信息安全理论与技术总结文档格式.docx

信息安全理论与技术总结文档格式.docx

《信息安全理论与技术总结文档格式.docx》由会员分享，可在线阅读，更多相关《信息安全理论与技术总结文档格式.docx（8页珍藏版）》请在冰豆网上搜索。

网络、操作系统、用户、应用程序、数据是否安全

TCSEC：

D无保护级、C自主保护级、B强制保护级、A验证保护级

网络与信息安全=信息安全技术+信息安全管理体系

ISMS建设：

定义信息安全策略、定义NISMS范围、进行信息安全风险评估、信息安全风险管理、确定管制目标和选择管制措施、准备信息安全适用性说明

第三章密钥管理技术

密钥类型：

数据加密密钥（会话密钥）、密钥加密密钥、主密钥

会话密钥：

用户一次通话或交换数据是使用的密钥，大多是临时的，动态的

密钥加密密钥：

用于对会话密钥或下层密钥进行保护

主密钥：

主要用于对密钥加密密钥、会话密钥或其他下层密钥的保护，主密钥是用户选定或系统分配给用户的，分发基于物理渠道或其他可靠的方法

集中式密钥分配方案：

由一个可信赖的联机服务器作为密钥分配中心或密钥传递中心

具体过程：

假定A是发起方，B为响应方,并且A、B与KDC有共享的密钥Ka、Kb

1.A->

KDC:

IDA//IDB//N1:

A向KDC发送A和B的身份IDA、IDB和本次业务唯一标识符N1，每次请求所使用的N1都不同。

2.KDC->

A:

EKa[Ks//IDA//IDB//N1//EKb[Ks//IDA]]:

KDC对A应答，信息由Ka加密，Ks是A和B的会话密钥

3.A->

B:

EKb[Ks//IDA]:

A收到信息后将Ks存起来并将加密过的共享密钥发送给B

4.B->

EKs[N2]：

B用共享密钥加密另一个随机数N2发送给A

5.A->

EKS[f（N2）]：

A响应B发送的信息，并用某种函数进行计算并加密后发送给B

分布式密钥分配方案：

网络通信中各个通信方具有相同的地位，他们之间的密钥分配取决于它们之间的协商

IDA//N1：

A向B发出请求，包括A的标识符IDA和标识符N1

2.B->

EMKm[Ks//IDA//IDB//f（N1）//N2]:

B使用A共享的主密钥MKm加密共享密钥Ks、A和B的标识符、f（N1）和随机数N2

EKs[F（n2）]:

A使用B产生的会话密钥Ks对f（N2）进行加密，并发送给B

非对称密码技术的密钥分配方案：

1.简单分配：

a）A->

PKA//IDA:

A将A的公钥和身份识别号发送给B

b）B->

EPKA[KS]:

B用A的公钥加密后的KS发送给A

2.具有保密和认证功能的密钥分配：

EPKB[N1//IDA]

EPKA[N1//N2]

c）A->

EPKB[N2]

d）B->

EPKB[ESKA[KS]]

