软考系统架构设计师(3)-信息安全技术基础知识
信息安全基础知识
1.信息安全的概念
信息安全包括5个基本要素:
- 机密性:确保信息不暴露给未授权的实体或进程
- 完整性:只有得到允许的人才能修改数据,并能够判别出数据是否被篡改
- 可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作
- 可控性:可以控制授权范围内的信息流向及行为方式
- 可审查性:对出现的信息安全问题提供调查的依据和手段
信息安全的范围:
- 设备安全:信息系统设备的安全是信息系统安全的首要问题,是信息系统安全的物质基础,包括3个方面
- 设备的稳定性:指设备在一定时间内不出故障的概率
- 设备的可靠性:指设备在一定时间内正常执行任务的概率
- 设备的可用性:指设备可以正常使用的概率
- 数据安全:数据信息可能泄露,可能被篡改,数据安全即采取措施确保数据免受未授权的泄露、篡改和毁坏,包括3个方面
- 数据的秘密性:指数据不受未授权者知晓的属性
- 数据的完整性:指数据是正确的、真实的、未被篡改的、完整无缺的属性
- 数据的可用性:指数据可以随时正常使用的属性
- 内容安全:内容安全是信息安全在政治、法律、道德层次上的要求。包括3个方面
- 信息内容在政治上是健康的
- 信息内容符合国家的法律法规
- 信息内容符合中华民族优良的道德规范
- 行为安全:确保信息系统的行为安全,才能最终确保系统的信息安全,行为安全的特性如下:
- 行为的秘密性:指行为的过程和结果不能危害数据的秘密性
- 行为的完整性:指行为的过程和结果不能危害数据的完整性,行为的过程和结果是预期的
- 行为的可控性:指当行为的过程偏离预期时,能够发现、控制和纠正
2.信息存储安全
信息使用的安全
- 用户的标识与验证:主要时限制访问系统的人员,方法有两种;一是基于人的物理特征的识别;二是基于用户所拥有特殊物品的识别。
- 用户存取权限限制:主要限制进入系统的用户所能做的操作,采取隔离控制法和限制权限法
- 隔空控制法:在电子数据处理成分的周围建立屏障,主要有物理隔离方式、时间隔离方式、逻辑隔离方式、密码技术隔离方式等
- 限制权限法:有效地限制进入系统的用户所进行的操作,对用户进行分类管理
系统安全监控
建立安全监控系统,全面监控系统的活动,随时检查系统的使用情况;建立完善的审计系统和日志管理系统,管理员还应经常做一下4方面的工作:
- 监控当前正在进行的进程和正在登录的用户情况
- 检查文件的所有者、授权、修改日期情况和文件的特定访问属性
- 检查系统命令安全配置文件、口令文件、核心启动运行文件、任何可执行文件的修改情况
- 检查用户登录的历史记录和超级用户登录的记录,如发现异常应及时处理
计算机病毒防治
- 安装和更新安全补丁程序,升级杀毒软件
- 定期检查敏感文件
- 使用高强度的口令
- 经常备份重要数据
- 选择、安装经过公安部认证的防病毒软件,定期对整个硬盘进行病毒检测和清除工作
- 可以在计算机和因特网之间安装使用防火墙,提高系统的安全性
- 不使用计算机时,不要接入因特网,要断掉网络连接
- 重要的计算机系统和网络一定要严格与因特网物理隔离
- 不要打开陌生人发来的电子邮件
- 正确配置系统和使用病毒防治产品
3.网络安全
网络安全漏洞
操作系统、计算机网络、数据库管理系统都存在安全隐患,主要表现如下
- 物理安全性:凡是能够让非授权机器物理接入的地方都会存在潜在的安全问题
- 软件安全漏洞:“特权”软件种带有恶意的程序代码,从而可以导致其获得额外的权限
- 不兼容使用安全漏洞:不兼容性问题,即把两个毫无关系但有用的事物连接在一起,从而导致了安全漏洞
- 选择合适的安全哲理
网络安全威胁
网络存在的威胁主要表现以下5个方面
- 非授权访问:没有预先经过同意就使用网络或计算机资源被看作非授权访问
- 信息泄露或丢失:指敏感数据在有意或无意中泄露出去或丢失;包括在传输中丢失或泄露、在存储介质中丢失或泄露、通过建立隐蔽隧道等方式窃取敏感信息等
- 破坏数据完整性:以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应
- 拒绝服务攻击:会网络进行干扰,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用
- 利用网络传播病毒:通过网络传播计算机病毒的破坏性大大高于单机系统,而且用户很难防范
安全措施的目标
安全措施的目标包括以下几方面:
- 访问控制,确保会话对方有权做它所声称的事情
