网络信息安全知识点.docx
《网络信息安全知识点.docx》由会员分享,可在线阅读,更多相关《网络信息安全知识点.docx(22页珍藏版)》请在冰点文库上搜索。
网络信息安全知识点
1.什么是信息安全
为了防止XX就对知识、实事、数据或能力进行使用、滥用、修改、破坏、回绝使用或使信息被非法系统辨识、控制而采用办法。
建立在网络基本之上信息系统,其安全定位较为明确,那就是:
保护信息系统硬件、软件及有关数据,使之不由于偶尔或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统可以持续、可靠、正常地运营。
2.安全隐患a)硬件安全隐患;b)操作系统安全隐患;c)网络合同安全隐患;d)数据库系统安全隐患;e)计算机病毒;f)管理疏漏,内部作案。
3.安全管理实行:
风险评估、级别保护
4.信息安全技术典型地应当涉及如下几种方面内容:
物理安全技术、系统安全技术、网络安全技术、应用安全技术、数据加密技术、认证授权技术、访问控制技术、扫描评估技术、审计跟踪技术、病毒防护技术、备份恢复技术、安全管理技术
5.信息安全普通强调所谓CIA三元组目的,即保密性、完整性和可用性。
6.安全威胁:
对安全一种潜在侵害。
威胁实行称为袭击。
计算机系统安全面临威胁重要体当前三类:
泄漏信息:
指敏感数据在故意或无意中被泄漏出去或丢失,它普通涉及,信息在传播中丢失或泄漏,信息在存储介质中丢失或泄漏。
破坏信息:
以非法手段窃得对数据使用权,删除、修改、插入或重发某些重要信息,以获得有益于袭击者响应;恶意添加,修改数据,以干扰顾客正常使用。
回绝服务:
它不断对网络服务系统进行干扰,影响正惯顾客使用,甚至使合法顾客被排斥而不能进入计算机网络系统或不能得到相应服务。
7.安全体系构造
物理层安全:
物理层信息安全,重要防止物理通路损坏、窃听、干扰等。
链路层安全:
链路层网络安全需要保证通过网络链路传送数据不被窃听。
重要采用划分VLAN(局域网)、加密通讯(远程网)等手段。
网络层安全:
网络层安全需要保证网络只给授权客户使用授权服务,保证网络路由对的,避免被拦截或监听。
操作系统安全:
操作系统安全规定保证客户资料、操作系统访问控制安全,同步可以对该操作系统上应用进行审计。
应用平台安全:
应用平台指建立在网络系统之上应用软件服务,如数据库服务器、电子邮件服务器、Web服务器等。
由于应用平台系统非常复杂,普通采用各种技术(如SSL等)来增强应用平台安全性。
应用系统安全:
应用系统完毕网络系统最后目的——为顾客服务。
应用系统安全与系统设计和实现关系密切。
应用系统使用应用平台提供安全服务来保证基本安全,如通讯内容安全,通讯双方认证,审计等手段。
网络信息系统安全体系包括:
访问控制:
通过对特定网段、服务建立访问控制体系,将绝大多数袭击制止在到达袭击目的之前。
检查安全漏洞:
通过对安全漏洞周期检查,虽然袭击可到达袭击目的,也可使绝大多数袭击无效。
袭击监控:
通过对特定网段、服务建立袭击监控体系,可实时检测出绝大多数袭击,并采用相应行动(如断开网络连接、记录袭击过程、跟踪袭击源等)。
认证:
良好认证体系可防止袭击者假冒合法顾客。
备份和恢复:
良好备份和恢复机制,可在袭击导致损失时,尽快地恢复数据和系统服务。
多层防御:
袭击者在突破第一道防线后,延缓或阻断其到达袭击目的。
隐藏内部信息:
使袭击者不能理解系统内基本状况。
设立安全监控中心:
为信息系统提供安全体系管理、监控,救护及紧急状况服务。
第二章
1.密码学是研究如何实现秘密通信科学,涉及密码编码学和密码分析学。
密码编码学是对信息进行编码实现信息保密性科学。
密码分析学是研究、分析、破译密码科学。
2.加密算法三个发展阶段:
典型密码体制对称密钥密码(即:
单钥密码体制)公钥密钥密码(即:
双钥密码体制)
3.数据加密技术重要分为数据传播加密和数据存储加密。
4.数据传播加密技术重要是对传播中数据流进行加密,惯用有链路加密、节点加密和端到端加密三种方式。
5.数据加密算法经历了如下三个阶段。
⏹1)古典密码:
涉及代换加密、置换加密。
⏹2)对称密钥密码:
涉及DES和AES。
⏹3)公开密钥密码:
涉及RSA、背包密码、McEliece密码、Rabin、椭圆曲线、EIGamalD_H等。
6.计算机网络加密技术
密码技术是网络安全最有效技术之一。
一种加密网络,不但可以防止非授权顾客搭线窃听和入网,并且也是对付恶意软件有效办法之一。
☐普通数据加密可以在通信三个层次来实现:
链路加密、节点加密和端到端加密。
7.密码学基本概念
⏹密文:
明文通过密码变换后消息。
⏹加密:
由明文到密文变换。
⏹解密:
从密文恢复出明文过程。
⏹破译:
非法接受者试图从密文分析出明文过程。
⏹加密算法:
对明文进行加密时采用一组规则。
⏹解密算法:
对密文进行解密时采用一组规则。
⏹密钥:
加密和解密时使用一组秘密信息。
8.分组密码设计原理
9.分组密码普通构造普通有两种:
Feistel网络构造由Feistel创造,被DES采用
SP网络构造1)可逆函数S,置换作用P,是一种重要构造2)AES原则采用此构造
10.Feistel构造:
每轮解决一半数据,加解密相似。
SP构造(代替-置换网络):
每轮解决整个分组数据,加解密不相似。
SP构造是Feistel构造推广,构造更加清晰,S普通称为混淆层,重要起混淆作用;P普通称为扩散层,重要起扩散作用。
11.DES构造明文分组:
64bit密文分组:
64bit密钥:
64bit,其中8bit为校验位,实际56bit轮数:
16轮(圈)加密函数:
直接异或,8个6-4S盒。
第三章
1.散列函数(又称hash函数,杂凑函数)是将任意长度输入消息M映射成一种固定长度散列值h特殊函数:
h=H(M)
其中M是变长输入消息,h=H(M)是定长散列值(或称为消息摘要)。
散列函数H是公开,散列值在信源处被附加在消息上,接受方通过重新计算散列值来确认消息未被篡改。
由于函数自身公开,传送过程中对散列值需要此外加密保护(如果没有对散列值保护,篡改者可以在修改消息同步修改散列值,从而使散列值认证功能失效)
2.散列函数要具备单向性,必要满足如下特性:
⏹给定M,很容易计算h;
⏹给定h,依照H(M)=h,反推M很难;
⏹给定M,要找到另一种消息M’,并满足H(M)=H(M’)是很难。
☐单向散死函数是从全体消息集合到一种肯有固定长度消息摘要变换。
☐带密钥哈希函数可用于认证、密钥共享、软件保护等方面。
3.MD5算法逻辑输入:
任意长度消息;输出:
128位消息摘要;解决:
以512位输入数据块为单位
4.SHA-1算法逻辑输入:
最大长度为264位消息;输出:
160位消息摘要;解决:
输入以512位数据块为单位解决
第四章
1.公钥密码与对称钥密码比较:
公钥密码:
不需共享密钥;理论基本坚实;产生数字签名;速度慢、密钥长.
