計算機系統(tǒng)安全概述

計算機系統(tǒng)安全概述第1頁，課件共53頁，創(chuàng)作于2023年2月1.計算機系統(tǒng)存在的安全問題6359.42730.51010.1010203040506070被入侵過沒有被入侵過不知道過去一年內(nèi)中國互連網(wǎng)用戶計算機被入侵的情況備注：用戶是指平均每周使用互連網(wǎng)至少1小時的中國公民2009年7月2009年1月第2頁，課件共53頁，創(chuàng)作于2023年2月時間發(fā)生的主要事件損失1983年“414黑客”。這6名少年黑客被控侵入60多臺電腦，1987年赫爾伯特·齊恩（“影子鷹”）闖入美國電話電報公司1988年羅伯特-莫里斯“蠕蟲”程序。造成了1500萬到1億美元的經(jīng)濟損失。1990年“末日軍團”4名黑客中有3人被判有罪。1995年米特尼克偷竊了2萬個信用卡號8000萬美元的巨額損失。1998年2月德國計算機黑客米克斯特使美國七大網(wǎng)站限于癱瘓狀態(tài)第3頁，課件共53頁，創(chuàng)作于2023年2月時間發(fā)生的主要事件損失1998年兩名加州少年黑客。以色列少年黑客“分析家查詢五角大樓網(wǎng)站并修改了工資報表和人員數(shù)據(jù)。1999年4月

“ＣＩＨ”病毒保守估計全球有６千萬部的電腦受害。1999年北京江民KV300殺毒軟件損失260萬元。2000年2月

“雅虎”、“電子港灣”、亞馬遜、微軟網(wǎng)絡(luò)等美國大型國際互聯(lián)網(wǎng)網(wǎng)站。損失就超過了10億美元，其中僅營銷和廣告收入一項便高達1億美元。2000年4月闖入電子商務(wù)網(wǎng)站的威爾斯葛雷估計導致的損失可能超過三百萬美元。2000年10月27全球軟件業(yè)龍頭微軟懷疑被一伙藏在俄羅斯圣彼得堡的電腦黑客入侵可能竊取了微軟一些最重要軟件產(chǎn)品的源代碼或設(shè)計藍圖。第4頁，課件共53頁，創(chuàng)作于2023年2月第5頁，課件共53頁，創(chuàng)作于2023年2月第6頁，課件共53頁，創(chuàng)作于2023年2月計算機安全影響到國家的安全和主權(quán)小小的一塊帶病毒的芯片，讓伊拉克從此蒙受一場戰(zhàn)爭的屈辱。美國中央情報局采用“偷梁換拄”的方法，將帶病毒的電腦打印機芯片，趁貨物驗關(guān)之際換入伊拉克所購的電腦打印機中----------第7頁，課件共53頁，創(chuàng)作于2023年2月本章學習目標

（1）明確計算機安全的基本概念以及安全的重要性，掌握安全模型。（2）了解計算機信息系統(tǒng)的主要安全法規(guī)及體系結(jié)構(gòu)。第8頁，課件共53頁，創(chuàng)作于2023年2月本章主要內(nèi)容

