赞
踩
写在前面:本文为笔者复习软考和刷题过程中,总结的常考知识点和易忘的知识点;知识点不是很全面(要全面还得看课本)只是方便笔者自己复习知识点,大伙可以参考。后续继续补充。
(吐槽一下,因为疫情,延考了,今天打印的准考证作废了。。。)
欢迎大家点赞收藏,点点关注更好了hhhhhh
时隔两年终于有时间参加首次考试,刚好碰上改革机考了,还好结果是过了,给大家沾沾喜气,祝大家一次通过!
网络信息系统三要素(CIA):机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。
机密性
机密性是指网络信息不泄露给非授权的用户、实体或程序,能够防止非授权者获取信息。
完整性
完整性是指网络信息或系统未经授权不能进行更改的特性。
可用性
可用性是指合法许可的用户能够及时获取网络信息或服务的特性。
抗抵赖性
抗抵赖性是指防止网络信息系统相关用户否认其活动行为的特性。常用于电子合同、数字签名、电子取证等应用。
可控性
可控性是指网络信息系统责任主体对其具有管理、支配能力的属性,能够根据授权规则对系统进行有效掌握和控制,使得管理者有效地控制系统的行为和信息的使用,符合系统运行目标。
其他
还包括真实性、时效性、合规性、公平性、可靠性、可生存性、隐私性。
《中华人民共和国网络安全法》由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过,于2017年6月1日开始实施。
环境安全、设备安全、媒体安全。
网络安全体系是网络安全保障系统的最高层概念抽象,是由各种网络安全单元按照一定的规则组成的,共同实现网络安全的目标。网络安全体系构建已成为一种解决网络安全问题的有效方法,是提升网络安全整体保障能力的高级解决方案。
特征:
(1)整体性。网络安全体系从全局、长远的角度实现安全保障,网络安全单元按照一定的规则,相互依赖、相互约束、相互作用而形成人机物一体化的网络安全保护方式。
(2)协同性。网络安全体系依赖于多种安全机制,通过各种安全机制的相互协作,构建系统性的网络安全保护方案。
(3)过程性。针对保护对象,网络安全体系提供一种过程式的网络安全保护机制,覆盖保护对象的全生命周期。
(4)全面性。网络安全体系基于多个维度、多个层面对安全威胁进行管控,构建防护、检测、响应、恢复等网络安全功能。
(5)适应性。网络安全体系具有动态演变机制,能够适应网络安全威胁的变化和需求。
70年代末,M.A.Harrison,W.L.Ruzzo和J.D.Ullman就对自主访问控制进行扩充,提出了客体主人自主管理该客体的访问和安全管理员限制访问权限随意扩散相结合的半自主式的HRU访问控制模型。
1989年Brewer和Nash提出的兼顾保密性和完整性的安全模型,又称BN模型。主要用来解决商业中的利益冲突问题,目标是防止利益冲突的发生。中国墙模型对数据的访问控制是根据主体已经具有的访问权力来确定是否可以访问当前数据。
安全模型的表现力各不相同,如BLP和Biba是多级安全模型,用安全级别区分系统中对象,用安全级别间的关系来控制对对象的操作,主要侧重于读操作和写操作等有限的几个操作,属于强制访问控制;有的可以用不同的配置满足不同的安全需求,如RBAC模型可以用不同的配置实现自主访问控制和强制访问控制,DTE模型可以用来限定特权操作。
基于角色的访问控制模型属于强制访问控制。
强制访问控制
BLP模型有两个特性:简单安全特性、*特性。
(1)简单安全特性。主体对客体进行读访问的必要条件是主体的安全级别不小于客体的安全级别,主体的范畴集合包含客体的全部范畴,即主体只能向下读,不能向上读。
(2)*特性。一个主体对客体进行写访问的必要条件是客体的安全级支配主体的安全级,即客体的保密级别不小于主体的保密级别,客体的范畴集合包含主体的全部范畴,即主体只能向上写,不能向下写。
强制访问控制
BiBa具有三个安全特性:简单安全特性、*特性、调用特性。
(1)简单安全特性。主体对客体进行修改访问的必要条件是主体的完整性级别不小于客体的完整性级别,主体的范畴集合包含客体的全部范畴,即主体不能向下读。
(2)*特性。主体的完整性级别小于客体的完整性级别,不能修改客体,即主体不能向上写。
(3)调用特性。主体的完整性级别小于另一个主体的完整性级别,不能调用另一个主体。
风险评估流程:
1、确定资产;2、脆弱性和威胁分析;3、指定对应方案;4、决策;5、沟通与交流;6、方案实施。
其中风险评估报告是对信息资产面临的威胁、存在的弱点、造成的影响,以及三者综合作用而带来风险的可能性的评估。
信息系统安全风险评估是信息安全保障体系建立过程中重要的评价方法和决策机制。
信息安全风险评估识别阶段输出的报告包括:资产价值分析报告、威胁分析报告、已有安全措施分析报告。
风险评估的方法有很多种,主要有定量的风险评估、定性的风险评估、定性与定量相结合的评估。
定量的评估方法是指运用数量指标来对风险进行评估。典型的定量分析方法有因子分析法、聚类分析法、时序模型、回归模型、决策树法等。
定性的评估方法主要依据研究者的知识、经验、历史教训、政策走向及特殊变例等非量化资料对系统风险状况做出判断的过程。典型的定性分析方法有因素分析法、逻分析法历史比较法、德尔斐法。
风险评估工具如下:
(1)基于国家或政府颁布的信息安全管理标准或指南建立风险评估工具
有美国开发的基于NIST(National Institute of Standardsand Technology)的FIPS65的自动风险评估工具,还有基于GAO(Government Accounting Office)的信息安全管理的实施指南的自动风险评估工具。还有根据英国BS7799的系列指导文件PD3000中所提供风险评估方法,建立的CRAMM、RA等风险分析工具。
(2)基于专家系统的风险评估工具
