信息系統(tǒng)安全學(xué)習(xí)筆記

1、一 緒 論基本概念：信息系統(tǒng)安全：重點關(guān)注信息安全和信息系統(tǒng)安全的區(qū)別信息系統(tǒng)安全的三個角度：基于通信保密、基于系統(tǒng)防護、基于信息保障信息系統(tǒng)安全的構(gòu)成要素信息系統(tǒng)面臨的安全威脅信息系統(tǒng)自身的脆弱性基本原理：信息系統(tǒng)的架構(gòu)模型信息系統(tǒng)安全體系信息系統(tǒng)：是提供數(shù)據(jù)密集型用途的硬件和軟件信息系統(tǒng)的構(gòu)成要素|-主體包括各類用戶、支持人員以及技術(shù)管理和行政管理人員，人既是管理者，也是被管|理者|-客體 以計算機、網(wǎng)絡(luò)互聯(lián)設(shè)備、傳輸介質(zhì)、信息內(nèi)容及其操作系統(tǒng)、通信|協(xié)議和應(yīng)用程序所構(gòu)成的物理的、邏輯的完整體系是被管理、被控制的對象|-環(huán)境系統(tǒng)穩(wěn)定、可靠運行所需的保障體系，包括建筑物、機房、動力保障與備份

2、及應(yīng)急恢復(fù)體系系統(tǒng)風(fēng)險主要來自|-系統(tǒng)可能遭受的各種威脅是指對于信息系統(tǒng)的組成要素及其功能造成某種損害的潛在可能。按照來源： 1 自然災(zāi)害威脅 2 濫用性威脅 3 有意人為威脅按照作用對象-|-針對信息 信息破壞信息泄密 假冒或否認|-針對系統(tǒng) 對硬件和軟件按照手段：信息泄露,入侵,抵賴,掃描,拒絕服務(wù)攻擊,濫用|-系統(tǒng)本身的脆弱性基于信息屬性的本源性脆弱(依附性和多質(zhì)性,非消耗性,可共享性/可重用性,聚變性和增殖性,易偽性) 基于系統(tǒng)復(fù)雜性的結(jié)構(gòu)性脆弱基于攻防不對稱性的普通性脆弱基于網(wǎng)絡(luò)的開放和數(shù)據(jù)庫共享的應(yīng)用性脆弱|-系統(tǒng)對于威脅的失策信息系統(tǒng)脆弱性的表現(xiàn)|-硬件組件多來源于設(shè)計，主要表現(xiàn)

3、為物理安全方面問題。|-軟件組件|-網(wǎng)絡(luò)和通信協(xié)議 TCP/IP 協(xié)議族本身的缺陷（缺乏對用戶身份的鑒別，缺乏對路由協(xié)議的鑒別認證，TCP/UDP 的缺陷）信息系統(tǒng)安全的三個角度|-基于通信保密|-基于系統(tǒng)防護 具體目標(系統(tǒng)保護&信息內(nèi)容保護)|-基于信息保障 PDRR（防護檢測反應(yīng)恢復(fù)） 靜態(tài)防御-動態(tài)防御Pt : Protection timeDt : Detection time Rt : Response timeDt+Rt 物理安全又叫實體安全，是保護計算機設(shè)備、設(shè)施免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故破壞的措施和過程。 物理安全技術(shù)主要針對計算機及網(wǎng)絡(luò)系統(tǒng)的環(huán)境、場地、設(shè)

4、備和通信線路等采取的安全技術(shù)措施。體系結(jié)構(gòu)|-介質(zhì)安全-介質(zhì)的安全 介質(zhì)的安全保管：防盜、防毀、防霉|-介質(zhì)數(shù)據(jù)安全拷貝、防消磁、防丟失。|(目的是干攏敵方的信息聯(lián)系、阻斷信息溝通)|(熱效應(yīng),射頻干擾和“浪涌”效應(yīng),強電場效應(yīng),磁效應(yīng))|主動拒止系統(tǒng)（ADS）將電能轉(zhuǎn)化為微波射向目標|防磁柜（防磁、防火、防盜）|U 盤小偷(自動復(fù)制 U 盤內(nèi)的所有內(nèi)容)-防拷貝 U 盤方案|-設(shè)備安全-電磁泄漏(途徑:輻射泄漏傳導(dǎo)泄漏)-旁路攻擊-電磁分析攻擊(最有|效的旁路攻擊技術(shù)之一)|用途：密碼破解|抑制電磁信息泄漏的技術(shù)途徑:1.物理抑制 2.電磁屏蔽 3.噪聲干擾|-線路安全電纜加壓技術(shù):壓力下降

5、，意味電纜可能被破壞 (簡單且貴)|搭線竊聽 海底電纜竊聽制器是|光纖通信技術(shù)(光纖不可被搭線竊聽，但是光纖的最大長度有限制， 長于這一長度的光纖系統(tǒng)必須定期地放大（復(fù)制）信號，而復(fù)安全薄弱環(huán)節(jié))|-環(huán)境安全|安全保衛(wèi)技術(shù);計算機機房的溫度、濕度;計算機機房的用電安全技術(shù);計算機機房安全管理技術(shù)機房不要頂層&底層；|溫度濕度潔凈度，防火防水防盜措|-電源安全供電系統(tǒng)安全（一類不間斷二類備用三類一般用戶）、防靜電施、接地與防雷要求電源調(diào)整器:隔離器 濾波器 穩(wěn)壓器電磁泄漏國家標準：(磁屏蔽室 CBA 級，C 級最高) 環(huán)境安全技術(shù)國家標準信息系統(tǒng)架構(gòu)模型 |-應(yīng)用業(yè)務(wù)軟件處于頂層，直接與用戶或?qū)?/p>

