信息安全定义 1.保护信息免受各方威胁、保组织业务连续性、将信息不安全带来的损失降低到最小、获得最大的投资回报和商业机会。特性（属性）1.保密性 2.完整性3.可用性 4.可控性 5.不可否认性 信息保障框架PDRR 保护、检测、反应、恢复我国的信息安全保证框架WPDRRC 预警，保护，检测，反应，恢复，反击。信息安全工程ISSE 定义采用工程的概念、原理、技术和方法，来研究、开发、实施与维护信息系统安全的过程，工程实践流程、管理技术和技术方法相结合的过程。以时间维划定工程元素的方法学。PDCA要素 计划（Plan）（建立安全保障体系） 通过信息系统安全需求分析（其中最重要的是安全风险分析）确定信息系统的安全策略和安全要求，进而建立信息系统的安全保障体系。实行（Do）（设计和实现） 进行信息系统的详细安全设计和实施信息系统的安全来充分体现是否根据安全保障体系的框架实现了信息系统的安全要求。检查（Check）（监理和评审和评估） 对照制定的安全策略、安全要求和建立的安全保障体系来评审和评估系统的安全设计方案和安全实施。并用信息安全理论和实践经验来量度和评估系统的安全功能和性能并把监理和评审的结果报告给决策者，以便供决策者进行决策。行动（Act）（改善） 决策者根据监理和评审报告决定是否实施纠正和预防活动，以便进一步改善信息系统的安全性能和安全功能。SSE-CMM 由能力成熟度模型（CMM）发展而来，以工程域维和能力维来诠释信息安全。霍尔三维结构 专业维；时间维；逻辑维。过程域定义每一个过程域包括一组表示机构成功执行过程域的目标。每一个过程域也包括一组集成的基本实施。基本实施定义取得过程域目标的必要步骤11个过程域 1) 管理安全控制；2) 评估影响；3) 评估安全风险；4) 评估威胁；5) 评估脆弱性；6) 建立安全论据；7) 协调安全性；8) 监视安全态势；9) 提供安全输入；10) 确定安全需求；11) 验证与确认安全；SEE-CMM的五个能力级别 1) 持续改进级；2) 量化控制级；3) 充分定义级；4) 计划跟踪级；5) 非正式执行级。过程改进的IDEAL方法 启动 为安全工程过程的成功改进奠定基础；诊断 判断当前的工程过程能力现状；建立 建立详细的行动计划，为实现目标做出规划；行动 根据计划展开行动；学习 吸取经验，改进过程能力。专用网的特点 封闭的用户群；安全性高；服务质量保证。VPN防火墙的安全隐患不能阻止来自内网的攻击不能对网络中传输内容加密SSL协议VPN网络拓扑VPN功能加密数据认证访问控制优点成本低结构灵活实现VPN的技术安全隧道技术1、 加密和协议封装2、 嵌套装入另一种协议3、 送入网络只有源端和目的端的用户才能对隧道中的信息进行解释和处理其他用户而言无意义用户认证技术在正式的隧道连接之前需要确认用户的身份以便系统进一步实施资源访问或用户授权访问控制技术由VPN服务提供者与最终网络信息资源提供者协商决定特定用户对特定资源的访问权限。细粒度。保护。VPN协议L2F 两层转发PPTP点对点隧道协议L2TP 两层隧道协议IPSec IETF GRE 一般路由封装二层隧道协议L2F L2TP PPTP三层隧道协议GRE IPSec介于二三层间的隧道协议MPLS第二层隧道协议1、 将网络层协议（如IP协议）封装到数据链路层协议PPP的数据帧中2、 把整个PPP帧装入隧道协议由于隧道协议封装的是数据链路层的数据包为OSI七层模型第二层的数据包所以称为第二层隧道协议主要应用于构建基于internet远程访问的VPN第三层隧道协议（IPSec 和GRE）将第三层网络层的各种协议直接封装到隧道协议中进行传输主要用于构建 Intranet VPN和Extranet VPNVPN协议比较应用范围 1、PPTP和L2TP 远程客户机访问局域网2、IPSec 网关-网关 不支持远程拨号访问安全性1、PPTP提供认证、加密，安全强度低2、L2TP提供认证、对控制报文的加密，但不能对传输中的数据加密3、IPSec提供完整的安全解决方案。不支持多协议IPSec含义l 为IPv4（可选） IPv6（强制）提供基于密码的安全l 不是一个单独的协议。应用于IP层上网络数据安全的一整套体系结构l 包括网络认证协议 Authentication Header,封装安全载荷协议 Encapsulationg Security Payload(ESP) ,密钥管理协议（IKE）l 规定在对等层之间选择安全协议、确定安全算法和密钥交换l 向上提供访问控制、数据源认证、数据加密作用1) 保护IP数据包的安全2) 为抵御网络攻击提供防护措施优点1) 根据数据包的源IP、协议、端口进行过滤2) 使用HASH算法保障完整性3) 确保每个IP包的唯一性4) 对应用程序透明5) 三种身份验证6) 对数据包加密实现基本组件a) 筛选器 过滤规则b) 筛选器操作 阻止、允许、协商安全c) 身份验证方法 Kerberos V5证书预共享密钥（明文存储）原理验证报头Authentication Headerl 每个数据包的数据和一个变化的数字签名结合-确认发送者的身份和是否被篡改l AH证明 数据起源地、保障数据完整性、防止重播相同数据包l RFC2402定义封装安全载荷协议 Encapsulationg Security Payload(ESP) l 进行数据包加密和认证。