信息系统安全期末复习知识点(ZZU)

第一章 信息系统安全概述

1，什么是信息系统安全的“木桶原理”（整体性原则）

答：信息安全体系中最薄弱环节决定了整个体系的安全程度

补充：信息系统安全防护基本原则：整体性原则，分层性原则，最小特权原则

2，从技术角度阐述信息系统安全面临的主要威胁

答：①网络和通信协议的脆弱性：因特网技术给全球信息共享带来了方便，但是基于TCP/IP协议栈的因特网及其通信协议在设计时，只考虑了互联互通和资源共享问题，存在大量安全漏洞

②信息系统的缺陷：信息系统主要由硬件和软件构成，软硬件自身的缺陷客观上导致了计算机系统在安全上的脆弱性。计算机硬件系统由于生产工艺的原因，存在电路短路，断线，接触不良，电压波动的干扰等安全问题；而计算机软件问题主要受人们认知能力和实践能力的局限性，在系统设计和开发过程中会产生许多错误，缺陷和漏洞，成为安全隐患，而且系统越大，越复杂，这种安全隐患越多。

③黑客的恶意攻击：人的因素是影响信息安全问题的最主要因素，人的恶意攻击也称为黑客攻击。

3，简述信息系统的安全目标及信息系统安全防护的基本要素

答：目标是保护信息的机密性，完整性，可用性，认证和不可否认性

基本要素是身份认证，访问控制，数据保密性，数据完整性及系统可用性等P15

4，简述主动攻击与被动攻击的特点，并列举主动攻击与被动攻击现象

答：主动攻击是攻击者通过网络线路将虚假信息或计算机病毒传入信息系统内部，破坏信息的真实性，完整性及系统服务的可用性，即通过中断，伪造，篡改和重排信息内容造成信息破坏，使系统无法正常运行。

被动攻击是攻击者非正常截获，窃取通信线路中的信息，使信息保密性遭到破坏，信息泄露而无法察觉，给用户带来巨大的损失。

被动攻击----信息窃取------机密性

主动攻击----篡改----------完整性

主动攻击----重放----------完整性

主动攻击----拒绝服务------可用性---阻断

主动攻击----伪造----------认证

信息抵赖------------------不可否认性

 

 

 

 

补充：①信息系统安全是指信息网络中的硬件，软件及其系统中的数据受到保护，不受偶然或恶意的原因而遭到破坏，更改，泄露，系统连续正常地运行，信息服务不中断（怎样理解一个信息系统是安全的）

②信息系统安全主要包括四个层面：设备安全，数据安全，内容安全和行为安全P6

设备安全：信息系统设备的安全是信息系统安全的首要问题，包括三个侧面，设备的稳定性，设备的可靠性，设备的可用性。

数据安全：是指采取措施确保数据免受未授权的泄露，篡改和毁坏，这个定义明确了信息系统安全的三个侧面，数据的保密性，数据的真实性，数据的完整性。

内容安全：是信息安全在法律，政治，道德层次上的要求，信息内容在政治上是健康的，必须符合国家法律法规，必须符合中华民族优良的道德规范。

行为安全：是信息安全的终极目标，确保行为的秘密性，完整性和可控性，行为秘密性是指行为不能危害数据的秘密性，必要时行为的过程和结果也是秘密的；行为的完整性是指行为不能危害数据的完整性，行为的过程和结果是预期的；行为的可控性是指当行为的过程出现偏离预期时，能够发现，控制或纠正。

③计算机网络环境下的信息系统安全可以划分为5个层次，即物理安全（环境安全【温度，湿度，灰尘】，设备安全，介质安全，系统安全），网络安全（防火墙技术，漏洞扫描技术，入侵检测技术，防病毒技术），操作系统安全（内存保护，用户标志与识别，授权控制，审计技术），数据库安全（安全性控制，完整性控制，并发控制，恢复控制），应用系统安全（安全编程，恶意代码检测与防御，Web应用安全）

第三章 信息系统的物理安全和可靠性

1，提高系统可靠性的方法有？物理安全包括？

提高系统可靠性一般采取避错，容错和容灾备份技术

传统意义的物理安全包括设备安全，环境安全及介质安全。广义的物理安全还应包括由软件，硬件，操作人员组成的整体信息系统的物理安全，即包括系统物理安全。

2，何为容错技术，容错技术包括什么

容错是一种可靠性保障技术，利用冗余的资源使计算机具有容忍故障的能力，即在发生故障的情况下，计算机仍有能力完成指定任务或继续向外提供正确的服务。

根据增加资源的不同，容错技术可以分为硬件容错，软件容错，数据容错和时间容错

3，软件容错技术的方法主要有哪些？

恢复块方法（动态故障屏蔽技术）和N版本技术（静态故障屏蔽技术）

恢复块方法：在使用恢复块方法中，将一个系统分割成若干个故障恢复块，整个系统由故障恢复块组成，每个块中有一个主块和一些用来替换的后备模块，主块第一时间运行，其输出要通过判决器来检查可接受性。判决器是整个设计中的瓶颈，因为判决器无法判断输出结果的正确性。判决器执行检查，检查输出是否在某个可接受而范围内，或输出没有超过允许的最大变化率

