第1章 计算机系统安全概论

第1章计算机系统安全概论

计算机系统安全原理与技术（第2

2012-10-9版）1

本章主要内容

计算机信息系统安全问题

信息安全概念的发展

计算机系统安全研究的内容

2012-10-9计算机系统安全原理与技术（第2版）2

1.1计算机信息系统安全问题

□1.1.1计算机信息系统的基本概念

□1.1.2安全威胁

口对计算机信息系统的威胁是指：潜在的、对信息系

统造成危害的因素。

2012-10-9计算机系统安全原理与技术（第2版）3

□对信息系统安全的威胁是多方面的，目前还没有统一

的方法对各种威胁加以区别和进行准确的分类。而且

不同威胁的存在及其重要性是随环境的变化而变化的。

下面是对现代信息系统及网络通信系统常遇到的一些

威胁及其来源的概述。

口设信息是从源地址流向目的地址，那么正常的信息流

向是：

信息源信息目的地

2012-10-9计算机系统安全原理与技术（第2版）4

□中断(Interruption)威胁使得在用的信息系统毁坏或

不能使用，即破坏可用性(Availability)。

□攻击者可以从下列几个方面破坏信息系统的可用性：

□使合法用户不能正常访问网络资源。

□使有严格时间要求的服务不能及时得到响应。

□摧毁系统。物理破坏网络系统和设备组件使网络不可用，或

者破坏网络结构使之瘫痪等。如硬盘等硬件的毁坏，通信线

路的切断，文件管理系统的瘫痪等。

□最常见的中断威胁是造成系统的拒绝服务，即信息或

信息系统资源的被利用价值或服务能力下降或丧失。

信息源信息目的地

2012-10-9计算机系统安全原理与技术(第2版)5

□截获(Interception)威胁：是指一个非授权方介入系

统，使得信息在传输中被丢失或泄露的攻击，它破坏

了保密性(Confidentiality)。非授权方可以是一个人、

一个程序或一台计算机。

□这种攻击主要包括：

□利用电磁泄露或搭线窃听等方式可截获机密信息，通过对信

息流向、流量、通信频度和长度等参数的分析，推测出有用

信息，如用户口令、账号等。

□非法复制程序或数据文件。

信息源信息目的地

2012-10-9计算机系统安全原理与技术(第2版)6

□篡改（Modification）威胁以非法手段窃得对信息的管

理权，通过未授权的创建、修改、删除和重放等操作

而使信息的完整性Qntegrity）受到裱坏。

□这些攻击主要包括：

□改变数据文件，如修改数据库中的某些值等。

□替换某一段程序使之执行另外的功能，设置修改硬件。

信息源°信息目的地

2012-10-9计算机系统安全原理与技术（第2版）7

□伪造(Fabrication)威胁中一个非授权方将伪造的客体

插入系统中，破坏信息的可认证性(Authenticity)。

□例如在网络通信系统中插入伪造的事务处理或者向数

据库中添加记录。

O

信息源信息目的地

2012-10-9计算机系统安全原理与技术(第2版)8

■■

□LL3脆弱点与安全控制

□脆弱点(VulnerabiUty)是指信息系统中的缺陷，实

际上脆弱点就是安全问题的根源所在，如原理设计

及实现中的缺陷，它能被攻击者利用来进行破坏活

动。

口物理安全

□软件系统

□网络和通信协议

□人的因素

2012-10-9计算机系统安全原理与技术(第2版)9

□攻击者利用信息系统的脆弱点对系统进行攻击

(Attack)o我们使用控制(Control)进行安全

防护。控制是一些动作、装置、程序或技术，

它能消除或减少脆弱点。

□可以这样描述威胁、控制和脆弱点的关系：

“通过控制脆弱点来阻止或减少威胁。”