对数据包中的数据（IP）进行加密（防sniffer）l 包含AH的所有能力，还有保障机密性安全关联（Security Association,SA）l 两个节点间安全通信的安全策略l 通信双方需要就使用算法、密钥交换、密钥更改时间间隔等达成协议，所有这些值包含在SA中。l 成功部署IPSec,需要可伸缩的、自动的SA和密钥管理方案，多种协议对功能定义1) ISAKMP 互联网安全关联和密钥管理协议 协商加密算法、散列算法、认证机制、密钥建立机制来实现IPSec服务2) OAKLEY DH 增加了地址验证和认证IKE l 安全关联的集中化管理，减少连接时间l 密钥的生成和管理安全策略构建一个安全策略系统来系统的管理和验证各种IPSec策略安全策略数据库（Security Policy Database,SPD）条目定义 要保护的通信、如何保护、和谁共享保护n 丢弃 不让这个包进入或外出n 绕过 不对一个外出的包应用安全服务，也不指望进入的包保密过n 应用 对外出或进入的的包应用安全服务对于每个进入或离开IP堆栈的数据包，都必须检索SPD数据库，调查安全应用IPSec VPN工作IPSec VPN建立1) 建立SA2) 隧道封装3) 协商IKE4) 数据加密和验证实现安全服务类型 1)用于网关与网关之间保护内部网络。可以通过安全关联配置模式，是的内部主机有的经过IPsec隧道，有的不经过。2)用于网关与主机或主机与网关之间的安全保护IPSec隧道建在网关与主机之间。一侧保护内部网络，一侧保护一台主机。模式隧道模式 整个IP包被加密，成为一个新的更大的IP包的数据部分 主要用于网关和代理，IPsec服务由中介系统实现，端结点并不知道使用了IPsec 传输模式 IPSec头被直接插入IP包中，两个端节点必须都实现IPsec，而中介系统不对数据包进行任何IPsec处理。IPsec应用模式如下1仅在安全网关实施;2.安全网关及主机实施;3.远程客户（拨号用户）使用模式;安全操作系统TCSEC:可信计算机系统安全评价准则可信计算机系统安全评价准则，又称“桔皮书”，为计算机安全产品的评测提供了测试准则和方法，指导信息安全产品的制造和应用，并建立了关于网络系统、数据库等的安全解释。TCSEC将计算机系统的安全可信性分为四等八个级别。安全级按D、C1、C2、B1、B2、B3、A1、超A1渐次增强。分级我国计算机信息系统安全保护等级划分准则（1） 用户自主保护级（2） 系统审计保护级（3） 安全标记保护级（4） 结构化保护级（5） 安全域保护级 一些概念 可信计算机系统一个使用了足够的硬件和软件完整性机制，能够用来同时处理大量敏感或分类信息的系统。操作系统安全操作系统无错误配置，无漏洞，无后门，无木马等，能防止非法用户对计算机资源的非法存取，一般用来表达对操作系统的安全需求。操作系统的安全性 操作系统具有的或应具有的安全功能，比如存储保护、运行保护、标识与鉴别、访问控制、安全审计等。安全操作系统 能对所管理的数据与资源提供适当的保护级、有效地控制硬件与软件功能的操作系统。多级安全操作系统 实现了多级安全策略的安全操作系统，比如TCSEC标准中B1级以上的安全操作系统。威胁l 以操作系统为手段，获得授权以外或未授权的信息，它危害计算机及其信息系统的机密性和完整性。l 以操作系统为手段，阻碍计算机系统的正常运行或用户的正常使用，它破坏了计算机系统的完整性，危害了计算机系统可用性。l 以软件为对象，非法复制和非法使用。l 以操作系统为手段，破坏计算机及其信息系统的安全，窃取或非法获取系统的信息。主要目标 （1）标识系统中的用户，并进行身份鉴别。（2）依据系统安全策略对用户的操作进行访问控制，防止用户对计算机资源的非法访问（窃取、篡改和破坏）（3）监督系统运行的安全性（4）保证系统自身的安全性和完整性操作系统可信性 存储保护；文件保护；一般客体的访问控制；用户鉴别。可信操作系统的四个主要基础 Policy 安全策略定义了一组意义明确的、一致的和可实现的规则，满足操作系统的安全需求。Model 用形式化的方法来描述如何实现系统的机密性、完整性和可用性等安全需求。模型是策略的一种表示。Design 设计包括可信操作系统是什么。Trust 基于特征和保护两个方面。可信系统设计的基本原则 从一个系统设计开始就考虑安全性；尽量考虑未来可能面临的安全需求；隔离安全机制，使其最小化；实施特权最小化；结构化相关功能；使用友好的安全相关界面；不依赖于隐藏。普通操作系统的安全特性和可信操作系统的安全特性区别 保护机制的设计原则 最小特权；机制的经济性；完全仲裁；开放系统设计；特权分离；最小公用机制；故障安全，失效保护；默认的故障安全；心理上的接收能力；容易使用。完全仲裁 所有主体对客体的的访问必须受到控制。高可信操作系统执行完全仲裁，意思就是所有的访问必须经过检查。对象重用(object reuse) 对曾经包含一个或几个客体的存储介质（如页帧、盘扇面、磁带）重新分配和重用。为了安全地进行重分配、重用，要求介质不得包含重分配前的残留数据。对象重用攻击 恶意的用户会申请大量磁盘空间，然后从中获取敏感信息。用户识别 通过质询响应机制（登陆窗口）让用户声明其身份的方法。用户身份认证 证明某人就是其声称的那个人的