高级操作系统讲义i

CC标准内容

包括3部分 1 介绍和模型 2 安全功能要求 3 安全保证要求

1 介绍和模型

目前，IT安全性评估通用标准（CC）已成为评估信息系统及其安全性的世界通用准则。

CC的开发目的：使各种安全评估结果具有可比性，在安全性评估过程中，为信息系统及其产品的安全功能和保证措施，提供一组通用要求，并确定一个可信级别。

应用CC的结果是：可使用户确定信息系统及安全产品对他们的应用来说，是否足够安全，使用中的安全风险是否可以容忍。

要评估的信息系统和产品被称为评估对象（TOE），如操作系统、分布式系统、网络及

其应用等。

CC标准中的缩写及其术语

缩写

EAL （Evaluation Assurance Level，评估保证级别）

由保证组件构成的包，该包代表了CC预定义的保证尺度上的一个位置。

TOE （Target of Evaluation，评估对象） 作为评估主体的IT产品和系统相关的管理员、用户指南文档。

PP （Protection Profile， 保护轮廓） 一组独立实现的，满足特定用户需求的TOE安全要求。

TSP （TOE Security Policy， TOE 安全策略）

规定TOE中资产管理、保护和分配的一组规则。

SF （Security Function， 安全功能） 为执行TSP中一组紧密相关的规则子集，必须依赖的部分TOE。

SEP （Security Function Policy， 安全功能策略）

SF执行的安全策略。

SOF （Strength of Function，功能强度） TOE安全功能的一种指标，指通过直接攻击其基础安全机制，攻破安全功能所需的最小代价。

ST （Security Target， 安全目标） 作为指定的TOE评估基础的一组安全要求和规范。

TSF （TOE Security Function， TOE安全功能）

正确执行TSP必须依赖的全部TOE硬件、软件和固件的集合。

TSC （TSF Scope of Control， TSF控制范围）

在TOE中发生，并服从TSP规则的集合。

TSFI（TOE Security Function Interface，TSF 安全功能接口）

一组交互式编程接口，通过它TSF访问、调配TOE资源或者从TSF获取信息。

术语

资产 包 组件 赋值 保证

攻击潜能 增强 用户

认证数据 授权用户 类

外部IT实体 连通性 依赖性 元素 评估

评估机构 评估方案 扩展 族

形式化 个人用户 身份

非形式化

内部通信信道 TOE内部传输 TSF间传输 迭代 客体

组织安全策略

产品

访问监督器 访问确认机制 细化 角色 秘密

安全属性 安全目的 选择

半形式化

基本级功能强度 中级功能强度 高级功能强度 主体 系统 TOE资源

TOE安全策略模型 TSF控制外传输 可信通道 可信路径 TSF数据 用户数据

安全性概念： 1） 安全上下文

安全性损坏一般包括：资产暴露于未授权的主体，资产由未授权的更改而损坏，资产的正当访问权被未授权主体的剥夺。

它们分别使资产丧失保密性、完整性和可用性。

2） 安全环境

包括所有相关的法律法规、组织安全策略、习惯、专门技术和知识。

3） 安全目标

应和已确定的TOE运行目标、产品目标以及已知物理环境一致。

4） IT 安全要求

分为安全功能要求和安全保证要求2类。

5） TOE概要规范

定义了TOE安全要求的实例。它给出了满足功能要求的高层次安全功能定义，以及确保

功能要求满足保证要求的措施。

6） TOE实现

CC方法 1）开发

开发过程中逐步对安全要求进行细化，最终成为安全目标（ST）中的TOE概要规范。 CC保证标准包含功能定义、高层次设计、低层次设计和实现抽象层次，要求开发者说明其开发方法是如何满足特定保证级别的CC保证要求的。

