信息安全基礎期末復習資料(共7頁)

1、精選優(yōu)質文檔-傾情為你奉上一、 信息安全概況o 1.信息安全五大基本屬性: 可用性：即使在突發(fā)事件下，依然能夠保障數據和服務的正常使用。 機密性：能夠保證敏感或幾米數據的傳輸和存儲不遭受為授權的瀏覽，甚至可以做到不暴露保密通信的事實。完整性：能偶保障被傳輸、接受或存數的數據是完整的和未被篡改的，在被篡改的情況下能夠發(fā)現篡改的事實或者篡改的位置。 非否認性：能夠保證信息系統(tǒng)的操作者或信息的處理者不能否認其行為或者處理結果，這可以防止參與其次操作或通信的一方事后否認該事件曾經發(fā)生過。 真實性：能夠保證實體身份或信息來源的真實性?？煽匦裕耗軌虮ＷC掌握和控制信息與信息系統(tǒng)的基本情況，可對信息和信息系統(tǒng)

2、的使用實施可靠的授權、審計、責任認定、傳播源追蹤和監(jiān)管等控制。o 2.P2DR基本模型（每個字母代表的含義）:P2DR模型包括四個主要部分：Policy(安全策略)、Protection(防護)、Detection(檢測)和 Response (響應)。 （1）策略：策略是模型的核心，所有的防護、檢測和響應都是依據安全策略實施的。網絡安全策略一般包括總體安全策略和具體安全策略2個部分組成。 （2）防護：防護是根據系統(tǒng)可能出現的安全問題而采取的預防措施，這些措施通過傳統(tǒng)的靜態(tài)安全技術實現。采用的防護技術通常包括數據加密、身份認證、訪問控制、授權和虛擬專用網（VPN）技術、防火墻、安全掃描和數據備

3、份等。 （3）檢測：當攻擊者穿透防護系統(tǒng)時，檢測功能就發(fā)揮作用，與防護系統(tǒng)形成互補。檢測是動態(tài)響應的依據。 （4）響應：系統(tǒng)一旦檢測到入侵，響應系統(tǒng)就開始工作，進行事件處理。響應包括緊急響應和恢復處理，恢復處理又包括系統(tǒng)恢復和信息恢復。二、密碼技術o 1.對稱、公鑰算法的特點；能列舉幾種代表性的算法。 對稱算法：加解密效率高、容易實現、安全性好、密鑰的分發(fā)和管理困難、需要安全信道發(fā)送密鑰、密鑰數量多。 公鑰算法：加解密效率較低、硬件實現難度稍大、安全性好、密鑰管理相對容易、可公開傳送公鑰、密鑰數量少 o 2.幾種典型的古典密碼算法；1.縱行換位2.凱撒密碼3.維吉尼亞密碼4.Hill密碼o 3

4、.DH密鑰協(xié)商算法的基本原理及其應用；DH密鑰協(xié)商算法這是一種兩方密鑰交換協(xié)議，用于兩個對等實體安全地協(xié)商共享密鑰。DH算法實質是一個通信雙方進行密鑰協(xié)定的協(xié)議，它的安全性基于有限域上計算離散對數的困難性。 DH密鑰交換協(xié)議如下： 首先，Alice和Bob雙方約定2個大整數n和g,其中1<g<n，這兩個整數無需保密，然后，執(zhí)行下面的過程1) Alice隨機選擇一個大整數x(保密)，并計算X=gx mod n 2) Bob隨機選擇一個大整數y(保密)，并計算Y=gy mod n 3) Alice把X發(fā)送給B,B把Y發(fā)送給ALICE 4) Alice計算K=Yx mod n 5) Bo

5、b計算K=Xy mod n K即是共享的密鑰。 監(jiān)聽者Oscar在網絡上只能監(jiān)聽到X和Y，但無法通過X，Y計算出x和y，因此，Oscar無法計算出K= gxy mod n?，F有的流行的密鑰協(xié)商協(xié)議，都使用了DH，它們基本上可以看成是DH的擴展。也就是說，群組密鑰協(xié)商協(xié)議可以理解成如何使用DH來實現群的密鑰交換。o 4.數字簽名、數字信封的基本概念及其應用原理； 數字簽名是使以數字形式存儲的明文信息經過特定密碼變換生成文，作為相應明文的簽名，使明文信息的接收者能夠驗證信息確實來自合法用戶，以及確認信息發(fā)送者身份。簽名接收者能容易地驗證簽字者對消息所做的數字簽名；任何人，包括簽名接收者，都不能偽造

6、簽名者的簽字；發(fā)生爭議時，如簽字方否認簽名，則可由第三方解決爭議數字信封是將對稱密鑰通過非對稱加密的結果分發(fā)對稱密鑰的方法。信息發(fā)送者首先利用隨機產生的對稱密碼加密信息，再利用接收方的公鑰加密對稱密碼，被公鑰加密后的對稱密碼被稱之為數字信封。在傳遞信息時，信息接收方若要解密信息，必須先用自己的私鑰解密數字信封，得到對稱密碼，才能利用對稱密碼解密所得到的信息。這樣就保證了數據傳輸的真實性和完整性。三、 身份認證技術o 1.用戶密碼口令登錄的安全方案設計與分析； 時間戳(Timestamp)交流認證 由客戶端先用用戶密碼HASH加密當前系統(tǒng)時間得到加密串，將該加密串和用戶名一起通過網絡傳輸給認證服

7、務器。認證服務器收到用戶名和加密串后，從用戶憑證數據庫中取出該用戶的密碼HASH，并用此密碼HASH解密收到的加密串，取出系統(tǒng)時間，與認證服務器的系統(tǒng)時間比較，若差距在一個可以接受的范圍內就認為該用戶認證成功，否則認證失敗。安全性評述：時間戳交流認證加入了系統(tǒng)時間信息，可以防止Replay攻擊，因為Replay后傳輸到服務器的數據包由于時間差距而不能得到認證；整個認證過程只需與服務器交流一個來回，比服務器主動式交流認證具有更高的運行效率。但由于每個客戶端都必須和服務器保持一致的系統(tǒng)時間才能確保時間戳交流認證正確，所以網絡中要維護一臺時間服務器。o 2.數字證書基本概念及其簡單應用；數字證書：是

8、目前國際上最成熟并得到廣泛應用的信息安全技術之一。數字證書可以看成個人或單位在信息化系統(tǒng)中的身份證。它主要包含證書所有者的信息、證書所有者的公開密鑰和證書頒發(fā)機構的簽名等內容。 應用：電子商務和電子政務，以及公共事業(yè)、銀行保險證券、社保醫(yī)療民政、人事勞動用工、工商稅務海關、政府行政辦公、教育科研單位等部門的網上申報、網上審批、網上辦公等應用中。o 3.PKI系統(tǒng)基本功能；產生和管理用戶證書、證書簽發(fā)、證書發(fā)布、證書吊銷、證書吊銷列表（CRL）的簽發(fā)及發(fā)布、提供證書下載、驗證基本條件、LDAP證書庫維護、提供驗證所簽發(fā)證書的證書鏈、CRL文件、提供其他擴展服務 在線證書狀態(tài)驗證功能（OCSP）；

9、時間戳服務功能（TSA）；四、信息隱藏技術o 1.信息隱藏與數據加密的本質區(qū)別；信息隱藏與數據加密都可用于信息的保密技術，但兩者的設計思想不同:信息隱藏則通過設計精妙的方法，使得非授權者根本無從得知保密信息的存在與否。數據加密主要通過設計加密技術，使保密信息不可讀，但非授權者可意識到保密信息的存在。o 2.信息隱藏的基本特點；魯棒性（Robustness) 不因圖像文件的某種改動而導致隱藏信息丟失的能力，這里所謂“改動”包括傳輸過程中的信道噪音、濾波操作、重采樣、有損編碼壓縮、D/A或A/D轉換。不可檢測性（Undetectability) 隱蔽載體與原始載體具有一致的特性,如具有一致的統(tǒng)計噪