KeyQuestions1:計算機系統(tǒng)存在的安全問題2：計算機系統(tǒng)安全的概念3：安全模型4：計算機安全法規(guī)與標準5：計算機安全體系結(jié)構(gòu)第9頁，課件共53頁，創(chuàng)作于2023年2月安全威脅a)硬件的安全隱患；b)操作系統(tǒng)安全隱患；c)網(wǎng)絡(luò)協(xié)議的安全隱患；d)數(shù)據(jù)庫系統(tǒng)安全隱患；e)計算機病毒；f)管理疏漏，內(nèi)部作案。第10頁，課件共53頁，創(chuàng)作于2023年2月安全隱患硬件設(shè)備的安全隱患CPU:Intel公司在奔騰IIICPU中加入處理器序列號，因此Intel涉嫌干涉?zhèn)€人隱私，但要害問題則是政府機關(guān)、重要部門非常關(guān)心由這種CPU制造的計算機在處理信息或數(shù)據(jù)時所帶來的信息安全問題，即這種CPU內(nèi)含有一個全球唯一的序列號，計算機所產(chǎn)生的文件和數(shù)據(jù)都會附著此序列號，因而由此序列號可以追查到產(chǎn)生文件和數(shù)據(jù)的任何機器。第11頁，課件共53頁，創(chuàng)作于2023年2月安全隱患網(wǎng)絡(luò)設(shè)備：我國計算機網(wǎng)絡(luò)使用的絕大部分網(wǎng)絡(luò)設(shè)備，如路由器、集線器、交換機、服務(wù)器、以及網(wǎng)絡(luò)軟件等都是進口的，其安全隱患不容忽視。一些交換機和路由器具有遠程診斷和服務(wù)功能，既然可以遠程進入系統(tǒng)服務(wù)、維修故障，也就可以遠程進入系統(tǒng)了解情報、越權(quán)控制。更有甚者，國外一著名網(wǎng)絡(luò)公司以"跟蹤服務(wù)"為由，在路由器中設(shè)下"機關(guān)"、可以將網(wǎng)絡(luò)中用戶的包信息同時送一份到其公司總部。第12頁，課件共53頁，創(chuàng)作于2023年2月安全隱患b)操作系統(tǒng)安全隱患計算機操作系統(tǒng)歷來被美國一些大公司所壟斷，但這些操作系統(tǒng)的源程序都是不公開的，在安全機制方面存在著諸多漏洞和隱患。計算機黑客能輕而易舉地從"后門"進入系統(tǒng)，取得系統(tǒng)控制權(quán)，并危及計算機處理或存儲的重要數(shù)據(jù)。如Windows95存在兩千多處缺陷。第13頁，課件共53頁，創(chuàng)作于2023年2月安全隱患b)操作系統(tǒng)安全隱患——OS的體系結(jié)構(gòu)造成其本身不安全1、I/O、系統(tǒng)服務(wù)程序等都可用打補丁方式進行動態(tài)連接。廠商用這種方式升級，而攻擊者也用此方法。2、為了實現(xiàn)通用性、可裁剪性，能夠安裝其他公司的軟件包，這些軟件包往往是操作系統(tǒng)的一部分，需要與操作系統(tǒng)同樣的訪問特權(quán)，安裝這些軟件包的“抓鉤”程序就是非法攻擊者入侵操作系統(tǒng)的陷門。3、網(wǎng)絡(luò)上進行文件傳輸、加載將帶來安全隱患。另外，能進行遠程進程的創(chuàng)建與激活，這為安裝“間諜”軟件提供了條件。4、操作系統(tǒng)存在隱蔽信道：進程間通過不受強制訪問控制保護的通信途徑。第14頁，課件共53頁，創(chuàng)作于2023年2月安全隱患c)網(wǎng)絡(luò)協(xié)議的安全隱患網(wǎng)絡(luò)協(xié)議也都由美國等國家開發(fā)或制定標準。其安全機制也存在先天不足，協(xié)議還具有許多安全漏洞，為攻擊者提供了方便，如地址欺騙等。Internet應(yīng)用協(xié)議中缺乏認證、保密等措施，也使攻擊者比較容易得手。TCP/IP協(xié)議安全漏洞：包監(jiān)視、泄露、地址欺騙、序列號攻擊、路由攻擊、拒絕服務(wù)、鑒別攻擊。應(yīng)用層安全隱患：Finger、FTP、Telnet、E-mail、SNMP、RPC、NFS第15頁，課件共53頁，創(chuàng)作于2023年2月安全隱患d)數(shù)據(jù)庫系統(tǒng)安全隱患由于數(shù)據(jù)庫平臺全系引進，盡管廠商聲稱具有安全機制，但對國內(nèi)用戶猶如一個"黑匣子"。數(shù)據(jù)庫的攻擊分直接攻擊和間接攻擊兩大類。直接攻擊是通過查詢以得到幾個記錄來直接搜索并確定敏感字段的值，最成功的技術(shù)是形成一種特定的查詢它恰與一個數(shù)據(jù)項相匹配。間接攻擊是依據(jù)一種或多種統(tǒng)計值推斷出結(jié)果。統(tǒng)計攻擊通過使用某些明顯隱匿的統(tǒng)計量來推導出數(shù)據(jù)，例如使用求和等統(tǒng)計數(shù)據(jù)來得到某些數(shù)據(jù)。第16頁，課件共53頁，創(chuàng)作于2023年2月安全隱患e)計算機病毒威脅計算機病毒是一種能夠進行自我復制的程序，可以通過多種方式植入計算機中，通過Internet網(wǎng)植入病毒更容易。病毒運行后可能損壞文件、使系統(tǒng)癱瘓，造成各種難以預料的后果。由于在網(wǎng)絡(luò)環(huán)境下，計算機病毒具有不可估量的威脅性和破壞力，因此計算機病毒的防范是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán)。新的病毒不僅刪除文件、使數(shù)據(jù)丟失，甚至破壞系統(tǒng)硬件，可以造成巨大損失。1998年美國"莫里斯"病毒發(fā)作，一天之內(nèi)使6000多臺計算機感染，損失達9000萬美元。第17頁，課件共53頁，創(chuàng)作于2023年2月安全隱患f)管理疏漏，內(nèi)部作案。據(jù)權(quán)威資料片《筑起網(wǎng)上長城》介紹，互聯(lián)網(wǎng)上的計算機犯罪、黑客攻擊等非法行為７０％來自于內(nèi)部網(wǎng)絡(luò)。金融、證券、郵電、科研院所、設(shè)計院、政府機關(guān)等單位幾乎是天生的受攻擊者，內(nèi)部人員對本單位局域網(wǎng)的熟悉又加劇了其作案和被外部人勾結(jié)引誘的可能性。第18頁，課件共53頁，創(chuàng)作于2023年2月2.安全的概念

