当前位置:文档之家 › 信息安全概论第20讲

信息安全概论第20讲

  • 格式:ppt
  • 大小:1.20 MB
  • 文档页数:36

下载文档原格式

  / 36

合集下载

信息安全概论ppt课件

信息安全概论ppt课件
插入伪造的事务处理或向数据库加入记录
可编辑ppt
14
可编辑ppt
15
计算机入侵的特点(4)
攻击者必备的三点 • 方法(method):技巧、知识、工具或能实施攻
击的其他方法 • 机会(Opportunity):完成攻击的时间和入口 • 动机(Motive):攻击的原因。
可编辑ppt
16
防御方法(1)
计算机网络
可编辑ppt
1
信息安全基础
可编辑ppt
2
信息安全面临的挑战(1)
保护信息和保护钱财的差异
信息
钱财
规模和可移动 性
避免物理接触 的能力
资源价值
设备小,可移动 性强 简单
高低不同
庞息安全面临的挑战(2)--安全是什么?
➢ 与保护有价物品的系统进行对比 • 预防:警卫、警报系统;
查远程机器的安全体系,是出于改进的愿望,这种分 析过程是创造和提高的过程。) • 不断追求更深的知识,并公开他们的发现,与其他人 分享;从来没有破坏数据的企图。
可编辑ppt
22
黑客的定义( Hacker)
现在:
• 学会如何闯入计算机系统的人; • 试图入侵计算机系统或使这些系统不可用; • 是指怀着不良的企图,闯人甚至破坏远程机器系统完
29
采用的安全技术
• 防火墙
98%
• 反病毒软件
98%
• 反间谍软件
78%
• 基于服务器的访问控制列表
70%
• 入侵检测系统
68%
• 传输数据加密
65%
• 存储数据加密
48%
• 可重用帐户、登陆口令
45%
• 入侵防护系统
42%

信息安全概论第20讲

信息安全概论第20讲

3. 访问控制
UNIX系统的访问控制机制在文件系统中实现,采取9比特访问控制模式。 命令ls可列出文件(或目录)及不同用户对系统的访问权限,命令chmod可以用来改变 文件的访问权限,Umask命令则用以控制该用户新建文件的访问权限。 有时没有被授权的用户需要完成某些要求授权的访问任务,如password程序,对于普 通用户,它允许修改用户自身的口令,但其不能拥有直接修改/etc/password文件的权 限,以防止改变其他用户的口令。为了解决此问题,UNIX系统允许对可执行的目标文 件设置SUID和SGID特殊权限位。UNIX系统的进程执行时被赋予了4个编号,以标识该 进程隶属于哪个用户,分别为实际UID、有效UID、实际GID和有效GID。实际UID和 GID标识了该可执行文件的真实隶属用户及用户组的标识符,而有效UID和GID标识了 正在运行该进程的用户及用户组的标识符,用于系统确认该进程对于文件的访问许可。 而设置SUID位将改变上述情况,当设置SUID位后,进程的有效UID为该可执行文件的 所有者的UID,而不是执行该文件的用户的UID,因此由该程序创建的进程都具有与该 程序所有者相同的访问许可。同样SGID和有效GID之间具有相似的关系。
4. 最小特权原则
UNIX操作系统最初没有实现最小特权原则,超级用户拥有全部特权。在基于 UNIX系统上开发的一些安全操作系统,如UNIX SVR4.1ES实现了最小特权原 则,从而降低了由于超级用户口令被破解或其误操作所带来的安全风险。
5. 安全审计
UNIX系统的审计日志主要包括: acct或pacct:记录每个用户使用过的命令历史列表; lastlog:记录每个用户最后一次成功登录的时间和最后一次登录失败的时间; loginlog:记录失败的登录尝试记录; messages:记录输出到系统主控台以及由syslog系统服务产生的信息; sulog:记录su命令的使用情况; utmp或utmpx:记录当前登录的每个用户; wtmp或wtmpx:记录每一次用户登录和注销的历史信息,以及系统关闭和 启动的信息; 大部分版本的UNIX系统都具备安全审计服务程序syslogd,实现灵活 配置和集中式安全审计和管理。当前的大部分UNIX系统实现的安全审计机制 达到了TCSEC的C2级安全审计标准。