10、聲分布等，以便使非法攔截者無法判斷是否有隱蔽信息。透明性(Invisibility) 利用人類視覺系統(tǒng)或人類聽覺系統(tǒng)，經過一系列隱藏處理，使目標數據沒有明顯的降質現象，而隱藏的數據卻無法制直接看見或聽見。o 3.基于網絡協(xié)議的信息隱藏基本原理及典型方案設計； 基于 IP 標識字段的隱藏算法：IP 協(xié)議的標識字段占 16 位，是被發(fā)送和接收報文的主機用來進行 IP 分片和重組的標識值。IP 標識字段被用來區(qū)分不同的數據包中的 IP 分片，在數據包的有效時間內，其值是唯一的，且不可預測。將該字段作為隱秘載體的一般方法是：首先把要發(fā)送的數據轉換成 ASCII 碼，然后將其進行加密，按照一定的算法轉換

11、成貌似合法的 IP 標識字段的值。該方法也就是利用 IP 標識字段隱藏信息，欺騙防火墻和 IDS 等網絡安全設備，達到秘密傳輸數據的目的。在接收端看來，IP 協(xié)議數據包的包頭不再具有重組數據包的功能，而僅僅是為了隱藏數據。此時，接收主機運行接收程序，當監(jiān)聽到來自于目的主機的數據包后，首先將這些數據包存入緩存，然后解析 IP 數據包的頭結構體，將 IP 標識字段中隱藏的數據分離出來，最后利用解密算法對分離出來的數據解密。將 IP 數據包頭的 16 位標志字段作為載體的隱藏方法。五、網絡攻防技術o 1.ARP攻擊、Smurf攻擊的工作原理；ARP攻擊：主機在兩種情況下會保存、更新本機的ARP緩存表

12、，（1）接收到“ARP廣播-請求”包時。（2）接收到“ARP非廣播-回復”包時。從中我們可以看出，ARP協(xié)議是沒有身份驗證機制的，局域網內任何主機都可以隨意偽造ARP數據包，ARP協(xié)議設計天生就存在嚴重缺陷。Smurf攻擊：使用IP欺騙和ICMP回復方法使大量網絡傳輸充斥目標系統(tǒng)，引起目標系統(tǒng)拒絕為正常系統(tǒng)進行服務。Smurf攻擊通過使用將回復地址設置成受害網絡的廣播地址的ICMP應答請求數據包，來淹沒受害主機，最終導致該網絡的所有主機都對此ICMP應答請求做出答復，導致網絡阻塞。更加復雜的Smurf將源地址改為第三方的受害者，最終導致第三方崩潰。o2. 緩沖區(qū)溢出基本原理及其實現分析；當計算

13、機向緩沖區(qū)內填充數據位數時超過了緩沖區(qū)本身的容量溢出的數據覆蓋在合法數據上,理想的情況是程序檢查數據長度并不允許輸入超過緩沖區(qū)長度的字符,但是絕大多數程序都會假設數據長度總是與所分配的儲存空間相匹配,這就為緩沖區(qū)溢出埋下隱患.操作系統(tǒng)所使用的緩沖區(qū) 又被稱為"堆棧". 在各個操作進程之間,指令會被臨時儲存在"堆棧"當中,"堆棧"也會出現緩沖區(qū)溢出。o3. 端口掃描基本原理及幾種常見的掃描技術；端口掃描是指通過發(fā)送一組端口掃描消息，檢測目標主機的端口是否打開，從而試圖以此侵入某臺計算機，并了解其提供的計算機網絡服務類型。攻擊者可以通過它