- 认证,确保会话对方的资源与它声称的一致
- 完整性,确保接收到的信息与发送的一致
- 审计,确保任何发生的交易在事后可以被证实,发信人和收信者都人为交换发生过,即不可抵赖性
- 保密,确保敏感信息不被窃听
信息安全系统的组成框架
由技术体系、组织机构体系、管理体系共同构建
1.技术体系,涉及基础安全设备、计算机网络安全、操作系统安全、数据库安全、终端设备安全等
- 基础安全设备包括密码芯片、加密卡、身份识别卡等
- 计算机网络安全指信息在网络传输过程中的安全防范,用于防止和监控未经授权破坏、更改、盗取数据的行为
- 操作系统安全指操作系统无错误配置、无漏洞、无后门、无特洛伊木马等
- 数据库安全划分未数据库管理系统安全和数据库应用系统安全两部分,涉及物理数据库的完整性、逻辑数据库的完整性、元素安全性、可审计性、访问控制、身份认证、可用性、推理控制、多级保护等技术
- 终端设备安全从电信网终端设备的角度分电话密码机、传真密码机、异步数据密码机
2.组织机构体系,由机构、岗位、人事机构三个模块构成。分3个层次:决策层、管理层、执行层
3.管理体系由法律管理、制度管理、培训管理组成
信息加解密技术
1.数据加密:防止未授权的用户访问敏感信息的手段
2.对称密钥加密算法
加密过程中加密密钥和解密密钥是相同的
DES(Data Encryption Standard):明文分64块,由56位密钥变换成64位密文
三重DES(triple-DES):使用两把密钥对报文做三次DES加密,密钥长度为112位
IDEA(International Data Encryption Algorithm):使用128位密钥,明文分成64位,8轮迭代加密
AES(Advanced Encryption Standard):支持128、192、256位3种密钥长度
3.非对称加密算法
加密密钥和解密密钥是不同的;用公钥加密,私钥解密,可实现保密通信;用私钥加密,用公钥解密,可实现数字签名
RSA(Rivest Shamir and Adleman):一种公钥加密算法,RSA算法的安全性基于大素数分解的困难性
密钥管理技术
1.对称密钥的分配与管理
密钥分配需要解决两个问题:一是引进自动分配密钥机制,以提高系统的效率;二是尽可能减少系统中驻留的密钥量;控制密钥的安全性主要有以下两种技术:密钥标签和控制矢量
密钥的分配发送有物理方式、加密方式、第三方加密方式,该第三方即密钥分配中心(Key Distribution Center,KDC)
2.公钥加密体系的密钥管理
- 公开发布:用户将自己的公钥发给其他用户,或向某一团体广播。
- 公用目录表:由可信的实体或组织建立共用目录表并维护和公钥的发布
- 公钥管理机构:与公用目录表类似,不过用公钥管理机构来为各用户建立、维护动态的公钥目录
- 公钥证书:由证书管理机构CA(Certificate Authority)为用户建立,其中的数据项有与该用户的密钥相匹配的公钥及用户的身份和时间戳
访问控制及数字签名技术
1.访问控制技术
访问控制:指主体依据控制策略或权限对客体本身或资源进行的不同授权访问,包括3个要素:主体、客体、控制策略。包括认证、控制策略实现、审计3个方面
2.访问控制的实现技术
- 访问控制矩阵:通过矩阵形式表示访问控制规则和授权用户权限的方法
- 访问控制表:按列保存访问矩阵
- 能力表:按行保存访问矩阵
- 授权关系表:抽取访问矩阵中的非空元素保存,当矩阵是稀疏矩阵的时候很有效
2.数字签名
条件:可信、不可伪造、不可重用、不可改变、不可抵赖
- 对称密钥签名,依赖中间人
- 公开密钥签名,经常和单向hash函数一起使用,对文件的Hash值签名,这样可提高数字签名的计算速度
信息安全的抗攻击技术
1.密钥在概念上分两大类:数据加密密钥和密钥加密密钥,选择密钥时需要考虑3方面因素:增大密钥空间、选择强钥、密钥的随机性
2.拒绝服务攻击与防御(DoS,Denial of services):人为或非人为发起的行动,使主机硬件、软件或者两个同时失去工作的能力,使系统不可访问并因此拒绝合法的用户服务要求。常见拒绝服务攻击为分布式拒绝服务攻击DDoS(Distributed Denial of Service)。
拒绝服务攻击的几种模式:
- 消耗资源:攻击者利用系统资源有限的特征,大量申请系统资源并长时间占用;或不断向服务程序发请求,使系统处于处理的请求,无暇为其他用户提供服务。攻击者主要针对网络连接的拒绝服务攻击、消耗磁盘空间、消耗CPU资源和内置资源发起拒绝服务攻击
