1、軟件安全軟件安全UESTC-INTEL IA JOINT LAB軟件安全技術軟件安全技術示范性軟件學院軟件技術系郭建東軟件安全軟件安全UESTC-INTEL IA JOINT LAB主要內容：主要內容： 6.1 信息系統及其特征 6.2 信息系統的安全問題分析 6.3 信息系統的安全模型 6.4 信息系統的異常行為探測軟件安全軟件安全UESTC-INTEL IA JOINT LAB6.1 信息系統及其特征信息系統及其特征 什么是IS與MIS？ 按照ISO的定義，MIS是借助于自動化數據處理手段進行管理的系統，由計算機硬件、軟件（包括：系統軟件、應用軟件和管理學軟件包）、數據庫各種規程和人共同組

2、成。 中國企業管理百科全書認為MIS是一個由人、計算機等組成的能進行管理信息的收集、傳遞、加工的信息系統。軟件安全軟件安全UESTC-INTEL IA JOINT LAB一個信息系統的主要特征包括：一個信息系統的主要特征包括： 一定是依賴于計算機的； 涉及了計算機的軟件和硬件； 實現數據的采集、傳遞、加工、處理功能。軟件安全軟件安全UESTC-INTEL IA JOINT LAB系統的主要特性可以概括為：系統的主要特性可以概括為： 1整體性系統的各個部分一定以整體目標為目標，追求全局最優； 2目的性一個系統一定是具有明確目標的，并完成一定的功能； 3層次性一個系統可以分為若干層次和子系統； 4

3、邊界性每一個系統都能夠明顯地區別于其他系統，系統之間有明確的界限； 5關聯性系統包括若干元素，元素之間存在一定的關聯性； 6環境性系統處于一定的環境之中并受環境影響。軟件安全軟件安全UESTC-INTEL IA JOINT LAB信息系統的類型：信息系統的類型： 宏觀的國家經濟信息系統； 面向基層的企事業管理信息系統； 事務型管理信息系統； 辦公型管理信息系統； 專業型管理信息系統等； 既有典型的MRP，ERP，SCM等通用的信息系統，也有針對特定業務的系統。 許許多多以計算機為核心的，實現數據的采集、存儲、操作的系統都屬于信息系統的范疇。軟件安全軟件安全UESTC-INTEL IA JOIN

4、T LAB系統的運行環境要素：系統的運行環境要素： 1物理世界； 2管理者實體擁有授權管理、變更、修復和使用系統的人或者其他系統，其中一些被授權人可能缺乏有效管理系統的能力或具有惡意的目的； 3使用者在使用界面接受來自系統的服務的實體；軟件安全軟件安全UESTC-INTEL IA JOINT LAB 4提供者在系統的使用界面提供服務的實體； 5基礎組織對系統提供信息源、通信鏈接、能源、冷氣等特定服務的實體； 6入侵者企圖超越所擁有的權限并且變更服務或阻止服務，變更系統的功能或性能或者存取秘密信息的實體。軟件安全軟件安全UESTC-INTEL IA JOINT LAB6.2 信息系統的安全問題信

5、息系統的安全問題軟件安全軟件安全UESTC-INTEL IA JOINT LAB典型問題：典型問題： 1如何使經理消除對敏感信息失密的顧慮？ 2系統管理員是否可信？ 3系統第一次如何啟動?即如何使用戶獲得第一次權限? 4如何建立一個可信的口令機制？ 5如何確認某個操作人員的行為？ 6軟件安全軟件安全UESTC-INTEL IA JOINT LABISO7498-2標準中所定義的五種安全標準中所定義的五種安全服務類型：服務類型： 1身份鑒別（Authentication）； 2訪問控制（Access Control）； 3數據保密（Data Confidentiality）； 4數據完整性（ D

