五、软考-系统架构设计师笔记-信息安全技术基础知识

admin管理员组

文章数量:1530237

信息安全技术基础知识

1、信息安全基础知识概述

信息安全的概念
信息安全包括 5 个基本要素：

• 机密性:确保信息不暴露给未授权的实体或进程。
• 完整性:只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改。
• 可用性:得到授权的实体在需要时可以访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作。
• 可控性:可以控制授权范围内的信息流向及行为方式。
• 可审查性:对出现的信息安全问题提供调查的依据和手段

信息安全的范围包括：

• 设备安全
• 数据安全
• 内容安全
• 行为安全

1)设备安全
信息系统设备的安全是信息系统安全的首要问题，是信息系统安全的物质基础，它包括3方面：

• (1)设备的稳定性:指设备在一定时间内不出故障的概率。
• (2)设备的可靠性:指设备在一定时间内正常执行任务的概率
• (3)设备的可用性:指设备可以正常使用的概率。

2)数据安全
数据安全指采取措施确保数据免受未授权的泄露、篡改和毁坏
包括以下3个方面：

• (1)数据的秘密性:指数据不被未授权者知晓的属性。
• (2)数据的完整性:指数据是正确的、真实的、未被篡改的、完整无缺的属性。
• (3)数据的可用性:指数据可以随时正常使用的属性。

3)内容安全
内容安全是信息安全在政治、法律、道德层次上的要求
包括以下 3 个方面:

• (1)信息内容在政治上是健康的。
• (2)信息内容符合国家的法律法规。
• (3)信息内容符合中华民族优良的道德规范。

4)行为安全
信息系统的服务功能最终通过行为提供给用户，确保信息系统的行为安全，才能最终确保系统的信息安全。行为安全的特性：

• (1)行为的秘密性:指行为的过程和结果不能危害数据的秘密性。
• (2)行为的完整性:指行为的过程和结果不能危害数据的完整性，行为的过程和结果是预期的。
• (3)行为的可控性:指当行为的过程偏离预期时，能够发现、控制和纠正。

信息存储安全
信息的存储安全包括信息使用的安全(如用户的标识与验证、用户存取权限限制、安全问题跟踪等)、系统安全监控、计算机病毒防治、数据的加密和防止非法的攻击等。

1.信息使用的安全
1)用户的标识与验证
用户的标识与验证主要是限制访问系统的人员。它是访问控制的基础，是对用户身份的合法性验证。用户的标识与验证方法有两种：

• 基于用户所拥有特殊安全物品的识别，如智能IC卡识别法、磁条卡识别法。
• 基于人的物理特征的识别，包括签名识别法、指纹识别法和语音识别法。

2)用户存取权限限制
用户存取权限限制主要是限制进入系统的用户所能做的操作。
一般有两种方法:

• (1)隔离控制法。隔离控制法是在电子数据处理成分的周围建立屏障，以便在该环境中实施存取。主要实现方式包括物理隔离方式、时间隔离方式、逻辑隔离方式和密码技术隔离方式等。
• (2)限制权限法。限制权限法是有效地限制进入系统的用户所进行的操作。即对用户进行分类管理，安全密级、授权不同的用户分在不同类别；对目录、文件的访问控制进行严格的权限控制，防止越权操作。

2.系统安全监控
建立一套安全监控系统，全面监控系统的活动，并随时检查系统的使用情况，一旦有非法入侵者进入系统，能及时发现并采取相应措施，确定和填补安全及保密的漏洞。还应当建立完善的审计系统和日志管理系统，利用日志和审计功能对系统进行安全监控。

3.计算机病毒防治
计算机病毒具有隐蔽性、传染性、潜伏性、触发性和破坏性等特点，所以需要建立计算机和病毒防治管理制度。

• (1)经常从软件供应商网站下载、安装安全补丁程序和升级杀毒软件。
• (2)定期检查敏感文件。
• (3)使用高强度的口令。对不同的账号选用不同的口令。
• (4)经常备份重要数据，要坚持做到每天备份。
• (5)选择、安装经过公安部认证的防病毒软件，定期对整个硬盘进行病毒检测和清除工作。
• (6)在计算机和因特网之间安装使用防火墙，提高系统的安全性。
• (7)当计算机不使用时，不要接入因特网，一定要断掉网络连接。
• (8)重要的计算机系统和网络一定要严格与因特网物理隔离。
• (9)不要打开陌生人发来的电子邮件，无论它们有多么诱人的标题或者附件，同时要小心处理来自熟人的邮件附件。
• (10)正确配置系统和使用病毒防治产品。

网络安全
网络存在的威胁主要表现在以下 5 个方面:

• (1)非授权访问。对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息。主要有以下几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
• (2)信息泄露或丢失。指敏感数据在有意或无意中被泄露或丢失，通常包括信息在传输中丢失或泄露、信息在存储介质中丢失或泄露以及通过建立隐蔽隧道等方式窃取敏感信息等。
• (3)破坏数据完整性。以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加，修改数据，以干扰用户的正常使用。
• (4)拒绝服务攻击。不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入网络系统或得不到相应的服务。
• (5)利用网络传播病毒。通过网络传播计算机病毒的破坏性大大高于单机系统，而且用户很难防范。

安全措施的目标
安全措施的目标包括：

• (1)认证。确保会话对方的资源(人或计算机) 与它声称的一致。
• (2)访问控制。确保会话对方 (人或计算机)有权做它所声称的事情。
• (3)完整性。确保接收到的信息与发送的一致。
• (4)审计。确保任何发生的交易在事后可以被证实，发信者和收信者都认为交换发生过，即所谓的不可抵赖性。
• (5)保密。确保敏感信息不被窃听。

2、信息安全系统的组成框架

信息安全系统框架由技术体系、组织机构体系和管理体系构建。

一、技术体系
从实现技术来看，信息安全系统涉及基础安全设备、计算机网络安全、操作系统安全、数据库安全、终端设备安全等多方面技术。

(1)基础安全设备。包括密码芯片、加密卡、身份识别卡等，还涵盖运用到物理安全的物理环境保障技术，建筑物、机房条件及硬件设备条件满足信息系统的机械防护安全，通过电力供应设备以及信息系统组件的抗电磁干扰和电磁泄漏性能的选择性措施达到相应的安全目的。

(2)计算机网络安全。指信息在网络传输过程中的安全防范，用于防止和监控未经授权破坏、更改和盗取数据的行为。涉及物理隔离，防火墙及访问控制，加密传输、认证、数字签名、摘要，隧道及VPN 技术，病毒防范及上网行为管理，安全审计等实现技术。

(3)操作系统安全。指操作系统的无错误配置、无漏洞、无后门、无特洛伊木马等，能防上非法用户对计算机资源的非法存取。操作系统的全机制包括标识与鉴别机制、访问控制机制、最小特权管理、可信通路机制、运行保障机制、存储保护机制、文件保护机制、安全审计机制等。

(4)数据库安全。分为数据库管理系统安全和数据库应用系统安全两部分，涉及物理数据库的完整性、逻辑数据库的完整性、元素
安全性、可审计性、访问控制、身份认证、可用性、推理控制、多级保护以及消除隐通道等相关技术。

(5)终端设备安全。从电信网终端设备的角度分为电话密码机、传真密码机、异步数据密码机等。

二、组织机构体系
组织机构体系是信息系统安全的组织保障系统，由机构、岗位和人事机构三个模块构成一个体系。

• 机构的设置分为3 个层次：决策层、管理层和执行层。
• 岗位是信息系统安全管理机关根据系统安全需要设定的负责某一个或某几个安全事务的职位。
• 人事机构是根据管理机构设定的岗位，对岗位上在职、待职和离职的雇员进行素质教育、业绩考核和安全监管的机构。

三、管理体系
信息系统安全的管理体系由法律管理、制度管理和培训管理3个部分组成。
(1)法律管理是根据相关的国家法律、法规对信息系统主体及其与外界关联行为的规范和约束。
(2)制度管理是信息系统内部依据国家、团体的安全需求制定的一系列内部规章制度。
(3)培训管理是确保信息系统安全的前提。

