《计算机系统安全》课件第1章

第1章计算机安全引论1.1计算机安全1.2计算机系统安全的重要性1.3计算机系统的安全对策1.4计算机系统的安全技术1.5计算机安全内容层次习题

1.1计算机安全1.1.1计算机安全的定义所谓计算机安全，是指为计算机系统建立和采取的技术和管理的安全保护措施，以保护计算机系统中的硬件、软件及数据，防止因偶然或恶意的原因而使系统或信息遭到破坏、更改或泄露。

桔皮书将计算机安全由低到高分为四类七级：D1、C1、C2、B1、B2、B3、A1。其中D1级是不具备最低安全限度的等级，C1和C2级是具备最低安全限度的等级，B1和B2级是具有中等安全保护能力的等级，B3和A1属于最高安全等级。

D1级：计算机安全的最低一级。

C1级：自主安全保护级。

C2级：受控存取保护级。

B1级：标记安全保护级。B2级：结构化保护级。

B3级：安全域级。

A1级：验证设计级。我国公安部提出了计算机安全的概念如下：计算机系统的硬件、软件、数据受到保护，不因偶然的或恶意的原因而遭到破坏、更改、泄露，系统连续正常运行。(1)设备安全：指系统设备及相关设施运行正常，系统服务适时。

(2)运行安全：系统资源和信息资源使用合法。

(3)信息安全：系统拥有的和产生的数据或信息完整、有效，使用合法，不被破坏或泄漏。

(4)软件安全：软件(网络软件、操作系统、资料)完整。

(5)通信安全：计算机通信和网络的安全。1.1.2计算机系统面临的威胁和攻击

1.对实体的威胁和攻击对实体的威胁和攻击主要指对计算机及其外部设备和网络的威胁和攻击，如各种自然灾害与人为的破坏、设备故障、场地和环境因素的影响、电磁场的干扰或电磁泄漏、战争的破坏、各种媒体的被盗和散失等。

2.对计算机系统的威胁和攻击计算机系统所面临的威胁大体可分为两种：一种是信息泄漏，另一种是信息破坏。所谓信息泄漏，就是指偶然地或故意地获得(侦收、截获、窃取或分析破译)目标系统中的信息，特别是敏感信息，造成泄漏事件。

人为破坏有以下几种手段：(1)利用系统本身的脆弱性。(2)滥用特权身份。(3)对系统的非法使用。(4)修改或非法复制系统中的数据。

偶然事故有以下几种可能的情况：

(1)硬、软件的故障引起安全策略失效。

(2)工作人员的误操作使系统出错，使信息严重被破坏或无意地让别人看到了机密信息。

(3)自然灾害的破坏，如洪水、地震、风暴、泥石流等使计算机系统受到严重破坏。

(4)环境因素的突然变化，如高温或低温、各种污染破坏了空气洁净度，电源突然掉电或冲击造成系统信息出错、丢失或破坏。

对信息进行人为的故意破坏或窃取称之为攻击。根据攻击的方法不同，可分为被动攻击和主动攻击两类。

(1)被动攻击：是指一切窃密的攻击。它在不干扰系统正常工作的情况下侦收、截获、窃取系统信息，以便破译分析；利用观察信息、控制信息的内容来获得目标系统的位置和身份；利用研究机密信息的长度和传递的频度获得信息的性质。被动攻击不容易被用户察觉出来，因此它的攻击持续性和危害性都很大。

被动攻击的主要方法有：①直接侦收。②截获信息。③合法窃取。④破译分析。⑤从遗弃的媒体中分析获取信息。

(2)主动攻击：是指篡改信息的攻击。它不仅能窃密，而且还威胁到信息的完整性和可靠性。它以各种各样的方式，有选择地修改、删除、添加、伪造和重排信息内容，造成信息破坏。主动攻击的主要方法有：①窃取并干扰通信线路中的信息。②返回渗透。③线间插入。④非法冒充。⑤系统人员的窃密和毁坏系统数据、信息的活动等。

