第1章計算機系統(tǒng)安全概論

2023/2/1計算機系統(tǒng)安全原理與技術1計算機系統(tǒng)安全原理與技術

陳波/機械工業(yè)出版社

張德政/62334547

zdzchina@126.com計算機系統(tǒng)安全原理與技術十八屆三中全會決定設立國家安全委員會，成為此次全會的突出亮點之一。維護國家安全是中國21世紀的重大課題，中國在越來越強大，但國家安全形勢越來越復雜，成立國家安全委員會來得正當其時。

2023/2/1計算機系統(tǒng)安全原理與技術2計算機系統(tǒng)安全原理與技術成立國家安全委員會必將強化中國的“大安全”概念，也會觸動我們對國家安全內涵不斷變化的更多思考。過去國人對國家安全的認識大多局限于傳統(tǒng)安全領域，如國防建設、大國博弈、領土安全等等。但現實已在不斷提醒我們，21世紀中國國家安全的內容遠不止這些2023/2/1計算機系統(tǒng)安全原理與技術3計算機系統(tǒng)安全原理與技術經濟、特別是金融安全的重要性異軍突起，信息安全也在互聯網時代有了特殊含義，此外很多領域的安全變得界限模糊，相互交錯。2023/2/1計算機系統(tǒng)安全原理與技術4棱鏡門棱鏡計劃（PRISM）是一項由美國國家安全局（NSA）自2007年起開始實施的絕密電子監(jiān)聽計劃，該計劃的正式名號為“US-984XN”。美國情報機構一直在九家美國互聯網公司中進行數據挖掘工作，從音頻、視頻、圖片、郵件、文檔以及連接信息中分析個人的聯系方式與行動。監(jiān)控的類型有10類：信息電郵，即時消息，視頻，照片，存儲數據，語音聊天，文件傳輸，視頻會議，登錄時間，社交網絡資料的細節(jié)兩個秘密監(jiān)視項目，一是監(jiān)視、監(jiān)聽民眾電話的通話記錄，二是監(jiān)視民眾的網絡活動。2023/2/1計算機系統(tǒng)安全原理與技術5棱鏡門PRISM計劃能夠對即時通信和既存資料進行深度的監(jiān)聽。監(jiān)聽對象包括任何在美國以外地區(qū)使用參與計劃公司服務的客戶，或是任何與國外人士通信的美國公民PRISM計劃中可以獲得的數據電子郵件、視頻和語音交談、影片、照片、VoIP交談內容、檔案傳輸、登入通知，以及社交網絡細節(jié)綜——合情報文件“總統(tǒng)每日簡報”中。在2012年內在1，477個計劃使用了來自PRISM計劃的資料2023/2/1計算機系統(tǒng)安全原理與技術6棱鏡門2013年7月1日晚，維基解密網站披露，美國“棱鏡門”事件泄密者愛德華·斯諾登(EdwardSnowden)在向厄瓜多爾和冰島申請庇護后，又向19個國家尋求政治庇護。美國驚人規(guī)模的海外監(jiān)聽計劃在前中情局雇員愛德華·斯諾登的揭露下，引發(fā)美國外交地震。斯諾登：美國國家安全局已搭建一套基礎系統(tǒng)，能截獲幾乎任何通信數據。憑借這樣的能力，大部分通信數據都被無目標地自動保存。如果我希望查看你的電子郵件或你妻子的手機信息，所要做的就是使用截獲的數據。我可以獲得你的電子郵件、密碼、通話記錄和信用卡信息。2023/2/1計算機系統(tǒng)安全原理與技術7國務院保障信息安全的若干意見1.確保重要信息系統(tǒng)和基礎信息網絡安全。能源、交通、金融等領域涉及國計民生的重要信息系統(tǒng)和電信網、廣播電視網、互聯網等基礎信息網絡，要同步規(guī)劃、同步建設、同步運行安全防護設施，強化技術防范，嚴格安全管理，切實提高防攻擊、防篡改、防病毒、防癱瘓、防竊密能力。2023/2/1計算機系統(tǒng)安全原理與技術8國務院保障信息安全的若干意見2.加強政府和涉密信息系統(tǒng)安全管理。嚴格政府信息技術服務外包的安全管理，為政府機關提供服務的數據中心、云計算服務平臺等要設在境內，禁止辦公用計算機安裝使用與工作無關的軟件。建立政府網站開辦審核、統(tǒng)一標識、監(jiān)測和舉報制度。減少政府機關的互聯網連接點數量，加強安全和保密防護監(jiān)測。落實涉密信息系統(tǒng)分級保護制度，強化涉密信息系統(tǒng)審查機制。2023/2/1計算機系統(tǒng)安全原理與技術9國務院保障信息安全的若干意見3.保障工業(yè)控制系統(tǒng)安全。