6、體打交道|-應(yīng)用平臺軟件處于中間層，在操作平臺支撐下運行的，支持和管理|應(yīng)用業(yè)務(wù)的軟件|-操作平臺軟件處于基礎(chǔ)層，維系著信息系統(tǒng)組件運行的平臺|-硬件處于最底層，提供運行環(huán)境【信息系統(tǒng)安全】信息系統(tǒng)安全可理解為：與人、網(wǎng)絡(luò)、環(huán)境有關(guān)的技術(shù)安全、結(jié)構(gòu)安全和管理安全的總和，旨在確保在計算機網(wǎng)絡(luò)系統(tǒng)中進行自動通信、處理和利用的、以電磁信號為主要形式的信息內(nèi)容，在各個物理位置、邏輯區(qū)域、存儲和傳輸介質(zhì)中，始終具有可信性、機密性、完整性、可用性、和抗抵賴性等安全特質(zhì)。三 計算機系統(tǒng)的可靠性【可靠性定義】在規(guī)定的條件下、在給定的時間內(nèi)，系統(tǒng)能實施應(yīng)有功能的能力?！緣勖糠植己瘮?shù)平均壽命E(x)= xf(x

7、)dx硬件系統(tǒng)可靠性模型的分類：(平均壽命 MTTF 和 MTBF)1.不可修系統(tǒng)MTTF(對不可維修的產(chǎn)品的平均壽命是指從開始投入工作，至產(chǎn)品失效的時間平均值。也稱平均失效前時間， 記以 MTTF)2.可修系統(tǒng)MTBF(對可維修產(chǎn)品而言，其平均壽命是指兩次故障間的時間平均值，稱平均故障間隔時間，習(xí)慣稱平均無故障工作時間 MTBF)MTBF = e-lt dt = 1單位要統(tǒng)一0l(去看一眼 MTBF 的計算)_(:3)_【可靠性】 N 個元器件；S(t)為系統(tǒng)運行至?xí)r刻 t 正常工作的元器件的總數(shù)； F(t)為時刻 t 時發(fā)生故障而失效的元器件的總數(shù)可靠性函數(shù) R(t)=S(t)/N （正常

8、工作的元器件數(shù)占總元器件數(shù)的比例）R(t)是產(chǎn)品在時間0,t內(nèi)不失效的概率不可靠性函數(shù) U(t)=1-R(t)=F(t)/N失效函數(shù) Z(t) 系統(tǒng)中元器件失效的速率入減小時可靠性提高Z(t)的浴缸形曲線【R(t)和入的關(guān)系】當(dāng) t=0 時，R(0)=1當(dāng) t=時，R()=0【不可維修產(chǎn)品的可靠性指標】平均壽命 平均無故障時間（MTTF）*同一失效率 R 部件串聯(lián) 系統(tǒng)失效率 = R+R【可維修產(chǎn)品的維修性指標：可用性】可用性定義： MTBF/（MTBF+MTTR）*100% MTTR(可維護性平均維修時間)為系統(tǒng)保持正常運行時間的百分比，表示設(shè)備處于完好狀態(tài)的概率【計算機系統(tǒng)可靠性的組成】硬

9、件可靠性&軟件可靠性描述硬件可靠性的模型串聯(lián)系統(tǒng) 系統(tǒng)由 n 個部件串聯(lián)而成，任一部件失效就引起系統(tǒng)失效。1.系統(tǒng)的壽命是： X=minX1 ，X2 ，Xn2.系統(tǒng)的可靠度是： 3.系統(tǒng)的失效率為： (是所有串聯(lián)部件失效率之和)4.系統(tǒng)的平均壽命為： 并聯(lián)系統(tǒng) 只有當(dāng)這 n 個部件都失效時系統(tǒng)才失效。1.系統(tǒng)的壽命是： X=maxX1，X2 ，Xn2.系統(tǒng)的可靠度是：3.系統(tǒng)的平均壽命為： 并聯(lián)零件數(shù)增加系統(tǒng)可靠性增加：表決系統(tǒng)n中取k的表決系統(tǒng)由n個部件組成，當(dāng)n個部件中有k個或k個以上部件正常工作時，系統(tǒng)才能正常工作（1kn）。當(dāng)失效的部件數(shù)大于或等于n-k+1時，系統(tǒng)失效。簡記為k/n(

10、G) 系統(tǒng)。冷貯備系統(tǒng)冷貯備是指貯備的部件不失效也不劣化。系統(tǒng)n個部件，初始時刻，一個部件工作，n-1個作冷貯備。當(dāng)工作部件失效時，存儲部件逐個地去替換，直到所有部件都失效時，系統(tǒng)才失效。儲備器長短對以后工作無影響。軟件可靠性定義1、在規(guī)定的條件下、規(guī)定的時間內(nèi)，軟件不引起系統(tǒng)失效的概率。該概率是系統(tǒng)輸入和系統(tǒng)使用的函數(shù)，也是軟件中存在的錯誤的函數(shù)。2、在規(guī)定的時間周期內(nèi)、在所述條件下，程序執(zhí)行要求功能的能力。術(shù)語失效強度單位時間內(nèi)，軟件系統(tǒng)出現(xiàn)失效的概率。失效率當(dāng)軟件在 0t 時刻內(nèi)沒有發(fā)生失效的條件下，t 時刻軟件系統(tǒng)的失效強度。軟件可靠性模型旨在根據(jù)軟件失效數(shù)據(jù)，通過建模給出軟件的可靠性

11、估計值或預(yù)測值。建模方法：軟件可靠性解析模型對失效數(shù)據(jù)進行假設(shè) 軟件可靠性啟發(fā)模型僅學(xué)習(xí)歷史失效數(shù)據(jù)常見的軟件可靠性模型|-失效時間間隔模型-是假定第 i 個失效到第 i+1 個失效間隔時間服從于某一分布或看做隨機過程|- 缺陷計數(shù)模型關(guān)心的是在特定的時間間隔內(nèi)軟件的錯誤數(shù)或失效數(shù)|-錯誤植入模型通過將一組已知的錯誤人為地植入到一個固有錯誤總數(shù)尚不清|楚的程序中，然后在程序的測試中觀察并統(tǒng)計發(fā)現(xiàn)的植入錯誤數(shù)|和程序總的錯誤數(shù)，通過計數(shù)的比值估計程序的固有錯誤總數(shù)，|從而得到軟件可靠度及其有關(guān)指標。|- 基于輸入域的模型根據(jù)程序的使用情況，找出程序可能輸入的概率分布，根據(jù)這種分布產(chǎn)生一個測試用例

