导图社区信息与网络安全

信息与网络安全

信息与网络安全课程笔记共有八章内容，包含各种图示，内容丰富，条理清晰，适用信息管理与信息系统等专业期中、期末复习

编辑于2023-09-14 22:12:37 上海

信息安全
网络安全
信息管理与信息系统
信息与网络安全

小熊跺跺脚

他的近期作品集查看更多>>

信管专业课程复习含10个作品
信息管理与信息系统专业课程思维导图，涵盖大一至大三重点课程，适用于平时思维梳理以及期中期末复习。

他的近期作品查看更多>>

信息与网络安全

社区模板帮助中心，点此进入>>

小熊跺跺脚

他的近期作品集查看更多>>

信管专业课程复习含10个作品
信息管理与信息系统专业课程思维导图，涵盖大一至大三重点课程，适用于平时思维梳理以及期中期末复习。

他的近期作品查看更多>>

相似推荐
大纲

互联网9大思维
- 32.1k
- 2.3k
- 376
MindMaster
安全教育的重要性
- 6.0k
- 83
- 16
issen
组织架构-单商户商城webAPP 思维导图。
- 14.2k
- 181
- 12
Kacyun
个人日常活动安排思维导图
- 7.0k
- 75
- 2
少儿栏目外景策划波波老师
域控上线
- 1.5k
- 10
- 5
jackrao
西游记主要人物性格分析
- 14.7k
- 621
- 104
issen
17种头脑风暴法
- 173.3k
- 11.0k
- 3.6k
MindMaster
python思维导图
- 5.2k
- 236
- 9
(*^▽^*)
css
- 1.2k
- 41
- 5
A张舫
CSS
- 3.2k
- 188
- 33
journey

信息与网络安全

第一章信息安全管理概述

1.1 信息安全概念

信息安全含义

信息安全（ InfoSec）就是保护信息及其关键要素，包括使用、存储以及传输信息的系统和硬件。（基于美国CNSS发布的标准）

信息安全的三种特性

机密性

信息的机密性确保了只有那些有足够权限并且经证实有这个需要的人，才能够访问该信息。

完整性

完整性即指整体性（whole）、完全性（complete）以及未受侵蚀（uncorrupted）的特性或状态。一方面它指在信息使用、传输、存储的过程中不发生篡改、丢失、错误；另一方面是指信息处理方法的正确性（执行不正当的操作可能造成重要文件的丢失，甚至整个系统的瘫痪）。

可用性

可用性也是信息的一种特性，在信息处于可用状态时，信息及相关的信息资产在授权人需要的时候可以立即获得。

1.2 信息安全管理概念

含义

信息安全管理是通过维护信息的机密性、完整性和可用性等，来管理和保护信息资产的一项体制，是对信息安全保障进行指导、规范和管理的一系列活动和过程。

内容

通信、运行与操作安全

安全方针和策略

访问控制

组织安全

系统获取、开发与维护

资产分类与控制

安全事故管理

人员安全

业务持续性

物理与环境安全

符合性

信息安全管理的扩展特性

计划

策略

企业信息安全策略

它为信息安全部门定下了基调，并确定整个机构信息安全的大环境。该策略是顺应 IT 战略性计划而开发的，一般由首席信息安全官草拟，再由首席信息官或首席执行官支持和签署通过

基于问题的安全策略

在使用特定的技术时（如电子邮件、因特网）所定义的可被接受的行为规则

基于系统的策略

它实际上是采用技术或管理措施来控制设备的配置。例如，访问控制列表就是这种策略，它定义了对某个特殊设备的访问权限

项目

保护

保护功能由一系列风险管理活动来实现，包括风险评估和控制，也包括保护机制、技术和工具。

人员

管理者必须牢固确立人在信息安全项目中所充当角色的重要性

项目管理

重要性

一方面，Internet的开发性、异构性、多数应用是C/S模式、网络允许匿名用户存在等设计方式和特点，使得Internet上的漏洞很快就可以被发现并被迅速传播，针对各种网络漏洞的攻击手段和攻击工具也同样是开放的。这些因素使得蠕虫病毒、病毒、协议攻击泛滥成灾。

同时，网络软件的漏洞和后门“back door”随着软件规模的不断增长，而层出不穷

另外，计算机网络系统还受到人为的错误操作和恶意攻击的威胁。

网络不安全的根本原因

自身缺陷＋开放性＋恶意攻击（包括误操作）

“三分技术，七分管理” 信息系统的安全问题不能只局限于技术，更重要的还在于管理。

攻击复杂程度与攻击者技术水平日益提高

攻击范围随着时间日益变广

信息战愈演愈烈

1.3 信息安全管理的发展历程

国际信息安全管理的发展历程

从国际上看，粗略地把信息安全管理的发展进行分期，大体经历了“零星追加时期”和“标准化时期”两个阶段，九十年代中期可以看作这两个阶段的分界。

制订信息安全发展战略和计划

加强信息安全立法，实现统一和规范管理

步入标准化与系统化管理时代

国内信息安全管理的发展历程

国家宏观管理

信息安全法律法规问题信息安全保障管理问题国家信息基础设施建设问题

组织微观管理

缺乏信息安全意识与方针重视技术，轻视安全管理缺乏系统管理的思想

1.4 信息安全管理的相关标准

国际安全管理标准

信息安全管理体系标准（BS7799） IT基础设施库（ITIL）信息和相关技术控制目标（COBIT） IT安全管理指南（ISO 13335）系统安全工程能力成熟度模型（SSE-CMM）

国内安全管理标准

第二章信息安全管理体系

2.1 信息安全管理体系概述

内涵

信息安全管理体系（ISMS）是组织在整体或特定范围内建立的信息安全方针和目标，以及完整这些目标所用的方法和手段所构成的体系。信息安全管理体系是信息安全管理活动的直接结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。

ISMS内涵

建立ISMS步骤

信息安全管理体系的策划与准备体系文件的编制建立信息安全管理框架体系的运行体系的审核与评审

ISMS作用

强化员工的信息安全意识，规范行为促使管理层贯彻信息安全保障体系对关键信息资产进行全面系统的保护如果通过体系认证，可以提高组织的知名度与信任度

ISMS范围

所有的信息系统组织的部分信息系统特定的信息系统

ISMS特点

强以预防控制为主的思想强调合规性强调全过程和动态控制关注关键性信息资产

PDCA循环

PLAN

确定具体工作计划，提出总的目标

分析目前现状，找出存在的问题分析产生问题的各种原因及影响因素分析并找出管理中的主要问题制订管理计划，确定管理要点

按照制定的方案去执行

本阶段的任务是在管理工作中全面执行制定的方案

CHECK

检查实施计划的结果

它是对实施方案是否合理、是否可行以及有何不妥的检查

ACTION

根据调查结果进行处理

对已解决的问题，加以标准化找出尚未解决的问题

PDCA循环是螺旋式上升和发展的！

ISMS的PDCA过程

计划阶段

确定信息安全方针；确定信息安全管理体系的范围；制定风险识别和评估计划；制定风险控制计划

实施阶段

保证资源、提供培训、提高安全意识；风险治理。

检查阶段

日常检查；自治程序；从其他处学习；内部信息安全管理体系审核；管理评审；趋势分析。

行动阶段

不符合项；纠正和预防措施。

2.2 BS7799信息安全管理体系

概述

BS 7799是信息安全管理领域的一个权威标准，是全球一致公认的辅助信息安全治理的手段，该标准的最大意义就在于它给管理层一整套“量体裁衣”的信息安全管理要项

BS 7799主要提供了有效地实施IT安全管理的建议，介绍了安全管理的方法和程序

该标准是由英国标准协会（BSI）制定，是目前英国最通用的标准

BS 7799信息安全管理体系标准强调风险管理的思想

BS 7799:1999

BS7799-1:《信息安全管理实施规则》

主要是给负责开发的人员作为参考文档使用，从而在他们的机构内部实施和维护信息安全。它作为国际信息安全指导标准ISO/IEC17799基础的指导性文件，包括11大管理要项，134种控制方法。

BS7799-2:《信息安全管理体系规范》

说明了建立、实施和维护信息安全管理体系（ISMS）的要求；指出实施组织需要通过风险评估来鉴定最适宜的控制对象；根据自己的需求采取适当的安全控制。

BS7799-2的新版本ISO/IEC27001:2005 ISO/IEC27001:2005更注重PDCA的过程管理模式，能够更好的与组织原有的管理体系，如质量管理体系、环境管理体系等进行整合，减少组织的管理过程，降低管理成本； 2005.10，英国信息安全管理体系标准BS7799-2：2002作为国际标准ISO/IEC 27001：2005采用，标志着信息安全管理体系认证进入了一个新阶段。

2.3 信息安全管理体系的建立

建立步骤

信息安全管理体系的策划与准备

建立信息安全管理框架

信息安全管理体系文件的编制

信息安全管理体系的运行

信息安全管理体系的审核与评审

建立准备

管理承诺

组织与人员建设

编制工作计划

能力要求与教育培训

建立BS7799信息安全管理框架

安全策略

定义

信息安全策略本质上来说是描述组织具有哪些重要信息资产，并说明这些信息资产如何被保护的一个计划。

层次

信息安全方针（ISMS实施前期）

具体的信息安全策略（信息安全风险评估工作完成后）

定义ISMS的范围

组织现有部门办公场所资产状况所采用技术

实施信息安全风险评估

对ISMS范围内的信息资产进行鉴定和估价；对信息资产面对的各种威胁和脆弱性进行评估；对已存在的或规划的安全控制措施进行鉴定。

实施信息安全风险管理

降低风险避免风险转移风险接受风险

确定控制目标和选择控制措施

控制目标的确定和控制措施的选择原则是成本不超过风险所造成的损失

准备信息安全适用性声明

SOA（Statement of Application)是适合组织需要的控制目标和控制措施的评论，需要提交给管理者、职员以及具有访问权限的第三方认证机构

编写BS7799信息安全管理体系文件

文件的编写

编写原则编写前的准备编写的策划与组织

文件的控制管理

文件控制记录控制

文件的作用

阐述声明的作用规定和指导作用记录和证实作用评价信息安全管理体系保障信息安全改进平衡培训要求

文件的层次

适用性声明 ISMS管理手册程序文件作业指导书记录

信息安全管理体系的运行

有针对性地宣传信息安全管理体系文件完善信息反馈与信息安全协调机制加强有关体系运行信息的管理加强信息安全体系文件的管理

信息安全管理体系的审核

组织为验证所有安全方针、策略和程序的正确实施，检查信息系统符合安全实施标准的情况所进行的系统的、独立的检查和评价，是信息安全管理体系的一种自我保证手段。

审核的分类

内部信息安全管理体系审核外部信息安全管理体系审核

审核的主要目的

向管理者提供安全控制目标实现状况，使管理者了解安全问题

指出存在的重大的控制弱点，证实存在的风险

建议管理者采用正确的校正行动，为管理者的决策提供有效支持

满足法律、法规与合同的需要

提供改善ISMS的机会

检查BS7799的实施程度与标准的符合性情况

检查满足组织安全策略与安全目标的有效性和适用性

识别安全漏洞与弱点

审核的基本步骤

确定任务（审核策划）

审核准备

现场审核

编写审核报告

纠正措施的跟踪

全面审核报告的编写和纠正措施计划完成情况的汇总分析

信息安全管理体系的管理评审

组织的最高管理者按规定的时间间隔对信息安全管理体系进行评审，以确保体系的持续适宜性、充分性和有效性

管理评审过程

管理评审的输出

信息安全体系的适宜性、充分性和有效性结论；组织机构是否需要调整；信息安全管理体系文件是否需要修改；资源配备是否充足，是否需要调整增加；信息安全方针、策略和控制目标和控制措施是否适宜； ISMS风险是否需要调整

管理评审的输出

内、外部信息安全管理体系审核的结果； ISMS方针、风险控制目标和风险控制措施的实施情况；事故、事件调查处理情况；事故、事件、不符合项、纠正和预防措施的实施情况；相关方的投诉、建议及其要求

管理评审的步骤

编制评审计划；准备评审材料；召开评审会议；评审报告分发与保存

信息安全管理体系的检查与持续改进

对信息安全管理体系的检查

日常检查自治程序学习其他组织的经验内部信息安全管理体系审核管理评审趋势分析

对信息安全管理体系的持续改进

纠正性控制

组织应采取措施，以消除不合格的、与实施和运行信息安全管理体系有关的原因，防止问题的再次发生。

预防性控制

组织应针对未来的不合格事件确定预防措施以防止其发生。预防措施应与潜在问题的影响程度相适应。

第三章信息安全风险管理

3.1 风险管理概述

风险

事件未来可能结果发生的不确定性损失发生的不确定性指可能发生损失的损害程度的大小指损失的大小和发生的可能性由风险构成要素相互作用的结果

安全风险

特定的威胁利用资产的一种或多种脆弱性，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。

威胁

指可能对资产或组织造成损害的事故的潜在原因

资产

被组织赋予了价值、需要保护的有用资源

类别

信息资产：数据库和数据文件等软件资产：应用软件、系统软件等服务：计算和通信服务、通用公用事业等人力资源：人员及他们的资格、技能和经验等无形资产：组织的声誉和形象等

脆弱性

资产的弱点或薄弱点

这些弱点可能被威胁利用造成安全事件的发生，从而对资产造成损害。脆弱性也常常被称为漏洞，脆弱性是资产本身所具有的。

风险管理

以可接受的代价识别、控制、降低或消除可能影响信息系统的安全风险的过程

风险管理通过风险评估来识别风险大小，通过制定信息安全方针、采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降至一个可被接受的水平。

残余风险

采取了安全措施，提高了信息安全保障能力后，仍然可能存在的风险

风险不可能完全消除风险不必要完全消除残余风险应受到密切监视,因为它可能会在将来诱发新的事件

风险管理各要素的关系

3.2 风险评估

概念

风险评估是对信息和信息处理设施的威胁、影响（Impact，指安全事件所带来的直接和间接损失）和脆弱性及三者发生的可能性的评估

要考虑的因素

信息资产及其价值

对这些资产的威胁及他们发生的可能性

脆弱性

已有的安全控制措施

任务

识别组织面临的各种风险

评估风险概率和可能带来的负面影响

确定组织承受风险的能力

确定风险降低和控制的优先等级

推荐风险降低对策

分类

基本风险评估

又称基线风险评估，是指应用直接和简易的方法达到基本的安全水平，就能满足组织及其业务环境的所有要求

安全基线

是在诸多标准规范中规定的一组安全控制措施或者惯例，这些措施和惯例适用于特定环境下的所有系统，可以满足基本的安全需求，能使系统达到一定的安全防护水平

选择安全基线

国际标准和国家标准，如BS7799-1、ISO13335-4 行业标准或推荐，如德国联邦安全局IT基线保护手册来自其他有类似业务目标和规模的组织的惯例

优点

所需资源最少，简便易实施

同样或类似的控制能被许多信息安全管理体系所采用，不需要耗费很大的精力

缺点

安全基线水平难以设置

管理与安全相关的变更可能有困难

适用范围

适用于业务运作不是非常复杂的组织，并且组织对信息处理和网络的依赖程度不高，或组织信息系统多采用普通或标准化的模式

详细风险评估

对资产、威胁及脆弱性进行详细的识别和评估

优点

可以获得一个更精确的对安全风险的认识，从而可以更为精确地识别出反映组织安全要求的安全水平

可以从详细的风险评估中获得额外信息，使与组织变革相关的安全管理受益

缺点

需要花费相当的时间、精力和技术去获得可行的结果

联合风险评估

联合风险评估首先使用基本风险评估，识别信息安全管理体系范围内具有潜在高风险或对业务运作来说极为关键的资产，然后根据基本风险评估的结果，将信息安全管理体系范围内的资产分成两类。一类需要应用详细风险评估以达到适当保护；另一类通过基本评估选择安全控制就可以满足组织需要。

