第四章：信息安全技术基础知识

  信息是一种重要的战略资源，信息的获取、处理和安全保障能力成为一个国家综合国力的重要组成部分，信息安全事关国家安全和社会稳定。信息安全理论与技术的内容十分广泛，包括密码学与信息加密、可信计算、网络安全和信息隐藏等多个方面。

信息安全基础知识

信息安全的概念

信息安全包括5个基本要素:机密性、完整性、可用性、可控性与可审查性。

• 机密性:确保信息不暴露给未授权的实体或进程。
• 完整性:只有得到允许的人才能修改数据，并且能够判别出数据是否己被篡改。
• 可用性:得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍-授权者的工作。
• 可控性:可以控制授权范国内的信息流向及行为方式。
• 可审查性:对出现的信息安全问题提供调查的依据和手段。信息安全的范围包括:设备安全、数据安全、内容安全和行为安全。

1. 设备安全
   信息系统设备的安全是信息系统安全的首要问题，是信息系统安全的物质基础，它包括3个方面。
   (1)设备的稳定性:指设备在一定时间内不出故障的概率。
   (2)设备的可靠性:指设备在一定时间内正常执行任务的概率。
   (3)设备的可用性:指设备可以正常使用的概率。
2. 数据安全
   数据信息可能泄露，可能被算改，数据安全即采取措施确保数据免受未授权的泄露、篡改和毀坏，包括以下了个方面。
   (1)数据的秘密性:指数据不受未授权者知晓的属性。
   (2)数据的完整性:指数据是正确的、真实的、未被篡改的、完整无缺的属性。
   (3)数据的可用性:指数据可以随时正常使用的属性。
3. 内容安全
   内容安全是信息安全在政治、法律、道德层次上的要求，包括以下了个方面。
   (1)信息内容在政治上是健康的。
   (2)信息内容符合国家的法律法规
   (3)信息内容符合中华民族优良的道德规范。
4. 行为安全
   信息系统的服务功能是指最终通过行为提供给用户，确保信息系统的行为安全，才能最终确保系统的信息安全。行为安全的特性如下。
   (1)行为的秘密性:指行为的过程和结果不能危害数据的秘密性。
   (2)行为的完整性:指行为的过程和结果不能危害数据的完整性，行为的过程和结果是预期的。
   (3)行为的可控性:指当行为的过程偏离预期时，能够发现、控制和纠正。

信息存储安全

  信息的存储安全包括信息使用的安全(如用户的标识与验证、用户存取权限限制、安全问题跟踪等)、系统安全监控、计算机病毒防治、数据的加密和防止非法的攻击等。

1. 信息使用的安全
   用户存取权限限制主要是限制进入系统的用户所能做的操作，是对处理状态下的信息进行保护。它一般有两种方法:隔离控制法和限制权限法。
   (1)隔离控制法。隔离控制法是在电子数据处理成分的周围建立屏障，以便在该环境中实施存取。隔离控制技术的主要实现方式包括物理隔离方式、时间隔离方式、逻辑隔离方式和密码技术隔离方式等。
   (2)限制权限法。限制权限法是有效地限制进入系统的用户所进行的操作。即对用户进行分类管理，安全密级、授权不同的用户分在不同类别;对目录、文件的访问控制进行严格的权限控制，防止越权操作;
2. 系统安全监控
   系统必须建立一套安全监控系统，全面监控系统的活动，并随时检查系统的使用情況，旦有非法入侵者进入系统，能及时发现并采取相应措施，确定和填补安全及保密的漏洞。还应当建立完善的审计系统和日志管理系统，利用日志和审计功能对系统进行安全监控。管理员还应该经常做以下4方面的工作。
   (1)监控当前正在进行的进程和正在登录的用户情况。
   (2)检查文件的所有者、授权、修改日期情况和文件的特定访问控制属性。
   (3)检查系统命令安全配置文件、口令文件、核心启动运行文件、任何可执行文件的修改情况。
   (4)检查用户登录的历史记录和超级用户登录的记录，如发现异常应及时处理。
3. 计算机病毒防治
   (1)经常从软件供应商网站下载、安装安全补丁程序和升级杀毒软件。
   (2)定期检查敏感文件。对系统的一些敏感文件定期进行检查，以保证及时发现己感染的病毒和黑客程序。
   (3)使用高强度的口令。尽量选择难以猜测的口令，对不同的账号选用不同的口令。
   (4)经常备份重要数据，要坚持做到每天备份。
   (5)选择、安装经过公安部认证的防病毒软件，定期对整个硬盘进行病毒检测和清除工作。
   (6)可以在计算机和因特网之间安装使用防火墙，提高系统的安全性。
   (7)当计算机不使用时，不要接入因特网，一定要断掉网络连接。
   (8)重要的计算机系统和网络一定要严格与因特网物理隔离。
   (9)不要打开陌生人发来的电子邮件，无论它们有多么诱人的标题或者附件，同时要小心处理米自于熟人的邮件附件。
   (10)正确配置系统和使用病毒防治产品。

网络安全

1. 网络安全漏洞
   系统都存在安全隐患，这些安全隐惠表现在以下方面。
   (1)物理安全性。凡是能够让非授权机器物理接入的地方都会存在潜在的安全问题，也就是能让接入用户做本不允许做的事情。
   (2)软件安全漏洞。“特权”软件中带有恶意的程序代码，从而可以导致其获得额外的杈限。
   (3)不兼容使用安全漏洞。当系统管理员把软件和硬件捆鄉在一起时，从安全的角度来看，可以认为系统将有可能产生严重安全隐患。
   (4)选择合适的安全哲理。这是一种对安全概念的理解和直觉。

2. 网络安全威胁
   一般认为，目前网络存在的威胁主要表现在以下5个方面。
   (1)非授权访问。没有预先经过同意就使用网络或计算机资源被看作非投权访问，如有意避开系统访问控制机制，对网络设备及资源进行非正常使用或擅自扩大权限，越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未投权方式进行操作等。
   (2)信息泄露或丢失。信息泄露或丢失指敏感数据在有意或无意中被泄露出去或丢失，它通常包括信息在传输中丢失或泄露、信息在存储介质中丢失或泄露以及通过建立隐蔽隧道等方式窃取敏感信息等。如黑客利用电磁泄露或搭线窃听等方式可截获机密信息，或通过对信息流向、流量、通信频度和长度等参数的分析，推测出有用信息，如用户口令、账号等重要信息。
   (3)破坏数据完整性。以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加，修改数据，以干扰用户的正常使用。
   (4)拒绝服务攻击。它不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算
   机网络系统或不能得到相应的服务。
   (5)利用网络传播病毒。通过网络传播计算机病毒的破坏性大大高于单机系统，而且用户
   很难防范。

3. 安全措施的目标
   安全措施的目标包括如下几个方面。
   (1)访问控制。确保会话对方(人或计算机)有权做它所声称的事情。
   (2)认证。确保会话对方的资源〔人或计算机)与它声称的一致。
   (3)完整性。确保接收到的信息与发送的一致。
   (4)审计。确保任何发生的交易在事后可以被证实，发信者和收信者都认为交换发生过，即所谓的不可抵赖性。
   (5)保密。确保敏感信息不被窃听。

信息安全系统的组成框架

  信息系统安全系统框架通常由技术体系、组织机构体系和管理体系共同构建。

技术体系

  从实现技术上来看，信息安全系统涉及基础安全设备、计算机网络安全、操作系统安全、数据库安全、终端设备安全等多方面技术。

1. 基础安全设备包括密码芯片、加密卡、身份识别卡等，此外还涵盖运用到物理安全的物理环境保障技术，建筑物、机房条件及硬件设备条件满足信息系统的机械防护安全，通过对电力供应设备以及信息系统组件的抗电磁干扰和电磁泄漏性能的选择性措施达到相应的安全
   目的。
2. 计算机网络安全指信息在网络传输过程中的安全防范，用于防止和监控未经授权破坏、更改和盗取数据的行为。通常涉及物理隔离，防火墙及访问控制，加密传输、认证、数字签名、摘要，隧道及VPN技术，病毒防范及上网行为管理，安全审计等实现技术。
3. 操作系统安全是指操作系统的无错误配置、无漏洞、无后门、无特洛伊木马等，能防止非法用户对计算机资源的非法存取，一般用来表达对操作系统的安全需求。操作系统的安全机制包括标识与鉴别机制、访问控制机制、最小特权管理、可信通路机制、运行保障机制、存储保护机制、文件保护机制、安全审计机制，等等。
4. 数据库安全可粗略划分为数据库管理系统安全和数据库应用系统安全两个部分，主要涉及物理数据库的完整性、逻辑数据库的完整性、元素安全性、可审计性、访问控制、身份认证、可用性、推理控制、多级保护以及消除隐通道等相关技术。
   (5)终端安全设备从电信网终端设备的角度分为电话密码机、传真密码机、异步数据密码机等。

