網(wǎng)絡(luò)和計(jì)算機(jī)安全信息安全概述1網(wǎng)絡(luò)和計(jì)算機(jī)安全信息安全概述1Internet中的信息安全I(xiàn)nternet中的信息系統(tǒng)越來越不安全高度互聯(lián)的InternetInternet安全性問題的根源是信任假設(shè)的改變（ATM）WorldWideWeb和WildandWoollyWest(M.Jakobsson和M.Yung)信用卡泄密事件2Internet中的信息安全I(xiàn)nternet中的信息系統(tǒng)越來案例美4000萬信用卡泄密，波及"中國(guó)卡"2005年6月21日?qǐng)?bào)道，美國(guó)4000萬信用卡資料泄露的事件最終還是波及到了中國(guó)。根據(jù)萬事達(dá)（Mastercard）昨日發(fā)布的澄清聲明，被波及的中國(guó)萬事達(dá)信用卡數(shù)量為5560張以內(nèi)。Visa國(guó)際則表示，相關(guān)的數(shù)據(jù)正在統(tǒng)計(jì)中，將在稍晚發(fā)布。因?yàn)檫@次事件中美國(guó)所有的信用卡品牌均被波及，萬事達(dá)卡只占“外泄卡”總數(shù)的35%，所以中國(guó)“外泄卡”總數(shù)很可能過萬。本次遭到黑客入侵的公司，是在美專為銀行、會(huì)員機(jī)構(gòu)、特約商店處理卡片交易資料之外包廠商CardSystems。此公司在美負(fù)責(zé)處理大約105000家中小企業(yè)業(yè)務(wù)，目前并未處理中國(guó)內(nèi)地銀行的信用卡業(yè)務(wù)。但由于其代理的萬事達(dá)和Visa兩大全球信用卡公司，均已在中國(guó)開展業(yè)務(wù)多年。所以，萬事達(dá)卡的“外泄卡”中，也有0.04%（大約5600張）在中國(guó)內(nèi)地，0.07%（大約10000張）在香港。萬事達(dá)卡表示，偵測(cè)發(fā)現(xiàn)此次事件之后，立即主動(dòng)發(fā)出預(yù)警通知所有銀行、金融機(jī)構(gòu)，呼吁所有單位須更加小心保護(hù)自身權(quán)益。另外，萬事達(dá)卡國(guó)際組織也已徹底要求CardSystems限期改善，立即補(bǔ)強(qiáng)安全漏洞。Visa國(guó)際表示將盡快發(fā)布緊急聲明。Visa國(guó)際中國(guó)區(qū)總經(jīng)理熊安平昨日在接受記者獨(dú)家專訪時(shí)表示，Visa國(guó)際定期在全球收集有關(guān)欺詐嫌疑的商戶，還會(huì)針對(duì)珠寶店之類高風(fēng)險(xiǎn)的商戶實(shí)行特別監(jiān)控，并針對(duì)網(wǎng)上交易等實(shí)行“保證金”制度，確保持卡人權(quán)益不受侵害。未受波及的中國(guó)銀聯(lián)也不敢掉以輕心。因?yàn)樵趪?guó)內(nèi)擁有最大的銀行卡網(wǎng)絡(luò)，且與CardSystems的業(yè)務(wù)有部分的重合，中國(guó)銀聯(lián)發(fā)言人表示將很快發(fā)布對(duì)于此事件的官方聲明。3案例美4000萬信用卡泄密，波及"中國(guó)卡"3信用卡事件圖例4信用卡事件圖例4思考題本次泄密事件的泄密機(jī)制是怎么樣的？本次泄密事件的主要原因是什么？如何防范這種泄密？這種信用卡盜竊事件破壞了（信用卡）信息的什么屬性？5思考題本次泄密事件的泄密機(jī)制是怎么樣的？5CERT報(bào)告的安全性問題CERT(ComputerEmergencyResponseTeam)報(bào)告的安全性問題總體呈現(xiàn)上升趨勢(shì)分為兩個(gè)報(bào)告：報(bào)告的漏洞安全事件6CERT報(bào)告的安全性問題CERT(ComputerEme1995-2004年報(bào)告的漏洞數(shù)目統(tǒng)計(jì)(CERT)

71995-2004年報(bào)告的漏洞數(shù)目統(tǒng)計(jì)(CERT)71988-2003年報(bào)告的安全事件統(tǒng)計(jì)(CERT)

