計算機系統安全

安全理論與策略、計算機安全技術、安全管理、安全評價、安全產品以及計算機犯罪與偵查、計算機安全法律、安全監察等。

DoD（TCSEC）可信計算機系統評估標準：是美國國防部在1985年正式頒布的，它將計算機安全等級劃分為四類七級，這七個等級從低到高依次為：D、C1、C2、C3、B1、B2、B3、A1。

計算機系統安全問題共分為三類，它們是技術安全、管理安全和政策法律安全。

書 名: 計算機系統安全

作　者：馬建峰 郭淵博

出版社： 西安電子科技大學出版社

出版時間： 2005

ISBN: 9787560614892

開本： 16

定價: 22.00 元

本書可作為計算機、信息安全、信息對抗等專業高年級本科生或研究生的教學用書，也可作為相關領域的研究和工程技術人員的參考用書。

第1章計算機安全引論

1.1計算機安全

國際標準化委員會的定義是"為數據處理系統和採取的技術的和管理的安全保護，保護計算機硬體、軟體、數據不因偶然的或惡意的原因而遭到破壞、更改、顯露。" 美國國防部國家計算機安全中心的定義是"要討論計算機安全首先必須討論對安全需求的陳述。

1.2計算機系統安全的重要性

1.3計算機系統的安全對策

1.4計算機系統的安全技術

1.5計算機安全的內容及專業層次

習題

第2章計算機安全策略

2.1系統的安全需求及安全策略的定義

安全策略：是指在某個安全區域內（一個安全區域，通常是指屬於某個組織的一系列處理和通信資源），用於所有與安全相關活動的一套規則。這些規則是由此安全區域中所設立的一個安全權力機構建立的，並由安全控制機構來描述、實施或實現的。

網路管理員或者CIO根據組織機構的風險及安全目標制定的行動策略即為安全策略。安全策略通常建立在授權的基礎之上，未經適當授權的實體，信息不可以給予、不被訪問、不允許引用、任何資源也不得使用。

2.2安全策略的分類

按照授權的性質，安全策略分為如下幾個方面：

（1）基於身份的安全策略

（2）基於規則的安全策略

（3）基於角色的安全策略

2.3安全策略的形式化描述

2.4安全策略的選擇

2.5小結

習題

第3章訪問控制策略

3.1訪問控制

按用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問，或限制對某些控制功能的使用。訪問控制通常用於系統管理員控制用戶對伺服器、目錄、檔案等網路資源的訪問。

訪問控制的功能主要有以下： 一. 防止非法的主體進入受保護的網路資源。 二. 允許合法用戶訪問受保護的網路資源。 三. 防止合法的用戶對受保護的網路資源進行非授權的訪問。

訪問控制實現的策略： 一. 入網訪問控制 二. 網路許可權限制 三. 目錄級安全控制 四. 屬性安全控制　五. 網路伺服器安全控制

六. 網路監測和鎖定控制　七. 網路連線埠和節點的安全控制　八. 防火牆控制

訪問控制的類型：訪問控制可分為自主訪問控制和強制訪問控制兩大類。

自主訪問控制，是指由用戶有權對自身所創建的訪問對象(檔案、數據表等)進行訪問，並可將對這些對象的訪問權授予其他用戶和從授予許可權的用戶收回其訪問許可權

強制訪問控制，是指由系統(通過專門設定的系統安全員)對用戶所創建的對象進行統一的強制性控制，按照規定的規則決定哪些用戶可以對哪些對象進行什麼樣作業系統類型的訪問，即使是創建者用戶，在創建一個對象後，也可能無權訪問該對象。

基於對象的訪問控制（OBAC Model：Object-based Access Control Model）：DAC或MAC模型的主要任務都是對系統中的訪問主體和受控對象進行一維的許可權管理，當用戶數量多、處理的信息數據量巨大時，用戶許可權的管理任務將變得十分繁重，並且用戶許可權難以維護，這就降低了系統的安全性和可靠性。對於海量的數據和差異較大的數據類型，需要用專門的系統和專門的人員加以處理，要是採用RBAC模型的話，安全管理員除了維護用戶和角色的關聯關係外，還需要將龐大的信息資源訪問許可權賦予有限個角色。當信息資源的種類增加或減少時，安全管理員必須更新所有角色的訪問許可權設定，而且，如果受控對象的屬性發生變化，同時需要將受控對象不同屬性的數據分配給不同的訪問主體處理時，安全管理員將不得不增加新的角色，並且還必須更新原來所有角色的訪問許可權設定以及訪問主體的角色分配設定，這樣的訪問控制需求變化往往是不可預知的，造成訪問控制管理的難度和工作量巨大。在這種情況下，有必要引入基於受控對象的訪問控制模型。

