第1章计算机系统安全概论

1第第11章章计算机系统安全概论计算机系统安全概论本章主要内容本章主要内容计算机信息系统安全问题计算机信息系统安全问题信息安全概念的发展信息安全概念的发展计算机系统安全研究的内容计算机系统安全研究的内容1.1.1计算机信息系统的基本概念计算机系统（ComputerSystem）也称计算机信息系统（ComputerInformationSystem），是由计算机及其相关的和配套的设备、设施（含网络）构成的，并按一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。1.11.1计算机信息系统安全问题计算机信息系统安全问题安全威胁threat脆弱点vulnerability攻击attack安全控制control1.11.1计算机信息系统安全问题计算机信息系统安全问题1.1.2安全威胁对计算机信息系统的威胁是指：对计算机信息系统的威胁是指：潜在潜在的、对信息系的、对信息系统造成危害的因素。统造成危害的因素。对信息系统安全的威胁是多方面的，目前还没有统对信息系统安全的威胁是多方面的，目前还没有统一的方法对各种威胁加以一的方法对各种威胁加以区别和进行准确的分类区别和进行准确的分类。。而且不同威胁的存在及其重要性是随而且不同威胁的存在及其重要性是随环境的变化环境的变化而而变化的。下面是对现代信息系统及网络通信系统常变化的。下面是对现代信息系统及网络通信系统常遇到的一些威胁及其来源的概述。遇到的一些威胁及其来源的概述。1.1.中断中断(Interruption)(Interruption)威胁使得在用的信息系统威胁使得在用的信息系统毁坏毁坏或不能使用或不能使用，即，即破坏可用性破坏可用性(Availability)(Availability)。。攻击者可以从下列几个方面破坏信息系统的可用性：攻击者可以从下列几个方面破坏信息系统的可用性：①①使合法用户不能正常访问网络资源。使合法用户不能正常访问网络资源。②②使有严格时间要求的服务不能及时得到响应。使有严格时间要求的服务不能及时得到响应。③③摧毁系统。物理破坏网络系统和设备组件使网络不可摧毁系统。物理破坏网络系统和设备组件使网络不可用，或者破坏网络结构使之瘫痪等。如硬盘等硬件的毁用，或者破坏网络结构使之瘫痪等。如硬盘等硬件的毁坏，通信线路的切断，文件管理系统的瘫痪等。坏，通信线路的切断，文件管理系统的瘫痪等。昀常见的中断威胁是昀常见的中断威胁是造成系统的拒绝服务造成系统的拒绝服务，即信息或信息，即信息或信息系统资源的被利用价值或服务能力下降或丧失。系统资源的被利用价值或服务能力下降或丧失。信息源信息源信息目的地信息目的地2.2.截获截获(Interception)(Interception)威胁：是指一个威胁：是指一个非授权方非授权方介入介入系统，使得信息在传输中被系统，使得信息在传输中被丢失或泄露丢失或泄露的攻击，它的攻击，它破坏了破坏了保密性保密性(Confidentiality(Confidentiality))。。非授权方可以是非授权方可以是一个人、一个程序或一台计算机。一个人、一个程序或一台计算机。这种攻击主要包括：这种攻击主要包括：利用电磁泄露或搭线窃听等方式可截获机密信息，通过对信息利用电磁泄露或搭线窃听等方式可截获机密信息，通过对信息流向、流量、通信频度和长度等参数的分析，推测出有用信流向、流量、通信频度和长度等参数的分析，推测出有用信息，如用户口令、账号等。息，如用户口令、账号等。非法复制程序或数据文件。非法复制程序或数据文件。信息源信息源信息目的地信息目的地3.3.篡改篡改(Modification)(Modification)威胁以非法手段窃得对信息的威胁以非法手段窃得对信息的管理权，通过未授权的创建、修改、删除和重放等管理权，通过未授权的创建、修改、删除和重放等操作而使信息的操作而使信息的完整性完整性(Integrity(Integrity))受到破坏。