CS10-Misc...ppt

若干专题简介 lbwang@ 主要内容 安全设计原则（补充） 数据库安全 入侵检测 恶意软件 防火墙 安全评估与可信系统 设计原则 概述 Saltzer和Schroeder描述了八条设计与实现安全机制的基本原则，这八条原则充分体现了简单性与限制性（simplicity and restriction）的思想 KISS－Keep It Simple and Stupid！ 为什么要求简单性和限制性？ 简单性增强了设计与机制的可理解性。更重要的是，简单的设计更不易出错。 简单性也减少了安全策略中或不同安全策略之间潜在的不一致性 限制性减弱了实体的能力，实体只能访问其所需要的信息。 设计原则 最小权限原则 定义13-1. 最小权限原则规定只授予主体用于完成任务所需的权限。 这条原则要求进程应该被限制在尽可能小的保护区域之内。 自动防障缺省原则 Principle of Fail-Safe Defaults 定义 13-2. 自动防障缺省原则规定，除非显式授予某主体对特定客体的访问权，否则此主体必须被拒绝访问该客体。 限制在主体或客体被创建时，如何初始化它们的权限 机制简约原则 定义 13-3. 机制简约原则规定安全机制必须尽可能简单。 完全仲裁原则 定义13-4. 完全仲裁原则要求所有对客体的访问都要经过检查，以保证这些访问的合法性。 开放设计原则 定义13-5. 开放设计原则规定机制的安全性不应依赖于机制设计与实现的保密性。 开放设计原则暗示复杂性并不直接增强安全性。 权限分离原则 定义13-6. 权限分离原则规定系统不能根据单一条件签发访问许可。 权限分离原则等价于曾讨论过的职责分离原则 最少公共机制原则 最少公共机制原则是限制性原则，因为它要限制资源的共享。 定义13-7. 最少公共机制原则规定用于访问资源的机制不应被共享。 心理可承受原则 定义13-8. 心理可承受原则要求安全机制不应使得资源访问比没有安全机制时更为困难。 心理可承受原则可以这样理解：安全机制可能为系统增加了额外的负担，但这种负担必须是最小的而且是合理的。 数据库安全的主要问题 用户认证 访问控制（授权、细颗粒度） 加密 审计 DBMS 与 OS的区别？ 系统的区别决定了安全机制的区别。 思考： 访问控制 加密 审计 数据库安全的相关阅读 Database application security: Balancing encryption, access control：/tip/0,289483,sid14_gci1517412,00.html The role of encryption in database security： /article.php?id=1232p=1 入侵检测 系统入侵不可避免 需要使用入侵检测来 阻止检测到的入侵行为 作为一种震慑 收集信息，以提高安全性 假设入侵者的行为有别于合法用户的行为 差别不可能非常明显，甚至还有相似之处 IDS的目标 能检测出多种入侵。内部、外部的攻击；已知、未知的攻击。 入侵检测要适时（非实时），即同时考虑系统效率与安全性 用简单、易于理解的方式把分析结果表达出来 精确性。将误检率、漏检率降到最低。 攻击者的目标（换一个角度看问题） 攻击目标明确 攻击可以协同进行 攻击传播性要强（瞬间打垮整个国家的网络） 高速度！不可阻挡！ 攻击者行为与合法用户行为相同！ 攻击者最担心的问题是什么？ ?the problem with most network attacks is that they dont hurt enough. IDS的基本方法 统计异常检测（statistical anomaly detection） 阈值检测（threshold） 基于轮廓的检测（profile based） 基于规则的检测（rule-based detection） 异常检测（anomaly） 渗透鉴别（penetration identification） 统计异常检测 阈值检测 对一定时间内的特殊事件进行计数 如果发生次数超过期望的合理数字，则…… 粗糙而且效率不高 基于轮廓的检测 刻画用户（组）过去的行为特征 用于发现重大偏差的行为 profile 通常包含多个参数集 基于规则的入侵检测 通过观察系统中的事件，运用规则集判断一个给定的活动模式是否可疑。 基于规则的异常检测 基于规则的渗透鉴别 Why anomaly based IDS are a hackers best friend? ?? /~stamp/cv/tripreports/defcon11.html 分布式入侵检测 针对网络系统 主要问题 要处理多种不同格式的审计记录 必须保证网络数据的完整性与