第1章-计算机系统安全概论

计算机系统安全概论主讲人：王弈E-mail:wangyi@内容提要计算机信息系统安全相关概念及发展计算机系统安全问题的产生计算机系统安全防护的基本原则计算机系统安全研究的内容

研究信息系统安全性的背景

——需求驱动个人层面个人信息，隐私保护个人经济利益保护等等社会层面社会生活各个层面经济等等国家层面国家安全国家实力等等信息安全的发展现状2006年，信息产业成为世界第一大产业。2011年，apple公司的市值世界第一，等于165个国家的GDP总和。信息安全成为综和国力，经济竞争的重要组成部分。美国的战略部署2011年5月16日，美国公布网络空间国际战略。首次将网络空间从美国本土拓展到全球。2011年7月14日，美国国防部公布了网络空间实战战略。影响全球的信息安全事件

——棱镜计划2013年，棱镜计划曝光——斯诺登和整个世界的麻烦。“9.11”恐怖袭击之后，美国政府认为整个世界都是不安全的，对其认为有恐怖倾向的国家和组织尽可能进行信息监控。监控重点放在美国境内，但不属于美国国籍的“敏感人士”。棱镜计划（续）美国国家安全局（NSA）要求电信巨无霸Verizon公司每天需按NSA列出的名单上交一份涉及众多政界、商界知名人士和被怀疑有犯罪倾向用户的通话记录，涉及人数达数百万之巨。——这些数据将作为公职人员操守的证明和犯罪人员的犯罪取证。棱镜计划（续）硅谷的信任危机在过去六年时间里，NSA和FBI以政府的名义要求微软、谷歌、苹果、雅虎、Facebook、Twitter等九大IT产品供应商对其开放服务器接口，由此监控美国公民的电子邮件、聊天记录、视频照片等秘密资料。任何美国平民，或经由美国网络服务器的电子邮件，或者哪怕是一个来自越洋电话的问候，都有可能成为被监控的对象，包括每一部苹果手机的通话，都有可能被监听。美国对全球通信的控制地位全球一共有13个根域名服务器，连接全世界的互联网，美国本土内拥有10个。从理论上美国可以监控全球的通信，可以通过间谍手段猎取其中的部分甚至全部信息。美国政府每年花费近50多亿美元用于根服务器的维护和运行，承担了世界上最繁重的网络任务和最巨大的网络风险。因此可以实事求是地说：没有美国，互联网将是死灰一片。计算机信息系统相关概念及发展计算机信息系统的概念由计算机及其相关配套设备、设施（含网络）构成的，按照一定的应用目标和规格对信息进行采集、加工、存储、传输、检索等处理的人机系统。——《计算机信息系统安全保护等级划分标准》计算机的概念安全的理解

——具有相对性安全的含义对有价物品的保护有价物品的表现形式有形的物体：钱、黄金、珠宝……信息其他形式：商标、声誉……对信息的保护与对钱财保护的区别规模和可移动性避免物理接触的能力资源的价值人们对信息安全的意识掩盖入侵真相，担心形象受损：银行法律上的障碍：取证、认定思想上的轻视：认为是恶作剧、轻视黑客的能力计算机系统安全的属性（需求）任何与计算机相关的系统都存在理论上或实际上的弱点。计算机信息系统的安全需求：保密性完整性可用性可控性不可抵赖性其他属性：可存活性、可认证性、可审查性计算机安全属性（需求）保密性（Confidentiality）有时也称为机密性（secrecy）或私密性（privacy）。指确保计算机的相关资源仅被合法用户访问，即只有授权用户和系统才能访问被保护的数据。访问（access）是指：可读、浏览、打印或了解特殊资源是否存在等。完整性（Integrity）指所有资源只能由授权方或以授权的方式进行修改。修改操作包括：写、替换、状态转换、删除和创建等操作。对完整性的理解在不同的上下文中由不同的解释（侧重点不同）。完整性的三个特殊方面：被授权行为资源分离和保护错误的检测和纠正可用性（Availability）指所有资源在适当的时候可以由授权方访问。对请求的及时响应公平分配资源系统和服务的容错原理服务和系统的便于使用可控制并发对立面：拒绝服务（DenyofService）可控性

是指保证信息和信息系统的认证授权和监控管理，确保某个实体(人或系统)身份的真实性，确保信息内容的安全性和合法性，确保系统状态可被授权方所控制。不可抵赖性是指信息的发送者无法否认已发出的信息或信息的部分内容，信息的接收者无法否认已经接收的信息或信息的部分内容。不可否认性措施主要有：数字签名，可信第三方认证技术等。

