计算机系统安全课件

计算机系统安全全景探索第一章安全基础与威胁概述信息安全的三大核心要素模型CIA机密性Confidentiality完整性Integrity可用性Availability确保信息只能被授权用户访问，防止未经授保证信息在存储、传输和处理过程中不被非确保授权用户在需要时能够及时访问和使用权的信息泄露通过加密、访问控制等技术法篡改或破坏使用数字签名、哈希校验等信息资源通过冗余设计、负载均衡、灾备手段保护敏感数据不被窃取或非法获取技术确保数据的准确性和可信度系统等措施保障系统持续稳定运行计算机安全的五大设计原则01最小权限原则用户和程序仅被授予完成任务所必需的最小权限，降低潜在的安全风险和损害范围02完整性保护通过技术手段确保系统和数据的完整性，防止未授权的修改和破坏03防御深度建立多层次、多维度的安全防护体系，单点失效不会导致整体安全崩溃安全设计原则贯穿于系统开发的全生命周期，从需求分析到部署运维，每个环节都应遵循这些基本原则04安全默认设置系统默认配置应采用最安全的选项，避免因配置不当导致的安全漏洞05审计与监控记录系统活动日志，实时监控异常行为，为安全事件分析和取证提供依据攻击面与攻击树攻击面的定义与范围攻击面是指系统中所有可能被攻击者利用的入口点和暴露的资源包括网络接口、应用程序接口、用户输入点、文件系统访问等攻击面越大，系统面临的潜在威胁就越多社会工程学攻击利用人性弱点，通过欺骗、伪装等手段获取敏感信息或系统访问权限网络钓鱼攻击伪装成可信实体发送欺骗性邮件或消息，诱导用户泄露账号密码或点击恶意链接缓冲区溢出攻击利用程序缓冲区边界检查不足的漏洞，注入恶意代码并获取系统控制权每秒钟发生数千次攻击常见攻击类型盘点缓冲区溢出攻击Stack Overflow1通过向程序输入超出预期长度的数据，覆盖栈内存中的返回地址或其他关键数据，从而劫持程序控制流这是最经典的内存破坏漏洞之一，虽然现代系统有多种防护措施，但仍然是重要威胁旁道攻击Side-Channel Attack2不直接攻击加密算法本身，而是通过分析系统运行时的物理特征（如执行时间、功耗、电磁辐射等）来推断敏感信息旁道攻击能够绕过理论上安全的密码系统，对硬件安全构成严重威胁社会工程学攻击3利用心理学原理和人性弱点，通过欺骗、伪装、诱导等手段获取敏感信息或系统访问权限技术再先进，人的因素往往是安全链条中最薄弱的环节常见形式包括钓鱼邮件、电话诈骗、尾随进入等恶意软件与勒索软件第二章系统安全机制详解操作系统是计算机安全的核心防线本章将深入探讨身份认证、访问控制、安全内核等关键安全机制，理解现代操作系统如何构建多层次的安全防护体系身份识别与认证机制口令认证的安全挑战口令认证是最常见但也最脆弱的认证方式弱口令可能在几秒内被暴力破解，而强口令又难以记忆计算能力的提升使得传统的8位口令已不再安全破解时间计算假设口令由数字和字母组成（62个字符），8位口令有62^8种可能若攻击者每秒尝试100万次，理论上需要约7年才能遍历所有可能但使用GPU加速和彩虹表，实际破解时间可大幅缩短多因素认证与生物识别多因素认证（MFA）结合了你知道的（口令）、你拥有的（令牌、手机）和你是谁（生物特征）三类因素，显著提升安全性生物识别技术如指纹、面部识别、虹膜扫描等正在广泛应用，但也面临伪造和隐私保护等挑战访问控制模型自主访问控制DAC强制访问控制MAC资源的所有者决定谁可以访问该资源灵活但安全性较低，因为权限可系统根据预定义的安全策略强制执行访问控制，用户无法自主更改安能被传递，难以实施全局安全策略文件权限是典型的实现全性高但灵活性差，常用于军事和政府系统是的代表实Unix DACSELinux