加強核設施、航空航天、先進制造、石油石化、油氣管網、電力系統(tǒng)、交通運輸、水利樞紐、城市設施等重要領域工業(yè)控制系統(tǒng)，以及物聯網應用、數字城市建設中的安全防護和管理，定期開展安全檢查和風險評估。2023/2/1計算機系統(tǒng)安全原理與技術10世界黑客齊聚拉斯維加斯黑帽大會7月31日至8月1日，世界黑客的大聚會——“黑帽大會”在美國拉斯韋加斯舉行。然而就在此前幾天，黑客巴納拜·杰克離奇死亡。“黑客”再次成為世界的焦點。其實，在黑客界，通?！百浰汀比N顏色的“帽子”來分辨黑客的性質：“黑帽”指那些違法破壞的駭客，“灰帽”指游走于法律邊緣的黑客，“白帽”則是指那些合法運用黑客技術，善意幫助人類的“大俠”。2023/2/1計算機系統(tǒng)安全原理與技術11世界黑客齊聚拉斯維加斯黑帽大會“黑客”英文叫hacker，不走尋常路的計算機狂熱愛好者。利用自己的技術，“穿透”計算機系統(tǒng)，把系統(tǒng)漏洞告知設計者，從而幫助完善軟件技術。黑客，可謂是計算機江湖中的“俠士”。cracker，翻譯為“駭客”——那些惡意破壞，甚至編寫病毒擴散的“壞人”?！榜斂汀笔侵改切案蓧氖碌暮诳汀?。“低端駭客”。他們本身電腦水平一般，只是拿來一些別人開發(fā)的惡意軟件代碼，就在互聯網上作惡。2023/2/1計算機系統(tǒng)安全原理與技術12世界黑客齊聚拉斯維加斯黑帽大會“黑帽大會”上五條不成文規(guī)定1.管好設備：把手機拿在手上吧，任何單獨擺放的設備都是一份“病毒邀請函”。2.別收禮物：任何人遞來的U盤都可能是竊取你個人信息的必殺器。3.保持警惕：萬事萬物都能被“黑”，包括ATM機、房間鑰匙等。4.融入大家：別一個人孤零零地坐著，不然更容易被“黑”。5.別上“綿羊墻”：多丟臉啊，所有信息都公之于眾，一定要小心點兒2023/2/1計算機系統(tǒng)安全原理與技術13世界黑客齊聚拉斯維加斯黑帽大會黑客名人克里斯蒂娜，24歲俄羅斯美女，紐約大學高材生，領導30多人的東歐黑客集團，在2010年偽造銀行賬號、密碼以及“宙斯”木馬惡意軟件，等潛入數百個中小企業(yè)和個人的網上賬戶，竊取巨款。從英美多家銀行中，總共盜竊1200多萬美元列文，俄羅斯數學天才。早在1994年，列文就曾用圣彼得堡的一臺個人電腦入侵美國花旗銀行，盜走數百萬美元。不過，列文技術雖牛，犯罪流程設計的卻有些糙。因為他是直接竊取用戶的賬戶，這樣用戶很快發(fā)現賬戶少了錢報警。俄羅斯，63歲，退休計算機工程師，因為退休金太少，他于是與另外4名退休老頭(包括一名退休警察)組成黑客團伙。他們在莫斯科的一些網吧內，盜取西方國家銀行信用卡賬戶上的錢財。不過在成功盜取1萬美元后，就被逮捕了。2023/2/1計算機系統(tǒng)安全原理與技術14世界黑客齊聚拉斯維加斯黑帽大會開著貨車攻擊全球網絡2013年3月，全球互聯網遭到“史上最大規(guī)模襲擊”，國際互聯網聯網速度因而減緩。4月，這起襲擊的嫌犯坎普赫伊斯在西班牙被捕。這位35歲的荷蘭人原本就是黑客界的超級人物，被譽為“互聯網頭號公敵”。警方發(fā)現，他開著一輛碩大的廂式貨車，車上布滿了各種天線和太陽能電池板?？财蘸找了咕褪峭ㄟ^這輛車，用無線互聯網信號操縱被控電腦，在全球發(fā)動黑客襲擊。被捕時，他聲稱自己是“網絡堡壘共和國的外交部長和電信部長”，應該享有外交豁免權2023/2/1計算機系統(tǒng)安全原理與技術15世界黑客齊聚拉斯維加斯黑帽大會用iPhone充電器作為黑客工具美國拉斯維加斯的BlackHat2013安全大會上，來自喬治亞理工學院的三名研究人員展示了一款“概念驗證”型充電器，可以在蘋果公司的iOS設備上秘密安裝惡意軟件?；陂_源單片計算機“BeagleBoard”而開發(fā)。BeagleBoard由德州儀器出售，零售價為45美元?！斑x擇這種單片機是為了證明，要在平淡無奇的USB充電器中嵌入惡意軟件其實并不難。三位研究人員在不到一分鐘的時間內，利用該充電器侵入了搭載最新版iOS系統(tǒng)的設備中。他們還表示，這種惡意軟件感染持續(xù)時間長，用戶很難發(fā)覺。有黑客組織2月發(fā)布了完美越獄工具evasi0n，利用了包括iOS移動備份系統(tǒng)在內的5處漏洞破壞了蘋果公司的安全機制。2023/2/1計算機系統(tǒng)安全原理與技術162023/2/1計算機系統(tǒng)安全原理與技術172023/2/1計算機系統(tǒng)安全原理與技術18

