【复习】系统安全知识点归纳总结

终于度过可怕的16周了，然后就是为了系统安全背到天昏地暗。在复习背课本期间还对书上的一些易记易背知识点进行了归纳总结。

系统安全重要知识点

第一章 概述

• 信息安全包括四个层面，即系统安全、数据安全、内容安全和行为安全。

• 信息安全 VS 信息系统安全：

  • 信息安全是指信息在产生、处理、传输、存储、使用和销毁过程中的安全。
  • 信息系统安全是信息安全的基础。为运行在其上系统、处理的数据和执行的操作提供一个安全的环境。信息系统的硬件软件或固件、网络不因偶然的或恶意的原因遭受破坏、更改、访问和泄露，从而保证信息系统能够连续可靠地运行，提供稳定的服务。

• 信息系统的发展

  • 用户独占单机系统：物理安全和进程保护
  • 多用户主机共享系统：身份认证和访问控制、安全审计。
  • 多用户联网信息系统：防火墙技术

• 信息系统安全威胁是指由于信息系统存在软、硬件缺陷或系统集成缺陷，或软件协议等安全漏洞，信息系统的组成要素和功能可能遭受破坏或无法实现预期目标的可能性。

• 信息系统安全风险主要来源于系统的脆弱性，是全方位的、动态变化的。

  • 电磁泄漏、芯片的脆弱性、操作系统的安全漏洞、数据库的安全漏洞、通信协议的安全漏洞、移动存储介质的安全漏洞。

• 信息系统的安全威胁包括物理攻击（物理接触信息系统及周边设备）、网络攻击（利用网络设备或协议存在的漏洞）、恶意代码（计算机病毒、木马、蠕虫、后门）和安全管理（指导、规范、管理信息系统的过程）。

• 信息系统安全问题的根源：开放性和脆弱性，黑客恶意入侵。

• 信息系统的安全功能分为物理安全、系统软件安全、网络安全、应用软件运行安全和安全管理。

• 信息安全的侧重点——用户：个人隐私、私密；管理者：非法访问和读；政府：非法泄密、机密

• 信息系统基本安全属性：保密性（信息不泄露给非授权用户）、完整性（未经授权不改变）、可用性（可被访问并使用）。

第二章 信息系统安全体系结构

• 信息系统安全体系结构的构成：安全需求、安全策略、安全模型、安全机制。

• 安全体系结构的类型包括：抽象体系、逻辑体系、通用体系、特殊体系。

• 安全体系结构的设计原则：

  • 从系统设计之初就考虑安全性。
  • 尽量考虑未来可能面临的安全需求。
  • 实现安全控制的极小化和隔离性。
  • 实施极小特权（在执行某个操作，其进程（主体）除了能够获得执行该操作所需要的权限外，不得获得其他的权限。

• ISO7498-2提供的5大类安全服务：

  • 身份认证（对等实体认证、数据源认证）
  • 访问控制（访问控制）
  • 数据保密性（连接保密性、无连接保密性、选择字段保密性、通信业务流保密性）
  • 数据完整性（又恢复、无恢复、选择字段、无连接、选择字段无连接完整性）
  • 抗否认性服务（源发方、接收方抗抵赖）

