第1章计算机系统安全概论

2023/2/1计算机系统安全原理与技术1计算机系统安全原理与技术

陈波/机械工业出版社

张德政/62334547

zdzchina@126.com计算机系统安全原理与技术十八届三中全会决定设立国家安全委员会，成为此次全会的突出亮点之一。维护国家安全是中国21世纪的重大课题，中国在越来越强大，但国家安全形势越来越复杂，成立国家安全委员会来得正当其时。

2023/2/1计算机系统安全原理与技术2计算机系统安全原理与技术成立国家安全委员会必将强化中国的“大安全”概念，也会触动我们对国家安全内涵不断变化的更多思考。过去国人对国家安全的认识大多局限于传统安全领域，如国防建设、大国博弈、领土安全等等。但现实已在不断提醒我们，21世纪中国国家安全的内容远不止这些2023/2/1计算机系统安全原理与技术3计算机系统安全原理与技术经济、特别是金融安全的重要性异军突起，信息安全也在互联网时代有了特殊含义，此外很多领域的安全变得界限模糊，相互交错。2023/2/1计算机系统安全原理与技术4棱镜门棱镜计划（PRISM）是一项由美国国家安全局（NSA）自2007年起开始实施的绝密电子监听计划，该计划的正式名号为“US-984XN”。美国情报机构一直在九家美国互联网公司中进行数据挖掘工作，从音频、视频、图片、邮件、文档以及连接信息中分析个人的联系方式与行动。监控的类型有10类：信息电邮，即时消息，视频，照片，存储数据，语音聊天，文件传输，视频会议，登录时间，社交网络资料的细节两个秘密监视项目，一是监视、监听民众电话的通话记录，二是监视民众的网络活动。2023/2/1计算机系统安全原理与技术5棱镜门PRISM计划能够对即时通信和既存资料进行深度的监听。监听对象包括任何在美国以外地区使用参与计划公司服务的客户，或是任何与国外人士通信的美国公民PRISM计划中可以获得的数据电子邮件、视频和语音交谈、影片、照片、VoIP交谈内容、档案传输、登入通知，以及社交网络细节综——合情报文件“总统每日简报”中。在2012年内在1，477个计划使用了来自PRISM计划的资料2023/2/1计算机系统安全原理与技术6棱镜门2013年7月1日晚，维基解密网站披露，美国“棱镜门”事件泄密者爱德华·斯诺登(EdwardSnowden)在向厄瓜多尔和冰岛申请庇护后，又向19个国家寻求政治庇护。美国惊人规模的海外监听计划在前中情局雇员爱德华·斯诺登的揭露下，引发美国外交地震。斯诺登：美国国家安全局已搭建一套基础系统，能截获几乎任何通信数据。凭借这样的能力，大部分通信数据都被无目标地自动保存。如果我希望查看你的电子邮件或你妻子的手机信息，所要做的就是使用截获的数据。我可以获得你的电子邮件、密码、通话记录和信用卡信息。2023/2/1计算机系统安全原理与技术7国务院保障信息安全的若干意见1.确保重要信息系统和基础信息网络安全。能源、交通、金融等领域涉及国计民生的重要信息系统和电信网、广播电视网、互联网等基础信息网络，要同步规划、同步建设、同步运行安全防护设施，强化技术防范，严格安全管理，切实提高防攻击、防篡改、防病毒、防瘫痪、防窃密能力。2023/2/1计算机系统安全原理与技术8国务院保障信息安全的若干意见2.加强政府和涉密信息系统安全管理。严格政府信息技术服务外包的安全管理，为政府机关提供服务的数据中心、云计算服务平台等要设在境内，禁止办公用计算机安装使用与工作无关的软件。建立政府网站开办审核、统一标识、监测和举报制度。减少政府机关的互联网连接点数量，加强安全和保密防护监测。落实涉密信息系统分级保护制度，强化涉密信息系统审查机制。2023/2/1计算机系统安全原理与技术9国务院保障信息安全的若干意见3.保障工业控制系统安全。加强核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要领域工业控制系统，以及物联网应用、数字城市建设中的安全防护和管理，定期开展安全检查和风险评估。