江西自考信息安全复习资料

江西自考信息安全复习资料
1.信息安全是关注信息本身的安全，以防止偶然的或未授
权者对信息的恶意泄漏修改和破坏，从而导致信息的不可靠或无法处理等问题，使得我们在最大限度地利用信息为我们服务的同时而不招致损失或使损失最小。

2.三论（系统科学、信息科学）：信息论、控制论、系统
论。

信息是事务运动的状态和状态变化的方式。

3.信息的特征：①信息来源于物质，又不是物质本身；它
从物质的运动中产生出来，又可以脱离源物质而寄生于媒体之中，相对独立地存在②信息来源于精神世界③信息与能量息息相关，传输信息或处理信息总需要一定的能量来支持，而控制和利用能量总需要有信息来引导④信息是具体的并可以被人所感知、提取、识别，可以被传递、存储、变换、处理、显示、检索、复制和共享。

4.信息的性质：①普遍性②无限性③相对性④传递性⑤变
换性⑥有序性⑦动态性⑧转化性。

5.信息功能：①信息是一切生物进化的导向资源②信息是
知识的来源③信息是决策的依据④信息是控制的灵魂
⑤信息是思维的材料⑥信息是管理的基础，是一切系统
实现自组织的保证⑦信息是一种重要的社会资源。

6.信息的分类：①从信息的性质出发，信息可以分为语法
信息、语义信息和语用信息②从信息的过程出发，信息可以分为实在信息，先验信息和实得信息③从信息源的性质出发，信息可以分为语音信息图像信息文字信息数据信息计算信息等④从信息的载体性质出发，信息可以分为电子信息光学信息和生物信息等⑤从携带信息的信号的形式出发，信息可以分为连续信息、离散信息、半连续信息等。

7.描述信息的一般原则是：要抓住“事务的运动状态”和
“状态变换的方式”这两个基本的环节来描述。

8.信息技术是指在计算机和通信技术支持下，用以获取、
加工、存储、变换和传输文字、数值、图像、视频、音频以及语音信息，并且包括提供设备和信息服务两大方面的方法与设备的总称。

9.3C：Computer（计算机）、Communication（通信）和
Control（控制）。

即
IT= Computer + Communication + Contro l(计算机、通信、控制）
10.信息安全基本属性：①完整性②保密性③可用性④不可
否认性⑤可控性。

11.常见的安全威胁：①信息泄漏②破坏信息的完整性③拒
绝服务④非法使用⑤窃听⑥业务流分析⑦假冒⑧旁路控制⑨授权侵犯⑩特洛伊木马11陷阱门12抵赖13重放14计算机病毒15人员不慎16媒体废弃17物理侵入18窃取19业务欺骗。

12.应用系统安全威胁是指对于网络服务或用户业务系统
安全的威胁。

13.常见的网络攻击工具有安全扫描工具、监听工具、口令
破译工具等。

14.保护信息安全所采用的手段也称做安全机制。

15.一个完整的信息安全系统至少含3类措施：技术方面的
安全措施，管理方面的安全措施和相应的政策法律。

16.信息安全的技术措施主要有：①信息加密②数字签名③
数据完整性保护④身份鉴别⑤访问控制⑥数据备份和灾难恢复⑦网络控制技术⑧反病毒技术⑨安全审计⑩业务填充11）路由控制机制12）公正机制。

17.信息加密是指使有用的信息变为看上去似为无用的乱
码，使攻击者无法读懂信息的内容从而保护信息。

18.数字签名机制决定于两个过程：①签名过程②验证过
程。

19.三种验证主体身份的方法：①只有该主体了解的秘密，
如口令、密钥②主体携带的物品，如智能卡和令牌卡③只有该主体具有的独一无二的特征或能力，如指纹、声
音、视网膜或签字等。

