計(jì)算機(jī)系統(tǒng)安全概述

計(jì)算機(jī)系統(tǒng)安全概述1.計(jì)算機(jī)系統(tǒng)存在的安全問(wèn)題6359.42730.51010.1010203040506070被入侵過(guò)沒(méi)有被入侵過(guò)不知道過(guò)去一年內(nèi)中國(guó)互連網(wǎng)用戶(hù)計(jì)算機(jī)被入侵的情況備注：用戶(hù)是指平均每周使用互連網(wǎng)至少1小時(shí)的中國(guó)公民2009年7月2009年1月第2頁(yè),共53頁(yè)，2024年2月25日，星期天時(shí)間發(fā)生的主要事件損失1983年“414黑客”。這6名少年黑客被控侵入60多臺(tái)電腦，1987年赫爾伯特·齊恩（“影子鷹”）闖入美國(guó)電話(huà)電報(bào)公司1988年羅伯特-莫里斯“蠕蟲(chóng)”程序。造成了1500萬(wàn)到1億美元的經(jīng)濟(jì)損失。1990年“末日軍團(tuán)”4名黑客中有3人被判有罪。1995年米特尼克偷竊了2萬(wàn)個(gè)信用卡號(hào)8000萬(wàn)美元的巨額損失。1998年2月德國(guó)計(jì)算機(jī)黑客米克斯特使美國(guó)七大網(wǎng)站限于癱瘓狀態(tài)第3頁(yè),共53頁(yè)，2024年2月25日，星期天時(shí)間發(fā)生的主要事件損失1998年兩名加州少年黑客。以色列少年黑客“分析家查詢(xún)五角大樓網(wǎng)站并修改了工資報(bào)表和人員數(shù)據(jù)。1999年4月

“ＣＩＨ”病毒保守估計(jì)全球有６千萬(wàn)部的電腦受害。1999年北京江民KV300殺毒軟件損失260萬(wàn)元。2000年2月

“雅虎”、“電子港灣”、亞馬遜、微軟網(wǎng)絡(luò)等美國(guó)大型國(guó)際互聯(lián)網(wǎng)網(wǎng)站。損失就超過(guò)了10億美元，其中僅營(yíng)銷(xiāo)和廣告收入一項(xiàng)便高達(dá)1億美元。2000年4月闖入電子商務(wù)網(wǎng)站的威爾斯葛雷估計(jì)導(dǎo)致的損失可能超過(guò)三百萬(wàn)美元。2000年10月27全球軟件業(yè)龍頭微軟懷疑被一伙藏在俄羅斯圣彼得堡的電腦黑客入侵可能竊取了微軟一些最重要軟件產(chǎn)品的源代碼或設(shè)計(jì)藍(lán)圖。第4頁(yè),共53頁(yè)，2024年2月25日，星期天第5頁(yè),共53頁(yè)，2024年2月25日，星期天第6頁(yè),共53頁(yè)，2024年2月25日，星期天計(jì)算機(jī)安全影響到國(guó)家的安全和主權(quán)小小的一塊帶病毒的芯片，讓伊拉克從此蒙受一場(chǎng)戰(zhàn)爭(zhēng)的屈辱。美國(guó)中央情報(bào)局采用“偷梁換拄”的方法，將帶病毒的電腦打印機(jī)芯片，趁貨物驗(yàn)關(guān)之際換入伊拉克所購(gòu)的電腦打印機(jī)中----------第7頁(yè),共53頁(yè)，2024年2月25日，星期天本章學(xué)習(xí)目標(biāo)

（1）明確計(jì)算機(jī)安全的基本概念以及安全的重要性，掌握安全模型。（2）了解計(jì)算機(jī)信息系統(tǒng)的主要安全法規(guī)及體系結(jié)構(gòu)。第8頁(yè),共53頁(yè)，2024年2月25日，星期天本章主要內(nèi)容

