计算机系统安全概述

计算机系统安全概述第一页，共五十三页，编辑于2023年，星期一1.计算机系统存在的安全问题6359.42730.51010.1010203040506070被入侵过没有被入侵过不知道过去一年内中国互连网用户计算机被入侵的情况备注：用户是指平均每周使用互连网至少1小时的中国公民2009年7月2009年1月第二页，共五十三页，编辑于2023年，星期一时间发生的主要事件损失1983年“414黑客”。这6名少年黑客被控侵入60多台电脑，1987年赫尔伯特·齐恩（“影子鹰”）闯入美国电话电报公司1988年罗伯特-莫里斯“蠕虫”程序。造成了1500万到1亿美元的经济损失。1990年“末日军团”4名黑客中有3人被判有罪。1995年米特尼克偷窃了2万个信用卡号8000万美元的巨额损失。1998年2月德国计算机黑客米克斯特使美国七大网站限于瘫痪状态第三页，共五十三页，编辑于2023年，星期一时间发生的主要事件损失1998年两名加州少年黑客。以色列少年黑客“分析家查询五角大楼网站并修改了工资报表和人员数据。1999年4月

“ＣＩＨ”病毒保守估计全球有６千万部的电脑受害。1999年北京江民KV300杀毒软件损失260万元。2000年2月

“雅虎”、“电子港湾”、亚马逊、微软网络等美国大型国际互联网网站。损失就超过了10亿美元，其中仅营销和广告收入一项便高达1亿美元。2000年4月闯入电子商务网站的威尔斯葛雷估计导致的损失可能超过三百万美元。2000年10月27全球软件业龙头微软怀疑被一伙藏在俄罗斯圣彼得堡的电脑黑客入侵可能窃取了微软一些最重要软件产品的源代码或设计蓝图。第四页，共五十三页，编辑于2023年，星期一第五页，共五十三页，编辑于2023年，星期一第六页，共五十三页，编辑于2023年，星期一计算机安全影响到国家的安全和主权小小的一块带病毒的芯片，让伊拉克从此蒙受一场战争的屈辱。美国中央情报局采用“偷梁换拄”的方法，将带病毒的电脑打印机芯片，趁货物验关之际换入伊拉克所购的电脑打印机中----------第七页，共五十三页，编辑于2023年，星期一本章学习目标

（1）明确计算机安全的基本概念以及安全的重要性，掌握安全模型。（2）了解计算机信息系统的主要安全法规及体系结构。第八页，共五十三页，编辑于2023年，星期一本章主要内容

