计算机系统安全概论

1. 网络空间安全计划

1.1 美国

2008 年,美国启动“国家网络安全教育计划”(National Initiative for Cybersecurity Education,NICE),由美国国家标准与技术研究院(NIST)组织实施。该计划由美国《国家网络安全综合计划》演进而来。目前,NIST 致力于向高技术部门和政府部门以外的学校、图书馆和一般的办公场场合推广“国家网络安全教育计划”,旨在提高美国各地区、各年龄段公民的网络安全意识和技能。

NICE 主要承担领导国家安全意识提升网络安全正规教育领导联邦网络安全人员结构以及领导网络安全人员培训与职业发展四项使命,其主要目标是增强公众有关网络活动风险的意识、扩展国家网络安全人员队伍以及建立和维持一支无人能敌、具有全球竞争力的网络安全力量。

1.2 欧盟

1999 年,欧盟首次启动为期 5 年的第一个“安全网络计划”(EU Safer Internet Program),目前正在进行第 5 个“安全网络计划”(2019-2024)。

该计划主要是对欧盟共同体进行网络安全教育,重点强调青少年的网络安全风险,将在线指导作为一项优先任务。

该计划的主要目标是“针对儿童和青少年,促进网络和其他通信技术的更安全应用;教育儿童、家长、教师与非法和有害的在线内容进行斗争”。

1.3 中国

  • 建立主动防御的技术保障体系
  • 建立可信免疫的计算体系结构

确保操作行为、资源配置、数据存储策略管理的可信,达到攻击者进不去、非授权者拿不到重要信息、窃取保密信息看不懂、系统和信息篡改不了、系统工作不瘫痪、攻击行为赖不掉的防护效果。

做到可知(最困难)、可编、可重构、可信、可用。

2. 中华人名共和国密码法

围绕“怎么用密码、谁来管理密码、怎么管理密码”,重点规范了 5 方面 44 条内容。

2.1 立法目的

  • 为了规范密码应用和管理,促进密码事业发展,保障网络和信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益
  • 社会公众使用密码保护网络与信息安全的意识还不够强,网络诈骗、个人隐私泄露等问题频发
  • 重要网络与信息系统密码应用的规范性、有效性不够等问题还比较突出,严重威胁国家网络与信息安全、企业商业密码以及公民个人隐私保护
  • 指定《密码法》就是为了适应我国网络安全的新形势,提升密码工作的科学化、法治化、规范化水平,保障网络与信息安全

2.2 分类管理

  • 核心密码、普通密码用于保护国家秘密信息,属于国家秘密
  • 商用密码用于保护不属于国家秘密的信息,公民、法人和其他组织可以依法使用商用密码保护网络与信息安全

3. 计算机系统安全

3.1 安全问题

3.2 安全目标

  • 机密性 Confidentiality:授权用户具有读权限

  • 完整性 Integrity:仅被授权实体可按所授权限进行修改

  • 可用性 Availability:仅被授权实体可访问

3.3 防御方法

  • 防止 Prevention
  • 阻碍 Hindrance
  • 震慑 Deterrence
  • 偏差 Deflection
  • 检测 Detection
  • 恢复 Recovery

3.4 安全原则

  • 最弱链接原则

  • 适当保护原则:安全目标不是最大化安全,而是最大化实用性,限制风险的花费控制在可接受范围内

  • 有效性原则:必须使用控制措施;控制措施要适当、有效;措施要充分、适合、容易使用;用户心里能接受

  • 深度防御

  • 晦涩的安全是不起作用的