信息安全系统概论总复习.docx

1、信息安全系统概论总复习填空题（20分）判断题（10分）单选题（20分）名词解释（12分）实验题（18分）简答题（20分）第一章 网络安全概述计算机安全信息安全的静态定义为数据处理系统建立和采用的技术上和管理上的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因遭到破坏、更改和泄露。网络安全信息安全的动态定义从本质上讲，网络安全就是网络上的信息安全，是指网络系统的硬件、软件和系统中的数据受到保护，不因自然因素或人为因素而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。威胁网络安全的主要因素？先天不足（网络环境、软件缺陷、协议缺陷）天灾（自然环境）人祸（操作失误、恶意破坏）网络安

2、全的目标性、完整性、可用性、抗否认性、可控性网络系统的安全涉及的领域物理安全、运行安全、管理和策略（三个层次）P2DR模型的组成部分策略（Policy）保护（Protection）检测（Detection）响应（Response）信息安全系统模型多级安全模型（BLP性模型、BIBA完整性模型、 Clark-Wilson完整性模型）多边安全模型（Lattice安全模型、Chinese Wall模型）第二章 数据加密与认证技术消息认证（Authentication）又称为鉴别、确认，它是验证所收到的消息确实是来自真正的发送方且未被修改的消息，它也可验证消息的顺序和及时性。认证是防止主动攻击的重要技

3、术。数字签名（Digital Signature）是通信双方在网上交换信息用公钥密码防止伪造和欺骗的一种身份认证。网络攻击的两种手段：被动攻击通过侦听和截取手段获取数据主动攻击通过伪造、重放、篡改、乱序等手段改变数据报文鉴别的方式：报文加密函数加密整个报文，以报文的密文作为鉴别报文鉴别码依赖公开的函数对报文处理，生成定长的鉴别标签散列函数将任意长度的报文变换为定长的报文摘要，并加以鉴别报文鉴别的过程及每个过程的鉴别方法-作业：源、目标、时间、容报文宿的鉴别对称密钥发方A在报文中加入收方B的识别码IDB公钥密码发方A用收方B的公开密钥进行加密报文时间性的鉴别初始向量法时间参数法随机数法报文容的鉴

4、别报文鉴别码（Message Authentication Code，MAC），也叫消息认证码。报文摘要（Message Digest，MD），也叫消息摘要。报文鉴别码也叫消息认证码利用密钥来生成一个固定长度的短数据块，并将该数据块附加在消息之后。其中M是一个变长消息，K是收发双方共享的密钥，CK(M)是定长的认证符。消息认证消息认证和：与明文有关的认证消息认证和：与密文有关的认证最常用的散列函数：MD5算法生成的是128位的哈希值SHA-1算法生成的是160位的哈希值数字签名特征消息认证码的局限性用于保护通信双方免受第三方攻击无法防止通信双方的相互攻击报文宿方伪造报文报文源方否认已发送的报文

5、引入数字签名，是传统签名的模拟接收者能够核实发送者发送者事后不能抵赖对报文的签名接收者不能伪造对报文的签名数字签名体制数字签名体制一般含有两个组成部分签名算法：Sigk(M)=s验证算法：Ver(s,M)=真，伪=0, 1数字签名体制的安全性在于从M和其签名s难以推出密钥k或伪造一个M，使M和s可被证实是真。签名密钥是秘密的，只有签名人掌握验证算法是公开的数字签名中的问题与改进签字后的文件可能被接收方重复使用改进：加入特有凭证（如时间戳）安全的密钥越来越长问题：运算速度较慢；密钥存储和管理问题改进：设计新的算法公钥算法不宜用于长文件的加密改进：先哈希，再加密Kerberos网络用户认证系统的认

6、证过程用户登录工作站并请求主机服务（避免在网络上传输口令）c, tgs认证服务器AS验证用户的访问权限，创建票据许可票据TGT和会话密钥，使用从用户密码得到的密钥加密消息Kc, tgsKc, Tc, tgsKtgs用户解密第一个消息，并获得会话密钥，然后发送票据以及包含用户名、网络地址和TGS时间的认证码。Ac, tgsKc, tgs, Tc, tgsKtgsTGS解密票据和鉴别码，验证请求，然后为被请求的服务器生成票据Kc, sKc, tgs, Tc, sKs工作站发送服务授权票据和认证码给服务器Ac, sKc, s, Tc, sKs服务器验证票据，认证通过后授权服务访问。如果需要相互认证，

