4.2  初级安全简介

安全目标包括3方面[2]：首先，预防—— 防止攻击者违反安全策略；其次，侦察——侦察攻击者有没有违反安全策略；最后，恢复—— 停止攻击，评定并修复破坏，即使攻击成功也可以继续正常运行。

显然，预防只是理想的模式，只出现在攻击不成功的情况中。侦察也只发生在有人违反安全策略后。重要的是在违反安全策略情况发生时或正在进行时它能迅速报告。此时，系统必须做出合理的应答。恢复是指在经历了一个可能的降级操作后，系统仍然可以继续正常运行，这样的系统被称为可忍受入侵系统。要保证正常运行是很困难的。通常，恢复是指停止攻击并修复系统。这就要求关闭系统一段时间，或是除了对维修人员外，系统对所有用户停止服务，然后系统才可以恢复正常运行。

涉及到处理主要数据的信息安全的3个方面如下。

●       机密性：只有被授权的用户才可使用数据；

●       完整性：除了控制程序，数据不能更改；

●       有效性：数据在使用中必须有效。

机密性是针对不同的情况的。在通信过程中数据包的内容是受保护的，以防止恶意用户盗取信息。为了防止没有被授权的用户取回保密信息，常用的方法是在将数据发给接收者前就对其进行加密。到达接收端后，通过解密密文接收者可以提取出原始信息。因此，数据传送的机密性和不同加密算法的应用有着密切的关系。

完整性就是对数据的保护，防止未被授权用户更改数据。这与数据的机密性是不同的。数据的完整性要求未被授权的用户不可改变或修正相关的数据。例如，一个人想向公众传播一个信息，很明显这对任何人都不具有机密性，这时必须确保信息数据的完整性防止未被授权用户修改。在这样情形下，他必须通过盖章或是签名来证实这个信息。

“有效性”这个术语是指一个系统、子系统或者设备可操作和处于可用状态的程度。

涉及更多人和他们活动的安全的其他方面如下：

●       鉴别：证明用户的身份；

●       授权：确定谁可以享有数据或服务；

●       保证：对安全系统的正常运行的保证；

●       认可：确保用户不能否认操作；

●       审计：跟踪用户对数据和服务的使用情况。

鉴别是指要确保许可用户可以完成指定的服务，原始数据是来自真正的发送人的。已经有很多的技术可以用于鉴别用户—— 密码、生物技术、智能卡或认证书。在服务者向用户提供服务之前，应先有个机制来确定用户的特权。在所有的鉴别体系中，用登录户名和密码是最常见的鉴别方法。例如，在ATM终端取钱的时候用户必须输入VISA卡密码；进入网络也要输入口令。因此，鉴别实际上就是对授权用户的认证。

授权通常是提供鉴别服务的第一步。当接收到操作命令时，通过授权决定允许特定的操作运行。在现行的系统中，授权一般都是基于服务器本地的信息。这里的信息可能是在访问控制列表(ACL，Access Control Lists)上与文件或目录相关的信息。ACL是罗列要登录到一个账户的授权个人的文件(例如UNIX .rhosts文件)、用节点命名授权用户的配置文件以及有时访问网络的文件。当应用于分布式系统时，在特殊机制请求下，授权机制会决定特殊任务是否在当前节点上进行。在很多应用中，以及使用分布式系统的特殊应用中，都得益于授权机制对权限的支持。用户或者程序被授权后可以执行一种操作，并且可以对另一个程序也执行该操作。这种授权方式可以贯彻在分布式的授权过程中，如在资源管理程序中会分配每一个节点代表一项工作，并将这个节点授权作为工作的启动程序。

保证是相对于授权而言的。授权机制规定允许服务的提供程序决定是否执行代表服务申请者的操作要求。保证机制则是指允许服务的申请者来决定提供服务的供应商是否满足了申请者对于安全、可信赖程度、可靠性以及其他条件的要求。保证机制可通过第三方签署的证书来实现(参见4.3.5对证书的讨论)，只有在经第三方信任其票据、执照或是认可一个服务供应商后才能签署该证书，当客户选择供应商进行特殊操作的时候可以要求核对认证书。

认可是指参与的各方不能在事后否认合同的内容，特别是经由互联网的合同。关于数字安全，认可事实上指发送者和接收者是由双方各自来证实是那一方发送或接收了信息。

审计是对系统情况进行跟踪。这个概念就是当有人入侵系统时，系统操作者可以准确地找出这个人以谁的名义都做了些什么。

其他和安全相关的有：

●       信任：人们有理由相信以计算机为基础的系统会安全地完成重要功能，并且系统可以安全地处理、存储和交流机密信息。

●       可靠性：想让它做什么，系统就会做什么。

●       保密：由于有一定的限制，没有人会知道别人是谁，做了些什么。