財政廳系統(tǒng)總體結構2023/2/1計算機系統(tǒng)安全原理與技術19

財政廳系統(tǒng)總體結構2023/2/1計算機系統(tǒng)安全原理與技術20學習內容與方法計算機系統(tǒng)安全原理計算機系統(tǒng)安全技術常用的安全檢測工具

系統(tǒng)建設中實際應用重點掌握基本概念和基本原理教：課堂+實驗學：教材+網絡+動手實踐2023/2/1計算機系統(tǒng)安全原理與技術21第1章計算機系統(tǒng)安全概論2023/2/1計算機系統(tǒng)安全原理與技術22本章主要內容計算機信息系統(tǒng)面臨的安全威脅

信息安全概念的發(fā)展

計算機系統(tǒng)安全研究內容

2023/2/1計算機系統(tǒng)安全原理與技術23病毒病毒——是能夠自我復制的一組計算機指令或者程序代碼。通過編制或者在計算機程序中插入這段代碼，以達到破壞計算機功能、毀壞數據從而影響計算機使用的目的。病毒具有以下基本特點:●隱蔽性?！駛魅拘??！駶摲??！衿茐男?。2023/2/1計算機系統(tǒng)安全原理與技術24蠕蟲蠕蟲——類似于病毒，它可以侵入合法的數據處理程序，更改或破壞這些數據。盡管蠕蟲不像病毒一樣復制自身，但蠕蟲攻擊帶來的破壞可能與病毒一樣嚴重，尤其是在沒有及時發(fā)覺的情況下。不過一旦蠕蟲入侵被發(fā)現，系統(tǒng)恢復會容易一些，因為它沒有病毒的復制能力，只有一個需要被清除的蠕蟲程序。2023/2/1計算機系統(tǒng)安全原理與技術25蠕蟲與病毒“熊貓燒香”以及其變種是蠕蟲病毒?！茇垷悴《纠昧宋④洸僮飨到y(tǒng)的漏洞，計算機感染這一病毒后，會不斷自動撥號上網，并利用文件中的地址信息或者網絡共享進行傳播，最終破壞用戶的大部分重要數據。——感染了“尼姆亞”病毒的郵件在不去手工打開附件的情況下病毒就能激活?！凹t色代碼”是利用了微軟IIS服務器軟件的漏洞(idq.dll遠程緩存區(qū)溢出)來傳播——SQL蠕蟲王病毒則是利用了微軟的數據庫系統(tǒng)的一個漏洞進行大肆攻擊。

2023/2/1計算機系統(tǒng)安全原理與技術26傳播方式多樣：“尼姆亞”病毒和”求職信”病毒，可利用的傳播途徑包括文件、電子郵件、Web服務器、網絡共享病毒制作技術：許多新病毒是利用當前最新的編程語言與編程技術實現的，易于修改以產生新的變種，從而逃避反病毒軟件的搜索。另外，新病毒利用Java、ActiveX、VBScript等技術，可以潛伏在HTML頁面里，在上網瀏覽時觸發(fā)。

與黑客技術相結合：以紅色代碼為例，感染后的機器的web目錄的\scripts下將生成一個root.exe，可以遠程執(zhí)行任何命令，從而使黑客能夠再次進入。

蠕蟲和普通病毒不同的一個特征是蠕蟲病毒往往能夠利用漏洞，即軟件上的缺陷和人為的缺陷。軟件上的缺陷，如遠程溢出、微軟IE和Outlook的自動執(zhí)行漏洞等等。而人為的缺陷，主要指的是計算機用戶的疏忽，如當收到一封郵件帶著病毒的郵件時候。

