信息系统安全学习笔记

1、一 绪论基本概念： 信息系统安全：重点关注信息安全和信息系统安全的区别Ø 信息系统安全的三个角度：基于通信保密、基于系统防护、基于信息保障Ø 信息系统安全的构成要素Ø 信息系统面临的安全威胁Ø 信息系统自身的脆弱性基本原理： 信息系统的架构模型Ø 信息系统安全体系信息系统：是提供数据密集型用途的硬件和软件信息系统的构成要素|-主体 包括各类用户、支持人员以及技术管理和行政管理人员，人既是管理者，也是被管|理者|-客体 以计算机、网络互联设备、传输介质、信息内容及其操作系统、通信|协议和应用程序所构成的物理的、逻辑的完整体系p 是被管理、被控制的

2、对象|-环境 系统稳定、可靠运行所需的保障体系，包括建筑物、机房、动力保障与备份及应急恢复体系系统风险主要来自|-系统可能遭受的各种威胁 是指对于信息系统的组成要素及其功能造成某种损害的潜在可能。>>按照来源： 1自然灾害威胁 2滥用性威胁 3有意人为威胁>>按照作用对象-|-针对信息 信息破坏信息泄密假冒或否认 |-针对系统 对硬件和软件>>按照手段：信息泄露,入侵,抵赖,扫描,拒绝服务攻击,滥用|-系统本身的脆弱性基于信息属性的本源性脆弱(依附性和多质性,非消耗性,可共享性/可重用性,聚变性和增殖性,易伪性)基于系统复杂性的结构性脆弱基于攻防不对称性的普

3、通性脆弱基于网络的开放和数据库共享的应用性脆弱|-系统对于威胁的失策信息系统脆弱性的表现 |-硬件组件 多来源于设计，主要表现为物理安全方面问题。|-软件组件|-网络和通信协议 TCP/IP协议族本身的缺陷（缺乏对用户身份的鉴别，缺乏对路由协议的鉴别认证，TCP/UDP的缺陷）信息系统安全的三个角度|-基于通信保密|-基于系统防护 具体目标(系统保护&信息内容保护)|-基于信息保障 PDRR（防护检测反应恢复）静态防御->动态防御Pt : Protection timeDt : Detection timeRt : Response timeDt+Rt<Pt 那么系统是安全

4、的信息系统安全的目标进不来 拿不走 看不懂 改不了 跑不了【信息系统安全体系】信息系统安全体系ISSA是一个能为所保障对象提供的可用性、机密性、完整性、不可抵赖性、可授权性的可持续性的系统。|-技术体系(硬件、操作系统安全,密码算法、安全协议技术，AC，安全通信，身份识别，入侵检测，防火墙等)|-管理体系(安全目标确定，需求获取，风险评估，计划制定，实现)|-标准体系（评测准则：CC、17859等，管理标准）|-法律体系以法律法规作为安全目标和安全需求的依据；以标准规范体系作为检查、评估和测评的依据；以管理体系作为风险分析与控制的理论基础与处理框架；以技术体系作为风险控制的手段与安全管理的工具

5、二 物理安全概念，体系结构，国家标准，电磁泄漏途径，防止泄露方法物理安全的体系结构、内涵>> 物理安全又叫实体安全，是保护计算机设备、设施免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施和过程。>> 物理安全技术主要针对计算机及网络系统的环境、场地、设备和通信线路等采取的安全技术措施。体系结构|-介质安全-介质的安全 介质的安全保管：防盗、防毁、防霉|-介质数据安全 拷贝、防消磁、防丢失。| <电磁战>(目的是干拢敌方的信息联系、阻断信息沟通)| (热效应,射频干扰和“浪涌”效应,强电场效应,磁效应)|主动拒止系统（ADS）将电能转化为微波射向目标|

6、防磁柜（防磁、防火、防盗）| U盘小偷(自动复制U盘内的所有内容)->防拷贝U盘方案 |-设备安全-电磁泄漏(途径:辐射泄漏 传导泄漏)->旁路攻击->电磁分析攻击(最有|效的旁路攻击技术之一)|用途：密码破解| 抑制电磁信息泄漏的技术途径:1.物理抑制 2.电磁屏蔽 3.噪声干扰 |-线路安全 电缆加压技术:压力下降，意味电缆可能被破坏 (简单且贵)|搭线窃听 海底电缆窃听|光纤通信技术(光纤不可被搭线窃听，但是光纤的最大长度有限制，|长于这一长度的光纤系统必须定期地放大（复制）信号，而复制器是|安全薄弱环节) |-环境安全 安全保卫技术;计算机机房的温度、湿度;计算机机房

