信息安全与网络安全复习总结中学教育中考_中学教育-中学课件.pdf

《信息安全与网络安全复习总结中学教育中考_中学教育-中学课件.pdf》由会员分享，可在线阅读，更多相关《信息安全与网络安全复习总结中学教育中考_中学教育-中学课件.pdf（7页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、一、概述 1、计算机安全与网络安全的区别 P1 计算机安全：负责信息存储和处理过程的安全事务，主要防止病毒和非法访问。网络安全：负责信息传输过程的安全事务，主要防止用户非法接入、窃取或篡改传输过程中的信息。计算机安全与网络安全都是信息安全的组成部分。2、病毒是一种且有自复制能力并会对系统造成巨大破坏的恶意代码。P2 3、网络安全体系结构由两部分组成：网络安全基础-加密、报文摘要算法、数字签名技术及认证和各种安全协议；作用于网络每层的安全技术。P13 4、计算机网络安全的目标：保证网络用户不受攻击；机密信息不被窃取；所有网络服务能够正常进行。P15 二、黑客攻击机制 P19 1、窃取与截获的区别

2、 窃取是非法获得信息副本，但不影响信息正常传输；截获是不仅非法获得信息，且终止或改变信息传输过程；2、DOS 攻击和 Smurf 攻击的区别：P21 拒绝服务攻击（DOS），就是用某种方法耗尽网络设备或服务器资源，使其不能正常提供服务的一种攻击手段。SYN 泛洪攻击消耗服务器资源 Smurf 攻击耗尽网络带宽，使被攻击终端不能和其他终端正常通信的攻击手段。3、黑客攻击过程 P27 收集信息；收集攻击目标主机系统或网络的相关信息 网络接入：拨号、无线局域网、以太网 主机系统信息：操作系统类型、版本、服务类型、软件 网络拓扑结构：传输路径、设备类型、网络类型 侦察-攻击目标的缺陷、攻击方法；域名、

3、IP 地址 防火墙的漏洞 软件的缺陷 允许建立 TCP 连接的端口号 能否放置木马 攻击-攻击目的和方法 瘫痪目标系统-拒绝服务攻击 控制目标-利用漏洞上载恶意代码（放置木马）5、缓冲区溢出原理：通过往没有边界检测的缓冲区写超出其长度的内容，造成该函数缓冲区的溢出，溢出的数据覆盖了用于保留另一函数的返回地址的存储单元，使程序转而执行其它指令，以达到攻击的目的。P32 6、信息安全由网络安全、操作系统安全和应用程序安全三部分组成，其中操作系统安全和应用程序安全统称为计算机安全。P33 第三章 网络安全基础 1、对称加密与公钥加密区别 对称加密：加密和解客的密钥相同（单钥）公钥加密：加密和解客的密

4、钥不相同（双钥）2、公钥加密和数字签名的区别 3、报文摘要与消息认证的区别 4、密文安全性完全基于密钥的安全性 5、对称加密包括：流密码和分组密码体制 6、Feistel 分组密码结构及其在 DES 中的应用 Feistel 结构是一种分组密码体制下的加密运算过程。它的输入是由明文分割后产生的固定为2W 分的数据组和密钥 K，每组数据分为左、右两部分；经过 n 次的迭代运算后，输出 2W位的密文。其中每次迭代的密钥由原始密钥 K 经过子密钥生成运算产生子密钥集k1,k2,kn，且上一次迭代运算的结果作为下一次运算的输入。数据加密标准（DES）采用 feistel 分组密码结构。大致可分为：初始

5、置换，迭代过程，逆置换和，子密钥生成 7、DES 中的 S 盒计算：将 48 比特压缩成 32 比特 输入 6 比特:b1b2b3b4b5b6 输出 4 比特：S(b1b6,b2b3b4b5)8、DES 中 CBC 模式的优良特性 由于加密分组链接模式中每一组数据组和前一组数据组对应的密文异或运算后作为加密运算模块的输入，因此即使密钥相同的两组相同数据组加密运算后产生的密文也不会相同，增加了加密算法的安全性。9、RSA 公钥加密体制 公开密钥:PK=e,n 秘密密钥:SK=d,n 加密过程：把待加密的内容分成 k 比特的分组，k log2n，并写成数字，设为 M，则：C=Me mod n 解密

