【系统架构设计师】七、信息安全技术基础知识(访问控制技术|抗攻击技术|计算机系统安全保护能力等级)

news2024/11/26 9:31:23

目录

一、访问控制技术

二、信息安全的抗攻击技术

2.1 分布式拒绝服务DDoS与防御

2.3 ARP欺骗攻击与防御

2.4 DNS欺骗与防御

2.5 IP欺骗与防御

2.6 端口扫描(Port Scanning)

2.7 强化TCP/IP堆栈以抵御拒绝服务攻击

2.8 系统漏洞扫描

三、信息安全的保障体系与评估方法

3.1 计算机系统安全保护能力等级

3.2 安全风险管理

四、相关推荐 

五、历年真题练习


一、访问控制技术

        访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。访问控制包括3个要素,即主体、客体和控制策略。访问控制包括认证、控制策略实现和审计3方面的内容。审计的目的是防止滥用权力访问控制的实现技术,如下:

        1.访问控制矩阵(Access Control Matrix,ACM)。是通过矩阵形式表示访问控制规则和授权用户权限的方法主体作为行,客体作为列

file1file2file3
User1rww
User2rrwr
User3rrw

        2.访问控制表(Access Control Lists,ACL)。目前最流行、使用最多的访问控制实现技术。每个客体有一个访问控制表,是系统中每一个有权访问这个客体的主体的信息。这种实现技术实际上是按列保存访问矩阵。

        3.能力表(Capabilities)。按行(即主体)保存访问矩阵。        

        4.授权关系表(Authorization Relations)。每一行(或者说元组)就是访问矩阵中的一个非空元素,是某一个主体对应于某一个客体的访问权限信息。如果授权关系表按主体排序,查询时就可以得到能力表的效率;如果按客体排序查询时就可以得到访问控制表的效率。

二、信息安全的抗攻击技术

        密钥在概念上被分成数据加密密钥(DK)和密钥加密密钥(KK)两大类。后者用于保护密钥。加密的算法通常是公开的,加密的安全性在于密钥。为对抗攻击者的攻击密钥生成需要考虑3个方面的因素:增大密钥空间、选择强钥(复杂的)、密钥的随机性(使用随机数)。

        拒绝服务攻击有许多种,网络的内外部用户都可以发动这种攻击。

                内部用户可以通过长时间占用系统的内存、CPU 处理时间使其他用户不能及时得到这些资源,而引起拒绝服务攻击外部黑客也可以通过占用网络连接使其他用户得不到网络服务。

                外部用户针对网络连接发动拒绝服务攻击主要有以下几种模式:消耗资源、破坏或更改配置信息、物理破坏或改变网络部件、利用服务程序中的处理错误使服务失效

2.1 分布式拒绝服务DDoS与防御

        分布式拒绝服务DDoS攻击是传统DoS 攻击的发展,攻击者首先侵入并控制一些计算机,然后控制这些计算机同时向一个特定的目标发起拒绝服务攻击。克服了传统DOS受网络资源的限制和隐蔽性两大缺点。被 DDoS 攻击时可能的现象有:
                1.被攻击主机上有大量等待的TCP 连接。
                2.大量到达的数据分组(包括TCP 分组和UDP 分组)并不是网站服务连接的一部分,往往指向机器的任意端口。
                3.网络中充斥着大量无用的数据包,源地址为假。
                4.制造高流量的无用数据造成网络拥塞,使受害主机无法正常和外界通信。
                5.利用受害主机提供的服务和传输协议上的缺陷,反复发出服务请求,使受害主机无法
及时处理所有正常请求。
                6.严重时会造成死机。

