翻译:中国科学技术大学信息安全专业老师 ( safety-critical)软件的标准有许多相似之处,有些安全专家希望最终将只有一个标准 118我们的计算机安全定义 在本书中,我们将采用以下的计算机安全定义: 计算机安全计算机安全研究如何预防和检测计算机系统用户的非授权行为 正确授和访问控制这两个概念对于本定义是至关重要的。正确授权假设存在一个安全策略,即一组声明什么 行为是允许的和什么行为是禁止的规则。安全策略域即是由策略所控制的用户、数据客体、机器等实体组成的集合。 你可以将纠正不正确行为的影响包括到安全定义中,但这个方面对于我们进一步的讨论作用不大 从对术语的初步讨论得出的主要结论是: 1.不存在单一的安全定义 2.当你阅读文档时,注意不要将你自己的安全概念与文档中使用的概念相混淆: 3.大量的时间正被花费(和浪费)在试图定义明确的安全概念上 12计算机安全最根本的两难处境 随着依赖计算机安全的用户数量从处理机密数据的少数公司发展到与因特网相连的每个人,人们对计算机安全 的需求已经发生了巨大的变化。最起码,这种变化已经导致了一种根本性的两难处境的出现: 不懂安全的用户有特殊的安全需求,却常常不具备安全的专门知识。 这种两难处境在当前的安全评估策略中是显而易见的。通俗地说,安全评估检查产品是否提供了它所承诺的安 全服务。因此,必须规定安全系统的功能,我们需要确保安全控制是有效的,并且能够抵抗滲透的企图 橙皮书是第一本评估安全产品(操作系统)的指南,在计算机安全的发展中有着巨大的影响力。在橙皮书中 功能性和κ诺( assurance,(质量)保证,担保)被捆绑成预定义的类,用户只能从这个固定的菜单中选择。许多提 供商还通过给出产品的橙皮书分类来说明产品的安全等级。但是橙皮书相当刻板,并且在解决计算机网络和数据库 管理系统的安全评估上还不是非常成功。因此,迫切要求有一套更灵活的标准集。 ITSEC适应了这种需要,它将功能性和承诺分开,以便规定特定的评估目标( targets of evaluation,TOE)。不懂 安全的用户现在只要搞清楚特定的TOEs,并且针对不同的TOEs去比较被评估的产品 计算机安全的这个两难处境会以不同的形式出现,解决它是目前计算机安全中最为紧迫的挑战。不足为怪的是 这个难题不存在简单的答案 同这个根本性的两难处境相比较,安全与易于使用之间的冲突采用了简单的工程上的折衷。安全对性能的影响 是多方面的 ■安全机制需要额外的计算资源,这个代价容易被量化 ■安全干扰用户熟悉的工作模式,繁琐或不合适的安全限制导致生产力的浪费。 ■必须花费精力去管理安全,因此安全系统的购买者经常选择具有最好的图形用户界面的产品。 安全是一种需要论证的代价。评估没有安全的代价属于风险分析的范围,风险分析是安全管理的一个重要方面, 但它不在本书讨论的范围内 13数据对信息 计算机安全是关于控制对信息和资源的访问。然而,控制对信息的访问有时是很难描述的,因此常常用更加直 截了当的目标,即控制对数据的访问来代替。数据和信息之间的区别是很微妙的,但它也是计算机安全中某些更加 困难的问题的根源。数括代表了信息,信息是数据的(主观)解释 数据依照约定所选择的用来表现我们概念上和真实世界中某些方面的物理现象。我们赋予数据的含意称 为信息。数据用来传输和存储信息,以及依照形式化规则处理数据之后获取新的信息[24]。 当信息和相应的数据之间存在紧密联系时,这两种方法可能会产生非常相似的结果。但事情并不总是这样的。 将信息通过一个隐蔽信道(见4,24)传输是可能的,在这里,数据是对访问请求的“是”或“否”的回答,而收 到的信息却是一个敏感文件的内容。另一个例子是统计数据库的推理( inference)问题(见144)。我们来扼要地 看一下这个问题,考虑一个纳税申报单的国内税收数据库,这个数据库不仅被税务稽查员使用(他们访问个人记录), 也被财政部官员使用以便进行总体规划。财政部官员必须能够访问纳税申报单的统计概要,但是没有权利访问个人 记录。假定数据库管理系统仅允许对足够大的数据集进行统计查询以保护个人数据,但是仍然可能对两个仅相差一 条记录的足够大的数据集进行统计査询,并将查询结果结合起来。