信息保障和安全

1、信息保障和安全教師教師孫達(dá)志聯(lián)系方式聯(lián)系方式教學(xué)網(wǎng)頁教學(xué)網(wǎng)頁http:/ 5%; 實驗: 15%; 考試: 80% 參考書參考書 1 Charles P. Pfleeger, Shari Lawrence Pfleeger, Security in Computing, Fourth Edition, Prentice-Hall, 2006 2 William Stallings, Cryptography and Network Security, Fourth Edition, Prentice-Hall, 2005 3 Alfred J. Menezes, Paul C. van Oor

2、schot, Scott A. Vanstone, Handbook of Applied Cryptography, CRC Press, 1997 4 胡道元, 閔京華, 網(wǎng)絡(luò)安全, 清華大學(xué)出版社, 2008第1章 計算中的安全問題本章要點r 計算中的安全威脅r 安全計算的目標(biāo)r 計算有關(guān)的脆弱點r 控制安全威脅的手段1.1 “安全”意味著什么?1.1.1 保護(hù)有價物品與信息特點銀行保護(hù)資金人們保護(hù)信息規(guī)模和可移動性 存錢的地點龐大、笨重、根本不能移動存儲信息的設(shè)備小且可移動避免物理接觸的能力困難簡單資源價值非常高不同，有的非常高，有的很低表1.1 保護(hù)錢財和保護(hù)信息1.1.2 計算機入

3、侵的特點 計算系統(tǒng)計算系統(tǒng)(computing system)是指硬件、軟件、存儲介質(zhì)、數(shù)據(jù)以及執(zhí)行計算任務(wù)的人所組成的一個集合。 # 計算系統(tǒng)的任何部分都可能成為犯罪目標(biāo)。認(rèn)為一個計算系統(tǒng)的某些部分對局外人來說是沒有價值的觀念，常常是錯誤的。1.1.2 計算機入侵的特點(續(xù)) 最易滲透原則最易滲透原則(principle of easiest penetration)：入侵者總是企圖利用任何可能的入侵手段。這種入侵沒有必要通過顯而易見的手段，也沒有必要針對安裝有最可靠的防御系統(tǒng)，當(dāng)然更沒有必要是我們想要入侵者采取的方式。 # 這條原則暗示計算機安全工作人員必須考慮所有可能的入侵方式。當(dāng)系統(tǒng)及

4、其安全措施發(fā)生改變時，入侵分析必須反復(fù)進(jìn)行。千萬不要相信：所有攻擊都是在限度之內(nèi)的。1.2 攻擊 1.2.1 脆弱點、威脅、攻擊和控制 計算機系統(tǒng)有三個獨立有價值的部分：硬件硬件(hardware)、軟件軟件(software)和數(shù)據(jù)數(shù)據(jù)(data)。 脆弱點脆弱點(vulnerability)是安全系統(tǒng)中的缺陷，如設(shè)計或?qū)崿F(xiàn)中的缺陷，它能被攻擊者利用來進(jìn)行破壞活動。 對計算系統(tǒng)的威脅威脅(threat)指的是能潛在引起系統(tǒng)損失和傷害的一組特定事件。 攻擊者利用系統(tǒng)的脆弱點對系統(tǒng)進(jìn)行攻擊攻擊(attack)。 控制控制(control)是一些動作、裝置、程序或技術(shù)，它能消除或減少脆弱點。1.2

5、.1 脆弱點、威脅、攻擊和控制(續(xù))圖1.1 脆弱點、威脅和控制三者的關(guān)系：通過控制脆弱點來阻止威脅 1.2.1 脆弱點、威脅、攻擊和控制(續(xù)) 可將威脅分為以下4類： 截取截取(interception)指某未授權(quán)方獲得了訪問資源的權(quán)利。 中斷中斷(interruption)指系統(tǒng)資源丟失、不可得或不可用。 篡改篡改(modification)指未授權(quán)方不僅訪問了資源而且修改了其內(nèi)容。 偽造偽造(fabrication)未授權(quán)方可能在計算系統(tǒng)中創(chuàng)建假冒對象。1.2.1 脆弱點、威脅、攻擊和控制(續(xù))圖1.2 計算系統(tǒng)安全威脅1.2.2 方法、機會和動機 攻擊者必須具備以下三點： 方法方法：技