N版本技术：通过N个独立生成的功能相同的程序同时运行，用表决器比较各版本产生的结果，表决器从中选择一个作为输出结果

4，灾难恢复的指标是什么，分别代表什么含义

RPO（恢复点目标）和PTO（恢复时间目标）

RPO：灾难发生后，系统和数据必须恢复到的时间点要求。它代表了灾难发生时允许丢失多长时间的数据量

RTO：灾难发生后，信息系统或业务能从停顿到必须恢复的时间要求，它代表了系统恢复的时间

RPO描述的是数据丢失指标，而RTO描述的是服务丢失指标，二者没有必然的关联性

5，硬件冗余的三种基本形式

被动冗余，主动冗余和混合冗余

6，机房的安全等级有哪些，根据什么因素划分？

A，B，C三级。根据各种数据的重要性和保密性划分不同等级（秘密，机密，绝密）

7，容灾系统的框架

容灾系统主要是实现数据的完整性和业务的连续性，其中数据的完整性是业务连续性的基础。一个完整的容灾系统主要包括本地生产系统，本地备用生产系统，生产数据中心，本地数据备份中心，异地数据中心，异地应用程序中心六个部分组成，其中本地生产系统，本地备用生产系统和生产数据中心成为本地高可用系统，可以根据需要，选择其中某几部分实现不同等级的容灾需求。

本地高可用系统和本地数据备份中心组成本地容灾系统，可以容忍由于硬件故障造成的单点失效，但是对于火灾，大楼倒塌等安全事故无能为力。本地容灾系统，异地数据中心组成了异地数据容灾系统，本地容灾系统，异地数据中心，异地应用程序中心组成了异地应用容灾系统。可根据本地系统与异地系统的距离来抵御不同程度的安全事故，如果本地与异地之间的距离在100km之内，可以抵御火灾，大楼倒塌等安全事故，如果超过100km，则可以抵御水灾，地震等大范围的灾难。

本地和异地数据同步方式也有多种方式。对于异地数据容灾系统来说，可以使用交通工具将本地数据运送到异地系统中，也可以采用同步或异步的方式从本地直接复制到异地。但是对于异地应用容灾系统，只能采用同步或异步的方式将本地应用数据复制到异地应用数据。本地需要及时地将数据备份到异地，保证数据的完整性和可用性，同时异地系统也需要及时能够对本地系统进行灾难检测，一旦本地发生故障，异地可以及时进行系统迁移，让本地系统迁移到异地，保证业务的连续性

 

 

补充：①系统安全是指为保证系统安全可靠运行而采取的安全措施，可用性和可靠性是衡量系统安全的主要指标

②信息系统设备的安全是信息系统安全的首要问题，包括三个层面，设备的稳定性，设备的可靠性，设备的可用性

③按照建立容灾系统目标的不同，容灾备份系统可以分为两种，即数据容灾，应用容灾。应用容灾是最高层次的容灾系统

④容灾恢复是利用技术，管理手段及相关资源确保关键数据，关键数据处理信息系统关键业务在灾难发生后可以恢复和重续运营的过程。容灾恢复的最高目标是实现数据零丢失和业务连续性

⑤电磁泄露会破坏信息的机密性

信息辐射泄露技术简称TEMPEST

第四章 身份认证

1，什么是字典攻击和重放攻击

答：字典攻击：由于大部分人选用的密码都是与自己周围事物相关的单词或数字，攻击者利用各种手段收集用户可能使用的口令构成口令字典，借助于口令破解工具逐一尝试字典中的口令，实现口令的破解。

重放攻击：攻击者可以将截获的加密信息直接发送给认证服务，因为这些加密信息是合法有效的，服务器同样可以认证通过。

2，什么是一次性口令，一次性口令是否能够抵御重放攻击

答：一次性口令在用户的每次登录过程中，加入不确定因素以生成动态变化的示证信息，从而提高登录过程的安全性

能够抵御重放攻击

时间戳可以抵抗重放攻击

S/KEY是一次性口令的首次实现

注册和认证。注册只执行一次，但认证在每次登录时都要执行。

注册：①新用户选择在服务器上注册的用户ID，口令PW，将ID和PW发送给服务器，服务器产生随机种子Seed和最大迭代次数Seq，发送给用户②用户使用Seed和PW进行Seq次hash运算，通过安全的信道发送给认证服务器③服务器接受hash后，将用户ID和对应的hash储存在认证数据库中，并对迭代次数Seq减1

认证：用户在进行第i次认证过程中，服务器中所保存的是用户ID，hash(seq-i+1），seq-i①用户发送登录请求，用户将ID发送给服务器，服务器从数据库中取出相对应的将seed和seq-i发送给用户②用户进行hash运算，将结果发送给服务器③服务器通过hash(seq-i)与hash(seq-i+1)进行对比，如果二者值相同，这证明该用户是合法，可以进行登录，并将hash(seq-i)取代hash(seq-i+1)存储，以便下一次认证时使用，如果不想相同，则说明认证失败，拒绝用户的登录登录

S/Key注册是的一次性口令只在网络中传输一次，因此可以抵御初始的窃听攻击，但是对于小数攻击，协议破坏攻击，内部人员攻击等网络攻击无能为力了。所谓的小数攻击就是用户向服务器请求认证时，黑客截取服务器向用户发送的seed和seq，并将seq修改为较小的值，假冒服务器，再发送给用户，用户通过接收的seed和seq进行hash运算生成一次性口令，黑客窃取用户发送给服务器的一次性口令，并利用已知的单向hash函数算法计算较大的迭代值的一次性口令，这样就可以获得用户后继的一系列口令，实现假冒合法用户，并在很长时间不被发现。这种认证方法计算量较大，需要多次计算hash值，并且在迭代值较小时，需要重新初始化

