网络和计算机安全.

网络和计算机安全网络和计算机安全.Internet中的信息安全中的信息安全Internet中的信息系统越来越不安全高度互联的InternetInternet安全性问题的根源是信任假设的改变（ATM）WorldWideWeb和WildandWoollyWest(M.Jakobsson和M.Yung)信用卡泄密事件2案例案例美美4000万信用卡泄密，波及万信用卡泄密，波及中国卡中国卡2005年年6月月21日报道，美国日报道，美国4000万信用卡资料泄露的事件最终还是波及到万信用卡资料泄露的事件最终还是波及到了中国。根据万事达（了中国。根据万事达（Mastercard）昨日发布的澄清声明，被波及的中国）昨日发布的澄清声明，被波及的中国万事达信用卡数量为万事达信用卡数量为5560张以内。张以内。Visa国际则表示，相关的数据正在统计国际则表示，相关的数据正在统计中，将在稍晚发布。因为这次事件中美国所有的信用卡品牌均被波及，万中，将在稍晚发布。因为这次事件中美国所有的信用卡品牌均被波及，万事达卡只占事达卡只占“外泄卡外泄卡”总数的总数的35%，所以中国，所以中国“外泄卡外泄卡”总数很可能总数很可能过万。过万。本次遭到黑客入侵的公司，是在美专为银行、会员机构、特约商店处理卡本次遭到黑客入侵的公司，是在美专为银行、会员机构、特约商店处理卡片交易资料之外包厂商片交易资料之外包厂商CardSystems。此公司在美负责处理大约。此公司在美负责处理大约105000家中小企业业务，目前并未处理中国内地银行的信用卡业务。家中小企业业务，目前并未处理中国内地银行的信用卡业务。但由于其代理的万事达和但由于其代理的万事达和Visa两大全球信用卡公司，均已在中国开展业务两大全球信用卡公司，均已在中国开展业务多年。所以，万事达卡的多年。所以，万事达卡的“外泄卡外泄卡”中，也有中，也有0.04%（大约（大约5600张）在中张）在中国内地，国内地，0.07%（大约（大约10000张）在香港。万事达卡表示，侦测发现此次张）在香港。万事达卡表示，侦测发现此次事件之后，立即主动发出预警通知所有银行、金融机构，呼吁所有单位须事件之后，立即主动发出预警通知所有银行、金融机构，呼吁所有单位须更加小心保护自身权益。另外，万事达卡国际组织也已彻底要求更加小心保护自身权益。另外，万事达卡国际组织也已彻底要求CardSystems限期改善，立即补强安全漏洞。限期改善，立即补强安全漏洞。Visa国际表示将尽快发布国际表示将尽快发布紧急声明。紧急声明。Visa国际中国区总经理熊安平昨日在接受记者独家专访时表示，国际中国区总经理熊安平昨日在接受记者独家专访时表示，Visa国际定期在全球收集有关欺诈嫌疑的商户，还会针对珠宝店之类高风国际定期在全球收集有关欺诈嫌疑的商户，还会针对珠宝店之类高风险的商户实行特别监控，并针对网上交易等实行险的商户实行特别监控，并针对网上交易等实行“保证金保证金”制度，确保持制度，确保持卡人权益不受侵害。未受波及的中国银联也不敢掉以轻心。因为在国内拥卡人权益不受侵害。未受波及的中国银联也不敢掉以轻心。因为在国内拥有最大的银行卡网络，且与有最大的银行卡网络，且与CardSystems的业务有部分的重合，中国银的业务有部分的重合，中国银联发言人表示将很快发布对于此事件的官方声明。联发言人表示将很快发布对于此事件的官方声明。3信用卡事件图例信用卡事件图例4思考题思考题本次泄密事件的泄密机制是怎么样的？本次泄密事件的泄密机制是怎么样的？本次泄密事件的主要原因是什么？本次泄密事件的主要原因是什么？如何防范这种泄密？如何防范这种泄密？这种信用卡盗窃事件破坏了（信用卡）信这种信用卡盗窃事件破坏了（信用卡）信息的什么属性？息的什么属性？5CERT报告的安全性问题报告的安全性问题CERT(Computer Emergency Response Team)报告的安全性问题总体呈现上升趋报告的安全性问题总体呈现上升趋势势分为两个报告：分为两个报告：报告的漏洞报告的漏洞安全事件安全事件61995-2004年报告的漏洞数目统计年报告的漏洞数目统计(CERT)71988-2003年报告的安全事件统计年报告的安全事件统计(CERT)安全事件02000040000600008000010000012000014000016000019881989199019911992199319941995199619971998199920002001200220038安全问题的重要性安全问题的重要性系统原来越不安全系统的安全性取决于不同的方面本课程的主要着力点在于安全软件的设计问题上讲解安全的原理9什么是安全什么是安全10安全的概念安全的概念橘皮书C.I.A.