2023/2/1计算机系统安全原理与技术10世界黑客齐聚拉斯维加斯黑帽大会7月31日至8月1日，世界黑客的大聚会——“黑帽大会”在美国拉斯韦加斯举行。然而就在此前几天，黑客巴纳拜·杰克离奇死亡。“黑客”再次成为世界的焦点。其实，在黑客界，通常“赠送”三种颜色的“帽子”来分辨黑客的性质：“黑帽”指那些违法破坏的骇客，“灰帽”指游走于法律边缘的黑客，“白帽”则是指那些合法运用黑客技术，善意帮助人类的“大侠”。2023/2/1计算机系统安全原理与技术11世界黑客齐聚拉斯维加斯黑帽大会“黑客”英文叫hacker，不走寻常路的计算机狂热爱好者。利用自己的技术，“穿透”计算机系统，把系统漏洞告知设计者，从而帮助完善软件技术。黑客，可谓是计算机江湖中的“侠士”。cracker，翻译为“骇客”——那些恶意破坏，甚至编写病毒扩散的“坏人”。“骇客”是指那些“干坏事的黑客”。“低端骇客”。他们本身电脑水平一般，只是拿来一些别人开发的恶意软件代码，就在互联网上作恶。2023/2/1计算机系统安全原理与技术12世界黑客齐聚拉斯维加斯黑帽大会“黑帽大会”上五条不成文规定1.管好设备：把手机拿在手上吧，任何单独摆放的设备都是一份“病毒邀请函”。2.别收礼物：任何人递来的U盘都可能是窃取你个人信息的必杀器。3.保持警惕：万事万物都能被“黑”，包括ATM机、房间钥匙等。4.融入大家：别一个人孤零零地坐着，不然更容易被“黑”。5.别上“绵羊墙”：多丢脸啊，所有信息都公之于众，一定要小心点儿2023/2/1计算机系统安全原理与技术13世界黑客齐聚拉斯维加斯黑帽大会黑客名人克里斯蒂娜，24岁俄罗斯美女，纽约大学高材生，领导30多人的东欧黑客集团，在2010年伪造银行账号、密码以及“宙斯”木马恶意软件，等潜入数百个中小企业和个人的网上账户，窃取巨款。从英美多家银行中，总共盗窃1200多万美元列文，俄罗斯数学天才。早在1994年，列文就曾用圣彼得堡的一台个人电脑入侵美国花旗银行，盗走数百万美元。不过，列文技术虽牛，犯罪流程设计的却有些糙。因为他是直接窃取用户的账户，这样用户很快发现账户少了钱报警。俄罗斯，63岁，退休计算机工程师，因为退休金太少，他于是与另外4名退休老头(包括一名退休警察)组成黑客团伙。他们在莫斯科的一些网吧内，盗取西方国家银行信用卡账户上的钱财。不过在成功盗取1万美元后，就被逮捕了。2023/2/1计算机系统安全原理与技术14世界黑客齐聚拉斯维加斯黑帽大会开着货车攻击全球网络2013年3月，全球互联网遭到“史上最大规模袭击”，国际互联网联网速度因而减缓。4月，这起袭击的嫌犯坎普赫伊斯在西班牙被捕。这位35岁的荷兰人原本就是黑客界的超级人物，被誉为“互联网头号公敌”。警方发现，他开着一辆硕大的厢式货车，车上布满了各种天线和太阳能电池板。坎普赫伊斯就是通过这辆车，用无线互联网信号操纵被控电脑，在全球发动黑客袭击。被捕时，他声称自己是“网络堡垒共和国的外交部长和电信部长”，应该享有外交豁免权2023/2/1计算机系统安全原理与技术15世界黑客齐聚拉斯维加斯黑帽大会用iPhone充电器作为黑客工具美国拉斯维加斯的BlackHat2013安全大会上，来自乔治亚理工学院的三名研究人员展示了一款“概念验证”型充电器，可以在苹果公司的iOS设备上秘密安装恶意软件。基于开源单片计算机“BeagleBoard”而开发。BeagleBoard由德州仪器出售，零售价为45美元。“选择这种单片机是为了证明，要在平淡无奇的USB充电器中嵌入恶意软件其实并不难。三位研究人员在不到一分钟的时间内，利用该充电器侵入了搭载最新版iOS系统的设备中。他们还表示，这种恶意软件感染持续时间长，用户很难发觉。有黑客组织2月发布了完美越狱工具evasi0n，利用了包括iOS移动备份系统在内的5处漏洞破坏了苹果公司的安全机制。2023/2/1计算机系统安全原理与技术162023/2/1计算机系统安全原理与技术172023/2/1计算机系统安全原理与技术18

