架构师备考-信息安全
定义
信息是一种重要的战略资源,信息的获取、处理和安全保障能力成为一个国家综合国力的重要组成部分,信息安全事关国家安全和社会稳定。
信息安全理论与技术的内容十分广泛,包括密码学与信息加密、可信计算、网络安全和信息隐藏等多个方面。
信息安全的概念
信息安全包括5个基本要素:机密性、完整性、可用性、可控性与可审查性
- 机密性:确保信息不暴露给未授权的实体或进程
- 完整性:只有得到允许的人才能修改数据,并且能够判断出数据是否已被篡改
- 可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作
- 可控性:可以控制授权范围内的信息流向及行为方式
- 可审查性:对出现的信息安全问题提供调查的依据和手段
信息安全的范围包括:设备安全、数据安全、内容安全、行为安全
- 设备安全:设备的稳定性、可靠性、可用性
- 数据安全:数据的秘密性、完整性、可用性
- 内容安全:信息内容在政治上是健康的、信息内容符合国家的法律法规、信息内容符合中华民族优良的道德规范
- 行为安全:行为的秘密性、完整性、可控性
信息存储安全
- 信息使用的安全
- 用户的标识与验证
- 基于人的物理特征的识别
- 基于用户拥有特殊安全物品的识别
- 用户存取权限限制
- 隔离控制阀
- 限制权限法
- 系统安全监控
- 计算机病毒防治
- 计算机网络服务必须加载网络病毒自动检测系统,以保护网络系统的安全,防范计算机病毒的侵袭,并且必须定期更新网络病毒检测系统
- 计算机病毒具有隐蔽性、传染性、潜伏性、触发性和破坏性等特点,所以需要建立计算机病毒防治管理制度。
网络安全
- 网络安全漏洞
- 物理安全性
- 软件安全漏洞
- 不兼容使用安全漏洞
- 选择合适的安全哲理
- 网络安全威胁
- 非授权访问
- 信息泄露或丢失
- 破坏数据完整性
- 拒绝服务攻击
- 利用网络传播病毒
- 安全措施的目标
- 访问控制。确保会话对方(人或计算机)有权做它所声称的事情
- 认证。确保会话对方的资源(人或计算机)与它声称的一致
- 完整性。确保接收到的信息与发送的一致
- 审计。确保任何发生的交易在事后可以被证实,发信者和收信者都认为交换发生过,即所谓的不可抵赖性
- 保密。确保敏感信息不被窃听
主动攻击
主动攻击是指攻击者试图直接改变或破坏系统资源、数据或网络流量的攻击方式。
特点
- 干预性。攻击者会主动干预网络通信,比如修改、插入或删除信息
- 目的性。攻击者的目的通常是为了获取未授权的信息,破坏系统的可用性或完整性。
- 可检测性。由于攻击者需要与系统交互,因此这类攻击通常更容易被检测到
示例
- 拒绝服务攻击(Dos)
- 分布式拒绝服务攻击(DDos)
- SOL 注入
- 网络钓鱼
- 信息篡改
- 资源使用
- 欺骗
- 伪装
- 重用
被动攻击
被动攻击是指攻击者在不被系统察觉的情况下,试图监听、窃取或复制信息的攻击方式。
特点
- 非干预性。攻击者不会主动干预网络通信,而是通过监听等方式获取信息
- 隐蔽性。攻击者的目的是在不被发现的情况下获取信息因此这类攻击通常比较隐蔽
- 难检测性。由于攻击者不直接干预系统,被动攻击往往难以被检测到
示例
- 流量分析
- 窃听
- 数据泄露
信息安全系统的组成框架
信息安全系统框架通常由技术体系、组织机构体系和管理体系共同构建
-
技术体系:从实现技术上看,信息安全系统设计基础安全设备、计算机网络安全、操作系统安全、数据库安全、终端设备安全等多方面技术。
