(完整word)全國計算機等級考試三級信息安全技術知識點總結,推薦文檔

1、第一章信息安全保障概述1.1 信息安全保障背景信息技術及其發(fā)展階段信息技術兩個方面：生產：信息技術產業(yè)；應用：信息技術擴散信息技術核心：微電子技術，通信技術，計算機技術，網絡技術第一階段，電訊技術的發(fā)明；第二階段，計算機技術的發(fā)展；第三階段，互聯(lián)網的使用信息技術的影響積極：社會發(fā)展，科技進步，人類生活消極：信息泛濫，信息污染，信息犯罪1.2 信息安全保障基礎信息安全發(fā)展階段通信保密階段（20 世紀四十年代） ：機密性，密碼學計算機安全階段 （ 20 世紀六十和七十年代） ：機密性、訪問控制與認證，公鑰密碼學 （DiffieHellman ， DES），計算機安全標準化（安全評估標準）信息安全保

2、障階段： 信息安全保障體系 （IA ），PDRR 模型：保護（protection ）、檢測（detection）、響應 (response)、恢復（ restore），我國 PWDRRC 模型：保護、預警（warning ）、監(jiān)測、應急、恢復、反擊（ counter-attack）， BS/ISO 7799 標準（有代表性的信息安全管理體系標準） ：信息安全管理實施細則、信息安全管理體系規(guī)范信息安全的含義一是運行系統(tǒng)的安全，二是系統(tǒng)信息的安全： 口令鑒別、 用戶存取權限控制、數據存取權限方式控制、審計跟蹤、數據加密等信息安全的基本屬性：完整性、機密性、可用性、可控制性、不可否認性信息系統(tǒng)面臨

3、的安全風險信息安全問題產生的根源：信息系統(tǒng)的復雜性，人為和環(huán)境的威脅信息安全的地位和作用信息安全技術核心基礎安全技術：密碼技術安全基礎設施技術：標識與認證技術，授權與訪問控制技術基礎設施安全技術：主機系統(tǒng)安全技術，網絡系統(tǒng)安全技術應用安全技術： 網絡與系統(tǒng)安全攻擊技術， 網絡與系統(tǒng)安全防護與響應技術， 安全審計與責任認定技術，惡意代碼監(jiān)測與防護技術支撐安全技術：信息安全評測技術，信息安全管理技術1.3 信息安全保障體系信息安全保障體系框架生命周期：規(guī)劃組織，開發(fā)采購，實施交付，運行維護，廢棄保障要素：技術，管理，工程，人員安全特征：機密性，完整性，可用性信息系統(tǒng)安全模型與技術框架P2DR 安全

4、模型： 策略（ policy ），防護，檢測，響應；防護時間大于檢測時間加上響應時間，安全目標暴露時間 =檢測時間 +響應時間，越小越好；提高系統(tǒng)防護時間，降低檢測時間和響應時間信息保障技術框架（ IATF ）：縱深防御策略（） ：人員，技術，操作；技術框架焦點域：保護本地計算機，保護區(qū)域邊界，保護網絡及基礎設施，保護支撐性基礎設施1.4 信息安全保障基本實踐國內外信息安全保障工作概況信息安全保障工作的內容確定安全需求，設計和實施安全方案，進行信息安全評測，實施信息安全監(jiān)控第二章信息安全基礎技術與原理2.1 密碼技術對稱密碼與非對稱密碼對稱密鑰密碼體制：發(fā)送方和接收方使用相同的密鑰非對稱密鑰密

5、碼體制：發(fā)送方和接收方使用不同的密鑰對稱密鑰體制：加密處理速度快、保密度高，密鑰管理分發(fā)復雜代價高、數字簽名困難分組密碼：一次加密一個明文分組：DES， IDEA ， AES ；序列密碼：一次加密一位或者一個字符： RC4，SEAL加密方法：代換法：單表代換密碼，多表代換；置換法安全性：攻擊密碼體制：窮舉攻擊法（對于密鑰長度 128 位以上的密鑰空間不再有效） ，密碼分析學；典型的密碼攻擊：唯密文攻擊，已知明文攻擊，選擇明文攻擊（加密算法一般要能夠抵抗選擇明文攻擊才認為是最安全的，分析方法：差分分析和線性分析），選擇密文攻擊基本運算：異或，加，減，乘，查表設計思想：擴散，混淆；乘積迭代：乘積密

