第2章信息安全的基本概念和技术

2．1 信息安全的概念和技术
2．1．1 2．1．2 2．1．3 2．1．4 2．1．5 2．1．6 信息安全问题 信息安全的研究范畴 信息安全系统的基本要求 信息防护过程 系统安全体系结构 信息安全的内容
2．1．1 信息安全问题
信息安全的静态定义是为计算机系统、 数据处理系统建立和采取的技术和管理的 安全保护，使得系统的硬件、软件和数据 不被偶然或故意地泄露、更改和破坏。 信息安全的动态定义则增加了对信息系 统能连续正常工作的要求。
2．3．2．5 应急措施、备份与故障恢复
备份系统的内容：文件备份与恢复、数据库备份与 恢复、系统灾难恢复和备份任务管理等。 备份技术及其特点： 全盘备份 增量备份 全盘及增量备份 差别备份 按需备份 排除
恢复技术及其特点
全盘恢复——一般在灾难发生后或系统升级和系
统重组及合并时使用，操作之后，应检查最新的 错误登记文件（日志，审计），以免漏掉有关文 件。
有关实体安全的标准可查阅：GB50173-93电子计算机机
房设计规范，GB2887-89计算站场地技术条件，GB936188计算站场地安全要求，和ITU的L系列推荐标准（HTTP： //INFO.ITU.CH/ITUDOC/ITU-T/REC/L.HTML）等。
2．3．2 运行安全

2．2．1 设计原则
（1）安全性原则 （2）整体性/全面性原则 （3）投资保护原则 （4）实用性原则 （5）可适应性原则 （6）技术与管理相结合原则
2．2．2 设计方法
外挂式设计方法对现有信息系统进行改造， 通过增加安全机制来增强系统的安全性，如美国 CA公司的ACWNT和ACX（for Unix）。
理软件SMS/OS，使之具有B1级 的安全特征。
强制访问机制，三权分立（管理员、安全员、审
计员），安全审计等。
提高可用性 ，兼容性较好 。
安全功能
①强制访问控制——使用访问监督器，实现多级化 控制； ②按最小授权原则，实现管理员、安全员、审计员的 三权分立； ③对注册表作安全保护，以免受非授权用户的更改；
2．3．2．1 2．3．2．2 2．3．2．3 2．3．2．4 2．3．2．5 2．3．2．6 2．3．2．7 运行安全的定义和安全内容 风险分析技术 系统的检测、监控与审计跟踪 容错与网络冗余 应急措施、备份与故障恢复 灾难恢复计划 病毒检测与防治
2．3．2．1 运行安全的定义和安全内容
运行安全内容包括： 风险分析， 检测 、监控与审计跟踪， 容错与网络冗余， 应急措施、备份与故障恢复， 灾难恢复计划， 病毒检测与预防。
【例2．1】设有两台Netware服务器，一台为文件
服务器，另一台为数据库服务器，运行Betrieve， 要求设计一个实现整个网络的数据备份和系统备 份的方案。 ① 方案一 将数据库服务器作为备份服务器，ARC Server 配置ARC Server for Netware 和Pisaster Recovery Option。该方案的备份功能有整个网络 中非活跃文件备份、数据库关闭状态备份、系统 关键信息（NDS或Bindery）备份和系统灾难恢复。
安全服务：对等实体鉴别-访问控制-保密（数据，信 息流）-完整性-源点鉴别-抗抵赖
2．1．6 信息安全的内容
特性：物理性、静态、客观、被动
实体安全 运行安全
信息保护
安全管理 特性：人的因素、动态、主观、主动
信息安全内容的中心
2．2 信息安全系统的设计
2．2．1 设计原则 2．2．2 设计方法 2．2．3 设计步骤 2．2．4 安全系统的设计举例
基于主机的安全监测由安全监测管理中心和分布式探测器
（置于通信枢纽或主机内部）所组成。它的原理与基于网 络环境的类似，只是探测器的具体探测任务、探测的数据 种类与类型不同而已。
监控行为、识别攻击特征和病毒、侦探行为及未授权修改 系统存取控制的可疑行为。误操作分析和响应技术对内部 资源的误操作进行分析并做出相应的处理。漏洞分析和响 应技术由软件自动扫描、找出安全策略的漏洞（包含物理 的、软件的、不兼容的漏洞）。
