操作系统访问控制课件.ppt

1、1/103内容提要内容提要5.1 操作系统可信计算基的构成操作系统可信计算基的构成5.2 操作系统的安全机制操作系统的安全机制5.3 Win2000/XP系统的安全机制简介系统的安全机制简介2/1033/103构成操作系统可信计算基的核心是构成操作系统可信计算基的核心是参照监视器参照监视器1.参照监视器参照监视器l是一种抽象的概念，是访问控制的基础是一种抽象的概念，是访问控制的基础l参照监视器依据访问控制数据库中的规则，验证主体对参照监视器依据访问控制数据库中的规则，验证主体对客体的每一次访问，按规则支持或禁止访问，并将成功客体的每一次访问，按规则支持或禁止访问，并将成功与否的访问按照策略要求

2、存入审计系统中与否的访问按照策略要求存入审计系统中4/1032.安全内核安全内核l安全内核是实现参照监视器概念的一种技术，是安全内核是实现参照监视器概念的一种技术，是指系统中与安全性实现有关的部分，包括：指系统中与安全性实现有关的部分，包括：l引用验证机制、访问控制机制、授权机制和授权管理引用验证机制、访问控制机制、授权机制和授权管理机制等机制等l一般的，人们趋向把安全内核与参照监视器等同一般的，人们趋向把安全内核与参照监视器等同起来起来l安全内核实际上可以看成一个更小的操作系统，安全内核实际上可以看成一个更小的操作系统，具备了操作系统的全部能力具备了操作系统的全部能力5/1033.安全内核安

3、全内核在实现上有两种情况在实现上有两种情况l1）安全内核与其它功能部分完全一体的操作系统）安全内核与其它功能部分完全一体的操作系统6/1033.安全内核安全内核在实现上有两种情况在实现上有两种情况l2）安全内核是操作系统的一部分）安全内核是操作系统的一部分l安全内核由安全内核由硬件硬件和和介于硬件和操作系统之间的一层软件介于硬件和操作系统之间的一层软件组成。组成。l安全内核的软件和硬件认为是可信的，处于安全周界的内部，但安全内核的软件和硬件认为是可信的，处于安全周界的内部，但操作系统和应用程序均处于安全周界之外。操作系统和应用程序均处于安全周界之外。5.1操作系统可信计算基的构成操作系统可信计

4、算基的构成7/1035.2 操作系统的安全机制操作系统的安全机制l隔离控制、硬件保护、用户认证、访问控制等隔离控制、硬件保护、用户认证、访问控制等8/1035.2.1 隔离机制隔离机制隔离机制是解决进程控制、内存保护的有效方法隔离机制是解决进程控制、内存保护的有效方法1.1.隔离控制的方法有四种：隔离控制的方法有四种：9/1035.2.1隔离机制隔离机制10/1035.2.2 硬件的保护机制硬件的保护机制计算机硬件的安全目标是保证其自身的可靠性并为计算机硬件的安全目标是保证其自身的可靠性并为系统提供基本的安全机制。主要包括：存储器保护、系统提供基本的安全机制。主要包括：存储器保护、运行保护、输

5、入运行保护、输入/输出保护等输出保护等11/103 5.2.2 硬件的保护机制硬件的保护机制12/1035.2.2 硬件的保护机制硬件的保护机制13/1035.2.2 硬件的保护机制硬件的保护机制 14/1035.2.2 硬件的保护机制硬件的保护机制15/1032.2.运行保护运行保护l基本要求是：在进程运行基本要求是：在进程运行的区域内的区域内(运行域运行域)实行不同实行不同的安全等级的保护机制的安全等级的保护机制。图图(a)(a)所示的是一个两域所示的是一个两域(两两环环)的运行保护，图的运行保护，图(b)(b)是多是多域情况下的运行保护。域情况下的运行保护。l两环系统的目的是隔离系两环系

6、统的目的是隔离系统运行域与用户运行域统运行域与用户运行域。(a)(a)中大写字母表示系统运中大写字母表示系统运行域，小写表示用户的运行域，小写表示用户的运行域行域5.2.2 硬件的保护机制硬件的保护机制16/1033.I/O保护保护lI/O操作不是从系统中读，就是向系统中写，所以操作不是从系统中读，就是向系统中写，所以对对I/O保保护的应该是对读写的访问控制护的应该是对读写的访问控制。I/O介质输出访问控制最介质输出访问控制最简单的方式是简单的方式是将设备看作一个客体将设备看作一个客体。4.4.最小特权管理最小特权管理l特权：可违反安全策略的操作能力特权：可违反安全策略的操作能力l管理的基本思