有意威胁(攻击)的主要目的有以下几种：①企图获得系统中的机密信息，为其国家或组织所利用。②企图修改、添加、伪造用户的机密信息，以便从中得到好处。③企图修改、删除或破坏系统中信息，达到不可告人的目的。④获得任意使用数据通信系统或信息处理系统的自由。3.计算机犯罪计算机犯罪是利用暴力和非暴力形式，故意泄露或破坏系统内的机密信息，危害系统实体和信息安全的不法行为。暴力形式是对计算机设备和设施进行物理破坏，如使用武器摧毁计算机设备，炸毁计算机中心建筑等。而非暴力形式是利用计算机技术及其他技术进行犯罪活动，它通常采用下列技术手段：(1)线路窃收：将数据线与计算机通信线相连或搭线窃听。

(2)信息捕获:

利用窃收器拦截几公里之外的计算机信号。

(3)偷看:

进入计算机中心或终端所在区域，观察显示屏上的重要信息，或通过高倍望远镜在附近的建筑物内观察显示屏幕上的信息。(4)欺骗：假冒合法用户通过电话向系统管理员询问口令，或通过贿赂手段获取口令，然后侵入系统。

(5)尾随:

紧跟在授权用户之后，通过转动门或其它障碍，绕过物理访问控制措施，入侵系统，实施犯罪。

(6)线间进入:

当授权用户吃午饭或进洗手间时，乘机接管一个已注册的终端或PC机，对系统信息进行窃取、修改或破坏。(7)采取手段，扩大授权:

利用技术手段，扩大系统的授权，进行非法活功。

(8)人工干预系统:

使用实用的人工干预程序，侵犯系统安全，实施犯罪。

(9)废品利用：从废弃资料、磁盘、磁带中提取有用信息或进一步分析系统密码等。

(10)伪造证件：伪造他人信用卡、磁卡、存折等。

计算机犯罪具有以下明显特征：

(1)犯罪方法新。

(2)作案时间短。

(3)不留痕迹。

(4)内部工作人员犯罪的比例在增加：外部犯罪和内部犯罪的可能性都很大，特别是系统内部工作人员犯罪的比例在增加。

(5)犯罪区域广。

(6)利用保密制度不健全和存取控制机制不严的漏洞作案。1.1.3计算机系统的脆弱性

1.造成不安全因素的原因造成计算机系统不安全的因素按其原因可分成三类：

(1)自然灾害构成的威胁，如火灾、水灾、风暴、地震等破坏以及环境(温度、湿度、振动、冲击、污染)的影响。(2)偶然无意构成的威胁，如硬件设备故障、突然断电或电源波动大、测不到的软件错误或缺陷等。

(3)人为攻击的威胁，如国外间谍窃取机密情报、内部工作人员的非法访问、用户的渎职行为以及利用计算机技术进行犯罪等。

2.系统的脆弱性针对计算机系统的各种攻击之所以能够成功，很关键的原因是计算机系统本身存在着这样或那样的脆弱性，而且这些弱点往往隐藏在计算机系统所具有的优越的特征之中，因此常常会被非授权用户不断利用。计算机系统安全存在的问题主要表现在如下几个方面：（1）操作系统的脆弱性。（2）计算机网络的脆弱性。（3）数据库管理系统的脆弱性。（4）计算机本身的不安全因素。（5）缺少安全管理。1.1.4计算机危害与其他危害的区别计算机危害是一种崭新的危害形式，与其他危害相比，其突出的区别是技术性和专业性，且易造成严重的危害，而被界定为犯罪。计算机犯罪有如下特点：(1)高技术智能犯罪。

(2)作案时间短。

(3)地域广大。(4)隐蔽性强。(5)变化多端。(6)破坏性大。(7)蔓延迅速。(8)涉及面广。(9)攻击的主动性。1.2计算机系统安全的重要性1.2.1计算机安全技术发展

20世纪50年代，计算机应用范围很小，安全问题并不突出，计算机系统并未考虑安全防护的问题。后来发生了袭击计算中心的事件，才开始对机房采取了一些实体防护措施。1.2.2计算机系统安全的重要性计算机系统的安全之所以重要，其原因在于：

