計算機系統(tǒng)安全概述2

計算機系統(tǒng)安全概述

李曉勇

課程內(nèi)容

?信息安全歷史、概念和關(guān)系

?安全攻擊示例

?安全模型

?風(fēng)險管理

?安全體系

?重要安全標(biāo)準(zhǔn)

信息安全概念

?ISO的定義：

-為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護，

保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因

而遭到破壞、更改和顯露。

信息系統(tǒng)安全概念

?確保以電磁信號為主要形式的，在計算機網(wǎng)絡(luò)化

系統(tǒng)中進行獲取、處理、存儲、傳輸和利用的信

息內(nèi)容，在各個物理位置、邏輯區(qū)域、存儲和傳

輸介質(zhì)中，處于動態(tài)和靜態(tài)過程中的機密性、完

整性、可用性、可審查性和抗抵賴性的，與人、

網(wǎng)絡(luò)、環(huán)境有關(guān)的技術(shù)和管理規(guī)程的有機集合。

——戴宗坤羅萬伯《信息系統(tǒng)安全》

信息安全的發(fā)展歷史

信息安全的發(fā)展經(jīng)歷了三個歷史時期：

?通信安全（COMSEC）

-保密性。

?信息安全（INFOSEC）

-保密性、完整性、可用性。

?信息保障（IA）

-保密性、完整性、可用性、可控性、不可否認(rèn)性

Confidentialityintegrityavailability

方濱興院士

怎些上

不

務(wù)虛：信息安全的歷史回顧/

信息安全：

通信安全：保障包括硬件、軟保障信息系統(tǒng)不

II授權(quán)用衿件、固件在內(nèi)的信能被作授權(quán)訪問,

不能得到信息系統(tǒng)資源、以及所存儲、處理或傳

息,授權(quán)用所處理、存儲、傳輸?shù)男畔⒉荒鼙蛔?/p>

戶能夠獲得輸?shù)男畔⒌臋C密性、授權(quán)修改,授權(quán)用

通信保障完整性以及可用性。戶可以隨時使用。

COMSECCOMPUSECINFOSEC

40年代70年代90年代

2

信息確保：

用于保護信息和信息系統(tǒng)的

方濱興院士機密性、可鑒別性、完整性、

可用性以及不可抵賴性的信

息操作。通過施加額外的防

護、檢測和響應(yīng)等安全服務(wù)

軟件確保的基本理念能力未保障信息系統(tǒng)的安全

使用

源頭安全

機制

軟件確保是通過有計劃的

活動來確保勃欠件過程和軟

|l|HA,、<r>.1*?

于i1rfn習(xí)S、

和開發(fā)程療,共運彳丁"i果

軟件

是可.預(yù)期的.H用危羽怕三是

不可被利用的O

90年代19982003

洪去卻甯大，爭

25

信息安全內(nèi)容

?不統(tǒng)一：

-ISO/IEC17799

-ISO/IEC15408

-ISO/IECTR13335

-ISO7498-2

OO

ISO/IEC17799

?信息安全內(nèi)容：

-保密性(Confidentiality)

-完整性(Integrity)

-可用性(Availability)

ISO/IECTR13335-1

?安全內(nèi)容:

-Confidentiality（保密性）

-Integrity（完整性）

-Availabi1ity（可用性）

-Non-repudiation（不可抵賴性）

-Accountabi1ity（可追蹤性）

-Authentity&Reliability（真實性和可靠性）

ISO7498-2

?信息安全服務(wù):

-認(rèn)證

-訪問控制

-保密性

-完整性

-不可否認(rèn)性

方濱興院士

信息安全金三角(OA)

>CIA：構(gòu)建信息安全的核心屬性

機密性(Confidentiality)

完整性可用性

(Integrity)(Avaliability)

，準(zhǔn)確的應(yīng)該是CACA

?機密性(confidentiality)、可鑒另U性(authentication)、

可控性(controllability)、可用性(availability)

