计算机系统安全概述2

计算机系统安全概述

李晓勇

课程内容

•信息安全历史、概念和关系

•安全攻击示例

•安全模型

•风险管理

•安全体系

•重要安全标准

信息安全概念

•ISO的定义：

-为数据处理系统建立和采取的技术和管理的安全保护，

保护计算机硬件、软件和数据不因偶然和恶意的原因

而遭到破坏、更改和显露。

信息系统安全概念

•确保以电磁信号为主要形式的，在计算机网络化

系统中进行获取、处理、存储、传输和利用的信

息内容，在各个物理位置、逻辑区域、存储和传

输介质中，处于动态和静态过程中的机密性、完

整性、可用性、可审查性和抗抵赖性的，与人、

网络、环境有关的技术和管理规程的有机集合。

——戴宗坤罗万伯《信息系统安全》

信息安全的发展历史

信息安全的发展经历了三个历史时期：

•通信安全（COMSEC）

-保密性。

•信息安全（INFOSEC）

-保密性、完整性、可用性。

•信息保障（IA）

-保密性、完整性、可用性、可控性、不可否认性

Confidentialityintegrityavailability

方滨兴院士

怎些上

不

务虚：信息安全的历史回顾/

信息安全：

通信安全：保障包括硬件、软保障信息系统不

II授权用衿件、固件在内的信能被作授权访问,

不能得到信息系统资源、以及所存储、处理或传

息,授权用所处理、存储、传输的信息不能被作

户能够获得输的信息的机密性、授权修改,授权用

通信保障完整性以及可用性。户可以随时使用。

COMSECCOMPUSECINFOSEC

40年代70年代90年代

2

信息确保：

用于保护信息和信息系统的

方滨兴院士机密性、可鉴别性、完整性、

可用性以及不可抵赖性的信

息操作。通过施加额外的防

护、检测和响应等安全服务

软件确保的基本理念能力未保障信息系统的安全

使用

源头安全

机制

软件确保是通过有计划的

活动来确保勃欠件过程和软

|l|HA,、<r>.1*•

于i1rfn习S、

和开发程疗,共运彳丁"i果

软件

是可.预期的.H用危羽怕三是

不可被利用的O

90年代19982003

洪去却甯大，争

25

信息安全内容

•不统一：

-ISO/IEC17799

-ISO/IEC15408

-ISO/IECTR13335

-ISO7498-2

OO

ISO/IEC17799

•信息安全内容：

-保密性(Confidentiality)

-完整性(Integrity)

-可用性(Availability)

ISO/IECTR13335-1

•安全内容:

-Confidentiality（保密性）

-Integrity（完整性）

-Availabi1ity（可用性）

-Non-repudiation（不可抵赖性）

-Accountabi1ity（可追踪性）

-Authentity&Reliability（真实性和可靠性）

ISO7498-2

•信息安全服务:

-认证

-访问控制

-保密性

-完整性

-不可否认性

方滨兴院士

信息安全金三角(OA)

>CIA：构建信息安全的核心属性

机密性(Confidentiality)

完整性可用性

(Integrity)(Avaliability)

，准确的应该是CACA

•机密性(confidentiality)、可鉴另U性(authentication)、

可控性(controllability)、可用性(availability)

域才大号

方滨兴院士

信息确保的要素

小去,塞大身

保密性

•保证机密信息不会泄露给非授权的人或实体,

或供其使用的特性

•案例

完整性

•防止信息被未经授权的篡改，保证真实的信

息从真实的信源无失真地到达真实的信宿

•案例

可用性

•保证信息及信息系统确实为授权使用者所用,

防止由于计算机病毒或其它人为因素造成的

系统拒绝服务，或为敌手可用，信息系统能

够在规定的条件下和规定的时间内完成规定

的功能

•案例

身份真实性

•能对通信实体身份的真实性进行鉴别

•案例

系统可控性

・能够控制使用资源的人或实体的使用方式

•案例

不可抵赖性

•建立有效的责任机制,防止实体否认其行为

•案例

可审查性

・对出现的网络安全问题提供调查的依据和手段

•案例

信息安全认识

•安全要素:

-资产

-弱点

—威胁

-风险

-安全控制

信息安全风险管理:以资产为核心

信息安全管理：以风险管理为基础

ISO/IEC15408：安全概念

risuie4.1-安全概念和关系

信息安全风险评估指南：安全概念

NISTSP800-33

•安全目标

-可用性

-完整性

-保密性

-可追踪性

-保证性

安全目标的依赖关系

安全服务模型

可用性服务

7

预防

交易隐私

鉴别不可否认性恢复

支持

用户或

授权

进程

1T审计

访问控制实施

八

完整性证据

入侵检测和遏制八

恢复到“安

全”状态

通信保护

（防止泄漏、替换、修改以及重放）

标识（和命名）

密钥管理

安全管理

系统保护

（最小权限、客体重用、进程分离等）

完整性服务

密钥管理

保密性服务

可追踪性服务

保证服务

课程内容

•信息安全历史、概念和关系

•安全攻击示例

•安全模型

•风险管理

•安全体系

•重要安全标准

攻击过程示例

演示1

演示2

攻击过程总结

•踩点

•攻击

•留下暗门

•消灭踪迹（没做好）

•・・/・・/・・/・./信息安全储备/攻防/服务器安全技巧：

Unix系统的攻击和防范

%20%20DOSERV_com%20服务器在

线,htm

可能破坏?