12、的集合。在輸入域上隨機抽取測試用例，執(zhí)行相應(yīng)的程序測試，觀測故障，從而推斷出各項指標。提高可靠性的途徑兩個方面一是盡量使系統(tǒng)在規(guī)定時間內(nèi)少發(fā)生故障和錯誤；二是發(fā)生了故障能迅速排除。|-提高硬件可靠性a.減少元件數(shù)量簡化結(jié)構(gòu) b.避免片面追求高性能指標和過多的功能c.合理劃分軟硬件功能，能用軟件實現(xiàn)則用軟件實現(xiàn) d.熱設(shè)計(軟件失效與溫度有關(guān) e.元器件引腳焊點等故障率較高的部分需要高度重視 f.機械防震設(shè)計 g.根據(jù)系統(tǒng)可能工作的環(huán)境進行防護設(shè)計 h.抗干擾技術(shù)濾波、接地、屏蔽、隔離、設(shè)置干擾吸收網(wǎng)絡(luò)及合理布線(三要素干擾源、傳輸途徑及干擾對象)i.冗余技術(shù)(并聯(lián)系統(tǒng)、備用系統(tǒng)和表決系統(tǒng))|-

13、提高軟件可靠性|-采用系統(tǒng)信息管理軟件，用軟件進行系統(tǒng)調(diào)度|當(dāng)發(fā)生故障時進行現(xiàn)場保護，迅速用備用裝置代替故障裝置；|在過負荷時采取應(yīng)急措施；|在故障排除后使系統(tǒng)迅速恢復(fù)正常運行。|-編制診斷程序，及時發(fā)現(xiàn)故障并排除|-指令復(fù)執(zhí)技術(shù)|(應(yīng)能保留現(xiàn)行指令地址&所用數(shù)據(jù)，一旦發(fā)現(xiàn)錯誤就重新執(zhí)行)|-輸入輸出軟件抗干擾技術(shù)軟件陷阱：捕捉“跑飛”的指令指針四 計算機容錯技術(shù)/排錯 避免故障容錯 發(fā)生故障后能正確運行1【容錯的概念】容忍故障，即故障一旦發(fā)生時能夠自動檢測出來并使系統(tǒng)能夠自動恢復(fù)正常運行。 當(dāng)出現(xiàn)某些指定的硬件故障或軟件錯誤時,程序不會因系統(tǒng)中的故障而中止或被修改。執(zhí)行結(jié)果也不包含系統(tǒng)中故障

14、所引起的差錯。2 容錯技術(shù)發(fā)展概況3 【容錯技術(shù)的主要研究內(nèi)容】-故障檢測與診斷技術(shù)：故障檢測：判斷系統(tǒng)是否存在故障的過程（一般來說不能準確找到故障點）故障診斷：檢測出故障后進行故障的定位，找出故障所在位置。-故障屏蔽技術(shù)防止系統(tǒng)中的故障在該系統(tǒng)的信息結(jié)構(gòu)中產(chǎn)生差錯的各種措施的總稱。其實質(zhì)是在故 障效應(yīng)達到模塊的輸出以前，利用冗余資源將故障影響掩蓋起來，達到容錯目的。-冗余技術(shù)(冗余就是超過系統(tǒng)實現(xiàn)正常功能的額外資源)|-硬件冗余技術(shù)-|-靜態(tài)硬件冗余-三模冗余(常見) 改進方法原理：三中取二； 缺點：各不相同無法表決|-動態(tài)硬件冗余（正在工作的模塊故障-切換到備用模塊）|-混合冗余（動靜結(jié)合

15、）|-時間冗余技術(shù)-|-指令復(fù)執(zhí)（重復(fù)執(zhí)行故障指令，必須保留上一指令結(jié)束的現(xiàn)場）|-程序卷回（重復(fù)執(zhí)行一段程序，一個個恢復(fù)點，一次不能解決|則多次卷回）|-信息冗余技術(shù)（在數(shù)據(jù)中附加冗余信息位）（常見奇偶校驗碼、海明碼、循環(huán)碼）|-|-檢錯碼（檢查錯誤 而不糾正錯誤）|-|-糾錯碼（檢查并糾正錯誤）|-軟件冗余技術(shù)基本方法：將若干個根據(jù)同一需求編寫的多版本程序，在不同空間同時運行，然后在每一個設(shè)置點進行表決。|-NVP 結(jié)構(gòu)（多版本編程設(shè)計 靜態(tài)冗余）（圖）用 N 個具有同一功能而采用不同編程方法的程序執(zhí)行一項運算，其結(jié)果通過多數(shù)表決器輸出。有效避免了由于軟件共性故障造成的系統(tǒng)出錯|-RB 結(jié)

16、構(gòu)（恢復(fù)塊結(jié)構(gòu) 動態(tài)冗余）（圖）主程序塊和備用程序塊采用不同編程方法但具有相同的功能。每個主程序塊都可以用一個根據(jù)同一需求說明設(shè)計的備用程序塊替換。首先運行主程序塊，然后進行接收測試，如果測試通過則將結(jié)果輸出給后續(xù)程序；否則調(diào)用備用塊。備用塊用完還沒通過測試，則進行故障處理。4.容錯技術(shù)的應(yīng)用-RAID-分條：將數(shù)據(jù)分散到不同的物理硬盤上，讀寫時可同時訪問多塊硬盤-數(shù)據(jù)鏡像：同一數(shù)據(jù)寫在兩塊不同的硬盤上-奇偶校驗：RAID0:（分條)讀寫性能高 數(shù)據(jù)保護無RAID1:（鏡像）有效容量占總?cè)萘?1/2，有數(shù)據(jù)保護RAID1+0：(鏡像+分條) RAID0+1：(分條+鏡像)RAID2:(并行海明

17、糾錯陣列)自動確定哪個硬盤失效，并自動數(shù)據(jù)恢復(fù)。開銷太大RAID3:(奇偶校驗并行位交錯陣列)速度快,適合大單位數(shù)據(jù)讀寫。無冗余。RAID4：（奇偶校驗扇區(qū)交錯陣列）讀寫并行,出錯后數(shù)據(jù)很難恢復(fù)RAID5：（循環(huán)奇偶校驗陣列）讀操作最優(yōu)，寫操作開銷大一個磁盤失效，分布在其他盤上的信息足夠完成數(shù)據(jù)重建10 比 01 可靠性高【RAID 卡】五 身份認證【需要解決的問題】在一個開放的網(wǎng)絡(luò)環(huán)境中，提供服務(wù)的服務(wù)器必須能夠識別請求服務(wù)的實體的身份干什么的 證實某主體的真實身份與其所聲稱的身份是否相符的過程基本途徑|- 基于你所知道的 知識、口令、密碼|- 基于你所擁有的 身份證、信用卡、鑰匙、智能卡、

