信息安全概论重要考点

第一章
1.信息安全的基本属性是：
（1）保密性防止未授权访问
（2）完整性数据完整，未被篡改
（3）可用性合法用户保证数据正常使用
（4）真是性实体身份或信息及来源真实性
（5）可控性实施授权，审计与控制
（6）非否认性保障操作者不能否认其行为或处理结果。

第二章
1.密码技术一直以来都是信息安全的核心部分，并形成了以香农理论为基础，集合了数学和计算复杂度等理论的密码学理论体系。

2.现代密码学都遵从Kerckhoff假设。

3.扩散和混淆反应了分组密码应该具有的根本特征，它们是现代分组密码设计的基本方法。

4.迭代分组密码中的轮函数也有常用的结构，如Feistel网络结构，及代替—置换网络结构（简称SP网络结构）其中DES采用Feistel网络结构，AES算法采用SP网络结构。

第三章
1.公开密钥算法是非对称的，它有连个成对的密钥，一个是公开的公钥（PK）通常用于加密，另一个不同于公钥，保密的私钥（SK）。

2.公开密钥是Diffie和Hellman提出的。

3.公开加密模型是
欧拉定理是RAS算法的理论基础。

RAS算法的应用分为两个阶段：一是系统初始化阶段，二是加密/解密阶段。

（1）RAS算法初始化：
、系统产生两个大素数p和q，p和q是保密的
计算并公开N=p.q。

计算欧拉函数φ（N）=(p-1)(q-1)，φ（N）是保密的。

系统选择e作为公钥，即加密密钥，满足gcd（e, φ（N））=1
计算私钥d,求出解密密钥，满足ed=1modφ（N）,即e=d-1modφ（N）,私钥是保密的。

（2）RAS加密
将明文分块并数字化，每个数字化明文块的长度不大于【log2N】，然后对每个明文块一次进行下面的加密转换。

加密转换。

使用公钥e加密数字化的明文m，得到密文c=memodN
解密转换。

使用私钥d将密文c解密获得明文m，即m=c4modN。

信息加密合理的方法是联合使用对称加密算法和非对称加密算法。

具体做法是：首先随机产生加密信息的密钥K，然后使用公钥来加密对称加密算法的密钥K，再讲加密的对称密钥和使用K加密的信息传送给消息的接收方。

数字签名就是电子化签名方法，它主要是用于表示对某个电子文件或者消息的确认，就像签名是表示对文件的确认一样。

签名者使用自己的私钥对消息进行“加密”，，加密后的消息就可以视作是签名者对消息的确认，即签名。

其他的客户都知道签名者公钥，他们可以对“加密”的消息进行解密，这个解密过程就是签名的验证的过程
第四章
现代密码技术分为两类：对称密码技术和公钥密码技术。

对称密码技术适合加密数据，因为它的速度非常快，公钥密码技术可以做对称密码技术不能做的事情，它最擅长密钥的分配。

对称密钥和公钥密码技术的比较：
对称公钥
密钥同不同
速度快慢
密钥分配大问题没问题
伸缩性不好好
功能保密通讯密钥分配，数字签名和认证
密钥的层次结构：
（1）主密钥。