安全事件020000400006000080000100000120000140000160000198819891990199119921993199419951996199719981999200020012002200381988-2003年報(bào)告的安全事件統(tǒng)計(jì)(CERT)安全事安全問題的重要性系統(tǒng)原來越不安全系統(tǒng)的安全性取決于不同的方面本課程的主要著力點(diǎn)在于安全軟件的設(shè)計(jì)問題上講解安全的原理9安全問題的重要性系統(tǒng)原來越不安全9什么是安全10什么是安全10安全的概念橘皮書C.I.A.信息安全領(lǐng)域的劃分安全的矛盾性安全定義的發(fā)展影響安全的技術(shù)因素11安全的概念橘皮書11橘皮書橘皮書的歷史橘皮書定義了三類、六個(gè)基本需求第一類：策略需求1－安全策略(SecurityPolicy)

需求2－標(biāo)定(Marking)

第二類：審計(jì)需求3－可標(biāo)識(shí)(Identification)

需求4－可審計(jì)(Accountability)

第三類：保障需求5－保障(Assurance)

需求6－持續(xù)防護(hù)(ContinuousProtection)

12橘皮書橘皮書的歷史12信息安全的定義信息安全是一個(gè)十分廣泛而又復(fù)雜的話題美國(guó)國(guó)家電信和信息安全委員會(huì)(NSTISSC)信息安全是對(duì)信息、系統(tǒng)以及使用、存儲(chǔ)和傳輸信息的硬件的保護(hù)。但是要保護(hù)信息及其相關(guān)系統(tǒng)，諸如策略、認(rèn)識(shí)、培訓(xùn)和教育以及技術(shù)手段都是必要的。微軟公司M.Howard,D.LeBlance一個(gè)安全的產(chǎn)品應(yīng)該是指在信息所有者或者系統(tǒng)管理員控制下能夠保護(hù)客戶數(shù)據(jù)的機(jī)密性、完整性和可用性，能夠保護(hù)資源處理過程的完整性和有效性。機(jī)密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的組合13信息安全的定義信息安全是一個(gè)十分廣泛而又復(fù)雜的話題13機(jī)密性機(jī)密性是指保證計(jì)算機(jī)相關(guān)的有價(jià)值財(cái)產(chǎn)（信息）只能被授權(quán)過的用戶所訪問。機(jī)密性的保護(hù)認(rèn)證和訪問控制加密14機(jī)密性機(jī)密性是指保證計(jì)算機(jī)相關(guān)的有價(jià)值財(cái)產(chǎn)（信息）只能被授權(quán)完整性完整性是指這些計(jì)算機(jī)相關(guān)的有價(jià)值財(cái)產(chǎn)（信息）只能被授權(quán)過的用戶所修改，或者通過授權(quán)過的過程所修改。完整性的保護(hù)認(rèn)證和訪問控制加密15完整性完整性是指這些計(jì)算機(jī)相關(guān)的有價(jià)值財(cái)產(chǎn)（信息）只能被授權(quán)可用性可用性是指這些有價(jià)值的財(cái)產(chǎn)（信息）在需要的時(shí)候必須能夠被授權(quán)的用戶訪問或者修改?？捎眯缘钠茐腄OS:DenialOfService16可用性可用性是指這些有價(jià)值的財(cái)產(chǎn)（信息）在需要的時(shí)候必須能夠可用性破壞案例SYNFlood的基本原理SYNFlood是當(dāng)前最流行的DoS（拒絕服務(wù)攻擊）與DDoS（分布式拒絕服務(wù)攻擊）的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請(qǐng)求，從而使得被攻擊方資源耗盡（CPU滿負(fù)荷或內(nèi)存不足）的攻擊方式。要明白這種攻擊的基本原理，還是要從TCP連接建立的過程開始說起：TCP與UDP不同，它是基于連接的，也就是說：為了在服務(wù)端和客戶端之間傳送TCP數(shù)據(jù)，必須先建立一個(gè)虛擬電路，也就是TCP連接，建立TCP連接的標(biāo)準(zhǔn)過程是這樣的：首先，請(qǐng)求端（客戶端）發(fā)送一個(gè)包含SYN標(biāo)志的TCP報(bào)文，SYN即同步（Synchronize），同步報(bào)文會(huì)指明客戶端使用的端口以及TCP連接的初始序號(hào)；第二步，服務(wù)器在收到客戶端的SYN報(bào)文后，將返回一個(gè)SYN+ACK的報(bào)文，表示客戶端的請(qǐng)求被接受，同時(shí)TCP序號(hào)被加一，ACK即確認(rèn)（Acknowledgement）。第三步，客戶端也返回一個(gè)確認(rèn)報(bào)文ACK給服務(wù)器端，同樣TCP序列號(hào)被加一，到此一個(gè)TCP連接完成。以上的連接過程在TCP協(xié)議中被稱為三次握手（Three-wayHandshake）。17可用性破壞案例SYNFlood的基本原理17可用性破壞案例(續(xù))問題就出在TCP連接的三次握手中，假設(shè)一個(gè)用戶向服務(wù)器發(fā)送了SYN報(bào)文后突然死機(jī)或掉線，那么服務(wù)器在發(fā)出SYN+ACK應(yīng)答報(bào)文后是無法收到客戶端的ACK報(bào)文的（第三次握手無法完成），這種情況下服務(wù)器端一般會(huì)重試（再次發(fā)送SYN+ACK給客戶端）并等待一段時(shí)間后丟棄這個(gè)未完成的連接，這段時(shí)間的長(zhǎng)度我們稱為SYNTimeout，一般來說這個(gè)時(shí)間是分鐘的數(shù)量級(jí)（大約為30秒-2分鐘）；一個(gè)用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個(gè)線程等待1分鐘并不是什么很大的問題，但如果有一個(gè)惡意的攻擊者大量模擬這種情況，服務(wù)器端將為了維護(hù)一個(gè)非常大的半連接列表而消耗非常多的資源--數(shù)以萬計(jì)的半連接，即使是簡(jiǎn)單的保存并遍歷也會(huì)消耗非常多的CPU時(shí)間和內(nèi)存，何況還要不斷對(duì)這個(gè)列表中的IP進(jìn)行SYN+ACK的重試。實(shí)際上如果服務(wù)器的TCP/IP棧不夠強(qiáng)大，最后的結(jié)果往往是堆棧溢出崩潰--即使服務(wù)器端的系統(tǒng)足夠強(qiáng)大，服務(wù)器端也將忙于處理攻擊者偽造的TCP連接請(qǐng)求而無暇理睬客戶的正常請(qǐng)求（畢竟客戶端的正常請(qǐng)求比率非常之?。?，此時(shí)從正?？蛻舻慕嵌瓤磥?，服務(wù)器失去響應(yīng)，這種情況我們稱作：服務(wù)器端受到了SYNFlood攻擊（SYN洪水攻擊）。18可用性破壞案例(續(xù))問題就出在TCP連接的三次握手中，假設(shè)可用性破壞案例(續(xù))從防御角度來說，有幾種簡(jiǎn)單的解決方法：第一種是縮短SYNTimeout時(shí)間，由于SYNFlood攻擊的效果取決于服務(wù)器上保持的SYN半連接數(shù)，這個(gè)值=SYN攻擊的頻度x

