信息安全复习题总结办公文档工作总结 _办公文档-工作总结 .pdf

《信息安全复习题总结办公文档工作总结 _办公文档-工作总结 .pdf》由会员分享，可在线阅读，更多相关《信息安全复习题总结办公文档工作总结 _办公文档-工作总结 .pdf（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第一章概论 1.1.信息的定义、性质和分类 人们常常将信息论、控制论、和系统论合称为“三论”，或称为“系统科学”或“信息科学”。信息定义为：信息是事物运动的状态和状态变化的方式。信息的性质：普遍性无限性相对性传递性变换性有序性动态性转化性。信息的分类：从信息的性质出发，信息可以分为语法信息、语义信息和语用信息从信息的过程出发，信息可以分为实在信息，先验信息和实得信息从信息源的性质出发，信息可以分为语音信息、图像信息、文字信息、数据信息、计算信息等从信息的载体性质出发，信息可以分为电子信息、光学信息和生物信息等从携带信息的信号的形式出发，信息可以分为连续信息、离散信息、半连续信息等。1.2 历史

2、回顾 1928 年，哈特莱在贝尔系统技术杂志上发表了一篇题为“信息传输”的论文，在这篇论文中，他把信息理解为选择符号的方式，且用选择的自由度来计量这种信息的大小；1948 年，美国数学家仙农在贝尔系统杂志上发表了一篇题为“通信的数学理论”的论文，在对信息的认识方面取得了重大突破，堪称信息论的创始人，他对信息的理解：信息是用来减少随机不定性的东西；1948 年，维纳出版了专著控制论：动物和机器中的通信与控制问题，创建了控制论；1975 年，意大利学着朗高在信息论：新的趋势和未决问题一书的序言中认为“信息是反映事物的形式、关系和差别的东西，它包括在事物的差异之中，而不在事物本身”；1988 年，我

3、国信息论专家钟义信教授在信息科学原理一书中把信息定义为：事物运动的状态和状态变化的方式。1.3信息安全威胁 所谓信息安全威胁就是指某个人、物、事件或概念对信息资源的保密性、完整性、可用性或合法使用所造成的危险。常见的安全威胁：信息泄漏破坏信息的完整性拒绝服务非法使用窃听业务流分析假冒旁路控制授权侵犯特洛伊木马 11 陷阱门 12 抵赖 13 重放 14 计算机病毒15 人员不慎 16 媒体废弃 17 物理侵入 18 窃取 19 业务欺骗。常见的网络攻击工具有安全扫描工具、监听工具、口令破解工具等。第二章 信息保密技术 2.1 DES算法和 AES算法 DES（Data Encryption S

4、tardard）算法，是密码体制中的对称密码体制，又被称为，美国数据加密标准。是 1972 年美国 IBM 公司研制的对称密码体制加密算法，其密钥长度为 6 位，明文按 64 位进行分组，将分组后的明文和 56 位的密钥按位替代或者交换的方式形成密文组的加密方式；AES（Advanced Encryption Standard）高级加密标准，是用来取代 DES 算法的，其采用对称分组密码体制，密钥长度的最少支持为 128、192、256，分组长度 128 位，算法应易于各种硬件和软件实现。2.2你认为 AES比 DES有哪些优点？答：（1）AES 的密钥长度可以根据需要而增加，而 DES 是不

5、变的；（2）Rijndael 加解密算法中，每轮常数的不同消除了密钥的对称性，密钥扩展的非线性消除了相同密钥的可能性；加解密使用不同的变换，消除了在 DES 里出现的弱密钥和半弱密钥存在的可能性；总之，在 Rijndael 的加解密算法中，对密钥的选择没有任何限制。（3）依靠有限域/有限环的有关性质给加密解密提供了良好的理论基础，使算法设计者可以既高强度地隐藏信息，又同时保证了算法可逆，又因为 Rijndael 算法在一些关键常数（例如：在)(xm）的选择上非常巧妙，使得该算法可以在整数指令和逻辑指令的支持下高速完成加解密。（4）AES 安全性比 DES 要明显高（5）其中 DES 采用 Fe

6、istel 网络结构，AES 算法采用 SP 网络结构。2.3公钥加密技术 第一个比较完善的公钥密码体制算法，是著名的 RSA 算法。公钥密码体制指一个加密系统的加密密钥和解密密钥是不一样的，或者说不能由一个推导出另一个。公钥密钥加密算法的核心是运用一种特殊的数学函数单向陷门函数。RSA 是一种比较典型的公开密钥加密算法，其安全性建立在“大数分解和素性检测”这一已知的著名数论难题的基础上。ElGamal 算法的安全性是建立在有限域上求离散对数这一难题基础上的。椭圆曲线算法安全性是建立在椭圆曲线离散对数问题求解之上。公钥密码算法有：RSA 算法、ElGamal 算法、椭圆曲线算法。2.4椭圆曲线

