本文详细介绍了信息安全领域的关键技术,如访问控制矩阵、访问控制表、能力表和授权关系表的实现,以及抗攻击策略如抵御拒绝服务攻击和防范ARP/DNS/IP欺骗。同时涵盖了计算机信息系统安全保护等级划分和风险评估方法,包括威胁、资产和安全措施的评估模型。
信息安全
信息安全技术
访问控制的实现技术
访问控制矩阵
访问控制矩阵(Access Control Matrix,ACM),是通过矩阵形式表示访问控制规则和授权用户权限的方法。主体作为行,客体作为列。
| file1 | file2 | file3 | |
|---|---|---|---|
| user1 | rw | x | |
| user2 | r | rwx | rw |
| user3 | x | r |
矩阵中的每一个元素表示一组访问方式,是若干访问方式的集合。
访问控制矩阵的实现很易于理解,但是查找和实现起来有一定的难度,而且,如果用户和文件系统要管理的文件很多,那么控制矩阵将会成几何级数增长。因为在大型系统中访问矩阵很大而且其中会有很多空值,所以目前使用的实现技术都不是保存整个访问矩阵,而是基于访问矩阵的行或者列来保存信息。
访问控制表
访问控制表(Access Control List,ACL)。目前最流行、使用最多的访问控制实现技术。每个客体有一个访问控制表,是系统中每一个有权访问这个客体的主体的信息。这种实现技术实际上是按列保存访问矩阵。
能力表
能力表(Capabilities)。对应于访问控制表,这种实现技术实际上是按行保存访问矩阵。每个主体有一个能力表(Cap-ability Lists),是该主体对系统中每一个客体的访问权限信息。使用能力表实现的访问控制系统可以很方便地查询某一个主体的所有访问权限。
授权关系表
访问矩阵也有既不对应于行也不对应于列的实现技术,那就是对应访问矩阵中每一个非空元素的实现技术——授权关系表 (Authorization Relations)。 授权关系表的每一行(或者说元组)就是访问矩阵中的一个非空元素,是某一个主体对应于某一个客体的访问权限信息。如果授权关系表按主体排序,查询时就可以得到能力表的效率;如果按客体排序,查询时就可以得到访问控制表的效率。安全数据库系统通常用授权关系表来实现其访问控制安全机制。
抗攻击技术
为对抗攻击者的攻击,密钥生成需要考虑3个方面的因素:增大密钥空间、选择强钥(复杂的)、密钥的随机性(使用随机数)。
拒绝服务攻击
拒绝服务攻击DoS(Denial of Service)有许多种,网络的内外部用户都可以发动这种攻击。内部用户可以通过长时间占用系统的内存、CPU处理时间使其他用户不能及时得到这些资源,而引起拒绝服务攻击;外部黑客也可以通过占用网络连接使其他用户得不到网络服务。
外部用户针对网络连接发动拒绝服务攻击主要有几种模式:
消耗资源、破坏或更改配置信息、物理破坏或改变网络部件、利用服务程序中的处理错误使服务失效。
分布式拒绝服务攻击
分布式拒绝服务DDoS攻击是传统DoS攻击的发展,攻击者首先侵入并控制一些计算机,然后控制这些计算机同时向一个特定的目标发起拒绝服务攻击。克服了传统DOS受网络资源的限制和隐蔽性两大缺点。
DDoS引入了分布式攻击和 Client/Server 结构,使DoS的威力激增。
同时, DDoS囊括了已经出现的各种重要的 DoS攻击方法,比DoS的危害性更大。
现有的 DDoS 工具一般采用三级结构,如上图所示。
其中 Client(客户端)运行在攻击者的主机上,用来发起和控制DDoS攻击;
Handler (主控端)运行在已被攻击者侵入并获得控制的主机上,用来控制代理端;
Agent(代理端)运行在已被攻击者侵入并获得控制的主机上,从主控端接收命令,负责对目标实施实际的攻击。
防御方式
- 加强对数据包的特征识别,攻击者发送的数据包中是有一些特征字符串。通过搜寻这些特征字符串,就可以确定攻击服务器和攻击者的位置。
- 设置防火墙监视本地主机端口的使用情况。如果发现端口处于监听状态,则系统很可能受到攻击。
- 对通信数据量进行统计也可获得有关攻击系统的位置和数量信息。在攻击时,攻击数据的来源地址会发出超出正常极限的数据量。
- 尽可能的
最低0.47元/天 解锁文章
扫一扫
841
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