(1)计算机系统的重要应用成为威胁和攻击的目标。

(2)计算机系统本身的脆弱性成为不安全的内在因素。(3)随着计算机功能的日益完善和运行速度的不断提高，其系统组成越来越复杂，规模也越来越庞大，所用元器件数量在不断增加，装配密度日益加大，其本身存在的隐患就成为不安全因素。另外，随着计算机网络的迅速发展和扩大，更增加了计算机系统的隐患和被攻击的区域及环节。(4)随着应用的需要，计算机使用的场所逐渐从条件优越的机房转向工业、野外、海上、天空、宇宙及核辐射环境，其气候、力学、电磁和辐射等应力都比机房恶劣，恶劣的环境条件会导致计算机出错概率和故障的增加，其可靠性和安全性便受到影响。

(5)随着计算机系统的广泛应用，应用人员队伍不断扩大，人为的某些因素，如操作失误的概率在增加，这将会威胁信息系统的安全。(6)安全是针对某种威胁而言的，对计算机系统来说，许多威胁和攻击是隐蔽的，防范对象是广泛的和难以明确的，即潜在的。

(7)计算机系统安全涉及到许多学科，既包含自然科学和技术，又包含社会科学。1.2.3计算机信息系统安全的基本要求国际标准化组织对计算机安全的建议和欧美各国对计算机安全的要求共有以下四点：

(1)用户的识别与验证。

(2)存取控制。

(3)数据完整性检查。

(4)安全审计追踪。1.实体安全

(1)中心周围100米内没有危险建筑，主要指没有易燃、易爆、有害气体等存放的场所，如加油站、燃气管道、煤气站或散发较强腐蚀气体的设施等。

(2)设有监控系统，指对系统运行的外围环境、操作环境实施监控(视)的设施。

(3)有防火、防水措施。如机房内有火灾自动报警系统，有适用于计算机机房的灭火器材（气体灭火器），有应急计划及相关制度。(4)机房环境(温度、湿度、洁净度)达到要求。

(5)防雷(防雷装置、接地)措施。

(6)有备用电源，如长时间UPS，停电后可供电8小时或更长时间，或者自备发电机。

(7)平时使用UPS供电。

(8)有防静电措施，如防静电地板、设备接地良好等。

(9)为保证设备用电质量，应采取专线供电，与空调、照明、动力等分开。

(10)采取防盗措施，中心应有值班守卫，出入口安装防盗安全门，窗户安装金属防护装置。2.网络通信安全

(1)装有通信设备的场所要设有标志，如“机房重地”、“请勿触摸”等醒目的文字、图形等。

(2)重要的通信线路及通信控制装置要有备份，如备用网络通信线路，类似于调制解调器等服务于网络通信的设备也要有备用。

(3)加密措施，包括网络通信及软、硬件，即网络传输的信息要加密，软件、硬件要有防止非法入侵的手段。(4)网络运行状态应有安全审计跟踪措施，能随时掌握网络用户的工作状况。

(5)网络系统有访问控制措施，可根据工作性质划分网络用户的访问权限。

(6)有工作站身份识别措施，以辨别该工作站是否为本网络的合法用户。3.软件与信息安全

(1)操作系统及数据库要有访问控制措施，可按工作性质划分对操作系统及数据库的访问权限。

(2)应用软件、系统信息能防止恶意攻击和非法存取。

(3)对数据库及系统状态要有监控、防护措施。

(4)有用户身份识别措施，工作站开机有输入用户名、口令等要求。

(5)系统用户信息要有异地备份，即备份信息不能存放在同一建筑物内，至少不能放在同一楼层，是否异地备份和备份的份数视信息数据的重要性和恢复的难度而定。4.管理组织与制度安全

(1)有专门的安全防范组织和计算机安全员。

(2)有健全的安全管理规章制度，如机房安全管理制度，设备、数据管理制度及人员调离的安全管理制度等。

(3)要有详尽的工作手册和完整的工作记录。

(4)定期进行风险分析，制定灾难处理对策，如关键岗位人员的联络方法，备份设备如何取得，如何组织系统重建等。(5)建立安全培训制度，进行计算机安全法律教育、职业道德教育及计算机安全常识教育。

