目录
数据安全保护技术
- 采用密码技术对数据本身进行保护
- 数据防护技术
电子认证与身份鉴别
定义
- 采用电子技术检验用户身份的合法性(用户通过信息系统提供电子形式的身份信息来建立信任的过程)
身份鉴别技术分类
- 基于用户知识的身份鉴别技术
- 基于用户所拥有的身份鉴别技术
- 基于生物特征的身份鉴别技术
基于用户知识的身份鉴别技术
- 用户的账户名+口令安全是基于口令的身份鉴别机制的核心。
- 口令的生成、传输、存储等各环节的安全是整个系统/应用的重中之重。
- 针对口令的攻击方法:
- 暴力破解
- 通过穷举所有口令组合的方式破解口令。
- 可以设置较长的口令,扩大口令穷举空间应对暴力破解。
- 字典攻击
- 使用日常生活常用的或经常出现的字符组合进行猜测和匹配计算。
- 可以通过设置尽量复杂的口令以及管理员设置相应的安全登录策略来对抗字典攻击。
- 肩窥攻击
- 通过窥看用户的键盘输入、鼠标移动等方式来获取用户的口令。
- 肩窥攻击源于用户口令输入过程可视听导致口令泄露。
- 通过遮挡、保持距离等方式避免口令输入过程中被窥看。
- 重放攻击
- 反射攻击,针对挑战响应认证机制的攻击方式
- 攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。
- 可引入时间戳,限制发送响应的等待时间或者双方协商序列号、序号递增方法等来防重放攻击
- 钓鱼攻击
- 基于网页的攻击,通过让用户重定向访问到虚假网站,进而获取用户的口令或者PIN码。
- 最根本的方法就是提高用户安全防范意识。
- 键盘记录器攻击
- 也称为键盘监视器攻击,需要将键盘记录器安装到用户系统中,通过记录键盘的每一次敲击来监视用户的行为。
- 加强用户安全防范意识,避免使用单一方式输入隐私信息,定期进行排查等方式防范。
- 视频拍摄记录攻击
- 利用移动设备商安装的摄像头或微型相机,通过分析采集到的用户输入口令视频获取口令。
- 图形口令:
- 基于识别的图形口令
- 基于位置的图形口令
- 基于回忆的图形口令
但相对于文本口令,图形口令更易于用户记忆,更容易遭受肩窥攻击、视频拍摄记录攻击、猜测攻击等。所以需要与其他鉴别机制相结合,提高安全性
基于用户所有的身份鉴别技术
USB Key
- 内嵌密码技术的小型硬件设备,它内置密码芯片执行密码运算,能存储密钥或数字证书。
- 双因子认证中,通常位于保护高安全性数据的后一道防线。
智能卡
- 在内置芯片中存储用户身份信息的小型卡片
- 分类
- 镶嵌芯片
- 交换界面(接触式、非接触式、双界面)
- 数据传输方式
- 应用领域
- 智能卡芯片较小,逻辑电路相对简单,容易被复制或仿冒
- 储存静态身份数据,网络监听、侧信道技术或内存扫描等技术有可能获得此类敏感信息,进而假冒用户完成认证。
动态口令卡
- 内置密码芯片
- 通过根据时间或使用次数的变化而产生变化的口令完成认证。
- 优点
- 动态性
- 不确定性
- 一次性
- 抗窃听性
- 优点
基于生物特征的身份鉴别技术
采用每个人独一无二的生物特征来验证用户身份的技术。
依赖于特定的硬件设备来提取生物特征,且准确性稳定性与传统认证技术相比较低。
此类技术通常用于安全级别较高的场所。
主流的身份鉴别协议
Kerberos
- MIT研发的面向客户端/服务器的计算机网络认证协议,依赖于可信的第三方来生成票据实现安全认证。
- 认证过程
- 客户端发送登录请求到KDC中的AS/认证服务器
- AS发送经过sk1加密的客户端/TGS会话密钥k1以及sk2加密的认证许可票据TGT
- 客户端向TGS票据服务器发送经k1加密的认证子以及TGT票据
- TGS向客户端回复k1加密的客户端/SS会话密钥k2以及sk3加密的客户端访问服务的票据CST