优点

既节省评估所花费的时间与精力，又能确保获得一个全面系统的评估结果

组织的资源与资金能够被应用在最能发挥作用的地方，具有高风险的信息系统能够被预先关注

缺点

如果最初对信息系统的高风险识别不够准确，那么本来要详细评估的内容也许会被忽略，最终导致结果失准

步骤

概述

组织业务运作流程进行资产识别，并根据估价原则对资产进行估价

根据资产所处的环境进行威胁评估

对应每一威胁，对资产或组织存在的脆弱性进行评估

对已采取的安全机制进行识别和确认

建立风险测量的方法及风险等级评价原则，确认风险的大小与等级

资产识别与估价

资产识别

明确所拥有和需要保护的信息资产，确定关键资产。

主要任务

资产划分

标准IT系统组成部分

人员

人员划分为内部人员（员工）和外部人员（非员工）。内部人员又细分成两类：一类人员值得信任，并且拥有较大的权威和职责，而另一类人员则是无任何特权的一般员工；外部人员则包括其他可以访问机构信息资产的用户

流程

流程分为两类：IT 和业务标准流程、IT 和业务敏感流程。敏感流程具有给机构带来攻击或引入风险的潜在可能。比如，电信公司在新开通线路时就可能引入特殊风险

数据

数据部分包括以下所有状态的信息：传输、处理和存储

软件

软件包括应用软件、操作系统或安全组件。提供安全控制的软件可以归入操作系统或应用软件，但它同这两类也有所不同，因为它是信息安全控制环境的组成部分，应当比其他系统组成得到更彻底的保护

硬件

硬件分为两类：常见的系统设备和外围设备以及信息安全控制系统的组成设备。对后者的保护要比前者更完善

网络

网络部分是从软件和硬件中抽取出来的，因为网络子系统往往是系统遭受攻击的焦点。因此，需要对其专门加以考虑，而不能将其视为一般意义上的软件和硬件组件

资产清单应包含必要的信息，包括资产类型、格式、位置、备份信息、许可信息和业务价值等

分类识别

识别硬件、软件和网络资产

确定每一种信息资产需要追踪的属性时，应当考虑的潜在属性

命名：一张设备或程序常用名单。 IP 地址：该属性对网络设备和服务器很有用，但很少对软件有所影响。媒体访问控制（MAC）地址：也称电子序列号或硬件地址。资产类型：用于描述每一种资产的功能或作用。产品序列号：一种识别特定设备的惟一序列号，一些软件商也给机构许可的每个程序分配一个软件序列号。制造商：当某个制造商公布其产品漏洞时，该属性有助于分析潜在威胁。制造型号或部件编号：该编号能正确识别资产，它在以后的漏洞分析中很有用，因为某些威胁只针对某些设备和 /或软件组件的特定型号。软件版本号、更新修订版号：当前的软件和固件的版本信息物理位置：该属性并不属于软件要素。但一些机构可能指出在何处可以使用软件的许可条款。逻辑位置：该属性用以指定资产在机构内部网络中的位置。逻辑位置非常适用于网络设备，并暗示了容纳设备的逻辑网络段（有时标为 VLAN）。控制实体：控制资产的机构部门。

识别人员、流程和数据资产

人员

职位名称 /编号 /ID：使用职称、角色或功能来描述主管名称 /编号 /ID：使用职称、角色或功能来描述特殊技能

流程

描述目的相关的软件 /硬件 /网络要素参考资料存储位置更新数据存储位置

数据

分类所有者 /创建者 /管理者数据结构范围所用的数据结构：比如，连续的或相关的在线或脱机位置备份流程

资产估价

包括账面价格和相对价值估价，但资产估价不是按照账面价值来衡量的

相对价值：相对价值是一种比较性的价值判定，其可确保在风险管理中，最有价值的信息资产被赋予最高优先级。一般通过如下问题来估算信息资产的相对价值。

机构应该参照上述问题建立一个资产的价值尺度（资产评估标准）。在信息系统中，一般采用定性分级的方式来建立资产的相对价值或重要度

资产定性分级

威胁的识别与评价

主要任务

识别产生威胁的原因

确认威胁的目标

评估威胁发生的可能性

威胁识别

在威胁识别工程中，应根据资产所处的环境条件和资产以前遭受威胁损害的情况来判断。威胁源可能是蓄意人为也可能是偶然的因素

包括

人员威胁、系统威胁、环境威胁、自然威胁

威胁类型

内部威胁

信息截取

非法访问

完整性破坏

冒充

拒绝服务

重放

抵赖

威胁发生的可能性

影响因素

资产的吸引力

资产转化成报酬的容易程度

威胁的技术含量

脆弱性被利用的难易程度

PTV=PT×PV

PTV：考虑资产脆弱性时威胁发生的可能性

PT：未考虑资产脆弱性时威胁发生的可能性

PV：资产的脆弱性被威胁利用的可能性

评估威胁发生的可能性

威胁的潜在影响I = 资产相对价值V × 价值损失程度CL 其中：0< CL<=1

脆弱性评估

技术脆弱性

系统、程序和设备中存在的漏洞或缺陷，如系统设计问题、代码漏洞等

管理脆弱性

策略、程序和规章制度等方面的弱点

操作脆弱性

软件和系统在配置、操作及使用中的缺陷，如日常工作中的不良习惯、备份缺失等

确认现有安全控制

安全控制的分类方式

按照目标和针对性可以分为

技术性安全控制：身份识别与认证、逻辑访问控制、日志审计和加密等

管理性安全控制：系统开发、维护和使用中实施管理的措施

操作性安全控制：用来保护系统和操作的流程和机制

按照功能安全控制可以分为

威慑性安全控制、预防性安全控制、检测性安全控制、纠正性安全控制

3.3 风险评价方法

风险评价是利用风险测量方法或工具确定风险的大小与等级

预定义价值矩阵法

加法

该方法利用威胁发生的可能性、脆弱性被威胁利用的可能性及资产的相对价值三者预定义的三维矩阵来确定风险的大小，如假设

威胁发生的可能性定性划分为三级：低、中、高

脆弱性被利用的可能性也定性划分为三级：低、中、高

受到威胁的资产的相对价值定性划分为五级（0,1,2,3,4）

预定义风险价值矩阵表

风险等级的划分

威胁排序法

把风险对资产的影响与威胁发生的可能性联系起来，用于考察和比较威胁对组织资产的危害程度

按预定义的尺度，评估资产的相对价值I，如：尺度可以是1~5

评估威胁发生的可能性PT或PTV，如：尺度可以是 1~5

脆弱性被利用的可能性也定性划分为三级：低、中、高

测量风险值R，R=R(PTV,I)=PTV×I

按风险大小对威胁排序

网络系统的风险计算方法

对于各网络系统，可以根据网络系统的重要性,威胁发生的可能性、威胁发生后性能降低的可能性来评价风险的大小： R=R(PTV,I)=V×(1-PD) ×(1-PO)

V—系统重要性，即V=C×IN×A C—系统的保密性 IN—系统完整性 A—系统可用性 PO —威胁不会发生的可能性； PD —系统安全性不会降低的可能性

某组织网络系统风险计算结果

区分可接受和不可接受风险法

这种方法把风险定义为可接受的（T）与不可接受的（N）两种，为了区分需要立即采取措施的风险和暂时不需要控制的风险注：它实际上是预定义价值矩阵法的变换

威胁频度值计算表

由威胁发生的频度值及资产的相对价值确定风险矩阵表

资产风险矩阵表

把风险定义为可接受的（T ）与不可接受的（N）两种以后

资产风险矩阵表（可接受的T与不可接受的N）

3.4 风险控制

通过风险评估对风险进行识别及评价后，风险管理的下一步工作就是对风险实施安全控制，以去确保风险被降低或消除。

安全控制的识别与选择

以风险评估的结果为依据，判断与威胁相关联的脆弱性，决定什么地方需要保护及应该采取何种形式的控制。

控制的4种类型

控制功能

预防型控制

依靠增强机构政策或安全规则，诸如认证或保密，以阻止漏洞受到利用。（这类控制使用技术过程，比如加密或其他混合技术手段和强化方法。）

检测型控制

在安全规则、机构政策遭到破坏时或存在即将受到利用的漏洞时向机构发出警告。（这类控制使用诸如审计追踪、入侵检测和配置监控之类的技术。）

架构层

一些控制将应用于技术架构的一个或多个层面。控制可按照其在具体的一层或多层中的使用来分类。诸如防火墙的一些控制，其进行架构层间的接口操作，比如外部网络广域网（WAN）与局域网（LAN）

战略层

有时控制可根据风险控制战略分类：避免、缓解或转移

注意:此处不包含承受式战略，因为其本身就意味着放弃对风险控制

信息安全原则

机密性

该原则应用于对机构数据的存储、处理或传输提供机密性保证的控制

完整性

该原则应用于对信息资产在持续和正确的状态下合理地、完全地、正确地接收、处理、存储以及查询数据提供保障的控制

可用性

该原则应用于对关键信息资产的当前访问提供保障的控制

认证

该原则应用于确保信息资产的用户与个人或计算机认可的用户身份相符的控制

授权

该原则应用于确保特殊用户（个人或计算机）具体、明确地取得对信息资产的访问、更新或删除的合理权限的控制

责任

该规则应用于确保每项执行中的措施能被归结到具体的用户或自动化处理过程的控制

隐私

该原则应用于确保按照相关类别的信息对应的法律和政策来对个人私有信息进行访问、更新或移除的控制

降低风险

避免风险

缓解风险

缓解风险是一种控制方法，它通过计划和筹备来减少漏洞带来的损坏

该方法包括 3 种计划，即：事故响应计划（ IRP）、灾难恢复计划（DRP）以及业务连续性计划（BCP）

转移风险

减少威胁

减少脆弱性

减少威胁可能的影响

检测意外事件，并做出响应和恢复

接受风险

要使组织的信息系统达到绝对安全是不可能的，组织在实施选择的控制后，仍然会存在风险，称之为残留风险或剩余风险。风险接受就是一个对残留风险进行确认和评价的过程。

3.5 信息安全风险评估现状

国际信息安全风险管理动态

美国：独占鳌头，加强控管

制定了从军政部门、公共部门和私营领域的风险管理政策和指南形成了军、政、学、商分工协作的风险管理体系国防部、商务部、审计署、预算管理等部门各司其职，形成了较为完整的风险分析、评估、监督、检查问责的工作机制

DOD（美国国防部）：风险评估的领路者

DOC/NIST（美国国家标准与技术研究院，隶属于美国商务部）：风险评估的推动者 2000年，NIST在《联邦IT安全评估框架》中提出了自评估的5个级别。并颁布了《IT系统安全自评估指南》（SP 800-26）。 2002年，NIST发布了《IT系统风险管理指南》（SP 800-30）。阐明了风险评估的步骤、风险缓解的控制和评估评价的方法。 2002年，颁布了《联邦信息安全管理法案》（FISMA），要求联邦各机构必须进行定期的风险评估。从2002年10月开始，NIST先后发布了《联邦IT系统安全认证和认可指南》（SP 800-37）、《联邦信息和信息系统的安全分类标准》（FIPS 199）、《联邦IT系统最小安全控制》（SP 800-53）、《将各种信息和信息系统映射到安全类别的指南》（SP 800-60）等多个文档，以风险思想为基础加强联邦政府的信息安全。

学术界：风险评估的探索者

美国政府通过信息安全教育计划鼓励和资助20多所著名大学开展与信息安全风险管理相关的研究开发和人才培养工作，为风险管理不断输送技术和智力资源。如卡内基梅隆大学： SSE-CMM：信息安全工程能力成熟度模型 OCTAVE：发布了OCTAVE框架，属于自主型信息安全风险评估方法。

商业界：风险评估的实践者

欧洲：不甘落后，重在预防

“趋利避害”一直是欧洲各国在信息化进程中防范安全风险的共同策略欧陆诸国和英联邦国家在风险管理上一直在探索走不同于美国的道路欧盟投资、多国共同推动的CORAS项目充满欧洲理性思想的光芒，值得关注

英国：BS7799享誉全球

英国BSI推出BS 7799，分为两个部分：“BS7799-1:1999 信息安全管理实施细则”、“BS7799-2:2002 信息安全管理体系规范”。英国CCTA开发了CRAMM风险评估工具，完全遵循BS7799。英国C&A系统安全公司推出了COBRA（Consultative, Objective and Bi-functional Risk Analysis）工具，由一系列风险分析、咨询和安全评价工具组成。

德国：日耳曼人的“基线”防御

《德国联邦IT基线防护手册（ITBPM）》以严谨、周密而得名； 1991 年，德国建立信息安全局(BSI) ，主要负责政府部门的信息安全风险管理和评估工作。 1997年，颁布《信息和通信服务规范法》风险评估在方法上基本遵循BS 7799

欧盟：CORAS项目

2003年，欧盟投资，四个欧洲国家（德国、希腊、英国、挪威）的11个机构，历时3年时间，完成了安全关键系统的风险分析平台项目CORAS，使用UML建模技术，开发了一个面向对象建模技术的风险评估框架。一期完成之后，欧盟继续投资为期三年的二期项目COMA

亚太：及时跟进，确保发展

日本

《日本：在风险管理方面综合美国和英国的做法，建立了“安全管理系统评估制度”(ISMS)，作为日本标准 (JIS)，启用了ISO／IECl7799-1(BS7799)

新加坡

主要参照英国的做法，在信息安全风险评估方面依据BS 7799

韩国

主要参照美国的政策和方法

国内信息安全风险管理情况

总体态势：起步较晚，发展很快

国信办从国家层面强力推动

各部委各司其职，积极呼应

在技术、服务方面及时跟进

国外企业利用技术和市场优势乘势而入

国信办强力推动

国内企业及时跟进

以启明星辰、天融信、联想、三零盛安、绿盟等为代表的信息安全企业，为民航、电信、石油等多个行业提供了商业性的风险评估服务；以国家电力公司为代表的大型国有企业开展了信息安全风险自评估工作

在华外企趁势而入

以IBM、HP、爱森哲等为代表的国外IT企业为金融、石油、电信等行业用户提供高端、商业性的风险评估服务；以普华永道、毕马威等为代表的会计师事务所为我国在海外上市的企业提供包括风险评估在内的审计服务

市场情况：需求迫切，形势喜人

国内信息安全风险评估的市场

党政军机关等重要部门

公众商业服务系统

行业/企业信息系统

基础信息网络和重要信息系统

第四章信息安全策略管理

4.1 信息安全策略的概念

信息安全策略定义

信息安全策略从本质上来说是描述组织具有哪些重要信息资产，并说明这些信息资产如何被保护的一个计划。

安全策略通过为组织的每个人提供基本的规则、指南和定义，从而在组织中建立一套信息资源保护标准，防止由于人员的不安全行为引入风险。

制定信息安全策略的目的

如何使用组织中的信息系统资源

如何处理敏感信息

如何采用安全技术产品

信息安全策略解决的问题

敏感信息如何被处理？

如何正确地维护用户身份与口令，以及其他账号信息？

如何对潜在的安全事件和入侵企图进行响应？

如何以安全的方式实现内部网及互联网的连接?

