信息安全考試范圍2022

信息安全考試范圍2022不完全版使用方法：結(jié)合書本、PPT以及何學(xué)長的復(fù)習(xí).pdf一起看。第一章概述1.3P8-9什么是信息安全；信息安全的屬性（5個）1.4.2&1.5.1列舉5種以上常見的安全威脅，并闡述其對應(yīng)的安全措施。（清楚1.4.2和1.5.1的對應(yīng)關(guān)系）例：計算機(jī)病毒對應(yīng)反病毒技術(shù)重點看1.5.1結(jié)合后面的具體內(nèi)容來看。注：PPT中補(bǔ)充數(shù)據(jù)備份的內(nèi)容，幾種數(shù)據(jù)備份方式的特點和區(qū)別。1.5.21.5.3一個完整的信息安全系統(tǒng)必須包含技術(shù)、管理、法律三個方面。簡答題：一句話表示；應(yīng)用題：涉及具體內(nèi)容P20網(wǎng)絡(luò)安全防范6種機(jī)制第二章密碼學(xué)2.1古典密碼：除了書上講的，凱撒密碼、一次一密都要會計算密碼體制的數(shù)學(xué)化描述：一個五元組(P，C，K，E，D)滿足：P是可能明文的有限集；C是可能密文的有限集；密鑰空間K是可能密鑰的有限集；對每一個k，有一個加密規(guī)則ek和解密規(guī)則dk，對任一明文某有：dk(ek(某))=某補(bǔ)充:數(shù)字簽名的數(shù)學(xué)化描述：這一節(jié)可能還會出一道仿射密碼或凱撒密碼或者一次一密2.2分組密碼：只考一道大題：S盒的查找比如：知道一個S3，告訴6位輸入，求4位輸出S盒的功能：把6位輸入變?yōu)?位的輸出，了解它的過程填空題：DES加密用多少bit的密鑰？分組長度是多少？和AES進(jìn)行比較；有多少輪？輪密鑰產(chǎn)生的每一個輪有多少比特？簡要闡述AES的加密過程。經(jīng)過若干輪，每一輪中進(jìn)行4個步驟：輪密鑰加、字節(jié)代換、行移位、列混合。2.3公鑰密碼：RSA、Elgamal：加密解密&簽名四個考點；兩兩搭配每卷各20分詳細(xì)看PPT流密碼：請簡要闡述流密碼的絕對安全性。一次一密為什么安全？2.5&2.6（A、B卷各考一個填空）信息隱藏技術(shù)；電子信封技術(shù)信息隱藏有哪兩個分支（隱寫術(shù)、數(shù)字水印）？信息隱藏利用載體的冗余（數(shù)據(jù)冗余、空間冗余等）來達(dá)到隱藏信息的目的。第三章信息認(rèn)證信息認(rèn)證技術(shù)信息認(rèn)證技術(shù)主要用于防止“主動攻擊”，如偽裝、篡改等信息認(rèn)證的目的：驗證信息發(fā)送者的合法性，即實體認(rèn)證：包括信源信宿的認(rèn)證和識別驗證消息的完整性以及數(shù)據(jù)在傳輸和存儲過程中是否篡改、重放或延遲數(shù)字簽名（數(shù)學(xué)化描述）簽名體制=四元組(M,S,K,V)M:明文空間，S:簽名的集合，K:密鑰空間，V:驗證函數(shù)的值域，由真、偽組成。(1)簽名生成算法：對每一m∈M和每一k∈K，易于計算對m的簽名：S=Sigk(m)∈S，簽名算法或簽名密鑰是秘密的；(2)驗證算法：Verk(S,m)∈{真，偽}={0，1}驗證算法是公開的，已知m，S，易于證實S是否為m的簽名，以便他人進(jìn)行驗證。體制的安全性：從m和其簽名S難于推出K或偽造一個m’使m’和S可被證實為真。數(shù)字簽名應(yīng)的性質(zhì)簽名是可信的，任何人可以方便驗證。簽名是不可偽造的，偽造簽名是困難的。簽名是不可復(fù)制的。簽名的消息不可改變，否則能發(fā)現(xiàn)不一致性。簽名是不可抵賴的，簽名者不能否認(rèn)簽名。