网络攻击与防范1-安全概论.pptVIP

具体的设计原则 如果考虑的安全更加广泛，更加具体一些，可以参考美国著名信息系统安全顾问C·沃德提出的著名的23条设计原则。 (1) 成本效率原则。 (2) 简易性原则。 (3) 超越控制原则。一旦控制失灵(紧急情况下)时要采取预定的步骤。 (4) 公开设计与操作原则。保密并不是一种强有力的安全方式，过分信赖可能导致控制失灵。控制的公开设计和操作反而可以使信息保护得到增强。 (5) 最小特权原则。只限于需要才给予这部分的特权，但应限定其他系统特权。 (6) 设置陷阱原则。在访问控制中设置一种容易进入的“孔穴”，以引诱某人进行非法访问，然后将其抓获。 (7) 控制与对象的独立性原则。控制、设计、执行和操作不应该是同一个人。 (8) 常规应用原则。对于环境控制这一类问题不能忽视。 (9) 控制对象的接受能力原则。如果各种控制手段不为用户或受这种控制所影响的其他人所接受，则控制无法实现。 (10) 承受能力原则。应该把各种控制设计成可容纳最大多数的威胁，同时也能容纳那些很少遇到的威胁。 (11) 检查能力原则。要求各种控制手段产生充分的证据，以显示所完成的操作是正确无误的。 (12) 记账能力原则。登录系统之人的所作所为一定要让他自己负责，系统应予以详细登记。 (13) 防御层次原则。建立多重控制的强有力系统，如同时进行加密、访问控制和审计跟踪等。 (14) 分离和分区化原则。把受保护的东西分割成几个部分一一加以保护，增加其安全性。 (15) 最小通用机制原则。采用环状结构的控制方式最保险。 (16) 外围控制原则。重视篱笆和围墙的安全作用。 (17) 完整性和一致性原则。控制设计要规范化，成为“可论证的安全系统”。 (18) 出错拒绝原则。当控制出错时必须完全地关闭系统，以防受到攻击。 (19) 参数化原则。控制能随着环境的改变而改变。 (20) 敌对环境原则。可以抵御最坏的用户企图，容忍最差的用户能力及其他可怕的用户错误。 (21) 人的干预原则。在每个危急关头或作重大的决策时，为慎重起见，必须有人的干预。 (22) 安全印象原则。在公众面前保持一种安全的形象。 (23) 隐蔽原则。对员工和受控对象隐蔽控制手段或操作详情。 安全技术评价标准 随着计算机网络安全问题逐渐被人们所重视，如何评价其安全性，建立一套完整的、客观的评价准则成了人们关心的问题。安全技术评价标准为计算机安全产品的评测提供了方法，指导着信息安全产品的制造和应用，推动着计算机网络安全技术的发展。 1.可信计算机安全评价标准(TCSEC) 橘皮书(Trusted Computer System Evaluation Criteria—TCSEC)是计算机系统安全评估的第一个正式标准，具有划时代的意义。它于1970年由美国国防科学委员会提出，并于1985年12月由美国国防部公布。TCSEC最初只是军用标准，后来延至民用领域。TCSEC将计算机系统的安全划分为四个等级、七个安全级别(从低到高依次为D、C1、C2、B1、B2、B3和A级)。 D级和A级暂时不分子级。每级包括它下级的所有特性，从最简单的系统安全特性直到最高级的计算机安全模型技术，不同计算机信息系统可以根据需要和可能选用不同安全保密程度的不同标准。 D类：最低保护。无账户；任意访问文件。 C1类：自主的安全保护。系统能够把用户和数据隔开，用户以根据需要采用系统提供的访问控制措施来保护自己的数据，系统中必有一个防止破坏的区域，其中包含安全功能。 C2类：强制访问级别控制。控制粒度更细，使得允许或拒绝任何用户访问单个文件成为可能。系统必须对所有的注册、文件的打开、建立和删除进行记录。审计跟踪必须追踪到每个用户对每个目标的访问。 B1类：有标签的安全保护。系统中的每个对象都有一个敏感性标签而每个用户都有一个许可级别。许可级别定义了用户可处理的敏感性标签。系统中的每个文件都按内容分类并标有敏感性标签，任何对用户许可级别和成员分类的更改都受到严格控制，即使文件所有者也不能随意改变文件许可权限。 B2类：结构化保护。系统的设计和实现要经过彻底的测试和审查。系统应结构化为明确而独立的模块，遵循最小特权原则。必须对所有目标和实体实施访问控制。政策，要有专职人员负责实施，要进行隐蔽信道分析。系统必须维护一个保护域，保护系统的完整性，防止外部干扰。 B3类：安全域。系统的安全功能足够小，以利广泛测试。必须满足参考监视器需求以传递所有的主体到客体的访问。要有安全管理员，安全硬件装置，审计机制扩展到用信号通知安全相关事件，还要有恢复规程，系统高度抗侵扰。 A1类：最初设计系统就充分考虑安全性。有“正式安全策略模型”其中包括由公理组成的形式化证明。系统的顶级技术规格必须与模型相对应，系统还包括分发控制和隐蔽信道分析。 2.