域才大號

方濱興院士

信息確保的要素

小去,塞大身

保密性

?保證機密信息不會泄露給非授權(quán)的人或?qū)嶓w,

或供其使用的特性

?案例

完整性

?防止信息被未經(jīng)授權(quán)的篡改，保證真實的信

息從真實的信源無失真地到達真實的信宿

?案例

可用性

?保證信息及信息系統(tǒng)確實為授權(quán)使用者所用,

防止由于計算機病毒或其它人為因素造成的

系統(tǒng)拒絕服務(wù)，或為敵手可用，信息系統(tǒng)能

夠在規(guī)定的條件下和規(guī)定的時間內(nèi)完成規(guī)定

的功能

?案例

身份真實性

?能對通信實體身份的真實性進行鑒別

?案例

系統(tǒng)可控性

?能夠控制使用資源的人或?qū)嶓w的使用方式

?案例

不可抵賴性

?建立有效的責(zé)任機制,防止實體否認(rèn)其行為

?案例

可審查性

?對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段

?案例

信息安全認(rèn)識

?安全要素:

-資產(chǎn)

-弱點

—威脅

-風(fēng)險

-安全控制

信息安全風(fēng)險管理:以資產(chǎn)為核心

信息安全管理：以風(fēng)險管理為基礎(chǔ)

ISO/IEC15408：安全概念

risuie4.1-安全概念和關(guān)系

信息安全風(fēng)險評估指南：安全概念

NISTSP800-33

?安全目標(biāo)

-可用性

-完整性

-保密性

-可追蹤性

-保證性

安全目標(biāo)的依賴關(guān)系

安全服務(wù)模型

可用性服務(wù)

7

預(yù)防

交易隱私

鑒別不可否認(rèn)性恢復(fù)

支持

用戶或

授權(quán)

進程

1T審計

訪問控制實施

八

完整性證據(jù)

入侵檢測和遏制八

恢復(fù)到“安

全”狀態(tài)

通信保護

（防止泄漏、替換、修改以及重放）

標(biāo)識（和命名）

密鑰管理

安全管理

系統(tǒng)保護

（最小權(quán)限、客體重用、進程分離等）

完整性服務(wù)

密鑰管理

保密性服務(wù)

可追蹤性服務(wù)

保證服務(wù)

課程內(nèi)容

?信息安全歷史、概念和關(guān)系

?安全攻擊示例

?安全模型

?風(fēng)險管理

?安全體系

?重要安全標(biāo)準(zhǔn)

攻擊過程示例

演示1

演示2

攻擊過程總結(jié)

?踩點

?攻擊

?留下暗門

?消滅蹤跡（沒做好）

???/??/??/?./信息安全儲備/攻防/服務(wù)器安全技巧：

Unix系統(tǒng)的攻擊和防范

%20%20DOSERV_com%20服務(wù)器在

線,htm

可能破壞?

?討論

攻擊分析

?攻擊者

?動機

?能力和機會

?攻擊種類

攻擊者

?惡意

-國家

_黑客

-恐怖分子/計算機恐怖分子

-有組織犯罪

-其它犯罪成員

-國際新聞社

-工業(yè)競爭

-T-、旺*口

一不滿雇貝

?非惡意

-粗心或未受到良好培訓(xùn)的雇員

動機

?獲取機密或敏感數(shù)據(jù)的訪問權(quán)

?跟蹤或監(jiān)視目標(biāo)系統(tǒng)的運行（跟蹤分析）

?破壞目標(biāo)系統(tǒng)的運行

?竊取錢物、產(chǎn)品或服務(wù)

?獲取對資源的免費使用

?使目標(biāo)陷入窘境

?攻克可擊潰安全機制的技術(shù)挑戰(zhàn)

攻擊風(fēng)險

?暴露其進行其它類型攻擊的能力

?打草驚蛇，尤其是當(dāng)可獲取的攻擊利益

巨大時引起目標(biāo)系統(tǒng)的防范

?遭受懲罰（如罰款、坐牢等）

?危及生命安全

攻擊者愿意接受的風(fēng)險級別取決于其攻擊動機

能力和機會

?能力因素

-施展攻擊的知識和技能

-能否得到所需資源

?機會

-系統(tǒng)的漏洞、錯誤配置、未受保護環(huán)境

-安全意識薄弱

我們不可能口攻擊者的能力，

但可以II其攻擊機會

攻擊種類

?被動攻擊

?主動攻擊

?臨近攻擊

?內(nèi)部人員攻擊

?分發(fā)攻擊

攻擊對策

攻擊種類典型對策

被動攻擊VPN,網(wǎng)絡(luò)加密、使用受到保護的分布式網(wǎng)絡(luò)

