信息安全技術(shù)體系：第2章 信息安全的整體性原理

1、信息安全體系結(jié)構(gòu)目錄第一部分 基礎(chǔ)篇第1章 信息安全概論第2章 信息安全整體原理第二部分 技術(shù)篇第3章 信息安全技術(shù)第4章 信息安全子系統(tǒng)第5章 信息安全技術(shù)體系第三部分 管理篇第6章 信息安全管理概述第7章 信息安全風險管理第8章 信息安全管理體系第四部分 評估篇第9章 信息安全評估第10章 信息系統(tǒng)的評估第2章 信息安全的整體性原理2.1 整體信息安全的基本原理 2.2 信息安全的整體結(jié)構(gòu)分析2.1 整體信息安全的基本原理2.1.1 系統(tǒng)的含義2.1.2 信息安全的整體性原理2.1.1 系統(tǒng)的含義一、系統(tǒng)思想概述 二、系統(tǒng)思想案例 一、系統(tǒng)思想概述1、定義2、內(nèi)涵1、定義定義1：系統(tǒng)一詞源

2、于希臘文，其含義是由各個部分組成的整體，是處于相互關(guān)系和聯(lián)系之中的要素的集合。定義2：系統(tǒng)是具有特定功能的、相互間有機聯(lián)系的許多元素所構(gòu)成的一個整體。這些定義總體上涉及三個方面：基本元素、元素之間的關(guān)系和整體目標。反映了系統(tǒng)是按照某個確定的目標，由一些基本元素組合起來形成一個整體。也就是說所有構(gòu)成整體的基本元素，為了達到某個共同的目標，按照某種關(guān)系將他們組合起來，形成一個整體，每個元素都對整體目標有著不同的、不可或缺的貢獻。 2、內(nèi)涵從局部看，這些基本元素相對獨立地、有規(guī)律地存在和運動著，他們均為系統(tǒng)的整體目標貢獻著個體的能量。從整體看，這些基本元素并非孤立存在和運動，他們相互依賴、相互作用、

3、相互補充，優(yōu)化組合形成一個整體。個體只有在整體中準確的定位才能發(fā)揮作用，體現(xiàn)出優(yōu)勢。單獨強調(diào)個體優(yōu)勢，未必對整體有利，甚至帶來災(zāi)難。例如：在人體的心血管系統(tǒng)中，心臟的劇烈跳動（強度或頻率）可能造成血管的破裂，導致生命威脅。同樣地，由單個劣勢的個體也可構(gòu)成強勢的整體。例如，在“田忌賽馬” 故事中，田忌用中、低、高等級的馬分別與齊王的高、中、低等級的馬進行比賽，結(jié)果贏得了整體優(yōu)勢。所謂的“強強聯(lián)合”未必能形成整體優(yōu)勢，河馬與大象不能和睦相處，但白鷺與河馬、大象均能相互依賴、和睦相處，形成有機的整體。 二、系統(tǒng)思想案例都江堰是我國勞動人民智慧的結(jié)晶，是我們的祖先充分應(yīng)用系統(tǒng)科學解決水利問題的光輝典范

4、。該水利樞紐巧妙地利用自然地理優(yōu)勢，通過魚嘴分水堤、飛沙堰壩泄洪和排沙、寶瓶口調(diào)節(jié)內(nèi)江流量并反饋給魚嘴和飛沙堰壩控制分水和泄洪量等工程，建立了集分水、泄洪、排沙和灌溉為一體、協(xié)調(diào)一致的系統(tǒng)工程，二千多年以來一直惠及成都平原的廣大地區(qū)。 系統(tǒng)思想案例（續(xù)）HHeLiBeBCNOFNeNaMgAlSiPSClArKCaScTiVCrMnFeCoNiCuZnGaGeAsSeBrKrRbSrYZrNbMoTcRuRhPdAgCdInSnSbTeIXeCsBaLaHfTaWReOsIrPtAuHgTlPbBiPoAtRnFrRaAcRfDbSgBhHsMtUunUuuUubUutUuqUupUuhUus