2） TOE评估

可以与开发过程同步进行或者随后进行。 TOE的评估过程要求具备：

一套TOE证据，包括一套评估过的ST作为TOE评估的基础。 评估所需要的TOE。

评估准则、评估方法和评估认证体系。

评估可以发现开发者问题，修改TOE错误和

弱点，减少将来运行时，安全性失效的可能。

3） 运行

用户可选用评估过的TOE。在试运行后，运行结果将反馈给开发者，以修改TOE或者重新定义其安全要求及假定的运行环境。

CC描述材料

1） 安全要求的表达 2） 安全要求的使用 3） 安全要求的来源

评估类型 1） PP评估 2） ST评估 3） TOE评估

2 安全功能要求

描述TOE所期望的安全行为，目标是PP或ST中陈述的安全目标。

CC提出了11个功能类，包括： 安全审计类

通信类

密码支持类

用户数据保护类 标识和鉴别类 安全管理类 隐秘类 TSF保护类 资源利用类 TOE访问类

可信路径/通道类

3 安全保证要求

定义了安全保证要求，包括衡量保证尺度的评估保证级（EAL），组成保证级别的每个保证组件，以及PP和ST的评估准则。

评估保证级 1）EAL

CC对TOE的保证等级定义了7个增强的EAL。

2）功能测试EAL1

目标：适用于对正确运行需要一定信任，但

安全威胁不严重的场合。

它为用户提供一个TOE评估，包括依据一个规范的独立测试，以及对所提供的指导性文档的检查，即使没有TOE开发者的帮助，EAL1评估也能成功进行，而且所需费用最少。

2) 结构测试EAL2 目标：EAL2在设计和测试时，需要与开发者合作，但不需要增加过多的投入，适用于低到中等级别的安全系统。

EAL2 通过功能和接口规范、指导性文档和TOE高层设计，对安全功能进行分析。

这种分析由以下测试支持：TOE安全功能独立性测试；开发者基于功能规范进行测试得到的证据；对开发者测试结构的选择性独立确认；功能强度分析；开发者搜索的脆弱性分析和基于更详细的TOE规范的独立性测试，实现在EAL1基础上安全保证的增强。

4） 系统测试和检查EAL3

目标：EAL3不对现有的合理开发实践作大规模的改变，适用于中等级别的安全系统。

通过更完备的安全功能测试范围，以及要求提供TOE在开发过程中不被篡改的可信任机制或程序，实现在EAL2基础上安全保证的增强。

5） 系统设计、测试和复查EAL4

目标：在通常情况下，对一个已存在的系统进行改造时，EAL4是所能达到的最高安全级别。

通过要求更多的设计描述，提供TOE在开发或交付过程中，不会被篡改的可信性的改进机制或程序，实现在EAL3基础上安全保证的增强。

6） 半形式化设计和测试EAL5

目标：适用于较高风险环境下的安全TOE的开发，这里受保护的资源值得花费教大的额外开销。

通过要求半形式化的设计描述，整个实现；更结构化的体系；隐蔽信道分析；以及提供TOE在开发过程中不会被篡改的可信性的改进机制或程序，实现在EAL4基础上安全保证的增强。

7） 半形式化验证的设计和测试EAL6

目标：适用于高风险环境下的安全TOE的开发，这里受保护的资源值得花费很大的额外开销。

通过要求更全面的分析，实现的结构化表示，更体系化的结构，更全面的脆弱性分析，系统化隐蔽信道识别，以及改进的配置管理和开发环境控制 等，实现在EAL5基础上安全保证的增强。