对称钥密码:
速度快,密钥短,可作为基本单元构建,各种密码工具如伪随机数产生器、Hash函数;需要实现共享密钥、密钥管理困难;没有可证明安全性;
公钥密码--有效数字签名和密钥管理;少量数据加密;公钥惯用于加密对称密钥。
这样系统称为混合密码系统。
对称钥密码--有效大量数据加密和某些数据完整性应用。
2.公钥密码体制概念
每个顾客均有一对预先选定密钥:
一种是公钥,以k1表达,另一种是私钥,以k2表达,公钥k1是公开,任何人都可以得到,私钥是其拥有者自己保存。
3.非对称密码算法原理
非对称密钥密码,也称公开密钥密码,由Diffie,Hellman1976年提出
使用两个密钥,对于密钥分派、数字签名、认证等有深远影响
基于数学函数而不是代替和换位,密码学历史上唯一一次真正革命
每个通信实体有一对密钥(公钥,私钥)。
公钥公开,用于加密和验证签名,私钥保密,用作解密和签名
4.公钥密码系统应用
⏹三种用途:
加密/解密:
数字签名:
发送方用自己私钥订立报文,接受方用对方公钥验证对方签名;密钥互换:
双方协商会话密钥
⏹5.数字签名(digitalsignature)是指运用数学办法及密码算法对电子文档进行防伪造或防篡改解决技术。
就象寻常工作中在纸介质文献上进行签名或按手印同样,它证明了纸介质上内容是签名人承认过,可以防伪造或篡改。
⏹6.数字签名作用:
保证信息完整性;提供信息发送者身份认证。
⏹7.与老式签名区别:
需要将签名与消息绑定在一起。
普通任何人都可验证。
要考虑防止签名复制、重用。
⏹8.数字签名(DigitalSignature)信息发送者使用公开密钥算法技术,产生别人无法伪造一段数字串。
⏹9.发送者用自己私有密钥加密数据传给接受者,接受者用发送者公钥解开数据后,就可拟定消息来自于谁,同步也是对发送者发送信息真实性一种证明。
发送者对所发信息不能抵赖
⏹10.数字签名必要保证:
可验证:
签字是可以被确认;防抵赖:
发送者事后不承认发送报文并签名;防假冒:
袭击者冒充发送者向收方发送文献;防篡改:
收方对收到文献进行篡改;防伪造:
收方伪造对报文签名。
签名对安全、防伪、速度规定比加密更高。
⏹11.数字签名特性
⏹签名是可信:
任何人都可以以便地验证签名有效性。
⏹签名是不可伪造:
除了合法签名者之外,任何其她人伪造其签名是困难。
这种困难性指实现时计算上是不可行。
⏹签名是不可复制:
对一种消息签名不能通过复制变为另一种消息签名。
如果一种消息签名是从别处复制,则任何人都可以发现消息与签名之间不一致性,从而可以回绝签名消息。
通过增长时间戳实现。
⏹12.数字签名过程:
⏹假设A要发送一种电子文献给B。
⏹1.系统初始化:
选取签名所需算法、参数
⏹2.产生签名:
A用其私钥加密文献并发送给B;
⏹3.签名验证:
B用A公钥解开A送来文献
⏹签名体制构成:
签名算法;验证算法
⏹13.签名与加密
⏹签名提供真实性(authentication)先签名,后加密
⏹加密提供保密性(confidentiality)先加密,后签名:
⏹“签名+加密”提供“真实性+保密性”
⏹14.认证与签名区别
Ø认证能验证消息来源及完整性,防范第三者;
Ø签名在收发双方产生利害冲突时,解决纠纷。
第五章
1.PKI(PubicKeyInfrastructure)概念
PKI是通过近年研究形成一套完整Internet安全解决方案。
它用公钥技术和规范提供用于安全服务具备普适性基本设施。
顾客可运用PKI平台提供服务进行安全通信。
2.PKI系统由五个某些构成:
认证中心CA,注册机构RA、证书库CR、证书申请者、证书信任方。
前三某些是PKI核心,证书申请者和证书信任方则是运用PKI进行网上交易参加者。
3.什么是数字证书:
一段涉及顾客身份信息、顾客公钥信息以及身份验证机构数字签名数据,一种经证书认证中心(CA)签名涉及公钥拥有者信息及公钥信息文献
