《计算机系统安全概述.ppt》由会员分享,可在线阅读,更多相关《计算机系统安全概述.ppt(53页珍藏版)》请在金锄头文库上搜索。
1、计算机安全与保密东北农业大学张铁军1.计算机系统存在的安全问题6359.42730.510 10.1010203040506070被入侵过没有被入侵过不知道过去一年内中国互连网用户计算机被入侵的情况备注:用户是指平均每周使用互连网至少 1小时的中国公民2009年7月2009年1月时间发生的主要事件损失1983年“414黑客”。这6名少年黑客被控侵入60多台电脑,1987年赫尔伯特齐恩(“影子鹰”)闯入美国电话电报公司1988年罗伯特-莫里斯“蠕虫”程序。造成了1500万到1亿美元的经济损失。1990年“末日军团”4名黑客中有3人被判有罪。1995年米特尼克偷窃了2万个信用卡号8000万美元的巨
2、额损失。1998年2月德国计算机黑客米克斯特使美国七大网站限于瘫痪状态时间发生的主要事件损失1998年两名加州少年黑客。以色列少年黑客“分析家查询五角大楼网站并修改了工资报表和人员数据。1999年4月“”病毒保守估计全球有千万部的电脑受害。1999年北京江民KV300杀毒软件损失260万元。2000年2月“雅 虎 ”、 “电 子 港 湾 ”、亚马逊、微软网络等美国大型国际互联网网站。损失就超过了10亿美元,其中仅营销和广告收入一项便高达1亿美元。2000年4月闯入电子商务网站的威尔斯葛雷估计导致的损失可能超过三百万美元。2000年10月27全球软件业龙头微软怀疑被一伙藏在俄罗斯圣彼得堡的电脑黑
3、客入侵可能窃取了微软一些最重要软件产品的源代码或设计蓝图。计算机安全影响到国家的安全和主权小小的一块带病毒的芯片,让伊拉克从此蒙受一场战争的屈辱。美国中央情报局采用“偷梁换拄”的方法,将带病毒的电脑打印机芯片,趁货物验关之际换入伊拉克所购的电脑打印机中- 本章学习目标(1)明确计算机安全的基本概念以及安全的重要性,掌握安全模型。(2)了解计算机信息系统的主要安全法规及体系结构。本章主要内容Key Questions1: 计算机系统存在的安全问题2:计算机系统安全的概念3:安全模型4:计算机安全法规与标准5:计算机安全体系结构安全威胁 a) 硬件硬件的安全的安全隐患;患;b) 操作系操作系统安全
4、安全隐患;患;c) 网网络协议的安全的安全隐患;患;d) 数据数据库系系统安全安全隐患;患;e) 计算机病毒;算机病毒;f) 管理疏漏,管理疏漏,内部作案。内部作案。安全隐患安全隐患a)硬件设备硬件设备的安全的安全隐患患b)CPU:Intel公公司司在在奔奔腾III CPU中中加加入入处理理器器序序列列号号,因因此此Intel涉涉嫌嫌干干涉涉个个人人隐私私,但但要要害害问题则是是政政府府机机关关、重重要要部部门非非常常关关心心由由这种种CPU制制造造的的计算算机机在在处理理信信息息或或数数据据时所所带来来的的信信息息安安全全问题,即即这种种CPU内内含含有有一一个个全全球球唯唯一一的的序序列列
5、号号,计算算机机所所产生生的的文文件件和和数数据据都都会会附附着着此此序序列列号号,因因而而由由此此序序列列号号可可以以追追查到到产生文件和数据的任何机器。生文件和数据的任何机器。安全隐患安全隐患网网络设备:我我国国计算算机机网网络使使用用的的绝大大部部分分网网络设备,如如路路由由器器、集集线器器、交交换机机、服服务器器、以以及及网网络软件件等等都都是是进口口的的,其其安安全全隐患患不不容容忽忽视。一一些些交交换机机和和路路由由器器具具有有远程程诊断断和和服服务功功能能,既既然然可可以以远程程进入入系系统服服务、维修修故故障障,也也就就可可以以远程程进入入系系统了了解解情情报、越越权控控制制。
6、更更有有甚甚者者,国国外外一一著著名名网网络公公司司以以跟跟踪踪服服务为由由,在在路路由由器器中中设下下机机关关、可可以以将将网网络中中用用户的的包包信息同信息同时送一份到其公司送一份到其公司总部。部。安全隐患安全隐患b)操作系操作系统安全安全隐患患计算算机机操操作作系系统历来来被被美美国国一一些些大大公公司司所所垄断断,但但这些些操操作作系系统的的源源程程序序都都是是不不公公开开的的,在在安安全全机机制制方方面面存存在在着着诸多多漏漏洞洞和和隐患患。计算算机机黑黑客客能能轻而而易易举地地从从后后门进入入系系统,取取得得系系统控控制制权,并并危危及及计算算机机处理理或或存存储的的重重要要数数据
