计算机系统安全概述

1、计算机系统安全概述1 计算机系统安全概述 计算机系统安全概述2 课程内容 信息安全历史、概念和关系 安全攻击示例 安全模型 风险管理 安全体系 重要安全标准 计算机系统安全概述3 ISO的定义： 为数据处理系统建立和采取的技术和管理的安全保护， 保护计算机硬件、软件和数据不因偶然和恶意的原因 而遭到破坏、更改和显露。 信息安全概念 计算机系统安全概述4 确保以电磁信号为主要形式的，在计算机网络化 系统中进行获取、处理、存储、传输和利用的信 息内容，在各个物理位置、逻辑区域、存储和传 输介质中，处于动态和静态过程中的机密性、完 整性、可用性、可审查性和抗抵赖性的，与人、 网络、环境有关的技术和管

2、理规程的有机集合。 戴宗坤 罗万伯 信息系统安全 信息系统安全概念 计算机系统安全概述5 信息安全的发展历史 信息安全的发展经历了三个历史时期： 通信安全（COMSEC） 保密性。 信息安全（INFOSEC） 保密性、完整性、可用性。 信息保障（IA） 保密性、完整性、可用性、可控性、不可否认性 Confidentiality integrity availability 计算机系统安全概述6 方滨兴院士 计算机系统安全概述7 方滨兴院士 计算机系统安全概述8 方滨兴院士 计算机系统安全概述9 信息安全内容 不统一： ISO/IEC17799 ISO/IEC 15408 ISO/IEC TR1

3、3335 ISO7498-2 。 计算机系统安全概述10 ISO/IEC 17799 信息安全内容: 保密性（Confidentiality) 完整性（Integrity) 可用性（Availability) 计算机系统安全概述11 ISO/IEC TR 13335-1 安全内容: Confidentiality (保密性) Integrity(完整性) Availability (可用性) Non-repudiation(不可抵赖性) Accountability(可追踪性) Authentity & Reliability (真实性和可靠性) 计算机系统安全概述12 ISO 7498-2

4、信息安全服务: 认证 访问控制 保密性 完整性 不可否认性 计算机系统安全概述13 方滨兴院士 计算机系统安全概述14 方滨兴院士 计算机系统安全概述15 保证机密信息不会泄露给非授权的人或实体， 或供其使用的特性 案例 保密性 计算机系统安全概述16 防止信息被未经授权的篡改，保证真实的信 息从真实的信源无失真地到达真实的信宿 案例 完整性 计算机系统安全概述17 保证信息及信息系统确实为授权使用者所用， 防止由于计算机病毒或其它人为因素造成的 系统拒绝服务，或为敌手可用，信息系统能 够在规定的条件下和规定的时间内完成规定 的功能 案例 可用性 计算机系统安全概述18 能对通信实体身份的真实

5、性进行鉴别 案例 身份真实性 计算机系统安全概述19 能够控制使用资源的人或实体的使用方式 案例 系统可控性 计算机系统安全概述20 建立有效的责任机制，防止实体否认其行为 案例 不可抵赖性 计算机系统安全概述21 对出现的网络安全问题提供调查的依据和手段 案例 可审查性 计算机系统安全概述22 安全要素： 资产 弱点 威胁 风险 安全控制 信息安全认识 计算机系统安全概述23 信息安全风险管理:以资产为核心 计算机系统安全概述24 信息安全管理：以风险管理为基础 计算机系统安全概述25 ISO/IEC 15408：安全概念 计算机系统安全概述26 信息安全风险评估指南：安全概念 计算机系统安

6、全概述27 NIST SP800-33 安全目标 可用性 完整性 保密性 可追踪性 保证性 计算机系统安全概述28 安全目标的依赖关系 计算机系统安全概述29 安全服务模型 计算机系统安全概述30 可用性服务 计算机系统安全概述31 完整性服务 计算机系统安全概述32 保密性服务 计算机系统安全概述33 可追踪性服务 计算机系统安全概述34 保证服务 计算机系统安全概述35 课程内容 信息安全历史、概念和关系 安全攻击示例 安全模型 风险管理 安全体系 重要安全标准 计算机系统安全概述36 攻击过程示例 计算机系统安全概述37 演示1 演示2 计算机系统安全概述38 攻击过程总结 踩点 攻击

