系統架構師考點--系統安全

大家好。今天我來總結一下系統安全相關的考點，這類考點每年都會考到，一般是在上午場客觀題，占2-4分。

一、信息安全基礎知識

信息安全包括5個基本要素：機密性、完整性、可用性、可控性與可審查性

(1)機密性：確保信息不暴露給未授權的實體或進程。

(2)完整性：只有得到允許的人才能修改數據，并且能夠判別出數據是否已被篡改。

(3)可用性：得到授權的實體在需要時可訪問數據，即攻擊者不能占用所有的資源而阻礙授權者的工作。

(4)可控性：可以控制授權范圍內的信息流向及行為方式。

(5)可審查性：對出現的信息安全問題提供調查的依據和手段。

信息安全的范圍包括：設備安全、數據安全、內容安全和行為安全。

(1)信息系統設備的安全是信息系統安全的首要問題，是信息系統安全的物質基礎，它包括3個方面:設備的穩定性、可靠性、可用性。

(2)數據安全即采取措施確保數據免受未授權的泄露、篡改和毀壞，包括3個方面：數據的秘密性、完整性、可用性。

(3)內容安全是信息安全在政治、法律、道德層次上的要求，包括3個方面:信息內容政治上健康、符合國家法律法規、符合道德規范。

(4)信息系統的服務功能是指最終通過行為提供給用戶，確保信息系統的行為安全，才能最終確保系統的信息安全。行為安全的特性包括：行為的秘密性、完整性、可控性。

信息的存儲安全包括：信息使用的安全、系統安全監控、計算機病毒防治、數據的加密和防止非法的攻擊等。

(1)信息使用的安全。包括用戶的標識與驗證、用戶存取權限限制。

(2)系統安全監控。系統必須建立一套安全監控系統，全面監控系統的活動，并隨時檢查系統的使用情況，一旦有非法入侵者進入系統，能及時發現并采取相應措施，確定和填補安全及保密的漏洞。還應當建立完善的審計系統和日志管理系統，利用日志和審計功能對系統進行安全監控。

(3)計算機網絡服務器必須加裝網絡病毒自動檢測系統，以保護網絡系統的安全，防范計算機病毒的侵襲，并且必須定期更新網絡病毒檢測系統。

網絡安全

網絡安全隱患體現在：物理安全性、軟件安全漏洞、不兼容使用安全洞、選擇合適的安全哲理。

網絡安全威脅：非授權的訪問、信息泄露或丟失、破壞數據完整性、拒絕服務攻擊、利用網絡傳播病毒。

安全措施的目標：訪問控制、認證、完整性、審計、保密。

二、信息安全系統的組成框架

從實現技術上來看，信息安全系統涉及以下技術:

(1)基礎安全設備：包括密碼芯片、加密卡、身份識別卡等，此外還涵蓋運用到物理安全的物理環境保障技術，建筑物、機房條件及硬件設備條件滿足信息系統的機械防護安全，通過對電力供應設備以及信息系統組件的抗電磁干擾和電磁泄漏性能的選擇性措施達到相應的安全目的。

(2)計算機網絡安全：指信息在網絡傳輸過程中的安全防范，用于防止和監控未經授權破壞、更改和盜取數據的行為。通常涉及物理隔離，防火墻及訪問控制，加密傳輸、認證、數字簽名、摘要，隧道及VPN 技術，病毒防范及上網行為管理，安全審計等實現技術。

(3)操作系統安全：指操作系統的無錯誤配置、無漏洞、無后門、無特洛伊木馬等，能防止非法用戶對計算機資源的非法存取，一般用來表達對操作系統的安全需求。操作系統的安全機制包括標識與鑒別機制、訪問控制機制、最小特權管理、可信通路機制、運行保障機制、存儲保護機制、文件保護機制、安全審計機制，等等。

(4)數據庫安全：可粗略劃分為數據庫管理系統安全和數據庫應用系統安全兩個部分，主要涉及物理數據庫的完整性、邏輯數據庫的完整性、元素安全性、可審計性、訪問控制、身份認證、可用性、推理控制、多級保護以及消除隱通道等相關技術。

(5)終端安全設備：從電信網終端設備的角度分為電話密碼機、傳真密碼機、異步數據密碼機等。

例題：
在這里插入圖片描述

答案：D、D、B、C

三、信息安全技術

加密技術是一個密碼系統，通常簡稱為密碼體制(cryptosystem)，由五部分組成:

(1)明文空間M，它是全體明文的集合。

(2)密文空間C，它是全體密文的集合。

(3)密鑰空間K，它是全體密鑰的集合。其中每一個密鑰K均由加密密鑰Ke和解密密鑰Kd組成，即K=<Ke，Kd>。

(4)加密算法E，它是一組由M 至c的加密變換。

(5)解密算法D，它是一組由C到M 的解密變換。

對于明文空間M 中的每一個明文M，加密算法E在密鑰Ke 的控制下將明文M 加密成密文C：C=E(M,Ke)

而解密算法D在密鑰Kd的控制下將密文C解密出同一明文M：M=D (C, Kd )=D (E (M, Ke),Kd)

對稱加密技術

數據的加密和解密的密鑰(密碼)是相同的，屬于不公開密鑰加密算法。其缺點是加密強度不高(因為密鑰位數少)且密鑰分發困難(因為密鑰還需要傳輸給接收方，也要考慮保密性等問題)優點是加密速度快，適合加密大數據。

常見的對稱密鑰加密算法如下：

DES： 替換+移位、56位密鑰、64位數據塊、速度快，密鑰易產生。

3DES： 三重DES，兩個56位密鑰K1、K2。

加密：K1加密->K2解密->K1加密。

解密：K1解密->K2加密->K1解密

AES： 是美國聯邦政府采用的一種區塊加密標準，這個標準用來替代原先的DES.對其的要求是“至少像3DES一樣安全”

RC-5： RSA數據安全公司的很多產品都使用了RC-5。

IDEA： 128位密鑰，64位數據塊，比DES的加密性好，對計算機功能要求相對低。

非對稱加密技術

數據的加密和解密的密鑰是不同的，分為公鑰和私鑰。是公開密鑰加密算法其缺點是加密速度慢。優點是安全性高，不容易破解。

非對稱技術的原理是：發送者發送數據時，使用接收者的公鑰作加密密鑰私鑰作解密密鑰，這樣只有接收者才能解密密文得到明文。安全性更高，因為無需傳輸密鑰。但無法保證完整性。如下:

常見的非對稱加密算法如下：

RSA：512位(或1024位)密鑰，計算機量極大，難破解。

Elgamal、ECC(橢圓曲線算法)、背包算法、Rabin、D-H等。

相比較可知，對稱加密算法密鑰一般只有56位，因此加密過程簡單，適合加密大數據，也因此加密強度不高；而非對稱加密算法密鑰有1024位，相應的解密計算量龐大，難以破解，卻不適合加密大數據，一般用來加密對稱算法的密鑰，這樣，就將兩個技術組合使用了，這也是數字信封的原理。

數字信封原理：信是對稱加密的密鑰，數字信封就是對此密鑰進行非對稱加密，具體過程:發送方將數據用對稱密鑰加密傳輸，而將對稱密鑰用接收方公鑰加密發送給對方。接收方收到數字信封，用自己的私鑰解密信封，取出對稱密鑰解密的原文。

數字信封運用了對稱加密技術和非對稱加密技術，本質是使用對稱密鑰加密數據，非對稱密鑰加密對稱密鑰，解決了對稱密鑰的傳輸問題。

信息摘要

信息摘要就是一段數據的特征信息，當數據發生了改變，信息摘要也會發生改變，發送方會將數據和信息摘要一起傳給接收方，接收方會根據接收到的數據重新生成一個信息摘要，若此摘要和接收到的摘要相同，則說明數據正確。信息摘要是由哈希函數生成的。

信息摘要的特點：不算數據多長，都會產生固定長度的信息摘要;任何不同的輸入數據，都會產生不同的信息摘要:單向性，即只能由數據生成信息摘要不能由信息摘要還原數據。

信息摘要算法：MD5(產生128位的輸出)、SHA-1(安全散列算法，產生160位的輸出，安全性更高)。

數字簽名

唯一標識一個發送方。發送者發送數據時，使用發送者的私鑰進行加密，接收者收到數據后，只能使用發送者的公鑰進行解密，這樣就能唯一確定發送方，這也是數字簽名的過程。但無法保證機密性。如下：
在這里插入圖片描述

