1.1 安全机制

安全机制

    信息安全防护的目标

    保密性(Confidentiality)：是指阻止非授权的主体阅读信息。它是信息安全一诞生就具有的特性，也是信息安全主要的研究内容之一。更通俗地讲，就是说未授权的用户不能够获取敏感信息。对纸质文档信息，我们只需要保护好文件，不被非授权者接触即可。而对计算机及网络环境中的信息，不仅要制止非授权者对信息的阅读。也要阻止授权者将其访问的信息传递给非授权者，以致信息被泄漏。

    完整性(Integrity)：是指防止信息被未经授权的篡改。它是保护信息保持原始的状态，使信息保持其真实性。如果这些信息被蓄意地修改、插入、删除等，形成虚假信息将带来严重的后果。

    可用性(Availability)：是指授权主体在需要信息时能及时得到服务的能力。可用性是在信息安全保护阶段对信息安全提出的新要求，也是在网络化空间中必须满足的一项信息安全要求。

    可控性(Controlability)：是指对信息和信息系统实施安全监控管理，防止非法利用信息和信息系统。

    不可否认性(Non-repudiation)：是指在网络环境中，信息交换的双方不能否认其在交换过程中发送信息或接收信息的行为。

    信息安全防护的原则

    最小化原则：受保护的敏感信息只能在一定范围内被共享，履行工作职责和职能的安全主体，在法律和相关安全策略允许的前提下，为满足工作需要。仅被授予其访问信息的适当权限，称为最小化原则。敏感信息的。知情权”一定要加以限制，是在“满足工作需要”前提下的一种限制性开放。可以将最小化原则细分为知所必须(need to know)和用所必须(need协峨)的原则。

    分权制衡原则：在信息系统中，对所有权限应该进行适当地划分，使每个授权主体只能拥有其中的一部分权限，使他们之间相互制约、相互监督，共同保证信息系统的安全。如果—个授权主体分配的权限过大，无人监督和制约，就隐含了“滥用权力”、“一言九鼎”的安全隐患。

    安全隔离原则：隔离和控制是实现信息安全的基本方法，而隔离是进行控制的基础。信息安全的一个基本策略就是将信息的主体与客体分离，按照一定的安全策略，在可控和安全的前提下实施主体对客体的访问。

    信息安全防护的环节

    物理安全：各种设备/主机、机房环境
    系统安全：主机或设备的操作系统
    应用安全：各种网络服务、应用程序
    网络安全：对网络访问的控制、防火墙规则
    数据安全：信息的备份与恢复、加密解密

    管理安全：各种保障性的规范、流程、方法

攻击方式

    Spoofing 假冒

    通过使用伪造身份获得对目标系统访问的攻击行为。电子欺骗可以用于IP 地址、MAC 地址、用户名、系统名称、无线网络名称、电子邮件地址以及许多其他类型的逻辑标识。当攻击者将自己伪装成一个合法或授权的实体时，他们往往能够绕过针对未授权访问的过滤器和封锁。一旦电子欺骗攻击让攻击者成功访问目标系统，后续的滥用、数据盗窃或特权提升攻击就都可以发起。

    Tampering 篡改

    任何对数据进行未授权的更改或操纵的行为，不管是传输中的数据还是被存储的数据。使用篡改来伪造通信或改变静态信息。这种攻击是对完整性和可用性的侵害。

    Repudiation 否认

    用户或攻击者否认执行了一个动作或行为的能力。通常攻击者会否认攻击，以便保持合理的推诿，从而不为自己的行为负责。否认攻击也可能会导致无辜的第三方因安全违规而受到指责。

    Information Disclosure 信息泄漏

    将私人、机密或受控信息揭露、传播给外部或未授权实体的行为。这可能包括客户身份信息、财务信息或自营业务操作细节。信息披露可以利用系统设计和实现错误，如未能删除调试代码、留下示例应用程序和账户、未对客户端可见内容的编程注释(如HTML 文档中的注释)进行净化或将过于详细的错误消息暴露给用户。

