信息安全导论复习(1-5章)
2024-04-05 02:38:15
第1章 信息化发展与信息安全
目录
1.1 信息化发展
1.1.1 信息化对我国的重要影响
1.1.2 信息化发展对信息安全的需求
1.2 信息安全的基本属性
1.2.1 保密性
1.2.2 完整性
1.2.3 可用性
1.3 信息安全概念的演变
1.3.1 通信保密
1.3.2 计算机安全的信息系统安全
1.3.3 信息保障
1.3.4 新的信息安全观
1.4 信息安全的非传统安全特点
1.4.1 威胁的多元性
1.4.2 攻防的非对称性
1.4.3 影响的广泛性
1.4.4 后果的严重性
1.4.5 事件的突发性
1.5 我国信息安全保障工作
1.5.1 总体要求
1.5.2 主要原则
1.5.3 主要基础性工作
1.5.4 未来展望
本章小结
1.信息化发展
信息技术已经成为最活跃的生产力要素,成为影响国家综合实力和国际竞争力的关键因素。加快信息化发展,坚持以信息化带动工业化,以工业化促进信息化,这是我国加快实现工业化和现代化的必然选择。
在大力推进信息化的过程中,信息安全问题逐渐突出并成为决定信息化能否健康发展乃至成败的关键因素。上至国家安全,下至公民个人权益和公众权益,都对信息安全提出了极为迫切的需求,信息安全也上升为国家安全的重要组成部分。但信息安全并不是最终的目的,维护信息安全是为了对信息化发展保驾护航,“以安全保发展,在发展中求安全”的信息安全保障工作原则揭示了两者之间的辩证关系。
2.信息安全概念
虽然信息安全有着很多不同的定义,但从信息的安全获取、处理和使用这一本质要求出发,人们对信息提出了三种最基本的安全需求:保密性、完整性和可用性,这是理解信息安全概念的起点。随着信息技术的进步及其应用范围的扩大,信息安全的内涵不断丰富,外延不断扩展,传统的信息安全概念也先后经历了通信保密、计算机安全和信息系统安全、信息保障的阶段。
时至今日,传统的信息安全概念已经不足以概括人们对信息安全的需求,在世界范围内,新的信息安全观正在逐渐形成。从信息化发展的本质规律出发,本书提出了新的信息安全观的核心内容。这一新的信息安全观也要求,信息安全问题的解决,除了技术因素外,还需要考虑政治、经济、文化等因素,离不开技术、管理、法律、政策等多种手段的综合运用。当然,作为信息安全专业的本科教材,本书的后续大部分章节还是主要介绍信息安全的技术对策。
3.信息安全的非传统安全特点
信息安全有很多特点,对具体特点的阐述依赖于看问题的角度。本章围绕信息安全是一种典型的非传统安全因素这一具有鲜明时代特征的命题,讨论了信息安全的以下特点:威胁的多元性、攻防的非对称性、影响的广泛性、后果的严重性及事件的突发性。归纳出这些特点,可以使读者增加对信息安全的认识,也通过这些特点进一步阐释了信息安全的重要性。
4.我国信息安全保障工作
我国对信息安全极为重视,明确了信息安全保障工作的基本纲领和大政方针,包括总体要求和主要原则,并部署了一系列基础性工作。此外,国家信息化发展战略也提出了今后若干年我国信息安全保障工作的重点。本章之所以介绍这些内容,除了向读者提供更丰富的背景材料外,还希望读者能够从中进一步加深对信息安全特点和规律的把握。
问题讨论
(1)举例说明信息化的意义及其对我国的重要影响。
答:
信息化的意义:广泛应用、高度渗透的信息技术正孕育着新的重大突破。信息资源日益成为重要生产要素、无形资产和社会财富。信息网络更加普及并日趋融合。信息化与经济全球化相互交织,推动着全球产业分工深化和经济结构调整,重塑着全球经济竞争格局。互联网加剧了各种思想文化的相互激荡,成为信息传播和知识扩散的新载体。电子政务在提高行政效率、改善政府效能、扩大民主参与等方面的作用日益显著。信息化使现代战争形态发生重大变化,成为世界新军事变革的核心内容。
对我国的重要影响:1.信息网络成为支撑经济社会发展的重要基础设施;2.信息产业成为重要的经济增长点;3.信息技术在国民经济和社会各领域得到广泛应用;4.电子政务为政府管理方式带来深刻变革;5.国防和军队信息化成为当代新军事变革的核心。
(2)解释信息疆域的概念。
答:
人类社会疆域随着科学技术的发展而不断扩展。以信息技术为代表的新的生产力革命以来,人类生产和生活方式发生了巨大变革,导致国家安全观念发生深刻变化,以领土、领海、领空安全为标志的传统安全观,正在被“信息安全+国土安全”的现代安全观所取代,“信息疆域”的理念开始出现,并逐渐成为国家安全防御体系的新的着眼点。
(3)信息安全的三个基本属性是什么?
答:
保密性、完整性、可用性。保密性是一个古已有之的需要,有时也被称为“机密性”;完整性是指信息未经授权不能进行更改的特性;可用性是信息可被授权实体访问并按需求使用的特性。
(4)描述信息安全概念的演变过程。
答:
1.信息安全首先进入了通信保密阶段,通信保密阶段的开始时间约为20世纪40年代,其时代标志是1949年Shannon发表的《保密系统的信息理论》,该理论将密码学的研究纳入了科学的轨道;2.进入20世纪70年代,通信保密阶段转变到计算机安全(COMPUSEC)阶段,这一时代的标志是1977年美国国家标准局(NBS)公布的《数据加密标准》(DES)和1985年美国国防部(DoD)公布的《可信计算机系统评估准则》(TCSEC),这些标准的提出意味着解决信息系统保密性问题的研究和应用迈上了历史的新台阶;3.进入20世纪90年代,信息系统安全(INFOSEC)开始成为信息安全的核心内容;4.20世纪90年代末,对于信息系统的攻击日趋频繁,安全不再满足于简单的防护,人们期望的是对于整个信息和信息系统的保护和防御,包括对信息的保护、检测、反应和恢复能力。为此,美国军方率先提出了信息保障(IA)的概念:“保护和防御信息及信息系统,确保其可用性、完整性、保密性、鉴别、不可否认性等特性。这包括在信息系统中融入保护、检测、反应功能,并t提供信息系统的恢复功能。“;5.进入21世纪后,信息安全概念有了更广阔的外延,仅仅从保密性、完整性和可用性等技术角度去理解信息安全已经远远不够了,在世界范围内,新的信息安全观正在逐渐形成,从关注简单的技术后果扩展为关注信息安全对国家政治、经济、文化、军事等全方位的影响。
(5)为什么要提出新的信息安全观?新的信息安全观与以前的信息安全概念有什么区别?
答:
信息安全的极端重要性正在引起各国的高度关注,发达国家普遍视信息安全为国家安全的基石,将其上升到国家安全的高度去认识和对待。在这样一个战略高度上,信息安全概念有了更广阔的外延,仅仅从保密性、完整性和可用性等技术角度去理解信息安全已经远远不够了,在世界范围内,新的信息安全观正在逐渐形成。于传统的信息安全概念不同,新的信息安全观体现在看待信息安全问题的角度已从关注简单的技术后果关注信息安全对国家政治、经济、文化、军事等全方位的影响,这种影响有时并非源于网络于信息系统自身发生的安全问题,而在于信息技术的应用方式和信息内容的传播对国家和社会的运行乃至大众的心理活动及其行为所产生的潜移默化的重塑作用。
(6)为什么说信息安全是非传统安全?它有哪些特点?
答:
为什么说是非传统安全:在全社会普及信息技术的情况下,信息安全威胁来源呈现出多元化的趋势;信息系统的复杂性、信息技术广泛的渗透性使信息安全的攻击极易得逞,成本可以极低,但防御却难上加难,攻击和防范具有完全的不对称性;信息安全事件影响广泛,控制难度加大;信息安全事件的后果可能极其严重,上至国家安全,下至公民个人权益,均无从幸免;信息安全事件可以没有任何征兆,突发性为安全预警和响应带来了巨大挑战;攻击的便利性和可能的巨大获利,使传统安全威胁没有理由不倾向于使用信息技术手段来达到危害他国安全的目的。
特点:1.威胁的多元性;2.攻防的非对称性;3.影响的广泛性;4.后果的严重性;5.事件的突发性。
(7)我国星系安全保障工作的总体要求和主要原则分别是什么?