8） 形式化验证的设计和测试EAL7 适用于安全TOE的开发，该TOE应用在风险非常高的场合或有高价值资产值得保护的地方。

通过要求形式化表示、形式化分析、以及更全面的测试，实现在EAL6上安全保证的增强。

第六节

UNIX 操作系统的安全性

系统具有两个执行态

核心态：运行内核中程序的进程处于核心态。

用户态：运行核外程序的进程处于用户态。

一旦用户程序通过系统调用进入内核，便完全与用户隔离，从而是内核中的程序可对用户的存取请求进行不受用户干扰的访问控制。

标识

在安全结构上，Linux与UNIX基本上是相似的。如无特别说明，对UNIX的叙述对

Linux也是通用的。

标识

UNIX的各种管理功能都被限制在一个超级用户（root）中，其功能和Windows NT的 管理员（Administrator）功能类似。

作为超级用户，可以控制一切，包括：用户帐号、文件和目录、网络资源。超级用户允许你管理所有资源的各类变化情况，或者只管理很小范围的重大变化。

作为超级用户，可以控制那些用户能够进行访问，以及他们可以把文件存放在那里，控制用户能够访问那些资源，用户如何进行访问等。

鉴别

用户登录系统时，需要输入口令来鉴别用户身份。

当用户输入口令时，UNIX使用改进的DES算法（通过调用crypt（）函数实现）对其加密，并将结果与存储在/etc/passwd或NIS

（网络信息系统）数据库中加密用户口令进行比较；

存取控制

UNIX文件系统控制文件和目录中的信息存在磁盘及其他辅助存储介质上，它控制每个用户可以访问何种信息及如何访问。

它表现为一组存取控制规则，用来确定一个主体是否可以存取一个指定客体。

UNIX的存取控制机制通过文件系统实现。

权限有3种； r 允许读 w 允许写 x 允许执行

用户有3中类型

owner： 该文件的属主，文件的拥有者 group： 该文件所属用户组中的用户，即同组用户。

Other：其他用户。

UNIX系统中，每个进程都有真实UID、真实GID、有效UID、有效GID。当进程试图访问文件时，核心进程的有效UID、GID和文件的存取权限位中相应的用户和组进行比较，决定是否赋予其相应权限。

审计

UNIX系统的审计机制监控系统中发生的事件，以保证安全机制正确工作，并及时对系统异常报警提示。审计结果常写在系统的日志文件中。

最常用的大多数版本的UNIX都具有的审计服务程序是syslogd。

当前的UNIX/Linux系统很多都支持“C2级审计”，即达到了由TCSEC所规定的C2级的审计标准。

密码

当前UNIX系统中常使用的加密程序有： crypt 最初的UNIX加密程序； des 数据加密标准

一般在使用passwd程序修改密码时，如果输入的密码安全性不够，系统会给出警告，说明密码选择很糟糕，这时最好再换一个。绝对避免使用用户名或者其变化形式，因为有的破解程序就使用用户名来回变换测试。

UNIX/Linux可以提供一些点对点的加密方法，以保护传输过程中的数据，一般情况下，当数据在Internet网中传输时，可能要经过许多网关。在这个过程中，数据很容易被窃取。

UNIX也可以对本地文件进行加密，保证文件的一致性，防止文件被非法访问和篡改。可以一定程度地防止病毒、特洛伊木马等恶意程序。

网络

可以控制那些IP地址禁止登录，那些地址 可以登录。

标准的UNIX/Linux发布版本最近配备了入侵检测工具，利用UNIX配备的工具和从

Internet上下载的工具，可以使系统具备较强的入侵检测能力。

备份/恢复

备份的常用类型有3种：零时间备份、整体备份、增量备份。

系统的备份应根据具体情况制定合理的策略，备份文档应经过处理（压缩、加密等）合理保存。

第七节

安全操作系统应用

目前，安全操作系统的主要应用范围仍然是在国防和军事领域，在商用和民用领域尚未有成熟的安全操作系统出现。

在商用和民用领域占主导地位的仍是非安全操作系统。

操作系统安全与WWW

基于web的通信建立在HTTP协议之上，HTTP

协议的安全性直接影响WWW系统的安全性。 一般说来，基于web的通信存在以下几个安全问题：

1） 由于WebServer基于操作系统，操作系统的安全性直接关系到 WWW系统的安全性。 2） 由于HTTP协议没有提供安全机制，对正在进行的会话进行认证，因此不能判断是否有不可信任的第3方劫持了该会话。 3）由于HTTP协议没有提供加密机制，不可信任的第3方可以在客户端和服务器之间窃听用户之间的通信。

4） 由于HTTP是一个无状态协议，不保存有关用户的信息，因此不能证实用户的身份。 5） 目前大多数WebServer服务器只提供公共服务，不能针对企业内部用户进行粒度更为精细的访问控制。 6） 大多数WebServer服务器只提供非常弱的基于用户ID/口令的认证，并且一旦用户通过认证，则所有的用户权限相等，均能拥有WebServer所提供的所有服务。