这种方法经常利用专家系统建立规则和外部知识库,通过调查问卷的方式收集组织内部信息安全的状态。如COBRA(Consultative,ObjectiveandBi-functionalRiskAnalysis)是一个基于专家系统的风险评估工具,它采用问卷调查的形式,主要有三个部分组成:问卷建立器、风险测量器和结果产生器。除此以外,还有@RISK、BDSS(TheBayesianDecisionSupportSystem)等工具。
(3)基于定性或定量分析的风险评估工具
风险评估根据对各要素的指标量化以及计算方法不同分为定性和定量的风险分析工具。随着人们对信息安全风险了解的不断深入,获得了更多的经验数据,因此人们越来越希望用定量的风险分析方法反映事故方式的可能性。定量的信息安全风险管理标准包括美国联邦标准FIPS31和FIPS191,提供定量风险分析技术的手册包括GAO和新版的NISTRMG。目前产生的一系列风险评估工具都在定量和定性方面各有侧重。如CONTROL-IT、Definitive Scenario、JANBER都是定性的风险评估工具。而@RISK、TheBuddySystem、RiskCALC、CORA(Cost-of-RiskAnalysis)是半定量(定性与定量方法相结合)的风险评估工具。
此外,根据风险评估工具体系结构不同,风险评估工具还包括基于客户机/服务器模式以及单机版风险评估工具。如COBRA就是基于C/S模式,而且前大多数的风险评估工具识基于单机版的。另外基于安全因素调查方式的不同,风险评估工具还包括文件式或过程式,如RA就是过程式风险评估工具。
依据《计算机信息系统安全保护等级划分准则》 (GB 17859-1999)。
结构化保护级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上,它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外,还要考虑隐蔽通道。
**用户自主保护级:**本级的计算机信息系统可信计算机通过隔离用户与数据,使用户具备自主安全保护的能力。它具有多种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏。
系统审计保护级:与用户自主保护级相比,本级实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。
安全标记保护级:本级的计算机具有系统审计保护级所有功能。还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述;具有准确地标记输出信息的能力。
结构化保护级:本级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上,它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外,还要考虑隐蔽通道。
访问验证保护级:本级的计算机信息系统满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的;必须足够小,能够分析和测试。
网络安全等级保护2.0的主要变化包括:
一是扩大了对象范围,将云计算、移动互联、物联网、工业控制系统等列入标准范围。
二是提出了在"安全通信网络"、“安全区域边界”、"安全计算环境"和"安全管理中心"支持下的三重防护体系架构
三是等级保护2.0新标准强化了可信计算技术使用的要求,各级增加了“可信验证控制点。
TCSEC(可信计算机系统测准则《Trusted Computer System Evaluation Criteria, TCSEC)》,又称橘皮书。)评估标准,在这个标准中将计算机系统按照访问控制系统实现的安全级别进行分级,这和我国使用计算机系统的安全级别是类似的,分为四组七个等级:具体为D、C(C1、C2)、B(B1、B2、B3)和A(1),安全级别从左到右逐步提高,各级间向下兼容。
TCSEC将系统分为4类7个安全级别
D级:最低安全性;
C1级:自主存取控制;
C2级:较完善的自主存取控制(DAC)、审计;
B1级:强制存取控制(MAC);
B2级:良好的结构化设计、形式化安全模型;
B3级:全面的访问控制、可信恢复
A1级:形式化认证。
1)D级别是最低的安全级别,对系统提供最小的安全防护。系统的访问控制没有限制,无需登陆系统就可以访问数据,这个级别的系统包括DOS,WINDOWS98等。
2)C级别有两个子系统,C1级和C2。C1级称为选择性保护级(Discrtionary Security Protection)可以实现自主安全防护,对用户和数据的分离,保护或限制用户权限的传播。C2级具有访问控制环境的权力,比C1的访问控制划分的更为详细,能够实现受控安全保护、个人帐户管理、审计和资源隔离。这个级别的系统包括UNIX、LINUX和WindowsNT系统。C级别属于自由选择性安全保护,在设计上有自我保护和审计功能,可对主体行为进行审计与约束。
3)B级别包括B1、B2和B3三个级别,B级别能够提供强制性安全保护和多级安全。强制防护是指定义及保持标记的完整性,信息资源的拥有者不具有更改自身的权限,系统数据完全处于访问控制管理的监督下。B1级称为标识安全保护(Labeled Security Protection)。B2级称为结构保护级别(Security Protection),要求访问控制的所有对象都有安全标签以实现低级别的用户不能访问敏感信息,对于设备、端口等也应标注安全级别。B3级别称为安全域保护级别(Security Domain),这个级别使用安装硬件的方式来加强域的安全,比如用内存管理硬件来防止无授权访问。
