九、 系统安全(考点篇)

1信息安全基础知识

信息安全包括5个基本要素：机密性、完整性、可用性、可控性与可审查性。

• (1)机密性：确保信息不暴露给未授权的实体或进程。
• (2)完整性：只有得到允许的人才能修改数据，井且能够判别出数据是否己被篡改。
• (3)可用性：得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作。
• (4)可控性：可以控制授权范围内的信息流向及行为方式。
• (5)可审查性：对出现的信息安全问题提供调查的依据和手段。

信息安全的范围包括：设备安全、数据安全、内容安全和行为安全。

• (1)信息系统设备的安全是信息系统安全的首要问题，是信息系统安全的物质基础，它包括 3个方面：设备的稳定性、可靠性、可用性。
• (2)数据安全即采取措施确保数据免受未授权的泄露、篡改和毁坏，包括3 个方面：数据的秘密性、完整性、可用性。--------秘密性同上面机密性：不暴露给未授权实体进程；完整性：允许的才可改，还能判别是否篡改；可用性：授权的可随时访问，攻击者不能占用资源阻止授权者使用。
• (3)内容安全是信息安全在政治、法律、道德层次上的要求，包括3 个方面：信息内容政治上健康、符合国家法律法规、符合道德规范。
• (4)信息系统的服务功能是指最终通过行为提供给用户，确保信息系统的行为安全，才能最终确保系统的信息安全。行为安全的特性包括：行为的秘密性、完整性、可控性。

信息的存储安全包括信息使用的安全、系统安全监控、计算机病毒防治、数据的加密和防止非法的攻击等。

• (1)信息使用的安全。包括用户的标识与验证、用户存取权限限制。
• (2)系统安全监控。系统必须建立一套安全监控系统，全面监控系统的活动，并随时检查系统的使用情况，一旦有非法入侵者进入系统，能及时发现并采取相应措施，确定和填补安全及保密的漏洞。还应当建立完善的审计系统和日志管理系统，利用日志和审计功能对系统进行安全监控。
• (3)计算机网络服务器必须加装网络病毒自动检测系统，以保护网络系统的安全，防范计算机病毒的侵袭，并且必须定期更新网络病毒检测系统。

网络安全

• 网络安全隐患体现在：物理安全性、软件安全漏洞、不兼容使用安全漏洞、选择合适的安全哲理。
• 网络安全威胁：非授权的访问、信息泄露或丢失、破坏数据完整性、拒绝服务攻击、利用网络传播病毒。
• 安全措施的目标：访问控制、认证、完整性、审计、保密。

总结：

信息要保证安全有几方面：信息本身、安全范围、存储安全、传输安全(主要是网络)

信息本身：机密性、完整性、可用性、可控性、可审查。

安全范围：

• 首先是设备，这个是基础，设备得稳定吧，可靠吧，可用吧(设备让人偷了，就没后面的什么事儿了)；
• 其次是数据安全，信息形成了数据，它主要是机密性的问题，防止未授权的泄露、篡改、毁坏，秘密、完整、可用；
• 然后是内容安全：这个强调的是政治、法律、道德方面的。
• 最后是行为安全：系统最终是给人用的，行为要秘密(比如输入用户名密码遮挡)、完整(比如提交了一个流程必须要走完或者驳回，不能一直停留在某个节点)、可控(每个人操作系统的行为要有规范)。

存储安全：信息是要存起来的，以便使用。

• 使用安全：信息使用得安全，比如给使用者配备标识并且验证(比如账号密码及其验证)、对使用者赋予不等的权限(存取权限限制)
• 安全监控：系统得有一套安全监控系统，监控用户的行为是否合法，有没有攻击者入侵，有的话及时阻止填补漏洞，建立完善的审计系统和日志管理系统。
• 病毒防治：加装网络病毒自动检测系统，并定期更新(比如杀毒软件)。
• 数据加密：这不用说，各种对称、非对称等等加密技术
• 防非法攻击：增加防火墙，追踪审计等等

网络安全涉及的隐患、威胁、以及安全措施目标。

安全的隐患：物理安全(别被偷了网络设备，电缆等)、软件安全漏洞(网络软件的漏洞)、软件间不兼容(比如安装多个不同网卡花屏)、安全哲理(一些安全经验，惯用做法等等)

安全的威胁：非授权的访问、信息泄露或丢失、破坏数据完整性、拒绝服务攻击、利用网络传播病毒

安全措施目标：访问控制、认证、完整性、审计、保密

2信息安全系统的组成框架

技术体系：

从实现技术上来看，信息安全系统涉及基础安全设备、计算机网络安全、操作系统安全、数据库安全、终端设备安全等多方面技术。

• (1)基础安全设备包括密码芯片、加密卡、身份识别卡等，此外还涵盖运用到物理安全的物理环境保障技术，建筑物、机房条件及硬件设备条件满足信息系统的机械防护安全，通过对电力供应设备以及信息系统组件的抗电磁干扰和电磁泄漏性能的选择性措施达到相应的安全目的。
• (2)计算机网络安全指信息在网络传输过程中的安全防范，用于防止和监控未经授权破坏、更改和盗取数据的行为。通常涉及物理隔离，防火墙及访问控制，加密传输、认证、数字签名、摘要， 隧道及VPN 技术，病毒防范及上网行为管理，安全审计等实现技术。
• (3)操作系统安全是指操作系统的无错误配置、无漏洞、无后门、无特洛伊木马等，能防止非法用户对计算机资源的非法存取，一般用来表达对操作系统的安全需求。操作系统的安全机制包括标识与鉴别机制、访问控制机制、最小特权管理、可信通路机制、运行保障机制、存储保护机制、文件保护机制、安全审计机制，等等。

• (4)数据库安全可粗略划分为数据库管理系统安全和数据库应用系统安全两个部分，主要涉及物理数据库的完整性、逻辑数据库的完整性、元素安全性、可审计性、访问控制、身份认证、可用性、推理控制、多级保护以及消除隐通道等相关技术。
• (5)终端安全设备从电信网终端设备的角度分为电话密码机、传真密码机、异步数据密码机等。

3信息安全技术

这部分可参考：第四章 信息安全技术基础知识_esk安全存储-CSDN博客

对称加密技术

就是对数据的加密和解密的密钥(密码)是相同的，属于不公开密钥加密算法。其缺点是加密强度不高(因为只有一个密钥),且密钥分发困难(因为密钥还需要传输给接收方，也要考虑保密性等问题)。

常见的对称密钥加密算法如下：

DES:替换+移位、56位密钥、64位数据块、速度快，密钥易产生。

3DES:三重 DES,两个56位密钥K1、K2。

加密：K1加密->K2解密->K1加密。

解密：K1解密->K2 加密->K1解密

AES:是美国联邦政府采用的一种区块加密标准，这个标准用来替代原先的 DES。对其的要求是

“至少像3DES一样安全”。

RC-5:RSA 数据安全公司的很多产品都使用了 RC-5。

IDEA:128位密钥，64位数据块，比 DES的加密性好，对计算机功能要求相对低。

非对称加密技术

就是对数据的加密和解密的密钥是不同的，是公开密钥加密算法。其缺点是加密速度慢。

非对称技术的原理是：发送者发送数据时，使用接收者的公钥作加密密钥，私钥作解密密钥，这

样只有接收者才能解密密文得到明文。安全性更高，因为无需传输密钥。但无法保证完整性。如下：

常见的非对称加密算法如下：

RSA:512位(或1024位)密钥，计算机量极大，难破解。

Elgamal、ECC(椭圆曲线算法)、背包算法、Rabin、D-H 等。

相比较可知，对称加密算法密钥一般只有56位，因此加密过程简单，适合加密大数据，也因此加密强度不高；而非对称加密算法密钥有1024位，相应的解密计算量庞大，难以破解，却不适合加密大数据，一般用来加密对称算法的密钥，这样，就将两个技术组合使用了，这也是数字信封的原理：

数字信封原理：信是对称加密的密钥，数字信封就是对此密钥进行非对称加密，具体过程：发送方将数据用对称密钥加密传输，而将对称密钥用接收方公钥加密发送给对方。接收方收到数字信封，用自己的私钥解密信封，取出对称密钥解密得原文。

数字信封运用了对称加密技术和非对称加密技术，本质是使用对称密钥加密数据，非对称密钥加

密对称密钥，解决了对称密钥的传输问题。

总结：内容多，用简单的加密快的对称的加密，把这个密钥用非对称的方式再加密好分发。

信息摘要

所谓信息摘要，就是一段数据的特征信息，当数据发生了改变，信息摘要也会发生改变，发送方会将数据和信息摘要一起传给接收方，接收方会根据接收到的数据重新生成一个信息摘要，若此摘要和接收到的摘要相同，则说明数据正确。信息摘要是由哈希函数生成的。

信息摘要的特点：不算数据多长，都会产生固定长度的信息摘要；任何不同的输入数据，都会产

生不同的信息摘要；单向性，即只能由数据生成信息摘要，不能由信息摘要还原数据。

信息摘要算法：MD5(产生128位的输出)、SHA-1(安全散列算法，产生160位的输出，安全性更高)。

总结：甭管多大数据，生成的摘要只有固定位数，而且单向的不能还原。

数字签名：唯一标识一个发送方。

发送者发送数据时，使用发送者的私钥进行加密，接收者收到数据后，只能使用发送者的公钥进行解密，这样就能唯一确定发送方，这也是数字签名的过程。但无法保证机密性。如下：

总结：私钥签名，公钥验证。

公钥基础设施 PKI

是以不对称密钥加密技术为基础，以数据机密性、完整性、身份认证和行为不可抵赖性为安全目的，来实施和提供安全服务的具有普适性的安全基础设施。

• (1)数字证书：一个数据结构，是一种由一个可信任的权威机构签署的信息集合。在不同的应用中有不同的证书。如X.509证书必须包含下列信息：(1)版本号(2)序列号(3)签名算法标识符(4)认证机构(5)有效期限(6)主题信息(7)认证机构的数字签名(8)公钥信息。公钥证书主要用于确保公钥及其与用户绑定关系的安全。这个公钥就是证书所标识的那个主体的合法的公钥。任何一个用户只要知道签证机构的公钥，就能检查对证书的签名的合法性。如果检查正确，那么用户就可以相信那个证书所携带的公钥是真实的，而且这个公钥就是证书所标识的那个主体的合法的公钥。例如驾照。

• (2)签证机构CA:负责签发证书、管理和撤销证书。是所有注册用户所信赖的权威机构，CA在给用户签发证书时要加上自己的数字签名，以保证证书信息的真实性。任何机构可以用 CA的公钥来验证该证书的合法性。

kerberos类似PKI，它是票据(相当于数字证书)的方式，KDC相当于CA，

访问控制

是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。

访问控制包括3个要素，即主体(对其他实体施加动作)、客体(接受其他实体访问)和控制策略(主体对客体的操作行为集和约束条件集)。

访问控制的实现首先要考虑对合法用户进行验证，然后是对控制策略的选用与管理，最后要对没 有非法用户或是越权操作进行管理。所以，访问控制包括认证、控制策略实现和审计3方面的内容。

访问控制的实现技术

(1)访问控制矩阵(ACM)。是通过矩阵形式表示访问控制规则和授权用户权限的方法。也就是说，对每个主体而言，都拥有对哪些客体的哪些访问权限；而对客体而言，又有哪些主体对他可以实 施访问；将这种关联关系加以阐述，就形成了控制矩阵。主体作为行，客体作为列。

(2)访问控制表(ACL)。目前最流行、使用最多的访问控制实现技术。每个客体有一个访问控制表，是系统中每一个有权访问这个客体的主体的信息。这种实现技术实际上是按列保存访问矩阵,去掉空的，按照文件来看有哪些哪些主体，很方面。

(3)能力表。对应于访问控制表，这种实现技术实际上是按行保存访问矩阵,去掉空的，相当于主体能访问哪些文件最方便。每个主体有一个能力表，是该主体对系统中每一个客体的访问权限信息。使用能力表实现的访问控制系统可以很方便 地查询某一个主体的所有访问权限。

(4)授权关系表。每一行(或者说元组)就是访问矩阵中的一个非空元素，是某一个主体对应于某一个客体的访问权限信息。如果授权关系表按主体排序，查询时就可以得到能力表的效率；如果按客体排序，查询时就可以得到访问控制表的效率。 ---它相当于访问控制矩阵去掉空的元素，按照主体排序就得到了能力表，按照客体排序就得到了访问控制表ACL。

4信息安全的抗攻击技术

为对抗攻击者的攻击，密钥生成需要考虑3个方面的因素：

增大密钥空间 、 选择强钥 (复杂的)、 密钥的随机性 (使用随机数)。

拒绝服务攻击有许多种，网络的内外部用户都可以发动这种攻击。

• 内部用户可以通过长时间占用系统的内存、CPU 处理时间使其他用户不能及时得到这些资源，而引起拒绝服务攻击；
• 外部黑客也可以通过占用网络连接使其他用户得不到网络服务。

本节主要讨论外部用户实施的拒绝服务攻击。

外部用户针对网络连接发动拒绝服务攻击主要有以下几种模式：

消耗资源、破坏或更改配置信息、物理破坏或改变网络部件、利用服务程序中的处理错误使服务失效 。

分布式拒绝服务 DDoS 攻击是对传统 DoS 攻击的发展，攻击者首先侵入并控制一些计算机，然后控制这些计算机同时向一个特定的目标发起拒绝服务攻击。克服了传统 DOS 受网络资源的限制和隐蔽性两大缺点。

拒绝服务攻击的防御方式

• (1)加强对数据包的特征识别，攻击者在传达攻击命令或发送攻击数据时，虽然都加入了伪装甚至加密，但是其数据包中还是有一些特征字符串。通过搜寻这些特征字符串，就可以确定攻击服务器和攻击者的位置。
• (2)设置防火墙监视本地主机端口的使用情况。如果发现端口处于监听状态，则系统很可能受到攻击。即使攻击者己经对端口的位置进行了一定的修改，但如果外部主机主动向网络内部高标号端口发起连接请求，则系统也很可能受到侵入。
• (3)对通信数据量进行统计也可获得有关攻击系统的位置和数量信息。例如，在攻击之前，目标网络的域名服务器往往会接收到远远超过正常数量的反向和正向的地址查询。在攻击时，攻击数据的来源地址会发出超出正常极限的数据量。
• (4)尽可能的修正己经发现的问题和系统漏洞。

ARP欺骗

正常ARP原理：

如下图所示，主机A想知道局域网内主机B的 MAC地址，那么主机A就广播发送ARP请求分组，局域网内主机都会收到，但只有B收到解析后知道是请求自己的 MAC地址，所以只有B会返回单播的响应分组，告诉A自己的 MAC地址。

A收到响应分组后，会建立一个B的IP地址和 MAC地址映射，这个映射是动态存在的，如果一定时间 AB不再通信，那么就会清空这个地址映射，下次如果还要通信，则重复这个过程。

ARP欺骗原理：

上述过程主机A是不管其有没有发送过请求广播分组的，而是只要收到了返回的 分组信息，就会刷新 IP地址和 MAC地址的映射关系，这样就存在安全隐患，假设有主机C,模拟返回分组格式，构造正确的IP地址和自己的 MAC地址映射，A收到后也会刷新映射关系，那么当A再次向 B发送信息时，实际就发送到了C的MAC地址，数据就被C监听到了。

ARP欺骗的防范措施：

• ①在 winxp下输入命令：arp-s gate-way-ip gate-way-mac 固化 arp 表，阻止 arp 欺骗。
• ②使用 ARP 服务器。通过该服务器查找自己的 ARP 转换表来响应其他机器的 ARP广播。确保这台 ARP 服务器不被黑。
• ③采用双向绑定的方法解决并且防止 ARP 欺骗。
• ④ARP 防护软件——ARPGuard。通过系统底层核心驱动，无须安装其他任何第三方软件(如WinPcap),以服务及进程并存的形式随系统启动并运行，不占用计算机系统资源。无需对计算机进行IP 地址及 MAC 地址绑定，从而避免了大量且无效的工作量。也不用担心计算机会在重启后新建 ARP缓存列表，因为此软件是以服务与进程相结合的形式存在于计算机中，当计算机重启后软件的防护功能也会随操作系统自动启动并工作。

DNS欺骗--冒名顶替

DNS 欺骗首先是冒充域名服务器，然后把查询的 IP 地址设为攻击者的 IP 地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是 DNS 欺骗的基本原理。也即改掉了域名和 IP地址的对应关系。黑客是通过冒充 DNS服务器回复查询 IP的，如下图所示：

DNS欺骗的检测：

①被动监听检测：通过旁路监听的方式，捕获所有 DNS 请求和应答数据包，并为其建立一个请求应答映射表。如果在一定的时间间隔内，一个请求对应两个或两个以上结果不同的应答包，则怀疑受到了 DNS 欺骗攻击。

②虚假报文探测：采用主动发送探测包的手段来检测网络内是否存在 DNS 欺骗攻击者。如果向一个非 DNS 服务器发送请求包，正常来说不会收到任何应答，但是由于攻击者不会验证目标 IP 是否是合法 DNS 服务器，他就会继续实施欺骗攻击，因此如果收到了应答包，则说明受到了攻击。

③交叉检查查询：在客户端收到 DNS 应答包之后，向 DNS 服务器反向查询应答包中返回的 IP 地

址所对应的 DNS 名字，如果二者一致说明没有受到攻击，否则说明被欺骗。

旁路监听：一个请求对应多个应答包，有可能受到DNS攻击；虚假报文探测：发送探测包，发给非DNS的正常不会回复，有回复说明不正常；交叉检查查询：手动应答包了解析出来IP等信息再次去DNS服务器查询IP对应的DNS名字是否一致，不一致有问题。

IP欺骗

IP欺骗的原理和流程：

• ①首先使被冒充主机 host b 的网络暂时瘫痪，以免对攻击造成干扰；---搞掉被冒充的主机
• ② 然后连接到目标机 host a 的某个端口来猜测ISN 基值和增加规律；---攻击者连接目标机某个端口，猜测SN 基值和增加规律。
• ③接下来把源址址伪装成被冒充主机 host b,发送带有SYN 标志的数据段请求连接：
• ④然后等待目标机 host a 发送SYN+ACK 包给已经瘫痪的主机，因为现在看不到这个包：
• ⑤最后再次伪装成主机 host b 向目标主机 hosta 发送的 ACK,此时发送的数据段带有预测的目标机的ISN+1;
• ⑥连接建立，发送命令请求。

IP 欺骗的防范：

虽然 IP 欺骗攻击有着相当难度，但这种攻击非常广泛，入侵往往由这里开始。

预防这种攻击可以删除 UNIX 中所有的/etc/hosts.equiv 、$HOME/.rhosts 文件，修改/etc/inetd.conf 文件，使得RPC 机制无法应用。另外，还可以通过设置防火墙过滤来自外部而信源地址却是内部 IP的报文。

端口扫描

端口扫描就是尝试与目标主机的某些端口建立连接，如果目标主机该端口有回复(见三次握手中

的第二次),则说明该端口开放，即为“活动端口”。

扫描原理分类：

(1)全TCP 连接。这种扫描方法使用三次握手，与目标计算机建立标准的 TCP连接。需要说明的是，这种古老的扫描方法很容易被目标主机记录。

--全连接：三次握手要建立TCP连接的，不隐蔽

(2)半打开式扫描(SYN 扫描)。在这种扫描技术中，扫描主机自动向目标计算机的指定端口发送SYN 数据段，表示发送建立连接请求。

•  如果目标计算机的回应 TCP报文中 SYN=1 ACK=1,则说明该端口是活动的，接着扫描主机传送一个RST给目标主机拒绝建立 TCP 连接，从而导致三次握手的过程失败。
• · 如果目标计算机的回应是RST,则表示该端口为“死端口”,这种情况下，扫描主机不用做任何回应。

--SYN，半打开，前两次握手，第三次拒绝；第一次握手攻击者向目标机端口发送连接请求(SYN 数据段)，第二次目标机回复是RST，说明是死端口，如果是TCP报文中 SYN=1 ACK=1，是活动端口，那第三次攻击回复RST拒绝连接，这样不建立连接同时获得了活动端口。

(3)FIN 扫描。在前面介绍过的TCP 报文中，有一个字段为 FIN,FIN 扫描则依靠发送 FIN 来判断目标计算机的指定端口是否是活动的。

发送一个 FIN=1的TCP 报文到一个关闭的端口时，该报文会被丢掉，并返回一个RST 报文。

但是，如果当 FIN 报文到一个活动的端口时，该报文只是被简单的丢掉，不会返回任何回应。

从 FIN 扫描可以看出，这种扫描没有涉及任何 TCP 连接部分。因此，这种扫描比前两种都安全，可以称之为秘密扫描。

--FIN是利用断开连接来发现活动端口的，不涉及TCP连接，也叫秘密扫描。

(4)第三方扫描。第三方扫描又称“代理扫描”,这种扫描是利用第三方主机来代替入侵者进行扫描。这个第三方主机一般是入侵者通过入侵其他计算机而得到的，该“ 第三方”主机常被入侵者称之为“肉鸡”。这些“肉鸡”一般为安全防御系数极低的个人计算机。

强化 TCP/IP堆栈以抵御拒绝服务攻击

• 1.同步包风暴(SYN Flooding):利用TCP协议缺陷发送大量伪造的 TCP连接请求，使得被攻击者资源耗尽。三次握手，进行了两次，不进行第三次握手，连接队列处于等待状态，大量这样的等待，会占满全部队列空间，使得系统挂起。可以通过修改注册表防御 SYN Flooding 攻击。---完成前两次握手，第三次及不拒绝也不链接，然后大量创建，消耗连接数
• 2. ICMP 攻击。ICMP 协议本身的特点决定了它非常容易被用于攻击网络上的路由器和主机。比如，前面提到的“Ping of Death ”攻击就是利用操作系统规定的ICMP 数据包的最大尺寸不超过64KB这一规定，达到使 TCP/IP 堆栈崩溃、主机死机的效果。可以通过修改注册表防御 ICMP 攻击。---ICMP是交警角色，更容易收到攻击，比如Ping of Death。
• 3.SNMP 攻击。SNMP 还能被用于控制这些设备和产品，重定向通信流，改变通信数据包的优先级，甚至断开通信连接。总之，入侵者如果具备相应能力，就能完全接管你的网络。可以通过修改注册表项防御。系统漏洞扫描指对重要计算机信息系统进行检查，发现其中可能被黑客利用的漏洞。包括基于网络的漏洞扫描(通过网络远程扫描主机)、基于主机的漏洞扫描(在目标系统安装了代理扫描)。---SNMP网络组管理协议，比如网吧主管电脑控制所有主机，如果入侵主管电脑也就控制了其他主机

5信息安全的保证体系与评估方法

GB17859—999 标准规定了计算机系统安全保护能力的五个等级：

第一级 用户自主 保护级：本级的计算机信息系统可信计算基通过隔离用户与数据，使用户具备自主安全保护的能力。本级实施的是自主访问控制，即计算机信息系统可信计算机定义和控制系统中命名用户对命名客体的访问。

-- 具备自主访问控制

第二级 系统审计 保护级：本级的计算机信息系统可信计算基实施了粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。在自主访问控制的基础上控制访问权限扩散。

-- 粒度更细的自主访问控制

第三级 安全标记 保护级：本级的计算机信息系统可信计算基具有系统审计保护级所有功能。此外，还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述；具有准确地标记输出信息的能力；消除通过测试发现的任何错误。本级的主要特征是计算机信息系统可信计算基对所有主体及其所控制的客体(例如：进程、文件、段、设备)实施强制访问控制。

--  强制 访问控制

第四级 结构化 保护级：本级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上，它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外，还要考虑隐蔽通道。对外部主体能够直接或间接访问的所有资源(例如：主体、存储客体和输入输出资源)实施强制访问控制。

-- 强制和自主访问控制  扩展到所有主体和客体，以及考虑隐蔽通道

第五级 访问验证 保护级：本级的计算机信息系统可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的；必须足够小，能够分析和测试。与第四级相比，自主访问控制机制根据用户指定方式或默认方式，阻止非授权用户访问客体。访问控制的粒度是单个用户。访问控制能够为每个命名客体指定命名用户和用户组，并规定他们对客体的访问模式。没有存取权的用户只允许由授权用户指定对客体的访问权。

-- 满足访问监控器需求，根据用户指定方式或默认方式，阻止非授权用户访问客体

总结： 自主访问(用户自主)、粒度更细自主访问(系统审计)、强制访问和自主访问(安全标记)、强制和自主扩展到所有主客体及隐蔽通道(结构化)、监控器需求(访问验证)

安全风险管理

在风险评估实施前，应该考虑：

• (1)确定风险评估的范围。
• (2)确定风险评估的目标。
• (3)建立适当的组织结构。
• (4)建立系统性的风险评估方法。
• (5)获得最高管理者对风险评估策划的批准。

总结：定下范围、目标，建立组织结构、评估方法、高层批准。

风险评估的基本要素为脆弱性、资产、威胁、风险和安全措施，与这些要素相关的属性分别为业务战略、资产价值、安全需求、安全事件和残余风险，这些也是风险评估要素的一部分。

风险计算模型包含信息资产、弱点/脆弱性、威胁等关键要素。每个要素有各自的属性，信息资产的属性是资产价值，弱点的属性是弱点被威胁利用后对资产带来的影响的严重程度，威胁的属性是威胁发生的可能性。风险计算的过程如下。

• (1)对信息资产进行识别，并对资产赋值。
• (2)对威胁进行分析，并对威胁发生的可能性赋值。
• (3)识别信息资产的脆弱性，并对弱点的严重程度赋值。
• (4)根据威胁和脆弱性计算安全事件发生的可能性。
• (5)结合信息资产的重要性和发生安全事件的可能性，计算信息资产的风险值。

总结：

1.评估要素是围绕资产的，资产、其脆弱性、，面对的风险、威胁以及采取的安全措施。

   他们对应的具体属性：资产有价值、弱点/脆弱性是被利用后带来的影响程度、威胁发生的可能性

2.风险计算过程：资产识别并数值化，威胁分析并数值化，识别脆弱性并数值化，根据威胁和脆弱性计算发生的可能性并数值化，结合重要性和发生可能性，计算风险值。

6网络安全技术

防火墙是在内部网络和外部因特网之间增加的一道安全防护措施，分为网络级防火墙和应用级防 火墙。

网络级防火墙层次低，但是效率高，因为其使用包过滤和状态监测手段，一般只检验网络包外在 (起始地址、状态)属性是否异常，若异常，则过滤掉，不与内网通信，因此对应用和用户是透明的。

但是这样的问题是，如果遇到伪装的危险数据包就没办法过滤，此时，就要依靠应用级防火墙，层次高，效率低，因为应用级防火墙会将网络包拆开，具体检查里面的数据是否有问题，会消耗大量时间，造成效率低下，但是安全强度高。

 ‌

​​​​​​​网络级防火墙主要工作在OSI模型的网络层，而应用级防火墙主要工作在OSI模型的传输层和应用层。 

入侵检测系统 IDS

防火墙技术主要是分隔来自外网的威胁，却对来自内网的直接攻击无能为力，此时就要用到入侵 检测 IDS技术，位于防火墙之后的第二道屏障，作为防火墙技术的补充。

原理：

监控当前系统/用户行为，使用入侵检测分析引擎进行分析，这里包含一个知识库系统，囊括了历史行为、特定行为模式等操作，将当前行为和知识库进行匹配，就能检测出当前行为是否是入侵行为，如果是入侵，则记录证据并上报给系统和防火墙，交由它们处理。

不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经

它便可以工作。因此，对 IDS 的部署，唯一的要求是：IDS 应当挂接在所有所关注流量都必须流经的链路上。因此，IDS在交换式网络中的位置一般选择在：(1)尽可能靠近攻击源(2)尽可能靠近受保护资源

