信息安全技术基础期末考点总结

关于QQ、网银、大师、360等讨论题，你们有谁整理出答案来了hmac是用hash函数做mac的技术就是分解n啊,不分解n比分解n更难大家都知道溢出现象一不小心就会发生，所以微软和VC做了预先准备，在临时变量之间设置了缓冲隔离带，万一有溢出，尽可能避免影响到别人，也尽早尽量发现,在debug模式下才有此举，在release模式下隔离带就没有饿了。

缓冲区：网银安全;1、Ssl加密，https2、输入银行账号和密码时的控件：特殊机制3、对抗口令监听的软件（硬件对抗不了)4、开通网银时的那句话来鉴别这不是钓鱼网5、手机交易吗6、U盾7、有没有可能网站不存口令8若是不可能，存了口令，认证期间不要在网上传，传的时候hash一下，传hash值，用随机数挑战，随机数和口令hash。

9、网银ssl加密后给服务器Qq登陆方面。

重新设你的密保，复杂一点的，QQ密码也复杂一点，QQ盗号从单纯的“偷窥”、“键盘钩子”木马、“屏幕快照”木马，到聊天记录监视和“网络钓鱼”输入账号密码的时候可能网吧里面就双黑色的眼睛正盯着你的键盘可能电脑里面还有你看不到的“眼睛”也监控着你的键盘，然后把获取的账号信息发送出去，而这类木马占了QQ盗号木马的99％以上。

将账号密码加密，QQ账号密码信息本地存放，无须注册。

不用注册的方式比较安全，不用担心信息在传递过程中出现问题在加密通道中输入QQ账号密码后自动删除所有临时信息注意电脑系统的清洁检测键盘钩子程序和木马以及打开的qq是不是按照目录下的qq.exe聊天时可以进行身份认证确定和你聊天的确实是那个人所以现在比较高级的就是用二维码登陆⊙.⊙手机确认一下使用qq交换文件的话，服务器会不会有记录？QQ加密外挂Pkcs5密钥分发：1，公钥CA2：对称密钥diffie hellman文件加密的惨剧：360加密：无纸化办公：单表统计规律：文件共享密码学和网络信息安全能帮助我们干什么通信安全偷听和保密分组网络的存储-转发假冒和抵赖无纸化支持办公和电子商务活动签章、支付安全和抵赖问题数字签名系统安全漏洞、病毒等问题系统访问安全体现恶意代码病毒、木马、攻击程序数据驱动黑客攻击破坏(漏洞,引诱) 未授权使用系统和软件漏洞NOS系统软件系统安全手段硬件、NOS、系统软件防火墙软件、硬件身份认证访问控制和授权kerberos审计/入侵检测LOG，IDS网络管理员关于签名手写签名数字签名纸版文件数字文件手写签名数字小文件同一页纸如何绑定必须的特性：不可伪造不可重用不可改变不可抵赖四种技术手段加密鉴别/数字签名身份消息来源和真实性防抵赖签名和验证完整性校验网络安全模型系统安全病毒、木马、漏洞、黑客、攻击等防火墙、信息过滤和入侵监测等传输安全加密防信息泄密鉴别和认证：消息来源、身份核认、防抵赖等完整性* 密码学加密算法、鉴别和签名算法、安全协议等* 安全系统互操作、部署、运行、监控等密码分析学目标：恢复密钥或明文唯密文攻击只有一些密文已知明文攻击知道一些过去的(明文及其密文)作参考和启发选择密文攻击有一台解密机（能解密选择的密文）选择明文攻击缴获有一台加密机（还能加密选择的明文）Feistel参数特性分组大小密钥大小循环次数一般仅几轮是不够的，得十几轮才好，如16轮子钥产生算法越复杂越好轮函数Round关键其他考虑速度（尤其是软件实现的速度）便于分析（使用简洁的结构）不是Feistel结构的AES、IDEA* 绝大数分组密码属于或类似Feistel结构多轮每轮有XOR（或能恢复的操作）轮函数DES参数Feistel体制分组密码分组大小64bit，密钥大小56bit，轮数16轮S-Boxes对DES的争议集中在密钥空间太小Key space从Lucifer的2^128降到DES的2^56DES Challenge III, 22 hours 15 minutesS盒S-BoxesS盒的设计准则？陷门？trapdoors by NSA (?)“Form surprise to suspicion”从惊喜(甚至能够抵御很后来才发现的各种攻击)到怀疑(n年前就如此厉害的NSA现在究竟有多厉害)DES总结DES算法对个人用户仍值得信赖DES算法本身没有大的缺陷对DES攻击方法复杂度为2^47DES使用的2^56密钥空间不够大，蛮力攻击目前已能够奏效(DES Challenges III)，所以关键场合不能使用了DES已经不再是推荐标准DES还是AES，或者RC4、RC5、IDEA、BFFree/OpenDES模块仍广泛存在保护和延续DES投资对DES的改造使用现存的软件硬件在强度上提高AES(=Rijndael)算法基本参数分组大小128bits，被分为4组×4字节处理密钥典型128、192、256bits非Feistel结构设计出发点安全，抵抗已知的攻击方法代码紧凑，速度够快，适合软硬件实现结构简单/简明/简对称算法的应用：7.1 密码功能的设置7.2 传输保密性↓7.3 密钥分配↓7.4 随机数↓7.a 案例分析随机数的用途用做会话密钥[需保密]用来产生公钥[需保密]如产生RSA密钥时素数p和q鉴别方案中用来避免重放攻击nonce [不需保密]每次使用不同的随机数很多挑战-应答协议里的挑战值[不需保密]salt in /etc/passwd etc [不需保密]* 安全不仅依赖于密钥的保密，也依赖于随机数的质量非对称算法密钥：K ＝（K d，K e）加密：E （P ，K e）＝C解密：D （C ，K d）＝P要求：从K e K dK d称为私钥，K e称为公钥公钥加密算法：加密（如果有人要给该用户A发送消息P）他先获得该用户的公开钥K e加密C = E（P，K e）传输解密D（C，K d）＝P除非拥有K d，象该用户A ，否则不能解开RSA算法参数建立：找素数选取两个512bit的随机素数p,q计算模n 和Euler 函数φ(n)n ＝pqφ(n)=(p-1)(q-1)找ed≡1 mod φ(n)选取数e ，用扩展Euclid 算法求数d发布发布(e,n) ，这是公钥k ed 保密，(d, n) 是私钥k dRSA加解密：加密明文分组m 做为整数须小于nc = m e mod n解密m = c d mod nRSA的正确性证明依据Euler 定理，在mod n 的含义下c d＝(m e)d＝m ed mod n＝m kφ(n)+1 mod n＝(mφ(n))k m1 mod n＝m mod n// 据Euler定理RSA计算实例：选p＝7，q＝17则n＝pq＝119且φ(n)＝(p-1)(q-1)＝6×16＝96取e＝5则d＝77 (5×77 ＝385 ＝4×96 ＋1≡1 mod 96) 公钥（5 ，119 ），私钥（77 ，119 ）加密m ＝19则c ＝m e mod n= 195 mod 119 = 66 mod 119解密c ＝66m ＝c d mod n = 6677mod 119 ＝19 mod 119程序功能：用p和q为素数，则n＝pq且f(n)=(p-1)(q-1)e为加密指数，则求得解密指数d满足ed=1 mod f(n) 加密明文x，则得密文y=x^e mod n解密密文y，则得解密明文x2＝y^d mod n注意：e必须和fn互素用法：pqex <p> <q> <e> <x>p 和q 都是素数e 和(p-1)(q-1) 互素x 小于pq模幂乘：97221 % 2003 （都在模2003意义下）97221＝97128+64+16+8+4+1＝97128 9764 9716 978 974 971依次计算971、972、974、978、9716 (97128)一直平方下去即可，并保持模2003如果某次方在1 式出现，则累乘累积开始是1* 乘法次数O(log2Y)攻击RSA枚举所有可能明文m，用e加密和c比较枚举所有可能的私钥d（已知明文）数学方法分解n=pq ，就可以计算φ(n) ，就可从e 求得d不分解n ，而直接求φ(n)，再求d不求φ(n) ，直接求d对RSA的理解形式简单，易于理解，研究深入支持广泛既能用来加密，可以用来加密回话密钥，又可签名它的对称性使它可以可以用来加/解密，同时也可以用来做签名/验证。