6、过程：M=Cd mod n 密钥产生:1.取两个大素数 p,q,pq,保密;2.计算 n=pq，公开 n;3.计算欧拉函数(n)=(p-1)(q-1)；4.选择整数 e,使得 e与(n)互素;0e(n)-1 5.计算求满足 ed=1 mod (n)的 d.将d 保密，丢弃p,q 10、Diffie-Heilman 密钥交换算法 系统参数产生 1.）取大素数 p，2.）计算对应的本原元，公开(p,);用户 A 取整数 XA，计算 YA=axa mod p 公告 YA 给用户 B;用户 A 取整数 XB，计算 YB=a xb mod p 公告 YB 给用户 A;络安全负责信息传输过程的安全事务主要

7、防止用户非法接入窃取或篡改传输过程中的信息计算机安全与网络安全都是信息安全的组成部分病毒是一种且有自复制能力并会对系统造成巨大破坏的恶意代码网络安全体系结构由两部分组全的目标保证网络用户不受攻击机密信息不被窃取所有网络服务能够正常进行二黑客攻击机制窃取与截获的区别窃取是非法获得信息本但不影响信息正常传输截获是不仅非法获得信息且终止或改变信息传输过程攻击和攻击的区别拒器资源攻击耗尽网络带宽使被攻击终端不能和其他终端正常通信的攻击手段黑客攻击过程收集信息收集攻击目标主机系统或网络的相关信息网络接入拨号无线局域网以太网主机系统信息操作系统类型版本服务类型软件网络拓扑结构 KA=YBxa mod p,

8、KB=YAxb mod p,KA=KB 11、认证中心的作用及证书的表示 认证中心的作用是证明公钥和用户的绑定关系 证书的表示：1）用明文方式规定的用于确认公钥 PKB 和用户 B 之间绑定关系的证明 2）用认证中心的私钥 SKCA 对上述明文的提出报文摘要进行解密运算后生成 的密文 Dskca(MD(P).证书的主要内容包括：版本、证书序号、签名算法标识符、签发者名称、起始时间、终止时间、用户名称、用户公钥信息、签发者唯一标识符、用户唯一标识符、扩展信息、Dskca(MD(P).12、Kerberos 认证系统的组成 认证服务器-身份认证，通行证签发服务器-获取服务通行证，确认客户是否授权访

9、问某个应用服务器 应用服务器-访问服务器 13、安全协议 层 TLS（运输层安全协议）运输层 IPSec 网络层 802.1x（基于端口的接入控制协议）数据链路层 (?)14、EAP（扩展认证协议）的特点 P65 与应用环境无关的、用于传输认证协议消息的载体协议，所有应用环境和认证协议都和这种载体协议绑定 15、IPSec 体系结构 P75 IPSec 协议不是一个单独的协议，它给出了应用于 IP 层上网络数据安全的一整套体系结构，包括认证首部协议 Authentication Header（AH）、封装安全净荷协议 Encapsulating Security Payload（ESP）、安全

10、关联和密钥管理协议 Internet Security Association and Key Management Portocol(ISAKMP）和用于网络认证及加密的一些算法 1)安全关联：用于确定发送者至接收者传输方向的数据所使用的加密算法和加密密钥、MAC 算法和 MAC 密钥和安全协议等。安全关联用安全参数索引 SPI、目的 IP 地址和安全协议标识符唯一标识；2)AH：认证首部的作用是认证发送者，数据完整性检测；认证首部 AH 包含安全参数索引 SPI，序号、认证数据等。运输模式：在 IP 分组首部和净荷之间插入 AH，封装成 AH 报文 隧道模式：在外层 IP 首部和净荷之间插

11、入 AH，封装成 AH 报文 3)ESP；ESP 的作用是实现保密传输、发送者认证和数据完整性检测 ESP 首部包含安全参数和序号 ESP 尾部包含填充数据、8 位填充长度字段和 8 位下一个首部 运输模式：在 IP 分组首部和净荷之间插入 ESP 首部，在净荷后面插入 ESP 尾部 隧道模式：在外层 IP 首部和净荷之间插入 ESP 首部，在净荷后面插入 ESP 尾部 4)ISAKMP；ISAKMP 的作用：一是认证双方身份，当然，每一方在认证对方身份前，应该具有授权建立安全关联的客户名录。二是建立安全关联，建立安全关联的过程是通过协商确定安全协议、加密密钥、MAC 密钥和 SPI 的过程；

