03信息安全等级保护技术基础

入侵检测(Intrusion Detection)技术
异常检测(Anomaly Detection)
原理是分析正常的数据，获得正常数据的模型，通过判断数 据是否偏离正常数据的模型来检测出异常数据
优点：能够检测新的攻击类型 缺点：攻击必须能够体现出明显的异常、误报率较高
误用检测(Misuse Detection)
• 杂凑函数也称散列函数(HASH, 哈希)，是指将任 意长度的消息M,经过计算H(M)之后,将M压缩成某 个固定长度的数据，该数据经过加密后即为消息 认证码。
• 杂凑函数应满足单向性、快速性和无碰撞的特点。 • 目前的杂凑函数包括MD5,SHA-1等。
密钥管理
• 密钥管理包括从密钥的产生到密钥的销毁的各个 方面。主要表现于管理体制、管理协议和密钥的 产生、分配、更换和注入。
密码技术 标识与认证技术 授权与访问控制技术 系统安全技术 网络安全技术 病毒与恶意代码技术 攻击技术 安全测评技术 安全审计技术 备份恢复技术
等级保护能力要求
第二级安全保护能力：应能够防护系统免受来 自外第部三小级型安组全织保的护、能拥力有：少应量能资够源在的统威一胁安源全发策略 起当够到发的危损下较严胁恶害现害防为重所意程重后第下拥的护丰的造攻度要，防四有自系富自成击的的能护级丰然统资然的、威安够安系富灾免源灾主一胁全在全统资难受的难要般所漏一保免源、来威、资的造洞段护受的以自胁以源自成和时能来威及外源及损然的安间力自胁其部发其害灾重全内：国源他有起他，恢难要事应家发相组的相能复、 资 件能级起当织恶当够部以源，够别的危的意危发分及损在在的恶害团攻害现功其害系统、意程体击程安能他，统一敌攻度、、度全。相能遭安对击的拥较的漏全组、威有为威洞策织严胁略的重所、
Firewall
Local network
Internet
Router
包过滤防火墙
根据数据包中的内容决定是否过滤
状态检测防火墙
在网络层有一个检查引擎截获数据包并抽取出与应用 层状态有关的信息，以此为依据决定对该连接是接受 还是拒绝
应用防火墙（代理防火墙）
用于保护应用程序免受攻击和数据泄露的危害
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
TCP/IP协议
TCP/IP 分层
用户
用户
用户
用户
进程
进程
进程
进程
TCP
UDP
应用层 传输层
ICMP
IP
IGMP 网络层
ARP
硬件接口
RARP 链路层
OSI安全体系结构
• ISO制定了开发系统互联参考模型（Open System Interconnection Reference Model，OSI模型）作为理解 和实现网络安全的基础。
强制访问控制
• 强制访问控制(Mandatory Access Control, MAC) 又被称为“基于规则的访问控制”。
• 它将主体和客体分级，根据主体和客体的级别标 记来决定访问模式：无密级，机密级，秘密级， 绝密级。
• 它的访问控制关系分为：上读/下写（完整性）和 下读/上写（机密性）。
• 它通过安全标签实现单向信息流通模式。
第三阶段：1976年至今。Diffie和 Hellman 发表了《密码学的新方向》 一文，首次证明了在发送端和接收端不需要传输密钥的保密通信的可 能性，从而开创了公钥密码学的新纪元。该文章也成了区分古典密码 和现代密码的标志。1977年，美国的数据加密标准（DES）公布。这 两件事情导致了对密码学的空前研究。
• 分组密码的优点是明文信息良好的扩展性，对插 入的敏感性，不需要密钥同步，较强的适用性， 适合作为加密标准；缺点是加密速度慢以及错误 扩散和传播。
序列密码
• 序列密码是指一次对明文的一位或者是一个字节 加密，即将明文消息字符串逐位地加密成密文字 符串，所以序列密码又称流密码。
• 序列密码算法包括RC4算法等。 • 序列密码的优点是实现简单、速度快、没有或只
和安造全成事的件资，源在损系害统，遭能到够损发害现后安，全能漏够洞较和快安恢全事 复绝件大，部在分系功统能遭。到损害后，能够迅速恢复所有功