7、算法 椭圆曲线指的是由韦尔斯特拉斯（Weierstrass）方程 y2+a1xy+a3y x3+a2x2+a4x+a6 所确定的平面曲线。若 F 是一个域，ai F,i=1,2,6。满足式 1 的数偶(x,y)称为 F 域上的椭圆曲线 E 的点。F 域可以式有理数域，还可以式有限域 GF(Pr)。椭圆曲线通常用 E 表示。除了曲线 E 的所有点外，尚需加上一个叫做无穷远点的特殊 O。在椭圆曲线加密（ECC）中，利用了某种特殊形式的椭圆曲线，即定义在有限域上的椭圆曲线。其方程如下：y2=x3+ax+b(mod p)这里 p 是素数，a 和 b 为两个小于 p 的非负整数，它们满足：4a3+27b

8、2(mod p)0 其中，x,y,a,b Fp,则满足式（2）的点（x,y）和一个无穷点 O 就组成了椭圆曲线 E 2.5流密码技术 流密码：将待加密的明文分成连续的字符或比特，然后用相应的密钥流对之进行加密。目前应用最多的流密码是在 GF（2）域上的二元加法流密码。二元流密码算法的安全强度完全决定于它所产生的密钥流的特性。几种常见的流密码算法：A5 算法、Rambutan 算法、RC4 算法、SEAL 2.6信息隐藏技术 信息隐藏又称信息伪装，就是通过减少载体的某种冗余，如空间冗余、数据冗余等，来隐藏敏感信息。达到某种特殊的目的。信息隐藏的方法主要分两类：空间域算法和变换域算法。第三章 信息

9、认证技术 认证的目的有两个方面：1.实体认证，包括信源、信宿的认证和识别 2.验证消息的完整性，验证数据在传输存储过程中是否被篡改、重放或延迟等。3.1 Hash函数和消息完整性 Hash函数也称为杂凑函数或散列函数：其输入为一个可变长度 X，返回一固定长度串，该串被称为输入 X 的 Hash 值。Hash 函数满足以下需求：1.输入 X 可以为任意长度 2.输出数据长度固定 3.容易计算 4.单向函数 5.唯一性 定义为信息是事物运动的状态和状态变化的方式信息的性质普遍性无限性相对性传递性变换性有序性动态性转化性信息的分类从信息的性质出发信息可以分为语法信息语义信息和语用信息从信息的过程出发

10、信息可以分为实在信息先体性质出发信息可以分为电子信息光学信息和生物信息等从携带信息的信号的形式出发信息可以分为连续信息离散信息半连续信息等历史回顾年哈特莱在贝尔系统技术杂志上发表了一篇题为信息传输的论文在这篇论文中他把信息解通信的数学论的论文在对信息的认识方面取得了重大突破堪称信息论的创始人他对信息的解信息是用来减少随机不定性的东西年维纳出版了专著控制论动物和机器中的通信与控制问题创建了控制论年意大利学着朗高在信息论新的趋 Hash 函数可以按照其是否有密钥控制分为两类：有密钥控制、无密钥控制。攻击 Hash 函数的典型方法有穷举攻击、生日攻击、中途相遇攻击。能抗击生日攻击的 HASH 值至少

11、要达到 128BIT。Hash 函数的安全性设计的理论主要有两点：1.函数的单向性 2.函数影射的随机性。常用的 Hash 算法有 MD-4、MD-5、SHA 等。一个没有仲裁的认证码由 3 方组成：发送方、接收方和入侵者。消息认证码（MAC）是与密钥相关的单向 Hash 函数，也称为消息鉴别码或消息校验和，它可在用户之间鉴别文件，也可以被单个用户用来确定他的文件是否已改动，或是感染了病毒。3.2 身份认证技术 身份认证是指定用户向系统出示自己身份的证明过程，通常是获得系统服务所必需的第一道管卡。常见的身份认证技术可以分为两类：一类是基于密码技术的各种电子 ID 身份认证技术、另一类是基于生物

