信息安全基础知识

信息安全基础知识,目 录,信息安全概述 信息安全风险 黑客攻击 协议层安全 安全体系架构 安全技术和产品 一些安全建议,信息安全概述,信息技术及其应用的发展,A、通信-电报/电话 B、计算机 C、网络 D、网络化社会的崛起-社会技术系统 (人网系统),什么是信息？,ISO17799中的描述 “Information is an asset which, like other important business assets, has value to an organization and consequently needs to be suitably protected. ” “Information can exist in many forms. It can be printed or written on paper, stored electronically, transmitted by post or using electronic means, shown on films, or spoken in conversation. 强调信息： 是一种资产 同其它重要的商业资产一样 对组织具有价值 需要适当的保护 以各种形式存在：纸、电子、影片、交谈等,信息系统是有目的、和谐地处理信息的主要工具，它把所有形态（原始数据、已分析的数据、知识和专家经验）和所有形式（文字、视频和声音）的信息进行收集、组织、存储、处理和显示。 大英百科全书,信息系统的概念,信息安全的定义,安全的定义 基本含义：客观上不受威胁；主观上不存在恐惧。 一种能够识别和消除不安全因素的能力，是一个持续的过程。 信息安全的定义 狭义：具体的信息技术体系或某一特定信息系统的安全。 广义：一个国家的社会信息化状态不受外来的威胁和伤害，一个国家的信息技术体系不受外来的威胁和侵害。 ISO的定义：为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和显露。,从历史看信息安全,通信保密（ComSEC） 计算机安全（CompSEC） 信息安全（INFOSEC） 信息保障（IA）,第一阶段：通信保密,上世纪40年代70年代 重点是通过密码技术解决通信保密问题，保证数据的保密性与完整性 主要安全威胁是搭线窃听、密码学分析 主要保护措施是加密 重要标志 1949年Shannon发表的保密系统的通信理论 1977年美国国家标准局公布的数据加密标准（DES） 1976年由Diffie与Hellman在“New Directions in Cryptography”一文中提出了公钥密码体制,第二阶段：计算机安全,上世纪7080年代 重点是确保计算机系统中硬件、软件及正在处理、存储、传输信息的机密性、完整性 主要安全威胁扩展到非法访问、恶意代码、脆弱口令等 主要保护措施是安全操作系统设计技术（TCB） 主要标志是1985年美国国防部（DoD）公布的可信计算机系统评估准则（TCSEC，橘皮书）将操作系统的安全级别分为四类七个级别（D、C1、C2、B1、B2、B3、A1），后补充红皮书TNI（1987）和紫皮书TDI（1991）等，构成彩虹（Rainbow）系列。,操作系统安全级别,第三阶段：信息安全,上世纪80-90年代 重点需要保护信息，确保信息在存储、处理、传输过程中及信息系统不被破坏，确保合法用户的服务和限制非授权用户的服务，以及必要的防御攻击的措施。强调信息的保密性、完整性、可控性、可用性等 主要安全威胁发展到网络入侵、病毒破坏、信息对抗的攻击等 主要保护措施包括防火墙、防病毒软件、漏洞扫描、入侵检测、PKI、VPN、安全管理等 主要标志是提出了新的安全评估准则CC（ISO 15408、GB/T 18336）,信息安全的主要内容,安全保障,内容安全 运行安全 数据安全 设备安全,信息,系统,安全管理,信息安全的层次框架体系,第四阶段：信息保障,上世纪90年代后期 “确保信息和信息系统的可用性、完整性、可认证性、保密性和不可否认性的保护和防范活动。它包括了以综合保护、检测、反应能力来提供信息系统的恢复。” 1996年美国国防部（ DoD）国防部令S-3600.1 典型标志为美国国家安全局制定的信息保障技术框架（IATF）。,保护网络和基础设施 主干网络的可用性 无线网络安全框架 系统互连和虚拟私有网（VPN）,信息保障技术框架（IATF）,保护网络边界 登录保护 网络远程访问 多级安全,保护计算环境 终端用户环境 系统应用程序的安全,支撑性基础设施 密钥管理基础设施/公共密钥基础设施（KMI/PKI） 检测和响应,深层防御战略的核心因素,人,技术,操作,深层防御战略的技术模型W“PDRR”C,一.对象（两个） 信息 信息系统 二.层面（五个） 信息内容 应用服务 局域计算环境 边界和外部连接 基础设施 三.信息状态（五个） 产生 存储 处理 传输 消亡 四.安全属性（八个+） 保密性（Confidentiality） 完整性（Integrity） 可用性（Availability） 真实性或可认证性（Authenticity） 不可否认性（Non-repudiation） 可控性(Controllability) 可审查性（Accountability） 五.安全保障能力来源（三个） 技术 管理 人 六.信息保障的环节（六个） 预警（Warning） 保护（Protect） 检测（Detect） 响应（React） 恢复（Restore） 反击（Counterattack）,可靠,信息安全属性,基本属性 保密性 - 保证机密信息不会泄露给非授权的人或实体，或供其使用； 完整性 - 防止信息被未经授权的篡改，保证真实的信息从真实的信源无失真地到达真实的信宿； 可用性 - 保证信息及信息系统确实为授权使用者所用，防止由于计算机病毒或其它人为因素造成的系统拒绝服务，或为敌手可用，信息系统能够在规定的条件下和规定的时间内完成规定的功能。