网络与信息安全：02计算机系统安全概述

计算机系统安全概述课程内容信息安全历史、概念和关系安全攻击示例安全模型风险管理安全体系重要安全标准ISO的定义：为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和显露。信息安全概念确保以电磁信号为主要形式的，在计算机网络化系统中进行获取、处理、存储、传输和利用的信息内容，在各个物理位置、逻辑区域、存储和传输介质中，处于动态和静态过程中的机密性、完整性、可用性、可审查性和抗抵赖性的，与人、网络、环境有关的技术和管理规程的有机集合。

——戴宗坤罗万伯《信息系统安全》信息系统安全概念信息安全的发展历史信息安全的发展经历了三个历史时期：通信安全（COMSEC）保密性。信息安全（INFOSEC）保密性、完整性、可用性。信息保障（IA）保密性、完整性、可用性、可控性、不可否认性Confidentialityintegrityavailability方滨兴院士方滨兴院士方滨兴院士信息安全内容不统一：ISO/IEC17799ISO/IEC15408ISO/IECTR13335ISO7498-2。。。ISO/IEC17799信息安全内容:保密性（Confidentiality)完整性（Integrity)可用性（Availability)ISO/IECTR13335-1安全内容:Confidentiality (保密性)Integrity (完整性)Availability (可用性)Non-repudiation (不可抵赖性)Accountability (可追踪性)Authentity&Reliability(真实性和可靠性)ISO7498-2信息安全服务:认证访问控制保密性完整性不可否认性方滨兴院士方滨兴院士保证机密信息不会泄露给非授权的人或实体，或供其使用的特性案例保密性防止信息被未经授权的篡改，保证真实的信息从真实的信源无失真地到达真实的信宿案例完整性保证信息及信息系统确实为授权使用者所用，防止由于计算机病毒或其它人为因素造成的系统拒绝服务，或为敌手可用，信息系统能够在规定的条件下和规定的时间内完成规定的功能案例可用性能对通信实体身份的真实性进行鉴别案例身份真实性能够控制使用资源的人或实体的使用方式案例系统可控性建立有效的责任机制，防止实体否认其行为案例不可抵赖性对出现的网络安全问题提供调查的依据和手段案例可审查性安全要素：资产弱点威胁风险安全控制信息安全认识信息安全风险管理:以资产为核心信息安全管理：以风险管理为基础ISO/IEC15408：安全概念信息安全风险评估指南：安全概念NISTSP800-33安全目标可用性完整性保密性可追踪性保证性安全目标的依赖关系安全服务模型可用性服务完整性服务保密性服务可追踪性服务保证服务课程内容信息安全历史、概念和关系安全攻击示例安全模型风险管理安全体系重要安全标准攻击过程示例计算机网络有哪些安全问题？保密篡改假冒破坏可用性SecurityAttacks案例一运用流量分析软件窃听口令利用网络审计日志类系统获取访问历史华为中兴案例FBI-IPSec案例案例二网站、游戏不能访问了没有破坏主机游戏网站案例案例三完整性？鑫诺卫星被攻击案例案例四假冒ARP欺骗IP欺骗百度事件案例五可用性DoS/DDoS潍坊案例Introduction44为什么?Originallyforagroupofmutuallytrustingusersattachedtoatransparentnetwork.Bydefinition,noneedforsecurityMutualtrustBydefault,cansendapackettoanyotheruserIPsourceaddresstakenbydefaulttobetrueToday,communicationbetweentrustedusersistheexceptionratherthantherule网络协议存在设计安全问题举例：ARP及ARP欺骗ARPARP欺骗演示1演示2攻击过程总结踩点攻击留下暗门消灭踪迹（没做好）案例\服务器安全：Unix系统攻击和防范_服务器_eNet硅谷动力.htm可能破坏？讨论攻击分析攻击者动机能力和机会攻击种类攻击者恶意国家黑客恐怖分子/计算机恐怖分子有组织犯罪其它犯罪成员国际新闻社工业竞争不满雇员非恶意粗心或未受到良好培训的雇员动机获取机密或敏感数据的访问权跟踪或监视目标系统的运行（跟踪分析）破坏目标系统的运行窃取钱物、产品或服务获取对资源的免费使用使目标陷入窘境攻克可击溃安全机制的技术挑战攻击风险暴露其进行其它类型攻击的能力打草惊蛇，尤其是当可获取的攻击利益巨大时引起目标系统的防范遭受惩罚（如罚款、坐牢等）危及生命安全攻击者愿意接受的风险级别取决于其攻击动机能力和机会能力因素施展攻击的知识和技能能否得到所需资源机会系统的漏洞、错误配置、未受保护环境安全意识薄弱我们不可能削弱攻击者的能力，但可以减少其攻击机会攻击种类被动攻击主动攻击临近攻击内部人员攻击分发攻击攻击对策攻击种类典型对策被动攻击VPN，网络加密、使用受到保护的分布式网络主动攻击边界保护（如防火墙）、基于身份认证的访问控制、受保护的远程访问、质量安全管理、病毒检测、审计、入侵检测临近攻击内部人员攻击安全意识培训、审计、入侵检测、安全策略及强制实施、基于计算机和网络组件中信任技术对关键数据/服务器/局域网实施专业的访问控制、强的身份标识和鉴别技术分发攻击加强对过程其间的配置控制、使用受控分发、签名软件、访问控制课程内容信息安全历史、概念和关系安全攻击分析安全模型风险管理安全体系重要安全标准基于时间的PDR安全模型

P—Protection、D—Detection、R—React

PtDtRt时间Pt>Dt+Rt，则该系统是安全的Pt<Dt+Rt，则该系统是不安全的,且Et=(Dt+Rt)-Pt为安全暴露时间安全策略防护

检测响应所谓P2DR保护Protect检测Detect反应React恢复RestoreIA所谓PDRRWPDRRC模型检测D恢复R保护P响应R人操作技术预警W反击C模型的价值用户： 提高安全认识厂商:围绕利益小结安全概念安全认识安全模型课程内容信息安全历史、概念和关系安全攻击示例安全模型风险管理安全体系重要安全标准风险风险是可能性和影响的函数，前者指给定的威胁源利用一个特定的潜在脆弱性的可能性，后者指不利事件对机构产生的影响。为了确定未来的不利事件发生的可能性，必须要对IT系统面临的威胁、可能的脆弱性以及IT系统中部署的安全控制一起进行分析。影响是指因为一个威胁攻击脆弱性而造成的危害程度。风险管理信息安全某种程度上就是风险管理过程。风险管理过程包含哪些？风险管理过程风险评估风险减缓评价与评估风险评估风险评估是风险管理方法学中的第一个过程。机构应使用风险评估来确定潜在威胁的程度以及贯穿整个SDLC中的IT相关风险。该过程的输出可以帮助我们确定适当的安全控制，从而在风险减缓过程中减缓或消除风险。风险评估步骤风险减缓课程内容信息安全历史、概念和关系安全攻击示例安全模型风险管理安全体系重要安全标准ISO7498-2：信息安全体系结构信息处理系统开放系统互连基本参考模型第二部分：安全体系结构1989.2.15颁布，确立了基于OSI参考模型的七层协议之上的信息安全体系结构五类服务认证、访问控制、保密性、完整性、不可否认性八种机制加密、数字签名、访问控制、数据完整性、认证交换、业务流填充、路由控制、公证OSI安全管理五大类安全服务认证对等实体认证数据起源认证访问控制机密性连接机密性无连接机密性选择字段机密性业务流机密性完整性可恢复的连接完整性不可恢复的连接完整性选择字段的连接完整性无连接完整性选择字段的无连接完整性抗否认数据起源的抗否认传递过程的抗否认八类安全机制加密数字签名访问控制数据完整性认证交换业务流填充路由控制公证另有可信功能模块安全标记事件检测安全审计追踪安全恢复机制与实现的安全服务

机制服务加密数字签名访问控制数据完整性认证交换业务流填充路由控制公证对等实体认证√√√数据起源认证√√访问控制服务√连接机密性√√无连接机密性√√选择字段机密性√业务流机密性√√√机制与实现的安全服务（续）

