计算机与网络安全概念

第一章 计算机与网络安全概念

1 计算机安全

计算机安全：对于一个自动化的信息系统，采取保护措施确保信息系统（包括硬件、软件、固件、信息和通信）资源的完整性、可用性和保密性。

计算机安全的最核心三个关键目标为：保密性Confidentiality、完整性Integrity、可用性Availability ，三者成为CIA三元组

1. 保密性

数据保密性：确保隐私或是秘密信息不向非授权者泄漏，也不被非授权者使用（获取到明文）

隐私性：确保个人能够控制或确定与其自身相关的那些信息可以被收集的、被保存的，这些信息可以由谁来公开或是向谁公开

1. 完整性

数据完整性：确保信息和程序能够以特定和授权的方式改变

系统完整性：确保系统以一种正常方式来执行预定的功能，免于有意或是无意的非授权操纵

1. 可用性

确保系统能够工作迅速，对授权用户不能拒绝服务

三元组体现了数据、信息和计算服务的基本安全目标。

在某些安全领域还有另外两个概念：

1. 真实性

一个实体是真实性的、可被验证的和可被信任的特性。对于传输信息来说，信息和信息的来源都是正确的。也就是说能够验证那个用户是否是他声称的那个人，以及系统的每个输入是否均来自可信任的信源

1. 可追溯性要求实体的行为可以位移的追溯到该实体，这一属性支持不可否认性、阻止、故障隔离、入侵检测和预防、时候恢复、以及法律诉讼。因为无法得到真正安全的系统，我们必须能够追查到对安全泄漏负有责任的一方。系统必须能保留他们的活动记录，以及允许时候审计分析，进而跟踪安全事件或解决争执。

2 OSI安全架构

ITU-T推荐X.800，即OSI安全框架，提供安全的一种组织方法。主要关注：安全攻击、安全机制和安全服务：

1. 安全攻击

任何危机信息安全的行为

1. 安全机制

用来检测、阻止攻击或从供给状态恢复到正常状态的过程

1. 安全服务

加强数据处理系统和信息传输的安全性的一种处理过程或通信服务，目的在于利用一种或多种安全机制进行反攻击

威胁：破坏安全的潜在可能，在环境、能力、行为你或时间允许的情况下，它们会破坏，造成安全，也就是说威胁是脆弱被利用而带来的危险。

攻击：对系统安全的攻击，它来源于一种具有智能的威胁，级又以违反安全服务和侵犯系统安全策略（方法或是技术方面）的智能行为。

2.1 安全攻击

安全攻击分为被动攻击和主动攻击。

被动攻击试图获取或利用系统的信息，但不影响系统资源。主动攻击则试图改变系统资源或影响系统运行。

被动攻击的特性是对传输进行窃听和检测。攻击者的目标是获取传输的信息。信息内容的泄漏和流量分析都属于被动攻击。

流量分析：当我们对信息进行加密，那么即使窃听到数据，也无法获取明文，但是仍然可以对这些数据进行分析，获得传输消息的频率和长度，以及通信主机的身份和位置，从而判断通信的某些心智。

被动攻击不涉及对数据的修改，因此很难察觉。通常采用加密的方式来阻止被动攻击。对于被动攻击重点是预防而非检测（很难检测出来）

主动攻击包括对数据流的修改或伪造数据流分为：伪装、重放、消息修改和拒绝服务。

伪装：指某实体假装为其他实体。伪装攻击还包含其他形式的主动攻击。例如，截获认证信息，在认证信息完成合法验证以后进行重放。无权限的实体就可以通过冒充有权限的实体获得额外的权限

重放：指攻击者未经授权将截获的信息再次重放。

消息修改：值未经授权地修改合法消息的一部分，或延时消息的传输（没修改内容），或改变消息的顺序。

拒绝服务：组织或禁止对通信设备的正常使用或是管理。针对具体的目标。拒绝服务的另一种形式是破坏整个网络，是网络是小，或是网络过载以降低其性能。

被动攻击难以检测但是可以预防，但是主动攻击难以绝对预防，所以主动攻击终点在于：检测，并从古攻击造成的破坏或延迟中恢复过来。

2.2 安全服务

X.800 将安全服务定义为：在通信开放的系统中，为系统或数据传输提供足够安全的协议层服务。

RFC4949定义为：安全服务是一种有系统提供的对系统资源进行特殊保护的处理或是通信服务。

安全服务通过安全机制来实现安全策略。

安全服务分为5大类，14个具体的特定服务：

认证

保证通信的实体是它所声称的实体

认证服务用于保证通信的完整性。在单条消息中，认证服务能够向接收方保证确实来自其所声称的发送方。对于正在进行的通信，会涉及发送方和接收方两个主体。

1. 首先，在连接的初始化阶段，认证服务保证两个实体是可信的，也就是说，每个实体都是他们所声称的实体

2. 其次，认证服务必须保证该链接不受第三方的干涉（干涉：指的是第三方能够伪装成两个合法主体中的一个进行非授权传输或接受）

3. 同等实体认证：用于逻辑连接时为连接的实体的身份提供可信性

4. 数据源认证：在无连接传输时，保证收到的信息来源是声称的来源

​

访问控制

阻止对资源的非授权使用，限制和控制通过通信连接对主机引用进行访问的一种能力。因此每个试图获得访问控制的实体必须被识别和认证后，才能获取相应的权限。这项服务控制谁能访问资源，在什么条件下访问，访问这些资源用于做什么

