?網絡信息平安?中國科學技術大學肖明軍:///~xiaomj2第一章計算機網絡平安概述教學目的：掌握計算機網絡平安的根本概念、網絡面臨的各種平安威脅、產生平安威脅的原因，以及網絡的平安機制。重點與難點：網絡平安根本概念、產生平安威脅的原因31.3.2網絡出現平安威脅的原因1薄弱的認證環節網絡上的認證通常是使用口令來實現的，但口令有公認的薄弱性。網上口令可以通過許多方法破譯，其中最常用的兩種方法是把加密的口令解密和通過信道竊取口令。41.3.2網絡出現平安威脅的原因2.系統的易被監視性用戶使用Telnet或FTP連接他在遠程主機上的賬戶，在網上傳的口令是沒有加密的。入侵者可以通過監視攜帶用戶名和口令的IP包獲取它們，然后使用這些用戶名和口令通過正常渠道登錄到系統。如果被截獲的是管理員的口令，那么獲取特權級訪問就變得更容易了。成千上萬的系統就是被這種方式侵入的。51.3.2網絡出現平安威脅的原因3.易欺騙性TCP或UDP效勞相信主機的地址。如果使用“IPSourceRouting〞，那么攻擊者的主機就可以冒充一個被信任的主機或客戶。具體步驟：第一，攻擊者要使用那個被信任的客戶的IP地址取代自己的地址；第二，攻擊者構造一條要攻擊的效勞器和其主機間的直接路徑，把被信任的客戶作為通向效勞器的路徑的最后節點；第三，攻擊者用這條路徑向效勞器發出客戶申請；第四，效勞器接受客戶申請，就好象是從可信任客戶直接發出的一樣，然后給可信任客戶返回響應；第五，可信任客戶使用這條路徑將包向前傳送給攻擊者的主機。61.3.2網絡出現平安威脅的原因4.有缺陷的局域網效勞和相互信任的主機主機的平安管理既困難又費時。為了降低管理要求并增強局域網，一些站點使用了諸如NIS(NetworkInformationService)和NFS(NetworkFileSystem)之類的效勞。這些效勞通過允許一些數據庫〔如口令文件〕以分布式方式管理以及允許系統共享文件和數據，在很大程度上減輕了過多的管理工作量。但這些效勞帶來了不平安因素，可以被有經驗闖入者利用以獲得訪問權。一些系統〔如rlogin〕出于方便用戶并加強系統和設備共享的目的，允許主機們相互“信任〞。如果一個系統被侵入或欺騙，那么闖入者來說，獲取那些信任其他系統的訪問權就很簡單了。71.3.2網絡出現平安威脅的原因5.復雜的設置和控制主機系統的訪問控制配置復雜且難于驗證。因此偶然的配置錯誤會使闖入者獲取訪問權。許多網上的平安事故原因是由于入侵者發現的弱點造成。6.無法估計主機的平安性主機系統的平安性無法很好的估計：隨著一個站點的主機數量的增加，確保每臺主機的平安性都處在高水平的能力卻在下降。只用管理一臺系統的能力來管理如此多的系統就容易犯錯誤。另一因素是系統管理的作用經常變換并行動緩慢。這導致一些系統的平安性比另一些要低。這些系統將成為薄弱環節，最終將破壞這個平安鏈。81.3.3網絡平安面臨的困難網絡平安是一個“永恒的〞問題，沒有一勞永逸的解決方案。網絡攻擊與網絡防守的不對稱性攻擊行動是主動行為，相關工具易于獲取，攻擊行為往往精心準備，且難以被追蹤，風險較低。網絡平安的動態性網絡操作系統、軟硬件、網絡協議不斷更新，即使舊的問題解決了，但總會出現新的平安問題。網絡平安的本錢問題網絡平安的本質人性的弱點：缺乏平安意識，缺少平安管理。