信息安全体系结构概论

教材及参考书教材信息系统安全 戴宗坤 罗万伯等编著，电子工业出版社，2002年11月。参考书信息安全概论洪帆 崔国华 付小青编著，华中科技大学出版社，2005年9月。计算机安全学导论美 Matt Bishop著 王立斌 黄征等译，电子工业出版社，2005年11月。 课程主要内容概论信息系统安全体系开放系统互连安全服务框架安全机制 Internet安全体系结构安全评估 第1章 概论什么是信息安全？信息安全的发展过程信息系统安全信息系统风险和安全需求 1.1 什么是信息安全？信息化的迅速发展正在对国家和社会的各方面产生巨大影响，随着国家信息化的不断推进与当前电子政务的大力建设，信息已经成为最能代表综合国力的战略资源。能否有效地保护信息资源，保护信息化进程健康、有序、可持续发展，直接关乎国家安危，关乎民族兴亡，是国家、民族的头等大事。没有信息安全，就没有真正意义上的政治安全，就没有稳固的经济安全和军事安全，更没有完整意义上的国家安全。信息安全是信息技术发展过程之中提出的课题，在信息化的大背景下被推上了历史舞台。信息安全不是最终目的，它只是服务于信息化的一种手段，其针对的是信息化这种战略资源的安全，其主旨在于为信息化保驾护航。 1.1.1 信息的安全属性信息安全的概念与信息的本质属性有着必然的联系，它是信息的本质属性所体现的安全意义。机密性（Confidentiality）完整性（Integrality）可用性（Availability）可控性（Controllability）不可否认性（Non-repudiation） 机密性（Confidentiality） 在传统信息环境中，普通人通过邮政系统发信件时，为了个人隐私要装上信封。可是到了信息化时代，信息在网上传播时，如果没有这个“信封”，那么所有的信息都是“明信片”，不再有秘密可言，这便是信息安全中的机密性需求。 机密性是指信息不被泄露给非授权的用户、实体或进程，或被其利用的特性。 机密性不但包括信息内容的保密，还包括信息状态的保密。 完整性（Integrality） 完整性是指信息未经授权不能进行更改的特性。即信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。 完整性与机密性不同，机密性要求信息不被泄露给未授权的人，而完整性则要求信息不致受到各种原因的破坏。 可用性（Availability） 可用性是信息可被授权实体访问并按需求使用的特性。 在授权用户或实体需要信息服务时，信息服务应该可以使用，或者是信息系统部分受损或需要降级使用时，仍能为授权用户提供有效服务。 可用性一般用系统正常使用时间和整个工作时间之比来度量。 可控性（Controllability） 可控性是指能够控制使用信息资源的人或实体的使用方式。 对于信息系统中的敏感信息资源，如果任何人都能访问、篡改、窃取以及恶意散播的话，那么安全系统显然失去了效用。对访问信息资源的人或实体的使用方式进行有效的控制，是信息安全的必然要求。 从国家的层面看，信息安全中的可控性不但涉及到了信息的可控，还与安全产品、安全市场、安全厂商、安全研发人员的可控性密切相关。 不可否认性（Non-repudiation） 不可否认性，也称抗抵赖性。它是传统社会的不可否认需求在信息社会中的延伸。 人类社会中的各种商务行为均建立在信任的基础之上。没有信任，也就不存在人与人之间的交互，更不可能有社会的存在。传统的公章、印戳、签名等手段便是实现不可否认性的主要机制。 1.1.2 信息安全的定义信息安全：保护信息和信息系统不被未经授权的访问、使用、泄露、中断、修改和破坏，为信息和信息系统提供机密性、完整性、可用性、可控性和不可否认性。信息安全（欧共体定义）： 在既定的密级条件下，网络与信息系统抵御意外事件或恶意行为的能力。这些事件和行为将危及所存储或传输的数据以及经由这些网络和系统所提供的服务的可用性、真实性、完整性和秘密性。美国军方自20世纪90年代末便将“信息安全”的概念发展成“信息保障”，突出了信息安全保障系统的多种安全能力及其对机构业务职能的支撑作用。就本质而言，信息安全所针对的均是“信息”这种资源的“安全”，对信息安全的理解应从信息化背景出发，最终落实在信息的安全属性上。 1.2 信息安全的发展过程通信保密阶段（COMSEC）计算机安全（COMPUSEC）和信息安全阶段（INFOSEC）信息保障阶段（IA） 1.2.1 通信保密阶段（COMSEC）开始于20世纪40年代，标志是1949年Shannon发表的保密系统的信息理论，该理论将密码学的研究纳入了科学的轨道。所面临的主要安全威胁：搭线窃听和密码学分析。主要的防护措施：数据加密。人们主要关心通信安全，主要关心对象是军方和政府。