信息安全领域的划分安全的矛盾性安全定义的发展影响安全的技术因素11橘皮书橘皮书橘皮书的历史橘皮书定义了三类、六个基本需求第一类：策略需求需求1 安全策略安全策略(Security Policy)需求需求2 标定标定(Marking)第二类：审计需求需求3 可标识可标识(Identification)需求需求4 可审计可审计(Accountability)第三类：保障需求需求5 保障保障(Assurance)需求需求6 持续防护持续防护(Continuous Protection)12信息安全的定义信息安全的定义 信息安全是一个十分广泛而又复杂的话题信息安全是一个十分广泛而又复杂的话题美国国家电信和信息安全委员会美国国家电信和信息安全委员会(NSTISSC)信息安全是对信息、系统以及使用、存储和传输信息信息安全是对信息、系统以及使用、存储和传输信息的硬件的保护。但是要保护信息及其相关系统，诸如的硬件的保护。但是要保护信息及其相关系统，诸如策略、认识、培训和教育以及技术手段都是必要的。策略、认识、培训和教育以及技术手段都是必要的。微软公司微软公司 M.Howard,D.LeBlance 一个安全的产品应该是指在信息所有者或者系统管理一个安全的产品应该是指在信息所有者或者系统管理员控制下能够保护客户数据的机密性、完整性和可用员控制下能够保护客户数据的机密性、完整性和可用性，能够保护资源处理过程的完整性和有效性。性，能够保护资源处理过程的完整性和有效性。机密性机密性(Confidentiality)、完整性、完整性(Integrity)和和可用性可用性(Availability)的组合的组合13机密性机密性机密性机密性是指保证计算机相关的有价值财产（信息）只能被授权过的用户所访问。机密性的保护认证和访问控制加密14完整性完整性完整性完整性是指这些计算机相关的有价值财产（信息）只能被授权过的用户所修改，或者通过授权过的过程所修改。完整性的保护认证和访问控制加密15可用性可用性可用性可用性是指这些有价值的财产（信息）在需要的时候必须能够被授权的用户访问或者修改。可用性的破坏DOS:DenialOfService16可用性破坏案例可用性破坏案例SYN Flood的基本原理的基本原理SYN Flood是当前最流行的是当前最流行的DoS（拒绝服务攻击）与（拒绝服务攻击）与DDoS（分（分布式拒绝服务攻击）的方式之一，这是一种利用布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，协议缺陷，发送大量伪造的发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。满负荷或内存不足）的攻击方式。要明白这种攻击的基本原理，还是要从要明白这种攻击的基本原理，还是要从TCP连接建立的过程开始连接建立的过程开始说起：说起：TCP与与UDP不同，它是基于连接的，也就是说：为了在服不同，它是基于连接的，也就是说：为了在服务端和客户端之间传送务端和客户端之间传送TCP数据，必须先建立一个虚拟电路，也数据，必须先建立一个虚拟电路，也就是就是TCP连接，建立连接，建立TCP连接的标准过程是这样的：连接的标准过程是这样的：首先，请求端（客户端）发送一个包含首先，请求端（客户端）发送一个包含SYN标志的标志的TCP报文，报文，SYN即即同步（同步（Synchronize），同步报文会指明客户端使用的端口以及），同步报文会指明客户端使用的端口以及TCP连接的初始序号；连接的初始序号；第二步，服务器在收到客户端的第二步，服务器在收到客户端的SYN报文后，将返回一个报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受，同时的报文，表示客户端的请求被接受，同时TCP序号被加一，序号被加一，ACK即确即确认（认（Acknowledgement）。）。第三步，客户端也返回一个确认报文第三步，客户端也返回一个确认报文ACK给服务器端，同样给服务器端，同样TCP序列序列号被加一，到此一个号被加一，到此一个TCP连接完成。