机制服务加密数字签名访问控制数据完整性认证交换业务流填充路由控制公证可恢复的连接完整性√√不可恢复的连接完整性√√选择字段的连接完整性√√无连接完整性√√√选择字段的无连接完整性√√√数据起源的抗否认√√√传递过程的抗否认√√√“√”表示机制适合提供该种服务，空格表示机制不适合提供该种服务。安全服务与层之间的关系

分层服务物理层链路层网络层传输层会话层表示层应用层对等实体认证√√√数据起源认证√√√访问控制服务√√√连接机密性√√√√√√无连接机密性√√√√√选择字段机密性√√业务流机密性√√√安全服务与层之间的关系（续）

分层服务物理层链路层网络层传输层会话层表示层应用层可恢复的连接完整性√√不可恢复的连接完整性√√选择字段的连接完整性√√无连接完整性√√√选择字段的无连接完整性√数据起源的抗否认√传递过程的抗否认√“√”表示该服务应该在相应的层中提供，空格表示不提供。IATFInformationAssuranceTechnicalFramework美国国家安全局深层防御战略（Defense-In-Depth）深层防御的技术层面网络传输设施主机互联网边界路由拨入服务器网络边界深层防御战略的含义层次化、多样性人、操作、技术网络边界、网络、主机预警、保护、检测、反应、恢复…在攻击者成功地破坏了某个保护机制的情况下，其它保护机制能够提供附加的保护。采用层次化的保护策略并不意味着需要在网络体系结构的各个可能位置实现信息保障机制，通过在主要位置实现适当的保护级别，便能够依据各机构的特殊需要实现有效保护。课程内容信息安全历史、概念和关系安全攻击示例安全模型风险管理安全体系重要安全标准标准的重要性知识性：了解安全背景指南性：指导实践沟通性：。。。彩虹系列Therainbowseriesisalibraryofabout37documentsthataddressspecificareasofcomputersecurity.Eachofthedocumentsisadifferentcolor,whichishowtheybecametoberefereedtoastheRainbowSeries.TheprimarydocumentofthesetistheTrustedComputerSystemEvaluationCriteria(5200.28-STD,OrangeBook),datedDecember26,1985.ThisdocumentdefinesthesevendifferentlevelsoftrustthataproductcanachieveundertheTrustedProductEvaluationProgram(TPEP)withinNSA.Someofthetitlesinclude,PasswordManagement,Audit,DiscretionaryAccessControl,TrustedNetworkInterpretation,ConfigurationManagement,IdentificationandAuthentication,ObjectReuseandCovertChannels.AnewInternationalcriteriaforsystemandproductevaluationcalledtheInternationalCommonCriteria(ICCC)hasbeendevelopedforproductevaluations.TheTCSEChasbeenlargelysupercededbytheInternationalCommonCriteria,butisstillusedforproductsthatrequireahigherlevelofassuranceinspecificoperationalenvironments.Mostoftherainbowseriesdocumentsareavailableon-line.

TCSEC在TCSEC中，美国国防部按处理信息的等级和应采用的响应措施，将计算机安全从高到低分为：A、B、C、D四类八个级别，共27条评估准则随着安全等级的提高，系统的可信度随之增加，风险逐渐减少。TCSEC四个安全等级：无保护级自主保护级强制保护级验证保护级TCSECD类是最低保护等级，即无保护级是为那些经过评估，但不满足较高评估等级要求的系统设计的，只具有一个级别该类是指不符合要求的那些系统，因此，这种系统不能在多用户环境下处理敏感信息TCSECC类为自主保护级具有一定的保护能力，采用的措施是自主访问控制和审计跟踪

一般只适用于具有一定等级的多用户环境具有对主体责任及其动作审计的能力TCSECC类分为C1和C2两个级别:自主安全保护级（C1级)控制访问保护级（C2级）

TCSECB类为强制保护级主要要求是TCB应维护完整的安全标记，并在此基础上执行一系列强制访问控制规则B类系统中的主要数据结构必须携带敏感标记系统的开发者还应为TCB提供安全策略模型以及TCB规约应提供证据证明访问监控器得到了正确的实施TCSECB类分为三个类别：标记安全保护级（B1级）结构化保护级（B2级）安全区域保护级（B3级）

