信息安全基础知识.ppt

信息安全基础知识 目录 信息安全概述信息安全风险黑客攻击协议层安全安全体系架构安全技术和产品一些安全建议 信息安全概述 信息技术及其应用的发展 A 通信 电报 电话B 计算机C 网络D 网络化社会的崛起 社会技术系统 人 网系统 什么是信息 ISO17799中的描述 Informationisanassetwhich likeotherimportantbusinessassets hasvaluetoanorganizationandconsequentlyneedstobesuitablyprotected Informationcanexistinmanyforms Itcanbeprintedorwrittenonpaper storedelectronically transmittedbypostorusingelectronicmeans shownonfilms orspokeninconversation 强调信息 是一种资产同其它重要的商业资产一样对组织具有价值需要适当的保护以各种形式存在 纸 电子 影片 交谈等 信息系统是有目的 和谐地处理信息的主要工具 它把所有形态 原始数据 已分析的数据 知识和专家经验 和所有形式 文字 视频和声音 的信息进行收集 组织 存储 处理和显示 大英百科全书 信息系统的概念 信息安全的定义 安全的定义基本含义 客观上不受威胁 主观上不存在恐惧 一种能够识别和消除不安全因素的能力 是一个持续的过程 信息安全的定义狭义 具体的信息技术体系或某一特定信息系统的安全 广义 一个国家的社会信息化状态不受外来的威胁和伤害 一个国家的信息技术体系不受外来的威胁和侵害 ISO的定义 为数据处理系统建立和采取的技术和管理的安全保护 保护计算机硬件 软件 数据不因偶然和恶意的原因而遭到破坏 更改和显露 从历史看信息安全 通信保密 ComSEC 计算机安全 CompSEC 信息安全 INFOSEC 信息保障 IA 第一阶段 通信保密 上世纪40年代 70年代重点是通过密码技术解决通信保密问题 保证数据的保密性与完整性主要安全威胁是搭线窃听 密码学分析主要保护措施是加密重要标志1949年Shannon发表的 保密系统的通信理论 1977年美国国家标准局公布的数据加密标准 DES 1976年由Diffie与Hellman在 NewDirectionsinCryptography 一文中提出了公钥密码体制 第二阶段 计算机安全 上世纪70 80年代重点是确保计算机系统中硬件 软件及正在处理 存储 传输信息的机密性 完整性主要安全威胁扩展到非法访问 恶意代码 脆弱口令等主要保护措施是安全操作系统设计技术 TCB 主要标志是1985年美国国防部 DoD 公布的可信计算机系统评估准则 TCSEC 橘皮书 将操作系统的安全级别分为四类七个级别 D C1 C2 B1 B2 B3 A1 后补充红皮书TNI 1987 和紫皮书TDI 1991 等 构成彩虹 Rainbow 系列 操作系统安全级别 第三阶段 信息安全 上世纪80 90年代重点需要保护信息 确保信息在存储 处理 传输过程中及信息系统不被破坏 确保合法用户的服务和限制非授权用户的服务 以及必要的防御攻击的措施 强调信息的保密性 完整性 可控性 可用性等主要安全威胁发展到网络入侵 病毒破坏 信息对抗的攻击等主要保护措施包括防火墙 防病毒软件 漏洞扫描 入侵检测 PKI VPN 安全管理等主要标志是提出了新的安全评估准则CC ISO15408 GB T18336 信息安全的主要内容 安全保障 内容安全运行安全数据安全设备安全 信息 系统 安全管理 信息安全的层次框架体系 第四阶段 信息保障 上世纪90年代后期 确保信息和信息系统的可用性 完整性 可认证性 保密性和不可否认性的保护和防范活动 它包括了以综合保护 检测 反应能力来提供信息系统的恢复 1996年美国国防部 DoD 国防部令S 3600 1典型标志为美国国家安全局制定的 信息保障技术框架 IATF 保护网络和基础设施主干网络的可用性无线网络安全框架系统互连和虚拟私有网 VPN 信息保障技术框架 IATF 保护网络边界登录保护网络远程访问多级安全 保护计算环境终端用户环境系统应用程序的安全 支撑性基础设施密钥管理基础设施 公共密钥基础设施 KMI PKI 检测和响应 深层防御战略的核心因素 人 技术 操作 深层防御战略的技术模型 W PDRR C 一 对象 两个 信息信息系统二 层面 五个 信息内容应用服务局域计算环境边界和外部连接基础设施三 信息状态 五个 产生存储处理传输消亡四 安全属性 八个 保密性 Confidentiality 完整性 Integrity 可用性 Availability 真实性或可认证性 Authenticity 不可否认性 Non repudiation 可控性 Controllability 可审查性 Accountability 五 安全保障能力来源 三个 技术管理人六 信息保障的环节 六个 预警 Warning 保护 Protect 检测 Detect 响应 React 恢复 Restore 反击 Counterattack 可靠 信息安全属性 基本属性保密性 保证机密信息不会泄露给非授权的人或实体 或供其使用 完整性 防止信息被未经授权的篡改 保证真实的信息从真实的信源无失真地到达真实的信宿 可用性 保证信息及信息系统确实为授权使用者所用 防止由于计算机病毒或其它人为因素造成的系统拒绝服务 或为敌手可用 信息系统能够在规定的条件下和规定的时间内完成规定的功能 信息安全属性 其他属性真实性 能对通讯实体身份的真实性进行鉴别 可控性 保证信息行为和过程均在信息主体的掌握和控制之下依照信息主体的意愿进行 可靠性 保证所传输的信息不属于无用信息 不可否认性 建立有效的责任机制 防止实体否认其行为 可审查性 对出现的网络安全问题提供调查的依据和手段并可追踪到唯一的行为实体 信息保障技术环节 预警 Warning 根据以前掌握系统的脆弱性和了解当前的犯罪趋势 预测未来可能受到的攻击和危害 保护 Protect 采用可能采取的手段保障信息的保密性 完整性 可用性 可控性和不可否认性 检测 Detect 利用高技术提供的工具检查系统存在的可能提供黑客攻击 白领犯罪 病毒泛滥脆弱性 反应 React 对危及安全的事件 行为 过程及时作出响应处理 杜绝危害的进一步蔓延扩大 力求系统尚能提供正常服务 恢复 Restore 一旦系统遭到破坏 尽快恢复系统功能 尽早提供正常的服务 反击 Counterattack 利用高技术工具 提供犯罪分子犯罪的线索 犯罪依据 依法侦查犯罪分子处理犯罪案件 要求形成取证能力和打击手段 依法打击犯罪和网络恐怖主义分子 实施安全保障的原则 没有绝对的安全开放最少服务提供最小权限原则 安全需求平衡信息安全保障的问题就是安全的效用问题 在解决或预防信息安全问题时 要从经济 技术 管理的可行性和有效性上做出权衡和取舍 防范不足会造成直接的损失 防范过多又会造成间接的损失 必须根据安全目标审查安全手段 过分繁杂的安全政策将导致比没有安全政策还要低效的安全 需要考虑一下安全政策给合法用户带来的影响 在很多情况下如果用户所感受到的不方便大于所产生的安全上的提高 则执行的安全策略是实际降低了企业的安全有效性 信息安全的目的 打不跨 看不懂 进不来 拿不走 改不了 跑不了 可审查 信息安全的基础 风险管理 风险管理 基于可接受的成本 对影响信息系统的安全风险进行识别 控制 减小或消除的过程 信息安全对策必须以风险管理为基础 安全不必是完美无缺 面面俱到的 但风险必须是能够管理的 最适宜的信息安全策略就是最优的风险管理对策 这是一个在有限资源前提下的最优选择问题 风险管理体系ISO17799 信息安全管理实施细则AS NZS4360AS NZS4360 风险管理标准GAO AIMD98 68 信息安全管理实施指南 信息安全风险 信息安全风险的定义 风险遭受损害或损失的可能性 安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性 ISO IECTR13335 1 1996 信息安全风险是指信息资产的保密性 完整性和可用性等安全属性遭到破坏的可能性 信息安全风险只考虑那些对组织有负面影响的事件 风险的四要素 资产及其价值威胁脆弱性现有的和计划的控制措施 价值 ISO13335以风险为核心的安全模型 资产 资产是任何对组织有价值的东西 信息也是一种资产 对组织具有价值 资产的分类电子信息资产纸介资产软件资产物理资产人员服务性资产公司形象和名誉 主要的信息资产 终端资源 员工工作站威胁 病毒 木马 XActive applet网络资源 路由器 交换机 线缆威胁 IPspoofing systemsnooping服务器资源 DNS WEB Email FTPserveretc威胁 非授权访问 服务中断 木马信息存储资源 人力资源和电子商务数据库威胁 获取商业机密或用户数据 威胁 威胁是可能导致信息安全事故和组织信息资产损失的活动 威胁是利用脆弱性来造成后果 威胁举例黑客入侵和攻击病毒和其他恶意程序软硬件故障人为误操作自然灾害如 地震 火灾 爆炸等盗窃网络监听供电故障未授权访问 脆弱性 是与信息资产有关的弱点或安全隐患 脆弱性本身并不对资产构成危害 但是在一定条件得到满足时 脆弱性会被威胁加以利用来对信息资产造成危害 举例 技术性和非技术性的 系统漏洞程序Bug后门系统没有进行安全配置缺少审计物理环境不安全缺乏安全意识缺乏专业人员不良习惯 安全威胁 物理层面 机房 设备间等的设备防盗 防毁机房 设备间的环境保障链路老化 人为破坏 被动物咬断等网络设备自身故障停电导致网络设备无法工作电磁干扰和泄漏其他 基本威胁 一 非授权访问 没有经过同意 就使用网络或计算机资源 如有意避开系统访问控制机制 对网络设备及资源进行非正常使用 2 擅自扩大权限 越权访问信息 如假冒 身份攻击 非法用户进入网络系统进行违法操作 合法用户以未授权方式进行操作等 安全威胁 基本威胁 二 信息泄露 敏感数据在有意或无意中被泄漏出去 如信息在传输中丢失或泄漏 电磁泄漏或搭线窃听 对信息流向 流量 通信频度和长度等参数的分析 推出有用信息 猜测用户口令 帐号等重要信息 2 信息在存储介质中丢失或泄漏 如通过建立隐蔽隧道等窃取敏感信息等 安全威胁 基本威胁 三 破坏数据完整性 以非法手段窃得对数据的使用权 删除 修改 插入或重发某些重要信息 以取得有益于攻击者的响应 恶意添加 修改数据 以干扰用户的正常使用 安全威胁 基本威胁 四 拒绝服务攻击不断对网络服务系统进行干扰 改变其正常的作业流程 执行无关程序使系统响应减慢甚至瘫痪 影响正常用户的使用 甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务 安全威胁 主要可实现的威胁 假冒某个实体 人或系统 假装成另外一个不同的实体 这是渗入某个安全防线的最为通用的方法 旁路控制为了获得未授权的权利和特权 某个攻击者会发掘系统的缺陷或安全上的脆弱之处 授权侵犯被授权以某一目的使用某一系统或资源的某个人 却将此权限用于其它未授权目的 也称作 内部威胁 特洛伊木马软件中含有一个觉察不出的或无害的程序段 当它被执行时 会破坏用户的安全性 陷门在某个系统或某个文件中设置的 机关 使得当提供特定的输入数据时 允许违反安全策略 安全威胁 安全威胁 潜在的威胁如果在某个给定环境对任何一种基本威胁或者主要的可实现威胁进行分析 我们就能够发现某些特定的潜在威胁 而任意一种潜在威胁都可能导致一些更基本的威胁的发生 举例 窃听 信息从被监视的通信过程中泄露出去 业务流分析 通过对通信业务流模式 有 无 数量 方向 频率 的分析来将信息泄露给非授权个体的一种情报信息窃取方法 