【系统分析师之路】第十八章 系统安全分析与设计记忆敲出

【系统分析师之路】第十八章 系统安全分析与设计记忆敲出

一. 信息安全的四个属性

四个属性分别是：保密性，可用性，不可抵赖性和完整性。
保密性：用户A发送给用户B的数据，其他用户是不允许被看到的，这个时候就需要对数据进行加密，使用加密技术来保证其内容是保密的。切断物理网络来阻止信息泄露，也属于保密性的范畴。
完整性：比如用户A的数据由1，2，3，4四个部分组成，如果作为信息的安全考虑，我们有责任和义务在该信息经过传输以后，数据还是1，2，3，4四个部分组成，如果有多或者少了，那么数据就是不完整的了。
不可抵赖性：用户A明明发了数据给了用户B，但是A却否认发了数据给B，这个时候就会发生相互推诿扯皮的情况。需要对信息进行不可抵赖的确认。数字签名就可以保证发送者的身份，从而保证传输的信息是不可抵赖的。
可用性：可用性应该和访问控制相互联系起来，不同的用户对于信息系统的访问有不同的权限，权限低的用户对于信息系统的可用性低，权限越高那么他对于信息系统的权限越高。不合法的用户当然就没有权限访问相应的资源。

二. 对称加密和非对称加密，摘要加密算法

为了保证保密性的安全属性，我们在传输数据时就要对数据进行加密，而加密常用的两种方式：对称加密和非对称加密。此外还有摘要算法。
对称加密就是加密的密钥和解密的密钥使用的是同一个密钥，由于密钥一样，所以算法复杂度和安全性没有非对称高，当然了加密的速度也就比较快了。常见的对称加密算法有DES，3DES，IDEA。如果是加密大量的数据，优先使用对称加密技术。
非堆成加密就是加密的密钥和解密的密钥不是使用同一个密钥，所以它的算法复杂度和安全性就高了，当然有利有弊加密速度比如对称加密来得快。RSA就是非对称加密的一种示例。非对称加密因为速度慢，往往用来加密对称密钥。这就是数字信封的技术。
摘要加密算法不同于密钥加密算法，摘要加密算法生成的摘要是不可逆的，也就是说摘要不能反推出原文。常用的加密算法有MD5和SHA两种。
DES算法使用了56位的密钥，3DES算法可以简单理解为加强版的DES，3DES（即Triple DES）是DES向AES过渡的加密算法，它使用2条56位的密钥对数据进行三次加密。
RSA是用来非对称的，它的密钥长度在512位，据说它的计算量是相当庞大的。
AES属于对称加密方法，高级加密标准（Advanced Encryption Standard，AES），它的出现就是用来替代加密算法的前身：DES算法和3DES算法。
哈夫曼密钥交换算法，椭圆算法，背包算法，D-H算法，罗宾算法都属于非对称加密算法，这些可以适当了解一下。

三. 信息摘要的概念

我们的论文中有摘要，在信息系统安全设计领域中，也有信息摘要的概念。信息摘要是由专门的信息摘要算法生成而且是不可逆的。有了信息的摘要以后，我们就可以通过确认信息摘要来判断信息的完整性了。
常见的摘要加密算法有MD5，SHA，这些都是用到了Hash的算法。MD5，SHA算法的散列值分别为128和160位。信息摘要一般情况下和数字签名技术一起使用的。

四. 数字签名的概念

一般的甲乙双方安全数据传输时，我们先采用乙提供的公钥进行加密，加密的密文传输给乙，乙再用自己的私钥进行解密，因为乙的私钥只有乙自己才知道，于是就保证了数据的安全。
在数字签名中，我们也用到了非对称的加密，但是和上面的加解密不同，既然是签名，当然就是要证明自己的身份。
所以在加密的时候，就使用甲自己的私钥加密一个摘要，然后把加密的摘要发给对方乙，乙方如果可以使用甲的公钥解开并得到甲的一个摘要的话，那就可以证明信息是来自甲了。这就是数字签名的基本原理。
那么你可能会问，乙是怎么得到甲的公钥的呢，如果在传输公钥的过程中，被人篡改了这个甲的公钥的时候，该怎么办办？这个时候就需要一个权威的机构，这个机构的名字叫做CA，由CA机构将数字证书发放给别人。数字证书中就包含了甲方的公钥，而且又是权威的机构发放的，所以这样就可以证明消息是甲方发过来的了。
数字签名的作用有两个：第一可以防止抵赖，其次可以识别发送者的身份。Hash算法，MD5，SHA可以用在数字签名技术中。