受到破坏。这些攻击主要包括：这些攻击主要包括：改变数据文件，如修改数据库中的某些值等。改变数据文件，如修改数据库中的某些值等。替换某一段程序使之执行另外的功能，设置修替换某一段程序使之执行另外的功能，设置修改硬件。改硬件。信息源信息源信息目的地信息目的地4.4.伪造伪造(Fabrication)(Fabrication)威胁中一个非授权方将伪造的客威胁中一个非授权方将伪造的客体插入系统中，破坏信息的体插入系统中，破坏信息的可认证性可认证性(Authenticity(Authenticity))。。例如在网络通信系统中插入伪造的事务处理或者向数据库例如在网络通信系统中插入伪造的事务处理或者向数据库中添加记录。中添加记录。信息源信息源信息目的地信息目的地1.1.31.1.3脆弱点与安全控制脆弱点与安全控制脆弱点脆弱点(Vulnerability)(Vulnerability)是指信息系统中的是指信息系统中的缺陷缺陷，实，实际上脆弱点就是安全问题的际上脆弱点就是安全问题的根源所在根源所在，如原理设，如原理设计及实现中的缺陷，它能被攻击者利用来进行计及实现中的缺陷，它能被攻击者利用来进行破破坏活动坏活动。通常可以从以下几个方面来分析漏洞。。通常可以从以下几个方面来分析漏洞。1.1.物理安全物理安全2.2.软件系统软件系统3.3.网络和通信协议网络和通信协议4.4.人的因素人的因素攻击者利用信息系统的脆弱点对系统进行攻击攻击者利用信息系统的脆弱点对系统进行攻击(Attack)(Attack)。。我们使用控制我们使用控制(Control)(Control)进行安全进行安全防护。控制是一些动作、装置、程序或技术，防护。控制是一些动作、装置、程序或技术，它能消除或减少脆弱点。它能消除或减少脆弱点。可以这样描述威胁、控制和脆弱点的关系：可以这样描述威胁、控制和脆弱点的关系：““通过控制脆弱点来阻止或减少威胁。通过控制脆弱点来阻止或减少威胁。””本书后续篇幅将主要介绍各种本书后续篇幅将主要介绍各种安全控制原理安全控制原理及及技术。技术。1.1.41.1.4计算机信息系统的安全需求计算机信息系统的安全需求1.1.保密性保密性是指确保信息资源是指确保信息资源仅被合法仅被合法的用户、实体或进程访问，的用户、实体或进程访问，使信息不使信息不泄漏给未授权泄漏给未授权的用户、实体或进程。的用户、实体或进程。实现保密性的方法一般是通过实现保密性的方法一般是通过信息的加密信息的加密、对信息划分、对信息划分密级密级，并为访问者，并为访问者分配访问权限分配访问权限，系统根据用户的身份，系统根据用户的身份权限控制对不同密级信息的访问。权限控制对不同密级信息的访问。特别要说明的是，对计算机的进程、中央处理器、存储、特别要说明的是，对计算机的进程、中央处理器、存储、打印设备的使用也必须打印设备的使用也必须实施严格的保密技术措施实施严格的保密技术措施，以避，以避免产生电磁泄露等安全问题免产生电磁泄露等安全问题。。1.1.41.1.4计算机信息系统的安全需求计算机信息系统的安全需求2.2.完整性完整性是指信息资源是指信息资源只能只能由授权方或以授权的方式由授权方或以授权的方式修改修改，在存，在存储或传输过程中储或传输过程中不丢失、不被破坏不丢失、不被破坏。完整性的破坏一般。完整性的破坏一般来自来自33个方面：个方面：未授权、未授权、未预期、未预期、无意。无意。目前对于动态传输的信息，许多协议确保信息完整性的目前对于动态传输的信息，许多协议确保信息完整性的方法大多是收错重传、丢弃后续包。不仅仅要考虑数据方法大多是收错重传、丢弃后续包。不仅仅要考虑数据的完整性，还要考虑操作系统的逻辑正确性和可靠性，的完整性，还要考虑操作系统的逻辑正确性和可靠性，要实现保护机制的硬件和软件的逻辑完备性、数据结构要实现保护机制的硬件和软件的逻辑完备性、数据结构和存储的一致性。和存储的一致性。