KeyQuestions1:计算机系统存在的安全问题2：计算机系统安全的概念3：安全模型4：计算机安全法规与标准5：计算机安全体系结构第九页，共五十三页，编辑于2023年，星期一安全威胁a)硬件的安全隐患；b)操作系统安全隐患；c)网络协议的安全隐患；d)数据库系统安全隐患；e)计算机病毒；f)管理疏漏，内部作案。第十页，共五十三页，编辑于2023年，星期一安全隐患硬件设备的安全隐患CPU:Intel公司在奔腾IIICPU中加入处理器序列号，因此Intel涉嫌干涉个人隐私，但要害问题则是政府机关、重要部门非常关心由这种CPU制造的计算机在处理信息或数据时所带来的信息安全问题，即这种CPU内含有一个全球唯一的序列号，计算机所产生的文件和数据都会附着此序列号，因而由此序列号可以追查到产生文件和数据的任何机器。第十一页，共五十三页，编辑于2023年，星期一安全隐患网络设备：我国计算机网络使用的绝大部分网络设备，如路由器、集线器、交换机、服务器、以及网络软件等都是进口的，其安全隐患不容忽视。一些交换机和路由器具有远程诊断和服务功能，既然可以远程进入系统服务、维修故障，也就可以远程进入系统了解情报、越权控制。更有甚者，国外一著名网络公司以"跟踪服务"为由，在路由器中设下"机关"、可以将网络中用户的包信息同时送一份到其公司总部。第十二页，共五十三页，编辑于2023年，星期一安全隐患b)操作系统安全隐患计算机操作系统历来被美国一些大公司所垄断，但这些操作系统的源程序都是不公开的，在安全机制方面存在着诸多漏洞和隐患。计算机黑客能轻而易举地从"后门"进入系统，取得系统控制权，并危及计算机处理或存储的重要数据。如Windows95存在两千多处缺陷。第十三页，共五十三页，编辑于2023年，星期一安全隐患b)操作系统安全隐患——OS的体系结构造成其本身不安全1、I/O、系统服务程序等都可用打补丁方式进行动态连接。厂商用这种方式升级，而攻击者也用此方法。2、为了实现通用性、可裁剪性，能够安装其他公司的软件包，这些软件包往往是操作系统的一部分，需要与操作系统同样的访问特权，安装这些软件包的“抓钩”程序就是非法攻击者入侵操作系统的陷门。3、网络上进行文件传输、加载将带来安全隐患。另外，能进行远程进程的创建与激活，这为安装“间谍”软件提供了条件。4、操作系统存在隐蔽信道：进程间通过不受强制访问控制保护的通信途径。第十四页，共五十三页，编辑于2023年，星期一安全隐患c)网络协议的安全隐患网络协议也都由美国等国家开发或制定标准。其安全机制也存在先天不足，协议还具有许多安全漏洞，为攻击者提供了方便，如地址欺骗等。Internet应用协议中缺乏认证、保密等措施，也使攻击者比较容易得手。TCP/IP协议安全漏洞：包监视、泄露、地址欺骗、序列号攻击、路由攻击、拒绝服务、鉴别攻击。应用层安全隐患：Finger、FTP、Telnet、E-mail、SNMP、RPC、NFS第十五页，共五十三页，编辑于2023年，星期一安全隐患d)数据库系统安全隐患由于数据库平台全系引进，尽管厂商声称具有安全机制，但对国内用户犹如一个"黑匣子"。数据库的攻击分直接攻击和间接攻击两大类。直接攻击是通过查询以得到几个记录来直接搜索并确定敏感字段的值，最成功的技术是形成一种特定的查询它恰与一个数据项相匹配。间接攻击是依据一种或多种统计值推断出结果。统计攻击通过使用某些明显隐匿的统计量来推导出数据，例如使用求和等统计数据来得到某些数据。第十六页，共五十三页，编辑于2023年，星期一安全隐患e)计算机病毒威胁计算机病毒是一种能够进行自我复制的程序，可以通过多种方式植入计算机中，通过Internet网植入病毒更容易。病毒运行后可能损坏文件、使系统瘫痪，造成各种难以预料的后果。由于在网络环境下，计算机病毒具有不可估量的威胁性和破坏力，因此计算机病毒的防范是网络安全性建设中重要的一环。新的病毒不仅删除文件、使数据丢失，甚至破坏系统硬件，可以造成巨大损失。1998年美国"莫里斯"病毒发作，一天之内使6000多台计算机感染，损失达9000万美元。第十七页，共五十三页，编辑于2023年，星期一安全隐患f)管理疏漏，内部作案。据权威资料片《筑起网上长城》介绍，互联网上的计算机犯罪、黑客攻击等非法行为７０％来自于内部网络。金融、证券、邮电、科研院所、设计院、政府机关等单位几乎是天生的受攻击者，内部人员对本单位局域网的熟悉又加剧了其作案和被外部人勾结引诱的可能性。第十八页，共五十三页，编辑于2023年，星期一2.安全的概念

ISO将“计算机安全”定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。”——静态信息保护。 另一种定义：“计算机的硬件、软件和数据受到保护，不因偶然和恶意的原因而遭到破坏、更改和泄露，系统连续正常运行。”——动态意义描述。

从用户角度：保护利益、隐私；存储、传输安全。从运行管理角度：正常、可靠、连续运行。从国家、社会：过滤有害信息。第十九页，共五十三页，编辑于2023年，星期一入侵者:网络恐怖分子（黑客）、信息战部队现在“黑客”一词在信息安全范畴内的普遍含意是特指对电脑系统的非法侵入者。黑客(hacker)：对技术的局限性有充分认识，具有操作系统和编程语言方面的高级知识，热衷编程，查找漏洞，表现自我。他们不断追求更深的知识，并公开他们的发现，与其他人分享；主观上没有破坏数据的企图。骇客（cracker）：以破坏系统为目标。“红客”honker：中国的一些黑客自称“红客”honker。美国警方：把所有涉及到"利用"、"借助"、"通过"或"阻挠"计算机的犯罪行为都定为hacking。第二十页，共五十三页，编辑于2023年，星期一安全的要素