连接完成。以上的连接过程在以上的连接过程在TCP协议中被称为三次握手（协议中被称为三次握手（Three-way Handshake）。）。17可用性破坏案例可用性破坏案例(续续)问题就出在问题就出在TCP连接的三次握手中，假设一个用户向服务器发送连接的三次握手中，假设一个用户向服务器发送了了SYN报文后突然死机或掉线，那么服务器在发出报文后突然死机或掉线，那么服务器在发出SYN+ACK应应答报文后是无法收到客户端的答报文后是无法收到客户端的ACK报文的（第三次握手无法完成）报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送，这种情况下服务器端一般会重试（再次发送SYN+ACK给客户给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大，一般来说这个时间是分钟的数量级（大约为约为30秒秒-2分钟）；一个用户出现异常导致服务器的一个线程等分钟）；一个用户出现异常导致服务器的一个线程等待待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源消耗非常多的资源-数以万计的半连接，即使是简单的保存并遍历数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中时间和内存，何况还要不断对这个列表中的的IP进行进行SYN+ACK的重试。实际上如果服务器的的重试。实际上如果服务器的TCP/IP栈不够栈不够强大，最后的结果往往是堆栈溢出崩溃强大，最后的结果往往是堆栈溢出崩溃-即使服务器端的系统足够即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称此时从正常客户的角度看来，服务器失去响应，这种情况我们称作：服务器端受到了作：服务器端受到了SYN Flood攻击（攻击（SYN洪水攻击）。洪水攻击）。18可用性破坏案例可用性破坏案例(续续)从防御角度来说，有几种简单的解决方法：第一种是缩短SYNTimeout时间，由于SYNFlood攻击的效果取决于服务器上保持的SYN半连接数，这个值=SYN攻击的频度xSYNTimeout，所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间，例如设置为20秒以下（过低的SYNTimeout设置可能会影响客户的正常访问），可以成倍的降低服务器的负荷。第二种方法是设置SYNCookie，就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被丢弃。可是上述的两种方法只能对付比较原始的SYNFlood攻击，缩短SYNTimeout时间仅在对方攻击频度不高的情况下生效，SYNCookie更依赖于对方使用真实的IP地址，如果攻击者以数万/秒的速度发送SYN报文，同时利用SOCK_RAW随机改写IP报文中的源地址，以上的方法将毫无用武之地。19机密性，完整性和可用性及其之间的关系机密性，完整性和可用性及其之间的关系完整性机密性可用性安全安全20C,I,A分类分类小李拷贝了小王的作业小李拷贝了小王的作业小李让小王的计算机崩溃了小李让小王的计算机崩溃了小李将小王的支票从小李将小王的支票从100元修改到元修改到1000元元小李冒用死去的老张的签名小李冒用死去的老张的签名小李注册了一个域名小李注册了一个域名www.fudan.org，并拒绝，并拒绝复旦大学购买并且使用这个域名复旦大学购买并且使用这个域名小李得到小王的信用卡卡号并让信用卡公司删小李得到小王的信用卡卡号并让信用卡公司删除这个卡，然后重新办理了新的卡，并使用原除这个卡，然后重新办理了新的卡，并使用原有卡的信用有卡的信用小李哄骗小王计算机的小李哄骗小王计算机的IP检测，得到了访问小检测，得到了访问小王计算机的访问许可王计算机的访问许可21信息安全领域的划分信息安全领域的划分 