【系统架构设计师】七、信息安全技术基础知识(访问控制技术|抗攻击技术|计算机系统安全保护能力等级)

一、访问控制技术

二、信息安全的抗攻击技术

2.1 分布式拒绝服务DDoS与防御

2.3 ARP欺骗攻击与防御

2.4 DNS欺骗与防御

2.5 IP欺骗与防御

2.6 端口扫描（Port Scanning）

2.7 强化TCP/IP堆栈以抵御拒绝服务攻击

2.8 系统漏洞扫描

三、信息安全的保障体系与评估方法

3.1 计算机系统安全保护能力等级

3.2 安全风险管理

四、相关推荐

五、历年真题练习

一、访问控制技术

访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。访问控制包括3个要素，即主体、客体和控制策略。访问控制包括认证、控制策略实现和审计3方面的内容。审计的目的是防止滥用权力。访问控制的实现技术，如下：

1.访问控制矩阵（Access Control Matrix，ACM）。是通过矩阵形式表示访问控制规则和授权用户权限的方法。主体作为行，客体作为列。

	file1	file2	file3
User1	rw		w
User2	r	rw	r
User3	r	rw

2.访问控制表（Access Control Lists，ACL）。目前最流行、使用最多的访问控制实现技术。每个客体有一个访问控制表，是系统中每一个有权访问这个客体的主体的信息。这种实现技术实际上是按列保存访问矩阵。

3.能力表（Capabilities）。按行（即主体）保存访问矩阵。

4.授权关系表（Authorization Relations）。每一行(或者说元组)就是访问矩阵中的一个非空元素，是某一个主体对应于某一个客体的访问权限信息。如果授权关系表按主体排序，查询时就可以得到能力表的效率;如果按客体排序查询时就可以得到访问控制表的效率。

二、信息安全的抗攻击技术

密钥在概念上被分成数据加密密钥（DK）和密钥加密密钥（KK）两大类。后者用于保护密钥。加密的算法通常是公开的，加密的安全性在于密钥。为对抗攻击者的攻击密钥生成需要考虑3个方面的因素：增大密钥空间、选择强钥(复杂的)、密钥的随机性(使用随机数)。

拒绝服务攻击有许多种，网络的内外部用户都可以发动这种攻击。

内部用户可以通过长时间占用系统的内存、CPU 处理时间使其他用户不能及时得到这些资源，而引起拒绝服务攻击；外部黑客也可以通过占用网络连接使其他用户得不到网络服务。

外部用户针对网络连接发动拒绝服务攻击主要有以下几种模式：消耗资源、破坏或更改配置信息、物理破坏或改变网络部件、利用服务程序中的处理错误使服务失效。

2.1 分布式拒绝服务DDoS与防御

分布式拒绝服务DDoS攻击是传统DoS 攻击的发展，攻击者首先侵入并控制一些计算机，然后控制这些计算机同时向一个特定的目标发起拒绝服务攻击。克服了传统DOS受网络资源的限制和隐蔽性两大缺点。被 DDoS 攻击时可能的现象有：
1.被攻击主机上有大量等待的TCP 连接。
2.大量到达的数据分组(包括TCP 分组和UDP 分组)并不是网站服务连接的一部分，往往指向机器的任意端口。
3.网络中充斥着大量无用的数据包，源地址为假。
4.制造高流量的无用数据造成网络拥塞，使受害主机无法正常和外界通信。
5.利用受害主机提供的服务和传输协议上的缺陷，反复发出服务请求，使受害主机无法
及时处理所有正常请求。
6.严重时会造成死机。

现有的 DDoS 工具一般采用 Client（客户端）、Handler（主控端）、Agent（代理端）三级结构。

拒绝服务攻击的防御方式

1.加强对数据包的特征识别，攻击者发送的数据包中是有一些特征字符串。通过搜寻这些特征字符串就可以确定攻击服务器和攻击者的位置。

2.设置防火墙监视本地主机端口的使用情况。如果发现端口处于监听状态，则系统很可能受到攻击。

3.对通信数据量进行统计也可获得有关攻击系统的位置和数量信息。在攻击时，攻击数据的来源地址会发出超出正常极限的数据量。
4.尽可能的修正己经发现的问题和系统漏洞。

2.3 ARP欺骗攻击与防御

由于局域网的网络流通不是根据IP地址进行，而是根据MAC地址进行传输。在局域网中，黑客经过收到ARP Request广播包，能够偷听到其它节点的 (IP, MAC) 地址, 黑客就伪装为A，告诉B (受害者) 一个假地址，使得B在发送给A 的数据包都被黑客截取，而 B 浑然不知。