可用性—availability

可靠性—reliability

完整性—integrity

保密性—confidentiality

不可抵赖性—Non-repudiation第二十一页，共五十三页，编辑于2023年，星期一安全的要素1、保密性：确保信息不暴露给未授权的实体或进程。加密机制。防泄密

2、完整性：只有得到允许的人才能修改实体或进程，并且能够判别出实体或进程是否已被修改。完整性鉴别机制，保证只有得到允许的人才能修改数据。防篡改

数据完整，hash；数据顺序完整，编号连续，时间正确。3、可用性：得到授权的实体可获得服务，攻击者不能占用所有的资源而阻碍授权者的工作。用访问控制机制，阻止非授权用户进入网络。使静态信息可见，动态信息可操作。防中断第二十二页，共五十三页，编辑于2023年，星期一安全的要素4、可靠性：可靠性主要指系统在规定条件下和规定时间内完成规定功能的概率。可靠性是网络安全最基本的要求之一。5、不可否认性：对出现的安全问题提供调查的依据和手段。使用审计、监控、防抵赖等安全机制，使得攻击者、破坏者、抵赖者“逃不脱"，并进一步对网络出现的安全问题提供调查依据和手段，实现信息安全的可审查性。

第二十三页，共五十三页，编辑于2023年，星期一安全的要素此外信息系统还应提供认证、访问控制、抗抵赖安全服务。认证：保证信息使用者和信息服务者都是真实可信的，防止冒充和重演的攻击。真实性访问控制：这种服务保证信息资源不被非授权地使用。（是否有权使用该资源）抗抵赖：这种服务可取二种形式。数字签名1）源发证明：提供给信息接收者以证据，这将使发送者谎称未发送过这些信息或者否认它的内容的企图不能得逞；2）交付证明：提供给信息发送者以证据，这将使接收者谎称未接收过这些信息或者否认它的内容的企图不能得逞。第二十四页，共五十三页，编辑于2023年，星期一计算机安全涉及知识领域第二十五页，共五十三页，编辑于2023年，星期一常见的攻击方式社会工程SocialEngineering病毒virus（蠕虫Worm）木马程序Trojan拒绝服务和分布式拒绝服务攻击Dos&DDos欺骗：IPspoofing,Packetmodification；ARPspoofing,邮件炸弹Mailbombing口令破解Passwordcrack第二十六页，共五十三页，编辑于2023年，星期一攻击的工具标准的TCP/IP工具(ping,telnet…)端口扫描和漏洞扫描(ISS-Safesuit,Nmap,protscanner…)网络包分析仪(sniffer,networkmonitor)口令破解工具(lc3,fakegina)木马(BO2k,冰河,…)第二十七页，共五十三页，编辑于2023年，星期一3.安全模型一个常用的网络安全模型是P2DR模型。P2DR是四个英文单词的字头：