7、则服务器返回认证码tKc, s公钥基础设施PKI的基本组成CA、数字证书库、密钥备份及恢复系统、证书注销系统公钥的分配方法公开发布、公开可访问目录、公钥授权、公钥证书利用公钥分配对称密钥简单的秘密钥分配具有性和真实性的秘密钥分配Diffie-Hellman密钥交换数学基础：计算离散对数困难性实验-PGP加解密认证第三章 系统漏洞与扫描技术网络攻击的步骤隐藏位置网络探测和资料收集，寻找攻击目标（踩点）弱点挖掘（寻找漏洞）掌握控制权隐藏行踪实施攻击开辟后门漏洞的定义是一切攻击行为和事件的起源。从广泛的意义上看，漏洞是在硬件、软件、协议的具体实现或系统安全策略以及人为因素上存在的缺陷，它可以使黑客能

8、够在未经系统的许可者授权的情况下访问或破坏系统。漏洞的分类按形成的原因：逻辑结构、设计错误、开放式协议、人为按发现的先后顺序：已知、未知和0dayWindows系统常用命令ipconfig、ping、nbtstat（设备信息）、netstat（网络状态）、tracert（路由跟踪）端口扫描工具的基本工作原理 每种操作系统都有不同的端口开放供系统间通信使用，因此从端口号上可以大致判断目标主机的操作系统“扫描”的出发点与目标端口建立TCP连接，探测目标计算机提供了哪些服务如果目标主机该端口有回应，则说明该端口开放，即为“活动端口”端口扫描工具的主要功能扫描目标主机识别其工作状态（开/关机）识别目标

9、主机端口的状态（监听/关闭）识别目标主机系统及服务程序的类型和版本根据已知漏洞信息，分析系统脆弱点生成扫描结果报告端口扫描工具的扫描类型全TCP连接扫描主机尝试（使用三次握手）与目的机指定端口建立正规的连接半打开式扫描（SYN扫描）扫描主机向目标主机的选择端口发送SYN数据段秘密扫描（ FIN扫描）依靠发送FIN来判断目标计算机的指定端口是否活动第三方扫描（代理扫描）利用第三方主机来代替入侵者进行扫描，这个第三方主机一般是入侵者通过入侵其他计算机得到的，常被称为“肉机”常用的端口扫描工具Nmap、X-Scan网络监听原理(Wireshark)网卡设为混杂模式实验-网络身份隐藏（作业）代理服务器

10、的工作过程更改MAC地址隐藏身份实验-网络扫描工具的使用Nmap/Zenmap端口扫描软件Wireshark网络报文分析软件第四章 几种常见网络攻击技术ARP协议的工作过程攻击者以间断循环的方式不停地向整个局域网里所有的计算机发送ARP请求包，欺骗局域网中所有的计算机把攻击者的机器当成网关，从而让局域网中所有的机器都把数据包发给它，然后再由它来转发到Internet上。ARP欺骗的基本原理冒充网关IP欺骗的基本原理IP信任Dos攻击的基本原理这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或存不足）的攻击方式。 Dos攻击的基本步骤攻击准备攻击者

11、攻击诸客户主机以求分析他们的安全水平和脆弱性攻击者进入其已经发现的最弱的客户主机之(“肉机”)，并且秘密地安置一个其可远 程控制的代理程序(端口监督程序demon)发起攻击攻击者使他的全部代理程序同时发送由残缺的数字包构成的连接请求送至目标系统包括虚假的连接请求在的大量残缺的数字包攻击目标系统，最终将导致它因通信淤塞 而崩溃第五章 网络安全协议SSL的体系结构及各协议的作用记录协议，提供连接的安全性（性、完整性）握手协议，密钥协商两个重要概念SSL连接（connection）连接是提供合适服务类型的一种传输（OSI模型）SSL的连接是端对端的关系连接是暂时的，每一个连接和一个会话关联SSL会话

