信息安全考試整理

1、考試內(nèi)容: 信息安全的要素、威脅、Hash函數(shù)的相關(guān)概念、計算機病毒特性及理解方面的要點1，信息安全的基本概念(安全的定義 信息技術(shù)安全概述 網(wǎng)絡攻擊的形式等 )2，信息保密技術(shù)(古典加密 對稱加密 非對稱加密 RAS劃重點 兩種密碼體制 和其代表方法)3，信息認證技術(shù)(信息摘要函數(shù)，數(shù)字簽名，身份認證技術(shù) )4，密鑰管理技術(shù)(概念 基礎(chǔ)密鑰管理知識 密鑰管理系統(tǒng))5，訪問控制技術(shù)(模型、基本要素、相關(guān)要素實現(xiàn)機制) 訪問級別 審計之類的不考6，網(wǎng)絡攻擊和防范(主要網(wǎng)絡攻擊技術(shù)：計算機病毒技術(shù)) 防火墻之類的不考考試形式:閉卷考試1，判斷(講過的知識點的靈活運用)10分2，填空(關(guān)鍵知識點)2

2、0分3，簡答(基本，核心的部分言簡意賅的說清楚就好)40分4，計算(要求詳細過程，主要是實驗內(nèi)容對實驗之外的內(nèi)容也要關(guān)注)30分信息保密注意實驗和平時作業(yè)習題：Q1、常見信息安全威脅（至少列出十種）信息破壞、破壞信息完整性、拒絕服務、非法使用（非授權(quán)訪問）、竊聽、業(yè)務流分析、假冒、旁路控制、授權(quán)侵犯、特洛伊木馬、陷阱門、抵賴、重放、計算機病毒、人員不慎、媒體廢棄、物理入侵、竊取、業(yè)務欺騙Q2、衡量密碼體制安全性的方法？1、計算安全性：度量破譯密碼體制所需計算上的努力2、可證明安全性：通過規(guī)約的方式為密碼安全性提供證據(jù)，如果使用某種具體方法破譯一個密碼體制，就有可能有效的解決一個公認困難的數(shù)學問

3、題類比： NP完全問題的規(guī)約3 無條件安全性：假設攻擊者具有無限的計算資源和計算能力時，密碼體制仍然安全Q3、以p=5，q=7為例，簡述RSA算法的加密和解密過程 / 自選密鑰Eg：n=p*q=35f(n)=(p-1)(q-1)=24若gcd(e,f(n)=1 則取 e=5由d=e-1modf(n) 可取d=5加密：若明文為Z，m值為26，則me=265=11881376，密文c=memod n=31解密：密文為31，則cd=315=28629151 解密m=cdmod n=26 即ZQ4：滿足什么條件的Hash函數(shù)是安全的？如果對于原像問題、第二原像問題、碰撞問題這三個問題都是難解的，則認為

4、該Hash函數(shù)是安全的。Q5：列出針對Hash函數(shù)的主要攻擊類型。生日攻擊、窮舉攻擊、中途相遇攻擊Q6:簡述身份信息認證系統(tǒng)的構(gòu)成被驗證身份者、驗證者、攻擊者、可信任的機構(gòu)作為仲裁或調(diào)解機構(gòu)Q7:密鑰可以分為哪些類型數(shù)據(jù)加密密鑰和密鑰加密密鑰密鑰加密密鑰又分為主密鑰和初級密鑰、二級密鑰Q8:簡述密鑰保護的基本原則1、密鑰永遠不可以以明文的形式出現(xiàn)在密碼裝置之外。2、密碼裝置是一種保密工具，即可以是硬件，也可以是軟件。Q9:什么是訪問控制？它包括哪幾個要素訪問控制是指主體依據(jù)某些控制策略或權(quán)限對客體本 身或是其資源進行的不同授權(quán)訪問。訪問控制是在身份認證的基礎(chǔ)上，根據(jù)身份對提出的資源訪問請求加以

5、控制，是針對越權(quán)使用資源的現(xiàn)象進行防御的措施。訪問控制是網(wǎng)絡安全防范和保護的主要策略，它可以限制對關(guān)鍵資源的訪問，防止非法用戶或合法用戶的不慎操作所造成的破壞。要素是：主體、客體、訪問策略Q10:自主訪問控制和強制訪問控制有什么區(qū)別？1、自主訪問控制（Discretionary Access Control）是一種最為普遍的訪問控制手段，其依據(jù)是用戶的身份和授權(quán)，并為系統(tǒng)中的每個用戶（或用戶組）和客體規(guī)定了用戶允許對客體進行訪問的方式。每個用戶對客體進行訪問的要求都要經(jīng)過規(guī)定授權(quán)的檢驗，如果授權(quán)中允許用戶以這種方式訪問客體，則訪問就可以得到允許，否則就不予許可。2、強制訪問控制的實質(zhì)是對系統(tǒng)當