4.数字证书作用1)网络通信身份证明,解决互相间信任问题2)顾客公钥信息顾客数据加密,保证数据保密性、顾客身份不可抵赖性
5.CA:
⏹一种值得信赖公正第三方机构,PKI核心
⏹管理数字证书:
证书签发(把顾客公钥和顾客其她信息捆绑在一起)等
⏹在网上验证顾客身份:
证书废除列表管理等
6.RA:
⏹CA构成某些,实现CA功能一某些
⏹CA面向顾客窗口,接受顾客申请、审核顾客身份
⏹代表CA发放证书
7.RS:
⏹管理所辖受理点顾客资料、受理顾客证书业务、审核顾客身份、向受理中心或RA中心申请签发证书和将RA中心或受理中心制作证书介质分发给顾客
8.CA作用
⏹权威、可信、第三方机构,为认证需求提供数字证书有关服务
第六章
1.实现信息隐藏基本规定
☐载体对象是正常,不会引起怀疑
☐伪装对象与载体对象无法区别,无论从感观上,还是从计算机分析上
☐安全性取决于第三方有无能力将载体对象和伪装对象区别开来
☐对伪装对象正常解决,不应破坏隐藏信息
2.信息隐藏应用
☐数据保密
⏹防止信息被截获
☐数据不可抵赖性
⏹电子商务、数字水印技术
☐数据完整性
⏹防篡改
☐数字作品版权保护
⏹是数字水印技术一种重要应用
☐防伪
⏹票据防伪,数字票据可打印、可扫描
3.数字水印是信息隐藏技术重要分支数字水印是永久镶嵌在其她数据(宿主数据)中具备可鉴别性数字信号或模式,并且不影响宿主数据可用性
4.数字水印不等同于信息隐藏,概念有区别
⏹数字水印注重水印,用于版权保护,可公开
⏹信息隐藏注重隐藏,不可见/不可察觉,要保密
5.数字水印应用
☐版权保护:
表白对数字产品所有权
☐数字指纹:
用于防止数字产品被非法复制和散发
☐认证和完整性校验:
验证数字内容未被修改或假冒
☐内容标记和隐藏标记:
多媒体内容检索
☐使用控制:
控制复制次数
☐内容保护:
保护内容不被滥用
第七章
1.认证(Authentication)就是对于证据辨认、核算、鉴别,以建立某种信任关系。
2.两类认证:
报文认证身份认证
3.报文认证,涉及报文源、报文内容和报文时间性认证;
4.身份认证概念:
⏹证明顾客真实身份与其所声称身份与否相符过程
⏹涉及:
辨认、验证
5.身份认证系统三某些:
1)认证服务器2)认证系统顾客端3)认证设备
6.身份认证合同:
双向、单向、其他合同(略)
7.常用身份认证技术
☐生物特性
⏹指纹、虹膜和视网膜、DNA
☐零知识证明
⏹交互式、非交互式
8.访问控制(AccessControl)是对信息系统资源访问范畴以及方式进行限制方略。
简朴地说,就是防止合法顾客非法操作。
9.访问控制三要素:
主体和客体都是访问控制系统中实体。
主体是发出访问祈求积极方,普通是顾客或顾客进程。
客体是被访问对象,普通是被调用程序、进程,要存取数据、文献、内存、系统、设备、设施等资源。
信息系统安全目的就是控制和管理主体对客体访问。
安全方略,就是对这些访问进行约束一组规则和目的,它反映了系统安全需求,并可以用达到安全目而采用环节进行描述。
10.自主访问控制
配备粒度小
配备工作量大,效率低
11.强制访问控制
配备粒度大
缺少灵活性
第八章
1.入侵检测是防火墙合理补充,它协助系统对付网络袭击,扩展了系统管理员安全管理能力(安全审计、监视、攻打辨认和响应),提高了信息安全基本构造完整性。
2.入侵检测是指“通过对行为、安全日记或审计数据或其他网络上可以获得信息进行操作,检测到对系统闯入或闯入企图”(参见国标GB/T18336)。
3.入侵检测是检测和响应计算机误用学科,其作用涉及威慑、检测、响应、损失状况评估、袭击预测和起诉支持
4.入侵检测技术是为保证计算机系统安全而设计与配备一种可以及时发现并报告系统中未授权或异常现象技术,是一种用于检测计算机网络中违背安全方略行为技术。
5.进行入侵检测软件与硬件组合便是入侵检测系统(IntrusionDetectionSystem,简称IDS)。
6.入侵检测系统IDS(IntrusionDetectionSystem)指是一种硬件或者软件系统,该系统对系统资源非授权使用可以做出及时判断、记录和报警。