KeyQuestions1:計(jì)算機(jī)系統(tǒng)存在的安全問(wèn)題2：計(jì)算機(jī)系統(tǒng)安全的概念3：安全模型4：計(jì)算機(jī)安全法規(guī)與標(biāo)準(zhǔn)5：計(jì)算機(jī)安全體系結(jié)構(gòu)第9頁(yè),共53頁(yè)，2024年2月25日，星期天安全威脅a)硬件的安全隱患；b)操作系統(tǒng)安全隱患；c)網(wǎng)絡(luò)協(xié)議的安全隱患；d)數(shù)據(jù)庫(kù)系統(tǒng)安全隱患；e)計(jì)算機(jī)病毒；f)管理疏漏，內(nèi)部作案。第10頁(yè),共53頁(yè)，2024年2月25日，星期天安全隱患硬件設(shè)備的安全隱患CPU:Intel公司在奔騰IIICPU中加入處理器序列號(hào)，因此Intel涉嫌干涉?zhèn)€人隱私，但要害問(wèn)題則是政府機(jī)關(guān)、重要部門(mén)非常關(guān)心由這種CPU制造的計(jì)算機(jī)在處理信息或數(shù)據(jù)時(shí)所帶來(lái)的信息安全問(wèn)題，即這種CPU內(nèi)含有一個(gè)全球唯一的序列號(hào)，計(jì)算機(jī)所產(chǎn)生的文件和數(shù)據(jù)都會(huì)附著此序列號(hào)，因而由此序列號(hào)可以追查到產(chǎn)生文件和數(shù)據(jù)的任何機(jī)器。第11頁(yè),共53頁(yè)，2024年2月25日，星期天安全隱患網(wǎng)絡(luò)設(shè)備：我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)使用的絕大部分網(wǎng)絡(luò)設(shè)備，如路由器、集線(xiàn)器、交換機(jī)、服務(wù)器、以及網(wǎng)絡(luò)軟件等都是進(jìn)口的，其安全隱患不容忽視。一些交換機(jī)和路由器具有遠(yuǎn)程診斷和服務(wù)功能，既然可以遠(yuǎn)程進(jìn)入系統(tǒng)服務(wù)、維修故障，也就可以遠(yuǎn)程進(jìn)入系統(tǒng)了解情報(bào)、越權(quán)控制。更有甚者，國(guó)外一著名網(wǎng)絡(luò)公司以"跟蹤服務(wù)"為由，在路由器中設(shè)下"機(jī)關(guān)"、可以將網(wǎng)絡(luò)中用戶(hù)的包信息同時(shí)送一份到其公司總部。第12頁(yè),共53頁(yè)，2024年2月25日，星期天安全隱患b)操作系統(tǒng)安全隱患計(jì)算機(jī)操作系統(tǒng)歷來(lái)被美國(guó)一些大公司所壟斷，但這些操作系統(tǒng)的源程序都是不公開(kāi)的，在安全機(jī)制方面存在著諸多漏洞和隱患。計(jì)算機(jī)黑客能輕而易舉地從"后門(mén)"進(jìn)入系統(tǒng)，取得系統(tǒng)控制權(quán)，并危及計(jì)算機(jī)處理或存儲(chǔ)的重要數(shù)據(jù)。如Windows95存在兩千多處缺陷。第13頁(yè),共53頁(yè)，2024年2月25日，星期天安全隱患b)操作系統(tǒng)安全隱患——OS的體系結(jié)構(gòu)造成其本身不安全1、I/O、系統(tǒng)服務(wù)程序等都可用打補(bǔ)丁方式進(jìn)行動(dòng)態(tài)連接。廠(chǎng)商用這種方式升級(jí)，而攻擊者也用此方法。2、為了實(shí)現(xiàn)通用性、可裁剪性，能夠安裝其他公司的軟件包，這些軟件包往往是操作系統(tǒng)的一部分，需要與操作系統(tǒng)同樣的訪(fǎng)問(wèn)特權(quán)，安裝這些軟件包的“抓鉤”程序就是非法攻擊者入侵操作系統(tǒng)的陷門(mén)。3、網(wǎng)絡(luò)上進(jìn)行文件傳輸、加載將帶來(lái)安全隱患。另外，能進(jìn)行遠(yuǎn)程進(jìn)程的創(chuàng)建與激活，這為安裝“間諜”軟件提供了條件。4、操作系統(tǒng)存在隱蔽信道：進(jìn)程間通過(guò)不受強(qiáng)制訪(fǎng)問(wèn)控制保護(hù)的通信途徑。第14頁(yè),共53頁(yè)，2024年2月25日，星期天安全隱患c)網(wǎng)絡(luò)協(xié)議的安全隱患網(wǎng)絡(luò)協(xié)議也都由美國(guó)等國(guó)家開(kāi)發(fā)或制定標(biāo)準(zhǔn)。其安全機(jī)制也存在先天不足，協(xié)議還具有許多安全漏洞，為攻擊者提供了方便，如地址欺騙等。Internet應(yīng)用協(xié)議中缺乏認(rèn)證、保密等措施，也使攻擊者比較容易得手。TCP/IP協(xié)議安全漏洞：包監(jiān)視、泄露、地址欺騙、序列號(hào)攻擊、路由攻擊、拒絕服務(wù)、鑒別攻擊。應(yīng)用層安全隱患：Finger、FTP、Telnet、E-mail、SNMP、RPC、NFS第15頁(yè),共53頁(yè)，2024年2月25日，星期天安全隱患d)數(shù)據(jù)庫(kù)系統(tǒng)安全隱患由于數(shù)據(jù)庫(kù)平臺(tái)全系引進(jìn)，盡管廠(chǎng)商聲稱(chēng)具有安全機(jī)制，但對(duì)國(guó)內(nèi)用戶(hù)猶如一個(gè)"黑匣子"。數(shù)據(jù)庫(kù)的攻擊分直接攻擊和間接攻擊兩大類(lèi)。直接攻擊是通過(guò)查詢(xún)以得到幾個(gè)記錄來(lái)直接搜索并確定敏感字段的值，最成功的技術(shù)是形成一種特定的查詢(xún)它恰與一個(gè)數(shù)據(jù)項(xiàng)相匹配。間接攻擊是依據(jù)一種或多種統(tǒng)計(jì)值推斷出結(jié)果。統(tǒng)計(jì)攻擊通過(guò)使用某些明顯隱匿的統(tǒng)計(jì)量來(lái)推導(dǎo)出數(shù)據(jù)，例如使用求和等統(tǒng)計(jì)數(shù)據(jù)來(lái)得到某些數(shù)據(jù)。第16頁(yè),共53頁(yè)，2024年2月25日，星期天安全隱患e)計(jì)算機(jī)病毒威脅計(jì)算機(jī)病毒是一種能夠進(jìn)行自我復(fù)制的程序，可以通過(guò)多種方式植入計(jì)算機(jī)中，通過(guò)Internet網(wǎng)植入病毒更容易。病毒運(yùn)行后可能損壞文件、使系統(tǒng)癱瘓，造成各種難以預(yù)料的后果。由于在網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒具有不可估量的威脅性和破壞力，因此計(jì)算機(jī)病毒的防范是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán)。新的病毒不僅刪除文件、使數(shù)據(jù)丟失，甚至破壞系統(tǒng)硬件，可以造成巨大損失。1998年美國(guó)"莫里斯"病毒發(fā)作，一天之內(nèi)使6000多臺(tái)計(jì)算機(jī)感染，損失達(dá)9000萬(wàn)美元。第17頁(yè),共53頁(yè)，2024年2月25日，星期天安全隱患f)管理疏漏，內(nèi)部作案。據(jù)權(quán)威資料片《筑起網(wǎng)上長(zhǎng)城》介紹，互聯(lián)網(wǎng)上的計(jì)算機(jī)犯罪、黑客攻擊等非法行為７０％來(lái)自于內(nèi)部網(wǎng)絡(luò)。金融、證券、郵電、科研院所、設(shè)計(jì)院、政府機(jī)關(guān)等單位幾乎是天生的受攻擊者，內(nèi)部人員對(duì)本單位局域網(wǎng)的熟悉又加劇了其作案和被外部人勾結(jié)引誘的可能性。第18頁(yè),共53頁(yè)，2024年2月25日，星期天2.安全的概念