组织机构体系

  组织机构体系是信息系统安全的组织保障系统，由机构、岗位和人事机构三个模块构成一个体系。机构的设置分为了个层次:决策层、管理层和执行层

管理体系

  管理是信息系统安全的灵魂。信息系统安全的管理体系由法律管理、制度管理和培训管理了个部分组成。所谓“三分技术，七分管理”。

1. 法律管理是根据相关的国家法律、法规对信息系统主体及其与外界关联行为的规范和约束。
2. 制度管理是信息系统内部依据系统必要的国家、团体的安全需求制定的一系列内部规章制度。
3. 培训管理是确保信息系统安全的前提。

信息加解密技术

数据加密

  数据加密是防止未经授权的用户访问敏感信息的手段，这就是人们通常理解的安全措施，也是其他安全方法的基础。

对称密钥加密算法

  对称密钥加密算法中加密密钥和解密密钥是相同的，称为共享密钥算法或对称密钥算法。

1. DES(DataEncryptionStandard）
2. IDEA(InternationalDataEncryptionAlgorithm)
3. 高级加密标准(AdvancedEncryptionStandard,AES)

非对称密钥加密算法

  非对称加密算法中使用的加密密钥和解密密钥是不同的，称为不共享密钥算法或非对称密钥算法。
  用公钥加密，私钥解密，可实现保密通信；用私钥加密，公钥解密，可实现数字签名。
RSA(RivestShamirandAdleman)这是一种公钥加密算法，

密钥管理技术

公钥加密体制的密钥管理

1. 公开发布
2. 公用目录表
3. 公钥管理机构
4. 公钥证书

访问控制及数字签名技术

访问控制技术

1. 访问控制的基本模型
   访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。访问控制包括3个要素，即主体、客体和控制策略。访问控制模型是一种从访问控制的角度出发，描述安全系统，建立安全模型的方法。
   • 主体(Subject):是可以对其他实体施加动作的主动实体，简记为S。有时我们也称为用户(User)或访问者(被授权使用计算机的人员)，记为U。主体的含义是广泛的，可以是用户所在的组织(以后我们称为用户组)、用户本身，也可是用户使用的计算机终端、卡机、手持终端(无线)等，甚至可以是应用服务程序程序或进程。
   • 客体(Object):是接受其他实体访问的被动实体，简记为O。客体的概念也很广泛，凡是可以被操作的信息、资源、对象都可以认为是客体。在信息社会中，客体可以是信息、文件和记录等的集合体，也可以是网路上的硬件设施，无线通信中的终端，甚至一个客体可以包含另外一个客体。
   • 控制策略:是主体对客体的操作行为集和约束条件集，简记为KS。简单讲，控制策略是主体对客体的访问规则集，这个规则集直接定义了主体对可以的作用行为和客体对主体的条件约束。

访问控制包括认证、控制策略实现和审计3方面的内容:

• 认证。主体对客体的识别认证和客体对主体的检验认证。主体和客体的认证关系是相互的，当一个主体受到另外一个客体的访问时，这个主体也就变成了客体。一个实体可以在某一时刻是主体，而在另一时刻是客体，这取决于当前实体的功能是动作的执行者还是动作的被执行者。
• 控制策略的具体实现。如何设定规则集合从而确保正常用户对信息资源的合法使用，既要防止非法用户，也要考虑敏感资源的泄露，对于合法用户而言，更不能越权行使控制策略所赋子其权利以外的功能。
• 审计。审计的重要意义在于，比如客体的管理者即管理员有操作赋予权，他有可能滥用这一权利，这是无法在策略中加以约束的。必须对这些行为进行记录，从而达到威慑和保证访问控制正常实现的目的。