91.4網絡平安組織機構IETF〔〕因特網工程任務組〔InternetEngineeringTaskForce〕：提出平安協議，如IPSec、TLS、SSH等CERT/CC〔〕計算機平安應急響應/協同中心：響應網絡平安事件、提出解決方案、研究入侵趨勢、分析漏洞、提供平安評估和培訓等效勞NSA〔〕和NIST〔〕美國國家平安局：網絡平安產品、效勞、方案、工程美國國家標準局：制定標準，平安測試101.4網絡平安組織機構ISO/ITU〔〕國際化標準組織〔InternationalStandardOrganization，ISO〕：制定平安標準國際電信聯盟〔InternationalTelecommunicationUnion，ITU〕：在平安體系結構、模型、目錄效勞等方面制定標準中國紅客聯盟〔://〕中國黑客聯盟〔〕111.5平安體系框架網絡系統平安的總需求是物理平安、網絡平安、信息內容平安、應用系統平安的總和，平安的最終目標是確保信息的機密性、完整性、可用性、可控性和抗抵賴性，以及信息系統主體(包括用戶、團體、社會和國家)對信息資源的控制。完整的信息系統平安體系框架由技術體系、組織機構體系和管理體系共同構建。12信息平安體系框架圖13技術體系1〕物理平安技術。信息系統的建筑物、機房條件及硬件設備條件滿足信息系統的機械防護平安；通過對電力供給設備以及信息系統組件的抗電磁干擾和電磁泄露性能的選擇性措施到達相應的平安目的。物理平安技術運用于物理保障環境(含系統組件的物理環境)。2〕系統平安技術。通過對信息系統與平安相關組件的操作系統的平安性選擇措施或自主控制，使信息系統平安組件的軟件工作平臺到達相應的平安等級，一方面防止操作平臺自身的脆弱性和漏洞引發的風險，另一方面阻塞任何形式的非授權行為對信息系統平安組件的入侵或接管系統管理權。14組織機構體系組織機構體系是信息系統平安的組織保障系統，由機構、崗位和人事三個模塊構成一個體系。機構的設置分為三個層次：決策層、管理層和執行層崗位是信息系統平安管理機關根據系統平安需要設定的負責某一個或某幾個平安事務的職位人事機構是根據管理機構設定的崗位，對崗位上在職、待職和離職的雇員進行素質教育、業績考核和平安監管的機構。15管理是信息系統平安的靈魂。信息系統平安的管理體系由法律管理、制度管理和培訓管理三個局部組成。三分技術，七分管理1〕法律管理是根據相關的國家法律、法規對信息系統主體及其與外界關聯行為的標準和約束。2〕制度管理是信息系統內部依據系統必要的國家、團體的平安需求制定的一系列內部規章制度。3〕培訓管理是確保信息系統平安的前提。管理體系161.6OSI平安體系結構ISO于1989年正式公布的國際標準ISO7498-2是闡述OSI〔OpenSystemInterconnection〕參考模型平安體系結構的權威性文獻。它為網絡平安共同體提供一組公共的概念和術語，包括平安性要求、平安策略、平安效勞、平安機制、平安管理等方面的內容，主要用來描述和討論平安問題和解決方案。OSI平安體系結構主要包括：平安效勞、平安機制和平安管理。171.6.1OSI平安效勞認證效勞訪問控制效勞數據保密性效勞數據完整性效勞抗否認效勞181.6.1OSI平安效勞認證〔authentication〕效勞對等實體鑒別：該效勞在數據交換連接建立時提供，用來識別參與數據交換的對等實體，防止假冒。數據源點鑒別：該效勞向接收方保證所接收到的數據單元來自所要求的源點。它不能防止重播或修改數據單元。191.6.1OSI平安效勞訪問控制〔accesscontrol〕效勞該效勞防止非授權使用資源。這些資源包括OSI資源和通過OSI協議可以訪問到的非OSI資源。該效勞可應用于對資源的各種訪問類型(如通信資源的使用；信息資源的讀、寫和刪除；進程資源的執行)或對資源的所有訪問。201.6.1OSI平安效勞數據保密性〔dataconfidentiality〕效勞 提供數據保護，防止數據非授權泄露。