4)A级别只有A1这一级别,A级别称为验证设计级(Verity Design),是目前最高的安全级别,在A级别中,安全的设计必须给出形式化设计说明和验证,需要有严格的数学推导过程,同时应该包含秘密信道和可信分布的分析,也就是说要保证系统的部件来源有安全保证,例如对这些软件和硬件在生产、销售、运输中进行严密跟踪和严格的配置管理,以避免出现安全隐患。
国家密码管理局于2006年发布了“无线局域网产品须使用的系列密码算法”,包括:
对称密码算法:SMS4;
签名算法:ECDSA;
密钥协商算法:ECDH;
杂凑算法:SHA-256;
随机数生成算法等。
SM9标识密码算法是一种基于双线性对的标识密码算法,它可以把用户的身份标识用以生成用户的公、私密钥对,主要用于数字签名、数据加密、密钥交换以及身份认证等;SM9密码算法的密钥长度为256位,SM9密码算法的应用与管理不需要数字证书、证书库或密钥库.该算法于2015年发布为国家密码行业标准(GM/T 0044-2016)。
SM2是国家密码管理局于2010年12月17日发布的椭圆曲线公钥密码算法。
SM3是中华人民共和国政府采用的一种密码散列函数标准。
SMS4算法是在国内广泛使用的WAPI无线网络标准中使用的对称加密算法。
SMS4算法的分组长度为128bit,密钥长度也是128bit。
无线局域网鉴别別和保密体系( Wireless LAN Authentication and Privacy Infrastructure,WAPI),是一种安全协议,同时也是中国提出的无线局域网安全强制性标准。当前全球无线局域网领域仅有的两个标准,分别是IEEE802.1系列标准(俗称WiFi)、WAPI标准。
WAPI从应用模式上分为单点式和集中式两种。
WAPI的密钥管理方式包括基于证书和基于预共享密钥两种方式
WAPI分为WAI和WPI两部分,分别实现对用户身份的鉴别和对传输的业务数据加密。
WAI来用公开密钥体制,进行认证;WPI采用对称密码体制,实现加、解密操作;
与WIFI的单向加密认证不同,WAPI采用双向均认证。
WPA全名为Wi-Fi Protected Access,有WPA、WPA2和WPA3三个标准,是一种保护无线电脑网络(Wi-Fi)安全的系统,它是应研究者在前一代的系统有线等效加密(WEP)中找到的几个严重的弱点而产生的。WPA实作了IEEE 802.11i标准的大部分,是在802.11i完备之前替代WEP的过渡方案。WPA的设计可以用在所有的无线网卡上,但未必能用在第一代的无线取用点上。WPA2具备完整的标准体系,但其不能被应用在某些老旧型号的网卡上。
WPA中的用户认证是结合了IEE802.1x和**扩展认证协议(Extensible Authentication Protoco1,EAP)**来实现的。
根据密码分析者在破译时已具备的前提条件,人们通常将密码分析攻击类型分为五种:
根据密钥的特点,密码体制分为私钥和公钥密码体制两种,而介于私钥和公钥之间的密码体制称为混合密码体制。
私钥密码体制:又称为对称密码体制,指广泛应用的普通密码体制,该体制的特点是加密和解密使用相同的密钥(即Kd=Ke)
公钥密码体制:又称为非对称密码体制,其基本原理是在加密和解密的过程中使用不同的密钥处理方式(即Kd≠Ke),其中,加密密钥可以公开,而只需要把解密密钥安全存放即可。在安全性方面,密码算法即使公开,由加密密钥推知解密密钥也是计算不可行的。
公钥密码体制优点如下:
利用公钥密码体制分配私钥密码体制的密钥,消息的收发双方共用这个密钥,然后按照私钥密码体制的方式,进行加密和解密运算。原理如下:
第一步,消息发送方A用对称密钥把需要发送的消息加密。
第二步,发送方A用接收方B的公开密钥将对称密钥加密,形成数字信封。然后,一起把加密消息和数字信封传送给接收方B。
第三步,接收方B收到A的加密消息和数字信封后,用自己的私钥(即上述公钥)将数字信封解密,获取A加密消息时的对称密钥。
第四步,接收方B 使用A加密的对称密钥把收到的加密消息解开。
简易顺序:信息 → A(私钥加密)→ A(公钥加密)→ 数字信封 → B(公钥解密)→ B(私钥解密)→ 信息。
已经公布的国产密码算法主要有 SM1分组密码算法、SM2椭圆曲线公钥密码算法、SM3密码杂凑算法、SM4分组算法、SM9标识密码算法。
算法名称 | 算法特性描述 |
---|---|
SM1 | 对称加密,分组长度和密钥长度都是128比特 |
SM2 | 非对称加密,用于公钥加密算法、密钥交换算法、数字签名算法,国家标准推荐使用素数域256位椭圆曲线 |
SM3 | 杂凑(哈希)算法,杂凑值长度为256比特 |
SM4 | 对称加密,分组长度和密钥长度都是128比特,加密算法与密钥扩展算法都采用 32 轮非线性迭代结构。 |
SM9 | 标识密码算法,SM9 可支持实现公钥加密、密钥交换、数字签名等安全功能。国密标准标识算法,2017年成为国际标准 |
ECB、CBC等。
祖冲之(ZUC)算法咱逻辑上采用三层结构设计,具有非常高的安全强度,能够抵抗目前常见的各种流密码攻击方法。算法本质上是一种非线性序列产生器,输出序列的随机性好,周期大。
椭圆曲线加密算法(ECC)和RSA加密算法强度比较:ECC(163比特)约等于RSA(1024比特);ECC签名后包含原文,签名附加在原文,RSA不包含原文。
位置隐私保护体系结构可分为三种:集中式体系结构、客户/服务器体系结构和分布式体系结构。
密码分为:核心密码、普通密码、商用密码。
目的:该模型用于防止非授权信息的扩散,从而保证系统的安全。
BLP模型特性:简单安全特性、*特性
(1)简单安全特性。
主体对客体进行读访问的必要条件是主体的安全级别不小于客体的安全级别,主体的范畴集合包含客体的全部范畴,即主体只能向下读,不能向上读。
(2)*特性。
一个主体对客体进行写访问的必要条件是客体的安全级支配主体的安全级,即客体的保密级别不小于主体的保密级别,客体的范畴集合包含主体的全部范畴,即主体只能向上写,不能向下写。