人员疏忽 作为主体的人因为疏忽大意而导致的信息泄露事件 媒体清理 通过对数据所依赖的媒体的分析而获得信息 黑客攻击 什么是黑客 通过网络 利用系统中的一些漏洞和缺陷 对计算机系统进行入侵的人hacker与cracker Hacker Cracker 但对于大众 hacker即cracker可能的攻击者 cracker 计算机黑客 hacker 不满或者被解雇的雇员极端危险的罪犯工业 企业间谍对攻击技术好奇的人 攻击的一般过程 第一步 信息探测 寻找目标 获取信息第二步 进入系统 获得初始的访问权限第三步 权限提升 获得更 最高访问权限第四步 深入攻击 攻击其他系统 擦除痕迹 留下后门第五步 拒绝服务 入侵未成功则造成拒绝服务 信息探测一般是入侵过程的开始 任何有头脑的攻击者在尝试获取访问目标系统的特权之前 都要预先进行工作量可能不少的研究 如对网络内部或外部进行有意或无意的可攻击目标的搜寻 踩点 扫描 信息探测的目的确定目标的IP或域名确定目标操作系统类型和版本确定目标系统提供的服务 端口信息 攻击的一般过程1 信息探测 信息探测的手法利用公开信息网络拓扑发现 如ping traceroute firewalk 端口扫描 如nmap 远程操作系统识别 如bannergrab nmapOS指纹鉴别 SNMP扫描 如snmputil 漏洞扫描 如Nessus 商业扫描器 手工漏洞挖掘 如SQL注入 社会工程 攻击的一般过程1 信息探测 traceroute Traceroute使我们知道数据包由出发点 source 到达目的地 destination 所走的路径 Traceroute通过发送小的数据包到目的设备直到其返回 来测量其需要多长时间 一条路径上的每个设备Traceroute要测3次 输出结果中包括每次测试的时间 ms 和设备的名称 如有的话 及其IP地址 在UNIX系统下为Traceroute 在Windows系统下为Tracerert C T 204 71 200 75 overamaximumof30hops 1161ms150ms160ms202 99 38 672151ms160ms160ms202 99 38 653151ms160ms150ms202 97 16 1704151ms150ms150ms202 97 17 905151ms150ms150ms202 97 10 56151ms150ms150ms202 97 9 97761ms761ms752msborder7 serial3 0 0 S 204 70 122 69 8751ms751ms core2 fddi 0 S 204 70 164 49 9762ms771ms751msborder8 fddi 0 S 204 70 164 67 10721ms 741msglobalcenter S 204 70 123 6 11 761ms751mspos4 2 155M cr2 SNV 206 132 150 237 12771ms 771mspos1 0 2488M hr8 SNV 206 132 254 41 13731ms741ms751msbas1r ge3 0 208 178 103 62 204 71 200 75 Tracecomplete NMap NMap NetworkMapper 是Linux下的网络扫描和嗅探工具包 其基本功能有三个 一是探测一组主机是否在线 其次是扫描主机端口 嗅探所提供的网络服务 还可以推断主机所用的操作系统 此外还可以将所有探测结果记录到各种格式的日志中 供进一步分析操作 Nmap可用于扫描含有2个节点的LAN 直至500个节点以上的网络 Nmap还允许用户定制扫描技巧 通常 一个简单的使用ICMP协议的ping操作可以满足一般需求 示例 适用于内外网的探测 以内网操作为示例 外网参数同 简单端口扫描 nmap vv sT sS sF sU sA 192 168 0 1 D127 0 0 1 D伪造的地址 OS检测 nmap vv sS O192 168 0 1RPC鉴别 nmap sS sR192 168 0 1Linux上的portmap就是一个简单的RPC服务 监听端口为111 默认 Ping扫射 nmap sP172 16 15 0 24 snmp扫描 SNMP SimpleNetworkManagementProtocol 简单网络管理协议 是用于管理IP网络上的结点的一种协议 几乎所有的网络设备和网络操作系统都支持SNMP communitystring 社团字串 是基于SNMP协议信息通信时使用的一种 查询密码 当使用特殊的客户端应用程序 通过communitystring的验证 将获得对应的权限 只读或读写 对SNMP中管理信息库 MIB 进行访问 而管理信息库 MIB 中则保存了系统所有的重要信息 很多网络设备厂商以及操作系统厂商 在初始状态下 都使用统一的communitystring public Snmputil 命令行方式的SNMP扫描工具snmputilwalk对方ippublic 1 3 6 1 2 1 25 4 2 1 2列出系统进程snmputilwalk对方ippublic 1 3 6 1 4 1 77 1 2 25 1 1列系统用户列表snmputilget对方ippublic 1 3 6 1 4 1 77 1 4 1 0列出域名snmputilwalk对方ippublic 1 3 6 1 2 1 25 6 3 1 2列出安装的软件snmputilwalk对方ippublic 1 3 6 1 2 1 1列出系统信息 漏洞扫描 什么是漏洞扫描漏洞扫描是一种自动检测远程或本地主机安全性弱点的操作 通过使用扫描器你可以不留痕迹的发现远程服务器的各种TCP UDP端口的分配 所提供的服务及其软件版本 能够让我们间接的或直观的了解到远程主机所存在的安全问题 