連接保密性向某個連接的所有用戶數據提供保密性。無連接保密性向單個無連接平安數據單元中的所有用戶數據提供保密性。選擇字段保密性向連接上的用戶數據內或單個無連接SDU〔效勞數據單元〕中的被選字段提供保密性。業務流保密性防止通過觀察業務流而得到有用的保密信息。211.6.1OSI平安效勞數據完整性〔dataintegrity〕效勞 這些效勞用以抗擊主動攻擊。帶恢復的連接完整性該效勞提供存一個(N)連接上所有(N)數據的完整性。檢測在整個SDU序列中任何數據的任何修改、插入、刪除和重播，并予以恢復。不帶恢復的連接完整性與帶恢復連接完整性的差異僅在于不提供恢復。選擇字段的連接完整性提供在一個連接上，傳輸一個(N)SDU的(N)用戶數據內選擇字段的完整性，并以某種形式確定該選擇字段是否已被修改、插入、刪除或重播。221.6.1OSI平安效勞無連接完整性提供單個無連接的SDU的完整性，并以某種形式確定接收到的SDU是否已被修改。還可確定一種檢測重播的限定形式。選擇字段無連接完整性提供在單個無連接SDU內選擇字段的完整性，并以某種形式確定選擇字段是否已被修改。231.6.1OSI平安效勞抗否認〔non-repution〕效勞具有源點證明的不能否認：為數據接收者提供數據源證明，防止發送者以后任何企圖否認發送數據或它的內容。具有交付證明的不能否認：為數據發送者提供數據交付證明，防止接收者以后任何企圖否認接收數據或它的內容。241.6.2OSI平安機制加密機制訪問控制機制數據完整性機制數字簽名機制鑒別交換機制公證機制業務流填充機制路由控制機制251.6.2OSI平安機制1.加密機制〔enciphermentmechanism〕加密是提供信息保密的核心方法。按照密鑰的類型不同，加密算法可分為對稱密鑰算法和非對稱密鑰算法兩種。按照密碼體制的不同，又可以分為序列密碼算法和分組密碼算法兩種。加密算法除了提供信息的保密性之外，它和其他技術結合，例如hash函數，還能提供信息的完整性。加密技術不僅應用于數據通信和存儲，也應用于程序的運行，通過對程序的運行實行加密保護，可以防止軟件被非法復制，防止軟件的平安機制被破壞，這就是軟件加密技術。261.6.2OSI平安機制2.訪問控制機制訪問控制可以防止未經授權的用戶非法使用系統資源，這種效勞不僅可以提供給單個用戶，也可以提供給用戶組的所有用戶。訪問控制是通過對訪問者的有關信息進行檢查來限制或禁止訪問者使用資源的技術，分為高層訪問控制和低層訪問控制高層訪問控制包括身份檢查和權限確認，是通過對用戶口令、用戶權限、資源屬性的檢查和比照來實現的。低層訪問控制是通過對通信協議中的某些特征信息的識別、判斷，來禁止或允許用戶訪問的措施。如在路由器上設置過濾規那么進行數據包過濾，就屬于低層訪問控制。271.6.2OSI平安機制3.數據完整性機制數據完整性包括數據單元的完整性和數據序列的完整性兩個方面。數據單元的完整性是指組成一個單元的一段數據不被破壞和增刪篡改，通常是把包括有數字簽名的文件用hash函數產生一個標記，接收者在收到文件后也用相同的hash函數處理一遍，看看產生的標記是否相同就可知道數據是否完整。數據序列的完整性是指發出的數據分割為按序列號編排的許多單元時，在接收時還能按原來的序列把數據串聯起來，而不要發生數據單元的喪失、重復、亂序、假冒等情況。281.6.2OSI平安機制4.數字簽名機制〔digitalsignaturemechanism〕數字簽名機制主要解決以下平安問題：1．否認：事后發送者不成認文件是他發送的。2．