HASH函數(shù)概念，常見的hah算法（MD5、SHA）RSA簽名，Elgamal簽名盲簽名與群簽名（理解）身份認(rèn)證技術(shù)分類：1.條件安全認(rèn)證系統(tǒng)與無條件安全認(rèn)證系統(tǒng)2．有保密功能的認(rèn)證系統(tǒng)與無保密功能的認(rèn)證系統(tǒng)3.有仲裁人認(rèn)證系統(tǒng)與無仲裁人認(rèn)證系統(tǒng)常見的身份認(rèn)證技術(shù)：基于口令的認(rèn)證（PAP認(rèn)證、CHAP認(rèn)證）；雙因子身份認(rèn)證技術(shù)（口令+智能安全存儲介質(zhì)）；生物特征認(rèn)證技術(shù)（手寫簽名識別，指紋識別技術(shù)，語音識別技術(shù)，視網(wǎng)膜識別技術(shù)，虹膜識別技術(shù)，臉型識別技術(shù)）；基于零知識證明的識別技術(shù)Whatyouknow;whatyouhave;whoyouare.具體實現(xiàn)：1.用戶名與口令（挑戰(zhàn)應(yīng)答式口令防止重放攻擊，添加隨機(jī)字符串抵抗字典式攻擊）2.硬件實現(xiàn)：安全令牌（時間令牌，挑戰(zhàn)應(yīng)答式令牌）；智能卡（個人標(biāo)識號PIN）；雙向認(rèn)證3.雙向認(rèn)證信息認(rèn)證是訪問控制的前提第四章PKI與PMI認(rèn)證技術(shù)某.509數(shù)字證書CA頒發(fā)的數(shù)字證書采用某.509V3標(biāo)準(zhǔn)基本格式包括以下項目：版本號（v3）證書序列號（唯一的）算法標(biāo)識符（如RSAwithSHA-1）證書頒發(fā)者（證書頒發(fā)者的可識別名DN，符合某.500格式）有效期證書持有者（證書持有者的可識別名DN，符合某.500格式）證書持有者公鑰（公鑰信息以及相應(yīng)的算法信標(biāo)識符）頒發(fā)者唯一標(biāo)識符（可選項）持有者唯一標(biāo)識符（可選項）擴(kuò)展部分證書頒發(fā)者（CA）已經(jīng)驗證了證書持有者的身份，通過將頒發(fā)者自己簽名的證書放入主機(jī)計算機(jī)的可信根CA證書存儲區(qū)中，主機(jī)將頒發(fā)者指定為可信根頒發(fā)機(jī)構(gòu)。PKI系統(tǒng)1.證書頒布2.證書更新3.證書廢除4.證書和CRL公布5.證書狀態(tài)的在線查詢6.證書認(rèn)證4.3信任模型（PPT為主）；包括授權(quán)常見信任模型：1)通用層次結(jié)構(gòu)：考慮兩類認(rèn)證機(jī)構(gòu)：一個子CA向最終實體（用戶、網(wǎng)絡(luò)服務(wù)器、用戶程序代碼段等）頒發(fā)證書；中介CA對子CA或其他中介CA頒發(fā)證書。雙向信任關(guān)系。2)網(wǎng)狀模型：所有的跟CA之間是對等的關(guān)系，都有可能進(jìn)行交叉認(rèn)證。3)橋模型：橋模型實現(xiàn)交叉認(rèn)證中心，在不同的信任域之間建立橋CA，為不同信任域的根CA頒發(fā)交叉認(rèn)證的證書。4)信任鏈模型：一套可信任的根的公鑰被提供給客戶端系統(tǒng)，為了被成功地驗證，證書一定要直接或間接地與這些可信任根相連接。例如瀏覽器中的證書。書P140層次信任模型：所有的信任用戶都有一個可信任的根，層次信任關(guān)系是一種鏈?zhǔn)降男湃侮P(guān)系，正如一個數(shù)，那么從根節(jié)點到葉子節(jié)點的通路構(gòu)成了簡單唯一的信任路徑，其管理方向是不可逆的。