能。
等级保护建设相关技术分类
发现能力
防护能力
恢复能力
密码技术
认证授权技术
访问控制技术
网络协议及架构安全
网络安全技术
系统安全技术
恶意代码技术
安全漏洞及攻防技术
二、密码学基础与应用
• 密钥管理包括对称密钥管理、公开密钥管理/数字 证书、密钥管理相关的标准规范。
• 密钥管理的原则包括全程安全原则、最小权利原 则、密钥分离原则和密钥更换原则。
三、标识/认证/授权/访问控制技术
标识
• 标识(ID)是指对某一实体身份的唯一确定 • 标识可以包括人的标识、网络标识、应用标识等等 • 人的标识包括用户名，QQ号码，用户代表图片等等 • 网络标识包括网络地址，域名等等 • 应用标识包括进程名字，应用名，占用端口，序列号，标
• 古典密码技术主要应用对象是文字信息，它主要 依赖于密码算法来实现文字信息的加密和解密。
• 具有代表性的古典密码算法包括替代密码算法和 置换密码算法。
分组密码
• 分组密码是将明文消息编码表示后的数字序列， 划分成长度为n的组，每组分别在密钥的控制下变 换成等长的输出数字序列。
• 典型的分组密码有DES算法和AES算法。
• 认证流程： – 当收到实体请求时服务器回送随机数； – 实体对包含随机数的数据用私钥签名，将签名值发 回； – 服务器使用该实体的公钥证书验证签名正确，从而证 明该实体的合法性。
其他常用认证技术
• 基于设备的认证技术
物理鉴别：钥匙 简单数字设备： IC卡，无线发射装置 智能数字设备：CPU卡
• 基于生物特征的认证技术
有有限的错误传播。
公钥密码
• 公钥密码技术最主要特性是加密和解密数据使用 不同的密钥。其中秘密密钥由使用者自己掌握使 用；公共密钥可以公开发布。
• 公钥密码技术中从解密密钥推出加密密钥是不可 行的。
• 公钥密码技术优点是密钥管理简单，缺点是加解 密慢，不易实现。
• 公钥密码算法包括RSA算法等。
杂凑函数和消息认证码
• IPSec可以保证局域网、专用或公用的广域网及Internet上 信息传输的安全。
• IPSec有两种模式：隧道模式和传输模式。前者封装整个 IP数据报、IP报头和数据，后者只封装数据。
DMZ服务器
工作站
防火墙 内部路由器
LAN
边界路由器
LAN
移动用户
拨号 拨号服务器
工作站
1. 没有配置或者配置 不当的路由器访问控 制
基于角色的访问控制
• 角色是指与特定工作活动相关的一系列动作和权 限的集合。
• 指定到某一角色的用户可以拥有该角色被赋予的 权限。
• 指派到同一角色的用户拥有相同的权限，一个用 户可能被指派到多个角色。
• 基于角色的访问控制本质上是一种更为灵活的强 制访问控制。
四、网络协议及架构安全
OSI参考模型
根据分析得出的攻击特征进行检测，例如一种针对Web服务 器的CGI攻击会利用包含“GET /cgi-bin/phf”字符串的数据包， 误用检测系统检查所有发往服务器的数据包，看是否有“phf” 字符串，如果有则判断为攻击
优点：检测率高、实用性好 缺点：不能检测新的攻击类型、同样存在误报、如何保证攻
对称密码
• 对称密码技术是指有了加密密钥(KEY)就可以推 算出解密密钥，有了解密密钥就可以推算出加密 密钥的一种密码技术，它的加密密钥和解密密钥 是对称的。
• 它主要包括古典密码、分组密码和序列密码等密 码技术。
古典密码
• 古典密码技术是一种在历史上被广泛应用的密码 技术，相对比较简单，通过手工和机械操作来实 现加密(Encryption)和解密(Decryption)。
2. 配置不当的防火墙 和内部路由器
防火墙 内部路由器
边界路由器
移动用户
拨号 拨号服务器
3. 没有安全措施 的移动用户和拨 号访问服务器
DMZ服务器
7. 在主机和网络级 缺乏认证，审计，入 侵检测能力
防火墙
4. 服务器信息 的泄露
5. 运行不必要 的服务
6. 配置不当的 服务器
8. 脆弱的工作 站
14. 不规范的部网络大 量脆弱的访问资 源控制
LAN