Nessus是一款可以运行在Linux BSD Solaris以及其他一些系统上的远程安全扫描软件 它是多线程 基于插入式的软件 拥有很好的图形操作界面 能够完成超过1200项的远程安全检查 具有强大的报告输出能力 可以产生HTML XML LaTeX和ASCII文本等格式的安全报告 并且会为每一个发现的安全问题提出解决建议 攻击者在进行信息探测后确定了在其知识范畴内比较容易实现的攻击目标尝试对象 然后开始对目标主机的技术或管理漏洞进行深入分析和验证 试图获得系统的初始访问权 攻击者常用的手段主要是漏洞校验和口令猜解 如 专用的CGI漏洞扫描工具 登录口令破解等等 一般步骤 1 扫描目标主机 2 检查开放的端口 获得服务软件及版本 3 检查服务是否存在漏洞 如果是 利用该漏洞远程进入系统 4 检查服务软件是否存在脆弱帐号或密码 如果是 利用其进入系统 5 服务软件是否泄露系统敏感信息 如果是 检查能否利用 6 扫描相同子网主机 重复以上步骤 直到进入目标主机或放弃 攻击的一般过程2 进入系统 攻击的一般过程3 权限提升 攻击者成功从原先没有权限的系统获取了一个访问权限从而进入系统 但这个权限可能是受限制的 于是攻击者就会采取各种措施 使得当前的权限得到提升 最理想的就是获得最高权限 如Admin或者Root权限 这样攻击者才能进行深入攻击 这个过程就是权限提升 攻击者常用的手段主要是通过缓冲区溢出的攻击方式 一般步骤 1 检查目标主机上的SUID和GUID程序是否存在漏洞 如果是 利用该漏洞提升权限 unix 2 检查本地服务是否存在漏洞 如果是 利用该漏洞提升权限 3 检查本地服务是否存在脆弱帐号或密码 如果是 利用该帐号或密码提升权限 4 检查重要文件的权限是否设置错误 如果是 利用该漏洞提升权限 5 检查配置目录中是否存在敏感信息可以利用 6 检查用户目录中是否存在敏感信息可以利用 7 检查其它目录是否存在可以利用的敏感信息 8 重复以上步骤 直到获得root权限或放弃 攻击的一般过程4 深入攻击 攻击者通过权限提升后 一般是控制了单台主机 从而独立的入侵过程基本完成 但是 攻击者也会考虑如何将留下的入侵痕迹消除 同时开辟一条新的路径便于日后再次进行更深入地攻击 或者以被控制主机为跳板去攻击网络上其他主机 主要技术手段包括木马植入 日志更改或替换 跳板攻击等等 相关日志对守护进程扫描时留下的日志系统登陆产生的日志文件访问产生的日志更改系统设置留下的日志安装黑客工具留下的日志 攻击的一般过程5 拒绝服务 如果目标主机的防范措施比较好 前面的攻击过程可能不起效果 作为部分恶意的攻击者还会采用拒绝服务的攻击方式 模拟正常的业务请求来阻塞目标主机对外提供服务的网络带宽或消耗目标主机的系统资源 使正常的服务变得非常困难 严重的甚至导致目标主机宕机 从而达到攻击的效果 目前 拒绝服务 DoS 成为非常流行的攻击手段 甚至结合木马程序发展成为分布式拒绝服务攻击 DDoS 其攻击威力更大 常见拒绝服务攻击类型SYN溢出Smurf和FragglePingofdeathLandattack 什么是DoS DDoS攻击 攻击者利用因特网上成百上千的 Zombie 僵尸 即被利用主机 对攻击目标发出海量数据包造成动威力巨大的拒绝服务攻击 DenialofService DoS 拒绝服务攻击 DistributedDenialofService DDoS 分布式拒绝服务攻击 攻击者利用系统自身漏洞或者协议漏洞 耗尽可用资源乃至系统崩溃 而无法对合法用户作出响应 Trinoo TFN TFN2K和Stacheldraht 常用攻击工具 DDoS攻击过程 主控主机 中间人handler 合法用户 扫描程序 黑客 Internet 非安全主机 被控主机 代理agent 应用服务器 洪流 ICMPFlood SYNFlood UDPFlood 协议层安全 OSI参考模型和TCP IP协议簇 网络设施 操作系统 应用服务 TCP IP和因特网安全 TheARPAnetsince1966Internet起于研究项目 安全不是主要的考虑少量的用户 多是研究人员 可信的用户群体可靠性 可用性 计费 性能 配置 安全网络协议的开放性与系统的通用性目标可访问性 行为可知性攻击工具易用性Internet和TCP IPv4没有考虑安全因素IPv6的设计中考虑了安全因素Internet没有集中的管理权威和统一的政策安全政策 计费政策 路由政策 识别网络通讯中存在的风险 识别与物理网络相关的风险 Hub 网段1 网段1 网段1 网段2 Sniffer 所有连接都可见 仅网段2通讯可见 Switch 截取 捕获数据 物理层安全问题 对线缆上传输的信号做文章 Composethesignalstransmitoverthewire 威胁 搭线窃听 Sniffer防护 数据加密 流量填充 encryption datalabels trafficpadding 优化网络拓扑 交换 VLAN 防火墙 网络层安全问题 提供逻辑地址和路由IP ICMP InternetProtocol IP 32 bit unique identifyhost头部 20bytes 信息和控制字段威胁 IPspoofing Smurfattack网际控制消息协议 ICMP 在IP层检查错误和其它条件 一般的ICMP信息是非常有用的 威胁 TFN 利用ICMP协议来消耗网络带宽 Winnuke发送畸形的ICMP数据包 保护 firewall systempatch 传输层安全问题 控制主机之间信息的传输TCP UDP协议TCP 面向连接的协议 FTP HTTP SMTP flags SYN FIN ACK PSH RST URGEstablishing TerminatingaTCPconnectionTCP威胁 SYNfloodUDP 面向无连接的协议 Audio video TFTP 端口 IANA