系统的安全性和保密性设计

《系统的安全性和保密性设计》由会员分享，可在线阅读，更多相关《系统的安全性和保密性设计（5页珍藏版）》请在金锄头文库上搜索。

1、8 章 系统的安全性和保密性设计 8.1 信息安全概述 8.1.1 信息安全概念的发展 8.1.2 信息安全研究的目标 8.1.3 信息安全的常用技术 8.2 访问控制技术 8.2.1 访问控制的实现方法 8.2.2 访问控制策略 8.2.3 Bell.Lapadula 模型 8.3 数据机密性 8.3.1 对称密钥加密 8.3.2 非对称密钥加密 8.3.3 门限密码学 8.3.4 公开密钥基础设施 8.4 数据完整性 8.4.1 Biba 完整性模型 8.4.2 杂凑函数与消息摘要 8.5 通信与网络的安全性 8.5.1 网络安全层次模型 8.5.2 通信与网络安全技术 8.5.3 防火墙

2、技术 8.6 安全管理与安全工程 8.6.1 安全管理的问题 8.6.2 信息安全标准 8.6.3 安全管理模型 8.6.4 安全管理策略 8.6.5 安全管理框架 8.6.6 安全管理系统实现的功能 8.6.7 系统安全工程例如访问控制和授权、敏感数据的适当处理、数据和存储器访问的适当使用，以及加密方法。一些安全性需求不是非功能的需求，如所实施的加密类型。另外，许多安全性需求是更直接地面向用例的，并且需要定义主要场景，以及定义备选路径和异常路径。在没有将功能的和非功能的需求适当地定义及并人软件中的情况下，编码错误和设计缺陷会表现出关键的信息和操作处于危险。我们应该像对待其他的需求那样处理安全

3、性需求，并将安全性需求划分出优先级，设定范围，同时作为整体用例和功能需求的一部分进行管理。5 5、软件软件安全安全是一项功能吗是一项功能吗? ?软件漏洞是一个缺陷吗软件漏洞是一个缺陷吗? ?软件安全可以简单地看做是软件产品或系统的另外一项功能。软件测试员可能会负责测试软件的整个安全性，或者可能仅仅负责测试被 分配测试的功能是安全的。软件测试员不需要拿到一份清楚明白地定义软件安全性是如何实现的产品 说明书。软件测试员也不能假设威胁模型分析是完全和准确的。技巧：测试安全缺陷是失效性测试行为，也常常覆盖产品中没有被完全理 解和说明的部分。6 6、了解缓冲区溢出、了解缓冲区溢出任何软件产品中都有一个安

4、全问题缓冲区溢出。数据引用错误既使用没有被正确申明和初始化的变量、常数、数组、 字符串或记录引起的缺陷。缓冲区溢出就是这种缺陷。由于字符串的不正确处理引起的缓冲区溢出是目前为止最为常见的一种代 码编写错误，其结果是导致安全漏洞。7 7、使用安全的字符串函数、使用安全的字符串函数通用 C 和 C+函数中容易引起缓冲区溢出的编码错误。这些函数自身并不 差，但是要安全的使用它们，需要在程序员这边进行更为深入的错误检测。如 果忽略了这种错误检测，代码就会有安全漏洞。衡量一下这种疏忽带来的风险，最好还是开发或改进一组新的函数，即用 强壮、完全测试通过的、文档齐全的新函数集替代这些容易引起问题的函数集。这

5、些新的函数，叫做安全字符串函数(Safe String Functions)，在 windowsXP 的 SP1 版本、最新的 windows DDK 和平台 SDK 中已经具有。常用的操作系统、编译器，处理器也具有其它很多实现了安全字符串的商用的或免费的库。使用新函数的好处(部分)：(1)每个函数接收目标缓冲的长度作为输入。这样函数就能确保在写入时不 会超过缓冲区的长度。(2)函数空字符中止所有的输出字符串，即使操作截断了预计的后果。(3)所有函数返回一个 NTSTATUS 值，该值只有一个可能成功的代码。调用 函数能轻易地确定函数的执行是否成功。(4)每个都提供版本。一个支持单字节的 AS

6、CII 字符，另一个支持双字节的 Unicode 字符。软件安全性标准软件安全性标准一、安全目标预防：跟踪审计：从数据库系统本身、主体和客体三个方面来设置审计选项，审 计对数据库对象的访问以及与安全相关的事件。数据库审计员可以分析审计信息、跟踪审 计事件、追查责任。并且对系统效率的影响减至最小。监控：能够对针对软件或数据库的实时操作进行监控，并对越权行为或危 险行为发出警报信息。保密性和机密性：可防止非授权用户的侵入和机密信息的泄漏。多级安全性：指多级安全关系数据库在单一数据库系统中存储和管理不同 敏感性的数据，同时通过自主访问控制和强制访问控制机制保持数据的安全性。匿名性：数据的完整性：可防

7、止数据在异常情况下保证完整性。 二、技术的选择分布性平台对象的选择操作系统的选择认证技术 三、代码的安全性隐晦的安全性：代码模糊、紧包软件的安全性多眼现象：脆弱性检测、其他密码算法特洛依木马 四、安全的原则加固最脆弱的连接：进行风险分析并提交报告，加固其薄弱环节。实行深度防护：利用分散的防护策略来管理风险。失败安全：在系统运行失败时有相应的措施保障软件安全。最小优先权：原则是对于一个操作，只赋予所必须的最小的访问权限，而 且只分配所必 须的最少时间。分割：将系统尽可能分割成小单元，隔离那些有安全特权的代码，将对系 统可能的损害减少到最小。简单化：软件设计和实现要尽可能直接, 满足安全需求的前提

8、下构筑尽量 简单的系统, 关键的安全操作都部署在系统不多的关键点（choke points）上。保密性：避免滥用用户的保密信息。 五、软件稽核体系结构的安全性实现的安全性分析 源代码的稽核 使用 RATS（remote access Trojan） 软件扫描 六、缓冲区溢出防止内部缓冲区溢出的实现防止输入溢出的实现防止堆及堆栈溢出的实现 七、访问控制UNIX 文件属性及归属 程序接口WINNT 细化权限及分割 八、密码学的应用使用密码学的目标：机密性、完整性、可鉴别性、抗抵赖性。密码算法（对称和非对称）：考虑算法的基本功能、强度、弱点及密钥长 度的影响。密钥管理的功能：生成、分发、校验、撤消、

9、破坏、存储、恢复、生存期 和完整性。密码术编程：加密、散列运算、公钥密码加密、多线程、加密 cookie私钥算法、公钥算法及 PKI一次性密码、分组密码等 九、信任管理和输入的有效性信任的可传递防止恶意访问安全调用程序网页安全客户端安全格式串攻击 十、口令认证口令的存储添加用户口令认证选择口令数据库安全性访问控制（使用视图）保护域抵抗统计攻击 十一、客户端安全性版权保护机制（许可证文件、对不可信客户的身份认证）防篡改技术（反调试程序、检查和、对滥用的响应）代码迷惑技术程序加密技术十二、系统开发控制系统开发生命周期 功能需求确定 防护规范开发 统计评审安全控制/构架 过程隔离 权利分离 可审计性 数据隐藏 安全内核完整性级别