【系统架构设计师】七、信息安全技术基础知识(访问控制技术|抗攻击技术|计算机系统安全保护能力等级)

目录

一、访问控制技术

二、信息安全的抗攻击技术

2.1 分布式拒绝服务DDoS与防御

2.3 ARP欺骗攻击与防御

2.4 DNS欺骗与防御

2.5 IP欺骗与防御

2.6 端口扫描(Port Scanning)

2.7 强化TCP/IP堆栈以抵御拒绝服务攻击

2.8 系统漏洞扫描

三、信息安全的保障体系与评估方法

3.1 计算机系统安全保护能力等级

3.2 安全风险管理

四、相关推荐 

五、历年真题练习


一、访问控制技术

        访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。访问控制包括3个要素,即主体、客体和控制策略。访问控制包括认证、控制策略实现和审计3方面的内容。审计的目的是防止滥用权力访问控制的实现技术,如下:

        1.访问控制矩阵(Access Control Matrix,ACM)。是通过矩阵形式表示访问控制规则和授权用户权限的方法主体作为行,客体作为列

file1file2file3
User1rww
User2rrwr
User3rrw

        2.访问控制表(Access Control Lists,ACL)。目前最流行、使用最多的访问控制实现技术。每个客体有一个访问控制表,是系统中每一个有权访问这个客体的主体的信息。这种实现技术实际上是按列保存访问矩阵。

        3.能力表(Capabilities)。按行(即主体)保存访问矩阵。        

        4.授权关系表(Authorization Relations)。每一行(或者说元组)就是访问矩阵中的一个非空元素,是某一个主体对应于某一个客体的访问权限信息。如果授权关系表按主体排序,查询时就可以得到能力表的效率;如果按客体排序查询时就可以得到访问控制表的效率。

二、信息安全的抗攻击技术

        密钥在概念上被分成数据加密密钥(DK)和密钥加密密钥(KK)两大类。后者用于保护密钥。加密的算法通常是公开的,加密的安全性在于密钥。为对抗攻击者的攻击密钥生成需要考虑3个方面的因素:增大密钥空间、选择强钥(复杂的)、密钥的随机性(使用随机数)。

        拒绝服务攻击有许多种,网络的内外部用户都可以发动这种攻击。

                内部用户可以通过长时间占用系统的内存、CPU 处理时间使其他用户不能及时得到这些资源,而引起拒绝服务攻击外部黑客也可以通过占用网络连接使其他用户得不到网络服务。

                外部用户针对网络连接发动拒绝服务攻击主要有以下几种模式:消耗资源、破坏或更改配置信息、物理破坏或改变网络部件、利用服务程序中的处理错误使服务失效

2.1 分布式拒绝服务DDoS与防御

        分布式拒绝服务DDoS攻击是传统DoS 攻击的发展,攻击者首先侵入并控制一些计算机,然后控制这些计算机同时向一个特定的目标发起拒绝服务攻击。克服了传统DOS受网络资源的限制和隐蔽性两大缺点。被 DDoS 攻击时可能的现象有:
                1.被攻击主机上有大量等待的TCP 连接。
                2.大量到达的数据分组(包括TCP 分组和UDP 分组)并不是网站服务连接的一部分,往往指向机器的任意端口。
                3.网络中充斥着大量无用的数据包,源地址为假。
                4.制造高流量的无用数据造成网络拥塞,使受害主机无法正常和外界通信。
                5.利用受害主机提供的服务和传输协议上的缺陷,反复发出服务请求,使受害主机无法
及时处理所有正常请求。
                6.严重时会造成死机。

        现有的 DDoS 工具一般采用 Client(客户端)、Handler(主控端)、Agent(代理端)三级结构

DDoS三级结构

        
        拒绝服务攻击的防御方式

                1.加强对数据包的特征识别,攻击者发送的数据包中是有一些特征字符串。通过搜寻这些特征字符串就可以确定攻击服务器和攻击者的位置。

                2.设置防火墙监视本地主机端口的使用情况。如果发现端口处于监听状态,则系统很可能受到攻击。

                3.对通信数据量进行统计也可获得有关攻击系统的位置和数量信息。在攻击时,攻击数据的来源地址会发出超出正常极限的数据量。
                4.尽可能的修正己经发现的问题和系统漏洞

