1 信息系统安全概述
1.1 信息的生命周期:产生,处理,传输,存储,使用,销毁
1.2 信息安全:系统安全,数据安全,内容安全,行为安全
1.3 信息系统安全
· 为信息安全提供基础的存储、处理、使用的基础的安全环节。
· 信息系统的硬件、软件或固件不因偶然的或恶意的原因而遭受破坏、更改、访问和泄露,从而保证信息系统能够连续可靠地正常运行,提供稳定的服务。
1.4 信息系统的基本安全属性:
· (国际电信联盟标准ITU-T X.800)机密性,完整性,认证,访问控制,抗抵赖
· (GA-T 708-2007)保密性,完整性,可用性
· 可信,可控
1.5 安全风险及安全威胁
(1) 安全风险:(系统的脆弱性包含哪些方面)信息系统的安全风险主要来源于系统的脆弱性,即安全漏洞
· 电磁泄漏:辐射泄露 传导泄露
· 芯片的脆弱性
· 操作系统的安全漏洞
· 数据库的安全漏洞:自身安全缺陷 错误配置部署 SQL注入
· 通信协议的安全漏洞:开放性 设计缺陷 代码实现缺陷
· 移动存储介质的安全漏洞
(2) 安全威胁来源:
· 自然
· 人为(物理攻击,网络攻击,恶意代码,安全管理)
(3) 脆弱性、安全威胁、安全损失三者的关系:
· 脆弱性是系统内在的,无法避免,是系统本身存在的;
· 安全威胁来自于外部,有途径;封闭的环境(蜂窝网、汽车内部的电机系统)最初没有安全威胁,因此几乎没有安全事件发生,不代表没有脆弱性,只是因为安全威胁无法威胁到封闭的系统,不会造成安全损失;
· 在开放的环境中,脆弱性仍然是脆弱性,系统对外的接口变成威胁入侵的手段,发生安全事件和安全损失;
· 系统的脆弱性和威胁不一定引起安全损失和安全事件,安全事件的发生既需要脆弱性又需要威胁。
信息系统安全问题的根源:1、信息系统的开放性 2、信息系统的脆弱性 3、黑客的恶意入侵
信息系统安全技术:基础安全技术 物理安全技术 操作系统安全技术 数据库安全技术 网络安全技术 应用系统安全技术
2 信息系统安全体系结构
2.1 为什么要研究信息系统安全体系结构?
· 从系统的角度考虑信息安全问题;
· 在安全需求、安全技术方法和安全评估标准、相关法律法规之间架起一座桥梁;
· 安全体系结构能极大地促进安全系统设计的重用;
· 有利于保障安全系统间的互连、互通、互操作。
2.2 四种体系架构:抽象(用于安全需求),通用(用于标准),逻辑(用于方案设计),特殊(用于系统详细设计)。
2.3 构成信息系统安全体系结构的要素:
· 安全需求
· 安全策略
· 安全模型
· 安全机制
2.4 安全体系结构的设计原则:
· 从系统设计之初就考虑安全性
· 尽量考虑未来可能面临的安全需求
· 实现安全控制的极小化和隔离性
· 实施极小特权
· 安全相关功能结构化
· 安全性能友好
· 安全性不依赖于保密
2.5 安全体系结构的发展
· 无安全体系结构阶段(20世纪60-70)
· 安全体系结构初级阶段(89-90首次提出安全体系结构)
· 安全体系结构发展阶段(强调严防死守)
· 安全体系结构高级阶段(强调保护、检测、反应、恢复;降低损失;保障业务的连续性)
2.6 ISO安全体系结构解决的安全问题(针对互联协议)及其服务形式(具体安全需求):
· 三维模型:安全服务(安全需求),安全机制,安全协议
· 通用体系架构
· 开放互联
· 安全机制:
(1)加密; (2)数字签名; (3)访问控制; (4)数据完整性;
(5)鉴别交换;(6)通信业务填充;(7)路由选择控制;(8)公证。
5大安全服务:认证 访问控制 数据完整性 数据保密性 抗否认服务
2.7 几种典型的安全体系结构之间的区别
· 基于协议
· 基于实体
· 基于对象
· 基于代理
· 基于可信计算
3 物理安全(系统安全的第一道防线|信息系统安全的基础)
3.1 物理安全的概念
· (武汉大学)阻止非授权访问设施、设备和资源,以及保护人员和财产免受损害的环境和安全措施。
· (GB-T)为了保证信息系统安全可靠运行,确保信息系统在对信息进行采集、处理、传输、存储过程中,不致受到人为或自然因素的危害,而使信息丢失、泄露或破坏,对计算机设备、设施、环境人员、系统等采取适当的安全措施。
3.2 物理安全涉及到的内容:设备安全,环境安全,系统物理安全
3.3 设备安全威胁:
· 设备被盗与被毁
· 电磁干扰
· 电磁泄漏
· 声光泄漏
设备安全防护方法:
· 防设备被盗与被毁
· 抗电磁干扰
· 防电磁泄漏
· 防声光泄露
3.4 抗电磁干扰:
屏蔽,滤波,接地
3.5 防电磁泄漏的方法:
使用低辐射设备,屏蔽,滤波,电磁干扰器
3.6 环境安全(机房安全等级、机房位置和设备部署、温度(0-45)、湿度(40-60%)、其他(粉尘浓度、噪声、电磁干扰、振动、静电等))
3.7 TEMPEST(电磁辐射泄漏监测与防护技术):包括对电磁泄漏信号中所携带的敏感信息进行分析、测试、接收、还原和防护的一系列技术
主要研究内容:
· 研究信息处理设备的电磁泄漏机理
· 研究电磁泄漏的防护技术
· 研究有用电磁信息的提取技术
· 研究电磁泄漏测试技术和标准
主要技术措施:
· 屏蔽
· 滤波
· 电磁干扰
· 保证安全距离
· 低辐射
目的:降低或抑制有用信息的电磁发射,防止涉密信息外泄。
4 身份认证技术(信息系统的第一道安全防线)(不同于消息认证:区别P58)
4.1 身份认证的方法:基于口令(不讨论)、基于密码技术、基于生理特征(普遍性、唯一性、可测量性、稳定性、安全性)、基于行为特征
4.2 密码编码学的组成:
4.3 公钥密码技术解决了对称密码技术的哪些困难问题?数字签名,密钥分配。
(为什么用对称密钥无法实现密钥分配?对称密钥破坏了密钥的机密性(秘密信息只能为通信双方持有)。)
4.4 公钥密码技术的基本组成和满足的要求?(三个误区:公钥密码更安全:都依赖于密钥长度和破解密文的计算量;可以替代对称密码:公钥算法计算量远大于对称密钥算法,性能显著下降;公钥密码分配更容易:不能肯定公钥没有被假冒)
基本组成:明文,密文,私钥,公钥,加密算法,解密算法
要求:(1)用户产生一对密钥在计算上是容易的;
(2)已知接收方的公钥和待加密消息M,发送方产生相应的密文C在计算上是容易的;
(3)接收方使用其私钥解密接收到的密文,在计算上是容易的;
(4)已知公钥,攻击者解出私钥在计算上不可行;
(5)已知公钥和密文,攻击者恢复明文在计算上不可行;
(6)加密和解密的顺序可以互换。
4.5 数字签名有哪些特征?
(1)依赖性; (2)唯一性; (3)易用性;
(4)易验证; (5)抗伪造; (6)可保存。
数字签名要求:(1)必须能够验证签名者和签名的实践(2)必须能够认证被签名的消息内容(3)签名能够由第三方仲裁,以解决纠纷
4.6 为什么对称算法不能用于数字签名?(对称密钥无法唯一识别身份)
4.7 重放攻击的类型
(1)简单重放; (2)可检测的重放;
(3)不可检测的重放; (4)不可修改的逆向重放。
4.8 防止重放攻击的方法
(1)序列号;(2)时间戳;(3)挑战应答(面向连接的协议)。
4.9 双向认证协议:相互验证身份。
单向认证协议:验证发送方或接收方的身份。
4.10 基于生理特征的身份认证中,生理特征的特性:
(1)普遍性;(2)唯一性;(3)可测量性;
(4)稳定性;(5)安全性。
4.11 生理特征识别(指纹 人脸 虹膜)的步骤:
(1)图像采集;(2)图像预处理;(3)特征提取;(4)匹配与识别。
指纹识别:指纹采集、生成指纹图像、图像预处理、二值化、细化、提取特征点、指纹匹配
常用识别算法:支持向量机SVM 人工神经网络ANN 隐形马尔可夫模型HMM
4.12 基于行为特征的身份识别(步态、笔迹)
5 访问控制技术
5.1 什么是访问控制:对主体访问客体的能力或权力的限制。
信息系统的访问控制技术是通过对访问的申请、批准、撤销的全过程进行有效的控制,从而确保只有合法用户才能基于批准,而且相应的访问只能执行被授权的操作。
访问控制的目的是限制用户访问信息系统的能力,是在保障授权用户获取所需资源的同时,组织未授权用户的安全机制,同时保证敏感信息不被交叉感染。
5.2 访问控制模型及其四要素:主体、客体、引用监控器和控制策略
5.3 访问控制器(引用监控器)遵循的3个原则:
(1)具有自我保护能力; (2)总是处于活跃状态;
(3)必须设计得足够小
5.4 访问控制策略遵循的3个原则:
(1)最小特权原则; (2)最小泄露原则;
(3)多级安全原则。
5.5 访问控制的描述方法及其特点:
(1)访问控制矩阵(二维矩阵描述任意主体和任意客体的访问权限); (2)访问控制列表(从客体出发file);
(3)访问能力表(从主体出发);
(4)授权关系表(描述主客体之间授权关系的组合)。
5.6 访问控制实现的类别:
(1)接入访问控制(网络访问的第一道屏障); 三个步骤:用户名的识别与验证、用户口令的识别与验证和用户帐号的缺省限制检查
(2)资源访问控制;
(3)网络端口和节点的访问控制(自动回复器和静默调制器)。
5.7 资源访问控制设计哪些内容?
