简单介绍一下，这是中科大2020年春季信息学院《计算机安全》课程的课程知识点总结。授课教师：程绍银。部分图片来源于ppt。
掌握要求：掌握>知道>了解

目录

• 第一部分：介绍
• 绪论（了解）
• 第二部分：安全基础
• 计算机安全基础
• 身份识别与认证（掌握）
• 访问控制（重点掌握）
• 使用控制
• 访问监控器
• 计算机实体安全
• 系统安全
• Unix/Linux安全
• Android安全（了解）
• Windows安全（了解）
• BLP模型
• Biba模型
• 中国墙模型（Chinese Wall模型）
• 信息流控制模型
• 安全评估
• 网络安全等级保护
• 数据库安全（了解）
• 数据安全
• 网络系统安全
• 基 于 代 码 的访问控制（了解）
• 云计算安全
• 网络侦察（了解原理）
• 入侵检测（了解原理）
• 拒绝服务攻击（了解原理）
• 尾巴

第一部分：介绍

绪论（了解）

• 信息安全的概念
  
  信息安全 = 数据安全 + 系统安全

• 基本属性和学科内容
  从消息层次看：保密性、完整性、不可抵赖性
  从网络层次看：可用性、可控性

• 等级保护、风险评估和安全评测的相互关系
  

• 风险的分析和评估方法

风险 = 资产×威胁×漏洞

资产：应当是被鉴定和评估过的
漏洞：系统的弱点，可被利用来破坏资产
威胁：利用漏洞去损坏资产的行为

• 攻击树
  攻击树：定量分析攻击
  

第二部分：安全基础

这部分需要重点掌握原理，不必过分在意代码实现。因为我们的目标是成为架构师而不是码农。

计算机安全基础

• 计算机安全的定义及其内涵
  “无危则安，无缺则全”
  安全假设条件：密码系统的安全性不在于算法的保密，而在于当对手获知了算法和密文后，分析出密钥密钥或明文的难度

• CIA模型含义（掌握）
  
  另外还有提到：
  可生存性（survivability）：被入侵后系统依然能够完成任务，并能够及时修复被损坏的服务。
  可审计性（问责性，Accountability）：审计信息必须有选择地保存和保护，以便影响安全的行为可以被追溯到责任方。
  不可否认性(Non-repudiation)：可审计性的更强形式，能对发生的行为提供不可欺骗不可否认的证据。（分为发送方、递送方、接收方的三方不可否认）
  …………还有可信任性、可靠性、可控性等。

• 计算机系统的保护措施
  PDR
  
  PDRR相对PDR多了一个恢复（Restore）

• 计算机安全的五个设计原则（了解）

1. 第1个设计原则：在一个给定的应用中，一个计算机系统中的保护机制应该集中在数据、操作还是用户上？
2. 第2个设计原则：一个安全机制应该被放置在计算机系统的哪一个层次上？
3. 第3个设计原则：与富有特色的安全环境相比，你是否偏爱简单性和更高的保证？
4. 第4个设计原则： 定义和实施安全的任务是应该交给一个中央实体，还是应该托付给系统中的各个成员？
5. 第5个设计原则：如何防止攻击者访问位于保护机制下面的层？

• 隐蔽信道与侧信道攻击（掌握原理）
  隐蔽通道就是一个不受安全机制控制的信息流，信息通过一个隐蔽通道传输是可能的。 一个状态变量：
  == 一次传递一个比特位信息==

侧信道攻击：基于声音、时间、能量等其他方面对密码进行分析

身份识别与认证（掌握）

• 口令空间的计算、蛮力攻击的时间
  要会计算，相信难不倒从数理的尸山血海里杀出来的我们。

• 用户身份认证基于哪些信息
  身份认证是指计算机及网络系统确认操作者身份的过程。
  计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。
  可以选择基于这些信息进行身份认证：