要建立一个安全的web站点，必须考虑： 1） 支持WebServer系统的操作系统平台的

安全性；

2） WebServer系统本身的安全性。

为了解决以上问题，可以：

1） WebServer基于安全操作系统； 2） 网络上传输的数据经过加密；

3） 对正在进行的会话提供安全机制认证； 4） 主/客体按安全级进行分类，即主体应

拥有与其身份相符的许可证，而客体应赋予与其敏感性相称的安全级标签； 5） 不同的主体只能访问获得相应授权的

客体；

6） 攻击者不能够通过WebServer攻击操作

系统本身；

7） 在此系统上开发相应的软件是安全的。

为达到以上目标，以RedHat Linux系统上的Apache httpd为例），可以采用以下方法： 1） 选用安全操作系统，如安胜3.0作为

Apache httpd的工作平台；

2） 对网络上传输的数据加密，对正在进行

的会话进行认证；

3） 对Apache httpd 源程序进行修改，将

BLP模型应用于网络，实现主/客体间的访问控制机制，保证不同的主体只能访问获得相应授权的客体；

4） 为保证攻击者不能够通过WebServer

攻击操作系统本身，建立自己的安全中间件库，截获目前已知的可能造成缓冲区溢出的库函数，对之进行缓冲区边界检查；使可能造成缓冲区溢出的调用强制退出。

操作系统安全与防火墙安全

防火墙利用安全操作系统的保护机制 1 利用域间隔离

划分成3个区，系统管理区，用户空间区，病毒保护区。它们通过MAC机制的控制被分隔，从而保护了系统的安全性。

病毒保护区

包含不能被用户进程写的数据，文件，但可

被用户区的进程读。

防火墙中的关键数据有：安全策略，用户管理数据，组用户管理数据，审计数据，日志管理数据，系统配置数据。

2 利用安全操作系统的特权管理

攻击防火墙的技术之一是，修改防火墙的规则，使防火墙对其攻击无效。而要修改规则，修改者需要有一定的特权。

入侵者通常应用无特权的进程尝试实现特权操作。

3 利用安全操作系统的审计机制进行入侵检测与预警。

第八节

安全操作系统研究进展 8.1 多安全策略支持框架

1 存取控制广义框架（GFAC）

提供一个表达和支持多安全策略（构件）的框架，主要目标： （1） 使得描述、形式化和分析各种访问

控制策略更容易；

（2） 使得用户可以从系统开发者提供

的多个安全策略支持模块中选择几个进行配置，得到需要的安全策略，并可以确信安全策略得到了正确的实施；

（3） 对于所支持的每个安全策略，都能

证明满足了策略的原始定义；

GFAC假设所有的访问控制策略都可以视为：由安全属性构成的安全规则的集合，它定义了3个概念： （1） 权威（Authorities）：一个授权个

体，它可以定义安全策略、确定安全信息和给安全属性赋值；

（2） 安全属性（Attributes）：用于访

问控制决策的主体、客体的属性；

（3） 规则（Rules）：对安全属性和其他

安全信息之间相互关系的形式化描述，这种关系是安全策略的反映。规则由权威制订。

GFAC中将安全属性和其他访问控制数据称为访问控制信息（Access Control Information，ACI）；

