翻译:中国科学技术大学信息安全专业老师 更为混乱的是,信息安全的其他领域有它们自己关于完整性的概念。比如,在通信安全中,完整性是指: 对因蓄意操作或随机的传输错误而引起的传输数据的修改、插入、删除或重放而进行 的检测和纠正 当没有人被授权进行修改时,你可以把有意的修改看作是未授权修改的一种特殊情形。但是,采取这种观点并 没有多大帮助,因为授权体系的有或无对于需要解决的问题的本质以及相应的安全机制都有影响。 完整性通常是其他安全特性的先决条件。比如,攻击者可能试图通过修改操作系统或操作系统引用的访问控制 列表来挫败机密性控制。因此,我们必须保护操作系统的完整性或者访问控制列表的完整性来实现机密性。 最后,我们应当注意的是还有更一般的完整性定义,它把安全性和可用性都当作是完整性的一部分 15可用性 我们采用 CTCPEC中给出的定义: 可用性产品的服务在需要时不经太多延迟即可使用的特性。 国际标准ISO7498-2[51],通信安全的 ISO/OSI安全体系结构,给出了几乎相同的定义: 可用性需要时可被一个授权实体访问和使用的特性 可用性是超出传统的计算机安全范围的一个非常令人关注的问题。用于改善可用性的工程技术来自于其他领 域,象容错计算。在安全领域,我们想要保证的是,恶意的攻击者不能阻止合法用户合法访问他们的系统。也就是 说,我们希望防止拒绝服务( denial of service)。对此,我们引用ISO7498-2的定义: 拒绝服务 阻止对资源的授权访问或者延误时间关键性的操作 近来,因特网上已经出现了洪泛攻击 flooding attacks)的事件,攻击者用大量的连接请求淹没服务器,从而有效 地使服务器瘫痪。在许多情形下,可用性可能是计算机安全最重要的特性,但处理这类问题的安全机制却是特别缺 乏。事实上,限制太多的安全机制本身就可能导致拒绝服务。 116可审计性 现在我们已经讨论了计算机安全的三个传统领域。回想一下,你可以看到它们都研究了访问控制的不同方面 并且把重点放在了预防令人讨厌的事件上面。我们必须接受这样的事实,即我们几乎从来都无法防止所有不正确的 行为。首先,我们可能会发现授权行为可以导致安全违背:其次,我们可能会在我们的安全系统中发现一个缺陷, 使得攻击者可以找到绕过我们的控制的办法。因此,你可能需要在你的安全列表中加入新的安全要求。用户应当为 他们的行为负责,这个要求在正在出现的电子商务世界中尤为重要,而你已经能在象橙皮书这样历史性的文档中找 到它了 可审计性审计信息必须有选择地保存和保护,以便影响安全的行为可以被追溯到责任方 为了做到这一点,系统必须识别和认证用户,必须保存一份安全相关事件的审计记录。如果发生了安全违背事 件,审计记录中的信息可以帮助确认作恶者,以及作恶者损害系统所采取的步骤。 17可靠性和安全性( Safety)(安全(保险),安全,安全措施 在进行安全性( security)讨论时,还必须提及计算的其他领域,象可靠性,它涉及(意外)故障,和安全性( safety 它涉及系统故障对环境的影响,也涉及到系统在不利条件下必须正确运行的情形。 提及这些领域的原因之一是概念上有重叠。依你首选的观点而定,安全性( security)可以是可靠性的一个方面, 或者反之亦然。 IFIP WG104试图避免这种两难的处境,它引入可信任性( dependability)作为一个统一的概念 并将安全性( securIty)、可靠性、完整性和可用性当作可信任性的各个方面。 可信任性( Dependability,可靠性(强度,坚固度),相依性,依赖性)指计算机系统的这样一种性质,它使得系统 提供的服务有理由被信任。这里,系统提供的服务就是它的用户所能感知到的它的行为:用户是与系统相互作用的 另一个系统(物质,人)。 原因之二是有些应用必须同时解决多个问题。比如,考虑安全紧要( safety-critical)应用中的一个计算机系统 有时系统用户必须对紧急事件作出反应,安全( security)控制应当防止入侵者恶意造成意外事故。入侵检测系统试 图通过寻找陌生的行为模式来识别攻击,对紧急事件的反应有时候看上去也是陌生的—但愿紧急事件很少发生 -因此入侵检测可能会将紧急情况下的合法行为误解为攻击,并启动安全( securIty)机制,这可能会把问题搞糟, 因为安全( security)机制会干扰应急人员的行动。一般来说,你不能孤立地解决安全性( security)的问题,而不 考虑你想要保护的应用的其他要求 最后,应用于这两个领域的工程方法是类似的。比如,评价安全( security)软件的标准和评价安全紧要 第3页共36页创建日期:2003-11翻译：中国科学技术大学信息安全专业老师 第 3 页 共 36 页 创建日期：2003-11 更为混乱的是，信息安全的其他领域有它们自己关于完整性的概念。