信息安全基础期末复习资料(共7页).doc

精选优质文档-倾情为你奉上一、 信息安全概况o 1.信息安全五大基本属性: 可用性：即使在突发事件下，依然能够保障数据和服务的正常使用。 机密性：能够保证敏感或几米数据的传输和存储不遭受为授权的浏览，甚至可以做到不暴露保密通信的事实。完整性：能偶保障被传输、接受或存数的数据是完整的和未被篡改的，在被篡改的情况下能够发现篡改的事实或者篡改的位置。 非否认性：能够保证信息系统的操作者或信息的处理者不能否认其行为或者处理结果，这可以防止参与其次操作或通信的一方事后否认该事件曾经发生过。 真实性：能够保证实体身份或信息来源的真实性。可控性：能够保证掌握和控制信息与信息系统的基本情况，可对信息和信息系统的使用实施可靠的授权、审计、责任认定、传播源追踪和监管等控制。o 2.P2DR基本模型（每个字母代表的含义）:P2DR模型包括四个主要部分：Policy(安全策略)、Protection(防护)、Detection(检测)和 Response (响应)。 （1）策略：策略是模型的核心，所有的防护、检测和响应都是依据安全策略实施的。网络安全策略一般包括总体安全策略和具体安全策略2个部分组成。 （2）防护：防护是根据系统可能出现的安全问题而采取的预防措施，这些措施通过传统的静态安全技术实现。采用的防护技术通常包括数据加密、身份认证、访问控制、授权和虚拟专用网（VPN）技术、防火墙、安全扫描和数据备份等。 （3）检测：当攻击者穿透防护系统时，检测功能就发挥作用，与防护系统形成互补。检测是动态响应的依据。 （4）响应：系统一旦检测到入侵，响应系统就开始工作，进行事件处理。响应包括紧急响应和恢复处理，恢复处理又包括系统恢复和信息恢复。二、密码技术o 1.对称、公钥算法的特点；能列举几种代表性的算法。 对称算法：加解密效率高、容易实现、安全性好、密钥的分发和管理困难、需要安全信道发送密钥、密钥数量多。 公钥算法：加解密效率较低、硬件实现难度稍大、安全性好、密钥管理相对容易、可公开传送公钥、密钥数量少 o 2.几种典型的古典密码算法；1.纵行换位2.凯撒密码3.维吉尼亚密码4.Hill密码o 3.DH密钥协商算法的基本原理及其应用；DH密钥协商算法这是一种两方密钥交换协议，用于两个对等实体安全地协商共享密钥。DH算法实质是一个通信双方进行密钥协定的协议，它的安全性基于有限域上计算离散对数的困难性。 DH密钥交换协议如下： 首先，Alice和Bob双方约定2个大整数n和g,其中1<g<n，这两个整数无需保密，然后，执行下面的过程1) Alice随机选择一个大整数x(保密)，并计算X=gx mod n 2) Bob随机选择一个大整数y(保密)，并计算Y=gy mod n 3) Alice把X发送给B,B把Y发送给ALICE 4) Alice计算K=Yx mod n 5) Bob计算K=Xy mod n K即是共享的密钥。 监听者Oscar在网络上只能监听到X和Y，但无法通过X，Y计算出x和y，因此，Oscar无法计算出K= gxy mod n。现有的流行的密钥协商协议，都使用了DH，它们基本上可以看成是DH的扩展。也就是说，群组密钥协商协议可以理解成如何使用DH来实现群的密钥交换。o 4.数字签名、数字信封的基本概念及其应用原理； 数字签名是使以数字形式存储的明文信息经过特定密码变换生成文，作为相应明文的签名，使明文信息的接收者能够验证信息确实来自合法用户，以及确认信息发送者身份。签名接收者能容易地验证签字者对消息所做的数字签名；任何人，包括签名接收者，都不能伪造签名者的签字；发生争议时，如签字方否认签名，则可由第三方解决争议数字信封是将对称密钥通过非对称加密的结果分发对称密钥的方法。信息发送者首先利用随机产生的对称密码加密信息，再利用接收方的公钥加密对称密码，被公钥加密后的对称密码被称之为数字信封。在传递信息时，信息接收方若要解密信息，必须先用自己的私钥解密数字信封，得到对称密码，才能利用对称密码解密所得到的信息。这样就保证了数据传输的真实性和完整性。三、 身份认证技术o 1.用户密码口令登录的安全方案设计与分析； 时间戳(Timestamp)交流认证 由客户端先用用户密码HASH加密当前系统时间得到加密串，将该加密串和用户名一起通过网络传输给认证服务器。认证服务器收到用户名和加密串后，从用户凭证数据库中取出该用户的密码HASH，并用此密码HASH解密收到的加密串，取出系统时间，与认证服务器的系统时间比较，若差距在一个可以接受的范围内就认为该用户认证成功，否则认证失败。安全性评述：时间戳交流认证加入了系统时间信息，可以防止Replay攻击，因为Replay后传输到服务器的数据包由于时间差距而不能得到认证；整个认证过程只需与服务器交流一个来回，比服务器主动式交流认证具有更高的运行效率。