1 信息安全基础知识

1.1 信息安全的概念

信息安全包括5个基本要素：机密性、完整性、可用性、可控性与可审查性。

• 三大基本属性（CIA 三元组）
  • 保密性 Confidentiality：防止信息被未授权主体获取。
  • 完整性 Integrity：防止信息被未授权主体篡改或破坏。
  • 可用性 Availability：确保授权主体在需要时能够及时、可靠地访问信息与信息系统。

信息安全的范围包括：设备安全、数据安全、内容安全和行为安全。

1.2 信息存储安全

信息的存储安全包括信息使用的安全(如用户的标识与验证、用户存取权限限制、安全问题跟踪等)、系统安全监控、计算机病毒防治、数据的加密和防止非法的攻击等。

1.2.1 信息使用安全

• 身份验证
  • 基于生物特征：签名、指纹、语音识别。
  • 基于物品：智能 IC 卡、磁条卡。
• 权限控制
  • 隔离控制：物理、时间、逻辑、密码隔离。
  • 限制权限：分类授权、目录/文件 ACL、临时文件加密后及时删除。

1.2.2 系统安全监控

• 四件事
  1. 实时进程/登录用户监控
  2. 权限、所有者、修改日期检查
  3. 系统文件、口令文件、启动脚本完整性校验
  4. 审计日志审查（异常登录、超级用户记录）

1.2.3 病毒防治十要点

1. 网络级病毒自动检测系统，定期更新病毒库
2. 下载官方安全补丁
3. 定期扫描敏感文件
4. 高强度、多账号异口令
5. 每日备份重要数据
6. 使用公安部认证防毒软件，全盘定期杀毒
7. 防火墙隔离内外网
8. 闲置时断网
9. 重要系统物理隔离
10. 谨慎处理陌生邮件及附件

1.3 网络安全

1.3.1 安全漏洞（4 类）

• 物理：非授权设备接入。
• 软件：特权代码含恶意逻辑。
• 不兼容：软硬件随意组合产生隐患。
• 策略：安全哲理/策略缺失或不当。

1.3.2 网络威胁（5 类）

• 非授权访问：假冒、越权、身份攻击。
• 信息泄露/丢失：传输或存储时被窃、丢失。
• 数据完整性破坏：篡改、插入、重放。
• 拒绝服务 DoS：耗尽资源使系统瘫痪。
• 病毒传播：通过网络扩散恶意代码。

1.3.3 安全措施目标（5 项）

• 访问控制：主体只能做被授权的事。
• 认证：确认主体身份真实。
• 完整性：数据未被篡改。
• 审计/不可抵赖：交易可追溯、双方不可否认。
• 保密：敏感信息加密防窃听。

2 信息系统安全的作用与意义

敌对势力的破坏、恶意软件的入侵、黑客攻击、利用计算机犯罪、网络有害信息泛滥、个人隐私泄露等等，对信息安全构成了极大威胁，严重危害人民的身心健康，危害社会的安定团结，危害了国家的主权与发展。我国正处于建设有中国特色社会主义现代化强国的关键时期，必须采取强有力措施确保我国的信息安全

3 信息安全系统的组成框架

信息系统安全系统框架通常由技术体系、组织机构体系和管理体系共同构建。

3.1 技术体系

1. 基础安全设备
   • 密码芯片、加密卡、身份识别卡
   • 物理环境保障：机房、电力、电磁防护、防泄漏
2. 计算机网络安全
   • 传输过程防护：物理隔离、防火墙、访问控制
   • 技术清单：加密传输、认证、数字签名、摘要、VPN、病毒防范、安全审计
3. 操作系统安全
   • 无漏洞、无后门、无木马
   • 安全机制：标识与鉴别、访问控制、最小特权、可信通路、运行保障、存储/文件保护、安全审计
4. 数据库安全
   • 两部分：数据库管理系统安全 + 数据库应用系统安全
   • 技术要点：物理/逻辑完整性、元素安全、可审计性、访问控制、身份认证、可用性、推理控制、多级保护、隐通道消除
5. 终端设备安全
   • 电信网终端：电话密码机、传真密码机、异步数据密码机等

3.2 组织机构体系

• 组织机构体系
  • 是信息系统安全的组织保障系统
  • 构成
    • 机构
      • 决策层：制定安全战略与政策。
      • 管理层：制定制度、分配资源。
      • 执行层：日常安全运维与实施。
    • 岗位：按安全需求设置的具体职责。
    • 人事机构：对在岗、待岗、离职人员开展安全教育、考核和监督。