18、令牌等|- 基于你的個人特征 指紋，筆跡，聲音，手型，臉型，視網(wǎng)膜，虹膜常用的身份認證技術(shù)/協(xié)議|-基于口令認證|- 簡單口令認證|- 第三方認證(C,S,AS)|- 質(zhì)詢/握手認證協(xié)議（CHAP）Client 和 Server 共享密鑰 K|不能防止中間人攻擊|- 一次性口令認證:在登錄過程中加入不確定因素，使每次登錄過程中傳送的|口令信息都不相同，以提高登錄過程安全性。|（S/KEY ,CRYPTOCard，SecurID,SafeWord）|- SecurID 每個 token 有不同的 seed，每 60 秒生成驗證碼|- 口令序列(S/KEY) 系統(tǒng)記錄第 N 個口令。用戶用第 N1

19、 個口令登錄時，|系統(tǒng)用單向算法算出第 N 個口令與自己保存的第 N 個口令匹配|N 是有限的，用戶登錄 N 次后必須重新初始化口令序列。|- 挑戰(zhàn)/回答(CRYPTOCard)系統(tǒng)發(fā)送用戶一個隨機數(shù)，用戶用單項算法混|合自己秘密口令和隨機數(shù)，系統(tǒng)做同樣計算驗證|*易被截獲，不抵御假冒攻擊|- 事件同步 SafeWord|(挑戰(zhàn)回答方式為基礎(chǔ)，以單向前后相關(guān)序列作為系統(tǒng)挑戰(zhàn)信息)|一次性口令的生成方式（Soft Token，Token Card，IC 卡）|- Kerberos 認證(6 步)|- 基于公鑰證書的身份認證-數(shù)字證書的存放方式|1 硬盤|2.USB KEY (靜態(tài)口令)|3.US

20、B TOKEN(更好)（動態(tài)口令，雙因素密鑰，一次一密）|- 基于生物特征的身份認證|-指紋，筆跡，聲音，手型，臉型，視網(wǎng)膜，虹膜|-誤判(圖)雙因素認證：將以上任意兩種認證方法結(jié)合起來，對用戶的身份進行認證。比較廣泛的雙因素身份認證方案： 靜態(tài)口令+ 動態(tài)令牌靜態(tài)口令+ USB KEY六 訪問控制模型定義：訪問控制是為了限制訪問主體對訪問客體的訪問權(quán)限，從而使計算機系統(tǒng)在合法范圍內(nèi)使用。訪問控制模型：（圖）訪問的行為：讀取數(shù)據(jù)p更改數(shù)據(jù)運行可執(zhí)行文件發(fā)起網(wǎng)絡(luò)連接訪問控制應(yīng)用類型|-網(wǎng)絡(luò)訪問控制主要限制用戶可以建立的連接以及傳輸?shù)臄?shù)據(jù)。防火墻作為網(wǎng)絡(luò)邊界阻塞點來過濾網(wǎng)絡(luò)會話和數(shù)據(jù)傳輸。防火墻可

21、實現(xiàn)的訪問控制：|-連接控制（控制哪些應(yīng)用程序結(jié)點之間可建立連接。）|eg:控制內(nèi)部的用戶對外部 WEB 站點間的連接。|-協(xié)議控制（控制用戶通過一個應(yīng)用程序可以進行什么操作。）|eg:允許用戶瀏覽一個頁面，同時拒絕用戶在非信任的服務(wù)器上發(fā)布數(shù)據(jù)。|-數(shù)據(jù)控制（防火墻可以控制應(yīng)用數(shù)據(jù)流的通過。） eg:阻塞郵件附件中的病毒|-主機、操作系統(tǒng)訪問控制操作系統(tǒng)應(yīng)用訪問控制列表指定某個用戶可以讀、寫或執(zhí)行某個文件。文件的所有者可以改變該文件訪問控制列表的屬性。|-應(yīng)用程序訪問控制eg:數(shù)據(jù)庫中的每個表都有自己的訪問控制策略來支配對其記錄的訪問?！炯用芊椒ㄔ谠L問控制中的應(yīng)用】也經(jīng)常被用來提供實現(xiàn)訪問控

22、制，或者獨立實施訪問控制，或者作為其它訪問控制機制的加強手段。|-加密信息|限定只有擁有解密密鑰的用戶才有權(quán)限訪問特定資源。|-IPsec VPN|非可信網(wǎng)絡(luò)中的用戶訪問經(jīng)由 VPN 傳輸?shù)臄?shù)據(jù)，只有擁有相應(yīng)的密鑰（IPsec安全關(guān)聯(lián)| 協(xié)商成功），才可以解密及訪問數(shù)據(jù)。|-存儲于本地硬盤的數(shù)據(jù)也可以被加密同一系統(tǒng)中的用戶無相應(yīng)解密密鑰也不可讀取相關(guān)數(shù)據(jù)。個別數(shù)據(jù)庫可加密本地磁盤上數(shù)據(jù)庫文件，彌補系統(tǒng) AC 機制不足【訪問控制的一般策略】|-自主訪問控制用戶有權(quán)訪問自己創(chuàng)建的對象；授權(quán)其他用戶訪問；收回訪問權(quán)限每個主體擁有一個用戶名并屬于一個組或具有一個角色每個客體都擁有一個限定主體對其訪問權(quán)