6、ata integrity）； 5抗抵賴（Non-reputation）。6.3 安全模型安全模型軟件安全軟件安全UESTC-INTEL IA JOINT LAB系統的使用者劃分為：系統的使用者劃分為： 用戶 系統管理員 信息主管（或企業主管）軟件安全軟件安全UESTC-INTEL IA JOINT LAB把整個系統劃分為以下三個部分把整個系統劃分為以下三個部分 1用戶界面邏輯； 2業務邏輯； 3異常檢測機。軟件安全軟件安全UESTC-INTEL IA JOINT LAB在系統安全方面要實現的主要功能包括：在系統安全方面要實現的主要功能包括： 1訪問控制； 2抗抵賴； 3數據保密； 4身份鑒別

7、； 5授權機制； 6日志審計； 7系統異常探測。軟件安全軟件安全UESTC-INTEL IA JOINT LAB6.3.1 用戶界面邏輯用戶界面邏輯 用戶界面邏輯主要包括兩個部件：數據訪問和登錄控制。 在系統啟動時，用戶首先登錄系統，通過系統驗證后才可以完成數據訪問功能。軟件安全軟件安全UESTC-INTEL IA JOINT LAB通過登錄控制界面，可以完成的通過登錄控制界面，可以完成的主要功能包括：主要功能包括： 1口令驗證； 2口令修改； 3口令數據的加密； 4登錄時間記錄。軟件安全軟件安全UESTC-INTEL IA JOINT LAB軟件安全軟件安全UESTC-INTEL IA JO

8、INT LAB關于登錄控制的設計考慮：關于登錄控制的設計考慮： 用戶ID 用戶修改口令，而不是系統管理員 初始口令的安全 口令安全 用戶封鎖軟件安全軟件安全UESTC-INTEL IA JOINT LAB 用戶ID用戶輸入用戶ID，從權限數據中提取出相應的用戶名。采用用戶編號的原因是回避重名，簡化輸入，同時用戶號本身也可以增加一定的安全性。 用戶修改口令，而不是系統管理員系統管理員對用戶授權，但是口令由用戶在用戶界面輸入，并加密存儲至后臺數據庫中，以避免系統管理員獲取用戶口令造成泄密。軟件安全軟件安全UESTC-INTEL IA JOINT LAB 初始口令的安全系統的第一次運行關鍵是初始口令

9、的賦予，由信息主管（或其他高層）完成用戶身份的確認，同時要求用戶第一次登錄時必須更改初始口令。 口令安全下表為在www.LockD公布的采用“暴力字母破解”方式獲取密碼的“時間列表”（該結果采用一臺雙核心PC）。軟件安全軟件安全UESTC-INTEL IA JOINT LAB密碼類型密碼類型長度長度破解時間破解時間純數字密碼純數字密碼6位位瞬間瞬間8位位348分鐘分鐘10位位163天天大小寫字母大小寫字母6位位33分鐘分鐘8位位62天天數字大小寫字母數字大小寫字母6位位1.5小時小時8位位253天天數字大小寫字母標點數字大小寫字母標點6位位22小時小時8位位23年年軟件安全軟件安全UESTC-

10、INTEL IA JOINT LAB系統口令安全機制要求：系統口令安全機制要求： 1口令長度限制； 2口令字符集限制； 3口令有效期限制。軟件安全軟件安全UESTC-INTEL IA JOINT LAB 用戶封鎖所謂的用戶封鎖是當出現用戶多次登錄系統失敗的情況時，系統將鎖定用戶的操作并提示，解鎖過程必須由系統管理員完成。如果是其他人員冒用用戶身份嘗試對系統攻擊，則鎖定后合法用戶將會發現。軟件安全軟件安全UESTC-INTEL IA JOINT LAB軟件安全軟件安全UESTC-INTEL IA JOINT LAB6.3.3 業務邏輯業務邏輯 在系統的業務邏輯部分主要包括數據服務、權限管理、日志