ISO將“計算機安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護，保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露?！薄o態(tài)信息保護。 另一種定義：“計算機的硬件、軟件和數(shù)據(jù)受到保護，不因偶然和惡意的原因而遭到破壞、更改和泄露，系統(tǒng)連續(xù)正常運行?！薄獎討B(tài)意義描述。

從用戶角度：保護利益、隱私；存儲、傳輸安全。從運行管理角度：正常、可靠、連續(xù)運行。從國家、社會：過濾有害信息。第19頁，課件共53頁，創(chuàng)作于2023年2月入侵者:網(wǎng)絡(luò)恐怖分子（黑客）、信息戰(zhàn)部隊現(xiàn)在“黑客”一詞在信息安全范疇內(nèi)的普遍含意是特指對電腦系統(tǒng)的非法侵入者。黑客(hacker)：對技術(shù)的局限性有充分認識，具有操作系統(tǒng)和編程語言方面的高級知識，熱衷編程，查找漏洞，表現(xiàn)自我。他們不斷追求更深的知識，并公開他們的發(fā)現(xiàn)，與其他人分享；主觀上沒有破壞數(shù)據(jù)的企圖。駭客（cracker）：以破壞系統(tǒng)為目標?！凹t客”honker：中國的一些黑客自稱“紅客”honker。美國警方：把所有涉及到"利用"、"借助"、"通過"或"阻撓"計算機的犯罪行為都定為hacking。第20頁，課件共53頁，創(chuàng)作于2023年2月安全的要素

可用性—availability

可靠性—reliability

完整性—integrity

保密性—confidentiality

不可抵賴性—Non-repudiation第21頁，課件共53頁，創(chuàng)作于2023年2月安全的要素1、保密性：確保信息不暴露給未授權(quán)的實體或進程。加密機制。防泄密

