【大学课件】信息安全技术----系讲4

第四讲: 怎样实现网络信息安全与保密？
网络信息安全与保密是一个涉及面很广的问题。

要想达到安全与保密的目的，必须同时从法规政策、管理、技术这三个层次上采取有效措施。

高层的安全功能为低层的安全功能提供保护。

任何单一层次上的安全措施都不可能提供真正的全方位安全与保密。

●先进的技术是网络安全与保密的根本保证。

用户对自身面临的威胁进行风险评估，决定其所需要的安全服务种类，选择相应的安全机制，然后集成先进的安全技术，形成一个全方位的安全系统；
●严格的安全管理。

各用户单位应建立相应的网络安全管理办法，加强内部管理，建立合适的网络安全管理系统，建立安全审计和跟踪体系，提高整体网络安全意识；
●国家和行业部门制订严格的法律、法规。

计算机网络是一种新生事物。

它的许多行为无法可依，无章可循，导致网络上计算机犯罪处于无序状态。

面对日趋严重的网络犯罪，必须建立与网络安全相关的法律、法规，使非法分子慑于法律，不敢轻举妄动。

A:重视安全检测与评估
从安全角度看，入网前的检测和评估是保障网络信息安全与保密的重要措施，它能够把不符合要求的设备或系统拒之门外。

但是，更为重要的是实际网络运行中的监测和评估。

国际上已经为此制定了许多相关的标准，国内也已经建立了十几个不同专业的检测评估中心。

安全检测与评估概论
为了做好各类自动监测系统和网络与信息安全的全面评估，应该重点做
好以下三个方面的工作：
第一：把自动监测系统、网络管理系统和运行维护技术支持系统有机地结合起来。

目前，国内外已经研制出了多种自动监测系统。

比如：112集中测量系统，通信电源、机房空调集中监控系统以及各专业网络的自动监测系统等。

比较常用的有代表性的监测方式有：
备纤监测方式。

利用光纤中的备用光纤，可以使用1310nm窗口或1550nm窗口进行光纤性能监测，反映出光纤的使用情况。

在本地网和局域网上，一般采用备纤监测方式；
在线监测方式。

在现有工作光纤上，通过选择与工作波长相异的监测波长，利用波分复用器和滤波器等，对工作光纤状况进行监测。

24芯光纤监测其中两芯可以监测到85%以上的故障。

在网络主干线上，一般采用在线监测方式，因为芯线资源较宝贵。

安全监测的主要功能有：安全告警报告功能、安全审计跟踪功能和事件报告管理功能等。

当然，安全监测还要与运行维护技术支持系统有机地结合起来，提高维修人员技术业务水平。

第二：重视安全检测和评估与安全技术研究的关系。

安全检测和评估是一项复杂的系统工程，需要很多不同背景的人，从各个不同的方面去认真研究分析。

比如，需要有网络安全专家专门从事寻找网络信息系统的不安全漏洞，对可以的弱点进行详细分析；还需要有人专门从事网络信息安全技术的研究和开发。

形象地说，安全检测和评估既需要人来“守”又需要有人来“攻”。

“攻”与“守”密切相关，相辅相承，共同确保网络信息系统的安全和保密。

比如，美国国家安全局成立了“信息战支持中心”、美国中央情报局成立了“计算机战中心”等机构，专门从事攻击和入侵活动。

另外，还有其它部分的人员不断地改进他们的安全技术。

又比如，1994年，美国为了
测试其国防部的计算机网络信息系统抵抗信息战的能力，特意组织了一批高级“黑客”对此网络进行攻击，结果，被攻击的的8900台计算机中竟有88%的计算机被“黑客”掌握了控制权，而其中仅有4%被国防部管理人员发现。

第三：重视网络互联和互操作试验
网络的互联和互操作是网络信息系统的安全与保密所必须认真关注的问题。

协议、标准接口不同肯定会造成互联互通方面的不畅。

尽管有协议、标准、规范可循，但是其中不少细节也不清楚，因此，各个公司在执行中也会造成互联互通方面的不畅。

特别是我国网络信息系统规模庞大，种类繁多，许多设备都是从不同的国家或不同的公司引进的制式相异的设备，网络系统的各个环节也相当复杂，从而更加增加了网络互联互通的困难。

