网络和计算机安全

1网络和计算机安全信息安全概述2Internet中的信息安全•Internet中的信息系统越来越不安全–高度互联的Internet–Internet安全性问题的根源是信任假设的改变（ATM）–WorldWideWeb和WildandWoollyWest(M.Jakobsson和M.Yung)–信用卡泄密事件3案例•美4000万信用卡泄密，波及中国卡–2005年6月21日报道，美国4000万信用卡资料泄露的事件最终还是波及到了中国。根据万事达（Mastercard）昨日发布的澄清声明，被波及的中国万事达信用卡数量为5560张以内。Visa国际则表示，相关的数据正在统计中，将在稍晚发布。因为这次事件中美国所有的信用卡品牌均被波及，万事达卡只占“外泄卡”总数的35%，所以中国“外泄卡”总数很可能过万。–本次遭到黑客入侵的公司，是在美专为银行、会员机构、特约商店处理卡片交易资料之外包厂商CardSystems。此公司在美负责处理大约105000家中小企业业务，目前并未处理中国内地银行的信用卡业务。–但由于其代理的万事达和Visa两大全球信用卡公司，均已在中国开展业务多年。所以，万事达卡的“外泄卡”中，也有0.04%（大约5600张）在中国内地，0.07%（大约10000张）在香港。万事达卡表示，侦测发现此次事件之后，立即主动发出预警通知所有银行、金融机构，呼吁所有单位须更加小心保护自身权益。另外，万事达卡国际组织也已彻底要求CardSystems限期改善，立即补强安全漏洞。Visa国际表示将尽快发布紧急声明。Visa国际中国区总经理熊安平昨日在接受记者独家专访时表示，–Visa国际定期在全球收集有关欺诈嫌疑的商户，还会针对珠宝店之类高风险的商户实行特别监控，并针对网上交易等实行“保证金”制度，确保持卡人权益不受侵害。未受波及的中国银联也不敢掉以轻心。因为在国内拥有最大的银行卡网络，且与CardSystems的业务有部分的重合，中国银联发言人表示将很快发布对于此事件的官方声明。4信用卡事件图例5思考题•本次泄密事件的泄密机制是怎么样的？•本次泄密事件的主要原因是什么？•如何防范这种泄密？•这种信用卡盗窃事件破坏了（信用卡）信息的什么属性？6CERT报告的安全性问题•CERT(ComputerEmergencyResponseTeam)报告的安全性问题总体呈现上升趋势•分为两个报告：–报告的漏洞–安全事件71995-2004年报告的漏洞数目统计(CERT)报告的漏洞010002000300040005000199519961997199819992000200120022003200481988-2003年报告的安全事件统计(CERT)安全事件02000040000600008000010000012000014000016000019881989199019911992199319941995199619971998199920002001200220039安全问题的重要性•系统原来越不安全•系统的安全性取决于不同的方面•本课程的主要着力点在于安全软件的设计问题上讲解安全的原理10什么是安全11安全的概念•橘皮书•C.I.A.•信息安全领域的划分•安全的矛盾性•安全定义的发展•影响安全的技术因素12橘皮书•橘皮书的历史•橘皮书定义了三类、六个基本需求–第一类：策略•需求1－安全策略(SecurityPolicy)•需求2－标定(Marking)–第二类：审计•需求3－可标识(Identification)•需求4－可审计(Accountability)–第三类：保障•需求5－保障(Assurance)•需求6－持续防护(ContinuousProtection)13信息安全的定义•信息安全是一个十分广泛而又复杂的话题•美国国家电信和信息安全委员会(NSTISSC)–信息安全是对信息、系统以及使用、存储和传输信息的硬件的保护。但是要保护信息及其相关系统，诸如策略、认识、培训和教育以及技术手段都是必要的。•微软公司M.Howard,D.LeBlance–一个安全的产品应该是指在信息所有者或者系统管理员控制下能够保护客户数据的机密性、完整性和可用性，能够保护资源处理过程的完整性和有效性。•机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的组合14机密性•机密性是指保证计算机相关的有价值财产（信息）只能被授权过的用户所访问。•机密性的保护–认证和访问控制–加密15完整性•完整性是指这些计算机相关的有价值财产（信息）只能被授权过的用户所修改，或者通过授权过的过程所修改。•完整性的保护–认证和访问控制–加密16可用性•可用性是指这些有价值的财产（信息）在需要的时候必须能够被授权的用户访问或者修改。•可用性的破坏–DOS:DenialOfService17可用性破坏案例•SYNFlood的基本原理–SYNFlood是当前最流行的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。–要明白这种攻击的基本原理，还是要从TCP连接建立的过程开始说起：TCP与UDP不同，它是基于连接的，也就是说：为了在服务端和客户端之间传送TCP数据，必须先建立一个虚拟电路，也就是TCP连接，建立TCP连接的标准过程是这样的：•首先，请求端（客户端）发送一个包含SYN标志的TCP报文，SYN即同步（Synchronize），同步报文会指明客户端使用的端口以及TCP连接的初始序号；•第二步，服务器在收到客户端的SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受，同时TCP序号被加一，ACK即确认（Acknowledgement）。