3、秘钥管理技术

数据加密
数据加密技术是利用数学或物理手段，对电子信息在传输过程和存储体内进行保护，以防止信息泄漏的技术。
包括：

• 对称密钥技术
• 非对称密钥技术

1.对称密钥技术
对称密钥技术是指加密密钥和解密密钥相同，或者虽然不同，但从其中一个可以很容易地推导出另一个。

• 优点是加密效率高，但密钥的传输需要经过安全可靠的途径。

常见的对称密钥技术：

• DES(数据加密标准)：使用56位的密钥对数据进行加密
• 3DES(三重数据加密算法)：使用112位密钥对数据进行加密
• IDEA算法：密钥长度为128位，其明文和密文都是64位
• AES、SM4、RC2、RC4、RC5

2.非对称密钥技术（公钥算法）
非对称密钥技术是指加密密钥和解密密钥完全不同，并且不可能从任何一个推导出另一个。

• 优点是适应开放性的使用环境，可以实现数字签名与验证。
• 最常见的非对称密钥技术是RSA。它的理论基础是数论中大素数分解。
• 使用RSA来加密大量的数据则速度太慢，因此RSA广泛用于密钥的分发。

对称密钥的分配与管理
密钥分配一般要解决两个问题：

• 一是引进自动分配密钥机制，以提高系统的效率;
• 二是尽可能减少系统中驻留的密钥量

1.对称密钥的分配
两个用户A和B在获得共享密钥时有4种方式：
(1)经过A选取的密钥通过物理手段发送给另一方B。
(2)由第三方选取密钥，通过物理手段分别发送给A和B。
(3)A、B 事先已有一个密钥，其中一方选取新密钥后，用已有密钥加密该新密钥后发送给另一方。
(4)三方 A、B、C各有一保密信道，C 选取密钥后，分别通过 A、B各自的保密信道发送。

公钥(非对称密钥)加密体制的密钥管理
1.公开发布
用户将自己的公钥发送给每一位其他用户，或向某一团体广播。方法简单，但缺点是任何人都可以伪造密钥公开发布。如伪装成
用户 A，以A 的名义向另一用户发送自己的公钥，则在 A 发现假冒者以前，假冒者可解读所有发向 A 的加密消息，甚至还能用伪
造的密钥获得认证。

2.公用目录表
公用目录表是指一个公用的公钥动态目录表，由可信的实体或组织承担该公用目录表的建立、维护以及公钥的发布等。
管理员为每个用户在目录表中建立一个条目，包括用户名和用户的公开密钥两个数据项。每个用户都亲自或以某种安全的认证通
信在管理者那里注册自己的公钥。
缺点是如果攻击者成功地获取管理员的密钥，就可以伪造一个公钥目录表，以后既可假冒任一用户又能监听发往任一用户的消息，
且公用目录表还容易受到攻击者的攻击。

3.公钥管理机构
与公用目录表类似，但是由公钥管理机构来为各用户建立、维护动态的公钥目录，采取更加严密的控制措施增强其安全性。用户都知道管理机构的公钥，当用户A 向公钥管理机构发送请求时，该机构对请求作出应答，并用自己的私钥加密后发送给A，A再用机构的公钥解密。

缺点：因为每一用户要想和他人联系都须求助于管理机构，所以管理机构容易成为系统的瓶颈，并且管理机构维护的公钥目录表也容易被攻击篡改。

4.公钥证书
公钥证书是由证书管理机构 (CA) 为用户建立的，其中的数据项有与该用户的私钥相匹配的公钥及用户的身份和时间戳等，所有的数据项由 CA 用自己的私钥签字后就形成证书，即证书的形式为CAA=ESKCA[T，IDA，PKA]。T是当前的时间戳，IDA是用户A的身份，PKA是A的公钥，ESKCA是CA的私钥，CAA是为用户A 产生的证书。用户将自己证书发给另一用户B，而接收方B可用 CA 的公钥 PKCA对证书进行验证。这样通过证书交换用户间的公钥而无须再与公钥管理机构联系，避免了由统一机构管理带来的不便和安全隐患。