答:
总体要求:坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化发展,保护公众利益,维护国家安全。
主要原则:立足国情,以我为主,坚持管理与技术并重;正确处理安全与发展的关系,以安全保发展,在发展中求安全;统筹规划,突出重点,强化基础工作;明确国家、企业、个人的责任和义务,充分发挥各方面的积极性,共同构筑国家信息安全保障体系。
*(8)我国信息安全保障基础性工作有哪些?
答:
1.实行信息安全等级保护;2,开展信息安全风险评估;3.加强密码技术应用,建设网络信任体系;4.高度重视应急处理工作;5,加强技术研发,推进产业发展;6.加强法制建设和标准化建设;7,加快人才培养,增强全民意识。
(9)我国的国家信息化发展战略对信息安全保障工作提出了哪些要求?
答:
“全面加强国家信息安全保障体系建设。坚持积极防御、综合防范,探索和把握信息化与信息安全的内在规律,主动应对信息安全挑战,实现信息化与信息安全协调发展。坚持立足国情,综合平衡安全成本和风险,确保重点,优化信息安全资源配置。建立和完善信息安全等级保护制度,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统。加强密码技术的开发利用。建设网络信任体系。加强信息安全风险评估工作。建设和完善信息安全监控体系,提高对网络安全事件应对和防范能力,防止有害信息传播。高度重视信息安全应急处置工作,健全完善信息安全应急指挥和安全通报制度,不断完善信息安全应急处置预案。从实际触发,促进资源共享,重视灾难备份建设,增强信息基础设施和重要信息系统的抗毁能力和灾难恢复能力。
大力增强国家信息保障能力。积极跟踪、研究和掌握国际信息安全领域的先进理论、前沿技术和发展动态,抓紧开展对信息技术产品漏洞、后门的发现研究,掌握核心安全技术,提高关键设备装备能力,促进我国信息安全技术和产业的自主发展。加快信息安全人才培养,增强国民信息安全意识。不断提高信息安全的法律保障能力、基础支撑能力、网络舆论宣传的驾驭能力和我国在国际信息安全领域的影响力,建立和完善维护国家信息安全的长效机制。”
第2章 信息安全基础
目录
2.1 信息系统安全要素
2.1.1 基础概念
2.1.2 各要素间的相互关系
2.1.3 信息安全风险控制
2.2 网络安全基础
2.2.1 ISO/OSI参考模型
2.2.2 TCP/IP参考模型
2.2.3 开放系统互连安全体系结构
2.3 信息安全保障体系
2.3.1 概述
2.3.2 一个确保
2.3.3 四个层面
2.3.4 两个支撑
2.4 积极防御的信息安全技术保护框架
2.4.1 对当前信息安全保护思路的反思
2.4.2 “两个中心”支持下的三重信息安全技术保护框架
2.5 常用安全技术
2.5.1 防火墙
2.5.2 入侵检测系统
2.5.3 恶意代码防护
本章小结
本章介绍了以下信息安全基础知识,这些知识大都侧重于体系结构,旨在为进一步掌握信息安全知识体系奠定基础。
1.信息系统安全要素
信息系统安全保护的实质是风险管理,信息系统安全保护的直接目的便是控制安全风险。“风险”及其相关概念构成了影响信息系统安全的主要因素,它们不但揭示了信息安全问题产生的原因,也因此导出了信息安全问题的解决方案。
信息系统的脆弱性是安全风险产生的内因,威胁则是安全风险产生的外因,威胁要利用脆弱性才能造成安全风险。信息安全保护的实质,就是在综合成本与效益的前提下,通过安全措施来控制风险,使残余风险降低到可接受的程度。由于任何信息系统都会有安全风险,人们追求的所谓安全的信息系统,实际上是指信息系统在实施了风险评估并做出风险控制后,仍然存在的残余风险可被接受的信息系统。因此,不存在绝对安全的信息系统(即“零”风险的信息系统),也没必要追求绝对安全的信息系统。
常见的风险控制措施有四种:风险降低、风险承受、风险规避和风险转移。只有威胁和脆弱性共同作用才会产生风险。而如果脆弱性不能被利用,或者攻击者的攻击成本大于获利,则都不会造成风险。因此,风险控制的实施点和具体的风险控制措施与风险评估的结果密切相关。
2.网络安全基础
OSI参考模型按功能划分为7个层次,从低到高依次为:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。它从概念和功能上给出了一种异型网络互联的标准框架,是开发网络协议标准和体系结构的理论框架。但由于其结构复杂,OSI参考模型从来没有真正意义上实现过。
TCP/IP协议族由5层构成,从低到高依次为:物理层、数据链路层、网络层、传输层和应用层。目前,它已成为事实上的国际标准和公认的工业标准。
开放系统互连安全体系结构是基于OSI参考模型的7层协议之上的一种网络安全体系结构。该标准的核心内容是,为了保证异构计算机进程之间远距离交换信息的安全,定义了系统应当提供的5类安全服务和8种安全机制,确定了安全服务与安全机制之间的关系以及在OSI参考模型中安全服务和安全机制的配置,另外还确定了OSI的安全管理。必须指出,开放系统互连安全体系结构只是ISO参考模型框架下的一种网络安全体系结构,并不能将其视为信息安全的体系结构。其“安全服务”概念的来源,便是因为OSI七个层中每一层对其上一层的功能支持称为“服务”。显然,开放系统互连安全体系结构所提出的5类安全服务和8种安全机制仅仅属于通信安全的范畴,且侧重于在OSI七层协议上的分解。这个体系结构不能完整描述信息安全的需求和技术组织架构。
3.信息安全保障体系
信息安全保障体系是指实施信息安全保障的法制、组织管理和技术等层面有机结合的整体,是信息社会国家安全的基本组成部分,是保证国家信息化顺利进行的基础。它不但是国家信息安全保障工作的着眼点,也是国家信息安全保障能力的载体。
国家信息安全保障体系的目标是确保基础信息网络和重要信息系统的安全,创建安全健康的网络环境,其内容是建设信息安全法制体系、信息安全组织管理体系、信息安全技术保障体系、信息安全平台及安全基础设施,并提供信息安全经费保障体系和信息安全人才保障体系这两个支撑条件。
4.积极防御的信息安全技术保护框架
当前大部分信息安全系统主要是由防火墙、入侵检测、病毒防范等组成,这种以“老三样”为主要手段的信息安全保护思路已经越来越显示出被动性,迫切标本兼治的新型的信息安全保护框架。
现在 PC(个人计算机)软、硬件结构简化,导致资源可任意使用,尤其是执行代码可修改,恶意程序可以被植入。因此,终端不安全是问题的核心所在。积极防御的基本思路是主动防止非授权访问操作,从客户端操作平台实施高等级防范,使不安全因素从终端源头被控制。这在工作流程相对固定的重要信息系统中显得尤为重要。为此,以可信的应用操作平台为核心,辅以安全的共享服务资源边界保护、全程安全保护的网络通信和安全管理中心,便构成了工作流程相对固定的生产系统的信息安全保护框架。
5.常用安全技术
本章对防火墙、入侵检测系统和恶意代码防护技术进行了概念层次的介绍,包括各项技术的分类及功能优缺点。这些技术及产品并不是本书的重点,仅作为常识材料提供给读者。
问题讨论
(1)概述信息系统安全要素,并说明各要素之间的关系。
答:
使命:即一个组织通过信息技术手段实现的工作任务。一个组织的使命对信息系统和信息的依赖程度越高,信息系统的安全就越重要。