12、（session）一个客户端和服务器间的关联。会话由握手协议创建，会话定义了一组可供多个连接共享的密码安全参数。会话用以避免为每一个连接提供新的安全参数，从而减少了昂贵的协商代价双向签名目的：将两个接收者的不同消息连接起来，以解决一些可能发生的纠纷。操作：公式表示：发给商家：DS/OI/PIMD发给银行：DS/PI/OIMDIPSec的应用方式端到端（end-end）：主机到主机的安全通信端到路由（end-router）：主机到路由之间的安全通信路由到路由（router-router）：路由到路由之间的安全通信，常用于在两个网络之间建立虚拟IPSec的容AH协议：数据完整性、数据源身份认证和抗

13、重放攻击服务ESP协议：通信的性或/和完整性保护IPSec安全体系结构IPSec的工作模式传输模式隧道模式ESP协议传输模式优缺点优点网的其他用户也不能理解通信主机之间的通信容分担了IPSec处理负荷（与隧道传输相比）缺点不具备对端用户的透明性，用户为获得ESP提供的安全服务，必须付出存、处理时间等代价。不能使用私有IP地址暴露了子网的部拓扑ESP协议隧道模式优缺点优点保护子网中的所有用户都可以透明地享受由安全网关提供的安全保护子网部可以使用私有IP地址子网部的拓扑结构受到保护缺点增大了安全网关的处理负荷，容易形成通信瓶颈对部的诸多安全问题将不可控实验-IPSec协议（ESP、AH）数据包格式

14、标志位实验-SSL协议部署Windows的CA申请证书数据包格式第六章 防火墙技术防火墙的概念防火墙是位于两个(或多个)网络间，实施网间访问控制的一组组件的集合。防火墙的发展历史路由器、软件、通用OS、专用OS防火墙的四种类型（结构、功能、优缺点）分组过滤路由器（包过滤技术）定义又称包过滤防火墙或屏蔽路由器通过检查经过路由器的数据包源地址、目的地址、TCP端口、UDP端口等参数，并由策略决定是否允许该数据包通过，并对其进行路由选择转发。优缺点特点屏蔽路由器作为外连接的唯一通道，要求所有的报文都必须在此通过检查。实现IP层的安全缺点在主机上实现，是网络中的“单失效点”不支持有效的用户认证，不提供

15、有用的日志，安全性低双宿主机（代理服务技术）定义这种配置是用一台装有两块网卡的堡垒主机做防火墙。两块网卡分别与部网和外部网相连。采用代理服务的方法堡垒主机上运行着防火墙软件，可以转发应用程序和提供服务等堡垒主机的作用阻止IP层通信实现应用层安全中间转接作用优缺点堡垒主机的系统软件可用于身份认证和维护系统日志，有利于进行安全审计仍然是“单失效点”隔离了一切部网与Internet的直接连接屏蔽主机（动态检测）定义分组过滤路由器连接外部网络运行网关软件的堡垒主机安装在部网络提供了较高的安全等级过滤路由器是否正确配置，是防火墙安全与否的关键路由表应受到严格保护主要优点高安全性(工作在数据链路层和网络层

16、之间；“状态感知”能力)高效性(对连接的后续数据包直接进行状态检查)应用围广(支持基于无连接协议的应用)主要缺点状态检测防火墙在阻止DDoS攻击、病毒传播问题以及高级应用入侵问题（如实现应用层容过滤）等方面显得力不从心屏蔽子网（NAT技术）定义在部网络和外部网络之间建立一个被隔离的子网防火墙的局限性安全性灵活性网络功能并非万无一失实验-ISA防火墙的规则设置访问规则的配置规则配置后的访问结果第七章 反病毒技术病毒的定义广义的定义凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒(Computer Virus)法律性、权威性的定义指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、

17、影响计算机使用，并能够自我复制的一组计算机指令或者程序代码病毒的特征寄生性、隐蔽性、传染性、潜伏性、可触发性、破坏性或表现性、针对性病毒的传播途径硬盘、移动硬盘、网络、点对点通信病毒的分类按照传播媒介可分类：以磁盘为载体的单机病毒以网络为载体的网络病毒按照感染或者寄生的对象分类引导型病毒文件型病毒混合型病毒按照计算机病毒的破坏情况分类良性病毒恶性病毒按攻击的对象分类可以分为攻击微机型、攻击小型机、攻击大型机、攻击工作站、攻击便携式电子设备、攻击计算机网络6种 按攻击的操作系统分类可以分为攻击DOS系统、攻击Windows 系统、攻击UNIX系统、攻击OS/2系统、攻击嵌入式操作系统5种 按照恶