ISO將“計(jì)算機(jī)安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露?！薄o態(tài)信息保護(hù)。 另一種定義：“計(jì)算機(jī)的硬件、軟件和數(shù)據(jù)受到保護(hù)，不因偶然和惡意的原因而遭到破壞、更改和泄露，系統(tǒng)連續(xù)正常運(yùn)行?！薄?jiǎng)討B(tài)意義描述。

從用戶(hù)角度：保護(hù)利益、隱私；存儲(chǔ)、傳輸安全。從運(yùn)行管理角度：正常、可靠、連續(xù)運(yùn)行。從國(guó)家、社會(huì)：過(guò)濾有害信息。第19頁(yè),共53頁(yè)，2024年2月25日，星期天入侵者:網(wǎng)絡(luò)恐怖分子（黑客）、信息戰(zhàn)部隊(duì)現(xiàn)在“黑客”一詞在信息安全范疇內(nèi)的普遍含意是特指對(duì)電腦系統(tǒng)的非法侵入者。黑客(hacker)：對(duì)技術(shù)的局限性有充分認(rèn)識(shí)，具有操作系統(tǒng)和編程語(yǔ)言方面的高級(jí)知識(shí)，熱衷編程，查找漏洞，表現(xiàn)自我。他們不斷追求更深的知識(shí)，并公開(kāi)他們的發(fā)現(xiàn)，與其他人分享；主觀(guān)上沒(méi)有破壞數(shù)據(jù)的企圖。駭客（cracker）：以破壞系統(tǒng)為目標(biāo)?！凹t客”honker：中國(guó)的一些黑客自稱(chēng)“紅客”honker。美國(guó)警方：把所有涉及到"利用"、"借助"、"通過(guò)"或"阻撓"計(jì)算機(jī)的犯罪行為都定為hacking。第20頁(yè),共53頁(yè)，2024年2月25日，星期天安全的要素