6、碼，常見的乘積密碼是迭代密碼，數據加密標準DES ：基于 Feistel 網絡， 3DES ，有效密鑰位數：56國際數據加密算法IDEA ：利用 128 位密鑰對64 位的明文分組，經連續(xù)加密產生文分組高級加密標準AES ： SP 網絡DES， AES64 位的密分組密碼：電子密碼本模式式 OFB ，計數模式CTFECB ，密碼分組鏈模式CBC ，密碼反饋模式CFB，輸出反饋模非對稱密碼：基于難解問題設計密碼是非對稱密碼設計的主要思想， NP 問題 NPC 問題克服密鑰分配上的困難、易于實現數字簽名、安全性高，降低了加解密效率RSA ：基于大合數因式分解難得問題設計；既可用于加密，又可用于數字

7、簽名；目前應用最廣泛ElGamal ：基于離散對數求解困難的問題設計橢圓曲線密碼ECC ：基于橢圓曲線離散對數求解困難的問題設計通常采用對稱密碼體制實現數字加密，公鑰密碼體制實現密鑰管理的混合加密機制哈希函數單向密碼體制，從一個明文到密文的不可逆的映射，只有只有加密過程，沒有解密過程可將任意長度的輸入經過變換后得到固定長度的輸出（原消息的散列或消息摘要）應用：消息認證（基于哈希函數的消息認證碼） ，數字簽名（對消息摘要進行數字簽名口令的安全性，數據完整性）消息摘要算法MD5 ： 128 位安全散列算法SHA ： 160 位SHA 比 MD5 更安全， SHA 比 MD5 速度慢了25%， SH

8、A 操作步驟較MD5 更簡單數字簽名通過密碼技術實現，其安全性取決于密碼體制的安全程度普通數字簽名：RSA ， ElGamal ，橢圓曲線數字簽名算法等特殊數字簽名：盲簽名，代理簽名，群簽名，不可否認簽名，具有消息恢復功能得簽名等常對信息的摘要進行簽名美國數字簽名標準DSS：簽名算法DSA應用：鑒權：重放攻擊；完整性：同形攻擊；不可抵賴密鑰管理包括密鑰的生成，存儲，分配，啟用與停用，控制，更新，撤銷與銷毀等諸多方面密鑰的分配與存儲最為關鍵借助加密，認證，簽名，協(xié)議和公證等技術密鑰的秘密性，完整性，真實性密鑰產生： 噪聲源技術 （基于力學， 基于電子學， 基于混沌理論的密鑰產生技術） ；主密鑰，

9、加密密鑰，會話密鑰的產生密鑰分配：分配手段：人工分發(fā)（物理分發(fā)） ，密鑰交換協(xié)議動態(tài)分發(fā)密鑰屬性：秘密密鑰分配，公開密鑰分配密鑰分配技術：基于對稱密碼體制的密鑰分配，基于公鑰密碼體制的密鑰分配密鑰信息交換方式：人工密鑰分發(fā)，給予中心密鑰分發(fā)，基于認證密鑰分發(fā)人工密鑰分發(fā)：主密鑰基于中心的密鑰分發(fā)：利用公開密鑰密碼體制分配傳統(tǒng)密碼的密鑰；可信第三方： 密鑰分發(fā)中心 KDC ，密鑰轉換中心KTC ；拉模型，推模型；密鑰交換協(xié)議：Diffie -Hellman 算法公開密鑰分配：公共發(fā)布；公用目錄；公約授權：公鑰管理機構；公鑰證書：證書管理機構CA ，目前最流行密鑰存儲：公鑰存儲私鑰存儲： 用口令加

