计算机系统与网络安全：第8章 计算机系统安全（基础）

2022/11/2计算机系统可靠性技术计算机系统物理安全技术第8章计算机系统安全(基础)计算机系统安全概述2022/11/2计算机系统可靠性技术计算机系统物理安全技术第8章计算机系统安全(基础)计算机系统安全概述2022/11/2WhatWeShouldKnow熟悉自己的系统计算机、嵌入式系统熟悉所用的软件平台操作系统、开发软件及工具熟悉系统所处的环境系统连接和接口熟悉系统安全中的热点KeyPoint,Hotarea2022/11/2KeyPoints:OrganizationOverviewCPUMemoryDISKInputNetworkOutputKeyPointInterface????????2022/11/2KeyPoints:OSOverviewSyscall,CommandOperatingSystemHardware（Interface）ProgrammerAPI,DLLUserApp-Program???详见OS安全SysDesignerHacker2022/11/2可信环境可信计算可信存储ComputerOverviewKeyPoints:SafeGuaranteeOSOverview2022/11/2计算机系统可靠性技术计算机系统物理安全技术第8章计算机系统安全(基础)计算机系统安全概述2022/11/2物理安全－OutlineWhyphysicalsecurity?SecurityplanContentsofphysicalsecuritySecurityplanandphysicalsecurityConclusions2022/11/2Whyphysicalsecurity?2022/11/2PhysicalSecurityOftenignoredorconsideredasoflittleornoconcernIfsomeoneworkinglatestealsalaptop–thefancyfirewalldefenseswon’thelp!银行数据如何保存？Information2022/11/2Securityplan2022/11/2SecurityPlanningAsecurityplanDocumentdescribinghowanorganizationaddressesitssecurityneeds（如何解决安全需求）Periodicallyreviewedandrevised（需要不断的修改）CreatingasecurityplanWhatitshoulddo（做什么？）Whoshouldwritetheplan（谁来写计划）Howtoacquiresupportfortheplan（如何为计划获得支持）2022/11/2SecurityPlanningAsecurityplanmustaddressthefollowingPolicy：策略Currentsecuritystate：当前安全事态Recommendationsandtherequirementstomeetthesecuritygoals：推荐的方法Accountability：义务WhoisresponsibleforaeachsecurityactivityTimetable：时间表FordifferentsecurityfunctionsContinuingattentionforperiodicupdate：持续计划2022/11/2Policy（策略）ShouldaddressWho

shouldbeallowedtoaccess

whatresourcesandhowshouldtheaccessberegulatedShouldspecifyOrganizationalsecuritygoals（目标）Wheretheresponsibilitylies(accountabilitypolicy);limitsofresponsibility（责任）Organizationalsupportforsecurity（支持）Legalandethicalaspects?（法律与道德）2022/11/2CurrentSecurityStateCanbedeterminedonthebasisofriskanalysisIndicatesOrganizationalassets（企业财产）Securitythreatstotheseassets（对企业财产的威胁）Controlsinplaceagainstthesethreats（如何控制这些威胁）2022/11/2RecommendationandrequirementsItisimportanttoIndicatewhatrequirementsaretobeimposedinaplan,andoverwhatperiodPhaseoutimplementation,andindicateelementsofeachphaseandtheirtimeperiods（指出每一个阶段及其时间表）Theplan

Mustbeextensible：可扩展性Mustincludeaprocedureforchangeandgrowth：可适应性Shouldremainlaregelyintactthroughchangeintheorganization：完整性2022/11/2ResponsibilityforimplementationIdentifypeople/groupsresponsibleforimplementationAplanofaccountability（审计计划）SomeexamplesPersonalcomputerusersareresponsiblefortheirownmachineProjectleadersfordataandcomputationsDatabaseadministrators–accessandintegrityofdataindatabasesInformationofficersforcreationanduseofdata,andretentionanddisposalofdataPersonnelstaffmembers–responsibleforsecurityinvolvingemployees2022/11/2TimetableandContinuingAttentionTimetable

