第七章：信息系统安全工程

知识点1、访问控制

【考法分析】

本知识点主要是对访问控制相关内容的考查。

【要点分析】

1．基于角色的访问控制设计，其基本思想是，对系统操作的各种权限不是直接授予具体的用户，而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限，以简化用户的权限管理，减少系统的开销。

2．Kerberos协议：在一个开放的分布式网络环境中，用户通过工作站访问服务器上提供的服务。服务器应该能够限制非授权用户的访问并能认证对服务的请求。工作站不能够被网络服务所信任其能够正确地认定用户，即工作站存在三种威胁：一个工作站上一个用户可能冒充另一个用户操作；一个用户可能改变一个工作站的网络地址，从而冒充另一台工作站工作；一个用户可能窃听他人的信息交换，并回放攻击获得对一个服务器的访问权或中断服务器的运行。上述问题可以归结为一个非授权用户能够获得其无权访问的服务或数据。Kerberos是标准网络身份认证协议，旨在给计算机网络提供“身份认证”。它是基于信任第三方，如同一个经纪人集中地进行用户认证和发放电子身份标识。

3．Kerberos系统应该满足的要求：① 安全；② 可靠；③ 透明；④ 可伸缩。

4．Kerberos设计思路及问题：使用一个（或一组）独立的认证服务器（Authentication Server，AS），来为网络中的用户（C）提供身份认证服务；认证服务器（AS），用户口令由AS保存在数据库中；AS与每个服务器（V）共享一个保密密钥（Kv）（已被安全分发）。上述的协议问题就是：口令明文传送会被窃听。票据的有效性（多次使用）。访问多个服务器则需多次申请票据（即口令多次使用）。解决上述问题，Kerberos协议使用票据重用和引入票据许可服务器（Tickert Granting Server，TGS）。

5．口令猜测技术包括：① brute force（暴力攻击）；② 字符频率分析；③ 彩虹表；④Dictioingary Attack（字典攻击）；⑤ 基于概率的口令猜测；⑥ JTR：John the Ripper是目前最为流行的口令破解工具之一，是开源软件，可以在其网站上免费下载；⑦HASHCAT：HashCat是世界上最快的基于CPU的口令破解工具。

6．用户身份认证是信息系统的第一道安全防线，用户名—口令机制则是身份认证中最常用的方法。但是口令机制具有易懂、易用和易于实现的特点，这使得口令机制在今后一段时间依然是用户身份认证的一个重要方法。

【备知识点拨】

了解并理解相关知识点内容。

知识点2、信息系统安全的需求分析与设计准则

【考法分析】

本知识点主要是对信息系统安全的需求分析及设计准则相关内容的考查。

【要点分析】

1．信息系统安全需求分析：设计源于需求，需求源于目标。

2．安全需求分类方法中，安全目标的关键就是实现安全的三大要素：机密性、完整性、可用性。

3．针对每一个安全属性，作为一个仅供参考的指导原则，潜在威胁影响可以进行适当地定级，并简单分为三个级别：① 低（Low，L）；② 中（Moderate，M）；③ 高（High，H）。

4．一般而言，大型网络信息系统面临着两方面的安全挑战：① 组织内的信息技术环境威胁；② 信息系统的系统安全管理问题。

5．一般而言，信息安全的理论研究设计一下基本属性：机密性、完整性、可用性、真实性、可审计性、抗抵赖性、可靠性等。安全需求的目标就要确保信息系统有足够的保护措施以达到这些基本属性，所以这些基本属性也称为安全目标。

6．组织体系结构（Enterprise Architecture，EA），也可译为“组织架构”或者“企业架构”。是用于帮助组织理解其自身的构造及运作方式的一种管理工具。通过EA的管理框架，组织可以合理有序地把安全考虑加入信息系统开发生命周期（System Development Life-Cycle，SDLC）里，在整个SDLC过程中进行组织内部信息系统的安全目标分析、安全风险评估、安全保护等级确认、安全保护措施选择、安全区域职责划分、安全事故处理、安全责任追究时，可以提供更全面、切实的参考。

7．安全信息系统的设计过程遵循信息系统开发生命周期（Information System Development Life Cycle,SDLC）进行。除此之外，还特别在设计过程中引入安全考虑，“信息系统安全开发生命周期”（Information Security Considerations of SDLC，TSC of SDLC）。

8．信息系统安全体系（Information Systems Security Architecture ，ISSA），包括信息系统安全技术体系、安全管理体系、安全标准体系和安全法律法规。