公鑰基礎設施PKI

公鑰基礎設施PKI是以不對稱密鑰加密技術為基礎，以數據機密性、完整性身份認證和行為不可抵賴性為安全目的，來實施和提供安全服務的具有普適性的安全基礎設施。

(1)數字證書：一個數據結構，是一種由一個可信任的權威機構簽署的信息集合。在不同的應用中有不同的證書。如X.509證書必須包含下列信息：(1)版本號、(2)序列號、(3)簽名算法標識符、(4)認證機構、(5)有效期限、(6)主題信息、(7)認證機構的數字簽名、(8)公鑰信息。公鑰證書主要用于確保公鑰及其與用戶綁定關系的安全。這個公鑰就是證書所標識的那個主體的合法的公鑰。任何一個用戶只要知道簽證機構的公鑰，就能檢查對證書的簽名的合法性。如果檢查正確，那么用戶就可以相信那個證書所攜帶的公鑰是真實的，而且這個公鑰就是證書所標識的那個主體的合法的公鑰。例如駕照。

(2)簽證機構CA：負責簽發證書、管理和撤銷證書。是所有注冊用戶所信賴的權威機構，CA在給用戶簽發證書時要加上自己的數字簽名，以保證證書信息的真實性。任何機構可以用CA的公鑰來驗證該證書的合法性。

例題：

答案：C、C

答案：A、B

訪問控制

訪問控制是指主體依據某些控制策略或權限對客體本身或是其資源進行的不同授權訪問。訪問控制包括3個要素，即主體、客體和控制策略。
訪問控制包括認證、控制策略實現和審計3方面的內容。

(1)訪問控制矩陣(ACM)：是通過矩陣形式表示訪問控制規則和授權用戶權限的方法。主體作為行客體作為列。

(2)訪問控制表(ACL)：目前最流行、使用最多的訪問控制實現技術。每個客體有一個訪問控制表是系統中每一個有權訪問這個客體的主體的信息。這種實現技術實際上是按列保存訪問矩陣。

(3)能力表：對應于訪問控制表，這種實現技術實際上是按行保存訪問矩陣。每個主體有一個能力表是該主體對系統中每一個客體的訪問權限信息。使用能力表實現的訪問控制系統可以很方便地查詢某一個主體的所有訪問權限。

(4)授權關系表：每一行(或者說元組)就是訪問矩陣中的一個非空元素，是某一個主體對應于某一個客體的訪問權限信息。如果授權關系表按主體排序，查詢時就可以得到能力表的效率;如果按客體排序查詢時就可以得到訪問控制表的效率。

四、信息安全的抗攻擊技術

為對抗攻擊者的攻擊，密鑰生成需要考慮3個方面的因素：增大密鑰空間、選擇強鑰(復雜的)、密鑰的隨機性(使用隨機數)。

拒絕服務攻擊有許多種，網絡的內外部用戶都可以發動這種攻擊。內部用戶可以通過長時間占用系統的內存、CPU 處理時間使其他用戶不能及時得到這些資源，而引起拒絕服務攻擊；外部黑客也可以通過占用網絡連接使其他用戶得不到網絡服務。

外部用戶針對網絡連接發動拒絕服務攻擊主要有以下幾種模式：消耗資源、破壞或更改配置信息、物理破壞或改變網絡部件、利用服務程序中的處理錯誤使服務失效。

分布式拒絕服務DDoS攻擊是傳統Dos攻擊的發展，攻擊者首先侵入并控制一些計算機，然后控制這些計算機同時向一個特定的目標發起拒絕服務攻擊。克服了傳統DOS受網絡資源的限制和隱蔽性兩大缺點。

拒絕服務攻擊的防御方式：

(1)加強對數據包的特征識別，攻擊者發送的數據包中是有一些特征字符串。通過搜尋這些特征字符串就可以確定攻擊服務器和攻擊者的位置。

(2)設置防火墻監視本地主機端口的使用情況。如果發現端口處于監聽狀態，則系統很可能受到攻擊。

(3)對通信數據量進行統計也可獲得有關攻擊系統的位置和數量信息。在攻擊時，攻擊數據的來源地址會發出超出正常極限的數據量。

(4)盡可能的修正已經發現的問題和系統漏洞。

ARP欺騙

正常ARP原理：如圖所示，主機A想知道局域網內主機B的MAC地址，那么主機A就廣播發送ARP請求分組，局域網內主機都會收到，但只有B收到解析后知道是請求自己的MAC地址，所以只有B會返回單播的響應分組，告訴A自己的MAC地址。A收到響應分組后，會建立一個B的IP地址和MAC地址映射，這個映射是動態存在的，如果一定時間AB不再通信，那么就會清空這個地址映射，下次如果還要通信，則重復這個過程。