我国需要建立一些综合性的检测中心，以便更加有效地进行网络互联和互操作试验。

对接口部分也应严格控制，加强安全防范功能。

安全检测与评估是一项十分艰巨的任务。

在网络环境下，许多因素是动态的、不确定的、随机的。

有些因素还与敌对双方的技术水平、能力、各种威胁和攻击手段及对策相关。

一种可行有效的思路是：先进行各个单项检测与评估，然后再进行综合检测与评估。

可靠性检测与评估
网络信息系统的可靠性检测与评估是一个难度较大，目前还是一个正被广泛探讨的重要课题。

对电信网络而言，可采用带有约束条件的解析法来进行。

比如，考虑电信网网端之间的综合可靠度，用呼叫损失作为不可靠的变量。

由于从全网角度看，各组网端之间的呼叫量是不同的，呼叫损失也不同，还要考虑各条线路和交换点的故障，因此，解析法的计算量很大。

如果再把诸如时延
时指标、自然灾害、各种威胁和攻击、软件因素等考虑进去，难度就更大了。

解析法不适用于大规模的公众网络。

影响电信网可靠性和运行综合质量的因素主要表现在以下几个方面：接通率、应答试呼比、应答占用比、溢出比、电路可用率、电路有效利用率、网络时延、吞吐量、误码率、信噪比、频偏比等。

其它一些备选的网络可靠性检测评估方法包括：（1）根据网络吞吐量和传输时延的阀值规定，用基于吞吐量和传输时延的概率指标作为可靠性的测度；（2）用全网络平均每个用户可用性作为可靠性指标；（3）采用在各种故障程度下的不可用性、长时间网络服务中断的发生频率、长时间网络服务中断发生时网络不可用性以及短时间网络服务中断时网络不可用性等指标来衡量可靠性；（4）采用实验测试的方法对网络系统可靠性进行评估（此法虽然可行，但是很复杂且代价昂贵）；（5）借用网络管理的相关功能进行可靠性评测是一种比较经济和容易实现的方法。

网络信息系统的可靠性检测与评估通常采用以上各种方法的综合，由局部到整体，由单功能到多功能，逐步完善。

重点考虑网络故障类型、网络告警原因、故障严重性级别、故障阀值、故障修复和故障频次等。

操作系统评测
计算机操作系统是网络信息系统的核心，其安全性占据十分重要的地位。

因此，网络环境的计算机操作系统的安全检测和评估的重要性是显然的。

国外已经在操作系统的检测和评估方面作了大量的工作。

比如，1983年，美国国家计算机中心发表了著名的“可信任计算机标准评价准则”（Trusted puter Standards Evaluation Criteria，简称TCSEC）。

1985年，美国国防部计算机安全中心（简称DoDCSC）对TCSEC文本进行了修订，推出了“DoD可信计算机系统评估准则”。

1987年，又推出了“可信网络说明（TNI）”，它是TCSEC在网络环境下的原则解释。

1990年，又对TNI
进行了修改。

同年，英国、法国和荷兰等欧洲国家联合提出了欧洲“信息技术安全评估准则（ITSEC）”并于1992年提出欧洲“信息技术安全评估手册（ITSEM）”。

1991年，美国又制定了“可信数据库管理系统说明（TDI）”，它是TCSEC的补充。

1992年，美国推出了“最低限度安全功能要求（MSFR）”。

1993年，加拿大颁布了“加拿大可信计算机产品评估标准（CTCCPEC）”。

1994年，美国、欧洲和加拿大共同研制了“信息技术安全评估的公共准则”。

1996年，国际标准化组织（ISO）正式开始研究新一版本的信息技术安全评估公共准则。

需要指出的是，上述所有准则的评估过程集中在商业制造和支持一般运行的产品上，以满足政府和经办部门的需要。

这些准则并不构成完全的计算机系统安全评价，而只是对计算机系统的安全提供批准或鉴定结果。

在实际中，还要考虑系统所在环境的附加因素，比如：要求的操作方法、特殊用户、应用场合、数据敏感性、物理的和人员的安全、管理和过程的安
全、通信安全等。

美国国防部计算机安全中心提出的安全性评估要求有：
安全策略：必须有一个明确的、确定的由系统实施的安全策略；
识别：必须唯一而可靠地识别每个主体，以便检查主体/客体的访问请求；
标记：必须给每个客体（目标）作一个“标号”，指明该客体的安全级别。

