信息系统安全期末复习重点总结:
目录
第一章 绪论
第二章 安全认证
填空题
第三章 访问控制
填空题
第四章 安全审计
填空题
第五章 Windows操作系统安全
填空题
第六章 Linux操作系统安全
填空题
第七章 数据库系统安全
填空题
第八章 信息系统安全测评
第九章 可信计算
PDF版本及更多资料(百度网盘):
链接:信息系统安全期末复习
问题:简述信息的安全属性
问题:简述网络空间安全的分层基础体系
问题:简述认证的概念及其作用
定义:对实体的身份进⾏审核,证实其合法性的过程,适⽤于⽤户、进程、系统、⽹络连接等
作用:
问题:标识/鉴别的定义?作用?特点?
标识:
定义:为每个实体取⼀个系统可以识别的内部名称
作⽤:追踪和控制实体在系统中的⾏为
特点:具有唯⼀性,通常是公开的
鉴别:
定义:实体标识与实体联系的过程
作⽤:证实实体是否名副其实或有效
特点:鉴别过程应该是私密的
问题:列举出几种常用的认证技术
①基于知识的身份认证(动态口令技术)
②基于令牌的身份认证
③基于生理特征的身份认证
④基于行为特征的身份认证
⑤人工交互认证
⑥多因素和附加认证技术
问题:设计一种动态口令身份认证机制,说明口令的使用和验证过程,并分析其可以抵御哪些口令攻击
⼝令序列(S/KEY):
①设计:
首先由用户产生一个秘密的口令字:SecretPASS(长度大于8字符);然后由服务器向用户发送一个种子SEED(明传);之后用户对口令序列进行预处理:将口令字和种子拼接,对得到的字符串进行MD5加密,再将加密结果分为左右两部分,每部分8字节,对两部分进行异或运算,结果记为S
②生成口令序列:
对S做N次S/KEY安全散列,得到第一个口令;
......
对S做1次S/KEY安全散列,得到第N个口令;
③口令的使用:第1个口令发送给服务器端保存,客户端顺序使用第2-N个口令
④口令的验证:服务器端将收到的⼀次性口令传给安全hash函数进⾏⼀次运算。若与上⼀次保存的口令匹配,则认证通过并将收到的口令保存供下次验证使⽤
⑤可以抵御的口令攻击:口令序列(S/KEY)可以抵御一些基于字典攻击、暴力破解等的口令攻击
字典攻击是指攻击者使用预先准备好的密码字典进行尝试登录,如果用户使用的密码在字典中,则会被攻击者成功破解。而S/KEY通过将用户密码经过加密后与服务器端保存的密钥进行匹配,从而避免了字典攻击的影响。
暴力破解是指攻击者不断尝试使用不同的口令组合进行登录,直到找到正确的口令为止。S/KEY通过限制每个用户的口令长度和复杂度,以及设置尝试登录的最大次数,从而防止了暴力破解的攻击。
问题:基于生理特征的身份认证的优缺点
问题:什么是主体?客体?授权?
问题:什么是访问控制?
访问控制:限制主体对客体的访问权限,使信息系统在授权范围内使用;是保证信息系统安全最重要的核心策略之⼀
本质上,许多⽹络空间安全技术都可看成是访问控制。例如,密码技术
问题:列举出几种自主访问控制的实现方式
访问⼝令
访问控制矩阵
访问能力表(主体)
访问控制表(客体)(Unix、Windows都使⽤了该⽅法进⾏访问控制)
授权关系表
问题:自主访问控制策略的局限性?
①自主访问控制策略中,属主参与了授权管理,资源的拥有者对资源的访问策略具有决定权,存在安全隐患
②允许在主体间传递访问权限,在传递过程中访问权限可能被改变,带来安全隐患
BLP模型的安全访问规则(机密性规则)?基本安全定理?可用性问题?
①安全访问规则:不上读,不下写,自主访问控制;
②基本安全定理:如果系统的初态是安全的,且系统状态的每次变化都能满足SS-策略、*-策略和
DS-策略的要求,那么系统将始终处于安全状态
③可用性问题:
*-策略对系统可⽤性的影响:高安全级的主体只能⽣产高安全级的信息;有的系统可能⽆法正常运转;
隐蔽通道问题(如果一个通信信道既不是设计用于通信,也不是有意用于传递信息的,则称该通信信道是隐蔽的):可能导致敏感信息从高安全区域向低安全区域传递
系统中数据完整性的定义?
数据质量符合预期
防范对数据的不正确修改
防范对数据的非授权修改
禁止修改数据,或可检测对数据的任何修改
限制信息单向流动
问题:Biba 模型的安全访问规则(完整性规则)?
SIP、RP、LWMPS比较:
SIP、LWMPO、LWMIAP比较:
问题:基于角色的访问控制(RBAC)的思想
问题:简述职责分离原则
问题:什么是特权?特权对信息系统安全有哪些危害?为什么还要有特权?
