自考 信息安全 信息与网络管理知识点

信息安全

信息安全的概述

信息：根本作用：表征，控制。性质：普遍性可识别性，存储性可处理性，时效性共享性，增值性可开发性，可控制多效性。

信息安全：一个国家的社会信息化状态不受外来威胁侵害，技术体系不受侵害。属性：完整性可用性保密性可控性可靠性。基本原则：负责知晓道德多方配比综合及时重新评价民主

安全服务：1鉴别：对等鉴别数据源鉴别2访问控制3数据保密性4数据的完整性5不可否认

安全机制：加密数据签名访问控制数据完整性鉴别交换业务填充路由控制公证

信息安全管理范畴：定义安全策略ISMS的范围进行安全评估和管理确定管理目标和选定管理措施准备信息安全的适应性说明

信息安全评估：基本风险评估：进参照标准所列举的风险对组织资产进行评估详细风险评估：

基本风险评估与详细风险评估：一类特殊对待一类一般对待

管理风险的手段：降低避免转嫁接受

信息安全管理体系的构建：建立安全管理架构具体实施所构建的ISMS在ISMS基础上建立相关的文档文件安全事件的记录与反馈

CC：评估通用准则文档组织：1简介和一般模型2安全功能和要求3安全保证要求。关键概念：评估对象TOC用于安全评估的信息技术产品系统子系统。保护轮廓PP：安全性评估依据基于应用环境为一类TOE定义一组安全要求，而不管如何实现。

安全目标ST:安全性评估基础，他是针对具体的TOE而言的，通过评估证明YOE所要实现的技术和保证措施

组件：描述特定的安全要求，讲传统的安全要求分成不能再分的构件

包：组件一句某个特定的关系组合构成包，构建包的目的对满足某个特定安全的有效安全要求

密码技术

密码学：一门关于发现认识掌握和利用密码内在规律的科学，有密码编码密码分析组成。基本原理：信息变换：对数据信息进行一组通常但并非总是可逆的数学函数运算。

明文：原始数据密文：经变换的数据这一过程叫做加密实施与加密相反的过程叫做解密加密和解密通常都在一组密钥下进行的分别叫做加密密钥和解密密钥

五元组：明文空间M密文空间C密钥空间K加密算法E解密算法D

穷举攻击：密码分析者采用遍历全部空间的方式对所获密文进行解密，直到获得正确的明文，有明文到密文

统计分析攻击：密码分析者通过分析密文和明文的统计规律来破译密码

数学分析攻击：针对加密解密算法的数学基础和某些密码学的特性破译密码

古典密码：代替密码置换密码

代替密码：就是发送将明文中每一个字符替换为密文中另外一个字符，然后发送出去，接收者对密文进行替换已恢复明文的过程单表替换多表替换一次一密钥替换

置换密码：按照约定的规则，将明的字母数码和符号不改变形状的基础上打乱原有的位置进行加密

对称密码体制：指解密算法是加密算法的逆运算，加密密钥就是解密密钥的体制，常用来加密大量的数据报文和文卷通信(高速)，特点发送者和接收者之间密钥必须安全传递，且双方必须妥善保管

DES：分组乘积密码体制最早供人的实用算法标准工作模式：电子密码本密码分组连接输出反馈密文反馈作用：完全适应某历史阶段安全的要求的一种密码体制构造数据加密标准表明分组密码最为对密码算法标准化的方法方便可行推动了分析理论和技术的而快速发展，出现里差分线性分析等

密码分配和管理技术

密钥分配技术：

密钥分配中心方式：每个节点或用户只需保管与密钥分配中心（KDC）之间使用的密钥加密密钥，而KDC为每个用户保管一个不同的密钥加密密钥。特点：用户不必保存大量的密钥，可实现一报一密；但缺点通信量大，而且要有较好的鉴别功能，可以识别KDC和用户。

离散数学智能卡加密的密钥交换

Intnet密钥交换IKE：阶段一定义主模式和野蛮模式任务是建立IKE SA为阶段二提供加密和验证阶段二快速模式任务建立IPSee SA

IKE安全隐患：洪泛攻击，也叫拒绝服务，攻击者制造大量伪造的IP请求包，发送给被攻击者，每个请求包多要求被攻击者响应，要开销很大的幂运算处理，到一定程度响应者就无法响应真正的合法用户。设计了cookie交换让每个cookie和每个通讯方对应起来，一旦发起者和响应者交换cookie之后，余下的密钥交换消息都必须包含cookie对，相应的cookie与发起者和响应者IP地址对应起来。如果攻击者和被攻击者交换cookie后，攻击者发送多个不同的IP地址和同一对cookie进行减缓，被攻击者很容易丢弃这些信息。

中间人攻击：攻击者在发起者面前模仿响应者在响应者面前模仿发起者，于是攻击者共享发起者和响应者的密钥预共享密钥数字签名公钥加密

公钥的基础设施PKI：采用证书管理公钥，通过第三方可信任机构CA把用户的公钥和其它信息捆绑在一起，在intnet上验证用户身份。目前采用PKI基础之上的数字证书，通过要传送的信息进行加密和签名，保证信息的传输机密性真实性完整性不可抵赖性，从而达到安全传输信息。

