信安概论翻车笔记

Tery_Huang
292 阅读17分钟

概论

信息安全技术研究产生的背景是什么?

计算机水平的提高及其应用的快速发展

通信渠道的拓宽及通信能力的增强

信息安全技术研究的重要意义在哪里?

信息安全技术的主要研究内容是什么?

信息安全技术

综合交叉性质的学科;

综合利用计算机、通信、数学、物理诸多学科的知识累积和发展成果;

自主创新研究,加强顶层设计,提出的系统、完整、协同的解决方案。

公钥密码角色

密钥协商、数字签名、消息认证

安全协议理论与技术

三个机制:加密机制、验证机制、保护机制

研究内容:–三个机制:加密机制、验证机制、保护机制;

研究内容:

实用安全协议的设计与分析研究;

安全协议的安全性分析方法研究;

攻击检验方法;形式化分析方法。

形式化分析方面,比较成功的三种研究思路:

基于推理知识和信息的模态逻辑;

基于状态搜索工具和定理证明技术;

基于新的协议模型发展证明正确性理论

安全体系结构理论与技术

安全体系模型建立及形式化描述与分析;

安全策略和机制研究;

系统安全性检验方法和准则建立;

基于相关模型、策略和准则的系统研制。

发展演变:

20世纪80年代:美国国防部制定的TCSEC——安全信息系统体系结构的最早准则;

20世纪90年代:英、法、德、荷提出了ITSEC,包括保密性、完整性、可用性概念;

信息对抗理论与技术

入侵与反入侵

入侵检测原理与技术;

反击方法;

应急响应系统;

信息分析与监控;

黑客防范体系;

信息伪装理论与方法;

人工免疫系统在反病毒和抗入侵系统中的应用

网络安全与安全产品

推动国内信息安全产业发展的因素:

企业信息化乃至社会的信息化;

政府的引领和推进作用;

安全技术和产品的日益成熟。

主要安全产品:

防火墙:包过滤技术、应用网关技术、代理服务技术

安全路由器:采用访问控制技术控制网络信息流

计算机系统的实体安全

系统可靠性(冗余、容错、专用)

系统可用性(可正常运行、故障可恢复)

系统部件一致性(配置合理)

网络互连性(连通和隔离的矛盾,布线)

环境安全性(配电、接地、防护)

检查验收(按照标准、规范、合同和协议)

密码学概论

安全保密涉及的学科:

信息论涉及:消息在运动中产生信息

​ 在通信时才需要信息保护

现在无论静态和动态数据都需要保护

密码学涉及:早期作用是保密, 现在除保密外,还有认证、鉴别功能

保密学涉及:早期对文电、文档进行加密

现在除文电、文档外,对任何文字、图形、图象、声音等多媒体信息;

对硬件部件和电路等实体的保密

对思路、思维、企图等虚体的保密

编码系统和密码系统的关系和区别

编码系统中,单词或者词组被其他的单词或词组所替换,隐藏原意,注重语义,安全保护级别较低

密码学获取密钥是入侵的关键也是解密的关键

对称密码体制的加密方式:

流密码:序列密码字符逐位加密,序列密码是手工和机械密码时代的主流

组密码:明文固定

DES

消息认证与数字签名

问题的提出通信威胁

1. 泄露把消息内容发布给任何人或没有合法密钥的进程

2. 流量分析发现团体之间信息流的结构模式在一个面向连接的应用中可以用来确定连接的频率和持续时间长度

3. 伪造从一个假冒信息源向网络中插入消息

4. 内容修改消息内容被插入删除变换修改

5. 顺序修改插入删除或重组消息序列

6. 时间修改消息延迟或重放

7. 否认接受者否认收到消息发送者否认发送过消息

信息隐藏主要研究如何将莫一机密信息隐藏于另一公开信息中,通过公开信息传输来传输私密信息

数字水印:被嵌入宿主多媒体数据(如图象、视频)的一串可见或不可见的、不可移去的数字码。

该串数字一般包括宿主数据的状态、版权、控制信息或是一串伪随机序列

kerberos

安全服务(Security Services):

计算机通信网络中,主要的安全保护措施被称作安全服务。

根据ISO7498-2, 安全服务包括:

1.数据机密性(Data Confidentiality)

2.数据完整性(Data Integrity)

3.抗抵赖(Non-repudiation)

4.鉴别( Authentication)

5.访问控制(Access Control)

身份认证

访问控制

访问控制 Access Control :限制已授权的用户、程序、进程或计算机网络中其他系统访问本系统资源的过程。

访问控制机制:在信息系统中,为检测和防止未授权的访问,以及为使授权访问正式进行所设计的硬件或软件功能、操作规程、管理规程和他们各种组合

访问控制:主体对客体的访问受到控制,是一种加强授权的方法。

访问控制包括三个要素,即:主体、客体和控制策略。

主体:是可以对其它实体施加动作的主动实体,简记为S

客体:是接受其他实体访问的被动实体, 简记为O

控制策略:是主体对客体的操作行为集和约束条件集, 简记为KS

阻止非授权用户访问目标的方法:

访问请求过滤器

分离

访问控制策略(重点复习)

自主访问控制DAC:

基于身份的策略,最小特权原则,多个用户被组织在一起并赋予一个共同的标识符

有自主访问许可的主体可以向其他主体转让访问控制权

访问控制表(ACL)

DAC的特征是主体可以自主收回权限或者转让已有权限

访问控制能力表(ACCL):理解为用户拥有的身份

image-20201224143200735

强制访问控制MAC:

基于规则的策略,用于机密军事部门

多级策略

目标划分密级:绝密、秘密、机密、限制、无密级

用户也有一个允许安全级别:防止泄密上写,保证完整性:下写

MAC模型和DAC模型属于传统的访问控制模型。

MAC和DAC在实现上

通常为每个用户赋予对客体的访问权限规则集

用户自主地把自己所拥有的客体的访问权限授予其它用户

缺点:

系统管理员的工作将变得非常繁重

容易发生错误、安全漏洞。

基于角色的访问控制RBAC:

权限继承

访问控制的其他因素:

访问控制类产品:

SunScreen

WeBST安全平台

HP Praesidium 授权服务器

NetKey 网络安全认证系统

Cisco NetRanger

pki技术

PKIPublic-key infrastructure)

提供了解决这些问题的基础和框架

X.509定义PKI为:创建、管理、存储、发布和撤消基于公钥密码系统的数字证书所需要的硬件、软件、人和过程的集合。

管理对象:证书 密钥 证书撤消

证书(certificate),有时候简称为cert

PKI适用于异构环境中,所以证书的格式在所使用的范围内必须统一

证书是一个机构颁发给一个安全个体的证明,所以证书的权威性取决于该机构的权威性

一个证书中,最重要的信息是个体名字、个体的公钥、机构的签名、算法和用途

签名证书和加密证书分开

最常用的证书格式为X.509 v3

PKI****从技术上解决网上身份认证、信息完整性、抗抵赖等安全问题。

image-20201224150228934

image-20201224150454648

image-20201224150508998

注意Subject Unique 前面还有扩展域

计算机安全与恶意程序

计算机操作系统的安全

操作系统的安全问题

内存储器保护

用户认证

访问控制

Windows系统的安全机制

Windows安全服务的核心功能包括了活动目录AD服务、对PKI的集成支持、对Kerberos V5鉴别协议的支持,保护本地数据的EFS和使用IPSec****来支持公共网络上的安全通讯等。

计算机软件安全性

软件安全概念:采取工程的方法使得软件在敌对攻击的情况下仍能够继续正常工作。即采用系统化、规范化、和数量化的方法来指导构建安全的软件。

软件安全的知识体系:

描述性知识:提供一些建议,说明在构建安全的软件时要避免什么

诊断性知识:

•攻击模式采用较抽象的形式来描述常见的攻击程序,这种形式能够应用于跨越多个系统的情形,即在多个系统中均存在的攻击模式,该知识可被安全分析人员所利用,如基于滥用案例的可靠性检测等。

