信息安全的最新技术总结与原理分析

1 / 59 信息安全的最新技术总结与原理分析 第一章 信息安全基础知识 信息安全特征：保密性、完整性、可用性、可控性、可审查性 信息安全含义：系统安全、系统中信息 安全、管理安全 网络安全含义：运行系统安全、网络上系统信息的安全、网络上信息传播的安全、网络上信息内容的安全 信息安全服务与目标主要是指保护信息系统 ISO安全体系结构：安全服务、安全机制、安全管理 安全服务：认证服务、访问控制服务、数据保密性服务、数据完整性服务、不可否认服务 安全机制：加密机智、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、业务填充机制、路由控制机制、公证机制 2 / 59 安全管理：系统安全管理、安全服务管理、安全机制管理 网络安全防范体系：关于网络安全防范系统的最高层概念抽象，他由各种网络安全防范单元组成，各组成单元按照一定的规则关系，能够有机集成起来，共同实现网络安全目标 网络安全体系：组织体系、技术体系、管理体系 PDRR：防护、检测、恢复、响应 PPDR：安全策略、防护、检测、恢复、响应 PPDR：安全 =风险分析 +执行策略 +系统实施 +漏洞检测 +实时响应 PPDR方向：提高系统的防护时间，降低检测时间和响应时间 五层网络安全模型：网络、操作系统、用户、应用程序、数据是否安全 TCSEC： D 无保护级、 C 自主保护级、 B 强制保护级、 A 验证3 / 59 保护级 网络与信息安全 =信息安全技术 +信息安全管理体系 ISMS建设：定义信息安全策略、定义 NISMS范围、进行信息安全风险评估、信息安全风险管理、确定管制目标和选择管制措施、准备信息安全适用性说明 第三章密钥管理技术 密钥类型：数据加密密钥、密钥加密密钥、主密钥 会话密钥：用户一次通话或交换数据是使用的密钥，大多是临时的，动态的 密钥加密密钥：用于对会话密钥或下层密钥进行保护 主密钥：主要用于对密钥加密密钥、会话密钥或其他下层密钥的保护，主密钥是用户选定或系统分配给用户的，分发基于物理渠道或其他可靠的方法 集中式 密钥分配方案：由一个可信赖的联机服务器作为密钥4 / 59 分配中心或密钥传递中心 具体过程：假定 A 是发起方， B 为响应方 ,并且 A、 B 与 KDC有共享的密钥 Ka、 Kb . A -KDC:IDA/IDB/N1:A 向 KDC 发送 A 和 B的身份 IDA、IDB 和本次业务唯一标识符 N1，每次请求所使用的 N1 都 不同。 . KDC -A:EKaKs/IDA/IDB/N1/EKbKs/IDA:KDC对A 应答，信息由 Ka 加密， Ks 是 A 和 B 的会话密钥 . A-B:EKbKs/IDA:A收到信息后将 Ks存起来并将加密过的共享密钥发送给 B . B -A:EKsN2： B 用共享密钥加密另一个随机数 N2发送给 A . A -B:EKSf(N2)： A响应 B发送的信息，并用某种函数进行计算并加密后发送给 B 分布式密钥分配方案：网络通信中各个通信方具有 相同的地位，他们之间的密钥分配取决于它们之间的协商 . 5 / 59 A-B:IDA/N1： A 向 B 发出请求，包括 A 的标识符 IDA 和标识符 N1 . B -A:EMKmKs/IDA/IDB/f(N1)/N2:B 使用 A共享的主密钥 MKm 加密共享密钥 Ks、 A 和 B 的标识符、 f(N1)和随机数 N2 . A -B:EKsF(n2):A 使用 B 产生的会话密钥 Ks对 f(N2)进行加密，并发送给 B 非对称密码技术的密钥分配方案： . 简单分配： a) A-B:PKA/IDA:A 将 A的公钥和身份识别号发送给 B b) B-A:EPKAKS:B 用 A的公钥加密后的 KS发送给 A . 具有保密和认证功能的密钥分配： a) A-B:EPKBN1/IDA 6 / 59 b) B-A:EPKAN1/N2 c) A-B:EPKBN2 d) B-A:EPKBESKAKS 第四章 数字签名和认证技术 数字签名的要求：签名是可信的，签名是不可伪造的，签名是不可复制的，签名的消息是不可改变的，签名是不可抵赖的 数字签名的步骤： . 使用单向散 列算法算出原始数据的 hash . 发送方用自己的私钥加密 hash . 发送方把原始数据和加密的 hash发送给对方 . 接收方用发送方的公钥解密，并用相同的 hash 函 数对数据进行计算 hash 7 / 59 . 