,信息安全属性,其他属性 真实性 - 能对通讯实体身份的真实性进行鉴别； 可控性 - 保证信息行为和过程均在信息主体的掌握和控制之下依照信息主体的意愿进行； 可靠性 - 保证所传输的信息不属于无用信息； 不可否认性 - 建立有效的责任机制，防止实体否认其行为； 可审查性 - 对出现的网络安全问题提供调查的依据和手段并可追踪到唯一的行为实体； ,信息保障技术环节,预警（Warning）： 根据以前掌握系统的脆弱性和了解当前的犯罪趋势，预测未来可能受到的攻击和危害。 保护（Protect）： 采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否认性。 检测（Detect）： 利用高技术提供的工具检查系统存在的可能提供黑客攻击、白领犯罪、病毒泛滥脆弱性。 反应（React）： 对危及安全的事件、行为、过程及时作出响应处理，杜绝危害的进一步蔓延扩大，力求系统尚能提供正常服务。 恢复（Restore）： 一旦系统遭到破坏，尽快恢复系统功能，尽早提供正常的服务。 反击（Counterattack）： 利用高技术工具，提供犯罪分子犯罪的线索、犯罪依据，依法侦查犯罪分子处理犯罪案件，要求形成取证能力和打击手段，依法打击犯罪和网络恐怖主义分子。,实施安全保障的原则,没有绝对的安全 开放最少服务提供最小权限原则。 安全需求平衡 信息安全保障的问题就是安全的效用问题，在解决或预防信息安全问题时，要从经济、技术、管理的可行性和有效性上做出权衡和取舍。 防范不足会造成直接的损失；防范过多又会造成间接的损失。必须根据安全目标审查安全手段。 过分繁杂的安全政策将导致比没有安全政策还要低效的安全。需要考虑一下安全政策给合法用户带来的影响，在很多情况下如果用户所感受到的不方便大于所产生的安全上的提高，则执行的安全策略是实际降低了企业的安全有效性。,信息安全的目的,打不跨,看不懂,进不来,拿不走,改不了,跑不了,可审查,信息安全的基础：风险管理,风险管理：基于可接受的成本，对影响信息系统的安全风险进行识别、控制、减小或消除的过程。 信息安全对策必须以风险管理为基础：安全不必是完美无缺、面面俱到的。但风险必须是能够管理的。 最适宜的信息安全策略就是最优的风险管理对策，这是一个在有限资源前提下的最优选择问题。 风险管理体系 ISO17799：信息安全管理实施细则 AS/NZS4360 AS/NZS4360 ：风险管理标准 GAO/AIMD 98-68：信息安全管理实施指南,信息安全风险,信息安全风险的定义,风险 遭受损害或损失的可能性。 安全风险 是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性。（ISO/IEC TR 13335-1:1996） 信息安全风险 是指信息资产的保密性、完整性和可用性等安全属性遭到破坏的可能性。 信息安全风险只考虑那些对组织有负面影响的事件。,风险的四要素,资产及其价值 威胁 脆弱性 现有的和计划的控制措施,价值,ISO13335 以风险为核心的安全模型,资产,资产是任何对组织有价值的东西。 信息也是一种资产，对组织具有价值。 资产的分类 电子信息资产 纸介资产 软件资产 物理资产 人员 服务性资产 公司形象和名誉,主要的信息资产,终端资源： 员工工作站 威胁 :病毒,木马, X Active, applet 网络资源： 路由器,交换机,线缆 威胁: IP spoofing, system snooping 服务器资源： DNS,WEB, Email, FTP server etc 威胁: 非授权访问, 服务中断, 木马 信息存储资源： 人力资源和电子商务数据库 威胁: 获取商业机密或用户数据,威胁,威胁是可能导致信息安全事故和组织信息资产损失的活动。 威胁是利用脆弱性来造成后果。 威胁举例 黑客入侵和攻击 病毒和其他恶意程序 软硬件故障 人为误操作 自然灾害如：地震、火灾、爆炸等 盗窃 网络监听 供电故障 未授权访问,脆弱性,是与信息资产有关的弱点或安全隐患。 脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。 举例（技术性和非技术性的）： 系统漏洞 程序Bug 后门 系统没有进行安全配置 缺少审计 物理环境不安全 缺乏安全意识 缺乏专业人员 不良习惯 ,安全威胁,物理层面： 机房、设备间等的设备防盗，防毁 机房、设备间的环境保障 链路老化，人为破坏，被动物咬断等 网络设备自身故障 停电导致网络设备无法工作 电磁干扰和泄漏 其他,基本威胁： 一）非授权访问： 没有经过同意，就使用网络或计算机资源。 如有意避开系统访问控制机制，对网络设备及资源进行非正常使用。 2. 擅自扩大权限，越权访问信息。 如假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。,安全威胁,基本威胁： 二）信息泄露： 敏感数据在有意或无意中被泄漏出去。 如信息在传输中丢失或泄漏（电磁泄漏或搭线窃听；对信息流向、流量、通信频度和长度等参数的分析，推出有用信息；猜测用户口令、帐号等重要信息。） 2. 信息在存储介质中丢失或泄漏。 如通过建立隐蔽隧道等窃取敏感信息等。,安全威胁,基本威胁： 三）破坏数据完整性： 以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应。 恶意添加，修改数据，以干扰用户的正常使用。,安全威胁,基本威胁： 四）拒绝服务攻击 不断对网络服务系统进行干扰，改变其正常的作业流程。 