        现有的 DDoS 工具一般采用 Client(客户端)、Handler(主控端)、Agent(代理端)三级结构

DDoS三级结构

        
        拒绝服务攻击的防御方式

                1.加强对数据包的特征识别,攻击者发送的数据包中是有一些特征字符串。通过搜寻这些特征字符串就可以确定攻击服务器和攻击者的位置。

                2.设置防火墙监视本地主机端口的使用情况。如果发现端口处于监听状态,则系统很可能受到攻击。

                3.对通信数据量进行统计也可获得有关攻击系统的位置和数量信息。在攻击时,攻击数据的来源地址会发出超出正常极限的数据量。
                4.尽可能的修正己经发现的问题和系统漏洞

        

2.3 ARP欺骗攻击与防御

        由于局域网的网络流通不是根据IP地址进行,而是根据MAC地址进行传输。在局域网中,黑客经过收到ARP Request广播包,能够偷听到其它节点的 (IP, MAC) 地址, 黑客就伪装为A,告诉B (受害者) 一个假地址,使得B在发送给A 的数据包都被黑客截取,而 B 浑然不知。

        ARP欺骗详细介绍

       ARP欺骗的防范措施

                1.在winxp下输入命令:arp-s gate-way-ip gate-way-mac 固化arp 表,阻止arp 欺骗。
                2.使用ARP 服务器。通过该服务器查找自己的ARP 转换表来响应其他机器的ARP广播。确保这台ARP 服务器不被黑。
                3.采用双向绑定的方法解决并且防止ARP 欺骗。
                4.ARP 防护软件--ARPGuard。通过系统底层核心驱动,无须安装其他任何第三方软件(如WinPcap)以服务及进程并存的形式随系统启动并运行,不占用计算机系统资源。无需对计算机进行IP 地址及MAG地址绑定,从而避免了大量且无效的工作量。也不用担心计算机会在重启后新建ARP 缓存列表,因为此软件是以服务与进程相结合的形式存在于计算机中,当计算机重启后软件的防护功能也会随操作系统自动启动并工作。

2.4 DNS欺骗与防御

        DNS 欺骗首先是冒充域名服务器,然后把查询的IP 地址设为攻击者的IP 地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS 欺骗的基本原理。也即改掉了域名和IP地址的对应关系。黑客是通过冒充DNS服务器回复查询IP的。        

        如图所示, www.xxx.com 的 IP地址为202.109.2.2,如果www.angel.com 向xxx.com
的子域DNS 服务器查询www.xxx.com 的IP地址时, www.heike.com 冒充DNS 向www.angel.
com 回复www.xxx.com 的 IP地址为200.1.1.1,这时www.angel.com 就会把200.1.1.1当www.
xxx.com 的地址了。当www.angel.com 连 www.xxx.com 时,就会转向那个虚假的IP 地址了,这
样对www.xxx.com 来说,就算是给黑掉了。因为别人根本连接不上他的域名。

        DNS欺骗的检测(防御)

                1.被动监听检测:通过旁路监听的方式,捕获所有DNS 请求和应答数据包,并为其建立一个请求应答映射表。如果在一定的时间间隔内,一个请求对应两个或两个以上结果不同的应答包,则怀疑受到了DNS欺骗攻击。

                2.虚假报文探测:采用主动发送探测包的手段来检测网络内是否存在DNS 欺骗攻击者。如果向一个非DNS服务器发送请求包,正常来说不会收到任何应答,如果收到了应答包,则说明受到了攻击。

                3.交叉检查查询:在客户端收到DNS 应答包之后,向DNS 服务器反向查询应答包中返回的IP 地址所对应的DNS 名字,如果二者一致说明没有受到攻击,否则说明被欺骗。

2.5 IP欺骗与防御

        IP欺骗的原理和流程

                1.首先使被冒充主机host b 的网络暂时瘫痪,以免对攻击造成干扰;
                2.然后连接到目标机host a的某个端口来猜测ISN 基值和增加规律
                3.接下来把源地址伪装成被冒充主机host b,发送带有SYN 标志的数据段请求连接
                4.然后等待目标机host a发送SYN+ACK 包给已经瘫痪的主机,因为现在看不到这个包;                 
                5.最后再次伪装成主机hostb向目标主机hosta发送的ACK,此时发送的数据段带有预测的目标机的ISN+1
                6.连接建立,发送命令请求。