常用分析工具
①自动Livermore风险分析方法
②自动风险评估系统（ARES） ③CCTA风险分析管理方法学（CRAMM）
④国防安全技术／风险分析管理程序（IST/RAMP）
⑤Love Alamos脆弱性与风险评估工具（LAVA）
2．3．2．3系统的检测、监控与审计跟踪
所谓检测是指通过扫描分析来发现信息系统的弱点和漏洞。
第2章 信息安全的基本概念和技术
摘要
本章从整体角度介绍信息安全的一些基本概念，并 简要说明信息安全系统的设计原则与设计方法。 重点讨论实体安全、运行安全、信息保护安全和安 全管理的安全技术，具体包括环境安全、设备安全、介 质安全，风险分析技术、信息系统的检测监控与审计跟 踪、应急措施和备份与故障恢复、容错与冗余、灾难恢 复计划、标识与认证、标记与访问控制、客体安全重用、 审计、数据完整性技术、密码技术、防火墙技术、入侵 者（黑客）攻击、安全管理制度、安全教育等安全技术。 简介信息安全标准的概念和桔皮书TCSEC/TDT
2．3．2．2 风险分析技术
风险分析的目的是通过对影响系统安全运行 的诸多因素的了解和分析，明确系统存在的风险， 找出克服这些风险的方法。
在系统设计前、试运行前、运行期及运行后 都应进行风险分析。 这体现静态和动态的观点。进行风险分析时， 一般采用相应的风险分析工具，收集数据，进行 分析，得出结果，从而确定危险的严重性以及发 生危险的可能性及其对策。
检测内容包括账户是否有差异、数据是否被修改和删除、 系统运行性能、异常通信模式、异常系统使用时间、登陆 失败的次数等；检测方法使用统计分析法和基于规则的方 法，一般使用软件工具定期或不定期地进行检测。
监控是指通过实时监测，发现入侵行为，并采取一定的应
急防范措施。要对监测到的可疑信号进行分析，并及时地、 自动地作出正确响应将有一定的难度。
实现安全监测的关键技术则有：攻击分析和响应技术实时
安全监测产品

INTERNET SCANNER
REAL SECURE 2.0 for Win NT SYSTEM SECURITY SCANNER
2．3．2．4 容错与网络冗余
避错是构造一个“完美”系统，使得其尽可能地
不出故障。而容错是指当系统出现某些硬/软件错 误时，系统仍能执行规定的一组程序；或者说程 序不会因系统中的故障而中断或被修改，并且执 行结果也不会包含系统中故障所引起的差错。
安全保密系统将由下面所列的技术手段形成 技术体系：密码、数字签名、数据完整性、鉴别、 访问控制、信息流填充、路由控制、认证、审计 追踪和信息过滤、病毒防治、信息泄漏防护和安 全评估等，以实现信息的保密性、可用性、完整 性和可控性。
OSI安全体系
7层
层次
安全机制：加密-签名-访问控制-完整性-鉴别-信息流填充路由-公证
2．2．4 安全系统的设计举例
用户录入 事件记录器 SAMDB 安全账户 管理数据库
用户模型 核心模型
审源自文库计 日 志
安全账户 管理 SAM
本地安全授权 LSA
本地安全 策略库
安全访问控制器 SRM
Windows NT 4.0 安全系统的组成关系
安全系统
在C2级的Windows NT、UNIX上，增加了安全管
④安全审计——记录审计日志，并对违规事件作出相 应的处理； ⑤SMS/OS自身的保护——不可改/删本系统的文件/ 数据，仅授权人员才可启动/终止系统的运行。
2．3 实体与运行安全
2．3．1 实体安全
实体安全内容包括：①环境安全，涉及计算机机房的安全，
计算机网络系统平台的安全和计算机、网络的环境条件对 信息系统安全的影响等；②设备安全，涉及主客观地对各 类设备的保护，电源保护，防电磁干扰，防电路截获等； ③介质安全，涉及对介质上所记录的数据和介质本身采取 的安全保护等。
2．1．3 信息安全系统的基本要求
信息系统对安全的基本要求
（1）保密性 （2）完整性 （3）可用性 （4）可控性
2．1．4 信息防护过程
