第一章:
信息安全需求概念:是指计算机网络给我们提供信息查询、网络服务时,保证服务对象的信息不受监听、窃取和篡改等威胁,以满足人们最基本的安全需要(如隐秘性、可用性等)的特性。
信息安全的狭义解释:信息安全在不同的应用环境下有不同的解释。针对网络中的一个运行系统而言,信息安全就是指信息处理和传输的安全。他包括硬件系统的安全可靠运行、操作系统和应用软件的安全、数据库系统的安全、电磁信息泄露的防护等。狭义的信息安全,就是指信息内容的安全,包括信息的保密性、真实性、完整性。
信息安全的广义解释:是指网络系统的硬件、软件及其系统中的信息收到保护。它包括系统连续可靠正常地运行,网络服务不中断,系统中的信息不因偶然的或恶意的行为而遭到破坏和泄漏。
信息安全特性:1、保密性2、完整性3、可用性4、可控性5、不可否认性
课后习题
2、广义的信息安全是指网络系统的硬件、软件及其系统中的信息受到保护。他包括连续、可靠、正常地运行,网络服务不中断,系统中的信息不因偶然的或恶意的原因而遭到破坏、更改和泄漏。
5、在网络通信中,防御信息被窃取的安全措施是加密技术;防御传输消息被篡改的安全措施是完整性技术;防御信息被假冒的安全措施是认证技术;防御信息被抵御的安全措施是数字签名。
第二章
由于第二章以计算题为主,有关题目自行参考课本。
习题:
1、密码学是一门关于信息加密和密文破译的科学,包括密码编码学和密码分析学两门学科。
2、对于一个密码体制而言,如果加密密钥和解密密钥相同,则称为对称密码体制,否则称为非对称密码体制。前者也称为单/私钥密码体制,后者也称为公开/双钥密码体制。
5、加密方式有节点加密、链路加密、端到端加密。
第三章
信息隐藏的基本原理(仅供理解):假设A打算秘密传递一些信息给B,A需要从一个随机消息源中随机选取一个无关紧要的消息C,当这个消息公开传递时,不会引起人们的怀疑,称这个消息为载体对象(Cover Message)C;把秘密信息(Secret Message)M隐藏到载体对象C中,此时,载体对象就变成了伪装对象C1.载体对象C是正常的,不会引起人们的怀疑,伪装对象C1与载体对象C无论从感官(比如感受图像、视频的视觉和感受声音、音频的听觉)上,还是从计算机的分析上,都不可能把他们区分开来,而且对伪装对象C1的正常处理,不应破坏隐藏的秘密信息。这样就实现了信息的隐藏传输。秘密信息的嵌入过程可能需要密钥,也可能不需要密钥,为了区别于加密的密钥,信息隐藏的密钥称为伪装密钥k。信息隐藏涉及两个算法:信息嵌入算法和信息提取算法,如下图:
信息隐藏的原理框图
课后习题:
2、信息隐藏的特性指安全性、鲁棒性、不可检测性、透明性和自恢复性。
3、数字水印技术是利用人类视觉和听觉的冗余特性,在数字产品中添加某些数字信息,以起到版权保护等作用。
4、通用的数字水印算法一般包含水印生成算法、水印嵌入和提取/检测3个方面。
第四章
Hash函数的概念:就是将一种任意长度的消息压缩成某一固定长度的消息摘要的函数,又称为消息摘要函数、散列函数或杂凑函数,记为h=H(M)。
课后习题:
2、消息认证码:其具有两层含义:一是检验消息的来源是真实的,即对消息的发送者的身份进行认证;二是检验消息是完整的,即验证消息在传送或存储过程中未被篡改、删除或插入等。
3、Hash函数的输入长度是可变的,输出长度是固定的,这个定长的Hash值称为输入的数据的Hash值或消息摘要。
4、消息完整性校验的一般准则是将实际得到的消息数字指纹与原数字指纹进行比对。如果一致,则说明消息是完整的,否则,消息是不完整的。
第五章:
密钥分为会话密钥、密钥加密和主密钥。
会话密钥:指两个通信终端用户一次通话或交换数据时使用的密钥,他位于密码系统中的整个密钥层次的最底层。
密钥加密密钥:用于对会话密钥进行保护,也称为次主密钥或二级密钥,位于密钥管理的中间层。
主密钥:主要用于对密钥加密密钥、会话密钥或其他下层密钥的保护,位于密码系统整个密钥层次的最高层。
课后习题:1、密码算法公开的好处在于可以评估算法的安全强度、防止算法设计者隐藏后门和有助于密码算法的应用,信息的保密取决于密钥的保密和安全。
2、主密钥位于密码系统整个密钥层次的最高层,主要用于对密钥加密密钥、会话密钥或其他下层密钥的保护。
3、KDC表示:密钥分配中心
4、公开密钥分配主要有广播式公开发布、建立公钥目录,带认证的密钥分布,使用数字证书分配4种形式。
第六章:
RSA数字签名:
设A为签名人,任意选取两大素数p和q,计算n=pq,a(n)=(p-1)(q-1);随机选择整数e<a(n),满足GCD(e,a(n))=1;计算整数d,满足ed=1(mod a(n))。p、q和a(n)保密,A的公钥为(n,e),私钥为d。
签名过程:对于消息m(m<n),计算s=md(mod n),则签名为(m,s),并将其发送给接收人或验证人。
验证过程:接收人或验证人收到签名(m,s)后,利用A的公钥,计算
m =se(mod n),检查m=m是否成立。如果成立则正确,否则签名错误。
签名正确性证明:若签名正是A所签,则有m=se=(md)e=mde=m(mod n).