10、密后存放在本地軟盤或硬盤；存放在網絡目錄服務器中：私鑰存儲服務PKSS；智能卡存儲；USB Key 存儲2.2 認證技術消息認證產生認證碼的函數：消息加密：整個消息的密文作為認證碼消息認證碼（ MAC ）：利用密鑰對消息產生定長的值，并以該值作為認證碼；基于 DES 的 MAC 算法哈希函數：將任意長的消息映射為定長的哈希值，并以該哈希值作為認證碼身份認證身份認證系統(tǒng)：認證服務器、認證系統(tǒng)客戶端、認證設備系統(tǒng)主要通過身份認證協(xié)議（單向認證協(xié)議和雙向認證協(xié)議）和認證系統(tǒng)軟硬件進行實現認證手段：靜態(tài)密碼方式動態(tài)口令認證：動態(tài)短信密碼，動態(tài)口令牌（卡）USB Key 認證：挑戰(zhàn) /應答模式，基于 P

11、KI 體系的認證模式生物識別技術認證協(xié)議：基于口令的認證協(xié)議，基于對稱密碼的認證，基于公鑰密碼的認證2.3 訪問控制技術訪問控制模型：自主訪問控制（ DAC ）：訪問矩陣模型：訪問能力表（CL ），訪問控制表（ ACL ）；商業(yè)環(huán)境中，大多數系統(tǒng)，如主流操作系統(tǒng)、防火墻等強制訪問控制（ DAC ）：安全標簽：具有偏序關系的等級分類標簽，非等級分類標簽，比較主體和客體的安全標簽等級,，訪問控制安全標簽列表（ACSLL ）；訪問級別：最高秘密級，秘密級，機密級，無級別及；Bell -Lapadula 模型：只允許向下讀、向上寫，保證數據的保密性， Biba 不允許向下讀、向上寫，保護數據完整性；C

12、hinese Wall 模型：多邊安全系統(tǒng)中的模型，包括了 MAC 和 DAC 的屬性基于角色的訪問控制（RBAC ）：要素：用戶，角色，許可；面向企業(yè)，大型數據庫的權限管理；用戶不能自主的將訪問權限授權給別的用戶；MAC 基于多級安全需求， RBAC 不是2.3.2 訪問控制技術集中訪問控制：認證、授權、審計管理（AAA 管理）撥號用戶遠程認證服務RADIUS ：提供集中式 AAA管理； 客戶端 /服務器協(xié)議， 運行在應用層，使用 UDP 協(xié)議；組合認證與授權服務終端訪問控制器訪問控制系統(tǒng)TACACS ： TACACS+ 使用 TCP；更復雜的認證步驟；分隔認證、授權、審計Diameter

13、：協(xié)議的實現和RADIUS 類似，采用 TCP 協(xié)議，支持分布式審計非集中式訪問控制：單點登錄 SSOKerberos：使用最廣泛的身份驗證協(xié)議；引入可信的第三方。Kerberos 驗證服務器；能提供網絡信息的保密性和完整性保障；支持雙向的身份認證SESAME ：認證過程類似于Kerberos2.4 審計和監(jiān)控技術2.4.1 審計和監(jiān)控基礎審計系統(tǒng)：日志記錄器：收集數據，系統(tǒng)調用Syslog 收集數據；分析器：分析數據；通告器：通報結果2.4.2 審計和監(jiān)控技術惡意行為監(jiān)控： 主機監(jiān)測：可監(jiān)測的地址空間規(guī)模有限； 網絡監(jiān)測：蜜罐技術（軟件 honeyd），蜜網（誘捕網絡） ：高交互蜜罐、低交互

14、蜜罐、主機行為監(jiān)視模塊網絡信息內容審計：方法：網絡輿情分析：輿情分析引擎、自動信息采集功能、數據清理功能；技術：網絡信息內容獲取技術（嗅探技術） 、網絡內容還原分析技術；模型：流水線模型、分段模型；不良信息內容監(jiān)控方法：網址、網頁內容、圖片過濾技術第三章系統(tǒng)安全3.1 操作系統(tǒng)安全操作系統(tǒng)安全基礎基本安全實現機制：CPU 模式和保護環(huán)：內核模式、用戶模式進程隔離：使用虛擬地址空間達到該目的操作系統(tǒng)安全實踐UNIX/Linux系統(tǒng)：文件系統(tǒng)安全：所有的事物都是文件：正規(guī)文件、目錄、特殊文件（/dev 下設備文件）、鏈接、 Sockets；文件系統(tǒng)安全基于 i 節(jié)點中的三層關鍵信息： UID 、