9．首先是安全法律法规与政策。解决系统安全第一步，要弄清楚系统可以提供什么样的服务，即业务需求。在设计安全系统之前，相关部门可对这个系统进行安全评估。

10．从技术角度而言，通用的安全技术体系包括以下模块：① 信息系统硬件安全；② 操作系统安全；③ 密码算法技术；④ 安全协议技术；⑤ 访问控制；⑥ 安全传输技术；⑦ 应用程序安全；⑧ 身份识别与权限管理技术；⑨ 入侵检测技术和防火墙技术。

同时，对于不同的信息系统，根据其应用场景与业务的不同，会对一部分的安全技术更为关注。

11．信息系统的安全管理体系，主要包括：① 安全目标确定；② 安全需求获取与分类；③ 风险分析与评估；④ 风险管理与控制；⑤ 安全计划制定；⑥ 安全策略与机制实现；⑦ 安全措施实施。

12．目前我国现有的信息系统安全标准体系可分为基础类、应用类、产品类。

13．《信息安全开发生命周期中的安全考虑指南》介绍了把安全纳入信息系统开发生命周期的所有阶段的框架：安全依据 → 初始阶段 → 设计阶段 → 实施阶段 → 运维阶段 → 最终处理阶段。

14．安全考法包括两部分内容，分别是控制开发和安全编码。安全控制是为了应对风险。

15．一般的信息系统的实际需求包括安全、方便、易操作、易维护和控制等，信息系统也不例外。在设计信息系统这类大型分布式系统时，通常会尽量避免过度使用基于密码的保护措施，因为使用密码难免导致数据处理速度变慢。

16．封闭式系统安全实现途径的特征主要有两点：一是由多个防火墙的组合来创建一个封闭的系统；二是使用入侵检测系统对封闭系统进行适时的威胁监视。

17．开放式系统的绝对安全保护很难实现。系统最容易出现的是软件漏洞，这往往也是最难进行检测的。从以往的经验看，攻击者一般都不会花时间去破解密码、攻击防火墙，而是找软件漏洞。软件漏洞有很多是编程者为了方便测试而留下的后门，但最后却没有删掉。操作系统的软件漏洞比较明显。

18．一般来说，需要综合应用密码保护、网络安全、操作系统保护以及编程语言系统保护这4种类型才能实现整个系统的安全。

19．要实现系统的安全，也不能仅从技术角度考虑，而是需要寻找一个平衡点，根据要保护的数据信息的价值来决定其平衡点，这个平衡包括安全、速度和成本等多方面的均衡。要寻找这一平衡点，要从以下3个方面进行综合考虑：① 风险分析；② 安全策略；③ 安全架构。

20．一般可以从以下6个方面来考虑企业信息系统安全：① 物理安全；② 网络安全；③主机安全；④ 数据安全；⑤ 独立评估；⑥ 安全应急机制。

【备知识点拨】

了解并理解相关知识点内容。

知识点3、信息系统安全产品的配置与使用

【考法分析】

本知识点主要是对信息系统安全产品的配置与使用的考查。

【要点分析】

1．启用Windows自带防火墙。进入“控制面板 → 系统和安全 → Windows防火墙”。

2．在linux系统中，用户账号是用户的身份标志，它由用户名和用户口令组成。系统将用户名存放在/etc/passwd文件中，而将口令以加密的形式存放在/etc/shadow文件中。

3． /etc/passwd文件介绍：

一般/etc/passwd中一行记录对应着一个用户，每行记录又被冒号(:)分隔为7个字段，其格式和具体含义如下：

用户名:口令:用户标识号:组标识号:注释性描述:主目录:登录Shell；

用户名(login_name)：是代表用户账号的字符串。通常长度不超过8个字符，并且由大小写字母和/或数字组成。登录名中不能有冒号(:)，因为冒号在这里是分隔符。为了兼容起见，登录名中最好不要包含点字符(.)，并且不使用连字符(-)和加号(+)打头。

口令(passwd)：一些系统中，存放着加密后的用户口令字。虽然这个字段存放的只是用户口令的加密串，不是明文，但是由于/etc/passwd文件对所有用户都可读，所以这仍是一个安全隐患。因此，现在许多Linux系统（如SVR4）都使用了shadow技术，把真正的加密后的用户口令字存放到/etc/shadow文件中，而在/etc/passwd文件的口令字段中只存放一个特殊的字符，例如“x”或者“*”。

用户标识号(UID)：是一个整数，系统内部用它来标识用户。一般情况下它与用户名是一一对应的。如果几个用户名对应的用户标识号是一样的，系统内部将把它们视为同一个用户，但是它们可以有不同的口令、不同的主目录以及不同的登录Shell等。取值范围是0-65535。0是超级用户root的标识号，1-99由系统保留，作为管理账号，普通用户的标识号从100开始。在Linux系统中，这个界限是500。

