信息保障和安全

1、信息保障和安全,教師孫達(dá)志聯(lián)系方式sundazhi@tju.edu.cn教學(xué)網(wǎng)頁http://cs.tju.edu.cn/faculty/sundazhi/Class-SC-CSE2018.htm成績評定點名: 5%; 實驗: 15%; 考試: 80%,參考書 ★ [1] Charles P. Pfleeger, Shari Lawrence Pfleeger, Security in Computing, Fourt

2、h Edition, Prentice-Hall, 2006 [2] William Stallings, Cryptography and Network Security, Fourth Edition, Prentice-Hall, 2005 [3] Alfred J. Menezes, Paul C. van Oorschot, Scott A. Vanstone, Handbook of Applied Cryp

3、tography, CRC Press, 1997 [4] 胡道元, 閔京華, 網(wǎng)絡(luò)安全, 清華大學(xué)出版社, 2008,第1章 計算中的安全問題,本章要點,計算中的安全威脅 安全計算的目標(biāo) 計算有關(guān)的脆弱點 控制安全威脅的手段,1.1 “安全”意味著什么?,1.1.1 保護(hù)有價物品與信息,,表1.1 保護(hù)錢財和保護(hù)信息,1.1.2 計算機(jī)入侵的特點,計算系統(tǒng)(computing system)是指硬件、軟件、存儲介質(zhì)、數(shù)據(jù)以

4、及執(zhí)行計算任務(wù)的人所組成的一個集合。 # 計算系統(tǒng)的任何部分都可能成為犯罪目標(biāo)。認(rèn)為一個計算系統(tǒng)的某些部分對局外人來說是沒有價值的觀念，常常是錯誤的。,1.1.2 計算機(jī)入侵的特點(續(xù)),最易滲透原則(principle of easiest penetration)：入侵者總是企圖利用任何可能的入侵手段。這種入侵沒有必要通過顯而易見的手段，也沒有必要針對安裝有最可靠的防御系統(tǒng)，當(dāng)然更沒有必要是我們想要入侵者采取的方式。

5、 # 這條原則暗示計算機(jī)安全工作人員必須考慮所有可能的入侵方式。當(dāng)系統(tǒng)及其安全措施發(fā)生改變時，入侵分析必須反復(fù)進(jìn)行。千萬不要相信：所有攻擊都是在限度之內(nèi)的。,1.2 攻擊,1.2.1 脆弱點、威脅、攻擊和控制 計算機(jī)系統(tǒng)有三個獨立有價值的部分：硬件(hardware)、軟件(software)和數(shù)據(jù)(data)。 脆弱點(vulnerability)是安全系統(tǒng)中的缺陷，如設(shè)計或?qū)崿F(xiàn)中的缺陷，它能被攻擊者利用來進(jìn)行破壞活動。

6、 對計算系統(tǒng)的威脅(threat)指的是能潛在引起系統(tǒng)損失和傷害的一組特定事件。 攻擊者利用系統(tǒng)的脆弱點對系統(tǒng)進(jìn)行攻擊(attack)。 控制(control)是一些動作、裝置、程序或技術(shù)，它能消除或減少脆弱點。,1.2.1 脆弱點、威脅、攻擊和控制(續(xù)),圖1.1 脆弱點、威脅和控制,,三者的關(guān)系：通過控制脆弱點來阻止威脅,1.2.1 脆弱點、威脅、攻擊和控制(續(xù)) 可將威脅分為以下4類： 截取(i

7、nterception)指某未授權(quán)方獲得了訪問資源的權(quán)利。 中斷(interruption)指系統(tǒng)資源丟失、不可得或不可用。 篡改(modification)指未授權(quán)方不僅訪問了資源而且修改了其內(nèi)容。 偽造(fabrication)未授權(quán)方可能在計算系統(tǒng)中創(chuàng)建假冒對象。,1.2.1 脆弱點、威脅、攻擊和控制(續(xù)),圖1.2 計算系統(tǒng)安全威脅,1.2.2 方法、機(jī)會和動機(jī),攻擊者必須具備以下三點： 方法：技巧、知識

8、、工具和能夠成功實現(xiàn)攻擊的其他方面。 機(jī)會：完成攻擊的時間入口。 動機(jī)：想要攻擊這個系統(tǒng)的原因。 缺少三個中的任何一個都不會發(fā)生攻擊，但是，要阻止其中任何一個也是很困難的。,1.3 計算機(jī)安全的含義,1.3.1 安全目標(biāo) 計算機(jī)安全的三個重要方面： 機(jī)密性(confidentiality)確保計算機(jī)資源僅被合法用戶訪問。 完整性(integrity)指所有資源只能由授權(quán)方或以授權(quán)的方式進(jìn)行修改。