2、完整性：只有得到允許的人才能修改實體或進程，并且能夠判別出實體或進程是否已被修改。完整性鑒別機制，保證只有得到允許的人才能修改數(shù)據(jù)。防篡改

數(shù)據(jù)完整，hash；數(shù)據(jù)順序完整，編號連續(xù)，時間正確。3、可用性：得到授權(quán)的實體可獲得服務(wù)，攻擊者不能占用所有的資源而阻礙授權(quán)者的工作。用訪問控制機制，阻止非授權(quán)用戶進入網(wǎng)絡(luò)。使靜態(tài)信息可見，動態(tài)信息可操作。防中斷第22頁，課件共53頁，創(chuàng)作于2023年2月安全的要素4、可靠性：可靠性主要指系統(tǒng)在規(guī)定條件下和規(guī)定時間內(nèi)完成規(guī)定功能的概率?？煽啃允蔷W(wǎng)絡(luò)安全最基本的要求之一。5、不可否認性：對出現(xiàn)的安全問題提供調(diào)查的依據(jù)和手段。使用審計、監(jiān)控、防抵賴等安全機制，使得攻擊者、破壞者、抵賴者“逃不脫"，并進一步對網(wǎng)絡(luò)出現(xiàn)的安全問題提供調(diào)查依據(jù)和手段，實現(xiàn)信息安全的可審查性。

第23頁，課件共53頁，創(chuàng)作于2023年2月安全的要素此外信息系統(tǒng)還應(yīng)提供認證、訪問控制、抗抵賴安全服務(wù)。認證：保證信息使用者和信息服務(wù)者都是真實可信的，防止冒充和重演的攻擊。真實性訪問控制：這種服務(wù)保證信息資源不被非授權(quán)地使用。（是否有權(quán)使用該資源）抗抵賴：這種服務(wù)可取二種形式。數(shù)字簽名1）源發(fā)證明：提供給信息接收者以證據(jù)，這將使發(fā)送者謊稱未發(fā)送過這些信息或者否認它的內(nèi)容的企圖不能得逞；2）交付證明：提供給信息發(fā)送者以證據(jù)，這將使接收者謊稱未接收過這些信息或者否認它的內(nèi)容的企圖不能得逞。第24頁，課件共53頁，創(chuàng)作于2023年2月計算機安全涉及知識領(lǐng)域第25頁，課件共53頁，創(chuàng)作于2023年2月常見的攻擊方式社會工程SocialEngineering病毒virus（蠕蟲Worm）木馬程序Trojan拒絕服務(wù)和分布式拒絕服務(wù)攻擊Dos&DDos欺騙：IPspoofing,Packetmodification；ARPspoofing,郵件炸彈Mailbombing口令破解Passwordcrack第26頁，課件共53頁，創(chuàng)作于2023年2月攻擊的工具標準的TCP/IP工具(ping,telnet…)端口掃描和漏洞掃描(ISS-Safesuit,Nmap,protscanner…)網(wǎng)絡(luò)包分析儀(sniffer,networkmonitor)口令破解工具(lc3,fakegina)木馬(BO2k,冰河,…)第27頁，課件共53頁，創(chuàng)作于2023年2月3.安全模型一個常用的網(wǎng)絡(luò)安全模型是P2DR模型。P2DR是四個英文單詞的字頭：

Policy（安全策略）

Protection（防護）

Detection（檢測）

Response（響應(yīng)）第28頁，課件共53頁，創(chuàng)作于2023年2月第29頁，課件共53頁，創(chuàng)作于2023年2月PDRR網(wǎng)絡(luò)安全模型信息安全策略