将实现系统安全策略的规则称为访问控制规则（Access Control Rules， ACR）；

GFAC将访问控制分为2个部分：访问控制实施和访问控制决策。

优点：将访问控制的实施部分和访问控制的决策部分分离。

使访问控制实施与具体策略无关，可以方便地加入新策略模块而无须修改访问实施部分。

缺点：对效率的影响最大，特别是加入多个安全策略后效率影响显著。

2 FAM框架

基于策略描述语言的多安全策略支持框架。它定义一个灵活的授权管理器（Flexible Authorization Manager， FAM），用以在同

一系统中实施多个安全策略。 FAM有2部分组成： （1） 授权语言

用以描述授权和授权策略 （2） 授权请求处理器

依据描述的安全策略对用户的请求进行判决。

优点：利用授权语言可以描述多个安全策略，并在同一个系统中实施；

缺点： 由于安全策略是用语言硬编码，无法反映主客体和安全策略在系统运行中的动态变化。

3 配置RBAC模型支持多策略

利用RBAC模型来实施强制存取控制和自主存取控制策略。

RBAC模型实质是一种安全策略的描述方法，系统实施的安全策略是对RBAC访问控制机制配置的结果，所以，通过适当的配置，可以使RBAC支持多种安全策略。

4 FLASK框架

侧重动态安全策略的支持，由客体管理器和安全服务器组成；

客体管理器负责实施安全策略； 安全服务器负责安全策略决策；

优点：动态安全策略的支持

缺点：难以支持自主存取控制策略；安全策略的实施难以及时响应环境变化，特别是具有周期变化特性的安全环境；安全属性即时撤消机制不完善；

8.2 信息保障技术框架

（Information Assurance Technical Framework， IATF）

美国国家安全局编写的，为保护美国政府和工业界的信息与信息基础设施提供技术指南。

IATF定义了一个系统进行信息保障的过程，以及该系统中硬件和软件部件的安全要求。

计算机威胁的实质，IATF认为有以下5类攻击：

1） 被动攻击； 2） 主动攻击；

3） 物理临近攻击； 4） 内部人员攻击；

5） 软件/硬件配装分发攻击；

主要内容： 1 介绍

IATF建立在信息基础设施的概念上。信息基础设施包括通讯网络、计算机、数据库、管理、应用和消耗性电子器件。 主要分为以下几个部分：

1）主体

1----4章，提供一个总体的信息保障指导方针，帮助信息系统用户、安全工程师、安全体系结构设计人员和其他人更好地理解涉及到保护当前高互连的信息系统和网络枢纽的信息保障问题。

2） 技术部分

5----9章，附录A、B、C、D、E，为各深层防御提供其具体需求和解决方案，同时向政府和私人研究团队指出了现有的最佳保护解决方案与实际需要的信息保障能力之间的技术空白。

3） 执行摘要

附录F，概述了威胁，需求以及针对特定环境中的各种保护需求所推荐使用的解决方案。

4） 保护轮廓

它指出系统或产品的保障需求与保障功能。保护轮廓采用国际化的通用准则（Common Criteria）的语言与结构。附件G为IATF以后的章节预留了位置。它不仅包括关键的保护轮廓，也将包括一个可用保护轮廓的索引。