可用性—availability

可靠性—reliability

完整性—integrity

保密性—confidentiality

不可抵賴(lài)性—Non-repudiation第21頁(yè),共53頁(yè)，2024年2月25日，星期天安全的要素1、保密性：確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程。加密機(jī)制。防泄密

2、完整性：只有得到允許的人才能修改實(shí)體或進(jìn)程，并且能夠判別出實(shí)體或進(jìn)程是否已被修改。完整性鑒別機(jī)制，保證只有得到允許的人才能修改數(shù)據(jù)。防篡改

數(shù)據(jù)完整，hash；數(shù)據(jù)順序完整，編號(hào)連續(xù)，時(shí)間正確。3、可用性：得到授權(quán)的實(shí)體可獲得服務(wù)，攻擊者不能占用所有的資源而阻礙授權(quán)者的工作。用訪(fǎng)問(wèn)控制機(jī)制，阻止非授權(quán)用戶(hù)進(jìn)入網(wǎng)絡(luò)。使靜態(tài)信息可見(jiàn)，動(dòng)態(tài)信息可操作。防中斷第22頁(yè),共53頁(yè)，2024年2月25日，星期天安全的要素4、可靠性：可靠性主要指系統(tǒng)在規(guī)定條件下和規(guī)定時(shí)間內(nèi)完成規(guī)定功能的概率?？煽啃允蔷W(wǎng)絡(luò)安全最基本的要求之一。5、不可否認(rèn)性：對(duì)出現(xiàn)的安全問(wèn)題提供調(diào)查的依據(jù)和手段。使用審計(jì)、監(jiān)控、防抵賴(lài)等安全機(jī)制，使得攻擊者、破壞者、抵賴(lài)者“逃不脫"，并進(jìn)一步對(duì)網(wǎng)絡(luò)出現(xiàn)的安全問(wèn)題提供調(diào)查依據(jù)和手段，實(shí)現(xiàn)信息安全的可審查性。

第23頁(yè),共53頁(yè)，2024年2月25日，星期天安全的要素此外信息系統(tǒng)還應(yīng)提供認(rèn)證、訪(fǎng)問(wèn)控制、抗抵賴(lài)安全服務(wù)。認(rèn)證：保證信息使用者和信息服務(wù)者都是真實(shí)可信的，防止冒充和重演的攻擊。真實(shí)性訪(fǎng)問(wèn)控制：這種服務(wù)保證信息資源不被非授權(quán)地使用。（是否有權(quán)使用該資源）抗抵賴(lài)：這種服務(wù)可取二種形式。數(shù)字簽名1）源發(fā)證明：提供給信息接收者以證據(jù)，這將使發(fā)送者謊稱(chēng)未發(fā)送過(guò)這些信息或者否認(rèn)它的內(nèi)容的企圖不能得逞；2）交付證明：提供給信息發(fā)送者以證據(jù)，這將使接收者謊稱(chēng)未接收過(guò)這些信息或者否認(rèn)它的內(nèi)容的企圖不能得逞。第24頁(yè),共53頁(yè)，2024年2月25日，星期天計(jì)算機(jī)安全涉及知識(shí)領(lǐng)域第25頁(yè),共53頁(yè)，2024年2月25日，星期天常見(jiàn)的攻擊方式社會(huì)工程SocialEngineering病毒virus（蠕蟲(chóng)Worm）木馬程序Trojan拒絕服務(wù)和分布式拒絕服務(wù)攻擊Dos&DDos欺騙：IPspoofing,Packetmodification；ARPspoofing,郵件炸彈Mailbombing口令破解Passwordcrack第26頁(yè),共53頁(yè)，2024年2月25日，星期天攻擊的工具標(biāo)準(zhǔn)的TCP/IP工具(ping,telnet…)端口掃描和漏洞掃描(ISS-Safesuit,Nmap,protscanner…)網(wǎng)絡(luò)包分析儀(sniffer,networkmonitor)口令破解工具(lc3,fakegina)木馬(BO2k,冰河,…)第27頁(yè),共53頁(yè)，2024年2月25日，星期天3.安全模型一個(gè)常用的網(wǎng)絡(luò)安全模型是P2DR模型。P2DR是四個(gè)英文單詞的字頭：