Expensiveandcomplicatedcontrolsneedgradualadoption（昂贵和负责的控制方法需要逐步被采用）Trainingstaffonnewcontrols（在引进新的控制方法时需要注意对员工的培训）ContinuingattentionTimelyreviewandreevaluation（经常回顾和评估）Updateobjectinventoryandlistofcontrols（更新财产清单，列出控制方法）Reviewriskanalysistoaccommodateforparametersthatmaychange（回顾风险分析，应对变化）2022/11/2PlanningTeamSizeDependsonthecomplexityoforganizationandthedegreeofcommitmenttosecurityOrganizationalbehaviorstudiesshowoptimumsizeofaworkingcommittee:5–9Largercommitteeasoversightbody2022/11/2PlanningTeam（续）Committeemembershipshouldbefromeachofthefollowing：成员组成HardwaregroupSystems/applicationsprogrammersEncryption,protocols,securityinOSandnetworksrequiresystemsprogrammingstaffDataentrypersonnelPhysicalsecuritypersonnelRepresentativeusers（用户代表）2022/11/2CommitmenttoPlanAcceptanceofplanNeedsaconcise,well-organizedreportthatincludesaplanofimplementationandjustificationofcostsIndicateaccountability（指明义务）timeforaccomplishment（完成的时间）continuingreevaluation（不断的评估）EducationandpublicitytohelppeopleunderstandandacceptsecurityplanManagementcommitmentdependsonUnderstandingcauseandpotentialeffectsoflackofsecurity(Riskanalysis)Cost-effectivenessofsecurityplanPresentationoftheplan2022/11/2OrganizationalSecurityPoliciesPurposeApolicyiswrittenforseveraldifferentgroupsBeneficiaries（受益人）TheirneedsshouldbecapturedinthepolicyUsers（用户）PolicyshouldindicateacceptableuseOwners（雇主）PolicyshouldexpresstheexpectationofownersBalance（平衡）NeedsofabovegroupsmayconflictBalancetheprioritiesofallaffectedcommunities2022/11/2AttributesofgoodpoliciesPurpose(ofthecomputingfacility)：目的明确E.g.,“protectcustomers’confidentiality”,“ensurecontinualusability”Protectedresources：保护什么？Allcomputers?Networks?Alldata?Customers’data?etc.Protection：保护多少WhatdegreeofprotectiontowhichresourcesCoverage：涵盖广泛Mustbecomprehensiveenough;generalenoughtoapplytonewcasesDurability：持续性MustgrowandadaptwellRealism：可实现ProtectionrequirementsmustberealizablewithexistingmechanismsUsefulness：有用Mustberead,understoodandfollowedbyall2022/11/2ExamplesFourlevelsS1oS4withincreasingstrengthofprotectionS1:isnotdesignedtoprotectanyspecificresourcesoranyspecificlevelofprotectiontoservicesS2:designedtoprotectregularresourcesandtoprovidenormalprotectionagainstthreatsS3:importantresources,highprotectionS4:criticalresources,verystrongprotection2022/11/2计算机系统物理安全的内容环境安全什么是环境？主要指场地与机房设备安全什么是设备？计算机、存储设备、电源......媒体安全什么是媒体？媒体是存储数据的设备2022/11/2环境安全受灾保护自然灾害区域保护边界控制分级管制2022/11/2设备安全防盗防毁防电磁信息泄漏防线路截获抗电磁干扰电源保护2022/11/2防电磁信息泄漏－TEMPESTTEMPEST:Emanationsprotections（泄漏保护）Acessingequipmentcanproduceunintentionaldata-relatedorintelligence-bearingemanationswhich,ifinterceptedandanalyzed,disclosetheinfo.transmitted,received,handledorotherwiseprocessed(NSTISSAM1-00)TEMPEST的目的：减少计算机中信息的外泄TEMPESTprogramcertifiesanequipmentasnotemittingdetectablesignals2022/11/2防电磁信息泄漏－TEMPEST（续）抑制电磁泄漏的基本技术：电子屏蔽干扰调频物理抑制包容法抑源法计算机系统中的TEMPEST技术噪声干扰屏蔽隔离滤波布线与元器件选择2022/11/2媒体安全媒体安全包括媒体自身和媒体数据的安全媒体安全的主要内容：媒体防盗媒体防毁2022/11/2PhysicalsecurityinsecurityplanOrganizationalsecurityplanshouldincludeDescriptionofphysicalassetstobeprotected（描述需要保护的物理财产）Descriptionofphysicalareaswheretheassetsarelocated（描述上述物理财产的物理位置或区域）Descriptionofsecurityperimeter（描述安全边界）Threats(attacks,accidents,naturaldisasters)（分析威胁）Physicalsecuritydefenseandcost-analysisagainstthevalueofinformationassetbeingprotected（物理保护和成本分析）2022/11/2PhysicalsecurityplanShouldanswer(atleast)thefollowingCananybodyotherthandesignatedpersonnelphysicallyaccessthecomputerresources?（除了指定的人外，其他人能够从物理上接近计算机资源吗）Whatifsomeonehasanoutburstandwantstosmashthesystemresources?（是什么使得有人有能力并且想要破坏系统资源）Whatifanemployeefromyourcompetitor