如果计算所出来的 hash 值与发方发送的相同则可以确定确实是发方的 数字证书的用处：确保信息是由签名者自己发送的，保证信息自签发后未做过任何修改 认证信息类型：所知道的秘密、所拥有的实物、生物特征信息、上下文信息 认证的用途：验证网络资源访问者的身份、发送者和接收者的真实性、网络信息的完整性 认证技术：静态密码、 IC卡、短信密码、动态口令牌、 USB Key、数字签名、生物识别、双因素身份认证、身份零知识证明 第五章 访问控制技术 访问控制：针对越权使用的防御措施，保证网络资源不被非法使用和非法 访问 基本目标：防止对任何资源进行未授权的访问 8 / 59 作用：机密性、完整性 访问控制策略：自主访问控制、强制访问控制、基于角色的访问控制 自主访问控制： 特点：灵活性高 缺点：安全性低 分类：基于个人的策略、基于组的策略 访问控制的常用实现方法：访问控制表、访问能力表、安全标签、基于口令的机制 防火墙：防火墙是设置在被保护网络和外部网络之间的一道屏障，这道屏障的作用是阻断来自外部对本网络的威胁和入侵 基本功能：网络安全的屏障、控制对主机系统的访问、强化9 / 59 网络安全策略、对网络存取和访问进行监控审计 附加功能：NAT、 VPN 缺点：不能防范内部网络的攻击、不经由防火墙的攻击、病毒或文件的传输、利用标准网络协议中缺陷进行的攻击、利用服务器漏洞进行的攻击、新的网络安全问题、限制了有用的网络服务 基本结构：屏蔽路由器、双宿主机防火墙、屏蔽主机防火墙、屏蔽子网防火墙 类型： . 数据包过滤路由器：对数据包实施有选择的通过规则、选择依据，只有满足规则的数据包才会被转发到 相应的网络接口，其余数据包则从数据流中删除。 . 应用层网关：又称代理服务器，包过滤在网络层拦截所有的信息流，代理技术针对的是某一程序，在应用层上实现防火墙的功能。 . 电路级网关技术 10 / 59 . 状态检测技术 网络服务访问权限策略：定义在网络中允许的或禁止的网络服务，而且还包括对拨号访问和 SLIIP/PPP 连接的限制 防火墙设计策略：黑名单、白名单 防火墙攻击策略：扫描防火墙策略、通过防火墙认证机制策略、利用防火墙漏洞策略 第四代防火墙的主要技术与功 能：多端口结构、透明的访问方式、灵活的代理系统、多级的过滤技术、网络地址转换技术、 internet网关技术、安全服务器网络、用户鉴别与加密、用户定制服务、审计和告警功能 入侵检测系统模型：事件产生器、事件分析器、响应单元、事件数据库 入侵检测技术分类：基于误用的入侵检测系统、基于异常 的入侵检测系统 入侵检测系统的组成：数据采集模块、入侵分析引擎模块、应急处理模块、管理配置模块和相关辅助模块 入侵检测系统的分类：基于主机、基于网络、分布式、基于网络的分布11 / 59 式 第六章恶意代码及防范技术 恶意代码：故意执行危害信息安全的恶意任务的代码 主要危害：破坏数据、占用磁盘存储空间、抢占系统资源、影响计算机运行速度 命名机制： .，常见病毒 前缀木马为 Trojan，蠕虫为 Worm 恶意代码的生存周期：设计 -传播 -感染 -触发 -运行 -消亡 传播机制：互联网、局域网、移动存储设备、无线设备和点对点系统 感染机制：感 染执行文件、感染引导区、感染结构化文档 触发机制：日期触发、时间触发、键盘触发、感染触发、启动触发、访问磁盘次数触发、调用中断功能触发、型号触发 分析方法：基于代码特征、基于代码语义、基于代码行为、 12 / 59 检测方法：基于特征码、启发式检测法、基于行为的检测法、完整性检测法、基于特征函数的检测方法 第一章 信息安全基础知识 1.信息安全的内涵与特征 内涵： 定义：信息化状态和信息技术体系不受外来的威胁与侵害； 信息安全首先应该是一个国家宏观的社会信息化状态是否处于自控之下，是否稳定的问题；其次才是信息 技术的安全问题； 客观上不存在威胁，主观上不存在恐惧； 特征：保密性，完整性，可用性，可控性，可审查性，可靠性； 13 / 59 面向数据的安全和面向用户的安全这两者的结合，即是现代信息安全体系结构； 信息安全包含的三层含义： 1 系统安全，即系统运行的安全 2 系统中信息的安全，即通过对用户权限的控制、数据加密等确保信息不被非授权者获取和篡改。 3 管理安全，即综合运用各种手段对信息资源和系统运行安全进行有效的管理。 2、网络安全的内涵与特征 内涵： 凡是涉及到网络上信息的保密性、完整性、可用性和可控性等的相关技术和理论，都是网络安全所要研究的 领域。 网络安全包含的四层含义： 14 / 59 1 运行系统安全 2 网络上系统信息的安全 3 网络上信息传播的安全 4 网络上信息内容的安全 网络安全的主要特征：保密性，完整性，可用性，可控性； 因此，网络安全、信息安全研究的内容是紧密相关的，其发展是相辅相成的。但 是信息安全研究领域包括网络安全 的研究领域。 3、信息安全服务与目标 信息安全服务与目标主要指保护信息系统，使其没有危险、不受威胁、不出事故。从技术角度来说，信息安全服 务与目标主要表现在系统的可靠性、可用性、可控性、保密性、完整性、不可抵赖性等方面。 15 / 59 可靠性：是网络信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。 可靠性是所有网络信息系统的建设和运行目标。网络信息系统的可靠性测度主要有三种：抗毁性、生存性和有 效性。 可靠性主要表现在硬件可靠性、软件可靠性、人员可靠性、环境可靠性等方面。 可用性是网络信息可被授权实体访问并按需求使用的特性。 可用性是网络信息系统面向用户的安全性能。 可用性一般用系统正常使用时间和整个工作时间之比来度量。 保密性是网络信息不被泄露给非授权的用户、实体或过程，或供其利用的特性。 保密性是在可靠性和可用性基础之上，保障网 络信息安全的重要手段。 