计算机系统安全概述.ppt

计算机安全与保密 东北农业大学张铁军 1 计算机系统存在的安全问题 63 59 4 27 30 5 10 10 1 0 10 20 30 40 50 60 70 被入侵过 没有被入侵过 不知道 过去一年内中国互连网用户计算机被入侵的情况 备注 用户是指平均每周使用互连网至少 1小时的中国公民 2009年7月 2009年1月 计算机安全影响到国家的安全和主权 小小的一块带病毒的芯片 让伊拉克从此蒙受一场战争的屈辱 美国中央情报局采用 偷梁换拄 的方法 将带病毒的电脑打印机芯片 趁货物验关之际换入伊拉克所购的电脑打印机中 本章学习目标 1 明确计算机安全的基本概念以及安全的重要性 掌握安全模型 2 了解计算机信息系统的主要安全法规及体系结构 本章主要内容KeyQuestions 1 计算机系统存在的安全问题2 计算机系统安全的概念3 安全模型4 计算机安全法规与标准5 计算机安全体系结构 安全威胁 a 硬件的安全隐患 b 操作系统安全隐患 c 网络协议的安全隐患 d 数据库系统安全隐患 e 计算机病毒 f 管理疏漏 内部作案 安全隐患 硬件设备的安全隐患CPU Intel公司在奔腾IIICPU中加入处理器序列号 因此Intel涉嫌干涉个人隐私 但要害问题则是政府机关 重要部门非常关心由这种CPU制造的计算机在处理信息或数据时所带来的信息安全问题 即这种CPU内含有一个全球唯一的序列号 计算机所产生的文件和数据都会附着此序列号 因而由此序列号可以追查到产生文件和数据的任何机器 安全隐患 网络设备 我国计算机网络使用的绝大部分网络设备 如路由器 集线器 交换机 服务器 以及网络软件等都是进口的 其安全隐患不容忽视 一些交换机和路由器具有远程诊断和服务功能 既然可以远程进入系统服务 维修故障 也就可以远程进入系统了解情报 越权控制 更有甚者 国外一著名网络公司以 跟踪服务 为由 在路由器中设下 机关 可以将网络中用户的包信息同时送一份到其公司总部 安全隐患 b 操作系统安全隐患计算机操作系统历来被美国一些大公司所垄断 但这些操作系统的源程序都是不公开的 在安全机制方面存在着诸多漏洞和隐患 计算机黑客能轻而易举地从 后门 进入系统 取得系统控制权 并危及计算机处理或存储的重要数据 如Windows95存在两千多处缺陷 安全隐患 b 操作系统安全隐患 OS的体系结构造成其本身不安全1 I O 系统服务程序等都可用打补丁方式进行动态连接 厂商用这种方式升级 而攻击者也用此方法 2 为了实现通用性 可裁剪性 能够安装其他公司的软件包 这些软件包往往是操作系统的一部分 需要与操作系统同样的访问特权 安装这些软件包的 抓钩 程序就是非法攻击者入侵操作系统的陷门 3 网络上进行文件传输 加载将带来安全隐患 另外 能进行远程进程的创建与激活 这为安装 间谍 软件提供了条件 4 操作系统存在隐蔽信道 进程间通过不受强制访问控制保护的通信途径 安全隐患 c 网络协议的安全隐患网络协议也都由美国等国家开发或制定标准 其安全机制也存在先天不足 协议还具有许多安全漏洞 为攻击者提供了方便 如地址欺骗等 Internet应用协议中缺乏认证 保密等措施 也使攻击者比较容易得手 TCP IP协议安全漏洞 包监视 泄露 地址欺骗 序列号攻击 路由攻击 拒绝服务 鉴别攻击 应用层安全隐患 Finger FTP Telnet E mail SNMP RPC NFS 安全隐患 d 数据库系统安全隐患由于数据库平台全系引进 尽管厂商声称具有安全机制 但对国内用户犹如一个 黑匣子 数据库的攻击分直接攻击和间接攻击两大类 直接攻击是通过查询以得到几个记录来直接搜索并确定敏感字段的值 最成功的技术是形成一种特定的查询它恰与一个数据项相匹配 间接攻击是依据一种或多种统计值推断出结果 统计攻击通过使用某些明显隐匿的统计量来推导出数据 