第四章 信息安全技术基础知识

  • 信息是一种重要的战略资源,信息的获取、处理和安全保障能力成为一个国家综合国力的重要组成部分,信息安全事关国家安全和社会稳定

4.1 信息安全的基础知识

4.1.1 信息安全的概念

  • 信息安全的5个基本要素
    • (1)机密性
      • 确保信息不暴露给未授权的实体或进程
    • (2)完整性
      • 只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改
    • (3)可用性
      • 得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作
    • (4)可控性
      • 可可以控制授权范围内信息流向及行为方式
    • (5)可审查性
      • 对出现的信息安全问题提供调查的依据和手段
  • 信息安全的4大范围
    • 1)设备安全
      • 信息系统设备的安全时信息系统安全的首要问题,是信息系统安全的物质基础
        • (1)设备的稳定性:指设备在一定时间内不出现故障的概率
        • (2)设备的可靠性:指设备在一定时间内正常执行任务的概率
        • (2)设备的可用性:指设备可以正常使用的概率。
    • 2)数据安全
      • 数据信息可能泄露,可能被纂改,数据安全即采取措施确保数据免受未授权的泄露、纂改和破坏
        • (1)数据的秘密性:指数据不受未授权者知晓的属性
        • (2)数据的完整性:指数据是正确的、真实的、未被纂改的,完整无缺的属性
        • (3)数据的可用性:指数据可以随时正常使用的属性
    • 3)内容安全
      • 内容安全是信息在政治、法律、道德层次上的要求
        • (1)信息内容在政治上是健康的
        • (2)信息内容符合国家的法律法规
        • (3)信息内容符合中华民族优良的道德规范
    • 4)行为安全
      • 信息系统的服务功能是指最终通过行为提供给用户,确保信息系统的行为安全,才能最终确保系统的信息安全,特性如下
      • (1)行为的秘密性:指行为的过程和结果不能危害数据的秘密性
      • (2)行为的完整性:指行为的过程和结果不能危害数据的完整性,行为的过程和结果是预测的
      • (3)行为的可控性:指当行为过偏离预期时,能够发现、控制和纠正

4.1.2 信息存储安全

  • 信息的存储安全包括信息使用的安全、系统安全监控、计算机病毒防治、数据的加密和防止非法的攻击等
    • 1.信息使用的安全
      • 1)用户的标识与验证
        • 用户的标识与验证主要是限制访问系统的人员
        • 方法
          • 一是基于人的物理特征的识别,包含签名识别法、指纹识别法和语音识别法
          • 二是基于用户所拥有的特殊安全物品的识别,包括智能ICka识别法、磁条识别法
      • 2)用户存取权限限制
        • 用户存取权限校限制主要限制进入系统的用户所能做的操作。
        • 方法
          • (1)隔离限制法
            • 是在电子数据处理成分的周围建立屏障,以便在该环境中实施存取。包括物理隔离方式、时间隔离方式,逻辑隔离方式和密码技术隔离
          • (2)限制权限法
            • 是有效地限制进入系统的用户所进行的操作。即对用户进行分类管理,安全密级、授权不同的用户分在不同的类别;对目录文件的访问控制进行严格的权限控制,防止越权操作;放置在临时目录或通信缓冲区的文件要加密,用完尽快移走或删除
    • 2.系统安全监控
      • 系统必须建立一套安全监控系统,全面监控系统的活动,并随时检查系统的使用情况,一旦由非法入侵者进入系统,能及时发现并采取相应措施,确定和填补安全及保密的漏洞。
      • 还要完善的审计系统和日志管理系统,利用日志和审计功能对系统进行安全监控
      • 管理员还需做以下4方面的工作
        • (1)监控当前政治进行的进程和正在登录的用户情况
        • (2)检查文件的所有者、授权、修改日期情况和文件的特定访问控制属性
        • (3)检查系统命令安全配置文件、口令文件、核心启动运行文件、任何可执行文件的修改情况
        • (4)检查用户登录的历史记录和超级用户登录的记录,如发现异常及时处理。
    • 3.计算机病毒防治
      • 计算机网络服务器必须加装网络病毒自动检测系统,以保护网络系统的安全,防范计算机病毒的侵袭,并且定期更新网络病毒检测系统
      • 计算机病毒具有隐蔽性、传染性、潜伏性、触发性和破坏性等特点,所以要建立计算机病毒防治管理只读
        • (1)经常从软件供应商网站下载、安装安全补丁程序和升级杀毒软件
        • (2)定期检查敏感文件。
        • (3)使用高强度的口令
        • (4)经常备份重要的数据
        • (5)选择、安装经过公安部认证的防病毒软件,定期对整个硬盘进行病毒检查和清除工作
        • (6)可以在计算机和因特网之间安装使用防火墙,提供系统的安全性
        • (7)当计算机使用不当时,不要接入因特网,一定熬断网连接
        • (8)重要的计算机系统和网络一定要严格与因特网隔离
        • (9)不要打开陌生人的电子邮件。同时要小心处理来自熟人的邮件附件
        • (10)正确地配置和和使用病毒防治产品