数据保密性

保护数据免于非授权泄密，主要是被动攻击

1. 连接保密性：保护依次连接中所有用户数据
2. 无连接保密性：保护单个数据块中的所有用户数据
3. 选择与保密性：对一次连接或单个数据块中指定的数据部分提供保密性
4. 流量保密性：保护那些可以功过观测流量而获得的信息

数据完整性

保证收到的数据确实是授权实体发出的数据（未被修改、插入、删除、或是重播）

完整性服务可分为：用于信息流，单条消息或是消息指定部分。

或是分为可恢复服务和无恢复服务。完整性服务和主动攻击有关，因此关心检测和恢复。

1. 具有恢复功能的连接完整性：提供一次连接中所有用户的数据完整性。检测整个数据序列内存在的插入、删除、或重播、并试图恢复

2. 无恢复的连接完整性：同上，但仅仅提供检测，不提供恢复

3. 选择域连接完整性：提供一次传输中单个数据块内用户数据的指定部分的完整性，并判断指定部分是否有修改、插入、删除或是重播

4. 无连接的完整性：为单个无连接数据块提供完整性保护，并检测是否有数据修改。另外秃顶有限的重播检测

5. 选择域无连接完整性：为单个无连接数据块内指定域提供完整性保护，哦判断制定与是否被修改

​

不可否认性

防止整个或部分通信过程中，任一通信实体否认的行为

源不可否认性：证明消息是有特定方发出的

宿不可否认性：真名消息被特性方收到

2.3 安全机制

安全机制分为两类：

特定协议层的实现

1. 加密
2. 数字签名：防止伪造
3. 访问控制
4. 数据完整性
5. 认证交换
6. 流量填充：阻止流量分析
7. 路由控制
8. 公证

普通安全机制

1. 可信功能
2. 安全标签
3. 事件检测
4. 安全审计更总
5. 安全恢复

X.800将加密机制机制区分：

1. 可以加密机制：数据可以加密和解密
2. 不可以加密机制：用户数字签名和消息认证

3 基本安全设计准则

安全设计准则：

1. 机制的经济性：指嵌入在硬件和软件中的安全机制赢设计的尽量简单、短小。设计越复杂，就弱点就难以被发现，漏洞也可能越多。

也是最难遵循的准则

1. 故障安全默认：指访问决策基于访问的条件。在安全机制的设计或实现中出现错误时，应拒绝访问许可。以便检测到错误。

2. 完整的监察：必须检查访问机制中的每一个访问，不能依赖从缓存中检索得到的访问决策。也就是说应该实时的读取全权限

3. 开放的设计：设计应该开放

4. 权限分离：需要多个权限属性来访问一个受限资源时的准则。适用于任何需要将程序划分为多个部分，每个部分被授予不同的权限，减轻计算机收到攻击时的潜在损害

5. 最小权限：每个进程和用户应该执行该任务所需要的最小权限集来进行操作。

6. 最小共同机制：把不同用户共享的功能设计的最小，以便提供共同的安全性。

7. 心理接受度：满足授权访问的用户需求的同时，不应该过度的干预用户的工作。

8. 隔离

9. 封装：基于面型对象的特定形式的隔离。

10. 模块化：指将安全功能作为独立的模块开发，机制设计和实现的模块化。

11. 分层：使用多个叠加的保护方法来保护信息系统的人员、技术和操作。任何一层失败，保护依然有效。

12. 最小意外：程序或用户结构对意外事故的处理响应最小化。（也就是说，对用户透明的感觉）

4 攻击面与攻击树

攻击面是有系统中一些列可访问且可利用的漏洞组成。主要分为：

1. 网络攻击面：指的是企业网络、广域网或是互联网。包含其中的王阔协议的漏洞：及拒绝服务供给、终端通信链路等
2. 软件攻击面：设计应用程序、工具包或操作系统漏洞。
3. 人类攻击面：主要是系统人员或是外部人员造成的漏洞

攻击树是采分支化、层次化表示利用安全漏洞的可能技术集合的一种数据结构。

根节点：攻击目的。第二层是攻击的目标，再往下则是攻击的方式，等。

深度越深则越具体。因此叶节点是具体的攻击方式。

5 密码算法

密码算法与协议分为四个领域：

1. 对称加密

加密任由大小的数据块或是数据流的内容，包括消息、文件、加密秘钥和口令

1. 非对称加密

加密晓得数据块、如加密秘钥或数字签名中使用的散列函数值

1. 数据完整性算法

保护数据块的内容不被修改（不能保护，只能是被修改以后可以检测出来）

1. 认证协议

基于密码算法设计的认证方案，用来认证实体的身份