23、限的訪問控制列表（ACL） 每次訪問發(fā)生時都會基于 ACL 檢查用戶標志|-強制訪問控制把所有的權(quán)限都歸于系統(tǒng)集中管理所有主體，客體都被分配了安全標簽，安全標簽標識一個安全等級。訪問控制執(zhí)行時比較主體和客體的安全級別。|-基于角色訪問控制【訪問控制矩陣】列訪問控制表；行訪問能力表【訪問控制表】【訪問能力表】DAC 特點 授權(quán)主體自主權(quán)限，AC 列表&矩陣，通過維護 ACL 來控制用戶訪問缺點 主體權(quán)限太大容易泄露信息，不防特洛伊木馬，ACL 大不易維護（強制）訪問控制模型|-BLP（公開 受限 秘密 機密 高密)|不上讀，不下寫，提供保密性|eg:機構(gòu)網(wǎng)絡(luò)(機密)，Internet(公開)In

24、ternet 用戶不能訪問機密|防火墻允許 GET 操作拒絕 POST 操作|-BIBA（公開 受限 秘密 機密 高密）|不下讀，不上寫，提供完整性|eg：Internet 用戶只能讀取服務(wù)器數(shù)據(jù)，而不能寫|網(wǎng)絡(luò)設(shè)備(機密)網(wǎng)管工作站(秘密)，網(wǎng)管工作站只能用 get 來收集，而不能更改|設(shè)備的設(shè)置,設(shè)備配置的完整性就得到了保障。|-Clark-Wilson 完整性模型|1.用戶不能隨意操縱數(shù)據(jù)，只能使用系統(tǒng)限定的方法，此方法是經(jīng)過驗證的、能確|保數(shù)據(jù)完整性的方法|2.所有操作被分為若干部分，不同部分由不同人執(zhí)行，實現(xiàn)職責(zé)分離，使得操作不|能被一個人控制，但不能防止多人的合謀|-Chinese

25、 Wall保密性與完整性同等考慮，應(yīng)用在多邊安全系統(tǒng)中，防止利益沖突主要功能是防止用戶訪問被認為是存在利益沖突的數(shù)據(jù)。信息被分組成若干利益沖突的類，一個人在每個類中至多允許訪問一組信息兩個屬性：用戶必須選擇一個他可以訪問的區(qū)域；用戶必須自動拒絕來自其它與用戶所選區(qū)域的利益沖突區(qū)域的訪問MAC 特點：信息單向流通，阻止特洛伊木馬泄露缺點：工作量大，不靈活訪問令牌：與特定 windows 賬戶關(guān)聯(lián)用戶登錄，用賬戶信息生成令牌，該賬戶啟動的進程（及進程的線程）會獲得該令牌的副本，線程想要訪問某對象，windows 會檢查它的令牌。內(nèi)容：當(dāng)前登錄賬戶 SID，當(dāng)前登錄賬戶所屬賬戶組的 SID 列表，

26、安全描述符：與被訪問對象關(guān)聯(lián)含有：這個對象所有者的 SID，一個訪問控制列表（ACL）ACL 訪問控制列表-|DACL(任意訪問控制列表)-零個或多個訪問控制項(ACE)(內(nèi)容描述了|允許或拒絕特定賬戶對這個對象執(zhí)行特定操作。)-|SACL可訪問對象都有三種 ACEAccess-denied ACE 拒絕賬戶訪問Access-allowed ACE 允許賬戶訪問System-audit ACE 用于 SACL 中線程嘗試訪問一個對象，系統(tǒng)檢查線程的令牌&對象安全描述符中的 DACL，如果無 DACL， 允許訪問；有 DACL，某 Access-denied ACE 中的 SID 在線程令牌中，

27、且 ACE 中權(quán)限與線程權(quán)限相符，系統(tǒng)拒絕訪問某 Access-allowed ACE 中的 SID 在線程令牌中，且 ACE 中權(quán)限與線程權(quán)限相符，系統(tǒng)允許訪問所有 ACE 中的 SID 在線程令牌中均不存在，拒絕訪問七 訪問控制技術(shù)之一 ACL標準訪問列表，通過使用數(shù)據(jù)包的源 IP 地址過濾流量ACL 的分類|-標準 ACL （訪問列表號 199 或 13001999）靠近目的地址只使用數(shù)據(jù)包的源地址作為測試條件。所有決定是基于源 IP 地址的。創(chuàng)建 ACLRouter(config)#access-list access-list-number permit | deny source

28、source-wildcard 刪除 ACL Router(config)# no access-list access-list-numberany 與 55 均表示任意地址 (eg: permit any)host 表示之后的是主機地址eg: access-list 1 permit = access-list 1 permit host 9|-命名 ACL命名 ACL 以列表名代替列表編號來定義 IP 訪問控制列表，同樣包括標準和擴展兩種列表， 定義過濾的語句與編號方式中相似。|-擴展

29、 ACL（ID 號為 100199 或 20002699）靠近源地址可以測試 IP 包的第 3 層和第 4 層報頭中的字段。源地址、目的地址；源端口、目的端口創(chuàng)建命令（圖）課件中有例子 P35Linux 操作系統(tǒng)的 ACL-基于權(quán)限位的自主訪問控制機制-文件類型的權(quán)限具體：八 訪問控制技術(shù)之二 VLANVLAN虛擬局域網(wǎng) vs. 真實局域網(wǎng)VLAN 的特點/VLAN 的分類：基于端口、基于 MAC、根據(jù)網(wǎng)絡(luò)層協(xié)議或地址跨交換機的 VLAN 實現(xiàn)同一 VLAN 內(nèi)主機通信VLAN 間的主機通信交換網(wǎng)中鏈路的類型： 交換機接口模式IEEE802.1Q 對比 Cisco ISLVLAN 實現(xiàn)信息同步

30、的方式：VTP 協(xié)議【定義】VLAN 是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。VLAN 是從邏輯上劃分，而不是從物理上劃分，所以同一個 VLAN 內(nèi)的各個工作站沒有限制在同一個物理范圍中，即這些工作站可以在不同物理 LAN 網(wǎng)段?！咎摂M局域網(wǎng) vs. 真實局域網(wǎng)】位于不同真實局域網(wǎng)中的主機可以屬于同一個虛擬局域網(wǎng)中，而位于同一個真實局域網(wǎng)的主機可以屬于不同的虛擬局域網(wǎng)中。同一虛擬局域網(wǎng)中的不同真實局域網(wǎng)上的主機可以直接通信，而位于同一真實局域網(wǎng)的屬于不同虛擬局域網(wǎng)的主機不能直接通信?！咎攸c】提高網(wǎng)絡(luò)訪問速度、提高安全性、簡化網(wǎng)絡(luò)管理【虛擬局域網(wǎng)的分類】

