五、软考-系统架构设计师笔记-信息安全技术基础知识

信息安全技术基础知识

1、信息安全基础知识概述

信息安全的概念
信息安全包括 5 个基本要素：

• 机密性:确保信息不暴露给未授权的实体或进程。
• 完整性:只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改。
• 可用性:得到授权的实体在需要时可以访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作。
• 可控性:可以控制授权范围内的信息流向及行为方式。
• 可审查性:对出现的信息安全问题提供调查的依据和手段

信息安全的范围包括：

• 设备安全
• 数据安全
• 内容安全
• 行为安全

1)设备安全
信息系统设备的安全是信息系统安全的首要问题，是信息系统安全的物质基础，它包括3方面：

• (1)设备的稳定性:指设备在一定时间内不出故障的概率。
• (2)设备的可靠性:指设备在一定时间内正常执行任务的概率
• (3)设备的可用性:指设备可以正常使用的概率。

2)数据安全
数据安全指采取措施确保数据免受未授权的泄露、篡改和毁坏
包括以下3个方面：

• (1)数据的秘密性:指数据不被未授权者知晓的属性。
• (2)数据的完整性:指数据是正确的、真实的、未被篡改的、完整无缺的属性。
• (3)数据的可用性:指数据可以随时正常使用的属性。

3)内容安全
内容安全是信息安全在政治、法律、道德层次上的要求
包括以下 3 个方面:

• (1)信息内容在政治上是健康的。
• (2)信息内容符合国家的法律法规。
• (3)信息内容符合中华民族优良的道德规范。

4)行为安全
信息系统的服务功能最终通过行为提供给用户，确保信息系统的行为安全，才能最终确保系统的信息安全。行为安全的特性：

• (1)行为的秘密性:指行为的过程和结果不能危害数据的秘密性。
• (2)行为的完整性:指行为的过程和结果不能危害数据的完整性，行为的过程和结果是预期的。
• (3)行为的可控性:指当行为的过程偏离预期时，能够发现、控制和纠正。

信息存储安全
信息的存储安全包括信息使用的安全(如用户的标识与验证、用户存取权限限制、安全问题跟踪等)、系统安全监控、计算机病毒防治、数据的加密和防止非法的攻击等。

1.信息使用的安全
1)用户的标识与验证
用户的标识与验证主要是限制访问系统的人员。它是访问控制的基础，是对用户身份的合法性验证。用户的标识与验证方法有两种：

• 基于用户所拥有特殊安全物品的识别，如智能IC卡识别法、磁条卡识别法。
• 基于人的物理特征的识别，包括签名识别法、指纹识别法和语音识别法。

2)用户存取权限限制
用户存取权限限制主要是限制进入系统的用户所能做的操作。
一般有两种方法:

• (1)隔离控制法。隔离控制法是在电子数据处理成分的周围建立屏障，以便在该环境中实施存取。主要实现方式包括物理隔离方式、时间隔离方式、逻辑隔离方式和密码技术隔离方式等。
• (2)限制权限法。限制权限法是有效地限制进入系统的用户所进行的操作。即对用户进行分类管理，安全密级、授权不同的用户分在不同类别；对目录、文件的访问控制进行严格的权限控制，防止越权操作。

2.系统安全监控
建立一套安全监控系统，全面监控系统的活动，并随时检查系统的使用情况，一旦有非法入侵者进入系统，能及时发现并采取相应措施，确定和填补安全及保密的漏洞。还应当建立完善的审计系统和日志管理系统，利用日志和审计功能对系统进行安全监控。

3.计算机病毒防治
计算机病毒具有隐蔽性、传染性、潜伏性、触发性和破坏性等特点，所以需要建立计算机和病毒防治管理制度。

• (1)经常从软件供应商网站下载、安装安全补丁程序和升级杀毒软件。
• (2)定期检查敏感文件。
• (3)使用高强度的口令。对不同的账号选用不同的口令。
• (4)经常备份重要数据，要坚持做到每天备份。
• (5)选择、安装经过公安部认证的防病毒软件，定期对整个硬盘进行病毒检测和清除工作。
• (6)在计算机和因特网之间安装使用防火墙，提高系统的安全性。
• (7)当计算机不使用时，不要接入因特网，一定要断掉网络连接。
• (8)重要的计算机系统和网络一定要严格与因特网物理隔离。
• (9)不要打开陌生人发来的电子邮件，无论它们有多么诱人的标题或者附件，同时要小心处理来自熟人的邮件附件。
• (10)正确配置系统和使用病毒防治产品。

