計算機系統安全
計算機系統安全屬性
|
機密性 |
保證信息不被非授權訪問 |
|
完整性 |
維護信息和實體的人為或非人為的非授權篡改 |
|
可用性 |
保障信息資源隨時可提供服務的特性 |
|
可靠性 |
在規定的條件下和給定的時間完成預定功能的概率 |
|
可審計性 |
保證計算機信息系統所處理的信息的完整性、準確性和可靠性,防止有意或無意地出現錯誤,出現問題有據可循 |
|
抗否認性 |
保障用戶無法在事後否認曾經對信息進行的生成、答發、接收等行為 |
系統安全的實現方法:基礎更論研究包括密碼研究、安全理論研究;應用技術研究包括安全實現技術、安全平台技術研究;安全管理研究包括安全標準、安全策略、安全測評等。
電磁泄漏和干擾
電磁泄漏發射檢查測試方法和安全判據
|
功率和頻率 |
載流導線小的電流強度越大,輻射源輻射的強度越大,反之則越小 |
|
與輻射源的距離 |
與輻射源越遠,場強衰減越大,其場強與距離成正比 |
|
屏蔽狀況 |
輻射源是否屏蔽,對電磁泄漏影響很大 |
電磁泄漏的處理方法
低泄射產品:綜全運用抑源法和屏蔽法製造的信息設備
電磁干擾器:能輻射出電磁噪聲的電子儀器
處理泄密信息的電磁屏蔽室的技術:用屏蔽材料將泄漏源包封起來
其他的防泄漏技術:濾波、接地和搭接、隔離和合理布局、選用低泄漏設備、配置低輻射設備、TEMPEST技術標準
物理安全
|
場地安全 |
指系統所在的環境的安全,主要是場地與機房,根據GB9361-1988,計算機機房的安全等級分為A、B、C三類; 機房安全:供配電系統、防雷接地系統、消防報警及自動滅火系統功能、門禁系統、保安監控系統等; 場地安全:溫度、濕度、灰塵、有害氣體、地震、火災、水災等 |
|
設備安全 |
主要內容:設備防盜、設備防毀、防電磁信息泄漏、防線路截獲、搞電磁干擾【工頻干擾、開關干擾、放電干擾和射頻干擾(電容濾波、電磁屏蔽、接地系統)】、電源保護 |
|
媒體安全/介質安全 |
是指介質數據和介質本身的安全,其目的是保護存儲在介質上的信息,包括介質的防盜、介質的防毀(防霉、防砸)等;磁碟的安全防護包括磁碟信息加密技術和磁碟信息清除技術 |
計算機的可靠性技術
容錯:指一個系統在運行中其任何一個子系統發生故障時,系統仍能夠繼續操作的能力。
數據的完整性:數據保護
數據的可用性:儘管發生故障,仍能讀取數據
容錯主要依靠冗餘設計來實現:硬體冗餘、軟體冗餘、時間冗餘和信息冗餘
|
硬體容錯 |
雙CPU容錯系統:當一個CPU板出現故障時,另一個CPU保持繼續運行 雙機熱備份:兩台伺服器都處於熱機狀態,一台壞了另一台接替 三機表決系統:三台主機同時運行,由表決器根據三台的運行結果表決集群系統:指均衡負載的雙機或多機系統 |
|
軟體容錯 |
利用相同的需求規格說明書而設計的不同版本通過冗餘,相互屏蔽各自內在缺陷,恢復進程運行,以實現高可靠、高安全性的系統軟體技術 |
|
數據容錯 |
數據備份:完全備份、增量備份、差分備份、漸進式備份 數據恢復:全盤恢復、資料庫和郵件系統恢復、個別文件恢復、重定向恢復 容災技術:應用容災、數據容災【遠程數據複製(同步和異步數據複製)】 數據糾錯:奇偶校驗碼、海明碼等 |
練習:
維護信息和實體的人為或非人為的非授權篡改是屬於系統安全的()因素
A. 機密性
B. 完整性
C. 可用性
D. 可靠性
答案:B。
()對計算機電磁輻射強度不會有影響
A. 功率和頻率
B. 與輻射源的距離
C. 空氣品質
D. 屏蔽狀況
答案:C。
根據GB9361-1988,計算機機房的安全等級可分為A、B、C三個類別,其中安全級別最高的是()
A. A類
B. B類
C. C類
D. D一樣的級別
答案:A。
磁碟的安全防護是屬於()
A. 場地安全
B. 介質安全
C. 設備安全
D. 都不是
答案:B。
不屬於物理安全威脅的是()
A. 自然災害
B. 物理攻擊
C. 硬體故障
D. 系統安全管理人員培訓不夠
答案:B。系統安全管理培訓不夠導致的人為操作失誤也屬於物理安全威脅
()不屬於數據容錯的策略
A. 數據備份
B. 數據恢復
C. 雙機熱備份
D. 容災技術
答案:C。