    Denial of Service 拒绝服务

    指攻击试图阻止对资源的授权使用。这可以通过缺陷开发、连接重载或流量泛滥实现。DoS 攻击并不一定会导致对资源的完全中断；而是会减少吞吐量或造成延迟，以阻碍对资源的有效利用。尽管大多数DoS 攻击都是暂时的，只在攻击者进行袭击时存在，但还是存在一些永久性的DoS 攻击。永久DoS 攻击可能涉及对数据集的破坏、使用恶意软件对软件进行替换，或强迫可以被打断或安装错误固件的固件flash 操作。这些DoS攻击将造成系统的永久受损，使其不能使用简单的重启或通过等待攻击者结束而恢复正常操作。要从永久DoS 攻击中恢复过来，将需要进行完整的系统修复和备份恢复。

    Elevation of Privilege 提升权限

    此攻击是指有限的用户账号被转换成拥有更大特权、权力和访问权的账户。这可能会通过盗窃或开发高级账户(如管理员或root 账户)凭证来实现。有的系统或应用程序还可能会为原本有限的账户临时或永久授予额外权力。

安全算法

    对称加密

    对称加密(也叫私钥加密)指加密和解密使用相同密钥的加密算法。它要求发送方和接收方在安全通信之前，商定一个密钥。对称算法的安全性依赖于密钥，泄漏密钥就意味着任何人都可以对他们发送或接收的消息解密，所以密钥的保密性对通信性至关重要。

    典型的算法有：3DES、IDEA、RC6、CAST5

    优点

1、加密、解密使用同一个密钥，效率高

2、将原始数据分割成固定大小的块，逐个进行加密

    缺点：

1、密钥过多
2、密钥安全分发困难
3、数据来源无法确认

    3DES基本原理是：用两个密钥对数据进行3次加密/解密运算。即首先使用第一个密钥对数据进行加密，然后用第二个密钥对其进行加密，最后用第一个密钥再加密。这两个密钥可以是同一个，也可以不同，它们也可以来源于一个128位密钥，只是在加密/解密时将其分割成两个64位的密钥，分别轮换使用这两个64位密钥去完成加密/解密运算。Triple-DES算法保留了DES算法运算速度快的特点，通过增加运算次数和密钥长度（两个64位密钥相当于128位密钥）来增加破解者的破解时间，但是从密码学本身来说，其安全强度并没有增加。

    非对称加密

    非对称加密算法需要两个密钥:公开密钥(public key)和私有密钥(private key)。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。 

    典型的算法有：RSA、Elgamal、DSA、ECC

    优点：

1、数字签名可以验证身份

2、通过发送方用对方的公钥加密一个对称密钥后发送给对方可以安全的交换密钥

    缺点：密钥长，加密解密效率低下

    RSA基本原理：将两个大素数相乘十分容易，但是想要对其乘积进行因式分解却极其困难，因此可以将乘积公开作为加密密钥。

加密流程

    数字签名

    数字签名可以保证数据的完整性，并且验证发送者的身份，原理如下：

    因为数字摘要由 Hash 算法进行加密，所以接收者只要也将原文进行一次 Hash 运算，将结果与数字摘要进行比对，相同就可以认为原文没有被篡改。同时，数字摘要通过发送者私钥加密，当使用发送者公钥能够解密，则可以确认发送者的身份。

    Hash（单向散列）算法

    Hash算法，也可以叫做单向散列算法，就是把任意长度的输入，通过散列算法，变换成固定长度的输出，该输出就是散列值。这种转换是一种压缩映射，也就是，散列值的空间通常远小于输入的空间，不同的输入可能会散列成相同的输出，所以不可能从散列值来确定唯一的输入值。简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。

    由于 Hash 算法的蝴蝶效应，文件中哪怕只有一个字节的不同，散列值也将完全不同

[root@CentOS7 ~]# md5sum /etc/passwd
a75ae34643121f86f188e258e31c6364  /etc/passwd
[root@CentOS7 ~]#⮀cat >> /etc/passwd    #向passwd文件中追加一个空行

^C
[root@CentOS7 ~]# md5sum /etc/passwd
78fa976b9c3a7a752397cca7fc2ca21f  /etc/passwd