4.1.3 网络安全

  • 1.网络安全漏洞
    • (1)物理安全性
      • 凡是能够让非授权机器物理接入的地方都会存在潜在的安全问题,也就是能让接入用户做本不允许做的事情
    • (2)软件安全漏洞
      • 特权软件中带有恶意的程序代码,从而导致其获得额外的权限
    • (3)不兼容使用安全漏洞
      • 当系统管理员把软件和硬件捆绑在一起时,从安全的角度看可能认为系统将有可能产生严重安全隐患
    • (4)选择合适的安全哲理
      • 这是一种对安全概念的理解和直觉。完美的软件,受保护的硬件和兼容部件并不能保证正常而有效地工作,除非用户选择了适当的安全策略和打开了能增加其系统安全的部件。
  • 2.网络安全威胁
    • (1)非授权访问
      • 没有预先经过同意就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用或擅自扩大权限,越权访问信息
      • 有以下几种形式
        • 假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等
    • (2)信息泄露或丢失
      • 信息泄露或丢失在有意或无意中被泄露出去或丢失,包括信息在传输中泄露或丢失,信息在存储介质中泄露或丢失,以及通过建立隐蔽隧道等方式窃取敏感信息等。
    • (3)破坏数据的完整性
      • 以非法手段窃得对数据得使用权,增删改或重发某些重要信息,以取得有益于攻击者得响应;恶意添加,修改数据,以干扰用户的正常使用
    • (4)拒绝服务攻击
      • 它不断对网络服务系统惊醒干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务
    • (5)利用网络传播病毒
      • 通过网络传播计算机病毒的破坏性大大高于单机系统,而且用户很难防范。
  • 3.安全措施的目标
    • (1)访问控制。确保会话对方(人或计算机)有权做它所声称的事情
    • (2)认证。确保会话对方的资源与它声称的一致
    • (3)完整性。确保接收到的信息与发送的一致
    • (4)审计。确保任何发送的交易再事后可以被证实,收信者和发信者都认为交换发生过,即所谓的不可抵赖性
    • (5)保密。确保敏感信息不被窃听

4.2 信息系统安全的作用与意义

  • 敌对势力的破坏、恶意软件的入侵、黑客攻击、利用计算机犯罪、网络有害信息泛滥、个人隐私泄露等等,对信息安全构成了极大威胁,严重危害人民的身心健康。危害社会的安定团结,危害了国家的主权与发展。

4.3信息安全系统的组成框架

  • 信息安全系统框架通常由技术体系、组织机构体系和管理体系构成

4.3.1 技术体系

  • 从实现技术上看,信息安全系统涉及基础安全设备、计算机及网络安全、操作系统安全、数据库安全、终端设备安全等多方面的技术
    • (1)基础安全设备:
      • 包括密码芯片、加密卡、身份识别卡等,此外还涵盖运用到物理安全的物理环境保障技术,建筑物、机房条件及硬件设备条件满足信息系统的机械防护安全,通过对电力供应设备以及信息系统组件的抗电磁干扰和电磁泄漏性能的选择性措施达到相应的安全目的
    • (2)计算机网络及安全
      • 指信息再网络传输过程中的安全防范,用于防止和监控未经授权破坏、更改和盗取数据的行为。
      • 通常涉及物理隔离,防火墙及访问控制,加密传输、认证、数据签名、摘要,隧道及VPN技术,病毒防范及上网行为管理,安全审计等实现技术
    • (3)操作系统安全
      • 是指操作系统的无错误配置、无漏洞、无后门、无特洛伊木马等,能防止非法用户对计算机资源的非法存取,一般用来表达对操作系统的安全需求。
      • 操作系统的安全机制包括
        • 标识与鉴别机制、访问控制机制、最小特权管理、可信通路机制、运行保障机制、存储保护机制、文件保护机制、安全审查机制等等
    • (4)数据库安全
      • 可粗略划分为数据库管理系统安全和数据库应用系统安全两个部分,主要涉及物理数据库的完整性、逻辑数据库的完整性、元素安全性、可审计性、访问控制、身份认证、可用性、推理控制、多级保护以及消除隐通道等相关技术
    • (5)终端设备安全
      • 从电信网终端设备的角度分为电话密码机、传真密码机、异步数据密码机等