4、访问控制与数字签名技术

访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权的访问。
1.访问控制的基本模型
访问控制包括3 个要素，即主体、客体和控制策略。
主体(Subject):是可以对其他实体施加动作的主动实体，简记为S。可以是用户所在的组织(用户组)、用户本身，也可是用户
使用的计算机终端、卡机、手持终端(无线)等，甚至可以是应用服务程序或进程。

• 客体(Object):是接受其他实体访问的被动实体，简记为O。凡是可以被操作的信息、资源、对象都可以认为是客体。
• 控制策略:是主体对客体的操作行为集和约束条件集，简记为KS。控制策略是主体对客体的访问规则集，这个规则集直接定义了主体对客体的作用行为和客体对主体的条件约束。访问策略是一种授权行为。

访问控制包括认证、控制策略和审计三个方面的内容。

访问控制的实现技术

• 1)访问控制矩阵
• 2)访问控制表
• 3)能力表
• 4)授权关系表

1)访问控制矩阵
访问控制矩阵(ACM)以主体为行索引，以客体为列索引的矩阵，矩阵中的每一个元素表示一组访问方式，是若干访问方式的集合。即每个主体对哪些客体有哪些访问权限。查找、实现不方便。

2)访问控制表
访问控制表(ACLs)是使用最多的访问控制实现技术。每个客体有一个访问控制表，是系统中每一个有权访问这个客体的主体的信息。实际上是按列保存访问矩阵。访问控制表提供了针对客体的方便的查询方法，但是用访问控制表来查询一个主体对所有客体的所有访问权限是很困难。

3)能力表
能力表(Capabilities)实际上是按行保存访问矩阵。每个主体有一个能力表，是该主体对系统中每一个客体的访问权限信息。使用能力表可以很方便地查询某一个主体的所有访问权限，只需要遍历这个主体的能力表即可。但查询对某一个客体具有访问权限的主体信息就很困难了，必须查询系统中所有主体的能力表。

4)授权关系表
每一行表示主体和客体的一个授权关系。

• 对表按主体进行排序，可以得到能力表的效率
• 对表按客体进行排序，可以得到访问控制表的效率适合采用关系数据库来实现

数字签名
数字签名是指通过一个单向函数对要传送的报文进行处理，得到用以认证报文来源并核实报文是否发生变化的一个字母数字串。
它与数据加密技术一起，构建起了安全的商业加密体系。

• 传统的数据加密是保护数据的最基本方法，它只能够防止第三者获得真实的数据(数据的机密性)，而数字签名则可以解决否
  认、伪造、篡改和冒充的问题(数据的完整性和不可抵赖性)。
• 数字签名使用的是公钥算法（非对称密钥技术）。

数字签名的过程：
(1)发送者A先通过散列函数对要发送的信息(M)计算消息摘要(MD)，也就是提取原文的特征。
(2)发送者A将原文(M)和消息摘要(MD)用自己的私钥(PrA)进行加密，就是完成签名动作，其信息可以表示为PrA (M+MD)。
(3)然后以接收者B的公钥(PB)作为密钥，对这个信息包进行再次加密，得到PB(PrA(M+MD))。
(4)当接收者收到后，首先用自己的私钥PrB进行解密，从而得到PrA(M+MD)。
(5)再利用A的公钥(PA)进行解密，如果能够解密，显然说明该数据是A发送的，同时也就将得到原文M和消息摘要MD。
(6)然后对原文M计算消息摘要，得到新的MD，与收到MD进行比较，如果一致，说明该数据在传输时未被篡改。

数字加密和数字签名的区别

• 数字加密是用接收者的公钥加密，接收者用自己的私钥解密。
• 数字签名是：将摘要信息用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要信息，然后用HASH函数对收到的原文产生一个新摘要信息，与解密的摘要信息对比。

例：下面不属于数字签名作用的是（ ） 。
A．接收者可验证消息来源的真实性
B．发送者无法否认发送过该消息
C．接收者无法伪造或篡改消息
D．可验证接收者的合法性

答案： D

数字签名的条件
可用的数字签名应保证以下几个条件：

• 签名是可信的。签名使文件的接收者相信签名者是慎重地在文件上签字的。
• 签名不可伪造。签名证明是签字者而不是其他人在文件上签字。
• 签名不可重用。签名是文件的一部分，不可能将签名移到不同的文件上。
• 签名的文件是不可改变的。在文件上签名后，文件不能再改变。
• 签名是不可抵赖的。签名和文件是物理的东西，签名者事后不能声称他没有签过名。

