信息安全導(dǎo)論知識(shí)點(diǎn)總結(jié)

1、弟一章信息安全的定義：在技術(shù)上和 管理上為數(shù)據(jù)處理系統(tǒng)建立的 安全保護(hù)，保護(hù)信息系統(tǒng)的硬 件、軟件及相關(guān)數(shù)據(jù)不因偶然或 者惡意的原因遭到破壞、更改及 泄露。信息安全的屬性完整性、可用性、機(jī)密性。CIA三元組是信息安全的三個(gè) 最基本的目標(biāo)機(jī)密性 Confidentiality:指信 息在存儲(chǔ)、傳輸、使用過程中， 不會(huì)泄漏給非授權(quán)用戶或?qū)嶓w； 完整性Integrity:指信息在存 儲(chǔ)、使用、傳 輸過程中，不 會(huì)被非授權(quán) 用戶篡改或 防止授權(quán)用 戶對(duì)信息進(jìn) 行不恰當(dāng)?shù)?篡改；可用性Availability：指確保授 權(quán)用戶或?qū)嶓w對(duì)信息資源的正 常使用不會(huì)被異常拒絕，允許其 可靠而及時(shí)地訪問信息資源。

2、DAD ( Disclosure 泄露、 Alteration 篡改、Destruction 破壞)是最普遍的三類風(fēng)險(xiǎn)信息安全保障體系包括四個(gè) 部分內(nèi)容，即PDRR保護(hù)(Protect)檢測(Detect) 反應(yīng)(React)恢復(fù)(Restore) 弟一章密碼學(xué)包括密碼編碼學(xué)和密 碼分析學(xué)兩部分。完整密碼體制要包括如下五 個(gè)要素：M是可能明文的有限集稱為 明文空間；C是可能密文的有限集稱為 密文空間；K是一切可能密鑰構(gòu)成的有限集稱為密鑰空間；E為加密算法，對(duì)于任一密 鑰，都能夠有效地計(jì)算；D為解密算法，對(duì)于任一密 鑰，都能夠有效地計(jì)算。對(duì)稱密鑰密碼加密模式從工 作方式上可分為：分組密碼、序 列

3、密碼分組密碼原理加密：將明文分成若干固定長度 的組，用同一密鑰、算法逐組加 密，輸出等長密文分組。解密：將密文分成等長的組，采 用同一密鑰和算法逐組解密，輸 出明文。單向陷門函數(shù)f(x)，必須滿 足以下三個(gè)條件。給定x，計(jì)算y=f(x)是容易 的；給定y,計(jì)算x使y=f(x)是困 難的(所謂計(jì)算x=f-1(y)困難是 指計(jì)算上相當(dāng)復(fù)雜已無實(shí)際意 義)；存在5,已知5時(shí)對(duì)給定的任 何y，若相應(yīng)的x存在，則計(jì)算 x使y=f(x)是容易的。公開密鑰可以有效解決機(jī)密 性和認(rèn)證性這兩個(gè)問題消息認(rèn)證：驗(yàn)證收到的消息 來自真正的發(fā)送方且未被修改 過，驗(yàn)證消息的真實(shí)性、完整性、 順序性、時(shí)間性。消息認(rèn)證碼MA

4、C (Message Authentication Code)：也稱密 碼校驗(yàn)和，使用密碼對(duì)消息加 密，生成固定長度的認(rèn)證符；消息認(rèn)證碼MAC基本思想：利用事先約定的密鑰， 加密生成一個(gè)固定長度的短數(shù) 據(jù)塊MAC，附加到消息之后，一 起發(fā)送給接收者；MAC是消息和密鑰的公 開函數(shù)所產(chǎn)生的定長的值，以此 值作為認(rèn)證符?？梢哉J(rèn)證：消息 是否改變發(fā)送者是否是所聲稱 的如果消息中包含順序碼，保 證消息的正常順序接收者使用相同密鑰 對(duì)消息原文進(jìn)行加密得到新的 MAC，比較新的MAC和隨消息一 同發(fā)來的MAC進(jìn)行認(rèn)證。散列函數(shù)的健壯性弱無碰撞特性強(qiáng)無碰撞特性單向性數(shù)字簽名的過程g * M弟三章物理安全包括

