软考-系统架构设计师知识点提炼-系统架构设计师教程(第2版)
信息安全基础知识
一、信息安全5要素:机密性、完整性、可用性、可控性、可审查性
二、信息安全范围包括:设备安全、数据安全、内容安全、行为安全
- 设备安全:是信息系统安全的首要问题,是信息系统安全的物质基础,包括3个方面:设备的稳定性、设备的可靠性、设备的可用性
- 数据安全:采取措施确保数据免受未授权的泄露,篡改和毁坏,包括3个方面:数据的秘密性、数据的完整性、数据的可用性
- 内容安全:是信息安全在政治、法律、道德层次上的要求,包括:信息内容在政治上是健康的、符合国家的法律法规、符合中华民族优良的道德规范
- 行为安全:是指最终通过行为提供给用户,确保信息系统的行为安全,才能最终确保系统的信息安全,特性为:行为的秘密性、行为的完整性、行为的可控性
三、信息存储安全:信息使用的安全(如用户的标识与验证、用户存取权限限制、安全问题跟踪等)、系统安全监控、计算机病毒防治、数据的加密和防治非法的攻击等
1、信息使用的安全
- 用户的标识与验证:基于人的物理特征的识别(签名识别法、指纹、语音),用户所拥有的特殊安全物品的识别(智能IC卡、磁条卡)
- 用户存取权限限制:隔离控制法、限制权限法
2、系统安全监控
3、计算机病毒防治
四、网络安全
1、网络安全漏洞(物理安全性、软件安全漏洞、不兼容使用安全漏洞、选择合适的安全哲理)
2、网络安全威胁(非授权访问、信息泄露或丢失、破坏数据完整性、拒绝服务攻击)
3、安全措施的目标(访问控制、认证、完整性、审计、保密)
信息安全系统的组成框架
框架通常由技术体系、组织机构、管理体系共同构建
1、技术体系涉及:基础安全设备、计算机网络安全、操作系统安全、数据库安全、终端设备安全等
2、组织机构体系:由机构、岗位和人事机构三个模块构成一个体系
3、管理体系:是信息系统安全的灵魂,由法律管理、制度管理和培训管理组成
信息加解密技术
对称密钥加密算法:加密密钥和解密密钥是相同的,DES、IDEA、AES
非对称密钥加密算法:加密密钥和解密密钥不相同,RSA
公钥加密,私钥解密,可实现保密通信;私钥加密,公钥解密可实现数字签名
密钥管理技术
公钥加密体制的密钥管理:公开发布、公用目录、公钥证书
访问控制及数字签名技术
访问控制的基本模型:主体、客体、控制策略
访问控制的实现技术:访问控制矩阵、访问控制表、能力表、授权关系表
数字签名:
A向B发送签名消息P:
1、B可以验证消息P确实来源于A
2、A以后不能否认发送过P
3、B不能编造或改变消息P
信息安全的抗攻击技术
一、密钥生成需要考虑的因素:增大密钥空间、选择强钥、密钥的随机性
二、拒绝服务攻击与防御
1、传统拒绝服务攻击的分类:
消耗资源、破坏或更改配置信息、物理破坏或改变网络部件、利用服务程序中的处理错误使服务失效
2、分布式拒绝服务攻击DDoS
被DDoS攻击后的现象:
- 被攻击主机有大量等待的TCP连接
- 大量到达的数据分组并不是网站服务连接的一部分,往往指向机器的任意端口
- 网络中充斥着大量无用的数据包,源地址为假
- 制造高流量的无用数据造成网络拥塞,使受害主机无法正常和外界通信
- 利用受害主机提供的服务和传输协议上的缺陷,反复发出服务请求,使受害主机无法及时处理所有正常的请求
- 严重时会造成死机
3、拒绝服务攻击的防御方法
- 加强对数据包的特征识别
- 设置防火墙监视本地主机端口的使用情况
- 对通信数据量进行统计也可获得有关攻击系统的位置和数量信息
- 尽可能的修正已经发现的问题和系统漏洞
4、欺骗攻击与防御
- ARP欺骗(固化ARP表、使用ARP服务器、双向绑定、ARP防护软件)
- DNS欺骗(被动监听检测、虚假报文探测、交叉检查查询)
- IP欺骗(删除UNIX中de/etc/hosts.equiv、$HOME/.rhosts、修改/etc/inetd.conf,使RPC机制无法应用、设置防火墙过滤来自外部而信源地址是内部IP的报文)
5、端口扫描
三、系统漏洞扫描
1、基于网络的漏洞扫描
2、基于主机的漏洞扫描(优点:扫描的漏洞数量多、集中化管理、网络流量负载小)
信息安全的保障体系与评估方法
一、计算机信息系统安全保护等级
1、用户自主保护等级
2、系统审计保护级
3、安全标记保护级
4、结构化保护级
5、访问验证保护级
二、安全风险管理
在风险评估实施前,应考虑内容:
1、确定风险评估的范围
2、确定风险评估的目标
3、建立适当的组织结构
4、建立系统性的风险评估方法
5、获得最高管理者对风险评估策划的批准
风险计算过程如下:
1、对信息资产进行识别,并对资产赋值
2、对威胁进行分析,并对威胁发生的可能性赋值
3、识别信息资产的脆弱性,并对弱点的严重程度赋值
4、根据威胁和脆弱性计算安全事件发生的可能性
5、结合信息资产的重要性和发生安全事件的可能性,计算信息资产的风险值
作者其他要推荐的文章,欢迎来学习:
基于Spring Boot 3.1.0 系列文章
- Spring Boot 源码阅读初始化环境搭建
- Spring Boot 框架整体启动流程详解
- Spring Boot 系统初始化器详解
- Spring Boot 监听器详解
- Spring Boot banner详解
- Spring Boot 属性配置解析
- Spring Boot 属性加载原理解析
- Spring Boot 异常报告器解析
- 使用GraalVM 构建 Spring Boot 3.0 原生可执行文件
- Spring Boot 3.x微服务升级经历
Prometheus 系列文章
- Prometheus 的介绍和安装
- 直观感受PromQL及其数据类型
- PromQL之选择器和运算符
- PromQL之函数
- Prometheus 告警机制介绍及命令解读
- Prometheus 告警模块配置深度解析
- Prometheus 配置身份认证
- Prometheus 动态拉取监控服务
- Prometheus 监控云Mysql和自建Mysql
Grafana 系列文章,版本:OOS v9.3.1
- Grafana 的介绍和安装
- Grafana监控大屏配置参数介绍(一)
- Grafana监控大屏配置参数介绍(二)
- Grafana监控大屏可视化图表
- Grafana 查询数据和转换数据
- Grafana 告警模块介绍
- Grafana 告警接入飞书通知
Spring Boot Admin 系列