怎样正确使用电子邮件系统？

4.2 信息安全策略的层次

信息安全方针

信息安全方针就是组织的信息安全委员会或管理机构制定的一个高层文件，是用于指导组织如何对资产，包括敏感性信息进行管理、保护和分配的规则和指示。

信息安全方针包含的内容

信息安全的定义，总体目标和范围，安全对信息共享的重要性

管理层意图、支持目标和信息安全原则的阐述

信息安全控制的简要说明，以及依从法律法规要求对组织的重要性

信息安全管理的一般和具体责任定义，包括报告安全事故等

具体的信息安全策略

策略包含一套规则，规定了在机构内可接受和不可接受的行为。为了执行策略，机构必须实施一套标准，以准确定义在工作场所哪些行为是违反规定的，以及机构对该行为的惩罚标准。标准是对策略的行为规则更详细的描述

4.3 信息安全策略的制定

安全策略制定的原则

信息起点进入原则：在系统建设一开始就考虑安全策略问题

长远安全预期原则：对安全需求作总体设计和长远打算

最小特权原则：不给用户超出执行任务所需权利以外的权限

公认原则：参考通用的安全措施，做出自己的决策

适度复杂与经济原则

策略不能与法律相冲突

策略必须被恰当地支持和管理

信息安全策略的制定过程

理解组织业务特征

得到管理层的明确支持与承诺

组建安全策略制定小组

确定信息安全整体目标

确定安全策略范围

风险评估与选择安全控制

起草拟定安全策略

评估安全策略

实施安全策略

政策的持续改进

4.4 信息安全策略的管理及相关技术

安全策略管理办法

集中式管理

集中式管理就是在整个网络系统中，由统一、专门的安全策略管理部门和人员对信息资源和信息系统使用权限进行计划和分配

分布式管理

分布式管理就是将信息系统资源按照不同的类别进行划分，然后根据资源类型的不同，由负责此类资源管理的部门或人员负责安全策略的制定和实施

安全策略相关技术

安全策略统一描述技术

安全策略描述是实现策略管理的基础。用PDL、Ponder等语言来实现

安全策略自动翻译技术

安全策略翻译是指将统一描述的安全策略翻译成不同设备对应的配置命令、配置脚本或策略结构的过程

安全策略冲突检测技术

策略之间的冲突很难避免。策略一致性验证主要包括策略的语法、语义检查和策略冲突检测两个方面

安全策略发布与分发技术

“推”模式

“拉”模式

安全策略状态监控技术

安全策略状态监控技术用于支持安全策略生命周期中各种状态的监测，并控制状态之间的转换。

策略的生命周期状态包括

休眠态

待激活态

激活态

挂起态

第五章组织与人员安全管理

5.1 国家信息安全组织

概念

从宏观上讲

《中华人民共和国计算机信息系统安全保护条例》第四条：“公安部主管全国计算机信息系统的安全保护工作，重点维护国家事务、经济建设、国防建设、尖端科学角色等重要领域的计算机信息系统的安全”

从微观上讲

《中华人民共和国计算机信息系统安全保护条例》第十三条：“计算机信息系统的使用单位应当建立健全安全管理制度，负责本单位计算机信息系统的安全保护工作”

信息安全组织的规模

大型机构

大型机构有1000台以上的设备需要安全管理，一般都有专门的职员来支持安全项目

平均有1个专职安全管理人员，4 个专职的安全系统管理员或技术员和 15 个兼职人员

中型机构

中型机构拥有 100 —1000 台要求安全管理的机器

中型机构中的全职和兼职员工要明显地少于大型机构，可能只有 1 个全职安全人员，以及 3 个兼职信息安全人员

小型机构

管理少于 100 个系统的小型机构面临特殊的挑战

小型机构有 1 个全日制安全人员对信息安全负责，或者，更可能是一个全日制 IT 人员在附带管理或指导信息安全工作。当然他可能会有 1—2 个助手协助工作

信息安全组织的基本要求

信息安全组织应当由单位安全负责人领导具体工作应当由专门的安全负责人负责安全组织成员类型的多样性安全组织有着双重的组织联系

信息安全组织的运行应独立于信息系统的运行，同时是一个综合性的组织

5.2 企业信息安全组织

建立有效的信息安全组织是企业安全管理的基础

构成

信息安全决策机构

应当由组织的的最高管理层、与信息安全管理有关的部门负责人和管理技术人员组成，其职责是为组织信息安全管理提供向导与支持。

任务

评审和审批信息安全方针分配信息安全管理职责确认风险评估的结果对与信息安全管理有关的重大更改事项评审和检测信息安全事故审批与信息安全管理有关的其他重要事项

信息安全管理机构

信息安全管理机构主要通过对人力资源的管理，完成对事件、任务和事务的管理

任务

逐级信息安全防范责任制，各级的职责划分明确对安全事件进行评估，确定应采取的安全响应级别确定对安全事件的响应策略及技术手段管理信息安全相关的日常工作管理信息安全相关的人力资源管理信息安全组织内部和外部的相关信息管理信息安全组织的资产

信息安全执行机构

信息安全执行机构是信息安全事件的响应机构

主要人员构成

信息安全技术人员信息系统集成技术人员计算机网络与通信技术人员信息安全法律专家信息系统（硬件、软件）技术人员

组织职能

建立内部信息安全协调机制

明确职责

建立信息处理设施授权程序

建立渠道，获取信息安全建议

加强与政府机构的协作

对组织信息安全进行独立评审

识别与外部组织访问相关的风险

访问类型

物理访问

例如进入办公室、计算机机房和档案室等

逻辑访问

例如访问组织的数据库和信息系统等

网络连接

例如永久性连接和远程访问等

对外部组织访问控制

对外部组织访问应实行访问授权管理对于经过授权进行物理访问的外部组织，应佩带易于识的标志对于长期访问的外部组织，应通过签订信息安全协议

外包控制

在双方的合同中明确规定信息系统、网络和（或）桌面系统环境的风险管理、安全控制措施与实施程序，并按照合同的要求进行实施

5.3 人员安全管理

信息安全职务

制定

制定者提供策略、方针和标准，还提供咨询和风险评估，以及开发产品、制定技术架构

建立

建立者是真正的技术人员，负责建立和制定安全解决方案

管理

管理者操作和管理安全工具、实施安全监控以及不断地改进解决方案

信息安全角色

首席安全官（CISO）

CISO 主要负责机构信息安全项目的评估、管理和实施。该职务也被称做安全主管、安全管理者等。CISO 一般直接向 CIO 汇报

安全主管

安全主管负责信息安全项目的日常运作，完成 CISO 确定的目标，他们还要解决技术人员、管理员、分析员或他们管理的员工所提出的一系列问题

注：管理技术本身就需要首先对技术理解，但并不一定需要掌握技术的配置、操作以及故障的排除

安全管理员和分析员

安全管理员负有安全技术人员和安全主管的双重责任，同时具备技术知识和管理技能，负责管理安全技术的日常运作，同时还要协助制定和管理培训计划、策略等。安全分析员是专门的安全管理员。在传统的 IT 部门中，安全管理员协助系统管理员或数据库管理员工作，而安全分析员则协助系统分析员工作。

安全技术人员

安全技术人员是具备一定技术资格的人员，他们负责配置防火墙和 IDS、运行安全软件、诊断问题所在、解决问题以及配合系统和网络管理员以确保安全技术的合理应用。安全技术人员要专业化，即要擅长某种安全技术（防火墙、IDS、服务器、路由器或软件），甚至对某种特定的软件或硬件也很熟悉，要在这类技术上达到高度专业化是很困难的。

安全工作人员

“安全工作人员”是一个广泛的概念，指那些完成日常工作的员工。他们负责观察入侵控制台、监控电子邮件账户以及执行其他日常工作，还包括支持信息安全部门工作的重要人员。

安全顾问

信息安全顾问是信息安全某些领域的专家（灾难恢复、业务连续性计划、安全架构、策略制定或战略计划）。当机构决定将安全项目的一个或多个部分外包时，就会聘请安全顾问

人员安全教育、培训及意识提升

信息资产所面临的最大威胁来自人类自身的错误，教育、培训和意识提升有两大好处

改善员工的行为

使员工对他们的工作更具责任感

教育、培训和意识提升有3种途径

让计算机用户学习技能和知识，以便能更安全地使用 IT 系统完成自身的工作

提升系统资源的保护意识

根据需要纵向拓展知识，以设计和执行本机构的安全项目

安全教育

安全培训

安全培训涉及到给机构成员提供详细信息和管理设备，使他们能够安全地履行职责

基于功能背景的培训

一般用户、管理类用户、技术用户

基于技能水平的培训

初学者、中等水平、高水平

安全意识提升

安全意识提升项目使用户在日常工作中首先想到的就是保护信息的安全，在控制和处理信息的员工之中慢慢地灌输责任感和目标意识，并引导员工更关心他们的工作环境

当开展一个新的意识提升项目时，有一些重要的观念要记住

人既能制造问题又能解决问题尽量少使用技术术语，讲用户理解的语言至少确定一个关键学习目标，清楚地说明它，提供充分的细节和报道来加强学习尽量使事情简单，不要喋喋不休地向员工进行宣传不要用海量信息淹没用户帮助用户明白他们在信息安全中的任务和破坏安全将如何影响他们的工作利用内部通讯介质来传送消息使意识提升项目正规化，策划和记录全部活动尽快提供好的信息

第六章环境安全管理

6.1 机房选址及设施构成

机房分级

根据计算机系统运行中断的影响程度，将计算机场地安全分为A、B、C级三个基本级别

A级：系统中断运行之后，会对国家安全、社会秩序、公共利益造成严重危害的

B级：系统中断运行之后，会对国家安全、社会秩序、公共利益造成较大危害的

C级：不属于A、B级的情况

B类安全机房的选址要求

应避开易发生火灾危险程度高的区域

应避开尘埃，有害气体来源以及存放腐蚀、易燃、易爆物品的地方

应避开低洼、潮湿、落雷区域和地震频繁的地方

应避开强振动源和强噪音源

应避强电磁场干扰

应避设在建筑物的高层或地下室，以及用水设备的下层或隔壁

远离核辐射

计算机房应该选用专用的建筑物。如果机房是大楼的一部分，以选用二层为宜，一层为动力，配电，空调等，这样可以尽量缩短空调管道，减少能源消耗，避免噪音等

机房应避开重盐害地区。所谓重盐害区域是指靠近海岸的区域。因为盐雾对计算机有腐蚀性

以上各条如果不能避免的话，则应采取相应的措施加以防范 C级安全机房参照以上各条进行选址。 A类安全机房还应将其置于建筑物安全区内。除了上述要求之外还有追加要求

机房设施构成

6.2 机房设施安全

机房内部装修

装修材料

计算机机房装修材料应符合GB 50016中规定的难燃材料和非燃材料，应能防潮、吸音、不起尘、抗静电等

难燃材料

材料受到燃烧或是高温作用时，难起火，难微燃，难碳化的材料

非燃材料

材料受到燃烧或是高温作用时，不起火，不燃烧，不碳化的材料

活动地板

铺设维修简单、使机房整洁美观、送风方便、清洁处理方便计算机机房的活动地板应是难燃材料或非燃材料。活动地板应有稳定的抗静电性能和承载能力，同时耐油、耐腐蚀、柔光、不起尘等。活动地板提供的各种规格的电线、电缆、进出口应做得光滑、防止损伤电线、电缆。活动地板下的建筑地面应平整、光洁、防潮、防尘。活动地板应该是抗震的，不会因为发生地震而损坏。在安装活动地板时，应采取相应措施，防止地板支脚倾斜、移位、横梁坠落。

供配电系统

为计算机提供的电源质量的好坏，直接影响着计算机的可靠运行

A、B类安全机房应符合如下要求

影响计算机电源可靠性的因素

电压瞬变

瞬时停电

电压不足

保证计算机不间断运行的措施

为了保证计算机不间断的运行，可根据需要选用维持工作不同时间的不间断电源(UPS)

不间断电源UPS

通常可作为

后备式UPS

转换开关接通滤波后的交流输入电作为初级电源，一旦初级电源(AC) 掉电，就接通电池和逆变器作后备电源供电

在线式UPS

转换开关接通电池和逆变器回路作为初级电源供电，当初级电源出现故障时，就由滤波后的交流输入电作为后备电源供电

如何选择UPS

UPS功率是负载的两倍

后备满载供电时间不少于30分钟

从可靠性应考虑选择功率大一些的UPS

从增容角度考虑，建议一次投资，一次到位

延时时间＝电池数量×电池V×电池A×0.8/设备功率

如果电源中断时间超过蓄电池供电时间，而计算机又不允许停止工作，就应当安装柴油发电机或叶轮发电机

空调系统

A、B类计算机机房应符合下列要求

计算机机房应采用专用空调设备，从防火的角度考虑，机房应该有其与其他通道隔开的空调系统。若与其他系统共用时，应保证空调效果和采取防火措施。空调系统的主要设备应有备份，空调设备在能量上应有一定的余量。应尽量采用风冷式空调设备，空调设备的室外部分应安装在便于维修和安全的地方。空调设备中安装的电加热器和电加湿器应有防火护衬，并尽可能使电加热器远离用易燃材料制成的空气过滤器。空调设备的管道、消声器、防火阀接头、衬垫以及管道和配管用的隔热材料应采用难燃材料或非燃材料。安装在活动地板上及吊顶上的送、回风口应采用难燃材料或非燃材料。新风系统应安装空气过滤器，新风设备主体部分应采用难燃材料或非燃材料。采用水冷式空调设备时，应设置漏水报警装置，并设置防水小堤，还应注意冷却塔、泵、水箱等供水设备的防冻、防火措施。

机房新排风系统的作用

给机房提供足够的新鲜空气，为工作人员创造良好的工作环境

维持机房对外的正压差，避免灰尘进入，保证机房有更好的洁净度

数据中心机房空气环境设计参数

消防系统

由于机房内部火灾主要为电气火灾，而机房的吊顶上、地板下有大量的配电线路，因此需设置吊顶上、吊顶下、地板下三层报警；机房内大量的计算机及外联设备严格要求使用气体灭火

A、B类安全机房应设置火灾报警装置。 A类安全机房应设置卤代烷1211、1301自动消防系统，并备有卤代烷1211、1301灭火器。 B类安全机房在条件许可的情况下，应设置卤代烷1211、1301自动消防系统，并备有卤代烷1211、1301灭火器。 C类安全机房内应设置卤代烷1211或1301灭火器。 A、B、C类计算机机房除纸介质等易燃物质外，禁止使用水，干粉或泡沫等易产生二次破坏的灭火剂。不产生二次破坏

其他设备及辅助材料

计算机机房使用的磁盘柜、磁带柜、终端点等辅助设备应是难燃材料和非燃材料，应采取防火、防潮、防磁、防静电措施。计算机机房应尽量不使用地毯。因为地毯会聚集灰尘，还会产生静电，也不利于静电的排放。计算机机房内所使用的纸，磁带和胶卷等易燃物品。要放置于金属制的防火柜内。窗帘和屏风应该选用难燃材料或是非燃材料

6.3 物理防护要求

防水安全

计算机机房内不得铺设任何水或蒸汽管道。如果不得已一定要铺设，则应采取一些相应的措施。位于用水设备下层的计算机机房，应在上层地面实施放水施工，否则应在吊顶上设防水层，并设漏水检查装置。如果有通向机房的电缆沟，要防止下雨时电缆沟进水蔓延到机房。因此，通往机房地沟的墙壁或是地面应该能防水渗透已设在地下室的机房，必须设有水泵和带检验阀的排水管和水淹报警装置