7、的用电安全技|术;计算机机房安全管理技术 机房不要顶层&底层； |温度湿度洁净度，防火防水防盗 |-电源安全 供电系统安全（一类不间断二类备用三类一般用户）、防静电措施、接地与防雷要求电源调整器:隔离器 滤波器 稳压器电磁泄漏国家标准：(磁屏蔽室CBA级，C级最高)环境安全技术国家标准信息系统架构模型 |-应用业务软件 处于顶层，直接与用户或实体打交道 |-应用平台软件 处于中间层，在操作平台支撑下运行的，支持和管理 |应用业务的软件 |-操作平台软件 处于基础层，维系着信息系统组件运行的平台 |-硬件 处于最底层，提供运行环境 【信息系统安全】信息系统安全可理解为：与人、网络、环境有

8、关的技术安全、结构安全和管理安全的总和，旨在确保在计算机网络系统中进行自动通信、处理和利用的、以电磁信号为主要形式的信息内容，在各个物理位置、逻辑区域、存储和传输介质中，始终具有可信性、机密性、完整性、可用性、和抗抵赖性等安全特质。三 计算机系统的可靠性【可靠性定义】在规定的条件下、在给定的时间内，系统能实施应有功能的能力。【寿命】分布函数 平均寿命 E(x)=xf(x)dx硬件系统可靠性模型的分类：(平均寿命MTTF和MTBF)1.不可修系统 MTTF(对不可维修的产品的平均寿命是指从开始投入工作，至产品失效的时间平均值。也称平均失效前时间， 记以MTTF)2.可修系统 MTBF(对可维修产

9、品而言，其平均寿命是指两次故障间的时间平均值，称平均故障间隔时间，习惯称平均无故障工作时间MTBF)à(去看一眼MTBF的计算)_(:3)_【可靠性】 N个元器件；S(t)为系统运行至时刻t正常工作的元器件的总数；F(t)为时刻t时发生故障而失效的元器件的总数可靠性函数 R(t)=S(t)/N （正常工作的元器件数占总元器件数的比例）R(t)是产品在时间0,t内不失效的概率不可靠性函数 U(t)=1-R(t)=F(t)/N失效函数 Z(t) 系统中元器件失效的速率 入减小时可靠性提高 Z(t)的浴缸形曲线 【R(t)和入的关系】当t=0时，R(0)=1 当t=时，R()=0【不可维修

10、产品的可靠性指标】 平均寿命 平均无故障时间（MTTF）*同一失效率R部件串联 系统失效率 = R+R【可维修产品的维修性指标：可用性】可用性 定义： MTBF/（MTBF+MTTR）*100% MTTR(可维护性平均维修时间) 为系统保持正常运行时间的百分比，表示设备处于完好状态的概率【计算机系统可靠性的组成】硬件可靠性&软件可靠性描述硬件可靠性的模型串联系统 系统由n个部件串联而成，任一部件失效就引起系统失效。1.系统的寿命是： X=minX1 ，X2 ，Xn2.系统的可靠度是：3.系统的失效率为： (是所有串联部件失效率之和)4.系统的平均寿命为：并联系统 只有当这n个部件都失效

11、时系统才失效。1.系统的寿命是： X=maxX1，X2 ，Xn2.系统的可靠度是：3.系统的平均寿命为：并联零件数增加系统可靠性增加：表决系统n中取k的表决系统由n个部件组成，当n个部件中有k个或k个以上部件正常工作时，系统才能正常工作（1kn）。当失效的部件数大于或等于n-k+1时，系统失效。简记为k/n(G)系统。冷贮备系统冷贮备是指贮备的部件不失效也不劣化。系统n个部件，初始时刻，一个部件工作，n-1个作冷贮备。当工作部件失效时，存储部件逐个地去替换，直到所有部件都失效时，系统才失效。储备器长短对以后工作无影响。软件可靠性定义1、在规定的条件下、规定的时间内，软件不引起系统失效的概率。该

12、概率是系统输入和系统使用的函数，也是软件中存在的错误的函数。2、在规定的时间周期内、在所述条件下，程序执行要求功能的能力。术语 失效强度 单位时间内，软件系统出现失效的概率。失效率 当软件在0t 时刻内没有发生失效的条件下，t 时刻软件系统的失效强度。软件可靠性模型旨在根据软件失效数据，通过建模给出软件的可靠性估计值或预测值。建模方法：软件可靠性解析模型 对失效数据进行假设 软件可靠性启发模型 仅学习历史失效数据常见的软件可靠性模型|- 失效时间间隔模型-是假定第i个失效到第i+1个失效间隔时间服从于某一分布或看做随机过程|- 缺陷计数模型-关心的是在特定的时间间隔内软件的错误数或失效数|-

