計(jì)算機(jī)安全作業(yè)

計(jì)算機(jī)安全作業(yè)隨著計(jì)算機(jī)技術(shù)的發(fā)展及信息系統(tǒng)的日益成熟,計(jì)算機(jī)的應(yīng)用也越來(lái)越廣泛。計(jì)算機(jī)的應(yīng)用已經(jīng)滲透到了各行各業(yè),從最初的軍事、到制造工業(yè)、檔案管理,現(xiàn)在已經(jīng)進(jìn)入現(xiàn)代辦公管理和家庭。因此計(jì)算機(jī)的安全就變得尤為重要。1計(jì)算機(jī)安全的重要性計(jì)算機(jī)安全主要包括數(shù)據(jù)完整性和數(shù)據(jù)安全。數(shù)據(jù)完整性是指“一種未受損的狀態(tài)”和“保持完整或未被分割的品質(zhì)或狀態(tài)”。數(shù)據(jù)安全是指“保證外界無(wú)法訪問(wèn)數(shù)據(jù)”。計(jì)算機(jī)安全的主要目標(biāo)是保護(hù)計(jì)算機(jī)資源以免受毀壞、替換、盜竊和丟失。這些計(jì)算機(jī)資源包括計(jì)算機(jī)設(shè)備、存儲(chǔ)介質(zhì)、軟件、計(jì)算機(jī)輸出材料和數(shù)據(jù)。計(jì)算機(jī)安全對(duì)一個(gè)企業(yè)極其重要,數(shù)據(jù)的丟失或損壞可能對(duì)企業(yè)造成嚴(yán)重的損害甚至摧毀一個(gè)企業(yè)。如果一個(gè)系統(tǒng)的數(shù)據(jù)完整性受到破壞,進(jìn)行系統(tǒng)恢復(fù)的耗費(fèi)和生產(chǎn)效率的損失都是十分重大的。2對(duì)計(jì)算機(jī)造成安全威脅的主要因素2.1物理威脅物理安全是指不要讓別人拿到你的東西,最常見(jiàn)的物理威脅有以下幾個(gè)方面:偷竊、廢物賬戶來(lái)攻擊其他系統(tǒng)。這樣看來(lái)，似乎對(duì)計(jì)算機(jī)安全狀況是過(guò)分悲觀了?？v觀近年來(lái)網(wǎng)絡(luò)安全或軟件工程的歷史，我們并不樂(lè)觀，但也不過(guò)于悲觀。著名的橘皮書(shū)[DoD,1985a]，列出的每一種安全等級(jí)的特性－審計(jì)，訪問(wèn)控制，可信路徑以及其他類似的東西得到了大家重視，但是更高等級(jí)的安全需要更多、更為苛刻的保證條件。這就是說(shuō)，必須有更多的理由讓人信服，系統(tǒng)實(shí)際上實(shí)現(xiàn)了設(shè)計(jì)的功能。除這些要求外，即使是具有A1等級(jí)評(píng)估的最可信系統(tǒng)，只要有一個(gè)糊涂用戶訪問(wèn)過(guò)這一系統(tǒng)，那么這個(gè)系統(tǒng)中最為敏感的信息也是不可信的了[DoD,1985b]。在因特網(wǎng)上，很少有系統(tǒng)能滿足C2要求，因此，它們的安全性是不夠的。面臨的另一個(gè)挑戰(zhàn)與生成安全系統(tǒng)的困難完全無(wú)關(guān)。對(duì)系統(tǒng)的管理問(wèn)題，無(wú)論編寫(xiě)的代碼如何好，設(shè)計(jì)如何清楚，后來(lái)出現(xiàn)的人為差錯(cuò)能夠使整個(gè)保護(hù)失效。試考慮下列事件的后果：(1)在假日或周末，當(dāng)沒(méi)有系統(tǒng)管理員值班時(shí)，出現(xiàn)網(wǎng)關(guān)機(jī)器故障；(2)備份專家不能通過(guò)電話診斷故障，而需要產(chǎn)生一個(gè)客戶賬號(hào)；(3)操作人員增加客戶賬號(hào)，卻沒(méi)有指定口令；(4)專家忘了增加口令；(5)操作人員忘記刪除該賬號(hào)；(6)某些大學(xué)生發(fā)現(xiàn)了該賬號(hào)并在一天之內(nèi)告訴了他們的朋友們。可能否？