信息安全.docx
《信息安全.docx》由会员分享,可在线阅读,更多相关《信息安全.docx(11页珍藏版)》请在冰点文库上搜索。
信息安全
第一章
1.动态安全模型:
P2DR2研究的是基于企业网对象、依时间及策略特征的动态安全模型结构,有策略、防护、检测、响应和恢复等要素构成,是一种基于闭环控制、主动防御的动态安全模型。
(policy,protection,detection,response,restore)
第二章
1.Osi参考模型:
开放系统互连体系结构,总共分为7层,分别为:
物理层,数据链路层,网络层,传输层,会话层,表示层,应用层。
物理层:
单位:
比特
作用:
为它的上一层提供一个物理连接,以及它们的机械、电气、功能和过程特性。
数据:
在这一层,数据还没有被组织,仅作为原始的比特流或电气电压处理。
数据链路层:
单位:
帧
作用:
负责在两个相邻节点间的线路上,无差别地传送数据
数据:
每一帧包括一定量的数据和一些别要的控制信息。
网络层:
主要协议IP
单位:
数据包
作用:
选择适合的网间路由和交换节点,确保数据及时传送。
数据:
将数据链路层提供的帧组成数据包,包中封装有网络层包头,其中还有逻辑地址信息,包括源站点和目的站点的网络地址。
传输层:
主要协议TCPUDP
单位:
报文
作用:
为两个端系统(也就是源站和目的站)的会话层之间,提供建立、维护和取消传输链接的功能,可靠地传输数据。
会话层:
单位:
报文
作用:
提供包括访问验证和会话管理在内的建立和维护应用之间通信的机制。
表示层:
单位:
报文
作用:
语法转换为适合于OSI系统内部使用的传送语法,即提供格式化的表示和转换数据服务。
数据:
数据的压缩和解压缩、加密和解密
应用层:
主要协议:
FTPHTTPTELNETSNMPTETPNTP
单位:
报文
作用:
满足用户需要以及提供网络与用户应用软件之间的接口服务。
2.Web服务也称为www服务,主要功能是提供网上信息浏览服务。
3.windows平台NT/2000/2003使用IIS的web服务器。
4.FTP服务:
主要作用是让用户连接上一个远程计算机(这些计算机上运行着FTP服务器程序),查看远程计算机有哪些文件,然后把文件从远程计算机上复制到本地计算机,或把本地计算机的文件传送到远程计算机上。
TCP端口号位21Port方式端口号为20。
5.pingurl可以直接显示出目标url的IP地址。
6.Telnet是TCP/IP网络的登录和仿真程序
第三章
1.按照攻击方式分类攻击可分为主动攻击和被动攻击两类。
1)被动攻击:
包括窃听和监听,攻击者的目的是获取正在传输的信息,但不对数据进行任何形式的改变。
2)主动攻击。
涉及到对数据流的默写修改,或者生成一个假的数据流。
大致分为四类:
伪装、应答、修改报文、拒绝服务。
其中拒绝服务攻击:
是最容易实施的攻击行为,它通过使目标计算机崩溃或把它压垮来阻止其提供服务。
2.网络踩点,也就是信息收集。
黑客实施攻击前要做的第一步就是“踩点“
3.安全漏洞:
是指计算机系统具有的某种可能被入侵者恶意利用的属性,在计算机安全领域,安全漏洞通常又称作脆弱性。
计算机漏洞是系统的一组特性,恶意的主体能够利用这组特性,通过已授权的手段和方式获取对资源的未授权访问,或者对系统造成损害。
4.端口扫描的原理:
端口扫描向目标主机的TCP/IP服务端口发送探测数据报,并记录目标主机的响应。
通过分析响应来判断服务端口是打开还是关闭,从而得知端口提供的服务或信息。
只要扫描到相应的端口开着,就能知道目标主机上运行着什么服务,然后入侵者才能针对这些服务进行相应的攻击。
5.Hub和网卡的工作原理:
广播模式:
该模式下的网卡能够接收接收网络中的广播信息。
组播方式:
设置在该模式下的网卡能够接收组播数据。
直接方式:
在该模式下,只有目的网卡才能接收该数据。
混杂模式:
该模式下的网卡能够接收一切通过它的数据,而不管该数据是不是传给它的。
6.网络监听的预防和检测方法:
1)网络分段。
将网络分段工作做得越细,嗅探器能够收集到的信息就越少。
因此,合理利用交换机、路由器等设备对网络进行分段,可以有效减少嗅探器的危害。
2)加密会话。