目的:该模型主要用于防止非授权修改系统的信息,以保护系统信息的完整性。
BiBa模型特性:简单安全特性、*特性、调用特性。
强制访问控制
(1)简单安全特性。
主体对客体进行修改访问的必要条件是主体的完整性级别不小于客体的完整性级别,主体的范畴集合包含客体的全部范畴,即主体只能向上读,不能向下读。
(2)*特性。主体的完整性级别小于客体的完整性级别,不能修改客体,即主体只能向下写,不能向上写。
(3)调用特性。主体的完整性级别小于另一个主体的完整性级别,不能调用另一个主体。
Biba模型提出三种策略:下限标记策略,环策略和严格完整性策略。
“写”和“执行”操作(规则1)
① 当且仅当i(O) ≤ i(S),主体S可以写客体O。
② 当且仅当i(S2) ≤ i(S1),主体S1可以执行S2。
“读操作”
对于“读”操作,通过定义不同的规则,毕巴模型呈现为三种略有不同的形式。
毕巴低水标模型(Low-Water-Mark)
设S是任意主体,O是任意客体,imin = min(i(S), i(O)),那么,不管完整性级别如何,S都可以读O,但是“读”操作执行后,S的完整性级别被调整为imin。
毕巴环模型(Ring)
不管完整性级别如何,任何主体都可以读任何客体。
毕巴严格完整性模型(Strict Integrity)
在满足规则1的基础上,当且仅当i(S) ≤ i(O),主体S可以读客体O。在严格完整性模型中,当且仅当主体和客体拥有相同的完整性级别时,主体可以同时对客体进行“读”和“写”操作。
通常,提及毕巴模型,一般都是指毕巴严格完整性模型。
严格完整性策略的规则如下:
①简单完整性条件:主体S可以对客体O进行读取操作,当且仅当O的完整性等级支配S的完整性等级。
②完整性*属性:主体S可以对客体O进行写操作,当且仅当S的完整性等级支配客体O 的完整性等级。
③调用特性:主体S1可以执行另一个主体S2(与S2通信),当且仅当S1的完整性等级支配S2的完整性等级。
环策略规则如下:
①主体S可以对给定客体O进行写操作,当且仅当S的完整性等级支配O的完整性等级。
②主体S1可以执行另一个主体S2(与S2通信) ,当且仅当S2的完整性等级支配S1的完整性等级。
③主体S可以对具有任何完整性等级的客体O进行读取操作。
目的:用于分析系统的隐蔽通道,防止敏感信息通过隐蔽通道泄漏。隐蔽通道通常表现为低安全等级主体对于高安全等级主体所产生信息的间接读取,通过信息流分析以发现隐蔽通道,阻止信息泄露途径。
信息流模型是访问控制模型的一种变形简称FM。
该模型不检查主体对客体的存取,而是根据两个客体的安全属性来控制从一个客体到另一个客体的信息传输。
P:Protection(保护).主要内容有加密机制,数字签名机制,访问控制机制,认证机制,信息隐藏,防火墙技术等.
D:Detection(检测).主要内容有入侵检测,系统脆弱性检测,数据完整性检测,攻击性检测等.
R:Recovery(恢复).主要内容有数据备份,数据恢复,系统恢复等.
R:Reaction(响应).主要内容有应急策略,应急机制,应急手段,入侵过程分析,安全状态评估等.
P2DR模型包括四个主要部分:Policy(安全策略)、Protection(保护)、Detection(检测)和 Response(响应)。
策略:定义系统的监控周期、确立系统恢复机制、制定网络访问控制策略和明确系统的总体安全规划和原则。
保护:通过修复系统漏洞、正确设计开发和安装系统来预防安全事件的发生;通过定期检查来发现可能存在的系统脆弱性;通过教育等手段,使用户和操作员正确使用系统,防止意外威胁;通过访问控制、监视等手段来防止恶意威胁。采用的防护技术通常包括数据加密、身份认证、访问控制、授权和虚拟专用网(VPN)技术、防火墙、安全扫描和数据备份等。
检测:是动态响应和加强防护的依据,通过不断地检测和监控网络系统,来发现新的威胁和弱点,通过循环反馈来及时做出有效的响应。当攻击者穿透防护系统时,检测功能就发挥作用,与防护系统形成互补。
响应:系统一旦检测到入侵,响应系统就开始工作,进行事件处理。响应包括紧急响应和恢复处理,恢复处理又包括系统恢复和信息恢复。
在PDRR信息安全体系模型的基础上增加了Waring(预警)、Counterattack(反击)两个环节。
6大环节和3大要素,三大要素为:人员、政策和技术。
能力成熟度模型(CMM,Capability Maturity Model)是对一个组织机构的能力进行成熟度评估的模型。
一般分五级:
SSE-CMM系统安全工程能力成熟度模型。
包括工程过程类(Engineering)、组织过程类(Organization)、项目过程(Project)类。
实现思路:将信息网络安全防护措施有机组合起来。针对保护对象,部署安全措施,形成多道防线,相互支持和补救。
四道防线:
安全保护-阻止对网络的入侵和危害;
安全检测-及时返现入侵和破坏;
实时响应-维持网络运行;
恢复-恢复运行,降低损失。
针对单独保护节点,以OSI7层模型为参考,对保护对象进行层次化保护。
将网络信息系统划分成不同的安全保护等级,采取对应的安全保护措施,已保障信息和信息系统的安全。
将系统划分为不可攻破的安全核和可恢复部分;
针对攻击模式,给出3R策略。即抵抗(Resistance)、识别(Recognition)、恢复(Recovery);
定义正常服务模式与入侵模式,给出重点保护的功能与信息。
《GB 17859-1999》计算机信息系统安全保护等级划分准则
第一级 用户自主保护级
本级的计算机信息系统可信计算基通过隔离用户与数据,使用户具备自主安全保护的能力。它具有多种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏。
第二级 系统审计保护
与用户自主保护级相比,本级的计算机信息系统可信计算基实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。