ARP欺騙原理：上述過程主機A是不管其有沒有發送過請求廣播分組的，而是只要收到了返回的分組信息，就會刷新IP地址和MAC地址的映射關系這樣就存在安全隱患，假設有主機C，模擬返回分組格式，構造正確的IP地址和自己的MAC地址映射A收到后也會刷新映射關系，那么當A再次向B發送信息時，實際就發送到了C的MAC地址，數據就被C監聽到了。

ARP欺騙的防范措施:

①在winxp下輸入命令：arp-sgate-way-ip gate-way-mac 固化arp 表，阻止arp 欺騙。

②使用ARP服務器。通過該服務器查找自己的ARP轉換表來響應其他機器的ARP廣播。確保這臺ARP服務器不被黑。

③采用雙向綁定的方法解決并且防止ARP欺騙。

④ARP 防護軟件–ARPGuard。通過系統底層核心驅動，無須安裝其他任何第三方軟件(如WinPcap)以服務及進程并存的形式隨系統啟動并運行，不占用計算機系統資源。無需對計算機進行IP地址及MAC地址綁定，從而避免了大量且無效的工作量。也不用擔心計算機會在重啟后新建ARP 緩存列表，因為此軟件是以服務與進程相結合的形式存在于計算機中，當計算機重啟后軟件的防護功能也會隨操作系統自動啟動并工作。

DNS欺騙

首先是冒充域名服務器，然后把查詢的IP地址設為攻擊者的IP地址，這樣的話，用戶上網就只能看到攻擊者的主頁，而不是用戶想要取得的網站的主頁了，這就是DNS 欺騙的基本原理。也即改掉了域名和IP地址的對應關系。黑客是通過冒充DNS服務器回復查詢IP的，如下圖所示：

DNS欺騙的檢測:

①被動監聽檢測：通過旁路監聽的方式，捕獲所有DNS請求和應答數據包，并為其建立一個請求應答映射表。如果在一定的時間間隔內，一個請求對應兩個或兩個以上結果不同的應答包，則懷疑受到了DNS欺騙攻擊。

②虛假報文探測：采用主動發送探測包的手段來檢測網絡內是否存在DNS 欺騙攻擊者。如果向一個非DNS服務器發送請求包，正常來說不會收到任何應答，如果收到了應答包，則說明受到了攻擊。③交叉檢查查詢:在客戶端收到DNS 應答包之后，向DNS服務器反向查詢應答包中返回的IP地址所對應的DNS 名字，如果二者一致說明沒有受到攻擊，否則說明被欺騙。

IP欺騙

IP欺騙的原理和流程:

①首先使被冒充主機hostb的網絡暫時癱瘓，以免對攻擊造成干擾。

②然后連接到目標機hosta的某個端口來猜測ISN 基值和增加規律。

③接下來把源址址偽裝成被冒充主機hostb，發送帶有SYN標志的數據段請求連接。

④然后等待目標機hosta發送SYN+ACK 包給已經癱瘓的主機，因為現在看不到這個包。

⑤最后再次偽裝成主機hostb向目標主機hosta 發送的ACK，此時發送的數據段帶有預測的目標機的ISN+1。

⑥連接建立，發送命令請求。

IP欺騙的防范： 雖然IP 欺騙攻擊有著相當難度，但這種攻擊非常廣泛，入侵往往由這里開始。預防這種攻擊可以刪除UNX中所有的/etc/hosts.equiv、$HOME/.rhosts文件，修改/etc/inetd.conf文件，使得RPC機制無法應用。另外，還可以通過設置防火墻過濾來自外部而信源地址卻是內部IP的報文。

端口掃描

端口掃描就是嘗試與目標主機的某些端口建立連接，如果目標主機該端口有回復(見三次握手中的第二次)，則說明該端口開放，即為“活動端口"。

掃描原理分類:

(1)全TCP連接：這種掃描方法使用三次握手，與目標計算機建立標準的TCP連接。

(2)半打開式掃描(SYN掃描)：在這種掃描技術中，掃描主機自動向目標計算機的指定端口發送SYN數據段，表示發送建立連接請求。如果目標計算機的回應TCP報文中SYN=1ACK=1，則說明該端口是活動的，接著掃描主機傳送一個RST給目標主機拒絕建立TCP連接，從而導致三次握手的過程失敗。如果目標計算機的回應是RST，則表示該端口為“死端口”，這種情況下，掃描主機不用做任何回應。