5、信息安全的防攻击技术

密钥的选择
密钥在概念上被分成两大类：数据加密密钥(DK)和密钥加密密钥(KK)。前者直接对数据进行加密，后者用于保护密钥，使之通过
加密而安全传递。算法的安全性在于密钥。
为对抗攻击者的攻击，密钥的生成需要考虑 3 个方面的因素：
1.增大密钥空间
2.选择强钥
3.密钥的随机性

拒绝服务攻击与防御
拒绝服务攻击(DoS)是借助于网络系统或网络协议的缺陷和配置漏洞进行网络攻击，使网络拥塞、系统资源耗尽或者系统应用死锁，
妨碍目标主机和网络系统对正常用户服务请求的及时响应，造成服务的性能受损甚至导致服务中断。
目前常见的拒绝服务攻击为分布式拒绝服务攻击(DDoS)。

1)拒绝服务攻击的分类
拒绝服务攻击主要有以下几种模式:
(1)消耗资源。
攻击者利用系统资源有限这一特征，或者是大量地申请系统资源，并长时间地占用；或是不断地向服务程序发出请
求，使系统忙于处理攻击者的请求，而无暇为其他用户提供服务。

攻击者可以针对以下几种资源发起拒绝服务攻击:
①针对网络连接的拒绝服务攻击。
②消耗磁盘空间。
③消耗CPU资源和内存资源。

(2)破坏或更改配置信息。
计算机系统配置上的错误也可能造成拒绝服务攻击，尤其是服务程序的配置文件以及系统、用户的启动文件。攻击者修改配置文件，从而改变系统向外提供服务的方式。

(3)物理破坏或改变网络部件。
这种拒绝服务针对的是物理安全，其通过物理破坏或改变网络部件以达到拒绝服务的目的。其攻击的目标有计算机、路由器、网络配线室、网络主干段、电源、冷却设备，及其他的网络关键设备。

(4)利用服务程序中的处理错误使服务失效。

2)分布式拒绝服务攻击
分布式拒绝服务攻击的攻击者首先侵入并控制一些计算机，然后控制这些计算机同时向一个特定的目标发起拒绝服务攻击。分布式拒绝服务攻击克服了传统拒绝服务攻击的受网络资源限制和隐蔽性差两大缺点，危害性更大。

分布式拒绝服务攻击工具一般采用三级控制结构：

• Client (客户端)运行在攻击者的主机上，用来发起和控制分布式拒绝服务攻击。

• Handler(主控端)运行在已被攻击者侵入并获得控制的主机上，用来控制代理端。

• Agent(代理端)运行在已被攻击者侵入并获得控制的主机上，从主控端接收命令，负责对目标实施实际的攻击。

3)拒绝服务攻击的防御方法
使用下面的方法尽量阻止拒绝服务攻击：
(1)加强对数据包的特征识别，通过搜寻特征字符串，就可以确定攻击服务器和攻击者的位置。

(2)设置防火墙监视本地主机端口的使用情况。对本地主机中的敏感端口进行监视，如UDP 31335、 UDP 27444、 TCP 27665。如果
外部主机主动向网络内部高标号端口发起连接请求,则系统也很可能受到侵入。

(3)对通信数据量进行统计也可获得有关攻击系统的位置和数量信息。例如，在攻击之前，目标网络的域名服务器往往会接收到远远超过正常数量的反向和正向的地址查询。在攻击时，攻击数据的来源地址会发出超出正常极限的数据量。

(4)尽可能地修正已经发现的问题和系统漏洞。

欺骗攻击与防御

• 1.ARP欺骗
• 2.DNS欺骗
• 3.IP欺骗

1)ARP欺骗
又称ARP毒化或ARP攻击，是针对以太网地址解析协议(ARP)的一
种攻击技术，通过欺骗局域网内访问者PC的网关MAC地址，使访
问者PC错以为攻击者更改后的MAC地址是网关的MAC，导致网络
不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数
据包，且可让网络上特定计算机或所有计算机无法正常连线。