7、留下暗门 消灭踪迹（没做好） ././././信息安全储备/攻防/服务器安全技巧： Unix系统的攻击和防范 %20%20DOSERV_com%20服务器在 线.htm 计算机系统安全概述39 ？ 演示3 计算机系统安全概述40 可能破坏？ 讨论 计算机系统安全概述41 攻击分析 攻击者 动机 能力和机会 攻击种类 计算机系统安全概述42 攻击者 恶意 国家 黑客 恐怖分子/计算机恐怖分子 有组织犯罪 其它犯罪成员 国际新闻社 工业竞争 不满雇员 非恶意 粗心或未受到良好培训的雇员 计算机系统安全概述43 动机 获取机密或敏感数据的访问权 跟踪或监视目标系统的运行（跟踪分析） 破坏目标系统的运

8、行 窃取钱物、产品或服务 获取对资源的免费使用 使目标陷入窘境 攻克可击溃安全机制的技术挑战 计算机系统安全概述44 攻击风险 暴露其进行其它类型攻击的能力 打草惊蛇，尤其是当可获取的攻击利益 巨大时引起目标系统的防范 遭受惩罚（如罚款、坐牢等） 危及生命安全 攻击者愿意接受的风险级别取决于其攻击动机 计算机系统安全概述45 能力和机会 能力因素 施展攻击的知识和技能 能否得到所需资源 机会 系统的漏洞、错误配置、未受保护环境 安全意识薄弱 我们不可能削弱攻击者的能力， 但可以减少其攻击机会 计算机系统安全概述46 攻击种类 被动攻击 主动攻击 临近攻击 内部人员攻击 分发攻击 计算机系统安全

9、概述47 攻击对策 攻击种类攻击种类典型对策典型对策 被动攻击VPN，网络加密、使用受到保护的分布式网络 主动攻击边界保护（如防火墙）、基于身份认证的访问控制、受保 护的远程访问、质量安全管理、病毒检测、审计、入侵检 测 临近攻击 内部人员攻击安全意识培训、审计、入侵检测、安全策略及强制实施、 基于计算机和网络组件中信任技术对关键数据/服务器/局 域网实施专业的访问控制、强的身份标识和鉴别技术 分发攻击加强对过程其间的配置控制、使用受控分发、签名软件、 访问控制 计算机系统安全概述48 课程内容 信息安全历史、概念和关系 安全攻击分析 安全模型 风险管理 安全体系 重要安全标准 计算机系统安全

10、概述49 基于时间的PDR安全模型 PProtection、DDetection、RReact Pt Dt Rt 时间时间 Pt Dt+ Rt，则该系统是安全的 Pt Dt+ Rt，则该系统是不安全的,且Et=(Dt+Rt)-Pt为安全暴露时间 计算机系统安全概述50 所谓P2DR 计算机系统安全概述51 保护保护 Protect 检测检测 Detect 反应反应 React 恢复恢复 Restore IA 所谓PDRR 计算机系统安全概述52 WPDRRC模型 检测检测 D 恢复恢复 R 保护保护 P 响应响应 R 预警预警 W 反击反击 C 计算机系统安全概述53 模型的价值 用户： 提高

11、安全认识 厂商: 围绕利益 计算机系统安全概述54 小结 安全概念 安全认识 安全模型 计算机系统安全概述55 课程内容 信息安全历史、概念和关系 安全攻击示例 安全模型 风险管理 安全体系 重要安全标准 计算机系统安全概述56 风险 风险是可能性和影响的函数，前者指给定的威胁 源利用一个特定的潜在脆弱性的可能性，后者指 不利事件对机构产生的影响。 为了确定未来的不利事件发生的可能性，必须要 对IT系统面临的威胁、可能的脆弱性以及IT系统 中部署的安全控制一起进行分析。影响是指因为 一个威胁攻击脆弱性而造成的危害程度。 计算机系统安全概述57 风险管理 信息安全某种程度上就是风险管理过程。 风

