― 私有性:确保个人对哪些与其有关的信息可被收集和存储,以及该信息可由谁透露和透露给谁予以控制或影响。 ● 完整性:该术语包括两个相关的概念:
― 数据完整性:确保信息和程序只以指定的和特许的方式改变。
― 系统完整性:确保一个系统以未受削弱的方式执行其预定功能,不受有意或无意的未经授权的操纵。
● 可用性:确保系统迅速工作,特许用户不会得不到服务。
这三个概念组成一个常被称为“CIA(机密性、完整性与可用性)三位一体”的概念。虽然用CIA三位一体的概念来界定安全目标是已经得到确认的做法,但安全领域里的有些人感觉需要添加概念,以呈现全貌。最常提到的有如下两个概念:
● 可靠性:指真实并可验证、可信的特性;对一次传输、一条消息或一个消息来源的有效性的相信。这意味着验证用户的身份确实如其所说,以及抵达系统的每条输入出自一个可信的来源。
● 可问责性:指这样的安全目标,该目标要求一个实体的行为只会追究到该实体。这支持不可否认性、威慑、故障隔离、入侵检测与预防及事后恢复与法律行动。因为真正安全的系统还不是一个可以实现的目标,所以我们必须要能够将破坏安全的行为追究到一个责任方。系统必须留有对自身活动的记录,以便事后能够进行司法分析,从而追究破坏安全的行为或为解决交易纠纷提供帮助。 二、威胁与资源
一个计算机系统的资源可分类为硬件、软件、数据及通信线路与网络。我们将简短地描述这四个类别,并将其和完整性、机密性与可用性的概念联系起来。
1.硬件
对硬件的一个主要威胁是对可用性的威胁。硬件最容易受到攻击,最不易受到自动控制。威胁包括对设备的意外和有意破坏及盗窃。个人计算机和工作站的激增,以及局域网的广泛使用,增加了这个领域内遭受损失的可能性。只读光盘和数字激光视盘(DVD)被盗可能导致机密性受损。对付这些威胁,需要物理安全措施与管理上的安全措施。
2.软件
对软件的一个关键威胁是对可用性的攻击。软件,尤其是应用软件,常常易于删除。也可改动或破坏软件,使其变得无用。通过仔细的软件配置管理,包括备份最近的软件版本,可保持高度的可用性。一个比较难解决的问题是软件遭到修改,导致一个程序虽然仍然运行,但表现得与以前不同。这是一种对完整性/可靠性的威胁。计算机病毒及相关的攻击属于这
41
个类别。最后一个问题是针对软件盗版的保护。尽管可采取某些对策,但未经授权复制软件这个问题总的说来尚未解决。
3.数据
与数据有关的安全关切范围广泛,包括可用性、保密性和完整性。就可用性而言,安全关切在于数据文件的毁坏,这可能意外发生,也可能恶意为之。
保密性方面的关切显然在于数据文件或数据库遭到未经授权的阅读,而这个领域在计算机安全诸领域中也许一直是得到研究和投入最多的问题。对保密性的一种不那么明显的威胁涉及数据分析,这种威胁表现在对所谓的统计数据库的利用。统计数据库提供总计或合计信息。随着统计数据库使用的增加,个人信息遭到泄露的可能性在增加。例如,如果一个表记录了调查对象A、B、C和D的收入总数,另一个表记录了A、B、C、D和E的收入总数,那么两个总数之差就是E的收入。
最后,数据完整性在大多数设施中是一个主要关切。对数据文件的修改可能导致从轻微到灾难性的后果。
4.通信线路与网络
网络安全攻击可分为被动攻击和主动攻击。被动攻击试图了解或利用来自系统的信息,但不影响系统资源。主动攻击试图改变系统资源或影响其运行。
被动攻击具有窃听或监听信息传输的性质。攻击者的目的是获取正在传输的信息。被动攻击的两种类型是报文内容泄露和通信分析。
报文内容泄露容易理解。电话交谈、电子邮件和发送的文件可能含有敏感或机密信息。我们希望阻止对手了解这些信息传输的内容。
通信分析比较微妙。如果我们有加密保护,对手可能仍然能够观察报文模式。对手可确定通信主机的位置与身份,并可观察被交换报文的频率与长度。这些信息有助于推测正在进行的通信的性质。
被动攻击很难检测,因为它们不涉及对数据的任何改变。因此,对付被动攻击的重点是预防而非检测。
主动攻击涉及对数据流的某种修改或假数据流的创建。主动攻击可细分为四类:重放、伪装、修改报文和拒绝服务。
重放涉及被动地捕获一个数据单元和随后重新传输该数据单元,以产生未经授权的效果。
当一个实体假装是一个不同的实体时,伪装便发生了。伪装攻击通常包括其他的主动攻击形式之一。例如,可在一个有效验证序列发生后捕获并重放验证序列,从而使一个只拥有
42
少数特权的特许实体能够通过假冒一个拥有额外特权的实体而获得这些特权。
修改报文就是改变一个合法报文的某个部分,或者推迟报文或对报文进行重新排序,以产生未经授权的效果。
拒绝服务指阻止或抑制通信设施的正常使用或管理。这种攻击可能有一个具体目标;例如,一个实体可能压制发往一个特定目的地的所有报文。拒绝服务的另外一种形式是扰乱整个网络,采取的方式或者是致瘫网络,或者是使其报文过载,从而使其性能退化。
要绝对预防主动攻击很难,因为这样做需要对所有的通信设施与路径始终提供物理保护。相反,目标是检测它们,并从它们导致的任何扰乱或延迟中恢复过来。
三、计算机安全策略
一项综合安全策略涉及三个方面:
● 明确说明/政策:安全方案应该做到什么? ● 实施/机制:安全方案如何做到这些? ● 正确性/保证:安全方案真的能起作用吗? 1.安全政策
在制定安全政策时,安全管理员需要考虑以下因素: ● 所保护资源的价值 ● 系统的脆弱之处
● 潜在威胁及攻击的可能性。
另外,安全管理员还必须考虑以下权衡:
● 易用与安全:几乎所有的安全措施都会在易用性方面造成某种不利结果。例如,病毒检查软件会降低可用的处理能力,并会因为安全软件与操作系统的不适当交互而带来系统崩溃或发生故障的可能性。
● 安全成本与失败及恢复费用:除了易用性和性能方面的代价,还有实施和维持安全措施的直接费用。所有这些成本都必须和缺乏某些安全措施造成的安全失败及恢复费用进行权衡。 2.安全实施
安全实施涉及四个互补的行动方案:
● 预防:有一系列广泛的威胁,预防对其是合理的目标。例如,如果使用了保密的加密算法,并且已经采取了防止未经授权接触密钥的措施,那么,就会防止对被传输数据的机密性的攻击。
● 检测:在很多情况下,绝对保护是不可行的,但检测安全攻击是可行的。例如,有
43
用于检测是否有未经授权的个人登录到系统上的入侵检测系统。
● 反应:如果安全机制检测到正在进行的攻击,系统或许能够以制止攻击、防止进一步破坏的方式作出反应。
● 恢复:恢复的一个例子是使用备份系统,在数据完整性受损的情况下,可重新装入事先复制的正确数据。 3.保证与评估
那些属于计算机安全服务与机制“消费者”的人们,希望能够相信所采取的安全措施可发挥预期的作用。也就是说,安全消费者希望感到他们系统的安全基础设施符合安全要求,可执行安全政策。这些考虑因素将我们导向保证与评估的概念。
保证是指一个人对安全措施,既包括技术上的也包括操作上的,可像预期的那样有效保护系统及其处理的信息,所持有的信心程度。这既包括系统设计,也包括系统实现。因此,保证涉及“安全系统设计符合要求吗?”和“安全系统实现符合规格说明吗?”这两个问题。需要注意的是,保证表示为信心程度,而不是对设计或实现正确的正式证明。就现在的发展水平而言,即使不是不可能,也很难超越一定的信心程度,做到绝对的证明。
评估是指按照某些标准检查计算机产品或系统的过程。评估涉及测试,也可能涉及正式的分析或数学方法。该领域里的工作要点是制定这样的评估标准,这些标准可应用于任何安全系统(包括安全服务与机制),并在进行产品比较方面得到广泛支持。
第十一单元:计算机文化
课文A:使用电子邮件
一、引言
电子邮件是通过计算机网络收发消息及文件的一种电子系统。不过,与电话或纸质文档相比,电子邮件在工作场所中仍属于比较新的事物。这里有几条使用电子邮件时需记住的指导原则:
● 电子邮件越来越多地用于专业目的——不久以前,电子邮件还被视为一种次要的交流形式。那时,它自然并具有聊天式的风格,大多用于表达未加深思的意见或传递不重
44
要的信息。今天,电子邮件在大多数工作场所已成为一种主要的交流形式。因此,人们期待电子邮件具有专业性,不轻薄琐屑。
● 你会收发消息吗? ● 你会转发文档给他人吗? ● 你会收发附件吗? ● 你把电子邮件分类整理到文件夹中吗? ● 你会把一封电子邮件发给多个人吗? ● 你已经创建和使用签名文件了吗? ● 你加入任何邮件讨论组(新闻组)了吗? ● 你知道什么是在邮件讨论组中争论吗? ● 你知道什么是垃圾邮件吗? ● 你知道什么是网规吗? 是 否 得分 得分(是) 8~10分 专家级 7~8分 熟练级 5~6分 入门级 0~5分 需要努力 图11A-1:测试你的电子邮件准备就绪状态
● 电子邮件是一种公开的交流形式——你的读者可能把你的电子邮件有意发给或误发给数不清的其他人。所以,你不应该用电子邮件说那些你不愿公开说给主管、同事或客户听的事。
● 电子邮件越来越正式——过去,读者会原谅电子邮件中的打字错误、拼写错误以及过失,特别是在电子邮件刚出现并难以使用的时候。今天,读者期待电子邮件更为正式,能够显示出对其他交流形式所期待的质量。
● 电子邮件标准和常规还在形成中——电子邮件在工作场所应该如何使用,这一点还在探索中。关于电子邮件的适当(以及不适当)使用,人们持有相差甚远的看法。因此,你需要密切关注在你的公司和你读者的公司中电子邮件是如何使用的。如果你的公司制定有关于电子邮件使用的政策,你应该阅读并遵循该政策。
你还应该记住,法律约束对在工作场所如何使用电子邮件具有决定性作用。像任何其他的书面文档一样,电子邮件受版权法保护。因此,你得小心,不要以可能触犯版权法的任何方式使用电子邮件。例如,如果你收到一位客户的电子邮件,在没有得到该客户允许的情况下,你不能将电子邮件马上发布到你公司的网站上。
还有,律师和法庭把电子邮件视为书面通信,将其等同于备忘录或信函。例如,20世纪90年代末针对微软的反垄断案在很大程度上就是以恢复的电子邮件为根据的;在这些电子邮件中,比尔·盖茨和其他经营主管人员非正式地聊到与其他公司展开大胆有力的竞争。
从法律上讲,你通过雇主的计算机网络发送的任何电子邮件都属于雇主。因此,你的雇
45