(3)FIN掃描：依靠發送FIN來判斷目標計算機的指定端口是否是活動的。發送一個FIN=1的TCP報文到一個關閉的端口時，該報文會被丟掉，并返回一個RST 報文。但是，如果當FIN 報文到一個活動的端口時，該報文只是被簡單的丟掉，不會返回任何回應。從FIN掃描可以看出，這種掃描沒有涉及任何TCP 連接部分。因此，這種掃描比前兩種都安全，可以稱之為秘密掃描。

(4)第三方掃描：第三方掃描又稱“代理掃描”，這種掃描是利用第三方主機來代替入侵者進行掃描。這個第三方主機一般是入侵者通過入侵其他計算機而得到的，該“第三方”主機常被入侵者稱之為“肉雞”。這些“肉雞”一般為安全防御系數極低的個人計算機。

強化ICP/IP堆棧以抵御拒絕服務攻擊

1.同步包風暴(SYN Flooding)：利用TCP協議缺陷發送大量偽造的TCP連接請求，使得被攻擊者資源耗盡。三次握手，進行了兩次，不進行第三次握手，連接隊列處于等待狀態，大量這樣的等待，會占滿全部隊列空間，使得系統掛起。可以通過修改注冊表防御SYN Flooding 攻擊。

2.ICMP攻擊：ICMP協議本身的特點決定了它非常容易被用于攻擊網絡上的路由器和主機。比如，前面提到的“Ping of Death"攻擊就是利用操作系統規定的ICMP 數據包的最大尺寸不超過64KB這一規定，達到使TCP/IP 堆棧崩潰、主機死機的效果。可以通過修改注冊表防御ICMP 攻擊。

3.SNMP攻擊：SNMP還能被用于控制這些設備和產品，重定向通信流，改變通信數據包的優先級，甚至斷開通信連接。總之，入侵者如果具備相應能力，就能完全接管你的網絡。可以通過修改注冊表項防御系統漏洞掃描指對重要計算機信息系統進行檢查，發現其中可能被黑客利用的漏洞。包括基于網絡的漏洞掃描(通過網絡遠程掃描主機)、基于主機的漏洞掃描(在目標系統安裝了代理掃描)。

例題：

答案：A

五、信息安全的保證體系和評估方法

GB17859-999 標準規定了計算機系統安全保護能力的五個等級：

用戶自主保護級：本級的計算機信息系統可信計算機通過隔離用戶與數據，使用戶具備自主安全保護的能力。本級實施的是自主訪問控制，即計算機信息系統可信計算機定義和控制系統中命名用戶對命名客體的訪問。
系統審計保護級：本級的計算機信息系統可信計算機實施了粒度更細的自主訪問控制，它通過登錄規程、審計安全性相關事件和隔離資源，使用戶對自己的行為負責。在自主訪問控制的基礎上控制訪問權限擴散。
安全標記保護級：本級的計算機信息系統可信計算機具有系統審計保護級所有功能。此外，還提供有關安全策略模型、數據標記以及主體對客體強制訪問控制的非形式化描述;具有準確地標記輸出信息的能力:消除通過測試發現的任何錯誤。本級的主要特征是計算機信息系統可信計算機對所有主體及其所控制的客體(例如:進程、文件、段、設備)實施強制訪問控制。
結構化保護級：本級的計算機信息系統可信計算機建立于一個明確定義的形式化安全策略模型之上，它要求將第三級系統中的自主和強制訪問控制擴展到所有主體與客體。此外，還要考慮隱蔽通道。對外部主體能夠直接或間接訪問的所有資源(例如:主體、存儲客體和輸入輸出資源)實施強制訪問控制。
訪問驗證保護級：本級的計算機信息系統可信計算機滿足訪問監控器需求。訪問監控器仲裁主體對客體的全部訪問。訪問監控器本身是抗篡改的:必須足夠小，能夠分析和測試。與第四級相比，自主訪問控制機制根據用戶指定方式或默認方式，阻止非授權用戶訪問客體。訪問控制的粒度是單個用戶。訪問控制能夠為每個命名客體指定命名用戶和用戶組，并規定他們對客體的訪問模式。沒有存取權的用戶只允許由授權用戶指定對客體的訪問權。