340 likes | 560 Views
An Introduction to Network Security Chapter 1 Introduction. 中国科学技术大学网络学院 李艺 E-Mail: LEEYI@USTC.EDU.CN Telephone: 0551- 3606755. 目 录. 第一章 概论 第二章 数论知识 第三章 数据保密 第四章 认证技术 第五章 信息隐藏 第六章 密钥管理 第七章 访问控制 第八章 电子邮件安全 第九章 网络安全 第十章 防病毒技术 第十一章 入侵检测 第十二章 Web 安全.
E N D
An Introduction to Network Security Chapter 1 Introduction 中国科学技术大学网络学院 李艺 E-Mail: LEEYI@USTC.EDU.CN Telephone: 0551- 3606755
目 录 • 第一章 概论 • 第二章 数论知识 • 第三章 数据保密 • 第四章 认证技术 • 第五章 信息隐藏 • 第六章 密钥管理 • 第七章 访问控制 • 第八章 电子邮件安全 • 第九章 网络安全 • 第十章 防病毒技术 • 第十一章 入侵检测 • 第十二章 Web 安全
教材及参考文献 参考文献: • 《信息安全概论》(ISBN 7-5635-0646-2) 牛少鹏主编,北京邮电大学出版社,2004年 • 《网络安全原理与应用》(ISBN: 7-03-011450-7) 张世永主编,科学出版社,2003年 • Making, Breaking Codes: An Introduction to Cryptology (ISBN 0-13-030369-0) ,le, by Paul Garrett • Cryptography and Network Security: principles and practice 2nd ed. By William Stallings • 《初等数论》(第二版)闵嗣鹤,严士建编,高等教育出版社,1982年
随着因特网的发展与普及,人们能够以最快的速度、最低廉的开销获取世界上最新的信息,并在国际范围内进行交流。但同时,随着网络规模的扩大和开放,网络上许多敏感信息和保密数据难免受到各种主动和被动的攻击。因此,人们在享用网络带来的便利的同时,必须考虑计算机网络中存储和传输的信息及数据的安全问题,并制定出相应的控制对策。因此,有人认为信息技术简单地说就是3C技术:Computer(计算机)、Communication(通信) 和Control(控制),即: IT = Computer + Communication + Control 1.1 信息安全的概念和属性 • 信息安全的概念:“安全”一词的基本含义为:“远离危险的状态或特性”。而信息安全是指信息的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持。
1.1.1 信息安全中信息系统的属性: • 完整性(integrity): 指信息在存储或传输过程中保持未经授权不能改变的特性。即对抗黑客的主动攻击,防止数据被篡改和破坏。 • 保密性(confidentiality):指信息不被泄露给未经授权者的特性。即对抗黑客的被动攻击,保证信息不会泄露给非法用户。 • 可用性(availability):指信息可被授权者访问并使用的特性。以保证对数据可用性的攻击,即阻止合法用户不能对数据的合理使用。 • 可追究性(investigable):指从一个实体的行为能够唯一追溯到该实体的特性,可以支持故障隔离、攻击阻断和事后恢复。 • 抗否认性(incontestable) :指一个实体不能够否认其行为的特性,可以支持责任追究、威慑作用和法律行动等。 • 可控性(controllability):指对信息的传播及信息本身有控制能力的特性。授权机构可以对信息实施安全监控。 对于攻击者来说,就是要通过一切可用的手段破坏信息的安全属性。对于信息的拥有者来说,就是要竭力保护信息的安全属性。
信息安全的目标 信息安全目标就是要实现信息系统的基本安全特性(即信息安全基本属性),并达到所需的保障级别(Assurance Level)。保障级别:指保密性、完整性、可用性、可追究性、抗否认性和可控性在具体实现中达到的级别或强度,可以作为安全信任度的尺度。信息系统的安全保障级别主要是通过对信息系统进行安全测评和认证来确定的。
Security Mechanisms安全机制 • Security Mechanisms 安全机制 • 用于检测和防止攻击、并在受到攻击后尽快恢复的方法。 • a mechanism that is designed to detect, prevent, or recover from a security attack • no single mechanism that will support all functions required • however one particular element underlies(成为…的基础) many of the security mechanisms in use: cryptographic techniques • hence our focus on this area