6、巧、知識、工具和能夠成功實現(xiàn)攻擊的其他方面。 機會機會：完成攻擊的時間入口。 動機動機：想要攻擊這個系統(tǒng)的原因。 缺少三個中的任何一個都不會發(fā)生攻擊，但是，要阻止其中任何一個也是很困難的。1.3 計算機安全的含義 1.3.1 安全目標(biāo) 計算機安全的三個重要方面： 機密性機密性(confidentiality)確保計算機資源僅被合法用戶訪問。 完整性完整性(integrity)指所有資源只能由授權(quán)方或以授權(quán)的方式進(jìn)行修改。 可用性可用性(availability)指所有資源在適當(dāng)?shù)臅r候可以被授權(quán)方訪問。1.3.1 安全目標(biāo)(續(xù))圖 1.3 機密性、完整性和可用性之間的關(guān)系#目標(biāo)是在三個性質(zhì)之間尋

7、找平衡點，但平衡并不是一切。 1.3.1 安全目標(biāo)(續(xù)) 機密性：機密性是我們最為了解的安全性質(zhì)，與現(xiàn)實生活中的機密保護(hù)有很多相似之處，但保護(hù)機密性也是困難的。 完整性：一項是完整的常指該項：精確的、準(zhǔn)確的、未被修改的，只能以允許的方式修改、只能被授權(quán)用戶修改、只能被授權(quán)過程修改，一致的、內(nèi)部一致的、有意義和可用的。完整性具有三個特殊方面：被授權(quán)行為；資源分離和保護(hù)；以及錯誤的檢測和糾正。 1.3.1 安全目標(biāo)(續(xù)) 可用性：可用性可用于數(shù)據(jù)和服務(wù)，它很復(fù)雜，不同的人對可用性的要求是不同的。如果對我們的請求及時響應(yīng)、公平分配資源不存在特惠用戶、服務(wù)和系統(tǒng)遵循容錯原理，當(dāng)軟硬件故障時，服務(wù)以可接

8、受的方式終止而不是突然崩潰和信息丟失、服務(wù)和系統(tǒng)便于使用、支持同時訪問、死鎖管理和獨占式訪問，那么我們說一個數(shù)據(jù)項、服務(wù)或系統(tǒng)可用。可用性的全面實現(xiàn)是安全的下一個巨大挑戰(zhàn)。1.3.2 脆弱點 從系統(tǒng)的三類資源的應(yīng)用中來研究脆弱點，比直接從安全目標(biāo)入手要容易得多。1.3.2 脆弱點(續(xù)) (1) 硬件脆弱點：由于可以看見哪些設(shè)備掛在系統(tǒng)上，所以一種簡單的攻擊是增加設(shè)備、變更設(shè)備、刪除設(shè)備、截取通信或用大量信息阻塞它們使其喪失處理能力。 “無意的機器屠殺”通常不會對其涉及的硬件構(gòu)成嚴(yán)重?fù)p害，有意識地破壞計算機硬件的 “有意的機器破壞”或“機器自毀”危害更大，但有時通過簡單的物理措施就能大大加強硬件

9、安全。但便攜式計算設(shè)備的安全令人堪悠。1.3.2 脆弱點(續(xù)) (2) 軟件脆弱點：軟件可以被惡意替換、改變或破壞，也可以被意外篡改或錯放。物理設(shè)備被破壞一般都有明顯痕跡，但軟件若丟失一行源代碼或目標(biāo)代碼卻不可能留下明顯痕跡。更有甚者，惡意入侵者可以“增強” 軟件功能。 軟件刪除軟件刪除：配置管理(configuration management)程序可以精確地控制訪問軟件，使得軟件不會被意外刪除、破壞和替換。 軟件篡改軟件篡改：軟件對錯誤非常敏感，一位的錯誤都可能導(dǎo)致系統(tǒng)崩潰；“邏輯炸彈邏輯炸彈”(logic bomb)可以使軟件在大多數(shù)時間都可以工作，只在特定情況時才出錯；另一種就是功能擴