1.信息安全的发展过程：1.通信安全2.信息安全阶段3.信息保障2.信息安全的基本要素：1.保密性2.完整性3.可用性3.信息安全技术包括以下几种：1.物理安全技术2.系统安全技术3.网络安全技术4.应用安全技术5.数据加密技术6.认证授权技术7.访问控制技术8.审计跟踪技术9.防病毒技术10.灾难恢复和备份技术。

4.攻击的种类;1.主动攻击2.被动攻击5.攻击行为：1.预攻击预测2密码破解攻击3.缓冲区溢出攻击4.欺骗攻击5.DOS，DDOS攻击6.CGI攻击7.SQL注入攻击8.木马攻击9.网络蠕虫10.恶意软件6.密码体制的相同点和不同点：7.DES主要采用替换和移位方法加密56位密钥对64位16轮编码AES主要采用128密钥10轮编码8.防火墙的概念：一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。

9.10.防火墙的功能：1 防火墙是网络安全的屏障2 防火墙可以强化网络安全策略3 对网络存取和访问进行监控审计5 部署NAT4.防止内部信息泄露6 向客户发布信息7 支持VPN11.防火墙的分类:防火墙的存在形式：1.软件防火墙、硬件防火墙2.根据保护对象分为：单机防火墙、网络防火墙3.根据防范方式和侧重点的不同可分为四类:1.包过滤2.应用层代理3.电路层代理3.状态检查12.防火墙的体系结构：1.包过滤防火墙2.双重宿主主机防火墙3.屏蔽主机防火墙4.屏蔽子网防火墙5.其它的防火墙13.防火墙的硬件实现技术：(1). Intel X86架构工控(2). ASIC硬件加速技术(3). 网络处理器（NP）加速技术14.入侵监测系统（IDS)的作用和功能：A.监督并分析用户和系统的活动；B检查系统配置和漏洞；C检查关键系统和数据文件的完整性；D识别代表已知攻击的活动模式；E对反常行为模式的统计分析；F对操作系统的校验管理，判断是否有破坏安全的用户活动。

信息安全概论知识点一．名词解释1.信息安全：信息安全是指信息网络的硬件，软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏，更改，泄露，系统连续可靠地运行，信息服务不中断。

2.安全漏洞：指计算机系统具有的某种可能被入侵者恶意利用的属性，在计算机安全领域，安全漏洞通常又称作脆弱性。

3.缓冲区溢出：是一种非常普遍，非常危险的漏洞，在各种操作系统，应用软件中广泛存在。

利用缓冲区溢出攻击，可以导致系统运行失败，系统死机，重新启动等后果。

4.网络后门：是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。

5.计算机病毒：是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

6.恶意软件：俗称流氓软件，是对破坏系统正常运行的软件的总称。

恶意软件介于病毒软件和正规软件之间，同时具备正常功能（下载，媒体播放等）和恶意行为（弹广告，开后门），给用户带来实质危害。

7.防火墙：位于可行网络与不可信网络之间并对二者之间流动的数据包进行检查的一台，多台计算机或路由器。

8.入侵检测：是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析，从中发现网络或者系统中是否有违反安全策略的行为和遭遇袭击的迹象的一种机制。

9.异常检测技术：也称基于行为的检测，是指根据使用者的行为或资源使用情况来判断是否发生入侵，而不依赖于具体行为是否出现来检测。

10.误用检测技术：也称基于知识的检测，它是指运用已知攻击方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来检测。

11.VPN:是一种能够将物理上分布在不同地点的网络通过公用骨干网，尤其是Internet连接而成的逻辑上的虚拟子网。

12.对称加密算法：是用加密数据使用的密钥可以计算出用于解密数据的密钥。

13.非对称加密算法：是指用于加密的密钥和用于解密的密钥是不同的，而且从加密的密钥无法推导出解密的密钥。

4．信息安全就是只遭受病毒攻击，这种说法正确吗?不正确，信息安全是指信息系统（包括硬件、软件、数据、人、物理环境及其基础设施）受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行,信息服务不中断，最终实现业务连续性。