        IP欺骗的防范

        虽然IP 欺骗攻击有着相当难度,但这种攻击非常广泛,入侵往往由这里开始。预防这种攻
击可以删除UNIX 中所有的/etc/hosts.equiv、$HOME/.rhosts文件,修改/etc/inetd.conf文件,使
得RPC 机制无法应用。另外,还可以通过设置防火墙过滤来自外部而信源地址却是内部IP 的报文。

2.6 端口扫描(Port Scanning)

        端口扫描是入侵者搜集信息的几种常用手法之一。端口扫描尝试与目标主机的某些端口建立
连接,如果目标主机该端口有回复(TCP三次握手四次挥手),则说明该端口开放,甚至可以获取一些信息。端口扫描有全TCP 连接、半打开式扫描(SYN 扫描)、FIN 扫描、第三方扫描等分类。

        1.全TCP 连接。这种扫描方法使用三次握手,与目标计算机建立标准的TCP连接。

        2.半打开式扫描(SYN 扫描)。在这种扫描技术中,扫描主机自动向目标计算机的指定端口发送SYN数据段,表示发送建立连接请求

                2.1如果目标计算机的回应TCP报文中SYN=1ACK=1,则说明该端口是活动的,接着扫描主机传送一个RST给目标主机拒绝建立TCP 连接,从而导致三次握手的过程失败。
                2.2如果目标计算机的回应是RST,则表示该端口为“死端口”,这种情况下,扫描主机不用做任何回应。

        3.FIN 扫描。依靠发送FIN来判断目标计算机的指定端口是否是活动的。发送一个FIN=1的TCP 报文到一个关闭的端口时,该报文会被丢掉,并返回一个RST 报文。但是,如果当FIN 报文到一个活动的端口时,该报文只是被简单的丢掉,不会返回任何回应。从FIN 扫描可以看出,这种扫描没有涉及任何TCP 连接部分。因此,这种扫描比前两种都安全,可以称之为秘密扫描。

         4.第三方扫描。第三方扫描又称“代理扫描”,这种扫描是利用第三方主机来代替入侵者进行扫描。这个第三方主机一般是入侵者通过入侵其他计算机而得到的,该“第三方”主机常被入侵者称之为“肉鸡”。这些“肉鸡”一般为安全防御系数极低的个人计算机。

2.7 强化TCP/IP堆栈以抵御拒绝服务攻击

        1.同步包风暴(SYN Flooding)。利用TCP协议缺陷发送大量伪造的TCP连接请求,使得被攻击者资源耗尽。三次握手,进行了两次,不进行第三次握手,连接队列处于等待状态,大量这样的等待,会占满全部队列空间,使得系统挂起。可以通过修改注册表防御SYN Flooding 攻击。

        2.ICMP 攻击。ICMP 协议本身的特点决定了它非常容易被用于攻击网络上的路由器和主机。比如,前面提到的“ Ping of Death"攻击就是利用操作系统规定的ICMP 数据包的最大尺寸不超过64KB 这一规定,达到使TCP/IP 堆栈崩溃、主机死机的效果。可以通过修改注册表防御ICMP 攻击。

        3.SNMP 攻击。SNMP 还能被用于控制这些设备和产品,重定向通信流,改变通信数据包的优先级,甚至断开通信连接。总之,入侵者如果具备相应能力,就能完全接管你的网络。可以通过修改注册表项防御系统漏洞扫描指对重要计算机信息系统进行检查,发现其中可能被黑客利用的漏洞。包括基于网络的漏洞扫描(通过网络远程扫描主机)、基于主机的漏洞扫描(在目标系统安装了代理扫描)。

