信息安全PPT問題匯總初稿 update 6.10new

DES：非軍事和非機密數(shù)據(jù)的加密標(biāo)準。其分組長度和密鑰長度都是為64比特。三重DES：使用三個密鑰進行三次DES加密，增加了有效密鑰長度，提高了抗攻擊強度。AES：高級加密標(biāo)準作為新的分組加密標(biāo)準，數(shù)據(jù)分組長度為128比特，密鑰長度為128/192/256比特RSA：最早的公鑰密碼算法，利用了陷門單向函數(shù)的一種可逆模指數(shù)運算，安全性基于大整數(shù)分解因子的困難性消息認證碼:是在密鑰的控制下將任意長的消息映射到一個簡短的定長數(shù)據(jù)分組，并將它附在消息后。消息認證碼也稱為密碼校驗和散列函數(shù)：把任意長度的輸入，通過散列算法，變換成固定長度的輸出SHA：安全散列函數(shù)，該算法的輸入為不超過264比特長的任意信息，輸出為一個160比特長的消息摘要DSS：數(shù)字簽名標(biāo)準，它利用了SHA安全散列算法并提出一種新的數(shù)字簽名技術(shù)DSA鏈路加密:每個易受攻擊的鏈路兩端都使用加密設(shè)備進行加密.端到端加密：僅在一對用戶的通信線路兩端進行加密KDC:密鑰分配中心，由一個可信賴的聯(lián)機服務(wù)器完成用戶共享密鑰的中心化分配和管理.PKI:是一個用公鑰概念與技術(shù)來實施和提供安全服務(wù)的普適性基礎(chǔ)設(shè)施.是一種標(biāo)準的密鑰管理平臺，它能夠為所有網(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)據(jù)簽名等密碼服務(wù)所必須的密鑰和證書管理PAP:口令認證協(xié)議，它具有結(jié)構(gòu)簡單，使對等實體通過雙向握手認證的特點.CHAP:質(zhì)詢、握手協(xié)議使用三次握手方式周期性地認證被認證者的身份.Kerberos:為TCP/IP網(wǎng)絡(luò)設(shè)計的第三方鑒別協(xié)議.訪問控制：在保障授權(quán)用戶能獲取所需資源的同時拒絕非授權(quán)用戶的安全機制.自主訪問控制（DAC）：基于對主體或者主體所屬的主體組來識別和限制個客體的訪問，這種控制是自主的.訪問控制表（ALC）：基于訪問控制矩陣中列的自主訪問控制.訪問能力表（ACL）：最常用的基于行的自主訪問控制.基于角色的訪問控制：通過定義角色的權(quán)限為系統(tǒng)中的主體分配角色來實現(xiàn)訪問控制用戶以一定的角色訪問系統(tǒng)，不同的角色被賦予不同的訪問權(quán)本地安全授權(quán)機構(gòu)：根據(jù)安全賬號管理器中的數(shù)據(jù)處理本地或遠程用戶的登錄信息，并控制審計和日志DDOS：分布式拒絕服務(wù)攻擊通過征用多個站點集中擁塞受害者的網(wǎng)絡(luò)連接來放大DOS攻擊的效果特洛伊木馬：表面看是有用的軟件工具，而實際上卻在啟動后暗中安裝破壞性的軟件安全掃描技術(shù)：手工地或使用特定的軟件工具對系統(tǒng)脆弱點進行評估，尋找可能對系統(tǒng)造成損害的安全漏洞IDS：入侵檢測系統(tǒng)，負責(zé)入侵檢測的軟硬件組合.DIDS:分布式入侵檢測系統(tǒng)，基于主機和網(wǎng)絡(luò)監(jiān)視的方法集合在一起基于主機的入侵檢測：通過監(jiān)視與分析主機的審計記錄檢測入侵基于網(wǎng)絡(luò)的入侵：通過在共享網(wǎng)段上對通信數(shù)據(jù)進行偵聽采集分析可疑現(xiàn)象蜜罐：高級的網(wǎng)絡(luò)節(jié)點可以采用路由器把攻擊者引導(dǎo)到一個經(jīng)過特殊裝備的系統(tǒng)上，這種系統(tǒng)稱為蜜罐。