Web安全笔记整理

前言：web安全是蔡国扬老师教的，感觉老师很有水平，讲课不水，但是对于愚钝的我来说只能算是深入浅出了。上课的时候没瞌睡认真听的状态还是听不懂，可能是刚学所以很多概念太过深奥了吧。正好现在重拾博客，就效仿某位大佬把自己的学习笔记啥的也写到博客中去，一来激励自己坚持写博客进步成长，二来巩固自己课堂上学的。大三真真不想再荒废掉了！

---

1. 信息安全的情况

• CERT/CC
  – Computer Emergency Response Team/Coordination Center (美国计算机紧急事件响应小组协调中心)
• CNCERT/CC
  – CHINA的CERT即中国国家计算机网络应急技术处理协调中心(中国国家互联网应急中心)

2. 信息安全的定义

信息安全指保护信息和信息系统免受未经授权的访问、 使用、披露、破坏、修改、审阅、检查/探测、记录或销毁。一般认为，信息安全主要包括以下五方面的内容：信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。信息安全的根本目的是使内部信息不受外部威胁，因此信息通 常要加密；为保障信息安全，要求有信息源认证和访问控制； 还要排除非法软件驻留和非法操作的可能性。

安全的层次有哪些?

• 物理安全
• 个人安全
• 操作安全
• 通信安全
• 网络安全
• 信息安全

信息安全威胁

• 窃取：非法用户通过数据窃听的手段获得敏感信息。
• 截取：非法用户首先获得信息，再将此信息发送给接收者
• 伪造：将伪造的信息发送给接收者。
• 篡改：非法用户对合法用户之间的通讯信息进行修改，再发送给接收者。
• 拒绝服务攻击：攻击服务系统，造成系统瘫痪，阻止合法用户获得服务。
• 行为否认：合法用户否认已经发生的行为。
• 非授权访问：未经系统授权而使用网络或计算机资源。
• 传播病毒：通过网络传播计算机病毒。

信息安全，计算机安全，信息保险的异同点

• 相似点
  –都是保护信息的机密性、完整性和可用性
• 不同点
  –The approach to the subject
  –The methodologies used
  –The areas of concentration
  （不会翻译，饶了我）

3.信息安全的关键概念

• 信息的价值来源于信息本身具有的特点。
  –可用性，准确性，真实性，机密性，完整性，效用性、占有性

• CIA三要素
  – 20多年来，信息安全一直保持着机密性，完整性和可用性，即CIA三要素，这也是信息安全的核心原则。
  – 保密性

  • 数据机密性：保证机密信息不向未经授权的个人透露。
  • 隐私：确保个人控制或影响可能收集和储存的信息。

  – 完整性

  • 数据完整性：确保信息和程序仅以指定的和授权的方式改变。
  • 系统完整性：确保一个系统以未受损害的方式执行操作。

  – 可用性

  • 确保系统迅速工作，并不会拒绝授权用户的服务。

• 其他
  – 真实性

  • 真实可信，能够被证实和信任的特性；对信息传输、信息或其来源的有效性有信心。

  – 有责任

  • Generates the requirement for actions of an entity to be traced uniquely to that individual to support nonrepudiation, deference, fault isolation, etc. (不会翻译)

信息安全的主要概念

• 确保信息系统的安全和可靠, 包括：
  
  • 真实性：判断信息的来源，能对伪造来源的信息予以鉴别
  • 保密性：保证机密信息不被窃听，或机密信息的真实含义不被 窃听者了解
  • 完整性：保证数据的一致性，防止数据被非法用户篡改
  • 可用性：保证合法用户对信息和资源的使用不会被不正当地拒绝
  • 不可抵赖性：建立有效的责任机制，防止用户否认其行为
  • 可控制性：对信息的传播及内容具有控制能力
  • 可审查性：对出现的网络安全问题提供调查的依据和手段
• 安全事件的影响级别
  
  • 轻度
  • 中度
  • 高度

4.信息资产（asset）

信息资产由两部分组成：

• 信息资产的载体
• 附加价值

信息资产的载体

• 网络资源
• 硬件
• 数据和程序

为什么要保护信息资产？

• 保护其信息价值；
• 保护其价值转移合法性。
  eg. A拿了B的钱存入自己的账号，B的钱转移了，但自己的账号存款并没有增加，故这是一个非法的价值转移。(可用这个例子类比到信息资产价值转移合法性)

5. 挂马(Hang Horse)

所谓的挂马，就是黑客通过各种手段，包括SQL注入，网站敏感文件扫描，服务器漏洞，网站程序0day, 等各种方法获得网站管理员账号，然后登陆网站后台，通过数据库“备份/恢复”或者上传漏洞获得一个webshell。利用获得的webshell修改网站页面的内容，向页面中加入恶意转向代码。也可以直接通过弱口令获得服务器或者网站FTP，然后直接对网站页面直接进行修改。当你访问被加入恶意代码的页面时，你就会自动的访问被转向的地址或者下载木马病毒。——《百度百科》

6.拖库

拖库本来是数据库领域的术语，指从数据库中导出数据。到了黑客攻击泛滥的今天，它被用来指网站遭到入侵后，黑客窃取其数据库。——《百度百科》

7.漏洞(System Hole)