12、特征识别的认证技术。用于身份认证的生物识别技术主要有 6 种：手写签名识别技术、指纹识别技术、语音识别技术、视网膜图样识别技术、虹膜图样识别技术、脸型识别。3.3 Keberos认证系统 Keberos 是为 TCP/IP 网络系统设计的可信的第三方认证协议。网络上的 Keberos 服务基于 DES 对称加密算法，但也可以用其他算法替代。认证过程：（1）请求票据许可票据：客户 C 向 kerberos 认证中心（KDC）申请可以访问票据中心 TGS （2）票据票据许可 （3）请求服务器票据（4）服务器票据（5）请求服务 在 FreeBSD 中设置 Kerveros 包括 6 个步骤：建立初始

13、资料库运行 Kerberos创建新的服务器文件定位数据库完整测试数据库设置 su 权限。第四章 PKI 与 PMI 认证技术 4.1数字证书 公钥基础设施（PKI）是一个采用非对称密码算法原理和技术来实现并提供安全服务的、具有通用性的安全基础设施。CRL:即证书撤销列表，里面列出了所有未到期却被撤销的证书。认证中心所颁发的数字证书均遵循 X.509 V3 标准。证书更新：当证书持有者的证书过期，证书被窃取、丢失时通过更新证书的方法，使其使用新的证书继续参与网上认证。证书的更新包括证书的更换和证书的延期两种情况。证书废除：证书持有者可以向 CA 申请废除证书。CA 通过认证核实，即可履行废除证书

14、的职责，通知有关组织和个人，并写入黑名单 CRL。4.2 PKI 系统 一个完整的 PKI 系统对于数字证书的操作通常包括证书颁发、证书更新、证书废除、证书和 CRL 得公布、证书状态的在线查询、证书认证等。PKI 主要包括 4 个部分：X.509 格式的证书和证书撤销列表 CRL；CA/RA 操作协议；CA管理协议；CA 政策制定。PKI 应用系统包括：认证机构、根 CA、注册机构、证书目录、管理协议、操作协议、个人安全环境 PKI 相关标准：国际电信联盟 ITU X.509 协议、PKCS 系列标准、PKIX 系列标准。4.3常用信任模型 定义为信息是事物运动的状态和状态变化的方式信息的性

15、质普遍性无限性相对性传递性变换性有序性动态性转化性信息的分类从信息的性质出发信息可以分为语法信息语义信息和语用信息从信息的过程出发信息可以分为实在信息先体性质出发信息可以分为电子信息光学信息和生物信息等从携带信息的信号的形式出发信息可以分为连续信息离散信息半连续信息等历史回顾年哈特莱在贝尔系统技术杂志上发表了一篇题为信息传输的论文在这篇论文中他把信息解通信的数学论的论文在对信息的认识方面取得了重大突破堪称信息论的创始人他对信息的解信息是用来减少随机不定性的东西年维纳出版了专著控制论动物和机器中的通信与控制问题创建了控制论年意大利学着朗高在信息论新的趋基于 X.509 证书的信任模型主要有：1.

16、通用层次结构 2.下属层次信任模型 3.网状模型 4.混合信任模型 5.桥 CA 模型 6.信任链模型。信任模型中涉及一个重要概念：交叉认证。交叉认证：是一种把以前无关的 CA 连接在一起的有用机制，从而使得在它们各自主体群体之间的安全成为可能。第五章 密钥管理技术 5.1密钥管理概述 密钥管理包括：产生与所要求安全级别相称的合适密钥根据访问控制的要求，对于每个密钥决定哪个实体应该接受密钥的拷贝用可靠办法使这些密钥对开放系统中的实体是可用的，即安全地将这些密钥分配给用户某些密钥管理功能将在网络应用实现环境之外执行，包括用可靠手段对密钥进行物理的分配。5.2对称密钥的管理 加密密钥交换协议：1.

17、加密密钥交换协议 2.Internet 密钥交换协议 3.基于 Kerberos 的Internet 密钥协商协议 5.3 非对称密钥的管理 非对称密钥的管理主要在于密钥的集中式管理。非对称密钥的技术优势：每次信息交换都对应生成了唯一的一把密钥，因此各通信方就不再需要对密钥进行维护和担心密钥的泄露或过期；即使泄露了对称密钥也将只影响一次通信，而不会影响到通信双方之间的所有通信。对称密钥和公钥密码技术（非对称）的比较：对称 公钥 密钥 同 不同 速度 快 慢 密钥分配 大问题 没问题 伸缩性不好 好 功能 保密通讯 密钥分配，数字签名和认证 5.6密钥托管 密钥的托管：提供强密码算法实现用户的保

