chap1：计算机安全引论-B-西安电子科技大学计算机安全基础课件

2024/8/16西安电子科技大学计算机学院1计算机安全

ComputerSecurity2024/8/162课程安排本课计划学时数30。本课程介绍计算机安全领域的若干基本的、但比较重要的问题。本课程的目标是通过学习和参与，对计算机安全有一个基本的了解，并为在相关重要研究领域从事研究起引导作用。2024/8/163课程的计划内容计算机安全引论计算机安全策略访问控制策略访问控制模型可信操作系统通用操作系统保护数据库安全模型与机制密码学基础密码协议计算机病毒/防火墙技术入侵检测技术2024/8/166授课人信息：教师：杨力

邮件：xdyangli@

单位：西安电子科技大学计算机学院计算机网络与信息安全教育部重点实验室

地点：新科技楼A1002（老校区）2024/8/167计算机安全引论2024/8/168提要信息安全的发展计算机系统安全内容计算机安全定义计算机系统面临的威胁和攻击计算机系统的脆弱性计算机的安全要求计算机系统的安全需求计算机系统安全对策实现安全策略的安全机制计算机安全系统的设计原则计算机系统的分层防护2024/8/169信息安全的发展三个主要阶段保密传输--密码技术信息和信息系统的安全--密码学、防火墙和入侵检测等信息保障/信息可生存性计算机安全是信息安全的基础。2024/8/1610计算机系统安全内容技术安全：指计算机系统本身实现中，采用具有一定的安全性质的硬件、软件来实现对于数据及其所含数据或信息的安全保护，能够在整个系统中，在一定程度甚至完全可以保证系统在无意或恶意的软件或硬件攻击下仍能使得系统内的数据或信息不增加、丢失、泄露。管理安全：除技术安全之外的，诸如硬件意外故障、场地的意外事故、管理不善导致的数据介质的物理丢失等安全问题。政策法律：指有关政府部门建立的一系列的与计算机犯罪有关的法令、法规。2024/8/1611计算机安全定义国际ISO将“计算机安全”定义为：为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露。我国公安部提出了计算机安全的概念如下：计算机系统的硬件、软件、数据受到保护、不因偶然的或恶意的原因而遭到破坏、更改、泄露，系统连续正常运行。相应地，可以得到计算机危害（不安全）的概念2024/8/1612这两个定义中可以看出，计算机安全是指计算机资产安全，即计算机信息系统资源和信息资源不受自然和人为有害因素的威胁和危害。因此，一切影响计算机安全的因素和保障计算机安全的措施都是计算机安全学研究的内容。主要有：设备安全、运行安全、信息安全、软件安全、通信安全等完整的计算机安全体系定义为由“实体安全”、“运行安全”和“数据安全”三部分组成。2024/8/1613美国国防部公布了“桔皮书”：“可信计算机系统标准评估准则”。将计算机安全由低到高分为四类七级：D1、C1、C2、B1、B2、B3、A1。

其中，D1级是不具备最低安全限度的等级，C1和C2级是具备最低安全限度的等级，B1和B2级是具有中等安全保护能力的等级，B3和A1属于最高安全等级。2024/8/1614D1级：计算机安全的最低一级。C1级：自主安全保护级。C2级：受控存取保护级。B1级：标记安全保护级。B2级：结构化保护级。B3级：安全域级。A1级：验证设计级。“可信计算机系统标准评估准则”安全等级2024/8/1615计算机安全对抗中人的因素安全对抗的核心对象是计算机信息系统；安全对抗的核心因素是人。计算机系统、物理环境和社会人文环境，皆为人控制；各种计算机危害，除了难以预知和抗拒的天灾，亦为人所致；人是最为活跃、能动的核心因素。唯有依靠人，采取技术的、管理的和法律的得力措施，才能把计算机危害抑制到最低限度。因此，计算机安全治理的核心问题是人的技术和职业道德教育。2024/8/1616计算机系统面临的威胁和攻击计算机系统是指对人、计算机和软件组成的能自动进行信息收集、传输、存储、加工处理、分发和利用的系统。它由实体和信息两大部分组成。实体是指实施信息收集、传输、存储、加工处理、分发和利用的计算机及其外部设备和网络。信息是指存储于计算机及其外部设备上的程序和数据。