防静电安全

接地保持湿度使用静电消除剂和静电消除器采用具有稳定的抗静电性能的活动地板。工作人员的服装，最好由不产生静电的衣料制成，工作人员的鞋，最好由低阻值的材料制成采用带地线的静电控制衬垫计算机采用RAS功能，将发生静电故障的原因从技术上研究认识和显示出来，一旦显示出故障发生时就尽快的使计算机恢复到正常工作的功能

防雷击安全

机房常见引雷路径

机房电源线入口与电信局端连接的电话线路、数据专线入口跨楼层或建筑物的网络线路接口卫星或无线设备的天馈线入口不同电位之连接而引起的电位差

防雷的基本措施就是接地，把电流尽可能快的泄漏于大地。具体方法是：将金属件如钢管、角钢、扁钢、圆钢之间串联埋入地中，用金属电线与机房内的接地体相连接

机房设有四种接地形式

直流工作接地

交流工作接地

安全保护接地

防雷接地

防鼠害安全

在易受鼠害的场所，机房内的电缆和电线上应涂敷驱鼠药剂。计算机机房内应设置捕鼠或驱鼠装置

防电磁波安全

电磁场干扰的抑止：接地和屏蔽

第七章应急计划管理

7.1 应急计划相关概念

应急计划定义

应急计划（CP=Contingency Plan）是指为处理意外事件做好准备的全部过程。

内容

探测事件的发生、对事件做出响应以及从事件中恢复

CP 的主要目标

意外事件发生后，要在普通业务活动遭受最小损失和破坏的条件下，恢复到普通操作模式———换句话说，是确保事情回到原来的状态。理想的 CP 应该确保即使是在意外发生时，信息系统可以被机构持续使用。

应急计划的组成

事故响应计划（IRP）

把焦点放在对事件的及时响应上

灾难恢复计划（DRP）

把焦点放在恢复主要场所的操作上

业务连续性计划（BCP）

如果主要场所的操作不能被迅速恢复，例如，当损失非常严重的时候，或者会在长时间内影响机构的正常活动的时候，BCP 就会和 DRP 同时出现，使业务能够在一个可供选择的位置上继续下去，直到机构可以重新使用其主要场所或者选择一个新的主要场所

应急计划的制定

根据一个机构的大小及其商业理念，信息技术和信息安全主管可以

把 CP的这三个组成部分作为一个整体的计划来创建并开发

单独创建这 3 个部分，并将其组合起来

应急计划创建步骤

确定任务或业务的关键功能

确定出机构中必需能进行持续操作的操作区域。在灾难事件中，这些区域必须具有最高的优先权，以允许资源（时间、金钱、人员等）的最佳分配

确定支持关键功能的资源

这些资源可能包括人员、计算能力、应用程序、数据、服务、物理基础设施以及文档（表格，报告等）

预测潜在的突发事故或灾难

机构先假定一个潜在的灾难，并且确定它会影响哪些功能

选择应急计划策略

确定每个潜在灾难场面的应付方法，并且拟出一个计划以准备对灾难做出响应

实施选定的策略

一旦选定应急计划策略，机构必须做出恰当的准备，草拟出策略，并且对员工进行培训

测试和修订应急计划

因为漏洞可能会突然出现在计划及其实施过程中

应急计划参与团队

事故响应团队

通过探测、评估事故并对事故做出响应来管理和执行事故响应计划

灾难恢复团队

通过探测、评估事故并对事故做出响应来管理和执行事故响应计划

通过重建主要业务场所上的操作来管理和执行灾难恢复计划

业务连续团队

在突发性或灾难性事故发生时，通过建立和立即实施事故现场之外的操作来管理和执行业务持续性计划

7.2 事故响应计划

概述

在 CP 中，意外事件被称为事故

事故响应，IR 是一个响应方法，而不是预防方法

当威胁中的某一个变成真实的攻击时，只要它具有以下所有的特征，它便被分类为信息安全事故

它直接针对信息资产它有实际的成功机会它威胁到信息资源和资产的机密性、完整性和可用性

事故响应计划（IRP）由一组详细的步骤和程序组成，这些步骤和程序负责预测、探测以及减轻可能危及信息资源和资产的意外事件的影响。

IRP 被激活的时候通常是在一个事故导致最小损害———这个最小值由机构预先设置的标准决定，此时业务操作受到很小或没有受到毁坏。

计划准备

做事故响应计划要求对信息系统及其所面临的威胁有详细的了解。

事故响应计划团队希望制定一系列预先设定的响应措施，用以在事故响应的各个步骤中指导团队和信息安全人员

事故探测

每一个事故响应团队所面临的挑战在于识别一个探测到的活动是正常使用系统的结果还是真正的事故。最终用户的初始报告、入侵检测系统、基于主机和网络的病毒探测软件以及系统管理员，都是追踪和探测候选事故的方法。

为了使得对真正事故的探测更为可靠，划定了事故征兆的 3 种类型：可能的、很可能的以及确定的

事故征兆的类型

可能的征兆

陌生文件的出现

未知程序、进程的出现或执行

异常的计算机资源消耗

异常的系统崩溃

很可能的征兆

预料时间段之外的活动

出现新账号

攻击的报告

入侵检测系统IDS的通知

确定的征兆

隐匿账号的使用

日志的变更

黑客的通知

助手或伙伴的通知

黑客工具的出现

发生真正的事故

一旦下列真正事故被确定后，必须立即采取相应的应对措施

可用性丧失：信息或信息系统变得不可用

完整性丧失：用户报告说出现了被破坏的数据文件、垃圾数据或看似错误的数据

机密性丧失：你被告知敏感信息泄露，或你认为受到保护的信息被泄露

违反政策：如果机构的处理信息或信息安全的政策被违反，则事故发生

违反法律：如果有人违反法律，破坏机构信息资源，则事故发生

事故响应

真正的事故一旦被确定和正确分类，事故响应团队的工作就要从检测阶段转移到响应阶段。在事故响应阶段，IR 团队及其他部门采取的一系列行动措施必须迅速且同时执行。这些措施包括通知关键人员、事故遏制以及事故的文档记录

通知关键人员

一旦IR团队确定事故发生，必须按合理的次序通知相应人员。执勤名单是一种文档记录，它包含在事故发生时需要通知人员的联系信息

有两种方法启动执勤名单：顺序启动和分级启动

事故遏制

事故响应最关键的部分之一是阻止事故或者限制其范围与影响。

对信息和系统做出一个的简单的识别可以决定要采取哪些遏制措施

如果事故产生于机构外部，最简单和直接的办法是中断受影响的通信线路

如果事故并不影响关键的功能部分，对其进行监控和另行限制会更可行

动态的使用过滤规则对某些类型的网络访问进行限制

事故的文档记录

一旦事故被确定且开始通知进程以后，团队应该开始记录事故文档

这种文档用来在事故之后作为对事故当中所采取的措施是否合理和有效的探讨研究。它也可证实机构已尽其所能防止事故扩散。在以后的培训期间，事故文档也可用来模拟 IRP 的未来形式。

文档记录中应包含当事故发生时，由谁、怎样、何时、何地、为什么以及怎样采取每一个行动

事故恢复

一旦事故已经受到抑制，并且系统控制已经恢复，就可以开始进行事故恢复了

事故损坏性评估

指确定信息的机密性、完整性和有效性以及信息资产受到的破坏范围的过程

系统日志、入侵检测日志、配置日志和其他的文档提供了关于损害的类型、范围和程度的信息。IR团队利用这些信息来评估信息和信息系统的当前状态，并且把它和已知的状态相比较

一旦损害的程度被确定下来，恢复过程就开始了。这个过程包括以下步骤

确定造成事故发生以及传播的漏洞，解决它们。

重点关注那些不能成功阻止或限制事故的安全措施，以及从一开始就缺少的安全措施，安装、替换或者升级。

评估监控能力。改进探测和报告方法，或者安装新的监控设施。

从备份中恢复数据。

恢复使用中的服务和进程。必须检查受到威胁的服务和进程，然后整理并恢复它们。如果服务或进程在重新获得系统控制的过程中受到中断，则它们需要在线恢复。

连续监视系统。如果一个事故曾经发生，那么它很可能再次发生。

恢复机构内利益共同团成员之间的信任

司法介入

当一个事故违反了民法或刑法时，机构的责任是负责通知有关当局。依据犯罪的类型选择合适的执法机构

执法机构介入有利也有弊

7.3 灾难恢复计划

概述

如果一个事故符合如下两个标准之一，便被视为灾难

一个机构不能够抑制或控制事故造成的影响

事故导致的损害或损坏非常严重，以至于机构不能够迅速从中恢复

DRP的重要作用是决定如何在机构的主要场所重建正常的工作

灾难分类

人为灾难

恐怖主义事件，包括网络恐怖主义或者黑客集中攻击事件

战争行为，以及有些人类行为

自然灾害

火灾、水灾、地震、闪电、塌方或泥石流、龙卷风或风暴、飓风或台风、海啸、静电释放、灰尘污染

计划制定

当制定一个灾难恢复计划时，首要考虑最重要的资产——人

应急计划团队在灾难恢复计划中需考虑

明确角色与责任

灾难恢复团队的每个人应当知道自己在事故期间的职责

按照执勤名单通知主要工作人员

明确优先级别

灾难响应中，总是首先考虑保护人身安全。只有在确保所有员工和邻近人员的安全以后，灾难恢复团队才能着手保护其他的机构财产

灾难文档

用于以后确定灾难是怎样发生的以及发生原因

总结为减轻灾难对机构运作的影响所采取的步骤

灾难恢复计划应具体指定每个灾难恢复团队的责任

如果首要方案无法使用，总结出针对不同系统组件的可选实施方案

这些组件包括预备设备，它们是购买的或租用的，或者是与灾难恢复服务机构的合同中规定的。开发一个具有附加功能、容错机制、自动恢复和故障保护装置等特点的系统更有利于快速恢复

还应该给每个员工准备随身携带两种类型的应急信息卡

CARD 01

卡上有个人紧急信息———紧急情况下应该通知的人、个人健康状况和识别表单

CARD 02

卡上有一套指令，该指令指导紧急情况下该如何做。它上面还应当有机构的紧急联系电话或热线号码、紧急服务单位号码，还有撤离和聚集地、协调员的姓名和电话号码以及其他所需的信息

危机管理

概述

危机管理需要一整套关键步骤，主要用于处理所涉及到的人员。灾难恢复团队应当和危机管理团队紧密联系以确保灾难期间可以进行完整及时的交流。

危机管理团队主要涉及以下几项活动

危机期间要支持员工和他们所关爱的人

确定事故对正常业务运作的影响，必要时做出灾难声明

让公众了解事故真相和采取的应对措施以确保员工和企业元气的恢复

和主要的客户、供应商、合作伙伴、管理机构、行业机构、媒体和其他有关的当事人保持交流

危机管理团队应尽快在灾难现场附近建立控制中心，它的人员应当来自该机构的各个职能部门，以利于相互的交流和合作。

危机管理团队主要负责两项关键任务

验证人员状态

必须说明每个人的状态，包括度假、缺席、出差

启动执勤名单

执勤名单和普通员工电话表用于通知需要的辅助人员，或者只是告诉职员不用上班，直到灾难结束为止

危机管理团队在灾难事故中应制定发布信息的方法，甚至应形成模式化新闻材料

灾难响应

当灾难爆发，DRP 被启动时，有时最好的计划也不足以解决实际的事故。

应急计划团队应当给灾难恢复计划一定程度的弹性

如果设施完好无损，灾难恢复团队就应该开始恢复系统和数据，以使其尽量达到完全正常的运作能力。

如果机构的设施遭到毁坏，则应采取其他备用措施直到获得新的设施。

如果灾难威胁到了机构在主要场所的生存，则灾难恢复过程就延伸为业务连续性过程

7.4 业务连续性计划

概述

业务连续性计划（BCP）确保灾难发生时关键的业务功能得以继续，如果灾难致使当前业务场所不可用，则必须有一个使业务持续进行的计划。

BCP 是完全由一个机构的 CEO 来管理。当灾难较严重且持续时间很长，并且需要全面恢复信息和复杂的 IT 资源时，BCP 将被启动且与灾难恢复计划（DRP）同时执行。

业务连续性计划团队在另一场所重新建立业务功能时，灾难恢复计划团队则着重于在主要场所重建基础技术设施和业务运作。

BCP的基础是识别关键业务功能及需要的资源。当灾难爆发时，这些业务功能将在备用场所首先创建。

应急计划团队需要委任一组人来评估和比较各种可选的方案，并推荐该选取哪个策略来实施，所选的策略通常包括启用一些备用的设施，应定期地对这些放在其他地方的设施进行检查、配置以确保安全并定期测试

连续性策略计划（关键：成本）

基本策略

热站点

是一个配置完全的计算机设施，包括所有的服务、通信连接和物理环境的操作

它备份计算机资源、外设、电话系统、应用程序和工作站。本质上来说，这些备份的设施仅仅需要最新的数据备份和负责的人手。一个热站点应该能在几分钟内就充分发挥作用。

它的缺点是需要对所有热站点的系统和设备以及物理与信息安全提供维护。这是可用选择中最昂贵的

温站点

提供许多与热站点相同的服务和选择，但是既不包括典型的软件应用程序也不包括（这些软件的）安装和配置，通常它包括的是服务器

温站点具有许多热站点的优点，但又具有较低的成本。缺点在于需要几个小时或是几天来使一个温站点充分发挥作用。

冷站点

一个冷站点仅仅提供了初步的服务和设施，不提供计算机硬件和外设

所有的通信服务必须在站点开始工作后才安装。一个冷站点装有标准供热系统、空调和电子服务的空房间。其他的任何选择都会增加成本。虽然存在这些缺点，但一个冷站点也会比什么都没有要好。

它的最主要优点在于成本。这种方法最有用的特点在于，当受到大范围的灾难攻击时，它能减少对合适楼层空间的争用

3 个共享使用的应急选择

时间分享

它是与一个商业伙伴或姐妹机构联合租用

它为机构能提供一个灾难恢复 /业务连续性选择，同时又可以减少总成本。它主要的缺点在于两个以上的分时参与方可能会同时需要使用设施

服务署

是一个提供收费服务的机构

在灾难恢复 /应急计划中，这种服务指的是在灾难发生时提供物理设施。这些机构也经常提供付费的离线数据保存

互助协议

互助协议是两个机构间的合约，同意在灾难中援助对方

特殊方法，例如离站灾难数据恢复

电子仓库：向离站设备大批量转移数据，这种转移常常通过租用线路或付费数据通信服务来完成

数据库镜像：存储在线事务数据的副本，包括在远程站点后备服务器的数据库副本，把多个拷贝同时写在两个不同的地方

7.5 应急计划组合

应急计划要素的顺序安排

IRP 关注于即刻响应，但如果事故上升为灾难，IRP 可能会被 DRP 和 BCP 代替

DRP 一般关注灾难后的系统恢复，这与 BCP 联系紧密

当损失很大或持续时间很长时，BCP 和 DRP 会同时发生，这就不仅仅要求信息和信息资源的简单恢复

因为 DRP 和 BCP 联系紧密，所以大多数的机构同时准备了这两者，并且可能会把它们结合为一个计划。这样的一个综合计划必须能够支持在两个不同地方实施重建操作———立刻在备用场所进行，最终返回主要场所