信息安全概论 PPT

信息安全概论 PPT
13
1.3 信息安全技术体系
14
1.3 信息安全技术体系
本书将在后面的章节中介绍这些技术,这里 先概述一下其基本内容。 1)信息安全保障技术框架 2)密码技术 3)标识与认证技术 4)授权与访问控制技术 5)信息隐藏技术 6)网络与系统攻击技术
15
1.3 信息安全技术体系
7)网络与系统安全防护及应急响应技术 8)安全审计与责任认定技术 9)主机系统安全技术 10)网络系统安全技术 11)恶意代码检测与防范技术 12)内容安全技术 13)信息安全测评技术 14)信息安全管理技术
18
1.4 信息安全模型
• Simmons面向认证系统提出了无仲裁认证 模型,它描述了认证和被认证方通过安全 信道获得密钥、通过可被窃听的线路传递 认证消息的场景;
19
1.4 信息安全模型
• Dolev和Yao针对一般信息安全系统提出了 Dolev-Yao威胁模型,它定义了攻击者在 网络和系统中的攻击能力,被密码协议的 设计者广泛采用。随着密码技术研究的深 入,有很多学者认为密码系统的设计者应 该将攻击者的能力估计得更高一些,如攻 击者可能有控制加密设备或在一定程度上 接近、欺骗加密操作人员的能力。
Байду номын сангаас
1.1 信息安全的概念
(6)可用性(usability):当突发事件(故障、 攻击等)发生时,用户依然能够得到或使 用信息系统的数据,信息系统的服务亦能 维持运行的属性。 (7)可控性(controllability):能够掌握和控 制信息及信息系统的情况,对信息和信息 系统的使用进行可靠的授权、审计、责任 认定、传播源与传播路径的跟踪和监管等 等。
信息安全概论
1
第一章 绪论
1.1 1.2 1.3 1.4 1.5 信息安全的概念 信息安全发展历程 信息安全技术体系 信息安全模型 信息安全保障技术框架

《信息安全概论》复习资料

《信息安全概论》复习资料

《信息安全概论》课程期末复习资料《信息安全概论》课程讲稿章节目录:第1章信息安全概述1.1 信息安全的理解1.2 信息安全威胁1.3 互联网的安全性1.4 信息安全体系结构第2章密码学基础2.1 密码学基础知识2.2 古典替换密码2.3 对称密钥密码2.4 公开密钥密码2.5 消息认证第3章物理安全3.1 概述3.2 设备安全防护3.3 防信息泄露3.4 物理隔离3.5 容错与容灾第4章身份认证4.1 概述4.2 认证协议4.3 公钥基础设施PKI第5章访问控制5.1概述5.2 访问控制模型5.3 Windows系统的安全管理第6章网络威胁6.1概述6.2 计算机病毒6.3 网络入侵6.4 诱骗类攻击第7章网络防御7.1 概述7.2 防火墙7.3 入侵检测系统7.4 网络防御的新技术第8章内容安全8.1 概述8.2 版权保护8.2 内容监管第9章信息安全管理9.1 概述9.2 信息安全风险管理9.3 信息安全标准9.4 信息安全法律法规及道德规范一、客观部分:(一)、选择部分1、(D)A.通信安全B.信息安全C.信息保障D.物理安全★考核知识点: 信息安全的发展阶段,参见讲稿章节:1-1(教材P2)附1.1.1(考核知识点解释):目前,信息安全领域流行的观点是:信息安全的发展大致分为通信安全、信息安全和保息保障三个阶段,即保密、保护和保障发展阶段。

2、通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信流量等参数的变化进行研究,从中发现有价值的信息和规律,这种信息安全威胁称为(B)A.窃听B.业务流分析C.重放D.业务欺骗★考核知识点: 信息安全威胁,参见讲稿章节:1-2(教材P4)附1.1.2(考核知识点解释):窃听是指在信息传输中,利用各种可能的合法或非法手段窃取信息资源。

业务流分析是指通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信流量等参数的变化进行研究,从中发现有价值的信息和规律。

