信息安全理论与技术总结

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

第一章信息安全基础知识

信息安全特征:保密性、完整性、可用性、可控性、可审查性

信息安全含义:系统安全、系统中信息安全、管理安全

网络安全含义:运行系统安全、网络上系统信息的安全、网络上信息传播的安全、网络上信息内容的安全

信息安全服务与目标主要是指保护信息系统

ISO安全体系结构:安全服务、安全机制、安全管理

安全服务:认证服务、访问控制服务、数据保密性服务、数据完整性服务、不可否认服务

安全机制:加密机智、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、业务填充机制、路由控制机制、公证机制

安全管理:系统安全管理、安全服务管理、安全机制管理

网络安全防范体系:关于网络安全防范系统的最高层概念抽象,他由各种网络安全防范单元组成,各组成单元按照一定的规则关系,能够有机集成起来,共同实现网络安全目标

网络安全体系:组织体系、技术体系、管理体系

PDRR:防护、检测、恢复、响应

PPDR:安全策略、防护、检测、恢复、响应

PPDR:安全=风险分析+执行策略+系统实施+漏洞检测+实时响应

PPDR方向:提高系统的防护时间,降低检测时间和响应时间

五层网络安全模型:网络、操作系统、用户、应用程序、数据是否安全

TCSEC:D无保护级、C自主保护级、B强制保护级、A验证保护级

网络与信息安全=信息安全技术+信息安全管理体系

ISMS建设:定义信息安全策略、定义NISMS范围、进行信息安全风险评估、信息安全风险管理、确定管制目标和选择管制措施、准备信息安全适用性说明

第三章密钥管理技术

密钥类型:数据加密密钥(会话密钥)、密钥加密密钥、主密钥

会话密钥:用户一次通话或交换数据是使用的密钥,大多是临时的,动态的

密钥加密密钥:用于对会话密钥或下层密钥进行保护

主密钥:主要用于对密钥加密密钥、会话密钥或其他下层密钥的保护,主密钥是用户选定或系统分配给用户的,分发基于物理渠道或其他可靠的方法

集中式密钥分配方案:由一个可信赖的联机服务器作为密钥分配中心或密钥传递中心

具体过程:假定A是发起方,B为响应方,并且A、B与KDC有共享的密钥Ka、Kb

①.A->KDC:IDA//IDB//N1:A向KDC发送A和B的身份IDA、IDB和本次业务唯一标识符N1,每次请求所使用

的N1都不同。

②.KDC->A:EKa[Ks//IDA//IDB//N1//EKb[Ks//IDA]]:KDC对A应答,信息由Ka加密,Ks是A和B的会话密钥

③.A->B:EKb[Ks//IDA]:A收到信息后将Ks存起来并将加密过的共享密钥发送给B

④.B->A:EKs[N2]:B用共享密钥加密另一个随机数N2发送给A

⑤.A->B:EKS[f(N2)]:A响应B发送的信息,并用某种函数进行计算并加密后发送给B

分布式密钥分配方案:网络通信中各个通信方具有相同的地位,他们之间的密钥分配取决于它们之间的协商

①.A->B:IDA//N1:A向B发出请求,包括A的标识符IDA和标识符N1

②.B->A:EMKm[Ks//IDA//IDB//f(N1)//N2]:B使用A共享的主密钥MKm加密共享密钥Ks、A和B的标识符、f(N1)

和随机数N2

③.A->B:EKs[F(n2)]:A使用B产生的会话密钥Ks对f(N2)进行加密,并发送给B

非对称密码技术的密钥分配方案:

①.简单分配:

a)A->B:PKA//IDA:A将A的公钥和身份识别号发送给B

b)B->A:EPKA[KS]:B用A的公钥加密后的KS发送给A

②.具有保密和认证功能的密钥分配:

a)A->B:EPKB[N1//IDA]

b)B->A:EPKA[N1//N2]

c)A->B:EPKB[N2]

d)B->A:EPKB[ESKA[KS]]

第四章数字签名和认证技术

数字签名的要求:签名是可信的,签名是不可伪造的,签名是不可复制的,签名的消息是不可改变的,签名是不可抵赖的

数字签名的步骤:

①.使用单向散列算法算出原始数据的hash

②.发送方用自己的私钥加密hash

③.发送方把原始数据和加密的hash发送给对方

④.接收方用发送方的公钥解密,并用相同的hash函数对数据进行计算hash

⑤.如果计算所出来的hash值与发方发送的相同则可以确定确实是发方的

数字证书的用处:确保信息是由签名者自己发送的,保证信息自签发后未做过任何修改

认证信息类型:所知道的秘密、所拥有的实物、生物特征信息、上下文信息

认证的用途:验证网络资源访问者的身份、发送者和接收者的真实性、网络信息的完整性

认证技术:静态密码、IC卡、短信密码、动态口令牌、USB Key、数字签名、生物识别、双因素身份认证、身份零知识证明

第五章访问控制技术

访问控制:针对越权使用的防御措施,保证网络资源不被非法使用和非法访问

基本目标:防止对任何资源进行未授权的访问

作用:机密性、完整性

访问控制策略:自主访问控制、强制访问控制、基于角色的访问控制

自主访问控制:

特点:灵活性高

缺点:安全性低

分类:基于个人的策略、基于组的策略

访问控制的常用实现方法:访问控制表、访问能力表、安全标签、基于口令的机制

防火墙:防火墙是设置在被保护网络和外部网络之间的一道屏障,这道屏障的作用是阻断来自外部对本网络的威胁和入侵

基本功能:网络安全的屏障、控制对主机系统的访问、强化网络安全策略、对网络存取和访问进行监控审计

附加功能:NAT、VPN

缺点:不能防范内部网络的攻击、不经由防火墙的攻击、病毒或文件的传输、利用标准网络协议中缺陷进行的攻击、利用服务器漏洞进行的攻击、新的网络安全问题、限制了有用的网络服务

基本结构:屏蔽路由器、双宿主机防火墙(堡垒主机)、屏蔽主机防火墙(屏蔽路由器和堡垒主机)、屏蔽子网防火墙(内外网之间建立被隔离的子网)

类型:

①.数据包过滤路由器:对数据包实施有选择的通过规则、选择依据,只有满足规则的数据包才会被转发

到相应的网络接口,其余数据包则从数据流中删除。

②.应用层网关:又称代理服务器,包过滤在网络层拦截所有的信息流,代理技术针对的是某一程序,在

应用层上实现防火墙的功能。

③.电路级网关技术

④.状态检测技术

网络服务访问权限策略:定义在网络中允许的或禁止的网络服务,而且还包括对拨号访问和SLIIP/PPP连接的限制

防火墙设计策略:黑名单、白名单

防火墙攻击策略:扫描防火墙策略、通过防火墙认证机制策略(IP欺骗、TCP序号攻击)、利用防火墙漏洞策略

第四代防火墙的主要技术与功能:多端口结构、透明的访问方式、灵活的代理系统、多级的过滤技术、网络地址转换技术、internet网关技术、安全服务器网络、用户鉴别与加密、用户定制服务、审计和告警功能

入侵检测系统模型:事件产生器、事件分析器、响应单元、事件数据库

入侵检测技术分类:基于误用的入侵检测系统(基于特征)、基于异常的入侵检测系统

入侵检测系统的组成:数据采集模块、入侵分析引擎模块、应急处理模块、管理配置模块和相关辅助模块

相关文档
最新文档