信息安全三级知识点汇总
第一章:信息安全保障基础
1:信息安全大致发展经历3个主要阶段:通信阶段,计算机安全阶段和信息安全保障阶段2:现代信息安全主要包含两层含义(1)运行系统的安全
(2)完整性,性,可用性,可控制性,不可否认性。
3:信息安全产生的根源(1)因:信息系统的复杂性,包括组成网络通信和信息系统的自身缺
陷,互联网的开放性
(2)外因:人为因素和自然环境的原因
4:信息安全保障体系框架(1)生命周期:规划组织,开发采购,实施交付,运行维护,废弃
(2)安全特征:性,完整性,可用性
(3)保障要素:技术,管理,工程,人员
5: P2DR安全模型
Pi >Dt+Ri
Pl表示系统为了保护安全气目标设置各种保护后的防护时间,或者理解为在这样的保护方式
下,黑客攻击安全目标所花费的时间;
D代表从入侵者开始发动入侵开始,到系统能够检测到入侵行为所花费的时间
Ri代表从发现入侵行为开始,到系统能够做出足够的响应,讲系统调整到正常状态的时间E 〔=Di+Ri (Pi =0)
Di和Ri的和安全目标系统的暴露时间E” E越小系统越安全
6:信息安全技术框架(IATF):核心思想是纵深防御战略,即采用多层次的,纵深的安全措施来保障用户信息及信息系统的安全。核心因素是人员,技术,操作。
7: IATF4个技术框架焦点域:本地计算环境,区域边界,网络及基础设施,支撑性基础设施。8:信息系统安全保障工作的容包括:确保安全需求,设计和实施安全方案,进行信息安全评测和实施信息安全监控与维护。
第二章:信息安全基础技术与原理
1:数据加密标准DES;髙级加密标准AES;数字签乞标准DSS:
2:对称密钥的优点:加密解密处理速度快,度髙,
缺点:密钥管理和分发复杂,代价高,数字签名困难
3:对称密钥体制:分组密码和序列密码
常见的分组密码算法:DES.IDEA.AES
公开的序列算法主要有RC4, SEAL
4:攻击密码体制方法(1)穷举攻击法(2)密码分析学:差分分析和线性分析
5:差分密码分析法的基本思想:是通过分析明文对的差值对密文的差值影响来恢复某些密钥
比特。
线性密码分析基本思想:寻找一个给定密码算法有效的线性近似表达式来破译密码系统: 6:对称密码设计的主要思想是:扩散和混淆
7:数据加密标准DES算法64为分组大小,64位密钥,尼作用的只有56位。
8: IDEA利用128位密钥对64位明文分组,经过连续加密产生64位密文分组。
9: AES分组长度固定位128位,密钥长度可以使&192和256位,
10: Rijndael使用的密钥和分组长度可以使32位的整数倍,以128位为下限,256位为上限。11:主流的非对称密码包括RSA.ElGamal,椭圆曲线密码(ECC)。
RSA基于大合数因式分解难的问题设计
ElGamal基于离散对数求解困难的问题设计
ECC基于椭圆曲线离敬对数求解困难的问题设计
12:典型的哈希函数:消息摘要算法MD5,安全散列算法SHA
13:哈希函数的特点:圧缩,易计算,单向性,抗碰撞性,高灵敏性。
哈希函数的应用:消息认证,数字签名,口令的安全性,数据完整性
14:消息摘要算法MD5按512位进行处理产生128位消息摘要,SHA预处理完毕后的明文长度是512位整数倍,输出的是160位
15:密钥的产生的硬件技术:力学噪声源,电子学噪声源,混沌理论
16:密钥的分配:人工密钥分发,基于中心密钥分发(密钥分发中心KDC,密钥转换中心KTC)
17:基于中心的密钥分发两种模式:拉模式和推模式
18:最典型的密钥交换协议:Diffie-Hellman算法。
19:公开密钥分配:(1)公开发布(2)公用目录(3)公钥授权(4)公钥证书
20:公钥授权的优点:更高的安全性,缺点由于用户想要与英他人联系都要求助于公钥管理机构分配公钥,这样公钥机构可能会成为系统的瓶颈,此外维护公钥目录表也科恩给你被对手窜扰。
21:产生认证函数的3种类型:消息加密,消息认证码,哈希函数
22:消息认证码是一种认证技术,它利用密钥来生成一个固左长度的数据块,并将该数据块附加在消息之后。
23:系统采用的认证协议有两种:单向认证协议,双向认证协议
