【正文】 采用合適的機(jī)制，包括認(rèn)證、訪問控制、審計(jì)、加密 /解密，用以保證系統(tǒng)的安全性； – 從代碼上保證。比如找到一個(gè) Guest帳號進(jìn)入系統(tǒng)。 ? 法律和習(xí)慣 – 所有的安全手段是否合法？ – 人們是否愿意去執(zhí)行它們？ 70 人的因素 ? 組織問題 –權(quán)力和責(zé)任 –經(jīng)濟(jì)利益 ? 人員問題 –內(nèi)部威脅還是外部威脅 ? 哪個(gè)是你認(rèn)為的真真的威脅 –社會(huì)工程 ? 一種攻擊手段，與人員的安全意識緊密相關(guān) 71 思考題－如何保護(hù)你的 project ? 什么是你的 project的安全性？ ? 現(xiàn)有哪些威脅在影響你的 project？ ? 如何保護(hù)你的 Project？ ? 制定幾條安全策略用以保護(hù)你的 project？這些策略夠了嗎？ ? 如何執(zhí)行上述安全策略？ ? 如何解決相應(yīng)的組織問題和工具問題？ ? 有哪些運(yùn)作問題存在？ ? 有哪些人的問題存在？ 72 信息系統(tǒng)安全攻擊的概述 73 案例分析 ? 2023年， 《 信息周刊 》 （ Information Week）對 4500個(gè)安全專家進(jìn)行了一個(gè)全球信息調(diào)查。 delete D from A[s4,s4]。 end 47 單調(diào)命令 (MonoOperational Commands) ? 使得進(jìn)程 p 成為文件 g的 owner mand make_owner(p, g) enter own into A[p, g]。 ? 以上的連接過程在 TCP協(xié)議中被稱為三次握手（ Threeway Handshake）。所以，萬事達(dá)卡的“外泄卡”中，也有 %（大約 5600張）在中國內(nèi)地， %（大約 10000張）在香港。萬事達(dá)卡表示，偵測發(fā)現(xiàn)此次事件之后，立即主動(dòng)發(fā)出預(yù)警通知所有銀行、金融機(jī)構(gòu)，呼吁所有單位須更加小心保護(hù)自身權(quán)益。 17 可用性破壞案例 (續(xù) ) – 問題就出在 TCP連接的三次握手中，假設(shè)一個(gè)用戶向服務(wù)器發(fā)送了 SYN報(bào)文后突然死機(jī)或掉線，那么服務(wù)器在發(fā)出 SYN+ACK應(yīng)答報(bào)文后是無法收到客戶端的 ACK報(bào)文的（第三次握手無法完成），這種情況下服務(wù)器端一般會(huì)重試（再次發(fā)送 SYN+ACK給客戶端）并等待一段時(shí)間后丟棄這個(gè)未完成的連接，這段時(shí)間的長度我們稱為 SYN Timeout，一般來說這個(gè)時(shí)間是分鐘的數(shù)量級（大約為 30秒 2分鐘）；一個(gè)用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個(gè)線程等待 1分鐘并不是什么很大的問題，但如果有一個(gè)惡意的攻擊者大量模擬這種情況，服務(wù)器端將為了維護(hù)一個(gè)非常大的半連接列表而消耗非常多的資源 數(shù)以萬計(jì)的半連接，即使是簡單的保存并遍歷也會(huì)消耗非常多的 CPU時(shí)間和內(nèi)存，何況還要不斷對這個(gè)列表中的 IP進(jìn)行 SYN+ACK的重試。 end ? 單調(diào)命令 (Monooperational mand) –在命令中只有一個(gè)原子命令 48 條件命令 ? 條件命令 mand grant_read_file_1(p, f, q) if own in A[p, f] then enter r into A[q, f]。 enter Y into A[s4,s4]。作為調(diào)查的一部分，要求回答者列出入侵者入侵其機(jī)構(gòu)所使用的主要攻擊方法（允許多選）。這樣有助于進(jìn)一步獲取系統(tǒng)信息，并運(yùn)行下一步的攻擊程序； ? 提升權(quán)限 。建立對等審查機(jī)制，提高代碼的可讀性和安全性?