Policy（安全策略）

Protection（防護(hù)）

Detection（檢測(cè)）

Response（響應(yīng)）第28頁(yè),共53頁(yè)，2024年2月25日，星期天第29頁(yè),共53頁(yè)，2024年2月25日，星期天PDRR網(wǎng)絡(luò)安全模型信息安全策略

另一個(gè)最常見(jiàn)的安全模型就是PDRR模型。PDRR由4個(gè)英文單詞的頭一個(gè)字符組成：Protection（防護(hù)）、Detection（檢測(cè)）、Response（響應(yīng)）和Recovery（恢復(fù)）。這4個(gè)部分組成了一個(gè)動(dòng)態(tài)的信息安全周期，如圖所示。安全策略的每一部分包括一組安全單元來(lái)實(shí)施一定的安全功能。第30頁(yè),共53頁(yè)，2024年2月25日，星期天4.安全的標(biāo)準(zhǔn)系統(tǒng)的安全標(biāo)準(zhǔn)：桔皮書(shū)美國(guó)國(guó)防部的可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)準(zhǔn)則（TrustedComputerSystemEvaluationCriteriaTCSEC）。按安全程度低->高排序D、C1、C2、B1、B2、B3、A1。C:酌情B:強(qiáng)制A:核實(shí)保護(hù)D類(lèi)：最低保護(hù)。無(wú)賬戶(hù)；任意訪(fǎng)問(wèn)文件。C1類(lèi)：自決的安全保護(hù)。系統(tǒng)能夠把用戶(hù)和數(shù)據(jù)隔開(kāi)，用戶(hù)以根據(jù)需要采用系統(tǒng)提供的訪(fǎng)問(wèn)控制措施來(lái)保護(hù)自己的數(shù)據(jù)，系統(tǒng)中必有一個(gè)防止破壞的區(qū)域，其中包含安全功能。C2類(lèi)：訪(fǎng)問(wèn)級(jí)別控制。控制粒度更細(xì)，使得允許或拒絕任何用戶(hù)訪(fǎng)問(wèn)單個(gè)文件成為可能。系統(tǒng)必須對(duì)所有的注冊(cè)、文件的打開(kāi)、建立和刪除進(jìn)行記錄。審計(jì)跟蹤必須追蹤到每個(gè)用戶(hù)對(duì)每個(gè)目標(biāo)的訪(fǎng)問(wèn)。第31頁(yè),共53頁(yè)，2024年2月25日，星期天安全的標(biāo)準(zhǔn)B1類(lèi)：有標(biāo)簽的安全保護(hù)。系統(tǒng)中的每個(gè)對(duì)象都有一個(gè)敏感性標(biāo)簽而每個(gè)用戶(hù)都有一個(gè)許可級(jí)別。許可級(jí)別定義了用戶(hù)可處理的敏感性標(biāo)簽。系統(tǒng)中的每個(gè)文件都按內(nèi)容分類(lèi)并標(biāo)有敏感性標(biāo)簽，任何對(duì)用戶(hù)許可級(jí)別和成員分類(lèi)的更改都受到嚴(yán)格控制，即使文件所有者也不能隨意改變文件許可權(quán)限。B2類(lèi)：結(jié)構(gòu)化保護(hù)。系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)要經(jīng)過(guò)徹底的測(cè)試和審查。系統(tǒng)應(yīng)結(jié)構(gòu)化為明確而獨(dú)立的模塊，遵循最小特權(quán)原則。必須對(duì)所有目標(biāo)和實(shí)體實(shí)施訪(fǎng)問(wèn)控制。政策，要有專(zhuān)職人員負(fù)責(zé)實(shí)施，要進(jìn)行隱蔽信道分析。系統(tǒng)必須維護(hù)一個(gè)保護(hù)域，保護(hù)系統(tǒng)的完整性，防止外部干擾。B3類(lèi)：安全域。系統(tǒng)的安全功能足夠小，以利廣泛測(cè)試。必須滿(mǎn)足參考監(jiān)視器需求以傳遞所有的主體到客體的訪(fǎng)問(wèn)。要有安全管理員，安全硬件裝置，審計(jì)機(jī)制擴(kuò)展到用信號(hào)通知安全相關(guān)事件，還要有恢復(fù)規(guī)程，系統(tǒng)高度抗侵?jǐn)_。第32頁(yè),共53頁(yè)，2024年2月25日，星期天安全的標(biāo)準(zhǔn)A1類(lèi)：核實(shí)保護(hù)。最初設(shè)計(jì)系統(tǒng)就充分考慮安全性。有“正式安全策略模型”其中包括由公理組成的形式化證明。系統(tǒng)的頂級(jí)技術(shù)規(guī)格必須與模型相對(duì)應(yīng)，系統(tǒng)還包括分發(fā)控制和隱蔽信道分析。