12、险管理过程包含哪些？ 计算机系统安全概述58 风险管理过程 风险评估 风险减缓 评价与评估 计算机系统安全概述59 风险评估 风险评估是风险管理方法学中的第一个过程。机 构应使用风险评估来确定潜在威胁的程度以及贯 穿整个SDLC中的IT相关风险。 该过程的输出可以帮助我们确定适当的安全控制， 从而在风险减缓过程中减缓或消除风险。 计算机系统安全概述60 风 险 评 估 步 骤 计算机系统安全概述61 风险减缓 是 威胁源 & 系统设计 脆弱性 是 能被利用 吗？ 存在可发起攻 击的脆弱性 否 否 无风险 无风险 存在 威胁 攻 击 的 成 本 小 于获利 否 是 否 预期损 失大于 门限 无风

13、险 无风险 是 不可接受 的风险 计算机系统安全概述62 课程内容 信息安全历史、概念和关系 安全攻击示例 安全模型 风险管理 安全体系 重要安全标准 计算机系统安全概述63 ISO7498-2：信息安全体系结构 信息处理系统开放系统互连基本参考模型 第二部分：安全体系结构 1989.2.15颁布，确立了基于OSI参考模 型的七层协议之上的信息安全体系结构 五类服务 认证、访问控制、保密性、完整性、不可否认性 八种机制 加密、数字签名、访问控制、数据完整性、认证交 换、业务流填充、路由控制、公证 OSI安全管理 计算机系统安全概述64 五大类安全服务 认证 对等实体认证 数据起源认证 访问控制

14、 机密性 连接机密性 无连接机密性 选择字段机密性 业务流机密性 完整性 可恢复的连接完整性 不可恢复的连接完整性 选择字段的连接完整性 无连接完整性 选择字段的无连接完整性 抗否认 数据起源的抗否认 传递过程的抗否认 计算机系统安全概述65 八类安全机制 加密 数字签名 访问控制 数据完整性 认证交换 业务流填充 路由控制 公证 另有 可信功能模块 安全标记 事件检测 安全审计追踪 安全恢复 计算机系统安全概述66 机制与实现的安全服务 机制 服务 加 密 数 字 签 名 访 问 控 制 数 据 完 整 性 认 证 交 换 业 务 流 填 充 路 由 控 制 公 证 对等实体认证 数据起源认

15、证 访问控制服务 连接机密性 无连接机密性 选择字段机密 性 业务流机密性 计算机系统安全概述67 机制与实现的安全服务（续） 机制 服务 加 密 数 字 签 名 访 问 控 制 数 据 完 整 性 认 证 交 换 业 务 流 填 充 路 由 控 制 公 证 可恢复的连接完整性 不可恢复的连接完整性 选择字段的连接完整性 无连接完整性 选择字段的无连接完整 性 数据起源的抗否认 传递过程的抗否认 “”表示机制适合提供该种服务，空格表示机制不适合提供该种服务。 计算机系统安全概述68 安全服务与层之间的关系 分层 服务 物 理 层 链 路 层 网 络 层 传 输 层 会 话 层 表 示 层 应

16、用 层 对等实体认证 数据起源认证 访问控制服务 连接机密性 无连接机密性 选择字段机密性 业务流机密性 计算机系统安全概述69 安全服务与层之间的关系（续） 分层 服务 物 理 层 链 路 层 网 络 层 传 输 层 会 话 层 表 示 层 应 用 层 可恢复的连接完整性 不可恢复的连接完整性 选择字段的连接完整性 无连接完整性 选择字段的无连接完整 性 数据起源的抗否认 传递过程的抗否认 计算机系统安全概述70 IATF Information Assurance Technical Framework 美国国家安全局 计算机系统安全概述71 深层防御战略（Defense-In-Depth

17、） 计算机系统安全概述72 计算机系统安全概述73 深层防御的技术层面 网络传输设施网络传输设施 主机主机 互联网 边界路由边界路由 拨入服务器拨入服务器 网络边界网络边界 计算机系统安全概述74 深层防御战略的含义 层次化、多样性 人、操作、技术 网络边界、网络、主机 预警、保护、检测、反应、恢复 在攻击者成功地破坏了某个保护机制的情况下， 其它保护机制能够提供附加的保护。 采用层次化的保护策略并不意味着需要在网络 体系结构的各个可能位置实现信息保障机制， 通过在主要位置实现适当的保护级别，便能够 依据各机构的特殊需要实现有效保护。 计算机系统安全概述75 课程内容 信息安全历史、概念和关系