如果对会话数据进行加密,那么这些数据即使被嗅探器捕获,入侵者也很难从加密的数据中还原数据。
这是从根本上解决嗅探攻击的一个措施。
3)使用检测工具。
可以发现单机上的嗅探器。
4)观察异常情况。
如果管理员经常对网络异常情况进行监控,就很可能发现网络中存在的嗅探器。
7.Snnifer是一个图形化嗅探器。
即监听工具。
第四章
1.攻击的一般流程:
踩点——扫描——入侵——获取权限——提升权限——清除日志信息。
2.缓冲区溢出攻击:
通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他指令,已达到攻击的目的。
3.DoS攻击:
即拒绝服务攻击是目前黑客广泛使用的一种攻击手段。
最常见的有计算机网络带宽攻击和连通性攻击。
带宽攻击指以极大的通信量冲击网络使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求无法通过。
连通性攻击指大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法在处理合法用户的请求。
4.社会工程学攻击(辨析)是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理缺陷进行诸如欺骗、伤害等危险手段,取得自身利益的手法。
(假网站中奖信息填写)
第五章
1.木马:
木马一般有两个程序,一个是客户端,另一个是服务器端。
如果要给别人计算机上种木马,则受害者一方运行的是服务器端程序,而自己使用的是客户端来控制受害者机器。
2.后门:
是指乃些绕过安全性控制而获取对程序或系统访问权的程序方法。
第六章
1.计算机病毒的特征:
1)传染性:
基本特征。
2)隐蔽性3)潜伏性4)破坏性(要能分辨表现的为哪种特征)
2.U盘autorun.inf文件病毒及清除方法(大题,怎样预防)
一种是假回收站方式:
病毒通常在优盘中建立一个RECYCLER的文件夹,隐藏在很深的目录中。
另一种是假冒杀毒软件方式:
感染的特征这个病毒有着非常明显的外部特征,但是却又常常容易被突略。
之所以容易忽略,是因为它并不会令电脑变慢,所以很多人就不注意到。
但是如果我们在双击打开U盘时,不是在当前窗口打开,而是在新窗口中打开,那么则有可能中毒了。
这时可以在“我的电脑”中右击盘符,看其最上方的一项命令是什么,如果为“Auto”,而不是正常的“打开”(图1),那么中毒的可能性则进一步增大;但要确认中毒,还需要我们在地址栏中输入E:
\autorun.inf(E盘需换成实际的盘符),如果打开的文件中open行后所跟的文件是sxs.xls.exe这样的文件,那么则肯定中毒了。
清除方法:
1)如果发现U盘有autorun.inf,且不是自己创建生成的,请删除它,并且尽快查毒。
2)如果有类似回收站、瑞星文件等文件,通过对比硬盘上的回收站名称、正版的瑞星名称,缺人该内容不是自己创建生成的,可直接删除。
3)一般建议插入U盘时,不要双击U盘,另外有一个更好的技巧:
插入U盘前,按住SHIFT键,然后插入U盘,建议按键的时间长一点,插入后,用右键单击U盘,选择资源管理器来打开U盘。
3.恶意软件的特征:
1、强制安装:
指未明确提示用户或未经用户许可,在用户计算机或其他终端上安装软件的行为。
2、难以卸载:
指未提供通用的卸载方式,或在不受其他软件影响、人为破坏的情况下,卸载后仍然有活动程序的行为。
3、浏览器劫持:
指未经用户许可,修改用户浏览器或其他相关设置,迫使用户访问特定网站或导致用户无法正常上网的行为。
4、广告弹出:
指未明确提示用户或未经用户许可,利用安装在用户计算机或其他终端上的软件弹出广告的行为。
5、恶意收集用户信息:
指未明确提示用户或未经用户许可,恶意收集用户信息的行为。
6、恶意卸载:
指未明确提示用户、未经用户许可,或误导、欺骗用户卸载其他软件的行为。
7、恶意捆绑:
指在软件中捆绑已被认定为恶意软件的行为。
8、其他侵害用户软件安装、使用和卸载知情权、选择权的恶意行为。
第八章
防火墙:
通常是运行在一台或多台计算机之上的一组特别的服务软件,用于对网络进行防护和通信控制。
防火墙的优缺点:
优点:
1)可以完成整个网络安全策略的实施。
防火墙可以把通信访问限制在可管理范围。
2)可以限制对某种特殊对象的访问,如限制某些用户对重要服务器的访问。
3)具有出色的审计功能,对网络连接的记录、历史记录、故障记录等都具有很好的审计功能。
4)可以对有关的管理人员发出警告。
5)可以将内部网络结构隐藏起来。
缺点:
1)不能防止不经过它的攻击,不能防止授权访问的攻击。
2)只能对配置的规则有效,不能防止没有配置的访问。
3)不能防止通过社交工程手段的攻击和一个合法用户的攻击行为。
4)不能防止针对一个设计上有问题的系统攻击。
包过滤技术:
是防火墙在网络层中根据数据包中包头信息有选择地实施允许通过或阻断。
代理服务器:
代理服务器的防火墙作用在应用层,它用来提供应用层服务的控制,在内部网络向外部网络申请服务时起到中间转接作用。
边界防火墙:
传统的防火墙设置在网络边界,处于内外网之间,所以称为边界防火墙。
而分布式防火墙技术可以很好的解决防火墙的不足,把防火墙的安全防护系统延伸到网络中的各台主机。
(能对内部网络实施防护)。
双重宿主主机体系结构:
至少有两个网络接口(内外网),这样的主机可以充当外部网络和内部网络之间的路由器。
DMZ网络:
周边网络是一个被隔离的独立子网,充当了内部网络和外部网络的缓冲区,在内部网络与外部网络之间形成了一个“隔离带”。
这就构成了一个所谓的DMZ。
(DMZ网络最安全)
第九章
入侵检测系统:
是全新的计算机安全模式,它不仅可以检测来自网络外部的入侵行为,同时也可以检测来自网络内部用户的未授权活动和误操作,有效地弥补了防火墙的不足,被称为防火墙之后的第二道安全闸门。
入侵检测系统包括三个功能部件:
提供事件记录流的信息源、发现入侵迹象的分析引擎和基于分析引擎的结果产生反应的响应部件。
入侵检测系统的分类:
基于主机的IDS(HIDS):
通过监视和分析所在主机的审计记录检测入侵。
基于网络的IDS(NIDS):
通过在共享网段上对主机之间的通信数据进行侦听,分析可疑现象。
基于路由器的入侵检测(RIDS):
通过对网关中相关信息的提取,提供对整个信息基础设施的保护,确保大型网络计算机之间安全、可靠的连接。
一般安装在路由器上,但负载变化对网络性能的影响很大。
异常检测系统:
假定所有的入侵行为都与正常行为不同,建立正常活动的简档,当主体活动违反其统计规律时,则将其视为可疑行为
误用检测系统:
假定所有入侵行为和手段都能够表达为一种模式或特征,系统的目标就是检测主体活动是否符合这些模式,如果符合则视为可疑行为。
第十章
VPN是一种能够将物理上分布在不同地点的网络通过公用骨干网,尤其是Internet连接而成的逻辑上的虚拟子网
VPN的特点1.降低成本2.易于扩展3.安全性高4.支持常用网络协议
AccessVPN即移动的VPN,适用于企业内部人员流频繁或远程办公的情况,出差员工或者在家办公的员工利用当地ISP就可以和企业的VPN网关建立私有的隧道连接
IPSec工作在OSI模型中的第三层——网络层(ipsec是Ietenet安全协议)
IPSec协议可以设置成在俩种模式下运行,一种是隧道模式,一种是传输模式。
在隧道模式下,IPSec把IPv4数据包封装在安全的IP帧中。
传输模式是为了保护端到端的安全性,不会隐藏路由信息。
第十一章
使用NTFS的好处:
用户可以对NTFS系统中的任何文件.目录设置权限,这样当多用户同时访问系统的时候,可以增加文件的安全性
Windows2000中的Administrator账户是不能被停用的,不要使用Admin之类的名字,否则改了等于没改,应尽量把管理员账户伪装成普通用户,比如改成guestone。
陷阱账户是创建一个名为Administrator或Admin的本地账户,把他权限设置成最低,什么事也干不了的那种
黑客利用活动时间值可以鉴别操作系统的类型,通过Ping指令能判断目标主机类型。
Windows中可禁用的服务:
PrintSpooler将文件加载到内存中以便以后打印。
要用打印机的用户不能禁用此服务。
TTL(time-to-live):
黑客利用活动时间(TTL)值可以鉴别操作系统的类型,通过PING指令能判断目标主机类型。