2.8 系统漏洞扫描

        系统漏洞扫描指对重要计算机信息系统进行检查,发现其中可能被黑客利用的漏洞。漏洞扫描既是攻击者的准备工作,也是防御者安全方案的重要组成部分。系统漏洞扫描分为:
        1.基于网络的漏洞扫描,通过网络来扫描目标主机的漏洞,常常被主机边界的防护所封堵,
因而获取到的信息比较有限。
        2.基于主机的漏洞扫描,通常在目标系统上安装了一个代理(Agent)或者是服务(Services),因而能扫描到更多的漏洞。有扫描的漏洞数量多、集中化管理、网络流量负载小等优点。

三、信息安全的保障体系与评估方法

3.1 计算机系统安全保护能力等级

        GB17859-999 标准规定了计算机系统安全保护能力的五个等级

        第1级 用户自主保护级:本级的计算机信息系统可信计算基通过隔离用户与数据,使用户具备自主安全保护的能力。本级实施的是自主访问控制,即计算机信息系统可信计算机定义和控制系统中命名用户对命名客体的访问。

        第2级 系统审计保护级:本级的计算机信息系统可信计算基实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。在自主访问控制的基础上控制访问权限扩散

        第3级 安全标记保护级:本级的计算机信息系统可信计算基具有系统审计保护级所有功能。此外,还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述;具有准确地标记输出信息的能力;消除通过测试发现的任何错误。本级的主要特征是计算机信息系统可信计算基对所有主体及其所控制的客体(例如:进程、文件、段、设备)实施强制访问控制。

        第4级 结构化保护级:本级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外,还要考虑隐蔽通道。对外部主体能够直接或间接访问的所有资源(例如:主体、存储客体和输入输出资源)实施强制访问控制。

        第5级 访问验证保护级:本级的计算机信息系统可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的:必须足够小,能够分析和测试。与第四级相比,自主访问控制机制根据用户指定方式或默认方式,阻止非授权用户访问客体。访问控制的粒度是单个用户。访问控制能够为每个命名客体指定命名用户和用户组,并规定他们对客体的访问模式。没有存取权的用户只允许由授权用户指定对客体的访问权。

3.2 安全风险管理

        在风险评估实施前,应该考虑

                1.确定风险评估的范围。
                2.确定风险评估的目标。
                3.建立适当的组织结构。
                4.建立系统性的风险评估方法。
                5.获得最高管理者对风险评估策划的批准。

        风险评估的基本要素为脆弱性、资产、威胁、风险和安全措施,与这些要素相关的属性分别为业务战略、资产价值、安全需求、安全事件和残余风险,这些也是风险评估要素的一部分。

        风险计算模型包含信息资产、弱点/脆弱性、威胁等关键要素。每个要素有各自的属性,信息资产的属性是资产价值,弱点的属性是弱点被威胁利用后对资产带来的影响的严重程度,威胁的属性是威胁发生的可能性。风险计算的过程如下。
                1.对信息资产进行识别,并对资产赋值。
                2.对威胁进行分析,并对威胁发生的可能性赋值。
                3.识别信息资产的脆弱性,并对弱点的严重程度赋值。
                4.根据威胁和脆弱性计算安全事件发生的可能性。
                5.结合信息资产的重要性和发生安全事件的可能性,计算信息资产的风险值。

四、相关推荐 

七、信息安全技术基础知识(信息安全的概念|信息安全系统的组成框架|信息加解密技术)icon-default.png?t=N7T8https://shuaici.blog.csdn.net/article/details/139984427

五、历年真题练习

        5.1 DES 加密算法的密钥长度为 56 位,三重 DES 的密钥长度为( )位。
                A. 168        B.128        C.112        D.56

        5.2 ARP攻击造成网络无法跨网段通信的原因是()。
                A.发送大量ARP报文造成网络拥塞
                B.伪造网关ARP报文使得数据包无法发送到网关
                C.ARP攻击破坏了网络的物理连通性
                D.ARP攻击破坏了网关设备
 

人工分割线-答案

        5.1 C        
                解析:三重 DES 采用两组 56 位的密钥K1 和K2,通过“K1 加密----K2 解密---K1 加密”的过程,两组密钥加起来的长度是 112 位。

        5.2 B

        