财政厅系统总体结构2023/2/1计算机系统安全原理与技术19

财政厅系统总体结构2023/2/1计算机系统安全原理与技术20学习内容与方法计算机系统安全原理计算机系统安全技术常用的安全检测工具

系统建设中实际应用重点掌握基本概念和基本原理教：课堂+实验学：教材+网络+动手实践2023/2/1计算机系统安全原理与技术21第1章计算机系统安全概论2023/2/1计算机系统安全原理与技术22本章主要内容计算机信息系统面临的安全威胁

信息安全概念的发展

计算机系统安全研究内容

2023/2/1计算机系统安全原理与技术23病毒病毒——是能够自我复制的一组计算机指令或者程序代码。通过编制或者在计算机程序中插入这段代码，以达到破坏计算机功能、毁坏数据从而影响计算机使用的目的。病毒具有以下基本特点:●隐蔽性。●传染性。●潜伏性。●破坏性。2023/2/1计算机系统安全原理与技术24蠕虫蠕虫——类似于病毒，它可以侵入合法的数据处理程序，更改或破坏这些数据。尽管蠕虫不像病毒一样复制自身，但蠕虫攻击带来的破坏可能与病毒一样严重，尤其是在没有及时发觉的情况下。不过一旦蠕虫入侵被发现，系统恢复会容易一些，因为它没有病毒的复制能力，只有一个需要被清除的蠕虫程序。2023/2/1计算机系统安全原理与技术25蠕虫与病毒“熊猫烧香”以及其变种是蠕虫病毒。——熊猫烧香病毒利用了微软操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。——感染了“尼姆亚”病毒的邮件在不去手工打开附件的情况下病毒就能激活。——“红色代码”是利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播——SQL蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击。

2023/2/1计算机系统安全原理与技术26传播方式多样：“尼姆亚”病毒和”求职信”病毒，可利用的传播途径包括文件、电子邮件、Web服务器、网络共享病毒制作技术：许多新病毒是利用当前最新的编程语言与编程技术实现的，易于修改以产生新的变种，从而逃避反病毒软件的搜索。另外，新病毒利用Java、ActiveX、VBScript等技术，可以潜伏在HTML页面里，在上网浏览时触发。

与黑客技术相结合：以红色代码为例，感染后的机器的web目录的\scripts下将生成一个root.exe，可以远程执行任何命令，从而使黑客能够再次进入。

蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞，即软件上的缺陷和人为的缺陷。软件上的缺陷，如远程溢出、微软IE和Outlook的自动执行漏洞等等。而人为的缺陷，主要指的是计算机用户的疏忽，如当收到一封邮件带着病毒的邮件时候。

