计算机系统安全概论课件

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,.,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,.,*,第1章 计算机系统安全概论,8/31/2024,1,.,第1章 计算机系统安全概论9/6/20231.,本章主要内容,计算机信息系统安全问题,信息安全概念的发展,计算机系统安全研究的内容,8/31/2024,2,.,本章主要内容9/6/20232.,1.1,计算机信息系统安全问题,1.1.1 计算机信息系统的基本概念,1.1.2 安全威胁,对计算机信息系统的威胁是指：潜在的、对信息系统造成危害的因素。,8/31/2024,3,.,1.1 计算机信息系统安全问题 1.1.1 计算机信息系统的,对信息系统安全的威胁是多方面的，目前还没有统一的方法对各种威胁加以区别和进行准确的分类。而且不同威胁的存在及其重要性是随环境的变化而变化的。下面是对现代信息系统及网络通信系统常遇到的一些威胁及其来源的概述。,设信息是从源地址流向目的地址，那么正常的信息流向是：,信息源,信息目的地,8/31/2024,4,.,对信息系统安全的威胁是多方面的，目前还没有统一的方法对各种威,中断,(Interruption),威胁使得在用的信息系统毁坏或不能使用，即破坏可用性,(Availability),。,攻击者可以从下列几个方面破坏信息系统的可用性：,使合法用户不能正常访问网络资源。,使有严格时间要求的服务不能及时得到响应。,摧毁系统。物理破坏网络系统和设备组件使网络不可用，或者破坏网络结构使之瘫痪等。如硬盘等硬件的毁坏，通信线路的切断，文件管理系统的瘫痪等。,最常见的中断威胁是造成系统的拒绝服务，即信息或信息系统资源的被利用价值或服务能力下降或丧失。,信息源,信息目的地,8/31/2024,5,.,中断(Interruption)威胁使得在用的信息系统毁坏或,截获(Interception)威胁：是指一个非授权方介入系统，使得信息在传输中被丢失或泄露的攻击，它破坏了保密性(Confidentiality)。非授权方可以是一个人、一个程序或一台计算机。,这种攻击主要包括：,利用电磁泄露或搭线窃听等方式可截获机密信息，通过对信息流向、流量、通信频度和长度等参数的分析，推测出有用信息，如用户口令、账号等。,非法复制程序或数据文件。,信息源,信息目的地,8/31/2024,6,.,截获(Interception)威胁：是指一个非授权方介入系,篡改(Modification)威胁以非法手段窃得对信息的管理权，通过未授权的创建、修改、删除和重放等操作而使信息的完整性(Integrity)受到破坏。,这些攻击主要包括：,改变数据文件，如修改数据库中的某些值等。,替换某一段程序使之执行另外的功能，设置修改硬件。,信息源,信息目的地,8/31/2024,7,.,篡改(Modification)威胁以非法手段窃得对信息的管,伪造(Fabrication)威胁中一个非授权方将伪造的客体插入系统中，破坏信息的可认证性(Authenticity)。,例如在网络通信系统中插入伪造的事务处理或者向数据库中添加记录。,信息源,信息目的地,8/31/2024,8,.,伪造(Fabrication)威胁中一个非授权方将伪造的客体,1.1.3 脆弱点与安全控制,脆弱点(Vulnerability),是指信息系统中的缺陷，实际上脆弱点就是安全问题的根源所在，如原理设计及实现中的缺陷，它能被攻击者利用来进行破坏活动。,物理安全,软件系统,网络和通信协议,人的因素,8/31/2024,9,.,1.1.3 脆弱点与安全控制9/6/20239.,攻击者利用信息系统的脆弱点对系统进行攻击,(Attack),。