1.1 基础部分
计算机安全建立在保密性,完整性和可用性的基础之上。对于这三个方面的解释各不相同,它们发生的环境也各不相同。一个方面在给定环境下的解释是由个人、风俗习惯和特定组织的法律需要而定的。
1.1.1 保密性
保密性是指信息和资源的隐蔽性。保持信息机密性的需要源于在敏感领域中的计算机的使用(如政府和工业领域)。如军用和民用机构往往对需要这些信息的人限制信息的获取。计算机安全的第一个正式的工作是由军方试图实施控制的,以执行“need to know”原则。这一原则也使用于工业企业,这些企业用这一原则来保持其专有设计的安全性以免他们的竞争对手抢走他们的设计。举一个更进一步的例子,所有类型的机构都要保持其人事记录的保密性。
访问控制机制支持保密性。保持一个访问控制系统的保密性的方法是运用加密系统,其将数据打乱使数据变的无法理解。加密密匙控制加密前数据的访问,但随后加密密匙本身变为另外一个需要被保护的数据。
示例:一个加密的所得税申报表禁止任何人阅读。如果该拥有人需要读此申报表,它必须被破译。只有密匙的持有者可以将其输入一个解密程序进行解密。但是,如果当它被输入到解密程序时其他人读到了密匙,税收报表的保密性就受到了破坏。
其他与系统相关的机制可以防止信息的非法访问。与加密数据不同,当控制失败或者被控制机制被绕过时,仅仅使用这种控制所保护的数据就会被读取。然后将其优点与其相应的一个缺点相抵消,然后综合来看,我们可以看出这种方式与加密数据相比,其可以更完全的保持了数据的保密性。但是如果这种方式失效或者被避过了,数据就变的可见。
保密性也适用于数据的存在性,这有时比数据本身更容易暴露。不信任一个政客的确切人数与知道该调查是由该政客的工作人员所做的这一信息相比可能就不那么重要了。一个特定的政府机构如果骚扰其国家的公民与知道发生了这样的骚扰相比可能也不那么重要了。访问控制机制有时候也隐藏了数据的存在,以免数据本身的存在透漏出一些应该被保护的信息。
资源隐藏是保密性的另一个重要方面,网站经常希望隐藏他们的配置以及他们所使用的系统。一些机构可能并不希望别人知道他们的专用设备(因为那些设备可以在没有授权的情况下或者以不恰当的方式使用),而公司租用服务供应商的服务时可能不想让别人知道它使用什么资源。访问控制机制也可以提供这些功能。
所有执行保密性的机制都需要系统的支持服务。其假设是,安全服务可以依靠内核以及其他代理来提供正确的数据。因此该假设及信任是保密机制的基础。
1.1.2 完整性
完整性是指数据或者资源的可信任度,并且其通常在防止非法错误或者非法变更的时候使用。完整性包括数据完整性(信息内容)和来源完整性(数据的来源,通常称为认证)。信息源可以承担它的准确性和可信度以及人们对信息的信任。这种一分为二的对完整性的解释规则说明可信性是一个系统正常运作的中心。当讨论恶意逻辑时我们将回到这个问题。
示例:一家报纸可以印刷出从白宫获得的泄露的信息,但要将其归结于错误的来源。被印刷出来的信息与接收到的信息一致(保持数据的完整性),但其来源是不正确的(破坏了来源完整性)
完整性机制分为两类:防范机制和检测机制。
防范机制通过阻止任何未经授权的改变数据的尝试以及阻止通过未经授权的方式试图改变数据的行为来保持数据的完整性。这两种类型的行为之间的区别是很重要的。前者是指这种情况:用户试图改变数据但是她并没有权利去改变数据。后者是指:用户被授权对数据进行特定的改变但用户却尝试用其他的方法来改变数据。例如,假设一个计算机上的会计系统。有人侵入系统并试图修改账单数据,这时未授权用户已试图破坏此系统数据库的完整性。但是如果由该公司聘请的一个会计师试图通过将钱发送到海外并且隐藏这笔交易来侵吞这笔钱并且令账簿保持原样,用户(会计师)已试图通过未经授权的方式(将钱移动到瑞士银行账户)来改变数据(会计系统的数据)。适当的认证和访问控制通常会停止来自外部的闯入,但防止第二种类型的尝试需要非常特殊的控制。
检测机制并不试图阻止对于完整性的破坏行为;他们只是做一个简单的报告:数据的完整性不再值得信赖。监测机制可以分析系统事件(用户或者系统行为)以检测问题或者(更经常)可以分析数据本身来看需要或者期望的限制是否还继续保持。该机制可能会报告完整性破坏(一个文件的特定部分被修改)的真正原因,或者其可能只是简单的报告该文件现在已损坏。
完整性工作不同于机密性工作。机密性,数据要么失密要么没有,但完整性包括数据的正确性和可信度。数据的来源(数据是从哪得到的以及怎样得到的),当数据到达当前机器之前是如何进行保护的,以及数据在当前机器上是如何进行保护的都影响数据的完整性。因此,完整性的评估通常是很困难的,因为它依赖于对数据来源的假设以及对数据来源信任的假设——安全性的两个支柱(常常被忽视)。
1.1.3 可用性
可用性是指使用所需的信息或资源的能力。可用性是可靠性和系统设计的一个重要方面,因为一个不可用的系统和没有系统相比,至少是和没有系统的情况一样坏的。与安全方面相关的可用性是指,有人可能故意通过使其不可用来拒绝访问数据或服务。系统设计通常假定一个统计模型来分析所使用的预期模式,并且当统计模型成立时,假定一个机制来确保可用性。有人可能能够操作使用(或控制使用的参数,如网络传输)以使统计模型的假设不再有效。这意味着用于保持资源或数据可用性的机制在一种他们没有设计的环境下工作。其结果是,他们往往会失败。
示例:假设安妮损害了一个银行的辅助系统服务器,该服务器提供账户余额。当别人询问该服务器一些信息时,安妮能够提供任何她想提供的信息。商人通过联系银行的主平衡服务器进行验证检查。如果一个商人得不到响应,辅助服务器会被要求提供数据。安妮的同伙阻止商人与主平衡服务器进行联系。因此,所有商户查询到的都是辅助服务器提供的信息。安妮将永远不会拒绝一个检查(?)不管她实际的账户余额。请注意,如果银行只有一台服务器(主平衡服务器),这种方案是行不通的。商人将无法验证检查。
试图破坏可用性称为服务攻击拒绝,这可能是最不易察觉的。因为分析师必须判断不同寻常的访问模式是否归因于刻意的资源或环境的操作。将这种判断复杂化是统计模型的性质。即使模型准确的描述了环境,非典型事件只是有助于统计的性质。复议试图使资源不可用可能只是看起来像或者是非典型事件。在某些环境中,甚至可能并不会出现非典型事件。
2168
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
