软考高级·系统架构设计师 | 四、信息技术安全知识

文章目录

• • • 信息安全基础知识
    • 信息安全系统的组成架构
    • 信息加解密技术
    • 密钥管理技术
    • 访问控制技术
    • 信息安全的抗攻击技术
    • 信息安全的保障体系与评估方法

信息安全基础知识

1. 信息是一种重要的战略资源，信息的获取、处理和安全保障能力成为一个国家综合国力的重要组成部分，信息安全事关国家安全和社会稳定。

2. 信息安全 包括5个基本要素：机密性、完整性、可用性、可控性与可审查性。

   • 机密性：确保信息不暴露给未授权的实体或进程。
   • 完整性：只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改。
   • 可用性：得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作。
   • 可控性：可以控制授权范围内的信息流向及行为方式。
   • 可审查性 ：对出现的信息安全问题提供调查的依据和手段。
     

3. 信息安全的范围包括：设备安全、数据安全、内容安全和行为安全。

   1. 设备安全 ：信息系统设备的安全是信息系统安全的首要问题，是信息系统安全的物质基础
      • 设备的稳定性：指设备在一定时间内不出故障的概率。
      • 设备的可靠性：指设备在一定时间内正常执行任务的概率。
      • 设备的可用性：指设备可以正常使用的概率。
   2. 数据安全 ：采取措施确保数据免受未授权的泄露、篡改和毁坏
      • 数据的秘密性：指数据不受未授权者知晓的属性。
      • 数据的完整性：指数据是正确的、真实的、未被篡改的、完整无缺的属性。
      • 数据的可用性：指数据可以随时正常使用的属性。
   3. 内容安全 ：信息安全在政治、法律、道德层次上的要求
      • 信息内容在政治上是健康的。
      • 信息内容符合国家的法律法规。
      • 信息内容符合中华民族优良的道德规范。
   4. 行为安全 ：信息系统的服务功能是指最终通过行为提供给用户，确保信息系统的行为安全，才能最终确保系统的信息安全。
      • 行为的秘密性：指行为的过程和结果不能危害数据的秘密性。
      • 行为的完整性：指行为的过程和结果不能危害数据的完整性，行为的过程和结果是预期的。
      • 行为的可控性：指当行为的过程偏离预期时，能够发现、控制和纠正。

4. 信息的存储安全: 包括信息使用的安全(如用户的标识与验证、用户存取权限限制、安全问题跟踪等)、系统安全监控、计算机病毒防治、数据的加密和防止非法的攻击等。

   1. 信息使用的安全：用户的标识与验证（用户的标识与验证主要是限制访问系统的人员）、用户存取权限限制（是限制进入系统的用户所能做的操作：它一般有两种方法：隔离控制法和限制权限法）
   2. 系统安全监控 ：
      1. 监控当前正在进行的进程和正在登录的用户情况。
      2. 检查文件的所有者、授权、修改日期情况和文件的特定访问控制属性。
      3. 检查系统命令安全配置文件、口令文件、核心启动运行文件、任何可执行文件的修改情况。
      4. 检查用户登录的历史记录和超级用户登录的记录，如发现异常应及时处理。
   3. 计算机病毒防治:计算机网络服务器必须加装网络病毒自动检测系统，以保护网络系统的安全，防范计算机病毒的侵袭，并且必须定期更新网络病毒检测系统。

5. 网络安全：网络安全漏洞、网络安全威胁、安全措施的目标（访问控制、认证、完整性、审计、保密）

信息安全系统的组成架构

6. 信息安全系统的组成框架 ：技术体系、组织机构体系和管理体系共同构建
   • 技术体系 ：从实现技术上来看，信息安全系统涉及基础安全设备 、计算机网络安全 、操作系统安全 、数据库安全 、终端设备安全等多方面技术。
   • 组织机构体系：是信息系统安全的组织保障系统，由机构、岗位和人事机构三个模块构成一个体系。机构的设置分为3个层次：决策层、管理层和执行层。
   • 管理体系 ：管理是信息系统安全的灵魂。信息系统安全的管理体系由法律管理 、制度管理 和培训管理3个部分组成。所谓"三分技术，七分管理"。