7、想：管理的基本思想：不应该给用户超过执行任务所需要的特不应该给用户超过执行任务所需要的特权以外的特权权以外的特权。l如如将超级用户特权划分为一级粒度更细小的特权将超级用户特权划分为一级粒度更细小的特权。以减少。以减少各种特权用户的权力各种特权用户的权力l系统管理员系统管理员SSO，审计员，审计员AUD，操作员，操作员OP，安全操作员，安全操作员SOP，网网络管理员络管理员(NET)(NET)5.2.2 硬件的保护机制硬件的保护机制17/1035.5.安全审计的实现安全审计的实现l在操作系统的安全内核内部和外部均设置相关的在操作系统的安全内核内部和外部均设置相关的审计点审计点，当用户请示系统服务

8、时，必须经过系统调用，如果当用户请示系统服务时，必须经过系统调用，如果能够能够找到系统调用的总入口找到系统调用的总入口(审计点审计点)增加审计控制增加审计控制，就成功，就成功地完成了审计。地完成了审计。5.2.2 硬件的保护机制硬件的保护机制18/1035.2.3 用户鉴别与口令用户鉴别与口令 19/103口令的种类口令的种类l鉴别和认证系统用户应该包含输入用户名和口令两个步骤。鉴别和认证系统用户应该包含输入用户名和口令两个步骤。l口令有三种类型口令有三种类型l静态口令静态口令是具有或没有有效期限制是具有或没有有效期限制可以重用的一般口令可以重用的一般口令。无论是用。无论是用户自行创建还是系统

9、自动创建，传统（静态）口令都难以记忆。户自行创建还是系统自动创建，传统（静态）口令都难以记忆。l动态口令动态口令可以由口令产生设备随时或者根据用户要求更改。一次性可以由口令产生设备随时或者根据用户要求更改。一次性（动态）口令只能使用一次。（动态）口令只能使用一次。l认知口令认知口令(类似于密保问题类似于密保问题)使用基于事实或基于选项的认知数据做使用基于事实或基于选项的认知数据做为用户认证的基础。认知口令依赖于个人的知识和经验。实现认知为用户认证的基础。认知口令依赖于个人的知识和经验。实现认知口令认证用户可能会花费更多的时间和金钱。只有用户知晓的认知口令认证用户可能会花费更多的时间和金钱。只有

10、用户知晓的认知问答的例子，如提示性问题等，认知口令容易记忆而且难以猜测问答的例子，如提示性问题等，认知口令容易记忆而且难以猜测5.2.3 用户鉴别与口令用户鉴别与口令 20/103是系统安全防护的核心技术是系统安全防护的核心技术常规系统都采用常规系统都采用DAC+少量的少量的MACl访问控制表使用居多访问控制表使用居多具体技术原理参考第二章的内容具体技术原理参考第二章的内容5.2.4 访问控制访问控制 21/10322/103 23/103WinlogonGINALSASSPIAuthentication PackagesSecurity Surpport ProviderSecurity A

11、ccount ManagementNetlogon 可用指纹、虹膜等代替可用指纹、虹膜等代替令牌令牌策略策略账号账号权限权限信任关系信任关系24/1031)Winlogon1)Winlogon and GINA and GINAlWinlogonWinlogon调用调用GINA DLLGINA DLL，并监视安全认证序列。，并监视安全认证序列。lGINA DLLGINA DLL提供一个交互式界面为用户登陆提供认证请求提供一个交互式界面为用户登陆提供认证请求lGINA DLLGINA DLL被设计成一个独立的模块，可用指纹、虹膜等更强的认被设计成一个独立的模块，可用指纹、虹膜等更强的认证方式替换

12、之证方式替换之lWinlogonWinlogon在注册表中查找在注册表中查找HKLMSoftwareMicrosoftWindows NTCurrent HKLMSoftwareMicrosoftWindows NTCurrent VersionWinlogonVersionWinlogon，l如果存在如果存在GINA DLLGINA DLL键，键，WinlogonWinlogon将使用这个将使用这个DLLDLLl这可以使用户额外配置的这可以使用户额外配置的GINAGINA，比如指纹读取，比如指纹读取l如果不存在该键，如果不存在该键，WinlogonWinlogon将使用默认值将使用默认值MS

13、GINA.DLLMSGINA.DLL 25/1032)2)本地安全权威本地安全权威lLSALSA是一个被保护的子系统，负责以下任务：调是一个被保护的子系统，负责以下任务：调用所有的认证包，检查注册表下用所有的认证包，检查注册表下HKLMSYSTEMCurrentControlSetHKLMSYSTEMCurrentControlSetContControl LSArol LSA下下AuthenticationPackagesAuthenticationPackages下的值，下的值，并调用该并调用该DLLDLL进行认证进行认证(MSV_1.DLL)(MSV_1.DLL)。在。在4.04.0版版