网络安全
网络存在的威胁主要表现在以下 5 个方面:

• (1)非授权访问。对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息。主要有以下几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
• (2)信息泄露或丢失。指敏感数据在有意或无意中被泄露或丢失，通常包括信息在传输中丢失或泄露、信息在存储介质中丢失或泄露以及通过建立隐蔽隧道等方式窃取敏感信息等。
• (3)破坏数据完整性。以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加，修改数据，以干扰用户的正常使用。
• (4)拒绝服务攻击。不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入网络系统或得不到相应的服务。
• (5)利用网络传播病毒。通过网络传播计算机病毒的破坏性大大高于单机系统，而且用户很难防范。

安全措施的目标
安全措施的目标包括：

• (1)认证。确保会话对方的资源(人或计算机) 与它声称的一致。
• (2)访问控制。确保会话对方 (人或计算机)有权做它所声称的事情。
• (3)完整性。确保接收到的信息与发送的一致。
• (4)审计。确保任何发生的交易在事后可以被证实，发信者和收信者都认为交换发生过，即所谓的不可抵赖性。
• (5)保密。确保敏感信息不被窃听。

2、信息安全系统的组成框架

信息安全系统框架由技术体系、组织机构体系和管理体系构建。

一、技术体系
从实现技术来看，信息安全系统涉及基础安全设备、计算机网络安全、操作系统安全、数据库安全、终端设备安全等多方面技术。

(1)基础安全设备。包括密码芯片、加密卡、身份识别卡等，还涵盖运用到物理安全的物理环境保障技术，建筑物、机房条件及硬件设备条件满足信息系统的机械防护安全，通过电力供应设备以及信息系统组件的抗电磁干扰和电磁泄漏性能的选择性措施达到相应的安全目的。

(2)计算机网络安全。指信息在网络传输过程中的安全防范，用于防止和监控未经授权破坏、更改和盗取数据的行为。涉及物理隔离，防火墙及访问控制，加密传输、认证、数字签名、摘要，隧道及VPN 技术，病毒防范及上网行为管理，安全审计等实现技术。

(3)操作系统安全。指操作系统的无错误配置、无漏洞、无后门、无特洛伊木马等，能防上非法用户对计算机资源的非法存取。操作系统的全机制包括标识与鉴别机制、访问控制机制、最小特权管理、可信通路机制、运行保障机制、存储保护机制、文件保护机制、安全审计机制等。

(4)数据库安全。分为数据库管理系统安全和数据库应用系统安全两部分，涉及物理数据库的完整性、逻辑数据库的完整性、元素
安全性、可审计性、访问控制、身份认证、可用性、推理控制、多级保护以及消除隐通道等相关技术。

(5)终端设备安全。从电信网终端设备的角度分为电话密码机、传真密码机、异步数据密码机等。

二、组织机构体系
组织机构体系是信息系统安全的组织保障系统，由机构、岗位和人事机构三个模块构成一个体系。

• 机构的设置分为3 个层次：决策层、管理层和执行层。
• 岗位是信息系统安全管理机关根据系统安全需要设定的负责某一个或某几个安全事务的职位。
• 人事机构是根据管理机构设定的岗位，对岗位上在职、待职和离职的雇员进行素质教育、业绩考核和安全监管的机构。

三、管理体系
信息系统安全的管理体系由法律管理、制度管理和培训管理3个部分组成。
(1)法律管理是根据相关的国家法律、法规对信息系统主体及其与外界关联行为的规范和约束。
(2)制度管理是信息系统内部依据国家、团体的安全需求制定的一系列内部规章制度。
(3)培训管理是确保信息系统安全的前提。