五. 数字证书的概念

数字证书相当于网络的身份证，一般由CA中心来负责签发数字证书。数字证书中有发信人的公钥信息，使用这个公钥信息就可以判断是否是指定的发信人发来的消息。数字证书一般按照X.509标准制作而成。数字证书包括了序列号，主体公钥信息，发布者数字签名，证书有效期等。

六. 数字信封的概念

数字信封顾名思义就是给传输的信息外面再套一个信封，目的是只让特定的用户能够打开并查看消息。
数字信封其实用的也是加密解密技术来实现的。需要从甲传输给乙的正文用公钥加密，然后将这个公钥信息再用乙的公钥加密，
等乙收到被加密的密文和加密中的密钥后，就用自己的私钥解密出公钥，再使用这个公钥解密正文成原文。
因为在数字信封的制作过程中，对公钥采用了非对称加密，这样甲想给谁发就用谁的公钥加密就好了。数字信封其实还是很好想象的到的。

七. 安全审计的概念

安全审计就是记录信息系统中主体对客体的使用情况，确认系统中安全规则是否都按照计划进行了实施，发现信息系统中得漏洞和性能等方面的不足，分析安全事故发生的原因。
我们可以把安全审计形象得比喻为黑匣子，守护神。安全审计采用了数据仓库，数据挖掘的技术，对历史数据进行分析处理和跟踪，实现在不同网络中终端对终端的监控和管理。

八. 安全审计的作用

概括起来安全审计的作用包括：威慑作用，事中统计，事后分析，找出潜在威胁，提供入侵证据。
起到类似门神的作用，对于非法的入侵检测，起到威慑的作用。
记录信息系统运行的日志，通过日志来分析出潜在的威胁。
事后对于攻击行为进行有效的追责并提供证据
通过对日志的数据挖掘，发现系统中存在的漏洞，发现系统需要性能改善的地方
提供系统日常运行的日志，并对日志进行统计和分析。

九. 入侵检测与防火墙系统的区别

入侵检测不光可以用来检查来自外部的入侵行为，同时也对内部用户的非授权活动进行检测。而防火墙只是用来防御来自外部的网络威胁与攻击。
所以入侵检测系统更像是监控器，不光检测门内的，也检测门外的行为，而防火墙更像是保安门的作用。

十. 入侵检测的概念以及它与安全审计之间的关系

对计算机和网络资源上的恶意使用行为进行识别和响应的处理过程，它不仅检测来自外部的入侵行为，同时也检测内部用户未授权活动。入侵检测和安全审计是一对因果关系。任何一方都不能脱离另一方单独工作。作为完整的安全审计，需要入侵检测系统基于网络，主机和应用系统的审核分析资料。
入侵检测获取记录结果，它是手段；安全审计分析审核资料的来源，它是目的。

十一. 入侵检测的构成，分类

入侵检测由以下四个模块组成：事件发生器，事件分析器，事件数据库，事件响应器
入侵检测有两种基本的技术：特征检测和异常检测。
特征检测就像是杀毒软件一样，记录病毒的一些特征值，然后通过匹配特征值来检测入侵是否是合法的；
异常检测和特征检测不同，特征检测的前提是需要不断的去更新特征库，如果某种病毒不在特征库中，那么就会被非法入侵；而异常检测就不依赖于特征库，比如安装一个绿色软件，但在安装过程中去修改注册表时，会弹出一个确认框，问你是否合法。异常检测也是特征检测的一个很好的补充。
入侵检测产品分类有两种：一种是基于主机的，另一种是基于网络的，如果需要保护的只是单台主机的话，使用前者就可以了。
入侵检测的发展方向有：分布式入侵检测，也就是将分布式系统的概念应用到安全领域。还有智能化入侵检测。
蜜罐技术是入侵检测技术的一个重要的发展方向。是一种主动防御技术，它包含一个漏洞的诱骗系统，使攻击者往往在蜜罐上浪费时间，延缓了对真正目标的攻击。它最大的特点就是实现了诱骗。

十二. 计算机信息安全保护等级的概念区分

计算机信息安全保护等级一共分五级：用系安结访。目前常用的安全等级是第三级和第四级。
第一级是用户自主保护级,适用于普通内联网用户
第二级是系统审计保护级，适用于需要保密的非重要单位，普通的企业
第三级是安全标记保护级，适用于地方各级国家机关、金融机构等
第四级是结构化保护级，中央级国家机关，科研重点单位，国防建设部门
第五级是访问验证保护级，适用于国防安全等需要高度机密化地方