第33頁(yè),共53頁(yè)，2024年2月25日，星期天安全的標(biāo)準(zhǔn)第34頁(yè),共53頁(yè)，2024年2月25日，星期天5.安全的體系結(jié)構(gòu)

網(wǎng)絡(luò)安全貫穿于整個(gè)7層模型。針對(duì)TCP/IP協(xié)議，網(wǎng)絡(luò)安全應(yīng)貫穿于信息系統(tǒng)的4個(gè)層次。下圖表示了對(duì)應(yīng)網(wǎng)絡(luò)的安全體系層次模型：

會(huì)話(huà)層應(yīng)用層應(yīng)用系統(tǒng)應(yīng)用平臺(tái)網(wǎng)絡(luò)層鏈路層物理層會(huì)話(huà)安全應(yīng)用層應(yīng)用系統(tǒng)安全應(yīng)用平臺(tái)安全安全路由/訪(fǎng)問(wèn)機(jī)制鏈路安全物理層信息安全第35頁(yè),共53頁(yè)，2024年2月25日，星期天安全服務(wù)的實(shí)施位置第36頁(yè),共53頁(yè)，2024年2月25日，星期天應(yīng)用層提供安全服務(wù)的特點(diǎn)只能在通信兩端的主機(jī)系統(tǒng)上實(shí)施。優(yōu)點(diǎn)：安全策略和措施通常是基于用戶(hù)制定的；對(duì)用戶(hù)想要保護(hù)的數(shù)據(jù)具有完整的訪(fǎng)問(wèn)權(quán)，因而能很方便地提供一些服務(wù)；不必依賴(lài)操作系統(tǒng)來(lái)提供這些服務(wù)；對(duì)數(shù)據(jù)的實(shí)際含義有著充分的理解。缺點(diǎn)：效率太低；對(duì)現(xiàn)有系統(tǒng)的兼容性太差；改動(dòng)的程序太多，出現(xiàn)錯(cuò)誤的概率大增，為系統(tǒng)帶來(lái)更多的安全漏洞。第37頁(yè),共53頁(yè)，2024年2月25日，星期天傳輸層提供安全服務(wù)的特點(diǎn)只能在通信兩端的主機(jī)系統(tǒng)上實(shí)施。優(yōu)點(diǎn)：與應(yīng)用層安全相比，在傳輸層提供安全服務(wù)的好處是能為其上的各種應(yīng)用提供安全服務(wù)，提供了更加細(xì)化的基于進(jìn)程對(duì)進(jìn)程的安全服務(wù)，這樣現(xiàn)有的和未來(lái)的應(yīng)用可以很方便地得到安全服務(wù)，而且在傳輸層的安全服務(wù)內(nèi)容有變化時(shí)，只要接口不變，應(yīng)用程序就不必改動(dòng)。缺點(diǎn)：由于傳輸層很難獲取關(guān)于每個(gè)用戶(hù)的背景數(shù)據(jù)，實(shí)施時(shí)通常假定只有一個(gè)用戶(hù)使用系統(tǒng)，所以很難滿(mǎn)足針對(duì)每個(gè)用戶(hù)的安全需求。第38頁(yè),共53頁(yè)，2024年2月25日，星期天網(wǎng)絡(luò)層提供安全服務(wù)的特點(diǎn)在端系統(tǒng)和路由器上都可以實(shí)現(xiàn)。優(yōu)點(diǎn)：主要優(yōu)點(diǎn)是透明性，能提供主機(jī)對(duì)主機(jī)的安全服務(wù)，不要求傳輸層和應(yīng)用層做改動(dòng)，也不必為每個(gè)應(yīng)用設(shè)計(jì)自己的安全機(jī)制；其次是網(wǎng)絡(luò)層支持以子網(wǎng)為基礎(chǔ)的安全，子網(wǎng)可采用物理分段或邏輯分段，因而可很容易實(shí)現(xiàn)VPN和內(nèi)聯(lián)網(wǎng)，防止對(duì)網(wǎng)絡(luò)資源的非法訪(fǎng)問(wèn)；第三個(gè)方面是由于多種傳送協(xié)議和應(yīng)用程序可共享由網(wǎng)絡(luò)層提供的密鑰管理架構(gòu)，密鑰協(xié)商的開(kāi)銷(xiāo)大大降低。缺點(diǎn)：無(wú)法實(shí)現(xiàn)針對(duì)用戶(hù)和用戶(hù)數(shù)據(jù)語(yǔ)義上的安全控制。第39頁(yè),共53頁(yè)，2024年2月25日，星期天數(shù)據(jù)鏈路層提供安全服務(wù)的特點(diǎn)在鏈路的兩端實(shí)現(xiàn)。