例如使用求和等统计数据来得到某些数据 安全隐患 e 计算机病毒威胁计算机病毒是一种能够进行自我复制的程序 可以通过多种方式植入计算机中 通过Internet网植入病毒更容易 病毒运行后可能损坏文件 使系统瘫痪 造成各种难以预料的后果 由于在网络环境下 计算机病毒具有不可估量的威胁性和破坏力 因此计算机病毒的防范是网络安全性建设中重要的一环 新的病毒不仅删除文件 使数据丢失 甚至破坏系统硬件 可以造成巨大损失 1998年美国 莫里斯 病毒发作 一天之内使6000多台计算机感染 损失达9000万美元 安全隐患 f 管理疏漏 内部作案 据权威资料片 筑起网上长城 介绍 互联网上的计算机犯罪 黑客攻击等非法行为 来自于内部网络 金融 证券 邮电 科研院所 设计院 政府机关等单位几乎是天生的受攻击者 内部人员对本单位局域网的熟悉又加剧了其作案和被外部人勾结引诱的可能性 2 安全的概念 ISO将 计算机安全 定义为 为数据处理系统建立和采取的技术和管理的安全保护 保护计算机硬件 软件数据不因偶然和恶意的原因而遭到破坏 更改和泄露 静态信息保护 另一种定义 计算机的硬件 软件和数据受到保护 不因偶然和恶意的原因而遭到破坏 更改和泄露 系统连续正常运行 动态意义描述 从用户角度 保护利益 隐私 存储 传输安全 从运行管理角度 正常 可靠 连续运行 从国家 社会 过滤有害信息 入侵者 网络恐怖分子 黑客 信息战部队现在 黑客 一词在信息安全范畴内的普遍含意是特指对电脑系统的非法侵入者 黑客 hacker 对技术的局限性有充分认识 具有操作系统和编程语言方面的高级知识 热衷编程 查找漏洞 表现自我 他们不断追求更深的知识 并公开他们的发现 与其他人分享 主观上没有破坏数据的企图 骇客 cracker 以破坏系统为目标 红客 honker 中国的一些黑客自称 红客 honker 美国警方 把所有涉及到 利用 借助 通过 或 阻挠 计算机的犯罪行为都定为hacking 安全的要素 可用性 availability可靠性 reliability完整性 integrity保密性 confidentiality不可抵赖性 Non repudiation 安全的要素 1 保密性 确保信息不暴露给未授权的实体或进程 加密机制 防泄密2 完整性 只有得到允许的人才能修改实体或进程 并且能够判别出实体或进程是否已被修改 完整性鉴别机制 保证只有得到允许的人才能修改数据 防篡改数据完整 hash 数据顺序完整 编号连续 时间正确 3 可用性 得到授权的实体可获得服务 攻击者不能占用所有的资源而阻碍授权者的工作 用访问控制机制 阻止非授权用户进入网络 使静态信息可见 动态信息可操作 防中断 安全的要素 4 可靠性 可靠性主要指系统在规定条件下和规定时间内完成规定功能的概率 可靠性是网络安全最基本的要求之一 5 不可否认性 对出现的安全问题提供调查的依据和手段 使用审计 监控 防抵赖等安全机制 使得攻击者 破坏者 抵赖者 逃不脱 并进一步对网络出现的安全问题提供调查依据和手段 实现信息安全的可审查性 安全的要素 此外信息系统还应提供认证 访问控制 抗抵赖安全服务 认证 保证信息使用者和信息服务者都是真实可信的 防止冒充和重演的攻击 真实性访问控制 这种服务保证信息资源不被非授权地使用 是否有权使用该资源 抗抵赖 这种服务可取二种形式 数字签名1 源发证明 提供给信息接收者以证据 这将使发送者谎称未发送过这些信息或者否认它的内容的企图不能得逞 2 交付证明 提供给信息发送者以证据 这将使接收者谎称未接收过这些信息或者否认它的内容的企图不能得逞 计算机安全涉及知识领域 常见的攻击方式 社会工程SocialEngineering病毒virus 蠕虫Worm 木马程序Trojan拒绝服务和分布式拒绝服务攻击Dos