(1)文件系统的访问控制(文件目录访问控制和系统访问控制);
(2)文件属性访问控制;
(3)信息内容访问控制。
5.8 基于所有权的访问控制:
自主访问控制和强制访问控制的概念?
(1) 自主访问控制DAC:资源的所有者不仅拥有该资源的全部访问权限,而且能够自主的将访问权限授予其他的主体,或从授予权限的主体收回其访问权限。
(2) 强制访问控制MAC:不再让普通用户管理资源的授权,而将资源的授权权限全部收归系统,由系统对所有资源进行统一的强制性控制,按照事先规定的规则决定主体对资源的访问权限。
自主访问控制的分类和重要标准:
分类:
(1)严格的自主访问控制策略; (2)自由的自主访问控制策略;
(3)属主权可以转让的自由访问策略。
自主访问控制的粒度是单个用户,重要标准:
(1)文件和数据等资源的所有权; (2)访问权限及批准。
强制访问控制的保密性规则和完整性规则:
(1)保密性:下读上写; (2)完整性:上读下写。
BLP模型的访问规则及其举例?
(1) 简单安全规则:下读
(2) *策略:上写
(3) 自主安全访问规则:由宿主分配访问权限
上述规则保证了客体的高度机密性,保证了系统中信息的流向是单向不可逆,总是从低密级流向高密级的主体流动,避免了信息泄露
BLP会带来隐蔽通道问题(P88)
Biba模型访问规则:
(1) 非自主安全访问规则:严格完整性规则,下限标记策略(针对主体,针对客体,下限标记完整性审计规则),环规则
(2) 自主安全访问规则:访问控制列表,客体层次结构,环
Biba优势:与BPL结合的可能性
缺陷:完整性级别的标签确定困难、biba模型的目的性不明确、bima模型与BLP模型结合困难
即使使用了BLP和Biba模型,也无法地域病毒的攻击
5.9 基于角色的访问控制
把权限分配在角色上,不直接分配给用户,用户通过角色获得权限。
角色继承:反应系统内部角色之间的权利、责任关系
角色限制:
(1) 静态角色互斥:在角色分配权限之初就判断是否有冲突。(角色分配)
(2) 动态角色互斥:在使用过程中授权。(会话选择)
(3) 角色基数限制。
角色的分配与授权:一个角色授权给一个用户是指该角色分配给这个用户
RBAC模型
(0) 基本模型,支持最低要求;
(1) 角色分级模型,增加角色层次概念;
(2) 限制模型,增加约束;
(3) 统一模型,提供角色分级和继承的能力。
5.10 基于任务的访问控制 一种主动访问控制模型
特点:任务是否有权执行受任务顺序和任务依赖关系的限制。对象的访问权限控制不是静止的,而是随着执行任务的上下文环境发生变化。
授权步,授权单元,依赖,任务
TBAC模型
5.11 基于属性的访问控制
属性类别:
(1)主体属性; (2)客体属性;
(3)环境属性; (4)权限属性。
授权思想:
根据信息系统预先定义的安全策略,对提出访问请求的主体,依据其拥有的属性特征集、客体特征属性集和相应的环境属性特征集进行授权决策。
模型:
6 操作系统安全
6.1 操作系统面临的安全威胁:
(1)病毒; (2)后门(天窗); (3)木马;
(4)逻辑炸弹; (5)蠕虫; (6)隐蔽通道。
6.2 操作系统的硬件安全机制
(1)存储保护; (2)运行保护; (6)I/O保护。
6.3 最小特权管理:
不应给用户超过执行任务所需特权以外的特权,或仅给用户赋予必不可少的特权。
6.4 Windows操作系统安全
安全机制
(1)用户账号管理; (2)身份认证; (3)访问控制;
(3)安全审计; (4)文件加密。
访问控制机制中的安全访问令牌和安全描述符:
(1) 安全访问令牌(给服务器):LSA模块收到登录用户的SID信息后创建,相当于用户访问系统资源的票据。分为主令牌和模拟令牌。一旦程序停止运行,主令牌消失,模拟令牌起作用。