9、 可用性(availability)指所有資源在適當(dāng)?shù)臅r候可以被授權(quán)方訪問。,1.3.1 安全目標(biāo)(續(xù)),圖 1.3 機(jī)密性、完整性和可用性之間的關(guān)系,#目標(biāo)是在三個性質(zhì)之間尋找平衡點，但平衡并不是一切。,1.3.1 安全目標(biāo)(續(xù)) 機(jī)密性：機(jī)密性是我們最為了解的安全性質(zhì)，與現(xiàn)實生活中的機(jī)密保護(hù)有很多相似之處，但保護(hù)機(jī)密性也是困難的。 完整性：一項是完整的常指該項：精確的、準(zhǔn)確的、未被修改的，只能以允許的方式修改、只能被授權(quán)

10、用戶修改、只能被授權(quán)過程修改，一致的、內(nèi)部一致的、有意義和可用的。完整性具有三個特殊方面：被授權(quán)行為；資源分離和保護(hù)；以及錯誤的檢測和糾正。,1.3.1 安全目標(biāo)(續(xù)) 可用性：可用性可用于數(shù)據(jù)和服務(wù)，它很復(fù)雜，不同的人對可用性的要求是不同的。如果對我們的請求及時響應(yīng)、公平分配資源不存在特惠用戶、服務(wù)和系統(tǒng)遵循容錯原理，當(dāng)軟硬件故障時，服務(wù)以可接受的方式終止而不是突然崩潰和信息丟失、服務(wù)和系統(tǒng)便于使用、支持同時訪問、死鎖管理和獨占

11、式訪問，那么我們說一個數(shù)據(jù)項、服務(wù)或系統(tǒng)可用。可用性的全面實現(xiàn)是安全的下一個巨大挑戰(zhàn)。,1.3.2 脆弱點,從系統(tǒng)的三類資源的應(yīng)用中來研究脆弱點，比直接從安全目標(biāo)入手要容易得多。,1.3.2 脆弱點(續(xù)),(1) 硬件脆弱點：由于可以看見哪些設(shè)備掛在系統(tǒng)上，所以一種簡單的攻擊是增加設(shè)備、變更設(shè)備、刪除設(shè)備、截取通信或用大量信息阻塞它們使其喪失處理能力。 “無意的機(jī)器屠殺”通常不會對其涉及的硬件構(gòu)成嚴(yán)重?fù)p害，有意識地破壞計算機(jī)硬件

12、的 “有意的機(jī)器破壞”或“機(jī)器自毀”危害更大，但有時通過簡單的物理措施就能大大加強(qiáng)硬件安全。但便攜式計算設(shè)備的安全令人堪悠。,1.3.2 脆弱點(續(xù)),(2) 軟件脆弱點：軟件可以被惡意替換、改變或破壞，也可以被意外篡改或錯放。物理設(shè)備被破壞一般都有明顯痕跡，但軟件若丟失一行源代碼或目標(biāo)代碼卻不可能留下明顯痕跡。更有甚者，惡意入侵者可以“增強(qiáng)” 軟件功能。 軟件刪除：配置管理(configuration management)程序

13、可以精確地控制訪問軟件，使得軟件不會被意外刪除、破壞和替換。 軟件篡改：軟件對錯誤非常敏感，一位的錯誤都可能導(dǎo)致系統(tǒng)崩潰；“邏輯炸彈”(logic bomb)可以使軟件在大多數(shù)時間都可以工作，只在特定情況時才出錯；另一種就是功能擴(kuò)展，使程序具有難于察覺的功能。,1.3.2 脆弱點(續(xù)),其他類型的軟件篡改包括： 特洛伊木馬(trojan horse)：指一個程序，明面上完成一項工作，而暗地里做另外的工作。 病毒(vi

14、rus)：特洛伊木馬的一種，它能在計算機(jī)之間傳播“感染”。 陷門(trapdoor)：有秘密入侵點的程序。 程序中的信息泄露(information leaks)：允許非授權(quán)用戶和程序?qū)π畔⒕哂性L問權(quán)的代碼。 軟件竊取 如軟件盜版。,1.3.2 脆弱點(續(xù)),(3) 數(shù)據(jù)脆弱性：硬件一般只涉及硬件放置處的小部分人員，軟件則主要涉及計算機(jī)專業(yè)人員，而數(shù)據(jù)則更具公眾價值。但評價數(shù)據(jù)的價值困難，通常是有上下文的數(shù)據(jù)