我们使用控制,(Control),进行安全防护。控制是一些动作、装置、程序或技术，它能消除或减少脆弱点。,可以这样描述威胁、控制和脆弱点的关系：“通过控制脆弱点来阻止或减少威胁。”,本书后续篇幅将主要介绍各种安全控制原理及技术。,8/31/2024,10,.,攻击者利用信息系统的脆弱点对系统进行攻击(Attack)。我,1.1.4 计算机信息系统的安全需求,保密性,是指确保信息资源仅被合法的用户、实体或进程访问，使信息不泄漏给未授权的用户、实体或进程。,实现保密性的方法一般是通过信息的加密、对信息划分密级，并为访问者分配访问权限，系统根据用户的身份权限控制对不同密级信息的访问。,特别要说明的是，对计算机的进程、中央处理器、存储、打印设备的使用也必须实施严格的保密技术措施，以避免产生电磁泄露等安全问题。,8/31/2024,11,.,1.1.4 计算机信息系统的安全需求9/6/202311.,1.1.4 计算机信息系统的安全需求,完整性,是指信息资源只能由授权方或以授权的方式修改，在存储或传输过程中不丢失、不被破坏。完整性的破坏一般来自3个方面：未授权、未预期、无意。,目前对于动态传输的信息，许多协议确保信息完整性的方法大多是收错重传、丢弃后续包。不仅仅要考虑数据的完整性，还要考虑操作系统的逻辑正确性和可靠性，要实现保护机制的硬件和软件的逻辑完备性、数据结构和存储的一致性。,8/31/2024,12,.,1.1.4 计算机信息系统的安全需求9/6/202312.,1.1.4 计算机信息系统的安全需求,可用性,是指信息可被合法用户访问并按要求的特性使用而不遭拒绝服务。可用的对象包括：信息、服务和IT资源。,例如在网络环境下破坏网络和有关系统的正常运行就属于对可用性的攻击。信息的可用性与保密性之间存在一定的矛盾。系统为了控制非法访问可以采取许多安全措施，但系统不应该阻止合法用户对系统中信息的利用。,8/31/2024,13,.,1.1.4 计算机信息系统的安全需求9/6/202313.,1.1.4 计算机信息系统的安全需求,可控性,是指保证信息和信息系统的认证授权和监控管理，确保某个实体(人或系统)身份的真实性，确保信息内容的安全性和合法性，确保系统状态可被授权方所控制。,8/31/2024,14,.,1.1.4 计算机信息系统的安全需求9/6/202314.,1.1.4 计算机信息系统的安全需求,不可抵赖性通常又称为不可否认性,是指信息的发送者无法否认已发出的信息或信息的部分内容，信息的接收者无法否认已经接收的信息或信息的部分内容。,不可否认性措施主要有：数字签名，可信第三方认证技术等。,8/31/2024,15,.,1.1.4 计算机信息系统的安全需求9/6/202315.,1.1.4 计算机信息系统的安全需求,可存活性是近年来学术界提出的一个安全概念。,可存活性是指计算机系统的这样一种能力：它能在面对各种攻击或错误的情况下继续提供核心的服务，而且能够及时地恢复全部的服务。,这是一个新的融合计算机安全和业务风险管理的课题，它的焦点不仅是对抗计算机入侵者，还要保证在各种网络攻击的情况下业务目标得以实现，关键的业务功能得以保持。提高对网络攻击的系统可存活性，同时也提高了业务系统在面对一些并非恶意的事故与故障的可存活性。,8/31/2024,16,.,1.1.4 计算机信息系统的安全需求9/6/202316.,1.1.4 计算机信息系统的安全需求,计算机安全专家又在已有计算机系统安全需求的基础上增加了可认证性(Authenticity)、实用性(Utility)，认为这样才能解释各种网络安全问题。,信息的可认证性是指信息的可信度，主要是指对信息的完整性、准确性和对信息所有者或发送者身份的确认。可认证性比鉴别(Authentication)有更深刻的含义，它包含了对传输、消息和消息源的真实性进行核实。