3，身份认证包括哪两个过程

答：身份认证包括标识与鉴别两个过程。标识是系统为了区分用户身份而建立的用户标识符，一般是在用户注册到系统时建立，用户标识符必须是唯一的且不能伪造。将用户标识符与用户物理身份联系的过程称为鉴别，鉴别要求用户出示能够证明其身份的特殊信息，并且这个信息是秘密的或者独一无二的，任何其他用户都不能拥有它。

访问控制包括授权和访问监控两个过程

4，一次性口令是如何实现的

短信密码，验证码，口令卡等一次性口令产生机制比较简单，动态口令数目有限，并且传输过程中没有进行加密处理，更为安全的一次性口令是以密码学为基础产生的。根据动态因素的不同，主要分为两种实现技术：同步认证技术和异步认证技术。其中同步认证技术又分为基于时间同步认证技术和基于事件同步认证技术；异步认证技术即为挑战/应答认证技术。

挑战/应答方案的基本原理为每次认证时，服务器产生一个随机数（又称挑战）发送给客户端，客户端以该随机数作为不确定因素，用某种单向算法计算出结果作为应答，服务器通过验证应答的有效性来判断客户端身份的合法性。

5，单机状态下验证用户身份三种因素是什么（常见的身份认证方式）？

①利用用户所知道的东西：如口令，PIN码或者回答预先设置的问题

②利用用户所拥有的东西：如智能卡等物理识别设备

③利用用户所具有的生物特征：如指纹，声音，视网膜扫描，DNA等

6，挑战/应答的原理

每次认证时，服务器让客户端发送一个随机数（又称为挑战），客户端以该随机数作为不确定因素，利用单向算法产生结果作为应答发送给服务器，服务器验证该应答的有效性来判断客户端身份的有效性

7，USB Key身份认证基于数字证书

USB Key预制了加密算法，消息摘要算法，密钥生成算法等。根据密钥生成算法为用户生成一对公/私密钥，私钥保存在USB Key中，公钥用来导出从CA中生成的数字证书，此数字证书也保存在USB Key中。在进行客户端身份认证时，客户端向服务器发送数字证书，服务器通过用户的公钥去CA验证数字证书的真实性，进而确认客户端身份的真实性

8，USB Key工作流程

网上银行用户发起业务指令时，被要求插入USB Key，并同时输入相对应的PIN进行身份验证，验证通过后，客户端计算机将敏感的网上银行业务指令传输给USB Key，USB Key芯片操作系统将业务指令进行hash运算生成数字摘要，再利用USB Key中的私钥对数字摘要进行加密，得到数字签名，客户端随机产生DES密钥，将数字签名与业务指令原文一起进行加密，同时将DES密钥用服务器的公钥进行加密，两个信息通过USB接口提交到客户端系统，进而提交网上银行系统服务器系统。网上银行服务器收到客户端信息后，使用自己对应的私钥解密得到DES密钥，然后用DES密钥解密得到数字签名及指令，之后用客户端的公钥验证数字签名，可有效防止指令中途被篡改，并且能够保证用户身份不可抵赖性。

USB Key认证系统主要存在以下两个安全漏洞：一是黑客完全有能力截获从计算机上输入的静态PIN码，用户没有及时取走USB Key时，黑客便可以利用PIN码取得虚假认证，进行转账操作。二是用户发出交易指令后，通过USB接口传送到USB Key之前存在一段安全真空期，传输过程中的信息没有受到任何保护，黑客此时可以悄无声息地篡改用户指令，而USB Key还会鉴定地保护篡改后的指令。交易完成后，用户才会发现刚才转账的过程出现了差错，这时候损失已经不可挽回。

 

 

 

 

补充：①网上银行常用的身份认证方式有USB Key和动态口令

②USB Key身份认证系统的模式有两种：基于挑战/应答的双因素认证方式；基于数字证书的认证方式（PKI）

第五章 访问控制

1，什么是自主访问控制，自主访问控制的实现方法有哪些

答：自主访问控制策略是指资源的所有者对其拥有的资源可以自主地将访问权限分发给其他主体。

自主访问控制有三种实现机制，即访问控制矩阵，访问控制列表和访问控制能力表

2，信息系统实现访问控制有哪些方式

答：自主访问控制，强制访问控制，基于角色访问控制

3，解释一下基于角色的访问控制，谈一谈它在实际应用中相比传统的访问控制技术有哪些优势

答：基于角色访问控制是将权限分配给一定的角色，用户用过饰演不同的角色获得角色所拥有的权限。

RBAC的特点：①便于授权管理。RBAC将权限与角色关联起来，用户的授权是通过赋予相应的角色来完成。当用户的职责变化时只需要改变角色即可改变其权限；当组织的功能变化或演进时，只需要删除角色的旧功能，增加新功能，或定义新角色，而不必更新每一个用户的权限设置。这极大地简化了授权管理，降低了授权管理的复杂度。