这种结合必须做到对该目标进行访问请求时都能得到该标号以便进行对比；
可检查性：系统对影响安全的活动必须维持完全而安全的记录。

这些活动包括系统新用户的引入、主体或客体的安全级别的分配和变化以及拒绝访问的企图；
保障措施：系统必须含实施安全性的机制并能评价其有效性；
连续的保护：实现安全性的机制必须受到保护以防止未经批准的改变。

根据以上六条要求，“可信计算机系统评估准则”将计算机系统的安全性分为以下四个等级（A、B、C、D）八个级别：
D级：D级是最低的安全保护等级。

拥有这个级别的操作系统就像一个门户大开的房子，任何人可以自由进出，是完全不可信的。

对于硬件来说，是没有任何保护措施，操作系统容易受到损害，没有系统访问限制和数据访问限制，任何人不需任何帐户就可以进入系统，不受任何限制就可以访问他人的数据文件。

这一级别只包含一个类别，它是那些已被评价，但不能满足较高级别要求的系统。

属于这个级别的操作系统有：DOS、Windows、Apple的Macintosh System7.1。

C级：C级有两个安全子级别：C1和C2。

C1级：又称选择性安全保护系统，它描述了一种典型的用在Unix 系统上的安全级别。

这种级别的系统对硬件有某种程度的保护，但硬件受到损害的可能性仍然存在。

用户拥有注册帐号和口令，系统通过帐号和口
令来识别用户是否合法，并决定用户对程序和信息拥有什么样的访问权。

这种访问权是指对文件和目标的访问权。

文件的拥有者和超级用户（root）可以改动文件中的访问属性，从而对不同的用户给予不同的访问权，例如，让文件拥有者有读、写和执行的权力，给同组用户读和执行的权力，而给其它用户以读的权力。

另外，许多日常的管理工作由根用户（root）来完成，如创建新的组和新的用户。

根用户（root）拥有很大的权力，所以它的口令一定要保存好，不要几个人共享。

C1级保护的不足之处在于用户直接访问操纵系统的根用户。

C1级不能控制进入系统的用户的访问级别，所以用户可以将系统中的数据任意移走，他们可以控制系统配置，获取比系统管理员允许的更高权限，如改变和控制用户名。

C2级：除了C1包含的特征外，C2级别还包含有访问控制环境。

该
环境具有进一步限制用户执行某些命令或访问某些文件的权限，而且还加入了身份验证级别。

另外，系统对发生的事件加以审计，并写入日志当中，如什么时候开机，哪个用户在什么时候从哪儿登录等等，这样通过查看日志，就可以发现入侵的痕迹，如多次登录失败，也可以大致推测出可能有人想强行闯入系统。