信息安全概论课后答案

信息安全概论课后答案

四45五3六57十4十一34十二47没做“信息安全理论与技术”习题及答案教材:《信息安全概论》段云所,魏仕民,唐礼勇,陈钟,高等教育出版社第一章概述(习题一,p11)1.信息安全的目标是什么?答:信息安全的目标是保护信息的机密性、完整性、抗否认性和可用性;也有观点认为是机密性、完整性和可用性,即CIA(Confidentiality,Integrity,Availability)。

机密性(Confidentiality)是指保证信息不被非授权访问;即使非授权用户得到信息也无法知晓信息内容,因而不能使用完整性(Integrity)是指维护信息的一致性,即信息在生成、传输、存储和使用过程中不应发生人为或非人为的非授权簒改。

抗否认性(Non-repudiation)是指能保障用户无法在事后否认曾经对信息进行的生成、签发、接收等行为,是针对通信各方信息真实同一性的安全要求。

可用性(Availability)是指保障信息资源随时可提供服务的特性。

即授权用户根据需要可以随时访问所需信息。

2.简述信息安全的学科体系。

解:信息安全是一门交叉学科,涉及多方面的理论和应用知识。

除了数学、通信、计算机等自然科学外,还涉及法律、心理学等社会科学。

信息安全研究大致可以分为基础理论研究、应用技术研究、安全管理研究等。

信息安全研究包括密码研究、安全理论研究;应用技术研究包括安全实现技术、安全平台技术研究;安全管理研究包括安全标准、安全策略、安全测评等。

3. 信息安全的理论、技术和应用是什么关系?如何体现?答:信息安全理论为信息安全技术和应用提供理论依据。

信息安全技术是信息安全理论的体现,并为信息安全应用提供技术依据。

信息安全应用是信息安全理论和技术的具体实践。

它们之间的关系通过安全平台和安全管理来体现。

安全理论的研究成果为建设安全平台提供理论依据。

安全技术的研究成果直接为平台安全防护和检测提供技术依据。

平台安全不仅涉及物理安全、网络安全、系统安全、数据安全和边界安全,还包括用户行为的安全,安全管理包括安全标准、安全策略、安全测评等。

信息安全概论绪论课件

信息安全概论绪论课件
可靠性(Reliability) 不可抵赖性( Non-repudiation ) 可控性(Controllability)
信息安全概论绪论
20
信息安全的目标
n 机密性:Confidentiality,指保证信息不被 非授权访问。
n 完整性:Integrity,指信息在生成、传输、 存储和使用过程中不应被第三方篡改。
信息安全的发展历史
n 信息安全的发展经历了如下几个阶段:
¨ 古典信息安全 ¨ 辐射安全 ¨ 计算机安全 ¨ 网络安全 ¨ 信息安全
信息安全概论绪论
18
信息安全威胁(攻击)
n 安全的威胁
¨ 中断 ¨ 截获 ¨ 篡改 ¨ 伪造
攻击的分类
被动攻击 主动攻击
信息安全概论绪论
19
信息安全的目标
n 机/保密性(Confidentiality) n 完整性(Integrity) n 可用性(Avaliability)
次被电脑黑客非法侵入并且遭到攻击,该网站主页被 替换,文件被删除,并且网站服务器的硬盘被格式化, 造成大量数据丢失,部分文件和许多宝贵的人才资源 信息无法恢复。严重地影响了网站正常工作并造成经 济损失22万元人民币。 犯罪嫌疑人:一名年仅17岁的学生 犯罪动机:充当“黑客”只想证明比别人聪明
信息安全概论绪论
信息安全技术
信息安全概论绪论
1
教材和参考书
n 熊平、朱天清. 信息安全原理及应用. 清华 大学出版社,2009年
n Charles P. Pfleeger, Shri Lawrence著. 信息安 全原理与应用(第四版). 电子工业出版社, 2007年
n 徐国爱. 网络安全. 北京邮电大学出版社.
50~60%的安全事件出自使用不当 使用者缺乏经验、系统维护不到位

