信息保障和安全

1、信息保障和安全教师教师孙达志联系方式联系方式教学网页教学网页http:/ 5%; 实验: 15%; 考试: 80% 参考书参考书 1 Charles P. Pfleeger, Shari Lawrence Pfleeger, Security in Computing, Fourth Edition, Prentice-Hall, 2006 2 William Stallings, Cryptography and Network Security, Fourth Edition, Prentice-Hall, 2005 3 Alfred J. Menezes, Paul C. van Oor

2、schot, Scott A. Vanstone, Handbook of Applied Cryptography, CRC Press, 1997 4 胡道元, 闵京华, 网络安全, 清华大学出版社, 2008第1章 计算中的安全问题本章要点r 计算中的安全威胁r 安全计算的目标r 计算有关的脆弱点r 控制安全威胁的手段1.1 “安全”意味着什么?1.1.1 保护有价物品与信息特点银行保护资金人们保护信息规模和可移动性 存钱的地点庞大、笨重、根本不能移动存储信息的设备小且可移动避免物理接触的能力困难简单资源价值非常高不同，有的非常高，有的很低表1.1 保护钱财和保护信息1.1.2 计算机入

3、侵的特点 计算系统计算系统(computing system)是指硬件、软件、存储介质、数据以及执行计算任务的人所组成的一个集合。 # 计算系统的任何部分都可能成为犯罪目标。认为一个计算系统的某些部分对局外人来说是没有价值的观念，常常是错误的。1.1.2 计算机入侵的特点(续) 最易渗透原则最易渗透原则(principle of easiest penetration)：入侵者总是企图利用任何可能的入侵手段。这种入侵没有必要通过显而易见的手段，也没有必要针对安装有最可靠的防御系统，当然更没有必要是我们想要入侵者采取的方式。 # 这条原则暗示计算机安全工作人员必须考虑所有可能的入侵方式。当系统及

4、其安全措施发生改变时，入侵分析必须反复进行。千万不要相信：所有攻击都是在限度之内的。1.2 攻击 1.2.1 脆弱点、威胁、攻击和控制 计算机系统有三个独立有价值的部分：硬件硬件(hardware)、软件软件(software)和数据数据(data)。 脆弱点脆弱点(vulnerability)是安全系统中的缺陷，如设计或实现中的缺陷，它能被攻击者利用来进行破坏活动。 对计算系统的威胁威胁(threat)指的是能潜在引起系统损失和伤害的一组特定事件。 攻击者利用系统的脆弱点对系统进行攻击攻击(attack)。 控制控制(control)是一些动作、装置、程序或技术，它能消除或减少脆弱点。1.2

5、.1 脆弱点、威胁、攻击和控制(续)图1.1 脆弱点、威胁和控制三者的关系：通过控制脆弱点来阻止威胁 1.2.1 脆弱点、威胁、攻击和控制(续) 可将威胁分为以下4类： 截取截取(interception)指某未授权方获得了访问资源的权利。 中断中断(interruption)指系统资源丢失、不可得或不可用。 篡改篡改(modification)指未授权方不仅访问了资源而且修改了其内容。 伪造伪造(fabrication)未授权方可能在计算系统中创建假冒对象。1.2.1 脆弱点、威胁、攻击和控制(续)图1.2 计算系统安全威胁1.2.2 方法、机会和动机 攻击者必须具备以下三点： 方法方法：技

6、巧、知识、工具和能够成功实现攻击的其他方面。 机会机会：完成攻击的时间入口。 动机动机：想要攻击这个系统的原因。 缺少三个中的任何一个都不会发生攻击，但是，要阻止其中任何一个也是很困难的。1.3 计算机安全的含义 1.3.1 安全目标 计算机安全的三个重要方面： 机密性机密性(confidentiality)确保计算机资源仅被合法用户访问。 完整性完整性(integrity)指所有资源只能由授权方或以授权的方式进行修改。 可用性可用性(availability)指所有资源在适当的时候可以被授权方访问。1.3.1 安全目标(续)图 1.3 机密性、完整性和可用性之间的关系#目标是在三个性质之间寻

