第1讲-计算机系统安全概述

计算机系统安全概述中国科学院信息工程研究所陈李维主要内容系统安全基础知识系统安全产生的根本原因常见漏洞和攻击介绍安全防御的基本方法和原则内存漏洞和运行时安全总结主要内容系统安全基础知识系统安全产生的根本原因常见漏洞和攻击介绍安全防御的基本方法和原则内存漏洞和运行时安全总结系统安全基础知识什么是安全？一是指自然属性的安全：Safety，它主要是指发生自然灾害(水、火、震等)和准自然灾害(如产品设计不合理，环境、卫生要求不合格等)所产生的对安全的破坏，这类安全的被破坏，主要不是由于人的有目的参与而造成的。二是指有明显人为属性的安全：Security，它主要是指由于人的有目的参与(如盗窃、抢劫、刑事犯罪等)而引起的对安全的破坏。因此，广义地讲，安全应该包括Safety和Security两层含义，而计算机系统安全主要是指第二种安全：Security。系统安全基础知识什么是计算机系统？广义的计算机系统按照《中华人民共和国计算机信息系统安全保护条例》(1994年国务院令147号发布)中的定义，“计算机信息系统是由计算机及其相关的配套设备、设施(含网络)构成的，按照一定的应用目标和规格对信息进行采集、加工、存储、传输、检索等处理的人机系统。”狭义的计算机系统也就是我们通常所说的计算机，指单个计算机系统设备，包括电脑、手机、嵌入式设备（智能家居设备、汽车电子设备、物联网设备、网络设备）等。系统安全基础知识什么是计算机系统？计算机系统的层次网络（广义的计算机系统）人机交互物联网互联网局域网系统安全基础知识什么是计算机系统？计算机系统的层次单个设备（狭义的计算机系统）硬件处理器，芯片内存，硬盘，显示器软件系统软件：操作系统，编译器，驱动，BIOS应用软件：浏览器，办公软件，播放器系统安全基础知识什么是计算机系统安全？国际标准化组织(ISO)将“计算机系统安全”定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。”此概念偏重于静态信息保护。《中华人民共和国计算机信息系统安全保护条例》将“计算机系统安全”定义为：保障计算机及其相关的和配套的设备、设施(含网络)的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。该定义着重于动态意义描述。系统安全基础知识什么是计算机系统安全？网络安全+管理安全（广义的计算机系统安全），偏重于人机交互，系统交互，信息传输过程的安全。系统安全（狭义的计算机系统安全），系统安全是网络安全的基础和前提。1）物理安全2）运行安全3）信息安全系统安全基础知识1）物理安全保护计算机设备、设施(含网络)以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染等)破坏的措施、过程。2）运行安全为保障系统功能的安全实现，提供一套安全措施（如风险分析，审计跟踪，备份与恢复，应急等）来保护信息处理过程的安全。它侧重于保证系统正常运行，避免因为系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失。3）信息安全防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识，控制。即确保信息的完整性、保密性、可用性和可控性。系统安全基础知识什么是计算机系统安全？计算机系统安全的基本属性（CIA）机密性(Confidentiality)完整性(Integrity)可用性(Availability)除此以外，还有一些其他的安全属性，包括可控性，不可否认性，可存活性，可认证性，可审查性等。系统安全基础知识机密性是指确保信息资源仅被合法的实体访问，使信息不泄漏给未授权的实体。