ARP欺骗的防范措施：

• (1)在WinXP下输入命令 arp -s gate-way-ip gate-way-mac固化ARP表，阻止ARP欺骗。
• (2)使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。
• (3)采用双向绑定的方法解决并且防止ARP欺骗。
• (4)使用ARP防护软件–ARP Guard。

2) DNS欺骗
DNS欺骗首先是冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了。DNS欺骗其实并不是真的"黑掉"了对方的网站，而是冒名顶替，大部分是冒名顶替的钓鱼网站。

1.DNS欺骗的检测
根据检测手段的不同，将其分为被动监听检测、虚假报文探测和交叉检查查询三种。

• ①被动监听检测:该检测手段是通过旁路监听的方式，捕获所有DNS请求和应答数据包，并为其建立一个请求应答映射表。如果在一定的时间间隔内，一个请求对应两个或两个以上结果不同的应答包，则怀疑受到了DNS欺骗攻击，因为DNS服务器不会给出多个结果不同的应答包。

• ②虚假报文探测:该检测手段采用主动发送探测包的方式来检测网络内是否存在DNS欺骗攻击者。这种探测手段基于一个简单的假设:攻击者为了尽快地发出欺骗包，不会对域名服务器IP地址的有效性进行验证。如果向一个非DNS服务器发送请求包，正常来说不会收到任何应答，但是由于攻击者不会验证目标IP地址是否是合法DNS服务器，他会继续实施欺骗攻击，因此，如果收到了应答包，则说明受到了攻击。

• ③交叉检查查询:所谓交叉检查即在客户端收到DNS应答包之后，向DNS服务器反向查询应答包中返回的IP地址所对应的DNS名字，如果二者一致说明没有受到攻击，否则说明被欺骗。

3)IP欺骗
IP 欺骗是指创建源地址经过修改的IP数据包，目的要么是隐藏发送方的身份，要么是冒充其他计算机系统。恶意用户往往采用这项技术对目标设备或周边基础设施发动 DDoS 攻击。虽然无法预防 IP 欺骗，但可以采取措施来阻止伪造数据包渗透网络。入口过滤是防范欺骗的一种常见的防御措施，入口过滤是一种数据包过滤形式，通常在网络边缘设备上实施，用于检查传入的 IP 数据包并确定其源标头。如果这些数据包的源标头与其来源不匹配或者看上去很可疑，则拒绝这些数据包。

4.端口扫描
端口扫描就是尝试与目标主机的某些端口建立连接，如果目标主机该端口有回复，则说明该端口开放，即为"活动端口"。
通过端口扫描可以判断目标主机上开放了哪些服务，判断目标主机的操作系统。

5.强化TCP/IP堆栈以抵御拒绝服务攻击
1)同步风暴(SYN Flooding)
SYN Flood攻击中，利用TCP三次握手协议的缺陷，攻击者向目标主机发送大量伪造源地址的TCP SYN报文，目标主机分配必要的资源，然后向源地址返回SYN＋ACK包，并等待源端返回ACK包。由于源地址是伪造的，所以源端永远都不会返回ACK报文，受害主机继续发送SYN＋ACK包，并将半连接放入端口的积压队列中，虽然一般的主机都有超时机制和默认的重传次数，但由于端口的半连接队列的长度是有限的很快被填满，服务器拒绝新的连接，导致该端口无法响应其他机器的连接请求。

例：SYN Flooding 攻击的原理是（ ）。
A.利用TCP三次握手，恶意造成大量TCP半连接，耗尽服务器资源，导致系统拒绝服务
B.有些操作系统在实现TCP/IP协议栈时，不能很好地处理TCP报文的序列号的查找问题，导致系统崩溃
C.有些操作系统在实现TCP/IP协议栈时，不能很好地处理IP分片包的重叠情况，导致系统崩溃
D.有些操作系统协议栈在处理IP分片时，对于重组后超大的IP数据报不能很好地处理，导致缓存溢出而系统崩溃

