网络和计算机安全.

8
安全问题的重要性
• 系统原来越不安全 • 系统的安全性取决于不同的方面 • 本课程的主要着力点在于安全软件的设计 问题上讲解安全的原理
9
什么是安全
10
安全的概念
• • • • • • 橘皮书 C. I. A. 信息安全领域的划分 安全的矛盾性 安全定义的发展 影响安全的技术因素
11
橘皮书
• 橘皮书的历史 • 橘皮书定义了三类、六个基本需求
19
机密性，完整性和可用性及其之间的关系
机密性
安全 完整性 可用性
20
C, I, A分类
– 小李拷贝了小王的作业 – 小李让小王的计算机崩溃了 – 小李将小王的支票从100元修改到1000元 – 小李冒用死去的老张的签名 – 小李注册了一个域名www.fudan.org，并拒绝 复旦大学购买并且使用这个域名 – 小李得到小王的信用卡卡号并让信用卡公司删 除这个卡，然后重新办理了新的卡，并使用原 有卡的信用 – 小李哄骗小王计算机的IP检测，得到了访问小 王计算机的访问许可
• 首先，请求端（客户端）发送一个包含SYN标志的TCP报文，SYN 即同步（Synchronize），同步报文会指明客户端使用的端口以及 TCP连接的初始序号； • 第二步，服务器在收到客户端的SYN报文后，将返回一个SYN+ACK 的报文，表示客户端的请求被接受，同时TCP序号被加一，ACK即 确认（Acknowledgement）。 • 第三步，客户端也返回一个确认报文ACK给服务器端，同样TCP序 列号被加一，到此一个TCP连接完成。 • 以上的连接过程在TCP协议中被称为三次握手（Three-way Handshake）。
– – – – – – – – – – 访问控制系统与方法论 电信与网络安全 安全管理实践 应用与系统开发安全 密码学 安全结构与模型 操作安全 业务持续性计划与灾难恢复计划 法律、调查与道德 物理安全
22
安全的矛盾性
• 警察与小偷 • 银行和抢匪 • 安全的矛盾性不可避免
23
安全定义的发展
• • • • 1960－1970：通信安全 1970－1980：计算机安全 1980－1990：信息安全 1990－ ：信息保障
– DOS: Denial Of Service
16
可用性破坏案例
• SYN Flood的基本原理
– SYN Flood是当前最流行的DoS（拒绝服务攻击）与DDoS（分 布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷， 发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽 （CPU满负荷或内存不足）的攻击方式。 – 要明白这种攻击的基本原理，还是要从TCP连接建立的过程开始 说起：TCP与UDP不同，它是基于连接的，也就是说：为了在服 务端和客户端之间传送TCP数据，必须先建立一个虚拟电路，也 就是TCP连接，建立TCP连接的标准过程是这样的：
网络和计算机安全
信息安全概述
1
Internet中的信息安全
• Internet中的信息系统越来越不安全
– 高度互联的Internet – Internet安全性问题的根源是信任假设的改变 （ATM） – World Wide Web和Wild and Woolly West (M.Jakobsson和M.Yung ) – 信用卡泄密事件
对威胁的分析的系统化方法称为威胁建模
•
威胁建模是设计安全信息系统的第一步，也是 最为重要的一环
27
威胁建模的迭代过程图解
缓
和
方 案
分解 确 定
应
程 用
序
威
胁
分级
威
胁
28
威胁的分类 (Shirey)
• 泄密（Disclosure），也即未经授权的访问， 是对信息机密性的破坏； • 欺骗（Deception），也即收到错误的数据； • 拦截（Disruption），也即中断或者阻止正 确的操作； • 篡改（Usurpation），也即非授权的控制系 统的某些部分。
17
可用性破坏案例 (续)
– 问题就出在TCP连接的三次握手中，假设一个用户向服务器发送 了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应 答报文后是无法收到客户端的ACK报文的（第三次握手无法完 成），这种情况下服务器端一般会重试（再次发送SYN+ACK给 客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的 长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级 （大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线 程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者 大量模拟这种情况，服务器端将为了维护一个非常大的半连接列 表而消耗非常多的资源--数以万计的半连接，即使是简单的保存 并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个 列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP 栈不够强大，最后的结果往往是堆栈溢出崩溃--即使服务器端的 系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请 求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常 之小），此时从正常客户的角度看来，服务器失去响应，这种情 况我们称作：服务器端受到了SYN Flood攻击（SYN洪水攻击）。
24
影响安全的技术因素
• 网络因素 • 系统复杂性因素 • 系统可扩展因素
25
安全策略和安全机制概述
26
威胁与威胁建模
•
•
威胁
– – – – – – – – 威胁是对信息安全的某种破坏 成立威胁建模小组 分解应用程序 确定系统所面临的威胁 以风险递减的原则对威胁排序 选择应付威胁的方法 选择缓和威胁的技术 从确定下来的技术中选择适当的方法
信用卡事件图例
4
思考题
• • • • 本次泄密事件的泄密机制是怎么样的？ 本次泄密事件的主要原因是什么？ 如何防范这种泄密？ 这种信用卡盗窃事件破坏了（信用卡）信 息的什么属性？