执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。,安全威胁,主要可实现的威胁： 假冒 某个实体（人或系统）假装成另外一个不同的实体。这是渗入某个安全防线的最为通用的方法。 旁路控制 为了获得未授权的权利和特权，某个攻击者会发掘系统的缺陷或安全上的脆弱之处。 授权侵犯 被授权以某一目的使用某一系统或资源的某个人，却将此权限用于其它未授权目的，也称作“内部威胁” 。 特洛伊木马 软件中含有一个觉察不出的或无害的程序段，当它被执行时，会破坏用户的安全性。 陷门 在某个系统或某个文件中设置的“机关”，使得当提供特定的输入数据时，允许违反安全策略。,安全威胁,安全威胁,潜在的威胁 如果在某个给定环境对任何一种基本威胁或者主要的可实现威胁进行分析，我们就能够发现某些特定的潜在威胁，而任意一种潜在威胁都可能导致一些更基本的威胁的发生。 举例 窃听：信息从被监视的通信过程中泄露出去 业务流分析：通过对通信业务流模式（有，无，数量，方向，频率）的分析来将信息泄露给非授权个体的一种情报信息窃取方法； 人员疏忽：作为主体的人因为疏忽大意而导致的信息泄露事件； 媒体清理：通过对数据所依赖的媒体的分析而获得信息。,黑客攻击,什么是黑客,通过网络, 利用系统中的一些漏洞和缺陷,对计算机系统进行入侵的人 hacker与cracker: Hacker Cracker, 但对于大众, hacker 即 cracker 可能的攻击者（cracker） 计算机黑客（hacker） 不满或者被解雇的雇员 极端危险的罪犯 工业、企业间谍 对攻击技术好奇的人 。,攻击的一般过程,第一步：信息探测寻找目标，获取信息 第二步：进入系统获得初始的访问权限 第三步：权限提升获得更/最高访问权限 第四步：深入攻击攻击其他系统/擦除痕迹/留下后门 第五步：拒绝服务入侵未成功则造成拒绝服务,信息探测一般是入侵过程的开始，任何有头脑的攻击者在尝试获取访问目标系统的特权之前，都要预先进行工作量可能不少的研究，如对网络内部或外部进行有意或无意的可攻击目标的搜寻（踩点、扫描）。 信息探测的目的 确定目标的IP或域名 确定目标操作系统类型和版本 确定目标系统提供的服务端口信息,攻击的一般过程1：信息探测,信息探测的手法 利用公开信息 网络拓扑发现（如ping、traceroute、firewalk ） 端口扫描（如nmap） 远程操作系统识别（如banner grab、nmap OS指纹鉴别） SNMP 扫描（如snmputil ） 漏洞扫描（如Nessus、商业扫描器） 手工漏洞挖掘（如SQL注入） 社会工程,攻击的一般过程1：信息探测,traceroute,Traceroute使我们知道数据包由出发点（source）到达目的地(destination)所走的路径。 Traceroute通过发送小的数据包到目的设备直到其返回，来测量其需要多长时间。一条路径上的每个设备Traceroute要测3次。输出结果中包括每次测试的时间(ms)和设备的名称（如有的话）及其IP地址。 在UNIX系统下为Traceroute，在Windows系统下为Tracerert。 C:tracert Tracing route to 204.71.200.75over a maximum of 30 hops:1 161 ms 150 ms 160 ms 202.99.38.672 151 ms 160 ms 160 ms 202.99.38.653 151 ms 160 ms 150 ms 202.97.16.1704 151 ms 150 ms 150 ms 202.97.17.905 151 ms 150 ms 150 ms 202.97.10.56 151 ms 150 ms 150 ms 202.97.9.97 761 ms 761 ms 752 ms border7-serial3-0-0.S 204.70.122.698 751 ms 751 ms * core2-fddi-0.S 204.70.164.499 762 ms 771 ms 751 ms border8-fddi-0.S 204.70.164.6710 721 ms * 741 ms globalcenter.S 204.70.123.611 * 761 ms 751 ms pos4-2-155M.cr2.SNV 206.132.150.23712 771 ms * 771 ms pos1-0-2488M.hr8.SNV 206.132.254.4113 731 ms 741 ms 751 ms bas1r-ge3-0- 208.178.103.6214 781 ms 771 ms 781 ms 204.71.200.75Trace complete.,NMap,NMap（Network Mapper）是Linux下的网络扫描和嗅探工具包。其基本功能有三个，一是探测一组主机是否在线；其次是扫描 主机端口，嗅探所提供的网络服务；还可以推断主机所用的操作系统 。此外还可以将所有 探测结果记录到各种格式的日志中 ， 供进一步分析操作。 Nmap可用于扫描含有2个节点的LAN，直至500个节点以上的网络。Nmap 还允许用户定制扫描技巧。通常，一个简单的使用ICMP协议的ping操 作可以满足一般需求。示例： 适用于内外网的探测，以内网操作为示例(外网参数同) 简单端口扫描： nmap -vv -sT(sS、sF、sU、sA) 192.168.0.1 -D 127.0.0.1（-D伪造的地址) OS检测： nmap -vv -sS -O 192.168.0.1 RPC鉴别： nmap -sS -sR 192.168.0.1 Linux上的portmap就是一个简单的RPC服务，监听端口为111（默认） Ping扫射： nmap -sP 172.16.15.0/24,snmp扫描,SNMP（Simple Network Management Protocol，简单网络管理协议）是用于管理IP网络上的结点的一种协议。