其他属性可存活性（包含在可用性之中，更强调灾难恢复、抗攻击）可存活性是指计算机系统的这样一种能力：它能在面对各种攻击或错误的情况下继续提供核心的服务，而且能够及时地恢复全部的服务。可认证性（包含在完整性之中）可审查性（包含在可控性之中，强调事件的再现与事后分析）图示：机密性、完整性和可用性的关系安全概念的发展单机系统的信息保密阶段网络信息安全阶段信息保障阶段1.单机系统的信息保密阶段计算机中心……安全现状：1.安全问题不突出，没有设计专门的安全机制。2.独立计算机，没有网络。主要安全威胁：1.对计算中心的攻击。2.偷盗、破坏单机硬件。3.对单台主机上软件的破坏。应对安全问题的技术措施单机系统保护硬件保护（防止偷盗和破坏）——硬件隔离软件保护（针对多用户系统）——逻辑隔离、

密码隔离密码技术的应用对称密码体制——DES标准（1977年）公钥密码体制——提出（1976年）安全模型研究BLP模型、BIBA模型（20世纪70年代）安全标准TCSEC（20世纪80年代）2.网络信息安全阶段InternetLAN现状：1.互联网普及，安全问题突出，急待解决。2.已有安全机制的缺失或不足，造成了信息系统使用受阻。3.蠕虫等新型病毒，以及各类网络攻击出现。4.信息安全问题进入人们视野并开始受到重视。主要安全威胁：1.来自网络的各种攻击。2.蠕虫、木马等新型病毒出现。3.原有安全问题仍然存在。应对安全问题的技术措施系统性地，从理论研究角度建立网络安全模型。CC通用准则提出，替代TCSEC。各种安全技术的集成使用VLAN防火墙技术入侵检测技术分层解决安全问题防嗅探、链路加密、防电磁辐射……传输层：SSL网络层：IPSEC、VPN……安全电子邮件PGP、https、加密、身份认证、口令密码……信息保障（IA--InformationAssurace）这一概念最初是由美国国防部长办公室提出来的，后被写入命令《DoDDirectiveS-3600.1：InformationOperation》中，在1996年12月9日以国防部的名义发表。3.信息保障阶段信息保障的主要思想从战略角度考虑信息安全问题信息保障贯穿平时、危机、冲突和战争的全时域。它采用“纵深防御”策略。以“人”、“技术”、“操作”为要素，“人”为核心。信息保障的发展1996年由美国国防部办公室提出IA概念。1998年1月30日美国防部批准发布了《国防部信息保障纲要》(DIAP)，认为信息保障工作全时域的。信息保障不仅能支持战争时期的国防信息攻防，而且能够满足和平时期国家信息的安全需求。这时的信息保障体系被命名为网络安全框架（NetworkSecurityFramework,NFS）信息保障的发展（续）1998年5月美国公布了由国家安全局NSA起草的1.0版本《信息保障技术框架》(InformationAssuranceTechnicalFramework,IATF)，旨在为保护美国政府和工业界的信息与信息技术设施提供技术指南。在1999年8月31日IATF论坛发布了IATF2.0版本。2000年9月22日又推出了IATF3.0版本。2002年发布了IATF3.1版。信息保障框架的三要素人技术操作IATF-人人(People)：人是信息体系的主体，是信息系统的拥有者、管理者和使用者，是信息保障体系的核心，是第一位的要素，同时也是最脆弱的。正是基于这样的认识，信息安全管理在安全保障体系中就显得尤为重要，可以这么说，信息安全保障体系，实质上就是一个安全管理的体系，其中包括意识培养、培训、组织管理、技术管理和操作管理等多个方面。IATF-技术技术(Technology)：技术是实现信息保障的具体措施和手段，信息保障体系所应具备的各项安全服务是通过技术来实现的。这里所说的技术，已经不单是以防护为主的静态技术体系，而是保护(Protection)、检测(Detection)、响应(Reaction)、恢复(Restore)有机结合的动态技术体系，这就是所谓的PDRR(或称PDR2)模型(如图1-9所示)。