□本书后续篇幅将主要介绍各种安全控制原理及

技术。

2012-10-9计算机系统安全原理与技术(第2版)10

1.1.4计算机信息系统的安全需求

保密性

是指确保信息资源仅被合法的用户、实体或进程访

问，使信息不泄漏给未授权的用户、实体或进程。

实现保密性的方法一般是通过信息的加密、对信息

划分密级，并为访问者分配访问权限，系统根据用

户的身份权限控制对不同密级信息的访问。

.特别要说明的是，对计算机的进程、中央处理器、

存储、打印设备的使用也必须实施严格的保密技术

措施，以避免产生电磁泄露等安全问题。

2012-10-9计算机系统安全原理与技术（第2版）11

1.1.4计算机信息系统的安全需求

完整性

是指信息资源只能由授权方或以授权的方式修改，

在存储或传输过程中不丢失、不被破坏。完整性的

破坏一般来自3个方面：未授权、未预期、无意。

目前对于动态传输的信息，许多协议确保信息完整

性的方法大多是收错重传、丢弃后续包。不仅仅要

考虑数据的完整性，还要考虑操作系统的逻辑正确

性和可靠性，要实现保护机制的硬件和软件的逻辑

完备性、数据结构和存储的一致性。

2012-10-9计算机系统安全原理与技术（第2版）12

1.1.4计算机信息系统的安全需求

；可用性

是指信息可被合法用户访问并按要求的特性使用而

不遭拒绝服务。可用的对象包括：信息、服务和IT

资源。

例如在网络环境下破坏网络和有关系统的正常运行

就属于对可用性的攻击。信息的可用性与保密性之

间存在一定的矛盾。系统为了控制非法访问可以采

取许多安全措施，但系统不应该阻止合法用户对系

统中信息的利用。

2012-10-9计算机系统安全原理与技术（第2版）13

1.1.4计算机信息系统的安全需求

可控性

是指保证信息和信息系统的认证授权和监控管理，

确保某个实体（人或系统）身份的真实性，确保信息

内容的安全性和合法性，确保系统状态可被授权方

所控制。

2012-10-9计算机系统安全原理与技术（第2版）14

1.1.4计算机信息系统的安全需求

不可抵赖性通常又称为不可否认性

是指信息的发送者无法否认已发出的信息或信息的

部分内容，信息的接收者无法否认已经接收的信息

或信息的部分内容。

不可否认性措施主要有：数字签名，可信第三方认

证技术等。

2012-10-9计算机系统安全原理与技术（第2版）15

1.1.4计算机信息系统的安全需求

可存活性是近年来学术界提出的一个安全概念。

可存活性是指计算机系统的这样一种能力：它能在

面对各种攻击或错误的情况下继续提供核心的服务,

而且能够及时地恢复全部的服务。

这是一个新的融合计算机安全和业务风险管理的课

题，它的焦点不仅是对抗计算机入侵者，还要保证

在各种网络攻击的情况下业务目标得以实现，关键

的业务功能得以保持。提高对网络攻击的系统可存

活性，同时也提高了业务系统在面对一些并非恶意

的事故与故障的可存活性。

2012-10-9计算机系统安全原理与技术（第2版）16

