信息安全系统概论总复习.docx
《信息安全系统概论总复习.docx》由会员分享,可在线阅读,更多相关《信息安全系统概论总复习.docx(21页珍藏版)》请在冰豆网上搜索。
信息安全系统概论总复习
填空题(20分)
判断题(10分)
单选题(20分)
名词解释(12分)
实验题(18分)
简答题(20分)
第一章网络安全概述
计算机安全——信息安全的静态定义
为数据处理系统建立和采用的技术上和管理上的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因遭到破坏、更改和泄露。
网络安全——信息安全的动态定义
从本质上讲,网络安全就是网络上的信息安全,是指网络系统的硬件、软件和系统中的数据受到保护,不因自然因素或人为因素而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
威胁网络安全的主要因素?
先天不足(网络环境、软件缺陷、协议缺陷)
天灾(自然环境)
人祸(操作失误、恶意破坏)
网络安全的目标
性、完整性、可用性、抗否认性、可控性
网络系统的安全涉及的领域
物理安全、运行安全、管理和策略(三个层次)
P2DR模型的组成部分
策略(Policy)
保护(Protection)
检测(Detection)
响应(Response)
信息安全系统模型
多级安全模型(BLP性模型、BIBA完整性模型、Clark-Wilson完整性模型)
多边安全模型(Lattice安全模型、ChineseWall模型)
第二章数据加密与认证技术
消息认证(Authentication)
又称为鉴别、确认,它是验证所收到的消息确实是来自真正的发送方且未被修改的消息,它也可验证消息的顺序和及时性。
认证是防止主动攻击的重要技术。
数字签名(DigitalSignature)
是通信双方在网上交换信息用公钥密码防止伪造和欺骗的一种身份认证。
网络攻击的两种手段:
被动攻击
通过侦听和截取手段获取数据
主动攻击
通过伪造、重放、篡改、乱序等手段改变数据
报文鉴别的方式:
报文加密函数
加密整个报文,以报文的密文作为鉴别
报文鉴别码
依赖公开的函数对报文处理,生成定长的鉴别标签
散列函数
将任意长度的报文变换为定长的报文摘要,并加以鉴别
报文鉴别的过程及每个过程的鉴别方法-作业:
源、目标、时间、容
报文宿的鉴别
对称密钥
发方A在报文中加入收方B的识别码IDB
公钥密码
发方A用收方B的公开密钥进行加密
报文时间性的鉴别
初始向量法
时间参数法
随机数法
报文容的鉴别
报文鉴别码(MessageAuthenticationCode,MAC),也叫消息认证码。
报文摘要(MessageDigest,MD),也叫消息摘要。
报文鉴别码
也叫消息认证码
利用密钥来生成一个固定长度的短数据块,并将该数据块附加在消息之后。
其中M是一个变长消息,K是收发双方共享的密钥,CK(M)是定长的认证符。
消息认证
消息认证和:
与明文有关的认证
消息认证和:
与密文有关的认证
最常用的散列函数:
MD5算法
生成的是128位的哈希值
SHA-1算法
生成的是160位的哈希值
数字签名特征
消息认证码的局限性
用于保护通信双方免受第三方攻击
无法防止通信双方的相互攻击
报文宿方伪造报文
报文源方否认已发送的报文
引入数字签名,是传统签名的模拟
接收者能够核实发送者
发送者事后不能抵赖对报文的签名
接收者不能伪造对报文的签名
数字签名体制
数字签名体制一般含有两个组成部分
签名算法:
Sigk(M)=s
验证算法:
Ver(s,M)={真,伪}={0,1}
数字签名体制的安全性在于从M和其签名s难以推出密钥k或伪造一个M',使M'和s可被证实是真。
签名密钥是秘密的,只有签名人掌握
验证算法是公开的
数字签名中的问题与改进
签字后的文件可能被接收方重复使用
改进:
加入特有凭证(如时间戳)
安全的密钥越来越长
问题:
①运算速度较慢;②密钥存储和管理问题
改进:
设计新的算法
公钥算法不宜用于长文件的加密
改进:
先哈希,再加密
Kerberos网络用户认证系统的认证过程
用户登录工作站并请求主机服务(避免在网络上传输口令)
c,tgs
认证服务器AS验证用户的访问权限,创建票据许可票据TGT和会话密钥,使用从用户密码得到的密钥加密消息