PKI八个部分：1认证机构：负责创建或者证明身份的可信赖的权威机构，权威性首先用户知道签名公钥加密公钥，CA是PKI的核心，功能发放和管理数字证书。2注册机构RA作为CA和最终用户之间的中间实体，负责控制注册过程中证书传递过程中密钥和证书生命周期过程中最终实体和PKI间的交换3证书服务器：负责根据注册过程中提供的信息生成证书机器或者服务4证书库：CA或者RA代替CA发证的地方5证书验证6密钥备份恢复服务器7时间服务

器8签名服务器

公钥证书：

证书的结构证书的生成与发放证书的验证证书的分发证书的废除证书存档

信任模型：多层数结构网状结构

信任管理：局部信任列表全局动态信任列表CA信任发布锚

基于X.509证书的PKI：本质一种公证服务，通过离线的数字证书来证明某个公钥的真实性，并通过CRL来确认某个公钥的有效性

结构模型：宏观上呈现域结构，即每个PKI都有一定的覆盖范围，形成一个管理域。这些管理域通过交互证书相互关联，构成更大的管理域，最终形成全局的公钥管理体系

基本结构模型：策略审批结构证书使用规定认证机构单位注册机构

PKI:管理实体：认证机构CA注册机构RA。端实体：持证者验证者。操作：存取操作管理操作。

密钥托管技术：是备份解密和恢复密钥能力的加密技术，可控密码学重要组成部分。逻辑上分为：用户安全块密钥托管模块数据恢复模块

用户安全模块USC：是硬件设备或软件程序，它提供数据加密，解密能力同时支持密钥托管

密钥托管模块：有密钥托管机构控制，管理着数据恢复密钥和存储、传递或使用，它可以作为公钥管理系统或密钥管理基础的部分

数据恢复模块：有DRC算法、协议和专用设备组成。

托管系统的信息安全：职责分隔密钥保密知识分散两人控制冗余技术政审物理安全加密保护审计配置管理

密钥管理技术：最小特权特别资源分散最小设备不影响系统正常工作等原则

口令管理：生成口令具有不可预测性长度应根据访问者信息秘密等级确定人工输入口令要妥善保存口令存储传递必须加密更换频率根据访问信息做决定信息安全认证：目的：实体验证完整性验证

数字签名：通常采用加密，哈希函数技术手段对电子文档试试某种机制和变换技术，以实现电子文档的确认的电子文档签名方法。

数字签名寄语两条假设:私钥是安全的只有拥有者才能获得产生数字签名的唯一途径是使用私钥。

数字签名电子文档满足的特性：无法伪造真实性不可重用性不可修改性不可抵赖性

数字签名必须保证：能够检验签名者的身份能够证实消息的内容数字签名可由第三方认证解决通信双争议接收者可以核实发送者对报文的签名发送者不可抵赖对报文的签名接收者不可伪造对报文的签名

防止数字签名重用：数字签名因消息而异不同数字签名的结果不同及时消息主要内容相同应包含如时间、序号让消息不同

数字签名：签名算法检验算法签名私钥是秘密的只有签字人掌握；验证算法是公开的，以便于他人验证（基于对称密码体制的数字签名基于公钥密码体制的签名）

数字签名分类：直接数字签名可仲裁数字签名

哈希函数：把任意输入长度的输入窜M化成固定长度的输出窜H的一种函数，它是多对一的函数。特点：给特定的输入计算哈希值很容易，但求逆是比较困难的，又称单向函数。

哈希函数的目的：产生文件报文和其它数据块；性质：输入任意长产生定长输出单向性抗弱碰撞性抗强碰撞性

MD4MD5

认证技术：又称鉴别确认，是证实某事名副其实或是否有效的过程

认证和加密的区别：加密是确保数据的保密性，阻止攻击者的被动攻击；认证用以确保报文发送者和接收者的真实性以及报文的完整性，阻止攻击者主动攻击

证人技术包括：站点认证报文认证身份认证

站点认证：在正式的报文传送前，应首先认证通信是否在双方确定的站点间进行传送实现

报文认证：必须使通信双方能够检验每份报文的发送方和接收方，内容和时间的真实性和完整性

身份验证：许多应用系统的第一道防线口令智能卡生理特征识别零知识验证

第五章：网络安全技术

综合集成技术：VPN技术加密身份认证防火墙等技术于一体

访问控制技术：两个要素实体和访问控制策略访问控制策略：主体对客体的操作集合约束集

访问控制过程：访问控制涉及限制合法用户的行为。通过一个监视器调节用户对系统内目标进行访问。用户访问时参考监视器便查看数据库以确定进行操作的用户是否确实得到了进行操作的许可。

自主访问控制模型：包括主体客体和控制实体间访问的监视器。自主访问控制模型DAC强制访问控制模型MAC基于角色的访问空模型RBAC

访问控制安全策略：实现方式：基于身份的安全策略（MAC）基于规则的安全策略（DAC）。

原则：最小特权原则最小泄密原则多级安全策略

基于身份安全策略：用于过滤对数据或资源的访问，只用通过认证的主体才可以正常访问客体资源

基于规则安全策略：指在某个安全域内，用于与安全相关的活动的一套规则，由安全权威机构制定，并由安全控制机构描述、实施或现实。

访问控制的实施：访问控制列表访问控制性能列表授权关系访问控制矩阵访问控制实施的位置

接入访问控制：是网络控制网络访问的第一层它控制哪些用户能够登录到服务器并获得网络资源