北信科12级信息安全概论复习-第二部分.docx

1 .认证是用户进入系统的第一道防线；访问控制在鉴别用户的合法身份后，通过引用监控器 控制用户对数据信息的访问；审计通过监视和记录起到事后分析的作用。2 .访问控制技术（DAC、MAC、RBAC）通过某种途径限制访问能力及范围的一种方法。可以 限制对关键资源的访问，防止非法用户的侵入或者因合法用户的不慎操作所造成的破坏。组成：主体：指发出访问操作、存取请求的主动方，主体可以访问客体，包括用户、用户组、 终端、主机、或应用进程客体：被调用的程序或欲存取的数据访问，可以是一段数据、一个文件、程序或处理器、 储存器、网络节点平安访问政策：即授权访问，是一套规那么，用以确定一个主体是否可以访问客体访问控制系统的组成：访问实施模块：负责控制主体对客体的访问访问控制决策功能块：主要局部，根据访问控制信息做出是否允许主题操作决定访问控制信息：放在数据库、数据文件中，也可选择其他存储方法，视信息的多少与安 全敏感度而定。自主访问控制DAC：基本思想：允许主体显式的制定其他主体是否可以访问自己的信息资源即访问类型 特点：访问信息的决定权在于信息的创立者，根据主体的身份和授权来决定访问模式。 缺乏：信息在移动过程中其访问权限关系会被改变。最常用的一种访问控制技术，被UNIX普遍使用强制访问控制MAC：基本思想：每个主题有既定的平安属性，每个客体也有既定的平安属性，主体对客体是 否能执行取决于两者的平安属性。特点：主体与客体分级，级别决定访问模式。用于多级平安军事系统。保护数据机密性（不上读/不下写）：不允许低级别用户读高敏感信息，不允许高敏感信 息进入地敏感区域。保护数据完整性（不下读/不上写）：防止应用程序修改某些重要的数据。通常DAC与MAC混用。两种访问模式共有的缺点：自主式太弱、强制式太强、二者工作量大，不便管理；基于角色的访问控制技术RBAC：具有提供最小权限和责任别离的能力。三种授权管理途径：改变客体的访问权限；改变角色的访问权限；改变主体所担任的角色；五个特点：（1）以角色作为访问控制的主体（2）角色继承（3）最小权限原那么（4）职责别离（5）角色容量与DAC与MAC相比RBAC具有明显的优越性，基于策略无关的特性使其可以描述任何 的平安策略，DAC与MAC也可以用来描述RBAC2可信计算机系统评估标准TESEC评价标准：D类：不细分级别，没有平安性可言C1类：不区分用户，基本的访问控制C2类：由自主的访问平安性，区分用户B1类：标记平安保护B2类：结构化内容保护，支持硬件保护B3类：平安域，数据隐藏与分层、屏蔽A/A1类：校验及保护，也提供低级别手段D最低A最高，高级别具有低级别所有功能，同时又实现新的内容,扫描技术：TCP端口扫描：connect ()扫描：最基本的方式，优点是用户无需任何权限，且探测结果最为准确； 缺点是容易被目标主机发觉SYN扫描：即半开式扫描，不建立完整的连接，只发送一个SYN信息包，ACK响应包表 示目标是开放监听的，RST响应包那么表示目标端口未被监听，假设收到ACK的回应包那么立刻发 送RST包来中断连接。有点为隐蔽性好。FIN：向目标端口发送FIN分组。按照RFC793的约定，目标系统给所有关闭着的端口回 应一个RST分组Xmas空扫描UDP端口扫描：发送一个零字节的UDP信息包到目标机器的各个端口，假设收到ICMP端口 不可达的回应那么证明该端口关闭，否那么默认开放。许多易受攻击的服务都是通过UDP端口 来传输数据的.操作系统识别：由于软件漏洞总是与操作系统的版本与类型相关，所以探测识别操作系统 的类型十分重要。传统方法：信息不够全面，依赖对方提供的服务和对服务的配置，如是否开放talent、ftp、 www等，及是否关闭标志。因此在很多情况下传统的方式无效。基于TCPIP协议栈的指纹探测：操作系统通常以内核的方式为应用程序提供用于网络互联 服务的子例程，即网络协议栈。操作系统一旦发布，其网络协议栈也就成型了。有点事准确 度和精准度高。3 .网络漏洞库-CVE：为每个漏洞和暴露确定了唯一的名称与标准化的描述，可以成为评价响 应入侵检测和漏洞扫描等工具产品和数据库的基准。