網(wǎng)絡和計算機安全

1、網(wǎng)絡和計算機安全信息安全概述1Internet中的信息安全Internet中的信息系統(tǒng)越來越不安全高度互聯(lián)的InternetInternet安全性問題的根源是信任假設的改變（ATM）World Wide Web和Wild and Woolly West (M.Jakobsson和M.Yung )信用卡泄密事件2案例美4000萬信用卡泄密，波及中國卡2005年6月21日報道，美國4000萬信用卡資料泄露的事件最終還是波及到了中國。根據(jù)萬事達（Mastercard）昨日發(fā)布的澄清聲明，被波及的中國萬事達信用卡數(shù)量為5560張以內(nèi)。Visa國際則表示，相關的數(shù)據(jù)正在統(tǒng)計中，將在稍晚發(fā)布。因為這次事件

2、中美國所有的信用卡品牌均被波及，萬事達卡只占“外泄卡”總數(shù)的35%，所以中國“外泄卡”總數(shù)很可能過萬。本次遭到黑客入侵的公司，是在美專為銀行、會員機構(gòu)、特約商店處理卡片交易資料之外包廠商CardSystems。此公司在美負責處理大約105000家中小企業(yè)業(yè)務，目前并未處理中國內(nèi)地銀行的信用卡業(yè)務。但由于其代理的萬事達和Visa兩大全球信用卡公司，均已在中國開展業(yè)務多年。所以，萬事達卡的“外泄卡”中，也有0.04%（大約5600張）在中國內(nèi)地，0.07%（大約10000張）在香港。萬事達卡表示，偵測發(fā)現(xiàn)此次事件之后，立即主動發(fā)出預警通知所有銀行、金融機構(gòu)，呼吁所有單位須更加小心保護自身權益。另外

3、，萬事達卡國際組織也已徹底要求CardSystems限期改善，立即補強安全漏洞。Visa國際表示將盡快發(fā)布緊急聲明。Visa國際中國區(qū)總經(jīng)理熊安平昨日在接受記者獨家專訪時表示，Visa國際定期在全球收集有關欺詐嫌疑的商戶，還會針對珠寶店之類高風險的商戶實行特別監(jiān)控，并針對網(wǎng)上交易等實行“保證金”制度，確保持卡人權益不受侵害。未受波及的中國銀聯(lián)也不敢掉以輕心。因為在國內(nèi)擁有最大的銀行卡網(wǎng)絡，且與CardSystems的業(yè)務有部分的重合，中國銀聯(lián)發(fā)言人表示將很快發(fā)布對于此事件的官方聲明。3信用卡事件圖例4思考題本次泄密事件的泄密機制是怎么樣的？本次泄密事件的主要原因是什么？如何防范這種泄密？這種信

4、用卡盜竊事件破壞了（信用卡）信息的什么屬性？5CERT報告的安全性問題CERT (Computer Emergency Response Team) 報告的安全性問題總體呈現(xiàn)上升趨勢分為兩個報告：報告的漏洞安全事件61995-2004年報告的漏洞數(shù)目統(tǒng)計 (CERT) 71988-2003年報告的安全事件統(tǒng)計 (CERT) 安全事件02000040000600008000010000012000014000016000019881989199019911992199319941995199619971998199920002001200220038安全問題的重要性系統(tǒng)原來越不安全系統(tǒng)的安全性取

5、決于不同的方面本課程的主要著力點在于安全軟件的設計問題上講解安全的原理9什么是安全10安全的概念橘皮書C. I. A.信息安全領域的劃分 安全的矛盾性 安全定義的發(fā)展 影響安全的技術因素 11橘皮書橘皮書的歷史橘皮書定義了三類、六個基本需求第一類：策略需求1 安全策略 (Security Policy) 需求2 標定 (Marking) 第二類：審計 需求3 可標識 (Identification) 需求4 可審計 (Accountability) 第三類：保障 需求5 保障 (Assurance) 需求6 持續(xù)防護 (Continuous Protection) 12信息安全的定義 信息安全

