Appearance
信息系统安全
更新: 4/10/2025 字数: 0 字 时长: 0 分钟
信息安全基础(⭐⭐)
基本元素
- 机密性:网络信息不泄露给非授权的用户、实体或程序,能防止非授权用户获取信息。
- 完整性:网络信息或系统未经授权不能进行更改的特性。
- 可控性:可以控制授权范围内的信息流向及行为方式。
- 可用性:合法许可的用户能够及时获取网络信息或服务的特性。
- 可审查性:对出现的信息安全问题提供调查的依据和手段。
信息安全范围
- 设备安全
- 数据安全
- 内容安全
- 行为安全
网络安全漏洞
- 物理安全性
- 软件安全漏洞
- 不兼容使用安全漏洞
- 选择合适的安全哲理
网络安全威胁
- 非授权访问
- 信息泄露或丢失
- 破坏数据完整性
- 拒绝服务攻击
- 利用网络传播病毒
安全措施的目标
- 访问控制
- 认证
- 完整性
- 审计
- 保密
信息系统安全保护等级(⭐)
计算机信息系统安全保护等级划分准则(GB 17859-1999):
- 用户自主保护级:适用于普通的内联网用户。
- 系统审计保护级:适用于通过内联网或国际网进行商务活动,需要保密的非重要单位。
- 安全标记保护级:适用于地方各级国家机关、金融机构、邮电通信、能源与水利供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位。
- 结构化保护级:适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研机构和国防建设等部门。
- 访问验证保护级:适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。
| 公民、法人和其它组织权益 | 社会秩序和公共利益 | 国家安全 | |
|---|---|---|---|
| 用户自主保护级 | 损害 | ||
| 系统审计保护级 | 严重损害 | 损害 | |
| 安全标记保护级 | 严重损害 | 损害 | |
| 结构化保护级 | 特别严重损害 | 严重损害 | |
| 访问验证保护级 | 特别严重损害 |
表格解读:系统审计保护级别的系统被破坏后,对公民、法人和其他组织权益造成严重损害,损害社会秩序和公共利益,但不损坏国家安全。
访问控制(⭐⭐⭐)
基本目标
- 阻止非法用户进入系统
- 阻止合法用户对系统资源的非法使用,即禁止合法用户的越权访问
三要素
- 主体:可以对其它实体施加动作的主动实体,记作S。
- 客体:是接受其它实体访问的被动实体,记作O。
- 控制策略:是主体对客体的操作行为集和约束条件集,记作KS。
实现技术
ACM:访问控制矩阵,矩阵中的每一格表示所在行的主体对所在列的客体的访问授权。
| file1 | file2 | file3 | |
|---|---|---|---|
| User1 | rw | rw | |
| User2 | r | rwx | x |
| User3 | x | r |
- 访问控制列表:ACM按列分解
- 能力表:ACM按行分解
- 授权关系表:对应访问矩阵中每一个非空元素的实现技术。像安全数据库系统通常使用授权关系表来实现其访问控制安全机制。
访问控制类型
基于对象的访问控制
OBAC访问控制系统是从信息系统的数据差异变化和用户需求出发,有效地解决了信息数据量大、数据种类繁多、数据更新变化频繁的大型管理信息系统的安全管理。控制策略和控制规则是OBAC的核心所在。
基于角色的访问控制
RBAC指根据完成某些职责任务所需要的访问权限来进行授权和管理。RBAC由用户(U)、角色(R)、会话(S)和权限(P)四个基本要素组成。
基于任务的访问控制
TBAC是从应用和企业角度来解决安全问题,以面向任务的观点,从任务(活动)的角度来建立安全模型和实现安全机制,在任务处理过程中提供动态实时的安全管理。
TBAC模型由工作流、授权结构体、受托人集和许可集四部分组成。
其一般用五元祖(S, O, P, L, AS)来表示,其中S是主体,O表示客体,P表示许可,L表示生命期,AS表示授权步。
基于属性的访问控制
ABAC是根据主题的属性、客体的属性、环境的条件以及访问策略对主体的请求操作进行授权许可或拒绝。
信息安全技术(⭐⭐⭐)
加解密技术
| 对称加密 | 非对称加密 | |
|---|---|---|
| 原理 | 加密解密都用同一个密钥 | 用对方的公钥加密,自己的私钥解密 |
| 优点 | 效率高 | 加密强度高,极难破解;密钥分发简单 |
| 缺点 | 加密强度不高,易破解;密钥分发困难 | 效率低 |
| 使用场景 | 对消息明文进行加密传输 | 对秘钥加密 |
提示
密钥越长,安全性越高!
