网络安全概述

资产保护

• 资产类型
  • 物理资源 物理资源是具有物理形态的资产
  • 知识资源 知识资源可以是任何信息的形式，并在组织的事务处理中起一定的作用
  • 时间资源
  • 信誉资源
• 有效保护资产
  • 资产一旦受到威胁和破坏，就会带来两类损失
    • 即时的损失
    • 长期的恢复所需花费
• 要获得安全强度和安全代价的折中，考虑
  • 用户的方便程度
  • 管理复杂性
  • 对现有系统的影响
  • 对不同平台的支持

信息安全模型

信息保障(IA)阶段 → IATF(Framework) 纵深防御策略(DiD)

• 20世纪90年代由美国国防部提出（PDD63）
• 定义：通过确保信息和信息系统的可用性、完整性、可控性、保密性和不可否认性来保护信息系统的信息作战行动，包括综合利用保护、探测和反应能力以恢复系统的功能
• 强调人、技术、操作三个核心原则，局域计算环境、区域边界、网络和基础设施、支撑性基础设施四个技术框架焦点域。

PDRR安全模型（策略即安全）P2DR安全模型（时间即安全）PDCA安全模型（管理即安全）

保护（Protection），检测（Detection），响应（Response），恢复（Restore）

策略（Policy），保护（Protection），检测（Detection），响应（Response）

• 计划（Plan）——根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施
• 实施（Do）——实施所选的安全控制措施
• 检查（Check）——依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查
• 改进（Action）——根据ISMS审核、管理评审的结果及其他相关信息，采取纠正和预防措施，实现ISMS的持继改进

CGS2.0（《美国国家安全体系黄金标准》）

• Govern Protect Detect Respond&Recover

攻击类型

• 安全属性
  • 阻断 ~ 针对可用性
  • 截取 ~ 针对机密性
  • 篡改 ~ 针对完整性
  • 伪造 ~ 针对真实性

• 攻击方式

  被动攻击主动攻击

  被动攻击包括传输报文内容的泄露和通信流量分析，强调阻止而不是检测。

  强调检测，并从破坏中恢复。

  伪装回答修改报文拒绝服务

  伪装是一个实体假装成另一个实体。伪装攻击往往连同另一类主动攻击一起进行

  回答攻击包含数据单元的被动捕获，随之再重传这些数据，从而产生一个非授权的效果

  修改报文攻击意味着合法报文的某些部分已被修改，或者报文的延迟和重新排序，从而产生非授权的效果

  拒绝服务攻击是阻止或禁止通信设施的正常使用和管理。这种攻击可能针对专门的目标(如安全审计服务)，抑制所有报文直接送到目的站；也可能破坏整个网络，使网络不可用或网络超负荷，从而降低网络性能

• 访问攻击（机密性攻击）

  窥探窃听截获

  查信息文件，发现某些攻击者感兴趣的信息。攻击者试图打开计算机系统的文件，直到找到所需信息

  偷听他人的对话，为了得到非授权的信息访问，攻击者必须将自己放在一个信息通过的地方，一般采用电子的窃听方式

  攻击者截获信息是通过将自己插入信息通过的通路，且在信息到达目的地前能事先捕获这些信息

• 篡改攻击（完整性攻击）

  改变插入删除

  改变已有的信息

  插入信息可以改变历史的信息

  将已有的信息去除

• 拒绝服务攻击（DoS，Denial of Service）（可用性攻击）

  拒绝访问信息拒绝访问应用拒绝访问系统拒绝访问通信

  使信息不可用，信息被破坏或者将信息改变成不可使用状态，也可能信息仍存在，但已经被移到不可访问的位置

  目标是操纵或显示信息的应用。通常对正在运行应用程序的计算机系统进行攻击，使应用程序不可用而不能完成任务

  通常是使系统宕机，使运行在该计算机系统上的所有应用无法运行，使存储在该计算机系统上的所有信息不可用

  是针对通信的一种攻击，已有很多年历史。这类攻击可能用切断通信电缆、干扰无线电通信以及用过量的通信负载来淹没网络

• 否认攻击（可审性攻击）

  假冒否认

  攻击者企图装扮或假冒别人和别的系统

  抵赖曾经登录和处理的事件

网络攻击分类

• 分类原则：确定性、完备性、互斥性、可重现性、可用性、适应性、原子性
  • 经验术语：[Icove]，[Cohen]
  • 单一属性：[Neumann & Parker]，[Stallings]，[Jayaram]，[Cheswick & Bellovin]
  • 多属性：[Howard]，[Christy]
  • 应用：[Alvarez & Petrovie]，[Weaver]，[Mirkovic]