蠕蟲與病毒2023/2/1計算機系統(tǒng)安全原理與技術27北京時間2003年1月26日，一種名為“2003蠕蟲王”的電腦病毒迅速傳播并襲擊了全球致使互聯網網路嚴重堵塞，作為互聯網主要基礎的域名服務器（DNS）的癱瘓造成網民瀏覽互聯網網頁及收發(fā)電子郵件的速度大幅減緩銀行自動提款機的運作中斷機票等網絡預訂系統(tǒng)的運作中斷信用卡等收付款系統(tǒng)出現故障造成的直接經濟損失至少在12億美元以上蠕蟲與病毒邏輯炸彈邏輯炸彈是加在現有應用程序上的程序。一般邏輯炸彈都被添加在被感染應用程序的起始處，每當該應用程序運行時就會運行邏輯炸彈。它通常要檢查各種條件，看是否滿足運行炸彈的條件。如果邏輯炸彈沒有取得控制權就將控制權歸還給主應用程序，邏輯炸彈仍然安靜地等待。當設定的爆炸條件被滿足后，邏輯炸彈的其余代碼就會執(zhí)行。邏輯炸彈不能復制自身，不能感染其他程序，但這些攻擊已經使它成為了一種極具破壞性的惡意代碼類型。邏輯炸彈具有多種觸發(fā)方式。2023/2/1計算機系統(tǒng)安全原理與技術28特洛伊木馬特洛伊木馬是一段計算機程序，表面上在執(zhí)行合法任務，實際上卻具有用戶不曾料到的非法功能。它們偽裝成友好程序，由可信用戶在合法工作中不知不覺地運行。一旦這些程序被執(zhí)行，一個病毒、蠕蟲或其他隱藏在特洛伊木馬程序中的惡意代碼就會被釋放出來，攻擊個人用戶工作站，隨后就是攻擊網絡。一個有效的特洛伊木馬對程序的預期結果無明顯影響，也許永遠看不出它的破壞性。特洛伊木馬需要具備以下條件才能成功地入侵計算機系統(tǒng):●入侵者要寫一段程序進行非法操作，程序的行為方式不會引起用戶的懷疑；2023/2/1計算機系統(tǒng)安全原理與技術29特洛伊木馬●必須設計出某種策略誘使受騙者接受這段程序；●必須使受騙者運行該程序；●入侵者必須有某種手段回收由特洛伊木馬程序提供的信息。特洛伊木馬通常繼承了用戶程序相同的用戶ID、存取權、優(yōu)先權甚至特權。因此，特洛伊木馬能在不破壞系統(tǒng)的任何安全規(guī)則的情況下進行非法操作，這也使它成為系統(tǒng)最難防御的一種危害。特洛伊木馬程序與病毒程序不同，它是一個獨立的應用程序，不具備自我復制能力。但它同病毒程序一樣具有潛伏性，且常常具有更大的欺騙性和危害性。特洛伊木馬通常以包含惡意代碼的電子郵件消息的形式存在，也可以由Internet數據流攜帶。2023/2/130天窗天窗是嵌在操作系統(tǒng)里的一段非法代碼，滲透者利用該代碼提供的方法侵入操作系統(tǒng)而不受檢查。天窗由專門的命令激活，一般不容易發(fā)現。而且天窗所嵌入的軟件擁有滲透者所沒有的特權。通常天窗設置在操作系統(tǒng)內部，而不在應用程序中，天窗很像是操作系統(tǒng)里可供滲透的一個缺陷。安裝天窗就是為了滲透，它可能是由操作系統(tǒng)生產廠家的一個不道德的雇員裝入的，安裝天窗的技術很像特洛伊木馬的安裝技術，但在操作系統(tǒng)中實現更為困難。天窗只能利用操作系統(tǒng)的缺陷或者混入系統(tǒng)的開發(fā)隊伍中進行安裝。因此開發(fā)安全操作系統(tǒng)的常規(guī)技術就可以避免天窗。2023/2/1計算機系統(tǒng)安全原理與技術31隱蔽通道隱蔽通道可定義為系統(tǒng)中不受安全策略控制的、違反安全策略的信息泄露路徑。按信息傳遞的方式和方法區(qū)分，隱蔽通道分為隱蔽存儲通道和隱蔽定時通道。隱蔽存儲通道在系統(tǒng)中通過兩個進程利用不受安全策略控制的存儲單元傳遞信息。隱蔽定時通道在系統(tǒng)中通過兩個進程利用一個不受安全策略控制的廣義存儲單元傳遞信息。判別一個隱蔽通道是否是隱蔽定時通道，關鍵是看它有沒有一個實時時鐘、間隔定時器或其他計時裝置，不需要時鐘或定時器的隱蔽通道是隱蔽存儲通道。2023/2/1計算機系統(tǒng)安全原理與技術32計算機系統(tǒng)安全一個有效可靠的計算機系統(tǒng)應具有很強的安全性，必須具有相應的保護措施，消除或限制如病毒、邏輯炸彈、特洛伊木馬、天窗、隱蔽通道等對系統(tǒng)構成的安全威脅。

