法 。
2,为了实现通用性, 可裁剪 性, 能够安装其他公司的软件包,
这些软件包往往是操作系统的一部分, 需要与操作系统同样的
访问特权, 安装这些软件包的, 抓钩, 程序就是非法攻击者入
侵操作系统的陷门 。
3,网络上进行文件传输, 加载将带来安全隐患 。 另外, 能进
行远程进程的创建与激活, 这为安装, 间谍, 软件提供了条件 。
4,操作系统存在隐蔽信道:进程间通过不受强制访问控制保
护的通信途径 。
一、计算机系统安全的现状
20
3、安全隐患
c)网络协议的安全隐患
网络协议也都由美国等国家开发或制定标准 。
其 安全机制也存在先天不足, 协议还具有许多安全漏
洞, 为攻击者提供了方便, 如地址欺骗等 。 Internet
应用协议中缺乏认证, 保密等措施, 也使攻击者比较
容易得手 。
TCP/IP协议安全漏洞, 包监视, 泄露, 地址欺骗, 序
列号攻击, 路由攻击, 拒绝服务, 鉴别攻击 。
应用层安全隐患,Finger,FTP,Telnet,E-mail、
SNMP,RPC,NFS
一、计算机系统安全的现状
21
3、安全隐患
d)数据库系统安全隐患
由于数据库平台全系引进, 尽管厂商声称具有安全机
制, 但对国内用户犹如一个 "黑匣子 "。
数据库的攻击分直接攻击和间接攻击两大类 。 直接攻
击是通过查询以得到几个记录来直接搜索并确定敏感
字段的值, 最成功的技术是形成一种特定的查询它恰
与一个数据项相匹配 。 间接攻击是依据一种或多种统
计值推断出结果 。 统计攻击通过使用某些明显隐匿的
统计量来推导出数据, 例如使用求和等统计数据来得
到某些数据 。
一、计算机系统安全的现状
22
3、安全隐患
e)计算机病毒威胁
计算机病毒是一种能够进行自我复制的程序, 可以通
过多种方式植入计算机中, 通过 Internet网植入病毒
更容易 。 病毒运行后可能损坏文件, 使系统瘫痪, 造
成各种难以预料的后果 。 由于在网络环境下, 计算机
病毒具有不可估量的威胁性和破坏力, 因此计算机病
毒的防范是网络安全性建设中重要的一环 。 新的病毒
不仅删除文件, 使数据丢失, 甚至破坏系统硬件, 可
以造成巨大损失 。 1998年美国 "莫里斯 "病毒发作, 一
天之内使 6000多台计算机感染, 损失达 9000万美元 。
一、计算机系统安全的现状
23
3、安全隐患
f) 管理疏漏, 内部作案 。
据权威资料片, 筑起网上长城, 介绍, 互联网
上的计算机犯罪, 黑客攻击等非法行为70 %
来自于内部网络 。 金融, 证券, 邮电, 科研院
所, 设计院, 政府机关等单位几乎是天生的受
攻击者, 内部人员对本单位局域网的熟悉又加
剧了其作案和被外部人勾结引诱的可能性 。
一、计算机系统安全的现状
24
4、我国信息安全现状
一、计算机系统安全的现状
统计数据 2000/07 2001/1 2001/07
上网计算机数 ( 万台 ) 650 892 1002
上网用户人数 ( 万人 ) 1690 2250 2650
CN下注册的域名总数 ( 个 ) 99734 122099 128362
WWW站点数 ( 个 ) 27289 265405 242739
我国国际线路的总容量 ( M) 1234 2799 3257
其
中
中国科技网 ( CSTNET) ( M) 10 55 55
中国公用计算机互联网 ( CHINANET) M 711 1953 2387
中国教育和科研计算机网 ( CERNET) M 12 117 117
中国金桥信息网 ( CHINAGBN) ( M) 69 148 151
中国联通互联网 ( UNINET) ( M) 55 55 100
中国网通 (CNCNET)( M) 377 377 355
中国国际经济贸易互联网 ( CIETNET) M 4 2
中国移动互联网 ( CMNET) ( M) 90 90
中国长城互联网 ( CGWNET) ( 建设中 )
中国卫星集团互联网 ( CSNET) ( 建设中 )
25
4、我国信息安全现状
一、计算机系统安全的现状
用户认为目前网上交易存在的最大问题是:
安全性得不到保障,33.4%
付款不方便,11.5%
产品质量、售后服务及厂商信用得不到保障,33.0%
送货耗时、渠道不畅,8.7%
价格不够诱人,6.6%
网上提供的信息不可靠,6.0%
其它,0.8%
26
4、我国信息安全现状
一、计算机系统安全的现状
在一年内用户计算机被入侵的情况:
被入侵过,47.1%
没有被入侵过,43.0%
不知道,9.9%
对于电子邮件帐号,用户多久换一次密码:
1个月,8.8%
3个月 --半年,21.4%