5、p48物理安全技術(shù)包括：防盜、防 火、防靜電、防雷擊、防信息泄 漏、物理隔離；基于物理環(huán)境的 容災(zāi)技術(shù)和物理隔離技術(shù)也屬 于物理安全技術(shù)范疇物理隔離與邏輯隔離有很大 的區(qū)別物理隔離的哲學(xué)是不安全就不 連網(wǎng)，要絕對(duì)保證安全，邏輯隔 離的哲學(xué)是在保證網(wǎng)絡(luò)正常使 用下，盡可能安全第四章Kerberos身份認(rèn)證AS：公安局，審核頒發(fā)身份 證TGS :機(jī)票售票處oServer V：登機(jī)驗(yàn)票處。第一階段身份驗(yàn)證服務(wù)交 換第二階段票據(jù)授予服 務(wù)交換第三階段客戶與 服務(wù)器身份驗(yàn)證交換基于數(shù)字證書進(jìn)行身份認(rèn)證 的過程p63PKI體系結(jié)構(gòu)認(rèn)證中心CA證書庫密鑰備 份及恢復(fù)系統(tǒng)證書撤銷系統(tǒng) 應(yīng)用程序接口 API第五

6、章訪問控制的基本組成元素主體客體訪問控制策略訪問控制模型自主訪問控制強(qiáng)制訪問控制MAC基于角色的訪問控制 自主訪問控制模型p68 上讀/下寫（完整性） 下讀/上 寫（機(jī)密性）RBAC模型的基本思想是將訪 問權(quán)限分配給一定的角色，用戶 通過飾演不同的角色獲得角色 所擁有的訪問許可權(quán)。弟六早病毒是指“編制或者在計(jì)算 機(jī)程序中插入的破壞計(jì)算機(jī)功 能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使 用并且能夠自我復(fù)制的一組計(jì) 算機(jī)指令或者程序代碼”。計(jì)算機(jī)病毒特征非授權(quán)性寄生性傳染性潛伏 性破壞性觸發(fā)性病毒根據(jù)其工作原理和傳播 方式劃分傳統(tǒng)病毒蠕蟲病毒木馬蠕蟲與傳統(tǒng)病毒的區(qū)別：蠕蟲 病毒一般不需要寄生在宿主文 件中，蠕蟲病

7、毒能夠利用漏洞計(jì)算機(jī)病毒防治技術(shù)主要包 括：檢測、清除、預(yù)防和免疫拒絕服務(wù)攻擊：DoS并不是某 一種具體的攻擊方式，而是攻擊 所表現(xiàn)出來的結(jié)果最終使得目 標(biāo)系統(tǒng)因遭受某種程度的破壞 而不能繼續(xù)提供正常的服務(wù)，甚 至導(dǎo)致物理上的癱瘓或崩潰。通常拒絕服務(wù)攻擊可分為兩 種類型，第一類攻擊是利用網(wǎng)絡(luò)協(xié)議的 缺陷，通過發(fā)送一些非法數(shù)據(jù)包 致使主機(jī)系統(tǒng)癱瘓；第二類攻擊是通過構(gòu)造大量網(wǎng) 絡(luò)流量致使主機(jī)通訊或網(wǎng)絡(luò)堵 塞，使系統(tǒng)或網(wǎng)絡(luò)不能響應(yīng)正常 的服務(wù)。蠕蟲與傳統(tǒng)病毒的區(qū)別：蠕蟲 病毒一般不需要寄生在宿主文 件中，蠕蟲病毒能夠利用漏洞1、木馬是有隱藏性的、傳播性 的，木馬一般不會(huì)直接對(duì)計(jì)算機(jī) 產(chǎn)生危害，主要以

8、控制計(jì)算機(jī)為 目的。2、木馬病毒程序一般有是三部 分組成，第一部分是控制程序（客戶端）；第二部分是木馬程 序（服務(wù)器端），它是木馬病毒 的核心；第三部分是木馬配置程 序。3、Ping of death 攻擊：攻擊 者可以通過修改IP分片中的偏 移量和段長度，是系統(tǒng)在接收到 全部分段后重組報(bào)文時(shí)總的長 度超過了 65535字節(jié)。一些操作 系統(tǒng)在對(duì)這類超大數(shù)據(jù)包的處 理上存在缺陷，當(dāng)安裝這些操作 系統(tǒng)的主機(jī)收到了長度大于 65535字節(jié)的數(shù)據(jù)包時(shí)，會(huì)出現(xiàn) 內(nèi)存分配錯(cuò)誤，從而導(dǎo)致TCP/IP 堆棧崩潰，造成死機(jī)，這就是 ping of death 攻擊。4、Syn Flood攻擊（拒絕服務(wù) 攻擊）：