{Kc,tgs}Kc,{Tc,tgs}Ktgs
用户解密第一个消息,并获得会话密钥,然后发送票据以及包含用户名、网络地址和TGS时间的认证码。
{Ac,tgs}Kc,tgs,{Tc,tgs}Ktgs
TGS解密票据和鉴别码,验证请求,然后为被请求的服务器生成票据
{Kc,s}Kc,tgs,{Tc,s}Ks
工作站发送服务授权票据和认证码给服务器
{Ac,s}Kc,s,{Tc,s}Ks
服务器验证票据,认证通过后授权服务访问。
如果需要相互认证,则服务器返回认证码
{t}Kc,s
公钥基础设施PKI的基本组成
CA、数字证书库、密钥备份及恢复系统、证书注销系统
公钥的分配方法
公开发布、公开可访问目录、公钥授权、公钥证书
利用公钥分配对称密钥
简单的秘密钥分配
具有性和真实性的秘密钥分配
Diffie-Hellman密钥交换
数学基础:
计算离散对数困难性
实验-PGP
加解密
认证
第三章系统漏洞与扫描技术
网络攻击的步骤
隐藏位置
网络探测和资料收集,寻找攻击目标(踩点)
弱点挖掘(寻找漏洞)
掌握控制权
隐藏行踪
实施攻击
开辟后门
漏洞的定义
是一切攻击行为和事件的起源。
从广泛的意义上看,漏洞是在硬件、软件、协议的具体实现或系统安全策略以及人为因素上存在的缺陷,它可以使黑客能够在未经系统的许可者授权的情况下访问或破坏系统。
漏洞的分类
按形成的原因:
逻辑结构、设计错误、开放式协议、人为
按发现的先后顺序:
已知、未知和0day
Windows系统常用命令
ipconfig、ping、nbtstat(设备信息)、netstat(网络状态)、tracert(路由跟踪)
端口扫描工具的基本工作原理
每种操作系统都有不同的端口开放供系统间通信使用,因此从端口号上可以大致判断目标主机的操作系统
“扫描”的出发点——与目标端口建立TCP连接,探测目标计算机提供了哪些服务
如果目标主机该端口有回应,则说明该端口开放,即为“活动端口”
端口扫描工具的主要功能
扫描目标主机识别其工作状态(开/关机)
识别目标主机端口的状态(监听/关闭)
识别目标主机系统及服务程序的类型和版本
根据已知漏洞信息,分析系统脆弱点
生成扫描结果报告
端口扫描工具的扫描类型
全TCP连接
扫描主机尝试(使用三次握手)与目的机指定端口建立正规的连接
半打开式扫描(SYN扫描)
扫描主机向目标主机的选择端口发送SYN数据段
秘密扫描(FIN扫描)
依靠发送FIN来判断目标计算机的指定端口是否活动
第三方扫描(代理扫描)
利用第三方主机来代替入侵者进行扫描,这个第三方主机一般是入侵者通过入侵其他计算机得到的,常被称为“肉机”
常用的端口扫描工具
Nmap、X-Scan…
网络监听原理(Wireshark)
网卡设为混杂模式
实验-网络身份隐藏(作业)
代理服务器的工作过程
更改MAC地址隐藏身份
实验-网络扫描工具的使用
Nmap/Zenmap端口扫描软件
Wireshark网络报文分析软件
第四章几种常见网络攻击技术
ARP协议的工作过程
攻击者以间断循环的方式不停地向整个局域网里所有的计算机发送ARP请求包,欺骗局域网中所有的计算机把攻击者的机器当成网关,从而让局域网中所有的机器都把数据包发给它,然后再由它来转发到Internet上。
ARP欺骗的基本原理
冒充网关
IP欺骗的基本原理
IP信任
Dos攻击的基本原理
这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或存不足)的攻击方式。
Dos攻击的基本步骤
攻击准备
攻击者攻击诸客户主机以求分析他们的安全水平和脆弱性
攻击者进入其已经发现的最弱的客户主机之(“肉机”),并且秘密地安置一个其可远程控制的代理程序(端口监督程序demon)
发起攻击
攻击者使他的全部代理程序同时发送由残缺的数字包构成的连接请求送至目标系统
包括虚假的连接请求在的大量残缺的数字包攻击目标系统,最终将导致它因通信淤塞而崩溃
第五章网络安全协议
SSL的体系结构及各协议的作用
记录协议,提供连接的安全性(性、完整性)
握手协议,密钥协商
两个重要概念
SSL连接(connection)
连接是提供合适服务类型的一种传输(OSI模型)
SSL的连接是端对端的关系
连接是暂时的,每一个连接和一个会话关联
