信息安全技术课程总结

第一章信息安全技术概述
到破坏、更改和泄露。

2.信息安全的属性：机密性完整性可用性可控性不可否认性
3.信息安全发展阶段：经历了通信保密（COMSEC）、信息安全(INFOSEC)、信息保障(IA)三个阶段
4.信息安全威胁：对信息资产引起不期望事件而造成损害的潜在可能性。

5.信息安全服务：认证服务、访问控制、数据机密性服务、数据完整性服务和不可否认服务等。

6.信息安全机制：加密机制、数据签名机制、访问控制机制、数据完整性机制、认证交换机制、通信业务填充机制、路由选择控制机制、公正机制等。

安全机制是信息安全服务的基础，必须具有安全的机制才可能有可靠的安全服务。

7.PDR技术体系：保护P、检测D、响应R、恢复R（PDRR）安全保护技术、安全检测技术和响应恢复技术组成一个完整的、动态的安全循环可缓解具有密切的联系，彼此照应、依赖各环节技术的持续正常运转来保障信息网络的安全。

8.纵深防御技术体系：三个层面——人、技术、操作。

信息保障技术层面分为四部分：本地计算机环境、飞地边界、网络与基础设施、支持性基础设施。

9.信息安全内容：防护、管理、基础设施。

第二章信息保密技术
1.保密系统一般模型（P25）保密系统有明文空间M、密文空间C、密钥空间K以及定义在K上的加密算法Ek和解密算法Dk 五部分组成
2.分组密码的实现DES——密钥长度分组长度AES——分组128 密钥128 192 256 10 12 14
优点：加解密速度快安全强度高密钥长度短
3.公钥密码的实现RSA
5.密钥管理技术：将更多更复杂的安全问题简化为对少量密钥数据的适当管理和安全保护，通过物理上的隔离或程序的控制，以达到最终的安全。

通常采用分级管理模式基本密钥会话密钥密钥加密密钥主密钥——
6.密钥分发：点到点单域间
KDC密钥分发中心
KTC密钥传递中心
步骤：密钥的产生、分发、注入与存储保护、使用与控制、撤销。

第三章
1.信息认证技术：是防止敌手对信息系统进行主动攻击的一种技术，目的有两个：一是验证信息的发送者是合法的，即实体认证。

二是验证消息的完整性，验证数据在传输和存储过程中是否被篡改、重放或延迟等。

2.数字签名：在公钥体制下，是通过一个单向函数对要传送的报文进行处理，得到用以核实报文是否发生变化的一个字母数字串。

是实现消息和实体身份绑定的一种手段，是实现认证的主要工具。

实现方法：哈希函数——可接受变长数据输入、并生成定长数据输出的函数。

1.用对称加密算法进行数字签名和验证
2.用非对称加密算法进行
证实客户的真实身份与其声称身份是否相同。

所知所有个人特征三种基本途径
唯一性稳定性可采集性不可复制性
5.一次性口令认证OTP，在登录过程中加入不确定因素，使用户每次登录系统时传送的口令都不同，以提高系统的安全性。