3、秘钥管理技术

数据加密
数据加密技术是利用数学或物理手段，对电子信息在传输过程和存储体内进行保护，以防止信息泄漏的技术。
包括：

• 对称密钥技术
• 非对称密钥技术

1.对称密钥技术
对称密钥技术是指加密密钥和解密密钥相同，或者虽然不同，但从其中一个可以很容易地推导出另一个。

• 优点是加密效率高，但密钥的传输需要经过安全可靠的途径。

常见的对称密钥技术：

• DES(数据加密标准)：使用56位的密钥对数据进行加密
• 3DES(三重数据加密算法)：使用112位密钥对数据进行加密
• IDEA算法：密钥长度为128位，其明文和密文都是64位
• AES、SM4、RC2、RC4、RC5

2.非对称密钥技术（公钥算法）
非对称密钥技术是指加密密钥和解密密钥完全不同，并且不可能从任何一个推导出另一个。

• 优点是适应开放性的使用环境，可以实现数字签名与验证。
• 最常见的非对称密钥技术是RSA。它的理论基础是数论中大素数分解。
• 使用RSA来加密大量的数据则速度太慢，因此RSA广泛用于密钥的分发。

对称密钥的分配与管理
密钥分配一般要解决两个问题：

• 一是引进自动分配密钥机制，以提高系统的效率;
• 二是尽可能减少系统中驻留的密钥量

1.对称密钥的分配
两个用户A和B在获得共享密钥时有4种方式：
(1)经过A选取的密钥通过物理手段发送给另一方B。
(2)由第三方选取密钥，通过物理手段分别发送给A和B。
(3)A、B 事先已有一个密钥，其中一方选取新密钥后，用已有密钥加密该新密钥后发送给另一方。
(4)三方 A、B、C各有一保密信道，C 选取密钥后，分别通过 A、B各自的保密信道发送。

公钥(非对称密钥)加密体制的密钥管理
1.公开发布
用户将自己的公钥发送给每一位其他用户，或向某一团体广播。方法简单，但缺点是任何人都可以伪造密钥公开发布。如伪装成
用户 A，以A 的名义向另一用户发送自己的公钥，则在 A 发现假冒者以前，假冒者可解读所有发向 A 的加密消息，甚至还能用伪
造的密钥获得认证。

2.公用目录表
公用目录表是指一个公用的公钥动态目录表，由可信的实体或组织承担该公用目录表的建立、维护以及公钥的发布等。
管理员为每个用户在目录表中建立一个条目，包括用户名和用户的公开密钥两个数据项。每个用户都亲自或以某种安全的认证通
信在管理者那里注册自己的公钥。
缺点是如果攻击者成功地获取管理员的密钥，就可以伪造一个公钥目录表，以后既可假冒任一用户又能监听发往任一用户的消息，
且公用目录表还容易受到攻击者的攻击。

3.公钥管理机构
与公用目录表类似，但是由公钥管理机构来为各用户建立、维护动态的公钥目录，采取更加严密的控制措施增强其安全性。用户都知道管理机构的公钥，当用户A 向公钥管理机构发送请求时，该机构对请求作出应答，并用自己的私钥加密后发送给A，A再用机构的公钥解密。

缺点：因为每一用户要想和他人联系都须求助于管理机构，所以管理机构容易成为系统的瓶颈，并且管理机构维护的公钥目录表也容易被攻击篡改。

4.公钥证书
公钥证书是由证书管理机构 (CA) 为用户建立的，其中的数据项有与该用户的私钥相匹配的公钥及用户的身份和时间戳等，所有的数据项由 CA 用自己的私钥签字后就形成证书，即证书的形式为CAA=ESKCA[T，IDA，PKA]。T是当前的时间戳，IDA是用户A的身份，PKA是A的公钥，ESKCA是CA的私钥，CAA是为用户A 产生的证书。用户将自己证书发给另一用户B，而接收方B可用 CA 的公钥 PKCA对证书进行验证。这样通过证书交换用户间的公钥而无须再与公钥管理机构联系，避免了由统一机构管理带来的不便和安全隐患。

4、访问控制与数字签名技术

访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权的访问。
1.访问控制的基本模型
访问控制包括3 个要素，即主体、客体和控制策略。
主体(Subject):是可以对其他实体施加动作的主动实体，简记为S。可以是用户所在的组织(用户组)、用户本身，也可是用户
使用的计算机终端、卡机、手持终端(无线)等，甚至可以是应用服务程序或进程。