14、本中，本中，Windows NTWindows NT会寻找会寻找HKLMSYSTEMCurrentControlSetHKLMSYSTEMCurrentControlSetContControlLSArolLSA下所有存在的下所有存在的SecurityPackagesSecurityPackages值并值并调用调用 26/103l本地安全权威的功能和作用本地安全权威的功能和作用l重新找回本地组的重新找回本地组的SIDsSIDs和用户的权限。和用户的权限。l创建用户的访问令牌创建用户的访问令牌l管理本地安装的服务所使用的服务帐号管理本地安装的服务所使用的服务帐号l存储和映射用户权限存储和映射用户

15、权限l管理审核的策略和设置管理审核的策略和设置l管理信任关系管理信任关系3 3）安全支持提供者的接口）安全支持提供者的接口l微软的该接口很简单地遵循微软的该接口很简单地遵循RFC2743RFC2743和和RFC2744RFC2744的的定义，提供一些安全服务的定义，提供一些安全服务的APIAPI为应用程序和服务提供为应用程序和服务提供请求安全的认证连接的方法请求安全的认证连接的方法 27/1034)4)认证包认证包l可以为真实用户提供认证。通过可以为真实用户提供认证。通过GINADLLGINADLL上的可信认证上的可信认证后，认证包返回用户的后，认证包返回用户的SIDsSIDs给给LSALSA

16、，然后将其放在用户，然后将其放在用户的访问令牌中。的访问令牌中。5)5)安全支持提供者安全支持提供者l是以驱动的形式安装的，能够实现一些附加的安全机制，是以驱动的形式安装的，能够实现一些附加的安全机制，默认情况下，默认情况下，Windows NTWindows NT安装了以下三种。安装了以下三种。lMsnsspc.dllMsnsspc.dll：微软网络挑战响应认证模块：微软网络挑战响应认证模块lMspsscpc.dllMspsscpc.dll：分布式密码认证挑战响应模块，也可：分布式密码认证挑战响应模块，也可在微软网络中使用在微软网络中使用lSchannel.dllSchannel.dll：该

17、认证模块使用某些证书方式经常在使：该认证模块使用某些证书方式经常在使用用SSLSSL和和PCT(privatePCT(private communication technology)communication technology)协协议通信的时候用到议通信的时候用到 28/1036)6)网络登录网络登录lNetlogonNetlogon服务服务必须在通过认证后建立一个安全通道。必须在通过认证后建立一个安全通道。要实现这个目标，必须通过安全通道与域中的域控制器要实现这个目标，必须通过安全通道与域中的域控制器建立连接建立连接，然后，然后，再通过安全的通道传递用户的口令再通过安全的通道传递用户的

18、口令，在域的域控制器上响应请求后，重新取回用户的在域的域控制器上响应请求后，重新取回用户的SIDsSIDs和用户权限和用户权限7)7)安全帐户管理器安全帐户管理器l是用来保存用户帐号和口令的数据库。保存了注册表中是用来保存用户帐号和口令的数据库。保存了注册表中HKLMSecuritySamHKLMSecuritySam中的一部分内容。不同的域有中的一部分内容。不同的域有不同的不同的SAMSAM，在域复制的过程中，在域复制的过程中，SAMSAM包将会被复制包将会被复制l查看注册表的命令，在命令行上键入查看注册表的命令，在命令行上键入regedit 主讲教师主讲教师：董庆宽：董庆宽研究方向研究方向

19、：密码学与信息安全：密码学与信息安全Email Email ：手手 机机：1533902122715339021227网教院培训课程：信息系统安全网教院培训课程：信息系统安全第六章第六章 网络安全网络安全 30/103内容提要内容提要6.1 OSI开放系统互联安全体系结构开放系统互联安全体系结构6.3.1 Kerberos协议应用层安协议应用层安全协议标准全协议标准6.3.2 SSL协议传输层与应用层协议传输层与应用层之间之间6.3.3 IPSec协议网络层标准协议网络层标准 31/103该结构即著名的该结构即著名的ISO/OSI安全体系结构。安全体系结构。lOSI安全体系结构是一个普遍适用的