,信息的实用性是指信息加密密钥不可丢失(不是泄密)，丢失了密钥的信息也就丢失了信息的实用性，成为垃圾。,8/31/2024,17,.,1.1.4 计算机信息系统的安全需求9/6/202317.,1.1.4 计算机信息系统的安全需求,总之，计算机信息系统安全的最终目标集中体现为系统保护和信息保护两大目标。,1）系统保护。保护实现各项功能的技术系统的完整性、可用性和可控性等。,2,）信息保护。保护系统运行中有关敏感信息的保密性、完整性、可用性和可控性。,8/31/2024,18,.,1.1.4 计算机信息系统的安全需求9/6/202318.,1.2 信息安全概念的发展,信息安全的最根本属性是防御性的，主要目的是防止己方信息的完整性、保密性与可用性遭到破坏。,信息安全的概念与技术是随着人们的需求、随着计算机、通信与网络等信息技术的发展而不断发展的。,8/31/2024,19,.,1.2 信息安全概念的发展信息安全的最根本属性是防御性的，,1、单机系统的信息保密阶段,20世纪50年代，计算机应用范围很小，安全问题并不突出，计算机系统并未考虑安全防护的问题。,后来发生了袭击计算中心的事件，才开始对机房采取实体防护措施。但这时计算机的应用主要是单机，计算机安全主要是实体安全防护和硬、软件防护。,多用户使用计算机时，将各进程所占存储空间划分成物理或逻辑上相互隔离的区域，使用户的进程并发执行而互不干扰，即可达到安全防护的目的。,8/31/2024,20,.,1、单机系统的信息保密阶段9/6/202320.,1、单机系统的信息保密阶段,20世纪70年代，出现了计算机安全的法律、法规和各种防护手段，如防止非法访问的口令、身份卡、指纹识别等措施。,这时计算机已由单机应用发展到计算机网络，除存储和数据处理外，发展到信息的远程传输，使网络受到攻击的部件增多，特别是传输线路和网络终端最为薄弱。,这时，针对网络安全防护，出现了强制性访问控制机制、完善的鉴别机制和可靠的数据加密传输措施。,8/31/2024,21,.,1、单机系统的信息保密阶段9/6/202321.,1、单机系统的信息保密阶段,主要开发的密码算法有：,DES：1977年美国国家标准局采纳的分组加密算法DES（数据加密标准）。DES是密码学历史上的一个创举，也是运用最广泛的一种算法。,IDEA：国际数据加密算法，是对DES的改进算法。,8/31/2024,22,.,1、单机系统的信息保密阶段9/6/202322.,1、单机系统的信息保密阶段,主要开发的密码算法有：,RSA：双密钥的公开密钥体制，该体制是根据1976年Diffie，Hellman在“密码学新方向”开创性论文中提出来的思想由Rivest，Shamir，Adleman三个人创造的,1985年N.koblitz和V.Miller提出了椭圆曲线离散对数密码体制（ECC）。该体制的优点是可以利用更小规模的软件、硬件实现有限域上同类体制的相同安全性。,8/31/2024,23,.,1、单机系统的信息保密阶段9/6/202323.,1、单机系统的信息保密阶段,主要开发的密码算法有：,还创造出一批用于实现数据完整性和数字签名的杂凑函数。如，数字指纹、消息摘要（MD）、安全杂凑算法（SHA用于数字签名的标准算法）等，当然，其中有的算法是90年代中提出的。,8/31/2024,24,.,1、单机系统的信息保密阶段9/6/202324.,1、单机系统的信息保密阶段,主要开发的密码算法有：,还创造出一批用于实现数据完整性和数字签名的杂凑函数。如，数字指纹、消息摘要（MD）、安全杂凑算法（SHA用于数字签名的标准算法）等，当然，其中有的算法是90年代中提出的。