1、信息保障和安全,教师孙达志联系方式教学网页http:/ 5%; 实验: 15%; 考试: 80%,参考书 1 Charles P. Pfleeger, Shari Lawrence Pfleeger, Security in Computing, Fourth Edition, Prentice-Hall, 2006 2 William Stallings, Cryptography and Network Security, Fourth Edition, Prentice-Hall, 2005 3 Alfred J. Menezes, Paul C. van Oorschot, Scott
2、 A. Vanstone, Handbook of Applied Cryptography, CRC Press, 1997 4 胡道元, 闵京华, 网络安全, 清华大学出版社, 2008,第1章 计算中的安全问题,本章要点,计算中的安全威胁 安全计算的目标 计算有关的脆弱点 控制安全威胁的手段,1.1 “安全”意味着什么?,1.1.1 保护有价物品与信息,表1.1 保护钱财和保护信息,1.1.2 计算机入侵的特点,计算系统(computing system)是指硬件、软件、存储介质、数据以及执行计算任务的人所组成的一个集合。 # 计算系统的任何部分都可能成为犯罪目标。认为一个计算系统的某些
3、部分对局外人来说是没有价值的观念,常常是错误的。,1.1.2 计算机入侵的特点(续),最易渗透原则(principle of easiest penetration):入侵者总是企图利用任何可能的入侵手段。这种入侵没有必要通过显而易见的手段,也没有必要针对安装有最可靠的防御系统,当然更没有必要是我们想要入侵者采取的方式。 # 这条原则暗示计算机安全工作人员必须考虑所有可能的入侵方式。当系统及其安全措施发生改变时,入侵分析必须反复进行。千万不要相信:所有攻击都是在限度之内的。,1.2 攻击,1.2.1 脆弱点、威胁、攻击和控制 计算机系统有三个独立有价值的部分:硬件(hardware)、软件(s
4、oftware)和数据(data)。 脆弱点(vulnerability)是安全系统中的缺陷,如设计或实现中的缺陷,它能被攻击者利用来进行破坏活动。 对计算系统的威胁(threat)指的是能潜在引起系统损失和伤害的一组特定事件。 攻击者利用系统的脆弱点对系统进行攻击(attack)。 控制(control)是一些动作、装置、程序或技术,它能消除或减少脆弱点。,1.2.1 脆弱点、威胁、攻击和控制(续),图1.1 脆弱点、威胁和控制,三者的关系:通过控制脆弱点来阻止威胁,1.2.1 脆弱点、威胁、攻击和控制(续) 可将威胁分为以下4类: 截取(interception)指某未授权方获得了访问资源
5、的权利。 中断(interruption)指系统资源丢失、不可得或不可用。 篡改(modification)指未授权方不仅访问了资源而且修改了其内容。 伪造(fabrication)未授权方可能在计算系统中创建假冒对象。,1.2.1 脆弱点、威胁、攻击和控制(续),图1.2 计算系统安全威胁,1.2.2 方法、机会和动机,攻击者必须具备以下三点: 方法:技巧、知识、工具和能够成功实现攻击的其他方面。 机会:完成攻击的时间入口。 动机:想要攻击这个系统的原因。 缺少三个中的任何一个都不会发生攻击,但是,要阻止其中任何一个也是很困难的。,1.3 计算机安全的含义,1.3.1 安全目标 计算机安全的
6、三个重要方面: 机密性(confidentiality)确保计算机资源仅被合法用户访问。 完整性(integrity)指所有资源只能由授权方或以授权的方式进行修改。 可用性(availability)指所有资源在适当的时候可以被授权方访问。,1.3.1 安全目标(续),图 1.3 机密性、完整性和可用性之间的关系,#目标是在三个性质之间寻找平衡点,但平衡并不是一切。,1.3.1 安全目标(续) 机密性:机密性是我们最为了解的安全性质,与现实生活中的机密保护有很多相似之处,但保护机密性也是困难的。 完整性:一项是完整的常指该项:精确的、准确的、未被修改的,只能以允许的方式修改、只能被授权用户修改