完整性是指信息资源只能由授权实体修改，在存储或传输过程中不被偶然或蓄意地篡改、伪造、丢失等。不仅要考虑数据的完整性，还要考虑整个计算机系统的完整性。可用性指信息资源能够随时被授权实体访问并按要求使用。信息系统能以人们所接受的质量水平持续运行，为人们提供有效的信息服务的特性。系统安全基础知识可控性是指对信息和信息系统的认证授权和监控管理，确保某个实体(用户、进程等)身份的真实性，确保信息内容的安全和合法，确保系统状态可被授权方所控制。不可否认性是指信息的发送者无法否认已发出的信息或信息的部分内容，信息的接收者无法否认已经接收的信息或信息的部分内容。可存活性是指计算机系统在面对各种攻击或错误的情况下继续提供核心的服务，而且能够及时地恢复全部的服务。系统安全基础知识可认证性是指保证信息使用者和信息服务者都是真实声称者，防止冒充和重演的攻击。可审查性是指使用审计、监控、防抵赖等安全机制，使得使用者(包括合法用户、攻击者、破坏者、抵赖者)的行为有证可查，并能够对网络出现的安全问题提供调查依据和手段。系统安全基础知识什么是计算机系统安全？从行为角度思考，计算机系统安全就是计算机系统的行为符合用户的预期。计算机系统的行为：指令+数据。计算机系统的运行实际上就是一条一条的指令在处理器中的运行过程。如果知道了每条指令及其输入，就知道了计算机系统的具体行为。如果控制了每条指令及其输入，也就控制了整个计算机系统。系统安全基础知识什么是计算机系统安全？计算机系统行为的安全指令的执行是正确的（指令的执行符合指令的定义，硬件行为符合预期）运行了正确的指令，并且指令的运行顺序是正确的（指令流是正确的）指令的输入数据是正确的（数据流是正确的）系统安全基础知识小结本小节，我们学习了系统安全的基础知识，知道了系统安全的基本概念，从多个不同的视角来认识什么是系统安全。接下来，最重要的问题就是，为什么会产生系统安全？系统安全产生的根本原因是什么？有没有一种方法可以彻底的解决系统安全问题？主要内容系统安全基础知识系统安全产生的根本原因常见漏洞和攻击介绍安全防御的基本方法和原则内存漏洞和运行时安全总结系统安全产生的根本原因安全威胁脆弱性（Vulnerability）也被称为安全漏洞、漏洞、弱点、脆弱点等攻击（Attack）系统安全产生的根本原因安全威胁是指对计算机系统安全造成危害的因素。用户的安全需求：保密性、完整性、可用性等。从攻击角度分析：窃取信息、篡改或伪造信息、控制或破坏系统、抢占系统服务资源等。从防御角度分析：防止信息泄露、防止信息伪造、防止系统破坏、防止拒绝服务等。系统安全产生的根本原因漏洞是指计算机系统中的缺陷，实际上就是系统安全问题产生的根源所在。复杂性：漏洞是不可避免的。任何一个复杂的系统都存在潜在的安全漏洞。系统越复杂，漏洞越多。效率：安全和效率、方便、易用之间存在明显的、天然的冲突。通常，人们会为了效率、方便、易用而牺牲安全。另一方面，安全性越高，往往限制也就越严格。系统安全产生的根本原因攻击是指针对漏洞的具体攻击过程。攻击和漏洞密切相关。只有存在漏洞，才能进行攻击。针对一个漏洞，可以有多种不同的攻击方法。攻击的基本步骤：首先确定攻击目标然后寻找漏洞（漏洞挖掘）最后利用漏洞进行攻击（攻击）系统安全产生的根本原因漏洞和攻击的关系漏洞和攻击是循环定义的漏洞就是可以被攻击的地方攻击就是对漏洞利用的过程发现漏洞，就能针对该漏洞进行攻击。另一方面，攻击技术的发展也能发现新的漏洞。开发一种新的攻击方法，原本不存在漏洞的地方，就会出现新的漏洞。例如，侧信道攻击，根据显示器的电磁泄露，能够复现显示器的显示内容。系统安全产生的根本原因小结最本质的原因：安全需求和安全威胁的矛盾技术上的根本原因：漏洞是不可避免的，任何一个复杂的系统都存在潜在的漏洞。结论：百分百的安全是永远都不可能达到的。安全研究的目标：增加攻击者发现漏洞和利用漏洞进行攻击的难度，让实施攻击的成本大于攻击得到的利益。