7、据。如如Windows95存在两千多存在两千多处缺陷。缺陷。安全隐患安全隐患b)操作系操作系统安全安全隐患患 OS的体系结构造成其本身不安全的体系结构造成其本身不安全1、I/O、系系统统服服务务程程序序等等都都可可用用打打补补丁丁方方式式进进行行动动态态连连接接。厂厂商用这种方式升级,而攻击者也用此方法。商用这种方式升级,而攻击者也用此方法。2、为了了实现通通用用性性、可可裁裁剪剪性性,能能够安安装装其其他他公公司司的的软件件包包,这些些软件件包包往往往往是是操操作作系系统的的一一部部分分,需需要要与与操操作作系系统同同样的的访问特特权,安安装装这些些软件件包包的的“抓抓钩”程程序序就就是是非
8、非法法攻攻击者者入入侵侵操作系操作系统的陷的陷门。3、网网络络上上进进行行文文件件传传输输、加加载载将将带带来来安安全全隐隐患患。另另外外,能能进进行远程进程的创建与激活,这为安装行远程进程的创建与激活,这为安装“间谍间谍”软件提供了条件。软件提供了条件。4、操操作作系系统统存存在在隐隐蔽蔽信信道道:进进程程间间通通过过不不受受强强制制访访问问控控制制保保护的通信途径。护的通信途径。安全隐患安全隐患c)网网络协议的安全的安全隐患患网网络协议也都由美国等国家开也都由美国等国家开发或制定或制定标准准。其其安安全全机机制制也也存存在在先先天天不不足足,协议还具具有有许多多安安全全漏漏洞洞,为攻攻击者
9、者提提供供了了方方便便,如如地地址址欺欺骗等等。Internet应用用协议中中缺缺乏乏认证、保保密密等等措措施施,也也使使攻攻击者者比比较容易得手。容易得手。TCP/IP协议安安全全漏漏洞洞:包包监视、泄泄露露、地地址址欺欺骗骗、序序列号攻击、路由攻击、拒绝服务、鉴别攻击。列号攻击、路由攻击、拒绝服务、鉴别攻击。应应用用层层安安全全隐隐患患:Finger、FTP、Telnet、E-mail、SNMP、RPC、NFS安全隐患安全隐患d)数据数据库系系统安全安全隐患患由由于于数数据据库平平台台全全系系引引进,尽尽管管厂厂商商声声称称具具有有安安全全机机制,但制,但对国内用国内用户犹如一个犹如一个黑
10、匣子黑匣子。数数据据库的的攻攻击分分直直接接攻攻击和和间接接攻攻击两两大大类。直直接接攻攻击是是通通过查询以以得得到到几几个个记录来来直直接接搜搜索索并并确确定定敏敏感感字字段段的的值,最最成成功功的的技技术是是形形成成一一种种特特定定的的查询它它恰恰与与一一个个数数据据项相相匹匹配配。间接接攻攻击是是依依据据一一种种或或多多种种统计值推推断断出出结果果。统计攻攻击通通过使使用用某某些些明明显隐匿匿的的统计量量来来推推导出出数数据据,例例如如使使用用求求和和等等统计数数据据来来得得到某些数据。到某些数据。安全隐患安全隐患e)计算机病毒威算机病毒威胁计算算机机病病毒毒是是一一种种能能够进行行自自
11、我我复复制制的的程程序序,可可以以通通过多多种种方方式式植植入入计算算机机中中,通通过Internet网网植植入入病病毒毒更更容容易易。病病毒毒运运行行后后可可能能损坏坏文文件件、使使系系统瘫痪,造造成成各各种种难以以预料料的的后后果果。由由于于在在网网络环境境下下,计算算机机病病毒毒具具有有不不可可估估量量的的威威胁性性和和破破坏坏力力,因因此此计算算机机病病毒毒的的防防范范是是网网络安安全全性性建建设中中重重要要的的一一环。新新的的病病毒毒不不仅删除除文文件件、使使数数据据丢失失,甚甚至至破破坏坏系系统硬硬件件,可可以以造造成成巨巨大大损失失。1998年年美美国国莫莫里里斯斯病病毒毒发作作