5、UuoCePrNdPmSmEuGdTbDyHoErTmYbLuThPaUNpPuAmCmBkCfEsFmMdNoLr系統(tǒng)思想案例（續(xù)）H(1)Li(7)Na(23)K(39)Be(9)Mg(24)Ca(40)B(11)Al(27)C(12)Si(28)Ti(48)N(14)P(31)O(16)S(32)F(19)Cl(35)Br(80)2.1.2 信息安全的整體性原理一、“木桶原理”的基本內(nèi)容二、“木桶原理”詮釋一、“木桶原理”的基本內(nèi)容信息安全遵循“木桶原理”。這一原理是說，一只木桶是由桶底和周圍的木梆組成，其盛水的容量取決于木桶的最低梆，而不是最高梆；其盛水的可靠性，首先取決于木桶底部木板

6、的質(zhì)量，然后取決于木桶周圍木板的質(zhì)量?！澳就霸怼边M一步可詮釋為，木桶的容量是該問題的目標，為了達到最大的容量，木桶底部的木板質(zhì)量是基礎(chǔ)和基本保障；比木桶最低木梆高的其他木梆是沒有意義的，這些木梆越高就越浪費，要想提高木桶的容量，最佳的方法是加高最低木梆的高度；木桶最低的木梆決定了木桶的容量，當最低木梆被加高后，木桶的容量取決于次低的木梆。它反映了一種整體效益和系統(tǒng)科學的思想。 二、“木桶原理”詮釋其一，木桶的底要堅實，信息安全應(yīng)該建立在牢固的安全理論、方法和技術(shù)的基礎(chǔ)之上，才能確保安全。哪么信息安全的底是什么呢？這就需要深入分析信息系統(tǒng)的構(gòu)成，分析信息安全的本質(zhì)和關(guān)鍵要素。通過后續(xù)章節(jié)的討論

7、可以看到，信息安全的底是密碼技術(shù)、訪問控制技術(shù)和安全操作系統(tǒng)、安全芯片技術(shù)和網(wǎng)絡(luò)安全協(xié)議等，它們構(gòu)成了信息安全的基礎(chǔ)。需要花大力氣研究信息安全的這些基礎(chǔ)、核心和關(guān)鍵技術(shù)，并在設(shè)計一個信息安全系統(tǒng)時，就需要按照安全策略目標設(shè)計和選擇這些底部的組件，使需要保護的信息安全系統(tǒng)建立在可靠、牢固的安全基礎(chǔ)之上。其二，根據(jù)信息系統(tǒng)的安全目標，對信息系統(tǒng)進行全面分析，統(tǒng)籌規(guī)劃信息安全保護措施，科學地設(shè)計好各安全措施的保護等級，使他們具有滿足要求的安全能力，具有相同保護能力的梆，避免出現(xiàn)有些保護措施能力高、有效保護措施能力低的現(xiàn)象，做到成本效益最大化。按照“木桶原理”， 一方面過高的梆并不能提高信息系統(tǒng)的整體

8、安全保護能力，形成浪費；另一方面過低的梆就形成了信息安全保護的瓶頸，成了信息安全的軟肋，不能達到預(yù)期的整體安全保護能力。其三，木桶的木梆之間、木梆與底之間要形成很好地銜接，不能出現(xiàn)縫隙和漏洞。也就是說，信息安全各種保護措施之間要相互融合，在信息安全系統(tǒng)設(shè)計的初期就應(yīng)該充分考慮到他們之間的關(guān)聯(lián)、互補關(guān)系，使它們形成有機的整體，防止他們之間不能協(xié)調(diào)一致地工作而產(chǎn)生安全漏洞和旁路。同時，需要將這些安全保護措施有機地整合在一起，而起到整合作用的“箍”就是信息安全管理，通過安全管理充分發(fā)揮安全技術(shù)措施的效力，彌補安全技術(shù)措施的不足。 信息安全“木桶原理”的一個誤區(qū)是只看到了最短的梆。針對最短的梆實施加固