半年 --1年,19.7%
一直不换, 50.1%
27
4、我国信息安全现状
一、计算机系统安全的现状
在网上用户主要采取什么安全措施:
密码加密, 36.9%
防病毒软件,74.5%
防火墙,67.6%
电子签名, 7.3%
不清楚,由系统管理员负责,7.4%
什么措施都不采用, 3.6%
28
4、我国信息安全现状
2000年 5月出版的《国家信息安全报告》指出,我国
目前的信息安全度介于相对安全与轻度不安全之间。
如按安全度满分为 9分的话,我们的分值约在 5.5分。
1,信息与网络安全的防护能力较弱。
对我国金融系统计算机网络现状,专家们有一形象的
比喻:用不加锁的储柜存放资金(网络缺乏安全防
护);让, 公共汽车, 运送钞票(网络缺乏安全保
障);使用, 邮寄, 传送资金(转账支付缺乏安全渠
道);用, 商店柜台, 存取资金(授权缺乏安全措
施);拿, 平信, 邮寄机密信息(敏感信息缺乏保密
措施)等。
一、计算机系统安全的现状
29
4、我国信息安全现状
2,对引进的信息技术和设备缺乏保护信息安全所必
不可少的有效管理和技术改造。
我国从发达国家和跨国公司引进和购买了大量的信息
技术和设备。在这些关键设备如电脑硬件、软件中,
有一部分可能隐藏着, 特洛伊木马,,对我国政治、
经济、军事等的安全存在着巨大的潜在威胁。但由于
受技术水平等的限制,许多单位和部门对从国外,特
别是美国等引进的关键信息设备可能预做手脚的情况
却无从检测和排除,以致我们许多单位和部门几乎是
在, 抱着定时炸弹, 工作。
一、计算机系统安全的现状
30
4、我国信息安全现状
3,基础信息产业薄弱,核心技术严重依赖国外。
硬件:电脑制造业有很大的进步,但其中许多核心部
件都是原始设备制造商的,我们对其的研发、生产能
力很弱,关键部位完全处于受制于人的地位。
软件:面临市场垄断和价格歧视的威胁。美国微软几
乎垄断了我国电脑软件的基础和核心市场。离开了微
软的操作系统,国产的大多软件都失去了操作平台。
缺乏自主知识产权产品
一、计算机系统安全的现状
31
4、我国信息安全现状
4,信息安全管理机构缺乏权威。
信息安全特别是在经济等领域的安全管理条块分割、相互隔离,
缺乏沟通和协调。没有国家级的信息安全最高权威机构以及与
国家信息化进程相一致的信息安全工程规划。
目前国家信息安全的总体框架已经搭就。已制定报批和发布了
有关信息技术安全的一系列的国家标准、国家军用标准。国家
信息安全基础设施正在逐步建成包括国际出入口监控中心、安
全产品评测认证中心、病毒检测和防治中心、关键网络系统灾
难恢复中心、系统攻击和反攻击中心、电子保密标签监管中心、
网络安全紧急处置中心、电子交易证书授权中心、密钥恢复监
管中心、公钥基础设施与监管中心、信息战防御研究中心等。
一、计算机系统安全的现状
32
4、我国信息安全现状
5,信息犯罪在我国有快速发展之趋势。
西方一些国家采取各种手段特别是电子信息手段来窃
取我国的各类机密,包括核心机密。此外,随着信息
设备特别是互联网的大幅普及,各类信息犯罪活动亦
呈现出快速发展之势。以金融业计算机犯罪为例,从
1986年发现第一起银行计算机犯罪案起,发案率每年
以 30%的速度递增。近年来,境外一些反华势力还在
因特网上频频散发反动言论,而各种电脑病毒及黑客
对计算机网络的侵害亦屡屡发生。据不完全统计,我
国目前已发现的计算机病毒约有 2000~ 3000多种,而
且还在以更快的速度增加着。
一、计算机系统安全的现状
33
4、我国信息安全现状
6,信息安全技术及设备的研发和应用有待提高
近年来, 我国在立法和依法管理方面加大力度, 推进计算机信
息网络安全技术和产品的研究, 开发和应用, 建立了计算机病
毒防治产品检验中心, 计算机信息系统安全专用产品质量检验
中心, 加强了对计算机信息网络安全产品的管理 。 目前, 我国
信息网络安全技术及产品发展迅速, 其中, 计算机病毒防治,
防火墙, 安全网管, 黑客入侵检测及预警, 网络安全漏洞扫描,
主页自动保护, 有害信息检测, 访问控制等一些关键性产品已
实现国产化 。 但是, 正如, 国家信息安全报告, 强调指出的:
,这些产品安全技术的完善性, 规范性, 实用性还存在许多不
足, 特别是在多平台的兼容性, 多协议的适应性, 多接口的满
足性方面存在很大距离, 理论基础和自主技术手段也需要发展
和强化 。,
一、计算机系统安全的现状
34
1、安全的概念
计算机系统安全是一个涉及计算机科学, 网络技术,
通信技术, 密码技术, 信息安全技术, 应用数学, 数
论, 信息论等多种学科的边缘性综合学科 。