10、展，使程序具有難于察覺的功能。1.3.2 脆弱點(續(xù)) 其他類型的軟件篡改包括： 特洛伊木馬特洛伊木馬(trojan horse)：指一個程序，明面上完成一項工作，而暗地里做另外的工作。 病毒病毒(virus)：特洛伊木馬的一種，它能在計算機之間傳播“感染”。 陷門陷門(trapdoor)：有秘密入侵點的程序。 程序中的信息泄露信息泄露(information leaks)：允許非授權(quán)用戶和程序?qū)π畔⒕哂性L問權(quán)的代碼。 軟件竊取軟件竊取 如軟件盜版。1.3.2 脆弱點(續(xù)) (3) 數(shù)據(jù)脆弱性：硬件一般只涉及硬件放置處的小部分人員，軟件則主要涉及計算機專業(yè)人員，而數(shù)據(jù)則更具公眾價值。但評價數(shù)據(jù)

11、的價值困難，通常是有上下文的數(shù)據(jù)就有一有上下文的數(shù)據(jù)就有一定價值定價值。一般來說，軟硬件有相對長的生命周期，價值也會逐漸降低，而數(shù)據(jù)價值與時間的確切關(guān)系則難預(yù)見得多。 1.3.2 脆弱點(續(xù)) 數(shù)據(jù)安全提出了計算機安全的第二條原則： 適度保護(hù)原則適度保護(hù)原則(principle of adequate protection)：計算機資源項在失去價值前必須被保護(hù)。被保護(hù)的程度程度與其價值價值是一致一致的。 # 這種短期保護(hù)窗口的概念主要應(yīng)用于數(shù)據(jù)，但在某些情況下也可應(yīng)用于軟件與硬件。1.3.2 脆弱點(續(xù))圖 1.5 數(shù)據(jù)安全1.3.2 脆弱點(續(xù)) 數(shù)據(jù)機密性數(shù)據(jù)機密性：由于數(shù)據(jù)經(jīng)常表現(xiàn)為人們

12、能夠閱讀的形式，所以數(shù)據(jù)的機密性是計算機安全中的一個關(guān)鍵問題。需要保護(hù)數(shù)據(jù)的形式多種多樣：有計算機數(shù)據(jù)、CD-DVD中的記錄、網(wǎng)絡(luò)電話上的數(shù)字信號、有線和衛(wèi)星電視、生物特征標(biāo)識、網(wǎng)上行為參數(shù)等。 數(shù)據(jù)完整性：數(shù)據(jù)完整性：篡改數(shù)據(jù)需要了解數(shù)據(jù)傳輸、存儲以及數(shù)據(jù)格式。導(dǎo)致這類問題的原因有：惡意程序、錯誤的文件系統(tǒng)工具和有缺陷的通信工具等。數(shù)據(jù)對于篡改特別脆弱，普通方法可能檢測不到微小改動，如salami攻擊；復(fù)雜的攻擊可能試圖對用過的數(shù)據(jù)進(jìn)行再處理，如重放攻擊。1.3.2 脆弱點(續(xù)) (4) 其他易受攻擊的資源 網(wǎng)絡(luò)網(wǎng)絡(luò)：指硬件、軟件和數(shù)據(jù)的專有集合。每個網(wǎng)絡(luò)節(jié)點就是一個計算系統(tǒng)，因此，具有所有

13、常規(guī)安全問題，而不可靠的通信則加重了安全問題。新安全挑戰(zhàn)來源于：缺乏物理臨近、不安全共享媒體，缺乏對遠(yuǎn)程實體的鑒別能力。 訪問訪問：存在三種類型脆弱點：入侵者竊取計算機的機器時間完成一般計算，該計算并不攻擊系統(tǒng)的完整性(類似竊水、電)；入侵者對計算系統(tǒng)惡意訪問，破壞軟件和數(shù)據(jù)；未授權(quán)的訪問可能引起對合法用戶的服務(wù)拒絕。1.3.2 脆弱點(續(xù)) 關(guān)鍵人員關(guān)鍵人員：由于可能存在非惡意、惡意人員，對于操作員和系統(tǒng)程序員等人員必須精心挑選，因為他們有能力影響所有的用戶。1.4 計算機犯罪 計算機罪犯沒有固定的外表特征，許多看上去像罪犯的人可能根本不是罪犯。 從某種意義上講，計算機安全就是為了防止罪犯破

