計(jì)算機(jī)信息安全

計(jì)算機(jī)信息平安課程說(shuō)明課程性質(zhì)：考試課考試形式：開卷筆試總評(píng)方式：平時(shí)成績(jī)：30%〔包含出勤情況、實(shí)驗(yàn)完成情況、實(shí)驗(yàn)報(bào)告等〕期中測(cè)試：20%期抹考試：50%課程內(nèi)容簡(jiǎn)介第1章信息平安簡(jiǎn)介第2章信息平安體系結(jié)構(gòu)第3章密碼根底第4章身份識(shí)別與消息鑒別第5章訪問(wèn)控制理論第6章網(wǎng)絡(luò)平安第7章計(jì)算機(jī)系統(tǒng)平安第8章應(yīng)用平安第9章平安審計(jì)第10章信息平安評(píng)估與工程實(shí)現(xiàn)教材情況：

信息平安概論徐茂智鄒維人民郵電出版社課程實(shí)驗(yàn)Sniffer嗅探及抓包加密軟件的使用身份鑒別及訪問(wèn)控制數(shù)據(jù)備份及恢復(fù)

第1章信息平安簡(jiǎn)介1.1信息平安的開展歷史通信保密科學(xué)的誕生——古典密碼學(xué)誕生公鑰密碼學(xué)革命1976年Diffie、Hellman提出公開密鑰密碼思想1977年Rivest、Shamir、Adleman設(shè)計(jì)了一種公開密鑰密碼系統(tǒng)——公鑰密碼學(xué)誕生比照傳統(tǒng)密碼算法公鑰密碼算法理論價(jià)值一、突破Shannon理論，從計(jì)算復(fù)雜性上刻畫密碼算法的強(qiáng)度二、它把傳統(tǒng)密碼算法中兩個(gè)密鑰管理中的保密性要求，轉(zhuǎn)換為保護(hù)其中一個(gè)的保密性，保護(hù)另一個(gè)的完整性的要求。三、它把傳統(tǒng)密碼算法中密鑰歸屬?gòu)耐ㄐ艃煞阶優(yōu)橐粋€(gè)單獨(dú)的用戶，從而使密鑰的管理復(fù)雜度有了較大下降。公鑰密碼學(xué)革命1969年B.Lampson提出了訪問(wèn)控制的矩陣模型。模型中提出了主體與客體的概念

客體：是指信息的載體，主要指文件、數(shù)據(jù)庫(kù)等

主體：是指引起信息在客體之間流動(dòng)的人、進(jìn)程或設(shè)備

訪問(wèn)：是指主體對(duì)客體的操作，如讀、寫、刪除等，所有可允許訪問(wèn)屬性：是指操作的集合。計(jì)算機(jī)系統(tǒng)中全體主體作為行指標(biāo)、全體客體作為列指標(biāo)、取值為訪問(wèn)屬性的矩陣就可以描述一種訪問(wèn)策略。評(píng)價(jià)：可以設(shè)想隨著計(jì)算機(jī)所處理問(wèn)題的復(fù)雜性的增加，不可能顯式地表示一個(gè)計(jì)算機(jī)的訪問(wèn)控制矩陣。所以用訪問(wèn)控制矩陣來(lái)實(shí)施訪問(wèn)控制是不現(xiàn)實(shí)的。

1985年美國(guó)國(guó)防部DoD提出了可信計(jì)算機(jī)評(píng)估準(zhǔn)那么〔TCSEC〕——通常稱為橘皮書在Bell-Lapadula模型的根底上按照計(jì)算機(jī)系統(tǒng)的平安防護(hù)能力，分成8個(gè)等級(jí)。評(píng)價(jià)：對(duì)軍用計(jì)算機(jī)系統(tǒng)的平安等級(jí)認(rèn)證起到了重要作用。而且對(duì)后來(lái)的信息平安評(píng)估標(biāo)準(zhǔn)的建立起到了重要參考作用。

