计算机安全

计算机安全是指对于一个自动化的信息系统，采取保护措施确保信息系统资源(包括软硬件、固件、信息、数据和通信)的完成性、可用性、保密性。

保密性(Confidentiality)

数据保密性：确保隐私或者秘密的信息不被非授权访问及使用
隐私性：确保个人可以控制或者确定与自身有关的哪些信息可以被收集、被保存，这些信息可以由谁公开及向谁公开

完整性(Integrity)

数据完整性格：确保信息和程序只能以特定和授权的方式进行改变
系统完整性：确保信息系统以一种正常方式执行预定功能，不被非授权操作

可用性(Available)

可用性：确保系统能工作迅速，对授权用户不能拒绝服务
在以上的CIA三大属性之外，还有真实性(Authenticity)和可追溯性(Accountability)来使得安全定义更为完善

真实性(Authenticity)

可追溯性(Accountability)

可追溯性：实体的行为可以唯一追溯到对应实体

安全挑战

安全概念和要求获取不难理解，但是要理解和实现对应的安全机制需要严密的推理。很多时候需要多种加密算法或者协议共同结合才能实现需要的安全机制。最后因为安全意识缺失或成本问题，很多系统的安全是一种事后安全

OSI安全架构

OSI安全架构给出了一种系统化的定义方法，对许多安全概念做了抽象化的综述，主要抽象为三个方面，安全攻击、安全服务、安全机制。

安全攻击

任何危害信息系统安全的行为，有意违反安全服务和侵犯系统安全策略的行为。

被动攻击

被动攻击试图获得系统的信息，但不影响系统资源，例如对传输进行窃听和检测。包括嗅探、流量分析等。难以被检测，重点在于预防。

主动攻击

主动攻击则是视图改变系统资源或者影响系统运行，攻击者通过暴力行为或者利用相应漏洞实施恶意访问的故意行为。包括伪装，重放，消息修改，拒绝服务，非授权访问、否认 、信息泄露(有意/无意)、特洛伊木马、病毒、后门等。难以绝对预防，主要是检测并从造成的破坏中辉复过来。

安全服务

X.800定义:在通信开放系统中，为系统或者数据传输提供足够安全的协议层服务。
RFC 4949定义:安全服务是一种由系统提供的对系统资源进行特殊保护的处理或通信服务
安全服务通过安全机制来实现安全策略。
X.800将安全服务分为五类14个特定服务

认证

访问控制

限制和控制实体对系统资源的访问

数据保密性

保护数据免于非授权泄露
连接保密性：保护一次连接中所有的用户数据
无连接保密性：保证单个数据块中的所有用户数据
选择域保密性：对一次连接或单个数据块中的指定数据部分提供保密性
流量保密性：保护哪些可以通过观察流量而获得的信息

数据完整性

保证收到的数据的确是授权实体发出的数据，未经修改、插入、删除或重播
具有恢复功能的连接完整性：提供一次连接中所有用户数据的完整性保护，并对出现问题的数据尝试恢复
无恢复的连接完整性：提供一次连接中所有用户数据的完整性保护。
选择域连接完整性：提供一次连接中传输的单个数据块内用户数据指定部分的完整性，并判断是否有插入修改删除等等
无连接完整性：为单个无连接数据库提供完整性保护，并检测是否有数据修改，另外提供有限的重播检测
选择域无连接完整性：为单个无连接数据块内指定域提供完整性保护

不可否认性

防止整个或部分通信过程中，任一实体进行否认的行为
源不可否认性：证明消息是由特定方发出的
宿不可否认性：证明消息被特定方收到

安全机制

特定安全机制

可以并入适当的协议层以提供一些OSI安全服务，包括加密、数字签名、访问控制、数据完整性、认证交换、流量填充、路由控制、公证。

普遍的安全机制

不局限于特定OSI安全服务或协议层的机制，包括可信功能、安全标签、事件检测、安全审计与跟踪、安全恢复。

基本安全设计准则

基本安全设计准则包括机制的经济性、故障的安全默认、完整的监察、开放的设计、权限分离、最小权限、最小共同机制、心里接受度、隔离、密封、模块化、分层、最小意外
故障的安全默认：访问决策应基于允许，而非拒绝，简单讲就是基于白名单
完整的监察：必须检查访问控制机制中的每个访问
权限分离准则：需要多个权限属性来访问一个受限资源
最小共同机制：把不同用户共享的功能设计的最小化，以便提供共同安全性，可以减少非预期的通信路径数量
心里接受度：不过分干预用户工作
分层：纵深防御

攻击面与攻击树

攻击面

攻击面由系统中一系列可访问且可利用的漏洞组成
eg：向外部Web和其他服务器开发的端口，接口，SQL，Web表单，易受 会工程攻击的可访问敏感信息的员工
攻击面可以大体分为 络攻击面，软件攻击面，人类攻击面
攻击面越大越浅，则安全风险越高，反之越低

攻击树

攻击树是采用分支化、层次化表示来利用安全漏洞的可能技术集合的数据结构。
攻击目的是攻击树的根节点，为达这一目的所采用的方法通过迭代增加地方式表示为攻击树上的分支和子节点。每个子节点定义一个子目标，每个子目标可能有其更加细化地节点。
每个从根节点到叶子节点的路径都表示发动攻击的一种方式
每个非叶子节点都是“与”节点或者“或”节点,与节点需要子目标全部完成，或节点需要完成至少一个子目标

络安全模型

络安全模型

发送方将消息进行安全变换后通过信息通道发送给接收方，
接收方将收到消息进行安全变换后获得消息
这一过程中，进行安全变换需要秘密信息，在信息通道中存在攻击者，存在可信第三方

络访问模型

文章知识点与官方知识档案匹配，可进一步学习相关知识 络技能树跨区域 络的通信学习 络层的作用22515 人正在系统学习中