(6)制定人员的安全管理制度，如关键岗位人员的定期考核、各部门人员职责的明确、参观中心机房人员的审批和陪同等。5.安全技术措施

(1)有灾难恢复的技术措施。

(2)采取开发工作与业务工作分离的措施。

(3)有应用业务、系统安全审计功能。

(4)有系统操作日志，如每天开、关机，设备运行状况等文字记录。

(5)有服务器备份措施。

(6)有计算机防病毒措施，即有计算机预防、清除病毒的软、硬件产品。1.3计算机系统的安全对策1.3.1安全对策的一般原则

1.需求、风险、代价综合平衡原则一个计算机系统的安全，要根据系统的实际情况(包括系统任务、功能、环节及工作状况等)、威胁、风险和代价进行定性和定量相结合的分析，找出薄弱环节，制定规范。2．综合性、整体性原则对计算机系统的安全对策，应该用系统工程的观点进行综合分析，并贯彻整体性原则。一个计算机系统包括人、设备、软件、数据、网络以及运行等环节。3．易操作性原则计算机系统的许多安全措施要由人去完成，如果措施过于复杂，以致对完成安全操作的人要求很高，这样将降低安全性。

4．适应性和灵活性原则计算机系统的安全措施要能比较容易地适应系统的变，或用较小代价即可适应变化。

5．可评估性原则对计算机系统采取的安全措施应能预先评价，应有相应的评价规范和准则。1.3.2安全策略的职能

1．限制限制那些非法的、偶然的和非授权的信息活动，支持正常的信息活动。

2．监视监视系统的运行，发现异常的信息活动或设备(硬件和软件)故障，进行必要的、法律的、行政的或技术的处理。

3．保障保障系统资源(硬件、软件)和各类数据及信息的完整性、可靠性和可用性。1.3.3安全机制

1．数据加密机制

(1)信息的未授权阅读和修改。

(2)抵赖、否认和伪造。

(3)通信业务流分析。2．数字签名机制数字签名机制用于实现抗抵赖和不可否认服务及鉴别对方身份真实性等特殊服务的场合。数字签名机制的主要特征是：不使用秘密密钥就不能建立签名数据单元。这说明：

(1)除了掌握秘密密钥的人以外，任何人都不能建立数字签名。

(2)接收者不能建立签名数据单元。

(3)发送者不能否认曾经发送过签名的数据单元。3．访问控制机制访问控制机制实施对资源的访问加以限制的策略。

4.数据完整性机制数据完整性机制保护单个数据单元和整个数据单元数的完整性。

5．鉴别交换机制数据鉴别交换机制指信息交换双方之间的相互鉴别。6．路由选择机制通过路由选择机制，可保证数据只在物理上安全的路由上传输，保证机密信息只在具有适当保护措施的路由上传输。

7．抗信息流分析机制该机制通过产生伪通信业务，将数据单元通信量填充到预定的数量，来防止通过通信业务流分析获取情报。

8．公证机制公证机制需要有可信任的第三方，来确保两个实体间信息的性质(如信息的来源，发送、接收时间，信息的完整性等)不断发生变化。

9．环境安全机制物理环境的安全是保证信息安全的重要措施。

10．审查与控制机制各种各样的防护措施均离不开人的掌握和控制，因此,系统的安全最终是由人来控制的。

1.3.4安全对策与安全措施

1.法律保护有关计算机系统安全的法规大体上可以分成两类：一类是社会规范，另一类是技术规范。

1)社会规范社会规范是调整信息活动中人与人之间的行为准则。法的信息实践受到法律保护，并且应遵循如下的原则：(1)合法信息系统原则。(2)合法用户原则。(3)信息公开原则。(4)信息利用原则。(5)资源限制原则。2)技术规范技术规范是调整人与自然界之间关系的准则，其内容包括各种技术标准和规程，如计算机安全标准、网络安全标准、操作系统安全标准、数据和信息安全标准、电磁兼容性标准、电磁泄漏极限等。这些法律和标准是保证计算机系统安全的依据和主要的保障。2．行政管理行政管理是安全管理的一般行政措施，是依据系统的实践活动，为维护系统安全而建立的职能机构和制定的规章制度。3．人员教育要对计算机系统工作人员，如终端操作员、系统管理员、系统设计人员，进行全面的安全、保密教育和职业道德与法制教育，因为他们对系统的功能、结构比较熟悉，对系统的威胁很大。