6.S/KEY协议哈希函数在S/KEY协议其中起着非常重要的作用。

基本原理是：在初始化阶段选取一个口令pw和一个数n，及一个哈希函数f，计算y=f<n>(pw),把y和n的值存到服务器上。

初次登录时，用户端计算y'=f<n-1>(pw)的值，服务器计算z=f(y')的值并同服务器上相应的值y进行比较。

如果z=y，则验证成功，然后用y'的值取代服务器上y的值，n的值减1，下次登录时永无端计算y''=f<n-2>(pw)，以此类推，直到n=1。

通过哈希链算法，用户每次登陆到服务器端的口令都不相同。

7.公钥基础设施PKI
理。

PKI必须具有认证机构（CA）、证书库、密钥备份和恢复系统、证书撤销处理系统、客户端证书处理系统的基本成分，构建PKI也见围绕着这五大系统来进行。

PKI是采用非对称密码算法原理和技术来实现并提供安全服务的、具有通用性的安全基础设施。

PKI是生成、管理、存储、分发和吊销基于公钥密码学的公钥证书所需要的硬件、软件、人员、策略和规程的总和。

PKI 证书是用密码的方法将用户的身份与它们的公开密钥绑在一起的电子文件，，这个文件要经过一个可信的第三方（CA）的数字签名。

证书是提供鉴别服务的基础。

PKI用户可以通过证书来验证一组公钥是属于一个特定用户的。

第四章
自主访问控制（DAC）：允许某个主体显式地指定其他主体对该主体所拥有的信息资源是否可以访问以及可执行的访问类型。

又被称为基于拥有着的访问控制。

缺点：资源管理比较分散；用户间的关系不能在系统中体现出来，不易管理；信息容易泄漏，无法抵御特洛伊木马的攻击。

由于信息在移动过程中其访问权限关系会被改变（灵活性高）, 无法保护系统的数据流，使信息安全性能降低。

强制访问控制（MAC）：“强加”给访问主体的，即系统强制主体服从访问控制政策。

优点：MA C通过信息的单向流动来防止信息的扩散，抵御特洛伊木马对系统保密性的攻击。

缺点：应用的领域比较窄，由于它使用不灵活，因此，一般只用于军方等具有明显等级观念的行业或领域；另外，MAC对授权的可管理性也考虑不足。

基于角色的访问控制（RBAC）：将访问权限与角色相联系，通过给用户分配合适的角色，让用户与访问权限相关联。

优点：便于授权管理；便于根据工作进行角色分层；便于赋予最小特权；便于职责分担，不同角色完成不同的任务；便于文件分级管理。

PKI与PMI授权管理基础设施（PMI）：一个生成、管理、存储及作废X.509属性证书的系统
PMI负责授权，PKI负责身份的认证主要区别：1.两者用途不同PKI证明用户是谁，而PMI证明这个用户有什么权限。

而且PMI 需要PKI为其提供身份认证。

2.两者所用的证书类型不同PKI使用公钥证书，而PMI使用属性证书3.工作模式不同，PKI可以单独工作，而PMI只是PKI的扩展，需要依赖相应的PKI来提供身份认证。

属性证书P139
第五章
信息安全管理的定义是通过维护信息的机密性、完整性、可用性来管理和保护信息资产的一项体制，是对信息安全保障进行指导、规范和管理的一系列活动和过程。

第三部分
虚拟专用网技术是一种采用加密、认证等安全机制，在公共网络基础设施上建立安全、独占、自治的逻辑网络技术。

2.IP-VPN的概念
IP-VPN就是指利用公共IP设施，将属于同一安全域的站点，通过隧道技术等手段，并采取加密，认证，访问控制等综合安全机制，构建安全,独占，自治的虚拟网络。

3.VPN的分类
按业务：远程，内联，外联。

按构建者：由服务提供商提供的VPN,由客户自行构建的V PN.
按隧道的边界：基于PE的VPN，基于CE的V PN。

按VPN隧道传输的信息在网络中的层次：第二层服务的V PN,第三层服务的V PN。

按VPN的应用模式分类之一：Internet VPN,Extranet VPN.
按VPN的应用模式分类之二：拨号V PN，路由VPN，专线V PN，局域网VPN。

按构建者采用的安全协议：IPsec VPN，MPLS V PN，L2TP VPN,SSL VPN。

按构建VPN的PE与CE的关系：覆盖模型VPN，对等模型V PN。

4.怎样保证安全互联
目前VPN主要采用四项技术来保证安全，这四项技术分别是隧道技术（Tunneling）、加解密技术（Encryption & Decryption）、密钥管理技术（Key Managem ent）、使用者与设备身份认证技术（Authentication）。

5.如何构建VPN。

1、在有固定ip地址的一端建立vpn服务器，可以是软件构建如windows的路由和远程访问，也可以是硬件设备，常见的是vpn 路由器，或路由器支持vpn功能的都可以。

2、至于客户端只要能连接互联网，创建个vpn拨号连接就可以了。

6.怎样封装VPN。

7.VPN几种协议。

IPsec，L2TP,GRE,IP-in-IP,MPLS.
8.IPsec体系机构。

IPsec主要由AH协议，ESP协议以及负责密钥管理的IKE协议组成。

9.防火墙的定义。

策略允许、拒绝、监视、记录进出网络的访问行为。

分类：包过滤防火墙、状态检测防火墙、应用代理防火墙。

体系结构：路由过滤型、双宿主机型、主机屏蔽型、子网屏蔽型。

10.防火墙的基本分类及其定义。

包过滤防火墙（静态，动态）：它在网络层截获网络数据包，根据防火墙的规则表，来检测攻击行为。

优点：过滤率较高、成本低、易于使用，缺点：基于IP地址的认证，不具备身份认证。

基于网络层，不具备检测应用层。

过滤规则表复杂，正确性低。

对动态或随机分配的端口服务，很难有效认证。

状态包检测防火墙：对新建的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，生成状态表。

对该连接的后续数据包，只要符合状态表，就可以通过。

优点：基于应用程序信息检验一个包的状态能力，记录通过的每个包的详细信息。

缺点：造成网络联机的迟滞，系统资源要求过高。

包过滤和包检测的共同缺点：对应用层数据难过率。

应用代理防火墙：应用代理网关防火墙彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。

所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的TCP 连接，应用层的协议会话过程必须符合代理的安全策略要求。

优点：隐藏信息，强大的日志审核，简化过滤规则。

缺点：价格高，速度慢，透明性差，失效时造成网络瘫痪。

11.防火墙技术的原理。

包过滤技术：在网络层对数据包进行分析、选择，选择的依据为系统内设置的过滤逻辑表，通过检查数据流的每一个数据包的源地址，目的地址，TCP/UDP源端口号，TCP/UD P目的端口号，协议以及数据包头中的各种标志位
代理技术：通常指应用层代理，其实际上是位于用户和服务器之间的一个程序，适用于特定的互联网服务。

网络地址转换（NA T）技术：又称为地址代理，用来实现私有网络地址与工友网络地址的转换，是防火墙最基本的功能。