18、 安全攻击示例 安全模型 风险管理 安全体系 重要安全标准 计算机系统安全概述76 标准的重要性 知识性：了解安全背景 指南性：指导实践 沟通性： 。 计算机系统安全概述77 彩虹系列 The rainbow series is a library of about 37 documents that address specific areas of computer security. Each of the documents is a different color, which is how they became to be refereed to as the Rainbow S

19、eries. The primary document of the set is the Trusted Computer System Evaluation Criteria (5200.28-STD, Orange Book), dated December 26, 1985. This document defines the seven different levels of trust that a product can achieve under the Trusted Product Evaluation Program (TPEP) within NSA. Some of

20、the titles include, Password Management, Audit, Discretionary Access Control, Trusted Network Interpretation, Configuration Management, Identification and Authentication, Object Reuse and Covert Channels. A new International criteria for system and product evaluation called the International Common

21、Criteria (ICCC) has been developed for product evaluations. The TCSEC has been largely superceded by the International Common Criteria, but is still used for products that require a higher level of assurance in specific operational environments. Most of the rainbow series documents are available on-

22、line. 计算机系统安全概述78 TCSEC 在TCSEC中，美国国防部按处理信息的等级和应 采用的响应措施，将计算机安全从高到低分为： A、B、C、D四类八个级别，共27条评估准则 随着安全等级的提高，系统的可信度随之增加， 风险逐渐减少。 计算机系统安全概述79 TCSEC 四个安全等级： 无保护级 自主保护级 强制保护级 验证保护级 计算机系统安全概述80 TCSEC D类是最低保护等级，即无保护级 是为那些经过评估，但不满足较高评估等级要求 的系统设计的，只具有一个级别 该类是指不符合要求的那些系统，因此，这种系 统不能在多用户环境下处理敏感信息 计算机系统安全概述81 TCSEC

23、C类为自主保护级 具有一定的保护能力，采用的措施是自主访问控 制和审计跟踪 一般只适用于具有一定等级的多用户环境 具有对主体责任及其动作审计的能力 计算机系统安全概述82 TCSEC C类分为C1和C2两个级别: 自主安全保护级（C1级) 控制访问保护级（C2级） 计算机系统安全概述83 TCSEC B类为强制保护级 主要要求是TCB应维护完整的安全标记，并在此基 础上执行一系列强制访问控制规则 B类系统中的主要数据结构必须携带敏感标记 系统的开发者还应为TCB提供安全策略模型以及 TCB规约 应提供证据证明访问监控器得到了正确的实施 计算机系统安全概述84 TCSEC B类分为三个类别： 标

24、记安全保护级（B1级） 结构化保护级（B2级） 安全区域保护级（B3级） 计算机系统安全概述85 TCSEC A类为验证保护级 A类的特点是使用形式化的安全验证方法，保证系 统的自主和强制安全控制措施能够有效地保护系 统中存储和处理的秘密信息或其他敏感信息 为证明TCB满足设计、开发及实现等各个方面的安 全要求，系统应提供丰富的文档信息 计算机系统安全概述86 TCSEC A类分为两个类别： 验证设计级（A1级） 超A1级 计算机系统安全概述87 ISO/IEC 15408 IT安全评估通用准则(Common Criteria for Information Technology Securi

25、ty Evaluation) ISO/IEC JTC 1 SC27 WG3 计算机系统安全概述88 ISO/IEC 15408的历史 1985年 美国国防部可信 计算机评价准则 （TCSEC） 1991年 美国联邦政府 评价准则 （FC） 1990年 欧洲信息技术 安全性评价准则 （ITSEC） 1995年 国际通用准则 （CC） 1990年 加拿大可信计算机产品 评价准则 （CTCPEC） 1999年 CC成为国际标准 （ISO15408） 中国国家标准 GB/T 18336-2001 计算机系统安全概述89 ISO/IEC 15408的背景 ISO/IEC JTC1 SC27 WG3（国际