防火墻：兩個網(wǎng)絡(luò)間執(zhí)行訪問控制策略的一個或一組系統(tǒng)堡壘主機：配置安全防范措施的網(wǎng)絡(luò)計算機IPSec：一個工業(yè)標(biāo)準網(wǎng)絡(luò)安全協(xié)議，為IP網(wǎng)絡(luò)通信提供透明的安全服務(wù)，保護TCP/IP通信免遭竊聽和篡改，有效抵御網(wǎng)絡(luò)攻擊，同時保持易用性IKE：在IPSec通信雙方之間建立起共享安全參數(shù)及驗證過的密鑰SSL：用于Web瀏覽器和服務(wù)器之間的身份認證和加密數(shù)據(jù)傳輸。工作在傳輸層PGP:采用堆對稱加密算法合非對稱加密算方相結(jié)合來對電子郵件提供安全服務(wù)的協(xié)議，通過加密、簽名和認證來保護內(nèi)容的完整、機密和抗抵賴性.SMIME:基于密碼學(xué)的諸多成果對MIMEinternet電子郵件格式的安全擴充，S/MIME與PKI結(jié)合，采用了X.509證書即PKCS標(biāo)識.SET：安全電子交易協(xié)議：基于信用卡網(wǎng)上電子商務(wù)交易的安全標(biāo)準，主要解決用戶、商家、銀行之間通過信用卡支付的交易安全而設(shè)計.1.安全的密碼系統(tǒng)條件：破譯該密碼的成本超過被加密信息的價值；破譯時間超過被加密信息的生命周期2.DES的加密過程：DES的分組長度和密鑰長度都為64比特；首先對輸入的64比特明文分組進行初始置換；然后分成左右等長的32比特；在密鑰控制下進行16輪迭代變換；再交換左右等長的32比特數(shù)據(jù)；接著用初始逆置換進行置換，最后輸入64比特密文分組。4.消息認證的散列函數(shù)的性質(zhì)：H能用于任何大小的數(shù)據(jù)分組，都能產(chǎn)生定長的輸出；對于任何給定的x，H(x)要相對易于計算；對任何給定的散列碼h，尋找x使得H(x)=h在計算上不可行；對任何給定的分組x，尋找不等于x的y，使得H(x)=H(y)在計算機上不可行；尋找任何的(x,y)，使得H(x)=H(y)在計算機上不可行.5.數(shù)字簽名基本條件：簽名者不能否認自己的簽名；接收者能夠驗證簽名，而其他任何人都不能偽造簽名；當(dāng)關(guān)于簽名的真?zhèn)伟l(fā)生爭執(zhí)時，存在一個仲裁機構(gòu)或第三方能夠解決爭執(zhí).6.數(shù)字簽名手寫區(qū)別：簽名：手寫是被簽文件的物理組成部分，數(shù)字是將簽名鏈接到被簽消息上；驗證：手寫是通過與真實簽名進行驗證，數(shù)字是利用驗證算法來驗證；數(shù)字簽名消息的復(fù)制品與本身是一樣的，手寫簽名的復(fù)制品與原品不同7.數(shù)字簽名的需求：1.依賴性：數(shù)字簽名必須依賴于要簽名消息的比特模式；2.惟一性：數(shù)字簽名必須與使用對簽名者來說是唯一的信息，以防偽造和否認3.可驗性：數(shù)字簽名必須是在算法上可驗證4.抗偽造：偽造一個數(shù)字簽名在計算機上不可行5.可用性：數(shù)字簽名產(chǎn)生、識別、和驗證必須相對簡單，并且可以將其備份在存儲設(shè)備上8.RSA簽名機制的實現(xiàn):將要簽名的消息作為一個散列函數(shù)的輸入，產(chǎn)生一個定長的散列碼。