在過去的數十年里，惡意代碼（通常也稱為計算機病毒）已經從學術上的好奇論題發(fā)展成為一個持久的、世界范圍的問題。無論計算機病毒、蠕蟲、邏輯炸彈、特洛伊木馬、天窗，還是隱蔽通道都對操作系統(tǒng)安全構成了威脅。2023/2/1計算機系統(tǒng)安全原理與技術33計算機系統(tǒng)安全實際上從來沒有一個操作系統(tǒng)的運行是完美無缺的，也沒有一個廠商敢保證自己的操作系統(tǒng)不會出錯。在信息系統(tǒng)中與安全相關的每一個漏洞都會使整個系統(tǒng)的安全控制機制變得毫無價值。這個漏洞如果被入侵者發(fā)現，后果將是十分嚴重的。從計算機信息系統(tǒng)的角度分析，可以看出在信息系統(tǒng)安全所涉及的眾多內容中，操作系統(tǒng)、網絡系統(tǒng)與數據庫管理系統(tǒng)的安全問題是核心。2023/2/1計算機系統(tǒng)安全原理與技術34計算機系統(tǒng)安全系統(tǒng)安全的定義和術語。●計算機信息系統(tǒng)（computerinformationsystem）:由計算機及其相關的和配套的設備、設施（含網絡）構成的，按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)?！癜踩芙纾╯ecurityperimeter）:用半徑來表示的空間。該空間包圍著用于處理敏感信息的設備，并在有效的物理和技術控制之下，防止未授權的進入或敏感信息的泄露。2023/2/1計算機系統(tǒng)安全原理與技術35計算機系統(tǒng)安全●可信計算基（trustedcomputingbase，TCB）:計算機系統(tǒng)內保護裝置的總體，包括硬件、固件、軟件和負責執(zhí)行安全策略的組合體。它建立了一個基本的保護環(huán)境并提供一個可信計算系統(tǒng)所要求的附加用戶服務?！癜踩呗裕╯ecuritypolicy）:對TCB中的資源進行管理、保護和分配的一組規(guī)則。簡單地說就是用戶對安全要求的描述。一個TCB中可以有一個或多個安全策略。●安全模型（securitymodel）:用形式化的方法來描述如何實現系統(tǒng)的機密性、完整性和可用性等安全要求。2023/2/1計算機系統(tǒng)安全原理與技術36計算機系統(tǒng)安全●安全內核（securitykernel）:通過控制對系統(tǒng)資源的訪問來實現基本安全規(guī)程的計算機系統(tǒng)的中心部分。●標識與鑒別（identification&authentication，I&A）:用于保證只有合法用戶才能進入系統(tǒng)，進而訪問系統(tǒng)中的資源?！裨L問控制（accesscontrol）:限制已授權的用戶、程序、進程或計算機網絡中其他系統(tǒng)訪問本系統(tǒng)資源的過程?！裨L問控制列表（accesscontrollist，ACL）:與系統(tǒng)中客體相聯系的，用來指定系統(tǒng)中哪些用戶和組可以以何種模式訪問該客體的控制列表。2023/2/1計算機系統(tǒng)安全原理與技術37計算機系統(tǒng)安全●自主訪問控制（discretionaryaccesscontrol，DAC）:用來決定一個用戶是否有權限訪問此客體的一種訪問約束機制，該客體的所有者可以按照自己的意愿指定系統(tǒng)中的其他用戶對此客體的訪問權?！衩舾袠擞洠╯ensitivitylabel）:用以表示客體安全級別并描述客體數據敏感性的一組信息，在可信計算基中把敏感標記作為強制訪問控制決策的依據?！駨娭圃L問控制（mandatoryaccesscontrol，MAC）:用于將系統(tǒng)中的信息分密級和類進行管理，以保證每個用戶只能夠訪問那些被標明可以由他訪問的信息的一種訪問約束機制?！窠巧╮ole）:系統(tǒng)中一類訪問權限的集合。2023/2/1計算機系統(tǒng)安全原理與技術38計算機系統(tǒng)安全●最小特權原理（leastprivilegeprinciple）:系統(tǒng)中每一個主體只能擁有與其操作相符的必需的最小特權集。●隱蔽通道（covertchannel）:非公開的但讓進程有可能以危害系統(tǒng)安全策略的方式傳輸信息的通信信道?！駥徲嫞╝udit）:一個系統(tǒng)的審計就是對系統(tǒng)中有關安全的活動進行記錄、檢查及審核。