偽造：有人自己偽造了一份文件，卻聲稱是某人發送的。3．冒充：冒充別人的身份在網上發送文件。4．篡改：接收者私自篡改文件的內容。數字簽名機制具有可證實性、不可否認性、不可偽造性和不可重用性。291.6.2OSI平安機制5.鑒別交換機制〔authenticationmechanism〕交換鑒別機制是通過互相交換信息的方式來確定彼此的身份。用于交換鑒別的技術有：1．口令：由發送方給出自己的口令，以證明自己的身份，接收方那么根據口令來判斷對方的身份。2．密碼技術：發送方和接收方各自掌握的密鑰是成對的。接收方在收到已加密的信息時，通過自己掌握的密鑰解密，能夠確定信息的發送者是掌握了另一個密鑰的那個人。在許多情況下，密碼技術還和時間標記、同步時鐘、雙方或多方握手協議、數字簽名、第三方公證等相結合，以提供更加完善的身份鑒別。3．特征實物：例如IC卡、指紋、聲音頻譜等。301.6.2OSI平安機制6.公證機制〔notarizationmechanism〕網絡上魚龍混雜，很難說相信誰不相信誰。同時，網絡的有些故障和缺陷也可能導致信息的喪失或延誤。為了免得事后說不清，可以找一個大家都信任的公證機構，各方的交換的信息都通過公證機構來中轉。公證機構從中轉的信息里提取必要的證據，日后一旦發生糾紛，就可以據此做出仲裁。311.6.2OSI平安機制7.業務流填充機制〔trafficpaddingmechanism〕業務流填充機制提供針對數據流量分析的保護。外部攻擊者有時能夠根據數據交換的出現、消失、數量或頻率而提取出有用信息。數據交換量的突然改變也可能泄露有用信息。例如當公司開始出售它在股票市場上的份額時，在消息公開以前的準備階段中，公司可能與銀行有大量通信。因此對購置該股票感興趣的人就可以密切關注公司與銀行之間的數據流量以了解是否可以購置。業務流填充機制能夠保持流量根本恒定，因此觀測者不能獲取任何信息。流量填充的實現方法是：隨機生成數據并對其加密，再通過網絡發送。321.6.2OSI平安機制8.路由控制機制〔routingcontrolmechanism〕路由控制機制使得可以指定通過網絡發送數據的路徑。這樣，可以選擇那些可信的網絡節點，從而確保數據不會暴露在平安攻擊之下。而且，如果數據進入某個沒有正確平安標志的專用網絡時，網絡管理員可以選擇拒絕該數據包。331.6.3OSI平安管理OSI平安管理包括對OSI平安的管理以及OSI管理本身的平安性的各個方面。通過對計算機網絡操作的管理，OSI平安管理能夠支持分布式開放系統管理的多種平安策略，既支持網絡整體的強制平安管理策略，又支持網絡中對平安有更高要求的個別系統的自主平安策略。由一個OSI平安管理機構所管理的多個平安實體構成的OSI平安環境稱為平安域OSI平安管理由三局部組成：系統平安管理、平安效勞管理和平安機制管理341.6.3OSI平安管理系統平安管理是對OSI平安域的整體管理總的平安策略管理，主要是一致性的維護和更新提供OSI平安域之間的平安信息交換提供平安效勞管理和平安機制管理之間的交互作用提供平安事件管理，包括事件報告的生產、存儲和查詢提供平安審計管理，當故障發生時能夠檢測和追蹤故障點提供平安恢復管理，當故障發生后，能利用系統備份迅速恢復系統351.6.3OSI平安管理平安效勞管理是指對各個特定平安效勞的管理為某種特定平安效勞定義平安目標為指定的平安效勞提供能夠使用的平安機制對能夠使用的各個平安機制進行協商通過適當的平安機制管理、協調所需的平安機制與系統平安管理和平安機制管理相互作用，實現平安效勞管理361.6.3OSI平安管理平安機制管理是指對一些特定平安機制的管理密鑰管理