        

2.3 ARP欺骗攻击与防御

        由于局域网的网络流通不是根据IP地址进行,而是根据MAC地址进行传输。在局域网中,黑客经过收到ARP Request广播包,能够偷听到其它节点的 (IP, MAC) 地址, 黑客就伪装为A,告诉B (受害者) 一个假地址,使得B在发送给A 的数据包都被黑客截取,而 B 浑然不知。

        ARP欺骗详细介绍

       ARP欺骗的防范措施

                1.在winxp下输入命令:arp-s gate-way-ip gate-way-mac 固化arp 表,阻止arp 欺骗。
                2.使用ARP 服务器。通过该服务器查找自己的ARP 转换表来响应其他机器的ARP广播。确保这台ARP 服务器不被黑。
                3.采用双向绑定的方法解决并且防止ARP 欺骗。
                4.ARP 防护软件--ARPGuard。通过系统底层核心驱动,无须安装其他任何第三方软件(如WinPcap)以服务及进程并存的形式随系统启动并运行,不占用计算机系统资源。无需对计算机进行IP 地址及MAG地址绑定,从而避免了大量且无效的工作量。也不用担心计算机会在重启后新建ARP 缓存列表,因为此软件是以服务与进程相结合的形式存在于计算机中,当计算机重启后软件的防护功能也会随操作系统自动启动并工作。

2.4 DNS欺骗与防御

        DNS 欺骗首先是冒充域名服务器,然后把查询的IP 地址设为攻击者的IP 地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS 欺骗的基本原理。也即改掉了域名和IP地址的对应关系。黑客是通过冒充DNS服务器回复查询IP的。        

        如图所示, www.xxx.com 的 IP地址为202.109.2.2,如果www.angel.com 向xxx.com
的子域DNS 服务器查询www.xxx.com 的IP地址时, www.heike.com 冒充DNS 向www.angel.
com 回复www.xxx.com 的 IP地址为200.1.1.1,这时www.angel.com 就会把200.1.1.1当www.
xxx.com 的地址了。当www.angel.com 连 www.xxx.com 时,就会转向那个虚假的IP 地址了,这
样对www.xxx.com 来说,就算是给黑掉了。因为别人根本连接不上他的域名。

        DNS欺骗的检测(防御)

                1.被动监听检测:通过旁路监听的方式,捕获所有DNS 请求和应答数据包,并为其建立一个请求应答映射表。如果在一定的时间间隔内,一个请求对应两个或两个以上结果不同的应答包,则怀疑受到了DNS欺骗攻击。

                2.虚假报文探测:采用主动发送探测包的手段来检测网络内是否存在DNS 欺骗攻击者。如果向一个非DNS服务器发送请求包,正常来说不会收到任何应答,如果收到了应答包,则说明受到了攻击。

                3.交叉检查查询:在客户端收到DNS 应答包之后,向DNS 服务器反向查询应答包中返回的IP 地址所对应的DNS 名字,如果二者一致说明没有受到攻击,否则说明被欺骗。

2.5 IP欺骗与防御

        IP欺骗的原理和流程

                1.首先使被冒充主机host b 的网络暂时瘫痪,以免对攻击造成干扰;
                2.然后连接到目标机host a的某个端口来猜测ISN 基值和增加规律
                3.接下来把源地址伪装成被冒充主机host b,发送带有SYN 标志的数据段请求连接
                4.然后等待目标机host a发送SYN+ACK 包给已经瘫痪的主机,因为现在看不到这个包;                 
                5.最后再次伪装成主机hostb向目标主机hosta发送的ACK,此时发送的数据段带有预测的目标机的ISN+1
                6.连接建立,发送命令请求。