作業系統安全
作業系統的安全性目標
|
身份認證機制 |
實施強認證方法,比如口令、數字證書等 |
|
訪問控制機制 |
實施細粒度的用戶訪問控制,細化訪問權限等 |
|
數據保密性 |
對關鍵信息,數據要嚴加保密 |
|
數據完整性 |
防止數據系統被惡意代碼破壞,對關鍵信息進行數位技術保護 |
|
系統的可用性 |
作業系統要加強應對攻擊的能力,比如防病毒,防緩衝區溢出攻擊等 |
|
審計 |
審計是一種有效的保護措施,它可以在一定程度上阻止對計算機系統的威脅,並對系統檢測,故障恢復方面發揮重要作用 |
作業系統安全模型
|
狀態機模型 |
用狀態語言將安全系統描繪成抽象的狀態機,用狀態變量表示系統的狀態,用轉換規則描述變量變換的過程 |
|
信息流模型 |
用於描述系統中客體間信息傳輸的安全需求,根據客體的安全屬性決定主體對它的存取操作是否可行 |
|
無干擾模型 |
設有使用某一命令集的兩組用戶,一組用戶使用這些命令所得到的結果,不影喘息另一組用戶訪問的數據 |
|
不可推斷模型 |
提出了不可推斷性的概念,要求低安全級用戶不能推斷出高安全級用戶的行為 |
|
完整性模型 |
公認的兩個完整性模型Biba模型和Clark-Wilson模型 |
|
中國牆模型 |
兼顧保密性和完整性的安全模型,又稱BN模型。允許主體訪問,該主體所擁有的信息是不發生衝突的信息 |
|
BLP模型 |
是最早的一種安全模型,也是最著名的多級安全策略模型,屬於狀豐收機模型,採用線性排列安全許可的分類形式來保證信息的保密性 基本原理:系統由主體(進程)和客體(數據、文件)組成,主體對客體的訪問分為只讀(r)、讀寫(w)、只寫(a)、執行(e)、控制(c)幾種訪問模式 是一個很安全的模型,既有自主訪問控制又有強制訪問控制;控制停信息只能由低向高流動,能滿足軍事部門等一類對數據保密性要求特別高的機構的需求 |
|
Biba模型 |
第一個完整性模型,應用類似BLP模型的規則來保護信息的完整性 三種策略:下限標記策略、環策略和嚴格完整性策略 |
|
Clark-Wilson模型 |
屬於完整性模型,以良構事物和任務分離機制來保證數據的一致性和事物處理的完整性 |
身份鑑別方法
|
用戶名/口令鑑別 |
證實自己所知道的,比如密碼、身份證號碼、最喜歡的歌手、最愛的人的名字等等 |
|
標記方式鑑別 |
出示自己所擁有的,比如智慧卡、磁卡等 |
|
生物特徵鑑別 |
證明自己是誰,比如指紋、語音波紋、視網膜樣本、照片、面部特徵掃描等等 |
|
形體動作鑑別 |
表現自己的動作、簽名、鍵入密碼的速度與力量、語速等等 |
身份鑑別系統架構
|
鑑別伺服器 |
負責進行使用者身份鑑別的工作 |
|
鑑別系統用戶端軟體 |
進行登錄的設備或系統 |
|
鑑別設備 |
使用者用來產生或計算密碼的軟硬體設備 |
訪問控制機制
訪問控制策略與機制
|
主體 |
一個主動的實體:用戶、終端、主機等,主體可以訪問客體 |
|
客體 |
指一個包含或接受信息的被動實體,對客體的訪問要受控 |
|
授權訪問 |
指主體訪問客體的允許 |
訪問控制矩陣
矩陣中的行每一格表示所在行的主體對所在列的客體的訪問授權
|
|
File1 |
File2 |
File3 |
|
User1 |
rw |
|
rw |
|
User2 |
r |
rwx |
x |
|
User3 |
x |
r |
|
訪問控制機制
訪問控制表
訪問控制矩陣按列分解,生成訪問控制列表
File1->User1(r,w)->User2(r)->User3(x)
權能表
訪問控制列表按行分解
User1->file(r,w)->file3(r,w)
前綴表
對每個主體賦予的前綴表,包括受保護客體名和主體對它的訪問權限
保護位
對所有主體、主體組以及客體的擁有都指明一個訪問模式的集合
訪問控制策略和機制
|
自主訪問控制 (DAC) |
又稱為任意訪問控制,根據用戶的身份及允許訪問權限決定其訪問,是最常用的一類訪問控制機制 用戶或應用可任意在系統中規定誰可以訪問他的資源。 自主訪問控制是一種對單獨用戶執行訪問控制的過程和措施 |
|