,8/31/2024,25,.,1、单机系统的信息保密阶段9/6/202325.,1、单机系统的信息保密阶段,在七、八十年代期间，信息安全理论、安全模型和安全评价准则，重点研究：,信息系统安全理论, 三大控制理论,访问控制：基于访问矩阵与访问监控器,信息流控制：基于数学的格理论,推理控制：基于逻辑推理，防数据库泄漏保护系统安全模型, 安全操作系统的设计,安全核技术，分层结构，环型结构,8/31/2024,26,.,1、单机系统的信息保密阶段9/6/202326.,1、单机系统的信息保密阶段,系统安全模型, 访问矩阵与监控器模型, 信息流多级安全模型，基于格理论,1）保密性模型（BLP模型）,2）完整性模型（Biba模型）,3）军用安全模型：适用于军事部门与政府部门,8/31/2024,27,.,1、单机系统的信息保密阶段9/6/202327.,1、单机系统的信息保密阶段,安全性评价准则,1985年美国开发了可信计算机系统评估准则（TCSEC）把计算机安全划分为7个等级： D，C1，C2，B1，B2，B3，A1,为信息系统的安全性评价提供了概念、方法与思路，是开创性的。为后来的通用评估准则（CC标准）打下基础,8/31/2024,28,.,1、单机系统的信息保密阶段9/6/202328.,2、网络信息安全阶段,1988年11月3日莫里斯“蠕虫”事件引起了人们对网络信息安全的关注与研究，并与第二年成立了计算机紧急事件处理小组负责解决Internet的安全问题，从而开创了网络信息安全的新阶段。,在该阶段中，除了采用和研究各种加密技术外，还开发了许多针对网络环境的信息安全与防护技术，这些防护技术是以被动防御为特征的。,8/31/2024,29,.,2、网络信息安全阶段9/6/202329.,TCP/IP协议族包括4个功能层：应用层、传输层、网络层和网络接口层。这4层概括了相对于OSI参考模型中的7层。,从安全角度来看，一个单独的层次无法提供全部的网络安全服务，各层都能提供一定的安全手段，针对不同层的安全措施是不同的。,8/31/2024,30,.,TCP/IP协议族包括4个功能层：应用层、传输层、网络层和网,图1-7给出了一个网络保密安全基本模型，通信双方要传递某个消息，需要建立一个逻辑信息通道包括：确定从发送方到接受方的路由以及两方协同使用诸如TCP/IP协议。,为了在开放网络环境中保护信息的传输，需要提供安全机制和安全服务，主要包含两个部分：,（1）消息的安全传输，包括对消息的加密与认证。例如，消息的加密，使开放网络对加密的消息不可读；又如附加一些基于消息内容的编码，用来验证发送者的身份。,（2）双方共享秘密信息的分发。例如，用于发送前的加密密钥和接收后的解密密钥。,为了完成安全的消息传递，常常需要可信的第三方。其作用是负责为通信双方分发秘密信息，或者是在双方有争议时进行仲裁。,8/31/2024,31,.,图1-7给出了一个网络保密安全基本模型，通信双方要传递某个消,归纳起来，该网络保密安全模型必须包含4个基本内容：,1）建立一种加密算法。,2）产生一个用于加密算法的密钥。,3）开发一个分发和共享秘密信息的方法。,4）使用加密算法与秘密信息以得到特定安全服务所需的协议。,图1-7的网络保密安全模型虽是一个通用的模型，但它着重保护信息的机密性和可认证性，不能涵盖所有安全需求。,8/31/2024,32,.,归纳起来，该网络保密安全模型必须包含4个基本内容：9/6/2,图1-8给出了一个网络访问安全模型，该模型考虑了黑客攻击、病毒与蠕虫等的非授权访问。,黑客攻击可以形成两类威胁：,一类是信息访问威胁，即非授权用户截获或修改数据；,另一类是服务威胁，即服务流激增以禁止合法用户使用。,病毒和蠕虫是软件攻击的两个实例，这类攻击通常是通过移动存储介质引入系统，并隐藏在有用软件中，也可通过网络接入系统。