11、審計三個部分。 數據服務數據服務的主要安全任務是完成特定數據的加密、解密，日志數據的存儲，權限及用戶信息的存儲。軟件安全軟件安全UESTC-INTEL IA JOINT LAB 權限管理權限管理完成用戶的授權，包括兩個部分：系統管理員和信息主完成用戶的授權，包括兩個部分：系統管理員和信息主管。信息主管負責系統啟動和初始授權，系統管理員負管。信息主管負責系統啟動和初始授權，系統管理員負責日常權限管理、日志審計、系統狀態監控、異常監測責日常權限管理、日志審計、系統狀態監控、異常監測、用戶鎖定處理。、用戶鎖定處理。 日志審計日志審計對用戶的操作行為進行跟蹤，提供根據時間、用戶、系對用戶的操作行為進行

12、跟蹤，提供根據時間、用戶、系統的檢索手段。日志信息不能人工清除，避免系統管理統的檢索手段。日志信息不能人工清除，避免系統管理員在后臺對數據進行操作，然后清除信息。每隔一定周員在后臺對數據進行操作，然后清除信息。每隔一定周期（該周期由系統配置設定），日志信息自動清除超過期（該周期由系統配置設定），日志信息自動清除超過該時間的信息，保留最新信息。對信息系統而言，合理該時間的信息，保留最新信息。對信息系統而言，合理并具有一定強度的日志設計，是保證安全，提高安全可并具有一定強度的日志設計，是保證安全，提高安全可信性的重要手段。信性的重要手段。軟件安全軟件安全UESTC-INTEL IA JOINT L

13、AB6.3.4 異常探測機異常探測機 異常探測機實現的主要功能：是日志的分析；網絡狀態的安全監測；提供一定的日志文件保護機制。軟件安全軟件安全UESTC-INTEL IA JOINT LAB異常檢測獨立于業務邏輯的目的：異常檢測獨立于業務邏輯的目的： 1獨立的程序，便于進一步發展，有較大的發展空間； 2位于業務和用戶進程之外，能夠對其進行監控； 3不對信息系統運行發生干擾； 4使該探測器成為系統的可選件。軟件安全軟件安全UESTC-INTEL IA JOINT LAB軟件安全軟件安全UESTC-INTEL IA JOINT LAB6.4 異常行為探測異常行為探測區別內容區別內容異常探測機異常探

14、測機IDS檢測范圍網絡內部行為網絡外部行為實現方式軟件硬件與系統關系可以存取系統數據不能存取系統數據保護目標信息系統網絡軟件安全軟件安全UESTC-INTEL IA JOINT LAB6.4.1 異常行為異常行為 用戶身份的攻擊非法用戶針對用戶ID進行攻擊，試圖猜測用戶身份。在前述內容中，已說明采用用戶ID登錄的原因是方便輸入和安全性。猜測三次后用戶被封鎖。 口令攻擊在已知用戶身份的情況下，猜測口令，進行口令攻擊。在系統設計中，當猜測三次后則封鎖用戶。軟件安全軟件安全UESTC-INTEL IA JOINT LAB 服務器的異常訪問這里是指服務器計算機和WEB SERER等專用服務程序。類似D

15、OS攻擊的方式在局域網內也是有可能發生的。 數據庫異常連接對數據庫的訪問主要是通過特定端口進行的，可能的威脅來自合法的客戶端程序或者非法的客戶端程序。軟件安全軟件安全UESTC-INTEL IA JOINT LAB 數據庫文件變動異常系統中數據庫文件的變動包括文件訪問、拷貝、刪除等操作。 系統管理員攻擊系統管理員攻擊目前是特指以管理員身份對系統中用戶身份的濫用，包括管理員冒用用戶身份訪問數據，私自增加用戶并消除日志痕跡等。 日志文件攻擊針對日志文件發起的包括文件刪除、修改等非法操作。 軟件安全軟件安全UESTC-INTEL IA JOINT LAB6.4.2 日志分析日志分析 日志數據格式-進

