第7章:信息系統安全工程
信息系統安全工程備考要點
https://www.moondream.cn/?p=1329
掃一掃加入信息安全工程師備考羣
歡迎加入最棒的信息安全工程師社羣,分享信息安全工程師備考乾貨資料。
備考交流QQ羣:39460595
考點1、訪問控制
【考法分析】
本考點主要是對訪問控制相關內容的考查。
【要點分析】
1.基於角色的訪問控制設計,其基本思想是,對系統操作的各種權限不是直接授予具體的用戶,而是在用戶集合與權限集合之間建立一個角色集合。每一種角色對應一組相應的權限,以簡化用戶的權限管理,減少系統的開銷。
2.Kerberos協議:在一個開放的分佈式網絡環境中,用戶通過工作站訪問服務器上提供的服務。服務器應該能夠限制非授權用戶的訪問並能認證對服務的請求。工作站不能夠被網絡服務所信任其能夠正確地認定用戶,即工作站存在三種威脅:一個工作站上一個用戶可能冒充另一個用戶操作;一個用戶可能改變一個工作站的網絡地址,從而冒充另一臺工作站工作;一個用戶可能竊聽他人的信息交換,並回放攻擊獲得對一個服務器的訪問權或中斷服務器的運行。上述問題可以歸結爲一個非授權用戶能夠獲得其無權訪問的服務或數據。Kerberos是標準網絡身份認證協議,旨在給計算機網絡提供“身份認證”。它是基於信任第三方,如同一個經紀人集中地進行用戶認證和發放電子身份標識。
3.Kerberos系統應該滿足的要求:① 安全;② 可靠;③ 透明;④ 可伸縮。
4.Kerberos設計思路及問題:使用一個(或一組)獨立的認證服務器(Authentication Server,AS),來爲網絡中的用戶(C)提供身份認證服務;認證服務器(AS),用戶口令由AS保存在數據庫中;AS與每個服務器(V)共享一個唯一保密密鑰(Kv)(已被安全分發)。上述的協議問題就是:口令明文傳送會被竊聽。票據的有效性(多次使用)。訪問多個服務器則需多次申請票據(即口令多次使用)。解決上述問題,Kerberos協議使用票據重用和引入票據許可服務器(Tickert Granting Server,TGS)。
5.口令猜測技術包括:① brute force(暴力攻擊);② 字符頻率分析;③ 彩虹表;④Dictioingary Attack(字典攻擊);⑤ 基於概率的口令猜測;⑥ JTR:John the Ripper是目前最爲流行的口令破解工具之一,是開源軟件,可以在其官網上免費下載;⑦HASHCAT:HashCat是世界上最快的基於CPU的口令破解工具。
6.用戶身份認證是信息系統的第一道安全防線,用戶名—口令機制則是身份認證中最常用的方法。但是口令機制具有易懂、易用和易於實現的特點,這使得口令機制在今後一段時間依然是用戶身份認證的一個重要方法。
【備考點撥】
瞭解並理解相關知識點內容。
考點2、信息系統安全的需求分析與設計準則
【考法分析】
本考點主要是對信息系統安全的需求分析及設計準則相關內容的考查。
【要點分析】
1.信息系統安全需求分析:設計源於需求,需求源於目標。
2.安全需求分類方法中,安全目標的關鍵就是實現安全的三大要素:機密性、完整性、可用性。
3.針對每一個安全屬性,作爲一個僅供參考的指導原則,潛在威脅影響可以進行適當地定級,並簡單分爲三個級別:① 低(Low,L);② 中(Moderate,M);③ 高(High,H)。
4.一般而言,大型網絡信息系統面臨着兩方面的安全挑戰:① 組織內的信息技術環境威脅;② 信息系統的系統安全管理問題。
5.一般而言,信息安全的理論研究設計一下基本屬性:機密性、完整性、可用性、真實性、可審計性、抗抵賴性、可靠性等。安全需求的目標就要確保信息系統有足夠的保護措施以達到這些基本屬性,所以這些基本屬性也稱爲安全目標。