资产:通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。
资产价值:资产是有价值的,资产价值可通过资产的敏感程度、重要程度和关键程度来表示。
威胁:一个组织的信息资产的安全可能受到的侵害。
脆弱性:信息资产及其安全措施在安全方面的不足和弱点,也常常被称为漏洞。
事件:如果威胁主体能够产生威胁,利用资产及其安全措施的的脆弱性,那么实际产生危害的情况称为事件。
风险:由于系统存在的脆弱性,人为或者自然的威胁导致安全事件发生的可能性及其造成的影响。
残余风险:采取了安全措施,提高了信息安全保障能力后,仍然可能存在的风险。
安全需求:为保证单位的使命能够正常行使,在信息安全保护措施方面提出的要求。
安全措施:对付威胁,减少脆弱性,保护资产,降低意外事件的影响,检测、响应意外事件,促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。
各要素之间的关系:
1.一个组织的使命通过其业务战略去实现,而业务战略对资产具有依赖性,依赖程度越高,要求其风险越小。
2.资产是有价值的,组织的业务战略越重要,其对资产的依赖程度越高,资产价值就越大。
3.风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成为安全事件。
4.资产的脆弱性可能暴露资产的价值,资产具有的脆弱性越大则风险越大。
5.脆弱性揭示了未被满足的安全需求,威胁会利用脆弱性危害资产。
6.风险的存在及对风险的认识导出了安全需求。
7.安全需求可通过安全措施得以满足,需要结合资产价值考虑其实施成本。
8.安全措施可抵御威胁,降低风险。
9.残余风险是采取了安全措施后仍然存在的风险。这些风险,有的是来源于安全措施不当或无效,需要继续控制的风险;而有的则是在综合了安全成本与效益后不去控制的风险。
10.残余风险应受到密切监视,它可能会在将来诱发新的安全事件。
(2)画出OSI参考模型的层次结构,并概述各层的主要功能。
答:
图略。物理层提供在物理介质上透明的传输比特流所需的各种功能;数据链路层提供在两个相邻节点间无差错地传输数据帧;网络层确定分组从源端到目的端的路由,负责将源端发出的分组按照路由规则传送到目的端,实现主机到主机的传输;传输层提供端到端的通信,实现透明的报文段传输;会话层提供在两个通信的应用进程之间建立、维持和同步其交互;表示层主要解决所传输的数据的语法表示;应用层直接为用户的应用进程提供服务,对应用进程经常使用的一些功能以及实现这些功能所要使用的协议标准化。
(3)画出TCP/IP模型的层次结构图,并概述各层的主要功能。
答:
图略。物理层和数据链路层的协议由底层网络定义,TCP/IP协议族没有定义任何特定的协议;网络层的主要协议是IP协议,提供一种不可靠的、尽最大努力交付的服务;传输层包括两种协议:TCP和UDP,TCP提供面向连接的、可靠的传输服务,UDP提供无连接服务,不能保证数据报传输的可靠性;应用层包含了各种直接针对用户需求的协议,每个应用层协议都是为了解决某一类应用问题而设计的。
(4)OSI开放系统互连安全体系中包含哪些安全服务?
答:
1.鉴别:鉴别服务提供对通信中的对等实体和数据来源的鉴别,分为对等实体鉴别和数据原发鉴别两种;
2.访问控制:访问控制服务可以对付OSI可访问资源受到的非授权使用,这种保护服务可应用于对资源的各种不同类型的访问或应用于对一种资源的所有访问;
3.数据保密性:数据保密性服务对数据提供保护使之不被非授权地泄露;
4.数据完整性:数据完整性服务用来对付主动威胁;
5.抗抵赖:分为有数据原发证明的抗抵赖和有交付证明的抗抵赖。
(5)OSI开放系统互连安全体系中包含那些安全机制?
答:
1.加密机制:加密既能为数据提供保密性,也能为通信业务流信息提供保密性;
2.数字签名机制:数字签名机制确定两个过程,对数据单元签名和验证签过名的数据单元;
3.访问控制机制:为了判断和实施一个实体的访问权,访问控制机制可以使用该实体已鉴别过的身份,或使用有关该实体的信息,或使用该实体的权力;
4.数据完整性机制:数据完整性有两个方面:一是单个数据单元或字段的完整性,二是数据单元流或字段流的完整性;
5.鉴别交换机制:可用于鉴别交换的一些技术是:使用鉴别信息,如口令,由发送实体提供而由接收实体验证;密码技术:使用该实体的特征或占有物;
6.通信业务填充机制:能用来提供各种不同级别的保护,抵抗通信业务分析;
7.路由选择控制机制:路由能动态地或预定地选取,以便只使用物理上安全的子网络、中继站或链路;
8.公证机制:有关在两个或多个实体之间通信的数据的性质,如完整性、原发、时间和目的地等能够借助公证机制而得到确保。
*(6)概述安全服务和安全机制的关系。
答:
ISO 7498-2标准说明了实现哪些安全服务应该采用哪种(些)安全机制。一般来说,一类安全服务可以通过某种安全机制单独提供,也可以通过多种安全机制联合提供;一种安全机制可以提供一类或多类安全服务。表2-1说明了安全服务与安全机制之间的关系(见课本44页)。
(7)信息安全保障体系由哪些部分组成?
答:
国家信息安全保障体系的目标是实现“一个重点确保”,其内容是建设“四个层面”,满足“两个支撑”条件。
一个确保:重点确保国家基础信息网络和重要信息系统的安全,创建安全健康的网络环境;
四个层面:信息安全法制体系;信息安全组织管理体系;信息安全技术保障体系;信息安全平台及安全基础设施;
两个支撑:信息安全经费保障体系;信息安全人才保障体系。
(8)传统的信息安全保护思路存在哪些弊端?
答:
产生安全事故的技术原因在于,现在的PC软、硬件结构简化,导致资源可任意使用,尤其是执行代码可修改,恶意代码可以被植入。例如,病毒程序利用PC操作系统对执行代码不检查一致性的弱点,将病毒代码嵌入到执行代码程序,实现病毒传播;黑客利用被攻击系统的漏洞窃取超级用户权限,植入攻击程序,肆意进行破坏。更为严重的是,系统对合法的用户没有进行严格的访问控制,可以进行越权访问,造成不安全事件。
(9)概述积极防御的信息安全技术保护框架的主要内容。
答:
操作应用方面:采用可信客户端确保用户合法性和资源的一致性,使用户只能按照规定权限和访问控制规则进行操作;
共享服务方面:安全的共享服务边界可以采用安全边界设备(如安全网关等),其应具有身份认证和安全审计功能,将共享服务器与非法访问者隔离,防止意外的非授权用户的访问;
网络通信方面:网络通信应该得到全程保护,可以采用IPSec协议实现网络通信全程安全保密,确保传输连接的真实性和数据的保密性、一致性,防止非法窃听和插入;
安全管理方面:重要信息系统的安全级别一般比较高,这要求必须统一管理系统内各个可信客户端的安全策略和设备的配置策略,且集中处理身份标志和认证、安全授权、安全审计、安全事件等信息。此外,密钥的管理和密码服务支持也需要以集中的方式实现。
综上所述,可信的应用操作平台、安全的共享服务资源边界保护、全程安全保护的网络通信和安全管理中心,构成了工作流程相对固定的生产系统的信息安全保护框架。
*(10)“两个中心”支持下的三重信息安全技术保护框架与OSI开放系统互连安全体系结构的区别是什么?