但由于每个客户端都必须和服务器保持一致的系统时间才能确保时间戳交流认证正确，所以网络中要维护一台时间服务器。o 2.数字证书基本概念及其简单应用；数字证书：是目前国际上最成熟并得到广泛应用的信息安全技术之一。数字证书可以看成个人或单位在信息化系统中的身份证。它主要包含证书所有者的信息、证书所有者的公开密钥和证书颁发机构的签名等内容。 应用：电子商务和电子政务，以及公共事业、银行保险证券、社保医疗民政、人事劳动用工、工商税务海关、政府行政办公、教育科研单位等部门的网上申报、网上审批、网上办公等应用中。o 3.PKI系统基本功能；产生和管理用户证书、证书签发、证书发布、证书吊销、证书吊销列表（CRL）的签发及发布、提供证书下载、验证基本条件、LDAP证书库维护、提供验证所签发证书的证书链、CRL文件、提供其他扩展服务 在线证书状态验证功能（OCSP）；时间戳服务功能（TSA）；四、信息隐藏技术o 1.信息隐藏与数据加密的本质区别；信息隐藏与数据加密都可用于信息的保密技术，但两者的设计思想不同:信息隐藏则通过设计精妙的方法，使得非授权者根本无从得知保密信息的存在与否。数据加密主要通过设计加密技术，使保密信息不可读，但非授权者可意识到保密信息的存在。o 2.信息隐藏的基本特点；鲁棒性（Robustness) 不因图像文件的某种改动而导致隐藏信息丢失的能力，这里所谓“改动”包括传输过程中的信道噪音、滤波操作、重采样、有损编码压缩、D/A或A/D转换。不可检测性（Undetectability) 隐蔽载体与原始载体具有一致的特性,如具有一致的统计噪声分布等，以便使非法拦截者无法判断是否有隐蔽信息。透明性(Invisibility) 利用人类视觉系统或人类听觉系统，经过一系列隐藏处理，使目标数据没有明显的降质现象，而隐藏的数据却无法制直接看见或听见。o 3.基于网络协议的信息隐藏基本原理及典型方案设计； 基于 IP 标识字段的隐藏算法：IP 协议的标识字段占 16 位，是被发送和接收报文的主机用来进行 IP 分片和重组的标识值。IP 标识字段被用来区分不同的数据包中的 IP 分片，在数据包的有效时间内，其值是唯一的，且不可预测。将该字段作为隐秘载体的一般方法是：首先把要发送的数据转换成 ASCII 码，然后将其进行加密，按照一定的算法转换成貌似合法的 IP 标识字段的值。该方法也就是利用 IP 标识字段隐藏信息，欺骗防火墙和 IDS 等网络安全设备，达到秘密传输数据的目的。在接收端看来，IP 协议数据包的包头不再具有重组数据包的功能，而仅仅是为了隐藏数据。此时，接收主机运行接收程序，当监听到来自于目的主机的数据包后，首先将这些数据包存入缓存，然后解析 IP 数据包的头结构体，将 IP 标识字段中隐藏的数据分离出来，最后利用解密算法对分离出来的数据解密。将 IP 数据包头的 16 位标志字段作为载体的隐藏方法。五、网络攻防技术o 1.ARP攻击、Smurf攻击的工作原理；ARP攻击：主机在两种情况下会保存、更新本机的ARP缓存表，（1）接收到“ARP广播-请求”包时。（2）接收到“ARP非广播-回复”包时。从中我们可以看出，ARP协议是没有身份验证机制的，局域网内任何主机都可以随意伪造ARP数据包，ARP协议设计天生就存在严重缺陷。Smurf攻击：使用IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求数据包，来淹没受害主机，最终导致该网络的所有主机都对此ICMP应答请求做出答复，导致网络阻塞。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方崩溃。o2. 缓冲区溢出基本原理及其实现分析；当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上,理想的情况是程序检查数据长度并不允许输入超过缓冲区长度的字符,但是绝大多数程序都会假设数据长度总是与所分配的储存空间相匹配,这就为缓冲区溢出埋下隐患.操作系统所使用的缓冲区 又被称为"堆栈". 在各个操作进程之间,指令会被临时储存在"堆栈"当中,"堆栈"也会出现缓冲区溢出。o3. 端口扫描基本原理及几种常见的扫描技术；端口扫描是指通过发送一组端口扫描消息，检测目标主机的端口是否打开，从而试图以此侵入某台计算机，并了解其提供的计算机网络服务类型。攻击者可以通过它了解到从哪里可探寻到攻击弱点。TCP connect扫描TCP SYN扫描FIN Xmas Null扫描FTP Bounce ScanPing 扫描UDP 端口扫描六、防火墙技术o 1. 防火墙的三个基本要素； （1）. （2）. （3）.o 2.