Web 80 FTP 20 21 DNS 53 SNMP 161 162 保留端口 Wellknownports 1024注册端口 1024 49151私有端口 49152 65535 TCP IP三次握手 SYN标志 目的端口号 初始序列号 ISN SYN标志 ISN 确认标志 ACK ACK SYNFlooding攻击 1 攻击客户端向被攻击服务器发起带有假冒IP地址的SYN请求 2 服务器试图发送SYN ACK应答到那个不可达的IP地址 3 客户端不会收到ACK 服务器一直发下去 应用层安全问题 1 最难以实现安全的层次简单的邮件传输协议 SMTP 威胁 mailfloodsendingvirusesandTrojanUsernameleak vrfy expn rcptto 防护 病毒网关Anti virusesgatewayUsingsecureSMTPsoftwareeducatingemailusers 文件传输协议 FTP 威胁 利用上载填充硬盘空间 使硬盘空间溢出上传攻击工具到服务器用户名和密码是明文的防护 仅允许匿名连接将数据置于单独分区超文本传输协议 HTTP 威胁 恶意的activeX或Javaapplet脚本Extendedapplications Java CGI ASP 防护 教育用户不要下载未被检验过的应用程序 应用层安全问题 2 SNMPUDP161162Communityname SNMP仅由此提供认证 控制Communityname 就可以控制所有节点明文传输DNSDNS请求使用UDP53端口区域传输使用TCP53端口获取zone文件从属DNS向主DNS请求区域传输保护 防火墙过滤 区域传输时使用认证 应用层安全问题 3 Telnet rsh rlogin 用于远程终端访问并可用来管理UNIX机器 WindowsNT默认无Telnet服务 但很容易加入一个第三方的服务 以明文的方式发送所有的用户名和密码 威胁 有经验的黑客可以劫持一个Telnet会话 保护 尽量不在互联网上传输Telnet流量用SecureShell SSH 代替 应用层安全问题 4 安全体系架构 安全是 怎么说 安全的组织保障 密码机 物理隔离卡 基本安全机制 LAN WAN的安全 TEMPEST 外网互连安全 网络管理 防火墙 安全应用 安全数据库 CA认证 个人机安全保护 安全审计 Windows安全 UNIX安全操作系统 PKI 入侵检测 防病毒 PMI 建立一个有效的安全矩阵 安全矩阵一个安全矩阵由单个操作系统安全特征 日志服务和其他的装备包括防火墙 入侵检测系统 审查方案等构成 安全矩阵系统最主要的几个方面 安全体系 一 ISO7498 2 标准GB T9387 2 信息处理系统开放系统互连基本参考模型第2部分 安全体系结构 等同于ISO7498 2概述目的 是让异构型计算机系统的互连能达到应用进程之间的有效通信 任务 a 提供安全服务与有关机制的一般描述b 确定在参考模型内部可以提供这些服务与机制的位置 三维结构图 authentication Accesscontrol Dataintegrity Dataconfidentiality Non repudiation enciperment Digitalsignature Dataintegrity DataExchange Accesscontrol TrafficPadding Routecontrol notarization Applicationlayer Representationlayer Sessionlayer Transportlayer Networklayer Linklayer Physicallayer SecurityLabel Detection SecurityAuditTrail SecurityRestoration Trustedfunctionality 管理相关 服务相关 安全服务 鉴别服务authentication 访问控制服务Accesscontrol 数据完整性服务Dataintegrity 数据机密性服务Dataconfidentiality 抗抵赖性服务Non repudiation 提供对通信中的对等实体和数据来源的鉴别对等实体鉴别数据原发鉴别 这种服务提供保护以对付OSI可访问资源的非授权使用 这种服务对数据提供保护使之不被非授权地泄露连接机密性无连接机密性选择字段机密性通信业务流机密性 这种服务对付主动威胁 可取如下所述的各种形式之一 带恢复的连接完整性不带恢复的连接完整性选择字段的连接完整性无连接完整性选择字段无连接完整性 这种服务可取如下两种形式 或两者之一有数据原发证明的抗抵赖有交付证明的抗抵赖 服务相关 特定的安全机制 加密 数字签名 数据完整 访问控制 鉴别交换 为数据或业务流提供机密性 加密算法可逆 对称加密 非对称加密不可逆密钥管理 确定两个过程 a 对数据单元签名b 验证签过名的数据单元 防止对资源的未授权使用 可以建立在使用下列所举的一种或多种手段之上 访问控制信息库鉴别信息权力安全标记试图访问的时间试图访问的路由访问持续期 数据完整性有两个方面单个数据单元或字段的完整性数据单元流或字段流的完整性 通信业务流填充 路由选择控制 公证 通过信息交换来保证实体身份 a 使用鉴别信息 例如口令 由发送实体提供而由接收实体验证 b 密码技术 c 使用该实体的特征或占有物 制造通信的假实例 产生欺骗性数据单元或数据单元中的伪数据 用来抵抗通信业务分析 只有在通信业务填充受到机密服务保护时才是有效的 在路由选择过程中应用规则 以便具体地选取或回避某些网络 链路或中继 由可信赖的第三方对数据进行登记 以便保证数据的特征如内容 原发 时间 交付等的准确性不致改变 OSI服务和安全机制间关系 安全服务同ISO协议层关系 安全体系 二 CC ISO15408 1999 GB T18336 