，F(xiàn)代的開發(fā)過程多采用迭代式開發(fā)過程以控制風(fēng)險(xiǎn)； – 從軟件體系結(jié)構(gòu)上保證。一般以嘗試進(jìn)入為這一階段的第一步。 ? 風(fēng)險(xiǎn)分析 (Risk Analysis) – 我們應(yīng)該保護(hù)有些東西嗎？ – 最容易侵入原理 (Principle of Easiest Peration)：必須考慮到一個(gè)入侵者必然會(huì)利用所有可以利用的手段去執(zhí)行入侵。 delete k1 from A[s4,s4]。 enter w into A[p, f]。 ? 第三步，客戶端也返回一個(gè)確認(rèn)報(bào)文 ACK給服務(wù)器端，同樣 TCP序列號被加一，到此一個(gè) TCP連接完成。 – 但由于其代理的萬事達(dá)和 Visa兩大全球信用卡公司，均已在中國開展業(yè)務(wù)多年。另外，萬事達(dá)卡國際組織也已徹底要求CardSystems限期改善，立即補(bǔ)強(qiáng)安全漏洞。實(shí)際上如果服務(wù)器的 TCP/IP棧不夠強(qiáng)大，最后的結(jié)果往往是堆棧溢出崩潰 即使服務(wù)器端的系統(tǒng)足夠強(qiáng)大，服務(wù)器端也將忙于處理攻擊者偽造的 TCP連接請求而無暇理睬客戶的正常請求（畢竟客戶端的正常請求比率非常之?。?，此時(shí)從正?？蛻舻慕嵌瓤磥?，服務(wù)器失去響應(yīng)，這種情況我們稱作：服務(wù)器端受到了 SYN Flood攻擊（ SYN洪水攻擊）。 end ? 單調(diào)條件命令 –在命令中只有一個(gè)條件 49 多條件命令 ? 如果 p是 f的 owner，并且 p擁有 q的 copy權(quán)限，那么讓 p賦給 q以 f的 r和 w的權(quán)限 ? mand grant_read_file_2(p, f, q) if own in A[p, f] and c in A[p, q] then enter r into A[q, f]。 enter k2 into A[s5,s5]。 ? 排在第一位的方法是利用操作系統(tǒng)的漏洞：大約三分之一的回答者經(jīng)歷過這種攻擊。 – 在第二步的基礎(chǔ)之上運(yùn)行攻擊程序，獲得系統(tǒng)管理員或者希望得到的目標(biāo)角色的帳戶； ? 掩蓋攻擊 。使用合適的編譯工具和代碼檢查工具，提高代碼的健壯性； – 提供有效的安全測試。我們建議如下： – 從開發(fā)的過程上保證。 – 找尋相關(guān)工具，或者編寫相應(yīng)腳本進(jìn)行攻擊。 – 上課的老師不是黑幫頭目，沒有懷揣槍支來上課； – 上課的時(shí)候，你周圍的同學(xué)不會(huì)惡意對你，不過在你背后捅刀子； – 教學(xué)樓的質(zhì)量室過關(guān)的，不會(huì)出現(xiàn)天花板掉下來，或者腳下的樓板開裂這樣的問題； – 你相信在宿舍樓里已經(jīng)關(guān)好門，上好鎖，看門的大爺大媽在兢兢業(yè)業(yè)的工作，所以的寢室里的財(cái)物不會(huì)被人拿走； – …… 66 安全機(jī)制的思考題 ? 現(xiàn)有一份文檔，安全策略是不允許 id為 weili的用戶查看該文檔 –有哪些機(jī)制可以實(shí)現(xiàn)這個(gè)策略？ 67 安全保障 ? 有了目標(biāo)和機(jī)制以后，關(guān)鍵在于如何執(zhí)行這些機(jī)制 –制定規(guī)范 (specification) ? 需求分析 ? 目標(biāo)功能表述 –設(shè)計(jì)系統(tǒng) (Design) ? 設(shè)計(jì)系統(tǒng)以滿足規(guī)范的需求 –執(zhí)行系統(tǒng) (Implementation) ? 執(zhí)行系統(tǒng)以符合當(dāng)初設(shè)計(jì)的目標(biāo) 68 研究安全的方法學(xué) Threats Policy Specification Design Implementation Operation 69 運(yùn)作問題 ? CostBenefit分析 – 是否該保護(hù)更為便宜，但是已經(jīng)達(dá)到保護(hù)要求