SYNTimeout，所以通過縮短從接收到SYN報(bào)文到確定這個(gè)報(bào)文無效并丟棄改連接的時(shí)間，例如設(shè)置為20秒以下（過低的SYNTimeout設(shè)置可能會(huì)影響客戶的正常訪問），可以成倍的降低服務(wù)器的負(fù)荷。第二種方法是設(shè)置SYNCookie，就是給每一個(gè)請(qǐng)求連接的IP地址分配一個(gè)Cookie，如果短時(shí)間內(nèi)連續(xù)受到某個(gè)IP的重復(fù)SYN報(bào)文，就認(rèn)定是受到了攻擊，以后從這個(gè)IP地址來的包會(huì)被丟棄?？墒巧鲜龅膬煞N方法只能對(duì)付比較原始的SYNFlood攻擊，縮短SYNTimeout時(shí)間僅在對(duì)方攻擊頻度不高的情況下生效，SYNCookie更依賴于對(duì)方使用真實(shí)的IP地址，如果攻擊者以數(shù)萬/秒的速度發(fā)送SYN報(bào)文，同時(shí)利用SOCK_RAW隨機(jī)改寫IP報(bào)文中的源地址，以上的方法將毫無用武之地。19可用性破壞案例(續(xù))從防御角度來說，有幾種簡(jiǎn)單的解決方法：機(jī)密性，完整性和可用性及其之間的關(guān)系