比如，在通信安全中，完整性是指： 对因蓄意操作或随机的传输错误而引起的传输数据的修改、插入、删除或重放而进行 的检测和纠正。 当没有人被授权进行修改时，你可以把有意的修改看作是未授权修改的一种特殊情形。但是，采取这种观点并 没有多大帮助，因为授权体系的有或无对于需要解决的问题的本质以及相应的安全机制都有影响。 完整性通常是其他安全特性的先决条件。比如，攻击者可能试图通过修改操作系统或操作系统引用的访问控制 列表来挫败机密性控制。因此，我们必须保护操作系统的完整性或者访问控制列表的完整性来实现机密性。 最后，我们应当注意的是还有更一般的完整性定义，它把安全性和可用性都当作是完整性的一部分。 1.1.5 可用性 我们采用 CTCPEC 中给出的定义： 可用性 产品的服务在需要时不经太多延迟即可使用的特性。 国际标准 ISO 7498-2[51]，通信安全的 ISO/OSI 安全体系结构，给出了几乎相同的定义： 可用性 需要时可被一个授权实体访问和使用的特性。 可用性是超出传统的计算机安全范围的一个非常令人关注的问题。用于改善可用性的工程技术来自于其他领 域，象容错计算。在安全领域，我们想要保证的是，恶意的攻击者不能阻止合法用户合法访问他们的系统。也就是 说，我们希望防止拒绝服务（denial of service）。对此，我们引用 ISO 7498-2 的定义： 拒绝服务 阻止对资源的授权访问或者延误时间关键性的操作。 近来，因特网上已经出现了洪泛攻击(flooding attacks)的事件，攻击者用大量的连接请求淹没服务器，从而有效 地使服务器瘫痪。在许多情形下，可用性可能是计算机安全最重要的特性，但处理这类问题的安全机制却是特别缺 乏。事实上，限制太多的安全机制本身就可能导致拒绝服务。 1.1.6 可审计性 现在我们已经讨论了计算机安全的三个传统领域。回想一下，你可以看到它们都研究了访问控制的不同方面， 并且把重点放在了预防令人讨厌的事件上面。我们必须接受这样的事实，即我们几乎从来都无法防止所有不正确的 行为。首先，我们可能会发现授权行为可以导致安全违背；其次，我们可能会在我们的安全系统中发现一个缺陷， 使得攻击者可以找到绕过我们的控制的办法。因此，你可能需要在你的安全列表中加入新的安全要求。用户应当为 他们的行为负责，这个要求在正在出现的电子商务世界中尤为重要，而你已经能在象橙皮书这样历史性的文档中找 到它了： 可审计性 审计信息必须有选择地保存和保护，以便影响安全的行为可以被追溯到责任方。 为了做到这一点，系统必须识别和认证用户，必须保存一份安全相关事件的审计记录。如果发生了安全违背事 件，审计记录中的信息可以帮助确认作恶者，以及作恶者损害系统所采取的步骤。 1.1.7 可靠性和安全性（Safety）（安全(保险)，安全,安全措施） 在进行安全性（security）讨论时，还必须提及计算的其他领域，象可靠性，它涉及（意外）故障，和安全性（safety）， 它涉及系统故障对环境的影响，也涉及到系统在不利条件下必须正确运行的情形。 提及这些领域的原因之一是概念上有重叠。依你首选的观点而定，安全性（security）可以是可靠性的一个方面， 或者反之亦然。IFIP WG 10.4 试图避免这种两难的处境，它引入可信任性（dependability）作为一个统一的概念， 并将安全性（security）、可靠性、完整性和可用性当作可信任性的各个方面。 可信任性(Dependability，可靠性(强度,坚固度)，相依性，依赖性) 指计算机系统的这样一种性质，它使得系统 提供的服务有理由被信任。这里，系统提供的服务就是它的用户所能感知到的它的行为；用户是与系统相互作用的 另一个系统（物质，人）。 原因之二是有些应用必须同时解决多个问题。比如，考虑安全紧要（safety-critical）应用中的一个计算机系统。 有时系统用户必须对紧急事件作出反应，安全（security）控制应当防止入侵者恶意造成意外事故。入侵检测系统试 图通过寻找陌生的行为模式来识别攻击，对紧急事件的反应有时候看上去也是陌生的——但愿紧急事件很少发生 ——因此入侵检测可能会将紧急情况下的合法行为误解为攻击，并启动安全（security）机制，这可能会把问题搞糟， 因为安全（security）机制会干扰应急人员的行动。一般来说，你不能孤立地解决安全性（security）的问题，而不 考虑你想要保护的应用的其他要求。 最后，应用于这两个领域的工程方法是类似的。比如，评价安全（security）软件的标准和评价安全紧要