12、,一一天之内使天之内使6000多台多台计算机感染,算机感染,损失达失达9000万美元。万美元。安全隐患安全隐患f) 管理疏漏,管理疏漏,内部作案。内部作案。据据权威威资料料片片筑筑起起网网上上长城城介介绍,互互联网网上上的的计算算机机犯犯罪罪、黑黑客客攻攻击等等非非法法行行为来来自自于于内内部部网网络。金金融融、证券券、邮电、科科研研院院所所、设计院院、政政府府机机关关等等单位位几几乎乎是是天天生生的的受受攻攻击者者,内内部部人人员对本本单位位局局域域网网的的熟熟悉悉又又加加剧了其作案和被外部人勾了其作案和被外部人勾结引引诱的可能性。的可能性。2.2.安全的概念安全的概念 ISO将“计算机安全
13、”定义为:“为为数数据据处处理理系系统统建建立立和和采采取取的的技技术术和和管管理理的的安安全全保保护护,保保护护计计算算机机硬硬件件、软软件件数数据据不不因因偶偶然然和和恶恶意意的的原原因因而而遭遭到到破破坏坏、更更改改和和泄泄露露。”静态信息保护。 另一种定义:“计计算算机机的的硬硬件件、软软件件和和数数据据受受到到保保护护,不不因因偶偶然然和和恶恶意意的的原原因因而而遭遭到到破破坏坏、更更改改和和泄泄露露,系系统统连续正常运行。连续正常运行。”动态意义描述。 从用户角度:保护利益、隐私;存储、传输安全。从运行管理角度:正常、可靠、连续运行。从国家、社会:过滤有害信息。入侵者: 网络恐怖分
14、子(黑客)、信息战部队现在“黑客”一词在信息安全范畴内的普遍含意是特指对电脑系统的非法侵入者。黑客(hacker):对技术的局限性有充分认识,具有操作系统和编程语言方面的高级知识,热衷编程,查找漏洞,表现自我。他们不断追求更深的知识,并公开他们的发现,与其他人分享;主观上没有破坏数据的企图。骇客(cracker):以破坏系统为目标。“红客”honker:中国的一些黑客自称“红客”honker。美国警方:把所有涉及到利用、借助、通过或阻挠计算机的犯罪行为都定为hacking。安全的要素 可用性availability 可靠性reliability 完整性integrity 保密性confiden
15、tiality 不可抵赖性Non-repudiation安全的要素安全的要素1、保密性:确保信息不暴露给未授权的实体或进程。加密机制。防泄密2、完整性:只有得到允许的人才能修改实体或进程,并且能够判别出实体或进程是否已被修改。完整性鉴别机制,保证只有得到允许的人才能修改数据 。防篡改 数据完整,hash; 数据顺序完整,编号连续,时间正确。3、可用性:得到授权的实体可获得服务,攻击者不能占用所有的资源而阻碍授权者的工作。用访问控制机制,阻止非授权用户进入网络。使静态信息可见,动态信息可操作。防中断安全的要素安全的要素4、可靠性:可靠性主要指系统在规定条件下和规定时间内完成规定功能的概率。可靠性
16、是网络安全最基本的要求之一。5、不可否认性:对出现的安全问题提供调查的依据和手段。使用审计、监控、防抵赖等安全机制,使得攻击者、破坏者、抵赖者“逃不脱,并进一步对网络出现的安全问题提供调查依据和手段,实现信息安全的可审查性。 安全的要素安全的要素此外信息系统还应提供认证、访问控制、抗抵赖安全服务。认证:保证信息使用者和信息服务者都是真实可信的,防止冒充和重演的攻击。真实性访问控制:这种服务保证信息资源不被非授权地使用。(是否有权使用该资源)抗抵赖:这种服务可取二种形式。数字签名1)源发证明:提供给信息接收者以证据,这将使发送者谎称未发送过这些信息或者否认它的内容的企图不能得逞;2)交付证明:提
17、供给信息发送者以证据,这将使接收者谎称未接收过这些信息或者否认它的内容的企图不能得逞。计算机安全涉及知识领域常见的攻击方式社会工程 Social Engineering病毒virus ( 蠕虫Worm) 木马程序Trojan拒绝服务和分布式拒绝服务攻击 Dos&DDos欺骗:IP spoofing, Packet modification;ARP spoofing, 邮件炸弹 Mail bombing口令破解 Password crack攻击的工具标准的TCP/IP工具 (ping, telnet)端口扫描和漏洞扫描 (ISS-Safesuit, Nmap, protscanner)网络包分析