18、密通信，并使获得合法授权的法律执行机构利用密钥托管机构提供的信息，恢复出会话密钥从而对通信实施监听。密钥托管的重要功能：1.防抵赖 2.政府监听 3.密钥恢复 密钥托管加密系统的组成：用户安全部分、密钥托管部分、政府监听部分、法律授权部分、外部攻击部分。第六章访问控制技术 6.1访问控制的模型 访问控制模型是一种从访问控制的角度出发，描述安全系统，建立安全模型的方法。访问控制包括 3 个要素：主体、客体、控制策略。访问控制的 3 个内容：认证、控制策略实现和审计。访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。访问控制模型有：自主访问控制模型、强制访问控制模型、基

19、于角色的访问控制模型、基于任务的访问控制模型、基于对象的访问控制模型。自主访问控制模型:是根据自主访问控制策略建立的一种模型，允许合法用户以用户或用户组的身份访问策略规定的客体，同时阻止非授权用户访问客体，某些用户还可以自主地把自己所拥有的客体的访问权限授予其他用户。强制访问控制模型（MAC）：系统事先给访问主体和受控对象分配不同的安全级别属性，定义为信息是事物运动的状态和状态变化的方式信息的性质普遍性无限性相对性传递性变换性有序性动态性转化性信息的分类从信息的性质出发信息可以分为语法信息语义信息和语用信息从信息的过程出发信息可以分为实在信息先体性质出发信息可以分为电子信息光学信息和生物信息等

20、从携带信息的信号的形式出发信息可以分为连续信息离散信息半连续信息等历史回顾年哈特莱在贝尔系统技术杂志上发表了一篇题为信息传输的论文在这篇论文中他把信息解通信的数学论的论文在对信息的认识方面取得了重大突破堪称信息论的创始人他对信息的解信息是用来减少随机不定性的东西年维纳出版了专著控制论动物和机器中的通信与控制问题创建了控制论年意大利学着朗高在信息论新的趋在实施访问控制时，系统先对访问主体和受控对象的安全级别属性进行比较，再决定访问主体能否访问该受控对象。基于角色的访问控制模型：将访问许可权分配给一定的角色，用户通过饰演不同的角色获得角色所拥有的访问许可权。基于任务的访问控制模型：以面向任务的观点

21、，从任务的角度来建立安全模型和实现安全机制，在任务处理的过程中提供动态实时的安全管理。TBAC 模型由：工作流、授权结构体、受托人集、许可集 4 个部分组成。6.2访问控制策略 访问控制的安全策略有以下两种实现方式：基于身份的安全策略和基于规则的安全策略。安全策略的实施原则：1.最小特权原则 2.最小泄露原则 3.多级安全策略 基于身份的安全策略包括：基于个人的策略和基于组的策略。基于个人的策略：是指以用户为中心建立的一种策略，策略由一些列表组成，列表限定了针对特定的客体，哪些用户可以实现何种策略操作行为。基于身份的安全策略有两种基本的实现方法：能力表和访问控制列表。6.3访问控制与审计 审计

22、跟踪可以实现多种安全相关目标包括：个人只能、事件重建、入侵检测、故障分析 第七章 网络的攻击与防范 7.1网络的攻击 网络攻击技术和攻击技术的发展趋势：1.攻击技术手段在快速改变 2.安全漏洞被利用的速度越来越快 3.有组织的攻击越来越多 4.攻击的目的和目标在改变 5.攻击行为越来越隐蔽 6.攻击者的数量不断增加，破坏效果越来越大 网络攻击模型将攻击过程划分为以下阶段：1.攻击身份和位置隐藏 2.目标系统信息收集 3.弱点信息挖掘分析 4.目标使用权限获取 5.攻击行为隐藏 6.攻击实施 7.开辟后门 8.攻击痕迹清除 7.2网络攻击实施和技术分析 网络攻击是指任何非授权而进入或试图进入他人

23、计算机网络的行为。权限获取的几种方式：1.通过网络监听获取权限 2.基于网络账号口令破解获取权限 3.通过网络欺骗获取权限 常用的破解口令的方法有：强制口令破解、获取口令文件。强制口令破解：通过破解获得系统管理员口令，进而掌握服务器的控制权。网络钓鱼：通过欺骗手段获取敏感的个人信息的攻击方法。网络监听程序一般包括以下步骤：数据包捕获、数据包过滤与分解、数据分析 DoS攻击：攻击者过多地占用系统资源直到系统繁忙、超载而无法处理正常的工作，甚至系统崩溃。DDoS攻击：基于 TCP/IP 协议本身的漏洞和缺陷，利用成百上千个被控制点发动的大规模协同攻击，通过消耗资源，使被攻击主机瘫痪和死机，从而造成

