信息安全概論總復(fù)習(xí)

1、填空題（20分）判斷題（10分）單選題（20分）名詞解釋（12分）實驗題（18分）簡答題（20分）第一章 網(wǎng)絡(luò)安全概述計算機安全信息安全的靜態(tài)定義為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)上和管理上的安全保護，保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。網(wǎng)絡(luò)安全信息安全的動態(tài)定義從本質(zhì)上講，網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安全，是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件和系統(tǒng)中的數(shù)據(jù)受到保護，不因自然因素或人為因素而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。威脅網(wǎng)絡(luò)安全的主要因素？先天不足（網(wǎng)絡(luò)環(huán)境、軟件缺陷、協(xié)議缺陷）天災(zāi)（自然環(huán)境）人禍（操作失誤、惡意破壞）網(wǎng)絡(luò)安全的目標(biāo)保密性、完整性

2、、可用性、抗否認(rèn)性、可控性網(wǎng)絡(luò)系統(tǒng)的安全涉及的領(lǐng)域物理安全、運行安全、管理和策略（三個層次）P2DR模型的組成部分策略（Policy）保護（Protection）檢測（Detection）響應(yīng)（Response）信息安全系統(tǒng)模型多級安全模型（BLP保密性模型、BIBA完整性模型、 Clark-Wilson完整性模型）多邊安全模型（Lattice安全模型、Chinese Wall模型）第二章 數(shù)據(jù)加密與認(rèn)證技術(shù)消息認(rèn)證（Authentication）又稱為鑒別、確認(rèn)，它是驗證所收到的消息確實是來自真正的發(fā)送方且未被修改的消息，它也可驗證消息的順序和及時性。認(rèn)證是防止主動攻擊的重要技術(shù)。數(shù)字簽名（

3、Digital Signature）是通信雙方在網(wǎng)上交換信息用公鑰密碼防止偽造和欺騙的一種身份認(rèn)證。網(wǎng)絡(luò)攻擊的兩種手段：被動攻擊通過偵聽和截取手段獲取數(shù)據(jù)主動攻擊通過偽造、重放、篡改、亂序等手段改變數(shù)據(jù)報文鑒別的方式：報文加密函數(shù)加密整個報文，以報文的密文作為鑒別報文鑒別碼依賴公開的函數(shù)對報文處理，生成定長的鑒別標(biāo)簽散列函數(shù)將任意長度的報文變換為定長的報文摘要，并加以鑒別報文鑒別的過程及每個過程的鑒別方法-作業(yè)：源、目標(biāo)、時間、內(nèi)容報文宿的鑒別對稱密鑰發(fā)方A在報文中加入收方B的識別碼IDB公鑰密碼發(fā)方A用收方B的公開密鑰進行加密報文時間性的鑒別初始向量法時間參數(shù)法隨機數(shù)法報文內(nèi)容的鑒別報文鑒別

4、碼（Message Authentication Code，MAC），也叫消息認(rèn)證碼。報文摘要（Message Digest，MD），也叫消息摘要。報文鑒別碼也叫消息認(rèn)證碼利用密鑰來生成一個固定長度的短數(shù)據(jù)塊，并將該數(shù)據(jù)塊附加在消息之后。其中M是一個變長消息，K是收發(fā)雙方共享的密鑰，CK(M)是定長的認(rèn)證符。消息認(rèn)證消息認(rèn)證和保密：與明文有關(guān)的認(rèn)證消息認(rèn)證和保密：與密文有關(guān)的認(rèn)證最常用的散列函數(shù)：MD5算法生成的是128位的哈希值SHA-1算法生成的是160位的哈希值數(shù)字簽名特征消息認(rèn)證碼的局限性用于保護通信雙方免受第三方攻擊無法防止通信雙方的相互攻擊報文宿方偽造報文報文源方否認(rèn)已發(fā)送的報文引