7.入侵检测(IntrusionDetection)技术是一种动态网络检测技术,重要用于辨认对计算机和网络资源恶意使用行为,涉及来自外部顾客入侵行为和内部顾客XX活动。
一旦发现网络入侵现象,则应当做出恰当反映。
对于正在进行网络袭击,则采用恰当办法来阻断袭击(与防火墙联动)。
对于已经发生网络袭击,则应通过度析日记记录找到发生袭击因素和入侵者踪迹,作为增强网络系统安全性和追究入侵者法律责任根据。
它从计算机网络系统中若干核心点收集信息,并分析这些信息,看看网络中与否有违背安全方略行为和遭到袭击迹象。
8.入侵检测系统(IDS)由入侵检测软件与硬件组合而成,被以为是防火墙之后第二道安全闸门,在不影响网络性能状况下能对网络进行监测,提供对内部袭击、外部袭击和误操作实时保护。
IDS执行如下任务来实现:
1)监视、分析顾客及系统活动。
2)系统构造和弱点审计。
3)辨认反映已知攻打活动模式并向有关人士报警。
4)异常行为模式记录分析。
5)评估重要系统和数据文献完整性。
6)操作系统审计跟踪管理,并辨认顾客违背安全方略行为。
9.入侵办法和手段
☐端口扫描与漏洞袭击
☐密码袭击
网络监听
回绝服务袭击
缓冲区溢出袭击
欺骗袭击
10.入侵检测实现方式
入侵检测系统依照数据包来源不同,采用不用实现方式,普通地可分为网络型、主机型,也可是这两种类型混合应用。
基于主机入侵检测系统(HIDS)
•基于网络入侵检测系统(NIDS)
•混合型入侵检测系统(HybridIDS)
11.主机IDS:
运营于被检测主机之上,通过查询、监听当前系统各种资源使用运营状态,发现系统资源被非法使用和修改事件,进行上报和解决。
安装于被保护主机中
–重要分析主机内部活动
–占用一定系统资源
12.主机IDS优势
(1)精准地判断袭击行为与否成功。
(2)监控主机上特定顾客活动、系统运营状况
(3)可以检测到NIDS无法检测袭击
(4)合用加密和互换环境。
(5)不需要额外硬件设备。
13.主机IDS劣势
(1)对被保护主机影响。
(2)安全性受到宿主操作系统限制。
(3)数据源受到审计系统限制。
(4)被木马化系统内核可以骗过HIDS。
(5)维护/升级不以便。
14.网络IDS:
网络IDS是网络上一种监听设备(或一种专用主机),通过监听网络上所有报文,依照合同进行分析,并报告网络中非法使用者信息。
安装在被保护网段中
–分析网段中所有数据包
–实时检测和响应
15.网络IDS优势
(1)实时分析网络数据,检测网络系统非法行为;
(2)网络IDS系统单独架设,不占用其他计算机系统任何资源;
(3)网络IDS系统是一种独立网络设备,可以做到对黑客透明,因而其自身安全性高;
(4)既可以用于实时监测系统,也是记录审计系统,可以做到实时保护,事后分析取证;
(5)通过与防火墙联动,不但可以对袭击预警,还可以更有效地制止非法入侵和破坏。
(6)不会增长网络中主机承担
16.网络IDS劣势
(1)不适合互换环境和高速环境
(2)不能解决加密数据
(3)资源及解决能力局限
(4)系统有关脆弱性
17.当前入侵检测办法有三种分类根据:
⏹1、依照物理位置进行分类。
⏹2、依照建模办法进行分类。
⏹3、依照时间分析进行分类。
惯用办法有三种:
静态配备分析、异常性检测办法和基于行为检测办法。
18.入侵检测系统作用是实时地监控计算机系统活动,发现可疑袭击行为,以避免袭击发生,或减少袭击导致危害。
由此也划分了入侵检测三个基本环节:
⏹信息收集
⏹数据分析
⏹响应
19.入侵检测办法
☐特性检测
☐记录检测
⏹操作模型
⏹方差模型
⏹多元模型
⏹马尔可夫过程模型
⏹时间序列分析模型
☐专家系统
20.入侵检测分类
☐按系统分析数据源分类
⏹基于主机、基于网络、混合式
☐按体系构造分类
⏹集中式、层次式、分布式
☐按分析办法分类
⏹异常、误用(漏报率?
,误报率?