答:
开放系统互连安全体系结构的核心内容是,为了保证异构计算机进程之间远距离交换信息的安全,定义了系统应当提供的5类安全服务和8种安全机制,确定了安全服务与安全机制之间的关系以及在OSI参考模型中安全服务和安全机制的配置,另外还确定了OSI的安全管理。
而三重信息安全技术保护框架的核心内容是:
三纵:涉密区域、专用区域、公共区域;
三横:应用环境、应用区域边界、网络通信;
两个中心:安全管理中心、密码管理中心。
(11)概述防火墙的作用、分类及主要功能。
答:
作用:防火墙犹如一道护栏隔在被保护的内部网络和不安全的外部网络之间,是一种边界保护的机制,这道屏障的作用就是阻断来自外部的对内部网络的入侵,保护内部网络的安全;
分类:根据实现技术的不同,可分为包过滤防火墙、状态检测防火墙和代理服务防火墙等;根据形态的不同,可分为软件防火墙和硬件防火墙;
功能:1,访问控制功能:是防火墙最基本也是最重要的功能,通过允许或禁止特定用户对特定资源的访问,保护内部网络资源和数据;2.内容控制功能:防火墙能够对从外部穿越防火墙的数据内容进行控制,组织不安全的内容进入内部网络,防止内部网络的安全性受到影响;3.安全日志功能:防火墙可以完整地记录网络通信情况,包括哪个用户在什么时间进行了什么操作,通过分析日志文件,可以发现潜在的威胁,并及时调整安全策略进行防范;4.集中管理功能:防火墙需要针对不同的网络情况和安全需求 ,制定不同的安全策略,并且还要根据情况的变化调整安全策略,然后在防火墙上实施;5.其他附加功能:流量控制功能、NAT功能、VPN功能。
(12)概述入侵检测系统的作用、分类及主要功能?
答:
作用:IDS通过监视受保护系统或网络的状态,可以发现正在进行或已发生的攻击;
分类:根据入侵检测数据的来源不同,可以分为基于主机的入侵检测系统和基于网络的入侵检测系统;
功能:监视用户和系统的活动、发现入侵行为、记录和报警。
(13)恶意代码可以分为哪些常见类型?
答:
恶意代码一般分为病毒、蠕虫、特洛伊木马和逻辑炸弹等类型。
病毒是一种靠修改其他程序来插入或进行自身拷贝,从而感染其他程序的一段程序;
蠕虫主要是指利用操作系统和应用程序的漏洞,通过网络通信功能将自身从一个节点发送到另一个节点并启动运行的程序;
木马指一个隐藏在合法程序中的非法的程序,该非法程序被用户在不知情的情况下执行,木马与病毒的重大区别是木马不具传染性;
逻辑炸弹可以理解为在特定逻辑条件满足时实施破坏的计算机程序,与病毒相比,逻辑炸弹强调破坏作用本身,而实施破坏的程序不会传播。
第3章 密码技术与应用
目录
3.1 密码技术概述
3.1.1 基本概念
3.1.2 密码学的发展历史
3.1.3 密码体制分类
3.1.4 密码攻击概述
3.1.5 保密通信系统
3.2 流密码
3.2.1 基本原理
3.2.2 流密码分类
3.2.3 密钥流生成器
3.3 分组密码
3.3.1 概述
3.3.2 DES算法
3.3.3 其他分组密码算法
3.4 公钥密码
3.4.1 概述
3.4.2 RSA算法
3.4.3 椭圆曲线密码算法
3.5 散列函数
3.5.1 概述
3.5.2 MD5
3.5.3 SHA-1
3.6 相关方面的应用
3.6.1 数字签名
3.6.2 公钥基础设施(PKI)
本章小结
1.密码技术概述
一个密码系统,通常由明文空间、密文空间、密钥空间、加密算法和解密算法组成。根据密码体制所使用的密钥,可以将其分为两类,即单钥密码体制与双钥密码体制。单钥密码体制又进一步分为流密码(也称序列密码)和分组密码。单钥密码体制和双钥密码体制各有优缺点,在安全通信系统中往往承担不同的角色。
密码攻击方法主要有穷举攻击、统计分析攻击和数学分析攻击。根据密码分析者可利用的数据来分类,密码攻击还可以分为唯密文攻击、已知明文攻击、选择明文攻击和选择密文攻击。
2.流密码
流密码又称为序列密码,其基本思想是对明文符号序列用密钥流进行加密,产生密文序列。根据密钥流与明文符号的关系,流密码又分为同步流密码和自同步流密码。线性反馈移位寄存器LFSR是构造密钥流生成器的重要部件之一,是深入掌握流密码所需了解的必备知识,限于篇幅,本章没有对此进行展开讨论。
3.分组密码
分组密码的结构从本质上说都是基于一个称为Feistel网络的结构的,其思想实际上是Shannon提出的利用乘积密码实现混淆与扩散思想的具体应用。分组密码有四种工作模式:电子密码本模式(ECB)、密码分组链接(CBC)模式、密文反馈(CFB)模式和输出反馈(OFB)模式。
DES算法是本章介绍分组密码时的重点。虽然目前DES算法已经被淘汰,但它对于推动密码理论的发展和应用起了重大作用,对于掌握分组密码的基本理论设计思想和实际应用仍然有着重要的参考价值。除DES算法外,还简单介绍了IDEA算法、AES算法和SMS4算法。
4.公钥密码
在公钥密码中,最著名也是应用最广的密码算法是RSA密码算法和椭圆曲线密码算法。RSA算法是本章介绍公钥密码时的重点,欧拉定理是这一算法的数学基础。RSA的安全性基于大整数因子分解问题的难解性。目前,1024比特的RSA算法的安全性已经受到质疑,很多标准中都要求使用2048比特的RSA算法。
除RSA算法外,本章还介绍了椭圆曲线密码算法。椭圆曲线密码算法在当前十分流行。
5.散列函数
散列函数在信息安全领域中具有重要应用,它是实现数据完整性和身份认证的核心技术,本章介绍了常用的MD5算法和SHA-1算法,包括算法的详细描述以及有关安全性的说明。
MD5算法不但从理论上而且从实际操作上被证实很不安全,目前已经不再使用。人们对SHA-1算法的攻击也取得了一定的成果,因此美国计划在2010年前淘汰SHA-1,目前正在全球范围内征求更安全的散列算法。
6.相关应用
本章介绍了密码技术在数字签名方面的应用以及公钥基础设施(PKI)技术。数字签名方案比较多,本章仅以RSA算法为例介绍了数字签名的基本原理,还介绍了能够同时实现数字签名和加密功能的“数字信封”技术,此外还结合《中华人民共和国电子签名法》,说明了数字签名与电子签名之间的区别和联系。
在PKI部分,本章介绍了PKI的基本组成和功能,说明了数字证书的标准格式,并以安全电子邮件为例介绍了PKI在实际生活中的应用。
问题讨论
*(1)密码学经过了几个发展阶段?
答:
密码学的发展大致可以分为三个阶段。
第一个阶段是从几千年前到1949年,这一时期可以看做是科学密码学的前夜,这段时期的密码技术与其说是一种科学,不如说是一种艺术;
第二个阶段是从1949年到1975年,1949年Shannon发表的《保密系统的信息理论》一文标志着密码学的这一阶段的开始;
第三阶段为1976年至今,1976年Diffe和Hellman发表了《密码学新方向》一文,导致了密码学发展史上的一场革命。
(2)DES密码体制中的f函数如何将32位比特扩展成48比特?
答:
DES加解密过程中需要一个f函数,该函数对数据的一半与密钥做运算,并将生成的结果异或到另一半中。注意到f函数处理的数据是32比特的数据(L或R)和48比特的密钥(Ki),因此在运算时,f函数需要将32比特的数据扩展为48比特的数据并与48比特的数据异或,随后还需要将异或得到的结果压缩回32比特。
扩展E的置换称为扩展置换,其方法是,将原始32比特数据分为8组,每1组4比特数据加上其左右两边的数据后扩展为6比特数据(将第1比特左边视为第32比特),即32比特数据扩展为48比特。
(3)如果输入为“Alice just do it",第一阶段使用的密钥为01 01 01 01 20 20 20 20 03 03 03 03 60 60 60 60,那么第一阶段的AES输出是什么?
答:略。
*(4)假设AES的密钥是30014fd1 69e31044 1782e4b1 23aa4018,第一轮的密钥是什么?
答:略。
(5)概述公钥密码产生的原因。它有哪些优势和不足?