        IP欺骗的防范

        虽然IP 欺骗攻击有着相当难度,但这种攻击非常广泛,入侵往往由这里开始。预防这种攻
击可以删除UNIX 中所有的/etc/hosts.equiv、$HOME/.rhosts文件,修改/etc/inetd.conf文件,使
得RPC 机制无法应用。另外,还可以通过设置防火墙过滤来自外部而信源地址却是内部IP 的报文。

2.6 端口扫描(Port Scanning)

        端口扫描是入侵者搜集信息的几种常用手法之一。端口扫描尝试与目标主机的某些端口建立
连接,如果目标主机该端口有回复(TCP三次握手四次挥手),则说明该端口开放,甚至可以获取一些信息。端口扫描有全TCP 连接、半打开式扫描(SYN 扫描)、FIN 扫描、第三方扫描等分类。

        1.全TCP 连接。这种扫描方法使用三次握手,与目标计算机建立标准的TCP连接。

        2.半打开式扫描(SYN 扫描)。在这种扫描技术中,扫描主机自动向目标计算机的指定端口发送SYN数据段,表示发送建立连接请求

                2.1如果目标计算机的回应TCP报文中SYN=1ACK=1,则说明该端口是活动的,接着扫描主机传送一个RST给目标主机拒绝建立TCP 连接,从而导致三次握手的过程失败。
                2.2如果目标计算机的回应是RST,则表示该端口为“死端口”,这种情况下,扫描主机不用做任何回应。

        3.FIN 扫描。依靠发送FIN来判断目标计算机的指定端口是否是活动的。发送一个FIN=1的TCP 报文到一个关闭的端口时,该报文会被丢掉,并返回一个RST 报文。但是,如果当FIN 报文到一个活动的端口时,该报文只是被简单的丢掉,不会返回任何回应。从FIN 扫描可以看出,这种扫描没有涉及任何TCP 连接部分。因此,这种扫描比前两种都安全,可以称之为秘密扫描。

         4.第三方扫描。第三方扫描又称“代理扫描”,这种扫描是利用第三方主机来代替入侵者进行扫描。这个第三方主机一般是入侵者通过入侵其他计算机而得到的,该“第三方”主机常被入侵者称之为“肉鸡”。这些“肉鸡”一般为安全防御系数极低的个人计算机。

2.7 强化TCP/IP堆栈以抵御拒绝服务攻击

        1.同步包风暴(SYN Flooding)。利用TCP协议缺陷发送大量伪造的TCP连接请求,使得被攻击者资源耗尽。三次握手,进行了两次,不进行第三次握手,连接队列处于等待状态,大量这样的等待,会占满全部队列空间,使得系统挂起。可以通过修改注册表防御SYN Flooding 攻击。

        2.ICMP 攻击。ICMP 协议本身的特点决定了它非常容易被用于攻击网络上的路由器和主机。比如,前面提到的“ Ping of Death"攻击就是利用操作系统规定的ICMP 数据包的最大尺寸不超过64KB 这一规定,达到使TCP/IP 堆栈崩溃、主机死机的效果。可以通过修改注册表防御ICMP 攻击。

        3.SNMP 攻击。SNMP 还能被用于控制这些设备和产品,重定向通信流,改变通信数据包的优先级,甚至断开通信连接。总之,入侵者如果具备相应能力,就能完全接管你的网络。可以通过修改注册表项防御系统漏洞扫描指对重要计算机信息系统进行检查,发现其中可能被黑客利用的漏洞。包括基于网络的漏洞扫描(通过网络远程扫描主机)、基于主机的漏洞扫描(在目标系统安装了代理扫描)。

