搜索
第1章信息系统安全概述•随着信息技术的发展和计算机的普及,计算机已进入社会生活的各个角落,特别是互联网的推广应用,使得人们逐步改变生活、工作、学习和合作交流环境,走向信息化时代。•但是在带来巨大的社会和经济效益的同时,却潜伏着严重的不安全性、危险性及脆弱性。•利用计算机进行高技术犯罪的事件不断出现•纽约一家银行的高级顾问利用掌握的password,篡改银行电脑财务系统,仅12秒,5000万美元从纽约通过旧金山转到苏黎世,由其同伙提走,随后再还原电脑程序。•目前有个估计,用计算机窃取银行资产,平均每次盗窃额为883,279美元,•而抢银行,平均损失才6100美元。•某部高级技术人员把几十年武器研制绝密材料压缩发出。打印出来可以装4卡车。•按照泄密绝密材料4张死刑,可以死万次•原中纪委委员、中核集团党组书记、总经理把机密提供给国外公司•在计算机网络上,A要将信息传送给B,就存在着怎样防止有人窃取信息以及用其它信息干扰的问题;•在信息资源共享上,存在着防止资源随意更改、某些资源须授权查阅等问题。加解密及身份验证•科学水平的不断提高,用password方法已难于起到有效的防范作用,而原来主要用于军事上的通信加密方法正被逐渐用到信息系统和网络上。•信息加密技术已成为防范计算机犯罪的不可缺少的工具。•密码技术也可有效地用于信息完整性验证、数字签名等,以防范电子欺骗。•例如A向B通过网络订货,如何防抵赖,•数字签名•电子合同附有标记A的特殊信息(数字签名),•别人无法伪造,•A无法抵赖。•计算机病毒泛滥成灾•恶性计算机病毒CIH,导致国内很多应用单位的计算机在被CIH病毒传染后,造成严重损失,影响了计算机信息系统的正常应用。CIH计算机病毒在全球造成的损失据估计超过10亿美元,•“爱虫(ILoveyou)”病毒,全球的损失预计高达100亿美元•“红色代码”病毒更是危害无穷。具有病毒和黑客双重功能。我国有许多用户被攻击。•冲击波病毒的肆虐更是损失惨重美国国防部各大网站为此暂时关闭直至安装了防范该病毒的保护装置。•热衷于攻击计算机系统的计算机爱好者和恶意攻击者。•2000年2月份黑客攻击的浪潮,标志着互连网问世以来黑客事件高潮的到来。–2月7日10时15分,汹涌而来的垃圾邮件堵死了雅虎网站除电子邮件服务等三个站点之外的所有服务器,雅虎大部分网络服务陷入瘫痪。–第二天,世界昀著名的网络拍卖行电子湾(eBay)也因神秘客袭击而瘫痪。–美国有线新闻网CNN的网站也因遭神秘客的袭击而瘫痪近两个小时;–顶级购物网站亚马逊也被迫关闭一个多小时。–在此之后又有一些著名网站被袭击,到2月17日为止,黑客攻击个案已增至17宗,–引起美国道琼斯股票指数下降了200多点。–成长中的高科技股纳斯达克股票也一度下跌了80个点。美国国防部统计局对各军种和防务机构的Internet场点的计算机系统,进行了38000次攻击实验,成功访问的概率达到65%。(24700次)。被检测到的只有4%(988次)被检测到的攻击只有27%进行了汇报,也就是150次攻击中只有一次被检测到500次攻击中才有一次被汇报。因此估计国防部每年受到25万次攻击。•联邦执法官员估计每年在美国约有100亿美元的数据被联机窃取。•2007年,台湾利用山东某地政府网站的缺陷,控制了该网站,并以此攻击与该网站连接的国家有关政府机关内部网,窃取大量国家紧密。•信息安全已成为人们关切和迫切需要解决的问题•当然信息安全也不要搞得草木皆兵,关键是根据实际需要采取相应的安全措施。•有关信息安全,涉及到防火墙技术和密码技术,构建可靠的安全体系•信用卡、IC卡等安全问题都需要密切关注和解决。•这门课程主要就是讨论解决有关安全问题的基本方法、基本思想和基本技术。课程要求是,不定期交作业(提前一周通知)10%,完成规定报告5%,完成1个project15%(分2部分),期终笔试占70%。