12、16、TLS 协议的体系结构 P60 络安全负责信息传输过程的安全事务主要防止用户非法接入窃取或篡改传输过程中的信息计算机安全与网络安全都是信息安全的组成部分病毒是一种且有自复制能力并会对系统造成巨大破坏的恶意代码网络安全体系结构由两部分组全的目标保证网络用户不受攻击机密信息不被窃取所有网络服务能够正常进行二黑客攻击机制窃取与截获的区别窃取是非法获得信息本但不影响信息正常传输截获是不仅非法获得信息且终止或改变信息传输过程攻击和攻击的区别拒器资源攻击耗尽网络带宽使被攻击终端不能和其他终端正常通信的攻击手段黑客攻击过程收集信息收集攻击目标主机系统或网络的相关信息网络接入拨号无线局域网以太网主机系统

13、信息操作系统类型版本服务类型软件网络拓扑结构 TLS 安全 参数切换协议 TLS 报警协议 HTTP TLS 握手协议 TLS 记录协议 TCP IP 第四章 安全网络技术 1、IPSec 协议为什么不适用端点之间的身份认证？P92 路由协议是基于 IP 的高层协议，在它建立终端之间的传输路径前，终端之间并不能实现端到端传输，所以 IPSec 协议并不适合用于实现传输路由消息的两个端点之间的身份认证和路由消息的完整性检测，需要开发专用技术用于解决路由消息的正确传输问题。2、信息流的管制在 SYN 攻击中的应用 信息流管制的方法是限制特定信息流的流量，特定信息流是指定源和目的终端之间和某个应用相

14、关的 IP 分组序列，这样的 IP 分组通过源和目的终端地址、源和目的端口号、协议字段值等参数唯一标识。SYN 泛洪攻击是指黑客终端伪造多个 IP，向 Web 服务器建立 TCP 连接请求，服务器为请求分配资源并发送确认响应，但是这些确认响应都不能到达真正的网络终端。因此只要在边缘服务器中对接入网络的信息流量进行管制，就能有效地抑制 SYN 攻击。3、NAT P106 NAT（Network Address Translation），网络地址转换，在边缘路由器中实现的本地 IP 地址和全球 IP 地址之间的转换功能。第五章 无线局域网安全技术 1、解决无线局域网安全问题的方法？P116 认证：

15、解决接入控制问题，保证只有授权终端才能和 AP 通信，并通过 AP 接入内部网络；加密：解决终端和 AP 之间传输的数据的保密性问题 2、WEP 安全缺陷 P121-125 共享密钥认证机制的安全缺陷 一次性密钥字典；完整性检测缺陷；静态密钥管理缺陷 3、802.11i 的两种加密机制 P125 临时密钥完整性协议（Temporal Key Integrity Protocol,TKIP）计数器模式密码块链消息完整码协议(CTR with CBC-MAC Protocol,CCMP)4、802.1x 认证机制 P131-136 双向 CHAP 认证机制 EAP-TLS 认证机制 动态密钥分配机

16、制 第六章 虚拟专用网络 1、专用网络与虚拟专用网络的区别：P141-142 专用网络-费用昂贵、协商过程复杂、利用率低；网络基础设施和信息资源属于单个组织并由该组织对网络实施管理的网络结构；子网互联通过（独占点对点的专用链路）公共传输网络实现。虚拟专用网络-便宜，接入方便，子网间传输路径利用率较高 通过公共的分组交换网络（如 Internet）实现子网之间的互联，并具有专用点对点链路的带络安全负责信息传输过程的安全事务主要防止用户非法接入窃取或篡改传输过程中的信息计算机安全与网络安全都是信息安全的组成部分病毒是一种且有自复制能力并会对系统造成巨大破坏的恶意代码网络安全体系结构由两部分组全的目

17、标保证网络用户不受攻击机密信息不被窃取所有网络服务能够正常进行二黑客攻击机制窃取与截获的区别窃取是非法获得信息本但不影响信息正常传输截获是不仅非法获得信息且终止或改变信息传输过程攻击和攻击的区别拒器资源攻击耗尽网络带宽使被攻击终端不能和其他终端正常通信的攻击手段黑客攻击过程收集信息收集攻击目标主机系统或网络的相关信息网络接入拨号无线局域网以太网主机系统信息操作系统类型版本服务类型软件网络拓扑结构宽和传输安全保证的组网技术。2、基于 IP 的 VPN 结构 P143 在 IP 网络的基础上构建的性能等同于点对点专用链路的隧道，并用隧道实现 VPN 各子网间的互联。根据隧道传输的数据类型可分为 I