6.組織體系結構(Enterprise Architecture,EA),也可譯爲“組織架構”或者“企業架構”。是用於幫助組織理解其自身的構造及運作方式的一種管理工具。通過EA的管理框架,組織可以合理有序地把安全考慮加入信息系統開發生命週期(System Development Life-Cycle,SDLC)裏,在整個SDLC過程中進行組織內部信息系統的安全目標分析、安全風險評估、安全保護等級確認、安全保護措施選擇、安全區域職責劃分、安全事故處理、安全責任追究時,可以提供更全面、切實的參考。
7.安全信息系統的設計過程遵循信息系統開發生命週期(Information System Development Life Cycle,SDLC)進行。除此之外,還特別在設計過程中引入安全考慮,“信息系統安全開發生命週期”(Information Security Considerations of SDLC,TSC of SDLC)。
8.信息系統安全體系(Information Systems Security Architecture ,ISSA),包括信息系統安全技術體系、安全管理體系、安全標準體系和安全法律法規。
9.首先是安全法律法規與政策。解決系統安全第一步,要弄清楚系統可以提供什麼樣的服務,即業務需求。在設計安全系統之前,相關部門可對這個系統進行安全評估。
10.從技術角度而言,通用的安全技術體系包括以下模塊:① 信息系統硬件安全;② 操作系統安全;③ 密碼算法技術;④ 安全協議技術;⑤ 訪問控制;⑥ 安全傳輸技術;⑦ 應用程序安全;⑧ 身份識別與權限管理技術;⑨ 入侵檢測技術和防火牆技術。
同時,對於不同的信息系統,根據其應用場景與業務的不同,會對一部分的安全技術更爲關注。
11.信息系統的安全管理體系,主要包括:① 安全目標確定;② 安全需求獲取與分類;③ 風險分析與評估;④ 風險管理與控制;⑤ 安全計劃制定;⑥ 安全策略與機制實現;⑦ 安全措施實施。
12.目前我國現有的信息系統安全標準體系可分爲基礎類、應用類、產品類。
13.《信息安全開發生命週期中的安全考慮指南》介紹了把安全納入信息系統開發生命週期的所有階段的框架:安全依據 → 初始階段 → 設計階段 → 實施階段 → 運維階段 → 最終處理階段。
14.安全考法包括兩部分內容,分別是控制開發和安全編碼。安全控制是爲了應對風險。
15.一般的信息系統的實際需求包括安全、方便、易操作、易維護和控制等,信息系統也不例外。在設計信息系統這類大型分佈式系統時,通常會盡量避免過度使用基於密碼的保護措施,因爲使用密碼難免導致數據處理速度變慢。
16.封閉式系統安全實現途徑的特徵主要有兩點:一是由多個防火牆的組合來創建一個封閉的系統;二是使用入侵檢測系統對封閉系統進行適時的威脅監視。
17.開放式系統的絕對安全保護很難實現。系統最容易出現的是軟件漏洞,這往往也是最難進行檢測的。從以往的經驗看,攻擊者一般都不會花時間去破解密碼、攻擊防火牆,而是找軟件漏洞。軟件漏洞有很多是編程者爲了方便測試而留下的後門,但最後卻沒有刪掉。操作系統的軟件漏洞比較明顯。
18.一般來說,需要綜合應用密碼保護、網絡安全、操作系統保護以及編程語言系統保護這4種類型才能實現整個系統的安全。
19.要實現系統的安全,也不能僅從技術角度考慮,而是需要尋找一個平衡點,根據要保護的數據信息的價值來決定其平衡點,這個平衡包括安全、速度和成本等多方面的均衡。要尋找這一平衡點,要從以下3個方面進行綜合考慮:① 風險分析;② 安全策略;③ 安全架構。