4.3.2 组织机构体系

  • 组织机构体系是信息系统安全的组织保障系统,由机构、岗位和人事机构三个模块构成一个体系。
    • 机构的设置分为三个层次:决策层、管理层和执行层
    • 岗位是信息系统安全管理机关根据系统安全需要设定的负责某一个或某几个安全事务的职位。
    • 人事机构是根据管理机构设定的岗位,对岗位上在职、待职和离职的雇员进行素质教育、业绩考核和安全监督的机构

4.3.3 管理体系

  • 管理是信息系统安全的灵魂。信息系统安全的管理体系由法律管理、制度管理和培训管理组成。三分技术,七分管理
    • (1)法律管理是根据相关的国家法律、法规对信息系统主题及其外界关联行为的规范和约束
    • (2)制度管理是信息系统内部依据系统必要的国家、团体的安全需求制定的一系列内部规章制度
    • (3)培训管理是确保信息系统安全的前提

4.4 信息加密技术

4.4.1 数据加密

  • 数据加密是防止未经授权的用户访问敏感信息的手段,这就是人们通常理解的安全措施,也是其他安全方法的基础。

4.4.2 对称密钥加密算法

  • 对称密钥加密算法中加密密钥和解密密钥是相同的,称为共享密钥算法或对称密钥算法
    • 1.DES加密算法
      • 明文被分成64位的块,对每个块进行19次替换,其中16次变换由56位的密钥的不同排列形式控制,最后产生64位的密文块
      • image.png
    • 2.IDEA 加密算法
      • 使用128位的密钥,把明文分成64位的块,进行8论迭代加密。
      • 比DES块,对密码分析具有很强的抵抗能力。是全球通用的加密标准
    • 3.AES(高级加密标准)
      • AES支持128.192和256位3种密钥长度,能够在世界范围内免版税使用,提供的安全级别足以保护未来20~30年内的数据,可以通过软件或硬件实现。

4.4.3 非对称加密算法(RSA)

  • 非对称加密算法中使用的加密密钥和解密密钥是不同的,称为不共享密钥算法或非对称加密算法
  • 设P为明文,C为密文,E为公钥控制加密算法,D为私钥控制解密算法
    • (1)D(E(P))=P
    • (2)不能由E导出D
    • (3)选择明文攻击不能破解E
  • 加密计算C=E(P),界面计算P=D(C),加密和解密涉及互逆的。用公钥加密,用私钥解密,可以实现保密通信;用私钥加密,公钥解密,可以实现数字签名。

4.5密钥管理技术

4.5.1对称密钥的分配与管理

  • 密钥分配一般要解决2个问题:一是引进自动分配密钥机制,以提高系统的效率;二是尽量可能减少系统中驻留的密钥量
  • 1.密钥的使用控制
    • 两个用户(主机、进程、应用程序)在进行保密通信时,必须拥有一个共享的并且经常更新的密钥
    • 1)密钥标签
      • 用于DES的密钥控制,将DES中的8个校验位作为控制这个密钥的标签。,其中前3位分别代表了该密钥的不同信息:主/会话密钥、加密、解密。当时长度过于限制,且需经过密方能使用,带来一定不便性。
    • 2)控制矢量
      • 被分配的若干字段分别说明不同情况下密钥是被允许使用或者不允许,且长度可见
  • 2.密钥的分配(4中方式)
    • (1)经过A选取的密钥通过物理手段发送给另一方B
    • (2)由第三方选取密钥,再通过物流手段分别发送给A和B
    • (3)AB之间事先有一个密钥,其中乙方选取新密钥后,用已有密钥加密该密钥后发送个另一方
    • (4)ABC三方各有一保密信道,C选取密钥后,分别通过A、B各自的保密信道发送,

4.5.2公钥加密体制的密钥管理(RSA)

  • 1.公开发布
    • 公开发布时指用户将自己的公钥发给每一其他用户,或向某一团体广播
  • 2.公用目录表
    • 公用目录表是指一个公用的公钥动态目录表,由某个可信的实体或组织承担该公用目录表的建立、维护以及公钥的分布等。
  • 3.公钥管理机构
    • 与公用目录表类似,不过用公钥管理机构来为个用户建立、维护动态的公钥目标,这种对公钥分配更加严密的控制措施可以增强其安全性。
  • 4.公钥证书
    • 公钥证书可以从一定程度上解决以上策略存在的不足之处,
    • 公钥证书时由证书管理机构CA位用户建立的,数据用CA的私钥加密,用户用公钥验证,,通过证书交换用户之间的公钥而无需与公钥管理机构联系,从而避免了统一机构管理所带来的不便和安全隐患。

