【系统架构设计师】七、信息安全技术基础知识

目录

1、访问控制技术

2.信息安全攻击对策技术

2.1 分布式拒绝服务DDoS 和防护

2.3 ARP欺骗攻击与防御

2.4 DNS欺骗与防护

2.5 IP欺骗与防护

2.6 端口扫描

2.7 强化TCP/IP 堆栈以抵御拒绝服务攻击

2.8 系统漏洞扫描

三、信息安全保障体系及评价方法

3.1 计算机系统安全防护等级

3.2 安全风险管理

四、相关建议

5.过去题练习

一、访问控制技术

访问控制是指基于特定的控制策略或权限，允许主体对客体本身或其资源进行的各种访问。访问控制包括三个要素：主体、客体和控制策略。访问控制涉及三个方面：认证、控制策略实施和审计。审计的目的是防止权力滥用。实现访问控制的技术如下。

1. 访问控制矩阵（ACM）。一种以矩阵格式表达访问控制规则和授权用户权限的方法。主题作为行，对象作为列。

文件1 文件2 文件3 用户1 rww 用户2 rrwr 用户3 rrw

2. 访问控制列表（ACL）。是目前最流行、使用最多的访问控制实现技术。每个对象都有一个访问控制列表。这是系统中有权访问该对象的所有主体的信息。这种实现技术实际上是逐列存储访问矩阵的。

3、功能。逐行存储访问矩阵（即主体）。

4.权限关系表。每行（或元组）是访问矩阵的非空元素，并且是与特定对象对应的特定主体的权限信息。如果权利关系表按照主题排序，那么查询时就可以得到能力表的效率。如果权限关系表按对象排序，则可以获得访问控制表的效率。

二、信息安全的抗攻击技术

密钥在概念上分为两类：数据加密密钥(DK) 和密钥加密密钥(KK)。后者用于保护密钥。加密算法通常是公开的，加密的安全性在于密钥。为了抵御攻击者的攻击，生成密钥时必须考虑三个因素。这些是增加密钥空间、选择强密钥（复杂密钥）和密钥随机性（使用随机数）。

拒绝服务攻击有多种不同类型，可由网络内部或外部的用户发起。

内部用户可以长时间占用系统内存和CPU处理时间，阻止其他用户及时获取这些资源，而外部黑客则可以独占网络连接，使其他用户无法接受网络服务。

外部用户针对网络连接发起的拒绝服务攻击的主要方式有：通过消耗资源、破坏或更改配置信息、物理损坏或更改网络组件或利用服务程序处理错误来禁用服务。

2.1分布式拒绝服务DDoS与防御

分布式拒绝服务DDoS 攻击是传统DoS 攻击的演变，攻击者首先入侵并控制几台计算机，然后控制这些计算机来服务特定目标。这克服了传统DOS的两个主要缺点：由于网络资源的限制和模糊性。遭受DDoS 攻击时可能出现的症状如下：

1. 被攻击主机上有很多等待的TCP连接。

2.许多到达的数据包（包括TCP和UDP数据包）不是网站服务连接的一部分，并且经常指向机器上的任意端口。

3. 网络中充斥着带有虚假源地址的无用数据包。

4、产生大量无用数据流量，造成网络拥塞，导致受害主机无法与外界正常通信。

5、利用受害主机提供的服务和传输协议的缺陷，重复发出服务请求，导致受害主机无法完成服务请求。

所有常规请求都会得到快速处理。

6、严重时可能会导致死机。

现有的DDoS 工具通常采用三级结构：客户端、处理程序和代理。

DDoS的三级结构

如何防御拒绝服务攻击

1、加强数据包的特征识别攻击者发送的数据包中包含多个特征字符串。通过搜索这些签名字符串，您可以识别攻击服务器和攻击者的位置。

2. 配置防火墙以监控本地主机端口使用情况。如果您发现该端口正在侦听，则您的系统可能受到攻击。

3、通过通信数据量的统计，还可以得到攻击系统的位置、数量等信息。在攻击过程中，攻击数据的源地址发送的数据量超出了其正常限制。

4、尽可能修复发现的问题和系统漏洞。

2.3 ARP欺骗攻击与防御

这是因为LAN 上的网络流量不是基于IP 地址发送的，而是基于MAC 地址发送的。在局域网中，黑客可以通过接收ARP请求广播包来窃听其他节点的（IP、MAC）地址，冒充A告诉B（受害者）一个假地址，B发送给A。数据包被黑客截获，但B先生并不知情。