入侵防御系统 IPS

IDS 和防火墙技术都是在入侵行为已经发生后所做的检测和分析，而 IPS 是能够提前发现入侵行

为，在其还没有进入安全网络之前就防御。串联接入网络，因此可以自动切换网络。

在安全网络之前的链路上挂载入侵防御系统 IPS,可以实时检测入侵行为，并直接进行阻断，这

是与IDS的区别，要注意。

杀毒软件用于检测和解决计算机病毒，与防火墙和 IDS要区分，计算机病毒要靠杀毒软件，防火墙是处理网络上的非法攻击。

蜜罐系统伪造一个蜜罐网络引诱黑客攻击，蜜罐网络被攻击不影响安全网络，并且可以借此了解黑客攻击的手段和原理，从而对安全系统进行升级和优化。

网络攻击和威胁---重要

7网络安全协议

物理层主要使用物理手段，隔离、屏蔽物理设备等，其它层都是靠协议来保证传输的安全，具体

如下图所示：

◆SSL协议：安全套接字协议，被设计为加强Web安全传输(HTTP/HTTPS/)的协议，安全性高，和 HTTP结合之后，形成 HTTPS安全协议，端口号为443，和 收邮件结合：IMAP（加密版本IMAPS）、POP3（加密版本POP3S）和邮件扩展协议MIME结合   S/MIME等等

◆SSH协议：安全外壳协议，被设计为加强 Telnet/FTP安全的传输协议。

◆SET 协议：安全电子交易协议主要应用于 B2C模式(电子商务)中保障支付信息的安全性。SET

协议本身比较复杂，设计比较严格，安全性高，它能保证信息传输的机密性、真实性、完整性和不可 否认性。SET协议是PKI框架下的一个典型实现，同时也在不断升级和完善，如 SET 2.0将支持借记卡 电子交易。

◆Kerberos 协议：是一种网络身份认证协议，该协议的基础是基于信任第三方，它提供了在开放

型网络中进行身份认证的方法，认证实体可以是用户也可以是用户服务。这种认证不依赖宿主机的操 作系统或计算机的 IP 地址，不需要保证网络上所有计算机的物理安全性，并且假定数据包在传输中 可被随机窃取和篡改。

TLS：传输层安全性协议（TLS）用于在两个通信 应用程序之间提供 保密性、 数据完整性以及真实性。该协议由两层组成： TLS 记录协议（TLS Record）和 TLS  握手协议（TLS Handshake）。其前身 安全套接层SSL。

IPSec:互联网 安全协议（ Internet Protocol Security， IPSec）是一个协议包，通过 对IP协议的分组进行加密和认证来保护IP协议的 网络传输协议簇（一些相互关联的协议的集合）.

IPSec可以实现以下4项功能:

• ①数据机密性：IPSec发送方将包加密后再通过网络发送。
• ② 数据完整性：IPSec可以验证IPSec发送方发送的包，以确保数据传输时没有被改变。
• ③数据认证：IPSec接受方能够鉴别IPsec包的发送起源。此服务依赖数据的完整性。
• ④反重放:IPSec接受方能检查并拒绝重放包。

PPTP：点对点隧道协议（英语：Point to Point Tunneling Protocol，缩写为PPTP）是实现 虚拟专用网（VPN）的方式之一。PPTP 使用传输控制协议（TCP）创建控制 通道来发送控制命令，以及 利用通用路由封装（GRE）通道来 封装点对点协议（PPP）数据包以发送数据。这个协议最早由 微软等厂商主导开发，但因为它的加密方式容易被破解，微软已经不再建议使用这个协议。PPTP的协议规范本身并未描述 加密或 身份验证的部分，它依靠 点对点协议（PPP）来实现这些安全性功能。

L2TP：L2TP是一种 工业标准的Internet隧道协议，功能大致和 PPTP协议类似，比如同样可以对 网络数据流进行加密。

不过也有不同之处，比如

• PPTP要求网络为IP网络，L2TP要求面向数据包的点对点连接；
• PPTP使用单一隧道，L2TP使用多隧道；
• L2TP提供包头压缩、隧道验证，而PPTP不支持。

它是一种 虚拟隧道协议，通常用于 虚拟专用网。L2TP协议 自身不提供加密与可靠性验证的功能，可以和 安全协议搭配使用，从而实现数据的加密传输。经常与L2TP协议 搭配的加密协议是IPsec，当这两个协议搭配使用时，通常合称L2TP/IPsec

L2TP支持包括IP、ATM、帧中继、X.25在内的多种网络。在IP网络中，L2TP协议使用注册端口UDP 1701。因此，在某种意义上，尽管L2TP协议的确 是一个数据链路层协议，但在IP网络中，它又的确 是一个会话层协议。

补充复习：