6、中所有的客體和所有的主體分配敏感標簽(Sensitivity Label)。用戶的敏感標簽指定了該用戶的敏感等級或者信任等級，也被稱為安全許可(Clearance)；而文件的敏感標簽則說明了要訪問該文件的用戶所必須具備的信任等級。強制訪問控制就是利用敏感標簽來確定誰可以訪問系統(tǒng)中的特定信息的。3、區(qū)別：自主訪問控制的數(shù)據(jù)存取權(quán)限由用戶控制，系統(tǒng)無法控制；強制訪問控制安全等級由系統(tǒng)控制，不是用戶能直接感知或進行控制的。自主訪問有很大的靈活性，但存在安全隱患，強制訪問提高了安全性但在靈活性上大打折扣。部分知識點：（個人感覺范圍較大建議看ppt）1、信息的定義信息：認識主體所感受的或所表達的事物的運

7、動狀態(tài)和運動狀態(tài)的變化方式。（1）信息是普遍存在的。（2）信息與物質(zhì)。（3）信息與能量。（4）人類認識事物，變革事物必須要有信息。2、信息的性質(zhì)：普遍性、無限性、相對性、轉(zhuǎn)換性、變換性、有序性、動態(tài)性、轉(zhuǎn)化性、共享性、可量度性3、信息技術(shù)信息技術(shù)的產(chǎn)生-來源：認識世界，改造世界信息技術(shù)的內(nèi)涵：能夠延長或擴展人的信息能力的手段和方法信息安全重要性：設計日常生活的各個方面信息安全研究設計的領(lǐng)域：消息層（完整性、保密性、不可否認性）、網(wǎng)絡層（可用性、可控性）4、信息安全的要素完整性、保密性、不可否認性、可用性、可控性5、信息安全的定義安全的定義：遠離危險的狀態(tài)或特征信息上安全：關(guān)注信息本身的安全，保

8、護信息財產(chǎn)不受損失 6、常見的安全威脅定義：指人、物、事件或概念對信息資源的保密性、完整性、可用性或合法使用所造成的危險常見威脅：信息破壞、破壞信息完整性、拒絕服務、非法使用（非授權(quán)訪問）、竊聽、業(yè)務流分析、假冒、旁路控制、授權(quán)侵犯、特洛伊木馬、陷阱門、抵賴、重放、計算機病毒、人員不慎、媒體廢棄、物理入侵、竊取、業(yè)務欺騙信息系統(tǒng)的威脅：物理安全角度：對系統(tǒng)所用設備的威脅通信鏈路角度：信息傳輸過程中的威脅網(wǎng)絡安全角度：計算機網(wǎng)絡使用中的威脅操作系統(tǒng)角度：對信息系統(tǒng)工作平臺的威脅應用系統(tǒng)角度：對網(wǎng)絡服務或用戶業(yè)務系統(tǒng)的威脅管理系統(tǒng)角度：管理人員不慎造成的威脅應對措施：1 、安全機制 ：保護信息安全

9、所采用的手段2 、一個完整的信息安全系統(tǒng)至少包含 3 類措施v 技術(shù)方面的安全措施v 管理方面的安全措施*v 相應的政策法律7、網(wǎng)絡攻擊手段產(chǎn)生原因：網(wǎng)絡本身具有的開放性和共享性系統(tǒng)客觀存在的安全漏洞網(wǎng)絡協(xié)議的設計缺陷發(fā)展階段：早期-破解口令和利用系統(tǒng)已知漏洞等有限方法目前-逐步發(fā)展成為一門完整的科學常見的網(wǎng)絡攻擊工具：安全掃描工具、監(jiān)聽工具、口令破譯工具8、信息安全的實現(xiàn)安全機制： -保護信息安全所采用的手段信息安全的內(nèi)容：-技術(shù)方面的安全措施-管理方面的安全措施-相應的政策法律 -國家關(guān)于數(shù)據(jù)通信環(huán)境的安全機制法規(guī) 9、信息安全的技術(shù)措施信息加密：讓有用的信息變?yōu)榭瓷先タ此茻o用的亂碼，使攻