蠕虫与病毒2023/2/1计算机系统安全原理与技术27北京时间2003年1月26日，一种名为“2003蠕虫王”的电脑病毒迅速传播并袭击了全球致使互联网网路严重堵塞，作为互联网主要基础的域名服务器（DNS）的瘫痪造成网民浏览互联网网页及收发电子邮件的速度大幅减缓银行自动提款机的运作中断机票等网络预订系统的运作中断信用卡等收付款系统出现故障造成的直接经济损失至少在12亿美元以上蠕虫与病毒逻辑炸弹逻辑炸弹是加在现有应用程序上的程序。一般逻辑炸弹都被添加在被感染应用程序的起始处，每当该应用程序运行时就会运行逻辑炸弹。它通常要检查各种条件，看是否满足运行炸弹的条件。如果逻辑炸弹没有取得控制权就将控制权归还给主应用程序，逻辑炸弹仍然安静地等待。当设定的爆炸条件被满足后，逻辑炸弹的其余代码就会执行。逻辑炸弹不能复制自身，不能感染其他程序，但这些攻击已经使它成为了一种极具破坏性的恶意代码类型。逻辑炸弹具有多种触发方式。2023/2/1计算机系统安全原理与技术28特洛伊木马特洛伊木马是一段计算机程序，表面上在执行合法任务，实际上却具有用户不曾料到的非法功能。它们伪装成友好程序，由可信用户在合法工作中不知不觉地运行。一旦这些程序被执行，一个病毒、蠕虫或其他隐藏在特洛伊木马程序中的恶意代码就会被释放出来，攻击个人用户工作站，随后就是攻击网络。一个有效的特洛伊木马对程序的预期结果无明显影响，也许永远看不出它的破坏性。特洛伊木马需要具备以下条件才能成功地入侵计算机系统:●入侵者要写一段程序进行非法操作，程序的行为方式不会引起用户的怀疑；2023/2/1计算机系统安全原理与技术29特洛伊木马●必须设计出某种策略诱使受骗者接受这段程序；●必须使受骗者运行该程序；●入侵者必须有某种手段回收由特洛伊木马程序提供的信息。特洛伊木马通常继承了用户程序相同的用户ID、存取权、优先权甚至特权。因此，特洛伊木马能在不破坏系统的任何安全规则的情况下进行非法操作，这也使它成为系统最难防御的一种危害。特洛伊木马程序与病毒程序不同，它是一个独立的应用程序，不具备自我复制能力。但它同病毒程序一样具有潜伏性，且常常具有更大的欺骗性和危害性。特洛伊木马通常以包含恶意代码的电子邮件消息的形式存在，也可以由Internet数据流携带。2023/2/130天窗天窗是嵌在操作系统里的一段非法代码，渗透者利用该代码提供的方法侵入操作系统而不受检查。天窗由专门的命令激活，一般不容易发现。而且天窗所嵌入的软件拥有渗透者所没有的特权。通常天窗设置在操作系统内部，而不在应用程序中，天窗很像是操作系统里可供渗透的一个缺陷。安装天窗就是为了渗透，它可能是由操作系统生产厂家的一个不道德的雇员装入的，安装天窗的技术很像特洛伊木马的安装技术，但在操作系统中实现更为困难。天窗只能利用操作系统的缺陷或者混入系统的开发队伍中进行安装。因此开发安全操作系统的常规技术就可以避免天窗。2023/2/1计算机系统安全原理与技术31隐蔽通道隐蔽通道可定义为系统中不受安全策略控制的、违反安全策略的信息泄露路径。按信息传递的方式和方法区分，隐蔽通道分为隐蔽存储通道和隐蔽定时通道。隐蔽存储通道在系统中通过两个进程利用不受安全策略控制的存储单元传递信息。隐蔽定时通道在系统中通过两个进程利用一个不受安全策略控制的广义存储单元传递信息。判别一个隐蔽通道是否是隐蔽定时通道，关键是看它有没有一个实时时钟、间隔定时器或其他计时装置，不需要时钟或定时器的隐蔽通道是隐蔽存储通道。2023/2/1计算机系统安全原理与技术32计算机系统安全一个有效可靠的计算机系统应具有很强的安全性，必须具有相应的保护措施，消除或限制如病毒、逻辑炸弹、特洛伊木马、天窗、隐蔽通道等对系统构成的安全威胁。