MAC现基于角色的访问控制RBAC基于任务的访问控制TBAC将权限与角色关联而非直接与用户关联，用户通过分配角色获得权限根据用户当前执行的任务动态分配权限，任务完成后自动撤销权限提简化了权限管理，特别适合大型组织现代企业系统广泛采用模供了更细粒度的控制，适用于工作流管理系统和临时授权场景RBAC型不同的访问控制模型各有优劣，实际系统往往结合多种模型以平衡安全性、灵活性和可管理性选择合适的访问控制模型需要根据具体的应用场景和安全需求安全内核与访问监控器访问监控器的三大核心要求完全中介性Complete Mediation所有对资源的访问请求都必须经过访问监控器的检查，不能存在绕过的路径这要求监控器处于系统的关键位置，能够拦截所有访问操作防篡改性Tamperproof访问监控器自身必须受到保护，防止被攻击者修改或破坏通常通过硬件保护、内存隔离等技术实现，确保监控器的完整性和可信性可验证性Verifiable访问监控器的设计和实现应足够简单清晰，能够通过形式化方法或严格测试来验证其正确性复杂的设计容易隐藏漏洞，降低系统的安全保障可信计算基与TPM芯片可信计算基（）是系统中负责实施安全策略的所有硬件、固件和软件组件的集合TCB TCB越小越简单，系统就越容易验证和信任可信平台模块（）是一种硬件安全芯片，提TPM供密钥生成、加密存储、平台完整性度量等功能，是构建可信计算环境的基础操作系统安全机制Unix/Linux安全架构SELinux强制访问控制Windows安全模型基于（用户）和（组）的权限管理在标准权限之上增加了基于访问令牌（）和访问控制列表（）UID IDGID IDSecurity-Enhanced LinuxUnix TokenACLSUID/SGID机制允许程序以文件所有者的权限运行，强制访问控制层通过安全上下文和策略规则，实现每个进程和线程都有关联的令牌，包含用户SID、组成为特权操作提供了受控途径和了更细粒度的权限控制即使进程以权限运行，员身份和权限对象的定义了哪些用户或组可以/etc/passwd rootACL/etc/shadow文件存储用户账户信息也受到SELinux策略的约束执行哪些操作Linux文件权限示例Windows ACL结构每个对象的安全描述符包含-rwxr-xr--1user group4096Jan0112:00file.txtdrwxr-xr-x2user group4096Jan0112:00folder权限位解释r=读

（4）w=写•所有者SID（Security Identifier）

（2）x=执行

（1）（自主访问控制列表）•DACL（系统访问控制列表，用于审计）•SACL操作系统安全架构的核心要素现代操作系统采用分层安全架构，通过特权级别分离、内存保护、进程隔离等机制构建安全边界内核空间与用户空间的严格隔离防止了恶意代码直接访问系统资源安全不是产品，而是一个过程操作系统的安全性取决于设计、实现和配置的每一个细节—Bruce Schneier系统可信性与安全模型Bell-LaPadula模型Biba模型Chinese Wall模型专注于保密性，采用不上读、不下写规则低密级主体不能专注于完整性，与BLP相反采用不下读、不上写规则防止解决利益冲突问题，一旦访问某公司数据，就不能访问其竞争读取高密级对象，高密级主体不能写入低密级对象，防止信息低完整性数据污染高完整性数据适用于需要保护数据完整性对手的数据常用于金融、咨询等行业，防止内幕交易和商业泄露广泛应用于军事和政府系统的商业系统，如金融交易系统机密泄露信息流模型与隐蔽信道分析信息流模型追踪信息在系统中的流动，确保高密级信息不会流向低密级区域然而，隐蔽信道（如通过系统资源竞争、时序特征等）可能绕过显式的信息流控制分析和消除隐蔽信道是高安全等级系统设计的重要挑战第三章网络与应用安全技术网络是攻击者入侵系统的主要途径本章将探讨协议栈的安全隐患、网络防护技TCP/IP术、安全协议以及入侵检测系统，帮助您构建安全的网络环境协议安全隐患TCP/IPARP欺骗攻击攻击者发送伪造的响应包，将目标主机的地址与攻击者的地址绑定这样目标主机的通信流量ARP