- 组织机构体系:组织机构体系是信息系统安全的组织保障系统,由机构、岗位和人事机构三个模块构成一个体系。
- 机构:机构的设置分为三个层次:决策层、管理层、执行层
- 岗位:是信息系统安全管理机关根据系统安全需要设定的负责某一个或某几个安全事务的职位
- 人事机构:是根据管理机构设定的岗位,对岗位上在职、待职、离职的雇员进行素质教育、业绩考核和安全监管的机构
- 管理体系:管理是信息系统安全的灵魂。管理体系由法律管理、制度管理、培训管理3个部分组成。所谓“三分技术、七分管理”
- 法律管理:根据相关的国家法律、法规对信息系统主体及其与外界关联行为的规范和约束
- 制度管理:信息系统内部根据系统必要的国家、团队的安全需求制定的一系列内部规章制度
- 培训管理:是确保信息安全的前提
信息加解密技术
加密算法
- 对称密钥加密算法:加密密钥和解密密钥是相同的,称为共享密钥算法或对称密钥算法。
- 非对称加密算法:加密和解密密钥不同,称为不共享密钥算法或非对称密钥算法。
| 算法类型 | 功能 | 例子 |
| 对称加密算法 | 明文数据加密传输 | DES,3DES,AES,IDEA,RC4,RC5,SM4 |
| 非对称加密算法 | 数字签名和验签 | RSA,ECC,DSA、SM2 |
| 报文摘要加密 | 生成信息摘要 | MD5,SHA-1,HMAC |
密钥长度
- DES 56位
- 3DES 112位
- AES-128、AES-192和 AES-256
- idea 128 位密钥,块大小 64 位
- SM4 国密算法,128位
- MD5 以512位为分组,产生128 位输出
- SHA-1 160位
密钥管理技术
- 《中华人民共和国密码法》将密码分为核心密码、普通密码和商用密码。
- 核心密码、普通密码用于保护国家秘密信息、核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。
- 商用密码用于保护不属于国家秘密的信息,公民、法人和其它组织可依法使用商用密码保护网络与信息安全
对称密钥的分配与管理
- 密钥的使用控制
- 密钥标签
- 控制矢量
- 密钥的分配
- 经过A 选取的密钥通过物理手段发送给另一方B
- 由第三方选取密钥,再通过物理手段分别发送给A和B
- A、B 事先有一个密钥,其中一方选取新密钥后,用已有密钥加密该新密钥后发送给另一方
- 三方A、B、C 各有一保密信道,C 选取密钥后,分别通过A、B各自的保密信道发送。
公钥加密体制的密钥管理
- 公开发布:是指用户将自己的公钥发给每一其他用户,或向某一团体广播。
- 公用目录表:公用目录表指一个公用的公钥动态目录表,由某个可信的实体或组织承担该共同目录表的建立、维护以及公钥的分布等。
- 公钥管理机构:与公用目录表类似的,不过用公钥管理机构来为各用户建立、维护动态的公钥目录,这种对公钥分配更加严密的控制措施可以增强其安全性。
- 公钥证书:公钥证书是由证书管理机构CA 为用户建立的,其中的数据项有与该用户的密钥相匹配的公开钥及用户的身份和时戳等,所有的数据项经CA 用自己的密钥签字后就形成证书。
访问控制技术
- 访问控制包括三个要素:主体、客体、控制策略
- 访问控制包括认证、控制策略实现和审计3个方面的内容
- 认证:主体对客体的识别认证和客体对主体的检验认证。
- 控制策略实现:如何设定规则集合从而确保正常用户对信息资源的合法使用,既要防止非法用户,也要考虑敏感资源的泄露,对于合法用户而言,更不能越权行驶控制策略所赋予其权力以外的功能。