16 / 59 完整性是网络信息未经授权不能进行改变的特性。 完整性是一种面向信息的安全性，它要求保持信息的原样，即信息的正确生成和正确存储和传输。 不可抵赖性也 称作不可否认性，在网络信息系统的信息交互过程中，确信参与者的真实同一性。 可控性是对网络信息的传播及内容具有控制能力的特性。 总之，网络信息安全与保密的核心是通过计算机、网络、密码技 术和安全技术，保护在公用网络信息系统中传 输、交换和存储的消息的保密性、完整性、真实性、可靠性、可用性、不可抵赖性等。 4、安全威胁与攻击类型 10个主要安全问题： 可信的网络信息环境已成为一个迫切的需求。 17 / 59 网络系统中安全漏洞日益增多 恶意代码危害性高 网络攻击技术日趋复杂 网络安全建设缺乏规范操作 网络系统有着种类繁多的安全认证方式 从硬件到软件都不同程度地受制于人。 网络系统中软硬件产品的单一性 安全和易用性特别难以平衡 网络安全管理问 题依然是一个难题 网络攻击类型： 口令入侵 18 / 59 放置特洛伊木马程序 WWW的欺骗技术 电子邮件攻击 通过一个节点来攻击其他节点 网络监听 利用黑客软件攻击 安全漏洞攻击 端口扫描攻击 5、网络信息安全策略 安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则。 19 / 59 实现网络安全，不但要靠先进的技术，而且也得靠严格的管理、法律约束和安全 教育，主要包括一下内容： 威严的法律；先进的技术；严格的管理； 信息安全策略是一个系统的概念，它是信息安全系统的灵魂与核心，任何可靠的信息安全系统都是构架在各种 安全技术的集成的基础上的，而网络安信息全策略的提出，正是为了实现这种技术的集成。可以说网络信息安全策 略是我们为了保护网络安全而制定的一系列法律、法规和措施的总和。 当前制定的网络信息安全策略主要包含 5 个方面的策略： 物理安全策略 访问控制策略 :是网络安全防范和包含的主要策略，它的主要任务是保证网络资源不被非 法使用和访问。 20 / 59 (用户的入网访问控制可分为三个步骤：用户名的识别与验证；用户口令的识别与验证；用户帐号的缺省限制检查 ; 网络的权限控制是针对网络非法操作所提出的一种安全保护措施 ) 防火墙控制 :它是控制进出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内 部和外部网络，以阻挡外部网络的侵入。 信息加密策略 : 信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。 常用的方法有链路加密、端到端加密和节点加密三种： 链路加密的目的是保护网络结点之间的链路信息21 / 59 安全； 端到端加密的目的是对源端用户到目的端用户的数据提供保护； 节点加密的目的是对源节点到目的节点之间的传输链路提供保护。 网络安全管理策略 : 网络信息安全管理策略包括： 确定安全管理的等级和安全管理的范围； 制定有关网络使用规程和人员出入机房管理制度； 制定网络系 统的维护制度和应急措施等。 6、 ISO/OSI安全体系结构 安全服务： ISO安全体系结构确定了五大类安全服务 ： 1 认证服务 ;2 访问控制 ;3 数据保密性； 4 数据完整性； 5 22 / 59 不可否认性 1、认证服务：对等实体认证；数据源认证； 2、 数据保密性服务：连接保密性；无连接保密性；选择字段保密性；业务流保密性； 3、数据完整性服务：带恢复的连接完整性；不带恢复的连接完整性；选择字段连接完整性；无连接完整性；选 择字段无 连接完整性； 4、不可否认服务：数据源的抗抵赖；传递过程的抗抵赖； 安全机制： 为了支持 ISO 体系结构定义的安全服务， ISO 安全体系结构定义了八大类安全机制，即： 1 加密机制 ：对称加密体制；非对称 (公钥）加密体制； 2 数据签名机制：两个过程 -对数据单元签名过程；验证签名的数据单元过程； 23 / 59 3 访问控制机制：实现好的访问控制规则可以建立在下列几个 方式之上 = 访问控制信息库；鉴别信息；权力；安全标记；访问时间；访问路由；访问持续期； 4 数据完整性机制：两个方面 =单个的数据单元或字段的完整性；数据单元串或字段串的完整性； 5 鉴别交换机制：涉及到 =鉴别交换技术；对等实体鉴别；确保安全；应用环境； 6 业务填充机制：该机制 可用于提供对各种等级的保护，以防止业务分析。 7 路由控制机制：涉及 =路由选择；路由连接；安全策略； 8 公证机制：保证由第三方公证人提供，公证人能够得到通信实体的信任，而且可以掌握按照某种可证实方式提供 所需保证的必要的信息。 以上这些安全机制可以设置在适当的层次上，以便提供某些安全服务。 24 / 59 安全管理： OSI 安全体系结构的第三个主要部分就是安全管理。它的主要内容是实施一系列的安全政策，对系统和网络上的 操作进行管理 。它包括三部分内容： 系统安全管理：涉及整体 OSI安全环境的管理； 安全服务管理：涉及特定安全服务的管理； 安全机制管理：涉及特定的安全机制的管理； OSI 安全 管理涉及到 OSI 管理系统本身的安全，包括 OSI 管理协议的安全和 OSI管理信息交换的安全等。 