信息安全概论信息安全简介

信息安全概论信息安全简介
图一.三所示表示了在信息安全地地位。
图一.三 安全环
一.四.一 员,组织与管理
图一.二 系统安全,数据安全,事务安全层次图
一.三.一 计算机系统地安全威胁
一.假冒
假冒是指某个实体通过出示伪造地凭证来冒充别 或别地主体,从而攫取授权用户地权利。
假冒可分为重放,伪造与代替三种。
二.旁路
旁路是指者利用计算机系统设计与实现地缺陷 或安全上地脆弱处,获得对系统地局部或全部控制 权,行非授权访问。
信息安全概论
目录
Contents Page
零一 信息安全地发展历史 零二 信息安全地概念与目地 零三 安全威胁与技术防护知识体系 零四 信息安全地非技术因素
回顾信息安全地发展历程; 介绍信息安全地基本概念; 说明信息安全是什么,所关注地问题以及面临地挑战是什么。
一.一 信息安全地发展历史 一.一.一 通信保密科学地诞生
一.一.四 网络环境下地信息安全
在一九六八年就开始设计一种称为APA地网络。APA 诞生后,经过了军事网,科研网,商用网等阶段。经过五零 多年地发展,APA逐步发展成了现在地互联网(Inter)。 Inter在技术上不断完善,目前仍然保持着强劲地发展态 势。
在二零世纪八零年代后期,由于计算机病毒,网络蠕虫地广泛传播, 计算机网络黑客地善意或恶意地,分布式拒绝服务(DDOS)地强大破 坏力,网上窃密与犯罪地增多,们发现自己使用地计算机及网络竟然如 此脆弱。与此同时,网络技术,密码学,访问控制技术地发展使得信息 及其承载系统安全地意义逐步完善。此外,们研究杀毒,入侵检测等检 测技术,防火墙,内容过滤等过滤技术,虚拟专用网(VPN),身份识别 器件等新型密码技术,这不仅引起了军界,政府地重视,而且引起了商 业界,学校,科研机构地普遍研究热情。近年来,社会上已经开发出一 系列有关地信息安全产品,它们被广泛应用到军方,政府,金融及企业, 标志着网络环境下地信息安全时代地到来,信息安全产业地迅速崛起。

信息安全概论(第二版PPT)第一章 绪论

信息安全概论(第二版PPT)第一章 绪论
第一章 绪论
安全机制
加密技术 信息完整性 数字签名 身份识别 流量填充
路由控制 公正 访问控制 事件检测与安全审计 恢复机制
第一章 绪论
4 信息安全体系结构 ➢ 信息安全体系结构的含义 ➢ 技术体系 ➢ OSI参考模型 ➢ OSI安全体系结构 ➢ 组织体系结构和管理体系结构
第一章 绪论
系怎样? 7. 根据自己日常使用电脑和上网的经历,谈谈对信息安全含义的理解。 8.新技术的发展给信息安全带来了哪些挑战?
第一章 绪论
谢谢!
39 | Presentation Title | Month 2011
第一章 绪论
第一章 绪论
组织体系结构和管理体系结构
组织体系结构是信息系统安全的组织保障系统,由机构、 岗位和人事三个模块构成一个体系。 管理机构的设置分为三个层次:决策层、管理层和执行层。 人事机构是根据管理机构设定的岗位,对岗位上在职、待职 和离职的雇员进行素质教育、业绩考核和安全监管的机构。 人员是信息安全实施的主体,其活动在国家有关安全的法律 、法规、政策范围内进行。
第一章 绪论
网络安全与信息保障阶段
(20世纪90年代之后)
计算机病毒、网络蠕虫的广泛传播,计算机网络黑客的恶 意攻击,DDOS攻击的强大破坏力、网上窃密和犯罪的增多。
信息安全领域随即进入了以立体防御、深度防御为核心思 想的信息安全保障时代,形成了以预警、攻击防护、响应、 恢复为主要特征的全生命周期安全管理, 出现了大规模网络攻 击与防护、互联网安全监管等各项新的研究内容。
网络安全的研究涉及安全策略、移动代码、指令保护、密 码学、操作系统、软件工程和网络安全管理等内容。
第一章 绪论
信息安全保障
Response响应