在过去的数十年里，恶意代码（通常也称为计算机病毒）已经从学术上的好奇论题发展成为一个持久的、世界范围的问题。无论计算机病毒、蠕虫、逻辑炸弹、特洛伊木马、天窗，还是隐蔽通道都对操作系统安全构成了威胁。2023/2/1计算机系统安全原理与技术33计算机系统安全实际上从来没有一个操作系统的运行是完美无缺的，也没有一个厂商敢保证自己的操作系统不会出错。在信息系统中与安全相关的每一个漏洞都会使整个系统的安全控制机制变得毫无价值。这个漏洞如果被入侵者发现，后果将是十分严重的。从计算机信息系统的角度分析，可以看出在信息系统安全所涉及的众多内容中，操作系统、网络系统与数据库管理系统的安全问题是核心。2023/2/1计算机系统安全原理与技术34计算机系统安全系统安全的定义和术语。●计算机信息系统（computerinformationsystem）:由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。●安全周界（securityperimeter）:用半径来表示的空间。该空间包围着用于处理敏感信息的设备，并在有效的物理和技术控制之下，防止未授权的进入或敏感信息的泄露。2023/2/1计算机系统安全原理与技术35计算机系统安全●可信计算基（trustedcomputingbase，TCB）:计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。●安全策略（securitypolicy）:对TCB中的资源进行管理、保护和分配的一组规则。简单地说就是用户对安全要求的描述。一个TCB中可以有一个或多个安全策略。●安全模型（securitymodel）:用形式化的方法来描述如何实现系统的机密性、完整性和可用性等安全要求。2023/2/1计算机系统安全原理与技术36计算机系统安全●安全内核（securitykernel）:通过控制对系统资源的访问来实现基本安全规程的计算机系统的中心部分。●标识与鉴别（identification&authentication，I&A）:用于保证只有合法用户才能进入系统，进而访问系统中的资源。●访问控制（accesscontrol）:限制已授权的用户、程序、进程或计算机网络中其他系统访问本系统资源的过程。●访问控制列表（accesscontrollist，ACL）:与系统中客体相联系的，用来指定系统中哪些用户和组可以以何种模式访问该客体的控制列表。2023/2/1计算机系统安全原理与技术37计算机系统安全●自主访问控制（discretionaryaccesscontrol，DAC）:用来决定一个用户是否有权限访问此客体的一种访问约束机制，该客体的所有者可以按照自己的意愿指定系统中的其他用户对此客体的访问权。●敏感标记（sensitivitylabel）:用以表示客体安全级别并描述客体数据敏感性的一组信息，在可信计算基中把敏感标记作为强制访问控制决策的依据。●强制访问控制（mandatoryaccesscontrol，MAC）:用于将系统中的信息分密级和类进行管理，以保证每个用户只能够访问那些被标明可以由他访问的信息的一种访问约束机制。●角色（role）:系统中一类访问权限的集合。2023/2/1计算机系统安全原理与技术38计算机系统安全●最小特权原理（leastprivilegeprinciple）:系统中每一个主体只能拥有与其操作相符的必需的最小特权集。●隐蔽通道（covertchannel）:非公开的但让进程有可能以危害系统安全策略的方式传输信息的通信信道。●审计（audit）:一个系统的审计就是对系统中有关安全的活动进行记录、检查及审核。●审计跟踪（audittrail）:系统活动的流水记录。