20.业务填充是指在业务闲时发送无用的随机数据，增加攻
击者通过通信流量获得信息的困难。

21.路由控制机制的基本功能：①路由选择②路由连接③安
全策略。

22.公证机制：对两个或多个实体间进行通信的数据的性
能，如完整性、来源、时间和目的地等，有公证机构加以保证，这种保证由第三方公正者提供。

23.信息安全管理主要涉及以下几个方面：人事管理、设备
管理、场地管理、存储媒体管理、软件管理、网络管理、密码和密钥管理。

24.信息安全管理应遵循的原则为：规范原则、预防原则、
立足国内原则、选用成熟技术原则、重视实效原则、系统化原则、均衡防护原则、分权制衡原则、应急原则和灾难恢复原则。

25.网络安全防范的重点主要有两个方面：一是计算机病
毒，二是黑客犯罪。

26.网络安全的体系构建应该从以下几个方面进行：①物理
安全②网络安全③操作系统安全④数据安全⑤管理安全。

27.介绍几类简单的单表代换密码：①移位密码②替换密码
③仿射密码。

28.密码学中常见的两种体制：一种是对称密码体制，也叫
单钥密码体制，令一种是非对称密码体制，也叫公钥密码体制。

29.对称密码体制是指如果一个加密系统的加密密钥和解
密密钥相同，或者虽然不相同，但是是由其中的任意一个可以很容易地推导出零一个，即密钥是双方共享的，则该系统所采用的就是对称密码体制。

30.IDEA（密钥长度128bit）的设计理念归纳如下：1）TDEA
的设计主要考虑是针对以16bit为单位的处理器2）IDEA 使用了3种简单的基本操作，因此在执行时可以达到非常快的速度3）IDEA 采用3种非常简单的基本操作，经混合运算，以达到混淆的目的4）
IDEA的整体设计非常有规律。

31.一种攻击的复杂度可以分为两部分：数据复杂度和处理
复杂度。

32.DES（数据加密标准）使用56位密钥对64位的数据块
进行加密，并对64位数据块进行16轮编码。

33.几种常见的攻击方法：①强力攻击②差分密码分析③线
性密码分析。

34.分组密码攻击：唯密文攻击；已知明文攻击；选择明文
攻击；选择密文攻击；
35.强力攻击常见的有：穷举密钥搜索攻击、字典攻击、查
表攻击和时间-存储权衡攻击等。

36.按照对数据的操作模式分类，密码有两种：分组密码和
流密码。

37.流密码基本原理：通过随机数发生器产生性能优良的伪
随机序列，使用该序列加密信息流，得到密文序列。

38.公开密钥加密算法核心是运用单向陷门函数，比较安全
公开密钥算法有:RSA算法和其变种Rabin算法及EIGamal算法，还有椭圆曲线算法。

39.按照加解密的工作方式，流密码一般分为同步流密码和
自同步流密码两种。

40.几种常见的流密码算法：①A5算法②Rambutan算法③
RC4算法④SEAL。

41.信息隐藏主要分为隐写术和数字水印两个分支。

42.信息隐藏的特点：①不破坏载体的正常使用②载体具有
某种冗余性③载体具有某种相对的稳定量④具有很强的针对性。

43.信息隐藏的方法主要分为两类：空间域算法和变换域算
法。

44.信息隐藏攻击者的主要目的为：①检测隐藏信息的存在
性②估计隐藏信息的长度和提取隐藏信息③在不对隐藏形象作大的改动的前提下，删除或扰乱隐藏对象中的嵌入信息。

45.混淆和扩散是指导设计密码体系的两个基本原则。

46.DES、3DES、IDEA、AES属于单钥密码算法，RSA、Elgamal、
McEliece、ECC属于公钥密码算法。

47.电子信封技术是结合对称加密技术和非对称加密技术
的优点而产生的。

48.认证的目的有两个方面：一是验证信息的发送者是合法
的，而不是冒充的，即实体认证，包括信源、信宿的认证和识别；二是验证消息的完整性，验证数据在传输和存储过程中是否被篡改、重放或延迟等。