信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。

信息安全本身包括的范围很大，病毒攻击只是威胁信息安全的一部分原因,即使没有病毒攻击，信息还存在偶然泄露等潜在威胁,所以上述说法不正确。

5。

网络安全问题主要是由黑客攻击造成的，这种说法正确吗？不正确。

谈到信息安全或者是网络安全,很多人自然而然地联想到黑客，实际上，黑客只是实施网络攻击或导致信息安全事件的一类主体，很多信息安全事件并非由黑客（包括内部人员或还称不上黑客的人)所为，同时也包括自然环境等因素带来的安全事件。

补充：信息安全事件分类有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件设备设施故障、灾害性事件、其它事件3.信息系统的可靠性和可用性是一个概念吗？它们有什么区别?不是。

信息安全的可靠性：保证信息系统为合法用户提供稳定、正确的信息服务。

信息安全的可用性：保证信息与信息系统可被授权者在需要的时候能够访问和使用。

区别：可靠性强调提供服务的正确、稳定,可用性强调提供服务访问权、使用权。

5。

一个信息系统的可靠性可以从哪些方面度量？可以从抗毁性、生存性和有效性三个方面度量,提供的服务是否稳定以及稳定的程度,提供的服务是否正确。

7.为什么说信息安全防御应该是动态和可适应的？信息安全防御包括（1）对系统风险进行人工和自动分析,给出全面细致的风险评估。

（2）通过制订、评估、执行等步骤建立安全策略体系（3）在系统实施保护之后根据安全策略对信息系统实施监控和检测（4）对已知一个攻击（入侵）事件发生之后进行响应等操作保障信息安全必须能够适应安全需求、安全威胁以及安全环境的变化，没有一种技术可以完全消除信息系统及网络的安全隐患，系统的安全实际上是理想中的安全策略和实际执行之间的一个平衡。

信息安全概论期末复习提纲试从密码哈希函数、密钥交换、数字签名和证书等几方面论述加密技术在信息安全方面 的应用。

（1）密码哈希函数（2）密钥交换公钥加密体制可以在两个主体建立加密通道以前，安全地交换相应的对称会话密钥。

假设s 和R （发送者和接受者）想得到一个共享的对称密钥，假定S 和R 都已经拥有了用于普通加密算法 的公钥，S 和］R 的私钥、公钥分别为kpRiv s 、kpuB s 和kpRiv R 、kpuB R , S 任意选出一个对称密 «■» MM钥K 想把它安全地发给R 并且让R 确认该密钥是S 所发则S 可以发送E （kpuB_R ,E（k P Riv_s,K ）） 给R 。

（3）数字签名数字签名是扌旨用户用自己的私钥对原始数据的哈希摘要逬行加密所得的数据。

信息接收者使 用信息发送者的公钥对附在原始信息后的数字签名进行解密后获得哈希摘要，并通过与自己用收 到的原始数据产生的哈希哈希摘要对照，便可确信原始信息是否被篡改。

这样就保证了数据传输 的不可否认性。

（4 ）证书数字证书是各类实体（持卡人/个人、商户/企业、网关/银行等）在网上进行信息交流及商务活 动的身份证明，在电子交易的各个环节,交易的各方都需验证对方证书的有效性，从而解决相互 间的信任问题。

证书是一个经证书认证中心（CA ）数字签名的包含公开密钥拥有者信息以及公开 密钥的文件。

从证书的用途来看,数字证书可分为签名证书和加密证书。

签名证书主要用于对用户信息进 行签名，以保证信息的不可否认性;加密证书主要用于对用户传送信息进行加密，以保证信息的 真实性和完整性。

简单的说,数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的o 认证中心（CA ）的数字签名可以确保证书信息的真实性。

2、消息认证有哪些方式?试分析其实现过程。

3、常见的古典密码（替换密码、置换密码）以及现代密码的原理与实现过程。

1、信息安全的概念，信息安全理念的三个阶段（信息保护-5特性，信息保障-PDRR，综合应用-PDRR+管理）概念：信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。

三个阶段：（1）信息保护阶段：信息安全的基本目标应该是保护信息的机密性、完整性、可用性、可控性和不可抵赖性。

（2）信息综合保障阶段--PDRR模型（3）信息安全整体解决方案：在PDRR技术保障模型的前提下，综合信息安全管理措施，实施立体化的信息安全防护。

即整体解决方案＝PDRR模型+ 安全管理。

2、ISC2的五重保护体系，信息安全体系-三个方面，信息安全技术体系国际信息系统安全认证组织（International Information Systems Security Certification Consortium，简称ISC2）将信息安全划分为5重屏障共10大领域。

（1）．物理屏障层（2）．技术屏障层（3）．管理屏障层（4）．法律屏障层（5）．心理屏障层信息安全体系-三个方面：信息安全技术体系、信息安全组织机构体系、信息安全管理体系信息安全技术体系：划分为物理层安全、系统层安全、网络层安全、应用层安全和管理层安全等五个层次。

1）物理安全技术（物理层安全）。

该层次的安全包括通信线路的安全、物理设备的安全、机房的安全等。

2）系统安全技术（操作系统的安全性）。

该层次的安全问题来自网络内使用的操作系统的安全，主要表现在三个方面：一是操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制、系统漏洞等；二是对操作系统的安全配置问题；三是病毒对操作系统的威胁。

3）网络安全技术（网络层安全）。

主要体现在网络方面的安全性，包括网络层身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入的安全、域名系统的安全、路由系统的安全、入侵检测的手段、网络设施防病毒等。

信息安全事件分类：1.有害程序事件 2.网络攻击事件3.信息破坏事件 4.信息内容安全事件5. 设备设施故障6. 灾害性事件信息安全属性:保密性、完整性、鉴别性、不可否认性、可用性、可靠性、可追究性、可控性、保障。