这个计划由九部分组成

机构名称完成或更新计划的日期以及测试日期在灾难事故中应通知的机构和人员灾难事故中将求助的紧急服务内部紧急设施和供给的位置异地设备和供给资源抢救优先列表机构灾难恢复过程后续评估

应急计划项目组的执行模式

业务商业影响分析（BIA）

是应急计划过程的第一个阶段，用于提供关于系统及其面对的威胁的信息，提供每一个可能的攻击对组织的影响的详细报告

阶段

威胁攻击识别和优先级划分

机构通过更新威胁列表和加入攻击简报的信息来识别自己所面对的风险并能够为风险划定优先级别攻击简报是对一次攻击发生过程的详细描述，包含典型攻击的详细描述，即方法、攻击征兆和主要后果无论机构所面对的攻击是自然发生的还是人为的，无论是蓄谋已久的还是偶然的，都应该制定这样一个简报来应付每一个重大攻击

业务单位分析

BIA 在机构内的第 2 个主要任务是业务职能分析和优先顺序划分，每个业务部门、单位、部分必须进行独立评估，来确定其职能对整个组织来说有多重要

假定攻击成功的情景

一旦生成威胁攻击简报并划分好业务职能优先顺序，BIA 团队就要假定一系列情景，描述每个优先级中出现的每次威胁的影响。可以把业务职能细节与攻击简报集成到一起，攻击简报中就有了更加详细的攻击成功情景，包括最佳、最坏、最可能的后果。这种详细的细节允许计划者针对每一种可能性做出计划

潜在损失估计

BIA 计划小组必须估计最佳、最坏和最可能的后果所造成的支出，这个过程可以通过准备一个攻击成功情景来实现。

在这里，小组确定的开销包括支持响应团队工作的花费，这些开销计划可以说服管理者理解计划和恢复能力在一个机构中的重要性

次要计划分类

一旦已经评估出潜在损失、每个攻击情景以及攻击简报，就必须在已存在的现行计划中研发或找出次要计划。因为大多数的攻击只属于事故而不是灾难，BIA 小组可能要生成一些新的次要计划专用于评定事故级别，作为灾难的情景可能在 DRP 或 BCP 中处理

7.6 应急计划测试

一个未经测试的计划根本不能算是计划。没有什么计划能一经拟订就可以执行；相反，它们必须经过测试以找出其弱点、缺陷和无效过程。一旦在测试过程中找出问题，就可以对它进行改进，并且在需要使用的时候，我们可以信赖这个改进后的计划

有 5 个策略可以用来测试应急计划

平台检查

分发相关计划的副本给将在真正的事故中扮演不同角色的所有的人。他们中的每一个人都要检查该计划并生成一个列表，列表中包含计划的正确和不正确部分

有组织的演练

在有组织的演练过程中，所有涉及的个人都要演练在真实的事故中将会遇到的所有步骤

仿真

在仿真中，每个有关人员都要独立工作来模拟每一个任务的执行情况

平行测试

在平行测试中，每个人都假设真实事故已经出现，并且在不干涉正常的业务运作的情况下，开始执行要求的任务以及必要的程序。必须小心确保执行的程序不会使业务功能停止运作，以致产生真实事故

完全中断

在完全中断测试中，每个人都必须根据程序的步骤来行动，包括服务的中断、从备份中还原数据以及通知恰当人员。这个练习常常在机构的正常业务时间之后开始，对于大部分商业来说它的风险性太高

7.7 常用冗错及应急机制

冗余磁盘阵列（RAID）

RAID的概念

RAID为独立冗余磁盘阵列。它是一个驱动器阵列，作为一个单驱动器来使用

RAID的级别

（1）RAID0 无冗余无校验的磁盘列阵

将多个较小的磁盘合并成一个大的磁盘，不具有冗余，速度最快，如果某一个磁盘（物理）损坏，则所有的数据都无法使用。

（2）RAID1 镜象磁盘阵列

两组相同的磁盘系统互作镜像，速度没有提高，但是允许单个磁盘错，可靠性最高。RAID 1的数据安全性在所有的RAID级别上来说是最好的。但是其磁盘的利用率却只有50%，是所有RAID上磁盘利用率最低的一个级别。

（3）RAID3 有独立校验盘的奇偶校验磁盘阵列

RAID 3是以一个硬盘来存放数据的奇偶校验位，数据则分段存储于其余硬盘中。如果数据盘（物理）损坏，只要将坏硬盘换掉，RAID 控制系统则会根据校验盘的数据校验位在新盘中重建坏盘上的数据。不过，如果校验盘（物理）损坏的话，则全部数据都无法使用。但也提升了硬盘利用率，利用空间为N-1。

（4）RAID5 无独立校验盘的奇偶校验磁盘阵列

向阵列中的磁盘写数据，奇偶校验数据存放在阵列中的不同磁盘上，允许单个磁盘出错。这样，任何一个硬盘损坏，都可以根据其它硬盘上的校验位来重建损坏的数据。

（5）RAID0-1 RAID0+RAID1

同时具有RAID 0和RAID 1的优点。适合用在速度需求高，又要完全容错，当然经费也很多的应用，因为至少需要四个磁盘。

RAID级别的优缺点

双机热备份

双机热备份的概念

所谓双机热备份就是一台主机为工作机〔primary Server〕,另一台主机为备份机〔Standby Server〕,在系统正常情况下，工作机对信息系统提供支持，备份机监视工作机运行情况，工作机同时监视备份机是否正常。当工作机出现异常，备份机主动接管工作机的工作。

双机热备份系统的硬件结构

双机系统由两台服务器和共享存储子系统组成

每台主机都有自己的系统盘，安装操作系统和应用程序。每台主机至少安装两块网卡，一块对外工作，另一块相互侦测对方的工作状况。每台主机都连接在共享磁盘子系统上，共享磁盘子系统通常均为有容错的磁盘阵列

双机容错的工作模式

热守候模式

一台服务器工作时，另一台闲置

在热守候模式下，双机容错系统对外只有一个服务器在运行。其中一台服务器对外服务，另一台处在守候状态，并不启动服务。当工作的服务器出现问题时，如数据库服务器出现操作系统挂起、死机、网卡坏、硬盘控制器坏等等，热守候服务器接管工作主机的任务

双工模式

在双工模式下双机系统对外同时提供服务。两台服务器都安装了应用服务和数据库服务软件,数据库的数据存在共享盘中在正常情况下，一台服务器只提供应用服务，另一台服务器只提供数据库服务。当其中任何一台服务器出现问题，另一台服务器将出问题的服务器上的任务接管，此时，这台服务器同时提供应用服务和数据库服务在出问题的服务器恢复正常后，又可选择适当时间切换到正常操作状态，以保证整体性能。

双机容错软件

在双机容错系统的工作中，双机软件是必不可少的。一切故障的诊断，服务的切换，硬件的控制都由双机软件来控制实现

双机软件还可以为双机系统生成系统虚拟IP对外工作，客户机通过虚拟IP访问双机系统

双机软件还可以控制两台服务器对共享磁盘子系统的访问同一时刻只能有一台主机可以对其访问

双机软件通过侦测网卡或两台服务器之间互连的串口线进行两台主机的状态诊断，一旦工作的主机出现问题，双机软件控制备份机接管系统的虚拟IP和共享磁盘子系统的控制权并启动备份机上的服务对外工作

双机软件应支持WINDOWS NT 和主流的UNIX操作系统；支持主流的数据库，如SQLSERVER、ORACLE、SYBASE、INFORMIX等；支持TCP/IP通讯协议；支持现在市场上的主流服务器产品。

SAN存储

SAN的概念

SAN ( Storage Area Network ) ：存储区域网络，是随着光纤通道技术的出现而产生的新一代磁盘共享系统，是一种类似于普通局域网的高速存储网络

SAN的构成

硬件

FC（Fibre Channel）卡、FC HUB、FC 交换机、存储设备

软件

FC卡对各种操作系统的驱动程序及存储/监控管理软件。SAN通过光纤通道连接到一群计算机上

SAN的优点

管理上的方便性

集中式管理软件允许远程配置、监管和无人值守运行

可扩展性

容量可扩展以符合网络需求，在不影响LAN性能的情况下充分发挥存储硬件的功能

高容错能力、高可靠性和高可获性

SAN就绪的磁带库具备可热插拔的冗余磁带机、介质、电源和冷却系统以确保可靠性

配置的灵活性

具备长达20公里距离的远程功能及灵活的网络部件，基于光纤通道的SAN可以根据要求进行配置；（可实现物理上分离的、不在机房的存储）

支持异构服务器

UNIX、NT和NetWare服务器可同时连

能有效减少总体成本

能够有效地减少总体拥有成本(TCO)

传统存储与SAN的区别

传统存储

传统服务器存储方式的显著特点是局域网用户通过访问专用服务器及与专用服务器相连的SCSI存储设备而实现对信息的存取访问。

工作在这种模式下的数据传输的瓶颈主要集中在服务器上

当多个Client访问存取同一个服务器的时候，一旦超出该服务器的处理能力的情况，无论服务器与存储设备之间是通过SCSI设备连接,还是通过高速的光纤通道设备连接，都将不可避免地导致存取速度的下降，从而影响整个系统性能。

SAN

SAN实际上是一种存储设备池，即一个由盘阵、磁带以及光纤设备构成的子网，这一子网上的存储空间可由以太网主网上的每一系统所共享。它实现了主机和盘阵间的Point-to-Point存取到Many-to-Many存取的飞跃。同时采用了高速光纤通道连接（FC-AL），有效地提高多个服务器集群时的系统性能

SAN的主要应用

SAN用于存储量大的工作环境，如ISP、银行、电信、图书馆等部门

LAN-Free 备份

在SAN环境下，每台主机都可以直接访问备份，释放了传统备份对LAN资源的占用

多节点集群

在SAN环境下，2个节点以上变为可能

原有系统的存储整合

整合原有系统的存储，存储集中管理、备份，降低了管理成本，提高了数据的可靠性和可用性

选择SAN系统的要点

共享存储

具有开放性, 支持不同厂商的主机和操作系统,基本要求能支持Windows NT及Unix

存储虚拟化

能够动态扩展，分布式部署，支持远程备份和灾难恢复

动态可伸缩性

能提供在线动态容量分配和扩展，能按需分配存储，不用重新安装卷组和文件系统就可扩展存储容量

可提供主机on-line作业下的测试和开发环境，提供即时第三方拷贝

支持多主机

对于大多数SAN环境来说，共享存储的将会是多台主机，而这些主机通常采用集群方式工作，因此SAN系统应能支持主机集群，保证主机系统级的高可用性

存取带宽

SAN接口有SCSI、光纤通道、ESCON等，连接设备有交换机、网关、路由器等，协议有IP、SCSI等，大多数是采用100M光纤环，而SCSI连接方式是80M；另外，磁盘阵列的存取速度、通道仲裁机制、支持RAID 0、1、5等因素也需要全面考虑

简单化的存储管理

对于SAN来说，关键任务在于管理软件。自管理的SAN系统和基于策略的SAN管理是选择SAN系统的有利出发点

可以保护目前存储设备的投资

可以保护目前存储设备的投资，具备前瞻成长性，可平稳地过渡到SAN

第八章应用系统安全

8.1 应用系统安全问题

恶意代码

概念

恶意代码是在未被授权的情况下，以破坏软硬件设备、窃取用户信息、干扰用户正常使用、扰乱用户心理为目的而编制的软件或代码片段。其实现方式可以有多种，如二进制执行文件、脚本语言代码、宏代码或是寄生在其他代码或启动扇区中的一段指令等。

恶意代码包括计算机病毒(Computer Virus)、蠕虫（Worm)、特洛伊木马（Trojan Horse)、后门（Back Door)、内核套件（Rootkit)、间谍软件（Spyware)、恶意广告（Dishonest Adware)、流氓软件（Crimeware)、逻辑炸弹（Logic Bomb)、僵尸网络（Botnet)、网络钓鱼（Phishing)、恶意脚本（Malice Script)、垃圾信息（Spam)、智能移动终端恶意代码（Malware Intelligent Terminal Device)等

计算机病毒

概念

1994年2月28日颁布的《中华人民共和国计算机信息系统安全保护条例》中是这样定义计算机病毒的： “指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，且能自我复制的一组计算机指令或者程序代码。”

病毒剖析

潜伏模块、传染模块、表现模块

蠕虫

可独立存在于计算机中

网络蠕虫是一种智能化、自动化，综合网络攻击、密码学和计算机病毒技术，不需要计算机使用者干预即可运行的攻击程序或代码，它会扫描和攻击网络上存在系统漏洞的节点主机，通过局域网或者因特网从一个节点传播到另外一个节点。

蠕虫的剖析

1）信息搜集模块 2）扫描探测模块 3）攻击渗透模块 4）自我推进模块

特洛伊木马

木马的概念

特洛伊木马是一个有用的、或者表面上有用的程序或者命令过程，但是实际上包含了一段隐藏的、激活时会运行某种有害功能的代码，它使得非法用户达到进入系统、控制系统和破坏系统的目的。

隐蔽性

是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，也不能确定其具体位置

非授权性

是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，这些权限是通过木马程序窃取的

木马本身不带伤害性，也没有感染力。但是不当的使用会使其破坏力比病毒更强

木马剖析

木马程序一般由2个部分组成：控制端程序，用以远程控制服务端的程序。服务端程序，被控制端远程控制的一方的程序。

著名的一些木马工具有：Back Orifice 2000（BO2K)、SubSeven，以及国产的灰鸽子、冰河等

木马攻击原理

配置木马、传播木马、运行木马、信息反馈、建立连接、远程控制

后门

概念

后门是一个模块的、秘密的、未记入文档的入口。

来源

一是在程序开发与调试期间，程序员常常为了测试一个模块，或者为了今后的修改与扩充，或者为了在程序正式运行后，当程序发生故障时能够访问系统内部信息等目的而有意识预留的。二是由于设计或编程漏洞造成的。

后门可以被程序员用于保证系统的正常运行而加以利用，也可以被无意或通过穷举搜索而发现后门的任何人利用

二是由于设计或编程漏洞造成的。

Rootkit（内核嵌套）

概念

目前通常所说的Rootkit是指：一类特洛伊木马后门工具，通过修改现有的操作系统软件，使攻击者获得访问权限并隐藏在计算机中。

Rootkit一旦被木马病毒等恶意程序利用之后，它便具有了恶意特性。一般的防护软件很难检测到此类恶意软件的存在

Rootkit运行模式

在Windows系统中，根据操作系统的分层，Rootkit可以运行在两个不同的层次上，即用户模式和内核模式

用户模式

用户模式Rootkit是在操作系统中，正常的内核之上，由攻击者恶意替换和木马化的操作系统系统程序及库文件

内核模式

内核模式Rootkit存在于操作系统的内核中，通过对内核组件的恶意修改和木马化，在操作系统上层程序和其他用户应用程序没有任何的修改的情况下，攻击者仍可以利用它在受害计算机中隐藏并提供后门访问

代码安全漏洞

缓冲区溢出

缓冲区溢出（Buffer Overflow)就是通过在程序的缓冲区写入超出其长度的内容，从而破坏程序的堆栈，使程序转而执行其他指令，以达到攻击的目的

格式化字符串漏洞

式化字符串的漏洞产生于数据输出函数中对输出格式解析的缺陷，其根源也是C程序中不对数组边界进行检查的缓冲区错误

以printf()函数为例： int printf(const char*format,agr1,agr2,……); format的内容可能为(%s,%d,%p,%x,%n……)，将数据格式化后输出