•讨论

攻击分析

•攻击者

•动机

•能力和机会

•攻击种类

攻击者

•恶意

-国家

_黑客

-恐怖分子/计算机恐怖分子

-有组织犯罪

-其它犯罪成员

-国际新闻社

-工业竞争

-T-、旺*口

一不满雇贝

•非恶意

-粗心或未受到良好培训的雇员

动机

•获取机密或敏感数据的访问权

•跟踪或监视目标系统的运行（跟踪分析）

•破坏目标系统的运行

•窃取钱物、产品或服务

•获取对资源的免费使用

•使目标陷入窘境

•攻克可击溃安全机制的技术挑战

攻击风险

•暴露其进行其它类型攻击的能力

•打草惊蛇，尤其是当可获取的攻击利益

巨大时引起目标系统的防范

•遭受惩罚（如罚款、坐牢等）

•危及生命安全

攻击者愿意接受的风险级别取决于其攻击动机

能力和机会

•能力因素

-施展攻击的知识和技能

-能否得到所需资源

•机会

-系统的漏洞、错误配置、未受保护环境

-安全意识薄弱

我们不可能口攻击者的能力，

但可以II其攻击机会

攻击种类

•被动攻击

•主动攻击

•临近攻击

•内部人员攻击

•分发攻击

攻击对策

攻击种类典型对策

被动攻击VPN,网络加密、使用受到保护的分布式网络

主动攻击边界保护（如防火墙）、基于身份认证的访问控制、受保

护的远程访问、质量安全管理、病毒检测、审计、入侵检

测

临近攻击

内部人员攻击安全意识培训、审计、入侵检测、安全策略及强制实施、

基于计算机和网络组件中信任技术对关键数据/服务器/局

域网实施专业的访问控制、强的身份标识和鉴别技术

分发攻击加强对过程其间的配置控制、使用受控分发、签名软件、

访问控制

课程内容

•信息安全历史、概念和关系

•安全攻击分析

•安全模型

•风险管理

•安全体系

•重要安全标准

基于时间的PDR安全模型

P—Protection.D一Detection>R一React

Pt

Pt>Dt+Rt,则该系统是安全的

Pt<Dt+Rt,则该系统是不安全的，且Et=(Dt+Rt)-Pt为安全暴露时间

所谓P2DR

防护

安全n

响\

\应

所谓PDRR

WPDRRC模型

模型的价值

•用户：

-提高安全认识

•厂商：

-围绕利益

小结

・安全概念

•安全认识

•安全模型

课程内容

•信息安全历史、概念和关系

•安全攻击示例

•安全模型

•风险管理

•安全体系

•重要安全标准

风险管理

•信息安全某种程度上就是风险管理过程。

・风险管理过程包含哪些？

风险管理过程

•风险评估

•风险减缓

•评价与评估

风险评估

•风险评估是风险管理方法学中的第一个过程。机

构应使用风险评估来确定潜在威胁的程度以及贯

穿整个SDLC中的IT相关风险。

•该过程的输出可以帮助我们确定适当的安全控制,

从而在风险减缓过程中减缓或消除风险。

风险

•风险是可能性知影响的舀数前者指给定的威胁

源利用一个特定的潜在脆弱性的可能性，后者指

不利事件对机构产星的影响。

•为了确定未来的不利事件发生的可能性，必须要

对IT系统面临的威胁、可能的脆弱性以及IT系统

中部署的安全控制一起进行分析。影响是指因为

一个威胁攻击脆弱性而造成的危害程度。

MA

系

鹿

件

・

蚊

件

•系

系

统

系

•接O

嶷

数

和

性

倍

•息

或

人

•系

性

风

•系统攻击历史

•来自恸板机构.