IPMAC就会被重定向到攻击者的机器，实现中间人攻击协议缺乏认证机制，容易被利用ARP中间人攻击MITM攻击者插入到通信双方之间，截获、篡改或伪造通信内容，而通信双方毫无察觉可通过欺骗、ARP DNS劫持、剥离等多种方式实现和数字证书可有效防范中间人攻击SSL HTTPSDNS缓存投毒攻击者向服务器注入虚假的域名解析记录，使用户被引导到恶意网站漏洞曾使缓存投DNS KaminskyDNS毒变得极其容易通过数字签名验证响应的真实性，但部署率仍然较低DNSSEC DNSTCPSYN洪泛攻击攻击者发送大量包但不完成三次握手，耗尽服务器的连接队列资源，导致正常用户无法建立连接这SYN是最常见的拒绝服务攻击之

一、连接限制等技术可缓解此类攻击SYN Cookies协议族在设计之初更注重互联互通而非安全性，许多协议缺乏认证和加密机制随着互联网的发展，这些TCP/IP设计缺陷成为了安全隐患现代网络安全依赖于在原有协议之上增加安全层网络安全隔离技术防火墙与包过滤虚拟局域网VLAN物理隔离防火墙通过规则集过滤进出网络的数据包包过滤防火墙工作在网络层，检查地址和端口号IP状态检测防火墙追踪连接状态应用层防火墙可检查应用层协议内容将敏感系统与外部网络完全物理断开，形成空气隙在物理网络上划分多个逻辑网络，隔离不同VLAN这是最高级别的安全隔离，常用于关键基础设施部门或安全区域的通信通过交换机配置实现，和绝密系统但设备、移动存储等仍可能成为USB成本低且灵活间通信需要经过路由器或三VLAN跨越空气隙的桥梁层交换机，可施加访问控制策略安全区域划分原则根据数据敏感性和业务重要性，将网络划分为不同的安全区域（如互联网区、、内网核心区等）区域间设置安全边界和访问控制策略，遵循最小DMZ权限原则纵深防御要求在多个层次部署安全控制措施网络安全协议与攻击防御SSL/TLS协议Kerberos认证传输层安全协议，为网络通信提供加密、认证和完整性保护HTTPS基于TLS保护Web通信TLS基于票据的网络认证协议，使用对称加密和可信第三方（KDC）用户通过票据授予票据（TGT）

1.3移除了不安全的密码套件，改进了握手流程中间人攻击可通过验证数字证书来防范获取服务票据，实现单点登录面临的攻击包括票据传递、黄金票据、白银票据等123IPSec与VPN网络层安全协议，为IP通信提供端到端的安全保护支持传输模式和隧道模式VPN利用IPSec在不可信的公共网络上建立安全隧道，广泛用于远程办公和站点互联防御策略要点•部署最新版本的安全协议，禁用已知存在漏洞的旧版本•使用强加密算法和足够长的密钥，定期更新密钥•实施证书固定、HSTS等技术防范证书伪造攻击•对关键应用启用双向认证，提升身份验证强度入侵检测与防御系统（）IDS/IPS检测方法分类异常检测建立系统正常行为的基线模型，将偏离基线的行为标记为异常优点是能发现未知攻击，缺点是误报率较高机器学习技术可提升检测精度误用检测基于已知攻击特征库进行模式匹配准确率高但无法检测零日攻击需要持续更新特征库以应对新威胁类似于病毒扫描的工作原理部署位置分类基于主机的IDS（HIDS）部署在关键主机上，监控系统调用、日志文件、文件完整性等能检测到网络IDS无法发现的本地攻击，但会消耗主机资源基于网络的IDS（NIDS）态势感知技术部署在网络关键节点，分析网络流量覆盖面广，对主机性能无影响，但难以分析加密流量，在高速网络中可能丢包整合多源安全数据，通过大数据分析和可视化技术，实时掌握网络安全态势能够关联分析海量安全事件，发现复杂的多阶段攻击态势感知平台是现代安全运营中心（SOC）的核心组件IDS/IPS是纵深防御体系的重要一环，但不应是唯一的防御措施与防火墙、安全审计等其他安全技术配合使用，才能构建完整的防御体系应急响应与灾备恢复准备阶段建立应急响应团队，制定应急预案，部署监控和检测工具，定期进