●審計跟蹤（audittrail）:系統(tǒng)活動的流水記錄。該記錄按事件自始至終的途徑、順序，審查和檢驗每個事件的環(huán)境及活動。2023/2/1計算機系統(tǒng)安全原理與技術39計算機系統(tǒng)安全●客體重用（objectreuse）:對曾經包含一個或幾個客體的存儲介質(如頁框、盤扇面、磁帶)重新分配和重用。為了安全地進行重分配、重用，要求介質不得包含重分配前的殘留數據。●可信通路（trustedpath）:終端人員能借以直接同可信計算基通信的一種機制。該機制只能由有關終端操作人員或可信計算基啟動，并且不能被不可信軟件模仿?！穸嗉壈踩╩ultilevelsecure，MLS）:一類包含不同等級敏感信息的系統(tǒng)，它既可供具有不同安全許可的用戶同時進行合法訪問，又能阻止用戶去訪問其未被授權的信息。2023/2/1計算機系統(tǒng)安全原理與技術40計算機系統(tǒng)安全●鑒別（authentication）:驗證用戶、設備和其他實體的身份；驗證數據的完整性。●授權（authorization）:授予用戶、程序或進程的訪問權?！癖Ｃ苄裕╟onfidentiality）:為秘密數據提供保護方法及保護等級的一種特性。●數據完整性（dataintegrity）:信息系統(tǒng)中的數據與原始數據沒有發(fā)生變化，未遭受偶然或惡意的修改或破壞時所具有的性質?！衤┒矗╨oophole）:由軟硬件的設計疏忽或失誤導致的能避開系統(tǒng)安全措施的一類錯誤。2023/2/1計算機系統(tǒng)安全原理與技術41計算機系統(tǒng)安全●安全配置管理（secureconfigurationmanagement）:控制系統(tǒng)硬件與軟件結構更改的一組規(guī)程。其目的是保證這種更改不違反系統(tǒng)的安全策略。●安全要素（securityelement）:國標GB17859—1999中，各安全等級所包含的安全內容的組成成分，比如自主存取控制、強制存取控制等。每一個安全要素在不同的安全等級中可以有不同的具體內容?！癜踩δ埽╯ecurityfunction）:為實現安全要素的內容，正確實施相應安全策略所提供的功能?！癜踩ＷC（securityassurance）:為確保安全要素的安全功能的實現所采取的方法和措施。2023/2/1計算機系統(tǒng)安全原理與技術42計算機系統(tǒng)安全●TCB安全功能（TCBsecurityfunction，TSF）:正確實施TCB安全策略的全部硬件、固件、軟件所提供的功能。每一個安全策略的實現，組成一個安全功能模塊。一個TCB的所有安全功能模塊共同組成該TCB的安全功能。在跨網絡的TCB中，一個安全策略的安全功能模塊，可能會在網絡環(huán)境下實現?！窨尚庞嬎銠C系統(tǒng)（trustedcomputersystem）:一個使用了足夠的硬件和軟件完整性機制，能夠用來同時處理大量敏感或分類信息的系統(tǒng)?！癫僮飨到y(tǒng)安全（operatingsystemsecurity）:操作系統(tǒng)無錯誤配置、無漏洞、無后門、無特洛伊木馬等，能防止非法用戶對計算機資源的非法存取，一般用來表達對操作系統(tǒng)的安全需求。2023/2/1計算機系統(tǒng)安全原理與技術43計算機系統(tǒng)安全●操作系統(tǒng)的安全性（securityofoperatingsystem）:操作系統(tǒng)具有或應具有的安全功能，比如存儲保護、運行保護、標識與鑒別、安全審計等?！癜踩僮飨到y(tǒng)（secureoperatingsystem）:能對所管理的數據與資源提供適當的保護級、有效地控制硬件與軟件功能的操作系統(tǒng)。就安全操作系統(tǒng)的形成方式而言，一種是從系統(tǒng)開始設計時就充分考慮到系統(tǒng)的安全性的安全設計方式。另一種是基于一個通用的操作系統(tǒng)，專門進行安全性改進或增強的安全增強方式。安全操作系統(tǒng)在開發(fā)完成后，在正式投入使用之前一般都要求通過相應的安全性評測。2023/2/1計算機系統(tǒng)安全原理與技術442023/2/1計算機系統(tǒng)安全原理與技術451.1計算機信息系統(tǒng)面臨的安全威脅