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1871844.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Kafka入门到精通(四)-SpringBoot+Kafka

一丶IDEA创建一个空项目 二丶添加相关依赖 <dependencies><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><dependency><groupId>org.springf…

Java基于jjwt操作jwt

之前讲解了jwt的相关知识&#xff0c;有不了解的&#xff0c;可以查看相关的文章JWT简介-CSDN博客&#xff0c;本节不再介绍&#xff0c;主要讲解有关java中如何通过jjwt库产生jwt以及解析jwt的相关操作。 添加maven依赖 <dependency><groupId>io.jsonwebtoken&l…

通过ChatGLM的简单例子体验大模型

【图书推荐】《从零开始大模型开发与微调&#xff1a;基于PyTorch与ChatGLM》_《从零开始大模型开发与微调:基于pytorch与chatglm》-CSDN博客 ChatGLM基于GLM架构&#xff0c;针对中文问答和对话进行了优化。经过约1TB标识符的中英双语训练&#xff0c;辅以监督微调、反馈自助…

2734. 执行子串操作后的字典序最小字符串(Rust单百算法)

题目 给你一个仅由小写英文字母组成的字符串 s 。在一步操作中&#xff0c;你可以完成以下行为&#xff1a; 选择 s 的任一非空子字符串&#xff0c;可能是整个字符串&#xff0c;接着将字符串中的每一个字符替换为英文字母表中的前一个字符。例如&#xff0c;‘b’ 用 ‘a’…

DM达梦数据日期时间函数、系统函数整理

&#x1f49d;&#x1f49d;&#x1f49d;首先&#xff0c;欢迎各位来到我的博客&#xff0c;很高兴能够在这里和您见面&#xff01;希望您在这里不仅可以有所收获&#xff0c;同时也能感受到一份轻松欢乐的氛围&#xff0c;祝你生活愉快&#xff01; &#x1f49d;&#x1f49…

Python数据分析第二课:conda的基础命令

Python数据分析第二课&#xff1a;conda的基础命令 1.conda是什么? conda是一个开源的包管理系统&#xff0c;可以帮助我们进行管理多个不同版本的软件包&#xff0c;还可以帮助我们建立虚拟环境&#xff0c;以便对不同的项目进行隔离。 简单来说&#xff0c;conda是一个软…

LabVIEW网络开发资源

在LabVIEW开发中&#xff0c;利用网络资源进行学习和查找资料是提高技能和解决问题的重要途径。以下几个国内外优质资源可以帮助开发者获得丰富的技术支持和交流机会&#xff1a; 1. NI Community (NI社区) 简介: National Instruments官方运营的社区&#xff0c;提供丰富的资…

华为od 2024 | 什么是华为od,od 薪资待遇,od机试题清单

目录 专栏导读华为OD机试算法题太多了&#xff0c;知识点繁杂&#xff0c;如何刷题更有效率呢&#xff1f; 一、逻辑分析二、数据结构1、线性表① 数组② 双指针 2、map与list3、队列4、链表5、栈6、滑动窗口7、二叉树8、并查集9、矩阵 三、算法1、基础算法① 贪心思维② 二分查…

svn切换分支

现在有一个场景&#xff1a; 在svn中有一个b分支&#xff0c;是基于a分支拉出来的&#xff0c;并且我的b分支在本地已经有了改动&#xff0c;a分支在远端也有了改动&#xff0c; 我想把远端a分支的改动同步到我的本地b分支上&#xff0c;如何操作 目前已知的方法 项目右键-&g…

充电站,正在杀死加油站

最近&#xff0c;深圳公布了一组数据&#xff0c;深圳的超级充电站数量已超过传统加油站数量&#xff0c;充电枪数量也已超过加油枪数量。 从全国范围看&#xff0c;加油站关停的速度在加快。 充电站正在杀死加油站。 加油站&#xff0c;未来何去何从&#xff1f; 01. 减少 我…

