北信科12級信息安全概論復(fù)習(xí)-第二部分

1、1.認證是用戶進入系統(tǒng)的第一道防線；訪問控制在鑒別用戶的合法身份后，通過引用監(jiān)控器控制用戶對數(shù)據(jù)信息的訪問；審計通過監(jiān)視和記錄起到事后分析的作用。2.訪問控制技術(shù)（DAC、MAC、RBAC）通過某種途徑限制訪問能力及范圍的一種方法。可以限制對關(guān)鍵資源的訪問，防止非法用戶的侵入或者因合法用戶的不慎操作所造成的破壞。 組成： 主體：指發(fā)出訪問操作、存取請求的主動方，主體可以訪問客體，包括用戶、用戶組、終端、主機、或應(yīng)用進程 客體：被調(diào)用的程序或欲存取的數(shù)據(jù)訪問，可以是一段數(shù)據(jù)、一個文件、程序或處理器、儲存器、網(wǎng)絡(luò)節(jié)點 安全訪問政策：即授權(quán)訪問，是一套規(guī)則，用以確定一個主體是否可以訪問客體 訪問控制

2、系統(tǒng)的組成： 訪問實施模塊：負責(zé)控制主體對客體的訪問 訪問控制決策功能塊：主要部分，根據(jù)訪問控制信息做出是否允許主題操作決定 訪問控制信息：放在數(shù)據(jù)庫、數(shù)據(jù)文件中，也可選擇其他存儲方法，視信息的多少與安全敏感度而定。 自主訪問控制DAC： 基本思想：允許主體顯式的制定其他主體是否可以訪問自己的信息資源即訪問類型 特點：訪問信息的決定權(quán)在于信息的創(chuàng)建者，根據(jù)主體的身份和授權(quán)來決定訪問模式。 不足：信息在移動過程中其訪問權(quán)限關(guān)系會被改變。 最常用的一種訪問控制技術(shù)，被UNIX普遍使用 強制訪問控制MAC： 基本思想：每個主題有既定的安全屬性，每個客體也有既定的安全屬性，主體對客體是否能執(zhí)行取決于兩

3、者的安全屬性。 特點：主體與客體分級，級別決定訪問模式。 用于多級安全軍事系統(tǒng)。 保護數(shù)據(jù)機密性（不上讀/不下寫）：不允許低級別用戶讀高敏感信息，不允許高敏感信息進入地敏感區(qū)域。 保護數(shù)據(jù)完整性（不下讀/不上寫）：避免應(yīng)用程序修改某些重要的數(shù)據(jù)。通常DAC與MAC混用。兩種訪問模式共有的缺點：自主式太弱、強制式太強、二者工作量大，不便管理； 基于角色的訪問控制技術(shù)RBAC：具有提供最小權(quán)限和責(zé)任分離的能力。 三種授權(quán)管理途徑： 改變客體的訪問權(quán)限； 改變角色的訪問權(quán)限； 改變主體所擔(dān)任的角色； 五個特點： （1）以角色作為訪問控制的主體 （2）角色繼承 （3）最小權(quán)限原則 （4）職責(zé)分離 （5

4、）角色容量 與DAC與MAC相比RBAC具有明顯的優(yōu)越性，基于策略無關(guān)的特性使其可以描述任何的安全策略，DAC與MAC也可以用來描述RBAC2.可信計算機系統(tǒng)評估標(biāo)準TESEC 評價標(biāo)準： D類：不細分級別，沒有安全性可言 C1類：不區(qū)分用戶，基本的訪問控制 C2類：由自主的訪問安全性，區(qū)分用戶 B1類：標(biāo)記安全保護 B2類：結(jié)構(gòu)化內(nèi)容保護，支持硬件保護 B3類：安全域，數(shù)據(jù)隱藏與分層、屏蔽 A/A1類：校驗及保護，也提供低級別手段 D最低A最高，高級別具有低級別所有功能，同時又實現(xiàn)新的內(nèi)容3.掃描技術(shù): TCP端口掃描： connect（）掃描：最基本的方式，優(yōu)點是用戶無需任何權(quán)限，且探測結(jié)