几乎所有的网络设备和网络操作系统都支持SNMP。 community string（社团字串）是基于SNMP协议信息通信时使用的一种“查询密码”，当使用特殊的客户端应用程序，通过community string的验证，将获得对应的权限（只读或读写)对SNMP中管理信息库（MIB）进行访问。而管理信息库（MIB）中则保存了系统所有的重要信息。很多网络设备厂商以及操作系统厂商，在初始状态下，都使用统一的community string “public”。 Snmputil命令行方式的SNMP扫描工具 snmputil walk 对方ip public .1.3.6.1.2.1.25.4.2.1.2 列出系统进程 snmputil walk 对方ip public .1.3.6.1.4.1.77.1.2.25.1.1 列系统用户列表 snmputil get 对方ip public .1.3.6.1.4.1.77.1.4.1.0 列出域名 snmputil walk 对方ip public .1.3.6.1.2.1.25.6.3.1.2 列出安装的软件 snmputil walk 对方ip public .1.3.6.1.2.1.1 列出系统信息,漏洞扫描,什么是漏洞扫描 漏洞扫描是一种自动检测远程或本地主机安全性弱点的操作。通过使用扫描器你可以不留痕迹的发现远程服务器的各种TCP/UDP端口的分配、所提供的服务及其软件版本，能够让我们间接的或直观的了解到远程主机所存在的安全问题。 Nessus 是一款可以运行在Linux、BSD、Solaris以及其他一些系统上的远程安全扫描软件。它是多线程、基于插入式的软件，拥有很好的图形操作界面，能够完成超过1200项的远程安全检查，具有强大的报告输出能力，可以产生HTML、XML、LaTeX和ASCII文本等格式的安全报告，并且会为每一个发现的安全问题提出解决建议。,攻击者在进行信息探测后确定了在其知识范畴内比较容易实现的攻击目标尝试对象，然后开始对目标主机的技术或管理漏洞进行深入分析和验证，试图获得系统的初始访问权。 攻击者常用的手段主要是漏洞校验和口令猜解，如：专用的CGI漏洞扫描工具、登录口令破解等等。 一般步骤： 1. 扫描目标主机。 2. 检查开放的端口，获得服务软件及版本。 3. 检查服务是否存在漏洞，如果是，利用该漏洞远程进入系统。 4. 检查服务软件是否存在脆弱帐号或密码，如果是，利用其进入系统。 5. 服务软件是否泄露系统敏感信息，如果是，检查能否利用。 6. 扫描相同子网主机，重复以上步骤，直到进入目标主机或放弃。,攻击的一般过程2：进入系统,攻击的一般过程3：权限提升,攻击者成功从原先没有权限的系统获取了一个访问权限从而进入系统，但这个权限可能是受限制的，于是攻击者就会采取各种措施，使得当前的权限得到提升，最理想的就是获得最高权限（如Admin 或者Root权限），这样攻击者才能进行深入攻击。这个过程就是权限提升。 攻击者常用的手段主要是通过缓冲区溢出的攻击方式。 一般步骤： 1. 检查目标主机上的SUID和GUID程序是否存在漏洞，如果是，利用该漏洞提升权限(unix)。 2. 检查本地服务是否存在漏洞，如果是，利用该漏洞提升权限。 3. 检查本地服务是否存在脆弱帐号或密码，如果是，利用该帐号或密码提升权限。 4. 检查重要文件的权限是否设置错误，如果是，利用该漏洞提升权限。 5. 检查配置目录中是否存在敏感信息可以利用。 6. 检查用户目录中是否存在敏感信息可以利用。 7. 检查其它目录是否存在可以利用的敏感信息。 8. 重复以上步骤，直到获得root权限或放弃。,攻击的一般过程4：深入攻击,攻击者通过权限提升后，一般是控制了单台主机，从而独立的入侵过程基本完成。但是，攻击者也会考虑如何将留下的入侵痕迹消除，同时开辟一条新的路径便于日后再次进行更深入地攻击，或者以被控制主机为跳板去攻击网络上其他主机。 主要技术手段包括木马植入、日志更改或替换、跳板攻击等等。 相关日志 对守护进程扫描时留下的日志 系统登陆产生的日志 文件访问产生的日志 更改系统设置留下的日志 安装黑客工具留下的日志,攻击的一般过程5：拒绝服务,如果目标主机的防范措施比较好，前面的攻击过程可能不起效果。作为部分恶意的攻击者还会采用拒绝服务的攻击方式，模拟正常的业务请求来阻塞目标主机对外提供服务的网络带宽或消耗目标主机的系统资源，使正常的服务变得非常困难，严重的甚至导致目标主机宕机，从而达到攻击的效果。目前，拒绝服务（DoS）成为非常流行的攻击手段，甚至结合木马程序发展成为分布式拒绝服务攻击（DDoS），其攻击威力更大。 常见拒绝服务攻击类型 SYN溢出 Smurf和Fraggle Ping of death Land attack,什么是DoS/DDoS攻击？,攻击者利用因特网上成百上千的“Zombie”(僵尸)-即被利用主机，对攻击目标发出海量数据包造成动威力巨大的拒绝服务攻击。,Denial of Service (DoS) 拒绝服务攻击,Distributed Denial of Service (DDoS)分布式拒绝服务攻击,攻击者利用系统自身漏洞或者协议漏洞，耗尽可用资源乃至系统崩溃，而无法对合法用户作出响应。,Trinoo、TFN、TFN2K 和Stacheldraht。