24:身份认证基本手段:静态密码方式,动态口令方式,USB Key认证以及生物识别技术动态口令:主要有短信密码和动态口令牌两种方式。优点在于一次一密,安全性高,缺点在于如果客户端硬件与服务器程序的时间或次数不能保持良好的同步,就可能发生合法的用户无法登陆。
USB Key:主要有两种模式(1)挑战应答模式和基于PKI体系的认证模式生物识别
技术:优点使用者几乎不能被仿冒,缺点价格昂贵,不够稳泄
25:访问控制模型
26: LBP 模型具有下读上写的特点,方式信息向下级泄露。Biba 不允许向下读,向上写的 特点,可以有效的保护数据的完整性。Chinese Wall 模型是应用在多边安全系统中的安全模 型,有两个主要的属性,(1)用户必须选择一个他可以访问的区域(2)用户必须自动拒绝 来自其他与用户所选区域的利益冲突区域的访问。
27:基于角色访问控制(RBAC )模型要素包括用户,角色和许可
28:RBAC 与MAC 的区别在于:MAC 是基于多级安全需求的,而RBAC 则不是。
29:访问控制技术分两类:一类是集中式访问控制技术,另一类是分布式访问控制技术,即 非集中式访问控制技术
30:集中式的AAA 管理协议包括拨号用户远程认证服务RADIUS,终端访问控制器访问控制 系统 TACACS, Diameter 等。
31: RADIUS 协议是一个客户端/服务器协议,运行在应用层,使用UDP 协议,身份认证和 授权使用1812端口,审计使用1813端口。
32: RADIUS 有3个主要的功能:(1)对需要访问网络的用户或设备进行身份验证,(2)对 身份验证的用户或设备授予访问资源的权限,(3)对以及授权的访问进行审计,
33: RADIUS 的审计独立于身份验证和授权服务。
34: TACACS+使用传输控制协议TCP
35: Diameter 协议支持移动IP, NAS 请求和移动代理的认证,授权和审计工作,协议的实 现和RADIUS 类似,但是采用TCP 协议,支持分布式审计。是最适合未来移动通信系统的 AAA 协议。 36: Diameter 协议包括基本协议,NAS (网络接入服务)协议.EAP (可扩展鉴别)协议, MIP (移动IP )协议,CMS (密码消总语法)协议
37:广泛使用的三种分布式访问控制方法为单点登录,Kerberos 协议和SESAME
38:常用的认证协议:基于口令的认证协议,基于对称密码的认证,基于公钥密码的认证 39: —个审计系统通常由3部分组成:日志记录器,分析器,通稿器。
40:恶意行为的监控方式主要分为两类:主机监测和网络监测。
访问控制
模型
第三章:系统安全
1:计算机主要由4个部分组成:硬件设备,基本输入输出系统,操作系统,应用程序。
2:CPU通常在两种模式下运行(1)核模式(核心层RingO)(2)用户模式,也成用戸层(Ring3), 操作系统在核模式下运行,其他应用应当在用户模式下运行
3:将CPU从用户模式转到核模式的唯一办法就是触发一个特姝的硬件自陷如(1)中断(2)异常(3)显式地执行自陷指令
4:用户接口是为了方便用户使用讣算机资源所建立的用户和汁算机之间的联系,主要有两类接口:作业级接口和程序级接口。
作业级接口是操作系统为用户对作业运行全过程控制提供的功能,
程序级接口是操作系统专门为用户程序设置的,它也是用户程序取得操作系统服务的以为途径。
5:从功能上划分3类系统调用:设备输入输岀系统调用,硬盘的输入输出及磁盘文件管理的系统调用,其他系统调用
6:操作系统的基本功能:资源管理,用户接口,进程管理,存管理
操作系统的基本安全实现机制包括CPU模式和保护环,进程隔离,存保护等
7:文件系统准确的说是一种数据链表,用来描述磁盘上的信息结构
8:常见保护环(1) 0环:操作系统核(2) 1环:操作系统的其他部分(3) 2环:I/O驱动程序和实用工具(4) 3环:应用程序和用户活动
9: UNIX系统可分为3层:硬件层,核层和用户层。关键系统组件包括存管理系统,文件系统,进程间通信,进程调度系统和设备驱动程序