2001 通常简称CC 通用准则定义了评估信息技术产品和系统安全性所需的基础准则 是度量信息技术安全性的基准 国际标准化组织统一现有多种准则的努力 1993年开始 1996年出V1 0 1998年出V2 0 1999年5月 成为ISO 15408 主要思想和框架取自ITSEC和FC 充分突出 保护轮廓PP 将评估过程分为 功能 和 保证 两部分 是目前最全面的评价准则 描述IT产品 系统安全要求的统一语言IT安全要求的目录对已有安全准则的总结和兼容灵活的架构 可以定义自己的要求扩展CC要求分为3个部分 第一部分 简介和一般模型第二部分 安全功能要求第三部分 安全保证要求 评估保证级别 EAL2 结构测试级 EAL1 功能测试级 EAL3 方法测试和校验级 EAL4 系统地设计 测试和评审级 EAL5 半形式化设计和测试级 EAL6 半形式化验证的设计和测试级 EAL7 形式化验证的设计和测试级 安全体系 三 ISMS 信息安全管理体系 InformationSecurityManagementSystem ISMS 是系统地对组织的敏感信息进行管理 涉及到人 程序和信息技术 IT 的系统 是在信息安全方面指挥和控制组织以实现信息安全目标的相互关联和相互作用的一组要素 信息安全目标应是可测量的要素可能包括信息安全方针 策略信息安全组织结构各种活动 过程信息安全控制措施人力 物力等资源 相关标准ISO17799 2000信息技术 信息安全管理实施规则采纳BS7799 1 1999 为如何进行安全管理实践的指导ISO17799 2000 10类控制域 36个控制目标 127项控制措施ISO17799 2005 11个控制域 39个控制目标 133个控制措施预计2007年将更名为ISO27002ISO27001 2005信息技术 安全技术 信息安全管理体系要求采纳BS7799 2 1999 BS7799 2 2002 为建立信息安全管理体系必须符合的要求 ISO17799 ISO27001 PDCA循环 Plan Do Check Act又称 戴明环 是能使任何一项活动有效进行的工作程序 P计划 建立ISMS 根据组织的整体方针和目标 建立安全策略 目标以及与管理风险和改进信息安全相关的过程和程序 以获得结果 D实施 实施和运行ISMS 实施和运行安全策略 控制 过程和程序 C检查 监视和评审ISMS 适用时 根据安全策略 目标和惯有经验评估和测量过程业绩 向管理层报告结果 进行评审 A改进 保持和改进ISMS 根据内部ISMS审核和管理评审或其他信息 采取纠正和预防措施 以实现ISMS的持续改进 建立ISMS的步骤 第六步 第五步 第四步 第三步 第二步 威胁 漏洞和影响 机构的风险管理办法所要求达到的保障程度 17799 2 BS7799 中的第四章所列的安全控制目标和措施 不在BS7799的其它安全控制 策略文件 ISMS的范围 风险评估 适用性说明书 信息资产 结果与结论 选定的控制选项 选定的控制目标及控制 第一步 定义策略 定义信息安全管理系统 ISMS 的范围 进行风险评估 管理这些风险 选择控制目标以及要实现的控制 撰写适用性说明书 信息安全管理的过程网络 将相互关联的过程作为一个系统来识别 理解和管理一个过程的输出构成随后过程输入的一部分过程之间的相互作用形成相互依赖的过程网络PDCA循环可用于单个过程 也可用于整个过程网络 信息安全管理的四个重要原则 领导重视 组织保障 指明方向和目标 权威 预算保障 提供所需的资源 监督检查 全员参与 信息安全不仅仅是IT部门的事 让每个员工明白随时都有信息安全问题 每个员工都应具备相应的安全意识和能力 让每个员工都明确自己承担的信息安全责任 持续改进 实现信息安全目标的循环活动 信息安全是动态的 时间性强 持续改进才能有最大限度的安全 组织应该为员工提供持续改进的方法和手段 文件的作用 有章可循 有据可查 文件的类型 手册 规范 指南 记录 信息安全管理的实践经验 反映组织业务目标的安全方针 目标和活动 符合组织文化的安全实施方法 管理层明显的支持和承诺 安全需求 风险评估和风险管理的正确理解 有效地向所有管理人员和员工推行安全措施 向所有的员工和签约方提供本组织的信息安全方针与标准 提供适当的培训和教育 一整套用于评估信息安全管理能力和反馈建议的测量系统 系统安全工程能力成熟模型 ISO21827 适用于信息系统安全的工程组织 采购组织和评估机构 发起者美国国防部美国国家安全局开发SSE CMM的目的降低开发和维护系统的花费 提高工程进度和预算的一致性 选择合适的承包者 11个过程域 5个能力级别 安全体系 四 SSE CMM 安全工程过程 保证论据 风险信息 产品或服务 工程过程Engineering 保证过程Assurance 风险过程Risk 风险 PA04 评估威胁 威胁信息threat 脆弱性信息vulnerability 影响信息impact 风险信息 PA05 评估脆弱性 PA02 评估影响 PA03 评估安全风险 风险就是有害事件发生的可能性一个有害事件有三个部分组成 威胁 脆弱性和影响 工程 安全工程与其它科目一样 它是一个包括概念 设计 实现 测试 部署 运行 维护 退出的完整过程 SSE CMM强调安全工程是一个大的项目队伍中的一部分 需要与其它科目工程师的活动相互协调 PA10指定安全要求 需求 策略等 配置信息 解决方案 指导等 风险信息 PA08监视安全态势 PA07协调安全 PA01管理安全控制 PA09提供安全输入 保证 证据 证据 保证论据 PA11验证和证实安全 指定安全要求 其他多个PA PA06建立保证论据 保证是指安全需要得到满足的信任程度SSE CMM的信任程度来自于安全工程过程可重复性的结果质量 计划执行规范化执行跟踪执行验证执行 定义标准过程协调安全实施执行已定义的过程 建立可测量的质量目标客观地管理过程的执行 1 