10、擊者無法讀懂信息內(nèi)容從而保護信息（單鑰密碼、公鑰密碼 序列密碼、分組密碼 ）、數(shù)字簽名：數(shù)字簽名機制決定于兩個過程簽名過程-簽名過程是利用簽名者的私有信息驗證過程-利用公開的規(guī)程和信息來確定簽名是否是利用私有信息產(chǎn)生的、數(shù)據(jù)完整性保護、身份鑒別、訪問控制、數(shù)據(jù)備份和災難恢復、網(wǎng)絡控制技術(shù)、反病毒技術(shù)、安全審計、路由控制技術(shù)、其他：（業(yè)務填充、公證機制等）10、信息安全管理管理目標：保障信息資源安全管理涉及方面：人事、設備、場地、儲存媒體、軟件、網(wǎng)絡、密碼密鑰管理管理原則：規(guī)范、預防、立足國內(nèi)、重視實效、系統(tǒng)化、均衡防護、應急和災難恢復原則11、網(wǎng)絡的安全防范防范重點：計算機病毒、黑客犯罪網(wǎng)絡安

11、全的體系構(gòu)建：物理安全、網(wǎng)絡安全、操作系統(tǒng)安全、數(shù)據(jù)安全、管理安全信息保密技術(shù)12、古典密碼1、移位密碼將26個英文字母依次與0,1,2,25對應密文c=m+k(mod 26)明文m=c-k(mod 26) （其中k是密鑰）2、仿射密碼密文c=k1*m+k2(mod 26)明文m=k1-1(c-k2) (mod 26)3、維吉利亞密碼該密碼體制有一個參數(shù)n。在加解密時同樣把英文字母用數(shù)字代替進行運算，并按n個字母一組進行變換。明、密文空間及密鑰空間都是n長的英文字母串的集合。加密：設密鑰k=(k1, k2, , kn)，明文P=(m1, m2, , mn)，加密函數(shù)ek(P)=(c1, c2,

12、 , cn)，其中ci=(mi+ki) (mod 26), i=1, 2, , n。解密：對密文c=(c1, c2, , cn)，密鑰k=(k1, k2, , kn)，解密變換為dk(c)=(m1, m2, , mn)，其中mi=(ci-ki) (mod 26), i=1, 2, , n。4、置換密碼加密：把明文字符以固定的寬度m(分組長度)水平地(按行)寫在一張紙上（如果最后一行不足m，需要補充固定字符），按1，2，m的一個置換p交換列的位置次序，再按垂直方向(即按列)讀出即得密文。解密：將密文按相同的寬度m垂直在寫在紙上，按置換p的逆置換交換列的位置次序，然后水平地讀出得到明文。置換p就是

13、密鑰。13、兩種密碼體制和其代表方法對稱加密 序列密碼 分組密碼 數(shù)據(jù)加密標準-DES非對稱加密 RSA密碼算法 Diffie-Hellman密鑰交換算法 ElGamal加密算法14、RSA加密RSA密碼方案是惟一被廣泛接受并實現(xiàn)的通用公開密碼算法，目前已經(jīng)成為公鑰密碼的國際標準。它是第一個既能用于數(shù)據(jù)加密，也通用數(shù)字簽名的公開密鑰密碼算法。(1)密鑰生成首先選取兩個大素數(shù)p和q，計算n=pq ，其歐拉函數(shù)值為 (n)=(p-1)(q-1) ，然后隨機選擇整數(shù)e ，滿足 gcd(e,(n)=1，并計算整數(shù) d e-1 mod (n),則公鑰為e, n，私鑰是d, n。p, q是秘密參數(shù)，需要保

14、密，如不需要保存，可銷毀ps：gcd(e,(n)=1 指 e和(n)的公因數(shù)為1d e-1 mod (n)-de=1mod (n)即d和e的乘積與(n)相除余數(shù)為1(2) 加密過程設接收方的公鑰為e，明文m滿足 0mn（否則需要進行分組）計算密文c= me mod n(3) 解密過程m= cd mod n信息認證技術(shù)15、信息摘要函數(shù)（hash函數(shù)）定義：一個將任意長度的消息序列映射為較短的、固定長度的一個值的函數(shù)。哈希函數(shù)安全的條件、常見攻擊類型見習題16、數(shù)字簽名簽名應該具有的特征：可信、無法被偽造、無法重復使用、文件被簽名以后是無法被篡改的、簽名具有不可否認性功能：解決否認、偽造、篡改及