ARP欺骗详细介绍

防止ARP欺骗的预防措施

1、在winxp上输入命令arp-sgate-way-ipgate-way-mac修复arp表，防止arp欺骗。

2.使用ARP服务器。使用这个服务器查找自己的ARP转换表来响应其他机器的ARP广播。请确保该ARP 服务器未被黑客攻击。

3、采用双向绑定方式解决和防止ARP欺骗。

4.ARP保护软件-ARPGuard。通过系统底层核心驱动，无需安装任何其他第三方软件（如WinPcap），服务和进程与系统同地启动和运行，不占用计算机系统。资源。无需将计算机的IP地址与MAG地址绑定，避免了大量低效的工作负载。由于该软件作为服务和进程的组合驻留在您的计算机上，因此该软件的保护会在您重新启动计算机后启动，因此您不必担心重新启动计算机后会创建新的ARP 缓存列表。操作系统将自动启动并运行。

2.4 DNS欺骗与防御

DNS欺骗首先冒充域名服务器，然后将查询IP地址设置为攻击者的IP地址。在这种情况下，用户上网时无法看到他们想要检索的网站的主页。这就是DNS欺骗的基本原理。也就是说，域名和IP地址的对应关系发生了变化。黑客冒充DNS 服务器并响应查询IP。

如图所示，如果www.angel.com重定向到xxx.com，则www.xxx.com的IP地址将为202.109.2.2。

当子域DNS服务器查询www.xxx.com的IP地址时，www.heike.com会冒充www.angel的DNS服务器。

com 响应www.xxx.com 的IP 地址是200.1.1.1。在这种情况下，www.angel.com 将200.1.1.1 视为www。

xxx.com 地址。当www.angel.com 连接到www.xxx.com 时，它会被重定向到一个假IP 地址。

如果是www.xxx.com，则视为被黑客入侵。因为其他人根本无法连接到他的域名。

DNS欺骗检测（防御）

1.被动监听检测：通过侧信道监听捕获所有DNS请求和响应数据包，并建立这些请求和响应的映射表。如果单个请求在一定时间内对应两个或多个响应包且结果不同，则可能是DNS 欺骗攻击。

2. 虚假数据包检测：通过主动发送检测数据包来检测网络中是否存在DNS 欺骗攻击者。如果您向非DNS 服务器发送请求数据包，通常不会收到响应。如果您收到响应数据包，则意味着您受到攻击。

3.查询交叉检查：客户端收到DNS响应报文后，向DNS服务器反查询响应报文中返回的IP地址对应的DNS名称。如果两者匹配，则说明DNS 不匹配。如果你受到攻击，如果你没有受到攻击，那就意味着你被愚弄了。

2.5 IP欺骗与防御

IP欺骗原理及流程

1、首先暂时瘫痪被冒充主机b的网络，避免干扰攻击。

2.接下来，连接到目标机器主机上的特定端口，以推断ISN的基础值和增长模式。

3. 然后，它欺骗源地址到被冒充的主机host b，并通过发送带有SYN 标志的数据段来请求连接。

4. 接下来，等待目标主机a向瘫痪主机发送SYN+ACK数据包。因为这个数据包目前是不可见的。

5. 最后，欺骗作为从主机hostb发送到目标主机hosta的ACK。然后发送的数据段包含目标机器的预测ISN+1。

6. 建立连接并发送命令请求。

防止IP 欺骗

IP欺骗攻击非常困难，但也非常普遍，这也是渗透经常开始的地方。防止此类攻击

单击删除UNIX下所有/etc/hosts.equiv和$HOME/.rhosts文件，并修改/etc/inetd.conf文件如下：

RPC机制不适用。此外，您还可以配置防火墙来过滤来自外部的数据包，即使源地址是内部IP。

2.6 端口扫描（Port Scanning）

端口扫描是入侵者收集信息的常用方法之一。端口扫描尝试与目标主机上的特定端口建立连接。

如果目标主机对端口做出响应（TCP 3次握手和4次挥手），则表示该端口已打开，您可以检索一些信息。端口扫描分为全TCP连接、半开放扫描（SYN扫描）、FIN扫描和第三方扫描。

