計算機系統安全
計算機系統安全屬性
機密性 | 保證資訊不被非授權通路 |
完整性 | 維護資訊和實體的人為或非人為的非授權篡改 |
可用性 | 保障資訊資源随時可提供服務的特性 |
可靠性 | 在規定的條件下和給定的時間完成預定功能的機率 |
可審計性 | 保證計算機資訊系統所處理的資訊的完整性、準确性和可靠性,防止有意或無意地出現錯誤,出現問題有據可循 |
抗否認性 | 保障使用者無法在事後否認曾經對資訊進行的生成、答發、接收等行為 |
系統安全的實作方法:基礎更論研究包括密碼研究、安全理論研究;應用技術研究包括安全實作技術、安全平台技術研究;安全管理研究包括安全标準、安全政策、安全測評等。
電磁洩漏和幹擾
電磁洩漏發射檢查測試方法和安全判據
功率和頻率 | 載流導線小的電流強度越大,輻射源輻射的強度越大,反之則越小 |
與輻射源的距離 | 與輻射源越遠,場強衰減越大,其場強與距離成正比 |
屏蔽狀況 | 輻射源是否屏蔽,對電磁洩漏影響很大 |
電磁洩漏的處理方法
低洩射産品:綜全運用抑源法和屏蔽法制造的資訊裝置
電磁幹擾器:能輻射出電磁噪聲的電子儀器
處理洩密資訊的電磁屏蔽室的技術:用屏蔽材料将洩漏源包封起來
其他的防洩漏技術:濾波、接地和搭接、隔離和合理布局、選用低洩漏裝置、配置低輻射裝置、TEMPEST技術标準
實體安全
場地安全 | 指系統所在的環境的安全,主要是場地與機房,根據GB9361-1988,計算機機房的安全等級分為A、B、C三類; 機房安全:供配電系統、防雷接地系統、消防報警及自動滅火系統功能、門禁系統、保安監控系統等; 場地安全:溫度、濕度、灰塵、有害氣體、地震、火災、水災等 |
裝置安全 | 主要内容:裝置防盜、裝置防毀、防電磁資訊洩漏、防線路截獲、搞電磁幹擾【工頻幹擾、開關幹擾、放電幹擾和射頻幹擾(電容濾波、電磁屏蔽、接地系統)】、電源保護 |
媒體安全/媒體安全 | 是指媒體資料和媒體本身的安全,其目的是保護存儲在媒體上的資訊,包括媒體的防盜、媒體的防毀(防黴、防砸)等;磁盤的安全防護包括磁盤資訊加密技術和磁盤資訊清除技術 |
計算機的可靠性技術
容錯:指一個系統在運作中其任何一個子系統發生故障時,系統仍能夠繼續操作的能力。
資料的完整性:資料保護
資料的可用性:盡管發生故障,仍能讀取資料
容錯主要依靠備援設計來實作:硬體備援、軟體備援、時間備援和資訊備援
硬體容錯 | 雙CPU容錯系統:當一個CPU闆出現故障時,另一個CPU保持繼續運作 雙機熱備份:兩台伺服器都處于熱機狀态,一台壞了另一台接替 三機表決系統:三台主機同時運作,由表決器根據三台的運作結果表決叢集系統:指均衡負載的雙機或多機系統 |
軟體容錯 | 利用相同的需求規格說明書而設計的不同版本通過備援,互相屏蔽各自内在缺陷,恢複程序運作,以實作高可靠、高安全性的系統軟體技術 |
資料容錯 | 資料備份:完全備份、增量備份、差分備份、漸進式備份 資料恢複:全盤恢複、資料庫和郵件系統恢複、個别檔案恢複、重定向恢複 容災技術:應用容災、資料容災【遠端資料複制(同步和異步資料複制)】 資料糾錯:奇偶校驗碼、海明碼等 |
練習:
維護資訊和實體的人為或非人為的非授權篡改是屬于系統安全的()因素
A. 機密性
B. 完整性
C. 可用性
D. 可靠性
答案:B。
()對計算機電磁輻射強度不會有影響
A. 功率和頻率
B. 與輻射源的距離
C. 空氣品質
D. 屏蔽狀況
答案:C。
根據GB9361-1988,計算機機房的安全等級可分為A、B、C三個類别,其中安全級别最高的是()
A. A類
B. B類
C. C類
D. D一樣的級别
答案:A。
磁盤的安全防護是屬于()
A. 場地安全
B. 媒體安全
C. 裝置安全
D. 都不是
答案:B。
不屬于實體安全威脅的是()
A. 自然災害
B. 實體攻擊
C. 硬體故障
D. 系統安全管理人員教育訓練不夠
答案:B。系統安全管理教育訓練不夠導緻的人為操作失誤也屬于實體安全威脅
()不屬于資料容錯的政策
A. 資料備份
B. 資料恢複
C. 雙機熱備份
D. 容災技術
答案:C。
