计算机系统安全概述.ppt

1、计算机系统安全概述,李晓勇,课程内容,信息安全历史、概念和关系 安全攻击示例 安全模型 风险管理 安全体系 重要安全标准,ISO的定义： 为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和显露,信息安全概念,确保以电磁信号为主要形式的，在计算机网络化系统中进行获取、处理、存储、传输和利用的信息内容，在各个物理位置、逻辑区域、存储和传输介质中，处于动态和静态过程中的机密性、完整性、可用性、可审查性和抗抵赖性的，与人、网络、环境有关的技术和管理规程的有机集合。 戴宗坤 罗万伯 信息系统安全,信息系统安全概念,信息安全的发展历史,信息安全

2、的发展经历了三个历史时期： 通信安全（COMSEC） 保密性。 信息安全（INFOSEC） 保密性、完整性、可用性。 信息保障（IA） 保密性、完整性、可用性、可控性、不可否认性,Confidentiality integrity availability,方滨兴院士,方滨兴院士,方滨兴院士,信息安全内容,不统一： ISO/IEC17799 ISO/IEC 15408 ISO/IEC TR13335 ISO7498-2,ISO/IEC 17799,信息安全内容: 保密性（Confidentiality) 完整性（Integrity) 可用性（Availability,ISO/IEC TR 13

3、335-1,安全内容: Confidentiality (保密性) Integrity(完整性) Availability (可用性) Non-repudiation(不可抵赖性) Accountability(可追踪性) Authentity & Reliability (真实性和可靠性,ISO 7498-2,信息安全服务: 认证 访问控制 保密性 完整性 不可否认性,方滨兴院士,方滨兴院士,保证机密信息不会泄露给非授权的人或实体，或供其使用的特性 案例,保密性,防止信息被未经授权的篡改，保证真实的信息从真实的信源无失真地到达真实的信宿 案例,完整性,保证信息及信息系统确实为授权使用者所用，

4、防止由于计算机病毒或其它人为因素造成的系统拒绝服务，或为敌手可用，信息系统能够在规定的条件下和规定的时间内完成规定的功能 案例,可用性,能对通信实体身份的真实性进行鉴别 案例,身份真实性,能够控制使用资源的人或实体的使用方式 案例,系统可控性,建立有效的责任机制，防止实体否认其行为 案例,不可抵赖性,对出现的网络安全问题提供调查的依据和手段 案例,可审查性,安全要素： 资产 弱点 威胁 风险 安全控制,信息安全认识,信息安全风险管理:以资产为核心,信息安全管理：以风险管理为基础,ISO/IEC 15408：安全概念,信息安全风险评估指南：安全概念,NIST SP800-33,安全目标 可用性

5、完整性 保密性 可追踪性 保证性,安全目标的依赖关系,安全服务模型,可用性服务,完整性服务,保密性服务,可追踪性服务,保证服务,课程内容,信息安全历史、概念和关系 安全攻击示例 安全模型 风险管理 安全体系 重要安全标准,攻击过程示例,演示1,演示2,攻击过程总结,踩点 攻击 留下暗门 消灭踪迹（没做好） ././././信息安全储备/攻防/服务器安全技巧：Unix系统的攻击和防范%20%20DOSERV_com%20服务器在线.htm,演示3,可能破坏,讨论,攻击分析,攻击者 动机 能力和机会 攻击种类,攻击者,恶意 国家 黑客 恐怖分子/计算机恐怖分子 有组织犯罪 其它犯罪成员 国际新闻社

6、 工业竞争 不满雇员 非恶意 粗心或未受到良好培训的雇员,动机,获取机密或敏感数据的访问权 跟踪或监视目标系统的运行（跟踪分析） 破坏目标系统的运行 窃取钱物、产品或服务 获取对资源的免费使用 使目标陷入窘境 攻克可击溃安全机制的技术挑战,攻击风险,暴露其进行其它类型攻击的能力 打草惊蛇，尤其是当可获取的攻击利益巨大时引起目标系统的防范 遭受惩罚（如罚款、坐牢等） 危及生命安全,攻击者愿意接受的风险级别取决于其攻击动机,能力和机会,能力因素 施展攻击的知识和技能 能否得到所需资源 机会 系统的漏洞、错误配置、未受保护环境 安全意识薄弱,我们不可能削弱攻击者的能力， 但可以减少其攻击机会,攻击种