weretocometothebuildingunnoticed?（是什么使得你的对手能够在不被注意的情况下进入被保护区域）Whataretheconsequencesincaseoffire?（如果发生火灾，结果会怎么样）Howtoreactincaseofsomedisaster?（如果发生灾难，如何反应）2022/11/2DisasterRecovery（灾难恢复）Naturaldisasters：自然灾害Flood/FallingwaterFireEarthquake（地震）OtherenvironmentalconditionsDust,explosion(terroristact),heat/humidity,electricalnoise,lightingPowerloss：电源故障Uninterruptiblepowersupply（断续电流供给）Surgeprotectors（浪涌保护）Accidents:food&drink：以外事件2022/11/2Contingencyplanning（灾难恢复计划）

“keytosuccessfulrecoveryisadequateplanning”Backup/off-sitebackup：站点备份Cold-site/hot-siteColdsite:facilitywithpower/coolingwherecomputingsystemcanbeinstalledtobeginimmediateoperationHot-site:facilitywithinstalledandreadytousecomputingsystem.Theftprevention：防盗Preventaccess:guards;locks;cardspreventportability:locks,lockablecabinetsdetectexit:likeinlibrary2022/11/2DisposalofSensitiveMedia（媒体处理）Shredders：粉碎Mainlyforpaper;alsousedfordiskettes,paperribbonsandsometapesSanitizingmediabeforedisposal：清除CompletelyerasedataERASEandDELETEmaynotbeenoughOverwritedataseveraltimesDegaussers：去磁DestroysmagneticfieldsFastwaytoneutralizeadiskortape2022/11/2Summaryhaveconsidered:SecurityPlanPhysicalSecurityTEMPEST2022/11/2计算机系统可靠性技术计算机系统物理安全技术第8章计算机系统安全(基础)计算机系统安全概述2022/11/2计算机系统可靠性-Outline计算机系统的可靠性与容错性磁盘阵列系统安全与运行环境系统故障与系统安全系统安全与电磁干扰2022/11/2EntitySecuKeyPoints可靠与容错OperationsConfigurationMonitor2022/11/2一、系统可靠与容错可靠性（degreeofsuitability）在特定时间内和特定条件下系统正常工作的相应程度。可靠性的测量方式：系统利用率系统的可用性(availability)2022/11/21.可靠性计算可用性计算可用性的平均值：平均利用率。其计算方法为：A=MTBF/(MTBF+MTTR)MTBF（MeanTimeBetweenFailures）：故障间隔平均时间MTTR（MeanTimeToRepair）：系统平均修复时间2022/11/2可靠性范围可靠性┌──────┴──────┐