計算機信息系統(tǒng)的基本概念安全威脅

安全威脅是指對安全的一種潛在的侵害。威脅的實施稱為攻擊。威脅的實施稱為攻擊。2023/2/1計算機系統(tǒng)安全原理與技術46四個方面的威脅設信息是從源地址流向目的地址，那么正常的信息流向是：

信息源信息目的地2023/2/1計算機系統(tǒng)安全原理與技術47中斷威脅：使在用信息系統(tǒng)毀壞或不能使用的攻擊，破壞可用性（availability）。如硬盤等一塊硬件的毀壞，通信線路的切斷，文件管理系統(tǒng)的癱瘓等。

信息源信息目的地2023/2/1計算機系統(tǒng)安全原理與技術48截獲威脅：一個非授權方介入系統(tǒng)的攻擊，使得信息在傳輸中被丟失或泄露的攻擊，破壞保密性(confidentiality)。非授權方可以是一個人，一個程序，一臺微機。這種攻擊包括搭線竊聽，文件或程序的不正當拷貝。信息源信息目的地2023/2/1計算機系統(tǒng)安全原理與技術49篡改威脅：以非法手段竊得對信息的管理權，通過未授權的創(chuàng)建、修改、刪除和重放等操作而使信息的完整性(Integrity)受到破壞。這些攻擊包括改變數據文件，改變程序使之不能正確執(zhí)行，修改信件內容等。信息源信息目的地2023/2/1計算機系統(tǒng)安全原理與技術50偽造威脅：一個非授權方將偽造的客體插入系統(tǒng)中，破壞信息真實性（authenticity）的攻擊。包括網絡中插入假信件，或者在文件中追加記錄等。

信息源信息目的地2023/2/1計算機系統(tǒng)安全原理與技術51安全問題的根源物理安全問題軟件組件

網絡和通信協議

人的因素

2023/2/1計算機系統(tǒng)安全原理與技術52計算機信息系統(tǒng)的安全需求

計算機信息系統(tǒng)的安全需求主要有：保密性、完整性、可用性、可控性、不可抵賴性和可存活性等。

保密性(Confidentiality)：確保信息不暴露給未授權的實體或進程。加密機制。防泄密完整性(Integrity)：要求信息在存儲或傳輸過程中保持不被修改、不被破壞和不丟失的特性。防篡改可用性(Availability)：信息可被合法用戶訪問并按要求的特性使用而不遭拒絕服務。防中斷

2023/2/1計算機系統(tǒng)安全原理與技術53可控性(Controllability)：指對信息的內容及傳播具有控制能力。不可抵賴性(Non-repudiation)：不可抵賴性通常又稱為不可否認性，是指信息的發(fā)送者無法否認已發(fā)出的信息，信息的接收者無法否認已經接收的信息?？纱婊钚?Survivability)：是指計算機系統(tǒng)的這樣一種能力：它能在面對各種攻擊或錯誤的情況下繼續(xù)提供核心的服務，而且能夠及時地恢復全部的服務。2023/2/1計算機系統(tǒng)安全原理與技術54

美國計算機安全專家又在已有計算機系統(tǒng)安全需求的基礎上增加了真實性(Authenticity)、實用性(Utility)、占有性(Possession)。真實性是指信息的可信度，主要是指信息的完整性、準確性和對信息所有者或發(fā)送者身份的確認。實用性是指信息加密密鑰不可丟失(不是泄密)，丟失了密鑰的信息也就丟失了信息的實用性，成為垃圾。如果存儲信息的節(jié)點、磁盤等信息載體被盜用，就導致對信息的占用權的喪失。保護信息占有性的方法有使用版權、專利，提供物理和邏輯的存取限制方法，維護和檢查有關盜竊文件的審計記錄、使用標簽等。

2023/2/1計算機系統(tǒng)安全原理與技術55計算機信息系統(tǒng)安全的最終目標集中體現為系統(tǒng)保護和信息保護兩大目標。系統(tǒng)保護：保護實現各項功能的技術系統(tǒng)的可靠性、完整性和可用性等。信息保護：保護系統(tǒng)運行中有關敏感信息的保密性、完整性、可用性和可控性。

2023/2/1計算機系統(tǒng)安全原理與技術561.2信息安全概念的發(fā)展

信息安全的最根本屬性是防御性的，主要目的是防止己方信息的完整性、保密性與可用性遭到破壞。信息安全的概念與技術是隨著人們的需求、隨著計算機、通信與網絡等信息技術的發(fā)展而不斷發(fā)展的。2023/2/1計算機系統(tǒng)安全原理與技術571、單機系統(tǒng)的信息保密階段