1.1.4计算机信息系统的安全需求

计算机安全专家又在已有计算机系统安全需求的基

础上增加T可认证性(Authenticity)、实用性(Utility),

认为这样才能解释各种网络安全问题。

信息的可认证性是指信息的可信度，主要是指对信

息的完整性、准确性和对信息所有者或发送者身份

的确认。可认证桂比饕别(Authentication)有更深刻

的含义，它包含了对传输、消息和消息源的真实性

进行核实。

信息的实用性是指信息加密密钥不可丢失(不是泄

密)，丢失了密钥的信息也就丢失了信息的实用性，

成为垃圾。

2012-10-9计算机系统安全原理与技术(第2版)17

1.1.4计算机信息系统的安全需求

总之，计算机信息系统安全的最终目标集中

体现为系统保护和信息保护两大目标。

1）系统保护。保护实现各项功能的技术系

统的完整性、可用性和可控性等。

2）信息保护。保护系统运行中有关敏感信

息的保密性、完整性、可用性和可控性。

2012-10-9计算机系统安全原理与技术（第2版）18

1.2信息安全概念的发展

口信息安全的最根本属性是防御性的，主要目的

是防止己方信息的完整性、保密性与可用性遭

到破坏。

口信息安全的概念与技术是随着人们的需求、随

着计算机、通信与网络等信息技术的发展而不

断发展的。

2012-10-9计算机系统安全原理与技术（第2版）19

：＞

1、单机系统的信息保密阶段

20世纪50年代，计算机应用范围很小，安全问题

并不突出，计算机系统并未考虑安全防护的问题。

后来发生了袭击计算中心的事件，才开始对机房采

取实体防护措施。但这时计算机的应用主要是单机,

计算机安全主要是实体安全防护和硬、软件防护。

多用户使用计算机时，将各进程所占存储空间划分

成物理或逻辑上相互隔离的区域，使用户的进程并

发执行而互不干扰，即可达到安全防护的目的。

2012-10-9计算机系统安全原理与技术（第2版）20

：＞

1、单机系统的信息保密阶段

20世纪70年代，出现了计算机安全的法律、法规

和各种防护手段，如防止非法访问的口令、身份卡、

指纹识别等措施。

这时计算机已由单机应用发展到计算机网络，除存

储和数据处理外，发展到信息的远程传输，使网络

受到攻击的部件增多，特别是传输线路和网络终端

最为薄弱。

这时，针对网络安全防护，出现了强制性访问控制

机制、完善的鉴别机制和可靠的数据加密传输措施。

2012-10-9计算机系统安全原理与技术（第2版）21

工、单机系统的信息保密阶段

主要开发的密码算法有：

DES：1977年美国国家标准局采纳的分组加密

算法DES（数据加密标准）。DES是密码学历史

上的一个创举，也是运用最广泛的一种算法。

IDEA：国际数据加密算法，是对DES的改进算

法。

2012-10-9计算机系统安全原理与技术（第2版）22

1＞单机系统的信息保密阶段

主要开发的密码算法有：

RSA：双密钥的公开密钥体制，该体制是根据

1976年Diffie,Hellman在“密码学新方向”