9、等保護措施，這本身是對的，但也容易造成“頭痛醫(yī)頭、腳疼醫(yī)腳”的片面性。應(yīng)該指出的是，在注意和評估最短木梆的同時，也要重視木桶底的安全基礎(chǔ)和他們之間的協(xié)調(diào)一致的關(guān)聯(lián)、互補關(guān)系。 2.2 信息安全的整體結(jié)構(gòu)分析2.2.1 信息系統(tǒng)的構(gòu)成要素 2.2.2 信息安全的構(gòu)成要素 2.2.1 信息系統(tǒng)的構(gòu)成要素一、信息系統(tǒng)中的信息二、信息系統(tǒng)的硬件三、信息系統(tǒng)的軟件一、信息系統(tǒng)中的信息1948年，信息論的創(chuàng)始人香農(nóng)（C.E.Shannon）在通信的數(shù)學理論中將信息定義為：用來減少隨機不定性的東西，通過信息的測度反映信息出現(xiàn)的可能性。1948年，控制論的奠基人維納（N.Wiener）在控制論動物和機器中的通

10、信與控制問題中將信息定義為：人們在適應(yīng)外部世界，并且這種適應(yīng)反作用于外部世界的過程中，同外部世界進行互相交換的內(nèi)容的總稱。1975年，朗高在信息論：新的趨勢與未決問題中將信息定義為：反映事物的形成、關(guān)系及其差異的東西。1988年，中國學者鐘義信在信息科學原理中將信息定義為：信息是事物運動的狀態(tài)和狀態(tài)變化的方式 。信息系統(tǒng)中的信息（續(xù)）本書討論的信息是指信息系統(tǒng)中的信息，它是指能輸入計算機，并被加工處理、傳遞和輸出的數(shù)據(jù)所反映的信息。它是通常意義下的信息的一個子集，是信息技術(shù)（IT，Information Technology）領(lǐng)域存在的一種特有的數(shù)字信息，即在計算機內(nèi)部以0、1代碼進行存儲、傳

11、輸和處理，而在計算機外部以正文、圖形、圖像、音頻、視頻等表示的信息。本書不討論IT領(lǐng)域的模擬信息。 二、信息系統(tǒng)的硬件1、計算機的硬件2、網(wǎng)絡(luò)的硬件1、計算機的硬件輸入設(shè)備內(nèi)存CPU外存輸出設(shè)備2、網(wǎng)絡(luò)的硬件三、信息系統(tǒng)的軟件信息系統(tǒng)的硬件應(yīng)用軟件操作系統(tǒng)網(wǎng)絡(luò)系統(tǒng)軟件數(shù)據(jù)庫管理系統(tǒng)軟件體系結(jié)構(gòu)2.2.2 信息安全的構(gòu)成要素一、信息安全技術(shù)的基本要素 二、信息安全管理的基本要素 一、信息安全技術(shù)的基本要素1、身份鑒別 2、訪問控制 3、安全審計4、客體安全重用5、備份與恢復(fù)技術(shù)6、隱蔽信道分析技術(shù)7、密碼技術(shù) 8、惡意代碼防范技術(shù) 9、邊界隔離與防護技術(shù) 1、身份鑒別信息安全中首要的問題是要確定

12、主體的身份。身份鑒別機制通過標識信息表明信息系統(tǒng)中每一個用戶身份的唯一性和確定性，這種唯一確定性在信息系統(tǒng)的整個生命周期中起作用，即使用戶已經(jīng)被注銷，該用戶的標識信息也不能被重復(fù)使用。身份鑒別機制通過對鑒別信息的驗證確保用戶身份的真實性。只有在用戶身份真實的前提下，對授權(quán)主體訪問客體所實施的訪問控制才有意義，通過唯一的標識符才能夠?qū)徲嫼妥粉櫽脩舻男袨榈取Ｉ矸蓁b別（也稱為身份認證）就是向系統(tǒng)證明你就是所聲稱的那個人。計算機信息系統(tǒng)可信計算基必須事先存儲用戶的身份信息，通過身份鑒別機制與用戶輸入的信息比對，確定用戶的身份。常用的身份鑒別機制包括：口令、USB key以及指紋、虹膜、面相等生物特征的