網(wǎng)絡(luò)環(huán)境下的信息平安信息保障信息保障1.2信息平安的概念和目標(biāo)信息平安的定義信息>數(shù)據(jù)我們發(fā)現(xiàn)不斷增長(zhǎng)的網(wǎng)絡(luò)應(yīng)用中所包含的內(nèi)容遠(yuǎn)遠(yuǎn)不能用“數(shù)據(jù)〞一詞來(lái)概括。例：在用戶之間進(jìn)行身份識(shí)別的過(guò)程中，雖然形式上是通過(guò)數(shù)據(jù)的交換實(shí)現(xiàn)，但等身份識(shí)別的目的到達(dá)以后，交換的中間數(shù)據(jù)就變得毫無(wú)用處了。我們?nèi)绻麅H僅通過(guò)逐包保護(hù)這些交換數(shù)據(jù)的平安是不充分的，原因是這里傳遞的是身份“信息〞而不是身份“數(shù)據(jù)〞。還可以舉出很多其他例子來(lái)說(shuō)明僅僅考慮數(shù)據(jù)平安是不夠的。這使我們注意到信息平安與數(shù)據(jù)平安相比有了實(shí)質(zhì)性的擴(kuò)展。

信息平安的定義定義信息平安是研究在特定的應(yīng)用環(huán)境下，依據(jù)特定的平安策略，對(duì)信息及其系統(tǒng)實(shí)施防護(hù)、檢測(cè)和恢復(fù)的科學(xué)。

這里平安策略表示人們?cè)谔囟☉?yīng)用環(huán)境下對(duì)信息平安的要求。該定義明確了信息平安的保護(hù)對(duì)象、保護(hù)目標(biāo)和方法，下面將圍繞這一定義加以說(shuō)明。

信息平安的目標(biāo)和方法信息平安的保護(hù)對(duì)象：信息及其系統(tǒng)平安目標(biāo)：由平安策略定義。平安策略是怎樣規(guī)定平安目標(biāo)的呢？信息系統(tǒng)的平安策略是由一些具體的平安目標(biāo)組成的。不同的平安策略表現(xiàn)為不同的平安目標(biāo)的集合。平安目標(biāo)通常被描述為“允許誰(shuí)怎樣使用系統(tǒng)中的哪種資源〞、“不允許誰(shuí)怎樣使用系統(tǒng)中的哪種資源〞或事務(wù)實(shí)現(xiàn)中各“參與者的行為規(guī)那么是什么〞等。平安目標(biāo)有時(shí)候稱為平安效勞或平安功能

信息平安的目標(biāo)和方法信息平安的目標(biāo)和方法信息平安的目標(biāo)和方法圖1.1安全機(jī)制、安全目標(biāo)關(guān)系圖安全機(jī)制安全目標(biāo)事務(wù)安全數(shù)據(jù)安全系統(tǒng)安全防護(hù)檢測(cè)恢復(fù)作業(yè)1．信息平安中平安目的為什么分成系統(tǒng)平安、數(shù)據(jù)平安和事務(wù)平安？試各舉一例說(shuō)明他們的差異。2．試描述平安檢測(cè)與恢復(fù)的含義。3.兩個(gè)用戶建立通信的過(guò)程中需要考慮哪種平安目標(biāo)？通信過(guò)程的數(shù)據(jù)傳送過(guò)程中需要考慮哪些平安目標(biāo)？三類平安目標(biāo)之間的層次關(guān)系下層的平安為上層的平安提供一定的保障〔assurance〕，但不提供平安效勞。在實(shí)現(xiàn)上層的平安性中經(jīng)常需要下層的平安做根底，但上層的平安不能指望對(duì)下層的功能調(diào)用來(lái)實(shí)現(xiàn)，需要用專門的平安機(jī)制實(shí)現(xiàn)。圖1.2系統(tǒng)安全、數(shù)據(jù)安全、事務(wù)安全層次圖事務(wù)安全數(shù)據(jù)安全網(wǎng)絡(luò)安全計(jì)算機(jī)安全計(jì)算機(jī)系統(tǒng)中的平安威脅內(nèi)部網(wǎng)—網(wǎng)絡(luò)計(jì)算機(jī)計(jì)算機(jī)系統(tǒng)指用于信息存儲(chǔ)、信息加工的設(shè)施。計(jì)算機(jī)系統(tǒng)一般是指具體的計(jì)算機(jī)系統(tǒng)，但是我們有時(shí)也用計(jì)算機(jī)系統(tǒng)來(lái)表示一個(gè)協(xié)作處理信息的內(nèi)部網(wǎng)絡(luò)。后者有時(shí)被稱為網(wǎng)絡(luò)計(jì)算機(jī)。單臺(tái)計(jì)算機(jī)1．假冒攻擊分為:重放偽造代替2．旁路攻擊旁路攻擊是指攻擊者利用計(jì)算機(jī)系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)中的缺陷或平安上的脆弱之處，獲得對(duì)系統(tǒng)的局部或全部控制權(quán)，進(jìn)行非授權(quán)訪問(wèn)。例如緩沖區(qū)溢出攻擊，就是因?yàn)橄到y(tǒng)軟件缺乏邊界檢查，使得攻擊者能夠激活自己預(yù)定的進(jìn)程，從而獲得對(duì)計(jì)算機(jī)的超級(jí)訪問(wèn)權(quán)限。旁路攻擊一旦獲得對(duì)系統(tǒng)的全部控制權(quán)，所帶來(lái)的損失將是不可低估的。