7、类,被动攻击 主动攻击 临近攻击 内部人员攻击 分发攻击,攻击对策,课程内容,信息安全历史、概念和关系 安全攻击分析 安全模型 风险管理 安全体系 重要安全标准,基于时间的PDR安全模型,PProtection、DDetection、RReact,Pt Dt+ Rt，则该系统是安全的 Pt Dt+ Rt，则该系统是不安全的,且Et=(Dt+Rt)-Pt为安全暴露时间,所谓P2DR,所谓PDRR,WPDRRC模型,检测 D,恢复 R,保护 P,响应 R,人,操作,技术,预警 W,反击 C,模型的价值,用户： 提高安全认识 厂商: 围绕利益,小结,安全概念 安全认识 安全模型,课程内容,信息安全历

8、史、概念和关系 安全攻击示例 安全模型 风险管理 安全体系 重要安全标准,风险,风险是可能性和影响的函数，前者指给定的威胁源利用一个特定的潜在脆弱性的可能性，后者指不利事件对机构产生的影响。 为了确定未来的不利事件发生的可能性，必须要对IT系统面临的威胁、可能的脆弱性以及IT系统中部署的安全控制一起进行分析。影响是指因为一个威胁攻击脆弱性而造成的危害程度,风险管理,信息安全某种程度上就是风险管理过程。 风险管理过程包含哪些,风险管理过程,风险评估 风险减缓 评价与评估,风险评估,风险评估是风险管理方法学中的第一个过程。机构应使用风险评估来确定潜在威胁的程度以及贯穿整个SDLC中的IT相关风险。

9、 该过程的输出可以帮助我们确定适当的安全控制，从而在风险减缓过程中减缓或消除风险,风险评估步骤,风险减缓,课程内容,信息安全历史、概念和关系 安全攻击示例 安全模型 风险管理 安全体系 重要安全标准,ISO7498-2：信息安全体系结构,信息处理系统开放系统互连基本参考模型 第二部分：安全体系结构 1989.2.15颁布，确立了基于OSI参考模型的七层协议之上的信息安全体系结构 五类服务 认证、访问控制、保密性、完整性、不可否认性 八种机制 加密、数字签名、访问控制、数据完整性、认证交换、业务流填充、路由控制、公证 OSI安全管理,五大类安全服务,认证 对等实体认证 数据起源认证 访问控制 机

10、密性 连接机密性 无连接机密性 选择字段机密性 业务流机密性,完整性 可恢复的连接完整性 不可恢复的连接完整性 选择字段的连接完整性 无连接完整性 选择字段的无连接完整性 抗否认 数据起源的抗否认 传递过程的抗否认,八类安全机制,加密 数字签名 访问控制 数据完整性 认证交换 业务流填充 路由控制 公证,另有 可信功能模块 安全标记 事件检测 安全审计追踪 安全恢复,机制与实现的安全服务,机制与实现的安全服务（续,表示机制适合提供该种服务，空格表示机制不适合提供该种服务,安全服务与层之间的关系,安全服务与层之间的关系（续,表示该服务应该在相应的层中提供，空格表示不提供,IATF,Informa

11、tion Assurance Technical Framework 美国国家安全局,深层防御战略（Defense-In-Depth,深层防御的技术层面,深层防御战略的含义,层次化、多样性 人、操作、技术 网络边界、网络、主机 预警、保护、检测、反应、恢复 在攻击者成功地破坏了某个保护机制的情况下，其它保护机制能够提供附加的保护。 采用层次化的保护策略并不意味着需要在网络体系结构的各个可能位置实现信息保障机制，通过在主要位置实现适当的保护级别，便能够依据各机构的特殊需要实现有效保护,课程内容,信息安全历史、概念和关系 安全攻击示例 安全模型 风险管理 安全体系 重要安全标准,标准的重要性,知识

12、性：了解安全背景 指南性：指导实践 沟通性：,彩虹系列,The rainbow series is a library of about 37 documents that address specific areas of computer security. Each of the documents is a different color, which is how they became to be refereed to as the Rainbow Series. The primary document of the set is the Trusted Computer Sy

13、stem Evaluation Criteria (5200.28-STD, Orange Book), dated December 26, 1985. This document defines the seven different levels of trust that a product can achieve under the Trusted Product Evaluation Program (TPEP) within NSA. Some of the titles include, Password Management, Audit, Discretionary Acc

14、ess Control, Trusted Network Interpretation, Configuration Management, Identification and Authentication, Object Reuse and Covert Channels. A new International criteria for system and product evaluation called the International Common Criteria (ICCC) has been developed for product evaluations. The T