Policy（安全策略）

Protection（防护）

Detection（检测）

Response（响应）第二十八页，共五十三页，编辑于2023年，星期一第二十九页，共五十三页，编辑于2023年，星期一PDRR网络安全模型信息安全策略

另一个最常见的安全模型就是PDRR模型。PDRR由4个英文单词的头一个字符组成：Protection（防护）、Detection（检测）、Response（响应）和Recovery（恢复）。这4个部分组成了一个动态的信息安全周期，如图所示。安全策略的每一部分包括一组安全单元来实施一定的安全功能。第三十页，共五十三页，编辑于2023年，星期一4.安全的标准系统的安全标准：桔皮书美国国防部的可信计算机系统评价准则（TrustedComputerSystemEvaluationCriteriaTCSEC）。按安全程度低->高排序D、C1、C2、B1、B2、B3、A1。C:酌情B:强制A:核实保护D类：最低保护。无账户；任意访问文件。C1类：自决的安全保护。系统能够把用户和数据隔开，用户以根据需要采用系统提供的访问控制措施来保护自己的数据，系统中必有一个防止破坏的区域，其中包含安全功能。C2类：访问级别控制。控制粒度更细，使得允许或拒绝任何用户访问单个文件成为可能。系统必须对所有的注册、文件的打开、建立和删除进行记录。审计跟踪必须追踪到每个用户对每个目标的访问。第三十一页，共五十三页，编辑于2023年，星期一安全的标准B1类：有标签的安全保护。系统中的每个对象都有一个敏感性标签而每个用户都有一个许可级别。许可级别定义了用户可处理的敏感性标签。系统中的每个文件都按内容分类并标有敏感性标签，任何对用户许可级别和成员分类的更改都受到严格控制，即使文件所有者也不能随意改变文件许可权限。B2类：结构化保护。系统的设计和实现要经过彻底的测试和审查。系统应结构化为明确而独立的模块，遵循最小特权原则。必须对所有目标和实体实施访问控制。政策，要有专职人员负责实施，要进行隐蔽信道分析。系统必须维护一个保护域，保护系统的完整性，防止外部干扰。B3类：安全域。系统的安全功能足够小，以利广泛测试。必须满足参考监视器需求以传递所有的主体到客体的访问。要有安全管理员，安全硬件装置，审计机制扩展到用信号通知安全相关事件，还要有恢复规程，系统高度抗侵扰。第三十二页，共五十三页，编辑于2023年，星期一安全的标准A1类：核实保护。最初设计系统就充分考虑安全性。有“正式安全策略模型”其中包括由公理组成的形式化证明。系统的顶级技术规格必须与模型相对应，系统还包括分发控制和隐蔽信道分析。