网络信息安全服务

机密性服务完整性服务可用性服务可审性服务

提供信息的保密性

防护：文件机密性、信息传输机密性、通信流机密性

所提供信息的正确性

防护：文件完整性、信息传输完整性

所提供的信息是可用的

本身不针对攻击提供保护，需与其它服务结合

防护：身份识别+访问控制、身份认证技术、身份认证协议、审计功能

• 数字签名：完整性服务与可审性服务
  • Kerboros鉴别
    • 使用对称密钥加密算法来实现通过可信第三方密钥分发中心(KDC)的身份认证系统
  • 公钥基础设施（PKI）
    • 在分布式计算系统中提供的使用公钥密码系统和X.509证书安全服务的基础设施
• 访问控制：机密性服务和完整性服务
  • 访问矩阵(Access Matrix)是表示安全政策的最常用的访问控制安全模型
  • 为节省存储空间，实际系统通常并不直接采用矩阵，而是采用访问控制表或者权利表进行表示，也称访问控制表(Access Control List， ACL)
  • 访问控制分类：根据能够控制的访问对象粒度可以将访问控制分为粗粒度(Coarse Grained)访问控制、中粒度(Medium Grained)访问控制和细粒度(Fine Grained)访问控制

网络安全评估

• TCSEC 可信计算机系统评估准则（橘皮书）
  • 4类7级：D、C1、C2、B1、B2、B3、A1

• ITSEC 信息技术安全评估准则（白皮书）

  • 首次提出了信息安全的保密性、完整性、可用性等概念，把可信计算机的概念提高到可信信息技术的概念

  • E0级（没有任何保证）到E6级（形式化的验证）七个安全等级

    ITSEC中定义的七个安全等级

    这7个安全等级分别是： 1. E0级：该级别表示不充分的安全保证。 2. E1级：该级别必须有一个安全目标和一个对产品或系统的体系结构设计的非形式化的描述，还需要有功能测试，以表明是否达到安全目标。 3. E2级：除了E1级的要求外，还必须对详细的设计有非形式化描述。另外，功能测试的证据必须被评估，必须有配置控制系统和认可的分配过程。 4. E3级：除了E2级的要求外，不仅要评估与安全机制相对应的源代码和硬件设计图，还要评估测试这些机制的证据。 5. E4级：除了E3级的要求外，必须有支持安全目标的安全策略的基本形式模型。用半形式说明安全加强功能、体系结构和详细的设计。 6. E5级：除了E4级的要求外，在详细的设计和源代码或硬件设计图之间有紧密的对应关系。 7. E6级：除了E5级的要求外，必须正式说明安全加强功能和体系结构设计，使其与安全策略的基本形式模型一致。

  • 目前被CC替代

• CC 信息安全技术通用评估准则

  • 可提供结果的可重复性和客观性，用来评估信息系统或产品的安全性
  • 三个部分，相互依存，缺一不可：
    • 简介和一般模型
    • 安全功能要求
    • 安全保证要求

  • 规定了7个评估保证级：EAL1~EAL7

    CC中定义的七个评估保证级

    EAL1 功能测试 EAL2 结构测试 EAL3 系统测试和检查 EAL4 系统设计、测试和复查 EAL5 半形式化设计和测试 EAL6 半形式化验证的设计和测试 EAL7 形式化验证的设计和测试

• 我国信息安全评估准则

  • GB-17859：1999《计算机信息安全保护等级划分准则》
  • 规定了计算机信息系统安全保护能力分为5级：
    1. 用户自主保护级
    2. 系统审计保护级
    3. 安全标记保护级
    4. 结构化保护级
    5. 访问验证保护级
  • 其他准则
    • GB/T 18336-2008《信息技术安全性评估准则》
    • GB/T 22240-2008《信息系统安全保护等级定级指南》
    • GB/T 25070-2010《信息系统等级保护安全设计技术要求》
    • GB/T 25058-2010《信息系统安全等级保护实施指南》
    • GB/Z 24364-2009《信息安全风险管理指南》
    • GB/T 22239-2008《信息系统安全等级保护基本要求》
    • GB/T 22081-2008/ISO/IEC 27002:2005《信息安全管理实用规则》
    • GB/T 22080-2008/ISO/IEC 27001:2005《信息安全管理体系要求》