答:
产生原因:单钥密码体制的一个严重缺点就是在任何密文传输之前,通信双方必须使用一个安全渠道协商加密密钥,在实际中,做到这一点是很难的。还有,如何为数字化的信息或文件提供一种类似于为书面文件手写签字的方法,这也是单钥密码体制难于解决的问题。而公钥密码体制很好地解答了这两个问题。
优势:公钥密码算法不仅能用于保护传递信息的保密性,而且还能对发送方发送的信息提供验证,如B用自己的私钥SKB对M加密,将C发往A,A用B的公钥PKB对C解密。因为从M得到C是经过B的私钥SKB加密的,只有B才能做到。因此,C可当作B对M的数字签名,以上过程获得了对信息来源和信息完整性的认证。对RSA来说,RSA的安全性基于大整数因子分解问题的难解性,迄今还没有找到一个有效算法的事实,使得大整数的因子分解问题成为众所周知的难题。
不足:随着计算能力的不断提高和分解算法的进一步改善,原来认为不可能被分解的大整数可以被成功分解;由于受到素数产生技术的限制,RSA难以做到一次一密,这也是其不足之一。
*(6)在一个RSA加密的系统中,假如截获了一个密文C=10,它对应的公钥是e=5,n=35,请问明文是什么?
答:
明文:m=c^d (mod n)=10^5(mod 35) = 5.
*(7)设p=43,q=59,取e=13,求d值。
答:
n=pq=43×59=2537,φ(n)=(p-1)(q-1)=42×58=2436, 13d=1 mod 2436, 解得d=937.
*(8)为了加强RSA的安全性,对p和q的选取有哪些要求?
答:
1.|p-q|很大,且通常p和q的长度相同;
2.p-1和q-1分别含有大素因子p1和q1;
3.p1-1和q1-1分别含有大素因子p2和q2;
4.p+1和q+1分别含有大素因子p3和q3。
*(9)散列函数为什么可以用于对信息的完整性进行验证?
答:
散列函数是一个从明文到密文的不可逆映射,只有加密过程,不能解密。散列函数的这种单向特性和输出数据的长度固定的特性使得它可以生成消息或其他数据块的“数字指纹”。这个“指纹”主要用于签名认证,签名认证同时还确保了消息或数据的完整性。
*(10)考虑用公钥加密算法构造散列函数,设算法是RSA,将消息分组后用公开密钥加密第一个分组,加密结果与第二个分组异或后,再对其加密,一直进行下去。设一信息被分成两个分组B1和B2,其杂凑值为H(B1,B2)=RSA(RSA(B1)B2)。证明对任一分组C1可选C2,使得H(C1,C2)=H(B1,B2)。证明用这种攻击法,可攻击上述用公钥加密算法构造的散列函数。
答:
*(11)数字签名的基本原理是什么?
答:
发送者在发信前一般使用散列算法求出待发信息的数字摘要,然后用私钥对这个数字摘要而不是待发信息本身进行加密,将加密的结果作为数字签名。发信时,将这个数字签名信息附在待发信息后面,一起发送过去。接收者收到信息后,一方面用发送者的公钥对数字签名解密,得到一个摘要H;另一方面把收到的信息本身用散列算法求出另一个摘要H',再把H和H'相比较,看看两者是否相同。根据散列函数的特性,我们可以让简短的摘要来“代表”信息本身,如果两个摘要H和H'完全符合,证明信息是完整的,且发送者不可否认;如果不符合,就说明信息被人篡改了,或者信息不是来自于发送者。
(12)概述数字信封的应用过程。
答:
数字信封的基本原理是将原文用对称密钥加密传输,而将对称密钥用收方公钥加密发送给对方,收方收到电子信封,用自己的私钥解密信封,取出对称密钥解密得原文。详细过程略。
(13)PKI应用在一种什么样的信任环境下?它由哪些部分组成?
答:
信任环境:在电子商务应用环境中,交易双方互不隶属,仅仅依靠交易双方无法实现信任凭证,必须要依靠一个交易双方都认可的可信第三方机构来提供信任证明,PKI便是在交易双方都无法信任的情况下提供了第三方信任机制。
组成:1.认证机构(CA);2,证书和证书库;3.密钥备份及恢复系统;4.密钥和证书的更新系统;5.证书历史档案;6.应用接口系统;7.交叉认证。
*补充:设计一个无碰撞的Hash函数为什么是不可能的?简述两种抗碰撞性的概念。
答:
为什么不可能设计无碰撞的Hash函数:因为Hash函数接受任意的输入,返回一个长度有限的序列,这个长度有限的序列所能提供的组合总是有限的,所以对于无限的输入来说,总是会出现碰撞,所以不可能设计出一个无碰撞的Hash函数。
两种抗碰撞性的概念:
强无碰撞性的散列函数是满足下列条件的一个散列函数h:
1.h的输入可以是任意长度的任何消息或文件M;
2.h的输出长度是固定的;
3.给定h和M,计算h(M)是容易的;
4.给定h和一个随机选择的Z,寻找信息M,使得h(M)=Z,在计算上是不可行的。这一性质称为函数的单向性;
5.给定h,找两个不同的信息M1和M2,使得h(M1)=h(M2),在计算上是不可行的。
弱无碰撞性的散列函数是满足下列条件的一个散列函数h:
只有5和强无碰撞性不一样:5.给定h和一个随机选择的信息M1,要照另一个与M1不同的信息M2,使得h(M1)=h(M2),在计算上是不可行的。
第4章 信息系统安全
目录
4.1 信息系统安全模型
4.1.1 BLP安全策略模型
4.1.2 Biba安全策略模型
4.1.3 二维安全策略模型
4.1.4 其他安全策略模型
4.1.5 安全策略模型面临的挑战
4.2 安全操作系统
4.2.1 安全操作系统基本概念
4.2.2 安全操作系统发展
4.2.3 安全操作系统主要安全技术
4.3 安全数据库
4.3.1 数据库系统基本概念
4.3.2 数据库安全威胁
4.3.3 数据库安全需求
4.3.4 数据库安全的含义
4.3.5 数据库安全标准与对策
4.3.6 数据库主要安全技术
4.4 网络安全
4.4.1 骨干网安全要素
4.4.2 安全要求
4.4.3 安全威胁
4.4.4 攻击类型
4.4.5 安全措施
本章小结
1.信息系统安全模型
BLP安全模型是历史上第一个有数学基础的访问控制模型,也是最著名的安全策略模型。BLP安全模型中结合了强制型访问控制和自主型访问控制,该模型影响了许多其他模型的发展,甚至很大程度上影响了计算机安全技术的发展。Biba模型是一个针对完整性安全需求的模型。简单地将BLP模型和Biba模型结合在一起,将导致系统中的信息只能在单一的安全等级之间流动,最终使系统无法使用。在BLP模型和Biba模型结合方面,人们进行了大量的研究工作。本章介绍了一种二维安全策略模型,可以有效应用到实际的信息系统之中。
2.安全操作系统
操作系统安全是信息系统安全的基础。安全操作系统是指安全级别达到TCSEC中B1级安全要求的操作系统,其核心的特征是强制访问控制。可信计算基(TCB)是安全操作系统的重要概念,这个概念同样也可以延伸到信息系统之中。它是系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体,是安全操作系统自身安全性的基石。高安全级别的操作系统要求TCB独立于系统的其他部分,要求TCB中不含有和安全无关的内容,并且要求TCB的设计遵循结构化和模块化的准则。这些要求的目的是简化TCB的复杂度,使TCB的安全性可以被比较严格地分析和测试。
安全操作系统的主要安全机制有身份鉴别、标志、审计、自主访问控制、强制访问控制、客体重用、可信路径、隐通道分析、形式化分析与验证等。
3.安全数据库
随着数据库系统的广泛使用和信息系统安全重要性的日趋增长,数据库安全显得十分重要。数据库的安全可归纳为保护数据库,以防非授权使用所造成的数据破坏、更改和泄露。这包含两层含义:系统运行安全和系统信息安全(应用层安全)。
安全数据库的主要安全机制有身份认证、访问控制、视图机制、存储过程、审计、攻击检测、数据加密、系统安全恢复。
4.网络安全
网络中有三种不同的数据流:用户数据流、控制数据流和管理数据流。本章重点介绍了骨干网的安全问题。按照骨干网的通用模型,可以将影响骨干网安全的因素划分为九个主要方面:网络与网络通信、设备与设备的通信、设备管理与维护、用户数据接口、远程操作员与NMC(网络管理中心)的通信、网络管理中心与设备的通信、网络管理中心、制造商交付与维护、制造商涉及与制造。骨干网受到的威胁一般有三种:可用带宽损耗、网络管理通信的破坏、网络基础设施失去管理。
骨干网的安全措施涉及以下方面:网络管理通信的保护、网络管理数据的分离、网络管理中心的保护、配置管理。
问题讨论
*(1)概括BLP模型的主要内容。
答:
是第一个有数学基础的访问控制模型,也是最著名的安全策略模型,结合了强制型访问控制和自主型访问控制。BLP模型的强制访问控制遵循两个基本安全条件:简单安全条件和*-属性(星属性)。简单安全条件规定一个主体可以读一个客体的条件是,仅当主体保密级别不低于客体的保密级别,且主体安全级中的非等级类别包含了客体安全级中的全部非等级类别。*-属性规定一个主体可以写一个客体的条件是,仅当主体保密级别不高于客体的保密级别,且主体安全级中的非等级类别包含于客体安全级中的非等级类别。
*(2)BLP模型中,安全标志为什么是非等级类别与等级分类的组合?