18、仪 (sniffer, network monitor)口令破解工具 (lc3, fakegina)木马 (BO2k, 冰河, )3.安全安全模型模型一个常用的网络安全模型是P2DR模型。P2DR是四个英文单词的字头: Policy(安全策略) Protection(防护) Detection(检测) Response (响应) PDRRPDRR网络安全模型网络安全模型信息安全策略 另一个最常见的安全模型就另一个最常见的安全模型就是是PDRR模型。模型。PDRR由由4个英文个英文单词的头一个字符组成:单词的头一个字符组成:Protection(防护)、防护)、Detection(检测)、检测)
19、、Response(响应)和响应)和Recovery(恢复)。恢复)。这这4个部分组成了一个动态的信个部分组成了一个动态的信息安全周期,如图所示。息安全周期,如图所示。 安全策略的每一部分包括一安全策略的每一部分包括一组安全单元来实施一定的安全功组安全单元来实施一定的安全功能。能。 4.4.安全的标准安全的标准系统的安全标准: 桔皮书美国国防部的可信计算机系统评价准则(Trusted Computer System Evaluation Criteria TCSEC)。按安全程度低-高排序D、C1、C2、B1、B2、B3、A1。 C:酌情 B:强制 A:核实保护D类:最低保护。无账户;任意访问
20、文件。C1类:自决的安全保护。系统能够把用户和数据隔开,用户以根据需要采用系统提供的访问控制措施来保护自己的数据,系统中必有一个防止破坏的区域,其中包含安全功能。C2类:访问级别控制。控制粒度更细,使得允许或拒绝任何用户访问单个文件成为可能。系统必须对所有的注册、文件的打开、建立和删除进行记录。审计跟踪必须追踪到每个用户对每个目标的访问。安全的标准安全的标准B1类:有标签的安全保护。系统中的每个对象都有一个敏感性标签而每个用户都有一个许可级别。许可级别定义了用户可处理的敏感性标签。系统中的每个文件都按内容分类并标有敏感性标签,任何对用户许可级别和成员分类的更改都受到严格控制,即使文件所有者也不
21、能随意改变文件许可权限。B2类:结构化保护。系统的设计和实现要经过彻底的测试和审查。系统应结构化为明确而独立的模块,遵循最小特权原则。必须对所有目标和实体实施访问控制。政策,要有专职人员负责实施,要进行隐蔽信道分析。系统必须维护一个保护域,保护系统的完整性,防止外部干扰。B3类:安全域。系统的安全功能足够小,以利广泛测试。必须满足参考监视器需求以传递所有的主体到客体的访问。要有安全管理员,安全硬件装置,审计机制扩展到用信号通知安全相关事件,还要有恢复规程,系统高度抗侵扰。安全的标准安全的标准A1类:核实保护。最初设计系统就充分考虑安全性。有“正式安全策略模型”其中包括由公理组成的形式化证明。系
22、统的顶级技术规格必须与模型相对应,系统还包括分发控制和隐蔽信道分析。 安全的标准安全的标准5.安全的体系结构安全的体系结构 网络安全贯穿于整个7层模型。针对TCP/IP协议,网络安全应贯穿于信息系统的4个层次。下图表示了对应网络的安全体系层次模型:会话层会话层应应用用层层应用系统应用系统应用平台应用平台网络层网络层链路层链路层物理层物理层会话安全会话安全应应用用层层应用系统安全应用系统安全应用平台安全应用平台安全安全路由安全路由/访问机制访问机制链路安全链路安全物理层信息安全物理层信息安全安全服务的实施位置 应用层提供安全服务的特点只能在通信两端的主机系统上实施。 优点:安全策略和措施通常是基
23、于用户制定的; 对用户想要保护的数据具有完整的访问权,因而能很方便地提供一些服务; 不必依赖操作系统来提供这些服务; 对数据的实际含义有着充分的理解。 缺点:效率太低;对现有系统的兼容性太差;改动的程序太多,出现错误的概率大增,为系统带来更多的安全漏洞。 传输层提供安全服务的特点只能在通信两端的主机系统上实施。 优点:与应用层安全相比,在传输层提供安全服务的好处是能为其上的各种应用提供安全服务,提供了更加细化的基于进程对进程的安全服务,这样现有的和未来的应用可以很方便地得到安全服务,而且在传输层的安全服务内容有变化时,只要接口不变,应用程序就不必改动。缺点:由于传输层很难获取关于每个用户的背景