- 客户端向SS发送CST以及k2加密的新认证子
- SS向客户端回复k2加密的时间戳,客户端验证时间戳正确性
RADIUS
一种分布式的、C/S架构的信息交互协议,为用户提供集中式AAA管理,即认证、授权、账户
NAS作为客户端,RADIUS作为服务器
认证过程
- 用户将身份鉴别信息发送给NAS
- NAS再将鉴别信息发送到RADIUS服务器
- RADIUS服务器通过用户的身份信息验证后将该用户的相关配置信息返回到NAS
- NAS根据返回的配置信息为用户提供服务
OpenID
- 去中心化的以用户为中心的数字身份识别框架
- OpenID框架的核心是OpenID身份鉴别协议,参与方包括依赖方RP、终端用户、OpenID提供方
- 协议流程:
- 依赖方向OpenID提供方发送认证终端用户请求。
- OpenID提供方认证终端用户,并向终端用户获取依赖方访问其数据的授权。
- 依赖方可以发送带有访问令牌的请求到OpenID提供方的用户信息端点。
- 用户信息端点返回一个ID令牌,该令牌包含关于终端用户的声明。
SAML
安全性断言标记语言,基于XML的标准,用于不同安全域之间交换认证和授权数据
角色
主体,即用户本身。
服务提供者IDP(Identity Provider)创建、维护和管理主体的身份信息,并向联邦内的其他服务提供者提供主体身份验证,即身份认证服务器。
服务提供者SP(Service Provider)通过解析IDP发出的身份认证断言,验证主体身份认证信息后,给主体或联邦内其他系统提供服务,即应用系统。
FIDO
- 不依赖于口令来执行身份鉴别的协议规范,使用标准的生物信息和硬件密钥代替口令,实现无口令登录
- 协议使用标准的公钥密码技术提供强认证
- 协议流程:
- 网络服务注册阶段客户端设备创建新公私密钥对
- 客户端保留私钥并在网络服务中注册公钥
- 身份鉴别时客户端通过私钥签名挑战消息方式向网络服务证明客户端拥有私钥,从而证明客户端的身份
- 认证方式
- 通用授权框架UAF
- 通用第二因素认证U2F
典型身份鉴别系统解决方案
单点登录Single Sign On
- 身份认证机制,访问多个相互关联但又独立的系统或应用时,授权用户只需进行一次登录认证即可访问所有关联的系统或应用
- 单点登录实现方案
- 共享身份验证
- 代理身份验证
- 基于令牌的身份验证
多因素认证
分类
- 静态口令+动态口令认证
- 静态口令+动态口令令牌
- 静态口令+动态口令卡
- 静态口令+数字证书认证
- 静态口令+手机验证码认证
联合身份认证
- 将身份认证委托给外部身份提供者来完成认证的机制。
- 将用户信息分不到各个权威(可信任的)身份提供者,由各个身份提供者分别管理自己用户群体的身份信息
- SAML标准定义了身份提供者IdP和服务提供者SP
- SAML规范
- 断言与协议:定义XML格式断言的语法、语义以及请求和响应协议。
- 认证断言:消息发布者已认证特定主体。
- 授权断言:主体被给予访问一或多个资源的特别许可。
- 决定断言:报告一个具体授权请求的结果。
- 属性断言:特定主体具有特定属性。
- 断言与协议:定义XML格式断言的语法、语义以及请求和响应协议。
- 绑定与配置文件:SAML请求和响应消息到底层通信协议的映射。
- 一致性规范:设置了基本标准,有利于提高互操作性和兼容性。
- 安全和保密问题
PKI技术
PKI基本概念
PKI(Public Key Infrastructure)公开密钥基础设施,利用公开密钥技术构建、解决网络安全问题、普遍适用的基础设施。
为实体发证西贡,PKI核心是将实体的身份信息和公钥信息绑定在一起,利用认证机构CA的签名来保证绑定关系不被破坏,从而形成一种数据结构,数字证书.