对称加密
DES:替换+移位、56位密钥、64位数据块、速度快、密钥易产生
3DES【三重DES】:密钥长度112(也有168位的)——两个56位的密钥K1、K2
加密过程:K1加密 => K2解密 => K1加密
解密过程:K1解密 => K2加密 => K1解密
AES:密钥长度128位、192位、256位三种
IDEA【国际数据加密算法】:128位密钥、64位明文/密文、PGP
RC2、RC4、RC5
非对称加密
- RSA:2048位(或1024位)密钥
- Elgamal:安全性依赖于计算有限领域上离散对数这一难题
- ECC:椭圆曲线算法
- Diffie-Hellman
信息摘要
单向散列函数(不可逆)、固定长度的散列值。用途:确保信息的完整性,防篡改。
常用算法:MD5、SHA-1、HMAC等。市场上广泛使用128位的MD5和160位的SHA-1算法。
数字签名
常见的数字签名过程:
提示
与非对称加密不同,数字签名的发送方使用自己的私钥加密,对方用发送方的公钥解密!
数字签名主要解决的问题有:
- 完整性:因为有信息摘要,防篡改。
- 真伪性:用户B可以辨别收到的数据是否是A发送的。
- 不可抵赖:用户A不能否认发送过文件,因为有签名。
注意
数字签名不能解决保密问题。
练习:请设计一个安全邮件传输系统,该邮件以加密方式传输,邮件最大附件内容可达2GB,发送者不可抵赖,若邮件被第三方截获,第三方无法篡改。
点击查看答案
关键点:邮件内容可达2GB——对称加密(非对称加密不适合大文件,效率非常低);不可抵赖——数字签名;无法篡改——信息摘要。
- 发送方A随机生成一个密钥K,使用接收方B的公钥Pb加密K,得到密文K1并发送给B。
- B用私钥Sb解密K1,得到密钥K。此刻,A和B同时拥有密钥K。【非对称加密】
- A用密钥K对邮件明文加密后发给B,B用密钥K进行解密得到邮件明文。【对称加密】
- A对邮件明文使用散列函数生成邮件摘要,再用自己的私钥Sa对邮件摘要进行数字签名,得到摘要密文并发送给B。【数字签名】
- B收到摘要密文后使用A的公钥Pa解密得到邮件摘要。此刻,B同时拥有邮件的明文和A发送过来的摘要。
- B对邮件明文使用相同的单项散列函数得到邮件摘要,如果和A发送的邮件摘要一致,则邮件确实是A发送的且没有篡改。【验证签名】
国产密码算法
| 名称 | 描述 | 备注 |
|---|---|---|
| SM1 | 对称加密 | 广泛用于电子政务、电子商务及国民经济的各个领域 |
| SM2 | 非对称加密 | 国家标准推荐使用素数域256位椭圆曲线 |
| SM3 | 杂凑算法 | 适用于商用密码应用中的数字签名和验证,是在SHA-256基础上改进实现的一种算法。 |
| SM4 | 对称加密 | 适用于无限局域网产品 |
| SM9 | 标识密码算法 | 基于身份的密码学算法,不需要申请数字证书。适用于互联网应用的各种新兴应用的安全保障 |
SM9扩展知识
SM9包括身份基加密(IBE)、身份基签名(IBS)和身份基密钥协商(IBK)等多个密码学方案。
- IBE:允许用户通过身份(如电子邮件地址)直接作为公钥进行加密,而无需预先分发公钥证书。私钥由可信的密钥生成中心(KGC)生成并分发给用户。
- IBS:身份基签名允许用户使用身份作为公钥进行签名验证,签名的生成和验证过程依赖于身份和私钥。
- IBK:身份基密钥协商允许两个或多个用户通过身份信息协商出共享密钥,用于后续的安全通信。
密钥管理技术
数字证书
数字证书的内容:
- 证书的版本信息
- 证书的序列号,每个证书都有一个唯一的证书序列号
- 证书所使用的签名算法
- 证书的发行机构名称,命名规则一般采用X.500格式
- 证书的有效期,现在通用的证书一般采用UTC时间格式,计时范围是1950-2049
- 证书所有人名称,命名规则一般采用X.500格式
- 证书所有人的公开密钥