第十三章
加密算法:
密码员对明文进行加密时采用的一组规则称为加密算法
解密算法:
接受者对密文进行解密时采用的一组规则称作解密算法
现代密码学的一个基本原则是:
一切秘密都存在于密钥中。
其含义是,在设计加密系统时,总是假设密码算法是公开的,真正需要保密的是密钥。
对称加密算法
对称加密算法是应用较早的加密算法,技术成熟。
在对称加密算法中,数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。
收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。
在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。
对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。
不足之处是,交易双方都使用同样钥匙,安全性得不到保证。
此外,每对用户每次使用对称加密算法时,都需要使用其他人不知道的惟一钥匙,这会使得发收信双方所拥有的钥匙数量成几何级数增长,密钥管理成为用户的负担。
对称加密算法在分布式网络系统上使用较为困难,主要是因为密钥管理困难,使用成本较高。
在计算机专网系统中广泛使用的对称加密算法有DES、IDEA和AES。
不对称加密算法
不对称加密算法使用两把完全不同但又是完全匹配的一对钥匙—公钥和私钥。
在使用不对称加密算法加密文件时,只有使用匹配的一对公钥和私钥,才能完成对明文的加密和解密过程。
加密明文时采用公钥加密,解密密文时使用私钥才能完成,而且发信方(加密者)知道收信方的公钥,只有收信方(解密者)才是唯一知道自己私钥的人。
不对称加密算法的基本原理是,如果发信方想发送只有收信方才能解读的加密信息,发信方必须首先知道收信方的公钥,然后利用收信方的公钥来加密原文;收信方收到加密密文后,使用自己的私钥才能解密密文。
显然,采用不对称加密算法,收发信双方在通信之前,收信方必须将自己早已随机生成的公钥送给发信方,而自己保留私钥。
由于不对称算法拥有两个密钥,因而特别适用于分布式系统中的数据加密。
广泛应用的不对称加密算法有RSA算法和美国国家标准局提出的DSA。
以不对称加密算法为基础的加密技术应用非常广泛。
对称密钥算法就是用加密数据使用的密钥可以计算出用于解密的数据的密钥,反之亦然。
散列函数:
又称为Hash函数.杂凑函数.哈希算法.散列算法或消息摘要算法。
他通过把一个单向数学函数应用于数据,将任意长度的一块数据转换为一个定长的.不可逆转的数据。
消息摘要算法可以敏感的检测到数据是否被篡改。
消息摘要算法再结合其他的算法就可以用来保护数据的完整性
散列函数的特点是
(1)接受的输入报文数据没有长度限制。
(2)对输入任何长度的报文数据能够生成该电文固定长度的摘要输出
(3)从报文能方便的算出摘要
(4)极难从指定的摘要升成一个报文,而由该报文又反推算出该指定的摘要
(5)俩个不同的报文极难生成相同的摘要
常用的Hash函数有MD5(128bit)
数字签名就是通过某种密码运算生成的一系列符号及代码组成电子密码进行签名,来代替书写签名或印章,对于这种电子式的签名还可以进行技术验证,用于鉴定签名人的身份以及对一项电子数据内容的认可
密码没有绝对的安全
第十四章
PKI公钥基础设施体系主要由密钥管理中心。
CA认证机构。
RA注册审核机构。
证书/CRL发布系统和应用接口系统五部分组成
数字证书:
数字证书就是网络通信中标志通信各方身份信息的一系列数据,其作用类似于现实中的身份证。
SSL(安全套接字)协议利用PKI技术来进行身份认证。
完成数据加密算法极其密钥协议商,很好的解决了身份验证.加密传输和密钥分发等问题。
第十五章
SQL注入攻击的基本思想就是在用户输入中注入一些额外的特殊字符或者SQL语句,使系统构造出来的SQL语句在执行时改变了查询条件,或者附带执行了攻击者注入的SQL语句。
攻击者根据程序返回的结果,活的某些想知道的数据,这就是SQL注入。
SQL注入攻击的一般步骤1.发现SQL注入位置2.判断数据库的类型3.通过SQL注入获取需要的数据4.执行其他操作。
升级会员 