4.5.3 公钥机密分配单钥密码体制的密钥

  • 这种分配过程的保密性和认证性非常强,可以防止被动攻击和主动攻击

4.6 访问控制及数据签名技术

4.6.1访问控制技术

  • 访问控制的目的是为了保护企业在信息系统中存储和处理的信息的安全
  • 1.访问控制的基本模型
    • 访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。
    • 访问控制包括3要素,即主体、客体、控制策略。访问控制模型时一种从访问控制的角度出发,描述安全系统,建立安全模型的方法
      • (1)主体
        • 是可以对其他实体施加动作的主动实体,简记为S,用户或访问者记为U。
        • 主体的含义是广泛的,可以是用户所在的组织,用户本身,也可以是使用的计算机终端、卡机、手持终端等,甚至可以是应用服务程序或进程。
      • (2)客体
        • 是接受其他实体访问的被动实体,简记为O。
        • 客体的概念也是广泛的,凡是可以被操作的额信息、资源、对象都可以认为是客体
      • (3)控制策略
        • 是主体对客体的操作行为集和约束条件集,简记为KS。
        • 控制策略是主体对客体的访问规则集,这个规则集直接定义了主体对可以的作用行为和客体对主体的条件约束。
        • 访问策略体现了一种授权行为,也就是客体对主体的权限允许,这种允许不超越规则集,
    • 访问控制包括三方面内容
      • (1)认证
        • 主体对客体的识别认证和客体对主体的校验认证。主体和客体的认证关系是相互的,取决一当前实体的功能是动作的执行者还是动作的被执行者
      • (2)控制策略的具体实现
        • 如何设定规则集合从而保证正常用户对信息资源的合法使用,既要防止非要用户,也要考虑敏感资源的泄露,对于合法用户而言,更不能越权行使控制策略所赋予权力以外的功能
      • (3)审计
        • 审计的重要意义在于,管理员有操作赋予权限,他可能滥用权限,策略中无法约束的,必须对这些行文进行记录,从而达到威慑和保证访问控制正常实现的目的。
  • 2.访问控制的技术实现
    • 文件的访问控制 R 读,W写,O操作。将管理操作从读写中分离处理是因为管理员也许对控制规则本身或是文件的属性等做修改
    • 1)访问控制矩阵
      • 访问控制矩阵是通过矩阵形式标识访问控制规则和授权用户权限的方法
      • 以主体位行索引,客体为列索引的矩阵,每个元素表示一组访问方式,是若干访问方式的集合
      • 实现起来易于理解,但是查找和实现起来由一定的难度
    • 2)访问控制表
      • 访问控制表是目前最流行,使用最多的访问控制实现技术,按列保存访问矩阵
      • 每个客体都有一个访问控制表,是系统中每一个有权访问这个客体的主体的信息,
      • 简单理解:这个文件谁可以动,看文件的权限列表
    • 3)能力表
      • 简单理解,这个人能动什么,看他手里的权限令牌
      • 按行保存访问矩阵,每个主体都有一个能力表,是该主体对系统的每一个客体的访问权限信息;
    • 4)授权关系表
      • 对应访问矩阵的每一个非空元的实现技术-授权关系表。
      • 安全数据库系统通常用授权关系表来实其访问控制安全机制
      • 简单的理解,用数据表存储所有权限

    4.6.2 数字签名

  • 数字签名系统向通信双方提供服务,使得A向B发送签名的消息P,以达到下面的目的
    • (1)B可以验证消息P确实来源于A
    • (2)A以后不能否认发送过P
    • (3)B不能编造或改变消息P
  • 1.数据签名的条件
    • (1)签名是可信的
    • (2)签名是不可伪造的
    • (3)签名不可重用
    • (4)签名的文件不可改变的
    • (5)签名不可抵赖的
  • 2.对称密钥的签名
    • 常见使用HMAC,用消息认证码实现完整性和身份认证,但不能保证是A发的,因为双方都知道密钥
  • 3.公开密钥签名
    • 公钥密码系统中,解密密钥和加密密钥是不同的,很难从一个推导出另一个。
  • 实践中,为了节约时间,数据签名协议经常和单向hash函数一起使用,即不对整个文件签名,只是文件的hash值签名。

4.7 信息安全的抗攻击技术

4.7.1 密钥的选择

  • 密钥的两大类概念:
    • 数据加密密钥(DK)
      • 直接对数据进行操作
    • 密钥加密密钥(KK)
      • 用于保护密钥
  • 密钥生成的3个因素
    • 1.增大密钥空间
      • 一个密钥的算法的密钥若设为N位,那么该密钥空间为2^。
    • 2.选择强钥
    • 3.密钥的随机性