3．非授權(quán)訪問(wèn)非授權(quán)訪問(wèn)是指未經(jīng)授權(quán)的實(shí)體獲得了訪問(wèn)網(wǎng)絡(luò)資源的時(shí)機(jī)，并有可能篡改信息資源。假冒攻擊和旁路攻擊通過(guò)欺騙或旁路獲得訪問(wèn)權(quán)限，而非授權(quán)訪問(wèn)那么是假冒和旁路攻擊的最終目的。另一方面，如果非法用戶通過(guò)某種手段獲得了對(duì)用戶注冊(cè)信息表、計(jì)算機(jī)注冊(cè)表信息的非授權(quán)訪問(wèn)，那么它又成為進(jìn)一步假冒或旁路攻擊的根底。4．拒絕效勞拒絕效勞攻擊目的是摧毀計(jì)算機(jī)系統(tǒng)的局部乃至全部進(jìn)程，或者非法搶占系統(tǒng)的計(jì)算資源，導(dǎo)致程序或效勞不能運(yùn)行，從而使系統(tǒng)不能為合法用戶提供正常的效勞。目前最有殺傷力的拒絕效勞攻擊是網(wǎng)絡(luò)上的分布式拒絕效勞〔DDOS〕攻擊。5．惡意程序計(jì)算機(jī)系統(tǒng)受到上述類型的攻擊可能是非法用戶直接操作實(shí)現(xiàn)的，也可能是在通過(guò)惡意程序如木馬、病毒和后門實(shí)現(xiàn)的。分為:

木馬病毒后門5．惡意程序〔1〕特洛伊木馬特洛伊木馬〔Trojanhorse〕是指?jìng)窝b成有用的軟件，當(dāng)它被執(zhí)行時(shí)，往往會(huì)啟動(dòng)一些隱藏的惡意進(jìn)程，實(shí)現(xiàn)預(yù)定的攻擊。例如木馬文本編輯軟件，在使用中用戶不易覺察它與一般的文本編輯軟件有何不同。但它會(huì)啟動(dòng)一個(gè)進(jìn)程將用戶的數(shù)據(jù)拷貝到一個(gè)隱藏的秘密文件中，植入木馬的攻擊者可以閱讀到那個(gè)秘密文件。同樣，我們可以設(shè)想隨意從網(wǎng)上或他處得來(lái)的一個(gè)非常好玩的游戲軟件，里面植入了木馬進(jìn)程，當(dāng)管理員啟動(dòng)這個(gè)游戲，那么該進(jìn)程將具有管理員的特權(quán)，木馬將有可能竊取或修改用戶的口令，修改系統(tǒng)的配置，為進(jìn)一步的攻擊鋪平道路。5．惡意程序〔2〕病毒病毒和木馬都是惡意代碼，但它本身不是一個(gè)獨(dú)立程序，它需要寄生在其他文件中，通過(guò)自我復(fù)制實(shí)現(xiàn)對(duì)其它文件的感染。病毒的危害有兩個(gè)方面，一個(gè)是病毒可以包含一些直接破壞性的代碼，另一方面病毒傳播過(guò)程本身可能會(huì)占用計(jì)算機(jī)的計(jì)算和存儲(chǔ)資源，造成系統(tǒng)癱瘓。5．惡意程序〔3〕后門后門是指在某個(gè)文件或系統(tǒng)中設(shè)置一種機(jī)關(guān)，使得當(dāng)提供一組特定的輸入數(shù)據(jù)時(shí)，可以不受平安訪問(wèn)控制的約束。例如，一個(gè)口令登錄系統(tǒng)中，如果對(duì)于一個(gè)特殊的用戶名不進(jìn)行口令檢查，那么這個(gè)特殊的用戶名就是一個(gè)后門。后門的設(shè)置可能是軟件開發(fā)中為了調(diào)試方便，但后來(lái)忘記撤除所致，也可能是軟件開發(fā)者有意留下的。上面對(duì)計(jì)算機(jī)可能存在的一些攻擊作了描述。對(duì)計(jì)算機(jī)攻擊的原因分析1.系統(tǒng)在身份識(shí)別協(xié)議、訪問(wèn)控制平安措施方面存在弱點(diǎn)，不能抵抗惡意使用者的攻擊；2.系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)中有未發(fā)現(xiàn)的脆弱性，惡意使用者利用了這些脆弱性。網(wǎng)絡(luò)系統(tǒng)中的平安威脅計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是實(shí)現(xiàn)計(jì)算機(jī)之間信息傳遞或通信的系統(tǒng)，它通過(guò)網(wǎng)絡(luò)通信協(xié)議〔如TCP/IP協(xié)議〕為計(jì)算機(jī)提供了新的訪問(wèn)渠道。網(wǎng)絡(luò)環(huán)境同時(shí)還增加了對(duì)路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備和通信線路的保護(hù)要求。處于網(wǎng)絡(luò)中的計(jì)算機(jī)系統(tǒng)除了可能受到上小節(jié)提到的各種威脅外，還可能會(huì)受到來(lái)自網(wǎng)絡(luò)中的威脅。此外，網(wǎng)絡(luò)交換或網(wǎng)絡(luò)管理設(shè)備、通信線路可能還會(huì)受到一些僅屬于網(wǎng)絡(luò)平安范疇的威脅。主要威脅可列舉如下：