信息安全概论

信息安全概论

9.2.3 网络(wǎngluò)欺骗
ARP欺骗 ARP协议是什么?工作原理? 思路:在局域网中,攻击者能够收到ARP广播
包,从而可以获知其它节点的 (IP, MAC) 地址 。于是,攻击者可以伪装(wěizhuāng)为A,告 诉B(受害者)一个假地址,使得B在发送给A 的数据包都被黑客截取,而A, B 浑然不知。 分类:中间人攻击、拒绝服务攻击。
网络探测的基本(jīběn)步骤 踩点:指攻击者利用各种攻击和技巧,以正常
合法的途径对攻击目标进行窥探,对其安全情 况建立完整的剖析图。常用方法:搜索引擎、 域名查询、网络勘察。
扫描:指攻击者获取获取活动主机、开放服务 、操作系统、安全漏洞等关键信息的技术。常 用技术:PING扫描、端口扫描、漏洞扫描。
病毒威胁
恶意攻击
外部攻击
主动攻击
中断 篡改 伪..装. /假冒
嗅探 被动攻击 流..量. 分析
5
第五页,共50页。
9.1.1 网络安全威胁(wēixié)
网络安全的类别
网络崩溃:硬件故障或软件(ruǎn jiàn)故障导 致系统崩溃。
网络阻塞:网络配置和调度不合理,导致出现 网络广播风暴和噪声。
可以轻易地与目标主机建立连接,达到重新控 制的目的。
SQL注入:通过把SQL命令插入到Web表单递交 或输入域名或页面请求的查询字符串,最终达 到欺骗服务器执行恶意的SQL命令。
2021/11/5
8
第八页,共50页。
9.1.2 黑客技术简介(jiǎn jiè)
黑客常用术语
木马:是一种特殊的程序代码,被植入主机运 行后,会获取系统控制权限,进而秘密窃取系 统的敏感数据文件,甚至远程操控主机。
发现漏洞:黑客要经常学习别人发现的漏洞, 努力自己寻找未知漏洞,并从海量的漏洞中寻 找有价值的、可被利用的漏洞进行试验。

信息安全概论

信息安全概论

信息安全概论第一篇:信息安全概论第一章1、信息安全的基本属性:(1)可用性(2)机密性(3)非否认性(4)可控性(5)真实性(6)完整性2、信息安全技术是指保障信息安全的技术,具体来说,它包括对信息的伪装、验证及对信息系统的保护等方面。

3、信息安全划分四个阶段:(1)通信安全发展时期(2)计算机安全发展时期(3)信息安全发展时期(4)信息安全保障发展时期。

4、信息安全威胁有:(1)信息泄露(2)篡改(3)重写(4)假冒(5)否认(6)非授权使用(7)网络与系统攻击(8)恶意代码(9)灾害、故障与人为破坏。

第二章1、密码技术提供:完整性、真实性、非否认性等属性。

2、密码学分为:密码编码学和密码分析学。

3、按密钥使用方法的不同,密码系统主要分为对称密码、公钥密码。

4、密码分析也可称为密码攻击。

5、密码分析分为4类:(1)唯密文攻击(2)已知明文攻击(3)选择明文攻击(4)选择密文攻击。

第三章1、系统实体标识:(1)系统资源标识(2)用户、组和角色标识(3)与数字证书相关的标识。

2、威胁与对策:(1)外部泄密(2)口令猜测(3)线路窃听(4)重放攻击(5)对验证方的攻击。

3、PKI:公开密钥基础设施。

(PKI中最基本的元素就是数字证书)4、PKI的组成:(1)认证和注册机构(2)证书管理(3)密钥管理(4)非否认服务(5)系统间的认证(6)客户端软件。

5、PKI支撑的主要安全功能:基于PKI提供的公钥证书和私钥,用户之间可以进行相互的实体认证,也可以进行数据起源的认证。

6、公钥认证的一般过程是怎样的?公钥来加密,只有拥有密钥的人才能解密。

通过公钥加密过的密文使用密钥可以轻松解密,但通过公钥来猜测密钥却十分困难。

7、简述PKI的构成和基本工作原理。

PKI的构成:(1)认证和注册机构(2)证书管理(3)密钥管理(4)非否认服务(5)系统间的认证(6)客户端软件基本原理:PKI就是一种基础设施,其目标就是要充分利用公钥密码学的理论基础,建立起一种普遍适用的基础设施,为各种网络应用提供全面的安全服务第四章1、访问控制策略:自主访问控制策略(DAC)、强制访问控制策略(MAC)、基于角色访问控制策略(RBAC)。

