信息安全复习知识点.doc

  • 格式:doc
  • 大小:75.50 KB
  • 文档页数:5

第一章

1. 信息的定义:事物运动的状态和状态变化的方式

2. 信息不同与消息,消怠是信息的外壳,信息则是消息的内壳,也就是说:消怠是信怠的笼 统概念,信息则是消息的精确概念

3. 信息不同与信号,信号是信息的载体,信息则是信号所载荷的内界

4. 信息不同与数据,数据足记录信息的一种形式,同样的信怠也可以川文字或图像來表述, 当然,在计舒机里,所有的多媒体义件都是用数据表示的,计算机和网络上信息的传递都是 以数据的形式进行,此吋信怠等同于数据。

5. 信息不同于情报,情报通常足指秘密的、专门的、新颖的一类信息,可以说所旮的情报都 是信息,但不能说所有的信息都是情报

6. 信息不同于知识,知识事由信息抽象出来的产物,足一种具冇普遍和概括性的信息,足信 息的一个特殊的子集。也就是说:知识就是信息,但并非所有的信息都是知识。

7. 信息的性质:普遍性、无限性、相对性、传递性、变换性、冇序性、动态性、转化性。

8. 从信总的性质出发:信息可以分为语法信息、语义信息、语用信总。

9. 信息技术的定义:信息技术是能够延长或扩展人的信息能力的手段和方法。

3C=Computcr (屯脑)+Communication (通信)+Control (挽制)

10. —个完整的信息安全系统至少包含3类措施••技术万血的安全措施,管理方囬的安全措 施和相应的政策法律。

第二章

1. 恺撒密码(会)

2. 置换密码:不改变明文字符,但通过重排而改变它们的位置,所以冇时也称为挽位密码

3. 密码学中常见的两种体制:一种是对称密码体制,也叫单钥密码体制;-•种是非对称密码 体制,也叫公钥密码体制。

4. 对称密码体制是指如果一个加密系统的加密密钥和解密密钥相M,或者虽然不相M,但是 由-K屮的任意一个可以很界易的推导出另一个,即密钥双方共享的,则该系统所采用的就是 对称密码体制。形象地说就足一把钥匙开一把锁。

5. 公钥密码体制之一加密系统的加密密钥和解秘密密钥是不-•样的,或各说不能由一个推导 出W—个。艽中一个称为公钥用于加密,是公开的,另一个称为私钥用于解密,是保密的。 其屮由公钥计算私钥是难解的,即所谓的不能由一个推出另一个。

6. (会)RSA公钥密码算法

(1) 公钥

选择两个互异的人质数p和q,使1^9,0(n)=(p-l)(q-l), 0(n)是欧拉函数,选择一个正数e, 使其满尼(e,0 (n)) =1,0(n)>l,将Kp= (n,e)作为公钢。

(2) 私钥

求出正数cH吏M:满足ed=lmod0(n), 0(n)〉l,将Ks= (d,p,q)作为私钥。

(3) 加密变换

将明文M做变换,使C=Ekp (M) =Memodn,从而得到密文C。

(4) 解密交换

将密文C做变换,使M=DKs (C) =Cdmodn,从而得到明文M。

一般要求p, q为安全质数,现在商用的安全为n的长度不少于1024 bit。RSA算法被提出 来后已经得到丫很多的应用,例如用于保护电了•邮件安全的Privacy Enhanced Mail (PEM) 和Pretty

Good Privacy (PGP)。还有基于该算法建立的签名体制。

7. 信息加密与隐藏 加密使有用的信息变为看上去是无用的乱码,使得攻*者无法读懂信息的内容,从IW保护信

息。加密隐藏了消息内容,但加密M吋也暗示攻击各所截获的信息是重要信息,从而引起攻 击者的兴趣,攻击者可能在破译失败的情况下将信息破坏掉;而信怠隐藏则是将有川的信怠 隐藏在其他信息屮,使攻击者无法发现,不仅实现了信息的保密,也保护了通信本身,因此 信息隐藏不仅隐藏了消息内稃而且隐藏了消息木良。M然至今信息加密仍是保障信息安全的 最基本手段,但信息隐藏作为信息安全领域的一个新方向,其研究越米越受到人们的重视。 第三章

1. 信息认证的目的

一足验证信总的发送者足合法的,而不是冒充的,即实体认证,包拈信源、信宿的认证和识 别;二是验证消息的完整性,验证数裾在传输和存储过程中是否被篡改、秉放或延迟等。

2. Hash函数的思想:输入为一可变长度X,返回以固定长度串。

3. 数字签名:就是通过一个单昀Hash函数对要传送的报文进行处理,用以认证报文来源并 核实报文是否发牛.变化的一个字母数字串,该字付数宁•串被称为该消息的消息鉴别码或消怠 摘要,这就足通过羊M Hash函数实现的数字签名。数字签名除了具奋普通手写签名的特点 外,还具有自己独柯的特性和功能。

4. 对非对称加密算法进行数字签名和验证

① 发送方首先用公幵的单Hash函数对报文进行一次变换,得到信息摘要

② 然后利川自己的死要对消息摘要进行加密后作为数字签名附在报文之后一发出

③ 接收方用发送方的宫耍对数字签名进行解密变换,得到一个信息摘耍

④ 同时接受方将得到的明文通过单M Hash函数进行计算,同样也得到一个信息摘要

⑤ 再将两个消息摘要进行对比,如果相同,则证明签名有效,否则无效

5. (选填)常见的身份认证技术

(1) 基于口令的认证技术

(2) 双因子身份认证技术

所谓双因子汄证,其中一个因子是只有用P本身知道的密码,它可以是个默记的个人汄证号

(PIN)或口令;:W—个因了•是只冇该用户拥冇的外部物理实体-智能安全存储介质。(3)生

物特征认证技术

第五章

1、 密钥管理三大因素:理论因素、人为因素、技术因素。

2、 (理解题)非对称密钥的技术优势:在使用对称密码系统吋,发送加密倌息的时候无须扔 心被截取(因为截取的人无法破译信息)然而,如何安全地将密钥传送给需要接收消息的人 是一个难点。公开密钥密码系统的一个基木特征就是采用不同的密钥进行加密和解密。使用 公开密钥密码系统,公开密铌和私有密钥是成对的,而且公开密钥可以自曲分发而无须威胁 私有密钔的安全,但是私有密钥一定耍保管好。通过公开密钥加密的信息只有配对的私有密 钥才能解密。非对称密钥的安全问题在于一个用户如何能正常且正确地获得兒一个用户的公 钥而不川枳心这个公钥足伪造的。

3、 密钥管理系统是依靠可信赖的第三方参与的公证系统。

4、 什么是密钥托管的重要功能? 放抵赖政府监听密钥恢复

第六章

1、 访问控制足指主体依据某些控制策略或权限对客体本身或足其资源进行的不同授权访问。

包括3个要素:主体、客体和控制策略。

2、 访问控制步骤:访问控制的实现首先要考虑对介法用户进行验证,然沿足对控制策略的 选用与管理,最后要对非法用户或是越权操作进行管理。 3、 三个访问控制模型

fi主访问控制模型(DAC Model又称为任意访问控制)是根据Pl主访问控制策略建立的一

种模型,允许合法用户以用户或用户组的身份访问策略规定的客体,M吋阻止非授权用户访 闷客体,某些用户还可以自主地把自己所拥有的客体的访问权限授予其他用户。

强制访问控制模型(MACModel): Bell-LaPadula模型、Biba模型

基于角色的访问控制模型(RBAC Model)

4、 安全策略的实施原则

① 最小特权原则:是指主体执行操作吋,按照主体所需权利的最小化原则分配给主体权力。 敁小特权原则的优点是大限度地限制主体实施授权行为,吋以避免來自突发事件、错误和 未授权川户主体的危险。也就是说,为了达到一定H的,主体必须执行一定操作,似他只能 做他被允许做的,其他除外。

② 最小泄露原则:是指主体执行任务时,按照主体所需要知道的信息鉍小化的原则分配给 主体权力。

③ 多级安全策略:实施是指主体和客体间的数据流向和权限控制按照安全级别的绝密

(TS)、秘密(S)、机密(C)、限制(RS)和无级别(U) 5级來划分。多级安全策略的优

点是避免敏感信息的扩散。具柯安全级别的信息资源,只柯安全级别比它商的主体才能够访 问。

5、 访问控制表(ACL)是以文件为中心逑立的访M权限表。

6、 访问控制矩阵(ACM)是通过矩阵形式表示访M控制规则和授权用户权限的方法。

7、 访问控制能力列表(ACCL)是以用户为中心建立访问权限表。

8、 信任模型是指建立和管理信任关系的框架。

9、 信任模型的3屮基本类型:层次信任模型、网状信任榄型和对等信任模型。

10、 审计跟踪概述:

审计是对访问控制的必要补充,是访问控制的一个重要内容。审计会对川户使用何种信 总资源、使川的吋间以及如何使川(执行何种操作)进行记录与监控。审计和监控足实现系 统安全的最后一道防线,处于系统的最高层。市计与监控能够再现原有的进程和问题,这对 于责任追査和数据恢非常冇必要。

审计跟踪是系统活动的流水记录。该记录按事件从始至终的途径,顺序检查、审查和检 验每个事件的环境及活动。屯计跟踪通过|5|M方式提供应负责任人员的活动证裾以支持访问 控制职能的实现(职能足指记录系统活动并可以跟踪到对这些活动皮负责任人员的能力)。

审计跟踪记录系统活动和用P活动。系统活动乜括操作系统和应用程序进程的活动;用广 活动包括用户在操作系统中和应用程序中的活动。通过借助适当的工具和规程,帘计跟踪可 以发现违反安全策略的活动、影响运行效率的问题以及程序中的错误。

审计跟踪不侃有助于帮助系统管理员确保系统及其资源免遭非法授权用户得侵害,同时 还能提供对数据恢复的帮助。

第七章

网络攻击技术回顾与演变:

①攻击技术手段在快速改变②安伞漏洞被利用的速度越来越快③有组织的攻击越来越多 ④攻击的目的和目标在改变⑤攻击行为越來越隐蔽⑥攻击者的数量不断增加,破坏效果越來 越大。

网络攻击梭型将攻击过程划分为以下阶段:①攻击身份和位置隐藏②0鉍系统信息收集③弱 点倍息挖掘分析④目标使用权限获取⑤攻击行为隐藏⑥攻击实施⑦开辟后门⑧攻击痕迹淸 除。

“网络攻击”是指任何非授权而进入或试图进入他人计算机网络的行为。 缓冲区溢出攻击原理:通过缓冲区溢出來改变在堆栈中存放的过程返回地址,从而改变整个 程序的流程,使它转叫任何攻*者想耍它去的地方,这就为攻击者提供了4乘之机。

DoS攻if,其命称力Denial of Service:又被称力扣.绝服务攻it?。直观地说,就是攻it•者过 多地占用系统资源直到系统繁忙、超载而无法处理正常的工作,甚至导致被攻击的主机系统 崩溃。

DDoS攻击的原理,这个过程可以分为以下几个步骤:

①探测扫描人景主机來寻找可以入侵的0标主机②入侵宥安全漏洞的主机丼且获取控制权 ③在每台入侵主机中安装攻击程序④利用己经入佼的主机继续进行扫描和入佼

7、 (问答)积极安全防范的原理是:对正常的网络行为逮立模型,把所行通过安全设备的网 络数据拿來和保存在梭型内的正常模式相匹配,如果不在这个正常范围内,那么就认为足攻 击行为,对其做出处理。这样做的最人好处是可以肌挡未知攻击,如攻击者新发现的不为人 知的攻击方式。对这种方式来说,建立一个安全的、冇效的模型就可以对各种攻击做出反应 了。

8、 答)消极安全防范的原理是:对己经发现的攻击方式,经过专家分析后给出其特征进 而來构建攻击特征集,然后在网络数据屮寻找与之匹配的行为,从而起到发现或阻挡的作川。 它的缺点是使用被动安全防范体系,不能对未被发现的攻击方式作出反应。