(2) 安全描述符(给客体):与每个被访问的对象相关联,描述一个被访问对象的安全信息,主要组件是访问控制列表。
6.5 Linux操作系统安全
文件安全,用户和组安全,进程安全,日志管理安全
用户和组安全涉及的内容
(1)安全使用用户和组文件; (2)验证用户和组文件;
(3)用户密码的设定方法。
SELinux的目标策略:
Targeted策略的目的是隔离高风险程序,一方面可以向Linux系统添加大量的安全保护,同时又尽量少地影响现有的用户程序。
6.6 Android操作系统安全
安全模型
(1)应用程序沙盒; (2)访问权限;
(3)IPC; (4)SELinux。
IPC-进程间通信
(1) 进程隔离:进程的地址空间是独立的,一个进程不能直接访问另一个进程的内存空间。
(2) Binder机制:使用内核驱动和用户空间层的组合来实现IPC机制。
(3) Android系统利用IPC机制帮助进程发现为其为其提供的服务并与之交互的进程。
(4) Binder架构:采用一个基于抽象接口的分布式组件架构,防止提权。
权限保护级别:
(1) Normal级:默认安全级别,定义了访问系统或其他应用程序的低风险权限。
(2) Dangerous级:可以访问用户数据或某种形式上的控制设备。
(3) Signature级:最严格,需要加密密钥,只赋予与声明权限使用相同密钥的应用程序,常被赋予用于执行设备管理的系统应用。
(4) SignatureOrSystem:折中方案,可被赋予系统镜像的部分应用,或与声明权限具有相同签名密钥的应用程序。
回收机制的原则:
Android系统优先清理那些已经不再使用的进程或优先级较低的进程,或是倾向于杀死一个能回收更多内存的进程。
7 数据库系统安全
7.1 数据库系统安全概念:
数据库安全是保证数据库信息的机密性、完整性、可用性、可控性和隐私性,防止系统软件及其数据遭到破坏、更改和泄漏。
7.2 数据库系统安全涉及的内容:
(1)用户身份认证; (2)事务处理访问检查; (3)授权规则;
(4)语义完整性检查; (5)用户登录鉴别; (6)审计追踪;
(7)操作系统检查; (8)文件检查; (9)实体保护;
(10)数据库并发控制; (11)数据库恢复; (12)统计数据安全;
i. 推理控制。
7.3 操作系统为数据库系统安全提供的功能:
(1) 保护DBMS,防止用户程序对其修改,尤其是DBMS中的访问控制机制。
(2) 对内存缓冲区中的数提供保护,当敏感数据存放在内存缓冲区中时,防止非授权用户对其读写。
(3) 防止DBMS之外的程序对数据库直接进行访问。
(4) 保证正确的物理I/O,确保读取数据库文件的正确。
(5) 提供可靠的数据通信信道,通过通信信道传输数据时,应对其提供保护,防止数据泄漏或被篡改。
7.4 数据库系统面临的安全威胁:
(1)软威胁(病毒、蠕虫和木马,天窗或后门,隐蔽通道,逻辑炸弹)
(2)硬威胁(存储介质故障,控制器故障,电源故障,芯片主板故障)
(3)传输威胁
(4)人为错误
(5)物理环境威胁
7.5 数据库安全策略:
(1)数据库安全策略;
(2)安全管理策略;
(3)信息流控制策略;(高密级信息不能向低密级信息流动)
(4)访问控制策略。
7.6 数据库系统的访问控制策略:
(1)最小特权策略; (2)最大共享策略;
(3)粒度适当策略; (4)开放和封闭系统策略;
(5)按访问类型划分的控制策略; (6)上下文相关的访问控制策略;
(7)与内容相关的访问控制; (8)与历史相关的访问控制。
7.7 数据库系统的安全机制
(1)身份认证; (2)访问控制; (3)加密机制;
(4)审计机制; (5)推理控制与隐通道分析;(6)安全恢复.