49.Hash函数也称为咋凑函数或散列函数，其输入为一可变
长度，返回一固定长度串，该串被称为输入x的Hash 值，还有形象的说法是数字指纹。

50.攻击Hash函数的典型方法有穷举攻击，生日攻击和中
途相遇攻击。

51.消息认证码（MAC），是与密钥相关的单向Hash函数，
也称为消息鉴别码或消息校验和。

52.数字签名的特性和功能：特性：①签名是可信的②签名
是不可伪造的③签名是不可复制的④签名的消息是不可改变的⑤签名是不可抵赖的。

功能：①发送者事后不能否认发送的报文签名②接受者能够核实发送者发送的报文签名、接受者不能伪造发送者的报文签名、接受者不能对发送者的报文进行部分篡改③网络中的某一用户不能冒充另一用户作为发送者或接受者。

53.有时需要对一个文件签字，而且不像让签名者知道文件
的内容，像这样的签名为盲签名。

54.目前常用的身份验证技术分为两大类：一类是基于密码
技术的各种电子ID身份认证技术，另一类是基于生物特征识别的认证技术。

55.基于密码技术的各种电子ID身份识别技术常用方式有
两种：一种是使用通行字（古代调兵的虎符）的方式；
另一种是使用持证的方式。

56.身份认证系统的分类：①条件安全认证系统与无条件安
全认证系统②有保密功能的认证系统与无保密功能的认证系统③有仲裁人认证系统与无仲裁人认证系统。

57.常见的身份认证技术：①基于口令的认证技术②双因子
身份认证技术③生物特征认证技术④基于零知识证明的识别技术。

58.挑战握手认证协议（CHAP）的认证过程：①当被认证对
象要求访问提供服务的系统时，认证方向被认证对象发送递增改变的标识符和一个挑战信息，即一段随机的数据②被认证对象向认证方发回一个响应，该响应数据由单向散列函数计算得出，单向散列函数的输入参数有本次认证的标识符、密钥和挑战信息构成③认证方将收到的响应与自己根据认证标识符、密钥和挑战信息计算出的散列函数值进行比较，若相符则认证通过，向被认证对象发送“成功”消息，否则发送“失败”消息，切断服务连接。

59.基于零知识证明的识别技术：你向别人证明你知道某种
事物或具有莫种东西，而且别人并不能通过你的证明知道这个事物或者这个东西，也就是不泄露你掌握的这些信息。

60.用于身份认证的生物识别技术只要有6种：①手写签名
识别技术②指纹识别技术③语音识别技术④视网膜图样识别技术
⑤虹膜图样识别技术⑥脸型识别。

61.利用硬件实现的认证方式有以下3种：①安全令牌②智
能卡③双向认证。

62.认证令牌的实现有两种具体的方式：时间令牌和挑战应
答式令牌。

63.在FreeBSD中设置Kerveros包括6个步骤：①建立初
始资料库②运行Kerberos③创建新的服务器文件④定位数据库⑤完整测试数据库⑥设置su权限。

64.公钥基础设施（PKI）及时是公开密钥密码学完整的、
标准化的、成熟的工程框架。

65.X.509证书包括下一些数据：①版本号②序列号③签名
算法标识④颁发者X.500名称⑤证书有效期⑥证书持有者X.500
名称⑦证书持有者公钥⑧证书颁发者唯一标识号⑨证书持有者唯一标识号⑩证书扩展部分。

66.X.509定义了证书的撤销方法：由CA周期性地发布一个
CRL，即证书撤销列表，里面列出了所有未到期却被撤销的证书，终端实体通过LDAP的方式下载查询CRL。