14、壞計算機系統(tǒng)。 計算機犯罪計算機犯罪(computer crime)是與計算機有關(guān)或利用計算機實施犯罪的所有行為。 計算機犯罪每年帶來的損失巨大，因此，應(yīng)該努力減少它的危害。1.4.1 業(yè)余愛好者 大多數(shù)計算機罪犯是普通的計算機專業(yè)人員和用戶，他們發(fā)現(xiàn)計算系統(tǒng)弱點并利用來獲取價值。 業(yè)余愛好者可能會由于對工作環(huán)境的不滿，而通過破壞計算裝置來報復(fù)管理層。1.4.2 破譯者或惡意黑客 系統(tǒng)破譯者破譯者(cracker)指為了險惡目的而試圖訪問計算機的人。他們試圖訪問無權(quán)訪問的計算設(shè)備，將入侵系統(tǒng)視為挑戰(zhàn)。大多數(shù)破譯者破譯系統(tǒng)不與人交流。黑客黑客(hacker)是通過地下網(wǎng)絡(luò)交流成功秘訣。 在安全界

15、，黑客黑客指沒有惡意的編程、管理或使用計算系統(tǒng)的人。破譯者破譯者指惡意試圖訪問計算機的人。安全界以外，這個界限不明確。 對這些攻擊者而言沒有一個共同的特征或目標(biāo)。1.4.3 職業(yè)罪犯 職業(yè)計算機犯罪對其犯罪的目標(biāo)清楚，通常犯罪分子本身就是計算機專業(yè)人員，他們認(rèn)為計算機犯罪前景可觀、回報豐厚。有證據(jù)表明一些犯罪集團和國際組織正在從事計算機犯罪。黑客想要的只是吹噓的資本，而犯罪組織想要獲得經(jīng)濟利益，因此，黑客通常使用一些快速但留有痕跡的攻擊手段，而專業(yè)犯罪攻擊者需要不留痕跡、強大且不會被發(fā)現(xiàn)的攻擊手段。1.4.4 恐怖分子 恐怖分子常以下面三種方式使用計算機： 攻擊目標(biāo)攻擊目標(biāo)：對政治團體，進(jìn)行諸

16、如拒絕服務(wù)攻擊和網(wǎng)站篡改的破壞，這可以引起社會關(guān)注，并給攻擊目標(biāo)造成負(fù)面關(guān)注。 宣傳工具宣傳工具：利用網(wǎng)站、日志和電子郵件讓人們快速獲得有關(guān)消息。 攻擊手段攻擊手段：使用計算機發(fā)起各種令人討厭的攻擊。1.5 防御方法 為了防御損害，可以采取兩種方法：壓制威脅、關(guān)閉脆弱點。或者二者皆選。損害發(fā)生的可能性稱為風(fēng)險風(fēng)險(risk)。處理損害的方法是： 預(yù)防預(yù)防：通過阻止攻擊或關(guān)閉脆弱點 緩解緩解：通過使攻擊變得困難，但不是不可能 轉(zhuǎn)移轉(zhuǎn)移：通過使其他的目標(biāo)更具有吸引力(或減少本目標(biāo)的吸引力) 檢測檢測：發(fā)生時或者在發(fā)生后的一段時間進(jìn)行檢測 恢復(fù)恢復(fù)：攻擊后的恢復(fù) 當(dāng)然，可以同時使用以上的其中幾種。1

17、.5.1 控制 我們采取一個或多個控制的依據(jù)是：要保護(hù)什么，保護(hù)費用與損失風(fēng)險比較如何，攻擊者為達(dá)到目的會付出多大努力。圖 1.6 多重控制1.5.1 控制(續(xù)) 加密加密：加密技術(shù)解決了數(shù)據(jù)的機密性要求，同時也可以用來保護(hù)完整性。加密是安全協(xié)議協(xié)議的基礎(chǔ)，為執(zhí)行一個重要的系統(tǒng)或網(wǎng)絡(luò)任務(wù)提供安全保障。機密可以為可用性提供支持。 但也不能過高估計加密的重要性，加密不能解決所有的安全問題，需要其他工具為補充。不當(dāng)加密可能對安全毫無作用甚至降低整個系統(tǒng)的性能性能。1.5.1 控制(續(xù)) 軟件控制軟件控制：程序應(yīng)該足夠安全以防止外部攻擊，它們必須不斷升級和維護(hù)。程序控制包括以下方面： 內(nèi)部程序控制內(nèi)部