特权:不受访问控制策略限制的权限
危害:被滥用;被窃取;被误用
原因:便于系统维护;提高系统的可用性
问题:最小特权原则和需知原则
最小特权原则:主体只能被授予其完成任务所必需的特权
需知原则:用户仅能访问其履行职责所需的资源
最小特权原则的内涵
概念:安全审计的基本概念
问题:安全审计的作用?
安全审计是系统安全的最后防线,访问控制的必要补充,可以:
安全审计有助于发现系统中出现的安全问题或受到的攻击
有助于了解系统安全机制的工作状态和可信度
是信息系统重要的安全机制,是系统安全的最后防线
分析:分析X.816 标准定义的审计系统模型及各个模块的作用
良好的TCB设计:
常见概念及其含义:
问题:简述Windows操作系统的保护方法
①内存保护:操作系统进程、用户进程:具有不同的权限(防止用户进程干涉操作系统)
②CPU运行模式分为系统模式和用户模式:
系统模式可以执行任意指令、访问任意内存地址
用户模式受限的内存访问,有些指令不能执行
③从用户模式转到系统模式的切换必须通过系统调用
问题:什么是系统调用?系统调用是否能更改?系统调用和函数库的关系?
①系统调用是从用户模式进入内核模式的系统程序,是用户程序和内核交互的接口
②系统调用不能更改!
③从执行者角度,系统调用和库函数有重大区别;从用户角度,区别不重要
什么是客体重用?什么是可信通路?
问题:简述Windows的体系结构
Windows操作系统采用用户模式和核心模式分离的体系结构:
①用户模式下的软件在无特权的状态下运行,系统资源访问权限有限
②所有对核心模式的访问都是受保护的,避免失控的用户进程破坏处于核心模式下的低层次的系统驱动程序
问题:简述NLTM的工作流程
步骤一:用户通过输入Windows帐号和密码登录客户端主机。在登录之前,客户端会缓存输入密码的哈希值,原始密码会被丢弃。成功登录客户端Windows的用户如果试图访问服务器资源,需要向对方发送一个请求。该请求中包含一个以明文表示的用户名
步骤二:服务器接收到请求后,生成一个16位的随机数。这个随机数被称为Challenge或者Nonce。服务器在将该Challenge发送给客户端之前,先将其保存起来。Challenge是以明文的形式发送的
步骤三:客户端在接收到服务器发回的Challenge后,用在步骤一中保存的密码哈希值对其加密,然后再将加密后的Challenge发送给服务器
步骤四:服务器接收到客户端发送回来的加密后的Challenge后,会向DC(Domain Controller)发送针对客户端的验证请求。该请求主要包含以下三方面的内容:客户端用户名;客户端密码哈希值加密的Challenge和原始的Challenge。
步骤五:DC根据用户名获取该帐号的密码哈希值,对原始的Challenge进行加密。如果加密后的Challenge和服务器发送的一致,则意味着用户拥有正确的密码,验证通过,否则验证失败。DC将验证结果发给服务器,并最终反馈给客户端
问题:如何保证SID的唯一性?
SID永远都是唯一的,由如下三个参数共同确定以保证唯一性
1.计算机名
2.当前时间
3.当前用户态线程的CPU耗费时间的总和
问题:简述Windows 本地身份认证过程
步骤①:用户按下SAS键后,立即引起硬件中断,并被操作系统捕获,操作系统将激活Winlogon进程。Winlogon进程立刻调用GINA,由GINA显示对话框,便于用户输入账号和口令
步骤②:GINA将用户输入的账号和口令返回给Winlogon进程
步骤③:Winlogon进程将用户名和口令信息发送给LSA进行验证
步骤④:LSA调用Msv1_0.dll验证程序包,将用户信息处理后生成密钥
步骤⑤:Msv1_0.dll验证程序包将生成的密钥,发送给SAM服务器进程
步骤⑥:SAM服务器进程将收到的用户密钥,与SAM数据库中存储的密钥进行对比
步骤⑦ :如果用户身份合法,SAM进程会将用户的SID、用户所属用户组的SID和相关信息发送给Msv1_0.dll验证程序包
步骤⑧:Msv1_0.dll验证程序包将认证结果信息返回给LSA
步骤⑨:LSA根据收到的SID信息创建安全访问令牌,然后将令牌的句柄和登录信息发送给Winlogon进程。Winlogon进程处理用户登录,完成本地身份认证过程
问题:简述EFS的工作原理,并分析其安全性;
问题:分析IP协议的安全性
没有为通信提供良好的数据源鉴别机制;
没有为数据提供强大的完整性保护机制;
没有为数据提供任何机密性保护;
在设计和实现上存在安全漏洞,使各种攻击有机可乘。例如:攻击者很容易构造一个包含虚假地址的IP数据报
问题:简述IP安全数据报格式的两个协议
鉴别首部 AH (Authentication Header)协议:提供源点鉴别和数据完整性,但不能保密。
封装安全有效载荷 ESP (Encapsulation Security Payload)协议:提供源点鉴别、数据完整性和保密
问题:简述IP安全数据报的两种工作方式
运输方式:在整个运输层报文段的前后分别添加若干控制信息,再加上 IP 首部,构成 IP 安全数据报。把整个运输层报文段都保护起来,适合于主机到主机之间的安全传送
隧道方式:在原始的IP数据报的前后分别添加若干控制信息,再加上新的 IP 首部,构成一个 IP 安全数据报。隧道方式常用来实现虚拟专用网 VPN(主机到路由之间,路由到路由之间)
1、Linux 系统的安全威胁:
问题:Linux系统中,什么是特权程序?特权程序会有说明漏洞?
