【计算机系统安全】 第一章 计算机系统安全概论

第一章 计算机系统安全概论

  • 计算机信息系统安全问题
  • 信息安全概念的发展
  • 计算机系统安全研究的内容

image-20210913001038092

1.1 计算机信息系统安全问题

1.1.1 计算机信息系统的基本概念
计算机信息系统:

是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

实际上,人们所讨论的典型的计算机信息系统,应该是在网络环境下运行的信息处理系统。

威胁:

安全是在人类生产过程中,将系统的运行状态对人类的生命、财产、环境可能产生的损害控制在人类能接受水平以下的状态。

计算机安全威胁:对计算机信息系统的威胁是指:潜在的、对信息系统造成危害的因素。

设信息是从源地址流向目的地址,那么正常的信息流向是:

image-20210603190018560

中断(Interruption)威胁:使得在用的信息系统毁坏或不能使用,即破坏可用性(Availability)。

image-20210603190047118

攻击者可以从下列几个方面破坏信息系统的可用性:

​ 使合法用户不能正常访问网络资源。

​ 使有严格时间要求的服务不能及时得到响应。

​ 摧毁系统(物理破坏网络系统和设备组件使网络不可用,或者破坏网络结构使之瘫痪等。如硬盘等硬件的毁坏,通信线路的切断,文件管理系统的瘫痪等)

最常见的中断威胁是造成系统的拒绝服务,即信息或信息系统资源的被利用价值或服务能力下降或丧失。

截获(Interception)威胁:是指一个非授权方(非授权方可以是一个人、一个程序或一台计算机)介入系统,使得信息在传输中被丢失或泄露的攻击,它破坏了保密性(Confidentiality)。

image-20210603192230676

这种攻击主要包括:
利用电磁泄露或搭线窃听等方式可截获机密信息,通过对信息流向、流量、通信频度和长度等参数的分析,推测出有用信息,如用户口令、账号等。
非法复制程序或数据文件。

篡改(Modification)威胁:以非法手段窃得对信息的管理权,通过未授权的创建、修改、删除和重放等操作而使信息的完整性(Integrity)受到破坏。

image-20210603192230676

这些攻击主要包括:
改变数据文件,如修改数据库中的某些值等。
替换某一段程序使之执行另外的功能,设置修改硬件。

伪造(Fabrication)威胁:一个非授权方将伪造的客体插入系统中,破坏信息的可认证性(Authenticity)。

例如在网络通信系统中插入伪造的事务处理或者向数据库中添加记录。

image-20210603192838882
脆弱点:

脆弱点(Vulnerability):是指信息系统中的缺陷,实际上脆弱点就是安全问题的根源所在,如原理设计及实现中的缺陷,它能被攻击者利用来进行破坏活动。

一般可以从如下几个方面分析脆弱点:
物理安全
软件系统
网络和通信协议
人的因素

攻击:

攻击者利用信息系统的脆弱点对系统进行攻击(Attack)。

控制:

我们使用控制(Control)进行安全防护。控制是一些动作、装置、程序或技术,它能消除或减少脆弱点。

可以这样描述威胁、控制和脆弱点的关系:“通过控制脆弱点来阻止或减少威胁”。

计算机信息系统的安全需求(保密性、完整性、可用性、可控性、不可抵赖性、可存活性、可认证性、实用性)

保密性(Confidentiality):是指确保信息资源仅被合法的用户、实体或进程访问,使信息不泄漏给未授权的用户、实体或进程。

实现保密性的方法一般是通过信息的加密、对信息划分密级,并为访问者分配访问权限,系统根据用户的身份权限控制对不同密级信息的访问。

特别要说明的是,对计算机的进程、中央处理器、存储、打印设备的使用也必须实施严格的保密技术措施,以避免产生电磁泄露等安全问题。

完整性(Integrity):是指信息资源只能由授权方或以授权的方式修改,在存储或传输过程中不丢失、不被破坏。

完整性的破坏一般来自3个方面:未授权、未预期、无意。

目前对于动态传输的信息,许多协议确保信息完整性的方法大多是收错重传、丢弃后续包。不仅仅要考虑数据的完整性,还要考虑操作系统的逻辑正确性和可靠性,要实现保护机制的硬件和软件的逻辑完备性、数据结构和存储的一致性。

可用性(Availability):是指信息可被合法用户访问并按要求的特性使用而不遭拒绝服务。

可用的对象包括:信息、服务和IT资源。

例如在网络环境下破坏网络和有关系统的正常运行就属于对可用性的攻击。信息的可用性与保密性之间存在一定的矛盾。系统为了控制非法访问可以采取许多安全措施,但系统不应该阻止合法用户对系统中信息的利用。

