哈工大信息安全概论复习笔记(3)

哈工大信息安全概论复习笔记（3）

考点十五 PKI的体系结构及工作原理

公钥基础设施(PKI)采用数字证书技术来管理公钥，通过第三方的可信任机构——CA认证中心把用户的公钥和用户的其他标识信息捆绑到一起，在互联网上验证用户的身份。
在PKI的组成结构中，处在中心位置的是构建PKI的核心技术，即公钥算法和数字证书技术，在此技术基础上实现的PKI平台包括四个基本功能模块和一个应用接口模块。

1.认证机构CA：CA是PKI的核心执行机构，也称为认证中心。其主要功能包括数字证书的申请注册、证书签发和管理。

2.证书库：证书库是CA颁发证书和撤销证书的集中存放地，它像网上的“白页”一样，是网上的公共信息库，可供公众进行开放式查询。

3.密钥备份和恢复：密钥备份和恢复是密钥管理的主要内容，PKI提供了密钥备份和密钥恢复机制，即当用户证书生成时，密钥被CA备份存储，当需要恢复时，用户只需向CA提出申请，CA就会为用户自动进行密钥恢复。

4.证书撤销处理：被撤销的CA证书将进入证书库的"黑名单"，用于公众来核实证书的有效性。

5.PKI应用接口：PKI应用接口使使用者与PKI交互的唯一途径，PKI应用接口也可以看成是PKI的客户端软件。

考点十六 访问控制的概念

访问控制：是针对越权使用资源的防御措施，从而使系统资源在合法范围内使用。

访问控制的基本组成元素：
1.主体 - 值提出访问请求的实体，主体是动作的发起者，但不一定是动作的执行者，可以是用户或其他代理用户行为的实体(如进程、作业和程序等)
2.客体 - 是指可以接受主体访问的被动实体。凡是可以被操作的信息、资源、对象都可以认为是客体。
3.访问控制策略 - 指主体对客体的操作行为和约束条件的关联集合

考点十七 DAC、MAC、RBAC的工作原理及特点

自主访问控制DAC

自主访问控制(DAC):允许合法用户以用户或用户组的身份来访问系统控制策略许可的客体，同时阻止非授权用户访问客体，某些用户还可以自主地把自己所拥有的客体的访问权限授予其他用户。
实现上：首先要对用户的身份进行鉴别，然后就可以按照访问控制列表所赋予用户的权限允许或限制用户访问客体资源。主体控制权限的修改通常由特权用户或特权用户组实现。

强制访问控制MAC

强制访问控制(MAC)：系统事先给访问主体和受控客体分配不同的安全级别属性，在实施访问控制时，系统先对访问主体和受控客体的安全级别属性进行比较，再决定访问主体能否访问该受控客体。
主体对客体的访问可以分为以下四种形式：
1.向下读 2.向上读 3.向下写 4.向上写
向下读向上写，防止机密信息向下级泄露，保护机密性
向上读向下写，保护数据的完整性

基于角色的访问控制RBAC

组：具有相同性质(访问权限)的用户集合
角色；一个与特定行为关联的行为与责任的集合
RBAC思想：将访问权限分配给角色，用户饰演角色获得访问许可权。一个用户可当多个角色

考点十八 Windows安全体系结构、活动目录与组策略

整个安全架构的核心是安全策略，完善的安全策略决定了系统的安全性。Windows系统的安全策略明确了系统各个安全组件如何协调工作。

Windows系统安全开始于用户认证，它是其他安全机制能够有效实施的基础，处于安全框架的最外层。

加密和访问控制处于用户认证之后，是保证系统安全的主要手段，加密保证了系统与用户之间的通信及数据存储的机密性；访问控制则维护了用户访问的授权原则。

审计和管理处于系统的内核层，负责系统的安全配置和事故处理，审计可以发现系统是否曾经遭受过攻击或者正在遭受攻击，并进行追查；管理则是为用户有效控制系统提供功能接口。

活动目录(AD)存储了有关网络对象的信息，并且让管理员和用户能够轻松地查找和使用这些信息。

组策略(GP)是AD安全性地重要体现，可理解为依据特定地用户或计算机地安全需求定制地安全配置规则

考点十九 传统病毒、蠕虫、木马的结构原理

传统病毒一般由三个主要模块组成，包括启动模块、传染模块和破坏模块。当系统执行了感染病毒地文件时，病毒的启动模块开始驻留在系统内存中。传染模块和破坏模块的发作均为条件触发，当满足了传染条件，病毒开始传染别的文件；满足了破坏条件，病毒就开始破坏系统。

蠕虫病毒一般不需要寄生在宿主文件中，这一点与传统病毒存在差别，蠕虫病毒具有传染性，它是通过在互联网环境下复制自身进行传播。蠕虫病毒的传染目标是互联网内的所有计算机，传播途径主要包括局域网内的共享文件夹、电子邮件、网络中的恶意网页和大量存在着漏洞的服务器等。
可以说蠕虫病毒是以计算机为载体，以网络为攻击对象。

木马是有隐藏性的、传播性的、可被用来进行恶意行为的程序。木马一般不会直接对计算机产生危害，主要以控制计算机为目的。
木马的传播方式主要通过电子邮件附件、被挂载木马的网页以及捆绑了木马程序的应用软件。
木马被下载后完成修改注册表、驻留内存、安装后门程序、设置开机加载等，甚至能够使杀毒程序、个人防火墙等防范软件失效。

考点二十 拒绝服务攻击、缓冲区溢出、举例

拒绝服务攻击(DoS)也被称为业务否定攻击，不是一种具体的攻击方式，二十攻击所表现的结果最终使得目标系统因遭受某种程度的破坏二不能继续提供正常的服务，甚至导致物理上的瘫痪或崩溃。
通常拒绝服务攻击可分为两种类型，第一类是利用网络协议的缺陷，通过发送一些非法数据包致使主机系统瘫痪，如Ping of Death；第二类攻击是通过构造大量网络流量致使主机通信或网络堵塞，使系统不能相应正常的服务，如Smurf。

缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量，溢出的数据覆盖了合法数据。
利用缓冲区溢出攻击，可以导致程序运行失败、系统宕机、重新启动等后果，更为严重的是可以利用它执行非授权指令，甚至可以取得系统特权并控制主机，进行各种非法操作。

考点二十一 防火墙主要技术概述

依据防火墙的技术特征，常见的防火墙可以分为包过滤防火墙、代理防火墙和个人防火墙。

包过滤防火墙是面向网络底层数据流进行审计和控管，因此其安全策略主要根据数据包头的源地址、目的地址、端口号和协议类型等标志来指定，可见其主要工作在网络层和传输层。

代理防火墙是基于代理(Proxy)技术，使防火墙参与到每一个内、外网络之间的连接过程，防火墙需要理解用户使用的协议，对内部节点向外部节点的请求进行还原审查后，转发给外部服务器；外部节点发送来数据也需要进行还原审查，然后封装转发给内部节点。
代理防火墙主要工作在应用层，有时也称为应用级网关。

个人防火墙使目前普通用户最常用的一种。个人防火墙是一种能保护个人计算机系统安全的软件，它可以直接在用户的计算机上运行，有效地帮助普通用户对系统进行监控及管理，使个人计算机免受各种攻击