【系统架构】第四章-信息安全技术基础知识

软考-系统架构设计师知识点提炼-系统架构设计师教程（第2版）

一、信息安全5要素：机密性、完整性、可用性、可控性、可审查性

二、信息安全范围包括：设备安全、数据安全、内容安全、行为安全

三、信息存储安全：信息使用的安全（如用户的标识与验证、用户存取权限限制、安全问题跟踪等）、系统安全监控、计算机病毒防治、数据的加密和防治非法的攻击等 1、信息使用的安全

2、系统安全监控 3、计算机病毒防治

四、网络安全 1、网络安全漏洞（物理安全性、软件安全漏洞、不兼容使用安全漏洞、选择合适的安全哲理） 2、网络安全威胁（非授权访问、信息泄露或丢失、破坏数据完整性、拒绝服务攻击） 3、安全措施的目标（访问控制、认证、完整性、审计、保密）

框架通常由技术体系、组织机构、管理体系共同构建 1、技术体系涉及：基础安全设备、计算机网络安全、操作系统安全、数据库安全、终端设备安全等 2、组织机构体系：由机构、岗位和人事机构三个模块构成一个体系 3、管理体系：是信息系统安全的灵魂，由法律管理、制度管理和培训管理组成

对称密钥加密算法：加密密钥和解密密钥是相同的，DES、IDEA、AES 非对称密钥加密算法：加密密钥和解密密钥不相同，RSA 公钥加密，私钥解密，可实现保密通信；私钥加密，公钥解密可实现数字签名

公钥加密体制的密钥管理：公开发布、公用目录、公钥证书

访问控制的基本模型：主体、客体、控制策略访问控制的实现技术：访问控制矩阵、访问控制表、能力表、授权关系表

数字签名： A向B发送签名消息P： 1、B可以验证消息P确实来源于A 2、A以后不能否认发送过P 3、B不能编造或改变消息P

一、密钥生成需要考虑的因素：增大密钥空间、选择强钥、密钥的随机性

二、拒绝服务攻击与防御 1、传统拒绝服务攻击的分类：消耗资源、破坏或更改配置信息、物理破坏或改变网络部件、利用服务程序中的处理错误使服务失效

2、分布式拒绝服务攻击DDoS 被DDoS攻击后的现象：

3、拒绝服务攻击的防御方法

4、欺骗攻击与防御

ARP欺骗（固化ARP表、使用ARP服务器、双向绑定、ARP防护软件）
DNS欺骗（被动监听检测、虚假报文探测、交叉检查查询）
IP欺骗（删除UNIX中de/etc/hosts.equiv、$HOME/.rhosts、修改/etc/inetd.conf，使RPC机制无法应用、设置防火墙过滤来自外部而信源地址是内部IP的报文）

5、端口扫描

三、系统漏洞扫描 1、基于网络的漏洞扫描 2、基于主机的漏洞扫描（优点：扫描的漏洞数量多、集中化管理、网络流量负载小）

一、计算机信息系统安全保护等级 1、用户自主保护等级 2、系统审计保护级 3、安全标记保护级 4、结构化保护级 5、访问验证保护级

二、安全风险管理在风险评估实施前，应考虑内容： 1、确定风险评估的范围 2、确定风险评估的目标 3、建立适当的组织结构 4、建立系统性的风险评估方法 5、获得最高管理者对风险评估策划的批准

风险计算过程如下： 1、对信息资产进行识别，并对资产赋值 2、对威胁进行分析，并对威胁发生的可能性赋值 3、识别信息资产的脆弱性，并对弱点的严重程度赋值 4、根据威胁和脆弱性计算安全事件发生的可能性 5、结合信息资产的重要性和发生安全事件的可能性，计算信息资产的风险值

0 人点赞