2. 访问控制的实现技术
   1)访问控制矩阵
   2)访问控制表
   3)能力表
   4)授权关系表

数宇签名

  与人们手写签名的作用一样，数字签名系统向通信双方提供服务，使得A向B发送签名的消息P，以便达到以下几点:

1. B可以验证消息P确实来源于A。
2. A以后不能否认发送过P。
3. B不能编造或改变消息P。

5.数字签名的条件
可用的数字签名应保证以下几个条件:
(1)签名是可信的。签名使文件的接收者相信签名者是慎重地在文件上签字的。
(2)签名不可伪造。签名证明是签字者而不是其他人慎重地在文件上签字。
(3)签名不可重用。签名是文件的一部分，不法之徒不可能将签名移到不同的文件上。
(4)签名的文件是不可改变的。在文件签名后，文件不能改变。
《5)签名是不可抵赖的。签名和文件是物理的东西。签名者事后不能声称他没有签过名。

数字签名技术

1. 对称密钥签名
   对称密码体制中加密密钥和解密密钥是可以相互推导的
2. 公开密钥签名
   公钥密码系统中，解密密钥和加密密钥是不同的，并且很难从一个推导出另外一个。

信息安全的抗攻击技术

密钥的选择

  密钥在概念上被分成两大类:数据加密密钥(DK)和密钥加密密钥(KK)。前者直接对数据进行操作，后者用于保护密钥，使之通过加密而安全传递。算法的安全性在于密钥。
密钥生成需要考虑了个方面的因素。

1. 增大密钥空间
2. 选择强钥
3. 密钥的随机性

拒绝服务攻击与防御

  拒绝服务攻击DoS(DenialofService)是由人为或非人为发起的行动，使主机硬件、软件或者两者同时失去工作能力，使系统不可访问并因此拒绝合法的用户服务要求。
日前常见的拒绝服务攻击为分布式拒绝服务攻击DDoS(DistributedDenialofService)
要对服务器实施拒绝服务攻击，有两种思路:

1. 服务器的缓冲区满，不接收新的请求。
2. 使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。这也是Dos攻击实施的基本思想。

外部用户针对网络连接发动拒绝服务攻击主要有以下几种模式:

1. 消耗资源。计算机和网络需要一定的条件才能运行，如网络带宽、内存、磁盘空间、CPU时间。攻击者利用系统资源有限这一特征，或者是大量地申请系统资源，并长时间地占用:或者是不断地向服务程序发请求，使系统忙于处理自己的请求，而无暇为其他用户提供服务。攻击者可以针对以下几种资源发起拒绝服务攻击。
   •针对网络连接的拒绝服务攻击
   •消耗磁盘空间;
   •消耗CPU资源和内存资源。
2. 破坏或更改配置信息。计算机系统配置上的错误也可能造成拒绝服务政击，尤其是服务程序的配置文件以及系统、用户的启动文件。
3. 物理破坏或改变网络部件。这种拒绝服务针对的是物理安全，一般来说，通过物理破坏或改变网络部件以达到拒绝服务的目的。其攻击的目标有:计算机、路由器、网络配线室、网络主干段、电源、冷却设备、其他的网络关键设备。
4. 利用服务程序中的处理错误使服务失效。最近出现了一些专门针对Windows系统的攻击方法，如LAND等等。被这些工具攻击之后，目标机的网络连接就会莫名其妙地断掉，不能访问任何网络资源或者出现莫名其妙的蓝屏，系统进入死锁状况。这些攻击方法主要利用服务程序中的处理错误，发送一些该程序不能正确处理的数据包，引起该服务进入死循环。

分布式拒绝服务攻击DDoS

  分布式拒绝服务DDoS攻击是对传统Dos攻击的发展，攻击者首先侵入并控制一些计算机，然后控制这些计算机同时向一个特定的目标发起拒绝服务攻击。传统的拒绝服务攻击有受网络资源的限制和隐蔽性差两大缺点，而分布式拒绝服务攻击却克服了传统拒绝服务攻击的这两个致命弱点。分布式拒绝服务攻击的隐蔽性更强。通过间接操纵网络上的计算机实施攻击，突破了传统攻击方式从本地攻击的局限性。被DDoS攻击时可能的现象有:

1. 被攻击主机上有大量等待的TCP连接。
2. 大量到达的数据分组(包括TCP分组和UDP分组)并不是网站服务连接的一部分，往往指向机器的任意端口。
3. 网络中充斥着大量无用的数据包，源地址为假。
4. 制造高流量的无用数据造成网络拥塞，使受害主机无法正常和外界通信。
5. 利用受害主机提供的服务和传输协议上的缺陷，反复发出服务请求，使受害主机无法及时处理所有正常请求。
6. 严重时会造成死机。

拒绝服务攻击的防御方法

  操作系统和网络设备的缺陷在不断地被发现，并被攻击者利用来进行恶意的攻击。如果清楚地认识到这一点，应当使用下面的方法尽量阻止拒绝服务攻击。

1. 加强对数据包的特征识别，攻击者在传达攻击命令或发送攻击数据时，虽然都加入了伪装甚至加密，但是其数据包中还是有一些特征字符串。通过搜寻这些特征字符串，就可以确定攻击服务器和攻击者的位置。
2. 设置防火墙监祝本地主机端口的使用情况。对本地主机中的敏感端口，如UDP31335、UDP27444、TCP27665进行监视，如果发现这些端口处于监听状态，则系统很可能受到攻击。即使攻击者已经对端口的位置进行了一定的修改，但如果外部主机主动向网络内部高标号端口发起连接请求，则系统也很可能受到侵入。
3. 对通信数据量进行统计也可获得有关攻击系统的位置和数量信息。例如，在攻击之前，目标网络的域名服务器往往会接收到远远超过正常数量的反向和正向的地址查询。在攻击时，攻击数据的来源地址会发出超出正常极限的数据量。
4. 尽可能的修正已经发现的问题和系统漏洞。

欺骗攻击与防御

1. ARP欺骗
   ARP欺骗的防范措施

   • 在WinXP下输入命令:arp-sgate-way-ipgate-way-mac固化ARP表，阻止ARP欺骗。
   • 使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。
   • 采用双向绑定的方法解决并且防止ARP欺骗。
   • ARP防护软件一—ARPGuard。

2. DNS欺骗

   • DNS欺骗的原理
     DNS欺骗首先是冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站，而是冒名顶替、招摇撞骗罢了。

3. IP欺骗

端口扫描

扫描端口有如下目的。
(1)判断目标主机上开放了哪些服务。
(2)判断目标主机的操作系统。

1. 端口扫描原理
   端口是由计算机的通信协议TCP/IP协议定义的。TCP/IP协议规定，用IP地址和端又作为套接字，它代表TCP连接的一个连按端，一般称为Socket。具体来说，就是用IP:端口，来定位一台主机中的进程。
   端口扫描就是尝试与目标主机的某些端口建立连接，如果目标主机该端口有回复(见三次握手中的第二次)，则说明该端口开放，即为“活动端口”。
2. 扫描原理分类
   (1)全TCP连接。这种扫描方法使用三次握手，与目标计算机建立标准的TCP连接。需要说明的是，这种古老的扫描方法很容易被目标主机记录。
   (2)半打开式扫描(SYN扫描)。在这种扫描技术中，扫描主机自动向目标计算机的指定端口发送SYN数据段，表示发送建立连接请求。
   •如果目标计算机的回应TCP报文中SYN=1，ACK=1，则说明该端又是活动的，接着扫描主机传送一个RST给目标主机拒绝建立TCP连接，从而导致三次握手的过程失败。
   •如果目标计算机的回应是RST，则表示该端口为“死端死”，这种情况下，扫描主机不用做任何回应。由于扫描过程中，全连接尚未建立，所以大大降低了被目标计算机记录的可能性，并且加快了扫描的速度。
   (3)FIN扫描。在前面介绍过的TCP报文中，有一个字段为FIN，FIN扫描则依靠发送FIN*判断目标计算机的指定端又是否是活动的。
   (4)第三方扫描。第三方扫描又称“代理扫描”，这种扫描是利用第三方主机来代替入侵者进行扫描。这个第三方主机一般是入侵者通过入侵其他计算机而得到的，该“第三方”主机常被入侵者称之为“肉鸡”。这些“肉鸡”一般为安全防御系数极低的个人计算机

强化TCP/IP堆栈以扺御拒绝服务攻击

1. 同步包风暴(SYNFlooding)
   同步包风暴是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一，是应用最广泛的一种DoS攻击方式，它的原理虽然简单，但使用起来却十分有效。
   攻击者通常伪造主机不可达的IP地址作为源地址。攻击者只要发送较少的、来源地址经过伪装，而且无法通过路由达到的SYN连接请求至目标主机提供TCP服务的端口，将目的主机的TCP缓存队列填满，就可以实施一次成功的攻击。实际情况下，攻击者往往会持续不断地发送SYN包，故称为“SYN洪水”。
   可以通过修改注册表防御SYNFlooding攻击，修改键值位于注册表项。
2. ICMP攻击
   ICMP协议是TCPIP协议集中的一个子协议，主要用于在主机与路由器之问传递控制信息，包括报告错误、交换受限控制和状态信息等。ICMP协议木身的特点决定了它非常容易被用于攻击网络上的路由器和主机。
   可以通过修改注册表防御ICMP攻击，修改键值位于注册表项
3. SNMP攻击
   SNMP是TCP/IP网络中标准的管理协议，它允许网络中的各种设备和软件，包括交换机、路由器、防火墙、集线器、操作系统、服务器产品和部件等，能与管理软件通信，汇报其当前的行为和状态。但是，SNMP还能被用于控制这些设备和产品，重定向通信流，改变通信数据包的优先级，甚至断开通信连接。总之，入侵者如果具备相应能力，就能完全接管你的网络。

系统漏洞扫描

  从底层技术来划分，可以将系统漏洞扫描分为基于网络的扫描和基于主机的扫描这两种类型。

1. 基于网络的漏洞扫描
   基于网络的漏洞扫描器，是通过网络来扫描远程计算机中的漏洞。
   基于网络的漏洞扫描器，一般由以下几个方面组成。
   (1)漏洞数据库模块。漏洞数据库包含了各种操作系统的各种漏洞信息，以及如何检测漏洞的指令。
   (2)用户配置控制台模块。用户配置控制台与安全管理员进行交互，用来设置要扫描的目标系统以及扫描哪些漏洞。
   (3)扫描引擎模块。扫描引擎是扫描器的主要部件。根据用户配置控制台部分的相关设置，扫描引擎组装好相应的数据包，发送到目标系统，将接收到的目标系统的应答数据包与漏洞数据库中的漏洞特征进行比较，来判断所选择的漏洞是否存在。
   (4)当前活动的扫描知识库模块。通过查看内存中的配置信息，该模块监控当前活动的扫描，将要扫描的漏洞的相关信息提供给扫描引擎。
   (5)结果存储器和报告生成工具。报告生成工具，利用当前活动扫描知识库中存储的扫描结果，生成扫描报告。
   基于网络的漏洞扫描器有很多优点:
   (1)基于网络的漏洞扫描器的价格相对来说比较便宜。
   2)基于网络的漏洞扫描器在操作过程中，不需要涉及目标系统的管理员。
   (3)基于网络的漏洞扫描器在检测过程中，不需要在目标系统上安装任何东西。
   (4)维护简便。当企业的网络发生了变化的时候，只要某个结点能够扫描网络中的全部目标系统，基于网络的漏洞扫描器不需要进行调整。

2. 基于主机的漏洞扫描
   基于主机的漏洞扫描器，扫描目标系统漏洞的原理与基于网络的漏洞扫描器的原理类似，但是两者的体系结构不一样。基于主机的漏洞扫描器通常在目标系统上安装了一个代理(Agent)或者是服务(Services)，以便能够访问所有的文件与进程，这也使得基于主机的漏洞扫描器能够扫描更多的漏洞。
   基于主机的漏洞扫描优点:
   (1)扫描的漏洞数量多。
   (2)集中化管理。
   (3)网络流量负载小