幾千年前，人類就會使用加密的辦法傳遞信息；

1988年莫里斯“蠕蟲”事件是分界線；信息保密技術的研究成果主要有兩類：

1)發(fā)展各種密碼算法及其應用，

2)信息安全理論、安全模型和安全評價準則。2023/2/1計算機系統(tǒng)安全原理與技術58主要開發(fā)的密碼算法有：DES：1977年美國國家標準局采納的分組加密算法DES（數據加密標準）。DES是密碼學歷史上的一個創(chuàng)舉，也是運用最廣泛的一種算法。IDEA：國際數據加密算法，是對DES的改進算法。2023/2/1計算機系統(tǒng)安全原理與技術59RSA：雙密鑰的公開密鑰體制，該體制是根據1976年Diffie，Hellman在“密碼學新方向”開創(chuàng)性論文中提出來的思想由Rivest，Shamir，Adleman三個人創(chuàng)造的1985年N.koblitz和V.Miller提出了橢圓曲線離散對數密碼體制（ECC）。該體制的優(yōu)點是可以利用更小規(guī)模的軟件、硬件實現有限域上同類體制的相同安全性。2023/2/1計算機系統(tǒng)安全原理與技術60還創(chuàng)造出一批用于實現數據完整性和數字簽名的雜湊函數。如，數字指紋、消息摘要（MD）、安全雜湊算法（SHA——用于數字簽名的標準算法）等，當然，其中有的算法是90年代中提出的。2023/2/1計算機系統(tǒng)安全原理與技術61在七、八十年代期間，信息安全理論、安全模型和安全評價準則，重點研究：信息系統(tǒng)安全理論

Ⅰ三大控制理論

1）訪問控制：基于訪問矩陣與訪問監(jiān)控器

2）信息流控制：基于數學的格理論

3）推理控制：基于邏輯推理，防數據庫泄漏

保護系統(tǒng)安全模型

Ⅱ安全操作系統(tǒng)的設計方法安全核技術，分層結構，環(huán)型結構2023/2/1計算機系統(tǒng)安全原理與技術62系統(tǒng)安全模型

Ⅰ訪問矩陣與監(jiān)控器模型

Ⅱ信息流多級安全模型，基于格理論

1）保密性模型（BLP模型）

2）完整性模型（Biba模型）

3）軍用安全模型：適用于軍事部門與政府部門2023/2/1計算機系統(tǒng)安全原理與技術63安全性評價準則

1985年美國開發(fā)了可信計算機系統(tǒng)評估準則（TCSEC）把計算機安全劃分為7個等級：

D，C1，C2，B1，B2，B3，A1

為信息系統(tǒng)的安全性評價提供了概念、方法與思路，是開創(chuàng)性的。為后來的通用評估準則（CC標準）打下基礎2023/2/1計算機系統(tǒng)安全原理與技術642、網絡信息安全階段

1988年11月3日莫里斯“蠕蟲”事件引起了人們對網絡信息安全的關注與研究，并與第二年成立了計算機緊急事件處理小組負責解決Internet的安全問題，從而開創(chuàng)了網絡信息安全的新階段。在該階段中，除了采用和研究各種加密技術外，還開發(fā)了許多針對網絡環(huán)境的信息安全與防護技術，這些防護技術是以被動防御為特征的。2023/2/1計算機系統(tǒng)安全原理與技術65主要防護技術安全漏洞掃描器。用于檢測網絡信息系統(tǒng)存在的各種漏洞，并提供相應的解決方案。安全路由器。在普通路由器的基礎上增加更強的安全性過濾規(guī)則，增加認證與防癱瘓性攻擊的各種措施。安全路由器完成在網絡層與傳輸層的報文過濾功能。2023/2/1計算機系統(tǒng)安全原理與技術66防火墻。在內部網與外部網的入口處安裝的堡壘主機，在應用層利用代理功能實現對信息流的過濾功能。入侵檢測系統(tǒng)（IDS）。判斷網絡是否遭到入侵的一類系統(tǒng)，IDS一般也同時具備告警、審計與簡單的防御功能。2023/2/1計算機系統(tǒng)安全原理與技術67各種防攻擊技術。其中包括漏洞防堵、網絡防病毒、防木馬、防口令破解、防非授權訪問等技術。網絡監(jiān)控與審計系統(tǒng)。監(jiān)控內部網絡中的各種訪問信息流，并對指定條件的事件做審計記錄。2023/2/1計算機系統(tǒng)安全原理與技術683、信息保障階段信息保障（IA--InformationAssurace）這一概念最初是由美國國防部長辦公室提出來的，后被寫入命令《DoDDirectiveS-3600.1：InformationOperation》中，在1996年12月9日以國防部的名義發(fā)表。在這個命令中信息保障被定義為：通過確保信息和信息系統(tǒng)的可用性、完整性、可驗證性、保密性和不可抵賴性來保護信息系統(tǒng)的信息作戰(zhàn)行動，包括綜合利用保護、探測和反應能力以恢復系統(tǒng)的功能。2