4.7.2 拒绝服务攻击与防御

  • 拒绝服务攻击DOS是由人为或非认为发起的行动,是主机硬件、软件或者两者同时失去工作能力,是系统不可访问并因此拒绝合法的用户服务请求。
  • 拒绝服务攻击的主要企图是借助与网络系统或网络协议的却笑和配置漏洞进行网络攻击,是网络拥塞、系统资源耗尽或者系统应用死锁,妨碍目标主机和网络系统对正常用户服务请求的及时响应,造成服务的性能受损甚至导致服务中断。
  • 常见的拒绝服务攻击为分布式拒绝服务攻击DDOS
  • 要对服务器实现拒绝服务攻击,有两种思路
    • (1)服务器的缓冲区满,不接收新的请求
    • (2)使用ip欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接,这是do攻击实施的基本思想
  • 1.传统拒绝服务攻击的分类
    • 拒绝服务攻击有许多种,网络的内外部用户都可以发动这攻击
      • 内部用户可以通过长时间占用系统的内存,CPU处理时间使其他用户不能及时得到这些资源,而引起拒绝服务攻击;
      • 外部黑客也可以通过占用网络连接使其他用户得不到网络服务
    • 外部用户针对网络连接发动拒绝服务攻击主要模式
      • (1)资源消耗
        • 计算机和网络需要一定的条件才能运行,如网络带宽、内存、磁盘空间、CPU时间。攻击者利用系统资源有限这一特征,或是大量地申请系统资源,并长时间地占用;或是不断地向服务程序发请求,使系统忙于处理自己的请求,使其他用户得不到服务
          • 针对网络连接的拒绝服务攻击
          • 消耗磁盘空间
          • 消耗CPU资源和内存资源
      • (2)破坏或更改配置信息
        • 计算机系统配置上的错误也可可能造成拒绝服务攻击,尤其使服务程序的配置文件以及系统、用户的启动文件。这些文件一般只有该文件的额属主才可以写入,如果权限设置有误,攻击者可以修改配置文件,从而改变系统向外提供服务的方式
      • (3)物理破坏或改变网络部件
        • 这种拒绝服务针对的使物理安全,一般来说,通过物理破坏或改变网络部件以达到拒绝服务的目的。攻击的目标有:计算机、路由器、网络配线室、网络主干段、电源、冷却设备、其他的网络关键设备
      • (4)利用服务程序中的处理错误使服务失效
        • 专门针对windos系统的攻击方法如LAND等。
        • 这些攻击方法主要利用服务程序中的处理错误,发送一些该程序不能正确处理的数据包,引起该服务进入死循环。
  • 2.分布式拒绝服务攻击DDOS
    • 分布式拒绝服务DDOS攻击时对传统DOS攻击的发展,攻击者首先侵入并控制一些计算机及,然后控制这些计算机同时向一个特定的目标发起拒绝服务攻击。DDOS的隐蔽性更强,
    • 被ddos攻击的可能现象有:
      • (1)被攻击主机上有大量等待的TCP连接
      • (2)大量达到的数据分组并不是网站服务连接的一部分,问问指向机器的任意端口
      • (3)网络中充斥着大量无用的数据包,源地址为假
      • (4)制造高流量的无用数据和网络拥塞,使受害主机无法正常和外界通信
      • (5)利用受害主机提供的服务和传输协议上的缺陷,反复发出服务请求,使受害主机无法及时处理所有正常的请求
      • (6)严重时会造成死机
  • 3.拒绝服务攻击的防御方法
    • (1)加强对数据包的特征识别,攻击者在传达攻击命令或发送攻击数据时,虽然都加如了伪装设置加密,但是器数据包中还是有一些特征字符串,通过搜寻这些特征字符串,可以确定攻击服务器和攻击者的位置
    • (2)设置防火墙监视本地主机端口的使用情况。
    • (3)对通信数据量进行统计也可以获得有关攻击系统的位置和数量信息
    • (4)尽可能的修正已经发现的问题和系统漏洞