信息安全的保障体系与评估方法

计算机信息系统安全保护等级

《计算机信息系统安全保护等级划分准则》(GB17859—1999)规定了计算机系统安全保护
能力的5个等级。

1. 第1级:用户自主保护级(对应TCSEC的C1级)。本级的计算机信息系统可信计算基(TrustedComputingBase)通过隔离用户与数据，使用户具备自主安全保护的能力。它具有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏。
2. 第2级:系统审计保护级(对应TCSEC的C2级)。与用户自主保护级相比，本级的计算机信息系统可信计算基实施了粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。
3. 第3级:安全标记保护级(对应TCSEC的B1级)。本级的计算机信息系统可信计算基具有系统审计保护级所有功能。此外，还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述;具有准确地标记输出信息的能力:消除通过测试发现的任何错误。
4. 第4级:结构化保护级(对应TCSEC的B2级)。本级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上，它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外，还要考虑隐蔽通道。本级的计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素。计算机信息系统可信计算基的接口也必须明确定义，使其设计与实现能经受更充分的测试和更完整的复审。它加强了鉴别机制;支持系统管理员和操作员的职能;提供可信设施管理;增强了配置管理控制。系统具有相当的抗渗透能力。
5. 第5级:访问验证保护级(对应TCSEC的B3级)。本级的计算机信息系统可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的;必须足够小，能够分析和测试。为了满足访问监控器需求，计算机信息系统可信计算基在其构造时，排除了那些对实施安全策略来说并非必要的代码:在设计和实现时，从系统工程角度将其复杂性降低到最小程度。支持安全管理员职能:扩充审计机制，当发生与安全相关的事件时发出信号;提供系统恢复机制。系统具有很高的抗渗透能力。

安全风险管理

  信息系统的安全风险，是指由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生所造成的影响。
  信息安全风险评估，则是指依据国家有关信息安全技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程，它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。信息安全风险评估是信息安全保障体系建立过程中重要的评价方法和决策机制。
  风险评估的准备过程是组织进行风险评估的基础，是整个风险评估过程有效性的保证。组织对自身信息及信息系统进行风险评估的结果将受到业务需求及战略目标、文化、业务流程、安全要求、规模和结构的影响。不同组织对于风险评估的实施过程可能存在不同的要求，因此在风险评估实施前，应该考虑如下内容。

• 确定风险评估的范国。进行风险评估可能是由于自身的商业要求、战略目标的要求、相关方的要求或其他原因，因此应根据上述原因确定风险评估范围。风险评估的范围可能是组织全部的信息和信息系统，可能是单独的信息系统，可能是组织的关键业务流程，也可能是客户的知识产权。
• 确定风险评估的目标。组织应明确风险评估的目标，为风险评估的过程提供导向。
• 建立适当的组织结构。在风险评估过程中，组织应建立适当的组织结构，以支持整个过程的推进，如成立由管理层、相关业务骨干、IT技术人员等组成的风险评估小组。
• 建立系统性的风险评估方法。风险评估方法应考虑评估的范围、目的、时间、效果、组织文化、人员素质以及开展程度等因素来确定，使之能够与环境和安全要求相适应。
  5- 获得最高管理者对风险评估策划的批淮。上述所有内容应得到组织的最高管理者的批准，并对管理层和员工进行传达。

根据评估实施者的不同，将风险评估形式分为自评估和他评估两大类。
  风险评估的基本要素为脆弱性、资产、威胁、风险和安全措施，与这些要素相关的属性分别为业务战略、资产价值、安全需求、安全事件和残余风险，这些也是风险评估要素的一部分。
  风险评估的工作是围绕其基本要素展开的，在对这些要素的评估过程中需要充分考虑业务战路、资产价值、安全事件和残余风险等与这些基本要素相关的各类因素。这些要素之间存在着以下关系:业务战略依赖于资产去完成:资产拥有价值，单位的业务战略越重要，对资产的依赖度越高，资产的价值则就越大，风险也越大，并可能演变成安全事件;威胁都要利用脆弱性，脆弱性越大则风险越大:脆弱性使资产暴露，是未被满足的安全需求，威胁要通过利用脆弱性来危害资产，从而形成风险:资产的重要性和对风险的意识会导出安全需求；安全需求要通过安全措施来得以满足，且是有成本的:安全措施可以抗击威胁，降低风险，减弱安全事件的影响；风险不可能也没有必要降为零，在实施了安全措施后还会有残留下来的风险一—一部分残余风险来自于安全措施可能不当或无效，在以后需要继续控制这部分风险，另一部分残余风险则是在综合考虑了安全的成本与资产价值后，有意未去控制的风险，这部分风险是可以被接受的;残余风险应受到密切监视，因为它可能会在将来诱发新的安全事件。
  在对资产进行估价时，不仅要考虑资产的成本价格，还要考虑资产对于组织业务的安全重要性，即根据资产损失所引发的潜在商务影响来决定。为确保资产估价时的一致性和准确性，机构应该建立一个资产价值尺度，明确如何对资产进行赋值。一般情况下，影响主要从以下几方面来考虑。