24、数据,实施时通常假定只有一个用户使用系统,所以很难满足针对每个用户的安全需求。网络层提供安全服务的特点在端系统和路由器上都可以实现。 优点:主要优点是透明性,能提供主机对主机的安全服务,不要求传输层和应用层做改动,也不必为每个应用设计自己的安全机制;其次是网络层支持以子网为基础的安全,子网可采用物理分段或逻辑分段,因而可很容易实现VPN和内联网,防止对网络资源的非法访问;第三个方面是由于多种传送协议和应用程序可共享由网络层提供的密钥管理架构,密钥协商的开销大大降低。 缺点:无法实现针对用户和用户数据语义上的安全控制。 数据链路层提供安全服务的特点在链路的两端实现。优点:整个分组(包括分组头信息
25、)都被加密 ,保密性强。缺点:使用范围有限。只有在专用链路上才能很好地工作 ,中间不能有转接点。 计算机信息系统(computer information system): 由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 安全周界(security perimeter): 用半径来表示的空间。该空间包围着用于处理敏感信息的设备,并在有效的物理和技术控制之下,防止未授权的进入或敏感信息的泄露。基本定义及术语 可信计算基(trusted computing base,TCB): 计算机系统内保护装置的总体,包括
26、硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。 安全策略(security policy): 对TCB中的资源进行管理、保护和分配的一组规则。简单地说就是用户对安全要求的描述。一个TCB中可以有一个或多个安全策略。 安全模型(security model): 用形式化的方法来描述如何实现系统的机密性、完整性和可用性等安全要求。 客体(object): 系统中被动的主体行为承担者。对一个客体的访问隐含着对其所含信息的访问。客体的实体类型有记录、程序块、页面、段、文件、目录、目录树和程序,还有位、字节、字、字段、处理器、视频显示器
27、、键盘、时钟、打印机和网络节点等。 主体(subject)是这样的一种实体,它引起信息在客体之间的流动。通常,这些实体是指人、进程或设备等,一般是代表用户执行操作的进程。如编辑一个文件时,编辑进程是存取文件的主体,而文件是客体。 参照监视器(reference monitor): 监督主体和客体之间授权访问关系的部件。 安全内核(security kernel): 通过控制对系统资源的访问来实现基本安全规程的计算机系统的中心部分。 标识与鉴别(identification & authentication,I&A): 用于保证只有合法用户才能进入系统,进而访问系统中的资源。 访问控制(acce
28、ss control): 限制已授权的用户、程序、进程或计算机网络中其他系统访问本系统资源的过程。 访问控制列表(access control list,ACL): 与系统中客体相联系的,用来指定系统中哪些用户和组可以以何种模式访问该客体的控制列表。 自主访问控制(discretionary access control,DAC): 用来决定一个用户是否有权限访问此客体的一种访问约束机制,该客体的所有者可以按照自己的意愿指定系统中的其他用户对此客体的访问权。 敏感标记(sensitivity label): 用以表示客体安全级别并描述客体数据敏感性的一组信息,在可信计算基中把敏感标记作为强制访