•内容包括:•信息系统安全概述•风险评估•古典密码概述•对称密码算法•非对称密码算法•密码应用和网络安全•计算机病毒概述,•典型计算机病毒分析,•网络攻击与防范1.1信息安全基本概念•1.1.1什么是信息•信息的确切定义理论界尚无定论。信息论奠基人Shannon在《通信的数学理论》一文中指出:信息是“两次不确定性之间的差异”,是用来消除随机不确定性的东西。•控制论创始人维纳认为:信息是人与外部世界互相交换的内容。•现在一般认为:所谓信息,就是客观世界中各事物的变化和特征的昀新反映,是客观事物之间联系的表现,也是客观事物状态经过传递后的再现。•信息是主观世界与客观世界联系的桥梁。•在客观世界中,不同的事物具有不同的特征,正是这些特证给我们带来了不同的信息,从而使我们能够认识客观事物。•信息具有如下特征:•1.普遍性和可识别性。•只要有物质存在,只要有变化着的事物或运动着的客体,信息就会存在。普遍性。•通过感官或其他探测手段来直接或间接识别出客观事物的形状、特征及变化所产生的信息,找出其中的差异,即进行信息的识别,这也是认识信息的关键。•2.存储性和可处理性。•信息依赖于物质和意识,又可以脱离物质和意识独立存在,并存储起来。•通过信息载体将信息保存。同时对信息可以处理。•处理既是对信息的更好开发与利用,同时也是对传递与存储信息提供了极大便利。•3.时效性和可共享性。•一个信息的生成、获取的越早,传递的越快,其价值就越大,随着时间的推延,价值就会衰减。•信息可以被多个主体所利用,即共享性。•4.增值性和可开发性。•通过对资源的昀佳配置,发挥昀大作用,利用已有信息进一步探索和发掘。•5.可控性和多效用性。•信息具有可扩充、可压缩、可处理的特点,这使得信息技术具有可操作性,但也增加了信息技术利用的复杂性。•无论是认识世界还是改造世界,信息都是基础,是知识的源泉、决策的依据、控制的灵魂、管理的保证。•信息还具有可转换性、可传递性、独立性和可继承性,具有很强的社会功能,主要表现在资源功能、教育功能、娱乐功能和舆论功能等方面。•1.1.2什么是信息安全•与信息一样,对于信息安全也没有统一的定义。•从信息安全研究的内容来看,主要涉及两大类:一般信息技术系统的安全,特定信息体系的安全(如银行信息系统,军事指挥系统)。•信息安全,应该确保信息的完整性(integrity),可用性(availability),保密性(confidentiality),可控性(controlability)和可靠性。信息系统安全的内在含义就是采用一切可能方法和手段,确保信息的上述五性。•完整性:是指信息在存储或传输过程中不被修改、破坏、插入、延迟、乱序和丢失。破坏信息的完整性是对信息系统发动攻击的昀终目标。计算机病毒也会破坏信息的完整性。•可用性是指信息可被合法用户访问并按要求顺序使用。对可用性的攻击就是阻断信息的使用,如破坏网络系统的正常运行等。计算机病毒的入侵是对可用性的一大挑战。•保密性是指信息不泄露给非授权的个人和实体,或不供其使用。这里需要借助密码技术。•可控性是指授权机构可以随时控制信息的机密性,密钥托管、密钥恢复等措施就是实现信息安全可控性的手段。•可靠性是指信息系统以用户认可的质量连续服务于用户。这涉及硬件和软件两方面的可靠性问题。•有些信息安全问题与程序设计开发者有关•程序设计缺陷或疏忽造成•(1)缓冲区溢出•攻击者通常会设法造成溢出到系统空间,由此替换系统空间中的代码,这样在其过程调用返回时就可以替换一些指令从而控制操作系统•=(808)-555-1212&parm2=2004jan02•这里userinput页面收到了两个参数,值为:(808)-555-1212和2004jan02•调用者的浏览器将接受用户从表格中填写的数值,并加密后传送给服务器。•攻击者若输入一个非常长的电话号码,例如500位。