5、果最為準確；缺點是容易被目標(biāo)主機察覺 SYN掃描：即半開式掃描，不建立完整的連接，只發(fā)送一個SYN信息包，ACK響應(yīng)包表示目標(biāo)是開放監(jiān)聽的，RST響應(yīng)包則表示目標(biāo)端口未被監(jiān)聽，若收到ACK的回應(yīng)包則立刻發(fā)送RST包來中斷連接。有點為隱蔽性好。 FIN：向目標(biāo)端口發(fā)送FIN分組。按照RFC793的約定，目標(biāo)系統(tǒng)給所有關(guān)閉著的端口回應(yīng)一個RST分組 Xmas 空掃描 UDP端口掃描：發(fā)送一個零字節(jié)的UDP信息包到目標(biāo)機器的各個端口，若收到ICMP端口不可達的回應(yīng)則證明該端口關(guān)閉，否則默認開放。許多易受攻擊的服務(wù)都是通過UDP端口來傳輸數(shù)據(jù)的4.操作系統(tǒng)識別：由于軟件漏洞總是與操作系統(tǒng)的版本與類型相

6、關(guān)，所以探測識別操作系統(tǒng)的類型十分重要。 傳統(tǒng)方法：信息不夠全面，依賴對方提供的服務(wù)和對服務(wù)的配置，如是否開放talent、ftp、www等，及是否關(guān)閉標(biāo)志。因此在很多情況下傳統(tǒng)的方式無效。 基于TCPIP協(xié)議棧的指紋探測：操作系統(tǒng)通常以內(nèi)核的方式為應(yīng)用程序提供用于網(wǎng)絡(luò)互聯(lián)服務(wù)的子例程，即網(wǎng)絡(luò)協(xié)議棧。操作系統(tǒng)一旦發(fā)布，其網(wǎng)絡(luò)協(xié)議棧也就成型了。有點事準確度和精準度高。5.網(wǎng)絡(luò)漏洞庫-CVE：為每個漏洞和暴露確定了唯一的名稱與標(biāo)準化的描述，可以成為評價響應(yīng)入侵檢測和漏洞掃描等工具產(chǎn)品和數(shù)據(jù)庫的基準。 特點： （1）為每個漏洞和暴露確定了唯一的名稱與標(biāo)準化的描述 （2）CVE不是數(shù)據(jù)庫而是字典 （3

7、）任何完全風(fēng)格迥異的漏洞庫都可以用同一個語言表述 （4）語言的統(tǒng)一可以使得安全事件報告更好地被理解、實現(xiàn)更好的協(xié)同工作，可以成為評價相應(yīng)工具和數(shù)據(jù)庫的基準 （5）CVE非常容易從互聯(lián)網(wǎng)查詢和下載 （6）各種漏洞數(shù)據(jù)庫和漏洞評估工具使用一個公共的安全漏洞名字，可以幫助用戶彼此獨立的共享交換數(shù)據(jù)6.拒絕服務(wù)攻擊（DoS Denial of Service）：使計算機或網(wǎng)絡(luò)無法提供正常的服務(wù)。這種攻擊是由人為或非人為發(fā)起的，使主機硬件、軟件或者二者都失去工作能力，使系統(tǒng)變得不可訪問、從而拒絕為合法用戶提供服務(wù)的行為。攻擊者的意圖很明顯：使你的主機提供的服