，對密鑰的產生、存儲和分配進行管理數據加密管理，對加密算法和參數選擇進行管理數字簽名管理，對數字簽名算法和參數選擇進行管理訪問控制管理，通過建立和維護訪問控制表來實現管理數據完整性管理，利用加密技術實現對數據完整性保護371.6.3OSI平安管理鑒別管理，通過產生和分配鑒別信息實現鑒別交換信息的功能業務流填充管理，通過對預定的數據率和隨機數據率的管理實現填充管理路由控制管理，通過確定信任的鏈路或子網，實現選擇平安的路由公證管理，通過對公眾信息分配、公證機構的選擇和通信協議的管理等來實現公證管理381.7網絡與信息平安相關法規網絡信息平安法規系統離不開立法、司法和執法三個過程。目前，我國的網絡信息平安法規體系已經具備一定的規模。391.7.1我國網絡與信息平安法規信息系統平安保護國務院于1994年2月18日發布了?中華人民共和國計算機信息系統平安保護條例?，條例分五章共三十一條，目的是保護信息系統的平安，促進計算機的應用和開展第285條違反國家規定，侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統的，處三年以下有期徒刑或者拘役。第286條違反國家規定，對計算機信息系統功能進行刪除、修改、增加、干擾，造成計算機信息系統不能正常運行，后果嚴重的，處五年以下有期徒刑或者拘役，后果特別嚴重的，處五年以上有期徒刑。……401.7.1我國網絡與信息平安法規國際聯網管理?中華人民共和國計算機信息網絡國際聯網管理暫行規定??中華人民共和國計算機信息網絡國際聯網管理暫行規定實施方法??計算機信息網絡國際聯網平安保護管理方法??中國公用計算機互聯網國際聯網管理方法??計算機信息網絡國際聯網出入口信道管理方法??計算機信息系統國際聯網保密管理規定?411.7.1我國網絡與信息平安法規商用密碼管理條例?商用密碼管理條例?計算機病毒防治?計算機病毒防治管理方法?平安產品檢測與銷售?計算機信息系統平安專用產品檢測和銷售許可證管理方法?421.7.2國外網絡與信息平安法規美國聯邦政府制定有?計算機平安法?、?電子通信秘密法?、?偽造存取手段及計算機詐騙與濫用法?、?聯邦計算機平安處分條例?等歐盟于1996年2月公布了?歐洲議會與歐盟理事會關于數據庫法律保護的指令?日本郵政省于2000年6月8日公布了旨在對付黑客的信息平安對策?信息網絡平安可靠性基淮?的補充修改方案431.8平安評估引言網絡與信息平安已上升為一個事關國家政治穩定、社會安定、經濟有序運行和社會主義精神文明建設的全局性問題。黨的十六屆四中全會，更是把信息平安和政治平安、經濟平安、文化平安放在同等重要的位置并列提出。如何確切掌握網絡和信息系統的平安程度、分析平安威脅來自何方、平安風險有多大，加強信息平安保障工作應采取哪些措施，要投入多少人力、財力和物力；確定已采取的信息平安措施是否有效以及提出按照相應信息平安等級進行平安建設和管理的依據等一系列具體問題。平安評估是解決上述問題的重要方法和根底性工作。441平安評估的目的和意義(1/2)為什么要進行平安評估？計算機網絡是一個龐大的系統。影響因素多。對平安分析的結論因人而異因此，要有一套比較標準、通用的平安評估標準。評估標準可以作為平安評價的依據，也是衡量產品和效勞是否符合系統平安需求的依據。451平安評估的目的和意義(2/2)平安評估的意義在于：指導用戶建立符合平安需求的網絡根據平安級別，選用計算機網絡系統產品建立系統內其他部件的平安評估標準有利于廠家和用戶雙向選擇1983年8月，美國國家平安局計算機平安評估中心提出了?可信計算機系統平安評價準那么?。