15、CSEC has been largely superceded by the International Common Criteria, but is still used for products that require a higher level of assurance in specific operational environments. Most of the rainbow series documents are available on-line,TCSEC,在TCSEC中，美国国防部按处理信息的等级和应采用的响应措施，将计算机安全从高到低分为：A、B、C、D四类八

16、个级别，共27条评估准则 随着安全等级的提高，系统的可信度随之增加，风险逐渐减少,TCSEC,四个安全等级： 无保护级 自主保护级 强制保护级 验证保护级,TCSEC,D类是最低保护等级，即无保护级 是为那些经过评估，但不满足较高评估等级要求的系统设计的，只具有一个级别 该类是指不符合要求的那些系统，因此，这种系统不能在多用户环境下处理敏感信息,TCSEC,C类为自主保护级 具有一定的保护能力，采用的措施是自主访问控制和审计跟踪 一般只适用于具有一定等级的多用户环境 具有对主体责任及其动作审计的能力,TCSEC,C类分为C1和C2两个级别: 自主安全保护级（C1级) 控制访问保护级（C2级,T

17、CSEC,B类为强制保护级 主要要求是TCB应维护完整的安全标记，并在此基础上执行一系列强制访问控制规则 B类系统中的主要数据结构必须携带敏感标记 系统的开发者还应为TCB提供安全策略模型以及TCB规约 应提供证据证明访问监控器得到了正确的实施,TCSEC,B类分为三个类别： 标记安全保护级（B1级） 结构化保护级（B2级） 安全区域保护级（B3级,TCSEC,A类为验证保护级 A类的特点是使用形式化的安全验证方法，保证系统的自主和强制安全控制措施能够有效地保护系统中存储和处理的秘密信息或其他敏感信息 为证明TCB满足设计、开发及实现等各个方面的安全要求，系统应提供丰富的文档信息,TCSEC,

18、A类分为两个类别： 验证设计级（A1级） 超A1级,ISO/IEC 15408,IT安全评估通用准则(Common Criteria for Information Technology Security Evaluation) ISO/IEC JTC 1SC27 WG3,ISO/IEC 15408的历史,ISO/IEC 15408的背景,ISO/IEC JTC1 SC27 WG3（国际标准化组织和国际电工委员会的联合技术委员会） WG1：信息安全有关的需求、服务和指南 WG2：信息安全技术和机制 WG3：信息安全评估标准 六国七方共同提出： Canada: Communications Se

19、curity Establishment France: Service Central de la Scurit des Systmes dInformation Germany: Bundesamt fr Sicherheit in der Informationstechnik Netherlands: Netherlands National Communications Security Agency United Kingdom: Communications-Electronics Security Group United States: National Institute

20、of Standards and Technology United States: National Security Agency,ISO/IEC 15408的相关组织,CCEB: CC Editorial Board ,V1.0 CCIB: CC Implememtation Board,V2.0 CCIMB: CC Interpretations Management Board , responsible for interpretations of Version 2.0 在ISO中的正式名称是“信息技术安全评价标准,ISO/IEC 15408标准的组成,包括三个部分： 简介和一般

21、模型 安全功能要求 安全保障要求,ISO/IEC 15408的作用,要求和规范的导出,ISO/IEC 17799,信息安全管理准则 (Information Technology Code of Practice for Information Security Management) ISO/IEC JTC 1SC27,WG 1,ISO/IEC 17799的背景,ISO/IEC JTC1 SC27 （国际标准化组织和国际电工委员会的联合技术委员会） WG1：信息安全有关的需求、服务和指南 WG2：信息安全技术和机制 WG3：信息安全评估标准 源于BSI（英国标准学会）的BS7799 ： 77

22、99-1（第一部分）：信息安全管理准则 7799-2（第二部分）：信息安全管理系统规范。 ISO/IEC17799的当前版本（不久它就会出新版本）是完全基于BS7799-1的,ISO/IEC 17799,目的 为信息安全管理提供建议，供那些在其机构中负有安全责任的人使用。它旨在为一个机构提供用来制定安全标准、实施有效的安全管理时的通用要素，并得以使跨机构的交易得到互信,ISO/IEC 17799版本对比,ISO/IEC 17799:2005较早期版本做了一定的修订，对原有的11个控制进行了修改，保留了116个原有控制，增加了17个新的控制（共计133个控制），增加了8个新的控制目标（共计39个