完整性機(jī)密性可用性安全20機(jī)密性，完整性和可用性及其之間的關(guān)系完整性機(jī)密性可用性安全C,I,A分類小李拷貝了小王的作業(yè)小李讓小王的計(jì)算機(jī)崩潰了小李將小王的支票從100元修改到1000元小李冒用死去的老張的簽名小李注冊(cè)了一個(gè)域名，并拒絕復(fù)旦大學(xué)購(gòu)買并且使用這個(gè)域名小李得到小王的信用卡卡號(hào)并讓信用卡公司刪除這個(gè)卡，然后重新辦理了新的卡，并使用原有卡的信用小李哄騙小王計(jì)算機(jī)的IP檢測(cè)，得到了訪問小王計(jì)算機(jī)的訪問許可21C,I,A分類小李拷貝了小王的作業(yè)21信息安全領(lǐng)域的劃分ISC2(InternationalInformationSystemsSecurityCertificationConsortium)組織的權(quán)威認(rèn)證CISSP(CertificatedInformationSystemSecurityProfessional)把信息安全劃分成十個(gè)知識(shí)體系(CBK:CommonBodyofKnowledge)：

訪問控制系統(tǒng)與方法論

電信與網(wǎng)絡(luò)安全

安全管理實(shí)踐

應(yīng)用與系統(tǒng)開發(fā)安全

密碼學(xué)

安全結(jié)構(gòu)與模型

操作安全

業(yè)務(wù)持續(xù)性計(jì)劃與災(zāi)難恢復(fù)計(jì)劃

法律、調(diào)查與道德

物理安全

22信息安全領(lǐng)域的劃分ISC2(International安全的矛盾性警察與小偷銀行和搶匪安全的矛盾性不可避免23安全的矛盾性警察與小偷23安全定義的發(fā)展

1960－1970：通信安全1970－1980：計(jì)算機(jī)安全1980－1990：信息安全1990－ ：信息保障24安全定義的發(fā)展1960－1970：通信安全24影響安全的技術(shù)因素

網(wǎng)絡(luò)因素

系統(tǒng)復(fù)雜性因素

系統(tǒng)可擴(kuò)展因素

25影響安全的技術(shù)因素網(wǎng)絡(luò)因素25安全策略和安全機(jī)制概述26安全策略和安全機(jī)制概述26威脅與威脅建模威脅威脅是對(duì)信息安全的某種破壞對(duì)威脅的分析的系統(tǒng)化方法稱為威脅建模成立威脅建模小組分解應(yīng)用程序確定系統(tǒng)所面臨的威脅以風(fēng)險(xiǎn)遞減的原則對(duì)威脅排序選擇應(yīng)付威脅的方法選擇緩和威脅的技術(shù)從確定下來的技術(shù)中選擇適當(dāng)?shù)姆椒ㄍ{建模是設(shè)計(jì)安全信息系統(tǒng)的第一步，也是最為重要的一環(huán)27威脅與威脅建模威脅27威脅建模的迭代過程圖解28威脅建模的迭代過程圖解28威脅的分類(Shirey)

泄密（Disclosure），也即未經(jīng)授權(quán)的訪問，是對(duì)信息機(jī)密性的破壞；欺騙（Deception），也即收到錯(cuò)誤的數(shù)據(jù)；攔截（Disruption），也即中斷或者阻止正確的操作；篡改（Usurpation），也即非授權(quán)的控制系統(tǒng)的某些部分。29威脅的分類(Shirey)泄密（Disclosure），安全策略

安全策略（SecurityPolicy）就是指定系統(tǒng)允許或者禁止用戶做什么的一種陳述表述系統(tǒng)的安全策略自然語言數(shù)學(xué)表示

安全策略語言

30安全策略安全策略（SecurityPolicy）就是指XACML

該策略表示了任何具有的email帳號(hào)的用戶可以對(duì)任何資源做任何操作。[a02]

<?xmlversion="1.0"encoding="UTF-8"?>[a03]

<Policy[a04]

xmlns="urn:oasis:names:tc:xacml:2.0:policy:schema:cd:04"[a05]

xmlns:xsi="/2001/XMLSchema-instance"[a06]

xsi:schemaLocation="urn:oasis:names:tc:xacml:2.0:policy:schema:cd:04/xacml/access_control-xacml-2.0-policy-schema-cd-04.xsd"[a07]

PolicyId="urn:oasis:names:tc:example:SimplePolicy1"[a08]

RuleCombiningAlgId="identifier:rule-combining-algorithm:deny-overrides">[a09]

<Description>[a10]

MediCorpaccesscontrolpolicy[a11]

</Description>[a12]

<Target/>31XACML該策略表示了任何具有med.example.co[a13]

<Rule[a14]

RuleId="urn:oasis:names:tc:xacml:2.0:example:SimpleRule1"[a15]