非正式执行 2 计划与跟踪 3 充分定义 4 量化控制 5 连续改进 执行基本实施 改进组织能力改进过程的有效性 能力级别 代表安全工程组织的成熟级别 公共特性 0未实施 安全技术和产品 安全技术和产品 物理安全技术加密认证访问控制安全审计 防火墙VPN入侵检测安全扫描病毒防护技术备份与恢复 机房安全出入记录报警系统 IC卡技术 指纹技术 虹膜技术 面纹技术等录像监控系统 报警系统 门磁窗磁 红外报警机房屏蔽采用屏蔽室 不锈钢丝网屏蔽室 钢板屏蔽室 屏蔽门 屏蔽窗 通风波导窗信号线的滤波电源线的滤波防电磁干扰和泄漏电源系统采用多路供电的方法 市电 动力电 专有电网 UPS供电等多路电源同时接入 采用电源净化系统 传输屏蔽屏蔽布线光缆传输终端设备辐射防范采用自噪声干扰技术点相关加扰技术同步仿真干扰技术 物理安全技术 加密 加密技术分类 对称密钥加密技术 Symmetric 非对称密钥加密技术 Asymmetric 哈希加密技术 Hash 对称加密 DES 3DESRC2 RC4 RC5 RC6IDEABlowfish和TwofishSkipjackMarsRijndael和SerpentAES Rijndael允许建立128 192 256位密钥多平台支持 智能卡 8 32 64位处理器 速度快 非对称加密 三个普通的组件 RSA数字签名算法 DigitalSignatureAlgorithm Diffie Hellma Station to Station STS 特点 使用密钥对 一半用来加密 一半用来解密速度慢 HASH加密 HASH算法 MD2 MD4 MD5安全哈希算法SHA 1 160位哈希值 抗攻击能力强 用MD5sum命令实现哈希算法 Host md5sum usr sbin named5we5odble392 eoc97mbmd0003ndodom3xep 实用加密程序和协议 IIS PGPMicrosoftExchangeServer Windows2000PGP MIME和S MIME安全HTTP SecureHTTP 安全套接字层SSL 加密强度 算法强度工业标准的算法密钥的保密性注意区分密钥和算法 后者不需保密 密钥的长度2的n次方种破解可能性 2的40次 1 099 511 627 776 加密的优势 数据保密性确保只有特定的接受者才能查看内容数据完整性通过Hash算法确保数据不被篡改认证数字签名提供认证服务不可否定性数字签名允许用户证明信息交换确实发生过 基于PKI的加密原理 一 基于PKI的加密原理 二 认证 你知道什么密码认证你有什么智能卡 数字证书ISO7816你是谁物理 遗传或生物测定学你在哪儿源IP 用于rlogin rsh DNS反向查找 认证机制 基于口令 用户名的身份认证基于主体特征的身份认证 如指纹基于IC卡 PIN号码的认证基于CA证书的身份认证其他的认证方式 基于口令 用户名的身份认证 Server Enduser Username rootPassword 发起访问请求 基于口令 用户名的简单身份鉴别 验证用户名与口令 回应访问请求 允许访问 验证通过 基于主体特征的身份认证 Server Workstation 传送特征信息发起访问请求 基于主体特征的身份鉴别 验证用户特征信息 回应访问请求 允许访问 验证通过 指纹识别器 读取特征信息 获得特征信息 基于IC卡 PIN号码的认证 Server Workstation 传送身份验证信息发起访问请求 基于IC卡 PIN号码的身份鉴别 验证用户身份 回应访问请求 允许访问 验证通过 读卡器 输入PIN号码 插入IC卡 读取用户信息 获得用户信息 基于CA证书的身份认证 基于CA证书的身份鉴别 CA中心 证书发布服务器 用户证书 服务器证书 开始数字证书的签名验证 开始数字证书的签名验证 开始安全通讯 特殊的认证技术 Kerberos美国麻省理工学院为Athena工程而设计的 为分布式计算环境提供一种安全的双向身份认证方法 并强调了客户机对服务器的认证 而别的身份认证技术往往只解决了服务器对客户机的认证 Kerberos有效地防止了来自服务器端身份冒领的欺骗 One timepasswords在登录过程中加入不确定因素 使每次登录过程中传送的信息都不相同 以提高登录过程安全性 例如 登录密码为MD5 用户名 密码 时间 系统接收到登录口令后做 个运算即可验证用产的合法性 访问控制 访问控制机制确保每个系统只有它们想要的个体 按照安全策略 才能够访问 访问控制发生在认证过程之后 控制用户在系统中能访问些什么 这种机制能用于赋予或拒绝权限 一个形象的比喻把访问控制看作是一个公司大楼的门禁系统 大多公司都有一个接待室并且任何人都能进入 这个接待室可以看作是一个开放的WEB服务器 允许未授权的用户访问其主页 要进入公司真正的办公室 人们需要出示身份卡 只有经过认证的员工才能进入办公区域 根据不同的身份只能允许他们进入相关的办公室 所有的操作系统都支持访问控制 访问控制是保护服务器的基本机制 你必须在服务端上限制哪些用户可以访问服务和守护进程 访问控制列表 访问控制列表 ACL 信息系统把资源处理成有着某些特征和属性的对象 资源可以是像打印机或磁盘这样的设备 也可以是操作系统 应用程序或内存 计算机上的文件 等等 与这些资源安全相关的特性就是访问控制列表 ACL 一个ACL是标识个人用户或组的清单 系统维护着一个ACL数据库 每个用户或组都被分配一个访问级别 并根据这个数据库所包含的内容定义这些用户或组能够执行什么 一个通过认证的用户仍必须通过ACL来取得相应的权限 执行控制列表 执行控制列表 ECL 限制应用程序运行时可以操作的资源和行为 用于特殊的应用程序 如NetscapeNavigator 微软的InternetExplorer IBM的Notes 没有商业的操作系统或平台实施一个完全的ECL策略 UNIX系统包含了一些对于rexec