13、方法。注：身份鑒別機制需妥善保管用戶的鑒別信息，防止對用戶鑒別信息的非授權(quán)的泄漏和破壞。 2、訪問控制訪問控制機制主體客體訪問控制策略訪問控制（續(xù)）注1：訪問控制要求主體對客體訪問的路徑上必須通過訪問控制機制，不得旁路，否則訪問控制機制將失去應(yīng)有的安全功能。作為計算機系統(tǒng)最底層軟件的操作系統(tǒng)能較好地實現(xiàn)這一要求。而在其他各層（如數(shù)據(jù)庫管理系統(tǒng)層、應(yīng)用軟件系統(tǒng)層等）所提供的訪問控制，只能起到對本層數(shù)據(jù)進行保護的作用。當然，操作系統(tǒng)對于以物理方式獲取數(shù)據(jù)的行為方式也無能為力。注2：訪問控制既可以與操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、應(yīng)用軟件系統(tǒng)等捆綁實現(xiàn)，也可單獨實現(xiàn)，例如，在一個網(wǎng)絡(luò)環(huán)境下的集中式訪問控制

14、服務(wù)。在這種情況下，必須保證所有主體對客體的訪問路徑都必須經(jīng)過集中訪問控制機制。 3、安全審計安全審計（audit）是對信息系統(tǒng)用戶（包括合法用戶和非法用戶）的安全相關(guān)事件作出響應(yīng)的機制。以日志方式對這些事件進行記錄是安全審計的基本功能。安全審計與用戶的唯一標識相結(jié)合支持對用戶行為的可查性，從而可以追究用戶行為，迫使用戶對自己的行為負責，形成一種威懾力。安全審計既包括針對主體行為的審計，也包括針對所保護客體被訪問歷史的審計。安全審計應(yīng)能發(fā)現(xiàn)用戶企圖繞過系統(tǒng)保護機制的各種嘗試，發(fā)現(xiàn)主體的越權(quán)行為。 安全審計（續(xù)）安全審計應(yīng)該記錄下述事件：系統(tǒng)登錄過程中的身份鑒別的信息、將客體引入用戶安全域空間的

15、信息（例如：打開文件、程序初始化、從用戶安全域外部輸入數(shù)據(jù)等）、客體被輸出用戶安全域的信息、對客體進行增刪改以及系統(tǒng)管理員和安全管理員所實施的動作（如：創(chuàng)建、刪除用戶，安全策略的變更等）。對于每一項安全相關(guān)事件，審計記錄應(yīng)包括：事件的日期和時間、主體（例如：用戶）的標識信息、事件類型、事件是否成功等。對身份鑒別事件，應(yīng)記錄請求的來源（如：終端標識符）。對客體的引入、增刪改、輸出等要記錄客體的名稱以及客體安全級別的敏感標記。注意：審計數(shù)據(jù)是一個非常重要的安全數(shù)據(jù)，系統(tǒng)應(yīng)采取保護措施，防止對審計數(shù)據(jù)的非授權(quán)泄漏和破壞。 4、客體安全重用客體安全重用（也稱剩余信息保護）是指當主體獲得對一個已被釋放的

16、客體的訪問權(quán)時，當前主體不能獲得原主體活動所產(chǎn)生的任何信息，否則就會產(chǎn)生敏感信息的泄漏。這是因為，信息安全主體對所擁有的客體在存儲、計算和傳遞過程結(jié)束后，如果對客體中所涉及的信息不做安全處理，這些信息將殘留在相關(guān)的客體中，當這些客體在其后被分配給其它主體使用時，就會導致客體中信息的泄漏，從而造成對客體的安全威脅。需要采取一定的安全措施對殘留在客體中的剩余信息進行安全處理，以便消除客體重用造成的安全隱患。一種簡單易行的方式是在客體解除與主體的分配關(guān)系時，或者在客體被分配給新的主體時，清除客體中的內(nèi)容。還有一點需要注意，那就是主體不能訪問分配給他之外的客體。例如，分配給主體的文件尾之后的內(nèi)容；C語

17、言中通過指針分配給主體的存儲空間以外的內(nèi)存（這也是黑客破壞信息系統(tǒng)正常運行的慣用手法）等。 客體安全重用（續(xù)）常見的客體安全重用問題出現(xiàn)在計算機CPU中的寄存器、Cach、內(nèi)存、磁盤的塊/簇、磁帶的塊/簇、移動磁盤、光盤，以及路由器中的“存儲-轉(zhuǎn)發(fā)”等存儲設(shè)備中。文件是關(guān)于上述客體的抽象，可以看作是一種邏輯客體。對文件的客體重用是指與文件相關(guān)的控制信息和數(shù)據(jù)信息使用的所有客體的重用。其他的邏輯客體還有數(shù)據(jù)庫中的字段、記錄等。 5、備份與恢復(fù)技術(shù)備份與故障恢復(fù)就是應(yīng)對各種威脅的一種有效和實用技術(shù)，是PDRR模型的重要組成部分。數(shù)據(jù)備份可以由用戶對其所屬的數(shù)據(jù)進行備份，也可由系統(tǒng)定期或不定期對系統(tǒng)