7、找平衡点，但平衡并不是一切。 1.3.1 安全目标(续) 机密性：机密性是我们最为了解的安全性质，与现实生活中的机密保护有很多相似之处，但保护机密性也是困难的。 完整性：一项是完整的常指该项：精确的、准确的、未被修改的，只能以允许的方式修改、只能被授权用户修改、只能被授权过程修改，一致的、内部一致的、有意义和可用的。完整性具有三个特殊方面：被授权行为；资源分离和保护；以及错误的检测和纠正。 1.3.1 安全目标(续) 可用性：可用性可用于数据和服务，它很复杂，不同的人对可用性的要求是不同的。如果对我们的请求及时响应、公平分配资源不存在特惠用户、服务和系统遵循容错原理，当软硬件故障时，服务以可接

8、受的方式终止而不是突然崩溃和信息丢失、服务和系统便于使用、支持同时访问、死锁管理和独占式访问，那么我们说一个数据项、服务或系统可用。可用性的全面实现是安全的下一个巨大挑战。1.3.2 脆弱点 从系统的三类资源的应用中来研究脆弱点，比直接从安全目标入手要容易得多。1.3.2 脆弱点(续) (1) 硬件脆弱点：由于可以看见哪些设备挂在系统上，所以一种简单的攻击是增加设备、变更设备、删除设备、截取通信或用大量信息阻塞它们使其丧失处理能力。 “无意的机器屠杀”通常不会对其涉及的硬件构成严重损害，有意识地破坏计算机硬件的 “有意的机器破坏”或“机器自毁”危害更大，但有时通过简单的物理措施就能大大加强硬件

9、安全。但便携式计算设备的安全令人堪悠。1.3.2 脆弱点(续) (2) 软件脆弱点：软件可以被恶意替换、改变或破坏，也可以被意外篡改或错放。物理设备被破坏一般都有明显痕迹，但软件若丢失一行源代码或目标代码却不可能留下明显痕迹。更有甚者，恶意入侵者可以“增强” 软件功能。 软件删除软件删除：配置管理(configuration management)程序可以精确地控制访问软件，使得软件不会被意外删除、破坏和替换。 软件篡改软件篡改：软件对错误非常敏感，一位的错误都可能导致系统崩溃；“逻辑炸弹逻辑炸弹”(logic bomb)可以使软件在大多数时间都可以工作，只在特定情况时才出错；另一种就是功能扩

10、展，使程序具有难于察觉的功能。1.3.2 脆弱点(续) 其他类型的软件篡改包括： 特洛伊木马特洛伊木马(trojan horse)：指一个程序，明面上完成一项工作，而暗地里做另外的工作。 病毒病毒(virus)：特洛伊木马的一种，它能在计算机之间传播“感染”。 陷门陷门(trapdoor)：有秘密入侵点的程序。 程序中的信息泄露信息泄露(information leaks)：允许非授权用户和程序对信息具有访问权的代码。 软件窃取软件窃取 如软件盗版。1.3.2 脆弱点(续) (3) 数据脆弱性：硬件一般只涉及硬件放置处的小部分人员，软件则主要涉及计算机专业人员，而数据则更具公众价值。但评价数据

11、的价值困难，通常是有上下文的数据就有一有上下文的数据就有一定价值定价值。一般来说，软硬件有相对长的生命周期，价值也会逐渐降低，而数据价值与时间的确切关系则难预见得多。 1.3.2 脆弱点(续) 数据安全提出了计算机安全的第二条原则： 适度保护原则适度保护原则(principle of adequate protection)：计算机资源项在失去价值前必须被保护。被保护的程度程度与其价值价值是一致一致的。 # 这种短期保护窗口的概念主要应用于数据，但在某些情况下也可应用于软件与硬件。1.3.2 脆弱点(续)图 1.5 数据安全1.3.2 脆弱点(续) 数据机密性数据机密性：由于数据经常表现为人们