主動攻擊邊界保護（如防火墻）、基于身份認(rèn)證的訪問控制、受保

護的遠程訪問、質(zhì)量安全管理、病毒檢測、審計、入侵檢

測

臨近攻擊

內(nèi)部人員攻擊安全意識培訓(xùn)、審計、入侵檢測、安全策略及強制實施、

基于計算機和網(wǎng)絡(luò)組件中信任技術(shù)對關(guān)鍵數(shù)據(jù)/服務(wù)器/局

域網(wǎng)實施專業(yè)的訪問控制、強的身份標(biāo)識和鑒別技術(shù)

分發(fā)攻擊加強對過程其間的配置控制、使用受控分發(fā)、簽名軟件、

訪問控制

課程內(nèi)容

?信息安全歷史、概念和關(guān)系

?安全攻擊分析

?安全模型

?風(fēng)險管理

?安全體系

?重要安全標(biāo)準(zhǔn)

基于時間的PDR安全模型

P—Protection.D一Detection>R一React

Pt

Pt>Dt+Rt,則該系統(tǒng)是安全的

Pt<Dt+Rt,則該系統(tǒng)是不安全的，且Et=(Dt+Rt)-Pt為安全暴露時間

所謂P2DR

防護

安全n

響\

\應(yīng)

所謂PDRR

WPDRRC模型

模型的價值

?用戶：

-提高安全認(rèn)識

?廠商：

-圍繞利益

小結(jié)

?安全概念

?安全認(rèn)識

?安全模型

課程內(nèi)容

?信息安全歷史、概念和關(guān)系

?安全攻擊示例

?安全模型

?風(fēng)險管理

?安全體系

?重要安全標(biāo)準(zhǔn)

風(fēng)險管理

?信息安全某種程度上就是風(fēng)險管理過程。

?風(fēng)險管理過程包含哪些？

風(fēng)險管理過程

?風(fēng)險評估

?風(fēng)險減緩

?評價與評估

風(fēng)險評估

?風(fēng)險評估是風(fēng)險管理方法學(xué)中的第一個過程。機

構(gòu)應(yīng)使用風(fēng)險評估來確定潛在威脅的程度以及貫

穿整個SDLC中的IT相關(guān)風(fēng)險。

?該過程的輸出可以幫助我們確定適當(dāng)?shù)陌踩刂?

從而在風(fēng)險減緩過程中減緩或消除風(fēng)險。

風(fēng)險

?風(fēng)險是可能性知影響的舀數(shù)前者指給定的威脅

源利用一個特定的潛在脆弱性的可能性，后者指

不利事件對機構(gòu)產(chǎn)星的影響。

?為了確定未來的不利事件發(fā)生的可能性，必須要

對IT系統(tǒng)面臨的威脅、可能的脆弱性以及IT系統(tǒng)

中部署的安全控制一起進行分析。影響是指因為

一個威脅攻擊脆弱性而造成的危害程度。

MA

系

鹿

件

?

蚊

件

?系

系

統(tǒng)

系

?接O

嶷

數(shù)

和

性

倍

?息

或

人

?系

性

風(fēng)

?系統(tǒng)攻擊歷史

?來自慟板機構(gòu).

NIPC.OIG.?威脅西明

險FedCIRC.大眾婢

偉的數(shù)據(jù)