2.8 系统漏洞扫描

        系统漏洞扫描指对重要计算机信息系统进行检查,发现其中可能被黑客利用的漏洞。漏洞扫描既是攻击者的准备工作,也是防御者安全方案的重要组成部分。系统漏洞扫描分为:
        1.基于网络的漏洞扫描,通过网络来扫描目标主机的漏洞,常常被主机边界的防护所封堵,
因而获取到的信息比较有限。
        2.基于主机的漏洞扫描,通常在目标系统上安装了一个代理(Agent)或者是服务(Services),因而能扫描到更多的漏洞。有扫描的漏洞数量多、集中化管理、网络流量负载小等优点。

三、信息安全的保障体系与评估方法

3.1 计算机系统安全保护能力等级

        GB17859-999 标准规定了计算机系统安全保护能力的五个等级

        第1级 用户自主保护级:本级的计算机信息系统可信计算基通过隔离用户与数据,使用户具备自主安全保护的能力。本级实施的是自主访问控制,即计算机信息系统可信计算机定义和控制系统中命名用户对命名客体的访问。

        第2级 系统审计保护级:本级的计算机信息系统可信计算基实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。在自主访问控制的基础上控制访问权限扩散

        第3级 安全标记保护级:本级的计算机信息系统可信计算基具有系统审计保护级所有功能。此外,还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述;具有准确地标记输出信息的能力;消除通过测试发现的任何错误。本级的主要特征是计算机信息系统可信计算基对所有主体及其所控制的客体(例如:进程、文件、段、设备)实施强制访问控制。

        第4级 结构化保护级:本级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外,还要考虑隐蔽通道。对外部主体能够直接或间接访问的所有资源(例如:主体、存储客体和输入输出资源)实施强制访问控制。

        第5级 访问验证保护级:本级的计算机信息系统可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的:必须足够小,能够分析和测试。与第四级相比,自主访问控制机制根据用户指定方式或默认方式,阻止非授权用户访问客体。访问控制的粒度是单个用户。访问控制能够为每个命名客体指定命名用户和用户组,并规定他们对客体的访问模式。没有存取权的用户只允许由授权用户指定对客体的访问权。

3.2 安全风险管理

        在风险评估实施前,应该考虑

                1.确定风险评估的范围。
                2.确定风险评估的目标。
                3.建立适当的组织结构。
                4.建立系统性的风险评估方法。
                5.获得最高管理者对风险评估策划的批准。

        风险评估的基本要素为脆弱性、资产、威胁、风险和安全措施,与这些要素相关的属性分别为业务战略、资产价值、安全需求、安全事件和残余风险,这些也是风险评估要素的一部分。

        风险计算模型包含信息资产、弱点/脆弱性、威胁等关键要素。每个要素有各自的属性,信息资产的属性是资产价值,弱点的属性是弱点被威胁利用后对资产带来的影响的严重程度,威胁的属性是威胁发生的可能性。风险计算的过程如下。
                1.对信息资产进行识别,并对资产赋值。
                2.对威胁进行分析,并对威胁发生的可能性赋值。
                3.识别信息资产的脆弱性,并对弱点的严重程度赋值。
                4.根据威胁和脆弱性计算安全事件发生的可能性。
                5.结合信息资产的重要性和发生安全事件的可能性,计算信息资产的风险值。

四、相关推荐 

七、信息安全技术基础知识(信息安全的概念|信息安全系统的组成框架|信息加解密技术)icon-default.png?t=N7T8https://shuaici.blog.csdn.net/article/details/139984427

五、历年真题练习

        5.1 DES 加密算法的密钥长度为 56 位,三重 DES 的密钥长度为( )位。
                A. 168        B.128        C.112        D.56

        5.2 ARP攻击造成网络无法跨网段通信的原因是()。
                A.发送大量ARP报文造成网络拥塞
                B.伪造网关ARP报文使得数据包无法发送到网关
                C.ARP攻击破坏了网络的物理连通性
                D.ARP攻击破坏了网关设备
 

人工分割线-答案

        5.1 C        
                解析:三重 DES 采用两组 56 位的密钥K1 和K2,通过“K1 加密----K2 解密---K1 加密”的过程,两组密钥加起来的长度是 112 位。

        5.2 B

        

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/35682.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

基于weixin小程序乡村旅游系统的设计

管理员账户功能包括:系统首页,个人中心,用户管理,商家管理,旅游景点管理,景点类型管理,景点路线管理,系统管理 商家帐号账号功能包括:系统首页,旅游景点管理&…

解决RuntimeError: Unsupported image type, must be 8bit gray or RGB image.