几种安全性 ( 概念范围 小 ?大 ),
密码安全:通信安全的核心
计算机安全:
网络安全:
信息安全:
二、计算机系统安全的概念
35
1、安全的概念
信息系统的构成:
a) 信道:数据流的载体;
b) 网络:提供各实体间数据的交换;
c) 传输协议:信息交换的特定, 语言, ;
d) 主机系统:数据到信息的转换, 处理, 存储;
e) 数据库系统:信息的组织机构;
f) 应用系统:信息价值的最终体现;
二、计算机系统安全的概念
36
1、安全的概念
受安全问题影响的资源:
1 ) 硬件,CPU,电路板, 键盘, 终端, 工作站, 个人计算机,
打印机, 磁盘驱动器, 通信线, 通信控制器, 终端服务器, 网
络连接设备 。
2) 软件:源程序, 目标程序, 开发工具, 诊断程序, 操作系
统, 通信程序 。
3) 数据:执行过程中的数据, 存储数据, 存档数据, 预算记
录, 数据库, 通信媒体的传输数据 。
4) 人员:用户, 需要运行系统的人 。
5) 文档:程序, 硬件上的, 系统里的文档 。
6) 耗材:纸, 表格, 色带, 磁带 。
二、计算机系统安全的概念
37
1、安全的概念
ISO将, 计算机安全, 定义为:, 为数据处理系统建立和采取
的技术和管理的安全保护, 保护计算机硬件, 软件数据不因偶
然和恶意的原因而遭到破坏, 更改和泄露 。, —— 静态信息保
护 。 另一种定义:, 计算机的硬件, 软件和数据受到
保护, 不因偶然和恶意的原因而遭到破坏, 更改和泄露, 系统
连续正常运行 。, —— 动态意义描述 。
从用户角度:保护利益, 隐私;存储, 传输安全 。
从运行管理角度:正常, 可靠, 连续运行 。
从国家, 社会:过滤有害信息 。
二、计算机系统安全的概念
38
1、安全的概念
信息安全的概念:保密性 ?完整性, 可用性, 不可否认性 。
美国由军方到社会全面推出了, 信息安全保障体系, 概念,
概括了网络安全的全过程, 即 边界防卫, 入侵检测, 安全反应
和破坏恢复 ;
,信息保障体系, 不能仅从技术的角度思考, 还有一个社会管
理层面更高层次的问题:
1,全社会的综合集成安全体系;它建筑在安全技术的平台上,
以各部门形成合力为特征, 不是各部门功能的简单叠加, 而是
在统一领导下的有机组合 。
2,安全策略的制定 根本原则 —— 责任 ( accountability)
3,法律, 制度, 管理, 技术;
二、计算机系统安全的概念
39
1、安全的概念
安全的内涵 ( 要素 ), 机密性 confidentiality,完整性 integrity、
可用性 availability,可控性与可审查性 。
1,机密性:确保信息不暴露给未授权的实体或进程 。 加密机
制 。 防泄密
2,完整性:只有得到允许的人才能修改实体或进程, 并且能
够判别出实体或进程是否已被修改 。 完整性鉴别机制, 保证只
有得到允许的人才能修改数据 。 防篡改
数据完整, hash; 数据顺序完整, 编号连续, 时间正确 。
3,可用性:得到授权的实体可获得服务, 攻击者不能占用所
有的资源而阻碍授权者的工作 。 用 访问控制机制, 阻止非授权
用户进入网络 。 使静态信息可见, 动态信息可操作 。 防中断
二、计算机系统安全的概念
40
1、安全的概念
4,可控性, 可控性主要指对危害国家信息 ( 包括利
用加密的非法通信活动 ) 的监视审计 。 控制授权范围
内的信息流向及行为方式 。 使用授权机制, 控制信息
传播范围, 内容, 必要时能恢复密钥, 实现对网络资
源及信息的可控性 。
5,可审查性, 对出现的安全问题提供调查的依据和
手段 。 使用审计, 监控, 防抵赖等安全机制, 使得攻
击者, 破坏者, 抵赖者, 逃不脱 ",并进一步对网络出
现的安全问题提供调查依据和手段, 实现信息安全的
可审查性 。
二、计算机系统安全的概念
41
1、安全的概念
此外信息系统还应提供 认证, 访问控制, 抗抵赖 安全服务 。
认证:保证信息使用者和信息服务者都是真实可信的, 防止冒
充和重演的攻击 。 真实性
访问控制:这种服务保证信息资源不被非授权地使用 。 ( 是否
有权使用该资源 )
抗抵赖:这种服务可取二种形式 。 数字签名
1) 源发证明:提供给信息接收者以证据, 这将使发送者谎称
未发送过这些信息或者否认它的内容的企图不能得逞;
2) 交付证明:提供给信息发送者以证据, 这将使接收者谎称
未接收过这些信息或者否认它的内容的企图不能得逞 。
二、计算机系统安全的概念
42
1、安全的概念
系统的安全标准,桔皮书
美国国防部的 可信计算机系统评价准则 ( Trusted Computer