《信息安全概论》

《信息安全概论》
物理威胁 系统漏洞造成的威胁 身份鉴别威胁 线缆连接威胁 有害程序等方面威胁。
第1讲 信息安全概论
整理ppt16
物理威胁
1、偷窃
网络安全中的偷窃包括偷窃设备、偷窃信息和偷窃服务等内容。
2、废物搜寻 从废弃的打印材料或的软盘中搜寻所需要的信息。
3、间谍行为
省钱或获取有价值的机密、采用不道德的手段获取信息。
主动攻击: 修改数据流或创建一些虚假数据流。常采用数据加 密技术和适当的身份鉴别技术。
第1讲 信息安全概论
整理ppt13
网络安全攻击
❖截获 • 以保密性作为攻击目标,表现为非授权用户通过 某种手段获得对系统资源的访问,如搭线窃听、 非法拷贝等。
❖中断 • 以可用性作为攻击目标,表现为毁坏系统资源, 切断通信线路等。
“安全是相对的,不安全才是绝对的”
第1讲 信息安全概论
整理ppt23
信源、信宿、信息之间的关系
H.否认信息
C.非法认证
G.非法信息
1.产生
信源
2.互相信任 3.传递信息
信宿
D.窃听信息
E.修改信息
信息
B.破坏信源
F.窃听传递情况
A.非法访问
第1讲 信息安全概论
整理ppt24
§1.6 信息安全的目标
网络安全物理基础 操作系统:Unix/Linux/Windows 网络协议:TCP/IP/UDP/SMTP/POP/FTP/HTTP
第1讲 信息安全概论
整理ppt31
攻击技术
1、网络监听:自己不主动去攻击别人,在计算机上设置 一个程序去监听目标计算机与其他计算机通信的数据。
2、网络扫描:利用程序去扫描目标计算机开放的端口等, 目的是发现漏洞,为入侵该计算机做准备。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

