信息安全工程师 珍藏笔记
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全工程师笔记
2016年8月9日初稿2017年5月6日修改
第一章信息安全基础
传统信息安全: 信息的秘密性,完整性,可用性。
信息系统安全四个层次:设备安全,数据安全,内容安全,行为安全。
设备安全:稳定性,可靠性,可用性。
数据安全:秘密性,完整性,可用性。
内容安全:政治上健康,符合国家法律,符合道德规范。
行为安全:行为的秘密性,完整性,可控性。
网络空间安全学科内涵:网络空间安全学科是研究信息获取,信息存储,信息传输和信息处理淋雨中信息安全保障问题的一门新兴学科。
研究方向:密码学,网络安全,信息系统安全,信息内容安全,信息对抗。
网络空间安全方法论:理论分析,逆向分析,实验验证,技术实现。
信息安全立法特点:没有形成一个完整性,实用性,针对性的完善的法律体系,不具开放性,缺乏兼容性,难以操作。
计算机犯罪分类:
1窃取和破坏计算机资产
2未经批准使用计算机信息系统资源
3批准或超越权限接收计算机服务
4篡改或窃取计算机中保存的信息或文件
5计算机信息系统装入欺骗性数据和记录
6窃取或诈骗系统中的电子钱财
法律规章:中华人民共和国网络安全法,中华人民共和国计算机信息系统安全保护条例,互联网络安全管理相关法律法规,商用密码和信息安全产品相关法律法规,计算机病毒防治相关管理办法,电子签名法,电子政务法。
系统安全保护能力等级:1用户自主保护级。2系统审计保护级。3安全标记保护级。4结构化保护级。5访问验证保护级
涉密信息系统等级:秘密级,机密级,绝密级。
网络隔离技术的安全要点:1具有高度的自身安全性。2确保网络之间是隔离的。3保证网间交换的只是应用数据。4对网间的访问进行严格的控制和检查。5在坚持隔离的前提下保证网络畅通和应用透明。
网络安全监控功能:1全面的网络控制。2细粒度控制。3网络审计。4其他
风险评估主要任务:1识别组织面临的各种风险。2评估风险概率和可能带来的负面影响。3确定组织承受风险能力。4确定风险降低和控制的优先等级。5推荐风险降低策略。
风险评估过程:1确定资产。2脆弱性和威胁分析。3制定及评估控制措施
4决策。5沟通与交流。6监督实施
风险评估方法:1定量评估法。2定性评估法。3定性与定量相结合的综合评估方法。
评估过程:系统分解,构造判断矩阵,层次总排序。
选择安全措施考虑以下因素:控制的易用性,用户透明度,未用户提供帮助,发挥控制功能,控制的相对强度,实现的功能类型。
降低风险途径:避免风险,转移风险,减少威胁,减少脆弱性,减少威胁可能的影响,检测意外事件。======================================================================================= ============
第二章密码学基础与应用
密码编制学:研究密码编制的科学密码分析学:研究密码破译的科学
密码学:密码编制学和密码分析学共同组成。密码安全目标:保密性,完整性,可用性。密码体制组成:明文空间M,密文空间C,密钥空间K,加密算法E,解密算法D
Kd=Ke 称为单密钥密码体制,对称密码体制,传统密码体制。
Ke公开,称为公开密钥密码体制,公钥密码体制。
密码分析攻击方法:穷举攻击,数学分析攻击,基于物理的攻击。
攻击密码类型:仅知密文攻击,已知明文攻击,选择明文攻击,选择密文攻击。
密码分为:绝对不可破译,计算上不可破译密码。
古典密码:1置换密码,2代替密码 3 代数密码
代替密码:加法密码,乘法密码,仿射密码
古典密码破译方法:穷举分析,统计分析。
DES密码:是一种分组密码,明文,密文,密钥的分组长度都是64位,面向二进制密码算法,能加密任何形式的计算机数据,对合运算,因而加密和解密共用同一算法。
DES弱点和不足:密钥较短,存在弱密钥。
3DES可以使用三个密钥,也可以使用两个密钥。
RIJNDAEL轮函数三层:非线性层,线性混合层,密钥加层。RIJNDAEL数据块长度和密钥长度都可变,最短密钥128位。RIJNDAEL算法能有效抵抗目前已知的攻击,如差分攻击,线性攻击,相关密钥攻击,插值攻击。
分组密码工作模式:电子密码本模式,密码分组链接模式,输出反馈模式,密码反馈模式,CTR模式。Hash函数:报文摘要。
Hash函数满足性质:单向性,抗弱碰撞性,抗强碰撞性。
椭圆密码适用:航空,航天,卫星,智能卡应用。
数字签名用途:确认,核准,生效,负责任。
完善的数字签名满足:签名者事后不能抵赖自己的签名,任何其他人不能伪造签名,如果双方发生争执,能够在公正的仲裁者面前通过验证签名来确认真伪。
数字签名体制包括:施加签名,验证签名。
认证:又称鉴别和确认,证实某事是否名副其实或者是否有效。
认证和加密区别:加密用以确保数据的保密性,认证确保发送者和接收者的真实性及报文的完整性。认证系统常用参数:口令,表示服,密钥,信物,智能卡,指纹,视网纹。
认证和数字签名区别:
1认证给予收发双方共享保密数据来鉴别真实性,数字签名用于验证签名的数据是公开的。
2认证允许双方互相验证正式性,不许第三方验证,而数字签名允许收发双方和第三方都能验证。
3数字签名具有发送方不可抵赖,接收方不能伪造和具有在公证人前解决纠纷的能力,而认证则不一定具备。
身份认证:口令认证,生物特征识别,报文认证
改进口令验证机制:利用单向函数加密口令,利用数字签名方法验证口令,口令的双向验证,一次性口令。
好口令应具备:使用多种字符,足够长度,尽量随机,定期更换。
报文内容认证验证码产生的方式:报文加密,消息认证码MAC,基于hash函数的消息认证码。
密钥分级安全性:初级密钥,二级密钥,主密钥(高级密钥)。
密钥存储形态:明文形态,密文形态,分量形态。
网络协议:为进行网络中的数据交换而建立的规则,标准或约定。
计算机网络体系结构:计算机网络的各层及其协议的集合。
Internet路由协议:1RIP 路由信息协议,2OSPf 开放最短路径优先协议
3BGP 外部网关协议,4IGMP Internet组管理协议。
ARP地址解析协议RARP反向地址解析协议。
ICMP internet控制报文协议,分为差错报文,询问报文。
BGP 外部网关路由协议,实现资质系统间无环路的域间路由。
重传机制是保护正TCP可靠性的重要措施。
控制拥塞方法:慢开始,拥塞避免,快重传,快恢复。
连续收到三个重复ACK即可断定有分组丢失。