信息系统安全与维护.doc

614工作室第1章1.（1）网络安全泛指网络系统的硬件、软件极其系统中的数据受到保护，不受偶然的或恶意的破坏、更改和泄露，系统连续、可靠、正常的运行，网络服务不被中断。 机密性 指确保信息不暴露给未授权的实体或进程。完整性 意味着只有得到授权的实体才能修改数据，并且能够判别出数据是否已被篡改可用性 说明得到授权的实体在需要时可以访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作。可控性 表示可以控制授权范围内的信息流向及行为方式。可审查性 指对出现的网络安全问题提供调查的依据和手段。2.网络安全面临的威胁： 1）物理安全的威胁 2）操作系统的安全缺陷 3）网络协议的安全缺陷 4）应用软件的安全缺陷 5）用户使用的缺陷 6）恶意程序的威胁3.五类安全服务:鉴别服务、访问控制服务、数据保密性服务、数据完整性服务、抗抵赖服务4.八类安全机制：加密机制、访问控制机制、数据完整性机制、数字签名机制、认证/鉴别机制、公证机制、通信业务流填充机制、路由选择控制机制5.最小特权原则：一个对象（程序、路由器或任何事物）应该只拥有为执行其分配的任务所必不可少的特权并且决不超越此权限。6. C V E （公共缺陷检索）包括：（1）标识符 （2）内容简述 （3）引用7.PDRR 动态安全体系结构模型由单词的首字母组成的，Protection (防护)、Detection(检测)、Response (响应)和Recovery (恢复)这4个部分组成了一个动态的信息安全周期。 （1）防护：是阻止攻击可以发生的条件产生，让攻击者无法顺利的入侵。可分为3类： 1）系统安全维护、2）网络安全维护、3）信息安全维护 （2）检测：是防护的互补，它的功能是检测出正在发生或者已经发生的事件。 （3）响应：已知一个攻击（入侵）事件发生后，进行处理。 （4）恢复：安全事件发生后，把系统恢复到原来的状态或比以前更安全的状态。第3章1.古典密码 分为：换位密码和替代密码 2.根据加密密钥和解密密钥是否相同，密码体制分为：对称密码体制和非对称密码体制。 3.根据加密方式的不同，对称密码体制又可分为：流密码（序列密码）和分组密码。 分组密码算法包括：DES 、3DES、 、AES、IDEA 4. 对DES的3种主要攻击手段：强力攻击、差分密码分析和线形密码分析。 P37 DES 的基本结构5.RSA算法的实现：1）选择两个质数p和q 2）计算n=p*q 3) 计算Y（n）=(p-1)*(q-1) P41 4) 选择整数e,使gcd (e, Y（n）)=1，且1 e Y（n） 5) 计算d ,使得 d * e =1mod Y（n） 6) 其中公钥为（e ,n），私钥为（d, n）6.通常有以下三种方法验证主体身份： 1）个人拥有的所知 如 密码、密钥 2）个人拥有的所有 如 智能卡、令牌卡 3）个人拥有的特征 如 指纹、声音、视网膜或签名等7. 1）自主访问控制 DAC（Discretionary Access Control） 2）强制访问控制 MAC（Mandatory Access Control） 自主访问控制 DAC是一种最普遍的访问控制手段，其基本思想是：根据用户的身份及允许的访问权限决定访问操作。用户可以根据自己的意愿显式的指定系统中的参数做适当的修改以决定可以访问他们的文件。一个用户（或一段用户程序或一个进程）可以有选择的与其他用户共享他的文件，用户有自主决定权。8.常用的访问控制技术：1）访问控制矩阵2）访问能力列表（从主体出发，表示某一行的信息）3）访问控制列表（从列出发，形成一个链表表示某一列的信息） 第章.Adept-50 历史上第一个安全的操作系统。.操作系统的安全级别：C1、C2、B1、B2、B3、D、A （1） 达到C2级别的操作系统：Unix、Linux、windows NT、windowsXP 达到B1级别的操作系统：HP Unix、IBM Aix、Sun Solaris（2）能够达到TCSEC C2级标准的操作系统必须具有 审计功能 能够达到TCSEC B2级标准的操作系统必须具有 可信通路机制 和隐蔽通道分析与处理机制3.