TCSECA类为验证保护级A类的特点是使用形式化的安全验证方法，保证系统的自主和强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息为证明TCB满足设计、开发及实现等各个方面的安全要求，系统应提供丰富的文档信息TCSECA类分为两个类别：验证设计级（A1级）超A1级ISO/IEC15408IT安全评估通用准则(CommonCriteriaforInformationTechnologySecurityEvaluation)

ISO/IECJTC1

SC27WG3ISO/IEC15408的历史1985年美国国防部可信计算机评价准则（TCSEC）1991年美国联邦政府评价准则（FC）1990年欧洲信息技术安全性评价准则（ITSEC）1995年国际通用准则（CC）1990年加拿大可信计算机产品评价准则（CTCPEC）1999年CC成为国际标准（ISO15408）中国国家标准GB/T18336-2001ISO/IEC15408的背景ISO/IECJTC1SC27WG3（国际标准化组织和国际电工委员会的联合技术委员会）

WG1：信息安全有关的需求、服务和指南

WG2：信息安全技术和机制

WG3：信息安全评估标准六国七方共同提出：Canada:CommunicationsSecurityEstablishmentFrance:ServiceCentraldelaSécuritédesSystèmesd’InformationGermany:BundesamtfürSicherheitinderInformationstechnikNetherlands:NetherlandsNationalCommunicationsSecurityAgencyUnitedKingdom:Communications-ElectronicsSecurityGroupUnitedStates:NationalInstituteofStandardsandTechnologyUnitedStates:NationalSecurityAgencyISO/IEC15408的相关组织CCEB:CCEditorialBoard,V1.0CCIB:CCImplememtationBoard,V2.0CCIMB:CCInterpretationsManagementBoard,responsibleforinterpretationsofVersion2.0在ISO中的正式名称是“信息技术安全评价标准”ISO/IEC15408标准的组成包括三个部分：简介和一般模型安全功能要求安全保障要求ISO/IEC15408的作用客户开发人员评估人员第一部分用于了解背景信息和参考。PP的指导性结构。用于了解背景信息，开发安全要求和形成TOE的安全规范的参考。用于了解背景信息和参考目的。PP和ST的指导性结构。第二部分在阐明安全功能要求的描述时用作指导和参考。用于解释功能要求和生成TOE功能规范的参考。当确定TOE是否有效地符合已声明的安全功能时，用作评估准则的强制性描述。第三部分用于指导保证需求级别的确定当解释保证要求描述和确定TOE的保证措施时，用作参考。当确定TOE的保证和评估PP和ST时，用于评估准则的强制描述。要求和规范的导出ISO/IEC17799信息安全管理准则(InformationTechnology–CodeofPracticeforInformationSecurityManagement)