ARP欺骗详细介绍

ARP欺骗的防范措施

1.在winxp下输入命令：arp-s gate-way-ip gate-way-mac 固化arp 表，阻止arp 欺骗。
2.使用ARP 服务器。通过该服务器查找自己的ARP 转换表来响应其他机器的ARP广播。确保这台ARP 服务器不被黑。
3.采用双向绑定的方法解决并且防止ARP 欺骗。
4.ARP 防护软件--ARPGuard。通过系统底层核心驱动，无须安装其他任何第三方软件(如WinPcap)以服务及进程并存的形式随系统启动并运行，不占用计算机系统资源。无需对计算机进行IP 地址及MAG地址绑定，从而避免了大量且无效的工作量。也不用担心计算机会在重启后新建ARP 缓存列表，因为此软件是以服务与进程相结合的形式存在于计算机中，当计算机重启后软件的防护功能也会随操作系统自动启动并工作。

2.4 DNS欺骗与防御

DNS 欺骗首先是冒充域名服务器，然后把查询的IP 地址设为攻击者的IP 地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS 欺骗的基本原理。也即改掉了域名和IP地址的对应关系。黑客是通过冒充DNS服务器回复查询IP的。

如图所示， www.xxx.com 的 IP地址为202.109.2.2，如果www.angel.com 向xxx.com
的子域DNS 服务器查询www.xxx.com 的IP地址时， www.heike.com 冒充DNS 向www.angel.
com 回复www.xxx.com 的 IP地址为200.1.1.1,这时www.angel.com 就会把200.1.1.1当www.
xxx.com 的地址了。当www.angel.com 连 www.xxx.com 时，就会转向那个虚假的IP 地址了，这
样对www.xxx.com 来说，就算是给黑掉了。因为别人根本连接不上他的域名。

DNS欺骗的检测(防御)

1.被动监听检测：通过旁路监听的方式，捕获所有DNS 请求和应答数据包，并为其建立一个请求应答映射表。如果在一定的时间间隔内，一个请求对应两个或两个以上结果不同的应答包，则怀疑受到了DNS欺骗攻击。

2.虚假报文探测：采用主动发送探测包的手段来检测网络内是否存在DNS 欺骗攻击者。如果向一个非DNS服务器发送请求包，正常来说不会收到任何应答，如果收到了应答包，则说明受到了攻击。

3.交叉检查查询：在客户端收到DNS 应答包之后，向DNS 服务器反向查询应答包中返回的IP 地址所对应的DNS 名字，如果二者一致说明没有受到攻击，否则说明被欺骗。

2.5 IP欺骗与防御

IP欺骗的原理和流程

1.首先使被冒充主机host b 的网络暂时瘫痪，以免对攻击造成干扰；
2.然后连接到目标机host a的某个端口来猜测ISN 基值和增加规律；
3.接下来把源地址伪装成被冒充主机host b，发送带有SYN 标志的数据段请求连接；
4.然后等待目标机host a发送SYN+ACK 包给已经瘫痪的主机，因为现在看不到这个包；
5.最后再次伪装成主机hostb向目标主机hosta发送的ACK，此时发送的数据段带有预测的目标机的ISN+1；
6.连接建立，发送命令请求。

IP欺骗的防范

虽然IP 欺骗攻击有着相当难度，但这种攻击非常广泛，入侵往往由这里开始。预防这种攻
击可以删除UNIX 中所有的/etc/hosts.equiv、$HOME/.rhosts文件，修改/etc/inetd.conf文件，使
得RPC 机制无法应用。另外，还可以通过设置防火墙过滤来自外部而信源地址却是内部IP 的报文。

2.6 端口扫描（Port Scanning）

端口扫描是入侵者搜集信息的几种常用手法之一。端口扫描尝试与目标主机的某些端口建立
连接，如果目标主机该端口有回复(TCP三次握手四次挥手)，则说明该端口开放，甚至可以获取一些信息。端口扫描有全TCP 连接、半打开式扫描（SYN 扫描）、FIN 扫描、第三方扫描等分类。

1.全TCP 连接。这种扫描方法使用三次握手，与目标计算机建立标准的TCP连接。

2.半打开式扫描(SYN 扫描)。在这种扫描技术中，扫描主机自动向目标计算机的指定端口发送SYN数据段，表示发送建立连接请求。

2.1如果目标计算机的回应TCP报文中SYN=1ACK=1，则说明该端口是活动的，接着扫描主机传送一个RST给目标主机拒绝建立TCP 连接，从而导致三次握手的过程失败。
2.2如果目标计算机的回应是RST，则表示该端口为“死端口”，这种情况下，扫描主机不用做任何回应。

3.FIN 扫描。依靠发送FIN来判断目标计算机的指定端口是否是活动的。发送一个FIN=1的TCP 报文到一个关闭的端口时，该报文会被丢掉，并返回一个RST 报文。但是，如果当FIN 报文到一个活动的端口时，该报文只是被简单的丢掉，不会返回任何回应。从FIN 扫描可以看出，这种扫描没有涉及任何TCP 连接部分。因此，这种扫描比前两种都安全，可以称之为秘密扫描。

