计算机信息安全考试内容整理.docVIP

PAGE

PAGE12

第一章

1、信息安全的特征：

必威体育官网网址性：信息和资源的隐秘程度；要求在敏感的领域比如商业、军事等领域使用时使信息必威体育官网网址。

完整性：涉及到数据或资源的确定性；防止对数据进行不合理和无权限的修改；包括：数据完整性(信息的内容)、完整性起源(数据的来源，经常叫做验证)。

可用性：可用性就是使用信息和得到资源的能力；可用性是可靠性的一个重要方面。

不可否认性

可控性

2、信息安全的基本原则：

最小特权原则

最小特权原则是指一个对象(或实体)应该只拥有为执行其分配的任务所必要的最小特权，并绝对不超越此限。

最小特权原则是最基本的网络信息安全原则。网络管理员在为用户分配初始权限时，通常只赋予其相应服务的最小权限—“只读”，然后再根据实际需求以及对用户的了解程度提升其权限。因为对于大多数用户来讲，不可能需要获得系统中的所有服务，也没有必要去修改系统中的文件。

实际上，安全是靠对信息系统中主体和客体的限制来实现的，限制越严格，安全越容易保证。然而，单纯通过限制来确保安全是没有任何意义的，在工作中不能因为最小特权原则而影响正常的网络服务。

纵深防御原则

纵深防御是另一个重要的原则，是指不能只依靠单一的安全机制，而应该通过多种机制互相支撑以实现安全的目的。如果系统中只存在惟一的安全机制，该机制一旦失败，系统的安全就无从谈起，也可能连“亡羊补牢”的机会也会失去。

防火墙是一种好的安全机制，可以保护内部网络免受外部的侵袭。但是防火墙只是安全策略的一部分，不能把所有的安全仅寄托在一个防火墙身上。因为防火墙无法防止绕过防火墙的攻击，也不能防范冒充和欺骗等攻击，更不能防范来自内部的攻击。相反，如果除了防火墙以外还存在备份、代理、认证、入侵检测技术等多层防御措施，那么安全风险就会大大降低。

阻塞点原则

所谓阻塞点就是设置一个窄道，目的是强迫攻击者使用这个窄道，以对其进行监视和控制。我们所熟悉的防火墙就是阻塞点原则的典型代表。防火墙的位置处于内部网和外部网的边界处，它监视和控制着进出网络信息系统的惟一通道，任何不良的信息都将被它过滤掉。

但要注意的是，即使有了阻塞点，攻击者还是可以采用其他合法的方法进行攻击的，这时阻塞点就没有多大价值了。正如“马其诺防线”无法防范来自非正面的攻击一样，如果管理员为了自己方便在防火墙上私设“后门”，或者允许个别部门拨号上网，那么攻击者也会有机会绕过阻塞点。这时防火墙就形同虚设，失去它的意义了。

最薄弱链接原则

最薄弱链接原则是指链的强度取决于它的最薄弱链接，墙的坚固程度取决于它的最薄弱处，即网络信息安全中的“短板原理”。系统之所以能够被攻击，正是由于其本身存在着某种缺陷或漏洞，如果对自己的系统不了解，注意不到这些最薄弱“链接”处，并无法消除它们，那么安全也就无从保证。

然而，最薄弱链接还会经常存在的，解决方法是：

（1）使最薄弱链接处尽量坚固并在发生危险前保持强度的均衡。

（2）平等对待安全的各个方面而不能有偏重。如不能只防外部入侵，而忽视内部攻击。

（3）注意安全产品的升级，补丁的及时更新。

失效保护状态原则

失效保护原则是指当系统失效以后应该自动处于安全保护状态，能够拒绝入侵者的入侵。网络中的许多应用都是以保护失效原则设计的。如，若包过滤路由器出现故障，那么将会禁止任何数据包进入；如果代理服务器坏了，那么将不提供任何服务。

在安全决策和安全策略中有两个状态可供选择：

l???默认拒绝状态：只指明所允许的事情，而其它一切皆禁止。这种方法是当失败时只允许执行预先决定的那些应用，除此以外的所有应用都被禁止。默认拒绝从安全的角度看是能奏效的，大部分人都愿意选择它。

l???默认许可状态：只指明所禁止的事情，而允许其它一切事情。这种方法是预先决定哪些应用是要禁止的，失败时除这些禁止的不能执行外，其它的全部都是允许的，这种方法用户是欢迎的。

普遍参与原则

为了使安全机制更有效，应该要求包括官员、管理者、普通职工和用户等每一成员都能有意识地普遍参与。因为如果某个成员轻易地从安全保护机制中退出，那么入侵者就有机会找到入侵的突破口，先侵袭内部豁免的系统，然后再以其为跳板进行内部攻击。况且，黑客攻击的时间、地点和方式等都是不确定的，即使配备入侵检测系统，管理员也不可能及时察觉到安全事件的发生，系统的异常和变化如果没有“全民皆兵”意识是不可能被及时发现和处理。

安全问题的本质是人的问题，除了有一个好的安全策略以外，更要重视加强对全体成员进行安全教育，使每个成员都能自觉地维护安全是一个事半功倍的好策略。

防御多样化原则

纵深防御是信息系统安全的原则之一。但假如使用n个完全相同的防火墙来实现该原则结果会如何呢？一旦第一个防火墙被突破，其它