18、意操作的类型分类分区表病毒、引导区病毒、文件感染病毒、变形病毒、木马病毒、蠕虫病毒、宏病毒、钓鱼程序、恶意软件等按方式分类可以分为源码型病毒、入侵型病毒/嵌入型病毒、外壳型病毒、操作系统型病毒从广义病毒定义的角度逻辑炸弹修改计算机程序，使它在某种特殊条件下按某种不同的方式运行。逻辑炸弹也是由程序 员插入其它程序代码中间的，但并不进行自我复制。特洛伊木马计算机蠕虫 逻辑炸弹、木马、宏病毒的实现原理宏病毒是一种存储于文档、模板(pot)或加载宏程序中的计算机病毒用VB高级语言编写的病毒代码，直接混杂在文件中并加以传播。蠕虫的特点利用网络中软件系统的缺陷，进行自我复制和主动传播与病毒在文件之间的传播

19、不同，它们是从一台计算机传播到另一台计算机，从而感染整个系统计算机病毒的表现症状屏幕显示异常系统声音异常键盘工作异常系统运行异常应用程序运行异常文件系统异常网络异常其它异常计算机病毒的防技术检测技术是指通过一定的技术手段判定出病毒的技术在特征分类的基础上建立的病毒识别技术通过病毒行为或文件校验和的病毒判定技术清除技术根据不同类型病毒的感染机制确定相应的消除方法，进而从被感染的对象中摘除该病毒代码，并恢复被感染程序的原有结构信息可用专用软件杀毒或手工进行杀毒文件覆盖免疫技术原理根据病毒签名来实现。由于有些病毒在感染其他程序时要先判断是否已被感染过，即欲 攻击的宿主程序是否已有相应病毒签名，如有则

20、不再感染因此，可人为地在“健康程序”中进行病毒签名，起到免疫效果。（打疫苗）预防技术通过对病毒分类和采取监控措施，阻止病毒进入系统，以达到保护系统的目的对已知病毒的预防采用特征判定技术对未知病毒的预防采用行为监控技术第八章 入侵检测系统入侵检测有关概念入侵(Intrusion)是指系统发生的任何违反安全策略的事件，包括对系统资源的非法访问、恶意攻击、探测系统漏洞和攻击准备等对网络系统造成危害的各种行为。入侵检测(Intrusion Detection)是指通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现或识别企图入侵、正在进行的入侵或已经发生的入侵的技术。入侵检测系统

21、(IDS)用于进行入侵检测的自动化工具，是入侵检测的软件与硬件的组合。入侵检测的起源审计技术入侵检测的工作模式从系统的不同环节收集信息分析该信息，试图寻找入侵活动的特征自动对检测到的行为作出响应记录并报告检测过程及结果入侵检测系统的通用模型及其各模块的功能事件产生器、事件分析器、事件响应器、事件数据库事件产生器负责收集、采集各种原始数据，且将其转换为事件，向系统的其他部分提供此事件。事件分析器接收事件信息，对其进行分析，判断是否为入侵行为或异常现象，最后将判断的结果转 变为告警信息。事件数据库存放各种中间和最终数据的地方响应单元根据告警信息作出反应，是IDS中的主动武器检测IDS性能的两个关键

22、参数误报（false positive）实际无害的事件却被IDS检测为攻击事件漏报（false negative）一个攻击事件未被IDS检测到或被分析人员认为是无害的入侵检测系统的分类根据其采用的分析方法（检测原理）分误用检测、异常检测根据数据来源分基于主机的IDS（HIDS）、基于网络的IDS（NIDS）根据体系结构集中式、分布式根据系统的工作方式离线、在线入侵检测技术异常检测技术：概率统计异常检测（最重要的一种举例）误用/滥用检测技术：专家系统滥用检测高级检测技术：遗传算法、数据挖掘入侵诱骗技术：Honeypot（蜜罐技术）、Honeynet（蜜网技术）入侵响应技术：主动响应、被动响应主动响应IDS在检测到入侵后能够阻断攻击、影响进而改变攻击的进程被动响应IDS仅仅简单地报告和记录所检测出的问题