計算機安全學習筆記（1）——概述

計算機安全學習筆記（1）——概述

一、計算機安全：爲自動化信息系統提供的保護，目標是保持信息系統資源（包括硬件、軟件、固件、信息、數據和電信）的完整性、可用性、機密性。

機密性（confidentiality）：（1）數據機密性；（2）隱私性。
完整性（integrity）：（1）數據完整性；（2）系統完整性。
可用性（availability）：確保系統可以及時響應，而且不能拒絕受權用戶的服務請求。
這三個概念造成了常常提到的CIA三元組（CIA triad）。

二、安全缺失的定義：

• 機密性：保持對信息訪問和披露的限制，包括對我的隱私和專有信息保護的措施。機密性缺失是指非受權的信息披露。
• 完整性：防範不正當的信息修改和破壞，包括保證信息的抗抵賴性和真實性。完整性的缺失是指非受權的信息修改和破壞。
• 可用性：確保及時可靠地訪問和使用信息。可用性缺失是指對信息或信息系統的訪問和使用的破壞。

三、其他有關計算機安全描述的概念
- 真實性：真實性是一種可以被驗證和信任的表示真是狀況或正確程度的屬性，它使得傳輸、消息和消息源的有效性可以被充分相信。
- 可說明性：安全目標要求實體的動做可以被惟一地追蹤。

四、咱們將存在安全違規（即機密性、完整性或可用性缺失）的機構或我的根據其所形成的影響分爲三個級別：低級、中級、高級。

五、計算機系統資源（system resource）或資產（asset）

• 硬件：包括計算機系統和其餘數據處理、數據存儲和數據通訊設備。
• 軟件：包括操做系統、系統實用程序和應用程序。
• 數據：包括文件和數據庫，也包括與安全相關的數據，好比口令文件。
• 通訊設施和網絡：局域網和廣域網的通訊線路、網橋、路由器，等等。

在安全語境中，咱們關心的是系統資源的脆弱性（vulnerability）。關於有關計算機系統或網絡資產脆弱性一般的分類：

• 系統資源可能被惡意損壞（corrupted）。
• 系統資源可能被泄露（leaky）。
• 系統資源可能變得不可用（unavailable）或很是慢。

六、計算機安全術語

• 敵手（威脅代理）（adversary（threat agent））
• 攻擊（attack）
• 對策（countermeasure）
• 風險（risk）
• 安全策略（security policy）
• 系統資源（資產）（system resource（asset））
• 威脅（threat）
• 脆弱性（vulnerability）
  

七、攻擊
攻擊是被實施的威脅（威脅行爲），若是成功，將會致使不指望的安全侵害或威脅後果。執行攻擊的主體被稱爲攻擊者或者威脅主體（threat agent）。

攻擊分類：

• 主動攻擊（active attack）：試圖改變系統資源或影響其運行。
• 被動攻擊（passive attack）：試圖從系統中學習或利用信息，但不影響系統資源。

也可根據攻擊的發起位置對攻擊進行分類：

• 內部攻擊（inside attack）：由安全邊界內部的實體（「內部人」）發起的攻擊。內部人是指已被受權訪問系統資源，但以未經受權方許可的方式使用資源的內部實體。
• 外部攻擊（outside attack）：由系統安全邊界外部的非受權用戶或非法使用者（「外部人」）發起的攻擊。

八、威脅、攻擊和資產
（1）威脅和攻擊

（2）威脅與資產

九、基本安全設計原則

• 經濟機制（economy of mechanism）原則
• 安全缺省設置（fail-safe default）原則
• 絕對中介（complete mediation）原則
• 開放式設計（open design）原則
• 特權分離（separation of privilege）原則
• 最小特權（least privilege）原則
• 最小共用機制（least common mechanism）原則
• 心理可接受性（psychological acceptability）原則
• 隔離（isolation）原則
• 封裝（encapsulation）原則
• 模塊化（modularity）原則
• 分層（layering）原則
• 最小驚動（least astonishment）原則

十、攻擊面和攻擊樹
（1）攻擊面
攻擊面是由系統中可達到的和可被利用的脆弱點構成的。
分類：

• 網絡攻擊面
• 軟件攻擊面
• 人爲攻擊面

下圖顯示了分別使用分層技術、深度防護和減小攻擊面在下降風險中的互補關係。

（2）攻擊樹
攻擊樹是一個分支型的、層次化的數據結構，表示了一系列潛在技術，這些技術可利用安全漏洞進行攻擊。做爲攻擊目標的安全事件是這個樹的根節點，攻擊者能夠迭代地、遞增地達到這個目標的途徑就是這棵樹的分支和子節點。每個子節點都定義了一個子目標，每個子目標均可能有一系列的進一步的子目標，等等。從根節點沿着路徑向外延伸的最終節點，也就是葉子節點，表明了發起一個攻擊的不一樣方式。除了葉子節點外的每個節點，或者是與節點（AND-node）或者是或節點（OR-node）。若想達成與節點表示的目標，則該節點的全部子節點所表明的子目標都要求被實現；若想達成或節點表示的目標，則只需完成其中至少一個子目標便可。分支能夠用表明難度、代價或其餘攻擊屬性的值標註，以便與可選擇的攻擊進行比較。
下圖爲一個網銀認證應用的攻擊樹分析例子。

十一、計算機安全策略
[LAMP04]提出的全方位的安全策略涉及如下三個方面：

• 規範/策略（specification/policy）:安全方案應該要實現什麼？
• 實施/機制(implementation/mechanism):安全策略是如何實現的？
• 正確性/保證(correctness/assurance):安全策略是否確實起做用了？

在開發系統策略時，安全管理者須要考慮以下幾個因素：

• 須要保護的資產的價值
• 系統的脆弱性
• 潛在的威脅和可能的攻擊

進一步的講，管理者必須對下列問題進行權衡：

• 易用性與安全（ease of use versus security）
• 安全成本與失效 - 恢復成本（cost of security versus cost of failure and recovery）

安全實施涉及四個互爲補充的行動步驟：

• 預防（prevention）
• 檢測（detection）
• 響應（response）
• 恢復（recovery）

保證和評估：
NIST計算機安全手[NIST95]定義保證爲：一方對技術上和操做上的安全措施按照預期方式正常工做來保護系統及其處理的信息的信任程度。這包括系統設計和系統實現。所以，保證處理的問題是：「安全系統的設計是否知足要求？」和「安全系統的實現是否符合規範？」
評估（evaluation）是依據某準則檢查計算機產品或系統的過程。評估包括測試，可能還包括形式化分析或數學技術。該領域的中心工做是開發可以應用到任何安全系統（包括安全服務和機制）並對產品比較提供普遍支持的評估標準。