信息安全保障包括人、政策（包括法律、法规、制度、管理）和技术三大要素。

内涵是实现上述保密性、鉴别性、完整性、可用性等各种安全属性。

保证信息、信息系统的安全性目的。

主动信息安全防御模型风险评估、制定策略、实施保护、实实时监测、及时响应、快速恢复。

风险评估：风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认、风险分析 信息安全技术原则：最小化原则、分权制衡原则、安全隔离原则 数据保密通信模型：对称密码体制分类:分组密码、流密码Feistel 网络结构及其特点：实现分组密码在设计中强调的两个思想“扩散”和“混乱”，扩散即将明文及密钥的影响尽可能迅速地散布到较多的输出密文中，典型的操作就是“置换”；混乱的目的在于使作用于明文的密钥和密文之间的关系复杂化。

特点：加密时将明文分组作长度相同的左右两部分，右半部分输入直接作为输出的左半部分，同时右半部分经过F 变换后得到的与左半部分异或操作后得到的作为输出的右半部分，每一轮都是这样操作，即一轮的输入经过上述变换后作为下一轮的输出。

公钥密码体制主要有两类：基于大整数因子分解问题的公钥密码体制,如RSA 体制、基于离散对数问题的公钥密码体制，如ElGmal 密码体制 基于公要密码的数字签名：数字签名可以实现3个安全属性：鉴别性：实体和消息的真实性认证、完整性、不可否认性 一个数字签名体制是一个七元组（明文M ，密文S ，私钥SK ，公钥PK ，密钥生成算法Gen ，签名算法Sig ，加密算法Ver ）带签名的加密封装：签名 验证加密 解密安全的三个层次：1.理论安全性：如果具有无限计算资源的密码分析者也无法破译一个密码系统，则称该密码系统是理论安全的。

1,从技术角度分析引起计算机信息系统安全问题的根本原因？答：计算机的外部安全：计算机信息在存储介质上的安全，有时也称为计算机内部安全；计算机信息在传输过程中的安全，也称计算机网络安全。

2，信息安全的CIA指的是什么？答：C是Confidenciality的缩写，意为隐私性，也称为机密性，指只有授权用户可以获取信息；I是Integrity 完整性，指信息在输入和传输的过程中，不被非法授权修改和破坏，保证数据的一致性；A是Availability可用性，指信息的可靠度。

3，计算机信息安全的定义是什么？答：计算机信息安全是研究在特定应用环境下，依据特定的安全策略，对信息及信息安全系统实施防护、检测和恢复的学科。

其研究内容包括三个方面：一，计算机外部安全；二，计算机信息在存储介质上的安全，有时也称为计算机内部安全；三，计算机信息在传输过程中的安全，也称计算机网络安全。

具有5个基本特性：机密性、完整性、不可否认性、鉴定性、可用性。

4，简述DES和AES的相同之处和不同之处。

答：相同点：1.DES和AES都是对称密码算法，分组密码算法；2.算法中都有迭代过程；3.加解密过程都有轮函数；4.密钥也要经过一定变换才参与算法的加密过程；5.算法的解密过程都与加密过程类似，只是迭代是逆序。

不同点：1．DES是典型的FESITEL结构，而AES不是；2．DES是对分组密码算法，分组长度为64比特；AES加密数据块大小最大是256bit；3．DES的密钥是64位，而AES密钥长度理论上没有上限，密钥长度的最少支持为128、192、256位；4．DES算法的变换是通过既定表的置换，AES主要基于排列和置换，排列是对数据进行安排，置换是将一个数据单元置换为另一个；5．DES唯一的非线性运算是S盒运算，AES是字节代换；6．DES算法一共有8个S盒，每个S盒都是4×16的矩阵，每一行包括所有16中4位二进制，S盒运算时输入是6位二进制数，输出为4位二进制，第一位与第六位二进制数代表S盒中的行，中间4位二进制对应的十进制数对应S盒中的列；AES算法只有S盒逆S盒，每个S盒都是16×16矩阵，每一行包括所有16种二位十六进制，运算时，S盒输入为二位十六进制，输出也为二位十六进制，输入的二位十六进制数，第一位代表S盒中的行，第二位代表S盒中的列。

信息安全知识点总结信息安全是指对信息和信息系统进行保护，以确保其保密性、完整性和可用性。

在当今信息化社会中，信息安全问题越来越受到重视。

信息安全知识涉及到多个方面，包括网络安全、数据安全、身份验证、密码学等。

本文将对信息安全的相关知识点进行总结，以便读者了解和掌握信息安全的基本概念和技术。

一、信息安全基本概念1.1 保密性保密性是指信息只能被授权的用户所访问，并且对未经授权的用户是不可见的。

保密性是信息安全的基本属性之一，它确保机密信息不会被未经授权的用户所获取。

1.2 完整性完整性是指信息在传输、存储和处理过程中不受到未经授权的篡改或损坏。

确保信息的完整性可以避免信息被篡改或者不完整的情况下被使用。

1.3 可用性可用性是指信息能够在需要的时候被授权的用户所访问和使用。

信息安全不仅仅是保护信息的保密性和完整性，还需确保信息处于可用状态，以满足用户的需求。

1.4 身份验证身份验证是确认用户身份的过程，可以通过用户名和密码、生物特征、数字证书等方式进行。

身份验证是确保用户是合法的和有权限的基本手段。

1.5 鉴别鉴别是确认信息来源的过程。

通过数字签名、数字证书等技术可以确认信息的真实性和来源。

1.6 不可抵赖性不可抵赖性是指用户不能否认自己的行为或者发送的信息。

通过数字签名和审计日志等手段可以确保用户的行为和信息是可以被追溯和审计的。

1.7 安全策略安全策略是组织内部规定的一系列信息安全管理的规范和规则，包括安全策略、安全管理、安全流程等，并且应该得到全员合理地遵守。

1.8 安全风险管理安全风险管理是指对可能的安全威胁和风险进行评估与处理的过程，包括风险评估、风险治理、风险转移等。

通过安全风险管理，组织可以有效地减少和管理安全风险。

二、网络安全知识点2.1 防火墙防火墙是一种网络安全设备，用于监控和控制网络流量，从而实现网络的访问控制和安全防护。

防火墙可以根据设定的安全策略来防止未经授权的访问和攻击。

信息安全技术复习资料第⼀章概述1.信息安全问题存在的原因（技术）：系统的开放性系统本⾝缺陷（技术；失误/意识）威胁和攻击（病毒⿊客⽹络战）根本原因：信息的价值、利益关系的存在，从根本上导致⼈们对信息的争夺和控制。

2. 信息安全（ISO）定义：在技术上和管理上为数据处理系统建⽴的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因⽽遭到破坏、更改和泄露。

3. 属性、机制、服务及其关系：安全本⾝是对信息系统⼀种属性的要求，信息系统通过安全服务来实现安全性，安全机制是提出满⾜服务的⽅法和措施。

基本安全服务（5）：认证服务、保密性服务、完整性服务、访问控制服务、不可否认服务。

基本安全机制（8）：加密、数字签名、访问控制、数据完整性、认证交换、业务流填充、路由控制、公证4.PDR技术（基于时间）基本原理：安全相关活动（攻击、防护、检测、响应）都要消耗时间。

⽤时间来衡量⼀个体系的安全性和安全能⼒。

P：系统为保护安全⽬标设置各种保护的时间或在该保护⽅式下，t⼊侵者攻击⽬标所花的时间；D：⼊侵者开始⼊侵到系统能检测到⼊侵⾏为的时间；tR：响应时间t保护技术：⾝份认证、访问控制、信息存储与传输安全、防病毒、防⽕墙、VPN等。

检测：漏洞扫描、⼊侵检测、安全审计响应：漏洞修补、报警、中⽌服务等5.信息保障技术框架（IATF）——从空间⾓度技术层⾯分为四部分：本地计算环境：本地⽤户计算环境包括服务器、客户以及其上所安装的应⽤程序；飞地边界（本地计算环境的外缘）:被包围的领⼟因为许多机构都与其控制范围之外的⽹络相连，所以需要⼀个保护层来保障进⼊该范围的信息不影响机构操作或资源并且离开该范围的信息是经过授权的;⽹络和基础设施:⽀撑性基础设施:信息技术环境也包括⽀撑性基础设施。

负责提供密钥与证书管理服务；能够对⼊侵和其它违规事件快速进⾏检测与响应，并能够⽀持操作环境的⼊侵检测、报告、分析、评估和响应等。

6.对于安全的理解：安全是⼀个动态实践的过程，原本安全的系统随着时间和环境的变化会不安全；安全具有整体性，既不是单⼀产品，也不是所有安全产品的堆叠。

期末复习提纲– 信息安全技术一、概述1. 安全基本目标有哪些？其含义分别是什么？答：保密性：对信息的访问和公开进行授权限制，包括保护个人隐私和秘密信息。

保密性缺失的定义是信息的非授权泄露；（数据保密性：确保隐私或者秘密信息不向非授权者泄露，也不被非授权者使用。

隐私性：确保个人能够控制或确定与其自身相关的哪些信息是可以被收集、被保存的、这些信息可以被谁公开以及向谁公开。

）完整性：防止对信息的不恰当修改或破坏，包括信息的不可否认性和真实性。

完整性缺失的定义是对信息的非授权修改和毁坏。

（数据完整性：确保信息和程序只能以特定和授权的方式进行改变。

系统完整性：确保系统以一种正常的方式来执行预定的功能，免于有意或者无意的非授权操纵。

）可用性：确保对信息的及时和可靠的访问和使用。

可用性的缺失是对信息和信息系统访问和使用的终端确保系统能工作迅速，对授权用户不能拒绝服务。

真实性、认证/鉴别（Authentication）认证就是确认实体是它所声明的。

适用于用户、进程、系统、信息等可追溯性、审计（Accountability）确保实体的行为可以唯一追溯到该实体不可否认性（Non-repudiation ）要求无论发送方还是接收方都不能抵赖所进行的传输关键目标（CIA）：保密性、完整性、可用性。

2. OSI安全框架定义了哪三个方面？其中安全攻击被分成哪两个类别，有什么特点？分别有哪些实例？答：（1）OSI安全框架定义了：安全攻击、安全机制、安全服务三方面。

安全攻击：任何危及信息系统安全的行为安全机制：用来检测、组织攻击或者从攻击状态恢复到正常状态的过程（实现该过程的设备）安全服务：加强数据处理系统和信息传输的安全性的一种处理过程或通信服务。

其目的在于利用一种或多种安全机制进行反击。

（2）安全攻击被分为主动攻击和被动攻击。

主动攻击：包括对数据进行修改和伪造数据流。

可分为四类：伪装、重播、消息修改、拒绝服务。

（2.1）伪装：指某实体假装别的实体，伪装攻击还包含其他形式的主动攻击。

信息安全概论总复习总结（5篇）第一篇：信息安全概论总复习总结信息安全概论总复习总结1、根据TCP/IP协议，共有0-65535个端口，可分为私有端口、注册端口、公认端口，其中公认端口的范围为：0——1023；私有端口的范围为：49152——65535；注册端口的范围为：1024——49151。

2、IPSec通过安全策略为用户提供一种描述安全需求的方法，允许用户使用安全策略来定义保护对象、安全措施以及密码算法等。

3.IPsec的加密算法只用于（ESP协议）。

4.计算机病毒的特性有（传染性、隐蔽性、潜伏性、破坏性）。

5.特洛伊木马的特性主要有（隐蔽性、欺骗性、特殊功能性）。

6.一个典型的PKI系统组成主要有（公钥证书、证书管理机构、证书管理系统、围绕证书服务的各种软硬件设备以及相应的法律基础）。

7.包过滤和代理是两种实现防火墙功能的常见技术，其中包过滤技术工作在（网络层）层，代理防火墙工作在（应用层）层。

8.包过滤防火墙的过滤依据主要有（ip源地址；ip目的地址；协议类型；tcp或udp的目的端口；tcp或udp的源端口；icmp消息类型；tcp报头的ack位。

）9.按照检测技术的不同，可以将入侵检测分为（异常检测系统和误用检测系统），按照数据来源，可以分为（基于主机检测系统和基于网络检测系统）。

10、信息安全模型P2DR模型中各个字母分别代表（策略、防护、检测、响应）。

11、常用的服务及其对应的端口号。

ftp：21〃22，http：80，telnet：23，snmp：161，SMTP:25，POP3：11012、运行保护中各保护环对应的内涵。

（安全操作系统的运行保护是基于一种保护环的等级结构实现的，这种保护环称为运行域，一般的系统设置了不少于3—4个环，理解可答可不答）R0：操作系统，它控制整个计算机系统的运行；R1：受限使用的系统应用环，如数据库管理系统或事务处理系统；R2：应用程序环，它控制计算机对应用程序的运行；R3：受限用户的应用环，他控制各种不同用户的应用环。