26、标准化组织和国际电工委员会的联合 技术委员会） WG1：信息安全有关的需求、服务和指南 WG2：信息安全技术和机制 WG3：信息安全评估标准 六国七方共同提出： Canada: Communications Security Establishment France: Service Central de la Scurit des Systmes dInformation Germany: Bundesamt fr Sicherheit in der Informationstechnik Netherlands: Netherlands National Communications Se

27、curity Agency United Kingdom: Communications-Electronics Security Group United States: National Institute of Standards and Technology United States: National Security Agency 计算机系统安全概述90 ISO/IEC 15408的相关组织 CCEB: CC Editorial Board ,V1.0 CCIB: CC Implememtation Board,V2.0 CCIMB: CC Interpretations Man

28、agement Board , responsible for interpretations of Version 2.0 在ISO中的正式名称是“信息技术安全评价标准” 计算机系统安全概述91 ISO/IEC 15408标准的组成 包括三个部分： 简介和一般模型 安全功能要求 安全保障要求 计算机系统安全概述92 ISO/IEC 15408的作用 客户开发人员评估人员 第一部分 用于了解背景信 息和参考。 PP的指导性结构。 用于了解背景信息， 开发安全要求和形成 TOE的安全规范的参 考。 用于了解背景信 息和参考目的。 PP和ST的指导性 结构。 第二部分 在阐明安全功能 要求的描述时

29、用 作指导和参考。 用于解释功能要求和 生成TOE功能规范的 参考。 当确定TOE是否有 效地符合已声明 的安全功能时， 用作评估准则的 强制性描述。 第三部分 用于指导保证需 求级别的确定 当解释保证要求描述 和确定TOE的保证措 施时，用作参考。 当确定TOE的保证 和评估PP和ST时， 用于评估准则的 强制描述。 计算机系统安全概述93 要求和规范的导出 计算机系统安全概述94 ISO/IEC 17799 信息安全管理准则 (Information Technology Code of Practice for Information Security Management) ISO/I

30、EC JTC 1 SC27,WG 1 计算机系统安全概述95 ISO/IEC 17799的背景 ISO/IEC JTC1 SC27 （国际标准化组织和 国际电工委员会的联合技术委员会） WG1：信息安全有关的需求、服务和指南 WG2：信息安全技术和机制 WG3：信息安全评估标准 源于BSI（英国标准学会）的BS7799 ： 7799-1（第一部分）：信息安全管理准则 7799-2（第二部分）：信息安全管理系统规范。 ISO/IEC17799的当前版本（不久它就会出新版本）是完全 基于BS7799-1的。 计算机系统安全概述96 ISO/IEC 17799 目的 为信息安全管理提供建议，供那些在

31、其机构中负有 安全责任的人使用。它旨在为一个机构提供用来制 定安全标准、实施有效的安全管理时的通用要素， 并得以使跨机构的交易得到互信 计算机系统安全概述97 ISO/IEC 17799版本对比 ISO/IEC 17799:2005较早期版本做了一定的修订，对 原有的11个控制进行了修改，保留了116个原有控制， 增加了17个新的控制（共计133个控制），增加了8个 新的控制目标（共计39个控制目标），5个控制目标 进行了重新的调整。 计算机系统安全概述98 ISO/IEC 2700X系列标准 2005年10月，BS 7799-2信息安全管理体系规范成功升级为国际 标准，编号为ISO/IEC

32、27001。 ISO/IEC 27001是信息安全管理体系（ISMS）的规范说明，它解释了 如何应用ISO/IEC 17799。其重要性在于它提供了认证执行的标准， 且包括必要文档的列表。 ISO/IEC 17799则同时被国际标准化组织重新编号为ISO/IEC 27002。 它提供了计划和实现流程的指导，该标准也提出了一系列的控制（安 全措施）。 GBT 22080-2008信息技术 安全技术 信息安全管理体系 要求 （等同采用ISO/IEC 27001:2005） GBT 22081-2008信息技术 安全技术 信息安全管理实用规则（代 替GB/T 19716-2005，等同采用ISO/I