•第三步，客户端也返回一个确认报文ACK给服务器端，同样TCP序列号被加一，到此一个TCP连接完成。•以上的连接过程在TCP协议中被称为三次握手（Three-wayHandshake）。18可用性破坏案例(续)–问题就出在TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYNTimeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源--数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃--即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称作：服务器端受到了SYNFlood攻击（SYN洪水攻击）。19可用性破坏案例(续)•从防御角度来说，有几种简单的解决方法：–第一种是缩短SYNTimeout时间，由于SYNFlood攻击的效果取决于服务器上保持的SYN半连接数，这个值=SYN攻击的频度xSYNTimeout，所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间，例如设置为20秒以下（过低的SYNTimeout设置可能会影响客户的正常访问），可以成倍的降低服务器的负荷。–第二种方法是设置SYNCookie，就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被丢弃。•可是上述的两种方法只能对付比较原始的SYNFlood攻击，缩短SYNTimeout时间仅在对方攻击频度不高的情况下生效，SYNCookie更依赖于对方使用真实的IP地址，如果攻击者以数万/秒的速度发送SYN报文，同时利用SOCK_RAW随机改写IP报文中的源地址，以上的方法将毫无用武之地。20机密性，完整性和可用性及其之间的关系完整性机密性可用性安全21C,I,A分类–小李拷贝了小王的作业–小李让小王的计算机崩溃了–小李将小王的支票从100元修改到1000元–小李冒用死去的老张的签名–小李注册了一个域名，并拒绝复旦大学购买并且使用这个域名–小李得到小王的信用卡卡号并让信用卡公司删除这个卡，然后重新办理了新的卡，并使用原有卡的信用–小李哄骗小王计算机的IP检测，得到了访问小王计算机的访问许可22信息安全领域的划分•ISC2(InternationalInformationSystemsSecurityCertificationConsortium)组织的权威认证CISSP(CertificatedInformationSystemSecurityProfessional)把信息安全划分成十个知识体系(CBK:CommonBodyofKnowledge)：–访问控制系统与方法论–电信与网络安全–安全管理实践–应用与系统开发安全–密码学–安全结构与模型–操作安全–业务持续性计划与灾难恢复计划–法律、调查与道德–物理安全23安全的矛盾性•警察与小偷•银行和抢匪•安全的矛盾性不可避免24安全定义的发展•1960－1970：通信安全•1970－1980：计算机安全•1980－1990：信息安全•1990－：信息保障25影响安全的技术因素•网络因素•系统复杂性因素•系统可扩展因素26安全策略和安全机制概述27威胁与威胁建模•威胁–威胁是对信息安全的某种破坏•对威胁的分析的系统化方法称为威胁建模–成立威胁建模小组–分解应用程序–确定系统所面临的威胁–以风险递减的原则对威胁排序–选择应付威胁的方法–选择缓和威胁的技术–从确定下来的技术中选择适当的方法•威胁建模是设计安全信息系统的第一步，也是最为重要的一环28威胁建模的迭代过程图解分解应用程序确定威胁威胁分级缓和方案29威胁的分类(Shirey)•泄密（Disclosure），也即未经授权的访问，是对信息机密性的破坏；•欺骗（Deception），也即收到错误的数据；•拦截（Disruption），也即中断或者阻止正确的操作；•篡改（Usurpation），也即非授权的控制系统的某些部分。30安全策略•安全策略（SecurityPolicy）就是指定系统允许或者禁止用户做什么的一种陈述•表述系统的安全策略–自然语言–数学表示–安全策略语言31XACML•该策略表示了任何具有med.example.com的email帐号的用户可以对任何资源做任何操作。–[a02]?xmlversion=1.0encoding=UTF-8?–[a03]Policy–[a04]xmlns=urn:oasis:names:tc:xacml:2.0:policy:schema:cd:04–[a05]xmlns:xsi=–[a06]xsi:schemaLocation=urn:oasis:names:tc:xacml:2.0:policy:schema:cd:04––[a07]PolicyId=urn:oasis:names:tc:example:SimplePolicy1–[a08]RuleCombiningAlgId=identifier: