《信息安全概论》复习大纲.docx

信息安全概论复习大纲信息安全概论复习大纲 | dockoji 信息安全概述复习大纲 第一章信息网络安全基本概念 理解并识记： 1. 信息安全五性 保密性：当数据离开一个特定系统，例如网络中的服务器，就会暴露在不可信的环境中。保密性服务就是通过加密算法对数据进行加密确保其处于不可信环境中也不会泄露。 完整性：用于保护数据免受非授权的修改，因为数据在传输过程中会处于很多不可信的环境，其中存在一些攻击者试图对数据进行恶意修改。 可用性：用于保证合法用户对信息和资源的使用不会被不正当地拒绝。 可控性：对网络中的资源进行标识，通过身份标识达到对用户进行认证的目的。一般系统会通过使用“用户所知”或“用户所有”来对用户进行标识，从而验证用户是否是其声称的身份。 不可否认性：用于追溯信息或服务的源头。 2. 客户端和服务器进行通信时的三次握手过程 客户端和服务器进行通信之前，要通过三次握手过程建立TCP连接。 三次握手过程如下： 首先：客户端向服务器发送一个同步数据包。 然后：服务器响应一个ACK位和SYN位置位的数据包。 最后：客户端响应一个ACK位置位的数据包。 缺陷：三次握手过程存在者半打开问题，由于服务器对之前发起握手的客户存在信任关系，就会是端口一直处于打开状态以等待客户端通信，而这个特性往往会被恶意攻击者利用。 1 信息安全概论复习大纲 | dockoji 客户端服务器SYNSYN/ACKACK第二章密码技术 识记： 1. 密码系统的组成 明文：要被发送的原文消息。 密码算法：由加密和解密的数学算法组成。 密文：明文经过加密算法加密之后得到的结果。 密钥：在加密和解密过程中使用的一系列比特串。 2. 密码的作用 密码的作用实现信息的保密性，完整性，不可否认性和可控性。 保密性：消息的发送者使用密钥对消息进行加密。 完整性：密码可以保证被接收方收到的消息在传输过程中未经任何变动以保护其完整性。 不可否认性：以向用户提供不可否认性。 可控性：利用密码技术向其他的用户或系统来证明自己的身份。 3. 对称加密算法DES、AES 1) 对称加密算法的特征：发送方和接收方使用相同的秘钥。 2) DES算法 DES算法描述:典型的分组密码，明文分组长度64位，密钥长度64位。 DES整体结构:解密过程除了子密钥输出的顺序相反外，密钥调度的过程与加密完全相同。DES特点:灵活、多模式、不能提供足够的安全性能、运算量小、加密速度快、加密效率高。 2 信息安全概论复习大纲 | dockoji 明文初始置换IPL0R0K1L1=R0FR1=L0F(R0,K1)L15=R14R15=L14F(R14,K15)K16R16=L15F(R15,K16)FL16=R15逆初始置换IP-1密文DES整体结构图 Ri-132bits子子子48bitsES1S2S3S4S5S6S7S8PF函数 3 信息安全概论复习大纲 | dockoji DES算法中子密码产生过程 3) AES算法 4) 对称密码算法存在的问题 密钥管理成为用户的负担； 对拥有庞大用户数量的网络的通信空间提出了很高的要求； 密钥不能被及时更换以保证信息的保密性； 数据的完整性得不到保证； 无法保证接收到的消息来自于声明的发送者。 4. 非对称加密算法 RSA的基本原理 1) 非对称加密算法特征：非对称密码算法和对称密码算法最大的不同在于通信双方使用不同的密钥；除了用于加密，当用户使用自己的私钥对消息进行加密，而使用公钥解密时，非对称密码算法还可以实现签名的功能，保证了数据的完整性。 2) RSA算法 RSA算法描述：能够抵抗到目前为止已知的所有密码攻击，已被ISO推荐为公钥数据加密标准。算法基于大素数因式分解的困难性来产生公钥/私钥对。 RSA加密解密过程： 4 信息安全概论复习大纲 | dockoji 加密字符串明文通过Encoding指定不同的代码页，把字符串转成不同代码页对应的编码，表现为byte形式解密字符串明文使用加密时Encoding使用的代码页，把byte形式的明文转换为适当字符串明文25Byte字节流明文13加密操作公钥公钥私钥Byte字节流明文4解密操作cer证书pfx证书密文Byte密文ByteRSA加密解密过程图解 3）非对称密码算法存在的问题 速度问题； 中间人攻击：中间人攻击是一种常见的攻击方式，攻击者从通信信道中截获数据包并对其进行修改，然后再插回信道中，从而将自己伪装成合法的通信用户。 理解并掌握： 1. DES的加密的基本原理和特点 2. 对称加密存在的问题 3. 如何利用. RSA进行秘密通讯 4. 描述中间人攻击，简述要怎么预防 中间人攻击：中间人攻击是一种常见的攻击方式，攻击者从通信信道中截获数据包并对其进行修改，然后再插回信道中，从而将自己伪装成合法的通信用户。 预防中间人攻击： 对于DNS欺骗，要记得检查本机的HOSTS文件，以免被攻击者加了恶意站点进去；其次要确认自己使用的DNS服务器是ISP提供的，因为目前ISP服务器的安全工作还是做得比较好的，一般水平的攻击者无法成功进入；如果是依靠网关设备自带的DNS解析来连接Internet的，就要拜托管理员定期检查网关设备是否遭受入侵。 至于局域网内各种各样的会话劫持，因为它们都要结合嗅探以及欺骗技术在内的攻击手段，必须依靠ARP和MAC做基础，所以网管应该使用交换式网络代替共享式网络，这可以降低被窃听的机率，当然这样并不能根除会话劫持，还必须使用静态ARP、捆绑MAC+IP等方法来限制欺骗，以及采用认证方式的连接等。 5. 数字签名和数字证书的原理 5 信息安全概论复习大纲 | dockoji 1) 数字签名 基本描述：使用一个哈希函数来产生明文消息的消息摘要。哈希函数是一种单向函数，并且能保证消息和消息摘要之间一对一的映射，也就是说，没有任何两个不同的消息能够产生相同的哈希值。 生成过程 子子子子Hash子子子子子子子子子子子子子子子子子子子子子子子子子子子子子子子子子Hash子子子子子子子子子子子子子子子子子子子子子子子子子' ?=子子子子数字签名生成验证过程 2) 数字证书 定义：数字证书是由权威公正的第三方机构签发的证书，它能提供在因特网上进行身份验证的一种权威性电子文档，人们可以在互联网交往中用它来证明自己的身份和识别对方的身份。 应用：数字证书广泛应用于收发安全电子邮件、网上银行、网上办公、网上交易、访问安全站点等安全电子事务处理和安全电子交易活动。 原理图： 数字证书工作原理 第三章认证技术 识记： 6 信息安全概论复习大纲 | dockoji 1. 认证的基本概念 认证是验证某个人或系统身份的过程，就是向认证机构提供信息确认某个人或系统是否是它声称的那个人或系统。 2. 认证建立的因子分类 用户所知道的、用户所拥有的、用户本身特有的。 3. 一次性口令认证 概念：一次性口令认证也被称为会话认证，认证中的口令只能被使用一次，然后被丢弃，从而减少了口令被破解的可能性。在一次性口令认证中，口令值通常是被加密的，避免明文形式的口令被攻击者截获。最常见的一次性口令认证方案是S/Key和Token方案。 S/key 基于MD4和MD5加密算法产生，采用客户-服务器模式 客户端负责用hash函数产生每次登陆使用的口令，服务器端负责一次性口令的验证，并支持用户密钥的安全交换。 在认证的预处理过程中，服务器将种子以明文形式发送给客户端，客户端将种子和密钥拼接在一起得到S。然后，客户端对S进行hash运算得到一系列一次性口令。 S/Key保护认证系统不受外来的被动攻击，但是无法阻止窃听者对私有数据的访问，无法防范拦截并修改数据包的攻击，无法防范内部攻击 Token 这种方法要求在产生口令的时候使用认证令牌。根据令牌产生的不同，又分为两种方式：挑战应答式和时间同步式。 挑战应答式 时间同步式:在这种方式中，服务器上存储有用户的种子密钥，用来产生口令。用户拥有的口令卡里同样存储有用户的种子密钥。进行认证时，用户向系统提供PIN值以及由口令卡根据当前时间计算的口令值。服务器将用户提供的口令和自己计算所得的口令进行对比，认证用户。 理解并掌握： 1. 生物认证的基本过程 生物认证原理 2. 完整的认证过程 7 信息安全概论复习大纲 | dockoji 申请使用资源输入组件核实器计算认证信息用户/工作组接受或拒绝访问请求访问控制单元用户特征信息数据库认证过程示意图 3. SSL协议 SSL step 1:握手协议 该协议允许服务器和客户机相互验证，协商加密和MAC算法以及保密密钥，用来保护在SSL记录中发送的数据。 SSL step 2:记录协议 8 信息安全概论复习大纲 | dockoji 记录协议向SSL连接提供两个服务 保密性：使用握手协议定义的秘密密钥实现 完整性：握手协议定义了MAC，用于保证消息完整性 SSL step 3: 警报协议 客户机和服务器发现错误时，向对方发送一个警报消息。如果是致命错误，则算法立即关闭SSL连接，双方还会先删除相关的会话号，秘密和密钥。每个警报消息共2个字节，第1个字节表示错误类型，如果是警报，则值为1，如果是致命错误，则值为2；第2个字节制定实际错误类型 总结 SSL中，使用握手协议协商加密和MAC算法以及保密密钥 ，使用握手协议对交换的数据进行加密和签名，使用警报协议定义数据传输过程中，出现问题如何去解决。 第四章安全协议 识记： 1. 安全协议在协议框架里工作的位置 应用层安全S/MIME，Web安全，SET，Kerberos 传输层安全SSL，TLS 网络层安全IPSec，VPNs 链路层安全PPP，RADIUS 理解： 1. 上述安全协议的主要功能 S/MIME的功能：S/MIME是多用途网络邮件扩充协议的扩充，其中加入了数字签名并对邮件内容进行了加密。S/MIME 提供两种安全服务：邮件加密和数字签名。 SET功能:，是为了实现更加完善的即时电子支付，在每一次交易中，SET提供了四种服务：可靠性，保密性，信息完整性和可控性。 Kerberos:是由麻省理工学院开发研制的一种计算机网络授权协议，用来在非安全网络中对个人通信以安全的手段进行身份认证。软件设计上采用PKI技术和客户端/服务器结构，并且能够进行相互认证，即客户端和服务器端均可对对方进行身份认证，可用于防止窃听、防止replay攻击、保护数据完整性等场合，是一种应用对称密钥体制进行密钥管理的系统。 9 信息安全概论复习大纲 | dockoji SSL功能:SSL(Secure Sockets Layer 安全套接层)及传输层安全是为网络通信提供安全及数据完整性的一种安全协议。SSL与TLS在传输层对网络连接进行加密。是用于解决系统之间数字证书传输问题,SSL是一个面向连接的协议。 TLS功能：传输层安全是IETF将提升Web站点的安全方法进行标准化的结果，在RFC2236中进行了详细的介绍，负责保护应用程序通讯过程中传输层的安全性和数据完整性。 IPsec：英特网络安全用于增强网络层传输时的安全性，对终端用户是透明的。 VPNs功能：虚拟专用网指通过公用网络建立专用网络实现安全通信目的技术。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。 PPP:点对点协议是一个限制单一数据连接的协议，每一个连接都直接通向远程通道服务器，其作用是认证接入进来的拨号。 RADIUS: RADIUS是一个用于远程用户认证和统计的服务，它包含了PAP、CHAP。尽管它主要由服务提供商使用，但它也同样可以使用于私有网络集中为所有拨号连接者提供认证和统计服务。 第五章安全事件处理 识记： 1. 安全事件的类型 扫描 扫描就是动态地探测系统中开放的端口，通过分析端口对某些数据包的响应来收集网络和主机的情况 非授权访问 非授权访问是指越过访问控制机制在未授权的情况下对系统资源进行访问或是非法获得合法用户的访问权限后对系统资源进行访问。 恶意代码 代码可以是一个程序，一个进程，也可以是其它的可执行文件，共同特征是可以引发对资源的非授权修改或其它的非授权行为 病毒、蠕虫、木马 拒绝服务 破坏数据的可用性 2. 病毒、木马和后门 病毒： 病毒是最为常见的一种恶意代码，一个病毒就是一个简单的程序，其目的在于寻找其他的程序，通过将自身的复件嵌入到程序的方式来感染其它程序，被感染的程序就叫做病毒宿主，当主程序运行时，病毒代码同样也会运行。 “特洛伊木马”： 一种秘密潜伏的能够通过远程网络进行控制的恶意程序。控制者可以控制被秘密植入木马的计算机的一切动作和资源，是恶意攻击者进行窃取信息等的工具。特洛伊木马没有复制能力，它的特点是伪装成一个实用工具或一个可爱的游戏，诱使用户将其安装在PC或者服务器上。 木马组成：务端，客户端 后门：通过后门绕过软件的安全性控制从而获取程序或系统访问权的方法。道德败坏的程序编写者能够利用后门获取非授10 信息安全概论复习大纲 | dockoji 权的数据。 3. 病毒感染的四个阶段 4. 病毒的类型 4. 反病毒的步骤 理解： 1. 病毒、木马和后门的区别和联系 2. 蠕虫病毒和普通病毒的区别和联系 蠕虫：是一种病毒，具有病毒的传播性，隐蔽性，破坏性等特性。 普通病毒 蠕虫病毒 11 信息安全概论复习大纲 | dockoji 存在形式 传染机制 传染目标 寄存文件 宿主程序运行 本地文件 独立程序 主动攻击 网络计算机 3. 常见拒绝服务攻击以及如何防范 第六章访问控制 识记： 1. 访问控制的基本目标 访问控制是一系列用于保护系统资源的方法和组件，依据一定的规则来决定不同用户对不同资源的操作权限，可以限制对关键资源的访问，避免非法用户的入侵及合法用户误操作对系统资源的破坏。 2. 访问控制模型的基本组成 四个组成部分：主体，客体，访问操作和访问监视器 访问控制的一般过程： 主体访问请求访问监视器访问请求授权客体12 信息安全概论复习大纲 | dockoji 理解： 1. 访问控制表和访问能力表的对比 客体1用户A用户B用户C用户A客体1客体2客体3读写写读读写读写访问控制表能力关系表 两者比较 2. 几种的访问控制策略 第七章防火墙技术 识记： 1. 防火墙的目标 基于网络安全，通过隔离达到访问控制。 13 信息安全概论复习大纲 | dockoji 2. 防火墙的局限 理解： 1. 防火墙的几种类型 第八章入侵检测 识记： 1. 入侵检测的作用 14 信息安全概论复习大纲 | dockoji 2. 主机与网络IDS 15 信息安全概论复习大纲 | dockoji 理解： 1. 异常检测和误用检测 1) 异常检测 定义:异常检测通过将系统或用户行为与正常行为进行比较来判别是否为入侵行为。 白名单:用户，用户组，应用程序，系统等的经验数据。 存在问题:误报问题、漏报问题、计算量过大问题。 误用检测 定义:误用检测在系统中建立异常行为的特征库，然后将系统或用户的行为与特征库进行比较。 存在问题:不能预知新的攻击，只能检测出已发生过的攻击。 16