,8/31/2024,33,.,图1-8给出了一个网络访问安全模型，该模型考虑了黑客攻击、病,在图1-8中，对非授权访问的安全机制可分为两道防线：,第一道防线是守卫功能，包括基于口令的登录过程以拒绝所有非授权访问以及屏蔽逻辑以检测、拒绝病毒、蠕虫和其他类似攻击；,第二道防线由内部的一些安全控制构成，用于管理系统内部的各项操作和所存储的信息分析，以检查对付未授权的入侵者。,8/31/2024,34,.,在图1-8中，对非授权访问的安全机制可分为两道防线：9/6/,2、网络信息安全阶段,在网络信息安全阶段中，人们还开发了许多网络加密、认证、数字签名的算法、信息系统安全评价准则(如CC通用评价准则)。,这一阶段的主要特征是对于自己部门的网络采用各种被动的防御措施与技术，目的是防止内部网络受到攻击，保护内部网络的信息安全。,8/31/2024,35,.,2、网络信息安全阶段9/6/202335.,3、信息保障阶段,信息保障（IA-Information Assurace）这一概念最初是由美国国防部长办公室提出来的，后被写入命令DoD Directive S-3600.1：Information Operation中，在1996年12月9日以国防部的名义发表。,8/31/2024,36,.,3、信息保障阶段9/6/202336.,3、信息保障阶段,在这个命令中信息保障被定义为：通过确保信息和信息系统的可用性、完整性、可验证性、保密性和不可否认性来保护信息系统的信息作战行动，包括综合利用保护、探测和响应能力以恢复系统的功能。,1998年1月30日美国防部批准发布了国防部信息保障纲要(DIAP)，认为信息保障工作是持续不间断的，它贯穿于平时、危机、冲突及战争期间的全时域。信息保障不仅能支持战争时期的国防信息攻防，而且能够满足和平时期国家信息的安全需求。,8/31/2024,37,.,3、信息保障阶段9/6/202337.,3、信息保障阶段,1998年5月美国公布了由国家安全局NSA起草的1.0版本信息保障技术框架(Information Assurance Technical Framework, IATF)，旨在为保护美国政府和工业界的信息与信息技术设施提供技术指南。,在1999年8月31日IATF论坛发布了IATF 2.0版本，2000年9月22日又推出了IATF 3.0版本。,8/31/2024,38,.,3、信息保障阶段9/6/202338.,3、信息保障阶段,IATF从整体、过程的角度看待信息安全问题，其代表理论为“纵深防护战略（Defense-in-Depth）”，,就是信息保障依赖人、技术、操作三个因素实现组织的任务/业务运作。通过有效结合当前已有成熟技术，充分考虑人员、技术、操作三方面的影响，并衡量防护能力、防护性能、防护耗费、易操作性等各方面因素，得到系统防护的最有效实用的方案。,稳健的信息保障状态意味着信息保障的政策、步骤、技术与机制在整个组织的信息基础设施的所有层面上均得以有效实施。,IATF强调人、技术、操作这三个核心要素。人，借助技术的支持，实施一系列的操作过程，最终实现信息保障目标，这就是IATF最核心的理念之一。,8/31/2024,39,.,3、信息保障阶段9/6/202339.,3、信息保障阶段,人,(People),：,人是信息体系的主体，是信息系统的拥有者、管理者和使用者，是信息保障体系的核心，是第一位的要素，同时也是最脆弱的。,正是基于这样的认识，信息安全管理在安全保障体系中就显得尤为重要，可以这么说，信息安全保障体系，实质上就是一个安全管理的体系，其中包括意识培养、培训、组织管理、技术管理和操作管理等多个方面。,8/31/2024,40,.,3、信息保障阶段9/6/202340.,3、信息保障阶段,技术(Technology)：,技术是实现信息保障的具体措施和手段，信息保障体系所应具备的各项安全服务是通过技术来实现的。