网络通信与OSI_10

第十章信息系统安全概述主讲：蔡伟鸿汕头大学工学院计算机系一、网络信息系统是脆弱的主要原因：网络的开放性。组成网络的通信系统和信息系统的自身缺陷。黑客（hacker）及病毒等恶意程序的攻击。有害程序计算机病毒能够利用系统进行自我复制和传播，通过特定事件触发是一种有害程序；传统病毒：引导型、文件型、宏病毒；邮件病毒。程序后门绕开系统的安全检查，直接的程序入口，通常是由程序设计人员为各种目的预留的。特洛伊木马冒充正常程序的有害程序，不能自我复制和传播，当用户试图运行的时候将造成破坏。程序炸弹是由程序员采用编程触发的方式触发，造成破坏。细菌本身没有强烈的破坏性，但通过自我复制，耗尽系统资源。有害程序+网络网络的出现改变了病毒的传播方式几何级数式的传播。扩大了危害范围。增强了攻击的破坏力。主要病毒震荡波(Worm.Sasser)2004-05-19QQ病毒2004-05-17冲击波(Worm.Blaster)2004-05-17网络天空(Worm.Netsky)2004-04-26爱情后门(Worm.LovGate)2004-04-26莫国防(Win32.Mgf)2004-03-24SCO炸弹(Worm.Novarg)2004-03-04恶鹰（Worm.BBeagle）2004-03-04小邮差“专杀工具2004-02-04劳拉(Win32.Xorala)2003-12-25MSN射手(Worm.Smibag)2003-09-29斯文(Worm.Swen)2003-09-19V宝贝(Win32.Worm.BabyV)2003-09-19布莱尔(Worm.Blare)2003-09-08911(Worm.Neroma)2003-09-08别惹我(Worm.Roron)2003-08-21大无极(Worm.Sobig)2003-08-20怪物（Worm.Bugbear）2003-06-16墨菲（Trojan.Mofei）2003-06-16泡沫人(Worm.P2p.Fizzer)2003-05-22猜谜者(Worm.Dvldr)2003-03-14红色结束符(Redlof)2003-03-21WYX引导区2003-05-222003蠕虫王(Worm.NetKiller2003)2003-01-26阿芙伦(Worm.Avron)2003-01-17免费下载硬盘杀手(Worm.Opasoft)2002-12-31求职信(Worm.Klez)2002-08-29CIH2002-04-20Sircam(W32.Sircam.Worm)2001-07-24网络信息系统的主要威胁从协议层次看，常见主要威胁：物理层：窃取、插入、删除等，但需要一定的设备。数据链路层：很容易实现数据监听。网络层：IP欺骗等针对网络层协议的漏洞的攻击。传输层：TCP连接欺骗等针对传输层协议的漏洞的攻击。应用层：存在认证、访问控制、完整性、保密性等所有安全问题。上下层的数据流关系┌──────┐│(N)-PDU│N层└──┬───┘N与N-1接口──────────────┼────────────┌───┐┌──┴───┐│(N-1)││(N-1)││PCI││-SDU│└─┬─┘└──┬───┘└────┐│┌──┴┬─────┴──────┐│(N-1)│(N-1)-SDU│(N-1)-PDU│PCI││(N-1)层└───┴────┬───────┘─────────────┼──────────────┌─────┴────┐(N-2)层│(N-2)--SDU│└──────────┘接口(N-1)-PCI+(N-1)-SDU=(N-1)-PDU─→(N-2)-SDU攻击的种类《信息保障技术框架（IATF）》3.0版中将攻击分为以下5类：被动攻击。主动攻击。物理临近攻击。内部人员攻击。软硬件配装攻击。被动攻击是在未经用户同意和认可的情况下将信息或数据文件泄露给系统攻击者，但不对数据信息做任何修改。常见手段：搭线监听；无线截获；其他截获。不易被发现。重点在于预防，如使用虚拟专用网（VPN）、采用加密技术保护网络以及使用加保护的分布式网络等。主动攻击涉及某些数据流的篡改或虚假流的产生。通常分为：假冒；重放；篡改消息；拒绝服务。能够检测出来。不易有效防止，具体措施包括自动审计、入侵检测和完整性恢复等。二、安全目标系统安全的目标保护计算机和网络系统中的资源免受破坏、窃取和丢失计算机；网络设备；存储介质；软件和程序；各种数据；数据库；通信资源：信道、端口、带宽……；……。归根结底，其最终目标是保护信息的安全。各种安全技术都围绕着信息安全的核心。网络信息系统安全的基本需求保密性(Confidentiality)信息不泄露给非授权用户/实体/过程，不被非法利用。完整性(Integrity)数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失。可用性(Availability)可被授权实体访问并按需求使用的特性，即当需要时总能够存取所需的信息。网络环境下，拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。可控性(Controllability)对信息的传播及内容具有控制能力。不可否认性（抗否性non-repudiation）发送者不能否认其发送的信息。安全服务ISO7498-2中的安全服务五大类可选的安全服务：鉴别（Authentication）包括对等实体鉴别和数据源鉴别；访问控制（AccessControl）；数据保密（DataConfidentiality）；数据完整性（DataIntegrity）；不可否认（Non-Repudiation）。