威胁攻击 设计 保护 验证
信息基础设施 关键信息功能
征候,告警 威胁评估
战术告警，监 视，检测，报 告
损坏控制/恢复
攻击评估
2．1．5 系统安全体系结构
信息系统安全的体系包含安全保密技术体系、 协议安全性及安全协议体系和系统安全的体系结 构。
审计是一种保证安全运行的重要措施。它可对计算机网络
信息系统的工作过程进行详尽的审计跟踪，同时保存审计 记录和审计日志。
检测分析系统
①网络安全检测分析系统
②操作系统安全性分析系统
③防火墙安全性分析系统
基于网络环境的安全监测将实时监听网络数据流；监视并
记录内/外用户出入网络的相关操作以发现违规模式和未 授权访问；当出现违规模式和未授权访问时，报告监测中 心，中心则由安全策略作出反应，并进行审计、报告、事 件记录和报警。监测中心还有一定的远程管理功能，能对 探测器进行远程参数设置、远程数据下载、远程关闭/启 动和封锁等。
②方案二 将数据库服务器作为备份服务器，ARC
Server配置ARC Server for Netware 和Disaster Recovery option以及 Backup Agent for Betriere。 这样的备份方案使得系统提供整个网络中非活跃文 件备份、数据库打开状态备份、系统关键信息 (NDS或Bindery)备份和系统灾难恢复等功能。
2．1．2 信息安全的研究范畴
从技术的角度，研究内容至少要包括通信安全、
计算机安全、操作安全、信息本身的安全、人事 安全、工业安全、资源保护和实体安全等，而从 更大范围的角度，研究内容还包括管理和法律等 方面。
信息安全研究方向包括：对突发事件处理的计算
机运行安全System Security，物理条件的计算机 实体安全Entities Security，通信与数据库的计算 机数据安全Data Security，以及不被非法复制、 替换、修改、不受病毒侵害的软件安全Software Security。
内核式设计方法在设计信息系统的同时，设 计安全机制，以提供系统的安全性，即从安全内 核逐层向上扩展，此方式可较完整地实现信息安 全，如Honeywell公司的B2级MULTICS和A1级的 SCOMP系统。
2．2．3 设计步骤
（1）需求分析与风险评估 （2）确定安全目标要求和对策 （3）安全系统设计 （4）明确相应的安全管理要求 （5）安全系统测试和试运行
③ 方案三
将数据库服务器作为备份服务器,用磁带库作为 备份硬件,ARC Server配置ARC Server for Netware、Disaster Recovery option、Backup Abent for Betrieve、Backup Agent for open files 和TAPE Library。 此方案的功能包括整个网络文件备份、包括活 跃文件备份、数据库打开状态备份、系统关键信 息(NDS或Bindery)备份、系统灾难恢复、备份数 据的RAID容错和无人值班备份。
个别文件恢复——采用文件系统列表（仅需一次
搜索）或文件登录排序（需建登录索引）方法， 选择待恢复的文件。
重定向恢复——恢复到另一位置或不同系统上，
具体技术有全盘恢复和个别恢复。
备份系统的组成
⑴ 物理主机系统 ⑵ 逻辑主机系统 ⑶ I/O总线 ⑷ 外部设备 ⑸ 设备驱动软件 ⑹ 备份存储介质 ⑺ 备份计划 ⑻ 操作执行者 ⑼ 物理目标系统 ⑽ 逻辑目标系统 ⑾ 网络连接 ⑿ 网络协议 ⒀ 系统日志 ⒁ 系统监控 ⒂ 系统管理
实现容错的基本思想是在系统体系结构上精心设
计，利用外加资源的冗余技术来达到屏蔽故障的 影响，从而自动地恢复系统或达到安全停机的目 的。
容错与网络冗余技术随着系统的不断复杂化而向
芯片容错、动态冗余技术、分布式容错、容错性 能评价、容错系统和综合方法论等方向发展。
实现容错的方法与技术：
① 空闲备件, ② 负载平衡， ③ 镜像技术， ④ 复现即延迟镜像， ⑤ 冗余系统配件， ⑥ 存储系统冗余， ⑦ 网络冗余技术.