这种函数会出的问题在于printf函数会根据format中的打印格式的数目依次打印堆栈中参数format后面地址的内容。所以格式字符串漏洞发生的条件就是格式字符串要求的参数和实际提供的参数不匹配。

软件侵权

软件版权的概念

版权，又称著作权或作者权，是指作者对其创作的作品享有的人身权和财产权。人身权包括发表权、署名权、修改权和保护作品完成权等；财产权包括作品的使用权和获得报酬权。在法律手段上，软件版权主要是以著作权法来保护的

软件侵权行为

在软件侵权行为中，对于一些侵权主体比较明确的，一般通过法律手段予以解决，但是对于一些侵权主体比较隐蔽或分散的，政府管理部门受到时间、人力和财力诸多因素的制约，还不能进行全面管制，因此有必要通过技术手段来保护软件

软件的版权保护技术实际上主要针对防范软件的破解。软件破解一般是通过特定的工具，对软件载体或软件体自身的结构和数据进行分析，查看、推测软件运行过程中程序的逻辑跳转和内存数据的变化，采取修改软件保护体、被保护体绕过授权校验，或模拟软件正常运行条件的手段，达到正常使用未经授权软件的目的

软件破解的方法

对软件破解最常见和有效的方法是逆向工程和程序跟踪调试

逆向工程

通过对他人软件的目标程序（比如可执行程序）进行“逆向分析、研究”工作，以推导出他人的软件产品所使用的思路、原理、结构、算法、处理过程、运行方法等设计要素，某些特定情况下还可能推导出源代码

分类

反编译

将目标代码转换成源代码的过程

反汇编

将目标代码转为汇编代码的过程

常用的逆向工程工具

（1）文件分析工具：FileInfo、PeiD、Gtw等；Win32程序（2）资源查看工具：Resource Hacker、eXeScope等；（3）反汇编工具：W32Dasm、IDA Pro等；（4）文件编辑工具：Hiew、Hex Workshop、WinHex等；（5）反编译工具：Reflector(C#)、DJ Java、Decompiler(Java)、JAD(Java)、ILDASM(.Net字节码)、DeDe(Delphi)等

程序跟踪调试

利用动态分析工具单步执行软件进行动态跟踪，实时分析、了解模块运行的细节，最终实现软件的破解。

常用的动态分析工具有：SoftIce、TRW2000、OllyDbg等

8.2 软件可信验证

如果一个软件系统的行为总是与预期相一致，则可称之为可信

可信验证可从以下4个方面进行

软件特征可信

软件身份可信

软件能力可信

软件运行环境可信

8.3 软件保护

软件保护原理

对象安全

对象指要保护的软件体本身。其安全问题建立在授权对象的唯一性和授权标志的不可伪造性的基础上，对象安全一般依赖于现代密码学中的有牢固理论基础的加密算法

入口安全

软件本身可以分为保护体和被保护的软件主体, 入口即它们之间的结合点。保证入口安全就能防止绕过保护体而直接进入被保护的软件主体

安全源安全

安全源是指系统安全所依赖的数据或介质自身，如加密算法的密钥，加密硬件等。安全源安全也是软件保护中一道重要的防线

软件保护的基本原则

实用性

局部可共享性

可重复使用性

软件保护常用技术

基于介质的保护技术

防止光盘拷贝

防止硬盘拷贝

基于硬件的保护技术

基于硬件的软件版权保护是在软件授权加密的过程中引入硬件，利用硬件技术的安全性为软件产品的安全性提供保障

基于软件的保护技术

基于注册验证的版权控制

反逆向工程分析

反动态跟踪分析

数据校验

软件加壳

软件保护技术的发展

软件水印

所谓软件水印，就是把程序的版权信息和用户身份信息嵌入到程序中。它是近年来出现的软件产品版权保护技术，可以用来标识作者、发行者、所有者、使用者等，并携带有版权保护信息和身份认证信息，可以鉴别出非法复制和盗用的软件产品

软件即服务SaaS模式

随着互联网的迅猛发展，特别是Web 2.0的兴起，将软件作为一种服务形式提供给客户的需求逐渐增加，软件产业正在发生越来越大的变化，其中最突出的就是形成软件即服务（Software as a Service，SaaS)模式。这种新模式的出现正是顺应了用软件服务代替传统的软件产品销售，不仅可以使软件免于盗版的困扰，而且可以降低软件消费企业购买、构建和维护基础设施以及应用程序的成本和困难

8.4 Web安全防护

Web安全问题

Web基本架构

Web安全威胁

（1）非法授权访问及篡改（2）冒充和诱骗合法用户（3）干扰网络系统正常运行（4）线路窃听及内部人员威胁（5）Web浏览器安全问题（6）密码暴力破解（7）Web应用程序漏洞（8）Web服务器系统漏洞（9）市场监管和用户隐私保护工作亟待加强（10）其他威胁

现有Web安全防护技术

Web安全开发

Web应用程序的安全要素

（1）身份认证（2）授权（3）审核（4）安全通信

Web应用程序安全设计

Web安全检测与维护

Web安全测评流程

Web安全测评功能模块

扫描、分析信息

核心引擎模块

规则库模块

扫描插件模块

底层通信模块

生成检测报告

Web安全评估工具简介

（1）Acunetix Web Vulnerability Scanner （2）Rational AppScan （3）Nessus （4）Nikto （5）Paros Proxy

第九章防火墙及隔离技术

9.1 防火墙概述

防火墙含义

防火墙是网络之间一种特殊的访问控制设施，是一种屏障，用于隔离Internet的某一部分，限制这部分与Internet其他部分之间数据的自由流动。它主要放置在网络的边界上，以便在不可靠的互联网络中建立一个可靠的子网，例如，一个内部网

不同安全级别的网络或安全域之间的唯一通道

网络边界即是采用不同安全策略的两个网络连接处，比如用户网络和因特网之间连接、和其他业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。

只有被防火墙策略明确授权的通信才可以通过

系统自身具有高安全性和高可靠性

防火墙自身应具有非常强的抗攻击免疫力是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙自身具有非常低的服务功能，除了专门的防火墙嵌入系统外，再没有其他应用程序在防火墙上运行。一般采用Linux、UNIX或FreeBSD系统作为支撑其工作的操作系统。

防火墙的基本功能

访问控制

基于源MAC地址基于目的MAC地址基于源IP地址基于目的IP地址基于源端口基于目的端口

基于方向基于时间基于用户基于流量基于内容

扩展功能

路由功能、NAT功能、VPN功能、用户认证、带宽控制、日志审计、流量分析

9.2 防火墙在网络中的位置

安装防火墙以前的网络

安装防火墙之后的网络

从逻辑功能上讲，防火墙是分离器、限制器和分析器从物理角度看，防火墙物理实现的方式有所不同。可以是软件、硬件或软硬件结合。它们通常驻留在网关中，并作用于网关的两端。

9.3 防火墙的体系结构

双宿主主机体系结构

双宿主堡垒主机结构是在堡垒主机上插入两块网卡，由堡垒主机充当内部网与Internet之间的网关，并在其上运行应用代理服务器软件。这样，所保护的内部网与Internet之间不能直接建立连接，必须通过堡垒主机才能通信。内部网的所有开放服务必须通过堡垒主机上的代理服务软件来实施。

IP数据包从一个网络（例如，因特网）并不是直接发送到其他网络（例如，内部的、被保护的网络）。防火墙内部的系统能与双重宿主主机通信，同时防火墙外部的系统（在因特网上）能与双重宿主主机通信，但是这些系统不能直接互相通信。它们之间的IP通信被完全阻止

堡垒主机相当于一个应用级或链路级防火墙

一旦失效，堡垒主机就变成了丧失路由功能的路由器，有经验的入侵者可以恢复它的路由功能，从而实施入侵

屏蔽主机体系结构

屏蔽主机防火墙由包过滤路由器和堡垒主机组成。通过路由器把内外网隔开，堡垒主机仅与内部网相连。任何来自外网的连接都限制在这一台主机上。内部向外的访问可以通过该主机代理，也可以直接经过过滤路由器（取决于本地网络的安全政策）

屏蔽主机防火墙实现了网络层（包过滤）和应用层（代理服务）的安全，因而比单独的包过滤或应用网关代理更安全。在这一方式下，安全保证主要由包过滤路由器实现

实现过程

堡垒主机位于内部网络上，而包过滤路由器则放置在内部网络和外部网络之间

在路由器上设置相应的规则，使得外部系统只能访问堡垒主机

由于内部主机与堡垒主机处于同一个网络，内部系统是否允许直接访问外部网络，或者是要求使用堡垒主机上的代理服务来访问外部网络完全由企业的安全策略来决定。如果对路由器的过滤规则进行配置，使得其只接收来自堡垒主机的内部数据包，就可以强制内部用户使用代理服务，从而加强内部用户对外部Internet访问的管理

屏蔽子网体系结构

屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步地把内部网络和外部网络（通常是Internet）隔离开

采用了两个包过滤路由器和一个堡垒主机

由于使用了内、外两个包过滤路由，形成了一个子网态势。子网在内外网之间形成一个“屏蔽隔离带”。从原理上讲，可以连接多个子网

两个路由器都与子网连接，一个位于子网与内部网之间，一个位于子网与外部网之间；内外路由器加应用网关形成三层防护，入侵者必须通过两个路由器才能接触到内部网，即使堡垒主机被入侵者控制，内部网仍受到内部包过滤路由器的保护

包括

外部路由器

作为阻挡入侵者的第一关卡，外部路由器既可保护参数网络又保护内部网。实际上，在外部路由器上仅做一小部分包过滤，它几乎让所有参数网络的外向请求通过，而外部路由器与内部路由器的包过滤规则是基本上相同的。

外部路由器的包过滤主要是对参数网络上的主机提供保护。然而，一般情况下，因为参数网络上主机的安全主要通过主机安全机制加以保障，所以由外部路由器提供的很多保护并非必要。

外部路由器真正有效的任务就是阻断来自外部网上伪造源地址进来的任何数据包。这些数据包自称是来自内部网，而其实它是来自外部网。

DMZ子网

屏蔽子网可以解决安装防火墙后外部网络不能访问内部网络服务器的问题。在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web 服务器、FTP服务器和论坛等。

另一方面，通过这样一个DMZ区域，使入侵者看不到内部网的信息流，更加有效地保护了内部网络

堡垒主机

在屏蔽子网模式中，堡垒主机是外部网服务于内部网的主节点。

为内部网服务的主要功能有

①接收外来的电子邮件再分发给相应的站点； ②接收外来的FTP，并连到内部网的匿名FTP服务器； ③接收外来的有关内部网站点的域名服务。

向外的服务功能可用以下方法来实施

①在内、外部路由器上建立包过滤，以便内部网的用户可直接操作外部服务器； ②在主机上建立代理服务，在内部网的用户与外部的服务器之间建立间接的连接

内部路由器

内部防火墙是内部网络的第三道安全防线（前面有了外部防火墙和堡垒主机），当外部防火墙失效的时候，它还可以起到保护内部网络的功能内部路由器完成防火墙的大部分包过滤工作，它允许某些站点的包过滤系统认为符合安全规则的服务在内外部网之间互传。根据各站点的需要和安全规则，可允许的服务是以下这些外向服务中的若干种，如：Telnet、FTP、WAIS、Archie、Gopher或者其它服务。内部路由器可以设定，使参数网络上的堡垒主机与内部网之间传递的各种服务和内部网与外部网之间传递的各种服务不完全相同

9.4 防火墙的类型和特点

按照物理实体分

软件防火墙

软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。使用这类防火墙，需要网管对所工作的操作系统平台比较熟悉

硬件防火墙

硬件防火墙都基于PC架构，无需专用的硬件平台。就是说，它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统，最常用的有老版本的Unix、Linux和FreeBSD系统。值得注意的是，由于此类防火墙采用的依然是别人的内核，因此依然会受到操作系统本身的安全性影响

传统硬件防火墙一般至少应具备三个端口，分别接内网，外网和DMZ区。现在一些新的硬件防火墙往往扩展了端口，常见四端口防火墙一般将第四个端口做为配置口、管理端口。很多防火墙还可以进一步扩展端口数目

芯片防火墙

芯片级防火墙基于专门的硬件平台。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS（操作系统）,因此防火墙本身的漏洞比较少，不过价格相对比较高昂

按照工作方式分

包过滤型

包过滤型防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃

工作原理

对各种基于TCP/IP协议的数据包进行过滤。即对每个数据包的头部、协议、地址、端口、类型等信息进行分析，并与预先设定好的防火墙过滤规则进行核对，允许合乎规则逻辑的数据包通过防火墙进入到内部网络，而将不合乎规则逻辑的数据包加以删除

安全过滤规则及过滤原则

规则要排序，依次序运用每个规则对包进行检查，如遇一个规则匹配，则检查停止。如与所有的规则不匹配，则该包被禁止通过。可以采用“一切未被允许的都是禁止的”过滤原则。根据该原则，防火墙应封锁所有的信息流，然后逐项开放无害的服务

也可以采用“一切未被禁止的都是允许的”的原则，根据该原则防火墙应转发所有的信息流，然后逐项屏蔽可能有害的服务。灵活但安全性不如前者

过滤规则举例

第一条规则：主机10.1.1.1任何端口访问任何主机的任何端口，基于TCP协议的数据包都允许通过

第二条规则：任何主机的20端口访问主机10.1.1.1的任何端口，基于TCP协议的数据包允许通过

第三条规则：任何主机的20端口访问主机10.1.1.1小于1024的端口，如果是基于TCP协议的数据包都禁止通过

包过滤防火墙优缺点

优点

包过滤防火墙的优点是逻辑简单，价格便宜，对网络性能的影响较小，有较强的透明性（也就是说不需要用户名和密码来登录）。并且它的工作与应用层无关，无须改动任何客户机和主机上的应用程序，易于安装和使用

缺点

它进行正常工作的一切依据都在于过滤规则的实施，但是又不能满足建立精细规则的要求（规则数量和防火墙性能成反比）

配置基于包过滤方式的防火墙，需要对IP、 TCP、 UDP、IC等各种协议有深入的了解，否则容易出现因配置不当带来的问题

只能过滤判别网络层和传输层的有限信息，并不能判断高级协议里的数据是否有害，因而各种安全要求不能得到充分满足

允许外部客户和内部主机的直接连接，只依据包头信息过滤，不提供用户的鉴别机制和防止IP地址盗用，即不能在用户级别上进行过滤

通常它没有用户的使用记录，这样我们就不能从访问记录中发现黑客的攻击记录。它阻挡别人进入内部网络，但也不告诉你何人进入你的系统，或者何人从内部进入网际网路

应用代理型

这种防火墙实际上就是一台小型的带有数据检测过滤功能的透明代理服务器，但是它并不是单纯的在一个代理设备中嵌入包过滤技术，而是采用一种被称为“应用协议分析”的新技术。一个完整的代理设备包含一个服务端和客户端，服务端接收来自用户的请求，调用自身的客户端模拟一个基于用户请求的连接到目标服务器，再把目标服务器返回的数据转发给用户，完成一次代理工作过程。