4.7.3 欺骗攻击与防御

  • 1.ARP欺骗
    • 1)ARP欺骗原理
      • ARP原理:某机器A要向主机C发送报文,会查询本地的ARP缓存表,找到C的IP地址对的MAC地址后,就会进行数据传输。
      • 局域网中的机器B攻击C,使C瘫痪,然后向A发送自己伪造的ARP应答,而整个应答是B冒充C伪造的,即IP地址为C的IP,而MAC地址是B的,则A收到后会根性本地的ARP缓存。由于局域网的网络流通不是根据IP地址进行的,而是按照MAC地址进行传输的,这就造成A给C的数据到了B上去,这就是一个简单的ARP欺骗
    • 2)ARP欺骗的防御
      • (1)win xp 固化ARP表,防止ARP欺骗
      • (2)使用ARP服务器。需要确保这台ARP服务器不被黑
      • (3)采用双向绑定的方法解决并且防止ARP欺骗
      • (4)APR防护软件。通过系统底层核心驱动,以服务及进程并存的形式随系统启动并运行,不占用计算机系统资源。无需对计算机进行IP地址及MAC地址绑定,不用担心重启后新建ARP缓存列表
  • 2.DNS欺骗
    • 1)DNS欺骗的原理
      • DNS欺骗首先是冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS欺骗的原理
    • 2)DNS欺骗的实现过程
      • 冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址
    • 3)DNS欺骗的检测
      • (1)被动监听检测
        • 通过旁路服监听的方式,捕获所有DNS请求和应答数据包,并为其建议一个请求应答映射表。在一定时间间隔内,一个请求对应两个或两个以上的结果不同的应答包,则怀疑收到了DNS欺骗攻击,因为DNS服务器不会给出多个结果不同的应答包,及时目标域名应对多个IP地址,DNS服务器也会在一个DNS应答包中返回,只有有多个应答域而已
      • (2)虚假报文检测
        • 该检测手段主要采用收到发送探测包的手段来检测网阔内是否存在DNS欺骗攻击者。原理是攻击者为了尽快地发出欺骗包,不会对域名服务器IP进行有效的验证。
      • (3)交叉检查查询
        • 即在客户端收到DNS应答包后,向DNS服务器反向查询应答包中返回的IP地址对应的DNS名字,二者一致则正常反之则受到DNS欺骗
  • 3.IP欺骗
    • 1)IP欺骗的原理
      • 通过编程的方法可以随意改变发出的报的IP地址,但工作在传输层的TCP协议是一种相对可靠的协议。想冒充B攻击A,需要使服务器B瘫痪(DDOS)
    • 2)IP欺骗的防范
      • IP欺骗攻击难度大,但攻击非常广泛,可以通过删除hosts文件,修改inetd.conf文件时的RPC机制无法应用,还可以通过设置防火墙过滤来自外部而信源地址却是内部IP的报文

4.7.4 端口扫描

  • 端口扫描时入侵者收集信息的常用手法
    • (1)判断目标主机开放了哪些服务
    • (2)判断目标主机的操作系统
  • 1.端口扫描原理
    • 端口的由计算机的通信协议tcp/ip协议定义的,tcp/ip协议规定,用ip地址和端口作为套接字,它代表TC连接的一个连接端,一般称为SOCKET。
    • 端口扫描就是尝试与目标主机的某些端口建立连接,如果目标主机该端口有回复(见三次握手中的第二次),则说明该端口开放,即为活动端口
  • 2.扫描原理分类
    • (1)全TCP连接
      • 使用三次握手,与目标计算机建立标准的TCP连接,但容易被目标主机标记
    • (2)半打开式扫描(SYN扫描)
      • 扫描主机自动向目标计算机的指定端口发送SYN数据段,表示发送建立连接请求
        • 如果目标计算机回应TCP报文中SYN=1,ACK=1,则为活动端口,扫描主机传送一个RST给目标主机拒绝建立TCP连接,导致三次握手失败的国策回家干嘛呢
        • 如果目标主机回应RST,则为“死端口”,这种情况下扫描主机不回应。
      • 由于全连接未建立,扫描速度快,且减低被标记的可能
    • (3)FIN扫描
      • 通过发送FIN=1的tcp报文到一个关闭的端口,目标主机会返回RST,活的端口则无会被丢掉而无回应,
      • 由于没涉及到TCP连接不服,这种比较安全,称为秘密扫描
    • (4)第三方扫描
      • 称为代理扫描,通过第三方主机代替入侵者扫描。这些第三方主机(肉鸡)都是入侵者入侵其他计算机得到的

4.7.5 强化TCP/IP堆栈以低于拒绝服务攻击

  • 1.同步包风暴SYN Flooding
    • 是DOS和DDOS常见的攻击方式。
    • 利用服务端在发送SYN+ACK应答报文后无法收到客户端的ACK报文(第三次握手无法完成),服务端会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃未完成的连接(SYN timeout),服务器端为了维护这个非常大的半连接列表而消耗非常多的资源。也叫SYN Flooding攻击
    • 可以通过修改注册表来防御SYN Flooding攻击
  • 2.ICMP攻击
    • ICMP协议是TCP/TP协议集中的一个子协议,主要用于在主机和路由器之间传递控制信号,包括报告错误、交换受限控制和状态信息等。
    • 比如通过ping命令发送ICMP回应请求消息并记录收到ICMP回应的回复消息来判断网络或主机的故障提供参考依据
    • 可以通过修改注册表来防御ICMP攻击
  • 3.SNMP 攻击
    • SNMP是TCP/TP网络中标准的管理协议,它允许网络中的各种设备和软件,包括交换机,路由器、防火墙、集线器、操作系统、服务产品和部件等,能与管理软件通信,会报其当前的行为和状态。SNMP还能被用于控制这些产品和设置,重定向通信流,改变通信数据包的优先级,甚至断开通信连接。
    • 可以通过修改注册表来防御SNMP攻击