ISC2(InternationalInformationSystemsSecurityCertificationConsortium)组织的权威认证CISSP(CertificatedInformationSystemSecurityProfessional)把信息安全划分成十个知识体系(CBK:CommonBodyofKnowledge)：http:/www.isc2.org访问控制系统与方法论访问控制系统与方法论电信与网络安全电信与网络安全安全管理实践安全管理实践应用与系统开发安全应用与系统开发安全密码学密码学安全结构与模型安全结构与模型操作安全操作安全业务持续性计划与灾难恢复计划业务持续性计划与灾难恢复计划法律、调查与道德法律、调查与道德物理安全物理安全22安全的矛盾性安全的矛盾性 警察与小偷银行和抢匪安全的矛盾性不可避免23安全定义的发展安全定义的发展19601970：通信安全19701980：计算机安全19801990：信息安全1990：信息保障24影响安全的技术因素影响安全的技术因素网络因素网络因素系统复杂性因素系统复杂性因素系统可扩展因素系统可扩展因素25安全策略和安全机制概述安全策略和安全机制概述26威胁与威胁建模威胁与威胁建模威胁威胁是对信息安全的某种破坏对威胁的分析的系统化方法称为威胁建模成立威胁建模小组分解应用程序确定系统所面临的威胁以风险递减的原则对威胁排序选择应付威胁的方法选择缓和威胁的技术从确定下来的技术中选择适当的方法威胁建模是设计安全信息系统的第一步，也是最为重要的一环27威胁建模的迭代过程图解威胁建模的迭代过程图解28威胁的分类威胁的分类(Shirey)泄密（Disclosure），也即未经授权的访问，是对信息机密性的破坏；欺骗（Deception），也即收到错误的数据；拦截（Disruption），也即中断或者阻止正确的操作；篡改（Usurpation），也即非授权的控制系统的某些部分。29安全策略安全策略安全策略（安全策略（Security Policy）就是指定系统允许或者禁止用户做什么的一种陈述表述系统的安全策略自然语言自然语言数学表示数学表示安全策略语言安全策略语言30XACML该策略表示了任何具有的email帐号的用户可以对任何资源做任何操作。a02a03a09a10MediCorpaccesscontrolpolicya11a1231a13a16a17Anysubjectwithane-a28a29a32a33a34a35a36a3732使用安全策略来定义安全使用安全策略来定义安全系统状态（系统状态（System State）系统状态是指一个系统中所有的内存、外存、寄存器和其它系统部件的当前值的一个集合保护状态（保护状态（Protection State）保护状态是系统状态中有关保护系统的内容的一个子集ACM(AccessControlMatrix)表示保护状态最为精确和常用的方法33ACM的表示的表示objects(entities)subjectss1s2sno1 om s1 sn34ACM的例子的例子 135ACM例子例子2进程p,q文件f,g权限r,w,x,a,ofgpqprwo rrwxowqarorrwxo36其它的策略表述其它的策略表述SubjectannieAttributesrole(artist),groups(creative)VerbpaintDefault0(denyunlessexplicitlygranted)ObjectpictureRule:paint:artistinsubject.roleandcreativeinsubject.groupsandtime.hour0andtime.hour537映射到映射到ACM picture annie paintAt 3AM,time conditionmet;ACM is:picture annie At 10AM,time conditionnot met;ACM is:38状态迁移状态迁移改变系统的保护状态|代表迁移Xi|Xi+1:命令将系统从状态Xi迁移到Xi+1Xi|*Xi+1:一组命令将系统从状态Xi迁移到Xi+1这些命令()经常叫转换过程(transformation procedures)39ACM的六个原子操作的六个原子操作create subjects;create object o在ACM中创建新的一行和一列；创建新的一列destroy subjects;destroy object o在ACM中删除一行和一列；删除一列enterrintoAs,o在ACM单元格子中添加权限rdeleterfromAs,o在ACM单元格子中删除权限r40Create