3.3 管理体系（三分技术七分管理）

• 法律管理：依据国家法律法规规范系统主体及其外部行为。
• 制度管理：信息系统内部依据系统必要的国家、团体的安全需求制定的一系列内部规章制度。
• 培训管理：是确保信息系统安全的前提。

4 信息加解密技术

4.1 数据加密基础

• 目的：防止未授权访问敏感信息。
• 密码学分支：
  • 密码编码学（设计算法）
  • 密码分析学（破译算法）
• 保密通信模型
  • 明文 P → 加密算法 E → 密文 C = E(K, P) → 传输 → 解密算法 D → 明文 P = D(K, C)
  • 算法公开，密钥 K 保密。
• 安全目标：计算上安全（给定计算资源下无法破解）。

4.2 对称密钥加密算法

算法	密钥长度	分组长度	特点	备注
DES	56 bit	64 bit	16 轮替换+换位，已被破解	可用 3DES
3DES	112/168 bit	64 bit	K1-K2-K1 三重加密，强度高但速度慢	兼容性好
IDEA	128 bit	64 bit	8 轮迭代，抗分析能力强，速度快	商业产品常用
AES	128/192/256 bit	128 bit	Rijndael 算法，NIST 标准，未来 20–30 年安全	免版税，软/硬件皆可

4.3 非对称密钥加密算法

• 核心特征
  • 加密密钥 ≠ 解密密钥；公钥公开，私钥保密。
• 三大条件
  1. $D(E(P))=P$
  2. 由公钥 $E$ 无法推导出私钥 $D$
  3. 抗选择明文攻击
• RSA 算法（典型示例）
  • 安全根基：大整数因式分解困难性；要分解 200 位数需 40 亿年暴力分解。

5 密钥管理技术

5.1 对称密钥分配与管理

5.1.1 目标

• 自动高效分配密钥
• 最大限度减少系统内驻留密钥量

5.1.2 两种密钥控制技术

技术	特点	缺点
密钥标签	DES 8 位校验位做控制位	长度受限，需先解密
控制矢量 (CV)	可变长字段 + 杂凑压缩	需与密钥一一对应，密钥分配中心 KDC(Key Distribution Center) 分发

5.1.3 四种分配方式（A、B 共享密钥）

1. A 人工物理送 B
2. 第三方人工分别送 A、B
3. 双方已有密钥，用旧密钥加密新密钥发送
4. 最常用：引入 KDC（密钥分配中心）
   • 每用户与 KDC 共享 1 个主密钥 → KDC 分发会话密钥
   • 会话密钥通信完即销毁
   • 主密钥数 = N，会话密钥数 = N(N-1)/2，但后者无需长期驻留
   • 可分层多级 KDC（本地 + 全局）降低风险与主密钥量

5.1.4 会话密钥有效期

• 更换越频繁 → 安全性越高
• 更换越频繁 → 网络开销越大
• 需按业务需求权衡

5.2 公钥加密体制的密钥管理

方式	机制	优点	缺点
公开发布	用户自行广播公钥	简单	易伪造，无法验证身份
公用目录表	可信管理员维护动态公钥表	集中、可更新	管理员私钥泄露即全局风险
公钥管理机构	管理机构用私钥签名返回公钥	控制更严	通信瓶颈，目录易被篡改
公钥证书（CA）	CA 为用户颁发含身份+公钥+时戳的数字证书	去中心化、可验证、防篡改	需信任 CA，证书生命周期管理

结论：证书机制（CA+数字签名）最常用，兼顾安全与便利。

5.3 公钥加密分配单钥密码体制的密钥

目的：利用公钥算法安全、快速地分配对称会话密钥 Ks，克服公钥加密速度慢的问题。

五步流程（A ↔ B）

1. A 用 B 的公钥发身份 + 随机数 N1
2. B 用 A 的公钥回 N1 与新随机数 N2
3. A 用 B 的公钥回 N2
4. A 发 M = EPUB[ESKA[Ks]]
5. B 验签后得 Ks

结果：实现会话密钥的保密性 + 双向身份认证，可抵御被动监听与主动篡改。

6 访问控制及数字签名技术

6.1 访问控制技术

• 目的：为保护企业在信息系统中存储和处理的信息的安全。
• 三要素：主体（用户/进程）、客体（资源）、控制策略。
• 实现方式：
  • 访问控制矩阵。
  • 访问控制表
  • 能力表
  • 授权关系表