答:
这在现实生活中很容易找到例证:一个人也许拥有很高的密级,但他不一定允许查阅不属于其工作范围的其他部门的低密级的信息,这就是著名的“应需可知(need-to-know)的原则。
*(3)概述Biba模型的主要内容,并阐述BLP模型与Biba模型的区别。
答:
Biba模型的主要内容:Biba模型是一个针对完整性安全需求的模型。Biba模型隐含地融入了“信任”这个概念。事实上,用于衡量完整性等级的术语是“可信度”。例如,一个进程所处等级比某个客体的等级要高,则可以认为进程比该客体更“可信”。
BLP模型与Biba模型的区别:BLP模型将非等级类别与等级分类组合起来,作为系统中主客体的安全标志,并依据这些标志来执行强制访问控制操作。而Biba模型用线性的完整性等级标示主体和客体,其访问规则为:当主体完整性级别低于客体完整性级别时,主体可以读课题;当主体完整性级别高于客体完整性级别时,主体可以写客体。
*(4)Zdancewic提出的安全策略模型面临的主要挑战是什么?
答:
Zdancewic提出的安全策略模型面临的主要挑战:1.信息流安全理论和现有体系结构的融合问题;2.信息流模型需要避免绝对的无干扰限制;3.信息流模型需要能够解释和管理复杂的安全策略。
*(5)为什么说安全操作系统是信息安全的基础?
答:
因为安全操作系统最终的目标射保障其上应用的安全乃至最终信息系统的安全,它从加强操作系统自身的安全功能和安全保障出发,对应用采用“量体裁衣”式的保护方法,在操作系统层面实施保护措施,并为应用层的安全提供底层服务。
*(6)什么是可信计算基?
答:
可信计算基:计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。
*(7)安全操作系统主要有哪些安全技术?
答:
安全操作系统主要的安全技术有:1.身份鉴别:通过对实体特征信息的检查,确定实体的身份;2.标志:是强制访问控制的依据;3.审计:是事后认定违反规则行为的分析技术;4.自主访问控制:将访问控制的权限交给访问对象的拥有者来自主决定,或者给那些已经被授权控制对象访问的人来决定;5.强制访问控制:通过系统机制控制对客体的访问,个人用户不能改变这种控制;6.客体重用:如果一个对某客体没有授权的用户通过资源申请获取了该客体曾经使用过的资源,就有可能获取这些信息;7.可信路径:为用户与可信计算基之间提供一条可信任的通信途径,保护通信数据免遭修改和泄露;8.隐通道分析:如果一个通道即不是设计用于通信的,也不是用于传递信息的,则称该通道为隐蔽通道;9.形式化分析与验证:形式化方法在高安全级别操作系统的实现中有着重要的地位,形式化验证技术分为两大类:归纳验证技术与模型验证技术。
*(8)自主访问控制与强制访问控制的区别是什么?
答:区别:自主访问控制机制将访问控制的权限交给访问对象的拥有者来自主决定,或者给那些已经被授权控制对象访问的人来决定,拥有者能够决定谁应该拥有对其对象的访问权及内容。自主访问控制是所有级别的安全操作系统都需要具备的安全功能。
强制访问控制通过系统机制控制对客体的访问,个人用户不能改变这种控制。强制访问控制常常基于一些预设的规则来进行,因此偶尔也叫基于规则的访问控制。强制访问控制策略应包括策略控制下的主体、客体,以及由策略覆盖的被控制的主体与客体间的操作。可以有多个访问控制安全策略,但它们必须独立命名,且不能相互冲突。
(9)概述客体重用与可信路径的概念。
答:
客体重用:计算机系统控制着资源分配,当一个资源被释放,操作系统将会允许下一个用户或者程序访问这个资源。但是,已被释放的资源还可能残留着上次使用时的信息,如果一个对某客体没有授权的用户通过资源申请获得了该客体曾经使用过的资源,就有可能获取这些信息,这种攻击被称为客体重用。
可信路径:对于关键的操作,如设置口令或者更改访问许可,用户希望能够进行可以信任的通道,以确保他们只向合法的接收者提供这些重要的、受保护的信息,这就是可信路径的需求。可信路径为用户与可信计算基之间提供一条可信任的通信途径,保护通信数据免遭修改和泄露。
*(10)数据库安全威胁包括哪些方面?其安全需求有哪些?
答:
数据库安全威胁包括:1.偶然的、无意的侵犯和/或破坏;2.硬件或软件的故障/错误导致的数据丢失;3.人为的失误;4.蓄意的侵犯或敌意的攻击;5.病毒;6.其他还有诸如泄密、由授权读取的数据通过推理得到本不应访问的数据、对信息的非正常修改、绕过DBMS直接对数据进行读写等威胁等。
数据库安全需求:1.完整性:指数据的正确性和相容性;2.保密性:保护敏感信息不会直接或间接地被泄露给未授权的用户;3.可用性:当系统授权的合法用户申请访问授权数据时,安全系统应保证该访问的可操作性;4.可追究性:能跟踪到访问(或修改)数据库元素(数据库、关系、元组)的人。
*(11)安全数据库主要使用了哪些安全技术?
答:
安全技术:1.身份认证:只有合法用户才能进入数据库系统;2.访问控制:确保只允许正确的用户访问其权限范围内的数据;3.视图机制:管理员把某用户可查询的数据逻辑上归并起来,简称一个或多个视图,并赋予名称,再把该视图的查询授予该用户;4.存储过程:可以避免用户有过多的不必要的权限;5.审计:将事前检查,变为事后监督机制,通过记录一些用户的活动,发现非授权访问数据的情况;6.攻击检测:利用日志文件中的数据进行分析,以检测来自相同外部的攻击企图,追查有关责任者;7.数据加密:实现数据存储的安全保护;8.系统安全恢复:对已遭到破坏的系统进行尽可能完整有效的系统恢复,把损失降低到最小程度。
(12)骨干网的安全模型中,主要涉及哪些方面的因素?
答:
涉及因素:1.网络与网络的通信;2.设备与设备的通信;3.设备管理和维护;4.用户数据接口;5.远程操作员与NMC(网络管理中心)的通信;6.网络管理中心与设备的通信;7.网络管理中心;8.制造商交付与维护;9.制造商生产环境。
(13)如何认识骨干网中用户数据的安全问题?
答:
可用性是骨干网安全的核心问题,骨干网不需要提供用户数据的安全服务(如保密性和数据完整性),这应该是用户自己的责任,而骨干网的核心责任是保证信息不拖延、误传递或不传递。此外,作为端到端的信息传输系统,骨干网提供的服务必须对用户透明。
(14)骨干网的安全要求有哪些?