今天在使用Opencv进行人脸识别项目时发现了一个问题,一直报这个错误RuntimeError: Unsupported image type, must be 8bit gray or RGB image.查了一下资料也是解决了,这样给大家分享一下 解决方案 Numpy 有一个主要版本更新,与 dlib 不兼容。…

【Docker】创建 swarm 集群

目录 1. 更改防火墙设置 2. 安装 Docker 组件 3. 启动 Docker 服务,并检查服务状态。 4. 修改配置文件,监听同一端口号。 5. 下载 Swarm 组件 6. 创建集群,加入节点 7. 启动集群 8. 查询集群节点信息 9. 查询集群具体信息 10. 查询…

电脑文件concrt140.dll丢失要怎么恢复?靠谱修复方法分析

电脑文件concrt140.dll丢失这种情况,相对来说还是比较少见的!但是不代表没有,既然有人出现这种情况了,那么小编势必要给大家详细的讲解一下concrt140.dll这个文件,以及我们要怎么去解决concrt140.dll文件丢失的问题。下…

hnust 1817 算法10-10,10-11:堆排序

hnust 1817 算法10-10,10-11:堆排序 题目描述 堆排序是一种利用堆结构进行排序的方法,它只需要一个记录大小的辅助空间,每个待排序的记录仅需要占用一个存储空间。 首先建立小根堆或大根堆,然后通过利用堆的性质即堆顶的元素是最…

pppd 返回错误码 含义

错误码 00: pppd已经断开,或者已经成功建立连接后请求方又中 断了。 01: 发成了一个严重错误,例如系统调用失败或者访问非法内存。 02: 处理给定操作是检测到错误,例如使用两个互斥的操作。 03:…

如何获取Power BI的个性可视化控件?

我们在使用Power BI Desktop自带可视化控件进行报表设计的时候,有的时候会发现自带控件使用起来略显单薄,需要一些更有创意或者更能直接吸人眼球的可视化控件。 那有没有地方可以让我们找到一些个性化控件呢? 答案是肯定的,目前P…

vscode 安装Vue插件

打开扩展面板 --> 点击左侧的扩展图标,或者按下快捷键 Ctrl Shift X 搜索插件,在搜索框中输入 Vue vue-helper 用来快捷提示,如果使用elementui的话,插件不会自动提示,安装了它,组件、属性都会有提示了 Vetur V…

嵌入式Linux系统编程 — 4.1 字符串输入输出

目录 1 字符串输出 1.1 字符串输出函数简介 1.2 示例程序 2 字符串输入 2.1 字符串输入简介 2.2 示例程序 程序运行时,需打印信息至标准输出 stdout 设备 或标准错误 stderr设备(譬如屏幕),如调试信息、报错信息、中间产生的…

Java | Leetcode Java题解之第202题快乐数

题目&#xff1a; 题解&#xff1a; class Solution {private static Set<Integer> cycleMembers new HashSet<>(Arrays.asList(4, 16, 37, 58, 89, 145, 42, 20));public int getNext(int n) {int totalSum 0;while (n > 0) {int d n % 10;n n / 10;totalS…

枫清科技创始人高雪峰:不取侥幸之利,做难而正确的事!丨数据猿专访

大数据产业创新服务媒体 ——聚焦数据 改变商业 金庸有一本著作叫做《侠客行》&#xff0c;这部武侠小说的主角叫做石破天&#xff0c;他从小的时候便跟随少林弟子习武。长大后&#xff0c;随着自己获得的感悟越来越多&#xff0c;最终选择开宗立派&#xff0c;独创一门武功行…