另一個最常見的安全模型就是PDRR模型。PDRR由4個英文單詞的頭一個字符組成：Protection（防護）、Detection（檢測）、Response（響應(yīng)）和Recovery（恢復）。這4個部分組成了一個動態(tài)的信息安全周期，如圖所示。安全策略的每一部分包括一組安全單元來實施一定的安全功能。第30頁，課件共53頁，創(chuàng)作于2023年2月4.安全的標準系統(tǒng)的安全標準：桔皮書美國國防部的可信計算機系統(tǒng)評價準則（TrustedComputerSystemEvaluationCriteriaTCSEC）。按安全程度低->高排序D、C1、C2、B1、B2、B3、A1。C:酌情B:強制A:核實保護D類：最低保護。無賬戶；任意訪問文件。C1類：自決的安全保護。系統(tǒng)能夠把用戶和數(shù)據(jù)隔開，用戶以根據(jù)需要采用系統(tǒng)提供的訪問控制措施來保護自己的數(shù)據(jù)，系統(tǒng)中必有一個防止破壞的區(qū)域，其中包含安全功能。C2類：訪問級別控制?？刂屏６雀殻沟迷试S或拒絕任何用戶訪問單個文件成為可能。系統(tǒng)必須對所有的注冊、文件的打開、建立和刪除進行記錄。審計跟蹤必須追蹤到每個用戶對每個目標的訪問。第31頁，課件共53頁，創(chuàng)作于2023年2月安全的標準B1類：有標簽的安全保護。系統(tǒng)中的每個對象都有一個敏感性標簽而每個用戶都有一個許可級別。許可級別定義了用戶可處理的敏感性標簽。系統(tǒng)中的每個文件都按內(nèi)容分類并標有敏感性標簽，任何對用戶許可級別和成員分類的更改都受到嚴格控制，即使文件所有者也不能隨意改變文件許可權(quán)限。B2類：結(jié)構(gòu)化保護。系統(tǒng)的設(shè)計和實現(xiàn)要經(jīng)過徹底的測試和審查。系統(tǒng)應(yīng)結(jié)構(gòu)化為明確而獨立的模塊，遵循最小特權(quán)原則。必須對所有目標和實體實施訪問控制。政策，要有專職人員負責實施，要進行隱蔽信道分析。系統(tǒng)必須維護一個保護域，保護系統(tǒng)的完整性，防止外部干擾。B3類：安全域。系統(tǒng)的安全功能足夠小，以利廣泛測試。必須滿足參考監(jiān)視器需求以傳遞所有的主體到客體的訪問。要有安全管理員，安全硬件裝置，審計機制擴展到用信號通知安全相關(guān)事件，還要有恢復規(guī)程，系統(tǒng)高度抗侵擾。第32頁，課件共53頁，創(chuàng)作于2023年2月安全的標準A1類：核實保護。最初設(shè)計系統(tǒng)就充分考慮安全性。有“正式安全策略模型”其中包括由公理組成的形式化證明。系統(tǒng)的頂級技術(shù)規(guī)格必須與模型相對應(yīng)，系統(tǒng)還包括分發(fā)控制和隱蔽信道分析。

第33頁，課件共53頁，創(chuàng)作于2023年2月安全的標準第34頁，課件共53頁，創(chuàng)作于2023年2月5.安全的體系結(jié)構(gòu)

網(wǎng)絡(luò)安全貫穿于整個7層模型。針對TCP/IP協(xié)議，網(wǎng)絡(luò)安全應(yīng)貫穿于信息系統(tǒng)的4個層次。下圖表示了對應(yīng)網(wǎng)絡(luò)的安全體系層次模型：