Effect="Permit">[a16]

<Description>[a17]

Anysubjectwithane-mailnameinthedomain[a18]

canperformanyactiononanyresource.[a19]

</Description>[a20]

<Target>[a21]

<Subjects>[a22]

<Subject>[a23]

<SubjectMatch[a24]

MatchId="urn:oasis:names:tc:xacml:1.0:function:rfc822Name-match">[a25]

<AttributeValue[a26]

DataType="/2001/XMLSchema#string">[a27]

[a28]

</AttributeValue>[a29]

<SubjectAttributeDesignator[a30]

AttributeId="urn:oasis:names:tc:xacml:1.0:subject:subject-id"[a31]

DataType="urn:oasis:names:tc:xacml:1.0:data-type:rfc822Name"/>[a32]

</SubjectMatch>[a33]

</Subject>[a34]

</Subjects>[a35]

</Target>[a36]

</Rule>[a37]

</Policy>32[a13]

<Rule32使用安全策略來定義安全系統(tǒng)狀態(tài)（SystemState）

系統(tǒng)狀態(tài)是指一個(gè)系統(tǒng)中所有的內(nèi)存、外存、寄存器和其它系統(tǒng)部件的當(dāng)前值的一個(gè)集合保護(hù)狀態(tài)（ProtectionState）

保護(hù)狀態(tài)是系統(tǒng)狀態(tài)中有關(guān)保護(hù)系統(tǒng)的內(nèi)容的一個(gè)子集ACM(AccessControlMatrix)表示保護(hù)狀態(tài)最為精確和常用的方法33使用安全策略來定義安全系統(tǒng)狀態(tài)（SystemState）ACM的表示objects(entities)subjectss1s2…sno1…om

s1…sn34ACM的表示objects(entities)subjecACM的例子135ACM的例子135ACM例子2進(jìn)程p,q文件f,g權(quán)限r(nóng),w,x,a,o

f g p qp rwo r rwxo wq a ro r rwxo 36ACM例子2進(jìn)程p,q36其它的策略表述SubjectannieAttributesrole(artist),groups(creative)VerbpaintDefault0(denyunlessexplicitlygranted)ObjectpictureRule:paint: ‘a(chǎn)rtist’insubject.roleand ‘creative’insubject.groupsand time.hour≥0andtime.hour<537其它的策略表述Subjectannie37映射到ACM…picture……annie…paintAt3AM,timeconditionmet;ACMis:…picture……annie…At10AM,timeconditionnotmet;ACMis:38映射到ACM…picture……annie…pain狀態(tài)遷移改變系統(tǒng)的保護(hù)狀態(tài)|–代表遷移Xi|–

Xi+1:命令將系統(tǒng)從狀態(tài)Xi

遷移到Xi+1Xi|–*

Xi+1:一組命令將系統(tǒng)從狀態(tài)

Xi

遷移到Xi+1這些命令()經(jīng)常叫轉(zhuǎn)換過程(transformationprocedures)39狀態(tài)遷移改變系統(tǒng)的保護(hù)狀態(tài)39ACM的六個(gè)原子操作createsubject

s;createobjecto在ACM中創(chuàng)建新的一行和一列；創(chuàng)建新的一列destroysubject

s;destroyobjecto在ACM中刪除一行和一列；刪除一列enter

r

into

A[s,o]在ACM單元格子中添加權(quán)限r(nóng)delete

r

from

A[s,o]在ACM單元格子中刪除權(quán)限r(nóng)40ACM的六個(gè)原子操作createsubjects;crCreateSubject前提:s