• 客体(Object):是接受其他实体访问的被动实体，简记为O。凡是可以被操作的信息、资源、对象都可以认为是客体。
• 控制策略:是主体对客体的操作行为集和约束条件集，简记为KS。控制策略是主体对客体的访问规则集，这个规则集直接定义了主体对客体的作用行为和客体对主体的条件约束。访问策略是一种授权行为。

访问控制包括认证、控制策略和审计三个方面的内容。

访问控制的实现技术

• 1)访问控制矩阵
• 2)访问控制表
• 3)能力表
• 4)授权关系表

1)访问控制矩阵
访问控制矩阵(ACM)以主体为行索引，以客体为列索引的矩阵，矩阵中的每一个元素表示一组访问方式，是若干访问方式的集合。即每个主体对哪些客体有哪些访问权限。查找、实现不方便。

2)访问控制表
访问控制表(ACLs)是使用最多的访问控制实现技术。每个客体有一个访问控制表，是系统中每一个有权访问这个客体的主体的信息。实际上是按列保存访问矩阵。访问控制表提供了针对客体的方便的查询方法，但是用访问控制表来查询一个主体对所有客体的所有访问权限是很困难。

3)能力表
能力表(Capabilities)实际上是按行保存访问矩阵。每个主体有一个能力表，是该主体对系统中每一个客体的访问权限信息。使用能力表可以很方便地查询某一个主体的所有访问权限，只需要遍历这个主体的能力表即可。但查询对某一个客体具有访问权限的主体信息就很困难了，必须查询系统中所有主体的能力表。

4)授权关系表
每一行表示主体和客体的一个授权关系。

• 对表按主体进行排序，可以得到能力表的效率
• 对表按客体进行排序，可以得到访问控制表的效率适合采用关系数据库来实现

数字签名
数字签名是指通过一个单向函数对要传送的报文进行处理，得到用以认证报文来源并核实报文是否发生变化的一个字母数字串。
它与数据加密技术一起，构建起了安全的商业加密体系。

• 传统的数据加密是保护数据的最基本方法，它只能够防止第三者获得真实的数据(数据的机密性)，而数字签名则可以解决否
  认、伪造、篡改和冒充的问题(数据的完整性和不可抵赖性)。
• 数字签名使用的是公钥算法（非对称密钥技术）。

数字签名的过程：
(1)发送者A先通过散列函数对要发送的信息(M)计算消息摘要(MD)，也就是提取原文的特征。
(2)发送者A将原文(M)和消息摘要(MD)用自己的私钥(PrA)进行加密，就是完成签名动作，其信息可以表示为PrA (M+MD)。
(3)然后以接收者B的公钥(PB)作为密钥，对这个信息包进行再次加密，得到PB(PrA(M+MD))。
(4)当接收者收到后，首先用自己的私钥PrB进行解密，从而得到PrA(M+MD)。
(5)再利用A的公钥(PA)进行解密，如果能够解密，显然说明该数据是A发送的，同时也就将得到原文M和消息摘要MD。
(6)然后对原文M计算消息摘要，得到新的MD，与收到MD进行比较，如果一致，说明该数据在传输时未被篡改。

数字加密和数字签名的区别

• 数字加密是用接收者的公钥加密，接收者用自己的私钥解密。
• 数字签名是：将摘要信息用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要信息，然后用HASH函数对收到的原文产生一个新摘要信息，与解密的摘要信息对比。

例：下面不属于数字签名作用的是（ ） 。
A．接收者可验证消息来源的真实性
B．发送者无法否认发送过该消息
C．接收者无法伪造或篡改消息
D．可验证接收者的合法性

答案： D

数字签名的条件
可用的数字签名应保证以下几个条件：

• 签名是可信的。签名使文件的接收者相信签名者是慎重地在文件上签字的。
• 签名不可伪造。签名证明是签字者而不是其他人在文件上签字。
• 签名不可重用。签名是文件的一部分，不可能将签名移到不同的文件上。
• 签名的文件是不可改变的。在文件上签名后，文件不能再改变。
• 签名是不可抵赖的。签名和文件是物理的东西，签名者事后不能声称他没有签过名。