5
CERT报告的安全性问题
• CERT (Computer Emergency Response Team) 报告的安全性问题总体呈现上升趋 势 • 分为两个报告：
12
信息安全的定义
• 信息安全是一个十分广泛而又复杂的话题 • 美国国家电信和信息安全委员会 (NSTISSC)
– 信息安全是对信息、系统以及使用、存储和传输信息 的硬件的保护。但是要保护信息及其相关系统，诸如 策略、认识、培训和教育以及技术手段都是必要的。
• 微软公司 M. Howard, D. LeBlance
21
信息安全领域的划分
• ISC2 (International Information Systems Security Certification Consortium) 组织的权威认证CISSP (Certificated Information System Security Professional) 把信息安全划分成十个知识体系 (CBK: Common Body of Knowledge) ：http://www.isc2.org
– 一个安全的产品应该是指在信息所有者或者系统管理 员控制下能够保护客户数据的机密性、完整性和可用 性，能够保护资源处理过程的完整性和有效性。
• 机密性 (Confidentiality)、完整性 (Integrity) 和 可用性 (Availability) 的组合
13
Baidu Nhomakorabea密性
• 机密性是指保证计算机相关的有价值财产 （信息）只能被授权过的用户所访问。 • 机密性的保护
2
案例
• 美4000万信用卡泄密，波及"中国卡"
– 2005年6月21日报道，美国4000万信用卡资料泄露的事件最终还是波及到 了中国。根据万事达（Mastercard）昨日发布的澄清声明，被波及的中 国万事达信用卡数量为5560张以内。Visa国际则表示，相关的数据正在 统计中，将在稍晚发布。因为这次事件中美国所有的信用卡品牌均被波及， 万事达卡只占“外泄卡”总数的35%，所以中国“外泄卡” 总数很可 能过万。 – 本次遭到黑客入侵的公司，是在美专为银行、会员机构、特约商店处理卡 片交易资料之外包厂商CardSystems。此公司在美负责处理大约105000 家中小企业业务，目前并未处理中国内地银行的信用卡业务。 – 但由于其代理的万事达和Visa两大全球信用卡公司，均已在中国开展业务 多年。所以，万事达卡的“外泄卡”中，也有0.04%（大约5600张）在中 国内地，0.07%（大约10000张）在香港。万事达卡表示，侦测发现此次 事件之后，立即主动发出预警通知所有银行、金融机构，呼吁所有单位须 更加小心保护自身权益。另外，万事达卡国际组织也已彻底要求 CardSystems限期改善，立即补强安全漏洞。Visa国际表示将尽快发布 紧急声明。Visa国际中国区总经理熊安平昨日在接受记者独家专访时表示， – Visa国际定期在全球收集有关欺诈嫌疑的商户，还会针对珠宝店之类高风 险的商户实行特别监控，并针对网上交易等实行“保证金”制度，确保持 卡人权益不受侵害。未受波及的中国银联也不敢掉以轻心。因为在国内拥 有最大的银行卡网络，且与CardSystems的业务有部分的重合，中国银 3 联发言人表示将很快发布对于此事件的官方声明。
• 可是上述的两种方法只能对付比较原始的SYN Flood攻击， 缩短SYN Timeout时间仅在对方攻击频度不高的情况下生 效，SYN Cookie更依赖于对方使用真实的IP地址，如果 攻击者以数万/秒的速度发送SYN报文，同时利用 SOCK_RAW随机改写IP报文中的源地址，以上的方法将 毫无用武之地。
– 认证和访问控制 – 加密
14
完整性
• 完整性是指这些计算机相关的有价值财产 （信息）只能被授权过的用户所修改，或 者通过授权过的过程所修改。 • 完整性的保护
– 认证和访问控制 – 加密
15
可用性
• 可用性是指这些有价值的财产（信息）在 需要的时候必须能够被授权的用户访问或 者修改。 • 可用性的破坏
– 报告的漏洞 – 安全事件
6
1995-2004年报告的漏洞数目统计 (CERT)
报告的漏洞 5000 4000 3000 2000 1000 0
95
96
97
98
99
00
01
02
03 20
19
19
19
19
19
20
20
20
20
04
7
1988-2003年报告的安全事件统计 (CERT)
安全事件
160000 140000 120000 100000 80000 60000 40000 20000 0 1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003
– 第一类：策略
• 需求1 － 安全策略 (Security Policy) • 需求2 － 标定 (Marking)
– 第二类：审计
• 需求3 － 可标识 (Identification) • 需求4 － 可审计 (Accountability)
– 第三类：保障
• 需求5 － 保障 (Assurance) • 需求6 － 持续防护 (Continuous Protection)
18
可用性破坏案例 (续)
• 从防御角度来说，有几种简单的解决方法：
– 第一种是缩短SYN Timeout时间，由于SYN Flood攻击的效果取 决于服务器上保持的SYN半连接数，这个值=SYN攻击的频度 x SYN Timeout，所以通过缩短从接收到SYN报文到确定这个报 文无效并丢弃改连接的时间，例如设置为20秒以下（过低的SYN Timeout设置可能会影响客户的正常访问），可以成倍的降低服务 器的负荷。 – 第二种方法是设置SYN Cookie，就是给每一个请求连接的IP地址 分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文， 就认定是受到了攻击，以后从这个IP地址来的包会被丢弃。
29
安全策略
• 安全策略（Security Policy） 就是指定系 统允许或者禁止用户做什么的一种陈述 • 表述系统的安全策略
– 自然语言 – 数学表示 – 安全策略语言
30
XACML
• 该策略表示了任何具有med.example.com的email帐号的用户可以对 任何资源做任何操作。