14、了解到從哪里可探尋到攻擊弱點。TCP connect掃描TCP SYN掃描FIN Xmas Null掃描FTP Bounce ScanPing 掃描UDP 端口掃描六、防火墻技術o 1. 防火墻的三個基本要素； （1）. （2）. （3）.o 2.包過濾和應用代理兩種防火墻技術；包過濾防火墻：是用一個軟件查看所流經的數據包的包頭，由此決定整個包的命運。針對每一個數據報的報頭，按照包過濾規(guī)則進行判定，與規(guī)則相匹配的包依據路由信息繼續(xù)轉發(fā)，否則就丟棄。包過濾是在IP層實現的，包過濾根據數據包的源IP地址、目的IP地址、協(xié)議類型、源端口、目的端口等報頭信息及數據包傳輸方向等信息來判斷是否允許數據包通

15、過。應用代理防火墻：不允許數據包直接在應用程序和用戶之間傳遞，所有的流量被攔截然后通過代理連接來傳遞。代理防火墻雙向地接收、檢查和轉發(fā)客戶端和應用之間的所有流量。防火墻位于邏輯連接的中間，允許它檢測網絡流量包括負載，并在應用層級檢查任何可疑活動。應用代理對數據包的數據進行分析，并以此判斷數據是否允許通過。o 3.防火墻的幾種體系結構及其應用部署示例；屏蔽路由器(Screening Router)雙宿/多宿主主機網關(Dual/multi-Homed Gateway)被屏蔽主機網關(Screened Host Gateway) 被屏蔽子網(Screened Subnet )o 4.NAT、VPN

16、基本原理；網絡地址轉換（NAT）:RFC1918指定了許多IP地址不可用于Internet，即保留地址。由于這些地址不能用于Internet，所以可以將這些地址用于連接到Internet上的私有網絡中。但這些私有網絡的源地址在經過防火墻時必須被翻譯成在Internet上可路由的地址。因此，位于防火墻之后的大量主機在訪問Internet時就可以共享公共的IP地址了，這個過程叫網絡地址轉換。VPN虛擬專用網絡：虛擬專用網絡我們可以把它理解成是虛擬出來的企業(yè)內部專線。通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內部網之間建立一條專有的通訊線路。 VPN是在利用公共

17、網絡建立虛擬私有網。5.Web防火墻的特點；1.異常檢測協(xié)議 2.增強的輸入驗證 3.及時補丁 4.基于規(guī)則的保護和基于異常的保護 5.狀態(tài)管理 七、入侵檢測技術o 1.入侵檢測與防火墻的本質區(qū)別；入侵檢測是試圖監(jiān)視和盡可能阻止有害信息的入侵防火墻是對流經它的網絡通信進行掃描，過濾掉一些攻擊o 2.SYN Flood和TCP會話劫持工作原理；SYN Flood：攻擊者向目標主機發(fā)送大量SYN（但不發(fā)送第三次握手的應答ACK），消耗目標主機的系統(tǒng)資源，使連接數量超過系統(tǒng)的限制數量，造成拒絕服務。TCP會話劫持:攻擊者對服務器發(fā)起SYN Flood攻擊，使其不能響應終端并預測出終端SYN/ACK包

18、的序列號，假冒服務器發(fā)送應答ACK，最終騙取終端的信任，假冒服務器與終端建立連接。o 3.入侵檢測分類及其實現框架（1）.按照分析方法分異常檢測模型（Anomaly Detection ): 總結正常操作應該具有的特征（用戶輪廓），當用戶活動與正常行為有重大偏離時即被認為是入侵。 誤用檢測模型（Misuse Detection)： 收集非正常操作的行為特征，建立相關的特征庫，當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵。（2）.按照數據來源分：基于主機：系統(tǒng)獲取數據的依據是系統(tǒng)運行所在的主機，保護的目標也是系統(tǒng)運行所在的主機。基于網絡：系統(tǒng)獲取的數據是網絡傳輸的數據包，保護的是網絡的運行?；旌闲停?）.按系統(tǒng)各模塊的運行方式集中式：系統(tǒng)的各個模塊包括數據的收集分析集中在一臺主機上運行。分布式：系統(tǒng)的各個