DDos欺骗 IPspoofing Packetmodification ARPspoofing 邮件炸弹Mailbombing口令破解Passwordcrack 攻击的工具 标准的TCP IP工具 ping telnet 端口扫描和漏洞扫描 ISS Safesuit Nmap protscanner 网络包分析仪 sniffer networkmonitor 口令破解工具 lc3 fakegina 木马 BO2k 冰河 3 安全模型一个常用的网络安全模型是P2DR模型 P2DR是四个英文单词的字头 Policy 安全策略 Protection 防护 Detection 检测 Response 响应 PDRR网络安全模型 信息安全策略 另一个最常见的安全模型就是PDRR模型 PDRR由4个英文单词的头一个字符组成 Protection 防护 Detection 检测 Response 响应 和Recovery 恢复 这4个部分组成了一个动态的信息安全周期 如图所示 安全策略的每一部分包括一组安全单元来实施一定的安全功能 4 安全的标准 系统的安全标准 桔皮书美国国防部的可信计算机系统评价准则 TrustedComputerSystemEvaluationCriteriaTCSEC 按安全程度低 高排序D C1 C2 B1 B2 B3 A1 C 酌情B 强制A 核实保护D类 最低保护 无账户 任意访问文件 C1类 自决的安全保护 系统能够把用户和数据隔开 用户以根据需要采用系统提供的访问控制措施来保护自己的数据 系统中必有一个防止破坏的区域 其中包含安全功能 C2类 访问级别控制 控制粒度更细 使得允许或拒绝任何用户访问单个文件成为可能 系统必须对所有的注册 文件的打开 建立和删除进行记录 审计跟踪必须追踪到每个用户对每个目标的访问 安全的标准 B1类 有标签的安全保护 系统中的每个对象都有一个敏感性标签而每个用户都有一个许可级别 许可级别定义了用户可处理的敏感性标签 系统中的每个文件都按内容分类并标有敏感性标签 任何对用户许可级别和成员分类的更改都受到严格控制 即使文件所有者也不能随意改变文件许可权限 B2类 结构化保护 系统的设计和实现要经过彻底的测试和审查 系统应结构化为明确而独立的模块 遵循最小特权原则 必须对所有目标和实体实施访问控制 政策 要有专职人员负责实施 要进行隐蔽信道分析 系统必须维护一个保护域 保护系统的完整性 防止外部干扰 B3类 安全域 系统的安全功能足够小 以利广泛测试 必须满足参考监视器需求以传递所有的主体到客体的访问 要有安全管理员 安全硬件装置 审计机制扩展到用信号通知安全相关事件 还要有恢复规程 系统高度抗侵扰 安全的标准 A1类 核实保护 最初设计系统就充分考虑安全性 有 正式安全策略模型 其中包括由公理组成的形式化证明 系统的顶级技术规格必须与模型相对应 系统还包括分发控制和隐蔽信道分析 安全的标准 5 安全的体系结构 网络安全贯穿于整个7层模型 针对TCP IP协议 网络安全应贯穿于信息系统的4个层次 下图表示了对应网络的安全体系层次模型 安全服务的实施位置 应用层提供安全服务的特点 只能在通信两端的主机系统上实施 优点 安全策略和措施通常是基于用户制定的 对用户想要保护的数据具有完整的访问权 因而能很方便地提供一些服务 不必依赖操作系统来提供这些服务 对数据的实际含义有着充分的理解 缺点 效率太低 对现有系统的兼容性太差 改动的程序太多 出现错误的概率大增 为系统带来更多的安全漏洞 传输层提供安全服务的特点 只能在通信两端的主机系统上实施 优点 与应用层安全相比 在传输层提供安全服务的好处是能为其上的各种应用提供安全服务 提供了更加细化的基于进程对进程的安全服务 这样现有的和未来的应用可以很方便地得到安全服务 而且在传输层的安全服务内容有变化时 