• ISO提供的八种安全机制：加密、数字签名、访问控制、数据完整性、鉴别交换、通信业务填充、路由选择控制、公证。

• IPsec协议的基本思想是利用认证、加密等方法在IP层为数据传输提供一个安全屏障。工作模式分为：传输模式和隧道模式。

• ISAKMP协议属于应用层协议，通过认证将密钥管理、SA的协商双方连接起来，为Internet上的通信提供所需的安全保障。不仅仅为IPSec服务。

• DNSSec协议主要功能：提供数据来源验证，提供数据完整性验证，提供抗否定验证。

• 基于实体的安全体系结构的安全属性包括：标识属性、认证属性、访问控制属性、保密及完整性属性。

• 基于对象的安全体系结构的两层框架：ORB层和应用层。

• 基于代理的安全体系结构运用软件代理技术，有管理层、分析层、代理层、网络层。

• 基于可信计算的安全体系结构，建立以可信应用环境、可信边界控制、可信网络传输组成的三重防御架构为核心的安全体系结构。

第三章 物理安全

• 物理安全的定义是阻止非授权访问设施、设备和资源，以及保护人员和财产免受损害的环境和安全措施。
• 物理安全包括设备物理安全、环境物理安全和系统物理安全。
• 设备的物理安全威胁有：设备的被盗与被毁、电磁干扰、电磁泄漏、声光泄露。
• 抗电磁干扰的方法：屏蔽、滤波、接地。
• 防电磁泄露的方法：使用低辐射设备、屏蔽、滤波、电磁干扰器。
• 机房安全等级：A级（容错型）、B级（冗余级）、c级（基本型）
• 机房环境温度高至60°C，电子信息系统将不能正常工作。电子信息系统的最佳环境温度是21±3℃。
• 电子信息系统工作的环境适度宜保持在40%-60%范围内。

第四章 身份认证

• 身份认证 VS 消息认证：

  • 身份认证是认证参与者通信实体身份是否合法，是否与所声称的身份相符，实体身份必须是唯一的。

  • 消息认证是认证消息来源是否是其声称的来源，以及验证消息内容的完整性，至于是由谁发送并不关心。

• 数字签名的特征：依赖性、唯一性、易用性、易验证、抗伪证、可保存。

• 对称密钥无法唯一标识用户的身份。

• 双向身份认证的两个重要问题是保密性和及时性。

• 重放攻击包括：简单重放、可检测的重放、不可检测的重放、不可修改的逆向重放。

• 对付重放攻击的方法：序列号、时间戳、挑战/应答。

第五章 访问控制

• 访问控制的目的是限制用户访问信息系统的能力，是在保障授权用户获取所需资源的同时阻止未授权用户的安全机制，同时保证敏感信息不被交叉感染。

• 访问控制技术是通过对访问的申请、批准、和撤销的全过程进行有效控制，从而确保只有合法用户的合法访问才被批准，而且相应的访问只能执行被授权的操作。

• 访问控制包括四个要素：主体、客体、引用监控器、访问控制策略。

• 主体可以是用户启动的进程、服务和设备等。

• 客体可以是信息、文件、记录等集合。

• 引用监控器的三个原则：具有自我保护能力；总是处于活跃状态；必须设计得足够小。

• 访问控制策略遵循得原则：最小特权原则，最小泄露原则，多级安全原则。

• 访问控制的描述方法：

  • 访问控制矩阵。主体为行，客体为列。

  • 访问控制列表（ACL）。从客体出发对主体的访问权限的明细表。修改起来比较困难，不易实现最小权限原则及复杂的安全政策。

  • 访问能力表。从主体出发对客体的课访问权限的明细表。

  • 授权关系表。主体与客体间各种授权关系的组合。

• 访问控制实现类别：介入访问控制、资源访问控制（文件系统、文件属性、信息内容）、网络端口和节点的访问控制。

• 基于所有权的访问控制包括：

  • 自主访问控制DAC：资源所有者不仅拥有该资源的全部访问权限，而且能够自主将访问权限授予其他主体或者收回访问权限。
  • 自主访问控制有两个重要标准：文件和数据等资源的所有权；访问权限及批准。
  • 强制访问控制MAC：将资源的授权权限全部收归系统，由系统对所有资源进行统一的强制性控制，按照规则决定访问权限。