Schnorr数字签名
1、 初始过程
(1) 系统参数:大参数p和q满足q|p-1,q>=2160是整数,p>=2512是整数,确保在Zp中求解离散对数的困难性;g属于Zp,且满足gq=1(mod p),g!=1;h为单向哈希函数。P、q、g作为系统参数,供所有用户使用,在系统内使用。
(2) 用户私钥:用户选取一个私钥x,1<x<q,保密
(3) 用户公钥:用户的公钥y,y=gx(mod p),公开
2、 签名过程
用户随机选取一个整数k,k属于Zp,计算r=gk(mod p),e=h(r,m),s=k-xe(mod p),(e,s)为用户对的签名。
3、接收者收到消息m和签名(e,s)后,先计算r’=gsye(mod p),然后计算e’=h(r’,m),检验e’=e是否成立,如成立,则签名有效,否则无效。
若(e,s)为合法签名,则有
gsye=gk-xegxe=gk=r(mod p)
课后习题:
数字签名就是用户把自己的私钥绑定电子文档中,而其他任何人都可以用该用户的公钥来验证其数字签名。
第七章
(一)、物理安全包括环境安全、设备安全、媒体安全
(二)、环境安全:运行环境需要适当的温度、湿度、洁净度机房温度一般控制在21加减3度
(三)、设备安全包括四点:
(1)、访问控制技术:1智能卡技术2、生物特性认证技术(指纹识别技术、手印识别技术、声音识别技术、笔记识别技术、视网膜识别技术)3
(2)、防复制技术:1、电子锁、2、机器签名
(3)、硬件防辐射技术
(4)、通信线路安全技术
(四)、计算机设备的一些防泄漏措施:1、整体屏蔽2、距离防护3、使用干扰器4、利用铁氧体磁环
(五)、数据备份的种类:完全备份、增量备份、系统备份
完全备份指将指定目录下的所有数据都备份在磁盘或磁带中。缺点:占用较大的磁盘空间,耗费较长的备份时间,对有些毫不重要的数据也进行了备份。
增量备份指如果数据有变化或数据变动达到指定的阈值才对数据进行备份。而且备份的仅仅是变动的部分,它所占用的磁盘空间比完全备份小得多。完全备份往往在系统第一次运行前进行一次,增量备份则会常常进行。
系统备份指对整个系统进行的备份。此备份 一般只需要每隔几个月或每隔一年左右进行一次。它所占用磁盘空间通常也是比较大的。不仅由于
磁盘阵列(RAID)技术是利用若干台小型硬磁盘驱动器加上控制器按一定的组合条件而组成的一个大容量、快速响应、高可靠的存储子系统。不仅由于可有多台驱动器并行工作,大大提高存储容量和数据传输率而且还由于采取了纠错技术,提高了可靠性。
电缆加压技术提供了安全的通信线路,但它是一种很昂贵的技术我们可以选择光纤来提高通信线路的安全。
利用生物特性认证技术来实现物理设备的访问控制技术有(指纹识别技术、手印识别技术、声音识别技术、笔记识别技术、视网膜识别技术)
第八章
填空:
1.Windows系统安全模式由登录流程、本地安全授权、安全账号管理器和安全引用监视器组合而成。
3.在Windows2000网络中有两种主要的账号类型:域用户账号和本地用户账号。除此之外,Windows2000操作系统中还有内置用户账号。
4.Windows2000中安全策略是以本地安全设置和组策略两种形式出现的。
第九章
SSL协议性能分析:访问速度:SSL的应用降低了HTTP服务器和浏览器间相互作用的速度,原因在于在浏览器和服务器间用来初始化SSL会话和连接的状态信息时需要用到公钥加密和解密方案;安全性:SSL并不能抵抗通信流量分析
IPSec协议安全体系结构:安全协议部分,密钥协商部分;具体讲主要由因特网密钥交换协议、认证头以及安全封装载荷三个子协议组成,同时还涉及认证、加密算法以及安全关联等内容
IPSec协议工作模式:传输模式、隧道模式
安全超文本传输协议是一种结合HTTP而设计的消息的安全通信协议。PGP创造性的把RSA公钥体系和传统的加密IDEA体系结合起来
SSL协议是在传输层提供安全保护的协议。SSL协议可提供3种基本安全功能服务:信息加密、身份认证、信息完整
因特网密钥交换协议用于动态建立SA,为IPSec的AH和ESP协议提供密钥交换管理和安全关联管理,同时也为ISAKMP提供密钥管理和安全管理