1.完整的TCP连接。这种扫描方法使用三向握手来与目标计算机建立标准的TCP 连接。

2.半开放扫描（SYN扫描）。利用这种扫描技术，扫描主机自动向目标计算机上的指定端口发送SYN数据段，以表明建立连接的请求。

2.1 如果目标计算机在TCP 报文中响应SYN=1ACK=1，则表示该端口处于活动状态，扫描主机向目标主机发送RST 拒绝TCP 连接的建立，三次握手完成它发生了。失败。

2.2 如果目标计算机的响应是RST，则表明该端口是“死端口”。在这种情况下，扫描主机不需要响应。

3.FIN扫描。根据FIN 的发送确定目标计算机上的指定端口是否处于活动状态。如果向关闭的端口发送FIN=1的TCP数据包，该数据包将被丢弃，并返回一个RST数据包。但是，如果FIN 消息到达活动端口，则该消息将被简单地丢弃并且不会返回任何响应。从FIN扫描中可以看出，这次扫描不涉及TCP连接的任何部分。因此，这种类型的扫描比前两种扫描更加安全，可以称为隐蔽扫描。

4.第三方扫描。第三方扫描也称为“代理扫描”。这种类型的扫描使用第三方主机代表入侵者进行扫描。这种第三方主机通常是由入侵者通过侵入其他计算机来获得的。这种“第三方”主机通常被入侵者称为“肉鸡”。这些“肉鸡”通常是安全防御能力非常低的个人计算机。

2.7强化TCP/IP堆栈以抵御拒绝服务攻击

5级访问验证保护级别：该级别的计算机信息系统可信计算基础满足访问监控的需要。访问监视器仲裁主体对对象的所有访问。访问监视器本身必须防篡改且足够小以便进行分析和测试。与第四级相比，自主访问控制机制根据用户指定或默认的方法来防止未经授权的用户访问对象。访问控制的粒度是单用户粒度。访问控制允许您为每个命名对象指定命名用户和用户组，并指定对象的访问模式。没有权限的用户只能访问授权用户指定的对象。

2.8 系统漏洞扫描

在进行风险评估之前，应考虑以下几点：

1. 确定风险评估的范围。

2. 确定风险评估的目的。

3.建立适当的组织架构。

4.建立系统的风险评估方法。

5. 风险评估计划将由最高管理层批准。

风险评估的基本要素是漏洞、资产、威胁、风险和安全措施。与这些因素相关的属性有业务策略、资产价值、安全需求、安全事件和残余风险，这些也是风险评估因素的一部分。

风险计算模型包括信息资产、弱点/漏洞、威胁等重要要素。每个元素都有自己的属性。信息资产的属性是资产价值，漏洞的属性是漏洞被威胁利用后对资产影响的严重程度。威胁的发生。风险计算过程如下：

1.识别信息资产并为其赋值。

2. 分析威胁并为威胁发生的可能性赋值。

3. 识别信息资产中的漏洞并为漏洞的严重性分配一个值。

4. 根据威胁和漏洞计算安全事件发生的概率。

5. 根据信息资产的重要性和发生安全事件的可能性，计算信息资产的风险值。

三、信息安全的保障体系与评估方法

7.信息安全技术基础知识（信息安全概念|信息安全体系框架|信息加解密技术）https://shuaici.blog.csdn.net/article/details/139984427

3.1计算机系统安全保护能力等级

5.1DES加密算法的密钥长度为56位，Triple DES的密钥长度为()位。

A、168B.128C.112D.56

5.2 ARP 攻击阻止网段之间的通信，因为（）。

A. 发送大量ARP报文导致网络拥塞

B、伪造网关ARP报文，阻止数据包发送到网关

C. ARP 攻击破坏网络的物理连接。

D. ARP攻击破坏网关设备

人工分割线-答案

5.1C

分析： Triple DES使用两组56位密钥K1和K2，经过“K1加密-K2解密—K1加密”的过程，两组密钥的总长度将为112位。

5.2B

#以上与【系统架构师】相关的内容7、信息安全技术基础知识均来自互联网，相关信息请以官方公告为准。