与此对应，计算机系统面临的威胁和攻击大体上可以分为两类：对实体的威胁和攻击对信息的威胁和攻击。2024/8/1617对实体的威胁和攻击对实体的威胁和攻击主要指对计算机及其外部设备及网络的威胁和攻击，如各种自然灾害与人为的破坏、设备故障、场地和环境因素的影响、电磁场的干扰或电磁泄漏、战争的破坏、各种媒体的被盗和散失等。对信息系统实体的威胁和攻击，不仅会造成国家财产的重大损失，而且会使信息系统的机密信息严重泄漏和破坏。因此，对信息系统实体的保护是防止对信息威胁和攻击的首要一步，也是防止对信息威胁和攻击的天然屏障。2024/8/1618对信息的威胁和攻击对信息的威胁和攻击主要有两种信息泄漏－偶然地或故意地获得(侦收、截获、窃取或分析破译)目标系统中信息，特别是敏感信息，造成泄漏事件。信息破坏－由于偶然事故或人为破坏，使信息的正确性、完整性和可用性受到破坏，如系统的信息被修改、删除、添加、伪造或非法复制，造成大量信息的破坏、修改或丢失。2024/8/1619对信息的威胁和攻击人为破坏：利用系统本身的脆弱性滥用特权身份对系统的非法使用修改或非法复制系统中的数据…偶然事故：硬件、软件故障引起的安全策略工作人员的误操作使系统出错自然灾害的破坏环境因素的突然变化…2024/8/1620对信息进行人为的故意破坏或窃取称之为攻击。根据攻击的方法不同，可分为被动攻击和主动攻击两类。被动攻击：在不干扰系统正常工作的情况下进行侦收、截获、窃取系统信息，以便破译分析；利用观察信息、控制信息的内容来获得目标系统的位置、身份；利用研究机密信息的长度和传递的频度获得信息的性质。被动攻击不容易被用户察觉出来，因此它的攻击持续性和危害性都很大。主动攻击：是指篡改信息的攻击。它不仅能窃密，而且威胁到信息的完整性和可靠性。它是以各种各样的方式，有选择地修改、删除、添加、伪造和重排信息内容，造成信息破坏。2024/8/1621被动攻击2024/8/1622被动攻击：直接侦收截获信息合法窃取破译分析从遗失的媒体中分析获取信息不易被发现。重点在于防御，如使用虚拟专用网（VPN）、采用加密技术保护网络以及使用加保护的分布式网络等。2024/8/1623主动攻击2024/8/1624主动攻击：窃取并干扰通信线路中的信息返回渗透线间插入非法冒充系统人员的窃密和毁坏等能够检测出来。不易有效防止，具体措施包括自动审计、入侵检测和完整性恢复等。2024/8/1625计算机犯罪计算机犯罪是利用暴力和非暴力形式，故意泄露或破坏系统中的机密信息，以及危害系统实体和信息安全的不法行为。暴力形式是对计算机设备和设施进行物理破坏，如使用武器摧毁计算机设备，炸毁计算机中心建筑等。非暴力形式是利用计算机技术知识及其他技术进行犯罪活动。2024/8/1626WhoisAttackingSystems?2024/8/16272024/8/1628计算机犯罪计算机犯罪之特点犯罪方法新作案时间短不留痕迹内部工作人员犯罪比例在增加犯罪区域广善于利用“漏洞”…2024/8/1629计算机犯罪欲使计算机系统正常运行，必须努力避免各种非人为的灾害，最大限度地抑制和杜绝形形色色的人为危害。计算机安全所讨论的对象始终是人、计算机系统(各类硬件和软件)和环境(物理环境和社会的各层次管理环境)。