包过滤和应用代理两种防火墙技术；包过滤防火墙：是用一个软件查看所流经的数据包的包头，由此决定整个包的命运。针对每一个数据报的报头，按照包过滤规则进行判定，与规则相匹配的包依据路由信息继续转发，否则就丢弃。包过滤是在IP层实现的，包过滤根据数据包的源IP地址、目的IP地址、协议类型、源端口、目的端口等报头信息及数据包传输方向等信息来判断是否允许数据包通过。应用代理防火墙：不允许数据包直接在应用程序和用户之间传递，所有的流量被拦截然后通过代理连接来传递。代理防火墙双向地接收、检查和转发客户端和应用之间的所有流量。防火墙位于逻辑连接的中间，允许它检测网络流量包括负载，并在应用层级检查任何可疑活动。应用代理对数据包的数据进行分析，并以此判断数据是否允许通过。o 3.防火墙的几种体系结构及其应用部署示例；屏蔽路由器(Screening Router)双宿/多宿主主机网关(Dual/multi-Homed Gateway)被屏蔽主机网关(Screened Host Gateway) 被屏蔽子网(Screened Subnet )o 4.NAT、VPN基本原理；网络地址转换（NAT）:RFC1918指定了许多IP地址不可用于Internet，即保留地址。由于这些地址不能用于Internet，所以可以将这些地址用于连接到Internet上的私有网络中。但这些私有网络的源地址在经过防火墙时必须被翻译成在Internet上可路由的地址。因此，位于防火墙之后的大量主机在访问Internet时就可以共享公共的IP地址了，这个过程叫网络地址转换。VPN虚拟专用网络：虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路。 VPN是在利用公共网络建立虚拟私有网。5.Web防火墙的特点；1.异常检测协议 2.增强的输入验证 3.及时补丁 4.基于规则的保护和基于异常的保护 5.状态管理 七、入侵检测技术o 1.入侵检测与防火墙的本质区别；入侵检测是试图监视和尽可能阻止有害信息的入侵防火墙是对流经它的网络通信进行扫描，过滤掉一些攻击o 2.SYN Flood和TCP会话劫持工作原理；SYN Flood：攻击者向目标主机发送大量SYN（但不发送第三次握手的应答ACK），消耗目标主机的系统资源，使连接数量超过系统的限制数量，造成拒绝服务。TCP会话劫持:攻击者对服务器发起SYN Flood攻击，使其不能响应终端并预测出终端SYN/ACK包的序列号，假冒服务器发送应答ACK，最终骗取终端的信任，假冒服务器与终端建立连接。o 3.入侵检测分类及其实现框架（1）.按照分析方法分异常检测模型（Anomaly Detection ): 总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。 误用检测模型（Misuse Detection)： 收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。（2）.按照数据来源分：基于主机：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机。基于网络：系统获取的数据是网络传输的数据包，保护的是网络的运行。混合型（3）.按系统各模块的运行方式集中式：系统的各个模块包括数据的收集分析集中在一台主机上运行。分布式：系统的各个模块分布在不同的计算机和设备上。（4）.根据时效性脱机分析：行为发生后，对产生的数据进行分析。联机分析：在数据产生的同时或者发生改变时进行分析。八、内容安全技术o 1.内容安全研究基本范畴；狭义：网络多媒体内容安全，包括语义、格式安全等。 广义：“内容”的形式多样化，包括网络流量、程序代码、数据内容等，对应的安全检测技术包括非法流量过滤、恶意代码检测、内容安全审查等，是一种综合的安全技术。 o 2.恶意代码检测基本方法；启发式检测法 为恶意代码的特征设定一个阈值，扫描器分析文件时，当文件的类似恶意代码的特征程度，就将其看作是恶意代码。 基于行为的检测法 利用病毒的特有行为特征来监测病毒的方法。当程序运行时，监视其行为，如果发现了病毒行为，立即报警，另外行为特征识别通常需要使用类神经网络一类方法来训练分析器，并能够准确的用形式化的方法来定义恶意代码的特征。 完整性验证法 主要检查程序关键文件（比如重要的SYS和DLL）的CRC或者MD5的值与正常值进行比较。 基于特征函数的检测方法 恶意代码要实现特定功能，必要使用系统的API函数（包括内核级和用户级的），因此如果某个程序调用了危险的特定函数集合，即可能是恶意代码。 o 3.Web内容安全技术概况；当今的WEB内容存在包括网页木马 、JavaScript代码混淆 、网页钓鱼、 脚本注入 、通过移动终端入侵和通过社交网络的入侵的情况。专心-专注-专业