20、安全体系结构，其安全体系结构是一个普遍适用的安全体系结构，其核心内容是保证异构计算机系统进程与进程之间远距离核心内容是保证异构计算机系统进程与进程之间远距离交换信息的安全交换信息的安全l它是国际标准化组织它是国际标准化组织ISO于于1989年在对年在对OSI开放系统互开放系统互联环境的安全性进行深入研究的基础上提出的联环境的安全性进行深入研究的基础上提出的ISO-7498-2(开放系统互联安全体系结构开放系统互联安全体系结构)和和RFC2401/4301(Internet安全体系结构安全体系结构),即即IPSec）ISO-7498-2是七层协议之上的信息安全体系结构，是七层协议之上的信息安全体

21、系结构，解决互联网络安全问题解决互联网络安全问题6.1 6.1 开放系统互联安全体系结构概述开放系统互联安全体系结构概述32/103OSI安全体系结构的基本思想是：安全体系结构的基本思想是：l为了全面而准确地满足一个开放系统的安全需求，必须为了全面而准确地满足一个开放系统的安全需求，必须在七个层次中提供必需的安全服务、安全机制和技术管在七个层次中提供必需的安全服务、安全机制和技术管理，以及它们在系统上的合理部署和关系配置。理，以及它们在系统上的合理部署和关系配置。该体系结构具体提出该体系结构具体提出l设计安全信息系统的基础架构中应该包含的五类安全服设计安全信息系统的基础架构中应该包含的五类安全

22、服务务(安全功能安全功能)；l能够对这五类安全服务提供支持的八类安全机制和五种能够对这五类安全服务提供支持的八类安全机制和五种普遍安全机制；普遍安全机制；l三种三种OSI安全管理方式安全管理方式该体系还将这些服务和机制与七层协议进行映射该体系还将这些服务和机制与七层协议进行映射6.1 6.1 开放系统互联安全体系结构概述开放系统互联安全体系结构概述33/103作为网络协议安全体作为网络协议安全体系架构，主要针对的系架构，主要针对的是数据安全，所以提是数据安全，所以提供的五个安全服务也供的五个安全服务也都是针对数据的都是针对数据的6.1 6.1 开放系统互联安全体系结构概述开放系统互联安全体系结

23、构概述34/103链路层链路层L2F第二层转发协议第二层转发协议L2TP第二层隧道协议第二层隧道协议PPTP点对点隧道协议点对点隧道协议隧道技术隧道技术协议组协议组DiffServ区分服务区分服务体系结构体系结构GRE通用路由通用路由封装封装IPsecIP层协议层协议安全结构安全结构网络层网络层安全路由选择协议组安全路由选择协议组传输层传输层TLS安全传输层协议安全传输层协议SSH-TRANS安全外壳传输层协议安全外壳传输层协议SSH-USERAUTH安全外壳用户认证协议安全外壳用户认证协议SSL安全套接字层协议安全套接字层协议SOCKS防火墙安全会话防火墙安全会话转换协议转换协议S-HTTP

24、安全超文本传输协议安全超文本传输协议PGP完备保密性协议完备保密性协议S/MIME多用途网际邮件扩充协议多用途网际邮件扩充协议应用层应用层Kerberos网络认证协议网络认证协议RADIUS远程用户拨入认证系统远程用户拨入认证系统TCP传输控制协议传输控制协议UDP用户数据报协议用户数据报协议AHIPsec认证认证头协议头协议ESPIPsec封装封装安全载荷安全载荷IKEv2密钥交换密钥交换协议协议IP网络协议网络协议SSH-CONNECT安全远程登录连接协议安全远程登录连接协议各各层层安安全全协协议议详详图图35/10336/103这个过程可以通过如下的例子来理解这个过程可以通过如下的例子来

25、理解l把西电网络看成一个提供网页、邮件、把西电网络看成一个提供网页、邮件、FTP、数据库等多个服务的网络数据库等多个服务的网络l有一个认证中心在网络中心，负责对每一个用有一个认证中心在网络中心，负责对每一个用户的登陆认证户的登陆认证l每一个西电用户都在认证中心注册了自己的账号每一个西电用户都在认证中心注册了自己的账号l有一个票据服务器也在网络中心，用于对每一有一个票据服务器也在网络中心，用于对每一种服务的接入授权。用户必须持有认证中心颁种服务的接入授权。用户必须持有认证中心颁发的票据才能访问票据服务器发的票据才能访问票据服务器37/103用户用户Alice想要访问西电的想要访问西电的FTP服务