10:守护进程是脱离于终端并且在后台运行的进程,在系统引导时装入,在系统关闭时终I匕。11:系统和用户进行交流的界而称为终端,当控制终端关闭时,相应的进程都会自动关闭。12:服务是运行在网络服务器上监听用户请求的进程,通过incld进程或启动脚本来启动通过inetd来启动的服务可以通过在/ctc/inctd.conf文件中注释来禁用,通过启动脚本启动的服务可以通过改变脚本的需称禁用。
13:inetd是UNIX最重要的网络服务进程,通过集中配置文件inetd.conf来管理大多数入网连接,根据网络请求来凋用相应的服务进程来处理连接请求,有助于降低系统负载。xinetd 以及取代了inc(d,并且提供了访问控制,加强的日志和资源管理功能,已经成为新版的UNIX/Linux系统的Internet标准超级守护进程。
14: Linux系统中,用户的关键信息被存放在系统的/etc/passwd文件中。
15: ISO/IEC 15408标准将可信左义为:参与计算的组件,操作或过程在任意的条件下是可预测的,井能够抵御病毒和物理干扰。
16:信任根是系统可信的基点,TCG泄义可信计算平台的信任根包括3个根:可信测量根(RTM),可信存储根(RTS),可信报告根(RTR)0
17:可信平台(TPM)是由CPU,存储器,I/O,密码运算器,随机数产生器和嵌入式操作系统等部件。
18:可信密码模块的核心功能包括:度量平台完整性,建立平台免疫力,为平台身份提供唯一性表示,提供硬件级密码计算和密钥保护。
19:可信计算组织的可信计算系统结构可划分为3个层次:可信密码模块,可信密码模块服务模块,安全应用。
20:可信网络连接(TNC)的优点:开放性,安全型,增加了平台身份验证和完整性验证。局限
性:局限于完整性,单向可信评估,缺乏安全协议支持,缺
乏网络接入后的安全保障
第四章: 网络安全
1:网络之间的连接通过物理介质实现的:物理介质包括双绞线,光纤灯有线介质,也包括无线电,微波,激光等无线介质。
2: TCP/IP的体系结构:从下往上:物理和数据链路层,网际层,传输层和应用层。
3:网络地址:A 类:0.0.0.0-127.255.255.255 B 类:128.0.0.0-191.255.255.255 C 类:192.0.0.0-223.255.255.255 D 类:224.0.0.009.255.255.255 E 类:240.0.0.0-255.255.255.255
私有地址:A 类:10.0.0.0-10.255.255.255 B 类:172.16.0.0~ 172.31.255.255 C 类:192.168.0.0-192.168.255.255
(1)网络地址:在A, B, C三类地址中,主机号全为0的地址用来表示一个网络的本网地址。
(2)直接广播地址:在A, B, C三类地址中,主机号全为1的地址为直接广播地址,用于表示特宦网络的所有主机
(3)受限广播地址:ip地址32位全为1,即255.255.255.255,则这个地址表示当前网络的广播地址
(4)自环地址:IP地址为127.0.0.1
4: TCP初始序列号常用的产生方法包括3种:第一种64K规则法,就是在一个tcp连接启动时,在原有的序列号基础上增加一个64000的常量作为新的序列号。第二种是与时间相关的产生规则,序列号的值是与时间相关的值,第三种是伪随机数产生规则,通过伪随机数产生器产生序列号。
5: TCP欺骗攻击包括非盲攻击和盲攻击两种
6: DNS欺骗技术可分为基于DNS服务器的欺骗和基于用户计算机的欺骗。
7:挂马的主要技术手段有:框架挂马(分直接加载框架挂马和框架嵌套挂马两种方法),JS 脚本挂马,body挂马和伪装欺骗挂马
8:DoS/DDoS攻击的防御措施(1)静态和动态DDoS过滤器(2)反欺骗技术(3)异常识别(4)协议分析(5)速率限制(6)增强系统安全性,及早发现系统中的漏洞,及时安装补丁,禁止所有不需要的服务(7>利用普通防火墙,路由器等网络设备,和网络安全设备加固网络的安全性,关闭服务器的非开放服务端口,限制SYN半连接数虽:,配巻好访问控制列表的过滤规则,禁止网络中的无用UDP数据包和ICMP数据包。
9:开源Web应用安全项目(OWASP)