13、错误植入模型-通过将一组已知的错误人为地植入到一个固有错误总数尚不清| 楚的程序中，然后在程序的测试中观察并统计发现的植入错误数 |和程序总的错误数，通过计数的比值估计程序的固有错误总数，|从而得到软件可靠度及其有关指标。|- 基于输入域的模型-根据程序的使用情况，找出程序可能输入的概率分布，根据这种分布产生一个测试用例的集合。在输入域上随机抽取测试用例，执行相应的程序测试，观测故障，从而推断出各项指标。提高可靠性的途径两个方面 一是尽量使系统在规定时间内少发生故障和错误；二是发生了故障能迅速排除。|-提高硬件可靠性 a.减少元件数量简化结构 b.避免片面追求高性能指标和过多的功能 c.合理划

14、分软硬件功能，能用软件实现则用软件实现 d.热设计(软件失效与温度有关 e.元器件引脚焊点等故障率较高的部分需要高度重视 f.机械防震设计 g.根据系统可能工作的环境进行防护设计 h.抗干扰技术滤波、接地、屏蔽、隔离、设置干扰吸收网络及合理布线(三要素干扰源、传输途径及干扰对象)i.冗余技术(并联系统、备用系统和表决系统)|-提高软件可靠性|-采用系统信息管理软件，用软件进行系统调度|当发生故障时进行现场保护，迅速用备用装置代替故障装置；|在过负荷时采取应急措施；|在故障排除后使系统迅速恢复正常运行。|-编制诊断程序，及时发现故障并排除|-指令复执技术|(应能保留现行指令地址&所用数据

15、，一旦发现错误就重新执行)|-输入输出软件抗干扰技术软件陷阱：捕捉“跑飞”的指令指针四 计算机容错技术 /排错 避免故障 容错 发生故障后能正确运行1【容错的概念】容忍故障，即故障一旦发生时能够自动检测出来并使系统能够自动恢复正常运行。当出现某些指定的硬件故障或软件错误时,程序不会因系统中的故障而中止或被修改。执行结果也不包含系统中故障所引起的差错。2 容错技术发展概况3 【容错技术的主要研究内容】 -故障检测与诊断技术： 故障检测：判断系统是否存在故障的过程（一般来说不能准确找到故障点） 故障诊断：检测出故障后进行故障的定位，找出故障所在位置。 -故障屏蔽技术 防止系统中的故障在该系统的信息

16、结构中产生差错的各种措施的总称。其实质是在故 障效应达到模块的输出以前，利用冗余资源将故障影响掩盖起来，达到容错目的。 -冗余技术(冗余就是超过系统实现正常功能的额外资源) |-硬件冗余技术-|-静态硬件冗余-三模冗余(常见) 改进方法 原理：三中取二； 缺点：各不相同无法表决| |-动态硬件冗余（正在工作的模块故障->切换到备用模块）| |-混合冗余（动静结合）|-时间冗余技术-|-指令复执（重复执行故障指令，必须保留上一指令结束的现场）| |-程序卷回（重复执行一段程序，一个个恢复点，一次不能解决|则多次卷回） |-信息冗余技术（在数据中附加冗余信息位）（常见奇偶校验码、海明码、循环

17、码）|-|-检错码（检查错误 而不纠正错误）| -|-纠错码（检查并纠正错误）|-软件冗余技术 基本方法：将若干个根据同一需求编写的多版本程序，在不同空间同时运行，然后在每一个设置点进行表决。 |-NVP结构（多版本编程设计 静态冗余）（图） 用N个具有同一功能而采用不同编程方法的程序执行一项运算，其结果通过多数表决器输出。有效避免了由于软件共性故障造成的系统出错 |-RB结构（恢复块结构 动态冗余）（图）主程序块和备用程序块采用不同编程方法但具有相同的功能。每个主程序块都可以用一个根据同一需求说明设计的备用程序块替换。首先运行主程序块，然后进行接收测试，如果测试通过则将结果输出给后续程序；否

18、则调用备用块。备用块用完还没通过测试，则进行故障处理。 4.容错技术的应用 -RAID-分条：将数据分散到不同的物理硬盘上，读写时可同时访问多块硬盘 -数据镜像：同一数据写在两块不同的硬盘上 -奇偶校验：RAID0:（分条)读写性能高 数据保护无RAID1:（镜像）有效容量占总容量1/2，有数据保护RAID1+0：(镜像+分条)RAID0+1：(分条+镜像)RAID2:(并行海明纠错阵列)自动确定哪个硬盘失效，并自动数据恢复。开销太大RAID3:(奇偶校验并行位交错阵列)速度快,适合大单位数据读写。无冗余。RAID4：（奇偶校验扇区交错阵列）读写并行,出错后数据很难恢复RAID5：（循环奇偶校