审计可以记录下系统管理员执行的活动，审计还加有身份验证，这样就可以知道谁在执行这些命令。

审核的缺点在于它需要额外的处理器时间和磁盘资源。

使用附加身份认证就可以让一个C2系统用户在不是根用户的情况下有权执行系统管理任务。

授权分级使系统管理员能够给用户分组，授予他们访问某些程序的权限或访问分级目录。

另一方面，用户权限可以以个人为单位授权用户对某一程序所在目录进行访问。

如果其它程序和数据也在同一目录下，那么用户也将自动得到
访问这些信息的权限。

能够达到C2级的常见操作系统有:UNIX系统、XENIX、Novell3.x或更高版本、Windows NT。

B级：B级中有三个子级别：B1级、B2级和B3级。

B1级：即，标志，安全保护。

它是支持多级安全（比如秘密和绝密）的第一个级别，这个级别说明一个处于强制性访问控制之下的对象，系统不允许文件的拥有者改变其许可权限。

拥有B1级安全措施的计算机系统，随操作系统而定。

政府机构和防御系统承包商们是B1级计算机系统的主要拥有者。

B2级：又叫做结构保护，要求计算机系统中所有的对象都加标签，而且给设备（磁盘，磁带和终端）分配单个或多个安全级别。

这是提出较高安全级别的对象与另一个较低安全级别的对象相通讯的第一个级别。

B3级：或称为安全区域保护。

它使用安装硬件的方式来加强安全
区域保护。

例如，内存管理硬件用于保护安全区域免遭无授权访问或其它安全区域对象的修改。

该级别要求用户通过一条可信任途径连接到系统上。

A级：A级或验证设计是当前的最高级别，包括了一个严格的设计，控制和验证过程。

与前面提到的各级别一样，这一级别包含了较低级别的所有特性。

设计必须是从数学角度上经过验证的，而且必须进行秘密通道和可信任分布的分析。

这里，可信任分布的含义是，硬件和软件在物理传输过程中已经受到保护，以防止破坏安全系统。

在上述八个级别中，B1级和B2级的级差最大，因为只有B2、B3和A 级，才是真正的安全等级，它们至少经得起程度不同的严格测试和攻击。

目前，我国普遍应用的计算机，其操作系统大都是引进国外的属于C1级和C2级产品。

因此，开发我国自己的高级别的安全操作系统和数据库的任务迫在眉睫，当然其开发工作也是十分艰巨的。

计算机操作系统的评价准则的建立不仅对于评价、监察已经运行的计算机系统的安全具有指导意义，而且对于研究、设计、制造和使用计算机系统，确保其安全性具有十分重要的意义。

保密性的检测与评估
保密性的评检测和评估涉及加密和破译两方面。

加密和破译的技术能力都是在各自隐蔽的环境下进行技术对抗，因此，绝对的保密性评估是不实际的，保密评测只是一种相对意义上的检测和评估。

保密性可以分为两种情况：理论保密和实际保密。

理论保密要求敌手绝对不可能从所获得或截取的信息中推导出任何有意义的消息。

换句话说，不管破译者利用何种方法，使用何种先进的设备，他始终不能够精确地选出会话密钥。

遗憾的是，在实际中，不可能存在理论保密的网络信息系统。

实际保密建立在这样的假设之上，既，破译者可以获得足够多的信息来
破译密码，并且可以通过一个给定的密码分析问题所需要的工作量来衡量，但是破译者的工作从时间或经济等方面来说是得不偿失的。

实际保密的信息系统可以这样来实现：设计一种密码算法，使得即使是破译者掌握了特定的加密算法知识，并已经获得大量的选择密文/明文及其对应的明文/密文的情况下，要求解出明文或密钥在计算上也是不可行的。

网络信息系统的安全性评测所涉及的内容还有很多，比如：Internet 安全评测、防火墙评测、服务器评测、病毒检测等。

B:建立完善的安全体系结构
OSI安全服务
为了适应网络技术的发展，国际标准化组织ISO的计算机专业委员会根据开放系统互联参考模型OSI制定了一个网络安全体系结构，包括安全
服务和安全机制。

该模型主要解决对网络信息系统中的安全与保密问题。

针对网络系统受到的威胁，OSI安全体系结构要求的安全服务是：
对等实体鉴别服务。

这种服务是在两个开放系统同等层中的实体建立连接和数据传送期间，为提供连接实体身份的鉴别而规定的一种服务。

这种服务防止假冒或重放以前的连接，也即防止伪造连接初始化这种类型的攻击。

这种鉴别服务可以是单向的也可以是双向的。

访问控制服务。

这种服务可以防止未经授权的用户非法使用系统资源。

这种服务不仅可以提供给单个用户，也可以提供给封闭的用户组中的所有用户。

数据保密服务。

这种服务的目的是保护网络中各系统之间交换的数据，防止因数据被截获而造成的泄密。

包括以下内容：
·连接保密：即对某个连接上的所有用户数据提供保密。

·无连接保密：即对一个无连接的数据报的所有用户数据提供保密。

·选择字段保密：即对一个协议数据单元中的用户数据的一些经选择的字段提供保密。

·信息流安全：即对可能从观察信息流就能推导出的信息提供保密。

数据完整性服务。

这种服务用来防止非法实体（用户）的主动攻击（如对正在交换的数据进行修改、插入，使数据延时以及丢失数据等），以保证数据接收方收到的信息与发送方发送的信息完全一致。

具体提供的数据完整性服务有以下五种：
·可恢复的连接完整性：该服务对一个连接上的所有用户数据的完整性提供保障，而且对任何服务数据单元的修改、插入、删除或重放都可使之复原。

