软件工程的安全问题

1、軟件安全概論

軟件安全：軟件按我們所期待的方式運行就叫軟件安全。

信任度(Trust)： 描衡量一個軟件是不是能按我們所期待的方式運行的指標。

产生安全问题的原因：制作时期的不一致(in- consistency)，没有针对故障(Violation, incidents, and disaster)的对应机制，或没有经过详尽的测试。

怎样是一个好的软件安全机制：限制。(limit WHAT, WHO, HOW, happen and can change the system)。具体来说就是：容易使用，警报（False alarm），不频繁更新，不需要专家爱来修正等。

修正补丁：安装必须容易，不要牵扯没有问题的部分， 不使用补丁来实现某个目的（应该靠设计实现）。

现在流行的操作系统或多或少都有安全漏洞。 由于招聘具有安全软件编程技能的员工有大量成本， 公司倾向使用大量测试人员来弥补。

安全计划（Security Planning）:如风险评估，收益分析等， 制作政策Policy来实现。具体比如：保密性（ Confidentiality），数据完整性( Integrity)，可用性(Availability)， 一致性，控制等。这也是安全目标（Security goals）

风险评估(Risk Assessment)：提问自己要保护的对象是什么(主要是硬件、 软件和数据)，要保护那些方面，需要投入多少时间、金钱、 劳动力来实现？即Assets（有形、无形资产）, Threats（各种损失，雷电，洪水，盗窃，病毒，罢工， bug等。分为Interruption, interception, modification和fabrication四类或分为I nvoluntary和Voluntary两类） 和Calculation(Cost Benefit Analysis, 损失花销，保护花销)。

风险评估的三个关键步骤如下：

– 确定资产 Identify assets
– 确定威胁 Identify threats
– 计算风险 Calculate risks

软件威胁：删除、修改和盗窃（非法拷贝）。

数据威胁：打印数据的拷贝泄露，非法串改，交易途中修改， 竞争者收益，非常常见。按照数据的价值来决定安全级别。

其他威胁：存储媒介，网络，授权，关键人员，骗局等。

软件安全的相关人员：

业余者Amateur（发现了系统漏洞的普通员工）， Crackers（如以破解软件为乐的学生），职业人员（ 专门从事犯罪行动的人，间谍等）。

防守方法：数据加密。从开发、操作系统等方面进行控制。

控制方法：硬件方面（硬件加密，设置权限），政策方面（ 密码保护，训练管理员），物理方面（门禁，备份，分布存储等）， 人员方面（认识安全问题的严重性）。并且控制要有可操作性。 另外要考虑控制重叠，定期评测等。

安全条约：选择有价值的财产并定立条约（Policy）来保护。 条约明确了What,Why， Responsibility进行保护。 条约是普遍的和不经常改变的。 并且不需要把具体的威胁或个体写出来。 记录了组织安全问题的实现标准。通常用Shall叙述。 与平台无关。有度量方式。有支援方式。 以积极方式而不是消极方式撰写。以教育为主。 选择一个简单的Philosophy并且前后一致。 要有防御深度。对于个体授权要具体。对于硬件软件都要保护， 还要设定备份机制。安全条约的内容包括：密码条约， 软件安装条约，保密和敏感数据条约，网络接入条约， 电子邮件条约，远程登录条约，笔记本使用条约，电脑室条约等。 条约的负责方分为Dispatcher，管理层，技术支持专家， 公共关系专家等。

建立一个更安全的电脑的简单步骤：1、评估你的数据的重要性； 2、教育你的社区；3、定理一个备份的计划；4、 保持好奇心和怀疑心。

攻击方法：DOS(Denial of Service)，使网络或系统瘫痪；电子邮件炸弹；病毒； 欺骗（Spoofing）等。

安全服务：隐私保护，授权，接入控制（Access Control），完整性，不可抵赖性（Non- repudiation），重放保护（Replay Prevention）

2、加密和解密

加密(Encryption)：把信息伪装的机制。 它把信息处理成不明显的形式。

解密(Decryption)：把加密的信息还原。

Encode/decode：把phrase变成词语( word)或另一个phrase的过程。

Encipher/deceipher: 把单个字母或符号互相转换的过程。

Plaintext：原信息P。

Ciphertext：加密后的信息C。

以上的关系：C=E(P); P=D(C); P=D(E(P))

加入Key的情况：C=E(P)

对称加密：P=D(K, E(K,P))

不对称加密：P=D(K_D, E(K_E,P))