S原子命令:createsubject

s結(jié)果:S=S

{s},O=O

{s}(y

O)[a[s,y]=],(x

S)[a[x,s]=](x

S)(y

O)[a[x,y]=a[x,y]]41CreateSubject前提:sS41CreateObject前提:o

O原子命令:createobject

o結(jié)果:S=S,O=O

{o}(x

S)[a[x,o]=](x

S)(y

O)[a[x,y]=a[x,y]]42CreateObject前提:oO42AddRight前提:s

S,o

O原子命令:enterrintoa[s,o]結(jié)果:S=S,O=O(x

S)(y

O)[a[x,y]=a[x,y]]a[s,o]=a[s,o]{r}43AddRight前提:sS,oO43DeleteRight前提:s

S,o

O原子命令:delete

r

from

a[s,o]結(jié)果:S=S,O=O(x

S)(y

O)[a[x,y]=a[x,y]]a[s,o]=a[s,o]–{r}44DeleteRight前提:sS,oO44DestroySubject前提:s

S原子命令:destroy

subject

s結(jié)果:S=S–{s},O=O–{s}(y

O)[a[s,y]=],(x

S)[a′[x,s]=](x

S)(y

O)[a[x,y]=a[x,y]]45DestroySubject前提:sS45Destroy

Object前提:o

O原子命令:destroy

object

o結(jié)果:S=S,O=O–{o}(x

S)[a[x,o]=](x

S)(y

O)[a[x,y]=a[x,y]]46DestroyObject前提:oO46實(shí)際系統(tǒng)中ACM的例子－創(chuàng)建一個(gè)文件的命令進(jìn)程p

創(chuàng)建一個(gè)文件

f

并賦予p以r

和w

權(quán)限

commandcreate_file(p,f) createobjectf; enterownintoA[p,f]; enterrintoA[p,f]; enterwintoA[p,f]; end47實(shí)際系統(tǒng)中ACM的例子－創(chuàng)建一個(gè)文件的命令進(jìn)程p創(chuàng)建一個(gè)單調(diào)命令(Mono-OperationalCommands)使得進(jìn)程p

成為文件g的owner

commandmake_owner(p,g) enterownintoA[p,g]; end單調(diào)命令(Mono-operationalcommand)在命令中只有一個(gè)原子命令48單調(diào)命令(Mono-OperationalCommand條件命令條件命令

commandgrant_read_file_1(p,f,q) ifowninA[p,f] then enterrintoA[q,f]; end單調(diào)條件命令在命令中只有一個(gè)條件49條件命令條件命令49多條件命令如果p是f的owner，并且p擁有q的copy權(quán)限，那么讓p賦給q以f的r和w的權(quán)限commandgrant_read_file_2(p,f,q) ifowninA[p,f]andcinA[p,q] then enterrintoA[q,f]; enterwintoA[q,f]; end50多條件命令如果p是f的owner，并且p擁有q的copy權(quán)限Copy權(quán)限允許進(jìn)程將權(quán)限賦給別人經(jīng)常作為一個(gè)附加給一個(gè)權(quán)限：r

是一個(gè)讀權(quán)限，但不能被賦值rc

是一個(gè)都權(quán)限，可以被賦值是否權(quán)限在賦給的時(shí)候，需要給出賦值標(biāo)識(shí)c?這取決于你的安全策略模型(DAC)51Copy權(quán)限允許進(jìn)程將權(quán)限賦給別人51Own權(quán)限通常允許一個(gè)進(jìn)程執(zhí)行改變ACM內(nèi)列中的內(nèi)容的一個(gè)權(quán)限一個(gè)對(duì)象的owner可以為其它用戶添加、刪除該對(duì)象的權(quán)限但是也是需要依賴于系統(tǒng)的需求不能將權(quán)限賦給某些人不能將權(quán)限的copy標(biāo)志賦給某些人有些系統(tǒng)不允許owner具有如此功能(MAC)52Own權(quán)限通常允許一個(gè)進(jìn)程執(zhí)行改變ACM內(nèi)列中的內(nèi)容的一個(gè)權(quán)什么是“Secure”?Addingagenericrightrwheretherewasnotoneis“l(fā)eaking”IfasystemS,beginningininitialstates0,cannotleakrightr,itissafewithrespecttotherightr.53什么是“Secure”?AddingagenericSafety問題是否存在一個(gè)算法能夠決定如下問題：針對(duì)某個(gè)權(quán)限r(nóng)，安全系統(tǒng)S從安全的初始狀態(tài)Sn開始一直是安全的。54Safety問題是否存在一個(gè)算法能夠決定如下問題：針對(duì)某個(gè)權(quán)單調(diào)命令回答:yes證明的思路:Considerminimalsequenceofcommandsc1,…,cktoleaktherightr.Canomitdelete,destroyCanmergeallcreatesintooneWorstcase:inserteveryrightintoeveryentry;withssubjectsandoobjectsinitially,andnrights,upperboundisk≤n(s+1)(o+1)55單調(diào)命令回答:yes55通用問題不能給出回答：Itisun-decidablewhetheragivenstateofagivenprotectionsystemissafeforagivengenericrightProof:ReductionfromhaltingproblemSymbols,statesrightsTapecellsubject(cancreatenewsubjects)Rightown:siownssi+1for1≤i<kCellsi