PKI系统组成
- 终端实体
- PKI证书使用者
- 终端用户或系统(PKI证书主体)
- 认证机构CA
- 证书和证书撤销列表的签发者,PKI系统安全的核心
- 注册机构RA
- 提供与终端实体直接交互的物理和人员接口
- 证书撤销列表发布者
- 证书资料库
- 存储证书和CRL的的一个系统或者分布式系统,向终端实体提供发布证书和CRL的方法。
- 数字证书与密钥对
- 加密证书、签名证书
- 加密密钥对、签名密钥对
- 密钥管理中心
数字证书
主体信息和主体的公钥通过CA的数字签名绑定在一起的数据结构,具有标准格式、可验证。
目前使用较多的有X.509证书,构成
- 版本号
- 序列号
- 签名
- 颁发者
- 有效期
- 主体
- 主体公钥信息
- 颁发者唯一标识
- 主体唯一标识
- 扩展
PKI部署与应用
PKI提供的服务
PKI提供的核心/基本服务
- 认证
- 完整性
- 密钥管理
- 简单机密性
- 非否认性
PKI支持的安全服务
PKI应用
- 安全电子邮件
- 安全web服务
- VPN应用
- 其他应用
- 电子商
- 电子政务
PKI的部署
- 证书认证系统为组织提供服务形式
- 为组织中的资源发放数字证书
- 提供技术为组织建立专用的PKI系统
- 考虑因素
- 组织信任体系目标
- 资源引进和资源外包
- 安全应用
- 资金和技术投入
数字版权保护与数字证据
数字版权保护系统
数字版权保护系统DRM是指对数字知识产权的控制与管理,主要为了保护数字版权不受侵害,防止非法复制和篡改。
数字版权保护系统分类
- 基于客户端/服务器的数字版权管理系统
- 优点
- 集中管理内容的提供源
- 便于用过管理来研究用户状况
- 缺点
- 随着使用人数增多,服务器需要验证客户和上传的解密密钥数量增多,可能导致服务器崩溃。
- 优点
- 基于P2P的数字版权管理系统
- 优点
- 通过DRM服务器给予版权内容登记服务,任何人都可以成为数字内容的提供者
- 优点
数字版权保护系统中的密码技术
- 对称与非对称
- 数字签名和单向散列函数
- 数字证书
数字水印技术
将某些有用的永久性信息嵌入到多媒体文件内容中的技术,可以用来实现所有权保护、版权证明、数据可靠性保护、数字拷贝追踪以及访问控制等
特征
无需带外传输
透明性
鲁棒性
安全性
分类
鲁棒水印和脆弱水印
公有水印和私有水印
对称水印和非对称水印
隐藏水印和非隐藏水印
应用
主要应用于以下方面
版权保护
拷贝保护
拷贝追踪
隐私保护策略
隐私保护不当导致
- 身份泄漏
- 连接泄漏
- 内容泄漏
社交网络的数据分层
- registration-layer
识别用户身份信息
- networking-layer
社交网络请求发送的数据,用于建立关系网
- content-layer
用户在网络中分发信息的实际内容
- activity-layer
用户在网络上的活动信息
容灾与数据备份
定义
灾难发生后能够恢复灾难前的业务
目的
减少灾难事件发生的可能性以及限制灾难对关键业务流程所造成的影响的一系列行为。
实质就是保证信息系统的业务持续性。
信息系统容灾方案
- 灾难类型
- 恢复时间
- 恢复程度
- 实用技术
- 成本
容灾系统目标
- 恢复点目标RPO
灾难发生后数据恢复程度和恢复时数据未丢失、可正确使用的数量
- 恢复时间目标RTO
灾难发生后从信息系统宕机导致业务停顿之时开始到信息系统恢复至可支持各部门正常运转使用为止的时间段
- 网络恢复目标NRO
网络业务恢复的时间(网点到数据中心重新建立通信的时间)
- 服务降级目标SDO
灾难发生后业务的恢复程度
容灾与数据备份
- 数据备份是容灾的基础
- 容灾是一个系统工程
避免传统冷备份的先天不足,能在灾难发生时全面及时恢复系统
容灾等级
SHARE容灾等级划分
第0级本地冗余备份
即备份管理软件+存储介质方式,无异地备份,备份恢复等操作全部在本地进行,无意外事故处理方案以及灾难恢复计划
第1级数据介质转移
有数据备份但无备用系统
特点是异地存放、安全保管、定期更新
关键数据保存在本地存储介质,然后送往异地保存,异地无可用备份中心、备份数据处理系统和备份网络通信系统、同时未有灾难恢复计划。
该方案恢复时间依赖于硬件平台能够将从异地运送到本地的时间
第2级应用系统冷备
有数据备份与备用系统
特点是异地介质存放、系统硬件冷备份
第3级数据电子传送
主要方式是通过电子链接进行网络传输、自动备份、磁盘镜像复制