12、能够阅读的形式，所以数据的机密性是计算机安全中的一个关键问题。需要保护数据的形式多种多样：有计算机数据、CD-DVD中的记录、网络电话上的数字信号、有线和卫星电视、生物特征标识、网上行为参数等。 数据完整性：数据完整性：篡改数据需要了解数据传输、存储以及数据格式。导致这类问题的原因有：恶意程序、错误的文件系统工具和有缺陷的通信工具等。数据对于篡改特别脆弱，普通方法可能检测不到微小改动，如salami攻击；复杂的攻击可能试图对用过的数据进行再处理，如重放攻击。1.3.2 脆弱点(续) (4) 其他易受攻击的资源 网络网络：指硬件、软件和数据的专有集合。每个网络节点就是一个计算系统，因此，具有所有

13、常规安全问题，而不可靠的通信则加重了安全问题。新安全挑战来源于：缺乏物理临近、不安全共享媒体，缺乏对远程实体的鉴别能力。 访问访问：存在三种类型脆弱点：入侵者窃取计算机的机器时间完成一般计算，该计算并不攻击系统的完整性(类似窃水、电)；入侵者对计算系统恶意访问，破坏软件和数据；未授权的访问可能引起对合法用户的服务拒绝。1.3.2 脆弱点(续) 关键人员关键人员：由于可能存在非恶意、恶意人员，对于操作员和系统程序员等人员必须精心挑选，因为他们有能力影响所有的用户。1.4 计算机犯罪 计算机罪犯没有固定的外表特征，许多看上去像罪犯的人可能根本不是罪犯。 从某种意义上讲，计算机安全就是为了防止罪犯破

14、坏计算机系统。 计算机犯罪计算机犯罪(computer crime)是与计算机有关或利用计算机实施犯罪的所有行为。 计算机犯罪每年带来的损失巨大，因此，应该努力减少它的危害。1.4.1 业余爱好者 大多数计算机罪犯是普通的计算机专业人员和用户，他们发现计算系统弱点并利用来获取价值。 业余爱好者可能会由于对工作环境的不满，而通过破坏计算装置来报复管理层。1.4.2 破译者或恶意黑客 系统破译者破译者(cracker)指为了险恶目的而试图访问计算机的人。他们试图访问无权访问的计算设备，将入侵系统视为挑战。大多数破译者破译系统不与人交流。黑客黑客(hacker)是通过地下网络交流成功秘诀。 在安全界

15、，黑客黑客指没有恶意的编程、管理或使用计算系统的人。破译者破译者指恶意试图访问计算机的人。安全界以外，这个界限不明确。 对这些攻击者而言没有一个共同的特征或目标。1.4.3 职业罪犯 职业计算机犯罪对其犯罪的目标清楚，通常犯罪分子本身就是计算机专业人员，他们认为计算机犯罪前景可观、回报丰厚。有证据表明一些犯罪集团和国际组织正在从事计算机犯罪。黑客想要的只是吹嘘的资本，而犯罪组织想要获得经济利益，因此，黑客通常使用一些快速但留有痕迹的攻击手段，而专业犯罪攻击者需要不留痕迹、强大且不会被发现的攻击手段。1.4.4 恐怖分子 恐怖分子常以下面三种方式使用计算机： 攻击目标攻击目标：对政治团体，进行诸

16、如拒绝服务攻击和网站篡改的破坏，这可以引起社会关注，并给攻击目标造成负面关注。 宣传工具宣传工具：利用网站、日志和电子邮件让人们快速获得有关消息。 攻击手段攻击手段：使用计算机发起各种令人讨厌的攻击。1.5 防御方法 为了防御损害，可以采取两种方法：压制威胁、关闭脆弱点。或者二者皆选。损害发生的可能性称为风险风险(risk)。处理损害的方法是： 预防预防：通过阻止攻击或关闭脆弱点 缓解缓解：通过使攻击变得困难，但不是不可能 转移转移：通过使其他的目标更具有吸引力(或减少本目标的吸引力) 检测检测：发生时或者在发生后的一段时间进行检测 恢复恢复：攻击后的恢复 当然，可以同时使用以上的其中几种。1