A

sihasArightsonitselfCellsk

skhasendrightsonitselfStatep,headatsi

sihasprightsonitself56通用問題不能給出回答：Itisun-decidable例子ABCD…s1s2s3s4s1Aowns2Bowns3C,powns4D,endMatrixTuringMachine57例子ABCD…s1s2s3s4s1Aowns2Bowns3C映射ABXD…1234heads1s2s3s4s4s3s2s1ABXDk1endownownownAfterd(k,C)=(k1,X,R)wherekisthecurrentstateandk1thenextstate58映射ABXD…1234heads1s2s3s4s4s3s2s命令d(k,C)=(k1,X,R)atintermediatebecomescommandck,C(s3,s4)if

own

in

A[s3,s4]and

k

in

A[s3,s3] andCin

A[s3,s3]then

delete

k

from

A[s3,s3];

deleteCfrom

A[s3,s3];

enterXinto

A[s3,s3];

enter

k1

into

A[s4,s4];end59命令d(k,C)=(k1,X,R)atinte分析HaltingproblemTuringMachine:SymbolsA,B;statesp,qCp,A(si,si-1)(moveleft)ifown

a[si-1,si]andp

a[si,si]andA

a[si,si]Deletepfroma[si,si],Afroma[si,si]EnterBintoa[si,si],qintoa[si-1,si-1]Similarcommandsformoveright,moverightatendoftapeSimulatesTuringmachineLeakshaltingstatehaltingstateinthematrixHaltingstatereachedThisisundecidable!60分析HaltingproblemTuringMachi映射ABXY1234heads1s2s3s4s4s3s2s1ABXYownownownAfterd(k1,D)=(k2,Y,R)wherek1isthecurrentstateandk2thenextstates5s5ownb

k2end5b61映射ABXY1234heads1s2s3s4s4s3s2s1命令d(k1,D)=(k2,Y,R)atendbecomescommandcrightmostk,C(s4,s5)if

end

in

A[s4,s4]and

k1

in

A[s4,s4] andDin

A[s4,s4]then delete

end

from

A[s4,s4];

createsubject

s5;

enter

ownintoA[s4,s5];

enter

end

into

A[s5,s5];

delete

k1

from

A[s4,s4];

deleteDfrom

A[s4,s4];

enterYinto

A[s4,s4];

enter

k2

into

A[s5,s5];end62命令d(k1,D)=(k2,Y,R)atend證明ProtectionsystemexactlysimulatesaTMIfTMentersstateqf,thenrighthasleakedIfsafetyquestiondecidable,thenrepresentTMasaboveanddetermineifqfleaksImplieshaltingproblemdecidableConclusion:safetyquestionundecidable63證明Protectionsystemexactlysi安全系統(tǒng)和不安全系統(tǒng)安全策略（SecurityPolicy）是將系統(tǒng)分解成一組安全（授權(quán)）的狀態(tài)和不安全（授權(quán)）狀態(tài)的一種陳述安全系統(tǒng)（SecureSystem）是指一個(gè)從安全（授權(quán)）的狀態(tài)出發(fā)，不會(huì)進(jìn)入不安全（授權(quán)）的狀態(tài)的系統(tǒng)。

安全精確交叉系統(tǒng)可達(dá)狀態(tài)系統(tǒng)安全狀態(tài)64安全系統(tǒng)和不安全系統(tǒng)安全策略（SecurityPolicy機(jī)密性、完整性和有效性的定義機(jī)密性（Confidentiality）設(shè)X表示一組實(shí)體，I表示一些信息或者一個(gè)資源。如果I相對(duì)于X具有機(jī)密性是指X中的任意成員不能夠得到I中的任何內(nèi)容。完整性（Integrity）設(shè)X表示一組實(shí)體，I表示一些信息或者一個(gè)資源。如果I相對(duì)于X具有完整性是指X中的所有成員都信任I中的內(nèi)容?？捎眯裕ˋvailability）設(shè)X表示一組實(shí)體，I表示一些信息或者一個(gè)資源。如果I相對(duì)于X具有可用性是指X中的所有成員都可以訪問I中的內(nèi)容。65機(jī)密性、完整性和有效性的定義機(jī)密性（Confidentia安全機(jī)制