6.2 数字签名

• 作用：完整性 + 认证 + 不可抵赖。
• 流程
  • 发送方用 私钥 对消息摘要签名 → 接收方用 公钥 验证签名。
• 常用算法：RSA、DSA、ECDSA。

7 信息安全的抗攻击技术

7.1 密钥的选择

• 三类密钥
  • DK：数据加密密钥
  • KK：密钥加密密钥（保护 DK）
• 三大原则
  1. 增大密钥空间：位长越长，穷举时间呈指数增长（示例：8 字节密钥穷举需 58 万年）。
  2. 选择强钥：避免弱口令，使用随机、复杂字符串。
  3. 保证随机性：
     • 真随机：物理噪声源（气体放电、漏电容等）。
     • 伪随机：高质量 PRNG + 密码算法，需通过随机性检验、不可预测。

7.2 拒绝服务攻击与防御

攻击类型

类别	手段	目标
传统 DoS	耗尽资源（带宽、CPU、内存、磁盘）	单点瘫痪
DDoS	控制大量“肉鸡”同时攻击	分布式瘫痪、隐蔽更强

攻击路径（外→内）

1. 资源耗尽：海量连接、数据包。
2. 配置篡改：利用弱权限修改系统/服务文件。
3. 物理破坏：破坏机房、电源、路由器。
4. 协议/程序缺陷：发送畸形包触发死循环或崩溃。

DDoS 三级结构

Client（攻击者） → Handler（主控端） → Agent（代理端） → 目标服务器。

防御四法

1. 特征识别：抓包找攻击特征字符串。
2. 端口监控：封禁敏感高危端口（UDP31335 等）。
3. 流量统计：异常 DNS 查询、突发大流量告警。
4. 漏洞修补：及时打补丁、升级系统。

7.3 欺骗攻击与防御

7.3.1 ARP 欺骗

• 原理
  • A 发 ARP 请求查询 C 的 MAC
  • B 抢先回伪造 ARP 应答：IP = C，MAC = B
  • A 更新 ARP 缓存 → 后续 A → C 的流量实际发向 B
• 防御
  • 固化静态表：arp -s gateway-ip gateway-mac
  • 部署 ARP 服务器，集中应答
  • 双向绑定：网关-终端互相绑定 IP-MAC
  • 使用 ARP Guard：底层驱动、重启后仍生效

7.3.2 DNS 欺骗

• 原理
  • 攻击者冒充 DNS 服务器返回虚假 IP
  • 客户端缓存错误记录 → 访问假站点
• 检测
  • 被动监听：抓包比对
  • 虚假报文探测：主动发送探测包
  • 交叉检查：多源对比结果

7.3.3 IP 欺骗

• 原理
  • 伪造源 IP 发送数据包
  • TCP 三次握手需序列号预测，通常先 DoS 掉真实主机
• 防御
  • 删除 /etc/hosts.equiv、.rhosts
  • 关闭不必要 RPC 服务
  • 防火墙过滤：丢弃源地址为内网却来自外部的包

7.4 端口扫描

7.4.1 端口扫描目的

• 识别目标主机开放的服务
• 推测目标主机的操作系统

7.4.2 端口扫描原理

• TCP/IP 使用 [IP:端口] 作为套接字 Socket，定位主机中的进程
• 尝试与目标端口建立连接，收到三次握手的第二次响应即为开放

7.4.3 扫描技术分类

• 全 TCP 连接
  • 完整三次握手，易被记录
• 半打开式扫描（SYN 扫描）
  • 发送 SYN 包
    • 收到 SYN/ACK → 端口开放，回 RST 断开
    • 收到 RST → 端口关闭
  • 不建立完整连接，隐蔽性高
• FIN 扫描
  • 发送 FIN=1
    • 无响应 → 端口开放
    • 回 RST → 端口关闭
  • 不涉及连接建立，更隐蔽
• 第三方扫描（代理扫描）
  • 利用被控制的“肉鸡”代替入侵者发起扫描
  • 隐藏真实来源

7.5 强化 TCP/IP 堆栈抵御拒绝服务攻击

7.5.1 同步包风暴（SYN Flooding）

• 原理
  • 利用 TCP 三次握手的半开连接
  • 攻击者大量发送伪造源 IP 的 SYN → 服务器维持大量半连接队列 → 资源耗尽或拒绝正常服务
• 防御
  • 修改注册表（HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters）