,常用攻击工具,DDoS攻击过程,主控主机 （中间人handler）,合法用户,扫描程序,黑客,Internet,非安全主机,被控主机 （代理agent),应用服务器,洪流(ICMP Flood / SYN Flood / UDP Flood),协议层安全,OSI 参考模型和TCP/IP协议簇,网络设施,操作系统,应用服务,TCP/IP 和因特网安全,The ARPAnet since 1966 Internet起于研究项目,安全不是主要的考虑 少量的用户，多是研究人员,可信的用户群体 可靠性(可用性)、计费、性能 、配置、安全 网络协议的开放性与系统的通用性 目标可访问性，行为可知性 攻击工具易用性 Internet 和 TCP/IP v4没有考虑安全因素 IP v6的设计中考虑了安全因素 Internet 没有集中的管理权威和统一的政策 安全政策、计费政策、路由政策,识别网络通讯中存在的风险,识别与物理网络相关的风险,Hub,网段 1,网段 1,网段1,网段 2,Sniffer,所有连接都可见,仅网段2通讯可见,Switch,截取、捕获数据,物理层安全问题,对线缆上传输的信号做文章（Compose the signals transmit over the wire） 威胁: 搭线窃听 b.密码技术; c.使用该实体的特征或占有物。,制造通信的假实例, 产生欺骗性数据单元或数据单元中的伪数据。用来抵抗通信业务分析，只有在通信业务填充受到机密服务保护时才是有效的。,在路由选择过程中应用规则, 以便具体地选取或回避某些网络、链路或中 继。,由可信赖的第三方对数据进行登记, 以便保证数据的特征如内容,原发, 时 间, 交付等的准确性不致改变。,OSI服务和安全机制间关系,安全服务同ISO协议层关系,安全体系（二）：CC,ISO15408:1999，GB/T18336:2001，通常简称CC通用准则 定义了评估信息技术产品和系统安全性所需的基础准则，是度量信息技术安全性的基准； 国际标准化组织统一现有多种准则的努力； 1993年开始，1996年出V 1.0, 1998年出V 2.0；1999年5月，成为ISO-15408； 主要思想和框架取自ITSEC和FC； 充分突出“保护轮廓PP”，将评估过程分为“功能”和“保证”两部分； 是目前最全面的评价准则； 描述IT产品/系统安全要求的统一语言 IT安全要求的目录 对已有安全准则的总结和兼容 灵活的架构，可以定义自己的要求扩展CC要求 分为3个部分： 第一部分：简介和一般模型 第二部分：安全功能要求 第三部分：安全保证要求,评估保证级别,EAL2,结构测试级,EAL1,功能测试级,EAL3,方法测试和校验级,EAL4,系统地设计、测试和评审级,EAL5,半形式化设计和测试级,EAL6,半形式化验证的设计和测试级,EAL7,形式化验证的设计和测试级,安全体系（三）：ISMS,信息安全管理体系（Information Security Management System，ISMS） 是系统地对组织的敏感信息进行管理，涉及到人、程序和信息技术(IT)的系统。 是在信息安全方面指挥和控制组织以实现信息安全目标的相互关联和相互作用的一组要素。 信息安全目标应是可测量的 要素可能包括 信息安全方针、策略 信息安全组织结构 各种活动、过程 信息安全控制措施 人力、物力等资源 相关标准 ISO17799:2000 信息技术-信息安全管理实施规则 采纳BS7799-1:1999，为如何进行安全管理实践的指导 ISO17799:2000：10类控制域，36个控制目标，127项控制措施 ISO17799:2005：11个控制域，39个控制目标，133个控制措施 预计2007年将更名为ISO27002 ISO27001:2005 信息技术-安全技术-信息安全管理体系要求 采纳BS7799-2:1999（- BS7799-2:2002），为建立信息安全管理体系必须符合的要求,ISO17799,ISO27001,PDCA循环,Plan DoCheckAct 又称“戴明环”, 是能使任何一项活动有效进行的工作程序: P计划（建立ISMS） 根据组织的整体方针和目标，建立安全策略、目标以及与管理风险和改进信息安全相关的过程和程序，以获得结果。 D实施（ 实施和运行ISMS） 实施和运行安全策略、控制、过程和程序。 C检查（ 监视和评审ISMS） 适用时，根据安全策略、目标和惯有经验评估和测量过程业绩，向管理层报告结果，进行评审。 A改进（保持和改进ISMS） 根据内部ISMS 审核和管理评审或其他信息，采取纠正和预防措施，以实现ISMS 的持续改进,建立ISMS的步骤,第六步,第五步,第四步,第三步,第二步,威胁、漏洞和影响,机构的风险管理办法所要求达到的保障程度,17799-2（BS7799）中的第四章所列的安全控制目标和措施,不在BS7799的其它安全控制,策略文件,ISMS 的范围,风险评估,适用性说明书,信息资产,结果与结论,选定的控制选项,选定的控制目标及控制,第一步,定义策略,定义 信息安全管理系统（ISMS） 的范围,进行风险评估,管理这些风险,选择控制目标 以及要实现的控制,撰写适用性说明书,信息安全管理的过程网络,将相互关联的过程作为一个系统来识别、理解和管理 一个过程的输出构成随后过程输入的一部分 过程之间的相互作用形成相互依赖的过程网络 PDCA循环可用于单个过程，也可用于整个过程网络,信息安全管理的四个重要原则,领导重视, 组织保障 指明方向和目标 权威 预算保障，提供所需的资源 监督检查,全员参与, 信息安全不仅仅是IT部门的事 让每个员工明白随时都有信息安全问题 每个员工都应具备相应的安全意识和能力 让每个员工都明确自己承担的信息安全责任,持续改进, 实现信息安全目标的循环活动 信息安全是动态的，时间性强 持续改进才能有最大限度的安全 组织应该为员工提供持续改进的方法和手段, 文件的作用：有章可循，有据可查 文件的类型：手册、规范、指南、记录,信息安全管理的实践经验,反映组织业务目标的安全方针、目标和活动； 符合组织文化的安全实施方法； 管理层明显的支持和承诺； 安全需求、风险评估和风险管理的正确理解； 有效地向所有管理人员和员工推行安全措施； 向所有的员工和签约方提供本组织的信息安全方针与标准； 提供适当的培训和教育； 一整套用于评估信息安全管理能力和反馈建议的测量系统,系统安全工程能力成熟模型（ ISO 21827） 适用于信息系统安全的工程组织、采购组织和评估机构。 