- 破坏或更改配置信息:计算机系统配置的错误也可能造成拒绝服务攻击,攻击者可以修改配置文件,从而改变系统向外提供服务的方式
- 物理破坏或改变网络部件:通过物理破坏或改变网络部件以达到拒绝服务的目的,目标有计算机、路由器、网络配线室、电源等
- 利用服务程序中的处理错误使服务失效:主要利用服务程序中的处理错误,发送一些程序不能正确处理的数据包,引起该服务进入死循环。
分布式拒绝服务攻击DDoS
DDoS是对传统DoS的发展,攻击者先侵入并控制一些计算机,再控制这些计算机同时向一特定目标发起拒绝服务攻击,分布式拒绝服务攻击的隐蔽性更强,通过间接操纵网络上的计算机实施攻击,被攻击时可能的现象有
- 被攻击主机上有大量等待的TCP连接
- 大量达到的数据分组并不是网站服务连接的一部分,往往指向机器的任意端口
- 网络中充斥着大量无用的数据包,源地址为假
- 制造高流量无用数据造成网络拥塞,使受害主机无法正常与外界通信
- 利用受害主机提供的服务和传输协议上的缺陷,反复发出服务请求,使受害主机无法及时处理所有正常请求
- 严重时会造成死机
现有的DDoS攻击一般采用三级结构
拒绝服务攻击的防御方法:
- 加强对数据包的特征识别
- 设置防火墙监视本地主机端口的使用情况
- 对通信数据量进行统计
- 尽可能修正已发现的问题和系统漏洞
3.欺骗攻击与防御
ARP欺骗
原理:ARP(Address Resolution Protocol),通过IP解析MAC地址,攻击者伪造ARP数据包使使用者记录错误ARP表达到攻击者的目的。
常用防范方法有固化ARP表、使用ARP服务器、采用双向绑定的方法、ARP防护软件
DNS欺骗
原理:攻击者冒充域名服务器,把查询的IP地址设为攻击者的IP地址,用户访问时只能访问到攻击者的主页
DNS欺骗检测:
- 被动监听检测:通过旁路监听的方式,捕获所有DNS请求和应答数据包,并为其建立一个请求应答映射表
- 虚假报文探测:采用主动发送探测包的手段来检测网络内是否存在DNS欺骗攻击者
- 交叉检查查询:客户端收到DNS应答之后,向DNS服务器反向查询应答包中返回的IP地址对应的DNS名字判断
IP欺骗
原理:攻击者修改IP数据报的报头,把自身的IP地址修改为另一个IP,以获取信任
主要通过防火墙过滤不可靠连接
4.端口扫描
目的:判断目标主机上开放哪些服务、判断目标主机的操作系统
原理:尝试与目标主机的某些端口建立连接,如果目标主机的该端口有回复,则说明该端口开放,即为活动端口
分类:
- 全TCP连接:使用三次握手,与目标计算机建立连接,容易被目标计算机记录
- 半打开式扫描(SYN扫描):在建立连接阶段收到目标主机的回应报文后发送RST拒绝建立连接,整个过程未建立全连接,减少被主机记录的可能性,加快扫描速度
- FIN扫描:发送FIN报文判断端口是否打开,因为FIN扫描没有涉及TCP连接部分,较前两种方式安全,称为秘密扫描
- 第三方扫描:代理扫描,利用第三方主机来代替入侵者进行对目标主机的扫描,这里的第三方也称“肉鸡”
5.针对TCP/IP堆栈的攻击方式
- 同步包风暴:利用大量半连接TCP造成服务器端失去响应,也称“SYN洪水”
- ICMP(网络控制消息协议)攻击:利用操作系统规定得ICMP数据包的最大不超过64KB这个规定,达到使TCP/IP堆栈崩溃、主机死机的效果
- SNMP(简单网络管理协议)攻击:通过SNMP控制被管理的设备进行接管网络实施攻击
6.系统漏洞扫描
分基于网络的扫描和基于主机的扫描
信息安全的保障体系与评估方法
1.计算机信息系统安全保护等级
L1:用户自主保护级:通过隔离用户与数据,使用户基本自主安全保护的能力;对用户实施访问控制,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏
L2:系统审计保护级:实施更细粒度的自主访问控制,通过登录规则、审计安全性相关事件和资源隔离,用户对自己的行为负责
L3:安全标记保护级:提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述
L4:结构化保护级:可信计算基必须结构化为关键保护元素与非关键保护元素,接口也必须明确定义;加强鉴别机制;支持系统管理员和操作员的职能;提供可信设施管理
L5:访问验证保护级:访问监控器仲裁主体对客体的全部访问
助记关键字“户籍全解放”
2.安全风险管理
风险评估内容
- 确定风险评估的范围
- 确定风险评估的目标
- 建立适当的组织机构
- 建立系统性的风险评估方法
- 获得最高管理者对风险评估策划的批准
