信息安全导论知识点总结

1、弟一章信息安全的定义：在技术上和 管理上为数据处理系统建立的 安全保护，保护信息系统的硬 件、软件及相关数据不因偶然或 者恶意的原因遭到破坏、更改及 泄露。信息安全的属性完整性、可用性、机密性。CIA三元组是信息安全的三个 最基本的目标机密性 Confidentiality:指信 息在存储、传输、使用过程中， 不会泄漏给非授权用户或实体； 完整性Integrity:指信息在存 储、使用、传 输过程中，不 会被非授权 用户篡改或 防止授权用 户对信息进 行不恰当的 篡改；可用性Availability：指确保授 权用户或实体对信息资源的正 常使用不会被异常拒绝，允许其 可靠而及时地访问信息资源。

2、DAD ( Disclosure 泄露、 Alteration 篡改、Destruction 破坏)是最普遍的三类风险信息安全保障体系包括四个 部分内容，即PDRR保护(Protect)检测(Detect) 反应(React)恢复(Restore) 弟一章密码学包括密码编码学和密 码分析学两部分。完整密码体制要包括如下五 个要素：M是可能明文的有限集称为 明文空间；C是可能密文的有限集称为 密文空间；K是一切可能密钥构成的有限集称为密钥空间；E为加密算法，对于任一密 钥，都能够有效地计算；D为解密算法，对于任一密 钥，都能够有效地计算。对称密钥密码加密模式从工 作方式上可分为：分组密码、序 列

3、密码分组密码原理加密：将明文分成若干固定长度 的组，用同一密钥、算法逐组加 密，输出等长密文分组。解密：将密文分成等长的组，采 用同一密钥和算法逐组解密，输 出明文。单向陷门函数f(x)，必须满 足以下三个条件。给定x，计算y=f(x)是容易 的；给定y,计算x使y=f(x)是困 难的(所谓计算x=f-1(y)困难是 指计算上相当复杂已无实际意 义)；存在5,已知5时对给定的任 何y，若相应的x存在，则计算 x使y=f(x)是容易的。公开密钥可以有效解决机密 性和认证性这两个问题消息认证：验证收到的消息 来自真正的发送方且未被修改 过，验证消息的真实性、完整性、 顺序性、时间性。消息认证码MA

4、C (Message Authentication Code)：也称密 码校验和，使用密码对消息加 密，生成固定长度的认证符；消息认证码MAC基本思想：利用事先约定的密钥， 加密生成一个固定长度的短数 据块MAC，附加到消息之后，一 起发送给接收者；MAC是消息和密钥的公 开函数所产生的定长的值，以此 值作为认证符。可以认证：消息 是否改变发送者是否是所声称 的如果消息中包含顺序码，保 证消息的正常顺序接收者使用相同密钥 对消息原文进行加密得到新的 MAC，比较新的MAC和随消息一 同发来的MAC进行认证。散列函数的健壮性弱无碰撞特性强无碰撞特性单向性数字签名的过程g * M弟三章物理安全包括

5、p48物理安全技术包括：防盗、防 火、防静电、防雷击、防信息泄 漏、物理隔离；基于物理环境的 容灾技术和物理隔离技术也属 于物理安全技术范畴物理隔离与逻辑隔离有很大 的区别物理隔离的哲学是不安全就不 连网，要绝对保证安全，逻辑隔 离的哲学是在保证网络正常使 用下，尽可能安全第四章Kerberos身份认证AS：公安局，审核颁发身份 证TGS :机票售票处oServer V：登机验票处。第一阶段身份验证服务交 换第二阶段票据授予服 务交换第三阶段客户与 服务器身份验证交换基于数字证书进行身份认证 的过程p63PKI体系结构认证中心CA证书库密钥备 份及恢复系统证书撤销系统 应用程序接口 API第五

6、章访问控制的基本组成元素主体客体访问控制策略访问控制模型自主访问控制强制访问控制MAC基于角色的访问控制 自主访问控制模型p68 上读/下写（完整性） 下读/上 写（机密性）RBAC模型的基本思想是将访 问权限分配给一定的角色，用户 通过饰演不同的角色获得角色 所拥有的访问许可权。弟六早病毒是指“编制或者在计算 机程序中插入的破坏计算机功 能或者破坏数据，影响计算机使 用并且能够自我复制的一组计 算机指令或者程序代码”。计算机病毒特征非授权性寄生性传染性潜伏 性破坏性触发性病毒根据其工作原理和传播 方式划分传统病毒蠕虫病毒木马蠕虫与传统病毒的区别：蠕虫 病毒一般不需要寄生在宿主文 件中，蠕虫病

7、毒能够利用漏洞计算机病毒防治技术主要包 括：检测、清除、预防和免疫拒绝服务攻击：DoS并不是某 一种具体的攻击方式，而是攻击 所表现出来的结果最终使得目 标系统因遭受某种程度的破坏 而不能继续提供正常的服务，甚 至导致物理上的瘫痪或崩溃。通常拒绝服务攻击可分为两 种类型，第一类攻击是利用网络协议的 缺陷，通过发送一些非法数据包 致使主机系统瘫痪；第二类攻击是通过构造大量网 络流量致使主机通讯或网络堵 塞，使系统或网络不能响应正常 的服务。蠕虫与传统病毒的区别：蠕虫 病毒一般不需要寄生在宿主文 件中，蠕虫病毒能够利用漏洞1、木马是有隐藏性的、传播性 的，木马一般不会直接对计算机 产生危害，主要以