7.5.2 ICMP 攻击

• 原理
  • 利用 ICMP 协议发送异常尺寸或大量报文（如 Ping of Death）→ 目标 TCP/IP 堆栈崩溃
• 防御
  • 修改注册表（HKLM\System\CurrentControlSet\Services\AFD\Parameters）
    • EnableICMPRedirect = 0

7.5.3 SNMP 攻击

• 原理
  • SNMP 管理协议可被利用重定向流量、修改优先级或断开连接 → 完全控制网络设备
• 防御
  • 修改注册表（HKLM\System\CurrentControlSet\Services\Tcpip\Parameters）
    • EnableDeadGWDetect = 0

7.6 系统漏洞扫描

7.6.1 概念

• 目的：发现计算机信息系统中可被黑客利用的漏洞
• 输出：系统安全性能评估报告，指出潜在攻击路径

7.6.2 技术分类

• 基于网络的漏洞扫描
  • 组成
    • 漏洞数据库模块：存储漏洞特征与检测指令
    • 用户配置控制台模块：设定目标与扫描策略
    • 扫描引擎模块：构造并发送探测包，比对返回数据
    • 当前活动的扫描知识库模块：监控扫描状态，向引擎提供实时信息
    • 结果存储器与报告生成工具：汇总结果并输出报告
  • 优点
    • 成本低
    • 无需目标系统管理员参与
    • 无需在目标系统安装代理
    • 网络结构变化时维护简单
• 基于主机的漏洞扫描
  • 实现：在目标系统部署 Agent 或 Service
  • 优点
    • 可扫描漏洞数量更多
    • 集中化管理：扫描服务器统一控制、分发更新
    • 网络流量负载小：扫描由本地代理完成，仅回传结果

8 信息安全的保障体系与评估方法

8.1 计算机信息系统安全保护等级

《计算机信息系统安全保护等级划分准则》 (GB 17859—1999) 规定了计算机系统安全保护能力的 5 个等级。

• 第 1 级：用户自主保护级（对应 TCSEC 的 C1）
  • 可信计算基隔离用户与数据，支持用户自主访问控制
• 第 2 级：系统审计保护级（对应 TCSEC 的 C2）
  • 粒度更细的自主访问控制 + 登录规程 + 审计 + 资源隔离
• 第 3 级：安全标记保护级（对应 TCSEC 的 B1）
  • 包含第 2 级全部功能
  • 引入安全策略模型、数据标记、强制访问控制
  • 准确标记输出信息，消除测试发现的错误
• 第 4 级：结构化保护级（对应 TCSEC 的 B2）
  • 形式化安全策略模型
  • 自主与强制访问控制扩展至所有主体与客体
  • 考虑隐蔽通道
  • 关键/非关键元素结构化、接口明确定义
  • 强化鉴别、支持系统管理员与操作员职能、可信设施管理
  • 抗渗透能力较强
• 第 5 级：访问验证保护级（对应 TCSEC 的 B3）
  • 满足访问监控器需求
  • 访问监控器抗篡改、足够小、可分析和测试
  • 精简非必要代码、降低系统复杂性
  • 支持安全管理员、扩充审计、系统恢复
  • 抗渗透能力最高

8.2 安全风险管理

• 概述
  • 信息安全风险评估是评估信息系统安全事件发生可能性和影响的过程。
  • 评估结果用于制定安全策略和措施。
• 风险评估的范围
  • 确定评估范围：基于商业需求、战略目标等。
  • 评估目标：信息系统、应用、数据等。
• 风险评估的目标
  • 明确评估目标：为风险评估过程提供指导。
  • 目标包括：支持决策、识别威胁、评估脆弱性等。
• 建立风险评估方法
  • 确定评估范围、目的、时间、效果。
  • 获得管理层批准并传达给相关人员。
• 风险评估实施
  • 自评估和他评估：自评估由系统所有者实施，他评估由外部机构实施。
  • 评估内容：资产识别、威胁分析、脆弱性评估等。
• 风险评估结果
  • 评估结果用于制定安全策略和措施。
  • 评估结果应包括：风险等级、应对措施、责任分配等。
• 风险计算的过程
  • 风险评估过程包括：资产识别、威胁分析、脆弱性评估、风险计算。
  • 风险评估结果用于制定安全策略和措施。