Subject前提:sS原子命令:create subjects结果:S=Ss,O=Os(yO)as,y=,(xS)ax,s=(xS)(yO)ax,y=ax,y41Create Object前提:oO原子命令:create objecto结果:S=S,O=Oo(xS)ax,o=(xS)(yO)ax,y=ax,y42Add Right前提:sS,oO原子命令:enterrintoas,o结果:S=S,O=O(xS)(yO)ax,y=ax,yas,o=as,or43Delete Right前提:sS,oO原子命令:deleterfromas,o结果:S=S,O=O(xS)(yO)ax,y=ax,yas,o=as,or44Destroy Subject前提:sS原子命令:destroysubjects结果:S=Ss,O=Os(yO)as,y=,(xS)ax,s=(xS)(yO)ax,y=ax,y45DestroyObject前提:oO原子命令:destroyobjecto结果:S=S,O=Oo(xS)ax,o=(xS)(yO)ax,y=ax,y46实际系统中实际系统中ACM的例子创建一个文件的命令的例子创建一个文件的命令进程p创建一个文件f并赋予p以r和w权限commandcreate_file(p,f)createobjectf;enterownintoAp,f;enterrintoAp,f;enterwintoAp,f;end47单调命令单调命令(Mono-Operational Commands)使得进程p成为文件g的ownercommand make_owner(p,g)enter own into Ap,g;end单调命令(Mono-operationalcommand)在命令中只有一个原子命令48条件命令条件命令条件命令command grant_read_file_1(p,f,q)if own in Ap,fthenenter r into Aq,f;end单调条件命令在命令中只有一个条件49多条件命令多条件命令如果p是f的owner，并且p拥有q的copy权限，那么让p赋给q以f的r和w的权限command grant_read_file_2(p,f,q)if own in Ap,f and c in Ap,qthenenter r into Aq,f;enter w into Aq,f;end50Copy权限权限允许进程将权限赋给别人经常作为一个附加给一个权限：r是一个读权限，但不能被赋值rc是一个都权限，可以被赋值是否权限在赋给的时候，需要给出赋值标识c?这取决于你的安全策略模型(DAC)51Own权限权限通常允许一个进程执行改变ACM内列中的内容的一个权限一个对象的owner可以为其它用户添加、删除该对象的权限但是也是需要依赖于系统的需求不能将权限赋给某些人不能将权限的copy标志赋给某些人有些系统不允许owner具有如此功能(MAC)52什么是什么是“Secure”?Addingagenericrightrwheretherewasnotoneis“leaking”IfasystemS,beginningininitialstates0,cannotleakrightr,itissafe with respect to the right r.53Safety问题问题是否存在一个算法能够决定如下问题：针对某个权限r，安全系统S从安全的初始状态Sn开始一直是安全的。54单调命令单调命令回答:yes证明的思路:Considerminimalsequenceofcommandsc1,cktoleaktherightr.Canomitdelete,destroyCanmergeallcreatesintooneWorstcase:inserteveryrightintoeveryentry;withssubjectsandoobjectsinitially,andnrights,upperboundiskn(s+1)(o+1)55通用问题通用问题不能给出回答：Itisun-decidablewhetheragivenstateofagivenprotectionsystemissafeforagivengenericrightProof:ReductionfromhaltingproblemSymbols,statesrightsTapecellsubject(cancreatenewsubjects)Rightown:si