462制定評估標準的策略與計算機網絡的實際環境相結合首先考慮計算機網絡的實際環境，適當超前。還要考慮應用環境。如數據庫系統與國際環境結合信息產業是全球性的，因此評估標準要符合全球性。具有一定程度上的穩定性核心內容在一定時期內根本不變。具有一定程度上的模糊性不可能面面俱到，容許一定的模糊性473平安標準的制定(1/2)平安策略〔SecurityPolicy〕任何主體缺少適當的平安簽證就不能獲得對敏感信息的訪問。只有指定用戶才能獲得對信息的訪問客體標記〔ObjectMarking〕按敏感程度對客體進行標記主體識別〔SubjectIdentification〕只有在鑒別主體身份后，才能對客體進行訪問。483平安標準的制定(2/2)可檢查性〔Accountability〕有選擇地保存審計信息。平安保證〔SecurityAssurance〕前面的功能要由可靠的軟硬件系統完成連續保證〔ContinuesProtection〕連續保護要求直接延續到計算機網絡的整個生命周期。我國1999年9月公安部制定的?計算機信息平安保護等級劃分準那么?494平安評估的方法一般計算機網絡系統的評估方法可分為三類：風險評估、電子信息處理審計和平安評估。1風險評估指在風險事件發生之后，對于風險事件給計算機網絡系統的各個方面造成的影響和損失進行量化評估的工作。一般從財產遭受威脅和攻擊引起損失等方面來考慮，按照有意或無意破壞、修改、泄漏信息及設備誤用所出現的概率來定量地確定。50中國信息平安風險評估論壇514平安評估的方法電子信息處理審計對系統及其環境連續性和完整性的管理方法進行評估，并對獲取數據進行審計。主要集中控制威脅和風險上，對威脅和攻擊頻度和財產損失進行考慮。特殊輸出審計指定打印某些文件或報表，供檢查審核。數據審計將受控數據送入系統處理，比較結果。系統審計評估系統任務的處理狀態524平安評估的方法平安評估評估系統的假設的威脅和攻擊。重點在控制，數據的質量不是主要問題。比較典型：美國國防部制定的“可信計算機評估準那么〞。對系統平安評估審核提出27條要求。534平安評估的方法風險評估電子信息處理審計安全評估財政預算上的最佳資源分配評估控制檢查政策的適應性評估保護措施強調威脅攻擊的頻率強調控制強調控制強調平衡風險強調修改、保證系統可用強調泄漏、保證系統安全保密控制存在和總量影響預料的威脅和攻擊不可預料的破壞或繞過控制通常是定量通常是定性的通常是定性的面向裝置，對系統和應用不太適用主要面向應用，也適用系統全部包括相互排斥的風險相互重疊的風險往往是部分風險平衡評估強調關鍵方面強調關鍵方面545信息平安評價標準計算機信息系統平安產品種類繁多，功能也各不相同，典型的信息平安評價標準主要有美國國防部公布的?可信計算機系統評價標準?；歐洲德國、法國、英國、荷蘭四國聯合公布的?信息技術平安評價標準?；加拿大公布的?可信計算機產品評價標準?；美國、加拿大、德國、法國、英國、荷蘭六國聯合公布的?信息技術平安評價通用標準?；中國國家質量技術監督局公布的?計算機信息系統平安保護等級劃分準那么?。555.1信息平安評價標準簡介表1.1信息平安評價標準開展歷程信息安全標準名稱頒布國家頒布年份美國可信計算機系統評價標準TCSEC美國國防部1985美國TCSEC修訂版美國國防部1987德國計算機安全評價標準德國信息安全部1988英國計算機安全評價標準英國貿易部和國防部1989信息技術安全評價標準ITSEC歐洲德、法、英、荷四國1991加拿大可信計算機產品評價標準CTCPEC加拿大政府1993信息技術安全評價聯邦標準草案FC美國標準技術委員會和安