System Evaluation Criteria TCSEC) 。 按安全程度低 ->高排序
D,C1,C2,B1,B2,B3,A1。 C:酌情 B:强制 A:核实保护
D类:最低保护 。 无账户;任意访问文件 。
C1类:自决的安全保护 。 系统能够把用户和数据隔开, 用户以
根据需要采用系统提供的访问控制措施来保护自己的数据, 系
统中必有一个防止破坏的区域, 其中包含安全功能 。
C2类,访问级别控制 。 控制粒度更细, 使得允许或拒绝任何用
户访问单个文件成为可能 。 系统必须对所有的注册, 文件的打
开, 建立和删除进行记录 。 审计 跟踪必须追踪到每个用户对每
个目标的访问 。
二、计算机系统安全的概念
43
1、安全的概念
B1类:有 标签 的安全保护 。 系统中的每个对象都有一个敏感性
标签而每个用户都有一个许可级别 。 许可级别定义了用户可处
理的敏感性标签 。 系统中的每个文件都按内容分类并标有敏感
性标签, 任何对用户许可级别和成员分类的更改都受到严格控
制, 即使 文件所有者也不能随意改变文件许可权限 。
B2类:结构化保护 。 系统的设计和实现要经过彻底的测试和审
查 。 系统应结构化为明确而独立的模块, 遵循 最小特权原则 。
必须对所有目标和实体实施访问控制 。 政策, 要有专职人员负
责实施, 要进行 隐蔽信道分析 。 系统必须维护一个保护域, 保
护系统的完整性, 防止外部干扰 。
B3类:安全域 。 系统的安全功能足够小, 以利广泛测试 。 必须
满足参考监视器需求以传递所有的主体到客体的访问 。 要有安
全管理员, 安全硬件装置, 审计机制扩展到用信号通知安全相
关事件, 还要有恢复规程, 系统 高度抗侵扰 。
二、计算机系统安全的概念
44
1、安全的概念
A1类:核实保护 。 最初设计系统就充分考虑安全性 。 有, 正式
安全策略模型, 其中包括由公理组成的 形式化证明 。 系统的顶
级技术规格必须与模型相对应, 系统还包括分发控制和隐蔽信
道分析 。
隐蔽信道:
存储信道:例如:文件更新时间;是否存在;动态变化
时间信道:时钟;时间间隔
近 20年来,人们一直在努力发展安全标准,并将安全功能与安全
保障分离,制定了复杂而详细的条款 。 但真正实用, 在实践中
相对易于掌握的还是 TCSEC及其改进版本 。 在现实中,安全技术
人员也一直将 TCSEC的 7级安全划分当做默认标准 。
二、计算机系统安全的概念
45
2、安全保护的内容
计算机系统安全:物理安全, 运行安全和信息安全
物理安全:环境安全, 设备安全和媒体安全 。
运行安全:风险分析, 审计跟踪, 备份与恢复, 应急 。
信息安全:操作系统安全, 数据库安全, 网络安全, 病毒防护,
访问控制, 加密与鉴别七个方面 。
1,物理安全 ( 环境, 设备, 媒体 )
防雷电;门禁系统, 防盗, 防火, 防有害气体;防电磁泄漏 。
2,运行安全
为保障系统功能安全实现, 提供一套安全措施 ( 如风险分析,
审计跟踪, 备份与恢复, 应急 ) 来保护信息处理过程的安全 。
二、计算机系统安全的概念
46
2、安全保护的内容
风险分析,了解影响信息系统安全运行的因素和存在
的风险, 找出克服这些风险的方法 。
计算机信息系统常见的风险有:设计者有意建立或因
偶然故障而存在的, 后门, ;操作过程中的人为错误,
意外事故, 疏漏 和权限错误;硬件 故障 ;计算机系统
出错引起的拒绝使用;电磁辐射引起的 信息泄漏 ;火
灾和自然灾害; 非授权处理和恶意攻击 ;内部人员进
行数据偷窃的犯罪行为;伪造文件和记录;假冒别人
的防问代码进入系统;不准确的或过时的信息;故意
破坏;传输路径错误;搭线窃听和乘机而入;编程错
误;对已删除信息的搜寻和复原;计算机 病毒 等等 。
二、计算机系统安全的概念
47
2、安全保护的内容
审计跟踪,利用计算机信息系统所提供的审计跟踪工
具, 对计算机信息系统的工作过程进行详尽的跟踪记
录, 同时保存好审计记录和审计日志, 并从中发现和
及时解决问题, 保证计算机信息系统安全可靠地运行 。
要求系统管理员保存, 维护和管理好审计日志 。
应急措施和备份恢复,要根据所用信息系统的功能特
性和灾难特点制定包括 应急反应, 备份操作, 恢复措
施 三个方面内容的应急计划, 一旦发生灾害事件, 就
可按计划方案最大限度地恢复计算机系统的正常运行 。
二、计算机系统安全的概念
48
2、安全保护的内容
3,信息安全
防止信息被故意的或偶然的非授权读取, 更改,
破坏或使信息被非法的系统辨识, 控制 。 确保信息的