31、 |-基于端口的 VLAN|-基于 MAC 地址的 VLAN|-基于網(wǎng)絡(luò)層協(xié)議或地址劃分 VLAN【同一 VLAN 內(nèi)主機通信】通常采用訪問連接、主干連接、ISL 與幀標記等技術(shù)來實現(xiàn)同一VLAN 的成員之間的通信?！綱LAN 間主機的通信】需要通過路由器或三層交換機使用路由器進行 VLAN 間路由時，采用匯聚鏈接的方式，通過對數(shù)據(jù)幀附加 VLAN 信息，實現(xiàn)多個 VLAN 共用一條鏈路。Step 1 在交換機上按部門劃分 VLAN Step 2 通過路由器實現(xiàn) VLAN 間路由Step 3 在路由器上實現(xiàn) ACL 控制常用附加 VLAN 信息的方法有兩種：IEEE802.1Q 方法 (用于不

32、同設(shè)備間)為相應(yīng)的幀分配一個唯一的標記來標示幀的 VLAN 信息。當(dāng)數(shù)據(jù)幀進入主干鏈路時，附加的 VLAN 識別信息位于數(shù)據(jù)幀中“發(fā)送源 MAC 地址”與“類別域”之間；當(dāng)數(shù)據(jù)幀離開主干鏈路時，TPID 和 TCI 被去除，重新計算 CRC 校驗值。2B 的 TPID 取值 0x8100，標識該幀承載了 802.1Q 的 tag 信息；2B 的 TCI(3bit 用戶優(yōu)先級，1bit 的 CFI 指示是否包含 VLAN 標簽，12bit 的 VID 表示屬于那個 VLAN)Cisco ISL 方法(僅用于 Cisco 設(shè)備環(huán)境)數(shù)據(jù)幀進入主干鏈路時，每個標準的以太網(wǎng)數(shù)據(jù)幀頭部都會被附加 26

33、字節(jié)的 ISL 包頭（路由器和交換機通過 ISL 包頭識別不同的 VLAN）連同幀尾，通過對包括 ISL 包頭在內(nèi)的整個數(shù)據(jù)幀進行計算，得到新的 4 字節(jié) CRC 校驗值，共增加 30 字節(jié)的信息；當(dāng)數(shù)據(jù)幀離開主干鏈路時，只要去除 ISL 包頭和新 CRC 即可?！窘鉀Q VLAN 信息的同步：VTP 協(xié)議】VTP 負責(zé)在 VTP 域內(nèi)同步 VLAN 信息，這樣就不必在每個交換上配置相同的 VLAN 信息。VTP 最重要的作用是，將進行變動時可能會出現(xiàn)的配置不一致性降至最低。【VTP 有三種工作模式】：服務(wù)器模式（server）：可進行 VLAN 的創(chuàng)建、更改、刪除，并自動將 VLAN 的信息向

34、同一個 VTP 域內(nèi)的其它交換機廣播?？蛻裟Ｊ剑╟lient）：只能被動接收 VTP server 的 VLAN 配置透明模式（transparent）：可獨立配置自己的 VLAN，但不與其它交換機交換本機的VLAN 信息，同時轉(zhuǎn)發(fā)其它交換機發(fā)來的 VLAN 信息【交換網(wǎng)中鏈路的類型】：1.接入鏈路（access）：此種鏈路只允許一個 VLAN2.主干鏈路（又叫中繼鏈路（trunk）：此鏈路可以傳遞多個 VLAN3.混合鏈路：可傳輸兩種幀（帶 VLAN 信息的幀與不帶 VLAN 信息的幀）【交換機接口模式】1、access: 主要用來接入終端設(shè)備，如 PC 機、服務(wù)器、打印服務(wù)器等。2、tru

35、nk: 主要用在連接其它交換機，以便在線路上承載多個 vlan。3、multi:在一個線路中承載多個 vlan，但不像 trunk,它不對承載的數(shù)據(jù)打標簽。主要用于接入支持多 vlan 的服務(wù)器或者一些網(wǎng)絡(luò)分析設(shè)備?，F(xiàn)在基本不使用此類接口，在 cisco 的網(wǎng)絡(luò)設(shè)備中，也基本不支持此類接口了。4、dot1q-tunnel: 用在 Q-in-Q 隧道配置中。九 操作系統(tǒng)安全之一什么樣的操作系統(tǒng)是安全的？ 操作系統(tǒng)安全需求操作系統(tǒng)安全策略：訪問控制策略，安全支持策略（TCSEC 定義的六類訪問支持策略） 隱通道的概念及其分類TCB操作系統(tǒng)面臨的安全威脅操作系統(tǒng)安全的主要研究內(nèi)容TCSEC 定義的六

36、類訪問支持策略【隱通道】定義：可以被進程利用來以違反系統(tǒng)安全策略的方式進行非法傳輸信息的通信通道|-存儲隱通道（共享：文件系統(tǒng)）|-時間隱通道（共享資源：CPU 時間）【什么樣的操作系統(tǒng)是安全的】是指該系統(tǒng)能夠控制外部對系統(tǒng)信息的訪問，即只有經(jīng)過授權(quán)的用戶或進程才能對信息資源進行相應(yīng)的讀、寫、創(chuàng)建和刪除等操作，以保護合法用戶對授權(quán)資源的正常使用，防止非法入侵者對系統(tǒng)資源的侵占和破壞。 對操作系統(tǒng)本身的安全保護功能和安全服務(wù)。 針對各種常用的操作系統(tǒng)，進行相關(guān)配置，使之能正確對付和防御各種入侵； 保證網(wǎng)絡(luò)操作系統(tǒng)本身所提供的網(wǎng)絡(luò)服務(wù)能得到安全配置?！景踩枨蟆吭谠O(shè)計一個安全系統(tǒng)時期望得到的安全保