②便于实施职责分离。通过定义角色约束，可以防止用户超越其正常的职责范围，有效地实现职责分离

③便于实施最小权限原则。最小权限是指用户所拥有的权利不能超过他执行工作所需的权限。实现最小特权原则，需要分清用户的工作职责，确定完成该工作的最小权限集，然后把用户限制在这个权限集范围内。一定的角色就确定了其工作职责，而角色所能完成的操作蕴含了其完成工作所需的最小特权。用户要访问信息首先必须具有相应的角色，用户无法绕过角色直接访问信息。

4，访问控制策略（安全策略：确立相应的访问规则以控制对系统资源的访问）制定可以遵循哪些原则

答：最小特权原则，最小泄露原则，多级安全策略

5，简述操作系统对一般对象常用的访问控制方法，分析这些方法的特点并比较之

答：访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它也是维护网络系统安全，保护网络资源的重要手段。

三种不同的访问控制策略：

(1)自主访问控制（DAC） 主体可以自主地将拥有的对客体的访问权限授予其他主体。

特点：这种控制方式是自主的

优点：DAC策略对用户提供了灵活的数据访问方式，使得DAC广泛应用于商业和工业环境中。

缺点：信息在移动过程中，主体可能会将访问权限传递给其他主体，使访问权限关系发生改变。由于权限可以传递，一旦访问权限被传递出去将难以控制，将会给系统带来严重的安全问题，另外，如果主客体数量过大，将带来极大的开销。很少被应用到大型访问控制系统中。

(2)强制访问控制（MAC） 依据主体和客体的安全等级来决定主体是否拥有对客体的访问权限。（不向上读，不向下写）信息只能由低级安全级流向高级安全级，主体和客体都具有固定的安全等级，这些安全等级智能友策略管理员和系统设定。

特点：这种控制方式是强制的

优点：保障了信息的机密性

缺点：忽视了信息的完整性；MAC对授权管理比较僵硬，缺乏灵活性，应用领域狭窄，通常只应用于对安全性需求非常高的领域，如军方信息系统。

自主式太弱，强制式太强，二者工作量大，不便于管理。

(3)基于角色的访问控制 （RBAC）

基于角色的访问控制（RBAC）是实施面向企业安全策略的一种有效的访问控制方式。其基本思想是，对系统操作的各种权限不是直接授予具体的用户，而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后，该用户就拥有此角色的所有操作权限。这样做的好处是，不必在每次创建用户时都进行分配权限的操作，只要分配用户相应的角色即可，而且角色的权限变更比用户的权限变更要少得多，这样将简化用户的权限管理，减少系统的开销。

通过引入角色，将权限直接指派给角色而不是用户，用户通过角色指派获得对客体的操作权限，实现用户和权限的逻辑分离。

特点：在简化安全策略管理的同时，允许灵活的定义安全策略

优点：1.减小授权管理的复杂性，降低管理开销；2.灵活地支持企业的安全策略，并对企业的变化有很大的伸缩性。

总结：

前两种属于传统的访问控制策略，而RBAC是90年代后期出现的，有很大的优势，所以发展很快。

每种策略并非是绝对互斥的，我们可以把几种策略综合起来应用从而获得更好、更安全的系统保护——多重的访问控制策略。

6，MAC如何防御特洛伊木马

特洛伊木马有两种方式窃取敏感文件。一是修改敏感文件中的访问权限来获取敏感数据，在DAC方式中，用户可以运行任意一个程序来修改文件的权限信息，系统无法分辨是合法用户修改还是木马程序非法修改，但在MAC中，用户不能对客体的安全属性进行修改，因此这种方式窃取敏感数据是不可能的。二是特洛伊木马伪装成一个正常的程序，例如一个小游戏，一个小工具，诱使用户下载，而实际运行带有木马的程序，木马会利用合法用户的身份读取敏感信息，把所访问的文件复制到入侵者的临时目录中，这在DAC模式下是完全可以实现的，但在MAC中*特性下，将机密级的文件写入低级别的文件是不可能的，因为机密级进程写的每条信息的安全级别至少是机密级的

 

 

补充：①实现计算机系统安全的基本措施（安全机制）【引用监控模型（Windows系统基于经典的引用监控模型来实现基本的对象安全模型）中基本的安全机制】包括身份认证（识别和验证），访问控制和审计。P114 P158

②如何从安全策略的角度理解信息系统安全?

答：信息系统安全策略提供信息系统保护的内容和目标，信息保护的职责落实，实施信息保护的方法，事故处理等

③自主访问控制通常有三种实现机制，即访问控制矩阵，访问控制列表，访问控制能力表

④强制访问控制模型：BLP模型（有两个基本规则，规则1是简单安全，规则2是*特性，*特性可以有效防范特洛伊木马），Biba模型，Dion模型

⑤美国国家标准和技术研究所NIST已经基于RBAV96制定了RBAC标准，它将RBAC主要分为三类：核心RBAC模型，有角色继承的RBAC模型，有约束的RBAC模型（静态职责分离，动态职责分离【引入了权限约束作用于用户会话激活角色的阶段】）