答案： A

2) ICMP攻击
利用操作系统规定的ICMP数据包最大尺寸不超过64KB这一规定，向主机发起"Ping of Death"(死亡之Ping)攻击。“Ping of Death"攻击
的原理是：如果ICMP数据包的尺寸超过64KB上限时，主机就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使主机死机。
此外，向目标主机长时间、连续、大量地发送ICMP数据包，会形成"ICMP风暴”，使得目标主机耗费大量的CPU资源处理，最终使系统瘫痪。

3)SNMP攻击
SNMP是TCP/IP网络中标准的管理协议，它允许网络中的各种设备和软件，包括交换机、路由器、防火墙、集线器、甚至操作系统、服务器产品和部件等，能与管理软件通信，汇报其当前的行为和状态。但是，SNMP还能被用于控制这些设备和产品，重定向通信流，改变通信数据包的优先级，甚至断开通信连接。入侵者如果具备相应能力，就能完全接管你的网络。

6.系统漏洞扫描
系统漏洞扫描是对重要计算机信息系统进行检查，发现其中可能
被黑客利用的漏洞。
系统漏洞扫描从底层技术来划分，可以分为：

• 基于网络的扫描
• 基于主机的扫描

1)基于网络的漏洞扫描
基于网络的漏洞扫描器是通过网络来扫描远程计算机中的漏洞。基于网络的漏洞扫描器的优点:

• (1)价格相对来说比较便宜。
• (2)在操作过程中，不需要涉及目标系统的管理员。
• (3)在检测过程中，不需要在目标系统上安装任何东西。
• (4)维护简便。

2)基于主机的漏洞扫描
基于主机的漏洞扫描器通常在目标系统上安装一个代理(Agent)或者是服务(Services)，以便能够访问所有的文件与进程，这也使得基于主机的漏洞扫描器能够扫描更多的漏洞。
基于主机的漏洞扫描器具有如下优点:

• (1)扫描的漏洞数量多。
• (2)集中化管理。
• (3)网络流量负载小。

6、信息安全的保障体系与评估方法

计算机信息系统安全保护等级

层次	名称	措施	对象
一级	用户自主保护	对用户实施访问控制，即为用户提供可行的手段，保护用户和用户组信息避免其他用户对数据的非法读写与破坏。	该级适用于普通内联网用户
二级	系统审计保护	实施粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。	内联网或国际网进行商务活动，需要保密的非重要单位。
三级	安全标记保护	提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述;具有准确地标记输出信息的能力;消除通过测试发现的任何错误。	地方各级国家机关、金融机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位
四级	结构化保护	建立在一个明确定义的形式化安全策略模型之上，它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外，还要考虑隐蔽通道。它加强了鉴别机制;支持系统管理员和操作员的职能;提供可信设施管理;增强了配置管理控制。系统具有相当的抗渗透能力。	中央级国家机关、广播电视部门、重要物质储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设的部门
五级	访问验证保护	满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的;必须足够小，能够分析和测试。排除了那些对实施安全策略来说并非必要的代码;在设计和实现时，将其复杂性降低到最小程度。支持安全管理员职能;扩充审计机制，当发生与安全相关的事件时发出信号;提供系统恢复机制。系统具有很高的抗渗透能力。	国防关键部门和依法需要对技术及信息系统实施隔离单位。

安全风险管理
信息安全风险是指各类应用系统及其赖以运行的基础网络、处理的数据和信息，由于其可能存在的软硬件缺陷、系统集成缺陷等，
以及信息安全管理中潜在的薄弱环节，而导致的不同程度的安全风险。
信息安全风险评估是从风险管理的角度，运用科学的手段，系统的分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安
全事件一旦发生可能造成的危害程度，制定有针对性的抵御威胁的防护对策、整改措施，以最大限度的保障网络和信息安全。

1.风险评估的实施流程

• 确定风险评估的范围
• 确定风险评估的目标
• 建立适当的组织结构
• 建立系统的风险评估方法
• 获得最高管理者对风险评估策划的批准

2.风险评估
风险评估是对信息资产存在的脆弱性，面临的威胁， 造成的影响，及三者综合作用所带来的风险的可能性评估。

(1)资产识别

(2)脆弱性识别

(3)风险计算

并不是简单的 横纵轴相乘

本文标签： 信息安全基础知识架构设计师软考