第三级 安全标记保护级
本级的计算机信息系统可信计算基具有系统审计保护级所有功能。此外,还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述;具有准确地标记输出信息的能力;消除通过测试发现的任何错误。
第四级 结构化保护级
本级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上,它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外,还要考虑隐蔽通道。本级的计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素。计算机信息系统可信计算基的接口也必须明确定义,使其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制;支持系统管理员和操作员的职能;提供可信设施管理;增强了配置管理控制。系统具有相当的抗渗透能力。
第五级 访问验证保护级
本级的计算机信息系统可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的;必须足够小,能够分析和测试。为了满足访问监控器需求,计算机信息系统可信计算基在其构造时,排除那些对实施安全策略来说并非必要的代码;在设计和实现时,从系统工程角度将其复杂性降低到最小程度。支持安全管理员职能;扩充审计机制,当发生与安全相关的事件时发出信号;提供系统恢复机制。系统具有很高的抗渗透能力。
体系结构可为:基于主机型、基于网络型、基于主体型(Agent-Based)。
第二版教材:基于主机型、基于网络型、分布式。
机房功能区域组成:
(1)主要工作房间:主机房、终端室。
(2)第一类辅助房间:低配压电间、不间断电源室、蓄电池室、空调机室、发电机室、气体钢瓶室、监控室等。
(3)第二类辅助房间:资料室、维修室、技术人员办公室;
(4)第三类辅助房间:储藏室、缓冲室、技术人员休息室、盥洗室等。
空气湿度在45%-65%
按照规模大小可将数据中心分为三类:超大型数据中心(大于等于10000个标准机架)、大型数据中心(3000以上)、中小型数据中心(小于3000)。
《数据中心设计规范(GB 50174—2017)》为国家标准,自2018年1月1日起实施。
强制性条文:
8.4.4 数据中心内所有设备的金属外壳、各类金属管道、金属线槽、建筑物金属结构必须进行等电位联结并接地。
13.2.1 数据中心的耐火等级不应低于二级。
13.2.4 当数据中心与其他功能用房在同一个建筑内时,数据中心与建筑内其他功能用房之间应采用耐火极限不低于2.0h的防火隔墙和1.5h的楼板隔开,隔墙上开门应采用甲级防火门。
13.3.1 采用管网式气体灭火系统或细水雾灭火系统的主机房,应同时设置两组独立的火灾探测器,火灾报警系统应与灭火系统和视频监控系统联动。
13.4.1 设置气体灭火系统的主机房,应配置专用空气呼吸器或氧气呼吸器。
互联网数据中心(简称IDC)一般由机房基础设施、网络系统、资源系统、业务系统、管理系统和安全系统六大逻辑功能部分组成。
《互联网数据中心工程技术规范(GB 51195-2016)》自2017年4月1日起实施;规定IDC机房分为R1、R2、R3三个级别。
1、机房内必须配备有效的灭火消防器材,机房基础设施中的消防系统工程应施工完毕,并应具备保持性能良好,满足IT设备系统安装、调测施工要求的使用条件。
2、楼板预留孔洞应配置非燃烧材料的安全盖板,已用的电缆走线孔洞应用非燃烧材料封堵。
3、机房内严禁存放易燃、易爆等危险物品。
4、机房内不同电压的电源设备、电源插座应有明显区别标志。
1、所知道的秘密信息(Something You Know)
实体(声称者)所掌握的秘密信息,如用户口令、验证码等。
2、所拥有的实物凭证(Something You Have)
实体(声称者)所持有的不可伪造的物理设备,如智能卡、U盾等。
3、所具有的生物特征
实体(声称者)所具有的生物特征,如指纹、声音、虹膜、人脸等。
4、所表现的行为特征
实体(声称者)所表现的行为特征,如鼠标使用习惯、键盘敲键力度、地理位置等。
认证机制由验证对象、认证协议、鉴别实体构成。
按照对验证对象要求提供的认证凭据的类型数量,认证可以分为单因素认证、双因素认证、多因素认证。
按照认证依据所利用的时间长度,认证可分为一次性口令(One Time Password)、持续认证(Continuous authentication)。
按照认证过程中签订双方参与角色及所依赖的外部条件,认证类型可分为:
单向认证、双向认证及第三方认证。
Kerberos是一个网络认证协议,其目标是使用密钥加密为客户端/服务器应用程序提供强身份认证。其技术原理是利用对称密码技术,使用可信的第三方来为应用服务器提供认证服务,并在用户和服务器之间建立安全信道。
Kerberos系统涉及四个基本实体:
(1)Kerberos客户机,用户用来访问服务器设备;
(2)AS(Authentication Server,认证服务器),识别用户身份并提供TGS会话密钥;
(3)TGS(Ticket Granting Server,票据发放服务器),为申请服务的用户授予票据(Ticket);
(4)应用服务器(Application Server),为用户提供服务的设备或系统。
其中,通常将AS和TGS统称为KDC(Key Distribution Center)。
票据(Ticket)是用于安全的传递用户身份所需要的信息的集合,主要包括客户方Principal、目的服务方Principal、客户方IP地址、时间戳(分发该Ticket的时间)、Ticket的生存期、以及会话密钥等内容。