18、P 隧道和第 2 层隧道，IP 隧道传输 IP 分组，第 2层隧道传输链路层帧。3、VPN 的安全机制：IPSec P147-148 IP 分组和链路层帧在经过隧道传输之前，在隧道两端建立双向的安全关联，并对经过隧道舆的数据进行加密、认证和完整性检测，即 IPSec 加密：保证数据经过 IP 网络传输时不被窃取 认证：保证数据在隧道两端之间的传输 完整性检测：检测数据在传输中是否被篡改 4、VPN 需实现的功能 P149 1）实现子网之间使用本地 IP 地址的 ip 分组的相互交换；2）实现隧道的封闭性、安全性，使外部用户无法窃取和篡改经过隧道传输的数据 第七章 防火墙 1、防火墙的功能 P1

19、73 防火墙是一种对不同网络之间信息传输过程实施监测和控制的设备，尤其适用于内部网络和外部网络之间的连接处。服务控制：不同网络间只允许传输与特定服务相关的信息流。方向控制：不同网络间只允许传输与由特定网络中终端发起的会话相关的信息流。用户控制：不同网络间只允许传输与授权用户合法访问网络资源相关的信息流。行为控制：不同网络间只允许传输与行为合理的网络资源访问过程相关的信息流。2 网络防火墙的位置：内网和外网和连接点 3、单穴与双穴堡垒主体结构和性质区别 P190-191 单穴堡垒主机只有一个接口连接内部网络；堡垒主机的安全性基于外部网络终端必须通过堡垒主机实现对内部网络资源的访问；单穴堡垒主机把

20、外部网络终端通过堡垒主机实现对内部网络资源的访问的保证完全基于无状态分组过滤器的传输控制功能。双穴指堡垒主机用一个接口连接内部网络，用另一个接口连接无状态分组过滤器，并通过无状态分组过滤器连接外部网络；这种结构保证外部网络终端必须通过堡垒主机才能实现对内部网络资源的访问；4、统一访问控制的需求及实现（？）P193-195 需求：（1）移动性-终端用户不再固定到某一个子网；（2）动态性-终端用户的访问权限是动态变化的；（3）访问权限的设置是基于用户的 统一访问控制：在网络中设置统一的安全控制器，实施动态访问控制策略的网络资源访问控制系统。由 UAC 代理、安全控制器和策略执行部件组成。第八章 入

21、侵防御系统 1、入侵防御系统的分类 P205-206 入侵防御系统分为主机入侵防御系统和网络入侵防御系统 主机入侵防御系统检测进入主机的信息流、监测对主机资源的访问过程，以此发现攻击行为、管制流出主机的信息流，保护主机资源；网络入侵防御系统通过检测流经关键网段的信息流，发现攻击行为，实施反制过程，以此保络安全负责信息传输过程的安全事务主要防止用户非法接入窃取或篡改传输过程中的信息计算机安全与网络安全都是信息安全的组成部分病毒是一种且有自复制能力并会对系统造成巨大破坏的恶意代码网络安全体系结构由两部分组全的目标保证网络用户不受攻击机密信息不被窃取所有网络服务能够正常进行二黑客攻击机制窃取与截获的

22、区别窃取是非法获得信息本但不影响信息正常传输截获是不仅非法获得信息且终止或改变信息传输过程攻击和攻击的区别拒器资源攻击耗尽网络带宽使被攻击终端不能和其他终端正常通信的攻击手段黑客攻击过程收集信息收集攻击目标主机系统或网络的相关信息网络接入拨号无线局域网以太网主机系统信息操作系统类型版本服务类型软件网络拓扑结构护重要网络资源；2、主机入侵防御系统的工作原理及目的 P223-224 工作原理：首先截获所有对主机资源的操作请求和网络信息流，然后根据操作对象、系统状态、发出操作请求的应用进程和配置的访问控制策略确定是否允许该操作进行，必要时可能需要由用户确定该操作是否进行。目的：防止黑客对主机资源的非

23、法访问 4、网络入侵防御系统的工作过程 1)捕获信息；2)检测异常信息；3)反制异常信息；4)报警；5)登记。第九章 网络管理和监测 1、网络管理的功能 P231 故障管理 计费管理 配置管理 性能管理 安全管理 2、网络管理系统结构 P232 由网络管理工作站、管理代理、管理信息库（MIB）、被管理对象(网络管理的基本单位)和网络管理协议(SNMP)组成。3、SNMP SNMP 的功能是在管理工作站和管理代理之间传输命令和响应 4、网络性能瓶颈 P244 1)监测过载结点 2)分析流量组成 3)限制终端流量 第十章 安全网络设计实例 1、网络安全主要的构件 P247-248 接入控制和认证构