1.1.41.1.4计算机信息系统的安全需求计算机信息系统的安全需求3.3.可用性可用性是指信息可被合法用户访问并按是指信息可被合法用户访问并按要求要求的的特性使用特性使用而不遭而不遭拒绝服务。可用的对象包括：信息、服务和拒绝服务。可用的对象包括：信息、服务和ITIT资源。资源。例如在网络环境下破坏网络和有关系统的正常运行就属例如在网络环境下破坏网络和有关系统的正常运行就属于对可用性的攻击。于对可用性的攻击。信息的可用性与保密性之间存在一信息的可用性与保密性之间存在一定的矛盾。定的矛盾。系统为了控制非法访问可以采取许多安全措系统为了控制非法访问可以采取许多安全措施，但系统不应该阻止合法用户对系统中信息的利用。施，但系统不应该阻止合法用户对系统中信息的利用。1.1.41.1.4计算机信息系统的安全需求计算机信息系统的安全需求4.4.可控性可控性是指保证信息和信息系统的是指保证信息和信息系统的认证授权和监控管理认证授权和监控管理，确保，确保某个实体某个实体((人或系统人或系统))身份的身份的真实性真实性，确保信息内容的安，确保信息内容的安全性和全性和合法性合法性，确保系统状态可被授权方所控制。，确保系统状态可被授权方所控制。1.1.41.1.4计算机信息系统的安全需求计算机信息系统的安全需求5.5.不可抵赖性通常又称为不可否认性不可抵赖性通常又称为不可否认性是指信息的是指信息的发送者发送者无法否认已发出的信息或信息的部分无法否认已发出的信息或信息的部分内容，信息的内容，信息的接收者接收者无法否认已经接收的信息或信息的无法否认已经接收的信息或信息的部分内容。部分内容。不可否认性措施主要有：数字签名，可信第三方认证技不可否认性措施主要有：数字签名，可信第三方认证技术等。术等。1.1.41.1.4计算机信息系统的安全需求计算机信息系统的安全需求6.6.可存活性（可存活性（survivabilitysurvivability）是近年来学术界提出）是近年来学术界提出的一个安全概念。的一个安全概念。可存活性是指计算机系统的这样一种能力：它能在面对可存活性是指计算机系统的这样一种能力：它能在面对各种各种攻击或错误攻击或错误的情况下继续提供核心的服务，而且的情况下继续提供核心的服务，而且能能够及时地恢复够及时地恢复全部的服务。全部的服务。这是一个新的融合计算机安全和业务风险管理的课题，这是一个新的融合计算机安全和业务风险管理的课题，它的焦点不仅是对抗计算机入侵者，还要保证在各种网它的焦点不仅是对抗计算机入侵者，还要保证在各种网络攻击的情况下业务目标得以实现，关键的业务功能得络攻击的情况下业务目标得以实现，关键的业务功能得以保持。提高对网络攻击的系统可存活性，同时也提高以保持。提高对网络攻击的系统可存活性，同时也提高了业务系统在面对一些并非恶意的事故与故障的可存活了业务系统在面对一些并非恶意的事故与故障的可存活性。性。1.1.41.1.4计算机信息系统的安全需求计算机信息系统的安全需求计算机安全专家又在已有计算机系统安全需求的基计算机安全专家又在已有计算机系统安全需求的基础上增加了础上增加了可认证性可认证性(Authenticity)(Authenticity)、、实用性实用性(Utility(Utility))，，认为这样才能解释各种认为这样才能解释各种网络安全问题。网络安全问题。信息的信息的可认证性可认证性是指信息的可信度，主要是指对信息的是指信息的可信度，主要是指对信息的完完整性、准确性和对信息所有者或发送者身份的确认整性、准确性和对信息所有者或发送者身份的确认。可认。可认证性比鉴别证性比鉴别(Authentication)(Authentication)有更深刻的含义，它包含了对有更深刻的含义，它包含了对传输、消息和消息源的真实性进行核实。传输、消息和消息源的真实性进行核实。信息的信息的实用性实用性是指信息加密密钥不可丢失是指信息加密密钥不可丢失((不是泄密不是泄密))，丢，丢失了密钥的信息也就丢失了信息的实用性，成为