7、、只能被授权过程修改,一致的、内部一致的、有意义和可用的。完整性具有三个特殊方面:被授权行为;资源分离和保护;以及错误的检测和纠正。,1.3.1 安全目标(续) 可用性:可用性可用于数据和服务,它很复杂,不同的人对可用性的要求是不同的。如果对我们的请求及时响应、公平分配资源不存在特惠用户、服务和系统遵循容错原理,当软硬件故障时,服务以可接受的方式终止而不是突然崩溃和信息丢失、服务和系统便于使用、支持同时访问、死锁管理和独占式访问,那么我们说一个数据项、服务或系统可用。可用性的全面实现是安全的下一个巨大挑战。,1.3.2 脆弱点,从系统的三类资源的应用中来研究脆弱点,比直接从安全目标入手要容易得
8、多。,1.3.2 脆弱点(续),(1) 硬件脆弱点:由于可以看见哪些设备挂在系统上,所以一种简单的攻击是增加设备、变更设备、删除设备、截取通信或用大量信息阻塞它们使其丧失处理能力。 “无意的机器屠杀”通常不会对其涉及的硬件构成严重损害,有意识地破坏计算机硬件的 “有意的机器破坏”或“机器自毁”危害更大,但有时通过简单的物理措施就能大大加强硬件安全。但便携式计算设备的安全令人堪悠。,1.3.2 脆弱点(续),(2) 软件脆弱点:软件可以被恶意替换、改变或破坏,也可以被意外篡改或错放。物理设备被破坏一般都有明显痕迹,但软件若丢失一行源代码或目标代码却不可能留下明显痕迹。更有甚者,恶意入侵者可以“增
9、强” 软件功能。 软件删除:配置管理(configuration management)程序可以精确地控制访问软件,使得软件不会被意外删除、破坏和替换。 软件篡改:软件对错误非常敏感,一位的错误都可能导致系统崩溃;“逻辑炸弹”(logic bomb)可以使软件在大多数时间都可以工作,只在特定情况时才出错;另一种就是功能扩展,使程序具有难于察觉的功能。,1.3.2 脆弱点(续),其他类型的软件篡改包括: 特洛伊木马(trojan horse):指一个程序,明面上完成一项工作,而暗地里做另外的工作。 病毒(virus):特洛伊木马的一种,它能在计算机之间传播“感染”。 陷门(trapdoor):有
10、秘密入侵点的程序。 程序中的信息泄露(information leaks):允许非授权用户和程序对信息具有访问权的代码。 软件窃取 如软件盗版。,1.3.2 脆弱点(续),(3) 数据脆弱性:硬件一般只涉及硬件放置处的小部分人员,软件则主要涉及计算机专业人员,而数据则更具公众价值。但评价数据的价值困难,通常是有上下文的数据就有一定价值。一般来说,软硬件有相对长的生命周期,价值也会逐渐降低,而数据价值与时间的确切关系则难预见得多。,1.3.2 脆弱点(续),数据安全提出了计算机安全的第二条原则: 适度保护原则(principle of adequate protection):计算机资源项在失去
11、价值前必须被保护。被保护的程度与其价值是一致的。 # 这种短期保护窗口的概念主要应用于数据,但在某些情况下也可应用于软件与硬件。,1.3.2 脆弱点(续),图 1.5 数据安全,1.3.2 脆弱点(续),数据机密性:由于数据经常表现为人们能够阅读的形式,所以数据的机密性是计算机安全中的一个关键问题。需要保护数据的形式多种多样:有计算机数据、CD-DVD中的记录、网络电话上的数字信号、有线和卫星电视、生物特征标识、网上行为参数等。 数据完整性:篡改数据需要了解数据传输、存储以及数据格式。导致这类问题的原因有:恶意程序、错误的文件系统工具和有缺陷的通信工具等。数据对于篡改特别脆弱,普通方法可能检测