9、攻擊者偽造TCP的連接 請(qǐng)求，向被攻擊的設(shè)備正在監(jiān)聽 的端口發(fā)送大量的SYN連接請(qǐng) 求報(bào)文，被攻擊的設(shè)備按照正常 的處理過程，回應(yīng)這個(gè)請(qǐng)求報(bào) 文，同時(shí)為它分配了相應(yīng)的資 源。攻擊者本意并不需要建立 TCP連接，因此服務(wù)器根本不會(huì) 接受到第三個(gè)ACK報(bào)文，使被 攻擊的系統(tǒng)所預(yù)留的所有TCP 緩存都耗盡，那么背攻擊的設(shè)備 將無法再向正常的用戶提供服 務(wù)，攻擊者也就達(dá)到了攻擊的目 的（拒絕服務(wù)）。5、地址解析：主句在發(fā)送幀前 將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC 地址的過程。冒充域名服務(wù)器，把受害者要查 詢的域名對(duì)應(yīng)的ip地址偽造成 欺騙者希望的ip地址，這樣受 害者就只能看到攻擊者希望的 網(wǎng)站頁面，這就

10、是dns欺騙的的 基本原理。10.緩沖區(qū)溢出：是指當(dāng)計(jì)算機(jī) 向緩沖區(qū)內(nèi)填充數(shù)據(jù)位數(shù)時(shí)超 過了緩沖區(qū)本身的容量，溢出的 數(shù)據(jù)覆蓋了合法數(shù)據(jù)第七章防火墻是位于兩個(gè)或多個(gè)網(wǎng) 絡(luò)之間，執(zhí)行訪問控制策略的一 個(gè)或一組系統(tǒng)，是一類防范措施 的總稱。包過濾防火墻：靜態(tài)包過濾、 動(dòng)態(tài)包過濾靜態(tài)包過濾是指防火墻根據(jù) 定義好的包過濾規(guī)則審查每個(gè) 數(shù)據(jù)包，確定其是否與某一條包 過濾規(guī)則匹配。動(dòng)態(tài)包過濾是指防火墻采用 動(dòng)態(tài)配置包過濾規(guī)則的方法，根 據(jù)需求動(dòng)態(tài)的添加或刪除acl中 的過濾規(guī)則，并通過對(duì)其標(biāo)準(zhǔn)建 立的每一個(gè)連接進(jìn)行跟蹤，更加 靈活的對(duì)網(wǎng)絡(luò)連接訪問的控制。網(wǎng)絡(luò)地址轉(zhuǎn)換NAT屬于廣域網(wǎng)wan技術(shù)，是一種 將私

11、有地址轉(zhuǎn)化為合法ip地址 的轉(zhuǎn)換技術(shù)。隧道技術(shù)的基本過程，p112 隧道技術(shù)的基本過程是在源局 域網(wǎng)與公網(wǎng)的借口處將數(shù)據(jù)作 為負(fù)載封裝在一種可以在公網(wǎng) 上傳輸?shù)臄?shù)據(jù)格式中，在目的局 域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)解 封裝，取出負(fù)載并轉(zhuǎn)發(fā)到最終目 的地。CIDF通用模型:事件產(chǎn)生器、 事件分析器、響應(yīng)單元、事件數(shù) 據(jù)庫入侵檢測系統(tǒng)按數(shù)據(jù)源分類主機(jī)型入侵檢測系統(tǒng)網(wǎng)絡(luò)型入侵檢測系統(tǒng)以檢測技術(shù)為分類標(biāo)準(zhǔn)p120 基于誤用檢測的IDS基于異常檢測的IDS基于誤用檢測的IDS：是事先 定義出已知的入侵行為的入侵 特征，將實(shí)際環(huán)境中的數(shù)據(jù)與之 匹配，根據(jù)匹配程度來判斷是否 發(fā)生了無用攻擊，即入侵攻擊行 為?；诋?/p>