第四章数字签名和认证技术

数字签名的要求：

签名是可信的，签名是不可伪造的，签名是不可复制的，签名的消息是不可改变的，签名是不可抵赖的

数字签名的步骤：

1.使用单向散列算法算出原始数据的hash

2.发送方用自己的私钥加密hash

3.发送方把原始数据和加密的hash发送给对方

4.接收方用发送方的公钥解密，并用相同的hash函数对数据进行计算hash

5.如果计算所出来的hash值与发方发送的相同则可以确定确实是发方的

数字证书的用处：

确保信息是由签名者自己发送的，保证信息自签发后未做过任何修改

认证信息类型：

所知道的秘密、所拥有的实物、生物特征信息、上下文信息

认证的用途：

验证网络资源访问者的身份、发送者和接收者的真实性、网络信息的完整性

认证技术：

静态密码、IC卡、短信密码、动态口令牌、USBKey、数字签名、生物识别、双因素身份认证、身份零知识证明

第五章访问控制技术

访问控制：

针对越权使用的防御措施，保证网络资源不被非法使用和非法访问

基本目标：

防止对任何资源进行未授权的访问

作用：

机密性、完整性

访问控制策略：

自主访问控制、强制访问控制、基于角色的访问控制

自主访问控制：

特点：

灵活性高

缺点：

安全性低

分类：

基于个人的策略、基于组的策略

访问控制的常用实现方法：

访问控制表、访问能力表、安全标签、基于口令的机制

防火墙：

防火墙是设置在被保护网络和外部网络之间的一道屏障，这道屏障的作用是阻断来自外部对本网络的威胁和入侵

基本功能：

网络安全的屏障、控制对主机系统的访问、强化网络安全策略、对网络存取和访问进行监控审计

附加功能：

NAT、VPN

缺点：

不能防范内部网络的攻击、不经由防火墙的攻击、病毒或文件的传输、利用标准网络协议中缺陷进行的攻击、利用服务器漏洞进行的攻击、新的网络安全问题、限制了有用的网络服务

基本结构：

屏蔽路由器、双宿主机防火墙（堡垒主机）、屏蔽主机防火墙（屏蔽路由器和堡垒主机）、屏蔽子网防火墙（内外网之间建立被隔离的子网）

类型：

1.数据包过滤路由器：

对数据包实施有选择的通过规则、选择依据，只有满足规则的数据包才会被转发到相应的网络接口，其余数据包则从数据流中删除。

2.应用层网关：

又称代理服务器，包过滤在网络层拦截所有的信息流，代理技术针对的是某一程序，在应用层上实现防火墙的功能。

3.电路级网关技术

4.状态检测技术

网络服务访问权限策略：

定义在网络中允许的或禁止的网络服务，而且还包括对拨号访问和SLIIP/PPP连接的限制

防火墙设计策略：

黑名单、白名单

防火墙攻击策略：

扫描防火墙策略、通过防火墙认证机制策略（IP欺骗、TCP序号攻击）、利用防火墙漏洞策略

第四代防火墙的主要技术与功能：

多端口结构、透明的访问方式、灵活的代理系统、多级的过滤技术、网络地址转换技术、internet网关技术、安全服务器网络、用户鉴别与加密、用户定制服务、审计和告警功能