2 深层防御目标纵览

1）保护网络与基础设施 骨干网可用性

无限网络安全框架

系统互连与虚拟专用网（VPN） 2）保护区域边界 网络登录保护 远程访问 多级安全

4） 保护计算环境 终端用户环境

系统应用程序的安全 5） 支持性基础设施

密钥管理基础设施/公共密钥基础设施（KMI/PKI） 检测与响应

3 信息系统安全工程（ISSE）过程

流程：挖掘需求、定义系统功能、设计系统元素、开发和安装系统、评估系统有效性。

1）挖掘需求

系统工程过程运作的起点是对用户需求、相关政策、规则和用户环境标准的一系列决定。

需求应该产生与用户的观点，并且不应该过度约束系统的设计与执行。

系统工程师将检验用于相关需求、必要条件、设计限制的政策，以及虽未明确表明，但可能对系统设计造成影响的其它说明。

2）定义系统功能

系统要完成那些功能，该功能的实现应达到什么程度，以及系统有那些外部接口。

目标描述必须明确、可测、可验证。当所有的需求目标得以实现时，如果先前从需求到目标的解释正确且完整，这些需求便得以满足。

当明确了所有要求以后，系统工程师必须同其他系统负责人商议评估这些要求的正确性、完整性、一致性、互相依赖性，冲突和

接受测试的可能性。

功能分析的主要内容是分析功能之间，或功能与环境之间的联系。

3） 设计系统

必须满足包括功能、性能、接口、互操作和设计要求在内的一系列要求。好的系统设计将确保该系统能够满足客户需求。

功能分配

在这个过程中，系统工程师必须明确组件在实现其功能时，应采取什么物理形式。可以将一些功能分配给软件、硬件、固件和人。

初步设计，详细设计。

4） 系统实施

为所设计的系统开发并集成所有的组件，并队系统进行测试和验证。

5） 有效性评估

检测系统是否达到了任务的需求；

检测系统是否依照任务组织所期望的方式操作；

4 技术性安全对策

解释了在选择安全对策、技术和机制时，应该对主流的安全机制、强健性策略、互操作性、密钥管理基础设施/公钥基础设施等做什么样的考虑。

这些选择形成了正确技术对策的基础。

对手的主要目的通常分为3种： 未授权访问 未授权修改 授权访问拒绝

安全服务是指那些保护信息和信息系统免受威胁的服务。 访问控制 保密性 完整性 可用性

不可否认性

1） 访问控制

可以归为以下几类

识别与认证：建立带有一定保障级别的实体身份（认证身份）；

授权：决定实体的访问权，也带有一定保障级别；

决策：将一个认证身份的权利（授权）同请求行为的特征相比较，目的是确定请求是否应被批准；

执行：对批准、拒绝、或需要阶段/连续执行功能（连续认证）的决策；

2）保密性

匿名是保密性的一个子集，匿名服务防止因消息泄漏而导致端用户身份被识别；

保密性的要素为：数据保护、数据隔离、通信流保护；

3）完整性

防止未授权修改数据；检测和通知未授权数

据修改并将所有数据更改记入日志。

4）可用性

按照授权实体的要求，可被访问和可被使用的性质。

可用性问题的解决方案： 避免受到攻击 避免未授权使用 防止例程失败

可信操作系统的思想也可以用于限制网络攻击的有害影响。

通过包容恶意代码造成的损失，保证其他安全机制的适当操作，可信操作系统保证可用性。

可信操作系统显现的另一特征是操作完整性。

它确保在终端系统中执行的进程能够提供一致的、可重复的结果，而且该结果不受未授权访问的影响。

关键的系统组件必须提供物理安全保证，不

仅要避免遭到攻击和资源滥用，还要保证平台和应用程序不被修改，因为某些修改可以绕过某些提供可用性的安全服务调用。

6） 不可否认性

数字签名的认证特性可以提供不可否认性。 时间戳实现了记录通信或交易发生时间的目标。为实施最高级安全保障，时间戳被用于一个可信的时间戳服务，该服务在数据提交给预期的接受者之前，对数据项和时间戳一同进行数字签名。