)
☐按响应方式分类
⏹积极、被动
21.CIDF阐述了一种入侵检测系统(IDS)通用模型。
它将一种入侵检测系统分为如下组件:
⏹事件产生器(Eventgenerators),用E盒表达;
⏹事件分析器(Eventanalyzers),用A盒表达;
⏹响应单元(Responseunits),用R盒表达;
⏹事件数据库(Eventdatabases),用D盒表达。
第九章
1.防火墙普通是指在两个网络间执行访问控制方略一种或一组系统,是架设在顾客内部网络和外部公共网络之间屏障,提供两个网络之间单点防御,对其中一种网络提供安全保护。
2.从软、硬件形式上可以把防火墙分为如下3类:
●软件防火墙
●硬件防火墙
●芯片级防火墙
3.按照防火墙在网络合同栈进行过滤层次不同,可以把防火墙分为如下3类:
●包过滤防火墙,工作在网络层
●电路级网关防火墙,工作在会话层
●应用层网关防火墙,代理服务器型
4.按照防火墙在网络中应用布置位置,可以将防火墙分为如下3类:
●边界防火墙
●个人防火墙
●混合防火墙
5.防火墙功能
(1)Internet防火墙容许网络管理员定义一种中心“扼制点”来防止非法顾客进入内部网络。
(2)在防火墙上可以很以便地监视网络安全性,并产生报警。
(3)防火墙可以作为布置网络地址转换逻辑地址。
(4)防火墙是审计和记录Internet使用量一种最佳地方。
(5)防火墙也可以成为向客户发布信息地点。
6.防火墙设计原则
(1)防火墙安全方略
①回绝没有特别容许任何事情(No规则)
假定防火墙应当阻塞所有信息,只容许符合开放规则信息进出。
②容许没有特别回绝任何事情(Yes规则)
假定防火墙只禁止符合屏蔽规则信息,而转发所有其她信息。
第十章
1.网络扫描
被动式方略就是基于主机之上,对系统中不适当设立,脆弱口令以及其她同安全规则抵触对象进行检查。
积极式方略是基于网络,它通过执行某些脚本文献模仿对系统进行袭击行为并记录系统反映,从而发现其中漏洞
2.安全漏洞类型
1)配备漏洞
配备漏洞是由于软件默认配备或者不恰当配备导致安全漏洞。
(2)设计漏洞
设计漏洞重要指软件、硬件和固件设计方面安全漏洞。
(3)实现漏洞
实现漏洞重要由软件、硬件和固件实现错误引起安全漏洞。
如缓冲区溢出漏洞。
3.两类漏洞扫描技术
①主机漏洞扫描:
从系统管理员角度,检查文献系统权限设立、系统文献配备等主机系统平台安全以及基于此平台应用系统安全,目是增强主机系统安全性。
②网络扫描:
采用模仿黑客袭击形式对系统提供网络应用和服务以及有关合同等目的也许存在已知安全漏洞进行逐项检查,然后依照扫描成果向系统管理员提供周密可靠安全性分析报告,为提高网络安全整体水平提供重要根据。
第十一章
1.安全合同概述
☐安全合同(Securityprotocol,又称密码合同,Cryptographicprotocol)。
安全合同是建立在密码体制基本上一种交互通信合同,它运用密码算法和合同逻辑来实现认证和密钥分派等目的。
☐安全合同可用于保障计算机网络信息系统中信息秘密安全传递与解决,保证网络顾客可以安全、以便、透明地使用系统中密码资源。
☐当前,安全合同在金融系统、商务系统、政务系统、军事系统和社会生活中应用日益普遍。
2.几种常用安全合同简介
☐IPSec合同——网络层
☐IPSec(IPSecurity)合同是一种合同套件,它定义了主机和网关所提供各种能力。
IPSec合同是一种包容极广、功能极强IP安全合同,但它在定址能力上比较薄弱。
☐SSL合同——传播层
☐SSL合同(SecureSocketLayer)是网景公司推出会话层安全合同,用来保证客户端和服务器之间通信保密性、可信性与身份认证。
☐SET合同——应用层
SET合同(SecureElectronicTransaction)是Visa、MasterCard两大信用卡公司以及IBM等公司共同推出“安全电子交易”合同。
SET合同试图提供一种网络在线支付安全手段
3.IPSec保护涉及重要组件
☐安全合同
☐安全关联数据库(Securityassociationsdatabase,SAD)
☐密钥管理
☐安全机制
☐安全方略数据库(Securi