•攻击程序描述了弱点实例如何被用来对特定系统造成特别的安全危害。

•弱点知识是对真实系统中出现过并报告的软件弱点的描述

历史知识

包括历史风险 ,在有些情形下也包括弱点的历史数据库。

软件开发关键工作:安全编码、安全测试、安全设计

•软件安全需求和设计是开发安全软件的基础

•软件安全需求分析

–以风险管理为基础,建立“威胁”分析计划

–建立软件安全需求定义,确保软件安全需求定义正确

–安全需求应文档化

•软件安全设计

–软件系统的每一项需求,都应该在软件安全设计阶段认真考虑

软件运行中的反跟踪技术:

•1.抑制跟踪命令

•DEBUG在执行T命令和G命令时,分别要运行系统单步中断和断点中断服务程序。在系统中断向量表中,这两种中断的中断向量分别为1和3,中断服务程序入口地址分别存放在内存0000:0004和0000:000C起始的4个字节中,其中前2个字节是偏移地址,后2个字节是段地址。因此,当这些单元的内容被改变后,T命令和G命令就不能正常执行,从而抑制跟踪命令。

•2.封锁键盘输入

•1)改变键盘中断服务程序的入口地址。

•2)禁止键盘中断。

•3)禁止接收键盘数据。

•3.改变CRT显示特性

•1)debug各种命令被执行后,其结果均要在屏幕上显示出来,供人们查看。

•2)DEBUG在显示信息时,必然会出现屏幕上卷、换页等。

•4.定时技术

•设程序中有两点A和B,在正常情况下,从A到B所需的运行时间为C,而在跟踪运行时,速度较慢,所需时间将远远超过C,这样便可利用这种时间差判明是否有人在跟踪程序。如何知道A、B两点间的实际运行时间呢?PC主机板上设有8253计时器,其中通道0为通用计时器提供了一个固定的实时计数器,用来实现计时。在ROM BIOS中,软中断1AH提供了读取当前时钟值的功能。

加密软件的工作方式:

•1.加密软件的工作方式

•加密软件的工作方式主要有以下几种方式:

•(1)外壳式

•(2)内含式

•(3)结合式

•2.限制技术

•限制就是对用户将要进行的一系列操作通过某种手段进行确认,即弄清楚他是谁,他具有什么特征,他拥有什么权限。最典型的限制技术有口令和存取控制。

•(1)口令加密限制技术

•(2)存取控制技术

恶意代码生存技术

  • 恶意代码概念:恶意代码的关键是恶意性,非授权破坏计算机系统安全性和完整性程序或者代码

  • 恶意代码分类:

  • 恶意代码攻击技术:

  • 恶意代码生成技术:反跟踪技术、加密技术、模糊变形技术、自动生产技术 (反加自模)

  • 恶意代码隐藏技术:

  • [DGs2En.png

  • 计算机病毒靠其宿主程序的运行而运行和传播,但是如果程序不运行,就不能做任何事情,也就是需要宿主

  • 蠕虫是可以独立运行的程序,能自我复制网络扩散

  • 木马:表现为有某种功能的程序,但是内部隐藏着恶意货物。

  • [DGsRNq.png

  • 木马三线程技术:主监控线程、监视线程、守护线程

  • image-20201224153315208

  • 防范

  • 1. 一般计算机病毒的防范

    对于计算机病毒最好的处理方法是“预防为主”,查杀病毒不如做好防范。通过采取各种有效的防范措施,加强法制、管理和技术手段,就会更有效地避免病毒的侵害,所以,计算机病毒的防范,应该采取预防为主的策略。