使用簽名者的私有秘鑰對這個散列碼進行加密就形成了簽名，然后將簽名附在消息后，驗證者根據(jù)消息產(chǎn)生一個散列碼，同時使用簽名者的公開秘鑰對簽名進行解密。如果前后散列碼匹配，則有效。9.不同類型的密鑰所起的作用1)基本密鑰：由用戶選定或由系統(tǒng)分配，可在較長時間內(nèi)由一對用戶專門使用的秘密密鑰2)會話密鑰：兩個通信終端用戶在一次通話或交換數(shù)據(jù)時所用的密鑰3)密鑰加密密鑰：用于對傳送的會話或文件密鑰進行加密時采用的密鑰4)主機主密鑰：對密鑰加密密鑰進行加密的密鑰存于主機處理器中10.PKI的主要組成部分及其作用1)CA：負責(zé)頒發(fā)、管理和吊銷最終用戶的證書，認證用戶并在分發(fā)證書之前對證書信息簽名2)RA：充當(dāng)CA與最終用戶之間的橋梁，分擔(dān)CA的部分任務(wù)，協(xié)助CA完成證書處理服務(wù)3)證書庫：用于證書存放，拱用戶查詢其他用戶的證書和公鑰4)密鑰備份及恢復(fù)系統(tǒng)：提供脫密密鑰的備份和恢復(fù)的機制5)證書作廢處理系統(tǒng)：能在簽署有效期內(nèi)做作廢的機制6)PKI應(yīng)用接口系統(tǒng)：保證建立的網(wǎng)絡(luò)環(huán)境的可信性，降低維護和管理成本11.在公鑰證書發(fā)放以后，證書的管理1)證書的檢索2)證書的驗證3)證書取消12.X.509v3:1）版本號：指明X.509證書的版本號2）證書序列號：用來惟一表明證書的編號，同一CA頒發(fā)的證書其序列號不重復(fù)；3）簽名算法標(biāo)識符：用來標(biāo)識簽署證書所用的數(shù)字簽名算法和相關(guān)參數(shù)；4）頒發(fā)者名稱：頒發(fā)證書的CA機構(gòu)名稱；5）有效期：證書的有效期限，超過此期限后證書失效；6）主體名稱：證書擁有者的主體名稱；7）主體公鑰信息：包括主體的公鑰及所用的加密算法；8）頒發(fā)者的惟一標(biāo)識符：頒發(fā)者的ID，區(qū)別于其他頒發(fā)者；9）主體惟一標(biāo)識符：區(qū)別于其他主體的標(biāo)識名稱。10）擴展域11）簽名13.公鑰分配1）公開發(fā)布：用戶將自己的公鑰發(fā)給所有其它用戶或向某一團體廣播2）公鑰動態(tài)目錄：指建立一個公用的公鑰動態(tài)目錄表，表的建立和維護以及公鑰的分布由某個公鑰管理機構(gòu)承擔(dān)，每個用戶都可靠的知道管理機構(gòu)的公鑰。3）公鑰證書：這是一種安全有效的公鑰分配方法，用戶通過公鑰證書相互之間交換自己的公鑰而無需與公鑰管理機構(gòu)聯(lián)系。14:身份認證物理基礎(chǔ)：1）用戶所知道的(密碼口令)2）用戶所擁有的(身份證、護照)3）用戶的特征(指紋、DNA).15.防止重放攻擊2種方式:1）時間戳A接收到一個新消息當(dāng)且僅當(dāng)該消息包含一個時間戳，并且該時間戳在A看來足夠接近A所知道的當(dāng)前時間。提問、應(yīng)答方式：A期望從B獲得一個新消息，首先發(fā)給B一個臨時值，并要求后續(xù)從B收到的消息中都包含這個臨時值或是由這個臨時值進行某種事先約定的計算后的正確結(jié)果。這個臨時值往往是一個隨機數(shù)成為現(xiàn)時.16.