20.一般可以從以下6個方面來考慮企業信息系統安全:① 物理安全;② 網絡安全;③主機安全;④ 數據安全;⑤ 獨立評估;⑥ 安全應急機制。
【備考點撥】
瞭解並理解相關知識點內容。
考點3、信息系統安全產品的配置與使用
【考法分析】
本考點主要是對信息系統安全產品的配置與使用的考查。
【要點分析】
1.啓用Windows自帶防火牆。進入“控制面板 → 系統和安全 → Windows防火牆”。
2.在linux系統中,用戶賬號是用戶的身份標誌,它由用戶名和用戶口令組成。系統將用戶名存放在/etc/passwd文件中,而將口令以加密的形式存放在/etc/shadow文件中。
3. /etc/passwd文件介紹:
一般/etc/passwd中一行記錄對應着一個用戶,每行記錄又被冒號(:)分隔爲7個字段,其格式和具體含義如下:
用戶名:口令:用戶標識號:組標識號:註釋性描述:主目錄:登錄Shell;
用戶名(login_name):是代表用戶賬號的字符串。通常長度不超過8個字符,並且由大小寫字母和/或數字組成。登錄名中不能有冒號(:),因爲冒號在這裏是分隔符。爲了兼容起見,登錄名中最好不要包含點字符(.),並且不使用連字符(-)和加號(+)打頭。
口令(passwd):一些系統中,存放着加密後的用戶口令字。雖然這個字段存放的只是用戶口令的加密串,不是明文,但是由於/etc/passwd文件對所有用戶都可讀,所以這仍是一個安全隱患。因此,現在許多Linux系統(如SVR4)都使用了shadow技術,把真正的加密後的用戶口令字存放到/etc/shadow文件中,而在/etc/passwd文件的口令字段中只存放一個特殊的字符,例如“x”或者“*”。
用戶標識號(UID):是一個整數,系統內部用它來標識用戶。一般情況下它與用戶名是一一對應的。如果幾個用戶名對應的用戶標識號是一樣的,系統內部將把它們視爲同一個用戶,但是它們可以有不同的口令、不同的主目錄以及不同的登錄Shell等。取值範圍是0-65535。0是超級用戶root的標識號,1-99由系統保留,作爲管理賬號,普通用戶的標識號從100開始。在Linux系統中,這個界限是500。
組標識號(GID):字段記錄的是用戶所屬的用戶組。它對應着/etc/group文件中的一條記錄。
註釋性描述(users):字段記錄着用戶的一些個人情況,例如用戶的真實姓名、電話、地址等,這個字段並沒有什麼實際的用途。在不同的Linux系統中,這個字段的格式並沒有統一。在許多Linux系統中,這個字段存放的是一段任意的註釋性描述文字,用做finger命令的輸出。
主目錄(home_directory):也就是用戶的起始工作目錄,它是用戶在登錄到系統之後所處的目錄。在大多數系統中,各用戶的主目錄都被組織在同一個特定的目錄下,而用戶主目錄的名稱就是該用戶的登錄名。各用戶對自己的主目錄有讀、寫、執行(搜索)權限,其他用戶對此目錄的訪問權限則根據具體情況設置。
登錄Shell(Shell):用戶登錄後,要啓動一個進程,負責將用戶的操作傳給內核,這個進程是用戶登錄到系統後運行的命令解釋器或某個特定的程序,即Shell。Shell是用戶與Linux系統之間的接口。Linux的Shell有許多種,每種都有不同的特點。常用的有sh(BourneShell),csh(CShell),ksh(KornShell),tcsh(TENEX/TOPS-20typeCShell),bash(BourneAgainShell)等。系統管理員可以根據系統情況和用戶習慣爲用戶指定某個Shell。如果不指定Shell,那麼系統使用sh爲默認的登錄Shell,即這個字段的值爲/bin/sh。
