信息工程师

第一章 网络与信息安全理论

1、网络与信息安全概述

信息安全的基本要素

机密性Confidentiality：保证信息不会泄露给未授权的进程或实体，只提供给授权者使用。

完整性Integrity：信息完整性的含义是只能被授权许可的人修改，并且能够被判别该信息是否已被篡改。系统的完整性的含义是可按系统原来功能运行，并且不被非授权者操纵。

可用性Availability：只有授权者才可以在需要时访问该数据，而非授权者应该被拒绝访问数据。

可控性Controllability：可控制数据流向和行为。

可审查性Review ability：出现问题有证据可查。

扩展

可鉴别性Identifiability：网络应对用户、进程、系统和信息等实体进行身份鉴别。

不可抵赖性Non-Repudiation：数据的发送方与接收方都无法对数据传输的事实进行抵赖。

可靠性Reliability：系统在规定时间、环境下，持续完成规定功能的能力，就是系统无故障运行的概率。

信息安全属性还包括公平性、隐私性、合规性、时效性等

注：信息安全等级保护工作中，使用机密性、完整性、可用性三种属性划分信息系统的安全等级，统称CIA。

2、信息网络安全的基本功能

监测：检测各类网络威胁的手段

防御：阻止各类网络威胁的手段

应急：针对突发安全事件、网络攻击，所采取的安全措施

恢复：发生突发事件后，所采取的恢复网络、系统正常的措施

3、信息系统安全层次

层次	属性	说明
设备安全	设备稳定性	设备一定时间内不出故障的概率
	设备可靠性	设备一定时间内正常运行的概率
	设备可用性	设备随时可以正常使用的概率
数据安全	数据秘密性	数据不被未授权方使用的属性
	数据完整性	数据保持真实与完整，不被篡改的属性
	数据可用性	数据随时可以正常使用的概率
内容安全	政治健康	确保数据的政治、法律、道德的安全
	合法合规
	符合道德规范
行为安全	行为秘密性	行为的过程和结果时秘密的，不影响数据的秘密性
	行为完整性	行为的过程和结果可预期，不影响数据的完整性
	行为可控性	可及时发现、纠正、控制偏离预期的行为

4、信息安全管理

信息安全管理是信息安全管理方法、依据、流程、工具、评估等工作和方法集合的总称。

信息安全管理要素：网络管理对象、网络脆弱性、网络威胁、网络风险、网络保护措施等

生命周期阶段	安全管理活动
规划阶段	安全风险评估、获取安全目标和需求
设计阶段	设计安全解决方案，构架安全结构，选定风险控制方法
实现阶段	1）产品与系统方面：部署安全产品，配置系统的安全选项 2）效果分析方面：检查需求规划是否已经满足；运行环境是否符合设计要求；评价安全系统实施效果
运行、维护阶段	编制安全制度、建立安全管理组织、管理安全设备、管理并及时增减管理对象、监测威胁、应急响应、修补系统漏洞
废弃阶段	评估废弃系统风险；安全处置废弃系统

5、系统可靠性

平均无故障时间MTTF：指系统无故障运行的平均时间取所有从系统开始正常运行到发生故障之间的时间段的平均值

平均修复时间MTTR：指系统从发生故障到维修结果之间的时间段的平均值。

平均失效间隔MTBF：指系统两次故障发生时之间的时间段的平均值

MTBF=MTTF+MTTR

失效率：单位时间内失效元件和元件总数的比率，用λ表示。

MTBF=1\λ

系统可靠性：系统正常运行的概率，通常用R表示，R=e的-λ次幂

系统可以分为串联系统、并联系统和模冗余系统

1. 1. 串联系统：由n个子系统串联而成，一个子系统失效，则整个系统失效。
   2. 并联系统：由n个子系统并联而成，n个系统互为冗余，只要有一个系统正常，则整个系统正常。
   3. 模冗余系统：由n系和一个表决器组成，通常表决器是视为永远不会坏的，超过n+1个系统多数相同结果的输出作为系统输出。

6、网络安全等级保护

网络安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息 系统中发生的信息安全事件分等级响应、处理。

等级保护中的安全等级，主要是根据受侵害的客体和对客体的侵害程度来划分的。

等级保护工作可以分为五个阶段，分别是定级、备案、等级测评、安全整改、监督检查。

定级分为：确定定级对象、用户初步定级、组织专家评审、行业主管部门审核、公安机关备案审核。

等级保护2.0的更新

1）新增了针对云计算、移动互联网、物联网、工业控制系统及大数据等新技术和新应用领域的要求。

2）采用“一个中心，三重防护”的总体技术设计思路。一个中心即安全管理中心，三重防护即安全技术环境、安全区域边界、安全通信网络。

3）强化了密码技术和可信计算技术的使用，并且从第一级到第四级均在“安全通信网络”“安全区域边界”和“安全计算环境”中增加了“可信验证”控制点。

1. 1. 1. 一级增加了通信设备、边界设备、计算可信设备系统引导程序、系统程序的可信验证；
      2. 二级在一级的基础上增加了通信设备、边界设备、计算可信设备的重要配置参数和通信引导程序的可信验证，并增加将验证结果形成审计记录；
      3. 三级在二级的基础上增加了关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心；
      4. 四级增加了应用程序的所有执行环节对其执行环境进行可信验证。

4）各级技术要求修订为“安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心”共五个部分。各级管理要求修订为“安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理”共五个部分。

第二章 密码学

1、Kerckhoffs准则

一个安全保护系统的安全性不是因为它的算法对外是保密的，而是因为选择的密钥对于对手来说是保密的。

评估密码系统安全性主要有三种方法：

1. 1. 1. 无条件安全：假定攻击者拥有无限的资源（时间、计算能力），仍然无法破译加密算法。无条件安全属于极限状态安全。
      2. 计算安全：破解加密算法所需要的资源是现有条件不具备的，则表明强力破解是安全的计算安全属于强力破解安全。
      3. 可证明安全：密码系统的安全性归结为经过深入研究的数学难题。可证明安全属于理论保证安全。

2、密码

密码系统简称密码体制，由五个部分组成，明文空间M、密文空间C、加密算法E、解密算法D、密钥空间K

如果密码分析者可以仅由密文推出明文或密钥，或者可以由明文和密文推出密钥，那么称该密码系统是可破译的。

3、攻击方法

1. 1. 穷举攻击：对截获到的密文尝试遍历所有可能的密钥，直到获得正确的明文；或使用固定的密钥对所有可能的明文加密，直到得到与截获到的密文一致为止。
   2. 统计分析攻击：利用已经获取的明文和密文已知统计规律进行破译的方法。
   3. 数学分析攻击：密码分析者针对加/解密算法的数学基础和密码学特性，通过数学求解的方法来破译密码。

4、攻击类型

1. 1. 仅知密文攻击：密码分析者仅能通过截获的密文破解密码，这种方式对攻击者最为不利。
   2. 已知明文攻击：密码分析者已知明文-密文对，来破解密码。
   3. 选择明文攻击：密码分析者不仅可得到一些“明文-密文对”，还可以选择被加密的明文，并获得相应的密文。差分分析属于选择明文攻击，通过比较分析有特定区别的明文在通过加密后的变化情况来攻击密码算法。
   4. 选择密文攻击：密码分析者可以选择一些密文，并得到相应明文。这种方式对攻击者最有利。主要攻击公开密钥密码体制，特别是攻击其数字签名。
   5. 密文验证攻击：密码分析者能判断任何选定的密文是否合法。

5、古典密码

古典密码有置换密码和代替密码

置换密码明文的字母不变，但位置被打乱

代替密码：代替密码是指先建立一个替换表（代替密码的密钥），加密时通过查表，将明文的每个字母依次替换为对应的字符，生成密文。

古典密码的破解方法主要有穷举分析和统计分析。

6、量子算法

量子的叠加性和相干性原理具有计算能力。

量子算法有Shor算法和Grover算法。这两种算法均可以对RSA、ELGamal、ECC密码及DH密钥协商协议进行有效攻击。

第三章 安全体系结构

1、安全模型

常见安全模型

机密性模型----BLP

•   最早、最常用的多级安全模型，也属于状态机模型。BLP形式化地定义了系统、系统状态以及系统状态间的转换规则；制定了一组安全特性等。如果系统初始状态安全，并且所经过的一系列转换规则都保持安全，那么该系统是安全的。。
  • BLP可防止非授权信息扩散。

完整性模型：

• Biba模型
  • Biba采用BLP类似的规则保护信息完整。Biba可防止数据从低完整性级别流向高完整性级别，防止非授权修改系统信息。
• Clark-Wilson模型
  • 模型采用良构事务和职责分散两类处理机制来保护数据完整性。
    • 良构事务：不让用户随意修改数据
    • 职责分散：需将任务分解多步，并由多人完成。验证某一行为的人不能同时是被验证行为人。

信息流模型

• 主要着眼于对客体之间的信息传输过程的控制。模型根据客体的安全属性决定主体对信息的存取操作是否可行。该模型可用于寻找出隐蔽通道，避免敏感信息泄露。

信息保障模型

1. PDRR
   1. 四个环节：保护（Protection）、检测（Detection）、响应（Response）、恢复（Recovery）
2. P2DR
   1. 四个要素：策略（Policy）、防护（protection）、检测（Detection）、响应（Response）
3. WPDRRC
   1. 六个环节：预警（Warning）、保护（Protection）、检测（Detection）、响应（Response）、恢复（Recovery）、反击（Counterattack）

纵深防御模型

• 该模型是利用和组合多种网络安全防御措施，形成多道安全防线，提高安全防护能力。
   

1. 第一道防线（安全保护）：阻止网络入侵。
2. 第二道防线（安全监测）：发现网络入侵。
3. 第三道防线（实时响应）：保护网络正常运行。
4. 第四道防线（恢复）：受到攻击后，能尽快恢复，尽可能地降低损失。

  分层防护模型

1. OSI网络七层模型，分层部署不同的安全措施
2. 等级保护模型
   1. 该模型先对系统进行安全定级；然后确定对应的安全要求；最后，制定并落实安全保护措施。
3. 网络生存模型
   1. 网络生存性是指网络与信息系统遭到入侵后，仍能够提供必要服务的能力。网络生存模型建立遵循3R方法-----抵抗（Resistance）、识别（Recognition）和恢复（Recovery）