系统的安全性和保密性设计.doc

8章 系统的安全性和保密性设计8.1 信息安全概述8.1.1 信息安全概念的发展8.1.2 信息安全研究的目标8.1.3 信息安全的常用技术8.2 访问控制技术8.2.1 访问控制的实现方法8.2.2 访问控制策略8.2.3 Bell.Lapadula模型8.3 数据机密性8.3.1 对称密钥加密8.3.2 非对称密钥加密8.3.3 门限密码学8.3.4 公开密钥基础设施8.4 数据完整性8.4.1 Biba完整性模型8.4.2 杂凑函数与消息摘要8.5 通信与网络的安全性8.5.1 网络安全层次模型8.5.2 通信与网络安全技术8.5.3 防火墙技术8.6 安全管理与安全工程8.6.1 安全管理的问题8.6.2 信息安全标准8.6.3 安全管理模型8.6.4 安全管理策略8.6.5 安全管理框架8.6.6 安全管理系统实现的功能8.6.7 系统安全工程例如访问控制和授权、敏感数据的适当处理、数据和存储器访问的适当使用，以及加密方法。一些安全性需求不是非功能的需求，如所实施的加密类型。另外，许多安全性需求是更直接地面向用例的，并且需要定义主要场景，以及定义备选路径和异常路径。在没有将功能的和非功能的需求适当地定义及并人软件中的情况下，编码错误和设计缺陷会表现出关键的信息和操作处于危险。我们应该像对待其他的需求那样处理安全性需求，并将安全性需求划分出优先级，设定范围，同时作为整体用例和功能需求的一部分进行管理。5、软件安全是一项功能吗?软件漏洞是一个缺陷吗?软件安全可以简单地看做是软件产品或系统的另外一项功能。软件测试员可能会负责测试软件的整个安全性，或者可能仅仅负责测试被分配测试的功能是安全的。软件测试员不需要拿到一份清楚明白地定义软件安全性是如何实现的产品说明书。软件测试员也不能假设威胁模型分析是完全和准确的。技巧：测试安全缺陷是失效性测试行为，也常常覆盖产品中没有被完全理解和说明的部分。6、了解缓冲区溢出任何软件产品中都有一个安全问题缓冲区溢出。数据引用错误既使用没有被正确申明和初始化的变量、常数、数组、字符串或记录引起的缺陷。缓冲区溢出就是这种缺陷。由于字符串的不正确处理引起的缓冲区溢出是目前为止最为常见的一种代码编写错误，其结果是导致安全漏洞。7、使用安全的字符串函数通用C和C+函数中容易引起缓冲区溢出的编码错误。这些函数自身并不差，但是要安全的使用它们，需要在程序员这边进行更为深入的错误检测。如果忽略了这种错误检测，代码就会有安全漏洞。衡量一下这种疏忽带来的风险，最好还是开发或改进一组新的函数，即用强壮、完全测试通过的、文档齐全的新函数集替代这些容易引起问题的函数集。这些新的函数，叫做安全字符串函数(Safe String Functions)，在windowsXP的SP1版本、最新的windows DDK和平台SDK中已经具有。常用的操作系统、编译器，处理器也具有其它很多实现了安全字符串的商用的或免费的库。使用新函数的好处(部分)：(1)每个函数接收目标缓冲的长度作为输入。这样函数就能确保在写入时不会超过缓冲区的长度。(2)函数空字符中止所有的输出字符串，即使操作截断了预计的后果。(3)所有函数返回一个NTSTATUS值，该值只有一个可能成功的代码。调用函数能轻易地确定函数的执行是否成功。(4)每个都提供版本。一个支持单字节的ASCII字符，另一个支持双字节的Unicode字符。软件安全性标准一、安全目标Ø 预防：Ø 跟踪审计：从数据库系统本身、主体和客体三个方面来设置审计选项，审计对数据库对象的访问以及与安全相关的事件。数据库审计员可以分析审计信息、跟踪审计事件、追查责任。并且对系统效率的影响减至最小。Ø 监控：能够对针对软件或数据库的实时操作进行监控，并对越权行为或危险行为发出警报信息。Ø 保密性和机密性：可防止非授权用户的侵入和机密信息的泄漏。Ø 多级安全性：指多级安全关系数据库在单一数据库系统中存储和管理不同敏感性的数据，同时通过自主访问控制和强制访问控制机制保持数据的安全性。Ø 匿名性：Ø 数据的完整性：可防止数据在异常情况下保证完整性。二、技术的选择Ø 分布性平台对象的选择Ø 操作系统的选择Ø 认证技术三、代码的安全性Ø 隐晦的安全性：代码模糊、紧包软件的安全性Ø 多眼现象：脆弱性检测、其他Ø 密码算法Ø 特洛依木马四、安全的原则Ø 加固最脆弱的连接：进行风险分析并提交报告，加固其薄弱环节。Ø 实行深度防护：利用分散的防护策略来管理风险。Ø 失败安全：在系统运行失败时有相应的措施保障软件安全。Ø 最小优先权：原则是对于一个操作，只赋予所必须的最小的访问权限，而且只分配所必 须的最少时间。Ø 分割：将系统尽可能分割成小单元，隔离那些有安全特权的代码，将对系统可能的损害减少到最小。Ø 简单化：软件设计和实现要尽可能直接, 满足安全需求的前提下构筑尽量简单的系统, 关键的安全操作都部署在系统不多的关键点（choke points）上。Ø 保密性：避免滥用用户的保密信息。五、软件稽核Ø 体系结构的安全性Ø 实现的安全性分析源代码的稽核使用RATS（remote access Trojan）软件扫描六、缓冲区溢出Ø 防止内部缓冲区溢出的实现Ø 防止输入溢出的实现Ø 防止堆及堆栈溢出的实现七、访问控制Ø UNIX文件属性及归属程序接口Ø WINNT细化权限及分割八、密码学的应用Ø 使用密码学的目标：机密性、完整性、可鉴别性、抗抵赖性。Ø 密码算法（对称和非对称）：考虑算法的基本功能、强度、弱点及密钥长度的影响。Ø 密钥管理的功能：生成、分发、校验、撤消、破坏、存储、恢复、生存期和完整性。Ø 密码术编程：加密、散列运算、公钥密码加密、多线程、加密cookieØ 私钥算法、公钥算法及PKIØ 一次性密码、分组密码等九、信任管理和输入的有效性Ø 信任的可传递Ø 防止恶意访问Ø 安全调用程序Ø 网页安全Ø 客户端安全Ø 格式串攻击十、口令认证Ø 口令的存储Ø 添加用户Ø 口令认证Ø 选择口令Ø 数据库安全性Ø 访问控制（使用视图）Ø 保护域Ø 抵抗统计攻击十一、客户端安全性Ø 版权保护机制（许可证文件、对不可信客户的身份认证）&