29、问控制决策的依据。 强制访问控制(mandatory access control,MAC): 用于将系统中的信息分密级和类进行管理,以保证每个用户只能够访问那些被标明可以由他访问的信息的一种访问约束机制。 角色(role): 系统中一类访问权限的集合。 最小特权原理(least privilege principle): 系统中每一个主体只能拥有与其操作相符的必需的最小特权集。 隐蔽通道(covert channel): 非公开的但让进程有可能以危害系统安全策略的方式传输信息的通信信道。 审计(audit): 一个系统的审计就是对系统中有关安全的活动进行记录、检查及审核。 审计跟踪(audi
30、t trail): 系统活动的流水记录。该记录按事件自始至终的途径、顺序,审查和检验每个事件的环境及活动。 客体重用(object reuse): 对曾经包含一个或几个客体的存储介质(如页框、盘扇面、磁带)重新分配和重用。为了安全地进行重分配、重用,要求介质不得包含重分配前的残留数据。 可信通路(trusted path): 终端人员能借以直接同可信计算基通信的一种机制。该机制只能由有关终端操作人员或可信计算基启动,并且不能被不可信软件模仿。 多级安全(multilevel secure,MLS): 一类包含不同等级敏感信息的系统,它既可供具有不同安全许可的用户同时进行合法访问,又能阻止用户去
31、访问其未被授权的信息。 鉴别(authentication): 验证用户、设备和其他实体的身份;验证数据的完整性。 授权(authorization): 授予用户、程序或进程的访问权。 保密性(confidentiality): 为秘密数据提供保护方法及保护等级的一种特性。 数据完整性(data integrity): 信息系统中的数据与原始数据没有发生变化,未遭受偶然或恶意的修改或破坏时所具有的性质。 漏洞(loophole): 由软硬件的设计疏忽或失误导致的能避开系统安全措施的一类错误。 安全配置管理(secure configuration management): 控制系统硬件与软件结
32、构更改的一组规程。其目的是保证这种更改不违反系统的安全策略。 安全要素(security element): 国标GB178591999中,各安全等级所包含的安全内容的组成成分,比如自主存取控制、强制存取控制等。每一个安全要素在不同的安全等级中可以有不同的具体内容。 安全功能(security function): 为实现安全要素的内容,正确实施相应安全策略所提供的功能。 安全保证(security assurance): 为确保安全要素的安全功能的实现所采取的方法和措施。 TCB安全功能(TCB security function,TSF): 正确实施TCB安全策略的全部硬件、固件、软件所提
33、供的功能。每一个安全策略的实现,组成一个安全功能模块。一个TCB的所有安全功能模块共同组成该TCB的安全功能。在跨网络的TCB中,一个安全策略的安全功能模块,可能会在网络环境下实现。 可信计算机系统(trusted computer system): 一个使用了足够的硬件和软件完整性机制,能够用来同时处理大量敏感或分类信息的系统。 操作系统安全(operating system security): 操作系统无错误配置、无漏洞、无后门、无特洛伊木马等,能防止非法用户对计算机资源的非法存取,一般用来表达对操作系统的安全需求。 操作系统的安全性(security of operating syst
34、em): 操作系统具有或应具有的安全功能,比如存储保护、运行保护、标识与鉴别、安全审计等。 安全操作系统(secure operating system): 能对所管理的数据与资源提供适当的保护级、有效地控制硬件与软件功能的操作系统。就安全操作系统的形成方式而言,一种是从系统开始设计时就充分考虑到系统的安全性的安全设计方式。另一种是基于一个通用的操作系统,专门进行安全性改进或增强的安全增强方式。安全操作系统在开发完成后,在正式投入使用之前一般都要求通过相应的安全性评测。 多级安全操作系统(multilevel secure operating system): 实现了多级安全策略的安全操作系统,比如符合美国橘皮书(TCSEC)B1级以上的安全操作系统。资源列表http:/