• 口令认证机制面临的三种威胁
  口令猜测
  口令欺骗——通过假冒的登陆程序或社会工程骗取口令
  口令文件泄露——脱机的字典攻击

• 口令的加密机制——单向函数
  单向函数就是易于计算但很难逆推的函数。即给定x很容易计算f(x)，但给定f(x)很难计算x单向函数用来保护存储的口令.
  有些时候会采用“口令加盐”算法来保证相同的密钥被加密成不同的结果。

访问控制（重点掌握）

• 主角、主体、客体（对象）、访问操作
  

• 自主访问控制、强制访问控制、基于角色的访问控制

• 
  

• 访问控制矩阵、能力、访问控制列表
  访问权限可为每个主体和客体的组合单独定义，即访问控制矩阵.
  
  
  按行看，是访问能力表（一个角色能进行的所有操作）
  按列看，是访问控制表（一个客体对应的能对他进行操作的所有角色）
  能力 = 访问控制矩阵中的主体行

• 中间控制，如组、否定许可、角色、特权
  对于数量众多的主体和客体或者主体和客体的集合频繁改变时，这种结构管理起来很不方便，而采用中间控制层是较为可取的

特权视作主体和操作之间的一个中间层，特权通常是和操作系统一起预先设定的

• 安全级别的偏序关系、安全标签格；格适用于描述安全性、完整性等级别
  熟悉格和偏虚的定义（上学期的内容），理解原型。

• 多级安全
  多级安全(Multi-Level Security)中使用了安全标签(security label)的偏序关系
  
  补充：RBAC模型
  RBAC0:将访问权限分配给角色， 用户通过被指派为角色从而获得角色所拥有的访问权限
  RBAC1:引入了角色的等级和角色间的继承关系
  RBAC2:添加了责任分离关系
  RBAC3:RBAC3包含了RBAC1和RBAC2，既提供了角色间的继承关系，又提供了责任分离关系

模型特点：支持最小权限原则、责任分离原则。支持数据抽象原则和继承概念。模型中概念与实际系统紧密对应。

使用控制

• ABC模型的三个基本元素和三个授权相关元素
  ABC(Authorization oBligation Condition)模型
  

• UCON的16种基本模型
  

• 使用控制模型描述自主访问控制DAC/强制访问控制MAC（知道）
  一些例题，在chap4c

访问监控器

• 陷阱/中断
  处理器能够处理由程序错误、用户请求、硬件故障等引起的执行中断，这种处理机制被称为异常(exception)、 中断(interrupt)、 陷阱(trap)等不同名称

• 受控调用/门、可信路径
  受控调用：必须对那些请求较高特权的操作进行访问管理
  门（Gate） 是一个指向某个程序（在某个代码段中）的系统客体，这里门具有与它所指向的代码不同的特权级别
  输入安全敏感数据时，需要建立一条从输入/输出设备到TCB的可信路径(Trusted Path)

• 访问监控器、安全内核、可信计算基
  

• 引用验证机制（访问监控器） 的三个核心要求

• 

计算机实体安全

计算机实体安全是指为了保证计算机信息系统安全可靠运行，确保在对信息进行采集、处理、传输和存储过程中，不致受到人为或自然因素的危害，而使信息丢失、泄密或破坏， 对计算机设备、设施(包括机房建筑,供电,空调等)、环境、人员等采取适当的安全措施

• 可信计算
  可信计算的提出： 计算机终端是安全的源头。
  终端往往是创建和存放重要数据的源头，而且绝大多数的攻击事件都是从终端发起的。可以说，安全问题是终端体系结构和操作系统的不安全所引起的。

• 环境对计算机的安全威胁
  机房安全、基础环境安全等（防火防盗防潮防静电等）

• 计算机工作的环境温度和湿度范围

系统安全

Unix/Linux安全

• Unix的自主访问控制，粒度（掌握）
  Unix实现了自主访问控制，粒度是owner,group, other

• 主角（UID、 GID、 group、 root）
  主角就是所谓的用户标识符(UID)和组标识符(GID)
  超级用户（root）的UID总是0

• 主体（pid、 ppid、 real/effective UID/GID）
  主体是进程。每一个进程都有一个进程标识符(PID)
  