12、不到微小改动,如salami攻击;复杂的攻击可能试图对用过的数据进行再处理,如重放攻击。,1.3.2 脆弱点(续),(4) 其他易受攻击的资源 网络:指硬件、软件和数据的专有集合。每个网络节点就是一个计算系统,因此,具有所有常规安全问题,而不可靠的通信则加重了安全问题。新安全挑战来源于:缺乏物理临近、不安全共享媒体,缺乏对远程实体的鉴别能力。 访问:存在三种类型脆弱点:入侵者窃取计算机的机器时间完成一般计算,该计算并不攻击系统的完整性(类似窃水、电);入侵者对计算系统恶意访问,破坏软件和数据;未授权的访问可能引起对合法用户的服务拒绝。,1.3.2 脆弱点(续),关键人员:由于可能存在非恶意、恶
13、意人员,对于操作员和系统程序员等人员必须精心挑选,因为他们有能力影响所有的用户。,1.4 计算机犯罪,计算机罪犯没有固定的外表特征,许多看上去像罪犯的人可能根本不是罪犯。 从某种意义上讲,计算机安全就是为了防止罪犯破坏计算机系统。 计算机犯罪(computer crime)是与计算机有关或利用计算机实施犯罪的所有行为。 计算机犯罪每年带来的损失巨大,因此,应该努力减少它的危害。,1.4.1 业余爱好者,大多数计算机罪犯是普通的计算机专业人员和用户,他们发现计算系统弱点并利用来获取价值。 业余爱好者可能会由于对工作环境的不满,而通过破坏计算装置来报复管理层。,1.4.2 破译者或恶意黑客,系统破
14、译者(cracker)指为了险恶目的而试图访问计算机的人。他们试图访问无权访问的计算设备,将入侵系统视为挑战。大多数破译者破译系统不与人交流。黑客(hacker)是通过地下网络交流成功秘诀。 在安全界,黑客指没有恶意的编程、管理或使用计算系统的人。破译者指恶意试图访问计算机的人。安全界以外,这个界限不明确。 对这些攻击者而言没有一个共同的特征或目标。,1.4.3 职业罪犯,职业计算机犯罪对其犯罪的目标清楚,通常犯罪分子本身就是计算机专业人员,他们认为计算机犯罪前景可观、回报丰厚。有证据表明一些犯罪集团和国际组织正在从事计算机犯罪。黑客想要的只是吹嘘的资本,而犯罪组织想要获得经济利益,因此,黑客
15、通常使用一些快速但留有痕迹的攻击手段,而专业犯罪攻击者需要不留痕迹、强大且不会被发现的攻击手段。,1.4.4 恐怖分子,恐怖分子常以下面三种方式使用计算机: 攻击目标:对政治团体,进行诸如拒绝服务攻击和网站篡改的破坏,这可以引起社会关注,并给攻击目标造成负面关注。 宣传工具:利用网站、日志、电子邮件、社交媒体让人们快速获得有关消息。 攻击手段:使用计算机发起各种令人讨厌的攻击。,1.5 防御方法,为了防御损害,可以采取两种方法:压制威胁、关闭脆弱点。或者二者皆选。损害发生的可能性称为风险(risk)。处理损害的方法是: 预防:通过阻止攻击或关闭脆弱点 缓解:通过使攻击变得困难,但不是不可能 转
16、移:通过使其他的目标更具有吸引力(或减少本目标的吸引力) 检测:发生时或者在发生后的一段时间进行检测 恢复:攻击后的恢复 当然,可以同时使用以上的其中几种。,1.5.1 控制,我们采取一个或多个控制的依据是:要保护什么,保护费用与损失风险比较如何,攻击者为达到目的会付出多大努力。,图 1.6 多重控制,1.5.1 控制(续),加密:加密技术解决了数据的机密性要求,同时也可以用来保护完整性。加密是安全协议的基础,为执行一个重要的系统或网络任务提供安全保障。机密可以为可用性提供支持。 但也不能过高估计加密的重要性,加密不能解决所有的安全问题,需要其他工具为补充。不当加密可能对安全毫无作用甚至降低整
17、个系统的性能。,1.5.1 控制(续),软件控制:程序应该足够安全以防止外部攻击,它们必须不断升级和维护。程序控制包括以下方面: 内部程序控制:程序中执行安全限制的部分。 操作系统和网络系统控制:用户保护程序。 独立控制程序:一些应用程序,如口令检 测、入侵检测工具或病毒扫描器。它们针对某类脆弱点。 开发控制:用于程序设计、编码、测试和维护的质量标准。,1.5.1 控制(续),硬件控制:专门设计具有安全保护的硬件,如执行加密的硬件智能卡、限制访问的锁或电缆、用户身份识别设备、存储介质的访问控制电路板等。 策略和过程:用户之间约定规则,规则在建立后实施培训和管理,以加强安全规则的重要性和确保其正