強制訪問控制 (MAC) |
是一種不允許主體干涉的訪問控制類型。它是基於安全標識和信息分級等信息敏感性的訪問控制 包括基於規則訪問控制和管理指定型訪問控制 與DAC相比,強制訪問控制提供的訪問控制無法繞過 |
|
基於角色的訪問控制 (RBAC) |
是目前國際上流行的先進的安全訪問控制方法。它通過分配和取消角色來完成用戶權限的授予和取消,並且提供角色分配規則。 訪問控制過程分成兩個部分:即訪問權限與角色相關聯,角色再與用戶關聯,以此實現用戶與訪問權限的邏輯分離 優點:便於授權管理,便於根據工作需要分段,便於賦予最小特權,便於任務分擔,便於文件分級管理 |
文件保護機制
文件保護方法
|
文件備份 |
目的:防止文件丟失 備份策略:完全備份和增量備份 |
|
文件恢復 |
當需要使用的文件丟失或遭到破壞時,就需要從備份文件中進行恢復 備份恢復工具:tar和cpio |
|
文件加密 |
可以有效防止非法入侵者竊取用戶的機密數據;另外,在多個用戶共享一個系統的情況下,可以很好地保護用戶的私有數據。 文件加密就是將重要的文件以密文的形式存儲在媒價上。 加密文件系統:基於linux系統的CFS、TCFS、AFS和基於windows系統的EFS等 |
作業系統安全增強
安全作業系統和設計原則
薩爾澤和施洛德提出的設計原則
|
最小特權 |
使無意或惡間的攻擊所造成的損失達到最低限度 |
|
機制的經濟性 |
保護系統的設計應小型化、簡單、明確 |
|
開放系統設計 |
保護機制應該是公開的,因為安全性不依賴於保密 |
|
完整的存取控制機制 |
對每個存取訪問系統必須進行檢查 |
|
基於「允許」的設計原則 |
應當標識什麼資源是應該是可存取的,而非標識什麼資源是不可存取的 |
|
權限分離 |
在理想情況下對實體的存取應該受到多個安全條件的約束 |
|
避免信息流的潛在通道 |
採取物理或邏輯分離的方法 |
|
方便使用 |
友好的用戶接口 |
安全作業系統的實現方法
安全作業系統的一般結構
由安全內核用來控制整個作業系統的安全操作。
可信應用軟體由兩個部分組成:系統管理員和操作員進行安全管理所需的應用程式,以及運行具有特權操作的、保障系統正常工作所需的應用程式。
用戶軟體由可信軟體以外的應用程式組成
系統的可信軟年由作業系統的可信應用軟年和安全內核組成
作業系統安全增強
|
現在作業系統上實現 |
虛擬機法:在現有作業系統與硬體之音增加一個新的分層作為安全內核,作業系統幾乎不變地作為虛擬機來運行。 改進/增強法:對其內核和應用程式進行面向安全策略的分析,然後加入安全機制 仿真法:對現在作業系統的內核進行面向安全策略的分析和修改以形成安全內核,然後在安全內核與原來作業系統用戶接口界面中間再編寫一層仿真程序 |
|
安全作業系統開發過程 |
建立安全模型 安全機制的設計與實現 安全作業系統的可信度認證 |
|
安全增強技術 |
增強對用戶身份的鑑別 增強對訪問的控制 審計增強、安全管理增強、多管理員增強、自動化輔助管理 |
練習:
對關鍵數據和信息進行嚴加保密是屬於()
A. 數據保密性
B. 數據完整性
C. 身份認證機制
D. 訪問控制機制
答案:A。
Biba模型是屬於()
A. 狀態機模型
B. 信息流模型
C. 無干擾模型
D. 完整性模型
答案:D。
BLP模型的設計目標是解決勝信息系統資源的()保護
A. 不可否認性
B. 機密性
C. 完整性
D. 匿名性
答案:B。
作業系統安全機制中身份鑑別系統架構的組成元件不包括()
A. 鑑別伺服器
B. 鑑別系統用用戶端軟體
C. 鑑別設備
D. 智能識別設備
答案:D。
通過分配和取消角色來完成用戶權限的授予和取消,並且提供角色分配規則的訪問控制機制是()
A. DAC
B. MAC
C. RBAC
D. OBAC
答案:C
為了在效防止非法入侵者竊取用戶的機密數據,可採用()文件保護機制
A. 文件備價值觀
B. 文件恢復
C. 文件加密
D. 都不行
答案:C。
開發安全作業系統首先要進行()
A. 建立安全模型
B. 安全機制的分析
C. 安全機制的設計與實現
D. 安全作業系統的可信度認證
答案:A。