18、程序控制：程序中執(zhí)行安全限制的部分。 操作系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)控制操作系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)控制：用戶保護(hù)程序。 獨立控制程序獨立控制程序：一些應(yīng)用程序，如口令檢 測、入侵檢測工具或病毒掃描器。它們針對某類脆弱點。 開發(fā)控制開發(fā)控制：用于程序設(shè)計、編碼、測試和維護(hù)的質(zhì)量標(biāo)準(zhǔn)。1.5.1 控制(續(xù)) 硬件控制硬件控制：專門設(shè)計具有安全保護(hù)的硬件，如執(zhí)行加密的硬件智能卡、限制訪問的鎖或電纜、用戶身份識別設(shè)備、存儲介質(zhì)的訪問控制電路板等。 策略和過程策略和過程：用戶之間約定規(guī)則，規(guī)則在建立后實施培訓(xùn)和管理，以加強安全規(guī)則的重要性和確保其正確地使用。規(guī)定不僅需要考慮法律還應(yīng)該考慮群體信念。 物理控制物理控制：包括瑣

19、門、守衛(wèi)入口、備份重要軟件和數(shù)據(jù)，以及選擇自然災(zāi)害少的地理位置。1.5.2 控制的有效性 察覺問題察覺問題：正在應(yīng)用控制的人必須相信安全的必要。 使用的可能性使用的可能性：控制不會自動生效，除非正確使用。 有效性原則有效性原則(principle of effectiveness)：控制必須加以使用(而且是正確使用)才有效。它們必須是高效、容易使用和適當(dāng)?shù)摹?# 就其使用的時間、存儲空間、人員活動或其他資源等方面而言，計算機安全控制必須足夠高效、從而使控制的使用不會嚴(yán)重影響受保護(hù)的任務(wù)執(zhí)行。1.5.2 控制的有效性(續(xù)) 重疊控制重疊控制：對重要部分可以采取多種安全措施并用的方式。 定期檢查定

20、期檢查：沒有一種控制是永遠(yuǎn)有效的。判斷控制的有效性是一項持續(xù)的工作。 重疊控制旨在一種控制失效，另一種控制可以補救，在某些情況下的確如此，但在另一些情況下兩種控制并不一定優(yōu)于一種控制。1.5.2 控制的有效性(續(xù)) 最弱環(huán)節(jié)原則最弱環(huán)節(jié)原則(principle of weakest link)：安全不會強于其最弱的環(huán)節(jié)。不管它是防火墻的電源，或是支持安全應(yīng)用的操作系統(tǒng)，或是規(guī)則、實現(xiàn)和管理控制的人，只要所有控制中的任何一個失敗了，整個安全就失敗了。1.6 后續(xù)內(nèi)容 課程內(nèi)容分成三大部分：第一部分簡要介紹密碼學(xué)；第二部分涉及計算機系統(tǒng)的硬軟件部件，描述每個部件的安全問題，以及可實施的各種保護(hù)方法；第三部分討論系統(tǒng)軟硬件和數(shù)據(jù)以外影響系統(tǒng)安全的因素。這部分不僅考慮安全中的物理因素還考慮人為因素。 1.6.1 密碼學(xué)精講 第2章將了解密碼學(xué)的基本術(shù)語，目標(biāo)，主流算法，應(yīng)用。從而理解一個密碼系統(tǒng)如何為商業(yè)應(yīng)用、政府?dāng)?shù)據(jù)或個人私有信息提供足夠的安全保障。 1.6.2 軟件和硬件安全 第3章將介紹的是程序安全問題。這里，我們將討論病毒、其他惡意代碼以及如何對它們進(jìn)行控制。 1.6.2 軟件和硬件安全(續(xù)) 第4章將單獨討論通用操作系統(tǒng)