6、是一個十分廣泛而又復雜的話題美國國家電信和信息安全委員會 (NSTISSC) 信息安全是對信息、系統(tǒng)以及使用、存儲和傳輸信息的硬件的保護。但是要保護信息及其相關系統(tǒng)，諸如策略、認識、培訓和教育以及技術手段都是必要的。 微軟公司 M. Howard, D. LeBlance 一個安全的產(chǎn)品應該是指在信息所有者或者系統(tǒng)管理員控制下能夠保護客戶數(shù)據(jù)的機密性、完整性和可用性，能夠保護資源處理過程的完整性和有效性。機密性 (Confidentiality)、完整性 (Integrity) 和可用性 (Availability) 的組合13機密性機密性是指保證計算機相關的有價值財產(chǎn)（信息）只能被授權過的用

7、戶所訪問。 機密性的保護認證和訪問控制加密14完整性完整性是指這些計算機相關的有價值財產(chǎn)（信息）只能被授權過的用戶所修改，或者通過授權過的過程所修改。 完整性的保護認證和訪問控制加密15可用性可用性是指這些有價值的財產(chǎn)（信息）在需要的時候必須能夠被授權的用戶訪問或者修改?？捎眯缘钠茐腄OS: Denial Of Service 16可用性破壞案例SYN Flood的基本原理SYN Flood是當前最流行的DoS（拒絕服務攻擊）與DDoS（分布式拒絕服務攻擊）的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡（CPU滿負荷或內(nèi)存不足）的攻擊方式。要明白

8、這種攻擊的基本原理，還是要從TCP連接建立的過程開始說起：TCP與UDP不同，它是基于連接的，也就是說：為了在服務端和客戶端之間傳送TCP數(shù)據(jù)，必須先建立一個虛擬電路，也就是TCP連接，建立TCP連接的標準過程是這樣的：首先，請求端（客戶端）發(fā)送一個包含SYN標志的TCP報文，SYN即同步（Synchronize），同步報文會指明客戶端使用的端口以及TCP連接的初始序號；第二步，服務器在收到客戶端的SYN報文后，將返回一個SYN+ACK的報文，表示客戶端的請求被接受，同時TCP序號被加一，ACK即確認（Acknowledgement）。第三步，客戶端也返回一個確認報文ACK給服務器端，同樣TC

9、P序列號被加一，到此一個TCP連接完成。以上的連接過程在TCP協(xié)議中被稱為三次握手（Three-way Handshake）。17可用性破壞案例 (續(xù))問題就出在TCP連接的三次握手中，假設一個用戶向服務器發(fā)送了SYN報文后突然死機或掉線，那么服務器在發(fā)出SYN+ACK應答報文后是無法收到客戶端的ACK報文的（第三次握手無法完成），這種情況下服務器端一般會重試（再次發(fā)送SYN+ACK給客戶端）并等待一段時間后丟棄這個未完成的連接，這段時間的長度我們稱為SYN Timeout，一般來說這個時間是分鐘的數(shù)量級（大約為30秒-2分鐘）；一個用戶出現(xiàn)異常導致服務器的一個線程等待1分鐘并不是什么很大的問

10、題，但如果有一個惡意的攻擊者大量模擬這種情況，服務器端將為了維護一個非常大的半連接列表而消耗非常多的資源-數(shù)以萬計的半連接，即使是簡單的保存并遍歷也會消耗非常多的CPU時間和內(nèi)存，何況還要不斷對這個列表中的IP進行SYN+ACK的重試。實際上如果服務器的TCP/IP棧不夠強大，最后的結(jié)果往往是堆棧溢出崩潰-即使服務器端的系統(tǒng)足夠強大，服務器端也將忙于處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求（畢竟客戶端的正常請求比率非常之?。藭r從正常客戶的角度看來，服務器失去響應，這種情況我們稱作：服務器端受到了SYN Flood攻擊（SYN洪水攻擊）。18可用性破壞案例 (續(xù))從防御角度來說