owns si+1for1ikCellsiAsihasArightsonitselfCellskskhasendrightsonitselfStatep,headatsisihasprightsonitself56例子ABCDs1s2s3s4s1Aowns2Bowns3C,p owns4D,endMatrixTuringMachine57映射映射ABX D 1234heads1s2s3s4s4s3s2s1ABXD k1 endownownownAfter d(k,C)=(k1,X,R)where k is the currentstate and k1 the next state58命令命令d(k,C)=(k1,X,R)atintermediatebecomescommandck,C(s3,s4)ifowninAs3,s4andkinAs3,s3andCinAs3,s3thendeletekfromAs3,s3;deleteCfromAs3,s3;enterXintoAs3,s3;enterk1intoAs4,s4;end59分析分析HaltingproblemTuringMachine:SymbolsA,B;statesp,qCp,A(si,si-1)(moveleft)ifownasi-1,siandpasi,siandAasi,siDeletepfromasi,si,Afromasi,siEnterBintoasi,si,qintoasi-1,si-1Similarcommandsformoveright,moverightatendoftapeSimulatesTuringmachineLeakshaltingstatehaltingstateinthematrixHaltingstatereachedThis is undecidable!60映射映射ABX Y1234heads1s2s3s4s4s3s2s1ABXYownownownAfter d(k1,D)=(k2,Y,R)where k1 is the currentstate and k2 the next states5s5ownb k2 end5b61命令d(k1,D)=(k2,Y,R)atendbecomescommandcrightmostk,C(s4,s5)ifendinAs4,s4andk1inAs4,s4andDinAs4,s4thendeleteendfromAs4,s4;create subjects5;enterown into As4,s5;enterendintoAs5,s5;deletek1fromAs4,s4;deleteDfromAs4,s4;enterYintoAs4,s4;enterk2intoAs5,s5;end62证明ProtectionsystemexactlysimulatesaTMIfTMentersstateqf,thenrighthasleakedIfsafetyquestiondecidable,thenrepresentTMasaboveanddetermineifqfleaksImplieshaltingproblemdecidableConclusion:safetyquestionundecidable63安全系统和不安全系统安全系统和不安全系统安全策略（安全策略（Security Policy）是将系统分解成一组安是将系统分解成一组安全（授权）的状态和不安全（授权）状态的一种陈述全（授权）的状态和不安全（授权）状态的一种陈述 安全系统（安全系统（Secure System）是指一个从安全（授权）是指一个从安全（授权）的状态出发，不会进入不安全（授权）的状态的系统。的状态出发，不会进入不安全（授权）的状态的系统。安全精确交叉系统可达状态系统安全状态64机密性、完整性和有效性的定义机密性、完整性和有效性的定义 机密性（机密性（Confidentiality）设设X表示一组实体，表示一组实体，I表示一些信息或者一个资源。如果表示一些信息或者一个资源。如果I相对于相对于X具有机密性是指具有机密性是指X中的任意成员不能够得到中的任意成员不能够得到I中中的任何内容。的任何内容。完整性（完整性（Integrity）设设X表示一组实体，表示一组实体，I表示一些信息或者一个资源。