- 审计:对行为进行记录,从而达到威慑和保证访问控制正常实现的目的。
访问控制的实现技术
- 访问控制矩阵:是通过矩阵形式表示访问控制规则和授权用户权限的方法。
- 访问控制表:目前最流行、使用最多的访问控制实现技术。每个客体有一个访问控制表,是系统中每一个有权访问这个客体的主体的信息。
- 能力表:对应于访问控制表,这种实现技术实际上是按行保存访问矩阵。每个主体有一个能力表,是该主体对系统中每一个客体的访问权限信息。
- 授权关系表:访问矩阵也有既不对应于行也不对应于列的实现技术,那就是对应访问矩阵中每一个非空元素的实现技术-授权关系表。
数字签名技术
- 数字签名(又称公钥数字签名)技术是一种用于验证数字信息真实性和完整性的重要技术。是一种只有信息的发送者才能产生的、别人无法伪造的一段数字串。这段数字串是对信息发送者所发送信息真实性的有效证明。它类似于物理签名,但通过公钥加密技术与数字摘要技术实现
- 数字签名的条件
- 签名是可信的
- 签名不可伪造
- 签名不可重用
- 签名的文件是不可改变的
- 签名是不可抵赖的
信息安全的抗攻击技术
密钥的选择
密钥在概念上被分成数据加密密钥(DK)和密钥加密密钥(KK)两大类。后者用于保护密钥。加密的算法通常是公开的,加密的安全性在于密钥。
为对抗攻击,密钥生成需要考虑:
- 增大密钥空间
- 选择强钥
- 密钥的随机性
拒绝服务攻击与防御
拒绝服务攻击DoS 是由人为或非人为发起的行动,使主机硬件、软件或者两者同时失去工作能力,使系统不可访问并因此拒绝合法的用户服务要求。
拒绝服务攻击的主要企图是借助于网络系统或网络协议的缺陷和配置漏洞进行网络攻击,使网络拥塞、系统资源耗尽或者系统应用死锁,妨碍目标主机和网络系统对正常用户服务请求的及时响应,造成服务的性能受损甚至导致服务中断。
传统拒绝服务攻击
外部用户针对网络连接发动拒绝服务攻击主要有以下几种模式:
- 消耗资源
- 针对网络连接的拒绝服务攻击
- 消耗磁盘空间
- 消耗CPU 资源和内存资源
- 破坏或更改配置信息
- 物理破坏或改变网络部件
- 利用服务程序中的处理错误使服务失效
分布式拒绝服务攻击 DDos
分布式拒绝服务攻击DDos 是对传统DoS 攻击的发展,攻击者首先侵入并控制一些计算机,然后控制这些计算机同时向一个特定的目标发起拒绝服务攻击。分布式服务攻击克服了传统的拒绝服务攻击的受网络资源的限制和隐蔽性差两大缺点。
DDos 引入了分布式攻击和Client/Server 结构,使Dos 的威力激增。现有的DDos 工具一般采用三级结构(客户端Client、主控端Handler、代理端Agent),client 客户端运行在攻击者的主机上,用来发起和控制DDos 攻击;Handler 主控端运行在已被攻击者侵入并获得控制的主机上,用来控制代理端;Agent(代理端)运行在已被攻击者侵入并获得控制的主机上,从主控端接收命令,负责对目标实施实际的攻击。
拒绝服务攻击的防御方法
- 特征识别:加强对数据包的特征识别。
- 防火墙:设置防火墙监视本地主机端口的使用情况。
- 通信数据量的统计:对通信数据量进行统计也可获得有关攻击系统的位置和数量信息。
- 修正问题和漏洞:尽可能地修正已经发现的问题和系统漏洞
欺骗攻击与防御
- ARP 欺骗:ARP 协议解析IP 地址为MAC 网卡物理地址,欺骗该机制即可阻断正常的网络访问。常用防范方法包括:固化ARP 表,使用ARP 服务器,双向绑定和安装防护软件。