组标识号(GID)：字段记录的是用户所属的用户组。它对应着/etc/group文件中的一条记录。

注释性描述(users)：字段记录着用户的一些个人情况，例如用户的真实姓名、电话、地址等，这个字段并没有什么实际的用途。在不同的Linux系统中，这个字段的格式并没有统一。在许多Linux系统中，这个字段存放的是一段任意的注释性描述文字，用做finger命令的输出。

主目录(home_directory)：也就是用户的起始工作目录，它是用户在登录到系统之后所处的目录。在大多数系统中，各用户的主目录都被组织在同一个特定的目录下，而用户主目录的名称就是该用户的登录名。各用户对自己的主目录有读、写、执行（搜索）权限，其他用户对此目录的访问权限则根据具体情况设置。

登录Shell(Shell)：用户登录后，要启动一个进程，负责将用户的操作传给内核，这个进程是用户登录到系统后运行的命令解释器或某个特定的程序，即Shell。Shell是用户与Linux系统之间的接口。Linux的Shell有许多种，每种都有不同的特点。常用的有sh(BourneShell),csh(CShell),ksh(KornShell),tcsh(TENEX/TOPS-20typeCShell),bash(BourneAgainShell)等。系统管理员可以根据系统情况和用户习惯为用户指定某个Shell。如果不指定Shell，那么系统使用sh为默认的登录Shell，即这个字段的值为/bin/sh。

4．/etc/shadow文件介绍：

/etc/shadow文件格式与/etc/passwd文件格式类似，同样由若干个字段组成，字段之间用“:”隔开。

文件中字段主要含义为：登录名:加密口令:最后一次修改时间:最小时间间隔:最大时间间隔:警告时间:不活动时间:失效时间:标志 ；

“登录名”是与/etc/passwd文件中的登录名相一致的用户账号；

“口令”字段存放的是加密后的用户口令字：如果为空，则对应用户没有口令，登录时不需要口令；星号代表帐号被锁定；双叹号表示这个密码已经过期了；$6$开头的，表明是用SHA-512加密；$1$表明是用MD5加密；$2$ 是用Blowfish加密；$5$ 是用 SHA-256加密；

“最后一次修改时间”表示的是从某个时刻起，到用户最后一次修改口令时的天数。时间起点对不同的系统可能不一样。例如在SCOLinux中，这个时间起点是1970年1月1日；

“最小时间间隔”指的是两次修改口令之间所需的最小天数；

“最大时间间隔”指的是口令保持有效的最大天数；

“警告时间”字段表示的是从系统开始警告用户到用户密码正式失效之间的天数；

“不活动时间”表示的是用户没有登录活动但账号仍能保持有效的最大天数；

“失效时间”字段给出的是一个绝对的天数，如果使用了这个字段，那么就给出相应账号的生存期。期满后，该账号就不再是一个合法的账号，也就不能再用来登录了。

5．用户标识号(UID)是一个整数，系统内部用它来标识用户。其取值范围是0-65535。0是超级用户root的标识号，1-99由系统保留，作为管理账号，普通用户的标识号从100开始。在Linux系统中，这个界限是500。

6．MySQL具有的高性能、高可靠性、易用性及开源免费的特点。

【备知识点拨】

了解并理解相关知识点内容。

知识点4、信息系统安全测评

【考法分析】

本知识点主要是对信息系统安全测评相关内容的考查。

【要点分析】

1．信息系统安全是指对信息系统及其处理的信息采取适当的安全保障措施，防止未授权的访问、使用、泄露、中断、修改、破坏，从而确保信息系统及其信息的机密性、完整性和可用性，保证信息系统功能的正确实现。

2．信息系统安全测评是依据信息安全测评的要求，在风险评估的基础上，对在信息系统生命周期中采取的技术类、管理类、过程类和人员类的安全保证措施进行测评和检查。

3．信息系统是由信息技术系统以及包含了人、管理、环境的运行环境组成。对信息系统的安全保障的评估，首先需要根据信息系统运行环境及相关的信息系统安全保障需求进行描述，信息系统安全测评准则提供了对安全保障需求描述的公共语音、结构和方法，这就是信息系统安全保障要求（ISPP）；然后就可以依据信息安全保障要求（ISPP）编制满足用户需求的信息系统安全保障方案（ISST）对信息系统安全保障要求（ISPP）的负荷情况进行评估，并在整个信息系统生命周期中对信息系统安全保障方案的执行情况和执行能力进行评估，最终确定组织机构的信息系统安全保障能力的级别。