4.7.6 系统漏洞扫描

  • 系统扫描是指对重要计算机信息系统进行检查,发现其中可能被黑客利用的漏洞。
  • 1.基于网络的漏洞扫描
    • 基于网络的漏洞扫描器,是通过扫描远程计算机中的漏洞。基于网络的漏洞扫描工具可以看作为一种漏洞信息收集工具,根据不同漏洞的特性,构造网络数据包,发给网络中的一个或多个目标服务器,以判断某个特定的漏洞是否存在
    • 网络漏洞扫描器的组成
      • (1)漏洞数据库模块
        • 包含了各种操作系统的各种漏洞信息,以及如何检查漏洞的指令
      • (2)用户配置控制台模块
        • 用来设置扫描的目标系统以及扫描哪些漏洞
      • (3)扫描引擎模块
        • 是扫描器的主要部件,根据用户配置,扫描引擎组装好相应的数据报,发送到目标系统,将接收到的目标系统的应答数据包与漏洞数据库中的漏洞特征进行比较,来判断所选择的漏洞是否存在
      • (4)当前活动的扫描知识库模块
        • 通过查看内存中的配置信息,该模块监控当前活动的扫描,将要扫描的漏洞的相关信息提供给扫描引擎
      • (5)结果存储器和报告生成工具
        • 利用当前活动扫描知识库中存储的扫描结果,生成扫描表
    • 网络的漏洞扫描器的优点
      • (1)基于网络的漏洞扫描器的价格相对比较便宜
      • (2)基于网络的漏洞扫描器在操作过程中,不需要涉及目标系统的管理员
      • (3)基于网络的漏洞扫描器在检测过程中,不需要在目标系统上安装任何东西。
      • (4)维护简单。企业网络变化时,只要某个结点能扫描网络中的全部目标系统,基于网络的漏洞扫描器不需要进行调整。
  • 2.基于主机的漏洞扫描
    • 基于主机的漏洞扫描的原理与基于网络的漏洞扫描器的原理类似,但两者的体系结构不一致。基于主机的漏洞扫描通常在目标系统上安装一个代理或者是服务,以便能偶访问所有的文件和进程,这也使得基于主机的漏洞扫描器能扫描更多的漏洞。
    • 优点:
      • (1)扫描的漏洞数量多
      • (2)集中化管理
        • 基于主机的漏洞扫描器通常都有个集中的服务器作为扫描服务器。
      • (3)网络流量负载小。
        • 由于ESM管理和ESM代理之间只有通信的数据报,漏洞扫描部分都有ESM代理单独完成,减少立刻网络的流量负载,当扫描结束后,ESM代理再次与ESM管理器进行通信,将扫描结果传送给ESM管理器。

4.8 信息安全的保障体系和评估方法

4.8.1 计算机信息系统安全保护等级

  • (1)第1级:用户自主保护级(TCSEC的C1级)。
    • 本级的计算机信息系统可信计算基通过隔离用户与数据,使用户具备自主安全的能力。它具
      有多种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用户和用户
      组信息,避免其他用户对数据的非法读写与破坏
  • (2)第2级:系统审计保护级(TCSEC的C2级)
    • 与用户自主保护级相比,本级的计算机信息系统可信计算即实施了力度更细的自主访问控
      制,它通过登录流程,审计安全性相关事件和隔离资源,使用户对自己的行为负责
  • (3)第3级:安全标记保护级(对应TCSEC的C3级)
    • 本级的计算机信息系统可信计算基具有系统审计保护级所有功能。此外,还提供有关安全策
    • 略模型、数据标记以及主体对客体强制访问控制的非形式化描述;具有准确地标记输出信息的能力;消除通过测试发现的任何错误。
  • (4)第4级:结构化保护级(对应TCSEC的B1级)
    • 本级的计算机信息系统可信计算基建立与一个明确定义的形式化安全策略模型之上,
      它要求将第三季系统中的自主和强制访问控制扩展到所有主体与客体。此外,
      还要考虑隐蔽通道。本级的计算机信息系统可信计算基必须结构化关键保护元素
      和非关键保护元素。计算机信息系统可信计算基的接口也必须明确定义,使其审计
      与实现能经受更充分的测试与更完整的复审。它加强了鉴别机制;支持系统管理员
      和操作员的职能;提供可信设施管理;增强了配置管理控制,系统具有相当的抗渗透能力
  • (5)第5级:访问验证保护级(TCSEC的B2级)
    • 本级的计算机信息系统可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的
      全部访问。访问监控器本身师抗篡改的;必须足够小,能够分析和测试。为了满足访问
      监控器需求,计算机信息系统可信计算基在器构造时,排除了那些对实施安全策略来说并非
      必要的代码;在设计和实现时,从系统工程角度将其复杂性降低到最小程度。支持安全管理
      员职能;扩充审计机制,当发生与安全相关的事件时发出信号;提供系统恢复机制。系统具有高的抗渗透能力。