控制策略和控制規則是OBAC訪問控制系統的核心所在，在基於受控對象的訪問控制模型中，將訪問控制列表與受控對象或受控對象的屬性相關聯，並將訪問控制選項設計成為用戶、組或角色及其對應許可權的集合；同時允許對策略和規則進行重用、繼承和派生操作。這樣，不僅可以對受控對象本身進行訪問控制，受控對象的屬性也可以進行訪問控制，而且派生對象可以繼承父對象的訪問控制設定，這對於信息量巨大、信息內容更新變化頻繁的管理信息系統非常有益，可以減輕由於信息資源的派生、演化和重組等帶來的分配、設定角色許可權等的工作量。

OBAC從信息系統的數據差異變化和用戶需求出發，有效地解決了信息數據量大、數據種類繁多、數據更新變化頻繁的大型管理信息系統的安全管理。OBAC從受控對象的角度出發，將訪問主體的訪問許可權直接與受控對象相關聯，一方面定義對象的訪問控制列表，增、刪、修改訪問控制項易於操作，另一方面，當受控對象的屬性發生改變，或者受控對象發生繼承和派生行為時，無須更新訪問主體的許可權，只需要修改受控對象的相應訪問控制項即可，從而減少了訪問主體的許可權管理，降低了授權數據管理的複雜性。

3.2訪問控制策略

3.3安全核與引用監控器

3.4訪問矩陣模型

習題

第4章Bell-LaPadula多級安全模型

4.1軍用安全格模型

4.2BLP模型介紹

信息安全的形式化理論模型是系統安全策略的精確描述，有無歧義、簡單抽象的特點，在安全系統設計和開發過程中有重要作用。BLP模型是在1973年由D．Bell和J．LaPadula在《Mathematical founda-ons and model》提出並加以完善，它根據軍方的安全政策設計，解決的本質題是對具有密級劃分信息的訪問控制，是第一個比較完整地形式化方法對系統安全進行嚴格證明的數學模型，被廣泛應於描述計算機系統的安全問題。

BLP是安全訪問控制的一種模型，是基於自主訪問控制和強制訪問控制兩種方式實現，處理基於此之上的權利繼承轉讓等等關係，為大型系統的訪問控制提供一個安全保證。

BLP一開始作為軍方的一個安全模型出台，對於數據間的權利轉讓而產生變化的訪問許可權，提供一系列安全檢查，避免權利的過度轉讓產生的模糊泛濫。

BLP模型是一個形式化模型，使用數學語言對系統的安全性質進行描述，lBLP模型也是一個狀態機模型，它反映了多級安全策略的安全特性和狀態轉換規則。

BLP模型定義了系統、系統狀態、狀態間的轉換規則，安全概念、制定了一組安全特性，對系統狀態、狀態轉換規則進行約束，l如果它的初始狀態是安全的，經過一系列規則都是保持安全的，那么可以證明該系統是安全的。

BLP模型的基本安全策略是“下讀上寫”，即主體對客體向下讀、向上寫。主體可以讀安全級別比他低或相等的客體，可以寫安全級別比他高或相等的客體。“下讀上寫”的安全策略保證了資料庫中的所有數據只能按照安全級別從低到高的流向流動，從而保證了敏感數據不泄露。

4.3BLP模型元素

4.4BLP模型的幾個重要公理

4.5BLP狀態轉換規則

4.6BLP模型的幾個重要定理

4.7BellLaPadula模型的局限性

習題

第5章安全模型的構建

5.1建模的方法步驟

5.2模型構建實例

習題

第6章可信作業系統設計

6.1什麼是可信的作業系統

6.2安全策略

安全策略：是指在某個安全區域內（一個安全區域，通常是指屬於某個組織的一系列處理和通信資源），用於所有與安全相關活動的一套規則。這些規則是由此安全區域中所設立的一個安全權力機構建立的，並由安全控制機構來描述、實施或實現的。

6.3安全模型

6.4設計可信作業系統

6.5可信作業系統的保證

6.6實例分析

6.7可信作業系統總結

習題

第7章通用作業系統的保護

7.1被保護的對象和保護方法

7.2記憶體和地址保護

7.3一般對象的訪問控制

7.4檔案保護機制

7.5用戶認證

7.6小結

7.7未來發展方向

習題

第8章密碼學基本理論

8.1密碼學介紹

8.2對稱密碼

8.3公鑰密碼

習題

第9章密碼協定基本理論

9.1引言

9.2身份鑑別（認證）協定

……

第10章計算機病毒基本知識及其防治

第11章計算機病毒檢測與標識的幾個理論結果

第12章入侵檢測的方法與技術

參考文獻