7、网络安全体系、组成及网络安全体系模型 网络安全防范是一项复杂的系统工程，是安全策略、多 种技术、管理方法和人们安全素质的综合。 定义： 所谓网络安全防范体系，就是关于网络安全防范系25 / 59 统的最高层概念抽象，它由各种网络安全防范单元组 成，各组成单元按照一定 的规则关系，能够有 机集成起来，共同实现网络安全目标 . 组成：网络安全体系由组织体系、技术体系、管理体系组成。 管理体系涉及五个方面的内容：管理目标、管理手段、管理主体、管理依据和管理资源。 管理手段包括安全评估、安全监管、应急响应、安全协调、安全标准和规范、保密检查、认证和访问控制等 管理资源包括安全设备、管理人员、安全经费、时间等。 网络安全体系模型： PDRR模型是在 PDR 的基础上提出，是基于防护、检测、响应、恢 复的安全模型。 动态的自适应网络模型： 26 / 59 该模型可量化、也可由数学家证明、是基于时间的安全模型，亦称为 P2DR。 这里的 P2DR 是 Policy、 Protection、 Detection 和 Response的缩 写。 P2DR模型描述为： 安全 =风险分析 执行策略 系统实施 漏洞监测 实时响应 该模型强调系统安全的动态性，以安全检测、漏洞监测和自适应填充 “ 安全间隙 ” 为循环来提高网络安全， 特别考虑人为管理的因素。 特点 : 安全管理的持续性、安全策略的动态性。 27 / 59 可测性。 利用专家系统、统计 分析、神经网络方法对现有网络行为实时监控报告和分析风险。 P2DR的安全模型的特点就在于动态性和基于时间的特性。 定义： 攻击时间 Pt、检测时间 Dt、响应时间 Rt、系统的 暴露时间Et： Et=Dt+Rt-Pt； 因此，系统的检测时间与响应时间越长，或系统的攻击时间越短，则系统的暴露时间越长，系统就越不安 全。 故从 P2DR 模型，我们可以得 出这样的结论：安全的目标实际上就是尽可能地增大保护时间，尽量减少检测 时间和响应时间。 28 / 59 目前，研究者还提出了 PPDRR 模型，该模型是在 P2DR 模型的基础上新增加了 信息安全发展现状学习 信息安全随着技术的发展，其内涵在不断丰富，原来信息安全的主要关注点在于信息的保密性，现在已经发展到保密性、完整性、可用性、可控性和不可否认性等多个方面。总体而言，信息安全涵盖了攻、防、测、控、管、评等多方面的基础理论和实施技术。总的来说，目前在信息安全领域人们 所关注的焦点主要集中在以下几个方面： ? ? ? ? ? 密码理论与技术 安全协议理论与技术 安全体系结构理论与技术 信息对抗理论与技术 网络安全与安全产29 / 59 品 目前，密码理论与技术的发展主要包括两个方面，分别是基于数学的密码理论与技术和非数学的密码理论与技术。前者主要包括：公钥密码、分组密码、序列密码、认证码、数字签名、 Hash函数、身份识 别、密码管理、 PKI技术等。后者主要包括：信息隐形、量子密码、基于生物特征的识别理论与技术等。 安全协议理论与技术 安全协议的研究也主要包括两个方面，分别是：安全协议的安全性分析方法研究和实用安全协议的设计与分析研究。安全协议的安全性研究方法主要包括两类，分别是：攻击检验的方法和形式化分析方法，而后者是安全协议研究中最关键的研究问题之一。形式化分析方法主要的研究思路可分为三种：第一种思路是基于推理知识和信念的模态逻辑；第二种是基于状态搜索工具和定理证明技术；第三种是基于新的协议模型发展证明正确性理论。 安全体系结构理论与技术 30 / 59 安全体系结构理论与技术主要包括：安全体系模型的建立及其形式化描述与分析；安全策略和机制的研究；检验和评估系统安全性的科学方法和准则的建立；符合这些模型的、策略和准则的系统的研制 信息对抗理论与技术 信息对抗理论与技术涉及的方面主要包括：黑客防范体系、信息伪装理论与技术、信息分析与监控、入侵检测原理与技术、反击方法、应急响应系统、计算机病毒、人工免疫系统在病毒和抗入侵系统中的应用等。 网络安全与安全产品 安全产品大致有以下几类 防火墙：防火墙在某种意义上可以说是一种访问控制产品。它在内部网络与不安全的外部网络之间设置障碍阻止外界对内部资源的非法访问防止内部对外部的不安全访问。主要技术有包过滤技术、应用网关技术、代理服务技术。防火墙能够较为有效地防止黑客利用不安全的服务对内部网络的攻击，并且能够实现数据流的监控、过滤、记录和报告功能，31 / 59 较好地隔断内部网络与外部网络的连接。但其本身可能存在安全问题也可能会是一个潜在的瓶颈。 安全路由器：由于 WAN连接需要专用的路由器设备，因而可通过路由器来控制网络传输。通常采用访问控制列表技术来控制网络信息流。 虚拟专用网：虚拟专用网户是在公共数据网络上通过采用数据加密技术和访问控制技术实现两个或多个可信内部网之间的互联。 VPN 的构筑通常都要求采用具有加密功能的路由器或防火墙，以实现数据在公共信道上的可信传递。 安全服务器：安全服务器主要针对一个局域网内部信息存储、传输的安全保密问题。