5、入數(shù)字簽名，是傳統(tǒng)簽名的模擬接收者能夠核實發(fā)送者發(fā)送者事后不能抵賴對報文的簽名接收者不能偽造對報文的簽名數(shù)字簽名體制數(shù)字簽名體制一般含有兩個組成部分簽名算法：Sigk(M)=s驗證算法：Ver(s,M)=真，偽=0, 1數(shù)字簽名體制的安全性在于從M和其簽名s難以推出密鑰k或偽造一個M，使M和s可被證實是真。簽名密鑰是秘密的，只有簽名人掌握驗證算法是公開的數(shù)字簽名中的問題與改進簽字后的文件可能被接收方重復(fù)使用改進：加入特有憑證（如時間戳）安全的密鑰越來越長問題：運算速度較慢；密鑰存儲和管理問題改進：設(shè)計新的算法公鑰算法不宜用于長文件的加密改進：先哈希，再加密Kerberos網(wǎng)絡(luò)用戶認(rèn)證系統(tǒng)的認(rèn)證

6、過程用戶登錄工作站并請求主機服務(wù)（避免在網(wǎng)絡(luò)上傳輸口令）c, tgs認(rèn)證服務(wù)器AS驗證用戶的訪問權(quán)限，創(chuàng)建票據(jù)許可票據(jù)TGT和會話密鑰，使用從用戶密碼得到的密鑰加密消息Kc, tgsKc, Tc, tgsKtgs用戶解密第一個消息，并獲得會話密鑰，然后發(fā)送票據(jù)以及包含用戶名、網(wǎng)絡(luò)地址和TGS時間的認(rèn)證碼。Ac, tgsKc, tgs, Tc, tgsKtgsTGS解密票據(jù)和鑒別碼，驗證請求，然后為被請求的服務(wù)器生成票據(jù)Kc, sKc, tgs, Tc, sKs工作站發(fā)送服務(wù)授權(quán)票據(jù)和認(rèn)證碼給服務(wù)器Ac, sKc, s, Tc, sKs服務(wù)器驗證票據(jù)，認(rèn)證通過后授權(quán)服務(wù)訪問。如果需要相互認(rèn)證，則

7、服務(wù)器返回認(rèn)證碼tKc, s公鑰基礎(chǔ)設(shè)施PKI的基本組成CA、數(shù)字證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書注銷系統(tǒng)公鑰的分配方法公開發(fā)布、公開可訪問目錄、公鑰授權(quán)、公鑰證書利用公鑰分配對稱密鑰簡單的秘密鑰分配具有保密性和真實性的秘密鑰分配Diffie-Hellman密鑰交換數(shù)學(xué)基礎(chǔ)：計算離散對數(shù)困難性實驗-PGP加解密認(rèn)證第三章 系統(tǒng)漏洞與掃描技術(shù)網(wǎng)絡(luò)攻擊的步驟隱藏位置網(wǎng)絡(luò)探測和資料收集，尋找攻擊目標(biāo)（踩點）弱點挖掘（尋找漏洞）掌握控制權(quán)隱藏行蹤實施攻擊開辟后門漏洞的定義是一切攻擊行為和事件的起源。從廣泛的意義上看，漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略以及人為因素上存在的缺陷，它可以使黑客

8、能夠在未經(jīng)系統(tǒng)的許可者授權(quán)的情況下訪問或破壞系統(tǒng)。漏洞的分類按形成的原因：邏輯結(jié)構(gòu)、設(shè)計錯誤、開放式協(xié)議、人為按發(fā)現(xiàn)的先后順序：已知、未知和0dayWindows系統(tǒng)常用命令ipconfig、ping、nbtstat（設(shè)備信息）、netstat（網(wǎng)絡(luò)狀態(tài)）、tracert（路由跟蹤）端口掃描工具的基本工作原理 每種操作系統(tǒng)都有不同的端口開放供系統(tǒng)間通信使用，因此從端口號上可以大致判斷目標(biāo)主機的操作系統(tǒng)“掃描”的出發(fā)點與目標(biāo)端口建立TCP連接，探測目標(biāo)計算機提供了哪些服務(wù)如果目標(biāo)主機該端口有回應(yīng)，則說明該端口開放，即為“活動端口”端口掃描工具的主要功能掃描目標(biāo)主機識別其工作狀態(tài)（開/關(guān)機）識別目