16、行系統審計所需要的一些關鍵信息：1用戶名；2用戶標志（ID）；3用戶登錄時間；4用戶退出時間；軟件安全軟件安全UESTC-INTEL IA JOINT LAB5訪問的功能（操作模塊）；6用戶鎖定信息（非法用戶冒用身份）；7口令變動時間；8用戶授權時間；9授權功能；10授權人。軟件安全軟件安全UESTC-INTEL IA JOINT LAB日志數據日志數據Table 日志中所用到的相關信息可以在數據庫中以如下數據表（Table）的形式保存也可成為單獨的日志文件： （1）用戶信息Table用戶名；用戶ID。 （2）授權信息Table用戶ID；授權人；授權日期；登錄口令；口令產生日期（變動日期）；鎖

17、定狀態；功能1權限（允許，禁止）；功能2權限 （3）日志Table用戶ID；登錄時間；退出時間；訪問功能。軟件安全軟件安全UESTC-INTEL IA JOINT LAB軟件安全軟件安全UESTC-INTEL IA JOINT LAB針對日志文件自身的攻擊主要有：針對日志文件自身的攻擊主要有： 日志數據的刪除系統本身不向用戶提供日志數據的刪除功能。為了避免日志文件的無限制膨脹，設定日志數據的過期時間，只有超過該時間的日志數據才可刪除（該刪除操作可以自動或手動完成）。針對非法用戶的攻擊，如果是單獨的日志文件，當系統啟動后，該文件置于異常探測機的保護之下；如果是數據庫數據，則依賴于操作系統和數據庫

18、本身的保護機制。無論是系統操作員還是系統管理員的合法用戶不具有日志文件刪除的能力，而來自于客戶端和服務器端的非法用戶受到異常探測機、操作系統、數據庫系統的安全機制約束。軟件安全軟件安全UESTC-INTEL IA JOINT LAB 日志數據的修改系統不向用戶提供日志修改功能。同時，日志瀏覽也作為重要功能進行授權，當用戶以系統管理員身份進行日志瀏覽時，該操作本身也將被寫入日志。由于單獨的日志文件置于了異常探測機的保護之下，所以可以避免合法用戶的修改。非法用戶試圖對記錄于數據庫中的日志數據進行修改時，則受到操作系統和數據庫系統的約束。軟件安全軟件安全UESTC-INTEL IA JOINT LA

19、B日志數據審計和異常模式日志數據審計和異常模式 （1）手動審計針對日志數據，手動審計主要提供必要的數據檢索和查詢的手段。可根據用戶、授權人、時間段、功能、鎖定狀態、口令日期等進行檢索，以進行必要的分析和事件跟蹤。 （2）自動審計和報警 根據日志數據，系統可自動完成的審計和報警功能包括：用戶鎖定；口令超期；異常時間訪問；異常功能訪問；異常授權軟件安全軟件安全UESTC-INTEL IA JOINT LAB6.4.3 網絡異常探測機網絡異常探測機 網絡異常探測機的主要功能是針對來自網絡的信息進行分析，提供對信息系統的保護報警。 探測器并不是通用的系統異常探測器。 其功能包括：數據流量檢測；服務端口連接數量檢測；文件訪問限制；日志文件保護。軟件安全軟件安全UESTC-INTEL IA JOINT LAB 按照常規方法，設流量統計時間為1）數據流量異常）數據流量異常 在t 內的流量統計平均值為P，進行流量異常報警的條件是當前流量PC與P的差值軟件安全軟件安全UESTC-INTEL IA JOINT LAB 大于給定的范圍，即當 則可判定系統流量異常。但是，事實上，要使這個公式成立卻遠沒有這么簡單，如下幾個因素將可能影響該判斷的正確性：時間間隔的選取；P值的計算方法；的確定。軟件安全軟件安全