特点：(1)为每个漏洞和暴露确定了唯一的名称与标准化的描述CVE不是数据库而是字典(3)任何完全风格迥异的漏洞库都可以用同一个语言表述(4)语言的统一可以使得平安事件报告更好地被理解、实现更好的协同工作，可以 成为评价相应工具和数据库的基准5) CVE非常容易从互联网查询和下载(6)各种漏洞数据库和漏洞评估工具使用一个公共的平安漏洞名字，可以帮助用户 彼此独立的共享交换数据.拒绝服务攻击(DoS Denial of Service)：使计算机或网络无法提供正常的服务。这种攻击是 由人为或非人为发起的，使主机硬件、软件或者二者都失去工作能力，使系统变得不可访问、 从而拒绝为合法用户提供服务的行为。攻击者的意图很明显：使你的主机提供的服务无法被 访问。早期（90年代中晚期）：利用操作系统中的软件缺陷使软件或硬件无法处理例外情况，通 常发生在用户向有缺陷的程序发送或输入出乎预料的数据。最具危害性的是：以TCPIP协议 栈作为目标的“发送异常数据包”现代：能力消耗（带宽消耗）：设法耗尽目标系统（通信层和应用层）的全部带宽，让它无 法向合法用户提供服务（或不能及时提供服务）。早期的DoS攻击技术主要通过耗尽攻击目标 的某种资源来到达目的，但它们所利用的安防漏洞现在差不多都被修补好了。可供利用的安 防漏洞越来越少.带宽攻击：极大的通信量冲击网络，使得所有的可用网络资源都被消耗殆尽，最后导 致合法的用户请求无法通过。连通性攻击：用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗 殆尽，最终计算机无法再处理合法用户的请求。难以杜绝拒绝服务攻击的原因：（1）, DoS攻击简单有效，效果立竿见影，因此很受初学乍练的攻击者的青睐，作为 一名系统管理员，要对频繁的DoS攻击有思想准备（2）这一类的攻击大多利用了计算机软件、硬件厂商提供的TCP/IP协议实现中的错误、 缺陷或不一致性，具有通用性。即使目标系统的软件没有编程漏洞，也可攻击。攻击过程：（1）攻击者向服务器发送众多的带有虚假地址的请求；（2）服务器发送回复信息后等待回传信息；服务器一直等待伪地址回传的消息、，资源 无法释放，一段时间后连接因超时被切断。（3）在攻击者持续传送新的伪地址请求，服务器资源最终被耗尽攻击类型：（1） Smurf攻击（利用ICMP协议）：结合使用IP欺骗与ICMP回应，使大量网络传输 充满目标系统，导致它法提供正常服务，因为其放大效果而成为最具有破坏性的DoS攻击 之一，放大效果是向一个网络上的多个系统发送定向的ping请求，这些系统接着对这种请 求作出响应（2） Smurf攻击（利用定向广播技术）：需要至少三个局部：攻击者、放大网络（也 称为反弹网络或站点）和受害者。Smurf攻击过程：Attacker向一个具有大量主机和因特网连接的网络的广播地址，发送 一个欺骗性Ping分组（echo请求），这个目标网络被称为反弹站点，而欺骗性Ping分组的源 地址就是Attacker希望攻击的系统。攻击的前提：路由器接收到这个发送给IP广播地址（如202.122.12.255）的分组后，会认 为这就是广播分组，并且把以太网广播地址FF:FF:FF:FF:FF:FF映射过来。这样路由器从因特 网上接收到该分组，会对本地网段中的所有主机进行广播。防止Smurf攻击的对策：阻塞攻击源头：用户使用路由器的访问控制机制，使欺骗性分组无法找到反弹站点。阻塞反弹站点：简单的阻塞所有的入站echo请求，可以防止这些分组到达自己的网 络，假设不能阻止，那么要制止自己的路由器把网络广播地址映射成为LAN广播地址。阻塞目标站点：通过动态分组过滤技术或使用防火墙，阻止这些分组进入自己的网络。（3） SYN Flood攻击：当前最流行的DoS与DDoS （分布式拒绝服务攻击）方式之一， 利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存缺乏）的攻击方式防御对策：增加连接队列的大小：不是优选的，因为会影响系统性能缩短连接建立超时时限：不是优选。应用厂家检测及规避潜在syn攻击的相关软件补丁：作为网管，应该及时升级 系统，并打补丁应用网络IDS产品