如果表示一些信息或者一个资源。如果I相对于相对于X具有完整性是指具有完整性是指X中的所有成员都信任中的所有成员都信任I中的内中的内容。容。可用性（可用性（Availability）设设X表示一组实体，表示一组实体，I表示一些信息或者一个资源。如果表示一些信息或者一个资源。如果I相对于相对于X具有可用性是指具有可用性是指X中的所有成员都可以访问中的所有成员都可以访问I中中的内容。的内容。65安全机制安全机制安全机制（安全机制（Mechanism）是一种执行安全策略的方法、工具或者过程信任和假设信任是一切安全研究的基础。没有信任就不可能存在实际的安全。信任很多时候需要假设。这些假设可能没有经过严格证明，但是的确实际存在。上课的老师不是黑帮头目，没有怀揣枪支来上课；上课的时候，你周围的同学不会恶意对你，不过在你背后捅刀子；教学楼的质量室过关的，不会出现天花板掉下来，或者脚下的楼板开裂这样的问题；你相信在宿舍楼里已经关好门，上好锁，看门的大爷大妈在兢兢业业的工作，所以的寝室里的财物不会被人拿走；66安全机制的思考题安全机制的思考题现有一份文档，安全策略是不允许id为weili的用户查看该文档有哪些机制可以实现这个策略？67安全保障安全保障有了目标和机制以后，关键在于如何执行这些机制制定规范(specification)需求分析目标功能表述设计系统(Design)设计系统以满足规范的需求执行系统(Implementation)执行系统以符合当初设计的目标68研究安全的方法学研究安全的方法学ThreatsPolicySpecificationDesignImplementationOperation69运作问题运作问题Cost-Benefit分析是否该保护更为便宜，但是已经达到保护要求足够保护原理(PrincipleofAdequateProtection):计算机单元得到的保护应该与它们的价值成正比。风险分析(RiskAnalysis)我们应该保护有些东西吗？最容易侵入原理(PrincipleofEasiestPenetration)：必须考虑到一个入侵者必然会利用所有可以利用的手段去执行入侵。法律和习惯所有的安全手段是否合法？人们是否愿意去执行它们？70人的因素人的因素组织问题权力和责任经济利益人员问题内部威胁还是外部威胁哪个是你认为的真真的威胁社会工程一种攻击手段，与人员的安全意识紧密相关71思考题如何保护你的思考题如何保护你的project什么是你的project的安全性？现有哪些威胁在影响你的project？如何保护你的Project？制定几条安全策略用以保护你的project？这些策略够了吗？这些策略够了吗？如何执行上述安全策略？如何解决相应的组织问题和工具问题？有哪些运作问题存在？有哪些人的问题存在？72信息系统安全攻击的概述信息系统安全攻击的概述73案例分析案例分析2001年，年，信息周刊信息周刊（Information Week）对）对4500个个安全专家进行了一个全球信息调查。作为调查的一部分，安全专家进行了一个全球信息调查。作为调查的一部分，要求回答者列出入侵者入侵其机构所使用的主要攻击方法要求回答者列出入侵者入侵其机构所使用的主要攻击方法（允许多选）。（允许多选）。排在第一位的方法是利用操作系统的漏洞：大约三分之一排在第一位的方法是利用操作系统的漏洞：大约三分之一的回答者经历过这种攻击。接下来的流行方法是利用不为的回答者经历过这种攻击。接下来的流行方法是利用不为人知的应用程序（占人知的应用程序（占27%）。其它常见的攻击是猜口令）。其它常见的攻击是猜口令（占（占22%）、滥用合法用户的帐户或者许可（占）、滥用合法用户的帐户或者许可（占17%）和）和使用拒绝服务攻击（占使用拒绝服务攻击（占12%）。）。通常的思维总是认为针对公司网络或计算机的攻击，有五通常的思维总是认为针对公司网络或计算机的攻击，有五分之四是由怀有恶意的内部员工所为，因为他们利用对系分之四是由怀有恶意的内部员工所为，因为他们利用对系统的熟悉来达到目的。这次的调查尝试确定这个统的熟悉来达到目的。这次的调查尝试确定这个“首要规首要规则则”是否成立。事实上，利用网络应用程序的增长，现在是否成立。事实上，利用网络应用程序的增长，现在认为外部人士具有更大的威胁。认为外部人士具有更大的威胁。