应用代理型防火墙优缺点

优点

允许用户“直接”访问Internet

易于记录日志

缺点

代理防火墙容易成为内外网络间的传输瓶颈

每个代理的服务都要求专门的代理软件

客户软件需要修改，重新编译或者配置

有些服务要求建立直接连接，无法使用代理

代理服务不能避免协议本身的缺陷或者限制

发展的方向——智能代理

不仅仅完成基本的代理访问功能

还可以实现其他的附加功能，比如： ——对于内容的自适应剪裁 ——增加计费功能 ——提供数据缓冲服务

两个代理服务器的实现例子：MPS – Microsoft Proxy Server和squid

按照部署结构分

单一主机防火墙

最为传统的防火墙，独立于其它网络设备，它位于网络边界。与一台计算机结构差不多，价格昂贵

路由器集成式防火墙

这种防火墙通常是较低级的包过滤型。许多中、高档路由器中集成了防火墙功能，如CiscoIOS防火墙系列。这样企业就不用再同时购买路由器和防火墙，大大降低了网络设备购买成本

分布式防火墙

不只是位于网络边界，而是渗透于网络的每一台主机，对整个内部网络的主机实施保护。在网络服务器中，通常会安装一个用于防火墙系统管理软件，在服务器及各主机上安装有集成网卡功能的PCI防火墙卡

按照部署位置分

边界防火墙

个人防火墙

混合式防火墙

按照性能分

百兆级防火墙

千兆级防火墙

目前还针对小企业用户（网络流量小、用户数量较少）生产出了桌面型防火墙

9.5 防火墙的工作模式

路由模式

防火墙可以充当路由器，提供路由功能

透明桥模式

防火墙可以方便的接入到网络，而且保持所有的网络设备配置完全不变

混合模式

防火墙同时工作在路由模式和桥模式

9.6 网络隔离

网络隔离，主要是指把两个或两个以上可路由的网络（如TCP/IP）通过不可路由的协议（如IPX/SPX、NetBEUI等）进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议，所以通常也叫协议隔离

该图表示没有连接时内外网的应用状况，从连接特征可以看出这样的结构从物理上完全分离

当外网需要有数据到达内网的时候，以电子邮件为例，外部的服务器立即发起对隔离设备的非TCP/IP协议的数据连接，隔离设备将所有的协议剥离，将原始的数据写入存储介质。

一旦数据完全写入隔离设备的存储介质，隔离设备立即中断与外网的连接。转而发起对内网的非TCP/IP协议的数据连接。隔离设备将存储介质内的数据推向内网。内网收到数据后，立即进行TCP/IP的封装和应用协议的封装，并交给应用系统

内网有电子邮件要发出，隔离设备收到内网建立连接的请求之后，建立与内网之间的非TCP/IP协议的数据连接。隔离设备剥离所有的TCP/IP协议和应用协议，得到原始的数据，将数据写入隔离设备的存储介质。

一旦数据完全写入隔离设备的存储介质，隔离设备立即中断与内网的连接。转而发起对外网的非TCP/IP协议的数据连接。隔离设备将存储介质内的数据推向外网。外网收到数据后，立即进行TCP/IP的封装和应用协议的封装，并交给系统

每一次数据交换，隔离设备经历了数据的接受、存储和转发三个过程。由于这些规则都是在内存和内核中完成的，因此速度上有保证，可以达到100%的总线处理能力。物理隔离的一个特征，就是内网与外网永不连接，内网和外网在同一时间最多只有一个同隔离设备建立非TCP/IP协议的数据连接。其数据传输机制是存储和转发。物理隔离的好处是明显的，即使外网在处在最坏的情况下，内网也不会有任何破坏，修复外网系统也非常容易

9.7 隔离网闸

隔离网闸的概念

网闸，又称安全隔离与信息交换系统，是新一代高安全度的企业级信息安全防护设备，它依托安全隔离技术为信息网络提供了更高层次的安全防护能力，不仅使得信息网络的抗攻击能力大大增强，而且有效地防范了信息外泄事件的发生。

物理隔离网闸所连接的两个独立主机系统之间不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。所以，物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使“黑客”无法入侵、无法攻击、无法破坏，实现了真正的安全。

隔离网闸工作原理

隔离网闸要点

专用硬件设计保证了物理隔离下的信息交流

集合多种安全技术消除数据交换中的安全隐患

网闸以安全隔离为基础，并集成多种防护技术，其软硬一体设计形成整体多层面的安全防护

灵活高效数据交换形式确保应用需求

典型产品

天御6000系列网络物理隔离系统是由北京和信网安科技有限公司与中国科学院中力机电新技术有限公司联合开发的网络安全产品。在保证内外网物理隔离的情况下，实现安全高效的数据交换，为解决内网的安全问题提供了全新的解决方案。在保证必须安全的前提下，尽可能互联互通

产品的安装部署

第十章入侵检测技术

10.1 入侵检测系统概述

相关术语

攻击

攻击者利用工具，出于某种动机，对目标系统采取的行动，其后果是获取/破坏/篡改目标系统的数据或访问权限

事件

在攻击过程中发生的可以识别的行动或行动造成的后果；在入侵检测系统中，事件常常具有一系列属性和详细的描述信息可供用户查看

入侵

对信息系统的非授权访问及（或）未经许可在信息系统中进行操作

入侵检测

对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程

入侵检测系统（IDS）

用于辅助进行入侵检测或者独立进行入侵检测的自动化工具

入侵检测技术

一种动态的网络检测技术，主要用于识别对计算机和网络资源的恶意使用行为，包括来自外部用户的入侵行为和内部用户的未经授权活动。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象

一旦发现网络入侵现象，则应当做出适当的反应

对于正在进行的网络攻击，则采取适当的方法来阻断攻击（与防火墙联动），以减少系统损失

对于已经发生的网络攻击，则应通过分析日志记录找到发生攻击的原因和入侵者的踪迹，作为增强网络系统安全性和追究入侵者法律责任的依据

入侵检测系统

由入侵检测的软件与硬件组合而成，被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，提供对内部攻击、外部攻击和误操作的实时保护

功能部件

信息收集

入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为

需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息，尽可能扩大检测范围

入侵检测很大程度上依赖于收集信息的可靠性和正确性

信息分析

模式匹配（误用检测）

模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为

一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）

统计分析（异常检测）

统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）

测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生

完整性分析

完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被安装木马的应用程序方面特别有效

结果处理

作用

监控网络和系统

发现入侵企图或异常现象

实时报警

主动响应

审计跟踪

形象地说，它就是网络摄像机，能够捕获并记录网络上的所有数据，同时它也是智能摄像机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光摄像机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄像机，还包括保安员的摄像机

入侵检测

发展历程

1980年，概念的诞生

James Anderson在其著名的技术报告《Computer Security Threat Monitoring and Surveillance》中首先提出了入侵检测的概念

1984～1986年，模型的发展

Denning提出了一个经典的入侵检测模型

1990年，形成网络IDS和主机IDS两大阵营

形成网络IDS和主机IDS两大阵营

九十年代后至今，百家争鸣、繁荣昌盛

分类

按照数据来源

基于主机

基于网络

按照分析方法

异常检测模型

首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵

异常检测系统的效率取决于用户轮廓的完备性和监控的频率。因为不需要对每种入侵行为进行定义，因此能有效检测未知的入侵。同时系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源

误用检测模型

收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵

采用特征匹配，误用检测能明显降低错报率，但漏报率随之增加。攻击特征的细微变化，会使得误用检测无能为力

按照时效性

脱机分析

行为发生后，对产生的数据进行分析

联机分析

在数据产生的同时或者发生改变时进行分析

按照系统各模块的运行方式

集中式

分布式

10.2 入侵检测的原理和技术

入侵检测的通用模型

基于网络的入侵检测系统

基于网络的入侵检测系统是网络上的一个监听设备(或一个专用主机)，通过监听网络上的所有报文，根据协议进行分析，并报告网络中的非法使用者信息

安装在被保护的网段（通常是共享网络，交换环境中交换机需支持端口映射）中

分析网段中所有的数据包

实时检测和响应

网络IDS工作模型

网络IDS优势

实时分析网络数据，检测网络系统的非法行为

网络IDS系统单独架设，不占用其它计算机系统的任何资源不会增加网络中主机的负担

网络IDS系统是一个独立的网络设备，其本身的安全性高

它既可以用于实时监测系统，也是记录审计系统，可以做到实时保护，事后分析取证

通过与防火墙的联动，不但可以对攻击预警，还可以更有效地阻止非法入侵和破坏

配置简单

网络IDS劣势

不适合交换环境和高速环境

不能处理加密数据

资源及处理能力局限

系统相关的脆弱性

基于主机的入侵检测系统

运行于被检测的主机之上，通过查询、监听当前系统的各种资源的使用运行状态，发现系统资源被非法使用和修改的事件，进行上报和处理

安装在被保护主机中

主要分析主机内部活动

占用一定的系统资源

主机IDS优势

精确地判断攻击行为是否成功

监控主机上特定用户活动、系统运行情

HIDS能够检测到NIDS无法检测的攻击

HIDS适用加密的和交换的环境

不需要额外的硬件设备

主机IDS劣势

HIDS的安全性受到宿主操作系统的限制

HIDS的数据源受到审计系统限制

被木马化的系统内核能够骗过HIDS

维护/升级不方便

两种入侵检测系统的比较

如果攻击不经过网络，基于网络的IDS无法检测到，只能通过使用基于主机的IDS来检测

基于网络的IDS通过检查所有的包头来进行检测，而基于主机的IDS并不查看包头。主机IDS往往不能识别基于IP的拒绝服务攻击等

基于网络的IDS可以研究数据包的内容，查找特定攻击中使用的命令或语法，这类攻击可以被实时检查包序列的IDS迅速识别；而基于主机的系统无法看到负载，因此也无法识别嵌入式的数据包攻击

IDS的基本结构

无论IDS系统是网络型的还是主机型的，从功能上看，都可分为两大部分：探测引擎和控制中心。前者用于读取原始数据和产生事件；后者用于显示和分析事件以及策略定制等工作

引擎的主要功能

原始数据读取、数据分析、产生事件、策略匹配、事件处理、通信等功能

控制中心的主要功能

通信、事件读取、事件显示、策略定制、日志分析、系统帮助等

IDS采用的技术

静态配置分析技术

通过检查系统的当前系统配置，诸如系统文件的内容或系统表，来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征(系统配置信息)，而不是系统中的活动

原因

入侵者对系统攻击时可能留下痕迹；系统管理员和用户在建立系统时出错；系统在攻击后，入侵者可能留下后门

异常检测技术——统计分析

通过对系统审计数据的分析建立起系统主体(单个用户、一组用户、主机，甚至是系统中的某个关键的程序和文件等)的正常行为特征轮廓；检测时，如果系统中的审计数据与已建立的主体的正常行为特征有较大出入就认为是一个入侵行为。这一检测方法称“异常检测技术”

一般采用统计或基于规则描述的方法建立系统主体的行为特征轮廓，即统计性特征轮廓和基于规则描述的特征轮廓，也可以采用神经网络的方法。

误用检测技术——模式匹配

误用检测技术(Misuse Detection)通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷或是间接地违背系统安全规则的行为，来检测系统中的入侵活动，是一种基于已有的知识的检测。

这种入侵检测技术的主要局限在于它只是根据已知的入侵序列和系统缺陷的模式来检测系统中的可疑行为，而不能处理对新的入侵攻击行为以及未知的、潜在的系统缺陷的检测

10.3 入侵检测系统的性能指标

系统结构

入侵检测系统的体系结构按照引擎和控制中心的分布情况，可以分为单机和分布式两种。好的IDS应能采用分级、远距离分式部署和管理

事件数量

考察IDS系统的一个关键性指标是报警事件的多少。一般而言，事件越多，表明IDS系统能够处理的能力越强

处理带宽

IDS的处理带宽，即IDS能够处理的网络流量，是IDS的一个重要性能。目前的网络IDS系统一般能够处理20～30M网络流量，经过专门定制的系统可以勉强处理40～60M的流量

探测引擎与控制中心的通信

作为IDS系统，通信是其自身安全的关键因素。通信安全通过身份认证和数据加密两种方法来实现

身份认证是要保证一个引擎，或者子控制中心只能由固定的上级进行控制，任何非法的控制行为将予以阻止。身份认证采用非对称加密算法，通过拥有对方的公钥，进行加密、解密完成身份认证。

事件定义

事件的可定义性或可定义事件是IDS的一个主要特性

二次事件

对事件进行实时统计分析，并产生新的高级事件能力

事件响应

通过事件上报、事件日志、Email通知、手机短信息、语音报警等方式进行响应。还可通过TCP阻断、防火墙联动等方式主动响应

自身安全

自身安全指的是探测引擎的安全性。要有良好的隐蔽性，一般使用定制的操作系统

终端安全

主要指控制中心的安全性。有多个用户、多个级别的控制中心，不同的用户应该有不同的权限，保证控制中心的安全性

第十一章信息加密与密码分析

11.1 密码学概述

密码学的含义

密码学是一门古老而深奥的学科，对一般人来说是非常陌生的。长期以来，只在很小的范围内使用，如军事、外交、情报等部门。计算机密码学是研究计算机信息加密、解密及其变换的科学，是数学和计算机的交叉学科，也是一门新兴的学科。随着计算机网络和计算机通信技术的发展，计算机密码学得到前所未有的重视并迅速普及和发展起来

密码学的发展

密码学的历史比较悠久，在四千年前，古埃及人就开始使用密码来保密传递消息。两千多年前，罗马国王Julius Caesar（恺撒）就开始使用目前称为“恺撒密码”的密码系统。但是密码技术直到20世纪40年代以后才有重大突破和发展。特别是20世纪70年代后期，由于计算机、电子通信的广泛使用，现代密码学得到了空前的发展

11.2 密码术语

经典的密码学是关于加密和解密的理论，主要用于保密通信。目前，密码学已经得到了更加深入、广泛的发展，其内容已经不再是单一的加解密技术，已被有效、系统地用于保证电子数据的保密性、完整性和真实性。

常用密码学专业术语

消息和加密

消息被称为明文，用某种方法伪装消息以隐藏它的内容的过程称为加密，加了密的消息称为密文，而把密文转变为明文的过程称为解密。

加密和解密的过程

明文用M （Message，消息）表示，它可能是比特流、文本文件、位图、数字化的语音流或者数字化的视频图像等

密文用C（Cipher）表示，也是二进制数据，有时和M一样大，有时稍大。通过压缩和加密的结合，C有可能比M小些

加密函数E作用于M得到密文C，用数学公式表示为：E（M）=C

解密函数D作用于C产生M，用数据公式表示为：D（C）=M。先加密后再解密消息，原始的明文将恢复出来，D（E（M））=M成立

鉴别、完整性和抗抵赖性

除了提供机密性外，密码学需要提供三方面的功能：鉴别、完整性和抗抵赖性。

鉴别：消息的接收者应该能够确认消息的来源；入侵者不可能伪装成他人

完整性：消息的接收者应该能够验证在传送过程中消息没有被修改；入侵者不可能用假消息代替合法消息

抗抵赖性：发送消息者事后不可能虚假地否认他发送的消息

算法和密钥

密码算法也叫密码函数，是用于加密和解密的数学函数。通常情况下，有两个相关的函数：一个用做加密，另一个用做解密

如果算法本身是保密的，这种算法称为受限制的算法。受限制的密码算法不可能进行质量控制或标准化，每个用户组织必须有他们自己的唯一的算法

现代密码学用密钥解决了这个问题，密钥用K表示。K可以是很多数值里的任意值，密钥K的可能值的范围叫做密钥空间

所有这些算法的安全性都基于密钥的安全性；而不是基于算法的细节的安全性

11.3 传统加密

密码学是由基于字符的密码算法构成的。不同的密码算法是字符之间互相代替或者是互相之间换位，好的密码算法是结合这两种方法，每次进行多次计算

置换密码

又称换位密码，加密过程中明文的字母保持相同，但顺序被打乱了

在简单的纵行置换密码中，把明文按行写入，按列读出，读出顺序默认从左到右

一个简单纵行置换密码比如

明文：computer graphics may be slow，按照列宽10个字符的方式写出为： c o m p u t e r g r a p h i c s m a y b e s l o w 可以得到密文：caeopsmhlpioucwtsemragyrb