9、標(biāo)主機端口的狀態(tài)（監(jiān)聽/關(guān)閉）識別目標(biāo)主機系統(tǒng)及服務(wù)程序的類型和版本根據(jù)已知漏洞信息，分析系統(tǒng)脆弱點生成掃描結(jié)果報告端口掃描工具的掃描類型全TCP連接掃描主機嘗試（使用三次握手）與目的機指定端口建立正規(guī)的連接半打開式掃描（SYN掃描）掃描主機向目標(biāo)主機的選擇端口發(fā)送SYN數(shù)據(jù)段秘密掃描（ FIN掃描）依靠發(fā)送FIN來判斷目標(biāo)計算機的指定端口是否活動第三方掃描（代理掃描）利用第三方主機來代替入侵者進行掃描，這個第三方主機一般是入侵者通過入侵其他計算機得到的，常被稱為“肉機”常用的端口掃描工具Nmap、X-Scan網(wǎng)絡(luò)監(jiān)聽原理(Wireshark)網(wǎng)卡設(shè)為混雜模式實驗-網(wǎng)絡(luò)身份隱藏（作業(yè)）代理服務(wù)

10、器的工作過程更改MAC地址隱藏身份實驗-網(wǎng)絡(luò)掃描工具的使用Nmap/Zenmap端口掃描軟件Wireshark網(wǎng)絡(luò)報文分析軟件第四章 幾種常見網(wǎng)絡(luò)攻擊技術(shù)ARP協(xié)議的工作過程攻擊者以間斷循環(huán)的方式不停地向整個局域網(wǎng)里所有的計算機發(fā)送ARP請求包，欺騙局域網(wǎng)中所有的計算機把攻擊者的機器當(dāng)成網(wǎng)關(guān)，從而讓局域網(wǎng)中所有的機器都把數(shù)據(jù)包發(fā)給它，然后再由它來轉(zhuǎn)發(fā)到Internet上。ARP欺騙的基本原理冒充網(wǎng)關(guān)IP欺騙的基本原理IP信任Dos攻擊的基本原理這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡（CPU滿負荷或內(nèi)存不足）的攻擊方式。 Dos攻擊的基本步驟攻擊準(zhǔn)備攻

11、擊者攻擊諸客戶主機以求分析他們的安全水平和脆弱性攻擊者進入其已經(jīng)發(fā)現(xiàn)的最弱的客戶主機之內(nèi)(“肉機”)，并且秘密地安置一個其可遠程控制的代理程序(端口監(jiān)督程序demon)發(fā)起攻擊攻擊者使他的全部代理程序同時發(fā)送由殘缺的數(shù)字包構(gòu)成的連接請求送至目標(biāo)系統(tǒng)包括虛假的連接請求在內(nèi)的大量殘缺的數(shù)字包攻擊目標(biāo)系統(tǒng)，最終將導(dǎo)致它因通信淤塞而崩潰第五章 網(wǎng)絡(luò)安全協(xié)議SSL的體系結(jié)構(gòu)及各協(xié)議的作用記錄協(xié)議，提供連接的安全性（保密性、完整性）握手協(xié)議，密鑰協(xié)商兩個重要概念SSL連接（connection）連接是提供合適服務(wù)類型的一種傳輸（OSI模型）SSL的連接是端對端的關(guān)系連接是暫時的，每一個連接和一個會話關(guān)聯(lián)S

12、SL會話（session）一個客戶端和服務(wù)器間的關(guān)聯(lián)。會話由握手協(xié)議創(chuàng)建，會話定義了一組可供多個連接共享的密碼安全參數(shù)。會話用以避免為每一個連接提供新的安全參數(shù)，從而減少了昂貴的協(xié)商代價雙向簽名目的：將兩個接收者的不同消息連接起來，以解決一些可能發(fā)生的糾紛。操作：公式表示：發(fā)給商家：DS/OI/PIMD發(fā)給銀行：DS/PI/OIMDIPSec的應(yīng)用方式端到端（end-end）：主機到主機的安全通信端到路由（end-router）：主機到路由之間的安全通信路由到路由（router-router）：路由到路由之間的安全通信，常用于在兩個網(wǎng)絡(luò)之間建立虛擬IPSec的內(nèi)容AH協(xié)議：數(shù)據(jù)完整性、數(shù)據(jù)源身