第十章
电子邮件系统的组成:(1)邮件分发代理;(2)邮件传输代理;(3)邮件用户代理(4)邮件工作站
电子邮件安全目标:邮件分发安全;邮件传输安全;邮件用户安全;
电子邮件安全技术分类:身份验证技术; 加密签名技术; 协议过滤技术; 防火墙技术; 邮件病毒过滤技术;
电子安全标准:是一种对电子邮件提供加密,签名和认证的安全服务的协议,已经成为电子邮件事实上的安全标准。它将给予公钥密码体质的RSA算法和技术单钥密码体质的IDEA算法巧妙的结合起来,同时兼顾了公钥密码体质的便利性和传统型密码体质的高速度,形成了一种高效的混合密码系统。
PGA的功能:数字签名;消息加密;压缩;邮件兼容性;数据分段。
身份验证的含义:身份认证包含身份识别和身份验证。
身份识别:确定某一实体的身,知道这个实体是谁;
身份验证:对声称是谁的声称者的身份进行证明的过程。前者是主动识别对方的身份,后者是对对方的身份的验证和证明。
7验证用户身份的方法:
所知道的某种信息,比如口令、账户、和身份证号等;
所拥有的物品,如图章、标志、钥匙、护照、IC卡、和USB Key等。
所具有的独一无二的个人特征,如指纹、声纹、手型、视网膜、和基因等。
PKI技术:是公钥基础设施的简称,是一种遵循标准的,利用公钥密码技术为网上电子商务、电子政务等各种应用提供安全服务的基础平台。它能够为网络用用头透明地提供密钥和数字签名等服务,是目前网络安全建设的基础和核心。用户利用PKI平台提供的安全服务进行安全通信。
PKI系统有认证中心、证书书库、密钥备份及恢复系统、证书作废处理系统和接口等部分组成。CA的功能有证书的发放、证书的更新、证书的撤销和证书验证。核心功能是证书的发放和管理。
第十一章
三个阶段:信息收集、攻击实施、隐身攻击;
信息收集:网络踩点,网络扫描,网络监听;
二、攻击实施技术(概念了解):
1、社会工程学攻击
2、口令攻击
1) 社会工程学;
2)猜测攻击;
3)字典攻击;
4)暴力攻击;
5)网络嗅探;
6)键盘记录;
3、漏洞攻击
4、欺骗攻击
1)DNS欺骗攻击:截获 替换虚假的IP地址 黑了域名;
2)Web欺骗攻击:伪造站点影像拷贝 改变WEB入口 截获信息;
3)IP欺骗攻击:两主机A\B信任 攻击者C假冒一方 使用rlogin等命令 瘫痪B 确定ISN 攻击实施;
4)电子邮件攻击:建立SMTP服务器邮寄欺骗表格 设置相应得邮件格式 后台脚本接受前台表格数据;
5)ARP欺骗攻击:说了你也不懂;;
5、拒绝服务攻击
第十二章
1、创建防火墙系统的步骤:
制定安全策略、搭建安全体系结构、制定规则次序、落实规则及、主义更换控制和做好审计工作。
2、防火墙规则集:
(1)典型的防火墙规则集
@切断默认。
@允许内部出网。
@添加锁定。
@丢弃不起配的信息报。
@丢弃并不记录。
@允许DNS访问。
@允许邮件访问。
@允许Web访问。
@阻塞DMZ。
@允许内部的POP访问。
@强化DMZ的规则。
@允许管理员访问。
@提高性能。
(2)具体规则集描述。
根据安全策略的要求,假设内网用户的IP地址为210.116.1.0/24,Web Server,E-mail和DNS服务器的IP地址分别为210.116.2.1/24、210.116.2.2/24和210.116.2.3/24。下面给出具体的几条核心规则,如下表
防火墙技术是指隔离在本地网络与外界网络之间的一道防御系统,是这一类防范措施的总称。
入侵检测技术是指对入侵行为的检测。它通过对计算机网络或计算机系统的若干关键点收集信息并对其进行分析,从中发现网络或者系统中是否有违反安全策略的行为和被攻击的迹象。
入侵检测的分类:
根据检测原理:异常,滥用和混合检测系统。
根据系统特征分类:实时延时,连续间隔处理,主动被动响应。
根据体系结构分类:集中式,等级式,协作式。