需要解决的问题：在远程通信中拒绝非授权用户的信息访问以及确保通信的真实性，包括加密、传输保密、发射保密以及通信设备的物理安全。技术重点：通过密码技术解决通信保密问题，保证数据的机密性和完整性。 1.2.2 计算机安全和信息安全阶段进入20世纪70年代，转变到计算机安全阶段。标志是1977年美国国家标准局（NBS）公布的国家数据加密标准（DES）和1985年美国国防部（DoD）公布的可信计算机系统评估准则（TCSEC）。这些标准的提出意味着解决计算机信息系统保密性问题的研究和应用迈上了历史的新台阶。该阶段最初的重点是确保计算机系统中的硬件、软件及在处理、存储、传输信息中的保密性。主要安全威胁：信息的非授权访问。主要保护措施：安全操作系统的可信计算基技术（TCB），其局限性在于仍没有超出保密性的范畴。国际标准化组织（ISO）将“计算机安全”定义为：为数据处理系统建立的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。 1.2.2 计算机安全和信息安全阶段 20世纪90年代以来，通信和计算机技术相互依存，数字化技术促进了计算机网络发展成为全天候、通全球、个人化、智能化的信息高速公路，Internet成了寻常百姓可及的家用技术平台，安全的需求不断地向社会的各个领域发展，人们的关注对象已经逐步从计算机转向更具本质性的信息本身，信息安全的概念随之产生。 这一阶段密码学的进展在密码学方面，公钥技术得到长足的发展，著名的RSA公开密钥密码算法获得了日益广泛的应用，用于完整性校验的Hash函数的研究应用也越来越多。为了奠定21世纪的分组密码算法基础，美国国家技术和标准研究所（NIST）推行了高级加密标准（AES）的项目，1998年7月选出了15种分组密码算法作为候选算法，最终把Rijndael的算法选成了AES算法。另外，把公钥密码算法的研究和应用投向了椭圆曲线公开密钥密码算法上。 1.2.3 信息保障阶段 当前，对于信息系统的攻击日趋频繁，安全的概念逐渐发生了两个方面的变化：安全不再局限于信息的保护，人们需要的是对整个信息和信息系统的保护和防御，包括了保护、检测、反应和恢复能力（Protect Detect React Restore，PDRR）。安全与应用的结合更加紧密，其相对性、动态性等特性日趋引起注意，追求适度风险的信息安全成为共识，安全不再单纯以功能或机制的强度作为评判指标，而是结合了应用环境和应用需求，强调安全是一种信心的度量，使信息系统的使用者确信其预期的安全目标已获满足。 信息保障（IA）的概念美国军方提出了信息保障（IA）的概念： 保护和防御信息及信息系统，确保其可用性、完整性、保密性、鉴别、不可否认性等特性。这包括在信息系统中融入保护、检测、反应功能，并提供信息系统的恢复功能。（美国国防部令S-3600.1）在信息保障的研究中，美国军方走在世界前列，其代表性的文献之一是NSA于2000年9月发布的信息保障技术框架3.0版（IATF），2002年9月更新为3.1版。（http:/ 信息保障（IA）的概念 信息保障是信息安全发展的最新阶段，由于习惯的原因，很多人也仍在沿用“信息安全”的称谓。为了区别这两个概念，同时体现出继承性，可采用“信息安全保障”概念。 保证信息与信息系统的保密性、完整性、可用性、可控性和不可否认性的信息安全保护和防御过程。它要求加强对信息和信息系统的保护，加强对信息安全事件和各种脆弱性的检测，提高应急反应能力和系统恢复能力。 1.3 信息系统安全什么是信息系统？信息系统安全信息系统安全的方法论 1.3.1 什么是信息系统？大英百科全书对“信息系统”的解释： 有目的、和谐地处理信息的主要工具是信息系统，它对所有形态（原始数据、已分析的数据、知识和专家经验）和所有形式（文字、视频和声音）的信息进行收集、组织、存储、处理和显示。美国学者巴克兰德（M.Buckland）： 提供信息服务，使人们获取信息的系统，如管理信息服务、联机数据库、记录管理、档案馆、图书馆、博物馆等。中国学者吴民伟： 一个能为其所在组织提供信息，以支持该组织经营、管理、制定决策的集成的人-机系统。信息系统利用计算机硬件、软件、人工处理、分析、计划、控制和决策模型，以及数据库和通信技术。 1.3.2 信息系统安全信息系统安全是确保信息系统结构安全，与信息系统相关的元素安全，以及与此相关的各种安全技术，安全服务和安全管理的总和。信息系统安全更具有体系性、可设计性、可实现性和可操作性。本课程将信息系统的概念限制于基于开放系统互连和计算机网络的复杂巨系统，以此为基础讨论信息系统的安全。 1.3.3 信息系统安全的方法论信息系统安全是一个多维、多层次、多因素、多目标的体系。不能离开信息系统安全的体系，孤立和单纯地去寻求直接保护信息内容的方式。从系统工程的角度去理解和构造信息系统安全体系或模式。 