这样,即使没有对数据进行直接访问,仍然可以 第4页共36 创建日期:2003-11翻译：中国科学技术大学信息安全专业老师 第 4 页 共 36 页 创建日期：2003-11 （safety-critical）软件的标准有许多相似之处，有些安全专家希望最终将只有一个标准。 1.1.8 我们的计算机安全定义 在本书中，我们将采用以下的计算机安全定义： 计算机安全 计算机安全研究如何预防和检测计算机系统用户的非授权行为。 正确授权和访问控制这两个概念对于本定义是至关重要的。正确授权假设存在一个安全策略，即一组声明什么 行为是允许的和什么行为是禁止的规则。安全策略域即是由策略所控制的用户、数据客体、机器等实体组成的集合。 你可以将纠正不正确行为的影响包括到安全定义中，但这个方面对于我们进一步的讨论作用不大。 从对术语的初步讨论得出的主要结论是： 1. 不存在单一的安全定义； 2. 当你阅读文档时，注意不要将你自己的安全概念与文档中使用的概念相混淆； 3. 大量的时间正被花费（和浪费）在试图定义明确的安全概念上。 1.2 计算机安全最根本的两难处境 随着依赖计算机安全的用户数量从处理机密数据的少数公司发展到与因特网相连的每个人，人们对计算机安全 的需求已经发生了巨大的变化。最起码，这种变化已经导致了一种根本性的两难处境的出现： 不懂安全的用户有特殊的安全需求，却常常不具备安全的专门知识。 这种两难处境在当前的安全评估策略中是显而易见的。通俗地说，安全评估检查产品是否提供了它所承诺的安 全服务。因此，必须规定安全系统的功能，我们需要确保安全控制是有效的，并且能够抵抗渗透的企图。 橙皮书是第一本评估安全产品（操作系统）的指南，在计算机安全的发展中有着巨大的影响力。在橙皮书中， 功能性和承诺（assurance，(质量)保证，担保）被捆绑成预定义的类，用户只能从这个固定的菜单中选择。许多提 供商还通过给出产品的橙皮书分类来说明产品的安全等级。但是橙皮书相当刻板，并且在解决计算机网络和数据库 管理系统的安全评估上还不是非常成功。因此，迫切要求有一套更灵活的标准集。 ITSEC 适应了这种需要，它将功能性和承诺分开，以便规定特定的评估目标（targets of evaluation, TOE）。不懂 安全的用户现在只要搞清楚特定的 TOEs，并且针对不同的 TOEs 去比较被评估的产品。 计算机安全的这个两难处境会以不同的形式出现，解决它是目前计算机安全中最为紧迫的挑战。不足为怪的是， 这个难题不存在简单的答案。 同这个根本性的两难处境相比较，安全与易于使用之间的冲突采用了简单的工程上的折衷。安全对性能的影响 是多方面的。 ■安全机制需要额外的计算资源，这个代价容易被量化。 ■安全干扰用户熟悉的工作模式，繁琐或不合适的安全限制导致生产力的浪费。 ■必须花费精力去管理安全，因此安全系统的购买者经常选择具有最好的图形用户界面的产品。 安全是一种需要论证的代价。评估没有安全的代价属于风险分析的范围，风险分析是安全管理的一个重要方面， 但它不在本书讨论的范围内。 1.3 数据对信息 计算机安全是关于控制对信息和资源的访问。然而，控制对信息的访问有时是很难描述的，因此常常用更加直 截了当的目标，即控制对数据的访问来代替。数据和信息之间的区别是很微妙的，但它也是计算机安全中某些更加 困难的问题的根源。数据代表了信息，信息是数据的（主观）解释。 数据 依照约定所选择的用来表现我们概念上和真实世界中某些方面的物理现象。我们赋予数据的含意称 为信息。数据用来传输和存储信息，以及依照形式化规则处理数据之后获取新的信息[24]。 当信息和相应的数据之间存在紧密联系时，这两种方法可能会产生非常相似的结果。但事情并不总是这样的。 将信息通过一个隐蔽信道（见 4.2.4）传输是可能的，在这里，数据是对访问请求的“是”或“否”的回答，而收 到的信息却是一个敏感文件的内容。另一个例子是统计数据库的推理（inference）问题（见 14.4）。我们来扼要地 看一下这个问题，考虑一个纳税申报单的国内税收数据库，这个数据库不仅被税务稽查员使用（他们访问个人记录）， 也被财政部官员使用以便进行总体规划。财政部官员必须能够访问纳税申报单的统计概要，但是没有权利访问个人 记录。假定数据库管理系统仅允许对足够大的数据集进行统计查询以保护个人数据，但是仍然可能对两个仅相差一 条记录的足够大的数据集进行统计查询，并将查询结果结合起来。这样，即使没有对数据进行直接访问，仍然可以