信息安全复习总结内容第一篇：信息安全复习总结内容复习总结第一章信息安全概述1.信息安全、网络安全的概念对信息的安全属性的理解；常见的安全威胁有哪些？信息安全保障（IA）发展历史信息保障（IA）的定义第二章我国信息安全法律法规和管理体制(了解)第三章密码学基础1.按照密钥的特点对密码算法的分类对称密码算法的优缺点；非对称密码算法的优缺点；2.基于公钥密码的加密过程；基于公钥密码的鉴别过程3.密钥管理中的主要阶段4.哈希函数和消息认证码；消息认证方案5．数字签名、数字信封的原理第四章密码学应用（PKI和VPN）（一）PKI1.PKI、CA定义2.SSL协议的工作流程3.SSL在网络购物、电子商务、电子政务、网上银行、网上证券等方面的应用（二）VPN1.VPN概述--为什么使用VPN--什么是VPN--VPN关键技术（隧道技术、密码技术、QoS技术）--VPN分类（Access VPN和网关-网关的VPN连接）2.IPSec 的组成和工作原理IPSec安全协议（ESP机制、传输模式与隧道模式的特点及优缺点；AH、传输模式与隧道模式的特点）3.VPN的安全性第五章访问控制与审计监控1.访问控制模型（1）自主访问控制模型（DAC Model）-----访问控制的实现机制：访问控制表、访问控制矩阵、访问控制能力列表、访问控制安全标签列表（2）强制访问控制模型（MAC Model）-----Bell-LaPadula模型、Biba模型（3）基于角色的访问控制模型2.安全审计的内容和意义3．防火墙的功能、防火墙的局限性4.防火墙的分类（个人防火墙、软件防火墙、一般硬件防火墙和纯硬件防火墙的特点、典型应用）防火墙的体系结构分组过滤路由器、双宿主机、屏蔽主机和屏蔽子网的特点、优缺点防火墙的实现技术数据包过滤、代理服务和状态检测技术的工作原理/过程、优缺点；第六章入侵检测技术1.IDS基本结构（事件产生器、事件分析器、事件数据库和响应单元）2.入侵检测技术（1）异常检测技术的原理和优缺点（2）误用/滥用检测技术的原理和优缺点）第七章病毒防护技术概述（计算机病毒定义、特征、传播途径和分类）恶意代码：特洛伊木马的攻击步骤、特征和行为、传播途径；计算机蠕虫的主要特点、组成 2 病毒原理计算机病毒的逻辑结构传统病毒、引导型和文件型病毒的工作流程宏病毒及其特点、机制、工作流程网络病毒的特点、种类、传播方式病毒技术（寄生技术、驻留技术、加密变形技术、隐藏技术）反病毒技术计算机病毒检测技术、计算机病毒的清除、计算机病毒的免疫、计算机病毒的预防第八章网络攻击与防范1.典型的网络攻击的一般流程2.常见的网络攻击的手段和攻击原理举例第九章Windows 操作系统安全和Web安全（做实验）第十章补充内容1.业务连续性计划（了解）数据备份技术（做实验）灾难恢复技术安全应急响应安全管理（了解）风险评估人员和机构管理信息安全管理标准信息系统安全方案设计方法（理解）（写报告：XXXXX信息系统安全方案设计）1）信息系统基本结构及资源分析，包括：网络结构、资源分析（硬件、软件和数据资源；服务与应用）2)安全风险分析（资源分析、脆弱性分析、威胁分析）3)安全需求分析方法：（1）按对信息的保护方式进行安全需求分析（2）按与风险的对抗方式进行安全需求分析4)系统安全体系(1)建立安全组织体系: 安全组织建立原则、安全组织结构、安全组织职责（2）建立安全管理体系: 法律管理、制度管理、培训管理5)安全解决方案（1）物理安全和运行安全（2）网络规划与子网划分（网络拓扑）（3）网络隔离与访问控制（4）操作系统安全增强（5）应用系统安全（6）重点主机防护（7）连接与传输安全（8）安全综合管理与控制/////////////////////////////////////////////////////////////////// /////////报告格式：XXXXX信息系统安全方案设计一、XXXXX安全背景与现状1.某单位组织机构和信息系统简介包括哪些部门，具有什么职能，需要保护的相关数据有哪些等等，对信息系统的使用情况说明。

信息安全专业知识考点
嘿，朋友！咱们来聊聊信息安全专业知识的那些考点，这可重要得很呢！
你想想，如今这信息时代，就像一个巨大的宝藏库，里面装满了各种各样的宝贝。

但要是没有保护好，那不就被坏人给偷走啦？信息安全就好比是这个宝藏库的锁和保安，得把一切威胁都挡在外面。

先说密码学吧，这可是信息安全的核心考点之一。

密码就像是给宝贝上了一把神秘的锁，只有知道钥匙的人才能打开。

你说要是密码太简单，那不就跟纸糊的锁一样，一捅就破？所以，得掌握好那些复杂的加密算法，像是对称加密、非对称加密，可不能马虎。

再说说网络安全。

网络就像一条条道路，信息在上面跑来跑去。

要是这路不安全，信息不就容易迷路或者被坏人劫持了？防火墙、入侵检测系统，这些就像是道路上的关卡和警察，得把那些不怀好意的家伙给拦住。

还有恶意软件，这就像是隐藏在黑暗中的小怪兽，随时准备跳出来捣乱。

病毒、木马、蠕虫，一个个都不是好惹的。

得知道怎么识别它们，怎么把它们消灭掉，不然你的电脑、手机可就遭殃啦！
数据安全也不能忽视。

数据那可是宝贝中的宝贝，要是丢了或者被篡改了，那可就麻烦大了。

备份、恢复、访问控制，这些手段一个都不能少，就像给宝贝加上多重保险一样。

信息安全管理也很重要啊！这就好比是给整个信息宝库制定规则，谁能进，谁不能进，谁能拿什么，都得规定得清清楚楚。

不然不就乱套了？
你说，要是不学好这些信息安全专业知识考点，那咱们的信息不就像没穿衣服的小孩在大街上乱跑，多危险呐！所以，咱们得下功夫，把这些考点都掌握得牢牢的，让信息安全有保障，让咱们的宝藏库稳稳当当的！。