Hulme指出指出“很多公司怀很多公司怀疑黑客、恐怖分子（占疑黑客、恐怖分子（占46%）甚至一些消费者（占）甚至一些消费者（占14）在试图攻击他们的系统在试图攻击他们的系统”。美国计算机安全研究所和美国。美国计算机安全研究所和美国联邦调查局出版的另外一份调查报告也证实了这种怀疑。联邦调查局出版的另外一份调查报告也证实了这种怀疑。第二份报告指出几乎四分之三的企业认为因特网的攻击起第二份报告指出几乎四分之三的企业认为因特网的攻击起点，而只有三分之一的企业认为内部系统是攻击起点。点，而只有三分之一的企业认为内部系统是攻击起点。74问题问题漏洞最大的来源是什么？攻击的最大来源是什么？对企业系统的攻击点最大的来源是什么？75攻击方法的步骤攻击方法的步骤 调查目标系统状况调查目标系统状况。首先通过各种途径找到所需要攻击的信息系统的概况。包括了解信息系统的类型、版本等信息，这样容易找到相关的资料调查目标系统的漏洞所在；初始攻击初始攻击。找寻相关工具，或者编写相应脚本进行攻击。一般以尝试进入为这一阶段的第一步。比如找到一个Guest帐号进入系统。这样有助于进一步获取系统信息，并运行下一步的攻击程序；提升权限提升权限。在第二步的基础之上运行攻击程序，获得系统管理员或者希望得到的目标角色的帐户；掩盖攻击掩盖攻击。完成第三步的时候，并不表明攻击已经完成。这一步需要清除日志或者文件系统的某些记录，不能让系统管理人员发觉攻击的痕迹；修补相应的漏洞修补相应的漏洞。这一步是高级黑客常常讨论的问题。修补目标系统的漏洞的目的是要堵塞原先的攻击路径，让其他黑客不能进入系统。否则有可能自己的攻击留下的特权帐户被其他黑客杀档。因此，这一步是很重要的，但是修补漏洞很容易让系统管理员发现攻击，比如重新启动等发生的时候，系统管理员会知道可能有攻击行为的发生。因此如何在不让管理员察觉的情况下修补安全漏洞是高级黑客经常讨论的话题。76攻击的分类攻击的分类 窃听（Snooping）篡改（ModificationorAlteration）伪装或者哄骗（MasqueradingorSpoofing）否认发送（RepudiationofOrigin）否认接受（Denialofreceipt）延迟（Delay）拒绝服务（Denialofservice）77中间人攻击中间人攻击AliceAliceBobBob和Alice交换密钥和Bob交换密钥攻击者78直接型分布式拒绝服务攻击直接型分布式拒绝服务攻击79反射型分布式拒绝服务攻击反射型分布式拒绝服务攻击80如何进行防御81防御的方法论防御的方法论 82攻击者的优势和防御者的劣势攻击者的优势和防御者的劣势因素因素1：防御者必须对所有的环节进行防御，而攻击者：防御者必须对所有的环节进行防御，而攻击者可以选择最薄弱的环节发起攻击。可以选择最薄弱的环节发起攻击。城堡的防御和攻击点的选择攻击者可以拿到你的软件，并只需要找出一个薄弱环节因素因素2：防御者只能针对已知的攻击进行防御，而攻击：防御者只能针对已知的攻击进行防御，而攻击者则可以探测未知的漏洞进行攻击者则可以探测未知的漏洞进行攻击城堡中的古井和特洛伊木马的故事软件在发布的时候，只能对已经建立的理论或者已经知道的攻击手段进行有效防御。对未知的攻击进行防御的唯一途径就是，如果用户不是明确要求的某些功能，就禁止这些功能。因素因素3：防御者必须永远保持警戒，而攻击者可以以逸：防御者必须永远保持警戒，而攻击者可以以逸待劳，随时发起攻击待劳，随时发起攻击因素因素4：防御者的活动必须遵守相关的规则，而攻击者：防御者的活动必须遵守相关的规则，而攻击者可以采用一些卑鄙的、非法的手段可以采用一些卑鄙的、非法的手段83系统开发和程序员的视图系统开发和程序员的视图 从系统开发和程序员的角度来看，构建一个安全的信息系统是一个艰巨的任务。我们建议如下：从开发的过程上保证。现代的开发过程多采用迭代式开发过程以控制风险；从软件体系结构上保证。采用合适的机制，包括认证、访问控制、审计、加密/解密，用以保证系统的安全性；从代码上保证。建立对等审查机制，提高代码的可读性和安全性。使用合适的编译工具和代码检查工具，提高代码的健壮性；提供有效的安全测试。安全测试是现代信息系统测试必不可少的一部分。从人员组织上保障.。进行定期培训，提高开发人员和程序员的安全意识。设立安全部门，帮助系统开发和程序员提高系统和代码的安全质量。84小结小结安全的重要性什么是安全安全策略、安全机制和安全的方法学攻击概述防御85