11、，有幾種簡單的解決方法：第一種是縮短SYN Timeout時間，由于SYN Flood攻擊的效果取決于服務器上保持的SYN半連接數(shù)，這個值=SYN攻擊的頻度 x SYN Timeout，所以通過縮短從接收到SYN報文到確定這個報文無效并丟棄改連接的時間，例如設置為20秒以下（過低的SYN Timeout設置可能會影響客戶的正常訪問），可以成倍的降低服務器的負荷。第二種方法是設置SYN Cookie，就是給每一個請求連接的IP地址分配一個Cookie，如果短時間內(nèi)連續(xù)受到某個IP的重復SYN報文，就認定是受到了攻擊，以后從這個IP地址來的包會被丟棄?？墒巧鲜龅膬煞N方法只能對付比較原始的SYN F

12、lood攻擊，縮短SYN Timeout時間僅在對方攻擊頻度不高的情況下生效，SYN Cookie更依賴于對方使用真實的IP地址，如果攻擊者以數(shù)萬/秒的速度發(fā)送SYN報文，同時利用SOCK_RAW隨機改寫IP報文中的源地址，以上的方法將毫無用武之地。 19機密性，完整性和可用性及其之間的關系 完整性機密性可用性安全20C, I, A分類21信息安全領域的劃分 22安全的矛盾性 警察與小偷銀行和搶匪安全的矛盾性不可避免23安全定義的發(fā)展 19601970：通信安全19701980：計算機安全19801990：信息安全1990 ：信息保障24影響安全的技術因素 網(wǎng)絡因素 系統(tǒng)復雜性因素 系統(tǒng)可擴展

13、因素 25安全策略和安全機制概述26威脅與威脅建模威脅 威脅是對信息安全的某種破壞 對威脅的分析的系統(tǒng)化方法稱為威脅建模 成立威脅建模小組分解應用程序確定系統(tǒng)所面臨的威脅以風險遞減的原則對威脅排序選擇應付威脅的方法選擇緩和威脅的技術從確定下來的技術中選擇適當?shù)姆椒?威脅建模是設計安全信息系統(tǒng)的第一步，也是最為重要的一環(huán)27威脅建模的迭代過程圖解28威脅的分類 (Shirey) 泄密（Disclosure），也即未經(jīng)授權的訪問，是對信息機密性的破壞；欺騙（Deception），也即收到錯誤的數(shù)據(jù)；攔截（Disruption），也即中斷或者阻止正確的操作；篡改（Usurpation），也即非授權的

14、控制系統(tǒng)的某些部分。 29安全策略 安全策略（Security Policy） 就是指定系統(tǒng)允許或者禁止用戶做什么的一種陳述 表述系統(tǒng)的安全策略 自然語言數(shù)學表示 安全策略語言 30XACML 3132使用安全策略來定義安全系統(tǒng)狀態(tài)（System State） 系統(tǒng)狀態(tài)是指一個系統(tǒng)中所有的內(nèi)存、外存、寄存器和其它系統(tǒng)部件的當前值的一個集合 保護狀態(tài)（Protection State） 保護狀態(tài)是系統(tǒng)狀態(tài)中有關保護系統(tǒng)的內(nèi)容的一個子集ACM (Access Control Matrix) 表示保護狀態(tài)最為精確和常用的方法 33ACM的表示objects (entities)subjectss1s

15、2sno1 om s1 sn34ACM的例子 135ACM例子2進程 p, q文件 f, g權限 r, w, x, a, ofgpqprworrwxowqarorrwxo36其它的策略表述Subject annieAttributes role (artist), groups (creative)Verb paintDefault 0 (deny unless explicitly granted)Object pictureRule:paint:artist in subject.role andcreative in subject.groups andtime.hour 0 and t