容错性完美性(faulttolerance)(perfection)│┌───┴───┐

冗余技术─┬硬件冗余完美硬件完美软件(redundancy)├软件冗余├整机完美性│|├时间冗余├部件完美性可信软件|└信息冗余└器件完美性||静态冗余（部件冗余）可用硬件动态重组|--被动重组（后备stand-by）

|--主动重组（优美降级gracefuldegradation)容错理论容错技术容错重组2022/11/22.完美性与避错技术完美性追求一种避错技术，即避免出错。要求组成系统的各个部件、器件具有高可靠性，不允许出错，或者出错率降至最低。硬件可靠与完美性软件可靠与完美性2022/11/2完美性与避错技术（续）硬件可靠与完美性器件老化的临界点、部件布局（热影响）、强弱电走线（布线）、高频器件干扰（屏蔽）、静电干扰。软件可靠与完美性1）正确性：软件有正确性吗？软件完美吗？2）可用性：软件在一定的环境条件和应用条件下可以正常运行，功能正常。3）兼容性：软件对运行环境、运行平台和运行条件的适应性。4）可信性：对用户来说，所使用的软件值得信赖，对软件产生的心理性依赖。2022/11/23.容错技术与容错系统1）容错技术：

故障掩盖技术(faultmasking)。一定程度上容忍故障的技术。2）容错系统：采用容错技术的系统当系统因某种原因出错或者失效，系统能够继续工作，程序能够继续运行，不会因计算机故障而中止或被修改，执行结构也不包含系统中故障引起的差错.3）冗余技术以增加资源的办法换取可靠性。资源与成本按线性增加，而故障概率则可按对数规律下降。冗余要消耗资源，应当在可靠性与资源消耗之间进行权衡和折衷。硬件、软件、时间和信息冗余。2022/11/2容错技术与容错系统硬件冗余：增加线路、设备、部件，形成备份。软件冗余：增加程序，一个程序分别用几种途径编写，按一定方式执行，分段或多种表决。时间冗余：指令重复执行，程序回卷技术。信息冗余：增加信息数据位数，检错、纠错。实时系统高可靠系统敏感系统2022/11/21.增加线路、设备、部件，形成备份2.数据备份：完全备份、差分备份、增量备份、按需备份本地备份、异地备份活备份、死备份动态备份、静态备份3.双机容错系统4.三机表决系统5.集群系统容错技术与容错系统－硬件冗余2022/11/21.恢复块方法：主块与后备块2.N－版本程序设计：增加程序，一个程序分别用几种途径编写，按一定方式执行，分段或多种表决。3.防卫式程序设计：程序中包括错误检查代码和错误恢复代码，使得一旦错误发生，程序能够撤销错误状态，恢复到一个已知的正确状态中去容错技术与容错系统－软件冗余2022/11/24.容错系统工作方式1）自动侦测(Auto-Detect)2）自动切换(Auto-Switch)3）自动恢复(Auto-Recovery)2022/11/2容错系统工作方式（续）1）自动侦测(Auto-Detect)

专用冗余侦测线路+软件判断发现可能的错误和故障进行严谨的判断、分析与确认启动后备系统侦测程序是关键

检查系统重要资源、设置侦测时间、时间间隔、侦测次数等。数据可信是切换的基础。2022/11/2容错系统工作方式（续）2）自动切换(Auto-Switch)

正常主机启动切换程序

根据不同容错后备模式，接管预先设定的后备作业程序，进行后续程序及服务接管工作包括文件系统、数据库、系统环境（操作系统平台）、网络地址和应用程序等。如果不能确定系统出错，容错监控中心通过与管理者交互进行有效的处理。决定切换基础、条件、时延、断点2022/11/2容错系统工作方式（续）3）自动恢复(Auto-Recovery)故障主机被替换后，离线进行故障修复。修复后通过冗余通信线与正常主机连线，继而将原来的工作程序和磁盘上的数据自动切换回修复完成的主机上。这个自动完成的恢复过程用户可以预先设置，也可以设置为半自动或不恢复。2022/11/2容错系统工作方式（续）系统级容错：多种系统容错后备模式.