10. 缺乏有效执 行的管理策略
LAN
12.具有过度特 权的用户帐号
13.过度的信任 关系
工作站
11.过时的，脆 弱的，遗留在缺 省状态的软件
五、网络安全技术
防火墙(Firewall)技术
防火墙的功能
本地局域网和互联网间的隔离 本地局域网和互联网间的通信监控 不同子网间的隔离和通信监控
自主访问控制
• 自主访问控制(Discretionary Access Control, DAC) 又被称为“基于身份的访问控制”。
• 它的特点是根据主体(Subject)的身份和授权来决定 对客体(Object)的访问模式。
• 它的缺点是信息在移动过程中其访问权限关系会被 改变。如用户A可将其对目标O的访问权限传递给 用户B,从而使不具备对O访问权限的B可访问O。
密码学起源
第一阶段：几千年前～1949年。密码学(Cryptography)还没有成为一 门真正的科学，而是一门艺术。密码学专家常常是凭自己的直觉和信 念来进行密码设计，而对密码的分析也多基于破译者的直觉和经验来 进行。
第二阶段：1949年～1975年。美国数学家、信息论的创始人 Shannon 发表了《保密系统的信息理论》一文，标志着密码学阶段的 开始。信息论为对称密钥密码系统建立了理论基础，从此密码学成为 一门科学。
• 五类安全服务包括认证（鉴别）服务、访问控制服务、数 据保密性服务、数据完整性服务和抗否认性服务。
• 八大类安全机制包括加密机制、数据签名机制、访问控制 机制、数据完整性机制、认证机制、业务流填充机制、路 由控制机制、公正机制。
SSL/TLS协议
• SSL 为Netscape所研发，用以保障在Internet上数据传输 的安全。利用数据加密技术，可保护数据在网络传输过程 中不会被截取及窃听。SSL协议提供的服务主要有：认证 用户和服务器、加密数据以防止数据中途被窃取、保护数 据的完整性
每个人所具有的唯一生理特征，比 如指纹、视网膜、虹膜、语音、面 部、签名。
授权和访问控制策略
• 访问控制(Access Control)是指控制用户对资源的 访问以防止未授权的用户访问数据和资源。
• 访问控制策略是指为达到这一目的而制定的一组 规则。
• 访问控制一般包括自主访问控制、强制访问控制 和基于角色的访问控制。
• TLS（传输层安全）协议用于在两个通信应用程序之间提 供保密性和数据完整性的保护。该协议由TLS 记录协议和 TLS 握手协议组成。TLS 的最大优势就在于TLS 是独立 于应用协议，高层协议可以透明地部署在TLS 协议上
IPSec协议
• IPSec是一系列基于IP网络（包括Intranet、Extranet和 Internet）的，由IETF制订的开放性IP安全标准，是虚拟 专网的基础，已经相当成熟稳定。
准的应答方式等等
口令
• 口令(Password)是指只有通信双方知晓的一段数 据。口令是最广泛使用的一种身份鉴别法。
• 口令系统有许多脆弱点：泄露口令、猜测、窃听、 重放攻击。
• 挑战-响应技术(Challenge-Response)是一种常 用的基于口令的身份认证技术。
挑战-响应技术
• 请求：用户向服务器发出登录请求，服务器提示 用户输入用户ID和PIN
• 挑战：服务器收到ID，向用户提供一个随机串 X(Challenge)
• 用户利用随机串计算合格的响应(Response)返回 给服务器
• 服务器判断响应是否正确
公钥认证技术
• 公钥认证技术是一种以数字证书(Digital Certificate)为基础 的认证技术。
• 该技术使用公钥密码算法，私钥(Private Key)由用户妥善 保存，公钥(Public Key)由权威部门签署发布。
信息安全等级保护技术基础
连一峰
课程内容
一、课程概述 二、密码学基础与应用 三、认证授权及访问控制技术 四、网络协议及架构安全 五、网络安全技术 六、系统安全技术 七、恶意代码技术 八、安全漏洞及攻防技术
一、课程概述
信息安全概况及趋势
信息媒体的泛在化 安全问题的利益化 安全威胁的超限化
信息安全技术领域