2024/8/1630计算机系统的脆弱性计算机系统本身总是存在着这样或那样的脆弱性，而且这些弱点往往隐藏在计算机系统所具有的优越的特征之中，因此常常会被非授权用户不断利用。认识计算机系统的脆弱性，可以找出有效的措施保证计算机系统的安全。攻击者正是以这些弱点作为突破口来发起攻击，从而对计算机系统进行非法访问的。然而，去掉这些弱点，那么计算机系统的好多优点也就不复存在或者大打折扣了。另外，计算机还易受各种自然灾害和各种误操作的破坏。2024/8/16312024/8/16322024/8/16332024/8/16342024/8/16352024/8/16362024/8/16372024/8/16382024/8/16392024/8/16402024/8/16412024/8/16422024/8/1643计算机系统安全存在的问题操作系统的脆弱性计算机网络的脆弱性数据库管理系统的脆弱性计算机本身的不安全因素缺少安全管理2024/8/1644操作系统的脆弱性操作系统不安全是系统不安全的根本原因。绝大部分的攻击都借助了操作系统本身的漏洞。操作系统的弱点主要表现在以下几个方面：操作系统支持系统集成和扩展的能力给系统自身留下了一个漏洞。操作系统支持在网络上传输文件，上传可执行文件有助于病毒和黑客程序的加载。2024/8/1645操作系统的脆弱性操作系统支持创建进程、特别是支持在网络的结点上进行远程进程的创建与激活。操作系统的守护进程具有与操作系统核心层软件同等的权力；另外，操作系统提供的Debug与Wizard都可为黑客所利用。操作提供的远程过程调用（RPC）服务往往缺乏安全验证功能。操作系统为系统开发人员提供的无口令便捷入口或“后门”也是黑客可以利用的通道。2024/8/1646计算机网络的脆弱性计算机网络本身给数据带来了安全威胁,Inter-net的大面积覆盖和广泛应用使得安全问题更加严重。网络带来的安全问题主要表现如下：网络的根本是资源共享，而这些资源本身也能为攻击者所共享。构成网络基本单元的局域网采用的是共享传输介质的广播通道，特别是无线局域网采用的是空间作为信道，使得消息截获相对较容易。网络设备存在各种安全隐患，网络设备不安全就意味着整个网络不安全。TCP/IP协议的不完善，成为攻击者可利用的漏洞。各种应用软件（FTP、E-MAIL、WEB、CGI等）的缺陷，为攻击者提供了方便。2024/8/1647数据库管理系统的脆弱性由于用户的主要信息是存储在数据库中的，因此数据库的安全性将直接对用户的数据造成影响。数据库管理系统的安全与操作系统的安全类似，软件的设计漏洞、数据具有的共享性以及管理人员配置和操作上的错误都会危及数据的安全。2024/8/1648计算机本身的不安全因素计算机系统是一个复杂的系统，其各个环节都可能存在不安全因素：数据输入部分：数据通过输入设备进入系统，输入数据容易被篡改或输入假数据。数据处理部分：数据处理部分的硬件容易被破坏或盗窃，并且容易受电磁干扰或因电磁辐射而造成信息泄漏。输出部分：输出信息的设备容易造成信息泄漏或被窃取。存取控制部分：系统的安全存取控制功能还比较薄弱。2024/8/1649缺少安全管理目前绝大多数计算机网络系统在安全管理方面存在问题：对安全管理的重视程度存在很大差异，许多部门没有采取足够的安全措施。对安全知识的教育和培训不足，安全设备没有充分发挥作用。缺少安全管理的技术规范。没有定期的安全测试与检查，缺乏安全监控。2024/8/1650道高一尺，魔高一丈。随着科学技术的发展，每当一种计算机安全防护技术出现不久，犯罪者就会以更高的技术手段从事窃密和破坏活动，使得原来的防护措施失效，计算机仍然处于不安全的状态。在系统安全链的各个环节中，最薄弱的环节是人。进行系统软、硬件设计的是人，进行系统管理的是人，使用系统的也是人。