單向認證:1)基于對稱密碼.a.A->B:ID(A)||N1;b.B->A:Ek(ab)(Ks||ID(B)||f(N1)||N2);c:A->B:Eks[f(N2)].17.CHAP認證過程：1）建立鏈路后，認證者發(fā)給被認證者一個具有唯一標(biāo)識符的challenge.2)被認證者以challenge做給一個單向hash寒素的輸入計算出response,發(fā)回給然證者，消息中還包括了challenge的標(biāo)識符。3）認證著比較收到的response和自己計算的結(jié)果是否一致，然后發(fā)送一個成功或者失敗的消息給認證者。18：PAP認證存在的問題：1）PAP之認證對等實體2)口令在電路中以明文傳輸3）沒有防止重放攻擊或者反復(fù)的攻擊.19.訪問控制表:S0.re/s1.r/s2.e/s3.rew,分別代表S0有讀和執(zhí)行的權(quán)力，s1有讀的s2有執(zhí)行的s3有讀、寫和執(zhí)行的權(quán)力20.訪問能力表：si(O0.orew,O1.r…On.rw)分別表示主體Si等訪問能力o為owner，擁有讀寫執(zhí)行的權(quán)力21.Linux系統(tǒng)的文件權(quán)限表示:1:d(目錄),b(塊系統(tǒng)設(shè)備),c(字符設(shè)備),.(普通文件)2-4:所有者的r,w,x5-7:所有者所在組的r,w,x8-10:其他用戶的r,w,x22.RCBA在銀行中的應(yīng)用：允許出納員修改顧客的賬號記錄，并允許出納員詢問所有賬號的注冊項；允許分行管理者修改顧客的賬號記錄，并允許分行管理員查詢所有賬號的注冊項，還可以創(chuàng)建和取消賬號；允許一個顧客詢問自己的注冊項，但不能詢問其它任何的注冊項；允許系統(tǒng)管理員詢問系統(tǒng)注冊項和開關(guān)系統(tǒng)，但不允許讀或修改顧客的賬號信息；允許審計員閱讀系統(tǒng)中所有的信息，但不允許修改任何信息。23.WINNT中的審計規(guī)則：登陸及注銷；創(chuàng)建、修改、刪除用戶；文件創(chuàng)建修改和刪除；安全規(guī)則修改；24.Unix日志的類型和作用:連接時間日志登陸系統(tǒng)記錄；進程統(tǒng)計日志進程終止時寫一條記錄；錯誤日志報告值得注意的事件；25.入侵、攻擊計算機過程：窺探設(shè)施：了解目標(biāo)系統(tǒng)的環(huán)境攻擊系統(tǒng)：根據(jù)窺探設(shè)施所得到的信息對系統(tǒng)發(fā)起攻擊掩蓋蹤跡：26.攻擊類型：1）口令攻擊2）拒絕服務(wù)攻擊3）利用性攻擊4）信息收集型攻擊5）假消息攻擊27.端口掃描的方法和原理:1）全開掃描：直接同目標(biāo)主機通過一次完整的3次握手過程，建立TCP連接來檢查目標(biāo)主機的相應(yīng)端口是否打開2）半開掃描：客戶端在3次握手尚未完成就單方面終止連接3）秘密掃描：用來描述避開IDS和日志記錄的掃描28.系統(tǒng)類型檢測的常用技術(shù):1)系統(tǒng)旗標(biāo)：利用服務(wù)器給出的信息2）利用DNS信息：通過DNS記錄泄露3）利用TCP/IP堆棧：堆棧指紋是操作系統(tǒng)在實現(xiàn)TCP/IP時的一些特有的實現(xiàn)特征.29:DOS的危害及其防范的困難性：危害：使得目標(biāo)系統(tǒng)無法提供正常的服務(wù)困難性：現(xiàn)實情況中破壞一個網(wǎng)絡(luò)或系統(tǒng)的運作往往比獲得訪問控制權(quán)容易得多，很多網(wǎng)際互連協(xié)議是按照在彼此開放和信任的群體中使用和設(shè)計的，在現(xiàn)實環(huán)境中表現(xiàn)出這種理念的內(nèi)在缺陷，此外，許多操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)協(xié)議棧也存在缺陷，從而削弱了抵抗DOS的能力.DOS可分為：寬帶耗盡；資源衰竭；編程缺陷；路由和DNS攻擊30.