4．信息系统安全测评的基本原则：① 标准型原则；② 关键业务原则；③ 可控性原则。

5．根据机密性、完整性和可用性特征以及信息和信息系统价值，可以将信息系统划分为5类；一般将信息系统的威胁分为7级。

6．模糊测试（Fuzzing）是一种黑盒测试技术，它将大量的畸形数据输入到目标程序中，通过监测程序的异常来发现被测试程序中可能存在安全漏洞。模糊测试的思想相对较简单直观，易于实现自动化，并且运用其发掘软件安全漏洞，从漏洞发现到重现和定位漏洞比较容易，不存在漏洞误报，目前正广泛应用于对文件格式、网络协议、Web程序、环境变量和COM对象等的安全测试中。模糊测试技术是一种发掘安全漏洞的有效方法。

7．模糊测试是一种基于去屑注入的自动化测试技术，没有具体的执行规则，旨在预测软件中可能存在的错误以及什么样的输入疯狗出发错误。与基于源代码的白盒测试相比，模糊测试的测试对象是二进制目标文件。

8．完整的模糊测试都要经历以下几个基本的阶段：识别目标 → 识别输入 → 生产模糊测试数据 → 执行模糊测试数据 → 监视异常 → 确定可利用性。

9．模糊器划分为随机模糊器、基于变异的模糊器和基于生成技术的模糊器。

10．为了避免产生大量的无效的测试数据，基于变异的模糊器使用样本文件来得到畸形数据集合。

11．基于生成技术的模糊器是当前应用范围最广的一类模糊器。

12．目前模糊测试对象主要有以下五类：① 环境变量和参数；② Web应用程序和服务器；③ 文件格式；④ 网络协议；⑤ Web浏览器。

13．模糊测试的优点：第一，模糊测试不需要程序的源代码即可发现问题。第二，模糊测试不受限于被测系统的内部实现细节和复杂程度。第三，使用模糊测试的可复用性较好，一个测试用例可适用于多种产品。

14．模糊测试有两个关键的操作：产生畸形数据和观察应用程序是否出现异常。但进行两个操作时存在如下问题：首先，目前理论上还未出现能成熟、优化生成畸形数据的方式。其次，需要有一个监控器观察应用程序是否出现异常。

15．代码审计工具帮助软件开发团队快速查找、定位、修复和管理软件代码安全问题。

16．静态代码★分析是软件缺陷检测的重要方法，是指在不执行程序的情况下，以程序源代码、可执行文件序列或高级语言中的中间代码等为对象，通过预先定义属性规约，自动地检查目标代码对属性规约的违反情况。

17．安全代码审计的第一步就是对每一个源代码文件的所有者分配权限、相关所有文件等建立一个数据库；下一步就是明确评审优先级。

18．从方法论的角度出发，宏观来看代码审计的主要方法可分为自顶向下、自底向上和两者结合的三种方法。

19．代码静态分析采用的方法★主要有模式匹配、定理证明、模型检测。

20．模式匹配主要步骤是依据统计及经验，定义和抽象缺陷及错误特征，对目标代码采用行走检查、模式匹配等方法过滤已知缺陷。

21．定理证明是代码形式化验证的重要技术，也属于静态代码分析的范畴。定理证明技术是将软件系统和性质都用逻辑方法来规约，通过基于公里和推理规则组成的形式系统，以定理证明的方法来证明软件系统是否具备所期望的关键性质。

22．模型检测是今年来研究的热点。该技术是通过搜索待验证软件系统模型的有穷状态空间来检验系统的行为是否具备预期性质的一种有穷状态系统自动验证技术。

23．信息系统安全评测由三个阶段组成：① 安全评估阶段；② 安全认证阶段；③ 持续监督阶段。

24．信息系统安全评估阶段按工作内容又划分几个子阶段：静态评估阶段、现场检测阶段、综合安全评估阶段。

25．在静态评估阶段信息系统资产所有者提出申请，与系统评估方签署协议，所有者提交文档，所有者为主提出评估对象的保护轮廓。

26．在现场检测阶段，评估项目组前往信息系统运行现场进行实地检测。

27．在综合安全评估阶段，现场检测工作结束后，项目组对检测数据和结果进行分析，完成《信息系统安全现场核查报告》及《信息系统安全测试报告》。

28．通过安全评估的信息系统将进入安全认证阶段，首先信息系统需要试运行6个月，评估机构将派出工作人员进行复审，并向认证委员会出示复审报告。认证委员会依据前面各个阶段报告做出认证决定，认证机构将对通过认证的信息系统签发认证证书。

29．认证监督阶段的三方面工作：① 配置管理和控制；② 对安全保证措施的监督检查；③ 认证监督决定。

【备知识点拨】

了解并理解相关知识点内容。

点击进入>>>希赛软考题库 信息安全工程师每日一练

想要了解更多软考考试资讯，可以关注希赛网软考频道。