67.发布CRL的机制主要有以下几种：定期发布CRL的模式、
分时发布CRL的模式、分时分段的CRL的模式、Delta-CRL的发布模式。

68.一个完整的PKI系统对于数字证书操作通常包括：①证
书颁发②证书更新③证书废除④证书和CRL的公布⑤证书状态的在线查询⑥证书认证。

69.PKI（公钥基础设施）是采用非对称密码算法原理和技
术来实现并提供安全的服务、具有通用性的安全基础设施。

70.PKI主要包括4个部分：X.509格式的证书和证书撤销
列表CRL；CA/RA操作协议；CA管理协议；CA政策制定。

71.一个典型、完整、有效的PKI应用系统至少包括以下部
分：①认证机构②根CA③注册机构④证书目录⑤管理协议⑥操作协议⑦个人安全环境。

72.PKIX中定义的4个主要模型为用户、认证机构CA、注
册机构RA和证书存取库。

73.PKI的应用标准：安全的套接层协议SSL、传输层安全
协议TLS、安全的多用途互联网邮件扩展协议S/MIME和IP安全协议IPSEC。

74.基于X.509证书的信任模型主要有以下几种：①通用层
次结构②下属层次信任模型③网状模型混合信任模型
④桥CA模型⑤信任链模型。

75.交叉认证是一种把以前无关的CA连接在一起的有用机
制，从而使得在它们各自主体群体之间的安全成为可能。

76.PKI的服务分为核心服务.支撑服务。

77.PKI与PMI的区别主要是：PKI证明用户是谁，并将用
户的身份信息保存在用户的公钥证书中；而PMI证明这个用户有什么权限，什么属性，能干什么，并将用户的属性信息保存在授权证书中。

78.在PKI/PMI体系中存在两种证书：①公钥证书PKC②属
性证书AC。

79.基本的特权管理模型由以下4个实体组成：对象、特权
声称者特权验证者、SOA（中心业务节点）/AA（核心服务节点）即权威源点/属性权威。

80.密钥管理包括：①产生与所要求安全级别相称的合适密
钥②根据访问控制的要求，对于每个密钥决定哪个实体应该接受密钥的拷贝③用可靠办法使这些密钥对开放系统中的实体是可用的，即安全地将这些密钥分配给用户④某些密钥管理功能将在网络应用实现环境之外执行，包括用可靠手段对密钥进行物理的分配。

81.密钥管理的国际标准规范主要由3部分组成：①密钥管
理框架②采用对称密钥技术的机制③采用非对称密钥技术的机制。

82.一般将不同场合的密钥分为以下几类：①初始密钥②会
话密钥③密钥加密密钥④主密钥。

83.密钥的分配要解决两个问题：①密钥的自动分配机制，
自动分配密钥以提高系统的效率②应尽可能减少系统中驻留的密钥量。

84.根据密钥信息的交换方式，密钥分配可以分成3类：①
人工密钥分发②基于中心的密钥分发③基于认证的密钥分发。

85.计算机网络密钥分配方法：①只使用会话密钥②采用会
话和基本密钥③采用非对称密码体制的密钥分配。

86.密钥常用的注入方法有：键盘输入、软盘输入、专用密
钥注入设备输入。

87.介绍几种私钥存储方案：①用口令加密后存放在本地软
盘或硬盘中②存放在网络目录服务器中③智能卡存储
④USB Key存储。

88.导致弱密钥的产生有以下两种情形：①密钥产生设置的
缺陷和密钥空间的减少②人为选择的弱密钥。

89.密钥产生的制约条件有3个：随机性、密钥强度和密钥
空间。

90.噪声源输出随机数序列有以下常见的几种：①伪随机序
列②物理随机序列③准随机序列。

91.物理噪声源按照产生的方法不同有以下常见的几种：①
基于力学噪声源的密钥产生技术②基于电子学噪声源的密钥产生技术③基于混沌理论的密钥产生技术。

92.目前有3种基本的网络管理机构：集中式、层次式和分
布式结构。

93.密钥托管：提供强密码算法实现用户的保密通信，并使
得合法授权的法律执行机构利用密钥托管机构提供的信息，恢复出会话密钥从而对通信实施监听。

94.密钥托管的重要功能：①防抵赖②政府监听③密钥恢
复。

95.密钥托管加密系统按照功能的不同，逻辑上可分为五大
部分：①用户安全部分（USC）②密钥托管部分（KEC）
③政府监听部分（DRC）④法律授权部分（CAC）⑤外部
攻击部分（OAC）。

96.国际标准化组织（ISO）在网络安全标准ISO74980-2中
定义了5种层次型安全服务：身份认证服务、访问控制服务、数据保密服务、数据完整性服务和不可否认服务。