• BLP模型的目的是保护数据的机密性。访问规则包括强制安全访问规则和自主安全访问规则。

• Biba模型目的是保护信息的完整性。访问规则包括非自主安全访问规则和自主安全访问规则。

  • 优点：模型简单，可以与BLP模型结合。
  • 缺点：目的性不明确；完整性界别标签确定困难。

• 基于角色的访问控制：对系统操作的各种权限不是直接授予具体的用户，而是在用户集合与权限集合之间建立一个角色集合。

• 基于所有权的访问控制、基于角色的访问控制，基于任务的访问控制，基于属性的访问控制。

第六章 操作系统安全

• 操作系统面临的安全威胁：病毒、蠕虫、木马、逻辑炸弹、隐蔽通道、天窗。

• 病毒具有隐蔽性、潜伏性、破坏性、寄生性、传染性。可以自我复制。

• 蠕虫具有传染性和复制功能，可以独立存在。

• 隐蔽通道分为隐蔽存储通道和隐蔽定时通道。

• 硬件安全包括存储保护、运行保护、I/O保护。

• 最小特权管理的好处：可以执行一些受限的操作或继续宁违反安全控制策略的操作；可以执行任意操作，便于系统的维护和控制。

• 系统安全管理员、审计管理员、系统管理员分别是三个具有特权管理的角色。

• windows的安全子系统主要是由winlogon模块（登录和注销）、本地安全授权子系统、安全引用监控器、事件记录器等模块组成。

• windows的安全机制包括用户账号管理机制、身份认证机制（本地认证和网络认证）、访问控制机制（访问控制列表、安全访问令牌、安全描述符）、安全审计机制、文件加密机制（加密算法服务和系统加密功能）。

• window7中审计策略配置分为基本审计策略配置和高级审计策略配置。审计类型可以分为两类：成功事件和失败事件。

• windows系统提供的安全审核事件包括：策略更改、登录事件、对象访问、进程跟踪、目录服务访问、特权使用、系统事件、账户登录和账户管理

• EFS加密文件和文件夹时：

  • 只有NTFS文件系统上的文件/夹才能被加密
  • 转到非NTFS的文件系统上，文件会被解密
  • 非加密文件移到加密文件夹下，文件自动加密；反之不行
  • 加密文件/文件夹不能阻止删除或列出文件/目录

• 用户和组是linux操作系统中进行操作、文件管理和资源使用的主体。

• linux系统支持5种文件类型：普通文件（文本文件和二进制文件）、目录文件、设备文件（块设备文件和字符设备文件）、链接文件和管道文件。

• 每一个文件或目录的访问权限都有3组，每组用3位表示，分别表示为：文件属主/与属主同组用户/其他用户的读/写/执行权限。

• linux对计算机资源的分配和管理都是以进程为单位的。进程分类可以分为：交互进程、批处理进程和守护进程。每个进程3种状态：运行态、就绪态、挂起态。

• SElinux控制root权限，对root账号采用强制访问控制机制，同时限制用户程序和系统服务器完成任务的最低权限。安全上下文（用户、角色、类型、级别）和类型强制规则（将权限与程序的访问结合起来）。

• SElinux和传统的最大区别是SElinux除了使用传统linux的DAC访问控制外，在其内核中还是用了MAC访问控制机制。

• config文件控制两个配置设置：SElinux模式和SELinux活动策略。

• SElinux模式可以被设置为enforcing（策略被完整执行）、permissive（策略规则不被强制执行）、disabled（SElinux不会由任何动作）三种模式。

• （应用程序沙盒）Android继承和扩展了linux内核安全模型的用户与权限机制。应用沙盒隔离，只能访问自己的文件和可全局访问的资源。应用程序安装时，Android检查请求权限列表，决定是否给予授权。授予的权限不可撤销。权限检查可以在不同层次上执行。

• Android中定义了4个保护级别：normal级（默认），dangerous级，signature级（最严格），signatureOrsystem级。

第七章 数据库安全

• 数据库系统是一个存储、维护、和为应用程序提供数据的软件系统，是储存介质、处理对象和管理系统的集合体。
• 数据库安全是保证数据库信息的机密性、完整性、可用性、可控性和隐私性，防止系统软件及其数据遭到破坏、更改和泄露。
• 数据库的威胁有软威胁（病毒、蠕虫和木马、天窗后门、隐蔽通道、逻辑炸弹），硬威胁（存储介质故障、控制板故障、电源故障），传输威胁，人为错误（不正确使用应用程序），物理环境威胁（地震、火宅、水灾）。
• 数据库安全策略是组织、管理、保护和处理敏感信息的规则，包括安全管理策略、信息流控制策略和访问控制策略（集中式控制和分布式控制）。
• 数据库系统的安全机制：身份认证机制、访问控制（最基本最核心）、加密机制（库内加密与库外加密）、审计机制、推理控制与隐通道分析，安全恢复机制。
• 库内加密实在DBMS内核层实现加密的过程，不影响原有的功能；库外加密一般在系统或应用程序层进行。
• 库外加密：易于操作，可将加密密钥与加密数据分开保存；缺点：加密后的数据库文件无法识别，密钥无法根据需求合理产生和管理，效率低下。
• 数据库加密粒度：数据库加密级、表级加密、记录级加密、字段级加密、数据项加密。
• 安全审计系统的主要功能包括：安全审计数据产生、安全审计自动响应、安全审计分析、安全审计浏览、安全审计事项选择和安全审计事件存储。
• 安全审计自动响应式指当安全审计系统检测出违规事件时，采取自动响应的措施。如警报的生成，进程的终止，中断服务，用户账号的失效，及时通知管理员等。
• 安全审计分析是指对系统行为和审计数据进行自动分析，发现潜在的或实际发生的安全违规事件。包括潜在违规分析，基于异常检测的描述，简单攻击试探法，复杂攻击试探法。
• 事务具有四大特性：原子性、一致性、隔离性、持久性。
• 数据库发生的故障分为：事务故障（破坏原子性）、系统故障（破坏原子性和持久性）、介质故障（破坏原子性和持久性）。
• 数据库的备份技术包括：日志（记录事务对数据库的更新操作）、数据备份（解决因介质故障造成的磁盘数据的丢失，分为静态备份和动态备份）。