发起者 美国国防部 美国国家安全局 开发SSE-CMM的目的 降低开发和维护系统的花费； 提高工程进度和预算的一致性； 选择合适的承包者。 11个过程域，5个能力级别,安全体系（四）： SSE-CMM,安全工程过程,保证论据,风险信息,产品或服务,工程过程 Engineering,保证过程 Assurance,风险过程 Risk,风险,PA04：评估威胁,威胁信息 threat,脆弱性信息 vulnerability,影响信息 impact,风险信息,PA05：评估脆弱性,PA02：评估影响,PA03：评估安全风险,风险就是有害事件发生的可能性 一个有害事件有三个部分组成：威胁、脆弱性和影响。,工程,安全工程与其它科目一样，它是一个包括概念、设计、实现、测试、部署、运行、维护、退出的完整过程。 SSE-CMM强调安全工程是一个大的项目队伍中的一部分，需要与其它科目工程师的活动相互协调。,PA10 指定安全要求,需求、策略等,配置信息,解决方案、指导等,风险信息,PA08 监视安全态势,PA07 协调安全,PA01 管理安全控制,PA09 提供安全输入,保证,证据,证据,保证论据,PA11 验证和证实安全,指定安全要求,其他多个PA,PA06 建立保证论据,保证是指安全需要得到满足的信任程度 SSE-CMM的信任程度来自于安全工程过程可重复性的结果质量。,计划执行 规范化执行 跟踪执行 验证执行,定义标准过程 协调安全实施 执行已定义的过程,建立可测量的质量目标 客观地管理过程的执行,1,非正式 执行,2,计划与跟踪,3,充分定义,4,量化控制,5,连续改进,执行 基本 实施,改进组织能力 改进过程的有效性,能力级别代表安全工程组织的成熟级别,公共特性,0 未实施,安全技术和产品,安全技术和产品,物理安全技术 加密 认证 访问控制 安全审计,防火墙 VPN 入侵检测 安全扫描 病毒防护技术 备份与恢复,机房安全 出入记录报警系统：IC卡技术、指纹技术、虹膜技术、面纹技术等 录像监控系统： 报警系统：门磁窗磁、红外报警 机房屏蔽 采用屏蔽室：不锈钢丝网屏蔽室、钢板屏蔽室、屏蔽门、屏蔽窗、 通风波导窗 信号线的滤波 电源线的滤波 防电磁干扰和泄漏 电源系统 采用多路供电的方法，市电、动力电、专有电网、UPS供电等 多路电源同时接入。 采用电源净化系统 。 传输屏蔽 屏蔽布线 光缆传输 终端设备辐射防范 采用自噪声干扰技术 点相关加扰技术 同步仿真干扰技术,物理安全技术,加密,加密技术分类： 对称密钥加密技术（Symmetric） 非对称密钥加密技术（Asymmetric） 哈希加密技术（Hash）,对称加密,DES/3DES RC2、RC4、RC5、RC6 IDEA Blowfish和Twofish Skipjack Mars Rijndael和Serpent AES : Rijndael 允许建立128、192、256位密钥 多平台支持（智能卡、8/32/64位处理器） 速度快,非对称加密,三个普通的组件： RSA 数字签名算法（Digital Signature Algorithm） Diffie-Hellma/Station-to-Station(STS) 特点： 使用密钥对，一半用来加密、一半用来解密 速度慢,HASH加密,HASH算法: MD2、MD4、MD5 安全哈希算法SHA-1 （160位哈希值、抗攻击能力强） 用MD5sum命令实现哈希算法： Host#md5sum /usr/sbin/named 5we5odble392,eoc97mbmd0003ndodom3xep,实用加密程序和协议,IIS、PGP Microsoft Exchange Server、Windows 2000 PGP/MIME和S/MIME 安全HTTP（Secure HTTP） 安全套接字层SSL,加密强度,算法强度 工业标准的算法 密钥的保密性 注意区分密钥和算法（后者不需保密） 密钥的长度 2的n次方种破解可能性. 2的40次1，099，511，627，776,加密的优势,数据保密性 确保只有特定的接受者才能查看内容 数据完整性 通过Hash算法确保数据不被篡改 认证 数字签名提供认证服务 不可否定性 数字签名允许用户证明信息交换确实发生过,基于PKI的加密原理（一）,基于PKI的加密原理（二）,认证,你知道什么 密码认证 你有什么 智能卡 / 数字证书 ISO7816 你是谁 物理、遗传或生物测定学 你在哪儿 源IP (用于rlogin, rsh) DNS反向查找,认证机制,基于口令、用户名的身份认证 基于主体特征的身份认证：如指纹 基于IC卡+PIN号码的认证 基于CA证书的身份认证 其他的认证方式,基于口令、用户名的身份认证,Server,End user,Username=root Password=!