97.访问控制的模型：①自主访问控制模型②强制访问控制
模型③基于角色的访问控制模型④基于任务的访问控制模型⑤基于对象的访问控制模型⑥信息流模型。

98.访问控制是指主体依据某些控制策略或权限对客体本
身或是其资源进行的不同授权访问。

99.访问控制包括3个要素：主体、客体和控制策略;访问
控制包括3方面的内容：认证、控制策略实现和审计。

100.自主访问控制策略（DAC）：是根据自主访问控制策略建立的一种模型，
允许合法用户以用户或用户组的身份访问策略规定的客体，同时阻止非授权用户访问客体，某些用户还可以自主地把自己所拥有的客体的访问权限授予其他用户。

101.自主访问控制又称为任意访问控制。

允许合法用户以用户或者用户组的身份访问策略规定的客体，同时阻止非授权用户访问客体，某些用户可以自主把自己拥有的客体的访问权限授予其它用户。

102.强制访问控制模型（MAC）对访问主体和受控对象标识两个安全标记：一个是具有偏序关系的安全等级标记；
另一个是非等级分类标记。

103.根据偏序关系，主体对客体的访问主要有4种方式：①向下读②向上读③向下写④向上写。

104.基于角色的访问控制模型（RBAC）与强制访问控制模型（MAC）的区别在于：MAC是基于多级安全需求的，而RBAC则不是。

105.基于任务的访问控制模型（TBAC）由工作流、授权结构体、受托人集、许可集4部分组成。

106.信息流模型需要遵守的安全规则：在系统状态转换时，信息流只能从访问级别低的状态流向访问级别高状态。

107.安全策略的实施原则：①最小特权原则②最小泄漏原则
③多级安全策略。

108.基于身份的安全策略包括：①基于个人的策略②基于组的策略。

109.基于个人的策略：是指以用户为中心建立的一种策略，策略由一些列表组成，列表限定了针对特定的客体，哪些用户可以实现何种策略操作行为。

110.基于身份的安全策略有两种基本的实现方法：能力表和访问控制列表。

111.访问控制通常在技术实现上包括几部分：①接入访问控制②资源访问控制③网络端口和节点的访问控制。

112.计算机系统的安全级别：①D级别②C级别③B级别④A 级别。

113.信任模型有3种类型：①层次信任模型②对等信任模型
③网状信任模型。

114.审计跟踪可以实现多种安全相关目标：①个人职能②事件重建③入侵检测④故障分析。

115.审计的意义在于客体对其自身安全的监控，便于查漏补缺，追踪异常事件，从而达到威慑和追踪不法使用者的目的。

116.目前计算机网络发展的特点是：互联、高速、智能与更为广泛的应用。

117.黑客：指专门研究、发现计算机系统和网络漏洞的计算机爱好者，他们通常非常精通计算机硬件和软件知识，并有能力通过创新的方法剖析系统。

118.常见黑客攻击技术：目标系统探测、暴力猜解、利用已知漏洞攻击、特洛伊木马、拒绝服务器攻击、缓冲区溢出攻击、嗅探sniffier、无线网络安全、社会工程。

119.黑客技术是双刃剑，应该辩证地看待，他们的存在促进了网络的自我完善，可以使厂商和用户们更清醒地认识到我们这个网络还有许多的地方需要改善，对黑客技术的研究有利于网络安全。

120.常见的网络安全问题表现为：网站被黑、数据被改、数据被窃、秘密泄漏、越权浏览、非法删除、病毒侵害、系统故障等。

121.网络技术和攻击工具正在以下几个方面快速发展：①攻击技术手段在快速发展②安全漏洞被利用的速度越来越快③有组织的攻击越来越多④攻击的目的和目标在改变⑤攻击行为越来越隐蔽⑥攻击者的数量不断增加，破坏效果越来越大。

122.网络攻击模型将攻击过程划分为以下阶段：①攻击身份和位置隐藏②目标系统信息收集③弱点信心挖掘分析
④目标使用权限获取⑤攻击行为隐藏⑥攻击实施⑦开
辟后门⑧攻击痕迹清除。