15、就有一定價值。一般來說，軟硬件有相對長的生命周期，價值也會逐漸降低，而數(shù)據(jù)價值與時間的確切關(guān)系則難預(yù)見得多。,1.3.2 脆弱點(續(xù)),數(shù)據(jù)安全提出了計算機(jī)安全的第二條原則： 適度保護(hù)原則(principle of adequate protection)：計算機(jī)資源項在失去價值前必須被保護(hù)。被保護(hù)的程度與其價值是一致的。 # 這種短期保護(hù)窗口的概念主要應(yīng)用于數(shù)據(jù)，但在某些情況下也可應(yīng)用于軟件與硬件。,1.3.2 脆弱點(

16、續(xù)),圖 1.5 數(shù)據(jù)安全,1.3.2 脆弱點(續(xù)),數(shù)據(jù)機(jī)密性：由于數(shù)據(jù)經(jīng)常表現(xiàn)為人們能夠閱讀的形式，所以數(shù)據(jù)的機(jī)密性是計算機(jī)安全中的一個關(guān)鍵問題。需要保護(hù)數(shù)據(jù)的形式多種多樣：有計算機(jī)數(shù)據(jù)、CD-DVD中的記錄、網(wǎng)絡(luò)電話上的數(shù)字信號、有線和衛(wèi)星電視、生物特征標(biāo)識、網(wǎng)上行為參數(shù)等。 數(shù)據(jù)完整性：篡改數(shù)據(jù)需要了解數(shù)據(jù)傳輸、存儲以及數(shù)據(jù)格式。導(dǎo)致這類問題的原因有：惡意程序、錯誤的文件系統(tǒng)工具和有缺陷的通信工具等。數(shù)據(jù)對于篡改特別脆弱，

17、普通方法可能檢測不到微小改動，如salami攻擊；復(fù)雜的攻擊可能試圖對用過的數(shù)據(jù)進(jìn)行再處理，如重放攻擊。,1.3.2 脆弱點(續(xù)),(4) 其他易受攻擊的資源 網(wǎng)絡(luò)：指硬件、軟件和數(shù)據(jù)的專有集合。每個網(wǎng)絡(luò)節(jié)點就是一個計算系統(tǒng)，因此，具有所有常規(guī)安全問題，而不可靠的通信則加重了安全問題。新安全挑戰(zhàn)來源于：缺乏物理臨近、不安全共享媒體，缺乏對遠(yuǎn)程實體的鑒別能力。 訪問：存在三種類型脆弱點：入侵者竊取計算機(jī)的機(jī)器時間完成一般計算，

18、該計算并不攻擊系統(tǒng)的完整性(類似竊水、電)；入侵者對計算系統(tǒng)惡意訪問，破壞軟件和數(shù)據(jù)；未授權(quán)的訪問可能引起對合法用戶的服務(wù)拒絕。,1.3.2 脆弱點(續(xù)),關(guān)鍵人員：由于可能存在非惡意、惡意人員，對于操作員和系統(tǒng)程序員等人員必須精心挑選，因為他們有能力影響所有的用戶。,1.4 計算機(jī)犯罪,計算機(jī)罪犯沒有固定的外表特征，許多看上去像罪犯的人可能根本不是罪犯。 從某種意義上講，計算機(jī)安全就是為了防止罪犯破壞計算機(jī)系統(tǒng)。 計算機(jī)犯

19、罪(computer crime)是與計算機(jī)有關(guān)或利用計算機(jī)實施犯罪的所有行為。 計算機(jī)犯罪每年帶來的損失巨大，因此，應(yīng)該努力減少它的危害。,1.4.1 業(yè)余愛好者,大多數(shù)計算機(jī)罪犯是普通的計算機(jī)專業(yè)人員和用戶，他們發(fā)現(xiàn)計算系統(tǒng)弱點并利用來獲取價值。 業(yè)余愛好者可能會由于對工作環(huán)境的不滿，而通過破壞計算裝置來報復(fù)管理層。,1.4.2 破譯者或惡意黑客,系統(tǒng)破譯者(cracker)指為了險惡目的而試圖訪問計算機(jī)的人。他們試圖訪