17、.5.1 控制 我们采取一个或多个控制的依据是：要保护什么，保护费用与损失风险比较如何，攻击者为达到目的会付出多大努力。图 1.6 多重控制1.5.1 控制(续) 加密加密：加密技术解决了数据的机密性要求，同时也可以用来保护完整性。加密是安全协议协议的基础，为执行一个重要的系统或网络任务提供安全保障。机密可以为可用性提供支持。 但也不能过高估计加密的重要性，加密不能解决所有的安全问题，需要其他工具为补充。不当加密可能对安全毫无作用甚至降低整个系统的性能性能。1.5.1 控制(续) 软件控制软件控制：程序应该足够安全以防止外部攻击，它们必须不断升级和维护。程序控制包括以下方面： 内部程序控制内部

18、程序控制：程序中执行安全限制的部分。 操作系统和网络系统控制操作系统和网络系统控制：用户保护程序。 独立控制程序独立控制程序：一些应用程序，如口令检 测、入侵检测工具或病毒扫描器。它们针对某类脆弱点。 开发控制开发控制：用于程序设计、编码、测试和维护的质量标准。1.5.1 控制(续) 硬件控制硬件控制：专门设计具有安全保护的硬件，如执行加密的硬件智能卡、限制访问的锁或电缆、用户身份识别设备、存储介质的访问控制电路板等。 策略和过程策略和过程：用户之间约定规则，规则在建立后实施培训和管理，以加强安全规则的重要性和确保其正确地使用。规定不仅需要考虑法律还应该考虑群体信念。 物理控制物理控制：包括琐

19、门、守卫入口、备份重要软件和数据，以及选择自然灾害少的地理位置。1.5.2 控制的有效性 察觉问题察觉问题：正在应用控制的人必须相信安全的必要。 使用的可能性使用的可能性：控制不会自动生效，除非正确使用。 有效性原则有效性原则(principle of effectiveness)：控制必须加以使用(而且是正确使用)才有效。它们必须是高效、容易使用和适当的。 # 就其使用的时间、存储空间、人员活动或其他资源等方面而言，计算机安全控制必须足够高效、从而使控制的使用不会严重影响受保护的任务执行。1.5.2 控制的有效性(续) 重叠控制重叠控制：对重要部分可以采取多种安全措施并用的方式。 定期检查定

20、期检查：没有一种控制是永远有效的。判断控制的有效性是一项持续的工作。 重叠控制旨在一种控制失效，另一种控制可以补救，在某些情况下的确如此，但在另一些情况下两种控制并不一定优于一种控制。1.5.2 控制的有效性(续) 最弱环节原则最弱环节原则(principle of weakest link)：安全不会强于其最弱的环节。不管它是防火墙的电源，或是支持安全应用的操作系统，或是规则、实现和管理控制的人，只要所有控制中的任何一个失败了，整个安全就失败了。1.6 后续内容 课程内容分成三大部分：第一部分简要介绍密码学；第二部分涉及计算机系统的硬软件部件，描述每个部件的安全问题，以及可实施的各种保护方法；第三部分讨论系统软硬件和数据以外影响系统安全的因素。这部分不仅考虑安全中的物理因素还考虑人为因素。 1.6.1 密码学精讲 第2章将了解密码学的基本术语，目标，主流算法，应用。从而理解一个密码系统如何为商业应用、政府数据或个人私有信息提供足够的安全保障。 1.6.2 软件和硬件安全 第3章将介绍的是程序安全问题。这里，我们将讨论病毒、其他恶意代码以及如何对它们进行控制。 1.6.2 软件和硬件安全(续) 第4章将单独讨论通用操作系统