12、常檢測的IDS：根據(jù)使 用者的行為或資源使用狀況的 程度與正常狀態(tài)下的標(biāo)準(zhǔn)特征 之間的偏差來判斷是否遭到了 入侵，如果偏差高于閾值則發(fā)生 異常。常見的入侵誘騙技術(shù)主要有 蜜罐（Honeypot）技術(shù)和蜜網(wǎng)（Honeynet）技術(shù)第八章1.IPSec 協(xié)議ESP（封裝安全負(fù)載）協(xié)議AH （認(rèn)證頭）協(xié)議二者都支持認(rèn)證功能，保護(hù)范圍 存在著一定的差異。AH的作用域是整個(gè)IP數(shù)據(jù)包， 包括IP頭和承載數(shù)據(jù)ESP認(rèn)證 功能的作用域只是承載數(shù)據(jù)，不 包括IP頭。AH提供認(rèn)證的安全 性高于ESP的認(rèn)證服務(wù)IPSec包含有兩個(gè)指定的數(shù)據(jù) 庫安全策略數(shù)據(jù)庫（SPD）安全關(guān) 聯(lián)數(shù)據(jù)庫（SAD）IPSec的工作模式

13、傳輸模式隧道模式傳輸模式：IPSec先對(duì)上層協(xié)議 進(jìn)行封裝，增加一個(gè)IPSec頭， 對(duì)上層協(xié)議的數(shù)據(jù)進(jìn)行保護(hù)，然 后由IP協(xié)議對(duì)封裝的數(shù)據(jù)進(jìn)行 處理，增加IP頭，只對(duì)數(shù)據(jù)包 的有效負(fù)載進(jìn)行加密或認(rèn)證。（用于兩臺(tái)主機(jī)之間的安全通 信）隧道模式:IPSec對(duì)IP協(xié)議處理 后的數(shù)據(jù)進(jìn)行封裝，增加一 IPSec頭，對(duì)IP數(shù)據(jù)包進(jìn)行保護(hù)， 然后再由IP協(xié)議對(duì)封裝的數(shù)據(jù) 進(jìn)行處理，增加新IP頭，對(duì)整 個(gè)數(shù)據(jù)包進(jìn)行加密或認(rèn)證。（通 信雙方有一方是安全網(wǎng)關(guān)或路 由器）抗重放窗口：32比特計(jì)數(shù)器， 用于決定進(jìn)入的AH或ESP數(shù)據(jù) 包是否為重發(fā)，僅用于接收數(shù)據(jù) 包?？怪胤糯翱赪實(shí)際是某個(gè)特 定時(shí)間接收到的數(shù)據(jù)包序

14、號(hào)是 否符合窗口的上下界。SSL （Secure Sockets Layer 安全套接層）體系結(jié)構(gòu)SSL記錄協(xié)議SSL握手協(xié)議 SSL轉(zhuǎn)換密碼規(guī)范協(xié)議SSL報(bào) 警協(xié)議SSL握手協(xié)議：SSL握手協(xié)議通 過在客戶端和服務(wù)器之間傳遞 消息報(bào)文，完成會(huì)話協(xié)商談判。 SSL握手協(xié)議四個(gè)階段：建立安 全能力服務(wù)器認(rèn)證與密鑰交 換客戶機(jī)認(rèn)證與密鑰交換 結(jié)束set的組件結(jié)構(gòu)：持卡人商家 發(fā)卡機(jī)構(gòu)清算機(jī)構(gòu)支付網(wǎng)關(guān) 認(rèn)證中心SET協(xié)議安全性主要依靠其采 用的多種安全機(jī)制，解決了機(jī)密 性、完整性、身份認(rèn)證和不可否 認(rèn)性等問題，提供了更高的信任 度和可靠性。電子信封電子信封涉及到兩個(gè)密鑰：一個(gè) 是接收方的公開密鑰另一個(gè)是 發(fā)送方生成臨時(shí)密鑰（對(duì)稱密 鑰）電子信封的使用過程P156雙重簽名（1）SET協(xié)議核心內(nèi)容是訂購信 息OI和支付信息PI（2）DS（雙重簽名）技術(shù)首先生成 OI和PI兩條消息的摘要，將兩 個(gè)摘要連接起來，生成一個(gè)新的 摘要，然后用顧客的私有密鑰加 密，即雙重簽名（3）分離PI與OI：確保商家不 知道顧客的支付卡信息，銀行不 知道顧客的訂購細(xì)節(jié)。交易處理在處理中，持卡人注冊和商家注 冊