行演练准备阶段的充分性决定了应急响应的效率检测与分析通过IDS、日志分析、用户报告等途径发现安全事件快速判断事件性质、影响范围和严重程度，为后续处置提供依据遏制与根除采取措施阻止攻击扩散，隔离受影响系统识别并清除攻击者植入的后门、恶意代码等在遏制和取证之间需要平衡恢复与总结修复系统漏洞，恢复业务运行收集证据，分析事件原因，总结经验教训，改进安全措施防止类似事件再次发生RAID技术与数据备份RAID（独立磁盘冗余阵列）通过数据分布和冗余提供容错数据备份策略应遵循3-2-1原则至少3份副本，存储在2种能力RAID1镜像、RAID5奇偶校验、RAID6双重校验等不同介质，1份异地保存定期测试恢复流程，确保备份的不同级别适用于不同场景可用性第四章前沿技术与实战案例安全威胁不断演进新技术带来新挑战本章将介绍硬件安全、人工智能安全、云计算安,全等前沿话题，并通过真实案例分析攻防实践，帮助您把握安全技术的最新发展趋势硬件安全与侧信道攻击Prime+Probe攻击原理是一种基于缓存的侧信道攻击攻击者首先用自己的数据填充缓存（），然后等待受害者执行（），最后测量访问缓Prime+Probe CPUPrime Victim Access存的时间（）通过时间差异推断受害者访问了哪些内存地址，从而窃取密钥等敏感信息ProbePrime阶段VictimAccessProbe阶段攻击者访问特定内存地址，将缓存行填充为已受害进程执行，其内存访问可能驱逐攻击者填攻击者重新访问相同地址，通过访问时间判断知数据充的缓存行缓存是否被驱逐Meltdown与Spectre漏洞Meltdown熔断Spectre幽灵利用乱序执行和推测执行，绕过内核内存隔离读取任意物理内存影响诱使错误预测分支并推测执行，将受保护数据加载到缓存，再通过侧信CPU CPU几乎所有处理器通过内核页表隔离（）缓解，但会带来性能损道读取影响几乎所有现代处理器，难以完全修复，只能局部缓解Intel KPTI失人工智能安全攻击类型与防御1白盒攻击攻击者完全了解模型结构和参数，可以计算梯度生成对抗样本FGSM、PGD等是常见的白盒攻击算法对抗样本攻击通过向输入数据添加精心设计的微小扰动，使机2器学习模型产生错误的输出例如，在熊猫图片上添加人眼不可见的噪声，图像分类模型会将其黑盒攻击误识别为长臂猿攻击者只能查询模型获得输出，通过替代模型或遗传算法等方法生成对抗样本更贴近实际攻击场景3对抗训练在训练过程中加入对抗样本，提升模型的鲁棒性这是目前最有效的防御方法之一，但会增加训练成本在线学习模型的投毒攻击攻击者向训练数据中注入恶意样本，影响模型的学习过程在线学习系统（如推荐系统、垃圾邮件过滤器）持续从用户反馈中学习，特别容易受到投毒攻击防御策略包括异常检测、数据清洗、鲁棒学习算法等云计算安全挑战多租户隔离云平台上多个租户共享物理资源，必须确保租户间的数据和计算相互隔离虚拟化技术、容器技术的漏洞可能导致隔离失效，使攻击者跨越租户边界数据保护与隐私数据存储在云服务商的基础设施上，租户对数据失去物理控制需要通过加密、访问控制、审计等手段保护数据安全密钥管理是关键问题身份与访问管理云环境中用户、应用、服务众多，身份管理复杂需要统一的身份认证、单点登录、细粒度的访问控制策略联邦身份管理支持跨组织的安全协作安全责任共担模型云服务商责任租户责任•物理设施安全•应用程序安全•虚拟化层安全•数据加密和访问控制•网络基础设施安全•用户身份和权限管理•平台服务的安全配置•合规性和安全配置公有云、私有云、混合云的安全责任划分有所不同IaaS、PaaS、SaaS等不同服务模型下,租户的安全责任范围也不同理解责任边界是云安全的前提安全审计与电子取证审计系统设计计算机取证流程01识别与保护现场确定证据范围,隔离现场防止证据被破坏遵循最小干预原则02证据采集创建数字证据的完整副本，计算哈希值确保完整性保持证据链的连续性03分析与检