因此，人是整个安全系统中的决定因素。2024/8/1651计算机的安全要求根据国际标准化组织对计算机安全的建议，计算机安全的要求共有以下四点：用户的识别与验证：要求用户在使用计算机以前，首先向计算机输入自己的用户名和身份鉴别数据，以便进行用户的识别与验证．防止冒名顶替和非法入侵。存取控制：当用户已被计算机接受并注册登录入机后，要求调用数据或程序时，计算机应核对用户的权限，根据用户对该项资源被授予的权限控制对其进行存取。2024/8/1652计算机的安全要求数据完整性检查：即保护计算机系统的配置参数不被非法修改，保护计算机数据不被非法修改和删除。如果一项数据有多份拷贝，当用户在一处修改后，其他拷贝应能同时修改，以保障数据的一致性。安全审计追踪：计算机系统能记录用户所要求进行的操作及其相关数据，能记录操作的结果，能判断违反安全的事件是否发生，如果已发生则记录备查。安全审计追踪能力的强弱对于防止计算机犯罪，获得法定证据十分重要。2024/8/1653计算机系统的安全需求保密性：密码技术对信息进行加密处理以防止信息泄漏；并防止因电磁泄漏而造成信息泄密安全性：防止非法使用和访问完整性：保证程序和数据能满足预定要求，包括软件完整性和数据完整性两个方面可靠性：保证系统硬件和软件无故障或差错，以便在规定条件下执行预定算法的能力可用性：保证合法用户能正确使用而不出现拒绝访问或使用信息的有效性和合法性：信息收方应能证实它收到的信息的内容和顺序都是真实性和时效性。信息的发方不能否认所发过的信息；信息的收方不能对收到的信息进行修改、伪造或抵赖。双方应保证对方身份的鉴别性。2024/8/1654安全对策从概念上讲，计算机系统的安全包含两方面的含义：一是安全，二是保密。为此，应采取的对策主要包括四个方面：法律保护社会规范技术规范行政管理人员教育技术措施2024/8/1655计算机系统安全法规社会规范：所谓合法的信息实践是指在一定的人—机环境条件下，符合社会规范和技术规范要求，并满足系统或用户应用目标的信息活动。合法的信息实践受到法律保护，不正当的信息活动要受到民法或刑法的限制或惩处，并且应遵循如下的原则：合法信息系统原则、合法用户原则、信息公开原则、信息利用原则、资源限制原则、2024/8/1656计算机系统安全法规技术规范是调整人与自然界之间关系的准则，其内容包括各种技术标准和规程，如计算机安全标准、网络安全标准、操作系统安全标准、数据和信息安全标准、电磁兼容性标准、电磁泄漏极限等。是保证计算机系统安全的依据和主要的保障。2024/8/1657安全对策的其它方面行政管理：行政管理是安全管理的一般行政措施，是依据系统的实践活动，为维护系统安全而建立职能机构和制定的规章制度人员教育：要对计算机系统工作人员，如终端操作员、系统管理员、系统设计人员，进行全面的安全、保密教育，进行职业道德利法制教育技术安全措施：实施安全技术，不仅涉及计算机和外部设备及其通信和网络等实体，还涉及到数据安全、软件安全、网络安全、运行安全和防病毒以及结构、工艺和保密技术。安全技术措施应贯穿于系统分析、设计、运行和维护及管理的各个阶段。2024/8/1658实现安全策略的安全机制安全机制可单独实施，也可以组合使用。通常包括三类安全机制：预防、检测和恢复。具体地讲,有以下几种典型的安全机制：数据加密机制数字签名机制访问控制机制数据完整性机制鉴别交换机制路由选择机制抗信息流分析机制公证机制环境安全机制审查与控制机制2024/8/1659加密机制（Encryption）；数字签名机制（DigitalSignatureMechanisms）；访问控制机制（AccessControlMechanisms）；数据完整性机制（DataIntegrityMechanisms）；鉴别交换机制（AuthenticationMechanisms）；通信业务填充机制（TrafficPaddingMechanisms）；路由控制机制（RoutingControlMechanisms）；公证机制（NotarizationMechanisms）。