當(dāng)然可能，此事確實(shí)在一個(gè)網(wǎng)關(guān)中出現(xiàn)過(guò)，當(dāng)不速之客在探測(cè)其他網(wǎng)關(guān)機(jī)器時(shí)，觸發(fā)了一個(gè)報(bào)警器，才被發(fā)現(xiàn)網(wǎng)關(guān)被穿透了。相對(duì)說(shuō)來(lái)，管理防火墻機(jī)器比較簡(jiǎn)單，它們運(yùn)行最小配置，免除了人們對(duì)某些事情的擔(dān)心。成品的網(wǎng)關(guān)機(jī)器有大量調(diào)節(jié)旋鈕、按鈕和開(kāi)關(guān)需要操作，并且許多裝配是不安全的。更糟的是，很多是按銷售商指定的方式傳輸?shù)?。機(jī)器安全性越高，通常使用和管理就越不方便，但一些制造商卻把他們的產(chǎn)品選擇定位于“易于使用”的市場(chǎng)。內(nèi)部網(wǎng)絡(luò)有許多機(jī)器是受到專業(yè)性管理的，但是有許多部門的機(jī)器，一旦開(kāi)箱、插入和通電，就萬(wàn)事大吉，被人忽略了。它們工作在舊的操作系統(tǒng)版本上，當(dāng)且僅當(dāng)其中的缺陷直接影響到很多用戶時(shí)，它們才被修改過(guò)來(lái)?！凹热幌到y(tǒng)在工作，為什么還要改變它？”相當(dāng)時(shí)間里，這成為一種合理的態(tài)度，但這種模式交錯(cuò)地傳遞網(wǎng)絡(luò)信任，是有風(fēng)險(xiǎn)的。4.2網(wǎng)關(guān)和防火墻它是簡(jiǎn)單的禮物，它是免費(fèi)的禮物，它是使我們降低到合適位置的禮物，我們發(fā)現(xiàn)這個(gè)正確的地方，它是愛(ài)和歡樂(lè)的河谷。只要獲得真正的簡(jiǎn)單，即使為之鞠躬、致敬，也不覺(jué)羞愧。我們滿懷喜悅，旋轉(zhuǎn)，旋轉(zhuǎn)－ShakerHymn基于這種觀點(diǎn)，推薦使用防火墻來(lái)保護(hù)網(wǎng)絡(luò)就不是什么驚人之舉了。防火墻定義為：安裝在同時(shí)具有下列特征的兩個(gè)網(wǎng)絡(luò)之間的(硬/軟)部件的集合：(1)從里到外和從外到里的所有通信都必須通過(guò)防火墻;(2)只有本地安全策略授權(quán)的通信才允許通過(guò);(3)防火墻本身是免疫的，不會(huì)被穿透的。很多主機(jī)（也許是絕大多數(shù)）不能保護(hù)它們自己免受確定的攻擊，而防火墻有幾個(gè)明顯的優(yōu)勢(shì)。防火墻能夠確保安全的一個(gè)最大的理由其實(shí)很簡(jiǎn)單：因?yàn)樗皇且慌_(tái)通用的主機(jī)，因而，沒(méi)有必要既具有雙倍的安全性，又極大地增加用戶的方便性（NIS,rlogin等等）。對(duì)于與防火墻功能無(wú)關(guān)的很多未知的安全性則可以省去。第二個(gè)好處來(lái)自防火墻機(jī)器受到的專業(yè)管理。我們并不主張防火墻管理員必須比普通系統(tǒng)管理員更能干，但卻要求他們具有更強(qiáng)的安全意識(shí)。普通用戶中很少有人能對(duì)此有所幫助。拙劣的口令就是一種嚴(yán)重的風(fēng)險(xiǎn)，如果用戶及其口令不存在，這就不是問(wèn)題。同樣，可以對(duì)各種接口程序做出或多或少的改變以期對(duì)提高安全性有所幫助，但條件是不得打擾習(xí)慣于用不同方式工作的人們。一個(gè)例子是使用手持式鑒別機(jī)進(jìn)行登錄。許多人討厭它，或者由于它過(guò)于昂貴而不便在整個(gè)機(jī)構(gòu)上裝配。然而，一個(gè)網(wǎng)關(guān)機(jī)器應(yīng)該有一個(gè)十分有限的用戶共同體，他們完全忽略這些考慮。更微妙的是，網(wǎng)關(guān)機(jī)器不需要、也不應(yīng)該接受任何其他機(jī)器的信任。