8、控制计算机为 目的。2、木马病毒程序一般有是三部 分组成，第一部分是控制程序（客户端）；第二部分是木马程 序（服务器端），它是木马病毒 的核心；第三部分是木马配置程 序。3、Ping of death 攻击：攻击 者可以通过修改IP分片中的偏 移量和段长度，是系统在接收到 全部分段后重组报文时总的长 度超过了 65535字节。一些操作 系统在对这类超大数据包的处 理上存在缺陷，当安装这些操作 系统的主机收到了长度大于 65535字节的数据包时，会出现 内存分配错误，从而导致TCP/IP 堆栈崩溃，造成死机，这就是 ping of death 攻击。4、Syn Flood攻击（拒绝服务 攻击）：

9、攻击者伪造TCP的连接 请求，向被攻击的设备正在监听 的端口发送大量的SYN连接请 求报文，被攻击的设备按照正常 的处理过程，回应这个请求报 文，同时为它分配了相应的资 源。攻击者本意并不需要建立 TCP连接，因此服务器根本不会 接受到第三个ACK报文，使被 攻击的系统所预留的所有TCP 缓存都耗尽，那么背攻击的设备 将无法再向正常的用户提供服 务，攻击者也就达到了攻击的目 的（拒绝服务）。5、地址解析：主句在发送帧前 将目标IP地址转换成目标MAC 地址的过程。冒充域名服务器，把受害者要查 询的域名对应的ip地址伪造成 欺骗者希望的ip地址，这样受 害者就只能看到攻击者希望的 网站页面，这就

10、是dns欺骗的的 基本原理。10.缓冲区溢出：是指当计算机 向缓冲区内填充数据位数时超 过了缓冲区本身的容量，溢出的 数据覆盖了合法数据第七章防火墙是位于两个或多个网 络之间，执行访问控制策略的一 个或一组系统，是一类防范措施 的总称。包过滤防火墙：静态包过滤、 动态包过滤静态包过滤是指防火墙根据 定义好的包过滤规则审查每个 数据包，确定其是否与某一条包 过滤规则匹配。动态包过滤是指防火墙采用 动态配置包过滤规则的方法，根 据需求动态的添加或删除acl中 的过滤规则，并通过对其标准建 立的每一个连接进行跟踪，更加 灵活的对网络连接访问的控制。网络地址转换NAT属于广域网wan技术，是一种 将私

11、有地址转化为合法ip地址 的转换技术。隧道技术的基本过程，p112 隧道技术的基本过程是在源局 域网与公网的借口处将数据作 为负载封装在一种可以在公网 上传输的数据格式中，在目的局 域网与公网的接口处将数据解 封装，取出负载并转发到最终目 的地。CIDF通用模型:事件产生器、 事件分析器、响应单元、事件数 据库入侵检测系统按数据源分类主机型入侵检测系统网络型入侵检测系统以检测技术为分类标准p120 基于误用检测的IDS基于异常检测的IDS基于误用检测的IDS：是事先 定义出已知的入侵行为的入侵 特征，将实际环境中的数据与之 匹配，根据匹配程度来判断是否 发生了无用攻击，即入侵攻击行 为。基于异

12、常检测的IDS：根据使 用者的行为或资源使用状况的 程度与正常状态下的标准特征 之间的偏差来判断是否遭到了 入侵，如果偏差高于阈值则发生 异常。常见的入侵诱骗技术主要有 蜜罐（Honeypot）技术和蜜网（Honeynet）技术第八章1.IPSec 协议ESP（封装安全负载）协议AH （认证头）协议二者都支持认证功能，保护范围 存在着一定的差异。AH的作用域是整个IP数据包， 包括IP头和承载数据ESP认证 功能的作用域只是承载数据，不 包括IP头。AH提供认证的安全 性高于ESP的认证服务IPSec包含有两个指定的数据 库安全策略数据库（SPD）安全关 联数据库（SAD）IPSec的工作模式

13、传输模式隧道模式传输模式：IPSec先对上层协议 进行封装，增加一个IPSec头， 对上层协议的数据进行保护，然 后由IP协议对封装的数据进行 处理，增加IP头，只对数据包 的有效负载进行加密或认证。（用于两台主机之间的安全通 信）隧道模式:IPSec对IP协议处理 后的数据进行封装，增加一 IPSec头，对IP数据包进行保护， 然后再由IP协议对封装的数据 进行处理，增加新IP头，对整 个数据包进行加密或认证。（通 信双方有一方是安全网关或路 由器）抗重放窗口：32比特计数器， 用于决定进入的AH或ESP数据 包是否为重发，仅用于接收数据 包。抗重放窗口W实际是某个特 定时间接收到的数据包序

14、号是 否符合窗口的上下界。SSL （Secure Sockets Layer 安全套接层）体系结构SSL记录协议SSL握手协议 SSL转换密码规范协议SSL报 警协议SSL握手协议：SSL握手协议通 过在客户端和服务器之间传递 消息报文，完成会话协商谈判。 SSL握手协议四个阶段：建立安 全能力服务器认证与密钥交 换客户机认证与密钥交换 结束set的组件结构：持卡人商家 发卡机构清算机构支付网关 认证中心SET协议安全性主要依靠其采 用的多种安全机制，解决了机密 性、完整性、身份认证和不可否 认性等问题，提供了更高的信任 度和可靠性。电子信封电子信封涉及到两个密钥：一个 是接收方的公开密钥另一个是 发送方生成临时密钥（对称密 钥）电子信封的使用过程P156双重签名（1）SET协议核心内容是订购信 息OI和支付信息PI（2）DS（双重签名）技术首先生成 OI和PI两条消息的摘要，将两 个摘要连接起来，生成一个新的 摘要，然后用顾客的私有密钥加 密，即双重签名（3）分离PI与OI：确保商家不 知道顾客的支付卡信息，银行不 知道顾客的订购细节。交易处理在处理中，持卡人注册和商家注 册