7.8 数据库加密技术满足的要求:
(1)对数据库加密不应影响系统原有的功能;
(2)加解密速度足够快,特别是对解密速度要求更高
(3)加密机制在理论上和计算上都有足够的安全性
(4)加密后的数据库存储量没有明显增加,不破坏字段长度的限制
(5)加密后的数据具有较强的抗攻击能力,能满足DBMS定义的数据完整性约束,解密时能识别对密文数据的非法篡改
(6)加解密对数据库合法用户是透明的
(7)具有合理的密钥管理机制,保证密钥存储安全,使用方便、可靠
7.9 加密方法及存在的问题:
(1)库内加密
(2)库外加密。
DBMS以外为库外,以内为库内。库内加密意味着要改变数据库的源码。
7.10 数据库加密粒度
(1)数据库级加密;(直接对文件加密,和操作系统加密方式相同,每个文件的加密密钥FEK不同,每个FEK都被相应的公钥保护。用户注销后,以前加密的所有文件都解不开,因此需要对公钥备份)(效率最高)
(2)表级加密
(3)记录级加密
(4)字段级加密
(5)数据项加密(效率最低)
7.11 数据库审计的主要功能
(1)安全审计数据产生; (2)安全审计自动响应;
(3)安全审计分析; (4)安全审计浏览;
(5)安全审计事件选择; (6)安全审计事件存储。
7.12 安全审计系统建设目标
(1)有效获取所需数据;
(2)提供事件分析机制,具备评判异常、违规的能力;
(3)保证审计功能不被绕过;
(4)有效利用审计数据;
(5)审计系统的透明性;
7.13 数据库的备份技术(日志先写)
事务的四大特性:
(1)原子性; (2)一致性;
(3)隔离性; (4)持久性。
故障类型:
(1)事务故障(原子性);
(2)系统故障(原子性、持久性);
(3)介质故障(原子性、持久性)。
恢复技术
(1)事务故障的恢复:强行回滚,利用日志文件撤销此事务对数据库的修改。逆向扫描日志文件,将修改前的值写入数据库。
(2)系统故障的恢复:强行撤销未完成的事务,重做已提交的事务。正向扫描日志,将修改后的值写入数据库。
(3)介质故障的恢复:使用日志、数据库备份。
8 入侵检测
8.1 概念:
入侵检测:对入侵行为的发现,是一种试图通过观察行为、安全日志或审计数据来检测入侵的技术。
入侵:任何试图破坏或危及信息系统资源的完整性、机密性和可用性的行为。一旦信息系统与网络连接,其被入侵者入侵的危险就可能存在。
8.2 入侵检测的模型:
8.3 IDS的优缺点
优点:
(1) 提高信息安全体系中其他部分的完整性;
(2) 提高系统的监控能力。能够从入口点到出口点跟踪用户的活动;能够识别和汇报文件的变化;能够侦测系统配置错误并纠正;能够识别特殊攻击类型并向系统安全管理员汇报,进行自动防御。
缺点:
(1) 无法弥补差的认证机制;
(2) 不能弥补网络协议的弱点;
(3) 不能弥补系统服务质量或完整性缺陷;
(4) 如果没有人的干预,不能管理攻击调查;
(5) 不能指导安全策略的内容;
(6) 不能分析一个堵塞的网络。
8.4 入侵检测系统的分类
根据检测的对象:基于主机,基于网络,混合检测;
根据分析方法:异常IDS,特征IDS,协议分析IDS;
根据工作方式:在线检测,离线检测;
根据检测结果:二分类,多分类;
根据响应方式:主动检测,被动检测;
根据系统模块的分布方式:集中式,分布式
8.5 入侵检测系统收集的信息:
(1)系统和网络日志; (2)程序执行中的异常行为;
(3)目录和文件中的异常改变; (4)物理形式的入侵信息。
8.6 入侵信号的分析方法:
(1)模式匹配; (2)统计分析; (3)完整性分析。
8.7 入侵检测响应类别:
(1)主动响应; (2)被动响应。
8.8 基于主机的入侵检测系统:
审计数据的获取方式:
直接监测获取:从数据产生或从属的对象直接获得数据;
间接监测获取:从反映被监测对象行为的某个源获取数据。
审计数据预处理的指标:
数据集成,数据清洗,数据融合,数据简化,数据变换
8.9 基于网络的入侵检测系统:
包捕获机制的原理和方法
原理:在数据链路层增加一个旁路处理器,对发送和接收的数据包进行缓冲和过滤等处理,最后直接送到应用程序。在这个过程中,包捕获机制并不影响网络协议栈对数据包的处理,它只是对所捕获的数据包根据用户的要求进行筛选,最终把满足过滤条件的数据包传递给用户程序。
方法:
(1)将数据包捕获程序安装在网络或代理服务器上;