入侵检测的步骤:1.信息收集:内容包括系统、网络、数据及用户活动的状态和行为,而且需要在计算机网络系统中的若干不同关键点收集信息,尽可能扩大检测范围和从一个源来的信息有可能看不出疑点,但从几个原来的信息的不一致性却使可疑行为或入侵的最好表示。入侵检测的信息包括:(1)系统和网络日志文件,是检测入侵的必要条件(2)目录和文件中的不期望的改变,特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号(3)程序执行中的不期望行为,可能表明黑客中能够在入侵该用户的系统(4)物理形式的入侵信息,一是未授权的对网络硬件进行连接,二是对物力资源的未授权访问;2.数据分析:一般通过模式匹配,统计分析,和完整性分析3种手段对收集到的有关系统,网络,数据及用户活动的状态和行为等信息进行分析。3.入侵响应:(1)将分析结果记录在日志文件中,并产生相应的报告,(2)触发警报,(3)修改入侵检测系统或目标系统
入侵检测的任务:
监视、分析用户及系统活动;
系统构造和弱点的审计;
识别反应已知进攻的活动模式并向相关人士报警;
异常行为模式的统计分析;
评估重要系统和数据文件的完整性;
操作系统的审计跟踪管理,并识别用户违反安全策略的行为;
蜜罐:
蜜罐是一个资源,它的价值在于它会收到攻击或威胁,这意味着一个蜜罐希望受到探测、攻击和潜在地被利用。蜜罐并不是修正任何问题,它们仅为我们提供额外的、有价值的信息。蜜罐是收集情报的系统,是一个用来观测黑客如何探测并最终入侵系统的系统;也以为着包含一些并不威胁系统(部门)机密的数据或应用程序,但对黑客来说却具有很大的诱惑及捕杀能力的系统。
蜜罐的关键技术:
网络欺骗技术
数据控制技术
数据收集技术
报警技术
入侵行为重定向技术
蜜罐在网络中的位置:
放置在防火墙外面
放置在DMZ区
放置在防火墙后面
习题
2.包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址,目的地址,端口号和协议类型等标志确定是否允许通过。应用代理型防火墙工作在OSI的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。
4.入侵检测的第一步是信息收集,内容包括系统、网络、数据及用户活动的状态和行为。入侵检测的第二步是数据分析,一般通过3种技术手段进行分析:模式匹配、统计分析、完整性分析、入侵检测的第三步是入侵响应,即进行日志记录、除法报警等。
6.从应用层面上分,蜜罐可以分为产品型蜜罐和研究型蜜罐。
第十三章
NO1.计算机病毒的定义
“计算机病毒是之编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。”
NO2.计算机病毒的特征
1、传染性---传染性是计算机病毒最基本的特征。计算机病毒的传染性是指病毒具有把自身复制到其他程序中的能力。
是否具有传染性是班判一个程序是否为计算机病毒的首要条件。
2、破坏性
根据计算机病毒的破坏性程度可粗略的将病毒分为良性病毒和恶性病毒。
3、隐蔽性
计算机病毒一般是具有很高的的编程技巧、短小精悍的程序。
4、潜伏性与可触发性
5、不可预见性
NO3. 计算机病毒的基本原理
1、 引导型病毒
引导型病毒是改写磁盘上的引导扇区(Boot Sector)信息的病毒。引导型病毒通常用汇编语言编写,因此很短,执行速度很快。
引导型病毒基本原理图与主要特点page235。
文件型病毒
文件型病毒是在其他文件中插入自身指令,将自身代码通过编码。加密或使用其他技术附在文件中,当文件被执行时,将会调用病毒的代码。
文件型病毒感染COM文件有两种方法,即分别将病毒代码加在COM文件的前部和尾部。
文件型病毒的基本原理page236。
3、宏病毒
一种寄存在文档或模板的宏中的计算机病毒。他只感染文档文件。
宏病毒工作原理和特征page236。
脚本病毒
是以脚本程序语言编写而成的病毒。脚本病毒都是使用应用程序和操作系统中的自动脚本功能来复制和传播恶意脚本的。
蠕虫病毒
蠕虫病毒自身副本具有完整性和独立性,不利用文件寄生。
蠕虫病毒的基本结构分为传播模块,隐藏模块和功能模块。蠕虫病毒的一般传播过程分为扫描、攻击和放置几个阶段。其工作方式page240.