#$ 发起访问请求,基于口令、用户名的简单身份鉴别,验证用户名与口令,回应访问请求，允许访问,验证通过,基于主体特征的身份认证,Server,Workstation,传送特征信息 发起访问请求,基于主体特征的身份鉴别,验证用户特征信息,回应访问请求，允许访问,验证通过,指纹识别器,读取特征信息,获得特征信息,基于IC卡+PIN号码的认证,Server,Workstation,传送身份验证信息 发起访问请求,基于IC卡+PIN号码的身份鉴别,验证用户身份,回应访问请求，允许访问,验证通过,读卡器,输入PIN号码,插入IC卡,读取用户信息,获得用户信息,基于CA证书的身份认证,基于CA证书的身份鉴别,CA中心,证书发布服务器,用户证书,服务器证书,开始数字证书的签名验证,开始数字证书的签名验证,开始安全通讯,特殊的认证技术,Kerberos 美国麻省理工学院为Athena工程而设计的，为分布式计算环境提供一种安全的双向身份认证方法，并强调了客户机对服务器的认证，而别的身份认证技术往往只解决了服务器对客户机的认证。Kerberos有效地防止了来自服务器端身份冒领的欺骗。 One-time passwords 在登录过程中加入不确定因素，使每次登录过程中传送的信息都不相同，以提高登录过程安全性。例如：登录密码为MD5(用户名+密码+时间)，系统接收到登录口令后做个运算即可验证用产的合法性。,访问控制,访问控制机制确保每个系统只有它们想要的个体（按照安全策略）才能够访问。 访问控制发生在认证过程之后，控制用户在系统中能访问些什么，这种机制能用于赋予或拒绝权限。 一个形象的比喻 把访问控制看作是一个公司大楼的门禁系统。 大多公司都有一个接待室并且任何人都能进入，这个接待室可以看作是一个开放的WEB服务器，允许未授权的用户访问其主页。 要进入公司真正的办公室，人们需要出示身份卡，只有经过认证的员工才能进入办公区域，根据不同的身份只能允许他们进入相关的办公室。 所有的操作系统都支持访问控制，访问控制是保护服务器的基本机制，你必须在服务端上限制哪些用户可以访问服务和守护进程。,访问控制列表,访问控制列表（ACL） 信息系统把资源处理成有着某些特征和属性的对象，资源可以是像打印机或磁盘这样的设备，也可以是操作系统，应用程序或内存，计算机上的文件，等等，与这些资源安全相关的特性就是访问控制列表(ACL)。 一个ACL是标识个人用户或组的清单，系统维护着一个ACL数据库，每个用户或组都被分配一个访问级别，并根据这个数据库所包含的内容定义这些用户或组能够执行什么。 一个通过认证的用户仍必须通过ACL来取得相应的权限。,执行控制列表,执行控制列表(ECL) 限制应用程序运行时可以操作的资源和行为。 用于特殊的应用程序，如Netscape Navigator，微软的Internet Explorer，IBM的Notes。 没有商业的操作系统或平台实施一个完全的ECL策略。UNIX系统包含了一些对于rexec，rlogin和rshell程序的执行控制列表版本。这些程序都使用执行控制列表来确定在主机A上的哪些用户可以在不登陆的情况下在B主机上执行程序。但是这种形式的执行控制列表只能在远程系统上工作。 执行控制列表的一个好处就是能对于那些恶意的Active X控件程序的破坏起到一定的保护作用。例如，你可以进一步地控制.java小程序。 软件商们已开始开发能够执行更多任务的ECL程序，来允许用户自己决定程序的参数。,审计,多数系统以日志文件的形式记录下所有的活动，帮助判断是否发生了不允许的活动以及是怎样发生的。 被动审计 简单的记录一些活动，不作处理； 非实时检测，必须查看这些日志然后根据其包含的内容采取措施。 主动审计 主动地响应非法访问和入侵 结束一个登陆会话 拒绝一些主机的访问(包括WEB站点，FTP服务器和e-mail服务器) 跟踪非法活动的源位置,从逻辑上讲，防火墙既是一个分离器、限制器也是一个分析器，有效地监控内外网之间的任何活动； 从具体实现上讲，防火墙是一个独立的进程或一组紧密联系的进程，运行在路由器或服务器上；,定义： 防火墙是位于两个或多个网络之间，执行访问控制策略的一个或一组系统，是一类防范措施的总称。,防火墙,基本要求：,内部和外部之间的所有网络数据流必须经过防火墙；,只有符合安全政策的数据流才能通过防火墙；,防火墙自身应对渗透(penetration)免疫。,防火墙,内部可信任网络,外部非信任网络,防火墙的基本作用,Internet,防火墙,过滤进出网络的非法数据,防火墙的其它作用,确保一个单位内的网络与因特网的通信符合该单位的安全方针，为管理人员提供下列问题的答案:, 谁在使用网络？, 他们在网络上做什么？, 他们什么时间使用了网络？, 他们上网去了何处？, 谁要上网没有成功？,管理进出网络的访问行为,3. 封堵某些不安全的服务如NIS、NFS 4. 记录通过防火墙的访问行为和信息内容 5. 对网络攻击进行检测和告警,防火墙的其它作用,防火墙的分类,基于路由器的防火墙,将过滤功能从路由器中独立出来，并加上审计和告警功能 针对用户需求，提供模块化的软件包 软件可通过网络发送，用户可根据需要构造防火墙 与第一代防火墙相比，安全性提高了，价格降低了,利用路由器本身对分组的解析,进行分组过滤 过滤判断依据：地址、端口号、IP旗标及其它网络特征 防火墙与路由器合为一体，只有过滤功能 适用于对安全性要求不高的网络环境,是批量上市的专用防火墙产品 包括分组过滤或者借用路由器的分组过滤功能 装有专用的代理系统，监控所有协议的数据和指令 保护用户编程空间和用户可配置内核参数的设置 安全性和速度大为提高。,防火墙厂商具有操作系统的源代码，并可实现安全内核 去掉了不必要的系统特性，加固内核，强化安全保护 在功能上包括了分组过滤、应用网关、电路级网关 增加了许多附加功能：加密、鉴别、审计、NAT转换 透明性好，易于使用,基于安全操作系统的防火墙,基于通用操作系统的防火墙,用户化的防火墙工具套,防火墙的发展,防火墙的体系结构,传统防火墙技术： 简单包过滤技术 状态检测包过滤技术 应用代理技术 目前市场上主流产品的形态： 集成了状态检测包过滤和应用代理的混合型产品,简单包过滤,Packet Filter,优点： 速度快，性能高 对应用程序透明 实现简单,缺点： 安全性比较差 伸缩性差 维护不直观,从192.168.0.0网段到Internet的HTTP访问？ 