粤教版（2019）信息技术 必修2 5.2 信息系统安全风险防范的技术和方法 学案

信息系统安全风险防范的技术和方法
学习目标
1.熟悉信息系统安全防范的技术方法；
2.养成规范的信息系统操作习惯。
学习内容
信息系统的安全风险来自多方面，包括人为的和非人为的、有意的和无意的等。随着信息系统安全问题的复杂度不断提高，危害信息系统安全的手段、方法也不断变化。人们越来越深刻地认识到信息系统安全不能仅从技术入手，还得从系统的管理角度切入，才能寻找到一个较合理的解决策略。
信息系统安全风险的重要术语
信息系统安全模型及安全策略
1.信息系统安全性、便利性与成本的关系
信息系统不存在绝对的安全，因为安全性和便利性及成本之间有着矛盾的关系。提高了安全性，相应地就会降低便利性；而提高了安全性，势必增大成本；易用性越好，安全性可能就越低，如下图所示。
2.P2DR安全模型
从信息系统安全的目标来看，信息系统安全是一个综合性的问题，需要通过建模的思想来解决信息系统安全管理问题，安全模型能精确和形象地描述信息系统的安全特征，描述和解释安全相关行为。精确的安全模型能提高对关键安全需求的理解层次，从中开发出一套安全性的评估准则。
信息系统安全模型的种类很多，各有特点。下面我们介绍一种常用的安全模型——P2DR模型，如图下图所示。该模型包括策略(Policy)、防护(Protection)、检测(Detection)和响应(Response)四个主要部分。
(1)策略：根据风险分析产生的安全策略描述了系统中哪些资源要得到保护，以及如何实现对它们的保护等。策略是模型的核心，所有的防护、检测和响应都是依据安全策略实施的。网络安全策略一般包括：访问控制策略、加密通信策略、身份认证策略和备份恢复策略等。
(2)防护：通过修复系统漏洞、正确设计开发和安装系统来预防安全事件的发生；通过定期检查来发现可能存在的系统脆弱性；通过教育等手段，让用户和操作员正确使用系统，防止意外威胁；通过访问控制、监视等手段来防止恶意威胁。
采用的防护技术通常包括数据加密、身份认证、访问控制、授权和虚拟专用网(VPN)技术、防火墙、安全扫描和数据备份等。
(3)检测：是动态响应和加强防护的依据，通过不断地检测和监控网络系统，来发现新的威胁和弱点，并通过循环反馈来及时做出有效的响应。当攻击者穿透防护系统时，检测功能就发挥作用，与防护系统形成互补。
采用的技术一般有实时监控和IT审计。
(4)响应：在检测到安全漏洞和安全事件时，通过及时的响应措施将网络系统的安全性调整到风险最低的状态。评估系统受到的危害与损失，恢复系统功能和数据，启动备份系统等，主要方法包括：关闭服务、跟踪、反击、消除影响。
3.信息系统安全策略分析
对于以计算机及网络为主体的信息系统，其安全策略可从非技术和技术两个方面来考虑。其中非技术策略方面主要包括预防意识、管理保障措施、应急响应机制等三个层面；技术策略分为物理和逻辑两大方面，主要包括物理系统、操作系统、数据库系统、应用系统和网络系统等五个层面。本节只考虑技术策略方面，分析如下表所示。
信息系统安全风险防范的常用技术
因为不同的信息技术发展阶段对信息系统安全的关注和需求有所不同，信息系统安全风险防范的常用技术方法总是伴随着问题的不断变化而逐步完善的。当通信安全问题出现时，就有通过密码技术对通信进行加密的技术方法，以保证数据的保密性和完整性。计算机的安全威胁主要是来自非法访问、恶意代码、脆弱口令等，主要防范措施是及时更新修复计算机漏洞以预防、检测和减小计算机系统（软硬件）用户执行未授权活动所造成的后果。信息系统安全问题，主要是确保信息在存储、处理和传输过程中免受偶然或恶意的非法泄密、转移或破坏。安全措施一般有：防火墙、防病毒、漏洞扫描、入侵检测、公钥基础设施（PKI）、VPN等。对于网络空间安全/信息安全保障问题，需要关注的是其安全威胁来自黑客、恐怖分子、信息战、自然灾难、电力中断等。
1.加密技术
信息加密的目的是防止信息被窃取。加密的基本原理是：在发送端将数据变换成某种难以理解的形式，把信息隐藏起来，在接收端通过反变换恢复数据的原样。
信息加密与密码分析是一对矛盾的两个方面。加密是研究如何生成高保密性的有效算法，使受保护的数据处于安全状态。密码分析是研究高效算法破译密码以获取机密信息。采用密码技术的信息系统的安全性主要取决于对密钥的保护。传统加密方法的加密密钥K与解密密钥P是相同的。密钥由通信双方约定并秘密掌握，如果丢失了密钥，加密的数据就很容易被破译。