根据信息传递的方式和方法进行区分，隐蔽通道通常分为2类： 存储隐蔽通道 和 时间隐蔽通道4.根据计算机信息安全保护等级划分准则，信息系统的安全等级划分为5个等级： 1）自主保护级 2）系统审计保护级 3）安全标记保护级 4）结构化保护级 5）访问验证保护级5.Windows 特色的可信通路机制是如何实现的？6.NTFS权限的使用规则 P73 例子 1）权限最大原则 2）文件权限超越文件夹权限 3）拒绝权限超越其他权限 第五章1.计算机病毒的定义：计算机病毒指编制或者在计算机程序中插入破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。2.计算机病毒的特性：1）计算机病毒的传染性 2）计算机病毒的可执行性 3）计算机病毒的可触发性4）计算机病毒的破坏性 5）计算机病毒的非授权性 6）计算机病毒的隐蔽性3.计算机病毒按传染方式不同可分为：引导型病毒、文件型病毒、混合型病毒 三种4.计算机病毒的组成：引导模块、传染模块、表现模块 三部分。5.检测病毒方法：1）特征代码法 2）校验和法 3）行为检测法 4）软件模拟法第六章实现Web欺骗的关键技术称为“改写URL”。第七章1.防火墙的访问控制采用两种基本策略：“黑名单”策略 和 “白名单”策略。2.按实现技术分类，防火墙的基本类型有：包过滤型、代理服务型 和 状态包过滤型。3.包过滤技术可以允许或禁止某些包在网络上的传递，它依据的是以下的判断规则： 1）对包的目的地址作出判断 2）对包的源地址作出判断 3）对包的传送协议（端口号）作出判断4.防火墙的体系结构： 1）双重宿主主机体系结构 2）屏蔽主机体系结构 3）屏蔽子网体系结构第八章1.入侵检测的定义： 入侵检测系统（IDS Instrusion Detection System）是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审记、监视、进攻识别和响应），提高了信息安全基础结构的完整性，它从计算机网络系统中的若干关键点收集信息，并分析这些信息，在发现入侵后及时作出响应，包括切断网络连接、记录事件和报警等。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下，能对网络进行检测，从而提供内部攻击、外部攻击和误操作的实时保护。2.入侵检测系统的分类1）按系统来源和系统结构分类，入侵检测系统分为3类 基于主机的入侵检测系统、基于网络的入侵检测系统、分布式入侵检测系统2）根据数据分析方法（检测方法）的不同，入侵检测系统分为2类 异常检测、误用检测第九章 1.端口扫描 P215扫描方式客户端发送服务器返回端口状态客户端返回TCPConnect扫描SYN=1SYN=1 / ACK=1开放ACK=1，连接建立SYN=1RST=1 / ACK=1关闭TCPSYN扫描SYN=1SYN=1 / ACK=1开放RST=1 / ACK=1，重新置位该次连接SYN=1RST=1 / ACK=1关闭TCP FIN 扫描FIN=1RST=1关闭FIN=1不做任何响应开放TCP ACK 扫描ACK=1RST=1被防火墙过滤ACK=1没有报文返回，或返回ICMP Unreachable没有被防火墙过滤2.常见的拒绝服务的攻击手段（从中任选一种描述原理和防御措施）1） Ping Of Death 原理：黑客发送任意大小的数据包，使接受方在进行IP分片重组后，数据报文长度超过正常的IP数据报的大小限制即超过IP报文缓冲区的上限，导致TCP/IP协议栈的溢出崩溃。措施：在防火墙上设置阻断ICMP数据包或者限制其发送的频率，可以解决该问题2）Teardrop原理：是利用早期某些操作系统中TCP/IP协议栈对IP分片包进行重组时的漏洞 进行的攻击，即对接收到的IP分片重组时没有考虑到一种特殊的分片重叠，导致系统非法操作。措施：状态检测类型的防火墙，对异常分片的出现都有相应的一些处理方法，例如对小分片的丢弃，对特殊重叠分片的丢弃等，这样可以较好地防止此类攻击所造成的麻烦。3） UDP Flood4） SYN Flood5） 分布式拒绝攻击3. 触发条件激活木马WIN.INI C：windows目录下有一个配置文件win.ini，用文本方式打开，在wind