4./etc/shadow文件介紹:
/etc/shadow文件格式與/etc/passwd文件格式類似,同樣由若干個字段組成,字段之間用“:”隔開。
文件中字段主要含義爲:登錄名:加密口令:最後一次修改時間:最小時間間隔:最大時間間隔:警告時間:不活動時間:失效時間:標誌 ;
“登錄名”是與/etc/passwd文件中的登錄名相一致的用戶賬號;
“口令”字段存放的是加密後的用戶口令字:如果爲空,則對應用戶沒有口令,登錄時不需要口令;星號代表帳號被鎖定;雙歎號表示這個密碼已經過期了;$6$開頭的,表明是用SHA-512加密;$1$表明是用MD5加密;$2$ 是用Blowfish加密;$5$ 是用 SHA-256加密;
“最後一次修改時間”表示的是從某個時刻起,到用戶最後一次修改口令時的天數。時間起點對不同的系統可能不一樣。例如在SCOLinux中,這個時間起點是1970年1月1日;
“最小時間間隔”指的是兩次修改口令之間所需的最小天數;
“最大時間間隔”指的是口令保持有效的最大天數;
“警告時間”字段表示的是從系統開始警告用戶到用戶密碼正式失效之間的天數;
“不活動時間”表示的是用戶沒有登錄活動但賬號仍能保持有效的最大天數;
“失效時間”字段給出的是一個絕對的天數,如果使用了這個字段,那麼就給出相應賬號的生存期。期滿後,該賬號就不再是一個合法的賬號,也就不能再用來登錄了。
5.用戶標識號(UID)是一個整數,系統內部用它來標識用戶。其取值範圍是0-65535。0是超級用戶root的標識號,1-99由系統保留,作爲管理賬號,普通用戶的標識號從100開始。在Linux系統中,這個界限是500。
6.MySQL具有的高性能、高可靠性、易用性及開源免費的特點。
【備考點撥】
瞭解並理解相關知識點內容。
考點4、信息系統安全測評
【考法分析】
本考點主要是對信息系統安全測評相關內容的考查。
【要點分析】
1.信息系統安全是指對信息系統及其處理的信息採取適當的安全保障措施,防止未授權的訪問、使用、泄露、中斷、修改、破壞,從而確保信息系統及其信息的機密性、完整性和可用性,保證信息系統功能的正確實現。
2.信息系統安全測評是依據信息安全測評的要求,在風險評估的基礎上,對在信息系統生命週期中採取的技術類、管理類、過程類和人員類的安全保證措施進行測評和檢查。
3.信息系統是由信息技術系統以及包含了人、管理、環境的運行環境組成。對信息系統的安全保障的評估,首先需要根據信息系統運行環境及相關的信息系統安全保障需求進行描述,信息系統安全測評準則提供了對安全保障需求描述的公共語音、結構和方法,這就是信息系統安全保障要求(ISPP);然後就可以依據信息安全保障要求(ISPP)編制滿足用戶需求的信息系統安全保障方案(ISST)對信息系統安全保障要求(ISPP)的負荷情況進行評估,並在整個信息系統生命週期中對信息系統安全保障方案的執行情況和執行能力進行評估,最終確定組織機構的信息系統安全保障能力的級別。
4.信息系統安全測評的基本原則:① 標準型原則;② 關鍵業務原則;③ 可控性原則。
5.根據機密性、完整性和可用性特徵以及信息和信息系統價值,可以將信息系統劃分爲5類;一般將信息系統的威脅分爲7級。
6.模糊測試(Fuzzing)是一種黑盒測試技術,它將大量的畸形數據輸入到目標程序中,通過監測程序的異常來發現被測試程序中可能存在安全漏洞。模糊測試的思想相對較簡單直觀,易於實現自動化,並且運用其發掘軟件安全漏洞,從漏洞發現到重現和定位漏洞比較容易,不存在漏洞誤報,目前正廣泛應用於對文件格式、網絡協議、Web程序、環境變量和COM對象等的安全測試中。模糊測試技術是一種發掘安全漏洞的有效方法。