例如：双机双工热备份(MutualBackup)：两机同时运行，分不同作业，各自资源负载，故障、接管、修复、交还。部件级容错：冗余或后备的部件模式。例如:RAID系统2022/11/2容错系统工作方式－系统级容错1）系统级容错：多种系统容错后备模式

例如：双机双工热备份(MutualBackup)： 两机同时运行，分不同作业，各自资源负载，故障、接管、修复、交还。主从热备份(Master/Slave)： 主从式（M/S），M运行，S后备，M故障，S接管并升级为M,原M修复后作为S。热备份(Hot-Standby)：M运行，S后备，M故障，S接管作M，原M修复，S归还M。2022/11/2

例如：双机热备份（网络）RS232M机S机系统盘SCSISCSISCSISCSIRS232数据盘心跳线桥2022/11/22）部件级容错：冗余或后备的部件模式。例如:RAID系统仅支持2个盘可支持4个盘可支持多个盘IDEEIDESCSIDAC7/15个盘可支持多分组多个磁盘容错系统工作方式－系统级容错（续）2022/11/2概念与术语DiskArray

：磁盘阵列，一种外部存储装置，以并行方式在多个硬盘驱动器上工作，被系统视作一个单一的硬盘，以冗余技术增加其可靠性。RAID：

(RedundantArraysofInexpensiveDisks)廉价磁盘冗余阵列，以多个低成本磁盘构成磁盘子系统，提供比单一硬盘更完备的可靠性和高性能。容错系统工作方式－磁盘阵列2022/11/21.数据基带条阵列（冗余无校验的磁盘阵列）：RAID0