恢复

反应

检测

保护信息保障PDRR模型IATF-操作操作(Operation)：或者叫运行，操作将人和技术紧密地结合在一起，涉及到风险评估、安全监控、安全审计、跟踪告警、入侵检测、响应恢复等内容。说明IATF的目的与作用——帮助用户确定信息安全需求和实现他们的需求；说明信息基础设施及其边界、IA框架的范围及威胁的分类和纵深防御策略DiD；DiD的深入介绍；信息系统的安全工程过程(ISSE)的主要内容；各种网络威胁与攻击的反制技术或反措施；信息基础设施、计算环境与边界的防御；信息基础设施的支撑(如密钥管理/公钥管理，KMI/PKI)、检测与响应以及战术环境下的信息保障问题。IATF主要包含：计算机系统安全问题的产生计算机入侵的特点最易渗透原则（Principleofeasiestpenetration）：一个入侵者总是企图利用任何可能的入侵手段。这种入侵没有必要通过显而易见的手段，也没有必要针对安装有最可靠的防御系统。计算机安全专家必须考虑所有可能的入侵方式。入侵分析必须反复进行，尤其在系统发生改变的时候。对计算机系统的攻击（attack）威胁、脆弱点、和控制威胁（threat）：潜在的、对信息系统造成危害的因素。脆弱点（vulnerability）：信息系统中的缺陷，安全问题的根源所在，能被攻击者利用来进行破坏活动。控制（control）：是一些动作、装置、程序或技术，它能消除或减少脆弱点。三者的关系通过控制脆弱点来阻止或减少威胁。图示：威胁、脆弱点、和控制威胁的分类中断在用的信息系统毁坏或不能使用。中断威胁的表现形式合法用户不能正常访问网络资源有严格时间要求的服务不能及时得到响应摧毁系统（物理损坏）信息源信息目的地信息源信息目的地截取未授权方获得了访问资源的权利。一个非授权方介入系统，使得信息在传输中被丢失或泄露。——非授权方可以是：人、程序、计算机。截取威胁的表现形式各种方式的窃听（电磁泄露、搭线侦听、流量分析等）非法复制程序或数据文件信息源信息目的地篡改未授权方不仅访问了系统资源而且修改了其内容。以非法手段窃得对信息的管理权，通过未授权的创建、修改、删除和重放等操作使信息的完整性受到破坏。篡改威胁的表现形式改替换某段程序使之执行另外的功能（病毒），设置修改硬件。变数据文件，如修改数据库中的信息。信息源信息目的地伪造未授权方在系统中创建假冒对象。一个非授权方将伪造的客体插入系统中，破坏信息的可认证性(Authenticity)。伪造威胁的表现形式在网络通信系统中插入伪造的事务处理或者向数据库中添加记录。信息源信息目的地图示：截取、中断、修改、伪造信息系统的脆弱点脆弱点分析从软件、硬件、数据三大资源入手主要表现在：物理安全软件系统网络和通信协议人的因素1.物理安全——硬件脆弱点简单攻击：增加、改变、删除、截取设备或阻塞设备。无意的硬件破坏：水、火、电磁辐射、灰尘、物理撞击等。——机器“滥用”、“无意的机器屠杀”有意的硬件破坏或机器自毁。预防手段：门锁和警卫系统。例子：便携式计算机更易于被偷盗。2.软件脆弱点——软件系统软件删除：意外删除文件，或存储错了文件版本破坏了前一个正确版本。预防方法：采用配置管理（configurationmanagement）程序控制访问软件。软件篡改：软件被改动，造成其失败或执行并不希望的工作。造成后果：软件崩溃（立即或延时）、扩展程序功能、木马、病毒、陷门、信息泄漏。软件偷窃：盗版软件。2.软件脆弱点——数据脆弱点对数据的攻击远比对硬件和软件的攻击更广泛和严重。数据具有更大的公众价值。数据在上下文中具有一定的价值。数据价值与时间的确切关系很难预见。数据安全原则：适度保护原则（Principleofadequateprotection）：计算机资源在其失去价值前必须被保护。它们被保护的程度与它们的价值是一致的。3.网络和通信协议网络技术中的缺陷通信协议设计中的安全漏洞4.人的因素人为无意识失误人为的恶意攻击管理上的因素计算机系统安全防护的基本原则整体性原则分层性原则最小特权原则简单性原则整体性原则新木桶理论一只木桶能容纳的水量，取决于：每一块木板的长度（木桶理论）最短的木板决定了其最大容水量（系统瓶颈）系统最薄弱环节的安全性决定了整个系统的安全性能木桶是否有坚实的底板底部的结实程度决定了容纳水量的能力信息安全的底：密码技术、访问控制技术、安全操作系统、安全芯片技术、网络安全协议等。木板间的结合是否紧密安全产品之间的协同工作和联动机制的好坏决定了是否能达成最终的共同目标分层性原则主旨思想：纵深防御最小特权原则在完成某种操作时所赋予网络中每个主体（用户或进程）必不可少的特权。给予主体“必不可少”的特权：保证任务顺利完成。只有“必不可少”的特权：限制主体的操作权限，减少不必要的错误、事故等由于权限过大而造成的负面影响。简单性原则越简单的东西越容易理解，出错的几率越低。简单性意味着易于使用，易于管理。安全性与复杂性是背道而驰的。计算机系统安全研究的内容计算机网络环境下的信息系统可以用层次结构来描述。信息安全研究范畴计算机系统安全研究内容安全管理信息安全立法计算机硬件安全主要介绍PC机物理防护、基于硬件的访问控制技术、可信计算与安全芯片、硬件防电磁辐射技术和计算机运行环境安全问题。操作系统安全主要介绍操作系统的主要安全机制，包括存储保护、用户认证和访问控制技术，并介绍了WindowsXP/Vista系统的安全机制。计算机网络安全主要介绍