26、器，则采用如下步骤服务器，则采用如下步骤l（1）如果）如果Alice还未登陆系统，则首先向认证中心认证，还未登陆系统，则首先向认证中心认证，完成登陆认证。并请求访问票据许可服务器，认证中心完成登陆认证。并请求访问票据许可服务器，认证中心在检验了用户身份后发给在检验了用户身份后发给Alice一个访问票据许可服务一个访问票据许可服务器的票据，如果已经登陆则不需此步骤器的票据，如果已经登陆则不需此步骤l（2）如果）如果Alice要访问一个服务，如要访问一个服务，如FTP，但还没有被，但还没有被授权访问，则将认证中心的票据及要访问的服务提交给授权访问，则将认证中心的票据及要访问的服务提交给票据许可服务

27、器，认证后票据许可服务器发给票据许可服务器，认证后票据许可服务器发给Alice一一个服务许可票据，用于访问个服务许可票据，用于访问FTP服务器，如果已经有有服务器，如果已经有有效票据则不需此步骤。效票据则不需此步骤。l（3）Alice要访问要访问FTP服务，在每次会话建立前，将服服务，在每次会话建立前，将服务许可票据提交给务许可票据提交给FTP服务器，验证后即可访问资源服务器，验证后即可访问资源38/10339/103SSL提供的面向提供的面向连接的安全性的连接的安全性的三个基本性质：三个基本性质：l连接是秘密的连接是秘密的(所有所有C/S间的数间的数据都对称加密据都对称加密)l可认证的可认证

28、的(基于基于公钥的认证公钥的认证)l可靠的可靠的(消息的消息的MAC认证认证)主讲教师主讲教师：董庆宽：董庆宽研究方向研究方向：密码学与信息安全：密码学与信息安全Email Email ：手手 机机：1533902122715339021227网教院培训课程：信息系统安全网教院培训课程：信息系统安全第七章第七章 应用安全应用安全 41/103内容提要内容提要7.1 应用系统中的安全问题概述应用系统中的安全问题概述7.2 Web安全安全7.3 数据库安全数据库安全42/1037.1 应用系统中的安全问题概述应用系统中的安全问题概述应用层是信息系统直接面向用户的层面，应用层是信息系统直接面向用户的

29、层面，保证应用层面的安全应该说是信息系统的保证应用层面的安全应该说是信息系统的最终目的最终目的。应用层安全主要是两方面：应用层安全主要是两方面：l一是系统提供服务的安全一是系统提供服务的安全l二是相关数据的安全二是相关数据的安全l与之相关的是系统应用软件本身的安全和数据与之相关的是系统应用软件本身的安全和数据的安全的安全43/1037.1 应用系统中的安全问题概述应用系统中的安全问题概述应用系统的安全威胁应用系统的安全威胁l恶意代码是最普遍的威胁；黑客（详见恶意代码是最普遍的威胁；黑客（详见1.3节）节）在应用系统中，组织为完成自身的业务战略，必在应用系统中，组织为完成自身的业务战略，必然要开

30、发相应的应用软件，独立系统的应用软件然要开发相应的应用软件，独立系统的应用软件的脆弱性可能会表现在三个方面：的脆弱性可能会表现在三个方面：l软件开发过程中的安全问题软件开发过程中的安全问题l软件的漏洞软件的漏洞l管理方面的安全问题管理方面的安全问题44/1037.1 应用系统中的安全问题概述应用系统中的安全问题概述1.软件开发过程的安全问题软件开发过程的安全问题l(1)开发过程的管理。开发过程主要存在的安全问题有：开发过程的管理。开发过程主要存在的安全问题有：在开发过程中会泄漏甲方的一些信息在开发过程中会泄漏甲方的一些信息；将开发好的软件；将开发好的软件程程序代码泄漏序代码泄漏；恶意的软件人员

31、在软件中；恶意的软件人员在软件中插入恶意代码或故插入恶意代码或故意留下后门意留下后门；使软件存在各类；使软件存在各类错误错误l(2)开发过程中的技术安全问题。包括开发开发过程中的技术安全问题。包括开发平台的选择平台的选择、中间件中间件的选择，的选择，开发语言开发语言的选择，是否采用了模块化的开的选择，是否采用了模块化的开发方法，模块大小与集成问题等；安全机制的设置等发方法，模块大小与集成问题等；安全机制的设置等l(3)分发过程中的安全问题分发过程中的安全问题(如何提交给用户如何提交给用户)l(4)升级维护过程升级维护过程45/1032.应用软件本身的脆弱性应用软件本身的脆弱性l(1)陷门；陷门