19、验阵列）读操作最优，写操作开销大一个磁盘失效，分布在其他盘上的信息足够完成数据重建10比01可靠性高【RAID卡】五 身份认证【需要解决的问题】在一个开放的网络环境中，提供服务的服务器必须能够识别请求服务的实体的身份干什么的 证实某主体的真实身份与其所声称的身份是否相符的过程基本途径|- 基于你所知道的 知识、口令、密码|- 基于你所拥有的 身份证、信用卡、钥匙、智能卡、令牌等|- 基于你的个人特征 指纹，笔迹，声音，手型，脸型，视网膜，虹膜常用的身份认证技术/协议|-基于口令认证|- 简单口令认证|- 第三方认证(C,S,AS)| |- 质询/握手认证协议（CHAP）Client和Serve

20、r共享密钥K| 不能防止中间人攻击| |- 一次性口令认证: 在登录过程中加入不确定因素，使每次登录过程中传送的|口令信息都不相同，以提高登录过程安全性。|<不确定因子选择方式>（S/KEY ,CRYPTOCard，SecurID,SafeWord）|- SecurID 每个token有不同的seed，每60秒生成验证码|- 口令序列(S/KEY) 系统记录第N个口令。用户用第N1个口令登录时，|系统用单向算法算出第N个口令与自己保存的第N个口令匹配|N是有限的，用户登录N次后必须重新初始化口令序列。|- 挑战/回答(CRYPTOCard)系统发送用户一个随机数，用户用单项算法混|

21、合自己秘密口令和随机数，系统做同样计算验证|*易被截获，不抵御假冒攻击|- 事件同步SafeWord |(挑战回答方式为基础，以单向前后相关序列作为系统挑战信息)| 一次性口令的生成方式（Soft Token，Token Card，IC卡）|- Kerberos认证 (6步)|- 基于公钥证书的身份认证-数字证书的存放方式|1硬盘|2.USB KEY (静态口令)|3.USB TOKEN(更好)（动态口令，双因素密钥，一次一密）|- 基于生物特征的身份认证 |-指纹，笔迹，声音，手型，脸型，视网膜，虹膜 |-误判(图)双因素认证：将以上任意两种认证方法结合起来，对用户的身份进行认证。比较广泛的

22、双因素身份认证方案： 静态口令+ 动态令牌 静态口令+ USB KEY六 访问控制模型定义：访问控制是为了限制访问主体对访问客体的访问权限，从而使计算机系统在合法范围内使用。访问控制模型：（图）访问的行为：读取数据p 更改数据运行可执行文件发起网络连接访问控制应用类型|-网络访问控制主要限制用户可以建立的连接以及传输的数据。防火墙作为网络边界阻塞点来过滤网络会话和数据传输。防火墙可实现的访问控制：|-连接控制（控制哪些应用程序结点之间可建立连接。）| eg:控制内部的用户对外部WEB站点间的连接。|-协议控制（控制用户通过一个应用程序可以进行什么操作。）| eg:允许用户浏览一个页面，同时拒绝

23、用户在非信任的服务器上发布数据。|-数据控制（防火墙可以控制应用数据流的通过。） eg:阻塞邮件附件中的病毒|-主机、操作系统访问控制操作系统应用访问控制列表指定某个用户可以读、写或执行某个文件。文件的所有者可以改变该文件访问控制列表的属性。|-应用程序访问控制eg:数据库中的每个表都有自己的访问控制策略来支配对其记录的访问。【加密方法在访问控制中的应用】也经常被用来提供实现访问控制，或者独立实施访问控制，或者作为其它访问控制机制的加强手段。|-加密信息|限定只有拥有解密密钥的用户才有权限访问特定资源。|-IPsec VPN|非可信网络中的用户访问经由VPN传输的数据，只有拥有相应的密钥（IP

24、sec 安全关联|协商成功），才可以解密及访问数据。|-存储于本地硬盘的数据也可以被加密同一系统中的用户无相应解密密钥也不可读取相关数据。个别数据库可加密本地磁盘上数据库文件，弥补系统AC机制不足【访问控制的一般策略】|-自主访问控制用户有权访问自己创建的对象；授权其他用户访问；收回访问权限每个主体拥有一个用户名并属于一个组或具有一个角色每个客体都拥有一个限定主体对其访问权限的访问控制列表（ACL）每次访问发生时都会基于ACL检查用户标志|-强制访问控制把所有的权限都归于系统集中管理所有主体，客体都被分配了安全标签，安全标签标识一个安全等级。访问控制执行时比较主体和客体的安全级别。|-基于角色

25、访问控制【访问控制矩阵】列访问控制表；行访问能力表【访问控制表】【访问能力表】DAC特点 授权主体自主权限，AC列表&矩阵，通过维护ACL来控制用户访问缺点 主体权限太大容易泄露信息，不防特洛伊木马，ACL大不易维护（强制）访问控制模型|-BLP（公开 受限 秘密 机密 高密)|>|不上读，不下写，提供保密性|eg:机构网络(机密)，Internet(公开) Internet用户不能访问机密 | 防火墙允许GET操作拒绝POST操作|-BIBA（公开 受限 秘密 机密 高密）|>|不下读，不上写，提供完整性|eg：Internet用户只能读取服务器数据，而不能写| 网络设备