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。——《百度百科》

利用漏洞攻击的三要素

• 出现漏洞
• 被攻击者接触
• 攻击者有能力利用漏洞

安全漏洞产生的可能原因：

• 恶意：在程序编写过程，编程人员为实现不可告人的目的，在
  程序代码的隐蔽处保留后门。
• 能力：系统结构设计和程序实现过程受到设计人员的能力、经
  验和当时安全技术所限制造成的缺陷。
• 硬件：程序设计无法弥补硬件的漏洞，硬件的问题通过软件系
  统呈现。

8.AAA服务器

3A认证，即AAA认证。AAA：分别为Authentication、Authorization、Accounting。认证(Authentication)：验证用户的身份与可使用的网络服务；授权(Authorization)：依据认证结果开放网络服务给用户；计帐(Accounting)：记录用户对各种网络服务的用量，并提供给计费系统。AAA服务器管住了数据库的入口。

9.计算机系统安全

• 系统漏洞
• 操作系统安全
• 数据库安全
• 用户应用程序安全

计算机安全

• 计算机安全包含两重含义
  
  • 系统可靠安全性(或称系统安全性, System Safety)
  • 系统保密安全性(或称系统安全, System Security)
  • 可靠安全性和保密安全性的区别在于是否存在专业人员对系统的恶意侵害、攻击和破坏
• System Safety
  
  • 系统在运行中避免造成不可接受的风险的能力
    –风险如人身伤亡、设备损坏、财产重大损失、环境严重污染等
• System Security
  
  • 系统在受到恶意攻击的情形下依然能够继续正确运行，并确保系统资源在授权范围内能够合法使用的能力

• 计算机安全术语

  • Adversary (Threat Agent, 敌方)
  • Attack (攻击)
  • Countermeasure (对策)
  • Risk (风险)
  • Security Policy (安全策略)
  • System Resources (Asset, 信息资产)
  • Threat (威胁)
    

• 威胁的后果

  • 泄露：威胁机密性；
  • 欺骗：威胁完整性；
  • 毁坏：威胁完整性和可用性；
  • 篡夺：威胁完整性

操作系统安全

• 要素
  
  • Process Isolation and Memory Management (进程隔离和内存管理)
  • User Authorization Management (用户授权管理)
  • Reference Monitor (访问监控器)
  • TCB (Trusted Computing Base 可信计算基)
• 目的：为用户提供一个安全的软件环境来处理信息

数据库系统安全

• 数据库完整性
  
  • 物理上的数据库完整性(预防数据物理损毁) 和逻辑上的数据库完整性(保持数据的结构)
• 元素完整性
  
  • 包含在每个记录中的数据是准确的
• 可审计性
  
  • 能够对数据的访问行为进行追踪
• 访问控制
  
  • 用户只能访问获得授权许可的数据；不同的用户有不同的访问模式，如读或写
• 用户认证
  
  • 确保每个用户被正确的识别，既便于审计追踪，也为了限制对特定的数据进行访问
• 可获取性(可用性)
  
  • 授权用户可以访问数据库以及所有被批准访问的数据

应用程序安全

• 网络安全性
  
  • 防范外部攻击，防止内部保留资源通过网络向外提供服务。传统的确保网络安生性的方法通常是使用防火墙、入侵检测系统
    和病毒扫描。
• 数据安全性
  
  • 对应用程序本地使用的数据或在用户和服务器之间传输的数据加以保护。密码可以有效地保护传输和存储状态下的数据，确
    保数据的完整性和机密性，因此密码技术是确保数据安全性最
    主要的解决方案。
• 软件保护
  
  • 对软件本身或软件所提供的服务加以保护以防止各类攻击，如防止对知识产权和许可内容的窃取，并确保软件的初始功能不
    被破坏。这一类的典型攻击包括逆向工程(如反汇编、反编译
    、动态跟踪等)、篡改、非法复制等。

10.信息安全服务

• 认证
  
  • 通过某种特征识别方法确认用户(如雇员、代理、软件过程等) 身份，从而确定其权限和服务。
  • 基本认证方法：
    　① 双重认证。采用两种(或以上) 形式的验证方法，如令牌、智能卡和仿生装置(视网膜或指纹扫描器)
    　② 数字证书。用于检验用户身份的电子文件。数字证书通过授权购买，提供更强的访问控制，并具有很高的安全性和可靠性
    　③ 智能卡
• 访问控制对CIA 的作用
  
  • 访问控制对机密性、完整性起直接的作用。
  • 访问控制通过对以下信息行为的有效控制来实现可用性：
    　① 颁发影响网络可用性的网络管理指令
    　② 占用资源
    　③ 获得可以用于拒绝服务攻击的信息
• 数据完整性
  
  • 数据在传输过程不可被修改
  • 数据的来源没有被修改
• 信息安全的8个层次
  
  • 风险管理框架
  • 安全策略
  • 日志、监控与报告
  • 虚拟边界
  • 环境与物理信息
  • 平台安全
  • 信息或数据保障
  • 身份识别与访问权限管理
• 信息安全等级保护