- DNS 欺骗:DNS 协议解析域名为IP 地址,欺骗该机制可以使用用户访问错误的服务地址。其检测有被动监听检测、虚假报文探测和交叉检查查询3种方法。
- IP欺骗:攻击者修改IP 数据报的报头,把自身的IP 地址修改为另一个IP ,以获取信任。常用防火墙等防范IP 欺骗。
端口扫描
端口扫描是入侵者搜集信息的几种常用手法之一。端口扫描尝试与目标主机的某些端口建立连接,如果目标主机该端口有回复,则说明该端口开放,甚至可以获取一些信息。端口扫描有全TCP 连接、半打开式扫描(SYN扫描)、FIN扫描、第三方扫描等。
针对TCP/IP堆栈的攻击方式
- 同步包风暴(SYN Flooding):是应用最广泛的一种DoS 攻击方式,攻击TCP 协议建立连接的三次握手,让目标主机等待连接完成而耗尽资源。可以减少等待超时时间来防范。
- ICMP 攻击:例如”ping of Death“攻击操作系统的网络层缓冲区,旧版操作系统会崩溃司机。防范方法是打补丁,升级到新版操作系统。
- SNMP 攻击:SNMP 协议常用于管理网络设备,早期的SNMP V1 协议缺少认证,可能被攻击者入侵。防范方法是升级SNMP 协议到V2以上并设置访问密码。
系统漏洞扫描
系统漏洞扫描是指对重要计算机信息系统进行检查,发现其中可能被黑客利用的漏洞。漏洞扫描既是攻击者的准备工作,也是防御者安全方案的重要组成部分。
基于网络的漏洞扫描
通过网络来扫描远程计算机中的漏洞
- 组成
- 漏洞数据库模块
- 用户配置控制台模块
- 扫描引擎模块
- 当前活动的扫描知识库模块
- 结果存储器和报告生成工具
- 优点
- 价格相对来说比较便宜
- 在操作过程中,不需要涉及目标系统的管理员
- 在检测过程中,不需要在目标系统上安装任何东西
- 维护简便
基于主机的漏洞扫描
基于主机的漏洞扫描通常在目标系统上安装了一个代理(Agent)或者是服务(Services),以便能够访问所有的文件与进程,这也使得基于主机的漏洞扫描器能够扫描更多的漏洞。
- 优点
- 扫描的漏洞数量多
- 集中化管理
- 网络流量负载小
计算机信息系统安全保护等级
《计算机信息系统安全保护等级划分准则》把计算机信息安全划分为5个等级,从低到高依次为:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。
- 第一级 用户自主保护级:在这一级别,安全保护主要依赖于系统的使用者,系统提供简单的自主安全控制措施。适用于普通内联网用户,用户自行负责其信息资源的保护
- 第二级 系统审计保护级:除了用户自主保护外,系统还具备审计功能,能够记录与系统安全相关事件的发生,如访问尝试、登录失败等,以便追踪安全事件。适用于通过内联网或国际网进行商务活动、需要一定保密性的非重要单位。
- 第三级:安全标记保护级:引入了安全标签机制,对信息和主体(如用户、进程)进行敏感性标记,并基于这些标记实施强制访问控制。适用于地方各级国家机关、金融、邮电通信、能源、水源供给、交通运输、大型工商与信息技术企业、重点工程建设等单位。
- 第四级 结构化保护级:在这一级别,系统具有更为严密的访问控制机制,不仅包括安全标记,还要求系统具有抗渗透的能力,能够抵抗隐蔽通道的攻击,保护系统免受恶意活动的损害。适用于对国家安全至关重要的系统。
- 第五级 访问验证保护级:这是最高等级的安全保护,要求系统提供最全面的安全防护措施,包括设计验证、程序验证和运行验证等,确保系统在面对恶意攻击时的完整性和可信赖性。适用于国家安全、国防或者极其重要的信息系统,如军事指挥系统、国家级关键基础设施的控制系统等。