15、GID 、模式；模式位，權限位的八進制數表示； 設置 SUID（使普通用戶完成一些普通用戶權限不能完成的事而設置）和 SGID ，體現在所有者或同組用戶權限的可執(zhí)行位上；chmod 改變文件權限設置、chown 、chgrp；unmask 創(chuàng)建文件默認權限賬號安全管理：/etc/passwd、 /etc/shadow；偽用戶賬號；root 賬戶管理：超級用戶賬戶可不止一個，將UID 和 GID 設置為 0 即可，使用可插入認證模塊PAM 進行認證登錄日志與審計：日志系統(tǒng)：記錄連接時間的日志：/var/log/wtmp 、 /var/run/utmp ，進程統(tǒng)計：pacct 與 acct，錯誤日

16、志：/var/log/messagesWindows 系統(tǒng)：Windows 安全子系統(tǒng)： winlogon 和圖形化標識和驗證GINA 、本地安全認證、安全支持提供者的接口（ SSPI）、認證包、安全支持提供者、網絡登錄服務、安全賬號管理器（SAM ）登錄驗證： Kerberos用戶權力與權限：用戶權限：目錄權限、文件權限；共享權限日志與審計：系統(tǒng)日志、應用程序日志、安全日志安全策略：密碼策略；鎖定策略；審核策略；用戶全力指派；安全選項；裝載自定義安全模板； windows 加密文件系統(tǒng)可信計算技術：可信計算平臺聯(lián)盟（TCPA），可信計算組織（TCG ）可信 PC，可新平臺模塊（TPM ），可

17、信軟件棧（TSS），可信網絡連接（TNC ）可信平臺模塊（TPM ）：具有密碼運算能力和存儲能力，是一個含有密碼運算部件和存儲部件的小型片上系統(tǒng)；物理可信、管理可信的；可信密碼模塊（TCM ）：中國可信計算平臺：三個層次：可信平臺模塊（信任根）、可信軟件棧、可信平臺應用軟件；我國：可信密碼模塊、可信密碼模塊服務模塊、安全應用可信網絡連接（TNC ）：開放性、安全性3.2 數據庫安全數據庫安全基礎統(tǒng)計數據庫安全現代數據庫運行環(huán)境：多層體系結構，中間層完成對數據庫訪問的封裝數據庫安全功能：用戶標識和鑒定存取控制：自主存取控制：用戶權限有兩個要素組成：數據庫對象和操作類型，GRANT語句向用戶授予權

18、限，REVOKE語句收回授予的權限，角色：權限的集合；強制存取控制：主體和客體，敏感度標記：許可證級別（主體）、密級（客體） ，首先要實現自主存取控制審計：用戶級審計、系統(tǒng)審計； AUDIT 設置審計功能， NOAUDIT 取消審計功能數據加密視圖與數據保密性：將視圖機制與授權機制結合起來使用，首先用視圖機制屏蔽一部分保密數據，然后在視圖上再進一步定義存取權限數據完整性：語義完整性，參照完整性，實體完整性約束：優(yōu)先于使用觸發(fā)器、規(guī)則和默認值默認值： CREATE DEFAULT規(guī)則： CREATE RULE ， USE EXEC sp_bindefault ， DROP RULE事務處理： B

19、EGAIN TRANSACTION ，COMMIT ，ROLLBACK ；原子性、 一致性、 隔離性、持久性；自動處理事務、隱式事物、用戶定義事物、分布式事務數據庫安全實踐數據庫十大威脅：過度的特權濫用；合法的特權濫用；特權提升；平臺漏洞；絕服務；數據庫通信協(xié)議漏洞；不健全的認證；備份數據庫暴露安全防護體系：事前檢查，事中監(jiān)控，事后審計數據庫安全特性檢查：SQL 注入；不健全的審計；拒端口掃描（服務發(fā)現） ：對數據庫開放端口進行掃描；滲透測試：黑盒式的安全監(jiān)測，攻擊性測試， 對象是數據庫的身份驗證系統(tǒng)和服務監(jiān)聽系統(tǒng)， 監(jiān)聽器安全特性分析、 用戶名和密碼滲透、漏洞分析；內部安全監(jiān)測：安全員數據、