會話層應(yīng)用層應(yīng)用系統(tǒng)應(yīng)用平臺網(wǎng)絡(luò)層鏈路層物理層會話安全應(yīng)用層應(yīng)用系統(tǒng)安全應(yīng)用平臺安全安全路由/訪問機制鏈路安全物理層信息安全第35頁，課件共53頁，創(chuàng)作于2023年2月安全服務(wù)的實施位置第36頁，課件共53頁，創(chuàng)作于2023年2月應(yīng)用層提供安全服務(wù)的特點只能在通信兩端的主機系統(tǒng)上實施。優(yōu)點：安全策略和措施通常是基于用戶制定的；對用戶想要保護的數(shù)據(jù)具有完整的訪問權(quán)，因而能很方便地提供一些服務(wù)；不必依賴操作系統(tǒng)來提供這些服務(wù)；對數(shù)據(jù)的實際含義有著充分的理解。缺點：效率太低；對現(xiàn)有系統(tǒng)的兼容性太差；改動的程序太多，出現(xiàn)錯誤的概率大增，為系統(tǒng)帶來更多的安全漏洞。第37頁，課件共53頁，創(chuàng)作于2023年2月傳輸層提供安全服務(wù)的特點只能在通信兩端的主機系統(tǒng)上實施。優(yōu)點：與應(yīng)用層安全相比，在傳輸層提供安全服務(wù)的好處是能為其上的各種應(yīng)用提供安全服務(wù)，提供了更加細化的基于進程對進程的安全服務(wù)，這樣現(xiàn)有的和未來的應(yīng)用可以很方便地得到安全服務(wù)，而且在傳輸層的安全服務(wù)內(nèi)容有變化時，只要接口不變，應(yīng)用程序就不必改動。缺點：由于傳輸層很難獲取關(guān)于每個用戶的背景數(shù)據(jù)，實施時通常假定只有一個用戶使用系統(tǒng)，所以很難滿足針對每個用戶的安全需求。第38頁，課件共53頁，創(chuàng)作于2023年2月網(wǎng)絡(luò)層提供安全服務(wù)的特點在端系統(tǒng)和路由器上都可以實現(xiàn)。優(yōu)點：主要優(yōu)點是透明性，能提供主機對主機的安全服務(wù)，不要求傳輸層和應(yīng)用層做改動，也不必為每個應(yīng)用設(shè)計自己的安全機制；其次是網(wǎng)絡(luò)層支持以子網(wǎng)為基礎(chǔ)的安全，子網(wǎng)可采用物理分段或邏輯分段，因而可很容易實現(xiàn)VPN和內(nèi)聯(lián)網(wǎng)，防止對網(wǎng)絡(luò)資源的非法訪問；第三個方面是由于多種傳送協(xié)議和應(yīng)用程序可共享由網(wǎng)絡(luò)層提供的密鑰管理架構(gòu)，密鑰協(xié)商的開銷大大降低。缺點：無法實現(xiàn)針對用戶和用戶數(shù)據(jù)語義上的安全控制。第39頁，課件共53頁，創(chuàng)作于2023年2月數(shù)據(jù)鏈路層提供安全服務(wù)的特點在鏈路的兩端實現(xiàn)。優(yōu)點：整個分組（包括分組頭信息）都被加密，保密性強。缺點：使用范圍有限。只有在專用鏈路上才能很好地工作，中間不能有轉(zhuǎn)接點。第40頁，課件共53頁，創(chuàng)作于2023年2月●計算機信息系統(tǒng)（computerinformationsystem）:由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。●安全周界（securityperimeter）:用半徑來表示的空間。該空間包圍著用于處理敏感信息的設(shè)備，并在有效的物理和技術(shù)控制之下，防止未授權(quán)的進入或敏感信息的泄露。基本定義及術(shù)語第41頁，課件共53頁，創(chuàng)作于2023年2月●可信計算基（trustedcomputingbase，TCB）:計算機系統(tǒng)內(nèi)保護裝置的總體，包括硬件、固件、軟件和負責執(zhí)行安全策略的組合體。它建立了一個基本的保護環(huán)境并提供一個可信計算系統(tǒng)所要求的附加用戶服務(wù)。●安全策略（securitypolicy）:對TCB中的資源進行管理、保護和分配的一組規(guī)則。簡單地說就是用戶對安全要求的描述。一個TCB中可以有一個或多個安全策略。●安全模型（securitymodel）:用形式化的方法來描述如何實現(xiàn)系統(tǒng)的機密性、完整性和可用性等安全要求。第42頁，課件共53頁，創(chuàng)作于2023年2月●客體（object）:系統(tǒng)中被動的主體行為承擔者。對一個客體的訪問隱含著對其所含信息的訪問。客體的實體類型有記錄、程序塊、頁面、段、文件、目錄、目錄樹和程序，還有位、字節(jié)、字、字段、處理器、視頻顯示器、鍵盤、時鐘、打印機和網(wǎng)絡(luò)節(jié)點等?！