·无恢复的连接完整性：该服务除了不具备恢复功能之外，其余同前。

·选择字段的连接完整性：该服务提供在连接上传送的选择字段的完整
性，并能确定所选字段是否已被修改、插入、删除或重放。

·无连接完整性：该服务提供单个无连接的数据单元的完整性，能确定收到的数据单元是否已被修改。

·选择字段无连接完整性：该服务提供单个无连接数据单元中各个选择字段的完整性，能确定选择字段是否被修改。

数据源鉴别服务。

这是某一层向上一层提供的服务，它用来确保数据是由合法实体发出的，它为上一层提供对数据源的对等实体进行鉴别，以防假冒。

禁止否认服务。

这种服务用来防止发送数据方发送数据后否认自己发送过数据，或接收方接收数据后否认自己收到过数据。

该服务由以下两种服务组成：
·不得否认发送：这种服务向数据接收者提供数据源的证据，从而可防止发送者否认发送过这个数据。

·不得否认接收：这种服务向数据发送者提供数据已交付给接收者的证据，因而接收者事后不能否认曾收到此数据。

上面这两种服务实际是一种数字签名服务。

OSI安全机制
为了实现上述各种OSI安全服务，ISO建议了以下八种安全机制：
加密机制。

加密是提供数据保密的最常用方法。

按密钥类型划分，加密算法可分为对称密钥加密算法和非对称密钥两种；按密码体制分，可分为序列密码和分组密码算法两种。

用加密的方法与其他技术相结合，可以提供数据的保密性和完整性。

除了对话层不提供加密保护外，加密可在其他各层上进行。

与加密机制伴随而来的是密钥管理机制。

数字签名机制。

数字签名是解决网络通信中特有的安全问题的有效方法。

特别是针对通信双方发生争执时可能产生的如下安全问题：
·否认：发送者事后不承认自己发送过某份文件。

·伪造：接收者伪造一份文件，声称它发自发送者。

·冒充：网上的某个用户冒充另一个用户接收或发送信息。

·篡改：接收者对收到的信息进行部分篡改。

访问控制机制。

访问控制是按事先确定的规则决定主体对客体的访问是否合法。

当一个主体试图非法使用一个未经授权使用的客体时，该机制将拒绝这一企图，并附带向审计跟踪系统报告这一事件。

审计跟踪系统将产生报警信号或形成部分追踪审计信息。

数据完整性机制。

数据完整性包括两种形式：一种是数据单元的完整性，另一种是数据单元序列的完整性。

数据单元完整性包括两个过程，一个过程发生在发送实体，另一个过程发生在接收实体。

保证数据完整性的一般方法是：发送实体在一个数据单元上加一个标记，这个标记是数据本身的函数，如一个分组校验，或密码校验函数，它本身是经过加密的。

接收实
体是一个对应的标记，并将所产生的标记与接收的标记相比较，以确定在传输过程中数据是否被修改过。

数据单元序列的完整性是要求数据编号的连续性和时间标记的正确性，以防止假冒、丢失、重发、插入或修改数据。

交换鉴别机制。

交换鉴别是以交换信息的方式来确认实体身份的机制。

用于交换鉴别的技术有：
·口令：由发方实体提供，收方实体检测。

·密码技术：将交换的数据加密，只有合法用户才能解密，得出有意义的明文。

在许多情况下，这种技术与下列技术一起使用：
时间标记和同步时钟；
双方或三方“握手”；
数字签名和公证机构。

·利用实体的特征或所有权。

常采用的技术是指纹识别和身份卡等。

业务流量填充机制。

这种机制主要是对抗非法者在线路上监听数据并对其进行流量和流向分析。

采用的方法一般由保密装置在无信息传输时，连续发出伪随机序列，使得非法者不知哪些是有用信息、哪些是无用信息。

路由控制机制。

在一个大型网络中，从源节点到目的节点可能有多条线路，有些线路可能是安全的，而另一些线路是不安全的。

路由控制机制可使信息发送者选择特殊的路由，以保证数据安全。

公证机制。

在一个大型网络中，有许多节点或端节点。

在使用这个网络时，并不是所有用户都是诚实的、可信的，同时也可能由于系统故障等原因使信息丢失、迟到等，这很可能引起责任问题，为了解决这个问题，就需要有一个各方都信任的实体——公证机构，如同一个国家设立的公证机构一样，提供公证服务，仲裁出现的问题。

一旦引入公证机制，通信双方进行数据通信时必须经过这个机构来转换，以确保公证机构能得到必要的信息，供以后仲裁。