第八章 入侵检测技术

• 入侵是指试图破坏或危及信息系统资源的完整性、机密性和可用性的行为。入侵检测就是对入侵行为的发现，是一种试图通过观察行为、安全日志或审计数据来检测入侵的技术。

• 入侵检测内容包括：试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户的泄露、独占以及恶意使用资源等。

• 入侵检测系统的主要功能：

  • 监控分析用户和系统的活动，查找非法用户和合法用户越权行为；
  • 审计系统的配置和弱点；
  • 评估关机那凶她那个和数据文件的完整性；
  • 识别攻击的活动模式并向管理员报警；
  • 对异常活动进行统计分析；

• 根据对象分类：基于主机、基于网络、混合检测

• 根据工作方式分类：在线检测、离线检测。

• 入侵检测的过程：入侵信息收集、入侵信号分析、入侵检测响应。

• 入侵信息收集包括系统和网络日志、目录和文件中的日常改变、程序执行中的异常行为、物理形式的入侵信息。

• 入侵信号分析包括模式匹配、统计分析、完整性分析。

• 入侵检测响应分为被动响应（通知系统管理员）和主动响应（采取一定措施：断开网络连接、杀死可疑程序，对攻击系统实施反击，增加审计日志）

• 审计数据的获取有两种方式：直接监测获取和间接监测获取。直接更优：检测数据可能已被篡改，可能没有被数据源记录，数据量比较大，存在较大的时延。

• 审计数据预处理的方式：数据集成、数据清理、数据变换、数据简化、数据融合。

• 包捕获机制是在数据链路层增加一个旁路处理器，对发送和接收的数据包进行缓冲和过滤处理，最后直接送到应用程序。

• 共享网络是数据传输通过广播的方式实现的，工作模式为混杂模式；交换网络是使用交换机的网络，只能捕获它所连接端口上的数据，无法侦听其他端口的网段数据。

• 评价入侵检测系统的指标：及时性、处理性能、完备性、容错性、准确性。

• 功能性测试：攻击识别、抗攻击性、过滤、报警、日志、报告。

第九章 可信计算

• TCG定义的可信计算的三个安全属性：可鉴别性、完整性、机密性。

• 可信根是系统的安全基础也是安全起点，在可信网络环境中所有安全设备都信任该可信根。

• 一个可信计算机系统通常由可信根、可信硬件平台、可信操作系统、可信数据库系统和可信应用系统组成。

• 可信计算的基本功能：完整性度量、存储和报告；平台证明；受保护能力。

• 一次度量就是一个度量事件，每个度量事件由被度量的值和度量散列值两类数据组成。

• 平台配置寄存器PCR除了存储计算后的散列值，还存储散列值的期望值。

• SML不需要额外的保护，因为攻击者即使篡改了度量日志，但PCR中度量值是不可伪造的，用户对度量日志进行摘要就会发现于度量值不匹配。

• 由于引入了AIK对PCR值和随机数N在TPM的控制下的签名，保证了配置信息的完整性和新鲜性，从而大大提高了通信的安全性。

• 一个可信平台必须包含三个可信根：可信度量根RTM、可信存储根（包含PCR和SRK）、可信报告根（包含PCR和EK）。

• 可信度量根是平台启动时首先执行的一段程序，由CRTM控制的计算引擎。

• EK仅用于两种操作：一是创建TPM的拥有者；二是创建AIK及其授权数据。

• AIK仅用于签名和验证签名，不用于数据加密。

• TPM至少需要具备四个主要功能：对称/非对称加密、安全存储、完整性度量和签名认证。

• 可信计算平台的内核模式下：运行TPM设备驱动和TPM的核心组件；只有在管理员授权下才能修改其中运行的代码。

• 用户模式下：有两类进程（系统进程和用户进程）；根据用户的要求来加载和执行应用程序和服务。

• TPM只允许两种操作来修改PCR的值：重置操作（断电或重启后PCR值自动清零）和扩展操作（不可交换）。