16、ime.hour 537映射到ACM picture annie paintAt 3AM, time conditionmet; ACM is: picture annie At 10AM, time conditionnot met; ACM is:38狀態(tài)遷移改變系統(tǒng)的保護狀態(tài)| 代表遷移Xi | Xi+1:命令 將系統(tǒng)從狀態(tài) Xi 遷移到 Xi+1Xi | * Xi+1: 一組命令將系統(tǒng)從狀態(tài) Xi 遷移到 Xi+1這些命令 () 經(jīng)常叫轉(zhuǎn)換過程 (transformation procedures)39ACM的六個原子操作create subject s; create object

17、o在ACM中創(chuàng)建新的一行和一列；創(chuàng)建新的一列destroy subject s; destroy object o在ACM中刪除一行和一列；刪除一列enter r into As, o在ACM單元格子中添加權限r(nóng)delete r from As, o在ACM單元格子中刪除權限r(nóng)40Create Subject前提: s S原子命令: create subject s結(jié)果:S = S s , O = O s (y O)as, y = , (x S)ax, s = (x S)(y O)ax, y = ax, y41Create Object前提: o O原子命令: create object o結(jié)

18、果:S = S, O = O o (x S)ax, o = (x S)(y O)ax, y = ax, y42Add Right前提: s S, o O原子命令: enter r into as, o結(jié)果:S = S, O = O(x S)(y O) ax, y = ax, yas, o = as, o r 43Delete Right前提: s S, o O原子命令: delete r from as, o結(jié)果:S = S, O = O(x S)(y O) ax, y = ax, yas, o = as, o r 44Destroy Subject前提: s S原子命令: destroy s

19、ubject s結(jié)果:S = S s , O = O s (y O)as, y = , (x S)ax, s = (x S)(y O) ax, y = ax, y45Destroy Object前提: o O原子命令: destroy object o結(jié)果:S = S, O = O o (x S)ax, o = (x S)(y O) ax, y = ax, y46實際系統(tǒng)中ACM的例子創(chuàng)建一個文件的命令進程 p 創(chuàng)建一個文件 f 并賦予p以r 和 w 權限command create_file(p, f)create object f;enter own into Ap, f;enter r

20、into Ap, f;enter w into Ap, f;end47單調(diào)命令 (Mono-Operational Commands)使得進程 p 成為文件g的ownercommand make_owner(p, g)enter own into Ap, g;end單調(diào)命令 (Mono-operational command)在命令中只有一個原子命令48條件命令條件命令command grant_read_file_1(p, f, q)if own in Ap, fthenenter r into Aq, f;end單調(diào)條件命令在命令中只有一個條件49多條件命令如果p是f的owner，并且p擁

21、有q的copy權限，那么讓p賦給q以f的r和w的權限command grant_read_file_2(p, f, q)if own in Ap, f and c in Ap, qthenenter r into Aq, f;enter w into Aq, f;end50Copy權限允許進程將權限賦給別人經(jīng)常作為一個附加給一個權限：r 是一個讀權限，但不能被賦值rc 是一個都權限，可以被賦值是否權限在賦給的時候，需要給出賦值標識c?這取決于你的安全策略模型 (DAC)51Own權限通常允許一個進程執(zhí)行改變ACM內(nèi)列中的內(nèi)容的一個權限一個對象的owner可以為其它用戶添加、刪除該對象的權限但是

22、也是需要依賴于系統(tǒng)的需求不能將權限賦給某些人不能將權限的copy標志賦給某些人有些系統(tǒng)不允許owner具有如此功能 (MAC)52什么是 “Secure”?Adding a generic right r where there was not one is “l(fā)eaking”If a system S, beginning in initial state s0, cannot leak right r, it is safe with respect to the right r.53Safety問題是否存在一個算法能夠決定如下問題：針對某個權限r(nóng)，安全系統(tǒng)S從安全的初始狀態(tài)Sn開始一直是

23、安全的。54單調(diào)命令回答: yes證明的思路:Consider minimal sequence of commands c1, , ck to leak the right r. Can omit delete, destroy Can merge all creates into oneWorst case: insert every right into every entry; with s subjects and o objects initially, and n rights, upper bound is k n(s+1)(o+1)55通用問題不能給出回答：It is un-