5、信息安全的防攻击技术

密钥的选择
密钥在概念上被分成两大类：数据加密密钥(DK)和密钥加密密钥(KK)。前者直接对数据进行加密，后者用于保护密钥，使之通过
加密而安全传递。算法的安全性在于密钥。
为对抗攻击者的攻击，密钥的生成需要考虑 3 个方面的因素：
1.增大密钥空间
2.选择强钥
3.密钥的随机性

拒绝服务攻击与防御
拒绝服务攻击(DoS)是借助于网络系统或网络协议的缺陷和配置漏洞进行网络攻击，使网络拥塞、系统资源耗尽或者系统应用死锁，
妨碍目标主机和网络系统对正常用户服务请求的及时响应，造成服务的性能受损甚至导致服务中断。
目前常见的拒绝服务攻击为分布式拒绝服务攻击(DDoS)。

1)拒绝服务攻击的分类
拒绝服务攻击主要有以下几种模式:
(1)消耗资源。
攻击者利用系统资源有限这一特征，或者是大量地申请系统资源，并长时间地占用；或是不断地向服务程序发出请
求，使系统忙于处理攻击者的请求，而无暇为其他用户提供服务。

攻击者可以针对以下几种资源发起拒绝服务攻击:
①针对网络连接的拒绝服务攻击。
②消耗磁盘空间。
③消耗CPU资源和内存资源。

(2)破坏或更改配置信息。
计算机系统配置上的错误也可能造成拒绝服务攻击，尤其是服务程序的配置文件以及系统、用户的启动文件。攻击者修改配置文件，从而改变系统向外提供服务的方式。

(3)物理破坏或改变网络部件。
这种拒绝服务针对的是物理安全，其通过物理破坏或改变网络部件以达到拒绝服务的目的。其攻击的目标有计算机、路由器、网络配线室、网络主干段、电源、冷却设备，及其他的网络关键设备。

(4)利用服务程序中的处理错误使服务失效。

2)分布式拒绝服务攻击
分布式拒绝服务攻击的攻击者首先侵入并控制一些计算机，然后控制这些计算机同时向一个特定的目标发起拒绝服务攻击。分布式拒绝服务攻击克服了传统拒绝服务攻击的受网络资源限制和隐蔽性差两大缺点，危害性更大。

分布式拒绝服务攻击工具一般采用三级控制结构：

• Client (客户端)运行在攻击者的主机上，用来发起和控制分布式拒绝服务攻击。

• Handler(主控端)运行在已被攻击者侵入并获得控制的主机上，用来控制代理端。

• Agent(代理端)运行在已被攻击者侵入并获得控制的主机上，从主控端接收命令，负责对目标实施实际的攻击。

3)拒绝服务攻击的防御方法
使用下面的方法尽量阻止拒绝服务攻击：
(1)加强对数据包的特征识别，通过搜寻特征字符串，就可以确定攻击服务器和攻击者的位置。

(2)设置防火墙监视本地主机端口的使用情况。对本地主机中的敏感端口进行监视，如UDP 31335、 UDP 27444、 TCP 27665。如果
外部主机主动向网络内部高标号端口发起连接请求,则系统也很可能受到侵入。

(3)对通信数据量进行统计也可获得有关攻击系统的位置和数量信息。例如，在攻击之前，目标网络的域名服务器往往会接收到远远超过正常数量的反向和正向的地址查询。在攻击时，攻击数据的来源地址会发出超出正常极限的数据量。

(4)尽可能地修正已经发现的问题和系统漏洞。

欺骗攻击与防御

• 1.ARP欺骗
• 2.DNS欺骗
• 3.IP欺骗

1)ARP欺骗
又称ARP毒化或ARP攻击，是针对以太网地址解析协议(ARP)的一
种攻击技术，通过欺骗局域网内访问者PC的网关MAC地址，使访
问者PC错以为攻击者更改后的MAC地址是网关的MAC，导致网络
不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数
据包，且可让网络上特定计算机或所有计算机无法正常连线。

持续更新中。。。