20、問無權(quán)訪問的計算設(shè)備，將入侵系統(tǒng)視為挑戰(zhàn)。大多數(shù)破譯者破譯系統(tǒng)不與人交流。黑客(hacker)是通過地下網(wǎng)絡(luò)交流成功秘訣。 在安全界，黑客指沒有惡意的編程、管理或使用計算系統(tǒng)的人。破譯者指惡意試圖訪問計算機(jī)的人。安全界以外，這個界限不明確。 對這些攻擊者而言沒有一個共同的特征或目標(biāo)。,1.4.3 職業(yè)罪犯,職業(yè)計算機(jī)犯罪對其犯罪的目標(biāo)清楚，通常犯罪分子本身就是計算機(jī)專業(yè)人員，他們認(rèn)為計算機(jī)犯罪前景可觀、回報豐厚。有證據(jù)表

21、明一些犯罪集團(tuán)和國際組織正在從事計算機(jī)犯罪。黑客想要的只是吹噓的資本，而犯罪組織想要獲得經(jīng)濟(jì)利益，因此，黑客通常使用一些快速但留有痕跡的攻擊手段，而專業(yè)犯罪攻擊者需要不留痕跡、強(qiáng)大且不會被發(fā)現(xiàn)的攻擊手段。,1.4.4 恐怖分子,恐怖分子常以下面三種方式使用計算機(jī)： 攻擊目標(biāo)：對政治團(tuán)體，進(jìn)行諸如拒絕服務(wù)攻擊和網(wǎng)站篡改的破壞，這可以引起社會關(guān)注，并給攻擊目標(biāo)造成負(fù)面關(guān)注。 宣傳工具：利用網(wǎng)站、日志、電子郵件、社交媒體讓人們快速

22、獲得有關(guān)消息。 攻擊手段：使用計算機(jī)發(fā)起各種令人討厭的攻擊。,1.5 防御方法,為了防御損害，可以采取兩種方法：壓制威脅、關(guān)閉脆弱點。或者二者皆選。損害發(fā)生的可能性稱為風(fēng)險(risk)。處理損害的方法是： 預(yù)防：通過阻止攻擊或關(guān)閉脆弱點 緩解：通過使攻擊變得困難，但不是不可能 轉(zhuǎn)移：通過使其他的目標(biāo)更具有吸引力(或減少本目標(biāo)的吸引力) 檢測：發(fā)生時或者在發(fā)生后的一段時間進(jìn)行檢測 恢復(fù)：攻擊后的恢復(fù)

23、 當(dāng)然，可以同時使用以上的其中幾種。,1.5.1 控制,我們采取一個或多個控制的依據(jù)是：要保護(hù)什么，保護(hù)費用與損失風(fēng)險比較如何，攻擊者為達(dá)到目的會付出多大努力。,圖 1.6 多重控制,1.5.1 控制(續(xù)),加密：加密技術(shù)解決了數(shù)據(jù)的機(jī)密性要求，同時也可以用來保護(hù)完整性。加密是安全協(xié)議的基礎(chǔ)，為執(zhí)行一個重要的系統(tǒng)或網(wǎng)絡(luò)任務(wù)提供安全保障。機(jī)密可以為可用性提供支持。 但也不能過高估計加密的重要性，加密不能解決所有的安全問題，需要其

24、他工具為補(bǔ)充。不當(dāng)加密可能對安全毫無作用甚至降低整個系統(tǒng)的性能。,1.5.1 控制(續(xù)),軟件控制：程序應(yīng)該足夠安全以防止外部攻擊，它們必須不斷升級和維護(hù)。程序控制包括以下方面： 內(nèi)部程序控制：程序中執(zhí)行安全限制的部分。 操作系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)控制：用戶保護(hù)程序。 獨立控制程序：一些應(yīng)用程序，如口令檢 測、入侵檢測工具或病毒掃描器。它們針對某類脆弱點。 開發(fā)控制：用于程序設(shè)計、編碼、測試和維護(hù)的質(zhì)量標(biāo)準(zhǔn)。,1.5.

25、1 控制(續(xù)),硬件控制：專門設(shè)計具有安全保護(hù)的硬件，如執(zhí)行加密的硬件智能卡、限制訪問的鎖或電纜、用戶身份識別設(shè)備、存儲介質(zhì)的訪問控制電路板等。 策略和過程：用戶之間約定規(guī)則，規(guī)則在建立后實施培訓(xùn)和管理，以加強(qiáng)安全規(guī)則的重要性和確保其正確地使用。規(guī)定不僅需要考慮法律還應(yīng)該考慮群體信念。 物理控制：包括瑣門、守衛(wèi)入口、備份重要軟件和數(shù)據(jù)，以及選擇自然災(zāi)害少的地理位置。,1.5.2 控制的有效性,察覺問題：正在應(yīng)用控制的人必須相