• 客体（文件许可位、 SUID/SGID）
  文件许可的十字节字符：第一字节表示文件类型，后面9个字节表示文件许可，分别表示属主、属组以及其他人的”读、写、执行“权限

• Unix 安全机制（基于用户名和口令的身份识别和认证、文件系统安全、日志(日志文件有哪些， 分别用什么命令查看)）
  审计日志文件中记录su命令的使用以及使用su命令的用户账号

Android安全（了解）

• 移动互联网的恶意代码类型
• Android系统架构
• Andriod的主要安全机制

Windows安全（了解）

• WinLogon/LSA/SAM/注册表/域/活动目录
• 主角&域/主体/令牌/对象/安全描述符/访问掩码/受限上下文
• DACL/SACL
• 安全管理

BLP模型

（知道多级保密）
作用：根据军方的安全政策设计，解决的本质问题是对具有密级划分信息的访问控制

• 状态集 V=B× M× F

• 
  
  

• ss-, *-, ds-property
  简单安全性（ss-property）
  

• 星特性（*-property）
  

• 自主安全性（ds-property）
  拥有访问许可的主体可以将许可传递给其他主体。在BLP中，这种策略通过一个访问控制矩阵表示，并通过自主安全特性（ds-property）获得
  

• 基本安全定理
  
  **基本安全定理：

如果系统中所有的状态迁移都是安全的，并且系统的初始状态也是安全的，那么不管输入情况如何，其后的每一个状态也都是安全的。**

Biba模型

第一个解决完整性问题的多级完整性安全模型。

• 简单完整性，完整性*-Property
  
  

• 主体低水印性，客体低水印性
  

• 调用性，环属性
  

中国墙模型（Chinese Wall模型）

乍一看名字可能会以为是咱们的防火墙，其实完全不是那么一回事。模型模拟了咨询公司的访问规则。基于多边关系的安全模型。

• 公司数据集，利益冲突类，安全标签
  

• ss-, *-property
  ss-property：
  
  *- Property
  

信息流控制模型

如果系统的访问控制机制是完善的，但是缺乏适当的信息流控制策略或者缺乏实现信息流控制策略的适当机制，也会造成信息的泄露

• 强信息流、弱信息流
  

• 隐式信息流的信息量计算（要会计算条件概率熵）
  信息论里的内容。

• 隐信道、隐存储信道、隐定时信道

安全评估

• 安全评估框架（评估对象/评估目标/评估方法）
  （了解）
  评估对象： 已出售的部件（产品）、满足给定应用特定需求的各种产品的集合体（系统）
  评估目标： 评估(Evaluation)：评定一个产品是否具有它所声明的安全属性
  证明(Certification)：评定一个(已评估的)产品是否适合给定的应用场合
  鉴定(Accreditation)：确定一个(已证明的)产品是否可以在给定场合里应用
  评估方法： 可重复性(Repeatability)和可再现性(Reproducibility)是评估方法必须满足的
  要求

• TCSEC（级别定义和内涵）
  TCSEC是第一个评估安全产品(操作系统)的指导方针。
  可信计算基(TCB)的评估，要确保有一个引用监控器(RM)；设计用来对系统实施多级安全。

TCSSEC中安全级别从高到低分为ABCD四类七个级别，共27条评估准则。

D类是最低保护等级，不能再多用户环境下处理敏感信息。
C类可以用于多用户，并具有审计追责能力
最适合商用的保护级是C2
B类主要要求是TCB应维护完整的安全标记，并在此基础上执行一系列强制访问控制规则
消除测试中发现的所有缺陷是B1
最先开始对隐蔽通道进行分析的是B2
TCB必须满足访问监控器需求是B3
A类需要采用形式类的证明。大概930美刀一行代码。