SSL会话(session)
一个客户端和服务器间的关联。
会话由握手协议创建,会话定义了一组可供多个连接共享的密码安全参数。
会话用以避免为每一个连接提供新的安全参数,从而减少了昂贵的协商代价
双向签名
目的:
将两个接收者的不同消息连接起来,以解决一些可能发生的纠纷。
操作:
公式表示:
发给商家:
DS//OI//PIMD
发给银行:
DS//PI//OIMD
IPSec的应用方式
端到端(end-end):
主机到主机的安全通信
端到路由(end-router):
主机到路由之间的安全通信
路由到路由(router-router):
路由到路由之间的安全通信,常用于在两个网络之间建立虚拟IPSec的容
AH协议:
数据完整性、数据源身份认证和抗重放攻击服务
ESP协议:
通信的性或/和完整性保护
IPSec安全体系结构
IPSec的工作模式
传输模式
隧道模式
ESP协议传输模式优缺点
优点
网的其他用户也不能理解通信主机之间的通信容
分担了IPSec处理负荷(与隧道传输相比)
缺点
不具备对端用户的透明性,用户为获得ESP提供的安全服务,必须付出存、处理时间等代价。
不能使用私有IP地址
暴露了子网的部拓扑
ESP协议隧道模式优缺点
优点
保护子网中的所有用户都可以透明地享受由安全网关提供的安全保护
子网部可以使用私有IP地址
子网部的拓扑结构受到保护
缺点
增大了安全网关的处理负荷,容易形成通信瓶颈
对部的诸多安全问题将不可控
实验-IPSec协议(ESP、AH)
数据包格式
标志位
实验-SSL协议
部署Windows的CA
申请证书
数据包格式
第六章防火墙技术
防火墙的概念
防火墙是位于两个(或多个)网络间,实施网间访问控制的一组组件的集合。
防火墙的发展历史
路由器、软件、通用OS、专用OS
防火墙的四种类型(结构、功能、优缺点)
分组过滤路由器(包过滤技术)
定义
又称包过滤防火墙或屏蔽路由器
通过检查经过路由器的数据包源地址、目的地址、TCP端口、UDP端口等参数,并由策略决定是否允许该数据包通过,并对其进行路由选择转发。
优缺点
特点
屏蔽路由器作为外连接的唯一通道,要求所有的报文都必须在此通过检查。
实现IP层的安全
缺点
在主机上实现,是网络中的“单失效点”
不支持有效的用户认证,不提供有用的日志,安全性低
双宿主机(代理服务技术)
定义
这种配置是用一台装有两块网卡的堡垒主机做防火墙。
两块网卡分别与部网和外部网相连。
采用代理服务的方法
堡垒主机上运行着防火墙软件,可以转发应用程序和提供服务等
堡垒主机的作用
阻止IP层通信
实现应用层安全
中间转接作用
优缺点
堡垒主机的系统软件可用于身份认证和维护系统日志,有利于进行安全审计
仍然是“单失效点”
隔离了一切部网与Internet的直接连接
屏蔽主机(动态检测)
定义
分组过滤路由器连接外部网络
运行网关软件的堡垒主机安装在部网络
提供了较高的安全等级
过滤路由器是否正确配置,是防火墙安全与否的关键
路由表应受到严格保护
主要优点
高安全性(工作在数据链路层和网络层之间;“状态感知”能力)
高效性(对连接的后续数据包直接进行状态检查)
应用围广(支持基于无连接协议的应用)
主要缺点
状态检测防火墙在阻止DDoS攻击、病毒传播问题以及高级应用入侵问题(如实现应用层容过滤)等方面显得力不从心
屏蔽子网(NAT技术)
定义
在部网络和外部网络之间建立一个被隔离的子网
防火墙的局限性
安全性↑灵活性↓
网络功能↓
并非万无一失
实验-ISA防火墙的规则设置
访问规则的配置
规则配置后的访问结果
第七章反病毒技术
病毒的定义
广义的定义
凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒(ComputerVirus)
法律性、权威性的定义
指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用,并能够自我复制的一组计算机指令或者程序代码
病毒的特征
寄生性、隐蔽性、传染性、潜伏性、可触发性、破坏性或表现性、针对性
病毒的传播途径
硬盘、移动硬盘、网络、点对点通信
病毒的分类
按照传播媒介可分类:
以磁盘为载体的单机病毒
以网络为载体的网络病毒
按照感染或者寄生的对象分类
引导型病毒
文件型病毒