第一章信息平安保障概述1.1信息平安保障背景1.1.1信息技术及其开展阶段信息技术两个方面：生产：信息技术产业；应用：信息技术扩散信息技术核心：微电子技术，通信技术，计算机技术，网络技术第一阶段，电讯技术的创造；第二阶段，计算机技术的开展；第三阶段，互联网的使用1.1.2信息技术的影响积极：社会开展，科技进步，人类生活消极：信息泛滥，信息污染，信息犯罪1.2信息平安保障根底1.2.1信息平安开展阶段通信保密阶段〔20世纪四十年代〕：机密性，密码学计算机平安阶段〔20世纪六十和七十年代〕：机密性、访问控制与认证，公钥密码学〔Diffie Hellman，DES〕，计算机平安标准化〔平安评估标准〕信息平安保障阶段：信息平安保障体系〔IA〕，PDRR模型：保护〔protection〕、检测〔detection〕、响应(response)、恢复〔restore〕，我国PWDRRC模型：保护、预警〔warning〕、监测、应急、恢复、还击〔counter-attack〕，BS/ISO 7799标准〔有代表性的信息平安管理体系标准〕：信息平安管理实施细那么、信息平安管理体系标准1.2.2信息平安的含义一是运行系统的平安，二是系统信息的平安：口令鉴别、用户存取权限控制、数据存取权限方式控制、审计跟踪、数据加密等信息平安的根本属性：完整性、机密性、可用性、可控制性、不可否认性1.2.3信息系统面临的平安风险1.2.4信息平安问题产生的根源：信息系统的复杂性，人为和环境的威胁1.2.5信息平安的地位和作用1.2.6信息平安技术核心根底平安技术：密码技术平安根底设施技术：标识与认证技术，授权与访问控制技术根底设施平安技术：主机系统平安技术，网络系统平安技术应用平安技术：网络与系统平安攻击技术，网络与系统平安防护与响应技术，平安审计与责任认定技术，恶意代码监测与防护技术支撑平安技术：信息平安评测技术，信息平安管理技术1.3信息平安保障体系1.3.1信息平安保障体系框架生命周期：规划组织，开发采购，实施交付，运行维护，废弃保障要素：技术，管理，工程，人员平安特征：机密性，完整性，可用性1.3.2信息系统平安模型与技术框架P2DR平安模型：策略〔policy〕，防护，检测，响应；防护时间大于检测时间加上响应时间，平安目标暴露时间=检测时间+响应时间，越小越好；提高系统防护时间，降低检测时间和响应时间信息保障技术框架〔IATF〕：纵深防御策略〔〕：人员，技术，操作；技术框架焦点域：保护本地计算机，保护区域边界，保护网络及根底设施，保护支撑性根底设施1.4信息平安保障根本实践1.4.1国内外信息平安保障工作概况1.4.2信息平安保障工作的内容确定平安需求，设计和实施平安方案，进行信息平安评测，实施信息平安监控第二章信息平安根底技术与原理2.1密码技术2.1.1对称密码与非对称密码对称密钥密码体制：发送方和接收方使用相同的密钥非对称密钥密码体制：发送方和接收方使用不同的密钥对称密钥体制：加密处理速度快、保密度高，密钥管理分发复杂代价高、数字签名困难分组密码：一次加密一个明文分组：DES，IDEA，AES；序列密码：一次加密一位或者一个字符：RC4，SEAL加密方法：代换法：单表代换密码，多表代换；置换法平安性：攻击密码体制：穷举攻击法〔对于密钥长度128位以上的密钥空间不再有效〕，密码分析学；典型的密码攻击：唯密文攻击，明文攻击，选择明文攻击〔加密算法一般要能够抵抗选择明文攻击才认为是最平安的，分析方法：差分分析和线性分析〕，选择密文攻击根本运算：异或，加，减，乘，查表设计思想：扩散，混淆；乘积迭代：乘积密码，常见的乘积密码是迭代密码，DES，AES 数据加密标准DES：基于Feistel网络，3DES，有效密钥位数：56国际数据加密算法IDEA：利用128位密钥对64位的明文分组，经连续加密产生64位的密文分组高级加密标准AES：SP网络分组密码：电子密码本模式ECB，密码分组链模式CBC，密码反应模式CFB，输出反应模式OFB，计数模式CTF非对称密码：基于难解问题设计密码是非对称密码设计的主要思想，NP问题NPC问题克服密钥分配上的困难、易于实现数字签名、平安性高，降低了加解密效率RSA：基于大合数因式分解难得问题设计；既可用于加密，又可用于数字签名；目前应用最广泛ElGamal：基于离散对数求解困难的问题设计椭圆曲线密码ECC：基于椭圆曲线离散对数求解困难的问题设计通常采用对称密码体制实现数字加密，公钥密码体制实现密钥管理的混合加密机制2.1.2哈希函数单向密码体制，从一个明文到密文的不可逆的映射，只有只有加密过程，没有解密过程可将任意长度的输入经过变换后得到固定长度的输出〔原消息的散列或消息摘要〕应用：消息认证〔基于哈希函数的消息认证码〕，数字签名〔对消息摘要进行数字签名口令的平安性，数据完整性〕消息摘要算法MD5：128位平安散列算法SHA：160位SHA比MD5更平安，SHA比MD5速度慢了25%，SHA操作步骤较MD5更简单2.1.3数字签名通过密码技术实现，其平安性取决于密码体制的平安程度普通数字签名：RSA，ElGamal，椭圆曲线数字签名算法等特殊数字签名：盲签名，代理签名，群签名，不可否认签名，具有消息恢复功能得签名等常对信息的摘要进行签名美国数字签名标准DSS：签名算法DSA应用：鉴权：重放攻击；完整性：同形攻击；不可抵赖2.1.4密钥管理包括密钥的生成，存储，分配，启用与停用，控制，更新，撤销与销毁等诸多方面密钥的分配与存储最为关键借助加密，认证，签名，协议和公证等技术密钥的秘密性，完整性，真实性密钥产生：噪声源技术〔基于力学，基于电子学，基于混沌理论的密钥产生技术〕；主密钥，加密密钥，会话密钥的产生密钥分配：分配手段：人工分发〔物理分发〕，密钥交换协议动态分发密钥属性：秘密密钥分配，公开密钥分配密钥分配技术：基于对称密码体制的密钥分配，基于公钥密码体制的密钥分配密钥信息交换方式：人工密钥分发，给予中心密钥分发，基于认证密钥分发人工密钥分发：主密钥基于中心的密钥分发：利用公开密钥密码体制分配传统密码的密钥；可信第三方：密钥分发中心KDC，密钥转换中心KTC；拉模型，推模型；密钥交换协议：Diffie-Hellman算法公开密钥分配：公共发布；公用目录；公约授权：公钥管理机构；公钥证书：证书管理机构CA，目前最流行密钥存储：公钥存储私钥存储：用口令加密后存放在本地软盘或硬盘；存放在网络目录效劳器中：私钥存储效劳PKSS；智能卡存储；USB Key存储2.2认证技术2.2.1消息认证产生认证码的函数：消息加密：整个消息的密文作为认证码消息认证码〔MAC〕：利用密钥对消息产生定长的值，并以该值作为认证码；基于DES的MAC算法哈希函数：将任意长的消息映射为定长的哈希值，并以该哈希值作为认证码2.2.2身份认证身份认证系统：认证效劳器、认证系统客户端、认证设备系统主要通过身份认证协议〔单向认证协议和双向认证协议〕和认证系统软硬件进行实现认证手段：静态密码方式动态口令认证：动态短信密码，动态口令牌〔卡〕USB Key认证：挑战/应答模式，基于PKI体系的认证模式生物识别技术认证协议：基于口令的认证协议，基于对称密码的认证，基于公钥密码的认证2.3访问控制技术访问控制模型：自主访问控制〔DAC〕：访问矩阵模型：访问能力表〔CL〕，访问控制表〔ACL〕；商业环境中，大多数系统，如主流操作系统、防火墙等强制访问控制〔DAC〕：平安标签：具有偏序关系的等级分类标签，非等级分类标签，比拟主体和客体的平安标签等级,，访问控制平安标签列表〔ACSLL〕；访问级别：最高秘密级，秘密级，机密级，无级别及；Bell-Lapadula模型：只允许向下读、向上写，保证数据的保密性，Biba不允许向下读、向上写，保护数据完整性；Chinese Wall模型：多边平安系统中的模型，包括了MAC和DAC的属性基于角色的访问控制〔RBAC〕：要素：用户，角色，许可；面向企业，大型数据库的权限管理；用户不能自主的将访问权限授权给别的用户；MAC基于多级平安需求，RBAC不是2.3.2访问控制技术集中访问控制：认证、授权、审计管理〔AAA管理〕拨号用户远程认证效劳RADIUS：提供集中式AAA管理；客户端/效劳器协议，运行在应用层，使用UDP协议；组合认证与授权效劳终端访问控制器访问控制系统TACACS：TACACS+使用TCP；更复杂的认证步骤；分隔认证、授权、审计Diameter：协议的实现和RADIUS类似，采用TCP协议，支持分布式审计非集中式访问控制：单点登录SSOKerberos：使用最广泛的身份验证协议；引入可信的第三方。