優(yōu)點(diǎn)：整個(gè)分組（包括分組頭信息）都被加密，保密性強(qiáng)。缺點(diǎn)：使用范圍有限。只有在專(zhuān)用鏈路上才能很好地工作，中間不能有轉(zhuǎn)接點(diǎn)。第40頁(yè),共53頁(yè)，2024年2月25日，星期天●計(jì)算機(jī)信息系統(tǒng)（computerinformationsystem）:由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)?！癜踩芙纾╯ecurityperimeter）:用半徑來(lái)表示的空間。該空間包圍著用于處理敏感信息的設(shè)備，并在有效的物理和技術(shù)控制之下，防止未授權(quán)的進(jìn)入或敏感信息的泄露?；径x及術(shù)語(yǔ)第41頁(yè),共53頁(yè)，2024年2月25日，星期天●可信計(jì)算基（trustedcomputingbase，TCB）:計(jì)算機(jī)系統(tǒng)內(nèi)保護(hù)裝置的總體，包括硬件、固件、軟件和負(fù)責(zé)執(zhí)行安全策略的組合體。它建立了一個(gè)基本的保護(hù)環(huán)境并提供一個(gè)可信計(jì)算系統(tǒng)所要求的附加用戶(hù)服務(wù)?！癜踩呗裕╯ecuritypolicy）:對(duì)TCB中的資源進(jìn)行管理、保護(hù)和分配的一組規(guī)則。簡(jiǎn)單地說(shuō)就是用戶(hù)對(duì)安全要求的描述。一個(gè)TCB中可以有一個(gè)或多個(gè)安全策略。●安全模型（securitymodel）:用形式化的方法來(lái)描述如何實(shí)現(xiàn)系統(tǒng)的機(jī)密性、完整性和可用性等安全要求。第42頁(yè),共53頁(yè)，2024年2月25日，星期天●客體（object）:系統(tǒng)中被動(dòng)的主體行為承擔(dān)者。對(duì)一個(gè)客體的訪(fǎng)問(wèn)隱含著對(duì)其所含信息的訪(fǎng)問(wèn)?？腕w的實(shí)體類(lèi)型有記錄、程序塊、頁(yè)面、段、文件、目錄、目錄樹(shù)和程序，還有位、字節(jié)、字、字段、處理器、視頻顯示器、鍵盤(pán)、時(shí)鐘、打印機(jī)和網(wǎng)絡(luò)節(jié)點(diǎn)等?！裰黧w（subject）是這樣的一種實(shí)體，它引起信息在客體之間的流動(dòng)。通常，這些實(shí)體是指人、進(jìn)程或設(shè)備等，一般是代表用戶(hù)執(zhí)行操作的進(jìn)程。如編輯一個(gè)文件時(shí)，編輯進(jìn)程是存取文件的主體，而文件是客體。●參照監(jiān)視器（referencemonitor）:監(jiān)督主體和客體之間授權(quán)訪(fǎng)問(wèn)關(guān)系的部件。第43頁(yè),共53頁(yè)，2024年2月25日，星期天●安全內(nèi)核（securitykernel）:通過(guò)控制對(duì)系統(tǒng)資源的訪(fǎng)問(wèn)來(lái)實(shí)現(xiàn)基本安全規(guī)程的計(jì)算機(jī)系統(tǒng)的中心部分?！駱?biāo)識(shí)與鑒別（identification&authentication，I&A）:用于保證只有合法用戶(hù)才能進(jìn)入系統(tǒng)，進(jìn)而訪(fǎng)問(wèn)系統(tǒng)中的資源?！裨L(fǎng)問(wèn)控制（accesscontrol）:限制已授權(quán)的用戶(hù)、程序、進(jìn)程或計(jì)算機(jī)網(wǎng)絡(luò)中其他系統(tǒng)訪(fǎng)問(wèn)本系統(tǒng)資源的過(guò)程。●訪(fǎng)問(wèn)控制列表（accesscontrollist，ACL）:與系統(tǒng)中客體相聯(lián)系的，用來(lái)指定系統(tǒng)中哪些用戶(hù)和組可以以何種模式訪(fǎng)問(wèn)該客體的控制列表。