因此，即使網(wǎng)關(guān)機(jī)器已經(jīng)遭到損壞，也不會(huì)導(dǎo)致其他機(jī)器自動(dòng)遭殃。另一方面，只要愿意(并且如果決定反對(duì)使用手持式鑒別機(jī))，網(wǎng)關(guān)機(jī)器還能信任其他機(jī)器，因而在少數(shù)賬號(hào)上擁有的大多數(shù)口令都是不必要的。網(wǎng)關(guān)機(jī)器還有其他非安全性優(yōu)點(diǎn)。例如，它們是郵件和FTP管理的中心點(diǎn)。對(duì)于處理延遲郵件，檢查報(bào)頭語(yǔ)法正確性，重寫(xiě)返回地址(即重寫(xiě)成:Firstname.Lastname@Org.Domain格式)等，只需監(jiān)視一臺(tái)機(jī)器；對(duì)于郵件問(wèn)題，外部的人有一個(gè)單一接觸點(diǎn)；對(duì)于輸出的文件，有一個(gè)單一位置進(jìn)行搜索。盡管如此，焦點(diǎn)仍是安全性。對(duì)于已經(jīng)說(shuō)到的所有那些與防火墻有關(guān)的利害關(guān)系，應(yīng)該強(qiáng)調(diào)的是，既不提倡也不寬恕以草率的行為對(duì)待主機(jī)安全性。即使防火墻是不可摧毀的，并且管理人員和操作人員不犯任何錯(cuò)誤，但因特網(wǎng)并不是惟一的風(fēng)險(xiǎn)源頭。除內(nèi)部人員攻擊風(fēng)險(xiǎn)外，在某些環(huán)境中，外部人員可以通過(guò)其他手段獲得訪問(wèn)權(quán)。有一個(gè)案例，一名黑客是通過(guò)調(diào)制解調(diào)器通信池進(jìn)入，并從內(nèi)部攻擊防火墻。強(qiáng)大的主機(jī)安全策略是一個(gè)必需品，而非奢侈品。因此，為了保護(hù)機(jī)構(gòu)網(wǎng)絡(luò)中極為敏感的部位，設(shè)置內(nèi)部防火墻是個(gè)好主意。AT&T就使用了它們。4.3保護(hù)口令(說(shuō)話，朋友，請(qǐng)進(jìn))“‘說(shuō)話，朋友，請(qǐng)進(jìn)’指的是什么意思？”梅里問(wèn)。“那是最明白不過(guò)的”，吉姆利說(shuō)，“如果你是朋友，說(shuō)出正確口令，門就會(huì)打開(kāi)，你就可進(jìn)入?！??“但是，甘達(dá)爾夫，你不知道那個(gè)口令，是不是？”玻若米爾驚訝地問(wèn)。“是的！”巫士說(shuō)“??我確實(shí)不知道那個(gè)口令，但是我們很快就會(huì)知道的?！保璊.R.R.Tolkien系統(tǒng)缺陷是一種破壞系統(tǒng)十分刺激的方法，但不是最常用的攻擊方式。因?yàn)槠涔逃刑匦?，“用戶口令”攻擊方式獲得了這一“殊榮”。由于整個(gè)口令系統(tǒng)失效引發(fā)的系統(tǒng)穿透占了相當(dāng)高的百分比?！翱诹钕到y(tǒng)”失敗的原因有幾種，最常見(jiàn)的問(wèn)題在于人們習(xí)慣選擇拙劣的口令。重復(fù)的研究表明，猜測(cè)口令極易成功。不是說(shuō)每個(gè)人都選用拙劣的口令，但是，卻有相當(dāng)一部分人把那種可猜測(cè)口令留給了那些擅長(zhǎng)猜測(cè)口令的攻擊者。猜測(cè)口令式攻擊一般采用兩種基本形式：第一種是在登錄時(shí)嘗試使用已知的或假設(shè)的用戶名和類似的猜測(cè)口令，這種方法常常驚人地獲得成功。站點(diǎn)常常有賬戶-口令對(duì)，如field-service，guest-guest等。這些賬戶-口令對(duì)，居然經(jīng)常出現(xiàn)于系統(tǒng)手冊(cè)中！第一次可能不成功，再試也不成，10余次是家常便飯，總有一次會(huì)成功－攻擊者一旦進(jìn)入，主要防線就會(huì)崩潰。