8、務(wù)無法被訪問。 早期（90年代中晚期）：利用操作系統(tǒng)中的軟件缺陷使軟件或硬件無法處理例外情況，通常發(fā)生在用戶向有缺陷的程序發(fā)送或輸入出乎預(yù)料的數(shù)據(jù)。最具危害性的是：以TCPIP協(xié)議棧作為目標(biāo)的“發(fā)送異常數(shù)據(jù)包” 現(xiàn)代： 能力消耗（帶寬消耗）：設(shè)法耗盡目標(biāo)系統(tǒng)（通信層和應(yīng)用層）的全部帶寬，讓它無法向合法用戶提供服務(wù)(或不能及時提供服務(wù))。早期的DoS攻擊技術(shù)主要通過耗盡攻擊目標(biāo)的某種資源來達到目的，但它們所利用的安防漏洞現(xiàn)在差不多都被修補好了。可供利用的安防漏洞越來越少. 帶寬攻擊：極大的通信量沖擊網(wǎng)絡(luò)，使得所有的可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶請求無法通過。 連通性攻擊：用大量的連

9、接請求沖擊計算機，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求。 難以杜絕拒絕服務(wù)攻擊的原因： （1）， DoS攻擊簡單有效，效果立竿見影，因此很受初學(xué)乍練的攻擊者的青睞，作為一名系統(tǒng)管理員，要對頻繁的DoS攻擊有思想準備 （2）這一類的攻擊大多利用了計算機軟件、硬件廠商提供的TCP/IP協(xié)議實現(xiàn)中的錯誤、缺陷或不一致性，具有通用性。即使目標(biāo)系統(tǒng)的軟件沒有編程漏洞，也可攻擊。 攻擊過程： （1）攻擊者向服務(wù)器發(fā)送眾多的帶有虛假地址的請求； （2）服務(wù)器發(fā)送回復(fù)信息后等待回傳信息；服務(wù)器一直等待偽地址回傳的消息，資源無法釋放，一段時間后連接因超時被切斷。 （3）在攻

10、擊者持續(xù)傳送新的偽地址請求，服務(wù)器資源最終被耗盡 攻擊類型： （1）Smurf攻擊（利用ICMP協(xié)議）：結(jié)合使用IP欺騙與ICMP回應(yīng)，使大量網(wǎng)絡(luò)傳輸充斥目標(biāo)系統(tǒng)，導(dǎo)致它法提供正常服務(wù)，因為其放大效果而成為最具有破壞性的DoS攻擊之一，放大效果是向一個網(wǎng)絡(luò)上的多個系統(tǒng)發(fā)送定向的ping請求，這些系統(tǒng)接著對這種請求作出響應(yīng) （2）Smurf攻擊（利用定向廣播技術(shù)）：需要至少三個部分：攻擊者、“放大”網(wǎng)絡(luò)（也稱為反彈網(wǎng)絡(luò)或站點）和受害者。 Smurf攻擊過程：Attacker向一個具有大量主機和因特網(wǎng)連接的網(wǎng)絡(luò)的廣播地址，發(fā)送一個欺騙性Ping分組(echo 請求)，這個目標(biāo)網(wǎng)絡(luò)被稱為反彈站點，而

11、欺騙性Ping分組的源地址就是Attacker希望攻擊的系統(tǒng)。 攻擊的前提：路由器接收到這個發(fā)送給IP廣播地址(如55)的分組后，會認為這就是廣播分組，并且把以太網(wǎng)廣播地址 FF:FF:FF:F F:FF:FF映射過來。這樣路由器從因特網(wǎng)上接收到該分組，會對本地網(wǎng)段中的所有主機進行廣播。 防止Smurf攻擊的對策： 阻塞攻擊源頭：用戶使用路由器的訪問控制機制，使欺騙性分組無法找到反彈站點。 阻塞反彈站點：簡單的阻塞所有的入站echo請求，可以防止這些分組到達自己的網(wǎng)絡(luò)，若不能阻止，則要制止自己的路由器把網(wǎng)絡(luò)廣播地址映射成為LAN廣播地址。 阻塞目標(biāo)站點：通過動態(tài)分組過濾技術(shù)或使用防火墻，阻止這些分組進入自己的網(wǎng)絡(luò)。 （3）SYN Flood攻擊：當(dāng)前最流行的DoS與DD