读书笔记——计算机安全学(一)—计算机安全概论

计算机安全概论

与安全相关的基本服务（基本安全服务）——使系统得到安全保护而免受威胁。

安全策略——能辨识威胁，并能定义出能够确保系统安全的条件。

安全机制——负责检测和预防攻击，以及从攻击中成功地恢复工作。

假设与信任——指导威胁的辨识，并决定威胁被认识的程度。

分析系统的安全性需要：

1.理解实施安全策略的机制

2.掌握相关的假设与信任的知识

目标：设计出更好的机制和策略，以减少对安全的威胁。

（注意：设计过程中还需要风险分析。在任何系统的安全机制中，人是最薄弱的环节，因此策略和程序中必须考虑人的因素。）

1.基本安全服务

计算机安全建立在保密性、完整性、可用性之上。（在某种特定环境下，对其中的安全服务的解释也是由个体需求、习惯和特定组织的法律决定的）

●保密性是对信息或资源的隐藏。（保密性也适用于数据的存在性）

（对数据进行保密，通过访问控制机制如密码技术，或依赖系统的机制防止信息的非法访问）“需要知道”（need to know）原则？

计算机安全领域中最早的形式化研究工作？

控制失效和控制被旁路？

注意：所有实施保密性的机制都需要来自系统的支持服务。其前提条件是：安全服务可以依赖于内核或其他代理服务来提供正确的数据，因此假设和信任就成为保密机制的基础。

●完整性：指数据或资源的可信度，通尝试用防止非法的或者未经授权的数据改变来表达

完整性。（数据完整性（即信息的内容）和来源完整性（即数据的来源，常称为认证））。

信息来源——可信性和准确性。

完整性机制分为预防机制（阻止未授权或者阻止用未授权的方法改写数据的企图）和检测机制（报告数据的完整性不再可信，不阻止完整性的破坏）

检测机制方法：分析系统事件（用户或系统的行为）来检测出问题或者（更常见的是）通过分析数据本身来查看系统所要求或者期待的约束条件是否依然满足。

处理保密性与处理完整性的差别：

●处理保密性：数据遭到破坏or 没有遭到破坏。

●处理完整性（评价很困难）：数据的正确性和可信性

影响数据的完整性的因素：

◆数据的来源（即如何获取数据及从何处获取数据）

◆数据在到达当前机器前所受到的保护程度

◆数据在当前机器中所收的到的保护程度

注意：依赖于关于数据源的假设以及关于数据源的可信性的假设，这是两个常常被忽视的安全基础。

●可用性：指对信息或资源的期望使用能力。

系统设计经常采用一个统计模型来分析期望的系统使用模式，而且当该统计模型继续有效时，多种机制能确保系统的可用性。

企图破坏系统的可用性称为拒绝服务攻击，这可能是最难检测的攻击。（因为这要求分析者能够判断异常的访问模式是否可以归结于对资源或环境的蓄意操控）

统计模型的本质注定要使得这种判断非常复杂。

2.威胁

威胁分类：

●漏洞，即对信息的非授权访问

●欺骗，即接受虚假数据

●破坏，即中断或妨碍正常操作

●篡夺，即对系统某些部分的非授权操作

嗅探，即对信息的非法拦截，它是某种形式的信息的泄露。嗅探是被动的，即某些实体仅仅是窃听（或读取）消息，或者仅仅浏览文件或系统信息（怎么做到的？）。搭线窃听或被动搭线窃听都是一种监视网络的嗅探形式（称它为搭线窃听，是因为线路构成了网络，在不涉及物理线路时也使用这个术语）。（保密性服务可以对抗这种威胁）

篡改或者更改是对信息的非授权改变。主动搭线窃听为篡夺的一种形式。（完整性服务能对抗这种威胁。）

伪装或电子欺骗，即一个实体被另一个实体假冒，是兼有欺骗和篡夺的一种手段。（完整性服务（在此称为“认证服务”）能对抗这种威胁）。就安全而言，伪装是一种破坏安全的行为，而委托不是。

信源否认，即某实体欺骗性地否认曾发送（或创建）某些信息，是某种形式的欺骗。（完整性机制能应付这种攻击）

信宿否认，即某实体欺骗性地否认曾接收过某些信息或消息。（完整性机制和可用性机制都能够防止这种攻击。）

延迟，即暂时性地阻止某种服务，这是一种篡夺攻击，尽管它能对欺骗起到支持的作用。如果某些实体在等待的认证信息被延迟了，它可能会请求二级服务器提供认证。即使攻击者可能无法伪装成主服务器，但是他可能伪装为二级服务器以提供错误的信息。（可用性机制能够缓解这种威胁。）

拒绝服务，即长时间地阻止服务，是篡夺攻击。常与其他机制一起被用于欺骗。（可用性机制能对抗）。拒绝可能发生在服务的源端（即通过阻止服务器取得完成任务所需的资源），也可能发生在服务器的目的端（即阻断来自服务器的信息），还可能发生在中间路径。

3.策略与机制

安全策略是对允许什么、禁止什么的规定。

安全机制是实施安全策略的方法、工具或者规程。

（特别地，口令是用户的保密特性，任何人都不能记录。）

恢复有两种形式：

●第一种是阻断攻击，并且评估、修复由攻击造成的任何损害。

●第二种恢复方式要求在攻击发生时，系统仍能继续运作。（这类难度大，这种恢复

机制同时利用容错技术和安全技术，一般用于可靠性非常关键的系统）

4.假设与信任

安全要以特定的假设为基础。

策略的设计者始终假设两点：首先，策略准确而无歧义地把系统状态分成“安全”和“非安全”两类状态；第二，安全机制能防止系统进入“非安全”状态。（二者之一是错的，系统就是不安全的）

这两天有本质区别：第一种假设断言策略能够对“安全”系统的组成进行正确的描述。

第二种假设认为安全策略可以由安全机制实施。

安全机制分为：安全的、精确的、宽泛的（实际情况中，安全机制为宽泛的）

5.安全保障

系统可信度判断的依据：系统的规范、设计和实现。这方面的信任成为安全保障。

1）规范：对系统所期望功能的（形式化或非形式化的）描述。

2）设计：系统设计将规范转换成实现该规范的系统构件。（通常系统的脆弱性原因是：