32、；(2)漏洞；漏洞；(3)错误错误l(4)隐蔽信道：不被用户察觉或不正确的通信路径隐蔽信道：不被用户察觉或不正确的通信路径l(5)由开发工具带来的安全隐患由开发工具带来的安全隐患l(6)软件缺少必要的安全机制软件缺少必要的安全机制l(7)脚本语言和程序带来漏洞脚本语言和程序带来漏洞l(8)在软件中设置逻辑炸弹在软件中设置逻辑炸弹l(9)缓冲区溢出缓冲区溢出3.可能导致管理方面的安全问题可能导致管理方面的安全问题7.1 应用系统中的安全问题概述应用系统中的安全问题概述46/1037.2 Web安全安全47/1037.2 Web安全安全48/1037.2 Web7.2 Web安全安全49/1037

33、.2 Web7.2 Web安全安全50/1037.2 Web7.2 Web安全安全51/1037.3 数据库系统安全数据库系统安全7.3.1 7.3.1 数据库安全概述数据库安全概述7.3.2 7.3.2 数据库安全控制数据库安全控制7.3.3 7.3.3 数据库的完整性数据库的完整性7.3.4 7.3.4 数据库的并发机制数据库的并发机制7.3.5 7.3.5 数据库的备份与恢复数据库的备份与恢复52/10353/103DBMSDBMS是数据库管理系统是数据库管理系统54/10355/10356/103 57/103 58/103 59/10360/10361/10362/10363/103

34、 访访问问数数据据库，库，为为了了有有效效地地利利用用数数据据库库资资源，源，可可能能多多个个程程序序或或一一个个程程序序的的多多个个进进程程并并行行地地运运行，行，这这就就是是数数据据库库的的并并发发操操作。作。当当多多个个用用户户同同时时读读写写同同一一个个字字段段的的时时候，候，会会存存取取不不正正确确的的数数据，据，或或破破坏坏数数据据库库数数据据的的一一致致性。性。DBMS提提供供解解决决冲冲突突的的机机制。制。如如加加锁锁/解解锁。锁。数数据据不不一一致致总总是是由由两两个个因因素素造造成：成：一一是是对对数数据据的的修修改，改，二二是是并并发发操操作作的的发发生。生。64/103

35、65/103l事务事务T1修改某一数据，写回磁盘，修改某一数据，写回磁盘，T2读取同一数据读取同一数据后，后，T1由于某种原因被撤销，其修改的数据被恢复由于某种原因被撤销，其修改的数据被恢复原值，原值，T2读到的数据与数据库中的数据不一致，读读到的数据与数据库中的数据不一致，读到的数据被称为到的数据被称为“脏脏”数据数据l并发控制的主要技术是封锁并发控制的主要技术是封锁locking，即为读、，即为读、写用户分别定义写用户分别定义“读锁读锁”和和“写锁写锁”，加了读，加了读锁则其它用户只能读目标。加了写锁则任何其锁则其它用户只能读目标。加了写锁则任何其它用户都不能读写目标。封锁也会导致死锁它用

36、户都不能读写目标。封锁也会导致死锁66/10367/10368/103l登登记记日日志志和和镜镜像像合合起起来来安安全全性性最最高高l型型数数据据库库一一般般对对关关键键数数据据和和日日志志文文件件镜镜像像l对对于于介介质质故故障障具具有有很很好好的的防防御御作作用用l关关键键数数据据库库可可实实施施远远程程备备份份l只只要要DBMS保保持持一一切切事事务务的的原原子子性、性、一一致致性、性、隔隔离离性性和和持持续续性，性，就就保保持持了了数数据据库库处处于于一一致致的的状状态态主讲教师主讲教师：董庆宽：董庆宽研究方向研究方向：密码学与信息安全：密码学与信息安全Email Email ：手手

37、机机：1533902122715339021227网教院培训课程：信息系统安全网教院培训课程：信息系统安全第八章第八章 管理安全管理安全 70/103内容提要内容提要8.1 BS7799标准与信息系统安全管理标准与信息系统安全管理8.2 风险评估风险评估71/1038.1 BS7799标准与信息系统安全管理标准与信息系统安全管理9标标准准简简介介l信信息息安安全全管管理理实实施施细细则则l信信息息安安全全管管理理体体系系规规范范lBS7799认认证证过过程程72/1038.1.1 信息安全管理概述信息安全管理概述信息安全的成败取决于两个因素：技术和管理。信息安全的成败取决于两个因素：技术和管理

38、。l三分技术，七分管理三分技术，七分管理l安全技术是信息安全的构筑材料，安全管理是真正的粘安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂。合剂和催化剂。信息安全管理（信息安全管理（Information Security Management）l信息安全管理作为组织完整的管理体系中一个重要的环信息安全管理作为组织完整的管理体系中一个重要的环节，它构成了信息安全具有能动性的部分，是指导和控节，它构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。对象就是组织的信息资产。73