选择安全对策时，也应该考虑： 强健性、互操作性、KMI/PKI

1） 强健性:安全机制的强度和保险程度的级别；

用户可以利用强健性策略来做下面的工作：

提供一个指导方针，帮助开发人员和集成人员评估：对于一个为了保护特定价值的资

源，处于特定的静态威胁环境中的信息的某种配置，而需要什么样的强健机制，那一级的保险程度（在开发方法，评估和测试中），以及何种评价标准。

为不同的用户情景（信息价值、威胁、配置）定义产品需求。

向安全需求开发人员、决策人员、客户代表、客户提供反馈；

在安全解决方案还不存在时，生成实验性的需求；

完成后继的，由于威胁、信息价值的变化，或者系统/网络的再配置引起的风险评估。

确定强健性级别

2） 互操作性 主要因素：

结构：所用的安全机制的类型，功能模块的

分配。

安全协议：安全服务，加密算法（方式、位长度），同步技术、主要交换技术。

产品许可标准化：实现声明中所支持的标准，有多种商业区域的授权和由政府部门证明许可的授权。

具有互操作性的KMI/PKI支持：包括密钥和认证模式、标志结构、交叉认证，目录系统和对损害的恢复能力。

安全策略协定：在允许来自其它网络，或系统的用户进行通信，或与利用他们的资源和信息的用户相互作用之前，必须决定用什么级别的最小保护机制和保障。

3） KMI/PKI

KMI/PKI过程产生、发布和管理安全信任书。

5 保护网络与基础设施

描述了网络通信的主要类型----用户通信、控制通信和管理通信，以及确保这些网络服务可用和安全的基本要求。

1） 骨干网可用性

网络管理通信的保护；

网络管理数据的分离，分离网络管理信息传输和用户数据。

网络管理中心的保护； 配置管理；

2） 无线网络安全框架

移动电话、卫星电话、WLAN、传呼、无绳电话。 建议：

蜂窝式电话还不适用于高度可靠的要求。 有几个蜂窝式服务提供商，提供用户信息空中加密，但是这种安全只用于空中连接，而不是遍历这个电话网络。

6 保护区域边界/外部连接

关注对进出某个区域边界的数据进行有效

的控制与监视。控制措施包括防火墙、护卫系统、VPN，标识和鉴别/远程用户访问控制机制等；

监视机制包括基于网络的入侵检测系统（IDS）、脆弱性扫描以及局域网病毒检测。

防火墙划定了一个边界，使边界中的用户使用安全连接；

边界护卫

由于信息保密性的缘故，通常禁止在专网和公网之间进行数据交换。

组合硬件的边界护卫与软件边界护卫，允许护卫以不同密级运行的区域边界之间安全的居域网连接。

通过使用以下功能和属性保卫网络边界的设备：

通常用于高级别保障； 支持更少的服务； 服务仅限于应用层；

可以支持应用数据过滤（检查）；

可以支持数据净化；

通常用于连接不同信任级别的网络，提供数据的重新分级。

区域边界内部与外部连接的网络监测

网络监测器：网络入侵检测，网络恶意代码检测；

网络入侵检测：签名检测、新攻击检测、基于日志检测；

本框架推荐考虑配置多种攻击检测模式，最好是从不同的厂商购买。这样，至少比只配置一种机制具有更大的检测可能性。

基本反恶意代码（主要是计算机病毒）技术： 预防产品：对恶意代码的第一层防御，用在系统被攻击之前；

防治产品：用来阻止复制过程，并在开始时防止恶意代码感染系统；

短期检测产品：在系统被感染后，迅速检测到；

长期检测产品：在系统被感染一段时间后，识别出恶意代码，通常将恶意代码删除并恢复系统。

区域边界内部的网络扫描器

网络漏洞扫描器可以归为以下几类： 简单漏洞识别与分析 全面漏洞识别与分析 密码破译

风险分析工具

用风险分析工具预测的漏洞，可以使用漏洞扫描工具来进一步确定；

恶意代码

恶意代码可以通过许多途径攻击授权的局域网用户、管理员、工作站、个人计算机用户。

潜在的攻击机制 1） 病毒和蠕虫

操作系统是控制所有对系统的输入输出，以及管理程序执行的软件。

一个病毒或者蠕虫，有2种途径感染操作系

统：

通过完全替换一个或多个操作系统程序，或者把自己附加在已有的操作系统程序上，并且改变其功能。

病毒或蠕虫通常在操作系统代码中，或者在“不可使用”的扇区中创建几个隐藏文件。

由于操作系统的感染是难以检测的，所以，对于有些要依赖于操作系统为它们提供基本功能的系统来说，这种感染是致命的。

2） 宏病毒

宏病毒将它们附加在应用程序初始化序列中。当一个应用被执行时，病毒指令首先执行，然后再把控制交给应用程序。

一个宏病毒可以轻易感染许多应用程序，比如：Microsoft Word和Excel。

3） 逻辑炸弹

逻辑炸弹被激活后，它可以通过下面的途径恶意攻击系统：终止机器、制造刺耳噪音、

更改视频显示、破坏磁盘上的数据、导致磁盘失败、减慢、使操作系统崩溃。

它可以通过写入非法的值来控制视频卡的端口，使监视功能失败、使键盘失败、破坏磁盘以及释放出更多逻辑炸弹/病毒（间接攻击）。

4） 特洛伊木马

可以隐藏在任何用户想得到的东西内部，如免费游戏、mp3、或其它程序。 它们通常通过HTTP或FTP下载。

一旦这些程序被执行，一个病毒、蠕虫或其它隐藏在特洛伊木马程序中的恶意代码就会被释放出来，攻击个人用户工作站，随后就会是网络。

5） 网络攻击

最常见的攻击是通过产生大量传输控制协议/网络协议（TCP/IP）数据流来拒绝服务。

6） 陷门

通过陷门，系统管理员和授权用户可以很容

易地访问系统或系统资源。它们通常不需要口令就可以做到这些。

具有陷门知识的授权用户和非授权用户可以把各种各样的恶意代码植入系统的敏感区域。从而第一层对恶意代码的防御和阻止就被饶过去，系统必须依赖检测和删除机制，来清除系统中被引入的恶意代码。