混合型病毒
按照计算机病毒的破坏情况分类
良性病毒
恶性病毒
按攻击的对象分类
可以分为攻击微机型、攻击小型机、攻击大型机、攻击工作站、攻击便携式电子设备、攻击计算机网络6种
按攻击的操作系统分类
可以分为攻击DOS系统、攻击Windows系统、攻击UNIX系统、攻击OS/2系统、攻击嵌入式操作系统5种
按照恶意操作的类型分类
分区表病毒、引导区病毒、文件感染病毒、变形病毒、木马病毒、蠕虫病毒、宏病毒、钓鱼程序、恶意软件等
按方式分类
可以分为源码型病毒、入侵型病毒/嵌入型病毒、外壳型病毒、操作系统型病毒
从广义病毒定义的角度
逻辑炸弹
修改计算机程序,使它在某种特殊条件下按某种不同的方式运行。
逻辑炸弹也是由程序员插入其它程序代码中间的,但并不进行自我复制。
特洛伊木马
计算机蠕虫
逻辑炸弹、木马、宏病毒的实现原理
宏病毒
是一种存储于文档、模板(pot)或加载宏程序中的计算机病毒
用VB高级语言编写的病毒代码,直接混杂在文件中并加以传播。
蠕虫的特点
利用网络中软件系统的缺陷,进行自我复制和主动传播
与病毒在文件之间的传播不同,它们是从一台计算机传播到另一台计算机,从而感染整个系统
计算机病毒的表现症状
屏幕显示异常
系统声音异常
键盘工作异常
系统运行异常
应用程序运行异常
文件系统异常
网络异常
其它异常
计算机病毒的防技术
检测技术
是指通过一定的技术手段判定出病毒的技术
在特征分类的基础上建立的病毒识别技术
通过病毒行为或文件校验和的病毒判定技术
清除技术
根据不同类型病毒的感染机制确定相应的消除方法,进而从被感染的对象中摘除该病毒代码,并恢复被感染程序的原有结构信息
可用专用软件杀毒或手工进行杀毒
文件覆盖
免疫技术
原理
根据病毒签名来实现。
由于有些病毒在感染其他程序时要先判断是否已被感染过,即欲攻击的宿主程序是否已有相应病毒签名,如有则不再感染
因此,可人为地在“健康程序”中进行病毒签名,起到免疫效果。
(打疫苗)
预防技术
通过对病毒分类和采取监控措施,阻止病毒进入系统,以达到保护系统的目的
对已知病毒的预防采用特征判定技术
对未知病毒的预防采用行为监控技术
第八章入侵检测系统
入侵检测有关概念
入侵(Intrusion)
是指系统发生的任何违反安全策略的事件,包括对系统资源的非法访问、恶意攻击、探测系统漏洞和攻击准备等对网络系统造成危害的各种行为。
入侵检测(IntrusionDetection)
是指通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现或识别企图入侵、正在进行的入侵或已经发生的入侵的技术。
入侵检测系统(IDS)
用于进行入侵检测的自动化工具,是入侵检测的软件与硬件的组合。
入侵检测的起源
审计技术
入侵检测的工作模式
从系统的不同环节收集信息
分析该信息,试图寻找入侵活动的特征
自动对检测到的行为作出响应
记录并报告检测过程及结果
入侵检测系统的通用模型及其各模块的功能
事件产生器、事件分析器、事件响应器、事件数据库
事件产生器
负责收集、采集各种原始数据,且将其转换为事件,向系统的其他部分提供此事件。
事件分析器
接收事件信息,对其进行分析,判断是否为入侵行为或异常现象,最后将判断的结果转变为告警信息。
事件数据库
存放各种中间和最终数据的地方
响应单元
根据告警信息作出反应,是IDS中的主动武器
检测IDS性能的两个关键参数
误报(falsepositive)
实际无害的事件却被IDS检测为攻击事件
漏报(falsenegative)
一个攻击事件未被IDS检测到或被分析人员认为是无害的
入侵检测系统的分类
根据其采用的分析方法(检测原理)分☆
误用检测、异常检测
根据数据来源分
基于主机的IDS(HIDS)、基于网络的IDS(NIDS)
根据体系结构
集中式、分布式
根据系统的工作方式
离线、在线
入侵检测技术
异常检测技术:
概率统计异常检测☆(最重要的一种举例)
误用/滥用检测技术:
专家系统滥用检测☆
高级检测技术:
遗传算法、数据挖掘☆
入侵诱骗技术:
Honeypot(蜜罐技术)、Honeynet(蜜网技术)
入侵响应技术:
主动响应、被动响应
主动响应
IDS在检测到入侵后能够阻断攻击、影响进而改变攻击的进程
被动响应
IDS仅仅简单地报告和记录所检测出的问题