安全服务的实施位置TCP/IP协议层安全服务网络接口互联网层传输层应用层对等实体鉴别-YYY数据源鉴别-YYY访问控制服务-YYY连接保密性YYYY无连接保密性YYYY选择域保密性---Y流量保密性YY-Y有恢复功能的连接完整性--YY无恢复功能的连接完整性-YYY选择域连接完整性---Y无连接完整性-YYY选择域非连接完整性---Y源发方不可否认---Y接收方不可否认---Y应用层提供安全服务的特点只能在通信两端的主机系统上实施。优点：安全策略和措施通常是基于用户制定的；对用户想要保护的数据具有完整的访问权，因而能很方便地提供一些服务；不必依赖操作系统来提供这些服务；对数据的实际含义有着充分的理解。缺点：效率太低；对现有系统的兼容性太差；改动的程序太多，出现错误的概率大增，为系统带来更多的安全漏洞。传输层提供安全服务的特点只能在通信两端的主机系统上实施。优点：与应用层安全相比，在传输层提供安全服务的好处是能为其上的各种应用提供安全服务，提供了更加细化的基于进程对进程的安全服务，这样现有的和未来的应用可以很方便地得到安全服务，而且在传输层的安全服务内容有变化时，只要接口不变，应用程序就不必改动。缺点：由于传输层很难获取关于每个用户的背景数据，实施时通常假定只有一个用户使用系统，所以很难满足针对每个用户的安全需求。网络层提供安全服务的特点在端系统和路由器上都可以实现。优点：主要优点是透明性，能提供主机对主机的安全服务，不要求传输层和应用层做改动，也不必为每个应用设计自己的安全机制；其次是网络层支持以子网为基础的安全，子网可采用物理分段或逻辑分段，因而可很容易实现VPN和内联网，防止对网络资源的非法访问；第三个方面是由于多种传送协议和应用程序可共享由网络层提供的密钥管理架构，密钥协商的开销大大降低。缺点：无法实现针对用户和用户数据语义上的安全控制。数据链路层提供安全服务的特点在链路的两端实现。优点：整个分组（包括分组头信息）都被加密，保密性强。缺点：使用范围有限。只有在专用链路上才能很好地工作，中间不能有转接点。安全机制ISO7498-2中的八类安全机制加密机制（Encryption）；数字签名机制（DigitalSignatureMechanisms）；访问控制机制（AccessControlMechanisms）；数据完整性机制（DataIntegrityMechanisms）；鉴别交换机制（AuthenticationMechanisms）；通信业务填充机制（TrafficPaddingMechanisms）；路由控制机制（RoutingControlMechanisms）；公证机制（NotarizationMechanisms）。安全服务与安全机制的关系机制\服务机密性完整性鉴别访问控制不可否认加密YYY--数字签名-YY-Y访问控制---Y-数据完整性-Y--Y鉴别--Y--业务填充Y----路由控制Y----公证----Y三、安全策略安全策略是指在一个特定的环境中，为保证提供一定级别的安全保护所必须遵守的规则。系统安全策略将决定采用何种方式和手段来保证安全。一些具体策略：采用什么样的安全保障体系；确定网络资源的职责划分；制定使用规则；制定日常维护规程；确定在检测到安全问题或系统遭到破坏时应采用什么样的相应措施。四、信息系统安全评估标准美国TCSEC(桔皮书)该标准是美国国防部制定80年代的。它将安全分为4个方面:安全政策、可说明性、安全保障和文档。在美国国防部虹系列(RainbowSeries)标准中有详细的描述。该标准将以上4个方面分为7个安全级别,从低到高依次为D、C1、C2、B1、B2、B3和A级：A级：绝对可信网络安全；B级：完全可信网络安全（B1、B2、B3）；C级：可信网络安全（C1、C2）；D级：不可信网络安全。问题：以保密和单点机为主。--欧洲ITSEC与TCSEC不同,它并不把保密措施直接与计算机功能相联系,而是只叙述技术安全的要求,把保密作为安全增强功能。另外,TCSEC把保密作为安全的重点,而ITSEC则把完整性、可用性与保密性作为同等重要的因素。ITSEC定义了从E0级(不满足品质)到E6级(形式化验证)的7个安全等级,对于每个系统,安全功能可分别定义。ITSEC预定义了10种功能,其中前5种与桔皮书中的C1-B3级非常相似。加拿大CTCPEC该标准将安全需求分为4个层次:机密性、完整性、可靠性和可说明性。对产品和评估过程强调功能和保证。分为7个保证级，通常称为EAL-1到EAL-7。美国联邦准则(FC)该标准参照了CTCPEC及TCSEC,其目的是提供TCSEC的升级版本,同时保护已有投资,但FC有很多缺陷,是一个过渡标准,后来结合ITSEC发展为联合公共准则CC。信息技术安全评价通用准则(CC)CC的目的是想把已有的安全准则结合成一个统一的标准。该计划从1993年开始执行,1996年推出第一版。CC结合了FC及ITSEC的主要特征,它强调将安全的功能与保障（安全功能的可信度）分离,并将功能需求分为11类63族,将保障分为7类29族。99.7通过国际标准化组织认可,为ISO/IEC15408信息技术安全评估准则。--ISO安全体系结构标准在安全体系结构方面,ISO制定了国际标准ISO7498-2-1989《信息处理系统开放系统互连基本参考模型第2部分安全体系结构》。该标准为开放系统互连(OSI)描述了基本参考模型,为协调开发现有的与未来的系统互连标准建立起了一个框架。其任务是提供安全服务与有关机制的一般描述,确定在参考模型内部可以提供这些服务与机制的位置。四、信息系统安全评估标准信息保障技术框架(IATF)。安全观点的演变：信息保障技术框架(IATF)企图解决什么问题怎样定义信息保护需求和解决方案？现有的何种技术能够满足我的保护需求？什么样的机构资源能够帮助找到所需的保护？当前有哪些