信息安全技术

信息安全基础

基本要素

信息安全包括5个基本要素:机密性、完整性、可用性、可控性与可审查性。
1、机密性:机密性指的是信息只能被授权的人员或实体访问,防止未经授权的人获取敏感信息
2、完整性:确保信息在传输或存储过程中不被篡改或损坏,保持其准确性和完整性。
3、可用性:确保信息和资源在需要时可供访问和使用,避免因服务中断或不可用性导致的损失。
4、可控性:是指对系统或信息进行管理和控制,确保只有授权的人员可以进行合法的操作。
5、可审查性:指对系统和操作进行监控和审查的能力,记录和跟踪系统中发生的事件,以便追查和解决安全问题

安全范围

设备安全、数据安全、内容安全和行为安全
1、设备安全的主要目标是确保这些设备的操作和功能不会被破坏、篡改或滥用。它包括3个方面:设备的稳定性、可靠性、可用性
2、数据安全即采取措施确保数据免受未授权的泄露、篡改和毁坏,包括3个方面:数据的秘密性、完整性、可用性
3、内容安全是信息安全在政治、法律、道德层次上的要求
4、行为安全关注人的行为和习惯,行为安全的特性包括:行为的秘密性、完整性、可控性

存储安全

信息的存储安全包括信息使用的安全、系统安全监控、计算机病毒防治、数据的加密和防止非法
的攻击等

网络安全

1、网络安全漏洞:物理安全性、软件安全漏洞、不兼容使用安全漏洞、选择合适的安全哲理。
2、网络安全威胁:非授权的访问、信息泄露或丢失、破坏数据完整性、拒绝服务攻击、利用网络传播病毒。
3、安全措施的目标:访问控制、认证、完整性、审计、保密。

安全系统的组成框架

信息安全系统的组成框架包含三个体系:技术体系、组织结构体系和管理体系

技术体系

1、基础安全设备包括密码芯片、加密卡、身份识别卡等
2、计算机网络安全指信息在网络传输过程中的安全防范
3、操作系统安全是指操作系统的无错误配置、无漏洞、无后门、无特洛伊木马等
4、数据库安全可粗略划分为数据库管理系统安全和数据库应用系统安全两个部分
5、终端安全设备从电信网终端设备的角度分为电话密码机、传真密码机、异步数据密码机等

加密技术

对称加密技术

对数据的加密和解密的密钥(密码)是相同的,也称为共享密钥加密技术,属于不公开密钥加密算法。其缺点是加密安全性不高(因为只有一个密钥),且密钥分发困难(因为密钥还需要传输给接收方,也要考虑保密性等问题)。但是其加密速度快,非常适合于大数据的加密

算法: DES(56位密钥),3DES(2对56密钥),AES,RC-5,IDEA,PGP

非对称加密技术

又称为公开密钥加密技术,各个用户分别有一对密钥,称为公钥和私钥,其中公钥是公开的,所有用户都知道,私钥是保密的,只有自己知道,使用公钥加密,只能对应的私钥能解密,使用私钥加密,同样也只有对应的公钥能解密;非对称加密就是运用了公钥和私钥的原理,其对数据的加密和解密的密钥是不同的,是公开密钥加密算法。缺点是加密速度慢(密钥多,计算量大,不适合加密大数据)

算法:RSA(512位),EIGAMAL,ECC

信息摘要(消息认证)

就是一段数据的特征信息,当数据发生了改变,信息摘要也会发生改变,发送方会将数据和信息摘要一起传给接收方,接收方会根据接收到的数据重新生成一个信息摘要,若此摘要和接收到的摘要相同,则说明数据正确。信息摘要是由哈希函数生成的

信息摘要的特点:不算数据多长,都会产生固定长度的信息摘要;任何不同的输入数据,都会产生
不同的信息摘要;单向性,即只能由数据生成信息摘要,不能由信息摘要还原数据

信息摘要算法:MD5(产生128位的输出)、SHA(安全散列算法,产生160位的输出,安全性更
高)

数字签名

数字签名属于非对称加密体制,主要功能有:不可否认、无法篡改和伪造(报文鉴别)、报文的完整性

原理:若发送方需要发送数据,应该使用发送方的私钥进行数字签名,而其公钥是共享的,任何接收方都可以拿来解密,因此,接收方使用了发送方的公钥解密,就必然知道此数据是由发送方的私钥加密的,而发送的私钥只属于发送方,唯一标识了数据是由谁发送的,这就是数字签名的过程原理

数字证书

数字证书又称为数字标识,由用户申请,证书签证机关CA对其核实签发的,对用户的公钥的认证。现在的数字证书版本大多为x.509。

数字证书的原理:每一个发送方都要先向CA申请数字证书,数字证书是经过CA数字签名了的,也即CA使用私钥加密,当发送方要发送数据时,接收方首先下载CA的公钥,去验证数字证书的真伪,如果是真的,就能保证发送方是真的,因为CA是官方权威的机构,其合法性毋庸置疑。