1.4 信息系统风险和安全需求什么是安全风险？ 它是信息系统各组成要件在履行其应用功能过程中，在机密性、完整性和可用性等方面存在的脆弱性，以及信息系统内部或外部的人们利用这些脆弱性可能产生的违背信息系统所属组织安全意志的后果。什么是安全需求？它是对抗和消除安全风险的必要方法和措施，安全需求是制定和实施安全策略的依据。 安全风险和安全需求的关系一般来说，由于人们对安全风险有一个认识过程，因而安全需求总是滞后于安全风险的发生和发展。研究信息系统安全体系的最高目标：从研究信息系统风险的一般规律入手，认识和掌握信息系统风险状态和分布情况的变化规律，提出安全需求，建立具有自适应能力的信息系统安全模型，从而驾驭安全风险，使信息系统风险控制在可接受的最小限度内，并渐进于零风险。零风险永远是人类追求的极限目标，因此信息系统安全体系的成功标志是风险的最小化、收敛性和可控性，而不是零风险。信息系统及其组件的脆弱性是安全风险产生的内因，威胁和攻击是安全风险的外因。 1.4.1 信息系统风险信息系统组件固有的脆弱性和缺陷硬件软件网络和通信协议威胁和攻击 威胁和攻击对数据通信系统的威胁包括：对通信或网络资源的破坏，对信息的滥用、讹用或篡改，对信息或网络资源的窃取和删除，信息被泄露；服务中断和被禁止等。偶发性威胁故意性威胁被动性威胁主动性威胁常见攻击冒充重放篡改服务拒绝内部攻击外部攻击陷阱门 威胁和攻击的来源内部操作不当内部管理不严，造成系统安全管理失控来自外部的威胁和犯罪黑客信息间谍计算机犯罪 1.4.2 信息系统安全需求信息系统安全的防御策略最小特权：仅有完成指定任务所必须的特权。纵深防御：建立具有协议层次和横向结构层次的完备体系。阻塞点：网络系统不允许有不被网络系统管理员控制的对外连接通道。监测和/或消除最薄弱链接失效保护：系统运行出现错误或发生故障时，必须拒绝侵袭者跨入内部网络。普遍参与：要求员工普遍参与安全管理的协调，集思广益。防御多样化：使用不同厂商的安全保护系统。简单化：一是让事物简单，便于理解；二是复杂化又带来隐 藏的漏洞。 信息系统安全的工程策略系统性建立“风险分析、安全需求分析、安全策略制订和评估及其实施、风险监测以及实时响应”的可适应安全模型。相关性充分考虑并且认识到信息系统各组件在运行、应用和变更中对安全风险可能产生的相互影响，由此制定的安全策略才是完整的。动态性安全策略必须根据风险变化进行调整。相对性不在于寻求绝对安全的解决方案，而是对信息安全隐患及其安全需求有清醒的认识，且有足够的安全意识。 威胁信息系统的方法非法访问：未经授权使用信息资源，或以未授权的方式使用资源。破坏信息的完整性：篡改，删除，插入。假冒：假冒管理者， 合法主机，网络控制程序，合法用户。破坏系统的可用性：合法用户不能正常访问网络资源，不能及时响应，摧毁系统。截收和辐射侦测：搭线窃听，电磁辐射探测。重放：截获有效信息，重放该信息。抵赖：发送方否认曾发送，接收方否认已接收。 举例1：电子商务系统的安全需求分析电子商务系统普遍性安全风险非法用户通过网络进入系统窃取或者修改数据进行电子犯罪与系统人员勾结联合进行诈骗假冒他人行骗窃用信用卡或购物卡篡改商务信息，制造混乱 抵赖发生的交易或交易的内容电子商务系统安全需求内容完整性保护源鉴别服务数字签名不可抵赖服务身份鉴别访问控制加密 举例2：政务信息系统的安全需求分析普遍性安全风险非法用户通过公共网络进入内联网内各级局域网系统，获取资源或支配资源篡改向社会公布的政务信息，制造混乱插入和修改传输中的数据窃听和截获传输数据 假冒管理者和信息主体发布虚假信息与因特网连接的安全需求用户鉴别访问控制完整性保护源鉴别服务与内联网连接的安全需求身份鉴别访问控制加密建立合适的密钥管理体系 1.5 本章小结信息的本质属性包括机密性、完整性、可用性、可控性和不可否认性。信息安全就是保护信息和信息系统不被未经授权的访问、使用、泄露、中断、修改和破坏，为信息和信息系统提供机密性、完整性、可用性、可控性和不可否认性。信息安全的发展过程经历了通信保密阶段、计算机安全和信息安全阶段以及信息保障阶段三个阶段。信息系统安全是确保信息系统结构安全，与信息系统相关的元素安全，以及与此相关的各种安全技术，安全服务和安全管理的总和。安全风险和安全需求的关系，信息系统安全需求的分析。 习题 1. 信息的安全属性，信息安全的定义？ 2. 什么是安全风险？什么是安全需求？两者的关系？ 3. 常见的攻击有哪些？ 4. 信息系统安全的主要防御策略？ 5. 信息系统安全的工程策略？ 设计报告题目：局域网环境下的安全通信实现要求：完成设计报告一份（三人一组）,15周一交安全风险分析（哪些主要风险），安全需求，安全通信层协议的设计，采用的算法，设计及实现提示：局域网环境下，数据传输不考虑机密性；基于tcp层的可靠传输。