(2)对交换机实时端口映射,将所有端口的数据包全部映射到监控端口上;
(3)在交换机和路由器之间连接一个Hub,将数据以广播的方式发送;
(4)采用ARP欺骗,在负责数据包捕获的设备上实现整个网络的数据包转发,这将降低局域网的效率。
8.10 入侵检测系统的评估:
性能指标:
(1)及时性; (2)容错性; (3)准确性;
(4)处理性能; (5)完备性。
误用检测:依据入侵签名库和模式匹配算法。
失效原因:
(1) 系统活动记录未能为入侵检测系统提供足够的信息用来检测入侵;
(2) 入侵签名数据库中没有某种入侵攻击签名;
(3) 模式匹配算法不能从系统活动记录中识别出入侵签名。
异常检测:通过构建轮廓模板来描述用户的行为特征,形成一种可量化的指标。IDS持续地根据系统或用户行为维护这个指标,当这个指标超过预先设定的界限时,就认定为入侵行为。
失效原因:
(1) 异常阈值定义不合适;
(2) 用户轮廓模板不足以描述用户行为;
(3) 异常检测算法设计错误;
(4) 用户的行为可能发生变化。
功能性测试:
(1)攻击识别; (2)抗攻击性; (3)过滤;
(4)报警; (5)日志; (6)报告。
性能测试:
(1) 入侵检测系统引擎的吞吐量;(预先不加载攻击标签的情况下,处理原始检测数据的性能)
(2) 包的重装性能;
(3) 过滤的效率;(在遭受攻击的情况下,过滤器接收、处理、报警的效率)
9 可信计算
9.1 什么是可信
(1) 可信:值得信任。一个系统可信指系统的运行(或输入输出关系)符合预期的结果,没有出现未预期的结果和故障。
(2) TCG:如果一个实体的行为总是以预期的方式达到既定目标,那么它是可信的。
(3) ISO/IEC15408:一个组件、操作或过程的可信是指在任意操作条件下是可预测的,并能很好地抵抗应用程序软件、病毒以及一定物理干扰所造成的破坏。
9.2 可信计算需要达到的要求:
(1) 验证用户身份
(2) 验证平台软硬件配置的正确性
(3) 验证应用程序的完整性和合法性
(4) 平台之间的可信任性
9.3 TCG可信计算的安全属性:
(1)可鉴别性; (2)完整性; (3)机密性。
9.4 微软可信计算的目标:
(1)安全性; (2)完整性; (3)机密性; (4)可靠性.
9.5 什么是可信根?
可信根是系统的安全基础、安全起点,在可信网络环境中所有安全设备都信任该可信根。可信应用将会从下层获得安全支撑,而非可信应用可以运行于可信系统之上,但不能获得安全支撑。
9.6 可信计算的基本功能:
(1)完整性度量、存储和报告; (2)平台证明; (3)受保护能力。
9.7 可信平台的可信根:
(1)可信度量根(Root of Trust for Measurement,RTM)
(2)可信存储根(Root of Trust for Storage,RTS)
(3)可信报告根(Root of Trust for Report,RTR)
9.8 TPM的基本结构和工作模式(串行)
在用TPM做安全防护的基本单元时,需要有TCS协助将串行的任务并行化。
9.9 EK和AIK的关系
出厂时是EK,针对每一个用户有AIK。
要点:(1)EK与系统绑定,不能迁移;(2)平台(或用户)可以针对不同应用或不同时间使用不同的AIK证书来表征平台身份可信性,利用AIK也可以实现与EK相比更大的新鲜度,保护用户隐私。
EK密钥由TPM芯片生产厂商生成,是TPM芯片的唯一标识,在理想状态下,TPM内部保存着可信第三方颁发的EK证书用以证明EK的合法性。EK是重要的私有信息,用EK加密或签名数据,攻击者可能会从被加密的数据中获取EK的相关信息而攻击TPM。平台身份密钥AIK由此产生。利用AIK密钥可以进行签名与加密等操作。AIK密钥由平台所有者产生,保存在TPM、内部或外部。平台身份证书由可信第三方签发,用以证明AIK密钥的合法性。AIK可以看作是EK的“别名”,EK只有一对,但EK可以对应多对AIK,之后,平台(或用户)可以针对不同应用或不同时间使用不同的AIK证书来表征平台身份可信性,利用AIK也可以实现与EK相比更大的新鲜度。
9.10 信任链的度量过程
(1) 当系统加电以后 CRTM 度量 BIOS 的完整性。如果 BIOS可信,则可信的边界将从CRTM扩展到CRTM+BIOS。于是执行BIOS。