26、(机密)>网管工作站(秘密)，网管工作站只能用get来收集，而不能更改|设备的设置,设备配置的完整性就得到了保障。|-Clark-Wilson完整性模型|1.用户不能随意操纵数据，只能使用系统限定的方法，此方法是经过验证的、能确|保数据完整性的方法|2.所有操作被分为若干部分，不同部分由不同人执行，实现职责分离，使得操作不|能被一个人控制，但不能防止多人的合谋|-Chinese Wall保密性与完整性同等考虑，应用在多边安全系统中，防止利益冲突主要功能是防止用户访问被认为是存在利益冲突的数据。信息被分组成若干利益冲突的类，一个人在每个类中至多允许访问一组信息两个属性：用户必须选择一个他可

27、以访问的区域；用户必须自动拒绝来自其它与用户所选区域的利益冲突区域的访问MAC特点：信息单向流通，阻止特洛伊木马泄露缺点：工作量大，不灵活<Windows中的访问控制模型>访问令牌：与特定windows账户关联用户登录，用账户信息生成令牌，该账户启动的进程（及进程的线程）会获得该 令牌的副本，线程想要访问某对象，windows会检查它的令牌。 内容：当前登录账户SID，当前登录账户所属账户组的SID列表，安全描述符：与被访问对象关联含有：这个对象所有者的SID，一个访问控制列表（ACL）ACL访问控制列表-|DACL(任意访问控制列表)-零个或多个访问控制项(ACE)(内容描述了

28、|允许或拒绝特定账户对这个对象执行特定操作。) -|SACL可访问对象都有三种ACEAccess-denied ACE 拒绝账户访问Access-allowed ACE 允许账户访问System-audit ACE 用于SACL中线程尝试访问一个对象，系统检查线程的令牌&对象安全描述符中的DACL，如果无DACL，允许访问；有DACL，某Access-denied ACE中的SID在线程令牌中，且ACE中权限与线程权限相符，系统拒绝访问某Access-allowed ACE中的SID在线程令牌中，且ACE中权限与线程权限相符，系统允许访问所有ACE中的SID在线程令牌中均不存在，拒绝访

29、问七 访问控制技术之一ACL标准访问列表，通过使用数据包的源IP地址过滤流量 ACL的分类|-标准ACL （访问列表号199或13001999）靠近目的地址只使用数据包的源地址作为测试条件。所有决定是基于源IP地址的。创建ACL Router(config)#access-list access-list-number permit | deny source source-wildcard 删除ACL Router(config)# no access-list access-list-numberany 与0.0.0.0 255.255.255.255均表示任意地址 (eg: permit

30、 any)host 表示之后的是主机地址eg: access-list 1 permit 171.30.16.29 0.0.0.0 = access-list 1 permit host 171.30.16.29|-命名ACL 命名ACL以列表名代替列表编号来定义IP访问控制列表，同样包括标准和扩展两种列表，定义过滤的语句与编号方式中相似。|-扩展ACL（ID号为100199 或20002699）靠近源地址可以测试IP包的第3层和第4层报头中的字段。源地址、目的地址；源端口、目的端口创建命令（图）课件中有例子P35Linux操作系统的ACL-基于权限位的自主访问控制机制-文件类型的权限具体：八

31、 访问控制技术之二VLANVLAN虚拟局域网vs. 真实局域网VLAN的特点/VLAN的分类：基于端口、基于MAC、根据网络层协议或地址跨交换机的VLAN实现同一VLAN内主机通信VLAN间的主机通信交换网中链路的类型：交换机接口模式IEEE802.1Q对比Cisco ISLVLAN实现信息同步的方式：VTP协议【定义】VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。VLAN是从逻辑上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段。【虚拟局域网vs. 真实局域网】位于不同真实局

32、域网中的主机可以属于同一个虚拟局域网中，而位于同一个真实局域网的主机可以属于不同的虚拟局域网中。同一虚拟局域网中的不同真实局域网上的主机可以直接通信，而位于同一真实局域网的属于不同虚拟局域网的主机不能直接通信。【特点】提高网络访问速度、提高安全性、简化网络管理【虚拟局域网的分类】 |-基于端口的VLAN|-基于MAC地址的VLAN|-基于网络层协议或地址划分VLAN【同一VLAN内主机通信】通常采用访问连接、主干连接、ISL与帧标记等技术来实现同一VLAN的成员之间的通信。【VLAN间主机的通信】需要通过路由器或三层交换机<三层交换机的路由功能又称为VLAN间路由>使用路由器进行V