4.第三方扫描。第三方扫描又称“代理扫描”，这种扫描是利用第三方主机来代替入侵者进行扫描。这个第三方主机一般是入侵者通过入侵其他计算机而得到的，该“第三方”主机常被入侵者称之为“肉鸡”。这些“肉鸡”一般为安全防御系数极低的个人计算机。

2.7 强化TCP/IP堆栈以抵御拒绝服务攻击

1.同步包风暴(SYN Flooding)。利用TCP协议缺陷发送大量伪造的TCP连接请求，使得被攻击者资源耗尽。三次握手，进行了两次，不进行第三次握手，连接队列处于等待状态，大量这样的等待，会占满全部队列空间，使得系统挂起。可以通过修改注册表防御SYN Flooding 攻击。

2.ICMP 攻击。ICMP 协议本身的特点决定了它非常容易被用于攻击网络上的路由器和主机。比如，前面提到的“ Ping of Death"攻击就是利用操作系统规定的ICMP 数据包的最大尺寸不超过64KB 这一规定，达到使TCP/IP 堆栈崩溃、主机死机的效果。可以通过修改注册表防御ICMP 攻击。

3.SNMP 攻击。SNMP 还能被用于控制这些设备和产品，重定向通信流，改变通信数据包的优先级，甚至断开通信连接。总之，入侵者如果具备相应能力，就能完全接管你的网络。可以通过修改注册表项防御系统漏洞扫描指对重要计算机信息系统进行检查，发现其中可能被黑客利用的漏洞。包括基于网络的漏洞扫描(通过网络远程扫描主机)、基于主机的漏洞扫描(在目标系统安装了代理扫描)。

2.8 系统漏洞扫描

系统漏洞扫描指对重要计算机信息系统进行检查，发现其中可能被黑客利用的漏洞。漏洞扫描既是攻击者的准备工作，也是防御者安全方案的重要组成部分。系统漏洞扫描分为：
1.基于网络的漏洞扫描，通过网络来扫描目标主机的漏洞，常常被主机边界的防护所封堵，
因而获取到的信息比较有限。
2.基于主机的漏洞扫描，通常在目标系统上安装了一个代理（Agent）或者是服务（Services），因而能扫描到更多的漏洞。有扫描的漏洞数量多、集中化管理、网络流量负载小等优点。

三、信息安全的保障体系与评估方法

3.1 计算机系统安全保护能力等级

GB17859-999 标准规定了计算机系统安全保护能力的五个等级：

第1级用户自主保护级：本级的计算机信息系统可信计算基通过隔离用户与数据，使用户具备自主安全保护的能力。本级实施的是自主访问控制，即计算机信息系统可信计算机定义和控制系统中命名用户对命名客体的访问。

第2级系统审计保护级：本级的计算机信息系统可信计算基实施了粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。在自主访问控制的基础上控制访问权限扩散。

第3级安全标记保护级：本级的计算机信息系统可信计算基具有系统审计保护级所有功能。此外，还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述；具有准确地标记输出信息的能力；消除通过测试发现的任何错误。本级的主要特征是计算机信息系统可信计算基对所有主体及其所控制的客体(例如:进程、文件、段、设备)实施强制访问控制。

第4级结构化保护级：本级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外，还要考虑隐蔽通道。对外部主体能够直接或间接访问的所有资源(例如:主体、存储客体和输入输出资源)实施强制访问控制。

第5级访问验证保护级：本级的计算机信息系统可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的:必须足够小，能够分析和测试。与第四级相比，自主访问控制机制根据用户指定方式或默认方式，阻止非授权用户访问客体。访问控制的粒度是单个用户。访问控制能够为每个命名客体指定命名用户和用户组，并规定他们对客体的访问模式。没有存取权的用户只允许由授权用户指定对客体的访问权。

3.2 安全风险管理

在风险评估实施前，应该考虑：

        1.确定风险评估的范围。
        2.确定风险评估的目标。
        3.建立适当的组织结构。
        4.建立系统性的风险评估方法。
          5.获得最高管理者对风险评估策划的批准。

风险评估的基本要素为脆弱性、资产、威胁、风险和安全措施，与这些要素相关的属性分别为业务战略、资产价值、安全需求、安全事件和残余风险，这些也是风险评估要素的一部分。

风险计算模型包含信息资产、弱点/脆弱性、威胁等关键要素。每个要素有各自的属性，信息资产的属性是资产价值，弱点的属性是弱点被威胁利用后对资产带来的影响的严重程度，威胁的属性是威胁发生的可能性。风险计算的过程如下。
1.对信息资产进行识别，并对资产赋值。
2.对威胁进行分析，并对威胁发生的可能性赋值。
3.识别信息资产的脆弱性，并对弱点的严重程度赋值。
4.根据威胁和脆弱性计算安全事件发生的可能性。
5.结合信息资产的重要性和发生安全事件的可能性，计算信息资产的风险值。