20、內部審計、安全配置檢查、漏洞檢測、版本補丁檢測數據庫運行安全監(jiān)控：網絡嗅探器、數據庫分析器、SQL分析器、安全審計第四章網絡安全4.1 網絡安全基礎體系架構網絡協(xié)議數據鏈路層協(xié)議：地址解析協(xié)議（ARP ），逆向地址解析協(xié)議（RARP ）網絡層協(xié)議： IP 協(xié)議， Internet 控制報文協(xié)議（ ICMP ）：發(fā)送出錯和控制消息，提供了一個錯誤偵測與回饋機制傳輸層協(xié)議： TCP 協(xié)議， UDP 協(xié)議應用層協(xié)議： HTTP ， SMTP 和 POP3， DNS4.2 網絡安全威脅技術掃描技術互聯(lián)網信息搜集IP 地址掃描： 操作系統(tǒng)命令 ping（網絡故障診斷命令） 、tracer，自動化的掃描工

21、具 Namp 、 Superscan端口掃描： Namp 軟件； TCP 全連接掃描， TCP SYN 掃描， TCP FIN 掃描， UDP 的 ICMP 端口不可達掃描， ICMP 掃描；亂序掃描和慢速掃描漏洞掃描：網絡漏洞掃描：模擬攻擊技術；主機漏洞掃描：漏洞特征匹配技術、補丁安裝信息的檢測弱口令掃描：基于字典攻擊的弱口令掃描技術、基因窮舉攻擊的弱口令掃描技術綜合漏洞掃描： Nessus掃描防范技術：防火墻，用安全監(jiān)測工具對掃描行為進行監(jiān)測網絡嗅探非主動類信息獲取攻擊技術防范：實現對網絡傳輸數據的加密， VPN 、 SSL、 SSH 等加密和傳輸的技術和設備，利用網絡設備的物理或者邏輯隔

22、離的手段網絡協(xié)議欺騙IP 地址欺騙：和其他攻擊技術相結合ARP 欺騙：中間人欺騙（局域網環(huán)境內實施） ，偽裝成網關欺騙（主要針對局域網內部主機與外網通信的情況） ；防范： MAC 地址與 IP 地址雙向靜態(tài)綁定TCP 欺騙：將外部計算機偽裝成合法計算機；非盲攻擊：網絡嗅探，已知目標主機的初始序列號，盲攻擊：攻擊者和目標主機不在同一個網絡上DNS 欺騙：基于DNS 服務器的欺騙，基于用戶計算機的誘騙式攻擊DNS欺騙網站掛馬：攻擊者成功入侵網站服務器，具有了網站中網頁的修改權限技術：框架掛馬：直接加在框架代碼和框架嵌套掛馬；JS腳本掛馬；b ody掛馬；偽裝欺騙掛馬防范： Web 服務器，用戶計算

23、機誘騙下載：主要方式： 多媒體類文件下載， 網絡游戲軟件和插件下載，熱門應用軟件下載，電子書愛好者， P2P 種子文件文件捆綁技術：多文件捆綁方式，資源融合捆綁方式，漏洞利用捆綁方式釣魚網站社會工程軟件漏洞攻擊利用技術軟件漏洞：操作系統(tǒng)服務程序漏洞，文件處理軟件漏洞，瀏覽器軟件漏洞，其他軟件漏洞軟件漏洞攻擊利用技術： 直接網絡攻擊； 誘騙式網絡攻擊：基于網站的誘騙式網絡攻擊，網絡傳播本地誘騙點擊攻擊拒絕服務攻擊實現方式：利用目標主機自身存在的拒絕服務性漏洞進行攻擊，耗盡目標主機CPU 和內存等計算機資源的攻擊，耗盡目標主機網絡帶寬的攻擊分類： IP 層協(xié)議的攻擊：發(fā)送ICMP 協(xié)議的請求數據包