入侵檢測的模型：1）試驗?zāi)Ｐ停喝糇兞縓出現(xiàn)次數(shù)超過某個預(yù)定的值，就有可能出現(xiàn)異常；2）平均值和標(biāo)準差模型：根據(jù)已觀測到的隨機變量X的樣值計算出平均值和標(biāo)準方差來判斷新的值是否在可信區(qū)間內(nèi).3).多變量模型：基于兩個或多個隨機變量的相關(guān)性計算.4).馬爾代夫過程模型：將離散的事件看作一個狀態(tài)變量，然有用狀態(tài)遷移矩陣刻畫狀態(tài)之間的遷移頻度5）時序模式：通過間隔計時器和資源計數(shù)器兩種類型的隨機變量來描述入侵行為。31.設(shè)計入侵響應(yīng)機制需要因素：1）系統(tǒng)用戶：入侵檢測系統(tǒng)用戶可分為網(wǎng)絡(luò)安全專家、管理員、系統(tǒng)管理員、安全調(diào)查員2）造作運行環(huán)境：入侵檢測系統(tǒng)提供的信息形式依賴其運行環(huán)境3）系統(tǒng)目標(biāo)：為用戶提供關(guān)鍵數(shù)據(jù)和業(yè)務(wù)的系統(tǒng)，需要部分地提供主動響應(yīng)機制4）規(guī)則或法令的需求：在某些軍事環(huán)境里，允許采取主動防御甚至攻擊技術(shù)來對付入侵行為.32.入侵檢測自動響應(yīng)的方法及其原理:1）壓制調(diào)速：檢測到端口掃描或SYNFlood行為時就開始增加延時。2）SYN|ACK響應(yīng)：當(dāng)入侵檢測系統(tǒng)檢測到向某些端口發(fā)送的TCPSYN包后，用一個偽造的SYN|ACK進行回答。這樣攻擊者就以為找到了很多潛在的攻擊目標(biāo)3）RESETs：如果發(fā)現(xiàn)一個TCP連接被建立，而它連接的是要保護的重要東西，就偽造一個RESET并將其發(fā)送給發(fā)起連接的主機，使連接斷開33.防火墻三個特點:1)內(nèi)部和外部之間的所有網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過防火墻2)只有符合安全政策的數(shù)據(jù)流才能通過防火墻3）防火墻自身應(yīng)對滲透免疫34.防火墻的主要作用1.防火墻對企業(yè)內(nèi)部網(wǎng)實現(xiàn)了集中的安全管理，可以強化網(wǎng)絡(luò)安全策略，比分散的主機管理更經(jīng)濟易行2．防火墻能防止非授權(quán)用戶進入內(nèi)部網(wǎng)絡(luò)3．防火墻可以方便地監(jiān)視網(wǎng)絡(luò)的安全性并報警4．可以作為部署網(wǎng)絡(luò)地址轉(zhuǎn)換的地點，利用NAT技術(shù)，可以緩解地址空間的短缺，隱藏內(nèi)部網(wǎng)的結(jié)構(gòu)35.防火墻產(chǎn)品發(fā)展的四個階段1）基于路由器的防火墻2）用戶化的防火墻3）建立在通用操作系統(tǒng)上的防火墻4）具有安全操作系統(tǒng)的防火墻36.