一个由密钥确定读出顺序的例子

密钥： 4 3 1 2 5 6 7 明文： a t t a c k p o s t p o n e d u n t i l t w o a m x y z 按照密钥大小的顺利，按照列的字符得到密文： ttnaaptmtsuoaodwcoixknlypetz

典型密码举例：Scytale（塞塔）密码

最先有意识的使用一些技术的方法来加密信息的可能是公元前500年的古希腊人。他们使用的是一根叫scytale的棍子。送信人先绕棍子卷一张纸条，然后把要写的信息写在上面，接着打开纸送给收信人。如果不知道棍子的粗细是不可能解密里面的内容的

代替密码

代替密码是明文中的每一个字符被替换成密文中的另一个字符。接收者对密文做反向替换就可以恢复出明文

简单代替密码

简单代替密码又称单字母密码。明文的一个字符用相应的一个密文字符代替

典型密码举例1：凯撒密码

公元前50年，著名的恺撒大帝发明了一种密码叫做恺撒密码。在恺撒密码中，每个字母都与其后第三位的字母对应，然后进行替换，比如“A”对应于“D”，“B”对应于“E”，以此类推。如果到了字母表的末尾，就回到开始，例如“Z”对应于“C”，“Y”对应于“B”，“X”对应于“A”，如此形成一个循环。当时罗马的军队就用恺撒密码进行通信

恺撒密码明文字母表：A B C D E F G …… X Y Z 恺撒密码密文字母表：D E F G H I J …… A B C

典型密码举例2：ROT13密码

ROT13是建立在UNIX系统上的简单的加密程序，它也是简单代替密码。在这种密码中A被N代替，B被O代替，等等，每个字母是环移13所对应的字母。用ROT13加密文件两遍便恢复出原始的文件： P=ROT13（ROT13（P））

多名码代替密码

它与简单代替密码相似，只是映射是一对多的，每个明文字母可以加密成多个密文字母例如，A可能对应于5、13、25； B可能对应于7、9、31、42。

多字母代替密码

字符块被成组加密，例如，ABA可能对应于RTQ，ABB可能对应于SLL，等等

典型密码举例：Playfair密码

Playfair在1854年发明了Playfair密码。在第一次世界大战中英国人就使用这种密码。 Playfair将明文中的双字母组合作为一个单元对待，并将这些单元转换为密文的双字母组合。密码表根据密钥编写，密钥去重按行或列填写在一个5×5变换矩阵中，其余位置由去除密钥字母的A-Z中的字母补齐，其中I和J视为同一字符

例如，密钥为CIPHER，根据密钥构造一个5×5变换矩阵： C I/J P H E R A B D F G K L M N O Q S T U V W X Y Z 加密规则是两个一组按成对字母加密，“同队中的相同字母之间加分隔符(如x)，同行取右边，同列取下边，其他取交叉，明文为单数则在任意位置添加任一字母”

以前表为例：（1）明文：balloon 单词中的ll为相同字符，所以分组为：ba lx lo on （2）明文：he，h和e在矩阵中同一行，都取右边的字符，密文为：EC （3）明文：dm，d和m在矩阵中同一列，都取下面的字符，密文为：MT （4）明文：kt，k和t在矩阵中不同行也不同列，取交叉顶点上的字符，密文为：MQ （5）明文： od，o和d在矩阵中不同行也不同列，取交叉顶点上的字符，密文为：TR （6）明文：english，分组为en gl is hx

课堂练习：

密钥为：monarchy，明文为：armuhsea，如果采用playfair算法，请写出密文

多表代替密码

多表代替密码由多个简单的代替密码构成，例如，可能使用5个不同的简单代替密码，然后单独一个字符用来改变明文的每个字符的位置。多表代替密码由Loen Battista在1568年发明，维吉尼亚（Vigenére)密码、博福特（Beaufort）密码、滚动密钥(running-key)密码、弗纳姆 (Vernam)密码、转轮机(rotor machine)都属于多表代替密码

典型密码举例1：维吉尼亚密码

维吉尼亚密码使用26个密文字母表，将26个密文字母表排在一起成为维吉尼亚方阵

维吉尼亚密码规则是用明文字母在方阵中的列和密钥字母在方阵中的行的交点处的字母来代替该明文字母。假设明文为：ATTACKATDAWN 密钥为：LEMONLEMONLE 密文为：？？？？

典型密码举例2：转轮机

转轮机主要由经电线相连的键盘、转子和显示器组成，转子本身也集成了26条线路（在图中显示了6条），把键盘的信号对应到显示器不同的小灯上去。在图中可以看到，如果按下a键，那么灯B就会亮，这意味着a被加密成了B。同样地我们看到，b被加密成了A，c被加密成了D，d被加密成了F，e被加密成了E，f被加密成了C。于是如果我们在键盘上依次键入cafe（咖啡），显示器上就会依次显示DBCE

不仅仅如此，当键盘上一个键被按下时，相应的密文在显示器上显示，然后转子的方向就自动地转动一个字母的位置（在图中就是转动1/6圈，而在实际中转动1/26圈）。右图表示了连续键入3个b的情况

德国人为了战时使用，大大加强了其基本设计，军用的Enigma（英格玛）密码轮由3个转轮组成

11.4 现代加密

对称算法

对称算法要么加密密钥和解密密钥相同，要么很容易能够从其中一个推导出另一个。对称算法的加密和解密表示为：

分组算法

分组算法将明文分成固定长度的组，一次加密一个明文组

设M为明文，分组算法将M划分为一系列明文组M1， M2 ，….,Mn ，对每一组Mi都用一个密钥Ke进行加密，得到C=（C1，C2，…,Cn），其中Ci=E（ Mi ， Ke ）

典型算法举例：DES算法

DES（Data Encryption Standard）算法于1977年得到美国政府的正式许可，是一种用56位密钥来加密64位分组数据块的方法。 DES算法的入口参数有3个：Key，Data和Mode。其中Key为8个字节共64位，是DES算法的工作密钥。Data也为8个字节64位，是要被加密或被解密的数据。Mode为DES的工作方式有两种：加密或解密。

DES算法的原理

如Mode为加密，则用Key把数据Data进行加密，生成Data的密码形式（64位）作为DES的输出结果；如Mode为解密，则用Key把密码形式的数据Data解密，还原为Data的明码形式（64位）作为DES的输出结果

在通信网络的两端，双方约定一致的Key，在通信的源点用Key对核心数据进行DES加密，然后以密码形式在公共通信网（如电话网）中传输到通信网络的终点，数据到达目的地后，用同样的Key对密码数据进行解密，便再现了明码形式的核心数据

DES算法实现加密

IP置换表和IP逆置换表

变换规则：按置换指示的顺序从输入取出，即得输出

逆初始置换IP-1与初始置换IP互逆，可直接利用置换求逆的方法由IP求出

且有：IP-1 [IP(X)]=X

变换规则：同初始置换

f函数

f函数有两个输入：32位的Ri-1和48位的Ki，f函数处理流程如下

E扩展变换

将输入的32位数据扩展为48位数据。扩展方式为：分别将第i-1块的最右比特和第i+1块的最左比特添到第i块的左边和右边,形成输出的第i个6比特块

S压缩变换

将输入的48比特数据压缩为32比特数据

P移位变换

置换后得到的32比特即为f函数的输出

DES算法过程

练习：已知DES分组密码算法第一圈的输入为 L0=83D67FEB16，R0=97A4F8ED16，子密钥为K1=38127AD42B4516 ，求第一圈的加密结果L1和R1

DES算法：密钥生成算法

用于产生16圈迭代的16个圈子密钥。其中的置换选择1和置换选择2由算法给定。置换选择1和置换选择2各分为两部分，前四行表示 C 中的比特，后四行表示 D 中的比特。每一圈的 C 和 D 循环左移的位数与其所在的圈数有关，每圈循环左移的位数也由算法给定

练习：已知初始密钥K=0123456789ABCDEF，请求出DES算法第一圈的子密钥K1

序列算法

序列算法一次加密一个字符或一位。将M划分为一系列字符或位m1，m2，…. mn, 并且对于每一个mi用密钥序列Ke=（ Ke1 ,Ke2 , …,Ken）的第i个分量Kei来加密，即C=（C1，C2，…,Cn），其中Ci=E（ mi ， Kei ）

非对称算法

非对称算法也即加密的密钥和解密的密钥不同，叫公钥算法，而且解密密钥不能根据加密密钥计算出来，或者至少在可以计算的时间内不能计算出来。其加解密函数表达为

典型算法举例：RSA算法

1976年，Diffie和Hellman在“密码学新方向（New Direction in Cryptography）”文中首次提出了公开密钥密码体制的思想。1977年，Rivest，Shamir和Adleman三人实现了公开密钥密码体制，现在称为RSA公开密钥体制，它是第一个既能用于数据加密也能用于数字签名的算法。这种算法易于理解和操作，算法的名字以发明者的名字Ron Rivest，Adi Shamir和Leonard Adleman命名。它经历了各种攻击，至今未被完全攻破

RSA算法是一种基于大数不可能质因数分解假设的公钥体系。简单地说，就是找两个很大的质数，一个公开给世界，称之为“公钥”，另一个不告诉任何人，称之为“私钥”。两把密钥互补——用公钥加密的密文可以用私钥解密，反过来也一样。假设A寄信给B，他们知道对方的公钥。A可用B的公钥加密邮件寄出，B收到后用自己的私钥解出A的原文，这样就保证了邮件的安全性。

RSA算法分为三步

第一步：设计密钥

生成两个大素数p和q

计算这两个素数的乘积n=p×q

计算小于n并且与n互质的整数的个数，即欧拉函数φ（n） =( p-1 ) ( q-1 )

选择一个随机数e满足1<e<φ(n)，并且e和φ(n)互质，即gcd（e,φ(n)）=1

计算de=1 （mod φ），d< φ

以{e，n}为公开钥，{d，n}为私钥

第二步：明文加密

明文的长度需小于n

加密算法

第三步：密文解密

解密算法

选取的素数p和q要足够大，从而乘积n足够大，在事先不知道p和q的情况下分解n是计算上不可行的。由于进行的都是大数计算，使得RSA算法最快的情况也比DES算法慢上数倍，无论是软件还是硬件实现，速度一直是RSA算法的缺陷，一般来说只用于少量数据加密

例题

例题1：求解公私密钥

令p=3，q=11，取e=3，试求公钥和私钥。求解：φ（n）=（p-1）（q-1）=20 e*d=1（modφ（n））， e=3，即3*d=1（mod20）所以经过计算n=33，当d=7时，同余等式成立。因此可令d=7，那么公钥为{3，33}，私钥为{7，33}

例题2：明文加密

设要加密的明文信息为：3、1、15，加密密钥为{7,33}，请将明文加密为密文。

例题3：密文解密

解密密钥为{3,33}，请将例题2得到的密文解密为明文

练习

结合RSA算法，（1）若取两个素数p和q的值分别为11和23，取e的值为7，试求出公开密钥KU和私有密钥KR。（2）若已知明文为6，则根据RSA算法，密文为多少？（3）如何根据密文反推出明文？（第三问仅列算式即可）

11.5 密码分析与攻击

密码分析学的任务是破译密码或伪造认证密码，窃取机密信息或进行诈骗破坏活动。对一个保密系统采取截获密文、进行分析的方法进行进攻，称为被动进攻；非法入侵者采用删除、更改、添加、重放、伪造等手段向系统注入假消息的进攻是主动进攻。进攻与反进攻、破译与反破译是密码学中永无止境的矛与盾的竞技

典型的攻击方法

唯密文攻击

密码分析者截获了一个或者多个用同一密钥加密的密文，通过对这些密文进行分析求出明文或密钥

已知明文攻击

在某些情况下，攻击者可能知道部分或全部加密的明文和对应的密文从而求解或破解出对应的密钥和加密算法

选择密文攻击

攻击者可以选择密文进行解密，除了在已知明文攻击的基础上，攻击者可以任意制造或选择一些密文，并得到解密的明文，是一种比已知明文攻击更强的攻击方式

选择明文攻击

选择明文攻击(CPA)是指攻击者除了知道加密算法外，还可以选定明文消息，从而得到加密后的密文，即知道选择的明文和加密的密文，但是不能直接攻破密钥

软磨硬泡法攻击

实际加密系统的最大弱点通常是由人为因素造成的。有一个很有意思的词来描述这些人为弱点：“软磨硬泡法攻击”。也就是说，人们可能因为拷打、威胁、骚扰或其它强迫方式而被迫泄露密钥和秘密。另一个有意思的词强调了另一种类型的人为因素弱点，这就是“收买密钥攻击”—— 也就是说，人们可以被贿赂、勾引或诱惑而泄露信息

算法攻击举例

字母频率攻击

古代密码多数可以通过字母频率攻击来破解，以恺撒密码为例，即使在不知道移位所对应的数字是3的情况下，可以通过检查字母出现的频率来推测，比如：原文：p a n d a s o f t w a r e 密码：s d q g d v r i w z d u h 在这里 “d”出现的次数最多，由于英语中最常出现的两个字母是“a”和“e”，于是可以分别进行检验。在“e”的情况下，“d”在“e”的后面第25位，然后用25来检验其它字母，出现如下情况：

密码：s d q g d v r i w z d u h 向后25位译码：t e r h e w s j x a e v I 这个字母序列没有丝毫意义，所以这次尝试不成功。然后再用3来试验，可以得到如下结果：密码：s d q g d v r i w z d u h 向后3位译码：p a n d a s o f t w a r e

对RSA算法的攻击

如果需要破解 RSA 的话, 就要找到p和q, 通过公钥n 和e可以反推出私钥d。然而大数分解在历史以来就一直是数学上的难题

（1）计时攻击

这是一种另辟蹊径的方法，是由 Paul Kocher发表的。可以发现，RSA的基本运算是乘方取模，这种运算的特点是耗费时间精确取决于乘方次数。这样如果 A 能够监视到RSA解密的过程，并对它计时，他就能算出d来

（2）过小的加密指数e

从计算速度考虑，e越小越好。可是，当明文也是一个很小的数时就会出现问题。如果 e 过小导致 m ^e < n，可以推出 c = m^e，此时直接对密文开e次方即可得出明文

（3）公共模数攻击

它是指几个用户公用一个模数n，各自有自己的e和d，在几个用户之间公用n会使攻击者能够不用分解n而恢复明文

（4）选择密文攻击

由于RSA密文是通过公开渠道传播的，攻击者可以获取密文。我们假设攻击者为A，密文收件人为T，A得到了发往T的一份密文c，他想不通过分解质因数的方法得到明文，就需要绕开n来恢复明文

字典攻击

对于用单向函数加密的口令文件而言，攻击者可以编制一个包括100万个常用口令的口令表，然后用单向函数对这100万个口令进行运算，并将结果保存起来。只要攻击者偷出加密后的口令文件，将它与自己的可能的口令文件进行比较，再观察哪个能匹配，就可以成功破解口令了

重放攻击

重放攻击指的是收集特定的IP包，篡改其数据，然后再一一重新发送，欺骗接收的主机

注意：资产、威胁与脆弱性之间不存在一一对应关系

体系审核和管理评审的比较