15、冒充等問題數(shù)字簽名的實現(xiàn)：（1）用對稱加密算法進行數(shù)字簽名：hash函數(shù)（直接數(shù)字簽名）（單密鑰、實現(xiàn)簡單性能好、安全性低）（2）非對稱加密算法：公鑰簽名技術(shù)（用單向函數(shù)對報文變換，得到數(shù)字簽名。利用私鑰進行加密。接收方公鑰解密，得到數(shù)字簽名的明文。用單向函數(shù)對報文變換，得到數(shù)字簽名。比較簽名驗證身份。加密強度高。第三方認證。） 數(shù)字簽名標準（DSS）兩種特殊簽名方式：盲簽名、群簽名17、身份認證技術(shù) 身份認證目的：對通信中一方的身份進行標識和驗證。 方法：驗證用戶所擁有的可被識別的特征1、只有主體了解的秘密，如口令、密鑰2、主體攜帶的物品，如智能卡和令牌卡3、主體身份特征，如指紋、聲音、視網(wǎng)

16、膜 身份認證系統(tǒng)構(gòu)成：被驗證身份者(示證者)、驗證者、攻擊者、可信任的機構(gòu)作為仲裁或調(diào)解機構(gòu)。在網(wǎng)絡通信中，身份認證就是用某種方法證明用戶身份是合法的。 常見身份認證技術(shù)：基于口令的認證技術(shù)、雙因子身份認證技術(shù)、生物特征認證技術(shù)、給予零知識證明的識別技術(shù)具體實現(xiàn)：1、口令技術(shù)是目前常用的身份認證技術(shù)。問題：口令泄露?？诹钚孤锻緩剑旱卿洉r被他人窺視；攻擊者從計算機中存放口令的文件中讀到；口令被在線攻擊猜測出；被離線攻擊搜索到。口令攻擊種類：網(wǎng)絡數(shù)據(jù)流竊聽、認證消息截取重放、字典攻擊、窮舉嘗試、窺探、社交工程、垃圾搜索2、數(shù)字證書3、智能卡：詢問應答、時間同步、事件同步4、主體特征認證（無法仿冒，

17、貴、不穩(wěn)定）用密碼學方法的身份認證協(xié)議比傳統(tǒng)的口令認證更安全。身份認證協(xié)議構(gòu)成：兩個通信方，可能還會有一個雙方都信任的第三方參與進行。其中一個通信方按照協(xié)議的規(guī)定向另一方或者第三方發(fā)出認證請求，對方按照協(xié)議的規(guī)定作出響應，當協(xié)議順利執(zhí)行完畢時雙方應該確信對方的身份。從使用加密的方法分類： 基于對稱密鑰的身份認證 基于公鑰加密的身份認證。從認證的方向性分類： 相互認證 單向認證密鑰管理技術(shù)18、概念密鑰管理是處理密鑰自產(chǎn)生到最終銷毀的整個過程中的所有問題，包括系統(tǒng)初始化，密鑰的產(chǎn)生、存儲、備份裝入、分配、保護、更新、控制、丟失、吊銷和銷毀等。其中分配和存儲是難題。密鑰的管理需要借助于加密、認證、

18、簽字、協(xié)議、公證等技術(shù)。密鑰管理的因素：理論因素：密文累計到足夠量時破解是必然的、人為因素：、技術(shù)因素：密鑰可能是脆弱的、密鑰是安全的，但是密鑰保護可能是實效的19、基礎(chǔ)密鑰管理機制對稱密鑰的管理：加密密鑰的管理：加密密鑰交換協(xié)議20、密鑰管理系統(tǒng)一個完整得密鑰管理系統(tǒng)應該包括：密鑰管理、密鑰分配、計算機網(wǎng)絡密鑰分配方法、密鑰注入、密鑰存儲、密鑰更換和密鑰吊銷。主要密鑰包括：初始密鑰：由用戶選定或系統(tǒng)分配的，在較長的一段時間內(nèi)由一個用戶專用的秘密密鑰。要求它既安全又便于更換。、會話密鑰：兩個通信終端用戶在一次會話或交換數(shù)據(jù)時所用的密鑰。一般由系統(tǒng)通過密鑰交換協(xié)議動態(tài)產(chǎn)生。它使用的時間很短，從而

19、限制了密碼分析者攻擊時所能得到的同一密鑰加密的密文量。丟失時對系統(tǒng)保密性影響不大。、密鑰加密密鑰：用于傳送會話密鑰時采用的密鑰、主密鑰：主密鑰是對密鑰加密密鑰進行加密的密鑰，存于主機的處理器中密鑰的分配：密鑰分配要解決兩個問題：（1）密鑰的自動分配機制，自動分配密鑰以提高系統(tǒng)的效率；（2）應該盡可能減少系統(tǒng)中駐留的密鑰量。根據(jù)密鑰信息的交換方式，密鑰分配可以分成三類：（1）人工密鑰分發(fā)；（2）基于中心的密鑰分發(fā)；（3）基于認證的密鑰分發(fā)。訪問控制技術(shù)21、模型1、自主訪問控制模型 自主訪問控制（Discretionary Access Control）是一種最為普遍的訪問控制手段，其依據(jù)是用戶