十三. PKI公钥体系

PKI公钥体系是基于非对称加密而存在的。以下就是https的原理，它有效地解决了钓鱼网站的问题
由CA中心向工商银行颁发数字证书
客户端下载该证书到本地
取出工商银行证书中的公钥信息
使用工商银行的公钥对随机数据进行加密
把加密后的信息发送给工商银行的服务器
工商银行服务器收到客户端的信息后，使用自己的私钥解密信息，得到随机数据。这个随机数据就是拿来做随机密钥的。
客户端使用这个随机密钥进行对称加密，然后把加密后的数据发给工商银行

十四. 常用的访问控制权限

MAC：强制访问控制，常常用在军事和安全部门。定义不同的等级，规定不同的等级可以访问的目标。规定每个用户的等级。
DAC：自主访问控制，如果用户A有管理员权限，那么用户A就可以给其他用户低于自己的不同的权限。
ACL：基于列表的访问控制，指定每个资源可以访问用户的列表，不同的资源不同的访问用户列表。
RBAC：基于角色的访问控制，定义不同的角色，比如管理员，一般用户，VIP用户，游客等角色，根据角色规定不同的权限，接下来只要把角色分配给用户就可以了
基于任务的访问控制：如果用户A做某个任务，那么他就有权限，如果用户A不做该任务，就不分配给他相应的权限。

十五. 信息安全空间

我们使用一个三维图来表示信息安全空间。XYZ三轴构成了信息系统的安全空间。
X表示安全机制，Y表示OSI七层模型，Z表示安全服务

十六. 防火墙技术总结

防火墙是一种静态安全技术，防火墙可以分为网络级防火墙(过滤级防火墙)和应用级防火墙(网关防火墙)，网络级防火墙也叫做过滤级防火墙，它工作在网络层和传输层，它采用了动态的报文过滤，看TCPIP报文中的报文头部信息，根据报文的头部信息判断消息是否有问题，根据此原理网络层的防火墙工作效率是很高的，但安全性不会太高；
应用级防火墙也叫做网关防火墙，它工作在应用层，因为在应用层进行确认信息，所以需要打开信息，然后详细的确认，自然它的安全性就要比网络层确认来的高，但是每次都需要在应用层打开信息确认，花时间效率低下那是肯定的了。
应用层防火墙分三类：双穴主机，屏蔽子网，屏蔽主机。
双穴主机使用两块网卡隔离内部和外部的网络；屏蔽子网是在外网和内网之间做了屏蔽子网的措施，安全性最高；屏蔽主机使用了堡垒主机。堡垒主机一般防御性最高的主机，把整个网络中的攻击都集中到堡垒主机处理。
DMZ（Demilitarized Zone）是非军事区，与军事区和信任区相对应，作用是把WEB，e-mail，等允许外部访问的服务器单独接在该区端口，使整个需要保护的内部网络接在信任区端口后，不允许任何访问，实现内外网分离，达到用户需求。

十七. 网络安全Dos与DDos

DoS：是Denial of Service的简称，即拒绝服务。使用合法的手段做不合法的事情，不断重复做合法的事情，消耗掉或占用掉对象主机的资源就是DoS。
DDoS：分布式拒绝服务(Distributed Denial of Service)，DDos是在DoS的基础上，抓很多肉机来进行攻击，从而成倍提高拒绝服务攻击的威力。它强调使用多台终端对联合起来攻击。

十八. 常用的网络威胁与攻击

攻击可以分为被动攻击和主动攻击。被动攻击比较好理解，就是非法的收集情报为发现漏洞，为攻击做准备。
被动攻击破坏信息保密性，非法登陆，窃听，业务流分析都属于被动网络威胁与攻击。
ARP重放攻击：把合法的通信数据，出于非法的目的重新发送。在生化4中，里昂就是使用了村长的眼球，逃出了村庄；村长眼球是合法的，但是却被非法使用了。
DoS拒绝攻击：合法的访问被无条件的拒绝。
业务流分析：强调长期监听，感觉和安全审计如出一辙。但安全审计一个是为了保护系统，业务流分析是为了攻击
旁路控制：攻击者利用了系统的安全缺陷和漏洞，获得非授权的权力。

十九. 安全防范体系的层次划分

物理环境的安全性：通信线路，物理设备，机房安全
操作系统的安全性：操作系统的安全配置，病毒对操作系统影响
网络的安全性：网络层身份验证，网络的访问控制，数据传输的保密，路由系统的安全
应用的安全性：提供服务所采用的系统软件
管理的安全性：安全管理制度，组织规则