碧海威L7云路由无线运营版 confirm.php/jumper.php 命令注入漏洞复现(XVE-2024-15716)

0x01 产品简介 碧海威L7网络设备是 北京智慧云巅科技有限公司下的产品,基于国产化ARM硬件平台,采用软硬一体协同设计方案,释放出产品最大效能,具有高性能,高扩展,产品性能强劲,具备万兆吞吐能力,支持上万用户同时在线等高性能。其采用简单清晰的可视化WEB管理界面,支持…

【ONLYOFFICE 8.1】的安装与使用——功能全面的 PDF 编辑器、幻灯片版式、优化电子表格的协作

&#x1f525; 个人主页&#xff1a;空白诗 文章目录 一、引言二、ONLYOFFICE 简介三、安装1. Windows/Mac 安装2. 文档开发者版安装安装前准备使用 Docker 安装使用 Linux 发行版安装配置 ONLYOFFICE 文档开发者版集成和开发 四、使用1. 功能全面的 PDF 编辑器PDF 查看和导航P…

交易例子----qmt实盘分钟交易例子,提供交易源代码

今天给大家一个利用qmt_trader交易策略&#xff0c;我现在实盘使用的系统是自己开发的&#xff0c;只需要把qmt_trader当中第三方库使用就可以&#xff0c;源代码开源开源直接下载 量化系统--开源强大的qmt交易系统&#xff0c;提供源代码 参考教程使用&#xff0c;下载当第三…

ONLYOFFICE桌面编辑器8.1版:个性化编辑和功能强化的全面升级

ONLYOFFICE是一款全面的办公套件&#xff0c;由Ascensio System SIA开发。该软件提供了一系列与微软Office系列产品相似的办公工具&#xff0c;包括处理文档&#xff08;ONLYOFFICE Document Editor&#xff09;、电子表格&#xff08;ONLYOFFICE Spreadsheet Editor&#xff0…

Ubuntu Nvidia GPU驱动安装和故障排除

去官网 菜单列表下载&#xff0c;或者直接下载驱动 wget https://cn.download.nvidia.com/XFree86/Linux-x86_64/550.54.14/NVIDIA-Linux-x86_64-550.54.14.run 安装驱动 /data/install/NVIDIA-Linux-x86_64-550.54.14.run 执行命令&#xff0c;显示GPU情况 出错处理&…

【深度学习】tensorboard的使用

目前正在写一个训练框架&#xff0c;需要有以下几个功能&#xff1a; 1.保存模型 2.断点继续训练 3.加载模型 4.tensorboard 查询训练记录的功能 命令&#xff1a; tensorboard --logdirruns --host192.168.112.5 效果&#xff1a; import torch import torch.nn as nn impor…

视频网站系统

摘 要 随着互联网的快速发展和人们对视频内容的需求增加&#xff0c;视频网站成为了人们获取信息和娱乐的重要平台。本论文基于SpringBoot框架&#xff0c;设计与实现了一个视频网站系统。首先&#xff0c;通过对国内外视频网站发展现状的调研&#xff0c;分析了视频网站的背景…

一站式uniapp优质源码项目模版交易平台的崛起与影响

一、引言 随着信息技术的飞速发展&#xff0c;软件源码已成为推动行业进步的重要力量。源码的获取、交易和流通&#xff0c;对于开发者、企业以及项目团队而言&#xff0c;具有极其重要的意义。为满足市场对高质量源码资源的迫切需求&#xff0c;一站式uniapp优质源码项目模版…

激光雷达数据处理

激光雷达技术以其高精度、高效率的特点&#xff0c;已经成为地表特征获取、地形建模、环境监测等领域的重要工具。掌握激光雷达数据处理技能&#xff0c;不仅可以提升工作效率&#xff0c;还能够有效提高数据的质量和准确性&#xff0c;为决策提供可靠的数据支持。 第一章、激…