(2) BIOS度量OSLoader。如果OSLoader可信,则可信的边界扩展到CRTM+BIOS+OSLoader,执行操作系统的加载程序。
(3) OSLoader在加载操作系统之前,首先度量操作系统的完整性。如果操作系统可信,则可信边界扩展到 CRTM+BIOS+OSLoader+OS,加载并执行操作系统。
(4) 操作系统启动后,由操作系统度量应用程序的完整性。如果应用程序可信,则可信边界扩展到 CRTM+BIOS+OSLoader+OS+Applications,操作系统将加载并执行应用程序。
9.11 PCR值的操作方法及其特点
(1) 重置操作:发生在机器断电或重新启动之后,PCR值自动清零。
(2) 扩展操作:改变PCR的内容。扩展操作不可交换。
9.12 静态度量和动态度量的特点
静态度量:平台启动时进行一次性完整性验证,作为可信度量根的BIOS在平台的运行周期内执行一次,度量的实体资源仅限于操作系统及其加载之前的软硬件。没有度量运行过程中加载的软件,无法保证系统运行时的安全。
动态度量:可以在任何时候执行度量,重新构建平台的信任链,不需要重启整个平台。
Q:基于静态可信根度量的缺陷。动态可信度量能够解决这些缺陷吗?为什么?
A:(1)静态可信根度量无法保证系统运行时安全;(2)可以抵御针对BIOS的攻击和BootLoader的漏洞,但是存在TPM重置攻击的风险;(3)DRTM(动态可信根)没有解决软件可信的问题。
10 信息系统安全管理
10.1 信息系统安全管理概念:
通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源,从而保证组织内的信息系统以及信息处理的安全。
五要素:
(1)管理的主体; (2)管理的客体; (3)管理目标;
(4)管理手段; (5)管理流程。
10.2 总体管理目标及本质:
总体管理目标:把安全风险控制在可以接受的程度。
本质:信息安全管理,核心是风险管理。
10.3 宏观管理和微观管理:
宏观管理:战略方针,各项政策,法律和法规,标准
微观管理:策略,规章,制度,实践
10.4 信息系统安全管理的原则:
(1)基于安全需求; (2)主要领导负责; (3)全员参与;
(4)系统方法; (5)持续改进; (6)依法管理;
(7)分权和授权; (8)选用成熟技术; (9)分级保护;
(10)管理于技术并重; (11)自保护和国家监督结合。
10.5 目标和范围:根据不同安全等级选择信息系统安全管理的目标和范围
(基本/较完整/系统化/强制保护/专控保护)
10.6 安全管理策略(基本/较完整/体系化/强制保护/专控保护)
10.7 PDCA模型的原理(计划-实施-检查-处置)
10.8 安全管理体系和等级保护的异同
同:
目标相同(保障机构的信息安全,体现信息安全应重视管理的思想)
管理要求有相似之处(都用到了ISO/IEC 17799(信息安全管理实施细则)。前者实施过程中,依据该标准的控制目标和控制措施实施风险评估,建立机构的安全策略和措施等。后者的安全管理测评要求也是来自于该标准的各项安全控制目标和控制措施。)
互补:二者之间的联系出要体现在管理方面。
异:
出发点和侧重点不同(前者重点在于建立安全方针和目标,而后者重点在于对信息系统进行分类分级)
实施依据不同(前者是依据ISO/IEC 27001(信息安全管理体系);而后者依据GA/T 708标准(信息系统安全等级保护体系框架))
实施的主体不同(前者的建设主体是各机构组织;后者是通过等级测评的方式,由经过国家认可的信息安全评测认证机构,进行等级测评工作)
实施对象不同(前者的实施对象主要是各企事业单位、党政机关等。后者的对象是有信息系统等级要求的各级党政机关等政府部门。)
实施过程不同(前者的完整过程贯穿组织或组织某一特定范围的管理体系的整个生命周期,而后者的完整过程是贯穿信息系统的整个生命周期。)
实施结果不同(前者是为组织或机构建立一整套信息系统安全管理体系的文件而后者是通过等级测评的结果,给出被测评对象是否达到其申明的安全等级要求。)
10.9 信息系统安全管理措施的概念
主要是针对安全要求和风险,选择和实施合适的控制,以确保将风险控制到一个可以接受的程度。
10.10 安全控制措施的三种类型
(1) 管理控制; (2)技术控制; (3)物理控制.