20、的身份和授權(quán)，并為系統(tǒng)中的每個用戶（或用戶組）和客體規(guī)定了用戶允許對客體進行訪問的方式。每個用戶對客體進行訪問的要求都要經(jīng)過規(guī)定授權(quán)的檢驗，如果授權(quán)中允許用戶以這種方式訪問客體，則訪問就可以得到允許，否則就不予許可。特點：根據(jù)主體的身份和授權(quán)來決定訪問模式。缺點：信息在移動過程中其訪問權(quán)限關(guān)系會被改變。如用戶A可將其對目標O的訪問權(quán)限傳遞給用戶B,從而使不具備對O訪問權(quán)限的B可訪問O。2、強制訪問控制模型強制訪問控制的實質(zhì)是對系統(tǒng)當中所有的客體和所有的主體分配敏感標簽(Sensitivity Label)。用戶的敏感標簽指定了該用戶的敏感等級或者信任等級，也被稱為安全許可(Clearance)

21、；而文件的敏感標簽則說明了要訪問該文件的用戶所必須具備的信任等級。強制訪問控制就是利用敏感標簽來確定誰可以訪問系統(tǒng)中的特定信息的。用戶的權(quán)限和客體的安全屬性都是固定的 所謂“強制”就是安全屬性由系統(tǒng)管理員人為設置，或由操作系統(tǒng)自動地按照嚴格的安全策略與規(guī)則進行設置，用戶和他們的進程不能修改這些屬性。所謂“強制訪問控制”是指訪問發(fā)生前，系統(tǒng)通過比較主體和客體的安全屬性來決定主體能否以他所希望的模式訪問一個客體。特點： 1.將主題和客體分級，根據(jù)主體和客體的級別標記來決定 訪問模式。如，絕密級，機密級，秘密級，無密級。 2.其訪問控制關(guān)系分為：上讀/下寫 ， 下讀/上寫 （完整性） （機密性）3.

22、通過梯度安全標簽實現(xiàn)單向信息流通模式。缺點：自主式太弱、強制性太強、工作量太大不便管理3、基于角色的訪問控制模型優(yōu)點：便于授權(quán)管理、角色劃分、賦予最小特權(quán)、職責分擔、目標分級減小管理授權(quán)復雜性、降低管理開銷，靈活支持企業(yè)安全策略、有伸縮性以角色作為訪問控制的主體、角色繼承、最小權(quán)限原則4、基于任務的訪問控制模型5、基于對象的訪問控制模型22、基本要素主體、客體、訪問策略23、相關(guān)要素實現(xiàn)機制一般實現(xiàn)機制 基于訪問控制屬性 訪問控制表/矩陣 基于用戶和資源分檔（“安全標簽”） 多級訪問控制常見實現(xiàn)方法 訪問控制表（ACL) 訪問能力表（Capabilities） 授權(quán)關(guān)系表網(wǎng)絡攻擊24、主要網(wǎng)絡

23、攻擊技術(shù)緩沖區(qū)溢出攻擊：遠程控制：拒絕服務攻擊：口令猜測攻擊：25、計算機病毒技術(shù)計算機病毒的特性：1、計算機病毒的傳染性 計算機病毒一旦進入計算機病得以執(zhí)行，它會搜尋其他符合其傳染條件的程序或存儲介質(zhì)，確定目標后再將自身插入其中，達到自我繁殖的目的。是否具傳染性:判別一個程序是否為病毒的最重要條件。2. 計算機病毒的隱蔽性 計算機病毒通常附在正常程序中或磁盤較隱蔽的地方，目的是不讓用戶發(fā)現(xiàn)它的存在。 不經(jīng)過程序代碼分析或計算機病毒代碼掃描， 計算機病毒程序與正常程序是不容易區(qū)別開來的。 一是傳染的隱蔽性。 二是計算機病毒程序存在的隱蔽性。3. 計算機病毒的潛伏性 大部分的計算機病毒感染系統(tǒng)之后一般不會馬上發(fā)作，它可長期隱藏在系統(tǒng)中，只有在滿足其特定條件時才啟動其表現(xiàn)（破壞）模塊，在此期間，它就可以對系統(tǒng)和文件進行大肆傳染。潛伏性愈好，其在系統(tǒng)中的存在時間就會愈久，計算機病毒的傳染范圍就會愈大。4. 可觸發(fā)性：一種條件的控制 計算機病毒使用的觸發(fā)條件主要有以下三種。(1) 利用計算