4．技术安全措施技术安全措施是计算机系统安全的重要保证。1.4计算机系统的安全技术1.４.1计算机系统的安全需求计算机系统的安全需求主要包括：保密性、安全性、完整性、可靠性和可用性以及信息的有效性和合法性。1．保密性保密性是指利用密码技术对信息进行加密处理，以防止信息泄漏。

2．安全性安全性标志着一个信息系统的程序和数据的安全程度，即防止非法使用和访问的程度。

3．完整性完整性表示的是程序和数据等信息的完整程度，使程序和数据能满足预定要求。(1)软件完整性：为了防拷贝，软件要具有惟一标识，还要拒绝动态跟踪；为了防修改，软件要具有抗分析能力和完整性检验手段；软件要进行加密处理。

(2)数据完整性：要保证存储或传输的数据不被非法删改或被意外事件破坏，保持数据的完整。4．可靠性和可用性

可靠性即保证系统硬件和软件无故障或差错，以便在规定条件下执行预定算法的能力。

5．信息的有效性和合法性信息收方应能证实它收到的信息的内容和顺序都是真实的，应能检验收到的信息是否过时或是某种信息的重播。1.4.2安全系统的设计原则

(1)成本效率原则：应使系统效率最高而成本最低。

(2)简易性原则：简单易行的控制比复杂控制更有效和更可靠，也更受人欢迎，而且省钱。

(3)超越控制原则：一旦控制失灵(紧急情况下)，要采取预定的控制措施和方法步骤。

(4)公开设计与操作原则：保密并不是一种强有力的安全方式，过分信赖可能会导致控制失灵。(5)最小特权原则：只限于需要才给予这部分特权，但应限定其他系统特权。

(6)分工独立性原则：控制、负责设计、执行和操作不应该是同一个人。

(7)设置陷阱原则：在访问控制中设置一种易入的"孔穴"，以引诱某些人进行非法访问，然后将其抓获。

(8)环境控制原则；对于环境控制这一类问题，应予重视，而不能忽视。(9)接受能力原则：如果各种控制手段不能为用户或受这种控制影响的人所接受、控制则无法实现。

(10)承受能力原则：应该把各种控制设计成可容纳最大多数的威胁，同时也能容纳那些很少遇到的威胁的系统。

(11)检查能力原则：要求各种控制手段产生充分的证据，以显示已完成的操作是正确无误的。

(12)防御层次原则：要建立多重控制的强有力系统，如信息加密、访问控制和审计跟踪等。(13)记账能力原则：无论谁进入系统，对其所作所为一定要负责，且系统要予以详细登记。

(14)分割原则：把受保护的系统分割为几个部分，并一一加以保护，以增强其安全性。

(15)环状结构原则：采用环状结构的控制方式最保险。

(16)外围控制原则：重视"篱笆"和"围墙"的控制作用。

(17)规范化原则：控制设计要规范化，成为"可论证的安全系统"。(18)错误拒绝原则：当控制出错时，必须能完全地关闭系统，以防受攻击。

(19)参数化原则：控制能随着环境的改变予以调节。

(20)敌对环境原则：可以抵御最坏的用户企图，容忍最差的用户能力及其他可怕的用户。

(21)人为干预原则：在每个危急关头或作重大决策时，为慎重起见，必须有人为干预。(22)隐蔽性原则：对职员和受控对象隐蔽控制手段或其操作的详情。

(23)安全印象原则：在公众面前应保持一种安全、平静的形象。

原则之一：安全与保密的“木桶原则”，即需考虑对网络数据信息进行均衡、全面的安全保护。原则之二：网络信息安全系统的“整体性原则”，即应综合考虑安全防护、监测和应急恢复。原则之三：信息安全系统的“有效性与实用性”原则，即不能影响系统的正常运行和合法用户的操作。原则之四：信息安全系统的“安全性评价”原则，即实用安全性要与用户需求和应用环境紧密相关。

原则之五：信息安全系统的“等级性”原则，即区分安全层次和安全级别。原则之六：信息安全系统的“动态化”原则，即整个系统尽可能引入更多的可变因素，并具有良好的扩展性。