• 静态度量没有度量运行中加载的软件，因此无法保证系统运行时的安全。

• 动态可信根使TPM可以在任何时候执行度量，重新构建平台的信任链，而不需要重启整个平台。

第十章 信息系统安全管理

• 信息系统安全：通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源，从而保证组织内的信息系统以及信息处理的安全。

  • 五要素为主体、客体、目标、手段、环境。
  • 总目标：保证系统中的信息在整个生命周期内都是安全的。
  • 信息系统安全管理的本质是：信息安全管理，其核心是风险管理。

• 信息系统安全等级保护是从物理层面、网络层面、系统层面、应用层面、管理层面对信息和信息系统实施分等级保护。

• 信息系统安全管理的原则：基于安全需求原则、主要领导负责原则、全员参与原则、系统方法原则、持续改进原则…

• PDCA模型（计划-实施-检查-处置）

  • 计划阶段是为了确保正确建立信息安全管理体系的范围和详略程度，识别并评估所有的信息安全风险，并指定适当的处理计划。

  • 实施阶段是保证ISMS的正常运行，管理计划阶段所识别的安全风险。

  • 检查阶段是分析实施阶段运行效果，寻求改进机会的阶段。

  • 处置阶段必须对所计划的方案给以结论。

• 信息系统安全管理体系和等保制度不同点：实施依据不同；实施主体不同；实施对象不同；实施过程不同；实施结果不同；

• 安全控制措施主要分为管理控制、技术控制和物理控制三种。

• 信息系统安全管理措施包括物理安全管理、系统安全管理、运行安全管理、数据安全管理、人员安全管理、技术文档安全管理。

• 物理安全管理包括机房与设施安全管理、环境和人身安全管理、电磁泄漏管理。

• 应用系统可以分为四种类型：业务处理系统、职能信息系统、组织信息系统、决策支持系统。

• 运行安全管理包括故障管理、性能管理、变更管理。

• 数据安全管理可以分为数据载体管理、数据分类管理、数据存储管理、数据访问控制管理、数据备份管理。

• 人员安全管理的原则：职责分离原则、岗位轮换原则、最小特权原则、强制休假原则、限幅级别。

• 常见的文档密级分为绝密级、机密级、秘密级、一般级。

第十一章 信息系统安全风险评估

• 信息系统安全风险评估是依据有关技术与管理标准，对信息 系统及由其产生、处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。

• 风险评估的原则：标准性原则、关键业务原则、可控性原则、最小影响性原则。

• 风险评估一般包含识别风险、分析风险、评价风险和处理风险邓环节，其中风险分析涉及资产（资产的价值）、威胁、脆弱性（资产弱点的严重程度）等三个基本要素。

• 保密性、完整性和可用性是评价资产的三个安全属性。

• 风险评估实施流程：风险评估准备、资产识别、威胁识别、脆弱性识别、风险分析、风险评估文档记录。

• 风险计算的方法有：相乘法、矩阵法

• 风险评估工具可以分为三类：

  • 基于信息安全管理标准或指南的风险评估工具

  • 基于知识库的风险评估工具

  • 基于定性或定量算法的风险评估工具

• 信息系统的五个安全等级：第一级（用户自主保护级），公开信息；第二级（系统审计保护级），一般信息；第三级（安全标记保护级），重要信息；第四级（结构化保护级），关键信息；第五级（访问验证保护级），核心信息。

• 基本要求：物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复。

• 等级保护实施应该遵循的原则：自主保护、重点保护、同步建设、动态调整。

花了三天把书本过了一遍，背的时候好好的，稍微有点易混，结果到了考试场上一点都记不起来，我恨！