第1章信息安全概述1.广义的信息安全是指网络系统的硬件,软件及其系统中的信息受到保护.2.信息安全威胁从总体上可以分为人为因素的威胁和非人为因素的威胁。

人为因素的威胁包括无意识的威胁和有意识的威胁。

非人为因素的威胁包括自然灾害、系统故障和技术缺陷等。

3.信息安全不仅涉及技术问题，而且还涉及法律、政策和管理问题。

信息安全事件与政治、经济、文化、法律和管理紧密相关。

4.网路不安全的根本原因是系统漏洞、协议的开放新和人为因素。

人为因素包括黑客攻击、计算机犯罪和信息安全管理缺失。

5.保密性、完整性、可用性、可控性和不可否认性是从用户的角度提出的最基本的信息服务需求，也称为信息安全的基本特征。

6.ISO基于OSI参考互连模型提出了抽象的网络安全体系结构，定义了五大类安全服务（认证（鉴别））服务、访问控制服务、数据保密性服务、数据完整性服务和抗否认性服务、八大种安全机制（加密机制、数字签名机制、访问控制机制、数据完整性机制、认证机制、业务流填充机制、路由控制机制和公证机制）和完整的安全管理标准。

7.信息安全既涉及高深的理论知识，又涉及工程应用实践。

一个完整的信息安全保障体制系框架由管理体系、组织机构体系和技术体系组成。

技术体系可划分为物理安全、网络安全、信息安全、应用安全和管理安全五个层次，全面揭示了信息安全研究的知识体系和工程实施方案框架。

第2章信息保密技术1.密码学的发展大致经历了手工加密阶段、机械加密阶段和计算机加密阶段。

密码技术是现代信息安全的基础和核心技术，它不仅能够对信息加密，还能完成信息的完整性验证、数字签名和身份认证等功能。

按加密密钥和解密密钥是否相同，密码体制可分为对称密码体制和非对称密码体制。

对称密码体制又可分为序列密码和分组密码。

2.移位密码、仿射密码、维基利亚密码和置换密码等是常用的古典密码案例，虽然在现代科技环境下已经过时，但它们包含的最基本的变换移位和代替在现代分组密码设计中仍然是最基本的变换。