Cryptography:隐藏文本。

Crypt-analyst： 分析加密的信息。 与Cryptographer的区别是前者通常是非法获取信息者 。方法有寻找加密算法，分割单信息，识别加密模式等。

Cryptology: 关于加密解密的研究。

Breakable Encryption：给予一定的时间， 能够通过Break的方式破解的加密。

实例说明：S（Sender）传递信息T( Transmission Medium)给R(Receiver)，O( Outsider)想要获取信息。O有如下四种方式：

阻断；

Intercept（悄悄读取信息）；

修改；

Fabricate（伪造信息传给R）。

Substitution-based Encryption： 通过分析词频可以解开这种简单的加密方法或它的变种（ 如Polyalphabetic Substitution ）。

Transposition:  以字母重新排列的方式加密。

NP完全：用NP完全算法进行加密。

数字理论：使用质数，欧几里得算法等数学算法进行加密。

公开密钥技术：传统的加密方法在S和R之间建立一组Key， 如果有N个人，就需要N(N-1)/2组Key。 加入设计一种Public Key:

P = D(K_priv, E(K_pub, P))

每个人只需保留两个Key，总数变为2N个。

3 系统保证和评审(System with Assurance Evaluation Auditing)

概述

动机：防御来自各个方面的威胁，修补系统自身的漏洞（ Vulnerability）。

关注点：操作系统（data），应用程序(Operation/ transaction)

集中式系统比分布式系统更容易保证。

安全机制需要在各个层次(Layer)实现。 四级Layer举例：应用层（传递控制）；服务/中转层（支持） ；操作系统层（内存管理，scheduling控制）；硬件层（ 固件）。根据特定需要把安全机制放在特定的层次， 比如文件访问管理放在操作系统层。 前面的层次安全性要考虑更低级的层次的安全性， 比如应用程序的安全需要操作系统支持。

安全问题要在设计层面上考虑。

Trusted Computing Base (TCB): TCB是用于建立安全政策(Policy)的基础。

Specification: 清楚， 无歧义(Unambiguous)，完整。

设计保证：指出设计瑕疵。指出如何满足需求。技巧：模块化， 层次化和抽象化。

设计文档：安全函数和方法，用户接口，内部低级设计。从技术上， 要求上，信息熵入手。

需求映射：

-1、安全需求

-2、外部specification

-3、内部specification

-4、代码实现

4映射(Mapping, tracing)1、2、3。

2、3、4互相Informal correspondence。

实现的保证：

模块化、最小接口。

语言选择：C（不可靠pointer, memory, error），Java（改善C的安全缺陷）

管理的保证：

管理配置(Configuration Management, CM)源代码和文档。

安全测试：功能FT（黑盒），结构ST（白盒）。系统综合测试( FT)，模块化测试(ST)

补丁方式：

Hot fix：紧急、严重问题的处理

Regular fix：长期解决方案，适用于不紧急的问题。

评测(Evaluation)

Formal evaluation: 获取信任的方法。

评测方法包括：安全需求，保证需求，过程，度量结果。

目的： 防御。使产品获得信任。

Trusted Computer System Evaluation Criteria （TCSEC）: 美国政府用于评测的标准。分类保证：

C1：酌情保护(Discretionary)

C2：控制保护

B1：标识安全(Labeled security)保护

B2：结构保护

B3：安全领域

A1：认证保护

TCSEC谁来评测？政府资助独立的评测者。

TCSEC三个阶段：

Design analysis 设计分析

Test analysis 测试分析

Final review 最终审查

问题：

基于保密性，没有完整性和可用性检查

把安全和功能结合到一起

基本系统：TNI(Trusted Network Interpretation), TDI (Trusted Database management System Interpretation)

ITSEC(欧洲的TCSEC)

ITSEC(欧洲)级别(Levels)：

E1：安全目标定义和测试

E2：非正式设计描述

E3：代码和安全的一致性(Correspondence)

E4：正式安全政策

E5：代码和设计的一致性

E6：正式的构建（）Architecture方法

ITSEC(欧洲)问题:

没有验证安全需求

评测的不一致性（Inconsistency）

Common Criteria (CC)

CC是取代TCSEC, ITSEC的评测标准。

CC文档：功能需求，保证（Assurance）需求， 评测保证级别(Evaluation Assurance Level, EAL)

CC评测方法：对每个EAL作出详尽的guideline

国家级的Scheme

TOE： Target of Evaluation

TSFI： TOE Security Functions Interface

Functional Requirement: 包括 Security Audit, Communication, Cryptography等。

Assurance Requirement: Protection Profile Evaluation, Configuration management等。

CC Evaluation Assurance 层级：

-1、功能测试

-2、结构测试

-3、方法(Methodically)测试

-4、方法设计，测试和评测(Review)