26、信安全的必要。 使用的可能性：控制不會自動生效，除非正確使用。 有效性原則(principle of effectiveness)：控制必須加以使用(而且是正確使用)才有效。它們必須是高效、容易使用和適當(dāng)?shù)摹?# 就其使用的時間、存儲空間、人員活動或其他資源等方面而言，計算機(jī)安全控制必須足夠高效、從而使控制的使用不會嚴(yán)重影響受保護(hù)的任務(wù)執(zhí)行。,1.5.2 控制的有效性(續(xù)),重疊控制：對重要部分可以采取多種安全措施并

27、用的方式。 定期檢查：沒有一種控制是永遠(yuǎn)有效的。判斷控制的有效性是一項持續(xù)的工作。 重疊控制旨在一種控制失效，另一種控制可以補(bǔ)救，在某些情況下的確如此，但在另一些情況下兩種控制并不一定優(yōu)于一種控制。,1.5.2 控制的有效性(續(xù)),最弱環(huán)節(jié)原則(principle of weakest link)：安全不會強(qiáng)于其最弱的環(huán)節(jié)。不管它是防火墻的電源，或是支持安全應(yīng)用的操作系統(tǒng)，或是規(guī)則、實現(xiàn)和管理控制的人，只要所有控制中的任何一

28、個失敗了，整個安全就失敗了。,1.6 后續(xù)內(nèi)容,課程內(nèi)容分成三大部分：第一部分簡要介紹密碼學(xué)；第二部分涉及計算機(jī)系統(tǒng)的硬軟件部件，描述每個部件及數(shù)據(jù)的安全問題，以及可實施的各種保護(hù)方法；第三部分討論系統(tǒng)軟硬件和數(shù)據(jù)以外影響系統(tǒng)安全的因素。這部分不僅考慮安全中的物理因素還考慮人為因素。,1.6.1 密碼學(xué)精講 第2章將了解密碼學(xué)的基本術(shù)語，目標(biāo)，主流算法，應(yīng)用。從而理解一個密碼系統(tǒng)如何為商業(yè)應(yīng)用、政府?dāng)?shù)據(jù)或個人私有信息提供足夠的安全

29、保障。 1.6.2 軟件和硬件安全 第3章將介紹的是程序安全問題。這里，我們將討論病毒、其他惡意代碼以及如何對它們進(jìn)行控制。,1.6.2 軟件和硬件安全(續(xù)) 第4章將單獨討論通用操作系統(tǒng)，操作系統(tǒng)在提供安全特性的同時，也可能引入安全漏洞。 第5章著眼于可信操作系統(tǒng)，研究特定的數(shù)據(jù)和功能如何僅被合法用戶瀏覽和操作。 第6章將討論數(shù)據(jù)庫安全，數(shù)據(jù)庫管理系統(tǒng)是一類特殊程序，它們允許多用戶共享訪問公共數(shù)據(jù)。

30、 第7章將涉及有關(guān)計算機(jī)網(wǎng)絡(luò)和通信介質(zhì)的安全問題及其解決方案。,1.6.3 安全中的人為控制 第8章將講述安全的管理。從安全規(guī)劃和其中扮演重要角色的風(fēng)險分析開始。這章也闡述物理安全機(jī)制，并解釋安全策略是安全計劃的核心，還將討論災(zāi)難恢復(fù)。 第9章將著眼于計算機(jī)安全的經(jīng)濟(jì)問題。安全決不可能成為系統(tǒng)諸多需求的主角，通常處于次要角色，甚至被忽略。這一章討論如何證明安全開銷是適度的，如何論證對安全的投資可以得到回報。,1.6.3

31、 安全中的人為控制(續(xù)) 第10章將討論隱私問題，這是計算機(jī)中人為方面的另一部分。由于眾多的數(shù)據(jù)來源于許多人，因而帶來兩個問題：第一，誰可以控制這些個人數(shù)據(jù)？哪些是可以接受的對數(shù)據(jù)的應(yīng)用？第二，個人數(shù)據(jù)如何避免丟失和不恰當(dāng)?shù)男孤丁?第11章將考慮用法律和道德來控制惡意行為。雖然計算機(jī)法律是一個相對新的領(lǐng)域，但進(jìn)步神速，而在法律不適合的領(lǐng)域，則可用道德來解決。,1.7 本章總結(jié),計算機(jī)安全用來保障計算機(jī)系統(tǒng)部件的機(jī)密性、完整性