• 风险评估

  1. 风险评估
     • 从风险管理的角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的防御威胁的防护对策和整改措施，以防范和化解信息安全风险，或者将风险控制在可接受的水平，从而最大限度地保障网络和信息安全
     • 常用方法： （1）基于知识的分析方法 通过多种渠道采集信息，与特定“最佳惯例”比较，是一种“经验方法” （2）基于模型的分析方法 （3）定量分析 事件发生的可能性，威胁事件可能引起的损失 （4）定性分析 操作容易，但有一定主观性
     • 工具： （1）调查问卷 （2）检查列表 （3）人员访谈 （4）漏洞扫描器 （5）渗透测试 （6）目前常见的自动化风险评估工具：COBRA、CRAMM、ASSET、CORA等
  2. 生存性评估
     • 主要衡量网络或信息系统的抗攻击性 (Resistance)、可识别性(Recognition)和可恢复性(Recovery)。
     • SNA(Survivable Network Analysis)分析方法是一种主要的定性分析方法。

  3. 网络安全态势评估 从检测数据的角度评估当前网络信息系统面临的安全威胁状况

     flowchart LR
     A[攻击检测] -->B[数据挖掘]
     A-->C[数据融合]
     B --> C
     C -->D[可视化]
     D-->E(人工评估)

     • 攻击检测，是指传统入侵检测，也包括漏洞扫描和系统、应用系统日志审计等，它们向上级模块提供攻击数据。
     • 数据融合，是指利用入侵检测得到的攻击信息来进行数据融合进而获得安全态势知识的过程。
     • 数据挖掘，是指在数据融合所得到的安全态势知识中发现新的未知模式的过程。
     • 可视化，是指使用可视化工具将态势信息从抽象的数字形式转换为人们易于接受和理解的图表形式。

  4. 网络攻击效果评估 从攻击效果角度评估信息系统的安全性和网络攻击的能力

  5. 安全测评 通过选择公认的信息技术产品或信息系统的安全认证标准，如美国的TCSEC、ISO/IEC 15408(CC)、我国的GB17859-1999等，给出信息系统的安全性认证等级。
  6. 信息安全工程能力评估 系统安全工程能力成熟度模型(System Security Engineering Capability Maturity Model ，简称SSE-CMM)，将信息安全看成一项系统工程，通过系统生命周期内一系列过程来保证安全，并从低到高定义了6个能力成熟级别， 来评价组织机构的系统安全工程能力。
  7. 信息系统审计 信息系统审计，又称IT审计(IT Audit)，通常根据公认的标准或指导规范实施与否及其实施程度，来评估信息系统和相关资源的安全性、有效性、效率、完整性等。

网络安全标准

• 组织：ISO、IEC、ITU、IETF
• 分类：
  1. 互操作标准 加密标准，安全传输标准，传输层加密标准(SSL)，安全电子邮件标准(S-MIME)，安全电子交易标准(SET)，通用脆弱性描述标准(CVE)
  2. 技术与工程标准
     • 信息产品通用测评准则(ISO 15408)：支持产品中IT安全特征的技术性评估、描述用户对安全性的技术需求
     • 安全系统工程能力成熟度模型(SSE-CMM)：定义安全工程过程应有特征
     • 信息系统软件过程评估(ISO/IEC 15504) ：提供软件过程评估的框架
     • 信息和相关技术控制目标(COBIT) ：是安全与信息技术管理和控管的标准
     • 系统与软件整合层次(ISO 15026)：定义一个基于风险分析的软件整合层次流程，同时也定义整合层次必须将软件的风险值限制在一定范围内
     • 信息安全评估公共准则(ISO/IEC 15408-1999) ：CC的目的是允许用户指定他们的安全需求，允许开发者指定他们产品的安全属性，并且允许评估者决定是否产品确实符合他们的要求
  3. 网络与信息安全管理标准
     1. 信息安全管理体系标准(BS 7799，其中第一部分成为ISO/IEC17799)：BS 7799 提供一个开发组织安全标准、有效安全管理实施的公共基础，还提供了组织间交易的可信度。
     2. 信息安全管理标准(ISO 13335)：《IT安全管理方针》系列(第一至第五部分) ，已经在国际社会中开发了很多年。5个部分组成分别如下:
        • ISO/IECI3335-1: 1996《IT安全的概念与模型》
        • ISO/IECI3335-2: 1997《IT安全管理和计划制定》
        • ISO/IECI3335-3: 1998《IT安全管理技术》
        • ISO/IECI3335-4: 2000《安全措施的选择》
        • ISO/IEC13335-5《网络安全管理方针》