答:
安全要求:1.访问控制:必须能够区分用户对数据传输的访问和管理员对网络管理与控制的访问;2,鉴别:网络设备必须能鉴别从其他网络设备处发出的所有通信的来源,如路由信息;3.可用性:硬件和软件对用户必须是可用的;4.保密性:网络管理系统必须确保路由信息、信令信息、网络管理通信流的保密性,以保障这些数据的安全;5.完整性:必须保证网络设备之间、硬件和软件、和网络管理中心之间通信、制造商提供的硬件和软件以及向网络管理中心的拨号通信的完整性;6.不可否认性:网络人员不得否认对网络设备的配置所做的改变。
(15)骨干网主要面临哪些安全威胁?
答:
安全威胁:1.可用带宽损耗;2.网络管理通信的破坏;3.网络基础设施失去管理。
(16)对骨干网的攻击有哪些方式?安全措施是什么?
答:
攻击类型:1.被动攻击:检测和收集网络中传输的信息;2.主动攻击:典型的网络外部的攻击;3.内部人员攻击:指有意或无意造成骨干网可用性降低的用户或网管操作员;4.分发攻击:改变供应商提供的软件和硬件,从而实现攻击网络的目的。
安全措施:1.网络管理通信的保护;2.网络管理数据的分离;3.网络管理中心的保护;4.配置管理。
*(思考题1)Windows如何利用注册表实现访问控制?
答:(仅供参考)
Windows将许多状态信息存储在Windows注册表中。注册表数据以“配置单元”格式存储,数据存储在项和子项当中,可以将二者视为容器(子项不视为对象)。系统和机器信息存储在HKEY_LOCAL_MACHINE(HKLM)配置单元中。HKLM中包含的是各种系统服务的信息,其中大多数现在均使用本地服务或网络服务组的有限权限运行。服务和应用程序可以在其注册表项中存储状态信息。
*(思考题2)RBAC模型的应用范围与特点。
答:
RBAC模型提供了一个非常有用的抽象层次,以便于在企业级别而非个别用户级别去提升安全管理。它是一个已被证实可用于大规模授权控制应用的技术。
RBAC模型的特点是便于授权管理、便于角色划分、便于赋予最小特权、便于职责分担、便于目标分级。
*(思考题3)简述一下BMA模型。
答:
BMA模型:由英国医学会(BMA)提出的,由客体同意哪些主体可以有条件地查看并使用客体信息,保证客体信息的完整性和可用性。包含的主要原理有:访问控制表——用来说明可以读取和添加的人和组;打开记录——医生可以打开访问控制列表中与他有关的病人的病历,需经过病人委托;控制——在每个访问控制列表中必须有一个是可信的,只有他才能对病历进行写入;同意和通报——可靠的医生在打开病历时,应将访问控制列表中的名字、后续条件、可靠性的传递通知病人;持续性——任何人都不能删除病历记录,除非它已过期;日志——记录对病历记录的全部访问;可信计算——处理以上原理的计算机应该有一个有效的方法实现,实现方法需要由独立专家评估。
*(思考题4)RBAC模型在互联网金融P2P平台的应用。
答:(仅供参考)
以“用户身份”为核心建立授权模型,认证授权方式采用基于角色的访问控制模型(RBAC),在RBAC模型中包含用户users、角色roles、目标objects、操作operations、权限许可permission五个基本数据元素,依据用户角色的访问控制可以灵活地支持企业的安全策略,并对企业人员的变化有很大的伸缩性,从而减少授权管理的复杂性,降低管理开销。
*(思考题5)引用监视器模式图(UML)
答:课本P131,
访问行为→引用监视器→允许/禁止
引用监视器→访问行为和访问结果→审计系统
安全策略库→验证策略→引用监视器
第5章 可信计算技术
目录
5.1 可信计算概述
5.1.1 可信计算的概念
5.1.2 可信计算的发展与现状
5.1.3 可信计算TCG规范
5.1.4 可信计算平台体系结构
5.2 可信计算平台密码方案
5.2.1 密码与可信计算平台功能的关系
5.2.2 密码算法配置
5.2.3 密码使用
5.2.4 密钥管理
5.2.5 证书管理
5.3 可信平台控制模块
5.3.1 体系结构
5.3.2 主要功能
5.4 可信平台主板
5.4.1 体系结构
5.4.2 主要功能
5.5 可信基础支撑软件
5.5.1 软件框架
5.5.2 主要功能
5.6 可信网络连接
5.6.1 体系结构
5.6.2主要功能
5.6.3 远程证明
5.7 可信计算的应用
5.7.1 可信计算平台应用场景
5.7.2 可信网络连接应用场景
本章小结
有别于传统信息安全技术,可信计算技术以“防内为主,内外兼防,狠抓终端源头安全”的模式,构筑全面高效的安全防护系统。
1.可信计算概述
讲述了可信计算的概念以及发展现状,给出了可信计算平台以密码技术为基础、以可信平台模块为信任根、以可信主板为平台、以可信基础支撑软件为核心、以可信网络连接为纽带的体系结构。
2.可信计算平台密码方案
密码技术是可信计算平台的基础,为可信计算平台实现其安全功能提供密码支持。可信计算密码支撑平台中配备的密码算法包括:随机数产生算法、杂凑算法、消息验证码算法、对称密码算法和公钥密码算法。可信计算平台对密码的使用涉及密钥迁移、授权协议、DAA数字签名等。根据密钥的使用范围,平台中的密钥可以分为三类:平台身份类密钥、平台存储类密钥、用户类密钥。密码模块密钥、存储主密钥、平台所有者的授权数据直接存放在可信密码模块内部,通过可信密码模块的物理安全措施保护;平台身份密钥、平台加密密钥、用户密钥等可以加密保存在模块外部。平台通过设置密钥实体的权限数据来控制用户对密钥的访问。权限数据必须被加密存储保护。平台设置密码模块证书和平台证书两种数字证书。平台证书采用“双证书”机制,平台证书包含平台身份证书和平台加密证书,平台身份证书用于平台身份的证明,平台加密证书执行加密运算,用于平台间密钥迁移以及其他敏感数据的交换保护。
3.可信平台控制模块
可信平台控制模块是可信应用的核心控制模块,它为可信应用提供物理上的三个根功能:可信度量根、可信报告根与可信存储根。以可信平台控制模块为基础,可以扩展出可信计算平台的可信度量功能、可信报告功能与可信存储功能。在TPCM内部应包括如下单元:微处理器、非易失性存储单元、易失性存储单元、随机数发生器、密码算法引擎、密钥生成器、定时器、输入/输出桥接单元和各种输入/输出控制器模块。可信平台模块实现了可信度量、可信存储和可信报告三大基本功能,以及实现了可信平台用户管理、可信平台控制模块内部固件和可信平台控制模块内部维护管理三个辅助功能。
4.可信平台主板
可信平台控制模块安装在可信主板上。可信主板构成了可信计算的舞台。可信计算主板涉及的功能主要包括信任链的建立,附加有可信安全硬盘存储等功能。可信链的建立基于可信度量,可信度量的方法是代码的完整性度量。完整性度量功能检查运行前后软硬件代码的一致性,从而保证代码不被外部篡改。
可信计算平台主板是有TPCM和其他通用部件组成的,以TPCM自主可信根(RT)为核心部件实现完整性度量和存储机制,并实现平台可信引导功能。
5.可信基础支撑软件
可信基础支撑软件由可信软件基TSB、可信基础支撑软件系统服务TSS和可信基础支撑软件应用服务TAS三个部分组成,向可信计算平台上层应用提供完整性、数据保密性和身份认证管理功能的标准接口,其基本功能是提供完整性管理、数据保密性管理和身份认证管理功能。
6.可信网络连接
可信网络连接架构中,存在三个实体:访问请求者、访问控制器和策略管理器。从上至下分为三个层次:完整性度量层、可信平台评估层和网络访问控制层。它通过访问请求者、访问控制器及策略管理器三个实体来实现访问请求、访问控制及策略管理的功能。
7.可信计算应用
本章最后主要从可信计算平台及可信网络连接两个方面介绍可信计算技术在不同领域里的应用场景。
问题讨论
*(1)如何理解可信计算的概念?可信计算和传统的信息安全保护机制的不同点是什么?