10:注入攻击的防(1)使用预编译语句(2)使用存储过程来验证用户的输入(3)在数据类型,长度,格式和用等方面对用户输入进行过滤(4)使用数据库自带的安全参数(5)按照最小权限原则设垃数据库的连接权限
11:跨站脚本攻击XSS分三类:(1)反射型XSS (2)存储型XSS (3) DOM-based XSS 12:反射型XSS也称作为非持久型跨站脚本攻击:一般是向用户发岀带有恶意攻击脚本的一个URL连接,诱骗用户区点击。
存储型XSS称为持久型跨站脚本攻击,攻击者将恶意数据非法存储在Web服务器端的页面中。
DOM-based XSS是基于文档对象模型的跨站脚本攻击,攻击者通过对javascript脚本动态修
改D0M结构,进而导致XSS漏洞。
13: XSS的防(1)给关键Cookie设置Httponly标识(2)进行输入检查(3)进行输出査14:跨站脚本请求伪造(CSRF)是伪造客户端请求的一种攻击方式。是让用户访问攻击者伪造的网页,执行网页中的恶意脚本。
防措施:(1)使用验证码(2)在用户会话验证信息中添加随机数
15:木马的连接方式:木马程序都采用C/S的结构,他由两部分程序组成,客户端和服务端木马程序,攻击一方安装木马的客户端,同时诱骗用户安装木马的服务端。
16:防火墙的功能:(1)防火墙在网外网之间进行数据过滤(2)对网络传输和访问的数据进行记录和审汁(3)防外网之间的异常网络攻击(4)通过配置NAT提高网络地址转换功能
17:防火墙技术:(1)包过滤技术(2)状态监测技术(3)地址翻译技术(4)应用级网关技术18:防火墙体系结构:双重宿主主机体系结构,屏蔽主机体系结构和屏蔽子网体系结构的防火墙19:入侵检测系统的分类(1)根据数据采集方式的分类:基于网络的入侵检测系统NIDS 和基于主机的入侵检测系统HIDS (2)根据检测原理分类:误用检测型入侵检测系统和异常检测型入侵检测系统。
误用检测技术(1)专家系统(2)模型推理
异常检测技术(1)统计分析(2)神经网络(3)英他入侵检测技术:模式匹配,文件完整性检验,数据挖掘,计算机免疫
20:入侵检测体系结构:基于网络/主机的入侵检测系统,集中式结构,分布式结构
21:入侵检测系统包括探测器和控制台两大部分:探测器是专用的硬件设备负责网络数据流的捕获,分析检测和报警等。控制台是管理探测器的工具,它负责接收探测器的检测日志数据,并提供数据查询和报告生成功能。
22:入侵防御系统可以实现下而3个功能(1)拦截恶意流量(2)实现对传输容的深度检测和安全防护(3)对网络流量检测的同时进行过滤
23:入侵防御系统的部署(1)外网络的边界(2) DMZ与防火墙的边界(3)网核心交换机和防火墙中间(4)网关键服务器的外侧
24:入侵防御系统的不足(1)可能造成单点故障(2)可能造成性能瓶颈(3)漏报和误报的影响
25:公共密钥基础设施PKI的作用主要包括(1)验证用户身份并颁发证书(2)确保用于证书签爼的非对称密钥的安全(3)管理证书信息资料
26:证书认证机构系统的组成结构:认证中心(根CA),密钥管理中心(KM),认证下级中心(子CA),证书审批中心(RA中心),证书审批受力点(RAT)
27: iiE书的验证(1)验证有效性(2)验证可用性(3)验证真实性
证书的安全性(1)物理安全(2)网络安全(3)密码安全
28:信任模式:(1)单证书认证机构信任模式:这种模式中的PKI体系只有一个证书认证机构,PKI的所有终端用户都信任这个证书认证机构
(2)层次信任模式:由一级根证书认证机构1个,二级的政策证书认证机构3个,三级的运营证书认证机构多个,三个层次组成。第一层为根认证机构(RootCA), 第二层为政策证书认证机构(Policy CA),第三层为运营证书认证机构(Operation CA)
(3)桥证书机构认证信任模式:使不同结构类型的PKI体系中的中端用户都可以通过桥证书认证机构连接在一起,并实现相互信任。
29:虚拟专网VPN分为Client丄AN (也被称为远程访问型VPN)和LAN-LAN两种连接类型(也被称为网络到网关类型的VPN)。
30:VPN应用了多种信息安全技术和网络技术,包含隧道技术,加密解密,完整性验证密钥管理技术和身份认证技术。