该记录按事件自始至终的途径、顺序，审查和检验每个事件的环境及活动。2023/2/1计算机系统安全原理与技术39计算机系统安全●客体重用（objectreuse）:对曾经包含一个或几个客体的存储介质(如页框、盘扇面、磁带)重新分配和重用。为了安全地进行重分配、重用，要求介质不得包含重分配前的残留数据。●可信通路（trustedpath）:终端人员能借以直接同可信计算基通信的一种机制。该机制只能由有关终端操作人员或可信计算基启动，并且不能被不可信软件模仿。●多级安全（multilevelsecure，MLS）:一类包含不同等级敏感信息的系统，它既可供具有不同安全许可的用户同时进行合法访问，又能阻止用户去访问其未被授权的信息。2023/2/1计算机系统安全原理与技术40计算机系统安全●鉴别（authentication）:验证用户、设备和其他实体的身份；验证数据的完整性。●授权（authorization）:授予用户、程序或进程的访问权。●保密性（confidentiality）:为秘密数据提供保护方法及保护等级的一种特性。●数据完整性（dataintegrity）:信息系统中的数据与原始数据没有发生变化，未遭受偶然或恶意的修改或破坏时所具有的性质。●漏洞（loophole）:由软硬件的设计疏忽或失误导致的能避开系统安全措施的一类错误。2023/2/1计算机系统安全原理与技术41计算机系统安全●安全配置管理（secureconfigurationmanagement）:控制系统硬件与软件结构更改的一组规程。其目的是保证这种更改不违反系统的安全策略。●安全要素（securityelement）:国标GB17859—1999中，各安全等级所包含的安全内容的组成成分，比如自主存取控制、强制存取控制等。每一个安全要素在不同的安全等级中可以有不同的具体内容。●安全功能（securityfunction）:为实现安全要素的内容，正确实施相应安全策略所提供的功能。●安全保证（securityassurance）:为确保安全要素的安全功能的实现所采取的方法和措施。2023/2/1计算机系统安全原理与技术42计算机系统安全●TCB安全功能（TCBsecurityfunction，TSF）:正确实施TCB安全策略的全部硬件、固件、软件所提供的功能。每一个安全策略的实现，组成一个安全功能模块。一个TCB的所有安全功能模块共同组成该TCB的安全功能。在跨网络的TCB中，一个安全策略的安全功能模块，可能会在网络环境下实现。●可信计算机系统（trustedcomputersystem）:一个使用了足够的硬件和软件完整性机制，能够用来同时处理大量敏感或分类信息的系统。●操作系统安全（operatingsystemsecurity）:操作系统无错误配置、无漏洞、无后门、无特洛伊木马等，能防止非法用户对计算机资源的非法存取，一般用来表达对操作系统的安全需求。2023/2/1计算机系统安全原理与技术43计算机系统安全●操作系统的安全性（securityofoperatingsystem）:操作系统具有或应具有的安全功能，比如存储保护、运行保护、标识与鉴别、安全审计等。●安全操作系统（secureoperatingsystem）:能对所管理的数据与资源提供适当的保护级、有效地控制硬件与软件功能的操作系统。就安全操作系统的形成方式而言，一种是从系统开始设计时就充分考虑到系统的安全性的安全设计方式。另一种是基于一个通用的操作系统，专门进行安全性改进或增强的安全增强方式。安全操作系统在开发完成后，在正式投入使用之前一般都要求通过相应的安全性评测。2023/2/1计算机系统安全原理与技术442023/2/1计算机系统安全原理与技术451.1计算机信息系统面临的安全威胁