24、，Smurf 攻擊； TCP 協(xié)議的攻擊：利用 TCP 本身的缺陷實施的攻擊，包括SYN -Flood 和 ACK -Flood 攻擊，使用偽造的源IP 地址，利用 TCP 全連接發(fā)起的攻擊，僵尸主機；UDP 協(xié)議的攻擊；應用層協(xié)議的攻擊：腳本洪水攻擊分布式拒絕服務（DDos）：攻擊者，主控端，代理端，僵尸網絡防范：支持DDos 防御功能的防火墻腳本攻擊針對 Web 服務器端應用系統(tǒng)的攻擊技術：注入攻擊： SQL 注入，代碼注入，命令注入，LDAP 注入， XPath 注入；防范：遵循數據與代碼分離的原則訪問控制攻擊，非授權的認證和會話攻擊針對 Web 客戶端的攻擊技術：跨站腳本攻擊（ XSS

25、）：反射型 XSS（非持久性的跨站腳本攻擊），存儲型 XSS（持久型的跨站腳本攻擊），DOM -based XSS（基于文檔對象模型的跨站腳本攻擊）：從效果上來說屬于反射型 XSS跨站點請求偽造攻擊（CSRF）：偽造客戶頓請求；防范：使用驗證碼，在用戶會話驗證信息中添加隨機數點擊劫持攻擊遠程控制木馬：具有遠程控制、 信息偷取、隱藏傳輸功能的惡意程序；通過誘騙的方式安裝；一般沒有病毒的的感染功能；特點：偽裝性，隱藏性，竊密性，破壞性；連接方式： C/S 結構；最初的網絡連接方法；反彈端口技術： 服務器端主動的發(fā)起連接請求，客戶端被動的等待連接；木馬隱藏技術：線程插入技術、DLL動態(tài)劫持技術、Ro

26、otKit （內核隱藏技術）Wwbshell ：用 Web 腳本寫的木馬后門，用于遠程控制網站服務器；以ASP、 PHP、 ASPX 、JSP等網頁文件的形式存在；被網站管理員可利用進行網站管理、服務器管理等4.3 網絡安全防護技術防火墻一般部署在網絡邊界，也可部署在內網中某些需要重點防護的部門子網的網絡邊界功能： 在內外網之間進行數據過濾；對網絡傳輸和訪問的數據進行記錄和審計；防范內外網之間的異常網絡行為；通過配置NAT 提高網絡地址轉換功能分類：硬件防火墻： X86架構的防火墻（中小企業(yè)） ，ASIC 、 NP 架構的防火墻（電信運營商）；軟件防火墻（個人計算機防護）防火墻技術：包過濾技術

27、：默認規(guī)則；主要在網絡層和傳輸層進行過濾攔截，不能阻止應用層攻擊，也不支持對用戶的連接認證，不能防止IP 地址欺騙狀態(tài)檢測技術 （動態(tài)包過濾技術） ：增加了對數據包連接狀態(tài)變化的額外考慮，有效阻止 Dos攻擊地址翻譯技術：靜態(tài) NAT ， NAT 池，端口地址轉換PAT應用級網關（代理服務器）：在應用層對數據進行安全規(guī)則過濾體系結構：雙重宿主主機體系結構：至少有兩個網絡接口， 在雙重宿主主機上運行多種代理服務器，有強大的身份認證系統(tǒng)屏蔽主機體系結構： 防火墻由一臺包過濾路由器和一臺堡壘主機組成，通過包過濾實現了網絡層傳輸安全的同時，還通過代理服務器實現了應用層的安全屏蔽子網體系結構： 由兩個包過濾路由器和一臺堡壘主機組成；最安全，支持網絡層、傳輸層、應用層的防護功能；添加了額外的保護體系，周邊網絡（非軍事區(qū)，DMZ ）通常放置堡壘主機和對外開放的應用服務器；堡壘主機運行應用級網關防火墻的安全策略4.3.2 入侵檢測系統(tǒng)和入侵防御系統(tǒng)入侵檢測系統(tǒng)（ IDS ）：控制臺：在內網中，探測器：連接交換機的網絡端口分類：根據數據采集方式：基于網絡的入侵檢測系統(tǒng)（NIDS ）、基于主機的入侵檢測系統(tǒng)（ HIDS ）；根據檢測原理：誤用檢測型入