13、份認(rèn)證和抗重放攻擊服務(wù)ESP協(xié)議：通信的機密性或/和完整性保護IPSec安全體系結(jié)構(gòu)IPSec的工作模式傳輸模式隧道模式ESP協(xié)議傳輸模式優(yōu)缺點優(yōu)點內(nèi)網(wǎng)的其他用戶也不能理解通信主機之間的通信內(nèi)容分擔(dān)了IPSec處理負荷（與隧道傳輸相比）缺點不具備對端用戶的透明性，用戶為獲得ESP提供的安全服務(wù)，必須付出內(nèi)存、處理時間等代價。不能使用私有IP地址暴露了子網(wǎng)的內(nèi)部拓撲ESP協(xié)議隧道模式優(yōu)缺點優(yōu)點保護子網(wǎng)中的所有用戶都可以透明地享受由安全網(wǎng)關(guān)提供的安全保護子網(wǎng)內(nèi)部可以使用私有IP地址子網(wǎng)內(nèi)部的拓撲結(jié)構(gòu)受到保護缺點增大了安全網(wǎng)關(guān)的處理負荷，容易形成通信瓶頸對內(nèi)部的諸多安全問題將不可控實驗-IPSec協(xié)

14、議（ESP、AH）數(shù)據(jù)包格式標(biāo)志位實驗-SSL協(xié)議部署Windows的CA申請證書數(shù)據(jù)包格式第六章 防火墻技術(shù)防火墻的概念防火墻是位于兩個(或多個)網(wǎng)絡(luò)間，實施網(wǎng)間訪問控制的一組組件的集合。防火墻的發(fā)展歷史路由器、軟件、通用OS、專用OS防火墻的四種類型（結(jié)構(gòu)、功能、優(yōu)缺點）分組過濾路由器（包過濾技術(shù)）定義又稱包過濾防火墻或屏蔽路由器通過檢查經(jīng)過路由器的數(shù)據(jù)包源地址、目的地址、TCP端口、UDP端口等參數(shù)，并由策略決定是否允許該數(shù)據(jù)包通過，并對其進行路由選擇轉(zhuǎn)發(fā)。優(yōu)缺點特點屏蔽路由器作為內(nèi)外連接的唯一通道，要求所有的報文都必須在此通過檢查。實現(xiàn)IP層的安全缺點在主機上實現(xiàn)，是網(wǎng)絡(luò)中的“單失效點

15、”不支持有效的用戶認(rèn)證，不提供有用的日志，安全性低雙宿主機（代理服務(wù)技術(shù)）定義這種配置是用一臺裝有兩塊網(wǎng)卡的堡壘主機做防火墻。兩塊網(wǎng)卡分別與內(nèi)部網(wǎng)和外部網(wǎng)相連。采用代理服務(wù)的方法堡壘主機上運行著防火墻軟件，可以轉(zhuǎn)發(fā)應(yīng)用程序和提供服務(wù)等堡壘主機的作用阻止IP層通信實現(xiàn)應(yīng)用層安全中間轉(zhuǎn)接作用優(yōu)缺點堡壘主機的系統(tǒng)軟件可用于身份認(rèn)證和維護系統(tǒng)日志，有利于進行安全審計仍然是“單失效點”隔離了一切內(nèi)部網(wǎng)與Internet的直接連接屏蔽主機（動態(tài)檢測）定義分組過濾路由器連接外部網(wǎng)絡(luò)運行網(wǎng)關(guān)軟件的堡壘主機安裝在內(nèi)部網(wǎng)絡(luò)提供了較高的安全等級過濾路由器是否正確配置，是防火墻安全與否的關(guān)鍵路由表應(yīng)受到嚴(yán)格保護主要優(yōu)

16、點高安全性(工作在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層之間；“狀態(tài)感知”能力)高效性(對連接的后續(xù)數(shù)據(jù)包直接進行狀態(tài)檢查)應(yīng)用范圍廣(支持基于無連接協(xié)議的應(yīng)用)主要缺點狀態(tài)檢測防火墻在阻止DDoS攻擊、病毒傳播問題以及高級應(yīng)用入侵問題（如實現(xiàn)應(yīng)用層內(nèi)容過濾）等方面顯得力不從心屏蔽子網(wǎng)（NAT技術(shù)）定義在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng)防火墻的局限性安全性靈活性網(wǎng)絡(luò)功能并非萬無一失實驗-ISA防火墻的規(guī)則設(shè)置訪問規(guī)則的配置規(guī)則配置后的訪問結(jié)果第七章 反病毒技術(shù)病毒的定義廣義的定義凡能夠引起計算機故障，破壞計算機數(shù)據(jù)的程序統(tǒng)稱為計算機病毒(Computer Virus)法律性、權(quán)威性的定義指編制或者在計算