-5、半正式设计和测试

-6、半正式验证（Verified）设计和测试

-7、正式设计和·测试

当前有80个产品注册了CC测试，只有一个是5层，若干4层。

Auditing（审核）

Logging的定义：记录事件和数据用以保证系统性能。

Auditing的定义： 分析log记录来呈现清晰的可理解的系统行为（Manner）。

目标：用户问责（accountability），伤害评估， 安全调查，问题监控，保护效率评测等。

问题：那些数据需要log？Audit哪些对象？

重要结构：

Logger记录信息，以参数控制。 有的记录可以直接供人们阅读，有的不行。

Analyzer分析log的记录。

Notifier：报告分析结果。

设计一个审核系统：关键安全机制模块， 由目标决定哪些内容被log

Constraint限制：P(action-> condition)

举例：对于读写操作(从S到O)，在两端记录L(S), L(O), 读或写，成功或失败。不需要把S和O本身记录下来。且L(S) >= L(O)

实现的问题：如何定义Violation，多重命名等。

语法问题：记录的歧义性。解决方法是定义严格的语法。

Log Sanitization:  一种Policy规定用户和数据之间的关系。 两种Policy:

-1、信息限制在网站内；

-2、信息限制在系统内。

Pseudonyms： 通过改名来规避敏感问题，仍然保持了关系Relation。 用随机key把公开数据加密，用秘密的方法分享key。

Application Logging：应用程序的log。

System Logging：在Kernel级别的记录。

以上的区别是前者关注应用事件，比如登录错误； 后者关注系统事件，比如内存映射。后者信息量往往大得多。

Posteriori设计：在系统完成后设计Auditing。 目的是检测所有潜在的安全问题。 从State和Transition两个方向入手。

4 安全模式(Security Patterns)

动机：今天的系统有很多不同的通讯特点。 安全问题是一个很难评测的非功能需求（Non- functional requirement）。需要专业知识进行设计。

方法：使用模式的方法来克服不同开发人员之间的知识鸿沟。 具体来说使用了Design pattern template模板。

十大原则（Principle）：

-1、确保最薄弱环节；

-2、提高防御深度；

-3、错误事件的安全处理（Fail securely）；（错误无法避免，设计应对策略）

-4、最小权限原则（least privilege）；

-5、划分（Compartmentalize）原则；

-6、简单化原则；

-7、促进隐私原则（Promote privacy）；（最小化能收集到的隐私信息）

-8、记住隐藏秘密是很难的；

-9、不要任意信任（Be reluctant to trust）；（不要任意扩展信任权限）

-10、使用社区资源。

冲突：2、5、7和6，期间需要取舍。

如前文所述，设计模式指出了问题（Problem） 和对应的解决方案（Solution）。 它促进了开发人员之间的交流，提供了总体的结构信息， 统一了设计和提高了理解度。 而安全模式针对特定的反复出现的安全问题提出了解决方案。

模式分类：同普通设计模式一样，分为Structural, Behavioral和Creational三类。

模式分层：Application level, host level和network level。

以下是三种安全模式的举例。

 

单访问点（Single Access Point, SAP）

一种Structural模式，通过建立单一的界面， 用于加强系统控制，从而提升安全性。

约束：真实性，保密性，完整性。

后果（Consequences）：可说明性（ Accountability），保密和完整性，可用性， 性能需求，花销（试情况而定），管理性（安全代码很集中）， Usability(方便性下降)。

已知的运用：Linux telnet, Windows NT

相关安全模式：Check Point, Role-Based Access Control, Session

相关模式： Singleton

相关原则：1, 6, 9

检查点（Check Point）

CP用于检查进入的请求和处理Violation。 运用在监控领域。

参与者：Check Point, Countermeasure, Security Policy。CP检查进入的消息是否符合Security Policy。Countermeasure（对策） 在合适的时候被触发。

约束：真实性，完整性，保密性。

后果：保密，完整，性能（降低），额外花销，简化管理， 可能会阻挡一些正常的信息。

相关安全模式：SAP, Role-Based Access Control, Session

相关模式： Strategy

相关原则：1, 2, 4, 9

基于角色的访问控制（Role-Based Access Control）

促使一个安全的内部访问资源的机制。

参与者：保护对象（Protection Object），Right, Role, Roles，User。Roles就是一些对象的组合， Right object定义了之间的关系， 每个用户都可以被指定到某个Roles中。

限制：只有授权目标可以指定Role。

后果：保密性，完整性，可用性增强，性能提高（减少访问消耗）， 花销减少（开发阶段花销提高），管理更加简便（ 以Group的形式管理）。

相关安全模式：Limited View, CP, Session

相关模式： Strategy，Oberserver

相关原则：4, 6, 7

结论：安全模式有助于追踪系统的非功能性安全需求。

參考資料

Betty Cheng, MichiganState University, softwareengineering lectures