33、LAN间路由时，采用汇聚链接的方式，通过对数据帧附加VLAN信息，实现多个VLAN共用一条链路。Step 1 在交换机上按部门划分VLANStep 2 通过路由器实现VLAN间路由Step 3 在路由器上实现ACL控制常用附加VLAN信息的方法有两种：>>IEEE802.1Q方法 (用于不同设备间)为相应的帧分配一个唯一的标记来标示帧的VLAN信息。当数据帧进入主干链路时，附加的VLAN识别信息位于数据帧中“发送源MAC地址”与“类别域”之间；当数据帧离开主干链路时，TPID 和TCI被去除，重新计算CRC 校验值。2B的TPID取值0x8100，标识该帧承载了802.1Q的tag

34、信息；2B的TCI(3bit用户优先级，1bit的CFI指示是否包含VLAN标签，12bit的VID表示属于那个VLAN)>>Cisco ISL方法(仅用于Cisco设备环境)数据帧进入主干链路时，每个标准的以太网数据帧头部都会被附加26字节的ISL包头（路由器和交换机通过ISL包头识别不同的VLAN）连同帧尾，通过对包括ISL包头在内的整个数据帧进行计算，得到新的4字节CRC校验值，共增加30字节的信息；当数据帧离开主干链路时，只要去除ISL包头和新CRC即可。【解决VLAN信息的同步：VTP协议】VTP负责在VTP域内同步VLAN信息，这样就不必在每个交换上配置相同的VLAN信

35、息。 VTP最重要的作用是，将进行变动时可能会出现的配置不一致性降至最低。【VTP有三种工作模式】：>>服务器模式（server）：可进行VLAN的创建、更改、删除，并自动将VLAN的信息向同一个VTP域内的其它交换机广播。>>客户模式（client）：只能被动接收VTP server的VLAN配置>>透明模式（transparent）：可独立配置自己的VLAN，但不与其它交换机交换本机的VLAN信息，同时转发其它交换机发来的VLAN信息【交换网中链路的类型】：1.接入链路（access）：此种链路只允许一个VLAN2.主干链路（又叫中继链路（trunk）：

36、此链路可以传递多个VLAN3.混合链路：可传输两种帧（带VLAN信息的帧与不带VLAN信息的帧）【交换机接口模式】1、access: 主要用来接入终端设备，如PC机、服务器、打印服务器等。2、trunk: 主要用在连接其它交换机，以便在线路上承载多个vlan。3、multi: 在一个线路中承载多个vlan，但不像trunk,它不对承载的数据打标签。主要用于接入支持多vlan的服务器或者一些网络分析设备。现在基本不使用此类接口，在cisco的网络设备中，也基本不支持此类接口了。4、dot1q-tunnel: 用在Q-in-Q隧道配置中。九 操作系统安全之一什么样的操作系统是安全的？操作系统安全需

37、求操作系统安全策略：访问控制策略，安全支持策略（TCSEC定义的六类访问支持策略）隐通道的概念及其分类TCB操作系统面临的安全威胁操作系统安全的主要研究内容TCSEC定义的六类访问支持策略【隐通道】定义：可以被进程利用来以违反系统安全策略的方式进行非法传输信息的通信通道|-存储隐通道（共享：文件系统）|-时间隐通道（共享资源：CPU时间）【什么样的操作系统是安全的】<操作系统安全>是指该系统能够控制外部对系统信息的访问，即只有经过授权的用户或进程才能对信息资源进行相应的读、写、创建和删除等操作，以保护合法用户对授权资源的正常使用，防止非法入侵者对系统资源的侵占和破坏。<网络操

38、作系统安全保护> 对操作系统本身的安全保护功能和安全服务。 针对各种常用的操作系统，进行相关配置，使之能正确对付和防御各种入侵； 保证网络操作系统本身所提供的网络服务能得到安全配置。【安全需求】在设计一个安全系统时期望得到的安全保障【操作系统的安全需求】|-机密性需求 为秘密数据提供保护方法及保护等级|-完整性需求 系统中数据未发生变化或遭修改、破坏|-审计需求 能证实用户身份，可对有关安全的活动进行完整记录、检查和审核，防止用户对访问过某信息或执行过某操作的否认|-可用性需求 防止非法独占资源，合法用户需要时保证其访问到所需信息【操作系统面临的安全威胁】机密性威胁、完整性威胁、可用性威

39、胁木马程序、黑客攻击、蠕虫、拒绝服务攻击、计算机病毒、逻辑炸弹、非法访问、机密信息泄露、信息篡改、隐蔽通道、后门【操作系统安全的主要研究内容】1.安全策略 指用于授权使用计算机及信息资源的规则 >>访问控制策略：自主、强制(看之前的)、基于角色 >>访问支持策略 TCSEC六类2.安全模型： RBAC模型3.安全机制(下一章)【基于角色的访问控制】：组：一组用户的集合角色：一组用户的集合+ 一组操作权限的集合<RBAC（基于角色的访问控制）模型>六类访问支持策略|-标识与鉴别 用来标明用户身份、确保用户的惟一性和可辨认性的标志。一般用用户名|和UID标明一个