37、障【操作系統(tǒng)的安全需求】|-機密性需求 為秘密數(shù)據(jù)提供保護方法及保護等級|-完整性需求系統(tǒng)中數(shù)據(jù)未發(fā)生變化或遭修改、破壞|-審計需求能證實用戶身份，可對有關(guān)安全的活動進行完整記錄、檢查和審核，防止用戶對訪問過某信息或執(zhí)行過某操作的否認|-可用性需求 防止非法獨占資源，合法用戶需要時保證其訪問到所需信息【操作系統(tǒng)面臨的安全威脅】機密性威脅、完整性威脅、可用性威脅木馬程序、黑客攻擊、蠕蟲、拒絕服務(wù)攻擊、計算機病毒、邏輯炸彈、非法訪問、機密信息泄露、信息篡改、隱蔽通道、后門【操作系統(tǒng)安全的主要研究內(nèi)容】1.安全策略指用于授權(quán)使用計算機及信息資源的規(guī)則訪問控制策略：自主、強制(看之前的)、基于角色訪問

38、支持策略 TCSEC 六類2.安全模型： RBAC 模型3.安全機制(下一章)【基于角色的訪問控制】： 組：一組用戶的集合角色：一組用戶的集合+ 一組操作權(quán)限的集合六類訪問支持策略|-標識與鑒別用來標明用戶身份、確保用戶的惟一性和可辨認性的標志。一般用用戶名|和 UID 標明一個系統(tǒng)用戶。用特定信息對用戶身份、設(shè)備和其他實體的真|實性進行確認，用于鑒別的信息是非公開的和難以仿造的。|-可記賬性 要求任何影響系統(tǒng)安全性的行為都被跟蹤和記錄在案，安全系統(tǒng)擁有把用戶標|識與它被跟蹤和記錄的行為聯(lián)系起來的能力。|-確切保證 系統(tǒng)事先制定的安全策略能得到正確執(zhí)行并且安全系統(tǒng)能正確可靠地實施安|全策略的意

39、圖。|-連續(xù)保護 安全系統(tǒng)必須連續(xù)不斷地保護系統(tǒng)免遭篡改和非授權(quán)改變|-客體重用 存儲介質(zhì)作為系統(tǒng)資源被動態(tài)再分配給新主體時，必須確保其中不能包含任何|客體殘留信息|-隱蔽信道處理【TCB】可信計算基。計算機系統(tǒng)內(nèi)安全保護裝置的總體，包括硬件、固件、可信軟件和負責(zé)執(zhí)行安全策略的管理員的組合體。它建立了一個基本的保護環(huán)境并提供一個可信計算機系統(tǒng)所要求的附加用戶服務(wù)?！維ymbian 操作系統(tǒng)的安全體系結(jié)構(gòu)】Symbian OS 將 UI 與引擎和服務(wù)分離，從而允許被授權(quán)人（像 Nokia）為手機開發(fā)它們自己的 UI。Symbian 的平臺安全性主要基于以下目標:保護移動終端的完整性 保證用戶數(shù)據(jù)

40、的隱秘性 控制對敏感性資源的訪問Symbian 操作系統(tǒng)安全體系結(jié)構(gòu)的核心思想是控制進程的行為進程是保護的基本單元，也是可信的基本單元內(nèi)核安全性涉及 3 個基本元素1 可信計算單元可信計算基(不受限制地訪問設(shè)備資源，是整個操作系統(tǒng)完全信賴的部分，也是其余部分的基礎(chǔ)。)可信計算環(huán)境(局限于訪問部分的設(shè)備資源)應(yīng)用程序(不能直接訪問資源，只能通過可信計算環(huán)境才能實現(xiàn)對設(shè)備資源的操作。) Symbian vs. Linux 區(qū)別：中間可信計算環(huán)境層2 能力模型(能力是指訪問敏感性系統(tǒng)資源的權(quán)限標志)客戶機/服務(wù)器模型客戶機/服務(wù)器模式是一個進程通過接口調(diào)用另一個空間上的可執(zhí)行代碼的一種方式， 另外一

41、種是以動態(tài)鏈接庫的方式。對于服務(wù)程序而言，用能力來區(qū)分和限制各個服務(wù)器可以訪問哪些設(shè)備資源；對于客 戶程序而言，同樣根據(jù)能力來限定它們可以使用哪些服務(wù)器提供的服務(wù)來訪問系統(tǒng)資源。Symbian 操作系統(tǒng)中內(nèi)存保護的基本單元是進程內(nèi)核負責(zé)維護所有進程的能力列表3 數(shù)據(jù)鎖定(目標其實是防止對文件系統(tǒng)非法的寫操作)第 l 層次，應(yīng)用程序沒有權(quán)限訪問系統(tǒng)目錄，除非有很高的能力；第 2 層次，每個進程都創(chuàng)建一個屬于自己的安全目錄，可以存放敏感性數(shù)據(jù)。其它應(yīng)用程序是無法訪問到的。十 操作系統(tǒng)安全之二 基于活動目錄的域安全機制Windows 的安全組件Windows 安全機制：AD、PKI、Kerberos

42、 V5、EFS 和 IPSec域，工作組，域控制器目錄和目錄服務(wù)活動目錄OU域中資源命名的方式【W(wǎng)indows 安全機制】|-活動目錄服務(wù)使用目錄服務(wù)來實現(xiàn)整個網(wǎng)絡(luò)的管理結(jié)構(gòu)，包括網(wǎng)絡(luò)結(jié)構(gòu)、安全認證、資源集中管理和資源共享等|-認證服務(wù) Kerberos v5作為網(wǎng)絡(luò)用戶身份認證的主要方法|-PKI 支持公鑰基礎(chǔ)設(shè)施|-加密文件系統(tǒng) EFS 基于公鑰策略 加密和解密過程對應(yīng)用程序和用戶而言完全透明。即EFS 用戶如果是加密者本人，系統(tǒng)會在用戶訪問這些文件和文件夾時將其自動解密， 用戶完全不用參與。|-IPSec 協(xié)議IPSec 提供了認證、加密、數(shù)據(jù)完整性和 TCP/IP 數(shù)據(jù)的過濾功能。IP

