计算机系统安全
计算机系统安全属性
机密性 | 保证信息不被非授权访问 |
完整性 | 维护信息和实体的人为或非人为的非授权篡改 |
可用性 | 保障信息资源随时可提供服务的特性 |
可靠性 | 在规定的条件下和给定的时间完成预定功能的概率 |
可审计性 | 保证计算机信息系统所处理的信息的完整性、准确性和可靠性,防止有意或无意地出现错误,出现问题有据可循 |
抗否认性 | 保障用户无法在事后否认曾经对信息进行的生成、答发、接收等行为 |
系统安全的实现方法:基础更论研究包括密码研究、安全理论研究;应用技术研究包括安全实现技术、安全平台技术研究;安全管理研究包括安全标准、安全策略、安全测评等。
电磁泄漏和干扰
电磁泄漏发射检查测试方法和安全判据
功率和频率 | 载流导线小的电流强度越大,辐射源辐射的强度越大,反之则越小 |
与辐射源的距离 | 与辐射源越远,场强衰减越大,其场强与距离成正比 |
屏蔽状况 | 辐射源是否屏蔽,对电磁泄漏影响很大 |
电磁泄漏的处理方法
低泄射产品:综全运用抑源法和屏蔽法制造的信息设备
电磁干扰器:能辐射出电磁噪声的电子仪器
处理泄密信息的电磁屏蔽室的技术:用屏蔽材料将泄漏源包封起来
其他的防泄漏技术:滤波、接地和搭接、隔离和合理布局、选用低泄漏设备、配置低辐射设备、TEMPEST技术标准
物理安全
场地安全 | 指系统所在的环境的安全,主要是场地与机房,根据GB9361-1988,计算机机房的安全等级分为A、B、C三类; 机房安全:供配电系统、防雷接地系统、消防报警及自动灭火系统功能、门禁系统、保安监控系统等; 场地安全:温度、湿度、灰尘、有害气体、地震、火灾、水灾等 |
设备安全 | 主要内容:设备防盗、设备防毁、防电磁信息泄漏、防线路截获、搞电磁干扰【工频干扰、开关干扰、放电干扰和射频干扰(电容滤波、电磁屏蔽、接地系统)】、电源保护 |
媒体安全/介质安全 | 是指介质数据和介质本身的安全,其目的是保护存储在介质上的信息,包括介质的防盗、介质的防毁(防霉、防砸)等;磁盘的安全防护包括磁盘信息加密技术和磁盘信息清除技术 |
计算机的可靠性技术
容错:指一个系统在运行中其任何一个子系统发生故障时,系统仍能够继续操作的能力。
数据的完整性:数据保护
数据的可用性:尽管发生故障,仍能读取数据
容错主要依靠冗余设计来实现:硬件冗余、软件冗余、时间冗余和信息冗余
硬件容错 | 双CPU容错系统:当一个CPU板出现故障时,另一个CPU保持继续运行 双机热备份:两台服务器都处于热机状态,一台坏了另一台接替 三机表决系统:三台主机同时运行,由表决器根据三台的运行结果表决集群系统:指均衡负载的双机或多机系统 |
软件容错 | 利用相同的需求规格说明书而设计的不同版本通过冗余,相互屏蔽各自内在缺陷,恢复进程运行,以实现高可靠、高安全性的系统软件技术 |
数据容错 | 数据备份:完全备份、增量备份、差分备份、渐进式备份 数据恢复:全盘恢复、数据库和邮件系统恢复、个别文件恢复、重定向恢复 容灾技术:应用容灾、数据容灾【远程数据复制(同步和异步数据复制)】 数据纠错:奇偶校验码、海明码等 |
练习:
维护信息和实体的人为或非人为的非授权篡改是属于系统安全的()因素
A. 机密性
B. 完整性
C. 可用性
D. 可靠性
答案:B。
()对计算机电磁辐射强度不会有影响
A. 功率和频率
B. 与辐射源的距离
C. 空气质量
D. 屏蔽状况
答案:C。
根据GB9361-1988,计算机机房的安全等级可分为A、B、C三个类别,其中安全级别最高的是()
A. A类
B. B类
C. C类
D. D一样的级别
答案:A。
磁盘的安全防护是属于()
A. 场地安全
B. 介质安全
C. 设备安全
D. 都不是
答案:B。
不属于物理安全威胁的是()
A. 自然灾害
B. 物理攻击
C. 硬件故障
D. 系统安全管理人员培训不够
答案:B。系统安全管理培训不够导致的人为操作失误也属于物理安全威胁
()不属于数据容错的策略
A. 数据备份
B. 数据恢复
C. 双机热备份
D. 容灾技术