开创性论文中提出来的思想由Rivest,Shamir,

Adleman三个人创造的

1985年N,koblitz和V,Miller提出了椭圆曲线离

散对数密码体制（ECOo该体制的优点是可以

利用更小规模的软件、硬件实现有限域上同类体

制的相同安全性。

2012-10-9计算机系统安全原理与技术（第2版）23

工、单机系统的信息保密阶段

主要开发的密码算法有：

还创造出一批用于实现数据完整性和数字签名的

杂凑函数。如，数字指纹、消息摘要（MD）、

安全杂凑算法（SHA—用于数字签名的标准

算法）等，当然，其中有的算法是90年代中提

出的。

2012-10-9计算机系统安全原理与技术（第2版）24

工、单机系统的信息保密阶段

主要开发的密码算法有：

还创造出一批用于实现数据完整性和数字签名的

杂凑函数。如，数字指纹、消息摘要（MD）、

安全杂凑算法（SHA—用于数字签名的标准

算法）等，当然，其中有的算法是90年代中提

出的。

2012-10-9计算机系统安全原理与技术（第2版）25

:>

1、单机系统的信息保密阶段

在七、八十年代期间，信息安全理论、安全模型和

安全评价准则，重点研究：

信息系统安全理论

I三大控制理论

.访问控制：基于访问矩阵与访问监控器

，信息流控制：基于数学的格理论

.推理控制：基于逻辑推理，防数据库泄漏保护系统安全模型

II安全操作系统的设计

.安全核技术，分层结构，环型结构

2012-10-9计算机系统安全原理与技术（第2版）26

工、单机系统的信息保密阶段

令系统安全模型

•I访问矩阵与监控器模型

II信息流多级安全模型，基于格理论

■1）保密性模型（BLP模型）

■2）完整性模型（Biba模型）

・3）军用安全模型：适用于军事部门与政府部门

2012-10-9计算机系统安全原理与技术（第2版）27

工、单机系统的信息保密阶段

安全性评价准则

1985年美国开发了可信计算机系统评估准则

（TCSEC）把计算机安全划分为7个等级：D,

Cl,C2,Bl,B2,B3,A1

为信息系统的安全性评价提供了概念、方法与思

路，是开创性的。为后来的通用评估准则（CC

标准）打下基础

2012-10-9计算机系统安全原理与技术（第2版）28

2、网络信息安全阶段

1988年11月3日莫里斯“蠕虫”事件引起了人们

对网络信息安全的关注与研究，并与第二年成立了

计算机紧急事件处理小组负责解决1ntemet的安全

问题，从而开创了网络信息安全的新阶段。

在该阶段中，除了采用和研究各种加密技术外，还

开发了许多针对网络环境的信息安全与防护技术，

这些防护技术是以被动防御为特征的。

2012-10-9计算机系统安全原理与技术（第2版）29

TCP/IP协议族包括4个功能层：应用层、传输层、网络层和网络

接口层。这4层概括了相对于0S1参考模型中的7层。

从安全角度来看，一个单独的层次无法提供全部的网络安全服务,

各层都能提供一定的安全手段，针对不同层的安全措施是不同的。

图1-6网络安全层次图

2012-10-9计算机系统安全原理与技术（第2版）30

图1・7给出了一个网络保密安全基本模型，通信双方要传递某个消息，

需要建立一个逻辑信息通道包括：确定从发送方到接受方的路由以及两

方协同使用诸如TCP/IP协议。

为了在开放网络环境中保护信息的传输，需要提供安全机制和安全服务,

王要包含两个部分：

(1)消息的安全传输，包括对消息的加密与认证。例如，消息的加密，使

开放网络对加密的消息不可读；又如附加一些基于消息内容的编码，用来验

证发送者的身份。

(2)双方共享秘密信息的分发。例如，用于发送前的加密密钥和接收后的

解密密钥。

为了完成安全的消息传递，常常需要可信的第三方。其作用是负责为通

信双方分发秘密信息，或者是在双方有争议时进行仲裁。

可信任第三方

如保密信息的仲裁者、发布者

2012-10-9攻击者

图1-7网络保密安全模型31

归纳起来，该网络保密安全模型必须包含4个基本内容:

1）建立一种加密算法。

2）产生一个用于加密算法的密钥。

3）开发一个分发和共享秘密信息的方法。

4）使用加密算法与秘密信息以得到特定安全服务所需的协议。

图的网络保密安全模型虽是一个通用的模型，但

它着重保护信息的机密性和可认证性，不能涵盖所有

安全需求。

可信任第三方

如保密信息的仲裁者、发布者

图1-7网络保密安全模型

图1・8给出了一个网络访问安全模型，该模型考虑了

黑客攻击、病毒与蠕虫等的非授权访问。

黑客攻击可以形成两类威胁：

一类是信息访问威胁，即非授权用户截获或修改数据；

另一类是服务威胁，即服务流激增以禁止合法用户使用。

病毒和蠕虫是软件攻击的两个实例，这类攻击通常是通过移

动存储介质引入系统，并隐藏在有用软件中，也可通过网络

接入系统。

计算机资源

（处理器、存储器、I/O）

攻击者：信道

人（如黑客）数据进程软件

软件（如病毒等

恶意程序）

内部安全控制

守卫功能

信息系统

2C图1-8网络访问安全模型33

在图1・8中，对非授权访问的安全机制可分为两道防

线.