NIPC.OIG.・威胁西明

险FedCIRC.大众婢

伟的数据

•以的的风险用体胭

评

•任何审计意见•可能的照弱性到乘

•交全^^

•女全怖祓然果

估

•当储的投制•当的拄机反观则拄

•规刎的控制制话范

•城肺谯的动机

步•威解的能力•可能性级别

•脱弱性的怪厌

•当的的控制

•分析对使命的盘晌

骤

•评估资产的关键性

•数据关键僮

•彩晌级别

•数据敏强性

•盛勒破坏的可匿性

•影晌的程度

・风险应相关风除的

•知划中或当前控制

的足修性破别

步骤8：对安全控制提出建议•建设的控制

步骤9：记录评估结果•风珍普佑根岂

风险减缓

课程内容

•信息安全历史、概念和关系

•安全攻击示例

•安全模型

•风险管理

•安全体系

•重要安全标准

IS07498-2：信息安全体系结构

•信息处理系统开放系统互连基本参考模型

•第二部分：安全体系结构

•1989215颁布，确立了基于OSI参考模

型的七层协议之上的信息安全体系结构

-五类服务

•认证、访问控制、保密性、完整性、不可否认性

-八种机制

•加密、数字签名、访问控制、数据完整性、认证交

换、业务流填充、路由控制、公证

-OSI安全管理

五大类安全服务

•认证•完整性

一对等实体认证-可恢复的连接完整性

-数据起源认证-不可恢复的连接完整性

•访问控制-选择字段的连接完整性

•机密性-无连接完整性

-选择字段的无连接完整性

-连接机密性

-无连接机密性•抗否认

-选择字段机密性-数据起源的抗否认

-业务流机密性-传递过程的抗否认

八类安全机制

•加密•另有

•数字签名-可信功能模块

•访问控制-安全标记

-事件检测

•数据完整性

-安全审计追踪

•认证交换-安全恢复

•业务流填充

•路由控制

•公证

机制与实现的安全服务

数

业

路

加访公

务

由

据

密问证

流

控

完

控

填

制

整

机制制

充

服务性

对等实体认证v7

数据起源认证

访问控制服务v7

连接机密性

无连接机密性A/

选择字段机密A/

性

业务流机密性V7v7

机制与实现的安全服务（续）

数

业

路

访

加认公

务

据

由

问

机黯、证

密证

流

完

控

交

控

填

整

服务换

制

制

充

性

可恢复的连接完整性

不可恢复的连接完整性

选择字段的连接完整性

无连接完整性

选择字段的无连接完整

性

数据起源的抗否认

传递过程的抗否认V7

7”表示机制适合提供该种服务，空格表示机制不适合提供该种服务。

安全服务与层之间的关系

表

会

物

链

网传应

示

话

理

路

络

输用

层

层

层

层

层

服务层层

对等实体认证v7v7

数据起源认证V7v7v7

访问控制服务V7

连接机密性v7v7M

无连接机密性v7V7Mv7v7

选择字段机密性A/V7

业务流机密性V7V7

安全服务与层之间的关系（续）

表

会

物

链

传

网应

示

话

理

路

输

络

层

层

层

层

分层

层用

服务层

可恢复的连接完整性V7

不可恢复的连接完整性

选择字段的连接完整性

无连接完整性M

选择字段的无连接完整

性

数据起源的抗否认

传递过程的抗否认

T”表示该服务应该在相应的层中提供，空格表示不提供。

IATF

•InformationAssuranceTechnical

Framework

•美国国家安全局

深层防御战略(Defense-hDepth)

成功的组织功能

信息保障

深层防御战略

人

操作依靠

技术

技术执行

操作

层叠的方法和保护层次

保护网络和保护飞地保护计算环支撑性基础设施

基础设施边界境

KMI/PKI检测和响

__________应

硬件和软件提供商

通

向

其

它

飞

地

边

界

7

攻击类型

飞地边界

□内部人

边界保护（防火墙，护卫）55分发攻击瓜

0远程访问保护（通信照务春，加密等）物理临近

深层防御的技术层面

深层防御战略的含义

•层次化、多样性

-人、操作、技术

-网络边界、网络、主机

-预警、保护、检测、反应、恢复

•在攻击者成功地破坏了某个保护机制的情况下,

其它保护机制能够提供附加的保护。

•采用层次化的保护策略并不意味着需要在网络

体系结构的各个可能位置实现信息保障机制，

通过在主要位置实现适当的保护级别，便能够

依据各机构的特殊需要实现有效保护。

课程内容

•信息安全历史、概念和关系

•安全攻击示例

•安全模型

•风险管理

•安全体系

•重要安全标准

标准的重要性

・知识性：了解安全背景

•指南性：指导实践

•沟通性：

OOO

彩虹系列

•Therainbowseriesisalibraryofabout37documentsthataddress

specificareasofcomputersecurity.Eachofthedocumentsisadifferent

color,whichishowtheybecametoberefereedtoastheRainbow

Series.TheprimarydocumentofthesetistheTrustedComputer

SystemEvaluationCriteria(5200.28-STD,OrangeBook),dated

December26,1985.Thisdocumentdefinesthesevendifferentlevelsof

trustthataproductcanachieveundertheTrustedProductEvaluation

Program(TPEP)withinNSA.Someofthetitlesinclude,Password

Management,Audit,DiscretionaryAccessControl,TrustedNetwork

Interpretation,ConfigurationManagement,Identificationand

Authentication,ObjectReuseandCovertChannels.AnewInternational

criteriaforsystemandproductevaluationcalledtheInternational

CommonCriteria(ICCC)hasbeendevelopedforproductevaluations.