⑥访问控制的三要素：主体，客体，访问控制策略

基于角色访问控制的基本元素：用户，角色，权限

第六章 操作系统安全

1，操作系统面临哪些安全问题

答：网络攻击，隐蔽信道，用户的误操作

网络攻击：常见的网络攻击形式有缓冲区溢出攻击，拒绝服务攻击，ARP攻击，计算机病毒，木马等，严重威胁操作系统安全。

隐蔽信道：隐蔽信道可定义为系统中不受安全策略的控制的，违反安全策略的信息泄露路径，一般可分为存储隐蔽信道和时间隐蔽信道，它们都是通过共享资源来传递秘密信息的，隐蔽信道会泄露系统信息，破坏系统的机密

用户误操作：例如用户无意中删除了系统中的某个文件，无意中停止了系统的正常处理任务，这样的误操作会影响系统的稳定运行，严重的会使系统崩溃

2，操作系统提供的安全机制有哪些

答：存储保护，用户标识与鉴别，访问控制，最小特权管理，可信路径，安全审计等

3，操作系统安全的主要目标是什么，实现操作系统安全目标需要建立哪些安全措施

答：目标：标识系统中的用户并进行身份鉴别；依据系统安全策略对用户的操作进行存取控制，防止用户对计算机资源的非法存取；监督系统运行的安全；保证系统自身的安全性和完整性

安全机制：存储保护，用户标识与鉴别，访问控制，最小特权管理（权能是有效实现最小特权的机制），可信路径，安全审计等

 

 

 

 

补充：①审计事件是系统审计用户操作的最基本单位

审计的目的是检测非法用户对计算机系统的入侵行为以及合法用户的误操作

②Windows默认用户账户管理UAC（管理和限制用户权限，体现了最小特权原则）级别是第三级

③Windows日志：系统日志，应用程序日志，安全性日志

安全审核是Windows最基本的入侵检测方法

④Windows/UNIX/Linux的访问控制策略是基于自主访问控制，由属主用户决定其他用户是否可以访问资源以及对资源的访问能力，以保证资源合法，受控地使用。

Windows安全子系统中实现自主访问控制主要包含5个关键的组件：安全标识符SID【Windows用户的唯一标识】，访问令牌，安全描述符，自主访问控制表，访问控制项（三个关键的组件是访问令牌，安全描述符，自主访问控制表）。

⑤unix的UID，GID决定了用户的访问权限

所有与用户相关的信息存储在系统的/etc/passwd，包含用户的登录名，经过加密的口令等，这个文件的拥有者是超级用户，只有超级用户拥有写的权利，而普通用户只有读的权利。由于任何用户都可读，故常成为口令攻击的目标，在后期的UNIX版本及所有Linux版本中，引入影子文件概念，将密码单独存储在/etc/shadow，而该文件只对root用户开放读权限，对普通用户不可读

Linux组的名称和信息存储在etc/group/文件中

⑥操作系统安全设计两个重要概念：安全功能（安全机制）和安全保证。从安全功能和安全保证在安全评价准则中的组织方式来看，美国TCSEC标准将安全功能和安全保证合在一起；ITSEC则把安全特性和保障能力分离成两个独立的部分；CC标准也采用安全功能和安全保证相独立的理念。

⑦windows系统的安全子系统（windows身份认证的实现主要包括三个组件）主要由本地安全授权子系统LSASS，安全引用监控器SRM，事件记录器EvenLog等模块组成

⑧Windows 7中EFS只能针对NTFS文件系统。

⑨Windows7中Bitlocker采用对称加密算法

⑩UNIX/linux没有提供的安全机制是文件加密，提供了标识与鉴别 访问控制和审计

第七章 数据库系统安全

1，论述数据库身份认证的概念和常用身份认证方法

答：数据库身份认证是验证用户身份与其所声称的身份是否一致的过程，其实质是用户标识的鉴别过程。

DBMS身份认证验证方式：操作系统验证，DBMS提供验证，网络安全系统的认证

访问SQL Server数据库中的数据必须经过三个级别的认证过程：windows级别的认证，SQL Server级别的认证和数据库级

SQL Server采用的身份认证模式有Windows身份认证，混合身份认证

2，试简述数据库的两个阶段更新方案

答：两阶段更新,即意向(intent)阶段和实现永久更新阶段。意向阶段DBMS收集执行更新操作所需的资源,准备进行更新,但不写入数据库中,可以重复进行多次。永久更新阶段将数据写入数据库,如果在此阶段系统失效,数据库中可能存在不完整的数据,但系统通过执行第二阶段的所有活动可修复这些数据。

3，试述数据库故障类型有哪些，如何进行恢复

P200，201

4，试述数据库安全审计的流程

P195

审计主要包括两个部分，审计数据收集器，用来收集审计事件；审计数据分析器，用来将收集器发送过来的事件进行分析。审计数据字典主要描述系统需要审计的事件，收集器根据审计数据字典收集数据，并存储于审计日志中。

审计系统首先记录用户的对数据库的操作，如数据库查询，增加，删除和修改，根据审计规则（审计数据字典）判断是否属于审计事件。将审计事件的内容按照日志的格式存储在审计日志当中。当审计事件满足报警条件时，分析器就向管理人员发送报警机制并记录其内容；当在一定连续的时间内发生，并满足逐出系统的条件，则分析器将该事件的用户逐出系统并记录其内容。管理人员也可以以手工分析的形式查看和检查审计日志以形成审计报告，检查的内容可以有审计事件的类型，事件安全级别，引用事件的用户，报警，指定时间内事件以及恶意用户表等。如果发现一个潜在有危害的事件，但审计数据字典没有记录，数据库管理员就可以将其更新至审计数据字典中