rlogin和rshell程序的执行控制列表版本 这些程序都使用执行控制列表来确定在主机A上的哪些用户可以在不登陆的情况下在B主机上执行程序 但是这种形式的执行控制列表只能在远程系统上工作 执行控制列表的一个好处就是能对于那些恶意的ActiveX控件程序的破坏起到一定的保护作用 例如 你可以进一步地控制 java小程序 软件商们已开始开发能够执行更多任务的ECL程序 来允许用户自己决定程序的参数 审计 多数系统以日志文件的形式记录下所有的活动 帮助判断是否发生了不允许的活动以及是怎样发生的 被动审计简单的记录一些活动 不作处理 非实时检测 必须查看这些日志然后根据其包含的内容采取措施 主动审计主动地响应非法访问和入侵结束一个登陆会话拒绝一些主机的访问 包括WEB站点 FTP服务器和e mail服务器 跟踪非法活动的源位置 从逻辑上讲 防火墙既是一个分离器 限制器也是一个分析器 有效地监控内外网之间的任何活动 从具体实现上讲 防火墙是一个独立的进程或一组紧密联系的进程 运行在路由器或服务器上 定义 防火墙是位于两个或多个网络之间 执行访问控制策略的一个或一组系统 是一类防范措施的总称 防火墙 基本要求 内部和外部之间的所有网络数据流必须经过防火墙 只有符合安全政策的数据流才能通过防火墙 防火墙自身应对渗透 penetration 免疫 防火墙 内部可信任网络 外部非信任网络 防火墙的基本作用 Internet 防火墙 过滤进出网络的非法数据 防火墙的其它作用 确保一个单位内的网络与因特网的通信符合该单位的安全方针 为管理人员提供下列问题的答案 谁在使用网络 他们在网络上做什么 他们什么时间使用了网络 他们上网去了何处 谁要上网没有成功 管理进出网络的访问行为 3 封堵某些不安全的服务如NIS NFS4 记录通过防火墙的访问行为和信息内容5 对网络攻击进行检测和告警 防火墙的其它作用 防火墙的分类 基于路由器的防火墙 将过滤功能从路由器中独立出来 并加上审计和告警功能针对用户需求 提供模块化的软件包软件可通过网络发送 用户可根据需要构造防火墙与第一代防火墙相比 安全性提高了 价格降低了 利用路由器本身对分组的解析 进行分组过滤过滤判断依据 地址 端口号 IP旗标及其它网络特征防火墙与路由器合为一体 只有过滤功能适用于对安全性要求不高的网络环境 是批量上市的专用防火墙产品包括分组过滤或者借用路由器的分组过滤功能装有专用的代理系统 监控所有协议的数据和指令保护用户编程空间和用户可配置内核参数的设置安全性和速度大为提高 防火墙厂商具有操作系统的源代码 并可实现安全内核去掉了不必要的系统特性 加固内核 强化安全保护在功能上包括了分组过滤 应用网关 电路级网关增加了许多附加功能 加密 鉴别 审计 NAT转换透明性好 易于使用 基于安全操作系统的防火墙 基于通用操作系统的防火墙 用户化的防火墙工具套 防火墙的发展 防火墙的体系结构 传统防火墙技术 简单包过滤技术状态检测包过滤技术应用代理技术目前市场上主流产品的形态 集成了状态检测包过滤和应用代理的混合型产品 简单包过滤 PacketFilter 优点 速度快 性能高对应用程序透明实现简单 缺点 安全性比较差伸缩性差维护不直观 从192 168 0 0网段到Internet的HTTP访问 放行 禁止通行 状态检测技术 StatefulInspection 应用网关 代理 型 Proxy 优点 安全性非常高提供应用层的安全提供用户级的控制 缺点 性能很差只支持有限的应用对用户不透明安全性依赖于底层OS一般用于代理内部网到外部网的访问 想从内部网访问外部的服务器 我帮你发请求吧 防火墙的功能 访问控制 进行访问规则检查 发起访问请求 合法请求则允许对外访问 将访问记录写进日志文件 合法请求则允许对外访问 发起访问请求 防火墙在此处的功能 1 工作子网与外部子网的物理隔离2 访问控制3 对工作子网做NAT地址转换4 日志记录 内部工作子网与外网的访问控制 进行访问规则检查 发起访问请求 合法请求则允许对外访问 将访问记录写进日志文件 禁止对外发起连结请求 发起访问请求 防火墙在此处的功能 1 DMZ网段与外部子网的物理隔离2 访问控制3 对DMZ子网做MAP映射4 日志记录 DMZ区域与外网的访问控制 防火墙的功能 访问控制 进行访问规则检查 发起访问请求 合法请求则允许对外访问 将访问记录写进日志文件 禁止对工作子网发起连结请求 防火墙在此处的功能 1 DMZ网段与工作子网的物理隔离2 访问控制3 日志记录 发起访问请求 内部工作子网与DMZ区的访问控制 防火墙的功能 访问控制 防火墙的功能 地址转换 目的解决IP地址空间不足问题将现有的私有TCP IP网络连接到公共网络时的IP编址问题向外界隐藏内部网结构方式静态转换1 1 简单的地址翻译动态转换M N 多个内部网地址翻译到N个外部IP地址池端口映射 PAT M 1 多个内部网地址翻译到1个外部IP地址负载均衡1 M 1个外部IP地址对应多个内部服务器 防火墙的其他功能 身份认证内容过滤安全审计 防火墙的作用 STOP 阻止非法进入 1 验明正身2 检查权限 防火墙办不到的事 病毒等恶性程序可利用email夹带等攻击形式 夹带闯关 入侵成功 VPN VirtualPrivateNetwork 指的是以公用开放的网络 如Internet 作为基本传输媒体 通过加密和验证网络流量来保护在公共网络上传输的私有信息不会被窃取和篡改 从而向最终用户提供类似于私有网络 PrivateNetwork 性能的网络服务技术 虚拟专用网 VPN VPN技术的分类 信道加密 信源加密 IPSECVPN IPv4本身并不具任何安全特性 很容易便可伪造出IP包的地址 修改其内容 重播以前的包以及在传输途中拦截并查看包的内容 IPSec解决IPv4以下安全需求 数据机密性 有限的数据流机密性 隐藏明文数据内容或整个IP包 通常靠加密来实现 数据完整性验证 证