17、機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)、影響計算機使用，并能夠自我復(fù)制的一組計算機指令或者程序代碼病毒的特征寄生性、隱蔽性、傳染性、潛伏性、可觸發(fā)性、破壞性或表現(xiàn)性、針對性病毒的傳播途徑硬盤、移動硬盤、網(wǎng)絡(luò)、點對點通信病毒的分類按照傳播媒介可分類：以磁盤為載體的單機病毒以網(wǎng)絡(luò)為載體的網(wǎng)絡(luò)病毒按照感染或者寄生的對象分類引導(dǎo)型病毒文件型病毒混合型病毒按照計算機病毒的破壞情況分類良性病毒惡性病毒按攻擊的對象分類可以分為攻擊微機型、攻擊小型機、攻擊大型機、攻擊工作站、攻擊便攜式電子設(shè)備、攻擊計算機網(wǎng)絡(luò)6種 按攻擊的操作系統(tǒng)分類可以分為攻擊DOS系統(tǒng)、攻擊Windows 系統(tǒng)、攻擊UNIX系統(tǒng)、攻擊O

18、S/2系統(tǒng)、攻擊嵌入式操作系統(tǒng)5種 按照惡意操作的類型分類分區(qū)表病毒、引導(dǎo)區(qū)病毒、文件感染病毒、變形病毒、木馬病毒、蠕蟲病毒、宏病毒、釣魚程序、惡意軟件等按鏈接方式分類可以分為源碼型病毒、入侵型病毒/嵌入型病毒、外殼型病毒、操作系統(tǒng)型病毒從廣義病毒定義的角度邏輯炸彈修改計算機程序，使它在某種特殊條件下按某種不同的方式運行。邏輯炸彈也是由程序員插入其它程序代碼中間的，但并不進行自我復(fù)制。特洛伊木馬計算機蠕蟲 邏輯炸彈、木馬、宏病毒的實現(xiàn)原理宏病毒是一種存儲于文檔、模板(pot)或加載宏程序中的計算機病毒用VB高級語言編寫的病毒代碼，直接混雜在文件中并加以傳播。蠕蟲的特點利用網(wǎng)絡(luò)中軟件系統(tǒng)的缺陷，

19、進行自我復(fù)制和主動傳播與病毒在文件之間的傳播不同，它們是從一臺計算機傳播到另一臺計算機，從而感染整個系統(tǒng)計算機病毒的表現(xiàn)癥狀屏幕顯示異常系統(tǒng)聲音異常鍵盤工作異常系統(tǒng)運行異常應(yīng)用程序運行異常文件系統(tǒng)異常網(wǎng)絡(luò)異常其它異常計算機病毒的防范技術(shù)檢測技術(shù)是指通過一定的技術(shù)手段判定出病毒的技術(shù)在特征分類的基礎(chǔ)上建立的病毒識別技術(shù)通過病毒行為或文件校驗和的病毒判定技術(shù)清除技術(shù)根據(jù)不同類型病毒的感染機制確定相應(yīng)的消除方法，進而從被感染的對象中摘除該病毒代碼，并恢復(fù)被感染程序的原有結(jié)構(gòu)信息可用專用軟件殺毒或手工進行殺毒文件覆蓋免疫技術(shù)原理根據(jù)病毒簽名來實現(xiàn)。由于有些病毒在感染其他程序時要先判斷是否已被感染過，即

20、欲攻擊的宿主程序是否已有相應(yīng)病毒簽名，如有則不再感染因此，可人為地在“健康程序”中進行病毒簽名，起到免疫效果。（打疫苗）預(yù)防技術(shù)通過對病毒分類和采取監(jiān)控措施，阻止病毒進入系統(tǒng)，以達到保護系統(tǒng)的目的對已知病毒的預(yù)防采用特征判定技術(shù)對未知病毒的預(yù)防采用行為監(jiān)控技術(shù)第八章 入侵檢測系統(tǒng)入侵檢測有關(guān)概念入侵(Intrusion)是指系統(tǒng)發(fā)生的任何違反安全策略的事件，包括對系統(tǒng)資源的非法訪問、惡意攻擊、探測系統(tǒng)漏洞和攻擊準(zhǔn)備等對網(wǎng)絡(luò)系統(tǒng)造成危害的各種行為。入侵檢測(Intrusion Detection)是指通過從計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)或識別企圖入侵、正在進行的入侵或已經(jīng)發(fā)