安全機(jī)制（Mechanism）是一種執(zhí)行安全策略的方法、工具或者過程

信任和假設(shè)信任是一切安全研究的基礎(chǔ)。沒有信任就不可能存在實(shí)際的安全。信任很多時(shí)候需要假設(shè)。這些假設(shè)可能沒有經(jīng)過嚴(yán)格證明，但是的確實(shí)際存在。上課的老師不是黑幫頭目，沒有懷揣槍支來上課；上課的時(shí)候，你周圍的同學(xué)不會(huì)惡意對(duì)你，不過在你背后捅刀子；教學(xué)樓的質(zhì)量室過關(guān)的，不會(huì)出現(xiàn)天花板掉下來，或者腳下的樓板開裂這樣的問題；你相信在宿舍樓里已經(jīng)關(guān)好門，上好鎖，看門的大爺大媽在兢兢業(yè)業(yè)的工作，所以的寢室里的財(cái)物不會(huì)被人拿走；……66安全機(jī)制安全機(jī)制（Mechanism）是一種執(zhí)行安全策略安全機(jī)制的思考題現(xiàn)有一份文檔，安全策略是不允許id為weili的用戶查看該文檔有哪些機(jī)制可以實(shí)現(xiàn)這個(gè)策略？67安全機(jī)制的思考題現(xiàn)有一份文檔，安全策略是不允許id為weil安全保障有了目標(biāo)和機(jī)制以后，關(guān)鍵在于如何執(zhí)行這些機(jī)制制定規(guī)范(specification)需求分析目標(biāo)功能表述設(shè)計(jì)系統(tǒng)(Design)設(shè)計(jì)系統(tǒng)以滿足規(guī)范的需求執(zhí)行系統(tǒng)(Implementation)執(zhí)行系統(tǒng)以符合當(dāng)初設(shè)計(jì)的目標(biāo)68安全保障有了目標(biāo)和機(jī)制以后，關(guān)鍵在于如何執(zhí)行這些機(jī)制68研究安全的方法學(xué)

ThreatsPolicySpecificationDesignImplementationOperation69研究安全的方法學(xué)ThreatsPolicySpecific運(yùn)作問題Cost-Benefit分析是否該保護(hù)更為便宜，但是已經(jīng)達(dá)到保護(hù)要求足夠保護(hù)原理(PrincipleofAdequateProtection):計(jì)算機(jī)單元得到的保護(hù)應(yīng)該與它們的價(jià)值成正比。風(fēng)險(xiǎn)分析(RiskAnalysis)我們應(yīng)該保護(hù)有些東西嗎？最容易侵入原理(PrincipleofEasiestPenetration)：必須考慮到一個(gè)入侵者必然會(huì)利用所有可以利用的手段去執(zhí)行入侵。法律和習(xí)慣所有的安全手段是否合法？人們是否愿意去執(zhí)行它們？70運(yùn)作問題Cost-Benefit分析70人的因素組織問題權(quán)力和責(zé)任經(jīng)濟(jì)利益人員問題內(nèi)部威脅還是外部威脅哪個(gè)是你認(rèn)為的真真的威脅社會(huì)工程一種攻擊手段，與人員的安全意識(shí)緊密相關(guān)71人的因素組織問題71思考題－如何保護(hù)你的project什么是你的project的安全性？現(xiàn)有哪些威脅在影響你的project？如何保護(hù)你的Project？制定幾條安全策略用以保護(hù)你的project？這些策略夠了嗎？如何執(zhí)行上述安全策略？如何解決相應(yīng)的組織問題和工具問題？有哪些運(yùn)作問題存在？有哪些人的問題存在？72思考題－如何保護(hù)你的project什么是你的project的信息系統(tǒng)安全攻擊的概述73信息系統(tǒng)安全攻擊的概述73案例分析2001年，《信息周刊》（InformationWeek）對(duì)4500個(gè)安全專家進(jìn)行了一個(gè)全球信息調(diào)查。作為調(diào)查的一部分，要求回答者列出入侵者入侵其機(jī)構(gòu)所使用的主要攻擊方法（允許多選）。排在第一位的方法是利用操作系統(tǒng)的漏洞：大約三分之一的回答者經(jīng)歷過這種攻擊。接下來的流行方法是利用不為人知的應(yīng)用程序（占27%）。其它常見的攻擊是猜口令（占22%）、濫用合法用戶的帳戶或者許可（占17%）和使用拒絕服務(wù)攻擊（占12%）。通常的思維總是認(rèn)為針對(duì)公司網(wǎng)絡(luò)或計(jì)算機(jī)的攻擊，有五分之四是由懷有惡意的內(nèi)部員工所為，因?yàn)樗麄兝脤?duì)系統(tǒng)的熟悉來達(dá)到目的。這次的調(diào)查嘗試確定這個(gè)“首要規(guī)則”是否成立。事實(shí)上