网络传输代替了交通工具运送备份数据,提高备份频率和灾难恢复的速度。
第4级应用系统温备
基于磁盘的解决方案,让备份中心一直处于活动状态
特点是网络传送、流水日志、系统准工作状态
备份数据采用自动化备份管理软件定时备份到异地
第5级应用系统热备
关键在于交易的完整性
特点是在线实时传送、系统镜像状态、人机切换
数据在两个站点之间互相镜像,远程异步提交实现同步。
第6级数据零丢失
该级别的方案目的是为了达到数据零丢失和自动系统故障切换
特点是在线实时镜像、作业动态分配、自动切换
价格最昂贵、恢复速度最快的方案,灾难恢复的最高级别
该方案使用专用存储网络将关键数据同步镜像至备份中心,数据要经过本地和备份中心双重确认才能看作有效数据。
本地和远程数据更新时,利用双重在线存储和完全网络切换能力,保证数据完全一致性和存储、网络环境具有应用的自动切换能力,发生灾难后备用站点启用全部数据,应用自动进行接管。
我国容灾等级划分
2005年4月国务院信息化工作办公室《重要信息系统灾难恢复指南》
第1级基础支持
- 每周一次完全数据备份
- 备份介质场外存放
- 有符合存放介质条件的场地
- 有介质提取、验证和专门存储管理制度
- 按介质特性对备份数据进行定期的有效性验证
- 有响应的经过完整测试和演练的灾难恢复预案
第2级备用场地支持
- 灾难发生时能在预定时间内调配所有需要的数据处理设备到场
- 灾难发生时能在预定时间内调配所需的通信线路和网络设备到位
- 有满足信息系统和关键业务功能恢复运作要求备用场地
- 有备用场地管理制度
- 与相关厂商有符合灾难恢复时间要求的紧急供货协议
- 与相关运营商有符合恢复时间要求的备用通信线路协议
- 有相应的经过完整测试和演练的灾难恢复预案
第3级电子传输和部分设备支持
- 每天多次定时批量将关键数据通过通信网络传送至备用场地
- 在备用场地有专职计算机机房运维管理人员
- 有备用的机房管理制度
- 有备用数据处理设备硬件维护管理制度
- 有电子传输设备系统运行管理制度
- 有相应的经过完整测试和演练的灾难恢复预案
第4级电子传输和完整设备支持
- 配备灾难恢复所需的全部数据处理设备并处于就绪或运行状态
- 配备灾难恢复所需的网络设备并处于就绪状态
- 有满足关键业务功能运作要求的场地
- 所有备用场地保持7*24小时的运作,并且有7*24小时专职计算机机房运维人员
- 有专职数据备份技术支持人员
- 有专职硬件、网络技术支持人员
- 有相应的经过完整测试和演练 的灾难恢复预案
第5级实时数据传输和完整设备支持
- 采用远程数据复制技术,利用通信网络将关键数据实时复制到备份场地
- 具备通信网络自动或者集中切换能力
- 7*24小时专职数据备份技术支持人员
- 7*24小时专职硬件、网络技术支持人员
- 有实时数据备份系统运行管理制度
- 有相应的经过完整测试和演练的灾难恢复预案
第6级数据零丢失和远程集群支持
- 远程实时备份、实现数据零丢失
- 备用数据处理系统具备与生产数据处理系统一致的处理能力并完全兼容
- 应用软件是集群的,可实时无缝切换
- 具备远程集群系统的实时监控和自动切换能力
- 配备与生产系统相同等级的通信线路和网络设备
- 备用网络处于运行状态
- 最终用户可通过网络同事接入主、备中心
- 7*24小时专职操作系统、数据库和应用软件技术支持人员
- 有操作系统、数据库和应用软件技术运行管理制度
- 有相应的经过完整测试和演练的灾难恢复预案
以上六个级别的内容均在前一级别内容的基础上新增。
容灾技术
应用恢复技术
- 通过负载均衡为系统提供动力,同时为用户提供无中断的操作环境运行关键业务的应用程序
- 事先编写脚本实现自动接管
- 按预案手工实现站点接管
网络恢复技术
- 动态网络路由
- 通过标准的基于路由器技术
数据恢复技术
硬件复制技术:采用硬件进行远程数据复制
采用软件系统实现远程的实时数据复制,且实现远程的全程高可用体系
数据备份
数据备份的根本目的是重新利用,备份工作的核心是恢复
数据备份类型
按数据类型分类
- 系统数据备份:操作系统和应用程序的备份
- 用户数据备份:与用户个人相关的应用数据
按数据备份系统结构分类
- 基于主机备份
- 基于局域网备份
- 基于存储局域网备份
- 无服务器备份
- 零影响备份
- 基于广域网备份
- SAN和NAS结合备份
数据备份策略
- 完全备份:全量备份
- 增量备份:新增内容备份
- 累计备份:上一次全备之后备份更改过后的全部数据
- 混合应用:前三种备份混合进行