7） 内部人员攻击

内部人员对系统具有合法访问权限，并且通常有特定的目的和目标。它们可以通过使系统处理能力和存储容量超过负载，或者通过使系统崩溃，来影响系统资源的可用性。

8） 连接/口令监听 一个“嗅探器”（sniffer）是一种恶意地监视所有网络流量的软件或硬件。它具有扑获 所有网络流的能力，包括口令和其它以明文方式传送的敏感信息。

另外，要想检测到其它机器上的嗅探器是极为困难的。

恶意代码类型： 1） 病毒

最具潜在破坏性的和最难检测的病毒是数据更改型病毒，它们更改系统数据。

一个病毒的生命周期包括：复制阶段、发作阶段。

2） 宏病毒

随着应用程序宏编程的出现，而出现。 宏病毒通常使宏菜单选择失效，使用户无法看到那些宏正在执行。

3） 多态病毒

在每次感染以后，都改变它们的外表。 这种病毒通常很难检测，因为它们对于发病毒软件是隐藏的。多态病毒在每次感染以后，都改变它们的加密算法。

一些多态病毒可以具有超过20亿种不同的可能伪装。

这意味着，反病毒产品必须执行启发式的分析，而不是用发现简单病毒的谱分析。 一个多态病毒有3个组成部分：一个杂乱的

病毒体，解密例程，一个变化引擎。

4） 秘密病毒

秘密病毒企图躲过操作系统和反病毒软件。一些简单的技术：包括隐藏日期和时间变化，以及隐藏文件大小的增加。

秘密病毒有时将自身加密，使得检测更加困难。

秘密病毒也通过简单的下载过程进入系统，不具戒心的用户只有通过从可信任的来源下载文件，才可以防止这种类型的感染。

5） 蠕虫

蠕虫可以侵入合法数据处理程序，并且更改或破坏这些数据。

现在蠕虫可以主动地攻击网络上的其它用户，通过把自身放在用户正在发布或正在邮寄的同一个新闻组或电子邮件地址中。

6） 逻辑炸弹

逻辑炸弹一般是加在现有应用程序上的，大部分逻辑炸弹被添加在被感染应用程序的

起始处，从而每当该应用运行时，就会运行炸弹。

当被感染程序运行时，逻辑炸弹首先运行，通常要检查各种条件，看是否到了运行炸弹的时间。如果没有，控制权就被归还给主应用程序，逻辑炸弹仍然安静地等待。

当正确的时间到时，逻辑炸弹的其余代码就会执行。

7） 特洛伊木马

是一种表面上无害的程序或可执行文件，通常以电子邮件消息的形式，但实际上内含恶意代码。

多级安全

在任何情况下，都不允许高级数据在两个级别的网络中的任何方向传输。

在高级-低级的策略中有3个原则：

1） 在高级网络的高级数据不能向低级网

络传输；

2） 必须保护高级网络免受可能导致高级

数据被低级网络的用户泄露、篡改、破坏的攻击；

3） 高级网络的资源，不能由非授权的低级

网络用户使用、修改、破坏、禁止。

在本框架共涉及以下3种目标环境：

1） 允许高级网络中的用户向低级网络中

的用户推送低级数据，并允许低级网络中的用户向高级网络中的用户推送低级数据。

2） 允许高级网络中的用户，将数据降级为

低级，并将其推送给低级网络中的服务器，以便随后低级网络中的用户提取该数据；

3） 允许高级网络的用户查看和导入（提

取）低级网络中数据。

这3中特性分别被成为： 通信性能； 发布性能；

网络访问性能；

7 保护计算机环境

计算环境包括终端用户工作站----台式机和笔记本电脑，工作站包括了周边设备。

系统应用程序安全

操作系统提供了基本的数据隔离机制，但该机制不能满足信息安全的全部需要。 它主要有2个缺点：

首先，操作系统不能满足所有的专用安全策略的要求；

其次，操作系统允许特权软件绕过操作系统的限制。

通过提供某些安全功能或服务，比如采用加密技术来加密数据，应用程序可以祢补操作系统的不足之处。

8 支持性基础设施

KMI/PKI及检测与响应。

KMI/PKI关注对管理公钥证书和对称密钥进行管理的技术，服务和过程。

检测与响应讨论针对可疑的计算机攻击进

本文来源：https://www.bwwdw.com/article/fala.html