ISO/IECJTC1

SC27,WG1ISO/IEC17799的背景ISO/IECJTC1SC27（国际标准化组织和国际电工委员会的联合技术委员会）

WG1：信息安全有关的需求、服务和指南

WG2：信息安全技术和机制

WG3：信息安全评估标准源于BSI（英国标准学会）的BS7799：7799-1（第一部分）：《信息安全管理准则》7799-2（第二部分）：《信息安全管理系统规范》。ISO/IEC17799目的为信息安全管理提供建议，供那些在其机构中负有安全责任的人使用。它旨在为一个机构提供用来制定安全标准、实施有效的安全管理时的通用要素，并得以使跨机构的交易得到互信ISO/IEC17799版本对比ISO/IEC17799:2005较早期版本做了一定的修订，对原有的11个控制进行了修改，保留了116个原有控制，增加了17个新的控制（共计133个控制），增加了8个新的控制目标（共计39个控制目标），5个控制目标进行了重新的调整。ISO/IEC2700X系列标准2005年10月，BS7799-2《信息安全管理体系规范》成功升级为国际标准，编号为ISO/IEC27001。ISO/IEC27001是信息安全管理体系（ISMS）的规范说明，它解释了如何应用ISO/IEC17799。其重要性在于它提供了认证执行的标准，且包括必要文档的列表。ISO/IEC17799则同时被国际标准化组织重新编号为ISO/IEC27002。它提供了计划和实现流程的指导，该标准也提出了一系列的控制（安全措施）。GBT22080-2008《信息技术安全技术信息安全管理体系要求》（等同采用ISO/IEC27001:2005）GBT22081-2008《信息技术安全技术信息安全管理实用规则》（代替GB/T19716-2005，等同采用ISO/IEC27002:2005）ISO/IEC2700X系列标准过程方法ISO27001采用过程方法，组织需要对很多行为加以确定和管理，以使其有效作用。ISMS的PDCA模型Plan,Do,Check,Act适用于所有ISMS过程的结构中ISO/IEC2700X要求组织应该在整体业务活动中且在所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的ISMS，并采用PDCA模型。ISO/IEC2700X安全控制目标ISO/IECTR13335IT安全管理指南

(InformationTechnology-GuidelinesforManangementofITSecurity)

ISO/IECJTC1

SC27,WG1ISO/IECTR13335的背景ISO/IECJTC1SC27（国际标准化组织和国际电工委员会的联合技术委员会）

WG1：信息安全有关的需求、服务和指南

WG2：信息安全技术和机制

WG3：信息安全评估标准GuidelinesfortheManagementofITSecurity(GMITS)：信息技术安全管理方针TR:TechnicalReport(技术报告)ISO/IECTR13335为IT安全管理方面提供指南而非解决方案定义和描述IT安全管理关联的概念标识IT安全管理和一般IT管理的关系提供能用于解释IT安全的一些模型为IT安全管理提供一般性指南SSE-CMM

系统安全工程-能力成熟模型

(SystemsSecurityEngineering-CapabilityMaturityModel)

SSE-CMM的背景SSE-CMM起源于1993年4月美国国家安全局(NSA)对当时各类能力成熟模型(CMM)工作状况的研究以判断是否需要一个专门应用于安全工程的CMM。在这个构思阶段，确定了一个初步的安全工程CMM(strawmanSecurityEngineeringCMM)作为这个判断过程的基础。1995年1月，各界信息安全人士被邀请参加第一届公开安全工程CMM工作讨论会。来自60多个组织的代表肯定了这种模型的需求。由于信息安全业界的兴趣，在会议中成立了项目工作组，这标志着安全工程CMM开发阶段的开始。项目工作组的首次会议在1995年3月举行。通过SSE-CMM指导组织、创作组织和应用工作组织的工作，完成了模型和认定方法的工作。1996年10月出版了SSE-CMM模型的第一个版本，1997年4月出版了评定方法的第一个版本。为了验证这个模型和评估方法，从1996年6月到1997年6月进行许多实验项目。这些实验项为出版的模型和评估方法1.1版提供了宝贵的数据。在实验项目中，模型的第一个版本用于评估了两个大型系统集成商，两个服务供应商和一个产品厂商。实验项目涉及到为验证这个模型的各种组织机构，其中包括：不同规模的组织；合同驱动系统开发的组织和市场驱动产品开发的组织；高开发保证要求的组织和低开发保证要求的组织；提供开发、实施和服务的组织。1997年7月，召开了第二届公开系统安全工程CMM工作会议。这次会议主要涉及到模型的应用，特别在采购，过程改进，产品和系统质量保证等方面的应用。这次会议文集可通过SSE-CMM的WEB站点上获得。在这次会议上，确定了需解决得问题并成立了新得项目组织来直接解决这些问题。SSE-CMM的相关组织SSE-CMM项目进展来自于安全工程业界、美国国防部办公室和加拿大通讯安全机构积极参与和共同的投入，并得到NSA的部分赞助和配合。SSE-CMM项目结构包括：指导组评定方法组模型维护组生命期支持组轮廓，保证和度量组赞助，规划和采用组关键人员评审和业界评审

能力成熟模型NISTSP80