完整性, 保密性, 可用性和可控性 。
网络信息既有存储于网络节点上信息资源, 即 静
态信息, 又有传播于网络节点间的信息, 即 动态信息 。
而这些静态信息和动态信息中有些是开放的, 如广告,
公共信息等, 有些是保密的, 如,私人间的通信, 政
府及军事部门, 商业机密等 。
保护用户利益和隐私 。
二、计算机系统安全的概念
49
2、安全保护的内容
信息的风险级别,根据敏感性分类 。
非保密的:不需保护 。 如出版的年度报告, 新闻信件等 。
内部使用的:在公司和组织内部不需保护, 可任意使用, 但不
对外 。 包括标准, 备忘录和组织内部的电话记录本等 。
受限制的:包括那些泄漏后不会损害公司和组织的最高利益的
信息 。 例如客户数据和预算信息等 。
保密的:包括那些泄漏后会严重损害公司和组织利益的信息 。
例如市场策略和专用软件等 。 保密数据根据其保密程度可分为
秘密, 机密, 绝密三类 。 敏感性程度依次递增这是按照泄漏后
对公司和组织利益的损害程度来排序的 。
二、计算机系统安全的概念
50
3、国外网络安全标准
1.美国 TCSEC(桔皮书 )可信计算机系统评估准则 。 1985年由美
国国防部制定 。 分为 4个方面,安全政策, 可说明性, 安全保障
和文档 。 该标准将以上 4个方面分为 7个安全级别,从低到高依
次为 D,C1,C2,B1,B2,B3和 A级 。
1987年, 可信网络解释, ( TNI) 红皮书
2.欧洲 ITSEC ITSEC与 TCSEC不同,它并不把保密措施直接与计
算机功能相联系,而是只叙述技术安全的要求,把保密作为安全
增强功能 。 TCSEC把保密作为安全的重点,而 ITSEC则把完整性,
可用性与保密性作为同等重要的因素 。 ITSEC定义了从 E0级 (不
满足品质 )到 E6级 (形式化验证 )的 7个安全等级,对于每个系统,
安全功能可分别定义 。 ITSEC预定义了 10种功能,其中前 5种与
桔皮书中的 C1~ B3级相似 。
二、计算机系统安全的概念
51
4、国内安全标准与实施
,计算机信息系统安全保护等级划分准则, 已经正式颁布, 并
于 2001年 1月 1日起实施 。 该准则将信息系统安全分为 5个等级,
( 参见 P174)
自主保护级:相当于 C1级
系统审计保护级:相当于 C2级
安全标记保护级:相当于 B1级 属于强制保护
结构化保护级,相当于 B2级
访问验证保护级:相当于 B3~A1级
实际应用中主要考核的安全指标有身份认证, 访问控制, 数据
完整性, 安全审计, 隐蔽信道分析等 。
二、计算机系统安全的概念
52
4、国内安全标准与实施
1.身份认证,通过标识鉴别用户的身份,防止攻击者
假冒合法用户获取访问权限 。 重点考虑用户, 主机和
节点的身份认证 。
2.访问控制,访问控制根据主体和客体之间的访问
授权关系, 对访问过程做出限制, 可分为自主访问控
制和强制访问控制 。 自主访问控制主要基于主体及其
身份来控制主体的活动, 能够实施用户权限管理, 访
问属性 (读, 写及执行 )管理等 。 强制访问控制则强调
对每一主, 客体进行密级划分,并采用敏感标识来标
识主, 客体的密级 。
二、计算机系统安全的概念
53
4、国内安全标准与实施
3.数据完整性,信息在存储, 传输和使用中不被篡改 。
4.安全审计,通过对网络上发生的各种访问情况记录
日志,并统计分析,对资源使用情况进行事后分析,这
是发现和追踪事件的常用措施 。 审计的主要对象为用
户, 主机和节点,内容为访问的主体, 客体, 时间和
成败情况等 。
5.隐蔽信道分析,隐蔽信道是指以危害网络安全策略
的方式传输信息的通信信道 。 这是网络遭受攻击的原
因之一 。 采用安全监控, 定期对网络进行安全漏洞扫
描和检测, 加强对隐蔽信道的防范 。
二、计算机系统安全的概念
54
4、国内安全标准与实施
相关的信息安全法规有,保密法规, 管理办法, 技术规范
1) 中国计算机信息网络国际联网管理暂行规定
2) 计算机信息系统国际联网保密暂行规定
3) 中国计算机信息网络国际联网管理暂行规定实施办法
4) 计算机信息系统安全专用产品检测和许可证管理办法
5) 公安部关于对国际联网的计算机信息系统进行备案工作
的通知
6) 计算机信息网络国际联网安全保护管理办法
二、计算机系统安全的概念
55
4、国内安全标准与实施
7) 计算机软件保护条例
8) 商用密码管理条例
9) 国家秘密法
10) 中华人民共和国计算机信息系统安全保护条例
11) 中华人民共和国国家安全法
12) 电子计算机机房设计规范 ( GB50173-93)