24、合法用户无法访问。DoS 攻击分 3 类：1.消耗稀少的、有限的并且无法再生的系统资源 2.破坏或者更改系统的配置信息 3.对网络部件和设备进行物理破坏和修改 DDoS 攻击过程分为以下步骤：1.探测扫描寻找可以入侵的主机 2.入侵有安全漏洞的主机并且获取控制权 3.在每台被入侵主机中安装攻击程序 第八章 系统安全 8.1操作系统安全 操作系统安全机制有：身份认证机制、访问控制机制、安全审计机制 8.2数据库安全 定义为信息是事物运动的状态和状态变化的方式信息的性质普遍性无限性相对性传递性变换性有序性动态性转化性信息的分类从信息的性质出发信息可以分为语法信息语义信息和语用信息从信息的过程出发信

25、息可以分为实在信息先体性质出发信息可以分为电子信息光学信息和生物信息等从携带信息的信号的形式出发信息可以分为连续信息离散信息半连续信息等历史回顾年哈特莱在贝尔系统技术杂志上发表了一篇题为信息传输的论文在这篇论文中他把信息解通信的数学论的论文在对信息的认识方面取得了重大突破堪称信息论的创始人他对信息的解信息是用来减少随机不定性的东西年维纳出版了专著控制论动物和机器中的通信与控制问题创建了控制论年意大利学着朗高在信息论新的趋 数据库的攻击手段包括：弱口令入侵、SQL 注入攻击、利用数据库漏洞进行攻击 数据库安全的基本技术：数据库的完整性、存取控制机制、视图机制、数据库加密 数据库的完整性包括：实体

26、完整性、域完整性、参照完整性、用户自定义完整性、分布式数据完整性。8.3数据备份和恢复 数据备份和恢复技术有：高可用性系统、网络备份、SAN 备份、归档和分级存储管理、数据容灾系统。第九章网络安全技术 9.1防火墙技术 网络防火墙：是一种用来加强网络之间访问控制、防止外部网络用户以非法手段通过外部网络进入内部网络、访问内部网络资源、保护内部网络操作环境的特殊网络互联设备。防火墙的作用是能有效地控制内部网络与外部网络之间的访问及数据传送，从而达到保护内部网络的信息不受外部非授权用户的访问，并过滤不良信息的目的。防火墙的技术包括：包过滤技术、代理技术、状态检测技术、网络地址翻译技术 防火墙和网络配

27、置上的 4 种典型结构：双宿/多宿主机模式、屏蔽主机模式、屏蔽子网模式、混合结构模式 VPN：即虚拟专用网是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术 9.4内外网隔离技术 物理隔离：是指内部网络与外部网络在物理上没有相互连接的通道，两个系统在物理上完全对立。物理隔离技术分为：用户级物理隔离、网络级物理隔离。用户级物理隔离经历 3 个阶段,第一个阶段采用双机物理隔离系统；第二阶段采用双硬盘物理隔离系统；第三阶段采用单硬盘物理隔离系统。网络级物理隔离有 3 种：隔离集线器、Internet 信息转播服务器、隔离服务器。单硬盘物理隔离系统：就是在一块硬盘上，将硬盘分成两个独立的分区

28、，同时通过对硬盘读写地址的监视及控制，使两个分区的内容完全独立，不能够相互访问。9.5反病毒技术 病毒是一段具有自我复制能力的代理程序，它将自己的代码写入宿主程序的代码中，以感染宿主程序。病毒产生的过程：程序设计传播潜伏触发运行实行攻击。病毒的特征：1.传染性 2.非法性 3.隐蔽性 4.潜伏性 5.破坏性 病毒按感染对象不同分为：引导型病毒、文件型病毒、混合型病毒 反病毒技术基本方法有：外观检测法、特征代码法、虚拟机技术、启发式扫描技术 邮件病毒特点：感染速度快、扩散面广、传播的形式复杂多样、难以彻底清除、破坏性大。定义为信息是事物运动的状态和状态变化的方式信息的性质普遍性无限性相对性传递性变换性有序性动态性转化性信息的分类从信息的性质出发信息可以分为语法信息语义信息和语用信息从信息的过程出发信息可以分为实在信息先体性质出发信息可以分为电子信息光学信息和生物信息等从携带信息的信号的形式出发信息可以分为连续信息离散信息半连续信息等历史回顾年哈特莱在贝尔系统技术杂志上发表了一篇题为信息传输的论文在这篇论文中他把信息解通信的数学论的论文在对信息的认识方面取得了重大突破堪称信息论的创始人他对信息的解信息是用来减少随机不定性的东西年维纳出版了专著控制论动物和机器中的通信与控制问题创建了控制论年意大利学着朗高在信息论新的趋