40、系统用户。用特定信息对用户身份、设备和其他实体的真|实性进行确认，用于鉴别的信息是非公开的和难以仿造的。|-可记账性要求任何影响系统安全性的行为都被跟踪和记录在案，安全系统拥有把用户标|识与它被跟踪和记录的行为联系起来的能力。|-确切保证 系统事先制定的安全策略能得到正确执行并且安全系统能正确可靠地实施安|全策略的意图。|-连续保护安全系统必须连续不断地保护系统免遭篡改和非授权改变|-客体重用存储介质作为系统资源被动态再分配给新主体时，必须确保其中不能包含任何|客体残留信息|-隐蔽信道处理【TCB】可信计算基。计算机系统内安全保护装置的总体，包括硬件、固件、可信软件和负责执行安全策略的管理员的

41、组合体。它建立了一个基本的保护环境并提供一个可信计算机系统所要求的附加用户服务。【Symbian操作系统的安全体系结构】Symbian OS 将UI与引擎和服务分离，从而允许被授权人（像Nokia）为手机开发它们自己的UI。Symbian的平台安全性主要基于以下目标:保护移动终端的完整性保证用户数据的隐秘性控制对敏感性资源的访问Symbian操作系统安全体系结构的核心思想是控制进程的行为进程是保护的基本单元，也是可信的基本单元内核安全性涉及3个基本元素1可信计算单元>>可信计算基(不受限制地访问设备资源，是整个操作系统完全信赖的部分，也是其余部分的基础。)>>可信计算环

42、境(局限于访问部分的设备资源)>>应用程序(不能直接访问资源，只能通过可信计算环境才能实现对设备资源的操作。)Symbian vs. Linux区别：中间可信计算环境层2能力模型(能力是指访问敏感性系统资源的权限标志)>>客户机/服务器模型客户机/服务器模式是一个进程通过接口调用另一个空间上的可执行代码的一种方式，另外一种是以动态链接库的方式。对于服务程序而言，用能力来区分和限制各个服务器可以访问哪些设备资源；对于客户程序而言，同样根据能力来限定它们可以使用哪些服务器提供的服务来访问系统资源。>>Symbian操作系统中内存保护的基本单元是进程>>

43、;内核负责维护所有进程的能力列表3数据锁定(目标其实是防止对文件系统非法的写操作)>>第l层次，应用程序没有权限访问系统目录，除非有很高的能力；>>第2层次，每个进程都创建一个属于自己的安全目录，可以存放敏感性数据。其它应用程序是无法访问到的。十 操作系统安全之二 基于活动目录的域安全机制Windows的安全组件Windows安全机制：AD、PKI、Kerberos V5、EFS和IPSec域，工作组，域控制器目录和目录服务活动目录OU域中资源命名的方式【Windows安全机制】|-活动目录服务 使用目录服务来实现整个网络的管理结构，包括网络结构、安全认证、资源集中管理

44、和资源共享等|-认证服务 Kerberos v5 作为网络用户身份认证的主要方法|-PKI支持 公钥基础设施|-加密文件系统 EFS 基于公钥策略 加密和解密过程对应用程序和用户而言完全透明。即EFS用户如果是加密者本人，系统会在用户访问这些文件和文件夹时将其自动解密，用户完全不用参与。|-IPSec协议IPSec提供了认证、加密、数据完整性和TCP/IP数据的过滤功能。IP 安全性协议支持在网络层一级的验证、数据完整性和加密。【工作组】 工作组是一个由许多在同一物理地点、而且被相同的局域网连接起来的用户组成的小组 工作组属于分散管理、适合小型网络等等 由管理员定义的计算机、用户和组对象的集合

45、。 这些对象共享公用目录数据库、安全策略以及与其他域之间的安全关系默认情况下计算机安装完操作系统后隶属于工作组。【活动目录】用户账号、计算机账号和安全策略被存储在域控制器上一个名为Active Directory的数据库中AD架构是一个关于物体的有层次的布置的信息，每个对象包含实体和属性。活动目录中存储对象和属性Schema（架构）:架构用来定义AD中的对象（classes）和属性（attributes）。活动目录就其本质来讲，是一种采用LDAP（轻量级目录访问协议）的目录服务活动目录包括两个方面 1.目录 2.目录相关的服务【目录服务】目录服务的功能:1.维护目录信息2.查询机制3.数据复制

