北信科12级信息安全概论复习-第二部分.docxVIP

1.认证是用户进入系统的第一道防线；访问控制在鉴别用户的合法身份后，通过引用监控器控制用户对数据信息的访问；审计通过监视和记录起到事后分析的作用。2.访问控制技术（DAC、MAC、RBAC）通过某种途径限制访问能力及范围的一种方法。可以限制对关键资源的访问，防止非法用户的侵入或者因合法用户的不慎操作所造成的破坏。组成：主体：指发出访问操作、存取请求的主动方，主体可以访问客体，包括用户、用户组、终端、主机、或应用进程客体：被调用的程序或欲存取的数据访问，可以是一段数据、一个文件、程序或处理器、储存器、网络节点安全访问政策：即授权访问，是一套规则，用以确定一个主体是否可以访问客体访问控制系统的组成：访问实施模块：负责控制主体对客体的访问访问控制决策功能块：主要部分，根据访问控制信息做出是否允许主题操作决定访问控制信息：放在数据库、数据文件中，也可选择其他存储方法，视信息的多少与安全敏感度而定。自主访问控制DAC：基本思想：允许主体显式的制定其他主体是否可以访问自己的信息资源即访问类型特点：访问信息的决定权在于信息的创建者，根据主体的身份和授权来决定访问模式。不足：信息在移动过程中其访问权限关系会被改变。最常用的一种访问控制技术，被UNIX普遍使用强制访问控制MAC：基本思想：每个主题有既定的安全属性，每个客体也有既定的安全属性，主体对客体是否能执行取决于两者的安全属性。特点：主体与客体分级，级别决定访问模式。用于多级安全军事系统。保护数据机密性（不上读/不下写）：不允许低级别用户读高敏感信息，不允许高敏感信息进入地敏感区域。保护数据完整性（不下读/不上写）：避免应用程序修改某些重要的数据。通常DAC与MAC混用。两种访问模式共有的缺点：自主式太弱、强制式太强、二者工作量大，不便管理；基于角色的访问控制技术RBAC：具有提供最小权限和责任分离的能力。三种授权管理途径：改变客体的访问权限；改变角色的访问权限；改变主体所担任的角色；五个特点：（1）以角色作为访问控制的主体（2）角色继承（3）最小权限原则（4）职责分离（5）角色容量与DAC与MAC相比RBAC具有明显的优越性，基于策略无关的特性使其可以描述任何的安全策略，DAC与MAC也可以用来描述RBAC2.可信计算机系统评估标准TESEC评价标准： D类：不细分级别，没有安全性可言 C1类：不区分用户，基本的访问控制 C2类：由自主的访问安全性，区分用户 B1类：标记安全保护 B2类：结构化内容保护，支持硬件保护 B3类：安全域，数据隐藏与分层、屏蔽 A/A1类：校验及保护，也提供低级别手段 D最低A最高，高级别具有低级别所有功能，同时又实现新的内容3.扫描技术:TCP端口扫描： connect（）扫描：最基本的方式，优点是用户无需任何权限，且探测结果最为准确；缺点是容易被目标主机察觉 SYN扫描：即半开式扫描，不建立完整的连接，只发送一个SYN信息包，ACK响应包表示目标是开放监听的，RST响应包则表示目标端口未被监听，若收到ACK的回应包则立刻发送RST包来中断连接。有点为隐蔽性好。 FIN：向目标端口发送FIN分组。按照RFC793的约定，目标系统给所有关闭着的端口回应一个RST分组 Xmas空扫描 UDP端口扫描：发送一个零字节的UDP信息包到目标机器的各个端口，若收到ICMP端口不可达的回应则证明该端口关闭，否则默认开放。许多易受攻击的服务都是通过UDP端口来传输数据的4.操作系统识别：由于软件漏洞总是与操作系统的版本与类型相关，所以探测识别操作系统的类型十分重要。传统方法：信息不够全面，依赖对方提供的服务和对服务的配置，如是否开放talent、ftp、www等，及是否关闭标志。因此在很多情况下传统的方式无效。基于TCPIP协议栈的指纹探测：操作系统通常以内核的方式为应用程序提供用于网络互联服务的子例程，即网络协议栈。操作系统一旦发布，其网络协议栈也就成型了。有点事准确度和精准度高。5.网络漏洞库-CVE：为每个漏洞和暴露确定了唯一的名称与标准化的描述，可以成为评价响应入侵检测和漏洞扫描等工具产品和数据库的基准。特点：（1）为每个漏洞和暴露确定了唯一的名称与标准化的描述（2）CVE不是数据库而是字典（3）任何完全风格迥异的漏洞库都可以用同一个语言表述（4）语言的统一可以使得安全事件报告更好地被理解、实现更好的协同工作，可以成为评价相应工具和数据库的基准（5）CVE非常容易从互联网查询和下载（6）各种漏洞数据库和漏洞评估工具使用一个公共的安全漏洞名字，可以帮助用户彼此独立的共享交换数据6.拒绝服务攻击（DoS Denial of Service）：使计算机或网络无法提供正常的服务。这种攻击是由人为或非人为发