PKI公钥基础设施

PKI公钥基础设施是提供公钥加密和数字签名服务的系统或平台,目的是为了管理密钥和证书。一个机构通过采用PKI框架管理密钥和证书可以建立一个安全的网络环境。
PKI主要包括四个部分:X.509格式的证书;CA操作协议;CA管理协议;CA政策制定。
PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。

访问控制

访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。访问控制包括3个要素,即主体、客体和控制策略,其中访问控制包括认证、控制策略实现和审计3方面的内容。

访问控制矩阵(ACM)

访问控制表(ACL)。目前最流行、使用最多的访问控制实现技术。每个客体有一个访问控制表,是系统中每一个有权访问这个客体的主体的信息。这种实现技术实际上是按列保存访问矩阵

能力表。对应于访问控制表,这种实现技术实际上是按行保存访问矩阵

授权关系表。每一行(或者说元组)就是访问矩阵中的一个非空元素,是某一个主体对应于某一个客体的访问权限信息

抗攻击技术

为对抗攻击者的攻击,密钥生成需要考虑3个方面的因素:增大密钥空间、选择强钥(复杂的)、密钥的随机性(使用随机数)

拒绝服务攻击有许多种,网络的内外部用户都可以发动这种攻击。内部用户可以通过长时间占用系统的内存、CPU处理时间使其他用户不能及时得到这些资源,而引起拒绝服务攻击;外部黑客也可以通过占用网络连接使其他用户得不到网络服务。

外部用户针对网络连接发动拒绝服务攻击主要有以下几种模式:消耗资源、破坏或更改配置信息、物理破坏或改变网络部件、利用服务程序中的处理错误使服务失效

分布式拒绝服务DDoS攻击是传统DoS攻击的发展,攻击者首先侵入并控制一些计算机,然后控制这些计算机同时向一个特定的目标发起拒绝服务攻击。克服了传统DOS受网络资源的限制和隐蔽性两大缺点。

拒绝服务攻击的防御方式
1、 加强对数据包的特征识别,攻击者发送的数据包中是有一些特征字符串。通过搜寻这些特征字符串,就可以确定攻击服务器和攻击者的位置。
2、设置防火墙监视本地主机端口的使用情况。如果发现端口处于监听状态,则系统很可能受到攻击。
3、对通信数据量进行统计也可获得有关攻击系统的位置和数量信息。在攻击时,攻击数据的来源地址会发出超出正常极限的数据量。
4、尽可能的修正己经发现的问题和系统漏洞。

ARP欺骗

主机A想知道局域网内主机B的MAC地址,那么主机A就广播发送ARP请求分组,局域网内主
机都会收到,但只有B收到解析后知道是请求自己的MAC地址,所以只有B会返回单播的响应分组,告诉A自己的MAC地址。A收到响应分组后,会建立一个B的IP地址和MAC地址映射,这
个映射是动态存在的,如果一定时间AB不再通信,那么就会清空这个地址映射,下次如果还要通信,则重复这个过程

上述过程主机A是不管其有没有发送过请求广播分组的,而是只要收到了返回的分组信息,就会刷新lP地址和MAC地址的映射关系,这样就存在安全隐患,假设有主机C,模拟返回分组格式,构造正确的IP地址和自己的MAC地址映射,A收到后也会刷新映射关系,那么当A再次向B发送信息时,实
际就发送到了C的MAC地址,数据就被c监听到了

在winxp下输入命令:arp-s gate-way-ip gate-way-mac固化arp表,阻止arp欺骗。
采用双向绑定的方法解决并且防止ARP欺骗
ARP防护软件―—ARPGuard

DNS欺骗

DNS欺骗首先是冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS欺骗的基本原理。也即改掉了域名和IP地址的对应关系。黑客是通过冒充DNS服务器回复查询IP的

DNS欺骗的检测:
1、被动监听检测:通过旁路监听的方式,捕获所有DNS请求和应答数据包,并为其建立一个请求应答映射表。如果在一定的时间间隔内,一个请求对应两个或两个以上结果不同的应答包,则怀疑受到了DNS欺骗攻击。
2、虚假报文探测:采用主动发送探测包的手段来检测网络内是否存在DNS欺骗攻击者。如果向一个非DNS服务器发送请求包,正常来说不会收到任何应答,如果收到了应答包,则说明受到了攻击。
3、交叉检查查询:在客户端收到DNS应答包之后,向DNS 服务器反向查询应答包中返回的IP地址所对应的DNS名字,如果二者一致说明没有受到攻击,否则说明被欺骗

IP欺骗

1 . 首先使被冒充主机host b 的网络暂时瘫痪,以免对攻击成干扰;
2. 然后黑客计算机会发起TCP连接到目标机host a的某个端口来猜测lSN基值和增加规律;
3. 接下来冒充主机host b的ip地址来向host a来发送请求连接:
4. 然后等待目标机host a发送响应数据包给已经瘫痪的主机,但是因为host b已经瘫痪,所以无法看不到这个包:
5. 最后黑客再次伪装成主机host b向目标主机host a发送带有预测的目标机的ISN的数据包;
6. 连接建立,发送命令请求。