第一步,Kerberos客户向认证服务器AS申请票据TGT。
第二步,当认证服务器AS收到Kerberos客户发来的消息后,AS在认证数据库检查确认Kerberos客户,产生一个会话密钥,同时使用Kerberos客户的秘密密钥对会话密钥加密,然后生成一个票据TGT,其中TGT由Kerberos客户的实体名、地址、时间戳、限制时间、会话密钥组成。AS生成TGT完毕后,把TGT发送给Kerberos客户。
第三步,Kerberos客户收到AS发来的TGT后,使用自己的秘密密钥解密得到会话密钥,然后利用解密的信息重新构造认证请求单,向TGS发送请求,申请访问应用服务器AP所需要的票据(Ticket)。
第四步,TGS使用其秘密密钥对TGT进行解密,同时,使用TGT中的会话密钥对Kerberos客户的请求认证单信息进行解密,并将解密后的认证单信息TGT中信息进行比较。然后,TGS生成新的会话密钥以供Kerberos客户和应用服务器使用,并利用各自的秘密密钥加密会话密钥。最后,生成一个票据,其由Kerberos客户的实体名、地址、时间戳、限制时间、会话密钥组成。TGS生成TGT完毕后,把TGT发送给Kerberos客户。
第五步,Kerberos客户收到TGS的响应后,获得与应用服务器共享的会话密钥。与此同时,Kerberos客户生成一个新的用于访问应用服务器的认证单,并用与应用服务器共享的会话密钥加密,然后与TGS发送来的票据一并传送到应用服务器。
Kerberos协议中要求用户经过AS和TGS两重认证的优点主要有两点。
(1)可以显著减少用户密钥的密文的暴露次数,这样就可以减少攻击者对有关用户密钥的密文的积累。
(2)Kerberos认证过程具有单点登录(Single Sign On,SSO)的优点,只要用户拿到了TGT并且该TGT没有过期,那么用户就可以使用该TGT通过TGS完成到任一服务器的认证过程而不必重新输入密码。
**注:**单点登录(Single Sign On)是指用户访问使用不同的系统时,只需要进行一次身份认证,就可以根据这次登录的认证身份访问授权资源。
单点登录解决了用户访问使用不同系统时,需要输入不同系统的口令以及保管口令问题,简化了认证管理工作。
公钥证书是将实体和一个公钥绑定,并让其他的实体能够验证这种绑定关系。为此,需要一个可信的第三方来担保实体的身份,这个第三方称为认证机构,简称CA(Certification Authority)。
CA负责颁发证书,证书中含有实体名、公钥以及实体的其他身份信息。
PKI(Public Key Infrastructure)就是有关创建、管理、存储、分发和撤销公钥证书所需要的硬件、软件、人员、策略和过程的安全服务设施。
基于PKI的主要安全服务有身份认证、完整性保护、数字签名、会话密钥加密、密钥恢复。一般来说,PKI涉及多个实体之间的协商和操作,主要实体包括CA、RA、终端实体(End Entity)、客户端、目录服务器。
PKI各实体的功能分别叙述如下:
许多与PKI相关的协议标准(PKIX、S/MIME、SSL、TLS、IPSec)等都是在X.509基础上发展起来的。
X.509是由国际电信联盟(ITU-T)制定的数字证书标淮。
X.500系列标准中X.500和X.509是安全认证系统的核心。
X.500定义了一种区别命名规则,以命名树来确保用户名称的唯一性。
X.509则为X.500用户名称提供了通信实体鉴别机制,并规定了实体鉴别过程中广泛适用的证书语法和数据接口,X.509称之为证书。
X.509每个证书包含该用户的公钥并由一个可信的认证中心用私钥签名。另外,X.509还定义了基于使用公钥证书的一个认证协议。
X.509是基于公钥密码体制和数字签名的服务。
X.509给出的鉴别框架是一种基于公开密钥体制的鉴别业务密钥管理。
远程用户拨号认证系统是目前应用最广泛的授权、计费和认证协议;承载于UDP协议上,认证授权端口为1812,计费端口为1813。
自主访问控制
自主访问控制(Discretionary Access Control,DAC)是指客体的所有者按照自己的安全策略授予系统中的其他用户对其的访问权。目前,自主访问控制的实现方法有两大类,即基于行的自主访问控制和基于列的自主访问控制。
基于行的自主访问控制方法是在每个主体上都附加一个该主体可访问的客体的明细表,根据表中信息的不同又可分成三种形式,即能力表(capability list)、前缀表(profiles)和口令(passwond)。
(1)能力表。
能力是访问客体的钥匙,它决定用户能否对客体进行访问以及具有何种访问模式(读、写、执行)。拥有一定能力的主体可以按照给定的模式访问客体。
(2)前缀表。
前缀表包括受保护客体名和主体对它的访问权限。当主体要访问某客体时,自主访问控制机制检查主体的前缀是否具有它所请求的访问权。
(3)口令。
在基于口令机制的自主存取控制机制中,每个客体都相应地有一个口令。主体在对客体进行访问前,必须向系统提供该客体的口令。如果正确,它就可以访问该客体。
基于列的自主访问控制机制是在每个客体上都附加一个可访问它的主体的明细表,它有两种形式,即保护位(protection bits)和访问控制表(Access Control List,ACL)。
(1)保护位。
这种方法通过对所有主体、主体组以及客体的拥有者指明一个访问模式集合,通常以比特位来表示访问权限。UNIX/Linux系统就利用这种访问控制方法。
(2)访问控制表。
访问控制表简称ACL,它是在每个客体上都附加一个主体明细表,表示访问控制矩阵。表中的每一项都包括主体的身份和主体对该客体的访问权限。
强制访问控制
强制访问控制(MandaroryAcess Control, MAC)是指系统根据主体和客体的安全属性,以强制方式控制主体对客体的访问。例如,在强制访问控制机制下,安全操作系统中的每个进程、每个文件等客体都被赋予了相应的安全级别和范畴,当一个进程访问一个文件时,系统调用强制访问控制机制,当且仅当进程的安全级别不小于客体的安全级别,并且进程的范畴包含文件的范畴时,进程才能访问客体,否则就拒绝。