7.模糊測試是一種基於去屑注入的自動化測試技術,沒有具體的執行規則,旨在預測軟件中可能存在的錯誤以及什麼樣的輸入瘋狗出發錯誤。與基於源代碼的白盒測試相比,模糊測試的測試對象是二進制目標文件。
8.完整的模糊測試都要經歷以下幾個基本的階段:識別目標 → 識別輸入 → 生產模糊測試數據 → 執行模糊測試數據 → 監視異常 → 確定可利用性。
9.模糊器劃分爲隨機模糊器、基於變異的模糊器和基於生成技術的模糊器。
10.爲了避免產生大量的無效的測試數據,基於變異的模糊器使用樣本文件來得到畸形數據集合。
11.基於生成技術的模糊器是當前應用範圍最廣的一類模糊器。
12.目前模糊測試對象主要有以下五類:① 環境變量和參數;② Web應用程序和服務器;③ 文件格式;④ 網絡協議;⑤ Web瀏覽器。
13.模糊測試的優點:第一,模糊測試不需要程序的源代碼即可發現問題。第二,模糊測試不受限於被測系統的內部實現細節和複雜程度。第三,使用模糊測試的可複用性較好,一個測試用例可適用於多種產品。
14.模糊測試有兩個關鍵的操作:產生畸形數據和觀察應用程序是否出現異常。但進行兩個操作時存在如下問題:首先,目前理論上還未出現能成熟、優化生成畸形數據的方式。其次,需要有一個監控器觀察應用程序是否出現異常。
15.代碼審計工具幫助軟件開發團隊快速查找、定位、修復和管理軟件代碼安全問題。
16.靜態代碼★分析是軟件缺陷檢測的重要方法,是指在不執行程序的情況下,以程序源代碼、可執行文件序列或高級語言中的中間代碼等爲對象,通過預先定義屬性規約,自動地檢查目標代碼對屬性規約的違反情況。
17.安全代碼審計的第一步就是對每一個源代碼文件的所有者分配權限、相關所有文件等建立一個數據庫;下一步就是明確評審優先級。
18.從方法論的角度出發,宏觀來看代碼審計的主要方法可分爲自頂向下、自底向上和兩者結合的三種方法。
19.代碼靜態分析採用的方法★主要有模式匹配、定理證明、模型檢測。
20.模式匹配主要步驟是依據統計及經驗,定義和抽象缺陷及錯誤特徵,對目標代碼採用行走檢查、模式匹配等方法過濾已知缺陷。
21.定理證明是代碼形式化驗證的重要技術,也屬於靜態代碼分析的範疇。定理證明技術是將軟件系統和性質都用邏輯方法來規約,通過基於公里和推理規則組成的形式系統,以定理證明的方法來證明軟件系統是否具備所期望的關鍵性質。
22.模型檢測是今年來研究的熱點。該技術是通過搜索待驗證軟件系統模型的有窮狀態空間來檢驗系統的行爲是否具備預期性質的一種有窮狀態系統自動驗證技術。
23.信息系統安全評測由三個階段組成:① 安全評估階段;② 安全認證階段;③ 持續監督階段。
24.信息系統安全評估階段按工作內容又劃分幾個子階段:靜態評估階段、現場檢測階段、綜合安全評估階段。
25.在靜態評估階段信息系統資產所有者提出申請,與系統評估方簽署協議,所有者提交文檔,所有者爲主提出評估對象的保護輪廓。
26.在現場檢測階段,評估項目組前往信息系統運行現場進行實地檢測。
27.在綜合安全評估階段,現場檢測工作結束後,項目組對檢測數據和結果進行分析,完成《信息系統安全現場覈查報告》及《信息系統安全測試報告》。
28.通過安全評估的信息系統將進入安全認證階段,首先信息系統需要試運行6個月,評估機構將派出工作人員進行復審,並向認證委員會出示覆審報告。認證委員會依據前面各個階段報告做出認證決定,認證機構將對通過認證的信息系統簽發認證證書。
29.認證監督階段的三方面工作:① 配置管理和控制;② 對安全保證措施的監督檢查;③ 認證監督決定。
【備考點撥】
瞭解並理解相關知識點內容。