数千年来，人类一直希望实现绝对安全的通信，但传统的方法没有绝对的安全，至多只是在密钥保密的前提下增加破译密文的难度和延长破译的时间。然而，随着科技的发展，量子世界带来了震撼，科学家们制作岀量子密钥，这是目前人类最安全的加密方式。量子密钥采用单光子作为载体，任何干扰和复制都会让密码立即失效，中止通信中所有窃听行为。我国的“墨子号”量子科学实验卫星利用量子密钥实现加密数据传输和视讯通信。
2.认证技术
认证有两个目的：一是验证信息发送者的身份，以防止有可能冒充发送者身份信息的情况岀现；二是验证信息的完整性。
在用户身份认证中，口令字（即密码）是当前最简易的方法。在用户接入和登录到信息系统时，需要输入用户名和口令字，系统经过对比确定该访问者是否为合法用户，再决定是否让其进入系统。口令字的方法虽简单，但安全性不够，在安全性要求较高的系统中，可以采用物理手段甚至生物手段来识别。
3.主机系统安全技术
主机系统安全技术是指用于保护计算机操作系统和运行于其上的信息系统的技术，具体包括操作系统安全技术、数据库安全技术和可信计算技术等。例如：操作系统安全技术需要解决用户的账户控制、内存与进程保护等；而数据库安全技术需要解决业务数据的完整性、安全检索和敏感数据保护等问题。
(1)操作系统安全技术。
一般地，操作系统安全机制包括用户账号控制机制、强制完整性控制机制、用户界面特权隔离机制、网络访问保护机制等措施。用户账号控制机制的目的在于使用户能够使用标准用户权限而不是管理员权限运行系统，这样用户不会有意或无意地修改系统设置，破坏他人的敏感信息，即使受到恶意软件攻击，也不会导致系统安全设置被篡改，达到增强系统安全性的目的。
(2)数据库安全技术。
数据库安全是涉及信息安全技术领域与数据库技术领域的一个典型交叉学科，它的发展历程与同时代的数据库技术、信息安全技术的发展趋势息息相关。
关于数据库安全技术中较有代表性的是安全数据库管理系统、外包数据库安全、云数据库/云存储安全等技术。其中安全数据库管理系统中，除了数据库认证、访问控制、审计等基本安全功能外，关键技术集中在数据库形式化安全模型、数据库加密、多级安全数据库事务模型及数据库隐形通道分析等；外包数据库安全包括外包数据库检索技术、查询验证技术、访问控制技术和数据库水印技术；云数据库/云存储安全主要集中在海量信息安全检索关键技术、海量数据完整性验证及海量数据隐私保护技术等方面。
4.网络与系统安全应急响应技术
(1)防火墙技术。
防火墙是位于不可信的外部网络和被保护的内部网络之间的一个网络安全设备或由多个硬件设备和相应软件组成的系统，如下图所示。防火墙的基本类型可分为包过滤防火墙、代理网关、包检查型防火墙和混合型防火墙。
(2)入侵检测技术。
入侵检测技术是用于检测损害或企图损害系统的机密性、完整性及可用性等行为的一类安全技术。这类技术通过在受保护网络或系统中部署检测设备来监视受保护网络或系统的状态与活动，根据所釆集的数据，采用相应的检测方法发现非授权或恶意的系统与网络行为，并为防范入侵行为提供支持手段。
一个入侵检测系统（IDS）需要解决三方面的问题：首先，它需要充分并可靠地釆集网络和系统中的数据、提供描述网络和系统行为的特征；其次，它必须根据以上数据和特征，高效并准确地判断网络和系统行为的性质；最后，它需要为防范网络和系统入侵提供手段。
（3）应急响应技术。
应急响应是指在网络被破坏的前后采取相应的预防、应对措施。一般分为前期响应、中期响应与后期响应三个阶段，它们跨越紧急安全事件发生和应急响应的前后。
前期响应是指预案和计划、准备资源、系统和数据备份、保障业务的连续性等。
中期响应的任务是准确地查明信息系统遭受了何种程度的损害并摸清灾害发生的原因，认定灾害发生的责任，制订下一步的安全策略和追踪、取证。
后期响应的目的是确定新的安全策略，并得到新的安全配置，它主要包括提高系统的安全性、进行安全评估、制订并执行新的安全策略等。
5.恶意代码检测与防范技术
恶意代码的防治包括预防、机理分析、检测和清除等环节。其中恶意代码的预防是指抵御恶意代码的传播和感染，它的方法主要是切断传播和感染的途径或破坏它们实施的条件，并需要配合一定的管理制度，以提高恶意代码预防技术的实施效果；恶意代码机理分析是指恶意代码的传播、感染和触发机制；恶意代码检测方法主要用于确定感染目标中存在恶意代码的种类，主要包括特征代码法、校验和法、行为监测法、软件模拟法、比较法和感染实验法；恶意代码的清除，是指尽量在保全被感染程序功能的情况下移除恶意代码或使其失效。
6.人工智能技术在反病毒中的应用
传统程序设计方法编制的反病毒软件，一般局限于固定模式和参数的计算、检测或者消除，总是滞后于新的计算机病毒的出现。根据计算机病毒的表现手段和方式，采用人工智能方法编制检测病毒软件，建立防治计算机病毒专家系统，可以在动态运行过程中不断学习和总结经验，以改进和提高。专家系统的核心是知识库和推理机。