正常流 Normal flow data Source data Destination 中断(干扰) Interruption 截获(侦听) Interception 篡改 Modification 伪造 Fabrication 1.1.2 信息系统面临的威胁及分类 • 信息传输过程中的威胁: • 中断,interruption • 截获,interception • 篡改,modification • 伪造,fabrication
Security Attacks • Security Attacks 安全攻击 使信息系统遭受破坏的任何行为 • any action that compromises(危及) the security of information owned by an organization • information security is about how to prevent attacks, or failing that(受攻击而崩溃), to detect attacks on information-based systems • have a wide range of attacks • can focus of generic types of attacks • note: often threat & attack mean same
被动攻击 Passive Threats 截取(保密性) 消息内容泄密 流量分析 主动攻击 Active Threats 中断 修改 伪造 ( 可用性 ) ( 完整性 ) ( 认证 ) • 主动攻击与被动攻击 • Active Threads • Masquerade伪造 • Replay 重放 • Modification of Message • Denial of Service • Interrupt • Passive Threads • Release (泄露) of Message • Traffic Analysis
信息存储过程中的威胁 非法用户获取系统的访问控制权后,可以破坏信息的保密性、真实性和完整性。 • 信息加工处理中的威胁 有意攻击和无意损坏都会造成信息和系统的破坏。
1.1.3 威胁的表现形式 • 伪装(pseudonym) • 非法连接(illegal association) • 非授权访问(no-authorized access) • 拒绝服务(denial of service) • 抵赖(repudiation) • 信息泄露(leakage of information) • 通信流量分析(traffic analysis) • 改变信息流(invalid message sequencing) • 篡改或破坏数据(data modification or destruction) • 推断或演绎信息(deduction of information) • 非法篡改程序(illegal modification programs)
1.1.4 安全问题根源 前面罗列了许多安全威胁,究其存在根源,大体有以下几种: • 物理安全问题:包括物理设备本身的安全、环境安全和物理设备所在的地域等因素; • 方案设计缺陷:方案设计者的安全理论与实践水平不够,设计出来的方案就必然存在安全隐患; • 系统安全漏洞:系统的安全漏洞:随着软件系统规模的不断增大,信息系统中的安全漏洞和“后门”也不可避免的存在。包括操作系统安全漏洞、网络安全漏洞、应用系统安全漏洞等。 • 人为因素:人的因素是网络安全问题的重要因素,包括人为的无意义的失误,人为的恶意攻击,管理上的漏洞等。 • 总之,信息安全的实质,就是要保障信息系统中的人、设备、软件、数据等要素免受各种偶然和人为的破坏和攻击,使它们发挥正常,保障信息系统能安全可靠地工作。
1.2 信息安全系统防御策略 • 最小特权原则:任何主体仅有完成指定任务所必须的权力。 • 纵深防御:安全体系不能只靠单一安全机制或多种安全服务的堆砌。应该建立相互支撑的多种安全机制。 • 建立控制点:网管对网络进行监控,可对黑客进行监视和控制。 • 检测和消除安全薄弱连接:系统的坚固程度取决于系统最薄弱的环节,加强薄弱环节的安全性,可以提高整个系统的安全性。 • 失效保护原则:系统发生错误,必须拒绝入侵者的进入。 • 普遍参与:员工共同参与,集思广益。 • 防御多样化:使用不同的安全机制提供纵深防御。 • 简单化原则:复杂化会让系统的安全带来新的安全漏洞和隐患。 1.2.1 安全策略的职能 安全策略的职能主要包括对信息系统的限制、监视和保障。
Trusted third party e.g., arbiter(仲裁人), distributor of secret information Principal 委托人 Message Secret information Principal Message Secret information Information Channel Security-related transformation Security-related transformation Opponent 攻击者 1.2.1 网络安全模型 • 网络安全 Model for Network Security