主密钥处于密钥层次结构的最高层，没有其他的密钥来保护主密钥，所以主密钥只有采用人工方式建立
（2）加密密钥的密钥。

在密钥传输协议中加密其他密钥，这种密钥保护其下层的密钥能够安全的传输。

（3）数据密钥。

处于密钥层次结构的底层，用于加密用户的数据，以使数据能够安全的传输。

密钥建立技术包括对称密钥，公钥和私钥的约定与传输。

最常见的密钥建立模型是点对点模型。

密钥建立过程如下：
（1）接收方在验证数据的完整性或者需要鉴别数据的来源是，需要得到发送方的公钥证书。

（2）发送方需要得到接收方的公钥证书以保证数据传输的保密性。

数字证书是通过第三方的可信任机构，把用户的公钥和用户的其他标识信息捆绑在一起，作为可信第三方出示的可信证明，从而达到传递信任的目的。

PKI系统包括PKI安全策略、软/硬件系统、注册机构RA、认证中心CA，证书发布系统和PKI应用等。

各部分功能是：
PKI安全策略。

它定义了组织机构在信息安全应用方面的指导方针，同时也定义了使用密码系统的方法和原则。

认证中心CA，它是PKI系统的核心组成部分，也是整个PKI系统的信任基础，它负责发放证书，规定证书的有效期，发布证书废除列表，必要时废除证书。

注册机构RA，它是用户和CA之间的一个接口，它获取并认证用户的真实身份，向CA提出证书请求，它主要完成收集用户的信息和确认用户身份的功能。

证书发放系统。

它负责证书的发放，证书的发布一般是通过目录服务器来实现的。

第五章
安全漏洞从大的类别可以分为配置、设计和实现3个方面的漏洞：配置漏洞，设计漏洞，实现漏洞。

缓冲区溢出漏洞是指：由于程序员编写程序的疏忽，使程序运行中可能出现允许向缓冲区写入超出其长度内容的情形，造成缓冲区的溢出。

通常有两类漏洞扫描技术：主机漏洞扫描和网络漏洞扫描。

第六章
入侵检测技术与其他技术有互补性，体现在：首先，它与包过滤防火墙不同，入侵检测技术主要通过分析报文中的内容决定报文是否是恶意的，其检测颗度较细。

另外，入侵检测技术通过监控网络流量或用户行为，发现可疑或恶意行为，这对漏洞扫描技术也是一种补充。

按照数据来源的不同，入侵检测系统可以分为基于主机的入侵检测、基于网络的入侵检测和基于应用的入侵检测。

防火墙的功能：
1。

允许系统管理员将防火墙设置在网络的一个关键点上，并定义统一的安全策略，用于防止非法用户进入内部网络。

2。

监视网络的安全性，对于符合报警条件的事件产生报警信息。

3。

部署网络地址变换NAT功能，利用NAT技术有限的IP地址动态或静态地与内部的IP 地址对应起来，从而缓解地址空间短缺的问题，
4。

审计和记录网络使用情况，系统管理员可疑由此收集数据，向管理部门提供网络连接的计费情况。

按照防火墙在网络协议栈进行过滤层次的不同，也可以把防火墙分为3类：
1。

包过滤防火墙。

2,电路级网关防火墙。

3.，应用层网管防火墙
第七章
应用层安全协议
S-HTTP是Web上使用的超文本传输协议HTTP的安全增强版本，它提供文件级安全机制。

加密电子邮件协议包括PEG，MOSS，S/MIME及PGP等
PGP协议提供电子邮件及文件的安全服务，它是一个机遇RSA公钥加密体系的邮件加密软件。

IPSec协议主要由互联网密钥交换协议IKE,认证头AH，安全封装载荷ESP3个子协议组成。

IPSec安全体系结构中各模块的功能如下：
1。

互联网密钥交换协议IKE，用于动态建立安全关联SA。

2。

认证头AH，它是插入IP数据包的一个协议头，为IP数据包提供数据完整性，数据源认证和抗重传攻击等功能。

3。

安全封装协议ESP。

它是插入IP数据包的一个协议头，为IP数据包提供数据机密性，数据完整性，数据源认证和抗重传攻击等功能。

4。

安全关联SA，它是发送者和接收者只见到一个简单的单向逻辑连接，是一组与连接相关的安全信息参数的集合，是安全协议AH和ESP执行的基础。

5。

认证/加密算法，它是IPSec实现数据传输的核心。

6。

解释域DOI，其他相关文档、批准的加密和认证算法标识及运行参数等。

在IPSec中，数据完整性，数据源认证和抗重传攻击这三项功能组合在一起称为认证，其中，数据完整性是通过消息认证码产生的校验值来保证的、数据源认证时通过在数据包中包含一个被认证的共享秘密或密钥来保证的；抗重传攻击是通过在AH中使用一个经认证的序列号来实现的。