,这里所说的技术，已经不单是以防护为主的静态技术体系，而是保护(Protection)、检测(Detection)、响应(Reaction)、恢复(Restore)有机结合的动态技术体系，这就是所谓的PDRR(或称PDR2)模型(如图1-9所示)。,恢复,反应,检测,保护,信息,保障,8/31/2024,41,.,3、信息保障阶段 恢复 反应 检测 保,3、信息保障阶段,操作(Operation)：或者叫运行，,操作将人和技术紧密地结合在一起，涉及到风险评估、安全监控、安全审计、跟踪告警、入侵检测、响应恢复等内容。,8/31/2024,42,.,3、信息保障阶段9/6/202342.,说明,IATF,的目的与作用帮助用户确定信息安全需求和实现他们的需求；,说明信息基础设施及其边界、,IA,框架的范围及威胁的分类和纵深防御策略,DiD,；,DiD,的深入介绍；,信息系统的安全工程过程,(ISSE),的主要内容；各种网络威胁与攻击的反制技术或反措施；,信息基础设施、计算环境与飞地的防御；,信息基础设施的支撑,(,如密钥管理,/,公钥管理，,KMI/PKI),、检测与响应以及战术环境下的信息保障问题。,IATF,主要包含：,8/31/2024,43,.,说明IATF的目的与作用帮助用户确定信息安全需求和实现他,1.3,计算机系统安全研究的内容,计算机网络环境下的信息系统可以用层次结构来描述。,8/31/2024,44,.,1.3 计算机系统安全研究的内容计算机网络环境下的信息系统,计算机硬件安全,主要介绍PC机物理防护、基于硬件的访问控制技术、可信计算与安全芯片、硬件防电磁辐射技术和计算机运行环境安全问题。,操作系统安全,主要介绍操作系统的主要安全机制，包括存储保护、用户认证和访问控制技术，并介绍了Windows XP/Vista系统的安全机制。,计算机网络安全,主要介绍网络安全框架、防火墙和入侵检测系统，网络隔离技术，网络安全协议以及公钥基础设施PKI/PMI等内容。,8/31/2024,45,.,计算机硬件安全9/6/202345.,数据库系统安全,主要介绍数据库的安全性、完整性、并发控制、备份和恢复等安全机制。,应用系统安全,主要介绍应用系统可能受到的恶意程序攻击，因编程不当引起的缓冲区漏洞，开发安全的应用系统的编程方法、软件保护的技术措施以及安全软件工程技术。,计算机系统应急响应与灾难恢复的概念、内容及相关计算机取证、攻击源追踪技术。,8/31/2024,46,.,数据库系统安全9/6/202346.,介绍安全评估的国内外标准、评估的主要方法、工具、过程，最后给出一个信息系统风险度的模糊综合评估实例。,介绍计算机信息系统安全管理的目的、任务，安全管理的程序和方法，信息系统安全管理标准及其实施办法，以及我国有关信息安全的法律法规，并系统介绍了我国计算机知识产权的法律保护措施。,8/31/2024,47,.,介绍安全评估的国内外标准、评估的主要方法、工具、过程，最后给,思考与练习,1.1,计算机信息系统常常面临的安全威胁有哪些？安全威胁的根源在哪里？,1.2,计算机系统的安全需求有哪些？在网络环境下有哪些特殊的安全需求？,1.3,什么是系统可存活性？它有哪些主要属性？,1.4,网络环境中的信息系统各个层次中的安全问题主要有哪些？请各列举三个。,8/31/2024,48,.,思考与练习 1.1计算机信息系统常常面临的安全威胁有哪些？安,1.5,信息安全概念发展的,3,个主要阶段是什么？各个阶段中主要的安全思想与所开发的主要安全技术有哪些？,1.6,查阅资料，进一步了解,PDR,、,P,2,DR,、,PDR,2,以及,P,2,DR,2,各模型中每个部分的含义。这些模型的发展说明了什么？,8/31/2024,49,.,1.5 信息安全概念发展的3个主要阶段是什么？各个阶段中主要,谢谢观看！,谢谢观看！,