- 证书发行者对证书的签名
公钥基础设施PKI
PKI是一套基于公钥密码学的框架,用于创建、管理、分发、使用和撤销数字证书,从而支持安全通信和身份认证。
- 认证中心CA
- 注册审批机构RA
- 证书受理点
- 密钥管理中心KMC
示例: 
区块链技术
区块链是一个分布式账本,一种特殊的分布式数据库。
区块链 ≠ 比特币,比特币底层采用了区块链技术。
危险
比特币在我国定性为非法运用。
区块链特点
- 去中心化:由于使用分布式计算和存储,不存在中心化的硬件或管理机构,任意节点的权力和义务都是均等的,系统中的数据块由整个系统中具有维护功能的节点来共同维护。
- 开放性:系统是开放的,交易信息是公开的,但账户身份信息是高度加密的。
- 自治性:区块链采用基于协商一致的规范和协议(比如一套公开透明的算法)使得整个系统中的所有节点能够在去信任的环境自由安全的交换数据,使得对”人“的信任改成了对机器的信任,任何人为的干预不起作用。
- 安全性(信息不可篡改):每个节点都拥有完整的区块链,篡改数据得改掉51%的节点数据,很难。同时还有其它安全机制,如:比特币的每笔交易都有付款人用私钥签名,证明确实是他同意向某人付款,其他人无法伪造。区块链的不可篡改特性是由哈希算法保证的。
- 匿名性(去信任):由于节点之间的交换遵循固定的算法,其数据交互是无需信任的(区块链中的程序规则会自行判断活动是否有效),因此交易对手无须通过公开身份的方式让对方自己产生信任,对信用的累积非常有帮助。
去中心化带来的好处:
- 安全性更高:不会因为中心被攻击或被篡改导致数据方面的问题
- 可靠性更高:无单点故障问题
- 容灾能力更好
- 可信度更高:权力分散,多节点监督交易过程
- 链表在多个节点存储,没有中心节点,数据不一致时,以“少数服从多数”原则执行。
- 要篡改成功,除非篡改51%的节点。
共识算法【博弈论】/全民记账
- 工作量证明POW:每个区块头包含了一个随机数,使得区块的随机散列值出现所需要的若干个0,节点通过反复尝试来找到这个随机数,构成一个工作量证明机制。
- 权益证明PoS
- 股份授权证明机制DPoS
比特币采用POW:争夺记账权=挖矿
计算出来的账单结点哈希值前13个字符全是0则符合规则,得到记账权。有一个结点计算出结果,则广播消息告知其它结点,其它结点更新数据。
计算困难,但验证确很容易,比如:218903是哪两个质数的乘积?(457*479)
区块链分类
- 公有链
- 私有链
- 联盟链
区块链核心技术
- 分布式存储
- 共识机制
- 智能合约
- 密码学
网络与信息安全风险(⭐⭐)
被动攻击:收集信息为主,破坏保密性。
| 攻击名称 | 描述 |
|---|---|
| 窃听(网络监听) | 用各种可能的合法或非法的手窃取系统中的信息资源和敏感数据。 |
| 业务流分析 | 通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、 通信总量的变化等参数进行研究,从而发现有价值的信息和规律。 |
| 非法登入 | 有些资料将这种方式归为被动攻击方式。 |
主动攻击:攻击类别主要是中断(破坏可用性),篡改(破坏完整性),伪造(破坏真实性)。
| 攻击名称 | 描述 |
|---|---|
| 假冒身份 | 非法用户冒充合法用户,特权小的冒充特权大的。 |
| 抵赖 | 否认自己曾经发布过的某条信息、伪造一份对方来信等。 |
| 旁路控制【旁路攻击】 | 密码学中指绕过对加密算法的繁琐分析,利用密码算法的硬件实现的运算中 泄露的信息。如执行时间、功耗、电磁辐射等,结合统计理论快速的破解密码系统。 |
| 重放攻击 | 所截获的某次合法的通信数据拷贝,处于非法目的而被重新发送。 加时间戳能识别并应对重放攻击。 |
| 拒绝服务 DOS | 破坏服务的可用性,对信息或其它资源的合法访问被无条件的阻止。 |