2. 可信计算基的组成 计算机实施安全策略的可信的软件、硬件、负责系统安全的管理人员一 起组成了系统的可信计算基。 (1)操作系统的安全内核; 具有特权的程序和命令; 处理敏感信息的软件,如系统管理命令; 与TCB实施安全策略有关的文件; (2)其他有关的固件、硬件和设备; (3)负责系统管理的人员; (4)保障固件和硬件正确的程序和诊断软件。 功能是: 内核的良好定义和安全运行方式; 标识系统中的每个用户; 保持用户到可信计算基登录的可信路径; 实施主体对客体的访问控制; 维持可信计算基功能的正确性; 监视和记录系统中的相关安全事件,进行安全审计。
7.2.3操作系统安全机制
操作系统安全机制主要包括 客体重用保护 身份鉴别 访问控制 最小特权原则 可信通道 安全审计等。
1. 硬件安全机制
① 存储保护 存储保护主要指保护用户在存储器中的数据,对于在内存中一次只能运行一 个进程的操作系统,存储保护机制应能防止用户程序对操作系统的影响。 而允许多个进程同时执行的多道操作系统还需要进一步要求存储保护机制 对各个进程的存储空间进行相互隔离。 ② 运行保护 安全操作系统的一个重要的设计原则是分层设计,如基于保护ห้องสมุดไป่ตู้的等级式结 构。最内环是安全内核,具有最高的特权,外环则是不具有特权的用户程 序。 运行保护包括等级域机制和进程隔离机制。等级域机制应该保护某一环不被 其外环侵入,并且允许在某一环内的进程能够有效地控制和利用该环及该 环以外的环。进程隔离机制则指当一个进程在某个环内运行时,应保证该 进程免遭同一环内同时运行的其他进程的破坏,也就是说系统将隔离在同 一环内同时运行的各个进程。
7.1.2安全内核方法
可信计算基的设计通常基于安全内核方法。 安全内核(Security Kernel)方法指的是通过控制对系统资源的访问 来实现基本安全规程的计算机系统的中心部分,包括访问验证机制、访问控制 机制、授权机制和授权管理机制等。安全内核为操作系统提供服务,同时也对 操作系统施加限制。 TCSEC标准中给出了对安全内核的权威定义:“安全内核是一个可 信计算基中实现访问监视器思想的硬件、固件和软件成分;它必须仲裁所有访 问,必须保护自身免受篡改,必须能被验证是正确的”。 安全周界(Security Perimeter)是指用半径来标识的空间。该空间包 围着用于处理敏感信息的设备,并在有效的物理和技术控制之下,防止未授权 的进入或敏感信息的泄漏。
对用户建立可信通道的一种常见的方案是基于安全提示键(SAK: Security Attention Key)实现。Linux操作系统提供的安全提示键在X86平台 下为ALT+SysRq+k。Windows操作系统则为CTRL+ALT+DEL。
6. 安全审计
一个系统的安全审计就是对系统中有关安全的活动进行记录、检查或审核。 安全审计方法用于监视安全相关的活动。 安全审计机制的实现一般是一个独立的过程,应与系统其他功能相隔离,同 时要求操作系统必须能够生成、维护及保护审计过程,使其免遭修改、非法 访问及毁坏。 审计事件是安全审计机制最基本的单位。审计事件一般可分为注册事件、使 用系统事件和利用隐蔽通道的事件3大类。亦即用户身份鉴别机制的使用、把 客体引入到用户的地址空间或从地址空间删除客体、特权用户所发生的动作 以及利用隐蔽通道的事件。
一种典型的将超级用户的特权进行细分的方案如下: 系统安全管理员:负责对系统资源和应用定义安全级别;为用户赋予安全级 别;定义用户和自主访问控制的用户组;限制隐蔽通道活动的机制等。 安全审计员:负责安全审计系统的控制,与系统安全管理员形成一个“检查 平衡”,系统安全管理员负责实施安全策略,而安全审计员控制审计信息, 审核安全策略是否被正确实施。 操作员:完成常规的、非关键的安全操作,不能进行影响安全级的操作。 网络管理员:负责所有网络服务及通信的管理。
依据系统安全策略对用户的操作进行访问控制,防止用户对计算机资源的非 法访问(窃取、篡改和破坏); 标识系统中的用户并进行身份识别; 保证系统自身的可用性及系统数据的完整性; 监督系统运行的安全性。
为了实现这些安全目标,需要依据特定的设计原则和设计方法,实现 相应的安全机制,从而构建安全操作系统,其中关键的操作系统安全机制包 括:客体重用保护、身份鉴别、访问控制、最小特权原则、可信通道、安全 审计等。
图 7.2 安全内核
7.1.3可信计算基
1. 可信计算基的定义 可信计算基(TCB:Trusted Computing Base):“可信计算基是可 信计算系统的核心,它包含了系统中所有实施安全策略及对象(代码和数据) 隔离保护的机制,为了使得保护机制更容易被理解和验证,可信计算基应尽量 简单,并与安全策略具有一致性”。(1985年美国DoD可信计算机系统评估准 则(TCSEC)的定义)
③ I/O保护 绝大多数情况下,I/O操作是仅由操作系统完成的一个特权操作,所有操作系 统都对I/O操作提供一个相应的高层系统调用,在这些过程中,用户不需要 控制I/O操作的细节。
2. 身份鉴别