计算机信息系统的基本概念安全威胁

安全威胁是指对安全的一种潜在的侵害。威胁的实施称为攻击。威胁的实施称为攻击。2023/2/1计算机系统安全原理与技术46四个方面的威胁设信息是从源地址流向目的地址，那么正常的信息流向是：

信息源信息目的地2023/2/1计算机系统安全原理与技术47中断威胁：使在用信息系统毁坏或不能使用的攻击，破坏可用性（availability）。如硬盘等一块硬件的毁坏，通信线路的切断，文件管理系统的瘫痪等。

信息源信息目的地2023/2/1计算机系统安全原理与技术48截获威胁：一个非授权方介入系统的攻击，使得信息在传输中被丢失或泄露的攻击，破坏保密性(confidentiality)。非授权方可以是一个人，一个程序，一台微机。这种攻击包括搭线窃听，文件或程序的不正当拷贝。信息源信息目的地2023/2/1计算机系统安全原理与技术49篡改威胁：以非法手段窃得对信息的管理权，通过未授权的创建、修改、删除和重放等操作而使信息的完整性(Integrity)受到破坏。这些攻击包括改变数据文件，改变程序使之不能正确执行，修改信件内容等。信息源信息目的地2023/2/1计算机系统安全原理与技术50伪造威胁：一个非授权方将伪造的客体插入系统中，破坏信息真实性（authenticity）的攻击。包括网络中插入假信件，或者在文件中追加记录等。

信息源信息目的地2023/2/1计算机系统安全原理与技术51安全问题的根源物理安全问题软件组件

网络和通信协议

人的因素

2023/2/1计算机系统安全原理与技术52计算机信息系统的安全需求

计算机信息系统的安全需求主要有：保密性、完整性、可用性、可控性、不可抵赖性和可存活性等。

保密性(Confidentiality)：确保信息不暴露给未授权的实体或进程。加密机制。防泄密完整性(Integrity)：要求信息在存储或传输过程中保持不被修改、不被破坏和不丢失的特性。防篡改可用性(Availability)：信息可被合法用户访问并按要求的特性使用而不遭拒绝服务。防中断

2023/2/1计算机系统安全原理与技术53可控性(Controllability)：指对信息的内容及传播具有控制能力。不可抵赖性(Non-repudiation)：不可抵赖性通常又称为不可否认性，是指信息的发送者无法否认已发出的信息，信息的接收者无法否认已经接收的信息。可存活性(Survivability)：是指计算机系统的这样一种能力：它能在面对各种攻击或错误的情况下继续提供核心的服务，而且能够及时地恢复全部的服务。2023/2/1计算机系统安全原理与技术54

美国计算机安全专家又在已有计算机系统安全需求的基础上增加了真实性(Authenticity)、实用性(Utility)、占有性(Possession)。真实性是指信息的可信度，主要是指信息的完整性、准确性和对信息所有者或发送者身份的确认。实用性是指信息加密密钥不可丢失(不是泄密)，丢失了密钥的信息也就丢失了信息的实用性，成为垃圾。如果存储信息的节点、磁盘等信息载体被盗用，就导致对信息的占用权的丧失。保护信息占有性的方法有使用版权、专利，提供物理和逻辑的存取限制方法，维护和检查有关盗窃文件的审计记录、使用标签等。

2023/2/1计算机系统安全原理与技术55计算机信息系统安全的最终目标集中体现为系统保护和信息保护两大目标。系统保护：保护实现各项功能的技术系统的可靠性、完整性和可用性等。信息保护：保护系统运行中有关敏感信息的保密性、完整性、可用性和可控性。

2023/2/1计算机系统安全原理与技术561.2信息安全概念的发展

信息安全的最根本属性是防御性的，主要目的是防止己方信息的完整性、保密性与可用性遭到破坏。信息安全的概念与技术是随着人们的需求、随着计算机、通信与网络等信息技术的发展而不断发展的。2023/2/1计算机系统安全原理与技术571、单机系统的信息保密阶段