39、/103基于风险分析的安全管理方法是当前的主流方法基于风险分析的安全管理方法是当前的主流方法l首先制定信息安全策略方针，为信息安全管理提供导向首先制定信息安全策略方针，为信息安全管理提供导向和支持和支持l进行风险评估和风险管理进行风险评估和风险管理l安全控制的要求应针对每项资产所面临的威胁、存在的弱点、安全控制的要求应针对每项资产所面临的威胁、存在的弱点、产生的潜在影响和发生的可能性等综合因素来分析确定。这是产生的潜在影响和发生的可能性等综合因素来分析确定。这是信息安全管理的基础信息安全管理的基础l控制目标和方式选择，应以风险评估为基础控制目标和方式选择，应以风险评估为基础l风险控制和处理上考

40、虑控制成本与风险平衡的原则，将风险控制和处理上考虑控制成本与风险平衡的原则，将风险降低到组织可接受的水平风险降低到组织可接受的水平l需要全员参与来保证安全保证需要全员参与来保证安全保证8.1.1 信息安全管理概述信息安全管理概述74/103信息安全管理要遵循管理的一般模式信息安全管理要遵循管理的一般模式PDCA信息安全管理模型信息安全管理模型8.1.1 信息安全管理概述信息安全管理概述75/103什么是什么是BS7799？l英国标准协会（英国标准协会（British Standards Institute，BSI）制定的信息安全标准。制定的信息安全标准。l由信息安全方面的最佳惯例组成的一套全面

41、的控制集。由信息安全方面的最佳惯例组成的一套全面的控制集。l信息安全管理方面最受推崇的国际标准信息安全管理方面最受推崇的国际标准BS 7799的目的的目的l为信息安全管理提供建议，供那些在其机构中负有安为信息安全管理提供建议，供那些在其机构中负有安全责任的人使用。它旨在为一个机构提供用来制定安全责任的人使用。它旨在为一个机构提供用来制定安全标准、实施有效的安全管理时的通用要素，并得以全标准、实施有效的安全管理时的通用要素，并得以使跨机构的交易得到互信使跨机构的交易得到互信。76/1038.1.3 信息安全管理实施细则信息安全管理实施细则BS 7799-ISO17799：200577/103第一

42、部分是信息安全管理实施细则（Code of Practice for Information Security Management），8.1.3 信息安全管理实施细则信息安全管理实施细则78/103u 目标：目标：信息安全策略信息安全策略为信息安全提供与业务需求和法律法规相一致为信息安全提供与业务需求和法律法规相一致的管理指示及支持的管理指示及支持u 安全策略应该做到：安全策略应该做到：对信息安全加以定义对信息安全加以定义 陈述管理层的意图陈述管理层的意图 分派责任分派责任 约定信息安全管理的范围约定信息安全管理的范围 对特定的原则、标准和遵守要求进行说明对特定的原则、标准和遵守要求进行说明

43、 对报告可疑安全事件的过程进行说明对报告可疑安全事件的过程进行说明 定义用以维护策略的复查过程定义用以维护策略的复查过程8.1.3 信息安全管理实施细则信息安全管理实施细则79/103u 目标：目标：信息安全基础设施信息安全基础设施在组织内部管理信息安全在组织内部管理信息安全 外部组织外部组织保持组织的被外部组织访问、处理、沟通或管理的信保持组织的被外部组织访问、处理、沟通或管理的信息及信息处理设备的安全息及信息处理设备的安全u 包含的内容：包含的内容：建立管理委员会，定义安全管理的角色和责任建立管理委员会，定义安全管理的角色和责任 对软硬件的采购建立授权过程对软硬件的采购建立授权过程 与第三

44、方签订的协议中应覆盖所有相关的安全要求。与第三方签订的协议中应覆盖所有相关的安全要求。外包合同中的安全需求外包合同中的安全需求 包括内部组织和外部伙伴包括内部组织和外部伙伴8.1.3 信息安全管理实施细则信息安全管理实施细则80/103u 目标：目标：资产责任资产责任实现并保持组织资产的适当保护实现并保持组织资产的适当保护信息分类信息分类确保对信息资产的保护达到恰当的水平确保对信息资产的保护达到恰当的水平u 包含的内容：包含的内容：组织可以根据业务运作流程和信息系统拓扑结构来识别信息资产。组织可以根据业务运作流程和信息系统拓扑结构来识别信息资产。按照信息资产所属系统或所在部门列出资产清单。按照