信息加解密技术

7. 信息加解密技术：
   

   1. 数据加密是防止未经授权的用户访问敏感信息的手段，这就是人们通常理解的安全措施，也是其他安全方法的基础。
   2. 密码学 (Cryptography)：研究数据加密的科学：为设计密码体制的密码编码学、破译密码的密码分析学。

8. 对称密钥加密算法：加密密钥和解密密钥是相同的 ，称为共享密钥算法或对称密钥算法。
   

   1. DES(Data Encryption Standard) ：三重DES加密操作
      • 假设两个密钥分别是K 1 和 K2, 其算法的步骤如下：
        (1)用密钥 K 1 进行 DES加密。
        (2)用K 2 对步骤(1)的结果进行 DES解密。
        (3)对步骤(2)的结果使用密钥 K 1 进行DES 加密。
        这种方法的缺点是要花费原来3倍的时间，但从另一方面来看，112位密钥长度的三重
        DES 是很"强壮"的加密方式。
   2. IDEA(International Data Encryption Algorithm)：使用128位的密钥，把明文分成64位的块，进行8轮迭代加密。IDEA 可以用硬件或软件实现，并且比DES快。全球通用的加密标准。
   3. **AES：高级加密标准 (Advanced Encryption Standard,AES)**支持128、192和256位3种密钥长度，能够在世界范围内免版税使用，提供的安全级别足以保护未来20～30年内的数据，可以通过软件或硬件实现。

9. 非对称密钥加密算法:使用的加密密钥和解密密钥是不同的 ，称为不共享密钥算法或非对称密钥算法。
   

   • 设P 为明文， C 为密文， E 为公钥控制的加密算法， D 为私钥控制的解密算法，
     这些参数满足下列3个条件：
     (1)D(E§)=P。
     (2)不能由 E 导出D。
     (3)选择明文攻击(选择任意明文-密文对以确定未知的密钥)不能破解E。
   • 加密时计算C=E§, 解密时计算P=D©。 加密和解密是互逆的。用公钥加密，私钥解
     密，可实现保密通信；用私钥加密，公钥解密，可实现数字签名。
   • RSA(Rivest Shamir and Adleman) 这是一种公钥加密算法

密钥管理技术

10. 密钥管理技术--对称密钥的分配与管理：密钥分配一般要解决两个问题：一是引进自动分配密钥机制，以提高系统的效率；二是尽可能减少系统中驻留的密钥量。

访问控制技术

11. 访问控制技术：主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。
12. 访问控制包括3个要素 ，即主体、客体和控制策略：
    1. 主体 (Subject): 是可以对其他实体施加动作的主动实体，简记为S
    2. 客体 (Object): 是接受其他实体访问的被动实体，简记为O
    3. 控制策略：是主体对客体的操作行为集和约束条件集，简记为 KS
13. 访问控制包括认证、控制策略实现和审计 3方面的内容：
    1. 认证。主体对客体的识别认证和客体对主体的检验认证
    2. 控制策略的具体实现。如何设定规则集合从而确保正常用户对信息资源的合法使用，既要防止非法用户，也要考虑敏感资源的泄露，对于合法用户而言，更不能越权行使控制策略所赋予其权利以外的功能。
    3. 审计。审计的重要意义在于，比如客体的管理者即管理员有操作赋予权，他有可能滥用这一权利，这是无法在策略中加以约束的。
14. 访问控制矩阵 (Access Control Matrix,ACM) 是通过矩阵形式表示访问控制规则和授权用户权限的方法。
15. 访问控制表 ACLs(Access Control Lists) 是目前最流行、使用最多的访问控制实现技术。每个客体有一个访问控制表，是系统中每一个有权访问这个客体的主体的信息
16. 能力表 (Capabilities) 对应于访问控制表，这种实现技术实际上是按行保存访问矩阵。
17. 访问矩阵也有既不对应于行也不对应于列的实现技术，那就是对应访问矩阵中每一个非空元素的实现技术------授权关系表 (Authorization Relations)。
18. 数字签名系统向通信双方提供服务 ，使得A 向 B 发送签名的消息P, 以便达到以下几点：
    (1)B 可以验证消息P 确实来源于A。
    (2)A 以后不能否认发送过P。
    (3)B 不能编造或改变消息 P。
19. 数字签名 应保证以下几个条件：签名是可信的 。签名不可伪造 。签名不可重用 。签名的文件是不可改变的 。签名是不可抵赖的。