IP欺骗的防范:虽然lP欺骗攻击有着相当难度,但这种攻击非常广泛,入侵往往由这里开始。预防这种攻击可以删除UNIX中所有的/etc/hosts.equiv 、$HOME/.rhosts文件,修改/etc/inetd.conf 文件,使得RPC机制无法应用。另外,还可以通过设置防火墙过滤来自外部而信源地址却是内部IP的报文

端口扫描

端口扫描就是尝试与目标主机的某些端口建立连接,如果目标主机该端口有回复(见三次握手中的第二次),则说明该端口开放,即为“活动端口”。
1、全TC连接,这种扫描方法使用三次握手,与目标计算机建立标准的TCP连接
2、半打开式扫描(SYN扫描)。在这种扫描技术中,扫描主机自动向目标计算机的指定端口发送SYN数据段,表示发送建立连接请求。如果目标计算机的回应TCP报文中SYN=1 ACK=1 ,则说明该端口是活动的,接着扫描主机传送一个RST给目标,主机拒绝建立TCP连接,从而导致三次握手的过程失败。如果目标计算机的回应是RST,则表示该端口为“死端口”,这种情况下,扫描主机不用做任何回应。
3、 FIN扫描。依靠发送FIN来判断目标计算机的指定端口是不具备活动的发送一个FIN=1 的TCP报文到一个关闭的端口时,该报文会被丢掉,并返回一个RST报文。但是,如果当FIN报文到一个活动的端口时,该报文只是被简单的丢掉,不会返回任何回应。从FIN 扫描可以看出,这种扫描没有涉及任何TCP连接部分。因此,这种扫描比前两种都安全,可以称之为秘密扫描。
4、第三方扫描。第三方扫描又称“代理扫描”,这种扫描是利用第三方主机来代替入侵者进行扫描。这个第三方主机一般是入侵者通过入侵其他计算机而得到的,该“第三方”主机常被入侵者称之为“肉鸡”。这些“肉鸡”一般为安全防御系数极低的个人计算机。

强化TCP/IP堆栈以抵御拒绝服务攻击

1、同步包风暴(SYN Flooding):利用TCP协议缺陷发送大量伪造的TCP连接请求,使得被攻击者资源耗尽。三次握手,进行了两次,不进行第三次握手,连接队列处于等待状态,大量这样的等待,会占满全部队列空间,使得系统挂起。可以通过修改注册表防御SYN Flooding攻击

2、ICMP攻击:ICMP协议本身的特点决定了它非常容易被用于攻击网络上的路由器和主机。比如,前面提到的“Ping of Death”攻击就是利用操作系统规定的ICMP数据包的最大尺寸不超过64KB这一规定,达到使TCP/IP堆栈崩溃、主机死机的效果。可以通过修改注册表防御ICMP攻击

3、SNMP攻击:SNMP还能被用于控制这些设备和产品,重定向通信流,改变通信数据包的优先级,甚至断开通信连接。总之,入侵者如果具备相应能力,就能完全接管你的网络。可以通过修改注册表项防御系统漏洞扫描指对重要计算机信息系统进行检查,发现其中可能被黑客利用的漏洞。包括基于网络的漏洞扫描(通过网络远程扫描主机)、基于主机的漏洞扫描(在目标系统安装了代理扫描)

信息安全的保证体系和评估方法

保证体系

GB17859—999标准规定了计算机系统安全保护能力的五个等级:
1、第一级用户自主保护级:实现基本的用户隔离和自主访问控制。比如:个人电脑操作系统,通过账号密码隔离不同用户,用户只能访问自己的文件和进程。
2、第二级系统审计保护级:在第一级基础上实现更细粒度的访问控制和审计。比如:公司内部办公系统,有账号密码登录,对安全相关的登录、文件访问进行日志记录,对不同部门的数据访问设置权限控制。
3、第三级安全标记保护级:在第二级基础上实现安全标记和强制访问控制。比如:政府内部文件系统,对文件设置密级标记,用户的访问权限按照政策与文件标记相匹配判定,进行强制访问控制。
4、第四级结构化保护级:在第三级基础上实现形式化安全策略和对所有资源的访问控制。比如:军方信息系统,有多级安全策略模型,对所有用户身份、存储数据、网络资源等实施严格的强制访问控制。
5、第五级访问验证保护级:实现抗篡改的访问监控器,对单个用户的所有访问进行仲裁。比如:核设施监控系统,通过抗篡改的访问控制器验证每个用户每次访问的权限,拒绝非授权访问。

评估方法

安全风险管理:在风险评估实施前,应该考虑:
1、确定风险评估的范围。
2、确定风险评估的目标。
3、建立适当的组织结构。
4、建立系统性的风险评估方法。
5、获得最高管理者对风险评估策划的批准。

风险评估的基本要素为脆弱性、资产、威胁、风险和安全措施,与这些要素相关的属性分别为业务战略、资产价值、安全需求、安全事件和残余风险,这些也是风险评估要素的一部分