可控性(Controllability):是指保证信息和信息系统的认证授权和监控管理,确保某个实体(人或系统)身份的真实性,确保信息内容的安全性和合法性,确保系统状态可被授权方所控制。

不可抵赖性 (Non-repudiation):通常又称为不可否认性,是指信息的发送者无法否认已发出的信息或信息的部分内容,信息的接收者无法否认已经接收的信息或信息的部分内容。

不可否认性措施主要有:数字签名,可信第三方认证技术等。

可存活性(Survivability):是近年来学术界提出的一个安全概念。可存活性是指计算机系统的这样一种能力:它能在面对各种攻击或错误的情况下继续提供核心的服务,而且能够及时地恢复全部的服务。

这是一个新的融合计算机安全和业务风险管理的课题,它的焦点不仅是对抗计算机入侵者,还要保证在各种网络攻击的情况下业务目标得以实现,关键业务功能得以保持。提高对网络攻击的系统可存活性,同时也提高了业务系统在面对一些并非恶意的事故与故障的可存活性。

信息的可认证性是指信息的可信度,主要是指对信息的完整性、准确性和对信息所有者或发送者身份的确认。可认证性比鉴别(Authentication)有更深刻的含义,它包含了对传输、消息和消息源的真实性进行核实。

信息的实用性是指信息加密密钥不可丢失(不是泄密),丢失了密钥的信息也就丢失了信息的实用性,成为垃圾。

总之,计算机信息系统安全的最终目标集中体现为系统保护和信息保护两大目标:

1)系统保护:保护实现各项功能的技术系统的完整性、可用性和可控性等。

2)信息保护:保护系统运行中有关敏感信息的保密性、完整性、可用性和可控性。

信息安全的最根本属性是防御性的,主要目的是防止己方信息的完整性、保密性与可用性遭到破坏。(CIA)

1.2 信息安全概念的发展

1、单机系统的信息保密阶段

20世纪50年代

多用户使用计算机时,将各进程所占存储空间划分成物理或逻辑上相互隔离的区域,使用户的进程并发执行而互不干扰,即可达到安全防护的目的。

20世纪70年代

出现了计算机安全的法律、法规和各种防护手段,如防止非法访问的口令、身份卡、指纹识别等措施。

这时计算机已由单机应用发展到计算机网络,除存储和数据处理外,发展到信息的远程传输,使网络受到攻击的部件增多,特别是传输线路和网络终端最为薄弱。

这时,针对网络安全防护,出现了强制性访问控制机制、完善的鉴别机制和可靠的数据加密传输措施。

密码算法:DES、IDEA、RSA、椭圆曲线离散对数密码体制(ECC)、数字指纹、消息摘要(MD)、安全杂凑算法(SHA:用于数字签名的标准算法)等

70、80年代期间(信息安全理论、安全模型、安全评价准则)

重点研究信息系统安全理论:
1)三大控制理论
访问控制:基于访问矩阵与访问监控器
信息流控制:基于数学的格理论
推理控制:基于逻辑推理,防数据库泄漏保护系统安全模型

2)安全操作系统的设计
安全核技术,分层结构,环型结构

系统安全模型:
1)访问矩阵与监控器模型
2)信息流多级安全模型,基于格理论
保密性模型(BLP模型)
完整性模型(Biba模型)
军用安全模型:适用于军事部门与政府部门

安全性评价准则:
1985年美国开发了可信计算机系统评估准则(TCSEC)把计算机安全划分为7个等级: D,C1,C2,B1,B2,B3,A1。

为信息系统的安全性评价提供了概念、方法与思路,是开创性的。为后来的通用评估准则(CC标准)打下基础。

2、网络信息安全阶段

在该阶段中,除了采用和研究各种加密技术外,还开发了许多针对网络环境的信息安全与防护技术,这些防护技术是以被动防御为特征的。

TCP/IP协议族包括4个功能层:应用层、传输层、网络层和网络接口层。这4层概括了相对于OSI参考模型中的7层。

从安全角度来看,一个单独的层次无法提供全部的网络安全服务,各层都能提供一定的安全手段,针对不同层的安全措施是不同的。

image-20210603200841447

图给出了一个网络保密安全基本模型,通信双方要传递某个消息,需要建立一个逻辑信息通道包括:确定从发送方到接受方的路由以及两方协同使用诸如TCP/IP协议。

image-20210603200957194

为了在开放网络环境中保护信息的传输,需要提供安全机制和安全服务,主要包含两个部分:
(1)消息的安全传输:包括对消息的加密与认证。例如,消息的加密,使开放网络对加密的消息不可读;又如附加一些基于消息内容的编码,用来验证发送者的身份。