第八章
无线局域网的技术标准：美国IEEE创建的高速无线标准IEEE802.11，家用射频HomeRF 标准和蓝牙标准Bluetooth。

在数据验证和保密上，IEEE802.11提供了两种认证服务，来增强网络的安全性：
1。

开放系统认证2。

共享密钥认证。

其中采用共享密钥认证的工作站必须执行WEP协议。

蓝牙采用口令/应答方式进行验证，采用流密码加密技术，便于硬件实现。

WPA进行了两项主要的安全扩展：第一，提供更强的数据加密机制；第二，提供用户认证功能。

显然，前者是为了弥补WEP的致命弱点，后者则是WEP不具备的功能。

鉴别服务单元ASU作为可信任和具有权威性的第三方，保证公钥体系中证书的合法性。

ASU 为每个客户颁发公钥数字证书，并为使用该证书的客户提供公钥合法性证明。

第九章
GSM系统采用多种方式对系统内部的用户进行识别，每个移动用户有三种识别号码：国际移动设备号IMEI、国际移动用户号IMSI和临时移动号TMSI。

国际移动设备号IMEI是识别移动用户设备的永久性号码。

三种号码的用途是：
当用户要使用移动设备是，必须首先向经营部门注册登记。

根据该用户的归属地区，经营部门为移动用户分配一个用户号IMSI，同时将该设备的号码IMEI和用户号IMSI分别存入移动通信网的设备识别号寄存器EIR和归属未知寄存器HLR中。

当移动用户首次启用或进入一个新的位置区时，当地的交换机会为其分配一个随机号作为临时用户号TMSI，并通过地面网络从该用户归属地区的HLR中取得其IMSI，然后把IMSI和TMSI一起保存在访问位置寄存器VLR中。

TMSI只在此位置区域内有效，且必须与位置区域标识好LAI 一起使用。

移动用户设备如果离开该区域进入一个新的区域，将会启动位置登记，从而可得到一个新的TMSI，分配TMSI时，通过无线信道传送需要的加密信道。

TMSI与用户间不存在永久性的对应关系，因此无法通过截取用户识别号了解某个特定移动用户的行踪，移动设备会把TMSI存入不挥发存储器中，电源关闭以后仍能保持TMSI. GSM系统的安全体系结构，包括三层：第一层认证层，第二层密钥产生层，第三层加/解密层。

3G系统中有4项主要安全技术：
1。

用户身份保密2。

认证3。

数据保密性4。

数据完整性
第十章
按照水印的特征划分，数字水印分为：
1。

鲁棒数字水印。

主要用于数字作品中标识著作权信息，如作者、作品序号等，它要求嵌入的水印能够经受各种常见的编辑处理和各种恶意攻击。

2。

易损数字水印。

主要用于真实性和完整性保护。

与鲁棒水印的要求相反，易损水印必须对信号的变动很敏感，人们根据易损水印的状态就可以判断数据是否被篡改过，好的易损水印算法还能判断数据被篡改的位置、幅度等信息。

按照水印隐藏的位置划分，数字水印分为：
1。

时域数字水印。

它是直接在信号空间上嵌入水印信息。

2。

变换域数字水印。

它是DCT变换域、FFT变换域、小波变换域等之上隐藏水印。

3。

时域和频域结合的数字水印。

它利用了小波变换的视频局部特征，也可以在数据的时空局部嵌入水印。

常用的频域水印算法有：
1。

离散余弦变换DCT算法2。

离散小波变换DWT算法3。

RST域算法。

第十一章
一般智能卡所使用的芯片类型分为通用芯片和专用芯片两大类。

智能卡所使用的专用芯片一般又分为存储器芯片和微处理器芯片两大类。

按照其组成结构，智能卡可以分为一般存储卡，加密存储卡，CPU卡和超级智能卡，CPU卡内部处理带有控制器、存储器，时序控制逻辑外，还带有算法单元和操作系统。

第十二章
信息安全工程应该是一个不断重复改进的过程，主要包括安全目标，风险分析，安全策略，方案设计，安全管理，和稽核检查这几个部分。

风险分析。

对企业网络中需要保护的资产，需达到的安全目标，面临的威胁，存在的漏洞等进行评估，获取安全风险的客观数据。

安全策略。

指导企业实施安全系统的行为规范，明确的表达出要达到的安全保护目的，确定保护内容和保护机制。

方案设计与实施。

参照风险评估结果，依据安全策略，进行安全方案设计，然后按照设计实施安全方案。

安全管理。

按照安全策略及安全方案进行日常的安全管理与维护，保持系统的正常，安全运作。

稽核检查。

定期对企业网络的安全记录，安全策略俯身，必要时开始新的风险分析，进入下一轮的生命周期。

操作系统存储和管理访问控制信息的方法主要有两种：一是利用组和角色来管理大量的用户，二是使用访问控制列表或证书来存储访问控制信息。

如有侵权请联系告知删除，感谢你们的配合！。