信息安全的抗攻击技术

20. 密钥 在概念上被分成两大类：数据加密密钥 (DK) 和密钥加密密钥 (KK)。

21. 密钥生成 需要考虑3个方面的因素：增大密钥空间、选择强钥、密钥的随机性。

22. 拒绝服务攻击 DoS(Denial of Service) 是由人为或非人为发起的行动，使主机硬件、软件或者两者同时失去工作能力，使系统不可访问并因此拒绝合法的用户服务要求。拒绝服务攻击的主要企图是借助于网络系统或网络协议的缺陷和配置漏洞进行网络攻击，使网络拥塞、系统资源耗尽或者系统应用死锁，妨碍目标主机和网络系统对正常用户服务请求的及时响应，造成服务的性能受损甚至导致服务中断。

23. 目前常见的拒绝服务攻击为分布式拒绝服务攻击DDoS(Distributed Denial of Service)。

24. 要对服务器实施拒绝服务攻击 ，有两种思路：

    (1)服务器的缓冲区满 ，不接收新的请求。

    (2)使用 IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。这也是DoS攻击实施的基本思想。

25. 外部用户针对网络连接发动拒绝服务攻击主要有以下几种模式：消耗资源。破坏或更改配置信息。物理破坏或改变网络部件。利用服务程序中的处理错误使服务失效。

26. 分布式拒绝服务DDoS攻击 是对传统 DoS 攻击的发展，攻击者首先侵入并控制一些计算机，然后控制这些计算机同时向一个特定的目标发起拒绝服务攻击。
    

27. 被 DDoS攻击时可能的现象有：

    • (1)被攻击主机上有大量等待的TCP 连接。
      (2)大量到达的数据分组(包括TCP 分组和UDP分组)并不是网站服务连接的一部分，
      往往指向机器的任意端口。
      (3)网络中充斥着大量无用的数据包，源地址为假。
      (4)制造高流量的无用数据造成网络拥塞，使受害主机无法正常和外界通信。
      (5)利用受害主机提供的服务和传输协议上的缺陷，反复发出服务请求，使受害主机无法
      及时处理所有正常请求。
      (6)严重时会造成死机。

28. 阻止拒绝服务攻击：(1)加强对数据包的特征识别(2)设置防火墙监视本地主机端口的使用情况(3)对通信数据量进行统计也可获得有关攻击系统的位置和数量信息。(4)尽可能的修正已经发现的问题和系统漏洞。

29. ARP原理：某机器A 要向主机C 发送报文，会查询本地的ARP 缓存表，找到 C 的IP 地址对应的 MAC地址后，就会进行数据传输。

30. ARP欺骗：指攻击者通过伪造ARP（地址解析协议）信息，欺骗目标设备将网络流量发送到攻击者控制的地址（而非正确目的地）的攻击手段。

31. ARP欺骗核心特点总结：

    1. 伪造性：发送虚假的ARP响应包
    2. 目的：劫持或监听网络流量（中间人攻击）
    3. 协议漏洞：利用ARP协议无身份验证机制
    • 例如：攻击者伪装成网关，让受害者将所有上网数据发给自己，实现窃听或篡改。