24、件 分组过滤和速率限制构件 防火墙 入侵防御系统 VPN 接入构件 认证、管理和控制服务器 2、安全网络设计步骤 P248-249 1)确定需要保护的网络资源-只对网络中重要且容易遭受攻击的网络资源实施保护；2)分析可能遭受的攻击类型；3)风险评估-使设计过程变得有的放矢；4)设计网络安全策略；5)实现网络安全策略；6)分析和改进网络安全策略。第十一章 应用层安全协议 络安全负责信息传输过程的安全事务主要防止用户非法接入窃取或篡改传输过程中的信息计算机安全与网络安全都是信息安全的组成部分病毒是一种且有自复制能力并会对系统造成巨大破坏的恶意代码网络安全体系结构由两部分组全的目标保证网络用户不受攻

25、击机密信息不被窃取所有网络服务能够正常进行二黑客攻击机制窃取与截获的区别窃取是非法获得信息本但不影响信息正常传输截获是不仅非法获得信息且终止或改变信息传输过程攻击和攻击的区别拒器资源攻击耗尽网络带宽使被攻击终端不能和其他终端正常通信的攻击手段黑客攻击过程收集信息收集攻击目标主机系统或网络的相关信息网络接入拨号无线局域网以太网主机系统信息操作系统类型版本服务类型软件网络拓扑结构1、彻底解决 Web 安全需要什么？-构建网络安全体系 P259 2、网络体系结构中安全协议 P259-260 网络层-IPSec：在网络层上实现端到端的相互认证和保密传输 运输层-TLS：在运输层上实现端到端的相互认证和

26、保密传输 应用层-SET：安全电子交易协议，实现网络安全电子交易 3、SET 的组成：(a)持卡人；(b)商家；(c)支付网关；(d)认证中心链；(e)发卡机构；(f)商家结算机构。4、数字封面的设计原理 P265-266 用指定接收者证书中的公钥加密对称密钥，结果作为数字封面 数字封面=EPKA（KEY），E 是 RSA加密算法 5、双重签名原理及其实现 双重签名（DS）=DSKC（H（H(PI)|H（OI)）;双重签名：(1)双重签名的目的：将每次电子交易涉及的购物清单 OI 和支付凭证 PI 绑定在一起；商家 A-需要 OI 和 PIMD=H(PI),不允许获得 PI；支付网关 G-需要

27、 PI 和 OIMD=H(OI),不需要 OI(2)持卡人用私钥 SKC 和公钥解密算法 DSKC(.)，生成双重签名 DS=DSKC(h )，h=H(PIMD|OIMD);-向商家发送DS，OI，PIMD；-向支付网关发送DS，PI，OIMD；(3)用帐户 C 的公钥 PKC 和公钥加密算法 EPKC(.)，商家验证双重签名 EPKC(DS)=H(PIMD|H(OI);(4)用帐户 C 的公钥 PKC 和公钥加密算法 EPKC(.),支付网关 G 验证双重签名 EPKC(DS)=H(OIMD|H(PI);6、PSG 的功能 主要实现发送端认证、消息压缩、加密及码制转换等功能 7、防火墙在信息

28、门户网站的配制 防火墙配置要求只允许内部网络用户访问门户网站，只允许门户网站发起对服务器的访问过程，以此保证内部网络用户必须通过门户网站实现对服务器的访问。络安全负责信息传输过程的安全事务主要防止用户非法接入窃取或篡改传输过程中的信息计算机安全与网络安全都是信息安全的组成部分病毒是一种且有自复制能力并会对系统造成巨大破坏的恶意代码网络安全体系结构由两部分组全的目标保证网络用户不受攻击机密信息不被窃取所有网络服务能够正常进行二黑客攻击机制窃取与截获的区别窃取是非法获得信息本但不影响信息正常传输截获是不仅非法获得信息且终止或改变信息传输过程攻击和攻击的区别拒器资源攻击耗尽网络带宽使被攻击终端不能和其他终端正常通信的攻击手段黑客攻击过程收集信息收集攻击目标主机系统或网络的相关信息网络接入拨号无线局域网以太网主机系统信息操作系统类型版本服务类型软件网络拓扑结构