遺憾的是，很少有操作系統(tǒng)能抗擊來(lái)自內(nèi)部的攻擊。這種方法并不是不可能的！不應(yīng)當(dāng)允許用戶使用不正確的口令嘗試無(wú)限次地登錄，登錄失敗應(yīng)被記錄下來(lái)，應(yīng)提醒用戶，在他們的賬戶上有登錄失敗的嘗試等。這些沒(méi)有一件是新技術(shù)，但是卻很少有人這樣做，做得正確的就更少了。在GramppandMorris,1984中指出了許多常犯的共同錯(cuò)誤，但很少有研發(fā)人員聽(tīng)從這些勸告。更為糟糕的是，目前在UNIX系統(tǒng)上存在的很多日志記錄，是用login和su實(shí)現(xiàn)的。其他一些在大多數(shù)系統(tǒng)上使用口令的程序－如ftpd,rexecd，各種屏幕鎖定程序等都沒(méi)有記錄失敗的登錄。黑客設(shè)法尋求口令的第二種方法是，對(duì)偷來(lái)的口令文件(例如UNIX系統(tǒng)上的/etc/passwd)進(jìn)行匹配推測(cè)，這些可能是從被攻破的系統(tǒng)中偷來(lái)的，在這種情況下攻擊者將在其他機(jī)器上去試這些破譯了的口令(用戶趨向于重復(fù)使用口令)，或者可以從一個(gè)尚未被穿透的系統(tǒng)中獲得，這就叫做字典攻擊，并且常常都是極容易成功的。不要犯下面的錯(cuò)誤：口令文件一旦落入敵人手中，機(jī)器就極可能將遭到損害。Klein[1990年]報(bào)告口令破譯率約為25%，如果這個(gè)數(shù)字對(duì)機(jī)器是準(zhǔn)確的，而且正好有16個(gè)用戶賬號(hào)，那么這些口令中至少一個(gè)有99%的機(jī)率是脆弱的。另外一種方法是從一個(gè)合法的終端上搭接電纜竊聽(tīng)會(huì)話并記錄所使用的口令，采用這種方法，無(wú)論選擇的口令如何好都無(wú)濟(jì)于事，賬戶和系統(tǒng)很可能都將被損壞。由此能夠得結(jié)論：就是教育用戶如何正確地選擇一個(gè)好的口令?？杀氖牵詮腗orris和Thompson在1979年發(fā)表關(guān)于這一主題的論文以來(lái)，25年過(guò)去了，用戶的習(xí)慣并未改進(jìn)多少。盡管進(jìn)行過(guò)很多努力，如[Spafford，1992b；Bishop，1992]，也沒(méi)有就可容許的口令采取更嚴(yán)格的系統(tǒng)限制以幫助改善這種問(wèn)題。已嘗試過(guò)其他一些提高口令安全性的辦法，是通過(guò)逆行校檢，但固執(zhí)的用戶總是傾向于最大限度地使用同一口令，而黑客只需要贏一次就行了。假如無(wú)法使人們選擇好的口令，那么重要的是絕不能讓口令文件落入敵人手中。這就意味著應(yīng)該：(1)小心地配置系統(tǒng)服務(wù)(例如Sun的NIS)的安全特性；(2)限制tftpd可使用的文件；(3)避免把一個(gè)真正的/etc/passwd文件放在匿名FTP區(qū)域?？诹畹降锥嚅L(zhǎng)為宜？一般認(rèn)為UNIX系統(tǒng)強(qiáng)行把口令限制在8個(gè)字符是不適當(dāng)?shù)?。UNIX系統(tǒng)口令散列算法把每一個(gè)輸入字符的7個(gè)有效位直接作為加密密鑰，由于所使用的算法(DES)只允許56位密鑰，因此限制在8個(gè)字符，別無(wú)選擇。7位有128種可能的組合，但這并不等于使用了128種組合。因?yàn)槎鄶?shù)人避免在他們的口令中使用控制字符，而且多數(shù)人甚至只用字母，實(shí)際上大部分人傾向于采用由小寫(xiě)字母組成的口令?？梢酝ㄟ^(guò)采用信息論把口令值的真值表示為密鑰，對(duì)于一個(gè)8個(gè)字母的普通英文文本，其信息內(nèi)容是每個(gè)字母約2.3位，或許更少，因此用英文單詞組成的口令，實(shí)際上就只有一個(gè)約19位的有效密鑰長(zhǎng)度，而不是56位。