主要内容系统安全基础知识系统安全产生的根本原因常见漏洞和攻击介绍安全防御的基本方法和原则内存漏洞和运行时安全总结常见漏洞和攻击介绍常见的计算机系统漏洞的主要类型：1）网络漏洞2）系统漏洞硬件漏洞软件漏洞3）人的因素常见漏洞和攻击介绍1）网络漏洞网络是多个计算机系统之间的信息交互载体，网络信息传输天然就存在被攻击的危险。（量子通信能够在理论上避免被偷听、窃取的威胁。）当前的网络协议对安全性的考虑不够充分，存在先天不足，具有许多安全漏洞，如网络协议缺乏认证保密机制等。常见漏洞和攻击介绍对网络攻击的几种模式：信息的正常流动：信源信宿1）中断：信源信宿2）截取/窃听：信源信宿3）修改：信源信宿4）捏造：信源信宿修改的信息窃听伪造信息常见漏洞和攻击介绍2）系统漏洞，是指系统在设计、实现过程中的缺陷和错误。实现错误系统具体实现时的各种错误，通常可以直接修复，如编写程序的各种bug。设计缺陷在系统初始设计时考虑不足导致的系统漏洞。当一种系统被广泛使用以后，由于兼容性、便利性等种种原因，很难对设计上的系统漏洞进行直接的修复。例如，C语言存在的一些安全缺陷。常见漏洞和攻击介绍系统漏洞主要类型：硬件漏洞芯片、主板、内存等各种硬件设备的漏洞硬件木马等各种硬件设备中的后门电磁辐射、功耗、运行时间等物理信号泄露漏洞软件漏洞操作系统、驱动程序等系统软件的漏洞和后门各种应用软件漏洞和后门常见漏洞和攻击介绍漏洞和错误的区别：错误（bug）是指设计和实现上的缺陷。漏洞是一类特殊的错误。是指可以被攻击利用的错误。常见漏洞和攻击介绍漏洞和后门的区别：漏洞是指设计或实现上的错误，是设计者无意识留下的。后门是指设计者故意留下的缺陷。后门的隐蔽性更高，危害性更大。常见漏洞和攻击介绍3）人的因素人为的无意失误。人为的恶意攻击。管理上的因素。安全不是一个单纯的技术问题对于实际的安全问题，不能只关注技术方面，还需要关注管理、规章制度等人为的因素常见漏洞和攻击介绍常见攻击方法的主要类型：1）社会工程学攻击2）弱密码攻击3）侧信道攻击4）拒绝服务攻击5）运行时攻击常见漏洞和攻击介绍1）社会工程学攻击，安全不是一个单纯的技术问题利用人的弱点，如本能反应、好奇心、贪便宜等，进行欺骗、伤害的攻击手段。更注重利用心理、人性等非技术手段，而不是单纯对计算机技术的运用。例如：电信诈骗，钓鱼网站，流氓软件常见漏洞和攻击介绍2）弱密码攻击，安全和方便的冲突典型的人为因素和技术因素混合的安全问题用户设置密码过于简单用户设置密码有规律，和姓名、生日、手机号等相关用户在不同场景设置类似的密码撞库攻击常见漏洞和攻击介绍3）侧信道攻击根据设备在运行时的功率消耗、时间消耗或者电磁辐射等物理信号泄露，获知设备内部运行数据。主要用于窃取数据，破解加解密设备的密钥。常见漏洞和攻击介绍4）拒绝服务攻击是非常常见的一种网络攻击，利用了网络协议（TCP/IP）等的缺陷。让目标设备停止提供服务的攻击手段。发送大量伪造的服务请求，使得目标设备的资源（CPU处理能力、网络带宽、内存等）耗尽。常见漏洞和攻击介绍5）运行时攻击（run-timeattack）是最为常见的针对系统漏洞的攻击。由于计算机软件或硬件存在漏洞，导致攻击者能够利用这些漏洞，改变计算机程序的正常运行过程，让计算机执行攻击者预期的操作，达成攻击者的攻击目标。主要内容系统安全基础知识系统安全产生的根本原因常见漏洞和攻击介绍安全防御的基本方法和原则内存漏洞和运行时安全总结安全防御的基本方法和原则安全设计的基本原则1）整体性原则2）分层性原则3）最小特权原则4）简单性原则应对攻击的安全防御方法1）漏洞修补2）隔离3）程序行为分析和检测安全防御的基本方法和原则安全设计的基本原则1）整体性原则所谓“整体性”原则，是指需要从整体上构思和设计信息系统的整体安全框架，合理选择和布局信息安全的技术组件，使它们