1．截獲/修改攻擊者通過(guò)對(duì)網(wǎng)絡(luò)傳輸中的數(shù)據(jù)進(jìn)行截獲或修改，使得接收方不能收到數(shù)據(jù)或收到代替了的數(shù)據(jù)，從而影響通信雙方的數(shù)據(jù)交換。這種攻擊通常是為了到達(dá)假冒或破壞的目的。2．插入/重放攻擊者通過(guò)把網(wǎng)絡(luò)傳輸中的數(shù)據(jù)截獲后存儲(chǔ)起來(lái)并在以后重新傳送，或把偽造的數(shù)據(jù)插入到信道中，使得接收方收到一些不應(yīng)當(dāng)收到的數(shù)據(jù)。這種攻擊通常也是為了到達(dá)假冒或破壞的目的。但是通常比截獲/修改的難度大，一旦攻擊成功，危害性也大。3．效勞欺騙4．竊聽和數(shù)據(jù)分析竊聽和數(shù)據(jù)分析是指攻擊者通過(guò)對(duì)通信線路或通信設(shè)備的監(jiān)聽，或通過(guò)對(duì)通信量〔通信數(shù)據(jù)流〕的大小、方向頻率的觀察，經(jīng)過(guò)適當(dāng)分析，直接推斷出秘密信息,到達(dá)信息竊取的目的。5．網(wǎng)絡(luò)拒絕效勞網(wǎng)絡(luò)拒絕效勞是指攻擊者通過(guò)對(duì)數(shù)據(jù)或資源的干擾、非法占用、超負(fù)荷使用、對(duì)網(wǎng)絡(luò)或效勞根底設(shè)施的摧毀，造成系統(tǒng)永久或暫時(shí)不可用，合法用戶被拒絕或需要額外等待，從而實(shí)現(xiàn)破壞的目的。許多常見的拒絕效勞攻擊都是由網(wǎng)絡(luò)協(xié)議(如IP協(xié)議)本身存在的平安漏洞和軟件實(shí)現(xiàn)中考慮不周共同引起的。例如TCPSYN攻擊，利用了TCP連接需要分配內(nèi)存，屢次同步將使其他連接不能分配到足夠的內(nèi)存，從而導(dǎo)致了系統(tǒng)的暫時(shí)不可用。計(jì)算機(jī)系統(tǒng)受到上述類型的攻擊可能是黑客或敵手操作實(shí)現(xiàn)的，也可能是網(wǎng)絡(luò)蠕蟲或其他惡意程序造成的。對(duì)網(wǎng)絡(luò)攻擊的原因分析1.網(wǎng)絡(luò)通信線路經(jīng)過(guò)不平安區(qū)域，并且使用了公開的標(biāo)準(zhǔn)通信協(xié)議，使得非法竊聽和干擾比傳統(tǒng)的通信場(chǎng)合更容易實(shí)施；2.在網(wǎng)絡(luò)環(huán)境下身份識(shí)別協(xié)議更加重要，但比單機(jī)環(huán)境下更難實(shí)現(xiàn)；3.網(wǎng)絡(luò)通信系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)中未發(fā)現(xiàn)的脆弱性更多，攻擊者更容易利用這些脆弱性。1.3.3數(shù)據(jù)的平安威脅數(shù)據(jù)是網(wǎng)絡(luò)信息系統(tǒng)的核心。計(jì)算機(jī)系統(tǒng)及其網(wǎng)絡(luò)如果離開了數(shù)據(jù)，就像失去了靈魂的軀殼，是沒有價(jià)值的。無(wú)論是上面提到的敵手對(duì)計(jì)算機(jī)系統(tǒng)的攻擊或是對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊，其目標(biāo)無(wú)非是針對(duì)上面承載的信息而來(lái)的。這些攻擊對(duì)數(shù)據(jù)而言，目標(biāo)實(shí)際上有三個(gè)：截獲秘密數(shù)據(jù)、偽造數(shù)據(jù)或在上述攻擊不能奏效的情況下，破壞數(shù)據(jù)的可用性。數(shù)據(jù)平安的攻擊與防御是信息平安的主要課題，也是本書的重點(diǎn)。對(duì)網(wǎng)絡(luò)攻擊的原因分析1.處理和傳輸數(shù)據(jù)的計(jì)算機(jī)及網(wǎng)絡(luò)有弱點(diǎn)。2.對(duì)數(shù)據(jù)的存儲(chǔ)保護(hù)不當(dāng)。3.對(duì)數(shù)據(jù)的傳輸過(guò)程保護(hù)不夠。1.3.4事務(wù)平安威脅事務(wù)概念介紹：事務(wù)〔transaction〕的概念首先出現(xiàn)在數(shù)據(jù)庫(kù)管理系統(tǒng)中，表示作為一個(gè)整體的一組操作，它們應(yīng)當(dāng)順序地執(zhí)行，僅僅完成一個(gè)操作是無(wú)意義的。而且在一個(gè)事務(wù)全部完成后，甚至遇到系統(tǒng)崩潰的情形，操作結(jié)果不能喪失。系統(tǒng)還必須允許多個(gè)事務(wù)的并行執(zhí)行。實(shí)際上，在幾乎所有的信息系統(tǒng)中事務(wù)都是最根本的概念。例如，在網(wǎng)上轉(zhuǎn)賬協(xié)議中，從一個(gè)賬戶上轉(zhuǎn)出一筆資金，同時(shí)轉(zhuǎn)入另一個(gè)賬戶就是一個(gè)事務(wù)。僅僅完成其中的一個(gè)操作是不允許的。幾乎所有的網(wǎng)絡(luò)應(yīng)用協(xié)議都可以看成是由一個(gè)一個(gè)的事務(wù)組成。1.3.4事務(wù)平安威脅事務(wù)滿足的ACID性質(zhì)原子性〔atomicity〕一致性〔consistency〕孤立性〔isolation〕持續(xù)性〔durability〕一組動(dòng)作要么全部執(zhí)行，要么全部不執(zhí)行一個(gè)應(yīng)用系統(tǒng)可能會(huì)設(shè)置假設(shè)干一致性條件，事務(wù)執(zhí)行后應(yīng)當(dāng)保持一致性當(dāng)兩個(gè)以上的事務(wù)同時(shí)執(zhí)行時(shí)，它們的執(zhí)行的結(jié)果應(yīng)當(dāng)是獨(dú)立的一個(gè)事務(wù)完成后，其結(jié)果不應(yīng)當(dāng)喪失，甚至遇到系統(tǒng)崩潰的情形1.3.4事務(wù)平安威脅對(duì)事務(wù)攻擊的原因分析