裰黧w（subject）是這樣的一種實體，它引起信息在客體之間的流動。通常，這些實體是指人、進程或設(shè)備等，一般是代表用戶執(zhí)行操作的進程。如編輯一個文件時，編輯進程是存取文件的主體，而文件是客體。●參照監(jiān)視器（referencemonitor）:監(jiān)督主體和客體之間授權(quán)訪問關(guān)系的部件。第43頁，課件共53頁，創(chuàng)作于2023年2月●安全內(nèi)核（securitykernel）:通過控制對系統(tǒng)資源的訪問來實現(xiàn)基本安全規(guī)程的計算機系統(tǒng)的中心部分?！駱俗R與鑒別（identification&authentication，I&A）:用于保證只有合法用戶才能進入系統(tǒng)，進而訪問系統(tǒng)中的資源?！裨L問控制（accesscontrol）:限制已授權(quán)的用戶、程序、進程或計算機網(wǎng)絡(luò)中其他系統(tǒng)訪問本系統(tǒng)資源的過程?！裨L問控制列表（accesscontrollist，ACL）:與系統(tǒng)中客體相聯(lián)系的，用來指定系統(tǒng)中哪些用戶和組可以以何種模式訪問該客體的控制列表。第44頁，課件共53頁，創(chuàng)作于2023年2月●自主訪問控制（discretionaryaccesscontrol，DAC）:用來決定一個用戶是否有權(quán)限訪問此客體的一種訪問約束機制，該客體的所有者可以按照自己的意愿指定系統(tǒng)中的其他用戶對此客體的訪問權(quán)?！衩舾袠擞洠╯ensitivitylabel）:用以表示客體安全級別并描述客體數(shù)據(jù)敏感性的一組信息，在可信計算基中把敏感標記作為強制訪問控制決策的依據(jù)?！駨娭圃L問控制（mandatoryaccesscontrol，MAC）:用于將系統(tǒng)中的信息分密級和類進行管理，以保證每個用戶只能夠訪問那些被標明可以由他訪問的信息的一種訪問約束機制?！窠巧╮ole）:系統(tǒng)中一類訪問權(quán)限的集合。第45頁，課件共53頁，創(chuàng)作于2023年2月●最小特權(quán)原理（leastprivilegeprinciple）:系統(tǒng)中每一個主體只能擁有與其操作相符的必需的最小特權(quán)集?！耠[蔽通道（covertchannel）:非公開的但讓進程有可能以危害系統(tǒng)安全策略的方式傳輸信息的通信信道?！駥徲嫞╝udit）:一個系統(tǒng)的審計就是對系統(tǒng)中有關(guān)安全的活動進行記錄、檢查及審核。●審計跟蹤（audittrail）:系統(tǒng)活動的流水記錄。該記錄按事件自始至終的途徑、順序，審查和檢驗每個事件的環(huán)境及活動。第46頁，課件共53頁，創(chuàng)作于2023年2月●客體重用（objectreuse）:對曾經(jīng)包含一個或幾個客體的存儲介質(zhì)(如頁框、盤扇面、磁帶)重新分配和重用。為了安全地進行重分配、重用，要求介質(zhì)不得包含重分配前的殘留數(shù)據(jù)?！窨尚磐罚╰rustedpath）:終端人員能借以直接同可信計算基通信的一種機制。該機制只能由有關(guān)終端操作人員或可信計算基啟動，并且不能被不可信軟件模仿。●多級安全（multilevelsecure，MLS）:一類包含不同等級敏感信息的系統(tǒng)，它既可供具有不同安全許可的用戶同時進行合法訪問，又能阻止用戶去訪問其未被授權(quán)的信息。第47頁，課件共53頁，創(chuàng)作于2023年2月●鑒別（authentication）:驗證用戶、設(shè)備和其他實體的身份；驗證數(shù)據(jù)的完整性?！袷跈?quán)（authorization）:授予用戶、程序或進程的訪問權(quán)。●保密性（confidentiality）:為秘密數(shù)據(jù)提供保護方法及保護等級的一種特性。●數(shù)據(jù)完整性（dataintegrity）:信息系統(tǒng)中的數(shù)據(jù)與原始數(shù)據(jù)沒有發(fā)生變化，未遭受偶然或惡意的修改或破壞時所具有的性質(zhì)。●漏洞（loophole）:由軟硬件的設(shè)計疏忽或失誤導致的能避開系統(tǒng)安全措施的一類錯誤。第48頁，課件共53頁，創(chuàng)作于2023年2月●安全配置管理（secureconfigurationmanagement）:控制系統(tǒng)硬件與軟件結(jié)構(gòu)更改的一組規(guī)程。其目的是保證這種更改不違反系統(tǒng)的安全策略?！癜踩兀╯ecuri