防火墻存在的不足之處1）限制或關(guān)閉了一些有用但存在安全缺陷的網(wǎng)絡(luò)服務(wù)，給用戶帶來使用的不便2）目前防火墻對于來自網(wǎng)絡(luò)內(nèi)部的攻擊還無能為力3）防火墻不能防范不經(jīng)過防火墻的攻擊4）防火墻對用戶不完全透明，可能帶來傳輸延遲、瓶頸及單點失效5）防火墻也不能完全防止受病毒感染的文件或軟件的傳輸6）防火墻不能有效地防范數(shù)據(jù)驅(qū)動式攻擊7）防火墻不能防范因特網(wǎng)上不斷出現(xiàn)的新的威脅和攻擊37.靜態(tài)包防火墻規(guī)則根據(jù)數(shù)據(jù)包的源地址目的地址所用端口號、數(shù)據(jù)的對話協(xié)議及數(shù)據(jù)包頭中的各種標(biāo)志位等因素來確定是否允許該數(shù)據(jù)包通過38．屏蔽主機防火墻配置：堡壘主機安裝在內(nèi)部網(wǎng)絡(luò)上，通常在路由器上設(shè)立過濾規(guī)則，并使用這個堡壘主機成為從外部網(wǎng)絡(luò)唯一可以到達的主機，確保了內(nèi)部網(wǎng)絡(luò)不首未被授權(quán)的外部用戶的攻擊.39.屏蔽主網(wǎng)防火墻配置：采用了兩個包過濾路由器和一個堡壘主機，在內(nèi)、外網(wǎng)絡(luò)之間建立了一個被隔離的子網(wǎng)，定義為非軍事區(qū)網(wǎng)絡(luò)，網(wǎng)絡(luò)管理員將堡壘主機、web服務(wù)器、mail服務(wù)器等公共服務(wù)器放在非軍事區(qū)網(wǎng)絡(luò)中。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問屏蔽子網(wǎng)，但禁止穿過屏蔽子網(wǎng)通信。39.SSL協(xié)議對明文處理步驟：1）上層消息的數(shù)據(jù)被分片成214字節(jié)大小的塊，或者更小2）compression(可選)必須是無損壓縮，如果數(shù)據(jù)增加的話，則增加部分的長度不超過1024字節(jié)3）計算消息認證碼（MAC）4）encryption采用CBC，算法由cipherspec指定數(shù)據(jù)長度不超過214+2048字節(jié)40.SSL協(xié)議的四個子協(xié)議及其作用:1）記錄協(xié)議：建立在可靠的傳輸協(xié)議；提供連接安全性；用來封裝高層的協(xié)議2）握手協(xié)議：客戶和服務(wù)器之間相互認證；協(xié)商加密算法和密鑰；提供連接安全性3）修改密文規(guī)約協(xié)議：使得掛起狀態(tài)被復(fù)制到當(dāng)前狀態(tài)，改變鏈接將要使用的密文族4）告警協(xié)議：將SSL有關(guān)的警告?zhèn)魉徒o對方實體41.實現(xiàn)Web安全運行的防護措施:1）定期掃描加固2）安裝web服務(wù)器保護系統(tǒng)3）采用完善的認證和加密措施4）設(shè)立代理服務(wù)器5）謹慎設(shè)置瀏覽器安全選項42.確保Email安全的常用措施:1）身份認證2）加密、簽名3）協(xié)議過濾4）設(shè)立防火墻5）安裝郵件病毒過濾系統(tǒng)43.PGP如何來保護私有密鑰的安全性1）用戶選擇一個口令短語用于加密私鑰2）當(dāng)系統(tǒng)用RSA生成新公私鑰時，要求輸入口令，使用SHA-1對口令生成160位散列碼，然