放行/禁止通行！,状态检测技术,Stateful Inspection,应用网关（代理）型,Proxy,优点： 安全性非常高 提供应用层的安全 提供用户级的控制,缺点： 性能很差 只支持有限的应用 对用户不透明 安全性依赖于底层OS 一般用于代理内部网 到外部网的访问,想从内部网访问外部的服务器？我帮你发请求吧。,防火墙的功能访问控制,进行访问规则检查,发起访问请求,合法请求则允许对外访问,将访问记录写进日志文件,合法请求则允许对外访问,发起访问请求,防火墙在此处的功能： 1、工作子网与外部子网的物理 隔离 2、访问控制 3、对工作子网做NAT地址转换 4、日志记录,内部工作子网与外网的访问控制,进行访问规则检查,发起访问请求,合法请求则允许对外访问,将访问记录写进日志文件,禁止对外发起连结请求,发起访问请求,防火墙在此处的功能： 1、DMZ网段与外部子网的物理隔离 2、访问控制 3、对DMZ子网做MAP映射 4、日志记录,DMZ区域与外网的访问控制,防火墙的功能访问控制,进行访问规则检查,发起访问请求,合法请求则允许对外访问,将访问记录写进日志文件,禁止对工作子网发起连结请求,防火墙在此处的功能： 1、DMZ网段与工作子网的物理隔离 2、访问控制 3、日志记录,发起访问请求,内部工作子网与DMZ区的访问控制,防火墙的功能访问控制,防火墙的功能地址转换,目的 解决IP地址空间不足问题 将现有的私有TCP/IP网络连接到公共网络时的IP编址问题 向外界隐藏内部网结构 方式 静态转换1-1： 简单的地址翻译 动态转换M-N： 多个内部网地址翻译到N个外部IP地址池 端口映射（PAT）M-1： 多个内部网地址翻译到1个外部IP地址 负载均衡1-M：1个外部IP地址对应多个内部服务器,防火墙的其他功能,身份认证 内容过滤 安全审计,防火墙的作用,STOP!,阻止非法进入,1. 验明正身 2. 检查权限,防火墙办不到的事,病毒等恶性程序可利用email夹带等攻击形式,夹带闯关、 入侵成功！,VPN(Virtual Private Network) 指的是以公用开放的网络(如Internet)作为基本传输媒体，通过加密和验证网络流量来保护在公共网络上传输的私有信息不会被窃取和篡改，从而向最终用户提供类似于私有网络(Private Network)性能的网络服务技术。,虚拟专用网（VPN）,VPN技术的分类,信道加密,信源加密,IPSEC VPN,IPv4本身并不具任何安全特性，很容易便可伪造出IP包的地址、修改其内容、重播以前的包以及在传输途中拦截并查看包的内容。 IPSec解决IPv4以下安全需求： 数据机密性/有限的数据流机密性：隐藏明文数据内容或整个IP包，通常靠加密来实现； 数据完整性验证：证实数据报文的内容在传输过程中没被修改过，无论是被故意改动或是由于发生了随机的传输错误； 数据源的身份认证：证实数据报文是所声称的发送者发出的； 抗重放攻击保护：保证攻击者不能截获数据报文后某个时间再重新发放数据报文（改动过或未改动过）； 自动的密钥管理和安全关联管理：保证只需少量或根本不需要手工配置，就可以在扩展的网络上方便精确地实现公司的虚拟使用网络方针。,数据机密性保护,拨号服务器,PSTN,内部工作子网,下属机构,DDN/FR X.25专线,密文传输,明文传输,明文传输,数据完整性保护,内部工作子网,下属机构,DDN/FR X.25专线,原始数据包,对原始数据包进行Hash,Hash,摘要,对原始数据包进行加密,加密后的数据包,加密,加密后的数据包,摘要,摘要,解密,原始数据包,Hash,原始数据包,与原摘要进行比较，验证数据的完整性,数据源身份认证,内部工作子网,下属机构,DDN/FR X.25专线,原始数据包,对原始数据包进行Hash,Hash,摘要,加密,摘要,摘要,取出DSS,原始数据包,Hash,原始数据包,两摘要相比较,私钥,DSS,将数字签名附在原始包后面供对方验证签名,得到数字签名,DSS,解密,相等吗？,验证通过,VPN基本功能特性,Web、Mail服务器等,因特网,分支机构,加密隧道,&1%$*)!,？,安全区域划分 增强内网安全,VPN网关保护内网 及信息传输安全,工作站域,服务器域,VPN网关间建立加密隧道,VPN移动客户端保证 移动办公安全,入侵检测系统（IDS）,入侵行为对信息系统资源的非授权使用，它可以造成系统数据的丢失和破坏、可以造成系统拒绝对合法用户服务等危害。 入侵检测对指向计算机网络资源的恶意行为的识别和响应的过程。 入侵检测系统 是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。（ICSA入侵检测系统论坛） 是一套监控和识别计算机系统或网络系统中发生的事件，根据规则进行安全审计和响应的软件或硬件系统。,为什么需要IDS？,防火墙不能保证绝对的安全 可以阻止一类人群的进入，但无法阻止混同一类人群中的破坏分子。 不能防范利用服务器漏洞或通信协议的缺陷进行的攻击。 一般不提供对内网攻击的防范。 策略配置不当或自身漏洞会导致安全隐患。 不能防范内部用户主动泄密的行为。 无法防范数据驱动型的攻击。,确保网络的安全,就要对网络系统内部通信进行实时的检测 , 这就需要IDS无时不在的防护！,数据驱动型攻击,访问控制系统可以不让低级权限的人做越权工作，但无法保证高级权限的做破坏工作，也无法保证低级权限的人通过非法行为获得高级权限,入侵检测系统的主要功能,监测并分析用户和系统的活动； 核查系统配置和漏洞； 评估系统关键资源和数据文件的完整性； 识别已知的攻击行为； 统计分析异常行为； 操作系统日志管理，并识别违反安全策略的用户活动。,入侵检测系统的分类,基于网络的入侵检测 基于网络的入侵检测系统使用原