答案:C。
操作系统安全
操作系统的安全性目标
身份认证机制 | 实施强认证方法,比如口令、数字证书等 |
访问控制机制 | 实施细粒度的用户访问控制,细化访问权限等 |
数据保密性 | 对关键信息,数据要严加保密 |
数据完整性 | 防止数据系统被恶意代码破坏,对关键信息进行数字技术保护 |
系统的可用性 | 操作系统要加强应对攻击的能力,比如防病毒,防缓冲区溢出攻击等 |
审计 | 审计是一种有效的保护措施,它可以在一定程度上阻止对计算机系统的威胁,并对系统检测,故障恢复方面发挥重要作用 |
操作系统安全模型
状态机模型 | 用状态语言将安全系统描绘成抽象的状态机,用状态变量表示系统的状态,用转换规则描述变量变换的过程 |
信息流模型 | 用于描述系统中客体间信息传输的安全需求,根据客体的安全属性决定主体对它的存取操作是否可行 |
无干扰模型 | 设有使用某一命令集的两组用户,一组用户使用这些命令所得到的结果,不影喘息另一组用户访问的数据 |
不可推断模型 | 提出了不可推断性的概念,要求低安全级用户不能推断出高安全级用户的行为 |
完整性模型 | 公认的两个完整性模型Biba模型和Clark-Wilson模型 |
中国墙模型 | 兼顾保密性和完整性的安全模型,又称BN模型。允许主体访问,该主体所拥有的信息是不发生冲突的信息 |
BLP模型 | 是最早的一种安全模型,也是最著名的多级安全策略模型,属于状丰收机模型,采用线性排列安全许可的分类形式来保证信息的保密性 基本原理:系统由主体(进程)和客体(数据、文件)组成,主体对客体的访问分为只读(r)、读写(w)、只写(a)、执行(e)、控制(c)几种访问模式 是一个很安全的模型,既有自主访问控制又有强制访问控制;控制停信息只能由低向高流动,能满足军事部门等一类对数据保密性要求特别高的机构的需求 |
Biba模型 | 第一个完整性模型,应用类似BLP模型的规则来保护信息的完整性 三种策略:下限标记策略、环策略和严格完整性策略 |
Clark-Wilson模型 | 属于完整性模型,以良构事物和任务分离机制来保证数据的一致性和事物处理的完整性 |
身份鉴别方法
用户名/口令鉴别 | 证实自己所知道的,比如密码、身份证号码、最喜欢的歌手、最爱的人的名字等等 |
标记方式鉴别 | 出示自己所拥有的,比如智能卡、磁卡等 |
生物特征鉴别 | 证明自己是谁,比如指纹、语音波纹、视网膜样本、照片、面部特征扫描等等 |
形体动作鉴别 | 表现自己的动作、签名、键入密码的速度与力量、语速等等 |
身份鉴别系统架构
鉴别服务器 | 负责进行使用者身份鉴别的工作 |
鉴别系统用户端软件 | 进行登录的设备或系统 |
鉴别设备 | 使用者用来产生或计算密码的软硬件设备 |
访问控制机制
访问控制策略与机制
主体 | 一个主动的实体:用户、终端、主机等,主体可以访问客体 |
客体 | 指一个包含或接受信息的被动实体,对客体的访问要受控 |
授权访问 | 指主体访问客体的允许 |
访问控制矩阵
矩阵中的行每一格表示所在行的主体对所在列的客体的访问授权
File1 | File2 | File3 | |
User1 | rw | rw | |
User2 | r | rwx | x |
User3 | x | r |
访问控制机制
访问控制表
访问控制矩阵按列分解,生成访问控制列表
File1->User1(r,w)->User2(r)->User3(x)
权能表
访问控制列表按行分解
User1->file(r,w)->file3(r,w)
前缀表
对每个主体赋予的前缀表,包括受保护客体名和主体对它的访问权限
保护位
对所有主体、主体组以及客体的拥有都指明一个访问模式的集合
访问控制策略和机制
自主访问控制 (DAC) | 又称为任意访问控制,根据用户的身份及允许访问权限决定其访问,是最常用的一类访问控制机制 用户或应用可任意在系统中规定谁可以访问他的资源。 自主访问控制是一种对单独用户执行访问控制的过程和措施 |