10.11 物理安全管理,系统安全管理,运行安全管理,数据安全管理,人员安全管理,技术文档安全管理
11 信息系统安全风险评估和等级保护
11.1 信息系统安全风险评估的概念
依据有关信息系统安全技术与管理标准,对信息系统及由其产生、处理、传输、存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。
11.2 风险评估的目的和时机
目的:
(1) 确定系统脆弱性和威胁源的分布;确定这些威胁发生的可能性;分析威胁发生后对系统造成的危害到底有多大,以确定相应的级别;确定敏感、重要资产在威胁发生后的损失。
(2) 信息系统安全风险评估是信息系统建设的起点和源头。
(3) 通过安全风险评估,可全面、准确地了解组织的安全现状,发现系统的安全问题和可能的危害,从而确定信息系统的安全需求。
时机:(系统运行时不能进行安全风险评估)
(1) 在设计规划或升级信息系统时;
(2) 需要增加新的应用或新的扩充时;
(3) 发生安全事件后;
(4) 组织发生结构性变动时;
(5) 按照某些规定或特殊要求,对信息系统的安全进行评估时。
11.3 风险评估的原则
(1) 标准性原则
(2) 关键业务原则
(3) 可控性原则(服务可控性/人员与信息可控性/过程可控性/工具可控性)
(4) 最小影响原则
11.4 风险评估的基本要素与其属性之间的关系
基本要素:脆弱性,资产,威胁,风险,安全措施
关系:
(1) 业务战略的实现对资产具有依赖性,依赖程度越高,资产的价值就越大,要求其风险越小;
(2) 资产面临的威胁越多则风险越大,并可能演变成为安全事件;
(3) 资产的脆弱性可能暴露资产的价值,资产具有的弱点越多则风险越大;
(4) 脆弱性是未被满足的安全需求,威胁利用脆弱性对资产造成危害;
(5) 风险的存在和对风险的认识,导出安全需求;
(6) 安全需求可通过安全措施得以满足和实现,但需要结合资产价值考虑实施成本;
(7) 安全措施可以抵御威胁,降低风险;
(8) 残余风险有些是由于安全措施不当或无效造成的,而有些则是在综合考虑了安全成本与效益后未去控制的风险;
(9) 残余风险必须密切关注,它可能在将来的某个时刻诱发新的安全事件。
11.5 风险评估包含哪些环节
(1) 识别风险; (2)分析风险; (3)评价风险; (4)处理风险.
11.6 风险分析涉及哪些要素和主要内容
基本要素:资产,威胁,脆弱性
主要内容:
(1)对资产进行识别,并对资产的价值进行赋值;
(2)对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;
(3)对脆弱性进行识别,并对具体资产脆弱性的严重程度赋值;
(4)根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性;
(5)根据脆弱性的严重程度及安全事件所作用的资产价值,计算安全事件的损失。
(6)根据安全事件发生的可能性及安全事件出现后的损失,计算安全事件一旦发生对组织造成的影响,即风险值。
11.7 风险评估的实施流程
(1)风险评估准备
(2)资产识别(资产分类,资产赋值)
(3)威胁识别(威胁分类,威胁赋值)
(4)脆弱性识别(以资产为核心)
(5)已有安全措施确认(根据现有风险来评判已有安全措施能否满足现有的安全需求,如果不能,去掉安全措施?升级?重新做一个安全措施?)
(6)风险分析
(7)风险评估文档记录
11.8 风险计算方法:
(1) 相乘法; (2)矩阵法。
11.9 风险评估工具的选择原则
(1)实际需要原则;
(2)试用原则;
(3)实用原则;
(4)满足脚本数量与更新速度要求;
(5)支持不同级别的入侵检测。
11.10 风险评估工具的种类
(1)基于信息安全管理标准或指南的风险评估工具;
(2)基于知识库的风险评估工具;
(3)基于定性或定量算法的风险评估工具。
11.11 等级保护模型
11.12 等级保护应遵循的原则
(1)自主保护; (2)重点保护;
(3)同步建设; (4)动态调整。
11.13 等级保护的基本流程
11.14 等级划分的基本思想
(1) 在资产价值级别与威胁级别相同的情况下,该级别则为信息系统(安全域)的安全保护等级;
(2) 在资产价值级别大于威胁级别的情况下,以威胁级别作为信息系统(安全域)的安全保护等级;
(3) 在资产价值级别小于威胁级别的情况下,以资产价值级别作为信息系统(安全域)的安全保护等级。