• ITSEC（级别定义和内涵/TOE）
  提供了安全框架，打破了功能性和保证性之间的联系。
  E0到E6七个评估级别。
  

• CC（级别定义和内涵/保护框架 PP/安全目标 ST/评估类型）
  (知道+掌握)

共同标准/通用准则（Common Criteria）

网络安全等级保护

（我国内容，需要知道）

• 等级/安全类/主要工作/测评流程
  系统定机->安全规划设计->安全实施->安全运维->系统终止
  

• 等保 2.0 与 1.0 的区别
  
  2.0覆盖方面更广，技术要求、管理要求更高，保护效果更好。
  2.0的法律是动真格的

数据库安全（了解）

• 关系数据库
• 基本关系/视图/快照/查询结果
• 自主访问控制/特权
• 聚集/推断/跟踪攻击

数据安全

• 数据备份/数据容灾

• 全备份/增量备份/差分备份（掌握）
  数据备份：完全备份、增量备份、差分备份

完全备份： 是指用一盘磁带对整个系统进行包括系统和数据的完全备份
增量备份： 每次备份的数据只是相当于上一次备份后增加的和修改过的数据
差分备份： 每次备份的数据是相对于上次全备份之后新增加的和修改过的数据

网络系统安全

基 于 代 码 的访问控制（了解）

• 与代码相关的安全属性（可作为访问控制的证据）
• 调用链/堆栈游走
• Java 1&2 安全模型/.NET 安全框架

云计算安全

• SaaS/PaaS/IaaS（掌握）
  
  在SaaS模式下，云服务商向客户提供的是运行在云基础设施之上的应用软件。客户不需要购买、开发软件，可利用不同设备上的客户端（如WEB浏览器）或程序接口通过网络访问和使用云服务商提供的应用软件，如电子邮件系统、协同办公系统等。

在PaaS模式下，云服务商向客户提供的是运行在云基础设施之上的软件开发和运行平台，如：标准语言与工具、数据访问、通用接口等。客户可利用该平台开发和部署自己的软件。

在IaaS模式下，云服务商向客户提供虚拟计算机、存储、网络等计算资源，提供访问云基础设施的服务接口。客户可在这些资源上部署或运行操作系统、中间件、数据库和应用软件等。

• 云计算的部署模式（技术+部署模式）
• 
• 云计算的主要特征
• 

网络侦察（了解原理）

• 社会工程学
  如电信诈骗、熟人诈骗等。

• 网络扫描/Nmap
  端口扫描 Port scan
  端口扫描就是通过连接到目标系统的TCP 或UDP 端口，来确定什么服务正在运行。
  端口扫描的其他用途包括：识别目标系统的操作系统类型、识别某个应用程序或某个特定服务的版本号

• 网络监听/Wireshark
  正常情况下，网卡对所经过的数据包只做简单的判断处理，如果数据包中的目标地址与网卡的相同，则接收该数据包，否则不做任何处理
  如果将网卡设为杂凑模式， 则该网卡就可接收任何流经它的数据包，不论数据包的目标地址是什么。被攻击者有时甚至无法发觉被监听。

入侵检测（了解原理）

• PDR/PDRR 模型
  策略（Policy）、防护（Protection）、检测（Detection）、响应（Response）

• 入侵检测的分类
  按照分析方法（检测方法）：异常检测模型（Anomaly Detection )，误用检测模型（Misuse Detection)
  按照数据来源分类：基于主机、基于网络、混合型
  根据时效性分类：脱机分析、联机分析
  按系统各模块的运行方式：集中式、分布式

• 异常检测和误用检测

• 

拒绝服务攻击（了解原理）

DoS/DDoS/DRDoS

尾巴

上述属于本学期的的课程知识点梳理，如果有什么问题欢迎在评论区留言指出。看在我这么努力的份上，请客官点个小小的赞吧~