第三十三页，共五十三页，编辑于2023年，星期一安全的标准第三十四页，共五十三页，编辑于2023年，星期一5.安全的体系结构

网络安全贯穿于整个7层模型。针对TCP/IP协议，网络安全应贯穿于信息系统的4个层次。下图表示了对应网络的安全体系层次模型：

会话层应用层应用系统应用平台网络层链路层物理层会话安全应用层应用系统安全应用平台安全安全路由/访问机制链路安全物理层信息安全第三十五页，共五十三页，编辑于2023年，星期一安全服务的实施位置第三十六页，共五十三页，编辑于2023年，星期一应用层提供安全服务的特点只能在通信两端的主机系统上实施。优点：安全策略和措施通常是基于用户制定的；对用户想要保护的数据具有完整的访问权，因而能很方便地提供一些服务；不必依赖操作系统来提供这些服务；对数据的实际含义有着充分的理解。缺点：效率太低；对现有系统的兼容性太差；改动的程序太多，出现错误的概率大增，为系统带来更多的安全漏洞。第三十七页，共五十三页，编辑于2023年，星期一传输层提供安全服务的特点只能在通信两端的主机系统上实施。优点：与应用层安全相比，在传输层提供安全服务的好处是能为其上的各种应用提供安全服务，提供了更加细化的基于进程对进程的安全服务，这样现有的和未来的应用可以很方便地得到安全服务，而且在传输层的安全服务内容有变化时，只要接口不变，应用程序就不必改动。缺点：由于传输层很难获取关于每个用户的背景数据，实施时通常假定只有一个用户使用系统，所以很难满足针对每个用户的安全需求。第三十八页，共五十三页，编辑于2023年，星期一网络层提供安全服务的特点在端系统和路由器上都可以实现。优点：主要优点是透明性，能提供主机对主机的安全服务，不要求传输层和应用层做改动，也不必为每个应用设计自己的安全机制；其次是网络层支持以子网为基础的安全，子网可采用物理分段或逻辑分段，因而可很容易实现VPN和内联网，防止对网络资源的非法访问；第三个方面是由于多种传送协议和应用程序可共享由网络层提供的密钥管理架构，密钥协商的开销大大降低。缺点：无法实现针对用户和用户数据语义上的安全控制。第三十九页，共五十三页，编辑于2023年，星期一数据链路层提供安全服务的特点在链路的两端实现。优点：整个分组（包括分组头信息）都被加密，保密性强。缺点：使用范围有限。只有在专用链路上才能很好地工作，中间不能有转接点。第四十页，共五十三页，编辑于2023年，星期一●计算机信息系统（computerinformationsystem）:由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。●安全周界（securityperimeter）:用半径来表示的空间。该空间包围着用于处理敏感信息的设备，并在有效的物理和技术控制之下，防止未授权的进入或敏感信息的泄露。基本定义及术语第四十一页，共五十三页，编辑于2023年，星期一●可信计算基（trustedcomputingbase，TCB）:计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。●安全策略（securitypolicy）:对TCB中的资源进行管理、保护和分配的一组规则。简单地说就是用户对安全要求的描述。一个TCB中可以有一个或多个安全策略。●安全模型（securitymodel）:用形式化的方法来描述如何实现系统的机密性、完整性和可用性等安全要求。第四十二页，共五十三页，编辑于2023年，星期一●客体（object）:系统中被动的主体行为承担者。对一个客体的访问隐含着对其所含信息的访问。客体的实体类型有记录、程序块、页面、段、文件、目录、目录树和程序，还有位、字节、字、字段、处理器、视频显示器、键盘、时钟、打印机和网络节点等。●主体（subject）是这样的一种实体，它引起信息在客体之间的流动。通常，这些实体是指人、进程或设备等，一般是代表用户执行操作的进程。如编辑一个文件时，编辑进程是存取文件的主体，而文件是客体。●参照监视器（referencemonitor）:监督主体和客体之间授权访问关系的部件。第四十三页，共五十三页，编辑于2023年，星期一●安全内核（securitykernel）:通过控制对系统资源的访问来实现基本安全规程的计算机系统的中心部分。●标识与鉴别（identification&authentication，I&A）:用于保证只有合法用户才能进入系统，进而访问系统中的资源。●访问控制（accesscontrol）:限制已授权的用户、程序、进程或计算机网络中其他系统访问本系统资源的过程。●访问控制列表（accesscontrollist，ACL）:与系统中客体相联系的，用来指定系统中哪些用户和组可以以何种模式访问该客体的控制列表。第四十四页，共五十三页，编辑于2023年，星期一●自主访问控制（discretionaryaccesscontrol，DAC）:用来决定一个用户是否有权限访问此客体的一种访问约束机制，该客体的所有者可以按照自己的意愿指定系统中的其他用户对此客体的访问权。●敏感标记（sensitivitylabel）:用以表示客体安全级别并描述客体数据敏感性的一组信息，在可信计算基中把敏感标记作为强制访问控制决策的依据。●强制访问控制（mandatoryaccesscontrol，MAC）:用于将系统中的信息分密级和类进行管理，以保证每个用户只能够访问那些被标明可以由他访问的信息的一种访问约束机制。●角色（role）:系统中一类访问权限的集合。第四十五页，共五十三页，编辑于2023年，星期一●最小特权原理（leastprivilegeprinciple）:系统中每一个主体只能拥有与其操作相符的必需的最小特权集。●隐蔽通道（covertchannel）:非公开的但让进程有可能以危害系统安全策略的方式传输信息的通信信道。●审计（audit）:一个系统的审计就是对系统中有关安全的活动进行记录、检查及审核。●审计跟踪（audittrail）:系统活动的流水记录。该记录按事件自始至终的途径、顺序，审查和检验每个事件的环境及活动。第四十六页，共五十三页，编辑于2023年，星期一●客体重用（objectreuse）:对曾经包含一个或几个客体的存储介质(如页框、盘扇面、磁带)重新分配和重用。为了安全地进行重分配、重用，要求介质不得包含重分配前的残留数据。●可信通路（trustedpath）:终端人员能借以直接同可信计算基通信的一种机制。该机制只能由有关终端操作人员或可信计算基启动，并且不能被不可信软件模仿。●多级安全（multilevelsecure，MLS）:一类包含不同等级敏感信息的系统，它既可供具有不同安全许可的用户同时进行合法访问，又能阻止用户去访问其未被授权的信息。第四十七页，共五十三页，编辑于2023年，星期一●鉴别（authentication）:验证用户、设备和其他实体的身份；验证数据的完整性。●授权（authorization）:授予用户、程序或进程的访问权。●保密性（confidentiality）:为秘密数据提供保护方法及保护等级的一种特性。●数据完整性（dataintegrity）:信息系统中的数据与原始数据没有发生变化，未遭受偶然或恶意的修改或破坏时所具有的性质。●漏洞（loophole）:由软硬件的设计疏忽或失误导致的能避开系统安全措施的一类错误。第四十八页，共五十三页，编辑于2023年，星期一●安全配置管理（secureconfigurationmanagement）:控制系统硬件与软件结构更改的一组规程。其目的是保证这种更改不违反系统的安全策略。●安全要素（securit