46、 如果网络中有多个域控制器，活动目录提供了通过网络分发目录的复制服务4.全局编目 对所管理的资源信息进行全局索引5.合理组织信息结构 对管理的资源对象及这些对象的属性、名称的格式等以一种合理的结构进行组织【活动目录的逻辑结构】活动目录的逻辑结构:域（Domains） 树（Trees） 森林（Forests） 组织单元（OU） 对象活动目录的对象:对象代表网络资源 属性存储对象的信息<域>就是共享用户账号、计算机账号和安全策略的计算机集合。>>域是一个安全边界(域管理员只能在本域中执行管理操作，除非他被明确地赋予其他域管理员身份)>>一个域是一个复制单元(域控

47、制器包含域中信息的完整集合，并且参与域信息的复制)<域树>根域下面可以建立多层子域，域和子域构建成域树.这些域共享相同的架构和配置信息.这些域有着邻接的名字空间<森林>域森林是不共享连续名空间的一组树,每个树有自己的根域，各个根域有信任关系<域控制器DC>安装有活动目录的计算机称为域控制器>>域控制器存储着目录数据并管理用户域的交互关系（用户登陆、身份验证和目录搜索）>>一个域中可有一个或多个域控制器，各域控制器间可以相互复制活动目录-各个域控制器维护目录域分区一个可写副本，对目录进行更新时，该更新被复制到域的所有域控制器中。【组织单

48、元OU】组织单元是用户、组、计算机及其它对象（或其它组织单元）在活动目录中的逻辑管理单位。用来委派对用户、组及资源集合的管理权限。>>控制用户/组对资源的访问>>建立/应用组策略对象>>实现管理委派>>组织具有公共属性的对象，如打印机【命名方法】<命名空间>把名字空间理解为任何给定名字的解析边界，这个边界就是指这个名字所能提供或关联、映射的所有信息范围。<完全标识名>确定了此对象所在的域和到达此对象的完全路径<相对标识名RDN>相对标识名是完全标识名中对象属性的一部分<用户主名UPN> UPN采用用

49、户的登录名和用户对象所在域的DNS名组成eg：！UPN应保证在森林中唯一<NETBIOS名>十一 操作系统安全之三 操作系统安全评估标准介绍TCSEC通用准则CC及CC的几个概念：TOE，PP，ST，SFR，SAR，EAL我国的计算机系统安全保护能力等级划分【TCSEC】美国可信计算机系统评价标准 橘皮书 按照处理信息的等级和应采用的相应措施分级|-D 无保护级|-C 自主保护级 -|-C1 自主安全保护级 |-C2 控制访问保护级 可作为最低军用安全级别|-B1 标记安全保护|-B2 结构化保护 隐蔽信道分析能力，抗渗透能力|-B3 安全域 满足访问监控器|-A1 验证设计【通用

50、准则CC】 >>定义了评价信息技术产品和系统安全性的基本准则>>提出了目前国际上公认的表述信息技术安全性的结构即把安全要求分为：Ø 规范产品和系统安全行为的功能要求Ø 解决如何正确有效地实施这些功能的保证要求【几个概念】TOE(Target of Evaluation)评估对象PP (Protection Profile) 安全轮廓 (ST描述一个具体TOE，PP描述一TOE类型)ST(Security Target) 安全目标 是一份安全要求与概要设计说明书SFR(Security Functional Requirements)安全功能要求 详细

51、说明产品提供的个别安全功能SAR(Security Assurance Requirements)安全保证要求 描述了研发和评估的过程中鉴定产品达到声明的安全目标的措施。EAL（Evaluation Assurance Level）评估保证级 描述了评估的深度的严密程度评估保证级EALEAL1：功能测试EAL2：结构测试EAL3：系统测试和检查EAL4：系统设计、测试和复查EAL5：半形式化设计和测试EAL6：半形式化验证的设计和测试EAL7：形式化验证的设计和测试【计算机信息系统安全保护等级划分准则】17859-参考了美国的TCSEC和TNI18336-CC17859：用户自主保护级系统审计

52、保护级安全标记保护级结构化保护级访问验证保护级十二 操作系统安全之四Android安全概述基本概念:Android的Sandbox机制,Android的组件基本原理:Android的体系架构,Android的安全机制,Android 的权限分类【体系架构】|-第4层 应用程序 |所有应用程序都是使用JAVA编写的|-第3层 应用程序框架|开发应用程序使用的基础组件，相当于应用程序调用的API|常用基本框架组件：（图1） |-第2层 本地类库及Java运行环境|一系列的C/C+库，应用程序的运行空间，以及一个类似于Java虚拟机的Dalvik虚拟机，|所有应用程序都是在虚拟机中运行。|每个Android应用程序都在自己的进程中运行，拥有一个独立的Dalvik虚拟机实例|虚拟机是基于寄存器的，虚拟机依赖于Linux内核的一些功能|-第1层 Linux内核及驱动即：操作系统、中间件、应用程序。特性：一个应用程序可以使用其它应用程序的组件，为此Android系统必须能够在其它应用程序有请求的时候启动一个应用程序进程并实例化部分Java对象。运行在Android上的应用程序没有应用程