43、安全性協(xié)議支持在網(wǎng)絡(luò)層一級的驗證、數(shù)據(jù)完整性和加密?！竟ぷ鹘M】 工作組是一個由許多在同一物理地點、而且被相同的局域網(wǎng)連接起來的用戶組成的小組 工作組屬于分散管理、適合小型網(wǎng)絡(luò)等等 由管理員定義的計算機、用戶和組對象的集合。 這些對象共享公用目錄數(shù)據(jù)庫、安全策略以及與其他域之間的安全關(guān)系默認情況下計算機安裝完操作系統(tǒng)后隸屬于工作組?！净顒幽夸洝坑脩糍~號、計算機賬號和安全策略被存儲在域控制器上一個名為 Active Directory 的數(shù)據(jù)庫中AD 架構(gòu)是一個關(guān)于物體的有層次的布置的信息，每個對象包含實體和屬性。 活動目錄中存儲對象和屬性Schema（架構(gòu)）:架構(gòu)用來定義 AD 中的對象（cla

44、sses）和屬性（attributes）?；顒幽夸浘推浔举|(zhì)來講，是一種采用 LDAP（輕量級目錄訪問協(xié)議）的目錄服務(wù)活動目錄包括兩個方面 1.目錄2.目錄相關(guān)的服務(wù)【目錄服務(wù)】 目錄服務(wù)的功能:1.維護目錄信息2.查詢機制3.數(shù)據(jù)復(fù)制如果網(wǎng)絡(luò)中有多個域控制器，活動目錄提供了通過網(wǎng)絡(luò)分發(fā)目錄的復(fù)制服務(wù)4.全局編目對所管理的資源信息進行全局索引5.合理組織信息結(jié)構(gòu) 對管理的資源對象及這些對象的屬性、名稱的格式等以一種合理的結(jié)構(gòu)進行組織【活動目錄的邏輯結(jié)構(gòu)】活動目錄的邏輯結(jié)構(gòu):域（Domains） 樹（Trees） 森林（Forests） 組織單元（OU） 對象活動目錄的對象:對象代表網(wǎng)絡(luò)資源 屬性

45、存儲對象的信息就是共享用戶賬號、計算機賬號和安全策略的計算機集合。域是一個安全邊界(域管理員只能在本域中執(zhí)行管理操作，除非他被明確地賦予其他域管理員身份)一個域是一個復(fù)制單元(域控制器包含域中信息的完整集合，并且參與域信息的復(fù)制)根域下面可以建立多層子域，域和子域構(gòu)建成域樹.這些域共享相同的架構(gòu)和配置信息.這些域有著鄰接的名字空間域森林是不共享連續(xù)名空間的一組樹,每個樹有自己的根域，各個根域有信任關(guān)系安裝有活動目錄的計算機稱為域控制器域控制器存儲著目錄數(shù)據(jù)并管理用戶域的交互關(guān)系（用戶登陸、身份驗證和目錄搜索）一個域中可有一個或多個域控制器，各域控制器間可以相互復(fù)制活動目錄-各個域控制器維護目錄

46、域分區(qū)一個可寫副本，對目錄進行更新時，該更新被復(fù)制到域的所有域控制器中?！窘M織單元 OU】組織單元是用戶、組、計算機及其它對象（或其它組織單元）在活動目錄中的邏輯管理單位。用來委派對用戶、組及資源集合的管理權(quán)限?？刂朴脩?組對資源的訪問建立/應(yīng)用組策略對象實現(xiàn)管理委派組織具有公共屬性的對象，如打印機【命名方法】把名字空間理解為任何給定名字的解析邊界，這個邊界就是指這個名字所能提供或關(guān)聯(lián)、映射的所有信息范圍。確定了此對象所在的域和到達此對象的完全路徑相對標識名是完全標識名中對象屬性的一部分UPN 采用用戶的登錄名和用戶對象所在域的 DNS 名組成eg：J！UPN

47、 應(yīng)保證在森林中唯一十一 操作系統(tǒng)安全之三 操作系統(tǒng)安全評估標準介紹TCSEC通用準則 CC 及 CC 的幾個概念：TOE，PP，ST，SFR，SAR，EAL 我國的計算機系統(tǒng)安全保護能力等級劃分【TCSEC】美國可信計算機系統(tǒng)評價標準橘皮書 按照處理信息的等級和應(yīng)采用的相應(yīng)措施分級|-D 無保護級|-C 自主保護級 -|-C1 自主安全保護級|-C2 控制訪問保護級 可作為最低軍用安全級別|-B1 標記安全保護|-B2 結(jié)構(gòu)化保護 隱蔽信道分析能力，抗?jié)B透能力|-B3 安全域滿足訪問監(jiān)控器|-A1 驗證設(shè)計【通用準則 CC】定義了評價信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基本準則提出了目前國際上公認的表

48、述信息技術(shù)安全性的結(jié)構(gòu)即把安全要求分為：p規(guī)范產(chǎn)品和系統(tǒng)安全行為的功能要求p解決如何正確有效地實施這些功能的保證要求【幾個概念】TOE(Target of Evaluation)評估對象PP (Protection Profile) 安全輪廓(ST 描述一個具體 TOE，PP 描述一 TOE 類型)ST(Security Target) 安全目標 是一份安全要求與概要設(shè)計說明書SFR(Security Functional Requirements)安全功能要求詳細說明產(chǎn)品提供的個別安全功能SAR(Security Assurance Requirements)安全保證要求描述了研發(fā)和評估的過

49、程中鑒定產(chǎn)品達到聲明的安全目標的措施。EAL（Evaluation Assurance Level）評估保證級 描述了評估的深度的嚴密程度評 估 保 證 級 EAL EAL1： 功 能 測 試 EAL2： 結(jié) 構(gòu) 測 試 EAL3：系統(tǒng)測試和檢查 EAL4：系統(tǒng)設(shè)計、測試和復(fù)查EAL5：半形式化設(shè)計和測試EAL6：半形式化驗證的設(shè)計和測試EAL7：形式化驗證的設(shè)計和測試【計算機信息系統(tǒng)安全保護等級劃分準則】17859-參考了美國的 TCSEC 和 TNI18336-CC17859： 用戶自主保護級系統(tǒng)審計保護級安全標記保護級結(jié)構(gòu)化保護級 訪問驗證保護級十二 操作系統(tǒng)安全之四 Android 安全概述基本概念:Android