45、信息资产所属系统或所在部门列出资产清单。所有的信息资产都应该具有指定的属主并且可以被追溯责任。所有的信息资产都应该具有指定的属主并且可以被追溯责任。信息应该被分类，以标明其需求、优先级和保护程度。信息应该被分类，以标明其需求、优先级和保护程度。根据组织采用的分类方案，为信息标注和处理定义一套合适的程序。根据组织采用的分类方案，为信息标注和处理定义一套合适的程序。Top SecretSecretConfidentialRestricted8.1.3 信息安全管理实施细则信息安全管理实施细则81/103u 目标：目标：雇佣前雇佣前确保员工、合同访和第三方用户了解他们的责任并适合确保员工、合同访和第

46、三方用户了解他们的责任并适合于他们所考虑的角色，减少盗窃、滥用或设施误用的风险。于他们所考虑的角色，减少盗窃、滥用或设施误用的风险。雇佣中雇佣中确保所有的员工、合同方和第三方用户了解信息安全威确保所有的员工、合同方和第三方用户了解信息安全威胁和相关事宜、他们的责任和义务，并在他们的日常工作中支持组织胁和相关事宜、他们的责任和义务，并在他们的日常工作中支持组织的信息安全方针，减少人为错误的风险的信息安全方针，减少人为错误的风险。解聘和变更解聘和变更确保员工、合同方和第三方用户离开组织或变更雇确保员工、合同方和第三方用户离开组织或变更雇佣关系时以一种有序的方式进行佣关系时以一种有序的方式进行。u

47、包含的内容：包含的内容：故意或者无意的人为活动可能给数据和系统造成风险故意或者无意的人为活动可能给数据和系统造成风险 在正式的工作描述中建立安全责任，员工入职审查在正式的工作描述中建立安全责任，员工入职审查 8.1.3 信息安全管理实施细则信息安全管理实施细则82/1035.物理和环境安全物理和环境安全u 目标：目标：安全区域安全区域防止非授权访问、破坏和干扰业务运行的前提条件及防止非授权访问、破坏和干扰业务运行的前提条件及信息。信息。设备安全设备安全预防资产的丢失、损坏或被盗，以及对组织业务活动预防资产的丢失、损坏或被盗，以及对组织业务活动的干扰。的干扰。u 包含的内容：包含的内容：应该建立

48、带有物理入口控制的安全区域应该建立带有物理入口控制的安全区域 应该配备物理保护的硬件设备应该配备物理保护的硬件设备 应该防止网络电缆被塔线窃听应该防止网络电缆被塔线窃听 将设备搬离场所，或者准备报废时，应考虑其安全将设备搬离场所，或者准备报废时，应考虑其安全8.1.3 信息安全管理实施细则信息安全管理实施细则83/1036.通信和操作管理通信和操作管理u 目标目标：操作程序和责任确保信息处理设施的正确和安全操作。第三方服务交付管理实施并保持信息安全的适当水平，确保第三方交付的服务符合协议要求。系统规划与验收减少系统失效带来的风险。防范恶意代码和移动代码保护软件和信息的完整性。备份保持信息和信息

49、处理设施的完整性和可用性 网络安全管理确保对网络中信息和支持性基础设施的安全保护。介质处理和安全防止对资产的未授权泄漏、修改、移动或损坏，及对业务活动的干扰。信息和软件的交换应保持组织内部或组织与外部组织之间交换信息和软件的安全。电子商务服务 确保电子商务的安全及他们的安全使用。监督检测未经授权的信息处理活动。u 包含的内容：防病毒，防恶意软件；进行变更控制 做好备份，存储介质的安全处理，保存正确的访问日志，系统文件的安全性 电子邮件安全性；保护传输中的数据8.1.3 信息安全管理实施细则信息安全管理实施细则84/1037.访问控制访问控制u 目标：目标：访问控制的业务需求访问控制的业务需求控

50、制对信息的访问。控制对信息的访问。用户访问管理用户访问管理确保授权用户的访问，并预防信息系统的非授权确保授权用户的访问，并预防信息系统的非授权访问。访问。用户责任用户责任预防未授权用户的访问，信息和信息处理设施的破坏预防未授权用户的访问，信息和信息处理设施的破坏或被盗。或被盗。网络访问控制网络访问控制防止对网络服务未经授权的访问。防止对网络服务未经授权的访问。操作系统访问控制操作系统访问控制防止对操作系统的未授权访问。防止对操作系统的未授权访问。应用访问控制应用访问控制防止对应用系统中信息的未授权访问。防止对应用系统中信息的未授权访问。移动计算和远程工作移动计算和远程工作确保在使用移动计算和远