作業系統安全
作業系統的安全性目标
身份認證機制 | 實施強認證方法,比如密碼、數字證書等 |
通路控制機制 | 實施細粒度的使用者通路控制,細化通路權限等 |
資料保密性 | 對關鍵資訊,資料要嚴加保密 |
資料完整性 | 防止資料系統被惡意代碼破壞,對關鍵資訊進行數字技術保護 |
系統的可用性 | 作業系統要加強應對攻擊的能力,比如防病毒,防緩沖區溢出攻擊等 |
審計 | 審計是一種有效的保護措施,它可以在一定程度上阻止對計算機系統的威脅,并對系統檢測,故障恢複方面發揮重要作用 |
作業系統安全模型
狀态機模型 | 用狀态語言将安全系統描繪成抽象的狀态機,用狀态變量表示系統的狀态,用轉換規則描述變量變換的過程 |
資訊流模型 | 用于描述系統中客體間資訊傳輸的安全需求,根據客體的安全屬性決定主體對它的存取操作是否可行 |
無幹擾模型 | 設有使用某一指令集的兩組使用者,一組使用者使用這些指令所得到的結果,不影喘息另一組使用者通路的資料 |
不可推斷模型 | 提出了不可推斷性的概念,要求低安全級使用者不能推斷出高安全級使用者的行為 |
完整性模型 | 公認的兩個完整性模型Biba模型和Clark-Wilson模型 |
中國牆模型 | 兼顧保密性和完整性的安全模型,又稱BN模型。允許主體通路,該主體所擁有的資訊是不發生沖突的資訊 |
BLP模型 | 是最早的一種安全模型,也是最著名的多級安全政策模型,屬于狀豐收機模型,采用線性排列安全許可的分類形式來保證資訊的保密性 基本原理:系統由主體(程序)和客體(資料、檔案)組成,主體對客體的通路分為隻讀(r)、讀寫(w)、隻寫(a)、執行(e)、控制(c)幾種通路模式 是一個很安全的模型,既有自主通路控制又有強制通路控制;控制停資訊隻能由低向高流動,能滿足軍事部門等一類對資料保密性要求特别高的機構的需求 |
Biba模型 | 第一個完整性模型,應用類似BLP模型的規則來保護資訊的完整性 三種政策:下限标記政策、環政策和嚴格完整性政策 |
Clark-Wilson模型 | 屬于完整性模型,以良構事物和任務分離機制來保證資料的一緻性和事物處理的完整性 |
身份鑒别方法
使用者名/密碼鑒别 | 證明自己所知道的,比如密碼、身份證号碼、最喜歡的歌手、最愛的人的名字等等 |
标記方式鑒别 | 出示自己所擁有的,比如智能卡、磁卡等 |
生物特征鑒别 | 證明自己是誰,比如指紋、語音波紋、視網膜樣本、照片、面部特征掃描等等 |
形體動作鑒别 | 表現自己的動作、簽名、鍵入密碼的速度與力量、語速等等 |
身份鑒别系統架構
鑒别伺服器 | 負責進行使用者身份鑒别的工作 |
鑒别系統使用者端軟體 | 進行登入的裝置或系統 |
鑒别裝置 | 使用者用來産生或計算密碼的軟硬體裝置 |
通路控制機制
通路控制政策與機制
主體 | 一個主動的實體:使用者、終端、主機等,主體可以通路客體 |
客體 | 指一個包含或接受資訊的被動實體,對客體的通路要受控 |
授權通路 | 指主體通路客體的允許 |
通路控制矩陣
矩陣中的行每一格表示所在行的主體對所在列的客體的通路授權
File1 | File2 | File3 | |
User1 | rw | rw | |
User2 | r | rwx | x |
User3 | x | r |
通路控制機制
通路控制表
通路控制矩陣按列分解,生成通路控制清單
File1->User1(r,w)->User2(r)->User3(x)
權能表
通路控制清單按行分解
User1->file(r,w)->file3(r,w)
字首表
對每個主體賦予的字首表,包括受保護客體名和主體對它的通路權限
保護位
對所有主體、主體組以及客體的擁有都指明一個通路模式的集合
通路控制政策和機制
自主通路控制 (DAC) | 又稱為任意通路控制,根據使用者的身份及允許通路權限決定其通路,是最常用的一類通路控制機制 使用者或應用可任意在系統中規定誰可以通路他的資源。 自主通路控制是一種對單獨使用者執行通路控制的過程和措施 |