与自主访问控制相比较,强制访问控制更加严格。用户使用自主访问控制虽然能够防止其他用户非法入侵自己的网络资源,但对于用户的意外事件或误操作则无效。因此,自主访问控制不能适应高安全等级需求。在政府部门、军事和金融等领域,常利用强制访问控制机制,将系统中的资源划分安全等级和不同类别,然后进行安全管理。
基于角色的访问控制(RBAC)就是指根据完成某些职责任务所需要的访问权限来进行授权和管理。
基于属性的访问控制(Attribute Based Access Control)简称为ABAC,其访问控制方法是根据主体的属性、客体的属性、环境的条件以及访问策略对主体的请求操作进行授权许可或拒绝。当主体访问受控的资源时,基于属性的访问控制ABAC将会检查主体的属性、客体的属性、环境条件以及访问策略,然后再给出访问授权。
VPN的类型包括链路层VPN、网络层 VPN、传输层VPN;VPN实现技术是密码算法、密钥管理、认证访问控制、IPSec、SSL、PPTP、L2TP。
按照VPN在TCP/IP协议层的实现方式,可以将其分为链路层VPN、网络层 VPN、传输层VPN;
链路层VPN的实现方式有ATM、Frame Relay、多协议标签交换MPLS;
网络层VPN的实现方式有受控路由过滤、隧道技术;
传输层VPN则通过SSL来实现。
国外算法:DES(64-56)、AES(128-128/192/256)、IDEA(64-128)、RSA(1024)。
国产商用算法:SM1(128-128)、SM4(128-128)、SM3(256)。
VPN加、解密运算都离不开密钥,因而,VPN中密钥的分发与管理非常重要。密钥的分发有两种方法:一种是通过手工配置的方式;另一种采用密钥交换协议动态分发。手工配置的方法虽然可靠,但是密钥更新速度慢,一般只适合简单网络。而密钥交换协议则采用软件方式,自动协商动态生成密钥,密钥可快速更新,可以显著提高VPN的安全性。目前,主要的密钥交换与管理标准有SKIP(互联网简单密钥管理协议)和ISAKMP/Oakley (互联网安全联盟和密钥管理协议)。
目前,VPN连接中一般都包括两种形式的认证。
IPSec是 Internet Protocol Security的缩写。在TCP/IP协议网络中,由于IP协议的安全脆弱性,如地址假冒、易受篡改、窃听等,Intermet工程组(IETF)成立了IPSec工作组,研究提出解决上述问题的安全方案。根据IP的安全需求,IPSec工作组制定了相关的IP安全系列规范:认证头(Authentication Header,简称AH)、封装安全有效负荷(Encapsulatin Security Payload,简称ESP)以及密钥交换协议。
IP AH和IP ESP都有两种工作模式,即透明模式(Transport mode)和隧道模式(TunneMode)。透明模式只保护IP包中的数据域(data payload),而隧道模式则保护IP包的包头和数据域。因此,在隧道模式下,将创建新的IP包头,并把旧的IP包(指需做安全处理的IP包)作为新的IP包数据。
SSL是Secure Sockets Layer的缩写,是一种应用于传输层的安全协议,用于构建客户端和服务端之间的安全通道。该协议由Netscape开发,包含握手协议、密码规格变更协议、报警协议和记录层协议。
SSL协议是介于应用层和TCP层之间的安全通信协议。其主要目的在于两个应用层之间相互通信时,使被传送的信息具有保密性及可靠性。
如上图所示,SSL 协议是一个分层协议,最底层协议为SSL记录协议(SSL RecordProtocol),其位于传输层(如TCP)之上,SSL记录协议的用途是将各种不同的较高层协议(如HTTP或SSL握手协议)封装后再传送。另一层协议为SSL握手协议(SSL HandshakeProtocol),由3种协议组合而成,包含握手协议(Handshake Protocol)、密码规格变更协议(Change Cipher Spec)及报警协议(Alert protocol),其用途是在两个应用程序开始传送或接收数据前,为其提供服务器和客户端间相互认证的服务,并相互协商决定双方通信使用的加密算法及加密密钥。
SSL协议提供三种安全通信服务。
(1)保密性通信。握手协议产生秘密密钥(secret key)后才开始加、解密数据。数据的加、解密使用对称式密码算法,例如DES、AES等。
(2)点对点之间的身份认证。采用非对称式密码算法,例如RSA、DSS等。
(3)可靠性通信。信息传送时包含信息完整性检查,使用有密钥保护的消息认证码(MessageAuthentication Code,简称MAC)。MAC的计算采用安全杂凑函数,例如SHA、MD5。
SSL记录协议( record protocol)的数据处理过程如图9-6所示,其步骤如下:
(1)SSL将数据(data)分割成可管理的区块长度。
(2)选择是否要将已分割的数据压缩。
(3)加上消息认证码(MAC)。
(4)将数据加密,生成即将发送的消息。
(5)接收端将收到的消息解密、验证、解压缩,再重组后传送至较高层(例如应用层),即完成接收。
L2TP与PPTP是PN的两种代表性协议,都封装PPP帧,但PPTP只适于IP网,L2TP既适于IP网,也适于非IP网。
VPN技术普遍应用于网络通信安全和网络接入控制。商业产品有 Ipsec VPN网关、SSL VPN网关,或者集成 Ipsec、SsL安全功能的防火墙和路由器。开源产品如 Strongswan、Openswan、OpenSSL。目前,VPN技术的主要产品特征如下
IPSec VPN和SSL VPN对比:
注1:对称密码算法SM1的工作模式为CBC。
注2: IPsec VPN各类性能要求的前提是,以太帧分別为64、1428字节(IPv6为1408字节)。
注3:线速指网络设备接口处理器或接口卡和数据总线间所能吞吐的最大数据量。
入侵检测实现技术主要包括基于误用的入侵检测技术、基于异常的入侵检测技术
和其他技术(包括基于规范的检测方法、基于生物免疫的检测方法、基于攻击诱骗的检测方法、基于入侵报警的关联检测方法、基于沙箱动态分析的检测方法、基于大数据分析的检测方法)
误用入侵检测通常称为基于特征的入侵检测方法,是指根据己知的入侵模式检测入侵行为。攻击者常常利用系统和应用软件中的漏洞技术进行攻击,而这些基于漏洞的攻击方法具有某种特征模式。如果入侵者的攻击方法恰好匹配上检测系统中的特征模式,则入侵行为立即被检测到,如图10-3所示。
显然,误用入侵检测依赖于攻击模式库。因此,这种采用误用入侵检测技术的IDS产品的检测能力就取决于攻击模式库的大小以及攻击方法的覆盖面。如果攻击模式库太小,则IDS的有效性就大打折扣。而如果攻击模式库过大,则IDS的性能会受到影响。基于上述分析,误用入侵检测的前提条件是,入侵行为能够按某种方式进行特征编码,而入侵检测的过程实际上就是模式匹配的过程。根据入侵特征描述的方式或构造技术,误用检测方法可以进一步细分。下面介绍几种常见的误用检测方法。
异常检测方法是指通过计算机或网络资源统计分析,建立系统正常行为的“轨迹”,定义一组系统正常情况的数值,然后将系统运行时的数值与所定义的“正常”情况相比较,得出是否有被攻击的迹象,如图10-4所示。
但是,异常检测的前提是异常行为包括入侵行为。理想情况下,异常行为集合等同于入侵行为集合,此时,如果IDS能够检测到所有的异常行为,则表明能够检测到所有的入侵行为。但是在现实中,入侵行为集合通常不等同于异常行为集合。事实上,具体的行为有4种状况;
①行为是入侵行为,但不表现异常;
②行为不是入侵行为,却表现异常;
③行为既不是入侵行为,也不表现异常;
④行为是入侵行为,且表现异常。
异常检测方法的基本思路是构造异常行为集合,从中发现入侵行为。异常检测依赖于异常模型的建立,不同模型构成不同的检测方法下面介绍几种常见的异常检测方法。
一个入侵检测系统主要由以下功能模块组成:数据采集模块、入侵分析引模块、应急处理模块、管理配置模块和相关的辅助模块。
常见的开源网络入侵检测系统有Snort(基于网络的误用入侵检测;配置模式有:嗅探、包记录、网络入侵检测)、 Suricata、Bro、Zek、 OPENDLP、 Sagan等。
**第一代隔离技术一完全的隔离。**此方法使得网络处于信息孤岛状态,做到了完全的物理隔离,需要至少两套网络和系统,更重要的是信息交流的不便和成本的提高,这样给维护和使用带来了极大的不便。
**第二代隔离技术一硬件卡隔离。**在客户端增加一块硬件卡,容户端硬盘或其他存储设备首先连接到该卡,然后再转接到主板上,通过该卡能控制客户端硬盘或其他存储设备。而在选择不同的硬盘时,同时选择了该卡上不同的网络接口,连接到不同的网络。但是,这种隔离产品有的仍然需要网络布线为双网线结构,产品存在着较大的安全隐患。
**第三代隔离技术一数据转播隔离。**利用转播系统分时复制文件的途径来实现隔离,切换时间非常之久,甚至需要手工完成,不仅明显地减缓了访问速度,更不支持常见的网络应用,失去了网络存在的意义。
**第四代隔离技术一空气开关隔离。**它是通过使用单刀双掷开关,使得内外部网络分时访问临时缓存器来完成数据交换的,但在安全和性能上存在有许多问题
**第五代隔离技术一安全通道隔离。**此技术通过专用通信硬件和专有安全协议等安全机制来实现内外部网络的隔离和数据交换,不仅解决了以前隔离技术存在的问题,并有效地把内外部网络隔离开来,而且高效地实现了内外网数据的安全交换,透明支持多种网络应用,成为当前隔离技术的发展方向。
操作系统安全审计是指对系统中有关安全的活动进行记录、检查和审核的过程,现有的审计系统包括审计事件收集及过滤、审计事件记录及查询、审计事件分析及响应报警三大功能模块。
Windows
日志文件存放在C:\Windows\System32\config目录下。
系统日志:SysEvent.evt;应用程序日志:AppEvent.evt;安全日志:SecEvent.evt。
Unix/Linux
早期版本UNIX的审计日志目录放在/usr/adm;较新版本的在/var/adm;Solaris、Linux和BSD在/var/log。
boot.log:系统启动日志;
lastlog:记录用户最近几次成功登录及最后一次登录不成功的记录;
loginlog:不良的登录尝试记录;
messages:记录输出到系统主控台以及由syslog系统服务程序产生的消息;utmp:记录当前登录的每个用户信息;
utmpx:扩展的utmp;
wtmp:记录每一次用户登录和注销的历史信息;
wtmpx:扩展的wtmp;
vold.log:记录使用外部介质出现的错误;
xferkig:记录 ftp的存取情况;
sulog:记录su命令的使用情况;
acct:记录每个用户使用过的命令。
Windows2000安全系统集成三种不同的身份验证技术:Kerberos V5、公钥证书、NTLM。
《重要信息系统灾难恢复指南》
等级1:最低级,基本支持;
等级2:备用场地支持;
等级3:电子传输和设备支持;
等级4:电子传输和完整设备支持;
等级5:实时数据传输及完整设备支持;
等级6:最高级,数据零丢失和远程集群支持。
数据库安全策略原则:
冰河:7626、Back Orifice:54320、CobalStrike:50050
僵尸网络的防御方法主要有:蜜网技术、网络流量研究、IRCserver识别技术。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。