24、decidable whether a given state of a given protection system is safe for a given generic rightProof: Reduction from halting problemSymbols, states rightsTape cell subject (can create new subjects)Right own: si owns si+1 for 1 i kCell si A si has A rights on itselfCell sk sk has end rights on itselfS

25、tate p, head at si si has p rights on itself56例子ABCDs1s2s3s4s1Aowns2Bowns3C, powns4D, endMatrixTuring Machine57映射ABXD1234heads1s2s3s4s4s3s2s1ABXD k1 endownownownAfter d(k, C) = (k1, X, R)where k is the currentstate and k1 the next state58命令d(k, C) = (k1, X, R) at intermediate becomescommand ck,C(s3,

26、s4)if own in As3,s4 and k in As3,s3and C in As3,s3thendelete k from As3,s3;delete C from As3,s3;enter X into As3,s3;enter k1 into As4,s4;end59分析Halting problem Turing Machine: Symbols A, B; states p, qCp,A(si,si-1) (move left)if own asi-1,si and p asi,si and A asi,siDelete p from asi,si, A from asi,

27、siEnter B into asi,si, q into asi-1,si-1Similar commands for move right, move right at end of tapeSimulates Turing machineLeaks halting state halting state in the matrix Halting state reachedThis is undecidable!60映射ABXY1234heads1s2s3s4s4s3s2s1ABXYownownownAfter d(k1, D) = (k2, Y, R)where k1 is the c

28、urrentstate and k2 the next states5s5ownb k2 end5b61命令d(k1, D) = (k2, Y, R) at end becomescommand crightmostk,C(s4,s5)if end in As4,s4 and k1 in As4,s4and D in As4,s4thendelete end from As4,s4;create subject s5;enter own into As4,s5;enter end into As5,s5;delete k1 from As4,s4;delete D from As4,s4;en

29、ter Y into As4,s4;enter k2 into As5,s5;end62證明Protection system exactly simulates a TMIf TM enters state qf, then right has leakedIf safety question decidable, then represent TM as above and determine if qf leaksImplies halting problem decidableConclusion: safety question undecidable63安全系統(tǒng)和不安全系統(tǒng)安全策略

30、（Security Policy） 是將系統(tǒng)分解成一組安全（授權）的狀態(tài)和不安全（授權）狀態(tài)的一種陳述 安全系統(tǒng)（Secure System） 是指一個從安全（授權）的狀態(tài)出發(fā)，不會進入不安全（授權）的狀態(tài)的系統(tǒng)。 安全精確交叉系統(tǒng)可達狀態(tài)系統(tǒng)安全狀態(tài)64機密性、完整性和有效性的定義 機密性（Confidentiality） 設X表示一組實體，I表示一些信息或者一個資源。如果I相對于X具有機密性是指X中的任意成員不能夠得到I中的任何內(nèi)容。 完整性（Integrity） 設X表示一組實體，I表示一些信息或者一個資源。如果I相對于X具有完整性是指X中的所有成員都信任I中的內(nèi)容。 可用性（Avail

31、ability） 設X表示一組實體，I表示一些信息或者一個資源。如果I相對于X具有可用性是指X中的所有成員都可以訪問I中的內(nèi)容。 65安全機制 安全機制（Mechanism） 是一種執(zhí)行安全策略的方法、工具或者過程 信任和假設 信任是一切安全研究的基礎。沒有信任就不可能存在實際的安全。 信任很多時候需要假設。這些假設可能沒有經(jīng)過嚴格證明，但是的確實際存在。 上課的老師不是黑幫頭目，沒有懷揣槍支來上課； 上課的時候，你周圍的同學不會惡意對你，不過在你背后捅刀子；教學樓的質(zhì)量室過關的，不會出現(xiàn)天花板掉下來，或者腳下的樓板開裂這樣的問題；你相信在宿舍樓里已經(jīng)關好門，上好鎖，看門的大爺大媽在兢兢業(yè)業(yè)的