只要接口不变 应用程序就不必改动 缺点 由于传输层很难获取关于每个用户的背景数据 实施时通常假定只有一个用户使用系统 所以很难满足针对每个用户的安全需求 网络层提供安全服务的特点 在端系统和路由器上都可以实现 优点 主要优点是透明性 能提供主机对主机的安全服务 不要求传输层和应用层做改动 也不必为每个应用设计自己的安全机制 其次是网络层支持以子网为基础的安全 子网可采用物理分段或逻辑分段 因而可很容易实现VPN和内联网 防止对网络资源的非法访问 第三个方面是由于多种传送协议和应用程序可共享由网络层提供的密钥管理架构 密钥协商的开销大大降低 缺点 无法实现针对用户和用户数据语义上的安全控制 数据链路层提供安全服务的特点 在链路的两端实现 优点 整个分组 包括分组头信息 都被加密 保密性强 缺点 使用范围有限 只有在专用链路上才能很好地工作 中间不能有转接点 计算机信息系统 computerinformationsystem 由计算机及其相关的和配套的设备 设施 含网络 构成的 按照一定的应用目标和规则对信息进行采集 加工 存储 传输 检索等处理的人机系统 安全周界 securityperimeter 用半径来表示的空间 该空间包围着用于处理敏感信息的设备 并在有效的物理和技术控制之下 防止未授权的进入或敏感信息的泄露 基本定义及术语 可信计算基 trustedcomputingbase TCB 计算机系统内保护装置的总体 包括硬件 固件 软件和负责执行安全策略的组合体 它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务 安全策略 securitypolicy 对TCB中的资源进行管理 保护和分配的一组规则 简单地说就是用户对安全要求的描述 一个TCB中可以有一个或多个安全策略 安全模型 securitymodel 用形式化的方法来描述如何实现系统的机密性 完整性和可用性等安全要求 客体 object 系统中被动的主体行为承担者 对一个客体的访问隐含着对其所含信息的访问 客体的实体类型有记录 程序块 页面 段 文件 目录 目录树和程序 还有位 字节 字 字段 处理器 视频显示器 键盘 时钟 打印机和网络节点等 主体 subject 是这样的一种实体 它引起信息在客体之间的流动 通常 这些实体是指人 进程或设备等 一般是代表用户执行操作的进程 如编辑一个文件时 编辑进程是存取文件的主体 而文件是客体 参照监视器 referencemonitor 监督主体和客体之间授权访问关系的部件 安全内核 securitykernel 通过控制对系统资源的访问来实现基本安全规程的计算机系统的中心部分 标识与鉴别 identification authentication I A 用于保证只有合法用户才能进入系统 进而访问系统中的资源 访问控制 accesscontrol 限制已授权的用户 程序 进程或计算机网络中其他系统访问本系统资源的过程 访问控制列表 accesscontrollist ACL 与系统中客体相联系的 用来指定系统中哪些用户和组可以以何种模式访问该客体的控制列表 自主访问控制 discretionaryaccesscontrol DAC 用来决定一个用户是否有权限访问此客体的一种访问约束机制 该客体的所有者可以按照自己的意愿指定系统中的其他用户对此客体的访问权 敏感标记 sensitivitylabel 用以表示客体安全级别并描述客体数据敏感性的一组信息 在可信计算基中把敏感标记作为强制访问控制决策的依据 强制访问控制 mandatoryaccesscontrol MAC 用于将系统中的信息分密级和类进行管理 以保证每个用户只能够访问那些被标明可以由他访问的信息的一种访问约束机制 角色 role 系统中一类访问权限的集合 