優(yōu)點在于結(jié)構(gòu)簡單，易于實現(xiàn)。缺點是在不同的父親節(jié)點下的葉節(jié)點之間無法通過相互關(guān)系來驗證信任。圖對等信任模型：是指兩個或兩個以上的對等的信任域間建立的信任關(guān)系，實現(xiàn)交叉認(rèn)證，其中建立交叉認(rèn)證的兩個實體間是對等的關(guān)系。適合表示動態(tài)變化的信任組織機(jī)構(gòu)，但是在建立有效的認(rèn)證路徑時，很難在整個信任域中確定R2是某K的最適當(dāng)?shù)男湃卧础＞W(wǎng)狀信任模型：是對等模型的擴(kuò)充，通過建立一個網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的信任模型來實現(xiàn)信任域之間的間接信任關(guān)系。結(jié)構(gòu)復(fù)雜，跨越多個不同規(guī)模和類型的可信域建立的非層次信任路徑被認(rèn)為是不可信的；網(wǎng)絡(luò)資源和時限是另一個問題。信任管理的兩個方面：對信任鏈的維護(hù)和管理、對信任域間信任關(guān)系的管理和維護(hù)。第五章密鑰管理技術(shù)密鑰種類分類初始密鑰：由用戶選定或者系統(tǒng)分配的，在較長的一段時間內(nèi)由一個用戶專用的秘密密鑰。要求它既安全又便于更換。會話密鑰（數(shù)據(jù)加密密鑰）：是兩個通信終端用戶在一次會話或交換數(shù)據(jù)時使用的密鑰。由系統(tǒng)通過密鑰交換協(xié)議動態(tài)產(chǎn)生。丟失由于密鑰加密的數(shù)據(jù)量有限，對系統(tǒng)的保密性影響不大。密鑰加密密鑰：用于傳送會話密鑰時采用的密鑰。主密鑰：對密鑰加密密鑰進(jìn)行加密的密鑰，存在主機(jī)的處理器中。密鑰種類分類密鑰的分配兩個問題:密鑰的自動分配機(jī)制，自動分配密鑰以提高系統(tǒng)的效率應(yīng)盡可能減少系統(tǒng)中駐留的密鑰量。1.人工發(fā)放密鑰2.基于中心的密鑰發(fā)放3.基于認(rèn)證的密鑰發(fā)放：公鑰加密系統(tǒng)、密鑰交換協(xié)議要有兩套防火墻一套內(nèi)外網(wǎng)之間，一套核心部門與其他部門之間題：假設(shè)你是CIO，如何購買信息安全產(chǎn)品對企業(yè)進(jìn)行安全防護(hù)，不計成本。1.入侵檢測兩種分類：基于主機(jī)，網(wǎng)絡(luò)中某一臺主機(jī)作為嗅探器，網(wǎng)卡置于非混雜模式（接受所有IP目標(biāo)的地址的信息和廣播地址）。基于網(wǎng)絡(luò)，內(nèi)部網(wǎng)的網(wǎng)線上裝上嗅探器，加一臺入侵檢測管理設(shè)備入侵檢測設(shè)備（配置結(jié)構(gòu)圖會畫）：一個或多個嗅探器+管理主機(jī)+入侵檢測算法防火墻：一個或多個路由器+堡壘主機(jī)要求錯誤接受率和錯誤拒絕率之間的平衡2.訪問控制3.密碼技術(shù)與設(shè)備總之把我們每章學(xué)過的堆上去第九章（入侵檢測）入侵檢測系統(tǒng)通過對網(wǎng)絡(luò)中的數(shù)據(jù)包或主機(jī)的日志等信息進(jìn)行提取、分析，發(fā)現(xiàn)入侵和攻擊行為，并對入侵或攻擊做出相應(yīng)。入侵檢測系統(tǒng)是一種主動防御技術(shù)。IDS三個部分：1、提供事件記錄流的信息源，即對信息的收集和預(yù)處理；2、入侵分析引擎；3、基于分析引擎的結(jié)果產(chǎn)生反應(yīng)的響應(yīng)部件。IDS能夠完成的活動：",監(jiān)控、分析用戶和