第一道防线是守卫功能，包括基于口令的登录过程以

拒绝所有非授权访问以及屏蔽逻辑以检测、拒绝病毒、

蠕虫和其他类似攻击；

第二道防线由内部的一些安全控制构成，用于管理系

统内部的各项操作和所存储的信息分析，以检查对付

未授权的入侵者。

计算机资源

（处理器、存储器、I/O）

攻击者：

人（如黑客）数据进程软件

软件（如病毒等

恶意程序）

内部安全控制

守卫功能

信息系统

2C图1-8网络访问安全模型34

2、网络信息安全阶段

在网络信息安全阶段中，人们还开发了许多网络加

密、认证、数字签名的算法、信息系统安全评价准

贝U（如cc通用评价准则）。

这一阶段的主要特征是对于自己部门的网络采用各

种被动的防御措施与技术，目的是防止内部网络受

到攻击，保护内部网络的信息安全。

2012-10-9计算机系统安全原理与技术（第2版）35

■

■

3、信息保障阶段

信息保障(IA・・InformationAssurace)这一概

念最初是由美国国防部长办公室提出来的，后被写

入命令《DoDDirectiveS・3600.l：

InformationOperation^中，在1996年12月9

日以国防部的名义发表。

2012-10-9计算机系统安全原理与技术(第2版)36

3、信息保障阶段

在这个命令中信息保障被定义为：通过确保信息和

信息系统的可用性、完整性、可验证性、保密性和

不可否认性来保护信息系统的信息作战行动，包括

综合利用保护、探测和响应能力以恢复系统的功能。

1998年1月30日美国防部批准发布了《国防部信

息保障纲要》（D1AP）,认为信息保障工作是持续

不间断的，它贯穿于平时、危机、冲突及战争期间

的全时域。信息保障不仅能支持战争时期的国防信

息攻防，而且能够满足和平时期国家信息的安全需

求。

2012-10-9计算机系统安全原理与技术（第2版）37

3、信息保障阶段

1998年5月美国公布了由国家安全局NSA起草的

1.0版本《信息保障技术框架》(Information

AssuranceTechnicalFramework,IATF),旨

在为保护美国政府和工业界的信息与信息技术设施

提供技术指南。

在1999年8月31日IATF论坛发布了IATF2.0版本,

2000年9月22日又推出了IATF3.0版本。

2012-10-9计算机系统安全原理与技术(第2版)38

3、信息保障阶段

IATF从整体、过程的角度看待信息安全问题，其代表理论为

“纵深防护战略(Defense・in・Depth)”，

就是信息保障依赖人、技术、操作三个因素实现组织的任务/

业务运作。通过有效结合当前已有成熟技术，充分考虑人员、

技术、操作三方面的影响，并衡量防护能力、防护性能、防护

耗费、易操作性等各方面因素，得到系统防护的最有效实用的

方案。

稳健的信息保障状态意味着信息保障的政策、步骤、技术与机

制在整个组织的信息基础设施的所有层面上均得以有效实施。

IATF强调人、技术、操作这三个核心要素。人，借助技术的

支持，实施一系列的操作过程，最终实现信息保障目标，这就

是IATF最核心的理念之一。

2012-10-9计算机系统安全原理与技术(第2版)39

3、信息保障阶段

A(People)：

人是信息体系的主体，是信息系统的拥有者、管理

者和使用者，是信息保障体系的核心，是第一位的

要素，同时也是最脆弱的。

正是基于这样的认识，信息安全管理在安全保障体

系中就显得尤为重要，可以这么说，信息安全保障

体系，实质上就是一个安全管理的体系，其中包括

意识培养、培训、组织管理、技术管理和操作管理

等多个方面。

2012-10-9计算机系统安全原理与技术(第2版)40

保"息检测

3、信息保障阶段反应」障恢复

技术(Technology)：

技术是实现信息保障的具体措施和手段，信息保障

体系所应具备的各项安全服务是通过技术来实现的。

这里所说的技术，已经不单是以防护为主的静态技

术体系，而是保护(Protection)>检测(Detection)>

响应(Reaction)、恢复(Restore)有机结合的动态技术

体系，这就是所谓的PDRR(或称PDR2)模型(如图1-

9所示)。

2012-10-9计算机系统安全原理与技术(第2版)41

3、信息保障阶段

操作(Operation)：或者叫运行，

操作将人和技术紧密地结合在一起，涉及到风险评

估、安全监控、安全审计、跟踪告警、入侵检测、

响应恢复等内容。

2012-10-9计算机系统安全原理与技术(第2版)42

IATF主要包含：

,说明IATF的目的与作用——帮助用户确定信息

安全需求和实现他们的需求；

，说明信息基础设施及其边界、IA框架的范围及

威胁的分类和纵深防御策略DiD；

，DiD的深入介绍；

,信息系统的安全工程过程（ISSE）的主要内容；

各种网络威胁与攻击的反制技术或反措施；

，信息基础设施、计算环境与飞地的防御；

,信息基础设施的支撑（如密钥管理/公钥管理，

KMI/PKI）＞检测与响应以及战术环境下的信息

保障问题。

2012-10-9计算机系统安全原理与技术（第2版）43

1.3计算机系统安全研究的内容

口计算机网络环境下的信息系统可以用层次结构

来描述。

应用程序系统网络应用服务、命令等

数据库系统（HTTP.FTP）

噪作系统TCP.IP

硬件层（计算机、物理链路）

图