•开发者通常只分配了15或20个字节。•若500位后,是否会由此造成程序的崩溃?如果崩溃,将是怎样的?是否可以被按照预定的崩溃的方式进行?•攻击者通常是利用溢出先造成系统的崩溃,然后制造出可控制的故障,从而导致了系统的严重安全隐患。•设计时应该对输入有控制。•(2)验证不完全•=(808)-555-1212&parm2=2004jan02•如果parm2提交的值是1800Feb30或2048Min32将会造成什么后果?•对于不正确的数据系统尝试处理,可能会造成系统故障,或者照常运行而得出错误的结果,如帐单计算,就会出错。•采用对提交数据正确性检查,或者通过下拉列表选择,从而避免用户有意或无意的破坏。•但是,提交的结果昀终是包含在URL中进行传递的,而用户特别是攻击者完全可以操作或更改URL的,而服务器是无法区分该条信息是来自客户端的浏览器还是用户直接编辑修改的URL的。•电子商务网站,用户可以直接在网站上下订单。•物品,价格等。如某物品555A单价10元,购买20个,再加上运费共205元,系统将所有这些信息再显示的同时全部传回去:•=101&part=555A&qy=20&price=1&transportcost=5&total=205•攻击者可以通过URL将价格数值从205改到25,。•攻击者可以用此方式以任何价格订购物品,直到漏洞被检查出来。•因此,如果提交的数据不进行完善的验证,敏感的数据将处于公开或失控的状态。•如何验证?•需要密码技术(3)陷门•在代码开发期间加入,其目的可能是为了测试软件模块,或为将来模块的修改和功能增强提供hook(钩子),或作为系统失效时提供的一个特别通道。•当程序成为产品后,陷门可使程序员进入系统。•还有bug等•境外服务商在出口信息产品中,预先安装技术后门,收集信息•Symatec产品后门是美国联邦调查局为反恐根据美国法律设置后门,收集信息•日本智能复印机复印一张记录一张在芯片上,以后更换设备收回该芯片•1.1.3信息系统的安全体系结构•要构建安全的信息系统,必须从几个方面来考虑:•1.物理安全•(1)自然灾害(如雷电、地震、火灾等),物理损坏(如硬盘损坏、设备使用寿命到期等),设备故障(如停电、电磁干扰等),意外事故。解决方案是:防护措施,安全制度,数据备份等。•(2)电磁泄漏,信息泄漏,干扰他人,受他人干扰,乘机而入(如进入安全进程后半途离开),痕迹泄露(如口令密钥等保管不善)。解决方案是:辐射防护,屏幕口令,隐藏销毁等。•(3)操作失误(如删除文件,格式化硬盘,线路拆除等),意外疏漏。•解决方案是:状态检测,报警确认,应急恢复•(4)计算机系统机房环境的安全。解决方案:加强机房管理,运行管理,安全组织和人事管理。•2.安全控制•(1)微机操作系统的安全控制。•(2)网络接口模块的安全控制。在网络环境下对来自其他机器的网络通信进程进行安全控制。•(3)网络互联设备的安全控制。•3.安全服务•包括:对等实体认证服务、访问控制服务、数据保密服务、数据完整性服务、数据源点认证服务和禁止否认服务•4.安全机制•包括:加密机制、数字签名机制、访问控制机制、数据完整性机制、认证机制、信息流填充机制、路由控制机制和公证机制•造成安全缺陷的主要原因是受入侵主机的错误配置。•大多数操作系统都处于一种不可靠的状态中。可以归纳为:安装软件不可靠性的主动状态和被动状态。•1.主动状态•常见的主动状态不可靠问题的例子有:•网络打印服务程序,文件共享服务程序,缺省口令,联网程序实例•2.被动状态•被动状态涉及具有安全程序的操作系统。安全程序如果系统管理员不激活它们的话,将毫无用处。•安全程序要占用更多的资源,给用户更多的限制。•必须根据网络数据的敏感性,依靠可行的安全度量方法去权衡利弊。•ISO于1989年12月颁布了ISO7498-2标准,确定了开放系统互连参考模