Model for Network Security • using this model requires us to: • design a suitable algorithm for the security transformation • generate the secret information (keys) used by the algorithm • develop methods to distribute and share the secret information • specify a protocol enabling the principals to use the transformation and secret information for a security service
Information System Computing Resources (processor, memory, I/O) • Opponent • human • (e.g., attacker) • software, • (e.g., virus, worm) Data Access Channel Processes Gatekeeper Function 门禁函数 Software Internal security controls • 网络访问安全模型 Network Access Security Model
Model for Network Access(访问) Security • using this model requires us to: • select appropriate gatekeeper functions to identify users • implement (执行) security controls to ensure only authorised users access designated information or resources • trusted computer systems can be used to implement(执行)this model
网络安全防范措施 • Encryption • Software Controls (access limitations in a data base, in operating system protect each user from other users) • Hardware Controls (smartcard) • Policies (frequent changes of passwords) 安全策略 • Physical Controls
跑不掉 改不了 拿不走 看不懂 进不来 网络安全要实现的目标 可审计
1.3 ISO/OSI安全体系结构 ISO对OSI的安全性进行了深入的研究,在此基础上提出了OSI安全体系。定义了安全服务、安全机制和安全管理等概念。设计并使用一个安全系统的最终目的,是设法消除系统中部分或全部安全威胁。探明系统中的安全威胁,根据安全需求选用适当的服务来实现安全保护。 1.3.1安全服务 国际标准组织定义了五种安全服务。 • 对象认证(entity authentication):所谓认证,就是识别和证实。这是防止主动攻击的重要手段。 • 访问控制(access control):分自动访问控制和强制访问控制。它是一种防止越权使用资源的防御措施。 • 数据保密性(data confidentiality):分为信息保密、选择保密、业务流保密,这种服务主要是防御信息泄露。 • 数据完整性(data integrity):这是一种防止非法篡改信息、业务流的一种措施。 • 放抵赖(no-repudiation):主要是防范对方抵赖的一种措施。
1.3.2 安全服务形式 所谓安全服务形式,就是为实现安全服务所使用的手段和方法。按照OSI网络安全体系结构的定义,网络安全服务所需要的安全服务形式包括以下几类: • 数据加密服务形式:这是各种安全服务的基础,用于加密存放或传输的数据; • 数字签名服务形式:用于支持无否认服务和数据完整性服务; • 数据完整性服务形式:用于防止数据的非法篡改; • 鉴别交换服务形式:用于支持访问控制服务所需的身份认证功能; • 路由控制服务形式:用于路由选择的限制和控制,以及路由信息的鉴别; • 防业务流分析服务形式:用于防止攻击者分析业务流的措施; • 公证服务形式:无否认服务的支撑技术。
安全服务与安全机制的关系 服务形式 安全服务 加密 数字 签名 访问 控制 数据 完整性 认证 交换 防业务 流分析 路由 控制 公证 对象认证 是 是 是 访问控制 是 是 数据保密 是 是 是 数据完整 是 是 是 防抵赖 是 是 是 1.3.3 安全服务与安全机制的关系 安全服务与安全机制有着密切的关系。安全服务体现了安全系统的功能;而安全机制则是安全服务的实现。一个安全服务可以由多个安全机制实现;而一个安全机制也可以用于实现多个安全服务中。下表是OSI提出的每类安全服务所需的安全机制:
1.4 安全标准 网络与安全问题日益突出,引起了各个国家尤其是发达国家的高度重视,相关的安全管理和风险意识也日益成为人们关注的焦点。安全防护的基础工作除了制定安全制度以外,最重要的基础工作就是制定安全等级与安全标准。 目前,国际上比 较重要和公认的安全标 准有美国TCSEC(橙 皮书)、欧洲ITSEC、 加拿大CTCPEC、美国 联邦准则(FC)、联合 公共准则(CC)和英国 标准7799,以及ISO颁 发的ISO/IEC17799。它 们的关系如右图所示:
中国: • 制定了一系列基本管理办法 • “中华人民共和国计算机安全保护条例” • “中华人民共和国商用密码管理条例” • “计算机信息网络国际联网管理暂行办法” • “计算机信息网络国际联网安全保护管理办法” • “计算机信息系统安全等级划分标准”等 • 《刑法》修订中,增加了有关计算机犯罪的条款 • 尚未形成完整的体系
在我们国家,计算机和网络的核心技术都依赖进口,很多方面因此受制于人。美国作为一个信息超级大国,在全球推行垄断战略。而信息领域的游戏规则是先入为主,有一种说法叫“赢家通吃”。面对如此严峻的情势,中国信息安全管理实行双管齐下,即发展自己的信息产业和出台严格的管理防范措施,是必然的选择。在我们国家,计算机和网络的核心技术都依赖进口,很多方面因此受制于人。美国作为一个信息超级大国,在全球推行垄断战略。而信息领域的游戏规则是先入为主,有一种说法叫“赢家通吃”。面对如此严峻的情势,中国信息安全管理实行双管齐下,即发展自己的信息产业和出台严格的管理防范措施,是必然的选择。 讲义的第8章罗列了我国现行的信息安全标准,请同学们浏览一下。
1.5 信息安全管理 信息安全管理实质上就是信息安全风险管理。 • 信息安全管理原则 • 制定信息安全方针为信息安全管理提供导向和支持 • 控制目标与控制方式的选择建立在风险评估的基础之上 • 考虑控制费用与风险平衡的原则,将风险降至组织可以接受的水平 • 预防控制为主的思想原则 • 业务持续性原则 • 动态管理原则,对风险实施动态管理 • 全员参与的原则 • 遵循管理的一般循环模式—PDCA持续改进模式
安全管理体系的目标 • 提供一个开发组织安全标准、有效实施安全管理的公共基础,提供组织间交易的可信度 • 建立组织完整的信息安全管理体系并实施与保持,达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式,用最低的成本,达到可接受的信息安全水平,从根本上保证业务的连续性。
资产拥有者 信息资产 安全风险 (风险值) 威胁来源 安全 威胁 安全事件 系统安全弱点 图2:风险计算模型 • 安全风险计算模型
风险计算模型包含信息资产、弱点/脆弱性、威胁等关键要素。每个要素有各自的属性,信息资产的属性是资产价值,弱点的属性是弱点被威胁利用后对资产带来的影响的严重程度,威胁的属性是威胁发生的可能性。风险计算的过程是:风险计算模型包含信息资产、弱点/脆弱性、威胁等关键要素。每个要素有各自的属性,信息资产的属性是资产价值,弱点的属性是弱点被威胁利用后对资产带来的影响的严重程度,威胁的属性是威胁发生的可能性。风险计算的过程是: (1)对信息资产进行识别,并对资产赋值; (2)对威胁进行分析,并对威胁发生的可能性赋值; (3)识别信息资产的脆弱性,并对弱点的严重程度赋值; (4)根据威胁和脆弱性计算安全事件发生的可能性; (5)结合信息资产的重要性和在此资产上发生安全事件的可能性计算信息资产的风险值。
信息安全风险管理与信息系统生命周期和信息安全目标均为直交关系,构成三维结构,如下图示:信息安全风险管理与信息系统生命周期和信息安全目标均为直交关系,构成三维结构,如下图示: 第一维(X轴)表示信息安全 风险管理,包括对象确立、风 险评估、风险控制和审核批准 四个基本步骤,以及贯穿这四 个基本步骤的监控与审查和沟 通与咨询。 第二维(Y轴)表示信息系统 生命周期,包括规划、设计、 实施、运维和废弃五个基本阶 段。 第三维(Z轴)表示信息安全目标,包括保密性、完整性、 可用性、可追究性和抗否认性五个信息安全基本属性,以及它们的保障级别。
三者关系可简要表述为,信息系统生命周期的任何一个阶段,为了达到其信息安全目标,都需要相应的信息安全风险管理。三者关系可简要表述为,信息系统生命周期的任何一个阶段,为了达到其信息安全目标,都需要相应的信息安全风险管理。 三维结构关系表达了信息安全风险管理的整个过程分别体现在信息系统生命周期的各个阶段,且内容上分别反映各个阶段的特性及其信息安全目标。信息系统生命周期各阶段的特性及其信息安全目标的保障级别随行业特点的不同而不同,也就是说,不同的行业在信息系统生命周期的不同阶段,对信息安全基本属性(即保密性、完整性、可用性、可追究性和抗否认性)的要求和侧重不同。因此,可在本标准指导下开发行业的信息安全风险管理指南。
建立信息安全管理体系的作用 • 强化员工的信息安全意识,规范组织信息安全行为; • 对组织的关键信息资产进行全面系统的保护,维持竞争优势; • 在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度; • 使组织的生意伙伴和客户对组织充满信心, • 如果通过体系认证,表明体系符合标准,证明组织有能力保障重要信息,提高组织的知名度与信任度; • 促使管理层坚持贯彻信息安全保障体系。