5，举例说明数据库统计推理攻击的原理以及常用的对策

答：数据库内部数据的敏感程度不同，从公开数据推出敏感数据（PPT）

6，试述数据库常用安全机制有哪些

答：身份认证，访问控制，审计，数据加密，备份恢复，并发控制

操作系统安全机制：标识与鉴别，访问控制，安全审计，最小特权，可信路径，存储保护

7，SQL Server验证方式及优缺点

①windows身份验证：比混合身份验证安全性高，在本地连接时，仅仅使用用户的windows的权限来进行身份认证，在远程连接的时候由于NTML的验证的缘故，无法登录

优点：数据库管理员只需要管理数据库，而不需要管理用户账号，用户账号的管理交给windows服务器，windows服务器提供了强大的账户管理，例如密码期限，账户锁定等

缺点：不能支持不在windows域中的远程用户登录

②混合模式验证：本地用户通过windows身份验证登录，建立信任连接，远程用户访问由于未通过windows认证，而进行sql server认证，建立不信任的连接，从而使远程用户也可以登录

优点：建立了windows服务器之外的安全层次；有更大范围的用户；一个应用程序可以使用单个的SQL server登录账号和口令

缺点；容易受到网络攻击和破坏

8，数据库安全实现过程

①身份鉴别和登录机制。用户请求访问时通过对用户的标识进行识别，验证用户的身份，最常用的标识是口令，即只有用户知道的一系列字符串和数字组成，也可以是IC卡，USB Key等计算机系统可以识别的东西，也可以是更先进的人体生理特征，比如虹膜，指纹等。鉴别机制将用户的标志与存储在用户表中的用户标识进行对照，以确定申请认证的用户是否合法。用户表中的口令应该用密文存放，这样可以防止有人偷窃了系统中的用户表，获取铭通过身份鉴别和登录认证机制，可以使判断用户以什么等级进行系统，并记录用户登录系统的时间

②在身份认证后，用户可以向系统申请事务处理

③在访问控制机制下对用户被授权使用的事务处理进行核查权限表，并等待调度事务处理

④在事务处理执行过程中需要调用应用程序库里的程序

⑤在应用程序执行时，访问请求进入数据管理系统，并查询数据字典，组织和完成对数据库的访问

⑥对DBMS执行必要的检查，组织对数据库中数据的访问，并进行必要的授权检查

⑦DBMS应在执行时进一步核对事务处理请求的权限，并对并发用户的更新操作进行记录，保证数据库的完整性，同时也要记录对数据库的登录信息，可以用于对DB的审计和恢复

⑧请求DB生效后，对DBMS就按子模式到内模式，再到物理存储的进行映射，将访问转换为IO请求，然后通过操作系统来完成，并对操作系统进行检查

⑨对数据库的功能和文件的使用进行进一步检查，并提供硬件保护，确保数据的安全传输

⑩在缓存的数据进行加密保护或用于备份数据，用作与DB

的恢复使用

补充：①数据库系统面临的安全威胁主要包括数据泄露（信息泄露），数据篡改（非法的数据修改），数据不可用（拒绝服务）

②在DBMS中，用户的访问权限由两个要素组成：数据库对象和操作类型

③数据库安全的层次模型包括操作系统安全，服务器安全，数据库安全，数据库对象安全

④传统的数据库加密技术包括三种：对称加密，非对称加密，混合加密

⑤数据库加密/解密的执行层次总体上分为两种：在DBMS内部执行和在DBMS外部执行

第八章 信息系统安全评价标准和等级保护

补充：①TCSEC将可信计算机系统的评价规则分为4类，即安全策略，可记帐性，安全保护措施和文档。

TCSEC将系统安全等级分为4类：最低保护类D，自主保护类C（C2--Windows NT，审计），强制保护类B(B2--隐蔽信道，最小特权），验证保护类A

TCSEC对安全功能和安全保证进行了明确区分（错误说法）

TCSEC为评估操作系统的可信程度提供了一套方法

②网络安全法法律规定了我国实施网络安全等级保护制度（五个安全等级，自主保护级，系统审计保护级级，安全标记保护级，结构化保护级，访问验证保护级）。

③等级保护的定级要素受侵害的客体：公民，法人和其他组织合法权益（最低1级，最高2级）；社会秩序，公共利益（最低2级，最高4级）；国家安全（最低3级，最高5级）

对客体的侵害程度：一般损害，严重损害，特别严重损害

④等级保护工作环节主要包括信息系统定级，备案，安全建设整改，等级测评，监督检查

定级：网络运营者确定信息系统的安全保护等级。定级的对象主要有三类：信息系统，通信网络，数据资源

定级：对信息系统进行定级是等级保护的基础，具体是指各单位，各部门按照等级保护有关政策和标准要求，确定信息系统的安全保护等级，组织专家进行评审，主管部门审批

备案：是指信息系统等级确定后，第2级以上的信息系统到公安机关备案，公安机关审核信息系统等级和有关材料，符合要求的办理备案证明

安全建设整改：备案单位根据信息系统安全保护等级，按照等级保护有关政策和标准要求，开展安全建设整改，建设安全设施，落实安全措施，落实安全职责，建立并落实安全管理制度