18、中的重要數(shù)據(jù)進行備份，形成該時刻數(shù)據(jù)狀態(tài)的快照。一旦數(shù)據(jù)遭受破壞，就可用最后一次備份的數(shù)據(jù)進行恢復(fù)，使數(shù)據(jù)的破壞減少到最小的程度。 備份與恢復(fù)技術(shù)（續(xù)）數(shù)據(jù)備份按保存數(shù)據(jù)的量可分為完全數(shù)據(jù)備份和增量數(shù)據(jù)備份；按備份數(shù)據(jù)存放的位置還可分為一般數(shù)據(jù)備份和容災(zāi)數(shù)據(jù)備份。完全數(shù)據(jù)備份是指將要備份的數(shù)據(jù)全部保存的備份方式，當數(shù)據(jù)恢復(fù)時，將備份的數(shù)據(jù)全部還原即可。增量數(shù)據(jù)備份是指將從上一次備份后到這次備份的時間間隔內(nèi)發(fā)生變化的數(shù)據(jù)進行保存的備份方式，當數(shù)據(jù)恢復(fù)時，要根據(jù)上一次備份的數(shù)據(jù)與本次備份的數(shù)據(jù)進行計算獲得需要恢復(fù)的數(shù)據(jù)。容災(zāi)數(shù)據(jù)備份是指將備份數(shù)據(jù)存放在一個與本地有相當距離的地方保存數(shù)據(jù)的備份方式，

19、主要是針對像地震、水災(zāi)等自然災(zāi)害以及戰(zhàn)爭等惡意的人為破壞而采取的數(shù)據(jù)備份措施。 6、隱蔽信道分析技術(shù)定義經(jīng)典形式實例定義在TCSEC中將隱蔽信道定義為，主體以危害安全策略的方式傳輸信息的信道。也就是說，信息交換過程中，將敏感信息隱藏在正常的信息中，從而造成信息泄密的一種安全威脅。在CC（GB/T18336-2001）中是這樣描述的：隱蔽通道分析主要用來引導發(fā)現(xiàn)和分析未預(yù)料到的一些通信通道，這些通信通道可用來違反預(yù)期的TSP（TOE安全策略）。 經(jīng)典形式在A向B傳遞數(shù)據(jù)M時，將敏感信息C分為一些小段插入到M中，形成M，當M順利通過檢驗者發(fā)送到B后，B可從中提取出C，從而泄密。 實例實例1：藏頭詩

20、實例2：過濾網(wǎng)格實例3：信息隱藏實例1：藏頭詩蘆花叢中一扁舟，俊杰俄從此地游，義士若能知此理，反躬難逃可無憂。蘆俊義反實例2：過濾網(wǎng)格+ - - + - + - - - - - + - - - - - + - + - - - - + - - - - + - + - - + - - - - - + - + - + + - - - - + - - - - + - - + - - - + - - + - - - - - - this is a message that I am實例3：信息隱藏7、密碼技術(shù)密碼技術(shù)是信息安全的核心技術(shù)之一，也是最傳統(tǒng)的信息安全技術(shù)之一。密碼技術(shù)最初的目的就是對已有信息

21、（明文）實施變換，變換為另一個信息（密文），使非授權(quán)者不可讀，而授權(quán)者（掌握密鑰的人）則可以將密文恢復(fù)為明文，了解其內(nèi)容。這種技術(shù)主要對信息安全的保密性提供支持，稱為對稱密碼密鑰密碼技術(shù)。后來，非對稱密鑰密碼技術(shù)（一個密鑰用于加密，另一個密鑰用于解密，詳見第三章）的出現(xiàn)，密碼技術(shù)應(yīng)用領(lǐng)域擴展其到對信息安全的完整性提供支持，可發(fā)現(xiàn)非授權(quán)者對信息的篡改、插入、刪除等。密碼技術(shù)還可以對身份鑒別、設(shè)備鑒別、消息鑒別、數(shù)字簽名、虛擬專用網(wǎng)（VPN）等提供支持。 8、惡意代碼防范技術(shù)計算機科學的發(fā)展僅有70年的歷史，他還是一門新型的學科，許多理論問題，特別是計算機軟件的理論，還有待進一步的研究和探索。計算