强制访问控制 (MAC) | 是一种不允许主体干涉的访问控制类型。它是基于安全标识和信息分级等信息敏感性的访问控制 包括基于规则访问控制和管理指定型访问控制 与DAC相比,强制访问控制提供的访问控制无法绕过 |
基于角色的访问控制 (RBAC) | 是目前国际上流行的先进的安全访问控制方法。它通过分配和取消角色来完成用户权限的授予和取消,并且提供角色分配规则。 访问控制过程分成两个部分:即访问权限与角色相关联,角色再与用户关联,以此实现用户与访问权限的逻辑分离 优点:便于授权管理,便于根据工作需要分段,便于赋予最小特权,便于任务分担,便于文件分级管理 |
文件保护机制
文件保护方法
文件备份 | 目的:防止文件丢失 备份策略:完全备份和增量备份 |
文件恢复 | 当需要使用的文件丢失或遭到破坏时,就需要从备份文件中进行恢复 备份恢复工具:tar和cpio |
文件加密 | 可以有效防止非法入侵者窃取用户的机密数据;另外,在多个用户共享一个系统的情况下,可以很好地保护用户的私有数据。 文件加密就是将重要的文件以密文的形式存储在媒价上。 加密文件系统:基于linux系统的CFS、TCFS、AFS和基于windows系统的EFS等 |
操作系统安全增强
安全操作系统和设计原则
萨尔泽和施罗德提出的设计原则
最小特权 | 使无意或恶间的攻击所造成的损失达到最低限度 |
机制的经济性 | 保护系统的设计应小型化、简单、明确 |
开放系统设计 | 保护机制应该是公开的,因为安全性不依赖于保密 |
完整的存取控制机制 | 对每个存取访问系统必须进行检查 |
基于“允许”的设计原则 | 应当标识什么资源是应该是可存取的,而非标识什么资源是不可存取的 |
权限分离 | 在理想情况下对实体的存取应该受到多个安全条件的约束 |
避免信息流的潜在通道 | 采取物理或逻辑分离的方法 |
方便使用 | 友好的用户接口 |
安全操作系统的实现方法
安全操作系统的一般结构
由安全内核用来控制整个操作系统的安全操作。
可信应用软件由两个部分组成:系统管理员和操作员进行安全管理所需的应用程序,以及运行具有特权操作的、保障系统正常工作所需的应用程序。
用户软件由可信软件以外的应用程序组成
系统的可信软年由操作系统的可信应用软年和安全内核组成
操作系统安全增强
现在操作系统上实现 | 虚拟机法:在现有操作系统与硬件之音增加一个新的分层作为安全内核,操作系统几乎不变地作为虚拟机来运行。 改进/增强法:对其内核和应用程序进行面向安全策略的分析,然后加入安全机制 仿真法:对现在操作系统的内核进行面向安全策略的分析和修改以形成安全内核,然后在安全内核与原来操作系统用户接口界面中间再编写一层仿真程序 |
安全操作系统开发过程 | 建立安全模型 安全机制的设计与实现 安全操作系统的可信度认证 |
安全增强技术 | 增强对用户身份的鉴别 增强对访问的控制 审计增强、安全管理增强、多管理员增强、自动化辅助管理 |
练习:
对关键数据和信息进行严加保密是属于()
A. 数据保密性
B. 数据完整性
C. 身份认证机制
D. 访问控制机制
答案:A。
Biba模型是属于()
A. 状态机模型
B. 信息流模型
C. 无干扰模型
D. 完整性模型
答案:D。
BLP模型的设计目标是解决胜信息系统资源的()保护
A. 不可否认性
B. 机密性
C. 完整性
D. 匿名性
答案:B。
操作系统安全机制中身份鉴别系统架构的组成元件不包括()
A. 鉴别服务器
B. 鉴别系统用用户端软件
C. 鉴别设备
D. 智能识别设备
答案:D。
通过分配和取消角色来完成用户权限的授予和取消,并且提供角色分配规则的访问控制机制是()
A. DAC
B. MAC
C. RBAC
D. OBAC
答案:C
为了在效防止非法入侵者窃取用户的机密数据,可采用()文件保护机制
A. 文件备价值观
B. 文件恢复
C. 文件加密
D. 都不行
答案:C。
开发安全操作系统首先要进行()
A. 建立安全模型
B. 安全机制的分析
C. 安全机制的设计与实现
D. 安全操作系统的可信度认证
答案:A。