(2)双方共享秘密信息的分发:例如,用于发送前的加密密钥和接收后的解密密钥。

为了完成安全的消息传递,常常需要可信的第三方。其作用是负责为通信双方分发秘密信息,或者是在双方有争议时进行仲裁。

图1-8给出了一个网络访问安全模型,该模型考虑了黑客攻击、病毒与蠕虫等的非授权访问。

image-20210603201259993

黑客攻击可以形成两类威胁:
(1)信息访问威胁:即非授权用户截获或修改数据;

(2)服务威胁:即服务流激增以禁止合法用户使用。

病毒和蠕虫是软件攻击的两个实例,这类攻击通常是通过移动存储介质引入系统,并隐藏在有用软件中,也可通过网络接入系统。

在图1-8中,对非授权访问的安全机制可分为两道防线:
第一道防线是守卫功能,包括基于口令的登录过程以拒绝所有非授权访问以及屏蔽逻辑以检测、拒绝病毒、蠕虫和其他类似攻击;

第二道防线由内部的一些安全控制构成,用于管理系统内部的各项操作和所存储的信息分析,以检查对付未授权的入侵者。

这一阶段的主要特征是对于自己部门的网络采用各种被动的防御措施与技术,目的是防止内部网络受到攻击,保护内部网络的信息安全。

3、信息保障阶段

通过确保信息和信息系统的可用性、完整性、可验证性、保密性和不可否认性来保护信息系统的信息作战行动,包括综合利用保护、探测和响应能力以恢复系统的功能。

纵深防护战略(Defense-in-Depth):

就是信息保障依赖人、技术、操作三个因素实现组织的任务/业务运作。通过有效结合当前已有成熟技术,充分考虑人员、技术、操作三方面的影响,并衡量防护能力、防护性能、防护耗费、易操作性等各方面因素,得到系统防护的最有效实用的方案。

IATF强调人、技术、操作这三个核心要素。人,借助技术的支持,实施一系列的操作过程,最终实现信息保障目标,这就是IATF最核心的理念之一。

人(People):是信息体系的主体,是信息系统的拥有者、管理者和使用者,是信息保障体系的核心,是第一位的要素,同时也是最脆弱的。

技术(Technology):是实现信息保障的具体措施和手段,信息保障体系所应具备的各项安全服务是通过技术来实现的。

保护(Protection)、检测(Detection)、响应(Reaction)、恢复(Restore)有机结合的动态技术体系,这就是所谓的PDRR(或称PDR2)模型(如图1-9所示)。

image-20210603202219950

操作(Operation):或者叫运行,操作将人和技术紧密地结合在一起,涉及到风险评估、安全监控、安全审计、跟踪告警、入侵检测、响应恢复等内容。

1.3 计算机系统安全研究的内容

image-20210603202407279

计算机硬件安全
主要介绍PC机物理防护、基于硬件的访问控制技术、可信计算与安全芯片、硬件防电磁辐射技术和计算机运行环境安全问题。

操作系统安全
主要介绍操作系统的主要安全机制,包括存储保护、用户认证和访问控制技术,并介绍了Windows XP/Vista系统的安全机制。

计算机网络安全
主要介绍网络安全框架、防火墙和入侵检测系统,网络隔离技术,网络安全协议以及公钥基础设施PKI/PMI等内容。

数据库系统安全
主要介绍数据库的安全性、完整性、并发控制、备份和恢复等安全机制。

应用系统安全
主要介绍应用系统可能受到的恶意程序攻击,因编程不当引起的缓冲区漏洞,开发安全的应用系统的编程方法、软件保护的技术措施以及安全软件工程技术。

计算机系统应急响应与灾难恢复
计算机系统应急响应与灾难恢复的概念、内容及相关计算机取证、攻击源追踪技术。

安全评估标准
介绍安全评估的国内外标准、评估的主要方法、工具、过程,最后给出一个信息系统风险度的模糊综合评估实例。

计算机信息系统安全管理
介绍计算机信息系统安全管理的目的、任务,安全管理的程序和方法,信息系统安全管理标准及其实施办法,以及我国有关信息安全的法律法规,并系统介绍了我国计算机知识产权的法律保护措施。

posted @ 2021-09-12 23:50  Clancy_gang  阅读(1243)  评论(0编辑  收藏  举报