13) 计算站场地技术条件 ( GB2887-89)
计算站场地安全要求 ( GB9361-88)
二、计算机系统安全的概念
56
1、安全威胁
安全威胁,对安全的一种潜在的侵害 。 威胁的实施称为攻击 。
计算机系统安全面临的威胁主要表现在三类:
1,泄漏信息,指敏感数据在有意或无意中被泄漏出去或丢失,
它通常包括, 信息在传输中丢失或泄漏, 信息在存储介质中丢
失或泄漏 。
2,破坏信息,以非法手段窃得对数据的使用权, 删除, 修改,
插入或重发某些重要信息, 以取得有益于攻击者的响应;恶意
添加, 修改数据, 以干扰用户的正常使用 。
3,拒绝服务,它不断对网络服务系统进行干扰, 影响正常用
户的使用, 甚至使合法用户被排斥而不能进入计算机网络系统
或不能得到相应的服务 。
三、安全威胁
57
2、威胁的种类
危害计算机网络安全的因素分 自然 和 人为 两类 。 自然因素包括
温度, 湿度, 灰尘, 雷击, 静电, 水灾, 火灾, 地震, 空气污
染和设备故障等因素, 人为因素又有无意和故意之分, 例如由
于误操作删除了数据的疏忽和过失, 而人为故意的破坏如黑客
行为 。 信息受到侵犯的典型来源分布如下:
人为错误 ---- 35%
人为忽略 ---- 25%
不满意的雇员 ---- 15%
外部攻击 ---- 10%
火灾, 水灾 ---- 10%
其他 ---- 5%
三、安全威胁
58
2、威胁的种类
1,按威胁的 来源 可分为内部威胁和外部威胁;
内部威胁,系统的合法用户以非授权方式访问系统 。
多数已知的计算机犯罪都和系统安全遭受损害的内部
攻击有密切的关系 。
防止内部威胁的保护方法,
a.对工作人员进行仔细审查;
b.仔细检查硬件, 软件, 安全策略和系统配制, 以便
在一定程度上保证运行的正确性 (称为可信功能度 );
c.审计跟踪以提高检测出这种攻击的可能性 。
三、安全威胁
59
2、威胁的种类
外部威胁,外部威胁的实施也称远程攻击 。
外部攻击可以使用的办法,
a.搭线 (主动的与被动的 );
b.截取辐射 ;
c.冒充为系统的授权用户,或冒充为系统的组成部分 ;
d.为鉴别或访问控制机制设置旁路 。
三、安全威胁
60
2、威胁的种类
2,从威胁的 动机 上看可以分为偶发性与故意性;
偶发性威胁:指那些不带预谋企图的威胁, 包
括自然灾害, 系统故障,操作失误和软件出错 。
故意性威胁:指对计算机系统的有意图, 有目
的的威胁 。 范围可使用简单的监视工具进行随
意的检测, 或使用特别的系统知识进行精心的
攻击 。 一种故意的威胁如果实现就可认为是一
种, 攻击,,, 入侵, 。
三、安全威胁
61
2、威胁的种类
3,从威胁造成的 结果 可分成主动 /被动威胁 。
被动威胁, 对信息的非授权泄露但是未篡改任
何信息, 并 且系统的操作与状态也不受改变 。
例:搭线窃听 。
主动威胁, 对系统的状态进行故意地非授权改
变 。 包括:系统中信息, 状态或操作的篡改 。
比如:非授权的用户改动路由选择表 。
例, 篡改消息, 重发消息, 插入伪消息, 冒充
已授权实体以及服务拒绝等 。
三、安全威胁
62
3、威胁的表现形式
威胁的表现形式
假冒
未授权访问
拒绝服务 ( DoS)
否认 ( 抵赖 )
窃听
篡改
三、安全威胁
复制与重放 ( 重演 )
陷井门
特洛伊木马
业务流量流向分析攻击
入侵
63
3、威胁的表现形式
目前我国信息系统面临的安全威胁有:
不良信息的入侵和污染;
黑客和计算机犯罪;信息间谍的潜入;信息战;
网络病毒;
机要信息的扩散;
信息网络的脆弱性;
信息系统装备过分依赖国外产品;
三、安全威胁
64
4、威胁评估
系统的安全特性通常会提高系统的造价, 并
且可能使该系统难于使用 。 所以, 在设计一
个安全系统之前, 应该明确哪些具体威胁需
要保护措施来对付 。 这叫做威胁评估 。 关于
威胁评估的范围包括,
a.该系统的薄弱环节;
b.利用这些薄弱环节进行威胁的可能性;
c.评估每种威胁实施成功的后果;
三、安全威胁
65
4、威胁评估
d.评估每种攻击的代价;
e.估算可能的应付措施的费用;
f.选取恰当的安全机制 (使用价值效益分析 )。
非技术性措施:例如交付保险, 对于技术性安
全措施而言在价值上也可能是一种有效的选择 。
技术上要做到完全安全好比要做到安全的
物理保护, 同样是不可能 。 所以, 目标应该是
使攻击所化的代价足够高而把风险降低到可接
受的程度 。
三、安全威胁
66
1、信息系统安全技术分类
建立信息安全保障体系 ( PDR体系 ), 需要从边
界防卫, 检测和安全反应等着手 。 信息安全技