第44頁(yè),共53頁(yè)，2024年2月25日，星期天●自主訪(fǎng)問(wèn)控制（discretionaryaccesscontrol，DAC）:用來(lái)決定一個(gè)用戶(hù)是否有權(quán)限訪(fǎng)問(wèn)此客體的一種訪(fǎng)問(wèn)約束機(jī)制，該客體的所有者可以按照自己的意愿指定系統(tǒng)中的其他用戶(hù)對(duì)此客體的訪(fǎng)問(wèn)權(quán)?！衩舾袠?biāo)記（sensitivitylabel）:用以表示客體安全級(jí)別并描述客體數(shù)據(jù)敏感性的一組信息，在可信計(jì)算基中把敏感標(biāo)記作為強(qiáng)制訪(fǎng)問(wèn)控制決策的依據(jù)?！駨?qiáng)制訪(fǎng)問(wèn)控制（mandatoryaccesscontrol，MAC）:用于將系統(tǒng)中的信息分密級(jí)和類(lèi)進(jìn)行管理，以保證每個(gè)用戶(hù)只能夠訪(fǎng)問(wèn)那些被標(biāo)明可以由他訪(fǎng)問(wèn)的信息的一種訪(fǎng)問(wèn)約束機(jī)制?！窠巧╮ole）:系統(tǒng)中一類(lèi)訪(fǎng)問(wèn)權(quán)限的集合。第45頁(yè),共53頁(yè)，2024年2月25日，星期天●最小特權(quán)原理（leastprivilegeprinciple）:系統(tǒng)中每一個(gè)主體只能擁有與其操作相符的必需的最小特權(quán)集?！耠[蔽通道（covertchannel）:非公開(kāi)的但讓進(jìn)程有可能以危害系統(tǒng)安全策略的方式傳輸信息的通信信道。●審計(jì)（audit）:一個(gè)系統(tǒng)的審計(jì)就是對(duì)系統(tǒng)中有關(guān)安全的活動(dòng)進(jìn)行記錄、檢查及審核?！駥徲?jì)跟蹤（audittrail）:系統(tǒng)活動(dòng)的流水記錄。該記錄按事件自始至終的途徑、順序，審查和檢驗(yàn)每個(gè)事件的環(huán)境及活動(dòng)。第46頁(yè),共53頁(yè)，2024年2月25日，星期天●客體重用（objectreuse）:對(duì)曾經(jīng)包含一個(gè)或幾個(gè)客體的存儲(chǔ)介質(zhì)(如頁(yè)框、盤(pán)扇面、磁帶)重新分配和重用。為了安全地進(jìn)行重分配、重用，要求介質(zhì)不得包含重分配前的殘留數(shù)據(jù)?！窨尚磐罚╰rustedpath）:終端人員能借以直接同可信計(jì)算基通信的一種機(jī)制。該機(jī)制只能由有關(guān)終端操作人員或可信計(jì)算基啟動(dòng)，并且不能被不可信軟件模仿。●多級(jí)安全（multilevelsecure，MLS）:一類(lèi)包含不同等級(jí)敏感信息的系統(tǒng)，它既可供具有不同安全許可的用戶(hù)同時(shí)進(jìn)行合法訪(fǎng)問(wèn)，又能阻止用戶(hù)去訪(fǎng)問(wèn)其未被授權(quán)的信息。第47頁(yè),共53頁(yè)，2024年2月25日，星期天●鑒別（authentication）:驗(yàn)證用戶(hù)、設(shè)備和其他實(shí)體的身份；驗(yàn)證數(shù)據(jù)的完整性。●授權(quán)（authorization）:授予用戶(hù)、程序或進(jìn)程的訪(fǎng)問(wèn)權(quán)。●保密性（confidentiality）:為秘密數(shù)據(jù)提供保護(hù)方法及保護(hù)等級(jí)的一種特性?！駭?shù)據(jù)完整性（dataintegrity）:信息系統(tǒng)中的數(shù)據(jù)與原始數(shù)據(jù)沒(méi)有發(fā)生變化，未遭受偶然或惡意的修改或破壞時(shí)所具有的性質(zhì)?！衤┒矗╨oophole）:由軟硬件的設(shè)計(jì)疏忽或失誤導(dǎo)致的能避開(kāi)系統(tǒng)安全措施的一類(lèi)錯(cuò)誤。第48頁(yè),共53頁(yè)，2024年2月25日，星期天●安全配置管理（secureconfigurationmanagement）:控制系統(tǒng)硬件與軟件結(jié)構(gòu)更改的一組規(guī)程。其目的是保證這種更改不違反系統(tǒng)的安全策略?！癜踩兀╯ecuri