32. DNS 欺骗是一种比较常见的攻击手段。一个著名的利用 DNS欺骗进行攻击的案例是，全球著名网络安全销售商 RSA Security的网站所遭到的攻击。

33. DNS欺骗的原理：DNS 欺骗首先是冒充域名服务器，然后把查询的 IP 地址设为攻击者的 IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了。

34. IP欺骗的原理：通过编程的方法可以随意改变发出的包的IP地址，但工作在传输层的 TCP 协议是一种相对可靠的协议，不会让黑客轻易得逞。由于TCP是面向连接的协议，所以在双方正式传输数据之前，需要用"三次握手"来建立一个值得信赖的连接。想冒充hostb 对 hosta进行攻击，就要先使hostb 失去工作能力。也就是所谓的拒绝服务攻击，让 hostb瘫痪。

35. 同步包风暴是当前最流行的DoS (拒绝服务攻击)与 DDoS (分布式拒绝服务攻击)的方式之一，是应用最广泛的一种 DoS攻击方式，它的原理虽然简单。

36. ICMP 协议是TCP/IP协议集中的一个子协议，主要用于在主机与路由器之间传递控制信息，包括报告错误、交换受限控制和状态信息等。当遇到IP 数据无法访问目标， IP路由器无法按当前的传输速率转发数据包等情况时，会自动发送ICMP消息。

37. SNMP 是 TCP/IP 网络中标准的管理协议，它允许网络中的各种设备和软件，包括交换机、路由器、防火墙、集线器、操作系统、服务器产品和部件等，能与管理软件通信，汇报其当前的行为和状态。

38. 漏洞扫描： 系统漏洞扫描指对重要计算机信息系统进行检查，发现其中可能被黑客利用的漏洞

    1. 基于网络的漏洞扫描。是通过网络来扫描远程计算机中的漏洞。(1)漏洞数据库模块(2)用户配置控制台模块(3)扫描引擎模块(4)当前活动的扫描知识库模块。(5)结果存储器和报告生成工具。
    2. 基于主机的漏洞扫描器通常在目标系统上安装了一个代理(Agent) 或者是服务 (Services), 以便能够访问所有的文件与进程，这也使得基于主机的漏洞扫描器能够扫描更多的漏洞。扫描优点：(1)扫描的漏洞数量多(2)集中化管理(3)网络流量负载小。、

信息安全的保障体系与评估方法

39. 计算机信息系统安全保护等级：《计算机信息系统安全保护等级划分准则》计算机系统安全保护的5个等级：

    • (1)第1级：用户自主保护级：通过隔离用户与数据，使用户具备自主安全保护的能力。
    • (2)第2级：系统审计保护级：实施了粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。
    • (3)第3级：安全标记保护级：具有系统审计保护级所有功能
    • (4)第4级：结构化保护级：建立于一个明确定义的形式化安全策略模型之上，它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体
    • (5)第5级：访问验证保护级：访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的；必须足够小，能够分析和测试。

40. 信息系统的安全风险，是指由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生所造成的影响。

41. 信息安全风险评估，则是指依据国家有关信息安全技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程，它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。

42. 信息安全风险评估 是信息安全保障体系建立过程中重要的评价方法 和决策机制

43. 不同组织对于风险评估的实施过程可能存在不同的要求，因此在风险评估实施前，应该考虑如下内容：

    • (1)确定风险评估的范围

    • (2)确定风险评估的目标

    • (3)建立适当的组织结构

    • (4)建立系统性的风险评估方法

    • (5)获得最高管理者对风险评估策划的批准
      

44. 风险评估 的基本要素为脆弱性、资产、威胁、风险和安全措施，与这些要素相关的属性分别为业务战略、资产价值、安全需求、安全事件和残余风险。