18、确地使用。规定不仅需要考虑法律还应该考虑群体信念。 物理控制:包括琐门、守卫入口、备份重要软件和数据,以及选择自然灾害少的地理位置。,1.5.2 控制的有效性,察觉问题:正在应用控制的人必须相信安全的必要。 使用的可能性:控制不会自动生效,除非正确使用。 有效性原则(principle of effectiveness):控制必须加以使用(而且是正确使用)才有效。它们必须是高效、容易使用和适当的。 # 就其使用的时间、存储空间、人员活动或其他资源等方面而言,计算机安全控制必须足够高效、从而使控制的使用不会严重影响受保护的任务执行。,1.5.2 控制的有效性(续),重叠控制:对重要部分可以采取多
19、种安全措施并用的方式。 定期检查:没有一种控制是永远有效的。判断控制的有效性是一项持续的工作。 重叠控制旨在一种控制失效,另一种控制可以补救,在某些情况下的确如此,但在另一些情况下两种控制并不一定优于一种控制。,1.5.2 控制的有效性(续),最弱环节原则(principle of weakest link):安全不会强于其最弱的环节。不管它是防火墙的电源,或是支持安全应用的操作系统,或是规则、实现和管理控制的人,只要所有控制中的任何一个失败了,整个安全就失败了。,1.6 后续内容,课程内容分成三大部分:第一部分简要介绍密码学;第二部分涉及计算机系统的硬软件部件,描述每个部件及数据的安全问题,
20、以及可实施的各种保护方法;第三部分讨论系统软硬件和数据以外影响系统安全的因素。这部分不仅考虑安全中的物理因素还考虑人为因素。,1.6.1 密码学精讲 第2章将了解密码学的基本术语,目标,主流算法,应用。从而理解一个密码系统如何为商业应用、政府数据或个人私有信息提供足够的安全保障。 1.6.2 软件和硬件安全 第3章将介绍的是程序安全问题。这里,我们将讨论病毒、其他恶意代码以及如何对它们进行控制。,1.6.2 软件和硬件安全(续) 第4章将单独讨论通用操作系统,操作系统在提供安全特性的同时,也可能引入安全漏洞。 第5章着眼于可信操作系统,研究特定的数据和功能如何仅被合法用户浏览和操作。 第6章将
21、讨论数据库安全,数据库管理系统是一类特殊程序,它们允许多用户共享访问公共数据。 第7章将涉及有关计算机网络和通信介质的安全问题及其解决方案。,1.6.3 安全中的人为控制 第8章将讲述安全的管理。从安全规划和其中扮演重要角色的风险分析开始。这章也阐述物理安全机制,并解释安全策略是安全计划的核心,还将讨论灾难恢复。 第9章将着眼于计算机安全的经济问题。安全决不可能成为系统诸多需求的主角,通常处于次要角色,甚至被忽略。这一章讨论如何证明安全开销是适度的,如何论证对安全的投资可以得到回报。,1.6.3 安全中的人为控制(续) 第10章将讨论隐私问题,这是计算机中人为方面的另一部分。由于众多的数据来源
22、于许多人,因而带来两个问题:第一,谁可以控制这些个人数据?哪些是可以接受的对数据的应用?第二,个人数据如何避免丢失和不恰当的泄露。 第11章将考虑用法律和道德来控制恶意行为。虽然计算机法律是一个相对新的领域,但进步神速,而在法律不适合的领域,则可用道德来解决。,1.7 本章总结,计算机安全用来保障计算机系统部件的机密性、完整性和可用性。计算机系统易被攻击的部分是硬件、软件和数据,它们都存在脆弱点,可为攻击者利用。四种对计算机系统的威胁为:截取、中断、篡改和伪造。 有四项原则指导计算机安全领域。最易渗透原则、适度保护原则、有效性原则、最弱环节原则。 控制可以应用于数据、程序、系统、物理装置、通信链接和员工等各层次,解决系统安全问题。,谢谢!,
