计算机安全笔记 二.计算机安全基础

发表于

CIA#

Confidentiality 保密性#

只有经授权的用户/系统可以访问受保护的数据 (系统资源, 系统服务).

  • 加密保护: 阻止未授权实体理解信息
  • 访问控制: 阻止未授权实体获取信息

开源情报(Open Source Intelligence, OSINT): 从公开的信息资源中寻找有价值的情报

  • Discovery 发现
  • Discrimination 鉴别
  • Distillation 浓缩
  • Dissemination 分发

Integrity 完整性#

完整性即外部一致性, 存储在计算机系统中的数据应当正确地反映计算机系统外的某些事实.

  • 数据完整性: 确保数据 (包括软件代码) 只能按照授权的指定方式进行修改的属性
  • 系统完整性: 指系统没有受到未经授权的操控, 能完好无损地执行预定功能的属性

Availability 可用性#

确保系统及时工作并向授权用户提供所需服务的属性.

其他特性#

Survivability 可生存性: 系统在遭受攻击, 故障或意外事故的情况下, 能够及时完成其主要任务的能力.

Accountability 可审计性/问责性: 审计信息必须有选择地保存和保护, 以便影响安全的行为可以被追溯到责任方.

Non-repudiation 不可否认性: 可审计性的更强形式, 能对发生的具体行为提供不可欺骗的证据.

3A: 认证, 授权, 审计#

  • Authentication, 验证一个被声称的身份的过程, 不同强度的认证方式
  • Authorization, 控制主体如何访问客体的策略, 资源访问权限
  • Auditing, 记录和跟踪与安全有关的事件, 操作日志集中记录管理和分析

第四个 A: Accounting 记账, 统一集中的账号管理

Controllability 可控性: 对于风险的控制能力, 对风险进行事前识别, 预测, 防范和化解.

计算机安全#

计算机安全: 研究如何预防和检测计算机系统用户的非授权行为.

Information Assurance 信息保障#

通过确保信息和信息系统的可用性, 完整性, 可审计性, 保密性和不可抵赖性来保护信息和信息系统的信息作战行动, 包括综合利用保护, 检测和响应能力以恢复系统.

核心要素:

  • 管理 (人)
  • 技术: PDRR
  • 操作

PDRR 模型#

  • Protect
  • Detect
  • React
  • Restore

数据与信息#

隐蔽信道/隐信道: 不受安全机制控制的信息流.

计算机安全系统的设计原则#

  • 整体性: 从整体上构思和设计
  • 分层性: 设置多个防护层次
  • 最小授权: 权限分割, 互相制约, 最小化原则
  • 简单性: 安全过程尽量简洁, 工具易于使用且便于管理
  • 等级性: 安全层次和安全级别

刚看完一堆 SCP 文档记这个笔记真是太有感觉了.