• (1)违反了有关法律或(和)规章制度。
• (2)影响了业务执行。
• (3)造成了信誉、声誉损失。
• (4)侵犯了个人隐私。
• (5)造成了人身伤害
• (6)对法律实施造成了负面影响。
• (7)侵犯了商业机密。
• (8)违反了社会公共准则。
• (9)造成了经济损失。
• (10)破坏了业务活动。
• (11)危害了公共安全。

  安全威胁是一种对机构及其资产构成潜在破坏的可能性因素或者事件。无论对于多么安全的信息系统，安全威胁都是一个客观存在的事物，它是风险评估的重要因素之一。产生安全威胁的主要因素可以分为人为因素和环境因素。人为因素又可区分为有意和无意两种。环境因素包括自然界的不可抗的因素和其他物理因素。威胁作用形式可以是对信息系统直接或间接的攻击，例如非投权的泄露、篡改、删除等，在保密性、完整性或可用性等方面造成损害。也可能是偶发的或蓄意的事件。
  一般来说，威胁总是要利用网络、系统、应用或数据的弱点才可能成功地对资产造成伤害。安全事件及其后果是分析威胁的重要依据。
  在威胁评估过程中，首先就要对组织需要保护的每一项关键资产进行威胁识别。在威胁识别过程中，应根据资产所处的环境条件和资产以前遭受威胁损害的情况来判断。一项资产可能面临着多个威胁，同样一个威胁可能对不同的资产造成影响。
脆弱性评估是安全风险评估中的重要内容。弱点包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。弱点是资产本身存在的，它可以被威胁利用、引起资产或商业目标的损害。如果没有相应的威胁发生，单纯的弱点并不会对资产造成损害。那些没有安全威胁的弱点可以不需要实施安全保护措施，但它们必须记录下来以确保当环境、条件有所变化时能随之加以改变。
需要注意的是不正确的、起不到应有作用的或没有正确实施的安全保护措施本身就可能是一个安全薄弱环节。脆弱性评估将针对每一项需要保护的信息资产，找出每一种威胁所能利用的脆弱性，并对脆弱性的严重程度进行评估，即对脆弱性被威胁利用的可能性进行评估，最终为其赋相对等级值。在进行脆弱性评估时，提供的数据应该来自于这些资产的拥有者或使用者，来自于相关业务领域的专家以及软硬件信息系统方面的专业人员。脆弱性评估所采用的方法主要有问卷调查、人员问询、工具扫描、手动检查、文档审查、渗透测试等。
  脆弱性主要从技术和管理两个方面进行评估，涉及物理层、网络层、系统层、应用层、管理层等各个层面的安全问题。其中在技术方面主要是通过远程和本地两种方式进行系统扫描，对网络设备和主机等进行人工抽查，以保证技术脆弱性评估的全面性和有效性;管理脆弱性评估方面可以按照BS7799等标准的安全管理要求对现有的安全管理制度及其执行情况进行检查，发现其中的管理漏洞和不足。风险计算模型包含信息资产、弱点/脆弱性、威胁等关键要素。每个要素有各自的属性，信息资产的属性是资产价值，弱点的属性是弱点被威胁利用后对资产带来的影响的严重程度，威胁的属性是威胁发生的可能性。风险计算的过程如下。

• (1)对信息资产进行识别，并对资产赋值。
• (2)对威胁进行分析，并对威胁发生的可能性赋值。
• (3)识别信息资产的脆弱性，并对弱点的严重程度赋值。
• (4)根据威胁和脆弱性计算安全事件发生的可能性。
• (5)结合信息资产的重要性和发生安全事件的可能性，计算信息资产的风险值。