特权程序是可以暂时获得管理员权限并执行一些管理员特权功能的程序。如果特权程序编写时没能确保对使用环境的完全控制,或对一些错误处理考虑不周,导致程序退出到特权环境中,或者可以被攻击者采用缓冲区溢出等手段将程序流程转到恶意代码上,即可使用户或入侵者获取管理员权限
2、Linux的本地安全机制:
问题:Linux系统中,用户组信息对于访问控制是非必要的(√)
Linux系统采用了基于权限的访问控制模型,而不是基于身份的访问控制模型;
在基于权限的访问控制模型中,每个文件和目录都有一个唯一的权限位表示该文件或目录可以被哪些用户或进程执行哪些操作。这些权限位由三个组成部分组成:读(r)、写(w)和执行(x)。通过这些权限位,可以确定哪些用户或进程可以访问该文件或目录
问题:Linux文件和目录的访问权限:
问题:Linux系统中,什么是僵尸进程?僵尸进程带来的问题?
①僵尸进程(Zombie Process)是指已经结束但其父进程尚未处理其终止信息的进程
僵尸进程放弃了几乎所有内存空间,无任何可执行代码,也不能被调度,仅仅在进程表中保留一个位置,记载该进程的退出状态等信息供其他进程收集
②Linux系统中进程数目是有限制的;如果存在太多的僵尸进程,会占用内存资源,影响系统性能和新进程的产生,甚至导致系统瘫痪
3、Linux的网络安全机制
1、数据库系统的安全需求:
问题:数据库安全中,数据完整性的含义?
物理数据库完整性:避免数据库被损毁;保证数据能够物理读取
逻辑数据库完整性:保护数据库的结构
元素完整性: 数据元素只能由授权用户改变
2、数据库系统的安全防护层次
3、数据库系统的安全机制
问题:数据库加密技术有哪些?优缺点分别是什么?
①库外加密:加/解密过程发生在DBMS之外,DBMS管理的是密文
优点:对DBMS的要求少
缺点: 效率低;数据加/解密需要很大的时间和空间代价
②库内加密:加密对象为数据库中存储的数据,比如表、记录、字段等;库内加密在DBMS内核层实现加密,加/解密过程对用户与应用透明,数据在物理存取之前完成加/解密工作
优点:加密的粒度可细化;效率较高
缺点:DBMS性能降低;密钥管理风险较大
问题:数据库加密技术的局限性有哪些?
①不宜以整个数据库文件为单位进行加密
原因:脱密操作无法从文件中间开始;由于数据共享需要,密钥管理困难
②部分字段不能加密(索引字段不能加密;表间的连接码字段不能加密)
能加密的条件:DBMS必须能够识别条件字段;
4、SQL Server的数据控制:
1、我国的信息安全等级保护标准:《计算机信息系统安全保护等级划分准则》
问题:决定信息系统的安全保护等级的两个定级要素是什么?
①等级保护对象受到破坏时所侵害的客体
②对客体造成侵害的程度
2、信息安全风险评估技术
信息安全风险评估的原则:
信息安全风险评估的基本过程:
问题:如何使用矩阵法计算风险?
由威胁和脆弱性确定安全事件发生可能性值
由资产和脆弱性确定安全事件的损失值
风险计算过程:
问题:如何使用相乘法计算风险?
问题:信息安全风险评估中,什么是残余风险?如何对待残余风险
在信息安全风险评估中,残余风险指的是已经采取控制措施但仍可能存在的剩余风险。这些剩余风险可能是由于系统设计、技术限制、人为失误或其他因素造成的,尽管已经实施了一些安全控制措施,但它们仍然可能导致信息安全问题的发生。
对待残余风险需要采取综合的策略。首先,应该对残留的风险进行详细的分析和识别,确定它们的来源和特征。然后,可以采取一系列措施来减少这些风险,如重新评估现有的控制措施、加强安全监控和审计、更新软件和补丁程序等。
此外,应该考虑采用新的技术和控制措施来应对残余风险。例如,可以使用漏洞扫描器和渗透测试来评估系统的安全性,并确定系统中的漏洞和威胁点。对于已经发现的漏洞,可以使用自动化工具来修复它们。
最后,应该定期监测和审查残留的风险,确保采取的措施能够持续有效。如果发现残留的风险已经造成了信息安全问题,应该及时采取紧急响应措施来减轻损失并恢复系统的安全性。
可信计算机系统的组成:
可信计算机系统的技术原理:可信测量、存储、报告机制
可信计算平台对请求访问的实体进行可信测量,存储测量结果,实体询问时平台提供报告