几千年前，人类就会使用加密的办法传递信息；

1988年莫里斯“蠕虫”事件是分界线；信息保密技术的研究成果主要有两类：

1)发展各种密码算法及其应用，

2)信息安全理论、安全模型和安全评价准则。2023/2/1计算机系统安全原理与技术58主要开发的密码算法有：DES：1977年美国国家标准局采纳的分组加密算法DES（数据加密标准）。DES是密码学历史上的一个创举，也是运用最广泛的一种算法。IDEA：国际数据加密算法，是对DES的改进算法。2023/2/1计算机系统安全原理与技术59RSA：双密钥的公开密钥体制，该体制是根据1976年Diffie，Hellman在“密码学新方向”开创性论文中提出来的思想由Rivest，Shamir，Adleman三个人创造的1985年N.koblitz和V.Miller提出了椭圆曲线离散对数密码体制（ECC）。该体制的优点是可以利用更小规模的软件、硬件实现有限域上同类体制的相同安全性。2023/2/1计算机系统安全原理与技术60还创造出一批用于实现数据完整性和数字签名的杂凑函数。如，数字指纹、消息摘要（MD）、安全杂凑算法（SHA——用于数字签名的标准算法）等，当然，其中有的算法是90年代中提出的。2023/2/1计算机系统安全原理与技术61在七、八十年代期间，信息安全理论、安全模型和安全评价准则，重点研究：信息系统安全理论

Ⅰ三大控制理论

1）访问控制：基于访问矩阵与访问监控器

2）信息流控制：基于数学的格理论

3）推理控制：基于逻辑推理，防数据库泄漏

保护系统安全模型

Ⅱ安全操作系统的设计方法安全核技术，分层结构，环型结构2023/2/1计算机系统安全原理与技术62系统安全模型

Ⅰ访问矩阵与监控器模型

Ⅱ信息流多级安全模型，基于格理论

1）保密性模型（BLP模型）

2）完整性模型（Biba模型）

3）军用安全模型：适用于军事部门与政府部门2023/2/1计算机系统安全原理与技术63安全性评价准则

1985年美国开发了可信计算机系统评估准则（TCSEC）把计算机安全划分为7个等级：

D，C1，C2，B1，B2，B3，A1

为信息系统的安全性评价提供了概念、方法与思路，是开创性的。为后来的通用评估准则（CC标准）打下基础2023/2/1计算机系统安全原理与技术642、网络信息安全阶段

1988年11月3日莫里斯“蠕虫”事件引起了人们对网络信息安全的关注与研究，并与第二年成立了计算机紧急事件处理小组负责解决Internet的安全问题，从而开创了网络信息安全的新阶段。在该阶段中，除了采用和研究各种加密技术外，还开发了许多针对网络环境的信息安全与防护技术，这些防护技术是以被动防御为特征的。2023/2/1计算机系统安全原理与技术65主要防护技术安全漏洞扫描器。用于检测网络信息系统存在的各种漏洞，并提供相应的解决方案。安全路由器。在普通路由器的基础上增加更强的安全性过滤规则，增加认证与防瘫痪性攻击的各种措施。安全路由器完成在网络层与传输层的报文过滤功能。2023/2/1计算机系统安全原理与技术66防火墙。在内部网与外部网的入口处安装的堡垒主机，在应用层利用代理功能实现对信息流的过滤功能。入侵检测系统（IDS）。判断网络是否遭到入侵的一类系统，IDS一般也同时具备告警、审计与简单的防御功能。2023/2/1计算机系统安全原理与技术67各种防攻击技术。其中包括漏洞防堵、网络防病毒、防木马、防口令破解、防非授权访问等技术。网络监控与审计系统。监控内部网络中的各种访问信息流，并对指定条件的事件做审计记录。2023/2/1计算机系统安全原理与技术683、信息保障阶段信息保障（IA--InformationAssurace）这一概念最初是由美国国防部长办公室提出来的，后被写入命令《DoDDirectiveS-3600.1：InformationOperation》中，在1996年12月9日以国防部的名义发表。在这个命令中信息保障被定义为：通过确保信息和信息系统的可用性、完整性、可验证性、保密性和不可抵赖性来保护信息系统的信息作战行动，包括综合利用保护、探测和反应能力以恢复系统的功能。2