等级测评：备案单位选择《全国信息安全等级保护测评机构推荐目录》中的测评机构开展等级测评，对照等级保护有关标准，查找安全问题和差距，为开展安全建设整改提供依据

监督检查：备案单位定期开展自查，行业主管部门组织开展督导检查，公安机关依法对各单位，各部门开展等级保护工作情况定期检查。

⑤信息技术安全性通用评估准则CC【分为7级】分为三部分：简介和一般模型（保护轮廓PP【FC中首次引入】和安全目标ST），安全功能要求（类-族-组件），安全保证要求【ITSEC白皮书首次提出信息安全保密性，完整性，可用性的概念。加拿大CTCPEC吸取ITSEC，TCSEC，并将安全清晰地分为功能性要求和保证性要求】

CC定义了11个公认的安全功能需求类，7个公认的安全保证需求类

⑥《计算机信息安全保护等级划分准则》将信息系统划分为5个等级，即自主保护级，系统审计保护级，安全标记保护级，结构化保护级和访问验证保护级

⑦信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度

第九章 信息系统安全风险评估

1，风险计算原理流程步骤是什么

答：计算安全事件发生的可能性，计算安全事件发生后的损失，计算风险值

目前常用的风险值计算方法有矩阵法和相乘法

2，什么是安全威胁，产生的主要因素又是什么

答：威胁是利用网络中的系统，应用或服务的弱点成功地对资产造成伤害。

造成威胁的因素可分为人为因素（恶意和非恶意）和环境因素（自然界不可抗力因素和其他物理因素）

3，什么是资产，什么是资产价值

答：资产是指对组织具有价值的信息或资源，是安全策略保护的对象。

资产价值是由资产在机密性，完整性和可用性这三个安全属性上达到的程度或者其安全属性未达成时所造成的影响程度来决定。

4，什么是脆弱性，什么是脆弱性识别

答：脆弱性是资产本身存在的，如果没有被相应的威胁利用，单纯的脆弱性本身不会对资产造成损害。

脆弱性识别是以资产为核心，针对每一项需要保护的资产，识别可能被威胁利用的弱点，并对脆弱性的严重程度进行评估

5，简述在风险评估时从哪些方面搜集风险评估的数据

6，什么是风险评估

答：风险评估是从风险管理的角度，利用科学的手段和方法，系统分析网络和信息系统所面临的威胁和存在的脆弱性，评估安全事件一旦发生所造成的危害程度，为防范和化解信息安全风险，或将风险控制在可接受的程度，制定有针对性的抵御威胁的防护对策和整改措施，以最大限度地保障计算机网络信息系统安全提供科学依据。

7，风险评估会给我们带来哪些好处

8，简述风险评估过程都有哪些

P258

风险评估过程就是在评估标准的指导下，综合利用相关评估技术，评估方法，评估工具，针对信息系统展开全方位评估工作的完整历程。风险评估在具体实施中一般包括风险评估的准备活动，对信息系统资产，面对的威胁，存在的脆弱性的识别，对已采取的安全措施的确认等环节。

风险评估准备：信息安全风险评估是一项系统的，复杂的活动，为了保证评估过程中的可控性以及评估结果的客观性，在风险评估实施前应进行充分准备和准确计划。评估准备阶段至少包括以下活动：确定风险评估目标，确定风险评估类型，组建风险评估管理团队和实施团队，进行系统调研，确定风险评估标准和方法，获得最高管理者对风险评估工作的支持

资产识别：安全属性达成的程度不同将使资产具有不同的价值，而资产面临的威胁，存在的脆弱性，以及已采用的安全措施都将对资产安全属性的达成程度产生影响，因此应对组织中的资产进行识别。

威胁识别：威胁评估是对信息系统可能造成危害的分析，一般可从威胁来源，威胁途径，威胁意图，损失等几个方面进行评估。威胁出现的频率是衡量威胁严重程度的重要因素，因此威胁识别后需要对威胁频率进行赋值，以带入最后的风险计算中

脆弱性识别：脆弱性识别是风险评估最重要的一个环节。可以资产为中心，针对每一项需要保护的资产，识别可能被威胁利用的弱点，并对脆弱性的严重程度进行评估；也可以从物理，网络，系统，应用等层次进行识别，然后与资产，威胁对应起来

已有安全措施确认：在脆弱性识别的同时，评估人员应对已采取的安全措施的有效性进行确认，即是否真正降低了系统的脆弱性，抵御了威胁。对有效的安全措施继续保持，以避免不必要的工作和费用，防止安全措施的重复实施。对确认为不适合的安全措施应该核实是否应被取消或对其进行修正，或用更适合的安全措施替代

风险计算：在完成资产识别，威胁识别，脆弱性识别，以及已有安全措施确认后，将采用适当的方法和工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度，判断安全事件造成的损失对组织的影响，即安全风险。

风险处理计划：对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划。风险处理计划中应明确采用的弥补脆弱性的安全措施，预期效果，实施条件，进度安排，责任部门等

评估残余风险：在对不可接受的风险选择适当安全措施后，为确保安全措施的有效性，可进行再评估，以判断实施安全措施后的残余风险是否已经降低到可接受的水平

 

 