23、控制目标），5个控制目标进行了重新的调整,ISO/IEC 2700X系列标准,2005年10月，BS 7799-2信息安全管理体系规范成功升级为国际标准，编号为ISO/IEC 27001。 ISO/IEC 27001是信息安全管理体系（ISMS）的规范说明，它解释了如何应用ISO/IEC 17799。其重要性在于它提供了认证执行的标准，且包括必要文档的列表。 ISO/IEC 17799则同时被国际标准化组织重新编号为ISO/IEC 27002。它提供了计划和实现流程的指导，该标准也提出了一系列的控制（安全措施）。 GBT 22080-2008信息技术 安全技术 信息安全管理体系 要求（等同采用

24、ISO/IEC 27001:2005） GBT 22081-2008信息技术 安全技术 信息安全管理实用规则（代替GB/T 19716-2005，等同采用ISO/IEC 27002:2005,ISO/IEC 2700X系列标准,过程方法,ISO 27001 采用过程方法，组织需要对很多行为加以确定和管理，以使其有效作用,ISMS的PDCA模型,Plan, Do, Check, Act 适用于所有ISMS过程的结构中,ISO/IEC 2700X要求,组织应该在整体业务活动中且在所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的ISMS，并采用PDCA模型,ISO/IEC 2700

25、X安全控制目标,ISO/IEC TR 13335,IT安全管理指南(Information Technology - Guidelines for Manangement of IT Security) ISO/IEC JTC 1SC27,WG 1,ISO/IEC TR 13335的背景,ISO/IEC JTC1 SC27 （国际标准化组织和国际电工委员会的联合技术委员会） WG1：信息安全有关的需求、服务和指南 WG2：信息安全技术和机制 WG3：信息安全评估标准 Guidelines for the Management of IT Security (GMITS)：信息技术安全管理方针

26、TR:Technical Report (技术报告,ISO/IEC TR 13335,为IT安全管理方面提供指南而非解决方案 定义和描述IT安全管理关联的概念 标识IT安全管理和一般IT管理的关系 提供能用于解释IT安全的一些模型 为IT安全管理提供一般性指南,SSE-CMM,系统安全工程-能力成熟模型 (Systems Security Engineering - Capability Maturity Model,SSE-CMM的背景,SSE-CMM起源于1993年4月美国国家安全局(NSA)对当时各类能力成熟模型(CMM)工作状况的研究以判断是否需要一个专门应用于安全工程的CMM。在这个

27、构思阶段，确定了一个初步的安全工程CMM(strawman Security Engineering CMM)作为这个判断过程的基础。 1995年1月，各界信息安全人士被邀请参加第一届公开安全工程CMM工作讨论会。来自60多个组织的代表肯定了这种模型的需求。由于信息安全业界的兴趣，在会议中成立了项目工作组，这标志着安全工程CMM开发阶段的开始。项目工作组的首次会议在1995年3月举行。通过SSE-CMM指导组织、创作组织和应用工作组织的工作，完成了模型和认定方法的工作。1996年10月出版了SSE-CMM模型的第一个版本，1997年4月出版了评定方法的第一个版本。 为了验证这个模型和评估方法，

28、从1996年6月到1997年6月进行许多实验项目。这些实验项为出版的模型和评估方法1.1版提供了宝贵的数据。在实验项目中，模型的第一个版本用于评估了两个大型系统集成商，两个服务供应商和一个产品厂商。实验项目涉及到为验证这个模型的各种组织机构，其中包括：不同规模的组织；合同驱动系统开发的组织和市场驱动产品开发的组织；高开发保证要求的组织和低开发保证要求的组织；提供开发、实施和服务的组织。 1997年7月，召开了第二届公开系统安全工程CMM工作会议。这次会议主要涉及到模型的应用，特别在采购，过程改进，产品和系统质量保证等方面的应用。这次会议文集可通过SSE-CMM的WEB站点上获得。在这次会议上，

29、确定了需解决得问题并成立了新得项目组织来直接解决这些问题,SSE-CMM的相关组织,SSE-CMM项目进展来自于安全工程业界、美国国防部办公室和加拿大通讯安全机构积极参与和共同的投入，并得到NSA的部分赞助和配合。 SSE-CMM项目结构包括： 指导组 评定方法组 模型维护组 生命期支持组 轮廓，保证和度量组 赞助，规划和采用组 关键人员评审和业界评审,能力成熟模型,NIST SP800,FISMA LegislationOverview,Each Federal agency shall develop, document, and implement an agency-wide information security program to provide information security for the information and information systems that support the operations