選擇名字作為口令很可能造成最壞的結(jié)果，因?yàn)榇嬖谕默F(xiàn)象。利用AT&T在線電話簿進(jìn)行實(shí)驗(yàn)，結(jié)果表明第一個(gè)名字在整個(gè)名字中僅只有約7.8位的信息。即使較長(zhǎng)的英文短語(yǔ)，每個(gè)字母的信息內(nèi)容約在1.2-1.5位的等級(jí)上。因此一個(gè)16字節(jié)的口令，如果使用英文短語(yǔ)，也不一定強(qiáng)得讓人猜不出來(lái)，其中信息量只有約219-224位。如果用戶挑選獨(dú)立的字作為口令，那么情況會(huì)有所改善，信息量將增加到約238位。4.3.1如何設(shè)置口令口令是進(jìn)行訪問(wèn)控制的簡(jiǎn)單而有效的方法?？诹钍侵挥邢到y(tǒng)管理員和用戶自己知道的簡(jiǎn)單字符串。沒(méi)有一個(gè)有效的口令,侵入者要闖入計(jì)算機(jī)系統(tǒng)是很困難的。只要口令保持機(jī)密,非授權(quán)用戶就無(wú)法使用該帳號(hào)。但是一旦別人知道了,口令就不能提供任何安全了。因此,最重要的是盡可能安全地選擇口令,并使其不被非授權(quán)用戶知道。最有效的口令是用戶很容易記住,但/黑客0很難猜測(cè)或破解。8個(gè)隨機(jī)字符的各種組合大約有3@1012多種,即使借助于計(jì)算機(jī)進(jìn)行一個(gè)一個(gè)地嘗試也要相當(dāng)長(zhǎng)的時(shí)間?？诹畹脑O(shè)置應(yīng)該即安全又容易記憶,最好的口令應(yīng)遵循下列規(guī)則:4.3.2選擇長(zhǎng)的口令口令越長(zhǎng),要猜出它或試出它所有的可能組合就越難。大多數(shù)系統(tǒng)接受5到8個(gè)字符串長(zhǎng)度的口令,還有許多系統(tǒng)允許更長(zhǎng)的口令。4.3.3口令的組合最好包括字母和數(shù)字4.3.4最好不要使用英語(yǔ)單詞可以使用你熟悉的短語(yǔ)的首字。例如,/Swimmingismyfavoritesport0用來(lái)產(chǎn)生口令/simfs0。這個(gè)口令你自己記住很容易,但其他人很難想得到?；虿捎米帜负蛿?shù)字組合可以更安全。4.3.5在每個(gè)你訪問(wèn)的系統(tǒng)上不要使用相同的口令如果其中一個(gè)系統(tǒng)安全出了問(wèn)題,其余的系統(tǒng)就不安全了。4.3.6不要使用名字你自己的名字、家庭成員的名字,你居住的城市的名字等。4.3.7別選擇你記不住的口令有時(shí)由于太復(fù)雜或自己不易記憶,而寫(xiě)在筆記本上,這是極不安全的。另外為了防止口令被偷或非法得到,還應(yīng)在系統(tǒng)中使用面向系統(tǒng)的控制,以減小由于非法入侵造成對(duì)系統(tǒng)的改變。通常采用登錄/口令控制,這就有效地增強(qiáng)用戶口令的安全性。包括下列方法:a)口令更換。用戶可以在任何時(shí)候更換他的口令。口令的不斷變化可以防止有人用偷來(lái)的口令繼續(xù)對(duì)系統(tǒng)進(jìn)行訪問(wèn)。b)要求的口令更換。要求用戶定期改變他的口令,例如一個(gè)月?lián)Q一次。這可以防止用戶一直使用同一個(gè)口令。如果該口令被偷,就會(huì)引起完全問(wèn)題。在有些系統(tǒng)中,口令使用過(guò)一段特定長(zhǎng)度的時(shí)間后,用戶下次進(jìn)入系統(tǒng)時(shí)必須將其更改。在強(qiáng)制進(jìn)行口令更改的那一天到來(lái)之前,用戶會(huì)收到警告,這樣他就可以提前想一個(gè)新的口令。c)最短長(zhǎng)度?？诹钤介L(zhǎng)就越猜測(cè)。而且使用隨機(jī)字