32、工作，所以的寢室里的財物不會被人拿走；66安全機制的思考題現(xiàn)有一份文檔，安全策略是不允許id為weili的用戶查看該文檔有哪些機制可以實現(xiàn)這個策略？67安全保障有了目標和機制以后，關鍵在于如何執(zhí)行這些機制制定規(guī)范 (specification)需求分析目標功能表述設計系統(tǒng) (Design)設計系統(tǒng)以滿足規(guī)范的需求執(zhí)行系統(tǒng) (Implementation)執(zhí)行系統(tǒng)以符合當初設計的目標68研究安全的方法學 ThreatsPolicySpecificationDesignImplementationOperation69運作問題Cost-Benefit分析是否該保護更為便宜，但是已經(jīng)達到保護要求足夠

33、保護原理 (Principle of Adequate Protection): 計算機單元得到的保護應該與它們的價值成正比。風險分析 (Risk Analysis)我們應該保護有些東西嗎？最容易侵入原理 (Principle of Easiest Penetration)：必須考慮到一個入侵者必然會利用所有可以利用的手段去執(zhí)行入侵。法律和習慣所有的安全手段是否合法？人們是否愿意去執(zhí)行它們？70人的因素組織問題權力和責任經(jīng)濟利益人員問題內(nèi)部威脅還是外部威脅哪個是你認為的真真的威脅社會工程一種攻擊手段，與人員的安全意識緊密相關71思考題如何保護你的project什么是你的project的安全性？

34、現(xiàn)有哪些威脅在影響你的project？如何保護你的Project？制定幾條安全策略用以保護你的project？這些策略夠了嗎？如何執(zhí)行上述安全策略？如何解決相應的組織問題和工具問題？有哪些運作問題存在？有哪些人的問題存在？72信息系統(tǒng)安全攻擊的概述73案例分析2001年，信息周刊（Information Week）對4500個安全專家進行了一個全球信息調(diào)查。作為調(diào)查的一部分，要求回答者列出入侵者入侵其機構(gòu)所使用的主要攻擊方法（允許多選）。排在第一位的方法是利用操作系統(tǒng)的漏洞：大約三分之一的回答者經(jīng)歷過這種攻擊。接下來的流行方法是利用不為人知的應用程序（占27%）。其它常見的攻擊是猜口令（占22

35、%）、濫用合法用戶的帳戶或者許可（占17%）和使用拒絕服務攻擊（占12%）。通常的思維總是認為針對公司網(wǎng)絡或計算機的攻擊，有五分之四是由懷有惡意的內(nèi)部員工所為，因為他們利用對系統(tǒng)的熟悉來達到目的。這次的調(diào)查嘗試確定這個“首要規(guī)則”是否成立。事實上，利用網(wǎng)絡應用程序的增長，現(xiàn)在認為外部人士具有更大的威脅。Hulme指出“很多公司懷疑黑客、恐怖分子（占46%）甚至一些消費者（占14）在試圖攻擊他們的系統(tǒng)”。美國計算機安全研究所和美國聯(lián)邦調(diào)查局出版的另外一份調(diào)查報告也證實了這種懷疑。第二份報告指出幾乎四分之三的企業(yè)認為因特網(wǎng)的攻擊起點，而只有三分之一的企業(yè)認為內(nèi)部系統(tǒng)是攻擊起點。74問題漏洞最大的來源是什么？攻擊的最大來源是什么？對企業(yè)系統(tǒng)的攻擊點最大的來源是什么？75攻擊方法的步驟 調(diào)查目標系統(tǒng)狀況。首先通過各種途徑找到所需要攻擊的信息系統(tǒng)的概況。包括了解信息系統(tǒng)的類型、版本等信息，這樣容易找到相關的資料調(diào)查目標系統(tǒng)的漏洞所在；初始攻擊。找尋相關工具，或者編寫相應腳本進行攻擊。一般以嘗試進入為這一階段的第一步。比如找到一個Guest帳號進入系統(tǒng)。這樣有助于進一步獲取系統(tǒng)信息，并運行下一步的攻擊