其实现功能包括对局域网资源的管理和控制，对局域网内用户的管理以及局域网中所有安全相关事件的审计和跟踪。 电子签证机构 CA和 PKI产品：电子签证机构作为通信的第三方，为各种服务提供可信任的认证服务。 CA可向用户发行电子签证证书，为用户提供成员身份验证和密钥管理等功能。 PKI 产品可以提供更多的功能和更好的服务将成为所有应用的计算基础结构的核心部件。 PKI 是一种遵循标准的利32 / 59 用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。 CA 的含义是证书管理机构。 用户认证产品：由于 IC 卡技术的日益成熟和完善， IC 卡被更为广泛地用于用户认证产品中，用来存储用户的个人私钥并与其他技术如动态口令相结合对用户身份进行有效的识别。同时还可利用卡上的个人私钥与数字签名技术结 合，实现数字签名机制。随着模式识别技术的发展，诸如指纹、视网膜、脸部特征等高级的身份识别技术也将投入应用，并与数字签名等现有技术结合，必将使得对于用户身份的认证和识别更趋完善。 安全管理中心：由于网上的安全产品较多且分布在不同的位置，这就需要建立一套集中管理的机制和设备，即安全管理中心。它用来给各网络安全设备分发密钥，监控网络安全设备的运行状态，负责收集网络安全设备的审计信息等。 入侵检测系统：入侵检测作为传统保护机制的有效补充，形成了信息系统中不可或缺的反馈链。 安全数据库：由于大量的信息存储在计算机数据库内，有些信息是有价值的也是敏感的，需要保护。安全数据库可以确33 / 59 保数据库的完整性、可靠性、有效性、机密性、可审计性及存取控制与用户身份识别等。 安全操作系统：给系统中的关键服务器提供安全运行平台，构成安全 WWW 服务、安全 FTP 服务、安全 SMTP 服务等，并作为各类网络安全产品的坚实底座，确保这些安全产品的自身安全。 1、 信息安全 的五个属性及其含义。 (1)机密性：是指确保只有那些被授予特定权限的人才能够访问到信息。 (2)完整性：是指保证信息和处理方法的正确性和完整性。 (3)可用性：指确保那些已被授权的用户在他们需要的时候，确定可以访问得到所需要的信息。 (4)不可否认性：信息的不可否认性也称抗抵赖，不可抵赖性，是传统的不可否认需求在信息社会的延伸。 (5)可控性：指 能够控制使用信息资源的人或主题的使用方式。 2、 信息安全和网络安全的区别。 信息安全涵盖了网络安全。信息网络系统包括了线和点两类实体，即网络资源和信息资源。线代表网络本身，包括网络34 / 59 线路和网络设备，信息经过线传输；而点指由线连接在一起的各类应用设备。信息在点中进行存储和处理。网络安全考虑的主要是线的问题，即如何通过合理的网络架构，配置和管 理，解决信息在传输过程中的安全问题，提高安全等级来保障和配合应用服务的整体性安全运作；信息安全的范畴不光是线的安全问题，即通信在网络传输中的安全问题，而且还包括计算机本身固有的安全问题，如系统硬件、操作系统、应用软件、操作流程等。 3、 信息系统面临的威胁及分类 安全威胁有时可以被分 为故意的和偶然的。故意的威胁如假冒、篡改等，偶然的威胁如信息被发往错误的地址，误操作等。故意的威胁又可以进一步分为主动攻击和被动攻击。 例子 -主动攻击：中断【是指威胁源是系统的资源受损或不能使用，从而暂停数据的流动或服务】，篡改【是指某个威胁源未经许可却成功地访问并改动了某项资源，因而篡改了所提供的信息服务 -】，伪造【是指某个威胁源未经许可而在系统中制造出了假消息，虚假的信息或服务】； 非法截获【是指某个威胁源未经许可而获得了对一个资源的访问，并从中盗窃了有用的信息或服务】。 35 / 59 4、 信息安全发展的三个阶段，及其各个阶段分别实现了信息安全的那些属性。 P13 1.通信保密阶段：保密性； 2.信息安全阶段：保密性，完整性，可用性； 3.通信保障阶段：保密性，完整性，可用性，不 可否认性，可控性。 5、 P2DR模型的原理。 P23 P2DR模型是基于时间的安全模型，包括 policy、 protection、detection、 response4 个主要部分，防护、检测和响应组成了一个完整的、动态的安全循环，在安全策略的指导下保证信息系统的安全。 P2DR是由 PDR模型引出的概念模型，增加了 policy 的功能并突出了管理策略在信息安全工程中的主导地位。安全技术措施围绕安全策略的具体需求有序地组织在一起，架构一个动态的安全防范体系。 安全 =风险分析 +执行策略 +系统实施 +漏洞监测 +实时响应 1、 OSI、 TCP/IP 体系结构模型。 OSI 提供的五种服务，八种机制是那些。及其每个服务和机制之间的关系。 P30 OSI36 / 59 提供的 5 大服务： (1)认证服务：提供对通信中对等实体和数据来源的认证。 (2)访问控制服务：对资源提供保护，以阻止其非授权的实体使用和操纵。 (3)数据保密性服务：确保信息不被泄漏或暴露给 未授权的实体。 (4)数据完整性服务：对数据提供保护，以阻止未授权实体改变，删除或替代操作。 (5)抗否认性服务：防止参与某次通信交换的任何一方事后否认本次通信或通信的内容。 它既可以为数据提供保密性，也能为通信业务流信息提供保密性，并且还能成为其他安全服务和安全机制的一部分，起支持和补充的作用； 2.数字签名机制 ：可视为数据封装的一 种特殊情况，数字签名机制要求使用费堆成密码算法； 3 访问控制机制 ：被用来实施对资源访问或操作加以限制的策略，这种策略是指对资源的访问只限于那些被授权的用户，而授权是指资源的所有者或控制者允许其他人访问这种资源； 4 数据完整性机制 ：其目的是保护数据，以避免未授权的数据乱序、丢失、重放、插入和篡改； 5认证交换机制 ：可用于认证交换的一些技术：密码技术、使用该实体的特征或占有物、时间标记与同步时钟、两方握手和三方握手、由数字签名和公证机制实现的抗否认服务； 6.通信业务37 / 59 填充机制 ：提供通信业务流保密性的一个 基本机制，它包含生成伪造的通信实例、伪造的数据单元和或伪造的数据单元中的数据。伪造通信业务和将协议数据单元填充到一个固定的长度，能够为防止通信业务分析提供有限的保护； 7.路由控制机制 ：使得路由能被动态地或预定地选取，以便只使用物理上安全的子网络、中继站或链路来进行通信，保证敏感数据只在具有适当保护级别的路由上传输 8.公证机制 ：基于通信双方对第三方的绝对信任，让公正方备有适用的数字签名、加密或完整性机制等。 关系： OSI各层提供的主要安全服务 物理层：提供连接机密性和业务流机密性服务。数据链路层：提供连接机密性和无连接机密性服务。网络层：可以在一定程度上提供认证、访问控制、机密性和完整性服务。运输层：可以提供认证、访问控制、机密性和完整性服务。会话层：不提供 安全服务。表示层：本身不提供完全服务。但其提供的设施可支持应用层向应用程序提供安全服务。所以，规定表示层38 / 59 的设施支持基本的数据机密性服务，支持认证、完整性和抗否认服务。应用层：必须提供所有的安全服务，它是惟一能提供选择字段服务和抗否认服务的一层。 2 因特网安全体系结构，重点掌握 IPsec、安全联盟、隧道、AH、 ESP。 IPsec 是指 IETF 以 RFC 形式公式的一组安全 ip 协议集，是ip 数据报为 ip 业务提供保护的安全协议标准，其基本目的就是把安全机制引入 Ip 协议，用现代密码学方法支持机密性和认证性服务，从而使用户能有选择的使用，并得到所期望的安全服务。 IPSec 将几种安全技术结合形成一个比较完整的安全体系结构，它通过在 IP 协议中增加两个基于密码的安全机制一一验证头和封装安全有效负载来支持 IP 数据项的认证、完整性和机密性安全联盟 :安全联盟是 IPSec 的一个基本的概念， SA是发送 者和接收者这两个 IPSec 系统之间的一个简单的单向逻辑连接，是与给定的一个网络连接或一组连接相关的安全信息参数的集合，它为其所携带的业务流提供安全保护。 SA 是单向的。安全协议 AH 和 ESP 的执行都依赖于 SA. 隧道：隧道就是把一个数据包封装在另一个新包里面，整个源数据包作为新包的有效负载部分，并在前面添加一个新的 IP头。通过隧道技术用户可 以对外隐藏内部39 / 59 数据和网络细节。 Ip 隧道的直接目标就是对整个 IP 数据包提供完全的保护。 AH: IP 认证头 AH 是为 IP 数据项提供强认证的一种安全机制，它能为 IP数据项提供无连 接完整性，数据起源认证和抗重放攻击。 ESP: ESP 将需要保护的用户数据进行加密后再封装到 IP数据包中，主要支持 IP数据项的机密性。 ESP也提供安全服务， AH和 ESP认证范围不同，ESP只认证 ESP头之后的信息。认证的范围比 AH小。 IPSec的安全结构包括以下 4个基本部分。安全协议： AH和 ESP。 安全联盟。密钥交换：手工和自动。认证和加密算法。 3 传输模式、隧道模式的区别 -优缺点。 传输模式 :仅对IP 数据项的上层协议数据部分提供保护，用于两个主机之间。优点是分担了 IPSec 处理负荷，从而避免了 IPSec处理的瓶颈问题。缺点是用户为获得 AH 提供的安全服务，必须付出内存 处理时间等方面的代价，而由于不能使用私有 IP地址，因此必须使用公其地址资源 隧道模式 :对整个 IP数据项提供保护，只要通信双方有一方是安全网关，就必须用隧道模式。 优点是对网内部的各主机可以借助路由器的IPSec 处理，透明地得到安全服务，子网内部对以使用私有40 / 59 IP地址，因而无需申请公有地址资源。缺点是 IPSec 主要集中在路由器，增加了路由器的处理负荷，容易形成通信的瓶颈，内部的诸多安全问题不可控。 密钥的产生是通过 DH交换技术， DH交换过程如下： 须进行 DH交换的双方各自产生一个随机数，如 a和 b；使用双方确认的共享的公开的两个参数：底数 g和模数 p 各自用随机数 a， b 进行幂模运算，得到结果 mod p 此公式可以从数学上证明。 4 信息系统安全体系框架的基本内容，包含了那些管理体系。P59 信息系统安全的总需求是物理安全、网络安全、数据安全、信息内容安全、信息基础设备安全与公共信息安全的总和。