| 跨站脚本攻击 XSS | 通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页。 |
| 跨站请求伪造攻击CSRF | 攻击者通过一些技术手段欺骗用户的浏览器与访问一个自己曾经认证过的 网站并执行一些操作(如转账或购买商品等)。 |
| 缓冲区溢出攻击 | 利用缓冲区溢出漏洞所进行的攻击。在各种操作系统、应用软件中广泛存在。 |
| SQL注入攻击 | 攻击者把SQL命令插入到Web表单名气面服务器执行恶意的SQL命令。 |
安全模型(⭐⭐⭐)
分类
BLP模型
Bell-LaPadula模型是符合军事安全策略的计算机安全模型,简称BLP模型。其安全规则如下:
- 简单安全规则:安全级别低的主体不能读安全级别高的客体。
- 星属性安全规则:安全级别高的主体不能往级别低的客体写。
- 强星属性安全规则:不允许对另一级别进行读写。
- 自主安全规则:使用访问控制矩阵来定义说明自由存取控制。
Biba模型
Biba模型主要用于防止非授权修改系统信息,以保护系统的信息完整性。该模型同BLP模型类似,采用主体、客体、完整性级别描述安全策略要求。Biba模型能防止数据从低完整性级别流向高完整性级别,其安全规则如下:
- 星完整性级别:完整性级别低的主体不能对完整新级别高的客体写数据。
- 简单完整性规则:完整性级别高的主体不能从完整性级别低的客体读数据。
- 调用属性规则:一个完整性级别低的主体不能从级别高的客体调用程序或服务。
Chinese Wall模型
Chinese Wall模型的安全策略的基础是客户访问的信息不会与当前他们可支配的信息产生冲突。其访问客体控制的安全规则如下:
- 与主体曾经访问过的信息属于同一公司数据集合的信息,即墙内信息可以访问。
- 属于一个完全不同的利益冲突组的可以访问
- 主体能够对一个客体进行写的前提是主体未对任何属于其他公司数据集进行过访问。
定理1:一个主体一旦访问过一个客体,则该主体只能访问位于同一公司数据集的客体或不同利益组的客体。
定理2:在一个利益冲突组,一个主体最多只能访问一个公司数据集。
信息安全整体架构设计(⭐)
WPDRRC模型
6个环节:预警、保护、检测、响应、恢复、反击。模型蕴涵的网络安全能力主要是预警能力、保护能力、检测能力、响应能力、恢复能力和反击能力。
3大要素:人员、策略、技术。
各模型安全防范功能
- 预警:只WPDRRC模型有
- 保护、检测、响应:全都有
| 恢复 | 管理 | 反击 | |
|---|---|---|---|
| PDR | |||
| PPDR | |||
| PDRR | √ | ||
| MPDRR | √ | √ | |
| WPDRRC | √ | √ | √ |
网络安全体系架构设计(⭐)
开放系统互联安全体系结构
GB/T 9387.2 - 1995给出了基于OSI参考模型的7层协议之上的信息安全体系结构。 
安全服务与安全机制
认证框架
鉴别的基本目的是防止其他实体占用和独立操作被鉴别实体的身份。鉴别的方式如下:
- 已知的
- 拥有的
- 不改变的特性
- 相信可靠的第三方建立的鉴别
- 环境
鉴别信息的类型包括:交换、申请、验证。
访问控制框架
访问控制决定开发系统环境中允许使用哪些资源,在什么地方适合阻止未授权访问的过程。 
机密性框架
机密性服务的目的是确保信息仅仅是对被授权者可用。
机密性机制:
- 禁止访问
- 加密
完整性框架
完整性框架的目的是通过阻止威胁或探测威胁,保护可能遭到不同方式危害的数据完整性和数据相关属性完整性。
完整性机制的类型:
- 阻止对媒体访问的机制。
- 用以探测对数据或数据项序列的非授权修改的机制。
抵赖性框架
抵赖性服务包括证据的生成,验证和记录,以及在解决纠纷时随机进行的证据恢复和再次验证。
由4个独立的阶段组成:证据生成 => 证据传输、存储及恢复 => 证据验证 => 解决纠纷