33、EC 27002:2005） 计算机系统安全概述99 ISO/IEC 2700X系列标准 计算机系统安全概述100 过程方法 ISO 27001 采用过程方法，组织需要对很多行为 加以确定和管理，以使其有效作用。 计算机系统安全概述101 ISMS的PDCA模型 P Plan, D Do, C Check, A Act 适用于所有ISMS过程的结 构中 计算机系统安全概述102 ISO/IEC 2700X要求 组织应该在整体业务活动中且在所面临风险的环 境下建立、实施、运行、监视、评审、保持和改 进文件化的ISMS，并采用PDCA模型。 计算机系统安全概述103 ISO/IEC 2700X安全

34、控制目标 计算机系统安全概述104 ISO/IEC TR 13335 IT安全管理指南 (Information Technology - Guidelines for Manangement of IT Security) ISO/IEC JTC 1 SC27,WG 1 计算机系统安全概述105 ISO/IEC TR 13335的背景 ISO/IEC JTC1 SC27 （国际标准化组织和 国际电工委员会的联合技术委员会） WG1：信息安全有关的需求、服务和指南 WG2：信息安全技术和机制 WG3：信息安全评估标准 Guidelines for the Management of IT Se

35、curity (GMITS)：信息技术安全管理方 针 TR:Technical Report (技术报告) 计算机系统安全概述106 ISO/IEC TR 13335 为IT安全管理方面提供指南而非解决方案 定义和描述IT安全管理关联的概念 标识IT安全管理和一般IT管理的关系 提供能用于解释IT安全的一些模型 为IT安全管理提供一般性指南 计算机系统安全概述107 SSE-CMM 系统安全工程-能力成熟模型 (Systems Security Engineering - Capability Maturity Model) 计算机系统安全概述108 SSE-CMM的背景 SSE-CMM起源于

36、1993年4月美国国家安全局(NSA)对当时各类能力成熟模型(CMM)工 作状况的研究以判断是否需要一个专门应用于安全工程的CMM。在这个构思阶段， 确定了一个初步的安全工程CMM(strawman Security Engineering CMM)作为这个 判断过程的基础。 1995年1月，各界信息安全人士被邀请参加第一届公开安全工程CMM工作讨论会。 来自60多个组织的代表肯定了这种模型的需求。由于信息安全业界的兴趣，在会 议中成立了项目工作组，这标志着安全工程CMM开发阶段的开始。项目工作组的 首次会议在1995年3月举行。通过SSE-CMM指导组织、创作组织和应用工作组织的 工作，完成

37、了模型和认定方法的工作。1996年10月出版了SSE-CMM模型的第一个 版本，1997年4月出版了评定方法的第一个版本。 为了验证这个模型和评估方法，从1996年6月到1997年6月进行许多实验项目。这 些实验项为出版的模型和评估方法1.1版提供了宝贵的数据。在实验项目中，模 型的第一个版本用于评估了两个大型系统集成商，两个服务供应商和一个产品厂 商。实验项目涉及到为验证这个模型的各种组织机构，其中包括：不同规模的组 织；合同驱动系统开发的组织和市场驱动产品开发的组织；高开发保证要求的组 织和低开发保证要求的组织；提供开发、实施和服务的组织。 1997年7月，召开了第二届公开系统安全工程CM

38、M工作会议。这次会议主要涉及到 模型的应用，特别在采购，过程改进，产品和系统质量保证等方面的应用。这次 会议文集可通过SSE-CMM的WEB站点上获得。在这次会议上，确定了需解决得问题 并成立了新得项目组织来直接解决这些问题。 计算机系统安全概述109 SSE-CMM的相关组织 SSE-CMM项目进展来自于安全工程业界、美国国防部办公 室和加拿大通讯安全机构积极参与和共同的投入，并得到 NSA的部分赞助和配合。 SSE-CMM项目结构包括： 指导组 评定方法组 模型维护组 生命期支持组 轮廓，保证和度量组 赞助，规划和采用组 关键人员评审和业界评审 计算机系统安全概述110 能力成熟模型 计算机系统安全概述111 NIST SP800