一 計算機與網路安全的概念
1.1 電腦保安的概念
1.1.1 電腦保安最核心的三個關鍵目標(CIA):
-
保密性(Confidentiality)--①資料保密性(確保隱私或祕密不向非授權者洩密或使用);
②隱私性(確保個人能夠控制或確定其自身相關的資訊)。 -
完整性(Integrity)--①資料完整性(確保資訊只能以特定和授權的方式進行改變);
②系統完整性(確保系統以正常方式來執行預定的功能,避免非授權操縱。) -
可用性(Availability)--確保系統工作迅速,對授權使用者不能拒絕服務
額外兩個:
-
真實性(Authenticity)--驗證使用者正確,系統的輸入均來自可信任的信源 -
可追溯性(Accountability)--實體的行為可以唯一追溯到該實體
-
1.2 OSI安全架構
1.2.1 OSI安全架構關注的問題
- 安全攻擊--任何危及系統安全的行為
- 安全機制--用來檢測、阻止攻擊 或 從攻擊狀態恢復到正常狀態的過程
- 安全服務--加強資料處理系統和資訊傳輸的安全性的一種處理過程或通 信服務,目的用一種或多種安全機制進行反擊。
1.3安全攻擊
1.3.1被動攻擊
① 對傳輸進行竊聽和監測,獲取傳輸的資訊
② 流量分析:對資訊進行了恰當的加密保護,攻擊者仍具有可能獲取這些訊息的一些模式。如可以確定主機的身份和位置,傳輸訊息的頻率和長度
被動攻擊不涉及對資料的更改,通常可以使用加密的方法阻止攻擊。預防而非檢測
1.3.2主動攻擊--對資料流進行修改或偽造資料流
① 偽裝:某實體假裝成其他實體。例如獲取認證資訊,在認證資訊完成合法驗證後進行重放,無許可權的實體就可冒充獲得額外的許可權。
② 重放:攻擊者未經授權將截獲的資訊再次傳送
③ 訊息修改:未經授權地修改合法訊息的一部分,或延遲訊息的傳輸,或改變訊息的順序
④ 拒絕服務:阻止對設施的正常使用或管理,針對具體的目標。例如,某實體可能會查禁所有發向某目的地的訊息。另一種形式為破壞整個網路,或使網路失效,或使網路過載以降低效能
由於物理通訊裝置、軟體、網路自身潛在弱點的多樣性,主動攻擊難以絕對預防,重點在於檢測並從攻擊造成的破壞或延遲中恢復過來
1.4 安全服務
- 認證 ① 對等實體認證;② 資料來源認證
- 訪問控制
- 資料保密性
- 資料完整性
- 不可否認性
1.5 安全機制
1.5.1 特定安全機制
- 加密:運用演算法將資料轉換成不可知的形式
- 數字簽名:附加於資料單元之後的一種資料,對資料單元的密碼錶換,以使得接收方證明資料來源和完整性,防止偽造
- 訪問控制
- 資料完整性
- 認證交換:通過資訊交換來保證實體身份的各種機制
- 流量填充:在資料流空隙中插入若干位以阻止流量分析
- 路由控制:為某些資料選擇特殊的物理上安全的線路,允許路由變化
- 公證:利用可信的第三方來保證資料交換的某些性質
1.5.2 普遍的安全機制
- 可信功能:據某些標準被認為是正確的功能
- 安全標籤:資源(資料單元)的標誌,命名或指定該資源的安全屬性
- 事件檢測:檢測與安全相關的事件
- 安全審計跟蹤:收集安全審計資料,他是對系統記錄和行為的獨立回顧與核查
- 安全恢復:處理來自安全機制的請求,如事件處理,管理功能和採取恢復行為
1.6 基本安全設計準則
- 機制的經濟性(Economy of mechanism)
- 故障安全預設(Fail-safe defaults)
- 完整的監察(Complete mediation)
- 開放的設計(Open design)
- 許可權分離(Separation of privilege)
- 最小許可權(Least privilege)
- 最小共同機制(Least common mechanism)
- 心理接受度(Psychological acceptability)
- 隔離(Isolation)
- 密封(Encapsulation)
- 模組化(Modularity)
- 分層(Layering)
- 最小意外(Least astonishment)
1.7 攻擊面與攻擊樹
1.7.1 攻擊面(由系統中一系列可訪問且可利用的漏洞組成)
常見的攻擊面的例子:
- 向外部Web和其他伺服器開放的埠,以及監聽這些埠的程式碼
- 防火牆內部可用的服務
- 處理傳入的資料,E-mail, Xml, Office 和企業特定的自定義資料交換格式的程式碼
- 介面、SQL和Web表單
- 易受社會工程攻擊的可訪問敏感資訊的員工
攻擊面的種類:
- 網路攻擊面:網路協議的漏洞,如用來拒絕服務攻擊、中斷通訊鏈路、各種形式的入侵攻擊的漏洞
- 軟體攻擊面:涉及應用程式、工具包、作業系統程式碼。重點 Web伺服器軟體
- 人類攻擊面:系統人員,外部人員,如社會工程學、人為錯誤和被信賴的內部人員
1.7.2 攻擊樹(採用分支化、層次化表示來利用安全漏洞的可能技術集合的資料結構)
使用攻擊樹的動機是為了更有效地利用關於攻擊模式的可用資訊
圖1.4為網上銀行認證程式的攻擊樹例子。樹的根節點是攻擊者的目標--攻擊使用者的賬戶。陰影框是樹的葉子節點,代表組成攻擊的事件。在這棵攻擊樹中,除葉子節點外的節點都是‘或節點’。
生成此樹的攻擊分析考慮了認證中涉及的三個部分:
- 使用者終端和使用者(UT/U) 這些攻擊針對使用者裝置,包括涉及的令牌,如智慧卡或其他密碼生成器,以及使用者操作
- 通訊通道(CC) 著重於攻擊通訊鏈路
- 網上銀行伺服器(IBS) 對託管網上銀行應用程式的伺服器的離線攻擊
五種攻擊策略:
- 攻擊使用者憑據
- 命令注入
- 使用者憑據猜測
- 安全策略違規
- 利用已被認證的會話
1.8 網路安全模型
雙方資訊通過路由從源地址到目的地址,並協作使用通訊協議(TCP/IP),從而建立起一個邏輯資訊通道。
所有提供安全的技術包括以下兩部分:
-
對傳送資訊的安全變換。
-
被兩個主體共享且不被攻擊者知道的一些機密資訊。
為實現安全傳輸,需要有可信的第三方。如第三方負責將祕密資訊分配給通訊雙方,而對攻擊者保密,或當通訊雙方關於資訊傳輸的真實性發生爭執,由第三方仲裁。
安全服務應該包括:
- 設計一個演算法,執行與安全相關的變換,無法被攻擊者攻破
- 產生演算法所使用的祕密資訊
- 設計分配和共享祕密資訊的方法
- 指明通訊雙方使用的協議,實現安全服務
1.9 標準
- NIST
- ISOC
- ITU-T
- ISO