验使用专业工具分析证据，恢复已删除文件，分析日志和时间线，寻找攻击痕迹04报告与呈现安全审计记录系统中的所有安全相关事件，为事后分析和取证提供证据审计日志应包含时间戳、用户身份、操作类型、结果等信息，并受到完整性保护防止篡改撰写详细的取证报告，以法律可接受的方式呈现证据和分析结果日志分析技术•集中式日志收集与存储（SIEM系统）电子证据易失性强，必须在第一时间正确采集不当的取证操作可能破坏证据，导致证据不被法庭采信•实时日志分析与告警•基于机器学习的异常检测•日志关联分析发现攻击链真实案例某企业遭遇攻击全过程APT攻击时间线Day1:初始入侵Month1:权限提升攻击者通过鱼叉式钓鱼邮件投递恶意附件，员工打开附件后木马被植入攻击者利用0day漏洞获取域管理员权限，完全控制企业网络部署多个持久化后门确保访问不中断Week1:横向移动Month3:数据窃取攻击者使用窃取的凭据在内网横向移动，寻找高价值目标利用Pass-the-Hash等技术获取更多攻击者定位并打包敏感数据，通过加密隧道分批外传使用正常业务流量掩盖数据外泄权限防御失误分析缺乏安全意识培训员工未能识别钓鱼邮件的可疑特征，轻易打开未知附件定期的安全意识培训和钓鱼演练本可避免初始入侵内网隔离不足内网采用扁平化结构，缺乏有效的网络分段和访问控制攻击者轻易横向移动到核心系统监控与审计缺失缺乏有效的安全监控和日志审计，攻击活动长期未被发现异常登录、大量数据传输等行为未触发告警改进措施事后企业全面升级安全体系部署EDR终端检测响应系统、建立SOC安全运营中心、实施网络微分段、加强数据泄露防护（DLP）、定期进行红蓝对抗演练这起事件的教训是，APT攻击需要多层次的防御体系，单一安全措施无法应对复杂的持续性威胁隐蔽而致命高级持续性威胁（）APT攻击由国家级黑客组织或专业犯罪团伙发起，具有明确的目标、充足的资源和极高APT的技术水平攻击可能持续数月甚至数年，采用多阶段、多技术的复合攻击手段，极难防御和检测在攻击面前，没有绝对安全的系统关键是尽早发现、快速响应，将损失降到APT最低安全研究—FireEye未来趋势与挑战零信任架构量子计算威胁永不信任，始终验证零信任模型抛弃传统的量子计算机可能在数小时内破解当前的和RSA网络边界概念，对每个访问请求都进行身份验证加密算法后量子密码学研究正在进行，ECC和授权，实现细粒度的访问控制已启动抗量子密码标准化进程NIST隐私保护技术安全自动化、数据安全法等法规推动隐私保护技利用和自动化技术提升安全运营效率自GDPR AI术发展联邦学习、差分隐私、同态加密等动化威胁情报分析、自动化事件响应、自动技术在保护隐私的同时实现数据价值挖掘化漏洞修复等将成为标配5G与边缘安全物联网安全网络带来更大带宽和更低延迟，也扩大了攻击数十亿设备接入网络，许多设备安全性薄弱5G IoT面边缘计算将数据处理推向网络边缘，传统的僵尸网络、固件漏洞、供应链攻击等问题日益IoT集中式安全模型面临挑战严峻网络安全是一场永无止境的攻防对抗新技术带来新机遇，也带来新威胁安全从业者需要持续学习，紧跟技术发展，才能在这场对抗中保持领先课程总结与学习建议持续学习路径理论学习阅读经典教材和最新论文，参加专业培训和认证考试（如CISSP、CEH）工具实践熟练掌握Kali Linux、Wireshark、Metasploit等安全工具，搭建实验环境进行实践竞赛演练参加CTF竞赛、漏洞赏金计划、红蓝对抗演练，在实战中提升技能社区交流加入安全社区，关注安全资讯，与同行交流经验，保持对新威胁和新技术的敏感度谢谢聆听！欢迎提问与交流联系方式30课后如有问题，欢迎随时交流讨论让我们共同为构建更安全的网络空间而努力！课程章节安全是一个过程，而非产品它需要持续的关注、投入全面覆盖系统安全知识体系和改进—Bruce Schneier100+安全概念从基础到前沿的完整梳理∞学习之路安全学习永无止境。