ISO7498-2中的八类安全机制2024/8/1660计算机系统安全对策的一般原则需求、风险、代价综合平衡原则：计算机系统的安全要根据系统的实际情况、威胁、风险和代价进行定性和定量的分析，找出薄弱环节，制定规范。综合性、整体性原则:对计算机系统的安全对策，应该用系统工程的观点进行综合分析，贯彻整体性原则。易操作性原则：许多安全措施要人去完成．如果措施过于复杂，以致对完成安全操作的人要求很高，这样将降低安全性。适应性和灵活性原则：安全措施要能容易地适应系统的变化，或用较小代价即可适应变化。可评估性原则：对采取的安全措施应能预先评价，应有相应的评价规范和准则。2024/8/1661计算机安全系统的设计原则为了保证计算机系统的安全，防止非法入侵对系统进行威胁和攻击，要根据系统安全需求进行安全设计。美国著名信息系统安全顾问C．C．沃得提出了23条设计原则，可作为设计依据和参考。此外，人们所总结的网络信息安全保密系统建设的10条设计原则，也可作为计算机安全系统设计的参考。这些安全设计原则对于任何一个计算机信息系统的分析、开发、使用、维护和管理都是十分重要的。关于如何实现这些原则，应主要从安全技术方面考虑并实施。2024/8/1662沃得的23条设计原则成本效率原则：应使系统效率最高而成本最低。除军事设施外，不应用“大炮”去打“蚊子”。简易性原则：简单易行的控制比复杂控制更有效和更可靠，也更受人欢迎．而且省钱。超越控制原则：一旦控制失灵(紧急情况下)时，要采取预定的控制措施和方法步骤。公开设计与操作原则：保密并不是一种强有力的安全方式，过分信赖可能会导致控制失灵。对控制的公开设计和操作，反而会使信息保护得以增强。最小特权原则：只限于需要才给予这部分特权，但应限定其他系统特权。2024/8/1663分工独立性原则：控制、负责设计、执行和操作不应该是同一个人。设置陷阱原则：在访问控制中设置一种易入的“孔穴”，以引诱某些人进行非法访问，然后将其抓获。环境控制原则；对于环境控制这一类问题，应予重视，而不能忽视。接受能力原则：如果各种控制手段不能为用户或受这种控制影响的人所接受、控制则无法实现。因此，采取的控制措施应使用户能够接受。承受能力原则：应该把各种控制设计成可容纳最大多数的威胁，同时也能容纳那些很少遇到的威胁的系统。2024/8/1664检查能力原则：要求各种控制手段产生充分的证据，以显示已完成的操作是正确无误的。防御层次原则：要建立多重控制的强有力系统；如信息加密、访问控制和审计跟踪等。记账能力原则：无论谁进入系统后，对其所作所为一定要负责，且系统要予以详细登记。分割原则：把受保护的区域分割为几个部分，并一一加以保护，以增强其安全性。环状结构原则：采用环状结构的控制方式最保险。外围控制原则：重视“篱笆”和“围墙”的控制作用。规范化原则：控制设计要规范化，成为“可论证的安全系统”。2024/8/1665错误拒绝原则：当控制出错时，必须能完全地关闭系统，以防受攻击。参数化原则：控制能随着环境的改变予以调节。敌对环境原则：可以抵御最坏的用户企图、容忍最差的用户能力及其他可怕的用户。人为干预原则：在每个危急关头或作重大决策时，为慎重起见，必须有人为干预。隐蔽性原则：对职员和受控对象隐蔽控制手段或其操作的详情。安全印象原则：在公众面前应保持一种安全、平静的形象。2024/8/1666信息安全保密系统的10条设计原则木桶原则：需考虑对网络数据信息均衡、