    2. 木马病毒的防范

    由于木马病毒的特殊性,需要及时有效地进行预防,做到防范于未然

    ① 不点击来历不明的邮件。

    ② 不下载不明软件。

    ③ 及时漏洞修复和都住可疑端口。

    ④ 使用实时监控程序。

    检测

    1.根据异常症状初步检测

    1)一般病毒的初步检测

    ①计算机运行异常 ②屏幕显示异常

    ③声音播放异常 ④文件**/**系统异常

    ⑤外设异常 ⑥网络异常

    2)木马病毒的检测

    ①****查看开放端口 ②查看系统配置文件

    ③查看系统进程 ④查看注册表

    2. 利用专业软件和方法检测

    1)特征代码法

    2)校验和法

    3)行为监测法

    4)软件模拟法

    清除

    **1.**常见病毒的清除方法

    虽然有多种杀毒软件和防火墙的保护,但计算机中毒情况还是很普遍,如果意外中毒,一定要及时清理病毒。根据病毒对系统被破坏的程度,可采取以下措施进行病毒清除

    ①一般常见流行病毒清除方法。

    ②系统文件破坏重情况。

    ③利用注册表清除。

    2. 木马病毒的清除方法

    ①手工删除。

    ②杀毒软件清除

网络安全之防火墙技术

•防火墙是位于两个(或多个)网络间实施网间访问控制的一组组件的集合,

•它满足以下条件

–内部和外部之间的所有网络数据流必须经过防火墙

–只有符合安全政策的数据流才能通过防火墙

–防火墙自身对渗透(penetration)是免疫的

•从使用的技术上划分,防火墙可以分为:

–包过滤防火墙

•静态包过滤防火墙

•动态包过滤防火墙

–代理服务器型防火墙

–电路级网关

–混合型防火墙

•最简单的防火墙配置,就是直接在内部网和外部网之间加装一个包过滤路由器或者应用网关。为更好地实现网络安全,有时还要将几种防火墙技术组合起来构建防火墙系统。

•目前比较流行的有以下三种防火墙配置方案。

–双宿主机模式:堡垒主机装在内外网中间

–屏蔽主机模式:包过滤路由器(只允许发往堡垒机的发入,只允许从从堡垒机里面发出)、堡垒机,如果路由器被攻破直接可以和内部网通信

–屏蔽子网模式:两端加装路由器

网络安全之入侵检测技术系统

数据来源于网络上的数据流。

NIDS能够截获网络中的数据包,提取其特征并与知识库中已知的攻击签名相比较,从而达到检测的目的。

其优点是侦测速度快、隐蔽性好,不容易受到攻击、对主机资源消耗少;

缺点是有些攻击是由服务器的键盘发出的,不经过网络,因而无法识别,误报率较高。

基于主机的入侵检测系统(HIDS)

数据来源于主机系统,通常是系统日志和审计记录。

HIDS通过对系统日志和审计记录的不断监控和分析来发现攻击后的误操作。

优点是针对不同操作系统捕获应用层入侵,误报少;

缺点是依赖于主机及其审计子系统,实时性差

分布式入侵检测系统(DIDS )

同时采用上述两种数据来源,能够同时分析来自主机系统审计日志和网络数据流的入侵检测系统,一般为分布式结构, 由多个部件组成。

DIDS可以从多个主机获取数据也可以从网络传输取得数据, 克服了单一的HIDS、NIDS的不足。

入侵检测系统的检测机制一般可以分为三种:基于异常的检测机制,基于特征的检测机制,以及两者混合的检测机制

基于异常的检测,通过将系统或用户行为与正常行为进行比较来判别是否为入侵行为,通常会首先给出一个系统正常行为的特征列表,即“白名单”列表。然后将系统或用户行为特征和“白名单”中的行为特征进行比较,如果匹配,则判定系统或用户的行为是正常行为,否则,判定系统或用户的行为是入侵行为。

不同于异常检测,特征检测假定每个入侵行为都能够用一个独特的模式或特征所代表,因此在系统中建立异常行为的特征库,然后将系统或用户的行为与特征库进行比较。若特征相互匹配,则判定系统或用户的行为是入侵行为,若不能匹配,则判定系统或用户行为是正常行为。

网络安全新技术

•蜜罐是一种在互联网上运行的计算机系统,它是专门为吸引并“诱骗”那些试图非法闯入他人计算机系统的人而设计的。蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或多个易受攻击的主机,给攻击者提供一个容易攻击的目标。

•蜜罐的用途是拖延攻击者对真正目标的攻击,让攻击者在蜜罐上浪费时间。

这样,最初的攻击目标得到了保护,真正有价值的内容没有受到侵犯。此外,蜜罐也可以为追踪者提供有用的线索,为起诉攻击者搜集有力的证据

防护(Protection)检测(Detection)响应(Reaction)

•P2DR:安全策略(Policy)、防护(Protection)、检测(Detection)、响应(Reaction)。

安全架构与评估标准

##感悟 个人成长性:深入看,静下心

一人就是一条队伍,建立能形成核心竞争力的能力组合,围绕某些核心

avatar
文章
阅读
粉丝