基于weixin小程序乡村旅游系统的设计

管理员账户功能包括&#xff1a;系统首页&#xff0c;个人中心&#xff0c;用户管理&#xff0c;商家管理&#xff0c;旅游景点管理&#xff0c;景点类型管理&#xff0c;景点路线管理&#xff0c;系统管理 商家帐号账号功能包括&#xff1a;系统首页&#xff0c;旅游景点管理&…

spring模块(二)SpringBean(2)InitializingBean

一、介绍 1、简介 InitializingBean是Spring框架提供的一个接口&#xff0c;用于在Bean初始化完成后执行特定的初始化逻辑。 Spring为bean提供了两种初始化bean的方式&#xff0c;实现InitializingBean接口&#xff0c;实现afterPropertiesSet方法&#xff0c;或者在配置文件…

【uml期末复习】统一建模语言大纲

前言&#xff1a; 关于uml的期末复习的常考知识点&#xff0c;可能对你们有帮助&#x1f609; 目录 第一部分 概念与基础 第一章 面向对象技术 第二章 统一软件过程 第三章 UML概述 第四章 用例图 第五章 类图 第六章 对象图 第七章 顺序图 第八章 协作图 第九章 状态…

c++ 子类继承父类

这个是子类继承父类 是否重写从父类那里继承来的函数 这个例子的路径 E盘 demo文件夹 fatherChildfunc

Github 2024-06-28 Java开源项目日报Top9

根据Github Trendings的统计,今日(2024-06-28统计)共有9个项目上榜。根据开发语言中项目的数量,汇总情况如下: 开发语言项目数量Java项目8非开发语言项目1HTML项目1《Hello 算法》:动画图解、一键运行的数据结构与算法教程 创建周期:476 天协议类型:OtherStar数量:63556…

哈喽GPT-4o,对GPT-4o 数据分析Data Analysis的思考与看法

目录 上传一个Excel给Data Analysis。Prompt&#xff1a;请问这个数据集是做什么的Prompt&#xff1a;请问书籍的定价如何&#xff0c;请用合适的图表展示它的售价情况Prompt&#xff1a;请统计书名列中出现最多的名称&#xff0c;然后使用词云将其可视化。Prompt&#xff1a;请…

湘潭大学软件工程信息与网络安全复习笔记最后一篇

文章目录 复习建议分数占比流密码A5/1RC4 分组密码DESAES 复习建议 现在笔者复习算是收尾了&#xff0c;现在也是考前的最后一天了&#xff0c;走了不少弯路&#xff0c;但是可能也是必不可少的&#xff0c;复习建议是硬着头皮把这份文件看一遍&#xff0c;不理解的地方找英文…

Unity热更方案 YooAsset+HybridCLR,纯c#开发热更,保姆级教程,从零开始

文章预览&#xff1a; 一、前言二、创建空工程三、接入HybridCLR四、接入YooAsset五、搭建本地资源服务器Nginx六、实战七、最后 一、前言 unity热更有很多方案&#xff0c;各种lua热更&#xff0c;ILRuntime等&#xff0c;这里介绍的是YooAssetHybridCLR的热更方案&#xff0…

计网实训——不相同网段的PC相互通信

目录 提前准备APP路由器指令 实验一1、实验需求&#xff08;1&#xff09;实现同网段的PC相互通信。&#xff08;2&#xff09;实现不相同网段的PC相互通信。&#xff08;3&#xff09;分析相同和不同网段PC通信时MAC地址的变化。 2、实验拓扑3、实验步骤及实验截图&#xff08…

【python】PyQt5对象类型的判定,对象删除操作详细解读

✨✨ 欢迎大家来到景天科技苑✨✨ &#x1f388;&#x1f388; 养成好习惯&#xff0c;先赞后看哦~&#x1f388;&#x1f388; &#x1f3c6; 作者简介&#xff1a;景天科技苑 &#x1f3c6;《头衔》&#xff1a;大厂架构师&#xff0c;华为云开发者社区专家博主&#xff0c;…