4.8.2 安全风险管理

  • 信息系统的安全风险:是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生所造成的影响。
  • 信息安全风险评估:则是指依据国家有关信息安全技术标准,对信息系统级由其处理、传输和存储
    的信息的保密性、完整性和可用性等安全属性进行科学评价的过程,它要怕评估信息系统的脆弱
    性、信息系统面临的威胁以及脆弱性被威胁源利用好后所产生的实际负面影响,并根据安全事件发
    生的可能性和负面影响的程度来识别信息系统的安全风险
  • 风险评估的准备过程是组织风险评估的基础,是整个风险评估过程有效性的保证。组织对自身信息级信息系统进行风险评估的结果将受到业务需求级战略目标、文化、业务流程、安全要求、规模和结构的影响。
    • (1)确定风险评估的范围
      • 从自身的商业要求、战略目标的要求、相关方的要求或其他原因确定风险评估范围。
      • 可能是组织全部的信息和信息系统,可能是单独的信息系统,可能是组织的关键业务流程,也可能是客户的知识产权
    • (2)确定风险评估的目标
      • 组织应明确风险评估的目标,为风险评估的过程提供导向。支持组织的信息、系统、应用软件和网络是组织重要的资产。
      • 资产的保密性、完整性和可用性对于维持竞争优势、现金流动、获利能力和组织形象是必要的。
      • 风险评估的目标基本上来源于组织业务持续发展的需要、满足相关方的要求、满足法律法规的要求等方面
    • (3)建立适当的组织结构
      • 风险评估过程中要组织建立适当的组织结构,以支持整个过程的推进,,如成立由管理层、相关业务骨干、IT技术人员等组成的风险评估小组。组织结构的建立应考虑其结构和复杂程度,以保证能够满足风险评估的范围和目标
    • (4)建立系统的风险评估方法
      • 风险评估方法应考虑评估的范围、目的、时间、效果、组织文件、人员素质以及开展程度等因素来确定,使之能够与环境和安全要求相适应
    • (5)获得最高管理者对风险批评策划的批准
      • 上述所有内容应得到组织的最高管理者的怕批准,并对管理层和员工进行传达。
  • 风险评估的基本要素
    • 脆弱性业务战略
    • 资产-资产价值
    • 威胁-安全需求
    • 风险-安全事件
    • 安全措施-残余风险
  • 影响主要从以下几方面考虑
    • (1)违反了有关法律或规则制度
    • (2)影响了业务执行
    • (3)造成了信誉或声誉损失
    • (4)侵犯了个人隐私
    • (5)造成了人身伤害
    • (6)对法律实施造成了负面影响
    • (7)侵犯了商业机密
    • (8)违反了社会公共准则
    • (9)造成了经济损失
    • (10)破坏了业务活动
    • (11)危害了公共安全
  • 安全威胁是一种对机构及其资产构成潜在破坏的可能性因素或事件。产生安全威胁主要有2种因素
    • 人为因素
      • 有意
      • 无意
    • 环境因素
      • 自然及的不可抗因素
      • 其他物理因素
  • 脆弱性评估是安全风险怕评估的重要内容。弱点包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。
    • 弱点是资产本身存在的,它可以被威胁利用、引起资产或商业目标的损害,
    • 脆弱性评估所采用的方法主要有问卷调查、人员问询、工具扫描、手动检查、文档审查、渗透测试等
    • 脆弱性主要从2方面评估,涉及物理层、网络层、系统层、应用层和管理层等各个层面的安全问题
      • 1.技术方面
        • 主要是通过远程和本地两种方式进行系统扫描,对网络设备和主机等进行人工抽查,以保证技术脆弱性评估的全面性和有效性
      • 2.管理方面
        • 以按照BS7799等标准的安全管理要求对现有的安全管理制度及其执行情况进行检查,发现其中的管理漏洞和不足
  • 风险计算模型包含信息资产、弱点/脆弱性,威胁等关键要素。信息资产的属性是资产价值,弱的属性是弱点被威胁利用后对资产带来的影响的严重程度,威胁的属性是威胁发生的可能性。其计算过程如下
    • (1)对信息资产进行识别,并对资产赋值
    • (2)对威胁进行分析,并对威胁发生的可能性赋值
    • (3)识别信息资产的脆弱性,并对弱点的严重程度赋值
    • (4)根据威胁和脆弱性计算安全事件发生的可能性
    • (5)结合信息资产的重要性和安全事件的可能性,计算信息资产的风险值

本文参考文档:《系统架构设计师 第二版》