?以的的風(fēng)險用體胭

評

?任何審計意見?可能的照弱性到乘

?交全^^

?女全怖祓然果

估

?當(dāng)儲的投制?當(dāng)?shù)闹魴C反觀則拄

?規(guī)刎的控制制話范

?城肺譙的動機

步?威解的能力?可能性級別

?脫弱性的怪厭

?當(dāng)?shù)牡目刂?/p>

?分析對使命的盤晌

驟

?評估資產(chǎn)的關(guān)鍵性

?數(shù)據(jù)關(guān)鍵僮

?彩晌級別

?數(shù)據(jù)敏強性

?盛勒破壞的可匿性

?影晌的程度

?風(fēng)險應(yīng)相關(guān)風(fēng)除的

?知劃中或當(dāng)前控制

的足修性破別

步驟8：對安全控制提出建議?建設(shè)的控制

步驟9：記錄評估結(jié)果?風(fēng)珍普佑根豈

風(fēng)險減緩

課程內(nèi)容

?信息安全歷史、概念和關(guān)系

?安全攻擊示例

?安全模型

?風(fēng)險管理

?安全體系

?重要安全標(biāo)準(zhǔn)

IS07498-2：信息安全體系結(jié)構(gòu)

?信息處理系統(tǒng)開放系統(tǒng)互連基本參考模型

?第二部分：安全體系結(jié)構(gòu)

?1989215頒布，確立了基于OSI參考模

型的七層協(xié)議之上的信息安全體系結(jié)構(gòu)

-五類服務(wù)

?認(rèn)證、訪問控制、保密性、完整性、不可否認(rèn)性

-八種機制

?加密、數(shù)字簽名、訪問控制、數(shù)據(jù)完整性、認(rèn)證交

換、業(yè)務(wù)流填充、路由控制、公證

-OSI安全管理

五大類安全服務(wù)

?認(rèn)證?完整性

一對等實體認(rèn)證-可恢復(fù)的連接完整性

-數(shù)據(jù)起源認(rèn)證-不可恢復(fù)的連接完整性

?訪問控制-選擇字段的連接完整性

?機密性-無連接完整性

-選擇字段的無連接完整性

-連接機密性

-無連接機密性?抗否認(rèn)

-選擇字段機密性-數(shù)據(jù)起源的抗否認(rèn)

-業(yè)務(wù)流機密性-傳遞過程的抗否認(rèn)

八類安全機制

?加密?另有

?數(shù)字簽名-可信功能模塊

?訪問控制-安全標(biāo)記

-事件檢測

?數(shù)據(jù)完整性

-安全審計追蹤

?認(rèn)證交換-安全恢復(fù)

?業(yè)務(wù)流填充

?路由控制

?公證

機制與實現(xiàn)的安全服務(wù)

數(shù)

業(yè)

路

加訪公

務(wù)

由

據(jù)

密問證

流

控

完

控

填

制

整

機制制

充

服務(wù)性

對等實體認(rèn)證v7

數(shù)據(jù)起源認(rèn)證

訪問控制服務(wù)v7

連接機密性

無連接機密性A/

選擇字段機密A/

性

業(yè)務(wù)流機密性V7v7

機制與實現(xiàn)的安全服務(wù)（續(xù)）

數(shù)

業(yè)

路

訪

加認(rèn)公

務(wù)

據(jù)

由

問

機黯、證

密證

流

完

控

交

控

填

整

服務(wù)換

制

制

充

性

可恢復(fù)的連接完整性

不可恢復(fù)的連接完整性

選擇字段的連接完整性

無連接完整性

選擇字段的無連接完整

性

數(shù)據(jù)起源的抗否認(rèn)

傳遞過程的抗否認(rèn)V7

7”表示機制適合提供該種服務(wù)，空格表示機制不適合提供該種服務(wù)。

安全服務(wù)與層之間的關(guān)系

表

會

物

鏈

網(wǎng)傳應(yīng)

示

話

理

路

絡(luò)

輸用

層

層

層

層

層

服務(wù)層層

對等實體認(rèn)證v7v7

數(shù)據(jù)起源認(rèn)證V7v7v7

訪問控制服務(wù)V7

連接機密性v7v7M

無連接機密性v7V7Mv7v7

選擇字段機密性A/V7

業(yè)務(wù)流機密性V7V7

安全服務(wù)與層之間的關(guān)系（續(xù)）

表

會

物

鏈

傳

網(wǎng)應(yīng)

示

話

理

路

輸

絡(luò)

層

層

層

層

分層

層用

服務(wù)層

可恢復(fù)的連接完整性V7

不可恢復(fù)的連接完整性

選擇字段的連接完整性

無連接完整性M

選擇字段的無連接完整

性

數(shù)據(jù)起源的抗否認(rèn)