入侵检测系统模型：

事件产生器、事件分析器、响应单元、事件数据库

入侵检测技术分类：

基于误用的入侵检测系统（基于特征）、基于异常的入侵检测系统

入侵检测系统的组成：

数据采集模块、入侵分析引擎模块、应急处理模块、管理配置模块和相关辅助模块

入侵检测系统的分类：

基于主机、基于网络、分布式、基于网络的分布式

第六章恶意代码及防范技术

恶意代码：

故意执行危害信息安全的恶意任务的代码

主要危害：

破坏数据、占用磁盘存储空间、抢占系统资源、影响计算机运行速度

命名机制：

<

病毒前缀>

.<

病毒名>

病毒后缀>

，常见病毒前缀木马为Trojan，蠕虫为Worm

恶意代码的生存周期：

设计-传播-感染-触发-运行-消亡

传播机制：

互联网、局域网、移动存储设备、无线设备和点对点系统

感染机制：

感染执行文件、感染引导区、感染结构化文档

触发机制：

日期触发、时间触发、键盘触发、感染触发、启动触发、访问磁盘次数触发、调用中断功能触发、型号触发

分析方法：

基于代码特征、基于代码语义、基于代码行为、

检测方法：

基于特征码、启发式检测法、基于行为的检测法、完整性检测法、基于特征函数的检测方法

第七章网络攻击与防御技术

扫描技术：

IP扫描（ping、icmp）、端口扫描（SYN、UDP数据包）、漏洞扫描

嗅探方法：

MAC洪范：

向交换机发送大量虚假MAC和IP的包，使交换机进入类似hub的工作方式

MAC欺骗：

伪造MAC

ARP欺骗

其他信息收集技术：

利用公开服务、网络拓扑检测（tracert）、系统类型检测

网络欺骗：

1.IP欺骗：

a）找一台被目标主机信任的主机

b）使被信任的主机丧失工作能力

c）伪装成被信任的主机，向目标主机发送syn

d）猜测或嗅探SYN+ACK的值

e）向目标主机发送ACK来建立连接

2.电子邮件欺骗：

伪造电子邮件头（利用SMTP）

3.Web欺骗（钓鱼网站）

4.ARP欺骗

a）对路由器ARP缓存表的欺骗

i.截获网关数据

ii.按照一定的频率发给路由器错误的内网MAC地址

iii.真实的地址信息无法通过更新保存在路由器的ARP缓存中，正常PC无法收到消息

b）伪造网关：

建立假网关，被欺骗的pc都向假网关发送数据

口令攻击：

1.主动口令攻击

a）字典攻击

b）强力攻击

c）组合攻击

2.被动口令攻击

a）网络数据流窃听

b）重放

c）钓鱼

缓冲区溢出：

用户输入的数据长度超过哦程序为其分配的内存空间，这些数据就会覆盖程序为其他数据分配的内存空间。

C语言中可能产生溢出的函数：

strlen、strcpy、malloc、strcat等

缓冲区溢出类型：

栈溢出、堆溢出、整型溢出：

1.存储溢出

2.计算溢出

3.符号问题

拒绝服务（DoS）：

导致计算机系统崩溃、贷款耗尽或硬盘被填满，导致不能提供正常的服务

拒绝服务攻击：

带宽攻击（以极大的通信量冲击网络）、连通性攻击（大量连接请求冲击计算机）

攻击方式：

利用系统漏洞、利用协议漏洞

1.SYNFlood（发送大量TCP连接请求）

2.UDPFlood（发送大量伪造源地址的UDP包）

3.Land（发送大量源地址与目的地址相同的包）

4.死ping（发送超过65535字节的ICMP包）

第八章系统安全技术

五大类安全服务：

认证（鉴别）、访问控制、数据保密性、数据完整性、抗否认性

八大类安全机制：

加密、数字签名、访问控制、数据完整性、认证、业务流填充、路由控制、公证

IPSec协议：

鉴别首部协议（AH）（源鉴别和数据完整性）、封装安全性载荷协议（ESP）（鉴别、数据完整性、机密性）

IPSec功能：

认证功能（AH）（无连接完整性和真实性）、认证和机密组合功能（ESP）（数据机密性、有限抗流量分析、无连接完整性、数据源认证、抗重传）、密钥交换功能（真实性、可靠性）

IPSec目标：

保护IP数据包安全、为抵御网络攻击提供防护措施

SSL（安全套接层）：

握手协议（协商加密参数）、记录协议（交换数据）、警告协议（告知何时终止）

连接步骤：

1.客户机连接到服务器，并要求服务器验证它自身的身份

2.服务器通过发送的数字证书来证明身份

3.服务器发出请求对客户端的证书进行验证（因缺乏公钥体系结构当今大多数服务器不进行客户端验证）

4.协商用于加密消息的加密算法和用于完整性检查的哈希函数

5.客户机和服务器生成会话密钥

a）客户机生成一个随机数，并使用服务器的公钥对它进行加密发送给服务器

b）服务器用更加随机的数据相应

c）使用哈希函数用随机数据生成密钥

SSL基本属性：

连接是私有的、可以使用非对称加密、连接是可靠的

TLS（传输层安全）：

提供保密性和数据完整性

组成：

TLS记录协议和TLS握手协议

TLS握手协议：

改变密码规格协议、警惕协议、握手协议

第十章PKI技术

PKI：

用公开密钥的概念和技术来实施和提供安全服务的具有普适性的安全基础设施

研究对象：

数字证书、CA、证书用户、证书注册机构、证书储存、证书服务器、证书状态查询服务器、证书验证服务器

服务：

认证、完整性、机密性、不可否认性

PKI结构：

PKI策略、软硬件系统、CA、注册机构（RA）、证书发布系统、PKI应用

PKI策略：

建立和定义了一个组织在信息安全方面的指导方针，同时定义了密码系统使用的处理方法和原则

CA：

管理公钥整个生命周期；

作用有发放证书、规定证书有效期、通过废除列表（CRL）来废除证书

RA：

获取并认证用户的身份，向CA提出证书请求

证书发放系统：

负责证书的发放

PKI应用：

VPN、安全电子邮件、Web安全、电子商务等

欢迎您的下载，

资料仅供参考！

致力为企业和个人提供合同协议，策划案计划书，学习资料等等

打造全网一站式需求