补充：①风险评估的要素：信息系统资产，信息系统脆弱性，信息安全威胁，信息系统安全保护措施

②《信息安全风险评估规范》是我国开展信息安全风险评估工作遵循的国家标准

③风险评估方法分为三大类：定量的风险评估方法，定性的风险评估方法，定性与定量相结合的评估方法

风险评估工具分为三大类：风险评估与管理工具，系统基础平台风险评估工具，风险评估辅助工具

④威胁出现的频率是衡量威胁严重程度的重要因素，因此威胁识别后需要对威胁频率进行赋值

 

 

第十章 恶意代码检测与防范技术

1，钓鱼网站攻击原理以及预防方法

2，如何检测计算机病毒，日常如何预防计算感染

答：检测：长度检测法，病毒签名检测法，特征代码检测法，校验和法，行为监测法，软件模拟法，感染实验法

预防：反病毒软件；强化配置，加强管理

3，计算机病毒的特点以及运行机制

答：特点：传染性，潜伏性，触发性，非授权执行，破坏性

运行机制P276

4，木马程序的特点，功能以及运行机制

答：特点：隐蔽性，自启动性，自动恢复性，易植入性

功能：窃取数据，远程控制，远程文件管理，打开未授权的服务

木马程序大多采用C/S架构，其中服务器端程度潜入目标机内部，获取系统操作权限，接受控制指令，并根据指令或配置发送给控制器（某个系统“中了木马”就是指安装了木马的服务端程序）

运行机制P282

典型的木马工作原理是：当服务器端在目标计算机上被执行后，木马打开一个默认的端口进行监听，当客户机向服务器端提出连接请求时，服务器上的相应程序就会自动运行来应答客户机的请求，服务器端与客户端建立连接后，由客户端发出指令，服务器端在计算机中执行这些指令，并将数据传给客户端，以达到控制主机的目的

 

补充：①计算机病毒是一个程序，而不是一个文件，没有文件名

②病毒一般由感染标记，感染模块，触发模块，破坏模块和主控模块（首先运行病毒的主控模块）构成

③木马程序不会“刻意”去感染其他文件，也就是没有传染性，主要目的是窃取数据，而病毒具有传染性，主要目的是破坏数据，主要破坏信息的完整性和可用性

④蠕虫主要利用计算机系统漏洞进行传染，不需要宿主文件，而病毒主要感染的是文件系统

⑤蠕虫攻击行为分为4个阶段：目标信息收集，扫描探测，攻击渗透和自我推进

⑥如果感染上计算机病毒，一般很难发现，是不正确说法。

⑦按照计算机病毒的链接方式分类：源码型病毒，嵌入型病毒，外壳型病毒【文件型病毒】，操作系统型病毒

按照寄生方式可分为引导型病毒（常驻在内存中，通过软盘途径进行传染），文件型病毒（感染可执行文件，可通过文件交换，网络，邮件，存储介质途径传播）

按照传染途径可分为驻留内存型（按驻留内存方式又可细分为混合型病毒集引导型和文件型病毒特性于一体）和不驻留内存型

⑧木马检测：检查本地文件，检查端口及连接，检查系统进程，检查注册表，检查系统配置文件

⑨从统计的情况看，造成危害最大的黑客攻击是病毒攻击，而非蠕虫攻击

⑩木马的攻击过程：配置木马，传播木马，运行木马，信息泄露，建立连接，远程控制

第十一章 应用系统安全

1，何为缓冲区溢出漏洞，它可能会产生哪些危害

答：人为蓄意向缓冲区提交超长数据从而破坏程序的堆栈，使程序转而执行其他指令或对系统正常运行造成了不良影响

危害：过长的字符覆盖了相邻的存储单元而造成程序异常，严重的会造成死机，系统或进程重启等；可让攻击者执行恶意代码或待定指令，甚至获得超级权限等，从而引发其他的攻击

不是缓冲区溢出漏洞攻击的危害：可能导致拒绝服务攻击，破坏系统的可用性

2，缓冲区溢出的原因是什么，如何防范

答：缓冲区溢出是因为人们向程序中提交的数据超出了数据接收区所能容纳的最大长度，从而使提交的数据超过相应的边界而进入了其他区域

防范：安全代码，数组边界检查，返回地址

3，web应用架构的组成部分是什么

答：浏览器，Web服务器，脚本解释服务器，数据库服务器

Web应用程序：表示层，应用层，数据层

4，请谈谈对SQL注入攻击和跨站脚本攻击的认识

答：XSS跨站脚本漏洞分为三类：反射型XSS，存储型XSS和DOM型XSS

5，谈谈你对白盒测试，黑盒测试，灰盒测试的看法

答：白盒分析是指拥有被测程序的源代码和设计文档等资料

黑盒分析是指没有源代码而只能运行目标软件观察其输出结果来进行分析

灰盒分析是介于二者之间，通过逆向工程获得目标软件的汇编代码来进行分析

 

 

补充：①可利用软件实现缓冲区溢出漏洞进行攻击，对于这一威胁最可靠的方法是安装相关的系统补丁软件

②格式化漏洞产生的原因是参数太少，格式化字符串漏洞的根源在于数据输出函数对输出格式解析的缺陷

③缓冲区溢出主要包括基于堆栈的缓冲区溢出，基于堆的缓冲区溢出以及基于数据段的缓冲区溢出

④整数溢出分为存储溢出，计算溢出，符号问题