TheTCSEChasbeenlargelysupercededbytheInternationalCommon

Criteria,butisstillusedforproductsthatrequireahigherlevelof

assuranceinspecificoperationalenvironments.Mostoftherainbow

seriesdocumentsareavailableon-line.

TCSEC

•在TCSEC中，美国国防部按处理信息的等级和应

采用的响应措施，将计算机安全从高到低分为：

A、B、C、D四类八个级别，共27条评估准则

•随着安全等级的提高，系统的可信度随之增加，

风险逐渐就少。

TCSEC

•四个安全等级:

-无保护级

-自主保护级

-强制保护级

-验证保护级

TCSEC

•D类是最低保护等级，即无保护级

•是为那些经过评估，但不满足较高评估等级要求

的系统设计的，只具有一个级别

•该类是指不符合要求的那些系统，因此，这种系

统不能在多用户环境下处理敏感信息

TCSEC

•c类为自主保护级

­具有一定的保护能力，采用的措施是自主访问控

制和审计跟踪

­一般只适用于具有一定等级的多用户环境

•具有对主体责任及其动作审计的能力

TCSEC

•C类分为Cl和C2两个级别:

-自主安全保护级（C1级）

-控制访问保护级（C2级）

TCSEC

•B类为强制保护级

•主要要求是TCB应维护完整的安全标记，并在此基

础上执行一系列强制访问控制规则

•B类系统中的主要数据结构必须携带敏感标记

•系统的开发者还应为TCB提供安全策略模型以及

TCB规约

•应提供证据证明访问监控器得到了正确的实施

TCSEC

•B类分为三个类别：

-标记安全保护级（B1级）

-结构化保护级（B2级）

-安全区域保护级（B3级）

TCSEC

•A类为验证保护级

•A类的特点是使用形式化的安全验证方法，保证系

统的自主和强制安全控制措施能够有效地保护系

统中存储和处理的秘密信息或其他敏感信息

•为证明TCB满足设计、开发及实现等各个方面的安

全要求，系统应提供丰富的文档信息

TCSEC

•A类分为两个类别：

-验证设计级（A1级）

-超A1级

ISO/IEC15408

•IT安全评估通用准则(CommonCriteriafor

InformationTechnologySecurityEvaluation)

ISO/IECJTC1

SC27WG3

ISO/IEC15408的历史

ISO/IEC15408的背景

•ISO/IECJTC1SC27WG3（国际标准化组织和国际电工委员会的联合

技术委员会）

-GWI：信息安全有关的需求、服务和指南

-WG2：信息安全技术和机制

-WG3:信息安全评估标准

•六国七方共同提出：

-Canada:CommunicationsSecurityEstablishment

-France:ServiceCentraldelaSecuritedesSystemesd'Information

-Germany:BundesamtfurSicherheitinderInformationstechnik

-Netherlands:NetherlandsNationalCommunicationsSecurityAgency

-UnitedKingdom:Communications-ElectronicsSecurityGroup

-UnitedStates:NationalInstituteofStandardsandTechnology

-UnitedStates:NationalSecurityAgency

ISO/IEC15408的相关组织

•CCEB：CCEditorialBoard,VI.0

•CCIB：CCImplememtationBoard,V2.0

•CCIMB:CCInterpretationsManagementBoard,

responsibleforinterpretationsofVersion2.0

•在ISO中的正式名称是“信息技术安全评价标准”

ISO/IEC15408标准的组成

・包括三个部分:

-简介和一般模型

-安全功能要求

-安全保障要求

ISO/IEC15408的作用

客户开发人员评估人员

用于了解背景信息和用于了解背景信息，开用于了解背景信息和

第一部分参考。发安全要求和形成TOE参考目的。

PP的指导性结构。的安全规范的参考。PP和ST的指导性结构。

当确定TOE是否有效

在阐明安全功能要求用于解释功能要求和生

地符合已声明的安全

第二部分的描述时用作指导和成TOE功能规范的参考。

功能时，用作评估准

参考。

则的强制性描述。

当解释保证要求描述和当确定TOE的保证和

用于指导保证需求级

第三部分确定TOE的保证措施时，评估PP和ST时，用于

别的确定

用作参考。评估准则的强制描述。

要求和规范的导出