身份鉴别,即计算机系统对用户身份的标识与鉴别(I&A: Identification & Authentication)机制,用于保证只有合法用户才能进入系统,进而访问系统 中的资源。 在操作系统中,身份鉴别一般在用户登录系统时进行,常使用的鉴别 机制有口令机制、智能卡和生物鉴别技术等。
拥有者 r w e 同组用户 r w e 其他用户 r w e
图 7.3比特位模式
4. 最小特权原则
一个特权就是一个可违反系统安全策略的操作能力,作用是为了保证 操作系统的正常运行。 在目前多数流行的多用户操作系统(如UNIX、Linux和Windows)中, 超级用户一般具有所有特权,而普通用户不具有任何特权,一个进程要么具 有所有特权(超级用户进程),要么不具有任何特权(普通用户进程)。便 于系统维护和配置,但不利于系统的安全性。 最小特权原则(Least Privilege Principle)的基本思想是系统中每一个主体只 能拥有与其操作相符的必需的最小特权集。
4. 可信计算基安全保证 安全保证(Security Assurance)是为确保安全功能达到要求的安全性 目标所采取的方法和措施。主要包括: 可信计算基自身安全 可信计算基设计与实现 可信计算基安全管理
7.2 操作系统安全 7.2.1操作系统安全概述
操作系统是管理计算机硬件,并为上层应用软件提供接口的系统软件, 是计算机系统的核心。数据库系统、应用软件都运行在操作系统之上,因此 操作系统安全是整个计算机系统安全的基石和关键,不能保证操作系统的安 全性,就不可能达到数据库安全和应用安全。 操作系统安全要达到的主要目标是:
5. 可信通道
具体实施安全策略的软硬件构成安全内核,而用户是与安全周界外部 的不可信的中间应用层及操作系统交互的,但用户登录、定义用户的安全属 性、改变文件的安全级别等安全关键性操作,用户必须能够确认与安全内核 进行交互,而不是与一个特洛伊木马程序打交道。这就需要提供一种安全机 制,保障用户和安全内核之间的通信,而这种机制就是由可信通道提供的。 可信通道(Trusted path)机制即终端人员能借以直接与可信计算基通信的一 种机制。该机制只能由有关终端操作人员或可信计算基启动,并且不能被不 可信软件模拟。
信息安全概论
第20讲
第7章 计算机系统安全
7.1 可信计算基 7.2 操作系统安全 7.3 数据库安全 7.4 计算机病毒防护 7.5 备份与恢复
7.6 可信计算平台
7.1 可信计算基
可信计算基(TCB: Trusted Computing Base)的概念于1979年由G. H. Nibaldi提出,其思想是将计算机系统中所有与安全保护有关的功能提取出来, 并把它们与系统中的其他功能分离开,然后将它们独立加以保护,防止受到破 坏,这样独立出来得到的结果就称为可信计算基。
安全内核作为可信计算基 的设计和实现方式,同样必 须遵从访问验证机制的3条基 安全周界 本原则: 外部 1、防篡改原则 2、完备性原则 3、可验证性原则
用户 用户接口 应用程序 操作系统接口 操作系统 内核接口
安全周界 内部
安全内核
安全内核方法以指导设计 和开发的一系列严格的安全 原则为基础,能够极大地提 高用户对系统安全控制的信 任度,是一种最常用的构建 可信计算基的设计方法。
特权命令
审计点
内核审计进程
系统调用
审计点 循环缓冲区
审计 日志 文件
图7.4 安全审计机制实现方式
7.2.4 UNIX操作系统安全机制
UNIX是一种多用户多任务操作系统,其基本功能就是要防止使用同一个操作 系统的不同用户之间的相互干扰,因此UNIX操作系统在设计时就已经使用了 以下的一些安全机制来适应安全性需求。 1. 运行保护 UNIX系统具有两个执行态:核心态和用户态。运行内核中程序的进程处于核 心态,而运行核外程序的进程处于用户态。系统保证用户态下的进程只能访 问它自己的指令和数据,而不能访问内核和其他进程的指令和数据,并且保 证特权指令只能在核心态执行。用户程序可以使用系统调用进入内核,运行 完系统调用再返回用户态。并且在不受用户干扰的情况下对该请求进行访问 控制。
7.2.2操作系统安全机制设计原则
J. H. Saltzer和M. D. Schroeder提出了操作系统安全保护机制应符合8原则:
1. 最小特权原则:每个用户和进程必须按照“所需”原则,尽可能使用最小 特权。 2. 可验证性:保护操作系统安全的机制应该具备简单性和直接性,并能够通 过形式化证明方法或穷举测试验证其可靠性。 3. 开放设计原则:安全机制设计应该是开放的,机制本身的不应保密。还应 该接受广泛的公开审查,消除可能存在的设计缺陷。 4. 完全检查:每次访问尝试都必须通过检查。 5. 基于许可:对客体的访问应该是默认拒绝访问,稳健的设计机制,主体还 应该识别那些将被访问的客体。 6. 多重防护:理想情况下,对敏感客体的访问应依赖多个条件,比如用户鉴 别和密钥。 7. 最少公用机制:共享对象为信息流提供了潜在的通道。采用物理或逻辑隔 离的系统减少了共享的风险。 8. 易用性:使用简单的安全机制,并提供友好的用户接口,使其更容易被用 户所接受。