傳遞過程的抗否認(rèn)

T”表示該服務(wù)應(yīng)該在相應(yīng)的層中提供，空格表示不提供。

IATF

?InformationAssuranceTechnical

Framework

?美國國家安全局

深層防御戰(zhàn)略(Defense-hDepth)

成功的組織功能

信息保障

深層防御戰(zhàn)略

人

操作依靠

技術(shù)

技術(shù)執(zhí)行

操作

層疊的方法和保護層次

保護網(wǎng)絡(luò)和保護飛地保護計算環(huán)支撐性基礎(chǔ)設(shè)施

基礎(chǔ)設(shè)施邊界境

KMI/PKI檢測和響

__________應(yīng)

硬件和軟件提供商

通

向

其

它

飛

地

邊

界

7

攻擊類型

飛地邊界

□內(nèi)部人

邊界保護（防火墻，護衛(wèi)）55分發(fā)攻擊瓜

0遠程訪問保護（通信照務(wù)春，加密等）物理臨近

深層防御的技術(shù)層面

深層防御戰(zhàn)略的含義

?層次化、多樣性

-人、操作、技術(shù)

-網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)、主機

-預(yù)警、保護、檢測、反應(yīng)、恢復(fù)

?在攻擊者成功地破壞了某個保護機制的情況下,

其它保護機制能夠提供附加的保護。

?采用層次化的保護策略并不意味著需要在網(wǎng)絡(luò)

體系結(jié)構(gòu)的各個可能位置實現(xiàn)信息保障機制，

通過在主要位置實現(xiàn)適當(dāng)?shù)谋Ｗo級別，便能夠

依據(jù)各機構(gòu)的特殊需要實現(xiàn)有效保護。

課程內(nèi)容

?信息安全歷史、概念和關(guān)系

?安全攻擊示例

?安全模型

?風(fēng)險管理

?安全體系

?重要安全標(biāo)準(zhǔn)

標(biāo)準(zhǔn)的重要性

?知識性：了解安全背景

?指南性：指導(dǎo)實踐

?溝通性：

OOO

彩虹系列

?Therainbowseriesisalibraryofabout37documentsthataddress

specificareasofcomputersecurity.Eachofthedocumentsisadifferent

color,whichishowtheybecametoberefereedtoastheRainbow

Series.TheprimarydocumentofthesetistheTrustedComputer

SystemEvaluationCriteria(5200.28-STD,OrangeBook),dated

December26,1985.Thisdocumentdefinesthesevendifferentlevelsof

trustthataproductcanachieveundertheTrustedProductEvaluation

Program(TPEP)withinNSA.Someofthetitlesinclude,Password

Management,Audit,DiscretionaryAccessControl,TrustedNetwork

Interpretation,ConfigurationManagement,Identificationand

Authentication,ObjectReuseandCovertChannels.AnewInternational

criteriaforsystemandproductevaluationcalledtheInternational

CommonCriteria(ICCC)hasbeendevelopedforproductevaluations.

TheTCSEChasbeenlargelysupercededbytheInternationalCommon

Criteria,butisstillusedforproductsthatrequireahigherlevelof

assuranceinspecificoperationalenvironments.Mostoftherainbow

seriesdocumentsareavailableon-line.

TCSEC

?在TCSEC中，美國國防部按處理信息的等級和應(yīng)

采用的響應(yīng)措施，將計算機安全從高到低分為：

A、B、C、D四類八個級別，共27條評估準(zhǔn)則

?隨著安全等級的提高，系統(tǒng)的可信度隨之增加，

風(fēng)險逐漸就少。

TCSEC

?四個安全等級:

-無保護級

-自主保護級

-強制保護級

-驗證保護級

TCSEC

?D類是最低保護等級，即無保護級

?是為那些經(jīng)過評估，但不滿足較高評估等級要求

的系統(tǒng)設(shè)計的，只具有一個級別

?該類是指不符合要求的那些系統(tǒng)，因此，這種系

統(tǒng)不能在多用戶環(huán)境下處理敏感信息

TCSEC

?c類為自主保護級

-具有一定的保護能力，采用的措施是自主訪問控

制和審計跟蹤

-一般只適用于具有一定等級的多用戶環(huán)境

?具有對主體責(zé)任及其動作審計的能力

TCSEC

?C類分為Cl和C2兩個級別:

-自主安全保護級（C1級）

-控制訪問保護級（C2級）

TCSEC

?B類為強制保護級

?主要要求是TCB應(yīng)維護完整的安全標(biāo)記，并在此基

礎(chǔ)上執(zhí)行一系列強制訪問控制規(guī)則

?B類系統(tǒng)中的主要數(shù)據(jù)結(jié)構(gòu)必須攜帶敏感標(biāo)記

?系統(tǒng)的開發(fā)者還應(yīng)為TCB提供安全策略模型以及

TCB規(guī)約

?應(yīng)提供證據(jù)證明訪問監(jiān)控器得到了正確的實施

TCSEC

?B類分為三個類別：

-標(biāo)記安全保護級（B1級）

-結(jié)構(gòu)化保護級（B2級）

-安全區(qū)域保護級（B3級）

TCSEC

?A類為驗證保護級

?A類的特點是使用形式化的安全驗證方法，保證系

統(tǒng)的自主和強制安全控制措施能夠有效地保護系

統(tǒng)中存儲和處理的秘密信息或其他敏感信息

?為證明TCB滿足設(shè)計、開發(fā)及實現(xiàn)等各個方面的安

全要求，系統(tǒng)應(yīng)提供豐富的文檔信息

TCSEC

?A類分為兩個類別：

-驗證設(shè)計級（A1級）

-超A1級

ISO/IEC15408

?IT安全評估通用準(zhǔn)則(CommonCriteriafor

InformationTechnologySecurityEvaluation)

ISO/IECJTC1

SC27WG3

ISO/IEC15408的歷史

ISO/IEC15408的背景

?ISO/IECJTC1SC27WG3（國際標(biāo)準(zhǔn)化組織和國際電工委員會的聯(lián)合

技術(shù)委員會）

-GWI：信息安全有關(guān)的需求、服務(wù)和指南

-WG2：信息安全技術(shù)和機制

-WG3:信息安全評估標(biāo)準(zhǔn)

?六國七方共同提出：

-Canada:CommunicationsSecurityEstablishment

-France:ServiceCentraldelaSecuritedesSystemesd'Information

-Germany:BundesamtfurSicherheitinderInformationstechnik

-Netherlands:NetherlandsNationalCommunicationsSecurityAgency

-UnitedKingdom:Communications-ElectronicsSecurityGroup

-UnitedStates:NationalInstituteofStandardsandTechnology

-UnitedStates:NationalSecurityAgency

ISO/IEC15408的相關(guān)組織

?CCEB：CCEditorialBoard,VI.0

?CCIB：CCImplememtationBoard,V2.0

?CCIMB:CCInterpretationsManagementBoard,

responsibleforinterpretationsofVersion2.0

?在ISO中的正式名稱是“信息技術(shù)安全評價標(biāo)準(zhǔn)”

ISO/IEC15408標(biāo)準(zhǔn)的組成

?包括三個部分:

-簡介和一般模型

-安全功能要求

-安全保障要求

ISO/IEC15408的作用

客戶開發(fā)人員評估人員

用于了解背景信息和用于了解背景信息，開用于了解背景信息和

第一部分參考。發(fā)安全要求和形成TOE參考目的。

PP的指導(dǎo)性結(jié)構(gòu)。的安全規(guī)范的參考。PP和ST的指導(dǎo)性結(jié)構(gòu)。

當(dāng)確定TOE是否有效

在闡明安全功能要求用于解釋功能要求和生

地符合已聲明的安全

第二部分的描述時用作指導(dǎo)和成TOE功能規(guī)范的參考。

功能時，用作評估準(zhǔn)

參考。

則的強制性描述。

當(dāng)解釋保證要求描述和當(dāng)確定TOE的保證和

用于指導(dǎo)保證需求級

第三部分確定TOE的保證措施時，評估PP和ST時，用于

別的確定

用作參考。評估準(zhǔn)則的強制描述。

要求和規(guī)范的導(dǎo)出