123.网络攻击：指任何非授权而进入或试图进入他人计算机网络的行为。

124.常用的破解口令的方法有以下几种：①强制口令破解②获取口令文件。

125.强制口令破解：猜解简单口令；字典攻击；暴力猜解。

126.缓冲区溢出攻击的原理：通过缓冲区溢出来改变堆栈中存放的过程返回地址，从而改变整个程序的流程，使它转向任何攻击者想要去的地方，这就为攻击者提供了可乘之机。

127.DOS攻击，又称拒绝服务器攻击。

就是攻击者过多的占用系统资源直到系统繁忙、超载而无法处理正常的工作，甚至导致被攻击的主机系统崩溃。

目的是通过攻击使系统无法继续为合法的用户提供服务。

128.分布式拒绝服务攻击（DDoS）攻击的原理如图（由上到下：攻击者、受控者、受控攻击者、受害者），这个过程可以分为以下几个步骤：①探测扫描大量主机来寻找可以入侵的目标主机②入侵有安全漏洞的主机并且获取控制权③在每台入侵主机中安装攻击程序④利用已经入侵的主机继续扫描和入侵。

129.网络安全策略：①物理安全策略②访问控制策略③信息
安全策略④网络安全管理策略。

130.网络防范的方法：①实体层次防范对策②能量层次防范对策③信息层次防范对策④管理层次防御对策。

131.网络防范分为积极防范和消极防范。

积极安全防范的原理是：对正常的网络行为建立模型，把所有通过安全设备的网络数据拿来和保存在模型内的正常模式想匹配，如果不在这个正常范围以内，那么就认为是攻击行为，对其做出处理。

它的优点是可以检测到未知的入侵，但是入侵活动并不总是与异常活动相符合，因而就会出现漏检和虚报。

消极安全防范的原理是：对已经发现的攻击方式，经过专家分析后给出其特征进而来构建攻击特征集，然后在网络数据中寻找与之匹配的行为，从而起到发现或阻挡的作用。

它的缺点是使用被动安全防范体系，不能对未被发现的攻击方式做出反应。

132.为实现整体网络安全的工作目标，有两种流行的网络安全模型，P2DR模型和APPDRR模型。

133.APPDRR模型包含以下环节：网络安全=风险驱动（A）+制定安全策略（P）+系统防护（P）+实时检测（D）+实时响应（R）+
灾难恢复（R）。

134.操作系统攻击技术：①针对认证的攻击②基于漏洞的攻击③直接攻击④被动攻击⑤成功攻击后恶意软件的驻留。

135.操作系统安全机制：①身份认证机制②访问控制机制③安全审计机制。

136.Windows XP的安全机制：①安全模板②账户策略③审计策略④NTFS文件系统⑤注册表的权限菜单（6）用户权力指派（7）安全选项。

137.常见的利用软件缺陷对应用软件系统发起攻击的技术包括：①缓冲区溢出攻击②栈溢出攻击③堆溢出攻击④格式化串漏洞利用⑤shellcode技术。

138.可以被黑客利用的*printf（）系列函数的3个特性：
①参数个数不固定造成访问越界数据②利用%n格式写
入跳转地址③利用附加格式符控制跳转地址的值。

139.目前有几种基本的方法保护缓冲区免受溢出的攻击和影响：①规范代码写法，加强程序验证②通过操作系统使得缓冲区不可执行，从而阻止攻击者植入攻击代码③利用编译器的边界检查实现缓冲区的保护④在程序指针实效前进行完整性检查。

140.主要的数据库攻击手段包括以下几种：①弱口令入侵②SQL 注入攻击③利用数据库漏洞进行攻击。

141.数据库安全的基本技术：①数据库的完整性②存取控制机制③视图机制④数据库加密。

142.数据库完整性：实体完整性；域完整性；参照（引用）完整性；用户定义完整性；分布式数据完整性。

143.数据库完整性约束：非空约束；缺省值约束；唯一性约束；主键约束；外部键约束；规则约束。

144.数据备份和恢复技术：①高可用性系统②网络备份③SAN备份④归档和分级存储管理⑤数据容灾系统。

145.网络安全：指网络系统的硬件、软件及其系统中的数据受到保护，不会由于偶然的或者恶意的原因而遭到破坏、更改、泄露，系统能连续可靠的运行，网络服。