答:
可信计算的概念:在容错计算领域,认为可信是指计算机系统所提供的服务可以论证其是可信赖的。可信计算组织(TCG)对“可信”的定义是:”一个实体在实现给定目标时,若其行为总是如同预期,则该实体是可信的“。ISO/IEC 15408《信息技术安全评估准则》定义可信为:参与计算的组件、操作或过程在任意的条件下是可预测的,并能够抵御病毒和物理干扰。美国微软公司认为可信计算是一种可以随时获得的可靠安全的计算,使人类信任计算机,就像使用电力系统、电话那样自由和安全。
可信计算和传统的信息安全保护机制的不同点:传统的安全防护措施是被动性的,没有从终端源头上解决安全问题,计算机和网络结构上的不安全因素并没有消除。可信计算的基本思想则是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,从节点上建立信息的可信传递模式,保障了信息在用户、程序与机器之间的安全传递,通过前移防御关口,有效抵制病毒和黑客针对节点的攻击,从而维护网络和信息安全。
*(2)概述可信计算平台的体系结构和主要功能。
答:
可信计算平台的体系结构:可信计算平台由四部分组成,由下到上分别是以密码算法、密码协议和密钥管理等密码技术为基础的可信平台控制模块,实现信任链建立和维护的可信平台主板,实现信任链向安全应用扩展的可信基础支撑软件以及信任由单个主机扩展到多个主机的可信网络连接。
可信计算平台的主要功能:平台完整性度量与报告、平台身份可信和数据安全保护等。
*(3)描述密码算法与可信密码支撑平台的关系。
答:
密码技术是可信计算平台的基础,为可信计算平台实现其安全功能提供密码支持。
*(4)概述可信平台控制模块的三大功能。
答:
可信平台控制模块的三大功能:1.完整性度量:使用杂凑算法对被度量对象计算其杂凑值的过程;2.完整性存储:可信平台控制模块也是可信计算平台的完整性存储根,必须实现对平台内部数据的安全存储;3.完整性报告:TPCM可向外部实体提供完整性度量值报告的功能,所报告的度量值座位判断可信计算平台可信性的依据。
(5)描述信任链建立过程。
答:图见课本P177。
流程(a)~(l),略。
*(6)描述可信基础支撑软件的三个层次。
答:可信基础支撑软件的三个层次:1.可信软件基:包含在操作系统内核中,由可信访问控制模块和TPCM驱动模块组成;2.可信基础支撑软件系统服务:处于系统服务层,通过TPCM驱动接口与可信软件基交互,向应用程序提供TPCM的证书、密钥、密码功能和完整性数据管理四类接口;3.可信基础支撑软件应用服务:处于应用服务层,向用户提供完整性保护、可信认证、数据保护三类应用服务接口。
*(7)概述可信网络连接架构中三个实体完成的主要功能。
答:
1.访问请求者是请求接入受保护网络的实体,功能为发出访问请求,完成与访问控制器的双向用户身份鉴别;收集完整性度量值并发送给访问控制器,完成与访问控制器之间的双向可信平台评估,依据策略管理器在用户身份鉴别和可信平台评估过程中生成的结果执行访问控制。
2.访问控制器是控制访问请求者访问受保护网络的实体,功能为完成与访问请求者之间的双向用户身份鉴别和可信平台评估;接收访问请求者的完整性度量值,收集自身的完整性度量值,将这些完整性度量值发送给策略管理器;依据策略管理器在用户身份鉴别和可信平台评估过程中生成的结果执行访问控制。
3.策略管理器负责制定可信平台评估策略,协助访问请求者和访问控制器实现双向用户身份鉴别,验证访问请求者和访问控制器的PIK证书有效性,校验访问请求者和访问控制器的平台完整性,生成访问请求者和访问控制器在用户身份鉴别过程和可信平台评估过程中的结果。
(8)举例说明可信计算的应用。
答:
1.政府信息系统领域:政府综合信息系统网络分为系统内网、电子政务专网和Internet外网三个部分,可以采用可信计算平台产品解决政府综合信息系统的安全管理问题;
2.金融信息系统领域:金融行业信息系统的安全监管系统、生产系统、办公系统、网银系统和外单位接入系统都要求保证系统内节点可信安全,接入部分可信安全;
3.企业信息系统领域:利用可信计算技术的安全存储和密钥保护技术,企业可以将敏感信息限制并绑定在一个特定部门所在的系统内;
4.军队信息系统领域:以可信计算技术为基础,通过部署可信可控安全管理平台,采用嵌入密码型可信计算机、可信服务服务器、网络信任管理系统和智能IC卡。
信息安全导论复习(1-5章)相关推荐
- 计算机病毒按破坏性分为哪两类,计算机导论复习要点.doc
计算机导论复习要点 第1章 结论 一.汉译英 计算机:Computer:hardware:software:Super Computer: Micro Computer: 二.填空题 1.图灵被称为: ...
- 计算机软件复用意义何在,2009计算机科学技术导论复习要点.pdf
计算机科学技术导论复习要点 第1章 计算机科学技术与信息化社会 本章在介绍计算机的定义.分类.特点.用途和发展等基本概念的基础上, 分析了信息化社会的特征.Internet 对信息化社会的影响以及信息 ...
- 软件工程导论复习总结
软件工程导论 第一章 软件工程学概述 第二章 可行性研究 第三章 需求分析 第五章 总体设计 第六章 详细设计 第七章 实现 第八章 维护 第九章 面向对象方法学索引 第十.十一.十二章 面向对象分析 ...
- 2013年计算机科学技术导论复习提纲
2013年计算机科学技术导论复习提纲 (纯手打 错了我也不管了--) 三.中文名词的概念 冯诺依曼机结构. 冯·诺依曼计算机模式的提出 冯·诺依曼和宾夕法尼亚大学莫尔学院合作,于1952年设计完 ...
- 计算机导论摘要,[计算机导论复习摘要.doc
[计算机导论复习摘要 计算机导论复习摘要 计算机的发展与划代 从1946年第一台电子计算机ENIAC问世至今已经历了五代的发展历史. 1945 1955 1965 1975 80年代以后划分标准第一代 ...
- 在计算机硬件中mo是指,计算机导论 - [课件]第2章 计算机系统的硬件.ppt
计算机导论 - [课件]第2章 计算机系统的硬件 微操作控制部件(MOCU)可有下列两种实现方案: ·组合逻辑控制 ·微程序控制 CPU 主存储器 I/O接口 DMA控制器 I/O设备 总线 交换数据 ...
- 算法复习第四章动态规划
算法复习第四章动态规划 动态规划 TSP问题 0-1bag 动态规划 TSP问题 0-1bag 最长公共子序列不考:
- 算法复习第三章分治法
算法复习第三章分治法 循环日程表 最近点对 快速排序: 循环日程表 最近点对
- 算法复习第六章第七章
算法复习第六章第七章 第六章回溯法 TSP问题 0-1bag问题 图着色问题 八皇后问题 第七章分支限界法 0-1bag问题 TSP问题 第六章回溯法 TSP问题 0-1bag问题 图着色问题 八皇后 ...
最新文章
- Android studio 自定义打包apk名
- 拆分一个字符串并把每个字符单独输出
- java两个字符串前缀_java – 找到两个字符串的最长公共前缀
- STM32——库函数开发小结
- Python type 函数- Python零基础入门教程
- 用python画三维图、某区域的高程,python - 在PyQt中绘制具有高程和降低效果的3D矩形/多边形 - SO中文参考 - www.soinside.com...
- 渗透测试入门16之渗透测试基本知识
- 沃尔玛痛失世界最大零售商 电商凶猛!
- 仅用 10 天设计的 JavaScript,凭什么成为程序员最受欢迎的编程语言?
- 图解TCPIP 学习笔记(一)
- 【T3】将“恢复记账前状态”按钮放置到工作台,一直显示。
- stata:数据包络分析(DEA)简明教程
- [笑话]1+1等于几?(新版)
- Mob 的分享的集成
- $.closest()
- java white case语句_JAVA基础(一)
- 拼多多店铺如何快速装修?
- 华为面试到入职培训 (南研所)
- 基金公司业务突围策略探析——产品布局+工具化定位
- 自建外贸独立站需要多少钱。