強制通路控制 (MAC) | 是一種不允許主體幹涉的通路控制類型。它是基于安全辨別和資訊分級等資訊敏感性的通路控制 包括基于規則通路控制和管理指定型通路控制 與DAC相比,強制通路控制提供的通路控制無法繞過 |
基于角色的通路控制 (RBAC) | 是目前國際上流行的先進的安全通路控制方法。它通過配置設定和取消角色來完成使用者權限的授予和取消,并且提供角色配置設定規則。 通路控制過程分成兩個部分:即通路權限與角色相關聯,角色再與使用者關聯,以此實作使用者與通路權限的邏輯分離 優點:便于授權管理,便于根據工作需要分段,便于賦予最小特權,便于任務分擔,便于檔案分級管理 |
檔案保護機制
檔案保護方法
檔案備份 | 目的:防止檔案丢失 備份政策:完全備份和增量備份 |
檔案恢複 | 當需要使用的檔案丢失或遭到破壞時,就需要從備份檔案中進行恢複 備份恢複工具:tar和cpio |
檔案加密 | 可以有效防止非法入侵者竊取使用者的機密資料;另外,在多個使用者共享一個系統的情況下,可以很好地保護使用者的私有資料。 檔案加密就是将重要的檔案以密文的形式存儲在媒價上。 加密檔案系統:基于linux系統的CFS、TCFS、AFS和基于windows系統的EFS等 |
作業系統安全增強
安全作業系統和設計原則
薩爾澤和施羅德提出的設計原則
最小特權 | 使無意或惡間的攻擊所造成的損失達到最低限度 |
機制的經濟性 | 保護系統的設計應小型化、簡單、明确 |
開放系統設計 | 保護機制應該是公開的,因為安全性不依賴于保密 |
完整的存取控制機制 | 對每個存取通路系統必須進行檢查 |
基于“允許”的設計原則 | 應當辨別什麼資源是應該是可存取的,而非辨別什麼資源是不可存取的 |
權限分離 | 在理想情況下對實體的存取應該受到多個安全條件的限制 |
避免資訊流的潛在通道 | 采取實體或邏輯分離的方法 |
友善使用 | 友好的使用者接口 |
安全作業系統的實作方法
安全作業系統的一般結構
由安全核心用來控制整個作業系統的安全操作。
可信應用軟體由兩個部分組成:系統管理者和操作員進行安全管理所需的應用程式,以及運作具有特權操作的、保障系統正常工作所需的應用程式。
使用者軟體由可信軟體以外的應用程式組成
系統的可信軟年由作業系統的可信應用軟年和安全核心組成
作業系統安全增強
現在作業系統上實作 | 虛拟機法:在現有作業系統與硬體之音增加一個新的分層作為安全核心,作業系統幾乎不變地作為虛拟機來運作。 改進/增強法:對其核心和應用程式進行面向安全政策的分析,然後加入安全機制 仿真法:對現在作業系統的核心進行面向安全政策的分析和修改以形成安全核心,然後在安全核心與原來作業系統使用者接口界面中間再編寫一層仿真程式 |
安全作業系統開發過程 | 建立安全模型 安全機制的設計與實作 安全作業系統的可信度認證 |
安全增強技術 | 增強對使用者身份的鑒别 增強對通路的控制 審計增強、安全管理增強、多管理者增強、自動化輔助管理 |
練習:
對關鍵資料和資訊進行嚴加保密是屬于()
A. 資料保密性
B. 資料完整性
C. 身份認證機制
D. 通路控制機制
答案:A。
Biba模型是屬于()
A. 狀态機模型
B. 資訊流模型
C. 無幹擾模型
D. 完整性模型
答案:D。
BLP模型的設計目标是解決勝資訊系統資源的()保護
A. 不可否認性
B. 機密性
C. 完整性
D. 匿名性
答案:B。
作業系統安全機制中身份鑒别系統架構的組成元件不包括()
A. 鑒别伺服器
B. 鑒别系統用使用者端軟體
C. 鑒别裝置
D. 智能識别裝置
答案:D。
通過配置設定和取消角色來完成使用者權限的授予和取消,并且提供角色配置設定規則的通路控制機制是()
A. DAC
B. MAC
C. RBAC
D. OBAC
答案:C
為了在效防止非法入侵者竊取使用者的機密資料,可采用()檔案保護機制
A. 檔案備價值觀
B. 檔案恢複
C. 檔案加密
D. 都不行
答案:C。
開發安全作業系統首先要進行()
A. 建立安全模型
B. 安全機制的分析
C. 安全機制的設計與實作
D. 安全作業系統的可信度認證
答案:A。