22、機軟件的正確性、可靠性、安全性等等問題還沒有從理論上很好地解決，軟件還存在許多的安全漏洞。惡意代碼（包括計算機病毒）是一種計算機軟件，它正是利用計算機軟件的漏洞，進行復(fù)制、傳播和實施破壞的。目前，計算機病毒形式多樣，危害極大，嚴重影響了計算機系統(tǒng)中存儲信息的保密性、完整性和可用性，干擾了人們對計算機技術(shù)的利用，影響了信息化社會的正常秩序。惡意代碼防范技術(shù)是針對惡意代碼的工作原理和機制，研制的一套預(yù)防、檢測、消除計算機惡意代碼的技術(shù)，是保障信息系統(tǒng)正常工作的有效方法和實用工具。 9、邊界隔離與防護技術(shù)隔離是防護的基礎(chǔ)，隔離與防護相結(jié)合可以實施有效控制的目的。在人們的日常生活中，這樣的例子處處可見

23、。例如，像SARS這樣的流行性疾病爆發(fā)時，通過隔離，一方面可以有效地將病毒控制在一個可控的范圍內(nèi)，防止其擴散，另一方面可以在一個相對較小的范圍內(nèi)采取有效的防護措施，防止事態(tài)進一步惡化。在信息安全領(lǐng)域也是一樣，通過隔離可以將一個復(fù)雜的信息系統(tǒng)劃分為多個需要進行不同安全保護的安全域，并通過在邊界和內(nèi)部采取安全防護措施，達到安全保護的目的。隔離可以將信息安全的威脅控制在一個有效的范圍內(nèi)，例如，計算機病毒、黑客的攻擊等，防止事態(tài)的惡化，減少信息安全的損失。 邊界隔離與防護技術(shù)（續(xù)）信息系統(tǒng)的邊界隔離防護技術(shù)包括物理隔離和邏輯隔離兩種類型。物理隔離是通過物理的方法，對信息系統(tǒng)之間或信息系統(tǒng)的信息交換進行

24、控制的技術(shù)。邏輯隔離包括防火墻、VPN、隔離網(wǎng)閘等。像計算機科學一樣，信息安全的理論、方法和技術(shù)還很不完善，加之信息安全與信息安全的攻擊之間是一種對抗性的技術(shù)。實施隔離的基本要求是被隔離的區(qū)域具有明確的邊界，并且有確定的可以進行控制的通道。在目前還不能期望利用現(xiàn)有的信息安全理論、方法和技術(shù)提供完全的信息安全的前提下，邊界隔離與防護技術(shù)對確保國家重要信息系統(tǒng)的安全顯得尤為重要。 二、信息安全管理的基本要素1、人員安全管理 2、組織安全管理 3、制度安全管理 1、人員安全管理信息安全技術(shù)只有通過人的操作才能發(fā)揮應(yīng)有的作用，人員管理是信息安全管理的核心要素。對操作和配置安全系統(tǒng)的內(nèi)部安全人員沒有相應(yīng)的安全管理，再好的信息安全技術(shù)也難以抵御外部的攻擊。沒有可靠的安全操作管理人員，再好的安全技術(shù)也難以發(fā)揮應(yīng)有的效力。宏觀層面（國家層面）的人員安全管理包括學歷教育和在職培訓，信息安全技術(shù)和管理人員的技能資質(zhì)認證等。通過不同的途徑培養(yǎng)不同層次的安全人才，通過資質(zhì)認證為安全需求單位把好人才質(zhì)量關(guān)，規(guī)范信息安全人才市場。微觀層面（信息系統(tǒng)運行層面）的人員安全管理包括安全人員資質(zhì)管理，通過初始審核和動態(tài)審核確保安全人員的安全可靠。要通過不斷的教育加強安全人員的安全責任感和安全意識，增強安全人員對信息系統(tǒng)安全操作的能力，防止各種誤操作等。 2、組織安全管理一個大