安全的最终目的是确保信息的机密性、完整性、可用性、可审计性和抗抵赖性以及信息系统主体对信息资源的控制。 信息系统安全体系结构包含技术体系，组织体系，管 理体系。 信息系统安全体系结构示意图 41 / 59 管理是信息系统安全的灵魂。信息系统安全的管理体系由法律管理、制度管理和培训管理 3个部分组成。法律管理是根据相关的国家法律、法规对信息系统主体及其与外界关联行为的规范和约束。法律管理具有对信息系统主体行为的强制性约束力，并且有明确的管理层次性。与 安全有关的法律法规是信息系统安全的最高行为准则。制度管理是信息系统内部依据系统必要的国家或组织的安全需求制定的一系列内部规章制度，主要内容包括安全管理和执行机构的行为规范、岗位设定及其操作规范、岗位人员的素质要求及行为规范、内部关系与外部关系的行为规范等。制度管理是法律管理的形式化、具体化，是法律、法规与管理对象的接口。 培训管理是确保信息系统安全的前提。培训管理的内容包括法律法规培训、内部制度培训、岗位操作培训、普遍安全意识和与岗位相关的布点安全意识相结合培训、业务素质与技能技巧培训等。培训的对象不仅仅是 从事安全管理和业务的人员，而几乎包括信息系统有关的所有人员。 1 什么叫访问控制，常用的访问控制之间的区别，重点掌握自主访问控制和强制访问控制的区别。访问控制是按照事先确定的规则决定主体对客体的访问是否合法，访问控制实质上是对资源使用的限制，它决定主体是否被授权对客体执行42 / 59 某种操作。访问控制包括 3个要素：主体、客体和控制策略。 主体 S：是指一个提出请求或要求的实体，是动作的发起者，但不一定是动作的执 行者。客体 O：是接受其他实体访问的被动实体。控制策略 CS：是主体对客体的操作行为集和约束集。区别：自主访问控制的用户不能直接改变强制访问的控制属性，因此用户可以利用自主访问控制来防范其他用户对自己客体的攻击， DAC 技术存在着明显的不足：资源管理比较分散；信息容易泄露，无法抵御特洛伊木马的攻击。而强制访问控制则提供一个不可逾越的、更强的安全防护层，以防止其他用户偶然或故意滥用自主访问控制。是比 DAC更为严格的访问控制策略常用于对安全级别要求较高的军队和国家重要机构 访问控制的内容用户身份的识别和认证。访问控制的第一道设防是用户身份的识 别和认证，鉴别合法用户和非法用户，从而有效地阻止非法用户访问系统。 对访问的控制。当用户被批准访问系统后，就要对访问的操作进行控制。审计跟踪。审计跟 踪记录系统活动和用户活动。 访问控制矩阵是实现 DAC 策略的基本数据结构，矩阵的每一43 / 59 行代表一个主体，每一列代表一个客体，行列交叉处的矩阵元素存放着该主体访问该客体的权限访问控制标签列表 是限定一个用户对一个客体目标访问的安全属性集合。安全标签能对敏感信息加以区分，这样就可以对用户和客体 资源强制执行安全策略 VPN 的优缺点？一个 VPN 至少要提供数据加密，信息认证和身份认证及访问权限控制等功能。优点：与传统的广域网相比，虚拟专用网能够减少运营成本以及降低远程用户的连接成本。此外，虚拟专用网固定的通讯成本有助于企业更好地了解自己的运营开支。虚拟专用网还能够提供低成本的全球网络机会。缺点：基于互联网的虚拟专用网的可靠性和性能不再企业的直接控制之下。机构必须依靠提供虚拟专用网的互联网服 务提供商保持服务的启动和运行。这个因素对于与互联网服务提供商协商一个服务级协议，从而创建一个保证各种性能指标的协议，是非常重要的。 BLP安全模型是最著名的多级安全策略模 型，它实质上也是一种强制访问控制。在多级安全策略中，安全属性用二元组表示，记做，密级表示机密程度，类别集44 / 59 合表示部门或组织的集合。 BLP模型的几种访问模式：只读：读包含在客体中的信息。 添加：向客体中添加 信息且不读客体中的信息。 执行：执行一个客体。 读写：向客体中写信息，且允许读客体中的信息。 Bell-La Padula 模型的安全策略 BLP模型的两个访问规则 简单安全规则：仅当主体的敏感级不低于客体的敏感级且主体的类别集合包含客体时，才允许该主体读客体。也就是说主体只能从下读，而不能从上读。 一、史上影响较大的网络安全事件 1983年，凯文 米特尼克因被发现使用一台大学里的电脑擅自进入今日互联网的前身 ARPA 网，并通过该网进入了美国五角大楼的电脑，而被判在加州的青年管教所管教 6 个月。 1988年，凯文 米特尼克被执法 当局逮捕，原因是： DEC指45 / 59 控他从公司网络上盗取了价值 100 万美元的软件，并造成了400万美元损失。 1995年，来自俄罗斯的黑客 “ 弗拉季米尔 列宁 ” 在互联网上上演了精彩的偷天换日，他是历史上第一个通过入侵银行电脑系统来获利的黑客， 1995年，他侵入美国花旗银行并盗走一千万元，之后，他把账户里的钱 转移至美国、芬兰、荷兰、德国、爱尔兰等地。 1999年，梅利莎病毒使世界上 300多家公司的电脑系统崩溃，该病毒造成的损失接近 4 亿美金，它是首个具有全球破坏力的病毒，该病毒的编写者戴维 史密斯在编写此病毒时仅 30岁。戴维 史密斯被判处 5年徒刑。 