2.磁盘镜象：RAID13.并行海明纠错阵列：RAID24.奇偶校验并行位交错阵列：RAID35.奇偶校验扇区交错阵列：RAID46.循环奇偶校验阵列：RAID57.二维奇偶校验阵列：RAID6容错系统工作方式－磁盘阵列（续）2022/11/2容错系统工作方式－磁盘阵列（续）1.数据基带条阵列（冗余无校验的磁盘阵列）：RAID0分块无校验型，无冗余存储。简单将数据分配到各个磁盘上，不提供真正容错性。带区化至少需要2个硬盘，可支持8/16/32个磁盘。优点：允许多个小区组合成一个大分更好地利用磁盘空间，延长磁盘寿命多个硬盘并行工作，提高了读写性能缺点：不提供数据保护，任一磁盘失效，数据可能丢失，且不能自动恢复。2022/11/2输入数据流输入数据磁盘阵列控制器并行传输HDD1HDD2HDD3HDD4HDD5RAID0示意图容错系统工作方式－磁盘阵列（续）2022/11/2容错系统工作方式－磁盘阵列（续）2.磁盘镜象：RAID1每一组盘至少两台，数据同时以同样的方式写到两个盘上，两个盘互为镜象。磁盘镜象可以是分区镜象、全盘镜象。容错方式以空间换取，实施可以采用镜象或者双工技术优点：可靠性高，策略简单，恢复数据时不必停机。缺点：有效容量只有总容量的1/2，利用率50%。由于磁盘冗余，硬件开销较大，成本较高。2022/11/2RAID1示意图输入数据流输入数据磁盘阵列控制器并行传输HDD1HDD2第一组镜象HDD3HDD4第二组镜象容错系统工作方式－磁盘阵列（续）2022/11/2容错系统工作方式－磁盘阵列（续）3.并行海明纠错阵列：RAID2存储型ECC纠错类，采用海明冗余纠错码(HammingCodeErrorCorrection)、跨接技术和存储纠错数据方法，数据按位分布到磁盘上。磁盘台数由纠错码和数据盘数决定。优点：可靠性高，可自动确定哪个硬盘已经失效，并进行自动数据恢复。缺点：磁盘冗余太多，开销太大。防止纠错盘本身故障。RAID2很少使用2022/11/2输入数据流RAID2示意图容错系统工作方式－磁盘阵列（续）HDD1输入数据磁盘阵列控制器HDD2HDD3HDD4HDD5HDD6HDD7HCCHCCHCCHCCHCCHCC海明校验HCCHCCHCC2022/11/2容错系统工作方式－磁盘阵列（续）4.奇偶校验并行位交错阵列：RAID3结合跨接技术、存储纠错数据方式，采用数据校验和校正。利用单独奇偶校验磁盘进行。一个盘故障，可根据读出数据内容和奇偶校验位确定出错位置，对数据进行修正和重组，校验方式可采用位交错或字节交错。优点：速度快，适合较大单位数据的读写。缺点：不适合小单位数据的读写；校验磁盘没有冗余，若校验磁盘失效，数据很难恢复。2022/11/2输入数据流输入数据磁盘阵列控制器HDD1HDD2HDD3HDD4HDD5RAID3示意图parityparity奇偶校验容错系统工作方式－磁盘阵列（续）2022/11/2容错系统工作方式－磁盘阵列（续）5.奇偶校验扇区交错阵列：RAID4与RAID3类似，但数据是以扇区(sector)交错方式存储于各台磁盘，也称块间插入校验。采用单独奇偶校验盘。优点：只读一个扇区，只需访问一个磁盘。写一个扇区，只访问一个数据盘和一个校验盘。各磁盘可独立工作（扇区读写），读写并行。缺点：奇偶盘单独，出错后数据很难恢复。校验在一个磁盘上，产生写性能瓶颈。2022/11/2输入数据流输入数据磁盘阵列控制器HDD1HDD2HDD3HDD4HDD5RAID4示意图parityparity奇偶校验paritySecter交叉容错系统工作方式－磁盘阵列（续）2022/11/2容错系统工作方式－磁盘阵列（续）6.循环奇偶校验阵列：RAID5与RAID4类似，但校验数据不固定在一个磁盘上，而是循环地依次分布在不同的磁盘上，也称块间插入分布校验。它是目前采用最多、最流行的方式，至少需要3个硬盘。优点：校验分布在多个磁盘中，写操作可以同时处理。为读操作提供了最优的性能。一个磁盘失效，分布在其他盘上的信息足够完成数据重建。缺点：数据重建会降低读性能；每次计算校验信息，写操作开销会增大，是一般存储操作时间的3倍。2022/11/2输入数据流输入数据磁盘阵列控制器HDD1HDD2HDD3HDD4HDD5RAID5示意图奇偶校验parityparityparity容错系统工作方式－磁盘阵列（续）2022/11/2容错系统工作方式－磁盘阵列（续）7.二维奇偶校验阵列：RAID6将整个磁盘阵列看成一个二维阵列RAID5只在一组（相当于行）上有奇偶校验盘，而RAID6在各组的同一位置的盘组成的列上也加上了奇偶校验盘。这两个奇偶校验盘形成了二维阵列。此类型也称为P＋Q冗余技术或者RAID0+1，其含义是它结合了RAID0的性能和RAID1的可靠性。它不是成对地组织磁盘，而是把按照RAID0方式产生的磁盘组全部映象到另一备份磁盘组中。2022/11/25.系统安全与运行环境系统工作环境工作环境、运行条件、使用寿命、配电与接地、灾害防御（三防）、静电电磁干扰(EMI--E)与电磁兼容性（EMC）ElecMagneticCompatibility对外辐射（保密性）对内抗扰（可靠性）

抗恶劣环境计算机2022/11/25.系统安全与运行环境（续）环境对安全性的影响计算机系统的安全与外界环境有密切的关系，系统器件、工艺、材料因素等用户无法改变，工作环境是用户可以选择、决定和改变的。环境安全：计算机安装和运行的各种条件，工作场地：配电与接地、环境干扰、环境破坏运行条件：温度、湿度、电压、频率等人为影响：误操作、盗窃、破坏等自然影响：灾害、雷击、火灾、鼠害等环境对计算机系统安全有着至关重要的作用，它影响着计算机系统是否能够安全稳定地运行，甚至影响到计算机系统的使用寿命。2022/11/26.抗恶劣环境计算机1）M型（Mil-specComputer)军用型适应军事恶劣环境，符合军用规范与武