最小特权原理 leastprivilegeprinciple 系统中每一个主体只能拥有与其操作相符的必需的最小特权集 隐蔽通道 covertchannel 非公开的但让进程有可能以危害系统安全策略的方式传输信息的通信信道 审计 audit 一个系统的审计就是对系统中有关安全的活动进行记录 检查及审核 审计跟踪 audittrail 系统活动的流水记录 该记录按事件自始至终的途径 顺序 审查和检验每个事件的环境及活动 客体重用 objectreuse 对曾经包含一个或几个客体的存储介质 如页框 盘扇面 磁带 重新分配和重用 为了安全地进行重分配 重用 要求介质不得包含重分配前的残留数据 可信通路 trustedpath 终端人员能借以直接同可信计算基通信的一种机制 该机制只能由有关终端操作人员或可信计算基启动 并且不能被不可信软件模仿 多级安全 multilevelsecure MLS 一类包含不同等级敏感信息的系统 它既可供具有不同安全许可的用户同时进行合法访问 又能阻止用户去访问其未被授权的信息 鉴别 authentication 验证用户 设备和其他实体的身份 验证数据的完整性 授权 authorization 授予用户 程序或进程的访问权 保密性 confidentiality 为秘密数据提供保护方法及保护等级的一种特性 数据完整性 dataintegrity 信息系统中的数据与原始数据没有发生变化 未遭受偶然或恶意的修改或破坏时所具有的性质 漏洞 loophole 由软硬件的设计疏忽或失误导致的能避开系统安全措施的一类错误 安全配置管理 secureconfigurationmanagement 控制系统硬件与软件结构更改的一组规程 其目的是保证这种更改不违反系统的安全策略 安全要素 securityelement 国标GB17859 1999中 各安全等级所包含的安全内容的组成成分 比如自主存取控制 强制存取控制等 每一个安全要素在不同的安全等级中可以有不同的具体内容 安全功能 securityfunction 为实现安全要素的内容 正确实施相应安全策略所提供的功能 安全保证 securityassurance 为确保安全要素的安全功能的实现所采取的方法和措施 TCB安全功能 TCBsecurityfunction TSF 正确实施TCB安全策略的全部硬件 固件 软件所提供的功能 每一个安全策略的实现 组成一个安全功能模块 一个TCB的所有安全功能模块共同组成该TCB的安全功能 在跨网络的TCB中 一个安全策略的安全功能模块 可能会在网络环境下实现 可信计算机系统 trustedcomputersystem 一个使用了足够的硬件和软件完整性机制 能够用来同时处理大量敏感或分类信息的系统 操作系统安全 operatingsystemsecurity 操作系统无错误配置 无漏洞 无后门 无特洛伊木马等 能防止非法用户对计算机资源的非法存取 一般用来表达对操作系统的安全需求 操作系统的安全性 securityofoperatingsystem 操作系统具有或应具有的安全功能 比如存储保护 运行保护 标识与鉴别 安全审计等 安全操作系统 secureoperatingsystem 能对所管理的数据与资源提供适当的保护级 有效地控制硬件与软件功能的操作系统 就安全操作系统的形成方式而言 一种是从系统开始设计时就充分考虑到系统的安全性的安全设计方式 另一种是基于一个通用的操作系统 专门进行安全性改进或增强的安全增强方式 安全操作系统在开发完成后 在正式投入使用之前一般都要求通过相应的安全性评测 多级安全操作系统 multilevelsecureoperatingsystem 实现了多级安全策略的安全操作系统 比如符合美国橘皮书 TCSEC B1级以上的安全操作系统 资源列表