2000年，年仅 15岁，绰号黑手党男孩的黑客在 2000 年 2 月6 日到 2 月 14 日情人节期间成功侵入包括雅虎、 eBay 和Amazon 在内的大型网站服务器，他成功阻止服务器向用户提供服务，他于当年被捕。 2001年，中美撞机事件发生后，中美黑 客之间发生的网络大战愈演愈烈。自 4 月 4 日以来，美国黑客组织 PoizonBox 不断袭击中国网站。对此，我国的网络安全人员积极防备美方46 / 59 黑客的攻击。中国一些黑客组织则在 “ 五一 ” 期间打响了“ 黑客反击战 ” 。 2002年，英国著名黑客加里 麦金农伦被指控侵入美国军方90多个电脑系统，造成约 140 万美元损失， 美方称此案为史上 “ 最大规模入侵军方网络事件 ” 。 2016年英法院裁定准许美方引渡麦金农。 XX年，俄罗斯黑客成功劫持 Windows Update 下载服务器。 XX 年，一个全球性的黑客组 织，利用 ATM 欺诈程序在一夜之间从世界 49 个城市的银行中盗走了 900 万美元。最关键的是，目前 FBI 还没破案，甚至据说连一个嫌疑人还没找到。 2016年， 7 月 7日，韩国总统府、国会、国情院和国防部等国家机关，以及金融界、媒体和防火墙企业网站遭到黑客的攻击。 9 日韩国国家情报院和国民银行网站无法被 访问。韩国国会、国防部、外交通商部等机构的网站一度无法打开。这是韩国遭遇的有史以来最强的一次黑客攻击。 二、黑客的行为特征及史上较为著名的黑客及事件 47 / 59 ：黑客的行为特征 攻击 ? 攻击类型： Land攻击是一种拒绝服务攻击。 ? 攻击特征：用于 Land 攻击的数据包中的源地址和目标地址是相同的，因为当操作系统接收到这类数据包时，不知道该如何处理堆栈中通信源地址和目的地址相同的这种情况，或者循环发送和接收该数据包，消耗大量的系统资源，从而有可能造成系统崩溃或死机等现象。 检测方法：判断网络数据包的源地址和目标地址是否相同。 ? 反攻击方法：适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为，并对这种攻击进行审计。 ? SYN攻击 ?攻击类型： TCP SYN攻击是一种拒绝服 务攻击。 ? 48 / 59 攻击特征：它是利用 TCP 客户机与服务器之间三次握手过程的缺陷来进行的。攻击者通过伪造源 IP 地址向被攻击者发送大量的 SYN数据包，当被攻击主机接收到大量的 SYN数据包时，需要使用大量的缓存来处理这些连接，并将 SYN ACK数据包发送回错误的 IP 地址，并一直等待 ACK 数据包的回应，最终导致缓存用完，不能再处理其它合法的 SYN 连接，即不能对外提供正常服务。 检测方法：检查单位时间内收到的 SYN连接否收超过系统设定的值。 ? 反攻击方法：当接收到大量的 SYN 数据包时，通知防火墙阻断连接请求或丢弃这些数据包，并进行系统审计。 Of Death攻击 攻击类型： Ping Of Death 攻击是一种拒绝服务攻击。 攻击特征：该攻击数据包大于 65535 个字节。由于部分操作系统接收到长度大于 65535字节的数据包时，就会造成内存溢出、系统崩溃、重启、内核失败等后果，从而达到攻击的目的。 49 / 59 检测方法：判断数据包的大小是否大于 65535个字 节。 反攻击方法：使用新的补丁程序，当收到大于 65535 个字节的数据包时，丢弃该数据包，并进行系统审计。 ? 攻击 攻击类型： WinNuke 攻击是一种拒绝服务攻击 。 攻击特征： WinNuke 攻击又称带外传输攻击，它的特征是攻击目标端口，被攻击的目标端口通常是 139、 138、 137、 113、53，而且 URG位设为 “1” ，即紧急模式。 检测方法：判断数据包目标端口是否为 139、 138、 137等，并判断 URG位是否为 “1” 。 反攻击方法：适当配置防火墙设备或过滤路由器就可以防止这种攻击手段，并对这种攻击进行审计。 攻击 50 / 59 攻击类型： Teardrop 攻击是一种拒绝服务攻击。 攻击特征： Teardrop 是基于 UDP的病态分片数据包的攻击方法，其工作原理是向被攻击者发送多个分片的 IP 包，某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。 检测方法：对接收到的分片数据包进行分析，计算数据包的片偏移量是否有误。 反攻击方法：添加系统补丁程序，丢弃收到的病态分片数据包并对这种攻击进行审计。 UDP端口扫描 攻击类型： TCP/UDP 端口扫描是一种预探测攻击。 攻击特征：对被攻击主机的不同端口发送 TCP或 UDP 连接请求，探测被攻击对象运行的服务类型。 检测方法：统计外界对系统端口的连接请求，特别是对 21、23、 25、 53、 80、 8000、 8080等以外的非常用端口的连接请51 / 59 求。 反攻击方法：当收到多个 TCP/UDP 数据 包对异常端口的连接请求时，通知防火墙阻断连接请求，并对攻击者的 IP 地址和 MAC地址进行审计。 ? 对于某些较复杂的入侵攻击行为不但需要采用模式匹配的方法，还需要利用状态转移、网络拓扑结构等方法来进行入侵检测