术开始从边界防卫向 PDR综合技术方向发展 。
1) 边界防卫技术 (protection):
界定网络信息系统的边界较困难 。 将安全边界
设在需要保护的信息周边, 例如存储和处理信
息的计算机系统的外围, 重点阻止诸如冒名顶
替, 线路窃听等试图, 越界, 的行为, 相关的
技术包括数据加密, 数据完整性, 数字签名,
主体认证, 访问控制和公证仲裁等 。
四、信息系统安全技术
67
1、信息系统安全技术分类
边界防卫技术主要提高抵御能力 。 可分为物
理实体的防护技术和信息防护 ( 防泄露, 防破
坏 ) 技术 。
物理实体的防护技术:
主要是对有形的信息载体实施保护, 使之不
被窃取, 复制或丢失 。 如磁盘信息消除技术,
室内防盗报警技术, 密码锁, 指纹锁, 眼底锁
等 。 信息载体的传输, 使用, 保管, 销毁等各
个环节都可应用这类技术 。
四、信息系统安全技术
68
1、信息系统安全技术分类
信息防护技术,主要是对信息的处理过程和传
输过程实施保护, 使之不被非法入侵, 外传,
窃听, 干扰, 破坏, 拷贝 。
信息处理 的防护主要有二种技术:一种是 软硬
件加密 保护技术, 如口令字验证, 数据库存取
控制, 审计跟踪, 密码技术, 防病毒技术等;
另一种是 网络保密 技术, 主要指用于防止内部
网秘密信息非法外传的保密网关, 安全路由器,
防火墙等 。
四、信息系统安全技术
69
1、信息系统安全技术分类
信息传输 的防护也有两种技术:一种是对
信息传输信道采取措施, 如 专网通信 技术,
跳频通信技术, 光纤通信技术, 辐射屏蔽
和干扰技术等;另一种是对传递的信息使
用 密码技术 进行加密, 使窃听者即使截获
信息也无法知悉其真实内容 。 常用的加密
设备有电话保密机, 传真保密机, IP密码
机, 线路密码机, 电子邮件密码系统等 。
70
1、信息系统安全技术分类
2) 检测技术 (detection)
系统运行过程中, 检测信息是否被窃取, 系
统是否遭到入侵, 并找出泄漏的原因和攻击的
来源 。 如计算机网络入侵检测技术, 信息传输
检查技术, 电子邮件监视技术, 电磁泄漏辐射
检测技术, 屏蔽效果测试技术, 磁介质消磁效
果验证技术, 解密技术等 。
四、信息系统安全技术
71
1、信息系统安全技术分类
入侵检测技术是发现, 敌方, 渗透企
图和入侵行为的技术 。 现实情况表明, 网
络信息系统越来越复杂, 系统设计漏洞和
管理漏洞层出不穷 。 在近年发生的网络攻
击事件中, 突破边界防卫系统的案例并不
多见, 黑客们的攻击行动主要是利用各种
漏洞长驱直入, 使边界防卫设施形同虚设 。
72
1、信息系统安全技术分类
3) 安全反应技术 ( reaction)
将, 敌方, 攻击危害降低到最小限度的技
术 。 安全的网络信息系统必须具备在被攻陷后
迅速恢复的能力 。 快速响应与恢复的目标是要
在开放的互联网环境下构建基于生存性的多样
化动态漂移网络, 其中分布式动态备份的技术
与方法, 动态漂移与伪装技术, 各种灾难的快
速恢复与修复算法,, 诱敌深入, 与防守反击
技术等是较有希望的研究方向 。
四、信息系统安全技术
73
1、信息系统安全技术分类
四、信息系统安全技术
实时防御
常规评估
综
合
安
全
保
障
体
系
基础设施
入侵检测
应急响应
灾难恢复
防守反击
攻击特征库
隐患数据库
威胁评估数据库
74
综合安全保障体系:实时防御, 常规评估和基础设
施 。
实时防御:入侵检测, 应急响应, 灾难恢复和防守
反击等 。 入侵检测模块对通过防火墙的数据流进一
步检查, 阻止恶意攻击;应急响应模块对攻击事件
进行应急处理;灾难恢复模块按照策略对遭受破坏
的信息进行恢复;防守反击模块按照策略实施反击 。
常规评估:利用脆弱性数据库检测系统存在的安全
隐患, 为实时防御系统提供策略调整依据 。
基础设施:由攻击特征库, 隐患数据库, 威胁评估
数据库等 。 支撑实时防御和常规评估系统 。
四、信息系统安全技术
75
2、安全技术的特征
对抗性 。 防护技术与攻击技术相伴而生, 相对
抗而存在和发展 。
多样性 。 涉及的技术种类多, 如涉及有线无线
通信技术, 计算机技术, 电子技术, 电磁兼容
技术, 密码技术, 机械化工技术等;服务对象
多, 服务范围广, 涉及到办公自动化的所有设
备和人类信息交流的全过程 。
秘密性 。 攻击者和防护者总是力图隐蔽自己所
采用的技术手段和方法, 避免对方有针对性地
采用更先进的技术措施 。
四、信息系统安全技术
76
计算机系统安全应解决的问题
计算机系统安全主要应解决好以下五个问题:
1, 物理链路的安全, 通过采用链路加密, 专
网技术和通信线路管制的手段提高通信线路的
安全防护能力;
2, 系统的安全, 通过采用技术手段和防护设
备提高系统对攻击者的抵御能力;
3, 信息的安全, 通过采用加密手段确保计算
机系统中存储, 处理, 传输的信息不被非法访
问, 截收, 更改, 复制, 破坏, 删除;
五、计算机系统安全应解决的问题
77
计算机系统安全应解决的问题
4, 设备环境的安全, 通过一定的技术
手段确保信息设备的电磁泄漏辐射符合
保密标准, 安放设备的房间安全可靠等;
5, 技术手段与管理, 教育相结合, 通
过健全法律, 规章制度和加强思想教育
杜绝管理上的漏洞和思想认识上的漏洞 。
78
1、安全策略
安全保护机构
六、安全体系结构
79
1、安全的体系结构
网络安全贯穿于整个 7层模型 。 针对 TCP/IP协议,
网络安全应贯穿于信息系统的 4个层次 。
下图表示了对应网络的安全体系层次模型:
六、安全体系结构
会话层
应
用
层
应用系统
应用平台
网络层
链路层
物理层
会话安全
应
用
层
应用系统安全
应用平台安全
安全路由 /访问机制
链路安全
物理层信息安全
80
1、安全的体系结构
物理层的安全:物理层信息安全, 主要防止物理通路
的损坏, 窃听, 干扰等 。
链路层的安全:链路层的网络安全需要保证通过网络
链路传送的数据不被窃听 。 主要采用划分 VLAN( 局域
网 ), 加密通讯 ( 远程网 ) 等手段 。
网络层的安全:网络层的安全需要保证网络只给授权
的客户使用授权的服务, 保证网络路由正确, 避免被
拦截或监听 。
操作系统的安全:操作系统安全要求保证客户资料,
操作系统访问控制的安全, 同时能够对该操作系统上
的应用进行审计 。
六、安全体系结构
81
1、安全的体系结构
应用平台的安全:应用平台指建立在网络系统之上的
应用软件服务, 如数据库服务器, 电子邮件服务器,
Web服务器等 。 由于应用平台的系统非常复杂, 通常
采用多种技术 ( 如 SSL等 ) 来增强应用平台的安全性 。
应用系统的安全:应用系统完成网络系统的最终目
标 —— 为用户服务 。 应用系统的安全与系统设计和实
现关系密切 。 应用系统使用应用平台提供的安全服务
来保证基本安全, 如通讯内容安全, 通讯双方的认证,
审计等手段 。
六、安全体系结构
82
2、全方位的安全体系
网络信息系统的安全体系包含:
访问控制,通过对特定网段, 服务建立的访问控制体
系, 将绝大多数攻击阻止在到达攻击目标之前 。
检查安全漏洞,通过对安全漏洞的周期检查, 即使攻
击可到达攻击目标, 也可使绝大多数攻击无效 。
攻击监控,通过对特定网段, 服务建立的攻击监控体
系, 可实时检测出绝大多数攻击, 并采取相应的行动
( 如断开网络连接, 记录攻击过程, 跟踪攻击源等 ) 。
认证,良好的认证体系可防止攻击者假冒合法用户 。
六、安全体系结构
83
2、全方位的安全体系
备份和恢复,良好的备份和恢复机制, 可在攻
击造成损失时, 尽快地恢复数据和系统服务 。
多层防御,攻击者在突破第一道防线后, 延缓
或阻断其到达攻击目标 。
隐藏内部信息,使攻击者不能了解系统内的基
本情况 。
设立安全监控中心,为信息系统提供安全体系
管理, 监控, 救护及紧急情况服务 。
六、安全体系结构
84
安全体系的三维结构
85
安全服务
? 保密服务 信封 隐蔽墨迹;数据流 /业务流
? 完整性服务 不可涂改墨迹; 例,ATM取款
? 认证服务 身份证; 实体 数据源认证
? 访问控制 锁、卫兵; 授权访问 /安全路径
? 抗抵赖服务 公证、签字; 对合法用户
安全服务与安全机制的关系:多对多
86
安全机制
? 加密
? 数字签名
? 访问控制
? 数据完整性
? 交换鉴别
? 业务流量填充
? 路由控制
? 公证
87
2、全方位的安全体系
安全的管理因素
安全可以采用多种技术手段 。 但是, 很多安全
威胁来源于管理上的松懈及对安全威胁的认识 。
安全威胁主要利用以下途径:系统实现存在的
漏洞;系统安全体系的缺陷;使用人员的安全
意识薄弱;管理制度的薄弱 。
严格的管理能增强系统的安全性, 及时发现隐
患;管理包括:员工安全教育;健全安全管理
机构;人事管理制度;明确安全管理原则 。
六、安全体系结构
88
2、全方位的安全体系
安全管理原则 防范内部作案
?多人负责原则 相互制约
?任期有限原则 防作弊, 不定期轮换
?职责分离原则 避免利用职务之便
六、安全体系结构
89
2、全方位的安全体系
操作与编程
安全管理与系统管理
应用程序与系统程序的编制
机密资料的接收与传送
